JP2004112018A - INTERNET ACCESS Web MONITOR AND CONTROL SYSTEM - Google Patents

INTERNET ACCESS Web MONITOR AND CONTROL SYSTEM Download PDF

Info

Publication number
JP2004112018A
JP2004112018A JP2002267907A JP2002267907A JP2004112018A JP 2004112018 A JP2004112018 A JP 2004112018A JP 2002267907 A JP2002267907 A JP 2002267907A JP 2002267907 A JP2002267907 A JP 2002267907A JP 2004112018 A JP2004112018 A JP 2004112018A
Authority
JP
Japan
Prior art keywords
intranet
port number
public
address
internal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002267907A
Other languages
Japanese (ja)
Inventor
Mineo Yamauchi
山内 峯生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Johnson Controls Inc
Original Assignee
Johnson Controls Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Johnson Controls Inc filed Critical Johnson Controls Inc
Priority to JP2002267907A priority Critical patent/JP2004112018A/en
Publication of JP2004112018A publication Critical patent/JP2004112018A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a monitor and control system wherein only an authorized Web client can access a control unit with a Web server function installed in the intranet of a private network through the Internet. <P>SOLUTION: By an address port conversion router with a dynamic port mapping function, the passing of packets to the inside of the intranet through the Internet is made possible, and an intranet apparatus name server is installed in the system to open information (public IP and public port number) for access to an internal apparatus into public. The access information is open to only Web clients each having an electronic certificate. Further, dynamically changing the public port number for access to the internal apparatus makes a third party difficult to specify the public port number. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明は、プライベートネットワークで構成されたイントラネット内にあるWebサーバ機能付きの制御装置をインターネットからアクセスして監視制御するシステムに関するものである。
【0002】
【従来の技術】
プライベートアドレスのイントラネットに接続されたWeb機能付き制御装置をインターネットからアクセスするためには特殊なルータを必要とする。図4はアドレス変換ルータを使用した従来例である。10はイントラネットを形成しているプライベートネットワーク、60はインターネットである。11はWebサーバ機能付き制御装置1である。説明のためこの装置のIPアドレスは192.168.0.11とする。51は11にアクセスするWebクライアント装置(以後、Webクライアントと略記)である。20はイントラネットとインターネットを中継するアドレス変換ルータである。このルータは特定のポート番号宛てに来たパケットをあらかじめ決められたプライベートアドレスに転送する機能をもっている。この機能はポートフォワーデイング機能あるいは静的IPマスカレード機能として知られている。説明のためこのルータのイントラネット側のアドレスを192.168.0.1、インターネット側のアドレスを210.130.30.1とする。このルータは内部に図5に示すアドレス変換テーブルをもっている。内部IPはイントラネット内部装置(以後、内部装置と略記する)を特定するプライベートIPアドレス、内部ポート番号はその装置上で動作しているサーバアプリケーションが待機しているポート番号である。公開IPと公開ポート番号は、アドレス変換ルータが、上記の内部IPと内部ポート番号をインターネットに公開しているグローバルIPアドレスとポート番号である。
【0003】
宛先IPアドレスが210.130.30.1でポート番号が80で入力されたパケットはこのテーブルにより、IPが192.168.0.11でポート番号80で待機しているWebサーバ機能付き制御装置1のWebサーバアプリケーションに転送される。この結果、この装置はインターネットからのアクセスが可能になっている。しかし従来例では、Webクライアントは、ポート番号ごとにあらかじめ決められた内部装置にしかアクセスできない。また内部装置はイントラネットに接続されているがアドレス変換ルータによりインターネットからアクセス可能になっている。インターネット上で第3者がポートスキャンを実行し公開ポート番号を検知して内部装置にアクセスすることが可能になっている。
【0004】
図6は、図4の従来例を改善したものである。図4と同一のものは同一符号を付し説明を省略する。アドレス変換ルータがアドレス・ポート変換ルータに置き換わった構成になっている。30はイントラネットとインターネットを中継するアドレス・ポート変換ルータである。このルータはインターネットから入力してくるパケットの宛先IPアドレスとポート番号の双方を変換してプライベートアドレスに転送する機能をもっている。説明のためこのルータのイントラネット側のアドレスを図4の場合と同じく192.168.0.1、インターネット側のアドレスを210.130.30.1とする。このルータは内部で図7に示すアドレス・ポート変換テーブルをもっている。内部IPは内部装置のプライベートIPアドレス、内部ポート番号はその装置上で動作しているサーバアプリケーションが待機しているポート番号である。公開IPと公開ポート番号は、上記の内部IPと内部ポート番号を上記のアドレス・ポート変換ルータを経由してインターネットからアクセスできるように公開しているIPアドレスとポート番号である。
【0005】
52はポート番号指定機能付きWebクライアント装置である。この装置は、内部ポート番号ではなく、公開されたポート番号で内部装置サーバアプリケーションにアクセスできる機能が実装されている。
【0006】
アドレス・ポート変換ルータは入力パケットのIPアドレスとポート番号の双方を変換するため、Webクライアントは、同じポート番号で待機している複数の内部装置サーバアプリケーションにアクセスすることが可能になる。12は追加になったWebサーバ機能付き制御装置2である。説明のためこの装置のIPアドレスは192.168.0.12とする。宛先IPアドレスが210.130.30.1でポート番号が1000で入力されたパケットは図7のテーブルにより、IPが192.168.0.11でポート番号80で待機しているWebサーバ機能付き制御装置1のWebサーバアプリケーションに転送される。宛先IPアドレスが210.130.30.1でポート番号が1002で入力されたパケットは図7のテーブルにより、IPが192.168.0.12でポート番号80で待機しているWebサーバ機能付き制御装置2のWebサーバアプリケーションに転送される。この結果複数の内部装置のWebサーバにインターネットからアクセス可能になっている。
【0007】
しかし図6の改善例では以下が問題点として残っている。Webクライアントは内部装置へアクセスするための情報をオンラインで入手できない。このためWebクライアントは内部装置へアクセスするための情報を全て記憶しておく必要がある。内部装置へのアクセス情報が変更されたときWebクライアントは内部装置にアクセスできなくなる。また、内部装置はイントラネットに接続されているが、アドレス・ポート変換ルータによりインターネットからアクセス可能になっている。また内部装置へのアクセス情報(図7のアドレス・ポート変換テーブル)は固定されている。この結果、インターネット上で第3者がポートスキャンを実行し公開ポート番号を検知して内部装置にアクセスすることが可能になっている。
【0008】
【発明が解決しようとする課題】
本発明の目的は、プライベートネットワークで構成されたイントラネット内にあるWebサーバ機能付きの制御装置に対して、インターネットから、特定の権限を持ったクライアントだけがアクセスできるようすることである。
【0009】
【課題を解決するための手段】
このような目的を達成する請求項1の発明は、インターネット側にグローバルアドレスでアドレッシングされたイントラネット装置ネームサーバ装置を設置して、この装置がWebクライアントがイントラネット内の個々の装置のアプリケーションへアクセスするために必要な公開IPと公開ポート番号を管理して提供することである。
【0010】
請求項2の発明は、イントラネット装置ネームサーバのデータを、特定の権限を持ったWebクライアントだけが入手できるように構成することである。
【0011】
請求項3の発明は、個々の内部装置のアプリケーションに対する公開ポート番号を固定しないで、あらかじめ決められた条件で変更することである。
【0012】
請求項4の発明は、特別な区切り文字で、内部装置名であることを識別させるドメイン名を使用すること、および、Webクライアントが、このドメイン名を解釈して、イントラネット装置ネームサーバから内部装置へアクセスするための公開IPと公開ポート番号を入手することである。
【0013】
請求項5の発明は、Webクライアント装置が、上記で入手した公開ポート番号を使用して内部装置のアプリケーションへアクセスすることである。
【0014】
【発明の実施の形態】
以下図面を用いて本発明の実施の形態を説明する。図1は本発明の一実施例を示した構成図であり、図6と同一のものは同一符号を付し説明を省略する。31はイントラネットとインターネットを中継するポートマッピング機能付きアドレス・ポート変換ルータである。このルータ31は、内部装置からのグローバルアドレス問い合わせに対する返答機能、内部装置からのアドレス・ポート変換テーブルの設定機能(ポートマッピング機能)を持っている。UPnP(Universal Plug & Play)ルータではこの機能が実装されている。このルータは内部では図2に示すダイナミックに書き換え可能なアドレス・ポート変換テーブルをもっている。このテーブル内容自体は図7のものと同じであるが、図2では、このアドレス・ポート変換テーブルを内部装置がダイナミックに書き換えることができる。即ち内部装置は、公開ポート番号をダイナミックに変化させて内部ポート番号をインターネットに公開することができる。説明のためこのルータのイントラネット側のアドレスを図6の場合と同じく192.168.0.1、インターネット側のアドレスを210.130.30.1とする。
【0015】
40はインターネット側に新たに設置されたイントラネット装置ネームサーバである。この装置は、インターネット側にあるWebクライアントに対して、イントラネット装置名とサーバアプリケーション待機の内部ポート番号から、この内部装置サーバアプリケーションにアクセスするための公開IPと公開ポート番号を提供する。この装置は図3に示すようなデータを持っている。イントラネット装置名はイントラネット内の装置を識別する装置名である。この名前はイントラネット装置ネームサーバが管理している装置群の範囲でユニークでなければならない。内部ポート番号はその内部装置サーバアプリケーションが待機しているポート番号である。なおこのイントラネット装置ネームサーバ内のデータは権限をもったWebクライアントにだけ提供されるように構成されている。
【0016】
53は内部装置名解決機能・ポート番号指定機能つきWebクライアント装置である。即ちこのWebクライアント装置は、内部装置が表記されたドメイン名を解釈して内部装置へのアクセスするための公開IPと公開ポート番号を入手する機能と、入手した公開ポート番号を指定して内部装置にアクセスする機能をもっている。またこのWebクライアント装置は内部装置へアクセスして情報を入手する権限があることを証明する電子証明書を持っている。
【0017】
説明のため、11、12のイントラネット装置名をwdevice1, wdevice2とする。40のイントラネット装置ネームサーバのIPアドレスを、210.120.1.10とする。40のイントラネット装置ネームサーバのドメイン名をinamesvr.xyzabc.co.jp とする。
【0018】
11、12のイントラネット装置は、既存のDNS(Domain Name Server)でのドメイン名では表記できない。本提案では、2個の連続したドットという特殊文字を識別子としたドメイン名で内部装置を表示するものとする。したがって、11、12の内部装置のドメイン名は、それぞれ、
wdevice1..inamesvr.xyzabc.co.jp
wdevice2..inamesvr.xyzabc.co.jp
として表記される。この表記方法は既存のDNSで使用されているドメイン名の表記方法を、内部装置がある場合について機能拡張したものである。この表記で、inamesvr.xyzabc.co.jp の部分はイントラネット装置ネームサーバのホスト名でもある。
【0019】
本発明の動作について説明する。内部装置11はアドレス・ポート変換ルータ31に対してHTTPサーバアプリケーション(内部ポート番号80で待機)とHTTPSサーバサーバアプリケーション(内部ポート番号443で待機)をそれぞれポート番号1000と1001で外部に公開するようにポートマッピング要求を発行する。同時に内部装置11はイントラネット装置ネームサーバ40に対しても、自分の装置名 wdevice1でのHTTPサーバアプリケーション(内部ポート番号80で待機)とHTTPSサーバアプリケーション(内部ポート番号443で待機)が、公開IPが210.130.30.1で、外部ポート番号が1000,1001でアクセス可能である、というデータを発行する。内部装置12も同様にアドレス・ポート変化ルータ31にポートマッピング要求、イントラネット装置ネームサーバ40に自分のサーバアプリケーションの公開データを発行する。この結果、ポートマッピング機能付きポート・アドレス変換ルータ31の内部に図2のテーブルが作成される。まだイントラネット装置ネームサーバ40内に図3のデータが作成される。
【0020】
Webクライアントが、wdevice1..inamesvr.xyzabc.co.jp でドメイン表記されている装置のHTTPサーバアプリケーション(内部ポート番号80で待機)にアクセスする場合を例に説明する。最初に、Webクライアントは既存のDNS機能で、inamesvr.xyzabc.co.jp までの名前解決を実行する。ここで解決されたIPアドレス210.120.1.10はイントラネット装置ネームサーバのホストのIPアドレスである。Webクライアントは、2個の連続したドットという特殊文字以降は内部装置であることを知っている。したがってWebクライアントは、イントラネット装置ネームサーバに対して、2個の連続したドット以降の名前 wdevice1 と内部ポート番号(80)を発行して、内部装置へのアクセス情報を問い合わせる。このときWebクライアントは自分が権限があるクライアントであることを証明する電子証明書を提示する。イントラネット装置ネームサーバは、電子証明書をチェックして答を返して良いクライアントであるかどうかを判断する。答を返して良いクライアントであるとき、内部装置へアクセスするための公開IPと公開ポート番号をWebクライアントに返す。電子証明書のチェックで否認されたときは返答は無い。なお、Webクライアントは、2個の連続したドットという特殊文字をもたない持たないドメイン名をアクセスしたときは既存のDNS機能で全ての名前解決を実行する。
【0021】
Webクライアントは、上記で入手した公開IP(210.120.1.10)と公開ポート番号(1000)を使用して、内部装置11のHTTPサーバアプリケーションにアクセスする。
【0022】
イントラネット内の装置は、条件設定されたタイミングで、アドレス・ポート変換ルータに対して、現在のポートマッピングをキャンセルして新たにポートマッピング要求を発行してランダムに公開ポート番号を変更する。同時にイントラネット装置ネームサーバにもこの変更データを送信して公開ポート番号を最新のものに反映させる。本発明の実施例を示す図1においても内部装置はイントラネット内部に接続されているがアドレス・ポート変換ルータによりインターネットからアクセス可能になっている。しかし公開ポート番号がダイナミックに変更されているため第3者は変化している公開ポート番号を追跡して検知することは困難になっている。公開ポート番号が検知されてもある時間後には無効になっている。実測結果では可能性がある全てのTCPポート番号65536個をポーチスキャンするには約10時間程度かかる。したがって1時間ごとに公開ポート番号を切り替えて運用すれば第3者が公開ポート番号を検知して追跡することは困難になる。
【0023】
Webクライアントは内部装置へのアクセス情報をキャッシングしている。したがって、公開ポート番号が変更されると、Webクライアントはキャッシングしている内部装置へのアクセス情報が古くなるため内部装置へのアクセスに失敗する。この場合にはイントラネット装置ネームサーバから最新情報を入手してアクセスして、またキャッシング情報を更新するようにする。
【0024】
本発明の応用例について説明する。イントラネット装置ネームサーバが、特定の権限をもったクライアントにだけ答えを返すようにするためには、電子証明書以外にもログイン名、パスワードの組み合わせ等、各種の方式の採用が可能である。
【0025】
また、イントラネット装置ネームサーバ内のデータを秘密鍵を所有している特定のWebクライアントだけが入手できるようにWebクライアントの公開鍵で暗号化して保管することもできる。この公開鍵方式を採用すれがWebクライアントごとにアクセス情報をよりきめ細かく管理できる。
【0026】
また、WebクライアントのIPアドレスが限定されている場合には、アドレス・ポート変換ルータにパケットフィルタリングを設定できる。これにより第3者からの内部装置アクセスがより困難になる。
【0027】
【発明の効果】
本発明によれば、以下のような効果が得られる。
【0028】
請求項1により、イントラネット装置ネームサーバが存在することにより、Webクライアントは、複数のイントラネット内装置にアクセスできるようになる。公開ポート番号をダイナミックに変更したときでもWebクライアントはイントラネットへアクセスするための最新情報を入手することができるようになる。
【0029】
請求項2により、権限を持ったWebクライアントだけがイントラネット装置ネームサーバから内部装置へのアクセスするための公開IPと公開ポート番号を入手できることにより、第3者が内部装置にアクセスすることは困難になる。
【0030】
請求項3により、公開ポート番号が固定されていないことにより、第3者が内部装置へアクセスする公開ポート番号を検知することが困難になり、第3者が内部装置にアクセスすることが困難になる。
【0031】
請求項4により、内部装置を特定するため、従来のDNSと両立するドメイン名表記を使用していることにより、従来のドメイン名表記と互換性を保ちながら、新規に内部装置名を表現できるようになる。Webクライアントは、従来のDNS機能でイントラネット装置ネームサーバまでの名前解決ができ、ま、イントラネット装置ネームサーバから内部装置へのアクセスするための公開IPと公開ポート番号を入手できるようになる。
【0032】
請求項5により、Webクライアントはポート番号を指定してアクセスできる機能をもっていることにより、請求項5で入手した公開ポート番号で内部装置にアクセスできるようになる。
【図面の簡単な説明】
【図1】本発明の一実施例を示した構成図である。
【図2】ダイナミックに書き換え可能なアドレス・ポート変換テーブルである。
【図3】イントラネット装置ネームサーバ内のデータである。
【図4】従来例の構成図である。
【図5】アドレス変換テーブルである。
【図6】改善例である。
【図7】アドレス・ポート変換テーブルである。
【符号の説明】
10  プライベートネットワーク
11  Webサーバ機能付き制御装置1
12  Webサーバ機能付き制御装置2
20  アドレス変換ルータ
30  アドレス・ポート変換ルータ
31  ポートマッピング機能付きアドレス・ポート変換ルータ
40  イントラネット装置ネームサーバ
51  Webクライアント装置
52  ポート番号指定機能付きWebクライアント装置
53  内部装置名解決機能・ポート番号指定機能付きWebクライアント装置
60  インターネット[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a system for monitoring and controlling a control device with a Web server function in an intranet configured by a private network by accessing the control device from the Internet.
[0002]
[Prior art]
A special router is required to access a control device with a Web function connected to the private address intranet from the Internet. FIG. 4 shows a conventional example using an address translation router. Reference numeral 10 denotes a private network forming an intranet, and 60 denotes the Internet. Reference numeral 11 denotes a control device 1 with a Web server function. For explanation, the IP address of this device is 192.168.0.11. Reference numeral 51 denotes a Web client device (hereinafter, abbreviated as Web client) that accesses 11. Reference numeral 20 denotes an address translation router that relays the intranet and the Internet. This router has a function of transferring a packet addressed to a specific port number to a predetermined private address. This function is known as a port forwarding function or a static IP masquerading function. For the sake of explanation, the address on the intranet side of this router is 192.168.0.1, and the address on the Internet side is 210.130.30.1. This router internally has an address conversion table shown in FIG. The internal IP is a private IP address that specifies an intranet internal device (hereinafter, abbreviated as an internal device), and the internal port number is a port number on which a server application running on the device is on standby. The public IP and public port number are the global IP address and port number for which the address translation router discloses the internal IP and internal port number to the Internet.
[0003]
According to this table, a packet having a destination IP address of 210.130.30.1 and a port number of 80 is input, and the control device with a Web server function in which the IP is 192.168.0.11 and the port number is 80 is waiting. 1 is transferred to one Web server application. As a result, the device can be accessed from the Internet. However, in the conventional example, the Web client can access only an internal device determined in advance for each port number. The internal device is connected to an intranet, but is accessible from the Internet by an address translation router. It is possible for a third party to execute a port scan on the Internet, detect a public port number, and access an internal device.
[0004]
FIG. 6 is an improvement of the conventional example of FIG. The same components as those in FIG. 4 are denoted by the same reference numerals and description thereof is omitted. The configuration is such that the address translation router is replaced with an address / port translation router. Reference numeral 30 denotes an address / port conversion router that relays the intranet and the Internet. This router has a function of converting both a destination IP address and a port number of a packet input from the Internet and transferring the packet to a private address. For the sake of explanation, it is assumed that the address on the intranet side of this router is 192.168.0.1 as in the case of FIG. 4, and the address on the Internet side is 210.130.30.1. This router internally has an address / port conversion table shown in FIG. The internal IP is the private IP address of the internal device, and the internal port number is the port number on which the server application running on the device is on standby. The public IP and the public port number are an IP address and a port number that make the internal IP and the internal port number public so that they can be accessed from the Internet via the address / port conversion router.
[0005]
Reference numeral 52 denotes a Web client device with a port number designation function. This device is equipped with a function that allows access to an internal device server application using a public port number instead of an internal port number.
[0006]
Since the address / port conversion router converts both the IP address and the port number of the input packet, the Web client can access a plurality of internal device server applications waiting on the same port number. Reference numeral 12 denotes an added control device 2 with a Web server function. For explanation, the IP address of this device is 192.168.0.12. According to the table shown in FIG. 7, a packet input with a destination IP address of 210.130.30.1 and a port number of 1000 has a Web server function with an IP of 192.168.0.11 and a standby port number of 80. The data is transferred to the Web server application of the control device 1. According to the table shown in FIG. 7, a packet input with a destination IP address of 210.130.30.1 and a port number of 1002 has a Web server function with an IP of 192.168.0.12 and a standby port number of 80. The data is transferred to the Web server application of the control device 2. As a result, Web servers of a plurality of internal devices can be accessed from the Internet.
[0007]
However, the following problems remain in the improved example of FIG. The Web client cannot obtain information for accessing the internal device online. Therefore, the Web client needs to store all information for accessing the internal device. When the access information to the internal device is changed, the Web client cannot access the internal device. The internal device is connected to an intranet, but is accessible from the Internet by an address / port conversion router. The access information to the internal device (address / port conversion table in FIG. 7) is fixed. As a result, it is possible for a third party to execute a port scan on the Internet to detect a public port number and access an internal device.
[0008]
[Problems to be solved by the invention]
An object of the present invention is to allow only a client having a specific right to access a control device with a Web server function in an intranet configured by a private network from the Internet.
[0009]
[Means for Solving the Problems]
According to the first aspect of the present invention, an intranet device name server addressed by a global address is installed on the Internet side, and this device allows a Web client to access an application of each device in the intranet. The public IP and the public port number necessary for this purpose are managed and provided.
[0010]
A second aspect of the present invention is configured so that data of an intranet device name server can be obtained only by a Web client having a specific right.
[0011]
According to a third aspect of the present invention, a public port number for an application of each internal device is not fixed but is changed under a predetermined condition.
[0012]
According to a fourth aspect of the present invention, a special delimiter character is used for a domain name for identifying an internal device name, and a Web client interprets the domain name and sends the internal device name to the internal device name server. Is to obtain a public IP and a public port number for accessing the Internet.
[0013]
The invention of claim 5 is that the Web client device accesses the application of the internal device using the public port number obtained above.
[0014]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing an embodiment of the present invention. The same components as those in FIG. Reference numeral 31 denotes an address / port conversion router with a port mapping function for relaying between the intranet and the Internet. The router 31 has a function of responding to a global address inquiry from the internal device and a function of setting an address / port conversion table (port mapping function) from the internal device. This function is implemented in a UPnP (Universal Plug & Play) router. This router internally has a dynamically rewritable address / port conversion table shown in FIG. Although the contents of this table are the same as those in FIG. 7, in FIG. 2, the internal device can dynamically rewrite the address / port conversion table. That is, the internal device can dynamically change the public port number and publish the internal port number to the Internet. For the sake of explanation, the address on the intranet side of this router is 192.168.0.1 as in the case of FIG. 6, and the address on the Internet side is 210.130.30.1.
[0015]
Reference numeral 40 denotes an intranet device name server newly installed on the Internet side. This apparatus provides a Web client on the Internet with a public IP and a public port number for accessing the internal apparatus server application from the intranet apparatus name and the internal port number of the server application standby. This device has data as shown in FIG. The intranet device name is a device name for identifying a device in the intranet. This name must be unique within the range of devices managed by the intranet device name server. The internal port number is a port number on which the internal device server application is waiting. The data in the intranet device name server is configured to be provided only to authorized Web clients.
[0016]
Reference numeral 53 denotes a Web client device having an internal device name resolution function / port number designation function. That is, the Web client device has a function of interpreting a domain name in which the internal device is described and obtaining a public IP and a public port number for accessing the internal device, and specifying the obtained public port number to specify the internal device. Has the ability to access Also, this Web client device has an electronic certificate proving that it has the right to access the internal device and obtain information.
[0017]
For the purpose of explanation, the intranet device names 11 and 12 are assumed to be wdevice1 and wdevice2. The IP addresses of the 40 intranet device name servers are 210.120.1.10. 40, the domain name of the intranet device name server is named inamesvr. xyzabc. co. jp.
[0018]
The intranet devices 11 and 12 cannot be represented by domain names in the existing DNS (Domain Name Server). In this proposal, the internal device is displayed with a domain name using a special character of two consecutive dots as an identifier. Therefore, the domain names of the internal devices 11 and 12 are respectively
wdevice1. . inamesvr. xyzabc. co. jp
wdevice2. . inamesvr. xyzabc. co. jp
It is written as This notation method is an extension of the notation method of the domain name used in the existing DNS when there is an internal device. In this notation, inamesvr. xyzabc. co. jp is also the host name of the intranet device name server.
[0019]
The operation of the present invention will be described. The internal device 11 opens the HTTP server application (standby at the internal port number 80) and the HTTPS server server application (standby at the internal port number 443) to the address / port conversion router 31 to the outside with the port numbers 1000 and 1001, respectively. Issues a port mapping request to. At the same time, the internal device 11 also sends an HTTP server application (standby at the internal port number 80) and an HTTPS server application (standby at the internal port number 443) with its own device name wdevice1 to the intranet device name server 40, and a public IP. At 210.130.30.1, data indicating that the external port number is accessible at 1000 and 1001 is issued. Similarly, the internal device 12 issues a port mapping request to the address / port change router 31 and issues public data of its own server application to the intranet device name server 40. As a result, the table of FIG. 2 is created inside the port / address translation router 31 with the port mapping function. The data of FIG. 3 is still created in the intranet device name server 40.
[0020]
If the Web client is wdevice1. . inamesvr. xyzabc. co. An example will be described in which an HTTP server application (standby at an internal port number 80) of an apparatus described in a domain by jp is accessed. First, the Web client uses the existing DNS function, inamesvr. xyzabc. co. Perform name resolution up to jp. The resolved IP address 210.120.1.10 is the IP address of the host of the intranet device name server. The Web client knows that the special characters of two consecutive dots are internal devices. Therefore, the Web client issues a name wdevice1 after two consecutive dots and an internal port number (80) to the intranet device name server to inquire access information to the internal device. At this time, the Web client presents an electronic certificate certifying that the Web client is an authorized client. The intranet device name server checks the electronic certificate and determines whether the client is a client who can return an answer. If it is a client that can return an answer, the public IP and public port number for accessing the internal device are returned to the Web client. There is no response if the digital certificate is rejected. When a Web client accesses a domain name having two consecutive dots and having no special characters, the Web client executes all name resolution using the existing DNS function.
[0021]
The Web client accesses the HTTP server application of the internal device 11 using the public IP (210.120.1.10) and the public port number (1000) obtained above.
[0022]
The device in the intranet cancels the current port mapping and issues a new port mapping request to the address / port conversion router at the timing set by the conditions to randomly change the public port number. At the same time, this change data is also transmitted to the intranet device name server to reflect the public port number on the latest one. Also in FIG. 1 showing the embodiment of the present invention, the internal device is connected to the inside of the intranet, but can be accessed from the Internet by an address / port conversion router. However, since the public port number is dynamically changed, it is difficult for a third party to track and detect the changed public port number. Even if the public port number is detected, it becomes invalid after a certain time. It takes about 10 hours to porch scan all possible 65536 TCP port numbers in the actual measurement result. Therefore, if the public port number is switched and operated every hour, it becomes difficult for a third party to detect and track the public port number.
[0023]
The Web client caches access information to the internal device. Therefore, when the public port number is changed, the Web client fails to access the internal device because the access information to the caching internal device becomes old. In this case, the latest information is obtained and accessed from the intranet apparatus name server, and the caching information is updated.
[0024]
An application example of the present invention will be described. In order for the intranet device name server to return an answer only to a client having a specific authority, various methods such as a combination of a login name and a password other than the electronic certificate can be adopted.
[0025]
Further, the data in the intranet device name server can be encrypted and stored with the public key of the Web client so that only the specific Web client having the private key can obtain the data. By employing this public key method, access information can be managed more finely for each Web client.
[0026]
If the IP address of the Web client is limited, packet filtering can be set in the address / port translation router. This makes it more difficult for a third party to access the internal device.
[0027]
【The invention's effect】
According to the present invention, the following effects can be obtained.
[0028]
According to the first aspect, the presence of the intranet device name server allows a Web client to access a plurality of intranet devices. Even when the public port number is dynamically changed, the Web client can obtain the latest information for accessing the intranet.
[0029]
According to the second aspect, since only the authorized Web client can obtain the public IP and the public port number for accessing the internal device from the intranet device name server, it is difficult for a third party to access the internal device. Become.
[0030]
According to the third aspect, since the public port number is not fixed, it becomes difficult for a third party to detect the public port number for accessing the internal device, and it becomes difficult for the third party to access the internal device. Become.
[0031]
According to the fourth aspect, a domain name notation compatible with the conventional DNS is used to specify the internal device, so that the new internal device name can be expressed while maintaining compatibility with the conventional domain name notation. become. The Web client can resolve the name up to the intranet device name server by the conventional DNS function, and can obtain the public IP and the public port number for accessing the internal device from the intranet device name server.
[0032]
According to the fifth aspect, the Web client has a function of specifying a port number to access, so that the internal device can be accessed by the public port number obtained in the fifth aspect.
[Brief description of the drawings]
FIG. 1 is a configuration diagram showing one embodiment of the present invention.
FIG. 2 is a dynamically rewritable address / port conversion table.
FIG. 3 shows data in an intranet device name server.
FIG. 4 is a configuration diagram of a conventional example.
FIG. 5 is an address conversion table.
FIG. 6 is an improved example.
FIG. 7 is an address / port conversion table.
[Explanation of symbols]
10 Private network 11 Control device 1 with Web server function
12 Control device 2 with Web server function
Reference Signs List 20 address translation router 30 address / port translation router 31 address / port translation router 40 with port mapping function intranet device name server 51 web client device 52 web client device 53 with port number designation function 53 internal device name resolution function / port number designation function Web client device 60 Internet

Claims (5)

プライベートアドレスでアドレッシングされたイントラネット内の装置、インターネットに接続されグローバルアドレスでアドレッシングされたWebクライアント装置、インターネットとイントラネットをアドレスとポート番号を変換して中継するアドレス・ポート変換ルータで構成される監視制御システムにおいて、インターネット側にグローバルアドレスでアドレッシングされたイントラネット装置ネームサーバが追加設置され、この装置が、Webクライアントがイントラネット内の個々の装置のアプリケーションへアクセスするために必要な公開IPと公開ポート番号を提供している構成となっていることを特徴とする監視制御システム。Supervision and control comprising a device in an intranet addressed by a private address, a Web client device connected to the Internet and addressed by a global address, and an address / port translation router for translating the Internet and the intranet by translating addresses and port numbers. In the system, an intranet device name server addressed by a global address is additionally installed on the Internet side, and this device sets a public IP and a public port number necessary for a Web client to access an application of each device in the intranet. A supervisory control system characterized by the configuration provided. 請求項1記載の監視制御システムにおいて、イントラネット装置ネームサーバのデータが、特定の権限を持ったWebクライアントだけが読めるように構成されていることを特徴とする監視制御システム。2. The monitoring control system according to claim 1, wherein the data of the intranet device name server is configured to be readable only by a Web client having a specific right. 請求項1記載の監視制御システムにおいて、個々の内部装置のアプリケーションにアクセスするための公開ポート番号が固定されていなくて、あらかじめ決められた条件で変更されることを特徴とする監視制御システム。2. The supervisory control system according to claim 1, wherein a public port number for accessing an application of each internal device is not fixed, but is changed according to a predetermined condition. 請求項1記載の監視制御システムにおいて、特別な区切り文字でイントラネット内の装置名であることを識別させているドメイン名が使用されていること、および、Webクライアントがこのドメイン名を解釈して、イントラネット装置ネームサーバから内部装置へアクセスするための公開IPと公開ポート番号を入手することを特徴とする監視制御システム。2. The monitoring and control system according to claim 1, wherein a domain name that identifies the device name in the intranet is used as a special delimiter, and the Web client interprets the domain name, A monitoring control system characterized by obtaining a public IP and a public port number for accessing an internal device from an intranet device name server. 請求項1記載の監視制御システムにおいて、Webクライアント装置が、請求項4で入手した公開ポート番号を使用して内部装置のアプリケーションへアクセスすることを特徴とする監視制御システム。2. The monitoring control system according to claim 1, wherein the Web client device accesses an application of the internal device using the public port number obtained in claim 4.
JP2002267907A 2002-09-13 2002-09-13 INTERNET ACCESS Web MONITOR AND CONTROL SYSTEM Pending JP2004112018A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002267907A JP2004112018A (en) 2002-09-13 2002-09-13 INTERNET ACCESS Web MONITOR AND CONTROL SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002267907A JP2004112018A (en) 2002-09-13 2002-09-13 INTERNET ACCESS Web MONITOR AND CONTROL SYSTEM

Publications (1)

Publication Number Publication Date
JP2004112018A true JP2004112018A (en) 2004-04-08

Family

ID=32266280

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002267907A Pending JP2004112018A (en) 2002-09-13 2002-09-13 INTERNET ACCESS Web MONITOR AND CONTROL SYSTEM

Country Status (1)

Country Link
JP (1) JP2004112018A (en)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005303766A (en) * 2004-04-14 2005-10-27 Matsushita Electric Ind Co Ltd Ip device, management server, and network system
WO2006016500A1 (en) * 2004-08-09 2006-02-16 Megachips System Solutions Inc. Network camera, ddns server, and video distribution system
WO2006038391A1 (en) * 2004-09-30 2006-04-13 Megachips System Solutions Inc. Network apparatus and network system
WO2006040881A1 (en) * 2004-10-15 2006-04-20 Megachips System Solutions Inc. Video delivery system, and network camera
JP2007081971A (en) * 2005-09-15 2007-03-29 Matsushita Electric Ind Co Ltd Ip communication apparatus and ip phone
JP2007116245A (en) * 2005-10-18 2007-05-10 Sanyo Electric Co Ltd Access control unit
JP2007334411A (en) * 2006-06-12 2007-12-27 Fuji Xerox Co Ltd Control program and communication system
JP2010514326A (en) * 2006-12-19 2010-04-30 ピーエヌピーセキュアー インコーポレイテッド TCP / IP-based address changing method and apparatus
US8295268B2 (en) 2004-01-09 2012-10-23 Panasonic Corporation IP device, management server, and network system
CN105933346A (en) * 2016-06-27 2016-09-07 安徽科成信息科技有限公司 Network patrolman
CN105978900A (en) * 2016-06-27 2016-09-28 安徽科成信息科技有限公司 Novel network monitoring device
US9794277B2 (en) 2015-12-31 2017-10-17 Cyber 2.0 (2015) LTD Monitoring traffic in a computer network
US9838368B2 (en) 2015-08-27 2017-12-05 Cyber 2.0 (2015) Ltd. Port scrambling for computer networks
JP2018157563A (en) * 2017-03-15 2018-10-04 陳 立新CHAN, Charles Lap San System for realizing inter-domain communication on network and method thereof
JP2019528005A (en) * 2016-08-09 2019-10-03 華為技術有限公司Huawei Technologies Co.,Ltd. Method, apparatus, and system for a virtual machine to access a physical server in a cloud computing system

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8295268B2 (en) 2004-01-09 2012-10-23 Panasonic Corporation IP device, management server, and network system
JP2005303766A (en) * 2004-04-14 2005-10-27 Matsushita Electric Ind Co Ltd Ip device, management server, and network system
WO2006016500A1 (en) * 2004-08-09 2006-02-16 Megachips System Solutions Inc. Network camera, ddns server, and video distribution system
WO2006038391A1 (en) * 2004-09-30 2006-04-13 Megachips System Solutions Inc. Network apparatus and network system
WO2006040881A1 (en) * 2004-10-15 2006-04-20 Megachips System Solutions Inc. Video delivery system, and network camera
JP2007081971A (en) * 2005-09-15 2007-03-29 Matsushita Electric Ind Co Ltd Ip communication apparatus and ip phone
JP4693584B2 (en) * 2005-10-18 2011-06-01 三洋電機株式会社 Access control device
JP2007116245A (en) * 2005-10-18 2007-05-10 Sanyo Electric Co Ltd Access control unit
JP2007334411A (en) * 2006-06-12 2007-12-27 Fuji Xerox Co Ltd Control program and communication system
JP2010514326A (en) * 2006-12-19 2010-04-30 ピーエヌピーセキュアー インコーポレイテッド TCP / IP-based address changing method and apparatus
JP4718638B2 (en) * 2006-12-19 2011-07-06 ピーエヌピーセキュアー インコーポレイテッド TCP / IP-based address changing method and apparatus
US9838368B2 (en) 2015-08-27 2017-12-05 Cyber 2.0 (2015) Ltd. Port scrambling for computer networks
US9794277B2 (en) 2015-12-31 2017-10-17 Cyber 2.0 (2015) LTD Monitoring traffic in a computer network
CN105933346A (en) * 2016-06-27 2016-09-07 安徽科成信息科技有限公司 Network patrolman
CN105978900A (en) * 2016-06-27 2016-09-28 安徽科成信息科技有限公司 Novel network monitoring device
JP2019528005A (en) * 2016-08-09 2019-10-03 華為技術有限公司Huawei Technologies Co.,Ltd. Method, apparatus, and system for a virtual machine to access a physical server in a cloud computing system
US10659471B2 (en) 2016-08-09 2020-05-19 Huawei Technologies Co., Ltd. Method for virtual machine to access physical server in cloud computing system, apparatus, and system
US11418512B2 (en) 2016-08-09 2022-08-16 Huawei Technologies Co., Ltd. Method for virtual machine to access physical server in cloud computing system, apparatus, and system
JP2018157563A (en) * 2017-03-15 2018-10-04 陳 立新CHAN, Charles Lap San System for realizing inter-domain communication on network and method thereof

Similar Documents

Publication Publication Date Title
JP4730118B2 (en) Domain name system
KR100780494B1 (en) User terminal management apparatus, recording medium recording user terminal management program, and user terminal management system
EP2291979B1 (en) Remote access between upnp devices
JP2004112018A (en) INTERNET ACCESS Web MONITOR AND CONTROL SYSTEM
US20030084162A1 (en) Managing peer-to-peer access to a device behind a firewall
JP2008085470A (en) Ip application service provision system
WO2008119214A1 (en) A method for accessing the internal network web service of the internet
CN108632221A (en) Position method, equipment and the system of the compromised slave in Intranet
JP4524906B2 (en) Communication relay device, communication relay method, communication terminal device, and program storage medium
JP2004120534A (en) Router, repeater and forwarding method
Yan et al. Is DNS ready for ubiquitous Internet of Things?
WO2017000561A1 (en) Domain name resource record caching control method and server
US8510419B2 (en) Identifying a subnet address range from DNS information
JP2005311829A (en) Communication path setting method, gateway device and communication system
JP3896361B2 (en) Communication path setting device, communication path setting method, and communication path setting program
JP3616571B2 (en) Address resolution method for Internet relay connection
Varakliotis et al. The use of Handle to aid IoT security
JP2009206876A (en) Service release system, communication repeater, and service release device
JP2006148241A (en) Home gateway unit and ip communication method
JP5084716B2 (en) VPN connection apparatus, DNS packet control method, and program
JP2006135704A (en) Router and control method thereof
JP4945793B2 (en) Electronic device, name resolution method, and name resolution control program
US20030225910A1 (en) Host resolution for IP networks with NAT
JP4252041B2 (en) DHCP information management system
JP2007208480A (en) Ddns client

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050909

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070525

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070530

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20071121