JP2005341127A - ネットワーク間セキュア通信方法、パケットセキュア処理装置、その処理方法、プログラム、その記録媒体、アドレス変換装置 - Google Patents
ネットワーク間セキュア通信方法、パケットセキュア処理装置、その処理方法、プログラム、その記録媒体、アドレス変換装置 Download PDFInfo
- Publication number
- JP2005341127A JP2005341127A JP2004156181A JP2004156181A JP2005341127A JP 2005341127 A JP2005341127 A JP 2005341127A JP 2004156181 A JP2004156181 A JP 2004156181A JP 2004156181 A JP2004156181 A JP 2004156181A JP 2005341127 A JP2005341127 A JP 2005341127A
- Authority
- JP
- Japan
- Prior art keywords
- address
- packet
- secure
- conversion
- security policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 IPアドレス変換処理を施したネットワーク間通信にIPsec通信を簡単に適用可能とする。
【解決手段】 プライベートIPアドレスをもつホストA、Bから送り出されるIPパケットはアドレス変換(NAT)装置によりプライベートIPアドレスをグローバルIPアドレスに書き換えられてホストCに届けられる。網10のようにホストAとNAT装置間にIPsec装置がある場合には、IPsec装置はUPnP等を利用して、ホストAから受け取ったパケットのIPヘッダをNAT装置によってアドレス変換されるはずの状態へ仮想的に置き換えた上で暗号化や認証データ作成を行い、NAT装置へIPsecパケットを送り出す。網20のようにホストBとNAT装置の先にIPsec装置がある場合においては、IPsec装置はUPnP等を利用して、NAT装置から受け取ったパケットのIPヘッダをNAT変換される前の状態へ仮想的に置き換えた上で送信元ホストごとにセキュリティポリシを適用する。
【選択図】 図1
【解決手段】 プライベートIPアドレスをもつホストA、Bから送り出されるIPパケットはアドレス変換(NAT)装置によりプライベートIPアドレスをグローバルIPアドレスに書き換えられてホストCに届けられる。網10のようにホストAとNAT装置間にIPsec装置がある場合には、IPsec装置はUPnP等を利用して、ホストAから受け取ったパケットのIPヘッダをNAT装置によってアドレス変換されるはずの状態へ仮想的に置き換えた上で暗号化や認証データ作成を行い、NAT装置へIPsecパケットを送り出す。網20のようにホストBとNAT装置の先にIPsec装置がある場合においては、IPsec装置はUPnP等を利用して、NAT装置から受け取ったパケットのIPヘッダをNAT変換される前の状態へ仮想的に置き換えた上で送信元ホストごとにセキュリティポリシを適用する。
【選択図】 図1
Description
この発明は、IPアドレスの変換処理を行うネットワーク間通信にIPsec(暗号などのセキュア通信を行うための規格)を適用するセキュア通信方法と、IPsecに準拠したセキュア処理を行う装置並びにその処理方法、そのプログラムおよびその記録媒体、アドレス変換装置に関する。
従来、プライベートIPアドレス(RFC1918)を割り当てられたホストがインターネット上のホストと通信するとき、プライベートIPアドレスをもつホストから送り出されるIPパケットはアドレス変換(NAT:Network Address Translation)装置によってプライベートIPアドレスをグローバルIPアドレスに書き換えられてインターネット上のホストに届けられる。一方で、インターネット等のネットワークを介して暗号通信などのセキュア通信を行うための規格としてIPsec(IP Security Protocol)が知られている。IPsecは通信中にデータの内容が書き換えられた場合に、データが改ざんされたと判断して受信側でパケットを破棄する。これに対しアドレス変換(NAT)装置ではIPsec通信路における途中でパケット情報(IPアドレス)を変換するため、受信側ではこのアドレス変換されたIPsecパケットを改ざんされたものと判断して破棄してしまう。従ってネットワーク間通信に、IPsecに準拠したセキュア通信方法とアドレス変換をともなう通信方法とを単純に併用することはできない。
このような問題に対して、IETF(Internet Engineering Task Force)では「IPsec NAT−Traversal」の提案と「IPC−NAT(IPsec Policy Controlled NAT)」の規定を行っている。(非特許文献1参照)。また、前記「IPC−NAT」に基づいていて、NAT装置によるアドレス変換ルールに関連させてIPsecのセキュリティアソシエーションを更新しIPsecを開始する方法がある(特許文献1参照)。
RFC(Request for Comments)2709 特許第003393836号
RFC(Request for Comments)2709
前記「IPsec NAT−Traversal」を利用するためには通信先(インターネット上のホスト端末やゲートウェイ)のIPsec機能をもつ機器がこの機能を実装していなければならない。また、「IPsec NAT−Traversal」はESP(Encapsulating Security Payload:RFC2406)トラフィック(暗号化のようにデータを秘匿する通信)にのみ定義されており、AH(Authentication Header:RFC2402)トラフィック(署名のようにデータ改ざんに対し保証する通信)は適用対象外となっている。一方の「IPC−NAT」(非特許文献1)及び「IPC−NAT」の類似技術(特許文献1)はNAT装置にIPsecプロトコルスタックを実装してNAT環境でIPsecを利用した場合の問題点を解決しているが、ホスト端末がIPsec処理を行う場合などはNAT装置とIPsec機器とを分離せざるを得ない、つまりNAT装置にIPsec機能を実装できない通信環境においては依然として問題が残る。
この発明の目的は、通信相手に特別なIPsec機器を求めることなくNAT環境でIPsecを利用した場合の問題点を解決するためであって、NAT装置とIPsec機器の前後位置関係にかかわらずIPsecのAH及びESPを利用したセキュア通信が可能なネットワーク間通信方法とパケットセキュア処理装置並びにその処理方法、プログラムおよびその記録媒体、アドレス変換装置を提供することにある。
この発明によれば、IPパケットに対しプライベートIPアドレスとグローバルIPアドレスとの変換を行うネットワーク間セキュア通信方法において、
特にセキュア処理を行う際に、アドレス変換が行われていないIPパケットに対しては、そのIPパケットのIPアドレスが変換されるであろう新たなIPアドレスを取得し、アドレス変換が行われたIPパケットに対しては、そのIPパケットのIPアドレスが変換される前のIPアドレスを取得し、
上記取得したIPアドレスで上記IPパケットのIPアドレスを仮想的に置換し、そのIPアドレスを仮想的置換したIPパケットについてセキュア処理を行う。
特にセキュア処理を行う際に、アドレス変換が行われていないIPパケットに対しては、そのIPパケットのIPアドレスが変換されるであろう新たなIPアドレスを取得し、アドレス変換が行われたIPパケットに対しては、そのIPパケットのIPアドレスが変換される前のIPアドレスを取得し、
上記取得したIPアドレスで上記IPパケットのIPアドレスを仮想的に置換し、そのIPアドレスを仮想的置換したIPパケットについてセキュア処理を行う。
この発明はこのように構成されているから、通信相手装置にIPsec NAT−Travesal機能のような特別な機能を実装させることなく、NAT装置とIPsec機器の前後位置関係にかかわらずNAT環境でIPsecのAH及びESPを利用したセキュア通信が可能であり、更にNAT装置からIPsec機能が分離された通信環境においてセキュア通信をすることができる。
以下、この発明の実施の形態について図面を参照して説明する。図1にこの発明のパケットセキュア処理装置(以下IPsec装置という)NAT装置を含む、この発明の通信方法が適用されるネットワーク間セキュア通信システムの構成例を示す。例えばLAN(Local Area Network)などの通信網10にホストA端末13が収容され、また、IPsecに準拠した処理を行うパケットセキュア処理装置(以下IPsec装置と書く)11が収容され、このIPsec装置11はアドレス変換装置12を介してインターネットなどの通信ネットワーク30に接続される。LANなどの通信網20にホストB端末23が収容され、またアドレス変換装置22が収容され、アドレス変換装置22はIPsec装置21を介して通信ネットワーク30に接続される。通信ネットワーク30に相手ホストC装置31が接続される。
通信網10においてはホストA端末13はIPsec装置11、NAT装置12の順にネットワーク30を介して相手ホストC装置31に接続される。一方、通信網20ではホストB端末23がNAT装置22、IPsec装置21の順にネットワーク30を介して相手ホストC装置31に接続される。この発明において、相手ホストC装置31はIPsec機能を備えたものであってIPsec端末、IPsecゲートウェイのどちらであってもかまわない。以下ではこれらのいずれでもよいことを表す点で相手ホストC装置31と書く。また、ホストA端末13とホストB端末23とはIPsec機能が実装されていても実装されていなくてもどちらでもよいが、この実施形態においては両方のホスト端末ともIPsec機能が実装されていないものとする。また、各々のIPsec装置11及び21と相手ホストC装置31とには予めIPsec通信に必要となる鍵が設定されているものとする。IPsec装置11及び21の機能構成例を図2に、NAT装置12及び22の機能構成例を図3にそれぞれ示す。
[第1実施形態]
図4にパケットの流れを、図5にIPsec装置11の処理手順をそれぞれ示す。この第1実施形態では図2及び図3において各装置の両側に接続されるものは実線で示すものとなる。
ホストAから相手ホストCへの通信
ホストA端末13と相手ホストC装置31とが互いにIPsecに準拠したセキュア通信を実施する。
IPsec装置11はホストA端末13から送り出されたIPパケットA1をLAN側ネットワークインタフェース111(図2)から取り込む(ステップS11)。受け取ったIPパケットA1は伝送路112を介してセキュリティポリシ検索部113へ届けられ、セキュリティポリシ検索部113によってIPパケットA1の始点IPアドレス、終点IPアドレス、プロトコルなどをキーとしてセキュリティポリシ記憶部114から該当するセキュリティポリシが検索される。該当するセキュリティポリシが見つかると(ステップS13)、IPパケットA1は伝送路115を介して暗号化や認証データ作成を行う処理部116へ届けられる。
図4にパケットの流れを、図5にIPsec装置11の処理手順をそれぞれ示す。この第1実施形態では図2及び図3において各装置の両側に接続されるものは実線で示すものとなる。
ホストAから相手ホストCへの通信
ホストA端末13と相手ホストC装置31とが互いにIPsecに準拠したセキュア通信を実施する。
IPsec装置11はホストA端末13から送り出されたIPパケットA1をLAN側ネットワークインタフェース111(図2)から取り込む(ステップS11)。受け取ったIPパケットA1は伝送路112を介してセキュリティポリシ検索部113へ届けられ、セキュリティポリシ検索部113によってIPパケットA1の始点IPアドレス、終点IPアドレス、プロトコルなどをキーとしてセキュリティポリシ記憶部114から該当するセキュリティポリシが検索される。該当するセキュリティポリシが見つかると(ステップS13)、IPパケットA1は伝送路115を介して暗号化や認証データ作成を行う処理部116へ届けられる。
IPsec装置11はIPアドレス変換情報を取得する(ステップS14)。例えばIPアドレス変換情報取得部117によりUPnP(Universal Plug and Play:DPnP対応機器はネットワークに接続するだけで自動的に相手機器の存在が認識され、機器は相互にデータのやり取りなどを行うプロトコル)を用いてNAT装置12と通信して、NAT装置12にIPパケットA1に対するアドレス変換情報を要求し、NAT装置12ではアドレス変換情報記憶部211からそのIPパケットA1に対するアドレス変換情報を取り出し、アドレス変換情報発信部212を介してIPsec装置11へアドレス変換情報を伝送する。このようにIPsec装置11では、アドレス変換情報取得部117を介してWAN側ネットワークインタフェース119に接続されたNAT装置12からIPアドレス変換情報を取得し、これをアドレス変換情報記憶部118に記憶する。これにより、IPsec装置11は、受け取ったIPパケットA1の今後書き換えられるであろう新たなIPアドレス、つまり変換前IPアドレスを知る。この実施形態においては、IPsec装置11のIPアドレス変換情報はNAT装置12との通信により取得しているが、例えば通信網10がLANであり、その管理者により手動操作によりIPアドレス変換情報記憶部118に直接記憶させることも可能である。直接記憶させる場合は、IPsec装置11のIPアドレス変換情報記憶部118とNAT装置12のIPアドレス変換情報記憶部211との記憶内容を等しくすることが重要である。従ってIPアドレス変換情報(変換前のIPアドレスや変換後のIPアドレス)の取得は通信による取得と記憶部118からの取得とがある。
IPsec装置11の暗号化や認証データ作成を行う処理部116では、ステップS12におけるセキュリティポリシ検索により得たESPかAHかに基づき、暗号化又は認証データ作成を行うが、この暗号化や認証データ作成を行う前に、受け取ったIPパケットA1の今後書き換えられるであろう新たなIPアドレス、つまり変換後のIPアドレスをアドレス変換情報記憶部118から取得する。取得後はIPパケットA1のIPヘッダを、取得した新たなIPアドレスで仮想的に置き換えた上でIPsecに準拠した暗号化や認証データ作成を行い、これをパケットに埋め込む(ステップS15)。このとき、処理部116で暗号処理生成されたIPsecパケットA2のIPヘッダは実際には書き換えられていないことに注意する。
IPsec装置11によってIPsec化されたIPパケットA2はWAN側ネットワークインタフェース119を介してNAT装置12のLAN側ネットワークインタフェース213へ伝送される。NAT装置12では、アドレス変換情報記憶部211のアドレス変換情報に基づき、アドレス変換処理部214においてIPヘッダのIPアドレス(IPパケットA1のそれと同一アドレス)を前記変換後のIPアドレスに書き換えてからIPsecパケットA3としてWAN側ネットワークインタフェース215を介して相手ホストC装置31に伝送する(ステップS16)。
相手ホストC装置31は、受け取ったIPsecパケットA3について暗号の復号化や認証データの検証を行う。ホストC装置31が受け取ったIPsecパケットA3はNAT装置12によってIPヘッダが書き換えられているが、つまり改ざんされているがIPsecパケットA3に埋め込まれた暗号データや認証データはNAT装置12でIPヘッダが変換されたと仮想したパケットに対して処理部116で暗号処理されているため、ホストC装置31はNAT装置12によるパケットの改ざんに気づくことなく、つまり廃棄することなく、暗号の復号化や認証データの検証を行うことができる。ステップS13でセキュリティポリシが見つからなければそのIPパケットA1に対しては暗号処理することなくNAT装置12へ送信する。
相手ホストCからホストAへ通信
相手ホストC装置31から通信網10のホストA端末13へ向かうIPsecパケットについて、NAT装置12ではWAN側ネットワークインタフェース215を介して相手ホストC装置31からIPsecパケットC1を受け取ると、アドレス変換情報記憶部211のアドレス変換情報に基づき、アドレス変換処理部214においてIPヘッダのIPアドレスを書き換えて、そのIPsecパケットC2を、LAN側ネットワークインタフェース215を介してIPsec装置11へ伝送する。
IPsec装置11はWAN側ネットワークインタフェース119を介してIPsecパケットC2をNAT装置12から受け取ると(ステップS17)、受け取ったIPsecパケットは伝送路121を介して認証データの検証や暗号の復号化を行う処理部122へ届けられる。
相手ホストC装置31から通信網10のホストA端末13へ向かうIPsecパケットについて、NAT装置12ではWAN側ネットワークインタフェース215を介して相手ホストC装置31からIPsecパケットC1を受け取ると、アドレス変換情報記憶部211のアドレス変換情報に基づき、アドレス変換処理部214においてIPヘッダのIPアドレスを書き換えて、そのIPsecパケットC2を、LAN側ネットワークインタフェース215を介してIPsec装置11へ伝送する。
IPsec装置11はWAN側ネットワークインタフェース119を介してIPsecパケットC2をNAT装置12から受け取ると(ステップS17)、受け取ったIPsecパケットは伝送路121を介して認証データの検証や暗号の復号化を行う処理部122へ届けられる。
IPsec装置11の暗号の復号化や認証データの検証を行う処理部122では、復号化や認証データ検証を行う前に、受け取ったIPsecパケットC2の変換前のIPアドレス、つまりNAT装置12によって書き換えられる前のIPアドレス、つまりIPsecパケットC1のIPアドレスをアドレス変換情報記憶部117から取得する(ステップS18)。取得後はIPsecパケットC2のIPヘッダを、取得したアドレス変換前のIPアドレスで仮想的に置き換えた上で暗号の復号化や認証データの検証を行う(ステップS19)。IPsec装置11は受け取ったIPsecパケットC2がNAT装置12によって改ざんされていることを知っているため、相手ホストC装置31が送り出したIPsecパケットC1、つまりNAT装置12によってIPヘッダを書き換えられる前の状態に戻したパケットに対して暗号の復号化や認証データの検証を実施しており、IPsecパケットC2を廃棄することなく復号化や検証を行うことができる。このとき、処理部122から出力されるIPパケットC3のIPヘッダは実際には書き換えられていないことに注意する。
IPsec装置11の暗号の復号化や認証データの検証を行う処理部122は、伝送路123を介してパケットをセキュリティポリシ検索部124へ届ける。セキュリティポリシ検索部124によってIPパケットC3の始点IPアドレス、終点IPアドレス、プロトコルなどをキーとしてセキュリティポリシ記憶部114から該当するセキュリティポリシが検索される(ステップS20)。該当するセキュリティポリシが見つかると(ステップS21)、IPパケットC3はLAN側ネットワークインタフェース111を介してホストA端末13に伝送され(ステップS22)、ホストA端末13と相手ホストC装置31とのIPsecを用いたセキュア通信が成り立つ。一方、ステップS20で該当するセキュリティポリシが見つからない場合はそのパケットC3をその場で廃棄部125により廃棄する(ステップS23)。
この第1実施形態の基本的構成及び効果を要約すると下記のようになる。
この発明の第1実施形態ではセキュア処理装置において、NAT装置によって書き換えられる前後のIPアドレス情報を記憶しているIPアドレス変換情報記憶部を参照して、入力パケットのIPヘッダがアドレス変換前のパケットであればアドレス変換後の状態へ、アドレス変換後のパケットであればアドレス変換前の状態へ仮想的に置き換えた上でIPsecに準拠した暗号処理を入力パケットに対して行って出力する。ここで暗号処理とはデータを秘匿する暗号化処理、暗号化処理されたデータを原データに復元する復号化処理、データが改ざんされていないことを保証するための認証処理、認証処理されたデータに対し、改ざんされていないか否かを確認する検証処理のいずれかを表わす。このことは以下において同様である。
この発明の第1実施形態ではセキュア処理装置において、NAT装置によって書き換えられる前後のIPアドレス情報を記憶しているIPアドレス変換情報記憶部を参照して、入力パケットのIPヘッダがアドレス変換前のパケットであればアドレス変換後の状態へ、アドレス変換後のパケットであればアドレス変換前の状態へ仮想的に置き換えた上でIPsecに準拠した暗号処理を入力パケットに対して行って出力する。ここで暗号処理とはデータを秘匿する暗号化処理、暗号化処理されたデータを原データに復元する復号化処理、データが改ざんされていないことを保証するための認証処理、認証処理されたデータに対し、改ざんされていないか否かを確認する検証処理のいずれかを表わす。このことは以下において同様である。
この構成により、IPヘッダの内容が書き換えられることを想定した上でIPパケットに対し暗号化や認証データ作成を行っており、NAT装置によってIPヘッダの内容が書き換えられても通信相手側ホスト装置では、改ざんされたパケットと判断してパケットを破棄されないようにすることができる。また、受信したIPsecパケットに対し、NAT装置でIPヘッダの内容が書き換えられる前の状態を仮想してIPsecの復号化や認証データの検証を行うことができ、正しく処理が行われる。
[第2実施形態]
ホストB端末23と相手ホストC装置31との通信網20、ネットワーク30を介するセキュア通信の実施形態を説明する。図2および図3において各装置の両側に接続されるものは破線で示すものとなる。この場合のパケットの流れを図6に、IPsec装置21の処理手順の例を図7にそれぞれ示す。
ホストBから相手ホストCへの通信
NAT装置22ではLAN側ネットワークインタフェース213を介してホストB端末23からIPパケットB1を受け取ると、アドレス変換情報記憶部211のアドレス変換情報に基づき、アドレス変換処理部214においてIPヘッダのIPアドレスを書き換え、そのIPパケットB2を、WAN側ネットワークインタフェース215を介してIPsec装置21へ伝送する。
ホストB端末23と相手ホストC装置31との通信網20、ネットワーク30を介するセキュア通信の実施形態を説明する。図2および図3において各装置の両側に接続されるものは破線で示すものとなる。この場合のパケットの流れを図6に、IPsec装置21の処理手順の例を図7にそれぞれ示す。
ホストBから相手ホストCへの通信
NAT装置22ではLAN側ネットワークインタフェース213を介してホストB端末23からIPパケットB1を受け取ると、アドレス変換情報記憶部211のアドレス変換情報に基づき、アドレス変換処理部214においてIPヘッダのIPアドレスを書き換え、そのIPパケットB2を、WAN側ネットワークインタフェース215を介してIPsec装置21へ伝送する。
また、NAT装置22ではアドレス変換情報記憶部211からアドレス変換情報を取り出し、アドレス変換情報発信部212を介してIPsec装置21へアドレス変換情報が伝送される。IPsec装置21のアドレス変換情報記憶部118ではアドレス変換情報取得部117を介してNAT装置22からIPアドレス変換情報を取得しこれを記憶する。これにより、IPsec装置21は、受け取ったパケットの今後書き換えられるであろう新たなIPアドレス、もしくは書き換えられる前のIPアドレスを知ることが可能となる。この場合もIPアドレス変換情報はNAT装置22との通信によることなくIPアドレス変換情報記憶部118に直接記憶させることも可能である。
IPsec装置21はアドレス変換情報記憶部118のアドレス変換情報に基づきセキュリティポリシ記憶部114のセキュリティポリシを動的に変更する。この実施形態においては、IPsec装置21のアドレス変換情報記憶部118に記憶されたIPアドレスとセキュリティポリシ記憶部114に記憶されたIPアドレスとを動的更新により一致させているが、セキュリティポリシ記憶部114に手動により直接IPアドレスを記憶させることでアドレス変換情報記憶部118に記憶されたIPアドレスと一致させることも可能である。
IPsec装置21はNAT装置22から送り出されたIPパケットB2をLAN側ネットワークインタフェース111から取り込み、受け取ったIPパケットを伝送路131を介してセキュリティポリシ検索部113へ届ける(ステップS31)。セキュリティポリシ検索部113では、検索を始める前に、受け取ったIPパケットB2のNAT装置22によって書き換えられる前のIPアドレス、つまりIPパケットB1のIPアドレスをアドレス変換情報記憶部118から取得する(ステップS32)。IPパケットB2のIPヘッダを、取得した変換前のIPアドレスで仮想的に置き換えた上で始点IPアドレス、終点IPアドレス、プロトコルなどをキーとしてセキュリティポリシ記憶部114から該当するセキュリティポリシが検索される(ステップS33)。このようにセキュリティポリシの検索はホストB端末23が送信した直後のIPパケットB1の情報に基づき実施されることになっているため、NAT装置22によってIPアドレスが書き換えられても送信元ホストごとにセキュリティポリシを適用することが可能となる。該当するセキュリティポリシが見つかると(ステップS34)、IPパケットB2は伝送路132を介して暗号化や認証データ作成を行う処理部116へ届けられる。このとき、IPパケットB2のIPヘッダは実際には書き換えられていないことに注意する。
IPsec装置21の暗号化や認証データ作成を行う処理部116では、前記セキュリティポリシの検索結果により得られたESPかAHかにより、IPsecに準拠した暗号化又は認証データ作成を行い、これをパケットに埋め込み(ステップS35)、IPsecパケットB3としてWAN側ネットワークインタフェース119を介して相手ホストC装置31に伝送する(ステップS36)。
相手ホストC装置31は、受け取ったIPsecパケットB3について暗号の復号化や認証データの検証を行う。このIPsecパケットB3はIPsec装置21で認証データや暗号データが作成されて以降、NAT装置22によるアドレス書き換えは行われていないため、相手ホストC装置31はパケットを廃棄することなく、暗号の復号化や認証データの検証を行うことができる。当然のことながら悪意ある者によってIPsecパケットB3の改ざんが行われた場合には復号化することができず、又は検証に成功できず、その改ざんされたパケットを廃棄する。
相手ホストC装置31は、受け取ったIPsecパケットB3について暗号の復号化や認証データの検証を行う。このIPsecパケットB3はIPsec装置21で認証データや暗号データが作成されて以降、NAT装置22によるアドレス書き換えは行われていないため、相手ホストC装置31はパケットを廃棄することなく、暗号の復号化や認証データの検証を行うことができる。当然のことながら悪意ある者によってIPsecパケットB3の改ざんが行われた場合には復号化することができず、又は検証に成功できず、その改ざんされたパケットを廃棄する。
相手パケットCからパケットBへの通信
相手ホストC装置から通信網20に収容されたホストB端末23へ向かうIPsecパケットC4を、IPsec装置21がWAN側ネットワークインタフェース119に受け取ると(ステップS37)、伝送路133を介して暗号の復号化や認証データの検証を行う処理部122へIPsecパケットC4を伝送する。処理部122では暗号の復号化や認証データの検証が行われ(ステップS38)、成功すれば、伝送路134を介してセキュリティポリシ検索部124へそのIPパケットC5を送る。
相手ホストC装置から通信網20に収容されたホストB端末23へ向かうIPsecパケットC4を、IPsec装置21がWAN側ネットワークインタフェース119に受け取ると(ステップS37)、伝送路133を介して暗号の復号化や認証データの検証を行う処理部122へIPsecパケットC4を伝送する。処理部122では暗号の復号化や認証データの検証が行われ(ステップS38)、成功すれば、伝送路134を介してセキュリティポリシ検索部124へそのIPパケットC5を送る。
セキュリティポリシ検索部124では、検索を始める前に、受け取ったIPパケットC5の今後書き換えられるであろう新たなIPアドレス、つまりNAT装置22によって書き換えられた後のIPアドレスをアドレス変換情報記憶部118から取得する(ステップS39)。IPパケットC5のIPヘッダを、その取得したIPアドレスで仮想的に置き換えた上で始点IPアドレス、終点IPアドレス、プロトコルなどをキーとしてセキュリティポリシ記憶部114から該当するセキュリティポリシが検索される(ステップS40)。このようにセキャリティポリシの検索はホストB端末23が受信する直前のパケット情報に基づき実施されることになっているため、NAT装置22によってIPアドレスが書き換えられても送信先ホストごとにセキュリティポリシを適用することが可能となる。このとき、IPパケットC5のIPヘッダは実際には書き換えられていないことに注意する。該当するセキュリティポリシが見つかると(ステップS41)、IPパケットC5はLAN側ネットワークインタフェース111を介してNAT装置22へ送信される(ステップS42)。
ステップS41で該当するセキュリティポリシが見つからない場合はこのIPパケットC5は廃棄部125で廃棄される(ステップS43)。
NAT装置22ではWAN側ネットワークインタフェース215にIPパケットC5が受信されると、アドレス変換情報記憶部211のアドレス変換情報に基づきアドレス変換処理部214でIPヘッダのIPアドレスを書き換え、そのIPパケットC6をLAN側ネットワークインタフェース213を通じてホストB端末23へ送信される。このようにして相手ホストC装置31とホストB端末23との間でIPsecに準拠したセキュアな通信が行われる。
NAT装置22ではWAN側ネットワークインタフェース215にIPパケットC5が受信されると、アドレス変換情報記憶部211のアドレス変換情報に基づきアドレス変換処理部214でIPヘッダのIPアドレスを書き換え、そのIPパケットC6をLAN側ネットワークインタフェース213を通じてホストB端末23へ送信される。このようにして相手ホストC装置31とホストB端末23との間でIPsecに準拠したセキュアな通信が行われる。
この第2実施形態の基本的構成及び効果を要約すると下記のようになる。
この第2実施形態によればNAT装置によって書き換えられる前後のIPアドレス変換情報を記憶するIPアドレス変換情報記憶部を参照して、入力パケットに対しIPヘッダを、アドレス変換後のパケットにはアドレス変換前の、アドレス変換前のパケットにはアドレス変換後の状態へ仮想的に置き換えた上でセキュリティポリシを適用する。
この構成により、NAT装置とIPsec装置とがともにローカルなネットワークにあってNAT装置、IPsec装置の順にネットワークを介して相手ホストに接続する場合に、NAT装置によってIPアドレスが書き換えられたパケットに対し、送信元ホスト端末ごとにセキュリティポリシを適用することができる。また、IPsecパケットに対して先のNAT装置でIPヘッダの内容が書き換えられることを想定した上で送信先ホスト端末ごとにセキュリティポリシを適用することができる。
この第2実施形態によればNAT装置によって書き換えられる前後のIPアドレス変換情報を記憶するIPアドレス変換情報記憶部を参照して、入力パケットに対しIPヘッダを、アドレス変換後のパケットにはアドレス変換前の、アドレス変換前のパケットにはアドレス変換後の状態へ仮想的に置き換えた上でセキュリティポリシを適用する。
この構成により、NAT装置とIPsec装置とがともにローカルなネットワークにあってNAT装置、IPsec装置の順にネットワークを介して相手ホストに接続する場合に、NAT装置によってIPアドレスが書き換えられたパケットに対し、送信元ホスト端末ごとにセキュリティポリシを適用することができる。また、IPsecパケットに対して先のNAT装置でIPヘッダの内容が書き換えられることを想定した上で送信先ホスト端末ごとにセキュリティポリシを適用することができる。
上述においてIPsec装置11又は21においてアドレス変換情報をNAT装置21又は22との通信により取得したが、プライベートIPアドレスとグローバルIPアドレスとの変換を管理するサーバ装置32との通信により取得してもよい。なお図2中の制御部137は記憶部114,118に対する読み書きや順次他の各部を動作させる。
更に第1実施形態においては入力IPパケット(IPsecパケット)に対し、IPアドレス仮想的置換として暗号処理したが、第2実施形態においては入力IPパケット(IPsecパケット)について暗号処理をするか否かを検索し、検索により見つかるとESPかAHかを決定するものであるから、この仮想的置換として検索することはセキュア処理をしていると云える。従ってこの点から前記第1実施形態及び第2実施形態を総合すると、この発明におけるパケットセキュア処理装置及びその処理手順の原理は下記のようになる。図8にその機能構成を、図9にその処理手順を示す。
更に第1実施形態においては入力IPパケット(IPsecパケット)に対し、IPアドレス仮想的置換として暗号処理したが、第2実施形態においては入力IPパケット(IPsecパケット)について暗号処理をするか否かを検索し、検索により見つかるとESPかAHかを決定するものであるから、この仮想的置換として検索することはセキュア処理をしていると云える。従ってこの点から前記第1実施形態及び第2実施形態を総合すると、この発明におけるパケットセキュア処理装置及びその処理手順の原理は下記のようになる。図8にその機能構成を、図9にその処理手順を示す。
IPsec装置にIPパケット(IPsecパケットを含む)が受信されると(ステップS50)、その入力されたIPパケットがアドレス変換がなされたものか否かが判定部141により判定される(ステップS51)。つまりIPsec装置の両側には図2に示すように、実線に示すホストA端末13及びアドレス変換装置12が接続される場合と、破線に示すアドレス変換装置22及び相手ホスト装置31が接続される場合とがあり、これらの接続状態は予め知らされているから、LAN側ネットワークインタフェース111にパケットが受信されると、前者の場合はホストA端末13からであり、アドレス変換がされていないと判定され、後者の場合はアドレス変換装置22からであり、アドレス変換がされていると判定される。同様にWAN側ネットワークインタフェース119にパケットが受信されると、前者の場合はアドレス変換装置12からであり、アドレス変換がされていると判定され、後者の場合は、相手側ホストC装置31からであり、アドレス変換がされていないと判定される。従って判定部141は実際のハードウェアとして独立に設けなくてもよい。
ステップS51での判定がアドレス変換前であれば、その受信したパケットのIPアドレスがアドレス変換装置により変換されたIPアドレス(変換後IPアドレス)を取得し(ステップS52)、ステップS51での判定がアドレス変換後であれば、その受信したパケットのIPアドレスがアドレス変換装置により変換される前のIPパケットを取得する(ステップS53)。
次に受信したパケットについて、そのIPヘッダのIPアドレスをステップS52又はステップS53で取得したIPアドレスで仮想的に置き換えた上で仮想置換セキュア処理部142又は143によりセキュア処理して(ステップS54)、出力する(ステップS55)。仮想置換セキュア処理部142は図2中のIPアドレスを仮想置換して処理する場合のセキュリティポリシ検索部113及び暗号化、認証データ作成処理部116であり、仮想置換セキュア処理部143は図2中のIPアドレスを仮想置換して処理する場合の復号化、認証データ検証部122及びセキュリティポリシ検索部124である。
次に受信したパケットについて、そのIPヘッダのIPアドレスをステップS52又はステップS53で取得したIPアドレスで仮想的に置き換えた上で仮想置換セキュア処理部142又は143によりセキュア処理して(ステップS54)、出力する(ステップS55)。仮想置換セキュア処理部142は図2中のIPアドレスを仮想置換して処理する場合のセキュリティポリシ検索部113及び暗号化、認証データ作成処理部116であり、仮想置換セキュア処理部143は図2中のIPアドレスを仮想置換して処理する場合の復号化、認証データ検証部122及びセキュリティポリシ検索部124である。
上述においてIPsec装置11はホストA端末13に実装されていてもよい。図2に示したIPsec装置はコンピュータにより機能させてもよい。その場合は、コンピュータに図5又は図7に示した各過程をコンピュータにより実行させるためのプログラムを、CD−ROM、磁気ディスク、半導体記憶装置などの記録媒体からインストールし、あるいは通信回線を通じてダウンロードして、そのコンピュータにそのプログラムを実行させればよい。
Claims (13)
- IPパケットに対し、プライベートIPアドレスとグローバルIPアドレスとの変換を行うネットワーク間セキュア通信方法において、
セキュア処理を行う際に、アドレス変換が行われていないIPパケットに対しては、そのIPパケットのIPアドレスが変換されるであろう新たなIPアドレスを取得し、
アドレス変換が行われたIPパケットに対しては、そのIPパケットのIPアドレスが変換される前のIPアドレスを取得し、
上記取得したIPアドレスで上記IPパケットのIPアドレスを仮想的に置換し、そのIPアドレスを仮想的置換したIPパケットについてセキュア処理を行うことを特徴とするネットワーク間セキュア通信方法。 - IPパケットに対し、プライベートIPアドレスとグローバルIPアドレスとの変換を行うネットワーク間セキュア通信システムに用いられるセキュア処理装置であって、
変換前のIPアドレスと変換後のIPアドレスの対応を格納するアドレス変換情報記憶部と、
入力されたIPパケットのIPアドレスが変換前か変換後であるかを判定する前後判定部と、
上記前後判定部の判定が変換後であれば、上記アドレス変換情報記憶部の対応する変換前のIPアドレスを、判定が上記変換前であれば、上記アドレス変換記憶部の対応する変換後のIPアドレスを用いて上記入力IPパケットのIPアドレスを仮想的に置換したIPパケットについてセキュア処理して出力するセキュア処理部と
を備えるパケットセキュア処理装置。 - 上記パケットセキュア処理装置は、自分側ホスト端末とアドレス変換装置との間に位置して用いられるものであり、
上記セキュア処理部は、
上記変換後のIPアドレスを用いて上記仮想的に置換して、上記自分側ホスト端末から入力された入力IPパケットに対して暗号化や認証データ作成を行う暗号化、認証データ作成処理部と、
上記アドレス変換装置から入力された相手側ホスト装置よりの入力IPパケットとしてのセキュアIPパケットに対し、上記変換前のIPアドレスを用いて上記仮想的に置換して、暗号の復号化や認証データの検証を行う復号化、認証データ検証処理部とであることを特徴とする請求項2記載のパケットセキュア処理装置。 - 上記相手側ホスト装置と上記自分側ホスト端末とのセキュリティポリシを記憶するセキュリティポリシ記憶部と、
上記自分側ホスト端末から入力された入力IPパケットについて上記セキュリティポリシ記憶部を検索し、見つからなければその入力IPパケットを上記アドレス変換装置へ送信し、見つかればその見つけた検索内容と共に上記入力IPパケットを上記暗号化、認証データ作成処理部へ出力する第1セキュリティポリシ検索部と、
上記復号化、認証データ検証処理部よりの処理結果のIPパケットが入力され、そのIPパケットについて上記セキュリティポリシ記憶部を検索し、見つからなければそのIPパケットを廃棄し、見つかれば、そのIPパケットを上記自分側ホスト端末へ送信する第2セキュリティポリシ検索部とを備え、
上記暗号化、認証データ作成処理部は、入力された検索内容に応じて上記暗号化又は認証データ作成を行う処理部であることを特徴とする請求項3記載のパケットセキュア処理装置。 - 上記パケットセキュア処理装置は、自分側ホスト端末と接続されるアドレス変換装置と、ネットワークを介して接続される相手側ホスト装置との間に位置して用いられるものであり、
上記各自分側ホスト端末と上記相手側ホスト装置との組みごとのセキュリティポリシを記憶するセキュリティポリシ記憶部を備え、
上記セキュリティ処理部は、
上記アドレス変換装置より入力された自分側ホスト端末のIPパケットについて上記変換前のIPアドレスを用いて、仮想的に置換して、上記セキュリティポリシ記憶部に対する検索を行う第1セキュリティポリシ検索部と、
上記相手側ホスト装置から入力されたセキュアIPパケットについて、上記変換後のIPアドレスを用いて仮想的に置換して、上記セキュリティポリシ記憶部に対する検索を行う第2セキュリティポリシ検索部とであることを特徴とする請求項2記載のパケットセキュア処理装置。 - 上記第1セキュリティポリシ検索部より入力されたIPパケットとその検索内容が入力され、その検索内容に応じてその入力されたIPパケットに対し、暗号化又は認証データの作成を行って、その結果のセキュアIPパケットを上記相手側ホスト装置へ送信する暗号化、認証データ作成部と、
上記相手側ホスト装置から入力されたセキュアIPパケットに対し、暗号の復号化や認証データの検証を行い、その復号化された又は検証に合格したIPパケットを上記第2セキュリティポリシ検索部へ出力する復号化、認証データ検証処理部とを備え、
上記第1セキュリティポリシ検索部は検索により見つかればその入力されたIPパケット及びその検索内容を上記暗号化、認証データ作成処理部へ出力し、見つからなければ上記入力されたIPパケットを上記相手側ホスト装置へ送信する検索部であり、
上記第2セキュリティポリシ検索部は検索により見つかれば上記復号化、認証データ検証処理部より入力されたIPパケットを上記アドレス変換装置へ送信し、検索で見つからなければこの入力されたIPパケットを廃棄する処理部であることを特徴とする請求項5記載のパケットセキュア処理装置。 - 上記アドレス変換装置又はそのアドレス変換装置のアドレス変換を管理するサーバ装置と通信して上記変換前、後のIPアドレスの対応を取得して取得した変換前、後のIPアドレスを上記アドレス変換情報記憶部に格納するIPアドレス変換情報取得部を備えることを特徴とする請求項2〜6のいずれかに記載のパケットセキュア処理装置。
- 上記アドレス変換装置又はそのアドレス変換装置のアドレス変換を管理するサーバ装置と通信して上記変換前、後のIPアドレスの対応を取得して取得した変換前、後のIPアドレスを上記アドレス変換情報記憶部に格納するIPアドレス変換情報取得部と、上記アドレス変換情報記憶部の記憶状態の変更に伴い、上記セキュリティポリシ記憶部内のセキュリティポリシを変更する手段を備えることを特徴とする請求項4〜6のいずれかに記載のパケットセキュア処理装置。
- IPパケットに対しプライベートIPアドレスとグローバルIPアドレスとの変換を行うネットワーク間セキュア通信システムにおける自分側ホスト端末とアドレス変換装置との間に位置して用いられるパケットセキュア処理装置の処理方法であって、
上記自分側ホスト端末よりIPパケットを受信すると、そのIPパケットのIPアドレスを用い、上記アドレス変換装置によって変換される前後のIPアドレスを記憶するアドレス変換情報記憶部を参照して変換後のIPアドレスを取得し、
上記入力IPパケットに対し、そのIPヘッダを、上記取得したIPアドレスを用いてアドレス変換後の状態へ仮想的に置き換えた上で暗号化や認証データ作成を行って上記アドレス変換装置へ送信し、
上記アドレス変換装置を通して相手側ホスト装置からセキュアIPパケットを受信すると、そのセキュアIPパケットのIPアドレスを用い、上記アドレス変換情報記憶部を参照して変換前のIPアドレスを取得し、
上記セキュアIPパケットに対し、そのIPヘッダを、上記取得したIPアドレスを用いてアドレス変換前の状態へ仮想的に置き換えた上で暗号の復号化や認証データの検証を行うことを特徴とするパケットセキュア処理装置の処理方法。 - IPパケットに対しプライベートIPアドレスとグローバルIPアドレスとの変換を行うネットワーク間セキュア通信システムにおける、自分側ホスト端末と接続されるアドレス変換装置と、ネットワークを介して接続される相手側ホスト装置との間に位置して用いられるパケットセキュア処理装置の処理方法であって、
上記アドレス変換装置を介して上記自分側ホスト端末からIPパケットを受信すると、そのIPパケットのIPアドレスを用い、上記アドレス変換装置によってIPアドレスが変換される前後のIPアドレスを記憶するアドレス変換情報記憶部を参照して変換前のIPアドレスを取得し、
上記受信したIPパケットに対し、そのIPヘッダを上記取得したIPアドレスを用いてアドレス変換前の状態へ仮想的に置き換えた上でセキュリティポリシを適用し、
上記相手側ホスト装置からセキュアIPパケットを受信すると、そのセキュアIPパケットのIPヘッダを用い、上記アドレス変換情報記憶部からその変換後のIPアドレスを取得し、
上記セキュアIPパケットに対して、そのIPヘッダを上記取得したIPアドレスを用いてアドレス変換後の状態へ仮想的に置き換えた上でセキュリティポリシを適用することを特徴とするパケットセキュア処理装置の処理方法。 - 請求項2〜8のいずれかに記載したパケットセキュア処理装置としてコンピュータを機能させるためのプログラム。
- 請求項11に記載したプログラムを記録したコンピュータ読み取り可能な記録媒体。
- IPパケットに対しプライベートIPアドレスとグローバルIPアドレスとの変換を行うネットワーク間セキュア通信システムに用いられるアドレス変換装置において、
アドレス変換前のIPアドレスと変換後のIPアドレスとの対応を記憶するアドレス変換情報記憶部と、
入力されたIPパケットのIPヘッダのIPアドレスを、上記アドレス変換情報記憶部を参照して変換後のIPアドレスに変換してそのIPパケットを出力するアドレス変換処理部と、
上記変換したIPアドレス及びその変換前のIPアドレスを外部機器に発信するIPアドレス変換情報発信部とを備えることを特徴とするアドレス変換装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004156181A JP3788802B2 (ja) | 2004-05-26 | 2004-05-26 | ネットワーク間セキュア通信方法、パケットセキュア処理装置、その処理方法、プログラム、その記録媒体、アドレス変換装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004156181A JP3788802B2 (ja) | 2004-05-26 | 2004-05-26 | ネットワーク間セキュア通信方法、パケットセキュア処理装置、その処理方法、プログラム、その記録媒体、アドレス変換装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005341127A true JP2005341127A (ja) | 2005-12-08 |
| JP3788802B2 JP3788802B2 (ja) | 2006-06-21 |
Family
ID=35494195
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004156181A Expired - Fee Related JP3788802B2 (ja) | 2004-05-26 | 2004-05-26 | ネットワーク間セキュア通信方法、パケットセキュア処理装置、その処理方法、プログラム、その記録媒体、アドレス変換装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3788802B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109981820A (zh) * | 2019-03-29 | 2019-07-05 | 新华三信息安全技术有限公司 | 一种报文转发方法及装置 |
-
2004
- 2004-05-26 JP JP2004156181A patent/JP3788802B2/ja not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109981820A (zh) * | 2019-03-29 | 2019-07-05 | 新华三信息安全技术有限公司 | 一种报文转发方法及装置 |
| CN109981820B (zh) * | 2019-03-29 | 2022-04-22 | 新华三信息安全技术有限公司 | 一种报文转发方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3788802B2 (ja) | 2006-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7346770B2 (en) | Method and apparatus for traversing a translation device with a security protocol | |
| US7159242B2 (en) | Secure IPsec tunnels with a background system accessible via a gateway implementing NAT | |
| US7386881B2 (en) | Method for mapping security associations to clients operating behind a network address translation device | |
| JP3457645B2 (ja) | ネットワーク・アドレス変換とプロトコル変換が存在する場合のパケット認証の方法 | |
| JP4674502B2 (ja) | 情報通信システム、情報通信装置及び情報通信方法、並びにコンピュータ・プログラム | |
| JP4766574B2 (ja) | ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止 | |
| US8365273B2 (en) | Method and arrangement for providing security through network address translations using tunneling and compensations | |
| JP3343064B2 (ja) | フレームを捕獲、カプセル化及び暗号化するための擬似ネットワークアダプタ | |
| US8654755B2 (en) | Device and method for communicating with another communication device via network forwarding device | |
| KR101851826B1 (ko) | 네트워크 게이트웨이 장치 | |
| JP2009111437A (ja) | ネットワークシステム | |
| KR100479261B1 (ko) | 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치 | |
| JP4346094B2 (ja) | パケット暗号処理代理装置 | |
| CA2844428C (en) | Real-time encryption of voice and fax over ip | |
| US8646066B2 (en) | Security protocol control apparatus and security protocol control method | |
| KR20090061253A (ko) | 인터넷 프로토콜 보안 적용을 위한 유디피 기반의 터널링방법 및 상기 방법을 수행하는 시스템 | |
| JP4933286B2 (ja) | 暗号化パケット通信システム | |
| JP3788802B2 (ja) | ネットワーク間セキュア通信方法、パケットセキュア処理装置、その処理方法、プログラム、その記録媒体、アドレス変換装置 | |
| Bittau et al. | TCP-ENO: Encryption negotiation option | |
| US8892884B2 (en) | Managing IPsec security associations using discrete domains | |
| JP2008199497A (ja) | ゲートウェイ装置および認証処理方法 | |
| JP2005167608A (ja) | 暗号通信装置、暗号通信方法、コンピュータプログラム、及びコンピュータ読み取り可能な記録媒体 | |
| KR100450774B1 (ko) | NAT 기능을 갖는 사설망에서 IPSec을 이용한종단과 종단 간의 private 정보 전송 방법 및 이를이용한 보안 서비스 방법 | |
| JP4674144B2 (ja) | 暗号通信装置および暗号通信方法 | |
| Handley et al. | Internet Engineering Task Force (IETF) A. Bittau Request for Comments: 8547 Google Category: Experimental D. Giffin |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060224 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060307 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20060323 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060323 |
|
| R150 | Certificate of patent (=grant) or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090407 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100407 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110407 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120407 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130407 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140407 Year of fee payment: 8 |
|
| LAPS | Cancellation because of no payment of annual fees |