JP2015041801A - Terminal authentication method and terminal authentication system - Google Patents
Terminal authentication method and terminal authentication system Download PDFInfo
- Publication number
- JP2015041801A JP2015041801A JP2013170598A JP2013170598A JP2015041801A JP 2015041801 A JP2015041801 A JP 2015041801A JP 2013170598 A JP2013170598 A JP 2013170598A JP 2013170598 A JP2013170598 A JP 2013170598A JP 2015041801 A JP2015041801 A JP 2015041801A
- Authority
- JP
- Japan
- Prior art keywords
- user terminal
- terminal
- edge router
- user
- line
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
本発明は、ユーザ端末を認証する端末認証方法および端末認証システムに関する。 The present invention relates to a terminal authentication method and a terminal authentication system for authenticating a user terminal.
従来、無線LAN(Local Area Network)アクセスポイントや家庭内ルータからセキュアな通信を行うため、トンネルを設定する方法が提案されている。非特許文献1に記載の技術は、ユーザが無線ネットワークに接続するときに、ネットワークの検出と登録とプロビジョニング、および、ネットワーク接続を自動化することを目的とするものである。 Conventionally, a method for setting a tunnel has been proposed in order to perform secure communication from a wireless local area network (LAN) access point or a home router. The technique described in Non-Patent Document 1 aims to automate network detection, registration, provisioning, and network connection when a user connects to a wireless network.
固定回線網では、アドレスと物理回線とを対応付ける回線認証が行われている。非特許文献2に記載の技術は、ブロードバンド・ルータを起動したのち、PPPoE(Point-to-Point Protocol over Ethernet(登録商標))によって接続を要求し、同時に認証を要求するものである。この認証情報は、RADIUS(Remote Authentication Dial In User Service)というプロトコルを使って、バックボーンにある認証サーバに送られて認証される。
IPv6(Internet Protocol version 6)ネットワークにおいて回線認証は、回線終端装置がエッジルータに接続されたときに、アドレスプリフィックスによる認証が行われる。このIPv6ネットワークにおける回線認証は、タイムアウト以外の方法では、エッジルータが記憶する低レイヤの端末識別情報が消去されないという問題があった。
In the fixed line network, line authentication for associating addresses with physical lines is performed. The technique described in Non-Patent
In the IPv6 (Internet Protocol version 6) network, line authentication is performed using an address prefix when a line terminating device is connected to an edge router. The line authentication in the IPv6 network has a problem that the low-layer terminal identification information stored in the edge router is not erased by a method other than timeout.
ユーザ端末がアドレスプリフィックスやMac(Media Access Control)アドレスなどによって識別されて認証されたならば、エッジルータは、これらの識別情報を保持して、このユーザ端末を接続する。エッジルータは、接続タイムアウトによって識別情報を消去したり、設定変更などによって識別情報を消去したりしない限り、これら識別情報を保持する。このとき、エッジルータのいずれかのVLAN(Virtual LAN)に接続されて認証された端末は、タイムアウトや設定変更により消去されない限り、同一のエッジルータの他のVLANに接続できないという問題がある。また、エッジルータは、タイムアウトや設定変更まで識別情報を保持することにより、メモリリソースを消費するという問題がある。 If the user terminal is identified and authenticated by an address prefix, a Mac (Media Access Control) address, or the like, the edge router holds the identification information and connects the user terminal. The edge router retains the identification information unless the identification information is erased due to a connection timeout or the identification information is erased due to a setting change or the like. At this time, there is a problem that a terminal that is connected to one of the VLANs (Virtual LAN) of the edge router and authenticated cannot be connected to another VLAN of the same edge router unless it is deleted due to timeout or setting change. Further, the edge router has a problem that memory resources are consumed by holding identification information until timeout or setting change.
次に、端末認証システムが、テーブルを有さない回線終端装置を備えていた場合を考える。端末認証システムが第1の回線終端装置に接続された端末を認証したのち、第2の回線終端装置に同端末を接続した場合、同端末の認証情報を第1の回線終端装置が保持しているので、端末認証システムは、同端末について二重認証であると判断する。よって、第1の回線終端装置が同端末の認証情報を消去するまで、第2の回線終端装置への同端末の接続は、認証されないという問題がある。 Next, consider a case where the terminal authentication system includes a line terminating device that does not have a table. After the terminal authentication system authenticates the terminal connected to the first line terminator, when the terminal is connected to the second line terminator, the first line terminator holds the authentication information of the terminal. Therefore, the terminal authentication system determines that double authentication is performed for the terminal. Therefore, there is a problem that the connection of the terminal to the second line termination device is not authenticated until the first line termination device erases the authentication information of the terminal.
本発明は、前記した問題を解決し、複数の回線終端装置のうちの1つに接続して認証した端末を他の回線終端装置に接続したならば、自動で再認証可能な端末認証方法および端末認証システムを提供することを課題とする。 The present invention solves the above-described problem, and a terminal authentication method capable of automatically re-authenticating if a terminal connected to one of a plurality of line terminators is authenticated to another line terminator, and It is an object to provide a terminal authentication system.
前記課題を解決するため、請求項1に記載の発明は、ユーザ端末と接続可能な回線終端装置と、前記回線終端装置に接続されるエッジルータと、前記エッジルータに接続され、前記回線終端装置と前記エッジルータ間の回線を認証する回線認証サーバと、前記ユーザ端末を認証する端末認証サーバと、を備える端末認証システムが実行する端末認証方法であって、前記端末認証サーバは、前記ユーザ端末に付与されたアドレスプリフィックスと、前記ユーザ端末に固有のユーザアドレスとを組み合わせた識別子により、前記ユーザ端末を認証し、前記エッジルータは、前記識別子を記憶し、当該識別子が含む固有のユーザアドレスが送信元であるパケットが、認証済みの前記ユーザ端末のパケットであることを識別する、ことを特徴とする端末認証方法とした。 In order to solve the above problem, the invention according to claim 1 is directed to a line termination device connectable to a user terminal, an edge router connected to the line termination device, and the line termination device connected to the edge router. And a terminal authentication method executed by a terminal authentication system comprising: a line authentication server for authenticating a line between the edge router and a terminal authentication server for authenticating the user terminal, wherein the terminal authentication server includes the user terminal The user terminal is authenticated by an identifier obtained by combining an address prefix given to the user terminal and a user address unique to the user terminal, the edge router stores the identifier, and a unique user address included in the identifier is The terminal that identifies that the packet that is the transmission source is a packet of the authenticated user terminal. And the authentication method.
このようにすることで、エッジルータは、端末認証サーバで認証することなく、このパケットを送信したユーザ端末を自動で再認証し、トラヒックをインターネットに疎通させることができる。 By doing so, the edge router can automatically re-authenticate the user terminal that transmitted this packet without authenticating with the terminal authentication server, and can communicate the traffic to the Internet.
請求項2に記載の発明では、前記ユーザ端末に固有のユーザアドレスとは、IPv6(Internet Protocol version 6)のインタフェースID(Identification)またはMac(Media Access Control)アドレスである、ことを特徴とする請求項1に記載の端末認証方法とした。 In the second aspect of the present invention, the user address unique to the user terminal is an interface ID (Identification) of IPv6 (Internet Protocol version 6) or a Mac (Media Access Control) address. The terminal authentication method according to item 1 is adopted.
このようにすることで、IPv6ネットワークに限られず、IPv4(Internet Protocol version 4)ネットワークにも本発明を適用することができる。 In this way, the present invention can be applied not only to an IPv6 network but also to an IPv4 (Internet Protocol version 4) network.
請求項3に記載の発明では、前記端末認証システムは、当該エッジルータとインターネットとを接続するゲートウェイを更に備え、前記端末認証サーバは、前記ユーザ端末を認証したならば、前記識別子の固有のユーザアドレスを含むトラヒックを、前記ゲートウェイを介してインターネットに疎通させる、ことを特徴とする請求項1または請求項2に記載の端末認証方法とした。
According to a third aspect of the present invention, the terminal authentication system further includes a gateway that connects the edge router and the Internet, and the terminal authentication server authenticates the user terminal when the user terminal is authenticated. The terminal authentication method according to
このようにすることで、端末認証システムは、認証したユーザ端末のトラヒックを、ゲートウェイを介してインターネットに疎通させることができる。 By doing in this way, the terminal authentication system can communicate the traffic of the authenticated user terminal to the Internet via the gateway.
請求項4に記載の発明では、前記回線終端装置は、前記識別子の情報の保持時間を超えた際に当該識別子の情報を削除し、その旨を前記エッジルータに通知する、ことを特徴とする請求項3に記載の端末認証方法とした。
The invention according to
このようにすることで、エッジルータは、不要な認証情報を削除して、自身のメモリを解放することができる。 By doing so, the edge router can delete unnecessary authentication information and release its own memory.
請求項5に記載の発明では、前記エッジルータは、第1のVLANにおける前記識別子の情報を保持している状態で、第2のVLANを介して前記ユーザ端末のパケットを検知したならば、前記第1のVLANを介して前記ユーザ端末の存在を確認する、ことを特徴とする請求項3に記載の端末認証方法とした。
In the invention according to
このようにすることで、エッジルータは、端末認証サーバに認証要求を送信することなく、このユーザ端末を再認証することができる。 By doing in this way, the edge router can re-authenticate this user terminal, without transmitting an authentication request to a terminal authentication server.
請求項6に記載の発明では、前記エッジルータは、前記第1のVLANにおける前記識別子の情報が保持されている状態で、前記第2のVLANを介して前記ユーザ端末のパケットを検知したならば、前記第1のVLANにおける前記ユーザ端末の情報を削除する、ことを特徴とする請求項5に記載の端末認証方法とした。
In the invention according to
このようにすることで、エッジルータは、このユーザ端末の情報を格納していた自身の物理リソースを解放することができる。 By doing in this way, the edge router can release its own physical resources storing the user terminal information.
請求項7に記載の発明では、第1のエッジルータに前記識別子の情報が保持されている状態で、第2のエッジルータが前記ユーザ端末のパケットを検知したならば、前記端末認証サーバは、前記ユーザ端末の認証を再度行い、前記第1のエッジルータは、前記ユーザ端末の情報を削除する、ことを特徴とする請求項3に記載の端末認証方法とした。
In the invention according to
このようにすることで、端末認証サーバは、この通信パケットが含んだユーザアドレスを自身のデータベースと照合することなく、このユーザ端末を認証することができる。また、エッジルータは、このユーザ端末の情報を格納していた自身の物理リソースを解放することができる。 By doing in this way, the terminal authentication server can authenticate this user terminal, without collating the user address contained in this communication packet with its own database. Further, the edge router can release its own physical resource storing the user terminal information.
請求項8に記載の発明では、ユーザ端末と接続可能な回線終端装置と、前記回線終端装置に接続されるエッジルータと、前記エッジルータに接続され、前記回線終端装置と前記エッジルータ間の回線を認証する回線認証サーバと、前記ユーザ端末を認証し、前記ユーザ端末に付与されたアドレスプリフィックスと、前記ユーザ端末に固有のユーザアドレスとを組み合わせた識別子により、前記ユーザ端末を認証する端末認証サーバと、を備え、前記エッジルータは、前記識別子を記憶する記憶部と、当該識別子の固有のユーザアドレスが送信元であるパケットが、認証済みの前記ユーザ端末のパケットであることを識別するパケット識別部と、を備えることを特徴とする端末認証システムとした。 According to an eighth aspect of the present invention, a line termination device connectable to a user terminal, an edge router connected to the line termination device, a line between the line termination device and the edge router connected to the edge router A line authentication server that authenticates the user terminal, and a terminal authentication server that authenticates the user terminal using an identifier that combines an address prefix assigned to the user terminal and a user address unique to the user terminal. The edge router includes a storage unit that stores the identifier, and a packet identifier that identifies that a packet whose source is a unique user address of the identifier is a packet of the authenticated user terminal And a terminal authentication system.
このようにすることで、エッジルータのパケット識別部は、端末認証サーバで認証することなく、このユーザ端末を自動で再認証してトラヒックをインターネットに疎通させることができる。 By doing in this way, the packet identification part of an edge router can re-authenticate this user terminal automatically without authenticating with a terminal authentication server, and can make traffic communicate with the internet.
本発明によれば、複数の回線終端装置のうちの1つに接続して認証した端末を他の回線終端装置に接続したならば、自動で再認証可能な端末認証方法および端末認証システムを提供することができる。 According to the present invention, there is provided a terminal authentication method and a terminal authentication system capable of automatically re-authenticating when a terminal connected to one of a plurality of line terminators is authenticated to another line terminator. can do.
次に、本発明を実施するための形態(「実施形態」という)について、適宜図面を参照しながら詳細に説明する。
(第1の実施形態)
図1は、第1の実施形態における端末認証システムを示す概略の構成図である。
図1に示すように、端末認証システム1は、エッジルータ2と、回線終端装置3a,3bと、回線認証サーバ4と、端末認証サーバ5と、ゲートウェイ6とを備え、インターネット9に接続されている。この端末認証システム1は、ユーザ端末7を認証し、トラヒックをインターネット9に疎通させるものである。この端末認証システム1において各部は、IPv6の通信パケットで相互に通信可能である。
Next, modes for carrying out the present invention (referred to as “embodiments”) will be described in detail with reference to the drawings as appropriate.
(First embodiment)
FIG. 1 is a schematic configuration diagram showing a terminal authentication system according to the first embodiment.
As shown in FIG. 1, the terminal authentication system 1 includes an
回線終端装置3a,3bは、例えば、無線通信機能と有線通信機能とを備え、ユーザの宅内に設置されて、ユーザ端末7と接続可能である。回線終端装置3a,3bは、ユーザ端末7を加入者回線に接続するものである。
エッジルータ2は、加入者回線を介して回線終端装置3a,3bと接続されており、加入者回線や、この加入者回線に接続されたユーザ端末7を、ゲートウェイ6に接続するものである。エッジルータ2は、情報を格納する記憶部21と、パケット識別部22と、複数のVLAN23a,23bとを備えている。VLAN23a(第1のVLAN)には、回線終端装置3aが論理的に接続されている。VLAN23b(第2のVLAN)には、回線終端装置3bが論理的に接続されている。これらVLAN23aとVLAN23bとは、それぞれ異なるアドレスプリフィックスで運用されている。
The
The
回線認証サーバ4は、エッジルータ2と通信可能に接続されており、例えば、回線終端装置3aの接続要求に応じて、回線終端装置3aとエッジルータ2間の加入者回線を認証するものである。
The
端末認証サーバ5は、加入者回線に接続されたユーザ端末7を認証し、このユーザ端末7のトラヒックをインターネット9に疎通させるものである。端末認証サーバ5は、ユーザ端末7に付与されたアドレスプリフィックスと、ユーザ端末7に固有のユーザアドレスとを組み合わせた識別子により、ユーザ端末7を認証する。ここでユーザ端末7に固有のユーザアドレスとは、IPv6のインタフェースIDである。
ゲートウェイ6は、例えば、他事業者網などであるインターネット9と、エッジルータ2との間に接続されて、端末認証サーバ5の指示に応じて、ユーザ端末7のトラヒックをインターネット9に疎通させるか否かを切り替えるものである。
ユーザ端末7は、無線通信機能を備え、回線終端装置3a,3bのいずれかと無線で接続可能である。図1に示すように、ユーザ端末7は、回線終端装置3aに無線で接続したのちに、このユーザ端末7の所有者の移動によってハンドオーバして、回線終端装置3bに接続している。しかし、これに限られず、ユーザ端末7は、有線通信機能を備え、回線終端装置3a,3bのいずれかと有線で接続可能であってもよい。このとき、回線終端装置3aに有線接続されていたユーザ端末7は、その接続を解除され、新たに回線終端装置3bに有線接続される。
The
For example, the
The
図2は、第1の実施形態における回線認証動作を示すシーケンス図である。
シーケンスQ10a〜Q14aの動作は、回線終端装置3aに係る回線認証のシーケンスを示している。シーケンスQ10b〜Q14bの動作は、回線終端装置3bに係る回線認証のシーケンスを示している。
シーケンスQ10aにおいて、回線終端装置3aは、回線認証要求をエッジルータ2のVLAN23aへ送信する。この回線認証要求は、発信者IDを含むDHCP(Dynamic Host Configuration Protocol)リクエストである。
シーケンスQ11aにおいて、エッジルータ2は、この回線認証要求を回線認証サーバ4へ中継する。
シーケンスQ12aにおいて、回線認証サーバ4は、回線認証要求が含んだ発信者IDを自身のデータベース(不図示)と照合し、その要求を認証するか否かを判断する。このシーケンスQ12aにおいて回線認証サーバ4は、この回線認証要求を認証して、アドレスプリフィックスを払い出す。
FIG. 2 is a sequence diagram showing a line authentication operation in the first embodiment.
The operations of the sequences Q10a to Q14a indicate a line authentication sequence related to the
In sequence Q10a, the
In sequence Q11a, the
In sequence Q12a, the
シーケンスQ13aにおいて、回線認証サーバ4は、このアドレスプリフィックスを含むDHCPリプライをエッジルータ2へ送信する。
シーケンスQ14aにおいて、エッジルータ2のVLAN23aは、このアドレスプリフィックスを含むDHCPリプライを回線終端装置3aへ中継する。これにより、回線終端装置3aは、ユーザ端末7が接続されたときに、自身のアドレスプリフィックスを払い出して、このユーザ端末7に係る回線を認証することができるので、以降、エッジルータ2を介して通信させることが可能である。回線終端装置3aは、ユーザ端末7に係る回線を認証すると共に、その認証情報を不図示の記憶部に記憶する。
シーケンスQ10b〜Q14bの動作は、シーケンスQ10a〜Q14aの動作と同様である。この動作により、回線終端装置3bは、自身のアドレスプリフィックスを払い出して回線を認証することができるので、以降、エッジルータ2を介して通信可能である。
In sequence Q13a, the
In sequence Q14a, the
The operations of sequences Q10b to Q14b are the same as the operations of sequences Q10a to Q14a. With this operation, the
図3は、第1の実施形態におけるハンドオーバ動作を示すシーケンス図である。
図3に示すハンドオーバ動作の当初において、ユーザ端末7は、回線終端装置3aの配下であり、その後、シーケンスQ41において回線終端装置3bの配下にハンドオーバする。以下の図では、ユーザ端末7のことを、単に「端末」と記載している場合がある。
シーケンスQ20〜Q30の動作は、通信パケットによってユーザ端末7を認証して、そのトラヒックをインターネット9に疎通させるシーケンスを示している。このユーザ端末7は、回線終端装置3bから、図2で示す回線認証動作で払い出されたアドレスプリフィックスの払い出しを受けている。
シーケンスQ20において、ユーザ端末7は、回線認証動作で払い出されたアドレスプリフィックスと下位ビットであるユーザアドレスとを繋げたIPアドレスを含む認証要求を、回線終端装置3aへ送信する。シーケンスQ20におけるIPアドレスは、IPv6であり、下位ビットであるユーザアドレスは、ユーザ端末7が備える固有のユーザアドレスである。
FIG. 3 is a sequence diagram illustrating a handover operation according to the first embodiment.
At the beginning of the handover operation shown in FIG. 3, the
The operations of the sequences Q20 to Q30 show a sequence for authenticating the
In sequence Q20, the
シーケンスQ21において、回線終端装置3aは、この認証要求を、エッジルータ2へ中継する。
シーケンスQ22において、エッジルータ2は、このVLAN23aと関連づけて、この認証要求が含むユーザアドレスを自身の記憶部21(図1参照)に記憶する。
シーケンスQ23において、エッジルータ2のVLAN23aは、この認証要求を端末認証サーバ5へ中継する。
シーケンスQ24において、端末認証サーバ5は、この認証要求が含んだユーザアドレスを自身のデータベース(不図示)と照合し、このユーザアドレスを含むパケットを疎通許可できるか否かを判断する。このシーケンスQ24において端末認証サーバ5は、このユーザアドレスを含むパケットを疎通許可するように、自身を設定する。
シーケンスQ25において、端末認証サーバ5は、認証OKをエッジルータ2のVLAN23aへ送信する。
シーケンスQ26において、端末認証サーバ5は、疎通許可をゲートウェイ6へ送信する。
In sequence Q21, the
In sequence Q22, the
In sequence Q23, the
In sequence Q24, the
In sequence Q25, the
In sequence Q26, the
シーケンスQ27において、エッジルータ2のVLAN23aは、認証OKを受信したので、以降は、このユーザアドレスを含むパケットを疎通許可するように、自身を設定する。
シーケンスQ28において、エッジルータ2のVLAN23aは、認証情報を生成する。
シーケンスQ29において、エッジルータ2のVLAN23aは、認証OKを回線終端装置3aへ送信する。
シーケンスQ30において、回線終端装置3aは、認証OKをユーザ端末7へ中継する。以降、ユーザ端末7は、自身のトラヒックをインターネット9に疎通させることができる。
In sequence Q27, the
In sequence Q28, the
In sequence Q29, the
In sequence Q30, the
シーケンスQ40〜Q47の動作は、ユーザ端末7をハンドオーバした後に、そのトラヒックをインターネット9に疎通させるシーケンスを示している。
シーケンスQ40において、ユーザ端末7は、回線終端装置3aの配下から外れる。これにより、回線終端装置3aは、このユーザ端末7と通信不能となる。
シーケンスQ41において、ユーザ端末7は、ハンドオーバにより、回線終端装置3bの配下となる。これにより、回線終端装置3bは、ハンドオーバしたユーザ端末7に、自身のアドレスプリフィックスを払い出して、このユーザ端末7に係る回線を認証するので、以降、エッジルータ2を介して通信させることが可能である。回線終端装置3bは、ユーザ端末7に係る回線を認証すると共に、その認証情報を不図示の記憶部に記憶する。
The operations of the sequences Q40 to Q47 show a sequence for communicating the traffic to the
In the sequence Q40, the
In sequence Q41, the
シーケンスQ42において、ユーザ端末7は、インターネット9における任意のノードを送信先とする通信パケットを、回線終端装置3bへ送信する。
シーケンスQ43において、回線終端装置3bは、この通信パケットを、エッジルータ2へ中継する。
シーケンスQ44において、エッジルータ2のVLAN23bは、この通信パケットが含むアドレスプリフィックスとユーザアドレスとを、VLAN23aに確認する。これにより、端末認証システム1のエッジルータ2は、端末認証サーバ5に認証要求を送信することなく、このユーザ端末7を再認証することができる。
シーケンスQ45において、エッジルータ2のVLAN23bは、この通信パケットが含むアドレスプリフィックスおよびユーザアドレスが、回線終端装置3bに払い出したアドレスプリフィックスおよび既にVLAN23aで認証されたユーザーアドレスと同一であるため、ハンドオーバを許容して認証OKと判断する。これにより、エッジルータ2は、端末認証サーバ5で認証することなく、このユーザ端末7を自動で再認証して、そのトラヒックをインターネット9に疎通させることができる。
In sequence Q42, the
In sequence Q43, the
In sequence Q44, the
In sequence Q45, the
シーケンスQ46において、エッジルータ2のVLAN23bは、認証情報を生成する。
シーケンスQ47において、エッジルータ2のVLAN23bは、シーケンスQ43において受信した通信パケットを、ゲートウェイ6へ送信する。この通信パケットは、ゲートウェイ6を介して、インターネット9上の宛先ノードに転送される。ユーザ端末7がハンドオーバにより、認証元のVLAN23aから他のVLAN23bの配下になったときでも、端末認証システム1は、明示的な認証要求無しに、ユーザ端末7のトラヒックをゲートウェイ6を介してインターネット9に疎通させることができる。
シーケンスQ48において、エッジルータ2のVLAN23aは、認証情報を削除する。これにより、エッジルータ2は、この認証情報を格納していた自身の物理リソースを解放することができる。
以降、ユーザ端末7は、自身のトラヒックをインターネット9に疎通させることができる。
In sequence Q46, the
In sequence Q47, the
In sequence Q48, the
Thereafter, the
図4は、第1の実施形態における回線終端装置のタイムアウト動作を示すシーケンス図である。
このタイムアウト動作の実行前は、ユーザ端末7が認証され、トラヒックをインターネット9に疎通させている状態である。この状態において、例えば、ユーザ端末7が検知できなくなった場合に、回線終端装置3aとエッジルータ2とは、このユーザ端末7の認証情報を削除する。
シーケンスQ50において、ユーザ端末7は、電源オフにより、回線終端装置3aの配下から外れる。
FIG. 4 is a sequence diagram showing a time-out operation of the line terminating device in the first embodiment.
Before this time-out operation is executed, the
In sequence Q50, the
シーケンスQ51は、シーケンスQ50から所定のタイムアウト時間が経過したときである。このシーケンスQ51において、回線終端装置3aは、このユーザ端末7の認証情報を削除する。これにより、回線終端装置3aは、不要な認証情報を削除して、自身のメモリを解放することができる。
シーケンスQ52において、回線終端装置3aは、このユーザ端末7の認証情報の削除通知を、エッジルータ2へ送信する。
シーケンスQ53において、エッジルータ2は、このユーザ端末7の認証情報を削除し、図4の処理を終了する。これにより、エッジルータ2は、不要な認証情報を削除して、自身のメモリを解放することができる。
Sequence Q51 is when a predetermined timeout time has elapsed from sequence Q50. In this sequence Q51, the
In sequence Q52, the
In sequence Q53, the
図5は、第1の実施形態の変形例におけるハンドオーバ動作を示すシーケンス図である。
このハンドオーバ動作の実行前は、ユーザ端末7が認証されて自身のトラヒックをインターネット9に疎通させている状態である。
シーケンスQ40,Q41の動作は、図3に示すシーケンスQ40,Q41の動作と同様である。
FIG. 5 is a sequence diagram illustrating a handover operation in a modification of the first embodiment.
Before this handover operation is executed, the
The operations of sequences Q40 and Q41 are the same as the operations of sequences Q40 and Q41 shown in FIG.
シーケンスQ60おいて、ユーザ端末7は、自らの認証を要求する認証要求を、回線終端装置3bへ送信する。
シーケンスQ61において、回線終端装置3bは、この認証要求を、エッジルータ2へ中継する。
シーケンスQ62において、エッジルータ2のVLAN23bは、この認証要求のパケットが含むアドレスプリフィックスとユーザアドレスとを、VLAN23aに確認する。
シーケンスQ63において、エッジルータ2のVLAN23bは、この認証要求パケットが含むアドレスプリフィックスおよびユーザアドレスとが、回線終端装置3bに払い出したアドレスプリフィックスおよび既にVLAN23aで認証されたユーザーアドレスと同一であるため、ハンドオーバを許容して認証OKと判断する。これにより、エッジルータ2のVLAN23bは、この認証要求パケットを端末認証サーバ5へ送信することなく、ユーザ端末7を認証することができる。
In sequence Q60, the
In sequence Q61, the
In sequence Q62, the
In sequence Q63, since the
シーケンスQ64において、エッジルータ2のVLAN23bは、認証情報を生成する。ユーザ端末7は、ハンドオーバにより、認証元のVLAN23aから他のVLAN23bの配下になったとき、明示的な認証要求によっても、ユーザ端末7のトラヒックをインターネット9に疎通させることができる。
シーケンスQ65において、エッジルータ2のVLAN23aは、認証情報を削除する。これにより、この認証情報に係るエッジルータ2の物理リソースを解放することができる。
In sequence Q64, the
In sequence Q65, the
シーケンスQ66において、エッジルータ2のVLAN23bは、認証OKの応答を回線終端装置3bへ送信する。
シーケンスQ67において、回線終端装置3bは、認証OKの応答をユーザ端末7へ中継する。
以降、ユーザ端末7は、自身のトラヒックをインターネット9に疎通させることができる。
In sequence Q66, the
In sequence Q67, the
Thereafter, the
(第2の実施形態)
図6は、第2の実施形態における端末認証システム1Aを示す概略の構成図である。図1に示す第1の実施形態の端末認証システム1と同一の要素には同一の符号を付与している。
図6に示すように、第2の実施形態の端末認証システム1Aは、第1の実施形態の端末認証システム1とは異なり、複数のエッジルータ2c、2dを備え、それらには回線終端装置3c,3dがそれぞれ接続されている。エッジルータ2cは、第1の実施形態と同様に、記憶部21cとパケット識別部22cとを備えている。エッジルータ2dは、第1の実施形態と同様に、記憶部21dとパケット識別部22dとを備えている。
第2の実施形態の端末認証システム1Aは、第1の実施形態とは異なる端末認証サーバ5Aを備えている。それ以外は、第1の実施形態の端末認証システム1と同様に構成されている。
ユーザ端末7は、異なるエッジルータ2dに係る回線終端装置3dにハンドオーバしても、第1の実施形態と同様に、自身のトラヒックをインターネット9に疎通させることができる。
(Second Embodiment)
FIG. 6 is a schematic configuration diagram illustrating a terminal authentication system 1A according to the second embodiment. The same elements as those in the terminal authentication system 1 according to the first embodiment shown in FIG.
As shown in FIG. 6, unlike the terminal authentication system 1 of the first embodiment, the terminal authentication system 1A of the second embodiment includes a plurality of
A terminal authentication system 1A according to the second embodiment includes a
Even if the
図7は、第2の実施形態におけるハンドオーバ動作を示すシーケンス図である。
図7に示すハンドオーバ動作の当初において、ユーザ端末7は、回線終端装置3cの配下であり、その後、シーケンスQ91においてハンドオーバして回線終端装置3dの配下となる。
シーケンスQ70〜Q80の動作は、通信パケットによってユーザ端末7を認証して、そのトラヒックをインターネット9に疎通させるシーケンスを示している。
シーケンスQ70において、ユーザ端末7は、回線認証動作で払い出されたアドレスプリフィックスと下位ビットであるユーザアドレスとを繋げたIPアドレスを含む認証要求を、回線終端装置3cへ送信する。シーケンスQ70におけるIPアドレスは、IPv6であり、下位ビットであるユーザアドレスは、ユーザ端末7が備える固有のユーザアドレスである。
FIG. 7 is a sequence diagram illustrating a handover operation according to the second embodiment.
At the beginning of the handover operation shown in FIG. 7, the
The operations of the sequences Q70 to Q80 show a sequence for authenticating the
In sequence Q70, the
シーケンスQ71において、回線終端装置3cは、この認証要求を、エッジルータ2cへ中継する。
シーケンスQ72において、エッジルータ2cは、この認証要求が含むユーザアドレスを自身の記憶部21c(図6参照)に記憶する。
シーケンスQ73において、エッジルータ2cは、この認証要求を端末認証サーバ5Aへ送信する。
シーケンスQ74において、端末認証サーバ5Aは、この認証要求が含んだユーザアドレスを自身のデータベース(不図示)と照合し、このユーザアドレスを含むパケットを疎通許可できるか否かを判断する。このシーケンスQ74において端末認証サーバ5Aは、このユーザアドレスを含むパケットを疎通許可するように、自身を設定する。
In sequence Q71, the
In sequence Q72, the
In sequence Q73, the
In sequence Q74, the
シーケンスQ75において、端末認証サーバ5Aは、認証OKをエッジルータ2cへ送信する。
シーケンスQ76において、端末認証サーバ5Aは、疎通許可をゲートウェイ6へ送信する。
シーケンスQ77において、エッジルータ2cは、認証OKを受信すると、以降は、このユーザアドレスを含むパケットを疎通許可するように、自身を設定する。
In sequence Q75, the
In sequence Q76, the
In sequence Q77, when receiving the authentication OK, the
シーケンスQ78において、エッジルータ2cは、認証情報を生成する。
シーケンスQ79において、エッジルータ2cは、認証OKを回線終端装置3cへ送信する。
シーケンスQ80において、回線終端装置3cは、認証OKをユーザ端末7へ中継する。以降、ユーザ端末7は、自身のトラヒックをインターネット9に疎通させることができる。
In sequence Q78, the
In sequence Q79, the
In sequence Q80, the
シーケンスQ90〜Q102の動作は、ユーザ端末7をハンドオーバした後に、そのトラヒックをインターネット9に疎通させるシーケンスを示している。
シーケンスQ90,Q91の動作は、図3に示したシーケンスQ40,Q41の動作と同様であり、ユーザ端末7は、ハンドオーバにより、回線終端装置3cの配下から外れて、回線終端装置3dの配下となる。これにより、回線終端装置3bは、ハンドオーバしたユーザ端末7に、自身のアドレスプリフィックスを払い出して、このユーザ端末7に係る回線を認証するので、以降、エッジルータ2を介して通信させることが可能である。回線終端装置3bは、ユーザ端末7に係る回線を認証すると共に、その認証情報を不図示の記憶部に記憶する。
The operations of sequences Q90 to Q102 show a sequence for communicating the traffic to the
The operations of the sequences Q90 and Q91 are the same as the operations of the sequences Q40 and Q41 shown in FIG. 3, and the
シーケンスQ92において、ユーザ端末7は、インターネット9における任意のノードを送信先とする通信パケットを、回線終端装置3dへ送信する。
シーケンスQ93において、回線終端装置3dは、この通信パケットを、エッジルータ2dへ中継する。
シーケンスQ94において、エッジルータ2cは、この通信パケットが含むユーザアドレスを自身の記憶部21c(図6参照)に記憶する。
In sequence Q92, the
In sequence Q93, the
In sequence Q94, the
シーケンスQ95において、エッジルータ2dは、新たな認証要求を、端末認証サーバ5Aへ送信する。エッジルータ2dは、この認証要求が含むアドレスプリフィックスとユーザアドレスの組合せを、シーケンスQ93で受信した通信パケットが含むアドレスプリフィックスとユーザアドレスの組合せと同一に設定する。
シーケンスQ96において、端末認証サーバ5Aは、この認証要求のパケットが含むアドレスプリフィックスおよびユーザアドレスが、既に自身で認証したものであるため、認証OKと判断する。これにより、端末認証サーバ5Aは、この認証要求のパケットが含んだユーザアドレスを自身のデータベース(不図示)と照合することなく、ユーザ端末7を認証することができる。
シーケンスQ97において、端末認証サーバ5Aは、認証OKの応答をエッジルータ2dへ送信する。
In sequence Q95, the
In sequence Q96,
In sequence Q97, the
シーケンスQ98において、エッジルータ2dは、認証OKを受信すると、以降は、このユーザアドレスを疎通許可するように、自身を設定する。
シーケンスQ99において、エッジルータ2dは、このユーザ端末7の認証情報を生成する。
シーケンスQ100において、エッジルータ2dは、シーケンスQ94で受信した通信パケットを、ゲートウェイ6へ送信する。この通信パケットは、ゲートウェイ6を介して、インターネット9上の宛先ノードに転送される。以降、ユーザ端末7は、自身のトラヒックをインターネット9に疎通させることができる。
In sequence Q98, when receiving the authentication OK, the
In sequence Q99, the
In sequence Q100, the
シーケンスQ101において、端末認証サーバ5Aは、このユーザ端末7の認証削除の指示をエッジルータ2cへ送信する。
シーケンスQ102において、エッジルータ2cは、このユーザ端末7の認証情報を削除する。これにより、エッジルータ2cは、このユーザ端末7の認証情報を格納していた自身の物理リソースを解放することができる。
以降、ユーザ端末7は、ハンドオーバにより、認証元のエッジルータ2cから他のエッジルータ2dの配下になったときでも、明示的な認証要求無しに、ユーザ端末7のトラヒックをインターネット9に疎通させることができる。
In sequence Q101, the
In sequence Q102, the
Thereafter, the
図8は、第2の実施形態の変形例におけるハンドオーバ動作を示すシーケンス図である。
このハンドオーバ動作の実行前は、ユーザ端末7が認証されてトラヒックをインターネット9に疎通させている状態である。
シーケンスQ90,Q91の動作は、図7に示すシーケンスQ90,Q91の動作や、図3に示すシーケンスQ40,Q41の動作と同様である。
FIG. 8 is a sequence diagram illustrating a handover operation in a modification of the second embodiment.
Before the handover operation is executed, the
The operations of sequences Q90 and Q91 are the same as the operations of sequences Q90 and Q91 shown in FIG. 7 and the operations of sequences Q40 and Q41 shown in FIG.
シーケンスQ110おいて、ユーザ端末7は、自らの認証を要求する認証要求を、回線終端装置3dへ送信する。
シーケンスQ111において、回線終端装置3dは、この認証要求を、エッジルータ2dへ中継する。
シーケンスQ112において、エッジルータ2dは、この認証要求のパケットが含むユーザアドレスを、自身の記憶部21d(図6参照)に記憶する。
シーケンスQ113において、エッジルータ2dは、この認証要求を端末認証サーバ5Aへ送信する。
In sequence Q110, the
In sequence Q111, the
In sequence Q112, the
In sequence Q113, the
シーケンスQ114において、端末認証サーバ5Aは、この認証要求のパケットが含むアドレスプリフィックスおよびユーザアドレスが、既に自身で認証されたものであるため、認証OKと判断する。これにより、端末認証サーバ5Aは、この認証要求のパケットが含んだユーザアドレスを自身のデータベース(不図示)と照合することなく、ユーザ端末7を認証することができる。
シーケンスQ115において、端末認証サーバ5Aは、認証OKをエッジルータ2dへ送信する。
In sequence Q114,
In sequence Q115,
シーケンスQ116において、エッジルータ2dは、認証OKを受信すると、以降は、このユーザアドレスを含むパケットを疎通許可するように、自身を設定する。
シーケンスQ117において、エッジルータ2dは、認証情報を生成する。
シーケンスQ118において、エッジルータ2dは、認証OKを回線終端装置3dへ送信する。
シーケンスQ119において、回線終端装置3dは、認証OKをユーザ端末7へ中継する。以降、ユーザ端末7は、自身のトラヒックをインターネット9に疎通させることができる。
In sequence Q116, when receiving the authentication OK, the
In sequence Q117, the
In sequence Q118, the
In sequence Q119, the
シーケンスQ120において、端末認証サーバ5Aは、このユーザ端末7の認証削除の指示をエッジルータ2cへ送信する。
シーケンスQ121において、エッジルータ2cは、このユーザ端末7の認証情報を削除する。これにより、この認証情報に係るエッジルータ2cの物理リソースを解放することができる。
ユーザ端末7は、ハンドオーバにより、認証元の回線終端装置3cの配下から他の回線終端装置3dの配下になったとき、明示的な認証要求によっても、ユーザ端末7のトラヒックをインターネット9に疎通させることができる。
In sequence Q120, the
In sequence Q121, the
The
(変形例)
本発明は、上記実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲で、変更実施が可能であり、例えば、次の(a),(b)のようなものがある。
(Modification)
The present invention is not limited to the above-described embodiment, and can be modified without departing from the spirit of the present invention. For example, there are the following (a) and (b).
(a) 第1、第2の実施形態では、各装置がIPv6ネットワークで接続されている。しかし、これに限られず、各装置がIPv4ネットワークで接続されていてもよい。この場合、ユーザ端末7を認証するには、アドレスプリフィックスとMacアドレスとの組合せ情報を用いる。
(A) In the first and second embodiments, each device is connected by an IPv6 network. However, the present invention is not limited to this, and each device may be connected by an IPv4 network. In this case, in order to authenticate the
(b) 第1、第2の実施形態において、ユーザ端末7は、このユーザ端末7のアドレスプリフィックスとユーザアドレスとの組合せによって認証される。しかし、これに限られず、ユーザ端末7は、ユーザアドレスのみで認証されてもよい。
(B) In the first and second embodiments, the
1,1A 端末認証システム
2,2c,2d エッジルータ
21,21c,21d 記憶部
22,22c,22d パケット識別部
23a VLAN (第1のVLAN)
23b VLAN (第2のVLAN)
3a〜3d 回線終端装置
4 回線認証サーバ
5,5A 端末認証サーバ
6 ゲートウェイ
7 ユーザ端末
9 インターネット
1, 1A
23b VLAN (second VLAN)
3a to 3d
Claims (8)
前記回線終端装置に接続されるエッジルータと、
前記エッジルータに接続され、前記回線終端装置と前記エッジルータ間の回線を認証する回線認証サーバと、
前記ユーザ端末を認証する端末認証サーバと、
を備える端末認証システムが実行する端末認証方法であって、
前記端末認証サーバは、前記ユーザ端末に付与されたアドレスプリフィックスと、前記ユーザ端末に固有のユーザアドレスとを組み合わせた識別子により、前記ユーザ端末を認証し、
前記エッジルータは、前記識別子を記憶し、当該識別子が含む固有のユーザアドレスが送信元であるパケットが、認証済みの前記ユーザ端末のパケットであることを識別する、
ことを特徴とする端末認証方法。 A line termination device connectable to the user terminal;
An edge router connected to the line termination device;
A line authentication server connected to the edge router and authenticating a line between the line terminator and the edge router;
A terminal authentication server for authenticating the user terminal;
A terminal authentication method executed by a terminal authentication system comprising:
The terminal authentication server authenticates the user terminal with an identifier that combines an address prefix assigned to the user terminal and a user address unique to the user terminal,
The edge router stores the identifier, and identifies that a packet whose source is a unique user address included in the identifier is a packet of the authenticated user terminal.
A terminal authentication method.
ことを特徴とする請求項1に記載の端末認証方法。 The user address unique to the user terminal is an interface ID (Identification) or Mac (Media Access Control) address of IPv6 (Internet Protocol version 6).
The terminal authentication method according to claim 1.
前記端末認証サーバは、
前記ユーザ端末を認証したならば、前記識別子の固有のユーザアドレスを含むトラヒックを、前記ゲートウェイを介してインターネットに疎通させる、
ことを特徴とする請求項1または請求項2に記載の端末認証方法。 The terminal authentication system further includes a gateway that connects the edge router and the Internet,
The terminal authentication server is
If the user terminal is authenticated, traffic including the unique user address of the identifier is communicated to the Internet through the gateway.
The terminal authentication method according to claim 1 or 2, characterized in that
ことを特徴とする請求項3に記載の端末認証方法。 The line termination device deletes the identifier information when the identifier information retention time is exceeded, and notifies the edge router to that effect.
The terminal authentication method according to claim 3.
ことを特徴とする請求項3に記載の端末認証方法。 If the edge router detects the packet of the user terminal via the second VLAN while holding the identifier information in the first VLAN, the edge router detects the user terminal via the first VLAN. Check for device presence,
The terminal authentication method according to claim 3.
ことを特徴とする請求項5に記載の端末認証方法。 If the edge router detects a packet of the user terminal via the second VLAN in a state where the information of the identifier in the first VLAN is held, the edge router detects the user of the first VLAN. Delete device information,
The terminal authentication method according to claim 5.
前記端末認証サーバは、前記ユーザ端末の認証を再度行い、
前記第1のエッジルータは、前記ユーザ端末の情報を削除する、
ことを特徴とする請求項3に記載の端末認証方法。 If the second edge router detects the packet of the user terminal while the identifier information is held in the first edge router,
The terminal authentication server performs authentication of the user terminal again,
The first edge router deletes the user terminal information;
The terminal authentication method according to claim 3.
前記回線終端装置に接続されるエッジルータと、
前記エッジルータに接続され、前記回線終端装置と前記エッジルータ間の回線を認証する回線認証サーバと、
前記ユーザ端末を認証し、前記ユーザ端末に付与されたアドレスプリフィックスと、前記ユーザ端末に固有のユーザアドレスとを組み合わせた識別子により、前記ユーザ端末を認証する端末認証サーバと、
を備える端末認証システムであって、
前記エッジルータは、
前記識別子を記憶する記憶部と、
当該識別子の固有のユーザアドレスが送信元であるパケットが、認証済みの前記ユーザ端末のパケットであることを識別するパケット識別部と、
を備えることを特徴とする端末認証システム。 A line termination device connectable to the user terminal;
An edge router connected to the line termination device;
A line authentication server connected to the edge router and authenticating a line between the line terminator and the edge router;
A terminal authentication server that authenticates the user terminal and authenticates the user terminal by an identifier that combines an address prefix assigned to the user terminal and a user address unique to the user terminal;
A terminal authentication system comprising:
The edge router is
A storage unit for storing the identifier;
A packet identifying unit for identifying that the packet whose source is the unique user address of the identifier is the packet of the authenticated user terminal;
A terminal authentication system comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013170598A JP2015041801A (en) | 2013-08-20 | 2013-08-20 | Terminal authentication method and terminal authentication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013170598A JP2015041801A (en) | 2013-08-20 | 2013-08-20 | Terminal authentication method and terminal authentication system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2015041801A true JP2015041801A (en) | 2015-03-02 |
Family
ID=52695754
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013170598A Pending JP2015041801A (en) | 2013-08-20 | 2013-08-20 | Terminal authentication method and terminal authentication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2015041801A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11005952B2 (en) | 2016-11-09 | 2021-05-11 | Mitsubishi Electric Corporation | Data distribution system, mobile station, distribution device, data distribution method, and computer readable medium |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002023813A (en) * | 2000-07-06 | 2002-01-25 | Digital Electronics Corp | Host computer and recording medium with its program recorded and control system using the same |
JP2002271377A (en) * | 2001-03-13 | 2002-09-20 | Nec Corp | Mobile terminal managing system in mobile net |
JP2006166315A (en) * | 2004-12-10 | 2006-06-22 | Zero:Kk | User identification system and ip address generation method |
JP2013005027A (en) * | 2011-06-13 | 2013-01-07 | Nippon Telegr & Teleph Corp <Ntt> | Radio communication system and access point |
-
2013
- 2013-08-20 JP JP2013170598A patent/JP2015041801A/en active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002023813A (en) * | 2000-07-06 | 2002-01-25 | Digital Electronics Corp | Host computer and recording medium with its program recorded and control system using the same |
JP2002271377A (en) * | 2001-03-13 | 2002-09-20 | Nec Corp | Mobile terminal managing system in mobile net |
JP2006166315A (en) * | 2004-12-10 | 2006-06-22 | Zero:Kk | User identification system and ip address generation method |
JP2013005027A (en) * | 2011-06-13 | 2013-01-07 | Nippon Telegr & Teleph Corp <Ntt> | Radio communication system and access point |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11005952B2 (en) | 2016-11-09 | 2021-05-11 | Mitsubishi Electric Corporation | Data distribution system, mobile station, distribution device, data distribution method, and computer readable medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11438303B2 (en) | Client device address assignment following authentication | |
JP5121212B2 (en) | Management device, control method of management device, and computer program for causing computer to execute the control method | |
US20150365414A1 (en) | Method and Device for Authenticating Static User Terminal | |
EP2234343A1 (en) | Method, device and system for selecting service network | |
US20100223655A1 (en) | Method, System, and Apparatus for DHCP Authentication | |
CN107026813B (en) | Access authentication method and system of WiFi network and portal server | |
RU2679345C1 (en) | Method and device for automatic network interaction of gateway device | |
WO2015051675A1 (en) | Network access device management method and device | |
US9596209B2 (en) | Causing client device to request a new internet protocol address based on a link local address | |
US8887237B2 (en) | Multimode authentication | |
WO2018113591A1 (en) | Scheduling method, system, controller and computer storage medium | |
US9356908B2 (en) | Method and system for causing a client device to renew a dynamic IP address | |
JP2019533951A (en) | Next-generation system certification | |
US9634917B2 (en) | Method and system for detecting use of wrong internet protocol address | |
ES2399083T3 (en) | Procedure and apparatus for the verification of a dynamic host configuration protocol (DHCP) release message | |
CN109788528B (en) | Access point and method and system for opening internet access service thereof | |
US20160080315A1 (en) | Enhanced dynamic host configuration protocol (dhcp) | |
US10505892B2 (en) | Method for transmitting at least one IP data packet, related system and computer program product | |
JP2010187314A (en) | Network relay apparatus with authentication function, and terminal authentication method employing the same | |
JP2015041801A (en) | Terminal authentication method and terminal authentication system | |
CN104243626B (en) | Information processing apparatus | |
CN107534585A (en) | Communication means and terminal | |
CN105704104A (en) | Authentication method and access equipment | |
WO2020078428A1 (en) | Method and device enabling a user to access the internet, broadband remote access server, and storage medium | |
US10673809B2 (en) | Technique for managing an address in a local area network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150717 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160517 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160518 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160712 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20160920 |