JP2008092185A - ネットワーク装置及び宅内ネットワークシステム - Google Patents

ネットワーク装置及び宅内ネットワークシステム Download PDF

Info

Publication number
JP2008092185A
JP2008092185A JP2006269505A JP2006269505A JP2008092185A JP 2008092185 A JP2008092185 A JP 2008092185A JP 2006269505 A JP2006269505 A JP 2006269505A JP 2006269505 A JP2006269505 A JP 2006269505A JP 2008092185 A JP2008092185 A JP 2008092185A
Authority
JP
Japan
Prior art keywords
information
home appliance
port
data
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006269505A
Other languages
English (en)
Inventor
Hitoshi Nomura
仁志 野村
Yasuhiro Yanagi
康裕 柳
Yoshitaka Tezuka
義隆 手塚
Yasushi Tsuda
康 津田
Atsushi Kanda
篤志 神田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Electric Works Co Ltd
Original Assignee
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Works Ltd filed Critical Matsushita Electric Works Ltd
Priority to JP2006269505A priority Critical patent/JP2008092185A/ja
Publication of JP2008092185A publication Critical patent/JP2008092185A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Selective Calling Equipment (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】異常通信(不正プログラムや不正アクセス)から情報家電機器を保護する。
【解決手段】ネットワーク装置3は、宅内に設置され画像データを主データとして送受信する情報家電機器21と宅外のインターネット1との通信を中継する。ネットワーク装置3において、設備ポート30や一般ポート32とは別に、情報家電専用ポート31を備えている。セキュリティ機能部55は、情報家電専用ポート31に接続されている情報家電機器21を送信先とする情報家電機器データの通信が異常通信であるか否かの判定を行い、情報家電機器21への異常通信を禁止する。
【選択図】図1

Description

本発明は、宅内に設置された機器と宅外のネットワークとの通信を行うためのネットワーク装置及び宅内ネットワークシステムに関するものである。
データの送受信を可能とする機器とネットワークとの通信を中継する従来のネットワーク装置8として、図8に示すように、設備機器80が接続される設備ポート81と、設備機器80以外の機器(例えばパソコンなど)が接続される一般ポート82と、インターネット83と接続するための通信ポート84とを備えているものが知られている。また、特許文献1にも同様の構成を備えるスイッチングハブ装置が開示されている。
ここで、設備機器80としては、例えばインターホン機器や火災警報器、電気錠、照明器具、エアコン並びにこれらからの通信を中継するネットアダプタ及びこれらを制御するためのコントローラなどがある。
従来のネットワーク装置8は、設備ポート81に接続されている設備機器80を送信先とするデータに対してセキュリティ対策を行い、その後、データを設備機器80に送信する。一方、一般ポート82に接続されているパソコンは、ウイルスやワームなどの不正プログラムや、DoS(Denial of Services:サービス拒否攻撃)などの不正アクセスなどの異常通信を検出するためのセキュリティ機能を有している。このため、従来のネットワーク装置8は、一般ポート82に接続されている機器を送信先とするデータに対してセキュリティ対策を行わずに、そのままデータを機器に送信している。
特開2006−135950号公報(段落0039〜0056及び第1図)
近年、宅内に設置されネットワークとの間での情報の授受及び上記情報の蓄積を可能とする情報家電機器とネットワークとの通信への要望が高まっている。一般的に、情報家電機器は、ハードウェア又はソフトウェア上の制約から高いセキュリティ機能を有していないものが多い。このような情報家電機器とネットワークとの通信を行うのに従来のネットワーク装置を用いた場合、図8に示すように情報家電機器85を一般ポート82に接続すると情報家電機器を異常通信(不正プログラムの送受信や不正アクセス)から十分に保護できないことから、情報家電機器85を設備ポート81に接続することが考えられる。
しかしながら、情報家電機器85を設備ポート81に接続してしまうと、防犯又は防災用として生活上において欠かすことのできない設備機器80を設備ポートから外さなければならず、また、将来的に防犯又は防災機能をさらに高めるときに設備機器80をあとから接続することができなくなってしまう。このようなことは安全な生活をおくる上で避けなければならない。
また、情報家電機器85と設備機器80とでは、それぞれ正規データの種類が異なるため、一方の機器における正規データは他方の機器にとって不要なデータとなる。この場合に、それぞれの正規データの送受信を設備ポート80において認めてしまうと、他方の機器にとっては不要なデータの送受信も認めることになり、設備ポート80でのセキュリティレベルが低くなってしまうので、異常通信から情報家電機器を十分に保護することができないという問題があった。
本発明は上記の点に鑑みて為されたものであり、その目的とするところは、異常通信から情報家電機器を保護することができるネットワーク装置及び宅内ネットワークシステムを提供することにある。
請求項1のネットワーク装置に係る発明は、宅外のネットワークと、宅内に設置され前記ネットワークとの間での情報の授受及び蓄積を可能とする情報家電機器との通信を中継するネットワーク装置であって、前記情報家電機器が接続される情報家電専用ポートと、前記情報家電専用ポートに接続されている情報家電機器に送信するデータ及び当該情報家電機器から受信するデータの少なくとも一方である情報家電機器データの通信が異常通信であるか否かの判定を行い、前記情報家電機器データの通信を異常通信と判定した場合、当該異常通信を禁止するセキュリティ機能部とを備えることを特徴とする。
請求項2のネットワーク装置に係る発明は、請求項1の発明において、住宅に設置され前記ネットワークと通信可能な設備機器が接続される設備ポートと、前記情報家電機器及び前記設備機器とは異なる他の機器が接続される一般ポートとを備え、前記セキュリティ機能部が、前記情報家電機器データの通信が異常通信であるか否かの判定、前記設備機器に送信するデータ及び当該設備機器から受信するデータの少なくとも一方である設備機器データの通信が異常通信であるか否かの判定及び前記他の機器に送信するデータ及び当該他の機器から受信するデータの少なくとも一方である他の機器データの通信が異常通信であるか否かの判定を、互いに異なるセキュリティレベルで行うことを特徴とする。
請求項3のネットワーク装置に係る発明は、請求項2の発明において、前記情報家電専用ポート、前記設備ポート及び前記一般ポートのうち少なくとも1つの前記セキュリティレベルを設定するためのセキュリティレベル設定手段を備え、前記セキュリティ機能部が、前記セキュリティレベル設定手段で設定されたセキュリティレベルで前記判定を行うことを特徴とする。
請求項4のネットワーク装置に係る発明は、請求項2又は3の発明において、複数のポートを備え、前記複数のポートに対して、前記情報家電機器が接続されているポートを前記情報家電専用ポートに、前記設備機器が接続されているポートを前記設備ポートに、前記情報家電機器及び前記設備機器とは異なる他の機器が接続されているポートを前記一般ポートに設定するポート設定手段を備えることを特徴とする。
請求項5のネットワーク装置に係る発明は、請求項1乃至4のいずれか1項の発明において、前記情報家電機器データの通信プロトコルを検知する通信解析手段を備え、前記セキュリティ機能部が、前記通信プロトコル情報を用いて、前記情報家電機器データの通信が異常通信であるか否かの判定を行うことを特徴とする。
請求項6のネットワーク装置に係る発明は、請求項1乃至5のいずれか1項の発明において、前記情報家電機器から送信された個人情報データを検知し、検知した前記個人情報データの前記ネットワークへの送信を一時停止する個人情報保護機能部を備えることを特徴とする。
請求項7の宅内ネットワークシステムに係る発明は、請求項1乃至6のいずれか1項に記載のネットワーク装置を備えるとともに、前記ネットワーク装置に接続するための通信ポートと、前記ネットワーク装置から取得したデータをユーザに報知する報知部とを有し、宅内に設置されネットワークとの間での情報の授受及び蓄積を可能とする情報家電機器を備えることを特徴とする。
請求項8の宅内ネットワークシステムに係る発明は、請求項7の発明において、前記ネットワーク装置と前記ネットワークとの通信を中継する中継器を備えることを特徴とする。
請求項9の宅内ネットワークシステムに係る発明は、請求項7又は8の発明において、前記情報家電機器が、認証パスワードを入力するためのパスワード入力手段を有し、前記ネットワーク装置が、前記認証パスワードを前記情報家電機器に対応させて記憶するパスワード記憶手段と、前記情報家電機器から前記認証パスワードを受け取って当該情報家電機器を認証する認証手段とを有することを特徴とする。
請求項10の宅内ネットワークシステムに係る発明は、請求項7又は8の発明において、前記ネットワーク装置からの情報を記憶可能とするセンターサーバと接続し、前記ネットワーク装置が、少なくとも前記情報家電機器の機器情報を検出し、検出した前記機器情報を前記センターサーバに送信する機器リスト通信手段を有し、前記情報家電機器が、前記センターサーバにアクセスすることによって認証されることを特徴とする。
請求項11の宅内ネットワークシステムに係る発明は、請求項7乃至10のいずれか1項の発明において、前記ネットワーク装置に接続されている電気錠を備え、前記ネットワーク装置が、前記電気錠の開錠操作を許可する情報家電機器が接続されている情報家電専用ポートのポート番号と当該情報家電機器のMACアドレスとを予め保持する保持手段と、前記電気錠の開錠要求を受信したときに当該開錠要求の送信元が前記保持手段で予め保持しているポート番号及びMACアドレスに該当する情報家電機器であるときにのみ前記電気錠の開錠を許可する開錠許可手段とを有することを特徴とする。
請求項1の発明によれば、ハードウェア又はソフトウェア上の制約から高いセキュリティ機能を有していない情報家電機器に対応するデータの通信を判定することによって、異常通信(不正プログラムの送受信や不正アクセス)から情報家電機器を保護することができる。
請求項2の発明によれば、ハードウェア又はソフトウェア上の制約から高いセキュリティ機能を有していない設備機器、及び異常通信の対象とされやすい一般機器のそれぞれに対して、適正な保護を行うことができる。
請求項3の発明によれば、ポートごとにセキュリティレベルを設定することができるので、宅内環境に適したセキュリティレベルにすることができる。
請求項4の発明によれば、各ポートにおいてポートの種類が最初から固定されず、接続されている機器に基づいて自動設定されるので、宅内環境に適したポートの割り当てを行うことができる。
請求項5の発明によれば、情報家電機器データの通信プロトコルを限定することによって、異常通信を容易に検出することができる。
請求項6の発明によれば、個人情報が情報家電機器から不正に流出するのを防止することができる。
請求項7の発明によれば、ネットワーク装置において、ハードウェア又はソフトウェア上の制約から高いセキュリティ機能を有していない情報家電機器に対応するデータの通信を判定することによって、異常通信から情報家電機器を保護することができる。
請求項8の発明によれば、システム構成が複雑になった場合であっても、柔軟に構築することができる。
請求項9の発明によれば、情報家電機器をネットワーク装置で認証することができるので、情報家電機器から他の機器に対する操作などが可能となる。
請求項10の発明によれば、例えば情報家電機器から簡単な入力操作などによって情報家電機器を認証することができ、情報家電機器から他の機器に対する操作などが容易に可能となる。
請求項11の発明によれば、電気錠の開錠操作が許可されている情報家電機器が接続されている情報家電専用ポートのポート番号と上記情報家電機器のMACアドレスとを用いることで、開錠操作が許可されていない機器による電気錠の不正な開錠操作を防止することができる。
(実施形態1)
まず、本発明の実施形態1に係る宅内ネットワークシステムの構成について図1〜3を用いて説明する。この宅内ネットワークシステムは、図1に示すように、宅外のインターネット(ネットワーク)1との間で通信を可能とするネットワーク機器2と、ネットワーク機器2とインターネット1との通信を中継するネットワーク装置3とを備えている。インターネット1にはセンターサーバ10が接続されている。
ネットワーク機器2には、例えば住宅の安全保障用などとして上記住宅に設置された設備機器20と、宅内に設置された情報家電機器21と、設備機器20及び情報家電機器(デジタル家電機器)21とは異なる一般機器22とがある。
ここで、設備機器20、情報家電機器21及び一般機器22について説明する。まず、設備機器20は、例えばインターホン機器や火災警報器、電気錠、照明器具、エアコン並びにこれらからの通信を中継するネットアダプタ及びこれらを制御するためのコントローラなどである。上記の設備機器20は、予め設定された特定の通信プロトコルを用いて動作制御や動作監視が行われている。また、設備機器20は、ユーザがプログラムを自由に更新できる機能を有していないため、一般機器22の場合と比べてセキュリティの高いネットワーク運用が必要となる。さらに、設備機器20は、設置するときに住宅に対して工事を必要とするものである。
続いて、情報家電機器21は、例えばテレビやDVDレコーダ、DVDプレーヤ、ハードディスクレコーダ、ブルーレイディスクレコーダ、ビデオ、Webカメラ、プリンタ(コピー機との複合機を含む)など、インターネット1との間での情報の授受及び蓄積を可能とするものであり、ネットワーク装置3に接続するための通信ポート210と、ネットワーク装置3から取得したデータをユーザに報知する報知部211とを備えている。この情報家電機器21は、画像データ(動画データ、静止画データ)を主データとし、上記画像データの送受信を可能とする機器でもある。また、情報家電機器21は、設備機器20とは異なり、設置するときに住宅に対して工事を必要としないものである。
最後に、一般機器22は、設備機器20及び情報家電機器21とは異なる機器であり、例えばパーソナルコンピュータなどである。パーソナルコンピュータでは、ユーザが新しいプログラムを導入することで通信プロトコルが変更される場合があるので、設備機器20や情報家電機器21の場合と比べて自由度の高いネットワーク運用が必要となる。
ネットワーク装置3は、設備機器20が接続される設備ポート30と、情報家電機器21が接続される情報家電専用ポート31と、一般機器22が接続される一般ポート32と、インターネットと接続するための通信ポート33と、データ伝送を行うセンター通信部34と、ポート間のデータを制御するデータ転送処理部35とを備えている。
設備ポート30、情報家電専用ポート31及び一般ポート32のそれぞれは、LANケーブル4の先端に設けられたRJ−45のモジュラプラグが挿抜自在に接続されるモジュラジャックを備え、LANケーブル4を介して設備機器20、情報家電機器21及び一般機器22と接続している。
通信ポート33は、例えば光ファイバケーブルや電話回線などの伝送媒体を介してインターネット1に接続されている。
センター通信部34は、インターネット1からのデータ及び各機器からインターネット1へのデータが経由して伝送される。
データ転送処理部35は、CPUを主構成要素とし、一般機器22に対しては可能な限り自由度の高いネットワーク運用を可能とするデータ処理を行うとともに、設備機器20や情報家電機器21に対してはセキュリティを高めるためのデータ処理を行っている。そのためにデータ転送処理部35では、例えばUPnP(Universal Plug and Play)コントロールポイント機能やベンダ情報によって設備機器20、情報家電機器21及び一般機器22から各機器の自己の機能内容を受信し、各ポート30〜32に接続されている機器の種類(設備機器、情報家電機器、一般機器)を判別し、判別した機器の種類を各ポート30〜32と対応させて後述の機器リスト保持部50に記憶させている。
また、ネットワーク装置3は、機器情報を保持する機器リスト保持部50と、各ポート30〜32のセキュリティレベルを保持するセキュリティレベル保持部51と、各ポート30〜32のセキュリティレベルを設定するためのセキュリティレベル設定部52及びコンテンツ表示部53と、データの通信プロトコルを検知する通信解析部54と、不正データを検出するセキュリティ機能部55と、認証パスワードを保持するパスワード保持部56と、個人情報を保護するための個人情報保護機能部57とをデータ転送処理部35に接続して備えている。
機器リスト保持部50はメモリを備え、このメモリに、設備機器20、情報家電機器21及び一般機器22が接続されている設備ポート30、情報家電専用ポート31及び一般ポート32のポート番号並びに上記設備機器20、情報家電機器21及び一般機器22のMAC(Media Access Control)アドレスや種類を機器情報として記憶している。これにより、ネットワーク装置3は、自己の配下に接続されている機器がどのようなものであるかを把握することができる。ここで、ネットワーク装置3の配下に接続されている機器とは、各ポート30〜32に直接接続されている設備機器20、情報家電機器21及び一般機器22、並びに、各ポート30〜32に接続されている機器20〜22との間で通信を行う機器をいう。
セキュリティレベル保持部51は、設備ポート30、情報家電専用ポート31及び一般ポート32ごとに、互いに異なるセキュリティレベルを保持している。
セキュリティレベル設定部52は、設備ポート30、情報家電専用ポート31及び一般ポート32ごとにセキュリティレベルを設定するためのものである。コンテンツ表示部53は、ユーザにセキュリティレベルの変更を実行させる画面を表示させるものである。このコンテンツ表示部53は、ユーザにセキュリティレベルの変更を実行させるための図2に示すような画面をテレビやパソコンなどの表示部に表示させる。ユーザは上記画面を見てアクセスすることでセキュリティレベルを設定する。
図1に示す通信解析部54は、情報家電専用ポート31に接続されている情報家電機器21に送信する送信データ及び上記情報家電機器21から受信する受信データ(上記送信データ及び受信データを、以下「情報家電機器データ」という)の通信プロトコルを検知する。通信解析部54が検知する通信プロトコルは、例えばHTTP(Hyper Text Transfer Protocol)やHTTPS(Hyper Text Transfer Protocol over SSL)などである。例えば、テレビは、インターネット1を利用して動作するアプリケーションが少なく、使用する通信プロトコルがHTTP及びHTTPSのみである場合、HTTP及びHTTPS以外の通信プロトコルの情報家電機器データを受信したり、逆に情報家電機器21からHTTP以外の通信プロトコルの情報家電機器データを受信したりすると異常通信として特定することができる。
セキュリティ機能部55は、情報家電機器データの通信が異常通信であるか否かの判定、設備機器20に送信する送信データ及び上記設備機器20から受信する受信データ(上記送信データ及び受信データを、以下「設備機器データ」という)の通信が異常通信であるか否かの判定、並びに一般機器22に送信する送信データ及び上記一般機器22から受信する受信データ(上記送信データ及び受信データを、以下「一般機器データ」という)の通信が異常通信であるか否かの判定を、セキュリティレベル設定部52で設定された互いに異なるセキュリティレベルで行い、設備機器20、情報家電機器21及び一般機器22に対する異常通信を禁止する。このとき、セキュリティ機能部55は、通信解析部54で検知された通信プロトコル情報を用いて、情報家電機器データの通信が異常通信であるか否かの判定を行っている。
以下、セキュリティ機能部55の動作について、より具体的に説明する。まず、一般ポート32に接続されている一般機器22に関する一般機器データに対しては、セキュリティ機能部55はすべてのデータ転送(通信)を許可している。情報家電専用ポート31に接続されている情報家電機器21に関する情報家電機器データに対しては、セキュリティ機能部55は、HTTP及びHTTPSの通信プロトコルのデータ転送のみを許可する。情報家電機器データが上記以外の通信プロトコルのものである場合、セキュリティ機能部55はデータ転送を許可しない。また、設備ポート30に接続されている設備機器20に関する設備機器データに対しては、セキュリティ機能部55は、上記設備機器20からのリクエストパケット及び上記リクエストパケットに対するリプライパケットのみを許可する。設備機器データが上記以外のものである場合、セキュリティ機能部55はデータ転送を許可しない。
パスワード保持部56は、認証パスワードを保持している。
個人情報保護機能部57は、情報家電機器21から送信された個人情報データを検知し、検知した個人情報データのインターネット1への送信を一時停止する。以下、具体例を示して説明する。例えば情報家電専用ポート31にテレビが接続されており、このテレビからインターネットショッピングを行う場合を考える。個人情報を含まないデータがテレビから送信された場合、個人情報保護機能部57は特に何も処理を実施しない。これに対して、個人情報を含むデータがテレビから送信された場合、個人情報保護機能部57は上記データの転送を一時停止し、図3に示すような画面をテレビに表示させて、ユーザに対して本当に転送してよいか否かを判断させる。そして、ユーザが送信を許可した場合、個人情報保護機能部57は一時停止中のデータを転送する。ユーザが送信を拒否した場合、一時停止中のデータを破棄する。
次に、実施形態1のネットワーク装置3において接続機器の種類を判別する手順について図1を用いて説明する。データ転送処理部35は、いずれかのポート30〜32でデータを受信すると、受信したデータに含まれる種類判別用データに基づいて、ポートに接続されている機器が設備機器20、情報家電機器21又は一般機器22であることを判別する。ここで、ポート番号並びに設備機器20、情報家電機器21及び一般機器22のMACアドレスと種類とを関連付けたデータテーブルが機器リスト保持部50に記憶されており、上記のように種類判別用データが送られてきたポート番号については、データテーブルの内容が書き換えられる。なお、種類判別用データは、例えば、種類判別用データが含まれることを示すヘッダと、機器の製造者を示す情報と、機器の機種(照明制御用のコントローラやインターホン機器など)を示す情報とが含まれる。
上記より、設備機器20、情報家電機器21又は一般機器22を設置してネットワーク装置3とLANケーブル4を介して接続した後、施工業者が設備機器20、情報家電機器21及び一般機器22から種類判別用データが送信されれば、ネットワーク装置3のデータ転送処理部35が種類判別用データに基づいて機器の種類を判別するため、機器の種類を容易に判別することができる。
次に、実施形態1のネットワーク装置3においてデータを処理する手順について説明する。ここでは、情報家電機器21としてテレビを想定する。まず、いずれかのポート30〜32に接続されている機器を送信先とするデータを受信すると、データ転送処理部35は上記データの送信先のMACアドレス及び種類を機器リスト保持部50の記憶内容と照合することで送信先の機器の種類を判別する。送信先が一般機器22であると、データ転送処理部35はデータ処理を行わず、上記データを一般機器22に送信する。つまり、一般機器22を送信先とするデータは送信先の機器自体がセキュリティ機能を有しているので、特にパケット処理を行わずに通過させても支障がない。また、送信先が設備機器20である場合、データ転送処理部35は予め決められたデータ処理を上記データに対して行い、データ処理後のデータを設備機器20に送信する。
上記に対して、送信先が情報家電機器21である場合、通信解析部54が上記情報家電機器データの通信プロトコルを検知する。検知された通信プロトコルがHTTPである場合、セキュリティ機能部55は上記情報家電機器データが不正データでないと判定し、データ転送処理部35が情報家電機器データを情報家電機器21に送信する。これに対して、検知された通信プロトコルがHTTP以外の場合、セキュリティ機能部55は上記情報家電機器データを不正データと判定し、情報家電機器21への送信を禁止する。また、一般機器22がパソコンであり、このパソコンがウイルスに感染して情報家電機器21を攻撃しようとする場合も、ネットワーク装置3が不正データを検出し、送信を禁止する。上記より、情報家電機器21が、悪意のある攻撃を受けることを防止することができる。
次に、実施形態1のネットワーク装置3において情報家電機器21を認証する手順について説明する。ここでは、宅内の設備機器20を情報家電機器21から制御する場合を想定する。まず、情報家電機器21から設備機器20を制御するためには、情報家電機器21が本当に宅内のものであるかどうかを判断しなければならない。そこで、情報家電機器21はネットワーク装置3にアクセスし、設備ポート30へアクセスできるように認証を受ける。このとき、認証にはネットワーク装置3のパスワード保持部56に登録されている認証パスワードを用いる。情報家電機器21はネットワーク装置3の認証を受けた後、設備機器20へのアクセスを行う。
以上、実施形態1によれば、ハードウェア又はソフトウェア上の制約から高いセキュリティ機能を有していない情報家電機器21に対応するデータの通信を判定することによって、異常通信(不正プログラムの送受信や不正アクセス)から情報家電機器21を保護することができる。特に、情報家電機器21を送信先及び送信元とする情報家電機器データの通信プロトコルを限定することによって、異常通信を容易に検出することができる。
また、ハードウェア又はソフトウェア上の制約から高いセキュリティ機能を有していない設備機器20、及び異常通信の対象とされやすい一般機器22のそれぞれに対して、適正な保護を行うことができる。つまり、ハードウェア又はソフトウェア上の制約から高いセキュリティ機能を有していない設備機器20に不正プログラムや不正アクセスが入り込んで防犯又は防災上の危険性が高くなることを防止することができる。さらに、不正プログラムや不正アクセスの対象とされやすい一般機器22に対しても不正プログラムや不正アクセスから保護することができる。
さらに、ポート30〜32ごとにセキュリティレベルを変更することができるので、宅内環境に適したセキュリティレベルにすることができる。
上記の効果に追加して、個人情報が情報家電機器21から不正に流出するのを防止することができる。また、情報家電機器21をネットワーク装置3で認証することができるので、情報家電機器21から他の機器に対する操作などが可能となる。
(実施形態2)
本発明の実施形態2に係る宅内ネットワークシステムの構成について図1を用いて説明する。この宅内ネットワークシステムは、図1に示すように、ネットワーク機器2と、ネットワーク装置3とを、実施形態1の宅内ネットワークシステムと同様に備えているが、実施形態1の宅内ネットワークシステムにはない以下に記載の特徴部分を有する。
実施形態2のネットワーク装置3において、データ転送処理部35は、実施形態1と同様に、例えばUPnPコントロールポイント機能やベンダ情報によって、各ポート30〜32に接続されている機器の種類を判別し、判別した機器の種類を各ポート30〜32と対応させて機器リスト保持部50に記憶させている。さらに、実施形態2のデータ転送処理部35は、機器リスト保持部50に記憶されている機器情報をセンターサーバ10に送信する機器リスト通信機能を有している。なお、実施形態2のネットワーク装置3は上記以外の点において実施形態1のネットワーク装置と同様である。
一方、実施形態2のセンターサーバ10は、ネットワーク装置3のデータ転送処理部35から機器情報を受信し、受信した機器情報を記憶する機能を有している。
次に、実施形態2のネットワーク装置3において情報家電機器21を認証する手順について説明する。宅内の設備機器20を情報家電機器21から制御する場合、実施形態1と同様に、情報家電機器21が本当に宅内のものであるかどうかを判断しなければならない。実施形態2では、センターサーバ10がネットワーク装置3からの機器情報を記憶した後、情報家電機器21が、ネットワーク装置3ではなく、センターサーバ10にアクセスし、設備ポート30へアクセスできるようにセンターサーバ10で認証を受ける。ネットワーク装置3の認証を受けた後、情報家電機器21は設備機器20へのアクセスを行う。これにより、ユーザが情報家電機器21(例えばテレビのリモコンなど)で認証パスワードを入力するといった面倒な作業をすることなく設備機器20にアクセスすることができる。
以上、実施形態2によれば、情報家電機器21から簡単な入力操作などによって情報家電機器21を認証することができ、情報家電機器21から他の機器に対する操作などが容易に可能となる。
(実施形態3)
本発明の実施形態3に係る宅内ネットワークシステムの構成について図4を用いて説明する。この宅内ネットワークシステムは、図4(a)に示すように、ネットワーク機器2aと、ネットワーク装置3aとを備えている。
実施形態3のネットワーク装置3aは複数のポート36,・・・を備えている。これらのポート36,・・・は、ネットワーク機器2aが接続されていないとき、同じポートである。そして、各ポート36にネットワーク機器2aが接続されたとき、ネットワーク装置3aのデータ転送処理部35(図1参照)は、UPnPコントロールユニット機能を用いて、接続されているネットワーク機器2aから機器情報を受信し、各ポート36に接続されているネットワーク機器2aの種類を判別し、判別したネットワーク機器2aの種類に応じて各ポート36を設備ポート30、情報家電専用ポート31及び一般ポート32のいずれかに設定する。具体的には、データ転送処理部35は、設備機器20が接続されているポート36を設備ポート30に、情報家電機器21が接続されているポート36を情報家電専用ポート31に、一般機器22が接続されているポート36を一般ポート32に自動で設定する。なお、ネットワーク装置3aは上記以外の点において実施形態1のネットワーク装置3(図1参照)と同様である。
ここで、例えば宅内に設備機器が2台、情報家電機器が1台、一般機器(パソコン)が1台存在する住宅の場合(図4(a))と、宅内に設備機器が1台、情報家電機器が2台、一般機器(パソコン)が1台存在する住宅の場合(図4(b))とを考えると、ネットワーク装置3aは各ポート36においてポートの種類が固定されていないので、どちらの住宅にも対応することができる。これに対して、ポートの種類が固定されている4つのポート(設備ポートが2つ、情報家電専用ポートが1つ、一般ポートが1つ)を備えるネットワーク装置を図4(a),(b)の住宅に導入した場合、図4(a)の住宅では問題なく使用することができるが、図4(b)の住宅では、情報家電専用ポートが1つ不足し、逆に設備ポートが1つ余ってしまう。
以上、実施形態3によれば、各ポート36においてポートの種類が最初から固定されず、接続されている機器に基づいて自動設定されるので、宅内環境に適したポートの割り当てを行うことができる。つまり、接続されている機器に応じてポートの種類を動的に変化させることができる。
(実施形態4)
本発明の実施形態4に係る宅内ネットワークシステムの構成について図5を用いて説明する。この宅内ネットワークシステムは、図5に示すように、ネットワーク機器2と、複数のネットワーク装置3,3,3とを実施形態1の宅内ネットワークシステム(図1参照)と同様に備えているが、実施形態1の宅内ネットワークシステムにはない以下に記載の特徴部分を有する。
実施形態4の宅内ネットワークシステムは、各ネットワーク装置3とインターネット1との間に設けられた中継器6を備えている。この中継器6は、複数のネットワーク装置3,3,3と接続するための複数のポート60,60,60と、インターネット1と接続するためのポート61とを備え、ネットワーク装置3とインターネット1との通信を中継するものである。中継器6の各ポート60のセキュリティレベルは、すべて同じレベルであってもいいし、それぞれ異なるレベルであってもよい。上記中継器6は、各ポート60のセキュリティレベルをユーザによって設定可能とする機能を有している。
このような中継器6を備えている場合であっても、設備機器20を設備ポート30に、情報家電機器21を情報家電専用ポート31に、一般機器(パソコン)22を一般ポート32に接続すればよい。
ここで、実施形態4の宅内ネットワークシステムを住宅に用いた一例について示す。ここでは、3台のネットワーク装置3,3,3のうち1台を子供部屋に設置し、他の1台を寝室に設置し、残りの1台をリビングに設置した場合について説明する。このような場合、子供部屋に設置されたネットワーク装置3のセキュリティレベルを他の2台より高くし、リビングに設置されたネットワーク装置3のセキュリティレベルを他の2台より低くしたいとき、中継器6の各ポート60のセキュリティレベルを異なるレベルに設定すればよい。
以上、実施形態4によれば、ネットワーク装置3とインターネット1との間に中継器6を備えることによって、システム構成が複雑になった場合であっても、柔軟に構築することができる。これに対して、ネットワーク装置の配下に例えばハブを設置した構成では、上記ハブに設備機器、情報家電機器及び一般機器(パソコン)が接続されていると、ハブをネットワーク装置に接続するときにどの種類のポートに接続すればよいのかを判断することができない。
なお、実施形態4の変形例として、宅内ネットワークシステムは中継器6としてネットワーク装置3を備えてもよい。つまり、インターネット1とネットワーク機器2との間に複数台のネットワーク装置3を直列に接続する構成である。このような構成であっても、実施形態4と同様に、システム構成が複雑になった場合であっても、柔軟に構築することができる。
また、実施形態4の他の変形例として、中継器6のポート60を1つ、2つ又は4つ以上としてもよい。ポート60の数に応じてネットワーク装置3の数も適宜設定すればよい。
(実施形態5)
まず、本発明の実施形態5に係る宅内ネットワークシステムの構成について図6又は7を用いて説明する。この宅内ネットワークシステムは、図6に示すように、住宅70内に設けられたシステムであり、ネットワーク装置3bと、情報家電機器21と、ネットワーク装置3bの設備ポート30に接続されている電気錠23と、一般ポート32に接続されている無線アクセスポイント24とを備えている。
電気錠23は防犯上重要な設備機器であり、電気錠23の開錠を行うためには、本当に宅内の機器から開錠作業が行われているかが保障できなければならない。
ネットワーク装置3bにおいて、機器リスト保持部50(図1参照)は、図7に示すように、電気錠23の開錠操作を許可する情報家電機器21が接続されている情報家電専用ポート31のポート番号と上記情報家電機器21のMACアドレスとを予め保持している。
また、データ転送処理部35(図1参照)は、開錠要求データを受信したときに、この開錠要求データを送信した機器が接続されているポートのポート番号及び上記機器のMACアドレスが、機器リスト保持部50で保持されている情報家電専用ポート31のポート番号及び情報家電機器21のMACアドレスと一致するか照合し、照合が一致した場合、電気錠23の開錠操作を許可する情報家電機器21と判断し、電気錠23の開錠を許可する。これに対して、上記照合が一致しない場合、つまり機器リスト保持部50に記憶されていない機器からの開錠要求データであった場合、電気錠23の開錠を禁止する。なお、実施形態5のネットワーク装置は上記以外の点において実施形態1のネットワーク装置3(図1参照)と同様である。
次に、実施形態5に係るネットワーク装置3bの動作について図6を用いて説明する。ここでは、ネットワーク装置3bの設備ポート30に電気錠23、情報家電専用ポート31に情報家電機器21、一般ポート32に無線アクセスポイント24が接続されている場合を想定する。このような場合において、住宅70の宅外となる住宅71の情報家電機器21aが、無線アクセスポイント24,24aを介して電気錠23の開錠操作を試みたときに、MACアドレスを偽装することはできたとしても、無線アクセスポイント24が接続されているポートを偽装することはできない。これにより、住宅71の情報家電機器21aからは電気錠23の開錠操作を行うことができない。
なお、開錠操作が許可されている情報家電機器21と同じ情報家電専用ポート31に無線アクセスポイント24が接続され、宅外から開錠要求データを受信した場合や、情報家電専用ポート31に2台以上の機器が検出された場合では、どちらの場合も開錠操作を許可せずにセキュリティを保つ。
以上、実施形態5によれば、電気錠23の開錠操作が許可されている情報家電機器21が接続されている情報家電専用ポート31のポート番号と上記情報家電機器21のMACアドレスとを用いることで、開錠操作が許可されていない機器による電気錠23の不正な開錠操作を防止することができる。
なお、実施形態1〜5の変形例として、ネットワーク装置3,3a,3bは設備ポート30、情報家電専用ポート31及び一般ポート32のそれぞれを複数個備えてもよい。
本発明の実施形態1又は2に係る宅内ネットワークシステムの構成を示すブロック図である。 本発明の実施形態1に係る宅内ネットワークシステムにおけるセキュリティレベルの設定画面図である。 同上に係る宅内ネットワークシステムにおける個人情報の送信許可を行う画面図である。 本発明の実施形態3に係る宅内ネットワークシステムであって、(a)が設備機器を2台接続する場合の構成を示すブロック図、(b)が情報家電機器を2台接続する場合の構成を示すブロック図である。 本発明の実施形態4に係る宅内ネットワークシステムの構成を示すブロック図である。 本発明の実施形態5に係る宅内ネットワークシステムの構成を示すブロック図である。 同上に係る宅内ネットワークシステムにおいて情報家電機器のMACアドレスと接続ポートとの対応図である。 従来の宅内ネットワークシステムの構成を示すブロック図である。
符号の説明
1 インターネット
20 設備機器
21,21a 情報家電機器
22 一般機器
3,3a,3b ネットワーク装置
30 設備ポート
31 情報家電専用ポート
32 一般ポート
55 セキュリティ機能部

Claims (11)

  1. 宅外のネットワークと、宅内に設置され前記ネットワークとの間での情報の授受及び蓄積を可能とする情報家電機器との通信を中継するネットワーク装置であって、
    前記情報家電機器が接続される情報家電専用ポートと、
    前記情報家電専用ポートに接続されている情報家電機器に送信するデータ及び当該情報家電機器から受信するデータの少なくとも一方である情報家電機器データの通信が異常通信であるか否かの判定を行い、前記情報家電機器データの通信を異常通信と判定した場合、当該異常通信を禁止するセキュリティ機能部と
    を備えることを特徴とするネットワーク装置。
  2. 住宅に設置され前記ネットワークと通信可能な設備機器が接続される設備ポートと、前記情報家電機器及び前記設備機器とは異なる他の機器が接続される一般ポートとを備え、
    前記セキュリティ機能部が、前記情報家電機器データの通信が異常通信であるか否かの判定、前記設備機器に送信するデータ及び当該設備機器から受信するデータの少なくとも一方である設備機器データの通信が異常通信であるか否かの判定及び前記他の機器に送信するデータ及び当該他の機器から受信するデータの少なくとも一方である他の機器データの通信が異常通信であるか否かの判定を、互いに異なるセキュリティレベルで行う
    ことを特徴とする請求項1記載のネットワーク装置。
  3. 前記情報家電専用ポート、前記設備ポート及び前記一般ポートのうち少なくとも1つの前記セキュリティレベルを設定するためのセキュリティレベル設定手段を備え、
    前記セキュリティ機能部が、前記セキュリティレベル設定手段で設定されたセキュリティレベルで前記判定を行う
    ことを特徴とする請求項2記載のネットワーク装置。
  4. 複数のポートを備え、
    前記複数のポートに対して、前記情報家電機器が接続されているポートを前記情報家電専用ポートに、前記設備機器が接続されているポートを前記設備ポートに、前記情報家電機器及び前記設備機器とは異なる他の機器が接続されているポートを前記一般ポートに設定するポート設定手段を備える
    ことを特徴とする請求項2又は3記載のネットワーク装置。
  5. 前記情報家電機器データの通信プロトコルを検知する通信解析手段を備え、
    前記セキュリティ機能部が、前記通信プロトコル情報を用いて、前記情報家電機器データの通信が異常通信であるか否かの判定を行う
    ことを特徴とする請求項1乃至4のいずれか1項に記載のネットワーク装置。
  6. 前記情報家電機器から送信された個人情報データを検知し、検知した前記個人情報データの前記ネットワークへの送信を一時停止する個人情報保護機能部を備えることを特徴とする請求項1乃至5のいずれか1項に記載のネットワーク装置。
  7. 請求項1乃至6のいずれか1項に記載のネットワーク装置を備えるとともに、
    前記ネットワーク装置に接続するための通信ポートと、前記ネットワーク装置から取得したデータをユーザに報知する報知部とを有し、宅内に設置されネットワークとの間での情報の授受及び蓄積を可能とする情報家電機器を備える
    ことを特徴とする宅内ネットワークシステム。
  8. 前記ネットワーク装置と前記ネットワークとの通信を中継する中継器を備えることを特徴とする請求項7記載の宅内ネットワークシステム。
  9. 前記情報家電機器が、認証パスワードを入力するためのパスワード入力手段を有し、
    前記ネットワーク装置が、前記認証パスワードを前記情報家電機器に対応させて記憶するパスワード記憶手段と、前記情報家電機器から前記認証パスワードを受け取って当該情報家電機器を認証する認証手段とを有する
    ことを特徴とする請求項7又は8記載の宅内ネットワークシステム。
  10. 前記ネットワーク装置からの情報を記憶可能とするセンターサーバと接続し、
    前記ネットワーク装置が、少なくとも前記情報家電機器の機器情報を検出し、検出した前記機器情報を前記センターサーバに送信する機器リスト通信手段を有し、
    前記情報家電機器が、前記センターサーバにアクセスすることによって認証される
    ことを特徴とする請求項7又は8記載の宅内ネットワークシステム。
  11. 前記ネットワーク装置に接続されている電気錠を備え、
    前記ネットワーク装置が、前記電気錠の開錠操作を許可する情報家電機器が接続されている情報家電専用ポートのポート番号と当該情報家電機器のMACアドレスとを予め保持する保持手段と、前記電気錠の開錠要求を受信したときに当該開錠要求の送信元が前記保持手段で予め保持しているポート番号及びMACアドレスに該当する情報家電機器であるときにのみ前記電気錠の開錠を許可する開錠許可手段とを有する
    ことを特徴とする請求項7乃至10のいずれか1項に記載の宅内ネットワークシステム。
JP2006269505A 2006-09-29 2006-09-29 ネットワーク装置及び宅内ネットワークシステム Pending JP2008092185A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006269505A JP2008092185A (ja) 2006-09-29 2006-09-29 ネットワーク装置及び宅内ネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006269505A JP2008092185A (ja) 2006-09-29 2006-09-29 ネットワーク装置及び宅内ネットワークシステム

Publications (1)

Publication Number Publication Date
JP2008092185A true JP2008092185A (ja) 2008-04-17

Family

ID=39375865

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006269505A Pending JP2008092185A (ja) 2006-09-29 2006-09-29 ネットワーク装置及び宅内ネットワークシステム

Country Status (1)

Country Link
JP (1) JP2008092185A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009260848A (ja) * 2008-04-18 2009-11-05 Panasonic Electric Works Co Ltd ネットワーク装置
JP2013131907A (ja) * 2011-12-21 2013-07-04 Toyota Motor Corp 車両ネットワーク監視装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006135951A (ja) * 2004-10-05 2006-05-25 Matsushita Electric Works Ltd スイッチングハブ装置、ルータ装置
JP2006135950A (ja) * 2004-10-05 2006-05-25 Matsushita Electric Works Ltd スイッチングハブ装置、ルータ装置
JP2006135949A (ja) * 2004-10-05 2006-05-25 Matsushita Electric Works Ltd スイッチングハブ装置、ルータ装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006135951A (ja) * 2004-10-05 2006-05-25 Matsushita Electric Works Ltd スイッチングハブ装置、ルータ装置
JP2006135950A (ja) * 2004-10-05 2006-05-25 Matsushita Electric Works Ltd スイッチングハブ装置、ルータ装置
JP2006135949A (ja) * 2004-10-05 2006-05-25 Matsushita Electric Works Ltd スイッチングハブ装置、ルータ装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009260848A (ja) * 2008-04-18 2009-11-05 Panasonic Electric Works Co Ltd ネットワーク装置
JP2013131907A (ja) * 2011-12-21 2013-07-04 Toyota Motor Corp 車両ネットワーク監視装置

Similar Documents

Publication Publication Date Title
JP5029701B2 (ja) 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置
KR101032057B1 (ko) 정보 처리 장치, 서버 클라이언트 시스템, 및 방법, 및컴퓨터·프로그램
CN100444569C (zh) 访问控制系统及其访问控制设备和资源提供设备
US20030115327A1 (en) Method and apparatus for setting up a firewall
JP2019140541A (ja) 通信制御方法、通信制御装置及び通信制御プログラム
JP2005165561A (ja) ネットワーク接続制御プログラム、ネットワーク接続制御方法およびネットワーク接続制御装置
US20060250966A1 (en) Method for local area network security
KR100651717B1 (ko) 스마트 카드를 이용한 원격 단말기와 홈 네트워크 간의인증방법 및 홈 네트워크 시스템
JP4656962B2 (ja) アプリケーションサービス提供システム、サービス管理装置、ホームゲートウェイおよびアクセス制御方法
KR101772144B1 (ko) 홈 네트워크 시스템에서의 보안 관리 장치 및 보안 관리 방법
JP2010063000A (ja) 無線lanネットワーク装置
JP2008092185A (ja) ネットワーク装置及び宅内ネットワークシステム
JP2019047239A (ja) パケットフィルタリング装置
JP4020134B2 (ja) スイッチングハブ装置、ルータ装置
KR100882901B1 (ko) 홈네트워크 시스템의 보안정책 설정 방법
JP4020135B2 (ja) スイッチングハブ装置、ルータ装置
JP4020136B2 (ja) スイッチングハブ装置、ルータ装置
JP4029898B2 (ja) ネットワーク装置
JP3976060B2 (ja) ネットワーク装置
JP3976058B2 (ja) ネットワーク装置
JP7080412B1 (ja) リモートシステム、リモート接続方法およびプログラム
JP3976059B2 (ja) ネットワーク装置
Karnapke et al. Despite Multiple Stakeholders
KR101425138B1 (ko) 개별 장치용 개별 통신 보안 장비
JP2022147898A (ja) 不正アクセス監視システム、および不正アクセス監視方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090624

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20100824

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110301

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110405

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110606

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110712