RU2207619C2 - Resource access differentiation system - Google Patents
Resource access differentiation system Download PDFInfo
- Publication number
- RU2207619C2 RU2207619C2 RU2001119323A RU2001119323A RU2207619C2 RU 2207619 C2 RU2207619 C2 RU 2207619C2 RU 2001119323 A RU2001119323 A RU 2001119323A RU 2001119323 A RU2001119323 A RU 2001119323A RU 2207619 C2 RU2207619 C2 RU 2207619C2
- Authority
- RU
- Russia
- Prior art keywords
- access
- input
- block
- resources
- user
- Prior art date
Links
Images
Abstract
Description
Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано для защиты информационных ресурсов рабочих станций и серверов. The invention relates to computer technology, namely to information computer systems and networks, and can be used to protect information resources of workstations and servers.
Известна система защиты информационных ресурсов вычислительной системы и сети Secret Net (см. "Система разграничения доступа Secret Net. Руководство пользователя, 1996"). Она представляет собою программный комплекс, устанавливаемый на автономный компьютер либо на компьютеры, объединенные в вычислительную сеть. Система решает задачу разграничения доступа к ресурсам, в частности к файловым объектам. There is a known system for protecting information resources of a computing system and the Secret Net network (see. "Secret Net Access Control System. User Guide, 1996"). It is a software package that can be installed on a stand-alone computer or on computers connected to a computer network. The system solves the problem of restricting access to resources, in particular to file objects.
Наиболее близкой по технической сущности к заявляемой (прототипом) является система разграничения доступа к ресурсам, встроенная в операционную систему Windows NT Server 4.0 (см. кн. Валда Хиллей "Секреты Windows NT Server 4.0". -К. "Диалектика", 1997, с. 14-15). Closest to the technical nature of the claimed (prototype) is a resource access control system built into the Windows NT Server 4.0 operating system (see Prince Valda Hilly, "Secrets of Windows NT Server 4.0." -K. "Dialectics", 1997, p. . 14-15).
Система представлена на фиг.1. Система разграничения доступа к ресурсам включает блок авторизации пользователя 1, блок хранения прав доступа пользователей 2, блок разрешения доступа пользователя к ресурсам 3, причем вход блока авторизации пользователя 1 соединен со входом авторизации пользователя 4, выход - с первым входом блока хранения прав доступа пользователей 2, со вторым входом блока разрешения доступа пользователя к ресурсу, первый вход которого - с выходом блока хранения прав доступа пользователей 2, второй вход которого - со входом задания прав разграничения доступа пользователей 5, третий вход блока разрешения доступа пользователя к ресурсам 3 - со входом запроса доступа к ресурсу 6, выход блока разрешения доступа пользователя к ресурсам 3 - с выходом разрешения доступа к ресурсу 7. The system is presented in figure 1. The system for restricting access to resources includes a
Разграничение доступа к ресурсам осуществляется следующим образом. Администратор со входа 4, пройдя авторизацию в блоке 1 посредством ввода своего идентификатора и пароля (с этого же входа администратором заводятся пользователи и назначаются их пароли, хранящиеся в блоке 1), со входа 5 задает в блоке 2 таблицу прав доступа к ресурсам (например, для разграничения доступа к файловым объектам - именно эту задачу решает прототип, задаются для каждого пользователя логические диски, каталоги и файлы, к которым пользователю разрешается доступ и вид доступа - полный доступ, только чтение, только запись, только выполнение и т.д.). При каждом запросе доступа пользователя к ресурсу со входа 6 (со входа 6 поступает идентификатор запрашиваемого ресурса и запрашиваемое действие с ресурсом), осуществляемом после его авторизации блоком 1 со входа 4, блоком 3 для данного пользователя (идентификатор пользователя в блок 3 поступает с выхода блока 1, права доступа пользователя - с выхода блока 2) принимается решение - предоставить или нет запрошенный доступ, разрешение запрашиваемого пользователем доступа к ресурсу выдается блоком 3 на выход 7. Differentiation of access to resources is as follows. The administrator from
Недостатком системы является следующее:
1. Реализуется возможность разграничения прав доступа к ресурсам только для пользователя (по его идентификатору) вне зависимости от того, с каким приложением он работает - какой процесс (программа) запрашивает доступ. Т.е. , если пользователю разрешен доступ к объекту, то данный доступ будет ему предоставлен вне зависимости от того, каким процессом вызвано обращение winword.exe, far.exe и т.д. На практике возникает необходимость разграничивать доступ пользователей к ресурсу не только с учетом идентификатора пользователя, но и с учетом программы, запрашивающей доступ.The disadvantage of the system is the following:
1. The possibility of differentiating access rights to resources only for the user (by his identifier) is implemented regardless of which application he is working with - which process (program) is requesting access. Those. if the user is allowed access to the object, then this access will be granted to him regardless of what process caused the call winword.exe, far.exe, etc. In practice, there is a need to differentiate user access to a resource not only taking into account the user ID, but also taking into account the program requesting access.
2. Для ОС семейства Microsoft важно то, что любая программа, запущенная в компьютере, получает доступ, разрешенный текущему (зарегистрированному в системе) пользователю. Поэтому, если на ПЭВМ устанавливается некоторый сетевой сервис, например DHCP сервис (удаленное администрирование ПЭВМ), то при запуске на рабочей станции агента (процесса) данного сервиса он получает доступ ко всем ресурсам, к которым имеет доступ текущий пользователь, что делает возможным удаленный просмотр всех ресурсов пользователя из сети - при работе менеджера с агентом). 2. For the Microsoft family of operating systems, it is important that any program running on a computer gets access allowed to the current (registered in the system) user. Therefore, if some network service is installed on the PC, for example, the DHCP service (remote administration of the PC), then when the agent (process) of this service is launched on the workstation, it gets access to all the resources that the current user has access to, which makes remote viewing possible all user resources from the network - when the manager is working with the agent).
Целью изобретения является повышение уровня защищенности информационных ресурсов рабочих станций и серверов за счет расширения функций системы разграничения доступа к ресурсам, осуществляемого не только для пользователей, запрашивающих ресурс (по их идентификаторам), но и для процессов (программ), запрашивающих ресурс. The aim of the invention is to increase the level of security of information resources of workstations and servers by expanding the functions of the system for restricting access to resources, carried out not only for users requesting a resource (by their identifiers), but also for processes (programs) requesting a resource.
Достигается это тем, что в систему разграничения доступа к ресурсам, содержащую блок авторизации пользователя, блок хранения прав доступа пользователей, блок разрешения доступа пользователя к ресурсам, причем вход блока авторизации пользователя соединен со входом авторизации пользователя, выход - с первым входом блока хранения прав доступа пользователей, со вторым входом блока разрешения доступа пользователя к ресурсам, первый вход которого - с выходом блока хранения прав доступа пользователей, второй вход которого - со входом задания прав разграничения доступа пользователей, третий вход блока разрешения доступа пользователя к ресурсам - со входом запроса доступа к ресурсу, дополнительно введены: блок хранения прав доступа процессов, блок разрешения доступа процесса к ресурсам, блок хранения прав доступа привилегированных процессов, блок разрешения доступа привилегированного процесса к ресурсам, блок разрешения доступа к ресурсам, причем первый вход блока хранения прав доступа процессов соединен с первым входом блока хранения прав доступа привилегированных процессов, с выходом блока авторизации пользователя, второй вход - со входом задания прав разграничения доступа процессов, выход - с первым входом блока разрешения доступа процесса к ресурсам, второй вход которого - со входом идентификации процесса, запросившего доступ к ресурсу, со вторым входом блока разрешения доступа привилегированного процесса к ресурсам, первый вход которого - с выходом блока хранения прав доступа привилегированных процессов, второй вход которого - со входом задания прав разграничения доступа привилегированных процессов, первый вход блока разрешения доступа к ресурсам - с выходом блока разрешения доступа пользователя к ресурсу, второй вход - с выходом блока разрешения доступа привилегированного процесса к ресурсам, третий вход - с выходом блока разрешения доступа процесса к ресурсам, выход - с выходом разрешения доступа к ресурсу. This is achieved in that a resource access control system containing a user authorization block, a user access storage unit, a user access permission block, the input of the user authorization unit is connected to the user authorization input, the output is to the first input of the access right storage unit users, with the second input of the access permission block of the user to resources, the first input of which is with the output of the user access rights storage unit, the second input of which is with the job input equal access control for users, the third input of the access permission block for the user to the resources - with the request for access to the resource input, the following are additionally introduced: the block for storing process access rights, the block for process access permission for resources, the block for storing privileges for privileged processes, the block for allowing privileged process access resources, the block access permissions to resources, and the first input of the storage block of the access rights of processes is connected to the first input of the storage block of the access rights of privileged processes s, with the output of the user authorization block, the second input - with the input of the task of restricting access rights to the processes, the output - with the first input of the process permission block for accessing resources, the second input of which is with the identification input of the process that requested access to the resource, with the second input of the permission block access of the privileged process to resources, the first input of which is with the output of the storage block for the privileges of privileged processes, the second input of which is with the input of the privileges of privileged processes, the first input of the access permission block for the resource - with the output of the user access permission block for the resource, the second input - with the output of the privileged process access permission block for resources, the third input - with the output of the process access permission block for resources, the output - with the output of access permission to the resource .
Схема системы разграничения доступа к ресурсам приведена на фиг.2, она содержит: блок авторизации пользователя 1, блок хранения прав доступа пользователей 2, блок разрешения доступа пользователя к ресурсам 3, блок хранения прав доступа процессов 4, блок разрешения доступа процесса к ресурсам 5, блок хранения прав доступа привилегированных процессов 6, блок разрешения доступа привилегированного процесса к ресурсам 7, блок разрешения доступа к ресурсам 8, причем вход блока авторизации пользователя 1 соединен со входом авторизации пользователя 9; выход - с первым входом блока хранения прав доступа пользователей 2, со вторым входом блока разрешения доступа пользователя к ресурсам 3, первый вход которого - с выходом блока хранения прав доступа пользователей 2, второй вход которого - со входом задания прав разграничения доступа пользователей 10, третий вход блока разрешения доступа пользователя к ресурсам 3 - со входом запроса доступа к ресурсу 11, первый вход блока хранения прав доступа процессов 4 соединен с первым входом блока хранения прав доступа привилегированных процессов 6, с выходом блока авторизации пользователя 1, второй вход - со входом задания прав разграничения доступа процессов 12, выход - с первым входом блока разрешения доступа процесса к ресурсам 5; второй вход которого - со входом идентификации процесса, запросившего доступ к ресурсу 14, со вторым входом блока разрешения доступа привилегированного процесса к ресурсам 7. первый вход которого - с выходом блока хранения прав доступа привилегированных процессов 6, второй вход которого - со входом задания прав разграничения доступа привилегированных процессов 13, первый вход блока разрешения доступа к ресурсам 8 - с выходом блока разрешения доступа пользователя к ресурсам 3, второй вход - с выходом блока разрешения доступа привилегированного процесса к ресурсам 7, третий вход - с выходом блока разрешения доступа процесса к ресурсам 5, выход - с выходом разрешения доступа к ресурсу 15. A diagram of a system for restricting access to resources is shown in FIG. 2, it contains: a
Работает система разграничения доступа к ресурсам следующим образом. Кроме анализа прав доступа пользователя к ресурсам, как и в прототипе, осуществляемого блоками 1, 2, 3, задаются и анализируются права доступа процессов к ресурсам. Таблица прав доступа процессов к ресурсам (идентификатор процесса - его имя и полный путь, откуда процесс запущен, а также параметры доступа к ресурсу: полный доступ, чтение, запись, выполнение и т.д.) формируется администратором со входа 12 (после авторизации администратора) и хранится в блоке 4. Со входа 14 при запросе доступа к ресурсам в блок 5 из ОС поступают параметры процесса, запросившего ресурс (имя и полный путь процесса), идентификатор ресурса и действия с ресурсом, блок 5 сравнивает запрос с правами доступа процесса (из блока 5) и вырабатывает (либо нет) сигнал разрешения доступа процесса к ресурсу, поступающий в блок 8. Выделяет особый класс процессов, так называемые привилегированные процессы, запрос которых обрабатывается блоками 6 и 7. Их отличие от обычных состоит в том, что доступ данных процессов к ресурсам разграничивается вне разграничений прав доступа к ресурсам пользователей. К таким процессам могут быть отнесены системные и иные процессы. Например, доступ пользователя к системному диску (например, диску С: ) может быть запрещен, некоторым же процессам данный доступ необходимо открыть, например системным процессам, записывающим данные в реестр, и т.д. Необходимо открывать доступ к системному диску и прикладным процессам, например, обеспечивающим удаленное администрирование ПЭВМ. Т.о., под привилегированным понимается процесс, на который не распространяются разграничения доступа текущего пользователя. Обрабатываются данные процессы таким же образом, как и обычные, блоками 6 и 7. В блок 6 администратор после авторизации блоком 1 заносит таблицу разграничения прав доступа, права доступа при запросе анализируются блоком 7. В блок 8 поступают три разрешающих сигнала - разрешение доступа пользователя к ресурсу из блока 3, разрешение доступа процесса к ресурсу из блока 5 и разрешение доступа привилегированного процесса к ресурсу из блока 7. Блок 8 вырабатывает сигнал разрешения доступа к ресурсу на выход 15 при получении разрешения либо с выхода блока 7, либо одновременно разрешений с выходов блоков 3 и 5, т.е. пропускает санкционированные запросы привилегированных процессов, санкционированные запросы остальных процессов в рамках разрешений доступа текущего (зарегистрированного в блоке 1) пользователя. The system for restricting access to resources works as follows. In addition to the analysis of user access rights to resources, as in the prototype implemented by
Таким образом, предлагаемая система позволяет обеспечивать разграничение доступа к ресурсам не только для пользователей, но и с учетом процессов (программ), запускаемых пользователем для доступа к ресурсам. Thus, the proposed system allows to provide differentiation of access to resources not only for users, but also taking into account the processes (programs) launched by the user to access resources.
Ресурсами, к которым может разграничиваться доступ предлагаемой системой, могут быть не только файловые объекты, но и устройства (например, СОМ и LPT порты), сетевые адреса и службы хостов локальной и глобальной сети и т. д. The resources to which access by the proposed system can be delimited can be not only file objects, but also devices (for example, COM and LPT ports), network addresses and host services of the local and global networks, etc.
Блоки, используемые в заявляемой системе разграничения доступа к ресурсам, могут быть реализованы следующим образом. Blocks used in the inventive system for restricting access to resources can be implemented as follows.
Блоки 4 и 6 реализуются аналогично блоку 2 прототипа, блоки 5 и 7 аналогично блоку 3 прототипа. Блок 8 выполняет следующую логическую операцию "Выход блока 7" ИЛИ "Выход блока 3" И "Выход блока 5".
Блоки в общем случае могут быть реализованы как программное, так и как аппаратное средство. Blocks in the General case can be implemented both software and hardware.
Таким образом, реализация всех используемых блоков достигается стандартными средствами, базирующимися на классических принципах реализации основ вычислительной техники. Thus, the implementation of all used blocks is achieved by standard means based on the classical principles of implementing the foundations of computer technology.
К достоинствам предлагаемой системы разграничения доступа к ресурсам может быть отнесено следующее. The following can be attributed to the advantages of the proposed system for restricting access to resources.
1. Реализуется возможность разграничения прав доступа к ресурсам пользователя (по его идентификатору) с учетом того, с каким приложением он работает - какой процесс (программа) запрашивает доступ, что расширяет возможности разграничения доступа к ресурсам. 1. The possibility of differentiating access rights to user resources (by its identifier) is realized taking into account which application it is working with - which process (program) is requesting access, which expands the possibilities of differentiating access to resources.
2. Для ОС семейства Microsoft с использованием заявленной системы реализуется возможность того, что любая программа, запущенная на компьютере, получает не полный доступ к ресурсам, разрешенный текущему (зарегистрированному) пользователю, а доступ, разрешенный данной программе в рамках разрешений доступа пользователя. Поэтому, если на ПЭВМ устанавливается некоторый сетевой сервис, например DHCP сервис (удаленное администрирование ПЭВМ), то при запуске на рабочей станции агента (процесса) данного сервиса он получает доступ не ко всем ресурсам, к которым имеет доступ текущий пользователь, что делает возможным удаленный просмотр всех ресурсов пользователя из сети (при работе менеджера с агентом), а лишь тот доступ, который разрешен запрашивающему ресурс процессу. 2. For the Microsoft family OS using the claimed system, the possibility is realized that any program running on a computer does not receive full access to resources allowed to the current (registered) user, but access allowed to this program within the user's access permissions. Therefore, if some network service is installed on the PC, for example, the DHCP service (remote administration of the PC), then when the agent (process) of this service is launched on the workstation, it does not gain access to all the resources that the current user has access to, which makes it possible to remotely viewing all user resources from the network (when the manager is working with the agent), but only the access that is allowed to the requesting resource.
Claims (1)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2001119323A RU2207619C2 (en) | 2001-07-12 | 2001-07-12 | Resource access differentiation system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2001119323A RU2207619C2 (en) | 2001-07-12 | 2001-07-12 | Resource access differentiation system |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2001119323A RU2001119323A (en) | 2003-06-27 |
RU2207619C2 true RU2207619C2 (en) | 2003-06-27 |
Family
ID=29210009
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2001119323A RU2207619C2 (en) | 2001-07-12 | 2001-07-12 | Resource access differentiation system |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2207619C2 (en) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8453200B2 (en) | 2004-10-01 | 2013-05-28 | Microsoft Corporation | Access authorization having embedded policies |
RU2534488C1 (en) * | 2013-06-18 | 2014-11-27 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | System for controlling access to computer system resources with "initial user, effective user, process" subject |
RU2534599C1 (en) * | 2013-04-30 | 2014-11-27 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | Access control system to resources of computer system with subject of access "user, processes" |
RU2538918C1 (en) * | 2013-06-26 | 2015-01-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | System for reforming object in access request |
RU2543561C1 (en) * | 2013-10-25 | 2015-03-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | System for session-based resource access control |
RU2562410C2 (en) * | 2013-12-10 | 2015-09-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | System for session-based file object access control |
RU2571380C2 (en) * | 2013-12-27 | 2015-12-20 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of isolating resources using resource managers |
RU2580815C2 (en) * | 2013-12-27 | 2016-04-10 | Общество с ограниченной ответственностью "НеоБИТ" | Method for centralised control of access of control systems to active network equipment in distributed computer systems and system therefor |
RU2632142C2 (en) * | 2015-06-30 | 2017-10-02 | Общество С Ограниченной Ответственностью "Яндекс" | Method and electronic permission management unit for objects |
RU174148U1 (en) * | 2017-06-14 | 2017-10-04 | Федеральное государственное учреждение "Федеральный исследовательский центр "Информатика и управление" Российской Академии Наук" | TECHNOLOGICAL PLATFORM FOR INTEGRATION OF INFORMATION RESOURCES OF THE SYSTEM OF INTERDEPARTMENTAL ELECTRONIC INTERACTION |
-
2001
- 2001-07-12 RU RU2001119323A patent/RU2207619C2/en not_active IP Right Cessation
Non-Patent Citations (1)
Title |
---|
ВАЛДА ХИЛЛЕЙ, Секреты Windows NT Server 4.0. - Киев: Диалектика, 1997, с.14-15. * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8453200B2 (en) | 2004-10-01 | 2013-05-28 | Microsoft Corporation | Access authorization having embedded policies |
US8931035B2 (en) | 2004-10-01 | 2015-01-06 | Microsoft Corporation | Access authorization having embedded policies |
US9069941B2 (en) | 2004-10-01 | 2015-06-30 | Microsoft Technology Licensing, Llc | Access authorization having embedded policies |
RU2534599C1 (en) * | 2013-04-30 | 2014-11-27 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | Access control system to resources of computer system with subject of access "user, processes" |
RU2534488C1 (en) * | 2013-06-18 | 2014-11-27 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | System for controlling access to computer system resources with "initial user, effective user, process" subject |
RU2538918C1 (en) * | 2013-06-26 | 2015-01-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | System for reforming object in access request |
RU2543561C1 (en) * | 2013-10-25 | 2015-03-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | System for session-based resource access control |
RU2562410C2 (en) * | 2013-12-10 | 2015-09-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | System for session-based file object access control |
RU2571380C2 (en) * | 2013-12-27 | 2015-12-20 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of isolating resources using resource managers |
RU2580815C2 (en) * | 2013-12-27 | 2016-04-10 | Общество с ограниченной ответственностью "НеоБИТ" | Method for centralised control of access of control systems to active network equipment in distributed computer systems and system therefor |
RU2632142C2 (en) * | 2015-06-30 | 2017-10-02 | Общество С Ограниченной Ответственностью "Яндекс" | Method and electronic permission management unit for objects |
RU174148U1 (en) * | 2017-06-14 | 2017-10-04 | Федеральное государственное учреждение "Федеральный исследовательский центр "Информатика и управление" Российской Академии Наук" | TECHNOLOGICAL PLATFORM FOR INTEGRATION OF INFORMATION RESOURCES OF THE SYSTEM OF INTERDEPARTMENTAL ELECTRONIC INTERACTION |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10650156B2 (en) | Environmental security controls to prevent unauthorized access to files, programs, and objects | |
US5347578A (en) | Computer system security | |
KR100596135B1 (en) | Control system for access classified by application in virtual disk and Controling method thereof | |
McIlroy et al. | Multilevel security in the UNIX tradition | |
US8136147B2 (en) | Privilege management | |
US5586301A (en) | Personal computer hard disk protection system | |
Xu et al. | Towards a VMM-based usage control framework for OS kernel integrity protection | |
US5361359A (en) | System and method for controlling the use of a computer | |
US20080172720A1 (en) | Administering Access Permissions for Computer Resources | |
JP2002517853A (en) | Minimum permissions via restricted token | |
US20070050369A1 (en) | Accessing file under confinement | |
CN112805708B (en) | Protecting selected disks on a computer system | |
US20070271472A1 (en) | Secure Portable File Storage Device | |
RU2207619C2 (en) | Resource access differentiation system | |
KR100706338B1 (en) | Virtual access control security system for supporting various access control policies in operating system or application | |
KR20030090568A (en) | System for protecting computer resource and method thereof | |
RU2630163C1 (en) | Method of control of files access | |
KR100549644B1 (en) | Control system for access classified application in virtual disk and controling method thereof | |
Viega et al. | The pros and cons of Unix and Windows security policies | |
KR102214162B1 (en) | A user-based object access control system using server's hooking | |
US20080301781A1 (en) | Method, system and computer program for managing multiple role userid | |
Wong | A comparison of secure UNIX operating systems | |
RU2534599C1 (en) | Access control system to resources of computer system with subject of access "user, processes" | |
RU2534488C1 (en) | System for controlling access to computer system resources with "initial user, effective user, process" subject | |
JP7288193B2 (en) | Information processing program, information processing apparatus, and information processing method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20090713 |