JP6628120B2 - Communication monitoring device and communication monitoring system - Google Patents

Communication monitoring device and communication monitoring system Download PDF

Info

Publication number
JP6628120B2
JP6628120B2 JP2014200159A JP2014200159A JP6628120B2 JP 6628120 B2 JP6628120 B2 JP 6628120B2 JP 2014200159 A JP2014200159 A JP 2014200159A JP 2014200159 A JP2014200159 A JP 2014200159A JP 6628120 B2 JP6628120 B2 JP 6628120B2
Authority
JP
Japan
Prior art keywords
communication
unit
address
target
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014200159A
Other languages
Japanese (ja)
Other versions
JP2016072801A (en
Inventor
智宏 織田
智宏 織田
正夫 秋元
正夫 秋元
藏前 健治
健治 藏前
浩茂 中谷
浩茂 中谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2014200159A priority Critical patent/JP6628120B2/en
Publication of JP2016072801A publication Critical patent/JP2016072801A/en
Application granted granted Critical
Publication of JP6628120B2 publication Critical patent/JP6628120B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Selective Calling Equipment (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、ネットワークにおける通信を監視する通信監視装置及び通信監視システムに関する。   The present invention relates to a communication monitoring device and a communication monitoring system that monitor communication in a network.

エアコン、照明、電力量計等に接続された制御装置が、電気使用状況や発電状況を取得することにより、宅内等におけるエネルギーの管理を支援するエネルギーマネジメントシステム(EMS)知られている(特許文献1参照)。   2. Description of the Related Art An energy management system (EMS) that supports energy management in a house or the like by acquiring a power usage status or a power generation status by a control device connected to an air conditioner, lighting, a watt hour meter, or the like is known (Patent Document 1) 1).

EMSでは、各社の機器が標準化されたプロトコルで通信することが求められるが、接続される機器によってはシステムの動作に影響を与える可能性がある。例えば、標準プロトコルに従うように作成された不正なプログラムにより、コンピュータからEMSに接続され、EMSが悪用される可能性がある。   In EMS, devices of various companies are required to communicate using a standardized protocol. However, there is a possibility that the operation of the system may be affected depending on the connected devices. For example, there is a possibility that a computer is connected to the EMS by an unauthorized program created according to a standard protocol, and the EMS is abused.

特開2013-219848号公報JP 2013-219848 A

不正な接続からEMSを保護するには、EMSを構成するすべての機器を保護する必要があるが、EMSを構成する全ての機器が不正な通信を検知及び遮断する機能を有すること及び全ての機器に対する不正な通信を検知及び遮断することは一般に困難である。   In order to protect the EMS from unauthorized connection, it is necessary to protect all the devices that make up the EMS. However, all the devices that make up the EMS have the function of detecting and blocking unauthorized communication, and all the devices. It is generally difficult to detect and block unauthorized communications to

本発明は、上記問題点を鑑み、不正な通信を簡単且つ適正に制限することができる通信監視装置及び通信監視システムを提供することを目的とする。   The present invention has been made in view of the above problems, and has as its object to provide a communication monitoring device and a communication monitoring system capable of simply and appropriately restricting unauthorized communication.

上記目的を達成するために、本発明の第1の態様は、少なくとも1つの機器と、前記少なくとも1つの機器のそれぞれと相互認証することによって前記少なくとも1つの機器のそれぞれを登録することにより前記少なくとも1つの機器のそれぞれを管理する管理システムを構成する1つの制御装置とに、ネットワークを介して通信可能に接続される通信監視装置であって、ネットワークに接続された対象機器から、対象機器が管理システムにおける通信を開始する際の宛先アドレスが含まれる通信開始通知を受信する通信部と、管理システムにおける正当な機器か否かの判断基準を記憶する記憶部と、通信部により受信された通信開始通知と、記憶部に記憶された判断基準とを比較することにより、対象機器が管理システムにおける正当な機器か否かを判断する判断部と、判断部により対象機器が正当な機器でないと判断された場合において、対象機器の通信を制限する通信制限部とを備え、記憶部は、制御装置のアドレスを記憶し、判断部は、通信開始通知の宛先アドレスが制御装置のアドレスと異なる機器に対して所定時間内に通信開始通知が順次送信されている場合、対象機器が正当な機器でないと判断する通信監視装置であることを要旨とする。 In order to achieve the above object, a first aspect of the present invention provides that at least one device and the at least one device are registered by mutual authentication with each of the at least one device. A communication monitoring device communicably connected via a network to one control device constituting a management system that manages each of the one device, wherein the target device is managed from a target device connected to the network. A communication unit that receives a communication start notification including a destination address when starting communication in the system, a storage unit that stores criteria for determining whether or not the device is a legitimate device in the management system, and a communication start received by the communication unit By comparing the notification with the judgment criteria stored in the storage unit, the target device can be identified as a valid device in the management system. A determination unit that determines whether or not the target device is not a legitimate device, and a communication restriction unit that restricts communication of the target device when the determination unit determines that the target device is not a valid device. stored, determination unit, if it is communication start sending notifications sequentially within a predetermined time for different destination address of the communication start notification is the address of the control device apparatus, the target device is judged not to be authorized device The gist is to be a communication monitoring device.

本発明の第2の態様は、少なくとも1つの機器と、前記少なくとも1つの機器のそれぞれと相互認証することによって前記少なくとも1つの機器のそれぞれを登録することにより前記少なくとも1つの機器のそれぞれを管理する管理システムを構成する1つの制御装置とに、ネットワークを介して通信可能に接続される通信監視装置とを備える通信監視システムであることを要旨とし、通信監視装置は、ネットワークに接続された対象機器から、対象機器が管理システムにおける通信を開始する際の宛先アドレスが含まれる通信開始通知を受信する通信部、管理システムにおける正当な機器か否かの判断基準を記憶する記憶部、通信部により受信された通信開始通知と、記憶部に記憶された判断基準とを比較することにより、対象機器が管理システムにおける正当な機器か否かを判断する判断部、及び判断部により対象機器が正当な機器でないと判断された場合において、対象機器の通信を制限する通信制限部を備え、記憶部は、制御装置のアドレスを記憶し、判断部は、通信開始通知の宛先アドレスが制御装置のアドレスと異なる機器に対して所定時間内に通信開始通知が順次送信されている場合、対象機器が正当な機器でないと判断することを特徴とする。 A second aspect of the invention manages each of the at least one device by registering each of the at least one device and each of the at least one device by cross-certifying with each of the at least one device. The gist of the present invention is a communication monitoring system including one control device that constitutes a management system and a communication monitoring device that is communicably connected via a network, wherein the communication monitoring device is a target device connected to the network. A communication unit that receives a communication start notification including a destination address when the target device starts communication in the management system, a storage unit that stores criteria for determining whether the device is a valid device in the management system, and a communication unit that receives the notification. The target device is managed by comparing the notified communication start notification with the judgment criteria stored in the storage unit. A determination unit that determines whether or not the device is a legitimate device in the system, and a communication restriction unit that restricts communication with the target device when the determination unit determines that the target device is not a legitimate device. storing the address of the device, the determination unit, when being communicated starts sending notifications sequentially within a predetermined time for different destination address of the communication start notification is the address of the control device apparatus, the target device is authorized device It is characterized by judging that it is not.

本発明によれば、不正な機器による接続を簡単且つ適正に制限することができる通信監視装置及び通信監視システムを提供することができる。   According to the present invention, it is possible to provide a communication monitoring device and a communication monitoring system capable of easily and appropriately restricting connection by an unauthorized device.

本発明の実施の形態に係る通信監視システムの基本的な構成を説明する模式的なブロック図である。FIG. 1 is a schematic block diagram illustrating a basic configuration of a communication monitoring system according to an embodiment of the present invention. 本発明の実施の形態に係る通信監視システムが備える通信監視装置の基本的な構成を説明するブロック図である。FIG. 1 is a block diagram illustrating a basic configuration of a communication monitoring device included in a communication monitoring system according to an embodiment of the present invention. 本発明の実施の形態に係る通信監視システムに用いる登録機器情報を図示した一例である。3 is an example illustrating registered device information used in the communication monitoring system according to the embodiment of the present invention. 本発明の実施の形態に係る通信監視システムに用いるネットワーク情報を図示した一例である。It is an example which illustrated network information used for the communication monitoring system according to the embodiment of the present invention. 本発明の実施の形態に係る通信監視システムが備える監視情報を図示した一例である。4 is an example illustrating monitoring information provided in the communication monitoring system according to the embodiment of the present invention. 本発明の実施の形態に係る通信監視システムの動作例を説明するシーケンス図である。FIG. 4 is a sequence diagram illustrating an operation example of the communication monitoring system according to the embodiment of the present invention. 本発明の実施の形態に係る通信監視システムが備える通信監視装置の動作例を説明するフローチャートである。5 is a flowchart illustrating an operation example of a communication monitoring device included in the communication monitoring system according to the embodiment of the present invention.

次に、図面を参照して、本発明の実施形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付し、重複する説明を省略している。   Next, an embodiment of the present invention will be described with reference to the drawings. In the following description of the drawings, the same or similar parts are denoted by the same or similar reference numerals, and redundant description is omitted.

(通信監視システム)
本発明の実施の形態に係る通信監視システムは、図1に示すように、通信監視装置1と、制御装置2と、複数の機器3a〜3cと、通信監視装置1、制御装置2及び複数の機器3a〜3cを互いに通信可能に接続するネットワークNと、ルータ6とを備える。ルータ6は、例えば宅内のネットワークNに接続され、制御装置2及び機器3a〜3cと、インターネット7との通信を中継する。 (Communication monitoring system)
As shown in FIG. 1, a communication monitoring system according to an embodiment of the present invention includes a communication monitoring device 1, a control device 2, a plurality of devices 3a to 3c, a communication monitoring device 1, a control device 2, and a plurality of devices. It includes a network N for connecting the devices 3a to 3c so that they can communicate with each other, and a router 6. The router 6 is connected to, for example, a home network N, and relays communication between the control device 2 and the devices 3a to 3c and the Internet 7.

制御装置2は、機器3a〜3cとそれぞれ相互認証することにより、機器3a〜3cを登録する。制御装置2は、機器3a〜3cを登録することにより、機器3a〜3cと共に管理システムMを構成する。管理システムMは、例えば、機器3a〜3cの使用電力量、発電余剰電力量等を制御装置2により管理するホームエネルギーマネジメントシステム(HEMS)である。   The control device 2 registers the devices 3a to 3c by mutually authenticating with the devices 3a to 3c. The control device 2 configures the management system M together with the devices 3a to 3c by registering the devices 3a to 3c. The management system M is, for example, a home energy management system (HEMS) in which the control device 2 manages the amount of power used by the devices 3a to 3c, the surplus power generation, and the like.

制御装置2は、例えばHEMSにおけるコントローラである。この場合、機器3a〜3cは、例えば、エアコン、冷蔵庫、照明装置等の家電機器や、太陽電池、蓄電池等の電源機器からそれぞれ構成される。機器3a〜3cは、その他、スマートメータ、電気自動車(EV)、プラグインハイブリッド車(PHV)、給湯器等から構成されてもよい。図1に示す例おいて、制御装置2と管理システムMを構成する機器3a〜3cの数は、3となっているが、単数であっても、3以外の複数であってもよい。   The control device 2 is, for example, a controller in the HEMS. In this case, each of the devices 3a to 3c includes, for example, a home electric device such as an air conditioner, a refrigerator, and a lighting device, and a power device such as a solar battery and a storage battery. In addition, the devices 3a to 3c may include a smart meter, an electric vehicle (EV), a plug-in hybrid vehicle (PHV), a water heater, and the like. In the example shown in FIG. 1, the number of devices 3 a to 3 c constituting the control device 2 and the management system M is three, but may be a single number or a plurality other than three.

ネットワークNの回線は、無線であっても有線であってもよい。ネットワークNは、適宜、スイッチングハブ、アクセスポイント等の中継装置を含む。本発明の実施の形態に係る通信監視システムは、図1に示すように、ネットワークNに不正機器4が接続された場合であっても、ネットワークNにおける通信を監視することにより、不正機器4による不正な通信を制限することができる。ネットワークNは、例えばパソコン等のその他の機器5が接続されてもよい。   The line of the network N may be wireless or wired. The network N appropriately includes a relay device such as a switching hub or an access point. As shown in FIG. 1, the communication monitoring system according to the embodiment of the present invention monitors communication on the network N even when the unauthorized device 4 is Unauthorized communication can be restricted. The network N may be connected to another device 5 such as a personal computer.

通信監視装置1は、図2に示すように、処理部10と、記憶部11と、提示部16と、通信部17とを備えるコンピュータからなる。通信監視装置1は、記憶部11に記憶されたプログラムを処理部10により実行する。記憶部11は、例えば、ディスクメディアや半導体メモリ等の記憶装置から構成される。通信部17は、ネットワークNに通信可能に接続され、処理部10の制御に応じて、ネットワークNに接続された他の機器と通信する。   The communication monitoring device 1 includes a computer including a processing unit 10, a storage unit 11, a presentation unit 16, and a communication unit 17, as shown in FIG. The communication monitoring device 1 executes the program stored in the storage unit 11 by the processing unit 10. The storage unit 11 includes, for example, a storage device such as a disk medium or a semiconductor memory. The communication unit 17 is communicably connected to the network N, and communicates with other devices connected to the network N under the control of the processing unit 10.

処理部10は、判断部101と、通信制限部102と、監視処理部103とを論理構造として有する。処理部10は、例えばマイクロコンピュータ等の演算処理装置から構成される。処理部10が論理構造として有する各部は、一体のハードウェアから構成されてもよく、別個のハードウェアから構成されてもよい。   The processing unit 10 has a logical structure including a determination unit 101, a communication restriction unit 102, and a monitoring processing unit 103. The processing unit 10 includes an arithmetic processing device such as a microcomputer. Each unit that the processing unit 10 has as a logical structure may be configured by integrated hardware or may be configured by separate hardware.

判断部101は、通信部17により取得された情報から、ネットワークNにおける通信を監視し、ネットワークNに新たな機器が接続されたことを検知する。判断部101は、新たに接続された機器を対象機器として、対象機器が正当な機器か否かを判断する。通信制限部102は、判断部101により対象機器が正当な機器でないと判断された場合において、対象機器の通信を制限する。   The determining unit 101 monitors communication on the network N from the information acquired by the communication unit 17 and detects that a new device is connected to the network N. The determination unit 101 determines whether a newly connected device is a target device and whether the target device is a legitimate device. The communication restriction unit 102 restricts communication of the target device when the determination unit 101 determines that the target device is not a valid device.

監視処理部103は、判断部101の監視に関する種々の演算を処理する。監視処理部103は、判断部101が正当な機器か否かの判断に用いる判断基準12を作成し、記憶部11に記憶させる。監視処理部103は、判断部101が監視したネットワークNの通信から、ネットワークNの構成、通信履歴を取得する。   The monitoring processing unit 103 processes various calculations relating to the monitoring of the determining unit 101. The monitoring processing unit 103 creates the criterion 12 used by the determining unit 101 to determine whether the device is a legitimate device, and stores the criterion 12 in the storage unit 11. The monitoring processing unit 103 acquires the configuration and communication history of the network N from the communication of the network N monitored by the determining unit 101.

記憶部11は、登録機器情報13と、ネットワーク情報14と、監視情報15とを判断基準12として記憶する。登録機器情報13は、例えば図3に示すように、制御装置2に登録されている機器3a〜3cに関する情報である。登録機器情報13は、機器3a〜3cのIP(Internet Protocol)アドレス、MAC(Media Access Control)アドレス及び機器種別情報(インスタンスリスト)がそれぞれ機器3a〜3cに関連付けて記憶される。   The storage unit 11 stores the registered device information 13, the network information 14, and the monitoring information 15 as the criterion 12. The registered device information 13 is information on the devices 3a to 3c registered in the control device 2, for example, as shown in FIG. The registered device information 13 stores IP (Internet Protocol) addresses, MAC (Media Access Control) addresses, and device type information (instance list) of the devices 3a to 3c in association with the devices 3a to 3c, respectively.

制御装置2は、各機器3a〜3cが管理システムMに参入するために、管理システムMにおける通信を開始する際にブロードキャストによりそれぞれ送信する通信開始通知から、登録機器情報13を取得する。通信開始通知は、目標とする制御装置2のMACアドレス(物理アドレス)を要求するARP(Address Resolution Protocol)要求である。   The control device 2 acquires the registered device information 13 from a communication start notification transmitted by broadcast when starting communication in the management system M so that each of the devices 3a to 3c enters the management system M. The communication start notification is an ARP (Address Resolution Protocol) request for requesting the MAC address (physical address) of the target control device 2.

登録機器情報13は、監視処理部103により、通信部17を介して制御装置2から取得され、記憶部11に記憶される。登録機器情報13は、例えば、HEMSにおいて使用される標準化されたプロトコルである「ECHONET Lite」(登録商標)のインスタンスリスト通知により取得される。インスタンスリストは、制御装置2に登録されている機器3a〜3cそれぞれの種別を示す機器種別情報を含む。   The registered device information 13 is acquired by the monitoring processing unit 103 from the control device 2 via the communication unit 17 and stored in the storage unit 11. The registered device information 13 is acquired by, for example, an instance list notification of “ECHONET Lite” (registered trademark), which is a standardized protocol used in HEMS. The instance list includes device type information indicating the type of each of the devices 3a to 3c registered in the control device 2.

ネットワーク情報14は、例えば図4に示すように、ネットワークNに接続される全ての機器に関する情報である。ネットワーク情報14は、監視処理部103により作成され、記憶部11に記憶される。ネットワーク情報14は、MACアドレス、IPアドレス、機器種別情報及び判断指標がそれぞれネットワークNに接続される全ての機器に関連付けて記憶される。監視処理部103は、制御装置2から取得された登録機器情報13又はネットワークNに接続される各機器から送信された通信開始通知から、MACアドレス、IPアドレス、機器種別情報を取得する。   The network information 14 is information on all devices connected to the network N, for example, as shown in FIG. The network information 14 is created by the monitoring processing unit 103 and stored in the storage unit 11. The network information 14 stores a MAC address, an IP address, device type information, and a judgment index in association with all devices connected to the network N. The monitoring processing unit 103 acquires the MAC address, the IP address, and the device type information from the registered device information 13 acquired from the control device 2 or the communication start notification transmitted from each device connected to the network N.

ネットワーク情報14の判断指標は、MACアドレス、IPアドレス又は機器種別情報に基づいて、監視処理部103により決定される。判断指標において、「ルータ」と記録された機器はルータ6であることを意味し、「登録」と記録された機器は、機器3a〜3cであることを意味している。「外部機器」と記録された機器は、管理システムMに参入していないが正当な機器であるその他の機器5であることを意味している。また、「遮断対象」と記録された機器は、既に判断部101により正当な機器でないと判断された不正機器4であることを意味している。   The judgment index of the network information 14 is determined by the monitoring processing unit 103 based on the MAC address, the IP address, or the device type information. In the judgment index, the device recorded as "router" means the router 6, and the device recorded as "registered" means the devices 3a to 3c. The device recorded as “external device” means other device 5 that has not entered the management system M but is a valid device. Further, the device recorded as “interruption target” means the unauthorized device 4 that has already been determined by the determination unit 101 as not a legitimate device.

監視情報15は、例えば図5に示すように、通信部17が通信開始通知(ARP要求)を受信する毎に更新される判断部101による判断の履歴である。監視情報15は、通信開始通知の送信日時、送信元IPアドレス、送信先IPアドレス(宛先IPアドレス)、通信の分析結果及び判断部101による判断結果を、通信開始通知毎に記憶される。   The monitoring information 15 is, for example, as shown in FIG. 5, a history of the determination made by the determining unit 101 that is updated each time the communication unit 17 receives a communication start notification (ARP request). The monitoring information 15 stores the transmission date and time of the communication start notification, the transmission source IP address, the transmission destination IP address (destination IP address), the analysis result of the communication, and the determination result by the determination unit 101 for each communication start notification.

判断部101は、通信開始通知を送信した機器を対象機器として、通信部17が通信開始通知を受信したことに応じて、対象機器が管理システムMにおける正当な機器か否かを判断する。判断部101は、通信部17により受信された通信開始通知と、判断基準12とを比較することにより、対象機器が正当な機器か否かを判断する。   The determination unit 101 determines whether the device that has transmitted the communication start notification is the target device and determines whether the target device is a valid device in the management system M in response to the communication unit 17 receiving the communication start notification. The determination unit 101 determines whether the target device is a legitimate device by comparing the communication start notification received by the communication unit 17 with the determination criterion 12.

例えば、判断部101は、ブロードキャストにより送信されたARP要求の宛先IPアドレスが、制御装置2のIPアドレスと異なる場合において、対象機器が正当な機器でないと判断する。一般に、管理システムMに参入する場合、先ず制御装置2と相互認証し、制御装置2に登録される必要がある。よって、判断部101は、制御装置2以外のMACアドレスを要求する対象機器に対して、不正な機器であると判断する。   For example, when the destination IP address of the ARP request transmitted by broadcast is different from the IP address of the control device 2, the determination unit 101 determines that the target device is not a legitimate device. Generally, when joining the management system M, it is necessary to first mutually authenticate with the control device 2 and register it in the control device 2. Therefore, the determination unit 101 determines that the target device other than the control device 2 that requests the MAC address is an unauthorized device.

通信制限部102は、判断部101により対象機器が正当な機器でないと判断された場合において、対象機器の通信を制限するように、対象機器の通信を妨害するように機能する妨害パケットを対象機器に送信する。   When the determination unit 101 determines that the target device is not a legitimate device, the communication restriction unit 102 restricts the communication of the target device by an interfering packet that functions to hinder the communication of the target device. Send to

例えば、通信制限部102は、制御装置2以外のIPアドレスを宛先アドレスとして、制御装置2のMACアドレスを要求するARP要求を送信した不正機器4に対して、妨害パケットを送信する。通信制限部102は、例えば、制御装置2のMACアドレスと異なるMACアドレスを含む偽のARP応答を、妨害パケットとして不正機器4に送信する。偽のARP応答は、例えば通信監視装置1の通信部17のMACアドレスを、制御装置2のMACアドレスとして含む。これにより、不正機器4が制御装置2に宛てて送信する要求等のパケットは、全て通信監視装置1の通信部17に送信されることになる。通信部17は、不正機器4から送信されるパケットを全て破棄すればよい。   For example, the communication restriction unit 102 transmits an interference packet to the unauthorized device 4 that has transmitted the ARP request for requesting the MAC address of the control device 2 with an IP address other than the control device 2 as a destination address. The communication restricting unit 102 transmits, for example, a fake ARP response including a MAC address different from the MAC address of the control device 2 to the unauthorized device 4 as a disturbing packet. The fake ARP response includes, for example, the MAC address of the communication unit 17 of the communication monitoring device 1 as the MAC address of the control device 2. As a result, all packets such as requests transmitted by the unauthorized device 4 to the control device 2 are transmitted to the communication unit 17 of the communication monitoring device 1. The communication unit 17 may discard all packets transmitted from the unauthorized device 4.

提示部16は、光、画像、文字等を出力するディスプレイ装置や、音声を出力するスピーカ等からなる。提示部16は、判断部101が対象機器に対して正当な機器でないと判断したことに応じて、ネットワークN内において不正な機器が検出されたことを報知する報知情報をユーザに提示する。   The presentation unit 16 includes a display device that outputs light, images, characters, and the like, a speaker that outputs audio, and the like. The presentation unit 16 presents, to the user, notification information that notifies that an unauthorized device has been detected in the network N in response to the determination unit 101 determining that the target device is not a valid device.

なお、本発明の実施の形態において、不正な(正当でない)機器とは、標準化されたプロトコルで通信するが、管理システムMにおける正常な動作が担保されていない機器、管理システムMに悪影響を与えることを想定された機器等を意味する。   In the embodiment of the present invention, an unauthorized (unauthorized) device communicates with a standardized protocol, but adversely affects the device and the management system M that are not guaranteed to operate normally in the management system M. Means a device or the like that is supposed to do so.

(通信監視システムの動作)
以下、図6のシーケンス図を用いて、本発明の実施の形態に係る通信監視システムの動作の一例を説明する。 (Operation of the communication monitoring system)
Hereinafter, an example of the operation of the communication monitoring system according to the embodiment of the present invention will be described using the sequence diagram of FIG.

例えば、ステップS101において、ネットワークNに接続された機器3aが制御装置2のMACアドレスを要求するARP要求をブロードキャストにより送信する。なお、図6において破線は、ブロードキャストを意味し、ネットワークNに接続された全ての機器にARP要求が送信されていることを示す。ステップS102において、制御装置2は、ステップS101のARP要求に応じて、自身のMACアドレスを含むARP応答を機器3aにユニキャストにより送信する。制御装置2がARP応答を送信することにより、機器3a及び制御装置2は、互いのMACアドレスを取得し、互いに通信可能に接続される。   For example, in step S101, the device 3a connected to the network N transmits an ARP request for requesting the MAC address of the control device 2 by broadcast. In FIG. 6, a broken line indicates a broadcast, and indicates that the ARP request is transmitted to all devices connected to the network N. In step S102, the control device 2 transmits an ARP response including its own MAC address to the device 3a by unicast in response to the ARP request in step S101. When the control device 2 transmits the ARP response, the device 3a and the control device 2 acquire each other's MAC address, and are connected to be communicable with each other.

同様に、ステップS103において機器3bがARP要求を送信した場合、制御装置2は、ステップS104において、自身のMACアドレスを含むARP応答を機器3bに送信する。パソコン、スマートフォン、タブレット端末等のその他の機器5の場合も同様に、ステップS105において機器5がARP要求を送信すると、制御装置2は、ステップS106において、自身のMACアドレスを含むARP応答を機器5に送信する。   Similarly, when the device 3b transmits the ARP request in Step S103, the control device 2 transmits an ARP response including its own MAC address to the device 3b in Step S104. Similarly, in the case of other devices 5 such as a personal computer, a smartphone, and a tablet terminal, when the device 5 transmits an ARP request in step S105, the control device 2 transmits an ARP response including its own MAC address in step S106. Send to

通信監視装置1は、ステップS101,S103,S105のARP要求が制御装置2のMACアドレスを要求するものであり、判断基準12に基づいて、機器5及び登録機器情報13とアドレスが一致する機器3a,3bを正当な機器であると判断する。この場合、通信監視装置1は、機器3a,3b及び機器5に対して通信を制限する妨害パケットを送信しない。   The communication monitoring device 1 requests the ARP request in steps S101, S103, and S105 for the MAC address of the control device 2, and the device 3a whose address matches the device 5 and the registered device information 13 based on the criterion 12. , 3b are determined to be valid devices. In this case, the communication monitoring device 1 does not transmit an interference packet for restricting communication to the devices 3a, 3b and the device 5.

例えば、ステップS107において、不正機器4が、制御装置2のMACアドレスを要求するARP要求をブロードキャストにより送信する。ステップS108において、制御装置2は、ステップS107のARP要求に応じて、自身のMACアドレスを含むARP応答を不正機器4にユニキャストにより送信する。ARP応答によって、不正機器4及びネットワークNに含まれるスイッチングハブ等の中継装置は、制御装置2のMACアドレスを記憶し、不正機器4と制御装置2との間が一時的に通信可能に接続される。   For example, in step S107, the unauthorized device 4 broadcasts an ARP request for the MAC address of the control device 2. In step S108, the control device 2 transmits an ARP response including its own MAC address to the unauthorized device 4 by unicast in response to the ARP request in step S107. By the ARP response, the unauthorized device 4 and a relay device such as a switching hub included in the network N store the MAC address of the control device 2, and the unauthorized device 4 and the control device 2 are temporarily communicably connected. You.

ステップS107において、通信監視装置1は、ARP要求に含まれる送信元MACアドレス又は送信元IPアドレス(送信元アドレス)を、ネットワーク情報14において「遮断対象」と記録される機器のアドレスから検知したとする。この場合、通信制限部102は、ステップS107において通信部17がARP要求を受信してから所定時間経過後のステップS109において、妨害パケットである偽のARP応答を不正機器4に送信する。ステップS109の処理は、ステップS108のARP応答が確実に送信された後に行われるように、例えばステップS107においてARP要求を受信してから数十ms〜数秒後とすることができる。   In step S107, the communication monitoring device 1 detects the source MAC address or the source IP address (source address) included in the ARP request from the address of the device recorded as “interruption target” in the network information 14. I do. In this case, the communication restriction unit 102 transmits a fake ARP response, which is an interfering packet, to the unauthorized device 4 in step S109 after a predetermined time has elapsed after the communication unit 17 received the ARP request in step S107. The process of step S109 may be performed several tens ms to several seconds after the ARP request is received in step S107, for example, so that the process of step S109 is performed after the ARP response of step S108 is securely transmitted.

ステップS109の偽のARP応答によって、不正機器4及びネットワークNに含まれるスイッチングハブ等の中継装置は、制御装置2のMACアドレスとして制御装置2のMACアドレスと異なるアドレスを上書きする。これにより、通信監視装置1は、不正機器4を制御装置2と通信不能とすることができる。   Due to the fake ARP response in step S109, the unauthorized device 4 and the relay device such as the switching hub included in the network N overwrite the MAC address of the control device 2 with an address different from the MAC address of the control device 2. Thereby, the communication monitoring device 1 can make the unauthorized device 4 unable to communicate with the control device 2.

また、ステップS110において、不正機器4が、機器3aのMACアドレスを要求するARP要求をブロードキャストにより送信したとする。ステップS111において、機器3aは、ステップS110のARP要求に応じて、自身のMACアドレスを含むARP応答を不正機器4にユニキャストにより送信する。ARP応答によって、不正機器4及びネットワークNに含まれるスイッチングハブ等の中継装置は、機器3aのMACアドレスを記憶し、不正機器4と機器3aとの間が一時的に通信可能に接続される。   Further, it is assumed that in step S110, the unauthorized device 4 has transmitted an ARP request for requesting the MAC address of the device 3a by broadcast. In step S111, the device 3a transmits an ARP response including its own MAC address to the unauthorized device 4 by unicast in response to the ARP request in step S110. By the ARP response, the relay device such as the switching hub included in the unauthorized device 4 and the network N stores the MAC address of the device 3a, and the unauthorized device 4 and the device 3a are temporarily communicably connected.

ステップS110において、通信監視装置1は、ARP要求に含まれる宛先IPアドレスが、制御装置2のIPアドレスと異なることを検出する。この場合、通信制限部102は、ステップS110において通信部17がARP要求を受信してから所定時間経過後のステップS112において、妨害パケットである偽のARP応答を不正機器4に送信する。   In step S110, the communication monitoring device 1 detects that the destination IP address included in the ARP request is different from the IP address of the control device 2. In this case, the communication restricting unit 102 transmits a fake ARP response, which is a disturbing packet, to the unauthorized device 4 in step S112 after a predetermined time has elapsed since the communication unit 17 received the ARP request in step S110.

偽のARP応答によって、不正機器4及びネットワークNに含まれるスイッチングハブ等の中継装置は、制御装置2のMACアドレスとして制御装置2のMACアドレス異なるアドレスを上書きする。これにより、通信監視装置1は、不正機器4を機器3aと通信不能とすることができる。ステップS113〜S118における処理は、ステップS110〜S112における処理と実質的に同様であり、重複するため省略する。   The relay device such as the switching hub included in the unauthorized device 4 and the network N overwrites a different MAC address of the control device 2 as the MAC address of the control device 2 by the false ARP response. Thus, the communication monitoring device 1 can disable the unauthorized device 4 from communicating with the device 3a. The processing in steps S113 to S118 is substantially the same as the processing in steps S110 to S112, and will not be described because they overlap.

−通信監視装置の動作−
以下、図7のフローチャートを用いて、ARP要求を受信した場合における通信監視装置1の基本的な動作の一例を説明する。 −Operation of the communication monitoring device−
Hereinafter, an example of a basic operation of the communication monitoring device 1 when an ARP request is received will be described with reference to a flowchart of FIG.

先ず、ステップS21において、通信部17は、ネットワークNに接続された対象機器から、ARP要求を受信する。ステップS22において、判断部101は、通信部17により受信されたARP要求と、記憶部11に記憶された判断基準12とを比較することにより、対象機器が管理システムMにおける正当な機器か否かを判断する。対象機器を正当と判断する場合は、処理を終了し、正当でないと判断する場合は、ステップS23に処理を進める。   First, in step S21, the communication unit 17 receives an ARP request from a target device connected to the network N. In step S22, the determination unit 101 compares the ARP request received by the communication unit 17 with the determination criterion 12 stored in the storage unit 11 to determine whether the target device is a valid device in the management system M. Judge. If it is determined that the target device is valid, the process ends, and if it is determined that the target device is not valid, the process proceeds to step S23.

ステップS23において、通信制限部102は、正当な機器でないと判断された対象機器に、通信部17のMACアドレスを含む妨害パケットを偽のARP応答として送信することにより、対象機器の通信を制限する。   In step S23, the communication restricting unit 102 restricts communication of the target device by transmitting, as a fake ARP response, a disturbing packet including the MAC address of the communication unit 17 to the target device determined to be not a legitimate device. .

本発明の実施の形態に係る通信監視システムによれば、通信監視装置1が、対象機器から受信したARP要求と判断基準12とに基づいて、対象機器が正当な機器であるか否かを判断し、不正な機器の通信を制限する。よって、不正機器による接続を簡単且つ適正に制限することができる。   According to the communication monitoring system according to the embodiment of the present invention, the communication monitoring device 1 determines whether the target device is a legitimate device based on the ARP request received from the target device and the criterion 12. And restrict the communication of unauthorized devices. Therefore, the connection by the unauthorized device can be easily and appropriately restricted.

また、本発明の実施の形態に係る通信監視システムによれば、通信監視装置1が、不正機器に自身のMACアドレスを含む偽のARP応答を送信することにより、簡単な方法で、確実に不正機器の通信を制限することができる。   Further, according to the communication monitoring system according to the embodiment of the present invention, the communication monitoring device 1 transmits a fake ARP response including its own MAC address to the unauthorized device, thereby ensuring the unauthorized access in a simple manner. Device communication can be restricted.

(その他の実施形態)
上記のように、本発明を実施の形態によって記載したが、この開示の一部をなす論述及び図面は本発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。 (Other embodiments)
As described above, the present invention has been described by the embodiments. However, it should not be understood that the description and drawings forming a part of the present disclosure limit the present invention. From this disclosure, various alternative embodiments, examples, and operation techniques will be apparent to those skilled in the art.

例えば、既に述べた実施の形態において、図6に示すように、不正機器4のIPアドレスが「192.168.0.40」であったとする。この場合、12時2分10秒に受信されたARP要求が、制御装置2を宛先として送信されたものであり、且つ判断基準12において不正機器4に関する情報が未だない場合、不正機器4は正当な機器であると判断されてしまう。   For example, in the embodiment described above, it is assumed that the IP address of the unauthorized device 4 is “192.168.0.40” as shown in FIG. In this case, if the ARP request received at 12:02:10 is addressed to the control device 2 and there is no information regarding the unauthorized device 4 in the criterion 12, the unauthorized device 4 is determined to be valid. Is determined to be an appropriate device.

不正機器4は、所定時間内に他の複数の機器にARP要求を順次送信している場合、判断部101は、この通信パターンを用いて、不正機器4が正当な機器でないと判断することができる。具体的には、直後4回のARP要求に応じて、判断部101は、不正機器4に対して「注意」、「警戒」、「遮断」と順次警戒レベルを高めていき、「遮断」となったことにより、不正機器4を正当な機器でないと判断するようにすればよい。   When the unauthorized device 4 sequentially transmits the ARP request to a plurality of other devices within a predetermined time, the determining unit 101 may determine that the unauthorized device 4 is not a legitimate device using this communication pattern. it can. Specifically, in response to the four immediately following ARP requests, the determination unit 101 sequentially raises the alert level of the unauthorized device 4 to “caution”, “alert”, and “shutdown”, and then “shutdown”. Then, it may be determined that the unauthorized device 4 is not a legitimate device.

また、判断基準12は、制御装置2が行った通信に関する情報に基づいて、適宜更新されるようにしてもよい。制御装置2に対する要求や通知は、多くの場合ユニキャストで送信されるため、通信監視装置1が受信できない可能性がある。このため、監視処理部103は、通信部17を介して、制御装置2が行った通信に関する情報を制御装置2から取得し、例えば所定時間内に複数の要求を送信する等、不自然な通信を行う機器を不正機器と判断するように判断基準12を更新するようにしてもよい。また、監視処理部103は、ネットワークNの不自然な通信を、ネットワークNに接続された他の機器から取得するようにしてもよい。   Further, the criterion 12 may be appropriately updated based on information on communication performed by the control device 2. Since the request or notification to the control device 2 is transmitted in many cases by unicast, the communication monitoring device 1 may not be able to receive the request or notification. For this reason, the monitoring processing unit 103 acquires information related to the communication performed by the control device 2 from the control device 2 via the communication unit 17 and transmits a plurality of requests within a predetermined time, for example, causing unnatural communication. The determination criterion 12 may be updated so that the device that performs the determination is determined to be an unauthorized device. Further, the monitoring processing unit 103 may acquire unnatural communication of the network N from another device connected to the network N.

上述した構成及び動作を相互に応用した構成等、本発明はここでは記載していない様々な実施形態等を含むことは勿論である。したがって、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。   The present invention naturally includes various embodiments and the like not described herein, such as a configuration in which the above-described configuration and operation are applied to each other. Therefore, the technical scope of the present invention is determined only by the invention specifying matters according to the claims that are appropriate from the above description.

1 通信監視装置
2 制御装置
3a〜3c 機器
4 不正機器
5 その他の機器
11 記憶部
12 判断基準
13 登録機器情報
17 通信部
101 判断部
102 通信制限部 DESCRIPTION OF SYMBOLS 1 Communication monitoring apparatus 2 Control apparatus 3a-3c apparatus 4 Unauthorized apparatus 5 Other apparatus 11 Storage unit 12 Judgment standard 13 Registered apparatus information 17 Communication unit 101 Judgment unit 102 Communication restriction unit

Claims (5)

少なくとも1つの機器と、前記少なくとも1つの機器のそれぞれと相互認証することによって前記少なくとも1つの機器のそれぞれを登録することにより前記少なくとも1つの機器のそれぞれを管理する管理システムを構成する1つの制御装置とに、ネットワークを介して通信可能に接続される通信監視装置であって、
前記ネットワークに接続された対象機器から、前記対象機器が前記管理システムにおける通信を開始する際の宛先アドレスが含まれる通信開始通知を受信する通信部と、
前記管理システムにおける正当な機器か否かの判断基準を記憶する記憶部と、
前記通信部により受信された前記通信開始通知と、前記記憶部に記憶された前記判断基準とを比較することにより、前記対象機器が前記管理システムにおける正当な機器か否かを判断する判断部と、
前記判断部により前記対象機器が前記正当な機器でないと判断された場合において、前記対象機器の通信を制限する通信制限部と
を備え、
前記記憶部は、前記制御装置のアドレスを記憶し、
前記判断部は、前記通信開始通知の宛先アドレスが前記制御装置のアドレスと異なる機器に対して所定時間内に前記通信開始通知が順次送信されている場合、前記対象機器が前記正当な機器でないと判断することを特徴とする通信監視装置。 At least one device and one control device configuring a management system that manages each of the at least one device by registering each of the at least one device by mutually authenticating with each of the at least one device. And a communication monitoring device communicably connected via a network,
From a target device connected to the network, a communication unit that receives a communication start notification including a destination address when the target device starts communication in the management system,
A storage unit that stores a criterion for determining whether the device is a valid device in the management system,
By comparing the communication start notification received by the communication unit and the determination criterion stored in the storage unit, a determination unit that determines whether the target device is a legitimate device in the management system. ,
A communication restriction unit that restricts communication of the target device when the target device is determined not to be the legitimate device by the determination unit;
The storage unit stores an address of the control device,
The determination unit, when the communication start notification within a predetermined time with respect to the different destination address of the communication start notification is the address of the previous SL controller device are sequentially transmitted, the target device is not the authorized device A communication monitoring device characterized by determining that: 前記記憶部は、前記制御装置に登録されている前記機器のアドレスを記憶し、
前記判断部は、前記通信開始通知の送信元アドレスが、前記登録されている前記少なくとも1つの機器のいずれかのアドレスと一致する場合において、前記対象機器を正当な機器と判断することを特徴とする請求項1に記載の通信監視装置。 The storage unit stores an address of the device registered in the control device,
The determining unit determines that the target device is a legitimate device when the transmission source address of the communication start notification matches an address of any of the registered at least one device. The communication monitoring device according to claim 1. 前記通信制限部は、前記制御装置の物理アドレスとして、前記制御装置の物理アドレスと異なる物理アドレスを前記対象機器に送信することにより、前記対象機器の通信を制限することを特徴とする請求項1または2に記載の通信監視装置。   2. The communication control unit according to claim 1, wherein the communication control unit limits communication of the target device by transmitting a physical address different from a physical address of the control device to the target device as a physical address of the control device. Or the communication monitoring device according to 2. 前記通信部は、前記制御装置が行った通信に関する情報を前記制御装置から受信し、
前記記憶部は、前記制御装置から受信した通信に関する情報に基づいて作成された前記判断基準を記憶することを特徴とする請求項1〜3のいずれか1項に記載の通信監視装置。 The communication unit receives information on the communication performed by the control device from the control device,
The communication monitoring device according to any one of claims 1 to 3, wherein the storage unit stores the determination criterion created based on information on communication received from the control device. 少なくとも1つの機器と、前記少なくとも1つの機器のそれぞれと相互認証することによって前記少なくとも1つの機器のそれぞれを登録することにより前記少なくとも1つの機器のそれぞれを管理する管理システムを構成する1つの制御装置とに、ネットワークを介して通信可能に接続される通信監視装置とを備え、
前記通信監視装置は、
前記ネットワークに接続された対象機器から、前記対象機器が前記管理システムにおける通信を開始する際の宛先アドレスが含まれる通信開始通知を受信する通信部、
前記管理システムにおける正当な機器か否かの判断基準を記憶する記憶部、
前記通信部により受信された前記通信開始通知と、前記記憶部に記憶された前記判断基準とを比較することにより、前記対象機器が前記管理システムにおける正当な機器か否かを判断する判断部、及び
前記判断部により前記対象機器が前記正当な機器でないと判断された場合において、前記対象機器の通信を制限する通信制限部
を備え、
前記記憶部は、前記制御装置のアドレスを記憶し、
前記判断部は、前記通信開始通知の宛先アドレスが前記制御装置のアドレスと異なる機器に対して所定時間内に前記通信開始通知が順次送信されている場合、前記対象機器が前記正当な機器でないと判断することを特徴とする通信監視システム。 At least one device and one control device configuring a management system that manages each of the at least one device by registering each of the at least one device by mutually authenticating with each of the at least one device. And a communication monitoring device communicably connected via a network,
The communication monitoring device,
A communication unit configured to receive a communication start notification including a destination address when the target device starts communication in the management system from the target device connected to the network;
A storage unit that stores a criterion for determining whether or not the device is valid in the management system,
By comparing the communication start notification received by the communication unit and the determination criterion stored in the storage unit, a determination unit that determines whether the target device is a legitimate device in the management system, And when the determination unit determines that the target device is not the legitimate device, a communication restriction unit that restricts communication of the target device,
The storage unit stores an address of the control device,
The determination unit, when the communication start notification within a predetermined time with respect to the different destination address of the communication start notification is the address of the previous SL controller device are sequentially transmitted, the target device is not the authorized device A communication monitoring system characterized by determining that:
JP2014200159A 2014-09-30 2014-09-30 Communication monitoring device and communication monitoring system Active JP6628120B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014200159A JP6628120B2 (en) 2014-09-30 2014-09-30 Communication monitoring device and communication monitoring system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014200159A JP6628120B2 (en) 2014-09-30 2014-09-30 Communication monitoring device and communication monitoring system

Publications (2)

Publication Number Publication Date
JP2016072801A JP2016072801A (en) 2016-05-09
JP6628120B2 true JP6628120B2 (en) 2020-01-08

Family

ID=55865012

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014200159A Active JP6628120B2 (en) 2014-09-30 2014-09-30 Communication monitoring device and communication monitoring system

Country Status (1)

Country Link
JP (1) JP6628120B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019041176A (en) * 2017-08-23 2019-03-14 株式会社ソフトクリエイト Unauthorized connection blocking device and unauthorized connection blocking method

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4174392B2 (en) * 2003-08-28 2008-10-29 日本電気株式会社 Network unauthorized connection prevention system and network unauthorized connection prevention device
JP4245486B2 (en) * 2004-01-08 2009-03-25 富士通株式会社 Network unauthorized connection prevention method and apparatus
JP2005210451A (en) * 2004-01-23 2005-08-04 Fuji Electric Holdings Co Ltd Unauthorized access preventing apparatus and program
US9026639B2 (en) * 2007-07-13 2015-05-05 Pure Networks Llc Home network optimizing system
JP6085962B2 (en) * 2012-12-13 2017-03-01 東芝ライテック株式会社 Management apparatus and address management method

Also Published As

Publication number Publication date
JP2016072801A (en) 2016-05-09

Similar Documents

Publication Publication Date Title
CN107431645B (en) System and method for automatic wireless network authentication
US11070574B2 (en) System and method for preventing security breaches in an internet of things (IoT) system
US10868689B2 (en) Management device of internet-of-thing devices, communication system and communication method
US10838705B2 (en) System and method for service-initiated internet of things (IoT) device updates
US10178579B2 (en) Internet of things (IoT) system and method for selecting a secondary communication channel
US11665524B2 (en) Apparatus and method for registering and associating internet of things (IoT) devices with anonymous IoT device accounts
US11330473B2 (en) System and method for flow control in an internet of things (IoT) system
KR102303689B1 (en) Systems and methods for establishing secure communication channels with Internet of Things (IoT) devices
US10343649B2 (en) Wireless key system and method
US10419930B2 (en) System and method for establishing secure communication channels with internet of things (IoT) devices
KR102537363B1 (en) Systems and methods for secure Internet of Things (IoT) device provisioning
US10171462B2 (en) System and method for secure internet of things (IOT) device provisioning
RU2640726C2 (en) EFFICIENT NETWORK LEVEL FOR IPv6 PROTOCOL
US10116573B2 (en) System and method for managing internet of things (IoT) devices and traffic using attribute classes
US9942328B2 (en) System and method for latched attributes in an internet of things (IOT) system
US10873634B2 (en) Apparatus and method for temporarily loaning internet of things (IOT) devices
JP6536251B2 (en) Communication relay device, communication network, communication relay program and communication relay method
US10924920B2 (en) System and method for internet of things (IoT) device validation
US11694149B2 (en) Apparatus and method for secure transport using internet of things (IoT) devices
CN110958142A (en) Device maintenance method, maintenance device, storage medium, and computer program product
JP6516009B2 (en) Device authentication system, management apparatus and device authentication method
US11217049B2 (en) Secure wireless key system and method with dynamically adjustable modulation
JP6628120B2 (en) Communication monitoring device and communication monitoring system
JP2015162235A (en) authentication system
KR20170115292A (en) Entrance certification method, user certification server and crime prevention controller

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20141107

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20141114

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170222

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180220

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180403

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180911

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181024

A911 Transfer of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20181102

A912 Removal of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20190125

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190911

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191121

R151 Written notification of patent or utility model registration

Ref document number: 6628120

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151