JP4994683B2 - ネットワーク機器 - Google Patents

ネットワーク機器 Download PDF

Info

Publication number
JP4994683B2
JP4994683B2 JP2006075644A JP2006075644A JP4994683B2 JP 4994683 B2 JP4994683 B2 JP 4994683B2 JP 2006075644 A JP2006075644 A JP 2006075644A JP 2006075644 A JP2006075644 A JP 2006075644A JP 4994683 B2 JP4994683 B2 JP 4994683B2
Authority
JP
Japan
Prior art keywords
network device
database
access control
access
responder
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006075644A
Other languages
English (en)
Other versions
JP2007251842A5 (ja
JP2007251842A (ja
Inventor
憲一 北村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2006075644A priority Critical patent/JP4994683B2/ja
Publication of JP2007251842A publication Critical patent/JP2007251842A/ja
Publication of JP2007251842A5 publication Critical patent/JP2007251842A5/ja
Application granted granted Critical
Publication of JP4994683B2 publication Critical patent/JP4994683B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、IPsec(Security Architecture for Internet Protocol)やセキュリティポリシーの制御を、機器ではなくユーザ等を単位に行えるようにしたネットワーク機器に関する。
IPsecにより通信を暗号化することにより、通信経路上の安全を保つことが可能となってきた。
IPsecの認証とアクセスコントロールについては、IPsecの暗号化共有鍵を生成するための処理であるIKE(Internet Key Exchange)によるPhase1の処理において、規格上はユーザ名やディレクトリサービスの国際標準であるX.500で規定されたものも利用することができる。
しかし、機器に設定して処理されることを前提としているため、データを振り分ける識別子としては、IP(Internet Protocol)アドレス、MAC(Media Access Control)アドレスが前提とされている。
同様に、IPsecのアクセスデータベースとしてもIPアドレスで振り分けることが規格上指示されている。
なお、出願人は出願時点までに本発明に関連する公開された先行技術文献を発見することができなかった。よって、先行技術文献情報を開示していない。
上述したように、従来はIPアドレスもしくはMACアドレスが管理上の識別子として用いられていたため、本人認証として認証されるIKEの部分では、機器が正しいことは確保されているが、それを使うユーザが正しいことは確保できていない。
このため、例えば一人のユーザが複数の機器をもって処理する場合、それらの機器による通信におけるアクセスコントロール、セキュリティポリシーを同一に保つためには、機器ごとに同じ設定をしなければならず、作業が煩雑であるとともに、保守性が悪くなるという問題があった。
また、IPv6(Internet Protocol version 6)においてはIPアドレスを複数用いた運用がなされるが、IPアドレスごとによるIPsecのSA(Security Association)経路の管理、アクセスコントロールを実施する場合、複数の証明書や、共通鍵を用意しなければならず、煩雑になるという問題があった。
本発明は上記の従来の問題点に鑑み提案されたものであり、その目的とするところは、IPsecやセキュリティポリシーの制御を、機器ではなくユーザ等を単位に行えるようにしたネットワーク機器を提供することにある。
上記の課題を解決するため、本発明にあっては、請求項1に記載されるように、ネットワークに接続され、暗号化手段を有し、暗号化通信のレスポンダとなる末端のネットワーク機器であって、暗号化共有鍵を生成するための処理に際し、イニシエータから当該イニシエータのユーザのIDを取得し、データベースを参照してアクセス可能であるか否か判断する手段と、アクセス可能であると判断された場合に、上記イニシエータから通信に使用するポート識別子を取得し、IDとアクセスグループとを対応付けたID/グループ対応データベースと、送信元のアクセスグループとポート識別子とセキュリティ設定内容とを対応付けたグループセキュリティポリシデータベースとから、IDとポート識別子とセキュリティ設定内容とを関連付けて設定する手段とを備えるネットワーク機器を要旨としている。
また、請求項2に記載されるように、請求項1に記載のネットワーク機器において、上記のIDを判断するにあたり、当該IDの一部を利用して登録情報との一致を判断するようにすることができる。
また、請求項3に記載されるように、請求項1または2のいずれか一項に記載のネットワーク機器において、レスポンダ側にアクセスコントロールのデータベースを保持するようにすることができる。
また、請求項4に記載されるように、請求項1または2のいずれか一項に記載のネットワーク機器において、レスポンダ側にアクセスコントロールのデータベースを保持せず、サーバ機器に対して問い合わせを行い、当該サーバ機器でアクセスコントロールの判断を行い、その結果をレスポンダ側で取得するようにすることができる。
また、請求項5〜8に記載されるように、ネットワーク機器のアクセス制御方法として構成することができる。
本発明のネットワーク機器にあっては、IPsecやセキュリティポリシーの制御を、機器ではなくユーザ等を単位に行うことができ、ユーザ毎に個別に通信経路を暗号化し、個人毎の情報のコントロールが可能となる。これにより、複数の機器を利用するユーザであっても、どの機器からのアクセスでも同じアクセスコントロールおよびセキュリティポリシーの適応が可能となる。また、登録されたID1つで、利用する機器に対して安全な通信経路の利用ができる。
以下、本発明の好適な実施形態につき説明する。
図1は本発明のネットワーク機器を用いたネットワークシステムの一実施形態を示す全体構成図である。
図1において、ネットワーク3上にはネットワーク機器1A、1Bと外部サーバ2が接続されている。なお、後述する動作説明との関係から、ネットワーク機器1Aはイニシエータ、ネットワーク機器1Bはレスポンダと示してあるが、逆になる場合もある。また、同一のネットワーク3上に限らず、ルータ等を介して他のセグメントにあるネットワーク機器と通信することも可能である。
図2はレスポンダ側のネットワーク機器1Bの内部構成例を示す図である。
図2において、ネットワーク機器1Bは、処理において参照もしくは更新する各種のデータベースD1〜D5を備えている。なお、データベースD1〜D5は機器内部に設けてもよいし、ネットワーク上のサーバ等に設けてもよい。
ネットワーク機器1Bは、IKEのPhase1の処理を行うPhase1処理部11と、Phase1処理部11内にあって、イニシエータから送られたユーザを示すIDに基づいてアクセス条件の確認を行うアクセス条件確認部12とを備えている。
また、IKEのPhase1処理の後に、セキュリティポリシー適用のためにユーザのIDとポートとの関連付けを行うID/ポート関連付け設定部13と、IKEのPhase2の処理を行うPhase2処理部14と、IKEのPhase1、Phase2の処理により設定された情報に基づいてIPsec通信を行うIPsec通信処理部15とを備えている。
図3はIDデータベースD1の例を示す図であり、レコード番号と、ユーザのIDと、公開鍵とを対応付けて保持している。
図4はアクセスデータベースD2の例を示す図であり、ユーザのIDと、アクセス条件#1と、アクセス条件#2とを対応付けて保持している。ここではアクセス条件#1としてアクセス時間帯を規定し、アクセス条件#2として機器の状態を規定しているが、別のアクセス条件を規定してもよい。
図5はグループセキュリティポリシーデータベースD3の例を示す図であり、ルール番号と、X.500等で規定される送信元(グループ)の識別子と、通信の識別ポートと、動作と、フィルタと、セキュリティプロトコル等の設定とを対応付けて保持している。
図6はID/グループ対応データベースD4の例を示す図であり、ユーザのIDと、グループとを対応付けて保持している。
図7はIPsecアクセスデータベースD5の例を示す図であり、ルール番号と、送信元の識別子と、識別ポートと、動作と、フィルタと、セキュリティプロトコル等の設定とを対応付けて保持している。
図8は上記の実施形態の全体的な処理例を示すフローチャートである。
図8において、処理を開始すると(ステップS101)、先ずIKEのPhase1の処理を行う(ステップS102)。
その後、ユーザのIDとポートとの関連付けを行う(ステップS103)。
その後、IKEのPhase2の処理を行う(ステップS104)。
そして、Phase1、Phase2の処理により設定された情報に基づいてIPsec通信を行い(ステップS105)、処理を終了する(ステップS106)。
図9はデジタル証明の認証Aggressive ModeによるIKE Phase1の処理例を示すシーケンス図であり、図10はIKE Phase1におけるレスポンダ側のネットワーク機器1Bの処理例を示すフローチャートである。なお、図9において網掛けした部分は暗号化されていることを示している。
図9および図10において、イニシエータ側のネットワーク機器1Aから認証のデータとしてイニシエータのユーザを特定するIDを含むデータ(SAパラメータの提案)が送信される(ステップS111)。
レスポンダ側のネットワーク機器1Bは処理を開始し(ステップS112)、そのIDによりIDデータベースD1を検索し(ステップS113)、IDが存在するかどうか判断する(ステップS114)。
IDが存在する場合、アクセスデータベースD2を検索し(ステップS115)、IDを比較することによりアクセス条件に当てはまるかどうか判断する(ステップS116)。図4に示したアクセスデータベースD2の例では、例えば、「hogehoge」というIDのイニシエータが、IKEのISKMP(Internet Security Association Key Management Protocol)のパケットを送ってきた場合、現在時刻が9:00〜18:00であり、レスポンダがスタンバイの状態であったときのみ、IPsecによるアクセスを許可する。この条件以外の場合はアクセスを拒否する。
図9および図10に戻り、アクセス条件に当てはまる場合、アクセス許可のコマンド(SAパラメータの提案)をイニシエータ側のネットワーク機器1Aに送信する(ステップS117)。
次いで、イニシエータ側のネットワーク機器1Aから秘密鍵で署名したイニシエータのIDおよび証明書情報を受信する(ステップS118)。このとき、レスポンダはこのIDに対する本人性確認をするために、このIDに対するハッシュ値の計算を実施し、この送付されたIDとレスポンダ側が保持するIDとその公開鍵とで署名が正しいかどうかを確認することにより本人認証を実施し、Phase1の処理を終了する(ステップS120)。これにより、続くPhase2以降で実際の暗号化通信を実施できるようにすることが可能となる。予めIDに対してアクセスコントロールを設定することにより、以降時間のかかるIPsecのための共通鍵の作成計算を必要としないアクセスコントロールを実施することができる。
また、IDが存在しなかった場合もしくはアクセス条件に当てはまらなかった場合は、アクセス破棄のコマンドを送信し(ステップS119)、処理を終了する(ステップS120)。
一方、上記のレスポンダでの処理におけるIDデータベースD1もしくはアクセスデータベースD2の検索においては、IDが完全に一致しない場合であっても次のように処理することができる。すなわち、図3のIDデータベースD1においては「saru@banana.com」のように名前付きFQDN(Fully Qualified Domain Name)で指定されており、図4のアクセスデータベースD2では「banana.com」のようにドメイン名のみが指定されている場合がある。この場合、完全一致ではないが、ドメイン名が一致したユーザに対しては図4のアクセスデータベースD2に示される内容でアクセスできるようにする。その他、X.500で定義されたDN(Distinguished Name)、FQDN等についても同様である。
また、上記のレスポンダでの処理におけるIDデータベースD1、アクセスデータベースD2をレスポンダに保持せずに、図1に示した外部サーバ2に保持させることができる。この場合、イニシエータからIKEのデータ通信があった場合、アクセスされたIDを外部サーバ2に対して送付する。外部サーバ2は、IDデータベースD1およびアクセスデータベースD2を保持してあり、その内容と照らし合わせて、アクセス可能かどうかの結果をレスポンダに返す。レスポンダはその結果によりIPsecの処理を提供する。これにより、レスポンダ側のネットワーク機器1Bでは外部サーバ2を指定するだけでレスポンダ側へのアクセスコントロールを実現することができる。
図11はID/ポート関連付けの処理例を示すシーケンス図である。Phase1が終了し、イニシエータ、レスポンダのお互いの認証が終了したときに、お互いの認証と同時に、認証されたものからセキュリティポリシーを参照する。例えば、あるIPアドレスやIPアドレスのサブネットとの通信には、TCP(Transmission Control Protocol)のみをIPsecにしたり、TCPのあるポートのみをIPsecしたりすることでアクセスコントロールを実施することができる。
図11において、イニシエータ側のネットワーク機器1AからConfiuration Methodによって、Phase1のIDとUDP(User Datagram Protocol)等のポート番号を送信する(ステップS121)。
レスポンダ側のネットワーク機器1Bでは、グループセキュリティポリシーデータベースD3(図5)およびID/グループ対応データベースD4(図6)を参照することで、ユーザのIDと識別ポートとの対応関係を把握し、IPsecアクセスデータベースD5(図7)を生成する。そして、レスポンダ側のネットワーク機器1Bはレスポンスを発し(ステップS122)、イニシエータ側のネットワーク機器1Aはそのレスポンスを受け取る。
これにより、IPアドレスやIPアドレスのサブネットとは別に、IPsecによるSAを、IDとUDPポートを関連図けることにより、IDによる識別を可能とする。図12はUDPヘッダを付加したIPsecパケットの例を示す図であり、このパケットをIPsecのSAとして処理する。通常IPsecの識別には、IPアドレスを利用するが、IKEで認証した識別子に対して、IPsec上でもユーザによるアクセスコントロールを実現することができる。また、アクセスコントロールをグループ毎に管理することができる。なお、TCPにも同様に適用することができる。
図13はIKE Phase2の処理例を示すシーケンス図である。
図13において、イニシエータ側のネットワーク機器1AからSAパラメータの提案を行い(ステップS131)、レスポンダ側のネットワーク機器1Bはこれを受け取る。
次いで、レスポンダ側のネットワーク機器1BからもSAパラメータの提案を行い(ステップS132)、イニシエータ側のネットワーク機器1Aはこれを受け取る。
次いで、イニシエータ側のネットワーク機器1AからイニシエータのIDおよび認証情報を送信し(ステップS133)、Phase2の処理を終了する。
その後、上述したIPsecアクセスデータベースD5(図7)の内容に基づき、IPsec通信が行われる。
以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により本発明が限定されるものと解釈してはならない。
本発明のネットワーク機器を用いたネットワークシステムの一実施形態を示す全体構成図である。 レスポンダ側のネットワーク機器の内部構成例を示す図である。 IDデータベースの例を示す図である。 アクセスデータベースの例を示す図である。 グループセキュリティポリシーデータベースの例を示す図である。 ID/グループ対応データベースの例を示す図である。 IPsecアクセスデータベースの例を示す図である。 実施形態の全体的な処理例を示すフローチャートである。 IKE Phase1の処理例を示すシーケンス図である。 IKE Phase1におけるレスポンダ側のネットワーク機器の処理例を示すフローチャートである。 ID/ポート関連付けの処理例を示すシーケンス図である。 UDPヘッダを付加したIPsecパケットの例を示す図である。 IKE Phase2の処理例を示すシーケンス図である。
符号の説明
1A、1B ネットワーク機器
11 Phase1処理部
12 アクセス条件確認部
13 ID/ポート関連付け設定部
14 Phase2処理部
15 IPsec通信処理部
D1 IDデータベース
D2 アクセスデータベース
D3 グループセキュリティポリシーデータベース
D4 ID/グループ対応データベース
D5 IPsecアクセスデータベース
2 外部サーバ
3 ネットワーク

Claims (8)

  1. ネットワークに接続され、暗号化手段を有し、暗号化通信のレスポンダとなる末端のネットワーク機器であって、
    暗号化共有鍵を生成するための処理に際し、イニシエータから当該イニシエータのユーザのIDを取得し、データベースを参照してアクセス可能であるか否か判断する手段と、
    アクセス可能であると判断された場合に、上記イニシエータから通信に使用するポート識別子を取得し、IDとアクセスグループとを対応付けたID/グループ対応データベースと、送信元のアクセスグループとポート識別子とセキュリティ設定内容とを対応付けたグループセキュリティポリシデータベースとから、IDとポート識別子とセキュリティ設定内容とを関連付けて設定する手段とを備えたことを特徴とするネットワーク機器。
  2. 請求項1に記載のネットワーク機器において、
    上記のIDを判断するにあたり、当該IDの一部を利用して登録情報との一致を判断することを特徴とするネットワーク機器。
  3. 請求項1または2のいずれか一項に記載のネットワーク機器において、
    レスポンダ側にアクセスコントロールのデータベースを保持することを特徴とするネットワーク機器。
  4. 請求項1または2のいずれか一項に記載のネットワーク機器において、
    レスポンダ側にアクセスコントロールのデータベースを保持せず、サーバ機器に対して問い合わせを行い、当該サーバ機器でアクセスコントロールの判断を行い、その結果をレスポンダ側で取得することを特徴とするネットワーク機器。
  5. ネットワークに接続され、暗号化手段を有し、暗号化通信のレスポンダとなる末端のネットワーク機器のアクセス制御方法であって、
    暗号化共有鍵を生成するための処理に際し、イニシエータから当該イニシエータのユーザのIDを取得し、データベースを参照してアクセス可能であるか否か判断する工程と、
    アクセス可能であると判断された場合に、上記イニシエータから通信に使用するポート識別子を取得し、IDとアクセスグループとを対応付けたID/グループ対応データベースと、送信元のアクセスグループとポート識別子とセキュリティ設定内容とを対応付けたグループセキュリティポリシデータベースとから、IDとポート識別子とセキュリティ設定内容とを関連付けて設定する工程とを備えたことを特徴とするネットワーク機器のアクセス制御方法。
  6. 請求項に記載のネットワーク機器のアクセス制御方法において、
    上記のIDを判断するにあたり、当該IDの一部を利用して登録情報との一致を判断することを特徴とするネットワーク機器のアクセス制御方法。
  7. 請求項またはのいずれか一項に記載のネットワーク機器のアクセス制御方法において、
    レスポンダ側にアクセスコントロールのデータベースを保持することを特徴とするネットワーク機器のアクセス制御方法。
  8. 請求項またはのいずれか一項に記載のネットワーク機器のアクセス制御方法において、
    レスポンダ側にアクセスコントロールのデータベースを保持せず、サーバ機器に対して問い合わせを行い、当該サーバ機器でアクセスコントロールの判断を行い、その結果をレスポンダ側で取得することを特徴とするネットワーク機器のアクセス制御方法。
JP2006075644A 2006-03-17 2006-03-17 ネットワーク機器 Expired - Fee Related JP4994683B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006075644A JP4994683B2 (ja) 2006-03-17 2006-03-17 ネットワーク機器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006075644A JP4994683B2 (ja) 2006-03-17 2006-03-17 ネットワーク機器

Publications (3)

Publication Number Publication Date
JP2007251842A JP2007251842A (ja) 2007-09-27
JP2007251842A5 JP2007251842A5 (ja) 2009-04-09
JP4994683B2 true JP4994683B2 (ja) 2012-08-08

Family

ID=38595624

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006075644A Expired - Fee Related JP4994683B2 (ja) 2006-03-17 2006-03-17 ネットワーク機器

Country Status (1)

Country Link
JP (1) JP4994683B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011199340A (ja) * 2010-03-17 2011-10-06 Fujitsu Ltd 通信装置及び方法、並びに通信システム

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4130809B2 (ja) * 2003-11-04 2008-08-06 エヌ・ティ・ティ・コミュニケーションズ株式会社 端末間の暗号化通信チャネルを構築する方法及びそのための装置並びにプログラム
JP2001298449A (ja) * 2000-04-12 2001-10-26 Matsushita Electric Ind Co Ltd セキュリティ通信方法、通信システム及びその装置
JP4253520B2 (ja) * 2003-03-19 2009-04-15 株式会社日立製作所 ネットワーク認証装置及びネットワーク認証システム
JP2003115834A (ja) * 2001-10-05 2003-04-18 Mitsubishi Electric Corp セキュリティアソシエーション切断/継続方法および通信システム
JP2004062417A (ja) * 2002-07-26 2004-02-26 Nippon Telegr & Teleph Corp <Ntt> 認証サーバ装置、サーバ装置、およびゲートウェイ装置
JP4159328B2 (ja) * 2002-09-11 2008-10-01 Necインフロンティア株式会社 ネットワーク、IPsec設定サーバ装置、IPsec処理装置及びそれらに用いるIPsec設定方法
JP2005167608A (ja) * 2003-12-02 2005-06-23 Canon Inc 暗号通信装置、暗号通信方法、コンピュータプログラム、及びコンピュータ読み取り可能な記録媒体
JP2005175825A (ja) * 2003-12-10 2005-06-30 Ntt Data Corp 暗号化パケットフィルタリング装置およびそのプログラム、ならびにホスト装置
JP2006019824A (ja) * 2004-06-30 2006-01-19 Kddi Corp セキュア通信システム、管理装置および通信端末
JP4351123B2 (ja) * 2004-08-24 2009-10-28 株式会社日立コミュニケーションテクノロジー ユーザ識別子の管理方法、モバイルipエージェント及びホームエージェント
JP2006352710A (ja) * 2005-06-17 2006-12-28 Ntt Communications Kk パケット中継装置及びプログラム
JP4648148B2 (ja) * 2005-09-30 2011-03-09 富士通株式会社 接続支援装置
JP4874037B2 (ja) * 2006-09-12 2012-02-08 株式会社リコー ネットワーク機器

Also Published As

Publication number Publication date
JP2007251842A (ja) 2007-09-27

Similar Documents

Publication Publication Date Title
JP3912609B2 (ja) リモートアクセスvpn仲介方法及び仲介装置
JP4033868B2 (ja) IPv6ネットワークで認証を処理する方法及びその装置
Winter et al. Transport layer security (TLS) encryption for RADIUS
US7853783B2 (en) Method and apparatus for secure communication between user equipment and private network
JP4766574B2 (ja) ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止
US7003662B2 (en) System and method for dynamically determining CRL locations and access methods
US6938155B2 (en) System and method for multiple virtual private network authentication schemes
US20190239068A1 (en) Registration of an Internet of Things (IoT) Device Using a Physically Uncloneable Function
US20100077204A1 (en) Information processing apparatus, management apparatus, communication system and computer readable medium
US20060174120A1 (en) System and method for providing peer-to-peer communication
JP2009111437A (ja) ネットワークシステム
JP2008536418A (ja) ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止
JPWO2002067512A1 (ja) 通信のセキュリティを確保するためのパケットフィルタリング方法およびパケット通信システム
US20240195790A1 (en) Centralized management of private networks
JP4994683B2 (ja) ネットワーク機器
JP4426443B2 (ja) ネットワークを経て通信するための改善セキュリティ方法及び装置
JP2011054182A (ja) ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体
US12021837B2 (en) Network access system for detecting intrusions over a network
JP4874037B2 (ja) ネットワーク機器
JP2008199420A (ja) ゲートウェイ装置および認証処理方法
JP2005079921A (ja) 通信装置、アドレス生成方法、プログラム、及び記憶媒体
JP6752578B2 (ja) 通信装置、通信装置の制御方法およびプログラム
Winter et al. RFC 6614: Transport Layer Security (TLS) Encryption for RADIUS
Marin-Lopez et al. RFC 9061: A YANG Data Model for IPsec Flow Protection Based on Software-Defined Networking (SDN)

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090219

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110830

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111021

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120410

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120509

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150518

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4994683

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees