Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5094474B2 - 通信装置 - Google Patents
[go: Go Back, main page]

JP5094474B2 - 通信装置 - Google Patents

通信装置 Download PDF

Info

Publication number
JP5094474B2
JP5094474B2 JP2008049354A JP2008049354A JP5094474B2 JP 5094474 B2 JP5094474 B2 JP 5094474B2 JP 2008049354 A JP2008049354 A JP 2008049354A JP 2008049354 A JP2008049354 A JP 2008049354A JP 5094474 B2 JP5094474 B2 JP 5094474B2
Authority
JP
Japan
Prior art keywords
communication
unit
processing
processing unit
processing system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008049354A
Other languages
English (en)
Other versions
JP2009207049A (ja
Inventor
達徳 辻村
規充 永嶋
忍 後沢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2008049354A priority Critical patent/JP5094474B2/ja
Publication of JP2009207049A publication Critical patent/JP2009207049A/ja
Application granted granted Critical
Publication of JP5094474B2 publication Critical patent/JP5094474B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ネットワーク上で送受信されるパケットを受信して、暗号化または復号を行う暗号通信装置等に関するものである。
近年のLAN(Local Area Network)の高速化およびマルチメディアアプリケーションの普及において、暗号通信の性能がボトルネックになる可能性が指摘されている。
暗号の秘密鍵の自動更新プロトコルであるIKE(Internet Key Exchange)の処理を例にすると、まずフェーズ1において、ISAKMP(Internet SA and Key Management Protocol)のSA(Security Association)の内容の折衝とその共有秘密鍵の生成、IDとハッシュから相互認証を行い、フェーズ2では、SAの内容の折衝とその共有秘密鍵の生成の処理を行うため、処理の負荷が大きく、その処理に多大な時間を要することがある。
特開2003−179592号公報には、鍵交換処理を行うとき、通信装置とは別に鍵交換代理サーバを用意することで、鍵交換処理の負担を軽減するという方法が示されている。
また、特開2007−219577号公報には、マルチコアCPU(Central Processing Unit)を使用したデータ処理装置において、処理手段の負荷を測定することによって、スループットを最適とするように処理手段に対するコアの割当を変更するという方法が示されている。
このようにすれば、例えば暗号化処理と復号処理を同時に行う装置に対して、両処理の負荷を測定し、その負荷の比に対してコアの割当を変更することで、スループットを最適にすることができる。
特開2003−179592号公報 特開2007−219577号公報
特開2003−179592号公報に記載の暗号通信装置では、鍵交換処理の負荷が大きくなると処理時間が増大する問題に対して、通信装置とは別に鍵交換代理サーバを用意しているが、そのようにすると装置とサーバ間で暗号通信をする必要があり、暗号通信の負荷が生じるという課題がある。
また、例えば鍵交換でIKEを用いたときに、SA更新の際、SAが二重に存在することがあるが、その2つのSAをSA1、SA2とする。
このとき、SA2適用パケットが到着したとき、SA1、SA2の順にSAを検索し、SA1に必ず問い合わせるため、SA2適用パケットがSA1適用パケットに比べて多く到着したとき、SA1への問い合わせの時間の分だけ処理時間に無駄が生じるという課題がある。
また、特開2007−219577号公報に記載のコア割当動的更新方法では、処理手段の負荷測定によって、スループットを最適とするように処理手段に対するコアの割当を変更する。
このようにすれば、例えば暗号化処理と復号処理を同時に行う装置に対して、両処理の負荷を測定し、その負荷の比に対してコアの割当を変更することで、スループットを最適にすることができる。
しかし、例えば鍵交換でIKEを用いて、IKE処理手段にコアが割当てられているとき、IKEが起動している間のみコアが割当てられていればよいが、IKEの処理が終了してから、つぎの負荷測定をしてコア割当が変更されるまでの間は、すでに処理が終了したIKE処理手段に対してコアが割当てられているので、その間リソースが無駄となるといった課題がある。
この発明は、上記のような課題を解決することを主な目的とし、暗号通信装置のみで暗号通信に用いられる暗号通信用情報の更新を実施することができ、また、暗号通信用情報の更新時に効率的にリソース配分を行う構成を実現することを主な目的とする。
本発明に係る通信装置は、
通信相手装置と暗号通信を行う暗号通信部と、暗号通信に用いられる暗号通信用情報の更新を前記通信相手装置と行う情報更新部とがそれぞれに含まれる二つの処理部を有し、
前記暗号通信用情報の更新タイミングの前は、一方の処理部の暗号通信部が前記通信相手装置と暗号通信を行い、前記暗号通信用情報の更新タイミングにおいて、他方の処理部の情報更新部が前記通信相手装置との間で前記暗号通信用情報の更新を行い、前記他方の処理部の暗号通信部が前記通信相手装置との暗号通信を開始するとともに前記一方の処理部の暗号通信部が暗号通信を終了することを特徴とする。
本発明によれば、二つの処理部を備え、一方の処理部が暗号通信を行っている場合に、更新タイミングになった際に、他方の処理部が暗号通信用情報の更新を行って他方の処理部が暗号通信を開始するとともに一方の処理部の暗号通信を終了する。
このため、通信装置のみで暗号通信用情報の更新が可能であり、また、暗号通信用情報の更新を行っている間も暗号通信を継続することができる。
実施の形態1.
まず、図2を用いて、実施の形態1〜3に係るネットワークのシステム構成例について説明する。
図2は、暗号通信装置が接続されたシステムの構成例を示している。
端末(31、32)がそれぞれ暗号通信装置(20)を介して社内ネットワーク(30)に接続している。
端末(31)から端末(32)へパケットを送信するとき、暗号通信装置(20)(暗号化側)でパケットは暗号化されてから社内ネットワーク(30)に送信され、端末(32)で受信するときは、暗号通信装置(20)(復号側)で暗号化されたパケットを復号してから受信をする。
暗号通信で用いる暗号通信プロトコルとしては、例えばIPsecがあり、これにより社内ネットワーク上のパケットを盗聴や改竄といったネットワーク上の脅威から守ることができる。
図1は、実施の形態1に係る暗号通信装置(20)に関する構成例である。
暗号通信装置(20)は、受信部(1)、送信部(2)、鍵管理部(3)(情報更新部)、暗号通信処理部(4)(暗号通信部)、処理系判別部(5)(パケット解析部)、装置制御部(6)により構成され、(1)〜(4)の各処理手段を2つずつ有する。
(1)〜(4)の各処理手段のまとまりをそれぞれ処理系A(110)及び処理系B(120)とする。
処理系A(110)及び処理系B(120)はそれぞれ処理部の例である。
また、暗号通信装置(20)は、マルチコアCPU(Central Processing Unit)を備え、二つの処理系には、各々異なるCPUコアが割当てられている。
本実施の形態では、暗号通信処理と鍵交換処理をそれぞれどちらかの処理系で行い、鍵更新時刻によって処理系A(110)及び処理系B(120)を切り替える。
受信部(1)、送信部(2)では処理系でのパケットの送受信の処理を行う。
また、鍵管理部(3)では鍵交換プロトコルの処理や秘密鍵の管理を行い、暗号通信処理部(4)ではパケットの暗号化と復号の処理を行う。
また、処理系判別部(5)では、暗号通信装置(20)で受信したパケットが暗号通信処理のパケットか鍵交換処理のパケットであるかを判別し、それぞれの処理系へ送信する。
装置制御部(6)は、処理系判別部(5)などで参照する処理系判別データのフラグを制御する。
詳細は後述するが、本実施の形態では、暗号通信用情報の更新タイミングの前は、一方の処理系(例えば、処理系A(110)の暗号通信処理部(4)が通信相手装置(通信相手となる暗号通信装置)と暗号通信を行い、暗号通信用情報の更新タイミングにおいて、他方の処理系(例えば、処理系B(120))の鍵管理部(3)が通信相手装置との間で暗号通信用情報の更新を行い、他方の処理系(例えば、処理系B(120))の暗号通信処理部(4)が通信相手装置との暗号通信を開始するとともに一方の処理系(例えば、処理系A(110))の暗号通信処理部(4)が暗号通信を終了する。
ここで、暗号通信用情報とは、暗号通信に用いられる情報であり、鍵や各種制御情報である。以下では、暗号通信用情報の代表例として鍵の更新について説明する。
また、各々の処理系において、鍵管理部(3)は、鍵の更新タイミングにおいて、通信相手装置との間で鍵の更新を行い、通信相手装置との間に暗号通信に用いられる論理コネクションであるSAを設定する。
また、各々の処理系において、暗号通信処理部(4)は、鍵管理部(3)により設定されたSAにて通信相手装置と暗号通信を行い、鍵の更新タイミングの前は、一方の処理系(例えば、処理系A(110))の鍵管理部(3)により設定されたSAにて一方の処理系(例えば、処理系A(110))の暗号通信処理部(4)が通信相手装置と暗号通信を行う。
そして、鍵の更新タイミングでは、他方の処理系(例えば、処理系B(120))の鍵管理部(3)が通信相手装置との間で鍵の更新を行って通信相手装置との間にSAを設定し、他方の処理系(例えば、処理系B(120))の暗号通信処理部(4)が通信相手装置との暗号通信を開始する。
また、これとともに一方の処理系(例えば、処理系A(110))の鍵管理部(3)がそのSAを消去して一方の処理系(例えば、処理系A(110))の暗号通信処理部(4)の暗号通信を終了させる。
処理系判別部(5)は、他方の処理系(例えば、処理系B(120))の鍵管理部(3)がSAを設定した後一方の処理系(例えば、処理系A(110))の鍵管理部(3)がそのSAを消去するまでの間に、パケットを受信した際に、受信したパケットを解析して、受信したパケットがいずれのSAに属するのかを判断し、受信したパケットが属するSAを設定している処理系に、受信したパケットを出力する。
なお、本実施の形態では、各処理系へのCPUコア割当の方法は問わない。
例えば、処理の負荷が大きい暗号通信処理部に対しては複数個割当てるようにしてもよい。このとき、1つの処理のスレッドを分割して複数個のコアに割当てて処理するようにしてもよいし、コア1個で1つの処理を行うようにしてもよい。
次に、暗号通信処理のパケットを受信したときの動作フローについて、処理系A(110)が暗号通信処理を行い、鍵交換時刻(鍵の更新タイミング)に処理系B(120)が鍵交換処理を行うものとして、まず平文側LAN(21)(暗号通信装置(20)と端末との間のLAN)でパケットを受信したときの動作を図3より説明する。
なお、処理系B(120)は、鍵交換時刻(鍵の更新タイミング)になるまでは何も処理は行わない。
処理系判別部(5)では、パケットを受信すると、受信データが暗号通信処理のパケットであるか鍵交換処理のパケットであるかを判別する(ステップ1)。
鍵交換処理であるときは、処理系判別部(5)は、処理系判別データを参照して、処理系B(120)の受信部(1)を通して鍵管理部(3)へパケットを送信する(ステップ2、3)。
一方、暗号通信処理であるときは、処理系判別部(5)は、処理系判別データを参照して、処理系A(110)の受信部(1)を通して暗号通信処理部(4)へパケットを送信する(ステップ4)。
ここで、処理系判別データとは、現在処理系A(110)、処理系B(120)のいずれが暗号通信処理を行っているかを示すデータ(フラグ等)である。
暗号通信処理のパケットである場合は、処理系A(110)の暗号通信処理部(4)が受信部(1)を介してパケットを受信し、SPD(Security Policy Database)を検索し(ステップ5)、暗号文の設定であるとき(パケットにおいて暗号処理をするように指示されている場合)は次のステップで暗号化処理を行う。
また暗号文以外の設定の分岐をフローチャートでは省略しているが、平文の設定のとき(パケットにおいて暗号処理をするように指示されていない場合)はパケットを送信部(2)へと送信し、廃棄の設定のときはパケットを廃棄する。
次にSPDの検索後の処理では、処理系A(110)の暗号通信処理部(4)は、SAD(Security Association Database)を検索し(ステップ6)、SAの有無を判別する(ステップ7)。
SAがないときは、SAの確立待ちとなり、パケットを廃棄する(ステップ8、9)。
SAがあるときは、処理系A(110)の暗号通信処理部(4)は、暗号化演算、ハッシュ、IPヘッダ処理(ステップ10、11、12)の暗号化処理を行い、パケットを送信部(2)に送信する(ステップ13)。そして、送信部(2)では、暗号文側LAN(22)より暗号化されたパケットを送信する(ステップ14)。
次に、処理系A(110)が暗号通信処理を行い、鍵交換時刻(鍵の更新タイミング)に処理系B(120)が鍵交換処理を行うものとして、暗号文側LAN(22)で暗号通信処理パケットを受信したときの動作フローを図4より説明する。
なお、この場合も、処理系B(120)は、鍵交換時刻(鍵の更新タイミング)になるまでは何も処理は行わない。
処理系判別部(5)では、パケットを受信すると、受信パケットが暗号通信処理のパケットであるか鍵交換処理のパケットであるかを判別する(ステップ1)。
鍵交換処理であるときは、処理系判別データを参照して、処理系B(120)の受信部(1)を通して鍵管理部(3)へパケットを送信する(ステップ2、3)。
一方、暗号通信処理であるときは、パケットのSPI(Security Parameters Index)を参照して、処理系A(110)の受信部(1)を通して暗号通信処理部(4)へパケットを送信する(ステップ17、4)。
暗号通信処理のパケットである場合は、処理系A(110)の暗号通信処理部(4)が受信部(1)を介してパケットを受信し、SADを検索し(ステップ6)、SAの有無を判別する(ステップ7)。
SAがないときは、SAの確立待ちとなり、パケットを廃棄する(ステップ8、9)。
SAがあるときは、処理系A(110)の暗号通信処理部(4)は、ハッシュ、復号演算(ステップ11、16)の復号処理を行った後、SPDを検索し(ステップ5)、SP(Security Policy)に反していなければ、パケットを送信部(2)に送信する(ステップ13)。
そして、送信部(2)では、平文側LAN(21)より復号されたパケットを送信する(ステップ17)。
次に、暗号通信装置の鍵交換時刻(鍵の更新タイミング)における処理系A(110)及び処理系B(120)の切り替えについて、鍵交換プロトコルにIKEを用いた例で、鍵管理部(3)の動作フローチャート(図5)より説明する。
ここでは例として、処理系A(110)が暗号通信処理を行っているときに、処理系B(120)が鍵交換処理を開始して、暗号通信処理を処理系B(120)に切り替える例を説明する。
まず、処理系A(110)の鍵管理部(3)で鍵交換時刻であるかを判別し(ステップ18)、交換時刻でないときは何もしないで終了する。
また交換時刻であるときは、処理系A(110)の鍵管理部(3)は、装置制御部(6)を経由して処理系B(120)の鍵管理部(3)に交換時刻であることを通知する。
処理系B(120)の鍵管理部(3)はIKEを起動し、通信相手装置との間に新しいSAを確立する(ステップ19、20)。
このとき、SAは2種類確立されている(処理系A(110)の鍵管理部(3)が既に確立しているSAと処理系B(120)の鍵管理部(3)が新たに確立したSA)ことになり、それぞれのSAに対して処理系A(110)、処理系B(120)それぞれが暗号通信処理を行うようにするので、装置制御部(6)に暗号通信処理系が2つであることを処理系B(120)の鍵管理部(3)が通知する(ステップ21)。
そして、通知を受けた装置制御部(6)では、処理系A(110)及び処理系B(120)ともに暗号通信処理を行うとして、処理系判別データを更新する(ステップ22)。この時点までに、処理系B(120)の暗号通信処理部(4)も起動されており、処理系B(120)の暗号通信処理部(4)はステップ20で新たに確立されたSAを用いて通信相手装置と暗号通信を行うことができる。
次に、SAの切替時刻になると、処理系A(110)及び処理系B(120)の鍵管理部(3)ではSAの切替処理を開始する(ステップ23)。この時点で、処理系A(110)のSA(旧SA)は期限切れとなり、処理系A(110)の鍵管理部(3)は旧SAを消去する(ステップ24)。
ここで旧SAが消去されると、確立されているSAは1つとなるため、処理系A(110)の鍵管理部(3)が、処理系が切り替わったこと、つまり、処理系B(120)が暗号通信処理を行うことを装置制御部(6)に通知し(ステップ21)、装置制御部(6)では処理系判別データを更新する(ステップ22)。
以上のように、実施の形態1に係る暗号通信装置では、2つの処理系のうち、1つの処理系では暗号通信処理を、もう一方では鍵交換処理を行っている。
つまり、本実施の形態1に係る暗号通信装置では、鍵更新時刻ごとに暗号通信処理を行う処理系を2つの処理系の間で交互に切り替えている。
このように動作することで、本実施の形態に係る暗号通信装置は、特開2003−179592号公報の暗号通信装置における課題、すなわち、鍵交換処理に対して通信装置とは別に鍵交換代理サーバを用意したときに装置とサーバ間で暗号通信の負荷が生じるという課題を解決している。
つまり、本実施の形態では、暗号通信装置のみで鍵交換が可能であり、また鍵交換を行っている間も暗号通信を継続することができる。
また、新SAを確立してから旧SAが消滅するまでのSAが2種類確立されているときの暗号通信処理を考えたとき、まず2種類のSAをそれぞれSA1、SA2とする。
このときSA2適用パケットがSA1適用パケットよりも多く到着したとき、特開2003−179592号公報の暗号通信装置の動作では、SA1に必ず問い合わせるので、その分の処理時間が無駄となるという課題がある。
しかし、実施の形態1の暗号通信装置(20)では、処理系A(110)はSA1、処理系B(120)はSA2を用いて暗号通信処理を行うとしたときに、処理系判別部(5)は、SPIを参照してパケットを振り分け、各処理系でSAに問い合わせる。
従って、SA2適用パケットが多く到着したときであっても、処理系判別部(5)は、SA1に問い合わせる必要がなく、その問い合わせの処理時間の無駄をなくすことができるので、特開2003−179592号公報の暗号通信装置の課題を解決することができる。
以上、本実施の形態では、受信部(1)、送信部(2)、鍵管理部(3)、暗号通信処理部(4)、処理系判別部(5)、装置制御部(6)に対して、暗号通信装置は(1)〜(6)の各処理手段をそれぞれ2つ有し、その2つの処理手段の集合を処理系A(110)及び処理系B(120)とした際に、暗号通信処理と暗号情報交換処理をそれぞれどちらかの処理系で行い、暗号情報更新時刻によって処理系A(110)及び処理系B(120)を切り替える暗号通信装置について説明した。
実施の形態2.
図6は、本実施の形態に係る暗号通信装置(20)の構成例を示す。
本実施の形態に係る暗号通信装置(20)は、受信部(1)、送信部(2)、鍵管理部(3)(情報更新部)、暗号通信処理部(4)(暗号通信部)、装置制御部(6)、コア割当変更部(7)(コア割当制御部)により構成されている。
受信部(1)ではパケットを受信して、受信パケットが暗号通信処理であるか鍵交換処理であるかを判別し、暗号通信処理部(4)か鍵管理部(3)へパケットを送る。
また、送信部(2)ではパケットの送信を行う。
鍵管理部(3)では鍵交換プロトコルの処理や秘密鍵の管理を行い、暗号通信処理部(4)ではパケットの暗号化と復号の処理を行う。
また、コア割当変更部(7)は、鍵交換時刻(鍵の更新タイミング)となったときに鍵管理部(3)にコアを割当てる。
装置制御部(6)は、鍵管理部(3)からコア割当変更部(7)へのコア割当変更通知を制御する。
なお、ここでいうコア割当変更とは、コアが実行する処理の内容が、別の処理手段の処理を実行するように変更することをいう。
また、実施の形態2の暗号通信装置(20)におけるマルチコアCPUの用い方は、1つの処理をコア1個で行い、複数コアが割当てられた処理手段において、並列に複数の処理をする。
詳細は後述するが、本実施の形態では、コア割当変更部(7)は、鍵交換時刻(鍵の更新タイミング)の前は、マルチコアのうちの少なくとも一つのCPUコアを暗号通信処理部(4)に割当てて通信相手装置との暗号通信を行わせ、鍵交換時刻(鍵の更新タイミング)において、鍵管理部(3)に少なくとも一つのCPUコアを割当てて通信相手装置との間で鍵の更新を行わせる。
より具体的には、コア割当変更部(7)は、鍵交換時刻(鍵の更新タイミング)の前は、暗号通信処理部(4)に複数のCPUコアを割当てて通信相手装置との暗号通信を行わせ、鍵交換時刻(鍵の更新タイミング)において、暗号通信処理部(4)に割当てている複数のCPUコアのうちの少なくとも一つのCPUコアを鍵管理部(3)に割当てる。
また、鍵管理部(3)は、鍵交換時刻の前から稼動している鍵管理部(以下、鍵管理部Aという)と、鍵交換時刻から稼動する鍵管理部(以下、鍵管理部Bという)に区分される。鍵管理部Aは第一の情報更新部の例であり、鍵管理部Bは第二の情報更新部の例である。
鍵管理部Aは、鍵交換時刻の前に、コア割当変更部(7)により少なくとも一つのCPUコアが割当てられ、通信相手装置との間に暗号通信に用いられる論理コネクションであるSA(第一の論理コネクション)を設定しており、鍵管理部Bは、鍵交換時刻において、コア割当変更部(7)により少なくとも一つのCPUコアが割当てられ、通信相手装置との間に新たなSA(第二の論理コネクション)を設定する。
鍵管理部Aは、鍵管理部Bにより新たなSAが設定された後に、鍵交換時刻前から設定されていたSAを消去し、コア割当変更部(7)は、鍵管理部AがSAを消去した後、鍵管理部Aに割当てていたCPUコアの少なくとも一部を暗号通信処理部(4)に割当てる。
暗号通信処理部(4)は、鍵交換時刻の前は、鍵管理部Aにより設定されたSAにて通信相手装置と暗号通信を行い、鍵交換時刻において、鍵管理部Bにより設定されたSAに切り替えて通信相手装置と暗号通信を行う。
次に、実施の形態2の暗号通信装置(20)の動作について説明するが、まず暗号通信処理のパケットを受信したときの動作フローについて、平文側LAN(21)でパケットを受信したときの動作を図7より説明する。
まず受信部(1)では、平文側LAN(21)からパケットを受信すると、受信パケットが暗号通信処理のパケットであるか鍵交換処理のパケットであるかを判別する(ステップ1)。
鍵交換処理であるときは、鍵管理部(3)にパケットを送信し(ステップ3)、暗号通信処理であるときは、暗号通信処理部(4)へパケットを送信する(ステップ4)。
暗号通信処理部(4)でパケットを受信すると、SPDを検索し(ステップ5)、暗号文の設定であるときは次のステップで暗号化処理を行う。
また暗号文以外の設定の分岐をフローチャートでは省略しているが、平文の設定のときはパケットを送信部(2)へと送信し、廃棄の設定のときはパケットを廃棄する。
次にSPDの検索後の処理では、暗号通信処理部(4)は、SADを検索し(ステップ6)、SAの有無を判別する(ステップ7)。
SAがないときは、SAの確立待ちとなり、パケットを廃棄する(ステップ8、9)。
SAがあるときは、暗号通信処理部(4)は、暗号化演算、ハッシュ、IPヘッダ処理(ステップ10、11、12)の暗号化処理を行い、パケットを送信部(2)に送信する(ステップ13)。
そして、送信部(2)では、暗号文側LAN(22)より暗号化されたパケットを送信する(ステップ14)。
次に、暗号文側LAN(22)で暗号通信処理パケットを受信したときの動作フローを図8より説明する。
但し、パケットを受信してからの受信部(1)での処理の流れは、平文側LANでパケットを受信したときと同様であるため説明を省略する。
暗号通信処理部(4)でパケットを受信すると、SADを検索し(ステップ6)、SAの有無を判別する(ステップ7)。
SAがないときは、SAの確立待ちとなり、パケットを廃棄する(ステップ8、9)。
SAがあるときは、暗号通信処理部(4)は、ハッシュ、復号演算(ステップ11、16)の復号処理を行った後、SPDを検索し(ステップ5)、SPに反していなければ、パケットを送信部(2)に送信する(ステップ13)。
そして、送信部(2)では、平文側LAN(21)より復号されたパケットを送信する(ステップ17)。
次に、鍵交換時刻(鍵の更新タイミング)における暗号通信装置(20)の鍵管理部(3)へのコア割当切替について、鍵交換プロトコルにIKEを用いた例で、鍵管理部(3)の動作フローチャート(図9)より説明する。
但し、前述したように、コア割当前に元々ある鍵管理部を鍵管理部Aとし、新たにコアを割当てられる鍵管理部を鍵管理部Bとする。
まず、鍵管理部Aで鍵交換時刻であるかを判別し(ステップ18)、交換時刻でないときは何もしないで終了する。
また、交換時刻であるときは、装置制御部(6)を経由してコア割当変更部(7)に交換時刻である旨の通知を出す(ステップ25)。
通知を受けたコア割当変更部(7)では、暗号通信処理部(4)のコア1個を鍵管理部Bに割当てる処理を行う(ステップ26)。
次に、鍵管理部Bにコアが割当てられると、鍵管理部BではIKEを起動し、新しいSAを確立する(ステップ19、20)。
そしてSAの切替時刻になると、鍵管理部A、BではSAの切替処理を開始する(ステップ23)。
この時点で、鍵管理部AのSA(旧SA)は期限切れとなり、鍵管理部Aが旧SAを消去さする(ステップ24)。
ここで旧SAが消去されると、確立されているSAは1つとなるため、鍵管理部Aは装置制御部(6)を経由してコア割当変更部(7)に通知を出し、コア割当変更部(7)は鍵管理部Aに割当てられているコアを暗号通信処理部(4)へ割当てる(ステップ25、26)。
以上のようにして、実施の形態2の暗号通信装置(20)では鍵管理部(3)における動作の切替を行う。
特開2007−219577号公報のコア割当動的更新方法では、処理手段の負荷測定によって、スループットを最適とするように処理手段に対するコアの割当を変更するが、例えば鍵交換プロトコルでIKEを用いて、IKE処理手段にコアが割当てられているとき、IKEが起動している間のみコアが割当てられていればよいが、IKEの処理が終了してから、つぎの負荷測定をしてコア割当が変更されるまでの間は、すでに処理が終了したIKE処理手段に対してコアが割当てられているので、その間リソースが無駄となるといった課題がある。
これに対して、実施の形態2の暗号通信装置では、新SAを確立するためにIKEを起動するときや、旧SAが消去されるときのように、時刻に応じて各処理手段に対してコアの割当を変更できるので、このような課題を解決することができる。
つまり、本実施の形態では、鍵交換時にCPUコアの割当を変更することにより、リソース配分を最適化する。
以上、本実施の形態では、マルチコアCPUにおいて、複数処理を実行するとき、時刻に応じて、各処理のコアの割当てを動的に変更する暗号通信装置について説明した。
実施の形態3.
また、実施の形態2に示した方法は、実施の形態1の暗号通信装置に対しても適用可能である。
このようにすれば、特開2003−179592と特開2007−219577の両方の課題を解決することができる。
図10は、実施の形態2の方法を用いた実施の形態1の暗号通信装置に関する構成例である。
本実施の形態に係る暗号通信装置(20)は、受信部(1)、送信部(2)、鍵管理部(3)(情報更新部)、暗号通信処理部(4)(暗号通信部)、処理系判別部(5)(パケット解析部)、装置制御部(6)、コア割当変更部(7)(コア割当制御部)により構成され、(1)〜(4)の各処理手段を2つずつ有し、(1)〜(4)の各処理手段のまとまりをそれぞれ処理系A(110)及び処理系B(120)とする。
また、本実施の形態におけるマルチコアCPUはコア数を16個とし、各処理手段への割当は、処理系判別部に1個、装置制御部とコア割当変更部に1個、2つの処理系に14個とする。
また、実施の形態3の暗号通信装置(20)の動作で、受信パケットに対する処理については、実施の形態1の暗号通信装置と同様であるので省略する。
また、詳細は後述するが、本実施の形態では、コア割当変更部(7)は、鍵交換時刻(鍵の更新タイミング)の前は、一方の処理系(例えば、処理系A(110))に複数のCPUコアを割当てて一方の処理系(例えば、処理系A(110))の暗号通信処理部(4)に通信相手装置との暗号通信を行わせ、鍵交換時刻において、一方の処理系(例えば、処理系A(110))に割当てている複数のCPUコアのうちの少なくとも一つのCPUコアを他方の処理系(例えば、処理系B(120))の鍵管理部(3)に割当てて他方の処理系(例えば、処理系B(120))の鍵管理部(3)に通信相手装置との間で鍵交換を行わせる。
また、コア割当変更部(7)は、鍵交換時刻(鍵の更新タイミング)において、一方の処理系(例えば、処理系A(110))に割当てている複数のCPUコアのうちの少なくとも一つのCPUコアを他方の処理系(例えば、処理系B(120))の暗号通信処理部(4)に割当てる。
より具体的には、コア割当変更部(7)は、一方の処理系(例えば、処理系A(110))の暗号通信処理部(4)が暗号通信を終了した後に、一方の処理系(例えば、処理系A(110))に割当てている複数のCPUコアのうちの少なくとも一つのCPUコアを他方の処理系(例えば、処理系B(120))の暗号通信処理部(4)に割当てる。
次に、暗号通信装置の鍵交換時刻による処理系A(110)及び処理系B(120)の切り替えについて、鍵交換プロトコルにIKEを用いた例で、鍵管理部の動作フローチャート(図11)より説明する。
但し、ここでの切り替えの例としては、処理系A(110)が暗号通信処理を行い、鍵交換時刻(鍵の更新タイミング)に処理系B(120)が鍵交換処理を行うものとする。
また、本実施の形態においても、実施の形態1と同様に、処理系B(120)は、鍵交換時刻(鍵の更新タイミング)になるまでは何も処理は行わない。
また、コアの割当を、処理系A(110)では、受信部(1)に1個、送信部(2)に1個、鍵管理部(3)に1個、暗号通信処理部(4)に5個とし、処理系B(120)では、受信部(1)に1個、送信部(2)に1個、鍵管理部(3)に0個、暗号通信処理部(4)に4個として、処理系の切り替えを説明する。
まず、処理系A(110)の鍵管理部(3)で鍵交換時刻であるかを判別し(ステップ18)、交換時刻でないときは何もしないで終了する。
また交換時刻であるときは、処理系A(110)の鍵管理部(3)は、装置制御部(6)を経由してコア割当変更部(7)に交換時刻であることの通知を出す(ステップ25)。
通知を受けたコア割当変更部(7)では、処理系A(110)の暗号通信処理部(4)のコア1個を処理系B(120)の鍵管理部(3)に割当てる処理を行う(ステップ26)。
これにより、コアの割当は処理系A(110)、処理系B(120)ともに、受信部(1)に1個、送信部(2)に1個、鍵管理部(3)に1個、暗号通信処理部(4)に4個となる。
次に、処理系B(120)の鍵管理部(3)にコアが割当てられると、処理系B(120)の鍵管理部(3)ではIKEを起動し、新しいSAを確立する(ステップ19、20)。
このとき、SAは2種類確立されていることになり、それぞれのSAに対して処理系A(110)、処理系B(120)それぞれが暗号通信処理を行うようにするので、装置制御部(6)に暗号通信処理系が2つであることを処理系B(120)の鍵管理部(3)が通知する(ステップ21)。
そして、通知を受けた装置制御部(6)では、処理系A(110)、処理系B(120)ともに暗号通信処理を行うとして、処理系判別データを更新する(ステップ22)。この時点までに、処理系B(120)の暗号通信処理部(4)も起動されており、処理系B(120)の暗号通信処理部(4)はステップ20で新たに確立されたSAを用いて通信相手装置と暗号通信を行うことができる。
次に、SAの切替時刻になると、処理系A(110)及び処理系B(120)の鍵管理部(3)ではSAの切替処理を開始する(ステップ23)。この時点で、処理系A(110)のSA(旧SA)は期限切れとなり、処理系A(110)の鍵管理部(3)は旧SAを消去する(ステップ24)。
ここで旧SAが消去されると、確立されているSAは1つとなるため、処理系A(110)の鍵管理部(3)が、処理系が切り替わったこと、つまり、処理系B(120)が暗号通信処理を行うことを装置制御部(6)に通知し(ステップ21)、装置制御部(6)では処理系判別データを更新する(ステップ22)。
更に、旧SAが消去されると、処理系A(110)の鍵管理部(3)は処理の必要がないので、コア割当変更部(7)に処理系A(110)の鍵管理部(3)が通知を出し(ステップ25)、コア割当変更部(7)が、処理系A(110)の鍵管理部(3)に割当てられているコアを、処理系B(120)の暗号通信処理部(4)へと割当てる(ステップ28)。
これにより、コアの割当は、処理系A(110)では、受信部(1)に1個、送信部(2)に1個、鍵管理部(3)に0個、暗号通信処理部(4)に4個となり、処理系B(120)では、受信部(1)に1個、送信部(2)に1個、鍵管理部(3)に1個、暗号通信処理部(4)に5個となる。
以上のようにして、実施の形態3の暗号通信装置では処理系の切り替えを行う。
本実施の形態におけるコアの割当方法は、暗号通信処理を行っている処理系により多くのコアを割当て、切替段階(新旧のSAが並存している段階)ではコアを両処理系で均等にし、暗号通信処理を行う処理系が他方に移ったら、他方の処理系により多くのコアを割当てるものであり、コアの割当数は、以上の説明に限定されない。
また、実施の形態3の暗号通信装置(20)の動作で、処理系A(110)はSA1、処理系B(120)はSA2を用いて暗号通信処理を行うとしたときに、処理系判別部(5)は、SPIを参照してパケットを振り分け、各処理系でSAに問い合わせる。
従って、SA2適用パケットが多く到着したときであっても、処理系判別部(5)は、SA1に問い合わせる必要がなく、その問い合わせの処理時間の無駄をなくすことができるので、特開2003−179592の暗号通信装置の課題を解決する。
また、実施の形態3の暗号通信装置(200)では、新SAを確立するためにIKEを起動するときや、旧SAが消去されるときのように、時刻に応じて各処理手段に対してコアの割当を変更できるので、特開2007−219577号公報の課題を解決することができる。
最後に、実施の形態1〜3に示した暗号通信装置(20)のハードウェア構成例について説明する。
図12は、実施の形態1〜3に示す暗号通信装置(20)のハードウェア資源の一例を示す図である。
なお、図12の構成は、あくまでも暗号通信装置(20)のハードウェア構成の一例を示すものであり、暗号通信装置(20)のハードウェア構成は図12に記載の構成に限らず、他の構成であってもよい。
図12において、暗号通信装置(20)は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。
なお、CPU911は、前述のように、マルチコア構成となっている。
また、CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
通信ボード915、キーボード902、マウス903、スキャナ装置907、FDD904などは、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力装置の一例である。
通信ボード915は、図1等に示すように、ネットワークに接続されている。例えば、通信ボード915は、LANのほか、インターネット、WAN(ワイドエリアネットワーク)などに接続されていても構わない。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。
また、RAM914には、CPU911に実行させるオペレーティングシステム921のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。
また、RAM914には、CPU911による処理に必要な各種データが格納される。
また、ROM913には、BIOS(Basic Input Output System)プログラムが格納され、磁気ディスク装置920にはブートプログラムが格納されている。
暗号通信装置(20)の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
上記プログラム群923には、実施の形態1〜3の説明において「〜部」として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、実施の形態1〜3の説明において、「〜の判断」、「〜の切替」、「〜の交換」、「〜の検索」、「〜の比較」、「〜の評価」、「〜の更新」、「〜の設定」、「〜の登録」、「〜の選択」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1〜3で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、実施の形態1〜3の説明において「〜部」として説明しているものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、実施の形態1〜3の「〜部」としてコンピュータを機能させるものである。あるいは、実施の形態1〜3の「〜部」の手順や方法をコンピュータに実行させるものである。
このように、実施の形態1〜3に示す暗号通信装置(20)は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータであり、上記したように「〜部」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
実施の形態1に係る暗号通信装置の構成例を示す図。 実施の形態1〜3に係るネットワークのシステム構成図。 実施の形態1に係る暗号通信装置の平文側LANからのパケット受信時の動作例を示すフローチャート図。 実施の形態1に係る暗号通信装置の暗号文側LANからのパケット受信時の動作例を示すフローチャート図。 実施の形態1に係る暗号通信装置の鍵管理部の動作例を示すフローチャート図。 実施の形態2に係る暗号通信装置の構成例を示す図。 実施の形態2に係る暗号通信装置の平文側LANからのパケット受信時の動作例を示すフローチャート図。 実施の形態2に係る暗号通信装置の暗号文側LANからのパケット受信時の動作例を示すフローチャート図。 実施の形態2に係る暗号通信装置の鍵管理部の動作例を示すフローチャート図。 実施の形態3に係る暗号通信装置の構成例を示す図。 実施の形態3に係る暗号通信装置の鍵管理部の動作例を示すフローチャート図。 実施の形態1〜3に係る暗号通信装置のハードウェア構成例を示す図。
符号の説明
1 受信部、2 送信部、3 鍵管理部、4 暗号通信処理部、5 処理系判別部、6 装置制御部、7 コア割当変更部、20 暗号通信装置、21 平文側LAN、22 暗号文側LAN、30 社内ネットワーク、31 端末、32 端末、110 処理系A、120 処理系B。

Claims (5)

  1. 通信相手装置と暗号通信を行う暗号通信部と、暗号通信に用いられる暗号通信用情報の更新を前記通信相手装置と行い、前記通信相手装置との間に暗号通信に用いられる論理コネクションを設定する情報更新部とがそれぞれに含まれる二つの処理部を有し、
    前記暗号通信用情報の更新タイミングの前は、一方の処理部の情報更新部により設定された論理コネクションにて前記一方の処理部の暗号通信部が前記通信相手装置と暗号通信を行い、前記暗号通信用情報の更新タイミングにおいて、他方の処理部の情報更新部が前記通信相手装置との間で前記暗号通信用情報の更新を行って前記通信相手装置との間に論理コネクションを設定し前記他方の処理部の暗号通信部が前記通信相手装置との暗号通信を開始するとともに前記一方の処理部の情報更新部がその論理コネクションを消去して前記一方の処理部の暗号通信部の暗号通信を終了させ、
    前記通信装置は、更に、
    前記他方の処理部の情報更新部が論理コネクションを設定した後前記一方の処理部の情報更新部がその論理コネクションを消去するまでの間に、パケットを受信した際に、受信したパケットを解析して、受信したパケットがいずれの論理コネクションに属するのかを判断し、受信したパケットが属する論理コネクションを設定している処理部に、受信したパケットを出力するパケット解析部を有することを特徴とする通信装置。
  2. 前記通信装置は、
    マルチコアCPU(Central Processing Unit)を備え、
    前記二つの処理部には、各々異なるCPUコアが割当てられていることを特徴とする請求項1に記載の通信装置。
  3. 前記通信装置は、
    マルチコアCPUを備え、
    更に、
    前記暗号通信用情報の更新タイミングの前は、前記一方の処理部に複数のCPUコアを割当てて前記一方の処理部の暗号通信部に前記通信相手装置との暗号通信を行わせ、前記暗号通信用情報の更新タイミングにおいて、前記一方の処理部に割当てている前記複数のCPUコアのうちの少なくとも一つのCPUコアを前記他方の処理部の情報更新部に割当てて前記他方の処理部の情報更新部に前記通信相手装置との間で前記暗号通信用情報の更新を行わせるコア割当制御部を有することを特徴とする請求項1に記載の通信装置。
  4. 前記コア割当制御部は、
    前記暗号通信用情報の更新タイミングにおいて、前記一方の処理部に割当てている前記複数のCPUコアのうちの少なくとも一つのCPUコアを前記他方の処理部の暗号通信部に割当てることを特徴とする請求項に記載の通信装置。
  5. 前記コア割当制御部は、
    前記一方の処理部の暗号通信部が暗号通信を終了した後に、前記一方の処理部に割当てている前記複数のCPUコアのうちの少なくとも一つのCPUコアを前記他方の処理部の暗号通信部に割当てることを特徴とする請求項に記載の通信装置。
JP2008049354A 2008-02-29 2008-02-29 通信装置 Expired - Fee Related JP5094474B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008049354A JP5094474B2 (ja) 2008-02-29 2008-02-29 通信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008049354A JP5094474B2 (ja) 2008-02-29 2008-02-29 通信装置

Publications (2)

Publication Number Publication Date
JP2009207049A JP2009207049A (ja) 2009-09-10
JP5094474B2 true JP5094474B2 (ja) 2012-12-12

Family

ID=41148841

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008049354A Expired - Fee Related JP5094474B2 (ja) 2008-02-29 2008-02-29 通信装置

Country Status (1)

Country Link
JP (1) JP5094474B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5458796B2 (ja) * 2009-10-19 2014-04-02 株式会社リコー 通信装置及び通信制御方法
JP2022012202A (ja) * 2020-07-01 2022-01-17 Necプラットフォームズ株式会社 第1の通信装置、第2の通信装置、システム、方法、及びプログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002305533A (ja) * 2000-12-25 2002-10-18 Matsushita Electric Ind Co Ltd データベース管理装置、管理方法及びその記録媒体
JP2002217896A (ja) * 2001-01-23 2002-08-02 Matsushita Electric Ind Co Ltd 暗号通信方法およびゲートウエイ装置
JP2004328298A (ja) * 2003-04-24 2004-11-18 Nec Corp 通信システム、通信装置及びその動作制御方法
JP2006352500A (ja) * 2005-06-16 2006-12-28 Matsushita Electric Ind Co Ltd 自動鍵交換処理装置および自動鍵交換処理方法
JP2007219577A (ja) * 2006-02-14 2007-08-30 Sony Corp データ処理装置、データ処理方法、データ処理方法のプログラム及びデータ処理方法のプログラムを記録した記録媒体
JP4877932B2 (ja) * 2006-03-30 2012-02-15 富士通テレコムネットワークス株式会社 暗号化通信システム及び暗号鍵更新方法
JP4943071B2 (ja) * 2006-06-29 2012-05-30 京セラ株式会社 無線通信方法
JP2009065625A (ja) * 2007-09-10 2009-03-26 Oki Electric Ind Co Ltd 暗号化データ通信方法と暗号化データ通信システム

Also Published As

Publication number Publication date
JP2009207049A (ja) 2009-09-10

Similar Documents

Publication Publication Date Title
AU2019402945B2 (en) Secure connection established with the use of routing tokens
US12028378B2 (en) Secure communication session resumption in a service function chain preliminary class
WO2012011218A1 (en) Computer system and offloading method in computer system
US11146588B2 (en) Context-based adaptive encryption
US11070533B2 (en) Encrypted server name indication inspection
US20240048375A1 (en) Distributed storage system and method of reusing symmetric keys for encrypted message transmissions
US20220224684A1 (en) Validating session tokens using network properties
US11575662B2 (en) Transmitting and storing different types of encrypted information using TCP urgent mechanism
JPWO2013080659A1 (ja) 機密情報漏洩防止システム、機密情報漏洩防止方法、及びプログラム
CN110995656B (zh) 负载均衡方法、装置、设备及存储介质
US11405361B1 (en) Securing connections with edge devices that are incapable of encrypted transport layer connections
US11212083B2 (en) Slave secure sockets layer proxy system
WO2023146857A1 (en) Enhanced secure cryptographic communication system
Suresh et al. An investigation on HTTP/2 security
US7571464B2 (en) Secure bidirectional cross-system communications framework
JP5094474B2 (ja) 通信装置
US9219712B2 (en) WAN optimization without required user configuration for WAN secured VDI traffic
US20140189134A1 (en) System and Method for NAS Server Test Load Generation
Lawrence ROS2 prevalance and security
JP7573692B1 (ja) マスター装置、通信制御方法、通信制御プログラム及び通信制御システム
CN120378223B (zh) 网络通信动态加密方法、加解密系统、设备、介质及产品
JP7573693B1 (ja) エッジ装置、通信制御方法、通信制御プログラム及び通信制御システム
JP2009277069A (ja) 通信システム及び第1通信装置
Suresh et al. 2 Literature Survey
HK1262527A1 (zh) 处理控制装置、处理控制方法和记录有处理控制程序的记录介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101207

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120710

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120806

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120821

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120918

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150928

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees