JP3992067B1 - Network system - Google Patents
Network system Download PDFInfo
- Publication number
- JP3992067B1 JP3992067B1 JP2006132930A JP2006132930A JP3992067B1 JP 3992067 B1 JP3992067 B1 JP 3992067B1 JP 2006132930 A JP2006132930 A JP 2006132930A JP 2006132930 A JP2006132930 A JP 2006132930A JP 3992067 B1 JP3992067 B1 JP 3992067B1
- Authority
- JP
- Japan
- Prior art keywords
- communication
- lan
- authentication server
- local
- center
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】WANが切断されてもローカル通信においてセキュア通信が行え、しかもLAN内での認証処理の負担が軽く且つローカル認証サーバでの設定が自動的に行えるネットワークシステムを提供することにある。
【解決手段】センターサーバ5内のセンターAS7Bは、LAN1側のゲートウェイ3内のローカルAS7Aから通知されるオブジェクトのOID及びインターフェースのIIDの組み合わせ情報に対応したLAN1内の通信に対応する許可情報をローカルAS7Aに予め送って当該ローカルAS7Aで許可判定を行う許可情報を設定する。ローカルAS7Aは、設備機器2同士の通信時に送信側の設備機器2のOIDと、オブジェクト実行対象となる受信側の設備機器2のオブジェクトのOID及びIID又はOIDのみ或いはIIDとの関係が、設定している許可情報に有れば、送信側の設備機器2に許可通知と認証キーの配信を行う。
【選択図】図1An object of the present invention is to provide a network system in which secure communication can be performed in local communication even when a WAN is disconnected, the burden of authentication processing in a LAN is light, and settings in a local authentication server can be automatically performed.
A center AS7B in a center server 5 provides permission information corresponding to communication in LAN1 corresponding to combination information of an object OID and an interface IID notified from a local AS7A in a gateway 3 on the LAN1 side. The permission information to be sent in advance to the AS 7A and to perform permission determination in the local AS 7A is set. The local AS 7A sets the relationship between the OID of the transmission-side facility device 2 and the OID and IID or only the OID of the object of the reception-side facility device 2 that is the object execution target or the IID during communication between the facility devices 2. If it is in the permission information, the permission notice and the authentication key are distributed to the equipment device 2 on the transmission side.
[Selection] Figure 1
Description
本発明は、通信機器間の通信許可を行うための認証サーバを備えたネットワークシステムに関するものである。 The present invention relates to a network system including an authentication server for permitting communication between communication devices.
従来、ネットワークシステムでのセキュア通信を行うために、認証サーバでの認証方式が良く採用されている(例えば特許文献1)。この場合認証サーバがインターネット等のWAN上のセンターサーバ上に配置されるため、集中統合管理が行え、スケーラブルなネットワークシステムに対応することができるという利点がある。 Conventionally, in order to perform secure communication in a network system, an authentication method using an authentication server is often employed (for example, Patent Document 1). In this case, since the authentication server is arranged on a center server on a WAN such as the Internet, there is an advantage that centralized integrated management can be performed and a scalable network system can be handled.
また、認証キーの生成を認証サーバ上で行うため、通信機器に負担をかけることなく、通信機器間の通信を暗号化通信で行うことができる。
ところで、上述のような認証方式の場合、全ての通信機器の情報を認証サーバに登録しなければならず、LAN上での通信においてもWAN上の認証サーバと通信しなければならず、認証サーバが管理センター等に設置されている場合においてWANが切断されたときには、WAN上の認証サーバと通信できずに、認証キーの取得ができなくなるため、LAN上での通信も行えなくなるという課題があった。 By the way, in the case of the authentication method as described above, information of all communication devices must be registered in the authentication server, and communication on the LAN must be communicated with the authentication server on the WAN. Is installed in a management center or the like, and if the WAN is disconnected, it is impossible to communicate with the authentication server on the WAN, and the authentication key cannot be obtained. It was.
また予めネットワーク通信での認証サーバのアドレスを通信機器に設定しておかなければならなかった。 In addition, the address of the authentication server for network communication must be set in the communication device in advance.
本発明は、上述の点に鑑みて為されたもので、その目的とするところは、WANが切断されてもローカル通信においてセキュア通信が行え、しかもLAN内での認証処理の負担が軽く且つローカル認証サーバでの設定が自動的に行えるネットワークシステムを提供することにある。 The present invention has been made in view of the above-described points. The object of the present invention is to perform secure communication in local communication even if the WAN is disconnected, and to reduce the burden of authentication processing within the LAN and reduce local load. An object of the present invention is to provide a network system that can automatically set an authentication server.
上述の目的を達成するために、請求項1の発明では、識別子が付与されたオブジェクトを搭載し、前記識別子を用いた前記オブジェクトの実行要求があると、該オブジェクトを実行して予め定義されている情報処理を行う複数の通信機器をLAN上に接続するとともに、当該通信機器をWANを介して接続したネットワークシステムであって、
前記LANに接続されたローカル認証サーバと、前記LANが接続されるWAN上に接続されたセンター認証サーバとを備え、
前記ローカル認証サーバは、前記LAN上の前記各通信機器の搭載オブジェクトの識別子を基に当該各オブジェクトに対応したLAN内通信に関する許可情報を前記センター認証サーバから予め取得して設定する機能とを備え、
前記センター認証サーバは、LANに接続された通信機器同士の許可情報及びLANに接続された通信機器とWANを介して接続された通信機器との許可情報が予め設定され、前記ローカル認証サーバから通知されるオブジェクトの識別子に対応してLAN内通信に対応する前記許可情報を前記ローカル認証サーバに送る機能を備え、
前記ローカル認証サーバは、他の通信機器に対して前記オブジェクトの実行要求を送信しようとする通信機器から認証要求を受け取ると、通信を行う各通信機器のオブジェクトの識別子と予め設定している許可情報とを照合して許可判定を行い、LAN内での通信が許可されていると判定した場合に、当該認証要求元の通信機器並びに当該他の通信機器に認証キーの配信を行うことを特徴とする。
In order to achieve the above object, according to the first aspect of the present invention, an object to which an identifier is assigned is mounted, and when there is an execution request for the object using the identifier, the object is executed and defined in advance. A network system in which a plurality of communication devices that perform information processing are connected on a LAN and the communication devices are connected via a WAN .
A local authentication server connected to the LAN, and a center authentication server connected to a WAN to which the LAN is connected,
The local authentication server has a function of acquiring and setting permission information relating to intra-LAN communication corresponding to each object in advance from the center authentication server based on the identifier of the mounted object of each communication device on the LAN. ,
In the center authentication server, permission information between communication devices connected to the LAN and permission information between communication devices connected to the LAN and communication devices connected via the WAN are set in advance and notified from the local authentication server. A function of sending the permission information corresponding to intra-LAN communication to the local authentication server corresponding to the identifier of the object to be executed,
When the local authentication server receives an authentication request from a communication device that intends to transmit an object execution request to another communication device, the identifier of each communication device that performs communication and preset permission information The authentication key is distributed to the communication device that is the authentication request source and the other communication device when it is determined that communication within the LAN is permitted. To do.
請求項1の発明によれば、LAN内に認証のためのローカル認証サーバを設けることで、WANが切断されるような事態が発生してもLAN内でのセキュア通信を確保することができ、しかも認証のための許可情報はセンター認証サーバ側で集約し、ローカル認証サーバではLAN内の通信機器のみに対応する許可情報をセンター認証サーバから取得してローカル認証サーバでの設定が自動的に行えるシステム構築が容易である。 According to the invention of claim 1, by providing a local authentication server for authentication in the LAN, secure communication in the LAN can be ensured even if a situation where the WAN is disconnected occurs, In addition, the authorization information for authentication is collected on the center authentication server side, and the local authentication server can obtain the authorization information corresponding to only the communication device in the LAN from the center authentication server and automatically set the local authentication server. System construction is easy.
請求項2の発明では、請求項1の発明において、前記ローカル認証サーバは、各通信機器に対して搭載しているオブジェクトの識別子の要求を行って各オブジェクトの識別子の取得を行うとともに、取得したオブジェクトの識別子を前記センター認証サーバへ通知し、この通知に対応して前記センター認証サーバから送られてくる許可情報を取得して設定する初期設定機能を備えていることを特徴とする。 According to a second aspect of the invention, in the first aspect of the invention, the local authentication server makes a request for an identifier of an object mounted on each communication device to acquire the identifier of each object and acquires the identifier. An initial setting function for notifying the identifier of the object to the center authentication server and acquiring and setting permission information sent from the center authentication server in response to the notification is provided.
請求項2の発明によれば、システムスタート時にローカル認証サーバにおいて自動的に認証に必要なオブジェクトの識別子をLAN内の通信機器から取得するとともに、LAN内の通信機器のオブジェクトの識別子をセンター認証サーバへ通知することで、初期設定において通信機器側でWAN側の認証サーバのアドレスを設定する必要がなく、そのためユーザが特に意識することなくNAT(Network Address Translation)越えを簡単に実現できる。
According to the invention of
請求項3の発明では、請求項1又は2の発明において、前記ローカル認証サーバは、前記許可判定を行い、LAN内での通信が許可されていない場合、通信機器側からの前記認証要求と当該通信機器が搭載しているオブジェクトの識別子を前記センター認証サーバへ転送し、
前記センター認証サーバは、転送されてきた当該通信機器のオブジェクトの識別子と自己が保有する許可情報とに基づいて許可判定を行い、許可されていると判定した場合に認証キーを生成して前記ローカル認証サーバへ返信し、
前記ローカル認証サーバは、前記センター認証サーバから配信された認証キーを、認証要求元の通信機器並びに前記他の通信機器に配信することを特徴とする。
In the invention of claim 3, in the invention of
The center authentication server performs permission determination based on the transferred object identifier of the communication device and the permission information held by itself, and generates an authentication key when it is determined to be permitted to generate the local key. Reply to the authentication server,
The local authentication server, the authentication key delivered from the central authentication server, characterized in that it delivered to the authentication requestor communication device and said other communication devices.
請求項3の発明によれば、LAN外の通信機器とLAN内の通信機器との間でもセキュア通信を行うことが可能となる。 According to the invention of claim 3, secure communication can be performed between a communication device outside the LAN and a communication device within the LAN.
本発明は、LAN内に認証のためのローカル認証サーバを設けることで、WANが切断されるような事態が発生してもLAN内でのセキュア通信を確保することができ、しかも認証のための許可情報はセンター認証サーバ側で集約し、ローカル認証サーバではLAN内の通信機器のみに対応する許可情報をセンター認証サーバから取得してローカル認証サーバでの設定が自動的に行え、システム構築が容易であるという効果がある。 By providing a local authentication server for authentication in the LAN, the present invention can secure secure communication in the LAN even if a situation in which the WAN is disconnected occurs. The authorization information is collected on the center authentication server side, and the local authentication server obtains authorization information corresponding only to communication devices in the LAN from the center authentication server and can be automatically set on the local authentication server, facilitating system construction. There is an effect that.
以下本発明を実施形態により説明する。
(実施形態1)
図1は、本実施形態のネットワークシステムのシステム図を示しており、ユーザエリアUにはイーサネット(登録商標)のような通信規格によるLAN1が設置され、LAN1に通信機器としての通信機能を備えたビルや住宅内に設置される空調機器、照明機器からなる複数の設備機器21…2nが接続され、設備機器21…間でLAN内通信ができるようになっている。
Embodiments of the present invention will be described below.
(Embodiment 1)
FIG. 1 is a system diagram of a network system according to the present embodiment. A LAN 1 according to a communication standard such as Ethernet (registered trademark) is installed in a user area U, and the LAN 1 has a communication function as a communication device. A plurality of
またLAN1はゲートウェイ3のハブ部30により集線されるとともに、ゲートウェイ3内のイーサネット(登録商標)に対応するLAN用の通信部31及びモデム部32によってWANであるインターネット4に接続され、LAN1上の設備機器21…とインターネット4上の設備機器20との間でも通信ができるようにもなっている。
The LAN 1 is concentrated by the
ゲートウェイ3は上述のハブ部30、通信部31及びモデム部32、以外に後述するオブジェクトアクセスサーバというサーバ機能部OAS<Object Access Saver>を備え、このサーバ機能部OAS内には認識装置の一部を構成する後述するローカル認証サーバ(以下ローカルAS<Authentication Sever>と略する)7Aの機能を備えている。
The gateway 3 includes a server function unit OAS <Object Access Saver> called an object access server, which will be described later, in addition to the
一方、インターネット4には上述の設備機器20以外にセンターサーバ5や、パソコン、携帯端末(携帯電話機、PDA等の通信機能付き端末)等のクライアント用端末6が接続されるようになっており、センターサーバ5はゲートウェイと同様なサーバ機能部OASを備え、このサーバ機能部OAS内には、ローカルAS7Aとともに認証装置を構成するセンターAS7Bの機能を備えている。
On the other hand, the Internet 4 and the
ここで本システムに用いる設備機器2(20…2n)の基本的な構成は、図2(a)に示すように設備機器独自のサービスを提供するための機能部20と、この機能部20にインターフェース部21とバス22とを介して動作指示(動作制御)するための関数を与えたり、機能部20の現在状態を示す変数を取得したり、更には機能部20の状態変換が発生したことを示すイベント情報を取得する処理を行う情報処理部23と、ネットワーク通信(イーサネット(登録商標)規格の通信)のための通信部24と、情報処理部23の記憶部25には本システムにおけるオブジェクト機能を実現するためのモジュール部MOS<Micro Object Server>を組み込んである。
Here, the basic configuration of the equipment 2 (2 0 ... 2 n ) used in the present system includes a
このモジュール部MOSは、図2(b)に示すように設備機器2のためのアプリケーション部26と、OSI7階層モデルに対応したソフトウェア通信モジュール27と、機能部20との間の情報の授受のためのハードウェア通信モジュール28とから構成される。
As shown in FIG. 2B, this module unit MOS is used for exchanging information between the
ここでゲートウェイ3に備えているサーバ機能部OASは、本システムの設備機器2(20…2n)のネットワークの繋がり方を隠すためのオブジェクト・ルータとしての機能を実現するソフトと設備機器2のオブジェクトをアクセスすることで、当該設備機器2の機能部20が提供するサービスをユーザが享受するために実行される各種アプリケションソフト、更に異種のプロトコルを変換して本システムにシームレスに繋ぐためのプロトコル・ブリッジサービスと、後述するセンターサーバ5との間の通信に用いるプロトコルをSOAP(Simple Object Access Protocol)に変換してファイヤーウォールを通過させるためのファイヤーウォール・ブリッジ・サービス等の追加可能なサービス機能を実現するソフトから構成される。またゲートウェイ3のサーバ機能部OAS内に備えているローカルAS7Aは設備機器2のモジュール部MOSが有するオブジェクト毎に、当該オブジェクトの識別子(更には秘密鍵若しくはユーザ名、パスワード)と、当該オブジェクトに対する許可を持つ識別子(又はユーザ名と許可情報)を保持する記憶手段(図示せず)と、認証、後述する認証キー及びアクセスコントロールを行う演算手段(図示せず)とをサーバ機能部OASの記憶手段及び演算手段と共用するようになっている。
Here, the server function unit OAS provided in the gateway 3 includes software and
尚サーバ機能部OASとローカルAS7Aとはハードウェア的にもソフトウェア的にも別体で構成しても良く、またゲートウェイ3にサーバ機能部OASを搭載せず、単にインターネット4とLAN1との間のプロトコル変換とLAN1上の設備機器2(20…2n)をインターネット4に接続するためのルーティング機能とを備えただけのものでも良い。この場合、ローカルAS7Aは、設備機器2(21…2n)をブロードキャスト又はマルチキャストによって検出する処理を行って、LAN1上の設備機器2(21…2n)のIPアドレス等ネットワーク通信に必要な情報を取得する。そして接続処理後LAN1内の各設備機器2(20…2n)に対して搭載しているオブジェクトの識別子の要求を行って各オブジェクトの識別子(後述するOID及びIID)の取得を行うとともに、取得したオブジェクトの識別子を後述するセンターAS7Bへ通知し、この通知に対応してセンターAS7Bから送られてくる許可情報を取得して設定する初期設定機能を備える。 The server function unit OAS and the local AS 7A may be configured separately from each other in terms of hardware and software, and the server function unit OAS is not installed in the gateway 3 and is simply provided between the Internet 4 and the LAN 1. It may be provided only with protocol conversion and a routing function for connecting the equipment 2 (2 0 ... 2 n ) on the LAN 1 to the Internet 4. In this case, the local AS 7A performs processing for detecting the equipment 2 (2 1 ... 2 n ) by broadcast or multicast, and is necessary for network communication such as the IP address of the equipment 2 (2 1 ... 2 n ) on the LAN 1 . Information is obtained. Then, after the connection process, each object device 2 (2 0 ... 2 n ) in the LAN 1 requests the identifier of the mounted object to acquire the identifier (OID and IID described later) of each object, An initial setting function is provided for notifying the acquired object identifier to the center AS 7B, which will be described later, and acquiring and setting permission information sent from the center AS 7B in response to this notification.
ここで、本ネットワークシステムではOSI7階層モデルからなり、設備機器2の情報処理部23のモジュール部MOSがクライアント用端末6や他の設備機器2に変数、イベント情報を渡したり、或いは関数を受け取る等のための独自プロトコル(以下OAPという)からアプリケーション層を構成し、このOAPを用いてサーバ機能部OASと設備機器2のモジュール部MOSとの間の情報授受を行うようになっている。
In this network system, the OSI 7 hierarchical model is used, and the module unit MOS of the
またモジュール部MOSのソフトウェア通信モジュール27は、OSI7階層のネットワーク層〜プレゼンテーション層におけるプロトコルを担うものであって、上述のOAPの定義やTCP,UDPの統合を行っている。
Further, the
センターサーバ5はインターネット4上に設置されるもので、搭載するサーバ機能部OASはゲートウェイ3のサーバ機能部OASと同様な機能を持ち、またセンターAS7BもローカルAS7Aと同様な機能を持つものであって、各LAN1内及びLAN1相互間での全てのオブジェクト間の許可情報を格納したデータベースを記憶手段(図示しない)に備えている。
The
ところで、上述の各設備機器2は機能部20がサービス提供のための処理を行う際に用いる1乃至複数の設備側オブジェクトを情報処理部23内に組み込まれたモジュール部MOSの下で有するとともに、夫々の設備側オブジェクトには提供サービスに対応する情報(機能部20の現在状態を示す変数、機能部20に渡す制御のための関数、機能部20での変化発生を示すイベント情報)によって定義されたインターフェースを1乃至複数持たせており、各設備側オブジェクトにはOIDという識別子を付与し、各インターフェースにはIIDという識別子を付与し、OIDは当該オブジェクト固有であり、IIDは定義内容が同一のインターフェースに割り当てることができるもので、設備側オブジェクトの実行は、設備側オブジェクトのOID或いはインターフェースのIID又は両者の組み合わせを用いた実行要求を情報処理部23が後述するようにゲートウェイ3内のサーバ機能部OASから受け取ったときに為される。
By the way, each of the above-described
この実行要求は、特定の設備側オブジェクト下の特定のインターフェースに対応する実行要求の場合にはOIDと当該インターフェースのIIDとの組み合わせが、また同じ定義内容のインターフェースが複数の設備機器2の設備側オブジェクト下にある場合には当該インターフェースのIIDのみで実行要求を行うようになっている。
When the execution request is an execution request corresponding to a specific interface under a specific facility-side object, the combination of the OID and the IID of the interface is the same, and the interface of the same definition is the facility side of the plurality of
クライアント用端末6は、当該ネットワークシステムにおいて提供サービスを享受するためのクライアント用ソフト(以下OAL<Object Access Library>という)やクライアント用アプリケーション(ソフト)等を搭載したコンピュータ装置からなるもので、インターネット4上から設備機器2のモジュール部MOSのオブジェクトに対する実行要求が行え、またクライアント用アプリケーションを実行することで後述する設備機器2が提供できるサービス、つまり設備機器2への制御要求や、設備機器2側からの監視情報(変数、イベント情報)を当該クライアント用端末6が所望する形で享受することができるようになっている。
The
次にネットワークシステムの動作を説明する。 Next, the operation of the network system will be described.
まずシステム立ち上がり時には、ゲートウェイ3のサーバ機能部OASはLAN1に接続されているモジュール部MOS搭載の設備機器2(21…2n)をブロードキャスト又はマルチキャストによって検出する処理を行って、LAN1上の設備機器2(21…2n)のIPアドレス等ネットワーク通信に必要な情報を取得する。そして接続処理後、サーバ機能部OASのローカルAS7Aは各設備機器2(21…2n)に対して設備側オブジェクトのOID及びその下のインターフェースのIIDの情報を全て送るように要求する(S1)。 First, at the time of system start-up, the server function unit OAS of the gateway 3 performs a process of detecting the equipment 2 (2 1 ... 2 n ) mounted with the module part MOS connected to the LAN 1 by broadcast or multicast, and the equipment on the LAN 1 Information necessary for network communication such as the IP address of the device 2 (2 1 ... 2 n ) is acquired. Then, after the connection process, the local AS 7A of the server function unit OAS requests each equipment device 2 (2 1 ... 2 n ) to send all the information on the OID of the equipment object and the IID of the interface below it (S1). ).
そして、この要求に対応して設備機器2(21…2n)からS2、S3に示すように順次送られてきたOID及びIIDの情報と、送ってきた設備機器2(21…2n)のネットワーク通信(TCP/IPベース)上の識別子であるIPアドレスとを対応付けて記憶手段に記憶保持する。この記憶保持は接続設備情報用テーブルとして保持される。
In response to this request, the OID and IID information sent sequentially from the equipment 2 (2 1 ... 2 n ) as shown in
尚各設備機器2(21…2n)からブロードキャスト若しくはマルチキャストによりゲートウェイ3のIPアドレスを取得し、ゲートウェイ3のサーバ機能部OASのローカルAS7Aとの間の通信を可能とするようにしても良い。勿論ローカルAS7AをLAN1上にゲートウェイ3のサーバ機能部OASとは別体に設けている場合(或いはサーバ機能部OASを設けず、ローカルAS7Aを単独に設けている場合)にも、各設備機器2(21…2n)からブロードキャスト若しくはマルチキャストにより直接当該ローカルAS7AのIPアドレスを取得することで、ローカルAS7Aとの間の通信を可能とするようにする。また設備機器2(21…2n)側で予めWAN上のセンターサーバ7(センターAS7B)のIPアドレスを設定する必要もない。
Note that the IP address of the gateway 3 may be acquired from each facility device 2 (2 1 ... 2 n ) by broadcast or multicast to enable communication with the local AS 7A of the server function unit OAS of the gateway 3. . Of course, when the local AS 7A is provided separately from the server function unit OAS of the gateway 3 on the LAN 1 (or when the local AS 7A is provided independently without providing the server function unit OAS), each
またその後、ゲートウェイ3のサーバ機能部OASはローカルAS7Aの働きとしてインターネット4上のセンターサーバ5のサーバ機能部OASに対して自己の配下の設備機器2(21…2n)の設備側オブジェクトOID及びその下のインターフェースIIDからなる組み合わせ情報を送る処理を行う(ステップS4)。この処理は定期的に行われ、記憶保持するOID及びIIDの組み合わせ情報が更新される。尚、追加や機器の廃棄の場合においても上述の更新処理を行う。
After that, the server function unit OAS of the gateway 3 functions as a local AS 7A with respect to the server function unit OAS of the
センターサーバ5のサーバ機能部OAS内のセンターAS7Bは記憶手段に記憶している許可情報のデータベースからゲートウェイ3の配下にあるLAN内通信に対応する許可情報を抽出し、この許可情報をLAN内通信に関連する許可情報として当該ゲートウェイ3のサーバ機能部OAS内のローカルAS7Aに送る(S5)。
The center AS 7B in the server function unit OAS of the
センターサーバ5のセンターAS7Bから許可情報を取得したローカルAS7Aでは、設備機器21…2nのモジュール部MOSのオブジェクトのOID及びインターフェースのIIDとの組み合わせ情報に対する許可情報を設定し、その設定内容を記憶手段に保持する。つまりローカルAS7Aでの許可情報の設定はセンターAS7Bからの許可情報を取得することで自動的に行えることになる。
In the local AS7A obtained the permission information from the center AS7B of the
またセンターサーバ5ではインターネット4に接続されている設備機器20のモジュール部MOSのオブジェクトのOID及びインターフェースのIIDの組み合わせ情報はサーバ機能部OAS及びセンターAS7Bの働きによってゲートウェイ3の場合と同様に取得する。
The combination information of the OID and the interface IID of the
ここでセンターサーバ5にセンターAS7Bを組み込んだサーバ機能部OASを備えている場合には、各LAN1に接続されている設備機器2のオブジェクトのOID及びインターフェースのIIDの組み合わせ情報をゲートウェイ3のサーバ機能部OASから受け取り、この受け取った情報に基づいて手動により通信許可の設定を行うようになっているが、サーバ機能部OASを備えていない場合には、各LAN1上の設備機器2のオブジェクトのOID及びインターフェースのIIDの組み合わせ情報の設定も手動で行う。
Here, when the
またセンターAS7Bにおける許可情報の設定、つまり各LAN1内における設備機器2同士においてオブジェクトに対する実行要求のための通信許可の設定は、オブジェクトのOID及びその下のインターフェースのIIDの情報に基づいてテーブル化したもので、送信側の設備機器2のオブジェクトのOIDと、当該送信側の通信相手として許可されている設備機器2のオブジェクトのOID及びインターフェスのIIDの組み合わせ情報或いはOIDのみ又はIIDのみとを対応付けており、このテーブル化した通信の許可情報をセンターAS7BからローカルAS7Aが取得して上述のように許可情報の設定を行うのである。またLAN1内の設備機器2と、当該LAN1外の設備機器2同士の通信許可の設定も予めセンターAS7Bにおいて手動により設定する。
The setting of permission information in the center AS 7B, that is, the setting of communication permission for an execution request for an object between the
このようにしてシステムが構築された状態において、設備機器2間で通信を行う場合における認証についての動作を図4及び図5により詳説する。
In the state where the system is constructed in this way, the operation for authentication when communication is performed between the
今LAN1内の設備機器21から設備機器2nのオブジェクトのOID及びインターフェースのIIDを用いて当該オブジェクトの実行要求を行うための認証要求が送信される(S6)と、この認証要求は一旦ゲートウェイ3のサーバ機能部OASが受け取ることになり、サーバ機能部OAS内のローカルAS7Aは実行要求を行った送信側の設備機器21のオブジェクトのOIDの情報と、実行要求先、つまり受信側の設備機器器22のオブジェクトのOID及びインターフェースのIIDの組み合わせ情報との関係が、設定された許可情報に有るか否かで、LAN1内の通信が許可されているか否かを判定し、許可されている場合には許可通知と認証キーの配信を夫々の設備機器21、2nに対して行う(S7,S8)。これにより許可通知とともに認証キーを受け取った設備機器21、2nの間でセキュア通信が行え(S9)、オブジェクト実行により情報の授/受が可能となる。この場合ゲートウェイ3のサーバ機能部OASの接続設備情報用テーブルを用いたルーティング機能の働きにより設備機器同士ではIPアドレス等を特に意識することなく通信ができる。
When an authentication request for making an execution request for the object is sent using the OID of the object of the
尚ゲートウェイ3にサーバ機能部OASを備えていない場合には、例えば設備機器21から設備機器22に対して通信許可が与えられると、実行要求のオブジェクトのOID及びIIDの組み合わせ情報をブロードキャストによりLAN1内の設備機器2(21…2n)に対して送ることで、ユニークな識別子であるOIDが付されたオブジェクトを持つ設備機器2nに対してのみオブジェクトの実行要求を行える。つまり相手先IPアドレスを意識することなく実質的なP2P通信により実行要求を行うこともできる。
Note if the gateway 3 does not have the server function unit OAS, for example when the communication permission is given from the
またLAN1内の通信が許可されてない場合には、ローカルAS7Aは、不許可通知を行う。 If the communication within the LAN 1 is not permitted, the local AS 7A issues a non-permission notification.
ところで、LAN1外の設備機器、例えば20から設備機器2nのオブジェクトのOID及びインターフェースのIIDを用いて当該オブジェクトの実行要求を行うための認証要求が図5に示すようにセンターサーバ5のサーバ機能部OASを介して為される(S11)と、ゲートウェイ3のサーバ機能部OAS内のローカルAS7Aは、設備機器20がLAN1内で通信許可の設定があるか否かを判定し、LAN1内での通信許可の設定がなければこの認証要求をセンターサーバ5のサーバ機能部OAS内のセンターAS7Bに転送する(S12)。
Incidentally, LAN1 outside of the equipment, for example, the authentication request for performing the execution request of the object is of the
これによりセンターAS7Bは、実行要求を行った設備機器20のオブジェクトのOID及びインターフェースのIIDの組み合わせ情報と、実行要求先のオブジェクトのOID及びインターフェースのIIDの組み合わせ情報と、許可情報のデータベースの内容とを照合して、通信が許可されるか否かを判定し、許可される場合には許可通知と認証キーの配信をローカルAS7Aに行い(S13)、ローカルAS7Aでは配信されてきた許可通知と認証キーを夫々の設備機器20、2nに対して配信する(S14,S15)。これにより許可通知とともに認証キーを受け取った設備機器20、2nの間でセキュア通信が行え(S16)、オブジェクト実行により情報の授/受が可能となる。この場合ゲートウェイ3及びセンターサーバ5のサーバ機能部OASの接続設備情報用テーブルを用いたルーティング機能の働きにより設備機器同士ではIPアドレス等を特に意識することなく通信ができる。
Accordingly center AS7B includes combination information of IID of the OID and the interface of the
以上のように本発明ネットワークシステムでは、LAN内の通信の認証をローカルAS7Aで行うことで、インターネット4が切断されるような事態が発生してもLAN内通信を確保することができる。またLAN1上にローカルAS7AではLAN1上の設備機器21…2nのモジュール部MOSのオブジェクトのOID及びインターフェースのIIDからなる組み合わせ情報に対応するLAN内通信の許可情報をセンターサーバ5のセンターAS7Bから取得するため、ローカルAS7Aでの情報処理の負担の低減が図れる。
As described above, in the network system of the present invention, communication within the LAN is performed by the local AS 7A, so that communication within the LAN can be ensured even when the
また、システムスタート時等にローカルAS7Aにおいて自動的に認証に必要なオブジェクトのOID及びその下のインターフェースのIIDをLAN1内の設備機器2から取得するとともに、LAN1内の設備機器2のオブジェクトのOID及びインターフェースのIIDをセンターAS7Bへ通知することで、初期設定をユーザが特に意識することなく、NAT越えを実現できる。
In addition, the local AS 7A automatically obtains the OID of the object necessary for authentication and the IID of the interface below it from the
更にローカルAS7Aは、設備機器2側からの認証要求時に当該設備機器2がLAN1内での通信が許可されていない場合、設備機器2側から認証要求と当該設備機器2が搭載しているオブジェクトのOID及びインターフェースのIIDをセンターAS7Bへ転送し、センターAS7Bで、転送されてきた当該設備機器2のオブジェクトのOID及びインターフェースのIIDと、自己が保有する許可情報とに基づいて許可判定を行い、許可されていると判定した場合に認証キーを生成して前記ローカルAS7Aへ返信し、該認証キーを該ローカルAS7Aから当該設備機器2へ送らせるので、LAN1外の設備機器2とLAN1内の設備機器2との間でもセキュア通信を行うことが可能となる。
Further, the local AS 7A, when the
1 LAN
20〜2n 設備機器
3 ゲートウェイ
30 ハブ部
31 モデム部
4 インターネット
5 センターサーバ
6 クライアント用端末
7A ローカルAS
7B センターAS
MOS モジュール部
OAS サーバ機能部
1 LAN
2 0-2 n Equipment 3
7B Center AS
MOS module part OAS server function part
Claims (3)
前記LANに接続されたローカル認証サーバと、前記LANが接続されるWAN上に接続されたセンター認証サーバとを備え、
前記ローカル認証サーバは、前記LAN上の前記各通信機器の搭載オブジェクトの識別子を基に当該各オブジェクトに対応したLAN内通信に関する許可情報を前記センター認証サーバから予め取得して設定する機能とを備え、
前記センター認証サーバは、LANに接続された通信機器同士の許可情報及びLANに接続された通信機器とWANを介して接続された通信機器との許可情報が予め設定され、前記ローカル認証サーバから通知されるオブジェクトの識別子に対応してLAN内通信に対応する前記許可情報を前記ローカル認証サーバに送る機能を備え、
前記ローカル認証サーバは、他の通信機器に対して前記オブジェクトの実行要求を送信しようとする通信機器から認証要求を受け取ると、通信を行う各通信機器のオブジェクトの識別子と予め設定している許可情報とを照合して許可判定を行い、LAN内での通信が許可されていると判定した場合に、当該認証要求元の通信機器並びに当該他の通信機器に認証キーの配信を行うことを特徴とするネットワークシステム。 When an object with an identifier is mounted and there is a request to execute the object using the identifier, a plurality of communication devices that execute the object and perform predefined information processing are connected to the LAN. A network system in which the communication devices are connected via a WAN ,
A local authentication server connected to the LAN, and a center authentication server connected to a WAN to which the LAN is connected,
The local authentication server has a function of acquiring and setting permission information relating to intra-LAN communication corresponding to each object in advance from the center authentication server based on the identifier of the mounted object of each communication device on the LAN. ,
In the center authentication server, permission information between communication devices connected to the LAN and permission information between communication devices connected to the LAN and communication devices connected via the WAN are set in advance and notified from the local authentication server. A function of sending the permission information corresponding to intra-LAN communication to the local authentication server corresponding to the identifier of the object to be executed,
When the local authentication server receives an authentication request from a communication device that intends to transmit an object execution request to another communication device, the identifier of each communication device that performs communication and preset permission information The authentication key is distributed to the communication device that is the authentication request source and the other communication device when it is determined that communication within the LAN is permitted. Network system.
前記センター認証サーバは、転送されてきた当該通信機器のオブジェクトの識別子と自己が保有する許可情報とに基づいて許可判定を行い、許可されていると判定した場合に認証キーを生成して前記ローカル認証サーバへ返信し、
前記ローカル認証サーバは、前記センター認証サーバから配信された認証キーを、認証要求元の通信機器並びに前記他の通信機器に配信することを特徴とする請求項1又は2記載のネットワークシステム。 The local authentication server performs the permission determination, and when communication within the LAN is not permitted, the authentication request from the communication device side and the identifier of the object mounted on the communication device are transmitted to the center authentication server. Forward,
The center authentication server performs permission determination based on the transferred object identifier of the communication device and the permission information held by itself, and generates an authentication key when it is determined to be permitted to generate the local key. Reply to the authentication server,
The local authentication server, the center network system according to claim 1 or 2, wherein the authentication key delivered from the authentication server, characterized in that it delivered to the authentication requestor communication device and said other communication devices.
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006132930A JP3992067B1 (en) | 2006-05-11 | 2006-05-11 | Network system |
PCT/JP2007/059731 WO2007132764A1 (en) | 2006-05-11 | 2007-05-11 | Network system |
KR1020087016557A KR100969906B1 (en) | 2006-05-11 | 2007-05-11 | Network system |
CN2007800171376A CN101443777B (en) | 2006-05-11 | 2007-05-11 | Network system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006132930A JP3992067B1 (en) | 2006-05-11 | 2006-05-11 | Network system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP3992067B1 true JP3992067B1 (en) | 2007-10-17 |
JP2007306331A JP2007306331A (en) | 2007-11-22 |
Family
ID=38683352
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006132930A Expired - Fee Related JP3992067B1 (en) | 2006-05-11 | 2006-05-11 | Network system |
Country Status (4)
Country | Link |
---|---|
JP (1) | JP3992067B1 (en) |
KR (1) | KR100969906B1 (en) |
CN (1) | CN101443777B (en) |
WO (1) | WO2007132764A1 (en) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4640402B2 (en) * | 2007-11-07 | 2011-03-02 | 富士ゼロックス株式会社 | Information processing apparatus and user authentication program |
US8341716B2 (en) | 2007-11-07 | 2012-12-25 | Fuji Xerox Co., Ltd. | Information processing device, information processing method, and storage media storing user certification program |
JP5560561B2 (en) * | 2009-01-15 | 2014-07-30 | ソニー株式会社 | Content provision system |
JP5308993B2 (en) * | 2009-11-02 | 2013-10-09 | 株式会社日立製作所 | How to register device information |
JP5503500B2 (en) * | 2010-11-02 | 2014-05-28 | 株式会社日立製作所 | Access right management device, access right management system, access right management method, and access right management program |
JP7331532B2 (en) * | 2019-07-30 | 2023-08-23 | 京セラドキュメントソリューションズ株式会社 | Information processing system, information processing device, and information processing method |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5941947A (en) * | 1995-08-18 | 1999-08-24 | Microsoft Corporation | System and method for controlling access to data entities in a computer network |
JPH1049443A (en) | 1996-08-02 | 1998-02-20 | Nippon Telegr & Teleph Corp <Ntt> | Information processing system |
JP2001358717A (en) * | 2000-06-12 | 2001-12-26 | Nippon Telegr & Teleph Corp <Ntt> | Method and device for managing network device or the like and program recording medium |
JP2002056074A (en) | 2000-08-07 | 2002-02-20 | Matsushita Electric Works Ltd | Equipment use contracting system using communication network |
JP3575603B2 (en) * | 2001-03-16 | 2004-10-13 | ソニー株式会社 | Information processing apparatus and method, recording medium, and program |
JP3797937B2 (en) * | 2002-02-04 | 2006-07-19 | 株式会社日立製作所 | Network connection system, network connection method, and network connection device used therefor |
JP2004021666A (en) | 2002-06-18 | 2004-01-22 | Hitachi Ltd | Network system, server, and server setting method |
JP3573453B2 (en) * | 2002-09-27 | 2004-10-06 | 松下電器産業株式会社 | Terminal authentication system, terminal authentication method, and terminal authentication server |
JP3961439B2 (en) | 2003-03-31 | 2007-08-22 | 富士通サポートアンドサービス株式会社 | Fingerprint personal authentication system |
JP2004334610A (en) * | 2003-05-09 | 2004-11-25 | Nec Corp | Method for providing local network management service |
WO2005101162A1 (en) * | 2004-04-15 | 2005-10-27 | Matsushita Electric Industrial Co., Ltd. | Access control device and electronic device |
JP4410058B2 (en) * | 2004-08-18 | 2010-02-03 | 日本電信電話株式会社 | Network operation service composition processing method, network operation apparatus, program, and recording medium |
JP4260759B2 (en) * | 2005-02-18 | 2009-04-30 | 富士通株式会社 | Device control service providing program, device control service providing system, and device control service providing method |
-
2006
- 2006-05-11 JP JP2006132930A patent/JP3992067B1/en not_active Expired - Fee Related
-
2007
- 2007-05-11 KR KR1020087016557A patent/KR100969906B1/en not_active IP Right Cessation
- 2007-05-11 CN CN2007800171376A patent/CN101443777B/en not_active Expired - Fee Related
- 2007-05-11 WO PCT/JP2007/059731 patent/WO2007132764A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
WO2007132764A1 (en) | 2007-11-22 |
JP2007306331A (en) | 2007-11-22 |
CN101443777B (en) | 2012-05-23 |
CN101443777A (en) | 2009-05-27 |
KR20080082971A (en) | 2008-09-12 |
KR100969906B1 (en) | 2010-07-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2291979B1 (en) | Remote access between upnp devices | |
CN104429037B8 (en) | Method, equipment and system for being connected to communication equipment | |
US7934014B2 (en) | System for the internet connections, and server for routing connections to a client machine | |
CN102291459B (en) | Network services infrastructure systems and methods | |
JP3992067B1 (en) | Network system | |
US8438218B2 (en) | Apparatus and method for providing accessible home network information in remote access environment | |
CN101473597A (en) | Method and system for remote access to universal plug and play devices | |
KR101614945B1 (en) | Method and apparatus for protecting of pravacy in home network | |
US20200412708A1 (en) | Link protocol agents for inter-application communications | |
US20040125813A1 (en) | Gateway and its communicating method | |
KR102270909B1 (en) | Multimedia sharing method, registration method, server and proxy server | |
TW200536308A (en) | Location system | |
FI124341B (en) | Equipment arrangement for remote real estate management | |
JP2005204189A (en) | Access user management system and device | |
CN101083594A (en) | Method and system for managing network appliance | |
US8737413B2 (en) | Relay server and relay communication system | |
CN104301197B (en) | It is a kind of to realize the method and system mutually found between user multiple terminals | |
JP2011055450A (en) | Relay server and relay communication system | |
Cisco | Inter-process Communication | |
Cisco | Inter-process Communication | |
Cisco | Inter-process Communication | |
JP4992944B2 (en) | Relay server and relay communication system | |
JP2008098937A (en) | Virtual network communication system and communication terminal | |
JP2005128652A (en) | Composite server system | |
JP4401302B2 (en) | Communication management system, communication management method, and communication management program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070703 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070716 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 3992067 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100803 Year of fee payment: 3 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100803 Year of fee payment: 3 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110803 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120803 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130803 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |