JP2009272693A - Connection control system, connection control method and connection control program - Google Patents

Connection control system, connection control method and connection control program Download PDF

Info

Publication number
JP2009272693A
JP2009272693A JP2008119000A JP2008119000A JP2009272693A JP 2009272693 A JP2009272693 A JP 2009272693A JP 2008119000 A JP2008119000 A JP 2008119000A JP 2008119000 A JP2008119000 A JP 2008119000A JP 2009272693 A JP2009272693 A JP 2009272693A
Authority
JP
Japan
Prior art keywords
visitor
visitor terminal
address
terminal
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008119000A
Other languages
Japanese (ja)
Other versions
JP4833249B2 (en
Inventor
Hiroyuki Kurita
弘之 栗田
Junya Kato
淳也 加藤
Masahisa Kawashima
正久 川島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2008119000A priority Critical patent/JP4833249B2/en
Publication of JP2009272693A publication Critical patent/JP2009272693A/en
Application granted granted Critical
Publication of JP4833249B2 publication Critical patent/JP4833249B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To prevent deterioration in the filtering performance of a packet filter. <P>SOLUTION: When receiving a packet from a customer's terminal, a packet filter device retrieves an IP address range (e.g. "ADR1") including an IP address indicating a transmission source of the packet received from the customer's terminal out of IP address ranges prestored as "transmission source IP address range-transfer policy pair information", and controls whether the packet received from the customer's terminal is to be transferred or not on the basis of the transfer policy stored correspondingly to the retrieved IP address range. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

この発明は、自社内(企業などの会社内)に設置する来客者用LANへ接続した来客者端末による外部ネットワークへの通信を制御する接続制御システム、当該接続制御システムにより実現される接続制御方法、および当該接続制御方法に対応する接続制御プログラムに関する。   The present invention relates to a connection control system for controlling communication to an external network by a visitor terminal connected to a visitor LAN installed in the company (inside a company or the like), and a connection control method realized by the connection control system And a connection control program corresponding to the connection control method.

従来より、建物などの構内に設置されたアクセスポイントからLAN(Local Area Network)に接続するユーザについて、LANから外部ネットワークへの通信を所定のルールに基づいて制御する技術が存在する(非特許文献1参照)。   2. Description of the Related Art Conventionally, there is a technique for controlling communication from a LAN to an external network based on a predetermined rule for a user who connects to an LAN (Local Area Network) from an access point installed in a building or the like (non-patent document). 1).

例えば、LAN接続認証に成功したユーザに対してIPアドレスを払い出す度に、そのIPアドレスを送信元とするパケットの外部ネットワークへの転送を許可するか否かを規定した転送ポリシを、LAN接続認証に成功したユーザが所属するユーザグループに応じて、パケットをフィルタリングするパケットフィルタに追加していく技術が知られている。   For example, every time an IP address is paid out to a user who has succeeded in LAN connection authentication, a transfer policy that specifies whether or not to permit transfer of a packet having the IP address as a transmission source to an external network is A technique is known in which packets are added to a packet filter for filtering packets according to a user group to which a user who has succeeded in authentication belongs.

RFC 2979“Behavior of and Requirements for Internet Firewalls”,2000RFC 2979 “Behavior of and Requirements for Internet Firewalls”, 2000

しかしながら、上記した従来の技術は、LAN接続認証に成功したユーザに対してIPアドレスを払い出す度に転送ポリシをパケットフィルタに追加していくので、パケットフィルタに転送ポリシとして記録されたエントリ数が膨れ上がり、パケットフィルタのフィルタリング性能が劣化するという問題点があった。   However, since the conventional technique described above adds a transfer policy to the packet filter every time an IP address is issued to a user who has succeeded in LAN connection authentication, the number of entries recorded as a transfer policy in the packet filter is There is a problem that the filtering performance of the packet filter deteriorates due to swelling.

そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、パケットフィルタのフィルタリング性能の劣化を防止することが可能な接続制御システム、接続制御方法および接続制御プログラムを提供することを目的とする。   Accordingly, the present invention has been made to solve the above-described problems of the prior art, and provides a connection control system, a connection control method, and a connection control program capable of preventing deterioration of filtering performance of a packet filter. The purpose is to do.

上述した課題を解決し、目的を達成するため、請求項1に係る発明は、自社内に設置する来客者用LANへ接続した来客者端末による外部ネットワークへの通信を制御する接続制御システムであって、前記来客者用LANへの接続が許可される前記来客者端末のユーザが所属している許可グループ情報ごとに、当該来客者端末のMACアドレスを対応付けて記憶する許可グループ情報記憶手段と、前記来客者用LANへの接続が許可される前記来客者端末のユーザが所属している許可グループ情報ごとに、当該来客者端末に対して割当可能なIPアドレスの範囲を対応付けて記憶するアドレス範囲記憶手段と、前記来客者端末に対して割当可能なIPアドレスの範囲に対応付けて、当該来客者端末を送信元とするパケットに関し、前記外部ネットワークへ転送可能な条件を示した転送ポリシを記憶する転送ポリシ記憶手段と、前記来客者端末からIPアドレスの割当要求があった場合に、前記許可グループ情報記憶手段により記憶されている許可グループ情報の中から、割当要求元の来客者端末のMACアドレスに対応する許可グループ情報を取得する取得手段と、前記アドレス範囲記憶手段により記憶されている許可グループごとのIPアドレスの範囲のうち、前記取得手段により取得された許可グループ情報に対応するIPアドレスの範囲から、前記割当要求元の来客者端末に割り当てるIPアドレスを決定して割り当てる割当手段と、前記来客者端末からパケットを受け付けた場合に、前記転送ポリシ記憶手段により記憶されているIPアドレスの範囲の中から、当該来客者端末から受け付けられたパケットの送信元を示すIPアドレスが含まれるIPアドレスの範囲を検索し、検索されたIPアドレスの範囲に対応付けて前記転送ポリシ記憶手段により記憶されている転送ポリシに基づき、当該来客者端末から受け付けられたパケットを転送するか否かを制御する転送制御手段と、を備えたことを特徴とする。   In order to solve the above-described problems and achieve the object, the invention according to claim 1 is a connection control system for controlling communication to an external network by a visitor terminal connected to a visitor LAN installed in the company. A permission group information storage means for storing the MAC address of the visitor terminal in association with the permission group information to which the user of the visitor terminal permitted to connect to the visitor LAN belongs. For each permission group information to which a user of the visitor terminal permitted to connect to the visitor LAN is associated, a range of IP addresses that can be assigned to the visitor terminal is stored in association with each other. In relation to a packet having the address range storage means and the IP address that can be assigned to the visitor terminal as a source, the external network Transfer policy storage means for storing a transfer policy indicating conditions that can be transferred to a network, and permission group information stored by the permission group information storage means when there is an IP address assignment request from the visitor terminal Among the obtaining means for obtaining the permission group information corresponding to the MAC address of the visitor terminal of the allocation request source, and the obtaining of the IP address range for each permission group stored by the address range storage means. An allocation unit that determines and allocates an IP address to be allocated to the allocation request source visitor terminal from a range of IP addresses corresponding to the permitted group information acquired by the unit, and a packet received from the visitor terminal, From the IP address range stored in the transfer policy storage means, the visitor A range of IP addresses including an IP address indicating a transmission source of a packet received from the end is searched, and based on the transfer policy stored in the transfer policy storage unit in association with the searched IP address range, Transfer control means for controlling whether or not to transfer a packet accepted from the visitor terminal.

また、請求項2に係る発明は、上記の発明において、前記転送ポリシ記憶手段は、前記来客者端末に対して割当可能なIPアドレスの範囲に対応付けて、当該来客者端末を送信元とするパケットに関し、前記外部ネットワークへ転送可能な宛先IPアドレスおよび宛先ポート番号を前記転送ポリシとして記憶し、前記転送制御手段は、前記来客者端末からパケットを受け付けた場合に、前記転送ポリシ記憶手段により記憶されているIPアドレスの範囲の中から、当該来客者端末から受け付けられたパケットの送信元を示すIPアドレスが含まれるIPアドレスの範囲を検索し、検索されたIPアドレスの範囲に対応付けて前記転送ポリシ記憶手段により前記転送ポリシとして記憶されている宛先IPアドレスおよび宛先ポート番号に基づき、当該来客者端末から受け付けられたパケットを転送するか否かを制御することを特徴とする。   According to a second aspect of the present invention, in the above invention, the transfer policy storage means uses the visitor terminal as a transmission source in association with a range of IP addresses that can be assigned to the visitor terminal. With respect to the packet, the destination IP address and destination port number that can be transferred to the external network are stored as the transfer policy, and the transfer control means stores the transfer policy storage means when receiving the packet from the visitor terminal The IP address range including the IP address indicating the transmission source of the packet received from the visitor terminal is searched from the IP address range that has been received, and is associated with the searched IP address range. Based on the destination IP address and destination port number stored as the transfer policy by the transfer policy storage means And controlling whether to forward the packet that has been received from the visitor terminal.

また、請求項3に係る発明は、上記の発明において、前記来客者端末から前記来客者用LANへの接続要求があった場合に、当該接続要求に含まれる許可グループ情報を用いて、接続要求元の来客者端末のユーザが来客者用LANへの接続が許可されるグループに所属しているか否かの認証を行う認証手段と、前記接続要求元の来客者端末が前記来客者用LANへの接続を許可するグループに所属していることが前記認証手段により認証された場合には、前記接続要求に含まれる許可グループ情報と、当該来客者端末のMACアドレスとを対応付けて前記許可グループ記憶手段に登録する登録手段と、をさらに備えたことを特徴とする請求項1または2に記載の接続制御システム。   Further, in the invention according to claim 3, in the above invention, when there is a connection request from the visitor terminal to the visitor LAN, the connection request is made using the permission group information included in the connection request. Authentication means for authenticating whether or not the user of the original visitor terminal belongs to a group permitted to connect to the visitor LAN, and the visitor terminal of the connection request source to the visitor LAN If the authentication means authenticates that the user belongs to a group that permits the connection, the permission group information associated with the MAC address of the visitor terminal is associated with the permission group. The connection control system according to claim 1, further comprising registration means for registering in the storage means.

また、請求項4に係る発明は、自社内に設置する来客者用LANへ接続した来客者端末による外部ネットワークへの通信を制御する接続制御方法であって、前記来客者端末からIPアドレスの割当要求があった場合に、前記来客者用LANへの接続が許可される前記来客者端末のユーザが所属している許可グループ情報ごとに、当該来客者端末のMACアドレスを対応付けて記憶する記憶部から、割当要求元の来客者端末のMACアドレスに対応する許可グループ情報を取得する取得ステップと、前記来客者用LANへの接続が許可される前記来客者端末のユーザが所属している許可グループ情報ごとに、当該来客者端末に対して割当可能なIPアドレスの範囲を対応付けて記憶する記憶部を参照して、前記取得ステップにより取得された許可グループ情報に対応するIPアドレス範囲から、前記割当要求元の来客者端末に割り当てるIPアドレスを決定して割り当てる割当ステップと、前記来客者端末からパケットを受け付けた場合に、前記来客者端末に対して割当可能なIPアドレスの範囲に対応付けて、当該来客者端末を送信元とするパケットに関し、前記外部ネットワークへ転送可能な条件を示した転送ポリシを記憶する記憶部を参照して、当該来客者端末から受け付けられたパケットの送信元を示すIPアドレスが含まれているIPアドレスの範囲に対応した転送ポリシに基づき、当該来客者端末から受け付けられたパケットを転送するか否かを制御する転送制御ステップと、を含んだことを特徴とする。   The invention according to claim 4 is a connection control method for controlling communication to an external network by a visitor terminal connected to a visitor LAN installed in the company, wherein an IP address is assigned from the visitor terminal. A storage that stores the MAC address of the visitor terminal in association with the permission group information to which the user of the visitor terminal to which connection to the visitor LAN is permitted when requested. Obtaining the permission group information corresponding to the MAC address of the visitor terminal of the allocation request source, and the permission to which the user of the visitor terminal permitted to connect to the visitor LAN belongs For each group information, referring to a storage unit that stores a range of IP addresses that can be assigned to the visitor terminal in association with each other, the permission acquired by the acquisition step is stored. An assignment step for determining and assigning an IP address to be assigned to the assignment requesting visitor terminal from the IP address range corresponding to the group information, and when receiving a packet from the visitor terminal, With reference to a storage unit that stores a transfer policy indicating a condition that can be transferred to the external network with respect to a packet whose source is the visitor terminal in association with an assignable IP address range, the visitor Transfer control for controlling whether or not to transfer the packet received from the visitor terminal based on the transfer policy corresponding to the IP address range including the IP address indicating the transmission source of the packet received from the terminal And a step.

また、請求項5に係る発明は、自社内に設置する来客者用LANへ接続した来客者端末による外部ネットワークへの通信を制御する処理をコンピュータに実行させる接続制御プログラムであって、前記来客者端末からIPアドレスの割当要求があった場合に、前記来客者用LANへの接続が許可される前記来客者端末のユーザが所属している許可グループ情報ごとに、当該来客者端末のMACアドレスを対応付けて記憶する記憶部から、割当要求元の来客者端末のMACアドレスに対応する許可グループ情報を取得する取得手順と、前記来客者用LANへの接続が許可される前記来客者端末のユーザが所属している許可グループ情報ごとに、当該来客者端末に対して割当可能なIPアドレスの範囲を対応付けて記憶する記憶部を参照して、前記取得手順により取得された許可グループ情報に対応するIPアドレス範囲から、前記割当要求元の来客者端末に割り当てるIPアドレスを決定して割り当てる割当手順と、前記来客者端末からパケットを受け付けた場合に、前記来客者端末に対して割当可能なIPアドレスの範囲に対応付けて、当該来客者端末を送信元とするパケットに関し、前記外部ネットワークへ転送可能な条件を示した転送ポリシを記憶する記憶部を参照して、当該来客者端末から受け付けられたパケットの送信元を示すIPアドレスが含まれるIPアドレスの範囲に対応付けられた転送ポリシに基づき、当該来客者端末から受け付けられたパケットを転送するか否かを制御する転送制御手順と、をコンピュータに実行させることを特徴とする。   The invention according to claim 5 is a connection control program for causing a computer to execute processing for controlling communication to an external network by a visitor terminal connected to a visitor LAN installed in the company, wherein the visitor When there is an IP address assignment request from the terminal, the MAC address of the visitor terminal is set for each permission group information to which the user of the visitor terminal permitted to connect to the visitor LAN belongs. An acquisition procedure for acquiring permission group information corresponding to the MAC address of the visitor terminal that is the assignment request source from the storage unit that is associated and stored, and a user of the visitor terminal that is permitted to connect to the visitor LAN For each permission group information to which the user belongs, refer to the storage unit that stores the range of IP addresses that can be assigned to the visitor terminal in association with An assignment procedure for determining and assigning an IP address to be assigned to the assignment requesting customer terminal from the IP address range corresponding to the permitted group information obtained by the obtaining procedure, and when receiving a packet from the visitor terminal, A storage unit that stores a transfer policy indicating a condition that can be transferred to the external network with respect to a packet that is transmitted from the visitor terminal in association with a range of IP addresses that can be assigned to the visitor terminal. With reference to whether the packet received from the visitor terminal is transferred based on the transfer policy associated with the IP address range including the IP address indicating the transmission source of the packet received from the visitor terminal And a transfer control procedure for controlling whether or not the computer is executed.

本発明によれば、来客者用LANへ接続した来客者端末から外部ネットワークへ送信されるパケットをフィルタリングするための転送ポリシを来客者が所属するグループごとに集約することができるので、パケットフィルタのフィルタリング性能の劣化を防止することが可能である。   According to the present invention, since the transfer policy for filtering packets transmitted from the visitor terminal connected to the visitor LAN to the external network can be aggregated for each group to which the visitor belongs, It is possible to prevent deterioration of filtering performance.

以下に添付図面を参照して、この発明に係る接続制御システム、接続制御方法および接続制御プログラムの実施例を詳細に説明する。なお、以下では、本発明に係る接続制御システムを実施するための一実施形態として実施例1を説明した後に、本発明に含まれる他の実施形態として他の実施例を説明する。   Exemplary embodiments of a connection control system, a connection control method, and a connection control program according to the present invention will be described below in detail with reference to the accompanying drawings. In the following, Example 1 will be described as an embodiment for implementing the connection control system according to the present invention, and then another example will be described as another embodiment included in the present invention.

以下の実施例1では、実施例1に係る接続制御システムの概要および特徴、かかる接続制御システムの構成および処理を順に説明し、最後に実施例1による効果を説明する。   In the following first embodiment, the outline and characteristics of the connection control system according to the first embodiment, the configuration and processing of the connection control system will be described in order, and finally the effects of the first embodiment will be described.

[接続制御システムの概要および特徴(実施例1)]
まず、図1および図2を用いて、実施例1に係る接続制御システムの概要および特徴を説明する。図1および図2は、実施例1に係る接続制御システムの概要および特徴を説明するための図である。 [Outline and Features of Connection Control System (Example 1)]
First, the outline and characteristics of the connection control system according to the first embodiment will be described with reference to FIGS. 1 and 2. FIG. 1 and FIG. 2 are diagrams for explaining the outline and features of the connection control system according to the first embodiment.

実施例1に係る接続制御システムは、自社内(企業などの会社内)に設置する来客者用LANへ接続した来客者端末による外部ネットワークへの通信を制御することを概要とする。   The outline of the connection control system according to the first embodiment is to control communication to an external network by a visitor terminal connected to a visitor LAN installed in the company (inside a company or the like).

そして、実施例1に係る接続制御システムは、来客者用LANへ接続した来客者端末から外部ネットワークへ送信されるパケットをフィルタリングするための転送ポリシを来客者が所属するグループごとに集約することにより、パケットフィルタのフィルタリング性能の劣化を防止する点に主たる特徴がある。   The connection control system according to the first embodiment aggregates transfer policies for filtering packets transmitted from a visitor terminal connected to a visitor LAN to an external network for each group to which the visitor belongs. The main feature is that the deterioration of the filtering performance of the packet filter is prevented.

以下、この主たる特徴について具体的に説明する。例えば、図1に示すように、Y社内に設置された実施例1に係る接続制御システムは、MAC−レルムペア情報記憶装置と、RADIUSサーバと、DHCPサーバと、パケットフィルタ装置とを有する。   Hereinafter, the main features will be specifically described. For example, as illustrated in FIG. 1, the connection control system according to the first embodiment installed in the company Y includes a MAC-realm pair information storage device, a RADIUS server, a DHCP server, and a packet filter device.

RADIUSサーバは、Y社を訪れたA社の来客者が携帯する来客者端末から、Y社が来客者用に設置しているLANなどのY社企業IP網に対する接続要求を受け付けると、接続要求に含まれる証明書を用いて、接続要求元である来客者端末のユーザが、来客者用LANへの接続が許可されるグループに所属しているか否かの認証を行う。   When a RADIUS server receives a connection request from a visitor terminal carried by a visitor of company A who visits company Y to a company IP network of company Y such as a LAN installed for visitor Y, a connection request is received. Is used to authenticate whether the user of the visitor terminal that is the connection request source belongs to a group that is permitted to connect to the visitor LAN.

認証に成功すると、RADIUSサーバは、例えば、図2に示すように、接続要求元である来客者端末のMACアドレス(例えば、「A」)と、接続要求に含まれていた証明書内のレルム(例えば、「a」)とを対応付けて、MAC−レルムペア情報記憶装置に「MAC−レルム ペア情報」として登録した後、認証に成功した旨の認証結果通知を来客者端末に送信する。   When the authentication is successful, the RADIUS server, for example, as shown in FIG. 2, the MAC address (eg, “A”) of the visitor terminal that is the connection request source, and the realm in the certificate included in the connection request (For example, “a”) is associated and registered in the MAC-realm pair information storage device as “MAC-realm pair information”, and then an authentication result notification indicating that the authentication has been successful is transmitted to the customer terminal.

ここで、レルムとは、来客者用LANへの接続が許可される来客者が所属するグループ(企業等)を特定する情報であり、Y社から各グループに対して予め配布されるか、あるいは各グループからY社に対して予め通知する。   Here, the realm is information for identifying a group (company, etc.) to which a visitor permitted to connect to the visitor LAN belongs, and is distributed in advance from the Y company to each group, or Each group notifies the Y company in advance.

RADIUSサーバから認証結果通知を受信すると、来客者端末は、IPアドレス割当要求を接続制御システムに送信する。   When receiving the authentication result notification from the RADIUS server, the visitor terminal transmits an IP address assignment request to the connection control system.

DHCPサーバは、来客者端末からIPアドレスの割当要求を受信すると、例えば、図2に示すように、MAC−レルムペア情報記憶装置に記憶されている「MAC−レルム ペア情報」の中から、割当要求元の来客者端末のMACアドレス(例えば、「A」)に対応するレルム(例えば、「a」)を取得する。   When the DHCP server receives the IP address assignment request from the visitor terminal, for example, as shown in FIG. 2, the assignment request is sent from the “MAC-realm pair information” stored in the MAC-realm pair information storage device. A realm (for example, “a”) corresponding to the MAC address (for example, “A”) of the original visitor terminal is acquired.

そして、DHCPサーバは、例えば、図2に示すように、「レルム−割当IPアドレスレンジ ペア情報」として自らが予め記憶するレルムごとの割当IPアドレスレンジのうち、先に取得したレルム(例えば、「a」)に対応するIPアドレスの範囲(例えば、「ADR1」)から、IPアドレスの割当要求元の来客者端末に割り当てるIPアドレスを決定して通知する。   Then, the DHCP server, for example, as shown in FIG. 2, among the assigned IP address ranges for each realm stored in advance as “realm-assigned IP address range pair information”, the realm (for example, “ a ”), an IP address to be allocated to the visitor terminal that is the IP address allocation request source is determined and notified from the IP address range (for example,“ ADR1 ”).

DHCPサーバからIPアドレスの通知を受信すると、来客者端末は、このIPアドレスを送信元アドレスとするパケットを接続制御システムに送信する。   When receiving the notification of the IP address from the DHCP server, the visitor terminal transmits a packet having the IP address as the transmission source address to the connection control system.

パケットフィルタ装置は、来客者端末からパケットを受信すると、例えば、図2に示すように、「発信元IPアドレスレンジ−転送ポリシ ペア情報」として自らが予め記憶するIPアドレスの範囲の中から、来客者端末から受信したパケットの送信元を示すIPアドレスが含まれるIPアドレスの範囲(例えば、「ADR1」)を検索し、検索されたIPアドレスの範囲に対応付けて記憶されている転送ポリシに基づき、来客者端末から受信したパケットを転送するか否かを制御する。   When the packet filter device receives the packet from the visitor terminal, for example, as shown in FIG. 2, the packet filter device receives from the IP address range stored in advance as “source IP address range-forwarding policy pair information”. The IP address range (for example, “ADR1”) including the IP address indicating the transmission source of the packet received from the subscriber terminal is searched, and based on the transfer policy stored in association with the searched IP address range Control whether to transfer the packet received from the visitor terminal.

このようなことから、実施例1に係る接続制御システムは、上述した主たる特徴のように、来客者用LANへ接続した来客者端末から外部ネットワークへ送信されるパケットをフィルタリングするための転送ポリシを来客者が所属するグループごとに集約して、パケットフィルタのフィルタリング性能の劣化を防止することができる。   For this reason, the connection control system according to the first embodiment has a transfer policy for filtering packets transmitted from the visitor terminal connected to the visitor LAN to the external network, as in the main feature described above. Aggregation can be performed for each group to which a visitor belongs, and deterioration of the filtering performance of the packet filter can be prevented.

[接続制御システムの構成(実施例1)]
次に、図3〜図6を用いて、実施例1に係る接続制御システムの構成を説明する。図3は、実施例1に係る接続制御システムの構成を示すブロック図である。図4は、「MAC−レルム ペア情報」の構成例を示す図である。図5は、「レルム−割当IPアドレスレンジ ペア情報」の構成例を示す図である。図6は、「発信元IPアドレスレンジ−転送ポリシ ペア情報」の構成例を示す図である。 [Configuration of Connection Control System (Example 1)]
Next, the configuration of the connection control system according to the first embodiment will be described with reference to FIGS. FIG. 3 is a block diagram illustrating the configuration of the connection control system according to the first embodiment. FIG. 4 is a diagram illustrating a configuration example of “MAC-realm pair information”. FIG. 5 is a diagram illustrating a configuration example of “realm-assigned IP address range pair information”. FIG. 6 is a diagram illustrating a configuration example of “source IP address range-forwarding policy pair information”.

図3に示すように、実施例1に係る接続制御システム200は、MAC−レルムペア情報記憶装置210と、RADIUSサーバ220と、DHCPサーバ230と、パケットフィルタ装置240とを有する。   As illustrated in FIG. 3, the connection control system 200 according to the first embodiment includes a MAC-realm pair information storage device 210, a RADIUS server 220, a DHCP server 230, and a packet filter device 240.

そして、実施例1に係る接続制御システム200は、来客者用LAN1を介して、来客者端末100との通信が可能であるとともに、外部IP網2を介して、A社企業IP網3およびB者企業IP網4との通信が可能である。   The connection control system 200 according to the first embodiment can communicate with the visitor terminal 100 via the visitor LAN 1, and the company A company IP network 3 and B via the external IP network 2. Communication with the private company IP network 4 is possible.

MAC−レルムペア情報記憶装置210は、後述するRADIUSサーバ220からの登録を受け付けて、例えば、図4に示すように、来客者用LAN1への接続が許可される来客者端末100のユーザが所属しているグループを特定する情報であるレルム(例えば、「a.com」)ごとに、来客者端末100に用いられるMACアドレス(Media Access Control address、例えば、「12:34:56:AB:CD:EF」)を対応付けて、「MAC−レルム ペア情報」として記憶する。   The MAC-realm pair information storage device 210 accepts registration from a RADIUS server 220, which will be described later. For example, as shown in FIG. 4, the user of the visitor terminal 100 to which connection to the visitor LAN 1 is permitted belongs. For each realm (for example, “a.com”), which is information for identifying a group, the MAC address (Media Access Control address, for example, “12: 34: 56: AB: CD: EF ”) in association with each other and stored as“ MAC-realm pair information ”.

また、レルムは、例えば、来客者用LAN1への接続が許可される来客者が所属するグループ(企業等)に対して予め配布されるか、あるいは各グループからY社に対して予め通知する。   In addition, the realm is distributed in advance to a group (company, etc.) to which a visitor permitted to connect to the visitor LAN 1 belongs, or notified in advance to each company from each group.

なお、各グループのユーザにより使用される端末から、来客者用LAN1の接続認証時に提示される証明書(例えば、x.509証明書)を検証するために、レルムを含んだ各グループごとのルート証明書が設置企業(例えば、Y社)のRADIUSサーバ220に設定される。   In addition, in order to verify a certificate (for example, x.509 certificate) presented at the time of connection authentication of the visitor LAN 1 from a terminal used by a user of each group, a route for each group including a realm The certificate is set in the RADIUS server 220 of the installation company (for example, company Y).

なお、MAC−レルムペア情報記憶装置210は、特許請求の範囲に記載の「許可グループ情報記憶手段」に対応する。   The MAC-realm pair information storage device 210 corresponds to the “permitted group information storage unit” recited in the claims.

RADIUS(Remote Authentication Dial-In User Service)サーバ220は、例えば、IEEE.802.1Xに基づくEAP−TLS(Extensible Authentication Protocol‐Transport Layer Security)の認証方式を用いて、来客者用LAN1への接続を要求する来客者端末100のユーザについて、無線アクセスポイントを介した接続認証を行う。   The RADIUS (Remote Authentication Dial-In User Service) server 220 uses, for example, an EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) authentication method based on IEEE.802.1X to connect to the visitor LAN 1. For the user of the visitor terminal 100 requesting, connection authentication via a wireless access point is performed.

具体的に説明すると、RADIUSサーバ220は、来客者端末100から来客者用LAN1への接続要求を受け付けると、来客者端末100から接続要求とともに受け付けられた証明書(例えば、x.509証明書)に基づいて、接続要求元である来客者端末100のユーザが、来客者用LANへの接続が許可されるグループに所属しているか否かの認証を行う。   More specifically, when the RADIUS server 220 receives a connection request from the visitor terminal 100 to the visitor LAN 1, the certificate received together with the connection request from the visitor terminal 100 (for example, an x.509 certificate). Based on the above, it is authenticated whether or not the user of the visitor terminal 100 that is the connection request source belongs to a group that is permitted to connect to the visitor LAN.

認証に成功すると、RADIUSサーバ220は、接続要求元である来客者端末100のMACアドレス(例えば、「12:34:56:AB:CD:EF」)と、接続要求に含まれていた証明書内のレルム(例えば、「a.com」)とを対応付けて、MAC−レルムペア情報記憶装置210に「MAC−レルム ペア情報」として登録する。   If the authentication is successful, the RADIUS server 220 sends the MAC address (eg, “12: 34: 56: AB: CD: EF”) of the visitor terminal 100 that is the connection request source and the certificate included in the connection request. In association with the realm (for example, “a.com”) in the MAC-realm pair information storage device 210 as “MAC-realm pair information”.

そして、RADIUSサーバ220は、認証に成功した旨の認証結果通知を来客者端末100に送信する。   Then, the RADIUS server 220 transmits an authentication result notification indicating that the authentication is successful to the customer terminal 100.

なお、RADIUSサーバ220は、特許請求の範囲に記載の「認証手段」および「登録手段」にそれぞれ対応する。   The RADIUS server 220 corresponds to “authentication means” and “registration means” described in the claims.

DHCPサーバ(Dynamic Host Configuration Protocol)230は、IPアドレスの割当を要求する来客者端末100に対してIPアドレスを割り当てる。   A DHCP server (Dynamic Host Configuration Protocol) 230 assigns an IP address to the visitor terminal 100 that requests assignment of an IP address.

具体的に説明すると、DHCPサーバ230は、例えば、図5に示すように、来客者用LAN1への接続が許可される来客者端末100のユーザが所属しているグループを特定するレルム(例えば、「a.com」)ごとに、来客者端末100に対して割当可能なIPアドレスの範囲(例えば、「192.168.1/24」)を対応付けて、「レルム−割当IPアドレスレンジ ペア情報」として予め記憶する。   More specifically, for example, as shown in FIG. 5, the DHCP server 230 has a realm (e.g., a group to which the user of the visitor terminal 100 permitted to connect to the visitor LAN 1 belongs). For each “a.com”), a range of IP addresses that can be assigned to the visitor terminal 100 (for example, “192.168.1 / 24”) is associated with each other as “realm-assigned IP address range pair information”. Store in advance.

そして、DHCPサーバ230は、来客者端末100からIPアドレスの割当要求を受信すると、MAC−レルムペア情報記憶装置210に記憶されている「MAC−レルム ペア情報」の中から、割当要求元の来客者端末100のMACアドレス(例えば、「12:34:56:AB:CD:EF」)に対応するレルム(例えば、「a.com」)を取得する。   When the DHCP server 230 receives the IP address assignment request from the visitor terminal 100, the visitor of the assignment request source from the “MAC-realm pair information” stored in the MAC-realm pair information storage device 210. A realm (for example, “a.com”) corresponding to the MAC address of the terminal 100 (for example, “12: 34: 56: AB: CD: EF”) is acquired.

レルムを取得した後、DHCPサーバ230は、「レルム−割当IPアドレスレンジ ペア情報」として自らが予め記憶するレルムごとの割当IPアドレスレンジのうち、先に取得したレルム(例えば、「a.com」)に対応するIPアドレスレンジ(例えば、「192.168.1/24」)から、IPアドレスの割当要求元の来客者端末100に割り当てるIPアドレスを決定して通知する。   After acquiring the realm, the DHCP server 230 determines the realm (for example, “a.com”) that has been previously acquired from the allocated IP address range for each realm stored in advance as “realm-allocated IP address range pair information”. ) Is determined and notified from the IP address range (for example, “192.168.1 / 24”) corresponding to the client terminal 100 of the IP address allocation request source.

なお、DHCPサーバ230は、特許請求の範囲に記載の「アドレス範囲記憶手段」、「取得手段」および「割当手段」にそれぞれ対応する。   The DHCP server 230 corresponds to “address range storage means”, “acquisition means”, and “allocation means” described in the claims.

パケットフィルタ装置240は、来客者端末100から外部IP網2へ送信されるパケットをフィルタリングする。   The packet filter device 240 filters packets transmitted from the visitor terminal 100 to the external IP network 2.

具体的に説明すると、パケットフィルタ装置240は、例えば、図6に示すように、発信元IPアドレスレンジ(例えば、「192.168.1/24」)に対応付けて、来客者端末100を送信元とするパケットに関し、外部IP網2へ転送可能な条件として、宛先IPアドレスおよび宛先ポート番号を転送ポリシとして記憶する。   Specifically, as shown in FIG. 6, for example, the packet filter device 240 associates the visitor terminal 100 with the transmission source IP address range (for example, “192.168.1 / 24”) as the transmission source. The destination IP address and the destination port number are stored as a transfer policy as a condition for transferring the packet to the external IP network 2.

そして、パケットフィルタ装置240は、来客者端末100からパケットを受信すると、「発信元IPアドレスレンジ−転送ポリシ ペア情報」として自らが予め記憶する発信元IPアドレスレンジの中から、来客者端末100から受信したパケットの送信元を示すIPアドレスが含まれる発信元IPアドレスレンジ(例えば、「192.168.1/24」)を検索する。   When the packet filter device 240 receives the packet from the visitor terminal 100, the packet filter device 240 receives the packet from the visitor terminal 100 from the source IP address range stored in advance as “source IP address range-transfer policy pair information”. A source IP address range (for example, “192.168.1 / 24”) including the IP address indicating the source of the received packet is searched.

発信元IPアドレスレンジの検索が完了すると、パケットフィルタ装置240は、検索された発信元IPアドレスレンジに対応付けて、「発信元IPアドレスレンジ−転送ポリシ ペア情報」として記憶されている転送ポリシ(宛先IPアドレスおよび宛先ポート番号)に基づき、来客者端末100から受信したパケットが、この転送ポリシに合致する場合には外部IP網2へ転送する。   When the search of the source IP address range is completed, the packet filter device 240 associates with the searched source IP address range, and stores the transfer policy (stored as “source IP address range-transfer policy pair information”). Based on the destination IP address and destination port number), the packet received from the visitor terminal 100 is transferred to the external IP network 2 if the packet matches this transfer policy.

例えば、パケットフィルタ装置240は、来客者端末100から受信したパケットの宛先IPアドレスおよび宛先ポート番号が、転送ポリシとして記憶されている「vpn-gw.a.com(A社のVPNゲートウェイのホスト名)へのIPsec/IKE通信(UDPポート500番、4500番)のみ許可」と合致する場合には、来客者端末100から受信したパケットを外部IP網2へ転送する。   For example, the packet filter device 240 stores “vpn-gw.a.com (the host name of the VPN gateway of company A) in which the destination IP address and the destination port number of the packet received from the visitor terminal 100 are stored as the transfer policy. ), The packet received from the visitor terminal 100 is transferred to the external IP network 2.

なお、パケットフィルタ装置240は、特許請求の範囲に記載の「転送ポリシ記憶手段」および「転送制御手段」にそれぞれ対応する。   The packet filter device 240 corresponds to “transfer policy storage unit” and “transfer control unit” described in the claims.

また、来客者端末100は、例えば、パーソナルコンピュータなどの情報処理装置であり、MAC−レルムペア情報記憶装置210、RADIUSサーバ220、およびDHCPサーバ230は、既知のパーソナルコンピュータ、ワークステーションなどの情報処理装置に、上記した各機能を搭載することによって実現することもできる。なお、パケットフィルタ装置240は、接続制御システム200内に設置されるゲートウェイなどに適用することができる。   The visitor terminal 100 is an information processing device such as a personal computer, for example, and the MAC-realm pair information storage device 210, the RADIUS server 220, and the DHCP server 230 are known information processing devices such as a personal computer and a workstation. In addition, it can be realized by mounting the above-described functions. The packet filter device 240 can be applied to a gateway or the like installed in the connection control system 200.

[接続制御システムの処理(実施例1)]
続いて、図7を用いて、実施例1に係る接続制御システムによる処理を説明する。図7は、実施例1に係る接続制御システムによる処理の流れを示す図である。 [Processing of Connection Control System (Example 1)]
Subsequently, processing by the connection control system according to the first embodiment will be described with reference to FIG. FIG. 7 is a diagram illustrating a flow of processing by the connection control system according to the first embodiment.

同図に示すように、RADIUSサーバ220は、来客者端末100から来客者用LAN1への接続要求を受け付けると、来客者端末100から接続要求とともに受け付けられた証明書(例えば、x.509証明書)に基づいて、接続要求元である来客者端末100のユーザが、来客者用LANへの接続が許可されるグループに所属しているか否かのL2(Layer2)接続認証を行う(ステップS701)。   As shown in the figure, when the RADIUS server 220 receives a connection request from the visitor terminal 100 to the visitor LAN 1, the certificate received together with the connection request from the visitor terminal 100 (for example, an x.509 certificate). ), L2 (Layer 2) connection authentication is performed to determine whether or not the user of the visitor terminal 100 that is the connection request source belongs to a group that is permitted to connect to the visitor LAN (step S701). .

認証に成功すると(ステップS702)、RADIUSサーバ220は、接続要求元である来客者端末100のMACアドレス(例えば、「12:34:56:AB:CD:EF」)と、接続要求に含まれていた証明書内のレルム(例えば、「a.com」)とを対応付けて、MAC−レルムペア情報記憶装置210に「MAC−レルム ペア情報」として登録する(ステップS703)。   When the authentication is successful (step S702), the RADIUS server 220 is included in the connection request and the MAC address (for example, “12: 34: 56: AB: CD: EF”) of the visitor terminal 100 that is the connection request source. The realm in the certificate (for example, “a.com”) is associated and registered as “MAC-realm pair information” in the MAC-realm pair information storage device 210 (step S703).

そして、RADIUSサーバ220は、認証に成功した旨の認証結果通知を来客者端末100に送信する(SステップS704)。   Then, the RADIUS server 220 transmits an authentication result notification indicating that the authentication was successful to the customer terminal 100 (S step S704).

来客者端末100からIPアドレスの割当要求が送信され(ステップS705)、DHCPサーバ230は、このIPアドレスの割当要求を受信すると、MAC−レルムペア情報記憶装置210に記憶されている「MAC−レルム ペア情報」の中から、割当要求元の来客者端末100のMACアドレス(例えば、「12:34:56:AB:CD:EF」)に対応するレルム(例えば、「a.com」)を取得する(ステップS706)。   When an IP address assignment request is transmitted from the visitor terminal 100 (step S705) and the DHCP server 230 receives the IP address assignment request, the “MAC-realm pair” stored in the MAC-realm pair information storage device 210 is received. The realm (for example, “a.com”) corresponding to the MAC address (for example, “12: 34: 56: AB: CD: EF”) of the visitor terminal 100 that is the allocation request source is acquired from “information”. (Step S706).

レルムを取得した後、DHCPサーバ230は、「レルム−割当IPアドレスレンジ ペア情報」として自らが予め記憶するレルムごとの割当IPアドレスレンジのうち、先に取得したレルム(例えば、「a.com」)に対応するIPアドレスレンジ(例えば、「192.168.1/24」)から、IPアドレスの割当要求元の来客者端末100に割り当てるIPアドレスを決定して(ステップS707)、来客者端末100に通知する(ステップS708)。   After acquiring the realm, the DHCP server 230 determines the realm (for example, “a.com”) that has been previously acquired from the allocated IP address range for each realm stored in advance as “realm-allocated IP address range pair information”. ) Is determined from the IP address range (for example, “192.168.1 / 24”) corresponding to the IP address allocation requester (step S707) and notified to the customer terminal 100. (Step S708).

DHCPサーバからIPアドレスの通知を受信すると、来客者端末は、このIPアドレスを送信元アドレスとするパケットを送信する(ステップS709)。   Upon receiving the IP address notification from the DHCP server, the visitor terminal transmits a packet having this IP address as the source address (step S709).

パケットフィルタ装置240は、来客者端末100からパケットを受信すると、「発信元IPアドレスレンジ−転送ポリシ ペア情報」として自らが予め記憶する発信元IPアドレスレンジの中から、来客者端末100から受信したパケットの送信元を示すIPアドレスが含まれる発信元IPアドレスレンジ(例えば、「192.168.1/24」)を検索し、検索された発信元IPアドレスレンジに対応付けて記憶されている転送ポリシ(宛先IPアドレスおよび宛先ポート番号)に基づき、来客者端末100から受信したパケットが、この転送ポリシに合致する場合には外部IP網2へ転送する(ステップS710)。   When the packet filter device 240 receives a packet from the visitor terminal 100, the packet filter device 240 receives the packet from the visitor terminal 100 from the source IP address range stored in advance as "source IP address range-transfer policy pair information". A source IP address range (for example, “192.168.1 / 24”) including an IP address indicating the source of the packet is searched, and a transfer policy stored in association with the searched source IP address range ( If the packet received from the visitor terminal 100 matches the transfer policy based on the destination IP address and the destination port number), the packet is transferred to the external IP network 2 (step S710).

[実施例1による効果]
上述してきたように、実施例1によれば、来客者用LAN1へ接続した来客者端末100から外部IP網2へ送信されるパケットをフィルタリングするための転送ポリシを来客者が所属するグループごとに集約することができるので、パケットフィルタのフィルタリング性能の劣化を防止することが可能である。 [Effects of Example 1]
As described above, according to the first embodiment, the transfer policy for filtering packets transmitted from the visitor terminal 100 connected to the visitor LAN 1 to the external IP network 2 is set for each group to which the visitor belongs. Since they can be aggregated, it is possible to prevent deterioration of the filtering performance of the packet filter.

すなわち、来客者用LAN1への接続が許可される来客者端末100のユーザが所属しているグループを特定するレルムと、来客者端末100へ割り当てるIPアドレスレンジと、転送ポリシとをリンクさせることにより、来客者用LAN1へ接続した来客者端末100から外部IP網2へ送信されるパケットの転送ポリシが来客者の所属するグループごとに集約される。   That is, by linking the realm that identifies the group to which the user of the visitor terminal 100 permitted to connect to the visitor LAN 1 belongs, the IP address range assigned to the visitor terminal 100, and the transfer policy The transfer policy of packets transmitted from the customer terminal 100 connected to the customer LAN 1 to the external IP network 2 is aggregated for each group to which the customer belongs.

したがって、従来のように、LAN接続認証に成功したユーザに対してIPアドレスを払い出す度に転送ポリシをパケットフィルタに追加していく必要が無く、パケットフィルタのフィルタリング性能の劣化を防止することができる。   Therefore, unlike the conventional case, there is no need to add a transfer policy to the packet filter every time an IP address is issued to a user who has succeeded in LAN connection authentication, and the deterioration of the filtering performance of the packet filter can be prevented. it can.

さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施形態について説明する。   Although the embodiments of the present invention have been described so far, the present invention may be implemented in various different forms other than the embodiments described above. In the following, other embodiments included in the present invention will be described.

(1)「MAC−レルム ペア情報」を予め管理
上記の実施例では、RADIUSサーバ220による接続認証に成功した来客者端末100のMACアドレスおよびレルムを対応付けて、MAC−レルムペア情報記憶装置210に登録する場合を説明した。 (1) “MAC-realm pair information” is managed in advance In the above embodiment, the MAC address and realm of the customer terminal 100 that has been successfully authenticated by the RADIUS server 220 are associated with each other in the MAC-realm pair information storage device 210. Explained the case of registration.

しかしながら、本発明はこれに限定されるものではなく、例えば、来客者用LAN1への接続が頻繁に行われることが予想される来客者端末100のMACアドレスとレルムとを予め管理しておき、来客者端末100から接続要求があった場合に、MACアドレスとレルムの組合せが正しい場合には、来客者用LAN1への接続を認めるようにしてもよい。   However, the present invention is not limited to this. For example, the MAC address and realm of the visitor terminal 100 that is expected to be frequently connected to the visitor LAN 1 are managed in advance. When there is a connection request from the visitor terminal 100, if the combination of the MAC address and the realm is correct, connection to the visitor LAN 1 may be permitted.

このようにすることで、来客者用LAN1への接続が頻繁に行われることが予想される来客者端末100については、接続要求があるごとに、RADIUSサーバ220による接続認証を行う必要が無くなり、IPアドレスを割当等を簡易に実行することができる。   In this way, for the customer terminal 100 that is expected to be frequently connected to the visitor LAN 1, it is not necessary to perform connection authentication by the RADIUS server 220 every time there is a connection request. It is possible to easily execute IP address assignment and the like.

(2)システム構成等
また、図3に示した接続制御システム200の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、接続制御システム200の分散・統合の具体的形態は図示のものに限られず、MAC−レルムペア情報記憶装置210とDHCPサーバ230とを統合するなど、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。上記した接続制御システム200が有する各装置にて行なわれる各処理機能を一装置内に統合してもよい。 (2) System Configuration, etc. Each component of the connection control system 200 shown in FIG. 3 is functionally conceptual and does not necessarily need to be physically configured as illustrated. That is, the specific form of distribution / integration of the connection control system 200 is not limited to the one shown in the figure, and all or a part of the connection-control system 200 such as integrating the MAC-realm pair information storage device 210 and the DHCP server 230 can be combined with various loads It can be configured to be functionally or physically distributed / integrated in an arbitrary unit according to the usage situation. Each processing function performed in each device included in the connection control system 200 may be integrated in one device.

また、上記した接続制御システム200が有する各装置にて行なわれる各処理機能(例えば、図7参照)は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。   In addition, each processing function (see, for example, FIG. 7) performed by each device included in the connection control system 200 described above is a CPU or a program that is analyzed and executed by the CPU. It can be realized or can be realized as hardware by wired logic.

(3)接続制御プログラム
また、上記の実施例1で説明した接続制御システム200が有する装置の各種の処理(例えば、図〜等参照)は、この各処理機能を統合して有する接続制御装置(パーソナルコンピュータやワークステーションなどのコンピュータシステム)で、あらかじめ用意されたプログラムを実行することによって実現することができる。そこで、以下では、図8を用いて、上記の実施例1と同様の機能を有する接続制御プログラムを実行するコンピュータの一例を説明する。図8は、接続制御プログラムを実行するコンピュータを示す図である。 (3) Connection Control Program In addition, various processes (for example, see FIGS. 1 to 4) of the devices included in the connection control system 200 described in the first embodiment are connected control devices (see FIG. This can be realized by executing a program prepared in advance on a computer system such as a personal computer or a workstation. In the following, an example of a computer that executes a connection control program having the same function as that of the first embodiment will be described with reference to FIG. FIG. 8 is a diagram illustrating a computer that executes a connection control program.

同図に示すように、接続制御装置としてコンピュータ200は、通信制御部310、HDD320、RAM330およびCPU340をバス400で接続して構成される。   As shown in the figure, a computer 200 as a connection control device is configured by connecting a communication control unit 310, an HDD 320, a RAM 330, and a CPU 340 via a bus 400.

ここで、通信制御部310は、来客者用LAN1や外部IP網2を介してやり取りされる各種情報に関する通信を制御する。HDD320は、CPU340による各種処理の実行に必要な情報を記憶する。RAM330は、各種情報を一時的に記憶する。CPU340は、各種演算処理を実行する。   Here, the communication control unit 310 controls communication related to various types of information exchanged via the visitor LAN 1 and the external IP network 2. The HDD 320 stores information necessary for executing various processes by the CPU 340. The RAM 330 temporarily stores various information. The CPU 340 executes various arithmetic processes.

そして、HDD320には、図8に示すように、上記の実施例1に示した接続制御システムの各装置と同様の機能を発揮する接続制御プログラム321と、接続制御処理用データ322とがあらかじめ記憶されている。なお、この接続制御プログラム321を適宜分散させて、ネットワークを介して通信可能に接続された他のコンピュータの記憶部に記憶させておくこともできる。   As shown in FIG. 8, the HDD 320 stores in advance a connection control program 321 that exhibits the same function as each device of the connection control system shown in the first embodiment and connection control processing data 322. Has been. Note that the connection control program 321 may be appropriately distributed and stored in a storage unit of another computer that is communicably connected via a network.

そして、CPU340が、この接続制御プログラム321をHDD320から読み出してRAM330に展開することにより、図8に示すように、接続制御プログラム321は接続制御処理プロセス331として機能するようになる。そして、接続制御処理プロセス331は、接続制御処理用データ322等をHDD320から読み出して、RAM330において自身に割り当てられた領域に展開し、この展開したデータ等に基づいて各種処理を実行する。なお、接続制御処理プロセス331は、図3に示した接続制御システムが有する各装置(MAC−レルムペア情報記憶装置210、RADIUSサーバ220、DHCPサーバ230、およびパケットフィルタ装置240)において実行される処理にそれぞれ対応する。   The CPU 340 reads out the connection control program 321 from the HDD 320 and develops it in the RAM 330, so that the connection control program 321 functions as a connection control process 331 as shown in FIG. Then, the connection control processing process 331 reads the connection control processing data 322 and the like from the HDD 320, expands them in the area allocated to itself in the RAM 330, and executes various processes based on the expanded data and the like. The connection control process 331 is a process executed in each device (the MAC-realm pair information storage device 210, the RADIUS server 220, the DHCP server 230, and the packet filter device 240) included in the connection control system shown in FIG. Each corresponds.

なお、上記した接続制御プログラム321については、必ずしも最初からHDD320に記憶させておく必要はなく、例えば、コンピュータ300に挿入されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」、さらには、公衆回線、インターネット、LAN、WANなどを介してコンピュータ300に接続される「他のコンピュータ(またはサーバ)」などに各プログラムを記憶させておき、コンピュータ300がこれらから各プログラムを読み出して実行するようにしてもよい。   The connection control program 321 described above does not necessarily need to be stored in the HDD 320 from the beginning. For example, a flexible disk (FD), a CD-ROM, a DVD disk, a magneto-optical disk, an IC inserted into the computer 300 can be used. Each program is stored in a “portable physical medium” such as a card, or “another computer (or server)” connected to the computer 300 via a public line, the Internet, a LAN, a WAN, or the like. The computer 300 may read and execute each program from these.

(3)接続制御方法
上記の実施例1で説明した接続制御システムにより、以下のような接続制御方法が実現される。 (3) Connection Control Method The following connection control method is realized by the connection control system described in the first embodiment.

すなわち、自社内に設置する来客者用LANへ接続した来客者端末による外部ネットワークへの通信を制御する接続制御方法であって、来客者端末からIPアドレスの割当要求があった場合に、来客者用LANへの接続が許可される来客者端末のユーザが所属している許可グループ情報(レルム)ごとに、当該来客者端末のMACアドレスを対応付けて記憶する記憶部(図4参照)から、割当要求元の来客者端末のMACアドレスに対応する許可グループ情報(レルム)を取得する取得ステップと(図7のステップS706参照)、来客者用LANへの接続が許可される来客者端末のユーザが所属している許可グループ情報(レルム)ごとに、当該来客者端末に対して割当可能なIPアドレスの範囲(割当IPアドレスレンジ)を対応付けて記憶する記憶部(図5参照)を参照して、前記取得ステップにより取得された許可グループ情報(レルム)に対応するIPアドレス範囲から、割当要求元の来客者端末に割り当てるIPアドレスを決定して割り当てる割当ステップと(図7のステップS707参照)、来客者端末からパケットを受け付けた場合に、来客者端末に対して割当可能なIPアドレスの範囲に対応付けて、当該来客者端末を送信元とするパケットに関し、外部ネットワークへ転送可能な条件を示した転送ポリシを記憶する記憶部(図6参照)を参照して、当該来客者端末から受け付けられたパケットの送信元を示すIPアドレスが含まれるIPアドレスの範囲に対応付けられた転送ポリシに基づき、当該来客者端末から受け付けられたパケットを転送するか否かを制御する転送制御ステップと(図7のステップS710参照)、を含んだ接続制御方法が実現される。   That is, a connection control method for controlling communication to an external network by a visitor terminal connected to a visitor LAN installed in the company, and when a visitor terminal requests an IP address assignment, For each permission group information (realm) to which a user of a visitor terminal permitted to connect to a private LAN belongs, a storage unit (see FIG. 4) that stores the MAC address of the visitor terminal in association with each other. An acquisition step of acquiring permission group information (realm) corresponding to the MAC address of the visitor terminal of the allocation request source (see step S706 in FIG. 7), and the user of the visitor terminal permitted to connect to the visitor LAN The IP address range (assigned IP address range) that can be assigned to the visitor terminal is associated with each permission group information (realm) to which the user belongs. Referring to the storing unit (see FIG. 5), the IP address assigned to the allocation request source visitor terminal is determined from the IP address range corresponding to the permission group information (realm) acquired in the acquisition step. An assigning step (see step S707 in FIG. 7), and when a packet is received from the visitor terminal, the visitor terminal is set as a transmission source in association with a range of IP addresses that can be assigned to the visitor terminal. Referring to a storage unit (see FIG. 6) that stores a transfer policy indicating a condition that can be transferred to an external network with respect to a packet to be transmitted, an IP address indicating a transmission source of the packet received from the visitor terminal is included. Based on the transfer policy associated with the IP address range, whether or not to transfer the packet received from the visitor terminal is controlled. Transfer control step (see step S710 in FIG. 7), connection control method including the to is realized.

以上のように、本発明に係る接続制御システム、接続制御方法および接続制御プログラムは、自社内(企業などの会社内)に設置する来客者用LANへ接続した来客者端末による外部ネットワークへの通信を制御する場合に有用であり、特に、パケットフィルタのフィルタリング性能の劣化を防止することに適する。   As described above, the connection control system, the connection control method, and the connection control program according to the present invention communicate with an external network by a visitor terminal connected to a visitor LAN installed in the company (inside a company or the like). Is particularly useful for controlling the degradation of the filtering performance of the packet filter.

実施例1に係る接続制御システムの概要および特徴を説明するための図である。BRIEF DESCRIPTION OF THE DRAWINGS FIG. 1 is a diagram for explaining an overview and characteristics of a connection control system according to a first embodiment. 実施例1に係る接続制御システムの概要および特徴を説明するための図である。BRIEF DESCRIPTION OF THE DRAWINGS FIG. 1 is a diagram for explaining an overview and characteristics of a connection control system according to a first embodiment. 実施例1に係る接続制御システムの構成を示すブロック図である。1 is a block diagram illustrating a configuration of a connection control system according to a first embodiment. 「MAC−レルム ペア情報」の構成例を示す図である。It is a figure which shows the structural example of "MAC-realm pair information." 「レルム−割当IPアドレスレンジ ペア情報」の構成例を示す図である。It is a figure which shows the structural example of "realm-assignment IP address range pair information". 「発信元IPアドレスレンジ−転送ポリシ ペア情報」の構成例を示す図である。It is a figure which shows the structural example of "source IP address range-forwarding policy pair information." 実施例1に係る接続制御システムによる処理の流れを示す図である。It is a figure which shows the flow of a process by the connection control system which concerns on Example 1. FIG. 接続制御プログラムを実行するコンピュータを示す図である。It is a figure which shows the computer which performs a connection control program.

符号の説明Explanation of symbols

1 来客者用LAN
2 外部IP網
3 A社IP網
4 B社IP網
100 来客者端末
200 接続制御システム
210 MAC−レルムペア情報記憶装置210
220 RADIUSサーバ
230 DHCPサーバ
240 パケットフィルタ装置
300 コンピュータ(接続制御装置)
310 通信制御部
320 HDD(Hard Disk Drive)
321 接続制御プログラム
322 接続制御処理用データ
330 RAM(Random Access Memory)
331 接続制御処理プロセス
340 CPU(Central Processing Unit)
400 バス 1 Visitor LAN
2 External IP network 3 A company IP network 4 B company IP network 100 Visitor terminal 200 Connection control system 210 MAC-realm pair information storage device 210
220 RADIUS server 230 DHCP server 240 Packet filter device 300 Computer (connection control device)
310 Communication control unit 320 HDD (Hard Disk Drive)
321 Connection control program 322 Connection control processing data 330 RAM (Random Access Memory)
331 Connection control processing process 340 CPU (Central Processing Unit)
400 bus

Claims (5)

自社内に設置する来客者用LANへ接続した来客者端末による外部ネットワークへの通信を制御する接続制御システムであって、
前記来客者用LANへの接続が許可される前記来客者端末のユーザが所属している許可グループ情報ごとに、当該来客者端末のMACアドレスを対応付けて記憶する許可グループ情報記憶手段と、
前記来客者用LANへの接続が許可される前記来客者端末のユーザが所属している許可グループ情報ごとに、当該来客者端末に対して割当可能なIPアドレスの範囲を対応付けて記憶するアドレス範囲記憶手段と、
前記来客者端末に対して割当可能なIPアドレスの範囲に対応付けて、当該来客者端末を送信元とするパケットに関し、前記外部ネットワークへ転送可能な条件を示した転送ポリシを記憶する転送ポリシ記憶手段と、
前記来客者端末からIPアドレスの割当要求があった場合に、前記許可グループ情報記憶手段により記憶されている許可グループ情報の中から、割当要求元の来客者端末のMACアドレスに対応する許可グループ情報を取得する取得手段と、
前記アドレス範囲記憶手段により記憶されている許可グループごとのIPアドレスの範囲のうち、前記取得手段により取得された許可グループ情報に対応するIPアドレスの範囲から、前記割当要求元の来客者端末に割り当てるIPアドレスを決定して割り当てる割当手段と、
前記来客者端末からパケットを受け付けた場合に、前記転送ポリシ記憶手段により記憶されているIPアドレスの範囲の中から、当該来客者端末から受け付けられたパケットの送信元を示すIPアドレスが含まれるIPアドレスの範囲を検索し、検索されたIPアドレスの範囲に対応付けて前記転送ポリシ記憶手段により記憶されている転送ポリシに基づき、当該来客者端末から受け付けられたパケットを転送するか否かを制御する転送制御手段と、
を備えたことを特徴とする接続制御システム。 A connection control system for controlling communication to an external network by a visitor terminal connected to a visitor LAN installed in the company,
Permission group information storage means for storing the MAC address of the visitor terminal in association with each of the allowance group information to which the user of the visitor terminal allowed to connect to the visitor LAN is associated;
An address that associates and stores a range of IP addresses that can be allocated to the visitor terminal for each permitted group information to which a user of the visitor terminal that is permitted to connect to the visitor LAN belongs. Range storage means;
A transfer policy storage for storing a transfer policy indicating a condition that can be transferred to the external network for a packet originating from the visitor terminal in association with a range of IP addresses that can be assigned to the visitor terminal Means,
When there is an IP address assignment request from the visitor terminal, the permission group information corresponding to the MAC address of the visitor terminal of the assignment request source from the permission group information stored in the permission group information storage means Obtaining means for obtaining
Of the IP address range for each permitted group stored by the address range storage unit, the allocation is made from the IP address range corresponding to the permitted group information acquired by the acquiring unit to the allocation requesting customer terminal An assigning means for determining and assigning an IP address;
When a packet is received from the visitor terminal, an IP including an IP address indicating the transmission source of the packet received from the visitor terminal is selected from the range of IP addresses stored by the transfer policy storage unit Search for a range of addresses, and control whether or not to transfer a packet accepted from the visitor terminal based on the transfer policy stored in the transfer policy storage means in association with the searched IP address range Transfer control means to
A connection control system comprising: 前記転送ポリシ記憶手段は、前記来客者端末に対して割当可能なIPアドレスの範囲に対応付けて、当該来客者端末を送信元とするパケットに関し、前記外部ネットワークへ転送可能な宛先IPアドレスおよび宛先ポート番号を前記転送ポリシとして記憶し、
前記転送制御手段は、前記来客者端末からパケットを受け付けた場合に、前記転送ポリシ記憶手段により記憶されているIPアドレスの範囲の中から、当該来客者端末から受け付けられたパケットの送信元を示すIPアドレスが含まれるIPアドレスの範囲を検索し、検索されたIPアドレスの範囲に対応付けて前記転送ポリシ記憶手段により前記転送ポリシとして記憶されている宛先IPアドレスおよび宛先ポート番号に基づき、当該来客者端末から受け付けられたパケットを転送するか否かを制御することを特徴とする請求項1に記載の接続制御システム。 The transfer policy storage means relates to a range of IP addresses that can be allocated to the visitor terminal, and relates to a packet having the visitor terminal as a transmission source, a destination IP address and a destination that can be transferred to the external network Store the port number as the forwarding policy,
When the transfer control unit receives a packet from the visitor terminal, the transfer control unit indicates a transmission source of the packet received from the visitor terminal from the IP address range stored in the transfer policy storage unit. The IP address range including the IP address is searched, and the visitor is associated with the searched IP address range based on the destination IP address and the destination port number stored as the transfer policy by the transfer policy storage unit. The connection control system according to claim 1, wherein whether or not to transfer a packet received from a user terminal is controlled. 前記来客者端末から前記来客者用LANへの接続要求があった場合に、当該接続要求に含まれる許可グループ情報を用いて、接続要求元の来客者端末のユーザが来客者用LANへの接続が許可されるグループに所属しているか否かの認証を行う認証手段と、
前記接続要求元の来客者端末が前記来客者用LANへの接続を許可するグループに所属していることが前記認証手段により認証された場合には、前記接続要求に含まれる許可グループ情報と、当該来客者端末のMACアドレスとを対応付けて前記許可グループ記憶手段に登録する登録手段と、をさらに備えたことを特徴とする請求項1または2に記載の接続制御システム。 When there is a connection request from the visitor terminal to the visitor LAN, the user of the visitor terminal that is the connection request source connects to the visitor LAN using the permission group information included in the connection request. An authentication means for authenticating whether the user belongs to a permitted group,
When the authentication means authenticates that the connection requesting visitor terminal belongs to a group that permits connection to the visitor LAN, permission group information included in the connection request; The connection control system according to claim 1, further comprising: a registration unit that registers the MAC address of the visitor terminal in association with the permission group storage unit. 自社内に設置する来客者用LANへ接続した来客者端末による外部ネットワークへの通信を制御する接続制御方法であって、
前記来客者端末からIPアドレスの割当要求があった場合に、前記来客者用LANへの接続が許可される前記来客者端末のユーザが所属している許可グループ情報ごとに、当該来客者端末のMACアドレスを対応付けて記憶する記憶部から、割当要求元の来客者端末のMACアドレスに対応する許可グループ情報を取得する取得ステップと、
前記来客者用LANへの接続が許可される前記来客者端末のユーザが所属している許可グループ情報ごとに、当該来客者端末に対して割当可能なIPアドレスの範囲を対応付けて記憶する記憶部を参照して、前記取得ステップにより取得された許可グループ情報に対応するIPアドレス範囲から、前記割当要求元の来客者端末に割り当てるIPアドレスを決定して割り当てる割当ステップと、
前記来客者端末からパケットを受け付けた場合に、前記来客者端末に対して割当可能なIPアドレスの範囲に対応付けて、当該来客者端末を送信元とするパケットに関し、前記外部ネットワークへ転送可能な条件を示した転送ポリシを記憶する記憶部を参照して、当該来客者端末から受け付けられたパケットの送信元を示すIPアドレスが含まれるIPアドレスの範囲に対応付けられた転送ポリシに基づき、当該来客者端末から受け付けられたパケットを転送するか否かを制御する転送制御ステップと、
を含んだことを特徴とする接続制御方法。 A connection control method for controlling communication to an external network by a visitor terminal connected to a visitor LAN installed in the company,
When there is an IP address assignment request from the visitor terminal, for each permission group information to which the user of the visitor terminal allowed to connect to the visitor LAN belongs, An acquisition step of acquiring permission group information corresponding to the MAC address of the visitor terminal of the allocation request source from the storage unit that stores the MAC address in association with each other;
Storage that associates and stores a range of IP addresses that can be allocated to the visitor terminal for each permitted group information to which a user of the visitor terminal that is permitted to connect to the visitor LAN belongs An allocation step of determining and allocating an IP address to be allocated to the allocation request source customer terminal from an IP address range corresponding to the permitted group information acquired by the acquisition step,
When a packet is received from the visitor terminal, it can be transferred to the external network with respect to a packet originating from the visitor terminal in association with a range of IP addresses that can be assigned to the visitor terminal. Based on the transfer policy associated with the IP address range including the IP address indicating the transmission source of the packet received from the visitor terminal with reference to the storage unit storing the transfer policy indicating the condition, A transfer control step for controlling whether or not to transfer a packet received from the visitor terminal;
The connection control method characterized by including. 自社内に設置する来客者用LANへ接続した来客者端末による外部ネットワークへの通信を制御する処理をコンピュータに実行させる接続制御プログラムであって、
前記来客者端末からIPアドレスの割当要求があった場合に、前記来客者用LANへの接続が許可される前記来客者端末のユーザが所属している許可グループ情報ごとに、当該来客者端末のMACアドレスを対応付けて記憶する記憶部から、割当要求元の来客者端末のMACアドレスに対応する許可グループ情報を取得する取得手順と、
前記来客者用LANへの接続が許可される前記来客者端末のユーザが所属している許可グループ情報ごとに、当該来客者端末に対して割当可能なIPアドレスの範囲を対応付けて記憶する記憶部を参照して、前記取得手順により取得された許可グループ情報に対応するIPアドレス範囲から、前記割当要求元の来客者端末に割り当てるIPアドレスを決定して割り当てる割当手順と、
前記来客者端末からパケットを受け付けた場合に、前記来客者端末に対して割当可能なIPアドレスの範囲に対応付けて、当該来客者端末を送信元とするパケットに関し、前記外部ネットワークへ転送可能な条件を示した転送ポリシを記憶する記憶部を参照して、当該来客者端末から受け付けられたパケットの送信元を示すIPアドレスが含まれるIPアドレスの範囲に対応付けられた転送ポリシに基づき、当該来客者端末から受け付けられたパケットを転送するか否かを制御する転送制御手順と、
をコンピュータに実行させることを特徴とする接続制御プログラム。 A connection control program for causing a computer to execute processing for controlling communication to an external network by a visitor terminal connected to a visitor LAN installed in the company,
When there is an IP address assignment request from the visitor terminal, for each permission group information to which the user of the visitor terminal allowed to connect to the visitor LAN belongs, An acquisition procedure for acquiring permission group information corresponding to the MAC address of the visitor terminal of the allocation request source from the storage unit that stores the MAC address in association with each other,
Storage that associates and stores a range of IP addresses that can be allocated to the visitor terminal for each permitted group information to which a user of the visitor terminal that is permitted to connect to the visitor LAN belongs An allocation procedure for determining and allocating an IP address to be allocated to the allocation requesting customer terminal from an IP address range corresponding to the permitted group information acquired by the acquisition procedure,
When a packet is received from the visitor terminal, it can be transferred to the external network with respect to a packet originating from the visitor terminal in association with a range of IP addresses that can be assigned to the visitor terminal. Based on the transfer policy associated with the IP address range including the IP address indicating the transmission source of the packet received from the visitor terminal with reference to the storage unit storing the transfer policy indicating the condition, A transfer control procedure for controlling whether or not to transfer a packet received from a visitor terminal;
A connection control program for causing a computer to execute.
JP2008119000A 2008-04-30 2008-04-30 Connection control system, connection control method, and connection control program Active JP4833249B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008119000A JP4833249B2 (en) 2008-04-30 2008-04-30 Connection control system, connection control method, and connection control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008119000A JP4833249B2 (en) 2008-04-30 2008-04-30 Connection control system, connection control method, and connection control program

Publications (2)

Publication Number Publication Date
JP2009272693A true JP2009272693A (en) 2009-11-19
JP4833249B2 JP4833249B2 (en) 2011-12-07

Family

ID=41438901

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008119000A Active JP4833249B2 (en) 2008-04-30 2008-04-30 Connection control system, connection control method, and connection control program

Country Status (1)

Country Link
JP (1) JP4833249B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019114864A (en) * 2017-12-21 2019-07-11 富士通株式会社 Access control program, access control method, and information processing device
JP7367831B2 (en) 2019-09-04 2023-10-24 日本電気株式会社 traffic control system

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106187222B (en) * 2016-06-29 2019-01-04 浙江康星新材料科技股份有限公司 A kind of method that full reclaimed materials prepares high strength sound insulating fire brick

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001350937A (en) * 2000-06-06 2001-12-21 Toshiba Corp Method and system for lending address and computer readable recording medium

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001350937A (en) * 2000-06-06 2001-12-21 Toshiba Corp Method and system for lending address and computer readable recording medium

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019114864A (en) * 2017-12-21 2019-07-11 富士通株式会社 Access control program, access control method, and information processing device
JP7367831B2 (en) 2019-09-04 2023-10-24 日本電気株式会社 traffic control system
US11831512B2 (en) 2019-09-04 2023-11-28 Nec Corporation Setting system with traffic control rule and traffic control system

Also Published As

Publication number Publication date
JP4833249B2 (en) 2011-12-07

Similar Documents

Publication Publication Date Title
US10135827B2 (en) Secure access to remote resources over a network
US9705930B2 (en) Method and system for using virtual tunnel end-point registration and virtual network identifiers to manage virtual extensible local area network access
JP5704518B2 (en) Confidential information leakage prevention system, confidential information leakage prevention method, and confidential information leakage prevention program
US8605582B2 (en) IP network system and its access control method, IP address distributing device, and IP address distributing method
US8190755B1 (en) Method and apparatus for host authentication in a network implementing network access control
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
EP3306900B1 (en) Dns routing for improved network security
JP4592789B2 (en) COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROCESSING PROGRAM
CN106685785B (en) Intranet access system based on IPsec VPN proxy
US20220345491A1 (en) Systems and methods for scalable zero trust security processing
JP4833249B2 (en) Connection control system, connection control method, and connection control program
JP4835569B2 (en) Virtual network system and virtual network connection device
US8087066B2 (en) Method and system for securing a commercial grid network
WO2023134557A1 (en) Processing method and apparatus based on industrial internet identifier
WO2022135132A1 (en) Service processing method and apparatus, electronic device, and storage medium
JP4827868B2 (en) Network connection control system, network connection control program, and network connection control method
JP4878043B2 (en) Access control system, connection control device, and connection control method
KR102396637B1 (en) Router and method for routing
JP2003324457A (en) Access control apparatus, method, program and recording medium
US20230208803A1 (en) Ip address control system
WO2006096875A1 (en) Smart tunneling to resources in a remote network
JP5032246B2 (en) System and control method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090915

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20110520

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20110520

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110624

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110705

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110829

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110920

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110921

R150 Certificate of patent or registration of utility model

Ref document number: 4833249

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140930

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350