Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5714596B2 - 証明書属性に基づくipセキュリティ証明書交換 - Google Patents
[go: Go Back, main page]

JP5714596B2 - 証明書属性に基づくipセキュリティ証明書交換 - Google Patents

証明書属性に基づくipセキュリティ証明書交換 Download PDF

Info

Publication number
JP5714596B2
JP5714596B2 JP2012538846A JP2012538846A JP5714596B2 JP 5714596 B2 JP5714596 B2 JP 5714596B2 JP 2012538846 A JP2012538846 A JP 2012538846A JP 2012538846 A JP2012538846 A JP 2012538846A JP 5714596 B2 JP5714596 B2 JP 5714596B2
Authority
JP
Japan
Prior art keywords
certificate
endpoint
attributes
security
ipsec
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012538846A
Other languages
English (en)
Other versions
JP2013511209A (ja
JP2013511209A5 (ja
Inventor
パナシュク アナトリー
パナシュク アナトリー
レンジゴウダ ダルシャン
レンジゴウダ ダルシャン
シュクラ アビシェク
シュクラ アビシェク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2013511209A publication Critical patent/JP2013511209A/ja
Publication of JP2013511209A5 publication Critical patent/JP2013511209A5/ja
Application granted granted Critical
Publication of JP5714596B2 publication Critical patent/JP5714596B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、証明書属性に基づくIPセキュリティ証明書交換に関する。
IPsec(インターネットプロトコルセキュリティ)は、IPパケットに対する認証および暗号化サービス、ならびに通信ピアの相互認証を提供する。2つのピアエンドポイントの間のIPsec通信は通常、2つのフェーズ、すなわちトラフィック保護パラメータの相互認証および交渉と、ピア間のトラフィックへの保護パラメータの適用(たとえば、暗号化および/または認証)とを伴う。第1のフェーズでは、ピアが互いを認証するための一技法は、証明書を使用することによる。接続の各ピアエンドポイントは、対応するエンドポイントが他のエンドポイントとのIPsecセッションに参加することを承認する証明書を与えられる。2つのエンドポイントが、証明書に基づくIPsecセッションを確立するために、両方のマシンは、信頼される共通の認証機関からの証明書をもっている必要がある。
一部のデータセンタでは、複数の分離コンテキストを確立することが望ましい場合がある。たとえば、ISP(インターネットサービスプロバイダ)は、複数の顧客をもつ場合があり、各顧客に安全な分離したゾーンを提供する必要がある。この分離を現在のインフラストラクチャで遂行するために、ISPは、各ゾーンごとに認証機関を展開する。複数の認証機関の展開および維持は、時間を消費し、労働集約的なプロセスである。
以下は、本明細書に記載するある新規実施形態を基本的に理解させるために、簡略化した要約を提示している。この要約は、広範な概要ではなく、主要/重大な要素を明らかにすることも、その範囲を定めることも意図していない。その唯一の目的は、後で提示する、より詳細な説明の前置きとして、ある概念を簡略化した形で提示することである。
開示するアーキテクチャは、証明書属性に基づくIPsec(インターネットプロトコルセキュリティ)証明書交換を提供する。これにより、あるIPsecエンドポイントは、別のIPsecエンドポイントの証明書のセキュリティコンテキストを、証明書ルートに加えて証明書属性を参照することによって検証することが可能になる。証明書ルートだけではなく証明書属性を使ってIPsec証明書交換を容易にすることによって、ゾーンごとに1つの認証機関を必要とするのではなく、単一の認証機関を使う複数の分離したネットワークゾーンを構築することが可能になっている。
さらに、IPsec証明書交換中に証明書属性が使用可能であることを、より集中型の通信に活用することができる。たとえば、QoS(サービス品質)フィールドを使って、あるエンドポイントに、別のエンドポイントよりも高い優先度を与えることができる。
さらに、証明書属性をIPsec証明書交換プロセス中に使用して、エンドポイントのセキュリティコンテキストを識別することができる。たとえば、証明書は、セキュリティコンテキストの一意のID(識別子)である属性を含み得る。受信側IPsecエンドポイントが別のエンドポイントから要求を受信すると、受信側エンドポイントは、現在のマシンにインストールされた証明書のセキュリティコンテキストが、要求元の証明書のセキュリティコンテキストと同じであることを検証することができる。
さらに、IPsec証明書の使用を、単一IPまたはIPグループのためにロックダウンすることができる。IPsec証明書中の属性の1つは、証明書と一緒に使うことができるIPアドレス(複数可)とすることができる。これにより、異なるIPアドレスをもつ別のマシン上で証明書がコピーされ、再利用されることを防止する。
上記および関連する目的の遂行のために、本明細書では、特定の例示的態様を、以下の説明および添付の図面に関連して説明する。こうした態様は、本明細書に開示する原理が実施され得る様々なやり方を示し、その態様および等価物はすべて、本特許請求対象の範囲内であることを意図している。他の利点および新規特徴が、以下の詳細な説明を図面と併せて検討すると明らかになるであろう。
本開示アーキテクチャによるコンピュータ実施セキュリティシステムを示す図である。 複数ゾーンに渡る証明書生成および管理のための認証機関含むセキュリティシステムを示す図である。 単一ゾーンのサブゾーン内での証明書生成および管理のための認証機関を含むセキュリティシステムを示す図である。 IPsec通信のためのデジタル証明書中で利用することができる例示的な証明書属性を示す図である。 コンピュータ実施セキュリティ方法を示す図である。 図5の方法の追加態様を示す図である。 あるIPアドレスに対するIPsec証明書を処理する方法を示す図である。 開示するアーキテクチャによる、IPsec通信のための属性処理を実行するように動作可能なコンピューティングシステムを示すブロック図である。 IPsec通信のための証明書属性を処理するコンピューティング環境を示す概略的なブロック図である。
開示するアーキテクチャは、証明書属性に基づくIPsec(インターネットプロトコルセキュリティ)証明書交換をもたらす。この交換により、それぞれが証明書を有する2つのIPsecエンドポイントが、証明書ルートに加えて証明書属性を参照することによって、他方のセキュリティコンテキストを検証することが可能になる。複数の分離したネットワークゾーンのこのような作成が、今では、ゾーンごとに1つの認証機関を必要とするのではなく、単一の認証機関を使って可能である。
ここで図面を参照するが、同じ参照番号が、全体を通して同じ要素を指すのに使われている。以下の記述では、説明目的で、多数の具体的詳細を、その完全な理解のために記載する。ただし、新規実施形態は、こうした具体的詳細なしで実施され得ることが明らかであろう。他の事例では、公知の構造およびデバイスを、その説明を容易にするためにブロック図の形で示す。意図するところは、本特許請求対象の精神および範囲内であるすべての修正形態、等価物、および代替形態をカバーすることである。
図1は、開示するアーキテクチャによるコンピュータ実施セキュリティシステム100を示す。システム100は、リモートエンドポイント108からデジタル証明書106を受信する、ローカルエンドポイント104の通信コンポーネント102を含む。通信コンポーネント102は、データパケットを送信し、受信するハードウェアおよび/またはソフトウェアを少なくとも含み得る。デジタル証明書106は、証明書属性を含む。システム100は、証明書属性の1つまたは複数を処理して、リモートエンドポイント108とのIPsec通信を検証する、ローカルエンドポイント104のセキュリティコンポーネント110も含み得る。
言い換えると、システム100は、ルート証明書のみに基づく場合よりも、証明書属性を使うIPsec中のピア証明書の検証を容易にする。各ピア証明書は、証明書のセキュリティコンテキストを記述する属性を含む。たとえば、IPsec証明書中の属性の1つは、顧客IDとすることができる。
エンドポイント間でのIPsec証明書交換(ローカルエンドポイント104が、その証明書112をリモートエンドポイント108に送信する)の間、各エンドポイントは、ピアによって提示される証明書の属性を調べ、IPsecセッションのセットアップに関する決定を行うことができる。上記例において、ピアによって提示された証明書が同じ顧客IDを含む場合、IPsecセッションが許可される。ただし、両方の証明書(リモート証明書106およびローカル証明書112)は依然として、単一の認証機関によって発行される必要がある。このソリューションは、展開されている分離コンテキストの数に関わらず、ただ1つの認証機関を使用する。
別の態様は、IPsec証明書を、ある特定のIPアドレスまたはアドレス群にロックすることによってセキュリティを高めることができることである。たとえば、証明書は、証明書がその上で使われることが意図される物理ネットワークのIPアドレス(またはアドレスグループ)を含み得る。IPsec接続をオープンするとき、各エンドポイントは、他方のエンドポイントが使っている実際のIPアドレスを、提示された証明書中のIPアドレスのリストと比較する。他方のエンドポイントのIPアドレスがリストにある場合、接続は継続する。アドレスがリストにない場合は、たとえば、攻撃者が正当なマシンから異なる(無許可)マシンに証明書を何とかしてコピーした乗っ取りの試みを示し得るので、接続は失敗することになる。開示するアーキテクチャは、このような攻撃を検出する機能を提供し、そうすることによって、ソリューションの全体的セキュリティを高める。
上で示したように、セキュリティコンポーネント110は、ルート証明書を使ってIPsec通信を検証することもできる。デジタル証明書106(および証明書112)は、デジタル証明書のセキュリティコンテキストを定義する1つまたは複数の証明書属性を含む。さらに、デジタル証明書は、ある特定のアドレスやアドレスグループなど、ある特定の証明書属性のためにロックすることができる。セキュリティコンポーネント110は、属性優先度に従って証明書属性を処理することができる。
言い換えると、ある属性に、別の属性または属性セットを上回る重みを与えることができる。たとえば、QoS(サービス品質)属性を使用して、あるエンドポイントに、別のエンドポイントより高い優先度を与えることができる。属性分析プロセスは、証明書属性(複数可)を所定の属性セットと比較することも含むことができ、全属性が一致する場合、IPsecセッションを確立することができる。ただし、3つのうち2つしか一致しない場合、セッションは失敗し、または通信レベルを低下させて行われる。
1つまたは複数の証明書属性は、それを通してエンドポイントが通信し、かつ/またはゾーンが置かれているプロキシシステムのIPアドレスを含み得る。ピアリモートエンドポイント108は、ローカルデジタル証明書112またはリモートエンドポイント108が他のピアエンドポイントから受信し得る他の証明書を受信し処理するローカルエンドポイント104として、同様のコンポーネント(たとえば、通信コンポーネントおよびセキュリティコンポーネント)も含み得ることに留意されたい。
図2は、複数ゾーンに対する証明書生成および管理のための認証機関202を含むセキュリティシステム200を示す。認証機関202はここでは、複数ゾーンに渡るIPsec通信のためのデジタル証明書を生成し管理する(発行する)ために展開される単一(ただ1つ)の機関とすることができる。ここで、システム200は、2つのゾーン、すなわち第1のゾーン(Zone1)、および第2のゾーン(Zone2)を含む(ただし、より多くのゾーンを利用することができる)。第1のゾーンは、第1のゾーンの証明書208(Dig Cert11)を受信し使用する第1のゾーンのエンドポイント206など、複数のエンドポイント204(Endpoint11、...、Endpoint1S)(エンドポイント204のそれぞれは、デジタル証明書が発行される)を含む。同様に、第2のゾーンは、第2のゾーンの証明書214(Dig Cert21)を受信し使用する第2のゾーンのエンドポイント212など、複数のエンドポイント210(Endpoint21、...、Endpoint2T)(エンドポイント210のそれぞれは、デジタル証明書が発行される)を含む。
認証機関202は、ネットワーク216を介して第1および第2のゾーン両方、および関連づけられたエンドポイントに対して、ならびに場合によってはネットワーク216の外のエンドポイントおよびゾーンに対して、証明書管理を行う唯一の認証機関とすることができる。
動作中、第1のゾーンのエンドポイント206が、第2のゾーンのエンドポイント212とのIPsecセッションを要求する場合、エンドポイント(206、212)は、対応するデジタル証明書(208、214)を、IPsec接続を介して交換する。第1のゾーンのエンドポイント206は、第2のゾーンのエンドポイント212が第1のゾーンの証明書208に対してそうするように、1つまたは複数のセキュリティコンテキスト属性、および可能性としては他の属性に関して第2のゾーンの証明書214を分析する。さらに、第1および第2のゾーンのエンドポイント(206、212)のルート証明書を渡したり、検証することができる。両方のエンドポイントからの検証が成功した場合、エンドポイント(206、212)間にIPsecセッションを確立することができる。
図3は、単一ゾーンのサブゾーン内での証明書生成および管理のための認証機関202を含むセキュリティシステム300を示す。認証機関202はやはり、複数のサブゾーン(またはセグメント)に渡るIPsec通信およびセッションのためのデジタル証明書を生成し管理する(発行する)ために展開される単一(ただ1つ)の機関とすることができる。ここで、システム300は、あるゾーンの2つのサブゾーン、すなわち第1のサブゾーン(Subzone1)、および第2のサブゾーン(Subzone2)を含む(ただし、より多くのサブゾーンを利用することができる)。第1のサブゾーンは、第1のサブゾーンの証明書304(Dig Cert11)を受信し使用する第1のサブゾーンのエンドポイント302など、複数のエンドポイント204(Endpoint11、...、Endpoint1S)(各エンドポイントは、デジタル証明書が発行される)を含む。同様に、第2のサブゾーンは、第2のサブゾーンの証明書308(Dig Cert21)を受信し使用する第2のサブゾーンのエンドポイント306など、複数のエンドポイント210(Endpoint21、...、Endpoint2T)(各エンドポイントは、デジタル証明書が発行される)を含む。
認証機関202は、ネットワーク216を介して第1および第2のサブゾーンの両方、および関連づけられたエンドポイントに対して、ならびに場合によってはネットワーク216の外のエンドポイントおよびゾーン/サブゾーンに対して証明書管理を行う、ゾーンおよびサブゾーン用の唯一の認証機関とすることができる。
動作中、第1のサブゾーンのエンドポイント302が、第2のサブゾーンのエンドポイント306とのIPsecセッションを要求する場合、エンドポイント(302、306)は、対応するデジタル証明書(304、308)を、IPsec接続を介して交換する。第1のサブゾーンのエンドポイント302は、第2のサブゾーンのエンドポイント306が第1のサブゾーンの証明書304に対してそうするように、1つまたは複数のセキュリティコンテキスト属性、および可能性としては他の属性に関して第2のサブゾーンの証明書308を分析する。さらに、第1および第2のサブゾーンのエンドポイント(302、306)のルート証明書を渡したり、検証することができる。両方のエンドポイントからの検証が成功した場合、エンドポイント(302、306)の間にIPsecセッションを確立することができる。
図4は、IPsec通信のためのデジタル証明書402中で利用することができる例示的な証明書属性400を示す。上で示したように、属性400は、QoSデータ、セキュリティコンテキストの一意のID、IPsecセッションがそれに対して取得され得るエンドポイント(物理マシンまたは仮想マシン)のIPアドレス、IPsecセッション(複数可)がそれに対して取得され得るエンドポイントからなる1つのグループ(または複数のグループ)のIPアドレス、(たとえば、会社に対する)顧客ID、ゾーンID、サークルID、プロキシシステムのIPアドレスなどを含み得る。開示するアーキテクチャは、あらゆるクラス(たとえば、識別、組織、サーバ、オンライン商取引、民間組織または政府組織などの証明を必要とする個人)のデジタル証明書にも該当する。
IPsecの属性処理は、単一の属性(会社ID)のみを処理しても、複数の属性(たとえば、会社IDおよびzone1)を処理してもよい。さらに、たとえば、第1の属性が第3の属性より重みを与えられるように、重みづけシステムを利用することができる。代替的に、または組み合わせて、ゾーン属性が最優先として順位づけされ、顧客IDがより低い優先度として続くなどのような、所定の基準に従って属性を順位づけしてもよい。
エンドポイントは、属性に従って異なるゾーンおよびエンドポイントへのアクセスをそれぞれが定義する複数の証明書を含み得ることに留意されたい。
本開示アーキテクチャの新規態様を実施する例示的な手順を表す1組のフローチャートが、本明細書に含まれる。説明を簡単にするために、たとえば、フローチャートまたはフロー図の形で本明細書に示す1つまたは複数の手順は、一連の作用として示し説明するが、手順は作用の順序によって限定されないことを理解されたい。というのは、ある作用は、手順によって異なる順序で起きてもよく、かつ/または本明細書において示し説明する他の作用と同時に起きてもよいからである。たとえば、手順は、状態図でのように、相関する一連の状態またはイベントとしても表され得ることが当業者には理解されよう。さらに、手順に例示するすべての作用が、新規実装形態に必要となり得るわけではない。
図5は、コンピュータ実施セキュリティ方法を示す。500で、エンドポイントにおいて、1つまたは複数の証明書属性を有するデジタル証明書をピアエンドポイントから受信する。502で、ピアエンドポイントのセキュリティコンテキストを、エンドポイントにおいて、1つまたは複数の証明書属性に基づいて検証する。504で、IPsecセッションを、セキュリティコンテキストの検証に基づいて、エンドポイントとピアエンドポイントとの間で確立する。
図6は、図5の方法の追加態様を示す。600で、デジタル証明書を、複数ゾーンを管理する認証機関から、エンドポイントおよびピアエンドポイントに対して発行する。602で、証明書を、ある特定の属性に対してロックダウンする。604で、ある属性を、ある特定のエンドポイントのIPアドレスとして定義する。606で、ある属性を、あるグループのIPアドレスの範囲として定義する。608で、セキュリティコンテキストを、属性の1つまたは複数として定義する。610で、エンドポイントのデジタル証明書のある属性を、エンドポイントのセキュリティデータと比較し、ピアエンドポイントをエンドポイントと突き合わせて検証する。
図7は、あるIPアドレスへのIPsec証明書を処理する方法を示す。700で、IPsec通信を、ある特定のIPアドレスへのロックダウンを有するエンドポイントの間で開始する。702で、各エンドポイントは、他方のエンドポイントのIPアドレスを、提示された証明書中のIPアドレスのリストと比較する。704でIPアドレスがリストにある場合、フローは706に進み、エンドポイント間でIPsecセッションを確立する。あるいは、704でIPアドレスがリストにない場合、フローは708に進み、IPsecセッションの開始に失敗する。
本出願において使われている限り、「コンポーネント」および「システム」などの用語は、コンピュータ関連のエンティティ、すなわちハードウェア、ハードウェアおよびソフトウェアの組合せ、ソフトウェア、または実行中のソフトウェアのいずれかを指すことを意図している。たとえば、コンポーネントは、プロセッサ上で稼動するプロセス、プロセッサ、ハードディスクドライブ、(光学、固体状態および/もしくは磁気記憶媒体の)複数の記憶ドライブ、オブジェクト、実行可能ファイル、実行スレッド、プログラム、ならびに/またはコンピュータとすることができるが、これらに限定されない。例として、サーバ上で稼動するアプリケーションおよびそのサーバ両方がコンポーネントとなり得る。1つまたは複数のコンポーネントが実行プロセスおよび/または実行スレッド中に常駐することができ、コンポーネントを、1台のコンピュータに配置し、および/または2台以上のコンピュータの間に分散することができる。「例示的」という言葉は、本明細書において、一例、事例、または例示となることを意味するために使われ得る。「例示的」として本明細書に記載するどの態様も設計も、必ずしも他の態様または設計よりも好まれ、または有利であることを解釈されるべきではない。
ここで図8を参照すると、本開示アーキテクチャによる、IPsec通信のための属性処理を実行するように動作可能なコンピューティングシステム800のブロック図が示されている。様々な態様のための追加コンテキストを提供するために、図8および以下の説明は、様々な態様が実装され得る適切なコンピューティングシステム800を簡潔に、概略的に説明することを意図している。上記説明は、1つまたは複数のコンピュータ上で稼働し得るコンピュータ実行可能命令の一般的コンテキストにおけるものであるが、新規実施形態も、他のプログラムモジュールと組み合わせて、および/またはハードウェアとソフトウェアの組合せとして実装され得ることが当業者には理解されよう。
様々な態様を実装するコンピューティングシステム800は、処理ユニット(複数可)804と、システムメモリ806などのコンピュータ可読ストレージと、システムバス808とを有するコンピュータ802を含む。処理ユニット(複数可)804は、シングルプロセッサ、マルチプロセッサ、シングルコアユニットおよびマルチコアユニットなど、市販されている様々なプロセッサのいずれでもよい。さらに、新規方法は、1つまたは複数の関連デバイスにそれぞれが動作可能に結合され得る、ミニコンピュータ、メインフレームコンピュータ、ならびにパーソナルコンピュータ(たとえば、デスクトップ、ラップトップなど)、ハンドヘルドコンピューティングデバイス、マイクロプロセッサベースまたはプログラム可能家電製品などを含む他のコンピュータシステム構成で実施され得ることが当業者には理解されよう。
システムメモリ806は、揮発性(VOL)メモリ810(たとえば、RAM(ランダムアクセスメモリ))および不揮発性メモリ(NON−VOL)812(たとえば、ROM、EPROM、EEPROMなど)などのコンピュータ可読ストレージを含み得る。BIOS(基本入出力システム)は、不揮発性メモリ812に格納することができ、起動中などに、コンピュータ802内部のコンポーネントの間でのデータおよび信号の通信を容易にする基本ルーチンを含む。揮発性メモリ810は、データをキャッシュするスタティックRAMなどの高速RAMも含み得る。
システムバス808は、メモリサブシステム806を含むがそれに限定されないシステムコンポーネントと処理ユニット(複数可)804とのインターフェイスを提供する。システムバス808は、市販されている様々なバスアーキテクチャのいずれかを用いる、(メモリコントローラを用いてまたは用いずに)メモリバスにさらに相互接続し得るいくつかのタイプのバス構造、および周辺バス(たとえば、PCI、PCIe、AGP、LPCなど)のいずれでもよい。
コンピュータ802は、マシン可読な記憶サブシステム(複数可)814と、記憶サブシステム(複数可)814をシステムバス808および他の所望のコンピュータコンポーネントとインターフェイスをとらせる記憶インターフェイス(複数可)816とをさらに含む。記憶サブシステム(複数可)814は、たとえば、HDD(ハードディスクドライブ)、磁気FDD(フロッピー(登録商標)ディスクドライブ)、および/または光ディスク記憶ドライブ(たとえば、CD−ROMドライブ、DVDドライブ)の1つまたは複数を含み得る。記憶インターフェイス(複数可)816は、たとえば、EIDE、ATA、SATA、およびIEEE1394などのインターフェイス技術を含み得る。
オペレーティングシステム820、1つまたは複数のアプリケーションプログラム822、他のプログラムモジュール824、およびプログラムデータ826を含む、1つまたは複数のプログラムおよびデータが、メモリサブシステム806、取外し可能メモリサブシステム818(たとえば、フラッシュドライブフォームファクター技術)、ならびに/または記憶サブシステム(複数可)814(たとえば、光学、磁気、固体状態)に格納され得る。
1つまたは複数のアプリケーションプログラム822、他のプログラムモジュール824、およびプログラムデータ826は、たとえば、図1のシステム100のエンティティおよびコンポーネント、図2のシステム200のエンティティおよびコンポーネント、図3のシステム300のエンティティおよびコンポーネント、図4の証明書および属性、ならびに図5〜7のフローチャートによって表される方法を含み得る。
概して、プログラムは、特定のタスクを実施し、または特定の抽象データタイプを実装するルーチン、方法、データ構造、他のソフトウェアコンポーネントなどを含む。オペレーティングシステム820、アプリケーション822、モジュール824、および/またはデータ826の全部または一部は、たとえば、揮発性メモリ810などのメモリにもキャッシュされ得る。本開示アーキテクチャは、市販されている様々なオペレーティングシステム、またはオペレーティングシステム(たとえば、仮想マシンとして)の組合せで実装され得ることを理解されたい。
記憶サブシステム(複数可)814およびメモリサブシステム(806、818)は、データ、データ構造、コンピュータ実行可能命令などの揮発性および不揮発性記憶のためのコンピュータ可読媒体として働く。コンピュータ可読媒体は、コンピュータ802によってアクセスされ得る利用可能などの媒体でもよく、取外し可能または固定型である揮発性および不揮発性の内部および/または外部媒体を含む。コンピュータ802にとって、媒体は、適切などのデジタル形式のデータの格納にも適合する。本開示アーキテクチャの新規方法を実施するコンピュータ実行可能命令を格納する、たとえばジップドライブ、磁気テープ、フラッシュメモリカード、フラッシュドライブ、カートリッジなど、他のタイプのコンピュータ可読媒体が利用され得ることが当業者には理解されよう。
ユーザは、キーボードおよびマウスなどの外部ユーザ入力デバイス828を使ってコンピュータ802、プログラム、およびデータと対話することができる。他の外部ユーザ入力デバイス828は、マイクロホン、IR(赤外線)リモコン、ジョイスティック、ゲームパッド、カメラ認識システム、スタイラスペン、タッチスクリーン、および/またはジェスチャーシステム(たとえば、目の動き、頭の動きなど)などを含み得る。ユーザは、たとえばタッチパッド、マイクロホン、キーボードなどの搭載ユーザ入力デバイス830を使ってコンピュータ802、プログラム、およびデータと対話することができ、ここでコンピュータ802は、たとえば可搬型コンピュータである。こうしたおよび他の入力デバイスは、システムバス808を介して入出力(I/O)デバイスインターフェイス(複数可)832により処理ユニット(複数可)804に接続されるが、たとえばパラレルポート、IEEE1394シリアルポート、ゲームポート、USBポート、IRインターフェイスなど、他のインターフェイスによっても接続することができる。I/Oデバイスインターフェイス(複数可)832は、たとえばプリンタ、オーディオデバイス、カメラデバイス、ならびにそれ以外、たとえばサウンドカードおよび/またはオンボードオーディオ処理能力などの出力周辺装置834の使用も容易にする。
1つまたは複数のグラフィックスインターフェイス(複数可)836(一般にはグラフィックス処理ユニット(GPU)とも呼ばれる)は、コンピュータ802、外部ディスプレイ(複数可)838(たとえば、LCD、プラズマ)および/または搭載ディスプレイ840(たとえば、可搬型コンピュータ用)の間でグラフィックスおよびビデオ信号を提供する。グラフィックスインターフェイス(複数可)836は、コンピュータシステムボードの一部として製造することもできる。
コンピュータ802は、1つまたは複数のネットワークおよび/または他のコンピュータへのワイヤード/ワイヤレス通信サブシステム842による論理接続を使って、ネットワーク接続された環境(たとえば、IPベース)内で動作し得る。他のコンピュータは、ワークステーション、サーバ、ルータ、パーソナルコンピュータ、マイクロプロセッサベースの娯楽機器、ピアデバイスまたは他の共通ネットワークノードを含み、コンピュータ802に関連して記載した要素の多くまたはすべてを通常は含み得る。論理接続は、LAN(ローカルエリアネットワーク)、WAN(ワイドエリアネットワーク)、ホットスポットなどとのワイヤード/ワイヤレス接続性を含み得る。LANおよびWANネットワーク接続環境は、職場および企業においてよく見られ、イントラネットなど、企業規模のコンピュータネットワークを容易にし、これらはすべて、インターネットなどのグローバル通信ネットワークに接続し得る。
ネットワーク接続環境内で使われる場合、コンピュータ802は、ワイヤード/ワイヤレス通信サブシステム842(たとえば、ネットワークインターフェイスアダプタ、搭載トランシーバサブシステムなど)を介してネットワークに接続して、ワイヤード/ワイヤレスネットワーク、ワイヤード/ワイヤレスプリンタ、ワイヤード/ワイヤレス入力デバイス844などと通信する。コンピュータ802は、モデムまたはネットワーク経由の通信を確立する他の手段を含み得る。ネットワーク接続された環境では、コンピュータ802に対するプログラムおよびデータは、分散型システムに関連づけられたリモートメモリ/記憶デバイスに格納することができる。図示したネットワーク接続は例示であり、コンピュータの間で通信リンクを確立する他の手段も用いられ得ることが理解されよう。
コンピュータ802は、IEEE802.xx系の標準などの無線技術を用いて、たとえば、プリンタ、スキャナ、デスクトップおよび/または可搬型コンピュータ、PDA(携帯情報端末)、通信衛星、ワイヤレスに検出可能なタグ、および電話に関連づけられたどの機器または場所(たとえば、キオスク、ニューススタンド、洗面所)ともワイヤレス通信(たとえば、IEEE802.11無線経由の変調技法)するように動作可能に配置されたワイヤレスデバイスなどのワイヤード/ワイヤレスデバイスまたはエンティティと通信するように動作可能である。これは、少なくとも、ホットスポット用のWi−Fi(すなわち、ワイヤレスフィデリティ)、WiMax(登録商標)、およびBluetooth(登録商標)ワイヤレス技術を含む。したがって、通信は、従来のネットワークでのように、予め定義された構造でも、単に少なくとも2つのデバイスの間のアドホック通信でもよい。Wi−Fiネットワークは、安全で安心な高速ワイヤレス接続性を提供するための、IEEE802.11x(a、b、gなど)と呼ばれる無線技術を用いる。Wi−Fiネットワークは、コンピュータを互いと、インターネットと、およびワイヤーネットワーク(IEEE802.3に関係した媒体および機能を用いる)と接続するのに使うことができる。
例示した態様は、通信ネットワークを介してリンクされるリモート処理デバイスによって一定のタスクが実施される分散型コンピューティング環境において実施することもできる。分散型コンピューティング環境において、プログラムモジュールは、ローカルおよび/またはリモートシステムおよび/または記憶システム内に配置され得る。
ここで図9を参照すると、IPsec通信のための証明書属性を処理するコンピューティング環境900の概略的なブロック図を例示してある。環境900は、1つまたは複数のクライアント902を含む。クライアント(複数可)902は、ハードウェアおよび/またはソフトウェア(たとえば、スレッド、プロセス、コンピューティングデバイス)とすることができる。クライアント(複数可)902は、たとえば、クッキー(複数可)および/または関連づけられたコンテキスト情報を収容することができる。
環境900は、1つまたは複数のサーバ904も含む。サーバ(複数可)904も、ハードウェアおよび/またはソフトウェア(たとえば、スレッド、プロセス、コンピューティングデバイス)とすることができる。サーバ904は、たとえば、アーキテクチャを利用することによって変換を実施するためのスレッドを収容することができる。クライアント902とサーバ904との間の可能な1つの通信物は、2つ以上のコンピュータプロセスの間で送信されるように適合されたデータパケットの形とすることができる。データパケットは、たとえば、クッキーおよび/または関連づけられたコンテキスト情報を含み得る。環境900は、クライアント(複数可)902とサーバ(複数可)904との間の通信を容易にするのに利用され得る通信フレームワーク906(たとえば、インターネットなどのグローバル通信ネットワーク)を含む。
通信は、ワイヤー(光ファイバーを含む)および/またはワイヤレス技術により容易にされ得る。クライアント(複数可)902は、クライアント(複数可)902にとってローカルな情報(たとえば、クッキー(複数可)および/または関連づけられたコンテキスト情報)を格納するのに利用され得る1つまたは複数のクライアントデータストア908に動作可能に接続される。同様に、サーバ(複数可)904は、サーバ904にとってローカルな情報を格納するのに利用され得る1つまたは複数のサーバデータストア910に動作可能に接続される。
上記の説明内容は、開示したアーキテクチャのいくつかの例を含む。当然ながら、コンポーネントおよび/または手順の考えうるあらゆる組合せを説明することはできないが、さらに多くの組合せおよび置換が可能であることが、当業者には理解できよう。したがって、新規アーキテクチャは、添付の請求項の精神および範囲内であるこのようなすべての変更形態、修正形態、および変形形態を包含することを意図したものである。さらに、詳細な説明または請求項で「含む」という用語が使われている限りでは、請求項で移行語として解釈されるときに「備える」がそう解釈されるように、「備える」という用語と同様に包括的であることを意図している。

Claims (13)

  1. リモートエンドポイントからデジタル証明書を受信する、ローカルエンドポイントの通信コンポーネントであって、前記受信されるデジタル証明書は前記ローカルエンドポイントのデジタル証明書を発行したのと同じ認証機関によって発行されたものであり、受信されるデジタル証明書は該デジタル証明書のセキュリティコンテキストを定義する証明書属性をもつ、通信コンポーネントと、
    受信されたデジタル証明書の証明書属性の1つまたは複数を参照することによって、前記リモートエンドポイントとのIPsec(インターネットプロトコルセキュリティ)通信を検証し、ルート証明書を使用して前記IPsec通信をさらに検証する、前記ローカルエンドポイントのセキュリティコンポーネントと
    を備えた、コンピュータ実装されるセキュリティシステムであって、
    証明書属性は少なくともサービス品質(QoS)データを含む、
    システム。
  2. 証明書属性はさらに、セキュリティコンテキストの一意のID、IPsecセッションを確立する相手となれる少なくとも一つのエンドポイントの一つまたは複数のIPアドレスまたはプロキシシステムのIPアドレスのうちの少なくとも一つを含むことを特徴とする請求項1に記載のシステム。
  3. 前記デジタル証明書は、ある特定の証明書属性にロックされることを特徴とする請求項1に記載のシステム。
  4. 前記デジタル証明書は、ある特定のアドレスまたはアドレスグループにロックされることを特徴とする請求項1に記載のシステム。
  5. 前記認証機関が複数ゾーンに渡るIPsec通信のための前記デジタル証明書および他のデジタル証明書を発行することを特徴とする請求項1に記載のシステム。
  6. 前記セキュリティコンポーネントは、属性優先度に従って証明書属性を処理することを特徴とする請求項1に記載のシステム。
  7. 前記1つまたは複数の証明書属性は、プロキシシステムのIPアドレスおよびゾーンを含むことを特徴とする請求項1に記載のシステム。
  8. 第一のエンドポイントにおいて、ピアエンドポイントからデジタル証明書を受信するステップであって、受信されるデジタル証明書は前記第一のエンドポイントのデジタル証明書を発行したのと同じ認証機関によって発行されたものであり、受信されるデジタル証明書は該デジタル証明書のセキュリティコンテキストを定義する1つまたは複数の証明書属性をもつ、ステップと、
    前記第一のエンドポイントによって、前記1つまたは複数の証明書属性およびルート証明書に基づいて、前記ピアエンドポイントのセキュリティコンテキストを検証するステップと、
    前記セキュリティコンテキストの検証に基づいて、前記第一のエンドポイントと前記ピアエンドポイントとの間にIPsecセッションを確立することを前記第一のエンドポイントが許可するステップと
    含む、コンピュータが実施するセキュリティ方法であって、
    証明書属性は少なくともサービス品質(QoS)データを含む、
    方法
  9. 前記認証機関が複数ゾーンを管理することを特徴とする請求項に記載の方法。
  10. 前記証明書を、ある特定の属性にロックダウンするステップをさらに備えたことを特徴とする請求項に記載の方法。
  11. 前記セキュリティコンテキストがIPsecセッションを確立する相手となれる特定のエンドポイントのIPアドレスを含むことを特徴とする請求項に記載の方法。
  12. 前記セキュリティコンテキストがIPsecセッションを確立する相手となれるエンドポイントのグループのIPアドレスの範囲を含むことを特徴とする請求項に記載の方法。
  13. 受信されたデジタル証明書の属性を、前記第一のエンドポイントのセキュリティデータと比較して、前記ピアエンドポイントを前記第一のエンドポイントに対して検証するステップをさらに備えたことを特徴とする請求項に記載の方法。
JP2012538846A 2009-11-12 2010-10-28 証明書属性に基づくipセキュリティ証明書交換 Expired - Fee Related JP5714596B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/616,789 US9912654B2 (en) 2009-11-12 2009-11-12 IP security certificate exchange based on certificate attributes
US12/616,789 2009-11-12
PCT/US2010/054573 WO2011059774A2 (en) 2009-11-12 2010-10-28 Ip security certificate exchange based on certificate attributes

Publications (3)

Publication Number Publication Date
JP2013511209A JP2013511209A (ja) 2013-03-28
JP2013511209A5 JP2013511209A5 (ja) 2013-11-28
JP5714596B2 true JP5714596B2 (ja) 2015-05-07

Family

ID=43975149

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012538846A Expired - Fee Related JP5714596B2 (ja) 2009-11-12 2010-10-28 証明書属性に基づくipセキュリティ証明書交換

Country Status (6)

Country Link
US (1) US9912654B2 (ja)
EP (1) EP2499778B1 (ja)
JP (1) JP5714596B2 (ja)
KR (1) KR101791708B1 (ja)
CN (1) CN102612820B (ja)
WO (1) WO2011059774A2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010044518A1 (de) * 2010-09-07 2012-03-08 Siemens Aktiengesellschaft Verfahren zur Zertifikats-basierten Authentisierung
JP5880401B2 (ja) * 2012-11-15 2016-03-09 富士ゼロックス株式会社 通信装置及びプログラム
US20160366124A1 (en) * 2015-06-15 2016-12-15 Qualcomm Incorporated Configuration and authentication of wireless devices
ES2835873T3 (es) * 2015-08-24 2021-06-23 Huawei Tech Co Ltd Método de autentificación de seguridad, método de configuración y dispositivo relacionado
JP7208707B2 (ja) * 2017-02-17 2023-01-19 キヤノン株式会社 情報処理装置及びその制御方法とプログラム
WO2019133434A1 (en) * 2017-12-29 2019-07-04 Pensando Systems Inc. Methods and systems for cryptographic identity based network microsegmentation
KR102250081B1 (ko) * 2019-02-22 2021-05-10 데이터얼라이언스 주식회사 공개 원장 기반 크리덴셜 자율적 운영 시스템 및 방법
US11783062B2 (en) 2021-02-16 2023-10-10 Microsoft Technology Licensing, Llc Risk-based access to computing environment secrets

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5530758A (en) * 1994-06-03 1996-06-25 Motorola, Inc. Operational methods for a secure node in a computer network
US5548646A (en) 1994-09-15 1996-08-20 Sun Microsystems, Inc. System for signatureless transmission and reception of data packets between computer networks
CA2228687A1 (en) * 1998-02-04 1999-08-04 Brett Howard Secured virtual private networks
US7461250B1 (en) 1999-07-22 2008-12-02 Rsa Security, Inc. System and method for certificate exchange
GB2357226B (en) * 1999-12-08 2003-07-16 Hewlett Packard Co Security protocol
US20020007346A1 (en) * 2000-06-06 2002-01-17 Xin Qiu Method and apparatus for establishing global trust bridge for multiple trust authorities
US7113996B2 (en) 2000-07-21 2006-09-26 Sandy Craig Kronenberg Method and system for secured transport and storage of data on a network
WO2002032064A1 (en) * 2000-09-08 2002-04-18 Tallent Guy S System and method for providing authorization and other services
US6915437B2 (en) 2000-12-20 2005-07-05 Microsoft Corporation System and method for improved network security
US7073055B1 (en) * 2001-02-22 2006-07-04 3Com Corporation System and method for providing distributed and dynamic network services for remote access server users
US7272714B2 (en) * 2002-05-31 2007-09-18 International Business Machines Corporation Method, apparatus, and program for automated trust zone partitioning
US7185199B2 (en) 2002-08-30 2007-02-27 Xerox Corporation Apparatus and methods for providing secured communication
US20040093492A1 (en) * 2002-11-13 2004-05-13 Olivier Daude Virtual private network management with certificates
JP4352728B2 (ja) 2003-03-11 2009-10-28 株式会社日立製作所 サーバ装置、端末制御装置及び端末認証方法
WO2004081756A2 (en) * 2003-03-12 2004-09-23 Nationwide Mutual Insurance Co Trust governance framework
US7308711B2 (en) 2003-06-06 2007-12-11 Microsoft Corporation Method and framework for integrating a plurality of network policies
US20050086468A1 (en) * 2003-10-17 2005-04-21 Branislav Meandzija Digital certificate related to user terminal hardware in a wireless network
EP1738239A1 (en) * 2004-04-12 2007-01-03 Intercomputer Corporation Secure messaging system
ZA200508074B (en) 2004-10-14 2007-12-27 Microsoft Corp System and methods for providing network quarantine using ipsec
US20060085850A1 (en) 2004-10-14 2006-04-20 Microsoft Corporation System and methods for providing network quarantine using IPsec
KR100759489B1 (ko) 2004-11-18 2007-09-18 삼성전자주식회사 이동통신망에서 공개키 기반구조를 이용한 아이피보안터널의 보안 방법 및 장치
US20060174125A1 (en) * 2005-01-31 2006-08-03 Brookner George M Multiple cryptographic key security device
US20080022392A1 (en) 2006-07-05 2008-01-24 Cisco Technology, Inc. Resolution of attribute overlap on authentication, authorization, and accounting servers
US20090025080A1 (en) 2006-09-27 2009-01-22 Craig Lund System and method for authenticating a client to a server via an ipsec vpn and facilitating a secure migration to ssl vpn remote access
US8429734B2 (en) 2007-07-31 2013-04-23 Symantec Corporation Method for detecting DNS redirects or fraudulent local certificates for SSL sites in pharming/phishing schemes by remote validation and using a credential manager and recorded certificate attributes
WO2009091611A1 (en) * 2008-01-18 2009-07-23 Identrust, Inc. Binding a digital certificate to multiple trust domains
US20100318788A1 (en) * 2009-06-12 2010-12-16 Alexandro Salvarani Method of managing secure communications
US8250866B2 (en) 2009-07-30 2012-08-28 Ford Global Technologies, Llc EGR extraction immediately downstream pre-turbo catalyst

Also Published As

Publication number Publication date
KR101791708B1 (ko) 2017-11-20
CN102612820B (zh) 2016-03-02
JP2013511209A (ja) 2013-03-28
WO2011059774A3 (en) 2011-09-29
EP2499778A4 (en) 2017-01-04
CN102612820A (zh) 2012-07-25
WO2011059774A2 (en) 2011-05-19
US20110113481A1 (en) 2011-05-12
KR20120094926A (ko) 2012-08-27
EP2499778A2 (en) 2012-09-19
US9912654B2 (en) 2018-03-06
EP2499778B1 (en) 2019-08-07

Similar Documents

Publication Publication Date Title
JP5714596B2 (ja) 証明書属性に基づくipセキュリティ証明書交換
CN109413032B (zh) 一种单点登录方法、计算机可读存储介质及网关
EP1914658B1 (en) Identity controlled data center
US20090199277A1 (en) Credential arrangement in single-sign-on environment
CN101099143B (zh) 使用属性证书实现网络设备授权的系统与方法
CN102752319B (zh) 一种云计算安全访问方法、装置及系统
CN1914881B (zh) 用于在网格计算系统中授权卸载网格作业的方法和系统
KR20100029098A (ko) 비보안 네트워크들을 통한 장치 프로비저닝 및 도메인 조인 에뮬레이션
JP2010525471A (ja) 段階的認証システム
CN102916946B (zh) 接入控制方法及系统
JP7403010B2 (ja) 共有化されたリソース識別
CN101675640A (zh) 认证网关的自发起端到端监控
CN114764492B (zh) 基于区块链的sdp访问控制方法及系统
JP7784211B2 (ja) コンピューティング・ネットワークへの許可型ブロックチェーン・アクセスのためのシステムおよび方法
CN111628960B (zh) 用于连接至专用网络上的网络服务的方法和装置
CN102546166A (zh) 一种身份认证方法、系统及装置
CN102694789B (zh) 用于场内富客户端的轻量认证
US8935417B2 (en) Method and system for authorization and access control delegation in an on demand grid environment
US8910250B2 (en) User notifications during computing network access
JP5471150B2 (ja) 認証システム、認証装置、およびこれらの制御方法、ならびに制御プログラム
US8185945B1 (en) Systems and methods for selectively requesting certificates during initiation of secure communication sessions
CN101129043A (zh) 用于将客户机连接到网络的方法、系统和程序产品
CN116094852B (zh) 设备的管理方法、管理装置、计算机设备及存储介质
JP7703173B2 (ja) ユーザ認証に基づくパケット分類を用いる船舶ネットワークの差分セキュリティサービス提供方法及び装置
US12212557B2 (en) Networking device credential information reset system

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20130712

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130719

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131010

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20131010

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141015

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141021

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150116

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150210

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150311

R150 Certificate of patent or registration of utility model

Ref document number: 5714596

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees