JP7111125B2 - COMMUNICATION PROCESSING SYSTEM, COMMUNICATION PROCESSING DEVICE, CONTROL METHOD AND CONTROL PROGRAM - Google Patents

COMMUNICATION PROCESSING SYSTEM, COMMUNICATION PROCESSING DEVICE, CONTROL METHOD AND CONTROL PROGRAM Download PDF

Info

Publication number
JP7111125B2
JP7111125B2 JP2020072861A JP2020072861A JP7111125B2 JP 7111125 B2 JP7111125 B2 JP 7111125B2 JP 2020072861 A JP2020072861 A JP 2020072861A JP 2020072861 A JP2020072861 A JP 2020072861A JP 7111125 B2 JP7111125 B2 JP 7111125B2
Authority
JP
Japan
Prior art keywords
connection
server
communication processing
connection means
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020072861A
Other languages
Japanese (ja)
Other versions
JP2020115681A (en
Inventor
岳 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2020072861A priority Critical patent/JP7111125B2/en
Publication of JP2020115681A publication Critical patent/JP2020115681A/en
Priority to JP2022116418A priority patent/JP2022141860A/en
Application granted granted Critical
Publication of JP7111125B2 publication Critical patent/JP7111125B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、通信処理システム、通信処理方法、通信処理装置、通信管理装置およびそれらの制御方法と制御プログラムに関する。 The present invention relates to a communication processing system, a communication processing method, a communication processing device, a communication management device, and their control methods and control programs.

上記技術分野において、特許文献1には、USBデバイスの接続ポートを有するホスト機器がHID(Human Interface Device:マウス、キーボード等)のUSBデバイスから接続要求があった場合、機器許可ホワイトリスト等の照合により、未許可デバイスの接続を遮断する技術が開示されている。また、非特許文献1には、オープンフロー(OpenFlow)で制御されるオープンフローコントローラ(OFC:OpenFlow Controller)とオープンフロースイッッチ(OFS:OpenFlow Switch)とを利用し、IP系ネットワーク接続(ネットワークアドレスを用いた接続)を、柔軟な通信経路制御により通信最適化を実現する技術が記載されている。 In the above technical field, in Patent Document 1, when a host device having a connection port for a USB device receives a connection request from a USB device of HID (Human Interface Device: mouse, keyboard, etc.), the device permission white list etc. is checked. discloses a technique for blocking connections of unauthorized devices. In Non-Patent Document 1, an IP-based network connection (network A technology for realizing communication optimization by flexible communication route control is described.

米国特許公開US2014/0215637号公報United States Patent Publication No. US2014/0215637

Y.Watanabe, et al, STCoS: Software-defined Traffic Control for Smartphones, IEEE, RTAS, 2014Y. Watanabe, et al, STCoS: Software-defined Traffic Control for Smartphones, IEEE, RTAS, 2014

しかしながら、上記特許文献1の技術では、通信の制限はUSBデバイスとUSBを介した接続先のホスト機器間に限定されており、特にホスト機器が外部ネットワークに接続可能なネットワーク機器の場合、ネットワーク通信との連携ができていないため、USBデバイスから外部ネットワークに接続するクラウド(サーバ)までのセキュリティ(安全)性が不十分である。また、非特許文献1の技術は、セキュリティ領域への適用も可能であるが、非IP系接続(デバイスIDやデバイスアドレスを用いた接続)のデバイス(Bluetooth(登録商標)/USBデバイス)から接続要求があった場合のセキュリティ(安全)性に対しては、対応していない。 However, in the technique of Patent Document 1, communication restrictions are limited between the USB device and the host device to which it is connected via USB. security (safety) from the USB device to the cloud (server) that connects to the external network is insufficient. In addition, the technology of Non-Patent Document 1 can also be applied to the security area, but it is possible to connect from a device (Bluetooth (registered trademark) / USB device) with a non-IP connection (connection using a device ID or device address). Security (safety) when requested is not supported.

すなわち、USBデバイスとUSBを介した接続先のホスト機器間、ネットワーク機器とネットワークを介した接続先のクラウド(サーバ)間、のそれぞれのセキュリティ対策はあっても、USBデバイスからクラウド(サーバ)間のセキュリティ対策はなかった。そのため、例えばセキュリティ(安全)に問題があるデバイスが接続された場合には、問題のあるデバイスをホスト機器あるいはネットワークから切断することしかできない。 In other words, even if there are security measures between the USB device and the host device connected via USB, and between the network device and the cloud (server) connected via the network, there are security measures between the USB device and the cloud (server). There were no security measures for Therefore, for example, when a device having a security (safety) problem is connected, the only thing that can be done is to disconnect the problematic device from the host device or the network.

このように、非IP系接続のセキュリティ(安全)性とIP系接続のセキュリティ(安全)性とを一体に考えて、非IP系接続デバイスからIP系接続クラウド(サーバ)までの安全な接続を担保できなかった。 In this way, considering the security (safety) of non-IP-based connections and the security (safety) of IP-based connections together, secure connections from non-IP-based connected devices to IP-based connected clouds (servers) can be achieved. could not be guaranteed.

本発明の目的は、上述の課題を解決する技術を提供することにある。 An object of the present invention is to provide a technique for solving the above problems.

上記目的を達成するため、本発明に係る通信処理装置は、
非IP系接続のデバイスに接続される第1接続手段と、
IP系接続によりサーバに接続される第2接続手段と、
前記第1接続手段に対する前記デバイスの接続可否と前記デバイスからのデータの通信処理を行うアプリケーションと前記デバイスとの対応付けと、を記憶する記憶手段と、
前記第1接続手段に対する前記デバイスの接続が許可された場合に、前記対応付けに基づいて、前記第1接続手段と前記第2接続手段との間で非IP系接続された前記デバイスとIP系接続された前記サーバとを前記アプリケーションを用いて接続するよう制御する接続制御手段と、
を備える。
また、上記目的を達成するため、本発明に係る通信処理装置は、
非IP系接続のデバイスに接続される第1接続手段と、
IP系接続によりサーバに接続される第2接続手段と、
前記第1接続手段に対する前記デバイスの接続可否と、前記デバイスからのデータの通信処理を行うアプリケーションと前記デバイスとの対応付けと、を記憶する記憶手段と、
前記第1接続手段に対する前記デバイスの接続が許可された場合に、前記対応付けに基づいて、前記第1接続手段と前記第2接続手段との間で前記デバイスと前記サーバとを接続するよう制御する接続制御手段と、
を備え、
前記第1接続手段は、複数の前記デバイスを接続可能であり、
前記接続制御手段は、前記第1接続手段に対する前記デバイスの接続が許可されない場合、前記第1接続手段と前記第2接続手段との間で複数の前記デバイスの全てと前記サーバとの接続を切断するよう制御し、接続が許可されない前記デバイスと前記サーバとの接続が切断されると、接続が許可されない前記デバイスを除く複数の前記デバイスと前記サーバとを、秘匿性が高いアプリケーションを用いて再接続するよう制御する。 In order to achieve the above object, a communication processing device according to the present invention includes:
a first connection means connected to a non-IP-based connection device;
a second connection means connected to the server by IP connection;
storage means for storing whether or not the device can be connected to the first connection means and correspondence between an application that performs communication processing of data from the device and the device;
When the connection of the device to the first connection means is permitted, the device and the IP system are connected between the first connection means and the second connection means based on the correspondence. connection control means for controlling connection with the connected server using the application ;
Prepare.
Further, in order to achieve the above object, a communication processing device according to the present invention includes:
a first connection means connected to a non-IP-based connection device;
a second connection means connected to the server by IP connection;
storage means for storing whether or not the device can be connected to the first connection means and correspondence between an application that performs communication processing of data from the device and the device;
Control to connect the device and the server between the first connection means and the second connection means based on the association when the connection of the device to the first connection means is permitted a connection control means for
with
The first connection means is capable of connecting a plurality of the devices,
The connection control means disconnects all of the plurality of devices and the server between the first connection means and the second connection means when connection of the device to the first connection means is not permitted. When the connection between the device for which connection is not permitted and the server is disconnected, the plurality of devices excluding the device for which connection is not permitted and the server are restarted using a highly confidential application. control to connect.

上記目的を達成するため、本発明に係る通信処理装置の制御方法は、
非IP系接続のデバイスを第1接続手段に接続する第1接続ステップと、
IP系接続によりサーバに第2接続手段を接続する第2接続ステップと、
前記第1接続手段に対する前記デバイスの接続が許可された場合に、前記第1接続手段に対する前記デバイスの接続可否と前記デバイスからのデータの通信処理を行うアプリケーションと前記デバイスとの対応付けとに基づいて、前記第1接続手段と前記第2接続手段との間で非IP系接続された前記デバイスとIP系接続された前記サーバとを前記アプリケーションを用いて接続するよう制御する接続制御ステップと、
を含む。
また、上記目的を達成するため、本発明に係る通信処理装置の制御方法は、
非IP系接続のデバイスを第1接続手段に接続する第1接続ステップと、
IP系接続によりサーバに第2接続手段を接続する第2接続ステップと、
前記第1接続手段に対する前記デバイスの接続が許可された場合に、前記第1接続手段に対する前記デバイスの接続可否と、前記デバイスからのデータの通信処理を行うアプリケーションと前記デバイスとの対応付けとに基づいて、前記第1接続手段と前記第2接続手段との間で前記デバイスと前記サーバとを接続するよう制御する接続制御ステップと、
を含み、
前記第1接続手段は、複数の前記デバイスが接続可能であり、
前記接続制御ステップにおいては、前記第1接続手段に対する前記デバイスの接続が許可されない場合、前記第1接続手段と前記第2接続手段との間で複数の前記デバイスの全てと前記サーバとの接続を切断するよう制御し、接続が許可されない前記デバイスが切断されると、前記デバイスを除く複数の前記デバイスと前記サーバとを、秘匿性が高いアプリケーションを用いて再接続するよう制御する。 In order to achieve the above object, a control method for a communication processing device according to the present invention comprises:
a first connecting step of connecting a non-IP-based connected device to a first connecting means;
a second connecting step of connecting the second connecting means to the server via an IP-based connection;
When the connection of the device to the first connection means is permitted, whether or not the device can be connected to the first connection means, and the correspondence between the application that performs communication processing of data from the device and the device a connection control step of controlling , using the application, the device that is non-IP-connected and the server that is IP -connected between the first connection means and the second connection means according to ,
including.
Further, in order to achieve the above object, a control method for a communication processing device according to the present invention comprises:
a first connecting step of connecting a non-IP-based connected device to a first connecting means;
a second connecting step of connecting the second connecting means to the server via an IP-based connection;
When the connection of the device to the first connection means is permitted, whether or not the device can be connected to the first connection means, and the correspondence between the application that performs communication processing of data from the device and the device a connection control step of controlling to connect the device and the server between the first connection means and the second connection means based on the
including
the first connection means is connectable to a plurality of the devices;
In the connection control step, if connection of the device to the first connection means is not permitted, connection between all of the plurality of devices and the server is performed between the first connection means and the second connection means. When the device for which connection is not permitted is disconnected, the plurality of devices other than the device and the server are controlled to be reconnected using a highly confidential application.

上記目的を達成するため、本発明に係る通信処理装置の制御プログラムは、
非IP系接続のデバイスを第1接続手段に接続する第1接続ステップと、
IP系接続によりサーバに第2接続手段を接続する第2接続ステップと、
前記第1接続手段に対する前記デバイスの接続が許可された場合に、前記第1接続手段に対する前記デバイスの接続可否と前記デバイスからのデータの通信処理を行うアプリケーションと前記デバイスとの対応付けとに基づいて、前記第1接続手段と前記第2接続手段との間で非IP系接続された前記デバイスとIP系接続された前記サーバとを前記アプリケーションを用いて接続するよう制御する接続制御ステップと、
をコンピュータに実行させる。 In order to achieve the above object, a control program for a communication processing device according to the present invention includes:
a first connecting step of connecting a non-IP-based connected device to a first connecting means;
a second connecting step of connecting the second connecting means to the server via an IP-based connection;
When the connection of the device to the first connection means is permitted, whether or not the device can be connected to the first connection means, and the correspondence between the application that performs communication processing of data from the device and the device a connection control step of controlling , using the application, the device that is non-IP-connected and the server that is IP -connected between the first connection means and the second connection means according to ,
run on the computer.

上記目的を達成するため、本発明に係る通信処理システムは、
非IP系接続のデバイスと、サーバと、前記デバイスと前記サーバとの通信を処理する通信処理装置とを備える通信処理システムであって、
前記通信処理装置は、
前記デバイスを接続する第1接続手段と、
IP系接続により前記サーバに接続する第2接続手段と、
前記第1接続手段に対する前記デバイスの接続可否と前記デバイスからのデータの通信処理を行うアプリケーションと前記デバイスとの対応付けと、を記憶する記憶手段と、
前記第1接続手段に対する前記デバイスの接続が許可された場合に、前記対応付けに基づいて、前記第1接続手段と前記第2接続手段との間で非IP系接続された前記デバイスとIP系接続された前記サーバとを前記アプリケーションを用いて接続するよう制御する接続制御手段と、
を備える。 In order to achieve the above object, a communication processing system according to the present invention comprises:
A communication processing system comprising a non-IP-connected device, a server, and a communication processing apparatus for processing communication between the device and the server,
The communication processing device is
a first connection means for connecting the device;
a second connection means for connecting to the server through an IP-based connection;
storage means for storing whether or not the device can be connected to the first connection means and correspondence between an application that performs communication processing of data from the device and the device;
When the connection of the device to the first connection means is permitted, the device and the IP system are connected between the first connection means and the second connection means based on the correspondence. connection control means for controlling connection with the connected server using the application ;
Prepare.

本発明によれば、非IP系接続デバイスからIP系接続クラウド(サーバ)までの安全な接続を担保することができる。 According to the present invention, it is possible to ensure a safe connection from a non-IP system connection device to an IP system connection cloud (server).

本発明の第1実施形態に係る通信処理装置の構成を示すブロック図である。1 is a block diagram showing the configuration of a communication processing device according to a first embodiment of the present invention; FIG. 本発明の第2実施形態に係る通信処理装置を含む通信処理システムの構成を示すブロック図である。FIG. 4 is a block diagram showing the configuration of a communication processing system including a communication processing device according to a second embodiment of the present invention; FIG. 本発明の第2実施形態に係る通信処理部の機能構成を示すブロック図である。FIG. 9 is a block diagram showing the functional configuration of a communication processing section according to the second embodiment of the present invention; 本発明の第2実施形態に係る通信処理テーブルの構成を示す図である。It is a figure which shows the structure of the communication processing table which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係るデバイス処理制御部の機能構成を示すブロック図である。FIG. 8 is a block diagram showing the functional configuration of a device processing control unit according to the second embodiment of the present invention; 本発明の第2実施形態に係るデバイス処理テーブルの構成を示す図である。FIG. 10 is a diagram showing the structure of a device processing table according to the second embodiment of the present invention; FIG. 本発明の第2実施形態に係る切換部の機能構成を示すブロック図である。FIG. 8 is a block diagram showing the functional configuration of a switching unit according to the second embodiment of the present invention; 本発明の第2実施形態に係る接続テーブルの構成を示す図である。It is a figure which shows the structure of the connection table based on 2nd Embodiment of this invention. 本発明の第2実施形態に係る通信処理部の処理手順を示すフローチャートである。9 is a flow chart showing a processing procedure of a communication processing unit according to the second embodiment of the present invention; 本発明の第2実施形態に係るフィルタリング処理の手順を示すフローチャートである。9 is a flow chart showing the procedure of filtering processing according to the second embodiment of the present invention. 本発明の第2実施形態に係る未許可デバイスの場合の通信処理システムの接続状態を示す図である。FIG. 10 is a diagram showing a connection state of the communication processing system in the case of unauthorized devices according to the second embodiment of the present invention; 本発明の第2実施形態に係る遮断後の再開における通信処理システムの接続状態を示す図である。FIG. 10 is a diagram showing a connection state of the communication processing system at restart after shutdown according to the second embodiment of the present invention; 本発明の第2実施形態に係る許可デバイスの場合の通信処理システムの接続状態を示す図である。FIG. 10 is a diagram showing the connection state of the communication processing system in the case of authorized devices according to the second embodiment of the present invention; 本発明の第2実施形態に係る許可デバイスの場合の通信処理システムの他の接続状態を示す図である。FIG. 10 is a diagram showing another connection state of the communication processing system in the case of authorized devices according to the second embodiment of the present invention; 本発明の第2実施形態に係る管理サーバの機能構成を示すブロック図である。FIG. 8 is a block diagram showing the functional configuration of a management server according to the second embodiment of the present invention; 本発明の第2実施形態に係るゲートウェイ管理データベースの構成を示す図である。It is a figure which shows the structure of the gateway management database based on 2nd Embodiment of this invention. 本発明の第2実施形態に係る可視化された管理モニタの概念を示す図である。It is a figure which shows the concept of the management monitor visualized based on 2nd Embodiment of this invention. 本発明の第2実施形態に係る可視化された管理モニタの表示画面例を示す図である。It is a figure which shows the example of the display screen of the visualized management monitor which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係る可視化された管理モニタの表示画面例を示す図である。It is a figure which shows the example of the display screen of the visualized management monitor which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係る可視化された管理モニタの表示画面例を示す図である。It is a figure which shows the example of the display screen of the visualized management monitor which concerns on 2nd Embodiment of this invention.

以下に、図面を参照して、本発明の実施の形態について例示的に詳しく説明する。ただし、以下の実施の形態に記載されている構成要素は単なる例示であり、本発明の技術範囲をそれらのみに限定する趣旨のものではない。 BEST MODE FOR CARRYING OUT THE INVENTION Exemplary embodiments of the present invention will be described in detail below with reference to the drawings. However, the components described in the following embodiments are merely examples, and are not intended to limit the technical scope of the present invention only to them.

なお、本明細書で使用される文言“非IP系接続”とは、デバイスIDやデバイスアドレスに基づくUSBやBluetooth(登録商標)などの通信プロトコルに従った接続を示し、“IP系接続”とは、インターネットアドレスなどのネットワークアドレスに基づくインターネットプロトコルに従った接続を示す。 Note that the term “non-IP-based connection” used in this specification refers to a connection according to a communication protocol such as USB or Bluetooth (registered trademark) based on a device ID or device address, and is referred to as “IP-based connection”. indicates a connection according to the Internet protocol based on a network address, such as an Internet address.

[第1実施形態]
本発明の第1実施形態としての通信処理装置110について、図1を用いて説明する。通信処理装置110は、非IP系のデバイスをIP系に接続する装置である。 [First embodiment]
A communication processing device 110 as a first embodiment of the present invention will be described with reference to FIG. The communication processing device 110 is a device that connects a non-IP system device to an IP system.

図1に示すように、通信処理装置110は、第1接続部111と、第2接続部112と、切換部113と、判定部114と、接続制御部115と、を含む。第1接続部111は、デバイス120を接続する。第2接続部112は、サーバ130に接続する。切換部113は、第1接続部111と第2接続部112との間において、デバイス120とサーバ130との接続を切り換える。判定部114は、第1接続部111に対するデバイス120の接続が許可されているか否かを判定する。接続制御部115は、判定部114の判定結果にしたがって、切換部113を制御する。 As shown in FIG. 1 , communication processing device 110 includes first connection section 111 , second connection section 112 , switching section 113 , determination section 114 , and connection control section 115 . The first connection unit 111 connects the device 120 . The second connection unit 112 connects to the server 130 . Switching unit 113 switches connection between device 120 and server 130 between first connection unit 111 and second connection unit 112 . The determination unit 114 determines whether connection of the device 120 to the first connection unit 111 is permitted. Connection control section 115 controls switching section 113 according to the determination result of determination section 114 .

本実施形態によれば、デバイスの接続が許可されているか否かの判定結果で、デバイスからサーバまでの接続を切り換えることにより、非IP系接続デバイスからIP系接続クラウド(サーバ)までの安全な接続を担保できる。 According to this embodiment, by switching the connection from the device to the server based on the determination result of whether or not the connection of the device is permitted, the connection from the non-IP system connection device to the IP system connection cloud (server) can be safely performed. Connection can be secured.

[第2実施形態]
次に、本発明の第2実施形態に係る通信処理装置について説明する。本実施形態に係る通信処理装置においては、デバイスの接続が許可されていないと判定した場合、または、デバイスの接続が許可されていると判定した場合に、デバイスとサーバとの接続を次のように制御する。 [Second embodiment]
Next, a communication processing device according to a second embodiment of the invention will be described. In the communication processing apparatus according to the present embodiment, when it is determined that the connection of the device is not permitted, or when it is determined that the connection of the device is permitted, the connection between the device and the server is performed as follows. to control.

デバイスの接続が許可されていないと判定した場合、通信処理装置に接続された全デバイスとサーバとの接続を切断する。また、デバイスの接続が許可されていると判定した場合であっても、デバイスとサーバとの接続を制限するように制御する。例えば、接続されたデバイスに対して提供するアプリケーション処理を制限するように制御する。 If it is determined that device connection is not permitted, all devices connected to the communication processing unit are disconnected from the server. Also, even if it is determined that the connection of the device is permitted, control is performed so as to limit the connection between the device and the server. For example, control is performed to limit application processing provided to the connected device.

これらの制御は、通信を管理する外部の通信管理装置による設定にしたがって実行され、デバイスとサーバとの接続状態は外部の通信管理装置に通知される。特に、デバイスの接続が許可されていないと判定した場合の全デバイスとサーバとの接続の切断は、外部の通信管理装置に緊急通知される。 These controls are executed according to settings made by an external communication management device that manages communication, and the external communication management device is notified of the connection status between the device and the server. In particular, when it is determined that device connection is not permitted, disconnection of all devices from the server is urgently notified to the external communication management device.

《通信処理システム》
図2は、本実施形態に係る通信処理装置210を含む通信処理システム200の構成を示すブロック図である。なお、以下の説明においては、通信処理装置210がそれぞれ、管理サーバ240からの設定に基づき、接続されたデバイスを判定し、サーバ遮断などの処理を行なう例を示すが、管理サーバ240が複数の通信処理装置210を一括に管理して、接続されたデバイスを判定し、サーバ遮断などの処理を行なってもよい。 《Communication processing system》
FIG. 2 is a block diagram showing the configuration of a communication processing system 200 including a communication processing device 210 according to this embodiment. In the following description, each communication processing device 210 determines a connected device based on settings from the management server 240, and performs processing such as server shutdown. The communication processing devices 210 may be collectively managed, connected devices may be determined, and processing such as server shutdown may be performed.

通信処理システム200は、例えばゲートウェイなどの通信処理装置210と、デバイス220と、クラウドを含むサーバ230と、管理サーバ240と、を備える。 The communication processing system 200 includes a communication processing device 210 such as a gateway, a device 220 , a server 230 including a cloud, and a management server 240 .

通信処理装置210は、通信処理装置210を制御する通信処理部211と、デバイス制御処理部212と、アプリケーション群213(以下、アプリと略す)と、SDN(Software-Defined Network)による切換部214と、サーバ230との接続を行なう通信部215と、を備える。通信処理部211は、管理サーバ240からの設定指示にしたがって通信処理装置210の全体を処理すると共に、通信処理装置210の処理状態を管理サーバ240に提示する。デバイス制御処理部212は、USB(Universal Serial Bus)やBluetooth(登録商標)などによって非IP系のデバイス220との接続を制御する。そして、デバイスが認可済みか未認証かを判定して、デバイスが未認証の場合はそのデバイスとの接続を遮断する。そして、通信処理部211に未認証のデバイスが接続されたことを通知する。アプリ213は、接続されたそれぞれのデバイス220からのデータの取得やネットワークを介したサーバ230への送信などを行なうアプリケーションである。切換部214はSDNを構成するオープンフローコントローラとオープンフロースイッチとを有し、アプリ213で処理されたデバイスからのデータをどのサーバ230に転送するかのスイッチングを制御する。通信部215は、Wi-Fi、Ethernet(登録商標)、Cellularなどによりサーバ230にデバイスからのデータを転送する。 Communication processing unit 210 includes communication processing unit 211 for controlling communication processing unit 210, device control processing unit 212, application group 213 (hereinafter abbreviated as application), and switching unit 214 by SDN (Software-Defined Network). , and a communication unit 215 for connecting with the server 230 . The communication processing unit 211 processes the entire communication processing device 210 according to setting instructions from the management server 240 and presents the processing state of the communication processing device 210 to the management server 240 . The device control processing unit 212 controls connection with a non-IP-based device 220 via USB (Universal Serial Bus), Bluetooth (registered trademark), or the like. Then, it determines whether the device is authorized or unauthenticated, and cuts off the connection with the device if the device is unauthenticated. Then, it notifies the communication processing unit 211 that an unauthenticated device has been connected. The application 213 is an application that acquires data from each connected device 220 and transmits the data to the server 230 via the network. The switching unit 214 has an OpenFlow controller and an OpenFlow switch that constitute the SDN, and controls switching as to which server 230 to transfer data from the device processed by the application 213 . The communication unit 215 transfers data from the device to the server 230 by Wi-Fi, Ethernet (registered trademark), Cellular, or the like.

デバイス220は、USBやBluetooth(登録商標)などでデバイス制御処理部212と非IP系接続を行ない、サーバ230が収集するデータを検出する、例えばセンサなどのデバイスである。 The device 220 is a device such as a sensor that detects data collected by the server 230 by establishing a non-IP connection with the device control processing unit 212 via USB, Bluetooth (registered trademark), or the like.

サーバ230は、デバイス220が検出したデータを、通信処理装置210を介してセキュリティ(安全)を維持しながら収集し、収集したデータを分析してサービスを提供する。 The server 230 collects data detected by the device 220 through the communication processing device 210 while maintaining security (safety), analyzes the collected data, and provides services.

管理サーバ240は、通信処理装置210におけるデバイス220からサーバ230へのデータ転送を管理するサーバである。管理サーバ240は、可視化GUI241を有し、通信処理装置210へのデータ転送機能、デバイスが未認証の場合の処理手順、そのたデータ転送条件などの設定、あるいは、通信処理装置210におけるデータ転送結果、デバイスが未認証の場合の通知、そのたデータ転送条件などの設定などの状態、を可視的で観察することできる。したがって、管理サーバ240を用いて、デバイス220からサーバ230へのデータ転送を管理する管理者は、容易にデータ転送状態を監視できると共に、設定変更を簡単な操作で実現できる。 The management server 240 is a server that manages data transfer from the device 220 to the server 230 in the communication processing device 210 . The management server 240 has a visualization GUI 241, and is used to set data transfer functions to the communication processing device 210, processing procedures when the device is unauthenticated, data transfer conditions, etc., or data transfer results in the communication processing device 210. , notifications when a device is unauthenticated, and other settings such as data transfer conditions can be visually observed. Therefore, using the management server 240, an administrator who manages data transfer from the device 220 to the server 230 can easily monitor the data transfer status and change settings with simple operations.

なお、デバイス制御処理部212における、接続されたデバイスの認証は、詳細には、以下のように行なわれる。例えば、デバイスがUSBデバイスの場合、USBデバイス認証は、ホスト機器のOSが“linux”の場合、USBデバイス接続時に、udev(user space device management)へ通知される情報を元に、接続の可否判定を行う。接続を許可していないUSBデバイスが接続された場合、未認証デバイスと判定する。許可されるUSBデバイスについては、あらかじめ許可ルール(認証リスト)に登録しておく。一方、Bluetooth(登録商標)におけるデバイス認証は、ホストOSがlinuxの場合、“hcitool con”で定期的にコネクションを確認し、許可していないコネクションがある場合、未認証デバイスと判定する。許可されるBluetooth(登録商標)のコネクションは、あらかじめ許可ホワイトリスト(Whitelist:認証リスト)に登録しておく。 In addition, authentication of the connected device in the device control processing unit 212 is performed in detail as follows. For example, if the device is a USB device, USB device authentication determines whether the connection is possible based on the information notified to udev (user space device management) when the USB device is connected if the OS of the host device is "linux". I do. If a USB device for which connection is not permitted is connected, it is determined as an unauthenticated device. Permitted USB devices are registered in advance in an authorization rule (authentication list). On the other hand, in device authentication in Bluetooth (registered trademark), if the host OS is linux, the connection is periodically checked by "hcitool con", and if there is an unauthorized connection, it is determined as an unauthenticated device. Permitted Bluetooth (registered trademark) connections are registered in advance in an authorization whitelist (Whitelist: authentication list).

《通信処理装置》
以下、図3A~図6Bを参照して、本実施形態の通信処理装置210が備える構成要素について、その構成と動作を説明する。 《Communication processing device》
The configuration and operation of the components included in the communication processing device 210 of this embodiment will be described below with reference to FIGS. 3A to 6B.

(通信処理部)
図3Aは、本実施形態に係る通信処理装置210の通信処理部211の機能構成を示すブロック図である。 (Communication processing unit)
FIG. 3A is a block diagram showing the functional configuration of the communication processing unit 211 of the communication processing device 210 according to this embodiment.

通信処理部211は、通信制御部301と、通信処理情報取得部302と、通信処理情報格納部303と、通信処理テーブル304と、を備える。さらに、通信処理部211は、切換情報設定部305と、デバイス制御情報設定部306と、不許可デバイス接続受信部307と、サーバ遮断通知部308と、を備える。 The communication processing unit 211 includes a communication control unit 301 , a communication processing information acquisition unit 302 , a communication processing information storage unit 303 and a communication processing table 304 . Further, communication processing section 211 includes switching information setting section 305 , device control information setting section 306 , unauthorized device connection reception section 307 , and server shutdown notification section 308 .

通信制御部301は、通信処理装置210内のデバイス制御処理部212および切換部(SDN)214と、管理サーバ240との通信を制御する。なお、必要であれば、アプリ213や通信部215との通信も制御する。通信処理情報取得部302は、管理サーバ240からの通信処理装置210における通信処理を示す通信処理情報を取得する。通信処理情報格納部303は、通信処理情報取得部302が取得した通信処理情報を通信処理テーブル304に格納する。通信処理テーブル304は、管理サーバ240から取得した通信処理情報を格納して、通信処理装置210における通信処理を構築する。 Communication control unit 301 controls communication between device control processing unit 212 and switching unit (SDN) 214 in communication processing device 210 and management server 240 . Note that communication with the application 213 and the communication unit 215 is also controlled if necessary. The communication processing information acquisition unit 302 acquires communication processing information indicating communication processing in the communication processing device 210 from the management server 240 . The communication processing information storage unit 303 stores the communication processing information acquired by the communication processing information acquiring unit 302 in the communication processing table 304 . The communication processing table 304 stores communication processing information acquired from the management server 240 and constructs communication processing in the communication processing device 210 .

切換情報設定部305は、通信処理テーブル304に格納された通信処理情報の内、切換部214のオープンフローコントローラに切換情報を設定する。なお、切換情報設定部305は、不許可デバイス接続受信部307が、不許可デバイスが接続された通知をデバイス制御処理部212から受信すると、通常の切換情報でなく不許可デバイス接続時の接続情報を切換部214のオープンフローコントローラに設定して、サーバ230への遮断処理を実現する。 The switching information setting unit 305 sets switching information in the OpenFlow controller of the switching unit 214 among the communication processing information stored in the communication processing table 304 . Note that when the unauthorized device connection reception unit 307 receives a notification that an unauthorized device is connected from the device control processing unit 212, the switching information setting unit 305 sets the connection information when the unauthorized device is connected instead of the normal switching information. is set in the OpenFlow controller of the switching unit 214 to realize the cutoff processing to the server 230 .

デバイス制御情報設定部306は、通信処理テーブル304に格納された通信処理情報の内、不許可デバイスの接続の判定、あるいは、接続デバイスのアプリ213への接続、などの情報をデバイス制御処理部212に設定する。不許可デバイス接続受信部307は、不許可デバイスの接続を判定する通信処理情報を用いて判定した、不許可デバイスの接続通知を、デバイス制御処理部212から受信する。サーバ遮断通知部308は、不許可デバイスが接続した通知を受けてサーバ230への接続が全面的に遮断されたことを、管理サーバ240に緊急通知して、部分的であってもセキュリティ(安全)を担保した通信処理装置210の回復を迅速に行なうよう要請する。 The device control information setting unit 306 sets information such as determination of connection of an unauthorized device or connection of a connected device to the application 213 among the communication processing information stored in the communication processing table 304 to the device control processing unit 213 . set to The unauthorized device connection reception unit 307 receives, from the device control processing unit 212, a connection notification of an unauthorized device determined using communication processing information for determining connection of an unauthorized device. The server cutoff notification unit 308 urgently notifies the management server 240 that the connection to the server 230 has been completely cut off in response to the notification that an unauthorized device has been connected, thereby ensuring even partial security (safety). ) is requested to restore the communication processing device 210 promptly.

図3Bは、本実施形態に係る通信処理テーブル304の構成を示す図である。通信処理テーブル304は、通信処理装置210のデバイスからサーバまでのデータ転送の処理を制御するためのデータを保持するテーブルである。 FIG. 3B is a diagram showing the configuration of the communication processing table 304 according to this embodiment. The communication processing table 304 is a table holding data for controlling data transfer processing from the device of the communication processing device 210 to the server.

通信処理テーブル304は、デバイス登録テーブル341と、アプリ/サーバ設定テーブル342と、アプリ登録テーブル343と、デバイス接続制御テーブル344と、を含む。デバイス登録テーブル341は、デバイスのインタフェース種類と登録されたデバイスIDである登録IDとを対応付けて記憶し、接続されたデバイスが登録済みか否かを判定するために使用される。アプリ/サーバ設定テーブル342は、登録されたデバイスからのデータを通信処理するアプリ、および、転送するサーバ、そして、そのサーバと接続するためのポート番号とを対応付けて記憶し、デバイスからのデータ処理と転送先とを設定するために使用される。アプリ登録テーブル343は、アプリ名とアプリIDとを対応付けて記憶し、通信処理装置210におけるデータ処理および通信処理のために使用される。デバイス接続制御テーブル344は、接続されたデバイスが不許可デバイスか許可デバイスかに対応して、種々の管理サーバ240から設定された接続制御を規定する。本実施形態においては、不許可デバイスが接続されたならば、通信処理装置210のサーバ230への接続を、管理サーバ240を除いて遮断して、許可デバイスのサーバ230への接続も遮断する。一方、許可デバイスが接続された場合は、デバイスやアプリ、サーバなどの種類などに基づいて、管理サーバ240から設定された種々の接続制御を行なうことになる。 The communication processing table 304 includes a device registration table 341 , an application/server setting table 342 , an application registration table 343 and a device connection control table 344 . The device registration table 341 stores the interface type of the device and the registration ID, which is the registered device ID, in association with each other, and is used to determine whether or not the connected device has been registered. The application/server setting table 342 associates and stores an application that performs communication processing of data from a registered device, a server that transfers data, and a port number for connecting to the server, and stores the data from the device. Used to set actions and destinations. Application registration table 343 associates and stores application names and application IDs, and is used for data processing and communication processing in communication processing device 210 . The device connection control table 344 defines connection controls set by various management servers 240 according to whether the connected device is an unauthorized device or an authorized device. In this embodiment, if an unauthorized device is connected, the connection of the communication processing device 210 to the server 230 is blocked except for the management server 240, and the connection of the authorized device to the server 230 is also blocked. On the other hand, when a permitted device is connected, various connection controls set by the management server 240 are performed based on the type of device, application, server, and the like.

(デバイス処理制御部)
図4Aは、本実施形態に係る通信処理装置210のデバイス制御処理部212の機能構成を示すブロック図である。 (Device processing control unit)
FIG. 4A is a block diagram showing the functional configuration of the device control processing section 212 of the communication processing device 210 according to this embodiment.

デバイス制御処理部212は、許可/未認証判定部401と、デバイス切断部402と、未認証通知部403と、デバイス処理テーブル404と、接続アプリ判定部405と、デバイスアプリ接続部406と、を有する。 Device control processing unit 212 includes permission/non-authentication determination unit 401, device disconnection unit 402, non-authentication notification unit 403, device processing table 404, connection application determination unit 405, and device application connection unit 406. have.

許可/未認証判定部401は、デバイス処理テーブル404に設定されているデバイスの登録情報に基づいて、接続されたデバイスの認可/未認証を判定する。デバイス切断部402は、許可/未認証判定部401が接続されたデバイスを未認証と判定した場合に、デバイスを切断する。未認証通知部403は、接続されたデバイスが未認証で切断された場合に、サーバ230との全接続が遮断されるので、そのことを、通信処理部211を介して管理サーバ240に通知する。 Based on the device registration information set in the device processing table 404, the permission/non-authentication determining unit 401 determines whether the connected device is authorized/non-authenticated. The device disconnection unit 402 disconnects the device when the permission/unauthentication determination unit 401 determines that the connected device is unauthenticated. The unauthenticated notification unit 403 notifies the management server 240 via the communication processing unit 211 that all connections with the server 230 are cut off when the connected device is unauthenticated and disconnected. .

接続アプリ判定部405は、デバイス処理テーブル404に設定されている接続されたデバイス220とアプリ213との関係を示す情報に基づいて、デバイス220が接続可能なアプリ213を判定する。デバイスアプリ接続部406は、デバイス220と、接続アプリ判定部405が判定したアプリ213との接続を行なう。なお、デバイス220が接続可能なアプリは1つに限定されず、複数が設定されても、全てのアプリが接続可能であってもよい。 The connected application determination unit 405 determines the application 213 to which the device 220 can be connected based on information indicating the relationship between the connected device 220 and the application 213 set in the device processing table 404 . The device application connection unit 406 connects the device 220 and the application 213 determined by the connection application determination unit 405 . Note that the number of applications that can be connected to the device 220 is not limited to one, and multiple applications may be set or all applications may be connectable.

図4Bは、本実施形態に係るデバイス処理テーブル404の構成を示す図である。デバイス処理テーブル404は、デバイス制御処理部212が接続されたデバイスの認可/未認証の判定や、アプリ213への接続を管理するために使用される。なお、図4Bにおいて、図3Bと同様の構成要素には同じ参照番号を付して、重複する説明を省略する。 FIG. 4B is a diagram showing the configuration of the device processing table 404 according to this embodiment. The device processing table 404 is used to determine whether a device to which the device control processing unit 212 is connected is authorized/unauthorized and to manage connection to the application 213 . In addition, in FIG. 4B, the same reference numerals are given to the same components as those in FIG. 3B, and overlapping descriptions are omitted.

デバイス処理テーブル404は、デバイスアプリ接続テーブル442を有する。なお、デバイスアプリ接続テーブル442は、図3Bのアプリ/サーバ設定テーブル342の一部であり、デバイスとアプリとの関連を記憶する。 The device processing table 404 has a device application connection table 442 . Note that the device application connection table 442 is a part of the application/server setting table 342 in FIG. 3B, and stores the association between devices and applications.

(切換部)
図5Aは、本実施形態に係る通信処理装置210の切換部214の機能構成を示すブロック図である。 (Switching part)
FIG. 5A is a block diagram showing the functional configuration of the switching unit 214 of the communication processing device 210 according to this embodiment.

切換部214は、本実施形態においては、オープンフローのSDN(ソフトウェアによる仮想ネットワーク)であって、オープンコントローラ501と、オープンフロースィッチ502と、を有する。オープンコントローラ501は、接続テーブル511を有し、接続テーブル511にしたがって、データが経由する各スィッチに設定されるフローテーブルを生成する。オープンフロースィッチ502は、オープンコントローラ501が設定したフローテーブルにしたがって、送信元と送信先とのルーティングを制御する。なお、本実施形態における、未認証デバイスの接続による全サーバとの通信遮断は、例えば、アプリ213からの送信データを通信部215に接続するいずれのポートにもルーティングしないなどの処理で実現する。 In this embodiment, the switching unit 214 is an OpenFlow SDN (Software Virtual Network) and includes an Open controller 501 and an OpenFlow switch 502 . The open controller 501 has a connection table 511, and according to the connection table 511, generates a flow table set for each switch through which data passes. The open flow switch 502 controls routing between the source and destination according to the flow table set by the open controller 501 . It should be noted that, in the present embodiment, blocking communication with all servers due to connection of an unauthenticated device is realized by, for example, processing such as not routing transmission data from the application 213 to any port connecting to the communication unit 215 .

図5Bは、本実施形態に係る接続テーブル511の構成を示す図である。接続テーブル511は、オープンコントローラ501がフローテーブルを生成するために使用される。 FIG. 5B is a diagram showing the configuration of the connection table 511 according to this embodiment. The connection table 511 is used by the open controller 501 to generate flow tables.

接続テーブル511は、アプリポート接続テーブル542と、ポート接続制御テーブル544と、を有する。アプリポート接続テーブル542は、図3Bのアプリ/サーバ設定テーブル342の一部であり、アプリと通信部215へのポートとの関連を記憶する。ポート接続制御テーブル544は、図3Bのデバイス接続制御テーブル344に、さらに、オープンコントローラ501のためアプリ213からの入力ポートと通信部215への出力ポートとを記憶する。 The connection table 511 has an application port connection table 542 and a port connection control table 544 . Application port connection table 542 is part of application/server setting table 342 in FIG. The port connection control table 544 stores the input port from the application 213 and the output port to the communication unit 215 for the open controller 501 in addition to the device connection control table 344 in FIG. 3B.

(通信処理部の処理手順)
図6Aは、本実施形態に係る通信処理装置210の通信処理部211の処理手順を示すフローチャートである。このフローチャートは、通信処理装置210のCPU(Central Processing Unit)がメモリを使用して実行し、通信処理装置210の機能構成部を実現する。なお、通信処理装置210の各構成要素がそれぞれCPUを有して、互いに通信しながら機能を実現するのが望ましいが、煩雑さを避けるためそれらを分けずに通信処理装置210による処理手順として説明する。 (Processing procedure of communication processing unit)
FIG. 6A is a flowchart showing the processing procedure of the communication processing unit 211 of the communication processing device 210 according to this embodiment. This flow chart is executed by a CPU (Central Processing Unit) of communication processing device 210 using a memory, and implements the functional components of communication processing device 210 . It is desirable that each component of the communication processing device 210 has its own CPU and functions are realized while communicating with each other. do.

通信処理装置210は、ステップS601において、デバイスの接続をデバイス制御処理部212により監視する。通信処理装置210は、ステップS603において、USBやBluetooth(登録商標)、図面ではBT、デバイスからの接続要求を受ける。通信処理装置210は、ステップS605において、接続されたデバイスが認可されているか未認証かを認証機器リスト(デバイス登録テーブル341に対応)と照合する。そして、通信処理装置210は、ステップS607において、未許可(未認証)デバイスか否かを判定する。 In step S601, the communication processing unit 210 monitors the device connection by the device control processing unit 212. FIG. In step S603, the communication processing unit 210 receives a connection request from a device such as USB, Bluetooth (registered trademark), or BT in the drawing. In step S605, the communication processing unit 210 checks whether the connected device is authorized or not with the authorized device list (corresponding to the device registration table 341). Then, in step S607, communication processing device 210 determines whether or not the device is an unauthorized (unauthenticated) device.

未認可デバイスであれば、通信処理装置210は、ステップS609において、管理サーバ240への認証用通信以外の全てのサーバ230との通信を遮断、または、アプリ213により通信を遮断する。通信処理装置210は、ステップS611において、全てのサーバ230との通信を遮断した異常状態を管理サーバ240に通知する。なお、管理サーバ240が常に通信処理装置210の状態を監視していて、異常状態の情報を受け取る構成でもよい。通信処理装置210は、ステップS613において、デバイス制御処理部212により未許可デバイスとの接続を遮断する。 If it is an unauthorized device, the communication processing device 210 blocks all communications with the server 230 other than communication for authentication to the management server 240 or blocks communication by the application 213 in step S609. In step S611, the communication processing device 210 notifies the management server 240 of an abnormal state in which communication with all the servers 230 is blocked. Note that the management server 240 may always monitor the state of the communication processing device 210 and receive information on abnormal states. The communication processing unit 210 cuts off the connection with the unauthorized device by the device control processing unit 212 in step S613.

その後、未許可デバイスとの接続が遮断されたために、通信処理システム200に攻撃などの障害が波及しないものと判定して、通信処理装置210は、ステップS615において、全てのサーバ230との通信を遮断するという強化した通信フィルタリング(遮断)処理を停止する。この場合に、認可されたデバイスのデータを処理するアプリ213や、接続可能なサーバ230を選択的に可能とする処理を行なってもよい。例えば、より機密性の高い処理を行なうアプリ213のみを起動可能としたり、サーバが収集するデータの重要度に応じて、高い重要度のサーバへの接続は遅らせたりするなどの処理が簡単な設定により実現する。 After that, since the connection with the unauthorized device is cut off, it is determined that the communication processing system 200 will not be affected by a failure such as an attack. Stop the enhanced communication filtering (blocking) process of blocking. In this case, processing may be performed to selectively enable the application 213 that processes the data of the authorized device and the connectable server 230 . For example, settings for simple processing such as enabling only the application 213 that performs highly confidential processing to be activated, or delaying connections to servers with high importance according to the importance of data collected by the server. Realized by

一方、認可デバイスであれば、通信処理装置210は、ステップS617において、許可デバイスごとに特定なポリシーテーブルによりネットワーク通信をフィルタリング処理する。そして、通信処理装置210は、ステップS619において、想定外アクセス発生時、管理サーバ240に異常状況を通知する。なお、この処理も、管理サーバ240が常に通信処理装置210の状態を監視していて、異常状況の情報を受け取る構成でもよい。 On the other hand, if it is an authorized device, communication processing unit 210 filters network communication according to a policy table specific to each authorized device in step S617. Then, in step S619, the communication processing device 210 notifies the management server 240 of the abnormal situation when an unexpected access occurs. This process may also be configured such that the management server 240 always monitors the state of the communication processing device 210 and receives information on abnormal conditions.

図6Bは、本実施形態に係るフィルタリング処理(S617)の手順を示すフローチャートである。なお、図6Bには、2つのフィルタリング処理(S617)の例を示すが、その組み合わせ、他のフィルタリング処理、あるいは、他のフィルタリング処理との組み合わせであってもよい。 FIG. 6B is a flow chart showing the procedure of the filtering process (S617) according to this embodiment. Although FIG. 6B shows an example of two filtering processes (S617), a combination thereof, other filtering processes, or a combination with other filtering processes may be used.

通信処理装置210は、ステップS621において、許可デバイスの通信ポリシー設定テーブル(図3Bのアプリ/サーバ設定テーブル342に相当)を参照する。そして、通信処理装置210は、ステップS623において、例えば、特定なUSB/Bluetooth(登録商標)デバイスからアクセスできるサーバを制限する。 In step S621, the communication processing device 210 refers to the communication policy setting table of the permitted device (corresponding to the application/server setting table 342 in FIG. 3B). Then, in step S623, the communication processing device 210 restricts servers that can be accessed from a specific USB/Bluetooth (registered trademark) device, for example.

また、通信処理装置210は、ステップS631において、許可デバイスと使用通信アプリの通信ポリシーテーブル(同じく、図3Bのアプリ/サーバ設定テーブル342に相当)を参照する。そして、通信処理装置210は、ステップS623において、例えば、特定なUSB/Bluetooth(登録商標)デバイスで使用アプリにより通信を制限する。 Further, in step S631, communication processing device 210 refers to the communication policy table of permitted devices and used communication applications (corresponding to application/server setting table 342 in FIG. 3B). Then, in step S623, the communication processing device 210 restricts communication by, for example, an application used by a specific USB/Bluetooth (registered trademark) device.

《通信処理システムの接続状態》
以下、図7A~図8Bを参照して、本実施形態の通信処理装置210の通信ポリシーに基づく、種々の接続状態につき説明する。 <<Connection status of communication processing system>>
Various connection states based on the communication policy of the communication processing device 210 of this embodiment will be described below with reference to FIGS. 7A to 8B.

(未許可デバイス)
図7Aは、本実施形態に係る未許可デバイスの場合の通信処理システム200の接続状態を示す図である。図7Aは、未認可のデバイス723が接続された場合の接続処理である。 (unauthorized device)
FIG. 7A is a diagram showing the connection state of the communication processing system 200 in the case of an unauthorized device according to this embodiment. FIG. 7A shows connection processing when an unauthorized device 723 is connected.

未認可のデバイス723の接続をデバイス制御処理部212が判定すると、本実施形態の通信ポリシーにしたがって、管理サーバ240以外の全てのサーバ230への通信が遮断される。また、未認可のデバイス723との接続も遮断される。そして、接続されている管理サーバ240に、全てのサーバ230への通信が遮断された緊急通知が行なわれる。この本実施形態の通信ポリシーにしたがった処理により、他の認可デバイス221や222のサーバ230へのデータ送信も遮断されるが、未認可のデバイス723からの攻撃などがサーバ230へ及ぶダメージを未然に防ぐことができる。 When the device control processing unit 212 determines that the unauthorized device 723 is connected, communication to all servers 230 other than the management server 240 is blocked according to the communication policy of this embodiment. Connections with unauthorized devices 723 are also blocked. Then, the connected management server 240 receives an emergency notification that communication to all servers 230 is cut off. By processing according to the communication policy of this embodiment, data transmission from other authorized devices 221 and 222 to the server 230 is blocked, but an attack from an unauthorized device 723 or the like can prevent damage to the server 230. can be prevented.

図7Bは、本実施形態に係る遮断後の再開における通信処理システム200の接続状態を示す図である。図7Bは、未認可のデバイス723の接続が遮断された後の再接続処理である。図7Bにおいては、秘匿性の弱い通信アプリaやアプリbの使用を制限する。 FIG. 7B is a diagram showing the connection state of the communication processing system 200 when resuming after shutdown according to this embodiment. FIG. 7B is the reconnection process after the unauthorized device 723 has been disconnected. In FIG. 7B, use of communication application a and application b with weak confidentiality is restricted.

図7Aにおいて未認可のデバイス723との接続も遮断されたので障害は波及しないと判断して、管理サーバ240は、他の認可デバイス221や222のサーバ230へのデータ送信を迅速に復旧させる。しかしながら、秘匿性の弱い通信アプリaやアプリbを使用すると問題が発生する可能性も残っているので、本実施形態の通信ポリシーにしたがって、秘匿性の弱い通信アプリaやアプリbを使用しないよう設定する。 In FIG. 7A, since the connection with the unauthorized device 723 is also cut off, the management server 240 determines that the failure will not spread, and quickly restores the data transmission of the other authorized devices 221 and 222 to the server 230 . However, there is still a possibility that problems will occur if communication applications a and b with weak confidentiality are used. set.

なお、前述したように、アプリの使用を制限すると共に、障害が及ぶとダメージが大きなサーバ230に対しても接続を制限することも可能である。 As described above, it is possible to limit the use of the application and also limit the connection to the server 230, which would be greatly damaged if a failure were to occur.

(許可デバイス)
図8Aは、本実施形態に係る許可デバイスの場合の通信処理システム200の接続状態を示す図である。図8Aにおいては、接続されたデバイス823が認可されたデバイスである場合の接続状態である。 (permission device)
FIG. 8A is a diagram showing the connection state of the communication processing system 200 in the case of authorized devices according to this embodiment. In FIG. 8A, the connected state is when the connected device 823 is an authorized device.

認可のデバイス823の接続をデバイス制御処理部212が判定すると、デバイス823に対応付けられた通信ポリシーにしたがって、全てのアプリ213は使用可能であるが、接続してデータを送ることのできるサーバが選択されている。例えば、認可のデバイス823のデータを必要としないサーバや、認可のデバイス823のデータの信頼性が低いなどの理由があれば、特定のサーバには接続しない。この場合には、全てのアプリからの入力ポートが選択されたサーバへの出力ポートにしか接続されないように、切換部(SDN)214のオープンフローコントローラが設定する。 When the device control processing unit 212 determines that the authorized device 823 is connected, all applications 213 can be used according to the communication policy associated with the device 823, but there is a server that can be connected and send data. selected. For example, if there is a reason such as a server that does not require the data of the authorized device 823 or the reliability of the data of the authorized device 823 is low, connection to a specific server is not made. In this case, the OpenFlow controller of the switching unit (SDN) 214 sets so that the input ports from all applications are connected only to the output port to the selected server.

図8Bは、本実施形態に係る許可デバイスの場合の通信処理システム200の他の接続状態を示す図である。図8Bにおいては、認可されたデバイス824が使用するアプリが制限されている場合である。 FIG. 8B is a diagram showing another connection state of the communication processing system 200 in the case of authorized devices according to this embodiment. In FIG. 8B, apps used by authorized devices 824 are restricted.

認可されたデバイス824に対応付けられた通信ポリシーでは、アプリbは使用できるがアプリaは使用できず、接続してデータを転送できるサーバも選択されている。この場合、使用できるアプリと接続できるサーバとは、それぞれ独立に設定されていてもよいが、使用するアプリとサーバとの関連がある場合は、組み合わされた通信ポリシーとなる。例えば、アプリにおける処理が機密性を問わない処理であれば重要なデータを有するサーバに送ることは制限されることになる。 In the communication policy associated with the authorized device 824, application b can be used but application a cannot be used, and a server to which data can be connected and transferred is also selected. In this case, the app that can be used and the server that can be connected may be set independently, but if there is a relationship between the app to be used and the server, the communication policy will be a combination. For example, if processing in an application does not require confidentiality, sending important data to a server will be restricted.

なお、図7A~図8Bに示した、通信ポリシーは本実施形態のほんの一部であり、様々なポリシーとその組み合わせが設定可能である。 Note that the communication policies shown in FIGS. 7A to 8B are only a part of this embodiment, and various policies and their combinations can be set.

《管理サーバ》
以下、図9A~図10Dを参照して、管理サーバ240の構成および動作について説明する。 《Management Server》
The configuration and operation of the management server 240 will be described below with reference to FIGS. 9A to 10D.

(管理サーバの機能構成)
図9Aは、本実施形態に係る管理サーバ240の機能構成を示すブロック図である。 (Functional configuration of management server)
FIG. 9A is a block diagram showing the functional configuration of the management server 240 according to this embodiment.

管理サーバ240は、通信制御部901と、ゲートウェイ処理テーブル設定部902と、ゲートウェイ管理データベース903と、ゲートウェイ処理取得部904と、ゲートウェイステータス取得部905と、を備える。また、管理サーバ240は、操作部906と、表示部907と、を備える。 The management server 240 includes a communication control section 901 , a gateway processing table setting section 902 , a gateway management database 903 , a gateway processing acquisition section 904 and a gateway status acquisition section 905 . The management server 240 also includes an operation unit 906 and a display unit 907 .

通信制御部901は、通信処理装置210との通信を制御する。また、管理サーバ240が操作用PCと接続されて遠隔操作される場合には、操作用PCとの通信を制御する。ゲートウェイ処理テーブル設定部902は、ゲートウェイ管理データベース903に格納された各ゲートウェイの通信制御に対応するゲートウェイ処理テーブルを通信処理装置210に設定する。ここで、ゲートウェイ処理テーブルは、図3Aの通信処理テーブル304に相当する。ゲートウェイ管理データベース903は、管理サーバ240が管理する各ゲートウェイのゲートウェイ処理テーブルを、ゲートウェイIDに対応付けて格納する。また、ゲートウェイ管理データベース903は、通信処理装置210から送信された処理情報やステータス情報を、ゲートウェイIDに対応付けて格納する。 The communication control unit 901 controls communication with the communication processing device 210 . Further, when the management server 240 is connected to the operating PC and remotely operated, it controls communication with the operating PC. A gateway processing table setting unit 902 sets a gateway processing table corresponding to communication control of each gateway stored in the gateway management database 903 in the communication processing device 210 . Here, the gateway processing table corresponds to the communication processing table 304 in FIG. 3A. The gateway management database 903 stores the gateway processing table of each gateway managed by the management server 240 in association with the gateway ID. The gateway management database 903 also stores the processing information and status information transmitted from the communication processing device 210 in association with the gateway ID.

ゲートウェイ処理取得部904は、通信処理装置210から通信処理の履歴を取得する。ゲートウェイステータス取得部905は、通信処理装置210のステータスを取得する。なお、通信処理装置210から管理サーバ240に通知される、未認証デバイスの接続による全サーバ遮断の緊急通知もゲートウェイステータス取得部905で取得されてよい。なお、全サーバ遮断の緊急通知は、通常のステータス通知とは異なるインタラプトであってもよい。 The gateway processing acquisition unit 904 acquires the history of communication processing from the communication processing device 210 . A gateway status acquisition unit 905 acquires the status of the communication processing device 210 . Note that the gateway status acquisition unit 905 may also acquire an emergency notification of shutdown of all servers due to connection of an unauthenticated device, which is notified from the communication processing device 210 to the management server 240 . Note that the emergency notification of shutting down all servers may be an interrupt different from the normal status notification.

操作部906は、通信処理装置210に設定するためにゲートウェイ管理データベース903に格納するデータの設定操作、あるいは、変更操作、削除操作などを行なう。認可デバイスや認可アプリなどの設定も、表示部907に表示されたメニューなどを見ながら、操作部906で行なわれる。また、表示部907は、通信処理装置210に設定するためにゲートウェイ管理データベース903に格納するデータの表示や、既に格納されているデータの表示や、全サーバ遮断の緊急通知の表示などを行なう。なお、操作部906と表示部907とは、操作用PCにより代行されてもよい。 The operation unit 906 performs setting operation, change operation, deletion operation, etc. of data stored in the gateway management database 903 in order to be set in the communication processing device 210 . Setting of authorized devices, authorized applications, and the like is also performed on the operation unit 906 while looking at the menu displayed on the display unit 907 . Further, the display unit 907 displays data to be stored in the gateway management database 903 to be set in the communication processing device 210, already stored data, and an emergency notification of shutting down all servers. Note that the operation unit 906 and the display unit 907 may be replaced by an operation PC.

なお、管理サーバ240がゲートウェイとしての通信処理装置210の通信接続を制御する場合は、管理サーバ240に図2の通信処理部211に相当する機能構成部が含まれ、通信処理装置210の各機能構成部を制御する構成となる。 When the management server 240 controls the communication connection of the communication processing device 210 as a gateway, the management server 240 includes a functional configuration unit corresponding to the communication processing unit 211 in FIG. It becomes the structure which controls a structure part.

図9Bは、本実施形態に係るゲートウェイ管理データベース903の構成を示す図である。なお、図9Bにおいて、図3Bと同様の構成要素には同じ参照番号を付して、説明を省略する。 FIG. 9B is a diagram showing the configuration of the gateway management database 903 according to this embodiment. In addition, in FIG. 9B, the same reference numerals are given to the same components as in FIG. 3B, and the description thereof is omitted.

図9Bにおいて、ゲートウェイ管理テーブル910は、各ゲートウェイIDに対応して、図3Bの各テーブル341~344を格納する。各テーブル341~344については、図3Bを参照して前述したので、重複する説明を省略する。また、ゲートウェイ履歴テーブル920は、各ゲートウェイIDに対応して、デバイス接続履歴、アプリ接続履歴、サーバ接続履歴などを格納する。 In FIG. 9B, the gateway management table 910 stores each of the tables 341 to 344 of FIG. 3B corresponding to each gateway ID. Each of the tables 341 to 344 has been described above with reference to FIG. 3B, so redundant description will be omitted. Also, the gateway history table 920 stores device connection history, application connection history, server connection history, etc. corresponding to each gateway ID.

《可視化された管理モニタ》
図10Aは、本実施形態に係る可視化された管理モニタの概念を示す図である。 《Visualized management monitor》
FIG. 10A is a diagram showing the concept of a visualized management monitor according to this embodiment.

図10Aの表示画面1010においては、異常表示として、時系列の発生イベントが表示部907に表示されている。また、設定メニューとして、ゲートウェイ管理データベース903に格納されるゲートウェイ管理テーブルの種類が表示されている。これらの設定メニューを選択すれば、現在の設定情報がそれぞれ紐付けられて表示される。その設定情報は、操作部906からの指示入力による、追加、変更、削除が可能である。 In the display screen 1010 of FIG. 10A, time-series occurrence events are displayed on the display unit 907 as the abnormal display. Also, as a setting menu, types of gateway management tables stored in the gateway management database 903 are displayed. If these setting menus are selected, the current setting information will be linked and displayed. The setting information can be added, changed, or deleted by inputting an instruction from the operation unit 906 .

(アプリの設定)
図10B~図10Dは、本実施形態に係る可視化された管理モニタの表示画面例を示す図である。なお、図10B~図10Dのアプリの設定は、可視化された管理モニタによる処理の迅速化および効率化を示す一例であって、他の設定および変更、あるいは、監視や予防における処理の迅速化および効率化も実現できることは明らかである。 (App settings)
10B to 10D are diagrams showing examples of visualized display screens of the management monitor according to this embodiment. It should be noted that the application settings in FIGS. 10B to 10D are an example showing speeding up and efficiency of processing by the visualized management monitor, and other settings and changes, or speeding up of processing in monitoring and prevention, and It is clear that efficiency can also be realized.

図10Bは、種々の設定・確認メニューの表示画面1020を示す図である。図10Bの表示画面1020において、通信未許可アプリ一覧メニュー1021を選択すると、図10Cの通信未許可アプリ一覧の表示画面1030が表示される。 FIG. 10B is a diagram showing a display screen 1020 of various setting/confirmation menus. When the communication-disallowed application list menu 1021 is selected on the display screen 1020 of FIG. 10B, the communication-disallowed application list display screen 1030 of FIG. 10C is displayed.

図10Cの通信未許可アプリ一覧の表示画面1030から通信許可したい行1031をクリックすると、図10Dの表示画面1040のように、ポップアップ表示1041が行なわれる。 When a line 1031 for which communication is desired to be permitted is clicked on the display screen 1030 of the list of communication-unpermitted applications shown in FIG. 10C, a pop-up display 1041 is displayed as shown in the display screen 1040 of FIG. 10D.

図10Dのポップアップ表示1041で、許可したい特定通信1042を選択して、通信許可1043を選択すると、特定通信を許可できる。 By selecting the specific communication 1042 to be permitted and selecting the communication permission 1043 in the pop-up display 1041 of FIG. 10D, the specific communication can be permitted.

本実施形態によれば、デバイスの接続が許可されていないと判定した場合、または、デバイスの接続が許可されていると判定した場合に、デバイスとサーバとの接続を状況により種々に制御可能とすることにより、フレキシビリティを持たせてデバイスからサーバ(クラウド)まで安全な接続を担保できる。 According to this embodiment, when it is determined that the connection of the device is not permitted, or when it is determined that the connection of the device is permitted, the connection between the device and the server can be variously controlled depending on the situation. By doing so, it is possible to secure a secure connection from the device to the server (cloud) with flexibility.

また、デバイスを制御するアプリケーションの接続を状況により種々に制御可能とすることにより、より適切な制御をデバイスからサーバ(クラウド)まで安全な接続を担保できる。 In addition, by making it possible to control the connection of the application that controls the device in various ways depending on the situation, it is possible to ensure more appropriate control and secure connection from the device to the server (cloud).

さらに、管理サーバにおけるGUI(Graphical User Interface)によりデバイスからネットワークまでの通信可視化を実現して、ネットワーク脅威への対処や管理の迅速化および効率化を図ることができる。サーバへの全ネットワーク接続を遮断する場合には、管理サーバへの緊急通知を行なうことにより、管理の遅延を防ぐことができる。 Furthermore, a GUI (Graphical User Interface) in the management server can be used to visualize communication from the device to the network, thereby speeding up and improving the efficiency of coping with network threats and management. When all network connections to the server are cut off, delays in management can be prevented by issuing an emergency notification to the management server.

すなわち、非IP系のUSB/Bluetooth(登録商標)デバイスが接続された場合でも、デバイスやネットワーク通信の制御によりデバイスからクラウドまで安全な接続を担保できる。また、機器認証リストの照合により許可デバイスの有無を判定し、さらにホスト側に搭載されたネットワーク通信制御処理(端末オープンフロー)にて細かな通信フィルタリング処理により、デバイスやネットワーク側のセキュリティ性を向上させる
[他の実施形態]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解し得る様々な変更をすることができる。また、それぞれの実施形態に含まれる別々の特徴を如何様に組み合わせたシステムまたは装置も、本発明の範疇に含まれる。 That is, even when a non-IP-based USB/Bluetooth (registered trademark) device is connected, it is possible to ensure a safe connection from the device to the cloud by controlling the device and network communication. In addition, the presence or absence of permitted devices is determined by checking the device authentication list, and network communication control processing (terminal open flow) installed on the host side improves security on the device and network side through detailed communication filtering processing. [Other embodiments]
Although the present invention has been described with reference to the embodiments, the present invention is not limited to the above embodiments. Various changes that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention. Also, any system or apparatus that combines separate features included in each embodiment is also included in the scope of the present invention.

また、本発明は、複数の機器から構成されるシステムに適用されてもよいし、単体の装置に適用されてもよい。さらに、本発明は、実施形態の機能を実現する制御プログラムが、システムあるいは装置に直接あるいは遠隔から供給される場合にも適用可能である。したがって、本発明の機能をコンピュータで実現するために、コンピュータにインストールされるプログラム、あるいはそのプログラムを格納した媒体、そのプログラムをダウンロードさせるWWW(World Wide Web)サーバも、本発明の範疇に含まれる。特に、少なくとも、上述した実施形態に含まれる処理ステップをコンピュータに実行させるプログラムを格納した非一時的コンピュータ可読媒体(non-transitory computer readable medium)は本発明の範疇に含まれる。 Further, the present invention may be applied to a system composed of a plurality of devices, or may be applied to a single device. Furthermore, the present invention is also applicable where a control program that implements the functions of the embodiments is supplied directly or remotely to a system or apparatus. Therefore, in order to implement the functions of the present invention on a computer, a program installed in a computer, a medium storing the program, and a WWW (World Wide Web) server from which the program is downloaded are also included in the scope of the present invention. . In particular, non-transitory computer readable media storing programs that cause a computer to perform at least the processing steps included in the above-described embodiments are included within the scope of the present invention.

Claims (8)

非IP系接続のデバイスに接続される第1接続手段と、
IP系接続によりサーバに接続される第2接続手段と、
前記第1接続手段に対する前記デバイスの接続可否と前記デバイスからのデータの通信処理を行うアプリケーションと前記デバイスとの対応付けと、を記憶する記憶手段と、
前記第1接続手段に対する前記デバイスの接続が許可された場合に、前記対応付けに基づいて、前記第1接続手段と前記第2接続手段との間で非IP系接続された前記デバイスとIP系接続された前記サーバとを前記アプリケーションを用いて接続するよう制御する接続制御手段と、
を備える通信処理装置。 a first connection means connected to a non-IP-based connection device;
a second connection means connected to the server by IP connection;
storage means for storing whether or not the device can be connected to the first connection means and correspondence between an application that performs communication processing of data from the device and the device;
When the connection of the device to the first connection means is permitted, the device and the IP system are connected between the first connection means and the second connection means based on the correspondence. connection control means for controlling connection with the connected server using the application ;
A communication processing device comprising: 前記第1接続手段は、複数の前記デバイスを接続可能であり、
前記接続制御手段は、前記第1接続手段に対する前記デバイスの接続が許可されない場合、前記第1接続手段と前記第2接続手段との間で複数の前記デバイスの全てと前記サーバとの接続を切断するよう制御する請求項1に記載の通信処理装置。 The first connection means is capable of connecting a plurality of the devices,
The connection control means disconnects all of the plurality of devices and the server between the first connection means and the second connection means when connection of the device to the first connection means is not permitted. 2. The communication processing device according to claim 1, wherein the communication processing device controls to 非IP系接続のデバイスに接続される第1接続手段と、
IP系接続によりサーバに接続される第2接続手段と、
前記第1接続手段に対する前記デバイスの接続可否と、前記デバイスからのデータの通信処理を行うアプリケーションと前記デバイスとの対応付けと、を記憶する記憶手段と、
前記第1接続手段に対する前記デバイスの接続が許可された場合に、前記対応付けに基づいて、前記第1接続手段と前記第2接続手段との間で前記デバイスと前記サーバとを接続するよう制御する接続制御手段と、
を備え、
前記第1接続手段は、複数の前記デバイスを接続可能であり、
前記接続制御手段は、前記第1接続手段に対する前記デバイスの接続が許可されない場合、前記第1接続手段と前記第2接続手段との間で複数の前記デバイスの全てと前記サーバとの接続を切断するよう制御し、接続が許可されない前記デバイスと前記サーバとの接続が切断されると、接続が許可されない前記デバイスを除く複数の前記デバイスと前記サーバとを、秘匿性が高いアプリケーションを用いて再接続するよう制御する通信処理装置。 a first connection means connected to a non-IP-based connection device;
a second connection means connected to the server by IP connection;
storage means for storing whether or not the device can be connected to the first connection means and correspondence between an application that performs communication processing of data from the device and the device;
Control to connect the device and the server between the first connection means and the second connection means based on the association when the connection of the device to the first connection means is permitted a connection control means for
with
The first connection means is capable of connecting a plurality of the devices,
The connection control means disconnects all of the plurality of devices and the server between the first connection means and the second connection means when connection of the device to the first connection means is not permitted. When the connection between the device for which connection is not permitted and the server is disconnected, the plurality of devices excluding the device for which connection is not permitted and the server are restarted using a highly confidential application. A communications processor that controls connections. 非IP系接続のデバイスを第1接続手段に接続する第1接続ステップと、
IP系接続によりサーバに第2接続手段を接続する第2接続ステップと、
前記第1接続手段に対する前記デバイスの接続が許可された場合に、前記第1接続手段に対する前記デバイスの接続可否と、前記デバイスからのデータの通信処理を行うアプリケーションと前記デバイスとの対応付けとに基づいて、前記第1接続手段と前記第2接続手段との間で非IP系接続された前記デバイスとIP系接続された前記サーバとを前記アプリケーションを用いて接続するよう制御する接続制御ステップと、
を含む通信処理装置の制御方法。 a first connecting step of connecting a non-IP-based connected device to a first connecting means;
a second connecting step of connecting the second connecting means to the server via an IP-based connection;
When the connection of the device to the first connection means is permitted, whether or not the device can be connected to the first connection means, and the correspondence between the application that performs communication processing of data from the device and the device a connection control step of controlling , using the application, the device that is non-IP-connected and the server that is IP -connected between the first connection means and the second connection means according to ,
A control method for a communication processing device comprising: 前記第1接続手段は、複数の前記デバイスが接続可能であり、
前記接続制御ステップにおいては、前記第1接続手段に対する前記デバイスの接続が許可されない場合、前記第1接続手段と前記第2接続手段との間で複数の前記デバイスの全てと前記サーバとの接続を切断するよう制御する請求項4に記載の通信処理装置の制御方法。 the first connection means is connectable to a plurality of the devices;
In the connection control step, if connection of the device to the first connection means is not permitted, connection between all of the plurality of devices and the server is performed between the first connection means and the second connection means. 5. The method of controlling a communication processing device according to claim 4, wherein control is performed to disconnect. 非IP系接続のデバイスを第1接続手段に接続する第1接続ステップと、
IP系接続によりサーバに第2接続手段を接続する第2接続ステップと、
前記第1接続手段に対する前記デバイスの接続が許可された場合に、前記第1接続手段に対する前記デバイスの接続可否と、前記デバイスからのデータの通信処理を行うアプリケーションと前記デバイスとの対応付けとに基づいて、前記第1接続手段と前記第2接続手段との間で前記デバイスと前記サーバとを接続するよう制御する接続制御ステップと、
を含み、
前記第1接続手段は、複数の前記デバイスが接続可能であり、
前記接続制御ステップにおいては、前記第1接続手段に対する前記デバイスの接続が許可されない場合、前記第1接続手段と前記第2接続手段との間で複数の前記デバイスの全てと前記サーバとの接続を切断するよう制御し、接続が許可されない前記デバイスが切断されると、前記デバイスを除く複数の前記デバイスと前記サーバとを、秘匿性が高いアプリケーションを用いて再接続するよう制御する通信処理装置の制御方法。 a first connecting step of connecting a non-IP-based connected device to a first connecting means;
a second connecting step of connecting the second connecting means to the server via an IP-based connection;
When the connection of the device to the first connection means is permitted, whether or not the device can be connected to the first connection means, and the correspondence between the application that performs communication processing of data from the device and the device a connection control step of controlling to connect the device and the server between the first connection means and the second connection means based on the
including
the first connection means is connectable to a plurality of the devices;
In the connection control step, if connection of the device to the first connection means is not permitted, connection between all of the plurality of devices and the server is performed between the first connection means and the second connection means. Communication processing for controlling disconnection, and controlling reconnection between the plurality of devices other than the device and the server using a highly confidential application when the device for which connection is not permitted is disconnected. How to control the device. 非IP系接続のデバイスを第1接続手段に接続する第1接続ステップと、
IP系接続によりサーバに第2接続手段を接続する第2接続ステップと、
前記第1接続手段に対する前記デバイスの接続が許可された場合に、前記第1接続手段に対する前記デバイスの接続可否と前記デバイスからのデータの通信処理を行うアプリケーションと前記デバイスとの対応付けとに基づいて、前記第1接続手段と前記第2接続手段との間で非IP系接続された前記デバイスとIP系接続された前記サーバとを前記アプリケーションを用いて接続するよう制御する接続制御ステップと、
をコンピュータに実行させる通信処理装置の制御プログラム。 a first connecting step of connecting a non-IP-based connected device to a first connecting means;
a second connecting step of connecting the second connecting means to the server via an IP-based connection;
When the connection of the device to the first connection means is permitted, whether or not the device can be connected to the first connection means, and the correspondence between the application that performs communication processing of data from the device and the device a connection control step of controlling , using the application, the device that is non-IP-connected and the server that is IP -connected between the first connection means and the second connection means according to ,
A control program for a communication processing unit that causes a computer to execute 非IP系接続のデバイスと、サーバと、前記デバイスと前記サーバとの通信を処理する通信処理装置とを備える通信処理システムであって、
前記通信処理装置は、
前記デバイスを接続する第1接続手段と、
IP系接続により前記サーバに接続する第2接続手段と、
前記第1接続手段に対する前記デバイスの接続可否と前記デバイスからのデータの通信処理を行うアプリケーションと前記デバイスとの対応付けと、を記憶する記憶手段と、
前記第1接続手段に対する前記デバイスの接続が許可された場合に、前記対応付けに基づいて、前記第1接続手段と前記第2接続手段との間で非IP系接続された前記デバイスとIP系接続された前記サーバとを前記アプリケーションを用いて接続するよう制御する接続制御手段と、
を備える通信処理システム。 A communication processing system comprising a non-IP-connected device, a server, and a communication processing apparatus for processing communication between the device and the server,
The communication processing device is
a first connection means for connecting the device;
a second connection means for connecting to the server through an IP-based connection;
storage means for storing whether or not the device can be connected to the first connection means and correspondence between an application that performs communication processing of data from the device and the device;
When the connection of the device to the first connection means is permitted, the device and the IP system are connected between the first connection means and the second connection means based on the correspondence. connection control means for controlling connection with the connected server using the application ;
A communications processing system comprising:
JP2020072861A 2020-04-15 2020-04-15 COMMUNICATION PROCESSING SYSTEM, COMMUNICATION PROCESSING DEVICE, CONTROL METHOD AND CONTROL PROGRAM Active JP7111125B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2020072861A JP7111125B2 (en) 2020-04-15 2020-04-15 COMMUNICATION PROCESSING SYSTEM, COMMUNICATION PROCESSING DEVICE, CONTROL METHOD AND CONTROL PROGRAM
JP2022116418A JP2022141860A (en) 2020-04-15 2022-07-21 Communication processing method, communication processing device, and communication processing program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020072861A JP7111125B2 (en) 2020-04-15 2020-04-15 COMMUNICATION PROCESSING SYSTEM, COMMUNICATION PROCESSING DEVICE, CONTROL METHOD AND CONTROL PROGRAM

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2016060166A Division JP6693210B2 (en) 2016-03-24 2016-03-24 Communication processing system, communication processing method, communication processing device, communication management device, and their control method and control program

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2022116418A Division JP2022141860A (en) 2020-04-15 2022-07-21 Communication processing method, communication processing device, and communication processing program

Publications (2)

Publication Number Publication Date
JP2020115681A JP2020115681A (en) 2020-07-30
JP7111125B2 true JP7111125B2 (en) 2022-08-02

Family

ID=71778736

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2020072861A Active JP7111125B2 (en) 2020-04-15 2020-04-15 COMMUNICATION PROCESSING SYSTEM, COMMUNICATION PROCESSING DEVICE, CONTROL METHOD AND CONTROL PROGRAM
JP2022116418A Pending JP2022141860A (en) 2020-04-15 2022-07-21 Communication processing method, communication processing device, and communication processing program

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2022116418A Pending JP2022141860A (en) 2020-04-15 2022-07-21 Communication processing method, communication processing device, and communication processing program

Country Status (1)

Country Link
JP (2) JP7111125B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003030138A (en) 2001-07-11 2003-01-31 Mitsubishi Electric Corp Internet connection system, managing sever device, internet connecting method, and program making computer implement the method
WO2006043327A1 (en) 2004-10-22 2006-04-27 Mitsubishi Denki Kabushiki Kaisha Repeater and network system
JP2015154322A (en) 2014-02-17 2015-08-24 Kddi株式会社 Control device for firewall apparatus, and program
JP2016034116A (en) 2014-07-31 2016-03-10 Kddi株式会社 Path setting device, path setting method, path setting program, and communication system

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4120000B2 (en) * 2002-10-28 2008-07-16 株式会社アイピースクエア Information processing apparatus and information processing method
JP4455537B2 (en) * 2006-05-24 2010-04-21 日本電信電話株式会社 Network system for collecting measurement data via wireless communication
US8937930B2 (en) * 2009-11-19 2015-01-20 Qualcomm, Incorporated Virtual peripheral hub device and system
JP6354145B2 (en) * 2013-12-12 2018-07-11 富士通株式会社 Relay device, relay control method, and relay control program
JP6662136B2 (en) * 2016-03-22 2020-03-11 日本電気株式会社 Relay device, communication system, relay method, and relay program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003030138A (en) 2001-07-11 2003-01-31 Mitsubishi Electric Corp Internet connection system, managing sever device, internet connecting method, and program making computer implement the method
WO2006043327A1 (en) 2004-10-22 2006-04-27 Mitsubishi Denki Kabushiki Kaisha Repeater and network system
JP2015154322A (en) 2014-02-17 2015-08-24 Kddi株式会社 Control device for firewall apparatus, and program
JP2016034116A (en) 2014-07-31 2016-03-10 Kddi株式会社 Path setting device, path setting method, path setting program, and communication system

Also Published As

Publication number Publication date
JP2020115681A (en) 2020-07-30
JP2022141860A (en) 2022-09-29

Similar Documents

Publication Publication Date Title
JP5062967B2 (en) Network access control method and system
WO2016013200A1 (en) Information processing system and network resource management method
CN108259226B (en) Network interface equipment management method and device
US20230208682A1 (en) Securing a connection from a device to a server
JPWO2017042879A1 (en) Control system and equipment management device
EP3171546A1 (en) Timing management in a large firewall cluster
JP5445262B2 (en) Quarantine network system, quarantine management server, remote access relay method to virtual terminal and program thereof
US20110289580A1 (en) Network security system and remote machine isolation method
JP4964666B2 (en) Computer, program and method for switching redundant communication paths
US20170374028A1 (en) Software-defined networking controller
JP6407598B2 (en) Relay device, relay method, and relay program
JP7111125B2 (en) COMMUNICATION PROCESSING SYSTEM, COMMUNICATION PROCESSING DEVICE, CONTROL METHOD AND CONTROL PROGRAM
KR101881061B1 (en) 2-way communication apparatus capable of changing communication mode and method thereof
KR101581510B1 (en) Methods for changing an authority of control for a controller in multiple controller environment
KR101747032B1 (en) Modular controller in software defined networking environment and operating method thereof
US20130136130A1 (en) Relay server and relay communication system
KR20200007060A (en) Apparatus for supporting communication between seperate networks and method for the same
JP2016082555A (en) Communication device and heterogeneous communication control method and method for eliminating expertise of operation management
WO2017159258A1 (en) Information processing device and environment setting method
JP6888179B1 (en) Information processing device and information processing method
WO2014203363A1 (en) Network device and method for controlling same
JP5943110B1 (en) Information processing system, information processing method, and program
JP5629911B2 (en) Radio base station monitoring control system and radio base station monitoring control method
JP5546883B2 (en) Supervisory control system
JP2016219951A (en) Constitution method, server, and terminal

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200515

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200515

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210408

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210427

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210625

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220621

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220704

R151 Written notification of patent or utility model registration

Ref document number: 7111125

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151