JP3864743B2 - ファイアウォール装置、情報機器および情報機器の通信方法 - Google Patents

ファイアウォール装置、情報機器および情報機器の通信方法 Download PDF

Info

Publication number
JP3864743B2
JP3864743B2 JP2001308155A JP2001308155A JP3864743B2 JP 3864743 B2 JP3864743 B2 JP 3864743B2 JP 2001308155 A JP2001308155 A JP 2001308155A JP 2001308155 A JP2001308155 A JP 2001308155A JP 3864743 B2 JP3864743 B2 JP 3864743B2
Authority
JP
Japan
Prior art keywords
network
communication
firewall
home
ipv6 address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2001308155A
Other languages
English (en)
Other versions
JP2003115880A (ja
JP2003115880A5 (ja
Inventor
周之 岡本
浩道 伊藤
成人 大條
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2001308155A priority Critical patent/JP3864743B2/ja
Priority to US10/198,978 priority patent/US7392538B2/en
Publication of JP2003115880A publication Critical patent/JP2003115880A/ja
Publication of JP2003115880A5 publication Critical patent/JP2003115880A5/ja
Application granted granted Critical
Publication of JP3864743B2 publication Critical patent/JP3864743B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、ファイアウォールの内側と外側のネットワークに接続された情報機器が、互いに安全に通信を行うための装置および通信方法に関する。
【0002】
【従来の技術】
近年、情報機器間の通信においては、インターネットの標準プロトコルであるIPプロトコルが事実上の標準プロトコルであり、家庭内でもIPプロトコルが使われている。番号の枯渇、セキュリティなどを考慮して、ファイアウォールの内側にある、情報セキュリティ上安全なネットワーク(以下、宅内ネットワーク)では、接続している情報機器(以下、宅内機器)にローカルアドレスを割り当てて識別し、ファイアウォールの外側のネットワーク(以下、宅外ネットワーク)に接続している情報機器(以下、宅外機器)と通信する場合には、ファイアウォールにてローカルアドレスをグローバルアドレスに変換している。
また、IPsec(IP Security)に代表されるセキュリティ通信プロトコルは、通信する端末間で作用する。
また、家庭内の情報機器全てを、宅内ネットワークに接続している。
【0003】
【発明が解決しようとする課題】
上記のような技術では、通信の度に宅内機器のアドレスが変わることがあり、宅外機器から通信を開始することができない。
また、安全に通信を行なうためには、セキュリティ通信機能を実装する必要があり、宅内ネットワークを安全に保つためには、宅外機器と通信を行なう全ての宅内機器にセキュリティ通信機能が必要となる。
また、PCは高機能を持つため多様な接続手段や他の機器の操作が可能である。このためファイアウォールにて外部からの不正アクセスを排除しても、一旦PCにウィルスが感染すると宅内機器に被害が及ぶ恐れがある。
また、インターネットサービスプロバイダを変更した場合、割り当てられるアドレスが変わってしまい、全ての宅内機器のアドレスを設定をしなおす必要がある。
また、宅内機器が、受信したメッセージの送信元の機器が属するネットワークを知るためには、メッセージの経路履歴を調べる機能などを実装する必要がある。
【0004】
【課題を解決するための手段】
上記課題を解決するため、本発明では、IPプロトコルとしてIPv6を用い、ファイアウォールにおいてIPv6アドレスの変換を行なう。IPv6アドレスは128ビット長であり、一般に上位の64ビットはネットワークの識別子として使い、プレフィクスと呼ぶ。下位の64ビットはネットワークにおける機器の識別子として使い、インタフェイスIDと呼ぶ。プレフィクスは、機器が接続しているネットワークを元に生成し、インタフェイスIDは、ステートレスアドレス自動設定機能を利用して、通信対象である宅内機器のMACアドレス(Media Access Controlアドレス)から生成する。IPv6アドレスの変換はプレフィクスのみに施し、返還前のプレフィクスは宅外ネットワークを元に、また、変換後のプレフィクスは宅内ネットワークを元に生成する。
【0005】
以上のアドレス変換方式を用いれば、宅外機器から宅内機器を個別に指定することができるため、宅外機器から通信を開始することができる。また、宅外機器と宅内機器との通信は必ずファイアウォールを経由するため、機器に被害を及ぼす恐れのある行為を監視し、被害を防ぐことができる。
また、本発明では、宅外機器との相互認証などの高度なセキュリティ通信機能はファイアウォールに実装し、宅内機器には必要最小限のセキュリティ通信機能のみを実装する。宅内機器全てに高度なセキュリティ通信機能を実装することなく、宅内ネットワークを安全に保って宅外機器との通信を行なうことができる。
また、本発明では、PCを宅内ネットワークとは異なるネットワークに接続し、PCと宅内機器との通信は常にファイアウォールを経由して行なう。PCがウィルスに感染しても、容易に宅内機器に被害が及ぶことがなくなる。
また、インターネットサービスプロバイダを変更しても、ファイアウォールのアドレスを変更するだけでよく、宅内機器のアドレスは変更する必要がない。
また、宅内機器は、受信したメッセージの送信元アドレスのプレフィクス部分を取り出す機能を実装するだけで、受信したメッセージが宅内ネットワークに接続している機器からのメッセージかどうかを容易に判別できる。
【0006】
【発明の実施の形態】
以下に、本発明の一実施形態を説明する。
まず、本実施形態の通信システムの構成概要について図1を用いて説明する。
図1において、1は宅外機器である。宅外機器とは、ファイアウォールの外側のネットワークに接続された情報機器のことで、一般的に家屋の外部にある。宅外機器1の例としては、サーバ、PC、携帯電話、PDA、などがある。2はファイアウォールである。家屋の内部と外部のネットワークを接続する機器であり、主に不正な通信の監視と、IPv6アドレス変換の役目を負う。3は宅内機器である。宅内機器とはファイアウォール2の内側のネットワークに接続された情報機器のことで、宅内機器3の例としては、エアコン、冷蔵庫、電子レンジ、センサ機器、ビデオ、電話機など、通信機能を持った家電製品や電子機器がある。4はPC(パーソナルコンピュータ)である。5は宅外ネットワークであり、宅外機器1とファイアウォール2を接続している。6は宅内ネットワークであり、宅内機器3とファイアウォール2を接続している。7はPC用宅内ネットワークであり、PC4とファイアウォール2を接続している。
【0007】
次に、上記の通信システムで用いる機器の識別用IPv6アドレスの構成について図2を用いて説明する。
図2に示すように、IPv6アドレス801は、上位64ビットのプレフィクス802と、下位64ビットのインタフェイスID803とで構成されている。
プレフィクス802は、IPv6アドレスが指し示す機器が接続しているネットワークの識別子として使い、インタフェイスID803は、前記ネットワークにおける前記機器の識別子として使う。インタフェイスID803は、ステートレスアドレス自動設定機能を利用して、前記機器のMACアドレスから生成する。
【0008】
次に、上記の通信システムを構成する各装置について説明する。なお、PC4については一般的な機器であるため、説明は省略する。また、宅外機器1としてサーバを、宅内機器3としてエアコンを例にとって説明する。
図3は、本実施形態の宅外機器1の概略構成を示した図である。
図3に示す様に本実施形態の宅外機器1は、CPU101と、メモリ102と、磁気ディスク装置103と、入力装置104と、出力装置105と、CD−ROM装置106と、通信装置107とを有している。
【0009】
CPU101は、宅外機器1全体の動作を制御する装置である。メモリ102は、宅外機器1全体の動作を制御する際に、その為の各種処理プログラムやデータをロードする記憶装置である。磁気ディスク装置103は、前記各種処理プログラムやデータを格納しておく記憶装置である。入力装置104は、前記各種プログラムの実行に関する設定や制御をする為の各種入力を行う装置である。出力装置105は、前記各種プログラムの実行や前記各種入力に伴う各種出力を行う装置である。CD−ROM装置106は、前記各種処理プログラムを記録したCD−ROMの内容を読み出す装置である。通信装置107は、宅外ネットワーク5を介してファイアウォール2との通信を行う装置である。
【0010】
また、宅外機器1は、宅外ネットワークIPv6アドレス生成処理部111と、セキュリティ通信処理部112と、MACアドレス入手処理部113と、宅外ネットワークIPv6アドレス保持部114とを有している。
宅外ネットワークIPv6アドレス生成処理部111は、ファイアウォール2が接続している宅外ネットワーク5を元にプレフィクス802を生成し、ステートレスアドレス自動設定機能を利用して、通信対象である宅内機器3のMACアドレスからインタフェイスID803を生成し、前記プレフィクス802と前記インタフェイスID803から宅外ネットワークIPv6アドレスを生成する処理部である。
【0011】
セキュリティ通信処理部112は、通信装置107を用いて宅外ネットワーク5を介してファイアウォール2と通信する際に、暗号や認証を用いて情報セキュリティ上安全に通信する処理部である。
MACアドレス入手処理部113は、通信対象である宅内機器3のMACアドレスを入手する処理部である。エアコンメーカの販売記録、ユーザ登録データベースなどから入手する。アドレスのディレクトリサービスなどを利用してもよい。
通信装置107を利用して宅外ネットワーク経由で入手してもよいし、入力装置104を利用して
人間が入力してもよい。
【0012】
宅外ネットワークIPv6アドレス保持部114は、通信対象である宅内機器3を宅外ネットワーク5上で識別するための宅外ネットワークIPv6アドレスを保持している保持部である。
宅外機器1を宅外ネットワークIPv6アドレス生成処理部111、セキュリティ通信処理部112、MACアドレス入手処理部113、および宅外ネットワークIPv6アドレス保持部114として機能させる為のプログラムは、CD−ROM等の記録媒体に記録され磁気ディスク103等に格納された後、メモリ102にロードされて実行されるものとする。なお前記プログラムを記録する記録媒体はCD−ROM以外の他の記録媒体でも良い。
【0013】
図4は、本実施形態のファイアウォール2の概略構成を示した図である。
図4に示す様に本実施形態のファイアウォール2は、CPU201と、記憶装置202と、通信装置203とを有している。
CPU201は、ファイアウォール全体の動作を制御する装置である。
記憶装置202は、ファイアウォール2全体の動作を制御するための各種処理プログラムやデータを記憶する装置である。通信装置203は、宅外ネットワーク5を介して宅外機器1との通信を行い、宅内ネットワーク6を介して宅内機器3との通信を行う装置である。
【0014】
また、ファイアウォール2は、IPv6アドレス変換処理部211と、セキュリティ通信処理部212と、宅内機器登録処理部213と、宅内ネットワーク防御処理部214と、宅内機器データベース215と、宅内ネットワークIPv6アドレス生成処理部216とを有している。
IPv6アドレス変換処理部211は、宅外ネットワーク5を介して通信装置203が受信した、宅外機器1から宅内機器3へのメッセージの宛先IPv6アドレスについて、プレフィクス部分を、宅内ネットワーク6を元に生成したプレフィクスに変換し、宅内ネットワーク6を介して通信装置203が受信した宅内機器3から宅外機器1へのメッセージの送信元IPv6アドレスについてプレフィクス部分を宅外ネットワーク5を元に作成したプレフィクスに変換する処理部である。
【0015】
セキュリティ通信処理部212は、通信装置203を用いて宅外ネットワーク5を介して宅外機器1と通信する際に、暗号や認証を用いて情報セキュリティ上安全に通信する処理部である。
宅内機器登録処理部213は、宅内機器3を新規に宅内ネットワーク6に接続する際、情報セキュリティ上安全であることを確認し、前記宅内機器3の宅内ネットワークIPv6アドレスを宅内機器データベース215に登録する処理部である。データの読み出し、遠隔操作、プログラムの書き換えなど、前記宅内機器3に対して操作、保守を行なう権限を持った宅外機器1の識別情報を登録する処理も行なう。
【0016】
宅内機器データベース215は、宅内機器登録処理部213から送られた、前記宅内機器3の宅内ネットワークIPv6アドレスや、宅外機器1の識別情報を蓄積するデータベースである。宅内ネットワーク6上での通信において暗号や認証を用いる場合の、鍵情報やプロトコル情報などのセキュリティ通信に必要な情報も蓄積する。
宅内ネットワーク防御処理部214は、宅外機器1と宅内機器3との通信において、機器の動作に悪影響をおよぼす処理や秘密情報の漏洩を行なう処理などを監視し、被害を未然に防ぐ処理部である。セキュリティ通信処理部212により安全であることが確認されていない宅外機器1から宅内ネットワーク6上への通信、および、宅内機器データベース215に登録されていない宅内機器3から宅外ネットワーク5上への通信、を遮断することで、不当な操作、機器の成りすまし、通信路上でのデータの覗き見、データの改ざんなどの被害を防ぐ。
【0017】
宅内ネットワークIPv6アドレス生成処理部216は、宅内機器3が接続している宅内ネットワーク6を元にプレフィクス802を生成し、ステートレスアドレス自動設定機能を利用して、宅内機器3のMACアドレスからインタフェイスID803を生成し、前記プレフィクス802と前記インタフェイスID803から宅内ネットワークIPv6アドレスを生成する処理部である。
【0018】
図5は、本実施形態の宅内機器3の概略構成を示した図である。
図5に示す様に本実施形態の宅内機器3は、CPU301と、記憶装置302と、通信装置303と、エアコン処理装置304とを有している。
CPU301は、宅内機器3および全体の動作を制御する装置である。記憶装置302は、宅内機器3全体の動作を制御するための各種処理プログラムやデータを記憶する装置である。通信装置303は、宅内ネットワーク6を介してファイアウォール2との通信を行う装置である。エアコン処理装置304は、宅内機器3に固有な処理であるエアコン機能の処理装置である。なお、本実施形態では、宅内機器3としてエアコンを例に取って説明しているが、エアコンでなくともよい。この場合は、エアコン処理装置304が、宅内機器3に固有な機能の処理装置に置き換わる。
【0019】
また、宅内機器3は、MACアドレス保持部311と、宅内ネットワークIPv6アドレス生成処理部312と、宅内ネットワークIPv6アドレス保持部313とを有している。
MACアドレス保持部311は、宅内機器3に固有に割り当てられているMACアドレスを保持している保持部である。
宅内ネットワークIPv6アドレス生成処理部312は、宅内機器3が接続している宅内ネットワーク6を元にプレフィクス802を生成し、ステートレスアドレス自動設定機能を利用して、MACアドレス保持部311にある宅内機器3のMACアドレスからインタフェイスID803を生成し、前記プレフィクス802と前記インタフェイスID803から宅内ネットワークIPv6アドレスを生成する処理部である。
【0020】
宅内ネットワークIPv6アドレス保持部313は、宅内機器3を宅内ネットワーク6上で識別するための宅内ネットワークIPv6アドレスを保持している保持部である。宅内ネットワークIPv6アドレス保持部313が宅内ネットワークIPv6アドレスを保持していると、IPv6プロトコルを利用して通信できる。
【0021】
次に、上記の通信システムの動作について説明する。
まず、登録作業、セキュリティ通信路の確保など、通常の通信に先立ち行われる事前準備の動作について説明する。
図6および図7は、宅内機器3とファイアウォール2の事前準備の動作の概略を説明するためのフロー図である。宅内ネットワークIPv6アドレス生成の処理を、宅内機器3が行なう場合を図6に、ファイアウォール2が行なう場合を図7に示す。
まず、宅内ネットワークIPv6アドレス生成の処理を宅内機器3が行なう場合を図6を用いて説明する。
【0022】
まず、宅内機器3を新規に宅内ネットワーク6に接続する(ステップ1001)。次に、宅内ネットワークIPv6アドレス生成処理部312が、宅内ネットワーク6上の他の機器から宅内ネットワーク6の識別情報を入手し(ステップ1002)、MACアドレス保持部311が保持している宅内機器3自身のMACアドレスと、前記ネットワークの識別情報から、宅内ネットワークIPv6アドレスを生成する(ステップ1003)。次に、通信装置303が宅内ネットワーク6を介してファイアウォール2に前記宅内ネットワークIPv6アドレスを送信する(ステップ1004)。ここで、送信する情報は、宅内ネットワークIPv6アドレスの他、宅内機器3に対して操作、保守を行なう権限を持った宅外機器1の識別情報、宅内ネットワーク6上での通信において暗号や認証を用いる場合の鍵情報など、セキュリティ通信に必要な情報を含む場合がある。次に、宅内ネットワークIPv6アドレス保持部313に、前記生成した宅内ネットワークIPv6アドレスを格納する(ステップ1005)。
【0023】
次に、前記宅内機器3が送信した情報を、宅内ネットワーク6を介してファイアウォール2の通信装置203が受信する(ステップ1006)。次に、前記通信装置203が受信した情報を、宅内機器登録処理部213が宅内機器データベース215に登録する(ステップ1007)。
【0024】
次に、宅内ネットワークIPv6アドレス生成の処理をファイアウォール2が行なう場合を図7を用いて説明する。
まず、宅内機器3を新規に宅内ネットワーク6に接続する(ステップ2001)。次に、MACアドレス保持部311が保持している宅内機器3自身のMACアドレスを、通信装置303が宅内ネットワーク6を介してファイアウォール2に送信する(ステップ2002)。ここで、送信する情報は、MACアドレスの他、宅内機器3に対して操作、保守を行なう権限を持った宅外機器1の識別情報、宅内ネットワーク6上での通信において暗号や認証を用いる場合の鍵情報など、セキュリティ通信に必要な情報を含む場合がある。
【0025】
次に、前記宅内機器3が送信した情報を、宅内ネットワーク6を介してファイアウォール2の通信装置203が受信する(ステップ2003)。次に、宅内ネットワークIPv6アドレス生成処理部216が、宅内ネットワーク6の識別情報を入手し(ステップ2004)、前記通信装置203が受信した宅内機器3のMACアドレスと、前記宅内ネットワーク6の識別情報から、宅内ネットワークIPv6アドレスを生成する(ステップ2005)。次に、通信装置203が前記生成した宅内ネットワークIPv6アドレスを、宅内ネットワーク6を介して宅内機器3に送信する(ステップ2006)。次に、前記生成した宅内ネットワークIPv6アドレスと、前記通信装置203が受信した情報とを、宅内機器登録処理部213が宅内機器データベース215に登録する(ステップ2007)。
次に、前記ファイアウォール2が送信した宅内ネットワークIPv6アドレスを、宅内ネットワーク6を介して宅内機器3の通信装置303が受信する(ステップ2008)。次に、宅内ネットワークIPv6アドレス保持部313に、前記受信した宅内ネットワークIPv6アドレスを格納する(ステップ2009)。
【0026】
図8は、宅外機器1とファイアウォール2の事前準備の動作の概略を説明するためのフロー図である。
まず、宅外機器1のMACアドレス入手処理部113は、通信対象である宅内機器3のMACアドレスを入手する(ステップ3001)。通信装置107を利用して宅外ネットワーク5経由で入手してもよいし、入力装置104を利用して人間が入力してもよい。エアコンメーカの販売記録、ユーザ登録データベースなどから入手してもよいし、宅外ネットワーク5を介してアドレスのディレクトリサービスなどを利用してもよい。次に、宅外ネットワークIPv6アドレス生成処理部111は、宅外ネットワーク5の識別情報を入手し、前記MACアドレス入手処理部113が入手した宅内機器3のMACアドレスと、前記宅外ネットワーク5の識別情報から、宅外ネットワークIPv6アドレスを生成する(ステップ3002)。ここで、宅外ネットワーク5を介してアドレスのディレクトリサービスなどを利用してもよい。次に、宅外ネットワークIPv6アドレス保持部114に、前記生成した宅外ネットワークIPv6アドレスを格納する(ステップ3003)。次に、宅外機器1の通信装置107は、宅外ネットワーク5を介してファイアウォール2に通信開始要求を送信する(ステップ3004)。
【0027】
次に、ファイアウォール2の通信装置203は、前記通信開始要求を受信し(ステップ3005)、セキュリティ通信処理部212に受け渡す。次に、セキュリティ通信処理部212は、通信装置203と宅外ネットワーク5を介して宅外機器1にセキュリティ通信路の確保要求を送信する(ステップ3006)。ここで、前記セキュリティ通信路の確保要求は、通信において暗号や認証を用いる場合の鍵情報やプロトコルなど、セキュリティ通信に必要な情報を含む。
【0028】
次に、宅外機器1の通信装置107は、前記セキュリティ通信路の確保要求を受信し(ステップ3007)、セキュリティ通信処理部112に受け渡す。次に、セキュリティ通信処理部112は、前記受け渡された要求に従い、セキュリティ通信路の確保準備を行なう(ステップ3008)。次に、セキュリティ通信路の確保準備完了通知を、通信装置107と宅外ネットワーク5を介してファイアウォール2に送信する(ステップ3009)。
【0029】
次に、ファイアウォール2の通信装置203は、前記セキュリティ通信路の確保準備完了通知を受信し(ステップ3010)、セキュリティ通信処理部212に受け渡す。次に、セキュリティ通信処理部212は、セキュリティ通信路の確保を行なう(ステップ3011)。
これ以降、宅外機器1とファイアウォール2との間でセキュリティ通信路が確保され、暗号や認証を用いて安全に通信を行なうことができる。
【0030】
次に、宅外機器1と宅内機器3との間で行なわれる通常の通信の動作について説明する。この通信に先立ち、図6または図7、および図8で説明した事前準備が完了しているものとする。
図9は、宅外機器1と宅内機器3との間で行なわれる通常の通信の動作の概略を説明するためのフロー図である。
まず、宅外機器1の通信装置107が、宅外ネットワーク5を介してファイアウォール2に、送信元が宅外機器1のIPv6アドレスであり送信先が宅外ネットワークIPv6アドレスである、処理要求メッセージを送信する(ステップ4001)。
【0031】
次に、ファイアウォール2の通信装置203は前記宅外機器1からの処理要求メッセージを受信し(ステップ4002)、宅内ネットワーク防御処理部214に受け渡す。次に、宅内ネットワーク防御処理部214は、メッセージに含まれる処理内容が安全なものかどうか確認し、また、宅内機器データベース215を参照して、送信元である宅外機器1が送信先である宅内機器3に対して前記処理を行なう権限があるかどうかを確認する(ステップ4003)。確認の結果、問題があった場合(ステップ4003のNo)、ファイアウォール2は処理を終了する。確認の結果、問題がなかった場合(ステップ4003のYes)、IPv6アドレス変換処理部211が、送信先を宅外ネットワークIPv6アドレスから宅内ネットワークIPv6アドレスに変換する(ステップ4004)。次に、ファイアウォール2の通信装置203が、宅内ネットワーク6を介して宅内機器3に、送信元が宅外機器1のIPv6アドレスであり送信先が宅内ネットワークIPv6アドレスである、処理要求メッセージを送信する(ステップ4005)。
【0032】
次に、宅内機器3の通信装置303は前記ファイアウォール2からのメッセージを受信する(ステップ4006)。次に、エアコン処理装置304が、暖房運転の開始、などの宅内機器3に固有の処理を行う(ステップ4007)。次に、宅内機器3の通信装置303が、宅内ネットワーク6を介してファイアウォール2に、送信元が宅内ネットワークIPv6アドレスであり送信先が宅外機器1のIPv6アドレスである、前記処理要求メッセージに対する応答メッセージを送信する(ステップ4008)。
【0033】
次に、ファイアウォール2の通信装置203は前記宅内機器3からの応答メッセージを受信し(ステップ4009)、宅内ネットワーク防御処理部214に受け渡す。次に、宅内ネットワーク防御処理部214は、メッセージに含まれる情報が安全なものかどうか確認し、また、宅内機器データベース215を参照して、送信先である宅外機器1が送信元である宅内機器3の情報を得る権限があるかどうかを確認する(ステップ4010)。確認の結果、問題があった場合(ステップ4010のNo)、ファイアウォール2は処理を終了する。確認の結果、問題がなかった場合(ステップ4010のYes)、IPv6アドレス変換処理部211が、送信元を宅内ネットワークIPv6アドレスから宅外ネットワークIPv6アドレスに変換する(ステップ4011)。次に、ファイアウォール2の通信装置203が、宅外ネットワーク5を介して宅外機器1に、送信元が宅外ネットワークIPv6アドレスであり送信先が宅外機器1のIPv6アドレスである、応答メッセージを送信する(ステップ4012)。
次に、宅外機器1の通信装置107は前記ファイアウォール2からの応答メッセージを受信する(ステップ4013)。
【0034】
次に、本実施形態の宅内機器データベース215について説明する。
図10は、本実施形態の宅内機器データベース215の例を示した図である。
宅内機器データベース215には、宅内ネットワーク6に接続している宅内機器3の宅内ネットワークIPv6アドレス901、データの読み出し、遠隔操作、プログラムの書き換えなど、前記宅内機器3に対して操作、保守を行なう権限を持った宅外機器1の識別情報902、宅内ネットワーク6上での通信において暗号や認証を用いる場合の鍵情報やプロトコル情報などのセキュリティ通信に必要な情報903が格納されている。
【0035】
次に、PC4を家屋で用いる場合について、図1を用いて説明する。
PC4は、宅内ネットワーク6とは異なる、PC用宅内ネットワーク7に接続する。PC用宅内ネットワーク7を元にプレフィクス802を生成し、ステートレスアドレス自動設定機能を利用して、PC4のMACアドレスからインタフェイスID803を生成し、前記プレフィクス802と前記インタフェイスID803からPC4のIPv6アドレスを生成する。
PC4と宅内機器3との通信は、接続しているネットワークが異なるため、必ずファイアウォール2を介して行う。宅内機器3にとっては、PC4は宅外機器1と同じ扱いとする。なお、ここではPCを例にとって説明したが、PCと同じようにウィルスなどに感染する恐れのある機器であれば同様である。
【0036】
以上、本発明の一実施形態について説明した。
本実施形態によれば、宅内ネットワーク6はファイアウォール2のみが外部と接続しており、宅内ネットワーク6上では宅内機器3の確認をファイアウォール2が行なう。また、宅外ネットワーク5上の通信は、宅外機器1とファイアウォール2との間でセキュリティ通信路の確保を行なう。以上のことより、宅外機器1と宅内機器3とは安全に通信を行なうことができる。また、以上のことにより、宅内機器3にはセキュリティ通信機能の実装が不要となる。
また、本実施形態によれば、IPv6を用いた通信を行い、ファイアウォール2においてIPv6アドレスのプレフィクス802に変換を施す。これにより、宅外機器1が、通信対象である宅内機器3を指定して通信を開始しすることができる。
【0037】
また、本実施形態によれば、PC4を宅内ネットワーク6とは異なるPC用宅内ネットワーク7に接続し、PC4と宅内機器3との通信は常にファイアウォール2を経由して行なう。これにより、PC4と宅内機器3、または、宅外機器1と宅内機器3との通信が必ずファイアウォール2を経由するため、不正な処理を監視し、被害を未然に防ぐことができる。
また、本実施形態によれば、インターネットサービスプロバイダの変更などによるネットワークの変更が生じても、宅外ネットワーク5が変わるだけで、宅内ネットワーク6およびPC用宅内ネットワーク7は変わらない。このため、ファイアウォール2のアドレス設定を変更するだけでよく、宅内機器3およびPC4のアドレス設定を変更する必要がない。すなわち、宅内機器3のアドレスを設定しなおすことなくインターネットサービスプロバイダを変更することが可能となる。
【0038】
なお、本実施形態では、宅外ネットワーク5とPC用宅内ネットワーク7とを分けて説明したが、同一のネットワークであってもよい。
また、本実施形態では、IPv6アドレスのプレフィクス802をファイアウォールにおいて変換することで機器が接続しているネットワークを識別しているが、プレフィクス802が同一であっても、通信メッセージの経路履歴を調べることで機器が接続しているネットワークを識別できるため、本実施形態と同等の効果が得られる。
【0039】
また、宅外機器1は、サーバでなくても、IPv6プロトコルを用いた通信が可能で、宅外ネットワークIPv6アドレス生成処理部111と、セキュリティ通信処理部112と、MACアドレス入手処理部113と、宅外ネットワークIPv6アドレス保持部114とを有した情報機器であればよい。
また、宅外ネットワークIPv6アドレス生成処理部111と、セキュリティ通信処理部112と、MACアドレス入手処理部113と、宅外ネットワークIPv6アドレス保持部114を一つのハードウェア上が有していなくても、それぞれ処理部を別のハードウェアが有し、通信により有機的に処理を行なってもよい。
また、宅内機器3は、エアコンでなくても、MACアドレス保持部311を有し、IPv6プロトコルを用いた通信が可能な情報機器であればよい。
【0040】
【発明の効果】
以上説明したように、本発明によれば、宅外機器1と宅内機器3との通信を安全に行ない、PC4と宅内機器3との通信を安全に行い、宅外機器1から通信を開始し、宅内機器3にセキュリティ通信機能を実装しなくとも宅内ネットワーク6の安全性を保つことが可能な仕組みを提供できる。
【図面の簡単な説明】
【図1】 本発明の一実施形態の通信システムの構成概要を示した図である。
【図2】 本発明の一実施形態のIPv6アドレスの構成概要を示した図である。
【図3】 本発明の一実施形態の宅外機器1の概略構成を示した図である。
【図4】 本発明の一実施形態のファイアウォール2の概略構成を示した図である。
【図5】 本発明の一実施形態の宅内機器3の概略構成を示した図である。
【図6】 本発明の一実施形態で宅内ネットワークIPv6アドレス生成の処理を宅内機器3が行なう場合の、宅内機器3とファイアウォール2の事前準備の動作の概略を説明するためのフロー図である。
【図7】 本発明の一実施形態で宅内ネットワークIPv6アドレス生成の処理をファイアウォール2が行なう場合の、宅内機器3とファイアウォール2の事前準備の動作の概略を説明するためのフロー図である。
【図8】 本発明の一実施形態の、宅外機器1とファイアウォール2の事前準備の動作の概略を説明するためのフロー図である。
【図9】 本発明の一実施形態の、宅外機器1と宅内機器3との間で行なわれる通常の通信の動作の概略を説明するためのフロー図である。
【図10】 本発明の一実施形態の宅内機器データベース215の例を示した図である。
【符号の説明】
1…宅外機器、2…ファイアウォール、3…宅内機器、4…PC、5…宅外ネットワーク、6…宅内ネットワーク、7…PC用宅内ネットワーク。

Claims (3)

  1. 第1のネットワークとIPv6プロトコルを用いてデータの送受信を行う第1の通信手段と、第1のネットワークのネットワーク識別子を取得する手段と、第2のネットワークとIPv6プロトコルを用いてデータの送受信を行う第2の通信手段と、第2のネットワークのネットワーク識別子を取得する手段とを有するファイアウォール装置を介して、第1のネットワークに接続された機器との通信を可能にする第2のネットワークに接続された情報機器であって、
    前記ファイアウォール装置とIPv6プロトコルを用いてデータの送受信を行う通信手段と、
    前記第2のネットワークのネットワーク識別子を取得する手段と、
    前記ネットワーク識別子と自身の機器識別子とを用いてIPv6アドレスを生成する手段と、
    前記IPv6アドレスを前記ファイアウォール装置に送信する通信手段と、
    受信したメッセージのIPv6アドレスのネットワーク識別子である部分を取り出す手段とを有し、
    前記取り出したネットワーク識別子と自身のIPv6アドレスのネットワーク識別子部分が同じであれば、前記受信したメッセージを受理することを特徴とする情報機器。
  2. 第1のネットワークとIPv6プロトコルを用いてデータの送受信を行う第1の通信手段と、第1のネットワークのネットワーク識別子を取得する手段と、第2のネットワークとIPv6プロトコルを用いてデータの送受信を行う第2の通信手段と、第2のネットワークのネットワーク識別子を取得する手段とを有するファイアウォール装置を介して、第1のネットワークに接続された第1の機器との通信を可能にする第2のネットワークに接続された第2の情報機器の通信方法であって、
    前記第1のネットワークに接続された第1の機器が、前記第1のネットワークを介して前記ファイアウォール装置に、送信元が前記第1の機器のIPv6アドレスであり送信先が第2の情報機器のIPv6アドレスである、処理要求メッセージを送信するステップと、
    前記ファイアウォール装置が、前記処理要求メッセージに含まれる処理内容が安全なものかどうかを確認するステップと、
    前記ファイアウォール装置が、前記送信先のIPv6アドレスのネットワーク識別子である部分を第2のネットワークのネットワーク識別子に変換するステップと、
    前記ファイアウォールが、前記第2のネットワークを介して前記第2のネットワークに接続された第2の情報機器に、送信元が前記第1の機器のIPv6アドレスである前記処理要求メッセージを送信するステップと、
    前記第2の情報機器が、受信した前記処理要求メッセージの送信元IPv6アドレスのネットワーク識別子である部分を取り出して、自身のIPv6アドレスのネットワーク識別子と同じであれば、前記受信したメッセージを受理する判断を行うステップと、
    前記第2の情報機器が、前記第2の情報機器に固有な処理を行うステップと、
    前記第2の情報機器が、前記第2のネットワークを介して前記ファイアウォールに、送信元が前記第2の情報機器のIPv6アドレスであり送信先が前記第1の機器のIPv6アドレスである、前記処理要求メッセージに対する応答メッセージを送信するステップと、
    前記ファイアウォールが、前記応答メッセージに含まれる情報が安全なものかどうかを確認するステップと、
    前記ファイアウォールが、前記応答メッセージの前記送信元のIPv6アドレスのネットワーク識別子である部分を前記第1のネットワーク識別子に変換するステップと、
    前記ファイアウォールが、前記第1のネットワークを介して前記第1の機器に、送信先が前記第1の機器のIPv6アドレスである、前記応答メッセージを送信するステップと、
    を有することを特徴とする情報機器の通信方法。
  3. 請求項2に記載の情報機器の通信方法であって、
    前記第1の機器と前記ファイアウォール装置との間の通信は、暗号通信機能または認証機能を用いたセキュリティ通信であって、前記第2の情報機器と前記ファイアウォールとの間の通信は、暗号通信機能または認証機能を用いない通信であることを特徴とする情報機器の通信方法。
JP2001308155A 2001-10-04 2001-10-04 ファイアウォール装置、情報機器および情報機器の通信方法 Expired - Lifetime JP3864743B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2001308155A JP3864743B2 (ja) 2001-10-04 2001-10-04 ファイアウォール装置、情報機器および情報機器の通信方法
US10/198,978 US7392538B2 (en) 2001-10-04 2002-07-19 Firewall apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001308155A JP3864743B2 (ja) 2001-10-04 2001-10-04 ファイアウォール装置、情報機器および情報機器の通信方法

Publications (3)

Publication Number Publication Date
JP2003115880A JP2003115880A (ja) 2003-04-18
JP2003115880A5 JP2003115880A5 (ja) 2005-03-17
JP3864743B2 true JP3864743B2 (ja) 2007-01-10

Family

ID=19127503

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001308155A Expired - Lifetime JP3864743B2 (ja) 2001-10-04 2001-10-04 ファイアウォール装置、情報機器および情報機器の通信方法

Country Status (2)

Country Link
US (1) US7392538B2 (ja)
JP (1) JP3864743B2 (ja)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100530205C (zh) * 2003-07-05 2009-08-19 鸿富锦精密工业(深圳)有限公司 防火墙装置及其设置方法
US7305706B2 (en) * 2004-01-15 2007-12-04 Cisco Technology, Inc. Establishing a virtual private network for a road warrior
US7543330B2 (en) 2004-04-08 2009-06-02 International Business Machines Corporation Method and apparatus for governing the transfer of physiological and emotional user data
JP4961798B2 (ja) * 2005-05-20 2012-06-27 株式会社日立製作所 暗号化通信方法及びシステム
JP3976059B2 (ja) * 2005-11-25 2007-09-12 松下電工株式会社 ネットワーク装置
JP2007324997A (ja) * 2006-06-01 2007-12-13 Kwok-Yan Leung ファイアウォールを越えるターミナルシステムと方法
US8499340B2 (en) * 2007-05-29 2013-07-30 Telefonaktiebolaget L M Ericsson (Publ) IMS network identity management
US8627447B1 (en) * 2007-09-18 2014-01-07 Juniper Networks, Inc. Provisioning layer three access for agentless devices
US20100303027A1 (en) * 2008-06-13 2010-12-02 Media Patents, S.L. Method for sending data packets in a data network during handover of a mobile node
JP2011082952A (ja) * 2009-09-09 2011-04-21 Sony Corp 通信システム、通信装置及び通信方法、並びにコンピューター・プログラム
CN103392320B (zh) * 2010-12-29 2016-08-31 思杰***有限公司 对加密项目进行多层标记以提供额外的安全和有效的加密项目确定的***和方法
CN102694706A (zh) * 2012-03-21 2012-09-26 广东美的电器股份有限公司 具有云服务功能的物联网家电***及其控制方法
CN103516708B (zh) * 2012-12-12 2017-03-08 Tcl集团股份有限公司 一种基于扩展xmpp协议的设备控制方法及***
JP6012496B2 (ja) * 2013-02-07 2016-10-25 三菱電機株式会社 スマートメータおよびスマートメータシステム
JP5818272B2 (ja) * 2013-03-29 2015-11-18 Necプラットフォームズ株式会社 ホームゲートウェイ装置およびパケット転送方法
US10491613B1 (en) * 2019-01-22 2019-11-26 Capital One Services, Llc Systems and methods for secure communication in cloud computing environments
CN118138376A (zh) * 2024-05-06 2024-06-04 汕头密耳科技有限公司 一种基于IPv6技术的通讯交互标识和校验方法

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3688464B2 (ja) 1997-05-06 2005-08-31 株式会社東芝 端末装置、サーバ装置、通信装置および制御方法
US6523022B1 (en) * 1997-06-09 2003-02-18 Allen Hobbs Method and apparatus for selectively augmenting retrieved information from a network resource
US6385644B1 (en) * 1997-09-26 2002-05-07 Mci Worldcom, Inc. Multi-threaded web based user inbox for report management
FR2773428B1 (fr) * 1998-01-06 2000-02-04 Bull Sa Procede de communication dans un ensemble de systemes distribues via un reseau du type internet
US6119171A (en) * 1998-01-29 2000-09-12 Ip Dynamics, Inc. Domain name routing
SE513828C2 (sv) * 1998-07-02 2000-11-13 Effnet Group Ab Brandväggsapparat och metod för att kontrollera nätverksdatapakettrafik mellan interna och externa nätverk
US6658565B1 (en) * 1998-06-01 2003-12-02 Sun Microsystems, Inc. Distributed filtering and monitoring system for a computer internetwork
US6157955A (en) * 1998-06-15 2000-12-05 Intel Corporation Packet processing system including a policy engine having a classification unit
US6680922B1 (en) * 1998-07-10 2004-01-20 Malibu Networks, Inc. Method for the recognition and operation of virtual private networks (VPNs) over a wireless point to multi-point (PtMP) transmission system
US6754831B2 (en) * 1998-12-01 2004-06-22 Sun Microsystems, Inc. Authenticated firewall tunneling framework
US6507908B1 (en) * 1999-03-04 2003-01-14 Sun Microsystems, Inc. Secure communication with mobile hosts
GB2348569B (en) * 1999-03-31 2003-11-05 Ericsson Telefon Ab L M IP Address allocation for mobile terminals
US6678827B1 (en) * 1999-05-06 2004-01-13 Watchguard Technologies, Inc. Managing multiple network security devices from a manager device
JP3318289B2 (ja) * 1999-08-10 2002-08-26 松下電送システム株式会社 ホームネットワークゲートウエイ装置
JP2001060973A (ja) * 1999-08-20 2001-03-06 Pfu Ltd ネットワークアドレス変換装置及びこれを備えるネットワーク及びその記憶媒体
US20020042883A1 (en) * 2000-10-04 2002-04-11 Soundvoice Limited Method and system for controlling access by clients to servers over an internet protocol network
US7006526B1 (en) * 2001-07-31 2006-02-28 Cisco Technology, Inc. Mechanisms for avoiding problems associated with network address protocol translation
JP2003111156A (ja) * 2001-09-27 2003-04-11 Toshiba Corp デジタル家電機器

Also Published As

Publication number Publication date
US7392538B2 (en) 2008-06-24
JP2003115880A (ja) 2003-04-18
US20030070095A1 (en) 2003-04-10

Similar Documents

Publication Publication Date Title
JP3864743B2 (ja) ファイアウォール装置、情報機器および情報機器の通信方法
US7729331B2 (en) Home terminal apparatus and communication system
US7680878B2 (en) Apparatus, method and computer software products for controlling a home terminal
KR101031168B1 (ko) 정보 처리 장치 및 액세스 제어 처리 방법
US7631181B2 (en) Communication apparatus and method, and program for applying security policy
CN103067340B (zh) 远程控制网络信息家电的鉴权方法及***、互联网家庭网关
US7870261B2 (en) Information processing device, an information processing method, and a computer program to securely connect clients on an external network to devices within an internal network
US7840688B2 (en) Information processing device, server client system, method, and computer program
JP2002314549A (ja) ユーザ認証システム及びそれに用いるユーザ認証方法
JP4405309B2 (ja) アクセスポイント、無線lan接続方法、無線lan接続プログラムを記録した媒体および無線lanシステム
WO2014188233A1 (en) Methods and systems for dynamic domain name system (ddns)
US20120054495A1 (en) Data transmission processing device and data transmission program
JP2006227802A (ja) アプリケーションサービス提供システム、サービス管理装置、ホームゲートウェイおよびアクセス制御方法
CN112333214B (zh) 一种用于物联网设备管理的安全用户认证方法及***
US20160105407A1 (en) Information processing apparatus, terminal, information processing system, and information processing method
WO2018172776A1 (en) Secure transfer of data between internet of things devices
JP2006262111A (ja) リモートアクセスシステム、ルータ及びリモートアクセス制御プログラム
JP4480478B2 (ja) アクセスポイントおよび外部記憶装置を含むシステム、アクセスポイント、無線lan接続方法、無線lan接続プログラムを記録した媒体および無線lanシステム
JP2010117988A (ja) 高度な認証およびセキュアーな仮想化ネットワーク形成のシステムおよび方法
JP2005137018A (ja) 宅内端末装置及び通信システム
KR100974296B1 (ko) Tpm을 이용한 홈 네트워크 인증 및 제어 방법
KR20240097367A (ko) Otp 인증 기능을 적용하여 보안 기능을 강화한 신재생 에너지 설비 운영 시스템 및 이의 동작 방법
WO2018173099A1 (ja) ゲートウェイ及び中継方法
JP2005130453A (ja) 宅内端末装置及び通信システム
JP2005130453A6 (ja) 宅内端末装置及び通信システム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040303

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040303

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040420

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050413

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050510

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050708

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060228

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20060419

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060627

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060724

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20060828

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060912

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060925

R151 Written notification of patent or utility model registration

Ref document number: 3864743

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091013

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101013

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111013

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121013

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121013

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131013

Year of fee payment: 7

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250