JP2010268087A - Network device, network, and automatic encryption communication method used for them - Google Patents

Network device, network, and automatic encryption communication method used for them Download PDF

Info

Publication number
JP2010268087A
JP2010268087A JP2009116043A JP2009116043A JP2010268087A JP 2010268087 A JP2010268087 A JP 2010268087A JP 2009116043 A JP2009116043 A JP 2009116043A JP 2009116043 A JP2009116043 A JP 2009116043A JP 2010268087 A JP2010268087 A JP 2010268087A
Authority
JP
Japan
Prior art keywords
network
network devices
policy
security
security policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009116043A
Other languages
Japanese (ja)
Other versions
JP5234807B2 (en
Inventor
Hideo Tera
英夫 寺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
Original Assignee
NEC Infrontia Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Infrontia Corp filed Critical NEC Infrontia Corp
Priority to JP2009116043A priority Critical patent/JP5234807B2/en
Publication of JP2010268087A publication Critical patent/JP2010268087A/en
Application granted granted Critical
Publication of JP5234807B2 publication Critical patent/JP5234807B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a network device that automatically generates an encrypted communication path in-between an opposite router. <P>SOLUTION: The network device (1) includes: a storage means (11) that stores a security policy, required in encrypted communication between a plurality of network equipment, by corresponding it to each of the plurality of network equipment; a generating means (12) that generates a group policy, showing the network equipment allowed to communicate with each other, on the basis of the security policy corresponding to each of the plurality of network equipment; a distribution means (13) that distributes the group policy, generated by the generating means, to each of the plurality of network equipment; and a security policy distributing means (14) that distributes the security policy, requested from the plurality of network equipment, to the network equipment on the basis of the group policy distributed by the distribution means. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明はネットワーク装置、ネットワーク及びそれらに用いる自動暗号化通信方法に関し、特にネットワークにおける自動暗号化通信に関する。   The present invention relates to a network device, a network, and an automatic encryption communication method used for them, and more particularly to automatic encryption communication in a network.

本発明に関連するネットワークにおいては、ネットワークVPN(Virtual Private Network)を使ってセキュリティの確保・設定を行う場合、システムエンジニア等によってすべて管理されている。しかしながら、セキュリティを確保したいユーザは、昨今、拡大傾向にあり、システムエンジニア等が管理することなく、簡単にセキュリティを確保できるネットワークのフレームワークの開発が望まれている。   In a network related to the present invention, when security is secured and set using a network VPN (Virtual Private Network), all are managed by a system engineer or the like. However, users who want to ensure security have recently been on an expanding trend, and it is desired to develop a network framework that can easily ensure security without management by a system engineer or the like.

本発明に関連するネットワークでは、リモート管理サーバによるVPNの自動構成の手法も各種検討されているが、リモート管理サーバ自身が、リアルタイムに多数の拠点ルータを制御する必要があり、サーバ自身の処理を減らす手法が望まれている。   In the network related to the present invention, various methods of automatic VPN configuration by a remote management server have been studied. However, the remote management server itself needs to control a large number of base routers in real time, There is a need for a way to reduce it.

下記の特許文献1には、ネットワーク設定を自動化するために、インタネットを介して自動設定・遠隔管理を行うゼロコンフィグ機能について記載されており、ネットワーク接続の集中管理の方法が開示されている。この場合、ルータは、ネットワークに接続される際に、イニシャルサーバからコンフィギュレーションデータを取得している。   Patent Document 1 below describes a zero configuration function for performing automatic setting / remote management via the Internet in order to automate network settings, and discloses a method for centralized management of network connections. In this case, the router acquires configuration data from the initial server when connected to the network.

また、本発明に関連するネットワークにおいて、各拠点ルータ間でIPsec(Internet Protocol security protocol)等の暗号化通信を実行しようとした場合の構成例を図7に示す。   FIG. 7 shows a configuration example in the case where an encrypted communication such as IPsec (Internet Protocol security protocol) is attempted between the base routers in the network related to the present invention.

図7(a)は、予め各拠点ルータ6−1〜6−4及びセンタルータ5すべてにIPsec接続を行うための設定しておくセンタルータ型VPNの構成例を示しており、各拠点ルータ6−1〜6−4とセンタルータ5とはIPsecトンネルで接続されている。   FIG. 7A shows a configuration example of a center router type VPN that is set in advance for performing IPsec connection to all the base routers 6-1 to 6-4 and the center router 5, and each base router 6 -1 to 6-4 and the center router 5 are connected by an IPsec tunnel.

図7(b)は、各拠点ルータ7−1〜7−4間すべてにIPsec接続を行うための設定しておくフルメッシュ型VPNの構成例を示しており、各拠点ルータ7−1〜7−4間はIPsecトンネルで接続されている。   FIG. 7B shows a configuration example of a full mesh VPN that is set for performing IPsec connection between all the base routers 7-1 to 7-4. -4 are connected by an IPsec tunnel.

特許第3774433号公報Japanese Patent No. 3774433

上述した本発明に関連するネットワークでは、センタルータ型VPN方式の場合、センタルータにすべてのIPsec接続が集中するため、センタルータに負荷が集中し、また大量の設定を行う必要があるため、一旦設定してしまうとなかなか構成を変更することができないという課題がある。   In the network related to the present invention described above, in the case of the center router type VPN method, since all IPsec connections are concentrated on the center router, the load is concentrated on the center router and a large amount of settings need to be made. There is a problem that the configuration cannot be easily changed once set.

また、本発明に関連するネットワークでは、フルメッシュ型VPNでの接続を行う場合、拠点ルータを1つ追加した場合に、すべての拠点ルータの設定を見直す必要があり、各拠点ルータに設定する内容も膨大になるという課題がある。   In addition, in the network related to the present invention, when connecting with a full mesh VPN, when one base router is added, it is necessary to review the settings of all the base routers. There is also a problem that it becomes enormous.

上記の特許文献1に記載の方法では、ネットワーク接続の集中管理の方法が開示されているだけなので、センタルータ型VPN、フルメッシュ型VPNにおける課題を解決することができない。   In the method described in Patent Document 1 described above, only a centralized management method of network connection is disclosed, and thus the problems in the center router type VPN and the full mesh type VPN cannot be solved.

そこで、本発明の目的は上記の問題点を解消し、自動的に対向ルータとの暗号化通信路を生成することができるネットワーク装置、ネットワーク及びそれらに用いる自動暗号化通信方法を提供することにある。   SUMMARY OF THE INVENTION Accordingly, an object of the present invention is to provide a network device, a network, and an automatic encrypted communication method used therefor, which can solve the above-mentioned problems and can automatically generate an encrypted communication path with the opposite router. is there.

本発明によるネットワーク装置は、複数のネットワーク機器間の暗号化通信で必要となるセキュリティポリシを前記複数のネットワーク機器各々に対応して記憶する記憶手段と、
前記複数のネットワーク機器各々に対応するセキュリティポリシを基に互いに通信が認められたネットワーク機器同士を示すグループポリシを生成する生成手段と、
前記生成手段で生成されたグループポリシを前記複数のネットワーク機器各々に配信する配信手段と、
前記配信手段にて配信されたグループポリシを基に前記複数のネットワーク機器から要求されるセキュリティポリシを当該ネットワーク機器に配信するセキュリティポリシ配信手段とを備えている。 The network device according to the present invention comprises a storage means for storing a security policy necessary for encrypted communication between a plurality of network devices corresponding to each of the plurality of network devices;
Generating means for generating a group policy indicating network devices that are allowed to communicate with each other based on a security policy corresponding to each of the plurality of network devices;
Distribution means for distributing the group policy generated by the generation means to each of the plurality of network devices;
Security policy distribution means for distributing a security policy requested from the plurality of network devices to the network device based on the group policy distributed by the distribution means.

本発明によるネットワークは、上記のネットワーク装置を含むことを特徴とする。   A network according to the present invention includes the above-described network device.

本発明による自動暗号化通信方法は、
ネットワーク装置が、
複数のネットワーク機器間の暗号化通信で必要となるセキュリティポリシを前記複数のネットワーク機器各々に対応して記憶手段に記憶する第1の処理と、
前記複数のネットワーク機器各々に対応するセキュリティポリシを基に互いに通信が認められたネットワーク機器同士を示すグループポリシを生成する第2の処理と、
前記第2の処理で生成されたグループポリシを前記複数のネットワーク機器各々に配信する第3の処理と、
前記第3の処理にて配信されたグループポリシを基に前記複数のネットワーク機器から要求されるセキュリティポリシを当該ネットワーク機器に配信する第4の処理とを実行し、
前記第4の処理にて配信されたセキュリティポリシを用いて互いに対向するネットワーク機器間で暗号化通信を実行している。 An automatic encryption communication method according to the present invention includes:
Network device
A first process of storing a security policy required for encrypted communication between a plurality of network devices in a storage unit corresponding to each of the plurality of network devices;
A second process of generating a group policy indicating network devices that are allowed to communicate with each other based on a security policy corresponding to each of the plurality of network devices;
A third process for distributing the group policy generated in the second process to each of the plurality of network devices;
Performing a fourth process of distributing to the network device a security policy requested from the plurality of network devices based on the group policy distributed in the third process;
Encrypted communication is executed between the network devices facing each other using the security policy distributed in the fourth process.

本発明によるプログラムは、ネットワーク装置内の中央処理装置に実行させるプログラムであって、
複数のネットワーク機器間の暗号化通信で必要となるセキュリティポリシを前記複数のネットワーク機器各々に対応して記憶手段に記憶する第1の処理と、
前記複数のネットワーク機器各々に対応するセキュリティポリシを基に互いに通信が認められたネットワーク機器同士を示すグループポリシを生成する第2の処理と、
前記第2の処理で生成されたグループポリシを前記複数のネットワーク機器各々に配信する第3の処理と、
前記第3の処理にて配信されたグループポリシを基に前記複数のネットワーク機器から要求されるセキュリティポリシを当該ネットワーク機器に配信する第4の処理とを含み、
前記第4の処理にて配信されたセキュリティポリシを用いて互いに対向するネットワーク機器間で暗号化通信を実行させることを特徴とする。 A program according to the present invention is a program to be executed by a central processing unit in a network device,
A first process of storing a security policy required for encrypted communication between a plurality of network devices in a storage unit corresponding to each of the plurality of network devices;
A second process of generating a group policy indicating network devices that are allowed to communicate with each other based on a security policy corresponding to each of the plurality of network devices;
A third process for distributing the group policy generated in the second process to each of the plurality of network devices;
A fourth process of distributing security policies requested from the plurality of network devices to the network device based on the group policy distributed in the third processing;
The encrypted communication is executed between the network devices facing each other using the security policy distributed in the fourth process.

本発明は、上記のような構成及び動作とすることで、自動的に対向ルータとの暗号化通信路を生成することができるという効果が得られる。   The present invention has an effect that an encrypted communication path with the opposite router can be automatically generated by adopting the configuration and operation as described above.

本発明の実施の形態によるリモート管理サーバ装置の構成例を示すブロック図である。It is a block diagram which shows the structural example of the remote management server apparatus by embodiment of this invention. 本発明の実施の形態によるルータ装置の構成例を示すブロック図である。It is a block diagram which shows the structural example of the router apparatus by embodiment of this invention. 本発明の実施の形態によるネットワークの構成例を示すブロック図である。It is a block diagram which shows the structural example of the network by embodiment of this invention. 本発明の実施の形態におけるポリシの設定内容の一例を示す図である。It is a figure which shows an example of the setting content of the policy in embodiment of this invention. 図2に示すルータの処理動作を示すフローチャートである。It is a flowchart which shows the processing operation of the router shown in FIG. 図1に示すリモート管理サーバ装置の処理動作を示すフローチャートである。It is a flowchart which shows the processing operation of the remote management server apparatus shown in FIG. (a)は本発明に関連するネットワークにおける各拠点ルータ間で暗号化通信を実行しようとした場合のセンタルータ型VPNの構成例を示す図、(b)は本発明に関連するネットワークにおける各拠点ルータ間で暗号化通信を実行しようとした場合のフルメッシュ型VPNの構成例を示す図である。(A) is a figure which shows the example of a structure of center router type | mold VPN at the time of trying to perform encryption communication between each base router in the network relevant to this invention, (b) is each base in the network relevant to this invention It is a figure which shows the structural example of a full mesh type VPN at the time of trying to perform encryption communication between routers.

次に、本発明の実施の形態について図面を参照して説明する。まず、本発明によるネットワークにおける自動暗号化通信方法の概要について説明する。本発明によるネットワークでは、コンフィグ情報の自動取得、リモート管理を実現するゼロコンフィグシステムを用いて、接続されたルータ間の通信を自動的に階層管理し、適用セキュリティポリシの総数を制限しつつIPsec(Internet Protocol security protocol)等により暗号化して通信を行うことを実現している。   Next, embodiments of the present invention will be described with reference to the drawings. First, an outline of an automatic encryption communication method in a network according to the present invention will be described. In the network according to the present invention, communication between connected routers is automatically managed in a hierarchy using a zero configuration system that realizes automatic acquisition of configuration information and remote management, and the total number of applicable security policies is limited. It has been realized that communication is performed by encryption using the Internet Protocol security protocol.

図1は本発明の実施の形態によるリモート管理サーバ装置の構成例を示すブロック図である。図1において、リモート管理サーバ装置1は、セキュリティポリシ記憶部11と、グループポリシリスト生成部12と、グループポリシリスト配信部13と、セキュリティポリシ配信部14とを備えている。   FIG. 1 is a block diagram showing a configuration example of a remote management server device according to an embodiment of the present invention. In FIG. 1, the remote management server device 1 includes a security policy storage unit 11, a group policy list generation unit 12, a group policy list distribution unit 13, and a security policy distribution unit 14.

図2は本発明の実施の形態によるルータ装置の構成例を示すブロック図である。図2において、ルータ装置2は、暗号化通信路設定部21と、グループポリシリスト記憶部22と、グループポリシリスト検索部23と、セキュリティポリシ設定要求部24と、グループポリシリスト確認部25とを備えている。   FIG. 2 is a block diagram showing a configuration example of the router device according to the embodiment of the present invention. In FIG. 2, the router device 2 includes an encrypted communication path setting unit 21, a group policy list storage unit 22, a group policy list search unit 23, a security policy setting request unit 24, and a group policy list confirmation unit 25. I have.

図3は本発明の実施の形態によるネットワークの構成例を示すブロック図である。図3において、本発明の実施の形態によるネットワークは、ゼロコンフィグのフレームワークに対応した拠点ルータ装置(A〜D)2−1〜2−4と、センタルータ装置(E)3と、リモートからこれらのルータ装置を制御可能なサーバ装置であるリモート管理サーバ装置1と、端末(A〜D)4−1〜4−4によって構成されている。   FIG. 3 is a block diagram showing a configuration example of a network according to the embodiment of the present invention. In FIG. 3, the network according to the embodiment of the present invention includes a base router device (AD) 2-1 to 2-4, a center router device (E) 3 corresponding to a zero configuration framework, and a remote control. The remote management server device 1 is a server device that can control these router devices, and terminals (AD) 4-1 to 4-4.

尚、リモート管理サーバ装置1は、上記の図1に示す構成となっており、拠点ルータ装置(A〜D)2−1〜2−4及びセンタルータ装置(E)3は、上記の図2の示すルータ装置2と同様の構成となっている。   The remote management server device 1 has the configuration shown in FIG. 1, and the base router devices (A to D) 2-1 to 2-4 and the center router device (E) 3 are the same as those shown in FIG. The configuration is the same as that of the router device 2 shown in FIG.

以下、図1〜図3を参照して本発明の実施の形態によるネットワークの自動暗号化通信について説明する。まず、本発明の実施の形態における自動暗号化通信の解決手段について説明する。   Hereinafter, automatic encryption communication of a network according to an embodiment of the present invention will be described with reference to FIGS. First, means for solving automatic encrypted communication according to an embodiment of the present invention will be described.

本実施の形態では、図3に示すような構成において、リモート管理サーバ装置1と拠点ルータ装置(A)2−1と拠点ルータ装置(B)2−2とが、拠点ルータ装置(A,B)2−1,2−2に直接IPsecの設定を行うことなく、IPsecの通信を実現している。これによって、本実施の形態では、拠点ルータ装置(A)2−1のネットワークNetAと拠点ルータ装置(B)2−2のネットワークNet−Bとの間の通信の暗号化を実現している。   In the present embodiment, in the configuration shown in FIG. 3, the remote management server device 1, the base router device (A) 2-1, and the base router device (B) 2-2 are connected to the base router devices (A, B). ) IPsec communication is realized without directly setting IPsec in 2-1 and 2-2. Thereby, in the present embodiment, encryption of communication between the network NetA of the base router device (A) 2-1 and the network Net-B of the base router device (B) 2-2 is realized.

この場合、リモート管理サーバ装置1のセキュリティポリシ記憶部11には、各拠点ルータ装置(A,B)2−1,2−2間の暗号化通信で必要となるセキュリティポリシが、拠点ルータ装置Aポリシ、拠点ルータ装置Bポリシとして設定される。ここで、セキュリティポリシ記憶部11に記載されたセキュリティポリシには、それぞれ拠点ルータ装置(A)2−1で管理するネットワークNetA、拠点ルータ装置(B)2−2で管理するネットワークNetB各々の設定が含まれている。   In this case, the security policy storage unit 11 of the remote management server device 1 stores the security policy required for encrypted communication between the base router devices (A, B) 2-1 and 2-2. Policy and base router device B policy are set. Here, the security policies described in the security policy storage unit 11 include the settings of the network NetA managed by the base router device (A) 2-1 and the network NetB managed by the base router device (B) 2-2, respectively. It is included.

リモート管理サーバ装置1では、グループポリシリスト生成部12において、上記でセキュリティポリシ記憶部11に設定された拠点ルータ装置ポリシから自動的に、拠点ルータ装置(A,B)2−1,2−2のIP(Internet Protocol)アドレスと、管理するネットワークアドレスとが抽出され、グループポリシリストαを生成する(図3の121参照)。   In the remote management server device 1, the group policy list generation unit 12 automatically starts the base router device (A, B) 2-1, 2-2 from the base router device policy set in the security policy storage unit 11 above. The IP (Internet Protocol) address and the network address to be managed are extracted to generate a group policy list α (see 121 in FIG. 3).

グループポリシリストαは、ゼロコンフィグネットワークのようにリモート管理サーバ装置1のグループポリシリスト配信部13から暗号化通信を使って、拠点ルータ装置(A,B)2−1,2−2の運用管理ができる仕組みを使い、同一セキュリティグループα100の拠点ルータ装置(A,B)2−1,2−2に配信される。尚、ここでは互いに通信が認められた拠点ルータ装置(A,B)2−1,2−2同士をセキュリティグループと呼ぶ。   The group policy list α uses the encrypted communication from the group policy list distribution unit 13 of the remote management server device 1 as in the zero configuration network to manage the operation of the base router devices (A, B) 2-1, 2-2. Using the mechanism that can perform the above, the information is distributed to the base router devices (A, B) 2-1 and 2-2 of the same security group α100. Here, the base router devices (A, B) 2-1 and 2-2, which are allowed to communicate with each other, are called security groups.

拠点ルータ装置(A)2−1で管理しているネットワークNetA配下の端末(A)4−1から、拠点ルータ装置(B)2−2で管理しているネットワークNetB配下の端末(B)4−2に通信を行うために、拠点ルータ装置(A)2−1と拠点ルータ装置(B)2−2との間に暗号化通信路(IPsecトンネル)を設定する必要が発生したものとする。   The terminal (B) 4 under the network NetB managed by the base router device (B) 2-2 from the terminal (A) 4-1 under the network NetA managed by the base router device (A) 2-1. -2 to communicate with each other, it is necessary to set an encrypted communication path (IPsec tunnel) between the base router device (A) 2-1 and the base router device (B) 2-2. .

まず、拠点ルータ装置(A)2−1は、グループポリシリスト検索部23にて、端末(A)4−1のパケットの宛先アドレスをキーワードとして、すでにリモート管理サーバ装置1から配信されてグループポリシリスト記憶部22に記憶されたグループポリシリストαの中に宛先アドレスが含まれるネットワークが存在するかを検索する。ここでは、拠点ルータ装置(B)2−2で管理されるネットワークNetBがマッチする。   First, the base router device (A) 2-1 is already distributed from the remote management server device 1 by the group policy list search unit 23 using the destination address of the packet of the terminal (A) 4-1 as a keyword. It is searched whether there is a network including the destination address in the group policy list α stored in the list storage unit 22. Here, the network NetB managed by the base router device (B) 2-2 matches.

拠点ルータ装置(A)2−1は、グループポリシリスト検索部23の検索結果を基に、セキュリティポリシ設定要求部24にて、リモート管理サーバ装置1に対して拠点ルータ装置(B)2−2のセキュリティポリシ設定を要求する。   Based on the search result of the group policy list search unit 23, the base router device (A) 2-1 makes the base router device (B) 2-2 to the remote management server device 1 at the security policy setting request unit 24. Request security policy settings for

リモート管理サーバ装置1は、拠点ルータ装置(A)2−1からの要求にしたがって、拠点ルータ装置(B)2−2のセキュリティポリシを、セキュリティポリシ配信部14から拠点ルータ装置(A)2−1に返す。この拠点ルータ装置(A)2−1とリモート管理サーバ装置1との間で行われる通信についても、ゼロコンフィグネットワークで提供されるフレームワークのように、リモート管理サーバ装置1と拠点ルータ装置(A)2−1との間で暗号化され、さらに認証された通信であることが前提となる。   In response to a request from the base router device (A) 2-1, the remote management server device 1 sends the security policy of the base router device (B) 2-2 from the security policy distribution unit 14 to the base router device (A) 2- Return to 1. As for the communication between the base router device (A) 2-1 and the remote management server device 1, the remote management server device 1 and the base router device (A ) It is assumed that the communication is encrypted with 2-1 and further authenticated.

拠点ルータ装置(A)2−1は、リモート管理サーバ装置1からのセキュリティポリシを使用し、拠点ルータ装置(A)2−1と拠点ルータ装置(B)2−2との間に暗号化通信路であるIPsecトンネル101の設定を試みる。   The base router device (A) 2-1 uses the security policy from the remote management server device 1, and performs encrypted communication between the base router device (A) 2-1 and the base router device (B) 2-2. An attempt is made to set the IPsec tunnel 101 that is a route.

拠点ルータ装置(B)2−2は、グループポリシリスト確認部25にて、リモート管理サーバ装置1から配信されたグループポリシリストを参照し、接続を試みてきた拠点ルータ装置(A)2−1がグループポリシリストαに含まれることを確認する。拠点ルータ装置(B)2−2は、拠点ルータ装置(A)2−1からのIPsecトンネル101の確立要求に対し、自分自身のセキュリティポリシを使用する。   The base router device (B) 2-2 refers to the group policy list distributed from the remote management server device 1 in the group policy list confirmation unit 25, and the base router device (A) 2-1 that has attempted connection Is included in the group policy list α. The base router device (B) 2-2 uses its own security policy in response to the request for establishing the IPsec tunnel 101 from the base router device (A) 2-1.

これによって、本実施の形態では、拠点ルータ装置(A)2−1と拠点ルータ装置(B)2−2とになにも設定することなく、さらに拠点ルータ装置(A,B)2−1,2−2のポリシ設定時に対となる拠点ルータ装置(A,B)2−1,2−2のポリシを意識することなく、暗号化通信経路を確立することができるようになる。   Thus, in this embodiment, the base router device (A, B) 2-1 is further set without setting anything in the base router device (A) 2-1 and the base router device (B) 2-2. , 2-2, the encrypted communication path can be established without being aware of the policy of the base router devices (A, B) 2-1 and 2-2 that are paired with each other.

次に、本発明の実施の形態における階層化して負荷分散を考慮した自動暗号化通信の解決手段について説明する。   Next, the means for solving the automatic encrypted communication considering the load distribution in the hierarchy in the embodiment of the present invention will be described.

上記のように、拠点ルータ装置のセキュリティポリシを取得しながら通信を行っていると、例え一定時間通信がない拠点ルータ装置間のセキュリティポリシを拠点ルータ装置から順次削除したとしても、拠点ルータ装置が数百〜数千あるようなネットワークにおいては、拠点ルータ装置ですべてのセキュリティポリシが保持しきれないという状況に陥る可能性がある。   As described above, if communication is performed while acquiring the security policy of the base router device, even if the security policy between base router devices that do not communicate for a certain period of time is deleted from the base router device, the base router device In a network having hundreds to thousands, there is a possibility that not all security policies can be maintained in the base router device.

この状況は、上記の説明により構成されたネットワークがフルメッシュ型VPN(Virtual Private Network)を構成したことが原因となる、従来から存在するネットワーク構成による弊害である。   This situation is a detrimental effect due to the existing network configuration, which is caused by the fact that the network configured according to the above description constitutes a full mesh VPN (Virtual Private Network).

しかしながら、本実施の形態では、上記の自動暗号化通信の解決手段で用いたグループポリシリストを階層化して生成することにより、この問題の解決となるセンタルータ装置型VPN構成のネットワークをも自動生成することができる。これによって、本実施の形態では、拠点ルータ装置の負荷を低減しつつ、センタルータ装置においても大量のコンフィグを設定せずに、自動的に暗号化通信路を設定することができる。   However, in the present embodiment, the group policy list used in the automatic encryption communication solution means is generated in a hierarchy, so that the network of the center router apparatus type VPN configuration that solves this problem is also automatically generated. can do. Thus, in the present embodiment, it is possible to automatically set an encrypted communication path without setting a large amount of configuration even in the center router device while reducing the load on the base router device.

センタルータ装置(E)3のポリシを上記の拠点ルータ装置(A,B)2−1,2−2のポリシ設定と同様に、リモート管理サーバ装置1に対して行う。ここでは、センタルータ装置(E)3を利用するネットワークをセキュリティグループβ200として、リモート管理サーバ装置1のセキュリティポリシ記憶部11に拠点ルータ装置(B〜D)2−2〜2−4のポリシとセンタルータ装置(E)3のポリシとを設定する。   The policy of the center router device (E) 3 is performed on the remote management server device 1 in the same manner as the policy setting of the base router devices (A, B) 2-1 and 2-2. Here, the network using the center router device (E) 3 is set as the security group β200, and the policies of the base router devices (BD) 2-2 to 2-4 are stored in the security policy storage unit 11 of the remote management server device 1. The policy of the center router device (E) 3 is set.

さらに、センタルータ装置(E)3のポリシには、これに従属する拠点ルータ装置(B)2−2、拠点ルータ装置(C)2−3、拠点ルータ装置(D)2−4各々のアドレスを、拠点ルータ装置でのポリシ設定で行った管理ネットワークの代わりに設定する。   Further, the policy of the center router device (E) 3 includes the addresses of the base router device (B) 2-2, the base router device (C) 2-3, and the base router device (D) 2-4 subordinate thereto. Is set in place of the management network set in the policy setting in the base router device.

リモート管理サーバ装置1は、グループポリシリスト生成部12にて、このポリシ設定を自動的にグループポリシリストβに変換する(図3の122参照)。この時のグループポリシリストβには、上記で述べたグループポリシリストと同様に、拠点ルータ装置(B)2−2はネットワークNetB、拠点ルータ装置(C)2−3はネットワークNetC、拠点ルータ装置(D)2−4はネットワークNetDを管理すると記載されているが、さらに拠点ルータ装置(B)2−2、拠点ルータ装置(C)2−3、拠点ルータ装置(D)2−4各々のネットワークNetB,NetC,NetDをセンタルータ装置(E)3が管理するという情報が追記される。   In the remote management server device 1, the group policy list generation unit 12 automatically converts this policy setting into the group policy list β (see 122 in FIG. 3). At this time, the group policy list β includes the network router B (2-2), the network router B (2-2), the network router C (2), the network router C (base router device), as in the group policy list described above. (D) 2-4 is described as managing the network NetD, but each of the base router device (B) 2-2, the base router device (C) 2-3, and the base router device (D) 2-4 Information that the center router device (E) 3 manages the networks NetB, NetC, and NetD is added.

このグループポリシリストは、上記と同様に、リモート管理サーバ装置1のグループポリシリスト配信部13から拠点ルータ装置(B〜D)2−2〜2−4とセンタルータ装置(E)3とにそれぞれ配布される。   This group policy list is sent from the group policy list distribution unit 13 of the remote management server device 1 to the base router devices (BD) 2-2 to 2-4 and the center router device (E) 3 in the same manner as described above. Distributed.

上記のグループポリシリストを参照し、先に記載した「自動暗号化通信の解決手段」と同様の通信手段を用いると、拠点ルータ装置(B)2−2で管理しているネットワークNetBにある端末(B)4−2から拠点ルータ装置(C)2−3で管理しているネットワークNetCにある端末(C)4−3に通信が行われた場合、パケットの宛先アドレスから、グループポリシリストを参照し、リモート管理サーバ装置1に必要なセキュリティポリシを要求することによって、暗号化通信路IPsecトンネル102,103を自動的に確立することができる。   A terminal in the network NetB managed by the base router device (B) 2-2, using the communication means similar to the “automatic encryption communication solution means” described above with reference to the above group policy list (B) When communication is performed from 4-2 to the terminal (C) 4-3 in the network NetC managed by the base router device (C) 2-3, the group policy list is obtained from the destination address of the packet. The encrypted communication path IPsec tunnels 102 and 103 can be automatically established by referring to and requesting the necessary security policy from the remote management server apparatus 1.

さらに、拠点ルータ装置(B)2−2のネットワークNetBにある端末(B)4−2から拠点ルータ装置(D)2−4のネットワークNetDにある端末(D)4−4に通信があっても、IPsecトンネル102は、端末(B)4−2と端末(C)4−3とで自動生成されたIPsecトンネルと共有される。   Further, there is communication from the terminal (B) 4-2 in the network NetB of the base router device (B) 2-2 to the terminal (D) 4-4 in the network NetD of the base router device (D) 2-4. However, the IPsec tunnel 102 is shared with the IPsec tunnel automatically generated by the terminal (B) 4-2 and the terminal (C) 4-3.

これによって、2つの拠点ルータ装置分必要であったセキュリティポリシは、センタルータ装置(E)3への1拠点分となり、さらに拠点ルータ装置数を増やしたとしても、センタルータ装置(E)3を経由させるかぎり、拠点ルータ装置(B)2−2で必要となるセキュリティポリシの総数は増えない。   As a result, the security policy required for two base router devices becomes one base for the center router device (E) 3, and even if the number of base router devices is increased, the center router device (E) 3 As long as it is routed, the total number of security policies required in the base router device (B) 2-2 does not increase.

尚、上述した拠点ルータ装置(A〜D)2−1〜2−4とセンタルータ装置(E)3とリモート管理サーバ装置1とは、それぞれイーサネット(登録商標)等によってインタネット等のネットワークに接続されている。   The base router devices (A to D) 2-1 to 2-4, the center router device (E) 3 and the remote management server device 1 are connected to a network such as the Internet via Ethernet (registered trademark) or the like. Has been.

リモート管理サーバ装置1と各拠点ルータ装置(A〜D)2−1〜2−4との間の制御通信やリモート管理サーバ装置1とセンタルータ装置(E)3との間の制御通信では、SSL(Secure Sockets Layer)等によって認証された暗号化通信が確立できているものとする。これらの前提条件はすでにゼロコンフィグに対応したネットワークとして実存するものである。   In control communication between the remote management server device 1 and each base router device (A to D) 2-1 to 2-4 and control communication between the remote management server device 1 and the center router device (E) 3, Assume that encrypted communication authenticated by SSL (Secure Sockets Layer) or the like has been established. These preconditions already exist as a network that supports zero configuration.

本実施の形態では、上記に加え、リモート管理サーバ装置1に拠点ルータ装置(A〜D)2−21〜2−4及びセンタルータ装置(E)3のセキュリティポリシや管理ネットワーク、管理拠点ルータ装置から構成されるポリシを設定する記憶域と、その設定をグループポリシリストに自動変換するプログラム、グループポリシリストをゼロコンフィグの暗号化通信制御を使って、各拠点ルータ装置、センタルータ装置に配信する機能を含んでいる。   In the present embodiment, in addition to the above, the remote management server device 1 includes the security policy, management network, and management base router device of the base router devices (A to D) 2-21 to 2-4 and the center router device (E) 3. A storage area for setting a policy consisting of a policy, a program for automatically converting the setting to a group policy list, and distributing the group policy list to each base router device and center router device using zero-configuration encrypted communication control Includes functionality.

本実施の形態では、異なるセキュリティポリシで管理される、セキュリティグループαとセキュリティグループβとが存在し、セキュリティグループαで管理される拠点ルータ装置(A,B)2−1,2−2、セキュリティグループβで管理される拠点ルータ装置(B〜D)2−2〜2−4とセンタルータ装置(E)3とがある。   In the present embodiment, there are a security group α and a security group β managed by different security policies, and the base router devices (A, B) 2-1 and 2-2 managed by the security group α, security There are base router devices (BD) 2-2 to 2-4 and a center router device (E) 3 managed by the group β.

リモート管理サーバ装置1は、複数のセキュリティグループを管理するために、複数のグループポリシリストを管理することができ、拠点ルータ装置(B)2−2のように複数のセキュリティグループを適用することもできるものとする。   The remote management server device 1 can manage a plurality of group policy lists in order to manage a plurality of security groups, and can also apply a plurality of security groups like the base router device (B) 2-2. It shall be possible.

図4は本発明の実施の形態におけるポリシの設定内容の一例を示す図であり、図5は図2に示すルータ2の処理動作を示すフローチャートであり、図6は図1に示すリモート管理サーバ装置1の処理動作を示すフローチャートである。これら図1〜図6を参照して本発明の実施の形態によるネットワークの処理動作について説明する。   4 is a diagram showing an example of policy setting contents in the embodiment of the present invention, FIG. 5 is a flowchart showing processing operations of the router 2 shown in FIG. 2, and FIG. 6 is a remote management server shown in FIG. 4 is a flowchart showing a processing operation of the device 1. The network processing operation according to the embodiment of the present invention will be described with reference to FIGS.

尚、図5に示す処理動作はルータ2内のCPU(中央処理装置)(図示せず)がメモリに格納されたプログラムを実行することで実現可能であり、図6に示す処理動作はリモート管理サーバ装置1内のCPU(図示せず)がメモリに格納されたプログラムを実行することで実現可能である。   The processing operation shown in FIG. 5 can be realized by a CPU (central processing unit) (not shown) in the router 2 executing a program stored in the memory. The processing operation shown in FIG. This can be realized by a CPU (not shown) in the server device 1 executing a program stored in the memory.

まず、拠点ルータ装置(A〜D)2−1〜2−4のポリシ設定について説明する。本実施の形態では、拠点ルータ装置(A〜D)2−1〜2−4間の暗号化通信を確立するために、リモート管理サーバ装置1に拠点ルータ装置(A〜D)2−1〜2−4毎のポリシを設定する必要がある。   First, policy setting of the base router devices (A to D) 2-1 to 2-4 will be described. In the present embodiment, in order to establish encrypted communication between the base router devices (A to D) 2-1 to 2-4, the remote management server device 1 includes the base router devices (A to D) 2-1 to It is necessary to set a policy every 2-4.

リモート管理サーバ装置1に設定する内容は、図4に示すように、セキュリティグループα,βで別々に拠点ルータ装置(A〜D)ポリシサンプル、センタルータ装置(E)ポリシサンプルに記載されているように、拠点ルータ装置(A〜D)2−1〜2−4のIPアドレス、拠点ルータ装置(A〜D)2−1〜2−4が管理するネットワーク、暗号化通信に必要なセキュリティポリシ等がある。   As shown in FIG. 4, the contents to be set in the remote management server device 1 are separately described in the base router device (A to D) policy sample and the center router device (E) policy sample in the security groups α and β. As described above, the IP addresses of the base router devices (A to D) 2-1 to 2-4, the network managed by the base router devices (A to D) 2-1 to 2-4, and the security policy necessary for encrypted communication Etc.

また、セキュリティポリシについては、代表例としてIPsecトンネルを確立するために、固定鍵やIKE(Internet Key Exchange)で使用するプリシェアードキー、AES(Advanced Encryption Standard)/3DES(triple Data Encryption Standard)等の暗号化方式を入れることが想定されるが、本実施の形態では、本発明に直接関係しないので、その詳細な説明は省略する。本実施の形態においては、上記の内容がオペレータによって設定される項目すべてである。   As a typical example of a security policy, in order to establish an IPsec tunnel, a fixed key, a pre-shared key used for IKE (Internet Key Exchange), AES (Advanced Encryption Standard) / 3DES (triple Data Encrypt), etc. Although it is assumed that an encryption method is included, the present embodiment is not directly related to the present invention, and a detailed description thereof will be omitted. In the present embodiment, the above contents are all items set by the operator.

次に、リモート管理サーバ装置1によるグループポリシリストα,βの自動生成と配布とについて説明する。   Next, automatic generation and distribution of group policy lists α and β by the remote management server device 1 will be described.

リモート管理サーバ装置1では、セキュリティグループαに属する拠点ルータ装置(A,B)2−1,2−2のポリシが新規設定、もしくは変更があった場合に、グループポリシリスト生成部12にてグループポリシリストαを自動生成する。また同様に、リモート管理サーバ装置1では、セキュリティグループβに属する拠点ルータ装置(B〜D)2−2〜2−4及びセンタルータ装置(E)3のポリシが新規設定、もしくは変更があった場合に、グループポリシリスト生成部12にてグループポリシリストβを自動生成する。   In the remote management server device 1, when the policy of the base router devices (A, B) 2-1 and 2-2 belonging to the security group α is newly set or changed, the group policy list generation unit 12 performs grouping. A policy list α is automatically generated. Similarly, in the remote management server device 1, the policies of the base router devices (B to D) 2-2 to 2-4 and the center router device (E) 3 belonging to the security group β are newly set or changed. In this case, the group policy list generator 12 automatically generates the group policy list β.

グループポリシリストは、図4に示すように、拠点ルータ装置(A〜D)2−1〜2−4やセンタルータ装置(E)3のポリシから、拠点ルータ装置(A〜D)2−1〜2−4のIPアドレス(router−addr)と、管理ネットワーク(network)やセンタルータ装置(E)3のIPアドレス(router−addr)と、センタルータ装置(E)3で管理する拠点ルータ装置(B〜D)2−2〜2−4のアドレス(sub−router)を抽出してリスト化される。   As shown in FIG. 4, the group policy list is obtained from the policy of the base router devices (A to D) 2-1 to 2-4 and the center router device (E) 3, and the base router devices (A to D) 2-1. 2-4 IP address (router-addr), IP address (router-addr) of management network (network) or center router device (E) 3, and base router device managed by center router device (E) 3 (BD) The addresses (sub-routers) 2-2 to 2-4 are extracted and listed.

グループポリシリストには、セキュリティポリシ(security−policy)は含まない。また、グループポリシリストには、拠点ルータ装置(A〜D)2−1〜2−4、センタルータ装置(E)3毎のポリシの変更を認識するため、ID(IDentifier)がつけられている。このIDは、ポリシに変更があった場合(セキュリティポリシ等、グループポリシリストに含まれない内容を含む)にプラス1する等、変更前と違うIDとなる。   The group policy list does not include a security policy (security-policy). Further, an ID (IDentifier) is attached to the group policy list in order to recognize a policy change for each of the base router devices (A to D) 2-1 to 2-4 and the center router device (E) 3. . This ID is different from that before the change, for example, when the policy is changed (including contents not included in the group policy list such as a security policy).

リモート管理サーバ装置1は、図4に示すグループポリシリストにある、拠点ルータ装置(A〜D)2−1〜2−4、センタルータ装置(E)3のIPアドレス(router−addr)に、グループポリシリスト配信部13からこのリストを配布する。   The remote management server device 1 has the IP addresses (router-addr) of the base router devices (AD) 2-1 to 2-4 and the center router device (E) 3 in the group policy list shown in FIG. This list is distributed from the group policy list distribution unit 13.

グループポリシリストの配布においては、先に述べた認証、暗号化されたリモート制御のフレームワークを使用する。つまり、グループポリシリストαは拠点ルータ装置(A,B)2−1,2−2に、グループポリシリストβは拠点ルータ装置(B〜D)2−2〜2−4及びセンタルータ装置(E)3に配布される。   The distribution of the group policy list uses the authentication and encrypted remote control framework described above. That is, the group policy list α is assigned to the base router devices (A, B) 2-1 and 2-2, and the group policy list β is assigned to the base router devices (BD) 2-2 to 2-4 and the center router device (E). ) 3.

続いて、拠点ルータ装置(A〜D)2−1〜2−4、センタルータ装置(E)3におけるグループポリシリストの保持について説明する。   Next, holding of the group policy list in the base router devices (A to D) 2-1 to 2-4 and the center router device (E) 3 will be described.

リモート管理サーバ装置1から配布されたグループポリシリストは、各拠点ルータ装置(A〜D)2−1〜2−4、センタルータ装置(E)3各々でグループポリシリスト記憶部22(メモリ等)に保持される。   The group policy list distributed from the remote management server device 1 is the group policy list storage unit 22 (memory or the like) in each of the base router devices (A to D) 2-1 to 2-4 and the center router device (E) 3. Retained.

また、過去にグループポリシリストが配布されていた場合、図4に示すグループポリシリストにあるIDについて、過去のリストと比較し、違うものとなっていた場合、関連する拠点ルータ装置に対してすでに実施されていた自動設定を破棄する。この自動設定内容については、後述する。ここでは、特に拠点ルータ装置(B)2−2に対して2つのグループポリシリストα,βが配布されるが、異なるグループポリシリストとしてその両方とも保存する。   In addition, when a group policy list has been distributed in the past, the IDs in the group policy list shown in FIG. 4 are compared with the past list. Discard any automatic settings that were made. This automatic setting will be described later. Here, two group policy lists α and β are distributed to the base router device (B) 2-2 in particular, but both are stored as different group policy lists.

次に、本実施の形態によるセキュリティグループα内における暗号化通信路の確立までの処理動作の流れ(IPsecトンネル101の確立)について説明する。   Next, a flow of processing operations (establishment of the IPsec tunnel 101) until establishment of an encrypted communication path within the security group α according to the present embodiment will be described.

まず、拠点ルータ装置(A)2−1のネットワークNetAにある端末(A)4−1から拠点ルータ装置(B)2−2のネットワークNetBにある端末(B)4−2への通信に必要となる暗号化通信路であるIPsecトンネル101が確立するまでの処理動作の流れについて説明する。   First, it is necessary for communication from the terminal (A) 4-1 in the network NetA of the base router device (A) 2-1 to the terminal (B) 4-2 in the network NetB of the base router device (B) 2-2. The flow of processing operations until the IPsec tunnel 101 that is the encrypted communication path to be established will be described.

ここでは、端末(A)4−1のアドレスを、図4に示す拠点ルータ装置(A)ポリシサンプルのネットワークNetA内にある「192.168.1.10」とし、端末(B)4−2のアドレスを、上記と同様に、ネットワークNetB内にある「192.168.2.20」とする。   Here, the address of the terminal (A) 4-1 is “192.168.1.10” in the network NetA of the base router apparatus (A) policy sample shown in FIG. 4, and the terminal (B) 4-2 The address of “192.168.2.20” in the network NetB is assumed to be the same as described above.

拠点ルータ装置(A)2−1は、端末(A)4−1から送信されたパケット(送信元アドレス:「192.168.1.10」、宛先アドレス:「192.168.2.20」)が到達すると(図5ステップS1)、このパケットを暗号化する通信路がすでに確立されているかどうかを確認する(図5ステップS2)。ここで、拠点ルータ装置(A)2−1は、通信路がすでに確立済みであれば、その暗号化通信路を使用してそのまま送信する(図5ステップS7)。   The base router device (A) 2-1 transmits a packet (source address: “192.168.1.10”, destination address: “192.168.2.20”) transmitted from the terminal (A) 4-1. ) (Step S1 in FIG. 5), it is confirmed whether a communication path for encrypting this packet has already been established (step S2 in FIG. 5). Here, if the communication path has already been established, the base router apparatus (A) 2-1 uses the encrypted communication path and transmits it as it is (step S7 in FIG. 5).

拠点ルータ装置(A)2−1は、まだ暗号化通信路が確立前の場合、次にパケットの宛先アドレスをキーワードとして、リモート管理サーバ装置1よりすでに取得済みのグループポリシリストαから、この宛先のパケットで暗号化通信路が確立できるかどうかを確認する。   If the encrypted communication path is not yet established, the base router device (A) 2-1 uses the destination address of the packet as a keyword next from the group policy list α already acquired from the remote management server device 1. Check whether the encrypted communication path can be established with the packet.

つまり、拠点ルータ装置(A)2−1は、図4に示す宛先アドレス「192.168.2.20」が適用されるネットワークをグループポリシリストαの「network=」から検索すると(図5ステップS3)、router=10.2.1.1、network=192.168.2.0/24、id=10の行が選択できる。   That is, the base router device (A) 2-1 searches the network to which the destination address “192.168.2.20” shown in FIG. 4 is applied from “network =” of the group policy list α (step in FIG. 5). S3), router = 10.2.1.1, network = 192.168.2.0 / 24, id = 10 can be selected.

すなわち、拠点ルータ装置(A)2−1は、拠点ルータ装置アドレス「10.2.1.1」のセキュリティポリシが取得できれば、暗号化通信路が確立できることが分かる。この情報より、拠点ルータ装置(A)2−1は、リモート管理サーバ装置1に対して、拠点ルータ装置アドレス「10.2.1.1」のセキュリティポリシを要求する(図5ステップS4)。   That is, if the base router device (A) 2-1 can acquire the security policy of the base router device address “10.2.1.1”, it can be understood that the encrypted communication path can be established. From this information, the base router device (A) 2-1 requests the remote management server device 1 for a security policy of the base router device address “10.2.1.1” (step S4 in FIG. 5).

リモート管理サーバ装置1は、拠点ルータ装置(A)2−1からセキュリティポリシ要求を受信すると(図6ステップS11)、まず要求元の拠点ルータ装置(A)2−1のアドレスと、要求されているセキュリティポリシの拠点ルータ装置のアドレスとが同一グループポリシ内に存在するかを確認する(図6ステップS12)。   When the remote management server device 1 receives the security policy request from the base router device (A) 2-1, the address of the request source base router device (A) 2-1 is first requested. It is confirmed whether the address of the base router device of the security policy that exists is in the same group policy (step S12 in FIG. 6).

ここでは、要求してきた拠点ルータ装置(A)2−1のアドレスが「10.1.1.1」であり、要求セキュリティポリシの拠点ルータ装置のアドレスが「10.2.1.1」であるため、リモート管理サーバ装置1で管理しているグループポリシリストαより、どちらも同一管理ネットワークに存在するものと確認することができる。   Here, the address of the requesting base router device (A) 2-1 is “10.1.1.1”, and the address of the base router device of the requested security policy is “10.2.1.1”. Therefore, it can be confirmed from the group policy list α managed by the remote management server device 1 that both exist in the same management network.

つぎに、リモート管理サーバ装置1は、拠点ルータ装置(A)2−1が要求してきた「10.2.1.1」のセキュリティポリシを検索する(図6ステップS13)。   Next, the remote management server device 1 searches for the security policy “10.2.1.1” requested by the base router device (A) 2-1 (step S13 in FIG. 6).

図4に示すように、リモート管理サーバ装置1は、グループポリシリストαにあるすべてのセキュリティポリシを管理しているため、「10.2.1.1」のセキュリティポリシが、拠点ルータ装置(B)ポリシで設定された「security−policy=IPsec、key=hoge02」であることが分かる。   As shown in FIG. 4, since the remote management server device 1 manages all the security policies in the group policy list α, the security policy “10.2.1.1” is assigned to the base router device (B ) It is understood that “security-policy = IPsec, key = hoge02” set in the policy.

リモート管理サーバ装置1は、このセキュリティポリシを添付して、要求元である拠点ルータ装置(A)2−1に返信する(図6ステップS14)。上記によって、拠点ルータ装置(A)2−1と拠点ルータ装置(B)2−2とで、同一のセキュリティポリシを共有することができる。   The remote management server device 1 attaches this security policy and returns it to the requesting base router device (A) 2-1 (step S14 in FIG. 6). As described above, the base router device (A) 2-1 and the base router device (B) 2-2 can share the same security policy.

これによって、拠点ルータ装置(A)2−1は、拠点ルータ装置(B)2−2に対して、IPsecトンネルの確立を行うことができる(図5ステップS5,S6)。ここでは、同一セキュリティポリシによるIPsecの確立のための詳細な説明については省略する。   Thereby, the base router device (A) 2-1 can establish an IPsec tunnel with respect to the base router device (B) 2-2 (steps S5 and S6 in FIG. 5). Here, a detailed description for establishing IPsec with the same security policy is omitted.

このように、本実施の形態では、パケットを暗号化し、拠点ルータ装置(A)2−1から拠点ルータ装置(B)2−2に送信するための暗号化経路を確立することができるため、拠点ルータ装置(A)2−1がパケットを暗号化し、カプセル化(送信アドレス:10.1.1.1、宛先アドレス:10.2.1.1)して拠点ルータ装置(B)2−2に送信する(図5ステップS7)。   Thus, in this embodiment, since the packet can be encrypted and an encrypted path for transmitting from the base router device (A) 2-1 to the base router device (B) 2-2 can be established, The base router device (A) 2-1 encrypts and encapsulates the packet (transmission address: 10.1.1.1, destination address: 10.2.1.1), and the base router device (B) 2- 2 (step S7 in FIG. 5).

続いて、本実施の形態によるセキュリティグループβ内における暗号化通信路の確立までの処理動作の流れ(IPsecトンネル102及びIPsecトンネル103の確立)について説明する。   Subsequently, a flow of processing operations (establishment of the IPsec tunnel 102 and the IPsec tunnel 103) until establishment of the encrypted communication path in the security group β according to the present embodiment will be described.

つまり、センタルータ装置(E)3を経由しつつ、暗号化通信路であるIPsecトンネル102及びIPsecトンネル103を確立するまでの処理動作の流れについて説明する。この確立に必要となる通信として、端末(B)4−2から端末(C)4−3へのパケットを使って説明する。ここでは、上記と同様に、端末(B)4−2のアドレスを「192.168.2.20」とし、端末(C)4−3のアドレスも、ネットワークNetC内に含まれるアドレスとして、「192.168.3.30」とする。   That is, the flow of processing operations until the IPsec tunnel 102 and the IPsec tunnel 103 that are encrypted communication paths are established through the center router device (E) 3 will be described. The communication necessary for this establishment will be described using a packet from the terminal (B) 4-2 to the terminal (C) 4-3. Here, similarly to the above, the address of the terminal (B) 4-2 is “192.168.2.20”, and the address of the terminal (C) 4-3 is also an address included in the network NetC. 192.168.3.30 ".

上述した説明と同様に、拠点ルータ装置(B)2−2は、パケット(送信元アドレス:192.168.2.20、宛先アドレス:192.168.3.30)を受信すると(図5ステップS1)、上記と同様の処理を実行し、グループポリシリスト検索を実施する(図5ステップS3)。   Similarly to the above description, the base router device (B) 2-2 receives the packet (source address: 192.168.2.20, destination address: 192.168.3.30) (step in FIG. 5). S1) A process similar to the above is executed to perform a group policy list search (step S3 in FIG. 5).

ここでは、宛先アドレス:192.168.3.30をキーワードとしてグループポリシリストα,βを検索し、図4に示すグループポリシリストβより、「router−addr=10.3.1.1、network=192.168.3.0/24、id=24」が検索される。   Here, the group policy lists α and β are searched using the destination address: 192.168.3.30 as a keyword, and “router-addr = 10.3.1.1, network” is retrieved from the group policy list β shown in FIG. = 192.168.3.0/24, id = 24 ".

ここでさらに、センタルータ装置(E)3の行を検索すると、さきほど検索したrouter−addr=10.3.1.1は、センタルータ装置(E)3のrouter−addr=10.11.1.1、sub−router=10.3.1.1,10.4.1.1で管理されていることが分かる。   Here, when the line of the center router device (E) 3 is further retrieved, the router-addr = 10.3.1.1 that has been retrieved earlier is the router-addr = 10.11.1 of the center router device (E) 3. .1, sub-router = 10.3.1.1, 10.4.1.1.

これによって、拠点ルータ装置(B)2−2は、リモート管理サーバ装置1に対し、センタルータ装置(E)3のアドレス「10.11.1.1」のセキュリティポリシを要求する。   As a result, the base router device (B) 2-2 requests the remote management server device 1 for a security policy of the address “10.11.1.1.1” of the center router device (E) 3.

ここから先、IPsecトンネル102を確立するまでは、上記と同様の処理動作の流れで確立される。   From here, until the IPsec tunnel 102 is established, it is established by the same processing operation flow as described above.

また、端末(B)2−2から送信されたパケットは、上記のIPsecトンネル102を通ってセンタルータ装置(E)3に到達する。センタルータ装置(E)3でも、これまでと同様の処理にて、グループポリシリストβを検索するが、さきほどの「router−addr=10.11.1.1、sub−router=10.3.1.1,10.4.1.1」は、自分自身であるため、ここで必要なセキュリティポリシが、「router−addr=10.3.1.1、network=192.168.3.0/24、id=24」の方であることが分かる。   The packet transmitted from the terminal (B) 2-2 reaches the center router device (E) 3 through the IPsec tunnel 102 described above. The center router device (E) 3 also searches for the group policy list β by the same processing as before. However, “router-addr = 10.11.1.1.1, sub-router = 10.3. Since “1.1, 10.4.1.1” is itself, the necessary security policies are “router-addr = 10.3.1.1, network = 192.168.3.0”. / 24, id = 24 ".

つまり、センタルータ装置(E)3は、リモート管理サーバ装置1に対し、拠点ルータ装置(C)2−3である「10.3.1.1」のセキュリティポリシを要求する。   That is, the center router device (E) 3 requests the remote management server device 1 for a security policy of “10.3.1.1” that is the base router device (C) 2-3.

以下、これまでと同様な処理を実施することによって、IPsecトンネル103が確立し、拠点ルータ装置(B)2−2からセンタルータ装置(E)3を経由して、拠点ルータ装置(C)2−3に至る暗号化通信路を確立する。   Thereafter, the IPsec tunnel 103 is established by performing the same processing as before, and the base router device (C) 2 from the base router device (B) 2-2 via the center router device (E) 3. -3 is established.

このように、本実施の形態では、拠点ルータ装置(A〜D)2−1〜2−4やセンタルータ装置(E)3に対して、直接設定を行うことなく、リモート管理サーバ装置1で集中管理することができる。   As described above, in this embodiment, the remote management server device 1 does not directly set the base router devices (A to D) 2-1 to 2-4 and the center router device (E) 3. Centralized management.

また、本実施の形態では、拠点ルータ装置(A〜D)2−1〜2−4やセンタルータ装置(E)3単体のセキュリティポリシを設定しておくだけで、自動的に対向ルータ装置との暗号化通信路を生成することができる。   Further, in the present embodiment, it is automatically set as the opposite router device only by setting the security policy for the base router devices (AD) 2-1 to 2-4 and the center router device (E) 3 alone. It is possible to generate an encrypted communication path.

さらに、本実施の形態では、セキュリティポリシ変更やネットワーク構成を変更した場合においても、対象となる拠点ルータ装置(A〜D)2−1〜2−4やセンタルータ装置(E)3のポリシを変更するだけで自動的に関連する暗号化通信路を更新することができる。   Furthermore, in this embodiment, even when the security policy is changed or the network configuration is changed, the policies of the target base router devices (AD) 2-1 to 2-4 and the center router device (E) 3 are changed. It is possible to automatically update the associated encrypted communication path only by changing.

さらにまた、本実施の形態では、リモート管理サーバ装置1が拠点ルータ装置(A〜D)2−1〜2−4の要求に対して応答を返すのみの機能を持っていれば構成することできる。つまり、本実施の形態では、拠点ルータ装置(A〜D)2−1〜2−4の何らかのトリガにより、リモート管理サーバ装置1が複数の拠点ルータ装置(A〜D)2−1〜2−4に対して能動的に命令を発行する必要がない。   Furthermore, in the present embodiment, the remote management server device 1 can be configured as long as it has a function of only returning a response to the requests of the base router devices (A to D) 2-1 to 2-4. . That is, in the present embodiment, the remote management server device 1 causes the plurality of base router devices (A to D) 2-1 to 2- by some trigger of the base router devices (A to D) 2-1 to 2-4. There is no need to actively issue instructions to 4.

本実施の形態では、必要な時に必要な拠点ルータ装置(A〜D)2−1〜2−4のポリシのみを取得するため、拠点ルータ装置(A〜D)2−1〜2−4の記憶領域を効率的に活用することができる。   In the present embodiment, since only the policies of the necessary base router devices (A to D) 2-1 to 2-4 are acquired when necessary, the base router devices (A to D) 2-1 to 2-4 are required. The storage area can be used efficiently.

尚、本発明では、リモート管理サーバ装置1と拠点ルータ装置(A〜D)2−1〜2−4との間の認証技術、暗号化制御、各拠点ルータ装置(A〜D)2−1〜2−4の設定やリモート制御として、すでに現存しているゼロコンフィグネットワークのフレームワークをベースにしているが、リモート管理サーバ装置1と拠点ルータ装置(A〜D)2−1〜2−4との間で認証や暗号化制御ができる仕組みがあれば、ほかのフレームワークを使用してもかまわない。   In the present invention, authentication technology, encryption control, and each base router device (AD) 2-1 between the remote management server device 1 and the base router devices (AD) 2-1 to 2-4. ~ 2-4 settings and remote control are based on the existing zero config network framework, but the remote management server device 1 and the base router devices (AD) 2-1 to 2-4 Other frameworks can be used as long as there is a mechanism that can perform authentication and encryption control with.

また、本発明では、暗号化通信の経路を確立する機器としてルータ装置を使用しているが、特にルータ装置に限定する必要はなく、通常のPC(Personal Computer)やネットワーク端末、携帯電話機等に置き換えることもできる。   In the present invention, a router device is used as a device for establishing a path for encrypted communication. However, the present invention is not particularly limited to the router device. It can also be replaced.

1 リモート管理サーバ装置
2 ルータ装置
2−1〜2−4 拠点ルータ装置(A〜D)
3 センタルータ装置(E)
4−1〜4−4 端末(A〜D)
11 セキュリティポリシ記憶部
12 グループポリシリスト生成部
13 グループポリシリスト配信部
14 セキュリティポリシ配信部
21 暗号化通信路設定部
22 グループポリシリスト記憶部
23 グループポリシリスト検索部
24 セキュリティポリシ設定要求部
25 グループポリシリスト確認部
100 セキュリティグループα
101〜103 IPsecトンネル
200 セキュリティグループβ 1 Remote management server device
2 Router device 2-1 to 2-4 Base router device (A to D)
3 Center router device (E)
4-1 to 4-4 Terminals (A to D)
11 Security policy storage
12 Group policy list generator
13 Group Policy List Distribution Department
14 Security Policy Distribution Department
21 Encrypted communication path setting section
22 Group policy list storage
23 Group Policy List Search Department
24 Security policy setting request section
25 Group Policy List Confirmation Department
100 Security group α
101-103 IPsec tunnel
200 Security group β

Claims (12)

複数のネットワーク機器間の暗号化通信で必要となるセキュリティポリシを前記複数のネットワーク機器各々に対応して記憶する記憶手段と、
前記複数のネットワーク機器各々に対応するセキュリティポリシを基に互いに通信が認められたネットワーク機器同士を示すグループポリシを生成する生成手段と、
前記生成手段で生成されたグループポリシを前記複数のネットワーク機器各々に配信する配信手段と、
前記配信手段にて配信されたグループポリシを基に前記複数のネットワーク機器から要求されるセキュリティポリシを当該ネットワーク機器に配信するセキュリティポリシ配信手段とを有することを特徴とするネットワーク装置。 Storage means for storing a security policy required for encrypted communication between a plurality of network devices corresponding to each of the plurality of network devices;
Generating means for generating a group policy indicating network devices that are allowed to communicate with each other based on a security policy corresponding to each of the plurality of network devices;
Distribution means for distributing the group policy generated by the generation means to each of the plurality of network devices;
A network apparatus comprising: security policy distribution means for distributing a security policy requested from the plurality of network devices to the network device based on the group policy distributed by the distribution means. 前記生成手段は、前記複数のネットワーク機器各々に対応するセキュリティポリシから必要な情報をリスト化して前記グループポリシのリストを生成することを特徴とする請求項1記載のネットワーク装置。   2. The network apparatus according to claim 1, wherein the generation unit generates a list of the group policies by listing necessary information from security policies corresponding to the plurality of network devices. 前記複数のネットワーク機器から要求されるセキュリティポリシは、前記グループポリシにしたがって前記ネットワーク機器各々が必要とする対向するネットワーク機器のセキュリティポリシであることを特徴とする請求項1または請求項2記載のネットワーク装置。   3. The network according to claim 1, wherein the security policy requested from the plurality of network devices is a security policy of an opposing network device required by each of the network devices according to the group policy. apparatus. 前記配信手段及び前記セキュリティポリシ配信手段は、配信先との間で暗号化されかつ認証された通信を用いて前記複数のネットワーク機器各々への配信を行うことを特徴とする請求項1から請求項3のいずれか記載のネットワーク装置。   The distribution unit and the security policy distribution unit perform distribution to each of the plurality of network devices using encrypted and authenticated communication with a distribution destination. 4. The network device according to any one of 3. 前記グループポリシを階層化して前記複数のネットワーク機器間の接続数を自動的に軽減することを特徴とする請求項1から請求項3のいずれか記載のネットワーク装置。   4. The network device according to claim 1, wherein the group policy is hierarchized to automatically reduce the number of connections between the plurality of network devices. 上記の請求項1から請求項5のいずれかに記載のネットワーク装置を含むことを特徴とするネットワーク。   A network comprising the network device according to any one of claims 1 to 5. ネットワーク装置が、
複数のネットワーク機器間の暗号化通信で必要となるセキュリティポリシを前記複数のネットワーク機器各々に対応して記憶手段に記憶する第1の処理と、
前記複数のネットワーク機器各々に対応するセキュリティポリシを基に互いに通信が認められたネットワーク機器同士を示すグループポリシを生成する第2の処理と、
前記第2の処理で生成されたグループポリシを前記複数のネットワーク機器各々に配信する第3の処理と、
前記第3の処理にて配信されたグループポリシを基に前記複数のネットワーク機器から要求されるセキュリティポリシを当該ネットワーク機器に配信する第4の処理とを実行し、
前記第4の処理にて配信されたセキュリティポリシを用いて互いに対向するネットワーク機器間で暗号化通信を実行することを特徴とする自動暗号化通信方法。 Network device
A first process of storing a security policy required for encrypted communication between a plurality of network devices in a storage unit corresponding to each of the plurality of network devices;
A second process of generating a group policy indicating network devices that are allowed to communicate with each other based on a security policy corresponding to each of the plurality of network devices;
A third process for distributing the group policy generated in the second process to each of the plurality of network devices;
Performing a fourth process of distributing to the network device a security policy requested from the plurality of network devices based on the group policy distributed in the third process;
An automatic encrypted communication method, wherein encrypted communication is executed between mutually opposing network devices using the security policy distributed in the fourth process. 前記第2の処理において、前記複数のネットワーク機器各々に対応するセキュリティポリシから必要な情報をリスト化して前記グループポリシのリストを生成することを特徴とする請求項7記載の自動暗号化通信方法。   8. The automatic encryption communication method according to claim 7, wherein, in the second process, the group policy list is generated by listing necessary information from security policies corresponding to the plurality of network devices. 前記複数のネットワーク機器から要求されるセキュリティポリシは、前記グループポリシにしたがって前記ネットワーク機器各々が必要とする対向するネットワーク機器のセキュリティポリシであることを特徴とする請求項7または請求項8記載の自動暗号化通信方法。   9. The automatic policy according to claim 7, wherein the security policy requested from the plurality of network devices is a security policy of an opposing network device required by each of the network devices according to the group policy. Encrypted communication method. 前記第3の処理及び前記第4の処理において、配信先との間で暗号化されかつ認証された通信を用いて前記複数のネットワーク機器各々への配信を行うことを特徴とする請求項7から請求項9のいずれか記載の自動暗号化通信方法。   8. In the third process and the fourth process, delivery to each of the plurality of network devices is performed using communication encrypted and authenticated with a delivery destination. The automatic encryption communication method according to claim 9. 前記グループポリシを階層化して前記複数のネットワーク機器間の接続数を自動的に軽減することを特徴とする請求項7から請求項10のいずれか記載の自動暗号化通信方法。   The automatic encryption communication method according to claim 7, wherein the group policy is hierarchized to automatically reduce the number of connections between the plurality of network devices. ネットワーク装置内の中央処理装置に実行させるプログラムであって、
複数のネットワーク機器間の暗号化通信で必要となるセキュリティポリシを前記複数のネットワーク機器各々に対応して記憶手段に記憶する第1の処理と、
前記複数のネットワーク機器各々に対応するセキュリティポリシを基に互いに通信が認められたネットワーク機器同士を示すグループポリシを生成する第2の処理と、
前記第2の処理で生成されたグループポリシを前記複数のネットワーク機器各々に配信する第3の処理と、
前記第3の処理にて配信されたグループポリシを基に前記複数のネットワーク機器から要求されるセキュリティポリシを当該ネットワーク機器に配信する第4の処理とを含み、
前記第4の処理にて配信されたセキュリティポリシを用いて互いに対向するネットワーク機器間で暗号化通信を実行させることを特徴とするプログラム。 A program to be executed by a central processing unit in a network device,
A first process of storing a security policy required for encrypted communication between a plurality of network devices in a storage unit corresponding to each of the plurality of network devices;
A second process of generating a group policy indicating network devices that are allowed to communicate with each other based on a security policy corresponding to each of the plurality of network devices;
A third process for distributing the group policy generated in the second process to each of the plurality of network devices;
A fourth process of distributing security policies requested from the plurality of network devices to the network device based on the group policy distributed in the third processing;
A program for executing encrypted communication between mutually opposing network devices using the security policy distributed in the fourth process.
JP2009116043A 2009-05-13 2009-05-13 Network device and automatic encryption communication method used therefor Active JP5234807B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009116043A JP5234807B2 (en) 2009-05-13 2009-05-13 Network device and automatic encryption communication method used therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009116043A JP5234807B2 (en) 2009-05-13 2009-05-13 Network device and automatic encryption communication method used therefor

Publications (2)

Publication Number Publication Date
JP2010268087A true JP2010268087A (en) 2010-11-25
JP5234807B2 JP5234807B2 (en) 2013-07-10

Family

ID=43364738

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009116043A Active JP5234807B2 (en) 2009-05-13 2009-05-13 Network device and automatic encryption communication method used therefor

Country Status (1)

Country Link
JP (1) JP5234807B2 (en)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005065305A (en) * 1999-06-10 2005-03-10 Alcatel Internetworking Inc Policy based network architecture
JP2005072783A (en) * 2003-08-21 2005-03-17 Fujitsu Ltd Information processing content determining method, and information processing apparatus adopting the method
JP2006019824A (en) * 2004-06-30 2006-01-19 Kddi Corp Secure communication system, management apparatus, and communication terminal
JP2006040247A (en) * 2004-06-21 2006-02-09 Nec Corp System, method and program for security policy management
JP2006050267A (en) * 2004-08-04 2006-02-16 Matsushita Electric Ind Co Ltd IPsec COMMUNICATION METHOD, COMMUNICATION CONTROLLER AND NETWORK CAMERA
JP2007503765A (en) * 2003-08-25 2007-02-22 ネクストホップ テクノロジーズ,インク Policy establishment and implementation in packet switching networks
JP2007517446A (en) * 2003-12-24 2007-06-28 ノーテル・ネツトワークス・リミテツド Multiple services with policy execution on a common network
JP2007525896A (en) * 2004-02-20 2007-09-06 ノキア コーポレイション System, method and computer program product for accessing at least one virtual private network
JP2009015585A (en) * 2007-07-04 2009-01-22 Mitsubishi Electric Corp Management device, network system, program, and management method
JP2009099136A (en) * 2007-10-15 2009-05-07 Sap Ag Enhanced security framework for composite applications

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005065305A (en) * 1999-06-10 2005-03-10 Alcatel Internetworking Inc Policy based network architecture
JP2005072783A (en) * 2003-08-21 2005-03-17 Fujitsu Ltd Information processing content determining method, and information processing apparatus adopting the method
JP2007503765A (en) * 2003-08-25 2007-02-22 ネクストホップ テクノロジーズ,インク Policy establishment and implementation in packet switching networks
JP2007517446A (en) * 2003-12-24 2007-06-28 ノーテル・ネツトワークス・リミテツド Multiple services with policy execution on a common network
JP2007525896A (en) * 2004-02-20 2007-09-06 ノキア コーポレイション System, method and computer program product for accessing at least one virtual private network
JP2006040247A (en) * 2004-06-21 2006-02-09 Nec Corp System, method and program for security policy management
JP2006019824A (en) * 2004-06-30 2006-01-19 Kddi Corp Secure communication system, management apparatus, and communication terminal
JP2006050267A (en) * 2004-08-04 2006-02-16 Matsushita Electric Ind Co Ltd IPsec COMMUNICATION METHOD, COMMUNICATION CONTROLLER AND NETWORK CAMERA
JP2009015585A (en) * 2007-07-04 2009-01-22 Mitsubishi Electric Corp Management device, network system, program, and management method
JP2009099136A (en) * 2007-10-15 2009-05-07 Sap Ag Enhanced security framework for composite applications

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
CSND200100799004; 鈴木 和久 他: 'Windows2000で実現するVPN' INTEROP MAGAZINE 第10巻 第3号, 20000301, p.062-075, ソフトバンクパブリッシング株式会社 *
CSNG200500747009; 下條 敏男 他: 'ポリシによる複数ファイアウォールの一括設定方式の提案と実装' 電子情報通信学会論文誌 第J87-B巻 第10号, 20041001, p.1616-1625, 社団法人電子情報通信学会 *
JPN6012061162; 下條 敏男 他: 'ポリシによる複数ファイアウォールの一括設定方式の提案と実装' 電子情報通信学会論文誌 第J87-B巻 第10号, 20041001, p.1616-1625, 社団法人電子情報通信学会 *
JPN6012061165; 鈴木 和久 他: 'Windows2000で実現するVPN' INTEROP MAGAZINE 第10巻 第3号, 20000301, p.062-075, ソフトバンクパブリッシング株式会社 *

Also Published As

Publication number Publication date
JP5234807B2 (en) 2013-07-10

Similar Documents

Publication Publication Date Title
JP2022550356A (en) Methods, systems, and computer-readable media for providing multi-tenant software-defined wide area network (SD-WAN) nodes
EP3432523B1 (en) Method and system for connecting a terminal to a virtual private network
JP5460056B2 (en) Method and system for managing security keys in a wireless network
CN104081711A (en) Terminating SSL connections without locally-accessible private keys
JP5719799B2 (en) Information processing apparatus and communication system for performing software license authentication, and software license authentication method
US20160066354A1 (en) Communication system
CN110537354B (en) System and method for configuring virtual private gateway
CN106535089B (en) Machine-to-machine virtual private network
CN104023022A (en) Method and device of obtaining IPSec SA (Internet Protocol Security Association)
WO2023197942A1 (en) Public cloud extension method, device, system and storage medium
US20230179582A1 (en) Centralized management of private networks
US10554633B2 (en) Enhanced packet formating for security inter-computing system communication
JP5234807B2 (en) Network device and automatic encryption communication method used therefor
KR101329968B1 (en) Method and system for determining security policy among ipsec vpn devices
JP2018174550A (en) Communication system
JP2010074225A (en) Router and network system
JP2005012485A (en) Internet vpn configuration system, control server and vpn configuration method for use therein
CN112887968B (en) Network equipment management method, device, network management equipment and medium
US20220255905A1 (en) Centralized management control lists for private networks
JP2018029233A (en) Client terminal authentication system and client terminal authentication method
JP7142272B2 (en) Communication system, encryption key distribution method, management communication device, and communication device
US20230396492A1 (en) A method of, a provisioner and a system for provisioning a plurality of operatively interconnected node devices in a network
JP6487392B2 (en) Client terminal authentication system and client terminal authentication method
JP6571615B2 (en) Authentication server, distribution device, client terminal authentication system, and client terminal authentication method
JP2024515154A (en) Secure key management device, authentication system, wide area network, and method for generating session keys - Patents.com

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110908

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121127

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130226

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130321

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5234807

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160405

Year of fee payment: 3

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350