[go: up one dir, main page]

JP5888749B2 - Network connection authentication method and system - Google Patents

Network connection authentication method and system Download PDF

Info

Publication number
JP5888749B2
JP5888749B2 JP2013023167A JP2013023167A JP5888749B2 JP 5888749 B2 JP5888749 B2 JP 5888749B2 JP 2013023167 A JP2013023167 A JP 2013023167A JP 2013023167 A JP2013023167 A JP 2013023167A JP 5888749 B2 JP5888749 B2 JP 5888749B2
Authority
JP
Japan
Prior art keywords
authentication
network
mobile network
information
access point
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013023167A
Other languages
Japanese (ja)
Other versions
JP2014155038A (en
Inventor
信博 東
信博 東
宏基 馬場
宏基 馬場
則武 克誌
克誌 則武
高木 康志
康志 高木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
NTT Inc
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013023167A priority Critical patent/JP5888749B2/en
Publication of JP2014155038A publication Critical patent/JP2014155038A/en
Application granted granted Critical
Publication of JP5888749B2 publication Critical patent/JP5888749B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、通信事業者が運営する固定網及び移動網において両網が連携して端末の接続認証を行う認証技術に関する。   The present invention relates to an authentication technique for performing terminal connection authentication in cooperation between a fixed network and a mobile network operated by a communication carrier.

通信事業者が運営するネットワークへ接続する際にユーザ名やパスワードの入力等のユーザ操作が不要な認証方式が固定網や移動網のそれぞれにおいて規定されている。ここで固定網とは、光ファイバーなどの有線による通信サービス(インターネット接続等)を提供するために通信事業者が配備するネットワークを意味する。また移動網とは、3G/LTEなどの無線による通信サービス(インターネット接続等)を提供するために通信事業者が配備するネットワークを意味する。   Authentication methods that do not require user operations such as input of a user name and password when connecting to a network operated by a telecommunications carrier are defined in each of the fixed network and the mobile network. Here, the fixed network means a network provided by a communication carrier in order to provide a wired communication service (Internet connection or the like) such as an optical fiber. The mobile network means a network provided by a communication carrier in order to provide a wireless communication service (Internet connection or the like) such as 3G / LTE.

固定網では加入者宅内装置(HGW:Home GateWay)と、加入者宅内装置を収容する固定網内のルータ装置(「エッジルータ」とも言う)との間で、回線情報を用いて、回線単位で認証を行う回線認証が規定されている(非特許文献1参照)。   In the fixed network, a line unit is used between the subscriber premises equipment (HGW: Home GateWay) and the router equipment (also referred to as “edge router”) in the fixed network that accommodates the subscriber premises equipment. Line authentication for performing authentication is defined (see Non-Patent Document 1).

また移動網での標準的な認証手順としてはEAP−SIM/AKA(Extensible Authentication Protocol-Subscriber Identity Module/Authentication and Key Agreement)が挙げられる(非特許文献2,3,4参照)。図8はEAP−SIM/AKAを用いた認証方法を説明するシステム構成図、図9はEAP−SIM/AKAを用いた認証処理を説明するシーケンスチャートである。   As a standard authentication procedure in a mobile network, there is EAP-SIM / AKA (Extensible Authentication Protocol-Subscriber Identity Module / Authentication and Key Agreement) (see Non-Patent Documents 2, 3, and 4). FIG. 8 is a system configuration diagram illustrating an authentication method using EAP-SIM / AKA, and FIG. 9 is a sequence chart illustrating authentication processing using EAP-SIM / AKA.

図8に示すように、固定網100には、加入者宅内装置310を収容するエッジルータ110と、回線単位で認証を行う認証サーバ120と、認証(Authentication)・認可(authorization)・課金(Accounting)を行う又は中継するAAAサーバ130とが収容されている。また移動網200には、SIMカード(Subscriber Identity Module)を搭載した無線端末10をSIMカード内の認証情報を用いて認証するホーム加入者サーバ(HSS:Home Subscriber Server)210が収容されている。加入者宅内50内では、加入者宅内装置310と無線アクセスポイントを接続し、無線LAN(Local Area Network)300を構築する。なお、無線LAN300を構築するアクセスポイントは加入者宅内装置310に実装されている場合もある。   As shown in FIG. 8, the fixed network 100 includes an edge router 110 that accommodates the subscriber premises equipment 310, an authentication server 120 that performs authentication on a line basis, and authentication, authorization, and accounting (Accounting). AAA server 130 that performs or relays). The mobile network 200 also houses a home subscriber server (HSS) 210 that authenticates the wireless terminal 10 equipped with a SIM card (Subscriber Identity Module) using authentication information in the SIM card. In the subscriber premises 50, the subscriber premises equipment 310 and a wireless access point are connected to construct a wireless LAN (Local Area Network) 300. The access point for constructing the wireless LAN 300 may be installed in the subscriber premises apparatus 310.

EAP−SIM/AKAによる認証手順について図9を参照して説明する。EAP−SIM/AKAではIEEE802.1Xの手順にのっとり、図9に示すように、まずSIMカードを搭載した無線端末10が加入者宅内装置310に接続要求を送信する(ステップS1)。次に、加入者宅内装置310は、無線端末10に対してEAP-Request/Identityを送信する(ステップS2)。次に、無線端末10は、SIMカード内の認証情報(IMSI)とともにEAP-Response/Identityを加入者宅内装置310に送信する(ステップS3)。該メッセージはAAAサーバ130を介してホーム加入者サーバ210が受信する。次に、ホーム加入者サーバ210はEAP-Request/AKA-Challengeを無線端末10に送信する(ステップS4)。次に無線端末10はEAP-Response/AKA-Challengeをホーム加入者サーバ210に応答する(ステップS5)。ホーム加入者サーバ210は、以上の処理で認証に成功すると無線端末10にEAP-Successを送信する(ステップS6)。加入者宅内装置310は、無線端末10の接続を許可するようアクセスポイントのポート制御等を行う(ステップS7)。このようにEAP−SIM/AKAでは、SIMカード内の認証情報を用いて、移動網200内の認証装置であるホーム加入者サーバ210との間で無線端末10と移動網200の相互認証を実現している。   An authentication procedure by EAP-SIM / AKA will be described with reference to FIG. In EAP-SIM / AKA, according to the IEEE 802.1X procedure, as shown in FIG. 9, first, the wireless terminal 10 equipped with a SIM card transmits a connection request to the subscriber premises apparatus 310 (step S1). Next, the subscriber premises apparatus 310 transmits EAP-Request / Identity to the wireless terminal 10 (step S2). Next, the wireless terminal 10 transmits EAP-Response / Identity together with authentication information (IMSI) in the SIM card to the subscriber premises device 310 (step S3). The message is received by the home subscriber server 210 via the AAA server 130. Next, the home subscriber server 210 transmits EAP-Request / AKA-Challenge to the wireless terminal 10 (step S4). Next, the wireless terminal 10 responds EAP-Response / AKA-Challenge to the home subscriber server 210 (step S5). The home subscriber server 210 transmits EAP-Success to the wireless terminal 10 when authentication is successful by the above processing (step S6). The subscriber premises apparatus 310 performs port control of the access point so as to permit the connection of the wireless terminal 10 (step S7). As described above, in EAP-SIM / AKA, mutual authentication between the wireless terminal 10 and the mobile network 200 is realized with the home subscriber server 210 which is an authentication device in the mobile network 200, using authentication information in the SIM card. doing.

"NGN Functional Architecture; Network Attachment Sub-System (NASS)", ETSI ES 282 004, [online], [平成25年1月15日検索], インターネット<URL:http://www.etsi.org/deliver/etsi#es/282000#282099/282004/03.04.01#60/>"NGN Functional Architecture; Network Attachment Sub-System (NASS)", ETSI ES 282 004, [online], [searched January 15, 2013], Internet <URL: http: //www.etsi.org/deliver /etsi#es/282000#282099/282004/03.04.01#60/> "Extensible Authentication Protocol Method for Global System for Mobile Communications (GSM) Subscriber Identity Modules (EAP-SIM)", RFC4186, [online], [平成25年1月15日検索], インターネット<URL:http://www.ietf.org/rfc/rfc4186.txt>"Extensible Authentication Protocol Method for Global System for Mobile Communications (GSM) Subscriber Identity Modules (EAP-SIM)", RFC4186, [online], [searched on January 15, 2013], Internet <URL: http: // www .ietf.org / rfc / rfc4186.txt> "Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP-AKA)", RFC4187, [online], [平成25年1月15日検索], インターネット<URL:http://www.ietf.org/rfc/rfc4187.txt>"Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP-AKA)", RFC4187, [online], [searched January 15, 2013], Internet <URL: http://www.ietf.org/ rfc / rfc4187.txt> "3GPP System Architecture Evolution (SAE); Security aspects of non-3GPP accesses", 3GPP TS 33.402, [online], [平成25年1月15日検索], インターネット<URL:http://www.3gpp.org/ftp/Specs/html-info/33402.htm>"3GPP System Architecture Evolution (SAE); Security aspects of non-3GPP accesses", 3GPP TS 33.402, [online], [searched January 15, 2013], Internet <URL: http://www.3gpp.org /ftp/Specs/html-info/33402.htm>

ところで、前述のEAP−SIM/AKAによる認証技術は、無線LAN300と移動網200が同一の通信事業者で運営されているケース、又は異なる通信事業者であっても相互に提携して運営されているようなケースにおいては特に問題ない。一方、例えば、無線LAN300を個人宅で構築するような場合、すなわち当該個人が固定網100を運営する通信事業者と契約したような場合では、以下のような問題が生じる。すなわち、図8に示すように、当該個人の家族以外の第三者(例えば当該個人宅の周囲の通行人や隣接宅の住人など)であっても、当該第三者が移動網200と契約していれば、第三者の無線端末10も無線LAN300を介して固定網100に接続することができてしまう。換言すれば、固定網100への回線ラインを第三者に「ただ乗り(フリーライド)」されてしまう。このような問題は、現状、SIM認証(無線LAN300へのアクセス部分)と回線認証(加入者宅内装置310−エッジルータ110間)とが互いに独立しているために生じるものである。したがって、回線情報とSIM情報間で何らかの連携が必要である。   By the way, the above-mentioned authentication technology by EAP-SIM / AKA is operated in the case where the wireless LAN 300 and the mobile network 200 are operated by the same communication carrier, or even in cooperation with each other even if different communication carriers. There is no particular problem in such cases. On the other hand, for example, when the wireless LAN 300 is constructed in a private home, that is, when the individual contracts with a communication carrier that operates the fixed network 100, the following problems occur. That is, as shown in FIG. 8, even if a third party other than the individual family (for example, a passerby around the individual house or a resident in an adjacent house), the third party contracts with the mobile network 200. If so, the third-party wireless terminal 10 can also be connected to the fixed network 100 via the wireless LAN 300. In other words, a third party “free rides” the line to the fixed network 100. Such a problem occurs because the SIM authentication (access part to the wireless LAN 300) and the line authentication (between the subscriber home device 310 and the edge router 110) are independent from each other. Therefore, some kind of cooperation is required between the line information and the SIM information.

本発明は、上記事情に鑑みてなされたものであり、その目的とするところは、移動網での認証情報を用いた固定網への適切な認証処理が可能な方法及びシステムを提供することにある。   The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a method and system capable of appropriate authentication processing to a fixed network using authentication information in a mobile network. is there.

上記目的を達成するために、本願発明は、通信事業者が有線による通信サービスを提供する固定網と、通信事業者が無線による通信サービスを提供する移動網と、無線LANを構築するアクセスポイントと、無線LANを固定網に接続する加入者宅内装置と、固定網内に配置され加入者宅内装置を収容するエッジルータと、固定網内に配置され加入者宅内装置の固定網への接続を認証する固定網認証サーバと、移動網内に配置され無線端末の移動網への接続を認証する移動網認証サーバとを備えたネットワークにおいて、移動網認証サーバでの認証処理に用いられる移動網認証情報を有する無線端末のアクセスポイントへの接続を認証する方法及びシステムであって、加入者宅内装置に接続されたアクセスポイントへの移動網認証情報を用いたアクセスの可否情報を、該加入者宅内装置を収容する回線の回線識別情報及び前記移動網認証情報に関連づけて記憶したアクセス可否情報記憶手段を固定網又は移動網に設け、固定網に設けた回線識別情報取得手段が、無線端末から移動網認証情報を用いたアクセスポイントへの接続要求に係る所定の認証処理が開始されると該アクセスポイントを収容する回線の回線識別情報を取得し、固定網又は移動網に設けた可否情報取得手段が、前記回線識別情報取得手段により取得された回線識別情報に基づき前記アクセス可否情報記憶手段からアクセス可否情報を取得し、固定網又は移動網に設けた認証処理制御手段が、前記所定の認証処理の認証結果が前記可否情報取得手段により取得されたアクセス可否情報にしたがうように前記所定の認証処理を継続させ、且つ、無線端末から移動網認証情報を用いたアクセスポイントへの接続要求に係る所定の認証処理を移動網認証サーバを代理して処理することを特徴とする。 In order to achieve the above object, the present invention provides a fixed network in which a communication carrier provides a wired communication service, a mobile network in which a communication carrier provides a wireless communication service, an access point for constructing a wireless LAN, , The subscriber premises equipment that connects the wireless LAN to the fixed network, the edge router that is placed in the fixed network and accommodates the subscriber premises equipment, and the connection of the subscriber premises equipment placed in the fixed network to the fixed network is authenticated Mobile network authentication information used for authentication processing in the mobile network authentication server in a network comprising a fixed network authentication server that performs authentication and a mobile network authentication server that is disposed in the mobile network and authenticates the connection of a wireless terminal to the mobile network And system for authenticating connection of wireless terminal to access point using mobile network authentication information to access point connected to subscriber premises equipment Access permission information storage means for storing access permission information in association with the line identification information of the line accommodating the subscriber premises equipment and the mobile network authentication information is provided in the fixed network or the mobile network, and the line provided in the fixed network The identification information acquisition means acquires line identification information of a line accommodating the access point when a predetermined authentication process related to a connection request to the access point using the mobile network authentication information is started from the wireless terminal, and the fixed network Alternatively, the availability information acquisition means provided in the mobile network acquires the access availability information from the access availability information storage means based on the line identification information acquired by the line identification information acquisition means, and the authentication provided in the fixed network or mobile network The process control means makes the predetermined authentication process so that the authentication result of the predetermined authentication process follows the access permission information acquired by the permission information acquisition means. Process is continued, and, wherein the processing on behalf of the mobile network authentication server predetermined authentication processing according to a connection request to the access point using the mobile network authentication information from the wireless terminal.

本発明によれば、移動網で用いる認証情報を用いてアクセスポイント経由で固定網にアクセスする際に、アクセス可否情報記憶手段を参照することにより、アクセスポイントが収容されている回線単位でのアクセス可否の認証が可能となる。これにより、アクセスポイントのただ乗りを防止できる。   According to the present invention, when accessing the fixed network via the access point using the authentication information used in the mobile network, the access in the unit of line in which the access point is accommodated is referred to by referring to the access permission information storage means. It is possible to authenticate whether or not it is possible. As a result, free access points can be prevented.

なお本発明においては、アクセス可否情報記憶手段、可否情報取得手段及び認証処理制御手段は固定網又は移動網の何れに配置するようにしてもよく、その実施の態様に応じて実装位置・実装形態は不問である。同様に、回線識別情報取得手段も固定網又はアクセスポイント或いは加入者宅内装置の何れに配置するようにしてもよい In the present invention, the access permission information storage means, the permission information acquisition means, and the authentication processing control means may be arranged in either the fixed network or the mobile network, and the mounting position / mounting form depends on the embodiment. Is unquestionable. Similarly, the line identification information acquisition means may be arranged in any of a fixed network, an access point, or a subscriber premises apparatus .

また、回線識別情報も、その実施の態様に応じて種々のものを用いることができる。回線識別情報としては、例えば、固定網認証サーバでの認証処理に用いられる加入者識別情報や、アクセスポイントの識別情報などが挙げられる。   Also, various types of line identification information can be used depending on the embodiment. Examples of the line identification information include subscriber identification information used for authentication processing in a fixed network authentication server, access point identification information, and the like.

認証拒否された端末からのパケット疎通を拒否する手段として、アクセスポイント、加入者宅内装置、エッジルータ等による実現方式が挙げられる。   Examples of means for rejecting packet communication from a terminal whose authentication has been rejected include an implementation method using an access point, a subscriber premises apparatus, an edge router, and the like.

本発明によれば、移動網で用いる認証情報を用いてアクセスポイント経由で固定網にアクセスする際に、該アクセスポイントが収容されている回線単位でアクセス可否の認証が可能となる。これにより、アクセスポイントのただ乗りを防止できる。   According to the present invention, when accessing a fixed network via an access point using authentication information used in a mobile network, it is possible to authenticate whether or not access is possible in units of lines in which the access point is accommodated. As a result, free access points can be prevented.

本発明に係るネットワークの認証方法の概要を説明するネットワーク構成図FIG. 1 is a network configuration diagram illustrating an overview of a network authentication method according to the present invention. 実施例1に係るネットワークの認証方法を説明するシーケンスチャート(認証成功時)Sequence chart for explaining a network authentication method according to the first embodiment (when authentication is successful) 実施例1に係るネットワークの認証方法を説明するシーケンスチャート(認証失敗時)Sequence chart for explaining a network authentication method according to the first embodiment (when authentication fails) 実施例2に係るネットワークの認証方法を説明するシーケンスチャート(認証成功時)Sequence chart for explaining a network authentication method according to the second embodiment (when authentication is successful) 実施例2に係るネットワークの認証方法を説明するシーケンスチャート(認証失敗時)Sequence chart for explaining a network authentication method according to the second embodiment (when authentication fails) 実施例3に係るネットワークの認証方法を説明するシーケンスチャート(認証成功時)Sequence chart for explaining a network authentication method according to the third embodiment (when authentication is successful) 実施例3に係るネットワークの認証方法を説明するシーケンスチャート(認証成功時)Sequence chart for explaining a network authentication method according to the third embodiment (when authentication is successful) 従来のネットワークの認証方法の概要を説明するネットワーク構成図Network configuration diagram explaining an overview of conventional network authentication methods 従来のネットワークの認証方法を説明するシーケンスチャート(認証成功時)Sequence chart explaining conventional network authentication method (when authentication is successful)

本発明の一実施の形態に係る認証方法及びシステムについて図面を参照して説明する。図1は本発明の概要を説明するネットワーク構成図である。なお、図8及び図9を参照して説明した従来の技術と同一の要素については同一の符号を付している。   An authentication method and system according to an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a network configuration diagram for explaining the outline of the present invention. In addition, the same code | symbol is attached | subjected about the element same as the prior art demonstrated with reference to FIG.8 and FIG.9.

図1に示すように、固定網100には、加入者宅内装置310を収容するエッジルータ110と、回線単位で認証を行う認証サーバ120と、認証(Authentication)・認可(authorization)・課金(Accounting)を行う又はこれに係るメッセージを中継するAAAサーバ130とが収容されている。また移動網200には、SIMカード(Subscriber Identity Module)を搭載した無線端末10をSIMカード内の認証情報を用いて認証するホーム加入者サーバ(HSS:Home Subscriber Server)210が収容されている。加入者宅内装置310は、アクセスポイントを内蔵しており、該アクセスポイントにより加入者宅50内に無線LAN(Local Area Network)300を構築する。なお、アクセスポイントと加入者宅内装置は別装置として実装されていてもよい。   As shown in FIG. 1, the fixed network 100 includes an edge router 110 that accommodates a subscriber premises apparatus 310, an authentication server 120 that performs authentication in units of lines, and authentication, authorization, and accounting (Accounting). ) Or an AAA server 130 that relays a message related thereto. The mobile network 200 also houses a home subscriber server (HSS) 210 that authenticates the wireless terminal 10 equipped with a SIM card (Subscriber Identity Module) using authentication information in the SIM card. The subscriber premises apparatus 310 includes an access point, and a wireless LAN (Local Area Network) 300 is constructed in the subscriber premises 50 by the access point. Note that the access point and the subscriber premises apparatus may be implemented as separate apparatuses.

本発明では、加入者宅内装置310が収容された、換言すればアクセスポイントが収容された回線を識別する識別情報(以下「回線識別情報」と言う)と、移動網200で用いられる認証情報(以下「移動網認証情報」と言う)とを組み合わせ、無線端末10の接続可否を判定するための情報(アクセス可否情報とよぶ)を保持するデータベース(以下「アクセス可否DB」と言う)400を導入する。アクセス可否DB400は移動網200又は固定網100のいずれかに設置されるが、既存の網内装置やDBと統合される場合もある。   In the present invention, identification information (hereinafter referred to as “line identification information”) for identifying the line in which the subscriber premises apparatus 310 is accommodated, in other words, the access point is accommodated, and authentication information ( (Hereinafter referred to as “mobile network authentication information”), and a database (hereinafter referred to as “accessibility DB”) 400 that holds information (hereinafter referred to as “accessibility information”) for determining whether or not the wireless terminal 10 can be connected is introduced. To do. The accessibility DB 400 is installed in either the mobile network 200 or the fixed network 100, but may be integrated with an existing network device or DB.

回線識別情報としては、例えば加入者宅内装置310を収容する回線の加入者(契約者)を識別する加入者識別IDであって前記認証サーバ120での認証処理の用いられるものや、加入者宅内装置310を収容する回線そのものを識別する回線IDや、無線LAN300のアクセスポイントを識別するAP識別子などが挙げられる。また、移動網認証情報としては、例えばSIMカードに格納されたIMSI(International Mobile Subscriber Identity)などが挙げられる。   As the line identification information, for example, a subscriber identification ID for identifying a subscriber (contractor) of a line that accommodates the subscriber premises equipment 310, which is used for the authentication processing in the authentication server 120, or the subscriber premises Examples include a line ID for identifying the line itself that accommodates the device 310, an AP identifier for identifying an access point of the wireless LAN 300, and the like. Also, as mobile network authentication information, for example, IMSI (International Mobile Subscriber Identity) stored in a SIM card can be cited.

本発明では、SIMカード等を搭載した無線端末10は、固定網100が収容する宅内の無線LAN300のアクセスポイントに接続手順を開始すると、EAP−SIM/AKA等で規定されるとおり、移動網200との認証処理手順を開始する。   In the present invention, when a wireless terminal 10 equipped with a SIM card or the like starts a connection procedure to an access point of a home wireless LAN 300 accommodated in the fixed network 100, as defined by EAP-SIM / AKA or the like, the mobile network 200 The authentication processing procedure is started.

このとき、EAP−SIM/AKAの認証メッセージを受け取った固定網100内の何れかの装置又は加入者宅内装置310或いはアクセスポイントが、何らかの手段で回線識別情報を取得する。該回線識別情報の取得方法は回線識別情報の種類により異なる。例えば、エッジルータ110を識別する識別子と、VLANポート番号等の回線を特定する情報を用いて認証サーバ120に対して問い合わせればよい。   At this time, any device in the fixed network 100 or the subscriber premises device 310 or the access point that has received the EAP-SIM / AKA authentication message acquires the line identification information by some means. The method for acquiring the line identification information differs depending on the type of line identification information. For example, the authentication server 120 may be inquired using an identifier for identifying the edge router 110 and information for specifying a line such as a VLAN port number.

そして本発明では、取得した回線識別情報と認証メッセージに含まれるIMSI等の移動網における移動網認証情報とをキーとして、前記アクセス可否DB400にアクセス可否情報を問い合わせる。アクセス可否情報の問い合わせを行う主体は、回線識別情報の取得を行った装置でもいいし、固定網100又は移動網200内の他の装置であってもよい。   In the present invention, the access permission information is inquired of the access permission DB 400 using the acquired line identification information and mobile network authentication information in a mobile network such as IMSI included in the authentication message as keys. The entity that makes an inquiry about the accessibility information may be the device that acquired the line identification information, or may be another device in the fixed network 100 or the mobile network 200.

次に本発明では、無線端末10の認証処理の結果が前記アクセス可否情報と一致するように移動網200の認証処理手順を制御する。すなわち、前記アクセス可否情報がアクセス許可の場合には、認証処理が成功であるとして従来のEAP−SIM/AKA手順を続行する。一方、前記アクセス可否情報がアクセス拒否の場合には、認証処理が失敗であるとして従来のEAP−SIM/AKA手順を続行する。ここで、当該認証処理手順の制御を行う主体は、前記アクセス可否情報の問い合わせを行った装置でもいいし、固定網100又は移動網200内の他の装置であってもよい。典型的な例においては、移動網200の認証処理を行うホーム加入者サーバ210が行う。ホーム加入者サーバ210以外の装置が認証処理手順の制御を行う場合、該装置は、認証処理手順の全部又は一部(例えば認証失敗時の処理)をホーム加入者サーバ210に代理して処理するようにしてもよい。そして本発明では、無線LAN300のアクセスポイントが、該認証結果に基づき無線端末10の接続を許可又は拒否する。   Next, in the present invention, the authentication processing procedure of the mobile network 200 is controlled so that the result of the authentication processing of the wireless terminal 10 matches the access permission information. That is, if the access permission / prohibition information is access permission, the conventional EAP-SIM / AKA procedure is continued on the assumption that the authentication process is successful. On the other hand, if the access permission / prohibition information is access denial, the conventional EAP-SIM / AKA procedure is continued assuming that the authentication process has failed. Here, the entity that controls the authentication processing procedure may be a device that has made an inquiry about the accessibility information, or may be another device in the fixed network 100 or the mobile network 200. In a typical example, this is performed by the home subscriber server 210 that performs authentication processing of the mobile network 200. When a device other than the home subscriber server 210 controls the authentication processing procedure, the device processes all or part of the authentication processing procedure (for example, processing at the time of authentication failure) on behalf of the home subscriber server 210. You may do it. In the present invention, the access point of the wireless LAN 300 permits or rejects the connection of the wireless terminal 10 based on the authentication result.

アクセス可否情報を移動網200で管理するケースについて図2及び図3を参照して説明する。図2は認証に成功して接続許可となった例、図3は認証に失敗して接続拒否となった例である。本実施例においては、アクセス可否DB400は移動網200のホーム加入者サーバ210に統合されている。また本実施例では回線識別情報として加入者識別IDを用いる。   A case where access permission information is managed by the mobile network 200 will be described with reference to FIGS. FIG. 2 is an example in which the connection is permitted after successful authentication, and FIG. 3 is an example in which the connection is rejected due to the authentication failure. In this embodiment, the accessibility DB 400 is integrated with the home subscriber server 210 of the mobile network 200. In this embodiment, a subscriber identification ID is used as the line identification information.

加入者宅内装置310は、図2及び図3に示すように、接続要求(ステップS101,S151)を行った無線端末10に対して、EAP-Request/Identityメッセージを送付する(ステップS102,S152)。これを受けた無線端末10は、加入者宅内装置310に対して、無線端末10のSIMカードに格納されているIMSI等の加入者識別が可能な移動網認証情報をEAP-Response/Identityメッセージに含めて送付する。加入者宅内装置310はこれをエッジルータ110に転送する(ステップS103,S153)。   As shown in FIGS. 2 and 3, the subscriber premises apparatus 310 sends an EAP-Request / Identity message to the wireless terminal 10 that has made the connection request (steps S101 and S151) (steps S102 and S152). . Receiving this, the wireless terminal 10 sends the mobile network authentication information, such as IMSI, stored in the SIM card of the wireless terminal 10 to the subscriber premises device 310 in the EAP-Response / Identity message. Send it including. The subscriber premises apparatus 310 transfers this to the edge router 110 (steps S103 and S153).

固定網100では、例えば加入者宅内装置310が接続されるエッジルータ110のVLANポート番号等をキーとして用いることにより加入者識別を行うことができる。本実施例では、エッジルータ110は固定網100内に設置された認証サーバ120に、自身のエッジルータ110の情報や、VLANポート番号をキーとして問い合わせることで、回線識別情報である固定回線加入者の加入者識別IDを入手する(ステップS104,S105,S154,S155)。   In the fixed network 100, subscriber identification can be performed by using, for example, the VLAN port number of the edge router 110 to which the subscriber premises device 310 is connected as a key. In this embodiment, the edge router 110 makes an inquiry to the authentication server 120 installed in the fixed network 100 by using the information of its own edge router 110 and the VLAN port number as a key, so that the fixed line subscriber as the line identification information is obtained. Are obtained (steps S104, S105, S154, S155).

エッジルータ110は、無線端末10より送付されたEAP-Response/Identityメッセージにこの加入者識別IDを追記し(ステップS106,S156)、移動網200内部のホーム加入者サーバ210に送付する(ステップS107,S157)。   The edge router 110 adds this subscriber identification ID to the EAP-Response / Identity message sent from the wireless terminal 10 (steps S106 and S156) and sends it to the home subscriber server 210 inside the mobile network 200 (step S107). , S157).

移動網200のホーム加入者サーバ210は、EAP-Response/Identityメッセージから、接続元端末10の移動網認証情報、接続元の固定回線の回線識別情報を取得することができる。ホーム加入者サーバ210は前述のとおりアクセス可否DB400を保持しており、これらの移動網200の移動網認証情報であるIMSI、固定網100の回線識別情報である加入者識別IDとアクセス可否DB400を突合することで、本固定回線において、認証要求端末10の接続可否を判断する事ができる(ステップS108,S158)。   The home subscriber server 210 of the mobile network 200 can acquire the mobile network authentication information of the connection source terminal 10 and the line identification information of the connection source fixed line from the EAP-Response / Identity message. As described above, the home subscriber server 210 holds the access permission DB 400. The IMSI that is the mobile network authentication information of the mobile network 200, the subscriber identification ID that is the line identification information of the fixed network 100, and the access permission DB 400 are stored. By matching, it is possible to determine whether or not the authentication requesting terminal 10 can be connected on this fixed line (steps S108 and S158).

接続可能な場合は、図2に示すように、従来の移動網200におけるEAP−SIM/AKAの認証手順を継続する(ステップS109〜S112)。接続が不可能な場合は、図3に示すように、その時点で認証手順を中断する。具体的には、ホーム加入者サーバ210は、EAP−SIM/AKAにおける認証失敗を示すメッセージを端末10へ送信する(ステップS159〜S162)。   If the connection is possible, the EAP-SIM / AKA authentication procedure in the conventional mobile network 200 is continued as shown in FIG. 2 (steps S109 to S112). If the connection is impossible, the authentication procedure is interrupted at that point as shown in FIG. Specifically, the home subscriber server 210 transmits a message indicating an authentication failure in EAP-SIM / AKA to the terminal 10 (steps S159 to S162).

アクセス可否情報を固定網100で管理するケースについて図4及び図5を参照して説明する。図4は認証に成功して接続許可となった例、図5は認証に失敗して接続拒否となった例である。本実施例においては、アクセス可否DB400は固定網100の回線認証を行う認証サーバ120に統合されている。また本実施例では回線識別情報として回線IDを用いる。   A case where access permission information is managed by the fixed network 100 will be described with reference to FIGS. FIG. 4 is an example in which the connection is permitted after successful authentication, and FIG. 5 is an example in which the connection is rejected due to the authentication failure. In this embodiment, the accessibility DB 400 is integrated with an authentication server 120 that performs line authentication of the fixed network 100. In this embodiment, a line ID is used as line identification information.

エッジルータ110は、図4及び図5に示すように、加入者宅内装置310からIMSIを含むEAP-Response/Identityメッセージを受け取ると(ステップS201〜S203,S251〜253)、移動網認証情報であるIMSIとともに、加入者宅内装置310が接続されているエッジルータ110のVLAN番号情報をメッセージに加え、固定網100内の認証サーバ120に送信する(ステップS204,S254)。認証サーバ120は前記実施例1と同様に、VLAN番号情報から回線識別情報である回線IDを解決し、さらに解決した回線IDと移動網認証情報であるIMSIの組み合わせをアクセス可否DB400と突合することで、本固定回線における認証要求端末10の接続可否を判断し(ステップS205,S255)、エッジルータ110に判断結果を送信する(ステップS206,S256)。   When the edge router 110 receives the EAP-Response / Identity message including the IMSI from the subscriber premises apparatus 310 (steps S201 to S203, S251 to 253) as shown in FIGS. Along with the IMSI, the VLAN number information of the edge router 110 to which the subscriber premises equipment 310 is connected is added to the message and transmitted to the authentication server 120 in the fixed network 100 (steps S204 and S254). As in the first embodiment, the authentication server 120 resolves the line ID that is the line identification information from the VLAN number information, and further matches the combination of the resolved line ID and the IMSI that is the mobile network authentication information with the access permission DB 400. Thus, it is determined whether or not the authentication requesting terminal 10 can be connected to the fixed line (steps S205 and S255), and the determination result is transmitted to the edge router 110 (steps S206 and S256).

そして、前記実施例1と同様、図4に示すように、接続可能な場合はEAP−SIM/AKAの認証手順を継続する(ステップS207〜S211)。接続不可能な場合は、図5に示すように、エッジルータ110はEAP−SIM/AKAにおける認証失敗を示すメッセージを端末10へ送信する(ステップS257〜SS60)。   Then, as in the first embodiment, as shown in FIG. 4, the EAP-SIM / AKA authentication procedure is continued if connection is possible (steps S207 to S211). When the connection is impossible, as shown in FIG. 5, the edge router 110 transmits a message indicating an authentication failure in EAP-SIM / AKA to the terminal 10 (steps S257 to SS60).

固定網100の回線識別法としてアクセスポイントの識別子を利用する例について図6及び図7を参照して説明する。図6は実施例1と同様にアクセス可否DB400が移動網200に存在する場合の例であり、図7は実施例2と同様にアクセス可否DB400が固定網100に存在する場合の例である。また図7及び図8はそれぞれ認証に成功して接続許可となった例、なお、ここではアクセスポイントは加入者宅内装置310に実装されているものとする。   An example in which an access point identifier is used as a line identification method of the fixed network 100 will be described with reference to FIGS. FIG. 6 is an example in the case where the access permission DB 400 exists in the mobile network 200 as in the first embodiment, and FIG. 7 is an example in the case where the access permission DB 400 exists in the fixed network 100 as in the second embodiment. 7 and 8 are examples in which authentication is successful and connection is permitted. Here, it is assumed that the access point is installed in the subscriber premises apparatus 310.

図7及び図8に示すように、無線端末10からEAP-Response/Identityメッセージを受信したアクセスポイントである加入者宅内装置310は、自身のアクセスポイントの識別子を当該メッセージに追記する(ステップS301〜S304,S351〜3544)。   As shown in FIGS. 7 and 8, the subscriber premises apparatus 310 that is an access point that has received the EAP-Response / Identity message from the wireless terminal 10 adds the identifier of its own access point to the message (steps S301 to S301). S304, S351 to 3544).

アクセス可否DB400が移動網200に存在する場合は、例えば前記実施例1と同様にホーム加入者サーバ210が突合し、接続可否を判断する(ステップS306)。一方、アクセス可否DB400が移動網200に存在する場合は、例えば前記実施例2と同様に、固定網100内の認証サーバ120が接続可否を判断する(ステップS357)。以降の処理についてもそれぞれ前記実施例1及び2と同様である(ステップS307〜S310,S358〜S363)。   If the access permission DB 400 is present in the mobile network 200, the home subscriber server 210 collides, for example, in the same manner as in the first embodiment, and determines whether connection is possible (step S306). On the other hand, when the access permission DB 400 exists in the mobile network 200, the authentication server 120 in the fixed network 100 determines whether or not connection is possible, for example, as in the second embodiment (step S357). The subsequent processes are also the same as those in the first and second embodiments (steps S307 to S310, S358 to S363).

10…無線端末、100…固定網、110…エッジルータ、120…認証サーバ、130…AAAサーバ、200…移動網、210…ホーム加入者サーバ、300…無線LAN、310…加入者宅内装置   DESCRIPTION OF SYMBOLS 10 ... Wireless terminal, 100 ... Fixed network, 110 ... Edge router, 120 ... Authentication server, 130 ... AAA server, 200 ... Mobile network, 210 ... Home subscriber server, 300 ... Wireless LAN, 310 ... Subscriber premises equipment

Claims (5)

通信事業者が有線による通信サービスを提供する固定網と、通信事業者が無線による通信サービスを提供する移動網と、無線LANを構築するアクセスポイントと、無線LANを固定網に接続する加入者宅内装置と、固定網内に配置され加入者宅内装置を収容するエッジルータと、固定網内に配置され加入者宅内装置の固定網への接続を認証する固定網認証サーバと、移動網内に配置され無線端末の移動網への接続を認証する移動網認証サーバとを備えたネットワークにおいて、移動網認証サーバでの認証処理に用いられる移動網認証情報を有する無線端末のアクセスポイントへの接続を認証する方法であって、
加入者宅内装置に接続されたアクセスポイントへの移動網認証情報を用いたアクセスの可否情報を、該加入者宅内装置を収容する回線の回線識別情報及び前記移動網認証情報に関連づけて記憶したアクセス可否情報記憶手段を固定網又は移動網に設け、
固定網又はアクセスポイント或いは加入者宅内装置に設けた回線識別情報取得手段が、無線端末から移動網認証情報を用いたアクセスポイントへの接続要求に係る所定の認証処理が開始されると該アクセスポイントを収容する回線の回線識別情報を取得し、
固定網又は移動網に設けた可否情報取得手段が、前記回線識別情報取得手段により取得された回線識別情報に基づき前記アクセス可否情報記憶手段からアクセス可否情報を取得し、
固定網又は移動網に設けた認証処理制御手段が、前記所定の認証処理の認証結果が前記可否情報取得手段により取得されたアクセス可否情報にしたがうように前記所定の認証処理を継続させ、且つ、無線端末から移動網認証情報を用いたアクセスポイントへの接続要求に係る所定の認証処理を移動網認証サーバを代理して処理する
ことを特徴とするネットワークの接続認証方法。 A fixed network in which a telecommunications carrier provides a wired communication service, a mobile network in which a telecommunications carrier provides a wireless communication service, an access point for constructing a wireless LAN, and a subscriber premises that connects the wireless LAN to the fixed network A device, an edge router that is placed in a fixed network and accommodates a subscriber premises device, a fixed network authentication server that is placed in the fixed network and authenticates the connection of the subscriber premises device to the fixed network, and is placed in the mobile network In a network provided with a mobile network authentication server that authenticates the connection of the wireless terminal to the mobile network, the connection to the access point of the wireless terminal having mobile network authentication information used for authentication processing in the mobile network authentication server is authenticated. A way to
Access information indicating whether or not access using mobile network authentication information to an access point connected to the subscriber premises equipment is stored in association with the line identification information of the line accommodating the subscriber premises equipment and the mobile network authentication information Providing availability information storage means in the fixed network or mobile network,
When the line identification information acquisition means provided in the fixed network, the access point, or the subscriber premises device starts a predetermined authentication process related to a connection request from the wireless terminal to the access point using the mobile network authentication information, the access point The line identification information of the line that contains the
Accessibility information acquisition means provided in the fixed network or mobile network acquires access permission information from the access permission information storage means based on the line identification information acquired by the line identification information acquisition means,
An authentication process control means provided in a fixed network or a mobile network continues the predetermined authentication process so that an authentication result of the predetermined authentication process follows the accessibility information acquired by the availability information acquisition means; and A network connection authentication method characterized in that a predetermined authentication process related to a connection request to an access point using mobile network authentication information from a wireless terminal is processed on behalf of a mobile network authentication server . 前記回線識別情報として固定網認証サーバでの認証処理に用いられる加入者識別情報を用いる
ことを特徴とする請求項1記載のネットワークの接続認証方法。 Connection authentication method according to claim 1 Symbol placement network is characterized by using a subscriber identification information used for authentication processing in the fixed network authentication server as the line identification information. 固定網認証サーバを用いて、エッジルータが加入者宅内装置を含むネットワークに割り当てた仮想LANの識別情報から前記加入識別情報を解決する
ことを特徴とする請求項記載のネットワークの接続認証方法。 Using fixed network authentication server, the connection authentication method according to claim 2, wherein the network from the identification information of the virtual LAN, characterized in that the solution to the subscriber identification information assigned to the network comprising the edge routers subscriber premises device . 前記回線識別情報としてアクセスポイントの識別情報を用いる
ことを特徴とする請求項1記載のネットワークの接続認証方法。 Connection authentication method according to claim 1 Symbol placement network, characterized by using the identification information of the access point as the line identification information. 通信事業者が有線による通信サービスを提供する固定網と、通信事業者が無線による通信サービスを提供する移動網と、無線LANを構築するアクセスポイントと、無線LANを固定網に接続する加入者宅内装置と、固定網内に配置され加入者宅内装置を収容するエッジルータと、固定網内に配置され加入者宅内装置の固定網への接続を認証する固定網認証サーバと、移動網内に配置され無線端末の移動網への接続を認証する移動網認証サーバとを備えたネットワークにおいて、移動網認証サーバでの認証処理に用いられる移動網認証情報を有する無線端末のアクセスポイントへの接続を認証するシステムであって、
固定網又は移動網に設けられ、加入者宅内装置に接続されたアクセスポイントへの移動網認証情報を用いたアクセスの可否情報を、該加入者宅内装置を収容する回線の回線識別情報及び前記移動網認証情報に関連づけて記憶したアクセス可否情報記憶手段と、
固定網又はアクセスポイント或いは加入者宅内装置に設けられ、無線端末から移動網認証情報を用いたアクセスポイントへの接続要求に係る所定の認証処理が開始されると該アクセスポイントが収容された回線の回線識別情報を取得する回線識別情報取得手段と、
固定網又は移動網に設けられ、前記回線識別情報取得手段により取得された回線識別情報に基づき前記アクセス可否情報記憶手段からアクセス可否情報を取得する可否情報取得手段と、
固定網又は移動網に設けられ、前記所定の認証処理の認証結果が前記可否情報取得手段により取得されたアクセス可否情報にしたがうように前記所定の認証処理を継続させるとともに、無線端末から移動網認証情報を用いたアクセスポイントへの接続要求に係る所定の認証処理を移動網認証サーバを代理して処理する認証処理制御手段とを備えた
ことを特徴とするネットワークの接続認証システム。 A fixed network in which a telecommunications carrier provides a wired communication service, a mobile network in which a telecommunications carrier provides a wireless communication service, an access point for constructing a wireless LAN, and a subscriber premises that connects the wireless LAN to the fixed network A device, an edge router that is placed in a fixed network and accommodates a subscriber premises device, a fixed network authentication server that is placed in the fixed network and authenticates the connection of the subscriber premises device to the fixed network, and is placed in the mobile network In a network provided with a mobile network authentication server that authenticates the connection of the wireless terminal to the mobile network, the connection to the access point of the wireless terminal having mobile network authentication information used for authentication processing in the mobile network authentication server is authenticated. A system that
Access permission information using mobile network authentication information for an access point provided in a fixed network or a mobile network and connected to the subscriber premises equipment, the line identification information of the line accommodating the subscriber premises equipment, and the mobile Access permission information storage means stored in association with network authentication information;
When a predetermined authentication process related to a connection request from a wireless terminal to an access point using mobile network authentication information is started in a fixed network, an access point, or a subscriber premises device, the line in which the access point is accommodated Line identification information acquisition means for acquiring line identification information;
Availability information acquisition means provided in a fixed network or a mobile network, for acquiring access permission information from the access permission information storage means based on the line identification information acquired by the line identification information acquisition means;
Provided in a fixed network or a mobile network, and continues the predetermined authentication process so that the authentication result of the predetermined authentication process follows the access permission information acquired by the permission information acquisition means , and the mobile terminal authenticates the mobile network. A network connection authentication system comprising: authentication processing control means for processing a predetermined authentication process related to a connection request to an access point using information on behalf of a mobile network authentication server .
JP2013023167A 2013-02-08 2013-02-08 Network connection authentication method and system Expired - Fee Related JP5888749B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013023167A JP5888749B2 (en) 2013-02-08 2013-02-08 Network connection authentication method and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013023167A JP5888749B2 (en) 2013-02-08 2013-02-08 Network connection authentication method and system

Publications (2)

Publication Number Publication Date
JP2014155038A JP2014155038A (en) 2014-08-25
JP5888749B2 true JP5888749B2 (en) 2016-03-22

Family

ID=51576508

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013023167A Expired - Fee Related JP5888749B2 (en) 2013-02-08 2013-02-08 Network connection authentication method and system

Country Status (1)

Country Link
JP (1) JP5888749B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016031344A1 (en) * 2014-08-29 2016-03-03 ソニー株式会社 Wireless communication device, server, payment device, wireless communication method, and program
CN108738013B (en) * 2017-04-18 2021-11-19 华为技术有限公司 Network access method, device and network equipment
EP4113335A4 (en) * 2020-02-28 2023-04-05 Fujitsu Limited CONTROL METHOD, CONTROL PROGRAM AND INFORMATION PROCESSING DEVICE

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001144812A (en) * 1999-11-17 2001-05-25 Sharp Corp Authentication processing method for wireless IP terminals
JP2002281061A (en) * 2001-03-19 2002-09-27 Sony Corp Network system, connecting device, connecting method, network program and recording medium
JP5059228B2 (en) * 2009-06-23 2012-10-24 シャープ株式会社 Mobile communication system, mobile station, location management device, subscriber information management device, first access control device, and communication method

Also Published As

Publication number Publication date
JP2014155038A (en) 2014-08-25

Similar Documents

Publication Publication Date Title
US12075342B2 (en) Cellular network onboarding through wireless local area network
EP3120515B1 (en) Improved end-to-end data protection
US9660977B2 (en) Restricted certificate enrollment for unknown devices in hotspot networks
US8646063B2 (en) Methods, apparatus, and computer program products for subscriber authentication and temporary code generation
AU2008213766B2 (en) Method and system for registering and verifying the identity of wireless networks and devices
US7565547B2 (en) Trust inheritance in network authentication
JP4801147B2 (en) Method, system, network node and computer program for delivering a certificate
CN109041205A (en) Client registers method, apparatus and system
DK2924944T3 (en) Presence authentication
CN101578841B (en) Authentication in communication networks
CN107409136A (en) For the apparatus and method connective by guarantee using application specific network insertion voucher to wireless network
EP2952030A1 (en) Controlling access of a user equipment to services
US11848926B2 (en) Network authentication
JP4987820B2 (en) Authentication system, connection control device, authentication device, and transfer device
US20080148044A1 (en) Locking carrier access in a communication network
Matos et al. Secure hotspot authentication through a near field communication side-channel
CN112423299B (en) Method and system for wireless access based on identity authentication
JP5888749B2 (en) Network connection authentication method and system
KR102558821B1 (en) System for authenticating user and device totally and method thereof
CN104518874A (en) Network access control method and system
KR100819942B1 (en) Quarantine and Policy-based Access Control Method for Wired and Wireless Networks
JP2009031848A (en) Authentication transfer device
Santos et al. Cross-federation identities for IoT devices in cellular networks
JP5670926B2 (en) Wireless LAN access point terminal access control system and authorization server device
KR101025083B1 (en) Authentication Function Identification Method in Scalable Authentication Protocol

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150108

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151105

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160210

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160210

R150 Certificate of patent or registration of utility model

Ref document number: 5888749

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees