JP2007072856A - Network service security system and network service security method - Google Patents
Network service security system and network service security method Download PDFInfo
- Publication number
- JP2007072856A JP2007072856A JP2005260563A JP2005260563A JP2007072856A JP 2007072856 A JP2007072856 A JP 2007072856A JP 2005260563 A JP2005260563 A JP 2005260563A JP 2005260563 A JP2005260563 A JP 2005260563A JP 2007072856 A JP2007072856 A JP 2007072856A
- Authority
- JP
- Japan
- Prior art keywords
- service
- port
- network
- server
- gate device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
Description
本発明は、特に、不正アクセス等の攻撃にさらされるインターネット環境でネットワークを介して行なわれるサービスに係り、サーバ装置およびゲート装置、またそのローカルに接続された機器への不正アクセスを防御するためのネットワークサービスセキュリティシステムおよびネットワークサービスセキュリティ方法に関する。 In particular, the present invention relates to a service performed via a network in an Internet environment exposed to an attack such as unauthorized access, and the like to prevent unauthorized access to a server device and a gate device, and a locally connected device. The present invention relates to a network service security system and a network service security method.
ホームネットワーク上の機器を遠隔家電制御するホームコントロールシステムにおいて、サービスを実現するアプリケーションは、ある既定のポートで信号を待ち受けるため、そのポートは、常時開かれている必要がある。既定のポート番号は、公開されているため、そのポート番号を狙った不正アクセスが発生する。 In a home control system that controls devices on a home network by remote home appliances, an application that implements a service waits for a signal at a certain predetermined port. Therefore, the port needs to be always open. Since the default port number is open to the public, unauthorized access targeting that port number occurs.
そこで、該不正アクセスを防ぐために、一般的に既定でない第2のポート番号を、アクセスを許可するゲート装置に事前に通知し、その第2のポートを使用して通信を行うことで、受信後にサービスを実現するアプリケーションに引き渡す仕組みを有する技術がある。また、ファイアウォールを用いて、要求信号に対する応答信号のみ、外部からの受信を受け付ける方法を用い、サーバ装置側からの要求の場合には、一定間隔で定期的にゲート装置側からサービス要求の有無を確認する仕組みで対応する技術もある。なおホームコントロールシステムに対する不正アクセスへの対応技術として特許文献1に公開されている。
ところで、近年、情報家電等のネットワーク機器が高度化され、出先から宅内の機器を遠隔コントロールするニーズ等も高まっており、安全かつリアルタイム性のあるデータ送受信を低コストで提供する技術の必要性は高い。 By the way, in recent years, network appliances such as information home appliances have become more sophisticated, and the need for remote control of home appliances from whereabouts has increased, and the need for technology to provide safe and real-time data transmission and reception at low cost high.
しかしながら、上述した従来技術による、ゲート装置とサーバ装置間のデータ送受信方法では、一般的に既定でない第2のポートを使用したとしても、そのポートは、不特定多数に対して常時開かれているため、第三者がポートスキャン等を実施して開かれているポートを探索し、不正アクセスされてしまう危険性が高いという問題がある。ポートスキャン等の不正アクセスに利用できるソフトウェアは、インターネットで無料配布されており容易に実施が可能である。 However, in the data transmission / reception method between the gate device and the server device according to the above-described prior art, even if a second port that is not generally specified is used, the port is always open to an unspecified number of people. Therefore, there is a problem that there is a high risk that a third party searches for an open port by performing a port scan or the like and is illegally accessed. Software that can be used for unauthorized access such as port scanning is distributed free of charge on the Internet and can be easily implemented.
また、ファイアウォールを用いて一定間隔で定期的にゲート装置側からサービス要求の有無をサーバ装置に確認する仕組みを有する技術を用いた場合、確認周期のインターバルが発生し、リアルタイム性を欠いてしまうという問題がある。インターバルを短くすると、各装置やネットワークへの処理負担が高くなり、設備の高性能化によるコスト増となるという問題がある。 In addition, when using a technology that has a mechanism for checking the presence or absence of a service request from the gate device side to the server device at regular intervals using a firewall, a confirmation cycle interval occurs, and real-time performance is lacking. There's a problem. If the interval is shortened, there is a problem that the processing load on each device and the network increases, and the cost increases due to the high performance of the equipment.
本発明は、このような事情を考慮してなされたものであり、その目的は、リアルタイム性を欠くことなく、不正アクセスを防止することができるネットワークサービスセキュリティシステムおよびネットワークサービスセキュリティ方法を提供することにある。 The present invention has been made in view of such circumstances, and an object of the present invention is to provide a network service security system and a network service security method capable of preventing unauthorized access without losing real-time characteristics. It is in.
上述した課題を解決するために、本発明は、サービス提供元から提供されるサービスに基づいて、宅内ネットワークに接続された機器を、ネットワークを介して遠隔制御手段により遠隔制御するネットワークサービスセキュリティシステムであって、前記遠隔制御手段によりサービスの要求が発生する度に、常時開放されている第1のポートを用いて、サービスのためのデータ送受信に用いる第2のポートのポート番号を通知する、前記ネットワークを介して前記サービスサーバに接続されている制御サーバと、前記第1のポートを用いて通知された第2のポートのポート番号を受信すると、当該通知されたポート番号で示される第2のポートを開放し、該第2のポートを用いて、前記サービスサーバとサービスのためのデータ送受信を行う、前記宅内ネットワークを介して前記機器に接続されているゲート装置とを具備することを特徴とする。 In order to solve the above-described problems, the present invention provides a network service security system in which a device connected to a home network is remotely controlled by a remote control unit via a network based on a service provided by a service provider. Each time a request for a service is generated by the remote control means, the first port that is always open is used to notify the port number of the second port used for data transmission / reception for the service, When receiving the control server connected to the service server via the network and the port number of the second port notified using the first port, the second port indicated by the notified port number is received. Open the port and use the second port to exchange data for the service with the service server Characterized by comprising a gate device connected to the device via the home network.
また本発明は、サービス提供元から提供されるサービスに基づいて、宅内ネットワークに接続された機器を、ネットワークを介して遠隔制御手段により遠隔制御するネットワークサービスにおいて、サービスに使用した開いているポートを、サービス終了時に直ちに閉じるゲート装置を具備することを特徴とする。 The present invention also provides an open port used for a service in a network service in which a device connected to a home network is remotely controlled by a remote control means via a network based on a service provided by a service provider. A gate device that is immediately closed when the service ends is provided.
また本発明は、サービス提供元から提供されるサービスに基づいて、宅内ネットワークに接続された機器を、ネットワークを介して遠隔制御手段により遠隔制御するネットワークサービスにおいて、サービスで使用するポートの払い出しについて、毎回異なるポートの払い出しを行なうゲート装置を具備することを特徴とする。 Further, the present invention relates to payout of ports used in a service in a network service in which a device connected to a home network is remotely controlled by a remote control means via a network based on a service provided by a service provider. It is characterized by comprising a gate device for paying out a different port each time.
また本発明は、前記制御サーバは、前記遠隔制御手段により要求されたサービスのサービスIDを受信するサービスID受信手段と、そのサービスID含むポートオープン要求を前記ゲート装置に送信するポートオープン要求手段と、を備え、前記ゲート装置は、前記サービスIDと当該サービスIDに対応するアプリケーションとを対応付けて記憶するアプリケーション対応表記憶部と、前記ポートオープン要求に含まれるサービスIDに基づいて、対応するアプリケーションを前記アプリケーション識別用記憶部から読み取り、前記第2のポートのポート番号で受信する前記サービスIDのサービスのデータを、前記読み取ったアプリケーションのポートに転送する転送設定を生成して記憶し、ポートオープン完了を前記制御サーバへ通知する転送設定手段と、前記サービスIDのサービスのデータを前記第2のポートで受信した場合に、当該データを前記転送設定に基づいてアプリケーションに通知するサービス制御手段と、を備えることを特徴とする。 According to the present invention, the control server includes a service ID receiving unit that receives a service ID of a service requested by the remote control unit, and a port open request unit that transmits a port open request including the service ID to the gate device. The gate device includes an application correspondence table storage unit that stores the service ID and an application corresponding to the service ID in association with each other, and a corresponding application based on the service ID included in the port open request. Is generated from the application identification storage unit, and the transfer setting for transferring the service data of the service ID received at the port number of the second port to the read application port is generated and stored, and the port is opened. Pass completion to the control server Transfer setting means, and service control means for notifying the application of the data based on the transfer setting when the service data of the service ID is received at the second port. .
また本発明は、前記制御サーバは、前記ゲート装置からのポートオープン完了通知を受けると、ゲート装置のアドレス情報、前記第2のポートのポート番号、セッションIDを前記サービスサーバに通知することを特徴とする。 In the present invention, when the control server receives a port open completion notification from the gate device, the control server notifies the service server of the address information of the gate device, the port number of the second port, and the session ID. And
また、上述した課題を解決するために、本発明は、サービス提供元から提供されるサービスに基づいて、宅内ネットワークに接続された機器を、ネットワークを介して遠隔制御手段により遠隔制御するネットワークサービスセキュリティ方法であって、前記遠隔制御手段によりサービスの要求が発生する度に、常時開放されている第1のポートを用いて、サービスのためのデータ送受信に用いる第2のポートのポート番号を、前記ネットワークを介して前記サービスサーバに接続されている制御サーバから前記宅内ネットワークを介して前記機器に接続されているゲート装置に通知し、前記第1のポートを用いて通知された第2のポートのポート番号で示される第2のポートを開放し、該第2のポートを用いて、前記制御サーバを介して、前記ゲート装置と前記サービスサーバとの間で、サービスのためのデータ送受信を行い、サービスが終了すると直ちに前記第2のポートを閉じることを特徴とする。 In order to solve the above-described problems, the present invention provides network service security in which a device connected to a home network is remotely controlled by a remote control means via a network based on a service provided by a service provider. A method for providing a port number of a second port used for data transmission / reception for a service using a first port that is always open each time a service request is generated by the remote control means, The control server connected to the service server via the network notifies the gate device connected to the device via the home network, and the second port notified using the first port The second port indicated by the port number is opened, and the second port is used to send the previous port through the control server. Between the gate device and the service server, performs data transmission and reception for the service, the service is equal to or close immediately the second port when finished.
この発明によれば、ネットワークを介して前記サービスサーバに接続されている制御サーバが遠隔制御手段によりサービスの要求が発生する度に、常時開放されている第1のポートを用いて、サービスのためのデータ送受信に用いる第2のポートのポート番号を通知し、宅内ネットワークを介して前記機器に接続されているゲート装置が、前記第1のポートを用いて通知された第2のポートのポート番号を受信すると、当該通知されたポート番号で示される第2のポートを開放し、該第2のポートを用いて、前記サービスサーバとサービスのためのデータ送受信を行う。したがって、リアルタイム性を欠くことなく、不正アクセスを防止することができるという利点が得られる。 According to the present invention, the control server connected to the service server via the network uses the first port that is always open every time a request for service is generated by the remote control means. The port number of the second port used for data transmission / reception is notified, and the port number of the second port notified by the gate device connected to the device via the home network using the first port Is received, the second port indicated by the notified port number is opened, and data transmission / reception for the service is performed with the service server using the second port. Therefore, there is an advantage that unauthorized access can be prevented without lacking real-time characteristics.
また、本発明によれば、サービス提供元から提供されるサービスに基づいて、宅内ネットワークに接続された機器を、ネットワークを介して遠隔制御手段により遠隔制御するネットワークサービスにおいて、ゲート装置が、サービスに使用した開いているポートを、サービス終了時に直ちに閉じる。したがって、サービスのためのデータ送受信の瞬間のみ第2のポートが開かれるため、不正アクセスを受け得る時間を最小限に抑えることができるという利点が得られる。 Further, according to the present invention, in a network service in which a device connected to a home network is remotely controlled by a remote control means via a network based on a service provided by a service provider, Close any open ports used immediately upon service termination. Therefore, since the second port is opened only at the moment of data transmission / reception for the service, there is an advantage that the time during which unauthorized access can be received can be minimized.
また、本発明によれば、サービス提供元から提供されるサービスに基づいて、宅内ネットワークに接続された機器を、ネットワークを介して遠隔制御手段により遠隔制御するネットワークサービスにおいて、ゲート装置サービスで使用するポートの払い出しについて、毎回異なるポートの払い出しを行なう。したがって、リアルタイム性を欠くことなく、不正アクセスを防止することができるという利点が得られる。 In addition, according to the present invention, a gate device service is used in a network service in which a device connected to a home network is remotely controlled by a remote control means via a network based on a service provided by a service provider. Regarding port payout, payout of a different port each time. Therefore, there is an advantage that unauthorized access can be prevented without lacking real-time characteristics.
また、本発明によれば、1台の前記ゲート装置で複数の異なるサービス提供元のサービスに対応可能である。 In addition, according to the present invention, it is possible to deal with services of a plurality of different service providers by using one gate device.
また、本発明によれば、1台の前記ゲート装置で複数のサービスを同時に処理可能である。 In addition, according to the present invention, it is possible to simultaneously process a plurality of services with a single gate device.
また、 この発明によれば、ネットワークを介して前記サービスサーバに接続されている制御サーバが遠隔制御手段によりサービスの要求が発生する度に、常時開放されている第1のポートを用いて、サービスのためのデータ送受信に用いる第2のポートのポート番号を通知し、宅内ネットワークを介して前記機器に接続されているゲート装置が、前記第1のポートを用いて通知された第2のポートのポート番号を受信すると、当該通知されたポート番号で示される第2のポートを開放し、該第2のポートを用いて、前記サービスサーバとサービスのためのデータ送受信を行う。したがって、リアルタイム性を欠くことなく、不正アクセスを防止することができるという利点が得られる。 According to the present invention, the control server connected to the service server via the network uses the first port that is always open every time a service request is generated by the remote control means. The port number of the second port used for data transmission / reception for the device is notified, and the gate device connected to the device via the home network is notified of the second port notified using the first port. When the port number is received, the second port indicated by the notified port number is opened, and data transmission / reception for service with the service server is performed using the second port. Therefore, there is an advantage that unauthorized access can be prevented without lacking real-time characteristics.
以下、図面を参照し、この発明の実施の形態について説明する。 Embodiments of the present invention will be described below with reference to the drawings.
A.実施形態の構成
図1は、本発明の実施形態による、サーバ装置とゲート装置間のデータ送受信におけるセキュリティ方法を適用したネットワークサービス管理システムの構成を示すブロック図である。図において、機器1−1〜1−3は、宅内に設置される、ネットワーク機器であり、ローカルネットワークを介してゲート装置2に接続されている。ゲート装置2は、機器1−1〜1−3をIPネットワーク3に接続するための機器であり、プライベートアドレスとIPネットワーク側のアドレスとの変換などを行う。該ゲート装置2の詳細については後述する。
A. Configuration of Embodiment FIG. 1 is a block diagram showing a configuration of a network service management system to which a security method in data transmission / reception between a server device and a gate device is applied according to an embodiment of the present invention. In the figure, devices 1-1 to 1-3 are network devices installed in a house, and are connected to the
制御サーバ4は、IPネットワーク5を介してサービス提供元6のサービスサーバ7に接続するとともに、サービス提供元6のサービスをユーザが選択するためのサービスメニューを、IPネットワーク5、インターネット8を介して遠隔端末9に配信する。該制御サーバ4の詳細については後述する。
The
次に、サービスサーバ7は、サービス提供元6が提供するサービスのアプリケーションを具備し、ゲート装置2の該当アプリケーションまたはプライベートネットワーク上の機器1−1〜1−3と制御サーバ4、ゲート装置2を介して通信してサービスを提供する。なお、物理的には制御サーバ4がサービスサーバ7の役割を兼ねてもよい。
Next, the service server 7 includes an application of a service provided by the
遠隔端末9は、遠隔地に設置され、サービスサーバ7からインターネット8を介して接続される。遠隔端末9は、ブラウザ機能を有し、ユーザによる遠隔制御要求や結果受信等を可能とする。また、遠隔端末9は、インターネット8を介して制御サーバ4に接続し、制御サーバ4にてパスワード認証等の認証処理等を経てからサービスサーバ7へリダイレクトしてもよい。
The
次に、図2は、上述したゲート装置2の構成を示すブロック図である。図において、ゲート装置2は、コントローラ2−1、FW(Fire Wall:ファイアウォール)&NAPT(Network Address Port Translation)2−2、個々のサービスアプリケーション2−3から構成されている。コントローラ2−1は、FW&NAPT2−2の制御を行う。FW&NAPT2−2は、コントローラ2−1からの指示により、ポートの開閉や、プライベートアドレスとIPネットワーク側のアドレスとの変換を行う。アドレス変換は、1個のIPネットワーク側アドレスに、n個のプライベートアドレスがマッピングできるNAPT機能(または、IPマスカレード機能)を有する。コントローラ2−1は、サービスを一意に特定するサービスIDと、該サービスIDに対応したアプリケーション位置情報(アドレス情報とポート番号などで構成される情報)とを組としたアプリケーション対応表を具備する。
Next, FIG. 2 is a block diagram showing a configuration of the
次に、図3は、上述した制御サーバ4の構成を示すブロック図である。図において、制御サーバ4は、ゲート装置2と同様な機能を有するコントローラ4−1、FW&NAPT4−2を具備しており、IPネットワーク5を介してサービス提供元6のサービスサーバ7に接続する。
Next, FIG. 3 is a block diagram showing the configuration of the
B.実施形態の動作
次に、上述した本実施形態の動作について説明する。ここで、図4は、本実施形態によるネットワークサービス管理システムの動作を説明するためのシーケンス図である。図4に示すシーケンスでは、遠隔端末9からサービスの要求が発生し、ゲート装置2と制御サーバ4のそれぞれでサービスに利用するポート番号を払い出し、公開された第1のポート(サービスポート通知用ポート)を用いて互いの第2のポート(サービス用ポート)のポート番号を通知し合い、その後、その第2のポート(サービス用ポート)を使用してサービスのためのデータ送受信を実施するまでの動作を示している。
B. Operation of Embodiment Next, the operation of the above-described embodiment will be described. Here, FIG. 4 is a sequence diagram for explaining the operation of the network service management system according to the present embodiment. In the sequence shown in FIG. 4, a service request is generated from the
まずユーザが、選択したサービスを遠隔端末9に入力すると、遠隔端末9がサービス実行要求をサービスサーバ7に送信する(S1)。このとき、ゲート装置2を一意に特定するためのゲート装置IDを伝える。遠隔端末9からサービス実行要求を受けたサービスサーバ7は、制御サーバ4に対し、サービスで使用するポートオープンの要求を送信する(S2)。この際、今回のサービスを一意に特定するサービスIDやゲート装置IDも伝える。ポートオープンの要求を受けた制御サーバ4は、サービスに使用するポート番号(B2)を払い出し(S3)、そのサービス用ポートB2を開き(S4)、これと同時に、ゲート装置2のサービスポート通知用ポートA1へポート番号(B2)を送信する(S5)。
First, when the user inputs the selected service to the
ゲート装置2は、それを受け、ゲート装置2にてサービスに使用するサービス用ポートA2のポート番号(A2)を払い出(S6)す。そしてゲート装置2は、サービス用ポートA2から、ゲート装置2のローカルでアプリケーションが待受けるポートへの転送設定を行なう。この転送設定においてゲート装置2は、まず、アプリケーション対応表(サービスIDとアプリケーションのポート番号の対応表)からサービスIDをキー情報としてアプリケーションのポートを検索し、その検索結果をポート番号A2でサービスデータを受けた際の転送先とし、また送信元を制御サーバ4またはサービスサーバ7のアドレス情報として、それらを関連づけてNAPT設定として登録する(S7)。これによりゲート装置2においてサービスIDとサービスアプリケーションの対応関係が登録されるので、サービスIDに応じた複数の異なるサービス提供元のサービスの処理に対応することができる。そして、サービス用ポートA2を開き(S8)、これと同時に、サービス用ポートA2のポート番号(A2)を制御サーバ4の送信元ポートへ通知する(S9)。
The
次に、制御サーバ4は、ゲート装置2でサービスに使用するサービス用ポートA2のポート番号(A2)を受け、今回のサービス処理で使用する互いのポート番号の取得とポートオープンが完了したことをサービスサーバ7へ通知する(S10)。その際、ゲート装置2のアドレス情報、サービス用ポートA2(ポートID)、本セッションを特定するためのセッションIDも通知する。これにより、制御サーバ4は同一サービスの処理をサービスサーバ7が実行要求した場合には、複数の異なるセッションIDで管理する。これにより、複数の同一サービスの実行要求について同時に処理を行なうことができる。サービスサーバ7は、それを受け、サービス制御信号を制御サーバ4へ送信する(S11)。制御サーバ4は、先に払い出したサービス用ポートB2からゲート装置2のサービス用ポートA2へサービスサーバ7より受けたサービス制御信号を送る(S12)。
Next, the
サービス制御信号を受けたゲート装置2は、ステップS7で設定したNAPTによりサービス制御信号を該当のサービスアプリケーション2−3へ転送する(S13)。ゲート装置2のローカルのサービスアプリケーション2−3とサービスサーバ7の間で、必要なサービス信号の授受が行なわれ(S14)、それに応じ遠隔端末9に結果が表示される(S15)。
The
サービス信号の授受が終了すると、サービスサーバ7より制御サーバ4へセッションIDを指定してポートクローズ要求が送信される(S16)。制御サーバ4は、サービス用ポートB2をクローズし(S17)、ゲート装置2のサービスポート通知用ポートA1へポートクローズ要求を送信する(S18)。なお、サービスサーバ7からポートクローズ要求が来ないような場合には、予め設定しておいた一定間隔後に、制御サーバ4がゲート装置2にポートクローズ要求信号を要求してもよい。
When the transmission / reception of the service signal ends, the service server 7 designates a session ID to the
ゲート装置2は、サービス用ポートA2をクローズし(S19)、制御サーバ4の送信元ポートへポートクローズ完了を通知する(S20)。また、ステップS7で設定した今回のサービスのNAPT設定を解除する。制御サーバ4は、サービスサーバ7にポートクローズ完了を通知する(S21)。なお、サービスサーバ7からりポートクローズ要求が来ないような場合には、予め設定しておいた一定間隔後にゲート装置2がサービス用ポートA2をクローズしてもよい。
The
上述したシーケンスは、あくまで一例であり、ポートオープンのタイミングなどにバリエーションがあり得る。このため、本発明の主旨を逸脱しない範囲の変更は可能である。例えば、Webサーバ機能を有したネットワーク機器をゲート装置2のローカルに接続した場合、ポートオープン後、遠隔端末9より、直接、ネットワーク機器へアクセスする形態もありえる。また遠隔端末9の機能を制御サーバ4が備えるようにしてもよい。
The above-described sequence is merely an example, and there may be variations in port opening timing. For this reason, the change of the range which does not deviate from the main point of this invention is possible. For example, when a network device having a Web server function is connected locally to the
以上説明したように、本実施形態によれば、サービスが発生する度に異なるサービス用ポート番号で、かつそのポート番号の通信は送受信元の装置を限定して払い出し、サービスのためのデータ送受信を実施するときのみそのポートを開く。このため、ポートスキャンによる開放ポート探索の実施は極めて困難である。また、通常、機器制御等のためのデータ送受信にかかる時間は、数秒程度であり、不正アクセスを受け得る時間を最小限に留められる。また、サービスが発生する度に通信が利用可能となるために、遠隔からの要求に対してリアルタイムな安全な通信が可能である。これにより、様々な遠隔地からのリアルタイム要求に対応し、かつ不正アクセスを強力に防御する効果を奏する。 As described above, according to the present embodiment, a service port number that is different every time a service is generated, and communication of that port number is limited to a transmission / reception source device, and data transmission / reception for service is performed. Open the port only when you want to do it. For this reason, it is extremely difficult to perform an open port search by port scanning. Further, the time required for data transmission / reception for device control or the like is usually about several seconds, and the time during which unauthorized access can be received is minimized. In addition, since communication is available every time a service is generated, real-time secure communication is possible in response to a remote request. As a result, it is possible to respond to real-time requests from various remote locations and to effectively prevent unauthorized access.
なお、上述した実施形態においては、上述したゲート装置2、制御サーバ4などによる一連の処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。すなわち、ゲート装置2、制御サーバ4などにおける、各処理手段、処理部は、CPU等の中央演算処理装置がROMやRAM等の主記憶装置に上記プログラムを読み出して、情報の加工・演算処理を実行することにより、実現されるものである。
In the above-described embodiment, the series of processes performed by the
ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。 Here, the computer-readable recording medium means a magnetic disk, a magneto-optical disk, a CD-ROM, a DVD-ROM, a semiconductor memory, or the like. Alternatively, the computer program may be distributed to the computer via a communication line, and the computer that has received the distribution may execute the program.
1−1〜1−3 機器
2 ゲート装置
2−1 コントローラ
2−2 FW&NAPT(ファイアウォール手段)
2−3 サービスアプリケーション
3 IPネットワーク
4 制御サーバ
4−1 コントローラ
4−2 FW&NAPT(ファイアウォール手段)
5 IPネットワーク(閉域網)
6 サービス提供元
7 サービスサーバ
8 インターネット
9 遠隔端末
A1、B1 サービスポート通知用ポート(第1のポート)
A2、B2 サービス用ポート(第2のポート)
1-1 to 1-3
2-3
5 IP network (closed network)
6 Service provider 7
A2, B2 Service port (second port)
Claims (6)
前記遠隔制御手段によりサービスの要求が発生する度に、常時開放されている第1のポートを用いて、サービスのためのデータ送受信に用いる第2のポートのポート番号を通知する、前記ネットワークを介して前記サービスサーバに接続されている制御サーバと、
前記第1のポートを用いて通知された第2のポートのポート番号を受信すると、当該通知されたポート番号で示される第2のポートを開放し、該第2のポートを用いて、前記サービスサーバとサービスのためのデータ送受信を行う、前記宅内ネットワークを介して前記機器に接続されているゲート装置と
を具備することを特徴とするネットワークサービスセキュリティシステム。 A network service security system for remotely controlling a device connected to a home network by remote control means via a network based on a service provided by a service provider,
Via the network, the port number of the second port used for data transmission / reception for the service is notified using the first port that is always open every time a request for service is generated by the remote control means. A control server connected to the service server,
When the port number of the second port notified using the first port is received, the second port indicated by the notified port number is opened, and the service is transmitted using the second port. A network service security system comprising: a gate device connected to the device via the home network for transmitting and receiving data for a service with a server.
サービスに使用した開いているポートを、サービス終了時に直ちに閉じるゲート装置
を具備することを特徴とするネットワークサービスセキュリティシステム。 In a network service in which a device connected to a home network is remotely controlled by a remote control means via a network based on a service provided by a service provider.
A network service security system comprising a gate device that immediately closes an open port used for a service when the service ends.
サービスで使用するポートの払い出しについて、毎回異なるポートの払い出しを行なうゲート装置
を具備することを特徴とするネットワークサービスセキュリティシステム。 In a network service in which a device connected to a home network is remotely controlled by a remote control means via a network based on a service provided by a service provider.
A network service security system comprising a gate device that pays out a different port each time a port used for service is paid out.
前記遠隔制御手段により要求されたサービスのサービスIDを受信するサービスID受信手段と、
そのサービスID含むポートオープン要求を前記ゲート装置に送信するポートオープン要求手段と、を備え、
前記ゲート装置は、
前記サービスIDと当該サービスIDに対応するアプリケーションとを対応付けて記憶するアプリケーション対応表記憶部と、
前記ポートオープン要求に含まれるサービスIDに基づいて、対応するアプリケーションを前記アプリケーション識別用記憶部から読み取り、前記第2のポートのポート番号で受信する前記サービスIDのサービスのデータを、前記読み取ったアプリケーションのポートに転送する転送設定を生成して記憶し、ポートオープン完了を前記制御サーバへ通知する転送設定手段と、
前記サービスIDのサービスのデータを前記第2のポートで受信した場合に、当該データを前記転送設定に基づいてアプリケーションに通知するサービス制御手段と、を備える
ことを特徴とする請求項1から請求項3に記載のネットワークサービスセキュリティシステム。 The control server
Service ID receiving means for receiving a service ID of a service requested by the remote control means;
A port open request means for transmitting a port open request including the service ID to the gate device,
The gate device is
An application correspondence table storage unit that stores the service ID and the application corresponding to the service ID in association with each other;
Based on the service ID included in the port open request, the corresponding application is read from the application identification storage unit, and the service data of the service ID received at the port number of the second port is the read application. Transfer setting means for generating and storing a transfer setting to be transferred to a port of the server, and notifying the control server of completion of port opening;
The service control means for notifying the application of the data of the service ID of the service ID to the application based on the transfer setting when the second port receives the service data. 3. The network service security system according to 3.
前記ゲート装置からのポートオープン完了通知を受けると、ゲート装置のアドレス情報、前記第2のポートのポート番号、セッションIDを前記サービスサーバに通知する
ことを特徴とする請求項4に記載のネットワークサービスセキュリティシステム。 The control server
5. The network service according to claim 4, wherein upon receiving a port open completion notification from the gate device, the address information of the gate device, the port number of the second port, and a session ID are notified to the service server. Security system.
前記遠隔制御手段によりサービスの要求が発生する度に、常時開放されている第1のポートを用いて、サービスのためのデータ送受信に用いる第2のポートのポート番号を、前記ネットワークを介して前記サービスサーバに接続されている制御サーバから前記宅内ネットワークを介して前記機器に接続されているゲート装置に通知し、
前記第1のポートを用いて通知された第2のポートのポート番号で示される第2のポートを開放し、該第2のポートを用いて、前記制御サーバを介して、前記ゲート装置と前記サービスサーバとの間で、サービスのためのデータ送受信を行い、サービスが終了すると直ちに前記第2のポートを閉じることを特徴とするネットワークサービスセキュリティ方法。
A network service security method for remotely controlling a device connected to a home network by a remote control means via a network based on a service provided by a service provider,
Whenever a service request is generated by the remote control means, the port number of the second port used for data transmission / reception for the service is sent via the network using the first port that is always open. Notify the gate device connected to the device via the home network from the control server connected to the service server,
The second port indicated by the port number of the second port notified using the first port is opened, and the gate device and the gate are connected via the control server using the second port. A network service security method comprising: transmitting and receiving data for a service to and from a service server; and closing the second port as soon as the service ends.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005260563A JP4647440B2 (en) | 2005-09-08 | 2005-09-08 | Network service security system and network service security method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005260563A JP4647440B2 (en) | 2005-09-08 | 2005-09-08 | Network service security system and network service security method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007072856A true JP2007072856A (en) | 2007-03-22 |
JP4647440B2 JP4647440B2 (en) | 2011-03-09 |
Family
ID=37934232
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005260563A Active JP4647440B2 (en) | 2005-09-08 | 2005-09-08 | Network service security system and network service security method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4647440B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012098924A (en) * | 2010-11-02 | 2012-05-24 | Hitachi Ltd | Access right management device, access right management system, access right management method and access right management program |
JP2014526086A (en) * | 2011-06-30 | 2014-10-02 | アマゾン・テクノロジーズ・インコーポレーテッド | Storage gateway startup process |
JP2020160984A (en) * | 2019-03-27 | 2020-10-01 | 日本電気通信システム株式会社 | Data collection side device, data use side device, and communication method |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1132088A (en) * | 1997-07-11 | 1999-02-02 | Hitachi Ltd | Network system |
JPH1132075A (en) * | 1997-07-08 | 1999-02-02 | Oki Electric Ind Co Ltd | Service-providing system for computer |
JP2002091931A (en) * | 2000-09-12 | 2002-03-29 | Toshiba Corp | Monitoring and control system |
JP2002281169A (en) * | 2001-03-19 | 2002-09-27 | Hitachi Ltd | System, method, and adaptor for remote control and service equipment |
JP2003153348A (en) * | 2001-11-13 | 2003-05-23 | Toshiba Corp | Server and control system of home electric appliance |
JP2003345686A (en) * | 2002-05-23 | 2003-12-05 | Matsushita Electric Ind Co Ltd | Method, apparatus, and program for home network electrical appliance remote operation |
JP2004508768A (en) * | 2000-09-05 | 2004-03-18 | スターリング コマース,インコーポレイテッド | Secure dual channel communication system and method via firewall |
WO2004043046A1 (en) * | 2002-11-08 | 2004-05-21 | Koninklijke Philips Electronics N.V. | Method and apparatus allowing remote access in data networks |
JP2004252877A (en) * | 2003-02-21 | 2004-09-09 | Toshiba Corp | Communication system, server device, and socket communication method |
JP2004328027A (en) * | 2003-04-21 | 2004-11-18 | Matsushita Electric Ind Co Ltd | Relaying apparatus |
JP2005236728A (en) * | 2004-02-20 | 2005-09-02 | Matsushita Electric Ind Co Ltd | Server apparatus, request issuing the apparatus, request accepting apparatus, communications system and communication method |
JP2005346608A (en) * | 2004-06-07 | 2005-12-15 | Matsushita Electric Ind Co Ltd | Server system, communication equipment, communication system, communication method, program therefor, and recording medium thereof |
-
2005
- 2005-09-08 JP JP2005260563A patent/JP4647440B2/en active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1132075A (en) * | 1997-07-08 | 1999-02-02 | Oki Electric Ind Co Ltd | Service-providing system for computer |
JPH1132088A (en) * | 1997-07-11 | 1999-02-02 | Hitachi Ltd | Network system |
JP2004508768A (en) * | 2000-09-05 | 2004-03-18 | スターリング コマース,インコーポレイテッド | Secure dual channel communication system and method via firewall |
JP2002091931A (en) * | 2000-09-12 | 2002-03-29 | Toshiba Corp | Monitoring and control system |
JP2002281169A (en) * | 2001-03-19 | 2002-09-27 | Hitachi Ltd | System, method, and adaptor for remote control and service equipment |
JP2003153348A (en) * | 2001-11-13 | 2003-05-23 | Toshiba Corp | Server and control system of home electric appliance |
JP2003345686A (en) * | 2002-05-23 | 2003-12-05 | Matsushita Electric Ind Co Ltd | Method, apparatus, and program for home network electrical appliance remote operation |
WO2004043046A1 (en) * | 2002-11-08 | 2004-05-21 | Koninklijke Philips Electronics N.V. | Method and apparatus allowing remote access in data networks |
JP2004252877A (en) * | 2003-02-21 | 2004-09-09 | Toshiba Corp | Communication system, server device, and socket communication method |
JP2004328027A (en) * | 2003-04-21 | 2004-11-18 | Matsushita Electric Ind Co Ltd | Relaying apparatus |
JP2005236728A (en) * | 2004-02-20 | 2005-09-02 | Matsushita Electric Ind Co Ltd | Server apparatus, request issuing the apparatus, request accepting apparatus, communications system and communication method |
JP2005346608A (en) * | 2004-06-07 | 2005-12-15 | Matsushita Electric Ind Co Ltd | Server system, communication equipment, communication system, communication method, program therefor, and recording medium thereof |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012098924A (en) * | 2010-11-02 | 2012-05-24 | Hitachi Ltd | Access right management device, access right management system, access right management method and access right management program |
JP2014526086A (en) * | 2011-06-30 | 2014-10-02 | アマゾン・テクノロジーズ・インコーポレーテッド | Storage gateway startup process |
US9225697B2 (en) | 2011-06-30 | 2015-12-29 | Amazon Technologies, Inc. | Storage gateway activation process |
JP2020160984A (en) * | 2019-03-27 | 2020-10-01 | 日本電気通信システム株式会社 | Data collection side device, data use side device, and communication method |
JP7226784B2 (en) | 2019-03-27 | 2023-02-21 | 日本電気通信システム株式会社 | Data collecting side device, data using side device and communication method |
Also Published As
Publication number | Publication date |
---|---|
JP4647440B2 (en) | 2011-03-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3262689B2 (en) | Remote control system | |
JP4980882B2 (en) | Connection support device | |
US6948076B2 (en) | Communication system using home gateway and access server for preventing attacks to home network | |
CN1586065B (en) | Peer to peer network communication with network address translation | |
CN106656911B (en) | A kind of portal authentication method, access device and management server | |
US20090089353A1 (en) | Computer-readable medium storing relay program, relay device, and relay method | |
CN109587135A (en) | Service interaction plateform system based on tertiary-structure network | |
US20060173997A1 (en) | Method and apparatus for remote management of a monitoring system over the internet | |
JP4897503B2 (en) | Account linking system, account linking method, linkage server device | |
KR101252787B1 (en) | Security management system with multiple gateway servers and method thereof | |
JP2007128349A (en) | Network system, proxy server, session management method, and program | |
CN104468825B (en) | Remote-authorization method and system | |
CN106888184A (en) | Mobile terminal payment class application security method of payment and device | |
CN108966216A (en) | A kind of method of mobile communication and device applied to power distribution network | |
CN109548022A (en) | Method for mobile terminal user to remotely access local network | |
KR100651717B1 (en) | Method and home network system for authentication between remote terminal and home network using smart card | |
JP2011070513A (en) | Access control system, authentication server system, and access control program | |
JP4647440B2 (en) | Network service security system and network service security method | |
KR20110133709A (en) | System and method for control remote access to home network | |
JP4950095B2 (en) | Service providing system, service providing method, and service providing program | |
US20210099878A1 (en) | Method and System for Authorizing the Communication of a Network Node | |
JP2009188622A (en) | Access control system, access control method, access controller, and access control program | |
KR101757692B1 (en) | Remote control system of home network device using token server authentication and method thereof | |
JP2002084326A (en) | Device to be serviced, central unit and servicing device | |
JP2009211529A (en) | Authentication processing device, authentication processing method and authentication processing program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080825 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100817 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100831 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101101 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101130 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101208 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131217 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4647440 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |