JP3992067B1 - Network system - Google Patents

Network system Download PDF

Info

Publication number
JP3992067B1
JP3992067B1 JP2006132930A JP2006132930A JP3992067B1 JP 3992067 B1 JP3992067 B1 JP 3992067B1 JP 2006132930 A JP2006132930 A JP 2006132930A JP 2006132930 A JP2006132930 A JP 2006132930A JP 3992067 B1 JP3992067 B1 JP 3992067B1
Authority
JP
Japan
Prior art keywords
communication
lan
authentication server
local
center
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006132930A
Other languages
Japanese (ja)
Other versions
JP2007306331A (en
Inventor
弘達 篠宮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Electric Works Co Ltd
Original Assignee
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Works Ltd filed Critical Matsushita Electric Works Ltd
Priority to JP2006132930A priority Critical patent/JP3992067B1/en
Priority to PCT/JP2007/059731 priority patent/WO2007132764A1/en
Priority to KR1020087016557A priority patent/KR100969906B1/en
Priority to CN2007800171376A priority patent/CN101443777B/en
Application granted granted Critical
Publication of JP3992067B1 publication Critical patent/JP3992067B1/en
Publication of JP2007306331A publication Critical patent/JP2007306331A/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】WANが切断されてもローカル通信においてセキュア通信が行え、しかもLAN内での認証処理の負担が軽く且つローカル認証サーバでの設定が自動的に行えるネットワークシステムを提供することにある。
【解決手段】センターサーバ5内のセンターAS7Bは、LAN1側のゲートウェイ3内のローカルAS7Aから通知されるオブジェクトのOID及びインターフェースのIIDの組み合わせ情報に対応したLAN1内の通信に対応する許可情報をローカルAS7Aに予め送って当該ローカルAS7Aで許可判定を行う許可情報を設定する。ローカルAS7Aは、設備機器2同士の通信時に送信側の設備機器2のOIDと、オブジェクト実行対象となる受信側の設備機器2のオブジェクトのOID及びIID又はOIDのみ或いはIIDとの関係が、設定している許可情報に有れば、送信側の設備機器2に許可通知と認証キーの配信を行う。
【選択図】図1An object of the present invention is to provide a network system in which secure communication can be performed in local communication even when a WAN is disconnected, the burden of authentication processing in a LAN is light, and settings in a local authentication server can be automatically performed.
A center AS7B in a center server 5 provides permission information corresponding to communication in LAN1 corresponding to combination information of an object OID and an interface IID notified from a local AS7A in a gateway 3 on the LAN1 side. The permission information to be sent in advance to the AS 7A and to perform permission determination in the local AS 7A is set. The local AS 7A sets the relationship between the OID of the transmission-side facility device 2 and the OID and IID or only the OID of the object of the reception-side facility device 2 that is the object execution target or the IID during communication between the facility devices 2. If it is in the permission information, the permission notice and the authentication key are distributed to the equipment device 2 on the transmission side.
[Selection] Figure 1

Description

本発明は、通信機器間の通信許可を行うための認証サーバを備えたネットワークシステムに関するものである。   The present invention relates to a network system including an authentication server for permitting communication between communication devices.

従来、ネットワークシステムでのセキュア通信を行うために、認証サーバでの認証方式が良く採用されている(例えば特許文献1)。この場合認証サーバがインターネット等のWAN上のセンターサーバ上に配置されるため、集中統合管理が行え、スケーラブルなネットワークシステムに対応することができるという利点がある。   Conventionally, in order to perform secure communication in a network system, an authentication method using an authentication server is often employed (for example, Patent Document 1). In this case, since the authentication server is arranged on a center server on a WAN such as the Internet, there is an advantage that centralized integrated management can be performed and a scalable network system can be handled.

また、認証キーの生成を認証サーバ上で行うため、通信機器に負担をかけることなく、通信機器間の通信を暗号化通信で行うことができる。
特開2002−237812公報(段落0021−0022、0038−0045、図2、図4) Further, since the authentication key is generated on the authentication server, communication between communication devices can be performed by encrypted communication without imposing a burden on the communication device.
JP 2002-237812 (paragraphs 0021-0022, 0038-0045, FIGS. 2 and 4)

ところで、上述のような認証方式の場合、全ての通信機器の情報を認証サーバに登録しなければならず、LAN上での通信においてもWAN上の認証サーバと通信しなければならず、認証サーバが管理センター等に設置されている場合においてWANが切断されたときには、WAN上の認証サーバと通信できずに、認証キーの取得ができなくなるため、LAN上での通信も行えなくなるという課題があった。   By the way, in the case of the authentication method as described above, information of all communication devices must be registered in the authentication server, and communication on the LAN must be communicated with the authentication server on the WAN. Is installed in a management center or the like, and if the WAN is disconnected, it is impossible to communicate with the authentication server on the WAN, and the authentication key cannot be obtained. It was.

また予めネットワーク通信での認証サーバのアドレスを通信機器に設定しておかなければならなかった。   In addition, the address of the authentication server for network communication must be set in the communication device in advance.

本発明は、上述の点に鑑みて為されたもので、その目的とするところは、WANが切断されてもローカル通信においてセキュア通信が行え、しかもLAN内での認証処理の負担が軽く且つローカル認証サーバでの設定が自動的に行えるネットワークシステムを提供することにある。   The present invention has been made in view of the above-described points. The object of the present invention is to perform secure communication in local communication even if the WAN is disconnected, and to reduce the burden of authentication processing within the LAN and reduce local load. An object of the present invention is to provide a network system that can automatically set an authentication server.

上述の目的を達成するために、請求項1の発明では、識別子が付与されたオブジェクトを搭載し、前記識別子を用いた前記オブジェクトの実行要求があると、該オブジェクトを実行して予め定義されている情報処理を行う複数の通信機器をLAN上に接続するとともに、当該通信機器をWANを介して接続したネットワークシステムであって、
前記LANに接続されたローカル認証サーバと、前記LANが接続されるWAN上に接続されたセンター認証サーバとを備え、
前記ローカル認証サーバは、前記LAN上の前記各通信機器の搭載オブジェクトの識別子を基に当該各オブジェクトに対応したLAN内通信に関する許可情報を前記センター認証サーバから予め取得して設定する機能とを備え、
前記センター認証サーバは、LANに接続された通信機器同士の許可情報及びLANに接続された通信機器とWANを介して接続された通信機器との許可情報が予め設定され、前記ローカル認証サーバから通知されるオブジェクトの識別子に対応してLAN内通信に対応する前記許可情報を前記ローカル認証サーバに送る機能を備え、
前記ローカル認証サーバは、他の通信機器に対して前記オブジェクトの実行要求を送信しようとする通信機器から認証要求を受け取ると、通信を行う各通信機器のオブジェクトの識別子と予め設定している許可情報とを照合して許可判定を行い、LAN内での通信が許可されていると判定した場合に、当該認証要求元の通信機器並びに当該他の通信機器に認証キーの配信を行うことを特徴とする。 In order to achieve the above object, according to the first aspect of the present invention, an object to which an identifier is assigned is mounted, and when there is an execution request for the object using the identifier, the object is executed and defined in advance. A network system in which a plurality of communication devices that perform information processing are connected on a LAN and the communication devices are connected via a WAN .
A local authentication server connected to the LAN, and a center authentication server connected to a WAN to which the LAN is connected,
The local authentication server has a function of acquiring and setting permission information relating to intra-LAN communication corresponding to each object in advance from the center authentication server based on the identifier of the mounted object of each communication device on the LAN. ,
In the center authentication server, permission information between communication devices connected to the LAN and permission information between communication devices connected to the LAN and communication devices connected via the WAN are set in advance and notified from the local authentication server. A function of sending the permission information corresponding to intra-LAN communication to the local authentication server corresponding to the identifier of the object to be executed,
When the local authentication server receives an authentication request from a communication device that intends to transmit an object execution request to another communication device, the identifier of each communication device that performs communication and preset permission information The authentication key is distributed to the communication device that is the authentication request source and the other communication device when it is determined that communication within the LAN is permitted. To do.

請求項1の発明によれば、LAN内に認証のためのローカル認証サーバを設けることで、WANが切断されるような事態が発生してもLAN内でのセキュア通信を確保することができ、しかも認証のための許可情報はセンター認証サーバ側で集約し、ローカル認証サーバではLAN内の通信機器のみに対応する許可情報をセンター認証サーバから取得してローカル認証サーバでの設定が自動的に行えるシステム構築が容易である。   According to the invention of claim 1, by providing a local authentication server for authentication in the LAN, secure communication in the LAN can be ensured even if a situation where the WAN is disconnected occurs, In addition, the authorization information for authentication is collected on the center authentication server side, and the local authentication server can obtain the authorization information corresponding to only the communication device in the LAN from the center authentication server and automatically set the local authentication server. System construction is easy.

請求項2の発明では、請求項1の発明において、前記ローカル認証サーバは、各通信機器に対して搭載しているオブジェクトの識別子の要求を行って各オブジェクトの識別子の取得を行うとともに、取得したオブジェクトの識別子を前記センター認証サーバへ通知し、この通知に対応して前記センター認証サーバから送られてくる許可情報を取得して設定する初期設定機能を備えていることを特徴とする。   According to a second aspect of the invention, in the first aspect of the invention, the local authentication server makes a request for an identifier of an object mounted on each communication device to acquire the identifier of each object and acquires the identifier. An initial setting function for notifying the identifier of the object to the center authentication server and acquiring and setting permission information sent from the center authentication server in response to the notification is provided.

請求項2の発明によれば、システムスタート時にローカル認証サーバにおいて自動的に認証に必要なオブジェクトの識別子をLAN内の通信機器から取得するとともに、LAN内の通信機器のオブジェクトの識別子をセンター認証サーバへ通知することで、初期設定において通信機器側でWAN側の認証サーバのアドレスを設定する必要がなく、そのためユーザが特に意識することなくNAT(Network Address Translation)越えを簡単に実現できる。   According to the invention of claim 2, the identifier of the object necessary for authentication is automatically acquired from the communication device in the LAN at the local authentication server when the system is started, and the identifier of the object of the communication device in the LAN is obtained from the center authentication server. In the initial setting, there is no need to set the address of the authentication server on the WAN side on the communication device side in the initial setting, and therefore NAT (Network Address Translation) traversal can be easily realized without any particular awareness of the user.

請求項3の発明では、請求項1又は2の発明において、前記ローカル認証サーバは、前記許可判定を行い、LAN内での通信が許可されていない場合、通信機器側から前記認証要求と当該通信機器が搭載しているオブジェクトの識別子を前記センター認証サーバへ転送し、
前記センター認証サーバは、転送されてきた当該通信機器のオブジェクトの識別子と自己が保有する許可情報とに基づいて許可判定を行い、許可されていると判定した場合に認証キーを生成して前記ローカル認証サーバへ返信し、
前記ローカル認証サーバは、前記センター認証サーバから配信された認証キーを、認証要求元の通信機器並びに前記他の通信機器配信することを特徴とする。 In the invention of claim 3, in the invention of claim 1 or 2, the local authentication server performs the permission determination, and when communication within a LAN is not permitted, the authentication request from the communication device side and the Transfer the identifier of the object mounted on the communication device to the center authentication server,
The center authentication server performs permission determination based on the transferred object identifier of the communication device and the permission information held by itself, and generates an authentication key when it is determined to be permitted to generate the local key. Reply to the authentication server,
The local authentication server, the authentication key delivered from the central authentication server, characterized in that it delivered to the authentication requestor communication device and said other communication devices.

請求項3の発明によれば、LAN外の通信機器とLAN内の通信機器との間でもセキュア通信を行うことが可能となる。   According to the invention of claim 3, secure communication can be performed between a communication device outside the LAN and a communication device within the LAN.

本発明は、LAN内に認証のためのローカル認証サーバを設けることで、WANが切断されるような事態が発生してもLAN内でのセキュア通信を確保することができ、しかも認証のための許可情報はセンター認証サーバ側で集約し、ローカル認証サーバではLAN内の通信機器のみに対応する許可情報をセンター認証サーバから取得してローカル認証サーバでの設定が自動的に行え、システム構築が容易であるという効果がある。   By providing a local authentication server for authentication in the LAN, the present invention can secure secure communication in the LAN even if a situation in which the WAN is disconnected occurs. The authorization information is collected on the center authentication server side, and the local authentication server obtains authorization information corresponding only to communication devices in the LAN from the center authentication server and can be automatically set on the local authentication server, facilitating system construction. There is an effect that.

以下本発明を実施形態により説明する。
(実施形態1)
図1は、本実施形態のネットワークシステムのシステム図を示しており、ユーザエリアUにはイーサネット(登録商標)のような通信規格によるLAN1が設置され、LAN1に通信機器としての通信機能を備えたビルや住宅内に設置される空調機器、照明機器からなる複数の設備機器2…2が接続され、設備機器2…間でLAN内通信ができるようになっている。 Embodiments of the present invention will be described below.
(Embodiment 1)
FIG. 1 is a system diagram of a network system according to the present embodiment. A LAN 1 according to a communication standard such as Ethernet (registered trademark) is installed in a user area U, and the LAN 1 has a communication function as a communication device. A plurality of equipment 2 1 ... 2 n composed of air conditioning equipment and lighting equipment installed in a building or house is connected, and communication within the LAN can be performed between the equipment 2 1 .

またLAN1はゲートウェイ3のハブ部30により集線されるとともに、ゲートウェイ3内のイーサネット(登録商標)に対応するLAN用の通信部31及びモデム部32によってWANであるインターネット4に接続され、LAN1上の設備機器2…とインターネット4上の設備機器2との間でも通信ができるようにもなっている。 The LAN 1 is concentrated by the hub unit 30 of the gateway 3 and connected to the Internet 4 as a WAN by a LAN communication unit 31 and a modem unit 32 corresponding to Ethernet (registered trademark) in the gateway 3. which is also to be able to communicate well with the equipment 2 1 ... and equipment 2 0 on the Internet 4.

ゲートウェイ3は上述のハブ部30、通信部31及びモデム部32、以外に後述するオブジェクトアクセスサーバというサーバ機能部OAS<Object Access Saver>を備え、このサーバ機能部OAS内には認識装置の一部を構成する後述するローカル認証サーバ(以下ローカルAS<Authentication Sever>と略する)7Aの機能を備えている。   The gateway 3 includes a server function unit OAS <Object Access Saver> called an object access server, which will be described later, in addition to the hub unit 30, the communication unit 31, and the modem unit 32 described above, and a part of the recognition device is included in the server function unit OAS. A function of a later-described local authentication server (hereinafter abbreviated as local AS <Authentication Sever>) 7A is provided.

一方、インターネット4には上述の設備機器2以外にセンターサーバ5や、パソコン、携帯端末(携帯電話機、PDA等の通信機能付き端末)等のクライアント用端末6が接続されるようになっており、センターサーバ5はゲートウェイと同様なサーバ機能部OASを備え、このサーバ機能部OAS内には、ローカルAS7Aとともに認証装置を構成するセンターAS7Bの機能を備えている。 On the other hand, the Internet 4 and the center server 5 in addition to equipment 2 0 described above, personal computers, mobile terminals are adapted to the client terminals 6, such as (mobile phone, communication function terminal such as a PDA) is connected The center server 5 includes a server function unit OAS similar to the gateway, and the server function unit OAS includes a function of the center AS 7B that constitutes an authentication device together with the local AS 7A.

ここで本システムに用いる設備機器2(2…2)の基本的な構成は、図2(a)に示すように設備機器独自のサービスを提供するための機能部20と、この機能部20にインターフェース部21とバス22とを介して動作指示(動作制御)するための関数を与えたり、機能部20の現在状態を示す変数を取得したり、更には機能部20の状態変換が発生したことを示すイベント情報を取得する処理を行う情報処理部23と、ネットワーク通信(イーサネット(登録商標)規格の通信)のための通信部24と、情報処理部23の記憶部25には本システムにおけるオブジェクト機能を実現するためのモジュール部MOS<Micro Object Server>を組み込んである。 Here, the basic configuration of the equipment 2 (2 0 ... 2 n ) used in the present system includes a functional unit 20 for providing a service unique to the equipment as shown in FIG. 20 is given a function for instructing operation (operation control) via the interface unit 21 and the bus 22, a variable indicating the current state of the function unit 20 is obtained, and further, state conversion of the function unit 20 occurs. The information processing unit 23 that performs processing for acquiring event information indicating that the communication has been performed, the communication unit 24 for network communication (Ethernet (registered trademark) standard communication), and the storage unit 25 of the information processing unit 23 include the present system. The module part MOS <Micro Object Server> for realizing the object function is incorporated.

このモジュール部MOSは、図2(b)に示すように設備機器2のためのアプリケーション部26と、OSI7階層モデルに対応したソフトウェア通信モジュール27と、機能部20との間の情報の授受のためのハードウェア通信モジュール28とから構成される。   As shown in FIG. 2B, this module unit MOS is used for exchanging information between the application unit 26 for the equipment 2, the software communication module 27 corresponding to the OSI7 hierarchical model, and the function unit 20. Hardware communication module 28.

ここでゲートウェイ3に備えているサーバ機能部OASは、本システムの設備機器2(2…2)のネットワークの繋がり方を隠すためのオブジェクト・ルータとしての機能を実現するソフトと設備機器2のオブジェクトをアクセスすることで、当該設備機器2の機能部20が提供するサービスをユーザが享受するために実行される各種アプリケションソフト、更に異種のプロトコルを変換して本システムにシームレスに繋ぐためのプロトコル・ブリッジサービスと、後述するセンターサーバ5との間の通信に用いるプロトコルをSOAP(Simple Object Access Protocol)に変換してファイヤーウォールを通過させるためのファイヤーウォール・ブリッジ・サービス等の追加可能なサービス機能を実現するソフトから構成される。またゲートウェイ3のサーバ機能部OAS内に備えているローカルAS7Aは設備機器2のモジュール部MOSが有するオブジェクト毎に、当該オブジェクトの識別子(更には秘密鍵若しくはユーザ名、パスワード)と、当該オブジェクトに対する許可を持つ識別子(又はユーザ名と許可情報)を保持する記憶手段(図示せず)と、認証、後述する認証キー及びアクセスコントロールを行う演算手段(図示せず)とをサーバ機能部OASの記憶手段及び演算手段と共用するようになっている。 Here, the server function unit OAS provided in the gateway 3 includes software and equipment 2 that realizes a function as an object router for hiding the network connection of the equipment 2 (2 0 ... 2 n ) of the system. In order to connect seamlessly to this system by converting various kinds of application software executed by the user to enjoy the service provided by the functional unit 20 of the equipment device 2 and accessing different objects. It is possible to add a firewall bridge service or the like for converting the protocol used for communication between the protocol server and the center server 5 described later into SOAP (Simple Object Access Protocol) and passing through the firewall. Consists of software that implements service functions. In addition, the local AS 7A provided in the server function unit OAS of the gateway 3 has an identifier of the object (further, a secret key or a user name and a password) for each object included in the module unit MOS of the equipment 2 and permission for the object. Storage means (not shown) for holding an identifier (or user name and permission information) having a password, and computing means (not shown) for performing authentication, an authentication key and access control described later, are stored in the server function unit OAS. And the calculation means.

尚サーバ機能部OASとローカルAS7Aとはハードウェア的にもソフトウェア的にも別体で構成しても良く、またゲートウェイ3にサーバ機能部OASを搭載せず、単にインターネット4とLAN1との間のプロトコル変換とLAN1上の設備機器2(2…2)をインターネット4に接続するためのルーティング機能とを備えただけのものでも良い。この場合、ローカルAS7Aは、設備機器2(2…2)をブロードキャスト又はマルチキャストによって検出する処理を行って、LAN1上の設備機器2(2…2)のIPアドレス等ネットワーク通信に必要な情報を取得する。そして接続処理後LAN1内の各設備機器2(2…2)に対して搭載しているオブジェクトの識別子の要求を行って各オブジェクトの識別子(後述するOID及びIID)の取得を行うとともに、取得したオブジェクトの識別子を後述するセンターAS7Bへ通知し、この通知に対応してセンターAS7Bから送られてくる許可情報を取得して設定する初期設定機能を備える。 The server function unit OAS and the local AS 7A may be configured separately from each other in terms of hardware and software, and the server function unit OAS is not installed in the gateway 3 and is simply provided between the Internet 4 and the LAN 1. It may be provided only with protocol conversion and a routing function for connecting the equipment 2 (2 0 ... 2 n ) on the LAN 1 to the Internet 4. In this case, the local AS 7A performs processing for detecting the equipment 2 (2 1 ... 2 n ) by broadcast or multicast, and is necessary for network communication such as the IP address of the equipment 2 (2 1 ... 2 n ) on the LAN 1 . Information is obtained. Then, after the connection process, each object device 2 (2 0 ... 2 n ) in the LAN 1 requests the identifier of the mounted object to acquire the identifier (OID and IID described later) of each object, An initial setting function is provided for notifying the acquired object identifier to the center AS 7B, which will be described later, and acquiring and setting permission information sent from the center AS 7B in response to this notification.

ここで、本ネットワークシステムではOSI7階層モデルからなり、設備機器2の情報処理部23のモジュール部MOSがクライアント用端末6や他の設備機器2に変数、イベント情報を渡したり、或いは関数を受け取る等のための独自プロトコル(以下OAPという)からアプリケーション層を構成し、このOAPを用いてサーバ機能部OASと設備機器2のモジュール部MOSとの間の情報授受を行うようになっている。   In this network system, the OSI 7 hierarchical model is used, and the module unit MOS of the information processing unit 23 of the facility device 2 passes variables, event information, or receives functions to the client terminal 6 and other facility devices 2. An application layer is configured from a unique protocol (hereinafter referred to as OAP) for information transfer between the server function unit OAS and the module unit MOS of the equipment 2 using this OAP.

またモジュール部MOSのソフトウェア通信モジュール27は、OSI7階層のネットワーク層〜プレゼンテーション層におけるプロトコルを担うものであって、上述のOAPの定義やTCP,UDPの統合を行っている。   Further, the software communication module 27 of the module part MOS is responsible for the protocol in the network layer to the presentation layer of the OSI 7 layer, and performs the above-mentioned definition of OAP and integration of TCP and UDP.

センターサーバ5はインターネット4上に設置されるもので、搭載するサーバ機能部OASはゲートウェイ3のサーバ機能部OASと同様な機能を持ち、またセンターAS7BもローカルAS7Aと同様な機能を持つものであって、各LAN1内及びLAN1相互間での全てのオブジェクト間の許可情報を格納したデータベースを記憶手段(図示しない)に備えている。 The center server 5 is installed on the Internet 4, the server function unit OAS to be installed has the same function as the server function unit OAS of the gateway 3, and the center AS 7B has the same function as the local AS 7A. The storage means (not shown) includes a database that stores permission information between all objects within each LAN 1 and between each LAN 1.

ところで、上述の各設備機器2は機能部20がサービス提供のための処理を行う際に用いる1乃至複数の設備側オブジェクトを情報処理部23内に組み込まれたモジュール部MOSの下で有するとともに、夫々の設備側オブジェクトには提供サービスに対応する情報(機能部20の現在状態を示す変数、機能部20に渡す制御のための関数、機能部20での変化発生を示すイベント情報)によって定義されたインターフェースを1乃至複数持たせており、各設備側オブジェクトにはOIDという識別子を付与し、各インターフェースにはIIDという識別子を付与し、OIDは当該オブジェクト固有であり、IIDは定義内容が同一のインターフェースに割り当てることができるもので、設備側オブジェクトの実行は、設備側オブジェクトのOID或いはインターフェースのIID又は両者の組み合わせを用いた実行要求を情報処理部23が後述するようにゲートウェイ3内のサーバ機能部OASから受け取ったときに為される。   By the way, each of the above-described equipment devices 2 has one or more equipment-side objects used when the function unit 20 performs processing for providing services under the module unit MOS incorporated in the information processing unit 23. Each facility-side object is defined by information corresponding to the provided service (a variable indicating the current state of the function unit 20, a function for control passed to the function unit 20, and event information indicating occurrence of a change in the function unit 20). One or more interfaces are provided, an identifier called OID is assigned to each facility-side object, an identifier called IID is assigned to each interface, the OID is unique to the object, and the IID has the same definition content Can be assigned to an interface, and the execution of equipment-side objects ID or information processing unit 23 an execution request with the combination of the IID or both interfaces is made when received from the server function unit OAS in the gateway 3 as described below.

この実行要求は、特定の設備側オブジェクト下の特定のインターフェースに対応する実行要求の場合にはOIDと当該インターフェースのIIDとの組み合わせが、また同じ定義内容のインターフェースが複数の設備機器2の設備側オブジェクト下にある場合には当該インターフェースのIIDのみで実行要求を行うようになっている。   When the execution request is an execution request corresponding to a specific interface under a specific facility-side object, the combination of the OID and the IID of the interface is the same, and the interface of the same definition is the facility side of the plurality of facility devices 2 When it is under the object, an execution request is made only with the IID of the interface.

クライアント用端末6は、当該ネットワークシステムにおいて提供サービスを享受するためのクライアント用ソフト(以下OAL<Object Access Library>という)やクライアント用アプリケーション(ソフト)等を搭載したコンピュータ装置からなるもので、インターネット4上から設備機器2のモジュール部MOSのオブジェクトに対する実行要求が行え、またクライアント用アプリケーションを実行することで後述する設備機器2が提供できるサービス、つまり設備機器2への制御要求や、設備機器2側からの監視情報(変数、イベント情報)を当該クライアント用端末6が所望する形で享受することができるようになっている。   The client terminal 6 is composed of a computer device equipped with client software (hereinafter referred to as OAL <Object Access Library>), client application (software), etc. for enjoying the provided service in the network system. A service that can be executed from the top to the object of the module unit MOS of the equipment device 2 and that can be provided by the equipment device 2 to be described later by executing the client application, that is, a control request to the equipment device 2 or the equipment device 2 side The monitoring information (variables, event information) from the client terminal 6 can be received in the form desired by the client terminal 6.

次にネットワークシステムの動作を説明する。   Next, the operation of the network system will be described.

まずシステム立ち上がり時には、ゲートウェイ3のサーバ機能部OASはLAN1に接続されているモジュール部MOS搭載の設備機器2(2…2)をブロードキャスト又はマルチキャストによって検出する処理を行って、LAN1上の設備機器2(2…2)のIPアドレス等ネットワーク通信に必要な情報を取得する。そして接続処理後、サーバ機能部OASのローカルAS7Aは各設備機器2(2…2)に対して設備側オブジェクトのOID及びその下のインターフェースのIIDの情報を全て送るように要求する(S1)。 First, at the time of system start-up, the server function unit OAS of the gateway 3 performs a process of detecting the equipment 2 (2 1 ... 2 n ) mounted with the module part MOS connected to the LAN 1 by broadcast or multicast, and the equipment on the LAN 1 Information necessary for network communication such as the IP address of the device 2 (2 1 ... 2 n ) is acquired. Then, after the connection process, the local AS 7A of the server function unit OAS requests each equipment device 2 (2 1 ... 2 n ) to send all the information on the OID of the equipment object and the IID of the interface below it (S1). ).

そして、この要求に対応して設備機器2(2…2)からS2、S3に示すように順次送られてきたOID及びIIDの情報と、送ってきた設備機器2(2…2)のネットワーク通信(TCP/IPベース)上の識別子であるIPアドレスとを対応付けて記憶手段に記憶保持する。この記憶保持は接続設備情報用テーブルとして保持される。 In response to this request, the OID and IID information sent sequentially from the equipment 2 (2 1 ... 2 n ) as shown in S 2 and S 3 and the sent equipment 2 (2 1 ... 2 n ) Is associated with an IP address that is an identifier on network communication (TCP / IP base) and stored in the storage means. This memory retention is retained as a connection facility information table.

尚各設備機器2(2…2)からブロードキャスト若しくはマルチキャストによりゲートウェイ3のIPアドレスを取得し、ゲートウェイ3のサーバ機能部OASのローカルAS7Aとの間の通信を可能とするようにしても良い。勿論ローカルAS7AをLAN1上にゲートウェイ3のサーバ機能部OASとは別体に設けている場合(或いはサーバ機能部OASを設けず、ローカルAS7Aを単独に設けている場合)にも、各設備機器2(2…2)からブロードキャスト若しくはマルチキャストにより直接当該ローカルAS7AのIPアドレスを取得することで、ローカルAS7Aとの間の通信を可能とするようにする。また設備機器2(2…2)側で予めWAN上のセンターサーバ7(センターAS7B)のIPアドレスを設定する必要もない。 Note that the IP address of the gateway 3 may be acquired from each facility device 2 (2 1 ... 2 n ) by broadcast or multicast to enable communication with the local AS 7A of the server function unit OAS of the gateway 3. . Of course, when the local AS 7A is provided separately from the server function unit OAS of the gateway 3 on the LAN 1 (or when the local AS 7A is provided independently without providing the server function unit OAS), each equipment device 2 By obtaining the IP address of the local AS 7A directly by broadcast or multicast from (2 1 ... 2 n ), communication with the local AS 7A is made possible. Further, it is not necessary to set the IP address of the center server 7 (center AS 7B) on the WAN in advance on the facility equipment 2 (2 1 ... 2 n ) side.

またその後、ゲートウェイ3のサーバ機能部OASはローカルAS7Aの働きとしてインターネット4上のセンターサーバ5のサーバ機能部OASに対して自己の配下の設備機器2(2…2)の設備側オブジェクトOID及びその下のインターフェースIIDからなる組み合わせ情報を送る処理を行う(ステップS4)。この処理は定期的に行われ、記憶保持するOID及びIIDの組み合わせ情報が更新される。尚、追加や機器の廃棄の場合においても上述の更新処理を行う。 After that, the server function unit OAS of the gateway 3 functions as a local AS 7A with respect to the server function unit OAS of the center server 5 on the Internet 4 and the equipment-side object OID of its own equipment 2 (2 1 ... 2 n ). And the process which sends the combination information which consists of interface IID under it is performed (step S4). This process is performed periodically, and the combination information of OID and IID stored and held is updated. Note that the above-described update processing is performed even in the case of addition or device disposal.

センターサーバ5のサーバ機能部OAS内のセンターAS7Bは記憶手段に記憶している許可情報のデータベースからゲートウェイ3の配下にあるLAN内通信に対応する許可情報を抽出し、この許可情報をLAN内通信に関連する許可情報として当該ゲートウェイ3のサーバ機能部OAS内のローカルAS7Aに送る(S5)。   The center AS 7B in the server function unit OAS of the center server 5 extracts permission information corresponding to communication within the LAN under the gateway 3 from the database of permission information stored in the storage means, and this permission information is communicated within the LAN. Is sent to the local AS 7A in the server function unit OAS of the gateway 3 (S5).

センターサーバ5のセンターAS7Bから許可情報を取得したローカルAS7Aでは、設備機器2…2のモジュール部MOSのオブジェクトのOID及びインターフェースのIIDとの組み合わせ情報に対する許可情報を設定し、その設定内容を記憶手段に保持する。つまりローカルAS7Aでの許可情報の設定はセンターAS7Bからの許可情報を取得することで自動的に行えることになる。 In the local AS7A obtained the permission information from the center AS7B of the center server 5 sets the permission information for the combination information of the OID and the interface IID module portion MOS of the object of the equipment 2 1 ... 2 n, the set contents Hold in the storage means. That is, the setting of permission information in the local AS 7A can be automatically performed by acquiring permission information from the center AS 7B.

またセンターサーバではインターネット4に接続されている設備機器2のモジュール部MOSのオブジェクトのOID及びインターフェースのIIDの組み合わせ情報はサーバ機能部OAS及びセンターAS7Bの働きによってゲートウェイ3の場合と同様に取得する。 The combination information of the OID and the interface IID of the equipment 2 0 module portion MOS of the objects that are connected to the center server 5, the Internet 4 is acquired as in the case of the gateway 3 by the action of the server function unit OAS and the center AS7B To do.

ここでセンターサーバ5にセンターAS7Bを組み込んだサーバ機能部OASを備えている場合には、各LAN1に接続されている設備機器2のオブジェクトのOID及びインターフェースのIIDの組み合わせ情報をゲートウェイ3のサーバ機能部OASから受け取り、この受け取った情報に基づいて手動により通信許可の設定を行うようになっているが、サーバ機能部OASを備えていない場合には、各LAN1上の設備機器2のオブジェクトのOID及びインターフェースのIIDの組み合わせ情報の設定も手動で行う。   Here, when the center server 5 includes the server function unit OAS in which the center AS 7B is incorporated, the combination information of the object OID of the equipment 2 connected to each LAN 1 and the interface IID is used as the server function of the gateway 3. The communication permission is manually set based on the received information, but if the server function unit OAS is not provided, the OID of the object of the equipment 2 on each LAN 1 And the setting of the interface IID combination information is also performed manually.

またセンターAS7Bにおける許可情報の設定、つまり各LAN1内における設備機器2同士においてオブジェクトに対する実行要求のための通信許可の設定は、オブジェクトのOID及びその下のインターフェースのIIDの情報に基づいてテーブル化したもので、送信側の設備機器2のオブジェクトのOIDと、当該送信側の通信相手として許可されている設備機器2のオブジェクトのOID及びインターフェスのIIDの組み合わせ情報或いはOIDのみ又はIIDのみとを対応付けており、このテーブル化した通信の許可情報をセンターAS7BからローカルAS7Aが取得して上述のように許可情報の設定を行うのである。またLAN1内の設備機器2と、当該LAN1外の設備機器2同士の通信許可の設定も予めセンターAS7Bにおいて手動により設定する。   The setting of permission information in the center AS 7B, that is, the setting of communication permission for an execution request for an object between the equipment devices 2 in each LAN 1, is tabulated based on the information of the object's OID and the IID of the interface below it. It corresponds to the OID of the object of the equipment device 2 on the transmission side and the combination information of the OID of the object of the equipment device 2 and the interface IID permitted as the communication partner of the transmission side, or only the OID or only the IID. In addition, the local AS 7A obtains the communication permission information in the form of a table from the center AS 7B, and sets the permission information as described above. In addition, the setting of communication permission between the equipment 2 in the LAN 1 and the equipment 2 outside the LAN 1 is manually set in advance in the center AS 7B.

このようにしてシステムが構築された状態において、設備機器2間で通信を行う場合における認証についての動作を図4及び図5により詳説する。   In the state where the system is constructed in this way, the operation for authentication when communication is performed between the equipment devices 2 will be described in detail with reference to FIGS. 4 and 5.

今LAN1内の設備機器2から設備機器2のオブジェクトのOID及びインターフェースのIIDを用いて当該オブジェクトの実行要求を行うための認証要求が送信される(S6)と、この認証要求は一旦ゲートウェイ3のサーバ機能部OASが受け取ることになり、サーバ機能部OAS内のローカルAS7Aは実行要求を行った送信側の設備機器2のオブジェクトのOIDの情報と、実行要求先、つまり受信側の設備機器器2のオブジェクトのOID及びインターフェースのIIDの組み合わせ情報との関係が、設定された許可情報に有るか否かで、LAN1内の通信が許可されているか否かを判定し、許可されている場合には許可通知と認証キーの配信を夫々の設備機器2、2に対して行う(S7,S8)。これにより許可通知とともに認証キーを受け取った設備機器2、2の間でセキュア通信が行え(S9)、オブジェクト実行により情報の授/受が可能となる。この場合ゲートウェイ3のサーバ機能部OASの接続設備情報用テーブルを用いたルーティング機能の働きにより設備機器同士ではIPアドレス等を特に意識することなく通信ができる。 When an authentication request for making an execution request for the object is sent using the OID of the object of the equipment device 2 n and the IID of the interface from the equipment device 21 in the LAN 1 (S6), the authentication request is temporarily transmitted to the gateway. 3 server function unit OAS will be receive, local AS7A in the server function unit the OAS-OID information execution request was the sender equipment 2 1 of performing object execution request destination, that is the receiving side equipment relationship between the OID and IID combination information of the interface device unit 2 2 objects, depending on whether there in the permission information set, determines whether the communication in the LAN1 is permitted, permitted If yes, the permission notice and the authentication key are distributed to the respective equipment 2 1 , 2 n (S 7, S 8). Accordingly, secure communication can be performed between the equipment devices 2 1 and 2 n that have received the authentication key together with the permission notification (S9), and information can be exchanged by executing the object. In this case, the equipment can communicate with each other without being particularly aware of the IP address or the like by the function of the routing function using the connection equipment information table of the server function unit OAS of the gateway 3.

尚ゲートウェイ3にサーバ機能部OASを備えていない場合には、例えば設備機器2から設備機器2に対して通信許可が与えられると、実行要求のオブジェクトのOID及びIIDの組み合わせ情報をブロードキャストによりLAN1内の設備機器2(2…2)に対して送ることで、ユニークな識別子であるOIDが付されたオブジェクトを持つ設備機器2に対してのみオブジェクトの実行要求を行える。つまり相手先IPアドレスを意識することなく実質的なP2P通信により実行要求を行うこともできる。 Note if the gateway 3 does not have the server function unit OAS, for example when the communication permission is given from the equipment 2 1 for equipment 2 2, by broadcasting the combination information of the OID and the IID of the execution request object By sending to the equipment 2 (2 1 ... 2 n ) in the LAN 1 , an object execution request can be made only to the equipment 2 n having the object with the unique identifier OID. That is, the execution request can be made by substantial P2P communication without being aware of the destination IP address.

またLAN1内の通信が許可されてない場合には、ローカルAS7Aは、不許可通知を行う。   If the communication within the LAN 1 is not permitted, the local AS 7A issues a non-permission notification.

ところで、LAN1外の設備機器、例えば2から設備機器2のオブジェクトのOID及びインターフェースのIIDを用いて当該オブジェクトの実行要求を行うための認証要求が図5に示すようにセンターサーバ5のサーバ機能部OASを介して為される(S11)と、ゲートウェイ3のサーバ機能部OAS内のローカルAS7Aは、設備機器2がLAN1内で通信許可の設定があるか否かを判定し、LAN1内での通信許可の設定がなければこの認証要求をセンターサーバ5のサーバ機能部OAS内のセンターAS7Bに転送する(S12)。 Incidentally, LAN1 outside of the equipment, for example, the authentication request for performing the execution request of the object is of the center server 5 as shown in FIG. 5 2 0 with the OID and the interface IID object of the equipment 2 n servers and it is made through the function unit OAS (S11), the local AS7A in the server function unit OAS of the gateway 3, equipment 2 0, it is determined whether there is a set of communication permission in the LAN1, the LAN1 If the communication permission is not set, the authentication request is transferred to the center AS 7B in the server function unit OAS of the center server 5 (S12).

これによりセンターAS7Bは、実行要求を行った設備機器2のオブジェクトのOID及びインターフェースのIIDの組み合わせ情報と、実行要求先のオブジェクトのOID及びインターフェースのIIDの組み合わせ情報と、許可情報のデータベースの内容とを照合して、通信が許可されるか否かを判定し、許可される場合には許可通知と認証キーの配信をローカルAS7Aに行い(S13)、ローカルAS7Aでは配信されてきた許可通知と認証キーを夫々の設備機器2、2に対して配信する(S14,S15)。これにより許可通知とともに認証キーを受け取った設備機器2、2の間でセキュア通信が行え(S16)、オブジェクト実行により情報の授/受が可能となる。この場合ゲートウェイ3及びセンターサーバ5のサーバ機能部OASの接続設備情報用テーブルを用いたルーティング機能の働きにより設備機器同士ではIPアドレス等を特に意識することなく通信ができる。 Accordingly center AS7B includes combination information of IID of the OID and the interface of the equipment 2 0 objects subjected to execution request, and the combination information of the IID of the OID and the interface of the execution request destination object, contents of the database of the authorization information To determine whether or not the communication is permitted. When the communication is permitted, the permission notification and the authentication key are distributed to the local AS 7A (S13). The authentication key is distributed to each of the equipment devices 2 0 and 2 n (S14, S15). As a result, secure communication can be performed between the equipment devices 2 0 and 2 n that have received the authentication key together with the permission notification (S16), and information can be exchanged by executing the object. In this case, the equipment can communicate with each other without being particularly aware of the IP address or the like by the function of the routing function using the connection equipment information table of the server function unit OAS of the gateway 3 and the center server 5.

以上のように本発明ネットワークシステムでは、LAN内の通信の認証をローカルAS7Aで行うことで、インターネット4が切断されるような事態が発生してもLAN内通信を確保することができる。またLAN1上にローカルAS7AではLAN1上の設備機器2…2のモジュール部MOSのオブジェクトのOID及びインターフェースのIIDからなる組み合わせ情報に対応するLAN内通信の許可情報をセンターサーバ5のセンターAS7Bから取得するため、ローカルAS7Aでの情報処理の負担の低減が図れる。 As described above, in the network system of the present invention, communication within the LAN is performed by the local AS 7A, so that communication within the LAN can be ensured even when the Internet 4 is disconnected. Further, in the local AS 7A on the LAN 1 , permission information for intra-LAN communication corresponding to the combination information composed of the OIDs of the objects of the module units MOS of the equipment units 2 1 ... 2 n on the LAN 1 and the IIDs of the interfaces is obtained from the center AS 7B of the center server 5. As a result, the burden of information processing at the local AS 7A can be reduced.

また、システムスタート時等にローカルAS7Aにおいて自動的に認証に必要なオブジェクトのOID及びその下のインターフェースのIIDをLAN1内の設備機器2から取得するとともに、LAN1内の設備機器2のオブジェクトのOID及びインターフェースのIIDをセンターAS7Bへ通知することで、初期設定をユーザが特に意識することなく、NAT越えを実現できる。   In addition, the local AS 7A automatically obtains the OID of the object necessary for authentication and the IID of the interface below it from the equipment 2 in the LAN 1 when the system is started, and the OID of the object of the equipment 2 in the LAN 1 and By notifying the center AS 7B of the IID of the interface, NAT traversal can be realized without the user being particularly aware of the initial setting.

更にローカルAS7Aは、設備機器2側からの認証要求時に当該設備機器2がLAN1内での通信が許可されていない場合、設備機器2側から認証要求と当該設備機器2が搭載しているオブジェクトのOID及びインターフェースのIIDをセンターAS7Bへ転送し、センターAS7Bで、転送されてきた当該設備機器2のオブジェクトのOID及びインターフェースのIIDと、自己が保有する許可情報とに基づいて許可判定を行い、許可されていると判定した場合に認証キーを生成して前記ローカルAS7Aへ返信し、該認証キーを該ローカルAS7Aから当該設備機器2へ送らせるので、LAN1外の設備機器2とLAN1内の設備機器2との間でもセキュア通信を行うことが可能となる。   Further, the local AS 7A, when the equipment device 2 is not permitted to communicate in the LAN 1 at the time of the authentication request from the equipment device 2, the authentication request from the equipment device 2 side and the object mounted on the equipment device 2 The OID and the interface IID are transferred to the center AS7B, and the center AS7B makes a permission determination based on the transferred OID and interface IID of the equipment 2 and the permission information held by itself. If it is determined that the authentication key has been generated, an authentication key is generated and returned to the local AS 7A, and the authentication key is sent from the local AS 7A to the facility device 2. Therefore, the facility device 2 outside the LAN 1 and the facility device in the LAN 1 It is possible to perform secure communication with the communication device 2.

実施形態1のシステム図である。1 is a system diagram of Embodiment 1. FIG. 実施形態1の設備機器を示し、(a)は全体構成図、(b)はモジュール部の構成図である。The equipment of Embodiment 1 is shown, (a) is a whole block diagram, (b) is a block diagram of a module part. 実施形態1のゲートウェイの構成図である。2 is a configuration diagram of a gateway according to Embodiment 1. FIG. 実施形態1のLAN内通信時の動作説明用シーケンス図である。FIG. 3 is a sequence diagram for explaining operations during communication within a LAN according to the first embodiment. 実施形態1のLAN外との通信時の動作説明用シーケンス図である。FIG. 3 is a sequence diagram for explaining operations during communication with outside the LAN according to the first embodiment.

符号の説明Explanation of symbols

1 LAN
〜2 設備機器
3 ゲートウェイ
30 ハブ部
31 モデム部
4 インターネット
5 センターサーバ
6 クライアント用端末
7A ローカルAS
7B センターAS
MOS モジュール部
OAS サーバ機能部 1 LAN
2 0-2 n Equipment 3 Gateway 30 Hub 31 Modem 4 Internet 5 Center server 6 Client terminal 7A Local AS
7B Center AS
MOS module part OAS server function part

Claims (3)

識別子が付与されたオブジェクトを搭載し、前記識別子を用いた前記オブジェクトの実行要求があると、該オブジェクトを実行して予め定義されている情報処理を行う複数の通信機器をLAN上に接続するとともに、当該通信機器をWANを介して接続したネットワークシステムであって、
前記LANに接続されたローカル認証サーバと、前記LANが接続されるWAN上に接続されたセンター認証サーバとを備え、
前記ローカル認証サーバは、前記LAN上の前記各通信機器の搭載オブジェクトの識別子を基に当該各オブジェクトに対応したLAN内通信に関する許可情報を前記センター認証サーバから予め取得して設定する機能とを備え、
前記センター認証サーバは、LANに接続された通信機器同士の許可情報及びLANに接続された通信機器とWANを介して接続された通信機器との許可情報が予め設定され、前記ローカル認証サーバから通知されるオブジェクトの識別子に対応してLAN内通信に対応する前記許可情報を前記ローカル認証サーバに送る機能を備え、
前記ローカル認証サーバは、他の通信機器に対して前記オブジェクトの実行要求を送信しようとする通信機器から認証要求を受け取ると、通信を行う各通信機器のオブジェクトの識別子と予め設定している許可情報とを照合して許可判定を行い、LAN内での通信が許可されていると判定した場合に、当該認証要求元の通信機器並びに当該他の通信機器に認証キーの配信を行うことを特徴とするネットワークシステム。 When an object with an identifier is mounted and there is a request to execute the object using the identifier, a plurality of communication devices that execute the object and perform predefined information processing are connected to the LAN. A network system in which the communication devices are connected via a WAN ,
A local authentication server connected to the LAN, and a center authentication server connected to a WAN to which the LAN is connected,
The local authentication server has a function of acquiring and setting permission information relating to intra-LAN communication corresponding to each object in advance from the center authentication server based on the identifier of the mounted object of each communication device on the LAN. ,
In the center authentication server, permission information between communication devices connected to the LAN and permission information between communication devices connected to the LAN and communication devices connected via the WAN are set in advance and notified from the local authentication server. A function of sending the permission information corresponding to intra-LAN communication to the local authentication server corresponding to the identifier of the object to be executed,
When the local authentication server receives an authentication request from a communication device that intends to transmit an object execution request to another communication device, the identifier of each communication device that performs communication and preset permission information The authentication key is distributed to the communication device that is the authentication request source and the other communication device when it is determined that communication within the LAN is permitted. Network system. 前記ローカル認証サーバは、各通信機器に対して搭載しているオブジェクトの識別子の要求を行って各オブジェクトの識別子の取得を行うとともに、取得したオブジェクトの識別子を前記センター認証サーバへ通知し、この通知に対応して前記センター認証サーバから送られてくる許可情報を取得して設定する初期設定機能を備えていることを特徴とする請求項1記載のネットワークシステム。 The local authentication server requests an identifier of an object mounted on each communication device to acquire the identifier of each object, and notifies the center authentication server of the acquired object identifier. The network system according to claim 1, further comprising: an initial setting function that acquires and sets permission information sent from the center authentication server in response to. 前記ローカル認証サーバは、前記許可判定を行い、LAN内での通信が許可されていない場合、通信機器側から前記認証要求と当該通信機器が搭載しているオブジェクトの識別子を前記センター認証サーバへ転送し、
前記センター認証サーバは、転送されてきた当該通信機器のオブジェクトの識別子と自己が保有する許可情報とに基づいて許可判定を行い、許可されていると判定した場合に認証キーを生成して前記ローカル認証サーバへ返信し、
前記ローカル認証サーバは、前記センター認証サーバから配信された認証キーを、認証要求元の通信機器並びに前記他の通信機器配信することを特徴とする請求項1又は2記載のネットワークシステム。 The local authentication server performs the permission determination, and when communication within the LAN is not permitted, the authentication request from the communication device side and the identifier of the object mounted on the communication device are transmitted to the center authentication server. Forward,
The center authentication server performs permission determination based on the transferred object identifier of the communication device and the permission information held by itself, and generates an authentication key when it is determined to be permitted to generate the local key. Reply to the authentication server,
The local authentication server, the center network system according to claim 1 or 2, wherein the authentication key delivered from the authentication server, characterized in that it delivered to the authentication requestor communication device and said other communication devices.
JP2006132930A 2006-05-11 2006-05-11 Network system Expired - Fee Related JP3992067B1 (en)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2006132930A JP3992067B1 (en) 2006-05-11 2006-05-11 Network system
PCT/JP2007/059731 WO2007132764A1 (en) 2006-05-11 2007-05-11 Network system
KR1020087016557A KR100969906B1 (en) 2006-05-11 2007-05-11 Network system
CN2007800171376A CN101443777B (en) 2006-05-11 2007-05-11 Network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006132930A JP3992067B1 (en) 2006-05-11 2006-05-11 Network system

Publications (2)

Publication Number Publication Date
JP3992067B1 true JP3992067B1 (en) 2007-10-17
JP2007306331A JP2007306331A (en) 2007-11-22

Family

ID=38683352

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006132930A Expired - Fee Related JP3992067B1 (en) 2006-05-11 2006-05-11 Network system

Country Status (4)

Country Link
JP (1) JP3992067B1 (en)
KR (1) KR100969906B1 (en)
CN (1) CN101443777B (en)
WO (1) WO2007132764A1 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4640402B2 (en) * 2007-11-07 2011-03-02 富士ゼロックス株式会社 Information processing apparatus and user authentication program
US8341716B2 (en) 2007-11-07 2012-12-25 Fuji Xerox Co., Ltd. Information processing device, information processing method, and storage media storing user certification program
JP5560561B2 (en) * 2009-01-15 2014-07-30 ソニー株式会社 Content provision system
JP5308993B2 (en) * 2009-11-02 2013-10-09 株式会社日立製作所 How to register device information
JP5503500B2 (en) * 2010-11-02 2014-05-28 株式会社日立製作所 Access right management device, access right management system, access right management method, and access right management program
JP7331532B2 (en) * 2019-07-30 2023-08-23 京セラドキュメントソリューションズ株式会社 Information processing system, information processing device, and information processing method

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5941947A (en) * 1995-08-18 1999-08-24 Microsoft Corporation System and method for controlling access to data entities in a computer network
JPH1049443A (en) 1996-08-02 1998-02-20 Nippon Telegr & Teleph Corp <Ntt> Information processing system
JP2001358717A (en) * 2000-06-12 2001-12-26 Nippon Telegr & Teleph Corp <Ntt> Method and device for managing network device or the like and program recording medium
JP2002056074A (en) 2000-08-07 2002-02-20 Matsushita Electric Works Ltd Equipment use contracting system using communication network
JP3575603B2 (en) * 2001-03-16 2004-10-13 ソニー株式会社 Information processing apparatus and method, recording medium, and program
JP3797937B2 (en) * 2002-02-04 2006-07-19 株式会社日立製作所 Network connection system, network connection method, and network connection device used therefor
JP2004021666A (en) 2002-06-18 2004-01-22 Hitachi Ltd Network system, server, and server setting method
JP3573453B2 (en) * 2002-09-27 2004-10-06 松下電器産業株式会社 Terminal authentication system, terminal authentication method, and terminal authentication server
JP3961439B2 (en) 2003-03-31 2007-08-22 富士通サポートアンドサービス株式会社 Fingerprint personal authentication system
JP2004334610A (en) * 2003-05-09 2004-11-25 Nec Corp Method for providing local network management service
WO2005101162A1 (en) * 2004-04-15 2005-10-27 Matsushita Electric Industrial Co., Ltd. Access control device and electronic device
JP4410058B2 (en) * 2004-08-18 2010-02-03 日本電信電話株式会社 Network operation service composition processing method, network operation apparatus, program, and recording medium
JP4260759B2 (en) * 2005-02-18 2009-04-30 富士通株式会社 Device control service providing program, device control service providing system, and device control service providing method

Also Published As

Publication number Publication date
WO2007132764A1 (en) 2007-11-22
JP2007306331A (en) 2007-11-22
CN101443777B (en) 2012-05-23
CN101443777A (en) 2009-05-27
KR20080082971A (en) 2008-09-12
KR100969906B1 (en) 2010-07-13

Similar Documents

Publication Publication Date Title
EP2291979B1 (en) Remote access between upnp devices
CN104429037B8 (en) Method, equipment and system for being connected to communication equipment
US7934014B2 (en) System for the internet connections, and server for routing connections to a client machine
CN102291459B (en) Network services infrastructure systems and methods
JP3992067B1 (en) Network system
US8438218B2 (en) Apparatus and method for providing accessible home network information in remote access environment
CN101473597A (en) Method and system for remote access to universal plug and play devices
KR101614945B1 (en) Method and apparatus for protecting of pravacy in home network
US20200412708A1 (en) Link protocol agents for inter-application communications
US20040125813A1 (en) Gateway and its communicating method
KR102270909B1 (en) Multimedia sharing method, registration method, server and proxy server
TW200536308A (en) Location system
FI124341B (en) Equipment arrangement for remote real estate management
JP2005204189A (en) Access user management system and device
CN101083594A (en) Method and system for managing network appliance
US8737413B2 (en) Relay server and relay communication system
CN104301197B (en) It is a kind of to realize the method and system mutually found between user multiple terminals
JP2011055450A (en) Relay server and relay communication system
Cisco Inter-process Communication
Cisco Inter-process Communication
Cisco Inter-process Communication
JP4992944B2 (en) Relay server and relay communication system
JP2008098937A (en) Virtual network communication system and communication terminal
JP2005128652A (en) Composite server system
JP4401302B2 (en) Communication management system, communication management method, and communication management program

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070703

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070716

R151 Written notification of patent or utility model registration

Ref document number: 3992067

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100803

Year of fee payment: 3

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100803

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110803

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120803

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130803

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees