JP5047536B2 - プロトコル汎用の傍受用ネットワーク装置 - Google Patents

プロトコル汎用の傍受用ネットワーク装置 Download PDF

Info

Publication number
JP5047536B2
JP5047536B2 JP2006127579A JP2006127579A JP5047536B2 JP 5047536 B2 JP5047536 B2 JP 5047536B2 JP 2006127579 A JP2006127579 A JP 2006127579A JP 2006127579 A JP2006127579 A JP 2006127579A JP 5047536 B2 JP5047536 B2 JP 5047536B2
Authority
JP
Japan
Prior art keywords
packet
payload
content
intercepting device
intercepting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006127579A
Other languages
English (en)
Other versions
JP2006319973A (ja
Inventor
スラオーミール・ケー・イリニキ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Agilent Technologies Inc
Original Assignee
Agilent Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Agilent Technologies Inc filed Critical Agilent Technologies Inc
Publication of JP2006319973A publication Critical patent/JP2006319973A/ja
Application granted granted Critical
Publication of JP5047536B2 publication Critical patent/JP5047536B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Description

本発明は、プロトコル汎用のネットワーク傍受に関する。
今日、通信網は広く使用されている。インターネットおよびその他の広域通信網(WAN)、ローカルエリア通信網(LAN)、電話通信網、無線通信網を含む(しかし限定されない)種々のタイプの通信網が存在している。さらに今日、多くの異なる通信プロトコルが存在する。情報はしばしば、ソース(送信元)から通信網を横断して1つまたは複数の宛先へ通信される。さらに、このような通信網に沿った通信をモニタリングするために、該通信網内にモニタリング装置を実装することができる。このようなモニタリング装置は、一般に、通信の当事者ではなく、通信網の性能モニタリングおよびテストのように、何らかの理由で通信をモニタリングしているので、「傍受装置(eavesdropping device)」と呼ばれることができる。たとえば、傍受装置は、通信網に沿って送られたパケットを捕捉して分析し、および/または、通信網の性能のモニタリングに使用するためのタイムスタンプをこれらパケット内に挿入する。
従来、傍受装置を含む特定のネットワーク装置にパケットを送信する時、所定の形態の通信アドレス指定が用いられる。該装置は、たとえばデータリンク層アドレス(たとえばイーサネットアドレス)、またはネットワーク層アドレス(たとえばIPアドレス)のいずれかによって明示的にアドレス指定されることができる。このような方式では、傍受ネットワーク装置を含む任意のネットワーク装置は、ネットワークアドレス指定可能でなければならない。ネットワークの或る位置から(たとえばデータソースから)能動的なテストが行われており、宛先が或る所定の位置になっている場合(たとえばデータ宛先)、該ソースは、その宛先に到達するのにデータリンク層またはネットワーク層のアドレスを使用する必要がある。従来の方式では、宛先が傍受装置である場合、該傍受装置は、ネットワークアドレスを有する必要がある。傍受装置の正確なアドレスがあらかじめわかっていない場合には、ソースは、例として、マルチキャストアドレスまたはブロードキャストアドレスを使用することができる。しかし、ブロードキャストアドレスおよびマルチキャストアドレスの使用が許可されない場合や、実用的でない場合が多いことに注意されたい。
場合によっては、傍受装置が、ソースから、該傍受装置以外の宛先に向けられた通信を受信することを所望する場合がある。すなわち、傍受装置が、該傍受装置自体にアドレス指定された通信ではなく、別の宛先にアドレス指定された通信を受信することを所望する場合がある。このような場合、パケットが傍受装置に向けられることは必要とされず、傍受装置は、ソースから所望の宛先に向かう経路に沿って通信されているパケットをモニタリングすることがある。場合によっては、傍受装置に、一意的なネットワークアドレスが割り当てられないことが望ましいこともある。たとえば、通信網上の装置に必要なIPアドレスの合計数を最小限にするために、一部の装置は、一意的なIPアドレスを割り当てられないことがある。たとえば、多数のポートを有するルータは、各ポートに別々のIPアドレスを割り当てるのではなく、単一のIPアドレスを割り当てる場合がある。
したがって、傍受装置が、目的とするパケットを識別できるようにするのが望ましい。たとえば、所定のパケットは、傍受装置が、自身の構成を分析、テストおよび変更等するための所望の情報を含むことができる。こうして、傍受装置が使用しようとする情報が、通信網全体で通信されるパケットに含めることができる。
従来、傍受装置は、パケットのヘッダに含まれる情報を評価し、傍受装置が目的とするパケットを識別する。このようなパケットは、たとえば、傍受装置のためのテスト情報、構成情報、および/または他の情報を含む。たとえば、パケットフィルタは、IP宛先アドレスを、装置IPアドレスと一致させる。別の例として、イーサネット装置では、フレームフィルタが、捕捉されたフレーム内の宛先MACアドレスが装置MACアドレスに一致するかどうかをチェックすることができる。これらのアドレスは、対応するヘッダの特定の位置にあり、このことは当業界ではよく知られている。たとえばイーサネットでは、宛先MACアドレスは、フレームの最初の6バイトである。これは、傍受装置が、捕捉するパケットによって使用されるプロトコルに関する知識を用いて実現されることを必要とする。すなわち傍受装置は、種々のプロトコルに従ってパケットに含まれるヘッダ情報を正確に評価することができるように、遭遇する通信プロトコルを理解する機能を有していなければならない。多くのプロトコルが存在し、プロトコルは不断に変化ないし開発されているので、そのことが、目的のパケットを識別するために、種々のプロトコルのうちの任意のプロトコルを介して通信されるパケットを評価する機能を有するよう傍受装置を実装/更新する際の重荷になっている。
従って、従来の傍受装置は、遭遇しうるプロトコルに関する知識を有するように実現されなければならない。このため装置の複雑さが増し、大きさも大きくなり処理時間も増えるので、望ましくない。さらに、このような複雑さは、傍受装置の製造に必要な時間およびリソースを増加させる。
本発明の実施形態は、通信網上で通信されるトラフィックをモニタリングし、該トラフィック内で、傍受装置が目的とするパケットを識別することができる、プロトコル汎用(すなわち「プロトコルを意識しない」)の傍受装置を提供する。さらに、本明細書に説明するように、パケット識別およびパケット認証を可能にする手法も提供される。さらに、本明細書に説明するように、所定の実施形態では、このような「パケット認証」は、パケット全体を認証するのではなく、傍受装置のためのIDおよび内容(コンテンツ)だけを認証する。こうして、傍受装置は、目的とする(of interest)パケットを識別して、識別情報および該傍受装置が目的とする情報を認証することができる。本発明の実施形態は、プロトコル汎用であり、傍受装置が目的とするパケットを識別して認証するために、傍受装置は、使用されている通信プロトコルに関して事前の知識を有する必要がない。したがって、傍受装置を変更することなく、プロトコル汎用の該傍受装置を使用して、該傍受装置を、通信網上で使用されている任意の通信プロトコルに対して動的に適応させることができる。
さらに詳述するように、パケットを、傍受装置が目的とするパケットとして識別するために、プロトコルに固有の方式でパケット内に情報(たとえばパケットのヘッダ)を含めるのではなく、本発明の実施形態は、プロトコル汎用の方式で、識別子を含める。たとえば、識別子は、パケットのペイロード(payload)に含めることができる。一部の実施形態では、傍受装置は、捕捉したパケットのペイロードを識別子に関してスキャンし、該識別子を認識する際に、該パケットを認証するための技術を使用することができる。
一実施形態では、本方法は、通信網上で通信されたパケットを傍受装置が捕捉することを含む。傍受装置は、パケットのペイロードをスキャンし、傍受装置が目的とする内容をパケットが含むことを識別する識別子を、該パケットのペイロードが含むかどうかを判断する。少なくとも一部の手法では、パケットのペイロードがこのような識別子を含むとの判断に基づいて、傍受装置は、該パケットのペイロード内に含まれる内容を使用する。
一実施形態では、本方法は、傍受装置のための内容(コンテンツ)を含むパケットを形成することを含む。ここで、パケットは、ヘッダ部分およびペイロード部分を含む。ペイロード部分は、a)傍受装置のための内容(コンテンツ)をパケットが含むことを識別する所定の識別子と、b)該傍受装置のための該内容と、c)該所定の識別子および該傍受装置のための該内容を認証する認証トークンと、を含む。本方法はさらに、通信網を介してパケットを宛先に転送することを含む。一部の実施形態では、パケットを転送する宛先は、傍受装置以外の宛先である。ここで、傍受装置は、このパケットを傍受し、このパケットが該傍受装置のための内容を含むことを認識する。
上記は、次の本発明の詳細な説明をよりよく理解するために、本発明の特徴の概要を示したものである。次に、本発明の請求項の主題を形成する、本発明の別の特徴および利点を記述する。開示された概念および特定の実施形態は、本発明と同じ目的を実行するように他の構成を修正または設計する基礎としても容易に使用できることが理解されるであろう。また、このような等価の構成も、請求項に示す本発明から離れるものではないことを理解されたい。本発明の構成と方法の両方について、本発明に特徴的と考えられる新規な特徴、および、別の目的と利点は、図面と共に次の説明を読めばよりよく理解されるであろう。各図は図示と説明のために提供されたものに過ぎず、本発明の限定を定義することを目的としているわけではなことを理解されたい。
本発明をよりよく理解するために、図面と共に説明する。
本発明の実施形態は、通信網上で通信されるトラフィックをモニタリングし、このトラフィック内で、傍受装置が目的とするパケットを識別する機能を有するプロトコル汎用(protocol-generic, すなわち「プロトコルを意識しない(protocol-unaware)」)な傍受装置を提供する。さらに、本明細書に説明するように、パケット識別およびパケット認証を可能にする手法が提供される。すなわち、傍受装置は、目的とするパケットを識別し、このパケットを認証することができる。本発明の実施形態は、プロトコル汎用であるので、目的のパケットを識別して該パケットを認証するために、使用される通信プロトコルに関する知識を傍受装置があらかじめ有する必要がない。したがって、傍受装置を変更する必要なくして、プロトコル汎用な該傍受装置を使用して、該傍受装置を、通信網上で使用することのできる任意の通信プロトコルに対して動的に適応させることができる。
以下に詳細に説明するように、本発明の実施形態は、傍受装置が目的とするパケットを識別するために、プロトコルに固有の方式でパケット内に情報(たとえばパケットのヘッダ)を含めるのではなく、プロトコル汎用な方式で、識別子を含む。たとえば、識別子を、パケットのペイロードに含めることができる。一部の実施形態では、傍受装置は、捕捉したパケットのペイロードを識別子についてスキャンし、該識別子を認識する際、パケット認証技術を使用することができる。
一部の実施形態では、傍受装置のための(傍受装置用の)情報は、「パケット内のパケット(a packet within the packet)」と考えることができる。すなわち、傍受装置用に意図された、パケットのペイロードの部分を、1つのパケットとして考える。ここで、パケット全体は、「搬送パケット(carrying packet)」(または「パースパケット(purse packet)」)と呼ばれ、パケット全体中の傍受装置用のパケット部分は、「埋め込みパケット(embedded packet)」(または「ウォレットパケット(wallet packet)」)と呼ばれる。ハンドバッグ(パース)が財布(ウォレットであり、これ自体が所定のアイテムを含む)を入れることができるように、パースパケットは、傍受装置用の情報を含むウォレットパケットを運ぶことができる。搬送パケットのウォレット部分(すなわち傍受装置用の部分)は、この搬送パケットのペイロードに含まれる識別子によって識別されることができる。搬送パケットのウォレット部分は、テスト情報または構成情報などの、傍受装置のための情報を含むことができる。したがって、搬送パケットのウォレット部分は、識別子(ID)と、傍受装置用の内容(コンテンツ)を含む。さらに、搬送パケットのウォレット部分を認証するために、認証技術を使用することができる。したがって、搬送パケットはさらに、該搬送パケットのウォレット部分を認証するのに使用することのできる認証トークンを含むことができる。本明細書にさらに説明するように、このような認証により、安全な動作を促進することができるとともに、遭遇するかもしれないフォルスポジティブ((false-positive);不正なものと正しいと判断してしまうこと)を回避することができる。
図1は、本発明の一実施形態を使用する典型的な例としてのシステム100を示す。システム100は、通信網103を介して通信できるように結合されるデータソース装置101および宛先装置102を含む。通信網103は、現在既知の、または今後開発される任意のタイプの通信網であってよい。この中には、インターネットおよび/または他のWAN、LAN、電話網、ワイヤレスネットワーク、およびこれらの任意の組み合わせが含まれるが、これらに限定されるものではない。好ましくは、通信網103は、パケット交換網である。この例では、2つの装置101および102が、通信網103を介して通信できるように結合されているが、任意の数の装置を接続できることを理解されたい。実際、通常では、この装置101および102の例について記述される手法で互いに通信できるように、多くの装置が通信網を介して通信できるように結合されている。さらにこの例では、装置101はソースとして示され、装置102は宛先として示されているが、他の例では、装置102がソースであり、装置101が宛先であるように、通信は双方向であってもよいことを理解されたい。プロトコル汎用の傍受装置104は、通信網103で使用され、この例では、ソース101から宛先102に送信されるパケット105のような、通信網103全体で伝送されるパケットをモニタリングする。
プロトコル汎用な傍受装置104は、ソース101から宛先102に進行するパケットを捕捉し(たとえば傍受し)、該捕捉したパケットが、テスト情報または構成(configuration)情報などの、傍受装置が目的とする情報を含むかどうかを判断する機能を有する。図1の例では、パケット105が、ソース101から宛先102に移動するテスト/構成パケットであると仮定する。パケット105は、宛先102に向かう途中で、プロトコル汎用傍受装置(または「プローブ(probe)」)104によって傍受される。プロトコル汎用傍受装置104は、パケットのペイロードに埋め込まれているIDをスキャンして発見することによって、パケット105が、特別なテスト/構成パケットであると認識する。このようなIDは、パケットのソースによって該パケットのペイロードに挿入されることができる。たとえば、ソース101(これは、傍受装置であってもよい)は、通過するパケットをクローン化(複製を作る)し、IDと、傍受装置104用の他の情報とを挿入することによって、その内容(ペイロード)を変更することができる。
図2には、一実施形態に従う、パケット105の典型的な構成が、パケット105として示されている。パケット105は、通常のパケットに含まれるのと同様に、パケットヘッダ201を含む。パケット105はさらに、ID202と、それに続く、傍受装置104用の内容(コンテンツ)203を含む。上記のように、パケット105は、搬送パケットまたはパースパケットと呼ばれ、パケット105の部分202および203は、埋め込みパケットまたはウォレットパケットと呼ばれる。また、パケット105は、部分202および203を認証するための認証トークン204を含む。この例では、認証トークン204は、HMAC(ハッシュに基づくメッセージ認証コード)の認証トークンである。これは、後述するように、既知の認証技術を使用して生成される。当然ながら、他の実施形態では、現在既知の、または今後開発される任意の他の認証技術を使用することもできる。
本発明の実施形態は、既存の方法を無効にするものではなく、パケットのペイロードに埋め込まれた所定の形態のアイデンティティ(identity)によって識別されることのできる、傍受装置用の特別なパケットを定めることにより、既存の方法を拡張するものであることを理解されたい。たとえば、プロトコル汎用傍受装置104が、テスト/構成パケット105を特別なパケットとして認識できるようにするために、傍受装置104は、パケットを特別なものとして識別するためにソース101によって挿入されることのできるID(複数可)202を知っている(たとえば、既知のIDを傍受装置にローカルに記憶させ、受信したパケットに含まれるIDとの比較に使用することができる)。任意の適切なタイプの識別情報を、ID(複数可)202として使用することができる。たとえば、ID202は、特定のプローブの一意的なMACアドレスであってもよいし、または、プローブの集まり(community)をアドレス指定するマルチキャストMACアドレスであってもよい。この実施形態では、ソース101およびプローブ(複数可)は、パケット内のどこにID202が挿入されるかを知っており、かつそれを見つける方法を知っているように実現される。IDは、パケットのペイロードに挿入されると共に既知のストリングで区別される、バイトのストリングまたは任意のパターン(これは「フィンガープリント(fingerprint)」と呼ばれることもある)でよい。たとえば、IDは、「GBIC」で始まり「CIBG」で終わるストリングを含むことができる。同様に、一部の実施形態では、XML/HTMLで使用されるタグと同様に、IDは、内容203の前の部分と内容203の終わりの部分に、このようなIDの一部をそれぞれ含んでもよい。たとえば、「GBIC」は、内容203の開始を示すIDであり、「CIBG」は、内容203の終わりを示すことができる。ここで、開始IDと終了IDの両方がある場合にのみ、そのパケットを、目的とする「特別な」パケットとする。別の例として、ID202は、フレーム/パケットまたは特定のパケットのヘッダの始まりの部分から、既知のオフセットされた所、または該オフセットを超えた所に配置されるパターンであってもよい。このような実装では、ID202は、オフセットされた所に正確に挿入される必要はなく、該オフセットを超えた位置に挿入してもよい点を理解されたい。この場合、プロトコル汎用傍受装置104は、そのようなオフセットの後ろのパケット部分から検索を開始してID202を探すように、実装されることができる。言いかえれば、プロトコル汎用傍受装置104は、パケットのオフセットポイントから開始してパターンマッチングを行い、ID202を見つけられるかどうかを判断することができる。一部の実施形態では、ID202の大きさ(サイズ)は、特定のIDについて固定としてもよく、またはすべての起こりうるタイプのIDについて固定としてもよい。当然ながら、IDの区画(境界、demarcation)を使用する一部の実施形態などでは、オフセット位置およびIDの大きさは、特別なものとして識別されるパケットについて、あらかじめ定めておく必要はない。
一実施形態の動作においては、傍受するプロトコル汎用傍受装置104は、捕捉したパケット105AのペイロードをスキャンしてID202を探し、最初の一致(マッチング)だけで停止するであろう。したがって一部の実施形態では、ID202をパケット105に挿入するとき、ソース101は、ID202とパケットスキャン領域の開始部分との間のスペースが、特別なIDと間違って識別される何らかの情報を含まないようにする。一実施形態では、ソース101は、間違ってIDと識別される可能性のあるスペースを、ヌル(null)のバイトで満たしてもよい。しかし、このようにパケットの一部を修正することは必ずしも可能でもないし望ましくもなく、このような技術を使用することが適切であるかどうかは、使用する認証技術にも依存しうる。一部の実施形態では、このようなオフセットのヌルバイトを使用する代わりに、またはこのような使用に加え、認証技術を使用して、間違ったIDを認識しようとしていることを傍受装置に通知する。すなわち、真のIDの前にパケット内にフォルスポジティブな(false-positive;不正なものを正しいと判断してしまう)IDが存在する場合、該フォルスポジティブIDに続く内容(コンテンツ)は、トークン204によって認証されなくなってしまう。したがって、傍受装置は、フォルスポジティブIDが真ではないことを検出し、認証すべき真のIDに到達するまで、またはパケットの終わりに到達するまで、他のIDについてパケットスキャンを継続する。
テスト/構成パケット105については、パケットヘッダ201が、パケットが通るルータまたはネットワーク装置のIPアドレスを含むことがある点に注意されたい。プロトコル汎用傍受装置104がパケットを傍受したとき、該傍受装置104は、ペイロードをスキャンしてID202を探す。パケット105内のIDが、傍受装置104に既知のID(複数可)と一致することにより、傍受装置104は、このパケットを特別なテスト/構成パケットとして認識し、ID202に続くテスト/構成内容に対して作用することができる。IDフィールド202は、この場合も、任意のタイプの識別子として実装されることができる。一例として、ID202は、MACアドレスとVLAN IDの組合せであってもよい。たとえばMACアドレスがブロードキャストであり、VLAN IDが傍受装置のVLAN IDと一致する場合、同じVLANに属する傍受装置によって処理されることのできる特別なテスト/構成パケットとして、該パケットを認識することができる。
ID202に続くパケットペイロード内には、傍受装置に既知のフォーマットを有するテスト/構成の内容(コンテンツ)などの、傍受装置用の情報203(すなわち、傍受装置が目的とする情報)がある。たとえば、このような内容203は、テスト/構成の内容の大きさ(サイズ)、それに続く動作コード、シーケンス番号、タイムスタンプ、アクティブなテストパケットの測定遅延に関する他の属性であることができる。内容203に続く認証トークン(たとえばHMAC認証トークン)204は、少なくとも部分的に、フォルスポジティブを除くために使用される。これについては後述する。
パケットのペイロードのスキャン中に、偶然、通常のパケットの内容が、プロトコル汎用傍受装置104に既知のIDのうちの1つと一致する場合がある。これにより、傍受装置104は、一致した値に続くデータが、目的の情報(たとえばテストまたは構成データ)を表すと考えてしまう。このようなフォルスポジティブを防ぐために、パケットペイロードは、さらに、認証トークン204を含むことができる。一実施形態では、よく知られた認証技術であるパケットのHMAC認証を使用する。一実施形態では、この認証は、パケット105Aの「ウォレット」部分だけについて行われる。すなわち、パケット105のID202および内容203部分を認証する。この認証は、パケットペイロードと共にハッシュ(hash)された共有シークレット(shared secret)に基づいてもよい。一実施形態では、HMAC認証は、パケットをテスト/構成パケットとしてポジティブに識別するだけでなく、これらが正当なソース101から来たことを識別する。一実施形態では、共有シークレットが、テスト/構成パケット105Aのソース(図1のソース101)と、プロトコル汎用傍受装置104との間で共有されることに注意されたい。パケットを特別なものとして識別するために、HMAC認証ハッシュは、ルーティングの最中に変化しないパケットヘッダ情報を含むことができるが、HMAC認証トークンに続くパケットペイロードは含まない。これは、たとえば、IPヘッダTTL(存続時間(time to live)は、ホップ(hop)からホップで変化するので、この例ではハッシュ内に含まれない、ということを意味する。実現を簡単にするために、すなわち、すべてのフィールドに注意を払う必要をなくすために、ソース101は、パケットヘッダをペイロードにコピーするだけでよい。その後、傍受装置104は、HMAC認証だけでなく、ペイロード内のパケットヘッダが実際のパケットヘッダの部分と一致するかどうかを検証してもよい。この保護形態は、攻撃者が自分のパケットを使用して内容をカットアンドペーストする偽装攻撃に対する保護である。
データパケットの内容は、多くの方法で認証されることができることを理解されたい。HMACは一例としての技術であり、基本的には、何らかの共有シークレットでデータペイロードをハッシュすることである。ここでも同様に、本発明の実施形態は、このようなHMAC認証技術に制限されるものではない。
図3は、本発明の一実施形態に従う動作フロー図を示す。動作ブロック301では、傍受装置104は、ソース101から、傍受装置以外の宛先102に向けて、通信網103上で通信されるパケット105を捕捉する。動作ブロック302では、傍受装置104は、該捕捉したパケットのペイロードをスキャンし、所定の識別子202を検索する。動作ブロック303では、傍受装置104は、該所定の識別子202がパケットのペイロードで発見されるかどうかを判断する。このような所定の識別子202が見つからない場合、動作はブロック304に進んで、パケットの終わりに達したかどうかを判断する。まだパケットの終わりに達していない場合、動作はブロック302に戻り、傍受装置は、パケットのスキャンを続ける。パケットの終わりに達している場合、パケットが、傍受装置の目的とする情報を含んでいなかったと考えられ、動作はブロック302に戻って、次のパケットを捕捉する。
一実施形態によれば、傍受装置は、見つけたハッシュID202に続く内容203の読み取りを開始し、認証トークン204に到着するまでこれを継続する。傍受装置が、各ハッシュバイトに関して認証トークン204が存在する場所をあらかじめ知らない場合、続いているバイトが認証トークンを表すかどうかをチェックする。この場合、該装置は、新しいバイトが読まれるたびに、共有シークレットによる生成物(product)をハッシュして、それを、その後に続くバイトと比較しなければならないため、非常に時間のかかるプロセスになる。本発明のこの実施形態の典型的な応用では、ID202は、内容203の大きさ(サイズ)および認証トークン204を探す場所を示す。したがって、ID202は、傍受装置の目的である内容を含んでいることを識別する情報を含むだけではなく、内容203の長さを指定すると共に認証トークン204を見つける場所を指定するものとして傍受装置が理解できる情報の所定の可変フィールドを含む。所定の識別子202がパケットのペイロード内に見つかった場合、動作は、ブロック303からブロック305に進む。ブロック305では、傍受装置は、パケットのペイロードに含まれる認証トークン204を使用してパケットを認証する。動作ブロック305では、傍受装置は、パケットのIDおよび内容が正常に認証されたかどうかを判断する。認証されていなければ、動作はブロック302に戻り、パケット内で前のIDが見つかった位置の後ろからスキャンを続け、別の(真の)IDが含まれているかどうかを判断する。FPGAまたはASIC実装では、IDが見つかるたびに並列ハッシュを行うことができる。
IDおよびパケットの内容が正常に認証されると、動作はブロック306から307に進む。ブロック307では、傍受装置は、パケットのペイロードが、傍受装置の目的である内容203を含むかどうかを判断する。これに応答して、何らかの方法で該目的の内容に対して操作(作用)する、または該目的の内容を使用するなどの、さらなる動作を行うよう、傍受装置をトリガしてもよい。たとえば、該内容を構成情報として使用してもよいし、および/または、それよりも前にノードによって挿入されたタイムスタンプを抽出し、1方向遅延を求めてもよい。たとえば、送信側プローブは、パケットペイロード内にシーケンス番号およびタイムスタンプを挿入することができ、シンク(下流)側プローブに知らせる動作コードを挿入することもできる。このような動作コードにより、シンクプローブは、パケットの最初の128バイトを得て、この情報を、該パケットがシンクプローブに到着したときのタイムスタンプと共に、或るデータ収集装置に送ることができる。該パケットの128バイトは、データ収集装置により分析され、このパケットが、何に関するものかを判断することができる。また、捕捉され分析された同じ種類の多くのパケットがデータ収集装置にある場合、データ収集装置は、シーケンス番号およびタイムスタンプから、パケット遅延、パケット遅延の変動およびパケット損失を判断することができる。プローブは、パケットが何についてのものかまったく知らなくてよい。動作はその後、ブロック301に戻り、ここで、傍受装置は、別のパケットを捕捉し、上記のプロセスが繰り返される。
上記のように、本発明の所定の実施形態は、テストまたは構成パケットとして傍受装置による処理を受けるパケットを識別するために、パケットヘッダ内にデータリンク層またはネットワーク層のアドレスを使用することを必要としない。テスト/構成パケットなどの目的のパケットを識別するために、傍受装置により使用されるプロトコル汎用技術が提供される。本発明の実施形態の一つの用途は、ソースからIPアドレスを介してネットワークアドレス指定できないネットワーク装置の構成について、である。たとえば、該装置は、IPアドレスがまだ構成されておらず、または、該装置が位置するサブネット上に利用可能な十分なIPアドレスがない場合がある。本明細書で使用する「傍受装置」という用語は、ネットワークアドレス指定できない任意のこのようなネットワーク装置、および、ネットワークアドレス指定できるが別の宛先に向けられたパケットを傍受する任意のネットワーク装置を含む。すなわち、図1の装置104は、これらいずれかのタイプの装置であってよい。たとえば、2つのルータのみをリンクするサブネット上で、該サブネットが2つのIPアドレスだけを許容することはよくある。このような場合、ネットワークアドレス指定可能な第3の装置を追加することはできない。既存の通信網のサブネット構造を変更することは大変な仕事で、IPアドレススペースは貴重なものであるので、可能でもなく望ましくもない場合がある。
例えば接続性、パケット遅延の変動、パケット損失を判断するのに使用することができる、今日行われる有効な性能テストは、特別なパケットヘッダを有するパケットを使用する場合がある。これらのパケットは、通信網を介して伝送される本当のパケットを表わさず、よって通信網のインフラストラクチャによって異なるように扱われることがある。たとえば、ping(ピング)ユーティリィティは、特定のUDPパケットを使用する。traceroute(トレースルート)ユーティリィティに関しても同じことが言える。しかしながら、本発明の実施形態では、実際のトラフィックを表すパケットヘッダも含め、任意のパケットヘッダの使用を可能にする。これは、アクティブなテストパケットが、実際の通常のトラフィックと同じ経路および同じルーティングルールに従うことを意味する。言いかえれば、本発明の実施形態により、パケットヘッダの内容とは関係なく、これらのパケットを、特別なテストパケットおよび構成パケットとして識別することを可能にする。さらに本発明の一部の実施形態によれば、特定の傍受装置で傍受されるための特別なパケットを送信する経路を、ソース101があらかじめ知る必要はない。これは、上記のように利用可能なIPアドレスがないために、ソース101が経路を知らない場合に有益である。従って、本発明の実施形態では、テストパケットが宛先に伝送され、これらのパケットが該経路上で種々のネットワーク装置(本明細書では「傍受装置」と呼んでいる)によって傍受され、該傍受装置によって該パケットがテストパケットと識別される、ことが可能となる。
本発明の一部の実施形態は、従来行われていたネットワーク装置のアドレス指定よりも柔軟な方法を有利に提供する。特別なテストパケットまたは構成パケットは、パケットヘッダにおいて、明示的に、データリンク層またはネットワーク層のアドレスを使用する必要がない。本発明の実施形態では、テストパケットは、パケットヘッダの視点から見ると、他の実際の通常のパケットのように見える。これは、このようなパケットが、実際の通常のトラフィック経路に従い、実際のトラフィックと同じルーティング規則に従うことを意味する。上述のように、本技術は、パケットを、傍受装置の目的とするパケットとして識別するプロトコル汎用方式を可能にする。
本発明の一実施形態では、上記の傍受装置の目的とする内容(コンテンツ)は、ソースによって該傍受装置宛てに送られるデータを含む。該データは、テストデータを含むことができる。また、該データは、該傍受装置を構成する構成データを含むことができる。
本発明および本発明の利点を詳細に説明したが、特許請求の範囲が定義する本発明から離れることなく、種々の変更、置換、変化が可能であることを理解されたい。さらに、本出願の範囲は、明細書に記述されたプロセス、機械、製造、組成、手段、方法、ステップの特定の実施形態に制限されることを意図するものではない。開示から容易に理解されるように、現在存在するかまたは今後開発され、本明細書に記述された対応する実施形態と実質的に同じ機能を行うかまたは実質的に同じ結果を達成するプロセス、機械、製造、組成、手段、方法、ステップも使用することができる。従って、特許請求の範囲は、このようなプロセス、機械、製造、組成、手段、方法、ステップも範囲内に含めることを意図するものである。
本発明の一実施形態を具体化する典型的なシステムを示す図。 本発明の一実施形態による通信パケットの典型的な構成を示す図。 本発明の一実施形態による動作フロー図。
符号の説明
100 システム
101 データソース装置
102 宛先装置
103 通信網
104 プロトコル汎用の傍受装置
105 パケット
202 ID
203 内容
204 トークン

Claims (22)

  1. 傍受装置が、通信網上で伝送されるパケットを捕捉するステップと、
    前記傍受装置が、前記パケットのペイロードをスキャンするステップと、
    前記傍受装置が、前記パケットのペイロード内に、該傍受装置が目的とする内容を含むパケットであることを識別するための識別子が含まれているかどうかを判断するステップと、
    前記傍受装置が、前記パケットのペイロード内に含まれる認証トークンを使用して、該パケットのペイロードを認証するステップであって、該認証は、
    前記パケットのペイロードのうちの画定された少なくとも一部分を共有シークレットとともにハッシュすることと、
    前記ハッシュした結果が前記認証トークンに一致した場合に、前記パケットのペイロードを認証することと、
    を含む、認証するステップと、
    前記パケットのペイロードが前記識別子を含むとの判断と、前記パケットのペイロードの認証と、に基づいて、前記傍受装置が、前記パケットのペイロード内に含まれる前記目的とする内容を使用するステップと、
    を含む方法。
  2. 前記パケットは、ソースから、前記傍受装置以外の宛先に送られる、請求項1に記載の方法。
  3. 前記パケットのペイロードが前記識別子を含み、前記パケットのペイロードが認証されたと判断した場合に、前記傍受装置が、前記目的とする内容を使用する、請求項1に記載の方法。
  4. 前記認証トークンが、前記パケット内の前記識別子および前記目的とする内容を認証する、請求項1に記載の方法。
  5. 前記目的とする内容は、ソースによって前記傍受装置宛てに送られるデータを含む、請求項1に記載の方法。
  6. 前記データは、テストデータを含む、請求項5に記載の方法。
  7. 前記テストデータは、前記ソースから前記傍受装置への前記パケットの伝送遅延を測定するためのデータを含む、請求項6に記載の方法。
  8. 前記データは、前記傍受装置を構成するための構成データを含む、請求項5に記載の方法。
  9. 通信網上で、ソースから、傍受装置とは別の宛先に向かうよう伝送されるパケットを、前記傍受装置が捕捉するステップと、
    前記傍受装置が、所定の識別子を検索するために、捕捉したパケットのペイロードをスキャンするステップと、
    前記捕捉したパケットに前記識別子があるとき、前記傍受装置は、前記捕捉したパケットのペイロードのうちの画定された少なくとも一部分を共有シークレットとともにハッシュし、該ハッシュした結果が、前記パケットのペイロードに含まれる認証トークンに一致した場合に前記捕捉したパケットを認証するステップと、
    認証した場合、前記傍受装置は、対応する前記パケットのペイロードには前記傍受装置が目的とする内容が含まれる、と判断するステップと、
    を含む方法。
  10. 認証され前記識別子が見出された前記パケットのペイロード内に含まれる前記目的とする内容を前記傍受装置が使用するステップをさらに含む、請求項9に記載の方法。
  11. 前記使用するステップが、前記傍受装置を構成するために前記目的とする内容を使用するステップを含む、請求項10に記載の方法。
  12. 前記使用するステップが、前記目的とする内容をテスト用に使用するステップを含む、請求項10に記載の方法。
  13. 前記認証することが、前記認証トークンを使用して前記パケット内に含まれる前記所定の識別子および前記目的とする内容を認証することを含む、請求項9に記載の方法。
  14. 前記パケットが、前記所定の識別子と前記目的とする内容とを含むウォレット部分を含み、前記認証トークンが、該ウォレット部分を認証する、請求項9に記載の方法。
  15. 前記目的とする内容が、前記ソースによって前記傍受装置宛てに送られるデータを含む、請求項9に記載の方法。
  16. 認証トークンを生成するステップと、
    傍受装置のための内容を含むパケットを形成するステップであって、該パケットは、ヘッダ部分およびペイロード部分を含み、該ペイロード部分は、
    (a)前記パケットが前記傍受装置のための内容を含むことを識別する所定の識別子と、
    (b)前記傍受装置のための内容と、
    (c)前記所定の識別子と前記傍受装置のための内容とを認証する前記認証トークンと、
    を含む、ステップと、
    通信網を介して前記パケットを宛先に送るステップと、
    を含み、
    前記認証トークンを生成するステップは、前記ペイロード部分の少なくとも一部分を共有シークレットとともにハッシュすることを含む、方法。
  17. 前記宛先は、前記傍受装置以外の宛先を含む、請求項16に記載の方法。
  18. 前記傍受装置が前記パケットを傍受するステップをさらに含む、請求項17に記載の方法。
  19. 前記傍受装置のための内容がテストデータを含む、請求項16に記載の方法。
  20. 前記テストデータは、ソースから前記傍受装置への前記パケットの伝送遅延を測定するためのデータを含む、請求項19に記載の方法。
  21. 前記傍受装置のための内容が、該傍受装置を構成するための構成データを含む、請求項16に記載の方法。
  22. 認証され前記識別子が見出された前記パケットのペイロードに含まれる前記傍受装置のための内容を前記傍受装置が使用するステップをさらに含む、請求項18に記載の方法。
JP2006127579A 2005-05-12 2006-05-01 プロトコル汎用の傍受用ネットワーク装置 Active JP5047536B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/127,486 2005-05-12
US11/127,486 US7917950B2 (en) 2005-05-12 2005-05-12 Protocol-generic eavesdropping network device

Publications (2)

Publication Number Publication Date
JP2006319973A JP2006319973A (ja) 2006-11-24
JP5047536B2 true JP5047536B2 (ja) 2012-10-10

Family

ID=36571717

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006127579A Active JP5047536B2 (ja) 2005-05-12 2006-05-01 プロトコル汎用の傍受用ネットワーク装置

Country Status (4)

Country Link
US (1) US7917950B2 (ja)
JP (1) JP5047536B2 (ja)
DE (1) DE102006011449B4 (ja)
GB (1) GB2426145B (ja)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7941827B2 (en) * 2004-02-26 2011-05-10 Packetmotion, Inc. Monitoring network traffic by using a monitor device
US7813292B2 (en) * 2005-08-01 2010-10-12 Lamprey Networks, Inc. Communication protocol testing system
US8050273B2 (en) * 2006-06-22 2011-11-01 Alcatel Lucent Lawful interception in IP networks
US20080005558A1 (en) * 2006-06-29 2008-01-03 Battelle Memorial Institute Methods and apparatuses for authentication and validation of computer-processable communications
WO2008071189A2 (en) * 2006-12-12 2008-06-19 Vestas Wind Systems A/S A multiprotocol wind turbine system and method
JP2008167318A (ja) * 2006-12-28 2008-07-17 Fujitsu Ltd パケット測定システム、パケット測定プログラム、プローブおよびパケット測定方法
JP4773978B2 (ja) * 2007-01-05 2011-09-14 富士通株式会社 経路探索装置、経路探索プログラム、経路探索方法および経路探索システム
US8321538B2 (en) * 2007-09-24 2012-11-27 Hewlett-Packard Development Company, L.P. Autonomous network device configuration method
KR100934188B1 (ko) 2008-01-16 2009-12-29 (주)제너시스템즈 미디어 흐름 제어를 이용한 감청 방법 및 시스템
US8363836B2 (en) * 2009-01-16 2013-01-29 Cisco Technology, Inc. Using authentication tokens to authorize a firewall to open a pinhole
KR101034389B1 (ko) * 2009-04-22 2011-05-16 (주) 시스메이트 패킷 내 시그니처 위치에 따른 시그니처 검색 방법
US8848720B2 (en) * 2010-03-25 2014-09-30 Infinera Corporation Method and apparatus for determining propagation delay in a network
CN102244593B (zh) * 2010-05-14 2015-10-28 Jds尤尼弗思公司 在未编址网络设备处的网络通信
US8705395B2 (en) 2010-06-15 2014-04-22 Jds Uniphase Corporation Method for time aware inline remote mirroring
US9065723B2 (en) * 2011-04-04 2015-06-23 Jds Uniphase Corporation Unaddressed device communication from within an MPLS network
CN103959715B (zh) * 2011-10-24 2017-03-29 泰科来股份有限公司 用于测试diameter路由节点的方法、系统和装置
US9397895B2 (en) 2011-12-13 2016-07-19 Viavi Solutions Inc. Method and system for collecting topology information
US9253062B2 (en) * 2011-12-23 2016-02-02 Ixia Byte by byte received data integrity check
EP2629457A1 (en) 2012-02-15 2013-08-21 JDS Uniphase Corporation Method and System For Network Monitoring Using Signature Packets
US9769051B2 (en) 2014-01-13 2017-09-19 Viavi Solutions Inc. Demarcation unit enclosure and method
TWI563853B (en) * 2014-02-27 2016-12-21 Beseye Cloud Security Co Ltd Surveillance system and the operation process thereof
TWI591983B (zh) * 2015-11-05 2017-07-11 Chunghwa Telecom Co Ltd Path State Return Algorithm Based on Centralized Control Plane
WO2020232549A1 (en) * 2019-05-21 2020-11-26 Genetec Inc. Methods and systems for codec detection in video streams

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2972440B2 (ja) * 1992-05-13 1999-11-08 四国日本電気ソフトウェア株式会社 中継装置
US5613069A (en) * 1994-12-16 1997-03-18 Tony Walker Non-blocking packet switching network with dynamic routing codes having incoming packets diverted and temporarily stored in processor inputs when network ouput is not available
FI105753B (fi) * 1997-12-31 2000-09-29 Ssh Comm Security Oy Pakettien autentisointimenetelmä verkko-osoitemuutosten ja protokollamuunnosten läsnäollessa
US6563796B1 (en) * 1998-03-18 2003-05-13 Nippon Telegraph And Telephone Corporation Apparatus for quality of service evaluation and traffic measurement
US6442141B1 (en) * 1998-08-31 2002-08-27 3Com Corporation Network delay and loss simulator
US6820042B1 (en) * 1999-07-23 2004-11-16 Opnet Technologies Mixed mode network simulator
US6560720B1 (en) * 1999-09-09 2003-05-06 International Business Machines Corporation Error injection apparatus and method
AU3265601A (en) 1999-12-23 2001-07-03 Ericsson Inc. Transparent communication interception in a core transport network
JP2001251321A (ja) * 2000-03-08 2001-09-14 Ricoh Co Ltd 遠隔操作システム及び遠隔操作方法
JP2001358756A (ja) * 2000-06-09 2001-12-26 Nec Corp ルータ設定方法およびルータ設定装置
US7280495B1 (en) * 2000-08-18 2007-10-09 Nortel Networks Limited Reliable broadcast protocol in a wireless local area network
US6862291B2 (en) * 2000-11-03 2005-03-01 Telcordia Technologies, Inc. Method and system for quality of service provisioning for IP virtual private networks
US7681032B2 (en) * 2001-03-12 2010-03-16 Portauthority Technologies Inc. System and method for monitoring unauthorized transport of digital content
US6886029B1 (en) * 2001-03-13 2005-04-26 Panamsat Corporation End to end simulation of a content delivery system
US20030037132A1 (en) * 2001-08-20 2003-02-20 Abdollahi Mahshid Ellie Controlling multiple nodes using SNMP
US6978223B2 (en) * 2001-09-06 2005-12-20 Bbnt Solutions Llc Systems and methods for network performance measurement using packet signature collection
JP2003110620A (ja) * 2001-09-27 2003-04-11 Nippon Telegr & Teleph Corp <Ntt> パケット通信網の遅延測定方法及びシステム並びにゲートウェイ装置
US7016948B1 (en) * 2001-12-21 2006-03-21 Mcafee, Inc. Method and apparatus for detailed protocol analysis of frames captured in an IEEE 802.11 (b) wireless LAN
US7451217B2 (en) * 2002-12-19 2008-11-11 International Business Machines Corporation Method and system for peer-to-peer authorization
US20040228362A1 (en) 2003-05-16 2004-11-18 Toni Maki Multimedia component interception in a gateway GPRS support node (GGSN)

Also Published As

Publication number Publication date
DE102006011449A1 (de) 2006-11-16
GB0607386D0 (en) 2006-05-24
US20060259966A1 (en) 2006-11-16
US7917950B2 (en) 2011-03-29
GB2426145A (en) 2006-11-15
JP2006319973A (ja) 2006-11-24
GB2426145B (en) 2009-05-27
DE102006011449B4 (de) 2015-06-03

Similar Documents

Publication Publication Date Title
JP5047536B2 (ja) プロトコル汎用の傍受用ネットワーク装置
EP2387180B1 (en) Network communication with unaddressed network devices
US10382309B2 (en) Method and apparatus for tracing paths in service function chains
US7360245B1 (en) Method and system for filtering spoofed packets in a network
CN113132342B (zh) 方法、网络装置、隧道入口点装置及存储介质
US10798060B2 (en) Network attack defense policy sending method and apparatus, and network attack defending method and apparatus
US9497208B2 (en) Distributed network protection
US10419322B2 (en) Method of collecting information about test devices in a network
Lee et al. ICMP traceback with cumulative path, an efficient solution for IP traceback
EP2346205B1 (en) A method and device for preventing network attack
US9313116B2 (en) Enhanced retry method
CN111935212B (zh) 安全路由器及基于安全路由器的物联网安全联网方法
WO2011032321A1 (zh) 一种数据转发方法、数据处理方法、系统以及相关设备
US7854003B1 (en) Method and system for aggregating algorithms for detecting linked interactive network connections
Zhang et al. Onis: Inferring tcp/ip-based trust relationships completely off-path
EP3270569B1 (en) Network protection entity and method for protecting a communication network against malformed data packets
KR101060615B1 (ko) 올아이피네트워크 환경의 공격 탐지 및 추적 시스템 및 방법
Kimiyama et al. Autonomous and distributed internet security (AIS) infrastructure for safe internet
JP2008028720A (ja) 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法
KR100656405B1 (ko) IPv4/IPv6 연동 네트워크에서의 공격차단 방법 및그 장치
Cardwell IPv6 Security Issues in Linux and FreeBSD Kernels: A 20-Year Retrospective
Vinay et al. Detection of ARP spoofing attack using ICMP protocol
Banday et al. Control of IP Address Spoofing–A Comparative Study of IPv4 and IPv6 Networks
CN111431913A (zh) 路由器通告防护机制存在性检测方法及装置

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20070511

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090501

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110406

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110531

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110830

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110902

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110928

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111129

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120403

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120529

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120626

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120718

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150727

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5047536

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250