JP2019176309A - Duplication module, duplication method, duplication program, and monitoring system - Google Patents

Duplication module, duplication method, duplication program, and monitoring system Download PDF

Info

Publication number
JP2019176309A
JP2019176309A JP2018062312A JP2018062312A JP2019176309A JP 2019176309 A JP2019176309 A JP 2019176309A JP 2018062312 A JP2018062312 A JP 2018062312A JP 2018062312 A JP2018062312 A JP 2018062312A JP 2019176309 A JP2019176309 A JP 2019176309A
Authority
JP
Japan
Prior art keywords
packet data
transfer
monitoring device
circuit
gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018062312A
Other languages
Japanese (ja)
Other versions
JP6869203B2 (en
Inventor
悟己 平
Satomi Taira
悟己 平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
SoftBank Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SoftBank Corp filed Critical SoftBank Corp
Priority to JP2018062312A priority Critical patent/JP6869203B2/en
Publication of JP2019176309A publication Critical patent/JP2019176309A/en
Application granted granted Critical
Publication of JP6869203B2 publication Critical patent/JP6869203B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

To monitor a state of security of a gateway while reducing costs.SOLUTION: A monitoring system 4 comprises a duplication module 1 and a monitoring device 3. The duplication module 1 comprises: a duplication circuit 12 for duplicating original packet data X including a first header H, the original packet data transmitted/received by a gateway 5; a generation circuit 13 for generating transfer packet data Y generated by adding to the duplicated original packet data X a second header B indicating the monitoring device 3; and a transfer circuit 14 for transmitting the transfer packet data Y to the monitoring device 3. The monitoring device 3 comprises: a receiving circuit 31 for receiving the transfer packet data Y from the duplication module 1; and a determination circuit 32 for referring to the first header H included in the transfer packet data Y to determine whether or not a transmission source or transmission destination of the original packet data X is authorized.SELECTED DRAWING: Figure 7

Description

本発明は、複製モジュール、複製方法、複製プログラム及び監視システムに関する。   The present invention relates to a duplication module, a duplication method, a duplication program, and a monitoring system.

現在、モノのインターネット(IoT:Internet of Things)が急速に普及している。このため、インターネットと各機器に搭載されたセンサとの間で送受信されるデータを中継するゲートウェイの数が増加している。ところが、ゲートウェイは、物理的なアクセス又は論理的なアクセスにより乗っ取られ、DDoS攻撃(Distributed Denial of Service attack)の踏み台として利用されてしまうことがある。このため、ゲートウェイのセキュリティの重要性が増加している。ゲートウェイのセキュリティを確保する手段の一つにファイアウォールがある。   Currently, the Internet of Things (IoT) is rapidly spreading. For this reason, the number of gateways that relay data transmitted and received between the Internet and sensors mounted on each device is increasing. However, the gateway may be hijacked by physical access or logical access and used as a platform for a DDoS attack (Distributed Denial of Service attack). For this reason, the importance of gateway security is increasing. One means for securing gateway security is a firewall.

例えば、特許文献1には、ユーザの所持する端末とゲートウェイ装置とのIPSec通信の接続支援を行う接続支援装置であって、前記端末を所持する前記ユーザの認証を行う認証手段と、前記認証の結果に応じて、前記端末と前記ゲートウェイ装置との事前共有鍵を生成する事前共有鍵生成手段と、前記認証の結果に応じて、前記ゲートウェイ装置のファイアウォールを開放するためのファイアウォール開放指示情報を生成するファイアウォール開放指示情報生成手段と、前記端末と前記ゲートウェイ装置とに前記事前共有鍵を送信し、前記ゲートウェイ装置に前記ファイアウォール開放指示情報を送信する送信手段と、を有することを特徴とする接続支援装置が開示されている。   For example, Patent Literature 1 discloses a connection support apparatus that supports connection of IPSec communication between a terminal possessed by a user and a gateway apparatus, an authentication unit that authenticates the user who possesses the terminal, and the authentication Depending on the result, pre-shared key generating means for generating a pre-shared key between the terminal and the gateway device, and generating firewall opening instruction information for opening the firewall of the gateway device according to the authentication result And a firewall opening instruction information generating means for transmitting the pre-shared key to the terminal and the gateway device, and transmitting means for transmitting the firewall opening instruction information to the gateway device. A support device is disclosed.

特開2007−97010号公報JP 2007-97010 A

しかし、上述した接続支援装置は、ファイアウォールの存在を前提としているため、ファイアウォールを導入するコスト及びファイアウォールを運用するコストを無くすことができない。   However, since the connection support apparatus described above is premised on the existence of a firewall, the cost of introducing the firewall and the cost of operating the firewall cannot be eliminated.

そこで、本発明は、コストを削減しつつ、ゲートウェイのセキュリティの状態を監視することができる複製モジュール、複製方法、複製プログラム及び監視システムを提供することを目的とする。   Therefore, an object of the present invention is to provide a duplication module, a duplication method, a duplication program, and a monitoring system that can monitor the security status of a gateway while reducing costs.

本発明の一態様に係る複製モジュールは、ゲートウェイにより送受信される、第1ヘッダを含む原パケットデータを複製する複製回路と、複製した前記原パケットデータに監視装置を示す第2ヘッダを付加した転送パケットデータを生成する生成回路と、前記転送パケットデータを前記監視装置に送信する転送回路と、を備える。   A duplication module according to an aspect of the present invention includes a duplication circuit that duplicates original packet data including a first header transmitted and received by a gateway, and a transfer in which a second header indicating a monitoring device is added to the duplicated original packet data A generation circuit that generates packet data; and a transfer circuit that transmits the transfer packet data to the monitoring device.

本発明の一態様に係る複製方法は、ゲートウェイにより送受信される、第1ヘッダを含む原パケットデータを複製する複製ステップと、複製した前記原パケットデータに監視装置を示す第2ヘッダを付加した転送パケットデータを生成する生成ステップと、前記転送パケットデータを前記監視装置に送信する転送ステップと、を備える。   A duplication method according to an aspect of the present invention includes a duplication step of duplicating original packet data including a first header transmitted and received by a gateway, and a transfer in which a second header indicating a monitoring device is added to the duplicated original packet data A generation step of generating packet data; and a transfer step of transmitting the transfer packet data to the monitoring device.

本発明の一態様に係る複製プログラムは、コンピュータに、ゲートウェイにより送受信される、第1ヘッダを含む原パケットデータを複製する複製機能と、複製した前記原パケットデータに監視装置を示す第2ヘッダを付加した転送パケットデータを生成する生成機能と、前記転送パケットデータを前記監視装置に送信する転送機能と、を実行させる。   A duplication program according to one aspect of the present invention includes a duplication function for duplicating original packet data including a first header transmitted and received by a gateway to a computer, and a second header indicating a monitoring device for the duplicated original packet data. A generation function for generating the added transfer packet data and a transfer function for transmitting the transfer packet data to the monitoring device are executed.

本発明の一態様に係る監視システムは、複製モジュールと、監視装置と、を備え、前記複製モジュールは、ゲートウェイにより送受信される、第1ヘッダを含む原パケットデータを複製する複製回路と、複製した前記原パケットデータに前記監視装置を示す第2ヘッダを付加した転送パケットデータを生成する生成回路と、前記転送パケットデータを前記監視装置に送信する転送回路と、を備え、前記監視装置は、前記転送パケットデータを前記複製モジュールから受信する受信回路と、前記転送パケットデータに含まれている前記第1ヘッダを参照して前記原パケットデータの送信元又は送信先が正当であるか否かを判定する判定回路と、を備える。   A monitoring system according to an aspect of the present invention includes a duplication module and a monitoring device, and the duplication module duplicates an original packet data including a first header transmitted and received by a gateway and duplicated A generation circuit that generates transfer packet data in which a second header indicating the monitoring device is added to the original packet data; and a transfer circuit that transmits the transfer packet data to the monitoring device. A receiving circuit that receives the transfer packet data from the duplication module and a determination as to whether the source or destination of the original packet data is valid with reference to the first header included in the transfer packet data And a determination circuit.

本発明によれば、コストを削減しつつ、ゲートウェイのセキュリティの状態を監視することができる。   According to the present invention, it is possible to monitor the security status of a gateway while reducing costs.

図1は、実施形態に係る複製モジュール、ネットワーク、監視装置、ゲートウェイ、センサ、正当なノード及び不正なノードの接続関係の例を示す図である。FIG. 1 is a diagram illustrating an example of a connection relationship among a replication module, a network, a monitoring device, a gateway, a sensor, a valid node, and an unauthorized node according to the embodiment. 図2は、実施形態に係る複製モジュールの構成の例を示す図である。FIG. 2 is a diagram illustrating an example of a configuration of a replication module according to the embodiment. 図3は、複製モジュールが受信する原パケットデータ及び複製モジュールが複製して送信する転送パケットデータの例を示す図である。FIG. 3 is a diagram illustrating an example of original packet data received by the duplication module and transfer packet data duplicated and transmitted by the duplication module. 図4は、ゲートウェイからネットワークに向けて原パケットデータが送信される場合における原パケットデータ及び転送パケットデータの流れを示す図である。FIG. 4 is a diagram showing the flow of original packet data and transfer packet data when original packet data is transmitted from the gateway toward the network. 図5は、ネットワークからゲートウェイに向けて原パケットデータが送信される場合における原パケットデータ及び転送パケットデータの流れを示す図である。FIG. 5 is a diagram showing the flow of original packet data and transfer packet data when original packet data is transmitted from the network to the gateway. 図6は、実施形態に係る監視装置の構成の例を示す図である。FIG. 6 is a diagram illustrating an example of the configuration of the monitoring apparatus according to the embodiment. 図7は、実施形態に係る監視システムが行う処理の例を示すシーケンス図である。FIG. 7 is a sequence diagram illustrating an example of processing performed by the monitoring system according to the embodiment.

添付図面を参照して、本発明の好適な実施形態について説明する。なお、各図において、同一の符号を付したものは、同一又は同様の構成を有する。   A preferred embodiment of the present invention will be described with reference to the accompanying drawings. In addition, in each figure, what attached | subjected the same code | symbol has the same or similar structure.

[実施形態]
図1から図6を参照しながら、実施形態に係る監視システムについて説明する。図1は、実施形態に係る複製モジュール、ネットワーク、監視装置、ゲートウェイ、センサ、正当なノード及び不正なノードの接続関係の例を示す図である。 [Embodiment]
The monitoring system according to the embodiment will be described with reference to FIGS. 1 to 6. FIG. 1 is a diagram illustrating an example of a connection relationship among a replication module, a network, a monitoring device, a gateway, a sensor, a valid node, and an unauthorized node according to the embodiment.

図1は、IoTの一つの実施形態を示している。図1に示すように、センサ61、センサ62、センサ63…がゲートウェイ5を介してネットワーク2に接続されている。ネットワーク2は、広帯域ネットワーク、例えば、インターネットである。ネットワーク2には、センサ61、センサ62、センサ63…が検出して出力した計測データを表示したり、センサ61、センサ62、センサ63…に対する制御データを送ったりする目的で設けられた正当なノード7が接続されている。ここで、正当なノード7は、例えば、サーバにより実現される。   FIG. 1 illustrates one embodiment of IoT. As shown in FIG. 1, sensors 61, sensors 62, sensors 63... Are connected to the network 2 via the gateway 5. The network 2 is a broadband network, for example, the Internet. The network 2 is provided for the purpose of displaying measurement data detected and output by the sensors 61, 62, 63, and sending control data for the sensors 61, 62, 63 ... Node 7 is connected. Here, the legitimate node 7 is realized by a server, for example.

一方、ネットワーク2には、センサ61、センサ62、センサ63…からの計測データを盗用したり、センサ61、センサ62、センサ63…に対して不正な制御データを送りつけたりする悪意ある不正なノード8も接続されている。不正なノード8は、センサ61、センサ62、センサ63…に不正にアクセスして制御データを書き換え、計測データを不正に自らのアドレスに転送させようとする。ここで、不正なノード8は、例えば、サーバにより実現される。   On the other hand, a malicious unauthorized node that steals measurement data from the sensor 61, sensor 62, sensor 63... Or sends unauthorized control data to the sensor 61, sensor 62, sensor 63. 8 is also connected. The unauthorized node 8 illegally accesses the sensors 61, 62, 63, etc., rewrites the control data, and attempts to illegally transfer the measurement data to its own address. Here, the unauthorized node 8 is realized by a server, for example.

本実施形態では、不正なノード8から不正な制御データが送信されたことや、不正なノード8に対して計測データが不正に転送されることを検出するために、ゲートウェイ5とネットワーク2との間に複製モジュール1を介在させる。そして、ゲートウェイ5で送受信されるパケットデータの一部をネットワーク2に接続される監視装置3に転送するように構成することで、不正なアクセスを検出可能とする。   In the present embodiment, in order to detect that unauthorized control data is transmitted from the unauthorized node 8 or that measurement data is illegally transferred to the unauthorized node 8, the gateway 5 and the network 2 The duplication module 1 is interposed therebetween. Then, a part of the packet data transmitted and received by the gateway 5 is configured to be transferred to the monitoring device 3 connected to the network 2 so that unauthorized access can be detected.

具体的に、図1に示すように、複製モジュール1は、ゲートウェイ5とネットワーク2との間に設けられ、ゲートウェイ5により送受信されるパケットデータを複製して監視装置3に転送可能にネットワーク2に接続されている。複製モジュール1は、監視装置3と組み合わされて監視システム4を構成している。複製モジュール1は、ゲートウェイ5の近傍に配置されることが多い。ゲートウェイ5は、複数の検出機器、例えば、センサ61、センサ62、センサ63…により送受信されるデータの関門として機能するノードであるため、不正なパケットデータを含めて転送する複製モジュール1の接続先として好ましいからである。また、複製モジュール1は、ゲートウェイ5を格納している筐体に格納されていてもよい。   Specifically, as shown in FIG. 1, the duplication module 1 is provided between the gateway 5 and the network 2, and duplicates packet data transmitted / received by the gateway 5 so that it can be transferred to the monitoring device 3. It is connected. The duplication module 1 is combined with the monitoring device 3 to form a monitoring system 4. The duplicate module 1 is often arranged in the vicinity of the gateway 5. Since the gateway 5 is a node that functions as a gateway for data transmitted and received by a plurality of detection devices, for example, the sensors 61, 62, 63, and so on, the connection destination of the replication module 1 that transfers illegal packet data is included. This is because it is preferable. In addition, the duplicate module 1 may be stored in a casing in which the gateway 5 is stored.

ネットワーク2には、複製モジュール1の他に監視装置3、正当なノード7及び不正なノード8が接続されている。監視装置3及びゲートウェイ5は、所定のIPアドレスが割り当てられており、ネットワーク2を通してパケットデータを送受信することができる。   In addition to the replication module 1, a monitoring device 3, a valid node 7, and an unauthorized node 8 are connected to the network 2. The monitoring device 3 and the gateway 5 are assigned predetermined IP addresses, and can transmit and receive packet data through the network 2.

ゲートウェイ5は、複製モジュール1と相互に通信可能に接続されている。また、ゲートウェイ5は、ネットワーク2とデータの送受信を実行する図示しないネットワーク機器に搭載されているセンサ61、センサ62及びセンサ63と相互に通信可能に接続されている。ゲートウェイ5は、センサ61、センサ62又はセンサ63が検出した計測データをパケットデータとしてネットワーク2に送信する処理及びパケットデータとしてネットワーク2から受信した制御データをセンサ61、センサ62又はセンサ63に送信する処理を実行する。   The gateway 5 is connected to the replication module 1 so as to communicate with each other. The gateway 5 is connected to a sensor 61, a sensor 62, and a sensor 63 that are mounted on a network device (not shown) that transmits and receives data to and from the network 2 so as to be able to communicate with each other. The gateway 5 transmits the measurement data detected by the sensor 61, sensor 62, or sensor 63 to the network 2 as packet data, and transmits the control data received from the network 2 as packet data to the sensor 61, sensor 62, or sensor 63. Execute the process.

正当なノード7は、ゲートウェイ5との間でパケットデータの送受信が許可されているノードである。一方、不正なノード8は、ゲートウェイ5との間でパケットデータの送受信が許可されておらず、ゲートウェイ5に不正なデータを送信することによりゲートウェイ5の乗っ取りを試みたり、ゲートウェイ5から不正な手段でパケットデータを入手しようとしたりするノードである。   The legitimate node 7 is a node that is permitted to transmit and receive packet data to and from the gateway 5. On the other hand, the unauthorized node 8 is not permitted to transmit / receive packet data to / from the gateway 5, and attempts to take over the gateway 5 by transmitting unauthorized data to the gateway 5. It is a node that tries to acquire packet data.

図2は、実施形態に係る複製モジュールの構成の例を示す図である。図2に示すように、複製モジュール1は、受信回路11と、複製回路12と、生成回路13と、転送回路14とを備える。受信回路11、複製回路12、生成回路13及び転送回路14は、全てハードウェアで構成されていてもよいし、CPU(Central Processing Unit)を含むコンピュータが本発明に係る複製プログラムを実行することによりこれら回路の一部または全部を機能的に実現するように構成されていてもよい。複製モジュール1をシングルボードコンピュータ、例えば、ラズベリーパイ(Raspberry Pi)により構成して、ラズベリーパイに本実施形態に係る複製プログラムを搭載するようにしてもよい。   FIG. 2 is a diagram illustrating an example of a configuration of a replication module according to the embodiment. As illustrated in FIG. 2, the replication module 1 includes a reception circuit 11, a replication circuit 12, a generation circuit 13, and a transfer circuit 14. The receiving circuit 11, the duplicating circuit 12, the generating circuit 13 and the transfer circuit 14 may all be configured by hardware, or by a computer including a CPU (Central Processing Unit) executing the duplicating program according to the present invention. Some or all of these circuits may be functionally realized. The duplication module 1 may be configured by a single board computer, for example, a Raspberry Pi, and the duplication program according to the present embodiment may be mounted on the Raspberry Pi.

図3は、複製モジュールが受信する原パケットデータ及び複製モジュールが複製して送信する転送パケットデータの例を示す図である。本実施形態では、ゲートウェイ5からネットワーク2に向けて送信したパケットデータそのもの、及び、ネットワーク2からゲートウェイ5を送信先として受信したパケットデータそのものを「原パケットデータ」と称する。また、複製モジュール1が監視装置3に転送するために原パケットデータを複製して生成したものを「転送パケットデータ」と称する。   FIG. 3 is a diagram illustrating an example of original packet data received by the duplication module and transfer packet data duplicated and transmitted by the duplication module. In the present embodiment, packet data itself transmitted from the gateway 5 to the network 2 and packet data itself received from the network 2 with the gateway 5 as a transmission destination are referred to as “original packet data”. In addition, a copy module 1 that is generated by copying original packet data for transfer to the monitoring device 3 is referred to as “transfer packet data”.

図3に示すように、原パケットデータXは、第1ヘッダH及びデータDを含む。第1ヘッダHは、送信先アドレスと送信元アドレスとを含んでおり、例えば、IPアドレスで表記される。IPアドレスとは、ノードごとに固有の番号を割り当てるTCP/IPプロトコルに準拠した識別情報である。送信先アドレスは、原パケットデータXの送信先となるノードのIPアドレスである。送信元アドレスは、原パケットデータXの送信元であるノードのIPアドレスである。データDは、原パケットデータXのボディを構成している。   As shown in FIG. 3, the original packet data X includes a first header H and data D. The first header H includes a transmission destination address and a transmission source address, and is represented by an IP address, for example. An IP address is identification information based on the TCP / IP protocol that assigns a unique number to each node. The transmission destination address is an IP address of a node that is a transmission destination of the original packet data X. The source address is the IP address of the node that is the source of the original packet data X. Data D constitutes the body of the original packet data X.

転送パケットデータYは、第2ヘッダB、第1ヘッダH及びデータDを含む。第2ヘッダBは、転送パケットデータYの本来のヘッダであり、送信先アドレスとして監視装置3のIPアドレス、送信元アドレスとして複製モジュール1のIPアドレスを含む。第1ヘッダH及びデータDは、原パケットデータXを複製したもので、転送パケットデータYのボディを構成している。   The transfer packet data Y includes a second header B, a first header H, and data D. The second header B is an original header of the transfer packet data Y, and includes the IP address of the monitoring device 3 as a transmission destination address and the IP address of the replication module 1 as a transmission source address. The first header H and data D are duplicates of the original packet data X, and constitute the body of the transfer packet data Y.

図4は、ゲートウェイからネットワークに向けて原パケットデータが送信される場合における原パケットデータ及び転送パケットデータの流れを示す図である。図5は、ネットワークからゲートウェイに向けて原パケットデータが送信される場合における原パケットデータ及び転送パケットデータの流れを示す図である。   FIG. 4 is a diagram showing the flow of original packet data and transfer packet data when original packet data is transmitted from the gateway toward the network. FIG. 5 is a diagram showing the flow of original packet data and transfer packet data when original packet data is transmitted from the network to the gateway.

ゲートウェイ5からネットワーク2に向けて原パケットデータXが送信される場合には、図4に示すように、白色の矢印W一つで表された原パケットデータXは、ゲートウェイ5のインターフェース回路91からケーブルを通じて複製モジュール1のインターフェース回路92に送信される。また、ネットワーク2からゲートウェイ5に向けて原パケットデータXが送信される場合には、図5に示すように、白色の矢印W一つで表された原パケットデータXは、ネットワーク2から複製モジュール1のインターフェース回路93を経由して複製モジュール1に到達する。なお、インターフェース回路91、インターフェース回路92及びインターフェース回路93は、所定の通信規格、例えば、イーサネット(登録商標)規格に準拠して構成されている。   When the original packet data X is transmitted from the gateway 5 to the network 2, the original packet data X represented by one white arrow W is transmitted from the interface circuit 91 of the gateway 5 as shown in FIG. It is transmitted to the interface circuit 92 of the replication module 1 through the cable. When the original packet data X is transmitted from the network 2 to the gateway 5, as shown in FIG. 5, the original packet data X represented by one white arrow W is copied from the network 2 to the duplicate module. 1 reaches the replication module 1 via the interface circuit 93. The interface circuit 91, the interface circuit 92, and the interface circuit 93 are configured in accordance with a predetermined communication standard, for example, the Ethernet (registered trademark) standard.

また、ゲートウェイ5からネットワーク2に向けて原パケットデータXが送信される場合、図4に示すように、受信回路11は、ゲートウェイ5がネットワーク2に向けて送り出した原パケットデータXを全て一旦受信する。さらに、ネットワーク2からゲートウェイ5に向けて原パケットデータXが送信される場合、図5に示すように、受信回路11は、ゲートウェイ5を送信先としてネットワーク2から送られてきた原パケットデータXをゲートウェイ5に先立って受信する。   When the original packet data X is transmitted from the gateway 5 to the network 2, the receiving circuit 11 once receives all the original packet data X sent from the gateway 5 to the network 2 as shown in FIG. 4. To do. Further, when the original packet data X is transmitted from the network 2 to the gateway 5, as shown in FIG. 5, the receiving circuit 11 receives the original packet data X sent from the network 2 with the gateway 5 as a transmission destination. Receive prior to gateway 5.

複製回路12は、図4及び図5において白色の矢印W一つで表された原パケットデータXの少なくとも一部、例えば、少なくとも図3に示した第1ヘッダHを複製する。   The duplication circuit 12 duplicates at least a part of the original packet data X represented by one white arrow W in FIGS. 4 and 5, for example, at least the first header H shown in FIG.

生成回路13は、複製した原パケットデータXに監視装置3を示す第2ヘッダBを冒頭に付加した転送パケットデータYを生成して出力する。また、生成回路13は、原パケットデータXもそのまま出力する。   The generation circuit 13 generates and outputs transfer packet data Y in which the second header B indicating the monitoring device 3 is added to the beginning of the copied original packet data X. The generation circuit 13 also outputs the original packet data X as it is.

転送回路14は、転送パケットデータYをネットワーク2に向けて送信する。併せて、転送回路14は、原パケットデータXもそのまま送信する。   The transfer circuit 14 transmits the transfer packet data Y toward the network 2. At the same time, the transfer circuit 14 also transmits the original packet data X as it is.

具体的には、ゲートウェイ5からネットワーク2に向けて原パケットデータXが送信される場合、図4に示すように、転送回路14は、斜線ハッチングの矢印S一つで表された転送パケットデータYをネットワーク2に向けて送信する。また、これと同時に、転送回路14は、白色の矢印W一つで表された原パケットデータXをネットワーク2に送信する。   Specifically, when the original packet data X is transmitted from the gateway 5 to the network 2, as shown in FIG. 4, the transfer circuit 14 transmits the transfer packet data Y represented by one hatched arrow S. To the network 2. At the same time, the transfer circuit 14 transmits the original packet data X represented by one white arrow W to the network 2.

このとき、転送回路14は、原パケットデータX及び転送パケットデータYを交互に送信する。転送パケットデータYは、監視装置3を送信先アドレスとしているため、監視装置3に転送される。原パケットデータXは、元の送信先アドレスに従ったノードに転送される。すなわち、原パケットデータXが正当なものであれば原パケットデータXの送信先アドレスは正当なノード7に転送される。一方、原パケットデータXが不正なものであれば原パケットデータXの送信先アドレスは不正なノード8に転送される。   At this time, the transfer circuit 14 transmits the original packet data X and the transfer packet data Y alternately. The transfer packet data Y is transferred to the monitoring device 3 because the monitoring device 3 is the transmission destination address. The original packet data X is transferred to a node according to the original transmission destination address. That is, if the original packet data X is valid, the transmission destination address of the original packet data X is transferred to the valid node 7. On the other hand, if the original packet data X is illegal, the transmission destination address of the original packet data X is transferred to the illegal node 8.

ネットワーク2からゲートウェイ5に向けて原パケットデータXが送信される場合、図5に示すように、転送回路14は、斜線ハッチングの矢印S一つで表された転送パケットデータYをネットワーク2に送信する。また、これと同時に、転送回路14は、白色の矢印W一つで表された原パケットデータXをゲートウェイ5に送信する。   When the original packet data X is transmitted from the network 2 to the gateway 5, as shown in FIG. 5, the transfer circuit 14 transmits the transfer packet data Y represented by one hatched arrow S to the network 2. To do. At the same time, the transfer circuit 14 transmits the original packet data X represented by one white arrow W to the gateway 5.

図6は、実施形態に係る監視装置の構成の例を示す図である。図6に示すように、監視装置3は、受信回路31と、判定回路32と、出力回路33とを備える。   FIG. 6 is a diagram illustrating an example of the configuration of the monitoring apparatus according to the embodiment. As shown in FIG. 6, the monitoring device 3 includes a reception circuit 31, a determination circuit 32, and an output circuit 33.

受信回路31は、転送パケットデータYを複製モジュール1から受信する。   The receiving circuit 31 receives the transfer packet data Y from the replication module 1.

判定回路32は、転送パケットデータYに含まれている第1ヘッダHを参照して原パケットデータXの送信元又は送信先が正当であるか否かを判定する。   The determination circuit 32 refers to the first header H included in the transfer packet data Y to determine whether the source or destination of the original packet data X is valid.

例えば、判定回路32は、ゲートウェイ5からネットワーク2に送信された原パケットデータXに含まれる第1ヘッダHが示す送信先アドレスが図1に示した正当なノード7である場合、原パケットデータXの送信先が正当であると判定する。また、判定回路32は、ネットワーク2から受信された原パケットデータXに含まれる第1ヘッダHが示す送信元が図1に示した正当なノード7である場合、原パケットデータXの送信元が正当であると判定する。   For example, when the destination address indicated by the first header H included in the original packet data X transmitted from the gateway 5 to the network 2 is the valid node 7 shown in FIG. Is determined to be valid. In addition, when the transmission source indicated by the first header H included in the original packet data X received from the network 2 is the valid node 7 illustrated in FIG. 1, the determination circuit 32 determines that the transmission source of the original packet data X is Judge that it is legitimate.

一方、判定回路32は、ゲートウェイ5からネットワーク2に送信された原パケットデータXに含まれる第1ヘッダHが示す送信先アドレスが図1に示した正当なノード7のIPアドレスではない場合、原パケットデータXの送信先が正当でないと判定する。例えば、不正なノード8からゲートウェイ5に向けて送信された悪意ある原パケットデータXが転送してきた場合に、このような判定が行われる。また、判定回路32は、ネットワーク2から受信された原パケットデータXに含まれる第1ヘッダHが示す送信元アドレスが図1に示した正当なノード7のIPアドレスではない場合、原パケットデータXの送信元が正当でないと判定する。例えば、ゲートウェイ5が不正なノード8が実行した不正アクセスにより乗っ取られ、ゲートウェイ5が原パケットデータXを不正なノード8に送信した場合にこのような判定が行われる。   On the other hand, if the destination address indicated by the first header H included in the original packet data X transmitted from the gateway 5 to the network 2 is not the IP address of the valid node 7 shown in FIG. It is determined that the transmission destination of the packet data X is not valid. For example, such a determination is made when the malicious original packet data X transmitted from the unauthorized node 8 to the gateway 5 is transferred. In addition, when the transmission source address indicated by the first header H included in the original packet data X received from the network 2 is not the IP address of the valid node 7 shown in FIG. Is determined to be invalid. For example, this determination is performed when the gateway 5 is hijacked by an unauthorized access executed by the unauthorized node 8 and the gateway 5 transmits the original packet data X to the unauthorized node 8.

原パケットデータXの送信元又は送信先が正当なノード7である場合と、正当なノード7ではない場合、例えば、不正なノード8である場合とで図3に示した第1ヘッダHが異なるため、判定回路32は、このような判定を実行することができる。   The first header H shown in FIG. 3 differs depending on whether the source or destination of the original packet data X is a legitimate node 7 and not the legitimate node 7, for example, if it is an invalid node 8. Therefore, the determination circuit 32 can execute such determination.

出力回路33は、原パケットデータXの送信元又は送信先が正当ではないと判定された場合に原パケットデータXの送信元又は送信先が正当でないことを示す第1注意情報を出力する。また、出力回路33は、転送パケットデータYを所定の時点から計測して所定期間以上新たな転送パケットデータYを受信していない場合にゲートウェイ5が動作していないことを示す第2注意情報を更に出力してもよい。所定の起点は、任意のタイミングでよいが、例えば、転送パケットデータYを前回受信したタイミングとすることができる。   The output circuit 33 outputs first attention information indicating that the source or destination of the original packet data X is not valid when it is determined that the source or destination of the original packet data X is not valid. Further, the output circuit 33 measures the second packet information indicating that the gateway 5 is not operating when the transfer packet data Y is measured from a predetermined time point and the new transfer packet data Y is not received for a predetermined period or more. Further, it may be output. The predetermined starting point may be any timing, but may be, for example, the timing at which the transfer packet data Y is received last time.

図7を参照しながら、実施形態に係る監視システムが行う処理の例を説明する。図7は、実施形態に係る監視システムが行う処理の例を示すシーケンス図である。   An example of processing performed by the monitoring system according to the embodiment will be described with reference to FIG. FIG. 7 is a sequence diagram illustrating an example of processing performed by the monitoring system according to the embodiment.

ステップS1において、受信回路11は、原パケットデータXを受信する。   In step S1, the receiving circuit 11 receives the original packet data X.

ステップS2において、複製回路12は、第1ヘッダHを含む原パケットデータXを複製する。   In step S2, the duplication circuit 12 duplicates the original packet data X including the first header H.

ステップS3において、生成回路13は、ステップS2で複製された原パケットデータXに監視装置3を示す第2ヘッダBを付加した転送パケットデータYを生成する。   In step S3, the generation circuit 13 generates transfer packet data Y in which the second header B indicating the monitoring device 3 is added to the original packet data X copied in step S2.

ステップS4において、転送回路14は、ステップS1で受信された原パケットデータXをネットワーク2に送信し、ステップS3で生成された転送パケットデータYを監視装置3に送信する。   In step S4, the transfer circuit 14 transmits the original packet data X received in step S1 to the network 2, and transmits the transfer packet data Y generated in step S3 to the monitoring device 3.

ステップS5において、複製モジュール1は、自身が実行する処理をステップS1に戻す。   In step S5, the duplication module 1 returns the process executed by itself to step S1.

ステップS6において、受信回路31は、ステップS4で送信された転送パケットデータYを受信する。   In step S6, the receiving circuit 31 receives the transfer packet data Y transmitted in step S4.

ステップS7において、判定回路32は、ステップS1で送信された原パケットデータXの送信元又は送信先が正当であるか否かを判定する。判定回路32は、原パケットデータXの送信元又は送信先が正当であると判定した場合(ステップS7:Yes)、処理を終了させ、原パケットデータXの送信元又は送信先が正当でないと判定した場合(ステップS7:No)、処理をステップS8に進める。   In step S7, the determination circuit 32 determines whether or not the transmission source or transmission destination of the original packet data X transmitted in step S1 is valid. If the determination circuit 32 determines that the transmission source or transmission destination of the original packet data X is valid (step S7: Yes), the determination circuit 32 ends the process and determines that the transmission source or transmission destination of the original packet data X is not valid. If so (step S7: No), the process proceeds to step S8.

ステップS8において、出力回路33は、ステップS1で送信された原パケットデータXの送信元又は送信先が正当でないことを示す第1注意情報を出力する。   In step S8, the output circuit 33 outputs first attention information indicating that the transmission source or transmission destination of the original packet data X transmitted in step S1 is not valid.

ステップS9において、監視装置3は、自身が実行する処理を終了させる。   In step S9, the monitoring device 3 ends the process executed by itself.

以上、本発明の一例である実施形態について説明した。実施形態に係る複製モジュール1は、第1ヘッダHを含む原パケットデータXを複製する複製回路12と、複製した原パケットデータXに監視装置3を示す第2ヘッダBを付加した転送パケットデータYを生成する生成回路13と、転送パケットデータYを監視装置3に送信する転送回路14とを備える。また、実施形態に係る監視装置3は、転送パケットデータYに含まれている第1ヘッダHを参照して原パケットデータXの送信元又は送信先が正当であるか否かを判定する。   The embodiment that is an example of the present invention has been described above. The duplication module 1 according to the embodiment includes a duplication circuit 12 that duplicates the original packet data X including the first header H, and transfer packet data Y in which the second header B indicating the monitoring device 3 is added to the duplicated original packet data X. And a transfer circuit 14 for transmitting the transfer packet data Y to the monitoring device 3. Further, the monitoring device 3 according to the embodiment refers to the first header H included in the transfer packet data Y and determines whether or not the transmission source or the transmission destination of the original packet data X is valid.

したがって、監視システム4は、原パケットデータXが正当でない送信先に送信されてしまっていることを検知することができる。また、監視システム4は、原パケットデータXを正当でない送信元から受信してしまっており、ゲートウェイ5が乗っ取られてしまう可能性があることを検知することができる。   Therefore, the monitoring system 4 can detect that the original packet data X has been transmitted to an invalid transmission destination. Further, the monitoring system 4 can detect that the original packet data X has been received from an unauthorized source and the gateway 5 may be hijacked.

また、複製モジュール1は、原パケットデータXを複製し、転送パケットデータYを送信するのみであるため、ゲートウェイ5と異なり物理的なアクセス又は論理的なアクセスにより乗っ取られてしまうことがない。さらに、複製モジュール1は、ゲートウェイと容易に組み合わせることができるため、一つの監視装置3のみで多数のゲートウェイを監視することを可能にし得る。   Further, since the duplication module 1 only duplicates the original packet data X and transmits the transfer packet data Y, unlike the gateway 5, the duplication module 1 is not hijacked by physical access or logical access. Furthermore, since the replication module 1 can be easily combined with gateways, it may be possible to monitor a large number of gateways with only one monitoring device 3.

また、監視装置3は、原パケットデータXの送信元又は送信先が正当でないことを示す第1注意情報を出力するため、検知した内容をゲートウェイ5の管理者に報知することができる。さらに、監視装置3は、転送パケットデータYを前回受信してから所定期間以上新たな転送パケットデータYを受信していない場合にゲートウェイ5が動作していないことを示す第2注意情報を出力するため、ゲートウェイ5の死活監視を実行することができる。   In addition, since the monitoring device 3 outputs the first caution information indicating that the transmission source or transmission destination of the original packet data X is not valid, the monitoring device 3 can notify the administrator of the gateway 5 of the detected content. Further, the monitoring device 3 outputs the second caution information indicating that the gateway 5 is not operating when new transfer packet data Y has not been received for a predetermined period or longer since the transfer packet data Y was received last time. Therefore, the alive monitoring of the gateway 5 can be executed.

上述した実施形態は、例として提示したものであり、発明の範囲を限定することを意図するものではない。このため、上述した実施形態は、発明の要旨から逸脱しない範囲で種々の省略、置換又は変更が施されてもよい。したがって、上述した実施形態及びその変形例は、発明の範囲や要旨に含まれる。   The above-described embodiments are presented as examples, and are not intended to limit the scope of the invention. For this reason, various omission, substitution, or a change may be given to the embodiment mentioned above in the range which does not deviate from the gist of the invention. Therefore, the above-described embodiments and modifications thereof are included in the scope and gist of the invention.

1…複製モジュール、11…受信回路、12…複製回路、13…生成回路、14…転送回路、2…ネットワーク、3…監視装置、31…受信回路、32…判定回路、33…出力回路、4…監視システム、5…ゲートウェイ、61,62,63…センサ、7…正当なノード、8…不正なノード、91,92,93…インターフェース回路、B…第2ヘッダ、H…第1ヘッダ、D…データ、S,W…矢印、X…原パケットデータ、Y…転送パケットデータ   DESCRIPTION OF SYMBOLS 1 ... Duplicating module, 11 ... Receiving circuit, 12 ... Duplicating circuit, 13 ... Generating circuit, 14 ... Transfer circuit, 2 ... Network, 3 ... Monitoring device, 31 ... Receiving circuit, 32 ... Judgment circuit, 33 ... Output circuit, 4 ... monitoring system, 5 ... gateway, 61, 62, 63 ... sensor, 7 ... legitimate node, 8 ... illegal node, 91, 92, 93 ... interface circuit, B ... second header, H ... first header, D ... Data, S, W ... Arrow, X ... Original packet data, Y ... Transfer packet data

Claims (6)

ゲートウェイにより送受信される、第1ヘッダを含む原パケットデータを複製する複製回路と、
複製した前記原パケットデータに監視装置を示す第2ヘッダを付加した転送パケットデータを生成する生成回路と、
前記転送パケットデータを前記監視装置に送信する転送回路と、
を備える複製モジュール。 A duplicating circuit for duplicating original packet data including the first header transmitted and received by the gateway;
A generation circuit for generating transfer packet data in which a second header indicating a monitoring device is added to the copied original packet data;
A transfer circuit for transmitting the transfer packet data to the monitoring device;
A replication module comprising: ゲートウェイにより送受信される、第1ヘッダを含む原パケットデータを複製する複製ステップと、
複製した前記原パケットデータに監視装置を示す第2ヘッダを付加した転送パケットデータを生成する生成ステップと、
前記転送パケットデータを前記監視装置に送信する転送ステップと、
を備える複製方法。 A duplicating step of duplicating original packet data including the first header transmitted and received by the gateway;
A generation step of generating transfer packet data in which a second header indicating a monitoring device is added to the copied original packet data;
A transfer step of transmitting the transfer packet data to the monitoring device;
A replication method comprising: コンピュータに、
ゲートウェイにより送受信される、第1ヘッダを含む原パケットデータを複製する複製機能と、
複製した前記原パケットデータに監視装置を示す第2ヘッダを付加した転送パケットデータを生成する生成機能と、
前記転送パケットデータを前記監視装置に送信する転送機能と、
を実行させる、複製プログラム。 On the computer,
A duplication function for duplicating original packet data including the first header transmitted and received by the gateway;
A generation function for generating transfer packet data in which a second header indicating a monitoring device is added to the copied original packet data;
A transfer function for transmitting the transfer packet data to the monitoring device;
A replication program that runs 複製モジュールと、
監視装置と、を備え、
前記複製モジュールは、
ゲートウェイにより送受信される、第1ヘッダを含む原パケットデータを複製する複製回路と、
複製した前記原パケットデータに前記監視装置を示す第2ヘッダを付加した転送パケットデータを生成する生成回路と、
前記転送パケットデータを前記監視装置に送信する転送回路と、
を備え、
前記監視装置は、
前記転送パケットデータを前記複製モジュールから受信する受信回路と、
前記転送パケットデータに含まれている前記第1ヘッダを参照して前記原パケットデータの送信元又は送信先が正当であるか否かを判定する判定回路と、
を備える、
監視システム。 A replication module;
A monitoring device,
The duplication module is
A duplicating circuit for duplicating original packet data including the first header transmitted and received by the gateway;
A generation circuit for generating transfer packet data in which a second header indicating the monitoring device is added to the copied original packet data;
A transfer circuit for transmitting the transfer packet data to the monitoring device;
With
The monitoring device
A receiving circuit for receiving the transfer packet data from the duplication module;
A determination circuit that determines whether or not a transmission source or a transmission destination of the original packet data is valid with reference to the first header included in the transfer packet data;
Comprising
Monitoring system. 前記監視装置は、
前記原パケットデータの送信元又は送信先が正当ではないと判定された場合に前記原パケットデータの送信元又は送信先が正当でないことを示す第1注意情報を出力する出力回路を更に備える、
請求項4に記載の監視システム。 The monitoring device
An output circuit for outputting first caution information indicating that the source or destination of the original packet data is invalid when it is determined that the source or destination of the original packet data is not valid;
The monitoring system according to claim 4. 前記出力回路は、前記転送パケットデータを所定の時点から計測して所定期間以上新たな転送パケットデータを受信していない場合に前記ゲートウェイが動作していないことを示す第2注意情報を更に出力する、
請求項5に記載の監視システム。 The output circuit further outputs second caution information indicating that the gateway is not operating when the transfer packet data is measured from a predetermined time point and new transfer packet data is not received for a predetermined period or more. ,
The monitoring system according to claim 5.
JP2018062312A 2018-03-28 2018-03-28 Monitoring system Active JP6869203B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018062312A JP6869203B2 (en) 2018-03-28 2018-03-28 Monitoring system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018062312A JP6869203B2 (en) 2018-03-28 2018-03-28 Monitoring system

Publications (2)

Publication Number Publication Date
JP2019176309A true JP2019176309A (en) 2019-10-10
JP6869203B2 JP6869203B2 (en) 2021-05-12

Family

ID=68167344

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018062312A Active JP6869203B2 (en) 2018-03-28 2018-03-28 Monitoring system

Country Status (1)

Country Link
JP (1) JP6869203B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006114991A (en) * 2004-10-12 2006-04-27 Matsushita Electric Ind Co Ltd Firewall system and firewall control method
JP2006252109A (en) * 2005-03-10 2006-09-21 Oki Electric Ind Co Ltd Network access controller, device for remote operation and system
WO2015025373A1 (en) * 2013-08-21 2015-02-26 株式会社アズジェント Oa apparatus suitable for providing management security service, and security service provision method using said oa apparatus
JP2017527216A (en) * 2014-09-03 2017-09-14 マイクロソフト テクノロジー ライセンシング,エルエルシー Collect and analyze selected network traffic
JP2019506102A (en) * 2016-02-22 2019-02-28 ダイナミック・ネットワーク・サービシーズ・インコーポレイテッドDynamic Network Services, Inc. Method and apparatus for discovering global routing hijacking

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006114991A (en) * 2004-10-12 2006-04-27 Matsushita Electric Ind Co Ltd Firewall system and firewall control method
JP2006252109A (en) * 2005-03-10 2006-09-21 Oki Electric Ind Co Ltd Network access controller, device for remote operation and system
WO2015025373A1 (en) * 2013-08-21 2015-02-26 株式会社アズジェント Oa apparatus suitable for providing management security service, and security service provision method using said oa apparatus
JP2017527216A (en) * 2014-09-03 2017-09-14 マイクロソフト テクノロジー ライセンシング,エルエルシー Collect and analyze selected network traffic
JP2019506102A (en) * 2016-02-22 2019-02-28 ダイナミック・ネットワーク・サービシーズ・インコーポレイテッドDynamic Network Services, Inc. Method and apparatus for discovering global routing hijacking

Also Published As

Publication number Publication date
JP6869203B2 (en) 2021-05-12

Similar Documents

Publication Publication Date Title
JP6126980B2 (en) Network device and network system
US20190068592A1 (en) Uncloneable Registration of an Internet of Things (IoT) Device in a Network
JP4148526B2 (en) Apparatus and method for detecting a network address translation device.
JP2008177714A (en) Network system, server, ddns server, and packet relay device
JP6888437B2 (en) In-vehicle communication device, communication control method and communication control program
JP2005079706A (en) System and apparatus for preventing illegal connection to network
JP2008153905A (en) Network relay program, network relay device, communication system and network relay method
JP2009503916A (en) Multi-key encryption generation address
JP2020017809A (en) Communication apparatus and communication system
JP2006033334A (en) Communication system, router device, communication apparatus, communicating method, routing method, communication program, and routing program
JP4299621B2 (en) Service providing method, service providing program, host device, and service providing device
WO2015174100A1 (en) Packet transfer device, packet transfer system, and packet transfer method
JP5869552B2 (en) Method for securing access to data or services accessible through a device performing the method and corresponding device
Lu et al. An SDN-based authentication mechanism for securing neighbor discovery protocol in IPv6
JP2017121091A (en) Ecu and network device for vehicle
US20140359707A1 (en) Protecting end point devices
JP2018182767A (en) Ecu, network device, and network device for vehicle
JP6763605B2 (en) Data communication system, cache DNS device and communication attack prevention method
JP2020028023A (en) Communication device, control method of the same, and program
JP6869203B2 (en) Monitoring system
CN109688104A (en) It is a kind of to realize the system and method for the hiding host in network
JP5267893B2 (en) Network monitoring system, network monitoring method, and network monitoring program
US10079857B2 (en) Method of slowing down a communication in a network
JP2005210451A (en) Unauthorized access preventing apparatus and program
JP2005229436A (en) Session management apparatus, method, and program for constructing encrypted communication channel between terminals

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180821

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190725

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190729

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190917

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200123

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200316

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20200316

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20200323

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20200324

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20200515

C211 Notice of termination of reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C211

Effective date: 20200519

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20201111

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20210203

C23 Notice of termination of proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C23

Effective date: 20210217

C03 Trial/appeal decision taken

Free format text: JAPANESE INTERMEDIATE CODE: C03

Effective date: 20210317

C30A Notification sent

Free format text: JAPANESE INTERMEDIATE CODE: C3012

Effective date: 20210317

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210413

R150 Certificate of patent or registration of utility model

Ref document number: 6869203

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250