JP5030681B2 - 機器設定装置、ネットワーク機器、機器名設定方法および機器名設定プログラム - Google Patents
機器設定装置、ネットワーク機器、機器名設定方法および機器名設定プログラム Download PDFInfo
- Publication number
- JP5030681B2 JP5030681B2 JP2007159551A JP2007159551A JP5030681B2 JP 5030681 B2 JP5030681 B2 JP 5030681B2 JP 2007159551 A JP2007159551 A JP 2007159551A JP 2007159551 A JP2007159551 A JP 2007159551A JP 5030681 B2 JP5030681 B2 JP 5030681B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- unit
- device name
- setting
- name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、例えば、ネットワーク機器の通信設定を行う機器設定装置、ネットワーク機器、機器名設定方法および機器名設定プログラムに関するものである。
Webサーバを内蔵してネットワークに接続することで撮影している映像をWebブラウザ等を通じて遠隔から確認させる監視カメラのようなネットワーク機器を使用する際、セキュリティ上の理由からTLS(Transport Layer Security)やSSL(Secure Sockets Layer)を使用してWebサーバを認証し、通信するメッセージを暗号化することが多い。WebサーバとWebブラウザとの通信では、WebブラウザはWebサーバがWebブラウザに提示する公開鍵証明書に対応する秘密鍵を持っていることを確認するだけではなく、公開鍵証明書に記載されているホスト名と実際のホスト名とが一致していることを確認する。そして、ホスト名が一致していない場合はWebブラウザの画面に警告を表示し、通信を継続するか中止するかの選択を利用者に求めるといったことを行っている。
ここで、一般的なWebサーバではそのWebサーバに割り当てているホスト名と同じホスト名を示す公開鍵証明書の発行および設定を行っているのに対して、監視カメラのような小型のネットワーク機器をWebサーバとする場合には事情が異なる。
小型のネットワーク機器は通常、キーボードやディスプレイを接続しないため、多くの場合、Webインタフェースを通じてネットワーク上から設定を行えるようになっている。しかしながら、設定方法は煩雑であるため、設定を必要としないよう小型のネットワーク機器は工場出荷時の設定でそのまま使用できるように調整されていることが多い。
小型のネットワーク機器は通常、キーボードやディスプレイを接続しないため、多くの場合、Webインタフェースを通じてネットワーク上から設定を行えるようになっている。しかしながら、設定方法は煩雑であるため、設定を必要としないよう小型のネットワーク機器は工場出荷時の設定でそのまま使用できるように調整されていることが多い。
但し、IP(Internet Protocol)アドレスは、工場出荷時に決定することはできないため、ネットワーク機器はネットワークの使用時に自動設定するためにDHCP(Dynamic Host Configuration Protocol)サーバからIPアドレスを取得するように設定されていることが一般的である。
また、DHCPサーバを使用する環境では、DHCPサーバがプールしてあるIPアドレスに対してホスト名を割り当てておき、ネームサーバ(DNS(Domain Name System))がホスト名に対応するIPアドレスを登録しておくことによって、通信端末はIPアドレスの代わりにホスト名を指定して当該ネットワーク機器にアクセスすることができる。
また、ネットワーク機器に手動でホスト名を設定する場合は、IPアドレスがDHCPサーバから割り当てられた後で設定したホスト名と割り当てられたIPアドレスとをDDNS(Dynamic DNS)に登録することによって、通信端末は動的に変化するIPアドレスが割り当てられているネットワーク機器に対してそのネットワーク機器に設定したホスト名を指定してアクセスすることができる。
また、DHCPサーバを使用する環境では、DHCPサーバがプールしてあるIPアドレスに対してホスト名を割り当てておき、ネームサーバ(DNS(Domain Name System))がホスト名に対応するIPアドレスを登録しておくことによって、通信端末はIPアドレスの代わりにホスト名を指定して当該ネットワーク機器にアクセスすることができる。
また、ネットワーク機器に手動でホスト名を設定する場合は、IPアドレスがDHCPサーバから割り当てられた後で設定したホスト名と割り当てられたIPアドレスとをDDNS(Dynamic DNS)に登録することによって、通信端末は動的に変化するIPアドレスが割り当てられているネットワーク機器に対してそのネットワーク機器に設定したホスト名を指定してアクセスすることができる。
DHCPサーバを使用することができない場合には、同じネットワークに接続する設定用の通信端末から設定対象のネットワーク機器にアクセスし、そのネットワーク機器に固定のIPアドレスをはじめとする様々な通信設定を行うこともある。
このとき、一つ一つのネットワーク機器に接続して設定を行うのは煩雑であるため、設定の自動化の方法がいくつか提案されている。例えば、意図した位置に設置されたネットワーク機器が自らの位置情報を設定用サーバに送信し、設定用サーバが受信した位置情報に対応する設定をそのネットワーク機器に行う方法が特許文献1に記載されている。本文献では、DHCPサーバからIPアドレスが割り当てられることも考慮しているが、DHCPサーバから割り当てられるIPアドレスは設定のために使用する一時的なIPアドレスとして取り扱っている。
特開2004−23238号公報
このとき、一つ一つのネットワーク機器に接続して設定を行うのは煩雑であるため、設定の自動化の方法がいくつか提案されている。例えば、意図した位置に設置されたネットワーク機器が自らの位置情報を設定用サーバに送信し、設定用サーバが受信した位置情報に対応する設定をそのネットワーク機器に行う方法が特許文献1に記載されている。本文献では、DHCPサーバからIPアドレスが割り当てられることも考慮しているが、DHCPサーバから割り当てられるIPアドレスは設定のために使用する一時的なIPアドレスとして取り扱っている。
DHCPサーバが、プールしてあるIPアドレスに対して前もってホスト名を割り当てておき、ネットワーク機器に対して、割り当てたIPアドレスに対応するホスト名を自動的に設定する場合、IPアドレスは動的に割り振られるため、ネットワーク機器に設定されるホスト名は不定となり、ホスト名に基づいてネットワーク機器の物理的な位置を特定することは困難である。また、IPアドレスのリース期間が過ぎた後に再度ネットワーク機器の電源を入れた際等に以前とは異なるIPアドレスが割り振られホスト名が変化してしまうという可能性があることもネットワーク機器の物理的な位置の特定を困難にする要因の一つである。
また、IPアドレスはDHCPサーバから自動的に取得するがホスト名はWebインタフェースを使用してネットワークに接続する通信端末から手動で設定する方法では、どのネットワーク機器にどんなIPアドレスが割り当てられたのかが不明であるため、通信端末からホスト名の設定対象とするネットワーク機器にアクセスすることが困難となる。
このような場合、全IPアドレスに対して問い合わせたりブロードキャストを使用したりして各ネットワーク機器からの応答によって設定対象とするネットワーク機器を検索する方法も考えられる。しかし、本方法でも、設定対象のネットワーク機器について、応答に基づいてネットワーク上の位置を知ることはできても物理的な位置は不明である。
このような場合、ネットワーク機器の物理的な位置が分かるようにするには、例えば、ネットワーク上から各ネットワーク機器を識別できる機器IDと物理的な位置とが関連付けられるように各ネットワーク機器を設置する必要がある。
このような場合、全IPアドレスに対して問い合わせたりブロードキャストを使用したりして各ネットワーク機器からの応答によって設定対象とするネットワーク機器を検索する方法も考えられる。しかし、本方法でも、設定対象のネットワーク機器について、応答に基づいてネットワーク上の位置を知ることはできても物理的な位置は不明である。
このような場合、ネットワーク機器の物理的な位置が分かるようにするには、例えば、ネットワーク上から各ネットワーク機器を識別できる機器IDと物理的な位置とが関連付けられるように各ネットワーク機器を設置する必要がある。
また、ネットワーク機器が位置情報を設定用サーバに送信し、設定用サーバが位置情報に応じてそのネットワーク機器を設定する場合、ネットワーク機器が自立的に位置情報を取得するか、ネットワーク機器に位置情報を手動で設定する必要がある。そのため、現地での設置時に位置情報を設定する場合は、ネットワーク機器を設置する際に位置情報の設定を行うための時間と手間が必要であり、また、設定用の機器を必要とする。また、設置前に位置情報を設定しておく場合は、設定した位置情報に対応する正しい位置に各ネットワーク機器を設置し、その確認を行うという手間が必要である。
いずれにせよ、設置時か設置前かの違いはあっても各ネットワーク機器に対して直接接続して設定を行うことが必要であり、その作業は煩雑である。
いずれにせよ、設置時か設置前かの違いはあっても各ネットワーク機器に対して直接接続して設定を行うことが必要であり、その作業は煩雑である。
本発明は、例えば、監視カメラのような小型のネットワーク機器に対する設定の手間を軽減し、小型のネットワーク機器に対してそのネットワーク機器が設置された位置に応じた設定を簡単にできるようにすることを目的とする。
本発明の機器設定装置は、ネットワークに接続すると共にネットワークを介さずに自己を識別する特定の機器IDを提供する機器ID提供部を備えるネットワーク機器について任意の機器名を設定する機器設定装置であり、当該ネットワーク機器の前記機器ID提供部から当該ネットワーク機器の機器IDをネットワークを介さずに入力機器を用いて取得する機器ID取得部と、当該ネットワーク機器に対する利用者指定の任意の機器名を入力機器から入力する設定機器名入力部と、前記設定機器名入力部が入力した機器名を前記機器ID取得部が取得した機器IDを用いて通信機器からネットワークを介して当該機器IDで識別されるネットワーク機器に通知する設定機器名通知部とを備えたことを特徴とする。
本発明によれば、ネットワーク機器の機器ID(例えば、MACアドレス)をネットワークを介さずに取得し、当該ネットワーク機器に設定したい機器名(例えば、ホスト名)を機器IDを用いてネットワークを介して当該ネットワーク機器に通知することができる。
これにより、例えば、小型のネットワーク機器に対して設置された物理的な位置に対応するホスト名等の設定を容易に行うことができるため、各ネットワーク機器の設置及び設定のコストを削減できる。例えば、ある場所に設置する小型ネットワーク機器に対するホスト名を事前に決定しておくことで、設置及び設定作業と並行して小型ネットワーク機器に簡単にアクセスするためのネットワークシステムを事前に構築することや、小型ネットワーク機器を使用するネットワークシステムの運用を開始するまでの期間を短縮することができる。
これにより、例えば、小型のネットワーク機器に対して設置された物理的な位置に対応するホスト名等の設定を容易に行うことができるため、各ネットワーク機器の設置及び設定のコストを削減できる。例えば、ある場所に設置する小型ネットワーク機器に対するホスト名を事前に決定しておくことで、設置及び設定作業と並行して小型ネットワーク機器に簡単にアクセスするためのネットワークシステムを事前に構築することや、小型ネットワーク機器を使用するネットワークシステムの運用を開始するまでの期間を短縮することができる。
実施の形態1.
図1は、実施の形態1におけるネットワークシステムのデータフローおよびシステム構成の概要を示す図である。
図2は、実施の形態1におけるネットワークシステムの機器設定方法および通信方法を示すフローチャートである。
実施の形態1におけるネットワークシステムのネットワーク機器810に任意のホスト名や動的なIPアドレスを設定する機器設定方法、及び、ホスト名で指定したネットワーク機器810とネットワーク604を介して通信する通信方法の概要について、図1および図2に基づいて以下に説明する。
図1は、実施の形態1におけるネットワークシステムのデータフローおよびシステム構成の概要を示す図である。
図2は、実施の形態1におけるネットワークシステムの機器設定方法および通信方法を示すフローチャートである。
実施の形態1におけるネットワークシステムのネットワーク機器810に任意のホスト名や動的なIPアドレスを設定する機器設定方法、及び、ホスト名で指定したネットワーク機器810とネットワーク604を介して通信する通信方法の概要について、図1および図2に基づいて以下に説明する。
<S110>
まず、各ネットワーク機器810(ネットワーク機器810a〜ネットワーク機器810d)が任意の場所に設置され、ネットワーク604に接続される。
ネットワークシステムの施設者は各ネットワーク機器810を所望の場所に設置すると共にネットワーク604に有線または無線で接続する。複数のネットワーク機器810それぞれの設置場所は任意であり、施設者は各ネットワーク機器810を設置予定のいずれかの場所に設置すればよい。
全てのネットワーク機器810にはMAC(Media Access Control)アドレスという機器固有のID(IDentifier,識別子)が割り当てられており、実施の形態1におけるネットワークシステムではMACアドレスのように各ネットワーク機器を識別できるIDを利用して各ネットワーク機器の設定を行う。
MACアドレスはネットワーク機器を識別する機器IDの一例である。
また、任意の場所に設置され、ネットワーク604に接続された各ネットワーク機器810について、ネットワーク機器810aのMACアドレスを“MACアドレスa”、ネットワーク機器810bのMACアドレスを“MACアドレスb”、ネットワーク機器810cのMACアドレスを“MACアドレスc”、ネットワーク機器810dのMACアドレスを“MACアドレスd”とする。
まず、各ネットワーク機器810(ネットワーク機器810a〜ネットワーク機器810d)が任意の場所に設置され、ネットワーク604に接続される。
ネットワークシステムの施設者は各ネットワーク機器810を所望の場所に設置すると共にネットワーク604に有線または無線で接続する。複数のネットワーク機器810それぞれの設置場所は任意であり、施設者は各ネットワーク機器810を設置予定のいずれかの場所に設置すればよい。
全てのネットワーク機器810にはMAC(Media Access Control)アドレスという機器固有のID(IDentifier,識別子)が割り当てられており、実施の形態1におけるネットワークシステムではMACアドレスのように各ネットワーク機器を識別できるIDを利用して各ネットワーク機器の設定を行う。
MACアドレスはネットワーク機器を識別する機器IDの一例である。
また、任意の場所に設置され、ネットワーク604に接続された各ネットワーク機器810について、ネットワーク機器810aのMACアドレスを“MACアドレスa”、ネットワーク機器810bのMACアドレスを“MACアドレスb”、ネットワーク機器810cのMACアドレスを“MACアドレスc”、ネットワーク機器810dのMACアドレスを“MACアドレスd”とする。
<S120:IPアドレス設定処理>
次に、ネットワーク604に接続された各ネットワーク機器810は、TCP/IPを用いた一般的なネットワークシステムと同様に、DHCPサーバ601から動的IPアドレスを通信機器を用いて取得し、取得した動的IPアドレスを自己のIPアドレスとして自己の記憶機器に設定する。
これにより、各ネットワーク機器810は取得したIPアドレスを用いてネットワーク604を介したデータ通信を行うことができる。
IPアドレスはネットワーク604を介したデータ通信に用いる当該ネットワーク機器を識別する特定のネットワークIDの一例である。
ここで、ネットワーク機器810aはDHCPサーバ601から“IPアドレスa”を取得したものとする。
次に、ネットワーク604に接続された各ネットワーク機器810は、TCP/IPを用いた一般的なネットワークシステムと同様に、DHCPサーバ601から動的IPアドレスを通信機器を用いて取得し、取得した動的IPアドレスを自己のIPアドレスとして自己の記憶機器に設定する。
これにより、各ネットワーク機器810は取得したIPアドレスを用いてネットワーク604を介したデータ通信を行うことができる。
IPアドレスはネットワーク604を介したデータ通信に用いる当該ネットワーク機器を識別する特定のネットワークIDの一例である。
ここで、ネットワーク機器810aはDHCPサーバ601から“IPアドレスa”を取得したものとする。
<S131〜S133:ホスト名設定処理>
次に、機器設定装置820は各ネットワーク機器810から当該ネットワーク機器810のMACアドレスを取得する(S131:機器ID提供処理、機器ID取得処理)。
ここで、実施の形態1における各ネットワーク機器810は自己のMACアドレスをネットワーク604を介さずに機器設定装置820に提供する機器ID提供部を有することを特徴とする。
例えば、各ネットワーク機器810の筐体外部には、機器ID提供部として、視認できる位置にMACアドレスを示すバーコードやQR(Quick Response)コード(登録商標)といった二次元コードが貼付されている。そして、システム管理者は機器設定装置820に備わるカメラによりホスト名を設定したいネットワーク機器810の二次元コードを撮像し、機器設定装置820は撮像した二次元コードの画像データをCPU(Central Proccessing Unit)を用いて画像処理して撮像した二次元コードからMACアドレスを読み取り、読み取ったMACアドレスを記憶機器に記憶する。
また例えば、各ネットワーク機器810は、機器ID提供部として、MACアドレスが記憶されたRFID(Radio Frequency Identification)タグのような無線IC(Integrated Circuit)チップを備えている。例えば、ネットワーク機器810が備えるRFIDタグはRFIDリーダが発する電磁波(電波)から電力を得る非接触電力伝送技術を有するものが好ましい。そして、システム管理者はRFIDリーダ(無線通信機器の一例)が備わる機器設定装置820をホスト名の設定を行いたいネットワーク機器810に近接し、機器設定装置820はRFIDリーダによりネットワーク機器810のRFIDタグに記憶されているMACアドレスを読み出し、読み出したMACアドレスを記憶機器に記憶する。
つまり、各ネットワーク機器810はTCP/IPのような通信手順を必要とせずにMACアドレスを提供する機器ID提供部を備え、機器設定装置820は同様に通信手順を必要とせずに各ネットワーク機器810の機器ID提供部からMACアドレスを取得する一方向の通信手段(例えば、カメラやRFIDリーダ)を備える。
また、機器設定装置820は、異なる場所に設置された各ネットワーク機器810からMACアドレスを取得するために、携帯電話機、PDA(Personal Digital Assistants)(登録商標)、ノート型PC(Personal Computer)のような持ち運び可能な形態であるのが好ましい。
ここで、機器設定装置820はネットワーク機器810aから“MACアドレスa”を取得したものとする。
次に、機器設定装置820は各ネットワーク機器810から当該ネットワーク機器810のMACアドレスを取得する(S131:機器ID提供処理、機器ID取得処理)。
ここで、実施の形態1における各ネットワーク機器810は自己のMACアドレスをネットワーク604を介さずに機器設定装置820に提供する機器ID提供部を有することを特徴とする。
例えば、各ネットワーク機器810の筐体外部には、機器ID提供部として、視認できる位置にMACアドレスを示すバーコードやQR(Quick Response)コード(登録商標)といった二次元コードが貼付されている。そして、システム管理者は機器設定装置820に備わるカメラによりホスト名を設定したいネットワーク機器810の二次元コードを撮像し、機器設定装置820は撮像した二次元コードの画像データをCPU(Central Proccessing Unit)を用いて画像処理して撮像した二次元コードからMACアドレスを読み取り、読み取ったMACアドレスを記憶機器に記憶する。
また例えば、各ネットワーク機器810は、機器ID提供部として、MACアドレスが記憶されたRFID(Radio Frequency Identification)タグのような無線IC(Integrated Circuit)チップを備えている。例えば、ネットワーク機器810が備えるRFIDタグはRFIDリーダが発する電磁波(電波)から電力を得る非接触電力伝送技術を有するものが好ましい。そして、システム管理者はRFIDリーダ(無線通信機器の一例)が備わる機器設定装置820をホスト名の設定を行いたいネットワーク機器810に近接し、機器設定装置820はRFIDリーダによりネットワーク機器810のRFIDタグに記憶されているMACアドレスを読み出し、読み出したMACアドレスを記憶機器に記憶する。
つまり、各ネットワーク機器810はTCP/IPのような通信手順を必要とせずにMACアドレスを提供する機器ID提供部を備え、機器設定装置820は同様に通信手順を必要とせずに各ネットワーク機器810の機器ID提供部からMACアドレスを取得する一方向の通信手段(例えば、カメラやRFIDリーダ)を備える。
また、機器設定装置820は、異なる場所に設置された各ネットワーク機器810からMACアドレスを取得するために、携帯電話機、PDA(Personal Digital Assistants)(登録商標)、ノート型PC(Personal Computer)のような持ち運び可能な形態であるのが好ましい。
ここで、機器設定装置820はネットワーク機器810aから“MACアドレスa”を取得したものとする。
次に、機器設定装置820はシステム管理者が指定した当該ネットワーク機器810に設定するホスト名を入力機器から入力し、入力したホスト名をS131において当該ネットワーク機器810から取得したMACアドレスに対応付けて記憶機器に記憶する(S132:設定機器名入力処理)。
このとき、システム管理者は機器設定装置820に備わる入力キーやタッチパネルといった入力機器に対してS131においてMACアドレスを取得したネットワーク機器810に設定したいホスト名を入力する。ここで、システム管理者が当該ネットワーク機器810の設置場所(方位、建物名、階数、部屋番号など)を表す名称をホスト名として指定することにより、ネットワーク機器810の設置場所(物理的な位置)をホスト名から特定することができる。
ここで、機器設定装置820はネットワーク機器810aのホスト名として“ホスト名a”を入力し、“MACアドレスa”と“ホスト名a”とを対応付けて記憶したものとする。
このとき、システム管理者は機器設定装置820に備わる入力キーやタッチパネルといった入力機器に対してS131においてMACアドレスを取得したネットワーク機器810に設定したいホスト名を入力する。ここで、システム管理者が当該ネットワーク機器810の設置場所(方位、建物名、階数、部屋番号など)を表す名称をホスト名として指定することにより、ネットワーク機器810の設置場所(物理的な位置)をホスト名から特定することができる。
ここで、機器設定装置820はネットワーク機器810aのホスト名として“ホスト名a”を入力し、“MACアドレスa”と“ホスト名a”とを対応付けて記憶したものとする。
次に、機器設定装置820はMACアドレスを用いてS132において指定されたホスト名を当該ネットワーク機器810に通知する(S133:設定機器名通知処理、設定機器名受信処理)。
このとき、機器設定装置820はMACアドレスとホスト名とを示すデータを通信機器を用いて有線または無線によりネットワーク604を介して全ネットワーク機器810に送信する。例えば、機器設定装置820はブロードキャストIPアドレスを宛先とするIPパケットにS131で取得したMACアドレスとS132で指定されたホスト名とを設定し、無線LANアクセスポイント603を中継器としてそのIPパケットを全ネットワーク機器810に送信する。
そして、特定のネットワーク機器810のMACアドレスとホスト名とを示すIPパケットを受信した各ネットワーク機器810は、IPパケットの示すMACアドレスが自己のMACアドレスと一致するかCPUを用いて判定し、MACアドレスが一致する場合にはIPパケットの示すホスト名を自己のホスト名として記憶機器に記憶し、MACアドレスが一致しない場合には受信したIPパケットを破棄する。
例えば、機器設定装置820がネットワーク機器810aのMACアドレス(MACアドレスa)とホスト名(ホスト名a)とを示すIPパケットをブロードキャストした場合、ネットワーク機器810aはホスト名aを記憶し、ネットワーク機器810b、ネットワーク機器810cおよびネットワーク機器810dはホスト名を記憶せずにIPパケットを破棄する。
このとき、機器設定装置820はMACアドレスとホスト名とを示すデータを通信機器を用いて有線または無線によりネットワーク604を介して全ネットワーク機器810に送信する。例えば、機器設定装置820はブロードキャストIPアドレスを宛先とするIPパケットにS131で取得したMACアドレスとS132で指定されたホスト名とを設定し、無線LANアクセスポイント603を中継器としてそのIPパケットを全ネットワーク機器810に送信する。
そして、特定のネットワーク機器810のMACアドレスとホスト名とを示すIPパケットを受信した各ネットワーク機器810は、IPパケットの示すMACアドレスが自己のMACアドレスと一致するかCPUを用いて判定し、MACアドレスが一致する場合にはIPパケットの示すホスト名を自己のホスト名として記憶機器に記憶し、MACアドレスが一致しない場合には受信したIPパケットを破棄する。
例えば、機器設定装置820がネットワーク機器810aのMACアドレス(MACアドレスa)とホスト名(ホスト名a)とを示すIPパケットをブロードキャストした場合、ネットワーク機器810aはホスト名aを記憶し、ネットワーク機器810b、ネットワーク機器810cおよびネットワーク機器810dはホスト名を記憶せずにIPパケットを破棄する。
<S141〜S143:ホスト名登録処理>
次に、各ネットワーク機器810は機器設定装置820からネットワーク604を介して受信した自己のホスト名を通信機器を用いて通知してDHCPサーバ601から動的IPアドレスを再取得する(S141:自己機器名送信処理)。
このとき、DHCPサーバ601からネットワーク機器810に割り当てられるIPアドレスはS120において割り当てられたIPアドレスと同じでも異なっても構わない。
DHCPサーバ601では通知されたホスト名と当該ネットワーク機器810に割り当てたIPアドレスとを対応付けて記憶機器に記憶する。
ここで、DHCPサーバ601はネットワーク機器810aから送信された“ホスト名a”とネットワーク機器810aに割り当てた“IPアドレスa”とを対応付けて記憶したものとする。
次に、各ネットワーク機器810は機器設定装置820からネットワーク604を介して受信した自己のホスト名を通信機器を用いて通知してDHCPサーバ601から動的IPアドレスを再取得する(S141:自己機器名送信処理)。
このとき、DHCPサーバ601からネットワーク機器810に割り当てられるIPアドレスはS120において割り当てられたIPアドレスと同じでも異なっても構わない。
DHCPサーバ601では通知されたホスト名と当該ネットワーク機器810に割り当てたIPアドレスとを対応付けて記憶機器に記憶する。
ここで、DHCPサーバ601はネットワーク機器810aから送信された“ホスト名a”とネットワーク機器810aに割り当てた“IPアドレスa”とを対応付けて記憶したものとする。
次に、DHCPサーバ601はS141において通知されたホスト名とホスト名の通知元のネットワーク機器810に割り当てたIPアドレスとをDNSサーバ602に通信機器を用いて通知する(S142)。
このとき、DHCPサーバ601はS141において対応付けて記憶したホスト名とIPアドレスとをネットワーク604を介してDNSサーバ602に送信する。
ここで、DHCPサーバ601はネットワーク機器810aについて記憶したホスト名aとIPアドレスaとをDNSサーバ602に送信したものとする。
このとき、DHCPサーバ601はS141において対応付けて記憶したホスト名とIPアドレスとをネットワーク604を介してDNSサーバ602に送信する。
ここで、DHCPサーバ601はネットワーク機器810aについて記憶したホスト名aとIPアドレスaとをDNSサーバ602に送信したものとする。
次に、DNSサーバ602はS142においてDHCPサーバ601から送信されたIPアドレスとホスト名とを対応付けて記憶機器に登録する(S143)。
ここで、DNSサーバ602はネットワーク機器810aについてホスト名aとIPアドレスaとを対応付けて登録したものとする。
ここで、DNSサーバ602はネットワーク機器810aについてホスト名aとIPアドレスaとを対応付けて登録したものとする。
<S151〜S152:通信処理>
次に、クライアント装置830はネットワークシステムの利用者により通信先として指定されたネットワーク機器810のホスト名に対応するIPアドレスをDNSサーバ602から取得する(S151:通信先機器名入力処理、対応ネットワークID取得処理)。
このとき、利用者はクライアント装置830のキーボードやマウスなどの入力機器を用いて通信したいネットワーク機器810のホスト名を指定する。例えば、利用者はS132において管理者が配置場所を表すように指定したホスト名をキーボードから直接入力する。また例えば、クライアント装置830が各ネットワーク機器810の配置図をディスプレイに表示し、利用者はディスプレイに表示された配置図上で通信したいネットワーク機器810の配置部分をマウスを用いて指定することによりホスト名を指定する。この場合、例えば、クライアント装置830は各ネットワーク機器810の設置場所を示す情報とホスト名とを対応付けて記憶し、ネットワーク機器810の配置図において利用者に指定された配置部分(設置場所を示す情報)に対応するホスト名を特定する。
また、クライアント装置830は利用者に指定されたホスト名(対応ネットワークID要求)をDNSサーバ602に通信機器を用いて送信し、DNSサーバ602はクライアント装置830から送信されたホスト名に対応付けてS143において登録したIPアドレスを記憶機器から取得してクライアント装置830に通信機器を用いて送信し、クライアント装置830はDNSサーバ602から送信されたIPアドレスを記憶機器に記憶する。
ここで、利用者は通信先としてネットワーク機器810aのホスト名(ホスト名a)を指定し、クライアント装置830はネットワーク機器810aのIPアドレス(IPアドレスa)をDNSサーバ602から取得したものとする。
次に、クライアント装置830はネットワークシステムの利用者により通信先として指定されたネットワーク機器810のホスト名に対応するIPアドレスをDNSサーバ602から取得する(S151:通信先機器名入力処理、対応ネットワークID取得処理)。
このとき、利用者はクライアント装置830のキーボードやマウスなどの入力機器を用いて通信したいネットワーク機器810のホスト名を指定する。例えば、利用者はS132において管理者が配置場所を表すように指定したホスト名をキーボードから直接入力する。また例えば、クライアント装置830が各ネットワーク機器810の配置図をディスプレイに表示し、利用者はディスプレイに表示された配置図上で通信したいネットワーク機器810の配置部分をマウスを用いて指定することによりホスト名を指定する。この場合、例えば、クライアント装置830は各ネットワーク機器810の設置場所を示す情報とホスト名とを対応付けて記憶し、ネットワーク機器810の配置図において利用者に指定された配置部分(設置場所を示す情報)に対応するホスト名を特定する。
また、クライアント装置830は利用者に指定されたホスト名(対応ネットワークID要求)をDNSサーバ602に通信機器を用いて送信し、DNSサーバ602はクライアント装置830から送信されたホスト名に対応付けてS143において登録したIPアドレスを記憶機器から取得してクライアント装置830に通信機器を用いて送信し、クライアント装置830はDNSサーバ602から送信されたIPアドレスを記憶機器に記憶する。
ここで、利用者は通信先としてネットワーク機器810aのホスト名(ホスト名a)を指定し、クライアント装置830はネットワーク機器810aのIPアドレス(IPアドレスa)をDNSサーバ602から取得したものとする。
そして、クライアント装置830はS151においてDNSサーバ602から取得したIPアドレスを用いて利用者指定のネットワーク機器810とデータ通信を行う(S152:端末データ通信処理)。
例えば、クライアント装置830は監視カメラであるネットワーク機器810aからネットワーク機器810aが撮影した監視映像を通信機器を用いて受信し、受信した監視影像をディスプレイに表示してネットワーク機器810aが設置された場所を映した監視映像を利用者に提供する。
例えば、クライアント装置830は監視カメラであるネットワーク機器810aからネットワーク機器810aが撮影した監視映像を通信機器を用いて受信し、受信した監視影像をディスプレイに表示してネットワーク機器810aが設置された場所を映した監視映像を利用者に提供する。
機器設定装置820は以下のような機器ID取得部と設定機器名入力部と設定機器名記憶部と設定機器名通知部とを備える機器設定装置の一例である。
機器ID取得部はネットワークに接続すると共にネットワークを介さずに自己を識別する特定の機器IDを提供する機器ID提供部を備えるネットワーク機器の機器ID提供部から当該ネットワーク機器の機器IDをネットワークを介さずに入力機器を用いて取得する。
設定機器名入力部は当該ネットワーク機器に対する利用者指定の任意の機器名を入力機器から入力する。
設定機器名通知部は設定機器名入力部が入力した機器名を機器ID取得部が取得した機器IDを用いて通信機器からネットワークを介して当該機器IDで識別されるネットワーク機器に通知する。
機器ID取得部はネットワークに接続すると共にネットワークを介さずに自己を識別する特定の機器IDを提供する機器ID提供部を備えるネットワーク機器の機器ID提供部から当該ネットワーク機器の機器IDをネットワークを介さずに入力機器を用いて取得する。
設定機器名入力部は当該ネットワーク機器に対する利用者指定の任意の機器名を入力機器から入力する。
設定機器名通知部は設定機器名入力部が入力した機器名を機器ID取得部が取得した機器IDを用いて通信機器からネットワークを介して当該機器IDで識別されるネットワーク機器に通知する。
ネットワーク機器810は以下のような機器ID提供部と設定機器名受信部と自己機器名送信部と機器データ通信部とを備えるネットワーク機器の一例である。
機器ID提供部は自己を識別する特定の機器IDをネットワークを介さずに提供する。
設定機器名受信部は機器IDと当該機器IDで識別されるネットワーク機器に対して指定された機器名とをネットワークを介して通信機器を用いて受信し、受信した機器IDが自己の機器IDと一致するかCPUを用いて判定し、機器IDが一致すると判定した場合に当該機器IDと共に受信した機器名を自己の機器名として記憶機器に記憶する。
自己機器名送信部はネットワーク機器の機器名とネットワークを介したデータ通信に用いる当該ネットワーク機器を識別する特定のネットワークIDとを管理する機器名管理装置における自ネットワーク機器の管理情報として設定機器名受信部が受信した自己の機器名を通信機器を用いてネットワークに送出する。
機器データ通信部は機器名管理装置が管理する自ネットワーク機器を識別する特定のネットワークIDを用いてネットワークを介して通信機器によりデータ通信を行う。
機器ID提供部は自己を識別する特定の機器IDをネットワークを介さずに提供する。
設定機器名受信部は機器IDと当該機器IDで識別されるネットワーク機器に対して指定された機器名とをネットワークを介して通信機器を用いて受信し、受信した機器IDが自己の機器IDと一致するかCPUを用いて判定し、機器IDが一致すると判定した場合に当該機器IDと共に受信した機器名を自己の機器名として記憶機器に記憶する。
自己機器名送信部はネットワーク機器の機器名とネットワークを介したデータ通信に用いる当該ネットワーク機器を識別する特定のネットワークIDとを管理する機器名管理装置における自ネットワーク機器の管理情報として設定機器名受信部が受信した自己の機器名を通信機器を用いてネットワークに送出する。
機器データ通信部は機器名管理装置が管理する自ネットワーク機器を識別する特定のネットワークIDを用いてネットワークを介して通信機器によりデータ通信を行う。
DNSサーバ602は以下のような機器通信情報管理部と対応ネットワークID応答部とを備える機器名管理装置の一例である。
機器通信情報管理部はネットワーク機器がネットワークに送出した機器名と当該ネットワーク機器のネットワークIDとを対応付けて記憶機器に記憶管理する。
対応ネットワークID応答部は機器名に対応するネットワークIDを要求する対応ネットワークID要求を受信し、受信した対応ネットワークID要求が示す機器名に対応付けて機器通信情報管理部が記憶管理するネットワークIDを対応ネットワークID要求元に通信機器を用いて応答する。
機器通信情報管理部はネットワーク機器がネットワークに送出した機器名と当該ネットワーク機器のネットワークIDとを対応付けて記憶機器に記憶管理する。
対応ネットワークID応答部は機器名に対応するネットワークIDを要求する対応ネットワークID要求を受信し、受信した対応ネットワークID要求が示す機器名に対応付けて機器通信情報管理部が記憶管理するネットワークIDを対応ネットワークID要求元に通信機器を用いて応答する。
クライアント装置830は以下のような通信先機器名入力部と対応ネットワークID取得部と端末データ通信部とを備える通信端末装置の一例である。
通信先機器名入力部は利用者指定のデータ通信先のネットワーク機器の機器名を入力機器から入力する。
対応ネットワークID取得部は通信先機器名入力部が入力した機器名に対応するネットワークIDを要求する対応ネットワークID要求を機器名管理装置に送信して利用者指定のデータ通信先のネットワーク機器のネットワークIDを取得する。
端末データ通信部は対応ネットワークID取得部が取得したネットワークIDを用いて利用者指定のデータ通信先のネットワーク機器と通信機器によりデータ通信を行う。
通信先機器名入力部は利用者指定のデータ通信先のネットワーク機器の機器名を入力機器から入力する。
対応ネットワークID取得部は通信先機器名入力部が入力した機器名に対応するネットワークIDを要求する対応ネットワークID要求を機器名管理装置に送信して利用者指定のデータ通信先のネットワーク機器のネットワークIDを取得する。
端末データ通信部は対応ネットワークID取得部が取得したネットワークIDを用いて利用者指定のデータ通信先のネットワーク機器と通信機器によりデータ通信を行う。
DHCPサーバ601は以下のようなネットワークID管理部とネットワークID割当部と機器通信情報通知部とを備えるネットワークID管理装置の一例である。
ネットワークID管理部は複数のネットワークIDについてネットワーク機器に割り当て済みの各ネットワークIDとネットワーク機器に未割り当ての各ネットワークIDとを記憶機器を用いて記憶管理する。
ネットワークID割当部はネットワークID管理部が記憶管理する未割り当てのネットワークIDを通信機器を用いてネットワークを介して送信してネットワークIDを未割り当てのネットワーク機器に当該ネットワークIDを割り当てる。
機器通信情報通知部はネットワーク機器がネットワークに送出した機器名を通信機器を用いて受信し、受信した機器名と当該機器名を送出したネットワーク機器にネットワークID割当部が割り当てたネットワークIDとを通信機器を用いて機器名管理装置に通知して機器名管理装置に当該機器名と当該機器名に対応する当該ネットワークIDとを記憶管理させる。
ネットワークID管理部は複数のネットワークIDについてネットワーク機器に割り当て済みの各ネットワークIDとネットワーク機器に未割り当ての各ネットワークIDとを記憶機器を用いて記憶管理する。
ネットワークID割当部はネットワークID管理部が記憶管理する未割り当てのネットワークIDを通信機器を用いてネットワークを介して送信してネットワークIDを未割り当てのネットワーク機器に当該ネットワークIDを割り当てる。
機器通信情報通知部はネットワーク機器がネットワークに送出した機器名を通信機器を用いて受信し、受信した機器名と当該機器名を送出したネットワーク機器にネットワークID割当部が割り当てたネットワークIDとを通信機器を用いて機器名管理装置に通知して機器名管理装置に当該機器名と当該機器名に対応する当該ネットワークIDとを記憶管理させる。
次に、上記で説明した実施の形態1のネットワークシステムにおける機器設定方法および通信方法の具体例として、監視カメラ100(小型のネットワーク機器810の一例)に対して設置された位置を示すホスト名を保守端末400(機器設定装置820の一例)を用いて設定し、ホスト名を指定することによりネットワーク604を介して各監視カメラ100から各設置場所を映した監視映像を取得する形態について図を用いて説明する。
また、TLS通信やSSL通信用のサーバ証明書を発行する方法についても説明する。
特に、監視カメラ100をビル内に多数設置し、監視カメラ100に内蔵されたTLSサーバやSSLサーバを通じて監視カメラ100が撮影している画像をクライアント装置830から監視するビル監視システム610(ネットワークシステム800の一例)を構築する場合において、監視カメラ100の設定を行う手順について説明する。
但し、上記で説明した実施の形態1のネットワークシステムにおける機器設定方法および通信方法は、他の種類のネットワーク機器や他の設定内容に対しても適用可能である。
また、TLS通信やSSL通信用のサーバ証明書を発行する方法についても説明する。
特に、監視カメラ100をビル内に多数設置し、監視カメラ100に内蔵されたTLSサーバやSSLサーバを通じて監視カメラ100が撮影している画像をクライアント装置830から監視するビル監視システム610(ネットワークシステム800の一例)を構築する場合において、監視カメラ100の設定を行う手順について説明する。
但し、上記で説明した実施の形態1のネットワークシステムにおける機器設定方法および通信方法は、他の種類のネットワーク機器や他の設定内容に対しても適用可能である。
図3は、実施の形態1における監視カメラ100のハードウェア構成の一例を示す。
実施の形態1における小型ネットワーク機器810の一例である監視カメラ100のハードウェア構成について、図3に基づいて以下に説明する。
実施の形態1における小型ネットワーク機器810の一例である監視カメラ100のハードウェア構成について、図3に基づいて以下に説明する。
監視カメラ100(ネットワーク機器)は、映像を撮影するためのカメラ106、ネットワーク604上の他の機器と通信を行うためのネットワークインタフェース105、ファームウェアを格納するためのフラッシュメモリ104を備える。また、監視カメラ100はCPU101、メモリ102、基本的なプログラムが格納されているROM103(Read Only Memory)も備え、それぞれがバス107で接続されている。
フラッシュメモリ104には、ファームウェア、プログラム群、ファイル群が記録されている。プログラム群のプログラムは、CPU101、ファームウェアにより実行される。
上記プログラム群には、実施の形態の説明において、「〜部」として説明する機能を実行するプログラムが記憶されている。
フラッシュメモリ104には、ファームウェア、プログラム群、ファイル群が記録されている。プログラム群のプログラムは、CPU101、ファームウェアにより実行される。
上記プログラム群には、実施の形態の説明において、「〜部」として説明する機能を実行するプログラムが記憶されている。
図4は、実施の形態1における監視カメラ100の外観の一例を示す。
図4において、監視カメラ100(ネットワーク機器)はドーム型カバー201の内部にカメラ(撮像機)が収められており、筐体外部にはネットワークインタフェース105を識別するMACアドレスを符号化してQRコード(登録商標)等のバーコード202(二次元コード)(機器ID提供部)を印刷あるいは貼り付けてある。
MACアドレスは一般の機器においても機器ごとに管理されていることが多い情報であり、シリアル番号等と同様に筐体の裏等に表示されていることも多い。このため、MACアドレスをバーコードの形式にして筐体の見える場所に表示することは、大きなコストや労力をかけることなく可能なことである。
図4において、監視カメラ100(ネットワーク機器)はドーム型カバー201の内部にカメラ(撮像機)が収められており、筐体外部にはネットワークインタフェース105を識別するMACアドレスを符号化してQRコード(登録商標)等のバーコード202(二次元コード)(機器ID提供部)を印刷あるいは貼り付けてある。
MACアドレスは一般の機器においても機器ごとに管理されていることが多い情報であり、シリアル番号等と同様に筐体の裏等に表示されていることも多い。このため、MACアドレスをバーコードの形式にして筐体の見える場所に表示することは、大きなコストや労力をかけることなく可能なことである。
図5は、実施の形態1における監視カメラ100の機能ブロック構成図である。
実施の形態1における監視カメラ100の機能構成について、図5に基づいて以下に説明する。
実施の形態1における監視カメラ100の機能構成について、図5に基づいて以下に説明する。
監視カメラ100(ネットワーク機器)は、証明書発行要求許可受信部301、証明書発行要求送信部302、証明書受信部303、鍵・証明書格納部304、認証情報格納部307、メッセージ処理部305、鍵対生成部306、IPアドレス取得部311、カメラ制御部312、映像送信部313、証明書要求受信部314、証明書送信部315を備える。
証明書発行要求許可受信部301(機器名設定要求許可受信部)、証明書発行要求送信部302(機器名要求送信部)、証明書受信部303(設定機器名受信部)、証明書要求受信部314、証明書送信部315は、それぞれネットワークインタフェース105を通じて、通信のセキュリティを確保するために用いる電子証明書データ(以下、証明書とする)に関するメッセージを送受信する。
メッセージ処理部305は証明書発行要求許可受信部301、証明書発行要求送信部302、証明書受信部303、証明書要求受信部314、証明書送信部315により送受信される各メッセージをCPU101を用いて処理する。
鍵対生成部306は証明書に設定する公開鍵を生成するために、公開鍵と秘密鍵の鍵対電子データ(以下、鍵とする)をCPU101を用いて生成する。
認証情報格納部307は証明書発行要求送信部302が送信する証明書発行要求メッセージに付加される認証情報をフラッシュメモリ104に格納する。
鍵・証明書格納部304(設定機器名記憶部)は鍵対生成部306で生成された鍵対の秘密鍵や証明書受信部303が受信した自監視カメラ100に対して発行された証明書をフラッシュメモリ104を用いて保存する。
IPアドレス取得部311(自己機器名送信部)は、ネットワークインタフェース105を通じて、自監視カメラ100が用いるIPアドレスをDHCPサーバ601から動的に取得する。
カメラ制御部312はカメラ106をCPU101を用いて制御し、カメラ106が撮像した監視映像をフラッシュメモリ104に記憶する。
映像送信部313(機器データ通信部)は、ネットワークインタフェース105を通じて、カメラ制御部312が記憶したカメラ106の監視映像をクライアント装置830に送信する。
暗号鍵受信部316は、ネットワークインタフェース105を通じて、クライアント装置830から監視映像を暗号化する暗号鍵を受信する。
メッセージ処理部305は証明書発行要求許可受信部301、証明書発行要求送信部302、証明書受信部303、証明書要求受信部314、証明書送信部315により送受信される各メッセージをCPU101を用いて処理する。
鍵対生成部306は証明書に設定する公開鍵を生成するために、公開鍵と秘密鍵の鍵対電子データ(以下、鍵とする)をCPU101を用いて生成する。
認証情報格納部307は証明書発行要求送信部302が送信する証明書発行要求メッセージに付加される認証情報をフラッシュメモリ104に格納する。
鍵・証明書格納部304(設定機器名記憶部)は鍵対生成部306で生成された鍵対の秘密鍵や証明書受信部303が受信した自監視カメラ100に対して発行された証明書をフラッシュメモリ104を用いて保存する。
IPアドレス取得部311(自己機器名送信部)は、ネットワークインタフェース105を通じて、自監視カメラ100が用いるIPアドレスをDHCPサーバ601から動的に取得する。
カメラ制御部312はカメラ106をCPU101を用いて制御し、カメラ106が撮像した監視映像をフラッシュメモリ104に記憶する。
映像送信部313(機器データ通信部)は、ネットワークインタフェース105を通じて、カメラ制御部312が記憶したカメラ106の監視映像をクライアント装置830に送信する。
暗号鍵受信部316は、ネットワークインタフェース105を通じて、クライアント装置830から監視映像を暗号化する暗号鍵を受信する。
図6は、実施の形態1における保守端末400のハードウェア構成の一例を示す。
実施の形態1における機器設定装置820の一例である保守端末400のハードウェア構成について、図6に基づいて以下に説明する。
実施の形態1における機器設定装置820の一例である保守端末400のハードウェア構成について、図6に基づいて以下に説明する。
保守端末400(機器設定装置)は、OS(Operating System)等が格納されているフラッシュメモリ404、監視カメラ100等と通信するための無線LANインタフェース405(LAN:Local Area Network)、監視カメラ100のバーコード202を撮影するためのカメラ406、入力装置および表示装置としての機能を有するタッチパネルディスプレイ装置411を備える。また、保守端末400はCPU401、メモリ402(例えば、RAM(Random Access Memory))、OSをロードする等基本的なプログラムが格納されているROM403も備え、それぞれがバス407で接続されている。また、保守端末400は入力キーなどタッチパネルディスプレイ装置411以外の入力機器を備えてもよい。
フラッシュメモリ404には、OS、プログラム群、ファイル群が記録されている。プログラム群のプログラムは、CPU401、OSにより実行される。
上記プログラム群には、実施の形態の説明において、「〜部」として説明する機能を実行するプログラムが記憶されている。
フラッシュメモリ404には、OS、プログラム群、ファイル群が記録されている。プログラム群のプログラムは、CPU401、OSにより実行される。
上記プログラム群には、実施の形態の説明において、「〜部」として説明する機能を実行するプログラムが記憶されている。
図7は、実施の形態1における保守端末400の機能ブロック構成図である。
実施の形態1における保守端末400の機能構成について、図7に基づいて以下に説明する。
実施の形態1における保守端末400の機能構成について、図7に基づいて以下に説明する。
保守端末400(機器設定装置)は、証明書発行要求許可送信部501、証明書発行要求受付部502、証明書送信部503、設定情報選択部504、秘密鍵格納部505、ホスト名格納部506、メッセージ処理部507、証明書生成部508、表示部511、入力部512、カメラ制御部513、画像制御部514を備える。
証明書発行要求許可送信部501(機器名設定要求許可送信部)、証明書発行要求受付部502(機器名要求受信部)、証明書送信部503(設定機器名通知部)は、それぞれ無線LANインタフェース405を通じて、監視カメラ100と証明書に関するメッセージをやり取りする。
メッセージ処理部507は証明書発行要求許可送信部501、証明書発行要求受付部502、証明書送信部503が監視カメラ100とのやり取りにおいて送受信する各メッセージをCPUを用いて処理する。
設定情報選択部504は、例えばタッチパネルディスプレイ装置411に表示したホスト名選択画面においてホスト名のリストボックスのようなユーザインタフェースを保守員に提供し、保守員の操作により選択された監視カメラ100に設定するホスト名であり監視カメラ100に発行する証明書に設定するホスト名等の情報を入力する。
秘密鍵格納部505は、例えばRSA(Rivest Shamir Adleman)(登録商標)の秘密鍵のような署名用の鍵(電子データ)をフラッシュメモリ404に格納している。このRSA(登録商標)の秘密鍵は監視カメラ100等のネットワーク機器810に発行する証明書に署名情報を設定する際に使用される。
ホスト名格納部506(設定機器名記憶部)は証明書に設定するホスト名の候補や使用済みのホスト名等をフラッシュメモリ404を用いて記憶管理する。
証明書生成部508は監視カメラ100に発行するための証明書をCPUを用いて作成する。
表示部511はタッチパネルディスプレイ装置411にホスト名選択画面などの画面を表示する。
入力部512(設定機器名入力部)はタッチパネルディスプレイ装置411や入力キーなどの入力機器から保守員の指定情報を入力する。
カメラ制御部513(機器ID取得部)はカメラ406をCPU401を用いて制御し、カメラ406が撮像した監視カメラ100のバーコード202をフラッシュメモリ404に記憶する。
画像制御部514はカメラ制御部513が記憶した監視カメラ100のバーコード202をCPU401を用いて画像認識処理し、バーコード202から読み取った監視カメラ100のMACアドレスをフラッシュメモリ404に記憶する。
メッセージ処理部507は証明書発行要求許可送信部501、証明書発行要求受付部502、証明書送信部503が監視カメラ100とのやり取りにおいて送受信する各メッセージをCPUを用いて処理する。
設定情報選択部504は、例えばタッチパネルディスプレイ装置411に表示したホスト名選択画面においてホスト名のリストボックスのようなユーザインタフェースを保守員に提供し、保守員の操作により選択された監視カメラ100に設定するホスト名であり監視カメラ100に発行する証明書に設定するホスト名等の情報を入力する。
秘密鍵格納部505は、例えばRSA(Rivest Shamir Adleman)(登録商標)の秘密鍵のような署名用の鍵(電子データ)をフラッシュメモリ404に格納している。このRSA(登録商標)の秘密鍵は監視カメラ100等のネットワーク機器810に発行する証明書に署名情報を設定する際に使用される。
ホスト名格納部506(設定機器名記憶部)は証明書に設定するホスト名の候補や使用済みのホスト名等をフラッシュメモリ404を用いて記憶管理する。
証明書生成部508は監視カメラ100に発行するための証明書をCPUを用いて作成する。
表示部511はタッチパネルディスプレイ装置411にホスト名選択画面などの画面を表示する。
入力部512(設定機器名入力部)はタッチパネルディスプレイ装置411や入力キーなどの入力機器から保守員の指定情報を入力する。
カメラ制御部513(機器ID取得部)はカメラ406をCPU401を用いて制御し、カメラ406が撮像した監視カメラ100のバーコード202をフラッシュメモリ404に記憶する。
画像制御部514はカメラ制御部513が記憶した監視カメラ100のバーコード202をCPU401を用いて画像認識処理し、バーコード202から読み取った監視カメラ100のMACアドレスをフラッシュメモリ404に記憶する。
図8は、実施の形態1におけるクライアント装置830の機能ブロック構成図である。
実施の形態1におけるクライアント装置830の機能構成について、図8に基づいて以下に説明する。
実施の形態1におけるクライアント装置830の機能構成について、図8に基づいて以下に説明する。
クライアント装置830(通信端末装置)は表示部831、入力部832、カメラIPアドレス取得部833、メッセージ処理部834、証明書要求送信部835、証明書受信部836、データ通信部837を備える。
証明書要求送信部835(対応ネットワークID取得部)、証明書受信部836(対応ネットワークID取得部)は、それぞれネットワークインタフェースを通じて、証明書に関するメッセージを送受信する。
メッセージ処理部834は証明書要求送信部835、証明書受信部836により送受信される各メッセージをCPUを用いて処理する。
表示部831はディスプレイ装置に監視映像の取得対象とする監視カメラ100を指定するための監視カメラ100の配置図などの画面を表示する。
入力部832(通信先機器名入力部)はキーボードやマウスなどの入力機器から監視員の指定情報を入力する。
カメラIPアドレス取得部833は、ネットワークインタフェースを通じて、監視員の指定したホスト名が設定された監視カメラ100に割り当てられたIPアドレスをDNSサーバ602から取得する。
データ通信部837(端末データ通信部)は、ネットワークインタフェースを通じて、監視カメラ100と監視映像データなどの各種データを送受信する。
暗号鍵送信部838は、ネットワークインタフェースを通じて、監視映像などの各種データを監視カメラ100に暗号化させるための暗号鍵を監視カメラ100に送信する。
メッセージ処理部834は証明書要求送信部835、証明書受信部836により送受信される各メッセージをCPUを用いて処理する。
表示部831はディスプレイ装置に監視映像の取得対象とする監視カメラ100を指定するための監視カメラ100の配置図などの画面を表示する。
入力部832(通信先機器名入力部)はキーボードやマウスなどの入力機器から監視員の指定情報を入力する。
カメラIPアドレス取得部833は、ネットワークインタフェースを通じて、監視員の指定したホスト名が設定された監視カメラ100に割り当てられたIPアドレスをDNSサーバ602から取得する。
データ通信部837(端末データ通信部)は、ネットワークインタフェースを通じて、監視カメラ100と監視映像データなどの各種データを送受信する。
暗号鍵送信部838は、ネットワークインタフェースを通じて、監視映像などの各種データを監視カメラ100に暗号化させるための暗号鍵を監視カメラ100に送信する。
ここで、クライアント装置830は、監視カメラ100(図3参照)や保守端末400(図6参照)と同様に、CPU、メモリ、フラッシュメモリ、ROM、ネットワークインタフェース、ディスプレイ装置、キーボード、マウスなどの各種ハードウェアを有し、各ハードウェアはバスで接続され、CPUにより制御されるものとする。
また、フラッシュメモリやROMには実施の形態の説明において「〜部」として説明する機能を実行するプログラムがプログラム群として記憶されている。
また、フラッシュメモリやROMには実施の形態の説明において「〜部」として説明する機能を実行するプログラムがプログラム群として記憶されている。
図9は、実施の形態1におけるビル監視システム610の機器構成の一例を示す。
実施の形態1におけるネットワークシステム800の一例であるビル監視システム610の機器構成について、図9に基づいて以下に説明する。
実施の形態1におけるネットワークシステム800の一例であるビル監視システム610の機器構成について、図9に基づいて以下に説明する。
ビル監視システム610は、ネットワーク604に接続する保守端末400、監視カメラ100a〜監視カメラ100x、DHCPサーバ601、DNSサーバ602、無線LANアクセスポイント603、クライアント装置830が設置されている。
なお、監視カメラ100と監視カメラ100a〜監視カメラ100xは同一のものである。以下、個体を区別する必要のない場合は監視カメラ100a〜監視カメラ100xを監視カメラ100と記述して説明する場合もある。
なお、監視カメラ100と監視カメラ100a〜監視カメラ100xは同一のものである。以下、個体を区別する必要のない場合は監視カメラ100a〜監視カメラ100xを監視カメラ100と記述して説明する場合もある。
図10は、実施の形態1におけるビル監視システム610の監視カメラ100の配置図の一例である。
実施の形態1におけるビル監視システム610が構築された建物の1階には、例えば、図10に示すように複数の監視カメラ100が設置される。
一般的に同一機種の監視カメラを多数設置した監視システムにおいてどの位置にどの個体(監視カメラ)が設置されているかは管理されておらず不明である。
実施の形態1におけるビル監視システム610が構築された建物の1階には、例えば、図10に示すように複数の監視カメラ100が設置される。
一般的に同一機種の監視カメラを多数設置した監視システムにおいてどの位置にどの個体(監視カメラ)が設置されているかは管理されておらず不明である。
図11は、実施の形態1におけるビル監視システム610の監視カメラ100の配置図である。
以下、説明を分かりやすくするために、図11に示すように部屋の4隅に設置された監視カメラ100a〜監視カメラ100dの設定を例にして説明する。
以下、説明を分かりやすくするために、図11に示すように部屋の4隅に設置された監視カメラ100a〜監視カメラ100dの設定を例にして説明する。
図12は、実施の形態1におけるビル監視システム610のホスト名設定方法を示す動作シーケンスである。
実施の形態1のビル監視システム610において監視カメラ100にホスト名を設定する動作であり、電子証明書を利用して監視カメラ100にホスト名を通知する動作について、図12に基づいて以下に説明する。
実施の形態1のビル監視システム610において監視カメラ100にホスト名を設定する動作であり、電子証明書を利用して監視カメラ100にホスト名を通知する動作について、図12に基づいて以下に説明する。
まず、図12に基づいて説明するビル監視システム610の前提について説明する。
保守端末400は、保守員によって持ち運ばれ、無線LANインタフェース405を使用して無線LANアクセスポイント603と通信し、ネットワーク604に接続されている。
DHCPサーバ601、DNSサーバ602、無線LANアクセスポイント603は、それぞれTCP/IPネットワークで使用される一般的なDHCPサーバ、DNSサーバ、無線LANアクセスポイントである。
DHCPサーバ601(ネットワークID管理装置の一例)は、クライアント端末(例えば、監視カメラ100)に対して動的に割り当てるIPアドレスを記憶機器にプールしており、クライアント端末の要求に応じてIPアドレスを割り当てる。DHCPサーバ601は、IPアドレスを割り当てる際に、クライアント端末にDNSサーバ602のIPアドレスや他のネットワークと通信するためのデフォルトゲートウェイサーバのIPアドレス等を通知することも可能である。また、DHCPサーバ601は、IPアドレスを割り当てる際、クライアント端末にホスト名が設定されている場合、DNSサーバ602のDynamic Updateの機能を用いて、IPアドレスを割り当てたクライアント端末のホスト名と割り当てたIPアドレスとをDNSサーバ602に通知して登録することもできる。
DNSサーバ602は(機器名管理装置の一例)、ホスト名を検索キーとしてそのホスト名が設定されたクライアント端末に割り当てられたIPアドレスを検索するためのデータベース装置である。DNSサーバ602は、Dynamic Updateの機能を用いることによって、外部(例えば、DHCPサーバ601)から通知されたホスト名とIPアドレスとが対応するデータをデータベースに対して動的に追加したり削除したりできる。
無線LANアクセスポイント603はIEEE 802.11a/b/g等の無線LANとEthernet(登録商標)等の有線LAN(ネットワーク604)とをブリッジ装置として接続するものである。無線LANアクセスポイント603は、WEP(Wired Equivalent Privacy)やWPA(Wi−Fi Protected Access)等を用いることによって、外部(例えば、保守端末400)から無線LANに接続される際の認証及び通信路(無線LAN、有線LAN)における通信データの暗号化をすることができる。
初期状態では、DHCPサーバ601、DNSサーバ602、無線LANアクセスポイント603の電源は入っており、ネットワーク604に対してサービス(IPアドレス割当機能、ホスト名に対応するIPアドレスの解決機能、無線LAN通信機能)を実行中である。また、保守端末400は保守員が保持しており、無線LANを通じてネットワーク604にアクセスできる状態になっている。
また、監視カメラ100はPower on Ethernet(登録商標)(PoE)によりネットワーク604を形成する通信ケーブルから電源が供給され、通信ケーブルとの接続箇所が通信ケーブルを配線させる壁や天井に面するように監視カメラ100は設置されているものとする。また、監視カメラ100は電源スイッチを備えておらず、通信ケーブルから電源の供給を受けると動作を開始するものとする。したがって、通信ケーブルに通電を開始することで全ての監視カメラ100に電源が投入され、全ての監視カメラ100は動作を開始する。
また、監視カメラ100はPower on Ethernet(登録商標)(PoE)によりネットワーク604を形成する通信ケーブルから電源が供給され、通信ケーブルとの接続箇所が通信ケーブルを配線させる壁や天井に面するように監視カメラ100は設置されているものとする。また、監視カメラ100は電源スイッチを備えておらず、通信ケーブルから電源の供給を受けると動作を開始するものとする。したがって、通信ケーブルに通電を開始することで全ての監視カメラ100に電源が投入され、全ての監視カメラ100は動作を開始する。
次に、以上の前提のもと、実施の形態1におけるビル監視システム610のホスト名設定方法について、監視カメラ100aに対するホスト名の設定を例に図12に基づいて説明する。
<S301:IPアドレス取得処理>
まず、各監視カメラ100は電源が投入されると、一般的な小型ネットワーク機器と同様に、ファームウェアのメモリ102へのロードやネットワークインタフェース105の初期化等、監視カメラ100として動作するために必要な初期処理を行う。そして、動作可能な状態になった各監視カメラ100のIPアドレス取得部311は、IPアドレスの割り当てを要求するためのメッセージをブロードキャストしてDHCPサーバ601に送信する。
メッセージを受信したDHCPサーバ601はプールしてあるIPアドレスの中から未割り当てのIPアドレスを選択し、選択したIPアドレスを応答して監視カメラ100に割り当てる。このとき、監視カメラ100にはホスト名が設定されていないため、後述するようなDHCPサーバ601からDNSサーバ602へのホスト名の登録は行わない。
監視カメラ100のIPアドレス取得部311はDHCPサーバ601から自己に割り当てられたIPアドレスを受信し、受信したIPアドレスをフラッシュメモリ104に設定する。そして、監視カメラ100はIPアドレスを割り当てられた後、保守端末400から後述する証明書発行要求許可メッセージが送信されるのを待機する。
つまり、S301において、通信ケーブルを通じて同時に電源が供給された全ての監視カメラ100は、自己がデータ通信に使用するユニークなIPアドレスをDHCPサーバ601から取得し、保守端末400から設定要求許可メッセージを受信するために待機する。
ここで、監視カメラ100aはDHCPサーバ601からIPアドレスaを取得したものとする。
まず、各監視カメラ100は電源が投入されると、一般的な小型ネットワーク機器と同様に、ファームウェアのメモリ102へのロードやネットワークインタフェース105の初期化等、監視カメラ100として動作するために必要な初期処理を行う。そして、動作可能な状態になった各監視カメラ100のIPアドレス取得部311は、IPアドレスの割り当てを要求するためのメッセージをブロードキャストしてDHCPサーバ601に送信する。
メッセージを受信したDHCPサーバ601はプールしてあるIPアドレスの中から未割り当てのIPアドレスを選択し、選択したIPアドレスを応答して監視カメラ100に割り当てる。このとき、監視カメラ100にはホスト名が設定されていないため、後述するようなDHCPサーバ601からDNSサーバ602へのホスト名の登録は行わない。
監視カメラ100のIPアドレス取得部311はDHCPサーバ601から自己に割り当てられたIPアドレスを受信し、受信したIPアドレスをフラッシュメモリ104に設定する。そして、監視カメラ100はIPアドレスを割り当てられた後、保守端末400から後述する証明書発行要求許可メッセージが送信されるのを待機する。
つまり、S301において、通信ケーブルを通じて同時に電源が供給された全ての監視カメラ100は、自己がデータ通信に使用するユニークなIPアドレスをDHCPサーバ601から取得し、保守端末400から設定要求許可メッセージを受信するために待機する。
ここで、監視カメラ100aはDHCPサーバ601からIPアドレスaを取得したものとする。
<S201:機器ID読取ボタン押下待機処理>
図13は、実施の形態1における保守端末400の監視カメラホスト名設定時における基本画面の例である。
まず、保守端末400の表示部511はタッチパネルディスプレイ装置411に図13に示すような監視カメラ100に設定するホスト名を選択するためのホスト名選択画面531を表示する。
ここで、保守員は保守端末400のタッチパネルディスプレイ装置411に表示された機器ID読取ボタン1003を押下し、保守端末400の入力部512は機器ID読取ボタン1003の押下を検知する。
図13は、実施の形態1における保守端末400の監視カメラホスト名設定時における基本画面の例である。
まず、保守端末400の表示部511はタッチパネルディスプレイ装置411に図13に示すような監視カメラ100に設定するホスト名を選択するためのホスト名選択画面531を表示する。
ここで、保守員は保守端末400のタッチパネルディスプレイ装置411に表示された機器ID読取ボタン1003を押下し、保守端末400の入力部512は機器ID読取ボタン1003の押下を検知する。
<S202:カメラ起動・バーコード読取処理(機器ID提供処理、機器ID取得処理)>
機器ID読取ボタン1003を押下された保守端末400では、カメラ制御部513がカメラ406を起動し、表示部511がカメラ406のモニターしている映像をタッチパネルディスプレイ装置411に表示する。
ここで、保守員は保守端末400のカメラ406を使用して監視カメラ100aのバーコード202を撮像する。このバーコード202には監視カメラ100aのネットワークインタフェース105のMACアドレスが符号化されている。例えば、MACアドレスが「11:11:11:23:45:67」である場合、「111111234567」という文字列が埋め込まれている。以下、ネットワークインタフェース105のMACアドレスを当該ネットワークインタフェース105を有する監視カメラ100のMACアドレスとして説明する。また、監視カメラ100はCPU101を用いて自己のMACアドレスをネットワークインタフェース105から取得できるものとする。
監視カメラ100aのバーコード202を撮像した保守端末400では、画像制御部514がバーコード202の画像認識処理を行い、バーコード202の読み取りに成功すると読み取ったバーコード202に符号化されているMACアドレスを復元してフラッシュメモリ404に記憶する。
機器ID読取ボタン1003を押下された保守端末400では、カメラ制御部513がカメラ406を起動し、表示部511がカメラ406のモニターしている映像をタッチパネルディスプレイ装置411に表示する。
ここで、保守員は保守端末400のカメラ406を使用して監視カメラ100aのバーコード202を撮像する。このバーコード202には監視カメラ100aのネットワークインタフェース105のMACアドレスが符号化されている。例えば、MACアドレスが「11:11:11:23:45:67」である場合、「111111234567」という文字列が埋め込まれている。以下、ネットワークインタフェース105のMACアドレスを当該ネットワークインタフェース105を有する監視カメラ100のMACアドレスとして説明する。また、監視カメラ100はCPU101を用いて自己のMACアドレスをネットワークインタフェース105から取得できるものとする。
監視カメラ100aのバーコード202を撮像した保守端末400では、画像制御部514がバーコード202の画像認識処理を行い、バーコード202の読み取りに成功すると読み取ったバーコード202に符号化されているMACアドレスを復元してフラッシュメモリ404に記憶する。
<S203:機器ID表示処理>
次に、保守端末400の表示部511は画像制御部514が復元したMACアドレスをホスト名選択画面(図13)の機器ID表示欄1001に「11:11:11:23:45:67」のように表示する。
同時に、表示部511はホスト名選択欄1002を操作できるようにホスト名選択欄1002の画面の属性を変更する。
次に、保守端末400の表示部511は画像制御部514が復元したMACアドレスをホスト名選択画面(図13)の機器ID表示欄1001に「11:11:11:23:45:67」のように表示する。
同時に、表示部511はホスト名選択欄1002を操作できるようにホスト名選択欄1002の画面の属性を変更する。
<S204:ホスト名選択待機処理>
保守端末400を用いて監視カメラ100aのMACアドレスを取得した保守員は、この監視カメラ100aに設定するホスト名候補のリストを表示するためにホスト名選択欄1002の右端のボタンを押下する。
保守端末400では入力部512がホスト名選択欄1002のボタンの押下を検知し、ホスト名選択欄1002のボタン押下の検知を受け表示部511がホスト名の候補をホスト名選択欄1002にリスト表示する。このとき、設定情報選択部504はホスト名格納部506がフラッシュメモリ404に記憶している複数のホスト名からいずれの監視カメラ100に対しても発行されていない各ホスト名を取得し、取得した各ホスト名をホスト名候補として表示部511に表示させる。
保守端末400を用いて監視カメラ100aのMACアドレスを取得した保守員は、この監視カメラ100aに設定するホスト名候補のリストを表示するためにホスト名選択欄1002の右端のボタンを押下する。
保守端末400では入力部512がホスト名選択欄1002のボタンの押下を検知し、ホスト名選択欄1002のボタン押下の検知を受け表示部511がホスト名の候補をホスト名選択欄1002にリスト表示する。このとき、設定情報選択部504はホスト名格納部506がフラッシュメモリ404に記憶している複数のホスト名からいずれの監視カメラ100に対しても発行されていない各ホスト名を取得し、取得した各ホスト名をホスト名候補として表示部511に表示させる。
図14は、実施の形態1における保守端末400のフラッシュメモリ404に記憶されているホスト名テーブル521の例を示す図である。
図15は、実施の形態1における保守端末400のフラッシュメモリ404に記憶されている発行済ホスト名管理テーブル522の例を示す図である。
図16は、実施の形態1におけるホスト名候補を表示したホスト名選択画面531を示す図である。
例えば、設定情報選択部504は、図14に示すようなホスト名テーブル521と図15に示すような発行済ホスト名管理テーブル522とを比較し、ホスト名テーブル521に示されるホスト名のうち、発行済ホスト名管理テーブル522に示されていない発行未済みのホスト名を選択して表示部511に表示させる。例えば、図14に示すホスト名テーブル521及び図15に示す発行済ホスト名管理テーブル522に対して、設定情報選択部504はMACアドレスが「11:11:11:98:76:54」である監視カメラ100に対して発行済みのホスト名「north−east.xyz」以外のホスト名「north−west.xyz」、「south−west.xyz」、「south−east.xyz」をホスト名候補として選択する。そして、表示部511は、設定情報選択部504が選択した3つのホスト名候補を図16に示すようにホスト名選択画面531のホスト名選択欄1002にリスト表示する。
図15は、実施の形態1における保守端末400のフラッシュメモリ404に記憶されている発行済ホスト名管理テーブル522の例を示す図である。
図16は、実施の形態1におけるホスト名候補を表示したホスト名選択画面531を示す図である。
例えば、設定情報選択部504は、図14に示すようなホスト名テーブル521と図15に示すような発行済ホスト名管理テーブル522とを比較し、ホスト名テーブル521に示されるホスト名のうち、発行済ホスト名管理テーブル522に示されていない発行未済みのホスト名を選択して表示部511に表示させる。例えば、図14に示すホスト名テーブル521及び図15に示す発行済ホスト名管理テーブル522に対して、設定情報選択部504はMACアドレスが「11:11:11:98:76:54」である監視カメラ100に対して発行済みのホスト名「north−east.xyz」以外のホスト名「north−west.xyz」、「south−west.xyz」、「south−east.xyz」をホスト名候補として選択する。そして、表示部511は、設定情報選択部504が選択した3つのホスト名候補を図16に示すようにホスト名選択画面531のホスト名選択欄1002にリスト表示する。
<S205:証明書発行ボタン押下待機処理(設定機器名入力処理)>
次に、保守員は、ホスト名選択欄1002にリスト表示されたホスト名候補の中からMACアドレス(機器ID)を読み取った監視カメラ100aに設定したいホスト名をその表示部分を押下することにより選択する。例えば、北西に位置する監視カメラ100aに対して「north−west.xyz」を選択することで、監視カメラ100aに監視カメラ100aの設置された物理的な位置を示すホスト名を設定することができる。
ホスト名が選択された保守端末400では、入力部512が選択時に押下されたホスト名を検知し、表示部511は入力部512の検知したホスト名のみをホスト名選択欄1002に表示し、表示部511は証明書発行ボタン1004を操作できるように証明書発行ボタン1004の画面の属性を変更する。
次に、ホスト名を選択した保守員は証明書発行ボタン1004を押下する。
証明書発行ボタン1004が押下された保守端末400では、設定情報選択部504がホスト名格納部506にホスト名選択欄1002において選択されたホスト名と機器ID表示欄1001に表示されたMACアドレスとを発行済ホスト名管理テーブル522に登録させる。
次に、保守員は、ホスト名選択欄1002にリスト表示されたホスト名候補の中からMACアドレス(機器ID)を読み取った監視カメラ100aに設定したいホスト名をその表示部分を押下することにより選択する。例えば、北西に位置する監視カメラ100aに対して「north−west.xyz」を選択することで、監視カメラ100aに監視カメラ100aの設置された物理的な位置を示すホスト名を設定することができる。
ホスト名が選択された保守端末400では、入力部512が選択時に押下されたホスト名を検知し、表示部511は入力部512の検知したホスト名のみをホスト名選択欄1002に表示し、表示部511は証明書発行ボタン1004を操作できるように証明書発行ボタン1004の画面の属性を変更する。
次に、ホスト名を選択した保守員は証明書発行ボタン1004を押下する。
証明書発行ボタン1004が押下された保守端末400では、設定情報選択部504がホスト名格納部506にホスト名選択欄1002において選択されたホスト名と機器ID表示欄1001に表示されたMACアドレスとを発行済ホスト名管理テーブル522に登録させる。
図17は、実施の形態1における保守端末400のフラッシュメモリ404に記憶されている発行済ホスト名管理テーブル522の例を示す図である。
例えば、MACアドレスが「11:11:11:23:45:67」の監視カメラ100aに対して「north−west.xyz」が選択された場合、ホスト名格納部506は、図15に示す発行済ホスト名管理テーブル522に対して、選択されたホスト名を図17に示すように新たに登録する。
例えば、MACアドレスが「11:11:11:23:45:67」の監視カメラ100aに対して「north−west.xyz」が選択された場合、ホスト名格納部506は、図15に示す発行済ホスト名管理テーブル522に対して、選択されたホスト名を図17に示すように新たに登録する。
<S206:証明書発行要求許可メッセージブロードキャスト処理(設定機器名通知処理の一部)>
そして、メッセージ処理部507は証明書発行要求許可メッセージ541を生成し、証明書発行要求許可送信部501は生成された証明書発行要求許可メッセージ541をネットワーク604上にブロードキャストする。
そして、メッセージ処理部507は証明書発行要求許可メッセージ541を生成し、証明書発行要求許可送信部501は生成された証明書発行要求許可メッセージ541をネットワーク604上にブロードキャストする。
図18は、実施の形態1における証明書発行要求許可メッセージ541を示す図である。
証明書発行要求許可メッセージ541は保守端末400が発行(証明)したことを示す電子証明書データの要求を許可することを監視カメラ100に通知する電子データであり、例えば、図18に示すようなデータ構造を有する。図18に示すように、証明書発行要求許可メッセージ541には「認証情報」が含まれていてもよい。
図18において、「MACアドレス」は証明書発行要求許可メッセージ541の送信先である監視カメラ100からS202において取得したMACアドレスを示す。
また、「サーバ情報(URL(Uniform Resource Locator))」は監視カメラ100に証明書の発行を要求させる要求先のアドレスであり、証明書の発行処理を行うサーバを識別するURLを示す。保守端末400の証明書生成部508は証明書の発行を行うサーバ機能を有し、監視カメラ100に対して証明書発行サーバとして動作する保守端末400はこのURLで識別される。
また、「認証情報」はこの証明書発行要求許可メッセージ541が正当な保守端末400からのメッセージであることを示すための情報であり、例えば、秘密鍵格納部505により格納されている秘密鍵で暗号化した署名情報である。
証明書発行要求許可メッセージ541は保守端末400が発行(証明)したことを示す電子証明書データの要求を許可することを監視カメラ100に通知する電子データであり、例えば、図18に示すようなデータ構造を有する。図18に示すように、証明書発行要求許可メッセージ541には「認証情報」が含まれていてもよい。
図18において、「MACアドレス」は証明書発行要求許可メッセージ541の送信先である監視カメラ100からS202において取得したMACアドレスを示す。
また、「サーバ情報(URL(Uniform Resource Locator))」は監視カメラ100に証明書の発行を要求させる要求先のアドレスであり、証明書の発行処理を行うサーバを識別するURLを示す。保守端末400の証明書生成部508は証明書の発行を行うサーバ機能を有し、監視カメラ100に対して証明書発行サーバとして動作する保守端末400はこのURLで識別される。
また、「認証情報」はこの証明書発行要求許可メッセージ541が正当な保守端末400からのメッセージであることを示すための情報であり、例えば、秘密鍵格納部505により格納されている秘密鍵で暗号化した署名情報である。
S203において監視カメラ100aのバーコード202からMACアドレスaを取得した保守端末400はMACアドレスaを設定した証明書発行要求許可メッセージ541をブロードキャストする。
<S302:証明書発行要求許可メッセージ確認処理(設定機器名受信処理の一部)>
ブロードキャストされた証明書発行要求許可メッセージ541は、全ての監視カメラ100(監視カメラ100a〜監視カメラ100d)によって受信される。
監視カメラ100a〜監視カメラ100dの証明書発行要求許可受信部301は保守端末400から送信された証明書発行要求許可メッセージ541を受信し、メッセージ処理部305は受信された証明書発行要求許可メッセージ541中に含まれるMACアドレスと自機のMACアドレスとを比較する。そして、証明書発行要求許可メッセージ541中のMACアドレスと自機のMACアドレスが一致する場合はメッセージ処理部305がS303において証明書発行要求メッセージ341を作成し、一致しない場合は証明書発行要求許可受信部301が再び証明書発行要求許可メッセージ541の受信待ちを行う。
ブロードキャストされた証明書発行要求許可メッセージ541は、全ての監視カメラ100(監視カメラ100a〜監視カメラ100d)によって受信される。
監視カメラ100a〜監視カメラ100dの証明書発行要求許可受信部301は保守端末400から送信された証明書発行要求許可メッセージ541を受信し、メッセージ処理部305は受信された証明書発行要求許可メッセージ541中に含まれるMACアドレスと自機のMACアドレスとを比較する。そして、証明書発行要求許可メッセージ541中のMACアドレスと自機のMACアドレスが一致する場合はメッセージ処理部305がS303において証明書発行要求メッセージ341を作成し、一致しない場合は証明書発行要求許可受信部301が再び証明書発行要求許可メッセージ541の受信待ちを行う。
監視カメラ100aのMACアドレスaが設定された証明書発行要求許可メッセージ541を受信した監視カメラ100a〜監視カメラ100dのうち、監視カメラ100aのみがS303において証明書発行要求メッセージを作成する。
また、証明書発行要求許可メッセージ541に認証情報が含まれている場合、メッセージ処理部305は認証情報が保守端末400から送信された証明書発行要求許可メッセージ541であることを示すか判定し、MACアドレスが一致し、且つ、保守端末400から送信されている場合に証明書発行要求メッセージを作成する。例えば、認証情報が秘密鍵で暗号化された署名情報である場合、メッセージ処理部305は鍵・証明書格納部304に予め記憶されている公開鍵を用いて認証情報を復号し、復号した認証情報が示す署名情報に基づいて保守端末400から送信されているか判定する。
<S303:証明書発行要求メッセージ作成処理>
保守端末400から自己に対して送信された証明書発行要求許可メッセージ541を受信した監視カメラ100aは鍵対生成部306において鍵対を生成し、鍵・証明書格納部304に保存する。メッセージ処理部305は、証明書発行要求許可メッセージ541が示すURL(サーバ情報)を送信先とし、鍵・証明書格納部304に保存してある鍵対のうち公開鍵を格納し、認証情報として秘密情報を含んだ証明書発行要求メッセージ341を作成する。なお、鍵対は証明書発行要求許可メッセージを待機する前あるいは待機中に生成しても良い。
例えば、メッセージ処理部305は、秘密情報(認証情報)として、予め設定された保守端末400との共通の秘密情報または保守端末400がMACアドレスによって識別できる監視カメラ100によって異なる秘密情報、または、秘密情報を鍵として自機のMACアドレスaを暗号化した情報を証明書発行要求メッセージ341に含める。
S301においてDHCPサーバ601から取得したIPアドレスaおよび自機のMACアドレスaは証明書発行要求メッセージ341が格納されているIPパケット及びEthernet(登録商標)パケットに含まれている。
保守端末400から自己に対して送信された証明書発行要求許可メッセージ541を受信した監視カメラ100aは鍵対生成部306において鍵対を生成し、鍵・証明書格納部304に保存する。メッセージ処理部305は、証明書発行要求許可メッセージ541が示すURL(サーバ情報)を送信先とし、鍵・証明書格納部304に保存してある鍵対のうち公開鍵を格納し、認証情報として秘密情報を含んだ証明書発行要求メッセージ341を作成する。なお、鍵対は証明書発行要求許可メッセージを待機する前あるいは待機中に生成しても良い。
例えば、メッセージ処理部305は、秘密情報(認証情報)として、予め設定された保守端末400との共通の秘密情報または保守端末400がMACアドレスによって識別できる監視カメラ100によって異なる秘密情報、または、秘密情報を鍵として自機のMACアドレスaを暗号化した情報を証明書発行要求メッセージ341に含める。
S301においてDHCPサーバ601から取得したIPアドレスaおよび自機のMACアドレスaは証明書発行要求メッセージ341が格納されているIPパケット及びEthernet(登録商標)パケットに含まれている。
<S304:証明書発行要求メッセージ送信処理>
次に、監視カメラ100aの証明書発行要求送信部302はメッセージ処理部305が作成した証明書発行要求メッセージ341を保守端末400に送信する。
そして、保守端末400の証明書発行要求受付部502は監視カメラ100aから証明書発行要求メッセージ341を受信する。
この際、監視カメラ100aの証明書発行要求送信部302はTLSやSSLを用いてサーバ認証を行って保守端末400とのコネクションを確立することにより、正当な保守端末400と通信していることを確認する。
次に、監視カメラ100aの証明書発行要求送信部302はメッセージ処理部305が作成した証明書発行要求メッセージ341を保守端末400に送信する。
そして、保守端末400の証明書発行要求受付部502は監視カメラ100aから証明書発行要求メッセージ341を受信する。
この際、監視カメラ100aの証明書発行要求送信部302はTLSやSSLを用いてサーバ認証を行って保守端末400とのコネクションを確立することにより、正当な保守端末400と通信していることを確認する。
<S207:認証情報検証処理>
次に、保守端末400の証明書発行要求受付部502は受信した証明書発行要求メッセージ341に含まれている認証情報をその秘密情報の種類に応じて検証する。
例えば、証明書発行要求受付部502は認証情報が予め設定された共通の秘密情報を示すか判定する。
また例えば、証明書発行要求受付部502は認証情報がMACアドレスに対応した秘密情報であるか判定する。
また例えば、証明書発行要求受付部502はMACアドレスaを秘密情報で暗号化した結果が認証情報を示すか判定する。
次に、保守端末400の証明書発行要求受付部502は受信した証明書発行要求メッセージ341に含まれている認証情報をその秘密情報の種類に応じて検証する。
例えば、証明書発行要求受付部502は認証情報が予め設定された共通の秘密情報を示すか判定する。
また例えば、証明書発行要求受付部502は認証情報がMACアドレスに対応した秘密情報であるか判定する。
また例えば、証明書発行要求受付部502はMACアドレスaを秘密情報で暗号化した結果が認証情報を示すか判定する。
<S208:証明書作成処理>
認証情報が正当な監視カメラ100(監視カメラ100a)からのものであることを検証できた場合、証明書生成部508は証明書542を生成する。
このとき、証明書生成部508は証明書発行要求メッセージ341が示す監視カメラ100aのMACアドレスaを発行済ホスト名管理テーブル522(図17参照)から検索する。
そして、MACアドレスaが発行済ホスト名管理テーブル522に存在する場合、証明書生成部508はMACアドレスa(11:11:11:23:45:67)に対応付けられて発行済ホスト名管理テーブル522に登録されているホスト名(north−west.xyz)をSubjectのCN(Common Name)として使用して証明書542を生成する。
また、MACアドレスaが発行済ホスト名管理テーブル522に存在しない場合、証明書生成部508はホスト名の割り当てに失敗したため証明書が発行できないことを示す証明書発行不許可メッセージ543を生成する。
認証情報が正当な監視カメラ100(監視カメラ100a)からのものであることを検証できた場合、証明書生成部508は証明書542を生成する。
このとき、証明書生成部508は証明書発行要求メッセージ341が示す監視カメラ100aのMACアドレスaを発行済ホスト名管理テーブル522(図17参照)から検索する。
そして、MACアドレスaが発行済ホスト名管理テーブル522に存在する場合、証明書生成部508はMACアドレスa(11:11:11:23:45:67)に対応付けられて発行済ホスト名管理テーブル522に登録されているホスト名(north−west.xyz)をSubjectのCN(Common Name)として使用して証明書542を生成する。
また、MACアドレスaが発行済ホスト名管理テーブル522に存在しない場合、証明書生成部508はホスト名の割り当てに失敗したため証明書が発行できないことを示す証明書発行不許可メッセージ543を生成する。
<S209:証明書送信処理(設定機器名通知処理の一部)>
証明書送信部503は生成した証明書542または証明書発行不許可メッセージ543を証明書発行要求メッセージ341が格納されているIPパケット及びEthernet(登録商標)パケットが示すIPアドレスaおよびMACアドレスaを送信先として証明書発行要求メッセージ341を送信した監視カメラ100aに送信する。
証明書送信部503は生成した証明書542または証明書発行不許可メッセージ543を証明書発行要求メッセージ341が格納されているIPパケット及びEthernet(登録商標)パケットが示すIPアドレスaおよびMACアドレスaを送信先として証明書発行要求メッセージ341を送信した監視カメラ100aに送信する。
<S305:証明書設定処理(設定機器名受信処理の一部)>
監視カメラ100aの証明書受信部303は保守端末400から送信された証明書542を受信し、鍵・証明書格納部304は証明書受信部303が受信した証明書542をフラッシュメモリ104に記憶する。
監視カメラ100aの証明書受信部303は保守端末400から送信された証明書542を受信し、鍵・証明書格納部304は証明書受信部303が受信した証明書542をフラッシュメモリ104に記憶する。
<S306:IPアドレス再取得処理(ネットワークID割当処理)>
次に、IPアドレス取得部311は、自機に設定されたホスト名をDHCPサーバ601を介してDNSサーバ602に登録するために、証明書542にSubjectのCNとして設定されているホスト名(north−west.xyz)を設定したIPアドレス再取得要求をDHCPサーバ601に送信する。
IPアドレス再取得要求に対し、S301と同様に、DHCPサーバ601は監視カメラ100aにIPアドレスaを割り当て、監視カメラ100aのIPアドレス取得部311はDHCPサーバ601に割り当てられたIPアドレスaをフラッシュメモリ104に設定する。
次に、IPアドレス取得部311は、自機に設定されたホスト名をDHCPサーバ601を介してDNSサーバ602に登録するために、証明書542にSubjectのCNとして設定されているホスト名(north−west.xyz)を設定したIPアドレス再取得要求をDHCPサーバ601に送信する。
IPアドレス再取得要求に対し、S301と同様に、DHCPサーバ601は監視カメラ100aにIPアドレスaを割り当て、監視カメラ100aのIPアドレス取得部311はDHCPサーバ601に割り当てられたIPアドレスaをフラッシュメモリ104に設定する。
<S401:ホスト名登録処理(機器通信情報通知処理、機器通信情報管理処理)>
また、DHCPサーバ601はIPアドレス再取得要求に設定されている監視カメラ100aのホスト名(north−west.xyz)とその監視カメラ100aに割り当てたIPアドレスaとを送信してDNSサーバ602にホスト名の登録を要求する。
DNSサーバ602はDHCPサーバ601からの要求に応じて監視カメラ100aのホスト名(north−west.xyz)とIPアドレスaとを対応付けて記憶機器に登録する。
また、DHCPサーバ601はIPアドレス再取得要求に設定されている監視カメラ100aのホスト名(north−west.xyz)とその監視カメラ100aに割り当てたIPアドレスaとを送信してDNSサーバ602にホスト名の登録を要求する。
DNSサーバ602はDHCPサーバ601からの要求に応じて監視カメラ100aのホスト名(north−west.xyz)とIPアドレスaとを対応付けて記憶機器に登録する。
<S307:監視開始処理>
また、保守端末400から証明書542を取得(S305)した監視カメラ100aではカメラ制御部312がカメラ106を起動して監視映像を取得し、Webサーバとして機能する映像送信部313が監視映像要求の待機を行う。
また、保守端末400から証明書542を取得(S305)した監視カメラ100aではカメラ制御部312がカメラ106を起動して監視映像を取得し、Webサーバとして機能する映像送信部313が監視映像要求の待機を行う。
以上が、監視カメラ100aに証明書542を発行する手順である。
他の監視カメラ100b〜監視カメラ100dに対しても、保守端末400は、監視カメラ100の有するバーコード202からMACアドレスを読み取り、読み取ったMACアドレスを用いて、この監視カメラ100に対して選択された設置位置を表すホスト名を、証明書の発行により、当該監視カメラ100に通知することができる。さらに、保守端末400は読み取ったMACアドレスを用いてホスト名を監視カメラ100に通知することにより、監視カメラ100からDHCPサーバ601を介してDNSサーバ602に当該監視カメラ100のホスト名およびIPアドレスを登録することができる。これにより、後述するように、設置位置を表すホスト名を指定することにより所望の監視カメラ100とのIP通信が行えるようになる。
他の監視カメラ100b〜監視カメラ100dに対しても、保守端末400は、監視カメラ100の有するバーコード202からMACアドレスを読み取り、読み取ったMACアドレスを用いて、この監視カメラ100に対して選択された設置位置を表すホスト名を、証明書の発行により、当該監視カメラ100に通知することができる。さらに、保守端末400は読み取ったMACアドレスを用いてホスト名を監視カメラ100に通知することにより、監視カメラ100からDHCPサーバ601を介してDNSサーバ602に当該監視カメラ100のホスト名およびIPアドレスを登録することができる。これにより、後述するように、設置位置を表すホスト名を指定することにより所望の監視カメラ100とのIP通信が行えるようになる。
図19は、実施の形態1におけるビル監視システム610のホスト名設定方法を示す動作シーケンスである。
上記した図12の動作シーケンスに基づいて保守端末400から証明書542により監視カメラ100aに対するホスト名の設定がなされたのちの電源再投入時におけるホスト名設定方法について、図19に基づいて以下に説明する。
上記した図12の動作シーケンスに基づいて保守端末400から証明書542により監視カメラ100aに対するホスト名の設定がなされたのちの電源再投入時におけるホスト名設定方法について、図19に基づいて以下に説明する。
<S321:IPアドレス取得処理>
電源の供給を受け起動した監視カメラ100aにおいてIPアドレス取得部311は、S301と同様に、DHCPサーバ601に要求してIPアドレスを取得する。
ここで、監視カメラ100aはDHCPサーバ601からIPアドレスaを取得したものとする。
また、図12のS305において鍵・証明書格納部304に格納された証明書542は監視カメラ100の電源を切っても消去されないため、IPアドレスを要求する際、IPアドレス取得部311は証明書542にSubjectのCNとして設定されている自機のホスト名(north−west.xyz)をDHCPサーバ601に通知する。
電源の供給を受け起動した監視カメラ100aにおいてIPアドレス取得部311は、S301と同様に、DHCPサーバ601に要求してIPアドレスを取得する。
ここで、監視カメラ100aはDHCPサーバ601からIPアドレスaを取得したものとする。
また、図12のS305において鍵・証明書格納部304に格納された証明書542は監視カメラ100の電源を切っても消去されないため、IPアドレスを要求する際、IPアドレス取得部311は証明書542にSubjectのCNとして設定されている自機のホスト名(north−west.xyz)をDHCPサーバ601に通知する。
<S421:ホスト名登録処理>
そして、図12のS401と同様に、IPアドレスの要求の際にホスト名の通知を受けたDHCPサーバ601は通知されたホスト名(north−west.xyz)と監視カメラ100aに割り当てたIPアドレスaとを送信してDNSサーバ602にホスト名の登録を要求し、要求を受けたDNSサーバ602は受信したホスト名とIPアドレスとを対応付けて登録する。
そして、図12のS401と同様に、IPアドレスの要求の際にホスト名の通知を受けたDHCPサーバ601は通知されたホスト名(north−west.xyz)と監視カメラ100aに割り当てたIPアドレスaとを送信してDNSサーバ602にホスト名の登録を要求し、要求を受けたDNSサーバ602は受信したホスト名とIPアドレスとを対応付けて登録する。
<S322:監視開始処理>
また、保守端末400から発行された証明書542を有する監視カメラ100aでは、保守端末400からの証明書発行要求許可メッセージ541の受信を待たずに、映像送信部313がWebサーバ機能を起動し、カメラ制御部312がカメラ106による撮影を開始する。
また、保守端末400から発行された証明書542を有する監視カメラ100aでは、保守端末400からの証明書発行要求許可メッセージ541の受信を待たずに、映像送信部313がWebサーバ機能を起動し、カメラ制御部312がカメラ106による撮影を開始する。
上記のように、実施の形態1におけるビル監視システム610は、監視カメラ100の起動時に割り当てられたIPアドレスをホスト名と共にDNSサーバ602に登録するため、監視カメラ100に動的にIPアドレスを割り当てても、後述するように、ホスト名を指定して監視カメラ100にアクセスすることができる。
図20は、実施の形態1におけるビル監視システム610の監視方法を示す動作シーケンスである。
監視カメラ100aのホスト名(north−west.xyz)とIPアドレスaとがDNSサーバ602に登録されたのち、クライアント装置830が監視カメラ100aの撮影している監視映像を確認する動作について、図20に基づいて以下に説明する。
監視カメラ100aのホスト名(north−west.xyz)とIPアドレスaとがDNSサーバ602に登録されたのち、クライアント装置830が監視カメラ100aの撮影している監視映像を確認する動作について、図20に基づいて以下に説明する。
<S501:カメラ指定待ち処理>
まず、クライアント装置830は監視者から監視映像を確認する監視カメラ100の指定を待つ。
図21は、実施の形態1におけるクライアント装置830に表示した監視カメラ100の配置図の一例を示す。
例えば、クライアント装置830は、表示部831が図21に示すような監視カメラ100の配置図をWebブラウザ画面としてディスプレイ装置に表示し、監視者からの監視カメラ100の指定を待つ。
まず、クライアント装置830は監視者から監視映像を確認する監視カメラ100の指定を待つ。
図21は、実施の形態1におけるクライアント装置830に表示した監視カメラ100の配置図の一例を示す。
例えば、クライアント装置830は、表示部831が図21に示すような監視カメラ100の配置図をWebブラウザ画面としてディスプレイ装置に表示し、監視者からの監視カメラ100の指定を待つ。
<S502:カメラホスト名取得処理(通信先機器名入力処理)>
次に、監視者はクライアント装置830に対して監視映像の確認対象としたい監視カメラ100を指定し、クライアント装置830は監視者が指定した監視カメラ100のホスト名を取得する。
例えば、S501においてクライアント装置830の表示部831は各監視カメラ100の図示部分に当該監視カメラ100のホスト名を示すURLをハイパーリンクした監視カメラ100の配置図をWebブラウザに表示し、監視者は監視映像の確認対象としたい監視カメラ100の図示部分をWebブラウザ上でマウスやキーボードなどにより指定し、クライアント装置830の入力部832は監視者に指定された図示部分にハイパーリンクされているURLから監視者の指定した監視カメラ100のホスト名を取得する。例えば、入力部832は、監視カメラ100aの設置場所を示す図示部分にハイパーリンクされたURL「https://north−west.xyz/」から監視カメラ100aのホスト名「north−west.xyz」を取得する。他の監視カメラ100についても同様である。クライアント装置830のフラッシュメモリには予めホスト名を示すURLがハイパーリンクされた監視カメラ100の配置図の情報が記憶されているものとする。
また例えば、監視者はクライアント装置830のキーボードからその設置場所に基づいて監視映像の確認対象としたい監視カメラ100のホスト名を指定する。
ここで、監視者は監視映像の確認対象として監視カメラ100aを指定し、クライアント装置830は監視カメラ100aのホスト名「north−west.xyz」を取得したものとする。
次に、監視者はクライアント装置830に対して監視映像の確認対象としたい監視カメラ100を指定し、クライアント装置830は監視者が指定した監視カメラ100のホスト名を取得する。
例えば、S501においてクライアント装置830の表示部831は各監視カメラ100の図示部分に当該監視カメラ100のホスト名を示すURLをハイパーリンクした監視カメラ100の配置図をWebブラウザに表示し、監視者は監視映像の確認対象としたい監視カメラ100の図示部分をWebブラウザ上でマウスやキーボードなどにより指定し、クライアント装置830の入力部832は監視者に指定された図示部分にハイパーリンクされているURLから監視者の指定した監視カメラ100のホスト名を取得する。例えば、入力部832は、監視カメラ100aの設置場所を示す図示部分にハイパーリンクされたURL「https://north−west.xyz/」から監視カメラ100aのホスト名「north−west.xyz」を取得する。他の監視カメラ100についても同様である。クライアント装置830のフラッシュメモリには予めホスト名を示すURLがハイパーリンクされた監視カメラ100の配置図の情報が記憶されているものとする。
また例えば、監視者はクライアント装置830のキーボードからその設置場所に基づいて監視映像の確認対象としたい監視カメラ100のホスト名を指定する。
ここで、監視者は監視映像の確認対象として監視カメラ100aを指定し、クライアント装置830は監視カメラ100aのホスト名「north−west.xyz」を取得したものとする。
<S503:カメラIPアドレス取得処理(対応ネットワークID取得処理、対応ネットワークID応答処理)>
次に、クライアント装置830のカメラIPアドレス取得部833はS502において監視者に指定された監視カメラ100aのホスト名「north−west.xyz」を送信してDNSサーバ602に監視カメラ100aに割り当てられているIPアドレスを問い合わせる。
問い合わせ(対応ネットワークID要求)を受けたDNSサーバ602は図12のS401においてホスト名「north−west.xyz」に対応付けて登録した監視カメラ100aのIPアドレスaをクライアント装置830に応答する。
応答を受けたクライアント装置830のカメラIPアドレス取得部833は監視カメラ100aのIPアドレスaをホスト名「north−west.xyz」に対応付けてフラッシュメモリに記憶する。
次に、クライアント装置830のカメラIPアドレス取得部833はS502において監視者に指定された監視カメラ100aのホスト名「north−west.xyz」を送信してDNSサーバ602に監視カメラ100aに割り当てられているIPアドレスを問い合わせる。
問い合わせ(対応ネットワークID要求)を受けたDNSサーバ602は図12のS401においてホスト名「north−west.xyz」に対応付けて登録した監視カメラ100aのIPアドレスaをクライアント装置830に応答する。
応答を受けたクライアント装置830のカメラIPアドレス取得部833は監視カメラ100aのIPアドレスaをホスト名「north−west.xyz」に対応付けてフラッシュメモリに記憶する。
次に、クライアント装置830は監視映像を提供するWebサーバとして機能する監視カメラ100aに対してサーバ認証を行い、DNSサーバ602から取得した監視カメラ100aのIPアドレスaを用いて監視映像データについてTLS通信やSSL通信を開始しようとする。
<S504:証明書要求メッセージ送信処理>
クライアント装置830ではメッセージ処理部834がS503において取得された監視カメラ100aのIPアドレスaを送信先IPアドレスに指定して証明書要求メッセージ841を作成し、証明書要求送信部835が証明書要求メッセージ841を監視カメラ100aに送信する。
クライアント装置830ではメッセージ処理部834がS503において取得された監視カメラ100aのIPアドレスaを送信先IPアドレスに指定して証明書要求メッセージ841を作成し、証明書要求送信部835が証明書要求メッセージ841を監視カメラ100aに送信する。
<S221:証明書送信処理>
次に、監視カメラ100aでは証明書要求受信部314が証明書要求メッセージ841を受信し、証明書送信部315がS305においてフラッシュメモリ104に記憶された保守端末400から発行された証明書542をクライアント装置830に送信する。
次に、監視カメラ100aでは証明書要求受信部314が証明書要求メッセージ841を受信し、証明書送信部315がS305においてフラッシュメモリ104に記憶された保守端末400から発行された証明書542をクライアント装置830に送信する。
<S505:サーバ認証処理>
次に、クライアント装置830では証明書受信部836が監視カメラ100aから証明書542を受信し、メッセージ処理部834が証明書542に基づいてWebサーバとして機能する監視カメラ100aに対するサーバ認証を行う。
このとき、メッセージ処理部834はS502において監視者に指定された監視カメラ100aのホスト名「north−west.xyz」と受信した証明書542のSubjectにCNとして設定されているホスト名とを比較してサーバ認証を行う。
また、メッセージ処理部834は比較したホスト名が一致した場合、サーバ認証に必要なその他の処理を行う。
次に、クライアント装置830では証明書受信部836が監視カメラ100aから証明書542を受信し、メッセージ処理部834が証明書542に基づいてWebサーバとして機能する監視カメラ100aに対するサーバ認証を行う。
このとき、メッセージ処理部834はS502において監視者に指定された監視カメラ100aのホスト名「north−west.xyz」と受信した証明書542のSubjectにCNとして設定されているホスト名とを比較してサーバ認証を行う。
また、メッセージ処理部834は比較したホスト名が一致した場合、サーバ認証に必要なその他の処理を行う。
<S506:暗号鍵送信処理>
次に、クライアント装置830の暗号鍵送信部838は送信される映像の暗号化に用いられる共通鍵である暗号鍵をランダムに生成し、監視カメラ100の証明書542に含まれる公開鍵を用いて暗号鍵を暗号化し、暗号化した暗号鍵を監視カメラ100に送信する。
監視カメラ100aの暗号鍵受信部316はクライアント装置830から送信された暗号鍵を受信し、受信した暗号鍵を鍵・証明書格納部304に格納されている秘密鍵を用いて復号化する。
例えば、ここで送信される暗号鍵はpre−master secretと呼ばれ、master secretの元になるものである。映像を暗号化するために用いられるsession keyはmaster secretを元に作られる。以下、監視映像の暗号化は送信された暗号鍵により行うものとして説明する。
また、このとき、クライアント装置830のデータ通信部837は、監視カメラ100aが保守端末400から証明された正当なWebサーバとして認証された場合、監視カメラ100aとのコネクションを確立するための通信処理をIPアドレスaを用いて行い、TLSやSSLによるコネクションを確立する。
サーバ認証やコネクションの確立が行えなかった場合、クライアント装置830の表示部831が監視映像を取得できないことを示すエラー画面をディスプレイ装置に表示し、図20に示す監視方法の処理が終了する。
次に、クライアント装置830の暗号鍵送信部838は送信される映像の暗号化に用いられる共通鍵である暗号鍵をランダムに生成し、監視カメラ100の証明書542に含まれる公開鍵を用いて暗号鍵を暗号化し、暗号化した暗号鍵を監視カメラ100に送信する。
監視カメラ100aの暗号鍵受信部316はクライアント装置830から送信された暗号鍵を受信し、受信した暗号鍵を鍵・証明書格納部304に格納されている秘密鍵を用いて復号化する。
例えば、ここで送信される暗号鍵はpre−master secretと呼ばれ、master secretの元になるものである。映像を暗号化するために用いられるsession keyはmaster secretを元に作られる。以下、監視映像の暗号化は送信された暗号鍵により行うものとして説明する。
また、このとき、クライアント装置830のデータ通信部837は、監視カメラ100aが保守端末400から証明された正当なWebサーバとして認証された場合、監視カメラ100aとのコネクションを確立するための通信処理をIPアドレスaを用いて行い、TLSやSSLによるコネクションを確立する。
サーバ認証やコネクションの確立が行えなかった場合、クライアント装置830の表示部831が監視映像を取得できないことを示すエラー画面をディスプレイ装置に表示し、図20に示す監視方法の処理が終了する。
<S222:映像送信処理(端末データ通信処理)>
次に、監視カメラ100aの映像送信部313はカメラ106が撮像している監視映像のデータをクライアント装置830から送信された暗号鍵(暗号鍵受信部316が復号したもの)を用いて暗号化し、暗号化した監視映像データをクライアント装置830に送信する。
クライアント装置830のデータ通信部837は監視カメラ100aから監視映像データを受信する。
このとき、監視カメラ100aとクライアント装置830とは、S504〜S506においてコネクションを確立した際に決定したAES(Advanced Encryption Standard)等の暗号アルゴリズムを使用して監視映像データを暗号化して通信する。
次に、監視カメラ100aの映像送信部313はカメラ106が撮像している監視映像のデータをクライアント装置830から送信された暗号鍵(暗号鍵受信部316が復号したもの)を用いて暗号化し、暗号化した監視映像データをクライアント装置830に送信する。
クライアント装置830のデータ通信部837は監視カメラ100aから監視映像データを受信する。
このとき、監視カメラ100aとクライアント装置830とは、S504〜S506においてコネクションを確立した際に決定したAES(Advanced Encryption Standard)等の暗号アルゴリズムを使用して監視映像データを暗号化して通信する。
<S507:映像表示処理>
そして、クライアント装置830の表示部831は監視映像データが示す監視映像をディスプレイ装置に表示して監視者に提供する。
そして、クライアント装置830の表示部831は監視映像データが示す監視映像をディスプレイ装置に表示して監視者に提供する。
本実施の形態において、DNSサーバ602の名前解決サービスが国際化に対応している場合、「北側非常階段2F踊り場」や「エレベータホール1F北東」のような覚えやすいホスト名を監視カメラ100に設定し、監視者がクライアント装置830に対してこのようなホスト名を直接指定して所望の監視カメラ100にアクセスすることも可能である。もちろん、監視者はアルファベットと数字からなるホスト名の監視カメラ100に対してURLを直接指定して所望の監視カメラ100にアクセスしてもかまわない。
また、本実施の形態では、保守端末400は監視カメラ100のバーコード202を読み取るためにカメラ406により撮影した画像データに対して画像認識処理を行ったが、保守端末400は専用のバーコードリーダを使用してバーコード202を読み取ってもかまわない。
また、監視カメラ100にバーコード202を貼り付けるのではなく、電磁波を発信し近距離で受信できるRFIDタグ等のデバイスを監視カメラ100に備えても良い。この場合、保守端末400はRFIDリーダを備え、RFIDリーダによりRFIDタグに記憶されている監視カメラ100のMACアドレスを取得する。
また、任意の機器ID(例えば、MACアドレス)を読み取れるようにデバイスの設定ができないときは、デバイスに設定できるIDに対応する機器IDを記憶管理するデータベースを保守端末400に備えるか、外部装置として設置するかにより機器IDを取得してもよい。
また、バーコード202から読み取る情報を他者に知られないためにバーコード202の内容を暗号化、あるいは、バーコード202から読み取る情報を偽造されないために認証コードの付与、また両方を行っても良い。つまり、復号化情報や認証コードが予め設定されている保守端末400でのみ監視カメラ100のバーコード202から情報を取得できるようにしてもよい。
また、監視カメラ100にバーコード202を貼り付けるのではなく、電磁波を発信し近距離で受信できるRFIDタグ等のデバイスを監視カメラ100に備えても良い。この場合、保守端末400はRFIDリーダを備え、RFIDリーダによりRFIDタグに記憶されている監視カメラ100のMACアドレスを取得する。
また、任意の機器ID(例えば、MACアドレス)を読み取れるようにデバイスの設定ができないときは、デバイスに設定できるIDに対応する機器IDを記憶管理するデータベースを保守端末400に備えるか、外部装置として設置するかにより機器IDを取得してもよい。
また、バーコード202から読み取る情報を他者に知られないためにバーコード202の内容を暗号化、あるいは、バーコード202から読み取る情報を偽造されないために認証コードの付与、また両方を行っても良い。つまり、復号化情報や認証コードが予め設定されている保守端末400でのみ監視カメラ100のバーコード202から情報を取得できるようにしてもよい。
また、本実施の形態では、保守端末400が監視カメラ100に対して証明書発行要求許可を通知するためにブロードキャストメッセージを用いたが、監視カメラ100が複数のサブネットにまたがって設置されている場合など、マルチキャストメッセージを用いて通知を行っても良い。
また、保守端末400が証明書発行要求許可メッセージを監視カメラ100毎に異なる鍵で暗号化することによって、ホスト名を設定する対象の監視カメラ100のみが証明書発行要求許可メッセージを復号化できるようにしても良い。この場合、例えば、製造時などにおいて、予め、保守端末400に監視カメラ100毎に異なる暗号鍵を設定しておくと共に、各監視カメラ100に保守端末400に設定した暗号鍵に対応する復号鍵を設定しておく。
また、保守端末400および監視カメラ100は機器IDから暗号化のための公開鍵を生成し、その鍵を使用するID−based暗号を用いて暗号化を行っても良い。つまり、ホスト名の設定対象である監視カメラ100についてMACアドレスを取得できる保守端末400および当該監視カメラ100のみが、各メッセージを当該MACアドレスに基づいて暗号化・復号化して通信できるようにしてもよい。
また、保守端末400および監視カメラ100は機器IDから暗号化のための公開鍵を生成し、その鍵を使用するID−based暗号を用いて暗号化を行っても良い。つまり、ホスト名の設定対象である監視カメラ100についてMACアドレスを取得できる保守端末400および当該監視カメラ100のみが、各メッセージを当該MACアドレスに基づいて暗号化・復号化して通信できるようにしてもよい。
また、ネットワーク604上に無線LANアクセスポイント603が存在しない場合等、監視カメラ100が接続しているネットワーク604と保守端末400が接続しているネットワークとが離れている場合、ネットワーク604上に保守端末400のメッセージをtunnelingするためのサーバを設置し、保守端末400は、ホットスポット(登録商標)や携帯電話のネットワーク等、公共のネットワークからtunnelingサーバを通じてネットワーク604に接続する監視カメラ100とメッセージのやり取りをしても良い。
また、保守端末400は機器IDとIPアドレスとを対応付けて記憶管理する機器ID登録サーバに機器IDで問い合わせることにより、ホスト名設定対象の監視カメラ100のIPアドレスを取得し、取得したIPアドレスを用いてその監視カメラ100に直接証明書発行要求許可メッセージをユニキャスト送信しても良い。この場合、例えば、監視カメラ100は初回の電源投入時にDHCPサーバ601から割り当てられたIPアドレス及び自らの機器IDを通知して機器ID登録サーバに登録しておく。
この動作シーケンスについて図22に基づいて以下に説明する。説明しない事項については図12に基づく上記説明と同様である。
この動作シーケンスについて図22に基づいて以下に説明する。説明しない事項については図12に基づく上記説明と同様である。
S301において、監視カメラ100aのIPアドレス取得部311はIPアドレスの割り当てを要求する際に自機のMACアドレスaをDHCPサーバ601(機器ID登録サーバ)に通知し、DHCPサーバ601は通知されたMACアドレスaと当該監視カメラ100に割り当てたIPアドレスaとを対応付けて記憶機器に登録する。
MACアドレスとIPアドレスとを対応付けて登録する機器ID登録サーバはDHCPサーバ601とは別に設置されたサーバであっても構わない。
S205においてホスト名とMACアドレスaとを登録した保守端末400は、S205bにおいて、IPアドレス取得部311(対応ID取得部)が登録したMACアドレスa(対応ID要求)を通知してDHCPサーバ601(機器ID登録サーバ)からMACアドレスaに対応付けて登録されているIPアドレスaを取得する。
S206において、保守端末400の証明書発行要求許可送信部501は証明書発行要求許可メッセージ541をS205bにおいて取得したIPアドレスaを用いて監視カメラ100aにユニキャスト送信する。
そして、S302において、証明書発行要求許可メッセージ541は監視カメラ100aのみに受信される。
以後の処理は図12と同様である。
MACアドレスとIPアドレスとを対応付けて登録する機器ID登録サーバはDHCPサーバ601とは別に設置されたサーバであっても構わない。
S205においてホスト名とMACアドレスaとを登録した保守端末400は、S205bにおいて、IPアドレス取得部311(対応ID取得部)が登録したMACアドレスa(対応ID要求)を通知してDHCPサーバ601(機器ID登録サーバ)からMACアドレスaに対応付けて登録されているIPアドレスaを取得する。
S206において、保守端末400の証明書発行要求許可送信部501は証明書発行要求許可メッセージ541をS205bにおいて取得したIPアドレスaを用いて監視カメラ100aにユニキャスト送信する。
そして、S302において、証明書発行要求許可メッセージ541は監視カメラ100aのみに受信される。
以後の処理は図12と同様である。
機器ID登録サーバは以下のようなID情報管理部と対応ID応答部とを備える機器ID管理装置の一例である。
ID情報管理部はネットワーク機器を識別する特定の機器IDと当該機器IDで識別されるネットワーク機器に割り当てられたネットワークIDとを記憶機器を用いて記憶管理する。
対応ID応答部は機器IDに対応するネットワークIDを要求する対応ID要求を受信し、受信した対応ID要求が示す機器IDに対応付けて前記ID情報管理部が記憶管理しているネットワークIDを対応ID要求元に通信機器を用いて応答する。
ID情報管理部はネットワーク機器を識別する特定の機器IDと当該機器IDで識別されるネットワーク機器に割り当てられたネットワークIDとを記憶機器を用いて記憶管理する。
対応ID応答部は機器IDに対応するネットワークIDを要求する対応ID要求を受信し、受信した対応ID要求が示す機器IDに対応付けて前記ID情報管理部が記憶管理しているネットワークIDを対応ID要求元に通信機器を用いて応答する。
図3〜図22に基づいて、監視カメラ100と保守端末400とが複数のメッセージにより相互認証を実現する方法について説明した。監視カメラ100と保守端末400とが複数のメッセージにより相互認証を行うのには、以下のような利点がある。
ブロードキャストされる1つのメッセージ(例えば、図1および図2に基づいて説明したS133におけるホスト名を通知するデータ)によって相互認証を実現するためには以下の方法がある。
監視カメラ100(ネットワーク機器810)が保守端末400(機器設定装置820)を認証するためには、保守端末400が公開鍵暗号を用いてメッセージに電子署名を行い、監視カメラ100が保守端末400の公開鍵暗号を用いて電子署名の検証を行う。
あるいは、保守端末400が共通鍵を用いてメッセージのMAC(Message Authentication Code)を作成し、監視カメラ100が同じ共通鍵を用いてMACの検証を行う。
また、保守端末400が監視カメラ100を認証するためには、保守端末400が公開鍵暗号や共通鍵暗号を用いて対象とする監視カメラ100の公開鍵や共通鍵でメッセージを暗号化し、正当な監視カメラ100だけがメッセージを復号化できることによって認証とする。
但し、MACを用いる場合、全監視カメラ100が保守端末400の共通鍵を知っておく必要があるため、共通鍵が漏洩した場合の危険性が高い。また、公開鍵暗号を用いて署名を行う場合、保守端末400および監視カメラ100は公開鍵演算を実行できるだけの性能を必要とする。
また、対象とする監視カメラ100に対してメッセージを暗号化するためには、事前に保守端末400と監視カメラ100との間で鍵が共有できていなければならない。
機器の性能やシステムの前提条件等によって使用できる認証方式が限定されることがあるが、使用できる認証方式が制限されることによって機器の種類やシステム設計の自由度が小さくなる。
一方、メッセージ数が制限されない場合は、上記の方式も含め、状況に適した任意の認証方式を選択することができる。
監視カメラ100(ネットワーク機器810)が保守端末400(機器設定装置820)を認証するためには、保守端末400が公開鍵暗号を用いてメッセージに電子署名を行い、監視カメラ100が保守端末400の公開鍵暗号を用いて電子署名の検証を行う。
あるいは、保守端末400が共通鍵を用いてメッセージのMAC(Message Authentication Code)を作成し、監視カメラ100が同じ共通鍵を用いてMACの検証を行う。
また、保守端末400が監視カメラ100を認証するためには、保守端末400が公開鍵暗号や共通鍵暗号を用いて対象とする監視カメラ100の公開鍵や共通鍵でメッセージを暗号化し、正当な監視カメラ100だけがメッセージを復号化できることによって認証とする。
但し、MACを用いる場合、全監視カメラ100が保守端末400の共通鍵を知っておく必要があるため、共通鍵が漏洩した場合の危険性が高い。また、公開鍵暗号を用いて署名を行う場合、保守端末400および監視カメラ100は公開鍵演算を実行できるだけの性能を必要とする。
また、対象とする監視カメラ100に対してメッセージを暗号化するためには、事前に保守端末400と監視カメラ100との間で鍵が共有できていなければならない。
機器の性能やシステムの前提条件等によって使用できる認証方式が限定されることがあるが、使用できる認証方式が制限されることによって機器の種類やシステム設計の自由度が小さくなる。
一方、メッセージ数が制限されない場合は、上記の方式も含め、状況に適した任意の認証方式を選択することができる。
ここで、MACとは、共通鍵暗号(MISTY1(MISTY:登録商標)、AES等)や一方向性ハッシュ関数(SHA−1、MD5等)などを使用して正当な(鍵を持っている)作成者が作成したメッセージであることを認証するための電子データである。MACにより認証するためには作成者と同一の鍵を必要とする。
上記の各メッセージは以下のようなものである。
証明書発行要求メッセージ341はPKCS #10 形式を有する。
証明書542はX.509公開鍵証明書に相当する。
証明書要求メッセージ841は、TLSやSSLにおいてHello Request、Client Hello、Server Hello等の複数のメッセージによるやり取りにより実現され、認証方式や暗号化方式をクライアント装置と監視カメラとの間で取り決める。本実施の形態においては、証明書を使用する認証方式を選択する。
S221において送信される証明書542は、TLSやSSLにおいて、Server Certificateメッセージに相当するメッセージに格納されて送信される。
暗号鍵送信のメッセージは、TLSやSSLにおいて、Client Key Exchangeメッセージに相当する。
S221やS506などでの処理において、TLSやSSLでは、実際には複数のメッセージによるやり取りによって構成される場合があるが、特に明記しない。
証明書発行要求メッセージ341はPKCS #10 形式を有する。
証明書542はX.509公開鍵証明書に相当する。
証明書要求メッセージ841は、TLSやSSLにおいてHello Request、Client Hello、Server Hello等の複数のメッセージによるやり取りにより実現され、認証方式や暗号化方式をクライアント装置と監視カメラとの間で取り決める。本実施の形態においては、証明書を使用する認証方式を選択する。
S221において送信される証明書542は、TLSやSSLにおいて、Server Certificateメッセージに相当するメッセージに格納されて送信される。
暗号鍵送信のメッセージは、TLSやSSLにおいて、Client Key Exchangeメッセージに相当する。
S221やS506などでの処理において、TLSやSSLでは、実際には複数のメッセージによるやり取りによって構成される場合があるが、特に明記しない。
本実施の形態では以下のような機器設定装置およびネットワーク機器について説明した。
ネットワーク機器(例えば、監視カメラ)の機器ID(例えば、MACアドレス)を一方向の通信手段(例えば、カメラやRFIDリーダ)を用いて取得し、取得した機器IDを利用してネットワーク機器と通信することを特徴とする機器設定装置。
上記機器設定装置に一方向の通信手段を提供することを特徴とするネットワーク機器。
一方向性の通信手段が光学的に読み取れるバーコード等の印刷物であることを特徴とする上記ネットワーク機器、および、このネットワーク機器からの通信手段を受信することを特徴とする上記機器設定装置。
一方向性の通信手段が電磁誘導等により電源が供給され近距離無線により情報を伝達できるデバイス(例えば、RFIDタグ)であることを特徴とする上記ネットワーク機器、および、このネットワーク機器からの通信手段を受信することを特徴とする上記機器設定装置。
機器IDをメッセージ(例えば、証明書発行要求許可メッセージ)に含めて同報通信(ブロードキャスト)を用いて上記ネットワーク機器と通信を開始することを特徴とする上記機器設定装置、および、同報通信されたメッセージ中に含まれる機器IDと自らの機器IDとを比較して同一だった場合に上記機器設定装置と通信することを特徴とする上記ネットワーク機器。
機器IDで問い合わせることによって、ネットワークID(例えば、IPアドレス)を取得できるサーバ(例えば、機器ID登録サーバ)を介することによって取得したネットワークIDが割り当てられた上記ネットワーク機器と通信を行うことを特徴とする上記機器設定装置、および、ネットワークIDが割り当てられると、機器IDとネットワークIDとを上記サーバ(例えば、機器ID登録サーバ)に登録して上記機器設定装置と通信することを特徴とする上記ネットワーク機器。
メッセージを中継するサーバ(例えば、tunnelingサーバ)を介してネットワーク機器と通信を行うことを特徴とする上記機器設定装置、および、メッセージを中継するサーバを介して通信を行う上記機器設定装置と通信することを特徴とする上記ネットワーク機器。
取得した機器IDのネットワーク機器に対して暗号化を行って当該ネットワーク機器と通信を行うことを特徴とする上記機器設定装置、および、上記機器設定装置から送信された暗号化メッセージを正常に復号化できた場合に通信することを特徴とするネットワーク機器。
実施の形態において、CPUを用いて行うと説明した処理は、論理回路やFPGA(Field Programmable Gate Array)を用いて行ってもよい。
100 監視カメラ、101 CPU、102 メモリ、103 ROM、104 フラッシュメモリ、105 ネットワークインタフェース、106 カメラ、107 バス、201 ドーム型カバー、202 バーコード、301 証明書発行要求許可受信部、302 証明書発行要求送信部、303 証明書受信部、304 鍵・証明書格納部、305 メッセージ処理部、306 鍵対生成部、307 認証情報格納部、311 IPアドレス取得部、312 カメラ制御部、313 映像送信部、314 証明書要求受信部、315 証明書送信部、341 証明書発行要求メッセージ、400 保守端末、401 CPU、402 メモリ、403 ROM、404 フラッシュメモリ、405 無線LANインタフェース、406 カメラ、407 バス、411 タッチパネルディスプレイ装置、501 証明書発行要求許可送信部、502 証明書発行要求受付部、503 証明書送信部、504 設定情報選択部、505 秘密鍵格納部、506 ホスト名格納部、507 メッセージ処理部、508 証明書生成部、511 表示部、512 入力部、513 カメラ制御部、514 画像制御部、521 ホスト名テーブル、522 発行済ホスト名管理テーブル、531 ホスト名選択画面、541 証明書発行要求許可メッセージ、542 証明書、543 証明書発行不許可メッセージ、601 DHCPサーバ、602 DNSサーバ、603 無線LANアクセスポイント、604 ネットワーク、610 ビル監視システム、800 ネットワークシステム、810 ネットワーク機器、820 機器設定装置、830 クライアント装置、831 表示部、832 入力部、833 カメラIPアドレス取得部、834 メッセージ処理部、835 証明書要求送信部、836 証明書受信部、837 データ通信部、841 証明書要求メッセージ、1001 機器ID表示欄、1002 ホスト名選択欄、1003 機器ID読取ボタン、1004 証明書発行ボタン。
Claims (14)
- ネットワークに接続すると共にネットワークを介さずに自己を識別する機器IDを提供する機器ID提供部を備えるネットワーク機器について任意の機器名を設定する機器設定装置であり、
秘密鍵を記憶する秘密鍵格納部と、
前記ネットワーク機器の前記機器ID提供部から機器IDをネットワークを介さずに入力機器を用いて取得する機器ID取得部と、
前記ネットワーク機器に対する利用者指定の任意の機器名を入力機器から入力する設定機器名入力部と、
前記秘密鍵格納部に記憶された秘密鍵を用いて所定の情報を暗号化することによって認証情報を生成し、生成した認証情報と前記機器ID取得部が取得した機器IDとを含んだメッセージとして機器名設定要求許可メッセージを生成するメッセージ処理部と、
前記メッセージ処理部によって生成された機器名設定要求許可メッセージを通信機器からネットワークを介してブロードキャスト送信することによって前記機器IDで識別される前記ネットワーク機器に前記機器名設定要求許可メッセージを受信させる機器名設定要求許可送信部と、
前記ネットワーク機器が前記機器名設定要求許可メッセージに含まれる前記認証情報を前記所定の情報に復号できた場合に送信する機器名要求メッセージをネットワークを介して通信機器を用いて受信する機器名要求受信部と、
前記機器名要求受信部が前記機器名要求メッセージを受信した場合、前記設定機器名入力部が入力した機器名を通信機器からネットワークを介して前記ネットワーク機器に送信することによって前記ネットワーク機器に前記機器名を設定する設定機器名通知部と
を備えたことを特徴とする機器設定装置。 - 前記機器名要求受信部は、前記ネットワーク機器から受信した前記機器名要求メッセージに所定の情報が認証情報として含まれているか否かを判定し、
前記設定機器名通知部は、前記機器名要求受信部が前記機器名要求メッセージを受信した場合のうち、前記機器名要求受信部が前記機器名要求メッセージに認証情報が含まれていると判定した場合に、前記機器名を前記ネットワーク機器に送信する
ことを特徴とする請求項1記載の機器設定装置。 - 前記機器名要求受信部は、
予め決められた秘密情報と、前記秘密情報を鍵として用いて前記機器IDを暗号化した情報とのいずれかの情報が前記認証情報として前記機器名要求メッセージに含まれているか否かを判定する
ことを特徴とする請求項2記載の機器設定装置。 - 前記機器名要求受信部は、前記機器名要求メッセージと共に特定の機器IDを受信し、
前記機器設定装置は、さらに、
機器名と機器IDとを対応付けて記憶するメモリと、
前記設定機器名入力部が入力した機器名と前記機器ID取得部が取得した機器IDとを対応付けて前記メモリに記憶する設定情報選択部と、
機器名を含んだ電子証明書を生成する証明書生成部とを備え、
前記証明書生成部は、
前記機器名要求受信部によって前記機器名要求メッセージに前記認証情報が含まれていると判定された場合、前記機器名要求メッセージと共に受信した前記特定の機器IDと同じ機器IDが前記メモリに記憶されているか否か判定し、
前記特定の機器IDが前記メモリに記憶されている場合に、前記特定の機器IDに対応付けられた機器名を前記メモリから取得し、取得した機器名を含んだ電子証明書を生成し、
前記設定機器名通知部は、
前記機器名要求受信部が前記機器名要求メッセージに認証情報が含まれていると判定した場合のうち、前記証明書生成部によって前記電子証明書が生成された場合に、前記電子証明書を前記ネットワーク機器に送信する
ことを特徴とする請求項2または請求項3記載の機器設定装置。 - 前記機器設定装置は、さらに、暗号化された機器IDを復号するための復号化情報を予め記憶する復号化情報記憶部を備え、
前記機器ID取得部は、前記ネットワーク機器の前記機器ID提供部から前記機器IDを暗号化した暗号化の機器IDを取得し、取得した暗号化の機器IDを前記復号化情報を用いて復号することによって前記機器IDを取得する
ことを特徴とする請求項1から請求項4いずれかに記載の機器設定装置。 - 前記機器設定装置は、さらに、認証コードを予め記憶する認証コード記憶部を備え、
前記機器ID取得部は、前記ネットワーク機器の前記機器ID提供部から前記機器IDと共に認証コードを取得し、
前記機器名設定要求許可送信部は、前記機器ID取得部が取得した認証コードと同じ認証コードが前記認証コード記憶部に記憶されている場合に前記機器名設定要求許可メッセージを送信する
ことを特徴とする請求項1から請求項5いずれかに記載の機器設定装置。 - ネットワークに接続するネットワーク機器であり、
公開鍵を記憶する公開鍵格納部と、
自己を識別する機器IDをネットワークを介さずに提供する機器ID提供部と、
機器IDと暗号化された認証情報とを含んでブロードキャスト送信されたメッセージを機器名設定要求許可メッセージとしてネットワークを介して通信機器を用いて受信する機器名設定要求許可受信部と、
前記機器名設定要求許可受信部によって受信された機器名設定要求許可メッセージが所定のメッセージである場合、機器名を要求する機器名要求メッセージを生成するメッセージ処理部と、
前記メッセージ処理部によって生成された機器名要求メッセージを前記機器名設定要求許可メッセージの送信元に通信機器からネットワークを介して送信する機器名要求送信部と、
前記機器名要求送信部が送信した機器名要求メッセージの送信先から機器名をネットワークを介して通信機器を用いて受信する設定機器名受信部と、
前記設定機器名受信部が受信した機器名を自己の機器名として記憶機器に記憶する設定機器名記憶部とを備え、
前記メッセージ処理部は、
前記機器名設定要求許可メッセージに含まれる機器IDが前記機器ID提供部によって提供される機器IDと同じ機器IDであるか否かを判定し、
前記機器名設定要求許可メッセージに含まれる認証情報を前記公開鍵格納部に記憶された公開鍵を用いて復号し、復号によって得られた復号情報が所定の情報であるか否かを判定し、
前記機器名設定要求許可メッセージに含まれる機器IDが前記機器ID提供部によって提供される機器IDと同じ機器IDであり、且つ、前記復号情報が前記所定の情報である場合に前記機器名要求メッセージを生成する
ことを特徴とするネットワーク機器。 - 前記メッセージ処理部は、
予め決められた秘密情報と、前記秘密情報を鍵として用いて前記機器IDを暗号化した情報といずれかの情報を含めて前記機器名要求メッセージを生成する
ことを特徴とする請求項7記載のネットワーク機器。 - 前記機器ID提供部が予め暗号化された機器IDを提供することを特徴とする請求項7または請求項8記載のネットワーク機器。
- 前記機器ID提供部が前記機器IDと共に所定のコードを認証コードとして提供することを特徴とする請求項7から請求項9いずれかに記載のネットワーク機器。
- 機器ID取得部と、設定機器名入力部と、メッセージ処理部と、機器名設定要求許可送信部と、機器名要求受信部と、設定機器名通知部とを備える機器設定装置を用いる機器名設定方法であって、
前記機器ID取得部が、ネットワークを介さずに自己を識別する機器IDを提供する機器ID提供部を備えるネットワーク機器の前記機器ID提供部から機器IDをネットワークを介さずに入力機器を用いて取得し、
前記設定機器名入力部が、前記ネットワーク機器に対する利用者指定の任意の機器名を入力機器から入力し、
前記メッセージ処理部が、秘密鍵を用いて所定の情報を暗号化することによって認証情報を生成し、生成した認証情報と前記機器ID取得部が取得した機器IDとを含んだメッセージとして機器名設定要求許可メッセージを生成し、
前記機器名設定要求許可送信部が、前記メッセージ処理部によって生成された機器名設定要求許可メッセージを通信機器からネットワークを介してブロードキャスト送信することによって前記機器IDで識別される前記ネットワーク機器に前記機器名設定要求許可メッセージを受信させ、
前記機器名要求受信部が、前記ネットワーク機器が前記機器名設定要求許可メッセージに含まれる前記認証情報を前記所定の情報に復号できた場合に送信する機器名要求メッセージをネットワークを介して通信機器を用いて受信し、
前記設定機器名通知部が、前記機器名要求受信部が前記機器名要求メッセージを受信した場合、前記設定機器名入力部が入力した機器名を通信機器からネットワークを介して前記ネットワーク機器に送信することによって前記ネットワーク機器に前記機器名を設定する
ことを特徴とする機器名設定方法。 - 請求項11記載の機器名設定方法をコンピュータに実行させるための機器名設定プログラム。
- 機器ID提供部と、機器名設定要求許可受信部と、メッセージ処理部と、機器名要求送信部と、設定機器名受信部と、設定機器名記憶部とを備えるネットワーク機器を用いる機器名設定方法であって、
前記機器ID提供部が、自己を識別する機器IDをネットワークを介さずに提供し、
前記機器名設定要求許可受信部が、機器IDと暗号化された認証情報とを含んでブロードキャスト送信されたメッセージを機器名設定要求許可メッセージとしてネットワークを介して通信機器を用いて受信し、
前記メッセージ処理部が、前記機器名設定要求許可受信部によって受信された機器名設定要求許可メッセージが所定のメッセージである場合、機器名を要求する機器名要求メッセージを生成するメッセージ処理を実行し、
前記機器名要求送信部が、前記メッセージ処理部によって生成された機器名要求メッセージを前記機器名設定要求許可メッセージの送信元に通信機器からネットワークを介して送信し、
前記設定機器名受信部が、前記機器名要求送信部が送信した機器名要求メッセージの送信先から機器名をネットワークを介して通信機器を用いて受信し、
前記設定機器名記憶部が、前記設定機器名受信部が受信した機器名を自己の機器名として記憶機器に記憶し、
前記メッセージ処理において、前記メッセージ処理部は、
前記機器名設定要求許可メッセージに含まれる機器IDが前記機器ID提供部によって提供される機器IDと同じ機器IDであるか否かを判定し、
前記機器名設定要求許可メッセージに含まれる認証情報を公開鍵を用いて復号し、復号によって得られた復号情報が所定の情報であるか否かを判定し、
前記機器名設定要求許可メッセージに含まれる機器IDが前記機器ID提供部によって提供される機器IDと同じ機器IDであり、且つ、前記復号情報が前記所定の情報である場合に前記機器名要求メッセージを生成する
ことを特徴とする機器名設定方法。 - 請求項13記載の機器名設定方法をコンピュータに実行させるための機器名設定プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007159551A JP5030681B2 (ja) | 2007-06-15 | 2007-06-15 | 機器設定装置、ネットワーク機器、機器名設定方法および機器名設定プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007159551A JP5030681B2 (ja) | 2007-06-15 | 2007-06-15 | 機器設定装置、ネットワーク機器、機器名設定方法および機器名設定プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008312069A JP2008312069A (ja) | 2008-12-25 |
| JP5030681B2 true JP5030681B2 (ja) | 2012-09-19 |
Family
ID=40239235
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007159551A Expired - Fee Related JP5030681B2 (ja) | 2007-06-15 | 2007-06-15 | 機器設定装置、ネットワーク機器、機器名設定方法および機器名設定プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5030681B2 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011232790A (ja) * | 2010-04-23 | 2011-11-17 | Sharp Corp | 情報処理装置及び印刷装置 |
| JP5851046B2 (ja) * | 2011-11-10 | 2016-02-03 | エンパイア テクノロジー ディベロップメント エルエルシー | リモート表示 |
| JP5857796B2 (ja) * | 2012-02-28 | 2016-02-10 | 株式会社リコー | 機器管理装置、機器管理方法、機器管理プログラム |
| JP2014078193A (ja) * | 2012-10-12 | 2014-05-01 | Pioneer Electronic Corp | 端末装置、端末装置の識別情報付与方法、プログラム |
| CN103780408B (zh) * | 2012-10-19 | 2018-05-04 | 中兴通讯股份有限公司 | 设备上线、地址下发方法、前端设备、服务器及监控系统 |
| JP2014127058A (ja) * | 2012-12-27 | 2014-07-07 | Fujitsu Ltd | 中継装置、中継方法及びプログラム |
| JP6226526B2 (ja) * | 2013-01-18 | 2017-11-08 | 三菱電機株式会社 | サーバ装置、ネットワーク接続の方法 |
| JP6127650B2 (ja) * | 2013-03-28 | 2017-05-17 | 沖電気工業株式会社 | 局番認識装置および局番認識システム |
| JP6248483B2 (ja) * | 2013-09-09 | 2017-12-20 | 株式会社リコー | 認証システム、情報処理装置及び認証プログラム |
| JP6180303B2 (ja) * | 2013-11-29 | 2017-08-16 | 株式会社日立国際電気 | ネットワーク映像監視システム |
| JP6474969B2 (ja) * | 2014-06-02 | 2019-02-27 | Necプラットフォームズ株式会社 | ネットワーク装置、ネットワーク設定情報取得システム、ネットワーク設定情報取得方法およびネットワーク設定情報取得プログラム |
| US10891846B2 (en) * | 2015-06-12 | 2021-01-12 | Sony Corporation | Information processing device, information processing method, and program |
| WO2020095941A1 (ja) * | 2018-11-08 | 2020-05-14 | 合同会社 Ark | 作業支援システム及び作業支援方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001148707A (ja) * | 1999-11-19 | 2001-05-29 | Sony Corp | 情報処理装置および方法、情報提供装置および方法、並びに記録媒体 |
| JP2001265696A (ja) * | 2000-03-16 | 2001-09-28 | Nippon Telegr & Teleph Corp <Ntt> | 情報提供方法及びシステムならびに情報提供プログラムを記録した記録媒体 |
| JP4661520B2 (ja) * | 2005-10-24 | 2011-03-30 | セイコーエプソン株式会社 | ウェブサーバ機能を有するネットワークデバイスを介したネットワークデバイスの検索 |
-
2007
- 2007-06-15 JP JP2007159551A patent/JP5030681B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008312069A (ja) | 2008-12-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5030681B2 (ja) | 機器設定装置、ネットワーク機器、機器名設定方法および機器名設定プログラム | |
| US9674879B2 (en) | Provisioning of electronic devices | |
| JP6917308B2 (ja) | 自動的無線ネットワーク認証のためのシステム及び方法 | |
| CN106537871B (zh) | 用于在网络中提供设备的登记的系统、方法和装置 | |
| KR102137673B1 (ko) | 어플리케이션 연결 방법 및 이를 이용하는 시스템 | |
| US9401901B2 (en) | Self-configuring wireless network | |
| KR101683251B1 (ko) | 센서 네트워크에서 센서 노드 설정 방법, 보안 설정 방법 및 이를 포함하는 센서 네트워크 시스템 | |
| CN101346931B (zh) | 监控系统及用于将监控设备连接至业务服务器的方法 | |
| US10673630B2 (en) | Cloud based WiFi network setup for multiple access points | |
| JP6385572B2 (ja) | 設備管理装置、設備管理システム、及びプログラム | |
| EP3247143B1 (en) | Registering a device capable of device-to-device communication in server | |
| US20140281478A1 (en) | Configuring secure wireless networks | |
| US20170048700A1 (en) | Self-configuring wireless network | |
| KR20150097254A (ko) | 무선 통신 시스템에서 인증 정보 송수신 방법 및 장치 | |
| TWI636632B (zh) | Electric vehicle charging method and charging station | |
| CN109891852B (zh) | 用于提供用户配置的信任域的设备和方法 | |
| JP2008028892A (ja) | 無線通信システム | |
| JP2009277024A (ja) | 接続制御方法、通信システムおよび端末 | |
| JP5498278B2 (ja) | データバックアップシステム、及び、無線親機 | |
| CN111066297B (zh) | 远程访问控制系统 | |
| JP7236933B2 (ja) | 遠隔サーバ、管理装置、通信システム、認証方法、被認証方法及びプログラム | |
| JP2006314138A (ja) | 無線lan端末の無線lanへの参加制御方法及び無線lan基地局装置並びに無線lan端末装置 | |
| JP2019190111A (ja) | 鍵情報生成システム及び鍵情報生成方法 | |
| JP6478484B2 (ja) | 電気錠システムおよび電気錠システム制御方法 | |
| JP2021190930A (ja) | 無線通信システム、通信方法、無線アクセスポイント、及び制御プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100311 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120210 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120228 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120425 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120529 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120626 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5030681 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150706 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |