JP2015002376A - 管理システム - Google Patents

管理システム Download PDF

Info

Publication number
JP2015002376A
JP2015002376A JP2013124805A JP2013124805A JP2015002376A JP 2015002376 A JP2015002376 A JP 2015002376A JP 2013124805 A JP2013124805 A JP 2013124805A JP 2013124805 A JP2013124805 A JP 2013124805A JP 2015002376 A JP2015002376 A JP 2015002376A
Authority
JP
Japan
Prior art keywords
unit
client
maintenance
tunneling
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013124805A
Other languages
English (en)
Inventor
河崎 利信
Toshinobu Kawasaki
利信 河崎
武史 上野
Takeshi Ueno
武史 上野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Original Assignee
Panasonic Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp filed Critical Panasonic Corp
Priority to JP2013124805A priority Critical patent/JP2015002376A/ja
Publication of JP2015002376A publication Critical patent/JP2015002376A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】本来の性能を大幅に低下させることなく、メンテナンスに掛かるコストを抑えることができる管理システムを提供する。【解決手段】クライアント2は、第2のトンネリング部22と、第1の切替部23とを有している。第2のトンネリング部22は、セキュアトンネル4を構築し第1のトンネリング部12との間でセキュアトンネル4を通して双方向に通信する。第1の切替部23は、通常時には第2のトンネリング部22を無効にし、サーバ1からの開始要求を受信すると第2のトンネリング部22を有効にする。第2の通信部21は、第1の通信部11にポーリング信号を送信し、当該ポーリング信号への応答として第1の通信部11からデータを取得する。メンテナンス部13は、メンテナンスを開始する際、ポーリング信号への応答として、第1の通信部11から第2の通信部21へ開始要求を送信する。【選択図】図1

Description

本発明は、ネットワークを介して互いに接続されたサーバとクライアントとを備える管理システムに関する。
従来から、通信事業者等に設置されたサーバ(第1の保守サーバ)と、ユーザ宅等に設置されたクライアント(通信装置)とがネットワークを介して接続された管理システム(情報通信システム)が提案されている(たとえば特許文献1参照)。
この種のシステムにおいて、サーバがクライアントに対してネットワーク経由でメンテナンスを実施する場合、クライアント側にルータなどが設置されていると、サーバからクライアントへの接続は困難である。特許文献1に記載のシステムでは、サーバ−クライアント間にVPN(Virtual Private Network)装置(VPN通信部)によってトンネル(VPN回線)を確立し、サーバ−クライアントはトンネルを介して暗号化通信を行う。これにより、サーバはクライアントへのアクセス権限を持つことができ、ネットワークを介してクライアントに接続してメンテナンスを行うことができる。
特開2010−220079号公報
ところで、サーバとクライアントとの両方に外付けのVPN装置を設けると、VPN装置の導入コストやランニングコストが比較的高くなる。とくに、サーバにおいては、複数のクライアントと同時に接続するためには、ポート数(通信セッション数)の多い比較的高価なVPN装置が必要となって導入コストも高くなる。しかし、サーバからクライアントに対するメンテナンスの頻度が低い場合には、メンテナンスのためのコストが高くなることは望ましくなく、メンテナンスに掛かるコストを低く抑えることが要望される。
また、特許文献1では、サーバやクライアントにVPN装置が内蔵されているが、この場合には、VPN装置の機能にCPU(Central Processing Unit)能力が割かれて、サーバやクライアントとしての本来の性能(スループット)が大幅に低下する可能性がある。
本発明は上記事由に鑑みて為されており、本来の性能を大幅に低下させることなく、メンテナンスに掛かるコストを抑えることができる管理システムを提供することを目的とする。
本発明の管理システムは、ネットワークを介して互いに接続されたサーバとクライアントとを備え、前記サーバは、前記クライアントとの間で前記ネットワークを介して通信を行う第1の通信部と、前記クライアントとの間にセキュアトンネルを構築する第1のトンネリング部と、前記クライアントのメンテナンスを実施するメンテナンス部とを有し、前記クライアントは、前記第1の通信部との間で前記ネットワークを通して通信を行う第2の通信部と、前記セキュアトンネルを構築し前記第1のトンネリング部との間で前記セキュアトンネルを通して双方向に通信する第2のトンネリング部と、通常時には前記第2のトンネリング部を無効にし、前記サーバからの開始要求を受信すると前記第2のトンネリング部を有効にする第1の切替部とを有し、前記第2の通信部は、前記第1の通信部にポーリング信号を送信し、当該ポーリング信号への応答として前記第1の通信部からデータを取得するポーリング方式により、前記第1の通信部と通信し、前記メンテナンス部は、前記メンテナンスを開始する際、前記ポーリング信号への応答として、前記第1の通信部から前記第2の通信部へ前記開始要求を送信するように構成されていることを特徴とする。
この管理システムにおいて、前記サーバは、通常時には前記第1のトンネリング部を無効にし、前記メンテナンス部からの起動要求を受けると前記第1のトンネリング部を有効にする第2の切替部とを有し、前記メンテナンス部は、前記メンテナンスを開始する際、前記第2の切替部へ前記起動要求を出力するように構成されていることが望ましい。
この管理システムにおいて、前記クライアントは、前記第2の通信部および前記第1の切替部を内蔵した本体装置に、前記第2のトンネリング部を内蔵していることがより望ましい。
または、この管理システムにおいて、前記クライアントは、前記第2の通信部および前記第1の切替部を内蔵した本体装置とは別に、前記第2のトンネリング部を内蔵した外付装置を備えており、前記第1の切替部は、前記第2の通信部で前記開始要求を受信すると、前記外付装置に対して切替信号を出力することにより前記第2のトンネリング部を有効にするように構成されていることが望ましい。
この管理システムにおいて、前記サーバと前記クライアントとの少なくとも一方は、時計部を有しており、前記メンテナンス部は、前記時計部の示す時刻が所定の設定時刻になると、前記ポーリング信号の応答として前記開始要求を自動的に送信するように構成されていることがより望ましい。
この管理システムにおいて、前記サーバと前記クライアントとの少なくとも一方は、前記セキュアトンネルを自動的に切断する切断部を有しており、前記切断部は、構築後に前記セキュアトンネルを通した通信が行われていない状態が一定時間継続した場合と、前記セキュアトンネルの構築から予め設定された制限時間が経過した場合との少なくとも一方の場合において、前記セキュアトンネルを自動的に切断するように構成されていることがより望ましい。
本発明は、第2のトンネリング部が、第1のトンネリング部との間でセキュアトンネルを通して双方向に通信し、第1の切替部が、通常時には第2のトンネリング部を無効にし、サーバからの開始要求を受信すると第2のトンネリング部を有効にする。サーバのメンテナンス部は、メンテナンスを開始する際、ポーリング信号への応答として、第1の通信部から第2の通信部へ開始要求を送信する。したがって、本来の性能を大幅に低下させることなく、メンテナンスに掛かるコストを抑えることができる、という利点がある。
実施形態1に係る管理システムの構成を示す概略ブロック図である。 実施形態1に係る管理システムの動作の説明図である。 実施形態2に係る管理システムの構成を示す概略ブロック図である。
(実施形態1)
本実施形態の管理システム10は、図1に示すように、ネットワーク3を介して互いに接続されたサーバ1とクライアント2とを備えている。
サーバ1は、クライアント2との間でネットワーク3を介して通信を行う第1の通信部11と、クライアント2との間にセキュアトンネル4を構築する第1のトンネリング部12と、クライアント2のメンテナンスを実施するメンテナンス部13とを有している。
クライアント2は、第1の通信部11との間でネットワーク3を通して通信を行う第2の通信部21と、第2のトンネリング部22と、第1の切替部23とを有している。第2のトンネリング部22は、セキュアトンネル4を構築し第1のトンネリング部12との間でセキュアトンネル4を通して双方向に通信する。第1の切替部23は、通常時には第2のトンネリング部22を無効にし、サーバ1からの開始要求を受信すると第2のトンネリング部22を有効にする。
第2の通信部21は、第1の通信部11にポーリング信号を送信し、当該ポーリング信号への応答として第1の通信部11からデータを取得するポーリング方式により、第1の通信部11と通信する。
メンテナンス部13は、前記メンテナンスを開始する際、前記ポーリング信号への応答として、第1の通信部11から第2の通信部21へ前記開始要求を送信するように構成されている。
本実施形態では、クライアント2が、集合住宅に導入されるHA(Home Automation)システムやビルに導入されるBA(Building Automation)システムのような設備システムのゲートウェイ装置である場合を例として説明する。この場合、サーバ1は設備システムを管理する管理事業者によって運営され、複数の集合住宅やビルに設けられている複数の設備システムを集中的に管理する。なお、サーバ1は、サーバコンピュータであってもよいし、クラウドコンピューティングにおける仮想サーバであってもよい。
ゲートウェイ装置は、集合住宅であれば棟ごとに設けられ、各住戸や共用スペースなどに設置されている各種の設備機器に接続された制御装置(図示せず)に対しLAN(Local Area Network)などのネットワークを介して接続される。制御装置は、ゲートウェイ装置を介して、たとえばサーバ1からの要求に応答して各設備機器に関する情報(動作状態等を含む)をサーバ1に送信したり、各設備機器を制御したりする。したがって、この管理システム10によれば、管理事業者において、遠隔地にある複数の集合住宅やビルの設備機器を集中的に管理(監視、制御)可能である。
以下、本実施形態に係る管理システム10の構成について図1を参照して詳しく説明する。
サーバ1は、上述した第1の通信部11と第1のトンネリング部12とメンテナンス部13とに加えて、第2の切替部14と入力部15と時計部16とを備えている。入力部15は、ユーザからの操作入力を受け付ける入力インタフェースである。時計部16は、現在時刻を計時する機能を持つ。
第1の通信部11は、TCP/IPプロトコルに準拠したインターネットのようなネットワーク3に接続されており、ネットワーク3を介してクライアント2の第2の通信部21との間で通信を行う。ただし、第2の通信部21はネットワーク3に対して、NAT(Network Address Translator)機能を持つルータ5を介して接続されているので、第1の通信部11は、ポーリング方式によって第2の通信部21との間で通信を行う。
すなわち、一般的にNATルータはフィルタリング機能を備えており、サーバ1からはルータ5のフィルタリング機能のため、ルータ5のみを認識でき、ルータ5を超えてクライアントを認識することができない。そのため、クライアント2からはサーバ1へ自由にデータを送信できるが、サーバ1からクライアント2へは自由にデータを送信することができない。そこで、第1の通信部11は、第2の通信部21から定期的に送信されるポーリング信号を受信し、このポーリング信号に対する応答としてデータを送信するポーリング通信を採用する。
本実施形態では、第1の通信部11−第2の通信部21間でのポーリング信号やデータの転送にはHTTPS(Hypertext Transfer Protocol Secure)、つまりSSL(Secure Socket Layer)で暗号化された状態のHTTPが用いられている。
第1のトンネリング部12は、ネットワーク3に接続されており、クライアント2の第2のトンネリング部22との間にセキュアトンネル4を構築する。セキュアトンネル4は、ネットワーク3上に構築される仮想トンネルであって、VPN(Virtual Private Network)装置である第1のトンネリング部12および第2のトンネリング部22によって構築される。
つまり、第1のトンネリング部12および第2のトンネリング部22は、周知のトンネリング技術によってサーバ1−クライアント2間にセキュアトンネル4を構築し、これによりサーバ1−クライアント2間ではセキュアトンネル4を通した通信が可能になる。具体的には、第1のトンネリング部12および第2のトンネリング部22は、元のパケットに新たなヘッダを付加するカプセル化を行い相手側にデータを送信することで、両者間に仮想トンネルを構築する。さらに、第1のトンネリング部12および第2のトンネリング部22は、両者間でやり取りされるデータをIPsec(Security Architecture for Internet Protocol)のような暗号技術で暗号化している。
サーバ1は、このように構築されるセキュアトンネル4を通して通信を行うことによって、クライアント2との間に専用線を敷設することなく、クライアント2との間で双方向に機密性の高いデータのやり取りが可能になる。
本実施形態では、第1のトンネリング部12は常に有効とされるのではなく、通常時には無効にされ必要なときだけ有効となるように、第2の切替部14によって有効と無効との切り替えが行われる。第2の切替部14の機能については後述する。
メンテナンス部13は、遠隔地からクライアント2のメンテナンスを実施する手段である。ここでいうクライアント2のメンテナンスは、クライアント2そのもののメンテナンスだけでなく、クライアント2の配下の装置(制御装置、設備機器)についてのメンテナンスも含んでおり、たとえばログの取得やソフトウェアのアップデートなどがある。
本実施形態では、メンテナンス部13は、入力部15に対してユーザが所定の操作を行った場合に入力部15が発生するメンテナンス要求を受けて、クライアント2のメンテナンスを開始するように構成されている。さらに、メンテナンス部13は、たとえば毎日23時00分というようにクライアント2ごとに予め決められた設定時刻になると時計部16が発生するメンテナンス要求を受けて、クライアント2のメンテナンスを開始するように構成されている。
つまり、メンテナンス部13は、ユーザの操作入力をトリガにして手動でメンテナンスを開始するだけでなく、時計部16の示す現在時刻が所定の設定時刻になったことをトリガにして自動的にメンテナンスを開始する。メンテナンス部13は、通常時には通常モードにあり、上記のトリガを受けてメンテナンスモードに移行することでメンテナンスを開始する。メンテナンス部13は、メンテナンスが完了すると、メンテナンスモードから通常モードに移行する。
一方、クライアント2は、上述した第2の通信部21と第2のトンネリング部22と第1の切替部23とに加えて、切断部24を備えている。なお、クライアント2は、制御装置を接続するための接続部(図示せず)を備えている。
第2の通信部21は、上述のようにルータ5を介してネットワーク3に接続されているが、上記のポーリング信号を送信し、その応答として第1の通信部11から送信されるデータを取得するポーリング通信により、第1の通信部11と通信可能に構成されている。本実施形態では、第2の通信部21はポーリング信号を定期的に(たとえば1分周期で)送信する。
第2のトンネリング部22は、ネットワーク3に接続されており、サーバ1の第1のトンネリング部12との間にセキュアトンネル4を構築するVPN装置である。つまり、第2のトンネリング部22は、第1のトンネリング部12との間でセキュアトンネル4を通して双方向に通信する機能を持つ。
本実施形態においては、クライアント2は、第2の通信部21および第1の切替部23を内蔵した本体装置200に、第2のトンネリング部22および切断部24を内蔵している。つまり、第2のトンネリング部22は、外付けのVPN装置ではなく、第2の通信部21および第1の切替部23と一体になるように、VPN装置としての機能がクライアント2の本体装置200に組み込まれて構成されている。
ここで、第2のトンネリング部22は常に有効とされるのではなく、通常時には無効にされ必要なときだけ有効となるように、第1の切替部23によって有効と無効との切り替えが行われる。第1の切替部23の機能については後述する。
切断部24は、構築後にセキュアトンネル4を通した通信が行われていない状態が一定時間継続した場合と、セキュアトンネル4の構築から予め設定された制限時間が経過した場合との少なくとも一方の場合において、セキュアトンネル4を自動的に切断する。本実施形態では、切断部24はこれらいずれの場合においても、セキュアトンネル4を自動的に切断するように構成されている。
具体的には、切断部24は、セキュアトンネル4の構築後にセキュアトンネル4を通して行われる通信状況を監視し、何のデータもやり取りされないまま一定時間経過すると、第2のトンネリング部22を無効化しセキュアトンネル4を切断する。また、切断部24は、セキュアトンネル4が構築された時点からタイマ(図示せず)を起動し、制限時間が経過すると、その間のセキュアトンネル4を通した通信状況によらずに、第2のトンネリング部22を無効化してセキュアトンネル4を切断する。
ところで、本実施形態の管理システム10は、サーバ1−クライアント2間のデータのやり取りには、通常、第1の通信部11−第2の通信部21間のポーリング通信を使用し、クライアント2のメンテナンス時にのみセキュアトンネル4を使用する。つまり、サーバ1は、クライアント2のメンテナンス時には、クライアント2との間でやり取りされるデータ量が多くなるので、通常のポーリング通信のように低スループットの通信ではなく、セキュアトンネル4を用いた通信とすることが要望される。
そこで、サーバ1のメンテナンス部13は、上述したように、メンテナンスを開始する際、ポーリング信号への応答として、第1の通信部11から第2の通信部21へ開始要求を送信するように構成されている。すなわち、メンテナンス部13は、メンテナンスモードに移行すると、第1の通信部11−第2の通信部21間のポーリング方式の通信を利用して、メンテナンスの開始を要求するための開始要求を送信する。開始要求は、セキュアトンネル4を構築するために必要なIPアドレス、暗号鍵、IDなどの情報を含んでいる。
本実施形態では、メンテナンス部13は、上述したようにユーザの操作により手動でメンテナンスを開始するだけでなく、時計部16の示す時刻が所定の設定時刻になると自動的にメンテナンスを開始する。そのため、メンテナンス部13は、時計部16の示す時刻が所定の設定時刻になると、ポーリング信号の応答として第1の通信部11から第2の通信部21へ開始要求を自動的に送信することになる。
ここで、図1においては、サーバ1に対して接続されたクライアント2が1台だけ図示されているが、実際には、複数台のクライアント2がサーバ1に接続されている。ただし、一般的に、サーバ1は複数の設備システムのクライアント2に対して同時にメンテナンスを実施することはなく、各クライアント2を1台ずつメンテナンスの対象とする。そのため、サーバ1は、複数台のクライアント2のうち、メンテナンスの対象となるクライアント2に向けてのみ開始要求を送信する。言い換えれば、第1の通信部11は、メンテナンスの対象であるクライアント2の第2の通信部21からのポーリング信号への応答として、開始要求を送信する。
一方、第1の切替部23は、通常時には第2のトンネリング部22を無効にし、サーバ1からの開始要求を受信すると第2のトンネリング部22を有効にするように構成されている。要するに、第1の切替部23は、サーバ1によるメンテナンスが実施される場合に第2のトンネリング部22が有効となるように、第2の通信部21が開始要求を受信したことをトリガとして、第2のトンネリング部22を有効化する。
したがって、第2のトンネリング部22は、通常時には無効であり、サーバ1のメンテナンス部13がクライアント2のメンテナンスを開始するときに初めて有効になり、第1のトンネリング部12との間にセキュアトンネル4を構築する。このとき、第2のトンネリング部22は、開始要求に含まれているIPアドレス、暗号鍵、IDなどの情報を用いて、セキュアトンネル4を構築(開設)する。
また、本実施形態では、サーバ1に設けられている第2の切替部14は、通常時には第1のトンネリング部12を無効にし、メンテナンス部13からの起動要求を受けると第1のトンネリング部12を有効にするように構成されている。メンテナンス部13は、メンテナンスを開始する際、メンテナンスモードに移行すると第2の切替部14へ起動要求を出力するように構成されている。
したがって、第1のトンネリング部12は、第2のトンネリング部22と同様に、通常時には無効であり、メンテナンス部13がメンテナンスを開始するときに初めて有効になり、第2のトンネリング部22との間にセキュアトンネル4を構築する。
切断部24は、上述のように、構築後にセキュアトンネル4を通した通信が行われていない状態が一定時間継続するか、またはセキュアトンネル4の構築から予め設定された制限時間が経過すると、第2のトンネリング部22を無効化する。また、第1のトンネリング部12は、第2のトンネリング部22が無効になると、自動的に無効化する。そのため、サーバ1によるクライアント2のメンテナンスが終了すると、このサーバ1−クライアント2間のセキュアトンネル4は切断部24によって自動的に切断される。
次に、本実施形態に係る管理システム10の動作について図2を参照して説明する。
サーバ1は、通常時には、クライアント2からのポーリング信号を受け(図2のS1,S3)、このポーリング信号に対する応答としてデータを送信する(S2,S4)。つまり、サーバ1は、ルータ5を介してクライアント2との間でポーリング通信を行っている。
一方、サーバ1は、ユーザの操作入力あるいは時計部16の示す時刻が所定の設定時刻になったことをトリガにして、メンテナンス部13がメンテナンスモードに移行しメンテナンスを開始する(S5)。この状態でクライアント2からのポーリング信号を受けると(S6)、サーバ1は、このポーリング信号に対する応答としてルータ5を介してクライアント2へ開始要求を送信する(S7)。
さらに、サーバ1は、メンテナンス部13がメンテナンスモードに移行すると、第1のトンネリング部12を有効化する(S8)。クライアント2は、サーバ1から開始要求を受信すると、第2のトンネリング部22を有効化する(S9)。これにより、サーバ1の第1のトンネリング部12とクライアント2の第2のトンネリング部22との間に、セキュアトンネル4が構築される。その後、サーバ1は、セキュアトンネル4を通してクライアント2と双方向に通信し(S10)、クライアント2のメンテナンスを実施する。
なお、クライアント2は、第2のトンネリング部22を有効化してセキュアトンネル4の構築が完了すると、サーバ1に対して完了通知を送信するように構成されていてもよい。この場合、クライアント2は、第2の通信部21からルータ5を介して第1の通信部11へ完了通知を送信する。
その後、サーバ1は、メンテナンスが完了するとメンテナンス部13がメンテナンスモードから通常モードに移行する。さらに、セキュアトンネル4は切断部24によって自動的に切断される。
以上説明したように、本実施形態の管理システム10によれば、クライアント2の第1の切替部23は、通常時には第2のトンネリング部22を無効にし、サーバ1からの開始要求を受信すると第2のトンネリング部22を有効にする。第2の通信部21は、第1の通信部11にポーリング信号を送信し、当該ポーリング信号への応答として第1の通信部11からデータを取得するポーリング方式により、第1の通信部11と通信する。メンテナンス部13は、メンテナンスを開始する際、ポーリング信号への応答として、第1の通信部11から第2の通信部21へ開始要求を送信するように構成されている。
すなわち、本実施形態の管理システム10は、通常時には、クライアント2の第2のトンネリング部22を無効とし、第1の通信部11−第2の通信部21間のポーリング通信によってサーバ1−クライアント2間のデータのやり取りを可能とする。そして、管理システム10は、クライアント2のメンテナンス時にのみ第2のトンネリング部22を有効にして、サーバ1−クライアント2間のデータのやり取りにセキュアトンネル4を使用する。
言い換えれば、サーバ1は、メンテナンスのために必要なときにだけクライアント2の第2のトンネリング部22を有効にしてセキュアトンネル4を構築することで、メンテナンス対象のクライアント2に対してのみ動的にVPN接続されることになる。その結果、クライアント2としての本来の性能(スループット)を大幅に低下させることなく、メンテナンスに掛かるコストを抑えることができる、という利点がある。
要するに、サーバ1とクライアント2との両方に外付けのVPN装置を設けると、VPN装置の導入コストやランニングコストが比較的高くなる。ここでいうランニングコストは、VPN装置の利用料金がたとえば接続時間に応じた従量制である場合の利用料金や、VPN装置の保守費用などを含む。とくに、サーバ1においては、複数のクライアント2と同時に接続するためには、ポート数(通信セッション数)の多い比較的高価なVPN装置が必要となって導入コストも高くなる。しかし、一般的には、サーバ1は、複数の設備システムのクライアント2に対して同時にメンテナンスを実施することはなく、サーバ1と複数のクライアント2間をセキュアトンネル4によって常時接続する必要はない。
そこで、本実施形態の管理システム10、サーバ1−クライアント2間のデータのやり取りを、通常時には第1の通信部11−第2の通信部21間のポーリング通信によって実現し、メンテナンス時のみセキュアトンネル4を使用する。これにより、サーバ1−クライアント2間をセキュアトンネル4によって常時接続する必要がなくなり、またサーバ1にポート数の多い比較的高価なVPN装置を用いる必要もなくなるから、メンテナンスに掛かるコストを抑えることができる。
しかも、本実施形態の構成によれば、クライアント2にVPN装置としての第2のトンネリング部22が内蔵されていても、通常時には、第2のトンネリング部22は無効にされるので、VPN装置の機能にクライアント2のCPU能力が割かれることはない。したがって、VPN装置の機能をクライアント2に内蔵して低コスト化を図りながらも、クライアント2としての本来の性能(スループット)が大幅に低下することはない。
また、サーバ1は、通常時には第1のトンネリング部12を無効にし、メンテナンス部13からの起動要求を受けると第1のトンネリング部12を有効にする第2の切替部14を有することが望ましい。この場合、メンテナンス部13は、メンテナンスを開始する際、第2の切替部14へ起動要求を出力するように構成される。この構成によれば、サーバ1にVPN装置としての第1のトンネリング部12が内蔵されていても、通常時には、第1のトンネリング部12は無効にされるので、VPN装置の機能にサーバ1のCPU能力が割かれることはない。したがって、VPN装置の機能をサーバ1に内蔵して低コスト化を図りながらも、サーバ1としての本来の性能(スループット)が大幅に低下することはない。
また、クライアント2は、第2の通信部21および第1の切替部23を内蔵した本体装置200に、第2のトンネリング部22を内蔵していることが望ましい。この構成によれば、VPN装置としての第2のトンネリング部22の機能をクライアント2に内蔵することで、外付けのVPN装置をクライアント2に付加する構成に比べて低コスト化を図ることができる。とくに、サーバ1に多数台のクライアント2が接続される場合において、各クライアント2にそれぞれ外付けのVPN装置を付加する構成に比べて、管理システム10全体としては大幅な低コスト化が可能になる。
また、サーバ1とクライアント2との少なくとも一方は、時計部16を有しており、メンテナンス部13は、時計部16の示す時刻が所定の設定時刻になると、ポーリング信号の応答として開始要求を自動的に送信するように構成されていることが望ましい。この構成によれば、管理システム10は、設定時刻になるとメンテナンスを開始するための開始要求が自動的に送信され、サーバ1−クライアント2間にセキュアトンネル4を構築することができる。
なお、時計部16は、上記実施形態ではサーバ1に設けられているが、この構成に限らず、クライアント2に設けられていてもよく、あるいはサーバ1およびクライアント2の両方に設けられていてもよい。時計部16がクライアント2に設けられている場合、クライアント2は、設定時刻になるとポーリング信号にメンテナンス要求を含めて送信する。この場合、メンテナンス部13は、ポーリング信号に含まれるメンテナンス要求をトリガにしてメンテナンスを開始する。
また、サーバ1とクライアント2との少なくとも一方は、セキュアトンネル4を自動的に切断する切断部24を有することが望ましい。切断部24は、構築後にセキュアトンネル4を通した通信が行われていない状態が一定時間継続した場合と、セキュアトンネル4の構築から予め設定された制限時間が経過した場合との少なくとも一方の場合において、セキュアトンネル4を自動的に切断する。この構成によれば、管理システム10は、セキュアトンネル4が未使用の状態が長時間継続することや、セキュアトンネル4が長時間構築されたままになることを防止できるという利点がある。
なお、切断部24は、上記実施形態ではクライアント2に設けられているが、この構成に限らず、サーバ1に設けられていてもよく、あるいはサーバ1およびクライアント2の両方に設けられていてもよい。切断部24がサーバ1に設けられている場合、第2のトンネリング部22は、第1のトンネリング部12が無効になると、自動的に無効化する。
(実施形態2)
本実施形態の管理システム10は、図3に示すように、クライアント2が、第2の通信部21および第1の切替部23を内蔵した本体装置200とは別に、第2のトンネリング部22を内蔵した外付装置210を備えている点で、実施形態1と相違する。以下、実施形態1と同様の構成については、共通の符号を付して適宜説明を省略する。
本実施形態では、第1の切替部23は、第2の通信部21で開始要求を受信すると、外付装置210に対して切替信号を出力することにより第2のトンネリング部22を有効にするように構成されている。外付装置210は、通常時には第2のトンネリング部22の機能を無効にしており、切替信号を受けると第2のトンネリング部22の機能を有効にする。
すなわち、クライアント2の本体装置200は、サーバ1からの開始要求を受信すると、外付けのVPN装置(外付装置210)を有効化し、第2のトンネリング部22−第1のトンネリング部12間にセキュアトンネル4を構築する。セキュアトンネル4が構築されている状態では、サーバ1は、実施形態1の場合と同様に、セキュアトンネル4を通してクライアント2との間でデータをやり取りし、クライアント2のメンテナンスを実施する。
以上説明した本実施形態の管理システム10によれば、クライアント2の本体装置200にはVPN装置としての機能を内蔵する必要がない。したがって、クライアント2に外付けのVPN装置が付加された構成の既設の管理システムがあれば、クライアント2の大幅な設計変更を伴わずに上記管理システム10を実現できる。
その他の構成および機能は実施形態1と同様である。
1 サーバ
11 第1の通信部
12 第1のトンネリング部
13 メンテナンス部
14 第2の切替部
16 時計部
2 クライアント
21 第2の通信部
22 第2のトンネリング部
23 第1の切替部
24 切断部
200 本体装置
210 外付装置
3 ネットワーク
4 セキュアトンネル
10 管理システム

Claims (6)

  1. ネットワークを介して互いに接続されたサーバとクライアントとを備え、
    前記サーバは、前記クライアントとの間で前記ネットワークを介して通信を行う第1の通信部と、前記クライアントとの間にセキュアトンネルを構築する第1のトンネリング部と、前記クライアントのメンテナンスを実施するメンテナンス部とを有し、
    前記クライアントは、前記第1の通信部との間で前記ネットワークを通して通信を行う第2の通信部と、前記セキュアトンネルを構築し前記第1のトンネリング部との間で前記セキュアトンネルを通して双方向に通信する第2のトンネリング部と、通常時には前記第2のトンネリング部を無効にし、前記サーバからの開始要求を受信すると前記第2のトンネリング部を有効にする第1の切替部とを有し、
    前記第2の通信部は、前記第1の通信部にポーリング信号を送信し、当該ポーリング信号への応答として前記第1の通信部からデータを取得するポーリング方式により、前記第1の通信部と通信し、
    前記メンテナンス部は、前記メンテナンスを開始する際、前記ポーリング信号への応答として、前記第1の通信部から前記第2の通信部へ前記開始要求を送信するように構成されている
    ことを特徴とする管理システム。
  2. 前記サーバは、通常時には前記第1のトンネリング部を無効にし、前記メンテナンス部からの起動要求を受けると前記第1のトンネリング部を有効にする第2の切替部とを有し、
    前記メンテナンス部は、前記メンテナンスを開始する際、前記第2の切替部へ前記起動要求を出力するように構成されている
    ことを特徴とする請求項1に記載の管理システム。
  3. 前記クライアントは、前記第2の通信部および前記第1の切替部を内蔵した本体装置に、前記第2のトンネリング部を内蔵している
    ことを特徴とする請求項1または2に記載の管理システム。
  4. 前記クライアントは、前記第2の通信部および前記第1の切替部を内蔵した本体装置とは別に、前記第2のトンネリング部を内蔵した外付装置を備えており、
    前記第1の切替部は、前記第2の通信部で前記開始要求を受信すると、前記外付装置に対して切替信号を出力することにより前記第2のトンネリング部を有効にするように構成されている
    ことを特徴とする請求項1または2に記載の管理システム。
  5. 前記サーバと前記クライアントとの少なくとも一方は、時計部を有しており、
    前記メンテナンス部は、前記時計部の示す時刻が所定の設定時刻になると、前記ポーリング信号の応答として前記開始要求を自動的に送信するように構成されている
    ことを特徴とする請求項1〜4のいずれか1項に記載の管理システム。
  6. 前記サーバと前記クライアントとの少なくとも一方は、前記セキュアトンネルを自動的に切断する切断部を有しており、
    前記切断部は、構築後に前記セキュアトンネルを通した通信が行われていない状態が一定時間継続した場合と、前記セキュアトンネルの構築から予め設定された制限時間が経過した場合との少なくとも一方の場合において、前記セキュアトンネルを自動的に切断するように構成されている
    ことを特徴とする請求項1〜5のいずれか1項に記載の管理システム。
JP2013124805A 2013-06-13 2013-06-13 管理システム Pending JP2015002376A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013124805A JP2015002376A (ja) 2013-06-13 2013-06-13 管理システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013124805A JP2015002376A (ja) 2013-06-13 2013-06-13 管理システム

Publications (1)

Publication Number Publication Date
JP2015002376A true JP2015002376A (ja) 2015-01-05

Family

ID=52296678

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013124805A Pending JP2015002376A (ja) 2013-06-13 2013-06-13 管理システム

Country Status (1)

Country Link
JP (1) JP2015002376A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017217476A1 (ja) * 2016-06-15 2017-12-21 株式会社エム・クレスト 遠隔監視システム用端末、遠隔監視用プログラム及び遠隔監視システム
JP2017228282A (ja) * 2016-06-15 2017-12-28 株式会社エム・クレスト 遠隔監視システム用端末、遠隔監視用プログラム及び遠隔監視システム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017217476A1 (ja) * 2016-06-15 2017-12-21 株式会社エム・クレスト 遠隔監視システム用端末、遠隔監視用プログラム及び遠隔監視システム
JP2017228282A (ja) * 2016-06-15 2017-12-28 株式会社エム・クレスト 遠隔監視システム用端末、遠隔監視用プログラム及び遠隔監視システム
CN109952561A (zh) * 2016-06-15 2019-06-28 日商艾姆克雷斯特公司 远程监视系统用终端、远程监视用程序及远程监视系统
CN109952561B (zh) * 2016-06-15 2020-03-17 日商艾姆克雷斯特公司 远程监视系统用终端、远程监视用方法及远程监视系统
TWI714777B (zh) * 2016-06-15 2021-01-01 日商艾姆克雷斯特公司 遠程監視系統用終端、遠程監視用程式及遠程監視系統

Similar Documents

Publication Publication Date Title
US11477194B2 (en) Machine-to-machine and machine to cloud end-to-end authentication and security
CN109150703B (zh) 一种工业物联网智能云网关及其通信方法
TWI482462B (zh) 網路系統及網路備援方法
CN105556403B (zh) 限制工业控制中的通信
JP6311636B2 (ja) 無線中継装置、無線通信システム、及び無線中継方法
CN104125124A (zh) 一种智能家居远程控制方法、装置及系统
JP2018537912A5 (ja)
JP6193185B2 (ja) 通信装置、端末装置およびプログラム
JP2017169190A (ja) コンピュータテストツールとクラウドベースのサーバとの間の安全な通信のためのシステム及び方法
JP6329947B2 (ja) 電気通信ネットワークのネットワークノードを構成する方法、電気通信ネットワーク、プログラム、及びコンピュータプログラム
JP5464232B2 (ja) セキュア通信システム及び通信装置
JP5687388B2 (ja) 建物の遠隔制御を実施するためのデバイス構成
JP6229368B2 (ja) アクセス制御方法、アクセス制御システム及びアクセス制御装置
KR101686995B1 (ko) 소프트웨어 정의 네트워크와 네트워크 기능 가상화를 이용하는 IPSec VPN 장치, IPSec VPN 시스템 및 IPSec VPN 방법
JP2015002376A (ja) 管理システム
JP2011211490A (ja) Vpn装置及びip通信装置、サーバ装置
WO2018098630A1 (zh) 一种x2业务传输方法及网络设备
JP2010283762A (ja) 通信経路設定装置、通信経路設定方法、プログラム、及び記憶媒体
JP2011160286A (ja) 呼制御サーバ、中継サーバ、vpn装置、vpn通信システム、vpnネットワーキング方法、プログラム、及び記憶媒体
WO2019058612A1 (ja) リモートアクセス制御システム
CN114679476A (zh) 信息采集方法、系统、路侧系统及存储介质
WO2011160390A1 (zh) 代理网络设备的管理方法和系统
Dalela et al. Security enhancement in tower monitoring system of oneM2M network
US20240154794A1 (en) Site-To-Site Tunnel Authentication by Quantum Keys
JP2006013757A (ja) ホームネットワーク遠隔管理システム

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20150312