JP5317020B2 - 情報処理システム、情報処理方法 - Google Patents
情報処理システム、情報処理方法 Download PDFInfo
- Publication number
- JP5317020B2 JP5317020B2 JP2009509311A JP2009509311A JP5317020B2 JP 5317020 B2 JP5317020 B2 JP 5317020B2 JP 2009509311 A JP2009509311 A JP 2009509311A JP 2009509311 A JP2009509311 A JP 2009509311A JP 5317020 B2 JP5317020 B2 JP 5317020B2
- Authority
- JP
- Japan
- Prior art keywords
- application
- resource
- access control
- identifier
- storage unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Description
しかし、これらセキュアOSは、アクセス制御属性を作成する作業が煩雑であり、困難であるという問題点があった。アクセス制御属性は、アクセス制御属性を割り当てるアプリケーションの動作や振る舞いといった特性とアプリケーションを実行するセキュアOS端末の構成に関して熟知している必要がある。そのため、対象端末の構成を熟知していない者が、追加するアプリケーションのアクセス制御属性を作成することが困難であった。
その理由は、この技術によると、アクセス制御規則はセキュアOS端末の構成に応じて設定が異なるため、アクセス制御規則を構成の異なる各端末に応じて複数作成する必要があるからである。
その理由は、この技術によると、アクセス制御規則はセキュアOS端末の構成に応じて設定が異なるため、リソースが追加され構成が変化した端末におけるアクセス制御規則に基づいてセキュリティポリシを作成する必要があるからである。
本発明の他の目的は、アプリケーション作成者がセキュアOSの構成を知らなくてもアクセス制御属性を作成可能にすることにある。
本発明のさらに他の目的は、アプリケーション作成者がアクセス制御規則を作成することなく、アクセス制御属性を作成可能にすることにある。
[第1実施形態]
図1を参照して、本発明の第1実施形態による情報処理システムは、格納装置1100および外部格納装置1300と、プログラム制御により動作するデータ処理装置1200とを備えている。格納装置1100は、アクセス制御規則記憶部1101と、アプリケーション識別子記憶部1102とを備えている。さらに格納装置1100は、データ処理装置1200で処理されるセキュアOS1000を格納している。データ処理装置1200は、アプリケーション追加部1201と、リソース追加部1202と、アクセス制御属性作成部1203とを含む。外部格納装置1300は、追加アプリケーション記憶部1301と、追加リソース記憶部1302とを含む。この外部格納装置1300は、アプリケーション追加部1201およびリソース追加部1202からアクセス可能な装置である。外部格納装置1300としては、SD(Secure Digital)カード等の外部記憶媒体やネットワーク接続された情報処理端末内の格納装置等がある。
追加リソース記憶部1302は、セキュアOS1000に追加可能なリソースRxに対するアクセス制御規則Rxを、リソースRxのリソース識別子Rxと組みの形で格納している。ここで、追加リソース記憶部1302は、リソースRxにセキュアOS1000が割り当てるリソース識別子Rxを予め認識しているものとする。
まず、アプリケーションAxを追加する動作について述べる。アプリケーション追加部1201は、外部格納装置1300の追加アプリケーション記憶部1301から、アプリケーションAxとそのアプリケーションAxにより利用される全てのリソースRA0〜RAxのリソース識別子RA0〜RAxとを取得する(図3ステップA1)。続いて、アプリケーション追加部1201は、アプリケーション識別子記憶部1102を参照し、識別子割当値i(iは−1以上A以下の整数)を取得する(ステップA2)。アプリケーション追加部1201は、取得された識別子割当値iに1を足した値を新たな識別子割当値iとし(ステップA3)、この新たな識別子割当値iをアプリケーション識別子Axとして、追加アプリケーション記憶部1301から取得されたアプリケーションAxに割り当てる(ステップA4)。アプリケーション追加部1201は、識別子割当値iをアプリケーション識別子記憶部1102に格納し(ステップA5)、アプリケーション識別子Axとリソース識別子RA0〜RAxとをアクセス制御属性作成部1203に送信する(ステップA6)。
次に、本発明の第2実施形態による情報処理システムについて図6と図7を参照して詳細に説明する。図6を参照して、本発明の第2実施の情報処理システムは、格納装置2100および外部格納装置2300と、プログラム制御により動作するデータ処理装置2200とを備えている。格納装置2100は、アクセス制御規則記憶部2101と、アプリケーション識別子記憶部2102と、アプリケーション情報記憶部2103とを備えている。さらに、格納装置2100は、データ処理装置2200で処理されるセキュアOS2000を格納している。セキュアOS2000は、第1実施形態のセキュアOS1000と同等の機能を備えている。
データ処理装置2200は、アプリケーション追加部2201と、リソース追加部2202と、アクセス制御属性作成部2203と、アクセス制御規則更新部2204と、アクセス制御属性再作成部2205とを備えている。
外部格納装置2300は、追加アプリケーション記憶部2301と、追加リソース記憶部2302と、更新アクセス制御規則記憶部2303とを備えている。この外部格納装置2300は、アプリケーション追加部2201、リソース追加部2202およびアクセス制御規則更新部2204からアクセス可能な装置である。外部格納装置2300の例としては、SDカード等の外部格納媒体やネットワーク接続された情報処理端末内の格納装置等がある。
まず、アプリケーションAxを追加する動作について述べる。アプリケーション追加部2201の動作は、図3に示されるアプリケーション追加部1201の動作と同様である。
次に、リソースRyのアクセス制御規則Ryを更新する動作について述べる。アクセス制御規則更新部2204は、外部格納装置2300の更新アクセス制御規則記憶部2303からリソース識別子Ryに対応する新しいアクセス制御規則Ry’を取得する(図9ステップD1)。アクセス制御規則更新部2204は、アクセス制御規則記憶部2101に格納されている、リソース識別子Ryと組になっているアクセス制御規則Ryをアクセス制御規則Ry’に変更し(ステップD2)、リソース識別子Ryをアクセス制御属性再作成部2205に送信する(ステップD3)。
次に、本発明の第3実施形態による情報処理システムについて図11と図12を参照して詳細に説明する。図11を参照して、本発明の第3実施の情報処理システムは、情報を格納する格納装置3100および外部格納装置3300と、プログラム制御により動作するデータ処理装置3200とを備えている。格納装置3100は、アクセス制御規則記憶部3101と、アプリケーション識別子記憶部3102と、リソース制限情報記憶部3104とを備えている。さらに、格納装置3100は、データ処理装置3200で処理されるセキュアOS3000を格納している。セキュアOS3000は、第1実施形態のセキュアOS1000と同等の機能を備えている。データ処理装置3200は、アプリケーション追加部3201と、リソース追加部3202と、アクセス制御属性作成部3203と、リソース制限判定部3205とを備えている。外部格納装置3300は、追加アプリケーション記憶部3301と、追加リソース記憶部3302と、追加リソース制限情報記憶部3304を備えている。この外部格納装置3300は、アプリケーション追加部3201およびリソース追加部3202からアクセス可能な装置である。外部格納装置3300の例としては、SDカード等の外部格納媒体やネットワーク接続された情報処理端末内の格納装置等がある。
リソース制限判定部3205は、アプリケーション追加部3201から、リソース識別子RA0〜RAxとアプリケーションAxのアプリケーション属性値ZAxとを受信し、リソース制限情報記憶部3104を参照して、アプリケーション属性値ZAxに対応するリソース識別子RZA0〜RZAxを取得し、リソース識別子RA0〜RAxがリソース識別子RZA0〜RZAxに含まれているか否かを判別する機能を備えている。
まず、アプリケーションAxを追加する動作について述べる。アプリケーション追加部3201は、外部格納装置3300の追加アプリケーション記憶部3301から、アプリケーションAxとこのアプリケーションAxにより利用されるリソースRA0〜RAxのリソース識別子RA0〜RAxとアプリケーションAxのアプリケーション属性値ZAxとを取得する(図13ステップA7)。アプリケーション追加部3201は、取得されたリソース識別子RA0〜RAxとアプリケーション属性値ZAxとをリソース制限判定部3205に送信し(ステップA8)、合致信号または不合致信号を受信するまで待つ(ステップA9)。
次に、本発明の第4実施形態による情報処理システムを図16〜図18を参照して説明する。この第4実施形態は、第1実施形態をより具体的に説明するものである。
図16に示すように、本発明の第4実施形態の情報処理システムは、第1実施形態の格納装置1100およびデータ処理装置1200に相当する、プログラム制御により動作するコンピュータ100と、外部格納装置1300に相当し、プログラム制御により動作するコンピュータ120とを備えている。コンピュータ100は、ネットワークを介してコンピュータ120と接続されている。
アプリケーション識別子記憶部1102には、アプリケーションに割り当てられた識別子が格納されている。アプリケーション識別子記憶部1102は、この識別子の初期値として予め−1を格納している。コンピュータ120のメモリエリアには、第1実施形態で説明した追加アプリケーション記憶部1301と追加リソース記憶部1302とが配置されている。追加アプリケーション記憶部1301には、アプリケーションA0と、アプリケーションA0により利用されるカメラデバイスのリソース識別子0およびフレキシブルディスクのリソース識別子1とが組みで格納されている。追加リソース記憶部1302には、CDドライブに対するアクセス制御規則であるアクセス制御規則3がリソース識別子3と組みで格納されている。
アプリケーション追加部1201は、コンピュータ120の追加アプリケーション記憶部1301から、アプリケーションA0とアプリケーションA0により利用されるリソースのリソース識別子0,1とを取得する(図3ステップA1)。続いて、アプリケーション追加部1201は、アプリケーション識別子記憶部1102を参照して識別子割当値i=−1を取得し(ステップA2)、この識別子割当値i=−1に1を足した値i=0を新たな識別子割当値とし(ステップA3)、この新たな識別子割当値i=0をアプリケーション識別子A0としてアプリケーションA0へ割り当てる(ステップA4)。アプリケーション追加部1201は、識別子割当値i=0をアプリケーション識別子記憶部1102に格納し(ステップA5)、アプリケーション識別子0とリソース識別子0,1とをアクセス制御属性作成部1203に送信する(ステップA6)。
リソース追加部1202は、セキュアOS1000からCDドライブのリソース識別子3を受信する(図5ステップC1)。リソース追加部1202は、コンピュータ120の追加リソース記憶部1302からリソース識別子3に対応するアクセス制御規則3を取得する(ステップC2)。リソース追加部1202は、リソース識別子3とアクセス制御規則3とを組みにしてアクセス制御規則記憶部1101に格納する(ステップC3)。
次に、本発明の第5実施形態を図19〜図21を参照して説明する。この第5実施形態は、第2実施形態をより具体的に説明するものである。
図19に示すように、本発明の第5実施形態の情報処理システムは、第2実施形態の格納装置2100およびデータ処理装置2200に相当する、プログラム制御により動作するコンピュータ200と、外部格納装置2300に相当する、プログラム制御により動作するコンピュータ220とを備えている。コンピュータ200は、ネットワークを介してコンピュータ220と接続されている。
アプリケーション追加部2201は、コンピュータ220の追加アプリケーション記憶部2301から、アプリケーションA1とアプリケーションA1により利用されるリソースのリソース識別子0,2とを取得する。続いて、アプリケーション追加部2201は、アプリケーション識別子記憶部2102を参照して識別子割当値i=0を取得し、この識別子割当値i=0に1を足した値i=1を新たな識別子割当値とし、この新たな識別子割当値i=1をアプリケーション識別子A1としてアプリケーションA1へ割り当てる。アプリケーション追加部2201は、識別子割当値i=1をアプリケーション識別子記憶部2102に格納し、アプリケーション識別子A1とリソース識別子0,2とをアクセス制御属性作成部2203に送信する。
アクセス制御規則更新部2204は、コンピュータ220の更新アクセス制御規則記憶部2303からカメラデバイスのリソース識別子0に対応するアクセス制御規則0’を取得する(図9ステップD1)。アクセス制御規則更新部2204は、アクセス制御規則記憶部2101に格納されている、リソース識別子0と組になっているアクセス制御規則0をアクセス制御規則0’に変更し(ステップD2)、リソース識別子0をアクセス制御属性再作成部2205に送信する(ステップD3)。
次に、本発明の第6実施形態を図22〜図25を参照して説明する。この第6実施形態は、第3実施形態をより具体的に説明するものである。
図22に示すように、本発明の第6実施形態の情報処理システムは、第3実施形態の格納装置3100およびデータ処理装置3200に相当する、プログラム制御により動作するコンピュータ300と、外部格納装置3300に相当する、プログラム制御により動作するコンピュータ320とを備えている。コンピュータ300は、ネットワークを介してコンピュータ320と接続されている。
アプリケーション追加部3201は、コンピュータ320の追加アプリケーション記憶部3301から、アプリケーションA3とこのアプリケーションA3により利用されるリソースのリソース識別子0,1とアプリケーションA3のアプリケーション属性値0とを取得する(図13ステップA7)。アプリケーション追加部3201は、取得されたリソース識別子0,1とアプリケーション属性値0とをリソース制限判定部3205に送信し(ステップA8)、合致信号または不合致信号を受信するまで待つ(ステップA9)。
アプリケーション追加部3201は、コンピュータ320の追加アプリケーション記憶部3301から、アプリケーションA4とこのアプリケーションA4により利用されるリソースのリソース識別子0とアプリケーションA4のアプリケーション属性値1とを取得する(図13ステップA7)。アプリケーション追加部3201は、取得されたリソース識別子0とアプリケーション属性値1とをリソース制限判定部3205に送信し(ステップA8)、合致信号または不合致信号を受信するまで待つ(ステップA9)。
リソース追加部3202は、セキュアOS3000からCDドライブのリソース識別子3を受信する(図15ステップC1)。リソース追加部3202は、コンピュータ320の追加リソース記憶部3302からリソース識別子3に対応するアクセス制御規則3を取得する(ステップC2)。リソース追加部3202は、CDドライブの利用が許されるアプリケーションのアプリケーション属性値0,1(リソース識別子3に対応するアプリケーション属性値0,1)を追加リソース制限情報記憶部3304から取得する(ステップC4)。
ここで、前記情報処理装置は、アプリケーションの挙動を制御するセキュアOSを備え、前記作成された規則を前記情報処理装置に適用する手順は、前記作成された規則を前記セキュアOSに適用してもよい。
また、前記作成された規則を前記情報処理装置に適用する手順は、前記アプリケーションの属性値を取得し、前記リソース識別子に対応して予め定義された規則と前記アプリケーション属性値とに基づいて前記アプリケーションに適した規則を作成してもよい。
また、前記手順で作成する規則は、アクセス制御規則であってもよい。
また、アプリケーションのアクセス対象となるリソースの識別子を保持するセキュアOSを備えた情報処理装置にアプリケーションを追加する際に、アプリケーションとこのアプリケーションにより利用されるリソースの識別子の集合とを組みとして格納する追加アプリケーション記憶部から、前記追加するアプリケーションとこのアプリケーションにより利用されるリソースの識別子の集合とを取得し、アプリケーションに割り当てる識別子を格納するアプリケーション識別子記憶部を参照して、前記追加するアプリケーションにアプリケーション識別子を割り当て、前記取得されたリソース識別子の集合と前記割り当てたアプリケーション識別子とを送出するアプリケーション追加手順と、
リソース識別子とこのリソース識別子に対応するリソースをアプリケーションが利用するためのアクセス制御規則とを組みとして格納するアクセス制御規則記憶部から、前記アプリケーション追加手順で送出されたリソース識別子の集合に対応するアクセス制御規則を取得し、取得されたアクセス制御規則に基づいて、前記アプリケーション識別子が割り当てられたアプリケーションに対するアクセス制御属性を作成し、作成されたアクセス制御属性を前記セキュアOSに適用するアクセス制御属性作成手順とを、前記情報処理装置に実行させる情報処理プログラムが提供される。
また、アプリケーションのアクセス対象となるリソースの識別子を保持するセキュアOSを備えた情報処理装置にアプリケーションを追加する際に、アプリケーションとこのアプリケーションにより利用されるリソースの識別子の集合とを組みとして格納する追加アプリケーション記憶部から、前記追加するアプリケーションとこのアプリケーションにより利用されるリソースの識別子の集合とを取得し、アプリケーションに割り当てる識別子を格納するアプリケーション識別子記憶部を参照して、前記追加するアプリケーションにアプリケーション識別子を割り当て、前記取得されたリソース識別子の集合と前記割り当てたアプリケーション識別子とを送出するアプリケーション追加手順と、 リソース識別子とこのリソース識別子に対応するリソースをアプリケーションが利用するためのアクセス制御規則とを組みとして格納するアクセス制御規則記憶部から、前記アプリケーション追加手順で送出されたリソース識別子の集合に対応するアクセス制御規則を取得し、取得されたアクセス制御規則に基づいて、前記アプリケーション識別子が割り当てられたアプリケーションに対するアクセス制御属性を作成し、作成されたアクセス制御属性を前記セキュアOSに適用し、前記アプリケーション追加手順で送出されたリソース識別子の集合とアプリケーション識別子とをアプリケーション情報としてアプリケーション情報記憶部に格納させるアクセス制御属性作成手順と、
リソースのアクセス制御規則を更新する際に、このリソースの識別子に対応するアクセス制御規則を、リソース識別子とアクセス制御規則とを組みとして格納する更新アクセス制御規則記憶部から取得し、前記アクセス制御規則を更新するリソースの識別子と組みになって前記アクセス制御規則記憶部に格納されているアクセス制御規則を、前記更新アクセス制御規則記憶部から取得されたアクセス制御規則に変更し、前記アクセス制御規則を更新するリソースの識別子を送出するアクセス制御規則更新手順と、
このアクセス制御規則更新手順で送出されたリソース識別子を含むアプリケーション情報を前記アプリケーション情報記憶部から取得し、取得されたアプリケーション情報に含まれるリソース識別子の集合に対応するアクセス制御規則を前記アクセス制御規則記憶部から取得し、取得されたアクセス制御規則に基づいて、前記取得されたアプリケーション情報に含まれるアプリケーション識別子で特定されるアプリケーションに対するアクセス制御属性を作成し、作成されたアクセス制御属性を前記セキュアOSに適用するアクセス制御属性再作成手順とを、前記情報処理装置に実行させる情報処理プログラムが提供される。
ここで、
さらに、前記セキュアOSにリソースが追加された際にこのリソースの識別子を前記セキュアOSから受信し、受信されたリソース識別子に対応するアクセス制御規則を、前記セキュアOSに追加可能なリソースの識別子とこのリソースに対するアクセス制御規則とを組みとして格納する追加リソース記憶部から取得し、前記受信されたリソース識別子と前記取得されたアクセス制御規則とを組みにして前記アクセス制御規則記憶部に格納させるリソース追加手順を、前記情報処理装置に実行させてもよい。
さらに、前記アプリケーション追加手順で送出されたリソース識別子の集合とアプリケーション属性値とを受信し、このアプリケーション属性値に対応するリソース識別子の集合を、アプリケーション属性値とこのアプリケーション属性値のアプリケーションが利用可能なリソースの識別子の集合とを組みとして格納するリソース制限情報記憶部から取得し、前記アプリケーション追加手順で送出されたリソース識別子が前記リソース制限情報記憶部から取得されたリソース識別子に含まれる場合、合致信号を送出し、前記アプリケーション追加手順で送出されたリソース識別子が前記リソース制限情報記憶部から取得されたリソース識別子に含まれない場合、不合致信号を送出するリソース制限判定手順を、前記情報処理装置に実行させ、
前記アプリケーション追加手順は、
前記リソース制限判定手順の前に、アプリケーションとリソースの識別子の集合と共にアプリケーションの属性値を格納する前記追加アプリケーション記憶部から、前記追加するアプリケーションの属性値を取得し、前記追加アプリケーション記憶部から取得されたリソース識別子とアプリケーション属性値とを前記リソース制限判定手順に送信する手順と、
前記リソース制限判定手順の後で、前記不合致信号を受信された場合は、アプリケーションの追加処理を終了し、前記合致信号を受信された場合は、前記アプリケーション識別子記憶部を参照して前記追加するアプリケーションにアプリケーション識別子を割り当て、前記取得されたリソース識別子の集合と前記割り当てたアプリケーション識別子とを前記アクセス制御属性作成部に送信する手順とを含むことが望ましい。
さらに、前記セキュアOSにリソースが追加された際にこのリソースの識別子を前記セキュアOSから受信し、受信されたリソース識別子に対応するアクセス制御規則を、前記セキュアOSに追加可能なリソースの識別子とこのリソースに対するアクセス制御規則とを組みとして格納する追加リソース記憶部から取得し、前記受信されたリソース識別子と前記取得されたアクセス制御規則とを組みにして前記アクセス制御規則記憶部に格納させ、前記受信されたリソース識別子に対応するアプリケーション属性値の集合を、リソース識別子とこのリソース識別子に対応するリソースの利用が許されるアプリケーションのアプリケーション属性値の集合とを組みとして格納する追加リソース制限情報記憶部から取得し、前記リソース制限情報記憶部に前記アプリケーション属性値の集合と組みになって格納されているリソース識別子に、前記受信されたリソース識別子を追加するリソース追加手順を、前記情報処理装置に実行させてもよい。
前記アクセス制御規則は、デバイスに対するものであってもよい。
前記アクセス制御規則は、オブジェクトに対するものであってもよい。
前記アクセス制御規則は、デバイスに対するリソース使用量制限規則であってもよい。
前記アクセス制御規則は、オブジェクトに対するリソース使用量制限規則であってもよい。
前記アプリケーション属性値は、アプリケーションの作成者を示すものであってもよい。
前記アプリケーション属性値は、アプリケーションのセキュリティレベルを示すものであることが望ましい。
Claims (22)
- アプリケーションとこのアプリケーションにより利用されるリソースの識別子の集合とを組みとして格納する追加アプリケーション記憶部と、
アプリケーションのアクセス対象となるリソースの識別子を保持するセキュアOSと、
前記リソース識別子とこのリソース識別子に対応するリソースをアプリケーションが利用するためのアクセス制御規則とを組みとして格納するアクセス制御規則記憶部と、
アプリケーションに割り当てる識別子を格納するアプリケーション識別子記憶部と、
前記セキュアOSを備えた情報処理装置にアプリケーションを追加する際に、追加するアプリケーションとこのアプリケーションにより利用されるリソースの識別子の集合とを前記追加アプリケーション記憶部から取得し、前記アプリケーション識別子記憶部を参照して前記追加するアプリケーションにアプリケーション識別子を割り当て、前記取得されたリソース識別子の集合と前記割り当てたアプリケーション識別子とを送出するアプリケーション追加部と、
このアプリケーション追加部から受信されたリソース識別子の集合に対応するアクセス制御規則を前記アクセス制御規則記憶部から取得し、取得されたアクセス制御規則に基づいて、前記アプリケーション識別子が割り当てられたアプリケーションに対するアクセス制御属性を作成し、作成されたアクセス制御属性を前記セキュアOSに適用するアクセス制御属性作成部と
を備えた情報処理システム。 - アプリケーションとこのアプリケーションにより利用されるリソースの識別子の集合とを組みとして格納する追加アプリケーション記憶部と、
アクセス制御規則が更新される予定のリソースの識別子とアクセス制御規則とを組みとして格納する更新アクセス制御規則記憶部と、
アプリケーションのアクセス対象となるリソースの識別子を保持するセキュアOSと、
前記リソース識別子とこのリソース識別子に対応するリソースをアプリケーションが利用するためのアクセス制御規則とを組みとして格納するアクセス制御規則記憶部と、
アプリケーションに割り当てる識別子を格納するアプリケーション識別子記憶部と、
アプリケーション識別子とこのアプリケーション識別子に対応するアプリケーションにより利用されるリソースの識別子の集合とをアプリケーション情報として格納するアプリケーション情報記憶部と、
前記セキュアOSを備えた情報処理装置にアプリケーションを追加する際に、追加するアプリケーションとこのアプリケーションにより利用されるリソースの識別子の集合とを前記追加アプリケーション記憶部から取得し、前記アプリケーション識別子記憶部を参照して前記追加するアプリケーションにアプリケーション識別子を割り当て、前記取得されたリソース識別子の集合と前記割り当てたアプリケーション識別子とを送出するアプリケーション追加部と、
このアプリケーション追加部から受信されたリソース識別子の集合に対応するアクセス制御規則を前記アクセス制御規則記憶部から取得し、取得されたアクセス制御規則に基づいて、前記アプリケーション識別子が割り当てられたアプリケーションに対するアクセス制御属性を作成し、作成されたアクセス制御属性を前記セキュアOSに適用し、前記アプリケーション追加部から受信されたリソース識別子の集合とアプリケーション識別子とをアプリケーション情報として前記アプリケーション情報記憶部に格納させるアクセス制御属性作成部と、
リソースのアクセス制御規則を更新する際に、このリソースの識別子に対応するアクセス制御規則を前記更新アクセス制御規則記憶部から取得し、前記アクセス制御規則を更新するリソースの識別子と組みになって前記アクセス制御規則記憶部に格納されているアクセス制御規則を、前記更新アクセス制御規則記憶部から取得されたアクセス制御規則に変更し、前記アクセス制御規則を更新するリソースの識別子を送出するアクセス制御規則更新部と、
このアクセス制御規則更新部から受信されたリソース識別子を含むアプリケーション情報を前記アプリケーション情報記憶部から取得し、取得されたアプリケーション情報に含まれるリソース識別子の集合に対応するアクセス制御規則を前記アクセス制御規則記憶部から取得し、取得されたアクセス制御規則に基づいて、前記取得されたアプリケーション情報に含まれるアプリケーション識別子で特定されるアプリケーションに対するアクセス制御属性を作成し、作成されたアクセス制御属性を前記セキュアOSに適用するアクセス制御属性再作成部と
を備えた情報処理システム。 - 請求項1または2に記載の情報処理システムにおいて、
さらに、前記セキュアOSに追加可能なリソースの識別子とこのリソースに対するアクセス制御規則とを組みとして格納する追加リソース記憶部と、
前記セキュアOSにリソースが追加された際にこのリソースの識別子を前記セキュアOSから受信し、受信されたリソース識別子に対応するアクセス制御規則を前記追加リソース記憶部から取得し、前記受信されたリソース識別子と前記取得されたアクセス制御規則とを組みにして前記アクセス制御規則記憶部に格納させるリソース追加部とを備えた情報処理システム。 - 請求項1または2に記載の情報処理システムにおいて、
さらに、アプリケーション属性値とこのアプリケーション属性値のアプリケーションが利用可能なリソースの識別子の集合とを組みとして格納するリソース制限情報記憶部と、
前記アプリケーション追加部からリソース識別子の集合とアプリケーション属性値とを受信し、このアプリケーション属性値に対応するリソース識別子の集合を前記リソース制限情報記憶部から取得し、前記アプリケーション追加部から受信されたリソース識別子が前記リソース制限情報記憶部から取得されたリソース識別子に含まれる場合、前記アプリケーション追加部に合致信号を送信し、前記アプリケーション追加部から受信されたリソース識別子が前記リソース制限情報記憶部から取得されたリソース識別子に含まれない場合、前記アプリケーション追加部に不合致信号を送信するリソース制限判定部とを備え、
前記追加アプリケーション記憶部は、さらに前記アプリケーション識別子に対応するアプリケーションの属性値を格納しており、
前記アプリケーション追加部は、追加するアプリケーションの属性値を前記追加アプリケーション記憶部から取得し、前記追加アプリケーション記憶部から取得されたリソース識別子とアプリケーション属性値とを前記リソース制限判定部に送信し、前記リソース制限判定部から不合致信号を受信された場合は、アプリケーションの追加処理を終了し、前記合致信号を受信された場合は、前記アプリケーション識別子記憶部を参照して前記追加するアプリケーションにアプリケーション識別子を割り当て、前記取得されたリソース識別子の集合と前記割り当てたアプリケーション識別子とを前記アクセス制御属性作成部に送信する部をさらに備えた情報処理システム。 - 請求項4に記載の情報処理システムにおいて、
さらに、前記セキュアOSに追加可能なリソースの識別子とこのリソースに対するアクセス制御規則とを組みとして格納する追加リソース記憶部と、
リソース識別子とこのリソース識別子に対応するリソースの利用が許されるアプリケーションのアプリケーション属性値の集合とを組みとして格納する追加リソース制限情報記憶部と、
前記セキュアOSにリソースが追加された際にこのリソースの識別子を前記セキュアOSから受信し、受信されたリソース識別子に対応するアクセス制御規則を前記追加リソース記憶部から取得し、前記受信されたリソース識別子と前記取得されたアクセス制御規則とを組みにして前記アクセス制御規則記憶部に格納させ、前記受信されたリソース識別子に対応するアプリケーション属性値の集合を前記追加リソース制限情報記憶部から取得し、前記リソース制限情報記憶部に前記アプリケーション属性値の集合と組みになって格納されているリソース識別子に、前記受信されたリソース識別子を追加するリソース追加部とを備えた情報処理システム。 - 請求項1乃至5の何れか1項に記載の情報処理システムにおいて、
前記アクセス制御規則は、デバイスに対するものである情報処理システム。 - 請求項1乃至5の何れか1項に記載の情報処理システムにおいて、
前記アクセス制御規則は、オブジェクトに対するものである情報処理システム。 - 請求項1乃至5の何れか1項に記載の情報処理システムにおいて、
前記アクセス制御規則は、デバイスに対するリソース使用量制限規則である情報処理システム。 - 請求項1乃至5の何れか1項に記載の情報処理システムにおいて、
前記アクセス制御規則は、オブジェクトに対するリソース使用量制限規則である情報処理システム。 - 請求項4または5に記載の情報処理システムにおいて、
前記アプリケーション属性値は、アプリケーションの作成者を示すものである情報処理システム。 - 請求項4または5に記載の情報処理システムにおいて、
前記アプリケーション属性値は、アプリケーションのセキュリティレベルを示すものである情報処理システム。 - アプリケーションのアクセス対象となるリソースの識別子を保持するセキュアOSを備えた情報処理装置にアプリケーションを追加する際に、アプリケーションとこのアプリケーションにより利用されるリソースの識別子の集合とを組みとして格納する追加アプリケーション記憶部から、前記追加するアプリケーションとこのアプリケーションにより利用されるリソースの識別子の集合とを取得し、アプリケーションに割り当てる識別子を格納するアプリケーション識別子記憶部を参照して、前記追加するアプリケーションにアプリケーション識別子を割り当て、前記取得されたリソース識別子の集合と前記割り当てたアプリケーション識別子とを送出するアプリケーション追加手順と、
リソース識別子とこのリソース識別子に対応するリソースをアプリケーションが利用するためのアクセス制御規則とを組みとして格納するアクセス制御規則記憶部から、前記アプリケーション追加手順で送出されたリソース識別子の集合に対応するアクセス制御規則を取得し、取得されたアクセス制御規則に基づいて、前記アプリケーション識別子が割り当てられたアプリケーションに対するアクセス制御属性を作成し、作成されたアクセス制御属性を前記セキュアOSに適用するアクセス制御属性作成手順とを備えた情報処理方法。 - アプリケーションのアクセス対象となるリソースの識別子を保持するセキュアOSを備えた情報処理装置にアプリケーションを追加する際に、アプリケーションとこのアプリケーションにより利用されるリソースの識別子の集合とを組みとして格納する追加アプリケーション記憶部から、前記追加するアプリケーションとこのアプリケーションにより利用されるリソースの識別子の集合とを取得し、アプリケーションに割り当てる識別子を格納するアプリケーション識別子記憶部を参照して、前記追加するアプリケーションにアプリケーション識別子を割り当て、前記取得されたリソース識別子の集合と前記割り当てたアプリケーション識別子とを送出するアプリケーション追加手順と、
リソース識別子とこのリソース識別子に対応するリソースをアプリケーションが利用するためのアクセス制御規則とを組みとして格納するアクセス制御規則記憶部から、前記アプリケーション追加手順で送出されたリソース識別子の集合に対応するアクセス制御規則を取得し、取得されたアクセス制御規則に基づいて、前記アプリケーション識別子が割り当てられたアプリケーションに対するアクセス制御属性を作成し、作成されたアクセス制御属性を前記セキュアOSに適用し、前記アプリケーション追加手順で送出されたリソース識別子の集合とアプリケーション識別子とをアプリケーション情報としてアプリケーション情報記憶部に格納させるアクセス制御属性作成手順と、
リソースのアクセス制御規則を更新する際に、このリソースの識別子に対応するアクセス制御規則を、リソース識別子とアクセス制御規則とを組みとして格納する更新アクセス制御規則記憶部から取得し、前記アクセス制御規則を更新するリソースの識別子と組みになって前記アクセス制御規則記憶部に格納されているアクセス制御規則を、前記更新アクセス制御規則記憶部から取得されたアクセス制御規則に変更し、前記アクセス制御規則を更新するリソースの識別子を送出するアクセス制御規則更新手順と、
このアクセス制御規則更新手順で送出されたリソース識別子を含むアプリケーション情報を前記アプリケーション情報記憶部から取得し、取得されたアプリケーション情報に含まれるリソース識別子の集合に対応するアクセス制御規則を前記アクセス制御規則記憶部から取得し、取得されたアクセス制御規則に基づいて、前記取得されたアプリケーション情報に含まれるアプリケーション識別子で特定されるアプリケーションに対するアクセス制御属性を作成し、作成されたアクセス制御属性を前記セキュアOSに適用するアクセス制御属性再作成手順とを備えた情報処理方法。 - 請求項12または13に記載の情報処理方法において、
さらに、前記セキュアOSにリソースが追加された際にこのリソースの識別子を前記セキュアOSから受信し、受信されたリソース識別子に対応するアクセス制御規則を、前記セキュアOSに追加可能なリソースの識別子とこのリソースに対するアクセス制御規則とを組みとして格納する追加リソース記憶部から取得し、前記受信されたリソース識別子と前記取得されたアクセス制御規則とを組みにして前記アクセス制御規則記憶部に格納させるリソース追加手順とを備えた情報処理方法。 - 請求項12または13に記載の情報処理方法において、
さらに、前記アプリケーション追加手順で送出されたリソース識別子の集合とアプリケーション属性値とを受信し、このアプリケーション属性値に対応するリソース識別子の集合を、アプリケーション属性値とこのアプリケーション属性値のアプリケーションが利用可能なリソースの識別子の集合とを組みとして格納するリソース制限情報記憶部から取得し、前記アプリケーション追加手順で送出されたリソース識別子が前記リソース制限情報記憶部から取得されたリソース識別子に含まれる場合、合致信号を送出し、前記アプリケーション追加手順で送出されたリソース識別子が前記リソース制限情報記憶部から取得されたリソース識別子に含まれない場合、不合致信号を送出するリソース制限判定手順を備え、
前記アプリケーション追加手順は、
前記リソース制限判定手順の前に、アプリケーションとリソースの識別子の集合と共にアプリケーションの属性値を格納する前記追加アプリケーション記憶部から、前記追加するアプリケーションの属性値を取得し、前記追加アプリケーション記憶部から取得されたリソース識別子とアプリケーション属性値とを前記リソース制限判定手順に送信する手順と、
前記リソース制限判定手順の後で、前記不合致信号を受信された場合は、アプリケーションの追加処理を終了し、前記合致信号を受信された場合は、前記アプリケーション識別子記憶部を参照して前記追加するアプリケーションにアプリケーション識別子を割り当て、前記取得されたリソース識別子の集合と前記割り当てたアプリケーション識別子とを前記アクセス制御属性作成部に送信する手順とを含む情報処理方法。 - 請求項15に記載の情報処理方法において、
さらに、前記セキュアOSにリソースが追加された際にこのリソースの識別子を前記セキュアOSから受信し、受信されたリソース識別子に対応するアクセス制御規則を、前記セキュアOSに追加可能なリソースの識別子とこのリソースに対するアクセス制御規則とを組みとして格納する追加リソース記憶部から取得し、前記受信されたリソース識別子と前記取得されたアクセス制御規則とを組みにして前記アクセス制御規則記憶部に格納させ、
前記受信されたリソース識別子に対応するアプリケーション属性値の集合を、リソース識別子とこのリソース識別子に対応するリソースの利用が許されるアプリケーションのアプリケーション属性値の集合とを組みとして格納する追加リソース制限情報記憶部から取得し、前記リソース制限情報記憶部に前記アプリケーション属性値の集合と組みになって格納されているリソース識別子に、前記受信されたリソース識別子を追加するリソース追加手順を備えた情報処理方法。 - 請求項12乃至16の何れか1項に記載の情報処理方法において、
前記アクセス制御規則は、デバイスに対するものである情報処理方法。 - 請求項12乃至16の何れか1項に記載の情報処理方法において、
前記アクセス制御規則は、オブジェクトに対するものである情報処理方法。 - 請求項12乃至16の何れか1項に記載の情報処理方法において、
前記アクセス制御規則は、デバイスに対するリソース使用量制限規則である情報処理方法。 - 請求項12乃至16の何れか1項に記載の情報処理方法において、
前記アクセス制御規則は、オブジェクトに対するリソース使用量制限規則である情報処理方法。 - 請求項15または16に記載の情報処理方法において、
前記アプリケーション属性値は、アプリケーションの作成者を示すものである情報処理方法。 - 請求項15または16に記載の情報処理方法において、
前記アプリケーション属性値は、アプリケーションのセキュリティレベルを示すものである情報処理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009509311A JP5317020B2 (ja) | 2007-04-05 | 2008-04-03 | 情報処理システム、情報処理方法 |
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007099421 | 2007-04-05 | ||
JP2007099421 | 2007-04-05 | ||
PCT/JP2008/056713 WO2008126773A1 (ja) | 2007-04-05 | 2008-04-03 | 情報処理システム、情報処理方法 |
JP2009509311A JP5317020B2 (ja) | 2007-04-05 | 2008-04-03 | 情報処理システム、情報処理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2008126773A1 JPWO2008126773A1 (ja) | 2010-07-22 |
JP5317020B2 true JP5317020B2 (ja) | 2013-10-16 |
Family
ID=39863873
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009509311A Expired - Fee Related JP5317020B2 (ja) | 2007-04-05 | 2008-04-03 | 情報処理システム、情報処理方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20100138896A1 (ja) |
JP (1) | JP5317020B2 (ja) |
WO (1) | WO2008126773A1 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9064111B2 (en) | 2011-08-03 | 2015-06-23 | Samsung Electronics Co., Ltd. | Sandboxing technology for webruntime system |
US8893225B2 (en) | 2011-10-14 | 2014-11-18 | Samsung Electronics Co., Ltd. | Method and apparatus for secure web widget runtime system |
WO2013161056A1 (ja) * | 2012-04-27 | 2013-10-31 | 株式会社日立製作所 | プロセス処理装置、方法及びプログラム |
US8856864B2 (en) | 2012-09-27 | 2014-10-07 | Intel Corporation | Detecting, enforcing and controlling access privileges based on sandbox usage |
JP6198477B2 (ja) * | 2013-06-21 | 2017-09-20 | キヤノン株式会社 | 権限移譲システム、認可サーバーシステム、制御方法、およびプログラム |
CN108235767B (zh) * | 2016-11-03 | 2021-10-26 | 华为技术有限公司 | 一种支付应用的隔离方法、装置及终端 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001175348A (ja) * | 1999-11-02 | 2001-06-29 | Lucent Technol Inc | アプリケーション使用タイムリミッタ |
JP2004192601A (ja) * | 2002-10-17 | 2004-07-08 | Hitachi Ltd | ポリシー設定支援ツール |
JP2005044243A (ja) * | 2003-07-25 | 2005-02-17 | Sony Corp | アクセス制御ルール生成装置、およびアクセス制御ルール生成方法、並びにコンピュータ・プログラム |
JP2005063224A (ja) * | 2003-08-15 | 2005-03-10 | Nippon Telegr & Teleph Corp <Ntt> | セキュアosのセキュリティポリシを自動的に生成する方法及び装置並びに該方法を実行するためのプログラム |
JP2005222341A (ja) * | 2004-02-05 | 2005-08-18 | Trend Micro Inc | 情報機器上および伝送経路上でのプログラム分析によるセキュリティの確保 |
JP2006079223A (ja) * | 2004-09-08 | 2006-03-23 | Nec Corp | アプリケーションプログラム管理装置及びそれに用いる管理方法並びにそのプログラム |
JP2006311590A (ja) * | 2006-06-06 | 2006-11-09 | Ricoh Co Ltd | 画像形成装置およびアプリケーションインストール方法 |
US20070011139A1 (en) * | 2001-04-12 | 2007-01-11 | Burnett Rodney C | Method for constructing and caching a chain of file identifiers and enabling inheritance of resource properties in file systems |
US20070107046A1 (en) * | 2005-11-07 | 2007-05-10 | International Business Machines Corporation | Method, system and program product for remotely verifying integrity of a system |
US20080209535A1 (en) * | 2007-02-28 | 2008-08-28 | Tresys Technology, Llc | Configuration of mandatory access control security policies |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8732824B2 (en) * | 2006-01-23 | 2014-05-20 | Microsoft Corporation | Method and system for monitoring integrity of running computer system |
-
2008
- 2008-04-03 US US12/594,697 patent/US20100138896A1/en not_active Abandoned
- 2008-04-03 WO PCT/JP2008/056713 patent/WO2008126773A1/ja active Application Filing
- 2008-04-03 JP JP2009509311A patent/JP5317020B2/ja not_active Expired - Fee Related
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001175348A (ja) * | 1999-11-02 | 2001-06-29 | Lucent Technol Inc | アプリケーション使用タイムリミッタ |
US20070011139A1 (en) * | 2001-04-12 | 2007-01-11 | Burnett Rodney C | Method for constructing and caching a chain of file identifiers and enabling inheritance of resource properties in file systems |
JP2004192601A (ja) * | 2002-10-17 | 2004-07-08 | Hitachi Ltd | ポリシー設定支援ツール |
JP2005044243A (ja) * | 2003-07-25 | 2005-02-17 | Sony Corp | アクセス制御ルール生成装置、およびアクセス制御ルール生成方法、並びにコンピュータ・プログラム |
JP2005063224A (ja) * | 2003-08-15 | 2005-03-10 | Nippon Telegr & Teleph Corp <Ntt> | セキュアosのセキュリティポリシを自動的に生成する方法及び装置並びに該方法を実行するためのプログラム |
JP2005222341A (ja) * | 2004-02-05 | 2005-08-18 | Trend Micro Inc | 情報機器上および伝送経路上でのプログラム分析によるセキュリティの確保 |
JP2006079223A (ja) * | 2004-09-08 | 2006-03-23 | Nec Corp | アプリケーションプログラム管理装置及びそれに用いる管理方法並びにそのプログラム |
US20070107046A1 (en) * | 2005-11-07 | 2007-05-10 | International Business Machines Corporation | Method, system and program product for remotely verifying integrity of a system |
JP2006311590A (ja) * | 2006-06-06 | 2006-11-09 | Ricoh Co Ltd | 画像形成装置およびアプリケーションインストール方法 |
US20080209535A1 (en) * | 2007-02-28 | 2008-08-28 | Tresys Technology, Llc | Configuration of mandatory access control security policies |
Also Published As
Publication number | Publication date |
---|---|
WO2008126773A1 (ja) | 2008-10-23 |
US20100138896A1 (en) | 2010-06-03 |
JPWO2008126773A1 (ja) | 2010-07-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10341251B2 (en) | Method and system for securely transmitting volumes into cloud | |
TWI498744B (zh) | 用於在主機與行動裝置間之任務的雙向動態卸載之方法、系統及電腦可讀儲存裝置 | |
US11044229B2 (en) | Dynamically opening ports for trusted application processes hosted in containers | |
JP5317020B2 (ja) | 情報処理システム、情報処理方法 | |
US9213568B2 (en) | Assigning states to cloud resources | |
US10958633B2 (en) | Method and system for securely transmitting volumes into cloud | |
CN110908609B (zh) | 一种磁盘处理的方法、系统、设备及可读存储介质 | |
US9329906B2 (en) | Virtual machine mobility using resource pools | |
JP2016535373A (ja) | 仮想マシン・マネージャーによって支援される選択的コード完全性強制 | |
CN108205623B (zh) | 用于共享目录的方法和装置 | |
US20190281112A1 (en) | System and method for orchestrating cloud platform operations | |
US10536559B2 (en) | Blocking an interface of a redirected USB composite device | |
US20200320189A1 (en) | Processing method for container security policy and related apparatus | |
JP6003590B2 (ja) | データセンタ,仮想システムの複写サービスの提供方法,データセンタの管理サーバ及び仮想システムの複写プログラム | |
KR20120037381A (ko) | 소프트웨어 컴포넌트 상태에 대한 접근 제어 | |
JP5988505B2 (ja) | 仮想リソース管理装置、選択方法及び選択プログラム | |
US20230244601A1 (en) | Computer memory management in computing devices | |
CN109308288B (zh) | 数据处理方法及装置 | |
JP2017515236A (ja) | ハードディスクがアプリケーションコードを実行するための方法および装置 | |
KR20200131375A (ko) | 서버 애플리케이션 컨테이너화 방법 및 이를 수행하는 컴퓨터 시스템 | |
US11429412B2 (en) | Guest protection from application code execution in kernel mode | |
CN118043784A (zh) | 提供商网络中的分布式数据处理应用程序服务 | |
JP2019525311A (ja) | ネットワークアクセス可能なデータボリューム変更 | |
JPWO2010095561A1 (ja) | 情報処理システム及び情報処理システムの動作方法 | |
CN112470443B (zh) | 将复位向的生物辨识装置隔离到远程会话 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121204 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130204 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130225 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130524 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20130603 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130617 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5317020 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130630 |
|
LAPS | Cancellation because of no payment of annual fees |