JP4316450B2 - Network relay device, network system, and encrypted communication method - Google Patents

Network relay device, network system, and encrypted communication method Download PDF

Info

Publication number
JP4316450B2
JP4316450B2 JP2004255589A JP2004255589A JP4316450B2 JP 4316450 B2 JP4316450 B2 JP 4316450B2 JP 2004255589 A JP2004255589 A JP 2004255589A JP 2004255589 A JP2004255589 A JP 2004255589A JP 4316450 B2 JP4316450 B2 JP 4316450B2
Authority
JP
Japan
Prior art keywords
tunnel
identification information
encryption
cryptographic
construction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004255589A
Other languages
Japanese (ja)
Other versions
JP2006074457A (en
Inventor
亮一 井上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
THE FURUKAW ELECTRIC CO., LTD.
Original Assignee
THE FURUKAW ELECTRIC CO., LTD.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by THE FURUKAW ELECTRIC CO., LTD. filed Critical THE FURUKAW ELECTRIC CO., LTD.
Priority to JP2004255589A priority Critical patent/JP4316450B2/en
Publication of JP2006074457A publication Critical patent/JP2006074457A/en
Application granted granted Critical
Publication of JP4316450B2 publication Critical patent/JP4316450B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、IPsec等に基づく高度なセキュリティ機能を備えたネットワーク通信が行えるネットワーク中継装置、ネットワークシステム及び暗号化通信方法に関する。   The present invention relates to a network relay device, a network system, and an encrypted communication method capable of performing network communication having an advanced security function based on IPsec or the like.

最近、IPsec(IP Security Protocol)等に基づく高度なセキュリティ機能を備えたネットワーク通信が実現されている(例えば、特許文献1を参照)。このようなネットワーク通信を用ることにより、CPE(Customer Premises Equipment、以下、ユーザ装置という)とネットワーク中継装置(以下、ルータ(router)という場合がある)等の通信相手同士があたかも安全な専用回線で直結されたかのように通信可能なVPN(Virtual Private Network)が実現できる。   Recently, network communication having advanced security functions based on IPsec (IP Security Protocol) or the like has been realized (see, for example, Patent Document 1). By using such network communication, it is as if the communication counterparts such as CPE (Customer Premises Equipment, hereinafter referred to as user equipment) and network relay equipment (hereinafter, also referred to as router) are as safe as possible. VPN (Virtual Private Network) capable of communicating as if directly connected with the network.

このようなIPsecを用いたネットワーク通信では、IPsecに基づく暗号トンネルを構築して暗号化通信を行うため、ISAKMP(Internet Security Association & Key Management Protocol)等の鍵管理プロトコルに基づく認証・暗号化情報の交換(IKE;Internet Key Exchange)が行われる。このIKEには、二段階のネゴシエーション(negotiation)が含まれ、まず、第一段目のネゴシエーション(以下、Phase−Iという)が実行されることにより、続く第二段目のネゴシエーション(以下、Phase−IIという)が暗号化され、次いでこのPhase−IIが実行されることにより、EPS(Encapsulating Security Payload)による暗号化通信(暗号トンネル)の構築が完了する。   In such network communication using IPsec, an encryption tunnel based on IPsec is established and encrypted communication is performed. Therefore, authentication / encryption information based on a key management protocol such as ISAKMP (Internet Security Association & Key Management Protocol) is used. Exchange (IKE; Internet Key Exchange) is performed. This IKE includes a two-stage negotiation. First, the first-stage negotiation (hereinafter referred to as Phase-I) is executed, whereby the subsequent second-stage negotiation (hereinafter referred to as Phase). -II) is encrypted, and then Phase-II is executed, thereby completing the establishment of encrypted communication (encryption tunnel) by EPS (Encapsulating Security Payload).

この際、当該暗号化通信を行うための認証・暗号化のアルゴリズムや鍵(KEY)等の情報を表すSA(Security Association)がIKEの各ネゴシエーションの際に作成されて両通信相手(ユーザ装置、ネットワーク中継装置)のメモリ内に保存される。
特開2004−104559号公報 At this time, an SA (Security Association) representing information such as an authentication / encryption algorithm and a key (KEY) for performing the encrypted communication is created at the time of each IKE negotiation, and both communication partners (user device, Stored in the memory of the network relay device).
JP 2004-104559 A

しかし、上記従来の技術には次のような問題点がある。
例えばユーザ装置とネットワーク中継装置との間で上記暗号トンネルが構築された後(すなわち、当該暗号トンネルに係るSAが作成・保存された後)、当該ユーザ装置が故障等により再起動された場合には、ユーザ装置は、暗号トンネル構築要求をネットワーク中継装置に対し再度行う。この際、ネットワーク中継装置は、当該再要求された暗号トンネル構築要求を、新規な暗号トンネル構築要求であると判断し、当該新規な暗号トンネルに係るSAの作成・保存を行う。このため、再起動前に構築された暗号トンネルに係るSAがネットワーク中継装置のメモリ内に一定時間保存された状態となり、ネットワーク中継装置内のメモリ資源の有効活用が困難となる。特に、多くの暗号トンネルが同時に構築され、それに伴い多くのSAが作成・保存されるような場合には、メモリの空き容量が多ければ多いほど、多くの暗号トンネルが構築可能となるため、利用不可なメモリ領域の減少化が望まれる。
本発明の課題は、IPsec等に基づく暗号トンネルを構築して暗号化通信を行うネットワーク中継装置、ネットワークシステム及び暗号化通信方法において、より多くの暗号トンネルを同時並列的に利用可能にすることである。 However, the above conventional technique has the following problems.
For example, after the encryption tunnel is constructed between the user apparatus and the network relay apparatus (that is, after the SA related to the encryption tunnel is created and stored), the user apparatus is restarted due to a failure or the like. The user apparatus makes an encryption tunnel construction request to the network relay apparatus again. At this time, the network relay apparatus determines that the re-requested cryptographic tunnel construction request is a new cryptographic tunnel construction request, and creates and stores an SA related to the new cryptographic tunnel. For this reason, the SA related to the encryption tunnel constructed before restarting is stored in the memory of the network relay device for a certain period of time, making it difficult to effectively use the memory resources in the network relay device. In particular, when many cryptographic tunnels are built at the same time and many SAs are created and stored, the more free space in the memory, the more crypto tunnels can be constructed. It is desired to reduce the impossible memory area.
An object of the present invention is to make it possible to use more encryption tunnels simultaneously and in parallel in a network relay device, a network system, and an encryption communication method for constructing an encryption tunnel based on IPsec and performing encrypted communication. is there.

上記課題を解決するため、この発明のネットワーク中継装置は、
ユーザ装置(例えば、ユーザ装置10)との間で暗号トンネルを構築して暗号化通信を行い、該暗号トンネルを介したデータ通信が所定時間行われない場合には当該暗号トンネルの設定を解除するネットワーク中継装置(例えば、ルータ20)であって、
前記ユーザ装置から該ユーザ装置を識別するための機器識別情報(例えば、図4に示すKEYデータ)が前記暗号トンネル構築中に通知されると該機器識別情報をメモリ内に格納し、前記暗号トンネルの設定が解除された際に前記機器識別情報を前記メモリ(例えば、SA2a)から消去する識別情報制御手段(例えば、CP21)と、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始するよう制御する暗号トンネル構築制御手段(例えば、CP21)と、
を備えたことを特徴とするネットワーク中継装置である。 In order to solve the above problems, the network relay device of the present invention is:
An encrypted tunnel is established with the user apparatus (for example, the user apparatus 10) and encrypted communication is performed. If data communication via the encrypted tunnel is not performed for a predetermined time, the setting of the encrypted tunnel is canceled. A network relay device (eg, router 20),
When device identification information (for example, KEY data shown in FIG. 4) for identifying the user device is notified from the user device during construction of the encryption tunnel, the device identification information is stored in a memory, and the encryption tunnel is stored. Identification information control means (for example, CP21) for erasing the device identification information from the memory (for example, SA2a) when the setting is released,
If a request for construction of a new cryptographic tunnel is made from the user device after construction of the cryptographic tunnel, the cryptographic tunnel is currently continued based on whether the device identification information is currently stored in the memory. A cryptographic tunnel construction control means for controlling to cancel the setting of the ongoing cryptographic tunnel and to start construction of the new cryptographic tunnel if the cryptographic tunnel is ongoing. For example, CP21)
A network relay device comprising:

また、上記課題を解決するため、この発明のネットワークシステムは、
ネットワーク間で行われるデータ通信を中継する中継するネットワーク中継装置(例えば、ルータ20)と、該ネットワーク中継装置を経由してデータ通信が可能なユーザ装置(例えば、ユーザ装置10)とを備え、該ユーザ装置と前記ネットワーク中継装置との間で暗号トンネルを構築して相互に暗号化通信を行い、該暗号トンネルを介したデータ通信が所定時間行われない場合には当該暗号トンネルの設定を解除するネットワークシステム(例えば、ネットワークシステム100)であって、
前記ユーザ装置は、
前記暗号トンネルの構築中に、自装置を識別するための機器識別情報(例えば、図4に示すKEYデータ)を前記ネットワーク中継装置に通知する識別情報通知手段(例えば、CP11)を備え、
前記ネットワーク中継装置は、
前記機器識別情報が通知されると該機器識別情報をメモリ(例えば、SA1a)内に格納し、前記暗号トンネルの設定が解除された際に前記機器識別情報を前記メモリから消去する識別情報制御手段(例えば、CP21)と、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始するよう制御する暗号トンネル構築制御手段(例えば、CP21)と、
を備えたことを特徴とするネットワークシステムである。 In order to solve the above-mentioned problem, the network system of the present invention is
A network relay device that relays data communication performed between networks (for example, the router 20), and a user device that can perform data communication via the network relay device (for example, the user device 10), An encryption tunnel is established between the user device and the network relay device to perform encrypted communication with each other, and if the data communication via the encryption tunnel is not performed for a predetermined time, the setting of the encryption tunnel is canceled. A network system (eg, network system 100),
The user equipment is
An identification information notification means (for example, CP11) for notifying the network relay device of device identification information (for example, KEY data shown in FIG. 4) for identifying the own device during the construction of the encryption tunnel;
The network relay device is:
When the device identification information is notified, the device identification information is stored in a memory (for example, SA1a), and the device identification information is erased from the memory when the setting of the encryption tunnel is cancelled. (For example, CP21)
If a request for construction of a new cryptographic tunnel is made from the user device after construction of the cryptographic tunnel, the cryptographic tunnel is currently continued based on whether the device identification information is currently stored in the memory. A cryptographic tunnel construction control means for controlling to cancel the setting of the ongoing cryptographic tunnel and to start construction of the new cryptographic tunnel if the cryptographic tunnel is ongoing. For example, CP21)
A network system characterized by comprising:

また、上記課題を解決するため、この発明の暗号化通信方法は、
ネットワーク間で行われるデータ通信を中継するネットワーク中継装置(例えば、ルータ20)と、該ネットワーク中継装置を経由してデータ通信が可能なユーザ装置(例えば、ユーザ装置10)との間で暗号トンネルを構築して相互に暗号化通信を行い、該暗号トンネルを介したデータ通信が所定時間行われない場合には当該暗号トンネルの設定を解除する暗号化通信方法であって、
前記暗号トンネルの構築中に、前記ユーザ装置を識別するための機器識別情報(例えば、図4に示すKEYデータ)を、該ユーザ装置から前記ネットワーク中継装置に通知する識別情報通知ステップと、
前記機器識別情報が前記ネットワーク中継装置に通知されると、該機器識別情報を該ネットワーク中継装置のメモリ(例えば、SA2a)内に格納する情報格納ステップと、
前記暗号トンネルの設定が解除された際に、前記機器識別情報を前記メモリ内から消去する情報消去ステップとを含み、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始することを特徴とする暗号化通信方法である。 In order to solve the above problem, the encrypted communication method of the present invention is:
An encryption tunnel is established between a network relay device (for example, the router 20) that relays data communication performed between networks and a user device (for example, the user device 10) that can perform data communication via the network relay device. An encrypted communication method for constructing and performing encrypted communication with each other, and canceling the setting of the encryption tunnel when data communication via the encryption tunnel is not performed for a predetermined time,
An identification information notification step of notifying device identification information for identifying the user device (for example, KEY data shown in FIG. 4) from the user device to the network relay device during construction of the encryption tunnel;
When the device identification information is notified to the network relay device, an information storage step of storing the device identification information in a memory (for example, SA2a) of the network relay device;
An information erasing step of erasing the device identification information from the memory when the setting of the encryption tunnel is canceled,
If a request for construction of a new cryptographic tunnel is made from the user device after construction of the cryptographic tunnel, the cryptographic tunnel is currently continued based on whether the device identification information is currently stored in the memory. And determining whether or not the encryption tunnel is ongoing, canceling the setting of the ongoing encryption tunnel and starting the construction of the new encryption tunnel. It is.

本発明によれば、暗号トンネル構築の際に、ユーザ装置固有の識別情報がネットワーク中継装置に保存される。このため、ユーザ装置とネットワーク中継装置との間で暗号トンネルが構築された後、当該暗号トンネルが終了される前に、当該ユーザ装置が故障等により再起動されて新たな暗号トンネル構築要求がユーザ装置からネットワーク中継装置になされた場合であっても、ネットワーク中継装置は、識別情報に基づいて、この新たな暗号トンネル構築要求を行ったユーザ装置が、現在未終了の暗号トンネルを利用していたものと容易に確認できる。そして、当該未終了の暗号トンネルに係る認証・暗号情報がネットワーク中継装置のメモリから消去できるので、ネットワーク中継装置のメモリ資源の有効活用が可能となる。特に、ネットワーク中継装置の空きメモリ容量が増加可能となるので、多くの暗号トンネルの構築が同時並列的により可能となる。   According to the present invention, identification information unique to a user apparatus is stored in a network relay apparatus when an encryption tunnel is established. For this reason, after the encryption tunnel is established between the user device and the network relay device, before the encryption tunnel is terminated, the user device is restarted due to a failure or the like, and a new encryption tunnel establishment request is issued by the user. Even if the network relay device is changed from the device to the network relay device, the network relay device uses the currently unfinished cryptographic tunnel by the user device that has made this new cryptographic tunnel construction request based on the identification information. It can be easily confirmed. Since the authentication / encryption information related to the unfinished encryption tunnel can be deleted from the memory of the network relay device, it is possible to effectively use the memory resources of the network relay device. In particular, since the free memory capacity of the network relay device can be increased, many cryptographic tunnels can be constructed simultaneously and in parallel.

以下、図面を参照して本発明を適用したネットワークシステム100について説明する。
ネットワークシステム100は、図1に示すように、ユーザ装置(CPE)10と、ネットワーク中継装置としてのルータ20とが、ネットワークNに暗号トンネルを構築し、当該暗号トンネルを介し相互に暗号化通信可能に接続される。なお、ネットワークシステム100は、複数のユーザ装置10が接続された構成であってもよい。 Hereinafter, a network system 100 to which the present invention is applied will be described with reference to the drawings.
In the network system 100, as shown in FIG. 1, a user apparatus (CPE) 10 and a router 20 as a network relay apparatus construct an encryption tunnel in the network N and can perform encrypted communication with each other via the encryption tunnel. Connected to. The network system 100 may have a configuration in which a plurality of user devices 10 are connected.

ユーザ装置10は、図2(a)に示すように、CP(Central Processor)11、NP(Network Processor)12を備え、CP11は、ISAKMP制御デーモン(daemon)11a、カーネル(kernel)11b、DB(Data Base)11c、SA(SA data base)1aを備える。このISAKMP制御デーモン11a、カーネル11bは、CP11が実行するプログラムの各機能を表すものであってもよいし、ハードウェアの機能を表すものであってもよい。   As shown in FIG. 2A, the user apparatus 10 includes a CP (Central Processor) 11 and an NP (Network Processor) 12. The CP 11 includes an ISAKMP control daemon (daemon) 11a, a kernel (kernel) 11b, and a DB (DB). Data Base) 11c and SA (SA data base) 1a. The ISAKMP control daemon 11a and the kernel 11b may represent functions of a program executed by the CP 11, or may represent hardware functions.

ISAKMP制御デーモン11aは、IPsecによる暗号化通信を確立するため、ルータ20との間で、ISAKMPの鍵管理プロトコルに基づく認証・暗号化情報の交換(Phase−I、IIのネゴシエーション)を行う。特にPhase−Iの際、ISAKMP制御デーモン11aは、DB11cに格納された各種ピア(peer)情報(例えば、ルータ20のアドレス等。)を用いて、図3に示すISAKMPパケットD1やISAKMPパケットD3を作成する。   The ISAKMP control daemon 11a exchanges authentication / encryption information (Phase-I, II negotiation) with the router 20 based on the ISAKMP key management protocol in order to establish encrypted communication by IPsec. In particular, during Phase-I, the ISAKMP control daemon 11a uses the various peer information (for example, the address of the router 20) stored in the DB 11c to generate the ISAKMP packet D1 and the ISAKMP packet D3 shown in FIG. create.

ISAKMP制御デーモン11aは、ISAKMPパケットD1を作成する際に、IDペイロードを、ユーザ装置10のIDデータに、MACアドレス等のユーザ装置10を識別するための固有のKEYデータを加えて作成する。例えば、図4の図中符号D4に示すIDペイロードに含まれる“Identification Data”の数バイト分にユーザ装置10に係るIPアドレス“user@customere.com”が記録され、残りの数バイト分にはMACアドレス等のユーザ装置10を識別するためのKEYデータ(“00010203”)が記録されている。   When creating the ISAKMP packet D1, the ISAKMP control daemon 11a creates an ID payload by adding unique KEY data for identifying the user device 10 such as a MAC address to the ID data of the user device 10. For example, the IP address “user@customer.com” related to the user apparatus 10 is recorded in several bytes of “Identification Data” included in the ID payload indicated by reference numeral D4 in FIG. 4, and the remaining several bytes are included in the remaining several bytes. KEY data (“00010203”) for identifying the user device 10 such as a MAC address is recorded.

また、ISAKMP制御デーモン11aは、Phase−I、IIの各段階で作成した各SA(それぞれPhase−I SA、Phase−II SAという)をSA1aに格納する。この各SAには、上記KEYデータが加えられたIDデータが含まれる。   Further, the ISAKMP control daemon 11a stores the SAs created at the stages of Phase-I and II (referred to as Phase-I SA and Phase-II SA, respectively) in SA1a. Each SA includes ID data to which the KEY data is added.

カーネル11bは、ネットワークNを介してパケットを送信する場合には、SA1aを参照して、当該送信パケットに係るPhase−I SA、Phase−II SAがSA1aに既に格納(作成)されているか否かを判定し、当該各SAが既にSA1aに格納されている場合には、各SAを用いて当該送信パケットの暗号化を行う。当該送信パケットに係る各SAがSA1aに格納されていない場合には、ISAKMP制御デーモン11aに対して各SAの作成要求を行う。その際、ISAKMP制御デーモン11aは、当該パケットの送信先との間でPhase−I、IIを行って各SAを作成する。   When transmitting a packet via the network N, the kernel 11b refers to SA1a to determine whether the Phase-I SA and Phase-II SA related to the transmission packet are already stored (created) in SA1a. If each SA is already stored in SA1a, the transmission packet is encrypted using each SA. If each SA related to the transmission packet is not stored in the SA 1a, a request for creating each SA is made to the ISAKMP control daemon 11a. At this time, the ISAKMP control daemon 11a performs Phase-I and II with the transmission destination of the packet to create each SA.

NP12は、ネットワークNを介してパケットの送受信を行うためのインターフェースを備える。   The NP 12 includes an interface for transmitting and receiving packets via the network N.

ルータ20は、図2(b)に示すように、CP21、NP22を備え、CP21は、ISAKMP制御デーモン21a、カーネルl21b、DB21c、SA2aを備える。このISAKMP制御デーモン21a、カーネル21bは、CP21が実行するプログラムの各機能を表すものであってもよいし、ハードウェアの機能を表すものであってもよい。   As shown in FIG. 2B, the router 20 includes CP21 and NP22. The CP21 includes an ISAKMP control daemon 21a, a kernel l21b, a DB 21c, and SA2a. The ISAKMP control daemon 21a and the kernel 21b may represent functions of a program executed by the CP 21, or may represent hardware functions.

ISAKMP制御デーモン21aは、IPsecによる暗号トンネルを構築するため、ユーザ装置10との間で、ISAKMPの鍵管理プロトコルに基づく認証・暗号化情報の交換(Phase−I、IIのネゴシエーション)を行う。特にPhase−Iの際、ISAKMP制御デーモン21aは、DB21cに格納された各種ピア(peer)情報(例えば、ユーザ装置10のアドレス等)を用いて、図3に示すISAKMPパケットD2を作成する。   The ISAKMP control daemon 21a exchanges authentication / encryption information (Phase-I, II negotiation) with the user apparatus 10 based on the ISAKMP key management protocol in order to construct an encryption tunnel based on IPsec. In particular, during Phase-I, the ISAKMP control daemon 21a creates the ISAKMP packet D2 shown in FIG. 3 by using various peer information (for example, the address of the user device 10) stored in the DB 21c.

また、ISAKMP制御デーモン21aは、Phase−I、IIの各段階で作成した各SA(それぞれPhase−I SA、Phase−II SAという)をSA2aに格納する。この各SAには、上記KEYデータが加えられたIDデータが含まれる。   Further, the ISAKMP control daemon 21a stores the SAs created at the stages of Phase-I and II (referred to as Phase-I SA and Phase-II SA, respectively) in SA2a. Each SA includes ID data to which the KEY data is added.

カーネル21bは、ネットワークNを介してパケットが受信されると、SA2aを参照して、当該受信パケットに係るPhase−I SA、Phase−II SAがSA2aに既に格納(作成)されているか否かを判定し、当該各SAが既にSA2aに格納されている場合には、各SAを用いて当該受信パケットの復号化を行う。当該受信パケットに係る各SAがSA2aに格納されていない場合には、ISAKMP制御デーモン21aに対して各SAの作成要求を行う。その際、ISAKMP制御デーモン21aは、当該パケットの送信元との間でPhase−I、IIを行って各SAを作成する。   When a packet is received via the network N, the kernel 21b refers to SA2a and determines whether the Phase-I SA and Phase-II SA related to the received packet are already stored (created) in SA2a. If the SA is already stored in the SA 2a, the received packet is decoded using each SA. If each SA related to the received packet is not stored in the SA 2a, a request for creating each SA is made to the ISAKMP control daemon 21a. At that time, the ISAKMP control daemon 21a performs Phase-I and II with the transmission source of the packet to create each SA.

カーネルl21bは、暗号トンネル構築後、ユーザ装置10からパケット送信が所定時間行われなかった場合、若しくは、ユーザ装置10から暗号トンネルの設定解除指示を受信した際には、当該暗号トンネルの設定を解除する。この場合、カーネルl21bは、当該暗号トンネルに係るPhase−I SA、Phase−II SAをSA2aから消去する。   The kernel l21b cancels the setting of the encryption tunnel when the packet transmission from the user apparatus 10 is not performed for a predetermined time after the encryption tunnel is established or when the setting cancellation instruction of the encryption tunnel is received from the user apparatus 10. To do. In this case, the kernel l21b deletes the Phase-I SA and Phase-II SA related to the encryption tunnel from the SA 2a.

NP22は、ネットワークNを介してパケットの送受信を行うためのインターフェースを備える。   The NP 22 includes an interface for transmitting and receiving packets via the network N.

次に、ネットワークNを介して、ユーザ装置10のISAKMP制御デーモン11aと、ルータ20のISAKMP制御デーモン21aとの間で行われるPhase−Iの処理内容について説明する。   Next, the contents of Phase-I processing performed between the ISAKMP control daemon 11a of the user apparatus 10 and the ISAKMP control daemon 21a of the router 20 via the network N will be described.

まず、ISAKMP制御デーモン11aは、ISAKMPパケットD1を作成し、このISAKMPパケットD1をNP12を介してルータ20側に送信する(ステップS1)。ここで、ISAKMPパケットD1には、IPヘッダ(IP)、UDPヘッダ(UDP)、ISAKMPヘッダ(ISAKMP)、SAペイロード(SA)、key exchengeペイロード(KE)、NONCEペイロード(Ni)及びIDペイロード(IDi)が含まれる。   First, the ISAKMP control daemon 11a creates an ISAKMP packet D1, and transmits this ISAKMP packet D1 to the router 20 side via the NP12 (step S1). Here, the ISAKMP packet D1 includes an IP header (IP), a UDP header (UDP), an ISAKMP header (ISAKMP), an SA payload (SA), a key exchange payload (KE), a NANCE payload (Ni), and an ID payload (IDi). ) Is included.

次に、ISAKMP制御デーモン21aは、ユーザ装置10側からISAKMPパケットD1が受信されると、このISAKMPパケットD1にHASHペイロード(HASHr)を加えてISAKMPパケットD2を作成し、このISAKMPパケットD2をNP22を介してユーザ装置10側に送信する(ステップS2)。ここで、ISAKMPパケットD2には、IPヘッダ(IP)、UDPヘッダ(UDP)、ISAKMPヘッダ(ISAKMP)、SAペイロード(SA)、key exchengeペイロード(KE)、NONCEペイロード(Nr)、IDペイロード(IDr)及びHASHペイロード(HASHr)が含まれる。   Next, when the ISAKMP packet D1 is received from the user apparatus 10 side, the ISAKMP control daemon 21a adds the HASH payload (HASHr) to the ISAKMP packet D1 to create the ISAKMP packet D2, and the ISAKMP packet D2 is transferred to the NP22. To the user device 10 (step S2). Here, the ISAKMP packet D2 includes an IP header (IP), a UDP header (UDP), an ISAKMP header (ISAKMP), an SA payload (SA), a key exchange payload (KE), a NANCE payload (Nr), an ID payload (IDr). ) And HASH payload (HASHr).

そして、ISAKMP制御デーモン11aは、ルータ20側からISAKMPパケットD2が受信されると、このうちIPヘッダ、UDPヘッダ及びISAKMPヘッダに、更に暗号化されたHASHペイロード(HASH_i)を加えてISAKMPパケットD3を作成し、このISAKMPパケットD3をルータ20に送信する(ステップS3)。ここで、ISAKMPパケットD3には、IPヘッダ(IP)、UDPヘッダ(UDP)、ISAKMPヘッダ(ISAKMP)及びHASHペイロード(HASHi)が含まれる。   When the ISAKMP packet D2 is received from the router 20 side, the ISAKMP control daemon 11a adds an encrypted HASH payload (HASH_i) to the IP header, UDP header, and ISAKMP header, and sends the ISAKMP packet D3. The ISAKMP packet D3 is created and transmitted to the router 20 (step S3). Here, the ISAKMP packet D3 includes an IP header (IP), a UDP header (UDP), an ISAKMP header (ISAKMP), and a HASH payload (HASHi).

次に、図5を参照して、ユーザ装置10とルータ20との間で暗号トンネルが構築された後にユーザ装置10が再起動された際の再起動処理について説明する。   Next, a restart process when the user device 10 is restarted after the encryption tunnel is established between the user device 10 and the router 20 will be described with reference to FIG.

まず、暗号トンネル(第1の暗号トンネルという)がユーザ装置10とルータ20との間で一旦構築されると、ユーザ装置10、ルータ20には、それぞれ、当該第1の暗号トンネルに係るPhase−I SA、Phase−II SA(第1のPhase−I、第1のPhase−II SAという)が作成されて保存される。ここで、第1の暗号トンネル構築の際に用いられたIPアドレスを第1のIPアドレスとし、IDペイロード(IDi)を第1のIDペイロードという。   First, once an encryption tunnel (referred to as a first encryption tunnel) is established between the user apparatus 10 and the router 20, the user apparatus 10 and the router 20 are respectively connected to the Phase− associated with the first encryption tunnel. I SA and Phase-II SA (referred to as first Phase-I and first Phase-II SA) are created and stored. Here, the IP address used in constructing the first encryption tunnel is referred to as a first IP address, and the ID payload (IDi) is referred to as a first ID payload.

その後、ユーザ装置10が故障等により再起動されると、ISAKMP制御デーモン11aにより、新たに付与されたIPアドレス(第1のIPアドレスとは異なる第2のIPアドレスという)に、ユーザ装置10に固有のKEYデータ(第1の暗号トンネルに用いられたものと同じKEYデータ)が更に加えられて新たな第2のIDペイロード(IDi)が作成される。   Thereafter, when the user device 10 is restarted due to a failure or the like, the ISAKMP control daemon 11a sets the user device 10 to a newly assigned IP address (referred to as a second IP address different from the first IP address). The unique KEY data (the same KEY data used for the first encryption tunnel) is further added to create a new second ID payload (IDi).

更に、ISAKMP制御デーモン11aにより、この第2のIDペイロードが含まれる新たなISAKMPパケットD1が作成されてルータ20側に送信される。   Further, the ISAKMP control daemon 11a creates a new ISAKMP packet D1 including the second ID payload and transmits it to the router 20 side.

その後、ルータ20のISAKMP制御デーモン21aは、当該新たに作成されたISAKMPパケットD1が受信されると、第2のIDペイロードに含まれるKEYデータを第2のPhase−I SAとしてSA2aに格納し、今後受信されるパケットの認証を、この第2のIDペイロードに含まれる第2のIPアドレスに基づいて行う(ステップS11)。   Thereafter, when the ISAKMP control daemon 21a of the router 20 receives the newly created ISAKMP packet D1, the KEY data included in the second ID payload is stored in the SA 2a as the second Phase-I SA, Authentication of a packet received in the future is performed based on the second IP address included in the second ID payload (step S11).

その後、第2のPhase−I SAの作成終了に伴い、図3に示すPhase−Iのネゴシエーションが終了され、この第2のPhase−I SAがユーザ装置10、ルータ20の各SA1a、SA2aに保存される(ステップS12)。   Thereafter, along with the completion of the creation of the second Phase-I SA, the negotiation of the Phase-I shown in FIG. 3 is terminated, and this second Phase-I SA is stored in each of the SA1a and SA2a of the user apparatus 10 and the router 20. (Step S12).

そして、ISAKMP制御デーモン21aは、SA2aを参照して、第2のIPアドレスに係る他の(第1の暗号トンネルとは無関係な)Phase−I SAがSA2aに格納されているか否かを判定する(ステップS13)。   Then, the ISAKMP control daemon 21a refers to SA2a to determine whether another Phase-I SA related to the second IP address (unrelated to the first encryption tunnel) is stored in SA2a. (Step S13).

ステップS13の段階で、第2のIPアドレスに係る他のPhase−I SAがSA2aに格納されている場合には(ステップS13;Yes)、当該他のPhase−I SAを消去してステップS15に移行し(ステップS14)、上記他のPhase−I SAがSA2aに格納されていない場合には(ステップS13;No)、ステップS15に移行する。   If another Phase-ISA related to the second IP address is stored in SA2a at Step S13 (Step S13; Yes), the other Phase-ISA is deleted and the process goes to Step S15. If the other Phase-ISA is not stored in SA2a (Step S13; No), the process proceeds to Step S15.

その後、ISAKMP制御デーモン21aは、ユーザ装置10に固有のKEYデータに係る他のPhase−I SAがSA2aに格納されているか否かを判定する(ステップS15)。   Thereafter, the ISAKMP control daemon 21a determines whether or not another Phase-ISA related to the KEY data unique to the user device 10 is stored in the SA 2a (step S15).

この際、ユーザ装置10の再起動が、予め設定されたPhase−I SAのライフタイム終了前に行われた場合、第1の暗号トンネル構築の際(当該再起動前)に既に作成・保存されたPhase−I SAがSA2aに未だ残っているため(ステップS15;Yes)、ISAKMP制御デーモン21aは、当該再起動前に作成・保存され、SA2aに未だ残っているPhase−I SA、Phase−II SAを消去し(ステップS16)、ステップS17に移行する。   At this time, if the user apparatus 10 is restarted before the preset Phase-ISA lifetime ends, it is already created and stored when the first encryption tunnel is established (before the restart). Since Phase-I SA still remains in SA2a (step S15; Yes), ISAKMP control daemon 21a is created and stored before the restart, and Phase-I SA, Phase-II still remains in SA2a. SA is deleted (step S16), and the process proceeds to step S17.

ステップS15の段階で、上記KEYデータに係る他のPhase−I SAがSA2aに格納されていな場合には(ステップS15;No)、ステップS17に移行する。   If no other Phase-ISA related to the KEY data is stored in SA2a at step S15 (step S15; No), the process proceeds to step S17.

そして、ISAKMP制御デーモン21aは、Phase−IIの処理を行い、ユーザ装置10との間で新たな暗号トンネルを構築する(ステップS17)。   Then, the ISAKMP control daemon 21a performs Phase-II processing, and constructs a new encryption tunnel with the user device 10 (step S17).

以上説明したように、暗号トンネル構築の際に、ユーザ装置固有のKEYデータがルータ20のSA2aにSAに関連付けて保存される。このため、ユーザ装置10とルータ20との間で暗号トンネルが構築された後、当該暗号トンネルが終了される前に、当該ユーザ装置10が故障等により再起動されて新たな暗号トンネル構築要求がユーザ装置10からルータ20になされた場合であっても、ルータ20は、KEYデータに基づいて、この新たな暗号トンネル構築要求を行ったユーザ装置10が、現在未終了の暗号トンネルを利用していたものと容易に確認できる。そして、当該未終了の暗号トンネルに係るSAがルータ20のSA2aから消去できるので、ルータ20のメモリ資源の有効活用が可能となる。特に、ルータ20の空きメモリ容量が増加でき、より多くの暗号トンネルの構築が同時並列的に可能となる。   As described above, when the encryption tunnel is established, the KEY data specific to the user apparatus is stored in the SA 2a of the router 20 in association with the SA. For this reason, after the encryption tunnel is established between the user apparatus 10 and the router 20, before the encryption tunnel is terminated, the user apparatus 10 is restarted due to a failure or the like, and a new encryption tunnel establishment request is issued. Even in the case where the user device 10 makes the router 20, the router 20 uses the currently unfinished encryption tunnel by the user device 10 which has made this new encryption tunnel construction request based on the KEY data. It can be easily confirmed. Since the SA related to the unfinished encryption tunnel can be deleted from the SA 2a of the router 20, the memory resources of the router 20 can be effectively used. In particular, the free memory capacity of the router 20 can be increased, and more cryptographic tunnels can be constructed in parallel.

なお、本実施の形態における記述は上記したものに限定されない。本実施の形態におけるネットワークシステム100、ユーザ装置10、ルータ20の細部構成及び詳細な動作等に関しては、本発明の趣旨を逸脱しない範囲で適宜変更可能である。   Note that the description in this embodiment is not limited to the above description. The detailed configurations and detailed operations of the network system 100, the user device 10, and the router 20 in the present embodiment can be changed as appropriate without departing from the spirit of the present invention.

本発明を適用したネットワークシステムの概略構成を示す図である。It is a figure which shows schematic structure of the network system to which this invention is applied. (a)は、図1に示すユーザ装置の機能ブロック図であり、(b)は、図1に示すルータの機能ブロック図である。(A) is a functional block diagram of the user apparatus shown in FIG. 1, and (b) is a functional block diagram of the router shown in FIG. 暗号トンネル構築の際のPhase−IネゴシエーションにおけるISAKMPパケットの詳細内容及び送受信タイミングを示す図である。It is a figure which shows the detailed content and transmission / reception timing of an ISAKMP packet in Phase-I negotiation at the time of encryption tunnel construction. 本発明を適用したIDペイロードの内容を示す図である。It is a figure which shows the content of the ID payload to which this invention is applied. 本発明を適用した暗号トンネル構築後に行われるユーザ装置の再起動処理を説明するフローチャートである。It is a flowchart explaining the restart process of the user apparatus performed after the encryption tunnel construction to which this invention is applied.

符号の説明Explanation of symbols

10 ユーザ装置
100 ネットワークシステム
11 CP
11a ISAKMP制御デーモン
11b カーネル
11c DB
12 NP
1a SA
20 ルータ
21 CP
21a ISAKMP制御デーモン
21b カーネル
21c DB
22 NP
2a SA
D1、D2、D3 ISAKMPパケット
N ネットワーク


10 User device 100 Network system 11 CP
11a ISAKMP control daemon 11b kernel 11c DB
12 NP
1a SA
20 router 21 CP
21a ISAKMP control daemon 21b kernel 21c DB
22 NP
2a SA
D1, D2, D3 ISAKMP packet N network


Claims (3)

ユーザ装置との間で暗号トンネルを構築して暗号化通信を行い、該暗号トンネルを介したデータ通信が所定時間行われない場合には当該暗号トンネルの設定を解除するネットワーク中継装置であって、
前記ユーザ装置から該ユーザ装置を識別するための機器識別情報が前記暗号トンネル構築中に通知されると該機器識別情報をメモリ内に格納し、前記暗号トンネルの設定が解除された際に前記機器識別情報を前記メモリから消去する識別情報制御手段と、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始するよう制御する暗号トンネル構築制御手段と、
を備えたことを特徴とするネットワーク中継装置。 A network relay device that establishes an encryption tunnel with a user device and performs encrypted communication, and cancels the setting of the encryption tunnel when data communication via the encryption tunnel is not performed for a predetermined time,
When device identification information for identifying the user device is notified from the user device during construction of the encryption tunnel, the device identification information is stored in a memory, and the device is set when the encryption tunnel setting is released. Identification information control means for erasing identification information from the memory;
If a request for construction of a new cryptographic tunnel is made from the user device after construction of the cryptographic tunnel, the cryptographic tunnel is currently continued based on whether the device identification information is currently stored in the memory. A cryptographic tunnel construction control means for controlling whether to cancel the setting of the ongoing cryptographic tunnel and start construction of the new cryptographic tunnel if the cryptographic tunnel is ongoing. ,
A network relay device comprising: ネットワーク間で行われるデータ通信を中継する中継するネットワーク中継装置と、該ネットワーク中継装置を経由してデータ通信が可能なユーザ装置とを備え、該ユーザ装置と前記ネットワーク中継装置との間で暗号トンネルを構築して相互に暗号化通信を行い、該暗号トンネルを介したデータ通信が所定時間行われない場合には当該暗号トンネルの設定を解除するネットワークシステムであって、
前記ユーザ装置は、
前記暗号トンネルの構築中に、自装置を識別するための機器識別情報を前記ネットワーク中継装置に通知する識別情報通知手段を備え、
前記ネットワーク中継装置は、
前記機器識別情報が通知されると該機器識別情報をメモリ内に格納し、前記暗号トンネルの設定が解除された際に前記機器識別情報を前記メモリから消去する識別情報制御手段と、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始するよう制御する暗号トンネル構築制御手段と、
を備えたことを特徴とするネットワークシステム。 A network relay device that relays data communication performed between networks, and a user device capable of data communication via the network relay device, the encryption tunnel between the user device and the network relay device A network system that performs encrypted communication with each other and cancels the setting of the encryption tunnel when data communication via the encryption tunnel is not performed for a predetermined time,
The user equipment is
Identification information notifying means for notifying the network relay device of device identification information for identifying its own device during construction of the encryption tunnel,
The network relay device is:
When the device identification information is notified, the device identification information is stored in a memory, and the device identification information is erased from the memory when the setting of the encryption tunnel is canceled,
If a request for construction of a new cryptographic tunnel is made from the user device after construction of the cryptographic tunnel, the cryptographic tunnel is currently continued based on whether the device identification information is currently stored in the memory. A cryptographic tunnel construction control means for controlling whether to cancel the setting of the ongoing cryptographic tunnel and start construction of the new cryptographic tunnel if the cryptographic tunnel is ongoing. ,
A network system characterized by comprising: ネットワーク間で行われるデータ通信を中継するネットワーク中継装置と、該ネットワーク中継装置を経由してデータ通信が可能なユーザ装置との間で暗号トンネルを構築して相互に暗号化通信を行い、該暗号トンネルを介したデータ通信が所定時間行われない場合には当該暗号トンネルの設定を解除する暗号化通信方法であって、
前記暗号トンネルの構築中に、前記ユーザ装置を識別するための機器識別情報を、該ユーザ装置から前記ネットワーク中継装置に通知する識別情報通知ステップと、
前記機器識別情報が前記ネットワーク中継装置に通知されると、該機器識別情報を該ネットワーク中継装置のメモリ内に格納する情報格納ステップと、
前記暗号トンネルの設定が解除された際に、前記機器識別情報を前記メモリ内から消去する情報消去ステップとを含み、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始することを特徴とする暗号化通信方法。
An encryption tunnel is established between a network relay device that relays data communication performed between networks and a user device that can perform data communication via the network relay device, and performs encrypted communication with each other. An encryption communication method for canceling the setting of the encryption tunnel when data communication through the tunnel is not performed for a predetermined time,
An identification information notifying step of notifying the network relay device of device identification information for identifying the user device during construction of the encryption tunnel;
When the device identification information is notified to the network relay device, an information storage step of storing the device identification information in a memory of the network relay device;
An information erasing step of erasing the device identification information from the memory when the setting of the encryption tunnel is canceled,
If a request for construction of a new cryptographic tunnel is made from the user device after construction of the cryptographic tunnel, the cryptographic tunnel is currently continued based on whether the device identification information is currently stored in the memory. And determining whether or not the encryption tunnel is ongoing, canceling the setting of the ongoing encryption tunnel and starting the construction of the new encryption tunnel. .
JP2004255589A 2004-09-02 2004-09-02 Network relay device, network system, and encrypted communication method Expired - Fee Related JP4316450B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004255589A JP4316450B2 (en) 2004-09-02 2004-09-02 Network relay device, network system, and encrypted communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004255589A JP4316450B2 (en) 2004-09-02 2004-09-02 Network relay device, network system, and encrypted communication method

Publications (2)

Publication Number Publication Date
JP2006074457A JP2006074457A (en) 2006-03-16
JP4316450B2 true JP4316450B2 (en) 2009-08-19

Family

ID=36154577

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004255589A Expired - Fee Related JP4316450B2 (en) 2004-09-02 2004-09-02 Network relay device, network system, and encrypted communication method

Country Status (1)

Country Link
JP (1) JP4316450B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8445053B2 (en) 2005-11-04 2013-05-21 Arla Foods Amba Concentrate derived from a milk product enriched in naturally occuring sialyllactose and a process for preparation thereof

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4805185B2 (en) * 2007-02-15 2011-11-02 日本電信電話株式会社 Gateway device and session management method
JP2012160941A (en) * 2011-02-01 2012-08-23 Canon Inc Information processing device, information processing method and program
JP2012175501A (en) * 2011-02-23 2012-09-10 Seiko Epson Corp Internet communication system, peripheral device, sa parameter set deletion method, and sa parameter set deletion program
JP2012175121A (en) * 2011-02-17 2012-09-10 Seiko Epson Corp Printer, and sa establishment method for the printer

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8445053B2 (en) 2005-11-04 2013-05-21 Arla Foods Amba Concentrate derived from a milk product enriched in naturally occuring sialyllactose and a process for preparation thereof

Also Published As

Publication number Publication date
JP2006074457A (en) 2006-03-16

Similar Documents

Publication Publication Date Title
US11038846B2 (en) Internet protocol security tunnel maintenance method, apparatus, and system
CN109150688B (en) IPSec VPN data transmission method and device
JP4763560B2 (en) Connection support device
JP4016998B2 (en) Communication apparatus and program
JP3629237B2 (en) Node device and communication control method
US20100228962A1 (en) Offloading cryptographic protection processing
JPWO2008146395A1 (en) Network relay device, communication terminal, and encrypted communication method
US20190207776A1 (en) Session management for communications between a device and a dtls server
CN109040059B (en) Protected TCP communication method, communication device and storage medium
JP2008205763A (en) Communication device, and communication method and program
JP2012100206A (en) Cryptographic communication relay system, cryptographic communication relay method and cryptographic communication relay program
JP2006246098A (en) Method for continuing security association under variable ip address environment, and terminal equipment
JP4316450B2 (en) Network relay device, network system, and encrypted communication method
US8819790B2 (en) Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment
US20180183584A1 (en) IKE Negotiation Control Method, Device and System
JP4630296B2 (en) Gateway device and authentication processing method
JP4376094B2 (en) Wireless communication device
JP4013920B2 (en) COMMUNICATION SYSTEM, COMMUNICATION DEVICE, ITS OPERATION CONTROL METHOD, AND PROGRAM
JP2008199420A (en) Gateway device and authentication processing method
JP5131118B2 (en) Communication system, management device, relay device, and program
JP4413708B2 (en) Network relay device, network system, and encrypted communication method
JP2005167608A (en) System and method for ciphered communication computer program, and computer readable recording medium
CN114268499B (en) Data transmission method, device, system, equipment and storage medium
JP2012160941A (en) Information processing device, information processing method and program
WO2021259110A1 (en) Method for configuration and management of map-e tunnel, apparatus, server and storage medium

Legal Events

Date Code Title Description
RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20061215

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070501

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20081015

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090416

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090428

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090520

R151 Written notification of patent or utility model registration

Ref document number: 4316450

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120529

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120529

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130529

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140529

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees