JP2011024065A - 暗号化通信システム及びゲートウェイ装置 - Google Patents
暗号化通信システム及びゲートウェイ装置 Download PDFInfo
- Publication number
- JP2011024065A JP2011024065A JP2009168481A JP2009168481A JP2011024065A JP 2011024065 A JP2011024065 A JP 2011024065A JP 2009168481 A JP2009168481 A JP 2009168481A JP 2009168481 A JP2009168481 A JP 2009168481A JP 2011024065 A JP2011024065 A JP 2011024065A
- Authority
- JP
- Japan
- Prior art keywords
- address
- terminal
- network
- message
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【解決手段】3GPPシステムにリモートアクセスの終端部となるGW(PDG)205を設置する。端末−GW205間のIPSecトンネル開設後にVPNクライアント601−企業網GW間のIPSecトンネルを開設し、端末からのデータを端末−GW間、VPNクライアント−企業網GW間の2つのトンネルを介して、企業網へ転送する。また、GW205が、リモートVPNアクセスをした端末から受信したメッセージの宛先IPアドレスから、宛先のネットワークがグローバルアドレスを使用しているか調べ、グローバルアドレスが必要な場合、端末から受信したメッセージの送信元IPアドレスを、端末が割り当てられた企業網内で使用されるプライベートアドレスからグローバルアドレスに変換して転送する。
【選択図】図14
Description
リモートVPNアクセスシステムの概要について、図1を用いて説明する。図1において、端末101はインターネット102を介して企業網104と接続する。端末101は、通信リンク106にて企業網104の対向サーバ105と通信するが、通信リンク106は、インターネット102を通るため、セキュアにする必要がある。端末101は、企業網104においてインターネット102とのエッジに設置されたVPNゲートウェイ装置103に対して、IPSecトンネル107を設定する。IPSecトンネル107中の通信リンクを使用することにより、セキュアな通信路として通信リンク106を確保する。上記のようなリモートVPNアクセスシステムは、例えば、特許文献1に開示されている。
一方、携帯電話網の標準化機関である3GPP(3rd Generation Partnership Project)は、3GPP網にWLAN(Wireless Local Area Network)を介したインターネットアクセスを収容するための仕様を非特許文献1に規定している。図2を用いて、3GPP網を介したインターネットアクセス方法を説明する。図2において、端末101は、WLAN網201を介して3GPP網202と接続する。3GPP網202は端末101に対してインターネット102に接続するサービスを提供している。ここで、端末101は、インターネット102に接続された対向サーバ105との通信を行なうために端末101と対向サーバ105間で通信リンク206を接続する。
上述した課題を図3と図4を用いてより詳細に説明する。まず、図3を用いて、端末101が、3GPP網202が提供するインターネットへの接続サービスを利用して、インターネット102に接続された企業網104にある対向サーバ105に接続するケースを説明する。端末101は対向サーバ105が所属する企業網104に対しIPSecを用いたリモートVPNで接続されているものとする。端末101と対向サーバ105間で動作するアプリケーションは、通信リンク206で通信する。ここで、インターネットを介した端末101からのアクセスのセキュリティを確保するため、端末101とVPNゲートウェイ103間でIPSecトンネル301を設定し、通信リンク206での通信時にIPSecトンネル301を使用する。一方、3GPP網202では、WLAN網201を介した通信のセキュリティを確保するために端末101とPDG205間でIPSecトンネル207を確立する。ここで、IPSecトンネル207とIPSecトンネル301は、双方とも端末101で終端される。
PDG205のプロトコルスタック403は、下位層から順にWAG側のL1/L2プロトコル、Transport IPプロトコル、IPSec Tunnelプロトコル、Remote IPプロトコル、VPNゲートウェイ103側のL1/L2プロトコル、Remote IPプロトコルである。VPNゲートウェイ103のプロトコルスタック404は、下位層から順にPDG205側のL1/L2プロトコル、Transport IPプロトコル、IPSec Tunnelプロトコル、Remote IPプロトコル、対向サーバ105側のL1/L2プロトコル、IPプロトコルである。対向サーバ105のプロトコルスタック405は、下位層から順にL1/L2プロトコル、IPプロトコルである。
端末101と対向サーバ105の間のIPパケットは、端末101とVPNゲートウェイ103で終端するIPSecトンネルを下位層に持つ。さらに、このIPSecトンネルは、端末101とPDG205間において両者で終端するIPSecトンネルを下位層に持つ。
端末101のプロトコルスタック401を見ると、端末101と対向サーバ105の間のIPパケットについて、2重にIPSecが処理されており、端末101のソフトウェアは、2重にIPSecを処理する必要があることがわかる。すなわち、端末101ではIPSec処理にCPUの処理能力を著しく消費する。
本発明の第一の目的は、端末の2重の暗号化処理を回避することである。
上述した課題を図5にて詳細に説明する。
端末101は企業網104のVPNゲートウェイ103との接続時に、VPNゲートウェイ103から企業網内でのみ使用されるプライベートアドレスを払い出してもらう。端末101は払い出されたプライベートアドレスを使用して企業網104内の対向サーバ105と接続できる。ここで、インターネット上のWWWサーバ501にアクセスすることを考える。インターネット上ではグローバルアドレスが必要であるが、VPNゲートウェイ103との接続を維持したままでは、端末101はプライベートアドレスしか使用できないため、端末101はWWWサーバ501にアクセスすることができない。端末がグローバルアドレスを取得するためには、一旦VPNゲートウェイ103との接続を切断する必要があり、シームレスに切り替えることができない。また、企業網内のサーバを利用しながらインターネットを同時に利用することができず、端末101の利用者は大きな不便を強いられる。他方、インターネットを利用している端末101が企業網104内のサーバと接続する場合、端末101はVPNゲートウェイ103と接続し、企業網内でのみ使用されるプライベートアドレスを払いだしてもらう必要がある。この場合もインターネットとの接続を維持したまま、企業網内のサーバを利用することはできない。
本発明の第二の目的は、端末が企業網との接続を維持したまま、インターネット上のサーバをシームレスに利用できるようにすることである。
本発明の第三の目的は、インターネット上のサーバに端末がアクセスする際に経由する装置をサービス事業者が追加する際、通信条件によって必要な通信のみ集約型の装置に転送することができるようにすることである。
本通信システムは、端末と、端末が認証を行うためのAAAと、端末とWLAN網を介して暗号化通信により接続されるPDGと、PDGの要求によって暗号化のためのトンネル設定を行うVPNクライアントと、VPNクライアントと企業網を介して暗号化通信により接続される対向サーバと、PDGとインターネットを介して非暗号化通信により接続されるサーバを有するシステムである。
本通信システムにおいて、PDGは、端末から初めてアクセスされたとき、端末の通信をブロックし認証を要求する通信ブロック処理部と、AAAから端末の認証成功を通知された後、PDG−VPNクライアント間で端末を識別するために端末に対するVLANを登録するVLAN設定部と、端末からの要求に応じて端末−PDG間にWLAN網の第1トンネルを設定するトンネル設定部と、WLAN網の第1トンネル設定後に企業網の第2トンネルの設定要求を送信するトンネル設定送信部と、端末から第1トンネルを介してメッセージを受信するメッセージ受信部と、端末から第1トンネルを介して受信したメッセージを第2トンネルを介して対向サーバに転送するメッセージ転送部を備えており、上述した課題のうち、端末の二重暗号化処理による性能・消費電力上の課題を解決できる。
より具体的には、本通信システムにおいて、アドレス変換部は、前記宛先IPアドレスが対向サーバのときに前記送信元IPアドレスを第2網内でのみ使用されるプライベートIPアドレスに変換し、前記宛先IPアドレスが前記サーバの宛先のときに前記送信元IPアドレスをプライベートIPアドレスからグローバルIPアドレスに変換する。
さらに、本通信システムにおいて、PDGは、端末から受信したメッセージの送信元IPアドレス、宛先ポート番号等の通信条件によって、受信メッセージの転送先をインターネットにするか、Proxyサーバ等の通信装置とするかを判断するための転送先判断部を備えており、通信条件によって必要な通信のみ集中配備された通信装置に転送できるようになる。
第1網の第1トンネルを介して暗号化通信により端末と通信し、第2網を介して第1サーバと通信するゲートウェイ装置と、
第2トンネルを少なくとも第2網上に設定し、前記ゲートウェイ装置と第3網の第2サーバとで該第2トンネルを介して暗号化通信するためのVPNクライアント装置と
を備え、
前記ゲートウェイ装置は、
任意のIPアドレスで通信する前記端末から前記第1トンネルを介してメッセージを受信するメッセージ受信部と、
前記端末に割り当てる第2網のIPアドレス及び第3網のIPアドレスをひとつ又は複数格納するアドレス記憶部と、
受信されたメッセージの宛先に応じて、前記アドレス記憶部の前記第2網のIPアドレス又は前記第3網のIPアドレスをひとつ選択し、前記メッセージの送信元アドレスを選択された前記第2網のIPアドレス又は前記第3網のIPアドレスに変換するアドレス変換部と、
アドレス変換されたメッセージを、宛先に従い、前記第1サーバに転送する又は前記VPNクライアント装置を介して前記第2サーバに転送するメッセージ転送部と
を有する暗号化通信システムが提供される。
第1網を介して暗号化通信により端末と通信するゲートウェイ装置と、第2網を介して前記ゲートウェイ装置と通信する第1サーバと、少なくとも第2網での暗号化通信を介して前記ゲートウェイ装置と通信する第3網の第2サーバとを備えたシステムにおける前記ゲートウェイ装置であって、
任意のIPアドレスで通信する前記端末から前記第1トンネルを介してメッセージを受信するメッセージ受信部と、
前記端末に割り当てる第2網のIPアドレス及び第3網のIPアドレスをひとつ又は複数格納するアドレス記憶部と、
受信されたメッセージの宛先に応じて、前記アドレス記憶部の前記第2網のIPアドレス又は前記第3網のIPアドレスをひとつ選択し、前記メッセージの送信元アドレスを選択された前記第2網のIPアドレス又は前記第3網のIPアドレスに変換するアドレス変換部と、
アドレス変換されたメッセージを宛先アドレスに従い転送するメッセージ転送部と
を備えた前記ゲートウェイ装置が提供される。
図6を参照して、本実施の形態を用いた場合の3GPP網のインターネット接続サービスを利用した企業網へのリモートアクセスを説明する。図6において、ネットワークは、WLAN網(第1網)201、3GPP網202、インターネット(第2網)102、企業網(第3網)104を含む。3GPP網202は、WAG204、PDG(ゲートウェイ装置)205、AAA(認証装置)203、VPNクライアント601、DHCP505、DNS506が含まれる。企業網104は、VPNゲートウェイ103と、対向サーバ105が含まれる。WLAN網201は、WLAN AP(WLAN Access Point)を介して端末101と3GPP網202を接続する。インターネット102は、3GPP網202と企業網104を接続する。
端末101と対向サーバ105間の通信リンク206にて、両者のアプリケーションはIPで通信する。VPNクライアント601は、端末101の代理としてVPNゲートウェイ103とのIPSecを終端する。これによって、VPNクライアント601は、VPNゲートウェイ103とのIPSecトンネル(第2トンネル)602を設定してインターネット102でのセキュリティを確保する。また、端末101はWLAN網201でのセキュリティを確保するために、端末101−PDG205間でIPSecトンネル(第1トンネル)207を設定する。なお、VPNクライアント601の機能は、PDG205に含めてもよい。
図7において、端末101とPDG205は、IPSec(図6のIPSecトンネル207に対応)を終端する。また、VPNクライアント601とVPNゲートウェイ103も、IPSec(図6のIPSecトンネル602に対応)を終端する。端末101のプロトコルスタック702は、IPSec Tunnelが一つである。
図15にPDG205の構成図を示す。図15においてPDG205の各機能部を説明する。なお、後述する図8の処理の対応する符号を示す。
VLAN設定部1502は、AAA203から端末101の認証成功を通知(815)された後、PDG205−VPNクライアント601間でユーザを識別するために端末101に対するVLANを登録し、WLAN201網のトンネルと企業網104のトンネルの対応付けを行う(817)。トンネル設定送信部1503は、端末101とPDG 205のトンネル設定後にVPNクライアント601へVPNクライアント601−VPNゲートウェイ103間のトンネル設定要求を送信する(821)。メッセージ受信部1504は端末101からWLAN網のトンネルを介してパケットデータを受信する。IPアドレス変換テーブル(アドレス記憶部)として、パケットの送信元IPアドレスを企業網104内で使用されるIPアドレスに変換するための情報を格納する企業網用IPアドレステーブル1101と、グローバルアドレスに変換するための情報を格納するグローバルIPアドレステーブル1201とを保持している。また、端末情報テーブル(端末情報記憶部)901を保持している。アドレス変換部1505は受信したパケットの宛先IPアドレスおよび受信したパケットの送信元IPアドレスに基づいて、上述のIPアドレステーブルを検索し、検索結果に基づいて受信したパケットの送信元アドレスを企業網104内で使用されるIPアドレスもしくは、グローバルアドレスに変換する(827)。メッセージ転送部1506は企業網104内で使用されるIPアドレスに変換したパケットはVPNクライアント601へ、グローバルアドレスに変換したパケットは、インターネット102に転送する。
端末情報変換テーブル901は、端末識別子902と、端末認証情報903と、VPNユーザ認証情報904と、VLAN(VLAN ID)905とが対応して記憶される。図示の例では端末情報テーブル901の最初のレコードは、端末識別子902として、user1@operator1を保持している。端末認証情報903として、0x123456789abcdefを保持している。VPNユーザ認証情報904として、0xef123456789abcdを保持している。VLAN905として、corporate1を保持している。
ユーザ(又は端末)を識別する情報が端末識別子902である。端末識別子902は、ユーザを一意に識別するIDである。端末認証情報903は、3GPP網202の端末に設定されている認証情報であり、端末認証情報903は、端末の登録時にあらかじめ設定される。VPN認証情報904は、企業網のリモートアクセスに利用される認証情報である。ここで、VPN認証情報904とは、例えば、IPSecの鍵交換プロトコルであるIKE(Internet Key Exchange)に用いる認証情報(事前共有鍵)である。VLAN 905は、PDG205とVPNクライアント601の間でユーザを識別するために用いる。VLAN905は、端末認証の成功時にPDG205により動的に選択され、PDG205内で保持され、VPNクライアント601に通知される。なお、これらの各情報はAAA203に予め設定され、認証成功時にPDG205に転送するようにしてもよいし、予めPDG205に設定されてもよい。
図11は、企業網用IPアドレステーブルの説明図である。企業網用IPアドレステーブル1101は、例えば、企業網用IPアドレス1102に対応して、使用状態1103と、端末のIPアドレス1104とを含む。
図12は、グローバルIPアドレステーブルの説明図である。グローバルIPアドレステーブル1201は、例えば、グローバルIPアドレス1202に対応して、使用状態1203と、端末のIPアドレス1204とを含む。
図8を参照して、端末、WLAN AP、AAA、WLAN網のDHCP、WLAN網のDNS、PDG、3GPP網のDHCP、VPNクライアント、VPNゲートウェイ、対向サーバ間の動作を説明する。
図8において、端末101が対向サーバ105に対して通信を開始する処理を説明する。端末101は、一連のWLAN association プロシージャ(801〜808)をWLAN AP502との間で実行し、WLAN網の認証が終了後、WLAN AP502との接続を確立する。ここで、WLAN associationプロシージャはIEEE802.11で規定された新規接続の処理手順である。次に、端末101はWLAN網201内のDHCP503からTransport IPアドレスを取得する(809)。Transport IPアドレスはWLAN網内でのみ有効なプライベートアドレスである。次にWLAN網201内のDNS504からPDG205のアドレスを取得する(810)。PDG205のアドレスが取得できたので、端末101はPDG205へアクセスする(811)。PDG205は、この通信をブロックする(812)。PDG205は、端末101に対して認証を要求する(813)。
端末101は、AAAサーバ203との間で3GPP網の端末認証を行う(814)。なお、3GPP網においては、端末の認証は、EAP(Extensible Authentication Protocol)−SIM(Subscriber IDentity Module)またはEAP−AKA(Authentication and Key Agreement)を用いることができる。ここでは認証が正常に終了し、AAA203はPDG205と端末101に対して認証の成功を通知する(815、816)。なお、PDG205への認証成功の通知(815)は、端末101が企業網104のリモートアクセスを利用するための各種情報902〜904を含んでおり、PDG205は端末101の各種情報をPDG205内の端末情報テーブル901(図9)に保存するものとする。
PDG205は、端末−PDG間およびVPNクライアント−VPNゲートウェイ間のIPSecトンネルが設定され、両者のIPSecトンネルの対応関係を示すVLANの設定が終了すると、通信ブロックを解除する(824)。通信ブロックの解除、端末101と対向サーバ105の間で通信リンクが確立し通信が開始される。その後、端末101は3GPP網のDHCP505からRemote IPアドレスを取得し(825)、対向サーバ105とのデータ通信を開始する(826)。なお、Remote IPアドレスは企業網用のIPアドレスである。PDG205は、端末101−対向サーバ105間のデータ通信に際して、IPアドレス変換と転送(827)を行う。
なお、企業網104内で使用されるIPアドレスが一覧となった企業網用IPアドレステーブル1101と、PDG205があらかじめ保持しているグローバルIPアドレステーブル1201に書き込まれた使用状態は、端末101がPDG205との通信を切断する際に、PDG205が「空き」に戻す。
PDG205が、対向サーバ105やwwwサーバ501などの対向の装置からパケットデータを受信時(1302)、受信パケットデータの宛先IPアドレスと一致するIPアドレス1202がないかグローバルIPアドレステーブル1201を検索する(1303)。一致する要素がある場合、使用状態が空きか判定し(1304)、空きの場合、受信パケットの宛先が特定できないため、受信パケットを破棄する(1308)。一方、使用状態1203が空きでなければ記載されている端末識別子902からどの端末宛かを判定することができる。使用状態が空きでない場合、宛先の端末が特定できたので、受信パケットの宛先IPアドレスを一致する要素がある行(エントリ)の端末のIPアドレス1204に変換(1305)し、受信パケットをVPNクライアント601に転送する(1007)。
受信パケットデータの宛先IPアドレスと一致するIPアドレス1202がグローバルIPアドレステーブル1201に見つからない場合、企業網用IPアドレステーブル1101を検索する(1309)。宛先アドレスと一致するIPアドレス1102が見つからない場合(1309、No)、受信パケットを破棄する(1308)。なお、この場合、アドレス変換の必要がないとして、受信パケットを宛先アドレスに従い転送してもよい。一致するIPアドレス1102が見つかった場合(1309、Yes)、使用状態が空きか判定し(1310)、空きの場合、受信パケットの宛先が特定できないため、受信パケットを破棄する(1308)。使用状態が空きでない場合、宛先の端末が特定できたので、受信パケットの宛先IPアドレスを一致する要素がある行(エントリ)の端末のIPアドレス1104に変換(1311)し、受信パケットをVPNクライアント601に転送する(1007)。
図14を参照して、3GPP網のインターネット接続サービスを利用した複数の企業網へのリモートアクセスを説明する。
図14において、ネットワークは、WLAN網201、3GPP網202、インターネット102、企業網1406、企業網1412を含む。3GPP網202は、WAG204、PDG205、AAA203、VPNクライアント601、DHCP505、DNS506を含む。企業網1406は、VPNゲートウェイ1405と、対向サーバ1407を含む。企業網1412は、VPNゲートウェイ1411と、対向サーバ1413を含む。WLAN網201は、端末1401または端末1402と3GPP網202を接続する。インターネット102は、3GPP網202と企業網1406または企業網1412を接続する。
通信リンク1408は、端末1401と対向サーバ1407間、通信リンク1415は端末1402と対向サーバ1413間の通信リンクである。IPSecトンネル1409は、端末1401とPDG205間のIPSecトンネルとして、端末1401の通信がアクティブな状態の時に動的に設定されるIPSecトンネルである。同様に、IPSecトンネル1414は、端末1402とPDG205間のIPSecトンネルとして、端末1402の通信がアクティブな状態の時に動的に設定されるIPSecトンネルである。
一方、IPSecトンネル1410は、VPNクライアント601−VPNゲートウェイ1405間のIPSecトンネルであり、IPSecトンネル1410に対応する端末1401−PDG205間のIPSecトンネルがアクティブな状態の時に動的に設定されるIPSecトンネルである。同様に、IPSecトンネル1416は、VPNクライアント601−VPNゲートウェイ1411間のIPSecトンネルであり、IPSecトンネル1416に対応する端末902−PDG205間のIPSecトンネルがアクティブな状態の時に動的に設定されるIPSecトンネルである。
PDG205とVPNクライアント601は、端末1401、1402からのフローを識別するためにVLANを用いている。端末とのIPSecトンネルを設定する際に、PDG205は、端末がどのVLAN(VLAN ID)を用いるかを決定する。
端末とPDG間およびVPNクライアントとVPNゲートウェイ間のIPSecトンネルに用いる認証情報は、AAAサーバに設定されており、端末がどのVLAN IDを使用するかはAAAサーバに登録することができる。AAAサーバが保持する情報は、図9の端末情報テーブル901と同じ内容である。
図16において、ネットワークは、同一区域1621内(例えば同一県内)に存在するWLAN網1602および3GPP網1603と、インターネット1604を含む。WLAN網1602は、WLAN AP1605を含む。3GPP網1603は、WAG1607、PDG1608、Proxyサーバ1619を含む。WLAN網1602は、端末1601と3GPP網1603を接続する。WWWサーバ1609をインターネット1604上に存在するWWWサーバである。また、WLAN網1612および3GPP網1613は、WLAN網1602と別の区域1622内(例えば別の県内)に存在しており、WLAN網1612は、WLAN AP1614を含む。3GPP網1613は、WAG1615、PDG1616、Proxyサーバ1620を含む。WLAN網1612は、端末1601と3GPP網1613を接続する。Proxyサーバは、例えば、NAT等のIPアドレス変換、後段処理、代理処理などの予め定められた処理を行うことができる。
端末1601がある区域1621内で通信リンク1611によってProxyサーバ1619経由でWWWサーバ1609にアクセスした後、別の区域1622に移動した場合、移動先の区域では別のWLAN網1612を介してアクセスする。このため、別の区域1622内にも少なくとも一つのProxyサーバ1620が必要になる。また、Proxyサーバ1620以外の別の装置を経由させる場合においても、同様に各区域のPDG1608、1616の後段に別の装置を少なくとも1台ずつ設置する必要がある。ここで、区域は県単位といった粒度で設定されることが多く、各県単位に装置を分散配置することは、分散拠点での運用の煩雑さや複数の装置を用意するコストを考えると、サービス事業者の負担が大きい。
図17において、Proxyサーバ(通信装置)1702は、区域1621および区域1622とは別の区域1701内に存在し、区域1621および区域1622内には、Proxyサーバは存在しない。PDG1707およびPDG1708は、端末1601からパケットデータを受信すると、受信パケットの宛先アドレスが企業網内のアドレスか、インターネット上のサーバのアドレスかを判定する。企業網内のアドレスの場合は、前述した通りVPNクライアントに受信パケットを転送する。インターネット上のサーバのアドレスである場合、転送先判定テーブル1801を参照し、受信パケットの送信元IPアドレス1802と受信パケットの宛先ポート番号1803が該当する経由先装置1804を検索し、経由先装置1804に受信パケットを転送する。図18は、転送先判定テーブルの構成図である。転送先判定テーブル1801は、例えば、送信元IPアドレス1802と、宛先ポート番号1803と、経由先装置1804とが対応して予め記憶される。例えば、図17において、端末1601がWWWサーバ1608に宛先ポート番号80番でアクセスした場合、PDG1707およびPDG1708は、転送先判定テーブル1801から経由先装置1804としてProxyサーバ1702を検索し、端末1601からの受信パケットをProxyサーバ1702に転送する。また、PDG1707およびPDG1708は受信パケットから転送先判定テーブル1801を検索した結果、経由先装置1804として「経由しない」を選択した場合は、受信パケットの宛先IPアドレス宛にそのままインターネット1604に転送する(例えば、通信リンク1706のケース)。
本実施の形態においてPDGは図19の通り、転送先判定テーブル1801を検索し、経由先1804を選択するための転送先判断部1901をさらに備えており、この転送先判断機能を持つことにより、区域ごとに通信装置を設置することなく、集約設置することを可能にする。
102…インターネット
103…VPNゲートウェイ
104…企業網
105…対向サーバ
201…WLAN網
202…3GPP網
203…AAAサーバ
204…WAG
205…PDG
501…インターネット上のWWWサーバ
502…WLAN AP
503…WLAN網のDNS
504…WLAN網のDHCP
505…3GPP網のDHCP
506…3GPP網のDNS
601…VPNクライアント
901…PDG205内の端末情報テーブル
1101…企業網104内で使用されるIPアドレスが一覧となったIPアドレステーブル
1201…PDG205が使用可能なグローバルアドレスのテーブル
1401…端末
1402…端末
1403…WLAN AP
1404…WLAN AP
1405…VPNゲートウェイ
1406…企業網
1407…対向サーバ
1411…VPNゲートウェイ
1412…企業網
1413…対向サーバ
1501…PDG205の通信ブロック処理部
1502…PDG205のVLAN処理部
1503…PDG205のトンネル設定送信部
1504…PDG205のメッセージ受信部
1505…PDG205のアドレス変換部
1506…PDG205のメッセージ転送部
1507…PDG205のトンネル設定部
1601…端末
1602…WLAN網
1603…3GPP網
1604…インターネット
1605…WLAN AP
1607…WAG
1608…PDG
1609…インターネット上のWWWサーバ
1612…WLAN網
1613…3GPP網
1614…WLAN AP
1615…WAG
1616…PDG
1619…Proxyサーバ
1620…Proxyサーバ
1701…3GPP網
1702…Proxyサーバ
1705…対向サーバ
1707…PDG
1708…PDG
1801…転送先判定テーブル
1901…転送先判断部
Claims (13)
- 第1網の第1トンネルを介して暗号化通信により端末と通信し、第2網を介して第1サーバと通信するゲートウェイ装置と、
第2トンネルを少なくとも第2網上に設定し、前記ゲートウェイ装置と第3網の第2サーバとで該第2トンネルを介して暗号化通信するためのVPNクライアント装置と
を備え、
前記ゲートウェイ装置は、
任意のIPアドレスで通信する前記端末から前記第1トンネルを介してメッセージを受信するメッセージ受信部と、
前記端末に割り当てる第2網のIPアドレス及び第3網のIPアドレスをひとつ又は複数格納するアドレス記憶部と、
受信されたメッセージの宛先に応じて、前記アドレス記憶部の前記第2網のIPアドレス又は前記第3網のIPアドレスをひとつ選択し、前記メッセージの送信元アドレスを選択された前記第2網のIPアドレス又は前記第3網のIPアドレスに変換するアドレス変換部と、
アドレス変換されたメッセージを、宛先に従い、前記第1サーバに転送する又は前記VPNクライアント装置を介して前記第2サーバに転送するメッセージ転送部と
を有する暗号化通信システム。 - 前記第2網のIPアドレスはグローバルIPアドレスであり、
前記メッセージ受信部が、プライベートIPアドレスを用いる前記端末から宛先IPアドレスが第2網の前記第1サーバのIPアドレスである前記メッセージを受信すると、前記アドレス変換部は、前記アドレス記憶部から前記第2網のグローバルIPアドレスをひとつ選択し、該メッセージの送信元IPアドレスをプライベートIPアドレスから選択されたグローバルIPアドレスに変換する請求項1に記載の暗号化通信システム。 - 前記第3網のIPアドレスは第3網内で使用されるプライベートIPアドレスであり、
前記メッセージ受信部が、グローバルIPアドレスを用いる前記端末から宛先IPアドレスが第3網の前記第2サーバのIPアドレスである前記メッセージを受信すると、前記アドレス変換部は、前記アドレス記憶部から前記第3網のプライベートIPアドレスをひとつ選択し、該メッセージの送信元IPアドレスをグローバルIPアドレスから選択されたプライベートIPアドレスに変換する請求項1に記載の暗号化通信システム。 - 前記端末と前記第2サーバが、前記第1トンネル、前記ゲートウェイ装置、前記VPNクライアント装置及び前記第2トンネルを介してセキュアに通信する請求項1に記載の暗号化通信システム。
- 前記ゲートウェイ装置は、
前記ゲートウェイ装置と前記VPNクライアント装置間で前記端末を識別するために前記端末に対するVLANを登録するVLAN設定部
をさらに有する請求項4に記載の暗号化通信システム。 - 前記第1トンネルと前記第2トンネルが、前記VLANにより関連づけられる請求項5に記載の暗号化通信システム。
- 前記ゲートウェイ装置は、
前記端末との間に第1網での第1トンネルを設定するトンネル設定部と、
第2網での第2トンネルの設定要求を、前記VPNクライアント装置に送信するトンネル設定送信部と
をさらに有する請求項1に記載の暗号化通信システム。 - 前記ゲートウェイ装置は、
前記端末の認証情報が予め記憶される端末情報記憶部をさらに有し、
前記VPNクライアント装置への前記設定要求は、前記端末の認証情報を含み、
前記前記VPNクライアント装置は、該端末の認証情報を用いて、前記第2サーバとの暗号化通信のための前記第2トンネルを設定する請求項7に記載の暗号化通信システム。 - 前記端末の認証を行う認証装置
をさらに備え、
前記ゲートウェイ装置は、前記認証装置から前記端末の認証情報を取得し、前記端末情報記憶部に記憶する請求項8に記載の暗号化通信システム。 - 前記第2網のIPアドレスはグローバルIPアドレスであり、前記第3網のIPアドレスは第3網内で使用されるプライベートIPアドレスであり、
前記アドレス変換部は、
選択されたプライベートIPアドレスに対応して、受信されたメッセージの送信元アドレスに従い前記端末のグローバルIPアドレスを前記アドレス記憶部に記憶し、又は、
選択されたグローバルIPアドレスに対応して、受信されたメッセージの送信元アドレスに従い前記端末のプライベートIPアドレスを前記アドレス記憶部に記憶する請求項1に記載の暗号化通信システム。 - 前記アドレス変換部は、
前記選択されたプライベートIPアドレス又はグローバルIPアドレスを宛先アドレスとするメッセージを前記第1サーバ又は前記第2サーバから受信し、該メッセージの宛先アドレスに基づき前記アドレス記憶部を参照し、該宛先アドレスに対応する前記端末のグローバルIPアドレス又はプライベートIPアドレスを取得し、受信したメッセージの宛先アドレスを取得されたグローバルIPアドレス又はプライベートIPアドレスに変換し、
前記メッセージ転送部は、アドレス変換された該メッセージを前記端末に転送する請求項10に記載の暗号化通信システム。 - 前記端末からのメッセージに予め定められた処理を加えて前記第1サーバに転送するための通信装置
をさらに備え、
前記ゲートウェイ装置は、
宛先ポート番号及び送信元IPアドレスに対応して、メッセージの経由先装置情報が予め記憶された転送先判定テーブルと、
前記端末から受信する前記第1サーバ宛てのメッセージに含まれる宛先ポート番号及び送信元IPアドレスに基づいて前記転送先判定テーブルを参照し、対応する経由先装置情報に従い、該メッセージの転送先を判断する転送先判断部
を有し、
前記メッセージ転送部は、前記転送先判断部の判断に従い、該メッセージを前記通信装置又は前記第1サーバに転送する請求項1に記載の暗号化通信システム。 - 第1網を介して暗号化通信により端末と通信するゲートウェイ装置と、第2網を介して前記ゲートウェイ装置と通信する第1サーバと、少なくとも第2網での暗号化通信を介して前記ゲートウェイ装置と通信する第3網の第2サーバとを備えたシステムにおける前記ゲートウェイ装置であって、
任意のIPアドレスで通信する前記端末から前記第1トンネルを介してメッセージを受信するメッセージ受信部と、
前記端末に割り当てる第2網のIPアドレス及び第3網のIPアドレスをひとつ又は複数格納するアドレス記憶部と、
受信されたメッセージの宛先に応じて、前記アドレス記憶部の前記第2網のIPアドレス又は前記第3網のIPアドレスをひとつ選択し、前記メッセージの送信元アドレスを選択された前記第2網のIPアドレス又は前記第3網のIPアドレスに変換するアドレス変換部と、
アドレス変換されたメッセージを宛先アドレスに従い転送するメッセージ転送部と
を備えた前記ゲートウェイ装置。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009168481A JP4802263B2 (ja) | 2009-07-17 | 2009-07-17 | 暗号化通信システム及びゲートウェイ装置 |
US12/776,001 US20110016309A1 (en) | 2009-07-17 | 2010-05-07 | Cryptographic communication system and gateway device |
CN2010101809388A CN101958822A (zh) | 2009-07-17 | 2010-05-14 | 加密通信系统及网关装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009168481A JP4802263B2 (ja) | 2009-07-17 | 2009-07-17 | 暗号化通信システム及びゲートウェイ装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011024065A true JP2011024065A (ja) | 2011-02-03 |
JP4802263B2 JP4802263B2 (ja) | 2011-10-26 |
Family
ID=43466072
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009168481A Expired - Fee Related JP4802263B2 (ja) | 2009-07-17 | 2009-07-17 | 暗号化通信システム及びゲートウェイ装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20110016309A1 (ja) |
JP (1) | JP4802263B2 (ja) |
CN (1) | CN101958822A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012034170A (ja) * | 2010-07-30 | 2012-02-16 | Nippon Telegraph & Telephone West Corp | ネットワーク認証方法及びサービス提供システム |
KR101303120B1 (ko) * | 2011-09-28 | 2013-09-09 | 삼성에스디에스 주식회사 | 상호 인증 기반의 가상사설망 서비스 장치 및 방법 |
WO2016059840A1 (ja) * | 2014-10-17 | 2016-04-21 | 株式会社網屋 | 通信装置及び異機種間通信制御方法及び運用管理の専門性の排除方法 |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
ES2447546T3 (es) * | 2008-04-11 | 2014-03-12 | Telefonaktiebolaget L M Ericsson (Publ) | Acceso a través de redes de acceso no-3GPP |
CN102263774B (zh) * | 2010-05-24 | 2014-04-16 | 杭州华三通信技术有限公司 | 一种处理源角色信息的方法和装置 |
EP2538721A1 (en) * | 2011-06-22 | 2012-12-26 | Alcatel Lucent | Support of IP connections over trusted non-3GPP access |
US8984617B1 (en) | 2011-08-04 | 2015-03-17 | Wyse Technology L.L.C. | Client proxy operating in conjunction with server proxy |
US9414223B2 (en) | 2012-02-17 | 2016-08-09 | Nokia Technologies Oy | Security solution for integrating a WiFi radio interface in LTE access network |
CN105027664B (zh) | 2013-01-03 | 2018-11-02 | 英特尔公司 | 在使用无线局域网的无线通信系统中的分组数据连接 |
US9590884B2 (en) * | 2013-07-03 | 2017-03-07 | Facebook, Inc. | Native application hotspot |
CN104283977B (zh) * | 2013-07-08 | 2017-12-19 | 北京思普崚技术有限公司 | 一种vpn网络中的vpn自动穿越方法 |
CN103401751B (zh) * | 2013-07-17 | 2016-08-10 | 北京星网锐捷网络技术有限公司 | 因特网安全协议隧道建立方法和装置 |
US9641551B1 (en) * | 2013-08-13 | 2017-05-02 | vIPtela Inc. | System and method for traversing a NAT device with IPSEC AH authentication |
CN104811507B (zh) * | 2014-01-26 | 2018-05-01 | 中国移动通信集团湖南有限公司 | 一种ip地址获取方法及装置 |
EP3094058B1 (en) * | 2015-05-13 | 2018-03-21 | ADVA Optical Networking SE | Participation of an intermediary network device between a security gateway communication and a base station |
WO2018098633A1 (zh) * | 2016-11-29 | 2018-06-07 | 深圳前海达闼云端智能科技有限公司 | 数据传输方法、数据传输装置、电子设备和计算机程序产品 |
CN109861924B (zh) * | 2017-11-30 | 2022-06-21 | 中兴通讯股份有限公司 | 报文的发送、处理方法及装置,pe节点,节点 |
CN110380947B (zh) * | 2019-07-23 | 2021-10-22 | 深圳市启博科创有限公司 | 一种基于p2p技术的二级网络架构和vpn组网方法 |
JP2022076669A (ja) * | 2020-11-10 | 2022-05-20 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置、情報処理プログラム、及び通信システム |
CN113904868A (zh) * | 2021-11-02 | 2022-01-07 | 北京长焜科技有限公司 | 一种基于IPsec的远程网管的管理方法 |
CN114615080B (zh) * | 2022-03-30 | 2023-12-05 | 阿里巴巴(中国)有限公司 | 工业设备的远程通信方法、装置以及设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000312228A (ja) * | 1999-04-02 | 2000-11-07 | Lucent Technol Inc | パケットサーバにおける呼設立方法 |
JP2001237898A (ja) * | 2000-02-24 | 2001-08-31 | Nippon Telegr & Teleph Corp <Ntt> | フレーム転送方法 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3965160B2 (ja) * | 2003-01-21 | 2007-08-29 | 三星電子株式会社 | 相異なる私設網に位置したネットワーク装置間の通信を支援するネットワーク接続装置 |
US7665132B2 (en) * | 2003-07-04 | 2010-02-16 | Nippon Telegraph And Telephone Corporation | Remote access VPN mediation method and mediation device |
EP1771998B1 (en) * | 2004-07-23 | 2015-04-15 | Citrix Systems, Inc. | Systems and methods for optimizing communications between network nodes |
JP4737089B2 (ja) * | 2004-10-19 | 2011-07-27 | 日本電気株式会社 | Vpnゲートウェイ装置およびホスティングシステム |
JP4561983B2 (ja) * | 2005-01-13 | 2010-10-13 | 日本電気株式会社 | ローカルコンテンツ接続システム、移動端末、ローカルコンテンツ接続方法及びクライアントプログラム |
WO2006075616A1 (ja) * | 2005-01-13 | 2006-07-20 | Matsushita Electric Industrial Co., Ltd. | 通信システム、端末機器および通信機器 |
EP1761082B1 (de) * | 2005-09-02 | 2018-06-13 | Nokia Solutions and Networks GmbH & Co. KG | Verfahren und anordnung zum anbinden eines zweiten kommunikationsnetzes mit einem zugangsknoten an ein erstes kommunikationsnetz mit einem kontaktknoten |
GB0612288D0 (en) * | 2006-06-21 | 2006-08-02 | Nokia Corp | Selection of access interface |
EP2191386A4 (en) * | 2007-08-24 | 2014-01-22 | Cisco Tech Inc | PROVIDING VIRTUAL SERVICES WITH A BUSINESS ACCESS GATEWAY |
-
2009
- 2009-07-17 JP JP2009168481A patent/JP4802263B2/ja not_active Expired - Fee Related
-
2010
- 2010-05-07 US US12/776,001 patent/US20110016309A1/en not_active Abandoned
- 2010-05-14 CN CN2010101809388A patent/CN101958822A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000312228A (ja) * | 1999-04-02 | 2000-11-07 | Lucent Technol Inc | パケットサーバにおける呼設立方法 |
JP2001237898A (ja) * | 2000-02-24 | 2001-08-31 | Nippon Telegr & Teleph Corp <Ntt> | フレーム転送方法 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012034170A (ja) * | 2010-07-30 | 2012-02-16 | Nippon Telegraph & Telephone West Corp | ネットワーク認証方法及びサービス提供システム |
KR101303120B1 (ko) * | 2011-09-28 | 2013-09-09 | 삼성에스디에스 주식회사 | 상호 인증 기반의 가상사설망 서비스 장치 및 방법 |
US8959614B2 (en) | 2011-09-28 | 2015-02-17 | Samsung Sds Co., Ltd. | Apparatus and method for providing virtual private network service based on mutual authentication |
WO2016059840A1 (ja) * | 2014-10-17 | 2016-04-21 | 株式会社網屋 | 通信装置及び異機種間通信制御方法及び運用管理の専門性の排除方法 |
JP2016082555A (ja) * | 2014-10-17 | 2016-05-16 | 株式会社網屋 | 通信装置及び異機種間通信制御方法及び運用管理の専門性の排除方法 |
GB2546464A (en) * | 2014-10-17 | 2017-07-19 | Amiya Co Ltd | Communication apparatus, method for controlling communication between different types of devices, |
Also Published As
Publication number | Publication date |
---|---|
US20110016309A1 (en) | 2011-01-20 |
CN101958822A (zh) | 2011-01-26 |
JP4802263B2 (ja) | 2011-10-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4802263B2 (ja) | 暗号化通信システム及びゲートウェイ装置 | |
JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
KR101009686B1 (ko) | 다수의 가상 운영자를 지원하는 공용 무선 lan을 위한 세션 키 관리 | |
JP4727126B2 (ja) | 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供 | |
US9015855B2 (en) | Secure tunneling platform system and method | |
JP2020515126A (ja) | モノのインターネット通信方法、モノのインターネット装置、及びモノのインターネットシステム | |
CN110140415B (zh) | 使用无线设备的wlan连接 | |
US8467386B2 (en) | System and apparatus for local mobility anchor discovery by service name using domain name service | |
JP5587512B2 (ja) | モバイル機器と静的宛先アドレスとの間のデータ伝送を可能にするための方法および装置 | |
JP2012147478A (ja) | 非3gppアクセスネットワーク経由のアクセス | |
JP5536628B2 (ja) | 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント | |
JP2004241976A (ja) | 移動通信ネットワークシステムおよび移動端末認証方法 | |
WO2010094244A1 (zh) | 一种进行接入认证的方法、装置及系统 | |
US20130100857A1 (en) | Secure Hotspot Roaming | |
JP4291262B2 (ja) | ハードウエア・ファイアウォールを利用してネットワーク・データをホストと安全に共有する経路設定装置のシステムおよび方法 | |
JP2010206442A (ja) | 通信装置および通信方法 | |
JP2004072633A (ja) | IPv6ノード収容方法およびIPv6ノード収容システム | |
JP5982706B2 (ja) | セキュアトンネリング・プラットフォームシステムならびに方法 | |
JP5947763B2 (ja) | 通信システム、通信方法、および、通信プログラム | |
KR102558364B1 (ko) | 5g lan 서비스 제공 방법 | |
Nishimura | A distributed authentication mechanism for sharing an overlay network among multiple organizations | |
JP7076051B1 (ja) | Ipネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラム | |
JP7076050B1 (ja) | Ipネットワークにアクセスするための通信サービスを提供するための装置、方法及びそのためのプログラム | |
US20230336535A1 (en) | Method, device, and system for authentication and authorization with edge data network | |
Du et al. | Research on NB-IOT Device Access Security Solutions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110411 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110419 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110616 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110712 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110808 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140812 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |