[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP6148458B2 - 認証装置およびその方法、ならびにコンピュータプログラム - Google Patents

認証装置およびその方法、ならびにコンピュータプログラム Download PDF

Info

Publication number
JP6148458B2
JP6148458B2 JP2012262750A JP2012262750A JP6148458B2 JP 6148458 B2 JP6148458 B2 JP 6148458B2 JP 2012262750 A JP2012262750 A JP 2012262750A JP 2012262750 A JP2012262750 A JP 2012262750A JP 6148458 B2 JP6148458 B2 JP 6148458B2
Authority
JP
Japan
Prior art keywords
address
communication device
authentication
communication
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012262750A
Other languages
English (en)
Other versions
JP2014110462A (ja
Inventor
中 康 之 田
中 康 之 田
田 充 神
田 充 神
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2012262750A priority Critical patent/JP6148458B2/ja
Priority to US14/088,609 priority patent/US9374371B2/en
Publication of JP2014110462A publication Critical patent/JP2014110462A/ja
Application granted granted Critical
Publication of JP6148458B2 publication Critical patent/JP6148458B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明の実施形態は、ネットワークアクセス認証を行う認証装置およびその方法、ならびにコンピュータプログラムに関する。
従来、認証サーバが、認証クライアントからネットワークアクセス認証の要求を受け、ネットワークアクセス認証処理を行う方法が知られている。従来の方法で、認証クライアントの接続形態に応じたネットワークアクセス認証処理を行うことができない問題があった。すなわち、認証クライアントがどの認証リレーまたはネットワークに接続するのかを考慮して、接続可否を判断できなかった。
たとえば、認証クライアントがHEMS(Home Energy Management System)であり、認証リレーがスマートメーターである場合を想定する。この場合、ある家庭のHEMSは、同じ家庭のスマートメーターに接続するのは許可するが、他の家庭のスマートメーターに接続されるのは防ぎたい。無線の場合、ある家庭のHEMSが、別の家庭のスマートメーターに接続しようとする動作が発生することも当然に考えられる。家庭ごとに固有のパスワードをHEMSとスマートメーターに設定し、これを利用して認証処理を行うことが考えられるが、ユーザがパスワードの設定を行うのは煩雑である。一方、柔軟なネットワーク構成のために、スマートメーター間ではどの相手とも自由に接続できることが望まれる場合もあり得る。
RFC 6345 Protocol for Carrying Authentication for Network Access (PANA) Relay Element http://tools.ietf.org/rfc/rfc6345.txt
本発明の一側面は、通信装置の接続形態に応じて当該通信装置のネットワークアクセス認証を行うことを目的とする。
本発明の一態様としての認証装置は、通信部と、検証部と、接続形態確認部とを備える。
前記通信部は、第1の通信装置のネットワークアクセス認証を受け付け、前記第1の通信装置のアドレスと0個以上の認証リレーのアドレスとを含むメッセージを受信する。
前記検証部は、前記通信部によるメッセージの受信に応じて、前記第1の通信装置の真正性を検証する。
前記接続形態確認部は、前記メッセージに含まれる前記第1の通信装置のアドレスまたは前記0個以上の認証リレーのアドレスに基づき、前記第1の通信装置が接続を試みている接続先である第1接続先を特定し、前記第1接続先への接続を許可するかを決定する。
実施形態1に係る認証サーバを備えたネットワーク構成を示す図。 通信ノードのネットワークアクセス認証のメッセージシーケンスの例を示す図。 通信ノードのネットワークアクセス認証のメッセージシーケンスの例を示す図。 認証リレーメッセージの例を示す図。 実施形態1に係る認証サーバの構成図。 実施形態1に係る認証サーバの処理の流れを示すフローチャート。 実施形態2のネットワーク構成図。 実施形態4のネットワーク構成図。 入れ子状態の認証リレーメッセージの例を示す図。
以下、図面を参照しながら、本発明の実施形態について説明する。
実施形態1
図1に実施形態1に係る認証サーバを備えたネットワーク構成を示す。
ネットワーク111には、認証サーバ101と通信ノード102が接続されている。通信ノード102はネットワーク112に接続されており、ネットワーク112を管理する。また、ネットワーク112には通信ノード103、通信ノード105が接続され、通信ノード103には通信ノード104が接続される。ネットワーク112に接続されている通信ノード(ここでは通信ノード103、105)は、ネットワーク112内の通信ノードや、通信ノード102や認証サーバ101などと、直接通信可能である。通信ノード104は通信ノード103とのみ通信でき、通信ノード105や、ネットワーク112に接続するその他の通信ノードなどとは通信できないものとする。通信ノードの具体例として、通信ノード102がコンセントレータ、通信ノード103、105が異なる家庭のスマートメーター、通信ノード104が、通信ノード103と同じ家庭のHEMSであることが考えられる。図における破線は、無線接続を表しており、実線は有線接続を表している。ただし、図における無線および有線の接続形態は一例であり、本実施形態はこれに制限されない。
ネットワーク111やネットワーク112を攻撃者から保護するためにはネットワークアクセス認証が必要である。すなわち、ネットワーク111およびネットワーク112、またネットワーク112に接続する通信ノードに接続するためには、それぞれの接続の前に、認証サーバ101との間で、ネットワークアクセス認証を行わなければならない。本実施形態ではネットワークアクセス認証を通して、図1に示すネットワークを構成する方法について述べる。
ネットワーク111およびネットワーク112は、図1に示していない通信ノードから構成されるが、本実施形態に直接関係がないため省略する。ネットワーク111やネットワーク112、認証サーバ101や各通信ノードが使用する通信方式は、イーサネットや電力線搬送通信などの有線接続による通信や、無線LANや特定小電力無線などの無線接続による通信、またはそれらの組み合わせなど、どのような方式でもよい。また、典型な構成では、ネットワーク111とネットワーク112の両方に接続する通信ノード102が、ネットワーク112のコンセントレータや基地局、ゲートウェイのような役割を果たし、ネットワーク112の構築、管理、維持などを行う。
図2に通信ノード102のネットワークアクセス認証のメッセージシーケンスを示す。
通信ノード102は、ネットワークアクセス認証前にはネットワーク111を介して認証サーバ101とネットワークアクセス認証に関する通信のみ可能である。はじめに、通信ノード102は、認証サーバ101へ認証開始メッセージ201を送信する(S11)。認証サーバ101は認証開始メッセージ201を受信すると、認証処理メッセージ202を通信ノード102に送信する(S12)。これら、認証処理メッセージを複数回やり取りした後、最後に、認証サーバ101が認証完了メッセージ203を送信し(S13)、通信ノード102が認証完了メッセージ204を送信する(S14)。これにより、ネットワークアクセス認証処理を完了する。この後、通信ノード102は、認証サーバ101からネットワークアクセス認証の成功の通知を受けることで、ネットワーク111への接続が完了する。ネットワーク111への接続が完了した通信ノード102は、自身が管理するネットワーク112を構成する。
図3に通信ノード103のネットワークアクセス認証のメッセージシーケンスを示す。
通信ノード103は、ネットワーク112への接続前は認証サーバ101と直接通信できないため、通信ノード103はすでにネットワーク112に接続している通信ノードを認証リレーとして利用することで、認証サーバ101との間でネットワークアクセス認証を行う。なお、ネットワークアクセス認証中の通信ノード103の動作は、ネットワークアクセス認証中の通信ノード102の動作と基本的に同様である。
ネットワーク112に接続済みの通信ノードである認証リレーは、通信ノード103からネットワークアクセス認証の認証開始メッセージ301を受信し(S21)、これから認証リレーメッセージ302を組み立てて、認証リレーメッセージ302を認証サーバ101に送信する(S22)。
図4に認証リレーメッセージの構成を示す。認証リレーメッセージは通信ノード103および認証サーバ101の双方間で送受信される。認証リレーメッセージは、通信ノード103が送信したネットワークアクセス認証のメッセージ、または通信ノード103が受信するネットワークアクセス認証のメッセージを含む。また認証リレーメッセージは、通信ノード103のアドレス情報と、ヘッダとを含む。認証リレーから認証サーバ101へ送信する認証リレーメッセージのヘッダ内の送信元アドレスは、当該認証リレーのアドレスになる。
認証リレーは、認証サーバ101から認証リレーメッセージ303を受信する(S23)。認証リレーは、認証リレーメッセージ303から通信ノード103宛のネットワークアクセス認証メッセージを取り出し、通信ノード103へ、認証メッセージを含む認証処理メッセージ304を送信する(S24)。このように、認証リレーを使うことで、通信ノード103が認証サーバ101と直接通信することなく、ネットワークアクセス認証ができる。
ここで、認証リレーとして利用する通信ノードはネットワーク112への接続が完了していればよいため、通信ノード102を認証リレーとしてもよいし、図1に示されていないネットワーク112中の通信ノードを認証リレーとしてもよい。通信ノード103が認証リレーとして利用する通信ノードを発見する方法は、任意の方法を用いることができる。たとえば、ブロードキャストメッセージやマルチキャストメッセージを用いて認証リレーとして利用可能な通信ノードを探索する方法でもよい。あるいは、ネットワーク112に接続している通信ノードが送信するビーコンなどを用いた方法でもよい。その他の方法でもよい。
認証サーバ101は、認証完了メッセージを含む認証リレーメッセージ305を認証リレーに送信する(S25)。認証リレーは、認証リレーメッセージ305から認証完了メッセージを取り出し、認証完了メッセージ306を通信ノード103に送信する(S26)。通信ノード103が認証リレーに認証完了メッセージ307を送信する(S27)。認証リレーは、認証完了メッセージ307から認証リレーメッセージ308を組み立て、認証リレーメッセージ308を認証サーバ101に送信する(S28)。これにより、ネットワークアクセス認証処理が完了する。
通信ノード103は、認証サーバ101からのネットワークアクセス認証の成功の通知を受けると、ネットワーク112に接続できるようになる。これ以降、通信ノード103はネットワーク112内の通信ノードとネットワークアクセス認証以外のメッセージのやり取りができるようになり、通信ノード102や認証サーバ101とも直接通信できるようになる。
通信ノード105のネットワークアクセス認証は、通信ノード103と同様である。
通信ノード104のネットワークアクセス認証も、ネットワーク103と同様である。通信ノード104は、通信ノード103を認証リレーとして利用し、認証サーバ101からネットワークアクセス認証の成功の通知を受けると、通信ノード103に接続できるようになる。これ以降、通信ノード104は通信ノード103とネットワークアクセス認証以外のメッセージのやり取りができる。
しかし、通信ノード104が通信ノード105を認証リレーとして利用した場合、認証サーバ101は、ネットワークアクセス認証の失敗を通信ノード104に通知する。これは、接続形態制御テーブル(後述)に通信サーバ104の接続可能な接続先として通信ノード105が登録されていないためである。認証サーバ101が通信ノードに通知する失敗は、認証そのものの失敗(Authentication Rejected)と接続拒否(Authorization Rejected)の2種類ある。本実施形態では通信ノード104が通信ノード105を認証リレーとして利用した場合、通信ノード104の真正性の検証は認証サーバ101で成功するが、接続は拒否される。認証サーバ101は接続拒否によるネットワークアクセス認証失敗を通信ノード104へ通知する。
このように、ネットワークアクセス認証処理において、認証サーバ101は通信ノードの真正性を検証するだけでなく、通信ノードが接続しようとしているネットワークや通信ノードなど、通信ノードの接続形態も考慮してネットワークアクセス認証の成否を判定する。
図5に認証サーバ101の構成図を示す。
認証サーバ101は通信部11、ネットワークアクセス認証部12、認証テーブル15、接続形態制御テーブル14、アドレス管理テーブル13を備える。ネットワークアクセス認証部12は、通信ノード検証部21、接続形態確認部22、通信ノードアドレス管理部23を備える。
通信部11は、ネットワーク111を介して、通信ノードや認証リレーとネットワークアクセス認証に関する通信を行う。通信部11が受信したネットワークアクセス認証のメッセージは、ネットワークアクセス認証部12に渡される。また、ネットワークアクセス認証部12が、通信ノードや認証リレーに送信するメッセージは通信部11からネットワーク111へ送出される。
通信ノード検証部21は、認証テーブル15を参照し、所定の認証方法によって通信ノードの真正性を検証する。検証に失敗した場合、ネットワークアクセス認証部12は、通信ノードに認証失敗によるネットワークアクセス認証失敗を通知する。検証に成功した場合、接続形態確認部23に処理を移す。認証テーブル15の内容は、ネットワークアクセス認証に用いる認証方法によってさまざま考えられる。たとえば、ユーザ名とパスワードの組み合わせや、デジタル証明書に関する情報、生体情報などがある。ここでは、簡単のために、通信ノードの識別子と、事前共有鍵により、通信ノードを認証するものと仮定する。表1に認証テーブル15の例を示す。通信ノード検証部21は、認証テーブル15を参照し、所定の認証方法によって、通信ノードの真正性を検証する
Figure 0006148458
表2に接続形態制御テーブルの例を示す。接続形態制御テーブル14には、通信ノードの識別子と、通信ノードが接続可能なネットワークや通信ノードが設定されている。接続形態制御テーブルにはシステム全体のポリシーやサービス提供形態などに従って、通信ノードごとに接続可能なネットワークや通信ノードが設定される。この例では、通信ノード102の識別子をnode2@example.com、通信ノード103の識別子をnode3@example.com、通信ノード104の識別子をnode4@example.com、通信ノード105の識別子をnode5@example.comとする。
Figure 0006148458
表3にアドレス管理テーブルの例を示す。アドレス管理テーブルは、通信ノードが接続可能なネットワークや通信ノードのアドレスを表すテーブルであり、認証済みの通信ノード、および必要に応じて当該通信ノードが管理するネットワークが、登録されている。表3に通信ノード102のネットワークアクセス認証が完了する前のアドレス管理テーブルの例を示す。通信ノード102のネットワークアクセス認証が完了する前はネットワーク111のネットワークアドレスと、その情報が登録された時刻が設定されている。アクセス認証が完了した通信ノードが発生すると、アドレス管理テーブルに、当該認証が完了した通信ノードのアドレスと、当該通信ノードによりネットワークが構築される場合は当該ネットワークのアドレスが、通信ノードアドレス管理部23により登録される。
Figure 0006148458
接続形態確認部22は、接続形態制御テーブル14から、認証を要求している通信ノードが接続可能なネットワークや通信ノードを特定する。接続形態確認部22は、特定したネットワークや通信ノードのアドレスをアドレス管理テーブル13より取得し、取得したアドレスに、認証要求を行っている通信ノードのアドレス(認証リレーを介する場合は認証リレーのアドレス)が合致するかを判定する。取得したアドレスの中に、当該通信ノードのアドレス(または認証リレーのアドレス)に合致するものがない場合、接続拒否を決定する。ネットワークアクセス認証部12は、認証要求を行っている通信ノードに接続拒否によるネットワークアクセス認証失敗を通知する。一方、合致するアドレスが存在する場合、当該認証要求を行っている通信ノードが、当該合致するアドレスの通信ノードまたはネットワークへの接続を試みていると決定し、接続形態確認部22は、当該通信ノードまたはネットワークへの接続許可を決定する。ネットワークアクセス認証部12は、当該認証要求を行っている通信ノードに、ネットワークアクセス認証の成功を通知する。
なお、アクセス管理テーブル13に基づき、認証を要求している通信ノードが接続しようとしている通信装置またはネットワークを特定し、特定したものの中から、接続形態制御テーブルに登録されているものを接続先として特定し、当該接続先への接続を許可してもよい。
以下、表1〜表3の状態で、認証サーバ101が通信ノード102のネットワークアクセス認証を行う例を示す。
認証サーバ101の通信ノード検証部21は、通信ノード102からのメッセージを受信すると、表1の認証テーブルに基づき、通信ノード102の真正性を検証し、通信ノード102が真正であることを確認する。接続形態確認部23は、表2の接続形態制御テーブルから、通信ノード102が接続可能なネットワークや通信ノードの識別子を得る。通信ノードアドレス管理部23は、表3のアドレス管理テーブルから、当該接続可能なネットワークや通信ノードのアドレスを取得する。この例では、通信ノード102は、表2からネットワーク111とネットワーク112に接続可能であり、アドレス管理テーブルからネットワーク111のアドレスが2001:DB8:1::/64だと特定される。
次に、ネットワークアクセス認証処理部12は、通信ノード102がネットワークアクセス認証に使用している認証リレーのアドレスを取得する。通信ノード102のように、認証リレーを使わず直接認証サーバと通信する認証クライアントの場合は、認証クライアントのアドレスを取得する。この例では、通信ノード102のアドレス(2001:DB8:1::1234だと仮定する)を取得する。
そして、取得したアドレスと、接続が許可されているネットワークや通信ノードのアドレスと照合して、通信ノード102のアドレスが、接続を許可されているネットワークや通信ノードのアドレスに適合するか否かを確認する。この例では、通信ノード102のアドレス2001:DB8:1::1234が、通信ノード102が接続可能なネットワークであるネットワーク111のアドレス2001:DB8:1::/64に含まれる(なお「/64」は上位64ビットを意味する)。このため、ネットワークアクセス認証部12は、通信ノード102に対し接続許可を決定し、通信ノード102に認証の成功を通知する。
通信ノード102への接続を許可されているネットワークや通信ノードが接続形態制御テーブルに1つも登録されていない場合や、接続形態制御テーブルから取得したネットワークや通信ノードのアドレスに合致するアドレスがアドレス管理テーブルに含まれていない場合は、ネットワークアクセス認証部12は、通信ノード102に接続拒否によるネットワークアクセス認証失敗を通知する。
通信ノード102のネットワークアクセス認証が成功した後、認証サーバ101は、通信ノード102の識別子とアドレスをアドレス管理テーブルに登録する。
表4に通信ノード102のネットワークアクセス認証が完了した後のアドレス管理テーブルの例を示す。この例では、表3の内容に加え、通信ノード102のアドレスが追加されている。さらに、通信ノード102が構成するネットワーク112のアドレス(本例では3つ)も追加されている。ネットワーク112のアドレスは通信ノード102から通知されてもよいし、事前に設定されていてもよい。
Figure 0006148458
通信ノード103や通信ノード105のネットワークアクセス認証についても、通信ノード102のネットワークアクセス認証と同様、まず通信ノード検証部21による真正性の検証が行われる。その後、接続形態確認部22によって、通信ノード103や通信ノード105が、接続形態制御テーブルおよびアドレス管理テーブルに基づき、接続を許可されているネットワークや通信ノードに接続を試みているかを確認する。
通信ノード102に対するネットワークアクセス認証との違いは、接続形態確認部22が通信ノード103や通信ノード105のアドレスではなく、これらの通信ノードが使用している認証リレーのアドレスを使う点である。通信ノード103や通信ノード105が接続を許可されているネットワークや通信ノードのアドレスと、当該認証リレーのアドレスとの照合を行うことで、通信ノード103や通信ノード105が接続を許可されているネットワークまたは通信ノードへ接続を試みているかを確認する。
通信ノード103や通信ノード105のネットワークアクセス認証後も、通信ノードアドレス管理部23により、通信ノード103と通信ノード105のアドレスがアドレス管理テーブル13に登録される。通信ノード103と通信ノード105のネットワークアクセス認証が完了した後のアドレス管理テーブルを表5に示す。
Figure 0006148458
次に、認証サーバ101が通信ノード104のネットワークアクセス認証を行う場合を考える。通信ノード104の場合も通信ノード103と同様、まず通信ノード104による真正性が検証される。その後、通信ノード104が接続を許可されているネットワークや通信ノードを接続形態制御テーブル14に基づき特定し、それらのネットワークや通信ノードのアドレスを、アドレス管理テーブル13から特定する。そして、接続形態確認部22は、通信ノード104が使用している認証リレーのアドレスを使い、当該認証リレーのアドレスが、通信ノード104が接続を許可されているネットワークや通信ノードのアドレスに適合しているか否かを確認する。
ここで、通信ノード104が使用した認証リレーのアドレスが2001:DB8:0:1001::1234だった場合を考える。この場合、接続形態確認部22はアドレス管理テーブル13から、通信ノード104が接続を許可されているのは通信ノード103であることを特定する。そして、アドレス管理テーブル13から、通信ノード103のアドレスが2001:DB8:0:1001::abcdであることを得る。そして、通信ノード103のアドレスと、認証リレーのアドレスが一致しないため、通信ノード104が、接続を許可されていない通信ノードまたはネットワークに接続しようとしていると判定する。このため、ネットワークアクセス認証処理部12は、接続拒否によるネットワークアクセス認証失敗を通信ノード104に通知する。
次に、通信ノード104が使用した認証リレーのアドレスが2001:DB8:0:1001::abcdだった場合を考える。この場合、接続形態確認部22は、接続形態制御テーブル14から、通信ノード104が接続を許可されているのは通信ノード103であることを特定する。そして、アドレス管理テーブル13から通信ノード103のアドレスが2001:DB8:0:1001::abcdであることを得る。そして、通信ノード103が接続を許可されている通信ノードのアドレスと、認証リレーのアドレスが一致することを検出する。以上から、接続形態確認部22は、通信ノード104が接続を許可されている通信ノードに対して接続しようとしていると判定し、ネットワークアクセス認証成功を通信ノード104に通知する。
通信ノード104のネットワークアクセス認証が完了した後のアドレス管理テーブルを表6に示す。通信ノード104のアドレスが追加されている。
Figure 0006148458
以上の説明では省略したが、各通信ノードはネットワークアクセス認証の成功により、所望のネットワークや通信ノードとの接続が完了した後、アドレス更新処理や再認証処理を通じて、自身の最新アドレスを認証サーバ101に通知してもよい。これにより、通信ノードアドレス管理部23によって、通信ノードのアドレスがアドレス管理テーブル13で最新の状態に保たれるようにできる。また、接続形態確認部23が、通信ノードのアドレスや認証リレーのアドレスを基に、アドレス管理テーブル13のアドレス列を照合する際は、最長一致だけでなく、アドレスの特定部分の一致を行ってもよい。例えば、ホストアドレスの場合、下位64ビットのみで照合を行うこともあり得る。
図6に、認証サーバ101の処理の流れを示すフローチャートを示す。
認証サーバ101は、通信ノードの認証を開始すると、通信ノード検証部21が通信ノードの真正性の検証を行う (S31)。検証に失敗した場合、ネットワークアクセス認証処理部12は、認証失敗によるネットワークアクセス認証失敗を通信ノードに通知する(S32)。
検証に成功した場合、接続形態確認部22は、接続形態制御テーブル14およびアドレス管理テーブル13に基づき、通信ノードが接続しようとしているネットワークや通信ノードへの接続が許可されている否かを確認する(S34)。許可されていない場合、ネットワークアクセス認証処理部12は、接続拒否によるネットワークアクセス認証失敗を通信ノードに通知する(S33)。許可されている場合、ネットワークアクセス認証処理部12は得ネットワークアクセス認証成功を通信ノードに通知する(S35)。通信ノードアドレス管理部23は、認証成功した通信ノードのアドレス、必要に応じて当該通信ノードが構築および管理するネットワークを、当該通信ノードの識別子と共にアドレス管理テーブル13に登録する(S36)。
以上で説明した実施形態では、ネットワークアクセス認証プロトコルの例としてRFC5191(PANA)を使い、認証リレーの動作はRFC6345を使うことができる。ただし、使用プロトコルや通信方式はこの限りではない。
また、認証サーバ101はネットワークアクセス認証成功と共に、接続先のネットワークや通信ノードと間の通信に使用する鍵情報を、認証成功した通信ノードに通知してもよい。鍵情報には少なくとも鍵の値が含まれ、その他、鍵の使用範囲や鍵の識別子、有効期限などが含まれうる。
また、認証サーバ101はネットワークアクセス認証成功と共に、接続先のネットワークや通信ノードとの間の通信制御情報を、認証成功した通信ノードに通知してもよい。通信制御情報の例として例、通信に使用するチャネル(周波数)や通信頻度に関する情報、PANIDやESSIDなどの論理ネットワーク名、通信速度設定や通信速度の上限、周波数ホッピングパターンなどさまざま考えられる。通信制御情報を受けた通信ノードは、その通信制御情報の内容に従って通信する。例えば、通信制御情報内で通信頻度が制限されていた場合、通信ノードは指定された通信頻度を超えないよう制御する。
さらに、通信ノードのネットワークアクセス認証が成功した場合、認証サーバ101は当該通信ノードが使用した認証リレーに対し、当該通信ノードのネットワークアクセス認証の成功と、当該通信ノードとの接続許可を通知してもよい。この接続許可の内容には、認証が成功した通信ノードのアドレスと共に、どのような通信を許可してよいのかのポリシーや、当該通信ノードとの通信に使用する鍵情報、通信制御情報が含まれてもよい。
以上、本実施形態により、通信ノードの接続形態を考慮して、認証サーバが通信ノードのネットワークアクセス認証を行うことができる。
実施形態2
図7に実施形態2におけるネットワーク構成図を示す。
実施形態2では、実施形態1の通信ノード103に対し、通信ノード104に加え、通信ノード601も接続する。通信ノードの識別子はnode6@example.comとする。各通信ノードの具体例として、通信ノード102がコンセントレータ、通信ノード103、105が異なる家庭のスマートメーター、通信ノード104、601が、通信ノード103と同じ家庭内のHEMSおよびガスメータであることが考えられる。
通信ノード601は通信ノード103と通信するため、認証サーバ103を認証リレーとして用いて、認証サーバ101との間でネットワークアクセス認証を行う。表7に実施形態2における接続形態制御テーブルの例を示す。通信ノード601の識別子をnode6@example.comとする。
Figure 0006148458
認証サーバ101は実施形態1と同様の処理をし、通信ノード601が通信ノード103との接続を試みたと判定できたときにのみ、ネットワークアクセス認証の成功通知を行う。通信ノード601のネットワークアクセス認証時の具体的な動作は、実施形態1の通信ノード104と同様である。
以上、本実施形態により、1つの通信ノードに、複数の通信ノードが接続される形態を考慮して、認証サーバが当該複数の通信ノードのネットワークアクセス認証を行うことができる。
実施形態3
実施形態3は、実施形態2における通信ノード601が、通信ノード104とも通信できる点が異なる。すなわち、通信ノード103、104、601の任意の2つの通信ノード間で通信可能である。
実施形態3における接続形態制御テーブルの例を表8に示す。
Figure 0006148458
通信ノード103と通信ノード104のネットワークアクセス認証がそれぞれ成功した後に、認証サーバ101が通信ノード601のネットワークアクセス認証処理をする場合を考える。認証サーバ101は通信ノード601のネットワークアクセス認証が成功したら、通信ノード601に成功を通知すると共に、通信ノード103や通信ノード104へ、通信ノード601との通信を許可するよう指示を出してもよい。認証サーバ101が通信ノード104と直接通信できない場合は、通信ノード104との通信許可を通信ノード104が通信ノード601に通知することを、通信ノード103に依頼してもよい。
以上、本実施形態により、ネットワークアクセス認証が許可された通信ノード間での通信を制御することができる。
実施形態4
図8に実施形態4におけるネットワーク構成図を示す。
実施形態4では、通信ノード103に接続する通信ノード104の下位に通信ノード701が接続する。通信ノード701の識別子はnode7@example.comとする。各通信ノードの具体例として、通信ノード102がコンセントレータ、通信ノード103、105が異なる家庭のスマートメーター、通信ノード104が、通信ノード103と同じ家庭内のHEMS、通信ノード701が蓄電池であることが考えられる。
通信ノード701は通信ノード104と通信するため、認証サーバ104を認証リレーとし、認証サーバ101との間でネットワークアクセス認証を行う。表7に、実施形態4における接続形態制御テーブルの例を示す。通信ノード701の識別子をnode7@example.comとする。
Figure 0006148458
通信ノード701が通信ノード104に接続するためには、通信ノード104を認証リレーとし、認証サーバ101との間でネットワークアクセス認証を行わなければならない。このとき、通信ノード104が認証サーバ101と直接通信可能でなければ、さらに、通信ノード103が認証リレーとして使用される。
このように、認証リレーが多段に使用された場合、図3の認証リレーメッセージの中にさらに認証リレーメッセージが格納されるという、入れ子の状態が発生する。入れ子状態の認証リレーメッセージの構成を図9に示す。認証リレーメッセージ801を通信ノード104が生成し、通信ノード103がこの認証リレーメッセージ801を含む認証リレーメッセージ802を生成する。
認証サーバ101の接続形態確認部23では、通信ノード701との間でやり取りしているネットワークアクセス認証のメッセージを直接含んでいる認証リレーメッセージ801の送信元アドレスから、通信ノード701が接続しようとしているネットワークや通信ノードを特定する。
具体的には、認証リレーメッセージ802に含まれる通信ノード104のアドレス情報を使いる。アドレス管理テーブル13を参照して、通信ノード701が接続許可されている通信ノードまたはネットワークのうち、通信ノード104のアドレスに合致する通信ノード(またはネットワーク)を特定し、特定した通信ノード(またはネットワーク)への接続を許可する。
以上、本実施形態により、通信ノードと認証サーバとの間に認証リレーが複数存在する場合でも、通信ノードの接続形態を考慮したネットワークアクセス認証が可能となる。
以上に説明した実施形態における認証サーバは、例えば、汎用のコンピュータ装置を基本ハードウェアとして用いることでも実現することが可能である。すなわち、認証サーバの各ブロックの処理は、上記のコンピュータ装置に搭載されたプロセッサにプログラムを実行させることにより実現することができる。このとき、サーバは、上記のプログラムをコンピュータ装置にあらかじめインストールすることで実現してもよいし、CD−ROMなどの記憶媒体に記憶して、あるいはネットワークを介して上記のプログラムを配布して、このプログラムをコンピュータ装置に適宜インストールすることで実現してもよい。また、認証サーバ内の各テーブルは、上記のコンピュータ装置に内蔵あるいは外付けされたメモリ、ハードディスクもしくはCD−R、CD−RW、DVD−RAM、DVD−Rなどの記憶媒体などを適宜利用して実現することができる。

Claims (11)

  1. 第1の通信装置のネットワークアクセス認証を受け付け、前記第1の通信装置のアドレス含むメッセージを受信する通信部と、
    前記通信部によるメッセージの受信に応じて、前記第1の通信装置の真正性を検証する検証部と、
    前記メッセージに含まれる前記第1の通信装置のアドレス基づき、前記第1の通信装置が接続を試みている接続先である第1接続先を特定し、前記第1接続先への接続を許可するかを決定する接続形態確認部と、
    アドレス管理部と、を備え、
    前記接続形態確認部は、認証済みの通信装置およびネットワークのアドレスを表すアドレス管理情報を用い、前記アドレス管理情報に登録されている通信装置またはネットワークの中から、前記第1の通信装置のアドレスに合致するアドレスを有するネットワークまたは通信装置を前記第1接続先として検出し、前記第1接続先への接続許可を決定し、
    前記アドレス管理部は、前記接続を許可された前記第1の通信装置のアドレス、または前記第1の通信装置が管理するネットワークのアドレスを、前記アドレス管理情報に登録する
    認証装置。
  2. 第1の通信装置のネットワークアクセス認証を受け付け、前記第1の通信装置のアドレスと1つの認証リレーのアドレスとを含むメッセージを受信する通信部と、
    前記通信部によるメッセージの受信に応じて、前記第1の通信装置の真正性を検証する検証部と、
    前記メッセージに含まれる前記1つの認証リレーのアドレスに基づき、前記第1の通信装置が接続を試みている接続先である第1接続先を特定し、前記第1接続先への接続を許可するかを決定する接続形態確認部と、を備え、
    前記接続形態確認部は、前記第1の通信装置に対しあらかじめ接続許可されている通信装置またはネットワークのうち、前記1つの認証リレーのアドレスに合致するアドレスを有する通信装置またはネットワークを前記第1接続先に特定し、前記第1接続先への接続許可を決定する
    認証装置。
  3. アドレス管理部を備え、
    前記接続形態確認部は、認証済みの通信装置およびネットワークのアドレスを表すアドレス管理情報を用い、前記アドレス管理情報に登録されている通信装置またはネットワークの中から、前記1つの認証リレーのアドレスに合致するアドレスを有するネットワークまたは通信装置を前記第1接続先として検出し、
    前記アドレス管理部は、前記接続を許可された前記第1の通信装置のアドレス、または前記第1の通信装置が管理するネットワークのアドレスを前記アドレス管理情報に登録する
    請求項2に記載の認証装置。
  4. 第1の通信装置のネットワークアクセス認証を受け付け、前記第1の通信装置のアドレスと複数の認証リレーのアドレスとを含むメッセージを受信する通信部と、
    前記通信部によるメッセージの受信に応じて、前記第1の通信装置の真正性を検証する検証部と、
    前記メッセージに含まれる前記複数の認証リレーのアドレスに基づき、前記第1の通信装置が接続を試みている接続先である第1接続先を特定し、前記第1接続先への接続を許可するかを決定する接続形態確認部と、を備え、
    前記接続形態確認部は、前記第1の通信装置に対しあらかじめ接続許可されている通信装置またはネットワークのうち、前記複数の認証リレーのうち前記メッセージを最初に中継した認証リレーのアドレスに合致するアドレスを有する通信装置またはネットワークを前記第1接続先に特定し、前記第1接続先への接続許可を決定する
    認証装置。
  5. アドレス管理部を備え、
    前記接続形態確認部は、認証済みの通信装置およびネットワークのアドレスを表すアドレス管理情報を用い、前記アドレス管理情報に登録されている通信装置またはネットワークの中から、前記第1認証リレーのアドレスに合致するアドレスを有するネットワークまたは通信装置を前記第1接続先として検出し、
    前記アドレス管理部は、前記接続を許可された前記第1の通信装置のアドレス、または前記第1の通信装置が管理するネットワークのアドレスを前記アドレス管理情報に登録する
    請求項4に記載の認証装置。
  6. 第1の通信装置のネットワークアクセス認証を受け付け、前記第1の通信装置のアドレス含むメッセージを受信する通信ステップと、
    前記通信ステップによるメッセージの受信に応じて、前記第1の通信装置の真正性を検証する検証ステップと、
    前記メッセージに含まれる前記第1の通信装置のアドレス基づき、前記第1の通信装置が接続を試みている接続先である第1接続先を特定し、前記第1接続先への接続を許可するかを決定する接続形態確認ステップと、
    アドレス管理ステップと、を備え、
    前記接続形態確認ステップは、認証済みの通信装置およびネットワークのアドレスを表すアドレス管理情報を用い、前記アドレス管理情報に登録されている通信装置またはネットワークの中から、前記第1の通信装置のアドレスに合致するアドレスを有するネットワークまたは通信装置を前記第1接続先として検出し、前記第1接続先への接続許可を決定し、
    前記アドレス管理ステップは、前記接続を許可された前記第1の通信装置のアドレス、または前記第1の通信装置が管理するネットワークのアドレスを、前記アドレス管理情報に登録する
    認証方法。
  7. 第1の通信装置のネットワークアクセス認証を受け付け、前記第1の通信装置のアドレスと1つの認証リレーのアドレスとを含むメッセージを受信する通信ステップと、
    前記通信ステップによるメッセージの受信に応じて、前記第1の通信装置の真正性を検証する検証ステップと、
    前記メッセージに含まれる前記1つの認証リレーのアドレスに基づき、前記第1の通信装置が接続を試みている接続先である第1接続先を特定し、前記第1接続先への接続を許可するかを決定する接続形態確認ステップと、を備え、
    前記接続形態確認ステップは、前記第1の通信装置に対しあらかじめ接続許可されている通信装置またはネットワークのうち、前記1つの認証リレーのアドレスに合致するアドレスを有する通信装置またはネットワークを前記第1接続先に特定し、前記第1接続先への接続許可を決定する
    認証方法。
  8. 第1の通信装置のネットワークアクセス認証を受け付け、前記第1の通信装置のアドレスと複数の認証リレーのアドレスとを含むメッセージを受信する通信ステップと、
    前記通信ステップによるメッセージの受信に応じて、前記第1の通信装置の真正性を検証する検証ステップと、
    前記メッセージに含まれる前記複数の認証リレーのアドレスに基づき、前記第1の通信装置が接続を試みている接続先である第1接続先を特定し、前記第1接続先への接続を許可するかを決定する接続形態確認ステップと、を備え、
    前記接続形態確認ステップは、前記第1の通信装置に対しあらかじめ接続許可されている通信装置またはネットワークのうち、前記複数の認証リレーのうち前記メッセージを最初に中継した認証リレーのアドレスに合致するアドレスを有する通信装置またはネットワークを前記第1接続先に特定し、前記第1接続先への接続許可を決定する
    認証方法。
  9. 第1の通信装置のネットワークアクセス認証を受け付け、前記第1の通信装置のアドレス含むメッセージを受信する通信ステップと、
    前記通信ステップによるメッセージの受信に応じて、前記第1の通信装置の真正性を検証する検証ステップと、
    前記メッセージに含まれる前記第1の通信装置のアドレス基づき、前記第1の通信装置が接続を試みている接続先である第1接続先を特定し、前記第1接続先への接続を許可するかを決定する接続形態確認ステップと、
    アドレス管理ステップと、をコンピュータに実行させ、
    前記接続形態確認ステップは、認証済みの通信装置およびネットワークのアドレスを表すアドレス管理情報を用い、前記アドレス管理情報に登録されている通信装置またはネットワークの中から、前記第1の通信装置のアドレスに合致するアドレスを有するネットワークまたは通信装置を前記第1接続先として検出し、前記第1接続先への接続許可を決定し、
    前記アドレス管理ステップは、前記接続を許可された前記第1の通信装置のアドレス、または前記第1の通信装置が管理するネットワークのアドレスを、前記アドレス管理情報に登録する
    コンピュータプログラム。
  10. 第1の通信装置のネットワークアクセス認証を受け付け、前記第1の通信装置のアドレスと1つの認証リレーのアドレスとを含むメッセージを受信する通信ステップと、
    前記通信ステップによるメッセージの受信に応じて、前記第1の通信装置の真正性を検証する検証ステップと、
    前記メッセージに含まれる前記1つの認証リレーのアドレスに基づき、前記第1の通信装置が接続を試みている接続先である第1接続先を特定し、前記第1接続先への接続を許可するかを決定する接続形態確認ステップと、をコンピュータに実行させ、
    前記接続形態確認ステップは、前記第1の通信装置に対しあらかじめ接続許可されている通信装置またはネットワークのうち、前記1つの認証リレーのアドレスに合致するアドレスを有する通信装置またはネットワークを前記第1接続先に特定し、前記第1接続先への接続許可を決定する
    コンピュータプログラム。
  11. 第1の通信装置のネットワークアクセス認証を受け付け、前記第1の通信装置のアドレスと複数の認証リレーのアドレスとを含むメッセージを受信する通信ステップと、
    前記通信ステップによるメッセージの受信に応じて、前記第1の通信装置の真正性を検証する検証ステップと、
    前記メッセージに含まれる前記複数の認証リレーのアドレスに基づき、前記第1の通信装置が接続を試みている接続先である第1接続先を特定し、前記第1接続先への接続を許可するかを決定する接続形態確認ステップと、をコンピュータに実行させ、
    前記接続形態確認ステップは、前記第1の通信装置に対しあらかじめ接続許可されている通信装置またはネットワークのうち、前記複数の認証リレーのうち前記メッセージを最初に中継した認証リレーのアドレスに合致するアドレスを有する通信装置またはネットワークを前記第1接続先に特定し、前記第1接続先への接続許可を決定する
    コンピュータプログラム。
JP2012262750A 2012-11-30 2012-11-30 認証装置およびその方法、ならびにコンピュータプログラム Active JP6148458B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2012262750A JP6148458B2 (ja) 2012-11-30 2012-11-30 認証装置およびその方法、ならびにコンピュータプログラム
US14/088,609 US9374371B2 (en) 2012-11-30 2013-11-25 Authentication apparatus and method thereof, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012262750A JP6148458B2 (ja) 2012-11-30 2012-11-30 認証装置およびその方法、ならびにコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2014110462A JP2014110462A (ja) 2014-06-12
JP6148458B2 true JP6148458B2 (ja) 2017-06-14

Family

ID=50826899

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012262750A Active JP6148458B2 (ja) 2012-11-30 2012-11-30 認証装置およびその方法、ならびにコンピュータプログラム

Country Status (2)

Country Link
US (1) US9374371B2 (ja)
JP (1) JP6148458B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6287401B2 (ja) * 2014-03-18 2018-03-07 富士ゼロックス株式会社 中継装置、システム及びプログラム
JP6153031B2 (ja) * 2014-06-10 2017-06-28 パナソニックIpマネジメント株式会社 通信システム及び通信方法
JP6226080B2 (ja) * 2014-09-25 2017-11-08 日本電気株式会社 通信制御装置、通信制御方法、通信制御プログラム、及び、情報システム
CN106603735B (zh) * 2015-10-19 2020-06-26 华为技术有限公司 一种分配智能仪表通信地址的方法、装置和系统
US10057261B2 (en) * 2015-11-09 2018-08-21 Fotonation Limited Method for configuring access for a limited user interface (UI) device
US11095156B2 (en) * 2017-04-12 2021-08-17 Mitsubishi Electric Corporation Power conversion device and non-contact power supplying system

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3688830B2 (ja) * 1995-11-30 2005-08-31 株式会社東芝 パケット転送方法及びパケット処理装置
US20040213237A1 (en) * 2000-06-29 2004-10-28 Toshikazu Yasue Network authentication apparatus and network authentication system
US7124197B2 (en) * 2002-09-11 2006-10-17 Mirage Networks, Inc. Security apparatus and method for local area networks
JP2005064820A (ja) * 2003-08-11 2005-03-10 Nec Corp アクセス制御装置、ネットワークセキュリティシステム、アクセス制御方法およびそのプログラム
JP2005286883A (ja) * 2004-03-30 2005-10-13 Canon Inc パケット中継装置及びそのアドレス割り当て方法
JP4796754B2 (ja) * 2004-06-15 2011-10-19 日本電気株式会社 ネットワーク接続システムおよびネットワーク接続方法
JP2006079213A (ja) * 2004-09-07 2006-03-23 Ntt Docomo Inc 中継装置、認証サーバ及び認証方法
US20060259759A1 (en) * 2005-05-16 2006-11-16 Fabio Maino Method and apparatus for securely extending a protected network through secure intermediation of AAA information
WO2007138663A1 (ja) * 2006-05-26 2007-12-06 Fujitsu Limited ネットワークアクセス制御方法、ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置およびアクセス要求装置
JP4410791B2 (ja) * 2006-12-20 2010-02-03 富士通株式会社 アドレス詐称チェック装置およびネットワークシステム
JP5334693B2 (ja) * 2009-06-04 2013-11-06 アライドテレシスホールディングス株式会社 ネットワーク管理方法、ネットワーク管理プログラム、ネットワークシステム及び中継機器
WO2012141086A1 (ja) * 2011-04-15 2012-10-18 日本電気株式会社 コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法
JP2013182336A (ja) 2012-02-29 2013-09-12 Toshiba Corp 端末装置、同端末装置の動作方法及びプログラム
JP5944184B2 (ja) 2012-02-29 2016-07-05 株式会社東芝 情報通知装置、方法、プログラム及びシステム

Also Published As

Publication number Publication date
US9374371B2 (en) 2016-06-21
US20140157373A1 (en) 2014-06-05
JP2014110462A (ja) 2014-06-12

Similar Documents

Publication Publication Date Title
US11678183B2 (en) Devices, systems and methods for connecting and authenticating local devices to common gateway device
CN101507235B (zh) 用于提供无线网状网的方法和设备
EP2410711B1 (en) Node registration method, communication system and related server
EP1493244B1 (en) Group judgment device
JP6148458B2 (ja) 認証装置およびその方法、ならびにコンピュータプログラム
EP2859700B1 (en) Using neighbor discovery to create trust information for other applications
KR101551315B1 (ko) 다른 디바이스가 무선 네트워크에 연결하는 것을 가능하게 하기 위한 모바일 디바이스의 사용
KR101318306B1 (ko) 인터넷 프로토콜 어드레스들의 제 3 자 유효화
EP3396928B1 (en) Method for managing network access rights and related device
JP6018511B2 (ja) サーバ装置、グループ鍵通知方法及びそのプログラム
JP4129216B2 (ja) グループ判定装置
CN101379795A (zh) 在由认证服务器检查客户机证书的同时由dhcp服务器进行地址分配
CN108028829A (zh) 用于获得对网络的初始接入的方法以及相关的无线设备和网络节点
JP2016208534A (ja) メッシュネットワークにおけるdhcpサービスを使用する認証
EP2122991A2 (en) Method for establishing secure associations within a communication network
JP4902878B2 (ja) リンク管理システム
US20090164785A1 (en) Method for authentication in a communication network
KR101359600B1 (ko) 로컬 도메인 네임을 취득하기 위한 방법, 장치 및 시스템
JP2016134861A (ja) ノード装置、ネットワークシステム及びノード装置の接続方法
CN108599968B (zh) 用于城市物联网的信息广播方法
CN108183925B (zh) 基于IoT的窄带通信方法
US20230107045A1 (en) Method and system for self-onboarding of iot devices
JP5319575B2 (ja) 通信方法および通信システム
JP5445753B2 (ja) 通信システムにおけるネットワーク接続方法、管理方法および装置
CN105991597A (zh) 认证处理方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150914

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160817

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160923

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170421

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170519

R151 Written notification of patent or utility model registration

Ref document number: 6148458

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151