JP4717058B2 - 仮想ディスクを利用した応用プログラム別アクセス制御システム - Google Patents

仮想ディスクを利用した応用プログラム別アクセス制御システム Download PDF

Info

Publication number
JP4717058B2
JP4717058B2 JP2007500674A JP2007500674A JP4717058B2 JP 4717058 B2 JP4717058 B2 JP 4717058B2 JP 2007500674 A JP2007500674 A JP 2007500674A JP 2007500674 A JP2007500674 A JP 2007500674A JP 4717058 B2 JP4717058 B2 JP 4717058B2
Authority
JP
Japan
Prior art keywords
file
module
vsd
function
disk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007500674A
Other languages
English (en)
Other versions
JP2007535727A (ja
JP2007535727A5 (ja
Inventor
バエ、スティーヴ
キム、ド−ギュン
カング、アイデン
リー、ヒー−ゴック
バエク、ジョング−デオク
セオ、ヤング−ジン
Original Assignee
ソフトキャンプ カンパニー リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ソフトキャンプ カンパニー リミテッド filed Critical ソフトキャンプ カンパニー リミテッド
Publication of JP2007535727A publication Critical patent/JP2007535727A/ja
Publication of JP2007535727A5 publication Critical patent/JP2007535727A5/ja
Application granted granted Critical
Publication of JP4717058B2 publication Critical patent/JP4717058B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B42BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
    • B42FSHEETS TEMPORARILY ATTACHED TOGETHER; FILING APPLIANCES; FILE CARDS; INDEXING
    • B42F9/00Filing appliances with devices clamping file edges; Covers with clamping backs
    • B42F9/008Filing appliances with devices clamping file edges; Covers with clamping backs with symmetrical generally U-shaped clamps
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors

Description

本発明はローカルネットワーク(LAN)または共用PC上で統合管理されるデータ(プログラムソースまたは設計図などが入れられたファイル)が内部認可者によって流出されることを防止するとともに外部人のアクセスは遮断するようになったアクセス制御システムに関するものである。
企業または公共機関などは、外部からの認可されなかった接続による不法的な情報流出を遮断し、内部の重要な機密と情報を保護するために、外部網との接続時、一定の要件を取り揃えない人のアクセスを阻むかあるいはデータへの侵入を前もって防止するためのファイアウォール等を設置している。このようなファイアウォールは単純にネットワークを通じる外部侵入を遮断するか、外部侵入によってファイアウォールがハッキングされれば侵入事実を探知し、これに対応するためのソリューションで、各種のハッキング手法を自体内蔵して侵入行動をリアルタイムで感知/制御することができるIDS(Intrusion Detection System、侵入探知システム)のような受動的な防御概念のファイアウォールと、IDSとは異なり、知能的な機能と積極的に自動対処する能動的な機能が合わせられた概念として、攻撃シグネチャーを捜し出して、ネットワークに連結された器機で疑わしい活動が行われるかどうかを監視し、自動に所定の措置を取って中断させるIPS(Intrusion Prevention System)のような攻撃的な概念のファイアウォール等がある。しかし、このようなファイアウォールは、ローカルネットワーク(LAN)またはPCへの外部侵入者に対する応用であるだけ、内部認可者が情報を流出しようとする場合には阻むことができる方法ではなかった。
したがって、内部認可者から、企業または公共機関内の重要な情報の公開を遮断し、不法的な流出を阻むために、前記ファイアウォールとは違う概念の保安システムが要求された。
これに対応し、従来には、OS起動過程の前、バイオス(BIOS)で行われるパスワード認証によって、当該PCの使用権限のある者だけがパスワード入力によって起動過程を進め続けて前記PCを使用できるようにするか、ローカルネットワーク(LAN)を通じるメインサーバーへのアクセス時、当該DBでは保安を要求するデータのみを別に一括して管理しながら、前記DBへのアクセスを要請するクライアントPCが前記DBへのアクセス認可されたものであるかを確認して、接続可否を決定するようにした。
その外にも、指紋認識及び虹彩認識のような別途の生体認識装置によって、正当な使用権者だけが保安を要求するデータが保存されたDBにアクセスできるようにするか、PCなどを使用できるようにした。
しかし、内部認可者に対する前述した従来技術は、使用許可された認可者自身が保安を要求するデータの流出を目的として当該DB及びPCなどを使うこともできるので、このようなデータ流出に対して無防備状態にあることが現実である。また、技術の複雑化、細分化、及び専門化が進みながら、一つの技術に関連した多数の認可者による当該データへのアクセス及び編集が要求されるので、近来には、関連データが保存されたDBへのアクセスに制限を加えなく、すべての内部認可者が前記DBにアクセスするようになるか、保安を要求するデータとそうでないデータを一つのDBに統合/管理している。
したがって、内部認可者によるデータ流出を防止する技術の要求とともに、前記生体認識装置のような別途の高価装備の追加またはパスワード入力及び使用者認証のような煩わしい確認手続きなしも、DBまたはハードディスクに統合管理されているデータのアクセス及び編集過程が簡便になされることができる制御システムと制御方法が必要になった。
一方、従来には、既存文書保安の暗号化あるいは使用権限付与の場合、ファイルの識別子に寄り掛かって、CADまたはプログラムコンパイラーのように多くの識別子と一時ファイルを生成するプログラムの場合、当該ファイルに対する暗号化または使用権限を付与しにくいという欠点がある。
したがって、本発明は前記のような問題を解決するためになされたもので、ローカルネットワーク(LAN)次元で、一つのDBを通じて、保安を要求するデータとそうでないデータが統合管理されるか、あるいは一般のPC次元で、ハードディスクに対する物理的な初期分割なしに一つのハードディスクによって統合管理されるデータのうち、前記保安を要求するデータに対するアクセス及び編集が、内部認可者に要求する別途の暗号入力または認証確認手続きなしも自由に行うことができ、外部侵入者による当該データの流出封鎖は勿論、内部認可者によるデータ流出も遮断して、データへのアクセス及びこれを用いる作業には差し支えを与えないながらも、内部者による流出は防止する仮想ディスクを利用した応用プログラム別アクセス制御システムを提供することに目的がある。
また、前述した目的のほかに、保安を要求するファイルを個別的に暗号化または使用権限を付与する必要がないアクセス制御システムを提供することにほかの目的がある。
前記の技術的課題を達成するための本発明は、ファイル形式でハードディスクに保存されるVSDイメージファイルモジュールと、保安ファイルを前記VSDイメージファイルモジュールに保存し、該保安ファイルの入出力を処理するVSDドライブと、前記VSDイメージファイルモジュールと前記VSDドライブ間のデータ入出力時に該データを暗復号化する暗復号化モジュールと、認可されたアプリケーションに対して前記VSDイメージファイルモジュールを別途の生成ディスクボリュームとして認識させるVSDファイルシステムモジュールと、ディスクリプタによってポインティングされることで、認可されたアプリケーションが保安ファイルの処理のために要請した関数の演算が進むようにする拡張されたシステムサービステーブルと、前記関数が演算できないように変更し、該変更した後、前記認可されたアプリケーションの作業空間が前記VSDドライブであれば、該変更された関数を復元させて処理されるようにし、該作業空間がディスクドライブであれば、該関数の演算を中止させる拡張されたサービステーブルとを備えたアクセス制御モジュールとを含むアクセス制御システムを提供する。
図1は本発明によるアクセス制御システムの駆動関係を示すブロック図で、これを参照して説明する。
本発明によるアクセス制御システムは、内部認可者の接続時、別途のパスワード入力または認証確認などの過程なしも、保安を要求するファイルに対する処理(ここでは、ファイルの読取り及び/または書込みなどの作業実行のための演算)が可能な認可されたアプリケーションモジュールAを通じて、前記ファイルに対する閲覧及び編集が自由になったものである。
一方、ハードディスク(サーバー級ではDBと命名されるが、ここでは、一般PCのハードディスクを始め、DBまで包括する上位概念として通称)に対する物理的な分割なしに仮想ディスクVDを生成させることで、認可されたアプリケーションモジュールAと認可されなかったアプリケーションモジュールA’を通じるアクセス内容に差別を置いた。ここで、前記仮想ディスクVDに対する概念は以下でより詳細に記述する。
すなわち、図1に示すように、認可されたアプリケーションモジュールAは、保安を要求するファイル(以下、保安ファイルという)だけが保存された前記仮想ディスクVDにアクセスして前記保安ファイルに対する読取り及び書込み(R/W;Read/Write)を処理することができる一方、認可されなかったアプリケーションモジュールA’の場合には、仮想ディスクVDに保存された保安ファイルに対する読取り及び書込み処理が不可能であり(X)、仮想ディスクVD以外の一般ディスクNDに保存されたファイルに対しては読取り及び書込み処理が可能である。
一方、認可されたアプリケーションモジュールAの場合、一般ディスクNDに保存されたファイルに対して読取りは可能であるが書込みはできない。これは、仮想ディスクVDに保存されている保安ファイルを更新(新しい名前として保存など)して一般ディスクNDに移動して保存することができないようにするためである。
図1に示すように構成された、認可されたアプリケーションモジュールA及び認可されなかったアプリケーションモジュールA’と仮想ディスクVD及び一般ディスクNDとの関係において、ファイルの処理内容は図示のものに限定されるものではなくて多様に変形できる。
この時、VSDと言うのはVirtual Secure Diskの略字で、ここでは、本発明で保安ファイルを保存するために形成させた仮想ディスクを意味する。VSDは以下に言及する従来のハードディスク・ディスクドライブ・ファイルシステムモジュールなどとの区分のために活用される。
前記機能を実行するために本発明は次のような構成を成すが、これを図2に基づいてより詳細に説明する。
本発明によるアクセス制御システムは、ハードディスク10と、ディスクドライブ20と、ファイルシステムモジュール30と、アプリケーションモジュール60と、VSDイメージファイルモジュール41と、VSDドライブ42と、暗復号化モジュール45と、VSDファイルシステムモジュール43と、アクセス制御モジュール44とを含む構造を持つ。
前記ハードディスク10は、基本的にPCまたはローカルネットワーク(LAN)が駆動するために必要なデータが保存され、前記データはオペレーティングシステムを通じてファイル形式として閲覧、削除及び編集されて管理される。
前記ディスクドライブ20は、前記ハードディスク20を管理するオペレーティングシステムOSに合うようにフォーマットされたディスクボリュームを含む。
ハードディスク10を物理的に分割すれば、分割された領域別にディスクボリュームが指定され、これにより、オペレーティングシステムOSは一つのハードディスク10を多数のディスクドライブと認識して管理する。
前記ファイルシステムモジュール30は、前記ハードディスク10の物理的特性を抽象化して論理的な保存単位に整理した後、これをマッピングして、オペレーティングシステムがデータをファイルとして処理するようにする。一般に、前記ファイルシステムモジュール30は、ディスクボリュームがオペレーティングシステムOSに認識されれば、オペレーティングシステムOSのプロセッシングのために組み込まれる。
前記アプリケーションモジュール60は、ファイルを呼び込んで実行させるようになった一般的なアプリケーションで、本発明では、前記仮想ディスクVDへのアクセスが認可されたアプリケーションモジュールAと認可されなかったアプリケーションモジュールA’に分けられ、保安ファイルに対する処理が違うようになされる。
アプリケーションモジュール60の認可設定は、アプリケーションモジュール60の種類を区分する情報(プログラム名、ヘッダー、Check sum、または認証書)をもって区分規則を定義することからなり、前記アクセス制御モジュール50は前記区分規則通りに動作するようになる。
前記VSDイメージファイルモジュール41は、ファイルシステムモジュール30でフォーマットされたディスクボリューム内にファイル形態に生成される。
前記VSDドライブ42は前記VSDイメージファイルモジュール41のドライブで、前記ディスクドライブ20に対応する構成である。すなわち、前記VSDイメージファイルモジュール41は、実質的に一般ファイル41’と同じファイルの概念で形成されたが、当該ファイルに対するアクセスを試みるアプリケーションモジュールの認可有無によって、前記VSDイメージファイルモジュール41はオペレーティングシステムOSによって一般ファイルと認識されるかまたは一つのディスクボリュームと認識されることもできる。前記VSDドライブ42は、認可されたアプリケーションモジュールAがVSDイメージファイルモジュール41にアクセスする場合、前記ディスクドライブ20とは別個のディスクドライブと認識されるようにする。
前記VSDファイルシステムモジュール43は、前記VSDイメージファイルモジュール41とVSDドライブ42の生成によってオペレーティングシステムOSが新しいディスクボリュームの発生と認識して、認可されたアプリケーションモジュールAを通じる前記VSDイメージファイルモジュール41内のファイルへのアクセス時、これを処理するように設定されるものである。
前記VSDファイルシステムモジュール43は、前記ファイルシステムモジュール30に対応する構成である。
図3は本発明によるアクセス制御システムの仮想ディスク設定過程を示すブロック図で、これを参照して説明する。
VSD設置プログラムを当該PCまたはローカルネットワーク(LAN)上のクライアントPCにインストールし(1)、前記VSD設置プログラムの仮想ディスクボリューム生成手段(図示せず)によって前記ディスクボリューム内の一定空間にファイル形式で空間を占有しながら仮想ディスクボリュームを生成させ(2)、VSDドライブ設定手段(図示せず)によって仮想ディスクボリュームの実行手段としてのVSDドライブ42を設定する(3)。
前記VSDドライブ42が設定されれば、オペレーティングシステムOSは当該仮想ディスクボリュームに対する情報(DISK_GEOMETRY情報、パーティション情報など)を要請するようになり(4)、これに対応して、VSDドライブ42では、先に受信された仮想ディスクボリューム情報を生成した後、オペレーティングシステムOSに伝達する(5)。また、前記オペレーティングシステムOSは、当該情報を受け、これに対する範囲に相応するVSDファイルシステムモジュール43を設定してフォーマットし、新しいディスクボリュームを認識する(6)。
図9は本発明によるアクセス制御システムのインストール以前状態を示す‘マイコンピュータ’ウィンドウ、図10は本発明によるアクセス制御システムのインストール以後状態を示す‘マイコンピュータ’ウィンドウである。
オペレーティングシステムOSは、VSDイメージファイルモジュール41とVSDドライブ42によって新しいハードディスクドライブが生成されたと認識する。
前記暗復号化モジュール45は、前記VSDイメージファイルモジュール41とVSDドライブ42間のデータ入出力を暗復号化処理するもので、VSDドライブ42で入出力データをそのままVSDイメージファイルモジュール41に保存したら、ハッキングなどの非正常的な方法を利用してVSDイメージファイルモジュール41を当該ファイルシステムモジュール30のフォーマットに処理することで、保安ファイルについての情報を流出することもできる。本発明によるアクセス制御システムでは、前記保安ファイルがVSDイメージファイルモジュール41内に保存されている場合、認可されなかったアプリケーションモジュールA’によってはその位置が分からないようにしたものであるばかりであり、情報はハードディスク10にそのまま保存される。したがって、非正常的な方法によって、前記VSDイメージファイルモジュール41に保存された保安ファイルが流出されても、当該情報を読み取ることができないように暗号化させるのが望ましい。
本発明のアクセス制御システムにおける暗号化は、VSDドライブ42にVSDファイルシステムモジュール43のWRITE命令が伝達されれば、WRITEすべきデータをSECTOR単位の大きさで暗号化を実行した後、VSDイメージファイルモジュール41に記録し、READ命令が伝達されればVSDイメージファイルモジュール41でSECTOR単位で読み取って復号化を実行した後、VSDファイルシステムモジュール43に伝達する。
本発明においては、対称キー方式の暗復号化方式を採択し、対称キー方式のなかでも特にブロック方式を採用した。このようなブロック方式は、ディスクの一セクター(512B)単位でブロック化して暗復号化を実行するようになったものである。
一方、前述した用語を整理すれば、前記保安ファイル44は保安のために前記VSDイメージファイルモジュール41に保存されるファイルであり、仮想ディスクは前記VSDイメージファイルモジュール41とVSDドライブ42を合わせて名付けたものである。
ついで、前記アクセス制御モジュール50は、前記アプリケーションモジュール60が前記VSDイメージファイルモジュール41にアクセスする時、当該作業が進む空間が前記ディスクドライブ20であるかVSDドライブ42であるかを確認し、当該ファイルへのアクセス許可に対するアプリケーションモジュール60の認可有無を判別してアクセスを決定する。すなわち、前記アプリケーションモジュール60が認可されたと判別されれば、図1に基づいて説明したように、作業空間が前記ディスクドライブ20(一般ディスクND)の場合には、当該ファイルに対する読取りだけができるようにし、VSDドライブ42(仮想ディスクVD)の場合には、当該ファイルに対する読取りと書込みが共にできるようにする一方、前記アプリケーションモジュール60が認可されなかったものと判別されれば、作業空間が前記ディスクドライブ20の場合には、当該ファイルに対する読取りと書込みができるようにし、VSDドライブ42の場合には、当該ファイルに対する読取りと書込みが共にできるようにするものである。
図4(従来のシステムサービステーブルの駆動関係を示すブロック図)に示すように、アプリケーションモジュールA、A’が実行に必要なファイルへのアクセスのためにオペレーティングシステムOSに必要な関数を呼び出せば、オペレーティングシステムOSはシステムサービステーブルSSTに当該関数を提供して、ディスクリプタDによってポインティングされるようにする。したがって、アプリケーションモジュールA、A’はオペレーティングシステムOSの下で互換的に具現される。
一方、本発明によるアクセス制御システムは、図5(本発明によるアクセス制御システムで適用されるシステムサービステーブルの駆動関係を示すブロック図)に示すように、既存のシステムサービステーブルSSTが拡張されたシステムサービステーブルNSSTで取り替えられ、これに拡張されたサービステーブルNSTがさらに含まれ、図6(図5の構成によって応用プログラム(アプリケーションモジュール)による当該ファイルのアクセス許可可否過程が進むフローを示す例題)に示すような過程が実行される。
アプリケーションモジュールA、A’が、実行に必要なファイルへのアクセスのために、オペレーティングシステムOSに必要な関数を呼び出せば、オペレーティングシステムOSは当該関数を前記拡張されたサービステーブルNSTに提供して、次のような演算が実行されるようにする。
まず、アプリケーションモジュールA、A’で、CreateFile()に対する関数を呼び出せば、オペレーティングシステムOSは、NtCreateFile()(ntdll.dll)を通じて拡張されたサービステーブルNSTにZwCreateFile()を提供する。この時、前記拡張されたサービステーブルNSTは、ZwCreateFile()をOnZwCreateFile()(当該関数が進むことができないように、本発明で任意に設定した関数)に一旦変更した後、論理によって前記拡張されたシステムサービステーブルNSSTでの当該関数に対する演算可否を決定するようになる。
本発明による実施例において、前記OnZwCreateFile()関数は、アプリケーションモジュールA、A’が当該関数のCreateFile()を要請する場合、前記拡張されたシステムサービステーブルNSSTにZwCreateFile()が直ちに提供されて、ディスクリプタDがポインティングすることができなくなる。前記論理が完成される前までは、ZwCreateFile()関数をOnZwCreateFile()関数に維持し、アプリケーションモジュールA、A’が要請したCreateFile()が提供されない。
ここで、前記任意に生成されたOnZwCreateFile()というのは、本発明において、前記拡張されたサービステーブルNSTがさらに設置されるにしたがい、従来のシステムサービステーブルSSTにあったZwCreateFile()関数が既に変更/代替されたものである。
一方、前記論理と言うのは、呼び出される前記関数の目的となるファイルの位置が仮想ディスクVDであるか一般ディスクNDであるかに対する確認と、前記関数を呼び出すアプリケーションモジュールA、A’の認可有無に対する確認である。すなわち、仮想ディスクVD と確認されれば、認可されたアプリケーションモジュールAであるかを確認して、認可されたものである場合、前記拡張されたシステムサービステーブルNSSTに変更以前の関数であるZwCreateFile()を提供し、そうでない場合には、当該関数の演算を中止する(False)。また、前段階で、一般ディスクNDと確認されれば、アプリケーションモジュールA、A’の認可有無の確認は省略し、前記拡張されたシステムサービステーブルNSSTに変更以前の関数のZwCreateFile()を提供する。
一方、前記ディスクリプタDは、前記システムサービステーブルSSTでない、前記拡張されたシステムサービステーブルNSSTにポインティングされる。
図5において、システムサービステーブルSSTと拡張されたシステムサービステーブルNSSTを連結している破線の矢印は、前記ファイルへのアクセスに実質的に関与する前記関数の外に、アプリケーションモジュールA、A’の具現に必要な他の種類の関数呼び出しを示すもので、前記拡張されたサービステーブルNSTでの論理過程なしに当該関数を前記拡張されたシステムサービステーブルNSSTに直ちに提供して関数の演算を進める。
一方、前述したように、関数による保安ファイルへのアクセスが認可されたアプリケーションモジュールAの外には許容されないので、本発明による仮想ディスクVDは、認可されなかったアプリケーションモジュールA’によるアクセス試みの時、図9のように、ドライブ自体が確認されなくて最初から不可能であるだけでなく、図11(本発明によるアクセス制御システムの仮想ディスクがファイルと認識される過程を示すウィンドウ)のように、前記VSDイメージファイルモジュール41は開くことができないファイル形式として存在して、認可されなかったアプリケーションモジュールA’へのアクセスが不可能になる。
図12は許可されなかったアプリケーションを通じる仮想ディスクへのアクセスの時、その試みが拒否されることを示すウィンドウで、認可されなかったアプリケーションモジュールA’またはオペレーティングシステムOS上でファイル形式として存在する前記VSDイメージファイルモジュール41に対する開きを試みる場合、アクセスが拒否されていることを示している。
一方、総容量が40GBのハードディスクに10GBの空間を占めるVSDイメージファイルモジュール41を一定に組み込めば、1GB程度の大きさのみを有する保安ファイルが前記VSDイメージファイルモジュール41に保存されても、残りの9GBは依然としてVSDイメージファイルモジュール41に縛られるため、一般ファイルを30GB以上保存することができない。よって、本発明によるさらに他の実施例においては、前記VSDイメージファイルモジュール41の使用容量を自由自在に可変させるようにする。
このために、本発明では、NTFS(NT file system)基盤で適用されるスパースファイル(Sparse File)が応用された。
前記スパースファイルと言うのは、任意に巨大ファイルを作る必要がある時、前記巨大ファイルの容量に相当するすべてのバイトをディスク空間を占有しなくても、オペレーティングシステムOSが当該空間をデータが占有していると認識するようにする。
すなわち、42GBの巨大ファイルを作らなければならない場合、ディスクの42GB空間をすべて指定しないで、ファイルの始部となる64KBと終部となる64KBにだけデータを書き込む。NTFSは、使用者がデータを書き込むファイル部分にだけ物理的ディスク空間を割り当てるようになり、これにより、スパースファイルはディスクで128KBの空間のみを使うようになる。しかし、他の側面で見ると、オペレーティングシステムでは42GBのファイルであるもののように作動する。
前記スパースファイルの適用によって40GBのハードディスクに10GBのVSDイメージファイルモジュール41を組み込んだ後、これに1GBの保安ファイルを保存すれば、オペレーティングシステムOSは前記VSDイメージファイルモジュール41を10GBと認識するが、一般ファイルを一般ハードディスクに保存するにおいて、30GB以上保存することができるようになって、ディスク内の空間活用に効率性を有するようになる。
以上、本発明によるアクセス制御システムの構成を説明したが、以下ではこれによる制御方法について説明する。
以下に記載する関数のReadFile()及びWriteFile()は、前記CreateFile()関数が読取りモードまたは書込みモードに転換/実行される時に呼び出される関数で、本発明によるアクセス制御システム下で保安ファイルに対する読取り及び書込みの制御方法がそれぞれ明確に区分されるように、各モード別に当該関数を区分して記述した。
参考として、アプリケーションモジュールを通じて任意のファイルにアクセスするためには、ファイルハンドラーであるCreateFile()を優先して呼び出すようになり、CreateFile()呼び出しによって提供されるZwCreateFile()が前記ReadFile()またはWriteFile()をそれぞれ呼び出しながら読取りモードまたは書込みモードに実行され、これにより、アプリケーションモジュールで当該ファイルの読取りまたは書込みが進む。
前記アプリケーションモジュールを選択的に認可する段階(1);
仮想ディスクVDにアクセスすることができるアプリケーションモジュール60を指定して認可する段階である。アプリケーションモジュール60の認可方式に対する実施例は前述したので、その説明は省略する。
前記アプリケーションモジュール60が当該ファイルへのアクセスのために関数を呼び出す段階(2);
図7(本発明によるアクセス制御システムにおいて、応用プログラムによる当該ファイルの読取り過程を示すフローチャート)において、開始(アプリケーションモジュールのディスク読取り試み)部分に相当するもので、アプリケーションモジュール60がファイルの読取りを要請し、このためにReadFile()関数を呼び出す段階である。
前記関数を変更して待機状態にする段階(3);
前記段階(2)が進めば、前記アクセス制御モジュール50に含まれた拡張されたサービステーブルNSTに前記関数が提供され、拡張されたサービステーブルNSTは前記ReadFile()関数をOnZwReadFile()に変更し、前記論理を進める。
前記ファイルへのアクセス空間が前記ディスクドライブであるかVSDドライブであるかを確認する段階(4);
これは前記ファイルの位置が仮想ディスクであるか否かを確認する過程で、図7の(S1)に相当する。
前記段階(4)で、ディスクドライブと確認される場合、演算ができないように変更された関数を元の関数に戻して提供する段階(5);
前記ファイルが位置する空間がディスクドライブ20と確認されれば、前記拡張されたサービステーブルNSTは、OnZwReadFile()関数の変更前の関数であるZwReadFile()を前記拡張されたシステムサービステーブルNSSTに提供して当該関数の演算を続行するようにし、これにより当該ファイルに対する読取りを許容する(S4)。
前記段階(4)でVSDドライブと確認される場合、前記アプリケーションモジュールのアクセスが認可されたものであるかを確認する段階(6);
VSDドライブ42と確認されれば、その次の論理として、前記アプリケーションモジュール60が認可されたアプリケーションモジュールである否かを確認する(S2)。
前記段階(6)で認可されたものと確認される場合、演算ができないように変更された関数を元の関数に戻して提供する段階(7);
前記アプリケーションモジュール60が認可されたアプリケーションモジュールと確認されれば、前記拡張されたサービステーブルNSTは、OnZwReadFile()関数の変更前の関数であるZwReadFile()を前記拡張されたシステムサービステーブルNSSTに提供して当該関数の演算を続行するようになり、これにより当該ファイルに対する読取りを許容する(S4)。
前記段階(6)で認可されなかったものと確認される場合、当該関数の演算を中止する段階(8);
一方、アプリケーションモジュールが認可されなかったものと確認されれば、前記拡張されたシステムサービステーブルNSSTでの該当関数に対する演算が中止され、読取りが許容されない(S3)。
ついで、前記関数がWriteFile()の場合には、前記段階(5)の過程において、以下の段階がさらに含まれる。これは、図8(本発明によるアクセス制御システムで応用プログラムによる当該ファイルの書込み過程を示すフローチャート)に基づいて説明する。この時、前記関数のWriteFile()は拡張されたサービステーブルNSTでOnZwWriteFile()に変更される。
前記アプリケーションモジュールの認可有無を確認する段階(5−1);
ディスクドライブ20と確認された状態で、当該関数を呼び出すアプリケーションモジュール60が認可されたアプリケーションモジュールであるか否かを確認する(S30)。
前記段階(5−1)で認可されたものと確認される場合、当該関数の演算を中止する段階(5−2);
前記段階(5−1)で認可されたアプリケーションモジュールと確認されれば、前記拡張されたサービステーブルNSTは、拡張されたシステムサービステーブルNSSTでの当該関数に対する演算が中止されて書込みが許容されない(S31)。
前記段階(5−2)で認可されなかったものと確認される場合、演算ができないように変更された関数を元の関数に戻して提供する段階(5−3);
前記段階(5−1)で認可されなかったアプリケーションモジュールと確認されれば、前記拡張されたサービステーブルNSTは、OnZwWriteFile()の変更前の関数であるZwWriteFile()に戻して、前記拡張されたシステムサービステーブルNSSTに提供し、これをディスクリプタDがポインティングすることにより、当該関数の演算による書込みが許容される(S40)。
読取り関数に対する制御方法に書込み関数に対する制御方法の前記段階がさらに含まれなければならない理由は、前述したようであるので、ここでは省略することにする。
一方、前述したように、前記VSDイメージファイルモジュール41は既存ディスクボリュームにファイル形式として位置しているので、VSDイメージファイルモジュール41のみをコピーするか切取りを行った後、既存のファイルシステムモジュール30を通じてアクセスして流出することもできるので、前記暗復号化モジュール45を通じて前記VSDイメージファイルモジュール41とVSDドライブ42間のデータ入出力を暗復号化する段階をさらに含まなければならない。
既存のハードディスクを物理的に分割する必要なしに、現在のオペレーティングシステムによって運営されるシステム内に別途の仮想ディスクを生成させ、別途のファイルシステムによって新しいドライブとして管理される。一方、このドライブに保存された保安ファイルへのアクセス時、認可されたアプリケーション(アプリケーションモジュール)に対してだけ許容されるので、内部認可者に対する個別的な確認手続きなしも前記アプリケーション(アプリケーションモジュール)が組み込まれたPCであれば容易に保安ファイルにアクセスすることができる。一方、認可されたアプリケーション(アプリケーションモジュール)のみが保安ファイルに対するアクセスが可能であるので、保安ファイルのコピーまたは切取りによって外部へ流出させることもできなく、外部から侵入する不法的なアクセスは最初から不可能になる。
また、保安ファイルにそれぞれ暗号化または使用権限付与の作業を行わなくても前記仮想ディスク上に別に保存されて保護されるので、ファイル保安に必要な作業がより容易になる効果がある。
また、仮想ディスクの容量に可変性を与えることにより、一般ファイルと保安ファイルが保存されるハードディスクの空間活用を自在に実施することができる。
また、大容量の仮想ディスクを設置する場合、決まった容量に対するディスクボリュームを作るために、前記容量に相当するハードディスクの範囲をすべて指定しなければならない時間消費を避けることができ、仮想ディスクの最初設置時間を大きく短縮することができる。
図1は本発明によるアクセス制御システムの駆動関係を示すブロック図である。 図2は本発明によるアクセス制御システムの構成に対する一実施例を示すブロック図である。 図3は本発明によるアクセス制御システムの仮想ディスク設定過程を示すブロック図である。 図4は従来のシステムサービステーブルの駆動関係を示すブロック図である。 図5は本発明によるアクセス制御システムで適用されるシステムサービステーブルの駆動関係を示すブロック図である。 図6は図5の構成によって応用プログラム(アプリケーションモジュール)による当該ファイルのアクセス許可可否過程が進むフローを示す例題である。 図7は本発明によるアクセス制御システムにおいて応用プログラムによる当該ファイルの読取り過程を示すフローチャートである。 図8は本発明によるアクセス制御システムにおいて応用プログラムによる当該ファイルの書込み過程を示すフローチャートである。 図9は本発明によるアクセス制御システムのインストール以前状態を示す‘マイコンピュータ’ウィンドウである。 図10は本発明によるアクセス制御システムのインストール以後状態を示す‘マイコンピュータ’ウィンドウである。 図11は本発明によるアクセス制御システムの仮想ディスクがファイルとして認識される過程を示すウィンドウである。 図12は認可されなかったアプリケーションモジュールを通じる仮想ディスクへのアクセスの時、その試みが拒否されることを示すウィンドウである。

Claims (2)

  1. ファイル形式でハードディスクに保存されるVSDイメージファイルモジュールと、
    保安ファイルを前記VSDイメージファイルモジュールに保存し、該保安ファイルの入出力を処理するVSDドライブと、
    前記VSDイメージファイルモジュールと前記VSDドライブ間のデータ入出力時に該データを暗復号化する暗復号化モジュールと、
    認可されたアプリケーションに対して前記VSDイメージファイルモジュールを別途の生成ディスクボリュームとして認識させるVSDファイルシステムモジュールと、
    ディスクリプタによってポインティングされることで、認可されたアプリケーションが保安ファイルの処理のために要請した関数の演算が進むようにする拡張されたシステムサービステーブルと、前記関数が演算できないように変更し、該変更した後、前記認可されたアプリケーションの作業空間が前記VSDドライブであれば、該変更された関数を復元させて処理されるようにし、該作業空間がディスクドライブであれば、該関数の演算を中止させる拡張されたサービステーブルとを備えたアクセス制御モジュールと
    を含むことを特徴とするアクセス制御システム。
  2. 前記VSDイメージファイルモジュールは、
    前記ハードディスク上にデータ保存のためのアクセス位置の指定が無い状態で、オペレーティングシステムに該ハードディスクの一定空間にデータが指定されたものと認識させることで、認可されたアプリケーションモジュールに前記空間にデータ保存のためのアクセス位置を指定させることを特徴とする請求項に記載のアクセス制御システム。
JP2007500674A 2004-02-24 2005-02-04 仮想ディスクを利用した応用プログラム別アクセス制御システム Active JP4717058B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR1020040012380A KR100596135B1 (ko) 2004-02-24 2004-02-24 가상 디스크를 이용한 응용 프로그램 별 접근통제시스템과 그 통제방법
KR10-2004-0012380 2004-02-24
PCT/KR2005/000345 WO2005081115A1 (en) 2004-02-24 2005-02-04 Application-based access control system and method using virtual disk

Publications (3)

Publication Number Publication Date
JP2007535727A JP2007535727A (ja) 2007-12-06
JP2007535727A5 JP2007535727A5 (ja) 2010-06-24
JP4717058B2 true JP4717058B2 (ja) 2011-07-06

Family

ID=34880277

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007500674A Active JP4717058B2 (ja) 2004-02-24 2005-02-04 仮想ディスクを利用した応用プログラム別アクセス制御システム

Country Status (4)

Country Link
US (1) US20070180257A1 (ja)
JP (1) JP4717058B2 (ja)
KR (1) KR100596135B1 (ja)
WO (1) WO2005081115A1 (ja)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100771251B1 (ko) * 2005-03-03 2007-10-29 차승주 가상 시디롬 자동 구현 방법을 수행하는 프로그램이 기록된 컴퓨터 판독 가능한 기록 매체
WO2006103679A2 (en) 2005-04-01 2006-10-05 Ged-I Ltd. A method for data storage protection and encryption
US7703081B1 (en) * 2005-09-22 2010-04-20 Symantec Corporation Fast system call hooking on x86-64 bit windows XP platforms
US7664791B1 (en) * 2005-10-26 2010-02-16 Netapp, Inc. Concurrent creation of persistent point-in-time images of multiple independent file systems
KR100692964B1 (ko) * 2006-07-20 2007-03-12 (주)테르텐 가상디스크 구동방법 및 이를 위한 기록매체
CN100543760C (zh) * 2006-10-12 2009-09-23 神盾股份有限公司 避免桌面搜寻工具曝光加密资料的资料安全方法
KR100911345B1 (ko) * 2007-06-20 2009-08-07 (주)테르텐 컨텐츠 보안 방법 및 그 장치
US8364983B2 (en) * 2008-05-08 2013-01-29 Microsoft Corporation Corralling virtual machines with encryption keys
US8005851B2 (en) * 2008-05-21 2011-08-23 Microsoft Corporation Streaming virtual disk for virtual applications
US8332570B1 (en) * 2008-09-30 2012-12-11 Symantec Corporation Methods and systems for defragmenting virtual machine prefetch data on physical storage
GB2466969B (en) * 2009-01-16 2011-02-02 Nec Corp Circuit board data protection
US8321645B2 (en) * 2009-04-29 2012-11-27 Netapp, Inc. Mechanisms for moving data in a hybrid aggregate
US9703586B2 (en) * 2010-02-17 2017-07-11 Microsoft Technology Licensing, Llc Distribution control and tracking mechanism of virtual machine appliances
US9106086B2 (en) 2010-03-11 2015-08-11 Qualcomm Incorporated Detection and protection of devices within a wireless power system
US8375437B2 (en) 2010-03-30 2013-02-12 Microsoft Corporation Hardware supported virtualized cryptographic service
KR101227187B1 (ko) * 2010-08-16 2013-01-28 소프트캠프(주) 보안영역 데이터의 반출 제어시스템과 그 제어방법
KR101299051B1 (ko) * 2011-09-07 2013-09-16 소프트캠프(주) 사용자 계정에 따라 작업환경을 분리하는 정보 처리환경 조성장치와 방법
US9252846B2 (en) 2011-09-09 2016-02-02 Qualcomm Incorporated Systems and methods for detecting and identifying a wireless power device
CN103020537B (zh) * 2011-09-22 2015-07-22 腾讯科技(深圳)有限公司 数据加密方法和装置、数据解密方法和装置
US9594921B2 (en) 2012-03-02 2017-03-14 International Business Machines Corporation System and method to provide server control for access to mobile client data
KR20140047513A (ko) 2012-10-12 2014-04-22 주식회사 페이스콘 네트워크 드라이브 접근 제어 방법 및 네트워크 드라이브 시스템
CN104463006B (zh) * 2013-09-25 2017-12-29 联想(北京)有限公司 一种分区访问方法及电子设备
KR101532375B1 (ko) * 2013-10-28 2015-06-29 마이크론웨어(주) 가상 호출 경로를 이용한 드라이버 보안 시스템 및 방법
KR101409175B1 (ko) * 2013-12-16 2014-06-20 주식회사 시큐브 스마트기기의 보안파일 접근 제어 장치 및 방법
US9098715B1 (en) * 2014-10-28 2015-08-04 Openpeak Inc. Method and system for exchanging content between applications
CN104571950B (zh) * 2014-12-24 2018-03-23 中国科学院信息工程研究所 一种外设存储介质的口令鉴别方法
US10341387B2 (en) * 2016-06-06 2019-07-02 NeuVector, Inc. Methods and systems for applying security policies in a virtualization environment using a security instance
US20180276398A1 (en) * 2017-03-21 2018-09-27 O.C. Tanner Company System and method for providing restricted access to production files in a code deployment environment

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020099944A1 (en) * 2001-01-19 2002-07-25 Bowlin Bradley Allen Method and apparatus which enable a computer user to prevent unauthorized access to files stored on a computer
JP2003535414A (ja) * 2000-05-28 2003-11-25 ヤロン メイヤー 情報を盗んだり及び/又は損害を引き起こしたりするかもしれない邪悪なプログラムに対するコンピュータの包括的一般的共通的保護のためのシステム及び方法
JP2005056093A (ja) * 2003-08-01 2005-03-03 Stark Co Ltd 仮想媒体利用装置

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5455926A (en) * 1988-04-05 1995-10-03 Data/Ware Development, Inc. Virtual addressing of optical storage media as magnetic tape equivalents
US6075858A (en) * 1995-10-27 2000-06-13 Scm Microsystems (U.S.) Inc. Encryption key system and method
US5968139A (en) * 1996-11-25 1999-10-19 Micron Electronics, Inc. Method of redirecting I/O operations to memory
US6070174A (en) * 1997-09-30 2000-05-30 Infraworks Corporation Method and apparatus for real-time secure file deletion
US20020095557A1 (en) * 1998-06-22 2002-07-18 Colin Constable Virtual data storage (VDS) system
US6272611B1 (en) * 1999-02-09 2001-08-07 Yu-Te Wu Computer data storage medium having a virtual disk drive and memory management method therefor
US20030159070A1 (en) * 2001-05-28 2003-08-21 Yaron Mayer System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
US7370165B2 (en) * 2000-12-29 2008-05-06 Valt.X Technologies Inc. Apparatus and method for protecting data recording on a storage medium
US7165109B2 (en) * 2001-01-12 2007-01-16 Microsoft Corporation Method and system to access software pertinent to an electronic peripheral device based on an address stored in a peripheral device
US7428636B1 (en) * 2001-04-26 2008-09-23 Vmware, Inc. Selective encryption system and method for I/O operations
US7260820B1 (en) * 2001-04-26 2007-08-21 Vm Ware, Inc. Undefeatable transformation for virtual machine I/O operations
US7000250B1 (en) * 2001-07-26 2006-02-14 Mcafee, Inc. Virtual opened share mode system with virus protection
US7260726B1 (en) * 2001-12-06 2007-08-21 Adaptec, Inc. Method and apparatus for a secure computing environment
US6647481B1 (en) * 2002-01-31 2003-11-11 Western Digital Ventures, Inc. Method for accessing data storage locations having addresses within a hidden logical address range
JP4007873B2 (ja) * 2002-07-09 2007-11-14 富士通株式会社 データ保護プログラムおよびデータ保護方法
US7143288B2 (en) * 2002-10-16 2006-11-28 Vormetric, Inc. Secure file system server architecture and methods
US7257717B2 (en) * 2003-04-01 2007-08-14 Fineart Technology Co., Ltd Method with the functions of virtual space and data encryption and invisibility
US7603533B1 (en) * 2003-07-22 2009-10-13 Acronis Inc. System and method for data protection on a storage medium

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003535414A (ja) * 2000-05-28 2003-11-25 ヤロン メイヤー 情報を盗んだり及び/又は損害を引き起こしたりするかもしれない邪悪なプログラムに対するコンピュータの包括的一般的共通的保護のためのシステム及び方法
US20020099944A1 (en) * 2001-01-19 2002-07-25 Bowlin Bradley Allen Method and apparatus which enable a computer user to prevent unauthorized access to files stored on a computer
JP2005056093A (ja) * 2003-08-01 2005-03-03 Stark Co Ltd 仮想媒体利用装置

Also Published As

Publication number Publication date
JP2007535727A (ja) 2007-12-06
KR100596135B1 (ko) 2006-07-03
WO2005081115A1 (en) 2005-09-01
US20070180257A1 (en) 2007-08-02
KR20050086051A (ko) 2005-08-30

Similar Documents

Publication Publication Date Title
JP4717058B2 (ja) 仮想ディスクを利用した応用プログラム別アクセス制御システム
US8402269B2 (en) System and method for controlling exit of saved data from security zone
EP1946238B1 (en) Operating system independent data management
JP4089171B2 (ja) 計算機システム
US8856521B2 (en) Methods and systems for performing secure operations on an encrypted file
JP4392241B2 (ja) 付属記憶装置を採用したコンピュータ・システム内の安全保護を促進するための方法ならびにシステム
JP4128348B2 (ja) データ管理システム
EP3074907B1 (en) Controlled storage device access
US20070112772A1 (en) Method and apparatus for securely accessing data
US20030221115A1 (en) Data protection system
KR20060045000A (ko) 파일 락커 및 파일 락커를 제공하고 사용하기 위한메커니즘
TW200304620A (en) Authenticated code method and apparatus
JPH1124919A (ja) 安全な記憶領域でアプリケーション・データを保護する方法及び装置
TW201349007A (zh) 提供儲存裝置上防有毒軟體保護之系統與方法
JP2021022393A (ja) フィッシング又はランサムウェア攻撃を遮断する方法及びシステム
EP3912109B1 (en) Data sharing architecture
JP5489201B2 (ja) 安全な直接プラッタ・アクセス
JP4084971B2 (ja) 電子データ交換システムにおけるデータ保護装置及びデータ保護方法並びにそれに用いるプログラム
KR101227187B1 (ko) 보안영역 데이터의 반출 제어시스템과 그 제어방법
US7694154B2 (en) Method and apparatus for securely executing a background process
RU2067313C1 (ru) Устройство защиты от несанкционированного доступа к информации, хранимой в персональной эвм
JP2022092579A (ja) コンピュータ実装方法、コンピュータ・システム、コンピュータ・プログラム、及びコンピュータ可読媒体
KR100549644B1 (ko) 저장공간의 운영효율성을 높인 가상 디스크를 이용한 응용프로그램 별 접근 통제시스템과 그 통제방법
KR20180032999A (ko) 영역 암호화 장치 및 방법
CN107305607A (zh) 一种防止后台恶意程序独立运行的方法和装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100119

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20100419

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100907

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20101206

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20101213

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110107

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110204

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110308

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110329

R150 Certificate of patent or registration of utility model

Ref document number: 4717058

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140408

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250