CN111344998B - 通信网络系统 - Google Patents
通信网络系统 Download PDFInfo
- Publication number
- CN111344998B CN111344998B CN201780096655.5A CN201780096655A CN111344998B CN 111344998 B CN111344998 B CN 111344998B CN 201780096655 A CN201780096655 A CN 201780096655A CN 111344998 B CN111344998 B CN 111344998B
- Authority
- CN
- China
- Prior art keywords
- communication
- unit
- packet
- access
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/564—Enhancement of application control based on intercepted application data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
通信网络系统(1)包括:经由全局网络(2)而与所述外部装置(3)连接的云服务器装置(4);以及网关装置(9)。网关装置(9)包含:经由全局网络(2)在与所述云服务器装置(4)之间进行通信的第一通信部(91);经由局域网络(6)在与内部装置(61)之间进行通信的第二通信部(92);分别控制第一、第二通信部(91、92)的第一、第二通信控制部(951、952);以及通信历史记录存储部(96)。在基于第一、第二通信控制部(951、952)对第一、第二通信部(91、92)的控制而确立了外部装置(3)与内部装置(61)之间的会话后,通信历史记录存储部(96)存储关于该外部装置(3)与内部装置(61)之间的通信的历史记录的通信历史记录信息(JH1)。
Description
技术领域
本发明涉及一种在连接于全局网络的外部装置与连接于局域网络的内部装置之间相互进行通信的通信网络系统。
背景技术
在生产产品的工厂内设置有多种多样的制造装置。例如,在生产搭载(装配)有电子元件的装配基板的工厂内,设置有将电子元件搭载(装配)到基板的多个元件装配装置。多个元件装配装置各自通过参照对基板装配电子元件的装配动作所需的各种信息并执行指定的装配程序,来生产装配基板。
另外,在工厂内,从抑制技术信息、与生产量、产品品质等有关的信息等泄漏到外部的观点出发,构建与因特网、办公网络等全局网络分离的本地网络(局域网络)的情形多。通过将设置于工厂内的多个元件装配装置等各种制造装置(以下称为“内部装置”)连接于局域网络,能够经由该局域网络进行各内部装置之间的信息的发送接收。
另一方面,希望元件装配装置等内部装置的厂商提供与用于使装置动作的程序的更新、装置的维护检查等有关的信息、以及提供通过远程操作(遥控)来执行维护检查的服务。在内部装置的厂商提供上述的服务时,需要从连接于与局域网络分离的全局网络的外部装置访问连接于局域网络的内部装置。使这样的全局网络与局域网络之间的通信成为可能的技术例如被公开在专利文献1、2中。
然而,从抑制信息泄漏到外部的观点来看,单纯地使全局网络与局域网络之间的通信成为可能是不够的。即,针对从外部装置向内部装置的访问,需要构建能够在局域网络内监视是否有导致信息泄漏到外部的不正当访问等的通信网络系统。
专利文献1:日本专利公开公报特开2004-120534号
专利文献2:日本专利公开公报特开2007-006109号
发明内容
本发明鉴于上述的情况而作,其目的在于提供一种能够在局域网络内监视是否有从连接于全局网络的外部装置向连接于局域网络的内部装置的不正当访问等的通信网络系统。
本发明的一个方面涉及的通信网络系统包括:外部装置,连接于全局网络;内部装置,连接于与所述全局网络分离的局域网络;服务器装置,经由所述全局网络以能够通信的方式与所述外部装置连接;以及网关装置,对所述全局网络与所述局域网络之间的通信进行中继;其中,所述网关装置包含:第一通信部,经由所述全局网络在与所述服务器装置之间进行通信;第二通信部,经由所述局域网络在与所述内部装置之间进行通信;第一通信控制部,控制所述第一通信部,按指定的时间间隔定期地使第一定期包从所述第一通信部发送到所述服务器装置;第二通信控制部,控制所述第二通信部,建立所述外部装置与所述内部装置之间的会话;以及通信历史记录存储部,存储与所述会话的建立后的所述外部装置与所述内部装置之间的通信的历史记录相关的通信历史记录信息,所述服务器装置当经由所述全局网络从所述外部装置接收到表示向所述内部装置的访问的请求的访问请求包、且从所述第一通信部接收到所述第一定期包时,向基于所述第一定期包而确定出的所述网关装置发送用于通知该访问请求包的接收的第一访问请求通知包,所述第一通信控制部使所述第一通信部接收从接收到了所述第一定期包的所述服务器装置发送到所述网关装置的所述第一访问请求通知包,所述第二通信控制部当由所述第一通信部接收到所述第一访问请求通知包时,通过使所述第二通信部发送用于通知该第一访问请求通知包的接收的第二访问请求通知包给所述内部装置,来建立所述外部装置与所述内部装置之间的会话。
本发明的目的、特征以及优点通过以下的详细说明和附图图示将便得更为明了。
附图说明
图1是表示本发明的第一实施方式所涉及的通信网络系统的结构的框图。
图2是表示第一实施方式所涉及的通信网络系统所具备的网关装置的结构的框图。
图3是表示网关装置向云服务器装置发送的第一定期包的标题信息的图。
图4是表示网关装置从内部装置接收的第二定期包的标题信息的图。
图5是表示云服务器装置从外部装置接收的访问请求包的标题信息的图。
图6是表示云服务器装置向网关装置发送的第一访问请求通知包的标题信息的图。
图7是表示网关装置向内部装置发送的第二访问请求通知包的标题信息的图。
图8是用于说明网关装置所具备的通信历史记录存储部中存储的通信历史记录信息的图。
图9是表示在第一实施方式所涉及的通信网络系统中由云服务器装置执行的云服务器通信处理的流程图。
图10是表示在第一实施方式所涉及的通信网络系统中由网关装置执行的网关通信处理的流程图。
图11是表示本发明的第二实施方式所涉及的通信网络系统的结构的框图。
图12是表示第二实施方式所涉及的通信网络系统所具备的网关装置的结构的框图。
图13是表示网关装置向云服务器装置发送的认证信息附加包的标题信息的图。
图14是表示在第二实施方式所涉及的通信网络系统中由云服务器装置执行的云服务器通信处理的流程图。
图15是表示在第二实施方式所涉及的通信网络系统中由网关装置执行的网关通信处理的流程图。
具体实施方式
以下,基于附图来说明本发明的实施方式所涉及的通信网络系统。
[第一实施方式所涉及的通信网络系统]
<通信网络系统的整体结构>
图1是表示本发明的第一实施方式所涉及的通信网络系统1的结构的框图。通信网络系统1是用于在因特网等全局网络(以下称为“GN”)2与局域网络(以下称为“LAN”)6之间相互进行通信的网络系统。通信网络系统1具备连接于GN2的外部装置3、云服务器装置4以及本地系统5。
本地系统5是属于与GN2分离的LAN6的系统,是例如构建在工厂内的计算机网络系统。从抑制技术信息、与生产量、产品品质等有关的信息等泄漏到外部的观点出发,本地系统5被构建为属于与GN2分离的LAN6的系统。本地系统5构成为包含连接于LAN6的多个第一内部装置61及第二内部装置62、包过滤装置7、路由器8以及网关装置9。
第一内部装置61是例如设置在工厂内的元件装配装置等制造装置。元件装配装置是用于将电子元件搭载(装配)到基板的制造装置,通过参照对基板装配电子元件的装配动作所需的各种信息并执行指定的装配程序,来生产装配基板。第二内部装置62是用于统一管理各第一内部装置61的动作的管理装置。在图1所示的例子中,4台第一内部装置61和1台第二内部装置62连接于LAN6。通过将设置在工厂内的多个第一内部装置61及第二内部装置62连接于LAN6,能够经由该LAN6进行多个第一内部装置61与第二内部装置62之间的信息的发送接收。
包过滤装置7是对连接于GN2的外部装置3与连接于LAN6的第一及第二内部装置61、62之间的包通信进行限制的装置,例如是所谓的防火墙。路由器8是将GN2与LAN6之间相互连接的通信机器,具有判断将数据在网络层中应该通过哪个路径进行传输的路径选择功能。网关装置9是对连接于GN2的外部装置3与连接于LAN6的第一及第二内部装置61、62之间的通信进行中继的装置。关于该网关装置9的结构的详情,后面叙述。
连接于GN2的外部装置3例如由个人计算机构成。外部装置3例如由构成本地系统5的第一内部装置61及第二内部装置62的厂商进行操作。在提供与用于使第一内部装置61及第二内部装置62动作的程序的更新、装置的维护检查等有关的信息、以及提供通过远程操作(遥控)来执行维护检查的服务时,外部装置3被操作。
云服务器装置4是经由GN2来与外部装置3及网关装置9协作的虚拟化服务器装置。云服务器装置4经由GN2以能够通信的方式与外部装置3及网关装置9连接。
在通信网络系统1中,用于进行连接于GN2的外部装置3与连接于LAN6的第一及第二内部装置61、62之间的相互通信的会话是基于云服务器装置4与网关装置9之间的包通信来被建立的。关于用于建立该会话的网关装置9的结构以及云服务器装置4与网关装置9之间的包通信,参照图2至图7来进行说明。图2是表示通信网络系统1所具备的网关装置9的结构的框图。图3至图7是表示为了建立外部装置3与第一及第二内部装置61、62之间的会话而使用的包的标题信息的图。
首先,参照图2来说明网关装置9的结构。网关装置9构成为包含第一通信部91、第二通信部92、通信管理部93、显示部94、中央处理部95、通信历史记录存储部96以及通信信息存储部97,上述各个部经由总线90而被连接。
第一通信部91是用于经由GN2在与云服务器装置4之间进行通信的接口电路。在进行第一通信部91与云服务器装置4之间的经由GN2的通信的通信路径上配置有包过滤装置7和路由器8。第一通信部91基于来自中央处理部95的数据而生成按照GN2的传送方式的通信信号,并且将经由GN2的来自云服务器装置4的通信信号变换为能够由中央处理部95处理的形式的数据。
第二通信部92是用于经由LAN6在与第一及第二内部装置61、62之间进行通信的接口电路。第二通信部92基于来自中央处理部95的数据而生成按照LAN6的传送方式的通信信号,并且将经由LAN6的来自第一及第二内部装置61、62的通信信号变换为能够由中央处理部95处理的形式的数据。
中央处理部95例如由微型处理器、其外围电路等构成,包含第一通信控制部951、第二通信控制部952、通信管理控制部953以及显示控制部954。
第一通信控制部951控制第一通信部91。第一通信控制部951是依照由在GN2中使用的TCP/IP等构成的因特网协议群的软件群。第一通信控制部951构成为具备控制第一通信部91的底层设备驱动程序、与因特网协议对应的数据链路层的软件、IP(InternetProtocol:因特网协议)的网络层的软件以及TCP(Transmission Control Protocol:传输控制协议)等上层软件等。
另外,第一通信控制部951控制第一通信部91,使包含图3所示的标题信息HJ1的第一定期包RP1从第一通信部91发送到云服务器装置4。第一定期包RP1是按指定的时间间隔定期地从第一通信部91发送到云服务器装置4的通信包。第一定期包RP1的标题信息HJ1中附加有作为第一定期包RP1的发送源的网关装置9的全局IP地址GAG、作为第一定期包RP1的发送目的地的云服务器装置4的全局IP地址GAC以及网关装置9的GID。在图3所示的例子中,在第一定期包RP1的标题信息HJ1中,网关装置9的全局IP地址GAG是“210.0.0.254”,云服务器装置4的全局IP地址GAC是“320.0.0.1”,网关装置9的标识符GID是“GATEWAY1”。
并且,第一通信控制部951控制第一通信部91,使第一通信部91接收为了响应从第一通信部91发送的第一定期包RP1而从云服务器装置4发送到网关装置9的第一访问请求通知包NP1(参照图6)。在此,在说明由第一通信部91接收的第一访问请求通知包NP1之前,说明外部装置3与云服务器装置4之间的经由GN2的包通信。
云服务器装置4经由GN2从外部装置3接收包含图5所示的标题信息HJ3的访问请求包DP。访问请求包DP是从外部装置3发送到云服务器装置4的通信包,是表示从外部装置3向第一及第二内部装置61、62的访问的请求的通信包。访问请求包DP的标题信息HJ3中附加有作为访问请求包DP的发送源的外部装置3的全局IP地址GAM、作为访问请求包DP的发送目的地的云服务器装置4的全局IP地址GAC以及访问请求目的地的第一及第二内部装置61、62的标识符MID。在图5所示的例子中,在访问请求包DP的标题信息HJ3中,外部装置3的全局IP地址GAM是“A1.B1.C1.D1”,云服务器装置4的全局IP地址GAC是“320.0.0.1”,访问请求目的地的第一及第二内部装置61、62的标识符MID是“MACHINE1”。
当从外部装置3接收到访问请求包DP、且从网关装置9的第一通信部91接收到第一定期包RP1时,云服务器装置4将包含图6所示的标题信息HJ4的第一访问请求通知包NP1发送到网关装置9。第一访问请求通知包NP1是用于将来自外部装置3的访问请求包DP的接收通知到网关装置9的通信包。在向网关装置9发送第一访问请求通知包NP1时,云服务器装置4参照第一定期包RP1的标题信息HJ1来确定作为发送目的地的网关装置9的全局IP地址GAG。
第一访问请求通知包NP1的标题信息HJ4中附加有作为第一访问请求通知包NP1的发送源的云服务器装置4的全局IP地址GAC、作为第一访问请求通知包NP1的发送目的地的网关装置9的全局IP地址GAG以及访问请求目的地的第一及第二内部装置61、62的标识符MID。在图6所示的例子中,在第一访问请求通知包NP1的标题信息HJ4中,云服务器装置4的全局IP地址GAC是“320.0.0.1”,网关装置9的全局IP地址GAG是“210.0.0.254”,访问请求目的地的第一及第二内部装置61、62的标识符MID是“MACHINE1”。
如前述那样,网关装置9的中央处理部95中的第一通信控制部951使第一通信部91接收为了响应从第一通信部91发送的第一定期包RP1而从云服务器装置4发送到网关装置9的第一访问请求通知包NP1。
第二通信控制部952控制第二通信部92。第二通信控制部952是依照了在LAN6中使用的通信协议的软件群。第二通信控制部952构成为包括控制第二通信部92的底层设备驱动程序、与在LAN6中使用的通信协议对应的数据链路层的软件、与在LAN6中使用的通信协议对应的网络层的软件以及与在LAN6中使用的通信协议对应的上层软件等。
另外,第二通信控制部952控制第二通信部92,使第二通信部92接收包含图4所示的标题信息HJ2的第二定期包RP2。第二定期包RP2是按指定的时间间隔定期地从第一及第二内部装置61、62发送到网关装置9的通信包。第二定期包RP2的标题信息HJ2中附加有作为第二定期包RP2的发送源的第一及第二内部装置61、62的本地IP地址LAM、作为第二定期包RP2的发送目的地的网关装置9的本地IP地址LAG以及第一及第二内部装置61、62的标识符MID。在图4所示的例子中,在第二定期包RP2的标题信息HJ2中,第一及第二内部装置61、62的本地IP地址LAM是“66.0.0.1”,网关装置9的本地IP地址LAG是“66.0.0.254”,第一及第二内部装置61、62的标识符MID是“MACHINE1”。
并且,当由第一通信部91接收到第一访问请求通知包NP1时,为了响应从第一及第二内部装置61、62发送到网关装置9的第二定期包RP2,第二通信控制部952使包含图7所示的标题信息HJ5的第二访问请求通知包NP2从第二通信部92发送到第一及第二内部装置61、62。换言之,当由第一通信部91接收到第一访问请求通知包NP1、且由第二通信部92接收到第二定期包RP2时,第二通信控制部952使第二访问请求通知包NP2从第二通信部92发送到第一及第二内部装置61、62。第二访问请求通知包NP2是用于将来自云服务器装置4的第一访问请求通知包NP1的接收通知到第一及第二内部装置61、62的通信包。在向第一及第二内部装置61、62发送第二访问请求通知包NP2时,第二通信控制部952参照第二定期包RP2的标题信息HJ2来确定作为发送目的地的第一及第二内部装置61、62的本地IP地址LAM。
在上述中,说明了在向第一及第二内部装置61、62发送第二访问请求通知包NP2时第二通信控制部952参照第二定期包RP2的标题信息HJ2来确定第一及第二内部装置61、62的本地IP地址LAM的方案,但是不限定于该方案。第二通信控制部952也可以构成为当由第一通信部91接收到第一访问请求通知包NP1时,参照网关装置9所具备的通信信息存储部97中存储的本地通信信息,使第二访问请求通知包NP2从第二通信部92发送到第一及第二内部装置61、62。所述本地通信信息是预先存储在通信信息存储部97中的信息,是在经由LAN6进行的网关装置9与第一及第二内部装置61、62之间的通信中使用的、将第一及第二内部装置61、62的本地IP地址LAM与第一及第二内部装置61、62的标识符MID相关联而得的信息。在该情况下,在向第一及第二内部装置61、62发送第二访问请求通知包NP2时,第二通信控制部952参照通信信息存储部97中存储的所述本地通信信息来确定作为发送目的地的第一及第二内部装置61、62的本地IP地址LAM。
第二访问请求通知包NP2的标题信息HJ5中附加有作为第二访问请求通知包NP2的发送源的网关装置9的本地IP地址LAG、作为第二访问请求通知包NP2的发送目的地的第一及第二内部装置61、62的本地IP地址LAM以及网关装置9的标识符GID。在图7所示的例子中,在第二访问请求通知包NP2的标题信息HJ5中,网关装置9的本地IP地址LAG是“66.0.0.254”,第一及第二内部装置61、62的本地IP地址LAM是“66.0.0.1”,网关装置9的标识符GID是“GATEWAY1”。
第二通信控制部952通过使第二访问请求通知包NP2从第二通信部92发送到第一及第二内部装置61、62,来建立用于进行外部装置3与第一及第二内部装置61、62之间的相互通信的会话。当建立了外部装置3与第一及第二内部装置61、62之间的会话时,能够通过来自外部装置3的远程操作(遥控)来提供与用于使第一及第二内部装置61、62动作的程序的更新、装置的维护检查等有关的信息、以及提供执行维护检查的服务。此外,关于在通信网络系统1中用于建立外部装置3与第一及第二内部装置61、62之间的会话的、基于云服务器装置4与网关装置9的包通信的通信处理,在后面进一步详细叙述。
在网关装置9的中央处理部95中,通信管理控制部953控制通信管理部93。如图2所示,通信管理部93包含会话监视部931和不正当访问处理部932。
会话监视部931监视外部装置3与第一及第二内部装置61、62之间的会话。会话监视部931通过监视会话,基于对网关装置9预先设定的访问基准来检测从外部装置3向第一及第二内部装置61、62的不正当访问。访问基准是表示从外部装置3向第一及第二内部装置61、62的访问的许可范围的信息。该访问基准例如作为访问许可外部标识符、访问许可内部标识符以及访问许可通信内容信息而被设定在网关装置9。访问许可外部标识符表示许可向第一及第二内部装置61、62的访问的外部装置3的标识符。访问许可内部标识符表示许可外部装置3的访问的第一及第二内部装置61、62的标识符。访问许可通信内容信息表示与在建立外部装置3与第一及第二内部装置61、62之间的会话之后所许可的通信内容有关的信息。通信内容表示在建立会话之后在外部装置3与第一及第二内部装置61、62之间进行的相互通信的内容。作为通信内容,例如可列举来自外部装置3的远程操作(遥控)、外部装置3与第一及第二内部装置61、62之间的数据传输等。
会话监视部931检测从具有由访问许可外部标识符表示的标识符以外的标识符的外部装置3向第一及第二内部装置61、62的访问,将该访问作为不正当访问。另外,会话监视部931检测外部装置3向具有由访问许可内部标识符表示的标识符以外的标识符的第一及第二内部装置61、62的访问,将该访问作为不正当访问。另外,当在外部装置3与第一及第二内部装置61、62之间进行了由访问许可通信内容信息表示的通信内容以外的通信内容的相互通信时,会话监视部931将此检测为不正当访问。当检测到从外部装置3向第一及第二内部装置61、62的不正当访问时,会话监视部931输出不正当访问检测信息。
此外,会话监视部931既可以通过参照后述的通信历史记录存储部96中存储的通信历史记录信息来执行监视外部装置3与第一及第二内部装置61、62之间的会话的监视动作,也可以不参照该通信历史记录信息来进行执行。
当由会话监视部931输出了不正当访问检测信息时,不正当访问处理部932进行报告该不正当访问检测信息的报告处理和切断外部装置3与第一及第二内部装置61、62之间的通信的切断处理中至少一方的处理。
当由不正当访问处理部932进行了报告处理时,在网关装置9的中央处理部95中,显示控制部954控制显示部94,使显示部94显示不正当访问检测信息。显示部94中显示的不正当访问检测信息例如包括“检测到不正当访问。”等消息信息。另外,由不正当访问处理部932进行了切断处理后,显示控制部954控制显示部94,使显示部94显示通信切断信息。显示部94中显示的通信切断信息例如包括“相互通信被切断。”等消息信息。
网关装置9的通信历史记录存储部96存储与会话的建立后的外部装置3与第一及第二内部装置61、62之间的相互通信的历史记录相关的通信历史记录信息。图8是用于说明通信历史记录存储部96中存储的通信历史记录信息JH1的图。
通信历史记录存储部96中存储的通信历史记录信息JH1是将会话开始日期时间信息JH11、外部装置3的全局IP地址GAM、外部装置3的标识符MGID、第一及第二内部装置61、62的本地IP地址LAM、第一及第二内部装置61、62的标识符MID以及通信内容信息JH12相关联而得的信息。
在通信历史记录信息JH1中,会话开始日期时间信息JH11是表示在外部装置3与第一及第二内部装置61、62之间开始了会话的日期时间(“会话开始日期时间”)的信息。在图8所示的例子中,会话开始日期时间信息JH11通过“S001”、“S002”、“S003”、“S004”、“S005”分别被示出为各自不同的会话开始日期时间。
另外,在通信历史记录信息JH1中,外部装置3的全局IP地址GAM是表示作为向第一及第二内部装置61、62的访问源的外部装置3的全局IP地址(“访问源的IP地址”)的信息。在图8所示的例子中,作为外部装置3的全局IP地址GAM,相同的“A1.B1.C1.D1”与各会话开始日期时间相关联。
另外,在通信历史记录信息JH1中,外部装置3的标识符MGID是表示作为向第一及第二内部装置61、62的访问源的外部装置3的标识符(“访问源的ID”)的信息。在图8所示的例子中,作为外部装置3的标识符MGID,“A001”与会话开始日期时间“S001”、“S002”、“S004”、“S005”分别相关联,“A002”与会话开始日期时间“S003”相关联。
另外,在通信历史记录信息JH1中,第一及第二内部装置61、62的本地IP地址LAM是表示作为由外部装置3访问的访问目的地的第一及第二内部装置61、62的本地IP地址(“访问目的地的IP地址”)的信息。在图8所示的例子中,作为第一及第二内部装置61、62的本地IP地址LAM,相同的“66.0.0.1”与各会话开始日期时间相关联。
另外,在通信历史记录信息JH1中,第一及第二内部装置61、62的标识符MID是表示作为由外部装置3访问的访问目的地的第一及第二内部装置61、62的标识符(“访问目的地的ID”)的信息。在图8所示的例子中,作为第一及第二内部装置61、62的标识符MID,“MACHINE1”与会话开始日期时间“S001”、“S003”、“S004”、“S005”分别相关联,“MACHINE2”与会话开始日期时间“S002”相关联。
另外,在通信历史记录信息JH1中,通信内容信息JH12是表示在外部装置3与第一及第二内部装置61、62之间进行的相互通信的内容(“通信内容”)的信息。在图8所示的例子中,作为通信内容信息JH12,“遥控”与会话开始日期时间“S001”,“S002”,“S003”分别相关联,“数据传输(发送)文件夹:CCC”与会话开始日期时间“S004”相关联,“数据传输(接收)文件夹:CCC”与会话开始日期时间“S005”相关联。
<关于用于建立外部装置与内部装置之间的会话的通信处理>
接着,关于在通信网络系统1中用于建立外部装置3与第一及第二内部装置61、62之间的会话的、基于云服务器装置4与网关装置9的包通信的通信处理,参照图9和图10的流程图来进行说明。图9是表示在通信网络系统1中由云服务器装置4执行的云服务器通信处理的流程图。图10是表示在通信网络系统1中由网关装置9执行的网关通信处理的流程图。
如前所述,在本实施方式所涉及的通信网络系统1中,云服务器装置4经由GN2以能够通信的方式与外部装置3连接,网关装置9利用第一通信部91经由GN2在与云服务器装置4之间能够进行通信,且利用第二通信部92经由LAN6在与第一及第二内部装置61、62之间能够进行通信。在连接于GN2的外部装置3与连接于LAN6的第一及第二内部装置61、62之间的通信路径上,云服务器装置4构建与外部装置3之间的经由GN2的通信路径,网关装置9构建在GN2与LAN6之间进行中继的通信路径。
〔云服务器装置的云服务器通信处理〕
云服务器装置4为了建立外部装置3与第一及第二内部装置61、62之间的会话而进行基于包通信的云服务器通信处理。首先,云服务器装置4经由GN2从外部装置3接收访问请求包DP(参照图5)(步骤a1)。接着,云服务器装置4判断是否从网关装置9的第一通信部91接收到第一定期包RP1(参照图3)(步骤a2)。云服务器装置4直到接收到来自网关装置9的第一通信部91的第一定期包RP1为止待机。当接收到第一定期包RP1时,云服务器装置4为了响应该第一定期包RP1而向网关装置9发送第一访问请求通知包NP1(参照图6)(步骤a3)。当完成了第一访问请求通知包NP1的发送时,云服务器装置4将处理转移到步骤a1,重复从步骤a1至步骤a3的各处理。
〔网关装置的网关通信处理〕
网关装置9为了建立外部装置3与第一及第二内部装置61、62之间的会话而进行基于包通信的网关通信处理。如图10所示,在网关装置9中,第一通信控制部951使第一定期包RP1(参照图3)从第一通信部91发送到云服务器装置4(步骤b1)。接着,第一通信控制部951判断第一通信部91是否接收到来自云服务器装置4的第一访问请求通知包NP1(参照图6)(步骤b2)。第一通信控制部951直到第一通信部91接收到第一访问请求通知包NP1为止待机。另外,在网关装置9中,第二通信控制部952判断第二通信部92是否接收到来自第一及第二内部装置61、62的第二定期包RP2(参照图4)(步骤b3)。第二通信控制部952直到第二通信部92接收到第二定期包RP2为止待机。
当由第一通信部91接收到第一访问请求通知包NP1、且由第二通信部92接收到第二定期包RP2时,第二通信控制部952使第二访问请求通知包NP2(参照图7)从第二通信部92发送到第一及第二内部装置61、62(步骤b4)。第二通信控制部952通过使第二访问请求通知包NP2从第二通信部92发送到第一及第二内部装置61、62,来建立用于进行外部装置3与第一及第二内部装置61、62之间的相互通信的会话(步骤b5)。
在此,经由GN2的外部装置3的通信对象是云服务器装置4。因此,在经由GN2的通信中使用的全局IP地址中,对于外部装置3只要公开云服务器装置4的地址即可,不需要公开网关装置9的地址。由此,能够限制从外部装置3向第一及第二内部装置61、62的经由网关装置9的直接访问。其结果,针对从外部装置3向第一及第二内部装置61、62的访问,能够尽可能抑制导致信息泄漏到外部的不正当访问,在防范方面确保高度的安全性。
此外,如前所述,在建立用于进行外部装置3与第一及第二内部装置61、62之间的相互通信的会话时,第二通信控制部952的结构并不限于参照第二定期包RP2的结构,其也可以是参照通信信息存储部97中存储的所述本地通信信息的结构。在该情况下,在图10所示的流程图中,省略步骤b3。而且,当由第一通信部91接收到第一访问请求通知包NP1时,第二通信控制部952在步骤b4中参照通信信息存储部97中存储的所述本地通信信息,使第二访问请求通知包NP2从第二通信部92发送到第一及第二内部装置61、62。
当建立了外部装置3与第一及第二内部装置61、62之间的会话时,通信历史记录存储部96存储关于外部装置3与第一及第二内部装置61、62之间的相互通信的历史记录的通信历史记录信息JH1(参照图8)(步骤b6)。
具备通信历史记录存储部96的网关装置9构成属于与GN2分离的LAN6的本地系统5的一部分,利用第二通信部92经由LAN6在与第一及第二内部装置61、62之间能够进行通信。因此,通过参照网关装置9的通信历史记录存储部96中存储的通信历史记录信息JH1,能够在构建于本地系统5的LAN6内监视是否有从外部装置3向第一及第二内部装置61、62的不正当访问等。
另外,在网关装置9中,会话监视部931监视外部装置3与第一及第二内部装置61、62之间的会话(步骤b7)。通过监视该会话,会话监视部931判断是否有从外部装置3向第一及第二内部装置61、62的不正当访问(步骤b8)。在没有由会话监视部931检测到不正当访问的情况下,通信管理部93判断外部装置3与第一及第二内部装置61、62之间的会话是否结束(步骤b9),进行使会话结束的会话结束处理(步骤b10)。
另一方面,当由会话监视部931检测到不正当访问而从会话监视部931输出了不正当访问检测信息时,不正当访问处理部932进行报告该不正当访问检测信息的报告处理和切断外部装置3与第一及第二内部装置61、62之间的通信的切断处理中至少一方的不正当访问处理(步骤b11)。
如上所述,在进行了从外部装置3向第一及第二内部装置61、62的不正当访问的情况下,会话监视部931检测该不正当访问,由不正当访问处理部932进行报告处理、通信的切断处理。具备会话监视部931和不正当访问处理部932的网关装置9构成属于与GN2分离的LAN6的本地系统5的一部分,利用第二通信部92经由LAN6在与第一及第二内部装置61、62之间能够进行通信。因此,能够在构建于本地系统5的LAN6内监视是否有从外部装置3向第一及第二内部装置61、62的不正当访问等。
[第二实施方式所涉及的通信网络系统]
<通信网络系统的整体结构>
图11是表示本发明的第二实施方式所涉及的通信网络系统1A的结构的框图。图12是表示第二实施方式所涉及的通信网络系统1A所具备的网关装置9A的结构的框图。第二实施方式所涉及的通信网络系统1A在本地系统5中具备代理服务器10,相应地,网关装置9A的结构与上述的第一实施方式所涉及的通信网络系统1中的网关装置9不同。除此以外,通信网络系统1A与第一实施方式所涉及的通信网络系统1同样地构成。这样,第二实施方式所涉及的通信网络系统1A具有与第一实施方式所涉及的通信网络系统1同样的部分。因而,在以下的说明和图中,针对对应的同样的部分附加相同的参照符号,并且省略其说明。
本地系统5所具备的代理服务器10是进行对云服务器装置4与网关装置9A之间的利用第一通信部91的经由GN2的通信进行认证的认证处理的服务器装置。
通信网络系统1A所具备的网关装置9A与上述的网关装置9同样地,包含第一通信部91、第二通信部92、包括会话监视部931和不正当访问处理部932的通信管理部93、显示部94、中央处理部95、通信历史记录存储部96以及通信信息存储部97,并且作为新的结构,包含认证信息存储部98和访问认可拒绝处理部99。
在网关装置9A中,认证信息存储部98存储代理服务器10的认证处理中使用的认证信息。代理服务器10的认证处理中使用的认证信息包括认证标识符(认证ID)和密码。
在具备存储有认证信息的认证信息存储部98的网关装置9A中,第一通信控制部951控制第一通信部91,使包含图13所示的标题信息HJ6的认证信息附加包RP1A作为第一定期包从第一通信部91发送到云服务器装置4。认证信息附加包RP1A是按指定的时间间隔定期地从第一通信部91发送到云服务器装置4的通信包。认证信息附加包RP1A的标题信息HJ6中附加有作为认证信息附加包RP1A的发送源的网关装置9A的全局IP地址GAG、作为认证信息附加包RP1A的发送目的地的云服务器装置4的全局IP地址GAC、网关装置9A的标识符GID以及认证信息存储部98中存储的认证信息JH2。在图13所示的例子中,在认证信息附加包RP1A的标题信息HJ6中,网关装置9A的全局IP地址GAG是“210.0.0.254”,云服务器装置4的全局IP地址GAC是“320.0.0.1”,网关装置9A的标识符GID是“GATEWAY1”,认证信息JH2是“J001”。
并且,第一通信控制部951控制第一通信部91,使第一通信部91接收为了响应从第一通信部91发送的认证信息附加包RP1A而从云服务器装置4发送到网关装置9A的第一访问请求通知包NP1(参照图6)。
在此,当从外部装置3接收到访问请求包DP(参照图5)、且从网关装置9A的第一通信部91接收到认证信息附加包RP1A时,云服务器装置4将第一访问请求通知包NP1发送到网关装置9A。在向网关装置9A发送第一访问请求通知包NP1时,云服务器装置4参照认证信息附加包RP1A的标题信息HJ6来确定作为发送目的地的网关装置9A的全局IP地址GAG,并且确定代理服务器10的认证处理中使用的认证信息。
此外,在通信网络系统1A中,在从外部装置3发送到云服务器装置4的访问请求包DP的标题信息HJ3中,除了包含外部装置3的全局IP地址GAM、云服务器装置4的全局IP地址GAC以及访问请求目的地的第一及第二内部装置61、62的标识符MID的信息以外,还包含外部装置3的标识符和通信内容信息。访问请求包DP的标题信息HJ3中包含的通信内容信息表示在建立会话之后在外部装置3与第一及第二内部装置61、62之间进行的相互通信的内容。作为通信内容,例如可列举来自外部装置3的远程操作(遥控)、外部装置3与第一及第二内部装置61、62之间的数据传输等。
另外,在通信网络系统1A中,在从云服务器装置4发送到网关装置9A的第一访问请求通知包NP1的标题信息HJ4中,除了包含云服务器装置4的全局IP地址GAC、网关装置9A的全局IP地址GAG以及访问请求目的地的第一及第二内部装置61、62的标识符MID的信息以外,还包含对访问请求包DP的标题信息HJ3附加的外部装置3的标识符和通信内容信息。
在网关装置9A中,当通过第一通信控制部951的控制而第一通信部91接收到第一访问请求通知包NP1时,访问认可拒绝处理部99进行认可处理或拒绝处理。由访问认可拒绝处理部99执行的认可处理是根据预先设定的访问基准而许可从外部装置3向第一及第二内部装置61、62的访问的处理。另外,由访问认可拒绝处理部99执行的拒绝处理是根据预先设定的访问基准而拒绝从外部装置3向第一及第二内部装置61、62的访问的处理。
访问认可拒绝处理部99执行认可处理和拒绝处理时所参照的访问基准与会话监视部931监视会话时所参照的前述的访问基准相同,是表示从外部装置3向第一及第二内部装置61、62的访问的许可范围的信息。访问基准包括前述的访问许可外部标识符、访问许可内部标识符以及访问许可通信内容信息。
在由第一通信部91接收到包含附加有与作为访问基准的访问许可外部标识符、访问许可内部标识符以及访问许可通信内容信息一致的信息的标题信息的第一访问请求通知包NP1的情况下,访问认可拒绝处理部99进行认可从外部装置3向第一及第二内部装置61、62的访问的认可处理。另一方面,在由第一通信部91接收到包含附加有与访问基准不一致的信息的标题信息的第一访问请求通知包NP1的情况下,访问认可拒绝处理部99进行拒绝从外部装置3向第一及第二内部装置61、62的访问的拒绝处理。
在网关装置9A中,当由访问认可拒绝处理部99进行了认可处理时,第二通信控制部952使第二访问请求通知包NP2(参照图7)从第二通信部92发送到第一及第二内部装置61、62,来建立外部装置3与第一及第二内部装置61、62之间的会话。另一方面,当由访问认可拒绝处理部99进行了拒绝处理时,第二通信控制部952不使第二访问请求通知包NP2从第二通信部92发送到第一及第二内部装置61、62,而使外部装置3与第一及第二内部装置61、62之间的会话不成立。
<关于用于建立外部装置与内部装置之间的会话的通信处理>
接着,参照图14和图15的流程图来进行说明在通信网络系统1A中用于建立外部装置3与第一及第二内部装置61、62之间的会话的、基于云服务器装置4与网关装置9A的包通信的通信处理。图14是表示在通信网络系统1A中由云服务器装置4执行的云服务器通信处理的流程图。图15是表示在通信网络系统1A中由网关装置9A执行的网关通信处理的流程图。
如前所述,在本实施方式所涉及的通信网络系统1A中,云服务器装置4经由GN2以能够通信的方式与外部装置3连接,网关装置9A利用第一通信部91经由GN2在与云服务器装置4之间能够进行通信,且利用第二通信部92经由LAN6在与第一及第二内部装置61、62之间能够进行通信。在连接于GN2的外部装置3与连接于LAN6的第一及第二内部装置61、62之间的通信路径上,云服务器装置4构建与外部装置3之间的经由GN2的通信路径,网关装置9A构建在GN2与LAN6之间进行中继的通信路径。
〔云服务器装置的云服务器通信处理〕
云服务器装置4为了建立外部装置3与第一及第二内部装置61、62之间的会话而进行基于包通信的云服务器通信处理。首先,云服务器装置4经由GN2而从外部装置3接收访问请求包DP(步骤c1)。接着,云服务器装置4判断是否从网关装置9A的第一通信部91接收到认证信息附加包RP1A(步骤c2)。云服务器装置4直到接收到来自网关装置9A的第一通信部91的认证信息附加包RP1A为止待机。当接收到认证信息附加包RP1A时,云服务器装置4参照认证信息附加包RP1A的标题信息HJ6来确定网关装置9A的全局IP地址GAG,并且确定代理服务器10的认证处理中使用的认证信息JH2。然后,云服务器装置4为了响应认证信息附加包RP1A而向网关装置9A发送第一访问请求通知包NP1(步骤c3)。当完成了第一访问请求通知包NP1的发送时,云服务器装置4将处理转移到步骤c1,重复从步骤c1至步骤c3的各处理。
〔网关装置的网关通信处理〕
网关装置9A为了建立外部装置3与第一及第二内部装置61、62之间的会话而进行基于包通信的网关通信处理。如图15所示,在网关装置9A中,第一通信控制部951使认证信息附加包RP1A从第一通信部91发送到云服务器装置4(步骤d1)。
在此,在认证信息附加包RP1A的标题信息HJ6中附加有代理服务器10的认证处理中使用的认证信息JH2,该认证信息JH2被存储在网关装置9A的认证信息存储部98中。
具备认证信息存储部98的网关装置9A在外部装置3与第一及第二内部装置61、62之间的通信路径上构建在GN2与LAN6之间进行中继的通信路径。因此,对于连接于LAN6的第一及第二内部装置61、62,不需要事先存储认证信息。另外,在具备认证信息存储部98的网关装置9A中,第一通信控制部951使认证信息附加包RP1A从第一通信部91发送到云服务器装置4。在为了响应该认证信息附加包RP1A而云服务器装置4向网关装置9A发送第一访问请求通知包NP1时,云服务器装置4参照认证信息附加包RP1A的标题信息HJ6能够确定代理服务器10的认证处理中使用的认证信息JH2。
接着,第一通信控制部951判断第一通信部91是否接收到来自云服务器装置4的第一访问请求通知包NP1(步骤d2)。第一通信控制部951直到第一通信部91接收到第一访问请求通知包NP1为止待机。
当由第一通信部91接收到第一访问请求通知包NP1时,访问认可拒绝处理部99根据预先设定的访问基准,进行认可从外部装置3向第一及第二内部装置61、62的访问的认可处理或拒绝该访问的拒绝处理(步骤d3)。
在由访问认可拒绝处理部99进行了认可处理的情况下(步骤d4),在网关装置9A中,第二通信控制部952判断第二通信部92是否接收到来自第一及第二内部装置61、62的第二定期包RP2(步骤d5)。第二通信控制部952直到第二通信部92接收到第二定期包RP2为止待机。
另一方面,在由访问认可拒绝处理部99进行了拒绝处理的情况下(步骤d14),在网关装置9A中,第二通信控制部952使外部装置3与第一及第二内部装置61、62之间的会话不成立(步骤d15)。在该情况下,第二通信控制部952不使第二访问请求通知包NP2从第二通信部92发送到第一及第二内部装置61、62。
当由第一通信部91接收到第一访问请求通知包NP1、且由第二通信部92接收到第二定期包RP2时,第二通信控制部952使第二访问请求通知包NP2从第二通信部92发送到第一及第二内部装置61、62(步骤d6)。第二通信控制部952通过使第二访问请求通知包NP2从第二通信部92发送到第一及第二内部装置61、62,来建立用于进行外部装置3与第一及第二内部装置61、62之间的相互通信的会话(步骤d7)。
此外,如前所述,在建立用于进行外部装置3与第一及第二内部装置61、62之间的相互通信的会话时,第二通信控制部952的结构并不限于参照第二定期包RP2的结构,其也可以是参照通信信息存储部97中存储的所述本地通信信息的结构。在该情况下,在图15所示的流程图中,省略步骤d5。而且,当由第一通信部91接收到第一访问请求通知包NP1时,第二通信控制部952在步骤d6中参照通信信息存储部97中存储的所述本地通信信息,使第二访问请求通知包NP2从第二通信部92发送到第一及第二内部装置61、62。
在建立了外部装置3与第一及第二内部装置61、62之间的会话后,通信历史记录存储部96存储关于外部装置3与第一及第二内部装置61、62之间的相互通信的历史记录的通信历史记录信息JH1(步骤d8)。
具备通信历史记录存储部96的网关装置9A构成属于与GN2分离的LAN6的本地系统5的一部分,利用第二通信部92经由LAN6在与第一及第二内部装置61、62之间能够进行通信。因此,通过参照网关装置9A的通信历史记录存储部96中存储的通信历史记录信息JH1,能够在构建于本地系统5的LAN6内监视是否有从外部装置3向第一及第二内部装置61、62的不正当访问等。
另外,在网关装置9A中,会话监视部931监视外部装置3与第一及第二内部装置61、62之间的会话(步骤d9)。通过监视该会话,会话监视部931判断是否有从外部装置3向第一及第二内部装置61、62的不正当访问(步骤d10)。在会话监视部931没有检测到不正当访问的情况下,通信管理部93判断外部装置3与第一及第二内部装置61、62之间的会话是否结束(步骤d11),进行使会话结束的会话结束处理(步骤d12)。
另一方面,当由会话监视部931检测到不正当访问而从会话监视部931输出了不正当访问检测信息时,不正当访问处理部932进行报告该不正当访问检测信息的报告处理和切断外部装置3与第一及第二内部装置61、62之间的通信的切断处理中至少一方的不正当访问处理(步骤d13)。
如上所述,在有从外部装置3向第一及第二内部装置61、62的不正当访问的情况下,会话监视部931检测该不正当访问,由不正当访问处理部932进行报告处理、通信的切断处理。具备会话监视部931和不正当访问处理部932的网关装置9A构成属于与GN2分离的LAN6的本地系统5的一部分,利用第二通信部92经由LAN6在与第一及第二内部装置61、62之间能够进行通信。因此,在构建于本地系统5的LAN6内能够监视是否有从外部装置3向第一及第二内部装置61、62的不正当访问等。
上述的具体实施方式中主要包含具有以下技术方案的发明。
本发明的一个方面涉及的通信网络系统包括:外部装置,连接于全局网络;内部装置,连接于与所述全局网络分离的局域网络;服务器装置,经由所述全局网络以能够通信的方式与所述外部装置连接;以及网关装置,对所述全局网络与所述局域网络之间的通信进行中继;其中,所述服务器装置被构成为经由所述全局网络从所述外部装置接收表示向所述内部装置的访问的请求的访问请求包,并且向所述网关装置发送用于通知该访问请求包的接收的第一访问请求通知包,所述网关装置包含:第一通信部,经由所述全局网络在与所述服务器装置之间进行通信;第二通信部,经由所述局域网络在与所述内部装置之间进行通信;第一通信控制部,控制所述第一通信部,使该第一通信部接收从所述服务器装置发送到所述网关装置的所述第一访问请求通知包;第二通信控制部,控制所述第二通信部,当由所述第一通信部接收到所述第一访问请求通知包时,通过使所述第二通信部发送用于通知该第一访问请求通知包的接收的第二访问请求通知包给所述内部装置,来建立所述外部装置与所述内部装置之间的会话;以及通信历史记录存储部,存储与所述会话的建立后的所述外部装置与所述内部装置之间的通信的历史记录相关的通信历史记录信息。
根据该通信网络系统,服务器装置经由全局网络以能够通信的方式与外部装置连接,网关装置通过第一通信部经由全局网络在与服务器装置之间能够进行通信,并且,通过第二通信部经由局域网络在与内部装置之间能够进行通信。在连接于全局网络的外部装置和连接于局域网络的内部装置之间的通信路径,服务器装置构建经由全局网络与外部装置之间的通信路径,网关装置构建中继全局网络与局域网络之间的通信路径。通过让接收了来自外部装置的访问请求包的服务器装置向网关装置发送第一访问请求通知包,接收了该第一访问请求通知包的网关装置向内部装置发送第二访问请求通知包,来建立外部装置与内部装置之间的会话。
经由全局网络的外部装置的通信对象是服务器装置。因此,在经由全局网络的通信中使用的全局IP地址中,对于外部装置只要公开服务器装置的地址即可,不需要公开网关装置的地址。由此,能够限制从外部装置向内部装置的经由网关装置的直接访问。其结果,针对从外部装置向内部装置的访问,能够尽可能抑制导致信息泄漏到外部的不正当访问,在防范方面确保高度的安全性。
而且,在基于会话的建立而进行的外部装置与内部装置之间的相互通信,有关该通信的历史记录的通信历史记录信息被存储在网关装置的通信历史记录存储部。具备通信历史记录存储部的网关装置通过第二通信部经由局域网络与内部装置之间可进行通信。因此,通过参照网关装置的通信历史记录存储部中存储的通信历史记录信息,可以在局域网络内监视是否有从外部装置向内部装置的不正当访问等。
在所述的通信网络系统,所述网关装置还可以包含:会话监视部,参照所述通信历史记录存储部中存储的所述通信历史记录信息来监视所述外部装置与所述内部装置之间的所述会话,当检测到从所述外部装置向所述内部装置的不正当访问时,输出不正当访问检测信息;以及不正当访问处理部,当由所述会话监视部输出了所述不正当访问检测信息时,进行报告该不正当访问检测信息的报告处理和切断所述外部装置与所述内部装置之间的通信的切断处理中至少一方的处理。
根据该技术方案,当有从外部装置向内部装置的不正当访问时,会话监视部通过参照通信历史记录存储部中存储的通信历史记录信息检测到该不正当访问,由不正当访问处理部进行报告处理或通信的切断处理。由此,在防范方面确保更高的安全性。
在所述的通信网络系统,所述网关装置还可以包含:会话监视部,不参照所述通信历史记录存储部中存储的所述通信历史记录信息而监视所述外部装置与所述内部装置之间的所述会话,当检测到从所述外部装置向所述内部装置的不正当访问时,输出不正当访问检测信息;以及不正当访问处理部,当由所述会话监视部输出了所述不正当访问检测信息时,进行报告该不正当访问检测信息的报告处理和切断所述外部装置与所述内部装置之间的通信的切断处理中至少一方的处理。
根据该技术方案,当有从外部装置向内部装置的不正当访问时,会话监视部不参照通信历史记录存储部中存储的通信历史记录信息来检测到该不正当访问,由不正当访问处理部进行报告处理或通信的切断处理。具备会话监视部以及不正当访问处理部的网关装置通过第二通信部经由局域网络而能够与内部装置之间进行通信。为此,可以在局域网络内监视是否有从外部装置向内部装置的不正当访问等。
在所述的通信网络系统,所述第一通信控制部按指定的时间间隔定期地使第一定期包从所述第一通信部发送到所述服务器装置,且使所述第一通信部接收为了响应所述第一定期包而从所述服务器装置发送到所述网关装置的所述第一访问请求通知包,所述第二通信控制部使所述第二通信部接收按指定的时间间隔定期地从所述内部装置发送到所述网关装置的第二定期包,且为了响应所述第二定期包而使所述第二访问请求通知包从所述第二通信部发送到所述内部装置。
而且,在所述的通信网络系统,所述网关装置还可以包含:通信信息存储部,存储经由所述局域网络的在与所述内部装置之间的通信中使用的、将该内部装置的地址与标识符相关联而得的本地通信信息;其中,所述第一通信控制部按指定的时间间隔定期地使第一定期包从所述第一通信部发送到所述服务器装置,且使所述第一通信部接收为了响应所述第一定期包而从所述服务器装置发送到所述网关装置的所述第一访问请求通知包,当由所述第一通信部接收到所述第一访问请求通知包时,所述第二通信控制部参照所述通信信息存储部中存储的所述本地通信信息,使所述第二访问请求通知包从所述第二通信部发送到所述内部装置。
而且,在所述的通信网络系统,还可以包括:代理服务器,进行认证所述服务器装置与所述网关装置之间的基于所述第一通信部的经由所述全局网络的通信的认证处理;其中,所述网关装置还包含:认证信息存储部,存储所述代理服务器的所述认证处理中使用的认证信息;其中,所述第一通信控制部使包含附加有所述认证信息的标题信息的认证信息附加包作为所述第一定期包而从所述第一通信部发送到所述服务器装置,当为了响应所述认证信息附加包而从所述服务器装置向所述网关装置发送了所述第一访问请求通知包时,所述第一通信控制部使所述第一通信部接收该第一访问请求通知包。
根据该技术方案,代理服务器的认证处理中使用的认证信息被存储在网关装置的认证信息存储部。具备认证信息存储部的网关装置在外部装置与内部装置之间的通信路径上构建在全局网络与局域网络之间进行中继的通信路径。因此,对于连接于局域网络的内部装置不需要事先存储认证信息。另外,在具备认证信息存储部的网关装置中,第一通信控制部使认证信息附加包从第一通信部发送到服务器装置。在为了响应该认证信息附加包而服务器装置向网关装置发送第一访问请求通知包时,服务器装置能够参照认证信息附加包的标题信息来确定代理服务器的认证处理中使用的认证信息。
在所述的通信网络系统,所述网关装置还可以包含:访问认可拒绝处理部,当通过所述第一通信控制部的控制而所述第一通信部接收到所述第一访问请求通知包时,根据预先设定的访问基准进行认可从所述外部装置向所述内部装置的访问的认可处理或拒绝该访问的拒绝处理;其中,当由所述访问认可拒绝处理部进行了所述认可处理时,所述第二通信控制部使所述第二访问请求通知包从所述第二通信部发送到所述内部装置,来建立所述外部装置与所述内部装置之间的会话,当由所述访问认可拒绝处理部进行了所述拒绝处理时,所述第二通信控制部不使所述第二访问请求通知包从所述第二通信部发送到所述内部装置,使所述外部装置与所述内部装置之间的会话不成立。
根据该技术方案,构建对在全局网络与局域网络之间进行中继的通信路径的网关装置具备访问认可拒绝处理部。而且,在网关装置中,在由访问认可拒绝处理部进行了认可处理的情况下,第二通信控制部使第二访问请求通知包从第二通信部发送到内部装置,建立外部装置与内部装置之间的会话。另一方面,在由访问认可拒绝处理部进行了拒绝处理的情况下,第二通信控制部不使第二访问请求通知包从第二通信部发送到内部装置,使外部装置与内部装置之间的会话不成立。由此,在防范方面确保更高的安全性。
如上所述,根据本发明,可以提供一种能够在局域网络内监视是否有从连接于全局网络的外部装置向连接于局域网络的内部装置的不正当访问等的通信网络系统。
符号说明
1、1A:通信网络系统
2:全局网络(GN)
3:外部装置
4:云服务器装置
5:本地系统
6:局域网络(LAN)
61:第一内部装置
62:第二内部装置
9、9A:网关装置
91:第一通信部
92:第二通信部
93:通信管理部
931:会话监视部
932:不正当访问处理部
94:显示部
95:中央处理部
951:第一通信控制部
952:第二通信控制部
96:通信历史记录存储部
97:通信信息存储部
98:认证信息存储部
99:访问认可拒绝处理部
10:代理服务器
RP1:第一定期包
RP1A:认证信息附加包
RP2:第二定期包
DP:访问请求包
NP1:第一访问请求通知包
NP2:第二访问请求通知包。
Claims (9)
1.一种通信网络系统,其特征在于包括:
外部装置,连接于全局网络;
内部装置,连接于与所述全局网络分离的局域网络;
服务器装置,经由所述全局网络以能够通信的方式与所述外部装置连接;以及
网关装置,对所述全局网络与所述局域网络之间的通信进行中继;其中,
所述网关装置包含:
第一通信部,经由所述全局网络在与所述服务器装置之间进行通信;
第二通信部,经由所述局域网络在与所述内部装置之间进行通信;
第一通信控制部,控制所述第一通信部,按指定的时间间隔定期地使第一定期包从所述第一通信部发送到所述服务器装置;
第二通信控制部,控制所述第二通信部,建立所述外部装置与所述内部装置之间的会话;以及
通信历史记录存储部,存储与所述会话的建立后的所述外部装置与所述内部装置之间的通信的历史记录相关的通信历史记录信息,
所述服务器装置当经由所述全局网络从所述外部装置接收到表示向所述内部装置的访问的请求的访问请求包、且从所述第一通信部接收到所述第一定期包时,向基于所述第一定期包而确定出的所述网关装置发送用于通知该访问请求包的接收的第一访问请求通知包,
所述第一通信控制部使所述第一通信部接收从接收到了所述第一定期包的所述服务器装置发送到所述网关装置的所述第一访问请求通知包,
所述第二通信控制部当由所述第一通信部接收到所述第一访问请求通知包时,通过使所述第二通信部发送用于通知该第一访问请求通知包的接收的第二访问请求通知包给所述内部装置,来建立所述外部装置与所述内部装置之间的会话。
2.根据权利要求1所述的通信网络系统,其特征在于:
所述网关装置还包含:
会话监视部,参照所述通信历史记录存储部中存储的所述通信历史记录信息来监视所述外部装置与所述内部装置之间的所述会话,当检测到从所述外部装置向所述内部装置的不正当访问时,输出不正当访问检测信息;以及
不正当访问处理部,当由所述会话监视部输出了所述不正当访问检测信息时,进行报告该不正当访问检测信息的报告处理和切断所述外部装置与所述内部装置之间的通信的切断处理中至少一方的处理。
3.根据权利要求1所述的通信网络系统,其特征在于:
所述网关装置还包含:
会话监视部,不参照所述通信历史记录存储部中存储的所述通信历史记录信息而监视所述外部装置与所述内部装置之间的所述会话,当检测到从所述外部装置向所述内部装置的不正当访问时,输出不正当访问检测信息;以及
不正当访问处理部,当由所述会话监视部输出了所述不正当访问检测信息时,进行报告该不正当访问检测信息的报告处理和切断所述外部装置与所述内部装置之间的通信的切断处理中至少一方的处理。
4.根据权利要求1至3中的任一项所述的通信网络系统,其特征在于:
所述第二通信控制部使所述第二通信部接收按指定的时间间隔定期地从所述内部装置发送到所述网关装置的第二定期包,且为了响应所述第二定期包而使所述第二访问请求通知包从所述第二通信部发送到所述内部装置。
5.根据权利要求1至3中的任一项所述的通信网络系统,其特征在于:
所述网关装置还包含:
通信信息存储部,存储经由所述局域网络的在与所述内部装置之间的通信中使用的、将该内部装置的地址与标识符相关联而得的本地通信信息;其中,
当由所述第一通信部接收到所述第一访问请求通知包时,所述第二通信控制部参照所述通信信息存储部中存储的所述本地通信信息,使所述第二访问请求通知包从所述第二通信部发送到所述内部装置。
6.根据权利要求4所述的通信网络系统,其特征在于还包括:
代理服务器,进行认证所述服务器装置与所述网关装置之间的基于所述第一通信部的经由所述全局网络的通信的认证处理;其中,
所述网关装置还包含:
认证信息存储部,存储所述代理服务器的所述认证处理中使用的认证信息;其中,
所述第一通信控制部使包含附加有所述认证信息的标题信息的认证信息附加包作为所述第一定期包而从所述第一通信部发送到所述服务器装置,
当为了响应所述认证信息附加包而从所述服务器装置向所述网关装置发送了所述第一访问请求通知包时,所述第一通信控制部使所述第一通信部接收该第一访问请求通知包。
7.根据权利要求5所述的通信网络系统,其特征在于还包括:
代理服务器,进行认证所述服务器装置与所述网关装置之间的基于所述第一通信部的经由所述全局网络的通信的认证处理;其中,
所述网关装置还包含:
认证信息存储部,存储所述代理服务器的所述认证处理中使用的认证信息;其中,
所述第一通信控制部使包含附加有所述认证信息的标题信息的认证信息附加包作为所述第一定期包而从所述第一通信部发送到所述服务器装置,
当为了响应所述认证信息附加包而从所述服务器装置向所述网关装置发送了所述第一访问请求通知包时,所述第一通信控制部使所述第一通信部接收该第一访问请求通知包。
8.根据权利要求6所述的通信网络系统,其特征在于:
所述网关装置还包含:
访问认可拒绝处理部,当通过所述第一通信控制部的控制而所述第一通信部接收到所述第一访问请求通知包时,根据预先设定的访问基准进行认可从所述外部装置向所述内部装置的访问的认可处理或拒绝该访问的拒绝处理;其中,
当由所述访问认可拒绝处理部进行了所述认可处理时,所述第二通信控制部使所述第二访问请求通知包从所述第二通信部发送到所述内部装置,来建立所述外部装置与所述内部装置之间的会话,
当由所述访问认可拒绝处理部进行了所述拒绝处理时,所述第二通信控制部不使所述第二访问请求通知包从所述第二通信部发送到所述内部装置,使所述外部装置与所述内部装置之间的会话不成立。
9.根据权利要求7所述的通信网络系统,其特征在于:
所述网关装置还包含:
访问认可拒绝处理部,当通过所述第一通信控制部的控制而所述第一通信部接收到所述第一访问请求通知包时,根据预先设定的访问基准进行认可从所述外部装置向所述内部装置的访问的认可处理或拒绝该访问的拒绝处理;其中,
当由所述访问认可拒绝处理部进行了所述认可处理时,所述第二通信控制部使所述第二访问请求通知包从所述第二通信部发送到所述内部装置,来建立所述外部装置与所述内部装置之间的会话,
当由所述访问认可拒绝处理部进行了所述拒绝处理时,所述第二通信控制部不使所述第二访问请求通知包从所述第二通信部发送到所述内部装置,使所述外部装置与所述内部装置之间的会话不成立。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2017/040686 WO2019092873A1 (ja) | 2017-11-13 | 2017-11-13 | 通信ネットワークシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111344998A CN111344998A (zh) | 2020-06-26 |
| CN111344998B true CN111344998B (zh) | 2022-04-12 |
Family
ID=66439101
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780096655.5A Active CN111344998B (zh) | 2017-11-13 | 2017-11-13 | 通信网络系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11388024B2 (zh) |
| JP (1) | JP6908721B2 (zh) |
| CN (1) | CN111344998B (zh) |
| DE (1) | DE112017008193T5 (zh) |
| WO (1) | WO2019092873A1 (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101107612A (zh) * | 2005-01-24 | 2008-01-16 | 科乐美数码娱乐株式会社 | 网络系统、服务器装置、不正当利用检测方法、记录媒体以及程序 |
| CN106330855A (zh) * | 2015-07-01 | 2017-01-11 | 柯尼卡美能达株式会社 | 通信系统、管理服务器以及控制方法 |
| JP2017118484A (ja) * | 2016-08-08 | 2017-06-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004120534A (ja) | 2002-09-27 | 2004-04-15 | Matsushita Electric Ind Co Ltd | ルータと中継装置、フォワーディング方法 |
| JP4064854B2 (ja) * | 2003-04-03 | 2008-03-19 | シャープ株式会社 | ゲートウェイ機器、中継方法、中継処理プログラムおよび記録媒体 |
| JP3999238B2 (ja) | 2005-06-23 | 2007-10-31 | 日本電信電話株式会社 | アドレス変換方法及びその装置 |
| US8589541B2 (en) * | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
| US8799997B2 (en) | 2011-04-18 | 2014-08-05 | Bank Of America Corporation | Secure network cloud architecture |
| JP5672154B2 (ja) * | 2011-05-31 | 2015-02-18 | 株式会社バッファロー | ネットワークシステム、ゲートウェイ装置、経路決定方法、プログラム、および記憶媒体 |
| US9706004B2 (en) * | 2013-04-06 | 2017-07-11 | Citrix Systems, Inc. | Systems and methods for exporting client and server timing information for webpage and embedded object access |
| US10158536B2 (en) * | 2014-05-01 | 2018-12-18 | Belkin International Inc. | Systems and methods for interaction with an IoT device |
| US20210076966A1 (en) * | 2014-09-23 | 2021-03-18 | Surgical Safety Technologies Inc. | System and method for biometric data capture for event prediction |
| US20180048655A1 (en) * | 2015-03-10 | 2018-02-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Access Network Determination |
| US10225290B2 (en) * | 2016-07-15 | 2019-03-05 | Genband Us Llc | Systems and methods for extending DSP capability of existing computing devices |
| US10284589B2 (en) * | 2016-10-31 | 2019-05-07 | Acentium Inc. | Methods and systems for ranking, filtering and patching detected vulnerabilities in a networked system |
-
2017
- 2017-11-13 JP JP2019551852A patent/JP6908721B2/ja active Active
- 2017-11-13 CN CN201780096655.5A patent/CN111344998B/zh active Active
- 2017-11-13 DE DE112017008193.9T patent/DE112017008193T5/de active Pending
- 2017-11-13 WO PCT/JP2017/040686 patent/WO2019092873A1/ja active Application Filing
- 2017-11-13 US US16/758,377 patent/US11388024B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101107612A (zh) * | 2005-01-24 | 2008-01-16 | 科乐美数码娱乐株式会社 | 网络系统、服务器装置、不正当利用检测方法、记录媒体以及程序 |
| CN106330855A (zh) * | 2015-07-01 | 2017-01-11 | 柯尼卡美能达株式会社 | 通信系统、管理服务器以及控制方法 |
| JP2017118484A (ja) * | 2016-08-08 | 2017-06-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| US11388024B2 (en) | 2022-07-12 |
| WO2019092873A1 (ja) | 2019-05-16 |
| CN111344998A (zh) | 2020-06-26 |
| JPWO2019092873A1 (ja) | 2020-11-12 |
| JP6908721B2 (ja) | 2021-07-28 |
| US20200344091A1 (en) | 2020-10-29 |
| DE112017008193T5 (de) | 2020-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9231907B2 (en) | Method for establishing connection between communication apparatuses, communication apparatus, and server apparatus | |
| EP3229420A1 (en) | Method for establishing persistent connection between multiple smart devices and server, and smart device | |
| KR101371057B1 (ko) | 중계 통신 시스템 및 액세스 관리 장치 | |
| CN109716711B (zh) | 网关、车载通信系统、通信控制方法和计算机可读记录介质 | |
| US9270640B2 (en) | Communication device, control method for communication device, and storage medium | |
| CN102480729A (zh) | 无线接入网中防止假冒用户的方法及接入点 | |
| CN105659635A (zh) | 用于现场设备试运行和加入网络的方法 | |
| US20120290105A1 (en) | Method for operating, monitoring and/or configuring an automation system of a technical plant | |
| KR20180069843A (ko) | Can 컨트롤러에 의해 버스에 연결된 노드를 이용하여 can 버스에서의 조작을 방지하기 위한 방법 및 장치 | |
| CN104541489A (zh) | 用于配置电信网络的网络节点的方法、电信网络、程序及计算机程序产品 | |
| CN103312677A (zh) | 终端、服务器和通信连接的建立方法 | |
| CN111344998B (zh) | 通信网络系统 | |
| EP2891299B1 (en) | Systems and methods for efficient remote security panel configuration and management | |
| US10574797B2 (en) | Method for configuring a device connected to a field bus | |
| JP2002368826A (ja) | 中継サーバ及び中継システム | |
| JP2012015629A (ja) | 通信システムのアプリケーション監視方法 | |
| CN103608789A (zh) | 通信系统 | |
| CN108292343B (zh) | 薄弱环节的避免 | |
| US9274737B2 (en) | Information sharing system, information sharing management device, and information sharing method | |
| JP7038986B2 (ja) | Ip機器遠隔操作システム | |
| US20060185009A1 (en) | Communication apparatus and communication method | |
| JP2017076888A (ja) | 中継装置及び中継通信システム | |
| JP5089476B2 (ja) | 通信開始システム | |
| CN112532663A (zh) | 一种网关登录方法及装置 | |
| US20130110973A1 (en) | Programmable logic controller |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |