JP2005328108A - ネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法 - Google Patents

ネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法 Download PDF

Info

Publication number
JP2005328108A
JP2005328108A JP2004141764A JP2004141764A JP2005328108A JP 2005328108 A JP2005328108 A JP 2005328108A JP 2004141764 A JP2004141764 A JP 2004141764A JP 2004141764 A JP2004141764 A JP 2004141764A JP 2005328108 A JP2005328108 A JP 2005328108A
Authority
JP
Japan
Prior art keywords
terminal
authentication server
information
network
router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004141764A
Other languages
English (en)
Other versions
JP4572086B2 (ja
Inventor
Tatsuya Ichimura
達也 市村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2004141764A priority Critical patent/JP4572086B2/ja
Publication of JP2005328108A publication Critical patent/JP2005328108A/ja
Application granted granted Critical
Publication of JP4572086B2 publication Critical patent/JP4572086B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 ネットワークに接続された端末を自動的に一元管理可能なネットワークを提供する。
【解決手段】 ルータ3−1,3−2はセグメント#1〜#3間におけるIP通信を中継するとともに、監視対象セグメントに接続された端末1−1,1−2を検出し、監視対象セグメントに存在する端末情報をテーブル化して認証サーバ4に送信する。認証サーバ4は端末位置や端末稼動情報、利用者情報を収集して台帳化し、収集した情報を基にパケットフィルタリング・ポリシーを生成してルータ3−1,3−2へ配信する。ルータ3−1,3−2は認証サーバ4の指示によって動的にパケットフィルタリング規則を生成する。ダウンロード・サーバ5は認証サーバ4が端末1−1,1−2の稼動情報や利用者情報を収集するための常駐ソフトウェアと、最新のパッチやウィルス定義ファイルとを提供する。
【選択図】 図1

Description

本発明はネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法に関し、特に認証サーバ装置とルータ装置との連携による端末台帳管理、フィルタリング・ポリシー管理に関する。
近年、インタネットや電子メールの普及に伴って、それらを用いたコンピュータウィルスの感染が急増している。このコンピュータウィルスは、OS(Operating System)やアプリケーションソフトウェアのセキュリティホールを塞ぐための最新パッチを適用していない端末に急激に広まっており、多くの企業をネットワークの輻輳によるサービス停止に追い込む危険がある。このコンピュータウィルスの感染対策や最新パッチの適用という作業は個人のモラルに任されている。
また、悪質な利用者がイントラネット内の端末を勝手に利用し、ネットワーク機器に対する攻撃や、データの改ざん、傍受等を行う犯罪も増えているが、利用者認証を行うことで、被害を最小限に留めることが可能となる。
端末のネットワーク接続を制御する従来のシステムには、端末に専用の常駐ソフトウェアをインストールすることによって、端末稼動状態や利用者情報を遠隔で収集するサーバ型システム(例えば、特許文献1,3参照)と、ネットワーク機器が接続端末の認証を行うネットワーク型システム(例えば、特許文献2参照)との2種類が存在する。
特開2003−174482号公報 特開2002−325077号公報 特開平11−102333号公報
上述した従来のシステムでは、サーバ型システムとネットワーク型システムとの全く独立なシステムがあるが、これらにはセキュリティ上、不完全な部分が存在する。
例えば、ネットワーク型システムにおいては、ネットワークへの接続が一度許可された端末が、その利用者が誰(不正利用者)に変わっても、設定されたポリシーにしたがってイントラネット内で自由に通信することができてしまうという問題がある。
また、ある端末の状態がセキュリティ上、脆弱な状態に遷移した場合、その状態を管理者側で即時に把握することは可能であるが、その端末をネットワークから切離すには手作業で行わなければならない。また、端末の切離し処置が遅れると、コンピュータウィルスが拡散する恐れがある。
そこで、本発明の目的は上記の問題点を解消し、ネットワークに接続された端末を自動的に一元管理することができるネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法を提供することにある。
本発明によるネットワークは、端末の稼動状態と利用者認証とを少なくとも行う認証サーバ装置と、組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行う複数のルータ装置とを含むネットワークであって、
前記端末からのARP(Address Resolution Protocol)を聴取して当該端末の端末情報を取得する手段と、その取得した端末情報を前記認証サーバ装置へ通知する手段とを前記ルータ装置に備え、
前記認証サーバ装置が前記端末情報に基づいて前記端末の稼動状態の取得と前記利用者認証とを少なくとも行っている。
本発明による認証サーバ装置は、端末の稼動状態と利用者認証とを少なくとも行う認証サーバ装置であって、
組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行う複数のルータ装置において前記端末からのARP(Address Resolution Protocol)を聴取して取得した当該端末の端末情報に基づいて前記端末の稼動状態の取得と前記利用者認証とを少なくとも行う手段を備えている。
本発明によるルータ装置は、組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行うルータ装置であって、
前記端末からのARP(Address Resolution Protocol)を聴取することで認証サーバ装置において行われる前記端末の稼動状態の取得と利用者認証とに用いられる端末情報を取得する手段と、その取得した端末情報を前記認証サーバ装置へ通知する手段とを備えている。
本発明による端末管理方法は、端末の稼動状態の取得と利用者認証とを少なくとも行う認証サーバ装置と、組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行う複数のルータ装置とを含むシステムにおいて前記端末のネットワークへの接続を管理する端末管理方法であって、前記ルータ装置側に、前記端末からのARP(Address Resolution Protocol)を聴取して当該端末の端末情報を取得するステップと、その取得した端末情報を前記認証サーバ装置へ通知するステップとを備え、前記認証サーバ装置が前記端末情報に基づいて前記端末の稼動状態の取得と前記利用者認証とを少なくとも行っている。
すなわち、本発明のネットワークは、端末の稼動状態や利用者認証を行う認証サーバと、組織内ネットワーク(以下、イントラネットとする)を形成する全てのルータ装置とが連携することによって、端末毎に中継可能な宛先ネットワークを動的に制御するシステムである。
本発明のネットワークでは、認証サーバによる端末・利用者管理と、ルータ装置による接続先ネットワーク管理とを一体で行うことを可能とし、端末台帳管理と、端末の稼動状態、端末利用者情報に基づくフィルタリング制御とが実現可能となる。
本発明のネットワークでは、端末の稼動状態の取得や利用者認証を行う認証サーバと、イントラネット内でIP(Internet Protocol)パケットの中継を行う全てのルータ装置(複数のルータ装置)が連携することによって、端末毎に中継可能な宛先ネットワークを動的に制御することを可能としている。
本発明のネットワークでは、認証サーバによる端末・利用者管理と、ルータ装置による接続先ネットワーク管理とを一体で行うことが可能となり、端末台帳管理と、端末の稼動状態、端末利用者情報に基づくフィルタリング制御とが実現可能となる。
本発明のネットワークでは、上記のルータ装置をイントラネットの各サブネット間の中継機器として使用することによって、利用者や端末が、発生する不正なパケットをサブネット外へ送出しないように制御することが可能なため、DoS攻撃(Denial of Service attack:サービス拒否攻撃)やウィルス拡散による被害をそのサブネット内に留めることが可能になる。
本発明は、以下に述べるような構成及び動作とすることで、ネットワークに接続された端末を自動的に一元管理することができるという効果が得られる。
次に、本発明の実施例について図面を参照して説明する。図1は本発明の一実施例によるネットワークの構成を示すブロック図である。図1において、本発明の一実施例によるネットワークは端末1−1,1−2と、IC(Integrated Circuit)カードリーダ2−1,2−2と、ルータ3−1,3−2と、認証サーバ4と、ダウンロードサーバ5とから構成されている。
端末1−1,1−2はイントラネット内に存在し、図示せぬスイッチングハブ等を介してルータ3−1,3−2に接続することによって、ネットワークに接続されている。尚、各端末1−1,1−2には稼動情報(及び適用済みのパッチ及びウィルス定義ファイルのバージョン情報)と利用者情報とを認証サーバ4に提供する機能を持ち、認証サーバ4における自身の管理レベル(以下、端末管理レベルとする)の表示を行うことができる専用のソフトウェア(以下、常駐ソフトウェアとする)がインストールされる。
ICカードリーダ2−1,2−2は端末1−1,1−2にそれぞれ接続されており、利用者認証に使用するICカード(図示せず)の接続を行うためのリーダである。つまり、ICカードリーダ2−1,2−2がICカードから読取った利用者認証に使用する情報は端末1−1,1−2に送られる。
ルータ3−1,3−2はセグメント#1〜#3間におけるIP(Internet Protocol)通信を中継するルーティング機能と、監視対象セグメント(図1の場合、ルータ3−1はセグメント#2、ルータ3−2はセグメント#3が監視対象セグメント)に接続された端末1−1,1−2を検出し、監視対象セグメントに存在する端末情報をテーブル化して(以下、テーブル化されたものを端末テーブルとする)認証サーバ4に送信する機能と、認証サーバ4の指示によって動的にパケットフィルタリング規則を生成する機能とを備えている。
認証サーバ4は端末位置や端末稼動情報、利用者情報を収集して台帳化する機能と、収集した情報を基にパケットフィルタリング・ポリシーを生成する機能と、そのパケットフィルタリング・ポリシーをルータ3−1,3−2へ配信する機能とを備えている。
ダウンロード・サーバ5は認証サーバ4が端末1−1,1−2の稼動情報や利用者情報を収集するために、端末1−1,1−2にインストールする常駐ソフトウェアと、最新のパッチやウィルス定義ファイルのダウンロードサービスを提供する機能とを備えている。
図2は図1の端末の構成を示すブロック図である。図2において、端末1は常駐ソフトウェア部11と、ICカードリーダ接続部12とを含んで構成され、常駐ソフトウェア部11は提供機能111を備えている。尚、図1に示す端末1−1,1−2は上記の端末1と同様の構成となっている。
常駐ソフトウェア部11は認証サーバ4における自身の管理レベル(以下、端末管理レベルとする)の表示を行うことができる専用のソフトウェア(以下、常駐ソフトウェアとする)がインストールされる記憶部である。常駐ソフトウェア部11の提供機能111は稼動情報(及び適用済みのパッチ及びウィルス定義ファイルのバージョン情報)と利用者情報とを認証サーバ4に提供する機能である。ICカードリーダ接続部12にはICカードリーダ2−1,2−2が接続され、ICカードリーダ2−1,2−2がICカードから読取った利用者認証に使用する情報を取得する。
図3は図1のルータの構成を示すブロック図である。図3において、ルータ3はルーティング機能31と、端末検出機能32と、端末テーブル33と、送受信機能34と、パケットフィルタリング機能35と、トラフィック量観測機能36とを含んで構成されている。パケットフィルタリング機能35は動的フィルタリング規則生成機能35aと、パケットフィルタリング処理機能35bとを備えている。尚、ルータ3−1,3−2は上記のルータ3と同様の構成となっている。
ルーティング機能31はセグメント#1〜#3間におけるIP通信を中継し、端末検出機能32は監視対象セグメント(図1の場合、ルータ3−1はセグメント#2、ルータ3−2はセグメント#3が監視対象セグメント)に接続された端末1−1,1−2を検出する。
端末テーブル33は監視対象セグメントに存在する端末情報をテーブル化したものである。送受信機能34は端末テーブル33を認証サーバ4に送信する機能を含んでいる。パケットフィルタリング機能35は認証サーバ4の指示によって動的にパケットフィルタリング規則を生成する。
パケットフィルタリング機能35の動的フィルタリング規則生成機能35aは認証サーバ4から配信されるパケットフィルタリング・ポリシーに基づいて動的にフィルタリング規則を生成する。パケットフィルタリング処理機能35bは監視対象セグメントにおける送受信パケットのフィルタリング処理を行う。
トラフィック量観測機能36は異常に大きなトラフィックを送信し続けている端末を発見した時に、その情報を認証サーバ4に送信し、認証サーバ4からの指示に基づいてそのトラフィックをフィルタリングする機能である。
図4は図1の認証サーバの構成を示すブロック図である。図4において、認証サーバ4は情報収集機能41と、パケットフィルタリング・ポリシー生成機能42と、フィルタリング・ポリシー配信機能43とを含んで構成されている。
情報収集機能41は端末1−1,1−2の位置や端末1−1,1−2の稼動情報、利用者情報を収集して台帳化する機能である。パケットフィルタリング・ポリシー生成機能42は情報収集機能41にて収集した情報を基にパケットフィルタリング・ポリシーを生成する機能である。フィルタリング・ポリシー配信機能43はパケットフィルタリング・ポリシー生成機能42で生成されたパケットフィルタリング・ポリシーをルータ3−1,3−2へ配信する機能である。
図5は図1のダウンロード・サーバの構成を示すブロック図である。図5において、ダウンロード・サーバ5は常駐ソフトウェア部51と、ダウンロードサービス機能52とを含んで構成されている。
常駐ソフトウェア部51は、認証サーバ4が端末1−1,1−2の稼動情報や利用者情報を収集するために、端末1−1,1−2にインストールされる常駐ソフトウェアを格納し、ダウンロードサービス機能52は最新のパッチやウィルス定義ファイルのダウンロードサービスを提供する。
図6は図1のルータ3−1,3−2における端末テーブル生成手順を示すフローチャートであり、図7は図3の端末テーブル33に用いられるエイジングタイマの処理を示すフローチャートであり、図8は図3の端末テーブル33の構成例を示す図である。これら図1と図3と図6〜図8とを参照してルータ3−1,3−2における端末テーブル生成手順について説明する。
端末テーブル33には、ルータ3−1,3−2が監視セグメントを流れる全てのARP(Address Resolution Protocol)通信を聴取することによって得た、監視セグメントに接続されている全てのホストの情報が登録される。ここで、ARPはIPアドレスからMAC(Media Access Control)アドレス等のハードウェアのアドレスを得るためのプロトコルである。
図8において、端末テーブル33にはIPアドレス(「192.168.0.1」,「192.168.0.2」)と、MACアドレス(「aaaa.aaaa.aaaa」,「bbbb.bbbb.bbbb」)と、エイジングタイマ(「残り10分」,「残り20分」)とが保持されている。
上記のルータ3−1,3−2における端末テーブル生成手順について詳細に説明する。ルータ3−1,3−2は端末からARP Requestを受信すると(図6ステップS1)、端末テーブル33にARP Requestを送信した端末のIPアドレスが登録されていなければ(図6ステップS2)、そのIPアドレスを端末テーブル33に登録し(図6ステップS3)、その登録したエントリのエイジングタイマに初期値(例えば、「残り30分」等)を設定し(図6ステップS4)、端末テーブル33のエントリ変更情報を認証サーバ4に送信する(図6ステップS9)。
また、ルータ3−1,3−2は端末テーブル33にARP Requestを送信した端末のIPアドレスが登録されていれば(図6ステップS2)、既に同じIPアドレスとMACアドレスとの組が登録されているかを調べる(図6ステップS5)。
ルータ3−1,3−2は既に同じIPアドレスとMACアドレスとの組が登録されていれば、該当エントリのエイジングタイマをリセットして初期値を設定し(図6ステップS6)、ステップS1に戻って端末からのARP Requestの受信を待ち合わせる。
一方、ルータ3−1,3−2は既に同じIPアドレスとMACアドレスとの組が登録されていなければ、新たなIPアドレスとMACアドレスとの組を、古いIPアドレスとMACアドレスとの組に上書きし(図6ステップS7)、そのエントリのエイジングタイマをリセットして初期値を設定し(図6ステップS8)、端末テーブル33のエントリ変更情報を認証サーバ4に送信する(図6ステップS9)。
端末テーブル33に登録されているエントリの削除は、エイジングタイマによって実行する。エイジングタイマにはエントリが端末テーブル33に登録される毎に初期値が設定され(図7ステップS11)、既に登録されているホストからARP Requestを受信する毎に出力されるエイジングタイマのリセットを受信すると(図7ステップS12)、該当するエントリのエイジングタイマに初期値が設定される(図7ステップS13)。尚、端末テーブル33におけるエイジングタイマの初期値については、認証サーバ4の負荷を考慮して十分に長い時間が望ましい。端末テーブル33の例は、上記のように、図8に示している。
端末テーブル33のどのエントリのエイジングタイマに対してもリセットを受信しなければ(図7ステップS12)、各エントリのエイジングタイマのカウント処理が行われる(図7ステップS14)。ルータ3−1,3−2はエイジングタイマが満了になると(図7ステップS15)、端末テーブル33のエントリを削除し(図7ステップS16)、端末テーブル33のエントリ変更情報を認証サーバ4に送信する(図7ステップS17)。また、ルータ3−1,3−2はエイジングタイマが満了にならなければ(図7ステップS15)、ステップS12に戻って上記の処理を繰り返し行う。
図9は図4の情報収集機能41が収集した情報を台帳化した構成例を示す図であり、図10は図9に示す台帳化した情報を基に作成されたパケットフィルタリング・ポリシーの一例を示す図であり、図11及び図12は図1の端末1−1,1−2におけるネットワークへの接続処理を示すシーケンスチャートであり、図13は図1の認証サーバ4における情報収集を示すシーケンスチャートである。これら図1と図2と図4と図9〜図13とを参照して認証サーバ4における情報収集について説明する。
ここで、図11は、図1の端末1−1,1−2がネットワークに物理的に接続された時点で常駐ソフトウェアをダウンロードすることによって、認証サーバ4から端末の情報収集を可能とする場合の処理を示している。また、図12は、図1の端末1−1,1−2がネットワークに物理的に接続された時点で常駐ソフトウェアをダウンロードせずに、認証サーバ4による利用者認証に失敗する場合の処理を示している。
まず、端末1−1,1−2はネットワークに物理的に接続された時点で、認証サーバ4の台帳に登録されていない。また、ルータ3−1,3−2は、通常、すべてのパケットを廃棄するように動作しており、認証サーバ4からのパケットフィルタリング・ポリシーによって、認証サーバ4及びダウンロードサーバ5への通信のみを許可し、その後にすべての通信を許可するというように設定されていく。
すなわち、ルータ3−1,3−2は、ネットワークに接続された端末1−1,1−2からARP Requestを聴取すると(図11のa1)、端末テーブル33のエントリを更新し(図11のa2)、更新情報(MACアドレス、IPアドレス)を認証サーバ4に送信する(図11のa3)。
認証サーバ4の情報収集機能41においては、端末1−1,1−2の位置情報の収集を、各ルータ3−1,3−2から配信される端末テーブル33の情報(更新情報)を基に実行する。その後に、情報収集機能41は、端末テーブル33に登録されている各端末1−1,1−2のアドレス情報を基に各端末1−1,1−2から利用者情報等[OS(Operating System)種別、適用済みパッチ/適用済みウィルス定義ファイルのバージョン情報、利用者情報]を収集するために、利用者情報等要求を端末1−1,1−2に送信する(図11のa4)。
しかしながら、端末1−1,1−2には常駐ソフトウェアがインストールされていないため、認証サーバ4は利用者情報等データの取得に失敗するので(図11のa5)、端末1−1,1−2に対して認証サーバ4及びダウンロードサーバ5以外へのアクセスを遮断するためのパケットフィルタリング・ポリシーを生成し(図11のa6)、ルータ3−1,3−2に配信し(図11のa7)、各ルータ3−1,3−2のフィルタリング設定を行う(図11のa8)。
そこで、端末1−1,1−2はダウンロードサーバ5に常駐ソフトウェア要求を送信し(図11のa9)、ダウンロードサーバ5から常駐ソフトウェアが送られてくると(図11のa10)、その常駐ソフトウェアの常駐ソフトウェア部11へのインストールを行う(図11のa11)。
利用者情報の認証にはディジタル証明書による認証を使用する。このディジタル証明書はICカードの作成時に、図示せぬデータベースに登録して管理しており、認証サーバ4が端末1−1,1−2の認証に用いる台帳にはデータベースの内容が反映されるようになっており、データベースの内容が変更されると、その変更内容が台帳に即座に反映される。
利用者情報の認証を行う場合、端末利用者は端末1−1,1−2にICカードリーダ2−1,2−2を接続し、ICカードリーダ2−1,2−2によってICカードからディジタル証明書を読取らせ、そのICカードから読取らせたディジタル証明書を端末1−1,1−2から認証サーバ4に送信させる。認証サーバ4はICカードから読取ったディジタル証明書を基に、組織に許可された利用者か否かの認証を行う。
つまり、端末1−1,1−2に接続されたICカードリーダ2−1,2−2にICカードが挿入されると(図11のa12)、端末1−1,1−2はネットワークへの接続通知を認証サーバ4に送る(図11のa13)。認証サーバ4は端末1−1,1−2からネットワークへの接続通知が送られてくると、端末1−1,1−2の稼働状態を更新するために、台帳の更新を行う(図11のa14)。
認証サーバ4は更新した台帳を基に、パケットフィルタリング・ポリシーを生成してルータ3−1,3−2に送るので(図11のa15)、ルータ3−1,3−2ではそのパケットフィルタリング・ポリシーに基づいたフィルタリング設定が行われる(図11のa16)。この状態で、端末1−1,1−2からネットワークへのIPパケットが送信されてくると(図11のa17)、ルータ3−1,3−2は上記のフィルタリング設定に基づいて、上記のIPパケットを転送する(図11のa18)。
一方、ICカードがICカードリーダ2−1,2−2から取り外された場合、端末1−1,1−2の常駐ソフトウェア部11はその情報を認証サーバ4へ通知する。つまり、端末1−1,1−2に接続されたICカードリーダ2−1,2−2からICカードが抜去されると(図11のa19)、端末1−1,1−2はネットワークの切断通知を認証サーバ4に送る(図11のa20)。
認証サーバ4は端末1−1,1−2からネットワークの切断通知が送られてくると、端末1−1,1−2の稼働状態を更新するために、台帳の更新を行う(図11のa21)。認証サーバ4は更新した台帳を基に、パケットフィルタリング・ポリシーを生成してルータ3−1,3−2に送るので(図11のa22)、上記と同様に、ルータ3−1,3−2にはそのパケットフィルタリング・ポリシーに基づいたフィルタリング設定が行われる。
次に、図1の端末1−1,1−2がネットワークに物理的に接続された時点で常駐ソフトウェアをダウンロードせずに、認証サーバ4による利用者認証に失敗する場合の処理について説明する。まず、ルータ3−1,3−2は、ネットワークに接続された端末1−1,1−2からARP Requestを聴取すると(図12のb1)、端末テーブル33のエントリを更新し(図12のb2)、更新情報(MACアドレス、IPアドレス)を認証サーバ4に送信する(図12のb3)。
認証サーバ4の情報収集機能41においては、端末1−1,1−2の位置情報の収集を、各ルータ3−1,3−2から配信される端末テーブル33の情報(更新情報)を基に実行する。その後に、情報収集機能41は、端末テーブル33に登録されている各端末1−1,1−2のアドレス情報を基に各端末1−1,1−2から利用者情報等[OS(Operating System)種別、適用済みパッチ/適用済みウィルス定義ファイルのバージョン情報、利用者情報]を収集するために、利用者情報等要求を端末1−1,1−2に送信する(図12のb4)。
しかしながら、端末1−1,1−2には常駐ソフトウェアがインストールされていないため、認証サーバ4は利用者情報等データの取得に失敗するので(図12のb5)、利用者認証に失敗する。よって、認証サーバ4は端末1−1,1−2に対して認証サーバ4及びダウンロードサーバ5以外へのアクセスを遮断するためのパケットフィルタリング・ポリシーを生成し(図12のb6)、ルータ3−1,3−2に配信し(図12のb7)、各ルータ3−1,3−2のフィルタリング設定を行う(図12のb8)。
この場合、端末1−1,1−2には常駐ソフトウェアのインストールが行われていない。この状態で、端末1−1,1−2に接続されたICカードリーダ2−1,2−2にICカードが挿入されると(図12のb9)、端末1−1,1−2はネットワークへの接続通知を認証サーバ4に送る(図12のb10)。認証サーバ4は端末1−1,1−2からネットワークへの接続通知が送られてくると、端末1−1,1−2の稼働状態を更新するために、台帳の更新を行う(図12のb11)。
認証サーバ4は更新した台帳を基に、パケットフィルタリング・ポリシーを生成してルータ3−1,3−2に送るので(図12のb12)、ルータ3−1,3−2ではそのパケットフィルタリング・ポリシーに基づいたフィルタリング設定が行われる(図12のb13)。この時、パケットフィルタリング・ポリシーには端末1−1,1−2からのIPパケットを廃棄するようにフィルタリング設定されている。
したがって、端末1−1,1−2からネットワークへのIPパケットが送信されてくると(図12のb14)、ルータ3−1,3−2は上記のフィルタリング設定に基づいて、上記のIPパケットを廃棄する(図12のb15)。
一方、端末1−1,1−2に接続されたICカードリーダ2−1,2−2からICカードが抜去されると(図12のb16)、端末1−1,1−2はネットワークの切断通知を認証サーバ4に送る(図12のb17)。認証サーバ4は端末1−1,1−2からネットワークの切断通知が送られてくると、端末1−1,1−2の稼働状態を更新するために、台帳の更新を行う(図12のb18)。
認証サーバ4は更新した台帳を基に、パケットフィルタリング・ポリシーを生成してルータ3−1,3−2に送るので(図12のb19)、上記と同様に、ルータ3−1,3−2ではそのパケットフィルタリング・ポリシーに基づいたフィルタリング設定が行われる。
ルータ3−1,3−2においては、上述したように、端末1−1,1−2からARP Requestを聴取すると(図13のc1)、端末テーブル33のエントリを更新し(図13のc2)、更新情報(MACアドレス、IPアドレス)を認証サーバ4に送信する(図13のc3)。
認証サーバ4の情報収集機能41においては、端末1−1,1−2の位置情報の収集を、各ルータ3−1,3−2から配信される端末テーブル33の情報(更新情報)を基に実行する。その後に、情報収集機能41は、端末テーブル33に登録されている各端末1−1,1−2のアドレス情報を基に各端末1−1,1−2から利用者情報等[OS(Operating System)種別、適用済みパッチ/適用済みウィルス定義ファイルのバージョン情報、利用者情報]を収集するために、利用者情報等要求を端末1−1,1−2に送信する(図13のc4)。
端末1−1,1−2にインストールされた常駐ソフトウェアは認証サーバ4から利用者情報等要求を受取ると、利用者情報等データ(OS種別、適用済みパッチ/適用済みウィルス定義ファイルのバージョン情報、利用者情報、稼働情報)を認証サーバ4に送信する(図13のc5)。認証サーバ4の情報収集機能41はこれらの収集した情報を台帳化して管理者に情報提供する(図13のc6)。その台帳化した例を図9に示す。
図9において、台帳化された情報はルータ名(「ルータ#1」,「ルータ#2」)と、IPアドレス(「192.168.0.1」,「192.168.0.2」,「172.16.1.1」,「172.16.1.10」)と、MACアドレス(「aaaa.aaaa.aaaa」,「bbbb.bbbb.bbbb」,「cccc.cccc.cccc」,「xxxx.xxxx.xxxx」)と、OS種別(「A」,「B」,「C」,「不明」)と、最新パッチ/定義ファイル(「最新」,「未適用」,「不明」)と、利用者(「社員」,「不明」)と、端末管理レベル(「Admitted」,「Unadmitted」,「Vulnerable」,「Guest」)と、フィルタリングポリシー(「Permit」,「Block」)とから構成されている。
尚、図9に示す台帳において、(1)の各項目(ルータ名、IPアドレス、MACアドレス)は各ルータ3−1,3−2から送られてくる情報であり、(2)の各項目(OS種別、最新パッチ/定義ファイル、利用者)は各端末1−1,1−2の常駐ソフトウェアから送られてくる情報であり、(3)の各項目(端末管理レベル、フィルタリングポリシー)は認証サーバ4で定義される情報である。
また、フィルタリングポリシーは、「始点アドレス」、「終点アドレス」、「プロトコル種別」、「最新バッチ/ウィルス定義の適用有無」、「利用者情報」、「トラフィック量」をパラメータとしてフィルタリング条件(「Permit」,「Block」)が管理者によって定義される。認証サーバ4は、そのフィルタリング条件に基づいて各ルータ3−1,3−2のフィルタリング設定を行う。
また、認証サーバ4のパケットフィルタリング・ポリシー生成機能42は情報収集機能41にて収集した情報を基にパケットフィルタリング・ポリシーを生成し(図13のc7)、ルータ3−1,3−2に配信し(図13のc8)、各ルータ3−1,3−2のフィルタリング設定を行う(図13のc9)。図9に示す台帳化した例を基に作成したパケットフィルタリング・ポリシーの例を図10に示す。
図10において、パケットフィルタリング・ポリシーはルータの送信方向及び受信方向毎に設定される。ルータ#1の送信方向には送信元アドレス(「192.168.0.1/32」,「192.168.0.2/32」,「192.168.0.2/32」,「上記以外」)と、宛先アドレス(「制限なし」,「認証サーバ」,「ダウンロード・サーバ」)と、アクション(「許可」,「廃棄」)とが設定される。
ルータ#1の受信方向には送信元アドレス(「制限なし」,「認証サーバ」,「ダウンロード・サーバ」,「制限なし」)と、宛先アドレス(「192.168.0.1/32」,「192.168.0.2/32」,「192.168.0.2/32」,「上記以外」)と、アクション(「許可」,「廃棄」)とが設定される。
認証サーバ4は情報収集機能41にて収集した情報を基に各ルータ3−1,3−2におけるパケットフィルタリング・ポリシーを決定する。端末1−1,1−2に最新のパッチとウィルス定義ファイルとが適用され、かつ組織に許可された利用者が操作していることが確認されれば、ルータ3−1,3−2はその端末1−1,1−2の他セグメント宛通信を制限しない。
端末1−1,1−2に最新パッチ、もしくは最新ウィルス定義ファイルが適用されていない場合、ルータ3−1,3−2は最新パッチまたは最新ウィルス定義ファイルを提供するダウンロードサーバ5及び認証サーバ4宛ての通信のみを許可する。
組織に許可されていない利用者が操作している場合や、常駐ソフトウェアがインストールされていない端末についても、ダウンロードサーバ5及び認証サーバ4宛ての通信のみ許可する。
図14は図3のルータ3−1,3−2におけるフィルタリング処理を示すフローチャートである。これら図1と図3と図14とを参照してルータ3−1,3−2におけるフィルタリング処理について説明する。
ルータ3−1,3−2は監視対象セグメントからIPパケットを受信すると(図14ステップS21)、そのIPパケットの送信元アドレス及び宛先アドレスをパケットフィルタリング・ポリシーと比較する(図14ステップS22)。
その比較結果から許可と判定すると、ルータ3−1,3−2はルーティングテーブルにしたがってIPパケットを宛先へ転送する(図14ステップS23)。これに対し、その比較結果から廃棄と判定すると、ルータ3−1,3−2はルータ内部で受信したIPパケットを廃棄する(図14ステップS24)。
図15は図4の認証サーバ4による最新パッチまたは最新ウィルス定義ファイルの提供処理を示すシーケンスチャートである。これら図1と図4と図15とを参照して認証サーバ4による最新パッチまたは最新ウィルス定義ファイルの提供処理について説明する。
ダウンロードサーバ5は内部に蓄積しているパッチまたはウィルス定義ファイルが更新されると、最新バージョン通知を認証サーバ4に送る(図15のd1)。認証サーバ4は最新バージョン通知を受けると、該当する端末1−1,1−2に最新バージョン適用要求を送る(図15のd2)。
端末1−1,1−2の常駐ソフトウェアは最新バージョン適用要求を受取ると、ダウンロードサーバ5に最新バージョン取得要求を送り(図15のd3)、ダウンロードサーバ5から最新バージョンをダウンロードする(図15のd4)。端末1−1,1−2の常駐ソフトウェアはダウンロードした最新バージョンのパッチまたはウィルス定義ファイルを格納することで、最新バージョンの適用を行い(図15のd5)、完了すると、最新バージョン適用完了通知を認証サーバ4に送る(図15のd6)。
認証サーバ4は最新バージョン適用完了通知を受けると、台帳の端末1−1,1−2に該当する内容を更新し(図15のd7)、更新した台帳を基に、パケットフィルタリング・ポリシーを生成し(図15のd8)、そのパケットフィルタリング・ポリシーをルータ3−1,3−2に送る(図15のd9)。ルータ3−1,3−2ではそのパケットフィルタリング・ポリシーに基づいたフィルタリング設定が行われる(図15のd10)。
上記の最新バージョンの適用においては、うまく適用できる端末がある反面、何らかの異常(例えば、コンピュータウィルスに感染している等)でうまく適用できない端末もある。うまく適用できた端末は上述したような動作となるが、うまく適用できなかった端末では最新バージョン適用完了通知を送ることができない。
この場合、認証サーバ4は最新バージョン適用完了通知を送ってこなかった端末の最新パッチ/ウィルス定義ファイルの項目を未適用と更新するので、パケットフィルタリング・ポリシーにはその端末からのIPパケットを廃棄するようにフィルタリング設定されることとなる。
図16は本発明の一実施例による通信端末システムの模式図である。図16においては、通信先が制限されている端末6をBlock端末と、制限されていない端末7をPermit端末とそれぞれ記載している。
この場合、端末6は通信先が制限されているため、ルータ8のフィルタ部81及びネットワーク100を通して認証サーバ/ダウンロードサーバ9に接続することはできるが、一般サーバ/端末10には接続できない。これに対し、端末7は通信先が制限されていないため、ルータ8のフィルタ部81及びネットワーク100を通して一般サーバ/端末10に接続することができる。
このように、本実施例では、ネットワークに存在するルータ3−1,3−2が端末1−1,1−2が出力するARPパケットを聴取しているため、ネットワークに接続された端末1−1,1−2を自動的に一元管理することができる。
また、本実施例では、発見した端末1−1,1−2の稼動状態や利用者情報を認証サーバ4が調査し、その結果に基づいてフィルタリング・ポリシーをルータ3−1,3−2に指示するため、端末1−1,1−2の稼動状態や利用者情報に応じて、その端末1−1,1−2が他セグメント宛に送信したパケットをルータ3−1,3−2にてフィルタリングすることができる。
尚、本実施例ではICカードのディジタル証明書や利用者情報等データ(OS種別、適用済みパッチ/適用済みウィルス定義ファイルのバージョン情報、利用者情報、稼働情報)を用いて認証を行っているが、これら以外のデータを用いて認証を行うことも可能であり、これに限定されない。
本発明の一実施例によるネットワークの構成を示すブロック図である。 図1の端末の構成を示すブロック図である。 図1のルータの構成を示すブロック図である。 図1の認証サーバの構成を示すブロック図である。 図1のダウンロード・サーバの構成を示すブロック図である。 図1のルータにおける端末テーブル生成手順を示すフローチャートである。 図3の端末テーブルに用いられるエイジングタイマの処理を示すフローチャートである。 図3の端末テーブルの構成例を示す図である。 図4の情報収集機能が収集した情報を台帳化した構成例を示す図である。 図8に示す台帳化した情報を基に作成されたパケットフィルタリング・ポリシーの例を示す図である。 図1の端末におけるネットワークへの接続処理を示すシーケンスチャートである。 図1の端末におけるネットワークへの接続処理を示すシーケンスチャートである。 図1の認証サーバにおける情報収集を示すシーケンスチャートである。 図3のルータにおけるフィルタリング処理を示すフローチャートである。 図4の認証サーバによる最新パッチまたは最新ウィルス定義ファイルの提供処理を示すシーケンスチャートである。 本発明の一実施例による通信端末システムの模式図である。
符号の説明
1,1−1,1−2,6,7 端末
2−1,2−2 ICカードリーダ
3,3−1,3−2,8 ルータ
4 認証サーバ
5 ダウンロードサーバ
11 常駐ソフトウェア部
12 ICカードリーダ接続部
31 ルーティング機能
32 端末検出機能
33 端末テーブル
34 送受信機能
35 パケットフィルタリング機能
35a 動的フィルタリング規則生成機能
35b パケットフィルタリング処理機能
36 トラフィック量観測機能
41 情報収集機能
42 パケットフィルタリング・ポリシー生成機能
43 フィルタリング・ポリシー配信機能
51 常駐ソフトウェア部
52 ダウンロードサービス機能
100 ネットワーク
111 提供機能

Claims (17)

  1. 端末の稼動状態と利用者認証とを少なくとも行う認証サーバ装置と、組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行う複数のルータ装置とを含むネットワークであって、
    前記端末からのARP(Address Resolution Protocol)を聴取して当該端末の端末情報を取得する手段と、その取得した端末情報を前記認証サーバ装置へ通知する手段とを前記ルータ装置に有し、
    前記認証サーバ装置が前記端末情報に基づいて前記端末の稼動状態の取得と前記利用者認証とを少なくとも行うことを特徴とするネットワーク。
  2. 前記認証サーバ装置が管理する端末情報に基づいて前記端末が送信するパケットに対してフィルタリング処理を行う手段を前記ルータ装置に含み、
    前記ルータ装置は、前記フィルタリング処理にて前記端末毎に中継可能な宛先ネットワークを動的に制御することを特徴とする請求項1記載のネットワーク。
  3. 前記認証サーバ装置と前記ルータ装置とを連携させて前記認証サーバ装置による前記端末及び利用者の管理と、前記ルータ装置による接続先ネットワークの管理とを一体で行うことを特徴とする請求項2記載のネットワーク。
  4. 前記ルータ装置を組織内ネットワークの各サブネット間の中継機器として使用することを特徴とする請求項1から請求項3のいずれか記載のネットワーク。
  5. 前記認証サーバ装置にて前記利用者認証を行うための情報を格納する情報蓄積媒体と、前記端末に接続されかつ前記情報蓄積媒体から前記利用者認証を行うための情報を読取る読取り装置とを含み、
    前記認証サーバ装置は、前記情報蓄積媒体の前記読取り装置への挿抜動作に応じて前記端末の前記組織内ネットワークへの接続を判定することを特徴とする請求項4記載のネットワーク。
  6. 端末の稼動状態と利用者認証とを少なくとも行う認証サーバ装置であって、
    組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行う複数のルータ装置において前記端末からのARP(Address Resolution Protocol)を聴取して取得した当該端末の端末情報に基づいて前記端末の稼動状態の取得と前記利用者認証とを少なくとも行う手段を有することを特徴とする認証サーバ装置。
  7. 前記ルータ装置と連携することで、前記ルータ装置による接続先ネットワークの管理と前記端末及び利用者の管理とを一体で行うことを特徴とする請求項6記載の認証サーバ装置。
  8. 前記利用者認証を行うための情報を格納する情報蓄積媒体が前記端末に接続されかつ前記情報蓄積媒体から前記利用者認証を行うための情報を読取る読取り装置に挿抜される際に、その挿抜動作に応じて前記端末の組織内ネットワークへの接続を判定することを特徴とする請求項6または請求項7記載の認証サーバ装置。
  9. 組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行うルータ装置であって、
    前記端末からのARP(Address Resolution Protocol)を聴取することで認証サーバ装置において行われる前記端末の稼動状態の取得と利用者認証とに用いられる端末情報を取得する手段と、その取得した端末情報を前記認証サーバ装置へ通知する手段とを有することを特徴とするルータ装置。
  10. 前記認証サーバ装置が管理する端末情報に基づいて前記端末が送信するパケットに対してフィルタリング処理を行う手段を含み、
    前記フィルタリング処理にて前記端末毎に中継可能な宛先ネットワークを動的に制御することを特徴とする請求項9記載のルータ装置。
  11. 前記認証サーバ装置と連携することで、接続先ネットワークの管理と前記認証サーバ装置による前記端末及び利用者の管理とを一体で行うことを特徴とする請求項10記載のルータ装置。
  12. 組織内ネットワークの各サブネット間の中継機器として使用することを特徴とする請求項9から請求項11のいずれか記載のルータ装置。
  13. 端末の稼動状態の取得と利用者認証とを少なくとも行う認証サーバ装置と、組織内ネットワーク内でIP(Internet Protocol)パケットの中継を行う複数のルータ装置とを含むシステムにおいて前記端末のネットワークへの接続を管理する端末管理方法であって、前記ルータ装置側に、前記端末からのARP(Address Resolution Protocol)を聴取して当該端末の端末情報を取得するステップと、その取得した端末情報を前記認証サーバ装置へ通知するステップとを有し、前記認証サーバ装置が前記端末情報に基づいて前記端末の稼動状態の取得と前記利用者認証とを少なくとも行うことを特徴とする端末管理方法。
  14. 前記ルータ装置が、前記認証サーバ装置が管理する端末情報に基づいて前記端末が送信するパケットに対してフィルタリング処理を行い、前記フィルタリング処理にて前記端末毎に中継可能な宛先ネットワークを動的に制御することを特徴とする請求項13記載の端末管理方法。
  15. 前記認証サーバ装置と前記ルータ装置とを連携させて前記認証サーバ装置による前記端末及び利用者の管理と、前記ルータ装置による接続先ネットワークの管理とを一体で行うことを特徴とする請求項14記載の端末管理方法。
  16. 前記ルータ装置を組織内ネットワークの各サブネット間の中継機器として使用することを特徴とする請求項13から請求項15のいずれか記載の端末管理方法。
  17. 前記利用者認証を行うための情報を格納する情報蓄積媒体が前記端末に接続されかつ前記情報蓄積媒体から前記利用者認証を行うための情報を読取る読取り装置に挿抜される際に、前記認証サーバ装置がその挿抜動作に応じて前記端末の組織内ネットワークへの接続を判定することを特徴とする請求項16記載の端末管理方法。
JP2004141764A 2004-05-12 2004-05-12 ネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法 Expired - Lifetime JP4572086B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004141764A JP4572086B2 (ja) 2004-05-12 2004-05-12 ネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004141764A JP4572086B2 (ja) 2004-05-12 2004-05-12 ネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法

Publications (2)

Publication Number Publication Date
JP2005328108A true JP2005328108A (ja) 2005-11-24
JP4572086B2 JP4572086B2 (ja) 2010-10-27

Family

ID=35474140

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004141764A Expired - Lifetime JP4572086B2 (ja) 2004-05-12 2004-05-12 ネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法

Country Status (1)

Country Link
JP (1) JP4572086B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007272396A (ja) * 2006-03-30 2007-10-18 Nec Personal Products Co Ltd セキュリティ管理システム、中継装置、プログラム
JP2010153998A (ja) * 2008-12-24 2010-07-08 Nec Corp 端末装置、ネットワーク障害原因切り分けシステム、切り分け方法および切り分けプログラム
JP2015216588A (ja) * 2014-05-13 2015-12-03 日本電信電話株式会社 アクセス制御装置、アクセス制御方法、及びプログラム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001036561A (ja) * 1999-07-15 2001-02-09 Shin Maruyama Tcp/ipネットワークシステム
JP2001326696A (ja) * 2000-05-18 2001-11-22 Nec Corp アクセス制御方法
JP2002124952A (ja) * 2000-10-12 2002-04-26 Furukawa Electric Co Ltd:The 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム
JP2003308304A (ja) * 2002-04-12 2003-10-31 Matsushita Electric Works Ltd 通信端末及び通信確立方法、並びに通信確立プログラム、通信システム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001036561A (ja) * 1999-07-15 2001-02-09 Shin Maruyama Tcp/ipネットワークシステム
JP2001326696A (ja) * 2000-05-18 2001-11-22 Nec Corp アクセス制御方法
JP2002124952A (ja) * 2000-10-12 2002-04-26 Furukawa Electric Co Ltd:The 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム
JP2003308304A (ja) * 2002-04-12 2003-10-31 Matsushita Electric Works Ltd 通信端末及び通信確立方法、並びに通信確立プログラム、通信システム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007272396A (ja) * 2006-03-30 2007-10-18 Nec Personal Products Co Ltd セキュリティ管理システム、中継装置、プログラム
JP2010153998A (ja) * 2008-12-24 2010-07-08 Nec Corp 端末装置、ネットワーク障害原因切り分けシステム、切り分け方法および切り分けプログラム
JP2015216588A (ja) * 2014-05-13 2015-12-03 日本電信電話株式会社 アクセス制御装置、アクセス制御方法、及びプログラム

Also Published As

Publication number Publication date
JP4572086B2 (ja) 2010-10-27

Similar Documents

Publication Publication Date Title
US9516048B1 (en) Contagion isolation and inoculation via quarantine
EP1313290B1 (en) A personal firewall with location dependent functionality
US8230480B2 (en) Method and apparatus for network security based on device security status
EP1379046B1 (en) A personal firewall with location detection
US7571460B2 (en) System and method for affecting the behavior of a network device in a cable network
US7277935B2 (en) Management method for network device
JP4347335B2 (ja) ネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法
CN101471936B (zh) 建立ip会话的方法、装置及系统
US20180270189A1 (en) Equipment for offering domain-name resolution services
WO2007073971A1 (en) Distributed network protection
WO2009058495A1 (en) Controlling network access
US20040083388A1 (en) Method and apparatus for monitoring data packets in a packet-switched network
EP1571806A2 (en) Network management method and network managing server
US20080168563A1 (en) Storage medium storing terminal identifying program terminal identifying apparatus, and mail system
JP2001313640A (ja) 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
US20040267837A1 (en) System and method for updating network appliances using urgent update notifications
JP4572086B2 (ja) ネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法
JP5393286B2 (ja) アクセス制御システム、アクセス制御装置及びアクセス制御方法
JP2005182311A (ja) 端末管理支援方法及びパッチ確認サーバ
JP2004297749A (ja) Vpn装置

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20070308

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070405

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090514

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090602

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090803

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100112

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100222

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100727

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100816

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130820

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4572086

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350