JP6752578B2 - 通信装置、通信装置の制御方法およびプログラム - Google Patents
通信装置、通信装置の制御方法およびプログラム Download PDFInfo
- Publication number
- JP6752578B2 JP6752578B2 JP2016009160A JP2016009160A JP6752578B2 JP 6752578 B2 JP6752578 B2 JP 6752578B2 JP 2016009160 A JP2016009160 A JP 2016009160A JP 2016009160 A JP2016009160 A JP 2016009160A JP 6752578 B2 JP6752578 B2 JP 6752578B2
- Authority
- JP
- Japan
- Prior art keywords
- communication device
- address
- setting information
- security
- ipsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
IPsecを用いて暗号通信を行う暗号通信装置は、IPパケットを送信する場合、IPアドレスや通信プロトコル等により、SPDを検索しSPを特定する。SPDはSecurity Policy Databaseの略であり、SPはSecurity Policy(セキュリティポリシー)の略である。暗号通信装置は、特定したSPのポリシー(設定内容)に基づいてIPsec処理に必要となるSA(Security Association)を特定する。そして、暗号通信装置は、特定したSAを用いて暗号・認証処理をした後にパケットを送信する。
SAを確立する方法としては、送信側と受信側において手動でSAの各種情報を設定する手動鍵設定方法がある。手動鍵設定方法は、鍵交換を手動で行うので手動鍵管理方式と称されることもある。また、SAを確立する別の方法としては、IKE(Internet Key Exchange Protocol)を用いた自動鍵交換方法がある。IKEは特にRFC2407〜2409等に規定されている。
IPsec通信を適用するためのルールとなるSPは、鍵管理・鍵設定を自動で動的に行う場合であっても、手動で静的に行う場合であっても、暗号通信装置(セキュリティ通信装置)を管理するユーザーまたはアプリケーションにより静的に設定される。
上記の推奨ルールは、SPのルールとは無関係のルールである。すなわち、SPのルールに関わりなく、IPアドレスが選択される。そのため、SPの設定によっては、通信装置の宛先となるIPアドレス及び通信装置の送信元となるIPアドレスが異なる場合、SPが適用されなくなる場合がある。また、セキュリティレベル(セキュリティ強度)の低いSPが適用される場合がある。つまり同一通信装置間の通信であっても使用するIPアドレスが異なる場合には、セキュリティレベルが異なる通信方式で通信が行われてしまう可能性がある。
所望のセキュリティレベルで暗号通信を行う技術の例が、特許文献1に開示されている。特許文献1では、クライアント装置からリクエストを受けたサーバ装置が、セキュリティおよび接続設定情報に適合していないアドレスを指定されて行われた通信の場合に、別のアドレスで、クライアント装置から再度リクエストさせる。
上記課題を鑑み、本発明は、所望のセキュリティレベルで他の通信装置と通信を簡易に行えるようにすることを目的とする。
実施形態1
(暗号通信装置の構成)
図1を参照して、実施形態1に係る暗号通信装置101の構成の例について説明する。
暗号通信装置101は、ネットワークインタフェース部103と、ネットワークプロトコル処理部104と、アプリケーション処理部105と、IKE処理部106と、IPsec処理部107と、アドレス管理部108とを有する。IPsec処理部107は、SP・SAテーブル管理部109と、IPsecプロトコル処理部110と、暗号・認証処理部111とを有する。
ネットワークインタフェース部103は、暗号通信装置101とネットワーク102とのインタフェース部である。暗号通信装置101は、ネットワークインタフェース部103を介してネットワーク102に接続され、データパケットの送受信を行うことにより、ネットワーク102に接続される他の通信装置(通信相手装置)と通信することができる。
ネットワークプロトコル処理部104は、TCP、UDP、IP等のネットワークプロトコルを処理する。TCPは、Transmission Control Protocolの略であり、UDPはUser Datagram Protocolの略である。
図2を参照して、暗号通信装置101が接続するネットワーク102の機器構成例について説明する。暗号通信装置101は、ネットワーク102を介して他の機器に接続されている。図2の例では、第1のルータ203をそれぞれ含む2つのリンクが形成されている。2つのリンク内の1つには、第2のサーバ装置202、第1のルータ203および第2のルータ204が接続されている。暗号通信装置101は、このリンクに属している。また、第1のルータ203を含む他のリンクには、第1のルータ203、DNSサーバ205、DHCPサーバ206および第1のサーバ装置207が接続されている。DNSは、Domain Name Systemの略である。
DNSサーバ205は各機器のホスト名とIPアドレスの対応づけを管理するデータベースであり、各機器からの問い合わせに応じて対応づけの情報(どのIPアドレスが対応しているかの情報)を返信する。暗号通信装置101、第1のサーバ装置207および第2のサーバ装置202は、セキュリティ通信を行うため、SPを設定可能となっている。暗号通信装置101、第1のサーバ装置207および第2のサーバ装置202では、IKE処理を行うアプリケーションが動作しており、設定されたSPに基づいて暗号・認証に用いるアルゴリズムや鍵の交換を自動で行う。
次に、図3を参照して、暗号通信装置101のIPsecパケット送信処理について説明する。
S301において、アプリケーション処理部105は通信相手へのパケット送信処理(アプリケーション送信処理)を行い、ネットワークプロトコル処理部104に送信要求を行う。なお、IKE処理部106がIKEパケットを送信する場合は、IKE処理部106がネットワークプロトコル処理部104に送信要求を行う。
S302において、アプリケーション処理部105はアドレス管理部108に対してIPアドレス決定処理を要求する。なお、アドレス管理部108に対するIPアドレス決定処理の要求は、アプリケーション処理部105ではなく、ネットワークプロトコル処理部104が行ってもよい。
S401において、アドレス管理部108は、宛先情報がユニキャストであるかを判定する。宛先情報がユニキャストではない場合、つまりマルチキャスト宛もしくはIPv4ブロードキャスト宛である場合はS410へ進み、送信元アドレスのみの決定処理を行う。宛先情報がユニキャストである場合、S402へ進む。
S402において、アドレス管理部108は、宛先情報の指定がIPアドレスでの指定ではなく、ホスト名での指定であるかを判定する。ホスト名での指定であった場合はS403へ進む。そうでなければS404へ進む。すなわち、宛先情報の指定がIPアドレスでの指定であった場合はS404へ進む。
S404において、アドレス管理部108は、宛先IPアドレスがグローバルIPアドレスであるかを判定する。本実施形態では、IPアドレスのバージョンがIPv6である場合とIPv4である場合のそれぞれで規定されているIPアドレス種別(グローバルIPアドレス、リンクローカルアドレス、それ以外のアドレス)の判定処理を行う。S404において、宛先IPアドレスがグローバルIPアドレスであると判定された場合はS405へ進み、DNSサーバまたはローカルホストに指定された情報からホスト名(ドメイン名)を逆引きして取得する。ホスト名を取得した後、S403へ進む。宛先IPアドレスがグローバルIPアドレスではない場合は、S406へ進む。
S406において、アドレス管理部108は、宛先IPアドレスがリンクローカルアドレスかどうかを判定する。宛先IPアドレスがリンクローカルアドレスではない場合、当該宛先IPアドレスはループバックアドレスまたは宛先アドレスとして適していないアドレスであると判定して、S409へ進む。そして、S409において、アプリケーション等により指定されたアドレスを選択する。S409の後、処理を終了する。宛先IPアドレスがリンクローカルアドレスであった場合はS407へ進む。
S403において、アドレス管理部108は、ホスト名から宛先IPアドレスのリストを取得する。より詳しくは、DNSサーバへの問い合わせを行うと共に、ローカルホストに設定された情報を得ることによりアドレスリストを取得する。S403の後、S410へ進む。
なお、本実施形態では上記したフロー(S402〜S408)により宛先IPアドレスのリストを取得したが、宛先IPアドレスのリストを取得できるのであれば、どのような手段・構成を採用してもよい。
ただし、セキュリティレベルを考慮すると、グローバルIPアドレスを指定した場合のセキュリティレベルの方がリンクローカルアドレスより高く設定されることが一般的であるため、リンクローカルアドレスのリストの取得を省略してもよい。リンクローカルアドレスのリストの取得を省略することで、処理負荷を軽減することが可能となる。
S412において、アドレス管理部108は、検索して得られた(ヒットした)SPのポリシー(設定内容)を参照し、SPにセキュリティ設定(IPsecが適用される設定)がなされているかを調べる。すべてのSPにセキュリティ設定がなされていない場合、つまりIPsecによるセキュア化(暗号化、認証)を適用しない設定である場合は、S413へ進む。なお、セキュリティ設定がなされていない場合とは、例えば、BYPASS設定(暗号化等をしない通常処理)がされている場合やDISCARD設定(廃棄)がなされている場合である。SPのポリシー(設定内容)は、本実施形態では、IPsecを適用するか否かを決めるポリシーであるので、暗号化関連設定と称することができる。つまり、本実施形態では、S412において、パケットを、少なくとも暗号化または認証することができる暗号化関連設定を選別(選択)している。
S412において、いずれかのSPにセキュリティ設定がなされていると判定された場合、S414へ進む。
S414において、アドレス管理部108は、検索して得られたSPの中からセキュリティレベルの一番高いSPを選択する。セキュリティレベルの一番高いSPの選択は、さまざまな方法で行うことが可能である。例えば、IPsecが適用されるか否かだけで判定する場合は、IPsecが適用される設定になっているSPをすべて選択する。IPsecが適用される設定がなされていれば、パケットを少なくとも暗号化または認証して通信相手装置に送信することができるからである。
なお、IPsecでPROTECT設定がされている場合は、暗号化のみが有効になっている場合と、認証のみが有効になっている場合と、暗号化および認証が有効になっている場合がある。
S417において、アドレス管理部108は、複数の宛先IPアドレスおよび送信元IPアドレスの組み合わせから、デフォルトアドレス選択ルールに基づいて一番優先順位(優先度)の高いIPアドレスの組み合わせを選択して処理を終了する。なお、上記の説明では宛先IPアドレスおよび送信元IPアドレスの組み合わせからSPを検索したが、宛先IPアドレスまたは送信元IPアドレスを1つのアドレスに固定し、もう一方のアドレスのリストを取得してSPを検索するようにしてもよい。例えば送信元IPアドレスを固定する場合、IPsecによるセキュリティ通信を適用するならば、手動で設定したIPアドレスを必ず選択するようにし、SPを検索する検索キーには送信元IPアドレスに手動で設定したアドレスを用いるようにする。こうすることで、SPの検索処理を効率化することができる。
S303において、ネットワークプロトコル処理部104は、アプリケーション処理部105からデータ(パケット)の送信要求を受け付ける。この際、アプリケーション処理部105は、アドレス管理部108が決定したIPアドレスを用いて送信要求をネットワークプロトコル処理部104に対して行う。そして、ネットワークプロトコル処理部104は、アプリケーション処理部105が指定したTCPまたはUDPのトランスポート層プロトコル処理およびIPプロトコル処理を行う。ネットワークプロトコル処理部104のこのような処理を、本実施形態では、ネットワークプロトコル処理1と称する。ネットワークプロトコル処理部104は、生成したIPパケットをIPsec処理部107へ送る。
なお、本実施形態ではアプリケーション処理部105がアドレス管理部108にアドレスを決定する要求を行い、ネットワークプロトコル処理部104へ決定したアドレスを通知した。しかし、本発明はこのような実施形態に限定されない。例えば、アプリケーション処理105ではなくネットワークプロトコル処理部104がアドレス管理部108に対してアドレスを決定する要求を行ってもよい。
なお、アドレス管理部108がIPアドレスを決定する際に特定したSP情報を記憶しておき利用することで、SP検索処理を省略することができる。
S305において、ネットワークプロトコル処理部104は、IPsec処理部107によってIPsec処理されたIPsecパケットを受け取り、IPsecパケットに対してフラグメント処理等のIPプロトコル処理、MACヘッダ処理を行う。本実施形態では、このIPプロトコル処理等をネットワークプロトコル処理2と称する。その後、ネットワークプロトコル処理部104は、ネットワークインタフェース部103にパケットの送信要求を行う。
ここで図2におけるネットワーク102の機器構成例において暗号通信装置101でどのようなIPアドレスが選択されるかを例示する。暗号通信装置101には、上記したように第1のルータ203および第2のルータ204によって割り当てられたIPv6グローバルIPアドレスと、自動生成によって割り当てられたIPv6リンクローカルアドレスが設定されている。また、暗号通信装置101には、DHCPサーバ206によって割り当てられたIPv4アドレスとIPv6アドレスが設定されているか、あるいは、手動によって割り当てられたIPv4アドレスとIPv6アドレスが設定されている。これと同様に、第1のサーバ装置207には、第1のルータ203によって割り当てられたIPv6グローバルIPアドレスと、自動生成によって割り当てられたIPv6リンクローカルアドレスが設定されている。また、第1のサーバ装置207には、DHCPサーバ206によって割り当てられたIPv4アドレスとIPv6アドレスが設定されているか、あるいは、手動によって割り当てられたIPv4アドレスとIPv6アドレスが設定されている。
この場合、図4に示すフローに従うと、まず、暗号通信装置101は、DNSサーバ205から第1のサーバ装置207のホスト名を取得し(S402)、そのホスト名からIPアドレスリストを取得する(S403)。この宛先IPアドレスのリストと、暗号通信装置101に割り当てられ、ルーティング処理をした結果、選択可能な送信元IPアドレスと、からSPを検索する(S411)。すると、第1のサーバ装置207および暗号通信装置101に手動で割り当てたIPv6アドレスの組み合わせ以外を用いたSPの検索結果は、すべてIPsecを適用しないポリシーがヒットする。
なお、本発明は、上記したように同一の通信相手と通信可能な宛先情報を用いてSPを適用可能とする構成・方法であれば、どのような手順でSPを適用してもよい。
つまり、本発明では、所定の強度以上のセキュリティ強度を有するSP(パケットを少なくとも暗号化または認証することができるポリシー)を選択し、選択されたSPに適合する宛先IPアドレスと送信元IPアドレスとを用いてパケットを生成して通信装置相手に送信すればよい。所定の強度以上のセキュリティ強度を有するSPに基づいてパケットを生成・送信するので、所定のセキュリティレベルを維持して通信相手装置と通信することができる。所定の強度以上のセキュリティ強度を有するSPとは、例えば、PROTECT設定において暗号化と認証の少なくとも一方が有効化されているSPである。所定の強度以上のセキュリティ強度を有するSPが複数ある場合には、より強いセキュリティ強度を有するSPを選択してよい。
なお、上記した実施形態では、セキュリティレベル(強度)が一番高いポリシーを選択するとしたが、パケットを暗号化・認証して送信できるポリシーであれば、セキュリティレベルが最も高いポリシーを選択しなくてもよい。例えば、パケットを暗号化または認証処理して送信できるポリシーであれば、二番目にセキュリティレベルの高いポリシーを選択してもよい。
プロセッサ521は、通信相手装置とのデータ通信のための各種プロトコル処理を行う。また、プロセッサ521は、通信相手装置へのデータ送信指示も行う。さらに、プロセッサ521は、メモリ522の中から、通信相手装置とのデータ通信に必要な各種情報を検索する。プロセッサ521は、データの表示や印刷等のアプリケーション処理を行ってもよい。
データパス制御部525は、メモリ522とMAC部526との間のデータ転送を制御する。MAC部526はOSI参照モデルのデータリンク層(第2層)の下位副層に相当するMAC層のプロトコル処理を行う。PHY部527は、OSI参照モデルの第1層に位置するPHY(物理)層のプロトコル処理と電気信号の処理を行う。OSI参照モデルは、国際標準化機構によって策定された、コンピュータの持つべき通信機能を階層構造に分割したモデルである。OSIは、Open System Interconnectionの略である。
図1のソフトウェア構成は、図5のメモリ522に記憶されたプログラムをプロセッサ521が読み出すことで実現される。なお、図1に示した複数のソフトウェアブロックを1つのソフトウェアブロックとして構成してもよいし、1つのソフトウェアブロックを複数のソフトウェアブロックとして構成してもよい。また、図1のソフトウェアブロックの一部もしくは全部をハードウェアとして構成してもよい。
上記において、IPsecによるセキュリティ通信について説明をしたが、IPsec以外のプロトコルを用いる場合にも本発明を使用することができる。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
Claims (10)
- パケットを他の通信装置に送信する通信装置であって、
前記通信装置が有する複数のIPアドレスおよび前記他の通信装置が有する複数のIPアドレスに基づいて、IPsec(Security Architecture for Internet Protocol)を適用可能な設定情報を検索する検索手段と、
前記検索手段によりIPSecを適用可能な複数の前記設定情報が検索された場合、該検索された複数の設定情報の各々に基づいて生成されるパケットのセキュリティ強度に基づいて、該検索された複数の設定情報の中から1つの前記設定情報を選択する選択手段と、
前記選択手段により選択された前記設定情報に示される前記通信装置のIPアドレスと前記他の通信装置のIPアドレスとを用いて、パケットを生成する生成手段と、
前記生成手段により生成されたパケットを前記他の通信装置に送信する送信手段と、
を有することを特徴とする通信装置。 - 前記セキュリティ強度は、適用されるセキュリティプロトコルの数に基づいて定められることを特徴とする請求項1に記載の通信装置。
- 前記セキュリティ強度は、適用されるセキュリティプロトコルの暗号化もしくは認証の方式に基づいて定められることを特徴とする請求項1に記載の通信装置。
- 前記セキュリティプロトコルは、Authentication HeaderおよびEncapsulated Security Payloadを含むことを特徴とする請求項2または3に記載の通信装置。
- 前記通信装置が有するIPアドレスを示す第1のリストおよび前記他の通信装置が有するIPアドレスを示す第2のリストを取得する取得手段をさらに有し、
前記検索手段は、前記取得手段により取得した前記第1のリストおよび前記第2のリストに基づいて、IPSecを適用可能な前記設定情報を検索することを特徴とする請求項1から4のいずれか1項に記載の通信装置。 - 前記第1のリストは、前記他の通信装置のIPアドレスからルーティング処理によって得られたIPアドレスのリストであることを特徴とする請求項5に記載の通信装置。
- 前記他の通信装置がホスト名で指定された場合、前記取得手段は、DNS(Domain Name System)サーバを用いて前記第2のリストを取得することを特徴とする請求項5または6に記載の通信装置。
- 前記他の通信装置がグローバルIPアドレスで指定された場合、前記取得手段は、DNS(Domain Name System)サーバからホスト名を取得して、当該ホスト名により前記他の通信装置のIPアドレスのリストを取得することを特徴とする請求項5から7のいずれか1項に記載の通信装置。
- パケットを他の通信装置に送信する通信装置の制御方法であって、
前記通信装置が有する複数のIPアドレスおよび前記他の通信装置が有する複数のIPアドレスに基づいて、IPsec(Security Architecture for Internet Protocol)を適用可能な設定情報を検索するステップと、
前記検索するステップによりIPSecを適用可能な複数の前記設定情報が検索された場合、該検索された複数の設定情報の各々に基づいて生成されるパケットのセキュリティ強度に基づいて、該検索された複数の設定情報の中から1つの前記設定情報を選択するステップと、
前記選択するステップにより選択された前記設定情報に示される前記通信装置のIPアドレスと前記他の通信装置のIPアドレスとを用いて、パケットを生成するステップと、
前記生成するステップにより生成された前記パケットを前記他の通信装置に送信するステップと、
を有することを特徴とする制御方法。 - コンピュータを、請求項1から8のいずれか1項に記載の通信装置として機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016009160A JP6752578B2 (ja) | 2016-01-20 | 2016-01-20 | 通信装置、通信装置の制御方法およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016009160A JP6752578B2 (ja) | 2016-01-20 | 2016-01-20 | 通信装置、通信装置の制御方法およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017130801A JP2017130801A (ja) | 2017-07-27 |
JP6752578B2 true JP6752578B2 (ja) | 2020-09-09 |
Family
ID=59395835
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016009160A Active JP6752578B2 (ja) | 2016-01-20 | 2016-01-20 | 通信装置、通信装置の制御方法およびプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6752578B2 (ja) |
-
2016
- 2016-01-20 JP JP2016009160A patent/JP6752578B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017130801A (ja) | 2017-07-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11038846B2 (en) | Internet protocol security tunnel maintenance method, apparatus, and system | |
Frankel et al. | Ip security (ipsec) and internet key exchange (ike) document roadmap | |
US10356092B2 (en) | Uncloneable registration of an internet of things (IoT) device in a network | |
US10708780B2 (en) | Registration of an internet of things (IoT) device using a physically uncloneable function | |
JP4727126B2 (ja) | 近距離無線コンピューティング装置用のセキュア・ネットワーク・アクセスの提供 | |
TWI778171B (zh) | 待配網設備連接網路熱點設備的方法和系統 | |
US7043633B1 (en) | Method and apparatus for providing adaptive self-synchronized dynamic address translation | |
JP4407452B2 (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
KR100803272B1 (ko) | 아이피 브이 식스 네트워크에서 인증을 처리하는 방법 및그 장치 | |
JP4917596B2 (ja) | 対応ノードとセッション中にある移動ノードへの匿名性の提供 | |
JP3831364B2 (ja) | 通信システム、同通信システムにおけるセキュリティポリシーの配布方法 | |
JP2009111437A (ja) | ネットワークシステム | |
JP2002501332A (ja) | ネットワーク・アドレス変換とプロトコル変換が存在する場合のパケット認証の方法 | |
KR100948604B1 (ko) | 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법 | |
US8085797B2 (en) | Method and system for addressing and routing in coded communications relationships | |
US20160105407A1 (en) | Information processing apparatus, terminal, information processing system, and information processing method | |
JP2014110466A (ja) | 通信装置、通信方法およびコンピュータプログラム | |
US11936633B2 (en) | Centralized management of private networks | |
US20090328139A1 (en) | Network communication device | |
JP6752578B2 (ja) | 通信装置、通信装置の制御方法およびプログラム | |
WO2014201783A1 (zh) | 一种自组网的加密鉴权方法、系统及终端 | |
KR101584986B1 (ko) | 네트워크 접속 인증 방법 | |
JP2006216014A (ja) | メッセージを認証するためのシステムおよび方法、メッセージを認証するためのファイアウォール、ネットワーク装置、および、コンピュータ読み取り可能な媒体 | |
JP2006196996A (ja) | 通信システム及び通信方法 | |
JP5955811B2 (ja) | 管理装置、管理システム、管理方法及び管理プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181218 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191127 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200107 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200217 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200721 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200819 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6752578 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |