JP6967950B2 - 認証スイッチ装置、ネットワークシステムおよび認証方法 - Google Patents
認証スイッチ装置、ネットワークシステムおよび認証方法 Download PDFInfo
- Publication number
- JP6967950B2 JP6967950B2 JP2017230574A JP2017230574A JP6967950B2 JP 6967950 B2 JP6967950 B2 JP 6967950B2 JP 2017230574 A JP2017230574 A JP 2017230574A JP 2017230574 A JP2017230574 A JP 2017230574A JP 6967950 B2 JP6967950 B2 JP 6967950B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user terminal
- frame
- port
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Description
この発明は、仮想ローカルエリアネットワーク(以下、VLANと記載する。)を構成するために使用される認証スイッチ装置、これを用いたネットワークシステムおよび認証方法に関する。
IEEE802.1X認証は、ネットワークの認証方式の一つである。IEEE802.1X認証が行われるネットワークシステムは、認証スイッチ装置、遠隔認証ダイヤルインユーザサービス(以下、RADIUSと記載する。)サーバおよびユーザ端末を備えて構成される。RADIUSサーバは、ユーザ端末の認証を行う認証サーバであり、ユーザ端末の認証に必要なアカウント情報が登録されている。
認証スイッチ装置は、ユーザ端末から受信したアカウント情報の正当性をRADIUSサーバに問い合わせて、問い合わせ結果が認証成功である場合、ユーザ端末によるネットワークアクセスを許可する。一方、問い合わせ結果が認証失敗である場合、認証スイッチ装置は、ユーザ端末によるネットワークアクセスを拒否する。
認証スイッチ装置が受信するフレームには、ユーザ端末が接続するポートに転送されるエンドユーザ用のフレームと認証スイッチ装置自身に処理を実施させる制御用のフレームがある。認証スイッチ装置が構成するVLANには、エンドユーザ用のフレームが送受信されるVLANと、制御用のフレームの通信に用いられる管理用VLANがある。制御用のフレームは、エンドユーザ用のフレームと区別するため、管理用VLANで送受信される。
また、制御用のフレームにはユーザ端末の認証に用いられるアカウント情報も含まれるため、認証対象のユーザ端末は、認証スイッチ装置が有する複数のポートのうち、管理用VLANに属するポートに接続される。なお、管理用VLANには、制御用のフレームが送受信されるので、認証対象のユーザ端末は、管理用VLANを介して認証スイッチ装置を制御することも可能である。
近年では、認証スイッチ装置の不正な制御に起因したネットワークへの不正なアクセスを防止する目的で、管理用VLANに属していないポートを利用したユーザ端末の認証の必要性が増している。
例えば、特許文献1に記載される認証スイッチ装置では、認証対象のユーザ端末が接続されたポートが属するVLANを管理用VLANに変換し、管理用VLANを介して認証に関する通信を実施する。ユーザ端末の認証が成功した場合、上記認証スイッチ装置は、RADIUSサーバから発行されたVLAN IDを自身に固有なVLAN IDに変換してから、ユーザ端末が接続しているポートに割り当てる。これにより、管理用VLANが、ユーザ端末ごとに規定されたVLANに変換される。
例えば、特許文献1に記載される認証スイッチ装置では、認証対象のユーザ端末が接続されたポートが属するVLANを管理用VLANに変換し、管理用VLANを介して認証に関する通信を実施する。ユーザ端末の認証が成功した場合、上記認証スイッチ装置は、RADIUSサーバから発行されたVLAN IDを自身に固有なVLAN IDに変換してから、ユーザ端末が接続しているポートに割り当てる。これにより、管理用VLANが、ユーザ端末ごとに規定されたVLANに変換される。
特許文献1に記載された認証スイッチ装置を備えた従来のシステムでは、ユーザ端末の認証に用いられるアカウント情報がRADIUSサーバに登録されており、アカウント情報には、ユーザIDごとのVLAN IDが登録されている。RADIUSサーバは、認証スイッチ装置からアカウント情報を受信すると、登録されたアカウント情報と受信したアカウント情報とを照合してユーザ端末の認証を実施する。ユーザ端末の認証に成功した場合、RADIUSサーバは、認証結果とともにアカウント情報に登録されたVLAN IDを返信する。
特許文献1に記載された認証スイッチ装置は、RADIUSサーバから受信したVLAN識別子をユーザ端末が接続しているポートに割り当てることで、管理用VLANから、ユーザ端末ごとに規定されたVLANに変換する。
このように、従来は、ユーザ端末が接続しているポートに割り当てるVLAN IDとRADIUSサーバに登録されたアカウント情報とが対応関係にある。
このため、特許文献1に記載された認証スイッチ装置では、VLANを変更する場合、RADIUSサーバに登録されているアカウント情報も更新する必要があるという課題があった。
このように、従来は、ユーザ端末が接続しているポートに割り当てるVLAN IDとRADIUSサーバに登録されたアカウント情報とが対応関係にある。
このため、特許文献1に記載された認証スイッチ装置では、VLANを変更する場合、RADIUSサーバに登録されているアカウント情報も更新する必要があるという課題があった。
この発明は上記課題を解決するものであって、認証サーバに登録されているアカウント情報を更新しなくてもVLANを構築することができる認証スイッチ装置、ネットワークシステムおよび認証方法を得ることを目的とする。
この発明に係る認証スイッチ装置は、テーブルデータ、処理部および転送部を備える。テーブルデータは、認証情報が受信されたポートを識別するためのポート識別情報およびポートが属するVLANを識別するためのVLAN識別情報が、認証情報を送信したユーザ端末に固有なアドレス情報ごとに登録されている。処理部は、認証情報に基づいてユーザ端末の認証処理を実施し、認証に成功したユーザ端末に固有なアドレス情報をキーとしてテーブルデータから取得したポート識別情報およびVLAN識別情報を出力する。転送部は、処理部から出力されたポート識別情報およびVLAN識別情報に基づいて、認証に成功したユーザ端末が接続するポートを特定し、特定したポートにユーザ端末の認証結果を転送する。
この発明によれば、ポート識別情報およびVLAN識別情報がユーザ端末に固有なアドレス情報ごとに登録されたテーブルデータを備える。処理部が、認証に成功したユーザ端末のアドレス情報をキーとして、テーブルデータからポート識別情報およびVLAN識別情報を取得する。転送部は、テーブルデータから取得されたポート識別情報およびVLAN識別情報に基づいて、認証に成功したユーザ端末が接続するポート特定し、特定したポートが属するVLANを設定して、ユーザ端末の認証結果を転送する。これにより、認証サーバに登録されているアカウント情報を更新しなくてもVLANを構築することができる。
実施の形態1.
図1は、この発明の実施の形態1に係るネットワークシステム1の構成例を示す図である。ネットワークシステム1は、IEEE802.1X認証を実施するシステムであり、認証スイッチ装置2、ハブ3、RADIUSサーバ4およびユーザ端末5を備えている。認証スイッチ装置2は、ユーザ端末5とローカルエリアネットワーク6との間に介在している。ユーザ端末5は、認証結果に応じてローカルエリアネットワーク6へのアクセスが可能となる。
図1は、この発明の実施の形態1に係るネットワークシステム1の構成例を示す図である。ネットワークシステム1は、IEEE802.1X認証を実施するシステムであり、認証スイッチ装置2、ハブ3、RADIUSサーバ4およびユーザ端末5を備えている。認証スイッチ装置2は、ユーザ端末5とローカルエリアネットワーク6との間に介在している。ユーザ端末5は、認証結果に応じてローカルエリアネットワーク6へのアクセスが可能となる。
RADIUSサーバ4は、ハブ3を介してローカルエリアネットワーク6に接続されている。認証スイッチ装置2は、ハブ3およびローカルエリアネットワーク6を介して、ユーザ端末5の認証をRADIUSサーバ4に問い合わせる。認証スイッチ装置2は、問い合わせ結果が認証成功であれば、ユーザ端末5によるローカルエリアネットワーク6へのアクセスを許可する。一方、問い合わせ結果が認証失敗である場合、認証スイッチ装置2は、ユーザ端末5によるアクセスを拒否する。
IEEE802.1X認証では、認証情報として、認証スイッチ装置2とユーザ端末5との間で認証フレームが使用される。認証フレームのヘッダ情報における、宛先メディアアクセスコントロール(以下、MACと記載する)アドレスには、“01−80−C2−00−00−03”が設定され、EtherTypeには、“0x888E”が設定されている。認証スイッチ装置2とRADIUSサーバ4との間では、RADIUSフレームによるインターネットプロトコル(以下、IPと記載する。)通信が使用される。
図2は、実施の形態1に係る認証スイッチ装置2の構成を示すブロック図である。認証スイッチ装置2は、ポートA〜ポートD、フレーム処理部20およびフレーム転送部21を備えている。ネットワークシステム1が複数の認証スイッチ装置2を備える場合、認証スイッチ装置2ごとにMACアドレスが割り当てられる。
認証スイッチ装置2は、ポートA〜ポートDのいずれかのポートにユーザ端末5が接続されると、アカウント情報が設定された認証フレームをユーザ端末5から受け取る。
なお、アカウント情報には、ユーザ端末5に割り当てられたユーザIDおよびユーザに付与されたパスワードといったユーザ端末5の認証に使用される情報が含まれる。
認証スイッチ装置2は、認証処理において、アカウント情報をRADIUSサーバ4に送信して、ユーザ端末5の認証を問い合わせる。
なお、アカウント情報には、ユーザ端末5に割り当てられたユーザIDおよびユーザに付与されたパスワードといったユーザ端末5の認証に使用される情報が含まれる。
認証スイッチ装置2は、認証処理において、アカウント情報をRADIUSサーバ4に送信して、ユーザ端末5の認証を問い合わせる。
フレーム処理部20は、アカウント情報が設定された認証フレームに基づいて、ユーザ端末5の認証処理を実施し、認証に成功したユーザ端末5のMACアドレス情報をキーとしてユーザ端末テーブル22から取得したポート番号およびVLAN IDを、認証結果とともに転送情報に含めて出力する処理部である。ポート番号は、ポートを識別するためのポート識別情報であり、VLAN IDは、VLANを識別するためのVLAN識別情報である。
フレーム処理部20は、ユーザ端末テーブル22、フレーム判定部23および認証処理部24を備える。ユーザ端末テーブル22は、認証フレームが受信されたポートのポート番号およびこのポートが属するVLANのVLAN IDが、認証フレームを送信したユーザ端末5のMACアドレスごとに登録されたテーブルデータである。
図3は、ユーザ端末テーブル22の例を示す図である。ユーザ端末テーブル22には、図3に示すように、認証フレームに含まれる送信元MACアドレス、認証フレームが受信されたポートのポート番号、および受信ポートが属するVLANのVLAN IDが登録されている。
図3は、ユーザ端末テーブル22の例を示す図である。ユーザ端末テーブル22には、図3に示すように、認証フレームに含まれる送信元MACアドレス、認証フレームが受信されたポートのポート番号、および受信ポートが属するVLANのVLAN IDが登録されている。
フレーム判定部23は、認証フレームに含まれるポート番号およびVLAN IDを使用してユーザ端末テーブル22を更新し、認証に失敗したユーザ端末5に対応するポート番号およびVLAN IDをユーザ端末テーブル22から削除する。このように、ユーザ端末テーブル22は、フレーム判定部23によって自立的に作成および更新されるので、ネットワークの保守者がユーザ端末テーブル22を作成する作業は不要である。
認証処理部24は、アカウント情報が設定された認証フレームに基づいて、ユーザ端末5の認証処理を実施する。認証処理において、認証処理部24は、RADIUSサーバ4にアカウント情報を問い合わせるためのパケットを作成し、当該パケットをフレーム転送部21から送信して、RADIUSサーバ4から認証結果を受信する。認証処理部24は、認証に成功したユーザ端末5のMACアドレスをキーとしてユーザ端末テーブル22からポート番号およびVLAN ID取得し、取得したポート番号およびVLAN IDを認証フレームに付与する。当該認証フレームは、フレーム処理部20からフレーム転送部21に出力される。
フレーム転送部21は、フレーム処理部20から入力した認証フレームに付与されているポート番号およびVLAN IDに基づいて、認証に成功したユーザ端末5が接続しているポートに対して認証フレームを転送する転送部である。
例えば、フレーム転送部21は、認証フレームに付与されているポート番号から、認証に成功したユーザ端末5が接続しているポートを特定し、特定したポートに転送するフレームのVLAN IDを、認証フレームに付与されているVLAN IDに変更する。
これにより、フレーム転送部21は、認証フレームを、認証に成功したユーザ端末5が接続しているポートに転送する。
例えば、フレーム転送部21は、認証フレームに付与されているポート番号から、認証に成功したユーザ端末5が接続しているポートを特定し、特定したポートに転送するフレームのVLAN IDを、認証フレームに付与されているVLAN IDに変更する。
これにより、フレーム転送部21は、認証フレームを、認証に成功したユーザ端末5が接続しているポートに転送する。
フレーム転送部21は、ポートA〜ポートDで受信されたフレームおよびフレーム処理部20から入力したフレームの転送先を、MAC学習テーブル25の内容を参照して決定する。なお、MAC学習テーブル25には、これまでに受信されたフレームに付与されていた送信元MACアドレスが、当該フレームが受信されたポートのポート番号ごとに登録されている。
次に動作について説明する。
図4は、フレーム転送部21がフレームを入力したときの処理を示すフローチャートである。ポートA〜ポートDのいずれかのポートでフレームが受信されると、フレーム転送部21は、受信されたフレームに含まれる、VLAN IDが管理用VLAN IDであり、かつ、宛先MACアドレスが認証スイッチ装置2宛であるか否かを判定する(ステップST1)。なお、管理用VLAN IDは、管理用VLANを識別するVLAN識別情報である。
図4は、フレーム転送部21がフレームを入力したときの処理を示すフローチャートである。ポートA〜ポートDのいずれかのポートでフレームが受信されると、フレーム転送部21は、受信されたフレームに含まれる、VLAN IDが管理用VLAN IDであり、かつ、宛先MACアドレスが認証スイッチ装置2宛であるか否かを判定する(ステップST1)。なお、管理用VLAN IDは、管理用VLANを識別するVLAN識別情報である。
入力されたフレームに含まれるVLAN IDが管理用VLAN IDではないか、宛先が認証スイッチ装置2ではないか、またはこれらの両方である場合(ステップST1;NO)、ステップST2に移行する。ステップST2において、フレーム転送部21は、入力されたフレームに含まれる宛先MACアドレスが“01−80−C2−00−00−03”であり、かつ、上記フレームに含まれるEtherTypeが“0x888E”であるか否かを判定する。
宛先MACアドレスが“01−80−C2−00−00−03”であり、かつEtherTypeが“0x888E”である場合(ステップST2;YES)、フレーム転送部21は、入力されたフレームが認証フレームであると判定する。ここで、フレーム転送部21は、認証フレームにおけるVLAN IDを管理用VLAN IDに変換し、認証フレームが受信されたポートのポート番号を特定し、認証フレームのデータ領域を拡張し、ポート番号および変換前のVLAN IDを付与する(ステップST3)。
入力されたフレームに含まれるVLAN IDが管理用VLAN IDであり、かつ宛先MACアドレスが認証スイッチ装置2宛てである(ステップST1;YES)、フレーム転送部21は、当該フレームをフレーム処理部20に転送する(ステップST4)。
また、ステップST3の処理が完了すると、フレーム転送部21は、ステップST3で得られたフレームを、フレーム処理部20に転送する。
また、ステップST3の処理が完了すると、フレーム転送部21は、ステップST3で得られたフレームを、フレーム処理部20に転送する。
宛先MACアドレスが“01−80−C2−00−00−03”ではないか、または、EtherTypeが“0x888E”ではない場合(ステップST2;NO)、フレーム転送部21は、入力されたフレームをフレーム処理部20に転送しない(ステップST5)。フレーム転送部21は、入力されたフレームが認証フレーム以外である場合、図7を用いて後述するように、MAC学習テーブル25に基づいて、フレームの転送先を決定する。
図5は、フレーム処理部20によるユーザ端末テーブル22に対する処理を示すフローチャートである。フレーム処理部20のフレーム判定部23は、フレーム転送部21から入力したフレームが、認証フレームであるかどうかを確認するために、フレームのヘッダ情報におけるEtherTypeが“0x888E”であるか否かを判定する(ステップST1a)。
EtherTypeが“0x888E”である場合(ステップST1a;YES)、フレーム判定部23は、入力したフレームが認証フレームであると判定し、認証フレームに付与されているポート番号およびVLAN IDを取得する(ステップST2a)。
次に、フレーム判定部23は、認証フレームから取得したポート番号およびVLAN IDを、認証フレームに設定されている送信元MACアドレスに対応付けて、ユーザ端末テーブル22に登録する(ステップST3a)。ユーザ端末テーブル22は、フレーム判定部23によって自動的に更新される。フレーム判定部23は、認証フレームを認証処理部24に出力する。
認証処理部24は、フレーム判定部23から入力した認証フレームに基づいて、ユーザ端末5の認証処理を開始する(ステップST4a)。
例えば、認証処理部24は、認証フレームからアカウント情報を取得し、フレーム転送部21に指示して、取得したアカウント情報をRADIUSサーバ4に送信させてユーザ端末5の認証を問い合わせる。RADIUSサーバ4は、認証スイッチ装置2からアカウント情報を受信すると、予め登録されたアカウント情報と、受信したアカウント情報とを照合してユーザ端末5の認証を実施する。ユーザ端末5の認証に成功した場合、RADIUSサーバ4は、認証スイッチ装置2へ認証結果を返信する。
例えば、認証処理部24は、認証フレームからアカウント情報を取得し、フレーム転送部21に指示して、取得したアカウント情報をRADIUSサーバ4に送信させてユーザ端末5の認証を問い合わせる。RADIUSサーバ4は、認証スイッチ装置2からアカウント情報を受信すると、予め登録されたアカウント情報と、受信したアカウント情報とを照合してユーザ端末5の認証を実施する。ユーザ端末5の認証に成功した場合、RADIUSサーバ4は、認証スイッチ装置2へ認証結果を返信する。
EtherTypeが“0x888E”ではない場合(ステップST1a;NO)、フレーム判定部23は、入力したフレームが認証フレームではないので、当該フレームを廃棄する(ステップST5a)。
また、フレーム判定部23は、RADIUSサーバ4から返信された認証結果が認証の失敗である場合に、認証に失敗したユーザ端末5に対応するポート番号およびVLAN IDをユーザ端末テーブル22から削除する。
また、フレーム判定部23は、RADIUSサーバ4から返信された認証結果が認証の失敗である場合に、認証に失敗したユーザ端末5に対応するポート番号およびVLAN IDをユーザ端末テーブル22から削除する。
図6は、フレーム処理部20が送信対象のフレームを出力するまでの処理を示すフローチャートである。まず、フレーム判定部23は、送信対象のフレームが認証フレームであるかどうかを確認するため、送信対象のフレームのヘッダ情報におけるEtherTypeが“0x888E”であるか否かを判定する(ステップST1b)。
このとき、EtherTypeが“0x888E”ではない場合(ステップST1b;NO)、フレーム処理部20は、図6の処理を終了する。
一方、EtherTypeが“0x888E”である場合(ステップST1b;YES)、フレーム判定部23は、送信対象のフレームが認証フレームであることから、認証フレームに付与されている宛先MACアドレスをキーとして、ユーザ端末テーブル22からポート番号およびVLAN IDを取得する(ステップST2b)。
次に、フレーム判定部23は、ユーザ端末テーブル22から取得したポート番号およびVLAN IDを、送信対象のフレームに付与する(ステップST3b)。
一方、EtherTypeが“0x888E”である場合(ステップST1b;YES)、フレーム判定部23は、送信対象のフレームが認証フレームであることから、認証フレームに付与されている宛先MACアドレスをキーとして、ユーザ端末テーブル22からポート番号およびVLAN IDを取得する(ステップST2b)。
次に、フレーム判定部23は、ユーザ端末テーブル22から取得したポート番号およびVLAN IDを、送信対象のフレームに付与する(ステップST3b)。
この後、フレーム判定部23は、送信対象のフレームをフレーム転送部21に出力する(ステップST4b)。送信対象のフレームは認証フレームであるので、フレーム判定部23は、送信対象のフレームの宛先MACアドレスに“01−80−C2−00−00−03”を設定する。なお、“01−80−C2−00−00−03”は、ユーザ端末5の認証用に予約されているマルチキャストアドレスであり、認証フレームの宛先MACアドレスとして一般的に用いられている。
図7は、フレーム転送部21が送信対象のフレームを転送するまでの処理を示すフローチャートである。フレーム転送部21は、送信対象のフレームに設定された宛先MACアドレスが“01−80−C2−00−00−03”であり、かつ、EtherTypeが“0x888E”であるか否かを判定する(ステップST1c)。
宛先MACアドレスが“01−80−C2−00−00−03”ではないか、または、EtherTypeが“0x888E”ではない場合(ステップST1c;NO)、フレーム転送部21は、送信対象のフレームに設定された宛先MACアドレスがMAC学習テーブル25に登録されているか否かを確認する(ステップST2c)。
一方、宛先MACアドレスが“01−80−C2−00−00−03”であり、かつ、EtherTypeが“0x888E”である場合(ステップST1c;YES)、フレーム転送部21は、送信対象のフレームが認証フレームであるので、この認証フレームから、ポート番号およびVLAN IDを取得する(ステップST3c)。
続いて、フレーム転送部21は、ステップST3cで取得したポート番号に基づいて、転送先のポートを特定し、送信対象のフレームから取得したVLAN IDを、特定したポートに割り当てる(ステップST4c)。すなわち、フレーム転送部21は、認証フレームから取得したポート番号に基づいて転送先のポートを特定し、特定したポートに転送されるフレームのVLAN IDを、送信対象のフレームから取得したVLAN IDに変更する。
この後、フレーム転送部21は、ステップST4cで特定したポートにフレームを転送する(ステップST5c)。なお、送信対象のフレームの宛先MACアドレスとして使用される“01−80−C2−00−00−03”は、マルチキャストアドレスであることから、ポートを特定しないと不必要なポートにフレームが転送されてしまう。このため、フレーム転送部21は、ステップST4cで特定したポートのみにフレームを転送する。ユーザ端末5のユーザは、認証フレームに含まれる認証結果から、ユーザ端末5が認証に成功したことを知ることができる。
また、送信対象のフレームに含まれる宛先MACアドレスがMAC学習テーブル25に登録されていた場合(ステップST2c;YES)、フレーム転送部21は、MAC学習テーブル25に登録されているMACアドレスに対応するポートにフレームを転送する(ステップST6c)。これにより、認証フレーム以外のフレームがユーザ端末5に転送される。
送信対象のフレームに含まれる宛先MACアドレスがMAC学習テーブル25に登録されていなければ(ステップST2c;NO)、フレーム転送部21は、管理用VLANに属する全てのポートにフレームを転送する(ステップST7c)。このようにして、認証スイッチ装置2の制御に関するフレームが、管理用VLANを介して転送される。
実施の形態1に係る認証スイッチ装置2は、例えば、L2スイッチに適用することが可能である。L2スイッチに適用した場合であっても、ポート番号およびVLAN IDを付与したフレームを利用することで、VLAN IDとアカウント情報を切り離して設定することが可能である。
以上のように、実施の形態1に係る認証スイッチ装置2は、ユーザ端末テーブル22、フレーム処理部20およびフレーム転送部21を備える。ユーザ端末テーブル22は、ポート番号およびVLAN IDがユーザ端末5のMACアドレスごとに登録されている。フレーム処理部20は、認証に成功したユーザ端末5のアドレス情報をキーとしてユーザ端末テーブル22からポート番号およびVLAN IDを取得する。フレーム処理部20は、例えば、IEEE802.1X認証を実施する。フレーム転送部21は、ユーザ端末テーブル22から取得されたポート番号およびVLAN IDに基づいて、認証に成功したユーザ端末5が接続するポート特定し、特定したポートが属するVLANを設定して認証結果を転送する。
このように構成することで、ユーザ端末5に割り当てるVLAN IDをRADIUSサーバ4で保持する必要がない。従って、VLAN IDとアカウント情報とを切り離して設定できることから、RADIUSサーバ4に登録されているアカウント情報を更新しなくても、VLANを構築することができる。
このように構成することで、ユーザ端末5に割り当てるVLAN IDをRADIUSサーバ4で保持する必要がない。従って、VLAN IDとアカウント情報とを切り離して設定できることから、RADIUSサーバ4に登録されているアカウント情報を更新しなくても、VLANを構築することができる。
実施の形態1に係る認証スイッチ装置2において、フレーム処理部20が、認証フレームに含まれるポート番号およびVLAN IDを使用してユーザ端末テーブル22を更新し、認証に失敗したユーザ端末5に対応するポート番号およびVLAN IDを、ユーザ端末テーブル22から削除する。これにより、ユーザ端末テーブル22が自立的に作成および更新されるので、ネットワークの保守者によるユーザ端末テーブル22の作成作業が不要となる。
実施の形態2.
実施の形態1は、フレーム処理部が備えるユーザ端末テーブルを示したが、実施の形態2では、フレーム転送部がユーザ端末テーブルを備える構成について説明する。
図8は、この発明の実施の形態2に係る認証スイッチ装置2Aの構成を示すブロック図である。図8において、図1と同一の構成要素には同一の符号を付して説明を省略する。実施の形態2におけるネットワークシステムは、図1に示したネットワークシステム1における認証スイッチ装置2を、認証スイッチ装置2Aに置き換えたものである。
実施の形態1は、フレーム処理部が備えるユーザ端末テーブルを示したが、実施の形態2では、フレーム転送部がユーザ端末テーブルを備える構成について説明する。
図8は、この発明の実施の形態2に係る認証スイッチ装置2Aの構成を示すブロック図である。図8において、図1と同一の構成要素には同一の符号を付して説明を省略する。実施の形態2におけるネットワークシステムは、図1に示したネットワークシステム1における認証スイッチ装置2を、認証スイッチ装置2Aに置き換えたものである。
認証スイッチ装置2Aは、ポートA〜ポートD、フレーム処理部20Aおよびフレーム転送部21Aを備える。フレーム処理部20Aは、認証フレームに基づいてユーザ端末5の認証処理を実施し、認証に成功したユーザ端末5のMACアドレスを出力する処理部である。また、フレーム処理部20Aは、フレーム判定部23Aおよび認証処理部24Aを備える。
フレーム判定部23Aは、認証スイッチ装置2A宛ての制御用のフレームを使用して、認証スイッチ装置2Aの制御に関する処理を実施する。
認証処理部24Aは、アカウント情報が設定された認証フレームに基づいて、ユーザ端末5の認証処理を実施する。認証処理において、認証処理部24Aは、RADIUSサーバ4にアカウント情報を問い合わせるためのパケットを作成し、当該パケットをフレーム転送部21Aから送信し、RADIUSサーバ4から認証結果を受信する。
認証処理部24Aは、アカウント情報が設定された認証フレームに基づいて、ユーザ端末5の認証処理を実施する。認証処理において、認証処理部24Aは、RADIUSサーバ4にアカウント情報を問い合わせるためのパケットを作成し、当該パケットをフレーム転送部21Aから送信し、RADIUSサーバ4から認証結果を受信する。
フレーム転送部21Aは、ユーザ端末テーブル22Aから取得したポート番号およびVLAN IDに基づいて、認証に成功したユーザ端末5が接続するポートを特定し、特定したポートが属するVLANを設定して認証結果を転送する転送部である。
例えば、フレーム転送部21Aは、ユーザ端末テーブル22Aから取得したポート番号から、認証に成功したユーザ端末5が接続しているポートを特定し、特定したポートに転送するフレームのVLAN IDを、ユーザ端末テーブル22Aから取得したVLAN IDに変更する。
例えば、フレーム転送部21Aは、ユーザ端末テーブル22Aから取得したポート番号から、認証に成功したユーザ端末5が接続しているポートを特定し、特定したポートに転送するフレームのVLAN IDを、ユーザ端末テーブル22Aから取得したVLAN IDに変更する。
ユーザ端末テーブル22Aは、実施の形態1と同様に、認証フレームが受信されたポートのポート番号およびこのポートが属するVLANのVLAN IDが、認証フレームを送信したユーザ端末5のMACアドレスごとに登録されたテーブルデータである。
実施の形態2におけるユーザ端末テーブル22Aは、フレーム転送部21Aによって、ポート番号およびVLAN IDが更新される。
実施の形態2におけるユーザ端末テーブル22Aは、フレーム転送部21Aによって、ポート番号およびVLAN IDが更新される。
次に動作について説明する。
図9は、フレーム転送部21Aによるユーザ端末テーブル22Aに対する処理を示すフローチャートである。まず、フレーム転送部21Aは、受信フレームに含まれる、VLAN IDが管理用VLAN IDであり、かつ、宛先MACアドレスが認証スイッチ装置2A宛であるか否かを判定する(ステップST1d)。
図9は、フレーム転送部21Aによるユーザ端末テーブル22Aに対する処理を示すフローチャートである。まず、フレーム転送部21Aは、受信フレームに含まれる、VLAN IDが管理用VLAN IDであり、かつ、宛先MACアドレスが認証スイッチ装置2A宛であるか否かを判定する(ステップST1d)。
受信されたフレームに含まれるVLAN IDが管理用VLAN IDではないか、宛先が認証スイッチ装置2Aではないか、または、これらの両方である場合(ステップST1d;NO)、フレーム転送部21Aは、受信されたフレームに含まれる宛先MACアドレスが“01−80−C2−00−00−03”であり、かつ、EtherTypeが“0x888E”であるか否かを判定する(ステップST2d)。
宛先MACアドレスが“01−80−C2−00−00−03”であり、かつ、EtherTypeが“0x888E”である場合(ステップST2d;YES)、フレーム転送部21Aは、受信されたフレームが認証フレームであると判定する。このとき、フレーム転送部21Aは、認証フレームから、ポート番号およびVLAN IDを取得する(ステップST3d)。
次に、フレーム転送部21Aは、認証フレームに設定されている送信元MACアドレスに対応付けて、認証フレームから取得したポート番号およびVLAN IDをユーザ端末テーブル22Aに登録する(ステップST4d)。このようにして、ユーザ端末テーブル22Aは、フレーム転送部21Aによって自動的に更新される。
続いて、フレーム転送部21Aは、認証フレームから取得したVLAN IDを管理用VLAN IDに変換する(ステップST5d)。
続いて、フレーム転送部21Aは、認証フレームから取得したVLAN IDを管理用VLAN IDに変換する(ステップST5d)。
受信されたフレームに含まれるVLAN IDが管理用VLAN IDであり、かつ、宛先MACアドレスが認証スイッチ装置2宛である場合(ステップST1d;YES)、フレーム転送部21Aは、受信されたフレームをフレーム処理部20Aに転送する(ステップST6d)。ステップST5dの処理が完了すると、フレーム転送部21Aは、ステップST5dで得られたフレームを、フレーム処理部20Aに転送する。
宛先MACアドレスが“01−80−C2−00−00−03”ではないか、または、EtherTypeが“0x888E”ではない場合(ステップST2d;NO)、フレーム転送部21Aは、受信されたフレームをフレーム処理部20Aに転送しない(ステップST7d)。
図10は、フレーム処理部20Aがフレームを入力したときの処理を示すフローチャートである。フレーム処理部20Aのフレーム判定部23Aは、フレーム転送部21Aから転送されてきたフレームが、認証フレームであるかどうかを確認するために、フレームのヘッダ情報におけるEtherTypeが“0x888E”であるか否かを判定する(ステップST1e)。
EtherTypeが“0x888E”である場合(ステップST1e;YES)、フレーム判定部23Aは、フレーム転送部21Aから転送されてきたフレームが認証フレームであると判定する。フレーム判定部23Aは、認証フレームを認証処理部24Aに出力する。認証処理部24Aは、フレーム判定部23Aから入力した認証フレームに基づいてユーザ端末5の認証処理を開始する(ステップST2e)。認証処理は、実施の形態1と同様である。
一方、EtherTypeが“0x888E”ではない場合(ステップST1e;NO)、フレーム判定部23Aは、フレーム転送部21Aから転送されてきたフレームが認証フレームではないので、当該フレームを廃棄する(ステップST3e)。
図11は、フレーム処理部20Aが送信対象のフレームを出力するまでの処理を示すフローチャートである。まず、フレーム処理部20Aのフレーム判定部23Aは、送信対象のフレームが認証フレームであるかどうかを確認するため、送信対象のフレームのヘッダ情報におけるEtherTypeが“0x888E”であるか否かを判定する(ステップST1f)。
このとき、EtherTypeが“0x888E”ではない場合(ステップST1f;NO)、フレーム処理部20Aは、図11の処理を終了する。
一方、EtherTypeが“0x888E”であれば(ステップST1f;YES)、フレーム判定部23Aは、送信対象のフレームが認証フレームであると判定する。
このとき、フレーム判定部23Aは、認証に成功したユーザ端末5のMACアドレス(送信元MACアドレス)を認証フレームに付与する(ステップST2f)。
続いて、フレーム判定部23は、ステップST2fでユーザ端末5のMACアドレスを付与した送信対象のフレームを、フレーム転送部21に出力する(ステップST3f)。
一方、EtherTypeが“0x888E”であれば(ステップST1f;YES)、フレーム判定部23Aは、送信対象のフレームが認証フレームであると判定する。
このとき、フレーム判定部23Aは、認証に成功したユーザ端末5のMACアドレス(送信元MACアドレス)を認証フレームに付与する(ステップST2f)。
続いて、フレーム判定部23は、ステップST2fでユーザ端末5のMACアドレスを付与した送信対象のフレームを、フレーム転送部21に出力する(ステップST3f)。
図12は、フレーム転送部21Aが送信対象のフレームを転送するまでの処理を示すフローチャートである。フレーム転送部21Aは、送信対象のフレームに設定された宛先MACアドレスが“01−80−C2−00−00−03”で、かつ、EtherTypeが“0x888E”であるか否かを判定する(ステップST1g)。
宛先MACアドレスが“01−80−C2−00−00−03”ではないか、または、EtherTypeが“0x888E”ではない場合(ステップST1g;NO)、フレーム転送部21Aは、送信対象のフレームに含まれる宛先MACアドレスが、MAC学習テーブル25に登録されているか否かを確認する(ステップST2g)。
一方、宛先MACアドレスが“01−80−C2−00−00−03”であり、かつ、EtherTypeが“0x888E”である場合(ステップST1g;YES)、フレーム転送部21Aは、送信対象のフレームが認証フレームであるので、この認証フレームから送信元MACアドレスを取得する(ステップST3g)。
続いて、フレーム転送部21Aは、ステップST3gで取得した送信元MACアドレスをキーとしてユーザ端末テーブル22Aからポート番号およびVLAN IDを取得する(ステップST4g)。
続いて、フレーム転送部21Aは、ステップST3gで取得した送信元MACアドレスをキーとしてユーザ端末テーブル22Aからポート番号およびVLAN IDを取得する(ステップST4g)。
フレーム転送部21Aは、ユーザ端末テーブル22Aから取得したポート番号に基づいて転送先のポートを特定し、ユーザ端末テーブル22Aから取得したVLAN IDを、特定したポートに割り当てる(ステップST5g)。すなわち、フレーム転送部21Aは、ユーザ端末テーブル22Aから取得したポート番号に基づいて転送先のポートを特定し、特定したポートに転送されるフレームのVLAN IDを、ユーザ端末テーブル22Aから取得したVLAN IDに変更する。
フレーム転送部21Aは、ステップST5gで特定したポートにフレームを転送する(ステップST6g)。ユーザ端末5のユーザは、認証フレームに含まれる認証結果からユーザ端末5が認証に成功したことを知ることができる。
また、送信対象のフレームに含まれる宛先MACアドレスがMAC学習テーブル25に登録されていた場合(ステップST2g;YES)、フレーム転送部21Aは、MAC学習テーブル25に登録されているMACアドレスに対応するポートにフレームを転送する(ステップST7g)。これにより、認証フレーム以外のフレームがユーザ端末5に転送される。
送信対象のフレームに含まれる宛先MACアドレスがMAC学習テーブル25に登録されていなければ(ステップST2g;NO)、フレーム転送部21Aは、管理用VLANに属する全てのポートにフレームを転送する(ステップST8g)。
このようにして、認証スイッチ装置2Aの制御に関するフレームが、管理用VLANを介して転送される。
このようにして、認証スイッチ装置2Aの制御に関するフレームが、管理用VLANを介して転送される。
実施の形態2に係る認証スイッチ装置2Aは、例えば、L2スイッチに適用することが可能である。L2スイッチに適用した場合であっても、ポート番号およびVLAN IDを付与したフレームを利用することで、VLAN IDとアカウント情報を切り離して設定することが可能である。
以上のように、実施の形態2に係る認証スイッチ装置2Aは、ユーザ端末テーブル22A、フレーム処理部20Aおよびフレーム転送部21Aを備える。ユーザ端末テーブル22Aは、ポート番号およびVLAN IDがユーザ端末5のMACアドレスごとに登録されている。フレーム処理部20Aは、認証フレームに基づいてユーザ端末5の認証処理を実施する。例えば、フレーム処理部20Aは、IEEE802.1X認証を実施する。フレーム転送部21Aは、認証フレームから取得した送信元MACアドレスをキーとして、ポート番号およびVLAN IDをユーザ端末テーブル22Aから取得し、取得したポート番号およびVLAN IDに基づいて、認証に成功したユーザ端末5が接続するポートを特定し、特定したポートが属するVLANを設定して認証結果を転送する。
このように構成しても、ユーザ端末5に割り当てるVLAN IDをRADIUSサーバ4で保持する必要がない。従って、VLAN IDとアカウント情報とを切り離して設定できることから、RADIUSサーバ4に登録されているアカウント情報を更新しなくても、VLANを構築することができる。
特に、フレーム処理部20Aの処理負荷が高い場合またはメモリの使用量が高い場合、フレーム処理部20Aではなく、フレーム転送部21Aが、ユーザ端末テーブル22Aの作成および更新を行うことができる。
このように構成しても、ユーザ端末5に割り当てるVLAN IDをRADIUSサーバ4で保持する必要がない。従って、VLAN IDとアカウント情報とを切り離して設定できることから、RADIUSサーバ4に登録されているアカウント情報を更新しなくても、VLANを構築することができる。
特に、フレーム処理部20Aの処理負荷が高い場合またはメモリの使用量が高い場合、フレーム処理部20Aではなく、フレーム転送部21Aが、ユーザ端末テーブル22Aの作成および更新を行うことができる。
実施の形態2に係る認証スイッチ装置2Aにおいて、フレーム転送部21Aが、認証フレームに含まれるポート番号およびVLAN IDを使用してユーザ端末テーブル22Aを更新し、認証に失敗したユーザ端末5に対応するポート番号およびVLAN IDを、ユーザ端末テーブル22Aから削除する。これにより、ユーザ端末テーブル22Aが自立的に作成および更新されるので、ネットワークの保守者によるユーザ端末テーブル22Aの作成作業が不要となる。
なお、本発明は上記実施の形態に限定されるものではなく、本発明の範囲内において、実施の形態のそれぞれの自由な組み合わせまたは実施の形態のそれぞれの任意の構成要素の変形もしくは実施の形態のそれぞれにおいて任意の構成要素の省略が可能である。
1 ネットワークシステム、2,2A 認証スイッチ装置、3 ハブ、4 RADIUSサーバ、5 ユーザ端末、6 ローカルエリアネットワーク、20,20A フレーム処理部、21,21A フレーム転送部、22,22A ユーザ端末テーブル、23,23A フレーム判定部、24,24A 認証処理部、25 MAC学習テーブル。
Claims (9)
- 認証情報が受信されたポートを識別するためのポート識別情報およびポートが属する仮想ローカルエリアネットワークを識別するためのVLAN識別情報が、前記認証情報を送信したユーザ端末に固有なアドレス情報ごとに登録されたテーブルデータと、
前記認証情報に基づいてユーザ端末の認証処理を実施し、認証に成功したユーザ端末に固有なアドレス情報をキーとして前記テーブルデータから取得したポート識別情報およびVLAN識別情報を出力する処理部と、
前記処理部から出力されたポート識別情報およびVLAN識別情報に基づいて、認証に成功したユーザ端末が接続するポートを特定し、特定したポートにユーザ端末の認証結果を転送する転送部と、を備えた
ことを特徴とする認証スイッチ装置。 - 前記処理部は、前記認証情報に含まれるポート識別情報およびVLAN識別情報を使用して前記テーブルデータを更新し、認証に失敗したユーザ端末に対応するポート識別情報およびVLAN識別情報を前記テーブルデータから削除する
ことを特徴とする請求項1記載の認証スイッチ装置。 - 認証情報が受信されたポートを識別するためのポート識別情報およびポートが属する仮想ローカルエリアネットワークを識別するためのVLAN識別情報が、前記認証情報を送信したユーザ端末に固有なアドレス情報ごとに登録されたテーブルデータと、
前記認証情報に基づいてユーザ端末の認証処理を実施する処理部と、
前記認証情報から取得したアドレス情報をキーとしてポート識別情報およびVLAN識別情報を前記テーブルデータから取得し、取得したポート識別情報およびVLAN識別情報に基づいて、認証に成功したユーザ端末が接続するポートを特定し、特定したポートにユーザ端末の認証結果を転送する転送部と、を備えた
ことを特徴とする認証スイッチ装置。 - 前記転送部は、前記認証情報に含まれるポート識別情報およびVLAN識別情報を使用して前記テーブルデータを更新し、認証に失敗したユーザ端末に対応するポート識別情報およびVLAN識別情報を前記テーブルデータから削除する
ことを特徴とする請求項3記載の認証スイッチ装置。 - 前記処理部は、IEEE802.1X認証を行う
ことを特徴とする請求項1から請求項4のうちのいずれか1項記載の認証スイッチ装置。 - 請求項1から請求項5のうちのいずれか1項記載の認証スイッチ装置と、
前記処理部からの問い合わせに応じてユーザ端末の認証処理を実施して認識結果を返信する認証サーバと、
認証スイッチ装置が有するポートに接続されたユーザ端末と、を備えた
ことを特徴とするネットワークシステム。 - 請求項1または請求項2記載の認証スイッチ装置の認証方法であって、
前記処理部が、前記認証情報に基づいてユーザ端末の認証処理を実施し、認証に成功したユーザ端末に固有なアドレス情報をキーとして前記テーブルデータから取得したポート識別情報およびVLAN識別情報を出力するステップと、
前記転送部が、前記処理部から出力されたポート識別情報およびVLAN識別情報に基づいて、認証に成功したユーザ端末が接続するポート特定し、特定したポートにユーザ端末の認証結果を転送するステップと、を備えた
ことを特徴とする認証方法。 - 請求項3または請求項4記載の認証スイッチ装置の認証方法であって、
前記処理部が、前記認証情報に基づいてユーザ端末の認証処理を実施するステップと、
前記転送部が、前記認証情報から取得したアドレス情報をキーとしてポート識別情報およびVLAN識別情報を前記テーブルデータから取得し、取得したポート識別情報およびVLAN識別情報に基づいて、認証に成功したユーザ端末が接続するポートにユーザ端末の認証結果を転送するステップと、を備えた
ことを特徴とする認証方法。 - 前記処理部は、IEEE802.1X認証を行う
ことを特徴とする請求項7または請求項8記載の認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017230574A JP6967950B2 (ja) | 2017-11-30 | 2017-11-30 | 認証スイッチ装置、ネットワークシステムおよび認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017230574A JP6967950B2 (ja) | 2017-11-30 | 2017-11-30 | 認証スイッチ装置、ネットワークシステムおよび認証方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019102928A JP2019102928A (ja) | 2019-06-24 |
| JP6967950B2 true JP6967950B2 (ja) | 2021-11-17 |
Family
ID=66974248
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017230574A Active JP6967950B2 (ja) | 2017-11-30 | 2017-11-30 | 認証スイッチ装置、ネットワークシステムおよび認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6967950B2 (ja) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009267987A (ja) * | 2008-04-28 | 2009-11-12 | Mitsubishi Electric Corp | 局側装置、ponシステムおよびホームゲートウェイ装置 |
| JP2010187314A (ja) * | 2009-02-13 | 2010-08-26 | Hitachi Cable Ltd | 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法 |
| US8064458B2 (en) * | 2009-06-23 | 2011-11-22 | Nortel Networks Limited | Method and apparatus for simulating IP multinetting |
| JP5364671B2 (ja) * | 2010-10-04 | 2013-12-11 | アラクサラネットワークス株式会社 | ネットワーク認証における端末接続状態管理 |
| JP6106558B2 (ja) * | 2013-08-30 | 2017-04-05 | アラクサラネットワークス株式会社 | 通信システム及び認証スイッチ |
-
2017
- 2017-11-30 JP JP2017230574A patent/JP6967950B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019102928A (ja) | 2019-06-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7752653B1 (en) | Method and apparatus for registering auto-configured network addresses based on connection authentication | |
| US7886149B2 (en) | Method and apparatus for assigning network addresses based on connection authentication | |
| US8488569B2 (en) | Communication device | |
| US7337224B1 (en) | Method and apparatus providing policy-based determination of network addresses | |
| CN108881308B (zh) | 一种用户终端及其认证方法、系统、介质 | |
| US8019891B2 (en) | Network connection control technique, network connection technique and authentication apparatus | |
| CN106559292A (zh) | 一种宽带接入方法和装置 | |
| WO2011041967A1 (zh) | 匿名通信的方法、注册方法、信息收发方法及系统 | |
| US20180227299A1 (en) | Methods and devices for identifying an authentication server | |
| CN106302353B (zh) | 身份认证方法、身份认证系统和相关设备 | |
| JP4852379B2 (ja) | パケット通信装置 | |
| US10856145B2 (en) | Method and device for identifying visited and home authentication servers | |
| US8769623B2 (en) | Grouping multiple network addresses of a subscriber into a single communication session | |
| EP3664403B1 (en) | User authentication of bras under architecture of mutually separated forwarding and control | |
| JP2005167646A (ja) | 接続制御システム、接続制御装置、及び接続管理装置 | |
| US20160112286A1 (en) | Method and system for detecting use of wrong internet protocol address | |
| WO2018039901A1 (zh) | 用于ip地址分配的方法、装置、系统和计算机程序产品 | |
| WO2016152416A1 (ja) | 通信管理システム、アクセスポイント、通信管理装置、接続制御方法、通信管理方法、及びプログラム | |
| JP5261432B2 (ja) | 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム | |
| JP6967950B2 (ja) | 認証スイッチ装置、ネットワークシステムおよび認証方法 | |
| CN113055191B (zh) | 一种转发方法、装置、宽带远程接入服务器的转发面 | |
| JP2006067057A (ja) | ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント | |
| KR101690498B1 (ko) | 스위치에 네트워크를 설정하는 방법, 이를 사용한 스위치 및 컴퓨터 판독 가능한 기록매체 | |
| KR20170119364A (ko) | Sdn 기반 응용 서비스 제공 시스템 및 방법 | |
| JP5624112B2 (ja) | 無線ローカルエリアネットワークにおけるサービス品質制御 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200721 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20200721 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210526 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210706 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210826 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210928 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211026 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6967950 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |