JP4584776B2 - ゲートウェイ装置およびプログラム - Google Patents

ゲートウェイ装置およびプログラム Download PDF

Info

Publication number
JP4584776B2
JP4584776B2 JP2005169824A JP2005169824A JP4584776B2 JP 4584776 B2 JP4584776 B2 JP 4584776B2 JP 2005169824 A JP2005169824 A JP 2005169824A JP 2005169824 A JP2005169824 A JP 2005169824A JP 4584776 B2 JP4584776 B2 JP 4584776B2
Authority
JP
Japan
Prior art keywords
packet
wireless lan
authentication
client terminal
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005169824A
Other languages
English (en)
Other versions
JP2006345302A (ja
Inventor
秀紀 俊長
律人 富水
陽一 田口
衛 石野
玲 玉川
将史 新夕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2005169824A priority Critical patent/JP4584776B2/ja
Publication of JP2006345302A publication Critical patent/JP2006345302A/ja
Application granted granted Critical
Publication of JP4584776B2 publication Critical patent/JP4584776B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、パケット通信技術に関し、特にゲートウェイ装置により無線LANクライアント端末に対してパケット通信の可否を制御するパケット通信制御技術に関する。
近年、パケット通信技術さらには無線通信技術の発展に伴い、無線LANクライアント端末からインターネットに代表されるパケット通信網を介してパケット通信を行う無線LANシステムが構築され、商用サービスが提供されている。このような無線LANシステムを用いた無線通信サービスとしては、例えばホットスポット(登録商標)などの公衆無線LANサービスがある。
この種の無線LANシステムでは、無線LANクライアント端末が、無線区間を介して無線LANアクセスポイント装置に接続され、さらにゲートウェイ装置を介してパケット通信網に接続されて、所望のホスト装置とパケット通信網を行う構成となる。
したがって、パケット通信開始時には、無線LAN通信方式における無線LANクライアント端末に対するレイヤ2(OSI参照モデル)での認証処理と、ゲートウェイ装置における無線LANクライアント端末に対するレイヤ3(OSI参照モデル)での認証処理の2つの認証処理が行われる(例えば、非特許文献1など参照)。
例えば、IEEE(The Institute of Electrical and Electronics Engineers, Inc.:米国電気電子学会)で策定されたIEEE802.1X認証手順を用いた無線LANと、IPパケットの通過許可/不許可を判定するゲートウェイ装置を組み合わせた従来の無線LANシステムでは、次のような認証手順となる。
まず、無線LANクライアント端末が無線LANアクセスポイント装置に対してIEEE802.1X認証手順にしたがった認証要求を送信し、この認証要求を受信した無線LANアクセスポイント装置が認証サーバに対して認証要求を送信する。これに応じて認証サーバから認証成功という認証応答を受信した場合、無線LANアクセスポイント装置は、その無線LANクライアント端末について認証成功とする。
次に、無線LANアクセスポイント装置は、無線LANクライアント端末のIPアドレスを取得し、IPアドレスを用いた通信が可能になった後、その無線LANクライアント端末とパケット通信網上のホスト間のパケット通信をゲートウェイ装置に許可してもらうため、無線LANクライアント端末がウェブブラウザを立ち上げて認証用ウェブサイトにアクセスし、IDおよびパスワードを入力する。
このようにしてIDおよびパスワードの正当性が確認された場合、ゲートウェイ装置は無線LANクライアント端末について認証成功とし、無線LANクライアント端末とホスト間の通信を許可する。
http://www.hotspot.ne.jp,「設定&接続サポート−配布ソフトウェア/マニュアル−IEEE802.1Xクライアント(専用端末ソフト)−詳細」,エヌ・ティ・ティ・コミュニケーションズ株式会社
しかしながら、このような従来技術では、無線LANシステムにおいて、レイヤ2での認証手順とレイヤ3での認証手順とを組み合わせて、無線LANクライアント端末に対するパケット通信可否制御を行うためには、無線LANクライアント端末により2度の認証処理を行う必要があり、円滑かつ効率よく接続制御できないという問題点があった。
すなわち、無線LANクライアント端末は、パケット通信開始時に、無線LANアクセスポイント装置での通信可否を判断するためにIEEE802.1X認証手順にしたがったレイヤ2での認証処理を行うとともに、この認証成功の後、ゲートウェイ装置での通信可否を判断するために無線LANクライアント端末のIDおよびパスワードを用いたレイヤ3での認証処理を行う必要があり、通信開始までに時間を要したり、利用者が操作負担を感じたりするものとなっていた。
本発明はこのような課題を解決するためのものであり、無線LANクライアント端末に対して円滑かつ効率よく通信可否制御を行うことができるゲートウェイ装置およびプログラムを提供することを目的としている。
このような目的を達成するために、本発明にかかるゲートウェイ装置は、無線LANクライアント端末を収容する無線LANアクセスポイント装置、相手先ホスト装置が接続されているパケット通信網、無線LANクライアント端末について認証処理を行う認証サーバ装置、および認証処理の認証成功後に無線LANクライアント端末によるパケット通信網を介したパケット通信で用いる端末IPアドレスのアドレス割当処理を行うIPアドレス割当装置に接続されて、認証処理の結果に応じて無線LANクライアント端末によるパケット通信の可否を制御するゲートウェイ装置であって、無線LANクライアント端末に対するパケット通信制御に用いる各種情報を記憶する記憶部と、無線LANクライアント端末もしくは無線LANアクセスポイント装置と認証サーバ装置およびIPアドレス割当装置との間で認証処理やアドレス割当処理で用いる各種制御用パケットを相互に転送し、認証処理で用いる制御用パケットから無線LANクライアント端末に関する端末識別情報および認証処理の認証結果を取得して記憶部へ格納し、認証処理の認証成功に応じた無線LANアクセスポイント装置でのパケット転送許可後に行われたアドレス割当処理で用いる制御用パケットから、無線LANクライアント端末に割り当てられた端末IPアドレスを取得して記憶部へ格納するパケット処理部と、無線LANクライアント端末と相手先ホスト装置との間のパケット通信でやり取りする通信用パケットを相互に転送する際、記憶部の端末識別情報、認証結果、およびIP端末アドレスから生成したフィルタポリシー情報に基づいて、通信用パケットに含まれている当該無線LANクライアント端末の端末識別情報および端末IPアドレスに応じた転送可否制御を行うフィルタ処理部とを備えている。
この際、パケット処理部に、無線LANアクセスポイント装置からの制御用パケットから当該無線LANクライアント端末に固有の端末識別情報を取得し記憶部へ格納する端末識別情報取得部と、認証サーバ装置からの制御用パケットから無線LANクライアント端末に対する認証結果を取得して記憶部へ格納する認証情報取得部と、IPアドレス割当装置からのアドレス通知用のための制御用パケットから端末IPアドレスを取得して記憶部へ格納するIPアドレス取得部とを設けてもよい。
また、パケット処理部で、無線LANアクセスポイント装置からの制御用パケットから認証処理のための認証情報を取得し認証サーバ装置で用いる認証用パケットに格納して転送し、認証サーバ装置からの認証用パケットから認証結果を取得し制御用パケットに格納して転送するようにしてもよい。
また、フィルタ処理部で、端末識別情報または端末IPアドレスが一致しない場合、当該通信用パケットを破棄するようにしてもよい。
また、記憶部で、無線LANクライアント端末が通信可能な相手先ホスト装置を示す通信相手先情報を記憶し、フィルタ処理部で、通信用パケットに含まれている通信相手先情報と記憶部の通信相手先情報とを比較し、その比較結果に応じて当該通信用パケットの転送可否制御を行うようにしてもよい。
また、本発明にかかるプログラムは、無線LANクライアント端末を収容する無線LANアクセスポイント装置、相手先ホスト装置が接続されているパケット通信網、無線LANクライアント端末について認証処理を行う認証サーバ装置、および認証処理の認証成功後に無線LANクライアント端末によるパケット通信網を介したパケット通信で用いる端末IPアドレスのアドレス割当処理を行うIPアドレス割当装置に接続されて、認証処理の結果に応じて無線LANクライアント端末によるパケット通信の可否を制御するゲートウェイ装置のコンピュータに、無線LANクライアント端末に対するパケット通信制御に用いる各種情報を記憶部で記憶する記憶ステップと、無線LANクライアント端末もしくは無線LANアクセスポイント装置と認証サーバ装置およびIPアドレス割当装置との間で認証処理やアドレス割当処理で用いる各種制御用パケットを相互に転送する制御用パケット転送ステップと、認証処理で用いる制御用パケットから無線LANクライアント端末に関する端末識別情報および認証処理の認証結果を取得して記憶部へ格納し、認証処理の認証成功に応じた無線LANアクセスポイント装置でのパケット転送許可後に行われたアドレス割当処理で用いる制御用パケットから、無線LANクライアント端末に割り当てられた端末IPアドレスを取得して記憶部へ格納するパケット処理ステップと、無線LANクライアント端末と相手先ホスト装置との間のパケット通信でやり取りする通信用パケットを相互に転送するフィルタ処理ステップと、記憶部の端末識別情報、認証結果、およびIP端末アドレスから生成したフィルタポリシー情報に基づいて、通信用パケットに含まれている当該無線LANクライアント端末の端末識別情報および端末IPアドレスに応じた転送可否制御を行う転送可否制御ステップとを実行させる。
本発明によれば、ゲートウェイ装置により、無線LANクライアント端末もしくは無線LANアクセスポイント装置と認証サーバ装置およびIPアドレス割当装置との間で認証処理やアドレス割当処理で用いる各種制御用パケットを相互に転送する際、認証処理で用いる制御用パケットから無線LANクライアント端末に固有の端末識別情報および認証処理の認証結果が取得されるとともに、アドレス通知用パケットから無線LANクライアント端末に割り当てられた端末IPアドレスが取得され、無線LANクライアント端末と相手先ホスト装置との間のパケット通信でやり取りする通信用パケットを相互に転送する際、記憶部の端末識別情報、認証結果、およびIP端末アドレスから生成したフィルタポリシー情報に基づいて、通信用パケットに含まれている当該無線LANクライアント端末の端末識別情報および端末IPアドレスに応じて、当該通信用パケットの転送可否制御が行われる。
これにより、レイヤ2での認証手順とレイヤ3での認証手順とを容易に連携させることができ、無線LANクライアント端末に対して円滑かつ効率よく通信可否制御を行うことができる。
したがって、無線LANアクセスポイント装置での通信可否を判断するためにIEEE802.1X認証手順にしたがったレイヤ2での認証処理と、ゲートウェイ装置での通信可否を判断するために無線LANクライアント端末のIDおよびパスワードを用いたレイヤ3での認証処理とを別個に行う場合と比較して、パケット通信開始までに時間を大幅に短縮できるとともに、利用者の操作負担を軽減できる。
次に、本発明の実施の形態について図面を参照して説明する。
[第1の実施の形態]
まず、図1を参照して、本発明の第1の実施の形態にかかるゲートウェイ装置について説明する。図1は、本発明の第1の実施の形態にかかるゲートウェイ装置が適用される無線LANシステムの構成を示すブロック図である。
この無線LANシステムは、ゲートウェイ装置1、無線LANクライアント端末2、無線LANアクセスポイント装置3、スイッチ4、認証サーバ装置5、IPアドレス割当装置6、ルータ7、相手先ホスト装置8、およびパケット通信網9から構成されている。
無線LANクライアント端末2は、パーソナルコンピュータやPDAなど無線通信機能を有する情報処理端末からなり、相手先ホスト装置8とパケット通信を行うことにより所望の情報通信サービスを利用する機能を有している。
無線LANアクセスポイント装置3は、無線通信機能を有するパケット転送装置からなり、無線区間を介して無線LANクライアント端末2を収容する機能と、無線LANクライアント端末2で送受信するパケットを相互に転送する機能と、IEEE802.1X認証手順にしたがった認証処理を行う機能とを有している。
パケット通信網9は、インターネットなどの公衆パケット通信網や特定の区域で用いられる社内LANなどのようなプライベートなパケット通信網などの各種IP通信網からなり、パケット通信を提供する機能を有している。
相手先ホスト装置8は、パケット通信機能を有するサーバ装置からなり、パケット通信網9を介してパケット通信を行う機能と、このパケット通信により接続された無線LANクライアント端末2などの通信端末に対して各種情報通信サービスを提供する機能とを有している。
認証サーバ装置5は、パケット通信機能を有するサーバ装置からなり、無線LANアクセスポイント装置3と制御用パケットをやり取りすることにより無線LANクライアント端末2に対する認証処理を行う機能を有している。
IPアドレス割当装置6は、パケット通信機能を有するサーバ装置からなり、認証サーバ装置5での認証が得られた無線LANクライアント端末2に対して、パケット通信網9を介したパケット通信に用いるIPアドレスの割当処理を行う機能を有している。
ゲートウェイ装置1は、無線LANアクセスポイント装置3、認証サーバ装置5、IPアドレス割当装置6、およびパケット通信網9と接続されたパケット転送装置であり、認証サーバ装置5での無線LANクライアント端末2に対する認証処理の結果に応じて、パケット通信網9を介した無線LANクライアント端末2と相手先ホスト装置8とのパケット通信の可否を制御する機能を有している。
スイッチ4は、レイヤ2(OSI参照モデル)でのスイッチング処理を行うパケット転送装置であり、無線LANアクセスポイント装置3をゲートウェイ装置1に接続する際、必要に応じて用いられる。
ルータ7は、レイヤ3(OSI参照モデル)でのスイッチング処理を行うパケット転送装置であり、認証サーバ装置5やIPアドレス割当装置6をゲートウェイ装置1に接続する際、必要に応じて用いられる。
本実施の形態では、ゲートウェイ装置1により、無線LANクライアント端末2もしくは無線LANアクセスポイント装置3と認証サーバ装置5およびIPアドレス割当装置6との間で認証処理やアドレス割当処理で用いる各種制御用パケットを相互に転送する際、これら制御用パケットから無線LANクライアント端末2に固有の端末識別情報や認証結果を取得するとともに、アドレス通知用パケットから端末IPアドレスを取得しておき、無線LANクライアント端末と相手先ホスト装置との間のパケット通信でやり取りする通信用パケットを相互に転送する際、各通信パケットの端末識別情報および端末IPアドレスに対応する認証結果に基づいて、当該通信用パケットの転送可否制御を行うようにしたものである。
[ゲートウェイ装置]
次に、図2を参照して、本発明の第1の実施の形態にかかるゲートウェイ装置の構成について詳細に説明する。図2は、本発明の第1の実施の形態にかかるゲートウェイ装置の構成を示すブロック図である。
このゲートウェイ装置1には、パケット受信部11、フィルタ処理部12、パケット処理部13、フィルタ制御部15、ルーティング処理部16、およびパケット送信部17が設けられている。またパケット処理部13は、パケット受信処理部13A、認証情報取得部13B、IP情報取得部13C、およびパケット送信処理部13Dから構成されている。
ゲートウェイ装置1において、上記各機能部は、専用回路部や演算処理部、さらには記憶部により実現される。このうち、演算処理部はCPUおよびその周辺回路を有し、CPU内部や周辺回路のメモリあるいは記憶部からプログラムを読み込んで実行することにより各種機能部を実現する。また、記憶部はハードディスクやメモリなどの記憶装置からなり、専用回路部や演算処理部で用いる各種処理情報やプログラムを記憶する。
パケット受信部11は、専用回路部からなり、無線LANアクセスポイント装置3、認証サーバ装置5、IPアドレス割当装置6、およびパケット通信網9から各種パケットを受信する機能と、受信したパケットをフィルタ処理部12へ引き渡す機能とを有している。
フィルタ処理部12は、専用回路部や演算処理部からなり、パケット受信部11で受信されたパケットに含まれる各種情報を参照する機能と、各種情報に基づき当該パケットをパケット受信処理部13A、認証情報取得部13B、またはIP情報取得部13Cのいずれかへ引き渡す機能(パケット振り分け手段)と、無線LANクライアント端末2と相手先ホスト装置8との間のパケット通信でやり取りする通信用パケットをルーティング処理部16を介して相互に転送する機能と、予め設定されているフィルタポリシー情報に基づいて通信用パケットに含まれている各種情報に応じた当該通信用パケットの転送可否制御を行う機能と、転送不可の場合は当該通信用パケットを廃棄する機能とを有している。
パケット処理部13は、演算処理部からなり、フィルタ処理部12から引き渡された、無線LANクライアント端末2と認証サーバ装置5およびIPアドレス割当装置6との間で認証処理やアドレス割当処理で用いる各種制御用パケットについて、それぞれの内容に応じた処理を行う機能と、無線LANクライアント端末2と認証サーバ装置5およびIPアドレス割当装置6との間で認証処理やアドレス割当処理で用いる各種制御用パケットを相互に転送する機能とを有している。
このうち、パケット処理部13のパケット受信処理部13Aは、無線LANアクセスポイント装置3からの制御用パケットについてIEEE802.1X認証手順に応じた終端処理を行う機能と、無線LANクライアント端末2からの制御用パケットから当該無線LANクライアント端末2に固有の端末識別情報、例えば、MACアドレス(Media Access Control Address)を取得し記憶部へクライアント情報14Aとして格納する機能(端末識別情報取得手段)と、各種制御用パケットの内容をパケット送信処理部13Dへ引き渡す機能とを有している。
また、パケット受信処理部13Aは、無線LANクライアント端末2との間でやり取りする制御用パケットを送受信する機能と、認証サーバ装置5との間でやり取りする認証用パケットを送受信する機能と、これら制御用パケットと認証用パケットとの間で認証処理に用いるIDやパスワードなどの認証情報やこれに対する認証結果を載せ換える機能とを有している。
例えばIEEE802.1X認証手順としてEAP−TTLS(Extensible Authentication Protocol−Tunneled Transport Layer Security)方式を用いる場合、無線LANクライアント端末2との間についてはこのTLSトンネルを介して制御用パケットにより認証情報や認証結果がやり取りされる。また、認証サーバ装置5とは認証用パケットを用いてこれら認証情報や認証結果がやり取りされる。
認証情報取得部13Bは、フィルタ処理部12から引き渡された、認証サーバ装置5からの認証結果通知のための制御用パケットである認証用パケットから無線LANクライアント端末2に対する認証結果を取得して記憶部へクライアント情報14Aとして格納する機能と、この制御用パケットの内容をパケット送信処理部13Dへ引き渡す機能とを有している。
IP情報取得部13Cは、フィルタ処理部12から引き渡された、IPアドレス割当装置6からのアドレス通知のための制御用パケット(DHCPパケット:Dynamic Host Configuration Protocol)から、無線LANクライアント端末2のMACアドレス、新たに割り当てられる端末IPアドレスを取得して記憶部へクライアント情報14Aとして格納する機能と、この制御用パケットの内容をパケット送信部17へ引き渡す機能と、クライアント情報14Aへ格納後にMACアドレスと端末IPアドレスとフィルタ制御部15へ通知する機能とを有している。
パケット送信処理部13Dは、パケット受信処理部13Aおよび認証情報取得部13Bから引き渡された制御用パケットの内容からパケットを組み立てる機能と、組み立てたパケットをパケット送信部17へ引き渡す機能とを有している。
フィルタ制御部15は、IP情報取得部13CからのMACアドレスと端末IPアドレスの通知に応じて、記憶部のクライアント情報14Aから無線LANクライアント端末2の端末識別情報、認証結果、および端末IPアドレスを取得する機能と、無線LANクライアント端末2で送受信する通信パケットに対するフィルタリングのためのフィルタポリシー情報をこれら端末識別情報、認証結果、および端末IPアドレスに基づき生成する機能と、生成したフィルタポリシー情報をフィルタ処理部12へ設定する機能とを有している。
ルーティング処理部16は、専用回路部や演算処理部からなり、フィルタ処理部12から引き渡されたパケットの送信先IPアドレスに応じた転送先を決定する機能と、その転送先の機器に固有のMACアドレスを当該パケットに設定してパケット送信部17へ引き渡す機能とを有している。
パケット送信部17は、専用回路部からなり、IP情報取得部13C、パケット送信処理部13D、およびルーティング処理部16から引き渡された各種パケットを、無線LANアクセスポイント装置3、認証サーバ装置5、IPアドレス割当装置6、およびパケット通信網9へそれぞれ送信する機能を有している。
[パケット振り分け動作]
次に、図3を参照して、本発明の第1の実施の形態にかかるゲートウェイ装置の動作として、フィルタ処理部12におけるパケット振り分け動作について詳細に説明する。図3は、フィルタ処理部でのパケット振り分け処理を示すフローチャートである。
フィルタ処理部12は、パケット受信部11から引き渡されたパケットについて、当該パケットに含まれる各種情報を参照し、その情報に基づき当該パケットをパケット受信処理部13A、認証情報取得部13B、またはIP情報取得部13Cのいずれかへ引き渡すパケット振り分け処理を実行する。振り分け処理で参照する情報としては、パケットのIPアドレス、MACアドレス、プロトコル種別、パケット種別などがある。
まず、フィルタ処理部12は、引き渡されたパケットが無線LANアクセスポイント装置3から送信された認証処理のための制御用パケットである場合(ステップ100:YES)、そのパケットをパケット受信処理部13Aに引き渡し(ステップ101)、一連のパケット振り分け処理を終了する。
また、当該パケットが認証サーバ装置5から送信された認証処理のための制御用パケットである場合(ステップ102:YES)、そのパケットを認証情報取得部13Bに引き渡し(ステップ103)、一連のパケット振り分け処理を終了する。
また、当該パケットがIPアドレス割当装置から送信されたIPアドレス割当パケットである場合(ステップ104:YES)、そのパケットをIP情報取得部13Cに引き渡し(ステップ105)、一連のパケット振り分け処理を終了する。
また、当該パケットの送信元アドレスあるいは送信先アドレスがフィルタ制御部からフィルタをオープンするように指定されたアドレスである場合(ステップ106:YES)、そのパケットをパケット送信部17に引き渡し(ステップ107)、一連のパケット振り分け処理を終了する。
また、当該パケットが上記の4つの条件のいずれにも合致しないパケットの場合(ステップ106:NO)、そのパケットを廃棄し(ステップ108)、一連のパケット振り分け処理を終了する。
[パケット通信制御動作]
次に、図4および図5を参照して、本発明の第1の実施の形態にかかるゲートウェイ装置のパケット通信制御動作について詳細に説明する。図4は、本発明の第1の実施の形態にかかるゲートウェイ装置のパケット通信制御動作を示すシーケンス図である。図5は、本発明の第1の実施の形態にかかるゲートウェイ装置のパケット通信制御動作(続き)を示すシーケンス図である。以下では、IEEE802.1X認証手順としてEAP−TTLS方式を用いる場合を例として説明する。
無線LANアクセスポイント装置3は、無線区間を介して接続された無線LANクライアント端末2との間で、IEEE802.1X認証手順に基づいて、EAP開通通知、EAPoL開始、EAPリクエストなどの制御用パケットをやり取りする。
これに応じて無線LANクライアント端末2から送信されたEAPレスポンスに応じて(ステップ110)、無線LANアクセスポイント装置3は、Radiusアクセスリクエストを制御用パケットによりゲートウェイ装置1へ送信する(ステップ111)。
ゲートウェイ装置1は、無線LANアクセスポイント装置3からのRadiusアクセスリクエストを受信し、フィルタ処理部12によりパケット受信処理部13Aに引き渡す。パケット受信処理部13Aは、Radiusアクセスリクエストの制御用パケットから、当該無線LANクライアント端末2に固有の端末識別情報(MACアドレス)を取得し記憶部へクライアント情報14Aとして格納する(ステップ112)。この際に用いられる制御用パケットのEAPフォーマットを図6に示す。
この後、パケット受信処理部13Aは、TLS手順の開始を通知するRadiusアクセスチャレンジの内容をパケット送信処理部13Dへ引き渡し、パケット送信部17から無線LANアクセスポイント装置3に対して送信する(ステップ113)。
無線LANクライアント端末2は、無線LANアクセスポイント装置3を介してTLS手順の開始をEAPリクエストにより受信する(ステップ114)。これ以降、無線LANクライアント端末2は、無線LANアクセスポイント装置3を介してゲートウェイ装置1との間で各種制御用パケットをやり取りすることにより、無線LANクライアント端末2と無線LANアクセスポイント装置3、さらにはゲートウェイ装置1との間で用いるTLSトンネルのための暗号鍵(マスターセッションキー)生成のためのTLS手順を開始する(ステップ120)。
ゲートウェイ装置1のパケット受信処理部13Aは、TLS手順に基づき無線LANクライアント端末2と制御パケットをやり取りして暗号鍵の生成を行い、無線LANアクセスポイント装置3および無線LANクライアント端末2へ通知して、TLS手順を終了する。
無線LANクライアント端末2は、TLS手順の終了後、無線LANアクセスポイント装置3を介してゲートウェイ装置1との間で各種制御用パケットをやり取りすることにより、認証用のIDおよびパスワードによるクライアント認証手順を開始する(ステップ130)。この際、無線LANアクセスポイント装置3は、ゲートウェイ装置1から通知された暗号鍵を用いて各種制御用パケットを暗号化/復号することによりTLSトンネルを確立して、クライアント認証手順を保護する。
ゲートウェイ装置1のパケット受信処理部13Aは、暗号鍵を用いて各種制御用パケットを暗号化/復号することによりTLSトンネルを確立し、無線LANクライアント端末2との間でクライアント認証手順を開始する。そして、無線LANクライアント端末2から通知されたIDおよびパスワードを認証用パケットに載せ換えてRadiusアクセスリクエストとして認証サーバ装置5へ送信する(ステップ131)。
認証サーバ装置5は、ゲートウェイ装置1からのRadiusアクセスリクエストに応じて、そのIDおよびパスワードに基づき認証処理を行い、予め設定されているクライアント情報に基づき正当なクライアントかどうか判断する。そして認証サーバ装置5は、その認証成功/失敗を示す認証結果をRadiusアクセスアクセプトの認証用パケットによりゲートウェイ装置1へ送信する(ステップ140)。
ゲートウェイ装置1は、認証サーバ装置5からのRadiusアクセスアクセプトの認証用パケットを受信し、フィルタ処理部12により認証情報取得部13Bに引き渡す。認証情報取得部13Bは、この認証用パケットから無線LANクライアント端末2に対する認証結果を取得して記憶部へクライアント情報14Aとして格納する(ステップ141)。そして、この認証用パケットの内容と鍵情報とをパケット送信処理部13Dへ引き渡して制御用パケットに載せ換え、パケット送信部17から無線LANアクセスポイント装置3へ送信する(ステップ142)。
無線LANアクセスポイント装置3は、ゲートウェイ装置1からのRadiusアクセスアクセプトの制御用パケットを受信し、無線LANクライアント端末2に対する認証結果を取得する。ここで、認証結果が認証成功を示す場合、無線LANアクセスポイント装置3は、無線LANクライアント端末2で送受信される通信用パケットについてパケット転送を許可し(ステップ143)、その旨をEAPアクセスの制御用パケットで無線LANクライアント端末2へ通知する(ステップ144)。これにより、TLSトンネルを用いた一連のクライアント認証手順が終了する。
その後、無線LANアクセスポイント装置3は、無線LANクライアント端末2でのパケット通信に用いる暗号鍵のための情報を含むEAPoL−KEY通知を制御パケットにより無線LANクライアント端末2へ送信する(ステップ145)。
これにより、無線LANクライアント端末2と無線LANアクセスポイント装置3の間で用いる暗号鍵(WEPキー)を両者で共有することになる。
この後、無線LANクライアント端末2は、無線LANアクセスポイント装置3を介してゲートウェイ装置1との間で、所望の相手先ホスト装置8とのパケット通信に用いる自端末のIPアドレスを取得するため、ディスカバー、オファー、リクエスト、Ackなどの制御用パケットをやり取りすることによりDHCP手順を開始する(ステップ150)。
ゲートウェイ装置1は、無線LANクライアント端末2からのDHCP手順に応じた制御用パケットを受信し、フィルタ処理部12によりルーティング処理部16を介してパケット送信部17からIPアドレス割当装置6へ転送する。また、IPアドレス割当装置6からのDHCP手順に応じた制御用パケットを受信し、フィルタ処理部12によりルーティング処理部16を介してパケット送信部17から無線LANクライアント端末2へ転送する。
このようにしてゲートウェイ装置1はDHCP手順を実行し、IPアドレス割当装置6からのIPアドレス割当パケット(Ack)を受信した場合、フィルタ処理部12によりIP情報取得部13Cへ引き渡す。IP情報取得部13Cは、この制御用パケットから無線LANクライアント端末2のMACアドレスと新たに割り当てられる端末IPアドレスとを取得するとともに(ステップ151)、その認証結果を取得し(ステップ152)、記憶部へクライアント情報14Aとして格納する。またこの制御用パケットの内容をパケット送信部17へ引き渡し、無線LANクライアント端末2へ転送する。
フィルタ制御部15は、IP情報取得部13CからのMACアドレスと端末IPアドレスの通知に応じて、記憶部のクライアント情報14Aから無線LANクライアント端末2の端末識別情報、認証結果、および端末IPアドレスを取得する。そして、無線LANクライアント端末2で送受信する通信パケットに対するフィルタリングのためのフィルタポリシー情報をこれら端末識別情報、認証結果、および端末IPアドレスに基づき生成し、生成したフィルタポリシー情報をフィルタ処理部12へ設定する(ステップ153)。
図7は、クライアント情報の構成例である。ここでは、端末識別情報として無線LANクライアント端末2のMACアドレスが用いられ、この端末識別情報、無線LANクライアント端末2に割り当てられたIPアドレス、および認証結果が組として関連付けられている。
このクライアント情報14Aのうち、エントリ200については、IPアドレスの割り当てまで完了しており、図5のステップ154におけるパケット通信開始の状態を示している。またエントリ201は、認証成功しているもののIPアドレスは未割当のままであり、図5のステップ150においてDHCP手順を実行している状態を示している。またエントリ202は、認証結果が未認証のままであり、図4のステップ130におけるクライアント認証手順での認証結果が得られていない、あるいは認証失敗の状態を示している。
これにより、フィルタ処理部12は、設定されたフィルタポリシー情報に基づいて通信用パケットに含まれている各種情報に応じた当該通信用パケットの転送可否制御を行う。この場合、フィルタ処理部12は、パケット受信部11から引き渡された、無線LANクライアント端末2と相手先ホスト装置8との間のパケット通信でやり取りする通信用パケットについて、当該通信用パケットに含まれている端末識別情報および端末IPアドレスとフィルタポリシー情報の端末識別情報および端末IPアドレスとを比較し、その比較結果に応じて当該通信用パケットの転送可否制御を行う。
したがって、通信用パケットとフィルタポリシー情報の端末識別情報および端末IPアドレスがすべて一致した場合、フィルタ処理部12からルーティング処理部16からパケット送信部17を介して転送される。これにより、ゲートウェイ装置1おいて、無線LANクライアント端末2からの通信用パケットが相手先ホスト装置8へ転送されるとともに、相手先ホスト装置8からの通信用パケットが無線LANクライアント端末2へ転送され、両者間でパケット通信が開始される(ステップ154)。
このように、本実施の形態では、ゲートウェイ装置1により、無線LANクライアント端末2もしくは無線LANアクセスポイント装置と認証サーバ装置5およびIPアドレス割当装置6との間で認証処理やアドレス割当処理で用いる各種制御用パケットを相互に転送し、この際、これら制御用パケットから無線LANクライアント端末2に固有の端末識別情報や認証結果を取得するとともに、アドレス通知用パケットから端末IPアドレスを取得しておき、無線LANクライアント端末と相手先ホスト装置との間のパケット通信でやり取りする通信用パケットを相互に転送するとともに、その端末識別情報および端末IPアドレスに応じて通信用パケットの転送可否制御を行う。
これにより、レイヤ2での認証手順とレイヤ3での認証手順とを容易に連携させることができ、無線LANクライアント端末に対して円滑かつ効率よく通信可否制御を行うことができる。
したがって、無線LANアクセスポイント装置での通信可否を判断するためにIEEE802.1X認証手順にしたがったレイヤ2での認証処理と、ゲートウェイ装置での通信可否を判断するために無線LANクライアント端末のIDおよびパスワードを用いたレイヤ3での認証処理とを別個に行う場合と比較して、パケット通信開始までに時間を大幅に短縮できるとともに、利用者の操作負担を軽減できる。
また、パケット処理部13により、無線LANクライアント端末2からの制御用パケットから認証処理のための認証情報を取得し認証サーバ装置5で用いる認証用パケットに格納して転送し、認証サーバ装置5からの認証用パケットから認証結果を取得し制御用パケットに格納して転送するようにしたので、ゲートウェイ装置1により無線LANクライアント端末2から認証サーバ装置5に対する認証処理を容易に中継することができる。
また、フィルタ処理部12では、通信用パケットの転送可否制御において、端末識別情報および端末IPアドレスのいずれかが一致しない場合、当該通信用パケットを破棄するようにしたので、許可されていないパケット通信を確実に拒否することができる。
[第2の実施の形態]
次に、図8を参照して、本発明の第2の実施の形態にかかるゲートウェイ装置について説明する。図8は、第2の実施の形態にかかるゲートウェイ装置の構成を示すブロック図であり、図2と同じまたは同等部分には同一符号を付してある。
前述の図2と比較して、通信相手先情報14Bが追加されている。この通信相手先情報14Bは、無線LANクライアント端末2がゲートウェイ装置1を介してパケット通信可能な相手先を情報を示す情報であり、記憶部に予め格納されている。なお、このほかの構成については、第1の実施の形態と同様であり、ここでの詳細な説明は省略する。
本実施の形態は、フィルタ制御部15で、この通信相手先情報14Bを参照してフィルタポリシー情報を生成し、フィルタ処理部12へ設定するようにしたものである。
図9は、アドレス情報を用いた通信相手先情報の構成例である。ここでは、グループごとに、無線LANクライアント端末2が接続可能な相手先ホスト装置8を示す通信相手先情報として、相手先ホスト装置8のIPアドレスさらにはそのポート番号からなるアドレス情報が1つ以上設定されている。
図10は、ポート番号を用いた通信相手先情報の構成例である。ここでは、グループごとに、無線LANクライアント端末2が接続可能な相手先ホスト装置8を示す通信相手先情報として、相手先ホスト装置8のポート番号の範囲からなるアドレス情報が1つ以上設定されている。
なお、通信相手先情報14Bについては、これらアドレス情報やポート番号に限定されるものではなく、他の情報を用いてもよい。また、通信相手先情報14Bは1種類だけ用いてもよく、例えばアドレス番号とポート番号など複数の組み合わせてもよい。
また、通信相手先情報14Bをグループで管理する場合、クライアント情報14Aにおいて、図11に示すように、無線LANクライアント端末2ごとに適用する通信相手先情報14Bのグループ番号を設定しておけばよい。
フィルタ制御部15は、図5のステップ153においてフィルタポリシー情報を生成する際、当該無線LANクライアント端末2のクライアント情報14Aからグループ番号を取得して、そのグループに対応する通信相手先情報14を参照し、フィルタポリシー情報を生成する。
したがって、フィルタ処理部12では、通信相手先情報が含まれるフィルタポリシー情報に基づき、無線LANクライアント端末2と相手先ホスト装置8との間のパケット通信でやり取りする通信用パケットについての転送可否制御が行われることになり、より詳細な転送可否制御を行うことができる。
本発明の第1の実施の形態にかかるゲートウェイ装置が適用される無線LANシステムの構成を示すブロック図である。 本発明の第1の実施の形態にかかるゲートウェイ装置の構成を示すブロック図である。 フィルタ処理部でのパケット振り分け処理を示すフローチャートである。 本発明の第1の実施の形態にかかるゲートウェイ装置のパケット通信制御動作を示すシーケンス図である。 本発明の第1の実施の形態にかかるゲートウェイ装置のパケット通信制御動作(続き)を示すシーケンス図である。 制御用パケットのEAPフォーマットを示す説明図である。 クライアント情報の構成例である。 第2の実施の形態にかかるゲートウェイ装置の構成を示すブロック図である。 アドレス情報を用いた通信相手先情報の構成例である。 ポート番号を用いた通信相手先情報の構成例である。 クライアント情報の他の構成例である。
符号の説明
1…ゲートウェイ装置、11…パケット受信部、12…フィルタ処理部、13…パケット処理部、13A…パケット受信処理部、13B…認証情報取得部、13C…IP情報取得部、13D…パケット送信処理部、14A…クライアント情報、14B…通信相手先情報、15…フィルタ制御部、16…ルーティング処理部、17…パケット送信部、2…無線LANクライアント端末、3…無線LANアクセスポイント装置、4…スイッチ、5…認証サーバ装置、6…IPアドレス割当装置、7…ルータ、8…相手先ホスト装置、9…パケット通信網。

Claims (6)

  1. 無線LANクライアント端末を収容する無線LANアクセスポイント装置、相手先ホスト装置が接続されているパケット通信網、前記無線LANクライアント端末について認証処理を行う認証サーバ装置、および前記認証処理の認証成功後に前記無線LANクライアント端末による前記パケット通信網を介したパケット通信で用いる端末IPアドレスのアドレス割当処理を行うIPアドレス割当装置に接続されて、前記認証処理の結果に応じて前記無線LANクライアント端末によるパケット通信の可否を制御するゲートウェイ装置であって、
    前記無線LANクライアント端末に対するパケット通信制御に用いる各種情報を記憶する記憶部と、
    前記無線LANクライアント端末もしくは前記無線LANアクセスポイント装置と前記認証サーバ装置および前記IPアドレス割当装置との間で前記認証処理や前記アドレス割当処理で用いる各種制御用パケットを相互に転送し、前記認証処理で用いる前記制御用パケットから前記無線LANクライアント端末に関する端末識別情報および前記認証処理の認証結果を取得して前記記憶部へ格納し、前記認証処理の認証成功に応じた前記無線LANアクセスポイント装置でのパケット転送許可後に行われた前記アドレス割当処理で用いる前記制御用パケットから、前記無線LANクライアント端末に割り当てられた前記端末IPアドレスを取得して前記記憶部へ格納するパケット処理部と、
    前記無線LANクライアント端末と前記相手先ホスト装置との間のパケット通信でやり取りする通信用パケットを相互に転送する際、前記記憶部の前記端末識別情報、前記認証結果、および前記IP端末アドレスから生成したフィルタポリシー情報に基づいて、前記通信用パケットに含まれている当該無線LANクライアント端末の端末識別情報および端末IPアドレスに応じた転送可否制御を行うフィルタ処理部と
    を備えることを特徴とするゲートウェイ装置。
  2. 請求項1に記載のゲートウェイ装置において、
    前記パケット処理部は、前記無線LANアクセスポイント装置からの制御用パケットから当該無線LANクライアント端末に固有の端末識別情報を取得し前記記憶部へ格納する端末識別情報取得部と、前記認証サーバ装置からの制御用パケットから前記無線LANクライアント端末に対する認証結果を取得して前記記憶部へ格納する認証情報取得部と、前記IPアドレス割当装置からのアドレス通知用のための制御用パケットから前記端末IPアドレスを取得して前記記憶部へ格納するIPアドレス取得部とを有する
    ことを特徴とするゲートウェイ装置。
  3. 請求項1に記載のゲートウェイ装置において、
    前記パケット処理部は、前記無線LANアクセスポイント装置からの制御用パケットから前記認証処理のための認証情報を取得し前記認証サーバ装置で用いる認証用パケットに格納して転送し、前記認証サーバ装置からの認証用パケットから認証結果を取得し制御用パケットに格納して転送する
    ことを特徴とするゲートウェイ装置。
  4. 請求項1に記載のゲートウェイ装置において、
    前記フィルタ処理部は、前記端末識別情報または端末IPアドレスが一致しない場合、当該通信用パケットを破棄することを特徴とするゲートウェイ装置。
  5. 請求項1に記載のゲートウェイ装置において、
    前記記憶部は、前記無線LANクライアント端末が通信可能な相手先ホスト装置を示す通信相手先情報を記憶し、
    前記フィルタ処理部は、前記通信用パケットに含まれている通信相手先情報と前記記憶部の通信相手先情報とを比較し、その比較結果に応じて当該通信用パケットの転送可否制御を行う
    ことを特徴とするゲートウェイ装置。
  6. 無線LANクライアント端末を収容する無線LANアクセスポイント装置、相手先ホスト装置が接続されているパケット通信網、前記無線LANクライアント端末について認証処理を行う認証サーバ装置、および前記認証処理の認証成功後に前記無線LANクライアント端末による前記パケット通信網を介したパケット通信で用いる端末IPアドレスのアドレス割当処理を行うIPアドレス割当装置に接続されて、前記認証処理の結果に応じて前記無線LANクライアント端末によるパケット通信の可否を制御するゲートウェイ装置のコンピュータに、
    前記無線LANクライアント端末に対するパケット通信制御に用いる各種情報を記憶部で記憶する記憶ステップと、
    前記無線LANクライアント端末もしくは前記無線LANアクセスポイント装置と前記認証サーバ装置および前記IPアドレス割当装置との間で前記認証処理や前記アドレス割当処理で用いる各種制御用パケットを相互に転送する制御用パケット転送ステップと、
    前記認証処理で用いる前記制御用パケットから前記無線LANクライアント端末に関する端末識別情報および前記認証処理の認証結果を取得して前記記憶部へ格納し、前記認証処理の認証成功に応じた前記無線LANアクセスポイント装置でのパケット転送許可後に行われた前記アドレス割当処理で用いる前記制御用パケットから、前記無線LANクライアント端末に割り当てられた前記端末IPアドレスを取得して前記記憶部へ格納するパケット処理ステップと、
    前記無線LANクライアント端末と前記相手先ホスト装置との間のパケット通信でやり取りする通信用パケットを相互に転送するフィルタ処理ステップと、
    前記記憶部の前記端末識別情報、前記認証結果、および前記IP端末アドレスから生成したフィルタポリシー情報に基づいて、前記通信用パケットに含まれている当該無線LANクライアント端末の端末識別情報および端末IPアドレスに応じた転送可否制御を行う転送可否制御ステップと
    を実行させるプログラム。
JP2005169824A 2005-06-09 2005-06-09 ゲートウェイ装置およびプログラム Active JP4584776B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005169824A JP4584776B2 (ja) 2005-06-09 2005-06-09 ゲートウェイ装置およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005169824A JP4584776B2 (ja) 2005-06-09 2005-06-09 ゲートウェイ装置およびプログラム

Publications (2)

Publication Number Publication Date
JP2006345302A JP2006345302A (ja) 2006-12-21
JP4584776B2 true JP4584776B2 (ja) 2010-11-24

Family

ID=37641909

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005169824A Active JP4584776B2 (ja) 2005-06-09 2005-06-09 ゲートウェイ装置およびプログラム

Country Status (1)

Country Link
JP (1) JP4584776B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5153480B2 (ja) * 2008-06-27 2013-02-27 三菱電機株式会社 ゲートウェイ装置およびパケットフィルタリング方法
JP6106558B2 (ja) * 2013-08-30 2017-04-05 アラクサラネットワークス株式会社 通信システム及び認証スイッチ
CN110650076B (zh) 2018-06-26 2021-12-24 华为技术有限公司 Vxlan的实现方法,网络设备和通信系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003324457A (ja) * 2002-05-01 2003-11-14 Nippon Telegr & Teleph Corp <Ntt> アクセス制御装置、方法、プログラムおよび記録媒体
JP2005051436A (ja) * 2003-07-31 2005-02-24 Canon Inc ネットワーク機器

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003324457A (ja) * 2002-05-01 2003-11-14 Nippon Telegr & Teleph Corp <Ntt> アクセス制御装置、方法、プログラムおよび記録媒体
JP2005051436A (ja) * 2003-07-31 2005-02-24 Canon Inc ネットワーク機器

Also Published As

Publication number Publication date
JP2006345302A (ja) 2006-12-21

Similar Documents

Publication Publication Date Title
US7673146B2 (en) Methods and systems of remote authentication for computer networks
JP4713338B2 (ja) セルラ通信システムにおいて再認証を可能にする方法および装置
AU2003243680B2 (en) Key generation in a communication system
JP4701172B2 (ja) リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法
US8335490B2 (en) Roaming Wi-Fi access in fixed network architectures
US8555344B1 (en) Methods and systems for fallback modes of operation within wireless computer networks
US7788705B2 (en) Fine grained access control for wireless networks
US8509440B2 (en) PANA for roaming Wi-Fi access in fixed network architectures
US20100122338A1 (en) Network system, dhcp server device, and dhcp client device
US20090063851A1 (en) Establishing communications
KR101002799B1 (ko) 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치
EP1755271B1 (en) A method for realizing the synchronous authentication among the different authentication control devices
US20070269048A1 (en) Key generation in a communication system
WO2014117525A1 (zh) 静态用户终端认证处理方法及装置
JP2011141877A (ja) 通信システムにおける認証
JP2006524017A (ja) 公的認証サーバで無線lanアクセスを制御するidマッピング機構
JP2006086907A (ja) 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム
KR100707805B1 (ko) 사용자 및 인증자별로 제어할 수 있는 인증 시스템
US20040010713A1 (en) EAP telecommunication protocol extension
WO2007022731A1 (fr) Procede, systeme et equipement de negociation de cle de cryptage dans une trame de verification universelle amelioree
WO2009082950A1 (fr) Procédé, dispositif et système de distribution de clés
JP3792648B2 (ja) 無線lanの高速認証方式及び高速認証方法
JP4584776B2 (ja) ゲートウェイ装置およびプログラム
KR100527632B1 (ko) Ad-hoc 네트워크의 게이트웨이에서 사용자 인증시스템 및 그 방법
KR100527631B1 (ko) Ad-hoc 네트워크의 단말기에서 사용자 인증 시스템및 그 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100125

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100413

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100611

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100831

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100902

R150 Certificate of patent or registration of utility model

Ref document number: 4584776

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130910

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140910

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250