JP7158826B2 - 通信制御装置、通信制御システム及び通信制御方法 - Google Patents
通信制御装置、通信制御システム及び通信制御方法 Download PDFInfo
- Publication number
- JP7158826B2 JP7158826B2 JP2017054860A JP2017054860A JP7158826B2 JP 7158826 B2 JP7158826 B2 JP 7158826B2 JP 2017054860 A JP2017054860 A JP 2017054860A JP 2017054860 A JP2017054860 A JP 2017054860A JP 7158826 B2 JP7158826 B2 JP 7158826B2
- Authority
- JP
- Japan
- Prior art keywords
- internal
- communication control
- message
- external device
- communication unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
Description
本発明は、通信制御装置、通信制御システム及び通信制御方法に関する。
近年において、いわゆるダイオードのように一方向への通信のみを許可することで、通信セキュリティの向上を図るデータダイオードシステム(片方向ゲートウェイシステム)が知られている。このデータダイオードシステムは、外部機器との間で通信を行う外部通信用プロキシサーバと、内部機器との間で通信を行う内部通信用プロキシサーバを有している。
内部通信用プロキシサーバは、内部機器に対してアクセスすることで、外部機器との通信に必要な情報を取得してデータベースに記憶する。また、外部通信用プロキシサーバは、外部通信用プロキシサーバのデータベースに、内部通信用プロキシサーバのデータベースのレプリケーションを記憶する。そして、外部通信用プロキシサーバは、外部機器からの要求に対して、内部通信用プロキシサーバのデータベースのレプリケーションに基づいて応答する。
一方、特許文献1(特開2015-115832号公報)に、多種多様なプロトコルの相違を吸収し、データの適切な中継処理を実現することを目的とした中継装置が開示されている。この中継装置が適用された通信システムは、外部機器との間の通信を行う外部用HTTPサーバと、内部機器との間で通信を行う内部用HTTPサーバを有する。外部用HTTPサーバは、外部機器からメッセージが得られるとトランザクションを完結させる。中継装置は、外部用HTTPサーバで得られたメッセージに所定のフィルタリング処理を施し、内部用HTTPサーバに転送する。内部用HTTPサーバは、新たにトランザクションを発生させて、中継装置から転送されたメッセージを内部機器に通知してトランザクションを完結する。
すなわち、特許文献1に開示されている通信システムは、外部機器と外部用HTTPサーバの間で一つのトランザクションを完結させると共に、内部機器と内部用HTTPサーバの間で一つのトランザクションを完結させる。そして、中継装置において、各HTTPサーバの間におけるメッセージを中継して送受信する。
しかし、従来のデータダイオードシステムは、外部通信用プロキシサーバ及び内部通信用プロキシサーバの両方に、それぞれ上述のデータベースを設ける必要がある。このため、部品点数が多くなることで構成が複雑化し、システムの構築に要するコストが高くなる問題があった。
また、従来のデータダイオードシステムは、既存のネットワーク構成を大幅に変更する必要がある。すなわち、内部機器は、内部通信用プロキシサーバと通信を行うネットワーク構成に改変し、外部機器は、外部通信用プロキシサーバに対して要求を行うネットワーク構成に改変する必要がある。これは、データダイオードシステムを適用するには、既存のネットワークシステム全体を再構築する必要があることを意味する。
このため、従来のデータダイオードシステムは、既存のネットワークシステムに、途中から適用するには適していないシステムとなっていた。具体的には、例えば工場における生産工程の自動化を図るファクトリーオートメーションシステム(FAシステム)に、従来のデータダイオードシステムを適用するには、FAシステムを構築する段階(初期の段階)から適用することが必要となる。FAシステムが構築された後に、途中から従来のデータダイオードシステムを適用することは、FAシステム全体を再構築する必要があることから大変困難となる。
本発明は、上述の課題に鑑みてなされたものであり、内部ネットワークの通信セキュリティを強固にでき、既存のネットワークシステムに対しても簡単かつ安価に中途導入できるような通信制御装置、通信制御システム及び通信制御方法の提供を目的とする。
上述した課題を解決し、目的を達成するために、本発明は、外部ネットワークに接続された外部機器との間で通信を行うハードウェアで構成されたアウター通信部と、内部ネットワークに接続された内部機器との間で通信を行うハードウェアで構成されたインナー通信部と、アウター通信部が受信した内部機器宛のメッセージにセキュアなフィルタリング処理を施してインナー通信部に供給し、インナー通信部が受信した外部機器宛のメッセージにフィルタリング処理を施すことなく、又は、所定のフィルタリング処理を施して、アウター通信部に供給するハードウェアで構成された変換部と、を備え、変換部によるフィルタリング処理を介した、外部機器及び内部機器用の2つのセッションを同時に確立する双方向通信制御を行い、アウター通信部は、外部機器または当該外部機器と当該アウター通信部との間に設置されたルータから内部機器に宛てたアドレス解決要求に対し、通信制御装置の固有情報を返信し、インナー通信部は、予め所定の内部機器の識別情報を有しており、当該識別情報で示される所定の内部機器に合致しない内部機器からのアドレス解決要求には応答しないことを特徴とする。
本発明によれば、内部ネットワークの通信セキュリティを強固にでき、また、既存のネットワークシステムに対しても簡単かつ安価に中途導入できるという効果を奏する。
以下、実施の形態の通信制御システムの説明をする。
(システム構成)
まず、図1に実施の形態の通信制御システムのシステム構成図を示す。この図1に示すように通信制御システムは、インターネット等の外部ネットワーク1、及び、LAN(Local Area Network)等の内部ネットワーク2を、ルータ35を介して相互に通信可能に接続して構成されている。
まず、図1に実施の形態の通信制御システムのシステム構成図を示す。この図1に示すように通信制御システムは、インターネット等の外部ネットワーク1、及び、LAN(Local Area Network)等の内部ネットワーク2を、ルータ35を介して相互に通信可能に接続して構成されている。
外部ネットワーク1には、一つ又は複数の外部機器が接続されている。図1の例は、第1の外部機器11及び第2の外部機器12の計2つの外部機器が外部ネットワーク1に接続されている例である。第1の外部機器11及び第2の外部機器12は、外部ネットワーク1を介してルータ35に接続されている。
内部ネットワーク2には、第1の通信制御装置21、第2の通信制御装置22、第1の内部機器31、第2の内部機器32、第3の内部機器33及び第4の内部機器34が接続されている。なお、この図1の例は、通信制御装置として第1の通信制御装置21及び第2の通信制御装置22の計2つの通信制御装置を設けた例であるが、一つ又は3つ以上の通信制御装置を設けてもよい。同様に、図1の例は、内部機器として第1~第4の内部機器31~34を設けた例であるが、一つ又は任意の複数の内部機器を設けてもよい。
第1の通信制御装置21及び第2の通信制御装置22は、ルータ35及び外部ネットワーク1を介して各外部機器11、12に接続されている。また、第1の通信制御装置21は、内部ネットワーク2を介して第1の内部機器31及び第2の内部機器32に接続されている。同様に、第2の通信制御装置22は、内部ネットワーク2を介して第3の内部機器33及び第4の内部機器34に接続されている。なお、本実施形態ではルータ35を有する構成について記載するが、これに限られない。例えば、外部機器11、12および内部機器31、32が同一のサブネット内に位置する場合は、ルータ35は不要となる。
すなわち、内部ネットワーク2内の各内部機器31~34は、第1の通信制御装置21又は第2の通信制御装置22、及びルータ35を介して、外部ネットワーク1の各外部機器11、12と接続されている。また、第1の通信制御装置21は、第1の内部機器31及び第2の内部機器32に対する通信制御、及び、各外部機器11、12に対する通信制御を行い、第2の通信制御装置22は、第3の内部機器33及び第4の内部機器34に対する通信制御、及び、各外部機器11、12に対する通信制御を行う。
(システム構成の変形例)
図1の例は、各通信制御装置21、22に、各内部機器31~34の通信制御を分担させる例である。しかし、図2に示すように一つの通信制御装置21に全ての内部機器31~34を接続し、一つの通信制御装置21が、全ての内部機器31~34の通信制御を行ってもよい。または、図3に示すように各通信制御装置21、22に、それぞれ全ての内部機器31~34を接続し、各通信制御装置21、22が、それぞれ全ての内部機器31~34の通信制御を行ってもよい。
図1の例は、各通信制御装置21、22に、各内部機器31~34の通信制御を分担させる例である。しかし、図2に示すように一つの通信制御装置21に全ての内部機器31~34を接続し、一つの通信制御装置21が、全ての内部機器31~34の通信制御を行ってもよい。または、図3に示すように各通信制御装置21、22に、それぞれ全ての内部機器31~34を接続し、各通信制御装置21、22が、それぞれ全ての内部機器31~34の通信制御を行ってもよい。
(通信制御装置のハードウェア構成)
図4は、各通信制御装置21、22のハードウェア構成を示すブロック図である。なお、各通信制御装置21、22は、同じハードウェア構成であるため、以下、第1の通信制御装置21のハードウェア構成を説明する。一例ではあるが、第1の通信制御装置21は、TCP/IP通信プロトコルに基づく通信を制御する通信制御装置となっており、アウターTOE41、インナーTOE42、及び、各TOE41、42の間に設けられたフィルタ回路43を有している。TOEは、「TCP/IPオフロードエンジンの略記である。TCPは、「Transmission Control Protocol」の略記であり、IPは「Internet Protocol」の略記である。また、アウターTOE41はアウター通信部の一例であり、インナーTOE42はインナー通信部の一例であり、フィルタ回路43は変換部の一例である。
図4は、各通信制御装置21、22のハードウェア構成を示すブロック図である。なお、各通信制御装置21、22は、同じハードウェア構成であるため、以下、第1の通信制御装置21のハードウェア構成を説明する。一例ではあるが、第1の通信制御装置21は、TCP/IP通信プロトコルに基づく通信を制御する通信制御装置となっており、アウターTOE41、インナーTOE42、及び、各TOE41、42の間に設けられたフィルタ回路43を有している。TOEは、「TCP/IPオフロードエンジンの略記である。TCPは、「Transmission Control Protocol」の略記であり、IPは「Internet Protocol」の略記である。また、アウターTOE41はアウター通信部の一例であり、インナーTOE42はインナー通信部の一例であり、フィルタ回路43は変換部の一例である。
フィルタ回路43は、メッセージフィルタ部51、セッション管理部52、第1の送信FIFO(First In First Out)メモリ61、第2の送信FIFOメモリ62、第1の受信FIFOメモリ71及び第2の受信FIFOメモリ72を有している。なお、FIFOメモリに限らず、バッファメモリでも良い。
インナーTOE42は、FIFOインタフェース(FIFO I/F)81及び第1の送信FIFOメモリ61を順に介してメッセージフィルタ部51に接続されている。また、メッセージフィルタ部51は、第2の送信FIFOメモリ62及びFIFO I/F82を順に介してアウターTOE41に接続されている。同様に、アウターTOE41は、FIFO I/F83及び第1の受信FIFOメモリ71を順に介してメッセージフィルタ部51に接続されている。また、メッセージフィルタ部51は、第2の受信FIFOメモリ72及びFIFO I/F84を順に介してインナーTOE42に接続されている。
セッション管理部52は、制御I/F85を介してメッセージフィルタ部51に接続されている。また、セッション管理部52は、制御I/F85を介してメッセージフィルタ部51に接続されている。また、セッション管理部52は、設定I/F86、セッション情報I/F87及びセッション制御I/F88を介してアウターTOE41に接続されている。また、セッション管理部52は、設定I/F89、セッション情報I/F90及びセッション制御I/F91を介してインナーTOE42に接続されている。
(通信制御装置の動作概要)
次に、図1に示す第1の通信制御装置21を例として、通信制御装置の動作概要を説明する。第1の通信制御装置21には、TCP/IP通信の終端機能として、アウターTOE41及びインナーTOE42が設けられている。アウターTOE41は、各外部機器11、12との間で通信を行う。この際、アウターTOE41は、内部機器31、32に成り代わって、外部機器11、12と通信を行う。同様に、インナーTOE42は、各内部機器31、32との間で通信を行う。この際、インナーTOE42は、外部機器11、12に成り代わって、各内部機器31、32と通信を行う。
次に、図1に示す第1の通信制御装置21を例として、通信制御装置の動作概要を説明する。第1の通信制御装置21には、TCP/IP通信の終端機能として、アウターTOE41及びインナーTOE42が設けられている。アウターTOE41は、各外部機器11、12との間で通信を行う。この際、アウターTOE41は、内部機器31、32に成り代わって、外部機器11、12と通信を行う。同様に、インナーTOE42は、各内部機器31、32との間で通信を行う。この際、インナーTOE42は、外部機器11、12に成り代わって、各内部機器31、32と通信を行う。
第1の通信制御装置21は、このような、いわゆるプロキシサーバ装置的な動作を行う。しかし、通常のプロキシサーバ装置の場合、プロキシサーバ装置を通信相手として通信が行われる。これに対して第1の通信制御装置21の場合、第1の通信制御装置21宛てのアクセスではなく、外部機器11、12から内部機器31、32に対してアクセスがあった場合、アウターTOE41が内部機器31、32に成り代わって、各外部機器11、12と通信を行う。また、第1の通信制御装置21の場合、第1の通信制御装置21宛てのアクセスではなく、内部機器31、32から外部機器11、12に対してアクセスがあった場合、インナーTOE42が外部機器11、12に成り代わって、各内部機器31、32と通信を行う。
換言すると、外部機器11、12との間のTCP/IPの通信プロトコルを終端するアウターTOE41が、外部機器11、12からのメッセージを受信すると、アウターTOE41は、外部機器11、12から受信したメッセージに対する受信応答を、内部機器31、32に成り代わって行う。フィルタ回路43は、アウターTOE41が受信し、第1の受信FIFOメモリ71を介して供給される外部機器11、12からのメッセージに対して、一部又は全部を削除し或いはメッセージの内容に従って改変する所定のフィルタリング処理を施す。これにより、フィルタ回路43は、アウターTOE41が受信した外部機器11、12からのメッセージを、内部機器用のセキュアなメッセージに変換し、第2の受信FIFOメモリ72を介してインナーTOE42に供給する。インナーTOE42は、各外部機器11、12に成り代わって、フィルタリング処理により形成されたセキュアなメッセージを用いて、第1の内部機器31又は第2の内部機器32との間でTCP/IP通信を実行する。
これに対して、内部機器31、32との間のTCP/IPの通信プロトコルを終端するインナーTOE42が、内部機器31、32からのメッセージを受信すると、インナーTOE42は、内部機器31、32から受信したメッセージに対する受信応答を、外部機器11、12に成り代わって行う。フィルタ回路43は、各内部機器31、32から第1の送信FIFOメモリ61を介してインナーTOE42が受信したメッセージを、フィルタリング処理することなく、第2の送信FIFOメモリ62を介してアウターTOE41に供給する。アウターTOE41は、各内部機器31、32に成り代わって、第1の外部機器11又は第2の外部機器12との間でTCP/IP通信を実行する。
なお、この例では、フィルタ回路43は、インナーTOE42が受信した各内部機器31、32からのメッセージを、フィルタリング処理することなくアウターTOE41に供給することとした。しかし、フィルタ回路43は、インナーTOE42が受信した各内部機器31、32に対して、一部又は全部を削除し或いはメッセージの内容に従って改変する所定のフィルタリング処理を施して外部機器用のメッセージを形成し、これをアウターTOE41に供給してもよい。
(アウターTOE及びインナーTOEに対する設定及び動作概要)
このような動作を実現するために、アウターTOE41及びインナーTOE42は、成り代わりの対象となる一つ又は複数の機器(成り代わり機器)のIPアドレス(識別情報)が登録される。アウターTOE41及びインナーTOE42に対しては、成り代わり機器のIPアドレス(ターゲットプロキシIP)を、設定I/F86、89を介してアウターTOE41及びインナーTOE42に登録する。
このような動作を実現するために、アウターTOE41及びインナーTOE42は、成り代わりの対象となる一つ又は複数の機器(成り代わり機器)のIPアドレス(識別情報)が登録される。アウターTOE41及びインナーTOE42に対しては、成り代わり機器のIPアドレス(ターゲットプロキシIP)を、設定I/F86、89を介してアウターTOE41及びインナーTOE42に登録する。
図5は、アウターTOE41及びインナーTOE42に対する、成り代わり機器のIPアドレスの登録動作を示す模式図である。この図5に示すように、例えば第1の通信制御装置21の起動時等に、メッセージフィルタ部51がアウターTOE41に対して第1の内部機器31及び第2の内部機器32のIPアドレスを、ターゲットプロキシIPとして登録する。アウターTOE41に対してターゲットプロキシIPとして登録された第1の内部機器31及び第2の内部機器32のIPアドレスは、インナーTOE42に対しては、コンプリメントプロキシIPとして登録される。
同様に、メッセージフィルタ部51は、インナーTOE42に対して第1の外部機器11及び第2の外部機器12のIPアドレスを、ターゲットプロキシIPとして登録する。インナーTOE42に対してターゲットプロキシIPとして登録された第1の外部機器11及び第2の外部機器12のIPアドレスは、アウターTOE41に対しては、コンプリメントプロキシIPとして登録される。
このようなターゲットプロキシIPの登録は、通信制御装置21、22毎に行われる。これにより、各通信制御装置21、22に、それぞれ登録したターゲットプロキシIPに対応する内部機器又は外部機器の通信制御を分担させることができる。なお、一つの通信制御装置に複数の内部機器の通信制御を行わせる場合、通信制御の対象となる全ての内部機器のIPアドレスを、一つの通信制御装置にターゲットプロキシIPとして登録すればよい。また、図3のように、1つの内部機器に対して複数の通信制御装置が接続されている場合は、いずれの通信制御装置を動作させるかを明確にする必要がある。これについては、後述するコンプリメントプロキシIPを用いた処理により対応できるようにする。よって、上述の場合に該当しなければ、コンプリメントプロキシIPの設定は、必要ではない。
また、アウターTOE41及びインナーTOE42は、登録されたターゲットプロキシIPを、TCP(Transmission Control Protocol)セッションで用いる。具体的には、TCPの情報が格納されたプロトコルコントロールブロック(PCB_TCP)内に、ローカル機器のローカルIPアドレスをセッション毎に登録するIP登録フィールドを設ける。そして、このIP登録フィールドに、セッション確立時に用いるローカルIPアドレスを登録する。
すなわち、アウターTOE41及びインナーTOE42は、後からSYN-ACKパケットを送信するパッシブオープン時には、SYNパケットの送信先IPアドレスを、上述のローカルIPフィールドに登録する。また、アウターTOE41及びインナーTOE42は、先にSYNパケットを送信するアクティブオープン時には、セッション管理部52から指示されたIPアドレスをローカルIPフィールドに登録する。そして、アウターTOE41及びインナーTOE42は、送信TCPパケット作成時に、IP登録フィールドに登録されているローカルIPアドレスを送信元IPアドレスに設定する。
また、アウターTOE41及びインナーTOE42は、成り代わり機器宛てのARP(Address Resolution Protocol)リクエスト(アドレス解決要求)に対しては、ARPリプライにおいて、第1の通信制御装置21自身の機器固有情報であるMAC(Media Access Control)アドレスを返信(アドレス解決応答)する。このようなMACアドレスの返信動作は、ARPパケット内のターゲットIPフィールドに、成り代わり機器のIPアドレス、すなわち上述のターゲットプロキシIPを有するARPパケットに対して行う。また、アウターTOE41及びインナーTOE42は、このようなARPリプライの際、送信元IPフィールドに、成り代わり機器のIPアドレスであるターゲットIPアドレスを設定する。MACアドレスとしては第1の通信制御装置21自身のMACアドレスを設定しつつ、送信元IPアドレスとしては成り代わり機器のIPアドレスを設定したうえでARPリプライすることで、成り代わり機器に成り代わって処理を行う。
また、本実施形態のように、外部ネットワークと内部ネットワークが同一のサブネットにない場合は、ルータ35を介することになる。そうした場合には、アウターTOE41及びインナーTOE42には、設定I/F86,89を介してルータ35のIPアドレスが登録される。アウターTOE41及びインナーTOE42は、ルータ35のIPアドレスをターゲットIPアドレスとするARPリクエストに対しては、ARPリプライにおいて、第1の通信制御装置21自身のMACアドレスを返信する。
また、インナーTOE42は、ARPリクエストについてのARPパケットの送信元IPフィールドに、第1の通信制御装置21のアウターTOE41が成り代わりを行う内部機器31、32のIPアドレス以外のIPアドレスが付されている場合、すなわち、送信元IPフィールドに前述のコンプリメントプロキシIP以外のIPアドレスが付されている場合、このARPリクエストは破棄する。すなわち、このARPリクエストには応答しない。図3のように、1つの内部機器に対して複数の通信制御装置が接続されている場合は、この動作により、いずれの通信制御装置を動作させるかが明確になる。
(アウターTOEの動作)
次に、このような設定に基づくアウターTOE41の動作を説明する。アウターTOE41は、第1の外部機器11又は第2の外部機器12から第1の内部機器31又は第2の内部機器32宛てのTCPセッションを、第1の内部機器31及び第2の内部機器32に成り代わって終端する。
次に、このような設定に基づくアウターTOE41の動作を説明する。アウターTOE41は、第1の外部機器11又は第2の外部機器12から第1の内部機器31又は第2の内部機器32宛てのTCPセッションを、第1の内部機器31及び第2の内部機器32に成り代わって終端する。
アウターTOE41は、いずれかの外部機器11、12から第1の内部機器31又は第2の内部機器32宛てのパケットを自局宛てと判断し、破棄することなく受信する。そして、アウターTOE41は、第1の外部機器11又は第2の外部機器12との間で、第1の内部機器10又は第2の内部機器11に成り代わってTCPセッションを確立する。この際、アウターTOE41は、上述のように例えば第1の通信制御装置21の起動時等に予め登録された第1の内部機器31又は第2の内部機器32のIPアドレス(ターゲットプロキシIP)と一致するIPアドレスを送信先IPフィールドに持つSYNパケットを受信した場合、当該送信先IPフィールドに示されるIPアドレスをローカルIPアドレスとして用いてTCPセッションを確立する。
また、アウターTOE41は、ルータ35から(ルータ35を有さない場合は外部機器から)第1の内部機器31又は第2の内部機器32宛てのARPリクエストに対し、第1の内部機器31又は第2の内部機器32に成り代わり、ARPリプライを返信する(プロキシARP機能)。
(インナーTOEの動作)
次に、上述の設定に基づくインナーTOE42の動作を説明する。インナーTOE42は、各外部機器11、12に成り代わって、各外部機器11、12と第1の内部機器31又は第2の内部機器32の間のTCP/IP通信を実行する。
次に、上述の設定に基づくインナーTOE42の動作を説明する。インナーTOE42は、各外部機器11、12に成り代わって、各外部機器11、12と第1の内部機器31又は第2の内部機器32の間のTCP/IP通信を実行する。
すなわち、インナーTOE42は、第1の内部機器31又は第2の内部機器32からいずれかの外部機器11、12宛てのパケットを自局宛てと判断し、破棄することなく受信処理する。また、インナーTOE42は、第1の内部機器31との間又は第2の内部機器32との間で、第1の外部機器11及び第2の外部機器12に成り代わってTCPセッションを確立する。この際、インナーTOE42は、上述のように例えば第1の通信制御装置21の起動時等に予め登録された第1の外部機器11又は第2の外部機器12のIPアドレス(ターゲットプロキシIP)のいずれかと一致するIPアドレスであって、前述のセッション管理部52が指定したIPアドレスをローカルIPアドレスとして用いてTCPセッションを確立する。
また、インナーTOE42は、第1の内部機器31又は第2の内部機器32からルータ35宛てのARPリクエストに対して、ルータ35に成り代わってARPリプライを行う(プロキシARP機能)。但し、ARPリプライは、第1の通信制御装置21内のアウターTOE41の成り代わり機器である第1の内部機器31又は第2の内部機器32からのARPリクエストに対してのみ行う。
これにより、図3に示すように、第1の通信制御装置21が第1の内部機器31及び第2の内部機器32の通信制御を担当し、第2の通信制御装置22が第3の内部機器33及び第4の内部機器34の通信制御を担当するようにしたい場合であっても、各通信制御装置21、22は、それぞれ自分が担当している内部機器からのARPリクエストに対してのみARPリプライを行うことができる。これにより、要求される処理能力の増加が必要な場合においても、容易に通信制御装置を追加することでこれに対応することが可能となる。
なお、図1又は図2示すように、第1の通信制御装置21(又は第2の通信制御装置22)に対して全ての内部機器31~34が一意に割り当てられて接続されている場合は、インナーTOE42は、接続された全ての内部機器からのARPリクエストに対してARPリプライを行う。
(通信制御装置の動作の詳細)
次に、図6を用いて、第1の通信制御装置21の動作の詳細を説明する。図6は、第1の通信制御装置21の動作を示すシーケンス図である。なお、第2の通信制御装置22の動作は、第1の通信制御装置21と同様であるため、省略する。ここでは、図1の例において、第1の外部機器11から第1の内部機器31への通信を行う例について説明する(外部ネットワークと内部ネットワークが同一のサブネットにない場合はルータ35を介することとなるが、ここでは簡略化して説明する)。
次に、図6を用いて、第1の通信制御装置21の動作の詳細を説明する。図6は、第1の通信制御装置21の動作を示すシーケンス図である。なお、第2の通信制御装置22の動作は、第1の通信制御装置21と同様であるため、省略する。ここでは、図1の例において、第1の外部機器11から第1の内部機器31への通信を行う例について説明する(外部ネットワークと内部ネットワークが同一のサブネットにない場合はルータ35を介することとなるが、ここでは簡略化して説明する)。
まず、第1の外部機器11によるTCPセッションが確立される前に、第1の外部機器11から第1の内部機器31へのARPリクエストが行われる。すなわち、第1の外部機器11は、ARPパケットのターゲットIPフィールド(送信先IPフィールド)に第1の内部機器31のIPアドレスを含めてブロードキャストする(ステップS1)。
次に、第1の通信制御装置21のアウターTOE41は、自身のターゲットプロキシIPに第1の内部機器31のIPアドレスが含まれているため、第1の内部機器31に成り代わって、ARPリプライを行う(ステップS2)。このとき、MACアドレスは、第1の通信制御装置21自身のものを送信する。また、送信元IPフィールドに含めるIPアドレスは、ARPパケットのターゲットIPフィールドに含まれていたもの、すなわち、ここでは第1の内部機器31のIPアドレスを送信する。
続いて、第1の外部機器11は、TCPセッションの開始要求を行う。第1の外部機器11は、第1の内部機器31のIPアドレスと第1の通信制御装置21のMACアドレスを用いて、TCPセッションの開始要求を行う(ステップS3)。すなわち、第1の外部機器11は、送信先IPフィールドに第1の内部機器31のIPアドレスを含めたSYNパケットを送信する。第1の通信制御装置21のアウターTOE41は、受信したSYNパケットに含まれる第1の内部機器31のIPアドレスが自身のターゲットプロキシIPに含まれていることを確認し、TCPセッションを確立する(ステップS4)。
このとき、ローカルIPアドレスとしてSYNパケットの送信先IPフィールドに含まれる第1の内部機器31のIPアドレスを用いて、TCPセッションを確立する。そして、第1の外部機器11は、確立したTCPセッションにおいて、送信元IPアドレスとして第1の外部機器11のIPアドレスを、送信先IPアドレスとして第1の内部機器31のIPアドレスをそれぞれ設定して、メッセージを送信する(ステップS5)。
アウターTOE41は、第1の外部機器11のIPアドレス、第1の内部機器31のIPアドレスがヘッダに設定された第1の外部機器11からのメッセージを受信し、セッション情報とともに後段のフィルタ回路43に供給する(ステップS6)。次に、フィルタ回路43は、供給されたセッション情報とメッセージに基づき、インナーTOE42に対する第1の内部機器31へのTCPセッションの確立要求を行う(ステップS7)。この処理を受け、インナーTOE42は、第1の内部機器31へARPリクエストを行う(ステップS8)。次に、第1の内部機器31は、ARPパケットに自身のIPアドレスが含まれているため、ARPリプライを行う(ステップS9)。
第1の内部機器31からのARPリプライを受け、インナーTOE42は、フィルタ回路43から受信したセッション情報をもとに、第1の内部機器31に対してTCPセッションの開始要求を行う(ステップS10)。このとき、MACアドレスは自身のものを用いる。そして、ローカルIPアドレスとしては、インナーTOE42のターゲットプロキシIPに含まれ、かつセッション管理部52が指定するIPアドレス、すなわちここでは第1の外部機器11のIPアドレスを用いる。
第1の内部機器31は、第1の外部機器11に成り代わったインナーTOE42と、TCPセッションを確立する(ステップS11)。そして、インナーTOE42は、フィルタ回路43からフィルタリングされたメッセージの供給を受け(ステップS12)、確立されたTCPセッションにおいて、当該フィルタリングされたメッセージを、そのヘッダに送信元としての第1の外部機器11のIPアドレスと送信先としての第1の内部機器31のIPアドレスとを含めたうえで、第1の内部機器31に宛てて送信する(ステップS13)。
フィルタリングされたメッセージを受け取った第1の内部機器31は、応答メッセージを作成し、既に確立されているTCPセッションにおいて、インナーTOE42に対して送信する(ステップS14)。そして、インナーTOE42は、受信した応答メッセージをフィルタ回路43に供給し(ステップS15)、フィルタ回路43は、その応答メッセージを、フィルタリングせずにアウターTOE41に供給する(ステップS16)。なお、応答メッセージにおいても、フィルタ回路43によるフィルタリングが行われる構成としても良い。そして、アウターTOE41は、供給された応答メッセージを、既に確立しているTCPセッションにおいて、第1の外部機器11に送信する(ステップS17)。
以上により、第1の内部機器31は、送信元としての第1の外部機器11からのメッセージを受け取っているように振る舞うにもかかわらず、フィルタリングされたセキュアなメッセージを受信することが可能となる。また、第1の内部機器31は、応答として第1の外部機器11へメッセージを送信する際にも、通信制御装置21が存在しないかのように振る舞ってメッセージの送信を行うことができる。
なお、フィルタ回路43におけるフィルタリングではメッセージがフィルタリングされることとしたが、メッセージの内容を解釈して、解釈した内容に応じた振る舞いをするようにしても良い。例えば、送信先IPアドレスが変換されるものとしても良いし、メッセージの内容によって通信を遮断(TCPセッションを終了)する構成とすることもできる。
また、ルータ35を利用する場合は、第1の外部機器11に代えてルータ35がARPリクエストおよびリプライの対象となる。また、ARPリクエストは特定のタイミングでしか行われないものとして説明したが、ARPのキャッシュ切れが発生した場合等、ARPリクエストは、TCPセッションの最中においても定期的に行われ得る。
本実施形態においては、ルータ35を含む内部ネットワーク2内の機器の各IPアドレスは、全て同じネットワークに接続されていることを意味するIPアドレスとなっている。しかしながら、アウターTOE41とインナーTOE42の間はネットワーク的に遮断されており、非IP区間となっている。よって、セキュアな通信が確保されることとなる。
また、本実施形態の通信制御装置21、22は、外部機器との通信においては内部機器に成り代わって通信し(内部機器のIPアドレスを用いて通信し)、また、内部機器との通信においては外部機器に成り代わって通信し(外部機器のIPアドレスを用いて通信し)、またARPパケットの処理においてもこの成り代わりの通信をサポートするように構成されている。アウターTOE41とインナーTOE42の間はネットワークが遮断されているにもかかわらず、内部機器および外部機器から見て、通信制御装置が存在しないかのように通信が実施できるため、既存のシステムに対しても安価にかつ中途導入しやすいものとなる。
(実施の形態の効果)
以上の説明から明らかなように、実施の形態の通信制御システムは、既存のネットワークに変更を加えることなく、既存のネットワークそのまま用いてセキュアな通信を可能とすることができる。このため、既存のネットワークシステムに対して、簡単に中途導入可能とすることができる。
以上の説明から明らかなように、実施の形態の通信制御システムは、既存のネットワークに変更を加えることなく、既存のネットワークそのまま用いてセキュアな通信を可能とすることができる。このため、既存のネットワークシステムに対して、簡単に中途導入可能とすることができる。
また、実施の形態の通信制御システムは、既存のネットワークをそのまま用いることができるため、非常に安価に導入可能である。データダイオードシステムの場合、システムインテグレーション(SI:System Integration)も含め大変高価なシステムとなる。しかし、実施の形態の通信制御システムの場合、従来のデータダイオードシステムの十分の一又は数十分の一程度で安価に構築し導入可能とすることができる。
また、近年においては、インターネット通信プロトコル(IP)に基づいて通信を行う通信経路内に、IPとは異なる通信プロトコルを用いて通信を行う非IP区間を設けることが、通信セキュリティ上の観点からも要望されている。実施の形態の通信制御システムの場合、外部から受信した情報を、アウターTOE41で一旦終端するため、メッセージは伝達しつつも、IP情報の伝達はカットすることができる。
もう少し詳しく説明すると、実施の形態の通信制御システムの場合、第1の通信制御装置21がフィルタ回路43を有している。このフィルタ回路43は、外部機器11、12から受信したメッセージを解釈し、この外部機器から受信したメッセージの一部又は全部を削除し或いはメッセージの内容に従って改変する所定のフィルタリング処理を施すことで、外部機器11、12から受信したメッセージに対して意味的に近い内部用メッセージを生成する。これにより、外部機器11、12から受信したメッセージをセキュアな内部用メッセージに変換してインナーTOE42に供給することができる。
これは、IPメッセージがそのまま伝達されるのではなく、IPメッセージは一旦遮断され、フィルタ回路43のフィルタリング処理により、問題の無いメッセージのみがインナーTOE42に伝達されることを意味している。これにより、IP通信経路内に非IP区間を形成でき、上述の近年の要望に応えることができる。
ここで、汎用性のあるOS(Operating System)で動作するセキュリティシステムをソフトウェアで構築することを考える。この場合、OSのセキュリティホール及び構成等が周知であることから、悪意のあるアクセスからシステムを防御することは困難となる。特に、悪意のあるアクセスにより、社会的なインフラとなっているIOT(Internet of Things)が一斉にダウンした場合、これにより生ずる様々な損失は計り知れない。
しかし、実施の形態の通信制御システムは、ハードウェアで構成することで、ソフトウェアのセキュリティホールのような欠陥が存在しないため、悪意のあるアクセスからシステムを強力に防御できる。従って、社会的なインフラとなっているIOTを、悪意のあるアクセスから強力に防御でき、ネットワーク社会のセキュリティに対して大きく貢献できる。
また、特許文献1(特開2015-115832号公報)に開示されている通信システムとの差異は、以下のようになる。特許文献1の場合、各HTTPサーバでトランザクションを完結させる片方向通信システムである。これに対して、実施の形態の通信制御システムは、外部機器用及び内部機器用の2つのセッションを同時に確立し、メッセージを適宜フィルタリング処理しながら各セッションの間でメッセージを交換するセキュアな双方向通信システムである。そして、実施の形態の通信制御システムの場合、双方向通信が可能であるにもかかわらず、特許文献1の片方向通信システムと同等のセキュリティ性を実現している。実施の形態の通信制御システムと特許文献1に開示されている技術は、このような明らかな構成の差異があり、また、上述した特有の効果が得られることを付け加えておく。
(実施の形態の変形例)
上述の実施の形態は、一例として提示したものであり、本発明の範囲を限定することは意図していない。この新規な実施の形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことも可能である。
上述の実施の形態は、一例として提示したものであり、本発明の範囲を限定することは意図していない。この新規な実施の形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことも可能である。
例えば、上述の実施の形態の説明では、通信制御システムは、ハードウェアで構成することとしたが、一部又は全部をソフトウェアで構成してもよい。上述のように、ハードウェアで構成することが好ましいものの、ソフトウェアによっても一定の効果を得ることが可能である。
また、上述の実施の形態では、外部機器11、12から内部機器31、32に対して送信するメッセージ及び内部機器31、32から外部機器11、12に対して送信するメッセージの両方にメッセージフィルタ部51がフィルタリング処理を施すこととした。しかし、メッセージフィルタ部51は、外部機器11、12から内部機器31、32に送信するメッセージに対してはフィルタリング処理を施すが、内部機器31、32から外部機器11、12に対して送信するメッセージには、フィルタリング処理を施すことなく、そのまま外部機器11、12側に送信してもよい。この場合でも、外部からの不正アクセスに対しては、上述のフィルタリング処理により強力に防御できるため、上述と同様の効果を得ることができる。
このような実施の形態及び実施の形態の変形は、発明の範囲や要旨に含まれると共に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
1 外部ネットワーク
2 内部ネットワーク
11 第1の外部機器
12 第2の外部機器
21 第1の通信制御装置
22 第2の通信制御装置
31 第1の内部機器
32 第2の内部機器
33 第3の内部機器
34 第4の内部機器
35 ルータ
41 アウターTOE
42 インナーTOE
43 フィルタ回路
51 メッセージフィルタ部
52 セッション管理部
2 内部ネットワーク
11 第1の外部機器
12 第2の外部機器
21 第1の通信制御装置
22 第2の通信制御装置
31 第1の内部機器
32 第2の内部機器
33 第3の内部機器
34 第4の内部機器
35 ルータ
41 アウターTOE
42 インナーTOE
43 フィルタ回路
51 メッセージフィルタ部
52 セッション管理部
Claims (9)
- 外部ネットワークに接続された外部機器との間で通信を行うハードウェアで構成されたアウター通信部と、
内部ネットワークに接続された内部機器との間で通信を行うハードウェアで構成されたインナー通信部と、
前記アウター通信部が受信した前記内部機器宛のメッセージにセキュアなフィルタリング処理を施して前記インナー通信部に供給し、前記インナー通信部が受信した前記外部機器宛のメッセージにフィルタリング処理を施すことなく、又は、所定のフィルタリング処理を施して、前記アウター通信部に供給するハードウェアで構成された変換部と、を備え、
前記変換部による前記フィルタリング処理を介した、前記外部機器及び前記内部機器用の2つのセッションを同時に確立する双方向通信制御を行い、
前記アウター通信部は、前記外部機器または当該外部機器と当該アウター通信部との間に設置されたルータから前記内部機器に宛てたアドレス解決要求に対し、通信制御装置の固有情報を返信し、
前記インナー通信部は、予め所定の内部機器の識別情報を有しており、当該識別情報で示される所定の内部機器に合致しない内部機器からのアドレス解決要求には応答しないこと
を特徴とする通信制御装置。 - 前記アウター通信部は、成り代わり対象としての前記内部機器の識別情報を有しており、前記外部機器からのメッセージの送信先に成り代わり対象としての前記内部機器の識別情報が含まれている場合に、前記メッセージを受信すること
を特徴とする請求項1に記載の通信制御装置。 - 前記インナー通信部は、前記内部機器から前記外部機器に宛てたメッセージを受信し、
前記変換部は、前記インナー通信部が受信した前記外部機器宛のメッセージの一部又は全部を変換し、もしくは前記インナー通信部が受信した前記外部機器宛のメッセージを変換せず、
前記アウター通信部は、前記変換部を経由した前記外部機器宛のメッセージを前記外部機器に送信すること
を特徴とする請求項1又は請求項2に記載の通信制御装置。 - 前記インナー通信部は、成り代わり対象としての前記外部機器の識別情報を有しており、前記内部機器からのメッセージの送信先に成り代わり対象としての前記外部機器の識別情報が含まれている場合に、前記メッセージを受信すること
を特徴とする請求項1乃至請求項3のうち、いずれか一項に記載の通信制御装置。 - 前記変換部は、前記外部機器からのメッセージの送信先に含まれる前記内部機器の識別情報を変換すること
を特徴とする請求項1乃至請求項4のうち、いずれか一項に記載の通信制御装置。 - 前記変換部は、前記外部機器からのメッセージの内容に従って、当該メッセージの送信先に含まれる前記内部機器の識別情報を変換すること
を特徴とする請求項5に記載の通信制御装置。 - 前記変換部は、前記外部機器からのメッセージの内容に従って、前記アウター通信部からの通信を遮断すること
を特徴とする請求項1乃至請求項6のうち、いずれか一項に記載の通信制御装置。 - 外部ネットワーク内に、当該外部ネットワークに接続された外部機器と、
内部ネットワーク内に、当該内部ネットワークに接続された内部機器と、
請求項1乃至請求項7のうち、いずれか一項に記載の通信制御装置と、
を有することを特徴とする通信制御システム。 - ハードウェアで構成されたアウター通信部が、外部ネットワークに接続された外部機器との間で通信を行うアウター通信ステップと、
ハードウェアで構成されたインナー通信部が、内部ネットワークに接続された内部機器との間で通信を行うインナー通信ステップと、
ハードウェアで構成された変換部が、前記アウター通信ステップで前記アウター通信部が受信した前記内部機器宛のメッセージにセキュアなフィルタリング処理を施して前記インナー通信部に供給し、前記インナー通信ステップで前記インナー通信部が受信した前記外部機器宛のメッセージにフィルタリング処理を施すことなく、又は、所定のフィルタリング処理を施して、前記アウター通信部に供給する変換ステップと、を備え、
前記変換部による前記フィルタリング処理を介した、前記外部機器及び前記内部機器用の2つのセッションを同時に確立する双方向通信制御を行い、
前記アウター通信ステップは、前記外部機器または当該外部機器と当該アウター通信部との間に設置されたルータから前記内部機器に宛てたアドレス解決要求に対し、通信制御装置の固有情報を返信し、
前記インナー通信ステップは、予め所定の内部機器の識別情報を有しており、当該識別情報で示される所定の内部機器に合致しない内部機器からのアドレス解決要求には応答しないこと
を特徴とする通信制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017054860A JP7158826B2 (ja) | 2017-03-21 | 2017-03-21 | 通信制御装置、通信制御システム及び通信制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017054860A JP7158826B2 (ja) | 2017-03-21 | 2017-03-21 | 通信制御装置、通信制御システム及び通信制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018157513A JP2018157513A (ja) | 2018-10-04 |
| JP7158826B2 true JP7158826B2 (ja) | 2022-10-24 |
Family
ID=63716876
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017054860A Active JP7158826B2 (ja) | 2017-03-21 | 2017-03-21 | 通信制御装置、通信制御システム及び通信制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7158826B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7112359B2 (ja) * | 2019-03-07 | 2022-08-03 | 株式会社Pfu | サーバ装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002111700A (ja) | 2000-09-27 | 2002-04-12 | Nec Corp | ネットワーク間通信におけるアドレス解決方式、及び、アドレス解決手段を備えたネットワーク構成装置 |
| JP2003264595A (ja) | 2002-03-08 | 2003-09-19 | Mitsubishi Electric Corp | パケット中継装置、パケット中継システムおよびオトリ誘導システム |
| JP2004266483A (ja) | 2003-02-28 | 2004-09-24 | Nec Corp | 不正アクセス防止方法、装置、プログラム |
| JP2005293368A (ja) | 2004-04-01 | 2005-10-20 | Device Technology:Kk | Icカード |
| JP2007310601A (ja) | 2006-05-18 | 2007-11-29 | Renesas Technology Corp | マイクロコンピュータおよびそのソフトウェア保護方法 |
| JP2015115832A (ja) | 2013-12-12 | 2015-06-22 | 富士通株式会社 | 中継装置、中継制御方法、及び、中継制御プログラム |
| JP2015115823A (ja) | 2013-12-12 | 2015-06-22 | 三菱電機株式会社 | 通信システム、通信装置、通信制御装置、通信制御方法、および通信制御プログラム |
| JP2015126263A (ja) | 2013-12-25 | 2015-07-06 | 株式会社沖データ | 画データ受信装置 |
| JP2016127299A (ja) | 2014-12-26 | 2016-07-11 | スタビリティ株式会社 | 中継装置及びネットワーク構築方法 |
-
2017
- 2017-03-21 JP JP2017054860A patent/JP7158826B2/ja active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002111700A (ja) | 2000-09-27 | 2002-04-12 | Nec Corp | ネットワーク間通信におけるアドレス解決方式、及び、アドレス解決手段を備えたネットワーク構成装置 |
| JP2003264595A (ja) | 2002-03-08 | 2003-09-19 | Mitsubishi Electric Corp | パケット中継装置、パケット中継システムおよびオトリ誘導システム |
| JP2004266483A (ja) | 2003-02-28 | 2004-09-24 | Nec Corp | 不正アクセス防止方法、装置、プログラム |
| JP2005293368A (ja) | 2004-04-01 | 2005-10-20 | Device Technology:Kk | Icカード |
| JP2007310601A (ja) | 2006-05-18 | 2007-11-29 | Renesas Technology Corp | マイクロコンピュータおよびそのソフトウェア保護方法 |
| JP2015115832A (ja) | 2013-12-12 | 2015-06-22 | 富士通株式会社 | 中継装置、中継制御方法、及び、中継制御プログラム |
| JP2015115823A (ja) | 2013-12-12 | 2015-06-22 | 三菱電機株式会社 | 通信システム、通信装置、通信制御装置、通信制御方法、および通信制御プログラム |
| JP2015126263A (ja) | 2013-12-25 | 2015-07-06 | 株式会社沖データ | 画データ受信装置 |
| JP2016127299A (ja) | 2014-12-26 | 2016-07-11 | スタビリティ株式会社 | 中継装置及びネットワーク構築方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018157513A (ja) | 2018-10-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7107609B2 (en) | Stateful packet forwarding in a firewall cluster | |
| JP2006086800A (ja) | ソースアドレスを選択する通信装置 | |
| JP2001356973A (ja) | ネットワークシステム | |
| JP6118122B2 (ja) | 通信装置及びその制御方法、プログラム | |
| JP5147995B2 (ja) | ホスト・アイデンティティ・プロトコル・サーバ・アドレス構成 | |
| US9509659B2 (en) | Connectivity platform | |
| JP7158826B2 (ja) | 通信制御装置、通信制御システム及び通信制御方法 | |
| US20100023620A1 (en) | Access controller | |
| US20090092132A1 (en) | Method and device for translating internet protocol addresses inside a communications network | |
| JP2010187314A (ja) | 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法 | |
| JP4752722B2 (ja) | パケット転送装置及びパケット転送方法 | |
| US8737413B2 (en) | Relay server and relay communication system | |
| JP6750950B2 (ja) | 通信装置および通信方法 | |
| JP4889620B2 (ja) | 通信ネットワークにおけるipパケット中継方法およびゲートウェイ装置 | |
| US11659603B2 (en) | Method of communication between a device and a network | |
| JP2019103118A (ja) | 通信中継装置、通信中継プログラム、および通信中継方法 | |
| JP6930585B2 (ja) | 中継装置、ネットワークシステムおよびネットワーク制御方法 | |
| JP6435002B2 (ja) | 通信装置及びその制御方法、プログラム | |
| JP2001285370A (ja) | リモートアクセスサーバ装置およびdhcpサーバ装置 | |
| EP1241859A1 (en) | Method and system for obtaining domain name and IP-address resolution | |
| JP2004007073A (ja) | 無線通信におけるハンドオーバ方法、および無線通信装置 | |
| JP4993133B2 (ja) | 中継装置 | |
| KR101896551B1 (ko) | 분리망 연계 시스템 및 그 제어방법 | |
| JP5120431B2 (ja) | 通信システム、通信方法、アドレス配布システム、アドレス配布方法、通信端末 | |
| CN115695301A (zh) | 待传输报文的发送方法及装置、存储介质及电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200116 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200325 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20200325 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20200325 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201126 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201215 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210204 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20210601 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210823 |
|
| C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20210823 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20210901 |
|
| C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20210907 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20211111 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20211203 |
|
| C211 | Notice of termination of reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C211 Effective date: 20211207 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20211221 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20220301 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20220412 |
|
| C13 | Notice of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: C13 Effective date: 20220419 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220608 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20220802 |
|
| C23 | Notice of termination of proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C23 Effective date: 20220816 |
|
| C03 | Trial/appeal decision taken |
Free format text: JAPANESE INTERMEDIATE CODE: C03 Effective date: 20220920 |
|
| C30A | Notification sent |
Free format text: JAPANESE INTERMEDIATE CODE: C3012 Effective date: 20220920 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221012 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7158826 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |