JP5112884B2 - ポートベースのピアアクセス制御方法 - Google Patents
ポートベースのピアアクセス制御方法 Download PDFInfo
- Publication number
- JP5112884B2 JP5112884B2 JP2007555443A JP2007555443A JP5112884B2 JP 5112884 B2 JP5112884 B2 JP 5112884B2 JP 2007555443 A JP2007555443 A JP 2007555443A JP 2007555443 A JP2007555443 A JP 2007555443A JP 5112884 B2 JP5112884 B2 JP 5112884B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- control
- port
- entity
- subsystem
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 61
- 230000008569 process Effects 0.000 claims description 26
- 230000008859 change Effects 0.000 claims description 3
- 230000007704 transition Effects 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 claims 1
- 230000008901 benefit Effects 0.000 description 4
- 239000006163 transport media Substances 0.000 description 4
- 230000003213 activating effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
発明の分野
この発明は、ネットワーク技術に関し、特に、ポートベースのピアアクセス制御方法に関する。
この発明は、ネットワーク技術に関し、特に、ポートベースのピアアクセス制御方法に関する。
背景
ネットワークアクセス制御は一般に、3つのシステム、すなわち、ユーザと、アクセスポイントと、当該ユーザおよび当該アクセスポイントの両方を集約的に制御するバックグラウンドサーバとを含む。IEEE802.1xは、ポートベースのネットワークアクセス制御プロトコルと呼ばれる。先行のケーブルネットワークでは、従来のウェブブラウザアクセス制御方法およびイーサネット(登録商標)(Ethernet(登録商標))を通じたポイント・ツー・ポイントプロトコルに加え、出現するアクセス方法は、IEEE802.1x技術に基づく。IEEE802.1x技術は、制御およびサービスの分離、高い柔軟性、ならびに強力な適応性等の利点を有し、さまざまなネットワークで広く使用されている。IEEE802.1x技術は、無線LAN(IEEE802.11)、無線MAN(IEEE802.16e)等のさまざまな無線ネットワークにより採用されている。
ネットワークアクセス制御は一般に、3つのシステム、すなわち、ユーザと、アクセスポイントと、当該ユーザおよび当該アクセスポイントの両方を集約的に制御するバックグラウンドサーバとを含む。IEEE802.1xは、ポートベースのネットワークアクセス制御プロトコルと呼ばれる。先行のケーブルネットワークでは、従来のウェブブラウザアクセス制御方法およびイーサネット(登録商標)(Ethernet(登録商標))を通じたポイント・ツー・ポイントプロトコルに加え、出現するアクセス方法は、IEEE802.1x技術に基づく。IEEE802.1x技術は、制御およびサービスの分離、高い柔軟性、ならびに強力な適応性等の利点を有し、さまざまなネットワークで広く使用されている。IEEE802.1x技術は、無線LAN(IEEE802.11)、無線MAN(IEEE802.16e)等のさまざまな無線ネットワークにより採用されている。
認証は、ネットワークアクセス制御の鍵であり、その目的は信頼を確立することである。信頼は、ユーザとアクセスポイントとの間でネットワークサービスを提供する基盤である。ケーブルネットワークアクセスが使用されているか、または無線ネットワークアクセスが使用されているかに関係なく、ネットワークとユーザとの間の相互認証を可能にするために、セキュリティメカニズムが必要とされる。
IEEE802.1xは、リンク層で認証を実現する方法であり、ポートベースの技術である。システムポートは、システムが他のシステムのサービスにアクセスすること、および、他のシステムにサービスを提供することを可能にする方法を提供する。
IEEE802.1xは、以下の3種類のエンティティを規定する。
オーセンチケータ − システムのポート制御エンティティは、システムによって提供されるサービスがアクセスを受けることを許可される前に、サプリカントを認証し、サプリカントに権限を付与する。このシステムは、オーセンチケータシステムと呼ばれ、そのポート制御エンティティは、オーセンチケータと呼ばれる。
オーセンチケータ − システムのポート制御エンティティは、システムによって提供されるサービスがアクセスを受けることを許可される前に、サプリカントを認証し、サプリカントに権限を付与する。このシステムは、オーセンチケータシステムと呼ばれ、そのポート制御エンティティは、オーセンチケータと呼ばれる。
サプリカント − オーセンチケータシステムによって提供されたサービスへのアクセスを要求するシステムは、サプリカントシステムと呼ばれ、そのポート制御エンティティは、サプリカントと呼ばれる。
認証サーバ − 認証サーバは、サプリカントの資格を識別するためにオーセンチケータを表し、また、オーセンチケータにより提供されたサービスにアクセスする権限がサプリカントシステムに付与され得るか否かを判断するエンティティである。
オーセンチケータシステムは、トランスポート媒体に対して2つのアクセスポイントを有する。一方のアクセスポイントは、制御ポートと呼ばれ、2つの状態、すなわち、認証済みおよび非認証を有し、当該アクセスポイントが認証済みの状態にあるときにのみパケットを通行させる。他方のアクセスポイントは、非制御ポートと呼ばれ、その状態に関係なくパケットを通行させる。
IEEE802.1xの機能エンティティ間の関係を図1に示す。
IEEE802.1xは、認証に1つのフレームワークのみを提供する。このフレームワークは、拡張可能な認証プロトコルと組合せて使用され、実際に認証および鍵交渉を提供する。IEEE802.1xは非対称構造を有しており、その機能性は、サプリカントとオーセンチケータとにおいて大きく異なる。サプリカントにはポート制御機能が存在せず、オーセンチケータには認証機能が存在しない。したがって、認証は、サプリカントと認証サーバとの間で実行される。認証サーバおよびオーセンチケータは1つのシステム内で実現され得るが、IEEE802.1xの利点、すなわち、オーセンチケータによる集約的制御は多いに縮小される。現在、認証サーバとオーセンチケータとが別のシステムで実現されることが一般的である。認証サーバは、認証中に、認証結果をオーセンチケータに直接渡す。鍵交渉がさらに必要とされる場合、鍵交渉は認証サーバとサプリカントとの間で実行されるはずであり、その後、交渉済みの鍵が認証サーバによってサプリカントに送信され、サプリカントおよびオーセンチケータは、動的に共有される鍵に基づき、認証および鍵交渉を実行する。したがって、IEEE802.1xの欠点は以下のとおりである。
IEEE802.1xは、認証に1つのフレームワークのみを提供する。このフレームワークは、拡張可能な認証プロトコルと組合せて使用され、実際に認証および鍵交渉を提供する。IEEE802.1xは非対称構造を有しており、その機能性は、サプリカントとオーセンチケータとにおいて大きく異なる。サプリカントにはポート制御機能が存在せず、オーセンチケータには認証機能が存在しない。したがって、認証は、サプリカントと認証サーバとの間で実行される。認証サーバおよびオーセンチケータは1つのシステム内で実現され得るが、IEEE802.1xの利点、すなわち、オーセンチケータによる集約的制御は多いに縮小される。現在、認証サーバとオーセンチケータとが別のシステムで実現されることが一般的である。認証サーバは、認証中に、認証結果をオーセンチケータに直接渡す。鍵交渉がさらに必要とされる場合、鍵交渉は認証サーバとサプリカントとの間で実行されるはずであり、その後、交渉済みの鍵が認証サーバによってサプリカントに送信され、サプリカントおよびオーセンチケータは、動的に共有される鍵に基づき、認証および鍵交渉を実行する。したがって、IEEE802.1xの欠点は以下のとおりである。
1.IEEE802.1xの構造が非対称であり、機能性がサプリカントとオーセンチケータとにおいて大きく異なる。サプリカントはポート制御機能を有さず、オーセンチケータは認証機能を有さない。この認証機能は、サプリカントと認証サーバとの間で実行される。認証サーバおよびオーセンチケータは1つのシステム内で実現され得るが、IEEE802.1xの利点、すなわち、オーセンチケータによる集約的制御が多いに縮小される。
2.低い拡張性。各オーセンチケータと認証サーバとの間に、予め規定されたセキュリティチャネルが存在する。セキュリティチャネルの数が増えるのに伴い、認証サーバの、必要とされるシステムリソースが増大し、管理がより複雑となる。そのため、多数のセキュリティチャネルを構成することは適切でなく、ネットワークのスケーラビリティが制限されてしまう。
3.複雑な鍵交渉プロセス。鍵は、サプリカントとオーセンチケータとの間でのデータ保護のために使用されるが、サプリカントとオーセンチケータとの間で交渉が実行され得る前にまず、サプリカントと認証サーバとの間で交渉が実行されなければならない。
4.新規の攻撃ポイントが導入され、それによりセキュリティが低下する。サプリカントおよび認証サーバにより交渉された1次鍵は、認証サーバによりオーセンチケータに渡される。ネットワークを通じて鍵を渡すことにより、新規のセキュリティ攻撃ポイントが導入される。
5.オーセンチケータが独自のアイデンティティを有さない。サプリカントにとって、同一の認証サーバにより管理されるオーセンチケータのアイデンティティは、区別不可能である。オーセンチケータの識別が必要な場合、アプリケーション環境に付加的な機能エンティティを増設しなければならず、このことは一層の複雑さを招く。
この発明の内容
この発明の目的は、先行技術に存在する欠点を克服すること、および、背景技術の非対称構造を変更することによってピアアクセス制御方法を提供することである。この発明の方法は、集約的な管理の要件を満たすだけでなく、複雑なプロセス、低いセキュリティ、低いスケーラビリティを含む、先行のネットワークアクセス制御方法の技術的問題を解消することができ、それにより、安全なネットワークアクセスを根本的に保証する。
この発明の目的は、先行技術に存在する欠点を克服すること、および、背景技術の非対称構造を変更することによってピアアクセス制御方法を提供することである。この発明の方法は、集約的な管理の要件を満たすだけでなく、複雑なプロセス、低いセキュリティ、低いスケーラビリティを含む、先行のネットワークアクセス制御方法の技術的問題を解消することができ、それにより、安全なネットワークアクセスを根本的に保証する。
この発明の技術的解決策は、ポートベースのピアアクセス制御方法であり、
1) 認証制御エンティティをイネーブルにするステップを含み、すなわち、ユーザおよびアクセスポイントはいずれも、当該ユーザおよび当該アクセスポイントが通信し得る間にまず、認証制御エンティティをイネーブルにし、当該認証制御エンティティは、認証用に一意のアイデンティティを有し、認証サブシステムと、当該認証サブシステムおよびトランスポート媒体を接続する2つのアクセスポイントとを含み、当該2つのアクセスポイントは、制御ポートおよび非制御ポートを含み、当該認証サブシステムは、認証およびポート制御機能の実現を含み、当該認証サブシステムは、非制御ポートに接続され、制御ポートの状態の変化は、認証サブシステムにより制御され、当該方法はさらに、
2) 2つの認証エンティティが互いに認証し合うステップを含み、すなわち、2つの認証エンティティは、非制御ポートを介して通信し、それらの認証サブシステムは互いに認証し合い、当該方法はさらに、
3) 制御ポートの状態を設定するステップを含み、すなわち、認証が成功した場合、認証サブシステムは、制御ポートの状態を認証済みとして設定し、制御ポートの状態は開放状態から閉鎖状態に変化し、パケットを通過させ、認証が成功しなかった場合、サブシステムは制御ポートの状態を非認証として設定し、制御ポートは依然として開いたままである。
1) 認証制御エンティティをイネーブルにするステップを含み、すなわち、ユーザおよびアクセスポイントはいずれも、当該ユーザおよび当該アクセスポイントが通信し得る間にまず、認証制御エンティティをイネーブルにし、当該認証制御エンティティは、認証用に一意のアイデンティティを有し、認証サブシステムと、当該認証サブシステムおよびトランスポート媒体を接続する2つのアクセスポイントとを含み、当該2つのアクセスポイントは、制御ポートおよび非制御ポートを含み、当該認証サブシステムは、認証およびポート制御機能の実現を含み、当該認証サブシステムは、非制御ポートに接続され、制御ポートの状態の変化は、認証サブシステムにより制御され、当該方法はさらに、
2) 2つの認証エンティティが互いに認証し合うステップを含み、すなわち、2つの認証エンティティは、非制御ポートを介して通信し、それらの認証サブシステムは互いに認証し合い、当該方法はさらに、
3) 制御ポートの状態を設定するステップを含み、すなわち、認証が成功した場合、認証サブシステムは、制御ポートの状態を認証済みとして設定し、制御ポートの状態は開放状態から閉鎖状態に変化し、パケットを通過させ、認証が成功しなかった場合、サブシステムは制御ポートの状態を非認証として設定し、制御ポートは依然として開いたままである。
上記の方法はさらに、
認証サーバエンティティをイネーブルにするステップを含み得、すなわち、ユーザおよびアクセスポイントはまず、当該ユーザおよび当該アクセスポイントが通信し得る間に、認証制御エンティティおよび認証サーバエンティティをイネーブルにし、当該認証サーバエンティティは、認証制御エンティティに関連するセキュリティ管理情報を格納し、当該認証サーバエンティティは、当該認証制御エンティティの認証サブシステムに接続され、認証サーバエンティティは、認証制御エンティティの認証サブシステムとセキュリティ管理情報を通信して認証に必要な情報を提供し、当該認証サブシステムは、認証サーバエンティティの補助を受けて、もしくは補助を受けずに認証プロセスを完了し、または、すべてそれ自体で鍵交渉を完了する。
認証サーバエンティティをイネーブルにするステップを含み得、すなわち、ユーザおよびアクセスポイントはまず、当該ユーザおよび当該アクセスポイントが通信し得る間に、認証制御エンティティおよび認証サーバエンティティをイネーブルにし、当該認証サーバエンティティは、認証制御エンティティに関連するセキュリティ管理情報を格納し、当該認証サーバエンティティは、当該認証制御エンティティの認証サブシステムに接続され、認証サーバエンティティは、認証制御エンティティの認証サブシステムとセキュリティ管理情報を通信して認証に必要な情報を提供し、当該認証サブシステムは、認証サーバエンティティの補助を受けて、もしくは補助を受けずに認証プロセスを完了し、または、すべてそれ自体で鍵交渉を完了する。
上記の認証サーバエンティティは、認証制御エンティティの属性情報を格納し、このような属性情報を認証制御エンティティに送信する。
上記の方法はさらに、
2つの認証サブシステムが、鍵を交渉するステップを含み得、すなわち、当該認証サブシステムは、鍵交渉機能を含み、当該2つの認証制御エンティティが互いに認証し合う間、鍵交渉は、認証プロセスの間または後に実行され得、認証が完了した後に鍵交渉が独自に行なわれるべき場合、鍵交渉は、2つの認証制御エンティティ自体によって行なわれる。
2つの認証サブシステムが、鍵を交渉するステップを含み得、すなわち、当該認証サブシステムは、鍵交渉機能を含み、当該2つの認証制御エンティティが互いに認証し合う間、鍵交渉は、認証プロセスの間または後に実行され得、認証が完了した後に鍵交渉が独自に行なわれるべき場合、鍵交渉は、2つの認証制御エンティティ自体によって行なわれる。
上記の鍵交渉が認証プロセス中に認証と同時に完了した場合、認証サブシステムは、認証サーバエンティティの補助を受けて鍵交渉プロセスを完了することができ、または、すべてそれ自体で鍵交渉を完了することができる。
上記の認証サーバエンティティは、認証制御エンティティの属性情報を格納し、このような属性情報を認証制御エンティティに送信する。
上記の方法はさらに、
制御ポートの状態を設定するステップを含み得、すなわち、認証および鍵交渉プロセスが成功裡に完了した後に、認証サブシステムは、制御ポートの状態を認証済みとして設定し、制御ポートの状態は開放状態から閉鎖状態に変化し、パケットを通過させ、認証およ
び鍵交渉プロセスが成功しなかった場合、認証サブシステムは、制御ポートの状態を非認証として設定し、制御ポートは依然として開いたままである。
制御ポートの状態を設定するステップを含み得、すなわち、認証および鍵交渉プロセスが成功裡に完了した後に、認証サブシステムは、制御ポートの状態を認証済みとして設定し、制御ポートの状態は開放状態から閉鎖状態に変化し、パケットを通過させ、認証およ
び鍵交渉プロセスが成功しなかった場合、認証サブシステムは、制御ポートの状態を非認証として設定し、制御ポートは依然として開いたままである。
上記の認証制御エンティティおよび認証サーバエンティティは、1つのシステムまたは別のシステム内で実現され得、当該1つのシステムは、1つ以上の認証制御エンティティを含み得る。
この発明の利点は以下のとおりである。
1.ピア制御。この方法は、いずれもが認証制御エンティティを含む2つのシステム(一般に、一方がユーザであり、他方がアクセスポイントである)を有し、それにより、これらの2つのシステムは、直接的に、すなわち、ピアに認証を行ない、認証機能に対してより強力なサポートを提供することができる。
1.ピア制御。この方法は、いずれもが認証制御エンティティを含む2つのシステム(一般に、一方がユーザであり、他方がアクセスポイントである)を有し、それにより、これらの2つのシステムは、直接的に、すなわち、ピアに認証を行ない、認証機能に対してより強力なサポートを提供することができる。
2.認証制御エンティティが識別可能であること。認証制御エンティティは、独自のアイデンティティを有しており、単に認証サーバの制御下に置かれているわけではない。認証制御エンティティの独自のアイデンティティは、本質的に、認証サーバエンティティに依存しないことを可能にし、したがって、認証制御エンティティ自体が識別可能となる。
3.良好な拡張性。認証制御エンティティと認証サーバエンティティとの間に存在する、予め規定されたセキュリティチャネルが存在しないため、認証サーバエンティティによる、認証制御エンティティに対する集約的な制御が容易になり、良好な拡張性が得られる。
4.良好なセキュリティ。認証制御エンティティは、他の認証制御エンティティと鍵を直接交渉することができ、したがって、鍵交渉の直接性を取戻し、ネットワークの実現を簡素化し、セキュリティを高める。
5.簡単な鍵交渉プロセス。認証制御エンティティは、他の認証制御エンティティと鍵を直接交渉することができ、したがって、鍵交渉の複雑さを減じ、鍵交渉の効率を高める。
6.相対的に完全なシステム。認証サーバエンティティは、認証制御エンティティのセキュリティ管理プログラムであり、認証技術の鍵管理機能を含む。この発明のエンティティはともに、完全かつ安全なシステムを構成し、認証および鍵交渉の機能を独自に完了する。
7.高い柔軟性。認証サーバエンティティは、多数の付加的な機能を提供して高い柔軟性を得ることができる。
8.柔軟な実現。この発明により規定される機能エンティティを異なるネットワークシステムで実現する必要がなく、1つのネットワークシステムは、1つ以上の機能エンティティを実現することができる。図3に示すように、認証制御エンティティおよび認証サーバエンティティは、同一のネットワークシステム内で実現され得る。一方で、1つの認証サーバエンティティが1つの認証制御エンティティに対応することは求められず、1つの認証サーバエンティティは、多数の認証制御エンティティに対応することができ、また、多数の認証制御エンティティを管理することができる。図4に示すように、認証制御エンティティ1は、認証制御エンティティ2の非制御ポートを介して認証サーバエンティティと通信する。
実施形態
この発明は、以下の2つのエンティティを含む。
この発明は、以下の2つのエンティティを含む。
1) 認証制御エンティティ
認証制御エンティティは、トランスポート媒体に接続される2つのポートを含む。一方のポートは制御ポートと呼ばれ、2つの状態、すなわち、認証済みの状態および非認証状態を有する。この制御ポートは、認証済みの状態にある場合にのみパケットを通過させる。他方のポートは非制御ポートと呼ばれ、その状態に関係なく常にパケットを通過させる。認証制御エンティティの制御ポートおよび非制御ポートは、根底に存在するトランスポート媒体から同時にパケットを受信する。
認証制御エンティティは、トランスポート媒体に接続される2つのポートを含む。一方のポートは制御ポートと呼ばれ、2つの状態、すなわち、認証済みの状態および非認証状態を有する。この制御ポートは、認証済みの状態にある場合にのみパケットを通過させる。他方のポートは非制御ポートと呼ばれ、その状態に関係なく常にパケットを通過させる。認証制御エンティティの制御ポートおよび非制御ポートは、根底に存在するトランスポート媒体から同時にパケットを受信する。
認証制御エンティティは、認証サブシステムを含み、この認証サブシステムは、認証、鍵交渉等のセキュリティ機能に加えて、ポート制御機能も含む、セキュリティ機能を実現する。認証サブシステムは、非制御ポートに接続され、制御ポートの状態変化は、認証サブシステムにより制御される。
認証制御エンティティは、認証用の一意のアイデンティティを有し、したがって、認証機能を独自に実現し得る。
2) 認証サーバエンティティ
認証サーバエンティティは、認証制御エンティティに関連するセキュリティ管理情報を格納し、認証制御エンティティの認証サブシステムに接続する。認証制御エンティティおよび他の認証制御エンティティが認証を行なう間、認証サーバエンティティは、認証制御エンティティの認証サブシステムとセキュリティ管理情報を通信して、認証に必要な情報を提供するが、認証サーバエンティティは、認証制御エンティティに与する認証を完了しない。認証サーバエンティティは、認証制御エンティティの属性情報も格納し、その属性情報を、アプリケーションの要件に従って認証制御エンティティに送信する。
認証サーバエンティティは、認証制御エンティティに関連するセキュリティ管理情報を格納し、認証制御エンティティの認証サブシステムに接続する。認証制御エンティティおよび他の認証制御エンティティが認証を行なう間、認証サーバエンティティは、認証制御エンティティの認証サブシステムとセキュリティ管理情報を通信して、認証に必要な情報を提供するが、認証サーバエンティティは、認証制御エンティティに与する認証を完了しない。認証サーバエンティティは、認証制御エンティティの属性情報も格納し、その属性情報を、アプリケーションの要件に従って認証制御エンティティに送信する。
認証制御エンティティと認証サーバエンティティとの関係を図2に示す。
この発明のピアアクセス制御方法のプロセスは、以下のとおりである。
この発明のピアアクセス制御方法のプロセスは、以下のとおりである。
1) 認証制御エンティティを起動することであり、すなわち、ユーザおよびアクセスポイントはまず、当該ユーザおよび当該アクセスポイントが通信し得るときに、認証制御エンティティを起動しなければならない。
2) 2つの認証制御エンティティが互いに認証し合うことであり、すなわち、2つの認証制御エンティティは、非制御ポートを介して通信し、それらの認証サブシステムは互いに認証し合い、認証サブシステムは、認証サーバエンティティの補助を受けずにそれ自体で認証プロセスを完了することができる。
3) 2つの認証制御エンティティが鍵を交渉することであり、すなわち、2つの認証制御エンティティが鍵を交渉する必要がある場合、鍵交渉は、認証プロセスにおける認証と同時に完了され得、または、認証プロセスが完了した後に独自に実行され得、認証が完了した後に鍵交渉が独自に実行されるべき場合、鍵交渉は、認証サーバエンティティを伴う必要なく、2つの認証制御エンティティにより独自に完了される。
4) 制御ポートの状態を設定することであり、すなわち、認証および鍵交渉が成功した場合、認証サブシステムは、制御ポートを認証済みとして設定し、制御ポートの状態は、開放状態から閉鎖状態に移行し、パケットを通過させ、認証および鍵交渉が成功しなか
った場合、認証サブシステムは、制御ポートの状態を非認証として設定し、制御ポートは依然として開いたままである。
った場合、認証サブシステムは、制御ポートの状態を非認証として設定し、制御ポートは依然として開いたままである。
この発明のピアアクセス制御方法の別のプロセスは、以下のとおりである。
1) 認証制御エンティティおよび認証サーバエンティティを起動することであり、すなわち、ユーザおよびアクセスポイントはいずれも、当該ユーザおよび当該アクセスポイントが通信し得る前にまず、認証制御エンティティおよび認証サーバエンティティを起動しなければならない。
1) 認証制御エンティティおよび認証サーバエンティティを起動することであり、すなわち、ユーザおよびアクセスポイントはいずれも、当該ユーザおよび当該アクセスポイントが通信し得る前にまず、認証制御エンティティおよび認証サーバエンティティを起動しなければならない。
2) 2つの認証制御エンティティが互いに認証し合うことであり、すなわち、2つの認証制御エンティティは、非制御ポートを介して通信し、それらの認証サブシステムは互いに認証し合い、認証サブシステムは、認証サーバエンティティの補助を受けて認証プロセスを完了することができ、または、すべてそれ自体で認証プロセスを完了することができる。
3) 2つの認証制御エンティティが鍵を交渉することであり、すなわち、2つの認証制御エンティティが鍵を交渉する必要がある場合、鍵交渉は、認証プロセスにおける認証と同時に完了され得、または、認証プロセスの後に独自に実行され得、認証が完了した後に鍵交渉が独自に実行されるべき場合、鍵交渉は、認証サーバエンティティを伴う必要なく、2つの認証制御エンティティにより独自に完了される。
4) 制御ポートの状態を設定することであり、すなわち、認証および鍵交渉が成功した場合、認証サブシステムは、制御ポートの状態を認証済みとして設定し、制御ポートの状態は開放状態から閉鎖状態に移行し、パケットを通行させ、認証および鍵交渉が成功しなかった場合、認証サブシステムは、制御ポートの状態を非認証として設定し、制御ポートは依然として開いたままである。
認証制御エンティティと認証サーバエンティティとの関係を図2に示す。
この発明の原理は以下のとおりである。
この発明の原理は以下のとおりである。
システムとしてユーザおよびアクセスポイントの両方に、認証制御エンティティを備えることにより、ユーザおよびアクセスポイントは、直接認証、すなわち、ピアアクセス制御を行なうことができ、認証機能に対し、より強力なサポートを提供することができる。認証制御エンティティは独自のアイデンティティを有し、単に、認証サーバエンティティの制御下に置かれているわけではない。認証制御エンティティの独自のアイデンティティは、本質的に、認証制御エンティティが認証サーバエンティティに依存しないことを可能にし、したがって、認証制御エンティティ自体が識別可能となる。認証制御エンティティは他の認証制御エンティティと鍵を直接交渉することができ、したがって、鍵交渉の直接性を取戻す。認証サーバエンティティは、認証制御エンティティのセキュリティ管理プログラムであり、認証技術の鍵管理機能を含む。この発明のエンティティはともに、完全かつ安全なシステムを構成し、認証および鍵交渉の機能を独自に完了する。
実際に、ユーザおよびアクセスポイントの両方が、ネットワークアクセス制御において認証制御エンティティを介して認証を行なうことができる。
この発明に含まれる技術用語は以下のとおりである。
IEEE802.1x ポートベースのネットワークアクセス制御プロトコル
PPPoE−イーサネット(登録商標)を通じたポイント・ツー・ポイントプロトコル
IEEE802.11−無線LAN
IEEE802.16e−無線MAN
オーセンチケータ
サプリカント
認証サーバ
EAP−拡張可能な認証プロトコル
IEEE802.1x ポートベースのネットワークアクセス制御プロトコル
PPPoE−イーサネット(登録商標)を通じたポイント・ツー・ポイントプロトコル
IEEE802.11−無線LAN
IEEE802.16e−無線MAN
オーセンチケータ
サプリカント
認証サーバ
EAP−拡張可能な認証プロトコル
Claims (9)
- ポートベースのピアアクセス制御方法であって、前記方法は、
1) 互いの通信のためにユーザとアクセスポイントにそれぞれ配置された複数の認証制御エンティティをイネーブルにするステップを含み、前記認証制御エンティティは、認証用に一意のアイデンティティを有し、前記一意のアイデンティティは、前記認証制御エンティティを識別するものであり、認証サブシステムと、前記認証サブシステムを伝送媒体で接続する制御ポートおよび非制御ポートとを含み、前記認証サブシステムは、認証およびポート制御機能の実現を含み、前記認証サブシステムは、それぞれの前記非制御ポートに接続され、前記制御ポートの状態の変化は、前記認証サブシステムにより制御され、前記方法はさらに、
2) 前記一意のアイデンティティを用いて2つの認証制御エンティティが互いに認証し合うステップを含み、すなわち、2つの認証制御エンティティは、前記非制御ポートを介して通信し、それらの認証サブシステムは互いに認証し合い、前記認証サブシステムは、認証サーバエンティティの参加によって認証プロセスを完了し、前記認証サーバエンティティは、対応する認証制御エンティティの認証サブシステムと、認証のための情報を含むセキュリティ管理情報を通信し、前記認証サーバエンティティは、対応する認証制御エンティティに与する認証を完了せず、前記方法はさらに、
3) 前記制御ポートの前記状態を設定するステップを含み、すなわち、前記認証が成功した場合、前記認証サブシステムは、前記制御ポートの前記状態を認証済みとして設定し、前記制御ポートの前記状態は前記認証サブシステムの制御下に置かれ、前記認証が成功しなかった場合、前記サブシステムは前記制御ポートの前記状態を非認証として設定し、前記制御ポートは依然として開いたままであることを特徴とする、ポートベースのピアアクセス制御方法。 - 前記方法は、認証サーバエンティティをイネーブルにするステップを含み、すなわち、ユーザおよび前記アクセスポイントが通信し得る前に、前記認証制御エンティティおよび前記認証サーバエンティティはまずイネーブルにされ、前記認証サーバエンティティは、前記認証制御エンティティに関連するセキュリティ管理情報を格納し、前記セキュリティ管理情報は認証のための情報を含んでおり、前記認証サーバエンティティは、前記認証制御エンティティの前記認証サブシステムに接続し、前記認証サーバエンティティは、前記認証制御エンティティの前記認証サブシステムと前記セキュリティ管理情報を通信して認証に必要な情報を提供し、前記認証サブシステムは、前記認証サーバエンティティの補助を受けて、もしくは前記補助を受けずに認証プロセスを完了することができ、または、すべてそれ自体で前記認証プロセスを完了することができることを特徴とする、請求項1に記載のポートベースのピアアクセス制御方法。
- 前記方法は、2つの認証制御エンティティが鍵を交渉するステップを含み、すなわち、前記認証サブシステムは、鍵交渉の機能を含み、前記2つの認証制御エンティティが互いに認証し合うときに、前記鍵交渉は、前記認証プロセスの間または後に完了され得、前記認証が完了した後に前記鍵交渉が独自に実行されるべき場合、前記鍵交渉は、前記2つの認証制御エンティティにより独自に完了されることを特徴とする、請求項1または2に記載のポートベースのピアアクセス制御方法。
- 前記鍵交渉が前記認証プロセス中に前記認証と同時に完了する間に、前記認証サブシステムは、前記認証サーバエンティティの前記補助を受けて、もしくは前記補助を受けずに鍵交渉プロセスを完了することができ、または、すべてそれ自体で前記認証プロセスを完了することができる、請求項3に記載のポートベースのピアアクセス制御方法。
- 前記認証サーバエンティティは前記認証制御エンティティの属性情報を格納し、前記属性情報を前記認証制御エンティティに転送し、前記属性情報は、前記認証制御エンティティに接続されるアプリケーションに用いられることを特徴とする、請求項1または2に記載のポートベースのピアアクセス制御方法。
- 前記制御ポートの前記状態を設定する前記ステップは、以下のようであり、すなわち、認証が成功したとき、前記認証サブシステムは前記制御ポートの前記状態を認証済みとして設定し、一方でデータパケットを通過させるために前記制御ポートの前記状態は開放状態から閉鎖状態に変更され、認証が成功しなかったとき、前記認証サブシステムは前記制御ポートを非認証として設定し、前記制御ポートは開いたままであることを特徴とする、請求項1または2に記載のポートベースのピアアクセス制御方法。
- 前記認証サーバエンティティは、前記認証制御エンティティの属性情報を格納し、前記属性情報を前記認証制御エンティティに転送し、前記属性情報は、前記認証制御エンティティに接続されるアプリケーションに用いられることを特徴とする、請求項3に記載のポートベースのピアアクセス制御方法。
- 前記方法は、前記制御ポートの前記状態を設定するステップを含み、すなわち、前記認証および前記鍵交渉が成功した場合、前記認証サブシステムは、前記制御ポートの前記状態を認証済みとして設定し、前記制御ポートの前記状態は開放状態から閉鎖状態に移行し、パケットを通行させ、前記認証および前記鍵交渉が成功しなかった場合、前記認証サブシステムは、前記制御ポートの前記状態を非認証として設定し、前記制御ポートは依然として開いたままであることを特徴とする、請求項3に記載のポートベースのピアアクセス制御方法。
- 前記認証制御エンティティおよび認証サーバエンティティは、1つのシステムまたは別のシステム内で実現され得、前記1つのシステムは、1つ以上の認証制御エンティティを含み得ることを特徴とする、請求項1または2に記載のポートベースのピアアクセス制御方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200510041713.3 | 2005-02-21 | ||
| CN200510041713A CN1655504B (zh) | 2005-02-21 | 2005-02-21 | 基于端口的对等访问控制方法 |
| PCT/CN2006/000248 WO2006086931A1 (fr) | 2005-02-21 | 2006-02-21 | Methode de controle d'acces pair a pair basee sur les ports |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008530698A JP2008530698A (ja) | 2008-08-07 |
| JP5112884B2 true JP5112884B2 (ja) | 2013-01-09 |
Family
ID=34894446
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007555443A Active JP5112884B2 (ja) | 2005-02-21 | 2006-02-21 | ポートベースのピアアクセス制御方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8176325B2 (ja) |
| EP (1) | EP1858195B1 (ja) |
| JP (1) | JP5112884B2 (ja) |
| KR (1) | KR101218701B1 (ja) |
| CN (1) | CN1655504B (ja) |
| ES (1) | ES2667530T3 (ja) |
| WO (1) | WO2006086931A1 (ja) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9038193B2 (en) * | 1998-08-14 | 2015-05-19 | Azos Al, Llc | System and method of data cognition incorporating autonomous security protection |
| CN1655504B (zh) * | 2005-02-21 | 2010-05-05 | 西安西电捷通无线网络通信有限公司 | 基于端口的对等访问控制方法 |
| JP2008282298A (ja) * | 2007-05-14 | 2008-11-20 | Panasonic Corp | システム管理作業承認システム、システム管理作業承認方法及びそのプログラム |
| CN100566252C (zh) * | 2007-08-03 | 2009-12-02 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接系统 |
| JP5078514B2 (ja) * | 2007-09-10 | 2012-11-21 | 株式会社リコー | 通信装置 |
| CN100496025C (zh) * | 2007-11-16 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制方法 |
| CN101232378B (zh) * | 2007-12-29 | 2010-12-08 | 西安西电捷通无线网络通信股份有限公司 | 一种无线多跳网络的认证接入方法 |
| CN101217811B (zh) * | 2008-01-17 | 2010-06-02 | 西安西电捷通无线网络通信有限公司 | 一种宽带无线多媒体网络广播通信的安全传输方法 |
| US8484705B2 (en) * | 2008-04-25 | 2013-07-09 | Hewlett-Packard Development Company, L.P. | System and method for installing authentication credentials on a remote network device |
| KR101017972B1 (ko) * | 2008-06-26 | 2011-03-02 | 삼성전자주식회사 | 이동통신 단말기에서 보안 연계 상태 동기화 장치 및 방법 |
| CN101527718B (zh) | 2009-04-16 | 2011-02-16 | 西安西电捷通无线网络通信股份有限公司 | 一种建立三元对等鉴别可信网络连接架构的方法 |
| CN101540676B (zh) | 2009-04-28 | 2012-05-23 | 西安西电捷通无线网络通信股份有限公司 | 一种适合三元对等鉴别可信网络连接架构的平台鉴别方法 |
| WO2012143930A1 (en) | 2011-04-18 | 2012-10-26 | Hewlett-Packard Development Company, L.P. | Access control |
| US8909929B2 (en) * | 2012-05-31 | 2014-12-09 | Atmel Corporation | Stored public key validity registers for cryptographic devices and systems |
| US9549024B2 (en) | 2012-12-07 | 2017-01-17 | Remote Media, Llc | Routing and synchronization system, method, and manager |
| CN104168171B (zh) * | 2014-08-12 | 2017-12-01 | 深信服科技股份有限公司 | 接入点的访问方法及装置 |
| US20180013798A1 (en) * | 2016-07-07 | 2018-01-11 | Cisco Technology, Inc. | Automatic link security |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6311218B1 (en) * | 1996-10-17 | 2001-10-30 | 3Com Corporation | Method and apparatus for providing security in a star network connection using public key cryptography |
| JP2000004433A (ja) * | 1998-06-16 | 2000-01-07 | Toshiba Corp | データ処理装置および同装置に適用される認証処理方法 |
| US6569316B2 (en) * | 2000-04-17 | 2003-05-27 | Exxonmobil Research And Engineering Company | Cycle oil conversion process incorporating shape-selective zeolite catalysts |
| JP2002344438A (ja) | 2001-05-14 | 2002-11-29 | Nippon Telegr & Teleph Corp <Ntt> | 鍵共有システム及び装置並びにプログラム |
| US7181530B1 (en) * | 2001-07-27 | 2007-02-20 | Cisco Technology, Inc. | Rogue AP detection |
| AU2003223238A1 (en) * | 2002-03-11 | 2003-09-29 | Visionshare, Inc. | Method and system for peer-to-peer secure communication |
| CA2495539C (en) * | 2002-08-16 | 2010-08-10 | Togewa Holding Ag | Method and system for gsm authentication during wlan roaming |
| CN1160875C (zh) | 2002-09-06 | 2004-08-04 | 联想(北京)有限公司 | 一种无线设备间进行连接认证的方法 |
| CN1142662C (zh) * | 2002-10-16 | 2004-03-17 | 华为技术有限公司 | 同时支持基于不同设备网络接入认证的方法 |
| CN100341305C (zh) * | 2002-11-26 | 2007-10-03 | 华为技术有限公司 | 基于802.1x协议的组播控制方法 |
| TWI249316B (en) * | 2004-02-10 | 2006-02-11 | Ind Tech Res Inst | SIM-based authentication method for supporting inter-AP fast handover |
| US7447166B1 (en) * | 2004-11-02 | 2008-11-04 | Cisco Technology, Inc. | Method to distribute IEEE 802.1X authenticated users among multiple broadcast domains |
| US8369830B2 (en) * | 2004-12-30 | 2013-02-05 | Telecom Italia S.P.A. | Method and system for detecting attacks in wireless data communications networks |
| CN1655504B (zh) * | 2005-02-21 | 2010-05-05 | 西安西电捷通无线网络通信有限公司 | 基于端口的对等访问控制方法 |
-
2005
- 2005-02-21 CN CN200510041713A patent/CN1655504B/zh active Active
-
2006
- 2006-02-21 JP JP2007555443A patent/JP5112884B2/ja active Active
- 2006-02-21 WO PCT/CN2006/000248 patent/WO2006086931A1/zh active Application Filing
- 2006-02-21 US US11/816,715 patent/US8176325B2/en active Active
- 2006-02-21 KR KR1020077021552A patent/KR101218701B1/ko active IP Right Grant
- 2006-02-21 ES ES06705669.7T patent/ES2667530T3/es active Active
- 2006-02-21 EP EP06705669.7A patent/EP1858195B1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006086931A1 (fr) | 2006-08-24 |
| KR101218701B1 (ko) | 2013-01-07 |
| EP1858195A4 (en) | 2010-06-02 |
| EP1858195A1 (en) | 2007-11-21 |
| EP1858195B1 (en) | 2018-04-04 |
| KR20070122459A (ko) | 2007-12-31 |
| US8176325B2 (en) | 2012-05-08 |
| JP2008530698A (ja) | 2008-08-07 |
| US20080288777A1 (en) | 2008-11-20 |
| CN1655504A (zh) | 2005-08-17 |
| CN1655504B (zh) | 2010-05-05 |
| ES2667530T3 (es) | 2018-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5112884B2 (ja) | ポートベースのピアアクセス制御方法 | |
| US8464322B2 (en) | Secure device introduction with capabilities assessment | |
| KR101144572B1 (ko) | 무선 다중?홉 네트워크에 대한 인증 엑세스 방법 및 인증 엑세스 시스템 | |
| JP4820826B2 (ja) | 有線ネットワークおよび無線ネットワークに適したアクセス認証方法 | |
| US20040158735A1 (en) | System and method for IEEE 802.1X user authentication in a network entry device | |
| CN101375243B (zh) | 用于进行无线网络概况提供的系统和方法 | |
| KR101198570B1 (ko) | Id 기반 무선 멀티-홉 네트워크 인증 액세스의 방법,장치 및 시스템 | |
| US7673146B2 (en) | Methods and systems of remote authentication for computer networks | |
| JP2005025739A (ja) | セキュリティプロトコルの自動ネゴシエーションのためのシステムおよび方法 | |
| JP3697437B2 (ja) | ネットワークシステムおよびネットワークシステムの構築方法 | |
| WO2008074233A1 (fr) | Procédé de contrôle d'accès p2p faisant intervenir une structure à trois éléments | |
| WO2007112692A1 (fr) | Procédé de communication dans le réseau d'utilisateur et système correspondant | |
| WO2008074234A1 (fr) | Système de contrôle d'accès p2p faisant intervenir une structure à trois éléments et dispositif d'autorisation associé | |
| CA2809730C (en) | Network and application server access | |
| CN107528857A (zh) | 一种基于端口的认证方法、交换机及存储介质 | |
| JP4584776B2 (ja) | ゲートウェイ装置およびプログラム | |
| JP2004524601A (ja) | データネットワークに基づくシステム | |
| KR100686736B1 (ko) | 인증을 통한 이동 애드혹 네트워크에의 참여 방법 | |
| Kwan | WHITE PAPER: 802.1 XAuthentication & EXTENSIBLE AUTHENTICATION PROTOCOL (EAP) | |
| WO2011072512A1 (zh) | 一种支持多受控端口的访问控制方法及其系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080402 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090216 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110927 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111227 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120417 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120816 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20120823 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120918 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121011 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151019 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5112884 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |