Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP3651424B2 - 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置 - Google Patents
[go: Go Back, main page]

JP3651424B2 - 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置 - Google Patents

大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置 Download PDF

Info

Publication number
JP3651424B2
JP3651424B2 JP2001257681A JP2001257681A JP3651424B2 JP 3651424 B2 JP3651424 B2 JP 3651424B2 JP 2001257681 A JP2001257681 A JP 2001257681A JP 2001257681 A JP2001257681 A JP 2001257681A JP 3651424 B2 JP3651424 B2 JP 3651424B2
Authority
JP
Japan
Prior art keywords
gateway
key
scale
lan
ipsec
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2001257681A
Other languages
English (en)
Other versions
JP2003069597A (ja
Inventor
恭弘 山口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2001257681A priority Critical patent/JP3651424B2/ja
Publication of JP2003069597A publication Critical patent/JP2003069597A/ja
Application granted granted Critical
Publication of JP3651424B2 publication Critical patent/JP3651424B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、複数のゲートウェイを有する大規模LANとIPSecによるVPNを構築するにあたり、鍵交換とともに鍵転送を行うことによって、一部のゲートウェイに障害が発生しても、通信不能とならない大規模IPSec VPN構築方法、大規模IPSec VPNシステム、大規模IPSec VPNプログラム及び鍵共有情報処理装置に関する。
【0002】
【従来の技術】
IPSec(Security architecture for IP(Internet Protocol))は特定のメンバ間で秘密鍵を共有することによってセキュリティを確保している。
この秘密鍵を共有するためには、通常IKE(Internet Key Exchange;インターネットキーエクスチェンジ)プロトコルを用いるが、これは特定の2者間で秘密鍵を生成するプロトコルであるため、事実上IPSecは、特定2者間でセキュリティを確保するプロトコルになっている。
【0003】
一方、大企業のネットワークなどの大規模なLANは、通常LAN外からの通信を受け入れるために、複数のゲートウェイを持っている。そのため、一つのゲートウェイで障害が発生しても別のゲートウェイを経由して、LAN外からの通信が可能になる。
【0004】
ところが、IPSecを用いると、LAN外の装置は一つのゲートウェイとの間でしかセキュリティを確保できなくなるため、このゲートウェイにおいて障害が発生するとLAN内との通信ができなくなってしまっていた。
このような問題を解決するために、IPSecによるセキュリティの確保が行われたゲートウェイに障害が発生した場合には、その時点で別のゲートウェイとの間で新たにIPSec通信を行う方法なども行われている。
【0005】
【発明が解決しようとする課題】
しかしながら、このような従来の方法などは、ゲートウェイの障害に備えて、常にその動作状況を監視する必要があることに加え、障害が発生した場合には、別のゲートウェイと再度新たに鍵の共有を行う必要があり、ネットワークに高い負荷をかける方法であった。
このため、一つのゲートウェイで障害が発生しても別のゲートウェイを経由してLAN外との通信を行うことのできる大規模LANの利点を損なうことなく、IPSecによるセキュリティの確保を可能とする方法等の実現が望まれていた。
【0006】
本発明は、上記の事情にかんがみなされたものであり、従来のようなIPSecにおける不都合を解消し、IPSecによるセキュリティの確保されたゲートウェイにおいて障害が発生しても、ネットワークに高負荷をかけることなく、別のゲートウェイを経由して、LAN外からの通信を可能とする大規模IPSecVPN(Virtual Private Network)構築方法、大規模IPSec VPNシステム、大規模IPSec VPNプログラム及び鍵共有情報処理装置の提供を目的とする。
【0007】
【課題を解決するための手段】
上記目的を達成するため、本発明の請求項1記載の大規模IPSec VPNの構築方法は、複数のゲートウェイを有する大規模LANのゲートウェイと、その他のLANのゲートウェイとの間で、IPSecにもとづく鍵交換が行われた場合において、大規模LANのゲートウェイのインターネットキーエクスチェンジ部が、このゲートウェイのIPSec部に鍵設定を行うとともに、このゲートウェイの鍵転送部に鍵転送を要求し、ゲートウェイの鍵転送部が、要求に応じて、大規模LANの他のゲートウェイの鍵転送部に鍵転送を行い、他のゲートウェイの鍵転送部が、この転送されてきた鍵を用いて、他のゲートウェイのIPSec部に鍵設定を行う方法としてある。
【0008】
大規模IPSec VPNの構築方法をこのような方法にすれば、大規模LAN内において、鍵交換を行ったゲートウェイが、他のゲートウェイにその鍵をコピーし、実際には鍵交換を行っていないゲートウェイに、鍵交換行った場合と同様の権限をもたせることができる。
【0009】
このため、鍵交換を行ったゲートウェイに障害が発生しても、他のゲートウェイが、その障害が発生したゲートウェイに代わり、同様の役割を果たすことが可能となるため、このような場合に通信不能とはならなくなる。
また、この方法によれば、余分に鍵交換を行う必要がなくなるため、ネットワークや、ゲートウェイにかかる負荷を大幅に軽減することが可能となる。
【0010】
次に、本発明の請求項2記載の大規模IPSec VPNの構築方法は、鍵転送は、大規模LANのゲートウェイが、大規模LANの他のゲートウェイに鍵転送を要求し、他のゲートウェイが、この要求に対して、OK信号を暗号化してゲートウェイに返し、ゲートウェイが、この暗号化されたOK信号を検査するとともに、鍵を暗号化して他のゲートウェイに転送し、他のゲートウェイが、この転送されてきた鍵を検査して、ゲートウェイにOK信号を返す手順を含む方法としてある。
【0011】
大規模IPSec VPNの構築方法をこのような方法にすれば、鍵転送を行う場合において、セキュリティを確保することが可能となり、この鍵転送を行うLANの内部に悪意のユーザが存在したとしても、盗聴などが行われることを防止することができる。
【0012】
次に、本発明の請求項3記載の大規模IPSec VPNの構築方法は、大規模LANの他のゲートウェイの鍵転送部が、大規模LANのゲートウェイから鍵転送を受けると、他のゲートウェイのIPSec部に鍵設定を行うとともに、この鍵を大規模LANのさらなる他のゲートウェイの鍵転送部に転送し、さらなる他のゲートウェイも、他のゲートウェイと同様に、自分のIPSec部に鍵設定を行うとともに、この鍵をゲートウェイの鍵転送部に転送し、ゲートウェイは、転送されてきた鍵が、最初に自分が転送した鍵に一致すること確認する方法としてある。
【0013】
大規模IPSec VPNの構築方法をこのような方法にすれば、大規模LANのゲートウェイが、3台以上の場合には、鍵転送を受けたゲートウェイが、さらに他のゲートウェイに鍵転送を行うことができ、鍵転送を効率的に行うことが可能となる。
また、大規模LAN内のゲートウェイが多数ある場合には、鍵交換を行ったゲートウェイと鍵転送を受けたゲートウェイをコピー元として、同時に複数の転送を行うことによって、速やかに鍵転送を行うことも可能となる。
【0014】
次に、本発明の請求項4記載の大規模IPSec VPNシステムは、複数のゲートウェイを有する大規模LANのゲートウェイと、その他のLANのゲートウェイとの間で、IPSecにもとづく鍵交換が行われると、大規模LAN内のゲートウェイ間で鍵転送が行われる大規模IPSec VPNシステムであって、インターネットキーエクスチェンジ部によりその他のLANのゲートウェイと鍵交換を行うとともに、このインターネットキーエクスチェンジ部により自分のIPSec部に鍵設定を行って、自分の鍵転送部に鍵転送を要求し、この鍵転送部により大規模LANの他のゲートウェイに鍵転送を行う大規模LANのゲートウェイと、大規模LANのゲートウェイから、鍵転送部が鍵転送を受けるとともに、自分のIPSec部に鍵設定を行う大規模LANの他のゲートウェイと、大規模LANのゲートウェイと鍵交換を行うその他のLANのゲートウェイと、大規模LANのゲートウェイと、大規模LANの他のゲートウェイと、その他のLANのゲートウェイを接続する通信回線とを有する構成としてある。
【0015】
大規模IPSec VPNシステムをこのような構成にすれば、鍵交換を行ったゲートウェイに障害が発生しても、他のゲートウェイが、その障害が発生したゲートウェイに代わり、同様の役割を果たすことが可能となるため、IPSec通信不能とはならなくなる。
【0016】
また、従来技術にあるように、別途鍵交換を行うことによって、迂回用のゲートウェイを設定する場合に比べると、本システムでは負荷の大きい鍵交換を1度しか行う必要がないため、ネットワークや、ゲートウェイにかかる負荷を大幅に軽減することが可能となる。
【0017】
次に、本発明の請求項5記載の大規模IPSec VPNシステムは、鍵転送は、大規模LANのゲートウェイが、大規模LANの他のゲートウェイに鍵転送を要求し、他のゲートウェイが、この要求に対して、OK信号を暗号化してゲートウェイに返し、ゲートウェイが、この暗号化されたOK信号を検査するとともに、鍵を暗号化して他のゲートウェイに転送し、他のゲートウェイが、この転送されてきた鍵を検査して、ゲートウェイにOK信号を返す手順を含む構成としてある。
【0018】
大規模IPSec VPNシステムをこのような構成にすれば、LANの内部に悪意のユーザが存在したとしても、鍵転送時における盗聴などを防止することが可能となる。
【0019】
次に、本発明の請求項6記載の大規模IPSec VPNシステムは、大規模LANの他のゲートウェイの鍵転送部が、大規模LANのゲートウェイから鍵転送を受けると、他のゲートウェイのIPSec部に鍵設定を行うとともに、この鍵を大規模LANのさらなる他のゲートウェイの鍵転送部に転送し、さらなる他のゲートウェイも、他のゲートウェイと同様に、自分のIPSec部に鍵設定を行うとともに、この鍵をゲートウェイの鍵転送部に転送し、ゲートウェイは、転送されてきた鍵が、最初に自分が転送した鍵に一致すること確認する構成としてある。
【0020】
大規模IPSec VPNシステムをこのような構成にすれば、大規模LANのゲートウェイが、3台以上の場合には、鍵転送を受けたゲートウェイが、さらに他のゲートウェイに鍵転送を行うことができ、鍵転送を効率的に行うことが可能となる。
【0021】
次に、本発明の請求項7記載の大規模IPSec VPNシステムは、転送が、大規模LANが有する4台以上のゲートウェイについて同様に行われる構成としてある。
この転送とは、請求項6における鍵設定、鍵転送及び鍵の確認を含む鍵を転送する際の一連の処理を意味する。
大規模IPSec VPNシステムをこのような構成にすれば、大規模LANが多数のゲートウェイを有する場合であっても、鍵転送を受けたゲートウェイ自体も、他のゲートウェイに対して鍵転送を行うことが可能となる。
【0022】
この場合、鍵転送を受けたゲートウェイが、次に他のゲートウェイに鍵転送を順次行うといったように、単に複数の鍵転送を直線的に実施するのみならず、所定の鍵転送経路を設定するなどして、鍵交換を行ったゲートウェイと鍵転送を受けたゲートウェイをコピー元として、複数の転送を同時に実行することによって、速やかに転送を行うことも可能である。
【0023】
次に、本発明の請求項8記載の大規模IPSec VPNシステムは、大規模LANのゲートウェイと、その他のLANのゲートウェイが鍵交換を行うとともに、大規模LANのゲートウェイが、大規模LANの他のゲートウェイに鍵転送を行い、大規模LANのゲートウェイに障害が発生すると、通信回線上の複数のルータの情報交換によって、大規模LANのゲートウェイ宛の転送を、大規模LANの他のゲートウェイに対して行うように経路情報が修正され、大規模LANのホストに対して、その他のLANの他のホストからパケット発信がなされると、その他のLANのゲートウェイが、このパケットをカプセル化して、大規模LANのゲートウェイ宛に通信回線を介して送信し、送信されたパケットが、修正された経路情報に従って、大規模LANの他のゲートウェイに転送され、大規模LANの他のゲートウェイが、送信されたパケットの逆カプセル化を行って、大規模LANのホストに送信し、大規模LANのホストがこの送信されてきたパケットの受信を行う構成としてある。
【0024】
大規模IPSec VPNシステムをこのような構成にすれば、大規模LANにおける鍵交換を行ったゲートウェイに障害が発生しても、鍵交換を行った時点で事前に、大規模LANにおける他のゲートウェイに鍵転送が行われているため、その他のLANの他のホストから、その他のLANにおける上記鍵交換を行ったゲートウェイを経由して、大規模LANのホストに対してパケットが送信された場合に、上記障害が発生したゲートウェイを迂回し、鍵転送を受けた他のゲートウェイを経由して、適切なホストに受信させることが可能となる。
なお、この場合のホストとは、所謂ホストコンピュータに限定する意味のものではなく、端末やサーバ等、ネットワークに接続する広く一般の情報処理装置を意味するものである。
【0025】
次に、本発明の請求項9記載の大規模IPSec VPNプログラムは、複数のゲートウェイを有する大規模LANのゲートウェイと、その他のLANのゲートウェイとの間で、IPSecにもとづく鍵交換を行わせる大規模IPSec VPNプログラムであって、大規模LANのゲートウェイのインターネットキーエクスチェンジ部鍵交換を行った場合ゲートウェイのインターネットキーエクスチェンジ部に、ゲートウェイのIPSec部に対して鍵設定を行わせるとともに、ゲートウェイの鍵転送部に対して鍵転送を要求させ、ゲートウェイの鍵転送部に、大規模LANの他のゲートウェイの鍵転送部に対して鍵転送を行わせ、他のゲートウェイの鍵転送部鍵転送を受けた場合、他のゲートウェイの鍵転送部に、転送されてきた鍵を用いて、他のゲートウェイのIPSec部に対して鍵設定を行わせる構成としてある。
【0026】
大規模IPSec VPNプログラムをこのような構成にすれば、鍵交換を行ったゲートウェイに障害が発生しても、他のゲートウェイにその代役をさせることができるため、このような場合にIPSec通信不能となることを防止することが可能となる。
また、従来技術の別途鍵交換を行うことにより迂回用のゲートウェイを設定する場合に比べると、負荷の大きい鍵交換を1度しか行わせないため、ネットワークや、ゲートウェイにかかる負荷を大幅に軽減させることが可能となる。
【0027】
次に、本発明の請求項10記載の大規模IPSec VPNプログラムは、鍵転送は、大規模LANのゲートウェイに、大規模LANの他のゲートウェイに対して鍵転送を要求させ、他のゲートウェイに、この要求に対して、OK信号を暗号化させてゲートウェイに返却させ、ゲートウェイに、この暗号化されたOK信号を検査させるとともに、鍵を暗号化させて他のゲートウェイに転送させ、他のゲートウェイに、この転送されてきた鍵を検査させて、ゲートウェイにOK信号を返却させる手順を含む構成としてある。
【0028】
大規模IPSec VPNプログラムをこのような構成にすれば、LANの内部に悪意のユーザが存在したとしても、鍵転送時における盗聴などを防止させることが可能となる。
【0029】
次に、本発明の請求項11記載の大規模IPSec VPNプログラムは、大規模LANのゲートウェイの他の鍵転送部鍵転送を受けた場合この転送されてきた鍵を用いて、他のゲートウェイの鍵転送部に、他のゲートウェイのIPSec部に対して鍵設定を行わせるとともに、大規模LANのさらなる他のゲートウェイに対して鍵転送を行わせる構成としてある。
【0030】
大規模IPSec VPNプログラムをこのような構成にすれば、大規模LANのゲートウェイが、3台以上の場合に、鍵転送を受けたゲートウェイに、さらに他のゲートウェイへ鍵転送を行わせることができるため、鍵転送の効率化を図ることが可能となる。
【0031】
次に、本発明の請求項12記載の鍵共有情報処理装置は、通信回線を介してIPSecによる鍵交換を行う際に、鍵転送も行う鍵共有情報処理装置であって、鍵共有情報処理装置のインターネットキーエクスチェンジ部が、鍵交換を行った場合には、このインターネットキーエクスチェンジ部が、鍵共有情報処理装置のIPSec部に鍵設定を行うとともに、鍵共有情報処理装置の鍵転送部に鍵転送を要求し、この鍵転送部が他の鍵共有情報処理装置に鍵転送を行い、鍵共有情報処理装置の鍵転送部が、鍵転送を受けた場合には、この転送されてきた鍵を用いて、鍵共有情報処理装置のIPSec部に鍵設定を行う構成としてある。
【0032】
鍵共有情報処理装置をこのような構成にすれば、自分が鍵交換を行った場合には、自身のIPSec部に鍵設定を行うとともに、他の鍵共有情報処理装置に鍵を転送し、他の鍵共有情報処理装置が鍵設定を行った場合には、鍵転送を受けるとともに、この転送されてきた鍵を自身のIPSec部に設定することが可能となる。
【0033】
そして、大規模LANなどにおいて、このような鍵共有情報処理装置をLAN外との情報の送受信の窓口として用いることにより、特定の鍵共有情報処理装置に障害が発生しても、この鍵共有情報処理装置から鍵転送を受けた他の鍵共有情報処理装置が、その代役を果たすことにより、通信不能となることを防止することが可能となる。
【0034】
また、このような鍵共有情報処理装置を、大規模IPSec VPN以外に応用してもかまわない。
例えば、インターネットショッピングなどにおいて、利用者端末が、ショップにおける本発明の鍵共有情報処理装置とセキュリティを確立する際に、ショップの別個の鍵共有情報処理装置に鍵転送を行うことによって、利用者のショッピング中にショップの鍵共有情報処理装置に障害が発生しても、その別個の鍵共有情報処理装置に以降の処理を代行させることによって、通信不能となることを防止することが可能となる。
【0035】
次に、本発明の請求項13記載の鍵共有情報処理装置は、大規模IPSec VPNにおけるゲートウェイである構成としてある。
鍵共有情報処理装置をこのような構成にすれば、上記のような鍵転送機能を大規模IPSec VPNにおけるゲートウェイにもたせることが可能となる。
【0036】
【発明の実施の形態】
以下、本発明の実施形態につき、図面を参照して説明する。
[第一実施形態]
まず、本発明の第一実施形態について、図1を参照して説明する。同図は、本実施形態における大規模IPSec VPNシステムの構成を示すブロック図である。
【0037】
同図に示すように、大規模IPSec VPNシステムは、LAN A10、LAN B20及び通信回線30を有している。
LAN A10は、複数のゲートウェイを有する大規模LANであって、ゲートウェイA1(GW_A1)11とゲートウェイA2(GW_A2)12等を有している。
【0038】
また、LAN B20は、その他のLANであって、その規模に特に制限はないが、ゲートウェイB(GW_B)21等を有している。
これらLAN A10とLAN B20とは通信回線30を介して接続されている。
【0039】
そして、これらLAN A10とLAN B20が通信するにあたり、IPSecによるセキュリティを確保したい場合には、通常、例えばゲートウェイA111と、ゲートウェイB 21が、IKE(インターネットキーエクスチェンジ)による鍵交換を行って同じ鍵を共有し、その鍵を使ってIPSec通信を行う。
【0040】
この際、本実施形態においては、ゲートウェイA1 11と、ゲートウェイB21が鍵交換を行うにあたり、ゲートウェイA1 11が、ゲートウェイA212に鍵転送を行って、その後ゲートウェイA1 11に障害が発生しても、ゲートウェイA2 12にIPSec通信機能を代行させることを可能とする。
【0041】
通信回線30としては、従来公知の任意好適な公衆回線、商業回線又は専用回線を用いることができる。また、ゲートウェイA1 11、ゲートウェイA2 12及びゲートウェイB 21等のそれぞれの間においては、同一又は別個の通信回線で構成することができる。
【0042】
さらに、通信回線30は、ゲートウェイA1 11、ゲートウェイA2 12及びゲートウェイB 21等のそれぞれの間を、無線あるいは有線で接続可能な回線であり、例えば、携帯端末網、公衆回線網、専用回線網及びインターネット回線網により構成することができる。
【0043】
次に、図2を用いて、上記各ゲートウェイの機能について、その処理手順とともに詳細に説明する。
ゲートウェイA1 11は、IKE部111、IPSec部112、鍵転送部113を有している。
また、ゲートウェイA2 12も同様に、IKE部121、IPSec部122、鍵転送部123を有しており、ゲートウェイB 21は、IKE部211及びIPSec部212を有している。
【0044】
そして、IKE部111が、IKE部211と鍵交換を行う(ステップ10)と、これらはそれぞれ、IPSec部112、IPSec部212に鍵設定を行う(ステップ11)。
この鍵交換としては、IKEによる従来の鍵交換技術を用いる。そして、鍵設定によって、それぞれのIPSec部に共通の鍵が設定される。
【0045】
次に、鍵交換を行ったゲートウェイA1 11のIKE部111は、鍵転送部113に鍵転送要求を行い(ステップ12)、この鍵転送部113は、ゲートウェイA2 12の鍵転送部123に鍵転送を行う(ステップ13)。
鍵転送を受けた鍵転送部123は、IPSec部122に鍵設定を行う(ステップ14)。
【0046】
このようにすることによって、ゲートウェイB 21のIPSec部212は、ゲートウェイA1 11のIPSec部112とIPSec通信を行うことができるとともに、ゲートウェイA1 11に障害が発生して、これと通信を行うことができなくなった場合にあっても、ゲートウェイA2 12のIPSec部122とIPSec通信を行うことが可能となる(ステップ15)。
【0047】
次に、図3を用いて、上記鍵転送の処理手順について詳細に説明する。同図は、本実施形態の大規模IPSec VPNシステムにおける鍵転送プロトコルの動作を表わす動作手順図である。
まず、ゲートウェイA1 11の鍵転送部113が、ゲートウェイA2 12の鍵転送部123に対して、鍵転送を要求する(ステップ20)。
【0048】
これに対して、鍵転送部123は、鍵転送部113にOK信号を返す(ステップ21)。
このときのOK信号は、IPSec処理の一種である認証付暗号ESP(Encapsulating Security Protocol)により暗号化されて送信される。
【0049】
OK信号を受けた鍵転送部113は、このOK信号の認証符号を検査し、鍵を転送する相手が本物のゲートウェイA2 12であることを確認する(ステップ22)。
そして、鍵転送部113は、鍵転送部123に鍵転送を行う(ステップ23)。
【0050】
このときの鍵データも認証付暗号ESPによってIPSec処理される。
このような暗号化を行うことによって、LAN A10内に悪意のユーザが存在しても、盗聴などを行うことはできない。
そして、鍵転送部123は、送信されてきた鍵データの認証符号を検査し、鍵データを送ったのが本物のゲートウェイA1 11であることを確認する(ステップ24)。
【0051】
最後に、鍵転送部123は、転送された鍵を自らの鍵として設定するとともに、鍵転送部113に対して、OK信号を返す(ステップ25)。
このOK信号については、特に認証付暗号ESPによるIPSec処理を行う必要はないが、行ってもかまわない。
【0052】
次に、第一実施形態の大規模IPSec VPNシステムの処理手順について、図4及び図5を参照して説明する。
図4は、本実施形態における鍵交換及び鍵転送を説明するためのものであり、図5は、鍵転送が行われた後に、鍵交換を行った大規模LANにおけるゲートウェイが故障した場合に、どのようにIPSec通信が実現されるのかを説明するためのものである。
【0053】
なお、これらの図において、R1、R2、R3は通信回線上に存在し、それぞれゲートウェイB 21、ゲートウェイA1 11、ゲートウェイA2 12との情報の送受信を中継するルータであり、これら以外の構成及びその機能については、図1と同様である。
【0054】
まず、図4において、ゲートウェイA1 11とゲートウェイB 21の間で、鍵交換が行われると(ステップ30)、ゲートウェイA1 11は、ゲートウェイA2 12に対して上述したようなネゴシエーションを行って、鍵転送を行う(ステップ31)。
【0055】
次に、図5において、ゲートウェイA1 11に障害が発生し、通信回線を介した通信が行えなくなると(ステップ40)、ルーティングプロトコルによってR2がこれを認識するとともに、R1、R3にその情報を伝達し、ゲートウェイA1 11宛の全てのパケットを、ゲートウェイA2 12に転送するように、経路情報が修正される(ステップ41)。
【0056】
そして、LAN B20におけるホストb(Host b)が、LAN A10におけるホストa(Host a)に対してパケットを発信すると(ステップ42)、ゲートウェイB 21は、このパケットを受け取って、正常時と同様にIPSecのカプセル化を行って(ステップ43)、最寄りのルータR1に転送する。
このとき、ステップ41により転送経路情報が変更されているため、通信回線を通ったパケットは、鍵交換を行ったゲートウェイA1 11ではなく、最終的に、ゲートウェイA2 12にたどり着く(ステップ44)。
【0057】
ゲートウェイA2 12は、ゲートウェイB 21と共有する鍵をもっているため、これを使って逆カプセル化を行い(ステップ45)、この逆カプセル化されたパケットは、ゲートウェイA2 12によって、ホストaに転送される(ステップ46)。
このようにして、ゲートウェイA1 11の障害にも拘わらず、ホストaとホストb間のIPSec通信は成立する。
【0058】
[第二実施形態]
次に、本発明の第二実施形態につき、図6を参照して説明する。同図は、本実施形態の大規模IPSec VPNシステムの機能を示すブロック図である。
本実施形態は、第一実施形態と比較して、LAN A10において、鍵転送が複数回行われる点で相違する。
【0059】
同図に示すように、本実施形態の大規模IPSec VPNシステムのLANA10は、ゲートウェイA1 11、ゲートウェイA2 12、ゲートウェイA3 13を有している。これ以外の構成及びその機能については、図1におけるものと同様である。
まず、ゲートウェイA1 11とゲートウェイB 21間で鍵交換が行われると(ステップ50)、ゲートウェイA1 11は、この鍵を自らに設定するとともに、ゲートウェイA2 12に対して鍵転送を行う。
【0060】
鍵転送を受けたゲートウェイA2 12は、自ら鍵設定を行うとともに、さらにゲートウェイA3 13に対して、鍵転送を行う。
そして、ゲートウェイA3 13は、自ら鍵設定を行うとともに、鍵をさらにゲートウェイA1 11に送信し、ゲートウェイA1 11が、この送信されてきた鍵が、自分が転送した鍵と一致することを確認して鍵転送を終了する(ステップ51)。
【0061】
なお、本実施形態においては、LAN A10内の3台のゲートウェイ間で、鍵転送を行っているが、より多くのゲートウェイ間で同様の処理を行うこともできる。
また、本実施形態においては、鍵転送を受けたゲートウェイが、次に他のゲートウェイに鍵転送を順次行う手順としているが、より多くのゲートウェイ間で転送処理を行う場合には、所定の鍵転送経路を設定するなどして、鍵交換を行ったゲートウェイと鍵転送を受けたゲートウェイをコピー元として、まだ鍵転送を受けていないゲートウェイに対し、複数の転送を同時に実行することによって、速やかに転送を行うことも可能である。
【0062】
さらに、マルチキャスト(Multicast)IPSecによって、大規模LANのゲートウェイに一斉に鍵転送し、鍵設定を行うようにしてもよい。
また、以上の実施形態では、LAN B20内において、鍵転送処理を行ってはいないが、LAN B20が複数のゲートウェイを有する場合にはLAN A10における場合と同様に、必要に応じて鍵転送による鍵の共有化を行うことはもちろん可能である。
【0063】
加えて、これらの実施形態におけるゲートウェイの機能を、VPN以外に応用することも可能である。
すなわち、このような鍵転送機能による鍵の共有化を、例えば、インターネット上にショップを提供するサーバなどの情報処理装置(鍵共有情報処理装置)に用いることにより、インターネットショッピングにおいてセキュリティを確立した後に、一部の情報処理装置に障害が発生したとしても、通信不能となることを防止することが可能となる。
【0064】
そして、このような処理についても、上記実施形態において、ゲートウェイの代わりに鍵共有情報処理装置を用いることにより、同様の構成(ただし、この場合、LAN A10は大規模でなくともよい。)で、同様の鍵転送プロトコルを用いて実現することが可能である。
【0065】
大規模IPSec VPNシステムにおける処理手順をこのような順序とすれば、大規模LAN内のゲートウェイが鍵をコピーすることによって、実際には鍵交換をしていない相手とも鍵を共有することができるため、複数のゲートウェイを有する大規模なLANとIPSecによるVPNを構築するにあたり、その一部のゲートウェイの障害などによる通信不能を防止することが可能となる。
また、大規模LAN内のゲートウェイ間における鍵の共有化を、鍵転送によって行うことにより、このような鍵の共有化を鍵交換によって行う場合に比較すると、装置にかかる負荷を大幅に削減することが可能となる。
【0066】
上記の実施形態における鍵転送等は、大規模IPSec VPNプログラムにより実行される。
この大規模IPSec VPNプログラムは、コンピュータの各構成要素に指令を送り、所定の処理、例えば、鍵転送処理等を行わせる。
これによって、これらの処理は、大規模IPSec VPNプログラムとコンピュータとが協働したゲートウェイA1 11、ゲートウェイA2 12等により実現される。
【0067】
なお、大規模IPSec VPNプログラムは、コンピュータのROMやハードディスクに記憶させる他、コンピュータ読み取り可能な記録媒体、例えば、外部記憶装置及び可搬記録媒体等に格納することができる。
外部記憶装置とは、磁気ディスク等の記録媒体を内蔵し、例えばゲートウェイA1 11などに外部接続される記憶増設装置をいう。一方、可搬記録媒体とは、記録媒体駆動装置(ドライブ装置)に装着でき、かつ、持ち運び可能な記録媒体であって、例えば、CD−ROM、フレキシブルディスク、メモリカード、光磁気ディスク等をいう。
【0068】
そして、記録媒体に記録されたプログラムは、コンピュータのRAMにロードされて、CPUにより実行される。この実行により、上述した本実施形態のゲートウェイA1 11、ゲートウェイA2 12等の機能が実現される。
さらに、コンピュータで大規模IPSec VPNプログラムをロードする場合、他のコンピュータで保有された大規模IPSec VPNプログラムを、通信回線を利用して自己の有するRAMや外部記憶装置にダウンロードすることもできる。
このダウンロードされた大規模IPSec VPNプログラムも、CPUにより実行され、鍵転送処理等を実現する。
【0069】
なお、本発明は以上の実施形態に限定されるものではなく、これをVPN構築以外の場合にも応用することができる。
例えば、インターネットショッピングにおいて、利用者端末が、ショップのサーバとセキュリティを確立する際に、ショップの別個のサーバに鍵転送を行うことによって、利用者のショッピング中にショップのサーバに障害が発生しても、その別個のサーバに以降の処理を代行させることによって、通信不能とならなくするなど、適宜設計変更できるものである。
【0070】
【発明の効果】
以上のように、本発明によれば、複数のゲートウェイを有する大規模なLANとIPSecによるVPNを構築する場合に、一部のゲートウェイの障害などによる通信不能を防止することができる。
【0071】
また、鍵交換によって装置にかかる負荷を大幅に軽減することが可能となる。すなわち、IKEによる鍵交換は、公開鍵暗号技術にもとづく処理であり、他の処理に比べて非常に負荷が大きく、障害時の迂回を考えて2つ以上のゲートウェイとそれぞれ鍵交換を行えば、ゲートウェイの台数分だけ鍵交換を行う必要があるが、本方式では1度の鍵交換でよい。
【0072】
さらに、システム全体を安価に構築することが期待できる。これは、パケットがどのゲートウェイに渡されるかはインターネット上のルータが決める方式であるため、大規模なLANにアクセスする側のLANは、相手のどのゲートウェイと通信しているかを意識しなくて良いからである。
すなわち、これは本方式を実現するためにアクセスする側のゲートウェイに特別な仕掛けが必要ないことを意味する。
【0073】
このようなネットワークは、一般に、1つの大規模LANに多数の小規模LANがアクセスする構成をとるため、小規模LAN側のゲートウェイとして、IPSec/IKEに対応した通常のIPSec ゲートウェイを用いることができれば、システム全体として安価なものとなる。
【0074】
また、大規模IPSec VPNプログラムは、コンピュータの各構成要素へ所定の指令を送ることにより、このコンピュータに、鍵転送機能等を実現させることができる。
これによって、これらの機能等は、大規模IPSec VPNプログラムとコンピュータとが協働したゲートウェイ等により実現可能である。
【図面の簡単な説明】
【図1】本発明の第一実施形態における大規模IPSec VPNシステムの構成を示すブロック図である。
【図2】本発明の第一実施形態における大規模IPSec VPNシステムのゲートウェイの機能を示すブロック図である。
【図3】本発明の各実施形態における大規模IPSec VPNシステムの鍵転送プロトコルの動作を示す動作手順図である。
【図4】本発明の第一実施形態における大規模IPSec VPNシステムの機能を示すブロック図(1)である。
【図5】本発明の第一実施形態における大規模IPSec VPNシステムの機能を示すブロック図(2)である。
【図6】本発明の第二実施形態における大規模IPSec VPNシステムの機能を示すブロック図である。
【符号の説明】
10 LAN A
11 ゲートウェイA1(GW_A1)
12 ゲートウェイA2(GW_A2)
13 ゲートウェイA3(GW_A3)
14 ホストa(Host a)
20 LAN B
21 ゲートウェイB(GW_B)
22 ホストb(Host b)
30 通信回線
31 ルータ1(R1)
32 ルータ2(R2)
33 ルータ3(R3)

Claims (13)

  1. 複数のゲートウェイを有する大規模LANのゲートウェイと、その他のLANのゲートウェイとの間で、IPSecにもとづく鍵交換が行われた場合において、
    前記大規模LANのゲートウェイのインターネットキーエクスチェンジ部が、このゲートウェイのIPSec部に鍵設定を行うとともに、このゲートウェイの鍵転送部に鍵転送を要求し、
    前記ゲートウェイの鍵転送部が、前記要求に応じて、前記大規模LANの他のゲートウェイの鍵転送部に鍵転送を行い、
    前記他のゲートウェイの鍵転送部が、この転送されてきた鍵を用いて、前記他のゲートウェイのIPSec部に鍵設定を行う
    ことを特徴とする大規模IPSec VPNの構築方法。
  2. 前記鍵転送は、
    前記大規模LANの前記ゲートウェイが、前記大規模LANの前記他のゲートウェイに鍵転送を要求し、
    前記他のゲートウェイが、この要求に対して、OK信号を暗号化して前記ゲートウェイに返し、
    前記ゲートウェイが、この暗号化されたOK信号を検査するとともに、前記鍵を暗号化して前記他のゲートウェイに転送し、
    前記他のゲートウェイが、この転送されてきた鍵を検査して、前記ゲートウェイにOK信号を返す手順を含む
    ことを特徴とする請求項1記載の大規模IPSec VPNの構築方法。
  3. 前記大規模LANの前記他のゲートウェイの鍵転送部が、前記大規模LANの前記ゲートウェイから鍵転送を受けると、前記他のゲートウェイのIPSec部に鍵設定を行うとともに、この鍵を前記大規模LANのさらなる他のゲートウェイの鍵転送部に転送し、
    前記さらなる他のゲートウェイも、前記他のゲートウェイと同様に、自分のIPSec部に鍵設定を行うとともに、この鍵を前記ゲートウェイの鍵転送部に転送し、
    前記ゲートウェイは、転送されてきた前記鍵が、最初に自分が転送した鍵に一致すること確認する
    ことを特徴とする請求項1又は2記載の大規模IPSec VPNの構築方法。
  4. 複数のゲートウェイを有する大規模LANのゲートウェイと、その他のLANのゲートウェイとの間で、IPSecにもとづく鍵交換が行われると、前記大規模LAN内のゲートウェイ間で鍵転送が行われる大規模IPSec VPNシステムであって、
    インターネットキーエクスチェンジ部により前記その他のLANのゲートウェイと鍵交換を行うとともに、このインターネットキーエクスチェンジ部により自分のIPSec部に鍵設定を行って、自分の鍵転送部に鍵転送を要求し、この鍵転送部により前記大規模LANの他のゲートウェイに鍵転送を行う前記大規模LANの前記ゲートウェイと、
    前記大規模LANの前記ゲートウェイから、鍵転送部が鍵転送を受けるとともに、自分のIPSec部に鍵設定を行う前記大規模LANの前記他のゲートウェイと、
    前記大規模LANの前記ゲートウェイと鍵交換を行う前記その他のLANのゲートウェイと、
    前記大規模LANの前記ゲートウェイと、前記大規模LANの前記他のゲートウェイと、前記その他のLANのゲートウェイを接続する通信回線とを有する
    ことを特徴とする大規模IPSec VPNシステム。
  5. 前記鍵転送は、
    前記大規模LANの前記ゲートウェイが、前記大規模LANの前記他のゲートウェイに鍵転送を要求し、
    前記他のゲートウェイが、この要求に対して、OK信号を暗号化して前記ゲートウェイに返し、
    前記ゲートウェイが、この暗号化されたOK信号を検査するとともに、前記鍵を暗号化して前記他のゲートウェイに転送し、
    前記他のゲートウェイが、この転送されてきた鍵を検査して、前記ゲートウェイにOK信号を返す手順を含む
    ことを特徴とする請求項4記載の大規模IPSec VPNシステム。
  6. 前記大規模LANの前記他のゲートウェイの鍵転送部が、前記大規模LANの前記ゲートウェイから鍵転送を受けると、前記他のゲートウェイのIPSec部に鍵設定を行うとともに、この鍵を前記大規模LANのさらなる他のゲートウェイの鍵転送部に転送し、
    前記さらなる他のゲートウェイも、前記他のゲートウェイと同様に、自分のIPSec部に鍵設定を行うとともに、この鍵を前記ゲートウェイの鍵転送部に転送し、
    前記ゲートウェイは、転送されてきた前記鍵が、最初に自分が転送した鍵に一致すること確認する
    ことを特徴とする請求項4又は5記載の大規模IPSec VPNシステム。
  7. 前記転送が、前記大規模LANが有する4台以上のゲートウェイについて同様に行われる
    ことを特徴とする請求項6記載の大規模IPSec VPNシステム。
  8. 前記大規模LANの前記ゲートウェイと、前記その他のLANのゲートウェイが鍵交換を行うとともに、前記大規模LANの前記ゲートウェイが、前記大規模LANの前記他のゲートウェイに鍵転送を行い、
    前記大規模LANの前記ゲートウェイに障害が発生すると、
    通信回線上の複数のルータの情報交換によって、前記大規模LANの前記ゲートウェイ宛の転送を、前記大規模LANの前記他のゲートウェイに対して行うように経路情報が修正され、
    前記大規模LANのホストに対して、前記その他のLANの他のホストからパケット発信がなされると、前記その他のLANのゲートウェイが、このパケットをカプセル化して、前記大規模LANの前記ゲートウェイ宛に通信回線を介して送信し、
    前記送信されたパケットが、前記修正された経路情報に従って、前記大規模LANの前記他のゲートウェイに転送され、
    前記大規模LANの前記他のゲートウェイが、前記送信されたパケットの逆カプセル化を行って、前記大規模LANの前記ホストに送信し、
    前記大規模LANの前記ホストがこの送信されてきたパケットの受信を行う
    ことを特徴とする請求項4〜7のいずれかに記載の大規模IPSec VPNシステム。
  9. 複数のゲートウェイを有する大規模LANのゲートウェイと、その他のLANのゲートウェイとの間で、IPSecにもとづく鍵交換を行わせる大規模IPSec VPNプログラムであって、
    前記大規模LANのゲートウェイのインターネットキーエクスチェンジ部鍵交換を行った場合前記ゲートウェイのインターネットキーエクスチェンジ部に、前記ゲートウェイのIPSec部に対して鍵設定を行わせるとともに、前記ゲートウェイの鍵転送部に対して鍵転送を要求させ、
    前記ゲートウェイの鍵転送部に、前記大規模LANの他のゲートウェイの鍵転送部に対して鍵転送を行わせ、
    前記他のゲートウェイの鍵転送部鍵転送を受けた場合、前記他のゲートウェイの鍵転送部に、転送されてきた鍵を用いて、前記他のゲートウェイのIPSec部に対して鍵設定を行わせる
    ことを実行させるための大規模IPSec VPNプログラム。
  10. 前記鍵転送は、
    前記大規模LANの前記ゲートウェイに、前記大規模LANの前記他のゲートウェイに対して鍵転送を要求させ、
    前記他のゲートウェイに、この要求に対して、OK信号を暗号化させて前記ゲートウェイに返却させ、
    前記ゲートウェイに、この暗号化されたOK信号を検査させるとともに、前記鍵を暗号化させて前記他のゲートウェイに転送させ、
    前記他のゲートウェイに、この転送されてきた鍵を検査させて、前記ゲートウェイにOK信号を返却させる手順を含む
    ことを特徴とする請求項9記載の大規模IPSec VPNプログラム。
  11. 前記大規模LANの前記他のゲートウェイの鍵転送部鍵転送を受けた場合この転送されてきた鍵を用いて、前記他のゲートウェイの鍵転送部に、前記他のゲートウェイのIPSec部に対して鍵設定を行わせるとともに、前記大規模LANのさらなる他のゲートウェイに対して鍵転送を行わせる
    ことを特徴とする請求項9又は10記載の大規模IPSec VPNプログラム。
  12. 通信回線を介してIPSecによる鍵交換を行う際に、鍵転送も行う鍵共有情報処理装置であって、
    前記鍵共有情報処理装置のインターネットキーエクスチェンジ部が、鍵交換を行った場合には、このインターネットキーエクスチェンジ部が、前記鍵共有情報処理装置のIPSec部に鍵設定を行うとともに、前記鍵共有情報処理装置の鍵転送部に鍵転送を要求し、この鍵転送部が他の鍵共有情報処理装置に鍵転送を行い、
    前記鍵共有情報処理装置の鍵転送部が、鍵転送を受けた場合には、この転送されてきた鍵を用いて、前記鍵共有情報処理装置のIPSec部に鍵設定を行う
    ことを特徴とする鍵共有情報処理装置。
  13. 前記鍵共有情報処理装置が、大規模IPSec VPNにおけるゲートウェイである
    ことを特徴とする請求項12記載の鍵共有情報処理装置。
JP2001257681A 2001-08-28 2001-08-28 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置 Expired - Lifetime JP3651424B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001257681A JP3651424B2 (ja) 2001-08-28 2001-08-28 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001257681A JP3651424B2 (ja) 2001-08-28 2001-08-28 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置

Publications (2)

Publication Number Publication Date
JP2003069597A JP2003069597A (ja) 2003-03-07
JP3651424B2 true JP3651424B2 (ja) 2005-05-25

Family

ID=19085303

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001257681A Expired - Lifetime JP3651424B2 (ja) 2001-08-28 2001-08-28 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置

Country Status (1)

Country Link
JP (1) JP3651424B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4346094B2 (ja) * 2004-04-05 2009-10-14 日本電信電話株式会社 パケット暗号処理代理装置
JP4707992B2 (ja) 2004-10-22 2011-06-22 富士通株式会社 暗号化通信システム
KR100664715B1 (ko) 2005-12-27 2007-01-03 (주)액텔라 게이트웨이 다중화를 제공하는 지알이 기반 가상사설망
JP5333613B2 (ja) * 2012-01-25 2013-11-06 沖電気工業株式会社 代行パラメータ情報生成装置、代行装置、代行パラメータ情報生成プログラム、代行プログラム及び通信システム
KR101686995B1 (ko) * 2015-07-08 2016-12-16 주식회사 케이티 소프트웨어 정의 네트워크와 네트워크 기능 가상화를 이용하는 IPSec VPN 장치, IPSec VPN 시스템 및 IPSec VPN 방법

Also Published As

Publication number Publication date
JP2003069597A (ja) 2003-03-07

Similar Documents

Publication Publication Date Title
US9838362B2 (en) Method and system for sending a message through a secure connection
US7028337B2 (en) Method of virtual private network communication in security gateway apparatus and security gateway apparatus using the same
JP4634687B2 (ja) ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ
US8918634B2 (en) Network node with network-attached stateless security offload device employing out-of-band processing
US8775790B2 (en) System and method for providing secure network communications
JP5746446B2 (ja) ネットワーク付属のステートレス・セキュリティ・オフロード・デバイスを用いるネットワーク・ノード
US20080037557A1 (en) Vpn Getaway Device and Hosting System
US20010054158A1 (en) Computer systems, in particular virtual private networks
US20130219167A1 (en) Network node with network-attached stateless security offload device employing in-band processing
CN101572644B (zh) 一种数据封装方法和设备
EP1953954B1 (en) Encryption/decryption device for secure communications between a protected network and an unprotected network and associated methods
CN110752921A (zh) 一种通信链路安全加固方法
US8104082B2 (en) Virtual security interface
CN110086798B (zh) 一种基于公共虚拟接口进行通信的方法及装置
WO2026051465A1 (zh) 一种业务无感的网络安全通道构建机制及系统
JP3651424B2 (ja) 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置
CN101715179B (zh) 一种移动ip的安全系统和安全机制建立方法
JP2023531034A (ja) サービス伝送方法、装置、ネットワーク機器及び記憶媒体
CN103139189A (zh) 一种IPSec隧道共用方法、系统及设备
US20220400525A1 (en) Method and system for communicating over overlay networks
CN114039812B (zh) 数据传输通道建立方法、装置、计算机设备和存储介质
CN115277190A (zh) 一种链路层透明加密系统在网络上实现邻居发现的方法
JP2011077887A (ja) パケット転送システム、パケット転送方法、通信装置及びパケット転送プログラム
US20080059788A1 (en) Secure electronic communications pathway
US20230388118A1 (en) Enhanced dual layer encryption for carrier networks

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040817

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040824

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041020

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050201

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050214

R150 Certificate of patent or registration of utility model

Ref document number: 3651424

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080304

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090304

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090304

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100304

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100304

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110304

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110304

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120304

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120304

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130304

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130304

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140304

Year of fee payment: 9

EXPY Cancellation because of completion of term