JP2011154622A - アクセス制御システム及びアクセス制御方法 - Google Patents

アクセス制御システム及びアクセス制御方法 Download PDF

Info

Publication number
JP2011154622A
JP2011154622A JP2010016813A JP2010016813A JP2011154622A JP 2011154622 A JP2011154622 A JP 2011154622A JP 2010016813 A JP2010016813 A JP 2010016813A JP 2010016813 A JP2010016813 A JP 2010016813A JP 2011154622 A JP2011154622 A JP 2011154622A
Authority
JP
Japan
Prior art keywords
information
terminal
virtual desktop
user
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010016813A
Other languages
English (en)
Other versions
JP5333263B2 (ja
Inventor
Makoto Kubota
真 久保田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2010016813A priority Critical patent/JP5333263B2/ja
Priority to US13/013,059 priority patent/US8359633B2/en
Publication of JP2011154622A publication Critical patent/JP2011154622A/ja
Application granted granted Critical
Publication of JP5333263B2 publication Critical patent/JP5333263B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】仮想デスクトップから業務アプリケーションを利用する際、仮想デスクトップに対するアクセス元端末情報に応じたアクセス制御を可能とすること。
【解決手段】ゲートウェイと、該端末が該ゲートウェイを介して通信するVDを提供する提供部と、該VDがアクセスするアプリケーションが動作するサーバと通信する中継装置と、該端末に関する端末情報を該中継装置に送る管理部とを有し、管理部は、端末情報と、ユーザ情報と、VD識別情報とを組として記憶する記憶部を有し、端末情報とユーザ情報とをゲートウェイから受けて記憶部に記憶させ、ユーザ情報とVD識別情報とを提供部から受けて記憶部に記憶させ、VD識別情報を中継装置から受けると、該VD識別情報をキーに記憶部から端末情報を検索して中継装置に送り、中継装置はVDから受けたメッセージをサーバに転送するか否かを端末情報から判断する。
【選択図】図4

Description

本発明は、仮想デスクトップ環境を提供する技術に関する。
企業の従業員は、事務所、出張先、自宅など様々な場所で作業をすることが多い。このような場合、各地に個別に従業員のデスクトップ環境を用意することは、企業・従業員にとって大きな手間である。また、従業員の移動によりデスクトップが変わることで作業の継続性が途切れることが問題となる。このような問題を解決するサービスとして、近年、DaaS(Desktop as a Service)と呼ばれるサービスが脚光を浴びている。
DaaSは、ユーザのデスクトップ環境をセンタに構築して、センタからネットワーク経由でユーザ端末上にデスクトップ画面を提供するサービスである。図1に、DaaSの概念図を示す。DaaSサービスの提供者は、DaaSサービスプロバイダ(以下、単にプロバイダと言う。)であり、DaaSサービスの利用者は、例えば、企業及び企業内の従業員である。図2に、DaaSサービスを提供するシステムの概要構成を示す。
プロバイダは、自身のセンタ(以下、DaaSセンタと言う。)内に仮想デスクトップ環境(以下、VD:Virtual Desktopと言う。)及びサービス利用企業毎に論理的に分離したネットワーク環境(以下、DaaSセンタ内企業NW)を用意する。VDの実体は、Windows(登録商標)などのOS(Operating System)と、当該OSを配備する仮想マシン(以下、VM:Virtual Machineと言う。)であり、ユーザからVDの利用要求を受けた際に、物理サーバ(以下、VD実現サーバ)上に起動される。
プロバイダと契約した企業の従業員(以下、ユーザと言う。)は、以下のようにしてDaaSサービスを利用する。
(1)手許端末から、DaaSセンタ内企業NWに接続する。ユーザは、DaaSセンタ入口のVPN GW(Virtual Private Network GateWay)に対して接続要求を行い、認証後に端末−VPN GW間でVPNトンネルを構築して、所属企業のDaaSセンタ内企業NWにログインする。以降、DaaSセンタ内企業NWへのアクセスは、このVPNトンネル経由で行われる。
(2)DaaS利用のための認証画面を提供するサーバ(以下、VDポータルと言う。)にアクセスする。そして、VDポータルはユーザの認証を行い、その後、当該ユーザ用のVD(VM及びOS)を起動し、そのVDのIPアドレスをユーザ端末に通知する。
(3)ユーザ端末は、通知されたIPアドレスのVDにRDP(Remote Desktop Protocol)で接続する。RDPは、手許端末におけるキーボード、マウスなどの操作情報をVDに通知すると共に、VD上の画面を手許端末に提供することが可能なプロトコルである。
(4)上記(1)乃至(3)の手順でユーザ端末がVDに接続すると、以降、ユーザは、物理的には社内外の様々な端末で作業しているにも関わらず、同じデスクトップ環境を使っての作業が可能となる。その際、各VDはDaaSセンタ内企業NW上に接続されているため、VDにアクセスしたユーザは、VD上のクライアントアプリケーションを利用することができ、社外NWを経由せずに社内の業務アプリケーション(以下、単に業務アプリと言う。)を利用することができる。
企業は、VDから業務アプリへのアクセスをシステムとして可能とする一方で、機密情報の漏洩防止の観点から、VDへのアクセス元とアクセス先の業務アプリに応じてアクセス可否の制御(以下、アクセス制御と言う。)をできるようにしたい。例えば、経理アプリケーションなど機密性の高いアプリケーションについては、社内PCからのアクセスは許容するが社外端末からのアクセスは禁止するなどのアクセス制御が求められる。なお、ここで言うアクセス元とは、VDにアクセスしている端末の場所、種別、端末を利用中のユーザのことである。
しかし、VD上のWebからアクセス要求を受けた各企業の業務アプリには、アクセス元がVDであるかの如く見えてしまい、VDへのアクセス元がどこであるのかは不明となる。従って、プロバイダ側で、アクセス元及び宛先URL(アクセス先の業務アプリ)に応じたアクセス制御ができることが望ましい。
ここで、VPN GWにおいてアクセス制御を行う従来技術について説明する。VPN GWは、端末からVPN接続要求を受ける際に、アクセス元情報を把握することができる。そのため、端末がVDを経由せずに業務アプリにアクセスする場合、VPN GWがアクセス元及びURLに応じたアクセス制御を行うことは可能である。しかし、DaaSサービス利用時にVPN GW上を通過する情報は、端末−VD間のRDPメッセージである。そして、RDPは暗号化されているため、図3で示すように、VPN GWはメッセージを取得することが可能であっても、宛先URLを読み取ることができず、宛先業務アプリ毎のアクセス制御はできない。
さらに、VD−業務アプリ間の中継装置(以下、中継装置と言う。)においてアクセス制御を行う従来技術の他形態について説明する。DaaSサービス利用時に中継装置上を通過する情報は、VDから業務アプリ宛のメッセージであり、宛先URLからアクセス先の業務アプリを読み取ることは可能である。しかし、図3で示すように、メッセージの送信元はVDのIPアドレスやPortであるため、中継装置はメッセージに基づいてVDへのアクセス元を知ることはできず、アクセス元に応じたアクセス制御を行うことはできない。
特開2009−259046号公報
上記のように、従来、VDから業務アプリへアクセスする際、VDへのアクセス元情報及び宛先業務アプリに応じたアクセス制御ができないという問題点があった。
そこで、本発明では、仮想デスクトップから業務アプリケーションを利用する際、仮想デスクトップに対するアクセス元端末情報に応じたアクセス制御を可能とするアクセス制御システム及びアクセス制御方法を提供することを目的とする。
はじめに、上記課題の発生要因を説明する。第1にVD上のOSはデスクトップ向けの既存OSであり、業務アプリに対して物理的な端末の如く振る舞うことから、VD発メッセージの送信元アドレスはVDとなってしまう。第2に、そのためVD−業務アプリ間の中継装置には、アクセス元端末が分からない。
次に、上記課題の解決に向けた着眼点を説明する。VPN GWは、「ユーザID、アクセス元端末情報」の対応情報を管理しているため、中継装置は、VD発メッセージからユーザID(以下、uIDと言う。)が分かれば、当該uIDをキーとしてVPN GWの情報を参照することで、宛先URLだけでなくアクセス元も知ることができる。
一方、サービスの特性上、VDは1ユーザに占有されるため、VDのIPアドレスはユーザごとに一意である。すなわち、通常、プロキシサーバなどの踏み台となるサーバは複数ユーザから共用されるため、サーバのIPアドレスは複数ユーザで共用されるが、VDはDaaS固有の特徴により、1ユーザに占有される。従って、中継装置は、各VDのIPアドレスとuIDの関係が分かれば、アクセス元を判別することができる。
また、DaaSの動作メカニズム上、VDポータルは、VDのIPアドレスを端末に通知するため、「uID、VDのIPアドレス」の対応情報を管理している。
従って、VPN GW及びVDポータルが管理する情報に基づき、VDのIPアドレスとアクセス元情報との紐付けが可能となり、中継装置はVD発メッセージの送信元IP(以下、SrcIPと言う。)からアクセス元情報を識別することができる。
開示の技術によれば、仮想デスクトップから業務アプリケーションを利用する際、仮想デスクトップに対するアクセス元端末情報に応じたアクセス制御を可能とすることができる。
DaaSサービスの概念図である。 従来のDaaSサービスのシステム構成図である。 従来技術の問題点を指摘する図である。 本実施の形態に係る仮想デスクトップ環境提供システムの動作原理図である。 第1の実施形態における仮想デスクトップ環境提供システムの構成を示す図である。 第1の実施形態における仮想デスクトップ環境提供システムの動作シーケンス図である。 第1の実施形態におけるVPN GWの動作フローチャートである。 第1の実施形態におけるユーザ情報管理サーバの動作フローチャートである。 第1の実施形態におけるVDポータルの動作フローチャートである。 第1の実施形態における中継装置の動作フローチャートである。 第1の実施形態におけるVD発業務アプリケーション宛メッセージの一例を示す図である。 第1の実施形態における認証データベースの一例を示す図である。 第1の実施形態におけるユーザ−トンネル対応テーブルの一例を示す図である。 第1の実施形態におけるアクセス元情報管理テーブルの一例を示す図である。 第1の実施形態におけるMsgフック条テーブルの一例を示す図である。 第1の実施形態におけるコネクションテーブルの一例を示す図である。 第1の実施形態における認可ポリシテーブルの一例を示す図である。 第1の実施形態におけるVD発判断条件テーブルの一例を示す図である。 第1の実施形態におけるuID−VD_IP対応テーブルの一例を示す図である。 第1の実施形態における仮想デスクトップ環境提供システムの変形例を示す図である。 第1の実施形態における仮想デスクトップ環境提供システムの第2の変形例を示す図である。 第2の実施形態における仮想デスクトップ環境提供システムの構成を示す図である。 第2の実施形態における仮想デスクトップ環境提供システムの動作シーケンス図である。
図面を参照しながら、本発明を実施するための最良の形態について説明する。
(本実施の形態に係る仮想デスクトップ環境提供システムの動作原理)
図4を用いて、本実施の形態に係る仮想デスクトップ環境提供システム100の動作原理について説明する。
VPN GW120は、NWユーザ認証部140、VPN終端部150、ユーザ情報通知部130を有する。NWユーザ認証部140は、端末110からのVPN接続要求の受信時に、uID及びパスワードでユーザを認証する。VPN終端部150は、認証がOKであった場合に、端末110との間でVPNを構築又は終端する。ユーザ情報通知部130は、認証DBを参照して当該ユーザが所属する企業用のDaaSセンタ内企業NWのNW識別子(以下、テナント識別子と言う。)を特定する。その後、認証対象ユーザのuID及びアクセス元端末に関する情報を、前記テナント識別子とセットで、後述のユーザ情報管理サーバ350に通知する。
VDポータル170は、VDユーザ認証部180、VD起動制御部190を有する。VDユーザ認証部180は、端末110からのVD利用要求の受信時に、uID及びパスワードでユーザを認証し、認証がOKの場合、端末110に対する応答としてVDのIP情報を含める。VD起動制御部190は、VDユーザ認証がOKの場合、認証DB390を参照して当該uID用のVMのインスタンスID(以下、VM_IDと言う。)を特定する。その後、当該VM_IDで識別されるVM部250及びVM部250上のOS部230に対応するVD215の起動を、後述のVD実現サーバ200に対して指示する。
更に、起動済VD215からのIP情報および前記VM_IDの受信時に、認証DBを参照してVM_IDに対応するuIDを特定し、受信したVDのIP情報とuIDとをセットにして、uID−VD_IP対応テーブルへのキャッシュ及びユーザ情報管理サーバ350への通知を行う。然る後に、ユーザ認証に対し、VD215のIP情報を通知する。
一方、VD起動制御部190は、コネクションブローカ160から特定IPのVD215の起動停止要求を受けた場合、前記キャッシュからIPに対応するuIDを取得し、さらに認証DB390を参照して当該uID用のVM_IDを特定する。その後、当該VM_IDで識別されるVM部250の停止を、後述のVD実現サーバ200に対して指示する。更に、当該uIDに関するVD215のIP情報の解放を、ユーザ情報管理サーバ350に要求する。
VD実現サーバ200は、物理サーバ部260、VM制御部210、VD215、IP通知Agent部240を有する。物理サーバ部260は、仮想マシンが動作する物理サーバである。VM制御部210は、物理サーバ部260上のVMの起動及び停止を制御する。VD215は、VM部250、OS部230及びブラウザなどのクライアントアプリケーション部220を含む仮想デスクトップ(Virtual Desktop)である。IP通知Agent部240は、自VD215のIPアドレスを、自身のVM_IDとペアでVDポータル170に通知する。
なお、本実施の形態において、VDポータル170及びVD実現サーバ200を含む部分は提供部の一例である。
コネクションブローカ160は、端末−VD間のコネクションを監視する既存装置及び手段である。コネクションブローカ160は、VDポータル発メッセージの中身を参照して、端末−VD間で生成されるRDPコネクションの宛先IP情報を取得した後にそのコネクションを監視する。そして、コネクションブローカ160は、一定時間流量が無ければコネクション切断と認識し、前記宛先IPで識別されるVD215の停止を、VDポータル170に対して要求する。
ユーザ情報管理サーバ350は、アクセス元情報管理部370を有する。アクセス元情報管理部370は、VPN GW120及びVDポータル170からの通知に基づき、アクセス元情報管理テーブル360に、VD215を利用するユーザに関するuID、アクセス元端末情報、テナント識別子、及び当該ユーザが使用中のVD215のIP情報の記録及び記録の削除を行う。
なお、本実施の形態において、ユーザ情報管理サーバ350は、管理部の一例である。
中継装置270は、VD発判断部290、IP−アクセス元情報変換部280、URL抽出部300、認可判定部320を有する。VD発判断部290は、受信メッセージのテナント識別子および送信元IPにより、受信メッセージが、VD215から送信されたメッセージであるか否かを判断する。IP−アクセス元情報変換部280は、VD215から送信されたメッセージである場合に、ユーザ情報管理サーバ350に問い合わせ、テナント識別子および送信元IPに対応するアクセス元情報を取得する。URL抽出部300は、メッセージ中の宛先URLを抽出する。認可判定部320は、アクセス元情報、宛先URLなどを使ってメッセージの転送可否を判断する。
以下では、仮想デスクトップ環境提供システム100における処理の流れを説明する。VD215の利用を望むユーザは、まず手元の端末110から、VPN GW120にVPN接続要求を行う。VPN GW120は、NWユーザ認証部140による認証結果がOKであれば、ユーザ情報通知部130を使ってユーザ情報管理サーバ350へのアクセス元情報の通知を行う。ユーザ情報管理サーバ350は、通知されたuID、アクセス元端末情報、テナント識別子を、アクセス元情報管理テーブル360に記録する。VPN GW120は、上記の後に端末110に認証完了の応答を返し、端末はVPN GW120のVPN終端部150との間にトンネルを構築し、当該トンネルを使ってメッセージの送受信を行う。
その後、上記端末110からVD利用要求を受けたVDポータル170は、VDユーザ認証部180による認証結果がOKであれば、VD起動制御部190を使って当該ユーザ用のVD215を起動する。起動したVD215上のOSに組み込まれたIP通知Agent部240は、当該VDのIP情報とVM_IDのペアをVDポータル170に通知する。VDポータル170のVD起動制御部190は、通知されたVM_IDをuIDに変換した後、通知されたIP情報及びuIDのペアを、ユーザ情報管理サーバ350に対して通知する。ユーザ情報管理サーバ350は、アクセス元情報管理テーブル360中の通知されたuIDに関するエントリに、通知されたIP情報を記録する。
VDポータル170のVDユーザ認証部180が、端末110にVD215のIP情報を通知し、端末110が通知されたIP情報のVD215への接続を完了した後、VD215上のクライアントアプリケーションが社内宛メッセージを送信する。その後、VD215と業務アプリ340の間に位置する中継装置270は、VD発判断部290で受信メッセージがVD発と判断し、IP−アクセス元情報変換部280を使ってアクセス元情報を取得する。そして、認可判定部320が、URL抽出部300で抽出した宛先URL情報及び前記アクセス元情報を使って認可判定を行うことで、アクセス元情報及び宛先業務アプリケーションに応じたアクセス制御が可能となる。
なお、上記説明では認可判定を中継装置270で行うこととしたが、認可判定の実現形態は外部サーバで行う形態であっても良い。つまり、認可ポリシ310および認可判定部320を外部サーバ上で保持し、当該外部サーバが認可可否を判断し、中継装置270は判断結果に応じた中継及び廃棄の制御のみを行う形態であっても良い。
上記のように、VD215から業務アプリ340への利用要求に際し、VD215にアクセスしている端末110の場所、種別及びユーザに応じたアクセス制御を可能とすることで、機密データの漏洩リスクが軽減される。さらには、仮想デスクトップサービスを使うユーザによる、業務アプリ及び業務データへの不用意なアクセスを防止することができる。
(第1の実施形態)
図5乃至図20を用いて、第1の実施形態における仮想デスクトップ環境提供システム100について説明する。はじめに、第1の実施形態で想定するシステム構成、アドレッシング、事前設定について説明する。
図5で、システム構成を示す。サーバの内部構成は図4の場合と同様である。図5中のDHCP(Dynamic Host Configuration Protocol)サーバ400は、各VD215が自身のIPアドレスを決める為の既存手段である。認証サーバ380は、認証情報を一括して管理するサーバである。
次に、企業A向けのアドレッシングについて説明する。DaaSセンタ内企業NWは「VLAN#A」、VDポータル170のIPアドレスは「vdp−a」(企業Aの社内で使用できるプライベートアドレス)、VD215のIPアドレスは「vd#a1〜an」(企業Aの社内で使用できるプライベートアドレス)とする。そして、ユーザa1向けのアドレッシングは、VD215のIPアドレスが「vd#a1」、VM部250のインスタンスIDが「ID#a1」とする。
次に、企業A向けのDaaSセンタ内の事前設定及び環境構築について説明する。図12に、各ユーザの認証情報を設定する認証DBの一例を示す。図15には、コネクションブローカ160の設定を示し、認証応答メッセージを判断するための条件として、Msgフック条件テーブルに、送信元IPアドレスとして「vdp−a」を設定する。DHCPサーバ400の設定については、VLAN#AのVD215に割り当て可能なIPアドレスとして、DHCPサーバ400内に「vd#a1〜an」を設定する。図18で示すように、中継装置270の設定としては、VD発メッセージかその他ノード発メッセージかを判断するための条件として、VD発判断条件テーブルに、VLANとして「#A」を、送信元IPアドレスとして「vd#a1〜an」を設定する。
次に、図6を用いて、第1の実施形態における仮想デスクトップ環境提供システム100の処理を説明する。当該説明は、A)ユーザがVD215を起動するまでの流れ、B)ユーザがVD215上でWebを使って業務アプリにアクセスする際の認可判定の流れ、C)ユーザがVD215を終了するまでの流れの3フェーズに分けて行う。なお、図6で示すシーケンス中の主なサーバのフロー詳細は、図7乃至10のフローチャートに示す。
A)ユーザがVDを起動し、ユーザ情報管理サーバにアクセス元情報が記録されるまでの流れ
1)VPN接続要求について説明する。ユーザは、端末110(ここでは携帯電話)からVPN GW120に対し、VPN接続要求を行う。
2)VPN接続応答について説明する。VPN GW120のNWユーザ認証部140は、認証結果を端末に返す。
3)VPN構築について説明する。認証OKである場合、端末110はVPN GW120のVPN終端部150との間に、session−IDで識別されるVPNトンネルを構築し、図13で示すユーザ−トンネル対応テーブルにuIDとsession−IDの対応を記録する。以降、VPN GW120は、端末110から上記VPNトンネルをDaaSセンタ内企業NW(VLAN#A)とマッピングする。即ち、上記VPNトンネルからパケットを受信した場合、VLANタグ#Aを付けてDaaSセンタ側に送信する。
4)アクセス元情報通知について説明する。VPN GW120は、ユーザ情報通知部130を使い、認証時に得られたアクセス元情報(アクセス元端末情報(回線=携帯、端末種別=i−phone)、アクセス元ユーザ情報(uID=user001))及びDaaSセンタ内企業NWで使うVLANタグ情報をユーザ情報管理サーバ350に通知する。次に、ユーザ情報管理サーバ350は、通知された上記情報を図14で示すアクセス元情報管理テーブル360に記録する。
5)VD利用要求について説明する。ユーザは、構築したVPNトンネルを使って、VDポータル画面に対しHTTP(HyperText Transfer Protocol)でアクセスし、vdp−a宛に、VDの利用要求を行う。
6)VD起動指示について説明する。VDポータル170のVDユーザ認証部180は、ユーザ認証する時に認証DB390を参照し、認証を行うとともに、当該ユーザ(uID#user001)向けVM部250のインスタンスID#a1を取得する。次に、VDポータル170のVD起動制御部190は、VD実現サーバ200に対し、インスタンスID#a1で識別されるVM部250の起動を指示する。そして、VD実現サーバ200上のVM制御部210は、インスタンスID#a1で識別されるVMイメージをHDDから読み出してVM部250及びVM部250上のOS部230を起動する。
7)IPアドレスの取得について説明する。OS部230は、DHCPサーバ400から自身のIPアドレスを取得して、自身のIPアドレスとする。
8)自IPアドレスの通知について説明する。上記OS部230上のIP通知Agent部220は、取得したIPアドレスを、VM部250のインスタンスID#a1と共に、VDポータル170に通知する。
9)VD_IPの通知について説明する。VDポータル170のVD起動制御部190は、認証DB390を参照し、通知されたインスタンスID#a1に対応するユーザIDとしてuser001を得る。次に、VDポータル170のVD起動制御部190は、後でVD215を停止する時のために、ユーザIDと通知されたVD215のIPアドレスとの対応について、図19で示すuID−VD_IP対応テーブルにキャッシュとして記録する。なお、停止時における上記キャッシュの使い方は、後述の17)、18)で説明する。そして、VDポータル170のVD起動制御部190は、「ユーザID=user001、VD_IP=vd#a1」という情報をユーザ情報管理サーバ350に通知する。さらに、ユーザ情報管理サーバ350のアクセス元情報管理部370は、上記4)でアクセス元情報管理テーブル360に記録したuser001の情報に対し、VD215のIPアドレスをバインドして記録する。
10)VPN利用応答について説明する。VDポータル215のVDユーザ認証部180は、端末110に対し、VD_IPとしてvd#a1を通知する。次に、VDポータル170と端末110との間に位置するコネクションブローカ160は、送信元IPアドレスがvdp−aなので、監視対象パケットと認識してパケットをフックし、メッセージの中身を参照する。そして、参照した結果、vd#a1宛にRDPコネクションが開始されることを検知して、図16で示すコネクションテーブルに、監視対象として「送信元IPアドレス=端末IPアドレス、宛先IPアドレス=vd#a1」を登録する。さらに、コネクションブローカ160は、フックしたパケットをそのまま端末110宛に転送する。
11)VD接続について説明する。端末110は、通知に従い、vd#a1宛にRDPで接続する。次に、コネクションブローカ160は、vd#a1宛パケットの単位時間あたりの流量をコネクションテーブルに記録し、一定時間流量が無ければ切断と判断する。ここでは、パケットが流れたので接続中と判断し、受信パケットをそのまま転送する。そして、以降VD215は、端末110との間で、キーボード操作や画面情報をRDPでやり取りする。
B)ユーザがVD215上でWebを使って業務アプリ340にアクセスする際の認可判定の流れ
12)業務アプリ利用要求について説明する。ユーザが、VD215上で社内の業務アプリにアクセスするためにWebを操作し、URLとして「url−A1」を入力した場合を想定する。すると、VD215は、VLANタグ=#A、送信元IP=vd#a1のメッセージを業務アプリ340宛に送信する。図11にメッセージフォーマットを示す。
13)IP−アクセス元情報変換について説明する。中継装置270のVD発判断部290は、受信メッセージがVD発か否かについてVD発判断条件テーブル410を参照して判断する。その結果、「VLAN#A、送信元IP=vd#a1〜n」の条件に合致するので、VD発と認識する。次に、中継装置270のIP−アクセス元情報変換部280は、ユーザ情報管理サーバ350に対して「VLANタグ=#A、送信元IPアドレス=vd#a1」の情報を渡し、応答としてアクセス元情報(回線=携帯、端末種別=i−phone、ユーザID=user001)を取得する。次に、中継装置270のURL抽出部300は、受信メッセージのHTTPヘッダ中のGETフィールドから宛先URLを抽出する。そして、中継装置270の認可判定部320は、図17で示す認可ポリシテーブル310を参照し、認可判定を行う。参照キーは、アクセス元情報、受信メッセージ中の宛先URLである。
14)業務アプリ利用要求転送について説明する。中継装置270は、認可判定結果に従い、メッセージを中継または廃棄する。認可結果がOKであれば中継し、NGであれば廃棄やNG応答を行う。
C)ユーザがVDを終了するまでの流れ
15)VD終了要求について説明する。ユーザは、VD215の使用を終了したい場合、VD215上OS部230の操作で停止要求をするか、又はVD215から提供されている画面を閉じることでVD215の停止要求をする。
16)VD停止要求について説明する。コネクションブローカ160は、「送信元IPアドレス=端末IPアドレス、宛先IPアドレス=vd#a1」のコネクションの流量が一定時間ゼロであることを検知する。そして、コネクションブローカ160は、このコネクションの切断を検知し、VDポータル170に対し、vd#a1のVD215の停止を要求する。
17)VD停止指示について説明する。VDポータル170のVD起動制御部190は、uID−VD_IP対応テーブルを参照して、VD215のIP情報(vd#a1)に対応するuIDを取得する。更に、VDポータル170のVD起動制御部190は認証DB390を参照して、このユーザIDに対応するVM部250のインスタンスID情報(#a1)を取得する。その後、VD起動制御部190はVD実現サーバ200に対し、インスタンスID#a1のVM部250の停止指示を行う。そして、VD実現サーバ200上のVM制御部210は、インスタンスID#a1で識別されるVM部250を停止する。
18)VD解放通知について説明する。VDポータル170のVD起動制御部190は、ユーザ情報管理サーバ350に対し、ユーザIDをパラメタとしてVD215の解放を要求する。そして、ユーザ情報管理サーバ350のアクセス元情報管理部370は、uID#aのVD_IP情報(vd#a1)を削除する。
19)VPN終了要求について説明する。ユーザは、VPNの使用を終了したい場合、端末110上でVPNの終了要求をする。次に、VPN GW120のVPN終端部150は、要求を受けたsession−IDのVPNトンネルを終了する。更に、VPN終端部150は、session−IDに対応するuID(user001)をユーザ−トンネル対応テーブルから取得する。
20)アクセス元情報の削除要求について説明する。VPN GW120のユーザ情報通知部130は、ユーザ情報管理サーバ350に対し「user001」の情報の削除要求をする。すると、ユーザ情報管理サーバ350のアクセス元情報管理部370は、「user001」に関する情報を削除する。
以上の動作により、仮想デスクトップにアクセスしている端末の場所や種別に応じたアクセス制御が可能となる。なお、第1の実施形態では、ユーザの手元の端末として携帯電話を想定したが、インターネット上のPC、Smart Phone、拠点内のPCの場合も同様である。
また、第1の実施形態では、中継装置270が認可判定を行うケースを示したが、認可判定は外部サーバで行っても良い。たとえば上記13)のURL抽出部300の処理は、次のような構成及び動作であっても良い。構成については、認可判定を行うサーバとして、認可ポリシテーブル310を保持する認可サーバを別途設ける。動作については、中継装置270が、上記認可サーバに対し認可判定依頼メッセージを送信し、その際メッセージには参照キー(アクセス元情報、受信メッセージ中の宛先URL)が指定される。そして、認可サーバは、認可ポリシテーブル310を参照し認可判定を行い、認可サーバは中継装置270に対し、認可判定を応答する。
また、第1の実施形態では、認可判定のキーとして使用するアクセス元情報を「回線、端末種別、ユーザID」と想定したが、その他のパラメタを含んでも良い。例えば、端末IPアドレス、アクセス時間などを含んでも良い。また、第1の実施形態では、アクセス元情報管理テーブル360を管理するサーバについて、ユーザ情報管理サーバ350として単独で設けたが、当該テーブルを既存サーバが内包しても良い。例えば、図20で示すように、コネクションブローカ160がアクセス元情報管理テーブル360を内包しても良い。または図21で示すように、中継装置270がアクセス元情報管理テーブル360を内包しても良い。
(第2の実施形態)
図22及び図23を用いて、第2の実施形態における仮想デスクトップ環境提供システム100について説明する。ここでは、拠点発のVDアクセスが、VPN GWを経由しない場合について説明する。
図22に、第2の実施形態における仮想デスクトップ環境提供システム100のシステム構成を示す。各サーバの内部構成は図4と同様である。なお、図22において、各サーバが保持するテーブル及びDBは第1の実施形態と同じであるため、ここでは略記する。
以下、図23で示すシーケンスに沿って、仮想デスクトップ環境提供システム100の処理について説明する。説明は第1の実施形態と同様に3フェーズに分けて行う。なお、シーケンス中の番号は第1の実施形態と対応し、第2の実施形態では、第1の実施形態と動作が全く同じものについては説明を省略する。
A)ユーザがVDを起動し、ユーザ情報管理にアクセス元情報が記録されるまでの流れ
1)乃至4)については、第2の実施形態では処理を行わない。
5)VD利用要求について説明する。ユーザは、キャリアが事前に構築した企業A向けの社内NW経由でVDポータル画面に対しHTTPでアクセスし、vdp−a宛にVD215の利用要求を行う。
6)乃至8)については、第1の実施形態と同じであるため説明を省略する。
9)VD_IPの通知について説明する。VDポータル170のVD起動制御部190は、認証DB390を参照し、通知されたインスタンスID#a1に対応するユーザIDとしてuser001を取得する。次に、VDポータル170のVD起動制御部190は、後フェーズでVD215を停止する時のために、ユーザIDと通知されたVD215のIPアドレスとの対応について、uID−VD_IP対応テーブルにキャッシュとして記録する。VDポータル170のVD起動制御部190は、「ユーザID=user001、VD_IP=vd#a1、回線=社内の拠点、端末種別=PC」の情報をユーザ情報管理サーバ350に通知する。なお、社内の拠点であることは、送信元端末110のIPアドレスが拠点内の端末に割り振ったIPアドレスであることから判断する。また、第1の実施形態と異なり、VD起動制御部190は端末種別情報も通知する。
そして、ユーザ情報管理サーバ350のアクセス元情報管理部370は、「user001」のアクセス元情報がアクセス元情報管理テーブル360に未登録なので、当該ユーザは社内拠点からVDポータル170にアクセスしていると判断し、アクセス元情報管理テーブル360に「アクセス元端末情報(回線=拠点、端末種別=PC)、アクセス元ユーザ情報(ユーザID=user001)、テナント識別子(VLAN#A)」のエントリを新規に登録する。
10)乃至17)については、第1の実施形態と同じであるため説明を省略する。
18)VD解放通知について説明する。VDポータル170のVD起動制御部190は、ユーザ情報管理サーバ350に対し、ユーザIDをパラメタとしてVD215の解放を要求する。次に、ユーザ情報管理サーバ350のアクセス元情報管理部370は、uID#aのVD_IP情報(vd#a1)を削除する。このとき、アクセス元情報管理テーブル360において、回線=拠点と記録されているので、端末−VD間にVPN GW120は無いと判断し、ユーザID#aの全情報をアクセス元情報管理テーブル360から削除する。
19)及び20)については第2の実施形態では処理を行わない。
上記のように、第2の実施形態における仮想デスクトップ環境提供システム100は、拠点発のアクセスがVPN GWを介さない場合であっても、仮想デスクトップにアクセスしている端末の場所や種別に応じたアクセス制御を可能とする。
以上、本発明の実施の形態について詳述したが、本発明は係る特定の実施の形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲において、種々の変形・変更が可能である。
100 仮想デスクトップ環境提供システム、110 ユーザ端末、120 VPN GW(Virtual Private Network GateWay)、130 ユーザ情報通知部、140 NWユーザ認証部、150 VPN終端部、160 コネクションブローカ、170 VD(Virtual Desktop)ポータル、180 VDユーザ認証部、190 VD起動制御部、200 VD実現サーバ、210 VM(Virtual Machine)制御部、215 仮想デスクトップ(VD:Virtual Desktop)、220 クライアントアプリケーション部、230 OS部、240 IP通知Agent部、250 VM部、260 物理サーバ部、270 中継装置、280 IP−アクセス元情報変換部、290 VD発判断部、300 URL(Uniform Resource Locator)抽出部、310 認可ポリシテーブル、320 認可判定部、330 廃棄部、340 業務アプリケーション、350 ユーザ情報管理サーバ、360 アクセス元情報管理テーブル、370 アクセス元情報管理部、380 認証サーバ、390 認証データベース、400 DHCP(Dynamic Host Configuration Protocol)サーバ、410 VD発判断条件テーブル

Claims (6)

  1. 端末と通信するゲートウェイと、該端末が該ゲートウェイを介して通信する仮想デスクトップを提供する提供部と、該仮想デスクトップがアクセスするアプリケーションが動作するサーバと通信する中継装置と、該端末に関する端末情報を該中継装置に送る管理部と、を有するアクセス制御システムにおいて、
    前記管理部は、
    端末に関する端末情報と、該端末から仮想デスクトップを介してアプリケーションを使用するユーザに関するユーザ情報と、該仮想デスクトップを識別する仮想デスクトップ識別情報とを組として記憶する記憶部を有し、
    前記端末情報と前記ユーザ情報とを、前記ゲートウェイから受けて前記記憶部に記憶させ、前記ユーザ情報と前記仮想デスクトップ識別情報とを、前記提供部から受けて前記記憶部に記憶させ、前記仮想デスクトップ識別情報を前記中継装置から受けると、該仮想デスクトップ識別情報をキーに前記記憶部から前記端末情報を検索して、検索された前記端末情報を前記中継装置に送り、
    前記中継装置は、前記仮想デスクトップから受けたメッセージを前記サーバに転送するか否かを、前記管理部から受けた前記端末情報から判断する、
    アクセス制御システム。
  2. 前記中継装置は、
    端末から仮想デスクトップを介してアプリケーションを使用するユーザに関するユーザ情報と、端末に関する端末情報と、該仮想デスクトップから受けたメッセージを前記サーバに転送して良いかを規定する可否情報とを組として記憶する第2記憶部を有し、
    前記メッセージを前記サーバに転送するか否かを、前記管理部から受けた前記端末情報と、前記第2記憶部から読み出した前記端末情報及び前記可否情報とを比較して判断する、
    請求項1記載のアクセス制御システム。
  3. 前記管理部は、前記仮想デスクトップ識別情報を前記中継装置から受けると、該仮想デスクトップ識別情報をキーに前記記憶部から前記端末情報及び前記ユーザ情報を検索して、検索された前記端末情報及び前記ユーザ情報を前記中継装置に送り、
    前記中継装置は、記メッセージを前記サーバに転送するか否かを、前記管理部から受けた前記端末情報及び前記ユーザ情報から判断する、
    請求項1又は2記載のアクセス制御システム
  4. 前記中継装置は、
    前記メッセージに含まれる、前記ユーザに対応するネットワークを識別するテナント識別子と前記仮想デスクトップ識別情報とに基づいて、当該メッセージが前記仮想デスクトップより送信されたメッセージであるか否かを判断し、当該メッセージが前記仮想デスクトップより送信されたメッセージであると判断した場合に、当該メッセージを前記サーバに転送するか否かを判断する、
    請求項1乃至3いずれか一項記載のアクセス制御システム。
  5. 前記端末は、前記ゲートウェイを介さずに前記提供部と通信し、
    前記管理部は、
    前記端末情報と前記ユーザ情報と前記仮想デスクトップ識別情報とを、前記提供部から受けて前記記憶部に記憶させ、前記仮想デスクトップ識別情報を前記中継装置から受けると、該仮想デスクトップ識別情報をキーに前記記憶部から前記端末情報を検索して、検索された前記端末情報を前記中継装置に送る、
    請求項1乃至4いずれか一項記載のアクセス制御システム。
  6. 端末と通信するゲートウェイと、該端末が該ゲートウェイを介して通信する仮想デスクトップを提供する提供部と、該仮想デスクトップがアクセスするアプリケーションが動作するサーバと通信する中継装置と、該端末に関する端末情報を該中継装置に送る管理部と、を有するアクセス制御システムにおいて、
    前記管理部は、
    端末に関する端末情報と、該端末から仮想デスクトップを介してアプリケーションを使用するユーザに関するユーザ情報と、該仮想デスクトップを識別する仮想デスクトップ識別情報とを組として記憶部に記憶させる手順と、
    前記端末情報と前記ユーザ情報とを、前記ゲートウェイから受けて前記記憶部に記憶させ、前記ユーザ情報と前記仮想デスクトップ識別情報とを、前記提供部から受けて前記記憶部に記憶させ、前記仮想デスクトップ識別情報を前記中継装置から受けると、該仮想デスクトップ識別情報をキーに前記記憶部から前記端末情報を検索して、検索された前記端末情報を前記中継装置に送る手順とを実行し、
    前記中継装置は、前記仮想デスクトップから受けたメッセージを前記サーバに転送するか否かを、前記管理部から受けた前記端末情報から判断する、
    アクセス制御方法。
JP2010016813A 2010-01-28 2010-01-28 アクセス制御システム及びアクセス制御方法 Expired - Fee Related JP5333263B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2010016813A JP5333263B2 (ja) 2010-01-28 2010-01-28 アクセス制御システム及びアクセス制御方法
US13/013,059 US8359633B2 (en) 2010-01-28 2011-01-25 Access control system and access control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010016813A JP5333263B2 (ja) 2010-01-28 2010-01-28 アクセス制御システム及びアクセス制御方法

Publications (2)

Publication Number Publication Date
JP2011154622A true JP2011154622A (ja) 2011-08-11
JP5333263B2 JP5333263B2 (ja) 2013-11-06

Family

ID=44309989

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010016813A Expired - Fee Related JP5333263B2 (ja) 2010-01-28 2010-01-28 アクセス制御システム及びアクセス制御方法

Country Status (2)

Country Link
US (1) US8359633B2 (ja)
JP (1) JP5333263B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9779194B2 (en) 2015-01-27 2017-10-03 Fujitsu Limited Link system, link program, and link method
JP2018029234A (ja) * 2016-08-15 2018-02-22 日本電信電話株式会社 クライアント端末認証システム及びクライアント端末認証方法
JP2021533591A (ja) * 2019-06-04 2021-12-02 シトリックス・システムズ・インコーポレイテッドCitrix Systems, Inc. プライベートネットワークへのDaaS(Desktop as a Service )セッションのためのダイレクトルーティングを提供するコンピュータシステムおよび関連する方法

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8756293B2 (en) * 2007-04-23 2014-06-17 Nholdings Sa Providing a user with virtual computing services
CN102281337A (zh) * 2011-07-29 2011-12-14 赛尔网络有限公司 目的地址访问控制方法和系统
US9710626B2 (en) 2012-07-06 2017-07-18 International Business Machines Corporation Security model for network information service
US9692858B2 (en) * 2012-07-17 2017-06-27 International Business Machines Corporation Security model for a memory of a network information system
TWI475490B (zh) 2012-09-18 2015-03-01 Wistron Corp 虛擬檔案傳輸系統及其虛擬檔案傳輸之方法
CN102932792B (zh) * 2012-11-14 2016-06-15 邦讯技术股份有限公司 一种实现无线网络云的方法及控制器
US9342331B2 (en) * 2013-10-21 2016-05-17 International Business Machines Corporation Secure virtualized mobile cellular device
CN104901923B (zh) * 2014-03-04 2018-12-25 新华三技术有限公司 一种虚拟机访问装置和方法
US10623285B1 (en) * 2014-05-09 2020-04-14 Amazon Technologies, Inc. Multi-mode health monitoring service
DE102014226625A1 (de) * 2014-10-31 2016-05-04 Cortado Ag Verfahren zur Übertragung von Druckdaten, Server und mobiles Endgerät
WO2016176434A1 (en) * 2015-04-28 2016-11-03 Duke Manufacturing Co. System and apparatus for connecting kitchen components
US10567347B2 (en) * 2015-07-31 2020-02-18 Nicira, Inc. Distributed tunneling for VPN
US10044502B2 (en) 2015-07-31 2018-08-07 Nicira, Inc. Distributed VPN service
US10404761B2 (en) * 2016-02-04 2019-09-03 Airwatch, Llc Segregating VPN traffic based on the originating application
CN108306930B (zh) * 2017-12-22 2021-02-09 华为技术有限公司 远程桌面系统及图像数据共享方法
US11601402B1 (en) * 2018-05-03 2023-03-07 Cyber Ip Holdings, Llc Secure communications to multiple devices and multiple parties using physical and virtual key storage
CN110191158A (zh) * 2019-05-09 2019-08-30 厦门网宿有限公司 一种云桌面服务实现方法和系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001127821A (ja) * 1999-11-01 2001-05-11 Ntt Data Corp データ通信制御方式及び方法
JP2009245301A (ja) * 2008-03-31 2009-10-22 Nec Corp セッション管理・制御装置、方法、及び、プログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040015725A1 (en) * 2000-08-07 2004-01-22 Dan Boneh Client-side inspection and processing of secure content
JP2008152591A (ja) * 2006-12-19 2008-07-03 Hitachi Ltd 情報処理装置の割当て方法、情報処理システム及び管理サーバ
JP5047870B2 (ja) 2008-04-17 2012-10-10 株式会社日立製作所 マスタ管理システム、マスタ管理方法、およびマスタ管理プログラム
US20100088397A1 (en) * 2008-10-03 2010-04-08 Joe Jaudon Systems for dynamically updating virtual desktops or virtual applications
US7937438B1 (en) * 2009-12-07 2011-05-03 Amazon Technologies, Inc. Using virtual networking devices to manage external connections

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001127821A (ja) * 1999-11-01 2001-05-11 Ntt Data Corp データ通信制御方式及び方法
JP2009245301A (ja) * 2008-03-31 2009-10-22 Nec Corp セッション管理・制御装置、方法、及び、プログラム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9779194B2 (en) 2015-01-27 2017-10-03 Fujitsu Limited Link system, link program, and link method
JP2018029234A (ja) * 2016-08-15 2018-02-22 日本電信電話株式会社 クライアント端末認証システム及びクライアント端末認証方法
JP2021533591A (ja) * 2019-06-04 2021-12-02 シトリックス・システムズ・インコーポレイテッドCitrix Systems, Inc. プライベートネットワークへのDaaS(Desktop as a Service )セッションのためのダイレクトルーティングを提供するコンピュータシステムおよび関連する方法
JP7092432B2 (ja) 2019-06-04 2022-06-28 シトリックス・システムズ・インコーポレイテッド プライベートネットワークへのDaaS(Desktop as a Service )セッションのためのダイレクトルーティングを提供するコンピュータシステムおよび関連する方法

Also Published As

Publication number Publication date
US8359633B2 (en) 2013-01-22
JP5333263B2 (ja) 2013-11-06
US20110185398A1 (en) 2011-07-28

Similar Documents

Publication Publication Date Title
JP5333263B2 (ja) アクセス制御システム及びアクセス制御方法
US11563685B2 (en) Method and apparatus for traffic optimization in virtual private networks (VPNs)
US8000280B2 (en) Network communication apparatus, network communication method, and address management apparatus
US8914510B2 (en) Methods, systems, and computer program products for enhancing internet security for network subscribers
CN103023898A (zh) 一种访问vpn服务端内网资源的方法及装置
EP1902383A2 (en) Unified architecture for remote network access
JP2008181427A (ja) シングルサインオンシステム、情報端末装置、シングルサインオンサーバ、プログラム
WO2014075312A1 (zh) 一种网络穿越服务的提供方法、装置及系统
US8171541B2 (en) Enabling provider network inter-working with mobile access
CN104539902B (zh) 一种ipc的远程访问方法和系统
CN109548022B (zh) 一种移动终端用户远程接入本地网络的方法
JP4253569B2 (ja) 接続制御システム、接続制御装置、及び接続管理装置
JP2016144186A (ja) 通信情報制御装置、中継システム、通信情報制御方法、および、通信情報制御プログラム
CN109379339A (zh) 一种Portal认证方法及装置
JP2009147695A (ja) 通信制御方法およびシステム
CN104168302B (zh) 设备操控实现方法、系统和代理网关
JP3935823B2 (ja) Httpセッション・トンネリング・システム、その方法、及びそのプログラム
JPWO2015025848A1 (ja) 通信システム、制御指示装置、通信制御方法及びプログラム
JP6359260B2 (ja) クラウド環境においてセキュアなクレジットカードシステムを実現するための情報処理システムおよびファイアウォール装置
JP5137201B2 (ja) ユーザ認証型リバースプロキシー装置、そのデータ中継方法、およびそのプログラム
JP2008098937A (ja) 仮想ネットワーク通信システムおよび通信端末
JP2004240819A (ja) 認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および分散型認証アクセス制御システム
EP3253004B1 (en) Communication control device, communication control method, and communication control program
JP2004220075A (ja) ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム
JP6225283B1 (ja) 閉域ネットワーク接続装置、プログラム及び方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121005

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130702

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130703

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130715

R150 Certificate of patent or registration of utility model

Ref document number: 5333263

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees