JP4914052B2 - セキュリティポリシーを配布するための方法およびシステム - Google Patents
セキュリティポリシーを配布するための方法およびシステム Download PDFInfo
- Publication number
- JP4914052B2 JP4914052B2 JP2005304775A JP2005304775A JP4914052B2 JP 4914052 B2 JP4914052 B2 JP 4914052B2 JP 2005304775 A JP2005304775 A JP 2005304775A JP 2005304775 A JP2005304775 A JP 2005304775A JP 4914052 B2 JP4914052 B2 JP 4914052B2
- Authority
- JP
- Japan
- Prior art keywords
- enforcement engine
- rule
- enforcement
- rules
- computer system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 26
- 230000008569 process Effects 0.000 claims description 6
- 230000006399 behavior Effects 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 3
- 230000002265 prevention Effects 0.000 claims description 2
- 230000000903 blocking effect Effects 0.000 claims 1
- 238000001514 detection method Methods 0.000 description 16
- 230000009471 action Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 5
- 230000014509 gene expression Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000009956 central mechanism Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Description
本発明は一般に、コンピュータシステムの脆弱性が利用されるのを防止する、セキュリティポリシーを配布するための方法およびシステムに関する。
インターネットは、コンピュータシステム間の通信を容易にすることおよび電子商取引を可能にすることに大いに成功してきたが、インターネットに接続されたコンピュータシステムは、その動作を混乱させようとするハッカーによるほぼ常時の攻撃にさらされている。攻撃の多くは、これらのコンピュータシステム上で実行されるアプリケーションプログラムやその他のコンピュータプログラムを含めた、ソフトウェアシステムの脆弱性を利用しようとするものである。ソフトウェアシステムの開発者、および企業のコンピュータシステムの管理者は、脆弱性を識別して除去するために多大な労力および費用に頼る。しかし、ソフトウェアシステムは複雑なので、ソフトウェアシステムがリリースされる前にすべての脆弱性を識別して除去するのはほぼ不可能である。ソフトウェアシステムがリリースされた後で、開発者は様々な方法で脆弱性に気付くことができるようになる。悪意のない第三者が脆弱性を識別し、この脆弱性をハッカーによって識別され利用される前に除去できるよう、開発者に密かに知らせる場合もある。ハッカーが最初に脆弱性を識別した場合、開発者は、この脆弱性が(時として破滅的な結果を伴って)利用されるまで、それについて知らないことがある。
開発者がどのようにして脆弱性に気付くかにかかわらず、開発者は通常、脆弱性を除去する「パッチ」または更新をソフトウェアシステムに対して開発して、システム管理者に配布する。脆弱性がまだ利用されていない場合(例えばハッカーに知られていないであろう場合)は、開発者は統制のとれた方法でパッチを設計し、実装し、テストし、配布することができる。脆弱性がすでに広く明るみになっている場合は、開発者は、通常の状況で用いられるのと同じ注意を払うことなく急いでパッチを配布することがある。パッチがコンピュータシステムの管理者に配布されると、管理者は、スケジューリングおよびパッチのインストールを行って脆弱性を除去することを担う。
残念ながら、管理者はしばしば、パッチをインストールして脆弱性を除去するのを様々な理由で延期する。パッチをインストールするとき、ソフトウェアシステム、および場合によってはそれが実行されているコンピュータシステムを、シャットダウンして再起動することが必要な場合がある。組織の成功にとってクリティカルなソフトウェアシステムに脆弱性がある場合、管理者は、ソフトウェアシステムを稼動させたままにしてそれに付随する攻撃のリスクを負うことと、企業のクリティカルリソースをシャットダウンしてパッチをインストールすることとのトレードオフを分析する必要がある。管理者の中には、パッチが急いで配布されたため正しくテストされておらず意図されない副作用を有するかもしれないという恐れから、パッチのインストールを延期する者もいるかもしれない。パッチが意図されない副作用を有する場合、パッチの影響を受けるソフトウェアシステム、コンピュータシステム、またはその他の何らかのソフトウェアコンポーネントは、パッチ自体によってシャットダウンされることがある。管理者は、パッチをインストールするかどうか決定するとき、意図されない副作用の可能性を計算に入れる必要がある。これらの管理者は、意図されない重大な副作用がないことが他者の経験によって示されるまで、パッチのインストールを延期する場合がある。
まだパッチが当てられていない既知の脆弱性を利用することが試みられているかどうかを識別するのに使用することのできる、侵入検出システムが開発されてきた。これらの侵入検出システムを使用して、まだパッチの開発またはインストールがなされていない新たに発見された脆弱性が利用されるのを防止することができる。これらの侵入検出システムは、脆弱性を利用できる方法それぞれに対する「シグネチャ」を定義することができる。例えば、ある属性を有するあるタイプのメッセージを送信することによって脆弱性を利用することができる場合、この利用に対するシグネチャは、このタイプおよび属性を指定するものとなる。メッセージ受信などのセキュリティ施行イベントが発生したとき、侵入検出システムは、そのシグネチャをチェックして、いずれかがセキュリティ施行イベントにマッチするかどうか判定する。マッチする場合は、侵入検出システムは、メッセージをドロップするなど、この利用を防止するための動作を行うことができる。
新たに発見された脆弱性利用に対するシグネチャは、様々な方法で作成することができる。侵入検出システムの開発者は、新しい利用に気付いたとき、新しいシグネチャを作成して配布することができる。次いで管理者は、新しいシグネチャをインストールして、利用を防止することができる。しかし、開発者は、既知のすべての利用に対するシグネチャを提供するわけではないかもしれない。例えば、開発者のサポートしない専用アプリケーションプログラムに脆弱性がある場合もある。このような脆弱性の利用を防止するために、侵入検出システムでは、管理者が独自のシグネチャを作成できることがある。
1つまたは複数のシグネチャのセットは、セキュリティポリシーと考えることができる。侵入検出システムの開発者は、様々なセキュリティポリシーを提供することができる。例えば開発者は、オペレーティングシステムの脆弱性のシグネチャを定義する1つのセキュリティポリシーを提供することができ、また、1つのアプリケーションまたはある種類の複数のアプリケーションに特有の、他の多くのセキュリティポリシーを提供することができる。同様に、管理者は、企業によって使用されるカスタムアプリケーションに特有のセキュリティポリシーを定義することができる。
侵入はオペレーティングシステム内またはアプリケーション内の様々なポイントで発生する可能性があるので、これらの各ポイントにおける脆弱性利用を検出して防止するための侵入検出システムが開発されてきた。例えば、通信プロトコルのネットワーク層で検出される可能性のある脆弱性利用を防止するための侵入検出システムを開発することができ、また、ファイルがアクセスされている間に検出される可能性のある脆弱性利用を防止するための別の侵入検出システムを開発することができる。侵入検出システムの各開発者は独自の実装ポリシーおよびセキュリティポリシーを提供することができるが、これらは保護対象の各コンピュータシステムに配布する必要がある。さらに、実装ポリシーまたはセキュリティポリシーの更新があれば、それらも保護対象のコンピュータシステムに配布する必要がある。
多数のコンピュータシステムを有する企業のためのセキュリティポリシーを配布および更新することは、複雑で時間のかかる作業である可能性がある。各セキュリティポリシーを、各コンピュータシステムに提供し、次いで、各コンピュータシステムにインストールされた適切な侵入検出システムに提供する必要がある。侵入検出システムの開発者は通常、自分のシステムを相互から独立して開発するので、各侵入検出システムは、セキュリティポリシーを定義および配布するための独自仕様の機構を有する場合がある。企業のシステム管理者は、侵入検出システムを効果的に使用するために、これらの各機構を認識している必要がある場合がある。
コンピュータシステムで受け取ったセキュリティポリシーを、これらのセキュリティポリシーの施行を担うコンポーネントに配布するための一様な方法を提供する機構を有することが望ましいであろう。
本発明は、このような状況に鑑みてなされたもので、その目的とするところは、コンピュータシステムの脆弱性が利用されるのを防止する、セキュリティポリシーを配布するための方法およびシステムを提供することにある。
セキュリティポリシーを配布および施行するための方法およびシステムが提供される。分散ファイアウォールシステムは、ポリシーサーバコンポーネント、ファイアウォールエージェント、施行エンジンを備える。保護対象のホストコンピュータシステムで実行されるファイアウォールエージェントは、施行エンジンのためのセキュリティポリシーをポリシーサーバコンポーネントから受け取り、施行エンジンは、これらのセキュリティポリシーをホストコンピュータシステム上で施行することを担う。セキュリティポリシーは規則を有し、各規則は、条件と、条件が満たされるときに実施される動作とを提供する。規則は規則タイプ(セキュリティタイプとも呼ばれる)も有し、規則タイプは、規則の施行を担う施行エンジンをファイアウォールエージェントが識別するのに使用される。ファイアウォールエージェントは、ユーザモードおよびカーネルモードで実行される施行エンジンにセキュリティポリシーを配布することができる。施行エンジンは、セキュリティを施行するための階層型の手法を提供することができる。ホストコンピュータシステムで受け取ったセキュリティポリシーを配布するために、ファイアウォールエージェントは、規則タイプに部分的に基づいて、どの施行エンジンに規則が適用されるかを識別する。次いでファイアウォールエージェントは、識別された施行エンジンに規則を配布し、次いで施行エンジンは規則を施行する。
本発明によれば、コンピュータシステムの脆弱性が利用されるのを防止することができる。
以下、図面を参照して本発明を適用できる実施形態を詳細に説明する。
セキュリティポリシーを配布および施行するための方法およびシステムが提供される。分散ファイアウォールシステムは、ポリシーサーバコンポーネント、ファイアウォールエージェント、施行エンジンを備える。保護対象のホストコンピュータシステムで実行されるファイアウォールエージェントは、施行エンジンのためのセキュリティポリシーをポリシーサーバから受け取り、施行エンジンは、これらのセキュリティポリシーをホストコンピュータシステム上で施行することを担う。セキュリティポリシーは、実行スコープおよび関連する規則を有する。実行スコープは、関連する規則が適用されることになるプロセスまたはアプリケーションの属性を定義する。規則は、条件と、条件が満たされるときに実施される動作とを提供する。規則は規則タイプ(セキュリティタイプとも呼ばれる)も有し、規則タイプは、規則の施行を担う施行エンジンをファイアウォールエージェントが識別するのに使用される。ファイアウォールエージェントは、ユーザモードおよびカーネルモードで実行される施行エンジンにセキュリティポリシーを配布することができる。施行エンジンは、分散ファイアウォールのための階層型の手法を提供することができる。例えば、施行エンジンをホストコンピュータシステムにインストールして、ISO(International Organization for Standardization)7層参照モデルの様々な層における侵入を防止することができる。ネットワーク層、トランスポート層、セッション層はそれぞれ、その層における侵入の試みを検出するように開発された施行エンジンを有することができる。ホストコンピュータシステムで受け取ったセキュリティポリシーを配布するために、ファイアウォールエージェントは、規則タイプに部分的に基づいて、どの施行エンジンに規則が適用されるかを識別する。次いでファイアウォールエージェントは、識別された施行エンジンに規則を配布し、次いで施行エンジンは規則を施行する。施行エンジンは、規則を受け取ると、規則をそのサブコンポーネントに適宜配布することができる。例えば、ファイアウォールエージェントは、複数のカーネルモード施行エンジンに向けたすべての規則を単一のカーネルモードセキュリティコンポーネントに配布することができ、次いで単一のカーネルモードセキュリティコンポーネントは、規則を施行エンジンに配布する。このようにして、この分散ファイアウォールシステムは、ホストコンピュータシステムに様々な保護層を提供する複数の施行エンジンにセキュリティポリシー規則を配布するための、単一の機構を提供する。
一実施形態では、セキュリティポリシーは、条件と、動作と、任意選択で例外とを指定する規則を含む。例えば、規則は、アプリケーションがポート80以外のどのネットワークポート上でもメッセージを受信しないことを指示することができる。この規則の条件は、メッセージがポート80以外のネットワークポート上で受信されたときに満たされ、動作の結果、メッセージは廃棄される。別の例として、規則は、アプリケーションがネットワークポート80上でメッセージを送信しようとしたときに、この規則が施行されているコンピューティングシステムのユーザに許可を求めるべきであることを指示する。規則は、それらの挙動に基づいて規則タイプまたはセキュリティタイプに類別することができる。例えば、ネットワークセキュリティタイプを有する規則は、ネットワークトラフィックのためのセキュリティ施行に向けることができる。各セキュリティタイプは、そのセキュリティタイプの規則を施行するためのそれ自体のセキュリティコンポーネントを有することができる。セキュリティポリシーを指定するための言語は、2004年7月1日に出願された「Languages for Expressing Security Policies」という名称の米国特許出願第10/882438号に記載されている。
規則の条件、動作、例外は、式として指定することができる。規則は、「IF条件THEN動作EXCEPT例外」として意味的に表現することができる。規則の条件は、規則のセキュリティ施行動作が実施されることになる状況の式である。動作は、条件が満たされるときに実施されるアクティビティの式である。1つの規則が複数の動作を有することもできる。例外は、条件が満たされても動作が実施されない場合があるときの式である。条件は静的または動的とすることができる。静的な条件は例えば、ハードコードされたファイルリスト(hard-coded list of files)を参照するものである。動的な条件は例えば、クエリを実施して、提供された基準にマッチするファイルリストを決定するものである。セキュリティ施行動作には、セキュリティ施行イベントを引き起こした要求を許可すること、要求を拒否すること、ユーザに入力を求めること、ユーザに通知することなどを含めることができる。その他の規則構造も可能である。例として、「else」構造を追加して、条件が偽であるときに代替動作を実施することができる。
図1は、一実施形態における分散ファイアウォールシステムを示すブロック図である。企業がネットワークシステム100を有することができ、ネットワークシステム100は、ポリシーサーバコンピュータシステム110およびホストコンピュータシステム120を含む。システム管理者は、ポリシーサーバコンピュータシステムのポリシーサーバコンポーネント111を使用して、セキュリティポリシーストア112に記憶されるセキュリティポリシーを準備し、ホストコンピュータシステムに配布する。各ホストコンピュータシステムは、ファイアウォールエージェント121、施行エンジン122、ポリシーストア123を備える。ファイアウォールエージェントは、ホストコンピュータシステムがセキュリティポリシーを受け取ってそのホストコンピュータシステムの施行エンジンに配布するための、中央機構を提供する。ホストコンピュータシステムのファイアウォールエージェントは、ポリシーサーバコンピュータシステムからセキュリティポリシーを受け取ると、セキュリティポリシーをポリシーストアに記憶する。次いでファイアウォールエージェントは、セキュリティポリシーを規則ごとに処理し、規則を適切な施行エンジンに提供する。ファイアウォールエージェントは、様々なセキュリティポリシーを組み合わせることができ、セキュリティポリシーの規則を順序付けることができ、セキュリティポリシーの施行に影響するであろうセキュリティポリシーまたはシステム構成の変更を施行エンジンに動的に通知することができる。このような組合せ、順序付け、通知は、2004年10月14日に出願された「Method and System for Merging Security Policies」という名称の米国特許出願第10/966800号に記載されている。次いで、施行エンジンは、規則をネットワークイベントに適用することによって規則を施行する。施行エンジンは、様々なタイプのセキュリティ施行を提供することができる。施行エンジンは、ある種の挙動を行う試みを検出して、この試みを阻止することができる。例えば、ウイルスに感染したアプリケーションが、オペレーティングシステムのいくつかのファイルを削除しようとする場合がある。このアプリケーションと同じプロセス空間で実行されているセキュリティエンジンが、ファイルを削除する試みを検出して阻止することができる。挙動阻止を実施するためのセキュリティエンジンは、2004年4月27日に出願された「A Method and System for Enforcing a Security Policy via a Security Virtual Machine」という名称の米国特許出願第10/832798号に記載されている。施行エンジンは、IP(Internet Protocol)、ICMP(Internet Control Message Protocol)、TCP(Transmission Control Protocol)、FTP(file transfer protocol)、DNS(Domain Name System)、HTTP(hypertext transfer protocol)、RPC(remote procedure call)など、様々なプロトコルのネットワークイベントに規則を適用するように適合させることができる。脆弱性の利用を防止する技法は、2004年9月30日に出願された「Method and System for Filtering Communications to Prevent Exploitation of a Software Vulnerability」という名称の米国特許出願第10/955963号に記載されている。
図2は、一実施形態における、ホストコンピュータシステム上で実行される分散ファイアウォールシステムのコンポーネントを示すブロック図である。ホストコンピュータシステムは、ファイアウォールエージェントコンポーネント220、カーネルモードコンポーネント230、アプリケーションユーザモードコンポーネント240を備える。ファイアウォールエージェントコンポーネントは、ポリシー受信コンポーネント221、ポリシー解析コンポーネント222、ポリシー配布コンポーネント223を含む。ファイアウォールエージェントコンポーネントはまた、ポリシーストア224および構成マネージャ225も含む。ポリシー受信コンポーネントは、ポリシーサーバコンピュータシステムから提供されたセキュリティポリシーを受け取り、ポリシーストアに記憶する。ポリシー解析コンポーネントは、ポリシーをポリシーストアから取り出し、施行エンジンによって処理されるようにこれらをより低水準の言語に変換する。ポリシー配布コンポーネントは、解析されたセキュリティポリシーを受け取り、セキュリティポリシーの規則を適切な施行エンジンに配布する。構成マネージャは、ホストコンピュータシステムの現在構成に基づいてどの規則をどの施行エンジンに配布すべきかを決定する際に使用される構成情報を提供する。
カーネルモードコンポーネントは、施行エンジン231、フローマネージャコンポーネント233、プロトコルフック234を含む。これらのコンポーネントは、層0から層Nまでに階層化することができ、これらの層はISO7層参照モデルの様々な層に対応するものとすることができる。各層は、関連するプロトコルフック、フローマネージャ、施行エンジンを有することができる。施行エンジンは、その層に特有であり、その層に特有のネットワークイベントを解析し、ファイアウォールエージェントからその層に提供された規則を施行する。各層に対する規則は、その層に特有とすることのできる規則ストア232に記憶される。フローマネージャコンポーネントは、ネットワークイベントをインターセプトして、規則を施行するために対応する施行エンジンを呼び出すことを担う。各フローマネージャコンポーネントは、対応する層におけるネットワークイベントを検出することを担う対応するプロトコルフックから、ネットワークイベントを受け取る。アプリケーションユーザモードコンポーネントは、全体的なアーキテクチャにおいてカーネルモードコンポーネントと同様の方式で階層型セキュリティを提供するための、アプリケーションにリンクするダイナミックリンクライブラリとして提供することができる。
この配布システムが実現されるコンピューティングデバイスは、中央処理装置、メモリ、入力デバイス(例えばキーボードやポインティングデバイス)、出力デバイス(例えば表示デバイス)、記憶デバイス(例えばディスクドライブ)を備えることができる。メモリおよび記憶デバイスは、配布システムを実現する命令を含むことのできるコンピュータ可読媒体である。さらに、データ構造およびメッセージ構造は、通信リンク上の信号などのデータ伝送媒体を介して記憶または伝送することもできる。インターネット、ローカルエリアネットワーク、ワイドエリアネットワーク、ポイントツーポイントダイヤルアップ接続、セルホンネットワークなど、様々な通信リンクを使用することができる。
この配布システムは様々な動作環境で実現することができ、これらの環境には、パーソナルコンピュータ、サーバコンピュータ、ハンドヘルドデバイスまたはラップトップデバイス、マルチプロセッサシステム、マイクロプロセッサベースのシステム、プログラム可能な家庭用電化製品、デジタルカメラ、ネットワークPC(personal computer)、ミニコンピュータ、メインフレームコンピュータや、これらのシステムまたはデバイスのいずれかを含む分散コンピューティング環境などが含まれる。ホストコンピュータシステムは、セルホン、パーソナルデジタルアシスタント、スマートホン、パーソナルコンピュータ、プログラム可能な家庭用電化製品、デジタルカメラなどとすることができる。
この配布システムは、プログラムモジュールなど、1つまたは複数のコンピュータまたはその他のデバイスによって実行されるコンピュータ実行可能命令の一般的な状況で述べることができる。一般に、プログラムモジュールは、特定のタスクを実施するか特定の抽象データ型を実現するルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。通常、プログラムモジュールの機能は、様々な実施形態で望まれるように結合または分散させることができる。
図3は、一実施形態における、ファイアウォールエージェントのポリシー配布コンポーネントの処理を示す流れ図である。このコンポーネントは、ポリシー解析コンポーネントからポリシーを受け取ると、規則が適用される施行エンジンを識別し、識別された施行エンジンに規則を配布する。ブロック301〜307で、コンポーネントはループしてセキュリティポリシーを選択する。ブロック301で、コンポーネントは次のセキュリティポリシーを選択する。判定ブロック302で、すべてのセキュリティポリシーがすでに選択されている場合は、コンポーネントは完了し、そうでない場合はブロック303に進む。ブロック303〜307で、コンポーネントはループして、選択されたセキュリティポリシー内の各規則を処理する。ブロック303で、コンポーネントは、選択されたセキュリティポリシーの次の規則を選択する。判定ブロック304で、選択されたセキュリティポリシーのすべての規則がすでに選択されている場合は、コンポーネントはブロック301にループして、次のセキュリティポリシーを選択し、そうでない場合はブロック305に進む。ブロック305で、コンポーネントは、選択されたセキュリティ規則の規則タイプ(またはセキュリティタイプ)を識別する。ブロック306で、コンポーネントは、識別された規則タイプの規則を施行することを担う施行エンジンを識別する。ブロック307で、コンポーネントは、選択された規則を識別されたコンポーネントに提供し、次いでブロック303にループして、選択されたセキュリティポリシーの次の規則を選択する。
図4は、一実施形態におけるフローマネージャコンポーネントの処理を示す流れ図である。フローマネージャコンポーネントは、ネットワークイベントを渡され、このネットワークイベントを処理するための適切な施行エンジンを呼び出す。フローマネージャコンポーネントは、各層ごとの、その層だけのネットワークイベントを処理する別々のフローマネージャとして実現してもよく、あるいは、すべての層のネットワークイベントを処理する単一のフローマネージャコンポーネントとして実現してもよい。例示するこの実施形態では、フローマネージャコンポーネントは、すべての層に関するすべてのネットワークイベントを処理する。判定ブロック401〜403で、コンポーネントは、ネットワークイベントが該当する層を識別する。次いでコンポーネントは、ブロック410〜413で、この層に関連する施行エンジンを呼び出す。次いでコンポーネントは完了する。フローマネージャは、各ネットワーク接続ごとに別々のフローを維持することができる。施行エンジンおよびフローマネージャは、層、および層によって実施されるプロトコルに特有とすることができる。例えば、接続がパケット層で伝送制御プロトコル(「TCP」)またはユーザデータグラムプロトコル(「UDP」)を使用するとき、フローマネージャはこのプロトコルに適した施行エンジンを呼び出す。呼び出された施行エンジンは、ある呼出しから次の呼出しへのステート情報を追跡するためのデータ構造をインスタンス化することができる。ユーザモード施行エンジンによって保護される各アプリケーションもまた、各接続ごとに別々のフローを持つフローマネージャを有することができる。
図5は、一実施形態における、特定の層の施行エンジンの処理を示す流れ図である。分散ファイアウォールシステムのコンポーネントの1つである施行エンジンは、ネットワークイベントを提供され、このイベントに適用される規則を識別し、規則の条件が満たされるかどうか判定し、満たされる場合は、規則に関連する動作を実施する。ブロック501〜504で、コンポーネントはループして、施行エンジンの層に関連する各規則を選択する。ブロック501で、コンポーネントは次の規則を選択する。判定ブロック502で、すべての規則がすでに選択されている場合は、コンポーネントは完了し、そうでない場合はブロック503に進む。判定ブロック503で、規則の条件が満たされる場合は、コンポーネントはブロック504に進み、そうでない場合は、ブロック501にループして次の規則を選択する。ブロック504で、コンポーネントは、規則に関連する動作を実施し、次いでブロック501にループして次の規則を選択する。各施行エンジンは、その層に適したネットワークイベントおよび規則を処理するように適合させることができる。例えば、ネットワーク層の施行エンジンは、ネットワークパケットを解析し、ネットワークパケットに関係する規則を施行することができる。アプリケーション層の施行エンジンは、そのアプリケーションに関係するファイルへのアクセスまたは修正を行おうとする未許可の試みを検出することができる。
以上のことから、本明細書では例示のために分散ファイアウォールシステムの特定の実施形態を述べたが、本発明の趣旨および範囲を逸脱することなく様々な修正を加えることができることが理解されるであろう。したがって本発明は、添付の特許請求の範囲による場合を除いては限定されない。
100 分散ファイアウォールシステム
110 ポリシーサーバ
111 ポリシーサーバコンポーネント
112 ポリシーストア
120 ホスト
121 ファイアウォールエージェント
122 施行エンジン
123 ポリシーストア
110 ポリシーサーバ
111 ポリシーサーバコンポーネント
112 ポリシーストア
120 ホスト
121 ファイアウォールエージェント
122 施行エンジン
123 ポリシーストア
Claims (16)
- コンピュータシステムにおいて、セキュリティポリシーの規則を施行エンジンに配布して、該セキュリティポリシーの規則を施行する方法であって、
セキュリティ施行の様々な層に対応した施行エンジンを受け取るステップと、
前記コンピュータシステム上でファイアウォールエージェントを実行することによって、
前記各層に対応した規則を有するセキュリティポリシーを受け取って、メモリに記憶するステップと、ここで、前記各層に対応する規則は規則タイプを有し、
前記記憶されたセキュリティポリシーを選択し、該選択されたセキュリティポリシーの規則を識別し、該識別された規則の規則タイプに基づいて該規則が適用される所定の層に対応した施行エンジンを識別するステップと、
前記識別された施行エンジンに、前記選択されたセキュリティポリシーの前記識別された規則を提供するステップと、
前記ファイアウォールエージェントによって前記識別された施行エンジンに提供された前記識別された規則をメモリに記憶するステップと、
前記コンピュータシステム上でフローマネージャを実行することによって、
ネットワークイベントを受信するステップと、
前記受信したネットワークイベントに対して前記規則を施行する責任がある前記所定の層に対応する施行エンジンを識別するステップと、
前記識別された前記所定の層に対応する施行エンジンに、前記受信したネットワークイベントを提供するステップと、
前記コンピュータシステム上で前記施行エンジンを実行することによって、
前記受信したネットワークイベントが前記識別された前記所定の層に対応する施行エンジンに提供されたとき、前記フローマネージャによって提供された該ネットワークイベントに対して、前記ファイアウォールエージェントによって前記所定の層に対応する施行エンジンに提供された前記規則を施行するステップと
を具え、
前記施行エンジンが、階層型の複数の施行エンジンとして構成されることにより、該階層型のある施行エンジンに提供された規則が所定のネットワークイベントに適用されないと当該ある施行エンジンが判定したときは、該階層型の別の施行エンジンが、当該別の施行エンジンに提供された前記規則が前記所定のネットワークイベントに適用されるかどうか判定し、
前記施行エンジンは、階層型ファイアウォールを提供すると共に、ネットワークプロトコルスタックの様々な層でセキュリティを提供することを特徴とする方法。 - 前記セキュリティポリシーは、前記セキュリティポリシーを複数のコンピュータシステムに向けて配布するポリシーコンピュータシステムから受け取られることを特徴とする請求項1記載の方法。
- 前記施行エンジンは、挙動阻止セキュリティコンポーネントを含むことを特徴とする請求項1記載の方法。
- 施行エンジンは、サブコンポーネントを含み、
前記施行エンジンは、規則が提供されると、前記規則をサブコンポーネントに提供することを特徴とする請求項1記載の方法。 - 少なくとも1つの施行エンジンは、カーネルモードで実行され、
少なくとも1つの施行エンジンは、ユーザモードで実行されることを特徴とする請求項1記載の方法。 - 前記ファイアウォールエージェントは、ユーザモードサブコンポーネントおよびカーネルモードサブコンポーネントを含み、
前記ユーザモードサブコンポーネントは、カーネルモードで実行される施行エンジンに規則を提供するために、前記カーネルモードサブコンポーネントに前記規則を配布することを特徴とする請求項1記載の方法。 - 単一のフローマネージャコンポーネントが、複数の層からのネットワークイベントを処理することを特徴とする請求項1記載の方法。
- セキュリティポリシーの規則を施行エンジンに配布して、該セキュリティポリシーの規則を施行するコンピュータシステムであって、
セキュリティ施行の様々な層に対応した複数の施行エンジンと、
ファイアウォールエージェントと、
該ファイアウォールエージェントは、
前記各層に対応した規則を有するセキュリティポリシーを受け取って、メモリに記憶させることと、ここで、前記各層に対応する規則は、規則タイプを有し、
前記記憶されたセキュリティポリシーを選択し、該選択されたセキュリティポリシーの規則を識別し、該識別された規則の規則タイプに基づいて該規則が適用される所定の層に対応する施行エンジンを識別することと、
前記識別された施行エンジンに、前記選択されたセキュリティポリシーの前記識別された規則を提供することとを実行するように構成され、
前記ファイアウォールエージェントによって前記識別された所定の層に対応する施行エンジンに提供された前記識別された規則を記憶するメモリと、
フローマネージャと
を具え、
該フローマネージャは、
ネットワークイベントを受信することと、
前記受信したネットワークイベントに対して前記規則を施行する責任がある前記所定の層に対応する施行エンジンを識別することと、
前記識別された前記所定の層に対応する施行エンジンに、前記受信したネットワークイベントを提供することとを実行するように構成され、
前記施行エンジンは、
前記受信したネットワークイベントが前記識別された前記所定の層に対応する施行エンジンに提供されたとき、前記フローマネージャによって提供された該ネットワークイベントに対して、前記ファイアウォールエージェントによって前記所定の層に対応する施行エンジンに提供された前記規則を施行するように構成され、
前記施行エンジンが、階層型の複数の施行エンジンとして構成されることにより、該階層型のある施行エンジンに提供された規則が所定のネットワークイベントに適用されないと当該ある施行エンジンが判定したときは、該階層型の別の施行エンジンが、当該別の施行エンジンに提供された前記規則が前記所定のネットワークイベントに適用されるかどうか判定し、これにより、
前記施行エンジンは、階層型ファイアウォールを提供すると共に、ネットワークプロトコルスタックの様々な層でセキュリティを提供することを特徴とするコンピュータシステム。 - 前記セキュリティポリシーは、前記セキュリティポリシーを複数のコンピュータシステムに向けて配布するポリシーコンピュータシステムから受け取られることを特徴とする請求項8記載のコンピュータシステム。
- 前記施行エンジンは、挙動阻止セキュリティコンポーネントを含むことを特徴とする請求項8記載のコンピュータシステム。
- 施行エンジンは、サブコンポーネントを含み、
前記施行エンジンは、規則が提供されると、前記規則をサブコンポーネントに提供することを特徴とする請求項8記載のコンピュータシステム。 - 少なくとも1つの施行エンジンは、カーネルモードで実行され、
少なくとも1つの施行エンジンは、ユーザモードで実行されることを特徴とする請求項8記載のコンピュータシステム。 - 前記ファイアウォールエージェントは、ユーザモードサブコンポーネントおよびカーネルモードサブコンポーネントを含み、
前記ユーザモードサブコンポーネントは、カーネルモードで実行される施行エンジンに規則を提供するために、前記カーネルモードサブコンポーネントに前記規則を配布することを特徴とする請求項8記載のコンピュータシステム。 - 単一のフローマネージャコンポーネントが、複数の層からのネットワークイベントを処理することを特徴とする請求項8記載のコンピュータシステム。
- コンピュータにより、請求項1ないし7のいずれかに記載の方法を実行することが可能な命令を有するコンピュータプログラム。
- 請求項15記載のコンピュータプログラムを有するコンピュータ読取り可能な記録媒体。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/993,688 | 2004-11-19 | ||
| US10/993,688 US7509493B2 (en) | 2004-11-19 | 2004-11-19 | Method and system for distributing security policies |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006146891A JP2006146891A (ja) | 2006-06-08 |
| JP4914052B2 true JP4914052B2 (ja) | 2012-04-11 |
Family
ID=35999529
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005304775A Active JP4914052B2 (ja) | 2004-11-19 | 2005-10-19 | セキュリティポリシーを配布するための方法およびシステム |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US7509493B2 (ja) |
| EP (1) | EP1677484B1 (ja) |
| JP (1) | JP4914052B2 (ja) |
| KR (1) | KR101183423B1 (ja) |
| CN (1) | CN1777179B (ja) |
Families Citing this family (55)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7509493B2 (en) * | 2004-11-19 | 2009-03-24 | Microsoft Corporation | Method and system for distributing security policies |
| GB0513375D0 (en) | 2005-06-30 | 2005-08-03 | Retento Ltd | Computer security |
| US20100180331A1 (en) * | 2006-03-30 | 2010-07-15 | Nec Corporation | Communication terminal device, rule distribution device, and program |
| JP4872412B2 (ja) * | 2006-03-31 | 2012-02-08 | 日本電気株式会社 | 情報検知処理方法及び装置 |
| US20080083009A1 (en) * | 2006-09-29 | 2008-04-03 | Microsoft Corporation | Policy fault |
| ITBO20070318A1 (it) | 2007-05-03 | 2008-11-04 | Marchesini Group Spa | Stazione per la pesatura di contenitori |
| US8584227B2 (en) * | 2007-05-09 | 2013-11-12 | Microsoft Corporation | Firewall with policy hints |
| US8443433B2 (en) * | 2007-06-28 | 2013-05-14 | Microsoft Corporation | Determining a merged security policy for a computer system |
| CN101378522B (zh) * | 2007-08-31 | 2012-01-25 | 华为技术有限公司 | 分发策略的方法、系统和策略分发实体 |
| US9043861B2 (en) | 2007-09-17 | 2015-05-26 | Ulrich Lang | Method and system for managing security policies |
| US8286219B2 (en) * | 2008-02-16 | 2012-10-09 | Xencare Software Inc. | Safe and secure program execution framework |
| US8448220B2 (en) * | 2008-04-29 | 2013-05-21 | Mcafee, Inc. | Merge rule wizard |
| US20090300748A1 (en) * | 2008-06-02 | 2009-12-03 | Secure Computing Corporation | Rule combination in a firewall |
| CN101364877B (zh) * | 2008-09-28 | 2010-10-27 | 福建星网锐捷网络有限公司 | 安全策略配置方法及其装置 |
| US20100162240A1 (en) * | 2008-12-23 | 2010-06-24 | Samsung Electronics Co., Ltd. | Consistent security enforcement for safer computing systems |
| CN101729531B (zh) * | 2009-03-16 | 2016-04-13 | 中兴通讯股份有限公司 | 网络安全策略分发方法、装置及系统 |
| US9621516B2 (en) * | 2009-06-24 | 2017-04-11 | Vmware, Inc. | Firewall configured with dynamic membership sets representing machine attributes |
| KR100989347B1 (ko) * | 2009-08-21 | 2010-10-25 | 펜타시큐리티시스템 주식회사 | 보안규칙 기반의 웹공격 탐지 방법 |
| US8458769B2 (en) * | 2009-12-12 | 2013-06-04 | Akamai Technologies, Inc. | Cloud based firewall system and service |
| WO2011103385A1 (en) * | 2010-02-22 | 2011-08-25 | Avaya Inc. | Secure, policy-based communications security and file sharing across mixed media, mixed-communications modalities and extensible to cloud computing such as soa |
| US10511630B1 (en) | 2010-12-10 | 2019-12-17 | CellSec, Inc. | Dividing a data processing device into separate security domains |
| US10574630B2 (en) | 2011-02-15 | 2020-02-25 | Webroot Inc. | Methods and apparatus for malware threat research |
| EP2792104B1 (en) | 2011-12-21 | 2021-06-30 | SSH Communications Security Oyj | Automated access, key, certificate, and credential management |
| EP2807560B1 (en) * | 2012-01-24 | 2019-12-04 | SSH Communications Security Oyj | Privileged access auditing |
| US9294508B2 (en) * | 2012-08-02 | 2016-03-22 | Cellsec Inc. | Automated multi-level federation and enforcement of information management policies in a device network |
| US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
| US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
| US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
| CN104125192A (zh) * | 2013-04-23 | 2014-10-29 | 鸿富锦精密工业(深圳)有限公司 | 虚拟机安全保护系统及方法 |
| WO2014205517A1 (en) * | 2013-06-25 | 2014-12-31 | Ditno. Pty Ltd | Method and system for managing a host-based firewall |
| US9497194B2 (en) * | 2013-09-06 | 2016-11-15 | Oracle International Corporation | Protection of resources downloaded to portable devices from enterprise systems |
| US9276904B2 (en) | 2014-02-20 | 2016-03-01 | Nicira, Inc. | Specifying point of enforcement in a firewall rule |
| US9646309B2 (en) | 2014-04-04 | 2017-05-09 | Mobilespaces | Method for authentication and assuring compliance of devices accessing external services |
| US9674147B2 (en) | 2014-05-06 | 2017-06-06 | At&T Intellectual Property I, L.P. | Methods and apparatus to provide a distributed firewall in a network |
| US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
| US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| US9806948B2 (en) | 2015-06-30 | 2017-10-31 | Nicira, Inc. | Providing firewall rules for workload spread across multiple data centers |
| US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
| US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
| US10348685B2 (en) | 2016-04-29 | 2019-07-09 | Nicira, Inc. | Priority allocation for distributed service rules |
| US10135727B2 (en) | 2016-04-29 | 2018-11-20 | Nicira, Inc. | Address grouping for distributed service rules |
| US11171920B2 (en) | 2016-05-01 | 2021-11-09 | Nicira, Inc. | Publication of firewall configuration |
| US10944722B2 (en) | 2016-05-01 | 2021-03-09 | Nicira, Inc. | Using activities to manage multi-tenant firewall configuration |
| US11258761B2 (en) | 2016-06-29 | 2022-02-22 | Nicira, Inc. | Self-service firewall configuration |
| US11088990B2 (en) | 2016-06-29 | 2021-08-10 | Nicira, Inc. | Translation cache for firewall configuration |
| US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
| US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
| KR101951208B1 (ko) * | 2018-09-28 | 2019-02-25 | 주식회사 루터스시스템 | 방화벽에이전트를 이용해 네트워크 트래픽을 감시하는 방화벽 시스템 |
| US11310202B2 (en) | 2019-03-13 | 2022-04-19 | Vmware, Inc. | Sharing of firewall rules among multiple workloads in a hypervisor |
| US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
| US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07319691A (ja) * | 1994-03-29 | 1995-12-08 | Toshiba Corp | 資源保護装置、特権保護装置、ソフトウェア利用法制御装置、及びソフトウェア利用法制御システム |
| US5968176A (en) * | 1997-05-29 | 1999-10-19 | 3Com Corporation | Multilayer firewall system |
| US6678827B1 (en) * | 1999-05-06 | 2004-01-13 | Watchguard Technologies, Inc. | Managing multiple network security devices from a manager device |
| EP1145519B1 (en) * | 1999-06-10 | 2005-08-31 | Alcatel Internetworking, Inc. | System and method for policy-based network management of virtual private networks |
| US6920558B2 (en) * | 2001-03-20 | 2005-07-19 | Networks Associates Technology, Inc. | Method and apparatus for securely and dynamically modifying security policy configurations in a distributed system |
| CN1257632C (zh) * | 2002-12-11 | 2006-05-24 | 中国科学院研究生院 | 一种坚固网关系统及其检测攻击方法 |
| US7308711B2 (en) * | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
| US7509493B2 (en) * | 2004-11-19 | 2009-03-24 | Microsoft Corporation | Method and system for distributing security policies |
-
2004
- 2004-11-19 US US10/993,688 patent/US7509493B2/en active Active
-
2005
- 2005-09-30 KR KR1020050091837A patent/KR101183423B1/ko active IP Right Grant
- 2005-10-11 CN CN2005101163083A patent/CN1777179B/zh active Active
- 2005-10-19 JP JP2005304775A patent/JP4914052B2/ja active Active
- 2005-11-07 EP EP05110420.6A patent/EP1677484B1/en active Active
-
2009
- 2009-03-11 US US12/402,448 patent/US7831826B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP1677484A2 (en) | 2006-07-05 |
| US7509493B2 (en) | 2009-03-24 |
| US20060129808A1 (en) | 2006-06-15 |
| CN1777179A (zh) | 2006-05-24 |
| US7831826B2 (en) | 2010-11-09 |
| KR101183423B1 (ko) | 2012-09-14 |
| US20090172774A1 (en) | 2009-07-02 |
| JP2006146891A (ja) | 2006-06-08 |
| EP1677484B1 (en) | 2016-06-08 |
| EP1677484A3 (en) | 2007-05-09 |
| KR20060056231A (ko) | 2006-05-24 |
| CN1777179B (zh) | 2010-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4914052B2 (ja) | セキュリティポリシーを配布するための方法およびシステム | |
| US11368432B2 (en) | Network containment of compromised machines | |
| US7607041B2 (en) | Methods and apparatus providing recovery from computer and network security attacks | |
| AU2016369460B2 (en) | Dual memory introspection for securing multiple network endpoints | |
| US8413245B2 (en) | Methods and apparatus providing computer and network security for polymorphic attacks | |
| EP3127301B1 (en) | Using trust profiles for network breach detection | |
| US9325725B2 (en) | Automated deployment of protection agents to devices connected to a distributed computer network | |
| US8255995B2 (en) | Methods and apparatus providing computer and network security utilizing probabilistic policy reposturing | |
| JP4880269B2 (ja) | セキュリティポリシーをマージするための方法およびシステム | |
| US9286469B2 (en) | Methods and apparatus providing computer and network security utilizing probabilistic signature generation | |
| US7523308B2 (en) | Method and system for dynamic system protection | |
| US7707619B2 (en) | Method and system for troubleshooting when a program is adversely impacted by a security policy | |
| US20070294699A1 (en) | Conditionally reserving resources in an operating system | |
| TW202217617A (zh) | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 | |
| WO2023130063A1 (en) | Zero trust file integrity protection | |
| KR20230147277A (ko) | 네트워크 보안 시스템 및 이를 이용한 네트워크 보안 방법 | |
| Shouman et al. | Multiagent-Based Intrusion Prevention System | |
| Shouman et al. | A Hybrid Multiagent-Based Intrusion Prevention System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081020 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110506 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110721 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110805 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111130 |
|
| RD13 | Notification of appointment of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7433 Effective date: 20111201 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20111201 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20111221 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120117 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120120 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4914052 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150127 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |