JP2016072801A - Communication monitoring device and communication monitoring system - Google Patents

Communication monitoring device and communication monitoring system Download PDF

Info

Publication number
JP2016072801A
JP2016072801A JP2014200159A JP2014200159A JP2016072801A JP 2016072801 A JP2016072801 A JP 2016072801A JP 2014200159 A JP2014200159 A JP 2014200159A JP 2014200159 A JP2014200159 A JP 2014200159A JP 2016072801 A JP2016072801 A JP 2016072801A
Authority
JP
Japan
Prior art keywords
communication
unit
management system
control device
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014200159A
Other languages
Japanese (ja)
Other versions
JP6628120B2 (en
Inventor
智宏 織田
Tomohiro Oda
智宏 織田
正夫 秋元
Masao Akimoto
正夫 秋元
藏前 健治
Kenji Kuramae
健治 藏前
浩茂 中谷
Hiroshige Nakatani
浩茂 中谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2014200159A priority Critical patent/JP6628120B2/en
Publication of JP2016072801A publication Critical patent/JP2016072801A/en
Application granted granted Critical
Publication of JP6628120B2 publication Critical patent/JP6628120B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a communication monitoring device that simply and properly restricts connection by an authorized apparatus.SOLUTION: A communication monitoring device comprises: a communication unit 17 that receives, from an object apparatus connected with a network N, communication start notification when the object apparatus starts communication in a management system M; a storage unit 11 that stores a determination criterion to determine whether or not an apparatus is valid in the management system M; a determination unit 101 that determines whether or not the object apparatus is a valid apparatus in the management system M by comparing the communication start notification received by the communication unit 17 with the determination criterion 12 stored in the storage unit 11; and a communication restriction unit 102 that restricts communication by the object apparatus if the determination unit 101 has determined that the object apparatus is not a valid apparatus.SELECTED DRAWING: Figure 2

Description

本発明は、ネットワークにおける通信を監視する通信監視装置及び通信監視システムに関する。   The present invention relates to a communication monitoring apparatus and a communication monitoring system for monitoring communication in a network.

エアコン、照明、電力量計等に接続された制御装置が、電気使用状況や発電状況を取得することにより、宅内等におけるエネルギーの管理を支援するエネルギーマネジメントシステム(EMS)知られている(特許文献1参照)。   An energy management system (EMS) is known in which a control device connected to an air conditioner, lighting, watt-hour meter, etc. acquires energy usage status and power generation status to support energy management in the home (patent document). 1).

EMSでは、各社の機器が標準化されたプロトコルで通信することが求められるが、接続される機器によってはシステムの動作に影響を与える可能性がある。例えば、標準プロトコルに従うように作成された不正なプログラムにより、コンピュータからEMSに接続され、EMSが悪用される可能性がある。   In EMS, devices of various companies are required to communicate with a standardized protocol, but depending on the connected devices, there is a possibility of affecting the operation of the system. For example, there is a possibility that an unauthorized program created so as to follow a standard protocol is connected to the EMS from the computer and the EMS can be abused.

特開2013-219848号公報JP 2013-21848 A

不正な接続からEMSを保護するには、EMSを構成するすべての機器を保護する必要があるが、EMSを構成する全ての機器が不正な通信を検知及び遮断する機能を有すること及び全ての機器に対する不正な通信を検知及び遮断することは一般に困難である。   In order to protect the EMS from unauthorized connection, it is necessary to protect all the devices constituting the EMS, but all the devices constituting the EMS have a function of detecting and blocking unauthorized communication and all the devices. It is generally difficult to detect and block unauthorized communications.

本発明は、上記問題点を鑑み、不正な通信を簡単且つ適正に制限することができる通信監視装置及び通信監視システムを提供することを目的とする。   An object of this invention is to provide the communication monitoring apparatus and communication monitoring system which can restrict | limit unauthorized communication simply and appropriately in view of the said problem.

上記目的を達成するために、本発明の第1の態様は、機器と、機器を登録することにより機器を管理する管理システムを構成する制御装置とに、ネットワークを介して通信可能に接続される通信監視装置であって、ネットワークに接続された対象機器から、対象機器が管理システムにおける通信を開始する際の通信開始通知を受信する通信部と、管理システムにおける正当な機器か否かの判断基準を記憶する記憶部と、通信部により受信された通信開始通知と、記憶部に記憶された判断基準とを比較することにより、対象機器が管理システムにおける正当な機器か否かを判断する判断部と、判断部により対象機器が正当な機器でないと判断された場合において、対象機器の通信を制限する通信制限部とを備える通信監視装置であることを要旨とする。   In order to achieve the above object, the first aspect of the present invention is communicably connected to a device and a control device constituting a management system that manages the device by registering the device via a network. A communication monitoring device that receives from a target device connected to a network a communication start notification when the target device starts communication in the management system, and a criterion for determining whether the target device is a valid device in the management system A determination unit that determines whether the target device is a legitimate device in the management system by comparing a communication start notification received by the communication unit and a determination criterion stored in the storage unit And a communication monitoring device that restricts the communication of the target device when the determination unit determines that the target device is not a valid device. To.

本発明の第2の態様は、機器と、機器を登録することにより機器を管理する管理システムを構成する制御装置と、機器と制御装置とにネットワークを介して通信可能に接続される通信監視装置とを備える通信監視システムであることを要旨とし、通信監視装置は、ネットワークに接続された対象機器から、対象機器が管理システムにおける通信を開始する際の通信開始通知を受信する通信部、管理システムにおける正当な機器か否かの判断基準を記憶する記憶部、通信部により受信された通信開始通知と、記憶部に記憶された判断基準とを比較することにより、対象機器が管理システムにおける正当な機器か否かを判断する判断部、及び判断部により対象機器が正当な機器でないと判断された場合において、対象機器の通信を制限する通信制限部を備えることを特徴とする。   According to a second aspect of the present invention, there is provided a device, a control device that constitutes a management system that manages the device by registering the device, and a communication monitoring device that is communicably connected to the device and the control device via a network. The communication monitoring device includes: a communication unit that receives a communication start notification when the target device starts communication in the management system from the target device connected to the network; The storage unit that stores the criteria for determining whether or not the device is a legitimate device, the communication start notification received by the communication unit, and the judgment criteria stored in the storage unit are compared to determine whether the target device is legitimate in the management system. A communication unit that restricts communication of the target device when the target device is determined not to be a legitimate device by the determination unit that determines whether or not the device is a device. Characterized in that it comprises a part.

本発明によれば、不正な機器による接続を簡単且つ適正に制限することができる通信監視装置及び通信監視システムを提供することができる。   ADVANTAGE OF THE INVENTION According to this invention, the communication monitoring apparatus and communication monitoring system which can restrict | limit the connection by an unauthorized apparatus simply and appropriately can be provided.

本発明の実施の形態に係る通信監視システムの基本的な構成を説明する模式的なブロック図である。It is a typical block diagram explaining the fundamental structure of the communication monitoring system which concerns on embodiment of this invention. 本発明の実施の形態に係る通信監視システムが備える通信監視装置の基本的な構成を説明するブロック図である。It is a block diagram explaining the basic composition of the communication monitoring device with which the communication monitoring system concerning an embodiment of the invention is provided. 本発明の実施の形態に係る通信監視システムに用いる登録機器情報を図示した一例である。It is an example which illustrated the registration apparatus information used for the communication monitoring system which concerns on embodiment of this invention. 本発明の実施の形態に係る通信監視システムに用いるネットワーク情報を図示した一例である。It is an example which illustrated the network information used for the communication monitoring system which concerns on embodiment of this invention. 本発明の実施の形態に係る通信監視システムが備える監視情報を図示した一例である。It is an example which illustrated the monitoring information with which the communication monitoring system concerning an embodiment of the invention is provided. 本発明の実施の形態に係る通信監視システムの動作例を説明するシーケンス図である。It is a sequence diagram explaining the operation example of the communication monitoring system which concerns on embodiment of this invention. 本発明の実施の形態に係る通信監視システムが備える通信監視装置の動作例を説明するフローチャートである。It is a flowchart explaining the operation example of the communication monitoring apparatus with which the communication monitoring system which concerns on embodiment of this invention is provided.

次に、図面を参照して、本発明の実施形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付し、重複する説明を省略している。   Next, an embodiment of the present invention will be described with reference to the drawings. In the following description of the drawings, the same or similar parts are denoted by the same or similar reference numerals, and redundant description is omitted.

(通信監視システム)
本発明の実施の形態に係る通信監視システムは、図1に示すように、通信監視装置1と、制御装置2と、複数の機器3a〜3cと、通信監視装置1、制御装置2及び複数の機器3a〜3cを互いに通信可能に接続するネットワークNと、ルータ6とを備える。ルータ6は、例えば宅内のネットワークNに接続され、制御装置2及び機器3a〜3cと、インターネット7との通信を中継する。 (Communication monitoring system)
As shown in FIG. 1, the communication monitoring system according to the embodiment of the present invention includes a communication monitoring device 1, a control device 2, a plurality of devices 3a to 3c, a communication monitoring device 1, a control device 2, and a plurality of devices. A network N that connects the devices 3a to 3c so that they can communicate with each other, and a router 6 are provided. The router 6 is connected to, for example, a home network N and relays communication between the control device 2 and the devices 3a to 3c and the Internet 7.

制御装置2は、機器3a〜3cとそれぞれ相互認証することにより、機器3a〜3cを登録する。制御装置2は、機器3a〜3cを登録することにより、機器3a〜3cと共に管理システムMを構成する。管理システムMは、例えば、機器3a〜3cの使用電力量、発電余剰電力量等を制御装置2により管理するホームエネルギーマネジメントシステム(HEMS)である。   The control device 2 registers the devices 3a to 3c by mutual authentication with the devices 3a to 3c, respectively. The control device 2 configures the management system M together with the devices 3a to 3c by registering the devices 3a to 3c. The management system M is, for example, a home energy management system (HEMS) in which the control device 2 manages the amount of power used by the devices 3a to 3c, the amount of surplus power generated, and the like.

制御装置2は、例えばHEMSにおけるコントローラである。この場合、機器3a〜3cは、例えば、エアコン、冷蔵庫、照明装置等の家電機器や、太陽電池、蓄電池等の電源機器からそれぞれ構成される。機器3a〜3cは、その他、スマートメータ、電気自動車(EV)、プラグインハイブリッド車(PHV)、給湯器等から構成されてもよい。図1に示す例おいて、制御装置2と管理システムMを構成する機器3a〜3cの数は、3となっているが、単数であっても、3以外の複数であってもよい。   The control device 2 is a controller in HEMS, for example. In this case, the devices 3a to 3c are respectively configured from home appliances such as an air conditioner, a refrigerator, and a lighting device, and power supply devices such as a solar battery and a storage battery. In addition, the devices 3a to 3c may include a smart meter, an electric vehicle (EV), a plug-in hybrid vehicle (PHV), a water heater, and the like. In the example illustrated in FIG. 1, the number of the devices 3 a to 3 c configuring the control device 2 and the management system M is 3, but may be a single number or a number other than three.

ネットワークNの回線は、無線であっても有線であってもよい。ネットワークNは、適宜、スイッチングハブ、アクセスポイント等の中継装置を含む。本発明の実施の形態に係る通信監視システムは、図1に示すように、ネットワークNに不正機器4が接続された場合であっても、ネットワークNにおける通信を監視することにより、不正機器4による不正な通信を制限することができる。ネットワークNは、例えばパソコン等のその他の機器5が接続されてもよい。   The line of the network N may be wireless or wired. The network N appropriately includes relay devices such as switching hubs and access points. As shown in FIG. 1, the communication monitoring system according to the embodiment of the present invention can monitor the communication in the network N even if the unauthorized device 4 is connected to the network N. Unauthorized communication can be restricted. The network N may be connected to another device 5 such as a personal computer.

通信監視装置1は、図2に示すように、処理部10と、記憶部11と、提示部16と、通信部17とを備えるコンピュータからなる。通信監視装置1は、記憶部11に記憶されたプログラムを処理部10により実行する。記憶部11は、例えば、ディスクメディアや半導体メモリ等の記憶装置から構成される。通信部17は、ネットワークNに通信可能に接続され、処理部10の制御に応じて、ネットワークNに接続された他の機器と通信する。   As illustrated in FIG. 2, the communication monitoring device 1 includes a computer including a processing unit 10, a storage unit 11, a presentation unit 16, and a communication unit 17. The communication monitoring apparatus 1 executes the program stored in the storage unit 11 by the processing unit 10. The storage unit 11 includes a storage device such as a disk medium or a semiconductor memory, for example. The communication unit 17 is communicably connected to the network N, and communicates with other devices connected to the network N according to the control of the processing unit 10.

処理部10は、判断部101と、通信制限部102と、監視処理部103とを論理構造として有する。処理部10は、例えばマイクロコンピュータ等の演算処理装置から構成される。処理部10が論理構造として有する各部は、一体のハードウェアから構成されてもよく、別個のハードウェアから構成されてもよい。   The processing unit 10 includes a determination unit 101, a communication restriction unit 102, and a monitoring processing unit 103 as a logical structure. The processing unit 10 includes an arithmetic processing device such as a microcomputer. Each unit that the processing unit 10 has as a logical structure may be configured by integral hardware or may be configured by separate hardware.

判断部101は、通信部17により取得された情報から、ネットワークNにおける通信を監視し、ネットワークNに新たな機器が接続されたことを検知する。判断部101は、新たに接続された機器を対象機器として、対象機器が正当な機器か否かを判断する。通信制限部102は、判断部101により対象機器が正当な機器でないと判断された場合において、対象機器の通信を制限する。   The determination unit 101 monitors communication in the network N from information acquired by the communication unit 17 and detects that a new device is connected to the network N. The determination unit 101 determines whether the target device is a valid device with the newly connected device as the target device. The communication restriction unit 102 restricts communication of the target device when the determination unit 101 determines that the target device is not a valid device.

監視処理部103は、判断部101の監視に関する種々の演算を処理する。監視処理部103は、判断部101が正当な機器か否かの判断に用いる判断基準12を作成し、記憶部11に記憶させる。監視処理部103は、判断部101が監視したネットワークNの通信から、ネットワークNの構成、通信履歴を取得する。   The monitoring processing unit 103 processes various calculations related to monitoring by the determination unit 101. The monitoring processing unit 103 creates a determination criterion 12 used for determining whether or not the determination unit 101 is a legitimate device, and stores it in the storage unit 11. The monitoring processing unit 103 acquires the configuration of the network N and the communication history from the communication of the network N monitored by the determination unit 101.

記憶部11は、登録機器情報13と、ネットワーク情報14と、監視情報15とを判断基準12として記憶する。登録機器情報13は、例えば図3に示すように、制御装置2に登録されている機器3a〜3cに関する情報である。登録機器情報13は、機器3a〜3cのIP(Internet Protocol)アドレス、MAC(Media Access Control)アドレス及び機器種別情報(インスタンスリスト)がそれぞれ機器3a〜3cに関連付けて記憶される。   The storage unit 11 stores registered device information 13, network information 14, and monitoring information 15 as determination criteria 12. The registered device information 13 is information related to the devices 3a to 3c registered in the control device 2, for example, as shown in FIG. The registered device information 13 stores the IP (Internet Protocol) address, MAC (Media Access Control) address, and device type information (instance list) of the devices 3a to 3c in association with the devices 3a to 3c, respectively.

制御装置2は、各機器3a〜3cが管理システムMに参入するために、管理システムMにおける通信を開始する際にブロードキャストによりそれぞれ送信する通信開始通知から、登録機器情報13を取得する。通信開始通知は、目標とする制御装置2のMACアドレス(物理アドレス)を要求するARP(Address Resolution Protocol)要求である。   The control device 2 acquires the registered device information 13 from a communication start notification that is transmitted by broadcast when communication in the management system M is started so that the devices 3a to 3c enter the management system M. The communication start notification is an ARP (Address Resolution Protocol) request for requesting the target MAC address (physical address) of the control device 2.

登録機器情報13は、監視処理部103により、通信部17を介して制御装置2から取得され、記憶部11に記憶される。登録機器情報13は、例えば、HEMSにおいて使用される標準化されたプロトコルである「ECHONET Lite」(登録商標)のインスタンスリスト通知により取得される。インスタンスリストは、制御装置2に登録されている機器3a〜3cそれぞれの種別を示す機器種別情報を含む。   The registered device information 13 is acquired from the control device 2 by the monitoring processing unit 103 via the communication unit 17 and stored in the storage unit 11. The registered device information 13 is acquired by, for example, an instance list notification of “ECHONET Lite” (registered trademark), which is a standardized protocol used in HEMS. The instance list includes device type information indicating the type of each of the devices 3a to 3c registered in the control device 2.

ネットワーク情報14は、例えば図4に示すように、ネットワークNに接続される全ての機器に関する情報である。ネットワーク情報14は、監視処理部103により作成され、記憶部11に記憶される。ネットワーク情報14は、MACアドレス、IPアドレス、機器種別情報及び判断指標がそれぞれネットワークNに接続される全ての機器に関連付けて記憶される。監視処理部103は、制御装置2から取得された登録機器情報13又はネットワークNに接続される各機器から送信された通信開始通知から、MACアドレス、IPアドレス、機器種別情報を取得する。   The network information 14 is information related to all devices connected to the network N as shown in FIG. The network information 14 is created by the monitoring processing unit 103 and stored in the storage unit 11. In the network information 14, the MAC address, IP address, device type information, and determination index are stored in association with all devices connected to the network N. The monitoring processing unit 103 acquires the MAC address, IP address, and device type information from the registered device information 13 acquired from the control device 2 or the communication start notification transmitted from each device connected to the network N.

ネットワーク情報14の判断指標は、MACアドレス、IPアドレス又は機器種別情報に基づいて、監視処理部103により決定される。判断指標において、「ルータ」と記録された機器はルータ6であることを意味し、「登録」と記録された機器は、機器3a〜3cであることを意味している。「外部機器」と記録された機器は、管理システムMに参入していないが正当な機器であるその他の機器5であることを意味している。また、「遮断対象」と記録された機器は、既に判断部101により正当な機器でないと判断された不正機器4であることを意味している。   The determination index of the network information 14 is determined by the monitoring processing unit 103 based on the MAC address, IP address, or device type information. In the determination index, the device recorded as “router” means the router 6, and the devices recorded as “registered” mean the devices 3 a to 3 c. The device recorded as “external device” means the other device 5 that has not entered the management system M but is a valid device. In addition, the device recorded as “blocking target” means the unauthorized device 4 that has already been determined not to be a valid device by the determination unit 101.

監視情報15は、例えば図5に示すように、通信部17が通信開始通知(ARP要求)を受信する毎に更新される判断部101による判断の履歴である。監視情報15は、通信開始通知の送信日時、送信元IPアドレス、送信先IPアドレス(宛先IPアドレス)、通信の分析結果及び判断部101による判断結果を、通信開始通知毎に記憶される。   For example, as shown in FIG. 5, the monitoring information 15 is a determination history by the determination unit 101 that is updated each time the communication unit 17 receives a communication start notification (ARP request). The monitoring information 15 stores the transmission start date and time, the transmission source IP address, the transmission destination IP address (destination IP address), the communication analysis result, and the determination result by the determination unit 101 for each communication start notification.

判断部101は、通信開始通知を送信した機器を対象機器として、通信部17が通信開始通知を受信したことに応じて、対象機器が管理システムMにおける正当な機器か否かを判断する。判断部101は、通信部17により受信された通信開始通知と、判断基準12とを比較することにより、対象機器が正当な機器か否かを判断する。   The determination unit 101 determines whether the target device is a valid device in the management system M in response to the communication unit 17 receiving the communication start notification with the device that transmitted the communication start notification as the target device. The determination unit 101 determines whether the target device is a legitimate device by comparing the communication start notification received by the communication unit 17 with the determination criterion 12.

例えば、判断部101は、ブロードキャストにより送信されたARP要求の宛先IPアドレスが、制御装置2のIPアドレスと異なる場合において、対象機器が正当な機器でないと判断する。一般に、管理システムMに参入する場合、先ず制御装置2と相互認証し、制御装置2に登録される必要がある。よって、判断部101は、制御装置2以外のMACアドレスを要求する対象機器に対して、不正な機器であると判断する。   For example, the determination unit 101 determines that the target device is not a valid device when the destination IP address of the ARP request transmitted by broadcast is different from the IP address of the control device 2. In general, when entering the management system M, it is first necessary to mutually authenticate with the control device 2 and be registered in the control device 2. Therefore, the determination unit 101 determines that the target device that requests a MAC address other than the control device 2 is an unauthorized device.

通信制限部102は、判断部101により対象機器が正当な機器でないと判断された場合において、対象機器の通信を制限するように、対象機器の通信を妨害するように機能する妨害パケットを対象機器に送信する。   The communication restriction unit 102, when the determination unit 101 determines that the target device is not a legitimate device, transmits a disturbing packet that functions to interfere with communication of the target device so as to restrict communication of the target device. Send to.

例えば、通信制限部102は、制御装置2以外のIPアドレスを宛先アドレスとして、制御装置2のMACアドレスを要求するARP要求を送信した不正機器4に対して、妨害パケットを送信する。通信制限部102は、例えば、制御装置2のMACアドレスと異なるMACアドレスを含む偽のARP応答を、妨害パケットとして不正機器4に送信する。偽のARP応答は、例えば通信監視装置1の通信部17のMACアドレスを、制御装置2のMACアドレスとして含む。これにより、不正機器4が制御装置2に宛てて送信する要求等のパケットは、全て通信監視装置1の通信部17に送信されることになる。通信部17は、不正機器4から送信されるパケットを全て破棄すればよい。   For example, the communication restriction unit 102 transmits a disturbing packet to the unauthorized device 4 that has transmitted an ARP request for requesting the MAC address of the control device 2 using an IP address other than the control device 2 as a destination address. For example, the communication restriction unit 102 transmits a fake ARP response including a MAC address different from the MAC address of the control device 2 to the unauthorized device 4 as a disturbing packet. The fake ARP response includes, for example, the MAC address of the communication unit 17 of the communication monitoring device 1 as the MAC address of the control device 2. As a result, all packets such as requests transmitted from the unauthorized device 4 to the control device 2 are transmitted to the communication unit 17 of the communication monitoring device 1. The communication unit 17 may discard all packets transmitted from the unauthorized device 4.

提示部16は、光、画像、文字等を出力するディスプレイ装置や、音声を出力するスピーカ等からなる。提示部16は、判断部101が対象機器に対して正当な機器でないと判断したことに応じて、ネットワークN内において不正な機器が検出されたことを報知する報知情報をユーザに提示する。   The presentation unit 16 includes a display device that outputs light, images, characters, and the like, a speaker that outputs sound, and the like. In response to the determination unit 101 determining that the device is not valid with respect to the target device, the presentation unit 16 presents notification information to notify the user that an unauthorized device has been detected in the network N.

なお、本発明の実施の形態において、不正な(正当でない)機器とは、標準化されたプロトコルで通信するが、管理システムMにおける正常な動作が担保されていない機器、管理システムMに悪影響を与えることを想定された機器等を意味する。   In the embodiment of the present invention, an unauthorized (invalid) device communicates with a standardized protocol, but adversely affects the management system M that does not guarantee normal operation in the management system M. This means equipment that is supposed to be.

(通信監視システムの動作)
以下、図6のシーケンス図を用いて、本発明の実施の形態に係る通信監視システムの動作の一例を説明する。 (Operation of communication monitoring system)
Hereinafter, an example of the operation of the communication monitoring system according to the embodiment of the present invention will be described with reference to the sequence diagram of FIG.

例えば、ステップS101において、ネットワークNに接続された機器3aが制御装置2のMACアドレスを要求するARP要求をブロードキャストにより送信する。なお、図6において破線は、ブロードキャストを意味し、ネットワークNに接続された全ての機器にARP要求が送信されていることを示す。ステップS102において、制御装置2は、ステップS101のARP要求に応じて、自身のMACアドレスを含むARP応答を機器3aにユニキャストにより送信する。制御装置2がARP応答を送信することにより、機器3a及び制御装置2は、互いのMACアドレスを取得し、互いに通信可能に接続される。   For example, in step S101, the device 3a connected to the network N transmits an ARP request for requesting the MAC address of the control device 2 by broadcasting. In FIG. 6, a broken line means broadcast and indicates that an ARP request is transmitted to all devices connected to the network N. In step S102, the control device 2 transmits an ARP response including its own MAC address to the device 3a by unicast in response to the ARP request in step S101. When the control device 2 transmits an ARP response, the device 3a and the control device 2 acquire each other's MAC address and are connected to be communicable with each other.

同様に、ステップS103において機器3bがARP要求を送信した場合、制御装置2は、ステップS104において、自身のMACアドレスを含むARP応答を機器3bに送信する。パソコン、スマートフォン、タブレット端末等のその他の機器5の場合も同様に、ステップS105において機器5がARP要求を送信すると、制御装置2は、ステップS106において、自身のMACアドレスを含むARP応答を機器5に送信する。   Similarly, when the device 3b transmits an ARP request in step S103, the control device 2 transmits an ARP response including its own MAC address to the device 3b in step S104. Similarly, in the case of other devices 5 such as a personal computer, a smartphone, and a tablet terminal, when the device 5 transmits an ARP request in step S105, the control device 2 sends an ARP response including its own MAC address to the device 5 in step S106. Send to.

通信監視装置1は、ステップS101,S103,S105のARP要求が制御装置2のMACアドレスを要求するものであり、判断基準12に基づいて、機器5及び登録機器情報13とアドレスが一致する機器3a,3bを正当な機器であると判断する。この場合、通信監視装置1は、機器3a,3b及び機器5に対して通信を制限する妨害パケットを送信しない。   In the communication monitoring device 1, the ARP request in steps S101, S103, and S105 requests the MAC address of the control device 2, and the device 3a whose address matches the device 5 and the registered device information 13 based on the determination criterion 12. , 3b are determined to be valid devices. In this case, the communication monitoring apparatus 1 does not transmit an interference packet that restricts communication to the devices 3a and 3b and the device 5.

例えば、ステップS107において、不正機器4が、制御装置2のMACアドレスを要求するARP要求をブロードキャストにより送信する。ステップS108において、制御装置2は、ステップS107のARP要求に応じて、自身のMACアドレスを含むARP応答を不正機器4にユニキャストにより送信する。ARP応答によって、不正機器4及びネットワークNに含まれるスイッチングハブ等の中継装置は、制御装置2のMACアドレスを記憶し、不正機器4と制御装置2との間が一時的に通信可能に接続される。   For example, in step S107, the unauthorized device 4 transmits an ARP request for requesting the MAC address of the control device 2 by broadcasting. In step S108, the control device 2 transmits an ARP response including its own MAC address to the unauthorized device 4 by unicast in response to the ARP request in step S107. By the ARP response, the relay device such as the switching hub included in the unauthorized device 4 and the network N stores the MAC address of the control device 2, and the unauthorized device 4 and the control device 2 are temporarily connected to be communicable. The

ステップS107において、通信監視装置1は、ARP要求に含まれる送信元MACアドレス又は送信元IPアドレス(送信元アドレス)を、ネットワーク情報14において「遮断対象」と記録される機器のアドレスから検知したとする。この場合、通信制限部102は、ステップS107において通信部17がARP要求を受信してから所定時間経過後のステップS109において、妨害パケットである偽のARP応答を不正機器4に送信する。ステップS109の処理は、ステップS108のARP応答が確実に送信された後に行われるように、例えばステップS107においてARP要求を受信してから数十ms〜数秒後とすることができる。   In step S107, the communication monitoring apparatus 1 detects the source MAC address or source IP address (source address) included in the ARP request from the address of the device recorded as “blocking target” in the network information 14. To do. In this case, the communication restriction unit 102 transmits a false ARP response, which is a disturbing packet, to the unauthorized device 4 in step S109 after a predetermined time has elapsed since the communication unit 17 received the ARP request in step S107. The process of step S109 can be performed, for example, several tens of ms to several seconds after receiving the ARP request in step S107, so as to be performed after the ARP response of step S108 has been reliably transmitted.

ステップS109の偽のARP応答によって、不正機器4及びネットワークNに含まれるスイッチングハブ等の中継装置は、制御装置2のMACアドレスとして制御装置2のMACアドレスと異なるアドレスを上書きする。これにより、通信監視装置1は、不正機器4を制御装置2と通信不能とすることができる。   The relay device such as the switching hub included in the unauthorized device 4 and the network N overwrites an address different from the MAC address of the control device 2 as the MAC address of the control device 2 by the false ARP response in step S109. Thereby, the communication monitoring apparatus 1 can make the unauthorized device 4 incapable of communicating with the control device 2.

また、ステップS110において、不正機器4が、機器3aのMACアドレスを要求するARP要求をブロードキャストにより送信したとする。ステップS111において、機器3aは、ステップS110のARP要求に応じて、自身のMACアドレスを含むARP応答を不正機器4にユニキャストにより送信する。ARP応答によって、不正機器4及びネットワークNに含まれるスイッチングハブ等の中継装置は、機器3aのMACアドレスを記憶し、不正機器4と機器3aとの間が一時的に通信可能に接続される。   In step S110, it is assumed that the unauthorized device 4 broadcasts an ARP request that requests the MAC address of the device 3a. In step S111, the device 3a transmits an ARP response including its own MAC address to the unauthorized device 4 by unicast in response to the ARP request in step S110. By the ARP response, the relay device such as the switching hub included in the unauthorized device 4 and the network N stores the MAC address of the device 3a, and the unauthorized device 4 and the device 3a are temporarily connected to be communicable.

ステップS110において、通信監視装置1は、ARP要求に含まれる宛先IPアドレスが、制御装置2のIPアドレスと異なることを検出する。この場合、通信制限部102は、ステップS110において通信部17がARP要求を受信してから所定時間経過後のステップS112において、妨害パケットである偽のARP応答を不正機器4に送信する。   In step S110, the communication monitoring apparatus 1 detects that the destination IP address included in the ARP request is different from the IP address of the control apparatus 2. In this case, the communication restriction unit 102 transmits a false ARP response that is a disturbing packet to the unauthorized device 4 in step S112 after a predetermined time has elapsed since the communication unit 17 received the ARP request in step S110.

偽のARP応答によって、不正機器4及びネットワークNに含まれるスイッチングハブ等の中継装置は、制御装置2のMACアドレスとして制御装置2のMACアドレス異なるアドレスを上書きする。これにより、通信監視装置1は、不正機器4を機器3aと通信不能とすることができる。ステップS113〜S118における処理は、ステップS110〜S112における処理と実質的に同様であり、重複するため省略する。   Due to the fake ARP response, the relay device such as the unauthorized device 4 and the switching hub included in the network N overwrites an address different from the MAC address of the control device 2 as the MAC address of the control device 2. As a result, the communication monitoring apparatus 1 can disable the unauthorized device 4 from communicating with the device 3a. The processing in steps S113 to S118 is substantially the same as the processing in steps S110 to S112 and is omitted because it overlaps.

−通信監視装置の動作−
以下、図7のフローチャートを用いて、ARP要求を受信した場合における通信監視装置1の基本的な動作の一例を説明する。 -Operation of the communication monitoring device-
Hereinafter, an example of a basic operation of the communication monitoring apparatus 1 when an ARP request is received will be described using the flowchart of FIG.

先ず、ステップS21において、通信部17は、ネットワークNに接続された対象機器から、ARP要求を受信する。ステップS22において、判断部101は、通信部17により受信されたARP要求と、記憶部11に記憶された判断基準12とを比較することにより、対象機器が管理システムMにおける正当な機器か否かを判断する。対象機器を正当と判断する場合は、処理を終了し、正当でないと判断する場合は、ステップS23に処理を進める。   First, in step S <b> 21, the communication unit 17 receives an ARP request from the target device connected to the network N. In step S <b> 22, the determination unit 101 compares the ARP request received by the communication unit 17 with the determination criterion 12 stored in the storage unit 11 to determine whether the target device is a valid device in the management system M. Judging. If it is determined that the target device is valid, the process is terminated. If it is determined that the target device is not valid, the process proceeds to step S23.

ステップS23において、通信制限部102は、正当な機器でないと判断された対象機器に、通信部17のMACアドレスを含む妨害パケットを偽のARP応答として送信することにより、対象機器の通信を制限する。   In step S <b> 23, the communication restriction unit 102 restricts communication of the target device by transmitting an interference packet including the MAC address of the communication unit 17 as a fake ARP response to the target device that is determined not to be a legitimate device. .

本発明の実施の形態に係る通信監視システムによれば、通信監視装置1が、対象機器から受信したARP要求と判断基準12とに基づいて、対象機器が正当な機器であるか否かを判断し、不正な機器の通信を制限する。よって、不正機器による接続を簡単且つ適正に制限することができる。   According to the communication monitoring system according to the embodiment of the present invention, the communication monitoring apparatus 1 determines whether the target device is a legitimate device based on the ARP request received from the target device and the determination criterion 12. And restrict unauthorized device communication. Therefore, it is possible to easily and appropriately limit connections by unauthorized devices.

また、本発明の実施の形態に係る通信監視システムによれば、通信監視装置1が、不正機器に自身のMACアドレスを含む偽のARP応答を送信することにより、簡単な方法で、確実に不正機器の通信を制限することができる。   Further, according to the communication monitoring system according to the embodiment of the present invention, the communication monitoring apparatus 1 transmits a fake ARP response including its own MAC address to an unauthorized device, thereby ensuring an unauthorized operation with a simple method. Device communication can be restricted.

(その他の実施形態)
上記のように、本発明を実施の形態によって記載したが、この開示の一部をなす論述及び図面は本発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。 (Other embodiments)
As mentioned above, although this invention was described by embodiment, it should not be understood that the description and drawing which form a part of this indication limit this invention. From this disclosure, various alternative embodiments, examples and operational techniques will be apparent to those skilled in the art.

例えば、既に述べた実施の形態において、図6に示すように、不正機器4のIPアドレスが「192.168.0.40」であったとする。この場合、12時2分10秒に受信されたARP要求が、制御装置2を宛先として送信されたものであり、且つ判断基準12において不正機器4に関する情報が未だない場合、不正機器4は正当な機器であると判断されてしまう。   For example, in the above-described embodiment, it is assumed that the IP address of the unauthorized device 4 is “192.168.0.40” as shown in FIG. In this case, if the ARP request received at 12: 2: 10 is transmitted with the control device 2 as the destination, and there is no information regarding the unauthorized device 4 in the determination criterion 12, the unauthorized device 4 is valid. It will be judged that it is a proper device.

不正機器4は、所定時間内に他の複数の機器にARP要求を順次送信している場合、判断部101は、この通信パターンを用いて、不正機器4が正当な機器でないと判断することができる。具体的には、直後4回のARP要求に応じて、判断部101は、不正機器4に対して「注意」、「警戒」、「遮断」と順次警戒レベルを高めていき、「遮断」となったことにより、不正機器4を正当な機器でないと判断するようにすればよい。   When the unauthorized device 4 sequentially transmits ARP requests to a plurality of other devices within a predetermined time, the determination unit 101 may determine that the unauthorized device 4 is not a valid device using this communication pattern. it can. Specifically, in response to the four ARP requests immediately thereafter, the determination unit 101 increases the warning level in order of “caution”, “warning”, and “blocking” with respect to the unauthorized device 4, Thus, the unauthorized device 4 may be determined not to be a valid device.

また、判断基準12は、制御装置2が行った通信に関する情報に基づいて、適宜更新されるようにしてもよい。制御装置2に対する要求や通知は、多くの場合ユニキャストで送信されるため、通信監視装置1が受信できない可能性がある。このため、監視処理部103は、通信部17を介して、制御装置2が行った通信に関する情報を制御装置2から取得し、例えば所定時間内に複数の要求を送信する等、不自然な通信を行う機器を不正機器と判断するように判断基準12を更新するようにしてもよい。また、監視処理部103は、ネットワークNの不自然な通信を、ネットワークNに接続された他の機器から取得するようにしてもよい。   Further, the criterion 12 may be updated as appropriate based on information related to communication performed by the control device 2. Since requests and notifications to the control device 2 are often transmitted by unicast, the communication monitoring device 1 may not be able to receive them. For this reason, the monitoring processing unit 103 acquires information related to the communication performed by the control device 2 from the control device 2 via the communication unit 17, and transmits unnatural communication such as transmitting a plurality of requests within a predetermined time. The determination criterion 12 may be updated so that the device that performs the operation is determined to be an unauthorized device. In addition, the monitoring processing unit 103 may acquire unnatural communication of the network N from other devices connected to the network N.

上述した構成及び動作を相互に応用した構成等、本発明はここでは記載していない様々な実施形態等を含むことは勿論である。したがって、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。   Needless to say, the present invention includes various embodiments and the like that are not described herein, such as a configuration in which the above-described configuration and operation are mutually applied. Therefore, the technical scope of the present invention is defined only by the invention specifying matters according to the scope of claims reasonable from the above description.

1 通信監視装置
2 制御装置
3a〜3c 機器
4 不正機器
5 その他の機器
11 記憶部
12 判断基準
13 登録機器情報
17 通信部
101 判断部
102 通信制限部 DESCRIPTION OF SYMBOLS 1 Communication monitoring apparatus 2 Control apparatus 3a-3c Apparatus 4 Unauthorized apparatus 5 Other apparatus 11 Memory | storage part 12 Judgment criteria 13 Registered apparatus information 17 Communication part 101 Judgment part 102 Communication restriction part

Claims (6)

機器と、前記機器を登録することにより前記機器を管理する管理システムを構成する制御装置とに、ネットワークを介して通信可能に接続される通信監視装置であって、
前記ネットワークに接続された対象機器から、前記対象機器が前記管理システムにおける通信を開始する際の通信開始通知を受信する通信部と、
前記管理システムにおける正当な機器か否かの判断基準を記憶する記憶部と、
前記通信部により受信された前記通信開始通知と、前記記憶部に記憶された前記判断基準とを比較することにより、前記対象機器が前記管理システムにおける正当な機器か否かを判断する判断部と、
前記判断部により前記対象機器が前記正当な機器でないと判断された場合において、前記対象機器の通信を制限する通信制限部と
を備えることを特徴とする通信監視装置。 A communication monitoring device that is communicably connected via a network to a device and a control device that configures a management system that manages the device by registering the device,
A communication unit that receives a communication start notification when the target device starts communication in the management system from the target device connected to the network;
A storage unit for storing a criterion for determining whether or not the device is a legitimate device in the management system;
A determination unit that determines whether the target device is a valid device in the management system by comparing the communication start notification received by the communication unit with the determination criterion stored in the storage unit; ,
A communication monitoring apparatus comprising: a communication restriction unit that restricts communication of the target device when the determination unit determines that the target device is not the valid device. 前記記憶部は、前記制御装置のアドレスを記憶し、
前記判断部は、前記通信開始通知の宛先アドレスが、前記制御装置のアドレスと異なる場合において、前記対象機器が前記正当な機器でないと判断することを特徴とする請求項1に記載の通信監視装置。 The storage unit stores an address of the control device,
The communication monitoring apparatus according to claim 1, wherein the determination unit determines that the target device is not the valid device when a destination address of the communication start notification is different from an address of the control device. . 前記記憶部は、前記制御装置に登録されている前記機器のアドレスを記憶し、
前記判断部は、前記通信開始通知の送信元アドレスが、前記登録されている機器のアドレスと一致する場合において、前記対象機器を正当な機器と判断することを特徴とする請求項1又は2に記載の通信監視装置。 The storage unit stores an address of the device registered in the control device,
The determination unit determines that the target device is a valid device when a transmission source address of the communication start notification matches an address of the registered device. The communication monitoring device described. 前記通信制限部は、前記制御装置の物理アドレスとして、前記制御装置の物理アドレスと異なる物理アドレスを前記対象機器に送信することにより、前記対象機器の通信を制限することを特徴とする請求項1〜3のいずれか1項に記載の通信監視装置。   The communication restriction unit restricts communication of the target device by transmitting a physical address different from the physical address of the control device to the target device as a physical address of the control device. The communication monitoring apparatus according to any one of? 前記通信部は、前記制御装置が行った通信に関する情報を前記制御装置から受信し、
前記記憶部は、前記制御装置から受信した通信に関する情報に基づいて作成された前記判断基準を記憶することを特徴とする請求項1〜4のいずれか1項に記載の通信監視装置。 The communication unit receives information about communication performed by the control device from the control device,
The communication monitoring apparatus according to claim 1, wherein the storage unit stores the determination criterion created based on information about communication received from the control apparatus. 機器と、前記機器を登録することにより前記機器を管理する管理システムを構成する制御装置と、前記機器と前記制御装置とにネットワークを介して通信可能に接続される通信監視装置とを備え、
前記通信監視装置は、
前記ネットワークに接続された対象機器から、前記対象機器が前記管理システムにおける通信を開始する際の通信開始通知を受信する通信部、
前記管理システムにおける正当な機器か否かの判断基準を記憶する記憶部、
前記通信部により受信された前記通信開始通知と、前記記憶部に記憶された前記判断基準とを比較することにより、前記対象機器が前記管理システムにおける正当な機器か否かを判断する判断部、及び
前記判断部により前記対象機器が前記正当な機器でないと判断された場合において、前記対象機器の通信を制限する通信制限部
を備えることを特徴とする通信監視システム。 A device, a control device that constitutes a management system that manages the device by registering the device, and a communication monitoring device that is communicably connected to the device and the control device via a network,
The communication monitoring device includes:
A communication unit that receives a communication start notification when the target device starts communication in the management system from the target device connected to the network;
A storage unit for storing a criterion for determining whether or not the device is a legitimate device in the management system;
A determination unit that determines whether the target device is a valid device in the management system by comparing the communication start notification received by the communication unit with the determination criterion stored in the storage unit; And a communication restriction unit that restricts communication of the target device when the determination unit determines that the target device is not the legitimate device.
JP2014200159A 2014-09-30 2014-09-30 Communication monitoring device and communication monitoring system Active JP6628120B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014200159A JP6628120B2 (en) 2014-09-30 2014-09-30 Communication monitoring device and communication monitoring system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014200159A JP6628120B2 (en) 2014-09-30 2014-09-30 Communication monitoring device and communication monitoring system

Publications (2)

Publication Number Publication Date
JP2016072801A true JP2016072801A (en) 2016-05-09
JP6628120B2 JP6628120B2 (en) 2020-01-08

Family

ID=55865012

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014200159A Active JP6628120B2 (en) 2014-09-30 2014-09-30 Communication monitoring device and communication monitoring system

Country Status (1)

Country Link
JP (1) JP6628120B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019041176A (en) * 2017-08-23 2019-03-14 株式会社ソフトクリエイト Unauthorized connection blocking device and unauthorized connection blocking method

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005079706A (en) * 2003-08-28 2005-03-24 Nec Corp System and apparatus for preventing illegal connection to network
JP2005198090A (en) * 2004-01-08 2005-07-21 Fujitsu Ltd Method and device for preventing unauthorized connection to network
JP2005210451A (en) * 2004-01-23 2005-08-04 Fuji Electric Holdings Co Ltd Unauthorized access preventing apparatus and program
US20090052338A1 (en) * 2007-07-13 2009-02-26 Purenetworks Inc. Home network optimizing system
JP2014120801A (en) * 2012-12-13 2014-06-30 Toshiba Lighting & Technology Corp Management device and address management method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005079706A (en) * 2003-08-28 2005-03-24 Nec Corp System and apparatus for preventing illegal connection to network
JP2005198090A (en) * 2004-01-08 2005-07-21 Fujitsu Ltd Method and device for preventing unauthorized connection to network
JP2005210451A (en) * 2004-01-23 2005-08-04 Fuji Electric Holdings Co Ltd Unauthorized access preventing apparatus and program
US20090052338A1 (en) * 2007-07-13 2009-02-26 Purenetworks Inc. Home network optimizing system
JP2014120801A (en) * 2012-12-13 2014-06-30 Toshiba Lighting & Technology Corp Management device and address management method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019041176A (en) * 2017-08-23 2019-03-14 株式会社ソフトクリエイト Unauthorized connection blocking device and unauthorized connection blocking method

Also Published As

Publication number Publication date
JP6628120B2 (en) 2020-01-08

Similar Documents

Publication Publication Date Title
CN107431645B (en) System and method for automatic wireless network authentication
US10838705B2 (en) System and method for service-initiated internet of things (IoT) device updates
US10178579B2 (en) Internet of things (IoT) system and method for selecting a secondary communication channel
US10868689B2 (en) Management device of internet-of-thing devices, communication system and communication method
US10087063B2 (en) Internet of things (IOT) system and method for monitoring and collecting data in a beverage dispensing system
US11665524B2 (en) Apparatus and method for registering and associating internet of things (IoT) devices with anonymous IoT device accounts
AU2016266084C1 (en) Mesh network commissioning
US10343649B2 (en) Wireless key system and method
US10581875B2 (en) System and method for preventing security breaches in an internet of things (IOT) system
RU2640726C2 (en) EFFICIENT NETWORK LEVEL FOR IPv6 PROTOCOL
US9942328B2 (en) System and method for latched attributes in an internet of things (IOT) system
US10455452B2 (en) System and method for flow control in an internet of things (IoT) system
US10116573B2 (en) System and method for managing internet of things (IoT) devices and traffic using attribute classes
WO2019157433A1 (en) System and method for securely configuring a new device with network credentials
CN110958142A (en) Device maintenance method, maintenance device, storage medium, and computer program product
US20170171196A1 (en) System and method for secure internet of things (iot) device provisioning
CN106134232B (en) Certification in device-to-device discovery
JP6536251B2 (en) Communication relay device, communication network, communication relay program and communication relay method
US10924920B2 (en) System and method for internet of things (IoT) device validation
WO2017205770A1 (en) System and method for establishing secure communication channels with internet things (iot) devices
WO2016196554A1 (en) Internet of things (iot) automotive device, system, and method
US11694149B2 (en) Apparatus and method for secure transport using internet of things (IoT) devices
WO2017106224A1 (en) System and method for secure internet of things (iot) device provisioning
JP6516009B2 (en) Device authentication system, management apparatus and device authentication method
CN105850219B (en) Wireless relay device, wireless communication system, and information setting method

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20141107

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20141114

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170222

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180403

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180911

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181024

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20181102

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20190125

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190911

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191121

R151 Written notification of patent or utility model registration

Ref document number: 6628120

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151