ポートベースのピアアクセス制御方法
ポートベースのピアアクセス制御方法であって、1)認証制御エンティティをイネーブルにするステップと、2)2つの認証制御エンティティが互いに認証し合うステップと、3)制御ポートの状態を設定するステップとを含む。この方法はさらに、認証サーバエンティティをイネーブルにするステップと、2つの認証サブシステムが鍵を交渉するステップとを含み得る。背景技術の非対称性を変更することにより、この発明は、ピア制御、識別可能な認証制御エンティティ、良好なスケーラビリティ、良好なセキュリティ、簡単な鍵交渉プロセス、相対的に完全なシステム、および高い柔軟性という利点を有し、したがって、この発明は、集約的な管理の要件を満たすだけでなく、複雑なプロセス、低いセキュリティ、低いスケーラビリティを含む、先行のネットワークアクセス制御方法の技術的問題を解消することができ、したがって、安全なネットワークアクセスを根本的に保証する。
【発明の詳細な説明】
【技術分野】
【0001】
発明の分野
この発明は、ネットワーク技術に関し、特に、ポートベースのピアアクセス制御方法に関する。
【背景技術】
【0002】
背景
ネットワークアクセス制御は一般に、3つのシステム、すなわち、ユーザと、アクセスポイントと、当該ユーザおよび当該アクセスポイントの両方を集約的に制御するバックグラウンドサーバとを含む。IEEE802.1xは、ポートベースのネットワークアクセス制御プロトコルと呼ばれる。先行のケーブルネットワークでは、従来のウェブブラウザアクセス制御方法およびイーサネット(登録商標)(Ethernet(登録商標))を通じたポイント・ツー・ポイントプロトコルに加え、出現するアクセス方法は、IEEE802.1x技術に基づく。IEEE802.1x技術は、制御およびサービスの分離、高い柔軟性、ならびに強力な適応性等の利点を有し、さまざまなネットワークで広く使用されている。IEEE802.1x技術は、無線LAN(IEEE802.11、無線MAN(IEEE802.16e)等のさまざまな無線ネットワークにより採用されている。
【0003】
認証は、ネットワークアクセス制御の鍵であり、その目的は信頼を確立することである。信頼は、ユーザとアクセスポイントとの間でネットワークサービスを提供する基盤である。ケーブルネットワークアクセスが使用されているか、または無線ネットワークアクセスが使用されているかに関係なく、ネットワークとユーザとの間の相互認証を可能にするために、セキュリティメカニズムが必要とされる。
【0004】
IEEE802.1xは、リンク層で認証を実現する方法であり、ポートベースの技術である。システムポートは、システムが他のシステムのサービスにアクセスすること、および、他のシステムにサービスを提供することを可能にする方法を提供する。
【0005】
IEEE802.1xは、以下の3種類のエンティティを規定する。
オーセンチケータ − システムのポート制御エンティティは、システムによって提供されるサービスがアクセスを受けることを許可される前に、サプリカントを認証し、サプリカントに権限を付与する。このシステムは、オーセンチケータシステムと呼ばれ、そのポート制御エンティティは、オーセンチケータと呼ばれる。
【0006】
サプリカント − オーセンチケータシステムによって提供されたサービスへのアクセスを要求するシステムは、サプリカントシステムと呼ばれ、そのポート制御エンティティは、サプリカントと呼ばれる。
【0007】
認証サーバ − 認証サーバは、サプリカントの資格を識別するためにオーセンチケータを表し、また、オーセンチケータにより提供されたサービスにアクセスする権限がサプリカントシステムに付与され得るか否かを判断するエンティティである。
【0008】
オーセンチケータシステムは、トランスポート媒体に対して2つのアクセスポイントを有する。一方のアクセスポイントは、制御ポートと呼ばれ、2つの状態、すなわち、認証済みおよび非認証を有し、当該アクセスポイントが認証済みの状態にあるときにのみパケットを通行させる。他方のアクセスポイントは、非制御ポートと呼ばれ、その状態に関係なくパケットを通行させる。
【発明の開示】
【発明が解決しようとする課題】
【0009】
IEEE802.1xの機能エンティティ間の関係を図1に示す。
IEEE802.1xは、認証に1つのフレームワークのみを提供する。このフレームワークは、拡張可能な認証プロトコルと組合せて使用され、実際に認証および鍵交渉を提供する。IEEE802.1xは非対称構造を有しており、その機能性は、サプリカントとオーセンチケータとにおいて大きく異なる。サプリカントにはポート制御機能が存在せず、オーセンチケータには認証機能が存在しない。したがって、認証は、サプリカントと認証サーバとの間で実行される。認証サーバおよびオーセンチケータは1つのシステム内で実現され得るが、IEEE802.1xの利点、すなわち、オーセンチケータによる集約的制御は多いに縮小される。現在、認証サーバとオーセンチケータとが別のシステムで実現されることが一般的である。認証サーバは、認証中に、認証結果をオーセンチケータに直接渡す。鍵交渉がさらに必要とされる場合、鍵交渉は認証サーバとサプリカントとの間で実行されるはずであり、その後、交渉済みの鍵が認証サーバによってサプリカントに送信され、サプリカントおよびオーセンチケータは、動的に共有される鍵に基づき、認証および鍵交渉を実行する。したがって、IEEE802.1xの欠点は以下のとおりである。
【0010】
1.IEEE802.1xの構造が非対称であり、機能性がサプリカントとオーセンチケータとにおいて大きく異なる。サプリカントはポート制御機能を有さず、オーセンチケータは認証機能を有さない。この認証機能は、サプリカントと認証サーバとの間で実行される。認証サーバおよびオーセンチケータは1つのシステム内で実現され得るが、IEEE802.1xの利点、すなわち、オーセンチケータによる集約的制御が多いに縮小される。
【0011】
2.低い拡張性。各オーセンチケータと認証サーバとの間に、予め規定されたセキュリティチャネルが存在する。セキュリティチャネルの数が増えるのに伴い、認証サーバの、必要とされるシステムリソースが増大し、管理がより複雑となる。そのため、多数のセキュリティチャネルを構成することは適切でなく、ネットワークのスケーラビリティが制限されてしまう。
【0012】
3.複雑な鍵交渉プロセス。鍵は、サプリカントとオーセンチケータとの間でのデータ保護のために使用されるが、サプリカントとオーセンチケータとの間で交渉が実行され得る前にまず、サプリカントと認証サーバとの間で交渉が実行されなければならない。
【0013】
4.新規の攻撃ポイントが導入され、それによりセキュリティが低下する。サプリカントおよび認証サーバにより交渉された1次鍵は、認証サーバによりオーセンチケータに渡される。ネットワークを通じて鍵を渡すことにより、新規のセキュリティ攻撃ポイントが導入される。
【0014】
5.オーセンチケータが独自のアイデンティティを有さない。サプリカントにとって、同一の認証サーバにより管理されるオーセンチケータのアイデンティティは、区別不可能である。オーセンチケータの識別が必要な場合、アプリケーション環境に付加的な機能エンティティを増設しなければならず、このことは一層の複雑さを招く。
【0015】
この発明の内容
この発明の目的は、先行技術に存在する欠点を克服すること、および、背景技術の非対称構造を変更することによってピアアクセス制御方法を提供することである。この発明の方法は、集約的な管理の要件を満たすだけでなく、複雑なプロセス、低いセキュリティ、
低いスケーラビリティを含む、先行のネットワークアクセス制御方法の技術的問題を解消することができ、それにより、安全なネットワークアクセスを根本的に保証する。
【課題を解決するための手段】
【0016】
この発明の技術的解決策は、ポートベースのピアアクセス制御方法であり、
1) 認証制御エンティティをイネーブルにするステップを含み、すなわち、ユーザおよびアクセスポイントはいずれも、当該ユーザおよび当該アクセスポイントが通信し得る間にまず、認証制御エンティティをイネーブルにし、当該認証制御エンティティは、認証用に一意のアイデンティティを有し、認証サブシステムと、当該認証サブシステムおよびトランスポート媒体を接続する2つのアクセスポイントとを含み、当該2つのアクセスポイントは、制御ポートおよび非制御ポートを含み、当該認証サブシステムは、認証およびポート制御機能の実現を含み、当該認証サブシステムは、非制御ポートに接続され、制御ポートの状態の変化は、認証サブシステムにより制御され、当該方法はさらに、
2) 2つの認証エンティティが互いに認証し合うステップを含み、すなわち、2つの認証エンティティは、非制御ポートを介して通信し、それらの認証サブシステムは互いに認証し合い、当該方法はさらに、
3) 制御ポートの状態を設定するステップを含み、すなわち、認証が成功した場合、認証サブシステムは、制御ポートの状態を認証済みとして設定し、制御ポートの状態は開放状態から閉鎖状態に変化し、パケットを通過させ、認証が成功しなかった場合、サブシステムは制御ポートの状態を非認証として設定し、制御ポートは依然として開いたままである。
【0017】
上記の方法はさらに、
認証サーバエンティティをイネーブルにするステップを含み得、すなわち、ユーザおよびアクセスポイントはまず、当該ユーザおよび当該アクセスポイントが通信し得る間に、認証制御エンティティおよび認証サーバエンティティをイネーブルにし、当該認証サーバエンティティは、認証制御エンティティに関連するセキュリティ管理情報を格納し、当該認証サーバエンティティは、当該認証制御エンティティの認証サブシステムに接続され、認証サーバエンティティは、認証制御エンティティの認証サブシステムとセキュリティ管理情報を通信して認証に必要な情報を提供し、当該認証サブシステムは、認証サーバエンティティの補助を受けて、もしくは補助を受けずに認証プロセスを完了し、または、すべてそれ自体で鍵交渉を完了する。
【0018】
上記の認証サーバエンティティは、認証制御エンティティの属性情報を格納し、このような属性情報を認証制御エンティティに送信する。
【0019】
上記の方法はさらに、
2つの認証サブシステムが、鍵を交渉するステップを含み得、すなわち、当該認証サブシステムは、鍵交渉機能を含み、当該2つの認証制御エンティティが互いに認証し合う間、鍵交渉は、認証プロセスの間または後に実行され得、認証が完了した後に鍵交渉が独自に行なわれるべき場合、鍵交渉は、2つの認証制御エンティティ自体によって行なわれる。
【0020】
上記の鍵交渉が認証プロセス中に認証と同時に完了した場合、認証サブシステムは、認証サーバエンティティの補助を受けて鍵交渉プロセスを完了することができ、または、すべてそれ自体で鍵交渉を完了することができる。
【0021】
上記の認証サーバエンティティは、認証制御エンティティの属性情報を格納し、このような属性情報を認証制御エンティティに送信する。
【0022】
上記の方法はさらに、
制御ポートの状態を設定するステップを含み得、すなわち、認証および鍵交渉プロセスが成功裡に完了した後に、認証サブシステムは、制御ポートの状態を認証済みとして設定し、制御ポートの状態は開放状態から閉鎖状態に変化し、パケットを通過させ、認証および鍵交渉プロセスが成功しなかった場合、認証サブシステムは、制御ポートの状態を非認証として設定し、制御ポートは依然として開いたままである。
【0023】
上記の認証制御エンティティおよび認証サーバエンティティは、1つのシステムまたは別のシステム内で実現され得、当該1つのシステムは、1つ以上の認証制御エンティティを含み得る。
【発明の効果】
【0024】
この発明の利点は以下のとおりである。
1.ピア制御。この方法は、いずれもが認証制御エンティティを含む2つのシステム(一般に、一方がユーザであり、他方がアクセスポイントである)を有し、それにより、これらの2つのシステムは、直接的に、すなわち、ピアに認証を行ない、認証機能に対してより強力なサポートを提供することができる。
【0025】
2.認証制御エンティティが識別可能であること。認証制御エンティティは、独自のアイデンティティを有しており、単に認証サーバの制御下に置かれているわけではない。認証制御エンティティの独自のアイデンティティは、本質的に、認証サーバエンティティに依存しないことを可能にし、したがって、認証制御エンティティ自体が識別可能となる。
【0026】
3.良好な拡張性。認証制御エンティティと認証サーバエンティティとの間に存在する、予め規定されたセキュリティチャネルが存在しないため、認証サーバエンティティによる、認証制御エンティティに対する集約的な制御が容易になり、良好な拡張性が得られる。
【0027】
4.良好なセキュリティ。認証制御エンティティは、他の認証制御エンティティと鍵を直接交渉することができ、したがって、鍵交渉の直接性を取戻し、ネットワークの実現を簡素化し、セキュリティを高める。
【0028】
5.簡単な鍵交渉プロセス。認証制御エンティティは、他の認証制御エンティティと鍵を直接交渉することができ、したがって、鍵交渉の複雑さを減じ、鍵交渉の効率を高める。
【0029】
6.相対的に完全なシステム。認証サーバエンティティは、認証制御エンティティのセキュリティ管理プログラムであり、認証技術の鍵管理機能を含む。この発明のエンティティはともに、完全かつ安全なシステムを構成し、認証および鍵交渉の機能を独自に完了する。
【0030】
7.高い柔軟性。認証サーバエンティティは、多数の付加的な機能を提供して高い柔軟性を得ることができる。
【0031】
8.柔軟な実現。この発明により規定される機能エンティティを異なるネットワークシステムで実現する必要がなく、1つのネットワークシステムは、1つ以上の機能エンティティを実現することができる。図3に示すように、認証制御エンティティおよび認証サーバエンティティは、同一のネットワークシステム内で実現され得る。一方で、1つの認証サーバエンティティが1つの認証制御エンティティに対応することは求められず、1つの認証サーバエンティティは、多数の認証制御エンティティに対応することができ、また、
多数の認証制御エンティティを管理することができる。図4に示すように、認証制御エンティティ1は、認証制御エンティティ2の非制御ポートを介して認証サーバエンティティと通信する。
【発明を実施するための最良の形態】
【0032】
実施形態
この発明は、以下の2つのエンティティを含む。
【0033】
1) 認証制御エンティティ
認証制御エンティティは、トランスポート媒体に接続される2つのポートを含む。一方のポートは制御ポートと呼ばれ、2つの状態、すなわち、認証済みの状態および非認証状態を有する。この制御ポートは、認証済みの状態にある場合にのみパケットを通過させる。他方のポートは非制御ポートと呼ばれ、その状態に関係なく常にパケットを通過させる。認証制御エンティティの制御ポートおよび非制御ポートは、根底に存在するトランスポート媒体から同時にパケットを受信する。
【0034】
認証制御エンティティは、認証サブシステムを含み、この認証サブシステムは、認証、鍵交渉等のセキュリティ機能に加えて、ポート制御機能も含む、セキュリティ機能を実現する。認証サブシステムは、非制御ポートに接続され、制御ポートの状態変化は、認証サブシステムにより制御される。
【0035】
認証制御エンティティは、認証用の一意のアイデンティティを有し、したがって、認証機能を独自に実現し得る。
【0036】
2) 認証サーバエンティティ
認証サーバエンティティは、認証制御エンティティに関連するセキュリティ管理情報を格納し、認証制御エンティティの認証サブシステムに接続する。認証制御エンティティおよび他の認証制御エンティティが認証を行なう間、認証サーバエンティティは、認証制御エンティティの認証サブシステムとセキュリティ管理情報を通信して、認証に必要な情報を提供するが、認証サーバエンティティは、認証制御エンティティに与する認証を完了しない。認証サーバエンティティは、認証制御エンティティの属性情報も格納し、その属性情報を、アプリケーションの要件に従って認証制御エンティティに送信する。
【0037】
認証制御エンティティと認証サーバエンティティとの関係を図2に示す。
この発明のピアアクセス制御方法のプロセスは、以下のとおりである。
【0038】
1) 認証制御エンティティを起動することであり、すなわち、ユーザおよびアクセスポイントはまず、当該ユーザおよび当該アクセスポイントが通信し得るときに、認証制御エンティティを起動しなければならない。
【0039】
2) 2つの認証制御エンティティが互いに認証し合うことであり、すなわち、2つの認証制御エンティティは、非制御ポートを介して通信し、それらの認証サブシステムは互いに認証し合い、認証サブシステムは、認証サーバエンティティの補助を受けずにそれ自体で認証プロセスを完了することができる。
【0040】
3) 2つの認証制御エンティティが鍵を交渉することであり、すなわち、2つの認証制御エンティティが鍵を交渉する必要がある場合、鍵交渉は、認証プロセスにおける認証と同時に完了され得、または、認証プロセスが完了した後に独自に実行され得、認証が完了した後に鍵交渉が独自に実行されるべき場合、鍵交渉は、認証サーバエンティティを伴う必要なく、2つの認証制御エンティティにより独自に完了される。
【0041】
4) 制御ポートの状態を設定することであり、すなわち、認証および鍵交渉が成功した場合、認証サブシステムは、制御ポートを認証済みとして設定し、制御ポートの状態は、開放状態から閉鎖状態に移行し、パケットを通過させ、認証および鍵交渉が成功しなかった場合、認証サブシステムは、制御ポートの状態を非認証として設定し、制御ポートは依然として開いたままである。
【0042】
この発明のピアアクセス制御方法の別のプロセスは、以下のとおりである。
1) 認証制御エンティティおよび認証サーバエンティティを起動することであり、すなわち、ユーザおよびアクセスポイントはいずれも、当該ユーザおよび当該アクセスポイントが通信し得る前にまず、認証制御エンティティおよび認証サーバエンティティを起動しなければならない。
【0043】
2) 2つの認証制御エンティティが互いに認証し合うことであり、すなわち、2つの認証制御エンティティは、非制御ポートを介して通信し、それらの認証サブシステムは互いに認証し合い、認証サブシステムは、認証サーバエンティティの補助を受けて認証プロセスを完了することができ、または、すべてそれ自体で認証プロセスを完了することができる。
【0044】
3) 2つの認証制御エンティティが鍵を交渉することであり、すなわち、2つの認証制御エンティティが鍵を交渉する必要がある場合、鍵交渉は、認証プロセスにおける認証と同時に完了され得、または、認証プロセスの後に独自に実行され得、認証が完了した後に鍵交渉が独自に実行されるべき場合、鍵交渉は、認証サーバエンティティを伴う必要なく、2つの認証制御エンティティにより独自に完了される。
【0045】
4) 制御ポートの状態を設定することであり、すなわち、認証および鍵交渉が成功した場合、認証サブシステムは、制御ポートの状態を認証済みとして設定し、制御ポートの状態は開放状態から閉鎖状態に移行し、パケットを通行させ、認証および鍵交渉が成功しなかった場合、認証サブシステムは、制御ポートの状態を非認証として設定し、制御ポートは依然として開いたままである。
【0046】
認証制御エンティティと認証サーバエンティティとの関係を図2に示す。
この発明の原理は以下のとおりである。
【0047】
ユーザおよびアクセスポイントの両方に認証制御エンティティを備えることにより、ユーザおよびアクセスポイントは、直接認証、すなわち、ピアアクセス制御を行なうことができ、認証機能に対し、より強力なサポートを提供することができる。認証制御エンティティは独自のアイデンティティを有し、単に、認証サーバエンティティの制御下に置かれているわけではない。認証制御エンティティの独自のアイデンティティは、本質的に、認証制御エンティティが認証サーバエンティティに依存しないことを可能にし、したがって、認証制御エンティティ自体が識別可能となる。認証制御エンティティは他の認証制御エンティティと鍵を直接交渉することができ、したがって、鍵交渉の直接性を取戻す。認証サーバエンティティは、認証制御エンティティのセキュリティ管理プログラムであり、認証技術の鍵管理機能を含む。この発明のエンティティはともに、完全かつ安全なシステムを構成し、認証および鍵交渉の機能を独自に完了する。
【0048】
実際に、ユーザおよびアクセスポイントの両方が、ネットワークアクセス制御において認証制御エンティティを介して認証を行なうことができる。
【0049】
この発明に含まれる技術用語は以下のとおりである。
IEEE802.1x ポートベースのネットワークアクセス制御プロトコル
PPPoE−イーサネット(登録商標)を通じたポイント・ツー・ポイントプロトコル
IEEE802.11−無線LAN
IEEE802.16e−無線MAN
オーセンチケータ
サプリカント
認証サーバ
EAP−拡張可能な認証プロトコル
【図面の簡単な説明】
【0050】
【図1】IEEE802.1xの機能エンティティ間の接続関係についての図である。
【図2】この発明の機能エンティティ間の接続関係についての図である。
【図3】認証サーバエンティティおよび認証制御エンティティが1つのシステム内で実現される一実施形態の概略図である。
【図4】1つの認証サーバエンティティが多数の認証制御エンティティに対応する一実施形態の概略図である。
【技術分野】
【0001】
発明の分野
この発明は、ネットワーク技術に関し、特に、ポートベースのピアアクセス制御方法に関する。
【背景技術】
【0002】
背景
ネットワークアクセス制御は一般に、3つのシステム、すなわち、ユーザと、アクセスポイントと、当該ユーザおよび当該アクセスポイントの両方を集約的に制御するバックグラウンドサーバとを含む。IEEE802.1xは、ポートベースのネットワークアクセス制御プロトコルと呼ばれる。先行のケーブルネットワークでは、従来のウェブブラウザアクセス制御方法およびイーサネット(登録商標)(Ethernet(登録商標))を通じたポイント・ツー・ポイントプロトコルに加え、出現するアクセス方法は、IEEE802.1x技術に基づく。IEEE802.1x技術は、制御およびサービスの分離、高い柔軟性、ならびに強力な適応性等の利点を有し、さまざまなネットワークで広く使用されている。IEEE802.1x技術は、無線LAN(IEEE802.11、無線MAN(IEEE802.16e)等のさまざまな無線ネットワークにより採用されている。
【0003】
認証は、ネットワークアクセス制御の鍵であり、その目的は信頼を確立することである。信頼は、ユーザとアクセスポイントとの間でネットワークサービスを提供する基盤である。ケーブルネットワークアクセスが使用されているか、または無線ネットワークアクセスが使用されているかに関係なく、ネットワークとユーザとの間の相互認証を可能にするために、セキュリティメカニズムが必要とされる。
【0004】
IEEE802.1xは、リンク層で認証を実現する方法であり、ポートベースの技術である。システムポートは、システムが他のシステムのサービスにアクセスすること、および、他のシステムにサービスを提供することを可能にする方法を提供する。
【0005】
IEEE802.1xは、以下の3種類のエンティティを規定する。
オーセンチケータ − システムのポート制御エンティティは、システムによって提供されるサービスがアクセスを受けることを許可される前に、サプリカントを認証し、サプリカントに権限を付与する。このシステムは、オーセンチケータシステムと呼ばれ、そのポート制御エンティティは、オーセンチケータと呼ばれる。
【0006】
サプリカント − オーセンチケータシステムによって提供されたサービスへのアクセスを要求するシステムは、サプリカントシステムと呼ばれ、そのポート制御エンティティは、サプリカントと呼ばれる。
【0007】
認証サーバ − 認証サーバは、サプリカントの資格を識別するためにオーセンチケータを表し、また、オーセンチケータにより提供されたサービスにアクセスする権限がサプリカントシステムに付与され得るか否かを判断するエンティティである。
【0008】
オーセンチケータシステムは、トランスポート媒体に対して2つのアクセスポイントを有する。一方のアクセスポイントは、制御ポートと呼ばれ、2つの状態、すなわち、認証済みおよび非認証を有し、当該アクセスポイントが認証済みの状態にあるときにのみパケットを通行させる。他方のアクセスポイントは、非制御ポートと呼ばれ、その状態に関係なくパケットを通行させる。
【発明の開示】
【発明が解決しようとする課題】
【0009】
IEEE802.1xの機能エンティティ間の関係を図1に示す。
IEEE802.1xは、認証に1つのフレームワークのみを提供する。このフレームワークは、拡張可能な認証プロトコルと組合せて使用され、実際に認証および鍵交渉を提供する。IEEE802.1xは非対称構造を有しており、その機能性は、サプリカントとオーセンチケータとにおいて大きく異なる。サプリカントにはポート制御機能が存在せず、オーセンチケータには認証機能が存在しない。したがって、認証は、サプリカントと認証サーバとの間で実行される。認証サーバおよびオーセンチケータは1つのシステム内で実現され得るが、IEEE802.1xの利点、すなわち、オーセンチケータによる集約的制御は多いに縮小される。現在、認証サーバとオーセンチケータとが別のシステムで実現されることが一般的である。認証サーバは、認証中に、認証結果をオーセンチケータに直接渡す。鍵交渉がさらに必要とされる場合、鍵交渉は認証サーバとサプリカントとの間で実行されるはずであり、その後、交渉済みの鍵が認証サーバによってサプリカントに送信され、サプリカントおよびオーセンチケータは、動的に共有される鍵に基づき、認証および鍵交渉を実行する。したがって、IEEE802.1xの欠点は以下のとおりである。
【0010】
1.IEEE802.1xの構造が非対称であり、機能性がサプリカントとオーセンチケータとにおいて大きく異なる。サプリカントはポート制御機能を有さず、オーセンチケータは認証機能を有さない。この認証機能は、サプリカントと認証サーバとの間で実行される。認証サーバおよびオーセンチケータは1つのシステム内で実現され得るが、IEEE802.1xの利点、すなわち、オーセンチケータによる集約的制御が多いに縮小される。
【0011】
2.低い拡張性。各オーセンチケータと認証サーバとの間に、予め規定されたセキュリティチャネルが存在する。セキュリティチャネルの数が増えるのに伴い、認証サーバの、必要とされるシステムリソースが増大し、管理がより複雑となる。そのため、多数のセキュリティチャネルを構成することは適切でなく、ネットワークのスケーラビリティが制限されてしまう。
【0012】
3.複雑な鍵交渉プロセス。鍵は、サプリカントとオーセンチケータとの間でのデータ保護のために使用されるが、サプリカントとオーセンチケータとの間で交渉が実行され得る前にまず、サプリカントと認証サーバとの間で交渉が実行されなければならない。
【0013】
4.新規の攻撃ポイントが導入され、それによりセキュリティが低下する。サプリカントおよび認証サーバにより交渉された1次鍵は、認証サーバによりオーセンチケータに渡される。ネットワークを通じて鍵を渡すことにより、新規のセキュリティ攻撃ポイントが導入される。
【0014】
5.オーセンチケータが独自のアイデンティティを有さない。サプリカントにとって、同一の認証サーバにより管理されるオーセンチケータのアイデンティティは、区別不可能である。オーセンチケータの識別が必要な場合、アプリケーション環境に付加的な機能エンティティを増設しなければならず、このことは一層の複雑さを招く。
【0015】
この発明の内容
この発明の目的は、先行技術に存在する欠点を克服すること、および、背景技術の非対称構造を変更することによってピアアクセス制御方法を提供することである。この発明の方法は、集約的な管理の要件を満たすだけでなく、複雑なプロセス、低いセキュリティ、
低いスケーラビリティを含む、先行のネットワークアクセス制御方法の技術的問題を解消することができ、それにより、安全なネットワークアクセスを根本的に保証する。
【課題を解決するための手段】
【0016】
この発明の技術的解決策は、ポートベースのピアアクセス制御方法であり、
1) 認証制御エンティティをイネーブルにするステップを含み、すなわち、ユーザおよびアクセスポイントはいずれも、当該ユーザおよび当該アクセスポイントが通信し得る間にまず、認証制御エンティティをイネーブルにし、当該認証制御エンティティは、認証用に一意のアイデンティティを有し、認証サブシステムと、当該認証サブシステムおよびトランスポート媒体を接続する2つのアクセスポイントとを含み、当該2つのアクセスポイントは、制御ポートおよび非制御ポートを含み、当該認証サブシステムは、認証およびポート制御機能の実現を含み、当該認証サブシステムは、非制御ポートに接続され、制御ポートの状態の変化は、認証サブシステムにより制御され、当該方法はさらに、
2) 2つの認証エンティティが互いに認証し合うステップを含み、すなわち、2つの認証エンティティは、非制御ポートを介して通信し、それらの認証サブシステムは互いに認証し合い、当該方法はさらに、
3) 制御ポートの状態を設定するステップを含み、すなわち、認証が成功した場合、認証サブシステムは、制御ポートの状態を認証済みとして設定し、制御ポートの状態は開放状態から閉鎖状態に変化し、パケットを通過させ、認証が成功しなかった場合、サブシステムは制御ポートの状態を非認証として設定し、制御ポートは依然として開いたままである。
【0017】
上記の方法はさらに、
認証サーバエンティティをイネーブルにするステップを含み得、すなわち、ユーザおよびアクセスポイントはまず、当該ユーザおよび当該アクセスポイントが通信し得る間に、認証制御エンティティおよび認証サーバエンティティをイネーブルにし、当該認証サーバエンティティは、認証制御エンティティに関連するセキュリティ管理情報を格納し、当該認証サーバエンティティは、当該認証制御エンティティの認証サブシステムに接続され、認証サーバエンティティは、認証制御エンティティの認証サブシステムとセキュリティ管理情報を通信して認証に必要な情報を提供し、当該認証サブシステムは、認証サーバエンティティの補助を受けて、もしくは補助を受けずに認証プロセスを完了し、または、すべてそれ自体で鍵交渉を完了する。
【0018】
上記の認証サーバエンティティは、認証制御エンティティの属性情報を格納し、このような属性情報を認証制御エンティティに送信する。
【0019】
上記の方法はさらに、
2つの認証サブシステムが、鍵を交渉するステップを含み得、すなわち、当該認証サブシステムは、鍵交渉機能を含み、当該2つの認証制御エンティティが互いに認証し合う間、鍵交渉は、認証プロセスの間または後に実行され得、認証が完了した後に鍵交渉が独自に行なわれるべき場合、鍵交渉は、2つの認証制御エンティティ自体によって行なわれる。
【0020】
上記の鍵交渉が認証プロセス中に認証と同時に完了した場合、認証サブシステムは、認証サーバエンティティの補助を受けて鍵交渉プロセスを完了することができ、または、すべてそれ自体で鍵交渉を完了することができる。
【0021】
上記の認証サーバエンティティは、認証制御エンティティの属性情報を格納し、このような属性情報を認証制御エンティティに送信する。
【0022】
上記の方法はさらに、
制御ポートの状態を設定するステップを含み得、すなわち、認証および鍵交渉プロセスが成功裡に完了した後に、認証サブシステムは、制御ポートの状態を認証済みとして設定し、制御ポートの状態は開放状態から閉鎖状態に変化し、パケットを通過させ、認証および鍵交渉プロセスが成功しなかった場合、認証サブシステムは、制御ポートの状態を非認証として設定し、制御ポートは依然として開いたままである。
【0023】
上記の認証制御エンティティおよび認証サーバエンティティは、1つのシステムまたは別のシステム内で実現され得、当該1つのシステムは、1つ以上の認証制御エンティティを含み得る。
【発明の効果】
【0024】
この発明の利点は以下のとおりである。
1.ピア制御。この方法は、いずれもが認証制御エンティティを含む2つのシステム(一般に、一方がユーザであり、他方がアクセスポイントである)を有し、それにより、これらの2つのシステムは、直接的に、すなわち、ピアに認証を行ない、認証機能に対してより強力なサポートを提供することができる。
【0025】
2.認証制御エンティティが識別可能であること。認証制御エンティティは、独自のアイデンティティを有しており、単に認証サーバの制御下に置かれているわけではない。認証制御エンティティの独自のアイデンティティは、本質的に、認証サーバエンティティに依存しないことを可能にし、したがって、認証制御エンティティ自体が識別可能となる。
【0026】
3.良好な拡張性。認証制御エンティティと認証サーバエンティティとの間に存在する、予め規定されたセキュリティチャネルが存在しないため、認証サーバエンティティによる、認証制御エンティティに対する集約的な制御が容易になり、良好な拡張性が得られる。
【0027】
4.良好なセキュリティ。認証制御エンティティは、他の認証制御エンティティと鍵を直接交渉することができ、したがって、鍵交渉の直接性を取戻し、ネットワークの実現を簡素化し、セキュリティを高める。
【0028】
5.簡単な鍵交渉プロセス。認証制御エンティティは、他の認証制御エンティティと鍵を直接交渉することができ、したがって、鍵交渉の複雑さを減じ、鍵交渉の効率を高める。
【0029】
6.相対的に完全なシステム。認証サーバエンティティは、認証制御エンティティのセキュリティ管理プログラムであり、認証技術の鍵管理機能を含む。この発明のエンティティはともに、完全かつ安全なシステムを構成し、認証および鍵交渉の機能を独自に完了する。
【0030】
7.高い柔軟性。認証サーバエンティティは、多数の付加的な機能を提供して高い柔軟性を得ることができる。
【0031】
8.柔軟な実現。この発明により規定される機能エンティティを異なるネットワークシステムで実現する必要がなく、1つのネットワークシステムは、1つ以上の機能エンティティを実現することができる。図3に示すように、認証制御エンティティおよび認証サーバエンティティは、同一のネットワークシステム内で実現され得る。一方で、1つの認証サーバエンティティが1つの認証制御エンティティに対応することは求められず、1つの認証サーバエンティティは、多数の認証制御エンティティに対応することができ、また、
多数の認証制御エンティティを管理することができる。図4に示すように、認証制御エンティティ1は、認証制御エンティティ2の非制御ポートを介して認証サーバエンティティと通信する。
【発明を実施するための最良の形態】
【0032】
実施形態
この発明は、以下の2つのエンティティを含む。
【0033】
1) 認証制御エンティティ
認証制御エンティティは、トランスポート媒体に接続される2つのポートを含む。一方のポートは制御ポートと呼ばれ、2つの状態、すなわち、認証済みの状態および非認証状態を有する。この制御ポートは、認証済みの状態にある場合にのみパケットを通過させる。他方のポートは非制御ポートと呼ばれ、その状態に関係なく常にパケットを通過させる。認証制御エンティティの制御ポートおよび非制御ポートは、根底に存在するトランスポート媒体から同時にパケットを受信する。
【0034】
認証制御エンティティは、認証サブシステムを含み、この認証サブシステムは、認証、鍵交渉等のセキュリティ機能に加えて、ポート制御機能も含む、セキュリティ機能を実現する。認証サブシステムは、非制御ポートに接続され、制御ポートの状態変化は、認証サブシステムにより制御される。
【0035】
認証制御エンティティは、認証用の一意のアイデンティティを有し、したがって、認証機能を独自に実現し得る。
【0036】
2) 認証サーバエンティティ
認証サーバエンティティは、認証制御エンティティに関連するセキュリティ管理情報を格納し、認証制御エンティティの認証サブシステムに接続する。認証制御エンティティおよび他の認証制御エンティティが認証を行なう間、認証サーバエンティティは、認証制御エンティティの認証サブシステムとセキュリティ管理情報を通信して、認証に必要な情報を提供するが、認証サーバエンティティは、認証制御エンティティに与する認証を完了しない。認証サーバエンティティは、認証制御エンティティの属性情報も格納し、その属性情報を、アプリケーションの要件に従って認証制御エンティティに送信する。
【0037】
認証制御エンティティと認証サーバエンティティとの関係を図2に示す。
この発明のピアアクセス制御方法のプロセスは、以下のとおりである。
【0038】
1) 認証制御エンティティを起動することであり、すなわち、ユーザおよびアクセスポイントはまず、当該ユーザおよび当該アクセスポイントが通信し得るときに、認証制御エンティティを起動しなければならない。
【0039】
2) 2つの認証制御エンティティが互いに認証し合うことであり、すなわち、2つの認証制御エンティティは、非制御ポートを介して通信し、それらの認証サブシステムは互いに認証し合い、認証サブシステムは、認証サーバエンティティの補助を受けずにそれ自体で認証プロセスを完了することができる。
【0040】
3) 2つの認証制御エンティティが鍵を交渉することであり、すなわち、2つの認証制御エンティティが鍵を交渉する必要がある場合、鍵交渉は、認証プロセスにおける認証と同時に完了され得、または、認証プロセスが完了した後に独自に実行され得、認証が完了した後に鍵交渉が独自に実行されるべき場合、鍵交渉は、認証サーバエンティティを伴う必要なく、2つの認証制御エンティティにより独自に完了される。
【0041】
4) 制御ポートの状態を設定することであり、すなわち、認証および鍵交渉が成功した場合、認証サブシステムは、制御ポートを認証済みとして設定し、制御ポートの状態は、開放状態から閉鎖状態に移行し、パケットを通過させ、認証および鍵交渉が成功しなかった場合、認証サブシステムは、制御ポートの状態を非認証として設定し、制御ポートは依然として開いたままである。
【0042】
この発明のピアアクセス制御方法の別のプロセスは、以下のとおりである。
1) 認証制御エンティティおよび認証サーバエンティティを起動することであり、すなわち、ユーザおよびアクセスポイントはいずれも、当該ユーザおよび当該アクセスポイントが通信し得る前にまず、認証制御エンティティおよび認証サーバエンティティを起動しなければならない。
【0043】
2) 2つの認証制御エンティティが互いに認証し合うことであり、すなわち、2つの認証制御エンティティは、非制御ポートを介して通信し、それらの認証サブシステムは互いに認証し合い、認証サブシステムは、認証サーバエンティティの補助を受けて認証プロセスを完了することができ、または、すべてそれ自体で認証プロセスを完了することができる。
【0044】
3) 2つの認証制御エンティティが鍵を交渉することであり、すなわち、2つの認証制御エンティティが鍵を交渉する必要がある場合、鍵交渉は、認証プロセスにおける認証と同時に完了され得、または、認証プロセスの後に独自に実行され得、認証が完了した後に鍵交渉が独自に実行されるべき場合、鍵交渉は、認証サーバエンティティを伴う必要なく、2つの認証制御エンティティにより独自に完了される。
【0045】
4) 制御ポートの状態を設定することであり、すなわち、認証および鍵交渉が成功した場合、認証サブシステムは、制御ポートの状態を認証済みとして設定し、制御ポートの状態は開放状態から閉鎖状態に移行し、パケットを通行させ、認証および鍵交渉が成功しなかった場合、認証サブシステムは、制御ポートの状態を非認証として設定し、制御ポートは依然として開いたままである。
【0046】
認証制御エンティティと認証サーバエンティティとの関係を図2に示す。
この発明の原理は以下のとおりである。
【0047】
ユーザおよびアクセスポイントの両方に認証制御エンティティを備えることにより、ユーザおよびアクセスポイントは、直接認証、すなわち、ピアアクセス制御を行なうことができ、認証機能に対し、より強力なサポートを提供することができる。認証制御エンティティは独自のアイデンティティを有し、単に、認証サーバエンティティの制御下に置かれているわけではない。認証制御エンティティの独自のアイデンティティは、本質的に、認証制御エンティティが認証サーバエンティティに依存しないことを可能にし、したがって、認証制御エンティティ自体が識別可能となる。認証制御エンティティは他の認証制御エンティティと鍵を直接交渉することができ、したがって、鍵交渉の直接性を取戻す。認証サーバエンティティは、認証制御エンティティのセキュリティ管理プログラムであり、認証技術の鍵管理機能を含む。この発明のエンティティはともに、完全かつ安全なシステムを構成し、認証および鍵交渉の機能を独自に完了する。
【0048】
実際に、ユーザおよびアクセスポイントの両方が、ネットワークアクセス制御において認証制御エンティティを介して認証を行なうことができる。
【0049】
この発明に含まれる技術用語は以下のとおりである。
IEEE802.1x ポートベースのネットワークアクセス制御プロトコル
PPPoE−イーサネット(登録商標)を通じたポイント・ツー・ポイントプロトコル
IEEE802.11−無線LAN
IEEE802.16e−無線MAN
オーセンチケータ
サプリカント
認証サーバ
EAP−拡張可能な認証プロトコル
【図面の簡単な説明】
【0050】
【図1】IEEE802.1xの機能エンティティ間の接続関係についての図である。
【図2】この発明の機能エンティティ間の接続関係についての図である。
【図3】認証サーバエンティティおよび認証制御エンティティが1つのシステム内で実現される一実施形態の概略図である。
【図4】1つの認証サーバエンティティが多数の認証制御エンティティに対応する一実施形態の概略図である。
【特許請求の範囲】
【請求項1】
ポートベースのピアアクセス制御方法であって、前記方法は、
1) 認証制御エンティティをイネーブルにするステップを含み、すなわち、それぞれの認証制御エンティティは、2つのシステムが通信し得るときに、まずイネーブルにされ、前記認証制御エンティティは、認証用に一意のアイデンティティを有し、認証サブシステムと、前記認証サブシステムおよび伝送媒体を接続する制御ポートおよび非制御ポートとを含み、2つのアクセスポイントは、制御ポートおよび非制御ポートを含み、前記認証サブシステムは、認証およびポート制御機能の実現を含み、前記認証サブシステムは、前記非制御ポートに接続され、前記制御ポートの状態の変化は、前記認証サブシステムにより制御され、前記方法はさらに、
2) 2つの認証エンティティが互いに認証し合うステップを含み、すなわち、2つの認証エンティティは、前記非制御ポートを介して通信し、それらの認証サブシステムは互いに認証し合い、前記方法はさらに、
3) 前記制御ポートの前記状態を設定するステップを含み、すなわち、前記認証が成功した場合、前記認証サブシステムは、前記制御ポートの前記状態を認証済みとして設定し、前記制御ポートの前記状態は開放状態から閉鎖状態に変化し、パケットを通過させ、前記認証が成功しなかった場合、前記サブシステムは前記制御ポートの前記状態を非認証として設定し、前記制御ポートは依然として開いたままであることを特徴とする、ポートベースのピアアクセス制御方法。
【請求項2】
前記方法は、認証サーバエンティティをイネーブルにするステップを含み、すなわち、ユーザおよび前記アクセスポイントが通信し得る前に、前記認証制御エンティティおよび前記認証サーバエンティティはまずイネーブルにされ、前記認証サーバエンティティは、前記認証制御エンティティに関連するセキュリティ管理情報を格納し、前記認証サーバエンティティは、前記認証制御エンティティの前記認証サブシステムに接続し、前記認証サーバエンティティは、前記認証制御エンティティの前記認証サブシステムと前記セキュリティ管理情報を通信して認証に必要な情報を提供し、前記認証サブシステムは、前記認証サーバエンティティの補助を受けて、もしくは前記補助を受けずに認証プロセスを完了することができ、または、すべてそれ自体で前記認証プロセスを完了することができることを特徴とする、請求項1に記載のポートベースのピアアクセス制御方法。
【請求項3】
前記方法は、2つの認証制御エンティティが鍵を交渉するステップを含み、すなわち、前記認証サブシステムは、鍵交渉の機能を含み、前記2つの認証制御エンティティが互いに認証し合うときに、前記鍵交渉は、前記認証プロセスの間または後に完了され得、前記認証が完了した後に前記鍵交渉が独自に実行されるべき場合、前記鍵交渉は、前記2つの認証制御エンティティにより独自に完了されることを特徴とする、請求項1または2に記載のポートベースのピアアクセス制御方法。
【請求項4】
前記鍵交渉が前記認証プロセス中に前記認証と同時に完了する間に、前記認証サブシステムは、前記認証サーバエンティティの前記補助を受けて、もしくは前記補助を受けずに鍵交渉プロセスを完了することができ、または、すべてそれ自体で前記認証プロセスを完了することができる、請求項3に記載のポートベースのピアアクセス制御方法。
【請求項5】
前記認証サーバエンティティは前記認証制御エンティティの属性情報を格納し、前記属性情報を前記認証制御エンティティに転送することを特徴とする、請求項1または2に記載のポートベースのピアアクセス制御方法。
【請求項6】
前記認証サーバエンティティは、前記認証制御エンティティの属性情報を格納し、前記属性情報を前記認証制御エンティティに転送することを特徴とする、請求項3に記載のポ
ートベースのピアアクセス制御方法。
【請求項7】
前記方法は、前記制御ポートの前記状態を設定するステップを含み、すなわち、前記認証および前記鍵交渉が成功した場合、前記認証サブシステムは、前記制御ポートの前記状態を認証済みとして設定し、前記制御ポートの前記状態は開放状態から閉鎖状態に移行し、前記パケットを通行させ、前記認証および前記鍵交渉が成功しなかった場合、前記認証サブシステムは、前記制御ポートの前記状態を非認証として設定し、前記制御ポートは依然として開いたままであることを特徴とする、請求項3に記載のポートベースのピアアクセス制御方法。
【請求項8】
前記認証制御エンティティおよび認証サーバエンティティは、1つのシステムまたは別のシステム内で実現され得、前記1つのシステムは、1つ以上の認証制御エンティティを含み得ることを特徴とする、請求項1または2に記載のポートベースのピアアクセス制御方法。
【請求項1】
ポートベースのピアアクセス制御方法であって、前記方法は、
1) 認証制御エンティティをイネーブルにするステップを含み、すなわち、それぞれの認証制御エンティティは、2つのシステムが通信し得るときに、まずイネーブルにされ、前記認証制御エンティティは、認証用に一意のアイデンティティを有し、認証サブシステムと、前記認証サブシステムおよび伝送媒体を接続する制御ポートおよび非制御ポートとを含み、2つのアクセスポイントは、制御ポートおよび非制御ポートを含み、前記認証サブシステムは、認証およびポート制御機能の実現を含み、前記認証サブシステムは、前記非制御ポートに接続され、前記制御ポートの状態の変化は、前記認証サブシステムにより制御され、前記方法はさらに、
2) 2つの認証エンティティが互いに認証し合うステップを含み、すなわち、2つの認証エンティティは、前記非制御ポートを介して通信し、それらの認証サブシステムは互いに認証し合い、前記方法はさらに、
3) 前記制御ポートの前記状態を設定するステップを含み、すなわち、前記認証が成功した場合、前記認証サブシステムは、前記制御ポートの前記状態を認証済みとして設定し、前記制御ポートの前記状態は開放状態から閉鎖状態に変化し、パケットを通過させ、前記認証が成功しなかった場合、前記サブシステムは前記制御ポートの前記状態を非認証として設定し、前記制御ポートは依然として開いたままであることを特徴とする、ポートベースのピアアクセス制御方法。
【請求項2】
前記方法は、認証サーバエンティティをイネーブルにするステップを含み、すなわち、ユーザおよび前記アクセスポイントが通信し得る前に、前記認証制御エンティティおよび前記認証サーバエンティティはまずイネーブルにされ、前記認証サーバエンティティは、前記認証制御エンティティに関連するセキュリティ管理情報を格納し、前記認証サーバエンティティは、前記認証制御エンティティの前記認証サブシステムに接続し、前記認証サーバエンティティは、前記認証制御エンティティの前記認証サブシステムと前記セキュリティ管理情報を通信して認証に必要な情報を提供し、前記認証サブシステムは、前記認証サーバエンティティの補助を受けて、もしくは前記補助を受けずに認証プロセスを完了することができ、または、すべてそれ自体で前記認証プロセスを完了することができることを特徴とする、請求項1に記載のポートベースのピアアクセス制御方法。
【請求項3】
前記方法は、2つの認証制御エンティティが鍵を交渉するステップを含み、すなわち、前記認証サブシステムは、鍵交渉の機能を含み、前記2つの認証制御エンティティが互いに認証し合うときに、前記鍵交渉は、前記認証プロセスの間または後に完了され得、前記認証が完了した後に前記鍵交渉が独自に実行されるべき場合、前記鍵交渉は、前記2つの認証制御エンティティにより独自に完了されることを特徴とする、請求項1または2に記載のポートベースのピアアクセス制御方法。
【請求項4】
前記鍵交渉が前記認証プロセス中に前記認証と同時に完了する間に、前記認証サブシステムは、前記認証サーバエンティティの前記補助を受けて、もしくは前記補助を受けずに鍵交渉プロセスを完了することができ、または、すべてそれ自体で前記認証プロセスを完了することができる、請求項3に記載のポートベースのピアアクセス制御方法。
【請求項5】
前記認証サーバエンティティは前記認証制御エンティティの属性情報を格納し、前記属性情報を前記認証制御エンティティに転送することを特徴とする、請求項1または2に記載のポートベースのピアアクセス制御方法。
【請求項6】
前記認証サーバエンティティは、前記認証制御エンティティの属性情報を格納し、前記属性情報を前記認証制御エンティティに転送することを特徴とする、請求項3に記載のポ
ートベースのピアアクセス制御方法。
【請求項7】
前記方法は、前記制御ポートの前記状態を設定するステップを含み、すなわち、前記認証および前記鍵交渉が成功した場合、前記認証サブシステムは、前記制御ポートの前記状態を認証済みとして設定し、前記制御ポートの前記状態は開放状態から閉鎖状態に移行し、前記パケットを通行させ、前記認証および前記鍵交渉が成功しなかった場合、前記認証サブシステムは、前記制御ポートの前記状態を非認証として設定し、前記制御ポートは依然として開いたままであることを特徴とする、請求項3に記載のポートベースのピアアクセス制御方法。
【請求項8】
前記認証制御エンティティおよび認証サーバエンティティは、1つのシステムまたは別のシステム内で実現され得、前記1つのシステムは、1つ以上の認証制御エンティティを含み得ることを特徴とする、請求項1または2に記載のポートベースのピアアクセス制御方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2008−530698(P2008−530698A)
【公表日】平成20年8月7日(2008.8.7)
【国際特許分類】
【出願番号】特願2007−555443(P2007−555443)
【出願日】平成18年2月21日(2006.2.21)
【国際出願番号】PCT/CN2006/000248
【国際公開番号】WO2006/086931
【国際公開日】平成18年8月24日(2006.8.24)
【出願人】(505164405)西安西▲電▼捷通▲無▼綫▲網▼絡通信有限公司 (19)
【Fターム(参考)】
【公表日】平成20年8月7日(2008.8.7)
【国際特許分類】
【出願日】平成18年2月21日(2006.2.21)
【国際出願番号】PCT/CN2006/000248
【国際公開番号】WO2006/086931
【国際公開日】平成18年8月24日(2006.8.24)
【出願人】(505164405)西安西▲電▼捷通▲無▼綫▲網▼絡通信有限公司 (19)
【Fターム(参考)】
[ Back to top ]