JP2005136631A - Vpnの自動構築方法、ポリシー管理装置、及び利用者装置 - Google Patents
Vpnの自動構築方法、ポリシー管理装置、及び利用者装置 Download PDFInfo
- Publication number
- JP2005136631A JP2005136631A JP2003369383A JP2003369383A JP2005136631A JP 2005136631 A JP2005136631 A JP 2005136631A JP 2003369383 A JP2003369383 A JP 2003369383A JP 2003369383 A JP2003369383 A JP 2003369383A JP 2005136631 A JP2005136631 A JP 2005136631A
- Authority
- JP
- Japan
- Prior art keywords
- user device
- policy
- common
- vpn
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000010276 construction Methods 0.000 title claims description 15
- 238000004891 communication Methods 0.000 claims abstract description 26
- 238000012545 processing Methods 0.000 claims description 79
- 238000000034 method Methods 0.000 claims description 29
- 238000012795 verification Methods 0.000 claims description 16
- 230000006870 function Effects 0.000 claims description 6
- 238000009826 distribution Methods 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 106
- 230000008859 change Effects 0.000 description 21
- 230000004913 activation Effects 0.000 description 16
- 238000012937 correction Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 10
- 230000008520 organization Effects 0.000 description 8
- 238000003860 storage Methods 0.000 description 7
- 238000012546 transfer Methods 0.000 description 6
- 238000000605 extraction Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 複数の利用者装置間のVPNを自動的に迅速に構築する。
【解決手段】 複数の個別ポリシーから共通ポリシーを生成するポリシー管理装置と第1の利用者装置との間、及び当該ポリシー管理装置と第2の利用者装置との間に制御用VPNを構築し、ポリシー管理装置が、第1の利用者装置及び第2の利用者装置から各々の個別ポリシーを前記制御用VPNを介して受信し、第1の利用者装置及び第2の利用者装置の個別ポリシーから共通ポリシーを生成し、当該共通ポリシーを第1の利用者装置及び第2の利用者装置に前記制御用VPNを介して配布し、第1の利用者装置及び第2の利用者装置の各々が、前記共通ポリシーに基づき、第1の利用者装置と第2の利用者装置との間のVPN通信のための設定をする。
【選択図】 図2
【解決手段】 複数の個別ポリシーから共通ポリシーを生成するポリシー管理装置と第1の利用者装置との間、及び当該ポリシー管理装置と第2の利用者装置との間に制御用VPNを構築し、ポリシー管理装置が、第1の利用者装置及び第2の利用者装置から各々の個別ポリシーを前記制御用VPNを介して受信し、第1の利用者装置及び第2の利用者装置の個別ポリシーから共通ポリシーを生成し、当該共通ポリシーを第1の利用者装置及び第2の利用者装置に前記制御用VPNを介して配布し、第1の利用者装置及び第2の利用者装置の各々が、前記共通ポリシーに基づき、第1の利用者装置と第2の利用者装置との間のVPN通信のための設定をする。
【選択図】 図2
Description
本発明は、複数の利用者装置間で信頼ある仮想プライベートネットワークを構築するための技術に関する。
IPネットワーク上でセキュリティを確保した通信を行うための技術として仮想プライベートネットワーク(以下、VPN(Virtual Private Network)という)がある。複数の利用者装置間(例えば、利用者装置1と利用者装置2の間)において、VPNを構築するには、従来技術では一般的に図1に示すような手順を用いていた。
まず、利用者装置1、利用者装置2側から登録認定機関RCに対してオフラインで公開鍵証明書の申請を行う。登録認定機関では、審査の後、オフラインで利用者装置1、利用者装置2に対して公開鍵証明書を発行する。そして、利用者装置1と利用者装置2との間で公開鍵証明書を安全な方法で交換し、利用者装置1と利用者装置2の各々の装置においてそれぞれの利用者ポリシーに従って、VPN構築に必要なVPN情報を設定する。
特開2001−069140号公報
しかしながら、この従来の方法には次のような問題があった。
まず、利用者装置の公開鍵証明書を取得するにあたり、申請、審査、登録等の作業をオフラインで行うために、取得するまでに時間がかかり、結果としてVPN構築に時間がかかるという問題があった。また、利用者ポリシーに従ったVPN構築に必要な詳細なVPN情報を利用者装置に設定することは容易ではなく、VPNの専門技術を持った者が行う必要があった。また、VPN通信を実現するには、VPNを構成する両端の装置におけるVPN設定情報に整合がとれている(一致している)必要があるので、例えば、一方の装置での設定内容をオフラインで他方の装置側に運び、それをインストールするといった作業を行う必要があった。従って、VPN構築に手間がかかっていた。更に、利用者装置の追加、配置変更やポリシーの変更を行うと、利用者ポリシーに従ったVPN情報設定をやり直す必要が生じ、VPNの専門技術を持った者が上記の作業を再度行う必要があった。
本発明は上記の点に鑑みてなされたものであり、VPNを自動的に迅速に構築する技術を提供することを目的とする。
上記の課題を解決するために、本発明は、第1の利用者装置及び第2の利用者装置を含む複数の利用者装置間でVPNを構築する方法であって、複数の個別ポリシーから共通ポリシーを生成するポリシー管理装置と第1の利用者装置との間、及び当該ポリシー管理装置と第2の利用者装置との間に制御用VPNを構築する制御用VPN構築ステップと、ポリシー管理装置が、第1の利用者装置及び第2の利用者装置から各々の個別ポリシーを前記制御用VPNを介して受信する個別ポリシー受信ステップと、ポリシー管理装置が、第1の利用者装置及び第2の利用者装置の個別ポリシーから共通ポリシーを生成し、当該共通ポリシーを第1の利用者装置及び第2の利用者装置に前記制御用VPNを介して配布する共通ポリシー配布ステップと、第1の利用者装置及び第2の利用者装置の各々が、前記共通ポリシーに基づき、第1の利用者装置と第2の利用者装置との間のVPN通信のための設定をするVPN設定ステップとを有する方法として構成される。
本発明によれば、各利用者装置から制御用VPNを介して受信した個別ポリシーに基づき共通ポリシーを生成し、それを各利用者装置に制御用VPNを介して配布することとしたので、従来は各利用者装置側で行っていた作業を簡略化でき、利用者装置間のVPNを迅速に構築することが可能となる。
上記のポリシー管理装置は、利用者装置から受信した個別ポリシーと、生成した共通ポリシーとを含む情報を格納するポリシーデータベースを備え、ポリシー管理装置が一の利用者装置から個別ポリシーを受信すると、当該個別ポリシーが、既に格納されている当該一の利用者装置の個別ポリシーと異なる場合に、当該一の利用者装置とともにVPNを構成する他の利用者装置の個別ポリシーを前記ポリシーデータベースから抽出し、当該一の利用者装置と他の利用者装置に共通の共通ポリシーを生成し、当該共通ポリシーを当該一の利用者装置と他の利用者装置に配布するステップを更に有するようにしてもよい。
本発明によれば、例えば、利用者装置における個別ポリシーが変更された場合にその情報がポリシー管理装置に送信され、VPN構築に関して関連のある利用者装置の個別ポリシーとから共通ポリシーを生成して、関連ある各利用者装置に配布することが可能になるので、VPNの構築を自動的に迅速に行うことが可能となる。
また、前記制御用VPN構築ステップにおいて、第1の利用者装置及び第2の利用者装置は、前記制御用VPNを自動的に構築するための情報を、ネットワークに接続されたデータ提供装置から取得し、第1の利用者装置及び第2の利用者装置は、互いの認証に用いる証明書情報を当該データ提供装置から取得するようにしてもよい。また、第1の利用者装置及び第2の利用者装置は、互いの認証に用いる証明書情報をポリシー管理装置から取得することもできる。
本発明によれば、制御用VPNを自動化でき、更に、認証に用いる証明書情報をデータ提供装置やポリシー管理装置から取得できので、VPNの構築を迅速に行うことができる。
更に、第1の利用者装置の配下に第3の利用者装置が配置されている場合において、 第3の利用者装置が、当該第3の利用者装置の個別ポリシーを、第1の利用者装置を経由して前記制御用VPNを介してポリシー管理装置に送信するステップと、ポリシー管理装置は、第3の利用者装置の個別ポリシーと第2の利用者装置の個別ポリシーとから第3の利用者装置と第2の利用者装置に共通の共通ポリシーを生成し、当該共通ポリシーがポリシー管理装置から第1の利用者装置を経由して第3の利用者装置に送信されるように第1の利用者装置のルーティング情報を設定し、当該共通ポリシーを第3の利用者装置と第2の利用者装置に送信するステップと、第3の利用者装置及び第2の利用者装置の各々が、当該共通ポリシーに基づき、第3の利用者装置と第2の利用者装置との間のVPN通信のための設定をするステップとを更に有するように構成することもできる。
本発明によれば、利用者装置とポリシー管理装置の間に他の利用者装置が配置されているような場合でも、他の利用者装置がない場合と同様にしてVPNの構築を行うことが可能となる。
上記のように、本発明によれば、各利用者装置から制御用VPNを介して受信した個別ポリシーに基づき共通ポリシーを生成し、それを各利用者装置に制御用VPNを介して配布することとしたので、VPNを自動的に迅速に構築することが可能となる。
以下、本発明の実施の形態を図を参照して説明する。
本発明の実施の形態の概要は次の通りである。すなわち、図2に示す通り、VPN構築に必要なポリシーを集中管理し、共通ポリシーを各利用者装置に配布するためのポリシー管理装置3を備え、各利用者装置とポリシー管理装置3間で制御用VPN4を自動設定しておく。そして、利用者装置間(利用者装置1と利用者装置2)のVPN構築に際しては、利用者装置1と利用者装置2が、登録や変更に係るポリシーを制御用VPNを介してポリシー管理装置3に送信し、ポリシー管理装置3では、利用者装置1と利用者装置2に共通であって、利用者装置1と利用者装置2のVPN通信の実現に必要な情報を含む共通ポリシーを作成し、その共通ポリシーを利用者装置1と利用者装置2にロードし、利用者装置1と利用者装置2では、その共通ポリシーに基づきVPN通信に必要な設定を自動的に行う。
なお、各利用者装置は耐タンパチップを備え、耐タンパチップには、制御用VPN構築、ポリシーに関する処理等を行うアプリケーションであるポリシー処理AP、利用者のポリシー情報、VPN通信に必要な鍵情報等が格納される。また、VPN通信時における相手装置認証に必要な公開鍵証明書は、制御用VPN自動構築のための情報を取得するために用いる、後述するデータ提供装置から安全に適宜取得することができる。また、公開鍵証明書をポリシー管理装置3に格納し、ポリシー管理装置3から制御用VPNを介して公開鍵証明書を取得してもよい。
ここで、本実施の形態の説明における上記ポリシーとは、利用者装置側で作成される個別ポリシーのことであり、例えば、接続先、接続先を許可するセキュリティーのレベル、有効期限等を含む情報のことである。
また、共通ポリシーとは、VPNの両端における装置間で共通に使用されるVPN設定情報のことである。すなわち、VPNをある装置間で設定する場合には、両装置における設定情報の整合が取られている必要があるが、その整合がとられた両装置に共通のものを共通ポリシーと呼ぶ。また、個別ポリシーが上記の“セキュリティーのレベル”のように抽象的に表現された情報であるのに対し、共通ポリシーは、実際にVPN通信のための設定に使用できるように表現された情報である。この共通ポリシーに基づき、VPNの両端の各利用者装置で、例えば、利用者が所望するポリシーに従ったIPsecのパラメータが設定される。この共通ポリシーは、データとして構成してもよいしプログラムとして構成してもよい。プログラムで構成されている場合には、共通ポリシーを利用者装置で実行することにより、VPN通信に必要な情報の設定が自動的に行われる。
このような構成としたことにより、例えば、利用者装置1と利用者装置2においてポリシーの変更があった場合でも、利用者装置1と利用者装置2の各装置からポリシー管理装置に変更されたポリシーが送信され、ポリシー管理装置では、共通ポリシーを自動的に作成し、両装置に配布するので、従来のように、専門技術者が利用者装置1と利用者装置2の両方の側でVPN情報設定を手動で行う必要がなくなり、VPNを自動的に迅速に構築できる。また、ポリシー、共通ポリシーの転送を制御用VPNを介して行うので、安全にポリシーの転送を行うことが可能となっている。
次に、本発明の実施の形態におけるシステム構成とその動作について、図3を参照して説明する。
本システムは、インターネット等のネットワークに接続された利用者装置1、利用者装置2、及びポリシー管理装置3を有するものである。
各利用者装置は耐タンパ性を持つICチップ(耐タンパチップ)を備えており、耐タンパチップには、認証や暗号化のための情報、ポリシー処理AP及び利用者ポリシー情報が格納されている。
また、各利用者装置は、制御用VPNによる通信を行うための制御VPN部、利用者装置間のVPN通信を行うための利用者VPN部、利用者装置におけるポリシーを管理する利用者ポリシー管理部を有している。
また、ポリシー管理装置3は、利用者装置から受信したポリシー(個別ポリシーと呼ぶ)と共通ポリシーとを格納するポリシーDB31と、共通ポリシーの生成等を行うポリシー調整部32とを有している。
更に、利用者装置とポリシー管理装置の間は、後述する方法により構築されている制御用VPN4により接続されている。各利用者装置とポリシー管理装置3は、登録認定機関RCに登録され、認定を受けている。また、各装置の公開鍵証明書は、図示していない後述するデータ提供装置に格納されており、各装置はそこから適宜安全に公開鍵証明書を取得することが可能である。
本システムの動作概要は以下の通りである。
まず、利用者装置1において登録、修正されたポリシーの情報が制御用VPN4を介してポリシー管理装置3に通知される。また、利用者装置2において登録、修正されたポリシーの情報も制御用VPN4を介してポリシー管理装置3に通知される。登録、修正に係るポリシーを受信したポリシー管理装置3は、利用者間のポリシーを調整し、共通ポリシーを生成し、各利用者装置へロードする。各利用者装置は、ロードされた共通ポリシーを自身にインストールすることにより、この共通ポリシーに従って、利用者装置1と利用者装置2との間でのVPNの構築がなされる。なお、利用者制御装置が3つ以上であっても、同様にしてVPNを構築できる。
図4は、制御用VPNを自動的に構築する方法を説明するための図である。
本実施の形態では、利用者装置は、特開2001−069140号公報に開示された技術(インターネット上で、正しく安全に、耐タンパ装置にデータを格納する方法)を用い、データ提供装置5から、ポリシー管理装置3との間でVPN接続等を行うためのポリシー処理APと、制御用VPN接続情報をダウンロードする。そして、ダウンロードしたポリシー処理APにより、制御用VPN接続情報を用いてポリシー管理装置との間で制御用VPNを構築する。
特開2001−069140号公報には以下のデータ格納システムが開示されている。
当該データ格納システムは、データを格納する利用者装置と、該利用者装置の登録証を発行・管理する発行機関が有する発行装置と、データを提供するデータ提供機関が有するデータ提供装置、発行機関を登録・管理する発行登録機関が有する発行登録装置と、該データ提供機関を登録・管理するデータ登録機関が有するデータ登録装置からなり、前記利用者装置は、利用者公開鍵を含む鍵に関する情報である登録情報を生成し、利用者情報と共に前記発行装置へ送信する登録情報生成手段と、前記発行装置から取得した、前記登録情報及び前記利用者情報に対する発行機関の署名情報である登録証を検証し、検証結果が正しければ該登録証を記憶手段に記憶する登録証検証手段とを有し、前記発行装置は、前記登録証を生成し、前記利用者装置に送信する登録証生成手段とを有している。また、前記利用者装置は、前記登録証、格納データ情報を前記データ提供装置に送信する手段と、前記データ提供装置から受信した格納許可証を検証し、データ提供装置から取得した格納データと前記格納データ情報との対応付けを検証し、検証結果が正しければ、該格納データを記憶手段に格納する手段とを有し、前記データ提供装置は、前記利用者装置から取得した前記登録証を検証し、検証結果が正しければ該登録証及び前記格納データ情報に対して証明情報を付与した格納許可証を生成し、該利用者装置に送信する手段を有している。
なお、図4に示すデータ提供装置5が特開2001−069140号公報におけるデータ提供装置に相当し、発行装置は図示されていない。制御用VPN接続情報は、ポリシー管理装置のアドレス、認証方式、鍵情報、ID/乱数等の、ポリシー管理装置とのVPN接続のために必要な情報である。また、データ提供装置5には、各利用者装置の公開鍵証明書が格納され、各利用者装置は、公開鍵証明書を適宜データ提供装置から安全に取得することができる。
次に、本実施の形態におけるシステム構成を図5を参照して詳細に説明する。なお、図5では、複数の利用者装置のうちの利用者装置1のみを示している。
ポリシー管理装置3は、個別ポリシー及び共通ポリシーを格納するポリシーDB301、個別ポリシーの変更等を受けてポリシーDBの内容の変更を行うポリシー変更処理部302、ある個別ポリシーに関連する個別ポリシーを抽出する関連ポリシー抽出処理部303、個別ポリシーに基づき共通ポリシーを生成する共通ポリシー生成処理部304、利用者装置からのイベントに応じて必要な処理を行う共通ポリシー管理部305、制御用VPN通信のための制御用VPN処理部306、IPsec処理部307、及びグローバルI/F308を備えている。
なお、ポリシー管理装置3は、CPU、メモリ、ハードディスク等を備えたコンピュータに、上記の各処理部の機能を実現させるプログラムをインストールすることにより実現されるものである。なお、ポリシーDB301を別のコンピュータに備えて構成してもよい。
利用者装置1は、情報記憶部、接続装置認証AP、ポリシー生成・修正・検証APを格納する耐タンパチップ101、管理メニューを表示して個別ポリシー生成等を行うポリシー管理部102、管理端末等を用いるためのローカルI/F103、利用者I/F処理部104、共通ポリシーの実行(設定)や検証を行うためのVPNポリシー実行・判定処理部105、FWの調整を行うFW調整処理部106、制御用VPN通信のための制御用VPN処理部107、利用者装置間のVPN通信のための利用者VPN処理部108、IPsec処理部109、及びグローバルI/F110を備えている。
利用者装置は、ルータのような通信機器でもよいし、コンピュータでもよい。なお、ルータもコンピュータの一種と考え、本明細書では、「コンピュータ」の用語をルータ等の通信機器を含む意味で使用する。このような装置に耐タンパチップを備え、上記の各処理部の機能を実現させるプログラムをインストールすることにより本実施の形態の利用者装置が実現される。
次に、本システムの動作例について詳細に説明する。
利用者装置がポリシー管理装置に個別ポリシーを通知するタイミングには、例えば、(1)利用者装置が起動したタイミング、(2)利用者装置のポリシーが変更されたタイミングとがある。
まず、利用者装置1が起動したタイミングでポリシー管理装置にポリシーを通知する場合、すなわち、図6に示す場合の動作について、図7のフローチャートを参照して説明する。
利用者装置1が起動すると(ステップ1)、利用者装置1におけるポリシー管理部が起動イベント(現在のポリシー情報)を生成し、その情報を制御用VPN処理部に送る(ステップ2)。制御用VPN処理部はそのイベントを、IPsec処理し、インターネット(制御用VPN)を経由しポリシー管理装置3へ送る(ステップ3)。そして、ポリシー管理部は処理結果のログを記録する(ステップ4)。
ポリシー管理装置3における共通ポリシー管理部は、利用者装置1の起動イベントを制御用VPN処理部を通して受け取る(ステップ5)。そして、共通ポリシー管理部は、利用者装置1から受信した起動イベントを利用者装置1の公開鍵証明書を用いて検証する(ステップ6、7)。ここで、そのイベント情報が正当でない場合には処理を終了する。イベント情報が正当である場合には、共通ポリシー管理部は起動イベント情報を解析し、共通ポリシーを生成する必要があるかを判定する(ステップ8)。ここでは、既に格納されている利用者装置1の個別ポリシーと、起動イベントに係る個別ポリシーとを比較し、例えば、接続相手先が異なっていれば、新たに共通ポリシーを生成すると判定する。
共通ポリシー管理部は共通ポリシーを生成する必要がある場合、そのイベントを共通ポリシー生成処理部に送る(ステップ9)。共通ポリシー管理部は、共通ポリシー生成処理部により生成した共通ポリシーを、その共通ポリシーに関係する利用者装置(この場合、利用者装置1と利用者装置2)に送るため、制御用VPN処理部に送る(ステップ10)。制御用VPN処理部は、その共通ポリシーを、各利用者装置の制御用VPN処理部を介してVPNポリシー実行・判定処理部に送る(ステップ11)。ポリシー管理装置3は、各利用者装置のVPNポリシー実行・判定処理部による共通ポリシー実行結果を待つ(ステップ12)。そして、共通ポリシー管理部は、受信した実行結果のログを記録する(ステップ13)。
ステップ11において共通ポリシーを受信した利用者装置1、2の動作を、図8のフローチャートを用いて説明する。
各利用者装置におけるVPNポリシー実行・判定処理部は、ポリシー管理装置より、利用者装置1、2に関連がある共通ポリシーを受信する(ステップ21)。そして、共通ポリシーの正当性を検証し(ステップ22)、共通ポリシーの情報が正当なものでない場合には、その旨のログをポリシー管理部が記録する。共通ポリシーの情報が正当なものである場合には、VPNポリシー実行・判定処理部は共通ポリシーを解析して実行し、自身のIPsec処理部を制御する(例えば、パラメータを設定する)(ステップ23)。また、VPNポリシー実行・判定処理部は、共通ポリシーの解析の結果、FWの調整が必要な場合には、FWを適切に制御する(ステップ24)。そして、共通ポリシー実行結果をポリシー管理装置3に送り(ステップ25)、ポリシー管理部は処理結果のログを記録する(ステップ26)。
次に、利用者装置1のポリシー修正時のVPNの再構築について図9のフローチャートを参照して説明する。すなわち、図6の構成において、利用者装置1で個別ポリシーを修正する場合である。
まず、利用者装置1の利用者は、利用者I/F(ブラウザ)を介してポリシーを修正する(ステップ31)。修正が終わると、ポリシー管理部は操作者を検証するため、ポリシー生成・修正・検証APを呼び出す(ステップ32、33)。操作者の検証は、例えば、操作者の認証情報を格納したICカードを用いる。修正情報が正当(例えば、正しい操作者の署名が付されていれば)であれば、ポリシー管理部は、修正したポリシーの情報からポリシー変更イベント(修正ポリシー情報を含む)を生成し、制御用VPN処理部へ送る(ステップ34)。制御用VPN処理部はポリシー変更イベントをIPsec処理し、インターネット(制御用VPN)を経由しポリシー管理装置3へ送る(ステップ35)。そして、ポリシー管理部は処理結果のログを記録する(ステップ36)。
続いて、ポリシー管理装置3の共通ポリシー管理部は、利用者装置1のポリシー変更イベントを制御用VPN処理部を通して受け取る(ステップ37)。そして、共通ポリシー管理部はポリシー変更イベント情報を利用者装置1の公開鍵証明書を用いて検証する(ステップ38、39)。イベント情報が正当であれば、共通ポリシー管理部はイベント情報を解析し、そのイベント情報をポリシー変更処理部に送る(ステップ40)。
共通ポリシー管理部は、受信したポリシー変更イベントに係るポリシーの変更が、他のポリシーに関係する場合(例えば、接続相手先が変更になった場合)、そのイベントをポリシー抽出処理部に送る(ステップ41)。そして、共通ポリシー管理部は、共通ポリシーを生成する必要がある場合(新しい接続相手との共通ポリシーがない場合)には、ポリシー生成イベントを共通ポリシー生成処理部に送る(ステップ42)。その後の処理は図7、図8に示す場合と同様である。
本発明に係るシステムでは、利用者装置配下の利用者装置についてもポリシー制御が可能である。すなわち、図10に示すように、利用者装置1の配下にある利用者装置6と利用者装置2との間でVPN構築が可能である。利用者装置1の配下にある利用者装置6を起動する場合の動作について図11のフローチャートを参照して説明する。
利用者装置6を起動すると(ステップ51)、利用者装置6のポリシー管理部は起動イベント(現在のポリシー情報)を生成し、制御用VPN処理部へ送る(ステップ52)。
制御用VPN処理部は起動イベントを、IPsec処理しポリシー管理装置3に向けて送る。なお、起動イベントは、ルーティング設定により利用者装置1へ送られる(ステップ53)。ポリシー管理部は処理結果のログを記録する(ステップ54)。
利用者装置1におけるポリシー管理部は利用者装置6からの起動イベントを受け取ると(ステップ55)、自身の制御用VPNの転送ポリシーをチェックする(ステップ56、57)。転送ポリシーにおいて自動転送が許可されていれば、ポリシー管理部は利用者装置6の起動イベントをポリシー管理装置3へ転送し(ステップ58)、処理結果のログを記録する(ステップ59)。ステップ57において、自動転送が許可されていない場合には、エラー処理を行う(ステップ60)。エラーに対する対策としては、利用者装置1の上記転送ポリシーに、利用者装置6からのイベントが通るような設定を行う。次に、図12を用いてポリシー管理装置の動作について説明する。
共通ポリシー管理部は、利用者装置6の起動イベントを受け取る(ステップ71)。そして、共通ポリシー管理部は起動イベント情報を送信元の利用者装置(利用者装置6)の公開鍵証明書を用いて検証する(ステップ72、73)。イベント情報が正当であれば、共通ポリシー管理部は起動イベントを解析し、再度共通ポリシーを生成する必要があるかを判定する(ステップ74)。また、共通ポリシー管理部は、利用者装置1を利用者装置6への共通ポリシーが通るように調整を行う(ステップ75)。ここでは、ポリシー管理装置から利用者装置6への情報が通るようなルーティング情報を利用者装置1に送り、利用者装置1はそのルーティング情報を設定する。
共通ポリシー管理部は共通ポリシーを生成する必要がある場合、共通ポリシー生成処理部に起動イベントを送る(ステップ76)。共通ポリシー管理部は生成した共通ポリシーを、共通ポリシーに関係する利用者装置(利用者装置6と利用者装置2)に送るために制御用VPN処理部に送る(ステップ77)。制御用VPN処理は各利用者装置に、共通ポリシーを送る順序を判定する(ステップ78)。順序は、時間的に見て前の設定と後の設定との間で矛盾が生じないように、更に、ある装置にまとめて送るなど効率を向上させるという観点で判定される。
制御用VPN処理部は、各利用者装置の制御用VPN処理部を介して、VPNポリシー実行・判定処理部に共通ポリシーを送る(ステップ79)。そして、利用者装置より共通ポリシー実行結果を待ち(ステップ80)、共通ポリシー管理部は処理結果のログを記録する(ステップ81)。なお、共通ポリシーを受け取った利用者装置の動作は図8に示すものと同じである。
次に、図10と同様の構成において、利用者装置6がポリシーを変更した場合のVPNの再構築について図13のフローチャートを用いて説明する。
まず、利用者装置6の利用者は、利用者I/F(ブラウザ)を介してポリシーを修正する(ステップ91)。修正が終わると、ポリシー管理部は操作者を検証するため、ポリシー生成・修正・検証APを呼び出す(ステップ92、93)。操作者の検証は、例えば、操作者の認証情報を格納したICカードを用いる。修正情報が正当(例えば、正しい操作者の署名が付されていれば)であれば、ポリシー管理部は、修正したポリシーの情報からポリシー変更イベント(修正ポリシー情報を含む)を生成し、制御用VPN処理部へ送る(ステップ94)。制御用VPN処理部はポリシー変更イベントをIPsec処理し、インターネット(制御用VPN)を経由しポリシー管理装置へ向けて送る(ルーティングにより利用者装置1に送る)(ステップ95)。そして、ポリシー管理部は処理結果のログを記録する(ステップ96)。その後の利用者装置1、ポリシー管理装置の動作は、図11、図12に示す動作において、「起動イベント」を「ポリシー変更イベント」に置き換えたものと同様である。
次に、ポリシー管理装置3における各処理部の動作について詳細に説明する。
制御用VPN処理部306は、利用者装置からポリシーに関するイベント(ポリシーイベント)を受信し、ポリシーイベントの署名が有効であるか否かの検証を行う。なお。ポリシーイベントは、イベント内容とポリシーイベントの発行者の署名からなる。また、ポリシーイベントの種別としては、変更(追加、削除を含む)、電源オン、共通ポリシー実行、利用者装置正当性無し、等がある。また、イベントの内容に応じてイベントオブジェクトを作成する。イベントオブジェクトの種別としてはポリシーイベント(変更イベント)、内部イベント(抽出、生成)等がある。
共通ポリシー管理部305の動作は、図14のフローチャートに示すとおり、イベントの内容に応じて各処理を呼び出すというものである。
次に、ポリシー変更処理部302におけるポリシー変更処理は、図15のフローチャートに示すように、利用者装置から受信するポリシーの変更内容に応じて、ポリシーDB内の該当する利用者装置のポリシーを変更するというものである。すなわち、接続相手が変更した場合には、関連ポリシー抽出処理を行ない、条件変更であれば共通ポリシー生成処理を行う等である。ポリシーDB301は 例えば、図16に示す内容となっている。
関連ポリシー抽出処理部303では、ある個別ポリシーにおける接続相手の利用者装置をポリシーDB301から検索し、その利用者装置に関係する個別ポリシーや共通ポリシーを抽出する。また、対象とする利用者装置間に対応する共通ポリシーが存在しない場合には共通ポリシー生成処理部304に共通ポリシー生成処理を行わせる。
共通ポリシー生成処理部304では、図17のフローチャートに示すように、複数の個別ポリシー間の共通部分をポリシーDBから検索し、共通ポリシーを作成する処理を行う。
例えば、図18に示すように、(a)の個別ポリシーと、(b)の個別ポリシーとから、(c)の共通ポリシーが生成される。例えば、(a)の個別ポリシーは、R00001のルータに対して、接続先がR0002、相手(R0002)を許可する条件がIPSEC3、PKC、ポリシーの有効期間が03/10/21−04/3/21、変更日が03/10/21、ポリシーが未実行等の情報を含む。ここで、IPSEC3はIPSECでのセキュリティレベルを示すものであり、例えば、IPSEC1、IPSEC2、IPSEC3の順でセキュリティレベルを高くするといった具合である。また、PKCは公開鍵証明書を用いて相互認証を行うことを意味している。
(c)の共通ポリシーに基づくVPNの設定が、R0001とR0002においてなされ、R0001とR0002の間のVPNが構築される。なお、(c)に示す共通ポリシーは抽象的に記載されているが、共通ポリシーは、この内容に従ったVPN設定情報に変換されて各利用者装置に送られる。例えば、各レベルから、そのレベルに対応する具体的な設定内容への変換方法をルール化しておき、そのルールに従って具体的なVPN設定情報(例えば、IPsecのパラメータ)を生成することが可能である。
このように、VPNの両端の装置で共通のポリシーを作成し、安全な通信路を介して両装置に配布するので、従来のように、オフラインで一方の装置側から他方の装置側に設定情報を運ぶといったことが不要となる。また、一方の装置と他方の装置で設定内容に不整合が生じることもなくなる。結果として、VPNを自動的に迅速に構築できるようになる。
次に、利用者装置における各処理部の動作について説明する。
制御用VPN処理部107は、ポリシー管理装置3から共通ポリシーイベントを受信し、共通ポリシーイベントの署名の有効性を検証し、VPNポリシー実行・判定処理を行う。なお、ポリシー管理装置3から送られる共通ポリシーイベントは、共通ポリシー内容及び共通ポリシーの発行者の署名からなる。
図19に示すように、VPNポリシー実行・判定処理部105では、共通ポリシーの実行もしくは判定処理が行われる。
共通ポリシーが実行されると、共通ポリシーがIPSECパラメータとして設定される(ステップ201)。設定処理が正常であれば、共通ポリシー実行イベント(正常終了)を作成し、制御用VPN処理部107を介してポリシー管理装置3に通知する(ステップ203)。異常であれば、共通ポリシー実行イベント(異常終了)を作成し、ポリシー管理装置3に通知する(ステップ204)。また、共通ポリシーが、フィルタに変更があることを示している場合には、その変更内容に基づきFWの調整を行う(ステップ205、206)。判定処理では、ポリシー生成・修正・検証APによる検証や、接続装置認証APによる接続装置の認証が行われる。なお、FW調整処理部106は、外部FWがある場合には、変更内容を外部FWにフィルタパラメータに変換してリモートにて設定を行う。
図20に示すように、ポリシー生成・修正・検証APでは、例えば、管理装置の操作者の選択により、ポリシー生成、修正等を実行する。そして、ポリシーに署名を付して出力を行う。図21にポリシーデータの構成例を示す。
利用者I/F処理部104は、管理者(操作者)の検証、ポリシー管理部102の起動等を行う。また、ポリシー管理部102は、図22に示すように、管理メニュー表示を行い、操作者からの指示に基づき、必要なAPを呼び出す処理を行う。また、ポリシー変更イベントを作成し、制御用VPNを介してポリシー管理装置3に通知する。接続装置認証APは、接続装置の認証のための処理を行う。
なお、本発明は、上記の実施例に限定されることなく、特許請求の範囲内で種々変更・応用が可能である。
1、2、6 利用者装置
3 ポリシー管理装置
4 制御用VPN
5 データ提供装置
3 ポリシー管理装置
4 制御用VPN
5 データ提供装置
Claims (12)
- 第1の利用者装置及び第2の利用者装置を含む複数の利用者装置間でVPNを構築する方法であって、
複数の個別ポリシーから共通ポリシーを生成するポリシー管理装置と第1の利用者装置との間、及び当該ポリシー管理装置と第2の利用者装置との間に制御用VPNを構築する制御用VPN構築ステップと、
ポリシー管理装置が、第1の利用者装置及び第2の利用者装置から各々の個別ポリシーを前記制御用VPNを介して受信する個別ポリシー受信ステップと、
ポリシー管理装置が、第1の利用者装置及び第2の利用者装置の個別ポリシーから共通ポリシーを生成し、当該共通ポリシーを第1の利用者装置及び第2の利用者装置に前記制御用VPNを介して配布する共通ポリシー配布ステップと、
第1の利用者装置及び第2の利用者装置の各々が、前記共通ポリシーに基づき、第1の利用者装置と第2の利用者装置との間のVPN通信のための設定をするVPN設定ステップと
を有することを特徴とする方法。 - ポリシー管理装置は、利用者装置から受信した個別ポリシーと、生成した共通ポリシーとを含む情報を格納するポリシーデータベースを備え、
ポリシー管理装置が一の利用者装置から個別ポリシーを受信すると、当該個別ポリシーが、既に格納されている当該一の利用者装置の個別ポリシーと異なる場合に、当該一の利用者装置とともにVPNを構成する他の利用者装置の個別ポリシーを前記ポリシーデータベースから抽出し、当該一の利用者装置と他の利用者装置に共通の共通ポリシーを生成し、当該共通ポリシーを当該一の利用者装置と他の利用者装置に配布するステップを更に有する請求項1に記載の方法。 - 前記制御用VPN構築ステップにおいて、第1の利用者装置及び第2の利用者装置は、前記制御用VPNを自動的に構築するための情報を、ネットワークに接続されたデータ提供装置から取得し、
第1の利用者装置及び第2の利用者装置は、互いの認証に用いる証明書情報を当該データ提供装置から取得する請求項1に記載の方法。 - 第1の利用者装置及び第2の利用者装置は、互いの認証に用いる証明書情報をポリシー管理装置から取得する請求項1に記載の方法。
- 第1の利用者装置の配下に第3の利用者装置が配置されている場合において、
第3の利用者装置が、当該第3の利用者装置の個別ポリシーを、第1の利用者装置を経由して前記制御用VPNを介してポリシー管理装置に送信するステップと、
ポリシー管理装置は、第3の利用者装置の個別ポリシーと第2の利用者装置の個別ポリシーとから第3の利用者装置と第2の利用者装置に共通の共通ポリシーを生成し、当該共通ポリシーがポリシー管理装置から第1の利用者装置を経由して第3の利用者装置に送信されるように第1の利用者装置のルーティング情報を設定し、当該共通ポリシーを第3の利用者装置と第2の利用者装置に送信するステップと、
第3の利用者装置及び第2の利用者装置の各々が、当該共通ポリシーに基づき、第3の利用者装置と第2の利用者装置との間のVPN通信のための設定をするステップと
を更に有する請求項1に記載の方法。 - 複数の利用者装置における個別ポリシーから、VPN構築のための共通ポリシーを生成して各利用者装置に配布するポリシー管理装置であって、
第1の利用者装置との間、及び第2の利用者装置との間で制御用VPNを介した通信を行う手段と、
第1の利用者装置及び第2の利用者装置から各々の個別ポリシーを前記制御用VPNを介して受信し、格納する手段と、
第1の利用者装置及び第2の利用者装置の個別ポリシーから共通ポリシーを生成し、当該共通ポリシーを第1の利用者装置及び第2の利用者装置に前記制御用VPNを介して配布する手段とを備え、
第1の利用者装置及び第2の利用者装置の各々は、前記共通ポリシーに基づき、第1の利用者装置と第2の利用者装置との間のVPN通信のための設定をすることを特徴とするポリシー管理装置。 - 前記ポリシー管理装置は、利用者装置から受信した個別ポリシーと、生成した共通ポリシーを含む情報を格納するポリシーデータベースを備え、
一の利用者装置から個別ポリシーを受信すると、当該個別ポリシーが、既に格納されている当該一の利用者装置の個別ポリシーと異なる場合に、当該一の利用者装置とともにVPNを構成する他の利用者装置の個別ポリシーを前記ポリシーデータベースから抽出し、当該一の利用者装置と他の利用者装置とに共通の共通ポリシーを生成し、当該共通ポリシーを当該一の利用者装置と他の利用者装置に配布する手段を更に備えた請求項6に記載のポリシー管理装置。 - ポリシー管理装置から共通ポリシーを受信して、その共通ポリシーに基づき他の利用者装置との間でVPN通信を行う利用者装置であって、
当該利用者装置における個別ポリシーの作成もしくは修正を利用者に行わせる手段と、
作成もしくは修正された個別ポリシーを、利用者装置とポリシー管理装置間の制御用VPNを介してポリシー管理装置に送信する手段と、
ポリシー管理装置から、当該利用者装置と前記他の利用者装置とに共通の共通ポリシーを、前記制御用VPNを介して受信する手段と、
受信した共通ポリシーに基づき、前記他の利用者装置とVPN通信を行うための設定をする手段と
を備えたことを特徴とする利用者装置。 - 前記利用者装置は、耐タンパチップを備え、該耐タンパチップにおいて、個別ポリシー及び共通ポリシーの検証、及び接続される他の利用者装置の検証を含む処理を行う請求項8に記載の利用者装置。
- コンピュータを、複数の利用者装置における個別ポリシーから、VPN構築のための共通ポリシーを生成して各利用者装置に配布するポリシー管理装置として機能させるプログラムであって、コンピュータを、
第1の利用者装置との間、及び第2の利用者装置との間で制御用VPNを介した通信を行う手段、
第1の利用者装置及び第2の利用者装置から各々の個別ポリシーを前記制御用VPNを介して受信し、格納する手段、
第1の利用者装置及び第2の利用者装置の個別ポリシーから共通ポリシーを生成し、当該共通ポリシーを第1の利用者装置及び第2の利用者装置に前記制御用VPNを介して配布する手段
として機能させるプログラム。 - 前記コンピュータは、利用者装置から受信した個別ポリシーと、生成した共通ポリシーとを含む情報を格納するポリシーデータベースを備え、
一の利用者装置から個別ポリシーを受信すると、当該個別ポリシーが、既に格納されている当該一の利用者装置の個別ポリシーと異なる場合に、当該一の利用者装置とともにVPNを構成する他の利用者装置の個別ポリシーを前記ポリシーデータベースから抽出し、当該一の利用者装置と他の利用者装置とに共通の共通ポリシーを生成し、当該共通ポリシーを当該一の利用者装置と他の利用者装置に配布する手段を更に備えた請求項10に記載のプログラム。 - コンピュータを、ポリシー管理装置から共通ポリシーを受信して、その共通ポリシーに基づき他の利用者装置との間でVPN通信を行う利用者装置として機能させるプログラムであって、コンピュータを、
当該利用者装置における個別ポリシーの作成もしくは修正を利用者に行わせる手段と、
作成もしくは修正された個別ポリシーを、利用者装置とポリシー管理装置間の制御用VPNを介してポリシー管理装置に送信する手段、
ポリシー管理装置から、当該利用者装置と前記他の利用者装置とに共通の共通ポリシーを、前記制御用VPNを介して受信する手段、
受信した共通ポリシーに基づき、前記他の利用者装置とVPN通信を行うための設定をする手段
として機能させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003369383A JP3751622B2 (ja) | 2003-10-29 | 2003-10-29 | Vpnの自動構築方法、ポリシー管理装置、及び利用者装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003369383A JP3751622B2 (ja) | 2003-10-29 | 2003-10-29 | Vpnの自動構築方法、ポリシー管理装置、及び利用者装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005136631A true JP2005136631A (ja) | 2005-05-26 |
| JP3751622B2 JP3751622B2 (ja) | 2006-03-01 |
Family
ID=34646758
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003369383A Expired - Lifetime JP3751622B2 (ja) | 2003-10-29 | 2003-10-29 | Vpnの自動構築方法、ポリシー管理装置、及び利用者装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3751622B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013189754A (ja) * | 2012-03-12 | 2013-09-26 | Tokai Rika Co Ltd | 電子キー登録システム |
| JP2013194393A (ja) * | 2012-03-16 | 2013-09-30 | Tokai Rika Co Ltd | 電子キー登録システム |
-
2003
- 2003-10-29 JP JP2003369383A patent/JP3751622B2/ja not_active Expired - Lifetime
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013189754A (ja) * | 2012-03-12 | 2013-09-26 | Tokai Rika Co Ltd | 電子キー登録システム |
| JP2013194393A (ja) * | 2012-03-16 | 2013-09-30 | Tokai Rika Co Ltd | 電子キー登録システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3751622B2 (ja) | 2006-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8838965B2 (en) | Secure remote support automation process | |
| US10003458B2 (en) | User key management for the secure shell (SSH) | |
| US20190075134A1 (en) | Restrictions on use of a key | |
| KR101353725B1 (ko) | 무선 네트워크내의 보안 키 관리 방법 및 시스템 | |
| US9606809B2 (en) | Computer with flexible operating system | |
| US7836483B2 (en) | Automatic derivation of access control policies from a choreography | |
| EP1986118A2 (en) | System and method for managing digital certificates on a remote device | |
| CN109768965A (zh) | 一种服务器的登录方法、设备及存储装置 | |
| JP2005284985A (ja) | ネットワーク対応機器、ネットワーク対応機器を保守する保守方法、プログラム、プログラムが記録された媒体及び保守システム | |
| CN103648090A (zh) | 一种实现智能移动终端安全可信的方法和系统 | |
| JP2017097542A (ja) | 認証制御プログラム、認証制御装置、及び認証制御方法 | |
| US9832232B1 (en) | System and method for on-line and off-line streaming application isolation | |
| JP6571890B1 (ja) | 電子署名システム、証明書発行システム、証明書発行方法及びプログラム | |
| JP7187209B2 (ja) | 情報処理装置、その制御方法とそのプログラム | |
| CN109067809A (zh) | 安全组件的权限配置方法、装置、设备及存储介质 | |
| JP3751622B2 (ja) | Vpnの自動構築方法、ポリシー管理装置、及び利用者装置 | |
| CN111461718A (zh) | 区块链节点的接入方法、装置及系统 | |
| JP6873066B2 (ja) | 認証装置、認証方法および認証システム | |
| JP2017152877A (ja) | 電子鍵再登録システム、電子鍵再登録方法およびプログラム | |
| KR20150030047A (ko) | 애플리케이션 인증 방법 및 그 시스템 | |
| KR102284183B1 (ko) | 웹 기반 sql 툴을 이용한 접근 제어 시스템 및 방법 | |
| KR100643198B1 (ko) | 통합콘솔 시스템을 이용한 원격 서버 관리방법 | |
| WO2017159067A1 (ja) | 情報処理装置およびエージェントシステム | |
| CN113805896B (zh) | 远程部署的方法、系统、设备和可读存储介质 | |
| US11924045B2 (en) | Connectivity management system client inventory and configuration operation for interconnected connectivity management clients |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051024 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051206 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051207 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3751622 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091216 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091216 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101216 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111216 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121216 Year of fee payment: 7 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131216 Year of fee payment: 8 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |