JP4173866B2 - 通信装置 - Google Patents
通信装置 Download PDFInfo
- Publication number
- JP4173866B2 JP4173866B2 JP2005043898A JP2005043898A JP4173866B2 JP 4173866 B2 JP4173866 B2 JP 4173866B2 JP 2005043898 A JP2005043898 A JP 2005043898A JP 2005043898 A JP2005043898 A JP 2005043898A JP 4173866 B2 JP4173866 B2 JP 4173866B2
- Authority
- JP
- Japan
- Prior art keywords
- vlan
- authentication
- list
- network
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Accounting & Taxation (AREA)
- Business, Economics & Management (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Description
本発明は、認証時にネットワークの選択を可能にする通信装置に関する。
現在、ユーザによるネットワークへの通信を制限する機能として、802.1X認証が利用されている。802.1Xでは、認証サーバ(Authentication Server)と組み合わ
せて認証スイッチ等(Authenticator)がユーザ端末(Supplicant)を認証する。「Authenticator」および「Supplicant」は、802.1Xで使用される用語であるが、以下の説明において、それぞれ「認証スイッチ」および「ユーザ端末」という。
せて認証スイッチ等(Authenticator)がユーザ端末(Supplicant)を認証する。「Authenticator」および「Supplicant」は、802.1Xで使用される用語であるが、以下の説明において、それぞれ「認証スイッチ」および「ユーザ端末」という。
図22は、802.1X認証における従来のユーザ認証処理手順を示すフローチャートである。まず、コンピュータ等のユーザ端末102は、識別番号(ID)やパスワード等を用い認証スイッチ104へ接続要求を送信する。接続要求を受信すると、認証スイッチ104は接続要求を送信したユーザ端末102の認証を認証サーバ106へ依頼する。認証スイッチ104から認証依頼があると、認証サーバ106はユーザ端末102の認証を行う。認証サーバ106は認証結果を認証スイッチ104を経由してユーザ端末102へ通知する。そして、ユーザ端末102はネットワークへの接続が可能となる。
また、802.1X認証のオプション機能として、ユーザ認証の際にユーザ端末毎にバーチャルLAN(VLAN)を動的に割り当てる機能(Dynamic VLAN)がある。このダイナミックVLAN機能は、認証サーバ106に登録したユーザ名とVLANの対応表を参照することで、認証サーバ106が認証スイッチ104に対してVLANを割り当てる機能である(図22の「EAP Success」、「Radius Access Accept」)。
また、認証サーバがユーザの指定した条件で認証データを選択する既知の技術として、以下のようなものがある。
特許文献1は、複数の認証方式を備え、ユーザが入力するユーザ名とパスワード以外の属性情報に従いその認証方式を選択実行する認証システムを開示する。
特許文献2は、異なる利用サービスのユーザ認証システムを統合し、ユーザが1つのIDとパスワードで様々なサービスを享受できるユーザ認証システムを開示する。
特許文献3は、ネットワークAとネットワークBで認証サーバ106、および秘密情報を共有化し、ネットワークBに対する認証を、IEEE802.1xを使用しセキュリティ性の高いネットワークAで送信するユーザ認証システムを開示する。
特開平11‐175476号公報
特開2003‐132022号公報
特開2004‐72631号公報
特許文献1は、複数の認証方式を備え、ユーザが入力するユーザ名とパスワード以外の属性情報に従いその認証方式を選択実行する認証システムを開示する。
特許文献2は、異なる利用サービスのユーザ認証システムを統合し、ユーザが1つのIDとパスワードで様々なサービスを享受できるユーザ認証システムを開示する。
特許文献3は、ネットワークAとネットワークBで認証サーバ106、および秘密情報を共有化し、ネットワークBに対する認証を、IEEE802.1xを使用しセキュリティ性の高いネットワークAで送信するユーザ認証システムを開示する。
上記従来技術では、認証時にネットワーク(VLAN)の割り当てを行う際、広範囲にわたりユーザが物理的に移動する場合に、以下の問題点があった。
(1)ユーザは複数のネットワークにアクセスする権限があっても、使用するユーザ端末ごとに予め決められたネットワークに接続されていた。即ち、ユーザは移動先で任意の1つのネットワークを選択しアクセスできなかった。また、認証スイッチに登録されているネットワークと異なるネットワークにアクセスしたい場合は、異なるネットワーク毎に別のユーザ名を用意する必要があり、利便性に問題があった。
(1)ユーザは複数のネットワークにアクセスする権限があっても、使用するユーザ端末ごとに予め決められたネットワークに接続されていた。即ち、ユーザは移動先で任意の1つのネットワークを選択しアクセスできなかった。また、認証スイッチに登録されているネットワークと異なるネットワークにアクセスしたい場合は、異なるネットワーク毎に別のユーザ名を用意する必要があり、利便性に問題があった。
ネットワークの通知は認証サーバから認証スイッチに対し認証プロトコル(RADIUS protocol)の属性(Attribute)を用いて行うため、ユーザ端末まで伝達されない。そのため、ユーザ端末が任意のネットワークを選択できなかった。
本発明はこのような問題を解決するためになされたもので、複数のネットワークにアクセスする権限を有するユーザが任意のネットワークへのアクセスを可能にする通信装置を提供することを目的とする。
本発明は上記目的を達成するため、複数のネットワークを示す第1のネットワークリストを記憶する記憶部、第1の認証プロトコルを使用して複数のネットワークを示す第2のネットワークリストを受信する受信部、送信用ネットワークリストを生成するために第1のネットワークリストと第2のネットワークリストでAND演算を実行する演算部、送信用ネットワークリストを外部へ送信する送信手段を含む通信装置。
通信装置が認証時に第1のネットワークリストと第2のネットワークリストでAND演算を実行し、送信用ネットワークリストを生成するので、通信装置で利用可能なネットワークのみを含む送信用ネットワークリストを外部へ送信することができる。
本発明によれば、複数のネットワークにアクセスする権限を有するユーザが任意のネットワークへのアクセスを可能とする。
以下、図面を参照して本発明の実施形態に係る通信装置について説明する。実施形態の構成は例示であり、本発明は実施形態の構成に限定されない。尚、本発明は、ハードウェア及びソフトウェアにより実施可能である。プログラムからなるソフトウェアにより実行させる場合には、そのソフトウェアを構成するプログラムをコンピュータ等のハードウェアにインストールすることで、各種の機能を実現できる。また、プログラムは、通信回線を通じてまたはコンピュータ読み取り可能な記憶媒体を使用してコンピュータ等へインストールされる。
ここで、コンピュータ読み取り可能な記憶媒体とは、データやプログラム 等の情報を
電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータから読み取ることができる記憶媒体をいう。このような記憶媒体のうちコンピュータから取り外し可能なものとしては、例えばフレキシブルディスク、光磁気ディスク、CD−ROM、CD−R/W、DVD、DAT、8mmテープ、メモリカード等がある。また、コンピュータに固定された記憶媒体としてハードディスクやROM(リードオンリーメモリ)等がある。
電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータから読み取ることができる記憶媒体をいう。このような記憶媒体のうちコンピュータから取り外し可能なものとしては、例えばフレキシブルディスク、光磁気ディスク、CD−ROM、CD−R/W、DVD、DAT、8mmテープ、メモリカード等がある。また、コンピュータに固定された記憶媒体としてハードディスクやROM(リードオンリーメモリ)等がある。
図1及び図2はユーザ認証及びVLAN選択機能を実現するユーザ認証の手順を示すフローチャートである。本実施形態において実現できる機能を、図2に示すようにEAP‐MD5認証方式を例として、以下説明する。
ここで、「EAP」とは、「extensible Authentication Protocol」の略で、従来よりダイアルアップ接続等に利用されている認証プロトコルPPPを拡張したプロトコルである。IEEE802.1Xにおいて、標準で用いられ、ユーザ名・パスワード以外に電子証明書やスマートカード等、様々な認証方式をサポートする。「IEEE802.1X」は、ネットワーク機器に接続する端末に対し認証を行い、アクセス制御を行う規格である。IEEE802.1X/EAPを無線LANで利用する場合、無線LANクライントに
は802.1X端末機能(supplicant)が必要である。
は802.1X端末機能(supplicant)が必要である。
図1及び図2は、ユーザ端末2(Supplicant)が認証スイッチ4(Authenticator)を
介して認証サーバ6(RADIUSサーバ)にユーザ認証を要求し、ユーザ端末2へVLANが割り当てられるまでの手順を示す。なお、これらの手順は認証方法に依存するため、異なる認証方法では異なる手順となる。ユーザ端末2は、802.1Xのサプリカント機能を実装した端末である。
介して認証サーバ6(RADIUSサーバ)にユーザ認証を要求し、ユーザ端末2へVLANが割り当てられるまでの手順を示す。なお、これらの手順は認証方法に依存するため、異なる認証方法では異なる手順となる。ユーザ端末2は、802.1Xのサプリカント機能を実装した端末である。
本実施例において提供される主な3つの機能を次に示す。
<機能1>
第1の機能はユーザ端末2が選択できるVLANを制限する機能(フィルタリング機能)である(認証サーバ6、スイッチ等:図3〜図13)。第1の機能の実現方法は以下の2通りである。
<機能1>
第1の機能はユーザ端末2が選択できるVLANを制限する機能(フィルタリング機能)である(認証サーバ6、スイッチ等:図3〜図13)。第1の機能の実現方法は以下の2通りである。
(機能1(A):認証サーバ6へのVLANリスト送信)
認証スイッチ4が、認証スイッチ4に登録されているVLANリスト(本発明の「第2のネットワークリスト」に相当:VLAN IDのみ又はユーザ名とVLAN IDからなるリスト)を認証サーバ6に送信する(図1、S4)。そして、認証サーバ6は、認証サーバ6に登録されているVLANリスト(本発明の「第1のネットワークリスト」に相当:VLAN IDの
み又ユーザ名とVLAN IDからなるリスト)と認証スイッチ4から送信されたVLANリス
トを比較する(AND演算)。認証サーバ6は、演算により一致するVLAN IDのみを含むVLANリスト(本発明の「送信用VLANリスト」に相当)を生成し、ユーザ端末2に通知する(S9、S10)。VLAN IDのみを含むVLANリストとは一致しないVLAN IDは含まないリストである。本実施形態では、ユーザ端末2に送信するVLANリストはVLAN IDとVLAN名を含んでいる。
認証スイッチ4が、認証スイッチ4に登録されているVLANリスト(本発明の「第2のネットワークリスト」に相当:VLAN IDのみ又はユーザ名とVLAN IDからなるリスト)を認証サーバ6に送信する(図1、S4)。そして、認証サーバ6は、認証サーバ6に登録されているVLANリスト(本発明の「第1のネットワークリスト」に相当:VLAN IDの
み又ユーザ名とVLAN IDからなるリスト)と認証スイッチ4から送信されたVLANリス
トを比較する(AND演算)。認証サーバ6は、演算により一致するVLAN IDのみを含むVLANリスト(本発明の「送信用VLANリスト」に相当)を生成し、ユーザ端末2に通知する(S9、S10)。VLAN IDのみを含むVLANリストとは一致しないVLAN IDは含まないリストである。本実施形態では、ユーザ端末2に送信するVLANリストはVLAN IDとVLAN名を含んでいる。
(機能1(B):認証サーバ6へのVLANリスト要求)
認証スイッチ4は、認証サーバ6へVLANリストの送信を要求する(図2、S21)。認証サーバ6は、VLANリスト(本発明の「第2のネットワークリスト」に相当:ユーザ名とVLAN IDからなるリスト)を認証スイッチ4へ送信する(S22)。認証スイッ
チ4は、認証スイッチ4に登録されているVLANリスト(本発明の「第1のネットワークリスト」に相当:VLAN IDのみ又はユーザ名とVLAN IDからなるリスト)と認証サーバ6から送信されたVLANリストを比較する(AND演算)。認証スイッチ4は、演算により一致するVLAN IDのみを含むVLANリスト(本発明の「送信用VLANリスト」に相当)を生成し、ユーザ端末2に通知する(S23)。
認証スイッチ4は、認証サーバ6へVLANリストの送信を要求する(図2、S21)。認証サーバ6は、VLANリスト(本発明の「第2のネットワークリスト」に相当:ユーザ名とVLAN IDからなるリスト)を認証スイッチ4へ送信する(S22)。認証スイッ
チ4は、認証スイッチ4に登録されているVLANリスト(本発明の「第1のネットワークリスト」に相当:VLAN IDのみ又はユーザ名とVLAN IDからなるリスト)と認証サーバ6から送信されたVLANリストを比較する(AND演算)。認証スイッチ4は、演算により一致するVLAN IDのみを含むVLANリスト(本発明の「送信用VLANリスト」に相当)を生成し、ユーザ端末2に通知する(S23)。
第1のネットワークリストとは、AND演算を実行する装置側の認証スイッチ4又は認証サーバ6に記憶されたVLANリストである。第1のネットワークリストは、ネットワーク識別情報(VLAN ID)又は、ユーザ識別情報(ユーザ名)及びネットワーク識別情報
(VLAN ID)を含む。
(VLAN ID)を含む。
第2のネットワークリストとは、AND演算を実行するためのデータとして認証スイッチ4又は認証サーバ6から送信されるVLANリストである。第2のネットワークリストは、ネットワーク識別情報(VLAN ID)からなるリスト又は、ユーザ識別情報(ユーザ名
)及びネットワーク識別情報(VLAN ID)からなるリストがある。認証スイッチ4はネッ
トワーク識別情報(VLAN ID)からなるリストを認証サーバ6へ送信する。また、認証サ
ーバ6はネットワーク識別情報(ユーザ名及びVLAN ID)及びネットワーク特定情報(VLAN ID及びVLAN Name)を認証スイッチ4へ送信する。しかし、ネットワーク特定情報はユ
ーザが文字情報を表示することにより視覚的に任意のネットワークを特定するために利用される情報である。そのため、本発明の目的はネットワーク識別情報を使用することで達
成可能である。即ち、認証スイッチ4がユーザ端末2へ利用可能なVLAN IDを送信すれば、ユーザは任意のVLANを選択可能になる。
)及びネットワーク識別情報(VLAN ID)からなるリストがある。認証スイッチ4はネッ
トワーク識別情報(VLAN ID)からなるリストを認証サーバ6へ送信する。また、認証サ
ーバ6はネットワーク識別情報(ユーザ名及びVLAN ID)及びネットワーク特定情報(VLAN ID及びVLAN Name)を認証スイッチ4へ送信する。しかし、ネットワーク特定情報はユ
ーザが文字情報を表示することにより視覚的に任意のネットワークを特定するために利用される情報である。そのため、本発明の目的はネットワーク識別情報を使用することで達
成可能である。即ち、認証スイッチ4がユーザ端末2へ利用可能なVLAN IDを送信すれば、ユーザは任意のVLANを選択可能になる。
<機能2>
第2の機能は、VLAN IDとVLAN名(VLAN Name)を対応付け(マッピング)
して生成したメッセージをユーザ端末2で表示させるために送信する機能である(認証サーバ6:図15)。
第2の機能は、VLAN IDとVLAN名(VLAN Name)を対応付け(マッピング)
して生成したメッセージをユーザ端末2で表示させるために送信する機能である(認証サーバ6:図15)。
<機能3>
第3の機能は、ユーザが任意にVLANを選択できる機能である(ユーザ端末2:図17、図18)。
第3の機能は、ユーザが任意にVLANを選択できる機能である(ユーザ端末2:図17、図18)。
以下、図1を参照して、上記機能を実現する手順を説明する。
ステップS1において、ユーザ端末2は、ネットワーク(認証スイッチ4)へ接続要求(通信リクエスト)を送信する。
ステップS2において、認証スイッチ4は、ユーザ端末2よりEAPパケットのみを受信し、ユーザ端末2にユーザIDの送信を要求する。
ステップS3において、ユーザ端末2はユーザID(ユーザ識別情報)を認証スイッチ4へ送信する。
ステップS4において、認証スイッチ4はユーザ端末2からの通信リクエストを認証サーバ6へ送信する(機能1(A))。このとき、認証スイッチ4は、認証スイッチ4に登録されているVLANリストも認証サーバ6へ送信する。
ステップS1において、ユーザ端末2は、ネットワーク(認証スイッチ4)へ接続要求(通信リクエスト)を送信する。
ステップS2において、認証スイッチ4は、ユーザ端末2よりEAPパケットのみを受信し、ユーザ端末2にユーザIDの送信を要求する。
ステップS3において、ユーザ端末2はユーザID(ユーザ識別情報)を認証スイッチ4へ送信する。
ステップS4において、認証スイッチ4はユーザ端末2からの通信リクエストを認証サーバ6へ送信する(機能1(A))。このとき、認証スイッチ4は、認証スイッチ4に登録されているVLANリストも認証サーバ6へ送信する。
ステップS5、S6において、認証サーバ6は認証スイッチ4を経由してユーザ端末2に対してパスワードの送信を要求する。
ステップS7、S8において、ユーザ端末2は認証スイッチ4を経由して認証サーバ6に対してパスワードを送信する。
ステップS9において、ユーザ認証後、認証サーバ6は(i)ステップS4で生成したVLANリストと(ii)認証サーバ6のVLAN IDとVLAN Nameの対応マップ(本発明の「ネットワーク特定情報」に相当)とを参照及び比較する。認証サーバ6は、新しく生成したVLANリスト(送信用VLANリスト)を認証スイッチ4に通知する(機能1及び機能2)。
ステップS7、S8において、ユーザ端末2は認証スイッチ4を経由して認証サーバ6に対してパスワードを送信する。
ステップS9において、ユーザ認証後、認証サーバ6は(i)ステップS4で生成したVLANリストと(ii)認証サーバ6のVLAN IDとVLAN Nameの対応マップ(本発明の「ネットワーク特定情報」に相当)とを参照及び比較する。認証サーバ6は、新しく生成したVLANリスト(送信用VLANリスト)を認証スイッチ4に通知する(機能1及び機能2)。
ステップS10において、認証スイッチ4は、ユーザ端末2からのアクセスを希望するVLAN ID(VLAN Name)をユーザ端末2へ問い合わせる。即ち、認証スイッチ4は
、ステップS9で認証サーバ6から受信したVLANリストをユーザ端末2に通知する(
機能1(A))。
、ステップS9で認証サーバ6から受信したVLANリストをユーザ端末2に通知する(
機能1(A))。
ステップS11において、ユーザ端末2は認証スイッチ4からの問い合わせに対する応答として、ユーザにより選択(指定)されたVLAN IDを送信する(機能3)。
ステップS12において、認証スイッチ4は、ユーザ端末2からのアクセス許可を求めるために、受信したVLAN IDを認証サーバ6へ送信する。
ステップS13において、認証サーバ6は、VLANリストとの照合結果により指定されたVLAN IDへのアクセス許可を認証スイッチ4へ送信する。
ステップS14において、認証スイッチ4は、VLANへのアクセスが許可されたことを通知するために、アクセス許可をユーザ端末2へ送信する。ユーザ端末2はアクセス許可を受信すると選択したVLANへアクセスできる。
ステップS12において、認証スイッチ4は、ユーザ端末2からのアクセス許可を求めるために、受信したVLAN IDを認証サーバ6へ送信する。
ステップS13において、認証サーバ6は、VLANリストとの照合結果により指定されたVLAN IDへのアクセス許可を認証スイッチ4へ送信する。
ステップS14において、認証スイッチ4は、VLANへのアクセスが許可されたことを通知するために、アクセス許可をユーザ端末2へ送信する。ユーザ端末2はアクセス許可を受信すると選択したVLANへアクセスできる。
図1のユーザ認証においては、VLANリストを認証サーバ6で生成する例を説明した。図2においては、認証スイッチ4が認証サーバ6から送信されたVLANリストを用い
て新しいVLANリストを生成する。以下、図2において、図1と特に異なるステップS21〜S23について説明する。
て新しいVLANリストを生成する。以下、図2において、図1と特に異なるステップS21〜S23について説明する。
ステップS21において、認証スイッチ4は、ユーザ端末2からの通信リクエストを受信するとVLANリスト要求(VLAN list Request)を認証サーバ6へ送信する(機能1
(B))。
(B))。
ステップS22において、ユーザ認証後、認証サーバ6に登録されたVLANリストを認証スイッチ4へ送信する。
ステップS23において、認証スイッチ4は、ステップS21で要求したVLANリスト(VLAN IDとVLAN Name)と認証スイッチ4のVLANリストの対応マップを参照及び比較する(図15)。認証スイッチ4は、新しく生成したVLANリストをユーザ端末2へ通知する(機能1及び機能2)。
ステップS23において、認証スイッチ4は、ステップS21で要求したVLANリスト(VLAN IDとVLAN Name)と認証スイッチ4のVLANリストの対応マップを参照及び比較する(図15)。認証スイッチ4は、新しく生成したVLANリストをユーザ端末2へ通知する(機能1及び機能2)。
図1及び図2のシーケンスは基本的に従来のEAP‐MD5によるユーザ認証と同様である。本発明の実施形態における技術的特徴(VLAN選択機能)は、図1のステップS4、S9〜12と、図2のステップS21〜23、S11〜S13に示される。
上記技術的特徴は、図20に示されるRFC2865 5.26項にて規定されているVSA(Vender Specific Attribute)[26]と、図21に示されるRFC3748 5.8.項にて規定されているEAPタイプ(Experimental types(255))を用いて実現できる。
“Experimental types”は、内容、フォーマットに規定がなく、実験的に試験等を行う場合に用いられている。
“Experimental types”は、内容、フォーマットに規定がなく、実験的に試験等を行う場合に用いられている。
図3は、認証スイッチ4の内部構造を示す図である。処理A〜処理Gは、図1及び図2のステップS1〜S14、S21〜S23と対応する。
「処理A」においては、受信したメッセージがスイッチングエンジン8(制御部)のパケット判別/処理部10でEAPOLメッセージと判別された場合、パケットバッファメモリ12及びメモリキュー14を介してEAPOLメッセージをEAPパケット処理部16へ転送する(ステップS1)。EAPパケット処理部16はEAPOLメッセージのときユーザID要求メッセージを生成する。その後、「処理D」へ移行し、ユーザID要求(EAP Request, Identify)をユーザ端末2へ送信する(ステップS2)。
「処理A」においては、受信したメッセージがスイッチングエンジン8(制御部)のパケット判別/処理部10でEAPOLメッセージと判別された場合、パケットバッファメモリ12及びメモリキュー14を介してEAPOLメッセージをEAPパケット処理部16へ転送する(ステップS1)。EAPパケット処理部16はEAPOLメッセージのときユーザID要求メッセージを生成する。その後、「処理D」へ移行し、ユーザID要求(EAP Request, Identify)をユーザ端末2へ送信する(ステップS2)。
「処理B」においては、スイッチングエンジン8(制御部)のパケット判別/処理部10がEAPパケットと判別した場合、EAPパケット処理部16は、認証サーバ6へ送信するためにEAPパケットをRADIUSパケットに変換する(ステップS3、S7、S11)。そして、「処理D」へ移行する。
「処理C」においては、スイッチングエンジン8(制御部)のパケット判別/処理部10がRADIUSパケットと判別した場合、RADIUSパケット処理部18がユーザ端末2へ送信するためにRADIUSパケットをEAPパケットに変換する(ステップS5、S9、S13)。そして「処理E」へ移行する。
「処理D」においては、EAPパケット処理部16は、各フェーズ毎のパケットを生成する命令をパケット生成部20に対して行う。その後、ポート番号‐VLAN対応メモリ22、ポート番号‐MACアドレス対応メモリ24を参照して出力ポートを決定し、対応する出力ポートのパケットバッファメモリ12に転送し、各ポートより出力する(ステップS2、S4、S8、S12、S21)。
「処理E」においては、RADIUSパケット処理部18より各フェーズ毎のパケット
を生成する命令をパケット生成部20に対して行う。その後、ポート番号‐VLAN対応メモリ22、ポート番号‐MACアドレス対応メモリ24を参照して出力ポートを決定し、対応する出力ポートのパケットバッファメモリ12に転送し、各ポートより出力する(ステップS6、S10、S14)。尚、認証スイッチと認証サーバ間の認証処理はレイヤー3のみでなくレイヤー2で閉じて行うこともできる。
を生成する命令をパケット生成部20に対して行う。その後、ポート番号‐VLAN対応メモリ22、ポート番号‐MACアドレス対応メモリ24を参照して出力ポートを決定し、対応する出力ポートのパケットバッファメモリ12に転送し、各ポートより出力する(ステップS6、S10、S14)。尚、認証スイッチと認証サーバ間の認証処理はレイヤー3のみでなくレイヤー2で閉じて行うこともできる。
「処理F(機能1(B)のみ)」においては、RADIUSパケット処理部18が"Radius Access Challenge"と判断し、なおかつVLANリストを認証サーバ6から受信した
場合、VLANリスト生成部26においてユーザ端末2への送信用VLANリストを生成する(S22)。
場合、VLANリスト生成部26においてユーザ端末2への送信用VLANリストを生成する(S22)。
VLANリスト生成部26は、認証サーバ6から受信したVLANリストと認証スイッチ4自身の保持するVLANリストをVLANリスト保持メモリ28(本発明の「記憶部」に相当)から読み込み、AND演算部30(本発明の「演算部」に相当)において一致するVLAN IDで構成されるVLANリストを生成する。RADIUSパケット処理部18はメッセージをEAPパケットに変換して、EAPパケットを送信用VLANリストとしてパケット生成部20へ渡す。そして、「処理E」へ移行する。
「処理G」において、スイッチングエンジン8(制御部)のパケット判別/処理部10が“RADIUS Accept”と判別した場合、RADIUSパケット処理部18は“Attribute”に記述されているVLAN IDを当該ポートの情報へ書き換えるようにVLANアサイン処理部32に命令を出す。VLANアサイン処理部32は、ポート番号‐VLAN対応メモリ22内のテーブルを書き換える。
図4は、認証スイッチ4において認証サーバ6へVLANリストを送信する(機能1(A))際の動作を示すフローチャートである。図5は、認証スイッチ4において認証サーバ6へVLANリスト要求を送信する(機能1(B))際の動作を示すフローチャートである。図5については、機能1(A)と異なるステップS60〜S64について説明する。
認証スイッチ4は、ユーザ端末2又は認証サーバ6からパケットを受け取ると、スイッチングエンジン8(制御部)へ転送する(S41、S42)。パケット判別/処理部10は受信したパケットがEAPパケットであるかどうかを判断する(S43)。受信したパケットがEAPパケットでないと判断されたとき、ステップS51へ移行する。
受信したパケットがEAPパケットであると判断されたとき、受信したパケットはEAPパケット処理部16へ渡される。次に、EAPパケット処理部16はEAPOLメッセージかどうかを判断する(S44)。EAPOLメッセージでないとき、EAPパケット処理部16のメッセージ変換処理部はEAPパケットをRADIUSパケットに変換する(S45)。
EAPOLメッセージであるとき、EAPパケット処理部16はEAPパケットをパケット生成部20へ渡し、パケット生成部20はVLAN設定情報とポート番号‐MACアドレス対応メモリ24を参照して出力ポートを決定する(S46、S47)。
パケット判別/処理部10がEAPパケットでないと判断したとき、パケット判別/処理部10はRADIUSパケットかどうかを判断する(S51)。RADIUSパケットでないとき、パケット判別/処理部10は受信したパケットをパケット生成部20へ渡し、パケット生成部20はVLAN設定情報とポート番号‐MACアドレス対応メモリ24を参照して出力ポートを決定する(S52、S53)。
RADIUSパケットであるとき、パケット生成部20はRADIUSパケットをRADIUSパケット処理部18へ渡す。RADIUSパケット処理部18は、“RADIUS Access Accept"メッセージであるかどうかを判断する(S54)。“RADIUS Access Accept"メッセージでないとき、RADIUSパケット処理部18のメッセージ変換処理部はRADIUSパケットをEAPパケットに変換する(S55)。
“RADIUS Access Accept"メッセージであるとき、RADIUSパケット処理部18は
、“Attribute”に記述されているVLAN IDを当該ポートの情報へ書き換えるよう
にVLANアサイン処理部32に命令を出す。VLANアサイン処理部32は、ポート番号‐VLAN対応メモリ22内のテーブルを書き換える。RADIUSパケット処理部18のメッセージ変換処理部はRADIUSパケットをEAPパケットに変換する。(S56)
RADIUSパケット処理部18はEAPパケットをパケット生成部20へ渡し、パケット生成部20はVLAN設定情報とポート番号‐MACアドレス対応メモリ24を参照して出力ポートを決定する(S57、S58)。以上のように処理されたパケットはポートからユーザ端末2又は認証サーバ6へ出力される(S59)。
、“Attribute”に記述されているVLAN IDを当該ポートの情報へ書き換えるよう
にVLANアサイン処理部32に命令を出す。VLANアサイン処理部32は、ポート番号‐VLAN対応メモリ22内のテーブルを書き換える。RADIUSパケット処理部18のメッセージ変換処理部はRADIUSパケットをEAPパケットに変換する。(S56)
RADIUSパケット処理部18はEAPパケットをパケット生成部20へ渡し、パケット生成部20はVLAN設定情報とポート番号‐MACアドレス対応メモリ24を参照して出力ポートを決定する(S57、S58)。以上のように処理されたパケットはポートからユーザ端末2又は認証サーバ6へ出力される(S59)。
次に、図5のステップS60〜S64について説明する。
RADIUSパケット処理部18が(i)受信したRADIUSパケットが“RADIUS Access Challenge"であり、且つ、(ii)認証サーバ6からVLANリストを受信したと判断したとき、VLANリストをVLANリスト生成部26へ渡す(S60)。
RADIUSパケット処理部18が(i)受信したRADIUSパケットが“RADIUS Access Challenge"であり、且つ、(ii)認証サーバ6からVLANリストを受信したと判断したとき、VLANリストをVLANリスト生成部26へ渡す(S60)。
VLANリスト生成部26は、ポート番号‐VLAN対応メモリ22に登録されているVLANリストと認証サーバ6から送信したVLANリストを比較し、新しいVLANリストを生成する(S61)。VLANリスト生成部26は、演算により一致するVLAN
IDのみを含むVLANリストを生成後、ポート番号‐VLAN対応メモリ22に書き
込む(S62)。
IDのみを含むVLANリストを生成後、ポート番号‐VLAN対応メモリ22に書き
込む(S62)。
VLANリスト生成部26は、EAPパケットをパケット生成部20へ渡し、パケット生成部20はVLAN設定情報とポート番号‐MACアドレス対応メモリ24を参照して出力ポートを決定する(S57、S58)。以上のように処理されたパケットはポートからユーザ端末又は認証サーバ6へ出力される(S59)。
図6は、認証サーバ6へ送信するRADIUSメッセージフォーマットの一例を示す図である(機能1(A))。認証スイッチ4は、通常の“RADIUS Access Request”の属性
(Attribute)に加えて、自身に定義されているVLAN ID(Attribute-Specific:"1-10")をVSA(Vender Specific Attribute)(26)を用いて認証サーバ6へ送信する。
認証サーバ6は、新しいVLANリストを生成するために図6に示すようにVLAN ID(Attribute-Specific:"1-10")を使用する。
(Attribute)に加えて、自身に定義されているVLAN ID(Attribute-Specific:"1-10")をVSA(Vender Specific Attribute)(26)を用いて認証サーバ6へ送信する。
認証サーバ6は、新しいVLANリストを生成するために図6に示すようにVLAN ID(Attribute-Specific:"1-10")を使用する。
図7は、認証サーバ6の内部で送信用VLANリスト(新しいVLANリスト)を生成する手順を示す図である。図8は、認証サーバ6の内部構造を示す図である。
認証サーバ6は受信したVLAN IDと保持しているVLANリストを照合し、一致するVLAN IDのみで構成されるVLANリストを新たに生成する。認証サーバ6は、図8に示すように、CPU34とユーザ情報記憶部36(本発明の「記憶部」に相当)から構成されている。CPU34はVLAN処理部38とRADIUS処理部40を含んでいる。
認証サーバ6は受信したVLAN IDと保持しているVLANリストを照合し、一致するVLAN IDのみで構成されるVLANリストを新たに生成する。認証サーバ6は、図8に示すように、CPU34とユーザ情報記憶部36(本発明の「記憶部」に相当)から構成されている。CPU34はVLAN処理部38とRADIUS処理部40を含んでいる。
ユーザ情報記憶部36は図7のVLANリスト(2)を予め記憶している。VLANリ
スト(2)は、ユーザ名(TEST、TEST2)、アトリビュート、VLAN IDを含んでいる。ユーザ情報記憶部36は図7に示すVLANリストの他に図15で示すVLAN名リスト(VLAN Name list)を記憶している。VLANリストとVLAN名リストとの関係については後述する。
スト(2)は、ユーザ名(TEST、TEST2)、アトリビュート、VLAN IDを含んでいる。ユーザ情報記憶部36は図7に示すVLANリストの他に図15で示すVLAN名リスト(VLAN Name list)を記憶している。VLANリストとVLAN名リストとの関係については後述する。
図1のステップS4で受信した認証スイッチ4のVLANリスト(1)と認証サーバ6のVLANリスト(2)とをVLAN処理部38で照合する。ここで、VLAN ID(Attribute-Specific:"1-10")は、認証スイッチ4がユーザ端末2と通信可能であるVL
AN IDを示している。
AN IDを示している。
認証サーバ6のユーザ名「TEST」は「1−10、100」のVLAN IDが利用可能であることを示す。しかし、VLANリストを送信した認証スイッチ4がユーザ端末2と通信可能であるVLAN IDが「1−10」であるため、VLAN処理部38は「100」を削除して「TEST 1−10」を含む送信用VLANリストを生成する(本発明の「演算部」に相当)。そして、RADIUS処理部40は生成したVLANリストを処理し認証スイッチ4へ送信する。
ここで、認証スイッチ4から送信されるデータはVLAN IDのみである。認証スイッチ4は、送信用VLANリストを受信すると図1のステップS3で受信したユーザIDと送信用VLANリストを照合してユーザID(「TEST」または「TEST2」)に対するVLAN ID(「1−10」または「1、2」)をユーザ端末2へ送信する。
また、認証スイッチ4が受信した送信用VLANリストを単にユーザ端末2へ送信するようにしてもよい。このとき、ユーザ端末2は送信用VLANリストとステップS3で入力されたユーザIDとを照合して表示用VLANリストを生成し、選択可能にVLANリストをユーザ端末2の表示部へ表示する。
図9は認証サーバ6が送信用VLANリストを生成する処理を示すフローチャートである。図1のステップS4〜S9の処理に相当する。認証スイッチ4からパケットを受信すると、認証サーバ6は“RADIUS Access Request”パケットであるかどうかを判断する(
S71)。
S71)。
“RADIUS Access Request”パケットでないとき、RADIUS処理部40がパスワード
の認証処理等を実行する(S75)。ここで、ユーザ端末2から送信されるユーザIDはパスワードと共に認証処理に使用される。
の認証処理等を実行する(S75)。ここで、ユーザ端末2から送信されるユーザIDはパスワードと共に認証処理に使用される。
“RADIUS Access Request”パケットであるとき、VLAN処理部38は認証スイッチ
4から受信したVLANリストを送信用VLANリスト生成部へ一時的に保存する(S72)。VLAN処理部38はユーザ情報記憶部36のユーザ名などのVLAN情報を参照し送信用VLANリスト生成部に一時的に保存する(S73)。
4から受信したVLANリストを送信用VLANリスト生成部へ一時的に保存する(S72)。VLAN処理部38はユーザ情報記憶部36のユーザ名などのVLAN情報を参照し送信用VLANリスト生成部に一時的に保存する(S73)。
送信用VLANリスト生成部は一時的に記憶したVLANリスト(1)及びVLANリスト(2)を使用して送信用VLANリストを生成する(AND演算、S74)。パスワード認証後、RADIUS処理部40は生成した送信用VLANリストを “Access Challenge Request”パケットとして認証スイッチ4へ送信する(S75)。
次に、図10〜図13を参照して、認証スイッチ4が認証サーバ6へVLANリスト要求を送信し、受信したVLANリストを使用してAND演算を実行する動作について説明する。
図10は、認証サーバ6へ送信するRADIUSメッセージフォーマットの一例を示す図である(機能1(B))。認証スイッチ4は、通常の“RADIUS Access Request”の属
性(Attribute)に加えて、認証サーバ6に登録されているVLANリストを要求するた
めにVLANリスト要求(Vender type=2)を送信する。
性(Attribute)に加えて、認証サーバ6に登録されているVLANリストを要求するた
めにVLANリスト要求(Vender type=2)を送信する。
認証スイッチ4は、VSA(Vender Specific Attribute)(26)を用いてLANリスト
要求を送信する。VLANリスト要求を受信すると認証サーバ6は保持しているVLANリストを用いて、送信用VLANリストを生成する(図11及び図12)。
要求を送信する。VLANリスト要求を受信すると認証サーバ6は保持しているVLANリストを用いて、送信用VLANリストを生成する(図11及び図12)。
図11は、認証サーバ6の内部で送信用VLANリスト(保持しているVLANリスト)を生成する手順を示す図である。図12は、認証サーバ6の内部構造を示す図である。
認証サーバ6は認証スイッチ4からVLANリスト要求(1)を受信すると、ユーザ情報記憶部36からVLANリスト(2)を読み出す。VLAN処理部38は読み出したVLANリスト(2)から送信用VLANリスト(3)を生成する。そして、RADIUS処理部40は生成したVLANリスト(3)を処理し認証スイッチ4へ送信する。
図11において、認証サーバ6は認証スイッチ4からVLANリストが送信されないため、新しいVLANリストを生成することなく、読み出したVLANリストを認証サーバ6へ送信する。
図13は、認証サーバ6が送信用VLANリストを生成する処理を示すフローチャートである。図2のステップS21〜S22の処理に相当する。認証スイッチ4からパケットを受信すると、認証サーバ6は“RADIUS Access Request”パケットであるかどうかを判
断する(S81)。
断する(S81)。
“RADIUS Access Request”パケットでないとき、RADIUS処理部40がパスワード
の認証処理等を実行する(S83)。ユーザ端末2から送信されるユーザIDはパスワードと共に認証処理に使用される。
の認証処理等を実行する(S83)。ユーザ端末2から送信されるユーザIDはパスワードと共に認証処理に使用される。
“RADIUS Access Request”パケットであるとき、送信用VLANリスト生成部はVL
ANリスト(2)を使用して送信用VLANリスト(3)を生成する(S82)。パスワード認証後、RADIUS処理部40は生成した送信用VLANリストを “Access Challenge Request”パケットとして認証スイッチ4へ送信する(S83)。
ANリスト(2)を使用して送信用VLANリスト(3)を生成する(S82)。パスワード認証後、RADIUS処理部40は生成した送信用VLANリストを “Access Challenge Request”パケットとして認証スイッチ4へ送信する(S83)。
図14は認証スイッチ4へ送信するRADIUSメッセージフォーマットの一例を示す図である。図14において、RADIUSメッセージフォーマットは、VLAN ID「1」から「10」とVLAN名「Default」から「R&D」のVLAN情報を含む。“Sub-type:1”が“VLAN ID”であり、“Sub-type:2”が“VLAN Name”である。
認証サーバ6は、ユーザ認証を要求したユーザ「TEST」が通信可能なVLAN ID「1」から「10」を通知するために、図14のRADIUSメッセージフォーマットを生成及び送信する。図7に示すように、認証サーバはユーザ「TEST」がVLAN ID「1」から「10」及び「100」が利用可能であることを示している。しかし、認証スイッチ4が通信可能なVLAN IDに「100」が含まれていないため、ユーザ「TEST」が実際に利用可能なVLAN IDは「1」から「10」となる。
図15は、認証サーバ6の内部で送信用VLANリストを生成するために使用される2つのVLANリストを示す図である。認証サーバは、図1のステップS4でAND演算を実行して作成したVLANリストとVLAN名リストを参照して図14に示すRADIU
Sメッセージフォーマットを作成する。VLAN名リストは認証サーバ6に登録された複数の通信グループ(本発明の「ネットワーク」に相当)とVLAN IDの対応表である。
Sメッセージフォーマットを作成する。VLAN名リストは認証サーバ6に登録された複数の通信グループ(本発明の「ネットワーク」に相当)とVLAN IDの対応表である。
ユーザ認証を実行したユーザが「TEST2」のとき、認証サーバ6は、VLAN ID「1」、「2」とVLAN名「Default」と「Soumu」のVLAN情報を含むRADIUSメッセージフォーマットを生成する。
また、認証スイッチ4が、ユーザ「TEST2」へ送信するVLANリストを生成するためのAND演算を実行するようにしてもよい。例えば、認証サーバ6が認証スイッチ4で通信可能なVLAN ID「1」から「10」のみを認証スイッチ4へ送信した後、認証スイッチ4が認証サーバ6から受信したVLANリストと認証スイッチ4に保存されたVLANリストを比較して送信用VLANリストを生成してもよい。このとき、認証スイッチ4はVLAN ID「1」と「2」とVLAN名「Default」と「Soumu」のVLAN情報を含むEAPパケットを生成し、ユーザ端末2へ送信する。
また、図11の送信用VLANリスト(3)を通知するとき、図14のRADIUSメッセージフォーマットはVLAN ID「100」とVLAN名「xxxx」のVLAN情報を含む。認証スイッチ4でのみAND演算を実行するときは、認証スイッチ6は認証サーバに登録されたVLAN名リスト及びVLANリストの全てを受信する。
このように、ユーザ認証後、認証サーバ6(認証スイッチ4)は、ステップS4(S21)で生成した(i)VLANリストと(ii)VLAN IDとVLAN名の対応マップを参照し、ユーザ端末2へ通知する。認証スイッチ4は受信したRADIUSメッセージをEAPメッセージに変換して、利用可能なVLAN ID(ネットワーク)をユーザ端末2に通知する。
認証スイッチ4は、ユーザ端末2に対しアクセスを希望するVLAN ID(VLAN Name)の問い合わせを行う。ユーザ端末2は、VLANリストを選択可能にディスプレイな
どの表示部に表示しする。ユーザがマウスやキーボードなどの入力装置を用いて、アクセスを希望するVLAN IDを選択し、表示部に表示された「送信」ボタンなど操作する。
どの表示部に表示しする。ユーザがマウスやキーボードなどの入力装置を用いて、アクセスを希望するVLAN IDを選択し、表示部に表示された「送信」ボタンなど操作する。
ユーザ端末2は、認証スイッチ4からの問い合わせに対して、アクセスを希望するVLAN IDを送信する。図16に示す例において、ユーザ端末2は、VLAN ID「2」を認証スイッチ4へ送信する。
次に、図17及び図18を参照して、ユーザ端末2の内部構造と動作について説明する。図17はユーザ端末2(Supplicant)の内部構造を示す機能ブロック図である。図18はユーザ端末2の動作を説明するためのフローチャートである。
ユーザ端末2は外部とのデータを送受信するためのインターフェース42、受信したパケットの種類を判別するパケット判別部44、受信したEAPパケットを処理するEAP処理部46、処理したデータをパケット化するパケット生成部48、CPUで処理されたデータを表示するためのモニタなどの表示部50、キーボードやマウス等のデータを入力及び選択するための入力機器52を含む。
ユーザ端末2は認証スイッチ4から“EAP Experimental, vlan Request”パケットを受信すると、インターフェース42を経由してパケット判別部44へ受信パケットを渡す。パケット判別部44は受信パケットの種別を判別する(S91)。EAPパケットでない
とき、受信パケットに対して通常の処理を実行する(S96)。EAPパケットであるとき、パケット判別部44はEAP処理部46へEAPパケットを渡す。“EAP Experimental, vlan Request”パケットであると判別したとき、EAP処理部46はVLAN選択を促すメッセージを表示させるために、表示部50へ選択可能なVLANリストを渡す。EAP処理部46からデータを受信すると、表示部50は選択可能なVLANリストを表示する(S92)。
とき、受信パケットに対して通常の処理を実行する(S96)。EAPパケットであるとき、パケット判別部44はEAP処理部46へEAPパケットを渡す。“EAP Experimental, vlan Request”パケットであると判別したとき、EAP処理部46はVLAN選択を促すメッセージを表示させるために、表示部50へ選択可能なVLANリストを渡す。EAP処理部46からデータを受信すると、表示部50は選択可能なVLANリストを表示する(S92)。
ユーザが希望するVLAN ID(VLAN Name)を選択すると、EAP処理部は、ユー
ザによって入力されたVLAN IDを含んだフォーマット(図16)のメッセージを生成する命令をパケット生成部48に出し、EAPパケットを送信する(S94、S95)。
ザによって入力されたVLAN IDを含んだフォーマット(図16)のメッセージを生成する命令をパケット生成部48に出し、EAPパケットを送信する(S94、S95)。
認証スイッチ4は受信したEAPメッセージを図19に示すRADIUSメッセージに変換して、認証サーバ6に対してアクセス許可を求める(図1、図2、S12)。
<その他>
(付記1)
複数のネットワークを示す第1のネットワークリストを記憶する記憶部、
第1の認証プロトコルを使用して複数のネットワークを示す第2のネットワークリストを外部から受信する受信部、
送信用ネットワークリストを生成するために第1のネットワークリストと第2のネットワークリストでAND演算を実行する演算部、
前記送信用ネットワークリストを外部へ送信する送信部
を含む通信装置。
(付記2)
前記送信部は前記第1の認証プロトコルと異なる第2の認証プロトコルを使用して前記送信用ネットワークリストを送信する付記1記載の通信装置。
(付記3)
前記演算部は第1のネットワークリストと第2のネットワークリスト間で一致するネットワークのみを含む前記送信用ネットワークリストを生成する付記1記載の通信装置。
(付記4)
前記第1の認証プロトコルはRADIUSプロトコルである付記1記載の通信装置。
(付記5)
前記第2の認証プロトコルはEAP(Extensible Authentication Protocol)である付記2記載の通信装置。
(付記6)
前記第2のネットワークリストの送信を要求する送信要求部を更に含む付記1記載の通信装置。
(付記7)
前記通信装置は認証スイッチ又は認証サーバである付記1記載の通信装置。
(付記8)
前記第1のネットワークリストは認証スイッチが使用可能なネットワークを識別するためのネットワーク識別情報であり、前記第2のネットワークリストは、認証サーバに登録されたユーザが利用可能なネットワークを識別するためのネットワーク識別情報である付記7記載の通信装置。
(付記9)
前記第1のネットワークリストは認証サーバに登録されたユーザが利用可能なネットワークを識別するためのネットワーク識別情報であり、前記第2のネットワークリストは認証スイッチが使用可能なネットワークを識別するためのネットワーク識別情報である付記7記載の通信装置。
(付記10)
コンピュータに、
複数のネットワークを示す第1のネットワークリストを記憶する記憶ステップ、
第1の認証プロトコルを使用して複数のネットワークを示す第2のネットワークリストを外部から受信する受信ステップ、
送信用ネットワークリストを生成するために第1のネットワークリストと第2のネットワークリストでAND演算を実行する演算ステップ、
前記送信用ネットワークリストを外部へ送信する送信ステップ
を実行させる通信プログラム。
(付記11)
前記送信ステップは前記第1の認証プロトコルと異なる第2の認証プロトコルを使用して前記送信用ネットワークリストを送信する付記10記載の通信プログラム。
(付記12)
前記演算ステップは第1のネットワークリストと第2のネットワークリスト間で一致するネットワークのみを含む前記送信用ネットワークリストを生成する付記10記載の通信プログラム。
(付記13)
前記第1の認証プロトコルはRADIUSプロトコルである付記10記載の通信プログラム。
(付記14)
前記第2の認証プロトコルはEAP(Extensible Authentication Protocol)である付記11記載の通信プログラム。
(付記15)
前記第2のネットワークリストの送信を要求する送信要求ステップを更に含む付記10記載の通信プログラム。
(付記16)
コンピュータに、
複数のネットワークを示す第1のネットワークリストを記憶する記憶ステップ、
第1の認証プロトコルを使用して複数のネットワークを示す第2のネットワークリストを外部から受信する受信ステップ、
送信用ネットワークリストを生成するために第1のネットワークリストと第2のネットワークリストでAND演算を実行する演算ステップ、
前記送信用ネットワークリストを外部へ送信する送信ステップ
を含む通信方法。
(付記17)
前記送信ステップは前記第1の認証プロトコルと異なる第2の認証プロトコルを使用して前記送信用ネットワークリストを送信する付記16記載の通信方法。
(付記18)
前記演算ステップは第1のネットワークリストと第2のネットワークリスト間で一致するネットワークのみを含む前記送信用ネットワークリストを生成する付記16記載の通信方法。
(付記19)
前記第1の認証プロトコルはRADIUSプロトコルである付記16記載の通信方法。(付記20)
前記第2の認証プロトコルはEAP(Extensible Authentication Protocol)である付記17記載の通信方法。
(付記21)
前記第2のネットワークリストの送信を要求する送信要求ステップを更に含む付記16記載の通信方法。
<その他>
(付記1)
複数のネットワークを示す第1のネットワークリストを記憶する記憶部、
第1の認証プロトコルを使用して複数のネットワークを示す第2のネットワークリストを外部から受信する受信部、
送信用ネットワークリストを生成するために第1のネットワークリストと第2のネットワークリストでAND演算を実行する演算部、
前記送信用ネットワークリストを外部へ送信する送信部
を含む通信装置。
(付記2)
前記送信部は前記第1の認証プロトコルと異なる第2の認証プロトコルを使用して前記送信用ネットワークリストを送信する付記1記載の通信装置。
(付記3)
前記演算部は第1のネットワークリストと第2のネットワークリスト間で一致するネットワークのみを含む前記送信用ネットワークリストを生成する付記1記載の通信装置。
(付記4)
前記第1の認証プロトコルはRADIUSプロトコルである付記1記載の通信装置。
(付記5)
前記第2の認証プロトコルはEAP(Extensible Authentication Protocol)である付記2記載の通信装置。
(付記6)
前記第2のネットワークリストの送信を要求する送信要求部を更に含む付記1記載の通信装置。
(付記7)
前記通信装置は認証スイッチ又は認証サーバである付記1記載の通信装置。
(付記8)
前記第1のネットワークリストは認証スイッチが使用可能なネットワークを識別するためのネットワーク識別情報であり、前記第2のネットワークリストは、認証サーバに登録されたユーザが利用可能なネットワークを識別するためのネットワーク識別情報である付記7記載の通信装置。
(付記9)
前記第1のネットワークリストは認証サーバに登録されたユーザが利用可能なネットワークを識別するためのネットワーク識別情報であり、前記第2のネットワークリストは認証スイッチが使用可能なネットワークを識別するためのネットワーク識別情報である付記7記載の通信装置。
(付記10)
コンピュータに、
複数のネットワークを示す第1のネットワークリストを記憶する記憶ステップ、
第1の認証プロトコルを使用して複数のネットワークを示す第2のネットワークリストを外部から受信する受信ステップ、
送信用ネットワークリストを生成するために第1のネットワークリストと第2のネットワークリストでAND演算を実行する演算ステップ、
前記送信用ネットワークリストを外部へ送信する送信ステップ
を実行させる通信プログラム。
(付記11)
前記送信ステップは前記第1の認証プロトコルと異なる第2の認証プロトコルを使用して前記送信用ネットワークリストを送信する付記10記載の通信プログラム。
(付記12)
前記演算ステップは第1のネットワークリストと第2のネットワークリスト間で一致するネットワークのみを含む前記送信用ネットワークリストを生成する付記10記載の通信プログラム。
(付記13)
前記第1の認証プロトコルはRADIUSプロトコルである付記10記載の通信プログラム。
(付記14)
前記第2の認証プロトコルはEAP(Extensible Authentication Protocol)である付記11記載の通信プログラム。
(付記15)
前記第2のネットワークリストの送信を要求する送信要求ステップを更に含む付記10記載の通信プログラム。
(付記16)
コンピュータに、
複数のネットワークを示す第1のネットワークリストを記憶する記憶ステップ、
第1の認証プロトコルを使用して複数のネットワークを示す第2のネットワークリストを外部から受信する受信ステップ、
送信用ネットワークリストを生成するために第1のネットワークリストと第2のネットワークリストでAND演算を実行する演算ステップ、
前記送信用ネットワークリストを外部へ送信する送信ステップ
を含む通信方法。
(付記17)
前記送信ステップは前記第1の認証プロトコルと異なる第2の認証プロトコルを使用して前記送信用ネットワークリストを送信する付記16記載の通信方法。
(付記18)
前記演算ステップは第1のネットワークリストと第2のネットワークリスト間で一致するネットワークのみを含む前記送信用ネットワークリストを生成する付記16記載の通信方法。
(付記19)
前記第1の認証プロトコルはRADIUSプロトコルである付記16記載の通信方法。(付記20)
前記第2の認証プロトコルはEAP(Extensible Authentication Protocol)である付記17記載の通信方法。
(付記21)
前記第2のネットワークリストの送信を要求する送信要求ステップを更に含む付記16記載の通信方法。
2 ユーザ端末
4 認証スイッチ
6 認証サーバ
8 スイッチングエンジン
10 パケット判別/処理部
12 パケットバッファメモリ
14 メモリキュー
16 EAPパケット処理部
18 RADIUSパケット処理部
20 パケット生成部
22 ポート番号‐VLAN対応メモリ
24 ポート番号‐MACアドレス対応メモリ
26 VLANリスト生成部
28 VLANリスト保持メモリ
30 AND演算部
32 VLANアサイン処理部
34 CPU
36 ユーザ情報記憶部
38 VLAN処理部
40 RADIUS処理部
42 インターフェース
44 パケット判別部
46 EAP処理部
48 パケット生成部
50 表示部
52 入力機器
102 ユーザ端末
104 認証スイッチ
106 認証サーバ
4 認証スイッチ
6 認証サーバ
8 スイッチングエンジン
10 パケット判別/処理部
12 パケットバッファメモリ
14 メモリキュー
16 EAPパケット処理部
18 RADIUSパケット処理部
20 パケット生成部
22 ポート番号‐VLAN対応メモリ
24 ポート番号‐MACアドレス対応メモリ
26 VLANリスト生成部
28 VLANリスト保持メモリ
30 AND演算部
32 VLANアサイン処理部
34 CPU
36 ユーザ情報記憶部
38 VLAN処理部
40 RADIUS処理部
42 インターフェース
44 パケット判別部
46 EAP処理部
48 パケット生成部
50 表示部
52 入力機器
102 ユーザ端末
104 認証スイッチ
106 認証サーバ
Claims (9)
- ユーザ端末及び他の通信装置と通信可能な通信装置であって、
前記通信装置が前記ユーザ端末と通信可能な複数のネットワークを示す第1のネットワークリストを記憶する記憶部、
第1の認証プロトコルを使用して前記他の通信装置が前記ユーザ端末と通信可能な複数のネットワークを示す第2のネットワークリストを前記他の通信装置から受信する受信部、
前記第1のネットワークリストと前記第2のネットワークリストとの両方に含まれるネットワークを含む送信用ネットワークリストを生成する演算部、
前記送信用ネットワークリストを前記ユーザ端末へ送信する送信部、
を含む通信装置。 - 前記送信部は前記第1の認証プロトコルと異なる第2の認証プロトコルを使用して前記送信用ネットワークリストを送信する請求項1記載の通信装置。
- 前記第1の認証プロトコルはRADIUSプロトコルである請求項1記載の通信装置。
- 前記第2の認証プロトコルはEAP(Extensible Authentication Protocol)である請求項2記載の通信装置。
- 前記第2のネットワークリストの送信を要求する送信要求部を更に含む請求項1記載の通信装置。
- 前記通信装置は認証スイッチ又は認証サーバである請求項1記載の通信装置。
- 前記通信装置は認証スイッチであり、前記第1のネットワークリストは認証スイッチが使用可能なネットワークを識別するためのネットワーク識別情報であり、前記第2のネットワークリストは、認証サーバに登録されたユーザが利用可能なネットワークを識別するためのネットワーク識別情報である請求項1記載の通信装置。
- 前記通信装置は認証サーバであり、前記第1のネットワークリストは認証サーバに登録されたユーザが利用可能なネットワークを識別するためのネットワーク識別情報であり、前記第2のネットワークリストは認証スイッチが使用可能なネットワークを識別するためのネットワーク識別情報である請求項1記載の通信装置。
- ユーザ端末及び他の通信装置と通信可能なコンピュータに、
前記コンピュータが前記ユーザ端末と通信可能な複数のネットワークを示す第1のネットワークリストを記憶する記憶ステップ、
第1の認証プロトコルを使用して前記他の通信装置が前記ユーザ端末と通信可能な複数のネットワークを示す第2のネットワークリストを前記他の通信装置から受信する受信ステップ、
前記第1のネットワークリストと前記第2のネットワークリストとの両方に含まれるネットワークを含む送信用ネットワークリストを生成する演算ステップ、
前記送信用ネットワークリストを前記ユーザ端末へ送信する送信ステップ
を実行させる通信プログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005043898A JP4173866B2 (ja) | 2005-02-21 | 2005-02-21 | 通信装置 |
| US11/137,148 US8024789B2 (en) | 2005-02-21 | 2005-05-25 | Communication apparatus, program and method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005043898A JP4173866B2 (ja) | 2005-02-21 | 2005-02-21 | 通信装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006229836A JP2006229836A (ja) | 2006-08-31 |
| JP4173866B2 true JP4173866B2 (ja) | 2008-10-29 |
Family
ID=36914218
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005043898A Expired - Fee Related JP4173866B2 (ja) | 2005-02-21 | 2005-02-21 | 通信装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8024789B2 (ja) |
| JP (1) | JP4173866B2 (ja) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060131169A (ko) * | 2005-06-15 | 2006-12-20 | 삼성전자주식회사 | 통신 시스템에서 인증 수행 시스템 및 방법 |
| EP1891771A1 (fr) * | 2005-06-16 | 2008-02-27 | France Télécom | Procede de traduction d'un protocole d'authentification |
| US8638762B2 (en) | 2005-10-13 | 2014-01-28 | Trapeze Networks, Inc. | System and method for network integrity |
| US7724703B2 (en) | 2005-10-13 | 2010-05-25 | Belden, Inc. | System and method for wireless network monitoring |
| US7558266B2 (en) * | 2006-05-03 | 2009-07-07 | Trapeze Networks, Inc. | System and method for restricting network access using forwarding databases |
| US8966018B2 (en) | 2006-05-19 | 2015-02-24 | Trapeze Networks, Inc. | Automated network device configuration and network deployment |
| US9258702B2 (en) | 2006-06-09 | 2016-02-09 | Trapeze Networks, Inc. | AP-local dynamic switching |
| US8818322B2 (en) | 2006-06-09 | 2014-08-26 | Trapeze Networks, Inc. | Untethered access point mesh system and method |
| CN100591011C (zh) * | 2006-08-31 | 2010-02-17 | 华为技术有限公司 | 一种认证方法及系统 |
| US8340110B2 (en) | 2006-09-15 | 2012-12-25 | Trapeze Networks, Inc. | Quality of service provisioning for wireless networks |
| JP5002337B2 (ja) * | 2007-05-31 | 2012-08-15 | 株式会社東芝 | ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法 |
| US8966075B1 (en) * | 2007-07-02 | 2015-02-24 | Pulse Secure, Llc | Accessing a policy server from multiple layer two networks |
| US8902904B2 (en) * | 2007-09-07 | 2014-12-02 | Trapeze Networks, Inc. | Network assignment based on priority |
| US8238942B2 (en) | 2007-11-21 | 2012-08-07 | Trapeze Networks, Inc. | Wireless station location detection |
| US8978105B2 (en) | 2008-07-25 | 2015-03-10 | Trapeze Networks, Inc. | Affirming network relationships and resource access via related networks |
| US8238298B2 (en) | 2008-08-29 | 2012-08-07 | Trapeze Networks, Inc. | Picking an optimal channel for an access point in a wireless network |
| US9292702B2 (en) * | 2009-08-20 | 2016-03-22 | International Business Machines Corporation | Dynamic switching of security configurations |
| WO2011081104A1 (ja) * | 2010-01-04 | 2011-07-07 | 日本電気株式会社 | 通信システム、認証装置、制御サーバ、通信方法およびプログラム |
| US9178910B2 (en) * | 2010-12-24 | 2015-11-03 | Nec Corporation | Communication system, control apparatus, policy management apparatus, communication method, and program |
| US8990891B1 (en) | 2011-04-19 | 2015-03-24 | Pulse Secure, Llc | Provisioning layer two network access for mobile devices |
| US8726338B2 (en) | 2012-02-02 | 2014-05-13 | Juniper Networks, Inc. | Dynamic threat protection in mobile networks |
| US10638526B2 (en) * | 2012-09-24 | 2020-04-28 | Qualcomm Incorporated | Transport of control protocol for trusted WLAN (TWAN) offload |
| EP3336711B1 (en) * | 2013-01-03 | 2019-06-26 | Huawei Technologies Co., Ltd. | Systems and methods for accessing a network |
| US9712489B2 (en) * | 2014-07-29 | 2017-07-18 | Aruba Networks, Inc. | Client device address assignment following authentication |
| CN105637815B (zh) * | 2014-09-10 | 2019-04-16 | 华为技术有限公司 | 一种数据转发方法、装置及接入设备 |
| CN107294952B (zh) * | 2017-05-18 | 2020-08-21 | 四川新网银行股份有限公司 | 一种实现零终端网络准入的方法 |
| CN109495431B (zh) * | 2017-09-13 | 2021-04-20 | 华为技术有限公司 | 接入控制方法、装置和系统、以及交换机 |
| KR102414927B1 (ko) * | 2018-03-21 | 2022-06-30 | 삼성전자 주식회사 | 무선랜 서비스를 사용하는 기기의 인증 방법 및 장치 |
Family Cites Families (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09130421A (ja) * | 1995-11-02 | 1997-05-16 | Furukawa Electric Co Ltd:The | 仮想ネットワーク管理方法 |
| US5914938A (en) * | 1996-11-19 | 1999-06-22 | Bay Networks, Inc. | MAC address table search unit |
| US6111875A (en) * | 1997-02-14 | 2000-08-29 | Advanced Micro Devices, Inc. | Apparatus and method for disabling external frame forwarding device for use with a network switch |
| US5892922A (en) * | 1997-02-28 | 1999-04-06 | 3Com Corporation | Virtual local area network memory access system |
| US5978378A (en) * | 1997-09-11 | 1999-11-02 | 3Com Corporation | Method and apparatus for VLAN support |
| JPH11175476A (ja) | 1997-12-16 | 1999-07-02 | Toshiba Corp | セキュリティチェック方法ならびに認証システム、及び同方法のプログラムが記録される記録媒体 |
| IL125272A0 (en) * | 1998-07-08 | 1999-03-12 | Galileo Technology Ltd | Vlan protocol |
| US6847620B1 (en) * | 1999-05-13 | 2005-01-25 | Intermec Ip Corp. | Mobile virtual LAN |
| GB2352586B (en) * | 1999-06-07 | 2004-03-10 | Nec Corp | Handover between mobile networks |
| US7251687B1 (en) * | 2000-06-02 | 2007-07-31 | Vignette Corporation | Method for click-stream analysis using web directory reverse categorization |
| JP4183379B2 (ja) * | 2000-11-27 | 2008-11-19 | 富士通株式会社 | ネットワーク及びエッジルータ |
| US7173935B2 (en) * | 2002-06-07 | 2007-02-06 | Current Grid, Llc | Last leg utility grid high-speed data communication network having virtual local area network functionality |
| JP2003132022A (ja) | 2001-10-22 | 2003-05-09 | Nec Corp | ユーザ認証システムおよび方法 |
| ATE320684T1 (de) * | 2002-01-18 | 2006-04-15 | Nokia Corp | Verfahren und einrichtung zur zugriffskontrolle eines mobilen endgerätes in einem kommunikationsnetzwerk |
| US7548541B2 (en) * | 2002-06-04 | 2009-06-16 | Alcatel-Lucent Usa Inc. | Managing VLAN traffic in a multiport network node using customer-specific identifiers |
| JP3849929B2 (ja) * | 2002-06-14 | 2006-11-22 | Kddi株式会社 | 仮想lan対応の無線lanシステム |
| JP3905803B2 (ja) | 2002-08-08 | 2007-04-18 | 株式会社エヌ・ティ・ティ・ドコモ | 無線通信における認証システム、認証方法及び端末装置 |
| US7453888B2 (en) * | 2002-08-27 | 2008-11-18 | Alcatel Lucent | Stackable virtual local area network provisioning in bridged networks |
| JP4718764B2 (ja) * | 2002-10-18 | 2011-07-06 | 株式会社日立製作所 | 光仮想ローカルエリアネットワークにおける経路制御方法、経路切替装置、切替器及び情報伝送方法 |
| US7350077B2 (en) * | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
| US7703018B2 (en) * | 2003-05-22 | 2010-04-20 | International Business Machines Corporation | Apparatus and method for automating the diagramming of virtual local area networks |
| WO2005027006A1 (ja) * | 2003-09-10 | 2005-03-24 | Fujitsu Limited | ユーザ位置利用システム |
| US7502842B2 (en) * | 2003-09-25 | 2009-03-10 | International Business Machines Corporation | Auto-configuration of an internal VLAN network interface |
| US7693158B1 (en) * | 2003-12-22 | 2010-04-06 | Extreme Networks, Inc. | Methods and systems for selectively processing virtual local area network (VLAN) traffic from different networks while allowing flexible VLAN identifier assignment |
| US7430210B2 (en) * | 2004-05-26 | 2008-09-30 | Fujitsu Limited | Application of an Ethernet/MPLS “half bridge” to provide emulated Ethernet LAN functions in SONET networks |
| US7433359B2 (en) * | 2004-05-28 | 2008-10-07 | Fujitsu Limited | Application of an Ethernet/MPLS half bridge to provide Ethernet multiplexing functions (EMF) in SONET network elements (NEs) |
| JP2006025065A (ja) | 2004-07-07 | 2006-01-26 | Nec Corp | ネットワーク、ネットワーク機器及びそれに用いるローカル認証方法並びにそのプログラム |
| US7492763B1 (en) * | 2004-07-16 | 2009-02-17 | Applied Micro Circuits Corporation | User-specified key creation from attributes independent of encapsulation type |
| US7877786B2 (en) * | 2004-10-21 | 2011-01-25 | Alcatel-Lucent Usa Inc. | Method, apparatus and network architecture for enforcing security policies using an isolated subnet |
| US7447166B1 (en) * | 2004-11-02 | 2008-11-04 | Cisco Technology, Inc. | Method to distribute IEEE 802.1X authenticated users among multiple broadcast domains |
| US7586895B2 (en) * | 2005-04-01 | 2009-09-08 | Cisco Technology, Inc. | Performing extended lookups on MAC-based tables including level 3 multicast group destination addresses |
| US7953089B1 (en) * | 2006-05-16 | 2011-05-31 | Cisco Technology, Inc. | Systems and methods for multicast switching in a private VLAN |
-
2005
- 2005-02-21 JP JP2005043898A patent/JP4173866B2/ja not_active Expired - Fee Related
- 2005-05-25 US US11/137,148 patent/US8024789B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US8024789B2 (en) | 2011-09-20 |
| US20060190721A1 (en) | 2006-08-24 |
| JP2006229836A (ja) | 2006-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4173866B2 (ja) | 通信装置 | |
| JP4301482B2 (ja) | サーバ、情報処理装置及びそのアクセス制御システム並びにその方法 | |
| US7904952B2 (en) | System and method for access control | |
| US5944794A (en) | User identification data management scheme for networking computer systems using wide area network | |
| US9391969B2 (en) | Dynamic radius | |
| CN101331731B (zh) | 由身份提供商对联盟内的客户进行定制认证的方法、装置和程序产品 | |
| JP3518599B2 (ja) | 無線lanシステム、アクセス制御方法およびプログラム | |
| CN110138718A (zh) | 信息处理系统及其控制方法 | |
| US20030217148A1 (en) | Method and apparatus for LAN authentication on switch | |
| KR101541591B1 (ko) | Vdi 환경에서의 싱글 사인온 시스템 및 방법 | |
| JP2007159134A (ja) | 安全なオンライン商取引のための臨時および恒久的な信用証明書を設定するためのシステムおよび方法 | |
| JP2003532185A (ja) | 動的ネットワークにおけるセキュリティリンク管理 | |
| WO2001082086A1 (fr) | Dispositif de definition de droit d'acces et terminal gestionnaire | |
| JP2006085719A (ja) | 設定情報配布装置、認証設定転送装置、方法、プログラム、媒体及び設定情報受信プログラム | |
| CN103067337B (zh) | 一种身份联合的方法、IdP、SP及系统 | |
| JP2003218873A (ja) | 通信監視装置及び監視方法 | |
| JP4835569B2 (ja) | 仮想ネットワークシステム及び仮想ネットワーク接続装置 | |
| JP3833652B2 (ja) | ネットワークシステム、サーバ装置、および認証方法 | |
| US20030226039A1 (en) | Image forming apparatus and control method for same | |
| JP4018450B2 (ja) | 文書管理システム、文書管理装置、認証方法、コンピュータ読み取り可能なプログラム、及び記憶媒体 | |
| KR100714100B1 (ko) | 홈네트워크 시스템에서의 사용자 인증 방법 및 그 시스템 | |
| JP4009273B2 (ja) | 通信方法 | |
| JP2001236320A (ja) | Wwwの端末特定方法 | |
| JP4078289B2 (ja) | 認証システム | |
| ELHejazi et al. | Improving the Security and Reliability of SDN Controller REST APIs Using JSON Web Token (JWT) with OpenID and auth2. 0 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080306 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080520 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080722 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080805 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080814 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110822 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120822 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120822 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130822 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |