JP4882030B1 - 接続先制限システム、接続先制限方法 - Google Patents
接続先制限システム、接続先制限方法 Download PDFInfo
- Publication number
- JP4882030B1 JP4882030B1 JP2011069266A JP2011069266A JP4882030B1 JP 4882030 B1 JP4882030 B1 JP 4882030B1 JP 2011069266 A JP2011069266 A JP 2011069266A JP 2011069266 A JP2011069266 A JP 2011069266A JP 4882030 B1 JP4882030 B1 JP 4882030B1
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- internal network
- connection
- vpn
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】通信管理サーバ11は、キーパケット送信AP21を実行することによって、内部ネットワーク4に対して、キーパケットを間欠的に同報送信する。ローカル端末15(リモート端末16)は、キーパケット受信AP23を実行することによって、内部ネットワーク4に同報送信される情報を受信し、通信管理サーバ11からのキーパケットの受信有無に基づいて、受信フラグを設定する。また、ローカル端末15(リモート端末16)は、接続先制限AP25を実行することによって、受信フラグに基づいて、自らが内部ネットワーク4に物理的に接続されているか否かを判定し、自らが内部ネットワーク4に物理的に接続されていると判定した場合には、論理的な接続要求に対して、接続処理を実行する。
【選択図】図1
Description
(1)ユーザ端末10を起動して社内LANへの接続を試みると、ネットワークへの接続が一旦停止されて、ユーザ端末10が前回動作した環境との対比、又は社内LAN環境との対比が行われる。
(2)前回動作した環境と変化がない場合はそのまま社内LANへの接続が復旧されるが、前回の動作時には社内LAN以外に接続されていたと判断されると、アンチウイルスソフトが最新バージョンであるかを確認した後にウイルス等の検査が行われる。
(3)ユーザ端末10の安全性が確認された後に、社内LANへの接続が復旧される。
(4)社内LAN環境ではないと判断された場合には、そのまま外部ネットワークへ接続する。
第1の発明によって、端末が論理的に直接外部サーバ等に接続することを防止することができる。
これによって、端末が外部ネットワークに物理的に接続されている場合であっても、端末が論理的に直接外部サーバ等に接続することを防止しながら、VPN接続処理によって論理的な接続要求を実行することができる。
これによって、社外において端末を利用するユーザが、管理者から指示されたものとは異なるネットワークアダプタを使用する等によって、正当なVPNサーバ以外のサーバ等にアクセスすることを防止することができる。
第2の発明によって、端末が論理的に直接外部サーバ等に接続することを防止することができる。
最初に、図1〜図3を参照しながら、接続先制限システム1における構成について説明する。
本発明の実施形態では、例えば、OSI(Open Systems
Interconnection)参照モデルにおける物理層レベルの接続を、「物理的な接続」と呼ぶことにする。また、例えば、OSI参照モデルにおけるデータリンク層〜アプリケーション層レベルの接続を、「論理的な接続」と呼ぶことにする。
本発明の実施形態に係る接続先制限システム1では、「論理的な接続」の相手先(例えば、TCP/IPによる通信であれば、IPアドレス及びポート番号)を、セキュアネットワーク(例えば、企業等の内部ネットワーク)内に設置されているコンピュータに限定することを目的としている。
また、リモート端末16が、正当なVPNサーバ14に対するVPN接続処理によって論理的な接続要求を実行する為に必須となる接続先制限システム1の構成は、通信管理サーバ11、VPNサーバ14、及びリモート端末16である。
通信管理サーバ11、業務サーバ12、VPNサーバ14、及びローカル端末15は、内部ネットワーク4に物理的に接続される。ここで、物理的な接続形態は、有線、無線を問わない。
尚、VPN(Virtual Private Network)は、公衆回線をあたかも専用回線であるかのように利用できるサービスであり、内部ネットワーク4と同等のセキュリティが確保されている。
Private Network)サーバ14、ローカル端末15(リモート端末16)、及び外部サーバ17等を実現する為のコンピュータのハードウエア構成について説明する。
コンピュータ30は、制御部31、記憶部32、入力部33、表示部34、通信制御部35等が、バス36を介して接続される。
尚、記憶部32は、USB(Universal Serial Bus)等を介して接続される外部記憶装置(USBメモリ、外付型ハードディスク等)であっても良い。
表示部34は、CRTモニタ、液晶パネル等のディスプレイ装置、ディスプレイ装置と連携してコンピュータ30のビデオ機能を実現するための論理回路等(ビデオアダプタ等)を有する。
通信制御部35は、通信制御装置、通信ポート等を有し、コンピュータ30と内部ネットワーク4又は外部ネットワーク5間の通信を媒介する通信インタフェースであり、内部ネットワーク4又は外部ネットワーク5を介して、他のコンピュータ30間との通信制御を行う。前述の通り、内部ネットワーク4又は外部ネットワーク5は、有線、無線を問わない。
バス36は、各装置間の制御信号、データ信号等の授受を媒介する経路である。
図1に示されている各装置(端末及びサーバ)は、1つであっても良いし、複数であっても良い。また、各サーバは、1つの筐体(コンピュータ30)によって実現されても良いし、複数の筐体によって実現されても良い。例えば、通信管理サーバ11であれば、1つの筐体にキーパケット送信AP(アプリケーションプログラム)21及び通信証跡管理AP22の両方がインストールされても良いし、それぞれ別体の筐体にインストールされても良い。
キーパケット送信AP21は、後述する図4に示す処理を、通信管理サーバ11に実行させる為のアプリケーションプログラムである。
通信管理サーバ11の制御部31は、キーパケット送信AP21を実行することによって、内部ネットワーク4に対して、端末の論理的な接続要求を許可することを示す許可情報(以下、「キーパケット」という。)を間欠的に同報送信する。
キーパケットは、特に限定しないが、例えば、ワンタイムパスワードのように、時間帯によって異なる内容とすることが望ましい。また、キーパケットは、例えば、暗号化して送信し、正規のVPNサーバ14やローカル端末16のみ復号できるものとしても良い。
リミテッドブロードキャストアドレスとは、全てのビットが1となっているIPアドレスのことである。例えば、IPv4(Internet Protocol version 4)であれば、「255.255.255.255」がリミテッドブロードキャストアドレスとなる。リミテッドブロードキャストアドレスを指定してブロードキャスト通信を行うと、送信元が接続されているネットワークセグメント(イーサネット(登録商標)であればコリジョンセグメント)内の全てのコンピュータ30に対してキーパケットが送信される。一方、ルータを介して接続されている他のネットワークセグメントへは送信されない。
ディレクティッドブロードキャストアドレスとは、ネットワークアドレス部は変えずに、ホストアドレス部のビットを全て1にしたIPアドレスである。例えば、IPv4における「192.168.0」というネットワークアドレスに対しては、ホストアドレス部(下位の8ビット)を全て1にした「192.168.0.255」が、ディレクティッドブロードキャストアドレスとなる。ディレクティッドブロードキャストアドレスを指定してブロードキャスト通信を行うと、特定のネットワークアドレス(前述の例では、「192.168.0」)を持つ全てのコンピュータ30に対してキーパケットが送信される。
通信管理サーバ11の制御部31は、通信証跡管理AP22を実行することによって、ローカル端末15(リモート端末16)等の通信証跡ログを記憶する。
キーパケット受信AP23は、後述する図5に示す処理を、VPNサーバ14、ローカル端末15(リモート端末16)等に実行させる為のアプリケーションプログラムである。
VPNサーバ14の制御部31は、キーパケット受信AP23を実行することによって、内部ネットワーク4に同報送信される情報を受信する。また、VPNサーバ14等の制御部31は、通信管理サーバ11からのキーパケットの受信有無に基づいて、RAM等に格納されている受信フラグを「Y」(受信有り)又は「N」(受信無し)に設定する。
VPNサーバ14の制御部31は、VPN接続AP24を実行することによって、VPN接続におけるサーバ側の処理を行う。また、VPNサーバ14の制御部31は、RAM等に格納されている受信フラグに基づいて、自らが内部ネットワーク4に物理的に接続されているか否かを判定する。また、VPNサーバ14の制御部31は、リモート端末16からVPN接続されると、自らが内部ネットワーク4に接続されているか否かの判定結果をリモート端末16に送信する。
キーパケット受信AP23については、前述の通りである。つまり、ローカル端末15(リモート端末16)の制御部31は、キーパケット受信AP23を実行することによって、内部ネットワーク4に同報送信される情報を受信する。また、ローカル端末15(リモート端末16)の制御部31は、通信管理サーバ11からのキーパケットの受信有無に基づいて、RAM等に格納されている受信フラグを「Y」又は「N」に設定する。
ローカル端末15(リモート端末16)の制御部31は、接続先制限AP25を実行することによって、RAM等に格納されている受信フラグに基づいて、自らが内部ネットワーク4に物理的に接続されているか否かを判定する。また、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていると判定した場合には、論理的な接続要求に対して、接続処理を実行する。
接続先制限AP25は、VPNサーバのIPアドレス41、VPNサーバのポート番号42、接続判定プログラム43、ソケットAPI(Application Programming Interface)44等を含む。VPNサーバのIPアドレス41及びVPNサーバのポート番号42は、例えば、管理者のみが読み書き可能な設定ファイルに記憶される。
例えば、コネクション型通信であるTCP通信の場合、TCPクライアントとなるコンピュータ30の制御部31は、通常、ソケットAPI44のsocket関数を呼び出してTCPソケットを生成し、connect関数の引数に論理的な接続先のアドレス情報(IPアドレス及びポート番号)を指定することによって、接続先と通信を開始する。論理的な接続先は、TCPサーバとなるコンピュータ30である。
この仕組みによって、社外3においてリモート端末16を利用するユーザが、管理者から指示されたものとは異なるネットワークアダプタを使用して不正を行おうとしても、接続先制限AP25による接続判定処理を回避することはできない。
これによって、接続先制限AP25がインストールされているコンピュータ30は、VPN接続を行う場合、予め決められた単一のVPNサーバ14のみにアクセスすることになる。
また、接続判定プログラム43には、内部ネットワーク4に物理的に接続されていない場合に、接続先制限AP25以外のアプリケーションが、予め定義されているVPNサーバのIPアドレス41及びVPNサーバのポート番号42を利用してVPN接続をできないようにする機能も含まれている。これによって、不正なアプリケーションがVPNサーバのIPアドレス41及びVPNサーバのポート番号42を利用して不正な通信をすることを防ぐ。
外部サーバ17は、インターネットにおけるWWW(World Wide Web)サーバ等である。外部サーバ17は、ローカル端末15(リモート端末16)等からのHTTP(HyperText Transfer Protocol)要求に対して、応答処理を実行し、HTTP応答を返信する。
例えば、図5及び図6(図6は一部)に示す処理は、共にローカル端末15(リモート端末16)が実行する。そこで、ローカル端末15(リモート端末16)は、マルチタスク(CPUの処理時間を短い単位に分割し、複数の処理を同時に行っているように見せるOSの仕組み)によって、両者の処理をほぼ同時に実行する。また、他にも、単一の装置が実行し、かつ時系列的に重複する処理については、同様にマルチタスクによって実現される。
通信管理サーバ11の制御部31は、内部ネットワーク4に対して、キーパケットを同報送信する(S101)。そして、通信管理サーバ11の制御部31は、所定時間待機し(S102)、S101の処理を繰り返す。
VPNサーバ14、ローカル端末15(リモート端末16)の制御部31は、キーパケットを監視し(S201)、所定時間内にキーパケットを受信したかどうか確認する(S202)。
ローカル端末15(リモート端末16)の制御部31は、ユーザの操作などによって論理的な接続要求を受け付けると(S301)、自らのRAM等に格納されている受信フラグを確認する(S302)。
ローカル端末15(リモート端末16)の制御部31は、VPNサーバ14の受信フラグを確認する(S306)。
S308におけるエラー処理では、ローカル端末15(リモート端末16)の制御部31は、例えば、内部ネットワーク4に物理的に接続されていないこと、及び、正当なVPNサーバ14に接続されていないことを示すメッセージを表示部34に表示する。
図7に示す処理の前提として、ローカル端末15(リモート端末16)は、図6に示す接続処理(VPN接続処理)が実行されているものとする。また、ローカル端末15(リモート端末16)による論理的な接続要求は、全て通信管理サーバ11を介して、外部サーバ17に送信されるものとする。
通信管理サーバ11の制御部31は、通信証跡ログを記憶し(S402)、HTTP要求を外部サーバ17に送信する(S403)。
通信管理サーバ11の制御部31は、通信証跡ログを記憶し(S406)、HTTP応答をローカル端末15(リモート端末16)に送信する(S407)。リモート端末16の場合、HTTP応答は必ずVPNサーバ14を介して送信される。
ローカル端末15(リモート端末16)の制御部31は、HTTP応答に基づいて画面を表示部34に表示する(S408)。
4………内部ネットワーク
5………外部ネットワーク
11………通信管理サーバ
12………業務サーバ
13………ファイアウォール
14………VPNサーバ
15………ローカル端末
16………リモート端末
17………外部サーバ
21………キーパケット送信AP
22………通信証跡管理AP
23………キーパケット受信AP
24………VPN接続AP
25………接続先制限AP
Claims (4)
- 内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに前記内部ネットワークに物理的に接続される通信管理サーバを有し、前記端末の論理的な接続先を制限する接続先制限システムであって、
前記通信管理サーバは、
前記内部ネットワークに対して、前記端末の論理的な接続要求を許可することを示す許可情報を間欠的に同報送信する同報送信手段、
を具備し、
前記端末は、
前記内部ネットワークに同報送信される情報を受信する第1同報受信手段と、
前記第1同報受信手段によって前記許可情報が受信されると、自らが前記内部ネットワークに物理的に接続されていると判定する第1判定手段と、
前記第1判定手段によって自らが前記内部ネットワークに物理的に接続されていると判定した場合には、前記論理的な接続要求に対して、接続処理を実行する第1接続手段と、
を具備することを特徴とする接続先制限システム。 - 前記接続先制限システムは、更に、前記内部ネットワークに物理的に接続されるVPNサーバを有し、
前記VPNサーバは、
前記内部ネットワークに同報送信される情報を受信する第2同報受信手段と、
前記第2同報受信手段によって前記許可情報が受信されると、自らが前記内部ネットワークに物理的に接続されていると判定する第2判定手段と、
前記端末からVPN接続要求を受信すると、前記第2判定手段による判定結果を前記端末に送信する送信手段、
を具備し、
前記端末は、
前記第1判定手段によって自らが前記内部ネットワークに物理的に接続されていないと判定した場合には、前記VPNサーバに対して前記VPN接続要求を送信し、更に、前記VPNサーバから、前記VPNサーバが前記内部ネットワークに物理的に接続されている旨の判定結果を受信すると、正当な前記VPNサーバに接続されていると判定する第3判定手段と、
前記第3判定手段によって正当な前記VPNサーバに接続されていると判定した場合には、前記論理的な接続要求に対して、VPN接続処理を実行する第2接続手段と、
を具備することを特徴とする請求項1に記載の接続先制限システム。 - 前記第1接続手段及び前記第2接続手段が、常に前記論理的な接続要求に対する応答を行うとともに、
前記第3判定手段は、前記端末に予め記憶される前記VPNサーバのアドレス情報のみによって前記VPN接続を行う
ことを特徴とする請求項2に記載の接続先制限システム。 - 内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに前記内部ネットワークに物理的に接続される通信管理サーバを有し、前記端末の論理的な接続先を制限する接続先制限システムにおける接続先制限方法であって、
前記通信管理サーバが、前記内部ネットワークに対して、前記端末の論理的な接続要求を許可することを示す許可情報を間欠的に同報送信する第1ステップと、
前記端末が、前記内部ネットワークに同報送信される情報を受信する第2ステップと、
前記端末が、前記第2ステップにおいて前記許可情報を受信すると、自らが前記内部ネットワークに物理的に接続されていると判定する第3ステップと、
前記端末が、前記第3ステップにおいて自らが前記内部ネットワークに物理的に接続されていると判定した場合には、前記論理的な接続要求に対して、接続処理を実行する第4ステップと、
含むことを特徴とする接続先制限方法。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011069266A JP4882030B1 (ja) | 2011-03-28 | 2011-03-28 | 接続先制限システム、接続先制限方法 |
PCT/JP2012/054709 WO2012132697A1 (ja) | 2011-03-28 | 2012-02-27 | 接続先制限システム、接続先制限方法、端末設定制御システム、端末設定制御方法、及びプログラム |
CN201280000402.0A CN102822838B (zh) | 2011-03-28 | 2012-02-27 | 连接目的地限制***、连接目的地限制方法、终端设定控制***、终端设定控制方法以及程序 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011069266A JP4882030B1 (ja) | 2011-03-28 | 2011-03-28 | 接続先制限システム、接続先制限方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP4882030B1 true JP4882030B1 (ja) | 2012-02-22 |
JP2012203760A JP2012203760A (ja) | 2012-10-22 |
Family
ID=45851239
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011069266A Expired - Fee Related JP4882030B1 (ja) | 2011-03-28 | 2011-03-28 | 接続先制限システム、接続先制限方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4882030B1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP4064091A1 (en) | 2021-03-25 | 2022-09-28 | FUJIFILM Business Innovation Corp. | Information processing system, server, information processing apparatus, program, and information processing method |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6470597B2 (ja) * | 2015-03-10 | 2019-02-13 | 株式会社日立ソリューションズ | キャプティブポータル対応のvpn通信端末、その通信制御方法及びそのプログラム |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0918483A (ja) * | 1995-06-26 | 1997-01-17 | Sharp Corp | 無線通信ネットワークシステム |
JP2003318992A (ja) * | 2002-04-26 | 2003-11-07 | Fujitsu Ltd | ゲートウェイ、通信端末装置、および通信制御プログラム |
JP2009253811A (ja) * | 2008-04-09 | 2009-10-29 | Nec Corp | 端末装置、ネットワーク接続方法及びプログラム |
JP2011204056A (ja) * | 2010-03-26 | 2011-10-13 | Nomura Research Institute Ltd | 使用管理システムおよび使用管理方法 |
-
2011
- 2011-03-28 JP JP2011069266A patent/JP4882030B1/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0918483A (ja) * | 1995-06-26 | 1997-01-17 | Sharp Corp | 無線通信ネットワークシステム |
JP2003318992A (ja) * | 2002-04-26 | 2003-11-07 | Fujitsu Ltd | ゲートウェイ、通信端末装置、および通信制御プログラム |
JP2009253811A (ja) * | 2008-04-09 | 2009-10-29 | Nec Corp | 端末装置、ネットワーク接続方法及びプログラム |
JP2011204056A (ja) * | 2010-03-26 | 2011-10-13 | Nomura Research Institute Ltd | 使用管理システムおよび使用管理方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP4064091A1 (en) | 2021-03-25 | 2022-09-28 | FUJIFILM Business Innovation Corp. | Information processing system, server, information processing apparatus, program, and information processing method |
Also Published As
Publication number | Publication date |
---|---|
JP2012203760A (ja) | 2012-10-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10601780B2 (en) | Internet isolation for avoiding internet security threats | |
ES2806379T3 (es) | Aislamiento de seguridad virtualizado basado en hardware | |
KR100901271B1 (ko) | 통신 시스템, 자격 심사/설정용 네트워크, 통신 디바이스및 네트워크 접속 방법 | |
US7540013B2 (en) | System and methodology for protecting new computers by applying a preconfigured security update policy | |
JP5180278B2 (ja) | 複数モバイル装置上での協働的なマルウェア検出および防止 | |
US20080098478A1 (en) | System, Method and Computer Program Product for Administering Trust Dependent Functional Control over a Portable Endpoint Security Device | |
EP2754084B1 (en) | Per process networking capabilities | |
JP2016537894A (ja) | 局所/ホームネットワークのためのセキュリティゲートウェイ | |
WO2012132697A1 (ja) | 接続先制限システム、接続先制限方法、端末設定制御システム、端末設定制御方法、及びプログラム | |
JP4882030B1 (ja) | 接続先制限システム、接続先制限方法 | |
WO2021173252A1 (en) | Encrypted overlay network for physical attack resiliency | |
US12058171B1 (en) | System and method to create disposable jump boxes to securely access private applications | |
JP2011018347A (ja) | 通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法 | |
JP2019092106A (ja) | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム | |
JP7151552B2 (ja) | 支援制御装置、支援制御プログラム、及び支援制御システム | |
US10887399B2 (en) | System, method, and computer program product for managing a connection between a device and a network | |
JP5540679B2 (ja) | ネットワーク機器、通信制御方法、及びプログラム | |
JP5248445B2 (ja) | 通信エージェント、検疫ネットワークシステム | |
Susom | Efficient Usage of Hardware & Software to Accommodate New Technology and Establishment of Virtual Private Network | |
JP2012199758A (ja) | 検疫管理装置、検疫システム、検疫管理方法、およびプログラム | |
Bergstrand et al. | Localization of Spyware in Windows Environments | |
NZ613570B2 (en) | Internet isolation for avoiding internet security threats | |
KR20090051959A (ko) | 레지스트리 변경 프락시 해킹 방법 및 그 방지 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20111124 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111129 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111205 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4882030 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141209 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |