JP7491348B2 - COMMUNICATION PROCESSING METHOD, COMMUNICATION PROCESSING DEVICE, AND COMMUNICATION PROCESSING PROGRAM - Google Patents

COMMUNICATION PROCESSING METHOD, COMMUNICATION PROCESSING DEVICE, AND COMMUNICATION PROCESSING PROGRAM Download PDF

Info

Publication number
JP7491348B2
JP7491348B2 JP2022116418A JP2022116418A JP7491348B2 JP 7491348 B2 JP7491348 B2 JP 7491348B2 JP 2022116418 A JP2022116418 A JP 2022116418A JP 2022116418 A JP2022116418 A JP 2022116418A JP 7491348 B2 JP7491348 B2 JP 7491348B2
Authority
JP
Japan
Prior art keywords
server
communication processing
connection
association
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022116418A
Other languages
Japanese (ja)
Other versions
JP2022141860A (en
Inventor
岳 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2022116418A priority Critical patent/JP7491348B2/en
Publication of JP2022141860A publication Critical patent/JP2022141860A/en
Priority to JP2024033273A priority patent/JP2024063182A/en
Application granted granted Critical
Publication of JP7491348B2 publication Critical patent/JP7491348B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信処理システム、通信処理方法、通信処理装置、通信管理装置およびそれらの制御方法と制御プログラムに関する。 The present invention relates to a communication processing system, a communication processing method, a communication processing device, a communication management device, and a control method and control program thereof.

上記技術分野において、特許文献1には、USBデバイスの接続ポートを有するホスト機器がHID(Human Interface Device:マウス、キーボード等)のUSBデバイスから接続要求があった場合、機器許可ホワイトリスト等の照合により、未許可デバイスの接続を遮断する技術が開示されている。また、非特許文献1には、オープンフロー(OpenFlow)で制御されるオープンフローコントローラ(OFC:OpenFlow Controller)とオープンフロースイッッチ(OFS:OpenFlow Switch)とを利用し、IP系ネットワーク接続(ネットワークアドレスを用いた接続)を、柔軟な通信経路制御により通信最適化を実現する技術が記載されている。 In the above technical fields, Patent Document 1 discloses a technology in which, when a host device having a connection port for a USB device receives a connection request from a USB device (Human Interface Device: mouse, keyboard, etc.), the host device blocks the connection of unauthorized devices by checking against an authorized device whitelist, etc. Furthermore, Non-Patent Document 1 describes a technology that uses an OpenFlow Controller (OFC) and an OpenFlow Switch (OFS) controlled by OpenFlow to realize communication optimization of IP-based network connections (connections using network addresses) through flexible communication path control.

米国特許公開US2014/0215637号公報US Patent Publication US2014/0215637

Y.Watanabe, et al, STCoS: Software-defined Traffic Control for Smartphones, IEEE, RTAS, 2014Y.Watanabe, et al., STCoS: Software-defined Traffic Control for Smartphones, IEEE, RTAS, 2014

しかしながら、上記特許文献1の技術では、通信の制限はUSBデバイスとUSBを介した接続先のホスト機器間に限定されており、特にホスト機器が外部ネットワークに接続可能なネットワーク機器の場合、ネットワーク通信との連携ができていないため、USBデバイスから外部ネットワークに接続するクラウド(サーバ)までのセキュリティ(安全)性が不十分である。また、非特許文献1の技術は、セキュリティ領域への適用も可能であるが、非IP系接続(デバイスIDやデバイスアドレスを用いた接続)のデバイス(Bluetooth(登録商標)/USBデバイス)から接続要求があった場合のセキュリティ(安全)性に対しては、対応していない。 However, in the technology of Patent Document 1, communication restrictions are limited to between the USB device and the host device connected via USB, and particularly when the host device is a network device that can connect to an external network, there is no linkage with network communications, so security (safety) from the USB device to the cloud (server) connected to the external network is insufficient. In addition, while the technology of Non-Patent Document 1 can be applied to security areas, it does not address security (safety) when there is a connection request from a device (Bluetooth (registered trademark)/USB device) that has a non-IP connection (connection using a device ID or device address).

すなわち、USBデバイスとUSBを介した接続先のホスト機器間、ネットワーク機器とネットワークを介した接続先のクラウド(サーバ)間、のそれぞれのセキュリティ対策はあっても、USBデバイスからクラウド(サーバ)間のセキュリティ対策はなかった。そのため、例えばセキュリティ(安全)に問題があるデバイスが接続された場合には、問題のあるデバイスをホスト機器あるいはネットワークから切断することしかできない。 In other words, while there were security measures between the USB device and the host device connected via USB, and between the network device and the cloud (server) connected via the network, there were no security measures between the USB device and the cloud (server). Therefore, for example, if a device with security (safety) issues was connected, the only thing that could be done was to disconnect the problematic device from the host device or the network.

このように、非IP系接続のセキュリティ(安全)性とIP系接続のセキュリティ(安全)性とを一体に考えて、非IP系接続デバイスからIP系接続クラウド(サーバ)までの安全な接続を担保できなかった。 In this way, it was not possible to consider the security (safety) of non-IP connections and the security (safety) of IP connections together and ensure a secure connection from a non-IP connected device to an IP connected cloud (server).

本発明の目的は、上述の課題を解決する技術を提供することにある。 The object of the present invention is to provide a technology that solves the above-mentioned problems.

上記目的を達成するため、本発明に係る通信処理装置は、
非IP系接続により通信を行うデバイスと、IP系接続により通信を行うサーバと、の第1の対応付けを記憶する記憶部と、
前記第1の対応付けに基づいて、前記デバイスからのデータを前記サーバに送信するデータ送信部と、
を備え、
前記記憶部は、
(i)接続が許可されている許可デバイスを示す情報と、
(ii)前記許可デバイスからのデータを送信するアプリケーションと、前記アプリケーションを用いることのできる前記許可デバイスとの第2の対応付けと、
をさらに記憶し、
前記データ送信部は、
前記情報に基づいて接続が許可されている許可デバイスからのデータについ7ては、前記アプリケーションを用いて前記サーバに送信し、接続が許可されていない不許可デバイスからのデータについては、前記アプリケーションを用いた前記サーバへの送信を行わない In order to achieve the above object, a communication processing device according to the present invention comprises:
a storage unit that stores a first association between a device that communicates via a non-IP connection and a server that communicates via an IP connection;
a data transmission unit that transmits data from the device to the server based on the first association;
Equipped with
The storage unit is
(i) information indicating authorized devices that are authorized to connect;
(ii) a second association between an application that transmits data from the authorized device and the authorized device that can use the application ;
Further storing
The data transmission unit is
Data from an authorized device that is permitted to connect based on the information is transmitted to the server using the application, and data from an unauthorized device that is not permitted to connect is not transmitted to the server using the application .

上記目的を達成するため、本発明に係る通信処理方法は、
非IP系接続により通信を行うデバイスと、IP系接続により通信を行うサーバと、の第1の対応付けに基づいて、前記デバイスからのデータを前記サーバに送信する送信ステップを含み、
前記送信ステップにおいては、接続が許可されている許可デバイスからのデータについては、前記許可デバイスに対応付けられたアプリケーションを用いて前記サーバに送信し、接続が許可されていない不許可デバイスからのデータについては、前記アプリケーションを用いた前記サーバへの送信を行わない通信処理方法。 In order to achieve the above object, a communication processing method according to the present invention comprises:
A transmission step of transmitting data from a device that communicates via a non-IP connection to a server that communicates via an IP connection based on a first association between the device and the server,
A communication processing method in which, in the transmitting step, data from an authorized device that is permitted to connect is transmitted to the server using an application corresponding to the authorized device , and data from an unauthorized device that is not permitted to connect is not transmitted to the server using the application .

上記目的を達成するため、本発明に係る通信処理プログラムは、
非IP系接続により通信を行うデバイスと、IP系接続により通信を行うサーバと、の第1の対応付けに基づいて、前記デバイスからのデータを前記サーバに送信する送信ステップをコンピュータに実行させる通信処理プログラムであって、
前記送信ステップにおいては、接続が許可されている許可デバイスからのデータについては、前記許可デバイスに対応付けられたアプリケーションを用いて前記サーバに送信し、接続が許可されていない不許可デバイスからのデータについては、前記アプリケーションを用いた前記サーバへの送信を行わない通信処理プログラムである。 In order to achieve the above object, a communication processing program according to the present invention comprises:
A communication processing program that causes a computer to execute a transmission step of transmitting data from a device that communicates via a non-IP connection to a server that communicates via an IP connection, based on a first association between the device and the server, the communication processing program comprising:
In the transmission step, the communication processing program transmits data from an authorized device that is permitted to be connected to the server using an application associated with the authorized device , and does not transmit data from an unauthorized device that is not permitted to be connected to the server using the application .

本発明によれば、非IP系接続デバイスからIP系接続クラウド(サーバ)までの安全な接続を担保することができる。 According to the present invention, it is possible to ensure a secure connection from a non-IP connected device to an IP connected cloud (server).

本発明の第1実施形態に係る通信処理装置の構成を示すブロック図である。1 is a block diagram showing a configuration of a communication processing device according to a first embodiment of the present invention. 本発明の第2実施形態に係る通信処理装置を含む通信処理システムの構成を示すブロック図である。FIG. 11 is a block diagram showing a configuration of a communication processing system including a communication processing device according to a second embodiment of the present invention. 本発明の第2実施形態に係る通信処理部の機能構成を示すブロック図である。FIG. 11 is a block diagram showing a functional configuration of a communication processing unit according to a second embodiment of the present invention. 本発明の第2実施形態に係る通信処理テーブルの構成を示す図である。FIG. 11 is a diagram showing the configuration of a communication processing table according to the second embodiment of the present invention. 本発明の第2実施形態に係るデバイス処理制御部の機能構成を示すブロック図である。FIG. 11 is a block diagram showing the functional configuration of a device processing control unit according to a second embodiment of the present invention. 本発明の第2実施形態に係るデバイス処理テーブルの構成を示す図である。FIG. 11 is a diagram showing the arrangement of a device processing table according to the second embodiment of the present invention. 本発明の第2実施形態に係る切換部の機能構成を示すブロック図である。FIG. 11 is a block diagram showing a functional configuration of a switching unit according to a second embodiment of the present invention. 本発明の第2実施形態に係る接続テーブルの構成を示す図である。FIG. 11 is a diagram showing the configuration of a connection table according to the second embodiment of the present invention. 本発明の第2実施形態に係る通信処理部の処理手順を示すフローチャートである。10 is a flowchart showing a processing procedure of a communication processing unit according to the second embodiment of the present invention. 本発明の第2実施形態に係るフィルタリング処理の手順を示すフローチャートである。10 is a flowchart showing a procedure of a filtering process according to a second embodiment of the present invention. 本発明の第2実施形態に係る未許可デバイスの場合の通信処理システムの接続状態を示す図である。FIG. 11 is a diagram showing a connection state of a communication processing system in the case of an unauthorized device according to the second embodiment of the present invention. 本発明の第2実施形態に係る遮断後の再開における通信処理システムの接続状態を示す図である。FIG. 11 is a diagram showing a connection state of a communication processing system when restarting after disconnection according to the second embodiment of the present invention. 本発明の第2実施形態に係る許可デバイスの場合の通信処理システムの接続状態を示す図である。FIG. 11 is a diagram showing a connection state of a communication processing system in the case of an authorized device according to the second embodiment of the present invention. 本発明の第2実施形態に係る許可デバイスの場合の通信処理システムの他の接続状態を示す図である。FIG. 11 is a diagram showing another connection state of the communication processing system in the case of an authorized device according to the second embodiment of the present invention. 本発明の第2実施形態に係る管理サーバの機能構成を示すブロック図である。FIG. 11 is a block diagram showing a functional configuration of a management server according to a second embodiment of the present invention. 本発明の第2実施形態に係るゲートウェイ管理データベースの構成を示す図である。FIG. 11 is a diagram showing a configuration of a gateway management database according to the second embodiment of the present invention. 本発明の第2実施形態に係る可視化された管理モニタの概念を示す図である。FIG. 11 is a diagram showing the concept of a visualized management monitor according to the second embodiment of the present invention. 本発明の第2実施形態に係る可視化された管理モニタの表示画面例を示す図である。FIG. 11 is a diagram showing an example of a display screen of a visualized management monitor according to the second embodiment of the present invention. 本発明の第2実施形態に係る可視化された管理モニタの表示画面例を示す図である。FIG. 11 is a diagram showing an example of a display screen of a visualized management monitor according to the second embodiment of the present invention. 本発明の第2実施形態に係る可視化された管理モニタの表示画面例を示す図である。FIG. 11 is a diagram showing an example of a display screen of a visualized management monitor according to the second embodiment of the present invention.

以下に、図面を参照して、本発明の実施の形態について例示的に詳しく説明する。ただし、以下の実施の形態に記載されている構成要素は単なる例示であり、本発明の技術範囲をそれらのみに限定する趣旨のものではない。 The following describes in detail an exemplary embodiment of the present invention with reference to the drawings. However, the components described in the following embodiment are merely examples and are not intended to limit the technical scope of the present invention to these alone.

なお、本明細書で使用される文言“非IP系接続”とは、デバイスIDやデバイスアドレスに基づくUSBやBluetooth(登録商標)などの通信プロトコルに従った接続を示し、“IP系接続”とは、インターネットアドレスなどのネットワークアドレスに基づくインターネットプロトコルに従った接続を示す。 As used in this specification, the term "non-IP-based connection" refers to a connection that conforms to a communication protocol such as USB or Bluetooth (registered trademark) based on a device ID or device address, and "IP-based connection" refers to a connection that conforms to an Internet protocol based on a network address such as an Internet address.

[第1実施形態]
本発明の第1実施形態としての通信処理装置110について、図1を用いて説明する。通信処理装置110は、非IP系のデバイスをIP系に接続する装置である。 [First embodiment]
A communication processing device 110 according to a first embodiment of the present invention will be described with reference to Fig. 1. The communication processing device 110 is a device that connects a non-IP system device to an IP system.

図1に示すように、通信処理装置110は、第1接続部111と、第2接続部112と、切換部113と、判定部114と、接続制御部115と、を含む。第1接続部111は、デバイス120を接続する。第2接続部112は、サーバ130に接続する。切換部113は、第1接続部111と第2接続部112との間において、デバイス120とサーバ130との接続を切り換える。判定部114は、第1接続部111に対するデバイス120の接続が許可されているか否かを判定する。接続制御部115は、判定部114の判定結果にしたがって、切換部113を制御する。 As shown in FIG. 1, the communication processing device 110 includes a first connection unit 111, a second connection unit 112, a switching unit 113, a determination unit 114, and a connection control unit 115. The first connection unit 111 connects the device 120. The second connection unit 112 connects to the server 130. The switching unit 113 switches the connection between the device 120 and the server 130 between the first connection unit 111 and the second connection unit 112. The determination unit 114 determines whether or not the connection of the device 120 to the first connection unit 111 is permitted. The connection control unit 115 controls the switching unit 113 according to the determination result of the determination unit 114.

本実施形態によれば、デバイスの接続が許可されているか否かの判定結果で、デバイスからサーバまでの接続を切り換えることにより、非IP系接続デバイスからIP系接続クラウド(サーバ)までの安全な接続を担保できる。 According to this embodiment, a secure connection from a non-IP-based connected device to an IP-based connected cloud (server) can be guaranteed by switching the connection from the device to the server based on the result of the determination of whether the device connection is permitted.

[第2実施形態]
次に、本発明の第2実施形態に係る通信処理装置について説明する。本実施形態に係る通信処理装置においては、デバイスの接続が許可されていないと判定した場合、または、デバイスの接続が許可されていると判定した場合に、デバイスとサーバとの接続を次のように制御する。 [Second embodiment]
Next, a description will be given of a communication processing device according to a second embodiment of the present invention. In the communication processing device according to this embodiment, when it is determined that the connection of the device is not permitted, or when it is determined that the connection of the device is permitted, the connection between the device and the server is controlled as follows.

デバイスの接続が許可されていないと判定した場合、通信処理装置に接続された全デバイスとサーバとの接続を切断する。また、デバイスの接続が許可されていると判定した場合であっても、デバイスとサーバとの接続を制限するように制御する。例えば、接続されたデバイスに対して提供するアプリケーション処理を制限するように制御する。 If it is determined that the device connection is not permitted, the connection between the server and all devices connected to the communications processing device is disconnected. Even if it is determined that the device connection is permitted, the connection between the device and the server is restricted. For example, the application processing provided to the connected device is restricted.

これらの制御は、通信を管理する外部の通信管理装置による設定にしたがって実行され、デバイスとサーバとの接続状態は外部の通信管理装置に通知される。特に、デバイスの接続が許可されていないと判定した場合の全デバイスとサーバとの接続の切断は、外部の通信管理装置に緊急通知される。 These controls are performed according to settings made by an external communications management device that manages communications, and the connection status between the device and the server is notified to the external communications management device. In particular, if it is determined that a device connection is not permitted, an emergency notification is sent to the external communications management device to disconnect all devices from the server.

《通信処理システム》
図2は、本実施形態に係る通信処理装置210を含む通信処理システム200の構成を示すブロック図である。なお、以下の説明においては、通信処理装置210がそれぞれ、管理サーバ240からの設定に基づき、接続されたデバイスを判定し、サーバ遮断などの処理を行なう例を示すが、管理サーバ240が複数の通信処理装置210を一括に管理して、接続されたデバイスを判定し、サーバ遮断などの処理を行なってもよい。 <Communication Processing System>
2 is a block diagram showing a configuration of a communication processing system 200 including a communication processing device 210 according to this embodiment. In the following description, an example is shown in which each communication processing device 210 determines a connected device based on settings from a management server 240 and performs processing such as server shutdown, but the management server 240 may collectively manage a plurality of communication processing devices 210, determine a connected device, and perform processing such as server shutdown.

通信処理システム200は、例えばゲートウェイなどの通信処理装置210と、デバイス220と、クラウドを含むサーバ230と、管理サーバ240と、を備える。 The communication processing system 200 includes a communication processing device 210, such as a gateway, a device 220, a server 230 including a cloud, and a management server 240.

通信処理装置210は、通信処理装置210を制御する通信処理部211と、デバイス制御処理部212と、アプリケーション群213(以下、アプリと略す)と、SDN(Software-Defined Network)による切換部214と、サーバ230との接続を行なう通信部215と、を備える。通信処理部211は、管理サーバ240からの設定指示にしたがって通信処理装置210の全体を処理すると共に、通信処理装置210の処理状態を管理サーバ240に提示する。デバイス制御処理部212は、USB(Universal Serial Bus)やBluetooth(登録商標)などによって非IP系のデバイス220との接続を制御する。そして、デバイスが認可済みか未認証かを判定して、デバイスが未認証の場合はそのデバイスとの接続を遮断する。そして、通信処理部211に未認証のデバイスが接続されたことを通知する。アプリ213は、接続されたそれぞれのデバイス220からのデータの取得やネットワークを介したサーバ230への送信などを行なうアプリケーションである。切換部214はSDNを構成するオープンフローコントローラとオープンフロースイッチとを有し、アプリ213で処理されたデバイスからのデータをどのサーバ230に転送するかのスイッチングを制御する。通信部215は、Wi-Fi、Ethernet(登録商標)、Cellularなどによりサーバ230にデバイスからのデータを転送する。 The communication processing device 210 includes a communication processing unit 211 that controls the communication processing device 210, a device control processing unit 212, an application group 213 (hereinafter, abbreviated as apps), a switching unit 214 by SDN (Software-Defined Network), and a communication unit 215 that connects to the server 230. The communication processing unit 211 processes the entire communication processing device 210 according to a setting instruction from the management server 240, and presents the processing status of the communication processing device 210 to the management server 240. The device control processing unit 212 controls the connection to a non-IP device 220 by USB (Universal Serial Bus) or Bluetooth (registered trademark). Then, it determines whether the device is authorized or unauthenticated, and if the device is unauthenticated, it blocks the connection to the device. Then, it notifies the communication processing unit 211 that an unauthenticated device has been connected. The apps 213 are applications that acquire data from each connected device 220 and transmit data to the server 230 via the network. The switching unit 214 has an OpenFlow controller and an OpenFlow switch that constitute the SDN, and controls switching to determine to which server 230 data from the device processed by the application 213 is to be transferred. The communication unit 215 transfers data from the device to the server 230 via Wi-Fi, Ethernet (registered trademark), Cellular, etc.

デバイス220は、USBやBluetooth(登録商標)などでデバイス制御処理部212と非IP系接続を行ない、サーバ230が収集するデータを検出する、例えばセンサなどのデバイスである。 The device 220 is a device such as a sensor that establishes a non-IP connection with the device control processing unit 212 via USB, Bluetooth (registered trademark), or the like, and detects data collected by the server 230.

サーバ230は、デバイス220が検出したデータを、通信処理装置210を介してセキュリティ(安全)を維持しながら収集し、収集したデータを分析してサービスを提供する。 The server 230 collects the data detected by the device 220 via the communication processing device 210 while maintaining security (safety), and analyzes the collected data to provide services.

管理サーバ240は、通信処理装置210におけるデバイス220からサーバ230へのデータ転送を管理するサーバである。管理サーバ240は、可視化GUI241を有し、通信処理装置210へのデータ転送機能、デバイスが未認証の場合の処理手順、そのたデータ転送条件などの設定、あるいは、通信処理装置210におけるデータ転送結果、デバイスが未認証の場合の通知、そのたデータ転送条件などの設定などの状態、を可視的で観察することできる。したがって、管理サーバ240を用いて、デバイス220からサーバ230へのデータ転送を管理する管理者は、容易にデータ転送状態を監視できると共に、設定変更を簡単な操作で実現できる。 The management server 240 is a server that manages data transfer from the device 220 to the server 230 in the communications processing device 210. The management server 240 has a visualization GUI 241, and can visually observe the status of the data transfer function to the communications processing device 210, the processing procedure when the device is unauthenticated, other settings of data transfer conditions, or the data transfer results in the communications processing device 210, notifications when the device is unauthenticated, and other settings of data transfer conditions. Therefore, using the management server 240, an administrator who manages data transfer from the device 220 to the server 230 can easily monitor the data transfer status and can change settings with simple operations.

なお、デバイス制御処理部212における、接続されたデバイスの認証は、詳細には、以下のように行なわれる。例えば、デバイスがUSBデバイスの場合、USBデバイス認証は、ホスト機器のOSが“linux”の場合、USBデバイス接続時に、udev(user space device management)へ通知される情報を元に、接続の可否判定を行う。接続を許可していないUSBデバイスが接続された場合、未認証デバイスと判定する。許可されるUSBデバイスについては、あらかじめ許可ルール(認証リスト)に登録しておく。一方、Bluetooth(登録商標)におけるデバイス認証は、ホストOSがlinuxの場合、“hcitool con”で定期的にコネクションを確認し、許可していないコネクションがある場合、未認証デバイスと判定する。許可されるBluetooth(登録商標)のコネクションは、あらかじめ許可ホワイトリスト(Whitelist:認証リスト)に登録しておく。 In detail, authentication of a connected device in the device control processing unit 212 is performed as follows. For example, if the device is a USB device, and the OS of the host device is "Linux", USB device authentication determines whether or not to allow connection based on information notified to udev (user space device management) when the USB device is connected. If a USB device that is not permitted to be connected is connected, it is determined to be an unauthenticated device. Permitted USB devices are registered in advance in an authorization rule (authentication list). On the other hand, for Bluetooth (registered trademark) device authentication, if the host OS is Linux, connections are periodically checked using "hcitool con", and if there is a connection that is not permitted, it is determined to be an unauthenticated device. Permitted Bluetooth (registered trademark) connections are registered in advance in an authorization whitelist (Whitelist: authentication list).

《通信処理装置》
以下、図3A~図6Bを参照して、本実施形態の通信処理装置210が備える構成要素について、その構成と動作を説明する。 "Communications processing device"
The configurations and operations of the components included in the communications processing device 210 of this embodiment will be described below with reference to FIGS. 3A to 6B.

(通信処理部)
図3Aは、本実施形態に係る通信処理装置210の通信処理部211の機能構成を示すブロック図である。 (Communication Processing Unit)
FIG. 3A is a block diagram showing the functional configuration of a communication processing unit 211 of a communication processing device 210 according to this embodiment.

通信処理部211は、通信制御部301と、通信処理情報取得部302と、通信処理情報格納部303と、通信処理テーブル304と、を備える。さらに、通信処理部211は、切換情報設定部305と、デバイス制御情報設定部306と、不許可デバイス接続受信部307と、サーバ遮断通知部308と、を備える。 The communication processing unit 211 includes a communication control unit 301, a communication processing information acquisition unit 302, a communication processing information storage unit 303, and a communication processing table 304. The communication processing unit 211 further includes a switching information setting unit 305, a device control information setting unit 306, an unauthorized device connection receiving unit 307, and a server shutdown notification unit 308.

通信制御部301は、通信処理装置210内のデバイス制御処理部212および切換部(SDN)214と、管理サーバ240との通信を制御する。なお、必要であれば、アプリ213や通信部215との通信も制御する。通信処理情報取得部302は、管理サーバ240からの通信処理装置210における通信処理を示す通信処理情報を取得する。通信処理情報格納部303は、通信処理情報取得部302が取得した通信処理情報を通信処理テーブル304に格納する。通信処理テーブル304は、管理サーバ240から取得した通信処理情報を格納して、通信処理装置210における通信処理を構築する。 The communication control unit 301 controls communication between the device control processing unit 212 and switching unit (SDN) 214 in the communications processing device 210 and the management server 240. If necessary, it also controls communication with the application 213 and communication unit 215. The communication processing information acquisition unit 302 acquires communication processing information indicating communication processing in the communications processing device 210 from the management server 240. The communication processing information storage unit 303 stores the communication processing information acquired by the communication processing information acquisition unit 302 in the communication processing table 304. The communication processing table 304 stores the communication processing information acquired from the management server 240 and constructs communication processing in the communications processing device 210.

切換情報設定部305は、通信処理テーブル304に格納された通信処理情報の内、切換部214のオープンフローコントローラに切換情報を設定する。なお、切換情報設定部305は、不許可デバイス接続受信部307が、不許可デバイスが接続された通知をデバイス制御処理部212から受信すると、通常の切換情報でなく不許可デバイス接続時の接続情報を切換部214のオープンフローコントローラに設定して、サーバ230への遮断処理を実現する。 The switching information setting unit 305 sets switching information in the OpenFlow controller of the switching unit 214 from among the communication processing information stored in the communication processing table 304. When the unauthorized device connection receiving unit 307 receives a notification from the device control processing unit 212 that an unauthorized device has been connected, the switching information setting unit 305 sets the connection information for the unauthorized device connection, rather than the normal switching information, in the OpenFlow controller of the switching unit 214, thereby realizing a blocking process to the server 230.

デバイス制御情報設定部306は、通信処理テーブル304に格納された通信処理情報の内、不許可デバイスの接続の判定、あるいは、接続デバイスのアプリ213への接続、などの情報をデバイス制御処理部212に設定する。不許可デバイス接続受信部307は、不許可デバイスの接続を判定する通信処理情報を用いて判定した、不許可デバイスの接続通知を、デバイス制御処理部212から受信する。サーバ遮断通知部308は、不許可デバイスが接続した通知を受けてサーバ230への接続が全面的に遮断されたことを、管理サーバ240に緊急通知して、部分的であってもセキュリティ(安全)を担保した通信処理装置210の回復を迅速に行なうよう要請する。 The device control information setting unit 306 sets, in the device control processing unit 212, information such as the determination of unauthorized device connection or the connection of a connected device to the application 213, among the communication processing information stored in the communication processing table 304. The unauthorized device connection receiving unit 307 receives a connection notification of an unauthorized device from the device control processing unit 212, determined using the communication processing information for determining the connection of an unauthorized device. The server cutoff notification unit 308 issues an emergency notification to the management server 240 that the connection to the server 230 has been completely cut off upon receiving the notification that an unauthorized device has connected, and requests that the communication processing device 210 be quickly restored with security (safety) guaranteed, even if only partially.

図3Bは、本実施形態に係る通信処理テーブル304の構成を示す図である。通信処理テーブル304は、通信処理装置210のデバイスからサーバまでのデータ転送の処理を制御するためのデータを保持するテーブルである。 Figure 3B is a diagram showing the configuration of the communication processing table 304 according to this embodiment. The communication processing table 304 is a table that holds data for controlling the processing of data transfer from the device of the communication processing device 210 to the server.

通信処理テーブル304は、デバイス登録テーブル341と、アプリ/サーバ設定テーブル342と、アプリ登録テーブル343と、デバイス接続制御テーブル344と、を含む。デバイス登録テーブル341は、デバイスのインタフェース種類と登録されたデバイスIDである登録IDとを対応付けて記憶し、接続されたデバイスが登録済みか否かを判定するために使用される。アプリ/サーバ設定テーブル342は、登録されたデバイスからのデータを通信処理するアプリ、および、転送するサーバ、そして、そのサーバと接続するためのポート番号とを対応付けて記憶し、デバイスからのデータ処理と転送先とを設定するために使用される。アプリ登録テーブル343は、アプリ名とアプリIDとを対応付けて記憶し、通信処理装置210におけるデータ処理および通信処理のために使用される。デバイス接続制御テーブル344は、接続されたデバイスが不許可デバイスか許可デバイスかに対応して、種々の管理サーバ240から設定された接続制御を規定する。本実施形態においては、不許可デバイスが接続されたならば、通信処理装置210のサーバ230への接続を、管理サーバ240を除いて遮断して、許可デバイスのサーバ230への接続も遮断する。一方、許可デバイスが接続された場合は、デバイスやアプリ、サーバなどの種類などに基づいて、管理サーバ240から設定された種々の接続制御を行なうことになる。 The communication processing table 304 includes a device registration table 341, an application/server setting table 342, an application registration table 343, and a device connection control table 344. The device registration table 341 stores the interface type of the device and the registration ID, which is the registered device ID, in association with each other, and is used to determine whether the connected device is registered or not. The application/server setting table 342 stores the application that communicates and processes data from the registered device, the server to which the data is transferred, and the port number for connecting to the server in association with each other, and is used to set the data processing from the device and the transfer destination. The application registration table 343 stores the application name and the application ID in association with each other, and is used for data processing and communication processing in the communication processing device 210. The device connection control table 344 specifies the connection control set by various management servers 240 according to whether the connected device is an unauthorized device or an authorized device. In this embodiment, if an unauthorized device is connected, the connection of the communications processing device 210 to the server 230 is blocked, except for the management server 240, and the connection of authorized devices to the server 230 is also blocked. On the other hand, if an authorized device is connected, various connection controls set by the management server 240 are performed based on the type of device, app, server, etc.

(デバイス処理制御部)
図4Aは、本実施形態に係る通信処理装置210のデバイス制御処理部212の機能構成を示すブロック図である。 (Device processing control unit)
FIG. 4A is a block diagram showing the functional configuration of the device control processing unit 212 of the communications processing device 210 according to this embodiment.

デバイス制御処理部212は、許可/未認証判定部401と、デバイス切断部402と、未認証通知部403と、デバイス処理テーブル404と、接続アプリ判定部405と、デバイスアプリ接続部406と、を有する。 The device control processing unit 212 has an authorization/unauthentication determination unit 401, a device disconnection unit 402, an unauthenticated notification unit 403, a device processing table 404, a connection application determination unit 405, and a device application connection unit 406.

許可/未認証判定部401は、デバイス処理テーブル404に設定されているデバイスの登録情報に基づいて、接続されたデバイスの認可/未認証を判定する。デバイス切断部402は、許可/未認証判定部401が接続されたデバイスを未認証と判定した場合に、デバイスを切断する。未認証通知部403は、接続されたデバイスが未認証で切断された場合に、サーバ230との全接続が遮断されるので、そのことを、通信処理部211を介して管理サーバ240に通知する。 The permission/unauthentication determination unit 401 determines whether the connected device is authorized/unauthenticated based on the device registration information set in the device processing table 404. The device disconnection unit 402 disconnects the device when the permission/unauthentication determination unit 401 determines that the connected device is unauthenticated. When the connected device is disconnected because it is unauthenticated, all connections with the server 230 are cut off, and the unauthenticated notification unit 403 notifies the management server 240 of this fact via the communication processing unit 211.

接続アプリ判定部405は、デバイス処理テーブル404に設定されている接続されたデバイス220とアプリ213との関係を示す情報に基づいて、デバイス220が接続可能なアプリ213を判定する。デバイスアプリ接続部406は、デバイス220と、接続アプリ判定部405が判定したアプリ213との接続を行なう。なお、デバイス220が接続可能なアプリは1つに限定されず、複数が設定されても、全てのアプリが接続可能であってもよい。 The connection app determination unit 405 determines the app 213 to which the device 220 can connect, based on information indicating the relationship between the connected device 220 and the app 213 set in the device processing table 404. The device app connection unit 406 connects the device 220 to the app 213 determined by the connection app determination unit 405. Note that the number of apps to which the device 220 can connect is not limited to one, and multiple apps may be set, or all apps may be connectable.

図4Bは、本実施形態に係るデバイス処理テーブル404の構成を示す図である。デバイス処理テーブル404は、デバイス制御処理部212が接続されたデバイスの認可/未認証の判定や、アプリ213への接続を管理するために使用される。なお、図4Bにおいて、図3Bと同様の構成要素には同じ参照番号を付して、重複する説明を省略する。 Figure 4B is a diagram showing the configuration of the device processing table 404 according to this embodiment. The device processing table 404 is used by the device control processing unit 212 to determine whether a device connected thereto is authorized/unauthenticated, and to manage connections to the application 213. Note that in Figure 4B, components similar to those in Figure 3B are given the same reference numbers, and duplicate explanations will be omitted.

デバイス処理テーブル404は、デバイスアプリ接続テーブル442を有する。なお、デバイスアプリ接続テーブル442は、図3Bのアプリ/サーバ設定テーブル342の一部であり、デバイスとアプリとの関連を記憶する。 The device processing table 404 includes a device app connection table 442. The device app connection table 442 is part of the app/server settings table 342 in FIG. 3B, and stores the association between devices and apps.

(切換部)
図5Aは、本実施形態に係る通信処理装置210の切換部214の機能構成を示すブロック図である。 (Switching section)
FIG. 5A is a block diagram showing the functional configuration of the switching unit 214 of the communication processing device 210 according to this embodiment.

切換部214は、本実施形態においては、オープンフローのSDN(ソフトウェアによる仮想ネットワーク)であって、オープンコントローラ501と、オープンフロースィッチ502と、を有する。オープンコントローラ501は、接続テーブル511を有し、接続テーブル511にしたがって、データが経由する各スィッチに設定されるフローテーブルを生成する。オープンフロースィッチ502は、オープンコントローラ501が設定したフローテーブルにしたがって、送信元と送信先とのルーティングを制御する。なお、本実施形態における、未認証デバイスの接続による全サーバとの通信遮断は、例えば、アプリ213からの送信データを通信部215に接続するいずれのポートにもルーティングしないなどの処理で実現する。 In this embodiment, the switching unit 214 is an OpenFlow SDN (software virtual network) and includes an OpenFlow controller 501 and an OpenFlow switch 502. The OpenFlow controller 501 has a connection table 511, and generates a flow table that is set in each switch through which data passes according to the connection table 511. The OpenFlow switch 502 controls the routing between the source and destination according to the flow table set by the OpenFlow controller 501. Note that in this embodiment, communication with all servers is blocked due to the connection of an unauthenticated device, for example, by processing such as not routing transmission data from the application 213 to any port connected to the communication unit 215.

図5Bは、本実施形態に係る接続テーブル511の構成を示す図である。接続テーブル511は、オープンコントローラ501がフローテーブルを生成するために使用される。 Figure 5B is a diagram showing the configuration of the connection table 511 according to this embodiment. The connection table 511 is used by the open controller 501 to generate a flow table.

接続テーブル511は、アプリポート接続テーブル542と、ポート接続制御テーブル544と、を有する。アプリポート接続テーブル542は、図3Bのアプリ/サーバ設定テーブル342の一部であり、アプリと通信部215へのポートとの関連を記憶する。ポート接続制御テーブル544は、図3Bのデバイス接続制御テーブル344に、さらに、オープンコントローラ501のためアプリ213からの入力ポートと通信部215への出力ポートとを記憶する。 The connection table 511 has an application port connection table 542 and a port connection control table 544. The application port connection table 542 is part of the application/server setting table 342 in FIG. 3B, and stores the association between the application and the port to the communication unit 215. The port connection control table 544 further stores the input port from the application 213 and the output port to the communication unit 215 for the open controller 501 in addition to the device connection control table 344 in FIG. 3B.

(通信処理部の処理手順)
図6Aは、本実施形態に係る通信処理装置210の通信処理部211の処理手順を示すフローチャートである。このフローチャートは、通信処理装置210のCPU(Central Processing Unit)がメモリを使用して実行し、通信処理装置210の機能構成部を実現する。なお、通信処理装置210の各構成要素がそれぞれCPUを有して、互いに通信しながら機能を実現するのが望ましいが、煩雑さを避けるためそれらを分けずに通信処理装置210による処理手順として説明する。 (Processing procedure of communication processing unit)
6A is a flowchart showing the processing procedure of the communication processing unit 211 of the communication processing device 210 according to this embodiment. This flowchart is executed by a central processing unit (CPU) of the communication processing device 210 using memory, and realizes the functional components of the communication processing device 210. Note that it is preferable that each component of the communication processing device 210 has a CPU and realizes its functions while communicating with each other, but to avoid complexity, the processing procedure will be described as a processing procedure by the communication processing device 210 without separating them.

通信処理装置210は、ステップS601において、デバイスの接続をデバイス制御処理部212により監視する。通信処理装置210は、ステップS603において、USBやBluetooth(登録商標)、図面ではBT、デバイスからの接続要求を受ける。通信処理装置210は、ステップS605において、接続されたデバイスが認可されているか未認証かを認証機器リスト(デバイス登録テーブル341に対応)と照合する。そして、通信処理装置210は、ステップS607において、未許可(未認証)デバイスか否かを判定する。 In step S601, the communications processing device 210 monitors the connection of a device using the device control processing unit 212. In step S603, the communications processing device 210 receives a connection request from a USB or Bluetooth (registered trademark) device (BT in the drawing). In step S605, the communications processing device 210 checks whether the connected device is authorized or unauthenticated against the authentication device list (corresponding to the device registration table 341). Then, in step S607, the communications processing device 210 determines whether the device is unauthorized (unauthenticated).

未認可デバイスであれば、通信処理装置210は、ステップS609において、管理サーバ240への認証用通信以外の全てのサーバ230との通信を遮断、または、アプリ213により通信を遮断する。通信処理装置210は、ステップS611において、全てのサーバ230との通信を遮断した異常状態を管理サーバ240に通知する。なお、管理サーバ240が常に通信処理装置210の状態を監視していて、異常状態の情報を受け取る構成でもよい。通信処理装置210は、ステップS613において、デバイス制御処理部212により未許可デバイスとの接続を遮断する。 If it is an unauthorized device, in step S609, the communications processing device 210 cuts off all communications with the server 230 other than the authentication communication with the management server 240, or cuts off communications using the app 213. In step S611, the communications processing device 210 notifies the management server 240 of the abnormal state in which communications with all servers 230 have been cut off. Note that the management server 240 may be configured to constantly monitor the state of the communications processing device 210 and receive information about the abnormal state. In step S613, the communications processing device 210 cuts off the connection to the unauthorized device using the device control processing unit 212.

その後、未許可デバイスとの接続が遮断されたために、通信処理システム200に攻撃などの障害が波及しないものと判定して、通信処理装置210は、ステップS615において、全てのサーバ230との通信を遮断するという強化した通信フィルタリング(遮断)処理を停止する。この場合に、認可されたデバイスのデータを処理するアプリ213や、接続可能なサーバ230を選択的に可能とする処理を行なってもよい。例えば、より機密性の高い処理を行なうアプリ213のみを起動可能としたり、サーバが収集するデータの重要度に応じて、高い重要度のサーバへの接続は遅らせたりするなどの処理が簡単な設定により実現する。 Then, since the connection with the unauthorized device has been cut off, the communication processing device 210 determines that the communication processing system 200 will not be affected by attacks or other problems, and in step S615 stops the enhanced communication filtering (cut-off) process of cutting off communication with all servers 230. In this case, a process may be performed that selectively enables the application 213 that processes data from authorized devices and the server 230 that can be connected. For example, a simple setting can be used to enable only the application 213 that performs more confidential processing, or to delay connections to servers with higher importance depending on the importance of the data collected by the server.

一方、認可デバイスであれば、通信処理装置210は、ステップS617において、許可デバイスごとに特定なポリシーテーブルによりネットワーク通信をフィルタリング処理する。そして、通信処理装置210は、ステップS619において、想定外アクセス発生時、管理サーバ240に異常状況を通知する。なお、この処理も、管理サーバ240が常に通信処理装置210の状態を監視していて、異常状況の情報を受け取る構成でもよい。 On the other hand, if the device is an authorized device, the communications processing device 210 filters the network communications using a specific policy table for each authorized device in step S617. Then, in step S619, the communications processing device 210 notifies the management server 240 of the abnormal situation when unexpected access occurs. Note that this process may also be configured such that the management server 240 constantly monitors the status of the communications processing device 210 and receives information on the abnormal situation.

図6Bは、本実施形態に係るフィルタリング処理(S617)の手順を示すフローチャートである。なお、図6Bには、2つのフィルタリング処理(S617)の例を示すが、その組み合わせ、他のフィルタリング処理、あるいは、他のフィルタリング処理との組み合わせであってもよい。 Figure 6B is a flowchart showing the procedure of the filtering process (S617) according to this embodiment. Note that, although Figure 6B shows an example of two filtering processes (S617), a combination of these, other filtering processes, or a combination with other filtering processes may also be used.

通信処理装置210は、ステップS621において、許可デバイスの通信ポリシー設定テーブル(図3Bのアプリ/サーバ設定テーブル342に相当)を参照する。そして、通信処理装置210は、ステップS623において、例えば、特定なUSB/Bluetooth(登録商標)デバイスからアクセスできるサーバを制限する。 In step S621, the communications processing device 210 refers to the communications policy setting table for permitted devices (corresponding to the application/server setting table 342 in FIG. 3B). Then, in step S623, the communications processing device 210 restricts the servers that can be accessed from, for example, a specific USB/Bluetooth (registered trademark) device.

また、通信処理装置210は、ステップS631において、許可デバイスと使用通信アプリの通信ポリシーテーブル(同じく、図3Bのアプリ/サーバ設定テーブル342に相当)を参照する。そして、通信処理装置210は、ステップS623において、例えば、特定なUSB/Bluetooth(登録商標)デバイスで使用アプリにより通信を制限する。 In addition, in step S631, the communications processing device 210 refers to a communication policy table (corresponding to the application/server setting table 342 in FIG. 3B) of permitted devices and communication applications in use. Then, in step S623, the communications processing device 210 restricts communication, for example, with a specific USB/Bluetooth (registered trademark) device depending on the application in use.

《通信処理システムの接続状態》
以下、図7A~図8Bを参照して、本実施形態の通信処理装置210の通信ポリシーに基づく、種々の接続状態につき説明する。 <Connection status of communication processing system>
Various connection states based on the communication policy of the communications processing device 210 of this embodiment will be described below with reference to FIGS. 7A to 8B.

(未許可デバイス)
図7Aは、本実施形態に係る未許可デバイスの場合の通信処理システム200の接続状態を示す図である。図7Aは、未認可のデバイス723が接続された場合の接続処理である。 (Unauthorized Device)
Fig. 7A is a diagram showing a connection state of the communication processing system 200 in the case of an unauthorized device according to this embodiment. Fig. 7A shows a connection process when an unauthorized device 723 is connected.

未認可のデバイス723の接続をデバイス制御処理部212が判定すると、本実施形態の通信ポリシーにしたがって、管理サーバ240以外の全てのサーバ230への通信が遮断される。また、未認可のデバイス723との接続も遮断される。そして、接続されている管理サーバ240に、全てのサーバ230への通信が遮断された緊急通知が行なわれる。この本実施形態の通信ポリシーにしたがった処理により、他の認可デバイス221や222のサーバ230へのデータ送信も遮断されるが、未認可のデバイス723からの攻撃などがサーバ230へ及ぶダメージを未然に防ぐことができる。 When the device control processing unit 212 determines that an unauthorized device 723 has been connected, communication with all servers 230 other than the management server 240 is blocked in accordance with the communication policy of this embodiment. The connection with the unauthorized device 723 is also blocked. An emergency notification that communication with all servers 230 has been blocked is then sent to the connected management server 240. This processing in accordance with the communication policy of this embodiment also blocks data transmission from other authorized devices 221 and 222 to the server 230, but it is also possible to prevent damage to the server 230 caused by attacks from the unauthorized device 723.

図7Bは、本実施形態に係る遮断後の再開における通信処理システム200の接続状態を示す図である。図7Bは、未認可のデバイス723の接続が遮断された後の再接続処理である。図7Bにおいては、秘匿性の弱い通信アプリaやアプリbの使用を制限する。 Figure 7B is a diagram showing the connection state of the communication processing system 200 when resuming connection after disconnection according to this embodiment. Figure 7B shows the reconnection process after the connection of the unauthorized device 723 is disconnected. In Figure 7B, the use of communication apps a and b, which have low confidentiality, is restricted.

図7Aにおいて未認可のデバイス723との接続も遮断されたので障害は波及しないと判断して、管理サーバ240は、他の認可デバイス221や222のサーバ230へのデータ送信を迅速に復旧させる。しかしながら、秘匿性の弱い通信アプリaやアプリbを使用すると問題が発生する可能性も残っているので、本実施形態の通信ポリシーにしたがって、秘匿性の弱い通信アプリaやアプリbを使用しないよう設定する。 In FIG. 7A, since the connection with the unauthorized device 723 has also been cut off, the management server 240 determines that the failure will not spread, and promptly restores data transmission from the other authorized devices 221 and 222 to the server 230. However, since there is still a possibility that problems may occur if communication apps a and b, which have weak confidentiality, are used, the communication policy of this embodiment is set so that communication apps a and b, which have weak confidentiality, are not used.

なお、前述したように、アプリの使用を制限すると共に、障害が及ぶとダメージが大きなサーバ230に対しても接続を制限することも可能である。 As mentioned above, in addition to restricting the use of the app, it is also possible to restrict connections to server 230, which would cause great damage if it were to fail.

(許可デバイス)
図8Aは、本実施形態に係る許可デバイスの場合の通信処理システム200の接続状態を示す図である。図8Aにおいては、接続されたデバイス823が認可されたデバイスである場合の接続状態である。 (Authorized Devices)
Fig. 8A is a diagram showing a connection state of the communication processing system 200 in the case of an authorized device according to this embodiment. Fig. 8A shows the connection state when a connected device 823 is an authorized device.

認可のデバイス823の接続をデバイス制御処理部212が判定すると、デバイス823に対応付けられた通信ポリシーにしたがって、全てのアプリ213は使用可能であるが、接続してデータを送ることのできるサーバが選択されている。例えば、認可のデバイス823のデータを必要としないサーバや、認可のデバイス823のデータの信頼性が低いなどの理由があれば、特定のサーバには接続しない。この場合には、全てのアプリからの入力ポートが選択されたサーバへの出力ポートにしか接続されないように、切換部(SDN)214のオープンフローコントローラが設定する。 When the device control processing unit 212 determines the connection of an authorized device 823, all applications 213 are available according to the communication policy associated with the device 823, but a server to which the authorized device 823 can connect and send data is selected. For example, if there is a reason such as a server that does not require the data of the authorized device 823 or the reliability of the data of the authorized device 823 is low, a specific server will not be connected. In this case, the OpenFlow controller of the switching unit (SDN) 214 sets the input ports from all applications to be connected only to the output ports to the selected server.

図8Bは、本実施形態に係る許可デバイスの場合の通信処理システム200の他の接続状態を示す図である。図8Bにおいては、認可されたデバイス824が使用するアプリが制限されている場合である。 Figure 8B is a diagram showing another connection state of the communication processing system 200 in the case of an authorized device according to this embodiment. In Figure 8B, the apps used by the authorized device 824 are restricted.

認可されたデバイス824に対応付けられた通信ポリシーでは、アプリbは使用できるがアプリaは使用できず、接続してデータを転送できるサーバも選択されている。この場合、使用できるアプリと接続できるサーバとは、それぞれ独立に設定されていてもよいが、使用するアプリとサーバとの関連がある場合は、組み合わされた通信ポリシーとなる。例えば、アプリにおける処理が機密性を問わない処理であれば重要なデータを有するサーバに送ることは制限されることになる。 In the communication policy associated with the authorized device 824, app b can be used but app a cannot be used, and a server to which data can be connected and transferred is also selected. In this case, the apps that can be used and the servers that can be connected may be set independently of each other, but if there is a relationship between the app to be used and the server, a combined communication policy will be created. For example, if the processing in the app does not require confidentiality, sending to a server that contains important data will be restricted.

なお、図7A~図8Bに示した、通信ポリシーは本実施形態のほんの一部であり、様々なポリシーとその組み合わせが設定可能である。 Note that the communication policies shown in Figures 7A to 8B are only a part of this embodiment, and various policies and their combinations can be set.

《管理サーバ》
以下、図9A~図10Dを参照して、管理サーバ240の構成および動作について説明する。 《Management Server》
The configuration and operation of the management server 240 will be described below with reference to FIGS. 9A to 10D.

(管理サーバの機能構成)
図9Aは、本実施形態に係る管理サーバ240の機能構成を示すブロック図である。 (Management Server Functionality Configuration)
FIG. 9A is a block diagram showing the functional configuration of the management server 240 according to this embodiment.

管理サーバ240は、通信制御部901と、ゲートウェイ処理テーブル設定部902と、ゲートウェイ管理データベース903と、ゲートウェイ処理取得部904と、ゲートウェイステータス取得部905と、を備える。また、管理サーバ240は、操作部906と、表示部907と、を備える。 The management server 240 includes a communication control unit 901, a gateway processing table setting unit 902, a gateway management database 903, a gateway processing acquisition unit 904, and a gateway status acquisition unit 905. The management server 240 also includes an operation unit 906 and a display unit 907.

通信制御部901は、通信処理装置210との通信を制御する。また、管理サーバ240が操作用PCと接続されて遠隔操作される場合には、操作用PCとの通信を制御する。ゲートウェイ処理テーブル設定部902は、ゲートウェイ管理データベース903に格納された各ゲートウェイの通信制御に対応するゲートウェイ処理テーブルを通信処理装置210に設定する。ここで、ゲートウェイ処理テーブルは、図3Aの通信処理テーブル304に相当する。ゲートウェイ管理データベース903は、管理サーバ240が管理する各ゲートウェイのゲートウェイ処理テーブルを、ゲートウェイIDに対応付けて格納する。また、ゲートウェイ管理データベース903は、通信処理装置210から送信された処理情報やステータス情報を、ゲートウェイIDに対応付けて格納する。 The communication control unit 901 controls communication with the communication processing device 210. In addition, when the management server 240 is connected to an operation PC and remotely operated, it controls communication with the operation PC. The gateway processing table setting unit 902 sets a gateway processing table corresponding to the communication control of each gateway stored in the gateway management database 903 in the communication processing device 210. Here, the gateway processing table corresponds to the communication processing table 304 in FIG. 3A. The gateway management database 903 stores the gateway processing table of each gateway managed by the management server 240 in association with the gateway ID. In addition, the gateway management database 903 stores processing information and status information sent from the communication processing device 210 in association with the gateway ID.

ゲートウェイ処理取得部904は、通信処理装置210から通信処理の履歴を取得する。ゲートウェイステータス取得部905は、通信処理装置210のステータスを取得する。なお、通信処理装置210から管理サーバ240に通知される、未認証デバイスの接続による全サーバ遮断の緊急通知もゲートウェイステータス取得部905で取得されてよい。なお、全サーバ遮断の緊急通知は、通常のステータス通知とは異なるインタラプトであってもよい。 The gateway processing acquisition unit 904 acquires the history of communication processing from the communication processing device 210. The gateway status acquisition unit 905 acquires the status of the communication processing device 210. Note that the gateway status acquisition unit 905 may also acquire an emergency notification of all servers being blocked due to the connection of an unauthenticated device, which is notified to the management server 240 from the communication processing device 210. Note that the emergency notification of all servers being blocked may be an interrupt different from the normal status notification.

操作部906は、通信処理装置210に設定するためにゲートウェイ管理データベース903に格納するデータの設定操作、あるいは、変更操作、削除操作などを行なう。認可デバイスや認可アプリなどの設定も、表示部907に表示されたメニューなどを見ながら、操作部906で行なわれる。また、表示部907は、通信処理装置210に設定するためにゲートウェイ管理データベース903に格納するデータの表示や、既に格納されているデータの表示や、全サーバ遮断の緊急通知の表示などを行なう。なお、操作部906と表示部907とは、操作用PCにより代行されてもよい。 The operation unit 906 performs setting operations, change operations, deletion operations, etc. of data to be stored in the gateway management database 903 to be set in the communications processing device 210. Settings of authorized devices, authorized applications, etc. are also performed on the operation unit 906 while viewing menus displayed on the display unit 907. The display unit 907 also displays data to be stored in the gateway management database 903 to be set in the communications processing device 210, data that has already been stored, and emergency notifications of all server shutdowns. The operation unit 906 and display unit 907 may be substituted by an operation PC.

なお、管理サーバ240がゲートウェイとしての通信処理装置210の通信接続を制御する場合は、管理サーバ240に図2の通信処理部211に相当する機能構成部が含まれ、通信処理装置210の各機能構成部を制御する構成となる。 When the management server 240 controls the communication connection of the communication processing device 210 as a gateway, the management server 240 includes a functional component equivalent to the communication processing unit 211 in FIG. 2, and is configured to control each functional component of the communication processing device 210.

図9Bは、本実施形態に係るゲートウェイ管理データベース903の構成を示す図である。なお、図9Bにおいて、図3Bと同様の構成要素には同じ参照番号を付して、説明を省略する。 Figure 9B is a diagram showing the configuration of the gateway management database 903 according to this embodiment. Note that in Figure 9B, the same components as those in Figure 3B are given the same reference numbers and will not be described.

図9Bにおいて、ゲートウェイ管理テーブル910は、各ゲートウェイIDに対応して、図3Bの各テーブル341~344を格納する。各テーブル341~344については、図3Bを参照して前述したので、重複する説明を省略する。また、ゲートウェイ履歴テーブル920は、各ゲートウェイIDに対応して、デバイス接続履歴、アプリ接続履歴、サーバ接続履歴などを格納する。 In FIG. 9B, the gateway management table 910 stores the tables 341 to 344 in FIG. 3B in correspondence with each gateway ID. Each of the tables 341 to 344 has been described above with reference to FIG. 3B, so duplicate explanations will be omitted. Additionally, the gateway history table 920 stores device connection history, app connection history, server connection history, etc. in correspondence with each gateway ID.

《可視化された管理モニタ》
図10Aは、本実施形態に係る可視化された管理モニタの概念を示す図である。 <<Visualized Management Monitor>>
FIG. 10A is a diagram showing the concept of a visualized management monitor according to this embodiment.

図10Aの表示画面1010においては、異常表示として、時系列の発生イベントが表示部907に表示されている。また、設定メニューとして、ゲートウェイ管理データベース903に格納されるゲートウェイ管理テーブルの種類が表示されている。これらの設定メニューを選択すれば、現在の設定情報がそれぞれ紐付けられて表示される。その設定情報は、操作部906からの指示入力による、追加、変更、削除が可能である。 In the display screen 1010 of FIG. 10A, a chronological sequence of events occurring is displayed on the display unit 907 as an abnormality display. In addition, the types of gateway management tables stored in the gateway management database 903 are displayed as setting menus. When one of these setting menus is selected, the current setting information is displayed in association with each of them. The setting information can be added, changed, or deleted by inputting instructions from the operation unit 906.

(アプリの設定)
図10B~図10Dは、本実施形態に係る可視化された管理モニタの表示画面例を示す図である。なお、図10B~図10Dのアプリの設定は、可視化された管理モニタによる処理の迅速化および効率化を示す一例であって、他の設定および変更、あるいは、監視や予防における処理の迅速化および効率化も実現できることは明らかである。 (App settings)
10B to 10D are diagrams showing examples of the display screen of the visualized management monitor according to this embodiment. Note that the application settings in Fig. 10B to 10D are examples showing the speed-up and efficiency of processing by the visualized management monitor, and it is clear that other settings and changes, or speed-up and efficiency of processing in monitoring and prevention, can also be realized.

図10Bは、種々の設定・確認メニューの表示画面1020を示す図である。図10Bの表示画面1020において、通信未許可アプリ一覧メニュー1021を選択すると、図10Cの通信未許可アプリ一覧の表示画面1030が表示される。 FIG. 10B is a diagram showing a display screen 1020 of various setting and confirmation menus. When a communication-unauthorized application list menu 1021 is selected on the display screen 1020 of FIG. 10B, a communication-unauthorized application list display screen 1030 of FIG. 10C is displayed.

図10Cの通信未許可アプリ一覧の表示画面1030から通信許可したい行1031をクリックすると、図10Dの表示画面1040のように、ポップアップ表示1041が行なわれる。 When you click on the row 1031 for which you want to allow communication from the display screen 1030 of the list of applications that are not permitted to communicate in Figure 10C, a pop-up display 1041 will appear, as shown in display screen 1040 in Figure 10D.

図10Dのポップアップ表示1041で、許可したい特定通信1042を選択して、通信許可1043を選択すると、特定通信を許可できる。 In the pop-up display 1041 in FIG. 10D, you can allow specific communication by selecting the specific communication 1042 you want to allow and selecting communication permission 1043.

本実施形態によれば、デバイスの接続が許可されていないと判定した場合、または、デバイスの接続が許可されていると判定した場合に、デバイスとサーバとの接続を状況により種々に制御可能とすることにより、フレキシビリティを持たせてデバイスからサーバ(クラウド)まで安全な接続を担保できる。 According to this embodiment, when it is determined that the device connection is not permitted or when it is determined that the device connection is permitted, the connection between the device and the server can be controlled in various ways depending on the situation, thereby providing flexibility and ensuring a secure connection from the device to the server (cloud).

また、デバイスを制御するアプリケーションの接続を状況により種々に制御可能とすることにより、より適切な制御をデバイスからサーバ(クラウド)まで安全な接続を担保できる。 In addition, by making it possible to control the connection of the application that controls the device in various ways depending on the situation, more appropriate control can be achieved and a secure connection can be ensured from the device to the server (cloud).

さらに、管理サーバにおけるGUI(Graphical User Interface)によりデバイスからネットワークまでの通信可視化を実現して、ネットワーク脅威への対処や管理の迅速化および効率化を図ることができる。サーバへの全ネットワーク接続を遮断する場合には、管理サーバへの緊急通知を行なうことにより、管理の遅延を防ぐことができる。 In addition, the management server's GUI (Graphical User Interface) makes it possible to visualize communications from devices to the network, facilitating faster and more efficient responses to and management of network threats. If all network connections to the server need to be cut off, an emergency notification can be sent to the management server to prevent delays in management.

すなわち、非IP系のUSB/Bluetooth(登録商標)デバイスが接続された場合でも、デバイスやネットワーク通信の制御によりデバイスからクラウドまで安全な接続を担保できる。また、機器認証リストの照合により許可デバイスの有無を判定し、さらにホスト側に搭載されたネットワーク通信制御処理(端末オープンフロー)にて細かな通信フィルタリング処理により、デバイスやネットワーク側のセキュリティ性を向上させる
[他の実施形態]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解し得る様々な変更をすることができる。また、それぞれの実施形態に含まれる別々の特徴を如何様に組み合わせたシステムまたは装置も、本発明の範疇に含まれる。 That is, even if a non-IP USB/Bluetooth (registered trademark) device is connected, a secure connection from the device to the cloud can be guaranteed by controlling device and network communications. In addition, the presence or absence of an authorized device is determined by checking against the device authentication list, and the network communication control process (Terminal OpenFlow) installed on the host side performs detailed communication filtering to improve the security of the device and network side. [Other embodiments]
Although the present invention has been described above with reference to the embodiments, the present invention is not limited to the above embodiments. Various modifications that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention. In addition, systems or devices that combine separate features included in each embodiment in any way are also included in the scope of the present invention.

また、本発明は、複数の機器から構成されるシステムに適用されてもよいし、単体の装置に適用されてもよい。さらに、本発明は、実施形態の機能を実現する制御プログラムが、システムあるいは装置に直接あるいは遠隔から供給される場合にも適用可能である。したがって、本発明の機能をコンピュータで実現するために、コンピュータにインストールされるプログラム、あるいはそのプログラムを格納した媒体、そのプログラムをダウンロードさせるWWW(World Wide Web)サーバも、本発明の範疇に含まれる。特に、少なくとも、上述した実施形態に含まれる処理ステップをコンピュータに実行させるプログラムを格納した非一時的コンピュータ可読媒体(non-transitory computer readable medium)は本発明の範疇に含まれる。 The present invention may be applied to a system consisting of multiple devices, or to a single device. Furthermore, the present invention may also be applied to a case where a control program that realizes the functions of the embodiments is supplied directly or remotely to a system or device. Therefore, the scope of the present invention also includes a program that is installed on a computer to realize the functions of the present invention on a computer, a medium that stores the program, and a WWW (World Wide Web) server that allows the program to be downloaded. In particular, the scope of the present invention includes at least a non-transitory computer readable medium that stores a program that causes a computer to execute the processing steps included in the above-mentioned embodiments.

Claims (8)

非IP系接続により通信を行うデバイスと、IP系接続により通信を行うサーバと、の第1の対応付けを記憶する記憶部と、
前記第1の対応付けに基づいて、前記デバイスからのデータを前記サーバに送信するデータ送信部と、
を備え、
前記記憶部は、
(i)接続が許可されている許可デバイスを示す情報と、
(ii)前記許可デバイスからのデータを送信するアプリケーションと、前記アプリケーションを用いることのできる前記許可デバイスとの第2の対応付けと、
をさらに記憶し、
前記データ送信部は、
前記情報に基づいて接続が許可されている許可デバイスからのデータについては、前記アプリケーションを用いて前記サーバに送信し、接続が許可されていない不許可デバイスからのデータについては、前記アプリケーションを用いた前記サーバへの送信を行わない通信処理装置。 a storage unit that stores a first association between a device that communicates via a non-IP connection and a server that communicates via an IP connection;
a data transmission unit that transmits data from the device to the server based on the first association;
Equipped with
The storage unit is
(i) information indicating authorized devices that are authorized to connect;
(ii) a second association between an application that transmits data from the authorized device and the authorized device that can use the application ;
Further storing
The data transmission unit is
A communications processing device that transmits data from an authorized device that is permitted to connect based on the information to the server using the application , and does not transmit data from an unauthorized device that is not permitted to connect to the server using the application . 前記記憶部は、前記第2の対応付けとして、前記許可デバイスからのデータの取得およびネットワークを介した前記サーバへの送信を行うアプリケーションと前記許可デバイスとの対応付けを記憶し、さらに、前記サーバと前記アプリケーションとの第3の対応付けを記憶し、
前記データ送信部は、前記第1から前記第3の対応付け基づいて、前記許可デバイスからのデータを前記サーバに送信する請求項1に記載の通信処理装置。 the storage unit stores, as the second association, an association between an application that acquires data from the authorized device and transmits the data to the server via a network and the authorized device, and further stores a third association between the server and the application;
The communication processing device according to claim 1 , wherein the data transmission unit transmits data from the authorized device to the server based on the first to third associations. 前記記憶部は、前記第2の対応付けとして、前記許可デバイスと、当該許可デバイスからのデータの取得およびネットワークを介した前記サーバへの送信を行うアプリケーションとの対応付けを記憶し、
前記データ送信部は、前記第2の対応付けに基づいて、前記許可デバイスからのデータを前記サーバに送信する請求項1に記載の通信処理装置。 the storage unit stores, as the second association, an association between the authorized device and an application that acquires data from the authorized device and transmits data to the server via a network;
The communication processing device according to claim 1 , wherein the data transmission unit transmits data from the authorized device to the server based on the second association. 前記サーバは、第1サーバと第2サーバとを含み、
前記記憶部は、前記第1の対応付けとして、前記デバイスと、前記第1サーバおよび前記第2サーバと、の対応付けを記憶し、
前記データ送信部は、前記第1の対応付けに基づいて、前記許可デバイスからのデータを前記第1サーバおよび前記第2サーバに送信する請求項1に記載の通信処理装置。 The servers include a first server and a second server;
the storage unit stores, as the first association, an association between the device, and the first server and the second server;
The communication processing device according to claim 1 , wherein the data transmission unit transmits data from the authorized device to the first server and the second server based on the first association. 前記デバイスは、第1デバイスと第2デバイスとを含み、
前記記憶部は、前記第1の対応付けとして、前記第1デバイスおよび前記第2デバイスと、前記サーバと、の対応付けを記憶し、
前記データ送信部は、前記第1の対応付けに基づいて、前記第1デバイスおよび第2デバイスからのデータを前記サーバに送信する請求項1に記載の通信処理装置。 The devices include a first device and a second device,
the storage unit stores, as the first association, an association between the first device and the second device, and the server;
The communication processing device according to claim 1 , wherein the data transmission unit transmits data from the first device and the second device to the server based on the first association. 前記デバイスは、第1デバイスと第2デバイスとを含み、
前記サーバは、第1サーバと第2サーバとを含み、
前記記憶部は、前記第1の対応付けとして、前記第1デバイスと前記第1サーバとの対応付けと、前記第2デバイスと前記第2サーバとの対応付けとを記憶し、
前記データ送信部は、前記第1の対応付けに基づいて、前記第1デバイスからのデータを前記第1サーバに送信し、前記第2デバイスからのデータを前記第2サーバに送信する請求項1に記載の通信処理装置。 The devices include a first device and a second device,
The servers include a first server and a second server;
the storage unit stores, as the first association, an association between the first device and the first server and an association between the second device and the second server;
The communication processing device according to claim 1 , wherein the data transmission unit transmits data from the first device to the first server and transmits data from the second device to the second server based on the first association. 非IP系接続により通信を行うデバイスと、IP系接続により通信を行うサーバと、の第1の対応付けに基づいて、前記デバイスからのデータを前記サーバに送信する送信ステップを含み、
前記送信ステップにおいては、接続が許可されている許可デバイスからのデータについては、前記許可デバイスに対応付けられたアプリケーションを用いて前記サーバに送信し、接続が許可されていない不許可デバイスからのデータについては、前記アプリケーションを用いた前記サーバへの送信を行わない通信処理方法。 a transmission step of transmitting data from a device that communicates via a non-IP connection to a server that communicates via an IP connection based on a first association between the device and the server,
A communication processing method in which, in the transmitting step, data from an authorized device that is permitted to connect is transmitted to the server using an application corresponding to the authorized device , and data from an unauthorized device that is not permitted to connect is not transmitted to the server using the application . 非IP系接続により通信を行うデバイスと、IP系接続により通信を行うサーバと、の第1の対応付けに基づいて、前記デバイスからのデータを前記サーバに送信する送信ステップをコンピュータに実行させる通信処理プログラムであって、
前記送信ステップにおいては、接続が許可されている許可デバイスからのデータについては、前記許可デバイスに対応付けられたアプリケーションを用いて前記サーバに送信し、接続が許可されていない不許可デバイスからのデータについては、前記アプリケーションを用いた前記サーバへの送信を行わない通信処理プログラム。 A communication processing program that causes a computer to execute a transmission step of transmitting data from a device that communicates via a non-IP connection to a server that communicates via an IP connection, based on a first association between the device and the server, the communication processing program comprising:
A communication processing program in which, in the transmitting step, data from an authorized device that is permitted to be connected is transmitted to the server using an application corresponding to the authorized device , and data from an unauthorized device that is not permitted to be connected is not transmitted to the server using the application .
JP2022116418A 2020-04-15 2022-07-21 COMMUNICATION PROCESSING METHOD, COMMUNICATION PROCESSING DEVICE, AND COMMUNICATION PROCESSING PROGRAM Active JP7491348B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2022116418A JP7491348B2 (en) 2020-04-15 2022-07-21 COMMUNICATION PROCESSING METHOD, COMMUNICATION PROCESSING DEVICE, AND COMMUNICATION PROCESSING PROGRAM
JP2024033273A JP2024063182A (en) 2020-04-15 2024-03-05 Communication processing system, communication processing method, communication processing device, communication management device, and their control method and control program

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2020072861A JP7111125B2 (en) 2020-04-15 2020-04-15 COMMUNICATION PROCESSING SYSTEM, COMMUNICATION PROCESSING DEVICE, CONTROL METHOD AND CONTROL PROGRAM
JP2022116418A JP7491348B2 (en) 2020-04-15 2022-07-21 COMMUNICATION PROCESSING METHOD, COMMUNICATION PROCESSING DEVICE, AND COMMUNICATION PROCESSING PROGRAM

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2020072861A Division JP7111125B2 (en) 2020-04-15 2020-04-15 COMMUNICATION PROCESSING SYSTEM, COMMUNICATION PROCESSING DEVICE, CONTROL METHOD AND CONTROL PROGRAM

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2024033273A Division JP2024063182A (en) 2020-04-15 2024-03-05 Communication processing system, communication processing method, communication processing device, communication management device, and their control method and control program

Publications (2)

Publication Number Publication Date
JP2022141860A JP2022141860A (en) 2022-09-29
JP7491348B2 true JP7491348B2 (en) 2024-05-28

Family

ID=71778736

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2020072861A Active JP7111125B2 (en) 2020-04-15 2020-04-15 COMMUNICATION PROCESSING SYSTEM, COMMUNICATION PROCESSING DEVICE, CONTROL METHOD AND CONTROL PROGRAM
JP2022116418A Active JP7491348B2 (en) 2020-04-15 2022-07-21 COMMUNICATION PROCESSING METHOD, COMMUNICATION PROCESSING DEVICE, AND COMMUNICATION PROCESSING PROGRAM
JP2024033273A Pending JP2024063182A (en) 2020-04-15 2024-03-05 Communication processing system, communication processing method, communication processing device, communication management device, and their control method and control program

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2020072861A Active JP7111125B2 (en) 2020-04-15 2020-04-15 COMMUNICATION PROCESSING SYSTEM, COMMUNICATION PROCESSING DEVICE, CONTROL METHOD AND CONTROL PROGRAM

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2024033273A Pending JP2024063182A (en) 2020-04-15 2024-03-05 Communication processing system, communication processing method, communication processing device, communication management device, and their control method and control program

Country Status (1)

Country Link
JP (3) JP7111125B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004153344A (en) 2002-10-28 2004-05-27 Ipsquare Inc Information processing apparatus and method therefor
JP2007318289A (en) 2006-05-24 2007-12-06 Nippon Telegr & Teleph Corp <Ntt> Network system for collecting measurement data through wireless communication
JP2014222507A (en) 2009-11-19 2014-11-27 クアルコム,インコーポレイテッド Virtual peripheral hub device and system
JP2015115832A (en) 2013-12-12 2015-06-22 富士通株式会社 Relay device, relay control method, and relay control program
JP2017175264A (en) 2016-03-22 2017-09-28 日本電気株式会社 Relay device, communication system, relay method and relay program

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003030138A (en) 2001-07-11 2003-01-31 Mitsubishi Electric Corp Internet connection system, managing sever device, internet connecting method, and program making computer implement the method
US20080117918A1 (en) 2004-10-22 2008-05-22 Satoshi Kobayashi Relaying Apparatus and Network System
JP6193147B2 (en) 2014-02-17 2017-09-06 Kddi株式会社 Firewall device control device and program
JP2016034116A (en) 2014-07-31 2016-03-10 Kddi株式会社 Path setting device, path setting method, path setting program, and communication system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004153344A (en) 2002-10-28 2004-05-27 Ipsquare Inc Information processing apparatus and method therefor
JP2007318289A (en) 2006-05-24 2007-12-06 Nippon Telegr & Teleph Corp <Ntt> Network system for collecting measurement data through wireless communication
JP2014222507A (en) 2009-11-19 2014-11-27 クアルコム,インコーポレイテッド Virtual peripheral hub device and system
JP2015115832A (en) 2013-12-12 2015-06-22 富士通株式会社 Relay device, relay control method, and relay control program
JP2017175264A (en) 2016-03-22 2017-09-28 日本電気株式会社 Relay device, communication system, relay method and relay program

Also Published As

Publication number Publication date
JP2022141860A (en) 2022-09-29
JP2020115681A (en) 2020-07-30
JP7111125B2 (en) 2022-08-02
JP2024063182A (en) 2024-05-10

Similar Documents

Publication Publication Date Title
JP5062967B2 (en) Network access control method and system
JP6069717B2 (en) Application state sharing in firewall clusters
EP2523403B1 (en) Network system and network redundancy method
US7085827B2 (en) Integrated service management system for remote customer support
WO2016013200A1 (en) Information processing system and network resource management method
US20060208871A1 (en) Screen sharing
CN108965123A (en) A kind of link switch-over method and network communicating system
US10721209B2 (en) Timing management in a large firewall cluster
US20230208682A1 (en) Securing a connection from a device to a server
JP5445262B2 (en) Quarantine network system, quarantine management server, remote access relay method to virtual terminal and program thereof
US11381419B2 (en) Communication network
JP6407598B2 (en) Relay device, relay method, and relay program
JP7491348B2 (en) COMMUNICATION PROCESSING METHOD, COMMUNICATION PROCESSING DEVICE, AND COMMUNICATION PROCESSING PROGRAM
CN115134141B (en) Micro-service container cluster cross-network communication system and communication method thereof
KR101747032B1 (en) Modular controller in software defined networking environment and operating method thereof
US20130136130A1 (en) Relay server and relay communication system
JP2016082555A (en) Communication device and heterogeneous communication control method and method for eliminating expertise of operation management
JP6888179B1 (en) Information processing device and information processing method
EP4123976A1 (en) Logical network constructing system, gateway apparatus, controller, and logical network constructing method
WO2021157154A1 (en) Information processing device and information processing method
JP2016127298A (en) Communication equipment
CN117044182A (en) Using an out-of-band communication channel between process automation nodes
JP2013206295A (en) Server management system, blade server system, server management method, and server management program
CN115701031A (en) Service processing method and related device
JP2017168988A (en) Communication device, communication system, and communication method

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220810

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220810

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230628

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230704

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230904

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20231205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240305

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20240313

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240416

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240429

R150 Certificate of patent or registration of utility model

Ref document number: 7491348

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150