JP3992067B1 - ネットワークシステム - Google Patents
ネットワークシステム Download PDFInfo
- Publication number
- JP3992067B1 JP3992067B1 JP2006132930A JP2006132930A JP3992067B1 JP 3992067 B1 JP3992067 B1 JP 3992067B1 JP 2006132930 A JP2006132930 A JP 2006132930A JP 2006132930 A JP2006132930 A JP 2006132930A JP 3992067 B1 JP3992067 B1 JP 3992067B1
- Authority
- JP
- Japan
- Prior art keywords
- communication
- lan
- authentication server
- local
- center
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】WANが切断されてもローカル通信においてセキュア通信が行え、しかもLAN内での認証処理の負担が軽く且つローカル認証サーバでの設定が自動的に行えるネットワークシステムを提供することにある。
【解決手段】センターサーバ5内のセンターAS7Bは、LAN1側のゲートウェイ3内のローカルAS7Aから通知されるオブジェクトのOID及びインターフェースのIIDの組み合わせ情報に対応したLAN1内の通信に対応する許可情報をローカルAS7Aに予め送って当該ローカルAS7Aで許可判定を行う許可情報を設定する。ローカルAS7Aは、設備機器2同士の通信時に送信側の設備機器2のOIDと、オブジェクト実行対象となる受信側の設備機器2のオブジェクトのOID及びIID又はOIDのみ或いはIIDとの関係が、設定している許可情報に有れば、送信側の設備機器2に許可通知と認証キーの配信を行う。
【選択図】図1
【解決手段】センターサーバ5内のセンターAS7Bは、LAN1側のゲートウェイ3内のローカルAS7Aから通知されるオブジェクトのOID及びインターフェースのIIDの組み合わせ情報に対応したLAN1内の通信に対応する許可情報をローカルAS7Aに予め送って当該ローカルAS7Aで許可判定を行う許可情報を設定する。ローカルAS7Aは、設備機器2同士の通信時に送信側の設備機器2のOIDと、オブジェクト実行対象となる受信側の設備機器2のオブジェクトのOID及びIID又はOIDのみ或いはIIDとの関係が、設定している許可情報に有れば、送信側の設備機器2に許可通知と認証キーの配信を行う。
【選択図】図1
Description
本発明は、通信機器間の通信許可を行うための認証サーバを備えたネットワークシステムに関するものである。
従来、ネットワークシステムでのセキュア通信を行うために、認証サーバでの認証方式が良く採用されている(例えば特許文献1)。この場合認証サーバがインターネット等のWAN上のセンターサーバ上に配置されるため、集中統合管理が行え、スケーラブルなネットワークシステムに対応することができるという利点がある。
また、認証キーの生成を認証サーバ上で行うため、通信機器に負担をかけることなく、通信機器間の通信を暗号化通信で行うことができる。
特開2002−237812公報(段落0021−0022、0038−0045、図2、図4)
ところで、上述のような認証方式の場合、全ての通信機器の情報を認証サーバに登録しなければならず、LAN上での通信においてもWAN上の認証サーバと通信しなければならず、認証サーバが管理センター等に設置されている場合においてWANが切断されたときには、WAN上の認証サーバと通信できずに、認証キーの取得ができなくなるため、LAN上での通信も行えなくなるという課題があった。
また予めネットワーク通信での認証サーバのアドレスを通信機器に設定しておかなければならなかった。
本発明は、上述の点に鑑みて為されたもので、その目的とするところは、WANが切断されてもローカル通信においてセキュア通信が行え、しかもLAN内での認証処理の負担が軽く且つローカル認証サーバでの設定が自動的に行えるネットワークシステムを提供することにある。
上述の目的を達成するために、請求項1の発明では、識別子が付与されたオブジェクトを搭載し、前記識別子を用いた前記オブジェクトの実行要求があると、該オブジェクトを実行して予め定義されている情報処理を行う複数の通信機器をLAN上に接続するとともに、当該通信機器をWANを介して接続したネットワークシステムであって、
前記LANに接続されたローカル認証サーバと、前記LANが接続されるWAN上に接続されたセンター認証サーバとを備え、
前記ローカル認証サーバは、前記LAN上の前記各通信機器の搭載オブジェクトの識別子を基に当該各オブジェクトに対応したLAN内通信に関する許可情報を前記センター認証サーバから予め取得して設定する機能とを備え、
前記センター認証サーバは、LANに接続された通信機器同士の許可情報及びLANに接続された通信機器とWANを介して接続された通信機器との許可情報が予め設定され、前記ローカル認証サーバから通知されるオブジェクトの識別子に対応してLAN内通信に対応する前記許可情報を前記ローカル認証サーバに送る機能を備え、
前記ローカル認証サーバは、他の通信機器に対して前記オブジェクトの実行要求を送信しようとする通信機器から認証要求を受け取ると、通信を行う各通信機器のオブジェクトの識別子と予め設定している許可情報とを照合して許可判定を行い、LAN内での通信が許可されていると判定した場合に、当該認証要求元の通信機器並びに当該他の通信機器に認証キーの配信を行うことを特徴とする。
前記LANに接続されたローカル認証サーバと、前記LANが接続されるWAN上に接続されたセンター認証サーバとを備え、
前記ローカル認証サーバは、前記LAN上の前記各通信機器の搭載オブジェクトの識別子を基に当該各オブジェクトに対応したLAN内通信に関する許可情報を前記センター認証サーバから予め取得して設定する機能とを備え、
前記センター認証サーバは、LANに接続された通信機器同士の許可情報及びLANに接続された通信機器とWANを介して接続された通信機器との許可情報が予め設定され、前記ローカル認証サーバから通知されるオブジェクトの識別子に対応してLAN内通信に対応する前記許可情報を前記ローカル認証サーバに送る機能を備え、
前記ローカル認証サーバは、他の通信機器に対して前記オブジェクトの実行要求を送信しようとする通信機器から認証要求を受け取ると、通信を行う各通信機器のオブジェクトの識別子と予め設定している許可情報とを照合して許可判定を行い、LAN内での通信が許可されていると判定した場合に、当該認証要求元の通信機器並びに当該他の通信機器に認証キーの配信を行うことを特徴とする。
請求項1の発明によれば、LAN内に認証のためのローカル認証サーバを設けることで、WANが切断されるような事態が発生してもLAN内でのセキュア通信を確保することができ、しかも認証のための許可情報はセンター認証サーバ側で集約し、ローカル認証サーバではLAN内の通信機器のみに対応する許可情報をセンター認証サーバから取得してローカル認証サーバでの設定が自動的に行えるシステム構築が容易である。
請求項2の発明では、請求項1の発明において、前記ローカル認証サーバは、各通信機器に対して搭載しているオブジェクトの識別子の要求を行って各オブジェクトの識別子の取得を行うとともに、取得したオブジェクトの識別子を前記センター認証サーバへ通知し、この通知に対応して前記センター認証サーバから送られてくる許可情報を取得して設定する初期設定機能を備えていることを特徴とする。
請求項2の発明によれば、システムスタート時にローカル認証サーバにおいて自動的に認証に必要なオブジェクトの識別子をLAN内の通信機器から取得するとともに、LAN内の通信機器のオブジェクトの識別子をセンター認証サーバへ通知することで、初期設定において通信機器側でWAN側の認証サーバのアドレスを設定する必要がなく、そのためユーザが特に意識することなくNAT(Network Address Translation)越えを簡単に実現できる。
請求項3の発明では、請求項1又は2の発明において、前記ローカル認証サーバは、前記許可判定を行い、LAN内での通信が許可されていない場合、通信機器側からの前記認証要求と当該通信機器が搭載しているオブジェクトの識別子を前記センター認証サーバへ転送し、
前記センター認証サーバは、転送されてきた当該通信機器のオブジェクトの識別子と自己が保有する許可情報とに基づいて許可判定を行い、許可されていると判定した場合に認証キーを生成して前記ローカル認証サーバへ返信し、
前記ローカル認証サーバは、前記センター認証サーバから配信された認証キーを、認証要求元の通信機器並びに前記他の通信機器に配信することを特徴とする。
前記センター認証サーバは、転送されてきた当該通信機器のオブジェクトの識別子と自己が保有する許可情報とに基づいて許可判定を行い、許可されていると判定した場合に認証キーを生成して前記ローカル認証サーバへ返信し、
前記ローカル認証サーバは、前記センター認証サーバから配信された認証キーを、認証要求元の通信機器並びに前記他の通信機器に配信することを特徴とする。
請求項3の発明によれば、LAN外の通信機器とLAN内の通信機器との間でもセキュア通信を行うことが可能となる。
本発明は、LAN内に認証のためのローカル認証サーバを設けることで、WANが切断されるような事態が発生してもLAN内でのセキュア通信を確保することができ、しかも認証のための許可情報はセンター認証サーバ側で集約し、ローカル認証サーバではLAN内の通信機器のみに対応する許可情報をセンター認証サーバから取得してローカル認証サーバでの設定が自動的に行え、システム構築が容易であるという効果がある。
以下本発明を実施形態により説明する。
(実施形態1)
図1は、本実施形態のネットワークシステムのシステム図を示しており、ユーザエリアUにはイーサネット(登録商標)のような通信規格によるLAN1が設置され、LAN1に通信機器としての通信機能を備えたビルや住宅内に設置される空調機器、照明機器からなる複数の設備機器21…2nが接続され、設備機器21…間でLAN内通信ができるようになっている。
(実施形態1)
図1は、本実施形態のネットワークシステムのシステム図を示しており、ユーザエリアUにはイーサネット(登録商標)のような通信規格によるLAN1が設置され、LAN1に通信機器としての通信機能を備えたビルや住宅内に設置される空調機器、照明機器からなる複数の設備機器21…2nが接続され、設備機器21…間でLAN内通信ができるようになっている。
またLAN1はゲートウェイ3のハブ部30により集線されるとともに、ゲートウェイ3内のイーサネット(登録商標)に対応するLAN用の通信部31及びモデム部32によってWANであるインターネット4に接続され、LAN1上の設備機器21…とインターネット4上の設備機器20との間でも通信ができるようにもなっている。
ゲートウェイ3は上述のハブ部30、通信部31及びモデム部32、以外に後述するオブジェクトアクセスサーバというサーバ機能部OAS<Object Access Saver>を備え、このサーバ機能部OAS内には認識装置の一部を構成する後述するローカル認証サーバ(以下ローカルAS<Authentication Sever>と略する)7Aの機能を備えている。
一方、インターネット4には上述の設備機器20以外にセンターサーバ5や、パソコン、携帯端末(携帯電話機、PDA等の通信機能付き端末)等のクライアント用端末6が接続されるようになっており、センターサーバ5はゲートウェイと同様なサーバ機能部OASを備え、このサーバ機能部OAS内には、ローカルAS7Aとともに認証装置を構成するセンターAS7Bの機能を備えている。
ここで本システムに用いる設備機器2(20…2n)の基本的な構成は、図2(a)に示すように設備機器独自のサービスを提供するための機能部20と、この機能部20にインターフェース部21とバス22とを介して動作指示(動作制御)するための関数を与えたり、機能部20の現在状態を示す変数を取得したり、更には機能部20の状態変換が発生したことを示すイベント情報を取得する処理を行う情報処理部23と、ネットワーク通信(イーサネット(登録商標)規格の通信)のための通信部24と、情報処理部23の記憶部25には本システムにおけるオブジェクト機能を実現するためのモジュール部MOS<Micro Object Server>を組み込んである。
このモジュール部MOSは、図2(b)に示すように設備機器2のためのアプリケーション部26と、OSI7階層モデルに対応したソフトウェア通信モジュール27と、機能部20との間の情報の授受のためのハードウェア通信モジュール28とから構成される。
ここでゲートウェイ3に備えているサーバ機能部OASは、本システムの設備機器2(20…2n)のネットワークの繋がり方を隠すためのオブジェクト・ルータとしての機能を実現するソフトと設備機器2のオブジェクトをアクセスすることで、当該設備機器2の機能部20が提供するサービスをユーザが享受するために実行される各種アプリケションソフト、更に異種のプロトコルを変換して本システムにシームレスに繋ぐためのプロトコル・ブリッジサービスと、後述するセンターサーバ5との間の通信に用いるプロトコルをSOAP(Simple Object Access Protocol)に変換してファイヤーウォールを通過させるためのファイヤーウォール・ブリッジ・サービス等の追加可能なサービス機能を実現するソフトから構成される。またゲートウェイ3のサーバ機能部OAS内に備えているローカルAS7Aは設備機器2のモジュール部MOSが有するオブジェクト毎に、当該オブジェクトの識別子(更には秘密鍵若しくはユーザ名、パスワード)と、当該オブジェクトに対する許可を持つ識別子(又はユーザ名と許可情報)を保持する記憶手段(図示せず)と、認証、後述する認証キー及びアクセスコントロールを行う演算手段(図示せず)とをサーバ機能部OASの記憶手段及び演算手段と共用するようになっている。
尚サーバ機能部OASとローカルAS7Aとはハードウェア的にもソフトウェア的にも別体で構成しても良く、またゲートウェイ3にサーバ機能部OASを搭載せず、単にインターネット4とLAN1との間のプロトコル変換とLAN1上の設備機器2(20…2n)をインターネット4に接続するためのルーティング機能とを備えただけのものでも良い。この場合、ローカルAS7Aは、設備機器2(21…2n)をブロードキャスト又はマルチキャストによって検出する処理を行って、LAN1上の設備機器2(21…2n)のIPアドレス等ネットワーク通信に必要な情報を取得する。そして接続処理後LAN1内の各設備機器2(20…2n)に対して搭載しているオブジェクトの識別子の要求を行って各オブジェクトの識別子(後述するOID及びIID)の取得を行うとともに、取得したオブジェクトの識別子を後述するセンターAS7Bへ通知し、この通知に対応してセンターAS7Bから送られてくる許可情報を取得して設定する初期設定機能を備える。
ここで、本ネットワークシステムではOSI7階層モデルからなり、設備機器2の情報処理部23のモジュール部MOSがクライアント用端末6や他の設備機器2に変数、イベント情報を渡したり、或いは関数を受け取る等のための独自プロトコル(以下OAPという)からアプリケーション層を構成し、このOAPを用いてサーバ機能部OASと設備機器2のモジュール部MOSとの間の情報授受を行うようになっている。
またモジュール部MOSのソフトウェア通信モジュール27は、OSI7階層のネットワーク層〜プレゼンテーション層におけるプロトコルを担うものであって、上述のOAPの定義やTCP,UDPの統合を行っている。
センターサーバ5はインターネット4上に設置されるもので、搭載するサーバ機能部OASはゲートウェイ3のサーバ機能部OASと同様な機能を持ち、またセンターAS7BもローカルAS7Aと同様な機能を持つものであって、各LAN1内及びLAN1相互間での全てのオブジェクト間の許可情報を格納したデータベースを記憶手段(図示しない)に備えている。
ところで、上述の各設備機器2は機能部20がサービス提供のための処理を行う際に用いる1乃至複数の設備側オブジェクトを情報処理部23内に組み込まれたモジュール部MOSの下で有するとともに、夫々の設備側オブジェクトには提供サービスに対応する情報(機能部20の現在状態を示す変数、機能部20に渡す制御のための関数、機能部20での変化発生を示すイベント情報)によって定義されたインターフェースを1乃至複数持たせており、各設備側オブジェクトにはOIDという識別子を付与し、各インターフェースにはIIDという識別子を付与し、OIDは当該オブジェクト固有であり、IIDは定義内容が同一のインターフェースに割り当てることができるもので、設備側オブジェクトの実行は、設備側オブジェクトのOID或いはインターフェースのIID又は両者の組み合わせを用いた実行要求を情報処理部23が後述するようにゲートウェイ3内のサーバ機能部OASから受け取ったときに為される。
この実行要求は、特定の設備側オブジェクト下の特定のインターフェースに対応する実行要求の場合にはOIDと当該インターフェースのIIDとの組み合わせが、また同じ定義内容のインターフェースが複数の設備機器2の設備側オブジェクト下にある場合には当該インターフェースのIIDのみで実行要求を行うようになっている。
クライアント用端末6は、当該ネットワークシステムにおいて提供サービスを享受するためのクライアント用ソフト(以下OAL<Object Access Library>という)やクライアント用アプリケーション(ソフト)等を搭載したコンピュータ装置からなるもので、インターネット4上から設備機器2のモジュール部MOSのオブジェクトに対する実行要求が行え、またクライアント用アプリケーションを実行することで後述する設備機器2が提供できるサービス、つまり設備機器2への制御要求や、設備機器2側からの監視情報(変数、イベント情報)を当該クライアント用端末6が所望する形で享受することができるようになっている。
次にネットワークシステムの動作を説明する。
まずシステム立ち上がり時には、ゲートウェイ3のサーバ機能部OASはLAN1に接続されているモジュール部MOS搭載の設備機器2(21…2n)をブロードキャスト又はマルチキャストによって検出する処理を行って、LAN1上の設備機器2(21…2n)のIPアドレス等ネットワーク通信に必要な情報を取得する。そして接続処理後、サーバ機能部OASのローカルAS7Aは各設備機器2(21…2n)に対して設備側オブジェクトのOID及びその下のインターフェースのIIDの情報を全て送るように要求する(S1)。
そして、この要求に対応して設備機器2(21…2n)からS2、S3に示すように順次送られてきたOID及びIIDの情報と、送ってきた設備機器2(21…2n)のネットワーク通信(TCP/IPベース)上の識別子であるIPアドレスとを対応付けて記憶手段に記憶保持する。この記憶保持は接続設備情報用テーブルとして保持される。
尚各設備機器2(21…2n)からブロードキャスト若しくはマルチキャストによりゲートウェイ3のIPアドレスを取得し、ゲートウェイ3のサーバ機能部OASのローカルAS7Aとの間の通信を可能とするようにしても良い。勿論ローカルAS7AをLAN1上にゲートウェイ3のサーバ機能部OASとは別体に設けている場合(或いはサーバ機能部OASを設けず、ローカルAS7Aを単独に設けている場合)にも、各設備機器2(21…2n)からブロードキャスト若しくはマルチキャストにより直接当該ローカルAS7AのIPアドレスを取得することで、ローカルAS7Aとの間の通信を可能とするようにする。また設備機器2(21…2n)側で予めWAN上のセンターサーバ7(センターAS7B)のIPアドレスを設定する必要もない。
またその後、ゲートウェイ3のサーバ機能部OASはローカルAS7Aの働きとしてインターネット4上のセンターサーバ5のサーバ機能部OASに対して自己の配下の設備機器2(21…2n)の設備側オブジェクトOID及びその下のインターフェースIIDからなる組み合わせ情報を送る処理を行う(ステップS4)。この処理は定期的に行われ、記憶保持するOID及びIIDの組み合わせ情報が更新される。尚、追加や機器の廃棄の場合においても上述の更新処理を行う。
センターサーバ5のサーバ機能部OAS内のセンターAS7Bは記憶手段に記憶している許可情報のデータベースからゲートウェイ3の配下にあるLAN内通信に対応する許可情報を抽出し、この許可情報をLAN内通信に関連する許可情報として当該ゲートウェイ3のサーバ機能部OAS内のローカルAS7Aに送る(S5)。
センターサーバ5のセンターAS7Bから許可情報を取得したローカルAS7Aでは、設備機器21…2nのモジュール部MOSのオブジェクトのOID及びインターフェースのIIDとの組み合わせ情報に対する許可情報を設定し、その設定内容を記憶手段に保持する。つまりローカルAS7Aでの許可情報の設定はセンターAS7Bからの許可情報を取得することで自動的に行えることになる。
またセンターサーバ5ではインターネット4に接続されている設備機器20のモジュール部MOSのオブジェクトのOID及びインターフェースのIIDの組み合わせ情報はサーバ機能部OAS及びセンターAS7Bの働きによってゲートウェイ3の場合と同様に取得する。
ここでセンターサーバ5にセンターAS7Bを組み込んだサーバ機能部OASを備えている場合には、各LAN1に接続されている設備機器2のオブジェクトのOID及びインターフェースのIIDの組み合わせ情報をゲートウェイ3のサーバ機能部OASから受け取り、この受け取った情報に基づいて手動により通信許可の設定を行うようになっているが、サーバ機能部OASを備えていない場合には、各LAN1上の設備機器2のオブジェクトのOID及びインターフェースのIIDの組み合わせ情報の設定も手動で行う。
またセンターAS7Bにおける許可情報の設定、つまり各LAN1内における設備機器2同士においてオブジェクトに対する実行要求のための通信許可の設定は、オブジェクトのOID及びその下のインターフェースのIIDの情報に基づいてテーブル化したもので、送信側の設備機器2のオブジェクトのOIDと、当該送信側の通信相手として許可されている設備機器2のオブジェクトのOID及びインターフェスのIIDの組み合わせ情報或いはOIDのみ又はIIDのみとを対応付けており、このテーブル化した通信の許可情報をセンターAS7BからローカルAS7Aが取得して上述のように許可情報の設定を行うのである。またLAN1内の設備機器2と、当該LAN1外の設備機器2同士の通信許可の設定も予めセンターAS7Bにおいて手動により設定する。
このようにしてシステムが構築された状態において、設備機器2間で通信を行う場合における認証についての動作を図4及び図5により詳説する。
今LAN1内の設備機器21から設備機器2nのオブジェクトのOID及びインターフェースのIIDを用いて当該オブジェクトの実行要求を行うための認証要求が送信される(S6)と、この認証要求は一旦ゲートウェイ3のサーバ機能部OASが受け取ることになり、サーバ機能部OAS内のローカルAS7Aは実行要求を行った送信側の設備機器21のオブジェクトのOIDの情報と、実行要求先、つまり受信側の設備機器器22のオブジェクトのOID及びインターフェースのIIDの組み合わせ情報との関係が、設定された許可情報に有るか否かで、LAN1内の通信が許可されているか否かを判定し、許可されている場合には許可通知と認証キーの配信を夫々の設備機器21、2nに対して行う(S7,S8)。これにより許可通知とともに認証キーを受け取った設備機器21、2nの間でセキュア通信が行え(S9)、オブジェクト実行により情報の授/受が可能となる。この場合ゲートウェイ3のサーバ機能部OASの接続設備情報用テーブルを用いたルーティング機能の働きにより設備機器同士ではIPアドレス等を特に意識することなく通信ができる。
尚ゲートウェイ3にサーバ機能部OASを備えていない場合には、例えば設備機器21から設備機器22に対して通信許可が与えられると、実行要求のオブジェクトのOID及びIIDの組み合わせ情報をブロードキャストによりLAN1内の設備機器2(21…2n)に対して送ることで、ユニークな識別子であるOIDが付されたオブジェクトを持つ設備機器2nに対してのみオブジェクトの実行要求を行える。つまり相手先IPアドレスを意識することなく実質的なP2P通信により実行要求を行うこともできる。
またLAN1内の通信が許可されてない場合には、ローカルAS7Aは、不許可通知を行う。
ところで、LAN1外の設備機器、例えば20から設備機器2nのオブジェクトのOID及びインターフェースのIIDを用いて当該オブジェクトの実行要求を行うための認証要求が図5に示すようにセンターサーバ5のサーバ機能部OASを介して為される(S11)と、ゲートウェイ3のサーバ機能部OAS内のローカルAS7Aは、設備機器20がLAN1内で通信許可の設定があるか否かを判定し、LAN1内での通信許可の設定がなければこの認証要求をセンターサーバ5のサーバ機能部OAS内のセンターAS7Bに転送する(S12)。
これによりセンターAS7Bは、実行要求を行った設備機器20のオブジェクトのOID及びインターフェースのIIDの組み合わせ情報と、実行要求先のオブジェクトのOID及びインターフェースのIIDの組み合わせ情報と、許可情報のデータベースの内容とを照合して、通信が許可されるか否かを判定し、許可される場合には許可通知と認証キーの配信をローカルAS7Aに行い(S13)、ローカルAS7Aでは配信されてきた許可通知と認証キーを夫々の設備機器20、2nに対して配信する(S14,S15)。これにより許可通知とともに認証キーを受け取った設備機器20、2nの間でセキュア通信が行え(S16)、オブジェクト実行により情報の授/受が可能となる。この場合ゲートウェイ3及びセンターサーバ5のサーバ機能部OASの接続設備情報用テーブルを用いたルーティング機能の働きにより設備機器同士ではIPアドレス等を特に意識することなく通信ができる。
以上のように本発明ネットワークシステムでは、LAN内の通信の認証をローカルAS7Aで行うことで、インターネット4が切断されるような事態が発生してもLAN内通信を確保することができる。またLAN1上にローカルAS7AではLAN1上の設備機器21…2nのモジュール部MOSのオブジェクトのOID及びインターフェースのIIDからなる組み合わせ情報に対応するLAN内通信の許可情報をセンターサーバ5のセンターAS7Bから取得するため、ローカルAS7Aでの情報処理の負担の低減が図れる。
また、システムスタート時等にローカルAS7Aにおいて自動的に認証に必要なオブジェクトのOID及びその下のインターフェースのIIDをLAN1内の設備機器2から取得するとともに、LAN1内の設備機器2のオブジェクトのOID及びインターフェースのIIDをセンターAS7Bへ通知することで、初期設定をユーザが特に意識することなく、NAT越えを実現できる。
更にローカルAS7Aは、設備機器2側からの認証要求時に当該設備機器2がLAN1内での通信が許可されていない場合、設備機器2側から認証要求と当該設備機器2が搭載しているオブジェクトのOID及びインターフェースのIIDをセンターAS7Bへ転送し、センターAS7Bで、転送されてきた当該設備機器2のオブジェクトのOID及びインターフェースのIIDと、自己が保有する許可情報とに基づいて許可判定を行い、許可されていると判定した場合に認証キーを生成して前記ローカルAS7Aへ返信し、該認証キーを該ローカルAS7Aから当該設備機器2へ送らせるので、LAN1外の設備機器2とLAN1内の設備機器2との間でもセキュア通信を行うことが可能となる。
1 LAN
20〜2n 設備機器
3 ゲートウェイ
30 ハブ部
31 モデム部
4 インターネット
5 センターサーバ
6 クライアント用端末
7A ローカルAS
7B センターAS
MOS モジュール部
OAS サーバ機能部
20〜2n 設備機器
3 ゲートウェイ
30 ハブ部
31 モデム部
4 インターネット
5 センターサーバ
6 クライアント用端末
7A ローカルAS
7B センターAS
MOS モジュール部
OAS サーバ機能部
Claims (3)
- 識別子が付与されたオブジェクトを搭載し、前記識別子を用いた前記オブジェクトの実行要求があると、該オブジェクトを実行して予め定義されている情報処理を行う複数の通信機器をLAN上に接続するとともに、当該通信機器をWANを介して接続したネットワークシステムであって、
前記LANに接続されたローカル認証サーバと、前記LANが接続されるWAN上に接続されたセンター認証サーバとを備え、
前記ローカル認証サーバは、前記LAN上の前記各通信機器の搭載オブジェクトの識別子を基に当該各オブジェクトに対応したLAN内通信に関する許可情報を前記センター認証サーバから予め取得して設定する機能とを備え、
前記センター認証サーバは、LANに接続された通信機器同士の許可情報及びLANに接続された通信機器とWANを介して接続された通信機器との許可情報が予め設定され、前記ローカル認証サーバから通知されるオブジェクトの識別子に対応してLAN内通信に対応する前記許可情報を前記ローカル認証サーバに送る機能を備え、
前記ローカル認証サーバは、他の通信機器に対して前記オブジェクトの実行要求を送信しようとする通信機器から認証要求を受け取ると、通信を行う各通信機器のオブジェクトの識別子と予め設定している許可情報とを照合して許可判定を行い、LAN内での通信が許可されていると判定した場合に、当該認証要求元の通信機器並びに当該他の通信機器に認証キーの配信を行うことを特徴とするネットワークシステム。 - 前記ローカル認証サーバは、各通信機器に対して搭載しているオブジェクトの識別子の要求を行って各オブジェクトの識別子の取得を行うとともに、取得したオブジェクトの識別子を前記センター認証サーバへ通知し、この通知に対応して前記センター認証サーバから送られてくる許可情報を取得して設定する初期設定機能を備えていることを特徴とする請求項1記載のネットワークシステム。
- 前記ローカル認証サーバは、前記許可判定を行い、LAN内での通信が許可されていない場合、通信機器側からの前記認証要求と当該通信機器が搭載しているオブジェクトの識別子を前記センター認証サーバへ転送し、
前記センター認証サーバは、転送されてきた当該通信機器のオブジェクトの識別子と自己が保有する許可情報とに基づいて許可判定を行い、許可されていると判定した場合に認証キーを生成して前記ローカル認証サーバへ返信し、
前記ローカル認証サーバは、前記センター認証サーバから配信された認証キーを、認証要求元の通信機器並びに前記他の通信機器に配信することを特徴とする請求項1又は2記載のネットワークシステム。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006132930A JP3992067B1 (ja) | 2006-05-11 | 2006-05-11 | ネットワークシステム |
| KR1020087016557A KR100969906B1 (ko) | 2006-05-11 | 2007-05-11 | 네트워크 시스템 |
| PCT/JP2007/059731 WO2007132764A1 (ja) | 2006-05-11 | 2007-05-11 | ネットワークシステム |
| CN2007800171376A CN101443777B (zh) | 2006-05-11 | 2007-05-11 | 网络*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006132930A JP3992067B1 (ja) | 2006-05-11 | 2006-05-11 | ネットワークシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP3992067B1 true JP3992067B1 (ja) | 2007-10-17 |
| JP2007306331A JP2007306331A (ja) | 2007-11-22 |
Family
ID=38683352
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006132930A Expired - Fee Related JP3992067B1 (ja) | 2006-05-11 | 2006-05-11 | ネットワークシステム |
Country Status (4)
| Country | Link |
|---|---|
| JP (1) | JP3992067B1 (ja) |
| KR (1) | KR100969906B1 (ja) |
| CN (1) | CN101443777B (ja) |
| WO (1) | WO2007132764A1 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8341716B2 (en) | 2007-11-07 | 2012-12-25 | Fuji Xerox Co., Ltd. | Information processing device, information processing method, and storage media storing user certification program |
| JP4640402B2 (ja) * | 2007-11-07 | 2011-03-02 | 富士ゼロックス株式会社 | 情報処理装置及びユーザ認証プログラム |
| JP5560561B2 (ja) * | 2009-01-15 | 2014-07-30 | ソニー株式会社 | コンテンツ提供システム |
| JP5308993B2 (ja) * | 2009-11-02 | 2013-10-09 | 株式会社日立製作所 | 機器情報の登録方法 |
| JP5503500B2 (ja) * | 2010-11-02 | 2014-05-28 | 株式会社日立製作所 | アクセス権管理装置、アクセス権管理システム、アクセス権管理方法およびアクセス権管理プログラム |
| JP7331532B2 (ja) * | 2019-07-30 | 2023-08-23 | 京セラドキュメントソリューションズ株式会社 | 情報処理システム、情報処理装置、および情報処理方法 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5941947A (en) * | 1995-08-18 | 1999-08-24 | Microsoft Corporation | System and method for controlling access to data entities in a computer network |
| JPH1049443A (ja) | 1996-08-02 | 1998-02-20 | Nippon Telegr & Teleph Corp <Ntt> | 情報処理システム |
| JP2001358717A (ja) * | 2000-06-12 | 2001-12-26 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク機器等の管理方法及び装置ならびにプログラムの記録媒体 |
| JP2002056074A (ja) | 2000-08-07 | 2002-02-20 | Matsushita Electric Works Ltd | 通信ネットワークを利用した機器使用契約システム |
| JP3575603B2 (ja) * | 2001-03-16 | 2004-10-13 | ソニー株式会社 | 情報処理装置および方法、記録媒体、並びにプログラム |
| JP3797937B2 (ja) * | 2002-02-04 | 2006-07-19 | 株式会社日立製作所 | ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置 |
| JP2004021666A (ja) | 2002-06-18 | 2004-01-22 | Hitachi Ltd | ネットワークシステム、サーバ、およびサーバ設定方法 |
| JP3573453B2 (ja) * | 2002-09-27 | 2004-10-06 | 松下電器産業株式会社 | 端末認証システム及び端末認証方法並びに端末認証サーバ |
| JP3961439B2 (ja) | 2003-03-31 | 2007-08-22 | 富士通サポートアンドサービス株式会社 | 指紋による個人認証システム |
| JP2004334610A (ja) * | 2003-05-09 | 2004-11-25 | Nec Corp | ローカルネットワーク管理サービス提供方法 |
| EP1736849A1 (en) * | 2004-04-15 | 2006-12-27 | Matsushita Electric Industrial Co., Ltd. | Access control device and electronic device |
| JP4410058B2 (ja) * | 2004-08-18 | 2010-02-03 | 日本電信電話株式会社 | ネットワーク運用サービス合成処理方法、ネットワーク運用装置、プログラム及び記録媒体 |
| JP4260759B2 (ja) * | 2005-02-18 | 2009-04-30 | 富士通株式会社 | 機器制御サービス提供プログラム、機器制御サービス提供システムおよび機器制御サービス提供方法 |
-
2006
- 2006-05-11 JP JP2006132930A patent/JP3992067B1/ja not_active Expired - Fee Related
-
2007
- 2007-05-11 WO PCT/JP2007/059731 patent/WO2007132764A1/ja active Application Filing
- 2007-05-11 KR KR1020087016557A patent/KR100969906B1/ko not_active IP Right Cessation
- 2007-05-11 CN CN2007800171376A patent/CN101443777B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007132764A1 (ja) | 2007-11-22 |
| CN101443777A (zh) | 2009-05-27 |
| JP2007306331A (ja) | 2007-11-22 |
| KR20080082971A (ko) | 2008-09-12 |
| CN101443777B (zh) | 2012-05-23 |
| KR100969906B1 (ko) | 2010-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2291979B1 (en) | Remote access between upnp devices | |
| CN104429037B8 (zh) | 用于连接到通信设备的方法、设备及*** | |
| US7934014B2 (en) | System for the internet connections, and server for routing connections to a client machine | |
| CN102291459B (zh) | 网络服务基础设施***和方法 | |
| US20200412708A1 (en) | Link protocol agents for inter-application communications | |
| JP3992067B1 (ja) | ネットワークシステム | |
| US8438218B2 (en) | Apparatus and method for providing accessible home network information in remote access environment | |
| CN101473597A (zh) | 远程访问通用即插即用装置的方法和*** | |
| KR101614945B1 (ko) | 홈 네트워크에서의 개인정보 보호 방법 및 장치 | |
| US20040125813A1 (en) | Gateway and its communicating method | |
| KR102270909B1 (ko) | 멀티미디어 공유 방법, 등록 방법, 서버 및 프록시 서버 | |
| TW200536308A (en) | Location system | |
| FI124341B (fi) | Laitejärjestely kiinteistöjen etähallinnan toteuttamiseksi | |
| JP2005204189A (ja) | アクセスユーザ管理システム、アクセスユーザ管理装置 | |
| CN101083594A (zh) | 一种网络设备的管理方法及装置 | |
| US8737413B2 (en) | Relay server and relay communication system | |
| CN104301197B (zh) | 一种实现用户多终端间相互发现的方法与*** | |
| JP2011055450A (ja) | 中継サーバ及び中継通信システム | |
| Cisco | Inter-process Communication | |
| Cisco | Inter-process Communication | |
| JP4992944B2 (ja) | 中継サーバ及び中継通信システム | |
| JP2008098937A (ja) | 仮想ネットワーク通信システムおよび通信端末 | |
| JP2005128652A (ja) | 複合サーバシステム | |
| JP4401302B2 (ja) | 通信管理システム、通信管理方法、及び通信管理プログラム | |
| JP2006268573A (ja) | 情報処理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070703 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070716 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 3992067 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100803 Year of fee payment: 3 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100803 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110803 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120803 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130803 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |