JP4020134B2 - スイッチングハブ装置、ルータ装置 - Google Patents

スイッチングハブ装置、ルータ装置 Download PDF

Info

Publication number
JP4020134B2
JP4020134B2 JP2005292851A JP2005292851A JP4020134B2 JP 4020134 B2 JP4020134 B2 JP 4020134B2 JP 2005292851 A JP2005292851 A JP 2005292851A JP 2005292851 A JP2005292851 A JP 2005292851A JP 4020134 B2 JP4020134 B2 JP 4020134B2
Authority
JP
Japan
Prior art keywords
packet
communication
communication port
equipment
switching hub
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005292851A
Other languages
English (en)
Other versions
JP2006135949A (ja
Inventor
享 伊藤
幹生 小松
康裕 柳
利信 河崎
勝也 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Electric Works Co Ltd
Original Assignee
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Works Ltd filed Critical Matsushita Electric Works Ltd
Priority to JP2005292851A priority Critical patent/JP4020134B2/ja
Publication of JP2006135949A publication Critical patent/JP2006135949A/ja
Application granted granted Critical
Publication of JP4020134B2 publication Critical patent/JP4020134B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、パソコンなどの一般の通信機器と、通信ネットワークに対応した機能を組み込んだ、テレビモニター付インターホン、防災、防犯センサを接続付加したアラームユニット、電気錠、照明コントローラなどの住宅設備機器、電子レンジ、洗濯機、空調機器などの家電機器、テレビ、ビデオなどのマルチメディア機器とを接続して、ネットワークを構成するために使用するスイッチングハブ装置の改良に関するものである。
住宅設備機器、家電機器、マルチメディア機器などと、インターネットなどの通信ネットワークとの融合化は急速に進化しており、近時においては、ユビキタスなシステム環境化が図られている。
下記の特許文献1には、HA端子(JEM−A端子)を有した住宅設備機器、家電機器、マルチメディア機器などを、専用の入出力装置に接続し、ゲートウエイを通じてインターネットに接続させ、外部の管理サーバで生成した制御用WEB画面を通じて、監視し制御する試みがなされているが、このようなシステムでは、従前の住宅設備機器、家電機器、マルチメディア機器などを、そのまま使用できる反面、専用の入出力装置に、専用のゲートウエイなどの設備が必要となり、システム規模も大掛かりとなって設備コストも高いものになっている。
本発明は、このような観点から開発され、今後、急速な進歩が期待される通信ネットワーク機能を組み込んだマイクロプロセッサを搭載した住宅設備機器、家電機器、マルチメディア機器などの設備機器を、パソコンなどの一般通信機器とともに接続して、インターネットとの簡易な融合化を可能にするだけでなく、不正アクセスに対する防御機能を組み込んだ新規な構成のスイッチングハブ装置を提供するものである。
ところで、一般のイーサネット(登録商標)に対応したスイッチングハブ装置は、ルータ装置と協働して、インターネットに複数の通信機器を接続して使用する装置として広く使用されているが、そのようなスイッチングハブ装置は、ISDN、ADSLなどの通信回線を接続するモデム装置や、パソコン、ネットワーク対応型FAXなどの一般の通信機器、ネットワーク対応型端末器などから通信ポートを通じて受け付けたパケット信号に含まれている、転送先のMACアドレス、送出元のMACアドレスを読み取って、受け付けたパケット信号を、通信ポートを通じて転送する動作をなす。
しかしながら、このようなスイッチングハブ装置に、前述した通信ネットワーク機能を組み込んだ住宅設備機器、家電機器、マルチメディア機器などの設備機器(パソコンとは異なりウイルス駆除ソフトウェアを実装してはいない通信機器)を接続して使用する場合、このような設備機器には、パソコンのように不正アクセスに対処するソフトや、ウイルス、ワームなどに対処するソフトを組み込んでいないのが通例であるため、それらに対応できない。そのため、これらの設備機器が不正アクセスによって操作されてしまうと、例えば、設備機器の暗証番号を盗まれて、住宅設備機器、家電機器、マルチメディア機器などが勝手に制御され、防犯センサを不能にしたり、電気錠などが第三者に解錠されてしまう等、重大な事態を生じさせる。
ところで、そのような不正アクセスによる攻撃について考察すると、パソコンなどの高機能通信装置は、従来、インターネットと接続して利用される形態が一般的であるため、ファイアーウォールやアンチウイルスソフトなどを用いて、不正アクセスやウイルスによる攻撃から保護し、それらのソフトウェアも随時アップデートすることは可能であるが、住宅設備機器、家電機器、マルチメディア機器などは、その機能を発揮するために必要な制御ソフトウェアが組み込まれているものの、ファイアーウォールやアンチウイルスソフトなどは組み込まれておらず、しかも、これらの設備機器は、一旦据え付けられると、その制御用ソフトウェアも殆ど更新されないのが通例である。
特に、住宅内で、設備機器を、一般の通信機器と同じネットワークに接続して使用する場合、ネットワーク外で使用されたノートパソコンがウイルスに感染して、知らぬうちに上述のスイッチングハブ装置に接続して通信してしまうと、防御の手薄な設備機器はウイルスに感染して、制御プログラムを破壊して本来の制御機能を不能にしたり、重要なデータを破損してしまうおそれもある。
なお、近時においては、このようなスイッチングハブ装置にセキュリティ機能を備えたものも開発されているが、いずれも、通信機器のアドレスを登録したり、パケット信号を受け付けたときに、アドレスを登録しているサーバに問い合わせを行ってからパケット転送を行なうもので、アドレスを登録していない通信機器には対応できず、更に住宅内の通信ネットワークに接続された通信機器がウイルスに感染された場合の対策については、何ら考慮されていない(以上、特許文献2〜5参照)。
特開2003−309580号公報 特開2001−186186号公報 特開2000−19664号公報 特開2000−22730号公報 特開平11−55302号公報
本発明は、以上のような事情に鑑みて、通信ネットワークに対応した機能を備えた設備機器を、パソコンなどの一般通信機器とともに接続して、インターネットなどの外部の通信ネットワークとの融合化を実現するだけでなく、不正なアクセスに対する防御機能を組み込んだ新規な構成のスイッチングハブ装置を提供することを目的としている。また、そのようなスイッチングハブ装置の通信転送の動作負荷をできるだけ軽減させることが可能なルータ装置を提供することを、別の目的としている。
上記目的を達成するために、請求項1に記載のスイッチングハブ装置は、ネットワークケーブルを接続できる複数の通信ポートと、それらの通信ポートを通じて受け付けたパケット信号の転送先通信ポートを選択して、パケット信号を転送するスイッチングハブ装置において、複数の通信ポートは、外部接続用の外部通信ポートを含み、パソコンである一般の通信機器の接続先となる一般通信ポートと、パソコンではなく、通信ネットワーク機能を組み込んだマイクロプロセッサを搭載した機器である設備機器の接続先となる設備通信ポートとに少なくとも区分されている。そして、スイッチングハブ装置は、複数の通信ポートのいずれかを通じて受け付けたパケット信号に基づいて、所定の判別基準に従って異常アクセスか否かを判断する異常アクセス判断手段と、受け付けたパケット信号から送信先のアドレス情報を読み取り、通信ポートに関連して蓄積している通信機器、設備機器のアドレス情報と照合して転送先の通信ポートの種別を判別し、その通信ポートの種別が一般通信ポートであれば、パケット信号の転送を許容する一方、その通信ポートの種別が設備通信ポートであれば、異常アクセス判断手段が異常事象を検知しなかった場合に、パケット信号を設備通信ポートから転送させるスイッチ制御部とを備えている。
請求項2では、異常アクセス判断手段は、エラーパケットの所定時間当たりの発生数を計数し、その計数値がしきい値を越えたときに、異常アクセスと判別する構成になっている。
請求項3では、異常アクセス判断手段は、マルチキャストパケット、ブロードキャストパケットの少なくともいずれか一方の所定時間当たりの発生数を計数し、その計数値がしきい値を越えたときに、異常アクセスと判別する構成になっている。
請求項4では、異常アクセス判断手段は、イーサネット(登録商標)仕様以外のパケットの所定時間当たりの発生数を計数し、その計数値がしきい値を越えたときに、異常アクセスと判別する構成になっている。
請求項5では、スイッチ制御部は、外部通信ポートを通じて、外部にリクエスト情報を含んだパケット信号を転送した後、所定時間が経過するまでの間に、そのリクエスト情報を送出した設備機器に転送されて来るパケット信号が、応答情報を含んでいる場合には、そのパケット信号の転送を許容する一方、応答情報を含んでいない場合には異常アクセスと判断する構成になっている。
請求項6では、複数の通信ポートのそれぞれは、一般通信ポート、設備通信ポートを識別可能な外観に形成されている。
請求項7では、スイッチ制御部は、設備機器の接続された通信ポートを判別して、その通信ポートを設備通信ポートとして記憶設定する通信ポート記憶設定手段を更に備えている。
請求項8では、請求項1〜7のいずれかのスイッチングハブ装置と外部通信線とを通信転送可能に接続するルータ装置であって、IPパケットフィルタリングを行う際、エラーパケットの所定時間当たりの発生数を計数し、その計数値がしきい値を越えたときに、異常アクセスと判別して、当該エラーパケットの宛先であるIPアドレス宛てのIPパケットの転送を、一時的に停止するルータ装置を提案している。
請求項9では、請求項1〜7のいずれかのスイッチングハブ装置と外部通信線とを通信転送可能に接続するルータ装置であって、IPパケットフィルタリングを行う際、マルチキャストパケット、ブロードキャストパケットの少なくともいずれか一方の所定時間当たりの発生数を計数し、その計数値がしきい値を越えたときに、異常アクセスと判別して、当該マルチキャストパケット又は当該ブロードキャストパケットの送信元であるIPアドレスからのIPパケットの転送を、一時的に停止するルータ装置を提案している。
請求項10では、請求項1〜7のいずれかのスイッチングハブ装置と外部通信線とを通信転送可能に接続するルータ装置であって、スイッチングハブ装置から外部へのリクエスト情報を含んだパケット信号を転送した後、所定時間が経過するまでの間にIPパケットフィルタリングを行う際、そのリクエスト情報を送出した設備機器に転送されて来るIPパケットが、応答情報を含んでいる場合には、そのIPパケットの転送を許容する一方、応答情報を含んでいない場合には、そのIPパケットの転送を遮断するルータ装置を提案している。
請求項1〜7の本発明によれば、通信ネットワーク対応機能を備えた設備機器を、一般の通信機器といっしょに接続して、外部の通信ネットワークに接続しても、不正アクセスなどの脅威から効果的に防衛できる、セキュリティ機能を備えたスイッチングハブ装置が提供でき、それによって、設備機器を組み込んだ簡易な屋内設備通信ネットワークが実現できる。
また、特に請求項1の本発明によれば、異常アクセス判断手段は、不正アクセスなどに対して対処の手薄な設備機器を転送先としたパケット信号のみを、所定の判別基準に従って異常アクセスを判別するので、不正アクセスなどの脅威から効果的に防衛できる反面、高速性が要求される一般の通信機器に対する転送速度を低下させない。
請求項2〜4によれば、所定時間内における特定パケットの通信量に基づく簡易な判別処理によって、侵入防御手段をなんら持たない設備機器が接続されている場合であっても、連続的なパケットによる侵入攻撃を判別することができ、さらにスイッチングハブ装置側で転送を遮断してしまえば、そのような攻撃を設備機器に転送される前に食い止めることができる。
請求項5によれば、設備機器側からの要求パケットに対応した応答パケット以外を異常アクセスとして扱うので、この異常アクセスによる信号を遮断するようにすれば、設備機器側では正当な応答パケットのみを受け付けることができる。つまり、応答パケットはすべて許可するのではなく、特定の設備に対する応答パケットになりすまして送信してくる偽応答パケットの攻撃を有効に防御することができる。
請求項6の本発明によれば、スイッチングハブ装置の通信ポートの種別が外観上明らかなため、接続作業が容易である。また、通信ポートの種別が予め特定されているので、スイッチ制御部の制御処理も簡易化できる。
請求項7の本発明によれば、スイッチングハブ装置の通信ポートの種別を選ぶことなく、通信機器、設備機器を接続するだけで通信ポートが一般、設備の種別に自動的に割り付けられるので、接続作業はユーザの使い勝手に従って自由にできる。また、一般、設備通信ポートの振り分けも施工業者などで自由に設定でき、便利である。
請求項8の本発明によれば、ルータ装置によって、IPパケットフィルタリングを行う際、エラーパケットの所定時間当たりの発生数を計数し、その計数値がしきい値を越えたときに、異常アクセスと判別して、当該エラーパケットの宛先であるIPアドレス宛てのIPパケットの転送を、一時的に停止するので、当該エラーパケットを排除する動作を、下流に接続したスイッチングハブ装置に行わせずに済み、その分、スイッチングハブ装置の動作負荷を軽減しやすい。
請求項9の本発明によれば、ルータ装置によって、IPパケットフィルタリングを行う際、マルチキャストパケット、ブロードキャストパケットの少なくともいずれか一方の所定時間当たりの発生数を計数し、その計数値がしきい値を越えたときに、異常アクセスと判別して、当該マルチキャストパケット又は当該ブロードキャストパケットの送信元であるIPアドレスからのIPパケットの転送を、一時的に停止するので、当該マルチキャストパケット又は当該ブロードキャストパケットを排除する動作を、下流に接続したスイッチングハブ装置に行わせずに済み、その分、スイッチングハブ装置の動作負荷を軽減しやすい。
請求項10の本発明によれば、ルータ装置によって、スイッチングハブ装置から外部へのリクエスト情報を含んだパケット信号を転送した後、所定時間が経過するまでの間にIPパケットフィルタリングを行う際、そのリクエスト情報を送出した設備機器に転送されて来るIPパケットが、応答情報を含んでいる場合には、そのIPパケットの転送を許容する一方、応答情報を含んでいない場合には、そのIPパケットの転送を遮断するようにしたので、当該応答情報を含んでいないIPパケットを排除する動作を、下流に接続したスイッチングハブ装置に行わせずに済み、その分、スイッチングハブ装置の動作負荷を軽減しやすい。
以下に、本発明の実施形態について、図面を参照しながら説明する。
図1は、本発明のスイッチングハブ装置の要部構成例を示すブロック図である。
この装置1は、複数の通信ポートP1,P2を通じて受け付けたパケット信号の転送先通信ポートを選択して転送するスイッチ制御部10と、WEBサーバを構成するネットワーク設備操作処理手段11と、スピーカSPを有する異常報知手段12と、通信ポートP1,P2を通じて受け付けたパケット信号の転送先が設備通信ポートP2である場合に、その設備通信ポートP2に転送するか否かを判定するフィルタ処理を行う異常アクセス判断手段13と、設備通信ポートP2を通じて受け付けたパケット信号に基づいて設備機器の動作異常を検出する設備機器監視手段14と、操作画面情報を記憶した記憶部15とを備える。
また、通信ポートP1,P2は、外部通信ポートP1(#1)を含み、パソコン等を接続する一般通信ポートP1(#1〜#k)と、照明器具、電気錠などを接続付加し、これらを制御する設備機器を接続する設備通信ポートP2(#1〜#l(エル))とに区分されている。複数の通信ポートP1,P2のそれぞれは、一般通信ポートP1、設備通信ポートP2を識別可能な外観に形成されている。
なお、複数の通信ポートP1,P2は、同一な外観に形成して、それぞれの通信ポートに接続されているのが設備機器か否かを自動的に識別して、設備機器が接続されている通信ポートを設備通信ポートとして設定記憶する通信ポート記憶設定手段10Aを設ける構成としてもよい。設備機器か否かは、その端末器から受け取ったベンダーID(MACアドレスに含まれる)などに含まれる識別情報に基づいて判定できる。
図2は、通信ポート種別/アドレス情報蓄積テーブルT1の一例を示す図である。このテーブルT1は、パケット受信ごとに、スイッチ制御部10のメモリ(不図示)に蓄積される情報であり、MACアドレスに対応して通信ポート種別、番号が格納されている。このテーブルT1により、後述する異常判別処理において、送信されてくるパケットが設備通信ポートP2宛てか一般通信ポートP1宛てであるかを判断することができる。なお、このテーブルT1に、アドレスナンバー(MACアドレス)と接続ポートナンバーとの対応を、随時更新可能に書き込んでいくわけであるが、この点、本発明のスイッチングハブ装置は従来のスイッチングハブ装置と同様に動作する。すなわち、本発明のスイッチングハブ装置は、パケット転送動作のデフォルト状態では、特定のMACアドレス(仮にADRR1とする)宛ての何らかの通信パケットを受信したら、当該通信パケットを、複数の通信ポートP1,P2の全てに区別無く一斉に転送する(リピータ機能のみの、いわゆるダムハブとして動作する)。その後、或るポート(仮にポートP2の♯3とする)から返信が返ってきたら、本発明のスイッチングハブ装置は、自身のポートP2♯3には、ADRR1なるMACアドレスの機器が接続しているものと判定し、P2♯3なる接続ポートナンバーとADRR1なるMACアドレスナンバーとを対応づけてテーブルT1に書き込んでいく。従って、テーブルT1への書き込み動作は、受信した通信パケットを転送する機会が増えれば、徐々に完成する。もっとも、日常的に各設備機器、一般通信機器の接続ポートを変更することがあるので、テーブルT1への書き込み動作は、一回済めば固定されるのではなく、数分毎レベルで定期的に更新される。
図3は、本発明のスイッチングハブ装置1の基本動作の一例を示すフローチャートである。以下の動作は、スイッチ制御部10がプログラム等で構成された異常アクセス判断手段13と協働しながら実行される。
スイッチ制御部10は、一般通信ポートP1および設備通信ポートP2からのパケット信号の受信を常時監視している(ステップ101)。信号が受信されると、パケット内の転送先通信ポートを取り出し、これを検索キーとして通信ポート種別/アドレス情報蓄積テーブルT1を検索して、受信パケットの転送元通信ポートが設備通信ポートP2であるか一般通信ポートP1であるかを判別し、設備通信ポートP2の場合には、設備機器の防御のためのフィルタ処理を実行し、異常アクセスと判断すればパケット信号を遮断する(ステップ102〜106)。また、正常の場合には、パケット信号の転送処理(正常処理)を行う(ステップ107)。
なお、転送先が一般通信ポートP1である場合には、接続された機器にはウイルス駆除ソフトウェア相当が更新可能に実装されてあるものとみなして、従来のスイッチングハブ装置に実装される広く知られたフィルタ処理(例えば、予めスイッチングハブ内のメモリに初期固定値として設定登録された固定アドレスとの通信しか許容しないという原始的なフィルタ処理)は行うものの、本願特有のフィルタ処理は行わず、パケット信号の転送処理を行う(ステップ107)。
上記の異常アクセス判断手段13の動作によれば、異常と判断したときにパケット信号を遮断するようにしているが、少なくとも異常アクセス判断のみを行うようにすればよい。遮断しない場合は、パケット信号はそのまま設備機器側に転送、通過させるようにするが、そのような場合は、設備機器に対する異常通知や異常報知をすることが望ましい。
上記のフィルタ処理(104)は、なんら防御手段を有していない設備機器に対するネットワークからの不正侵入を防御することを目的とするものであり、フィルタ処理には、例えば、無用なパケットの連続攻撃を防御することを目的とするものや、設備機器側からのリクエストコマンドを含む要求パケットに対応した応答パケット以外のパケット信号を遮断することを目的とするもの、などがある。以下には、遮断処理を含むフィルタ処理について説明する。
図4、図5は、フィルタ処理の一例を示したフローチャートである。図4には連続攻撃型侵入の防御処理、図5には応答パケット以外の遮断処理を示している。なお、これらのフィルタ処理は、侵入が特定の設備通信ポートP2を対象として行われることを想定して、設備通信ポートP2ごとに実施してもよいが、すべての設備通信ポートP2を一括して監視するようなものであってもよい。
まず、図4の連続攻撃型侵入のフィルタ処理について説明する。
連続攻撃型侵入チェックでは、受信したパケットが予め定義されたエラーパケットであれば、所定時間(例えば単位時間)当たりの発生件数をカウントし、その件数が所定しきい値を超えた場合に異常アクセスと判断して、パケット信号遮断処理を実行する(ステップ201〜207)。
ここでは、エラーパケットのフィルタ処理を示しているが、マルチキャストパケットとブロードキャストパケット、イーサネット(登録商標)仕様以外のパケットなどを対象としてフィルタ処理を行ってもよい。また、これらを複数組み合わせてチェックを行ってもよい。
エラーパケットを対象とするパケット信号遮断処理(ステップ207)では、例えば、次のような方法が採られる。
(a−1)異常アクセスと判断されたときから所定時間が終了するまでは、エラーパケットだけでなく全てのパケットデータを破棄する。すなわち、その設備通信ポートP2に対するパケットの転送を中断する。
(a−2)異常と判断されたときから所定時間が終了するまでは、エラーパケットを送信してきた転送元の通信ポートからのパケットデータをすべて破棄する。すなわち、その通信ポートを遮断する。なお、この処理のためには、転送元の通信ポート別に異常を判断する必要がある。後述の(b−2)、(c−2)についても同様である。
また、マルチキャストパケットとブロードキャストパケットのいずれか一方を対象とするパケット信号遮断処理では、例えば、次のような方法が採られる。
(b−1)異常と判断されたときから所定時間が終了するまでは、マルチキャストパケットとブロードキャストパケットについては、転送せずに破棄し、ユニキャストパケットについてのみ転送する。
(b−2)異常と判断されたときから所定時間が終了するまでは、マルチキャストパケットとブロードキャストパケットを送信してきた転送元の通信ポートからのパケットデータをすべて破棄する。すなわち、その通信ポートを遮断する。
ここで、マルチキャストとは複数の相手を指定してデータ送信する手法、ブロードキャストとは不特定多数の相手にデータを送信する手法をいう。すなわち、このようなフィルタ処理によれば、多数の相手に送信することが可能なマルチキャストやブロードキャストの悪用に対する防御が行える。
また、イーサネット(登録商標)仕様以外のパケットを対象とするパケット信号遮断処理では、例えば、次のような方法が採られる。
(c−1)異常と判断されたときから所定時間が終了するまでは、イーサネット(登録商標)仕様以外のパケットについては、転送せずに破棄する。
(c−2)異常と判断されたときから所定時間が終了するまでは、エラーパケットを送信してきた転送元の通信ポートからのパケットデータをすべて破棄する。すなわち、その通信ポートを遮断する。
なお、以上のパケット信号遮断処理は、所定時間内の転送を禁止するものであるが、所定時間を超えたのちも禁止するようにしてもよい。
このように、スイッチングハブ装置1で、所定時間あたりの連続パケット受信をチェックしているので、侵入防御手段をなんら持たない設備機器が接続されている場合であっても、連続的なパケットによる攻撃を、スイッチングハブ装置側で食い止めることができる。
次に、図5に示したフィルタ処理について説明する。
このフィルタ処理では、外部通信ポートP1を通じて、外部にリクエスト情報を含んだ要求パケット信号を転送した後、所定時間が経過するまでの間に、そのリクエスト情報を送出した設備機器に転送されて来るパケット信号が、応答情報を含んでいる場合には、その応答パケット信号の転送を許容する一方、応答情報を含んでいない場合には、そのパケット信号の転送を遮断するようにしている(ステップ301〜307)。
つまり、要求パケット信号を送信したときにタイマ起動してから、タイムアップするまでの期間は正当な応答パケットのみを受け付け、それ以外のパケットは破棄する一方、タイムアップした後は、受信したパケット(返信されてきた応答パケットを含む)を破棄する(ステップ301〜307)。
このようなフィルタ処理によれば、設備機器側では正当な応答パケットのみを受け付けることができる。つまり、応答パケットの全てを許可するのではなく、特定の設備に対して応答パケットになりすまして送信してくる偽応答パケットの攻撃を防御することができる。また、時間を限定して応答パケットを受け付けるようにしているので、応答の遅い応答パケット信号受信を異常アクセスと等価に取り扱うことができる。なお、タイムアップ時間については、外部通信ネットワークでの通信遅延も影響してくるので、あまりに早くタイムアップしてしまうと正当な応答パケットが外部通信ネットワークでの通信遅延の影響で設備機器に受信できない事象が多く発生してしまうことが予想されるので、タイムアップ時間については柔軟に可変設定できる仕様が望ましい。
ついで、本発明のスイッチングハブ装置を使用して構成した屋内設備通信ネットワーク
について説明する。
図6は、その概略構成を示しており、1は本願発明のスイッチングハブ装置、Nはインターネットなどの通信ネットワーク、100はルータ装置である。
図に見るように、スイッチングハブ装置1は、ルータ装置100を通じてインターネットNに接続され、スイッチングハブ装置1の一般通信ポートP1には、パソコンなどの通信機器109が接続されており、設備通信ポートP2には、テレビモニター付きインターホン101、照明器具102、空調機器103、監視カメラ104、人体検知センサ105などが接続されている。
テレビモニター付きインターホン101には、このインターホン101をコントローラとして監視制御される設備負荷として、住戸の玄関口に設けたドアホン子器106が接続され、更に屋内に設置した防犯センサ、火災センサなどのセキュリティセンサ107、電気錠ユニット108、照明器具102bが接続されている。
このような屋内設備通信ネットワークでは、テレビモニター付きインターホン101がスイッチングハブ装置1にアクセスして、格納された操作画面情報を画面上に読み出し、それを操作して操作入力情報を変更すると、スイッチングハブ装置1内に設けたネットワーク設備操作処理手段11は、これを受け付けて、CGI(Common Gateway Interface)プログラムを起動して、その操作入力情報に応じて、屋内設備通信ネットワークに接続された通信機器、設備機器を遠隔制御によって起動したり、停止したり出来るほか、それらの端末器の設定情報を自由に変更することができる。
また、通信ネットワークNに接続された外部の通信機器110や、モバイル機器111から、ルータ装置100を介して、スイッチングハブ装置1にアクセスして、操作画面情報を読み出して、屋内設備通信ネットワークの状態を閲覧したり、必要な制御を行うことができ、スイッチングハブ装置1は、前述したように異常アクセス判断手段13によって、設備機器に対する異常アクセスが発生したときには、受け付けたパケット信号を遮断することによって、セキュリティを確保している。
さらに、このようなスイッチングハブ装置の通信転送の動作負荷をできるだけ軽減させることが可能であれば、なお好ましい。このため、ルータ装置を次のようにすると好ましい。すなわち、ルータ装置によって、IPパケットフィルタリングを行う際、エラーパケットの所定時間当たりの発生数を計数し、その計数値がしきい値を越えたときに、異常アクセスと判別して、当該エラーパケットの宛先であるIPアドレス宛てのIPパケットの転送を、一時的に停止する。このようにすれば、当該エラーパケットを排除する動作を、下流に接続した本願発明のスイッチングハブ装置に行わせずに済むので、その分、スイッチングハブ装置の動作負荷を軽減しやすい。
また、ルータ装置によって、IPパケットフィルタリングを行う際、マルチキャストパケット、ブロードキャストパケットの少なくともいずれか一方の所定時間当たりの発生数を計数し、その計数値がしきい値を越えたときに、異常アクセスと判別して、当該マルチキャストパケット又は当該ブロードキャストパケットの送信元であるIPアドレスからのIPパケットの転送を、一時的に停止してもよい。このようにすれば、当該マルチキャストパケット又は当該ブロードキャストパケットを排除する動作を、下流に接続した本願発明のスイッチングハブ装置に行わせずに済むので、その分、スイッチングハブ装置の動作負荷を軽減しやすい。
また、ルータ装置によって、スイッチングハブ装置から外部へのリクエスト情報を含んだパケット信号を転送した後、所定時間が経過するまでの間にIPパケットフィルタリングを行う際、そのリクエスト情報を送出した設備機器に転送されて来るIPパケットが、応答情報を含んでいる場合には、そのIPパケットの転送を許容する一方、応答情報を含んでいない場合には、そのIPパケットの転送を遮断してもよい。このようにすれば、当該応答情報を含んでいないIPパケットを排除する動作を、下流に接続した本願発明のスイッチングハブ装置に行わせずに済むので、その分、スイッチングハブ装置の動作負荷を軽減しやすい。
以上、本発明に係るルータ装置、スイッチングハブ装置、スイッチングハブ装置に接続する一般通信機器(パソコン等)および宅内固定設備型通信機器(所謂ネット家電機器)については、エミット(EMIT(Embedded Micro Internetworking Technology))と称する機器組み込み型ネットワーク技術(機器に簡単にミドルウェアを組み込んでネットワークに接続できる機能を備えるネットワーク技術)を用いることで、ルータ装置経由で宅外の携帯電話機、PC(Personal
Computer)、PDA(Personal Digital Assistant)、PHS(Personal Handy phone System)等の外部端末(図示せず)からEMIT端末すなわち前記の一般通信機器(パソコン等)および宅内固定設備型通信機器(所謂ネット家電機器)にアクセスして、EMIT端末を容易に遠隔監視・制御することも可能である。
本発明のスイッチングハブ装置の要部構成例を示すブロック図である。 通信ポート種別/アドレス情報蓄積テーブルの一例を示す図である。 本発明のスイッチングハブ装置の基本動作の一例を示すフローチャートであ る。 異常アクセス判断手段のフィルタ処理の一例を示すフローチャートである。 異常アクセス判断手段のフィルタ処理の他例を示すフローチャートである。 本発明のスイッチングハブ装置を使用して構成した屋内設備通信ネットワークの概略構成図である。
符号の説明
1 スイッチングハブ装置
10 スイッチ制御部
10A 通信ポート記憶設定手段
11 ネットワーク設備操作処理手段
12 異常報知手段
13 異常アクセス判断手段
15 記憶部
P1 一般通信ポート
P2 設備通信ポート
T1 通信ポート種別/アドレス情報蓄積テーブル

Claims (10)

  1. ネットワークケーブルを接続できる複数の通信ポートと、それらの通信ポートを通じて受け付けたパケット信号の転送先通信ポートを選択して、パケット信号を転送するスイッチングハブ装置において、
    上記複数の通信ポートは、外部接続用の外部通信ポートを含み、パソコンである一般の通信機器の接続先となる一般通信ポートと、パソコンではなく、通信ネットワーク機能を組み込んだマイクロプロセッサを搭載した機器である設備機器の接続先となる設備通信ポートとに少なくとも区分され、
    上記複数の通信ポートのいずれかを通じて受け付けたパケット信号に基づいて、所定の判別基準に従って異常アクセスか否かを判断する異常アクセス判断手段と、
    受け付けたパケット信号から送信先のアドレス情報を読み取り、上記通信ポートに関連して蓄積している通信機器、設備機器のアドレス情報と照合して転送先の通信ポートの種別を判別し、その通信ポートの種別が一般通信ポートであれば、上記パケット信号の転送を許容する一方、その通信ポートの種別が設備通信ポートであれば、上記異常アクセス判断手段が異常事象を検知しなかった場合に、上記パケット信号を上記設備通信ポートから転送させるスイッチ制御部とを備えたことを特徴とする、スイッチングハブ装置。
  2. 請求項1において、
    上記異常アクセス判断手段は、エラーパケットの所定時間当たりの発生数を計数し、その計数値がしきい値を越えたときに、異常アクセスと判別する、スイッチングハブ装置。
  3. 請求項1において、
    上記異常アクセス判断手段は、マルチキャストパケット、ブロードキャストパケットの少なくともいずれか一方の所定時間当たりの発生数を計数し、その計数値がしきい値を越えたときに、異常アクセスと判別する、スイッチングハブ装置。
  4. 請求項1において、
    上記異常アクセス判断手段は、イーサネット(登録商標)仕様以外のパケットの所定時間当たりの発生数を計数し、その計数値がしきい値を越えたときに、異常アクセスと判別する、スイッチングハブ装置。
  5. 請求項1において、
    上記スイッチ制御部は、上記外部通信ポートを通じて、外部にリクエスト情報を含んだパケット信号を転送した後、所定時間が経過するまでの間に、そのリクエスト情報を送出した設備機器に転送されて来るパケット信号が、応答情報を含んでいる場合には、そのパケット信号の転送を許容する一方、応答情報を含んでいない場合には、そのパケット信号の転送を遮断する、スイッチングハブ装置。
  6. 請求項1〜4のいずれかにおいて、
    上記複数の通信ポートのそれぞれは、上記一般通信ポート、上記設備通信ポートを識別可能な外観に形成されている、スイッチングハブ装置。
  7. 請求項1〜4のいずれかにおいて、
    上記スイッチ制御部は、設備機器の接続された通信ポートを判別して、その通信ポートを設備通信ポートとして記憶設定する通信ポート記憶設定手段を更に備えている、スイッチングハブ装置。
  8. 請求項1〜7のいずれかのスイッチングハブ装置と外部通信線とを通信転送可能に接続するルータ装置であって、
    IPパケットフィルタリングを行う際、エラーパケットの所定時間当たりの発生数を計数し、その計数値がしきい値を越えたときに、異常アクセスと判別して、当該エラーパケットの宛先であるIPアドレス宛てのIPパケットの転送を、一時的に停止することを特徴とする、ルータ装置。
  9. 請求項1〜7のいずれかのスイッチングハブ装置と外部通信線とを通信転送可能に接続するルータ装置であって、
    IPパケットフィルタリングを行う際、マルチキャストパケット、ブロードキャストパケットの少なくともいずれか一方の所定時間当たりの発生数を計数し、その計数値がしきい値を越えたときに、異常アクセスと判別して、当該マルチキャストパケット又は当該ブロードキャストパケットの送信元であるIPアドレスからのIPパケットの転送を、一時的に停止することを特徴とする、ルータ装置。
  10. 請求項1〜7のいずれかのスイッチングハブ装置と外部通信線とを通信転送可能に接続するルータ装置であって、
    スイッチングハブ装置から外部へのリクエスト情報を含んだパケット信号を転送した後、所定時間が経過するまでの間にIPパケットフィルタリングを行う際、そのリクエスト情報を送出した設備機器に転送されて来るIPパケットが、応答情報を含んでいる場合には、そのIPパケットの転送を許容する一方、応答情報を含んでいない場合には、そのIPパケットの転送を遮断することを特徴とする、ルータ装置。
JP2005292851A 2004-10-05 2005-10-05 スイッチングハブ装置、ルータ装置 Expired - Fee Related JP4020134B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005292851A JP4020134B2 (ja) 2004-10-05 2005-10-05 スイッチングハブ装置、ルータ装置

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2004293130 2004-10-05
JP2005292851A JP4020134B2 (ja) 2004-10-05 2005-10-05 スイッチングハブ装置、ルータ装置

Publications (2)

Publication Number Publication Date
JP2006135949A JP2006135949A (ja) 2006-05-25
JP4020134B2 true JP4020134B2 (ja) 2007-12-12

Family

ID=36729022

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005292851A Expired - Fee Related JP4020134B2 (ja) 2004-10-05 2005-10-05 スイッチングハブ装置、ルータ装置

Country Status (1)

Country Link
JP (1) JP4020134B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008092185A (ja) * 2006-09-29 2008-04-17 Matsushita Electric Works Ltd ネットワーク装置及び宅内ネットワークシステム
JP5074314B2 (ja) * 2008-07-07 2012-11-14 株式会社日立製作所 フレーム転送装置
JP5772609B2 (ja) * 2012-01-12 2015-09-02 株式会社デンソー 車両通信システム
CN115412431A (zh) * 2021-05-10 2022-11-29 瑞昱半导体股份有限公司 网络交换器以及异常检测方法

Also Published As

Publication number Publication date
JP2006135949A (ja) 2006-05-25

Similar Documents

Publication Publication Date Title
JP4174392B2 (ja) ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
WO2007116605A1 (ja) 通信端末装置、ルール配布装置およびプログラム
US11722508B2 (en) Methods, systems, and media for dynamically separating internet of things devices in a network
JP5581141B2 (ja) 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム
KR100947211B1 (ko) 능동형 보안 감사 시스템
US20050180421A1 (en) Source address-fabricated packet detection unit, source address-fabricated packet detection method, and source address-fabricated packet detection program
EP1833227B1 (en) Intrusion detection in an IP connected security system
JP4437043B2 (ja) コンピュータと通信ネットワークとの間のアクセスを自動的に制御する方法および装置
JP2008054204A (ja) 接続装置及び端末装置及びデータ確認プログラム
JP4020134B2 (ja) スイッチングハブ装置、ルータ装置
CN112787911A (zh) 一种物联网设备集成网关及系统
JP2003036243A (ja) 不正侵入防止システム
CN2775947Y (zh) 基于服务器数据交换的网络安全系统
JP4020135B2 (ja) スイッチングハブ装置、ルータ装置
KR101881061B1 (ko) 모드 변경이 가능한 양방향 통신 장치 및 방법
EP3018878B1 (en) Firewall based prevention of the malicious information flows in smart home
JP4020136B2 (ja) スイッチングハブ装置、ルータ装置
JP7042069B2 (ja) ネットワーク装置およびネットワークシステム
JP2004248198A (ja) DoS攻撃防御方法及び装置
WO2021070914A1 (ja) 機器監視方法、機器監視装置、及びプログラム
JP3976058B2 (ja) ネットワーク装置
JP2008092185A (ja) ネットワーク装置及び宅内ネットワークシステム
JP2018196100A (ja) 仮想交換システム
JP2022147898A (ja) 不正アクセス監視システム、および不正アクセス監視方法
KR20200068085A (ko) 홈 IoT 기기 보안 관리 장치

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061120

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20070202

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20070226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070410

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070611

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070904

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070917

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101005

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101005

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101005

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111005

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111005

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121005

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131005

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees