JP2007067631A - Vpnサーバホスティングシステム、およびvpn構築方法 - Google Patents
Vpnサーバホスティングシステム、およびvpn構築方法 Download PDFInfo
- Publication number
- JP2007067631A JP2007067631A JP2005249137A JP2005249137A JP2007067631A JP 2007067631 A JP2007067631 A JP 2007067631A JP 2005249137 A JP2005249137 A JP 2005249137A JP 2005249137 A JP2005249137 A JP 2005249137A JP 2007067631 A JP2007067631 A JP 2007067631A
- Authority
- JP
- Japan
- Prior art keywords
- vpn
- relay device
- vpn server
- public key
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】 ユーザが多数となった場合でもリモートアクセス環境を提供できる拡張性を備え、サービス事業者に対しても通信内容を秘匿することを可能とするVPNサーバホスティングシステム、およびVPN構築方法を提供する。
【解決手段】 宅内中継装置22の公開鍵pkから計算されたハッシュ値H(pk)をVPNサーバプロセスのIDに対応させ、分散ハッシュテーブルを利用して同プロセスをホスティングシステム10内に分散して稼動させる。クライアント(宅内中継装置22および移動端末31)は、宅内中継装置22が発行したクライアント証明書を提示してVPNサーバプロセスに対する接続を要求する。そして、同証明書が公開鍵pkによって認証され、同証明書に対応するクライアント秘密鍵を当該クライアントが所有していることが証明された場合、クライアントとVPNサーバプロセスが接続されVPNが構築される。
【選択図】 図1
【解決手段】 宅内中継装置22の公開鍵pkから計算されたハッシュ値H(pk)をVPNサーバプロセスのIDに対応させ、分散ハッシュテーブルを利用して同プロセスをホスティングシステム10内に分散して稼動させる。クライアント(宅内中継装置22および移動端末31)は、宅内中継装置22が発行したクライアント証明書を提示してVPNサーバプロセスに対する接続を要求する。そして、同証明書が公開鍵pkによって認証され、同証明書に対応するクライアント秘密鍵を当該クライアントが所有していることが証明された場合、クライアントとVPNサーバプロセスが接続されVPNが構築される。
【選択図】 図1
Description
本発明は、複数のネットワークを仮想的な専用回線で接続するVPNにかかり、特に、ユーザが多数の場合にVPNサーバを分散して管理するVPNサーバホスティングシステム、および同システムによるVPN構築方法に関する。
近年、インターネットの常時接続環境が普及してきていることや、AV機器等の家電製品にネットワーク対応型の製品が増加していることなどを背景として、一般家庭においても、外出先から家庭内の通信機器に対するリモートアクセスの需要が高まりつつある。こうした要求に応えるため、利用者毎に仮想的な専用回線であるVPN(Virtual Private Network)を構築することにより、リモートアクセスの環境を提供するということが考えられる。
ここで、VPNは、暗号化技術を利用してインターネット上の2地点間を接続して構成された仮想的な閉じたネットワークであり、離れた場所にあるコンピュータ同士があたかも1つのLAN(Local Area Network)に接続されているのと同じように、第三者による盗聴などを防止して相互に通信することを可能にするものである(例えば、非特許文献1参照)。具体的には、VPNのトラフィックを中継するVPNサーバを設置し、認証を与えられた特定の2台のコンピュータ間の通信を同サーバが仲介することによって、第三者から隔離されたネットワークが実現される。
"SoftEther 仮想イーサネットシステム"、[online]、ソフトイーサ株式会社、[平成17年8月4日検索]、インターネット、〈URL: http://www.softether.com/jp/〉
"SoftEther 仮想イーサネットシステム"、[online]、ソフトイーサ株式会社、[平成17年8月4日検索]、インターネット、〈URL: http://www.softether.com/jp/〉
しかしながら、インターネットサービスプロバイダなどの通信事業者が提供しているVPNサービスは、主として企業ユーザを対象として例えば本支店間のVPNを構築するものであって、数千万人規模の個人の利用者に対して同様なサービスを提供することのできる拡張性を備えていない。すなわち、利用者の数が何千万にまで増大した場合には、利用者毎のVPNサーバの設定・管理など、通信事業者側のシステム運用上の負担が大きくなる。そのため、現状のVPNをそのまま利用しても、多数の個人ユーザ向けにリモートアクセス環境を提供するということは極めて難しい、という問題がある。
また、VPNサーバにおける処理内容は原理上その管理者が知得できることから、VPNサーバを通信事業者が運用する従来のVPNサービスにおいては、第三者に対しては通信内容を秘匿することができても、通信事業者に対する情報漏洩の危険性は排除し切れない欠点もある。
一方、家庭内にVPNサーバを設置すれば個人でもVPNを構築可能であり、利用者が独自にリモートアクセス環境を整備することもできる。このようなVPNを構築することにより、通信内容を知得可能なのは完全に利用者だけに限られることになる。しかしこの場合、外部からのアクセスを許可するためにはファイアウォールやNAT(Network Address Translation)の設定を変更できる専門知識を要するので、一般的な個人利用者にとっては敷居が高く、実現が困難である。
本発明は上記の諸点に鑑みてなされたものであり、その目的は、ユーザが多数となった場合でもリモートアクセス環境を提供できる拡張性を備え、事業者がサーバを用意するので一般ユーザでも簡便に利用でき、しかも当該事業者に対しても通信内容を秘匿することを可能とするVPNサーバホスティングシステム、およびVPN構築方法を提供することにある。
本発明は上記の課題を解決するためになされたものであり、請求項1に記載の発明は、外部の情報端末からの接続を受け入れる第1のネットワーク、および前記情報端末が属する第2のネットワークと接続することが可能であり、1つまたは複数のホストサーバからなるVPNサーバホスティングシステムであって、前記第1のネットワークに属する中継装置によって生成された公開鍵と秘密鍵のペアについて、該公開鍵のハッシュ値に対応させて1のホストサーバを割り当てるサーバ管理手段と、前記中継装置から、前記秘密鍵によりデジタル署名の施されたVPN設定情報および前記公開鍵を受信して、該公開鍵によって該デジタル署名が検証された場合に、前記ハッシュ値をIDとし、且つ前記VPN設定情報により動作を規定されるVPNサーバプロセスを前記割り当てられた1のホストサーバ内に生成するVPNサーバ生成手段と、前記中継装置ならびに前記情報端末の各々が、前記中継装置が発行したデジタル証明書を提示して前記VPNサーバプロセスへの接続を要求した際に、該デジタル証明書が前記公開鍵によって検証され、且つ、該中継装置および/または情報端末が、該デジタル証明書に記載されたクライアント公開鍵に対応するクライアント秘密鍵を所有していることを証明できた場合にのみ、該中継装置および/または情報端末と該VPNサーバプロセスとの接続を許可する通信制御手段と、を備えることを特徴とするVPNサーバホスティングシステムである。
また、請求項2に記載の発明は、請求項1に記載のVPNサーバホスティングシステムにおいて、前記各々のホストサーバは、自分の管理する前記ハッシュ値の範囲を定めた分散ハッシュテーブルを保持しており、前記サーバ管理手段は、前記分散ハッシュテーブルにしたがってホストサーバの割り当てを行うことを特徴とする。
また、請求項3に記載の発明は、請求項1または請求項2に記載のVPNサーバホスティングシステムにおいて、前記通信制御手段によって許可された接続にかかる通信において、前記中継装置、前記VPNサーバプロセス、および前記情報端末間で共有される第1のセッション鍵を生成するセッション鍵生成手段と、前記第1のセッション鍵と、前記通信において前記中継装置と前記情報端末間でのみ共有される第2のセッション鍵とを用いてメッセージ認証コードが付加され、且つ前記第1のセッション鍵を用いてヘッダが、前記第2のセッション鍵を用いてペイロードがそれぞれ暗号化されたパケットに対し、前記第1のセッション鍵を使用してメッセージ認証ならびに前記ヘッダの復号化を行うパケット解析手段と、をさらに備えることを特徴とする。
また、請求項4に記載の発明は、第1のネットワークおよび第2のネットワークが1つまたは複数のホストサーバからなるサーバ群によって接続されたネットワークにおいて、前記第1のネットワークに属する中継装置によって生成された公開鍵と秘密鍵のペアについて、該公開鍵のハッシュ値に対応させて1のホストサーバを割り当てるステップと、前記中継装置から、前記秘密鍵によりデジタル署名の施されたVPN設定情報および前記公開鍵を受信して、該公開鍵によって該デジタル署名が検証された場合に、前記ハッシュ値をIDとし、且つ前記VPN設定情報により動作を規定されるVPNサーバプロセスを前記割り当てられた1のホストサーバ内に生成するステップと、前記中継装置、ならびに前記第2のネットワークに属する情報端末の各々が、前記中継装置が発行したデジタル証明書を提示して前記VPNサーバプロセスへの接続を要求した際に、該デジタル証明書が前記公開鍵によって検証され、且つ、該中継装置および/または情報端末が、該デジタル証明書に記載されたクライアント公開鍵に対応するクライアント秘密鍵を所有していることを証明できた場合にのみ、該中継装置および/または情報端末と該VPNサーバプロセスとを接続させることを特徴とするVPN構築方法である。
本発明によれば、中継装置の公開鍵から計算されたハッシュ値をVPNサーバプロセスのIDに対応させ、VPNサーバプロセスの管理権限を当該公開鍵に対応する秘密鍵の所有者に与えることにしているので、ユーザが独自に公開鍵と秘密鍵のペアを作成することで当該公開鍵のハッシュ値をIDに持つVPNサーバプロセスを新規に生成し、当該秘密鍵を所有していることをユーザが証明することによりVPNサーバプロセスの管理権限の認可を受け、ユーザ自身がこれを管理することができる。これにより、事業者側がユーザ個別の設定や管理を行うサーバ運用上の負担がなくなり、ユーザ数が増大した場合にも容易に対応可能な拡張性を持った、VPNによるリモートアクセス環境が実現される。また、VPNサーバプロセスは事業者の運営しているホスティングシステム内に生成されるので、ユーザが自分のネットワークのファイアウォールやNATの設定を変更する必要はない。よって、ユーザにとってはVPNが簡便に構築できるとともに、セキュリティ上も安全が確保される。
また、請求項2に記載の発明によれば、VPNサーバプロセスのIDとして用いられているハッシュ値が分散ハッシュテーブルによって管理され、この分散ハッシュテーブルにしたがってVPNサーバプロセスを生成するホストサーバが決定されるので、ホスティングシステムは自律的に多数のVPNサーバプロセスをホストサーバに分散させることができる。これにより、VPNサーバプロセスの数の増大に対して、ホスティングシステムにさらなる拡張性を持たせることが可能となっている。
また、請求項3に記載の発明によれば、第1および第2のセッション鍵を使った2段階のメッセージ認証が行われるので、メッセージの改竄(VPNサーバプロセスによるものを含む)や不正なパケットの中継・受信を効果的に防止することができる。また、VPNサーバプロセスは、第1のセッション鍵によって暗号化されたヘッダ部分を復号化することはできる(これによりパケットを中継できる)が、第2のセッション鍵によって暗号化されたペイロード部分は復号化できないので、ホスティングシステムを運営している事業者に対しても通信内容の秘匿性を確保することが可能である。
以下、図面を参照しながら本発明の実施形態について詳しく説明する。
図1は、本発明の一実施形態によるVPNサーバホスティングシステム10を利用してリモートアクセス環境が実現されたネットワークの構成を示した図である。同図に示すように、VPNサーバホスティングシステム10、利用者の家庭内に構築された宅内LAN20、移動端末31が接続される移動先NW(ネットワーク)30がそれぞれインターネット40に接続されている。
図1は、本発明の一実施形態によるVPNサーバホスティングシステム10を利用してリモートアクセス環境が実現されたネットワークの構成を示した図である。同図に示すように、VPNサーバホスティングシステム10、利用者の家庭内に構築された宅内LAN20、移動端末31が接続される移動先NW(ネットワーク)30がそれぞれインターネット40に接続されている。
本実施形態は、宅内LAN20内の宅内通信機器21と移動先NW30に収容された移動端末31が、VPNサーバホスティングシステム10内に設けられたVPNサーバ(VPNサーバプロセス)により構築されるVPNを介して相互に通信を行うことを可能にするものである。なお、宅内LAN20は特許請求の範囲に記載した第1のネットワーク、移動先NW30は同じく第2のネットワークにそれぞれ相当する。
VPNサーバホスティングシステム10は、複数台(ここでは4台とする)のホストサーバ11a〜11dから構成されたサーバシステムであり、リモートアクセス環境を提供するインターネットサービスプロバイダ等が運用しているものである。これらホストサーバ11a〜11dは、利用者毎に個別に設けられたVPNサーバプロセスを、例えば利用者A氏専用のVPNサーバプロセスをホストサーバ11aが、利用者B氏専用のVPNサーバプロセスをホストサーバ11bがそれぞれ受け持つ、といった具合に分散して稼動させている。
上記VPNサーバプロセスは、所定の手続き(後述)にしたがって宅内通信機器21および移動端末31からの接続を許可し、これら機器間にVPNを構築する。VPNサーバプロセスの動作、ならびに各VPNサーバプロセスとホストサーバとの割り当て方法の詳細については後述する。
宅内LAN20は、移動端末31からのリモートアクセスを受け付けるホームネットワークであり、アクセス対象となるファイルやコンテンツを格納した宅内通信機器21と、宅内通信機器21と外部ネットワークとのトラフィックを中継する宅内中継装置22(詳細は後述)と、設定されたファイアウォールやNATによって宅内LAN20のセキュリティを確保するホームGW(ゲートウェイ)23とから構成されている。ここで、宅内通信機器21としては、例えばファイルサーバやビデオサーバ、一般的なパーソナルコンピュータ等のほか、ネットワーク機能を有したあらゆる種類の家電製品・情報機器が該当する。なお、宅内通信装置21は宅内中継装置22と同一の装置(コンピュータ)として構成されていてもよいものとする。
また、ホームGW23は、外部から流入するデータを監視して宅内LAN20への不正なアクセスを検出し規制するファイアウォールや、グローバルアドレスと宅内LAN20内のプライベートアドレスとの相互変換を担うNATが設定されたソフトウェア若しくはハードウェアである。これらの設定を適切に行うことによって、外部からの不正アクセスが遮断され、宅内LAN20のセキュリティが守られている。なお、宅内LAN20の内側から開始された外部への通信と、それに対応する外部から内部への応答、ならびに同通信ホスト間で引き続いて行われる双方向の通信は、ホームGW23を自由に通過できるようになっている。
移動先NW30は、宅内LAN20から外部へ移動した移動端末31がインターネット40へ接続するためのアクセス網であり、移動端末31との間で有線/無線LAN、携帯電話等によるダイアルアップ接続を行うアクセスポイント32と、インターネット40と移動先NW30との接点に置かれる両ネットワークを相互接続する移動先GW33とから構成されている。ここで、移動端末31は移動先GW33を介してインターネット40へアクセスすることが可能になっている。また、移動先GW33にはホームGW23と同様にファイアウォールやNATが実装されていてもよいが、宅内LAN20の場合と同じく、移動先NW30の内側から開始された外部への通信と、それに対応する外部から内部への応答、ならびに同通信ホスト間で引き続いて行われる双方向の通信は移動先GW33を自由に通過できるものとする。
次に、図2〜図4を参照して、上述したVPNサーバホスティングシステム10の動作を詳細に説明する。
以下、図2に示すフローチャートの流れに沿って順に説明する。
以下、図2に示すフローチャートの流れに沿って順に説明する。
(1)VPNサーバプロセスの生成
まず、宅内中継装置22が公開鍵pkと秘密鍵skのペアを1つ生成する(ステップS11)。ここで、公開鍵pkを用いて暗号化したデータは対応する秘密鍵skでなければ復号化できず、秘密鍵skを用いて暗号化したデータは対応する公開鍵pkでなければ復号化できない。また、秘密鍵skは自分(宅内中継装置22)以外のいかなる第三者に対しても公開されることがないよう管理される。
まず、宅内中継装置22が公開鍵pkと秘密鍵skのペアを1つ生成する(ステップS11)。ここで、公開鍵pkを用いて暗号化したデータは対応する秘密鍵skでなければ復号化できず、秘密鍵skを用いて暗号化したデータは対応する公開鍵pkでなければ復号化できない。また、秘密鍵skは自分(宅内中継装置22)以外のいかなる第三者に対しても公開されることがないよう管理される。
また宅内中継装置22と移動端末31は、VPNサーバプロセスへ接続する際の認証に用いる各自のクライアント公開鍵とクライアント秘密鍵のペアを作成する。これら鍵ペアを、それぞれpkgwとskgw(宅内中継装置22)、およびpkmとskm(移動端末31)とする。そして、宅内中継装置22は、これらのクライアント公開鍵がVPNサーバプロセスに接続する権限を有するクライアントのものであることを証明するクライアント証明書Csk(pkgw)、Csk(pkm)を、上記の秘密鍵skで署名することにより発行する(ステップS12)。これらクライアント証明書は、それぞれ宅内中継装置22と移動端末31に格納される。なお、上記のクライアント秘密鍵skgwとskmは、それぞれ宅内中継装置22と移動端末31以外のいかなる第三者に対しても公開されることがないように管理される。
宅内中継装置22は次に、公開鍵pkのハッシュ関数Hによるハッシュ値H(pk)を計算する。そして、公開鍵pkと、秘密鍵skによる署名Sskを施したVPN設定情報とを、自分がIPアドレスを知っているホストサーバの1台(ホストサーバ11aとする)に送付することによって、VPNサーバプロセスの生成を要求する(ステップS13)。なおここで、VPN設定情報には、IPルータとして動作させるかブリッジとして動作させるかといったVPNサーバプロセスの動作形態に関する情報や、IPルータとして動作する場合にVPNで使用するネットワークアドレスの情報等が含まれる。
ここで、複数のVPNサーバプロセスを他から識別するため、上記のハッシュ値H(pk)がVPNサーバプロセスのID(VPN−ID)に設定される。例えば、ハッシュ関数としてSHA−1(Secure Hash Algorithm 1)を用いた場合、ハッシュ値H(pk)をVPN−IDに持つVPNサーバプロセスは、160ビットのハッシュ空間における1つの点で代表させることができる。すなわち、VPN−IDをハッシュ関数SHA−1によるハッシュ値と対応付けることによって、2160通りのVPNサーバプロセスを管理することが可能になっている。なお、ハッシュ関数の特徴から、任意の複数のVPN−IDは統計的にはハッシュ空間内に均一に分布することになる。
ステップS13の要求をホストサーバ11aが受けると、各ホストサーバが相互に連携することによって、VPNサーバホスティングシステム10を構成するホストサーバ11a〜11dの中から、VPN−IDがハッシュ値H(pk)であるVPNサーバプロセスを受け持つホストサーバが検索される(ステップS14)。この検索には、分散ハッシュテーブル(DHT;Distributed Hash Table)が用いられる。そして、検索の結果該当するホストサーバ(ホストサーバ11cとする)に、上記のデータ(公開鍵pkとVPN設定情報)が転送される。
ここで、DHTを用いたVPNサーバプロセスの管理方法(ある特定のVPNサーバプロセスをどのホストサーバが受け持つか)およびホストサーバの検索方法について、図3を参照して説明する。
同図には、4ビットのハッシュ空間(説明を簡単にするため便宜上4ビットで考える)を4台のホストサーバ11a〜11dで管理している様子が示されている。すなわち、この例では24=16個のVPNサーバプロセスを管理可能である。これらVPNサーバプロセスのVPN−IDは0,1,2,…,15である。一方、各ホストサーバは固有の識別番号を有しており、ホストサーバ11aの識別番号は3、ホストサーバ11bの識別番号は7、ホストサーバ11cの識別番号は11、ホストサーバ11dの識別番号は15であるものとする。このような条件において、ホストサーバ11aが管理するのはVPN−ID=0〜3のVPNサーバプロセスであり、ホストサーバ11bが管理するのはVPN−ID=4〜7のVPNサーバプロセスであり、…というように、各ホストサーバとそれに割り当てられるVPNサーバプロセスとの対応関係が決められる。そして、各ホストサーバは、自分に割り当てられたVPN−ID(すなわちハッシュ値)の範囲を定めた表であるDHTを保持し、検索(下記)の際に利用する。
同図には、4ビットのハッシュ空間(説明を簡単にするため便宜上4ビットで考える)を4台のホストサーバ11a〜11dで管理している様子が示されている。すなわち、この例では24=16個のVPNサーバプロセスを管理可能である。これらVPNサーバプロセスのVPN−IDは0,1,2,…,15である。一方、各ホストサーバは固有の識別番号を有しており、ホストサーバ11aの識別番号は3、ホストサーバ11bの識別番号は7、ホストサーバ11cの識別番号は11、ホストサーバ11dの識別番号は15であるものとする。このような条件において、ホストサーバ11aが管理するのはVPN−ID=0〜3のVPNサーバプロセスであり、ホストサーバ11bが管理するのはVPN−ID=4〜7のVPNサーバプロセスであり、…というように、各ホストサーバとそれに割り当てられるVPNサーバプロセスとの対応関係が決められる。そして、各ホストサーバは、自分に割り当てられたVPN−ID(すなわちハッシュ値)の範囲を定めた表であるDHTを保持し、検索(下記)の際に利用する。
ホストサーバの検索は、以下の方法にしたがって行われる。図3に示した4ビットのハッシュ空間において、ステップS13で要求されたVPNサーバプロセスのVPN−IDを「9」とする。ホストサーバ11a(要求を受けたホストサーバ)は、自分の保持するDHTを参照して、検索対象となるハッシュ値(VPN−ID)の「9」が自分の管理する範囲内のハッシュ値であるか否かを判定する。ハッシュ値「9」はホストサーバ11aの管理下にないので、ホストサーバ11aはデータ(公開鍵pkとVPN設定情報)を隣のホストサーバ11bへ転送する。ホストサーバ11bは同じように自分のDHTを参照して判定処理を行い、ハッシュ値「9」が管理下にないのでさらに隣のホストサーバ11cへ上記データを転送する。ホストサーバ11cは、自分のDHTに検索対象であるハッシュ値「9」が含まれるので、要求されたVPNサーバプロセスを受け持つのは自分であるとの判断を下す。このような手順でルーティングが行われることによって、目的のホストサーバが検索される。
図2のフローチャートに戻って説明を続ける。
ステップS14で検索結果に該当したホストサーバ11cは、次に、転送されたデータに含まれる公開鍵pkを使い、VPN設定情報に施されている署名Sskの検証を行う(ステップS15)。公開鍵pkにより署名Sskを正しく復号化することができた場合に検証は成功し、ホストサーバ11cはハッシュ値H(pk)をVPN−IDとするVPNサーバプロセスを生成する(ステップS16)。一方、復号化が正しく行われなかった場合には検証が失敗する(ステップS17)。
ステップS14で検索結果に該当したホストサーバ11cは、次に、転送されたデータに含まれる公開鍵pkを使い、VPN設定情報に施されている署名Sskの検証を行う(ステップS15)。公開鍵pkにより署名Sskを正しく復号化することができた場合に検証は成功し、ホストサーバ11cはハッシュ値H(pk)をVPN−IDとするVPNサーバプロセスを生成する(ステップS16)。一方、復号化が正しく行われなかった場合には検証が失敗する(ステップS17)。
(2)VPNの構築(VPNサーバプロセスへの接続)
次に、生成されたVPNサーバプロセスに対して、宅内中継装置22と移動端末31は以下の手続きにしたがってVPNによる接続を行う。
まず、宅内中継装置22は、接続を希望するVPNサーバプロセスのVPN−ID、すなわちハッシュ値H(pk)をホストサーバの1台に送信することによって、必要な接続情報の問い合わせを行う(ステップS21)。送信先は、IPアドレスを知っているホストサーバ11aである。
次に、生成されたVPNサーバプロセスに対して、宅内中継装置22と移動端末31は以下の手続きにしたがってVPNによる接続を行う。
まず、宅内中継装置22は、接続を希望するVPNサーバプロセスのVPN−ID、すなわちハッシュ値H(pk)をホストサーバの1台に送信することによって、必要な接続情報の問い合わせを行う(ステップS21)。送信先は、IPアドレスを知っているホストサーバ11aである。
ホストサーバ11aがVPN−IDを受け取ると、上述のステップS14と同様にDHTを用いたルーティングによりホストサーバの検索が実行され、当該VPN−IDはホストサーバ11c(当該VPN−IDのVPNサーバプロセスを生成し、稼動させているホストサーバ)へ転送される。VPN−IDを受信すると、ホストサーバ11cは、自分のIPアドレスや問い合わせにかかるVPNサーバプロセスのポート番号などの接続情報を宅内中継装置22に返送する(ステップS22)。なおこの際、ファイアウォールやNATを通過させるため、応答は最初に問い合わせを受けたホストサーバを経由させて返す(ホストサーバ11c→11a→宅内中継装置22)。上記接続情報を受信することによって、宅内中継装置22は接続を希望するVPNサーバプロセスがホストサーバ11cで稼動していることを知ることになる。
宅内中継装置22は、次に、取得した接続情報を用いて目的のVPNサーバプロセスに対する接続を要求する。具体的には、ホストサーバ11cに直接、ステップS12で発行され格納しておいたクライアント証明書Csk(pkgw)を送信する(ステップS23)。ホストサーバ11cは、宅内中継装置22の公開鍵pk(ステップS13で既に受信している)を使ってクライアント証明書Csk(pkgw)を検証する(ステップS24)。クライアント証明書Csk(pkgw)が公開鍵pkで正しく検証できた場合は、次いで、ホストサーバ11cは宅内中継装置22に1回限りのチャレンジメッセージを送り、そのメッセージに対してクライアント秘密鍵skgwによる署名を付加して返送させる。そして、この署名をクライアント証明書Csk(pkgw)に記載されているクライアント公開鍵pkgwによって検証し、宅内中継装置22が確かにクライアント秘密鍵skgwを所有していることを確認する。以上により、宅内中継装置22が正当な接続権限を持っていることが証明されるので、目的のVPNサーバプロセスへの接続が許可される(ステップS25)。一方、証明書の検証や、クライアント秘密鍵を所有していることの証明に失敗した場合は、接続が拒否される(ステップS17)。
以上で宅内中継装置22とVPNサーバプロセスの間がVPNで接続される。移動端末31については、クライアント証明書Csk(pkm)を使い同様の手続きをすることによって、VPNサーバプロセスとの接続が行われる。こうして、宅内中継装置22−VPNサーバプロセス−移動端末31間にVPNが構築される。
ここで、最初に宅内中継装置22からVPNサーバプロセスに向かうパケットは、宅内LAN20の内側から外側への通信なので、(VPNとは関係なく)ホームGW23を通過でき、それに対応するVPNサーバプロセスから宅内中継装置22への応答や、引き続いて行われる両者間の双方向の通信もホームGW23を通過できる。一方、移動端末31から宅内中継装置22へ送られるパケットは、通常であればホームGW23によって規制されるため宅内LAN20内に届かない。上記ステップによりVPNが構築されると、宅内中継装置22へのパケットは、上記により既に宅内中継装置22との間に通信路が確保されたVPNを経由して送られるため、ホームGW23のファイアウォールを通過することができるようになる。
(3)VPN通信の準備
次に、VPNサーバプロセスは、メッセージ認証とパケットの暗号化のための共有セッション鍵Ks macとKs encを作成して、接続を許可した宅内中継装置22と移動端末31にこれら共有セッション鍵を送信する(ステップS31)。送信は、送信相手のクライアント公開鍵(すなわち、宅内中継装置22のpkgwと移動端末31のpkm)を使った暗号化通信により行う。この共有セッション鍵は、VPNサーバプロセスと宅内中継装置22と移動端末31とで共有されて、次に述べるVPNの通信において使用されるものである。
次に、VPNサーバプロセスは、メッセージ認証とパケットの暗号化のための共有セッション鍵Ks macとKs encを作成して、接続を許可した宅内中継装置22と移動端末31にこれら共有セッション鍵を送信する(ステップS31)。送信は、送信相手のクライアント公開鍵(すなわち、宅内中継装置22のpkgwと移動端末31のpkm)を使った暗号化通信により行う。この共有セッション鍵は、VPNサーバプロセスと宅内中継装置22と移動端末31とで共有されて、次に述べるVPNの通信において使用されるものである。
また、宅内中継装置22は、同様にメッセージ認証とパケットの暗号化のためのクライアントセッション鍵Ku macとKu encを作成し、これらを移動端末31のクライアント公開鍵pkmで暗号化した上で上記の共有セッション鍵を使って移動端末31に送信する(ステップS32)。移動端末31は、受信したクライアントセッション鍵を共有セッション鍵と自分のクライアント秘密鍵skmによって復号化し、平文のクライアントセッション鍵を取得する。このクライアントセッション鍵は、共有セッション鍵と併せてVPNの通信において使用されるものであるが、上記の手順でやり取りされることによって、宅内中継装置22と移動端末31との間でのみ共有されることとなる。
なお、上記の共有セッション鍵は特許請求の範囲に記載した第1のセッション鍵に相当し、クライアントセッション鍵は同じく第2のセッション鍵に相当する。
なお、上記の共有セッション鍵は特許請求の範囲に記載した第1のセッション鍵に相当し、クライアントセッション鍵は同じく第2のセッション鍵に相当する。
上記ステップにより、共有セッション鍵とクライアントセッション鍵の共有がなされると、VPN通信の準備が整うことになる。宅内中継装置22と移動端末31は、共有セッション鍵とクライアントセッション鍵を使用し、VPNサーバプロセスを介したVPNによる通信を行う(ステップS33)。以下、図4を参照してVPNの具体的な通信方法を説明する。
(4)VPNによる通信の実行
図4は、VPNにより移動端末31から宅内中継装置22へ通信する場合に送受信されるパケットの構造を示した図であり、上述した合計4つのセッション鍵を用いてメッセージ認証とパケットの暗号・復号化が行われる様子を示したものである。送信者である移動端末31は、パケットのヘッダ部分をKs enc、ペイロード部分をKu encでそれぞれ暗号化し、さらに、メッセージ(ヘッダ+ペイロード)とKu macから作成したメッセージ認証コードMACuならびにメッセージとKs macから作成したMACsをパケットの末尾に付加する。なお、メッセージ認証コード(MAC;Message Authentication Code)は、所定のMAC関数にメッセージと鍵を入力して得られる固定長ビットの出力値である。そして、入力に使った鍵を送信者と受信者で共有しておき、受信したメッセージと共有鍵とから計算したMACが、受信したメッセージに付加されているMACと一致すれば、受信者はそのメッセージが改竄されていないことを確認(メッセージ認証)できる。
図4は、VPNにより移動端末31から宅内中継装置22へ通信する場合に送受信されるパケットの構造を示した図であり、上述した合計4つのセッション鍵を用いてメッセージ認証とパケットの暗号・復号化が行われる様子を示したものである。送信者である移動端末31は、パケットのヘッダ部分をKs enc、ペイロード部分をKu encでそれぞれ暗号化し、さらに、メッセージ(ヘッダ+ペイロード)とKu macから作成したメッセージ認証コードMACuならびにメッセージとKs macから作成したMACsをパケットの末尾に付加する。なお、メッセージ認証コード(MAC;Message Authentication Code)は、所定のMAC関数にメッセージと鍵を入力して得られる固定長ビットの出力値である。そして、入力に使った鍵を送信者と受信者で共有しておき、受信したメッセージと共有鍵とから計算したMACが、受信したメッセージに付加されているMACと一致すれば、受信者はそのメッセージが改竄されていないことを確認(メッセージ認証)できる。
VPNサーバプロセスは、上記MACの付加と暗号化がなされたパケットに対し、共有セッション鍵Ks macを使ってメッセージ認証コードMACsを検証し、検証に成功した場合には、パケットからMACsを削除するとともに、共有セッション鍵Ks encを使ってヘッダを復号化した上で当該ヘッダにしたがって宛先である宅内中継装置22にパケットを送り届ける。なおこの時、VPNサーバプロセスはクライアントセッション鍵を所有していないため、ペイロードを復号化することはできない。
宅内中継装置22は、共有セッション鍵Ks encでヘッダを解析して自分宛てのパケットを選別し、当該パケットの末尾に付加されているメッセージ認証コードMACuをクライアントセッション鍵Ku macにより検証する。検証できたら、クライアントセッション鍵Ku encでペイロードを復号化し、平文の送信データを得る。こうして、通信内容をVPNサーバプロセスに秘匿したまま、移動端末31と宅内中継装置22とでVPNの通信が行われる。
このように、本実施形態によれば、宅内中継装置22の公開鍵pkから計算されたハッシュ値H(pk)をVPNサーバプロセスのIDに対応させるとともに、DHTを利用することによって同プロセスを事業者の運営するホスティングシステム10内に分散させ稼動させている。これにより、ユーザ(宅内中継装置22)の数が増大したとしても、VPNサーバプロセスはホスティングシステム10に自律的に分散管理され、しかもその管理や設定は公開鍵pkを基にしてユーザ自らが行うことができるようになっている。したがって、ユーザ数に対して柔軟な拡張性を持ったVPNを構築してリモートアクセスを実現することが可能である。
また、VPNによる通信においては、共有セッション鍵とクライアントセッション鍵を併用することによって、VPNサーバプロセスと受信者(宅内中継装置22)とで別個にメッセージ認証ならびにパケットの暗号・復号化を行っている。すなわち、メッセージ認証を2段階で行うことにより、メッセージの改竄や不正なパケットの中継・受信が効果的に防止されるとともに、VPNサーバプロセスではヘッダの復号化のみを行うことで、事業者に対する通信内容の秘匿性が確保されている。
以上、図面を参照してこの発明の一実施形態について詳しく説明してきたが、具体的な構成は上述のものに限られることはなく、この発明の要旨を逸脱しない範囲内において様々な設計変更等をすることが可能である。
例えば、DHT自体はP2P(Peer to Peer)のファイル交換などで用いられる既存の技術であり、ChordやCAN、Tapestryなど種々ある方式のいずれを適用することも可能である。
例えば、DHT自体はP2P(Peer to Peer)のファイル交換などで用いられる既存の技術であり、ChordやCAN、Tapestryなど種々ある方式のいずれを適用することも可能である。
また、上記実施形態における移動端末31は外出先から宅内LAN20にアクセスするクライアントとしての一例であり、固定のコンピュータなど通信機能を有していればどのようなタイプの情報端末であってもよいのはもちろんである。さらにまた、宅内LAN20や移動先NW30については、これらを一般化、すなわちゲートウェイ等により外部からのアクセス制限を行っている2つの異なる各種ネットワークに置き換えることも当然に可能である。
この発明は、個人ユーザ向けにリモートアクセス環境を提供するシステムに用いて好適である。
10…VPNサーバホスティングシステム 11a〜11d…ホストサーバ 20…宅内LAN 21…宅内通信機器 22…宅内中継装置 23…ホームGW 30…移動先NW 31…移動端末 32…アクセスポイント 33…移動先GW 40…インターネット
Claims (4)
- 外部の情報端末からの接続を受け入れる第1のネットワーク、および前記情報端末が属する第2のネットワークと接続することが可能であり、1つまたは複数のホストサーバからなるVPNサーバホスティングシステムであって、
前記第1のネットワークに属する中継装置によって生成された公開鍵と秘密鍵のペアについて、該公開鍵のハッシュ値に対応させて1のホストサーバを割り当てるサーバ管理手段と、
前記中継装置から、前記秘密鍵によりデジタル署名の施されたVPN設定情報および前記公開鍵を受信して、該公開鍵によって該デジタル署名が検証された場合に、前記ハッシュ値をIDとし、且つ前記VPN設定情報により動作を規定されるVPNサーバプロセスを前記割り当てられた1のホストサーバ内に生成するVPNサーバ生成手段と、
前記中継装置ならびに前記情報端末の各々が、前記中継装置が発行したデジタル証明書を提示して前記VPNサーバプロセスへの接続を要求した際に、該デジタル証明書が前記公開鍵によって検証され、且つ、該中継装置および/または情報端末が、該デジタル証明書に記載されたクライアント公開鍵に対応するクライアント秘密鍵を所有していることを証明できた場合にのみ、該中継装置および/または情報端末と該VPNサーバプロセスとの接続を許可する通信制御手段と、
を備えることを特徴とするVPNサーバホスティングシステム。 - 前記各々のホストサーバは、自分の管理する前記ハッシュ値の範囲を定めた分散ハッシュテーブルを保持しており、
前記サーバ管理手段は、前記分散ハッシュテーブルにしたがってホストサーバの割り当てを行う
ことを特徴とする請求項1に記載のVPNサーバホスティングシステム。 - 前記通信制御手段によって許可された接続にかかる通信において、前記中継装置、前記VPNサーバプロセス、および前記情報端末間で共有される第1のセッション鍵を生成するセッション鍵生成手段と、
前記第1のセッション鍵と、前記通信において前記中継装置と前記情報端末間でのみ共有される第2のセッション鍵とを用いてメッセージ認証コードが付加され、且つ前記第1のセッション鍵を用いてヘッダが、前記第2のセッション鍵を用いてペイロードがそれぞれ暗号化されたパケットに対し、前記第1のセッション鍵を使用してメッセージ認証ならびに前記ヘッダの復号化を行うパケット解析手段と、
をさらに備えることを特徴とする請求項1または請求項2に記載のVPNサーバホスティングシステム。 - 第1のネットワークおよび第2のネットワークが1つまたは複数のホストサーバからなるサーバ群によって接続されたネットワークにおいて、
前記第1のネットワークに属する中継装置によって生成された公開鍵と秘密鍵のペアについて、該公開鍵のハッシュ値に対応させて1のホストサーバを割り当てるステップと、
前記中継装置から、前記秘密鍵によりデジタル署名の施されたVPN設定情報および前記公開鍵を受信して、該公開鍵によって該デジタル署名が検証された場合に、前記ハッシュ値をIDとし、且つ前記VPN設定情報により動作を規定されるVPNサーバプロセスを前記割り当てられた1のホストサーバ内に生成するステップと、
前記中継装置、ならびに前記第2のネットワークに属する情報端末の各々が、前記中継装置が発行したデジタル証明書を提示して前記VPNサーバプロセスへの接続を要求した際に、該デジタル証明書が前記公開鍵によって検証され、且つ、該中継装置および/または情報端末が、該デジタル証明書に記載されたクライアント公開鍵に対応するクライアント秘密鍵を所有していることを証明できた場合にのみ、該中継装置および/または情報端末と該VPNサーバプロセスとを接続させる
ことを特徴とするVPN構築方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005249137A JP4490352B2 (ja) | 2005-08-30 | 2005-08-30 | Vpnサーバホスティングシステム、およびvpn構築方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005249137A JP4490352B2 (ja) | 2005-08-30 | 2005-08-30 | Vpnサーバホスティングシステム、およびvpn構築方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007067631A true JP2007067631A (ja) | 2007-03-15 |
| JP4490352B2 JP4490352B2 (ja) | 2010-06-23 |
Family
ID=37929355
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005249137A Expired - Fee Related JP4490352B2 (ja) | 2005-08-30 | 2005-08-30 | Vpnサーバホスティングシステム、およびvpn構築方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4490352B2 (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011010735A1 (ja) * | 2009-07-24 | 2011-01-27 | ヤマハ株式会社 | 中継装置 |
| JPWO2013175539A1 (ja) * | 2012-05-24 | 2016-01-12 | 富士通株式会社 | ネットワークシステム、ノード、および通信方法。 |
| JP2021177666A (ja) * | 2016-02-23 | 2021-11-11 | エヌチェーン ホールディングス リミテッドNchain Holdings Limited | ブロックチェーンベースのトークナイゼーションを用いた交換 |
| CN114553414A (zh) * | 2022-03-03 | 2022-05-27 | 合肥浩瀚深度信息技术有限公司 | 基于https服务的内网穿透方法及系统 |
| KR102474894B1 (ko) * | 2022-09-01 | 2022-12-06 | (주)노르마 | 양자 내성 암호화 알고리즘에 기초한 서명과 인증을 수행함으로써 가상 사설 네트워크를 제공하는 가상 사설 네트워크 형성 방법 및 이를 수행하는 가상 사설 네트워크 운용 시스템 |
| US11755718B2 (en) | 2016-02-23 | 2023-09-12 | Nchain Licensing Ag | Blockchain implemented counting system and method for use in secure voting and distribution |
| US11936774B2 (en) | 2016-02-23 | 2024-03-19 | Nchain Licensing Ag | Determining a common secret for the secure exchange of information and hierarchical, deterministic cryptographic keys |
| US11972422B2 (en) | 2016-02-23 | 2024-04-30 | Nchain Licensing Ag | Registry and automated management method for blockchain-enforced smart contracts |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11224219A (ja) * | 1998-02-05 | 1999-08-17 | Nippon Telegr & Teleph Corp <Ntt> | 分散キャッシュ制御方法及び分散制御装置及び分散キャッシュシステム及び分散キャッシュ制御プログラムを格納した記憶媒体 |
| JP2004511931A (ja) * | 2000-09-06 | 2004-04-15 | ワイドバイン・テクノロジーズ・インコーポレイテッド | ネットワークで送られるデータの異なる部分を選択的に暗号化する装置、システム、および、方法 |
| JP2005100194A (ja) * | 2003-09-26 | 2005-04-14 | Nippon Telegr & Teleph Corp <Ntt> | 複数のユーザ閉域網に多重帰属するサーバ装置 |
| JP2005522924A (ja) * | 2002-04-11 | 2005-07-28 | エイチアイ/エフエヌ,インコーポレイテッド | パケット処理方法およびパケット処理システム |
-
2005
- 2005-08-30 JP JP2005249137A patent/JP4490352B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11224219A (ja) * | 1998-02-05 | 1999-08-17 | Nippon Telegr & Teleph Corp <Ntt> | 分散キャッシュ制御方法及び分散制御装置及び分散キャッシュシステム及び分散キャッシュ制御プログラムを格納した記憶媒体 |
| JP2004511931A (ja) * | 2000-09-06 | 2004-04-15 | ワイドバイン・テクノロジーズ・インコーポレイテッド | ネットワークで送られるデータの異なる部分を選択的に暗号化する装置、システム、および、方法 |
| JP2005522924A (ja) * | 2002-04-11 | 2005-07-28 | エイチアイ/エフエヌ,インコーポレイテッド | パケット処理方法およびパケット処理システム |
| JP2005100194A (ja) * | 2003-09-26 | 2005-04-14 | Nippon Telegr & Teleph Corp <Ntt> | 複数のユーザ閉域網に多重帰属するサーバ装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011010735A1 (ja) * | 2009-07-24 | 2011-01-27 | ヤマハ株式会社 | 中継装置 |
| JPWO2013175539A1 (ja) * | 2012-05-24 | 2016-01-12 | 富士通株式会社 | ネットワークシステム、ノード、および通信方法。 |
| JP2021177666A (ja) * | 2016-02-23 | 2021-11-11 | エヌチェーン ホールディングス リミテッドNchain Holdings Limited | ブロックチェーンベースのトークナイゼーションを用いた交換 |
| US11755718B2 (en) | 2016-02-23 | 2023-09-12 | Nchain Licensing Ag | Blockchain implemented counting system and method for use in secure voting and distribution |
| US11936774B2 (en) | 2016-02-23 | 2024-03-19 | Nchain Licensing Ag | Determining a common secret for the secure exchange of information and hierarchical, deterministic cryptographic keys |
| US11972422B2 (en) | 2016-02-23 | 2024-04-30 | Nchain Licensing Ag | Registry and automated management method for blockchain-enforced smart contracts |
| CN114553414A (zh) * | 2022-03-03 | 2022-05-27 | 合肥浩瀚深度信息技术有限公司 | 基于https服务的内网穿透方法及系统 |
| CN114553414B (zh) * | 2022-03-03 | 2024-04-05 | 合肥浩瀚深度信息技术有限公司 | 基于https服务的内网穿透方法及系统 |
| KR102474894B1 (ko) * | 2022-09-01 | 2022-12-06 | (주)노르마 | 양자 내성 암호화 알고리즘에 기초한 서명과 인증을 수행함으로써 가상 사설 네트워크를 제공하는 가상 사설 네트워크 형성 방법 및 이를 수행하는 가상 사설 네트워크 운용 시스템 |
| US11791998B1 (en) | 2022-09-01 | 2023-10-17 | Norma Inc. | Method for forming virtual private network and virtual private network operating system which provides virtual private network by performing signature and authentication based on post quantum cryptography |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4490352B2 (ja) | 2010-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3912609B2 (ja) | リモートアクセスvpn仲介方法及び仲介装置 | |
| Hsiao et al. | LAP: Lightweight anonymity and privacy | |
| EP1396979B1 (en) | System and method for secure group communications | |
| US7680878B2 (en) | Apparatus, method and computer software products for controlling a home terminal | |
| JP4081724B1 (ja) | クライアント端末、中継サーバ、通信システム、及び通信方法 | |
| US8082574B2 (en) | Enforcing security groups in network of data processors | |
| JP4490352B2 (ja) | Vpnサーバホスティングシステム、およびvpn構築方法 | |
| EP1635502B1 (en) | Session control server and communication system | |
| US20020138635A1 (en) | Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations | |
| US20060248337A1 (en) | Establishment of a secure communication | |
| US20080005290A1 (en) | Terminal reachability | |
| US20170126623A1 (en) | Protected Subnet Interconnect | |
| JP2005536961A (ja) | 公衆ネットワークにおけるデバイスと内部ネットワークにおけるデバイスとの間でデータを送信するための方法、ゲートウェイ及びシステム | |
| JP5012173B2 (ja) | 暗号通信処理方法及び暗号通信処理装置 | |
| Davoli et al. | An anonymization protocol for the internet of things | |
| US20080072033A1 (en) | Re-encrypting policy enforcement point | |
| JP3908982B2 (ja) | CUG(ClosedUserGroup)管理方法及びCUG提供システム及びCUG提供プログラム及びCUG提供プログラムを格納した記憶媒体 | |
| JP4837470B2 (ja) | Vpnサーバホスティングシステム、vpn構築方法、およびコンピュータプログラム | |
| Hauser et al. | P4sec: Automated Deployment of 802.1 X, IPsec, and MACsec Network Protection in P4-Based SDN | |
| Heer et al. | PISA: P2P Wi-Fi internet sharing architecture | |
| Yeun et al. | Security for emerging ubiquitous networks | |
| Balasubramanian et al. | Onion routing in anonymous network | |
| JP4707325B2 (ja) | 情報処理装置 | |
| Khan et al. | A key management scheme for Content Centric Networking | |
| Festijo et al. | An open horizontal model for group management and end-to-end security management suitable for group-based private systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20071015 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20071015 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080303 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20080304 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100301 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100323 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100401 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130409 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4490352 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160409 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |