KR100969906B1 - Network system - Google Patents
Network system Download PDFInfo
- Publication number
- KR100969906B1 KR100969906B1 KR1020087016557A KR20087016557A KR100969906B1 KR 100969906 B1 KR100969906 B1 KR 100969906B1 KR 1020087016557 A KR1020087016557 A KR 1020087016557A KR 20087016557 A KR20087016557 A KR 20087016557A KR 100969906 B1 KR100969906 B1 KR 100969906B1
- Authority
- KR
- South Korea
- Prior art keywords
- equipment
- access
- lan
- identifier
- server
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 네트워크 시스템에 관한 것으로서, LAN 내에서의 시큐어 통신을 안정적으로 실현하기 위한 네트워크 시스템을 제공한다. 이 시스템은, 인터넷 등의 WAN과, WAN에 로컬 서버를 통하여 접속되는 LAN과, LAN 및 WAN에 접속되는 복수개의 설비 기기를 포함하고, 로컬 서버가, LAN 내의 모든 설비 기기의 오브젝트에 부여된 식별자를 취득하여, WAN에 접속된 센터 서버에 통지한다. 센터 서버에는, 모든 설비 기기에 대하여 설비 기기끼리의 액세스의 승인에 관한 식별자의 대응 관계가 기억되어 있고, 상기 통지에 대응하여, LAN 내의 설비 기기끼리의 액세스의 승인에 관한 식별자의 대응 관계만이 추출되고, 로컬 서버에 설정된다.The present invention relates to a network system, and provides a network system for stably realizing secure communication in a LAN. This system includes a WAN such as the Internet, a LAN connected to the WAN through a local server, and a plurality of equipment connected to the LAN and the WAN, wherein the local server is assigned to an object of all the equipments in the LAN. Is obtained and notified to the center server connected to the WAN. In the center server, correspondence relations of the identifiers for the approval of access of the equipments are stored for all the equipments, and only the correspondence relations of the identifiers for the approval of the access of the equipments in the LAN are corresponding to the notification. Is extracted and set on the local server.
Description
본 발명은, 설비 기기 사이에서 시큐어 통신을 실현하기 위한 네트워크 시스템에 관한 것이다.The present invention relates to a network system for realizing secure communication between equipment.
종래, 네트워크 시스템에 의해 시큐어 통신을 실현하기 위해, 통신 기기 사이에 액세스 요구가 있을 경우에, 액세스를 허가할지의 여부의 인증 처리를 인증 서버로 행하는 것이 제안되어 있다.Background Art Conventionally, in order to realize secure communication by a network system, when an access request is made between communication devices, it has been proposed to perform authentication processing on whether to permit access to the authentication server.
예를 들면, 일본 공개 특허 공보 평10-49443호에 기재된 정보 처리 시스템에 의하면, 클라이언트 오브젝트와 타깃 오브젝트 사이에 통신 리퀘스트가 있으면, 클라이언트 오브젝트는, ID와 패스워드를 서비스 가능 서버(service capability server)에 제시한다. 서비스 가능 서버는 서비스 가능 리스트를 검색하여, 리퀘스트된 통신을 허가하는 경우는, 서비스 가능 서버가 클라이언트 오브젝트에 서비스 가능 티켓을 발행하고, 클라이언트 오브젝트와 타깃 오브젝트 사이의 통신이 실현된다.For example, according to the information processing system described in JP-A-10-49443, if there is a communication request between the client object and the target object, the client object sends the ID and password to a service capability server. present. When the serviceable server retrieves the serviceable list and permits the requested communication, the serviceable server issues a serviceable ticket to the client object, and communication between the client object and the target object is realized.
또한, 일본 공개 특허 공보 2004-21666호에 기재된 네트워크 시스템은, 도 18에 나타낸 바와 같이, 각종 서비스를 제공하는 기기(120), 데이터 기록용의 기록 매체(130) 및 사용자 단말기(110) 등이 접속되는 내부 네트워크(140)와, 인터넷 등 의 외부 네트워크(150)와 내부 네트워크(140) 사이에 접속되는 홈 서버(100)와, 외부 네트워크(150)에 접속되는 홈 서버 업자용의 단말기(160)로 주로 구성된다.In addition, as shown in FIG. 18, the network system described in Japanese Laid-Open Patent Publication No. 2004-21666 includes a
홈 서버(100)는, 내부 네트워크(140) 내에 접속되는 사용자 단말기(110), 기기(120) 및 기록 매체(130)의 관리를 행한다. 즉, 홈 서버(100)는, 이들 상호간에 송수신되는 제어 신호를 취사 선택한다. 또한, 홈 서버는, 외부 네트워크(150)로부터 요구되는 부정한 액세스를 거절하는 방화벽(fire wall)의 기능을 가진다. 즉, 외부 네트워크(150)로부터 내부 네트워크(140)로의 제어 신호를 소정 조건에 따라 취사 선택한다. 이와 같이, 홈 서버(100)는, 내부 네트워크(140)에 접속된 복수개의 기기 사이에서의 제어 신호, 및 외부 네트워크(150)로부터 복수개의 기기로의 제어 신호를 소정 조건에 기초하여 취사 선택하는 제어 신호 취사 선택 기능을 구비하고 있다.The
한편, 홈 서버 업자용 단말기(160)는, 외부 네트워크(150)를 통해 홈 서버 업자가 홈 서버(100)의 제어 신호의 취사 선택에 사용하는 소정 조건 등의 네트워크 설정을 행하기 위한 단말기이다. 사용자 단말기(110) 또는 홈 서버(100)에는, 이 소정 조건의 설정을 단말기(160)에 대하여 요구하는 설정 요구 입력 수단이 설치되어 있다. 이 설정 요구 입력 수단을 통하여, 사용자는 소정 조건을 어떻게 설정하고 싶은지를 입력하고, 입력된 설정 요구가 홈 서버(100)를 통하여 단말기(160)에 송신되면, 단말기(160)는 이 설정 요구에 대응하는 정보를 홈 서버(100)에 회신하고, 이 정보에 기초하여 홈 서버(100)에는 소정 조건이 설정된다. 이에 따라, 높은 보안 수준과 사용 편리성이 양호한 점을 양립시킨 네트워크 시스템을 실현하고 있다.On the other hand, the home
그러나, 전자의 선행 기술에서는, 서비스 가능 서버 하에서 관리되는 클라이언트 오브젝트 및 타깃 오브젝트의 개수가 많아짐에 따라, 클라이언트 오브젝트와 타깃 오브젝트의 ID나 패스워드 등, 액세스의 인증 처리에 필요한 정보의 기억량이 증대할 뿐만 아니라, 복수개의 액세스 요구가 집중할 경우에는, 서비스 가능 서버에서의 정보 처리의 부담이 커지고, 액세스 요구에 대한 응답성이 저하될 우려가 있다. 또한, 서비스 가능 서버가 다운된 경우에는, 클라이언 오브젝트와 타깃 오브젝트 사이의 인증 처리를 행할 수 없게 된다.However, in the former prior art, as the number of client objects and target objects managed under the serviceable server increases, the amount of storage of information required for access authentication processing, such as IDs and passwords of client objects and target objects, increases. On the other hand, when a plurality of access requests are concentrated, there is a possibility that the burden of information processing on the service enabled server is increased and the responsiveness to the access request is lowered. In addition, when the serviceable server is down, authentication processing between the client object and the target object cannot be performed.
또한, 후자의 선행 기술에서는, 내부 네트워크(140)에 접속된 복수개의 기기 사이에서의 제어 신호, 및 외부 네트워크(150)로부터 복수개의 기기로의 제어 신호를 취사 선택하기 위한 소정 조건을 변경할 때마다, 사용자가 사용자 단말기(110) 또는 홈 서버(100)에 설치한 설정 요구 입력 수단을 사용하여 갱신을 실시해야만 하므로, 작업이 번거로운 문제가 있다.Further, in the latter prior art, whenever a control condition between a plurality of devices connected to the
그래서, 본 발명은, 전술한 문제점을 감안하여 이루어진 것이며, 그 목적으로 하는 바는, 인터넷과 같은 WAN(광역 통신망)이 다운되더라도, LAN(로컬 영역 통신망) 내에서는 시큐어 통신을 행할 수 있는 환경을 확보할 수 있고, 또한 LAN 내에서의 설비 기기의 환경 설정에 변경이 있을 때, LAN 내에서의 설비 기기끼리의 액세스를 허가할지의 여부의 인증 처리에 필요한 정보를 자동적으로 갱신할 수 있는 네트워크 시스템을 제공하는 것에 있다.Accordingly, the present invention has been made in view of the above-described problems, and an object thereof is to provide an environment in which secure communication can be performed within a local area network (LAN) even if a wide area network (WAN) such as the Internet is down. A network system that can be secured and can automatically update information required for authentication processing of whether or not to permit access of equipments within a LAN when there is a change in the configuration of equipments in the LAN. Is to provide.
즉, 본 발명의 네트워크 시스템은, 각각이 식별자가 부여된 오브젝트를 가지는 복수개의 설비 기기 및 로컬 서버가 접속되는 LAN과, LAN이 접속되는 WAN를 포함하고, WAN에는, 센터 서버 및 식별자가 부여된 오브젝트를 가지는 적어도 하나의 설비 기기가 접속되고, 설비 기기 중 하나가 설비 기기 중 다른 하나에 대하여, 상기 식별자를 사용하여 오브젝트의 실행 요구를 행할 수 있는 네트워크 시스템으로서,That is, the network system of the present invention includes a plurality of equipments each having an object to which an identifier is assigned, a LAN to which a local server is connected, and a WAN to which a LAN is connected, wherein a WAN is provided with a center server and an identifier. A network system in which at least one equipment having an object is connected, wherein one of the equipments can make an execution request of an object by using the identifier with respect to the other of the equipments.
센터 서버는, LAN에 접속된 설비 기기 및 WAN에 접속된 설비 기기에 대하여, 설비 기기끼리의 액세스의 승인에 관한 식별자의 대응 관계가 설정되는 센터 기억부를 포함하고, LAN 내의 설비 기기의 식별자 정보를 로컬 서버로부터 받으면, 상기 식별자 정보에 기초하여, 센터 기억부에 기억된 식별자의 대응 관계 중, LAN 내의 설비 기기끼리의 액세스의 승인에 관한 식별자의 대응 관계만을 추출하여 로컬 서버에 송신하고,The center server includes a center storage unit in which correspondences of identifiers relating to the approval of access between the equipments are set for the equipments connected to the LAN and the equipments connected to the WAN. If received from the local server, based on the identifier information, only the correspondence of the identifier relating to the approval of the access between the equipments in the LAN is extracted from the correspondence between the identifiers stored in the center storage unit, and transmitted to the local server.
로컬 서버는, 상기 센터 서버로부터 수신한 상기 식별자의 대응 관계를 기억하는 로컬 기억부와, 설비 기기 중 하나가 설비 기기 중 다른 하나에 오브젝트의 실행 요구를 행할 때, 오브젝트의 실행 요구가 LAN 내에서의 설비 기기끼리의 액세스인지의 여부, 및 상기 액세스를 허가할지의 여부에 대하여 로컬 기억부의 설정 내용에 따라 판정하는 조회부를 구비하고,The local server stores a local storage unit that stores the correspondence relationship between the identifiers received from the center server, and when one of the equipments makes a request for executing the object to the other of the equipments, the execution request of the objects is in the LAN. And an inquiry unit for judging whether or not the facilities of the respective devices are to be accessed and whether or not to permit the access according to the setting contents of the local storage unit.
조회부는, 오브젝트의 실행 요구가 LAN 내에서의 설비 기기끼리의 액세스이며, 상기 액세스를 허가한다고 판정할 때, 로컬 서버로부터 액세스 허가 신호가 출력되고, 설비 기기 중 하나로부터 요구된 오브젝트가 설비 기기 중 다른 하나에 의해 실행되는 것을 특징으로 한다.The inquiring unit outputs an access permission signal from a local server when determining that the execution request of the object is access between equipments in the LAN, and permits the access, and the object requested from one of the equipments is in the equipment. It is characterized by being executed by the other.
그리고, 상기 네트워크 시스템에서, WAN에 접속되는 적어도 하나의 설비 기기는, WAN에 직접 접속되는 설비 기기(도 1 참조)라도 되고, 다른 LAN에 설치한 로컬 서버(게이트웨이)를 통하여 간접적으로 WAN에 접속되는 설비 기기(도 6 참조)라도 된다.In the network system, at least one equipment connected to the WAN may be equipment directly connected to the WAN (see FIG. 1) or indirectly connected to the WAN through a local server (gateway) installed in another LAN. The equipment may be used (see FIG. 6).
전술한 네트워크 시스템에서, 조회부는, 오브젝트의 실행 요구가 LAN 내에서의 설비 기기끼리의 액세스가 아닌 것으로 판정할 때, 오브젝트의 실행 요구에 이용된 식별자가 로컬 서버로부터 센터 서버에 전송되고, 센터 서버는, 센터 기억부의 내용과 대조함으로써 상기 액세스를 허가할지의 여부를 판정하는 센터 조회부를 가지고, 상기 액세스를 허가하는 경우는, 센터 서버로부터 로컬 서버를 통하여 액세스 허가 신호가 출력되고, 설비 기기 중 하나로부터 요구된 오브젝트가 설비 기기 중 다른 하나에 의해 실행되는 것이 바람직하다. 조회부는, 오브젝트의 실행 요구가 LAN 내에서의 설비 기기끼리의 액세스가 아닌 것으로 판정하는 경우에, 즉시 액세스 거부 신호를 발행해도 되지만, 전술한 바와 같이, LAN 밖의 설비 기기와 LAN 내의 설비 기기 사이의 액세스를 승인할지의 여부를 센터 서버에서 재판정함으로써, LAN 내외를 불문하고 시큐어 통신의 관리를 행할 수 있으므로, 보다 고객 만족도가 높은 네트워크 시스템을 실현할 수 있다.In the above-mentioned network system, when the inquiry section determines that the execution request of the object is not an access between facility devices in the LAN, the identifier used for the execution request of the object is transmitted from the local server to the center server, and the center server Has a center inquiry section for judging whether to permit the access by checking the contents of the center storage section, and in the case of allowing the access, an access permission signal is output from the center server through a local server, and one of the equipments is provided. It is preferable that the object requested from is executed by the other of the equipment. The inquiry unit may immediately issue an access denied signal when it is determined that the object execution request is not an access between the equipments in the LAN. However, as described above, the inquiry unit may be configured between the equipment outside the LAN and the equipment in the LAN. By judging at the center server whether or not to grant access, secure communication can be managed regardless of inside and outside of the LAN, thereby realizing a network system with higher customer satisfaction.
또한, 로컬 서버는, 사전에 LAN 내의 모든 설비 기기의 식별자의 취득을 행하고, 또한 취득한 식별자를 센터 서버로 통지하고, 이 통지에 기초하여 센터 서버로부터 추출된 LAN 내의 설비 기기끼리의 액세스의 승인에 관한 식별자의 대응 관계를 로컬 기억부에 설정하는 초기 설정 기능을 가지는 것이 바람직하다. 이 경우는, 초기 설정에서 설비 기기 측에서 WAN 측의 인증 서버의 어드레스를 설정할 필요가 없고, 번거로운 초기 설정 작업에 따른 LAN 사용자의 부담을 경감시킬 수 있다.In addition, the local server acquires the identifiers of all the equipments in the LAN in advance, and notifies the center server of the acquired identifiers, and authorizes the access of the equipments in the LANs extracted from the center server based on this notification. It is desirable to have an initial setting function for setting the correspondence of the identifiers related to the local storage. In this case, it is not necessary to set the address of the authentication server on the WAN side on the equipment side in the initial setting, and the burden on the LAN user due to the troublesome initial setting work can be reduced.
전술한 네트워크 시스템에서, 설비 기기끼리의 액세스의 인증 처리에 사용되는 식별자는, 오브젝트를 실행해야 할 설비 기기에 관한 정보를 제공하는 고유 식별자(오브젝트 식별자)와, 설비 기기에서 실행되는 오브젝트의 내용(예를 들면, 설비 기기의 현재 상태를 나타낸 변수, 설비 기기를 제어하기 위한 함수, 설비 기기 상태 변화의 발생을 나타내는 이벤트 정보)에 기초하여 정의되는 인터페이스 식별자 중 적어도 한쪽을 포함하는 것이 바람직하다. 또한, 로컬 기억부가, LAN 내의 설비 기기끼리의 액세스의 승인에 관한 식별자의 대응 관계로서, 오브젝트의 실행을 요구하는 설비 기기의 고유 식별자와, 오브젝트의 실행이 요구된 설비 기기의 고유 식별자 및 인터페이스 식별자의 조합의 대응 관계가 설정되는 테이블을 포함하는 것이 보다 바람직하다.In the above-described network system, the identifiers used for the authentication processing of accesses between equipments include unique identifiers (object identifiers) for providing information about equipments on which objects are to be executed, and contents of objects executed in equipments ( For example, it is preferable to include at least one of an interface identifier defined based on a variable indicating a current state of the equipment, a function for controlling the equipment, and event information indicating the occurrence of a change in equipment equipment. In addition, the local storage unit is a corresponding relationship between the identifiers for the approval of the access of the equipments in the LAN, and the unique identifier of the equipment to request the execution of the object, the unique identifier and the interface identifier of the equipment to which the object is requested to execute. It is more preferable to include a table in which the corresponding relation of the combination of? Is set.
또한, 조회부는, 오브젝트의 실행 요구가 LAN 내에서의 설비 기기끼리의 액세스이며, 상기 액세스를 허가한다고 판정할 때, 로컬 서버는, 액세스 허가 신호를 적어도 오브젝트의 실행을 요구하는 설비 기기에 송신하는 것이 바람직하다. 한편, 조회부는, 오브젝트의 실행 요구가 LAN 내에서의 설비 기기끼리의 액세스이지만, 상기 액세스를 허가하지 않는다고 판정할 때, 로컬 서버는, 액세스 거부 신호를 적어도 오브젝트의 실행을 요구하는 설비 기기에 송신하는 것이 바람직하다.In addition, when the inquiry unit determines that the execution request of the object is access between the facility devices in the LAN, and permits the access, the local server transmits an access permission signal to at least the facility device requesting the execution of the object. It is preferable. On the other hand, when the inquiry unit determines that the execution request of the object is access between equipments in the LAN, the access is not permitted, the local server transmits an access denied signal to at least the equipment requesting the execution of the object. It is desirable to.
또한, 센터 조회부가, 상기 액세스를 허가하지 않는다고 판정할 때, 센터 서버가 로컬 서버를 통하여 액세스 거부 신호를 적어도 오브젝트의 실행을 요구하는 설비 기기에 송신하는 것이 바람직하다.In addition, when the center inquiry unit determines that the access is not permitted, it is preferable that the center server transmits an access denied signal to at least the facility equipment requesting execution of the object via the local server.
본 발명의 새로운 특징 및 그것이 가져오는 효과는, 이하에 설명하는 발명의 실시예에 기초하여 보다 명확하게 이해될 것이다.The novel features of the present invention and the effects they bring will be more clearly understood on the basis of the embodiments of the invention described below.
도 1은 본 발명의 제1 실시예에 따른 네트워크 시스템의 개략도이다.1 is a schematic diagram of a network system according to a first embodiment of the present invention.
도 2는 상기 네트워크 시스템의 게이트웨이의 구성도이다.2 is a configuration diagram of a gateway of the network system.
도 3의 (A)는 상기 네트워크 시스템의 설비 기기의 구성도이며, (B)는 설비 기기에 탑재되는 M0S의 구성도이다.FIG. 3A is a configuration diagram of equipment of the network system, and FIG. 3B is a configuration diagram of M0S mounted on the equipment.
도 4는 게이트웨이에 액세스 허가 정보를 초기 설정하는 방법을 나타내는 흐름도이다.4 is a flowchart illustrating a method of initially setting access permission information in a gateway.
도 5는 센터 서버로부터 게이트웨이로의 액세스 허가 정보의 추출예를 나타낸 도면이다.Fig. 5 is a diagram showing an example of extracting access permission information from the center server to the gateway.
도 6은 센터 서버로부터 게이트웨이로의 액세스 허가 정보의 다른 추출예를 나타낸 도면이다.Fig. 6 is a diagram showing another example of extraction of access permission information from the center server to the gateway.
도 7은 본 발명의 네트워크 시스템의 동작을 나타낸 흐름도이다.7 is a flowchart illustrating the operation of the network system of the present invention.
도 8은 상기 네트워크 시스템에서의 인증 키의 배포 방법을 나타낸 도면이다.8 is a diagram illustrating a method for distributing an authentication key in the network system.
도 9는 도 8의 배포 방법의 변경예를 나타낸 도면이다.9 is a diagram illustrating a modification of the distribution method of FIG. 8.
도 10은 상기 네트워크 시스템에서의 인증 키의 별도의 배포 방법을 나타낸 도면이다.10 is a diagram illustrating a separate distribution method of an authentication key in the network system.
도 11은 도 10의 배포 방법의 변경예를 나타낸 도면이다.11 is a diagram illustrating a modification of the distribution method of FIG. 10.
도 12는 상기 네트워크 시스템에서의 인증 키의 별도의 배포 방법을 나타낸 도면이다.12 is a diagram illustrating a separate distribution method of an authentication key in the network system.
도 13은 상기 네트워크 시스템에서의 인증 키의 다른 배포 방법을 나타낸 도면이다.13 is a diagram showing another method for distributing an authentication key in the network system.
도 14는 상기 네트워크 시스템에서의 인증 키의 또 다른 배포 방법을 나타낸 도면이다.14 is a view showing another distribution method of the authentication key in the network system.
도 15는 본 발명의 제2 실시예에 따른 네트워크 시스템의 개략도이다.15 is a schematic diagram of a network system according to a second embodiment of the present invention.
도 16은 상기 네트워크 시스템의 동작예를 나타낸 도면이다.Fig. 16 is a diagram illustrating an operation example of the network system.
도 17은 제2 실시예의 변경예에 따른 네트워크 시스템의 개략도이다.17 is a schematic diagram of a network system according to a modification of the second embodiment.
도 18은 종래의 네트워크 시스템의 개략도이다.18 is a schematic diagram of a conventional network system.
이하, 본 발명의 네트워크 시스템을 바람직한 실시예에 기초하여 상세하게 설명한다.Hereinafter, the network system of the present invention will be described in detail based on the preferred embodiments.
(제1 실시예)(First embodiment)
도 1에 나타낸 바와 같이, 본 실시예의 네트워크 시스템은, 센터 서버(5)가 접속되는 인터넷과 같은 WAN(광역 통신망)(4)과, 서버로서 기능하는 게이트웨이(3)를 통하여 WAN(4)에 접속되는 LAN(로컬 영역 통신망)(1)과, LAN(1) 및 WAN(4)에 접 속되는 복수개의 설비 기기(2)를 포함하고, 설비 기기 중 임의의 하나로부터 설비 기기 중 다른 하나에 대하여 오브젝트의 실행 요구를 행할 수 있도록 되어 있다.As shown in Fig. 1, the network system of the present embodiment is connected to the
LAN(1)은, 이더넷(ethernet, 등록상표)과 같은 통신 규격에 기초하여 구축된다. LAN(1)에 접속되는 게이트웨이(3)는, 도 2에 나타낸 바와 같이, LAN(1)을 집선(集線)하는 허브부(30), 통신부(31), 모뎀부(32), 오브젝트 액세스 서버로 불리우는 서버 기능부(OAS: Object Access Server)(33)를 구비하고, 이 서버 기능부(33)에는, LAN(1)에 접속된 설비 기기(2)에 대해서만, 설비 기기(2)끼리의 액세스의 승인에 관한 정보가 기억되는 로컬 기억부(도시하지 않음)와, 로컬 기억부에 기억된 허가 정보를 사용하여 설비 기기(2)끼리의 액세스를 허가할지의 여부를 조회하는 로컬 조회부로서의 기능을 가지는 로컬 인증 서버(34)(Local Authentication Sever: 이하, 로컬 AS(34)라고 함)가 설치되어 있다.The
센터 서버(5)는, WAN(4)인 인터넷 상에 설치되는 것이며, 탑재하는 서버 기능부(OAS)(50)는, 게이트웨이(3)의 서버 기능부(33)와 실질적으로 마찬가지의 기능을 가진다. 이 서버 기능부(50)에는, LAN(1) 및 WAN(4)에 접속된 모든 설비 기기에 대하여, 설비 기기(2)끼리의 액세스의 승인에 관한 정보가 기억되는 센터 기억부(도시하지 않음)와, 센터 기억부에 기억된 정보를 사용하여, LAN(1) 밖의 설비 기기(2)끼리 또는 LAN 밖의 설비 기기와 LAN 내의 설비 기기끼리의 액세스를 허가할지의 여부를 조회하는 센터 조회부로서의 기능을 가지는 센터 인증 서버(52)(Center Authentication Sever: 이하, 센터 AS(52)라고 함)가 설치되어 있다.The
본 네트워크 시스템에 사용되는 설비 기기(2)는, 통신 기능을 구비한 빌딩이나 주택 내에 설치되는 것이며, 예를 들면, 환경 설비(조명, 공조), 방범·방재 설비, 이들 설비에 사용되는 온도 센서, 휘도 센서, 인체 감지 센서, 화재 감지 센서 등이 있다.The
설비 기기(2)의 기본 구성은, 도 3의 (A)에 나타낸 바와 같이, 설비 기기 독자적인 서비스를 제공하기 위한 기능부(20)와, 이 기능부(20)에 인터페이스부(21)와 버스(22)를 통하여 동작 지시(동작 제어)하기 위한 함수를 부여하고, 기능부(20)의 현재 상태를 나타낸 변수를 취득하고, 나아가서는 기능부(20) 상태 변화가 발생한 것을 나타내는 이벤트 정보를 취득하는 처리를 행하는 정보 처리부(23)와, 네트워크 통신(이더넷(등록상표) 규격의 통신)을 위한 통신부(24)를 구비하고, 정보 처리부(23) 내의 기억부(25)에는 본 시스템에서의 오브젝트 기능을 실현하기 위한 모듈부 M0S(Micro 0bject Server)가 내장되어 있다.As shown in FIG. 3A, the basic configuration of the
여기서, 게이트웨이(3)가 구비하고 있는 서버 기능부(OAS)(33)는, 본 시스템의 설비 기기(2)의 네트워크의 연결되는 방법을 은폐하기 위한 오브젝트 라우터로서의 기능을 실현하는 소프트웨어, 설비 기기(2)의 오브젝트에 액세스함으로써, 설비 기기(2)의 기능부(20)가 제공하는 서비스를 사용자가 즐기기 위해 실행되는 각종 응용프로그램 소프트웨어, 나아가서는 이종 프로토콜을 변환하여 본 시스템에 심레스(seamless)로 연결하기 위한 프로토콜 브리지 서비스나, 센터 서버(5) 사이의 통신에 사용하는 프로토콜을 SOAP(Simple Object Access Protocol)로 변환하여 방화벽을 통과시키기 위한 방화벽·브리지·서비스 등의 추가 가능한 서비스 기능 을 실현하는 소프트웨어 등으로 구성된다.Here, the server function unit (OAS) 33 included in the
또한, 본 실시예의 게이트웨이(3)의 서버 기능부(33) 내에 설치한 로컬 AS(34)는, 설비 기기(2)의 모듈부 MOS가 가지는 오브젝트마다, 상기 오브젝트의 식별자(또한, 비밀 키 혹은 사용자명, 패스워드)와, 상기 오브젝트에 대한 허가를 가지는 식별자(또는 사용자명과 허가 정보)를 유지하는 로컬 기억부, 인증이나 후술하는 인증 키 및 액세스 컨트롤을 행하는 연산 수단으로서의 로컬 조회부를 서버 기능부(33)의 기억 수단 및 연산 수단과 공용하도록 되어 있다. 그리고, 서버 기능부(33)와 로컬 AS(34)는, 하드웨어적으로도 소프트웨어적으로도 별체로 구성해도 된다.In addition, the local AS 34 installed in the
본 발명의 네트워크 시스템에는, 전술한 설비 기기(2) 외에, PC나 휴대 단말기(휴대 전화기, PDA 등의 통신 기능을 가지는 단말기) 등의 클라이언트용 단말기(6)가 LAN(1)이나 WAN(4)에 접속 가능하다. 클라이언트용 단말기(6)는, 상기 네트워크 시스템에서 제공 서비스를 즐기기 위한 클라이언트용 소프트웨어(OAL: Object Access Library)나 클라이언트용 응용프로그램(소프트웨어) 등을 탑재한 컴퓨터 장치로 이루어지며, 인터넷과 같은 WAN(4) 상으로부터 설비 기기(2)의 모듈부 M0S의 오브젝트에 대한 실행 요구를 행할 수 있고, 또한 클라이언트용 응용프로그램을 실행함으로써 설비 기기(2)가 제공하는 서비스, 즉 설비 기기(2)로의 제어 요구나, 설비 기기(2) 측으로부터의 감시 정보(변수, 이벤트 정보)를 원하는 형태로 즐길 수 있다.In the network system of the present invention, in addition to the
본 실시예의 네트워크 시스템은, 0SI7 계층 모델로 이루어지고, 설비 기 기(2)의 정보 처리부(23)의 모듈부 MOS가 클라이언트용 단말기(6)나 다른 설비 기기(2)에 변수 및 이벤트 정보를 전달하거나, 또는 함수를 수취하거나 하기 위한 독자적인 프로토콜(OAP)로부터 응용프로그램층을 구성하고, 이 OAP를 사용하여 서버 기능부(OAS)와 설비 기기(2)의 모듈부 MOS 사이의 정보 교환을 행하도록 되어 있다. 여기에, 모듈부 MOS는, 도 3의 (B)에 나타낸 바와 같이, 설비 기기(2)를 위한 응용프로그램부(26)와, 0SI7 계층 모델에 대응한 소프트웨어 통신 모듈(27)과, 기능부(20) 사이의 정보의 송수신을 위한 하드웨어 통신 모듈(28)로 구성된다. 소프트웨어 통신 모듈(27)은, 0SI7 계층의 네트워크층∼프레젠테이션층에서의 프로토콜을 담당하는 것으로서, 전술한 OAP의 정의나 TCP, UDP의 통합을 행하고 있다.The network system of this embodiment has a 0SI7 hierarchical model, and the module unit MOS of the
그런데, 전술한 각 설비 기기(2)는, 기능부(20)가 서비스 제공을 위한 처리를 행할 때 사용하는 하나 내지 복수개의 설비측 오브젝트를 정보 처리부(23) 내에 내장된 모듈부 M0S 하에서 가지고, 또한 각각의 설비측 오브젝트에는, 오브젝트를 실행해야 할 설비 기기에 관한 정보를 제공하는 고유 식별자(오브젝트 식별자: OID)와, 설비 기기에서 실행되는 오브젝트의 내용(예를 들면, 설비 기기(2)의 현재 상태를 나타낸 변수, 설비 기기(2)를 제어하기 위한 함수, 설비 기기(2) 상태 변화의 발생을 나타내는 이벤트 정보, 설비 기기(2)가 실행하는 기능 등)에 의해 정의되는 인터페이스 식별자(IID)를 하나 내지 복수개 가지게 한다. 따라서, 고유 식별자(OID)는 오브젝트 고유이며, 인터페이스 식별자(IID)는 정의 내용이 동일한 인터페이스에 할당할 수 있다. 그리고, 설비측 오브젝트의 실행은, 설비측 오브젝트의 고유 식별자(OID) 또는 인터페이스 식별자(IID) 또는 양자(兩者)의 조합을 사용 한 실행 요구를 정보 처리부(23)가 게이트웨이(3) 내의 서버 기능부(33)로부터 수취했을 때 행해진다. 구체적으로는, 특정한 설비측 오브젝트 하의 특정한 인터페이스에 대응하는 실행 요구의 경우에는, OID와 IID의 조합이 사용되고, 동일한 정의 내용의 인터페이스가 복수개의 설비 기기(2)의 설비측 오브젝트 하에 있는 경우는, 상기 인터페이스의 IID 만으로 실행 요구를 행할 수도 있다.By the way, each
본 발명의 네트워크 시스템에서, 시큐어 통신을 실행하는 경우의 동작을 설명하기 전에, 게이트웨이(3)의 로컬 AS(34)에 액세스 허가 정보를 초기 설정하는 방법에 대하여 설명한다.In the network system of the present invention, a description will be given of a method of initially setting access permission information in the local AS 34 of the
시스템 기동 시에는, 도 4에 나타낸 바와 같이, 게이트웨이(3)의 서버 기능부(33)는 LAN(1)에 접속되어 있는 설비 기기(2)를 브로드캐스트 또는 멀티캐스트에 의해 검출하는 처리를 행하여, LAN(1) 상의 설비 기기(2)의 IP 어드레스 등 네트워크 통신에 필요한 정보를 취득한다. 그리고, 접속 처리 후, 서버 기능부(33)의 로컬 AS(34)는 각 설비 기기에 대하여, 설비측 오브젝트의 OID 또는 그 아래의 인터페이스의 IID 또는 OID와 IID의 조합 정보를 보고하도록 요구한다(단계 S1).At the time of system startup, as shown in FIG. 4, the
이 요구에 대응하여, 로컬 AS(34)는, 설비 기기(2)로부터 차례로 보내져 오는 식별자 정보를 취득하고(단계 S2), 이들 식별자 정보를 LAN(1) 내의 설비 기기의 네트워크 통신(TCP/IP 베이스) 상의 식별자인 IP 어드레스와 대응시켜서 로컬 기억부에 접속 설비 정보용 테이블로서 기억 유지한다. 그리고, 각 설비 기기(2)로부터 브로드캐스트 혹은 멀티캐스트에 의해 게이트웨이(3)의 IP 어드레스를 취득하고, 게이트웨이(3)의 서버 기능부(33)의 로컬 AS(34) 사이의 통신을 가능하게 해 도 된다. 또한, 로컬 AS(34)를 LAN(1) 상에 게이트웨이의 서버 기능부(33)와는 별체로 설치하고 있는 경우(혹은 서버 기능부(33)를 설치하지 않고, 로컬 AS(34)를 단독으로 설치하고 있는 경우)도, 각 설비 기기(2)로부터 브로드캐스트 혹은 멀티캐스트에 의해 직접 로컬 AS(34)의 IP 어드레스를 취득함으로써, 로컬 AS(34) 사이의 통신이 가능하게 된다. 그리고, 본 실시예에서는, 설비 기기(2) 측에서 미리 WAN(4) 상의 센터 서버(5)(센터 AS(52))의 IP 어드레스를 설정할 필요는 없다.In response to this request, the local AS 34 acquires identifier information sequentially sent from the equipment 2 (step S2), and transmits the identifier information to network communication (TCP / IP) of the equipment in the
그 후, 게이트웨이(3)의 서버 기능부(33)는, 로컬 AS(34)의 기능으로서 인터넷(4) 상의 센터 서버(5)의 서버 기능부(50)에 대하여 자신의 지배 하의 설비 기기(2)로부터 취득한 식별자 정보를 보내는 처리를 행한다(단계 S3). 이 처리는 정기적으로, 또는 LAN(1) 내의 설비 기기(2)의 환경 설정(예를 들면, 설비 기기의 추가나 폐기 등)에 변경이 있을 때마다 행해진다.Thereafter, the
센터 서버(5)의 센터 AS(52)는, 센터 기억부에 보존되어 있는 액세스 허가 정보의 데이터 베이스로부터 게이트웨이(3)의 지배 하에 있는 LAN(1) 내의 설비 기기(2)끼리의 통신에 관한 식별자 정보만을 추출하고, 이 식별자 정보를 LAN 내 통신에 관한 액세스 허가 정보로서 게이트웨이(3)의 로컬 AS(34)에 보낸다(단계 S4). 센터 서버(5)의 센터 AS(52)로부터 취득한 액세스 허가 정보, 즉 식별자 정보는, 게이트웨이(3)의 로컬 기억부에 설정된다(단계 S5). 즉, 게이트웨이(3)에서의 액세스 허가 정보의 설정은, LAN 사용자가 수동으로 행하지 않아도, 센터 AS(52)로부터의 허가 정보를 취득함으로써 자동적으로 행할 수 있게 된다.The center AS 52 of the
그리고, 센터 서버(5)는, WAN(4)인 인터넷에 접속되어 있는 설비 기기(2)에 대하여, 게이트웨이(3)의 경우와 마찬가지로, 오브젝트의 OID나 인터페이스의 IID의 식별자 정보를 서버 기능부(50) 및 센터 AS(52)의 기능에 의해 취득할 수 있다.The
또한, 로컬 AS(34)에서의 허가 정보의 설정, 즉 LAN(1) 내에서의 설비 기기(2)끼리 사이에서의 오브젝트의 실행 요구에 대한 액세스 허가 정보는, 오브젝트 식별자(OID) 및/또는 인터페이스 식별자(IID)의 식별자 정보를 테이블화 한 것에 의해 제공된다. 즉, 액세스 요구하는 측의 설비 기기(2)의 오브젝트 식별자(OID) 및/또는 인터페이스 식별자(IID)와, 액세스 요구되는 측의 설비 기기(2)의 오브젝트 식별자(OID) 및/또는 인터페이스 식별자(IID)를 대응시켜서 테이블화한 허가 정보를 센터 AS(52)로부터 취득하여 전술한 바와 같이 로컬 AS(34)에 설정을 행하는 것이다.In addition, the setting of the permission information in the local AS 34, that is, the access permission information for the execution request of the object between the
그리고, LAN(1) 내의 설비 기기(2)와 LAN(1) 밖의 설비 기기(2)끼리의 통신 허가 정보는 미리 센터 AS(52)에 설정된다. 즉, 센터 AS(52)에는, LAN(1)에 접속된 설비 기기(2)끼리의 액세스 허가 정보 외에 LAN(1)에 접속된 설비 기기(2)와 WAN(4)에 접속된 설비 기기(2)끼리 사이의 액세스 허가 정보가, 액세스 요구하는 측의 설비 기기의 오브젝트 식별자(OID) 및/또는 인터페이스 식별자(IID)와, 액세스 요구되는 측의 설비 기기의 오브젝트 식별자(OID) 및/또는 인터페이스 식별자(IID)와의 대응부에 의해 사전에 설정된다.The communication permission information between the
일례로서, 센터 서버(5)의 센터 기억부에 저장되는 허가 정보 테이블을 표 1 및 표 2에 나타낸다. 표 1에 나타내는 센터 AS 테이블에는, LAN 내외를 불문하고, 네트워크 시스템에 접속된 모든 설비 기기(2)에 대하여, 액세스를 요구하는 설비 기기의 오브젝트 식별자(OID)와, 액세스가 허가되는 설비 기기의 식별자 정보(본 예에서는, 오브젝트 식별자(OID)와 인터페이스 식별자(IID)의 조합) 및 “r(읽기 허가)”, “w(기입 허가)”, “x(실행 허가)”에 의해 나타내는 액세스 허가의 종류와의 대응 관계가 리스트되어 있다. 그리고, 표 중, “***”는, 인터페이스 식별자에 대한 지정이 아니라, 임의의 인터페이스 식별자에 대하여 액세스 가능한 것을 나타내고 있다. 또한, 오브젝트 식별자에 “***”가 부가된 경우는, 오브젝트 식별자에 의하지 않고, 인터페이스가 공통되는 설비 기기로의 액세스가 허가된다. 요컨대, 오브젝트 식별자만을 지정하는 경우는, 어느 시스템 내의 오브젝트끼리에서는 모든 인터페이스로의 액세스를 서로 인정하고, 인터페이스 식별자만 지정하는 경우는, 어느 시스템 또는 응용프로그램 특유의 인터페이스에 대하여, 오브젝트를 지정하지 않고 허가함으로써, 응용프로그램 특유의 기능만 오브젝트에 관계없이 액세스 가능하게 된다.As an example, Table 1 and Table 2 show permission information tables stored in the center storage unit of the
[표 1]TABLE 1
또한, 표 2에 나타내는 센터 AS 테이블에는, 액세스 요구하는 설비 기기의 오브젝트 식별자(OID)와 인터페이스 식별자(IID)의 조합과, 액세스가 허가되는 설비 기기의 오브젝트 식별자(OID)와 인터페이스 식별자(IID)의 조합, 및 액세스 허가의 종류(“r/w/x”)와의 대응 관계가 리스트되어 있다.In addition, the center AS table shown in Table 2 includes a combination of an object identifier (OID) and an interface identifier (IID) of the equipment to be requested for access, and an object identifier (OID) and an interface identifier (IID) of the equipment to which access is permitted. And a correspondence relationship with the type of access permission ("r / w / x") are listed.
이와 같은 식별자의 조합끼리의 설정을 행함으로써, 어느 오브젝트에 대하여, 어느 조건일 때만 액세스를 인정하는 것 같은 특수한 설정이 가능하게 된다.By setting such combinations of identifiers, it is possible to make special settings for an object such that access is granted only under certain conditions.
[표 2]TABLE 2
그리고, 표 1의 센터 AS 테이블에는 액세스 요구하는 설비 기기의 OID 만 표시되어 있기 때문에, 게이트웨이(로컬 서버)에 설정되는 허가 정보를 추출할 때는, 게이트웨이(3)로부터 그 하위의 설비 기기(2)의 OID만이 센터 서버(5)에 통지된다. 한편, 표 2의 센터 AS 테이블에는 액세스 요구하는 설비 기기의 OID 및 IID의 조합이 표시되어 있기 때문에, 게이트웨이에 설정되는 허가 정보를 추출할 때는, 게이트웨이(3)로부터 그 하위의 설비 기기(2)의 OID와 IID의 조합이 센터 서버(5)에 통지된다. 요컨대, 게이트웨이에 설정되는 허가 정보를 센터 서버로부터 추출하는 경우는, 센터 서버(5)가 보유하는 센터 AS 테이블의 내용(액세스 허가 정보)에 기초하여, 게이트웨이(3)로부터 그 하위의 설비 기기(2)의 오브젝트 식별자와 인터페이스 식별자 중 적어도 한쪽이 송신되게 된다. 그리고, 표 2의 최하단에 있는 바와 같이, 액세스 요구하는 설비 기기의 인터페이스 식별자만이 지정되는 경우는, 인터페이스에 대응하는 이벤트 발생 시에만 다른 설비 기기로의 액세스를 허가하는 등의 용도를 고려할 수 있다.In addition, since only the OID of the equipment to request access is displayed in the center AS table of Table 1, when extracting the permission information set in the gateway (local server), the
다음에, 센터 AS 테이블에 등록되어 있는 식별자의 허가 정보 중, 게이트웨이(3)의 로컬 AS 테이블에 설정되는 식별자의 허가 정보의 추출 방법에 대하여, 도 5 및 도 6을 참조하면서 보다 구체적으로 설명한다.Next, a method of extracting permission information of the identifier set in the local AS table of the
도 5의 네트워크 시스템에서, 설비 기기 A는, (OID1, IID1), (OIDl, IID2), (OID1, IID3)라는 오브젝트 식별자 OID1와 설비 기기 A가 가지는 복수 기능의 각각에 대응시켜 정의되는 3개의 인터페이스 식별자(IID1∼IID3)와의 조합으로 이루어지는 3조(組)의 식별자 정보를 가지고, 설비 기기 B는, (OID2, IID1), (OID2, IID2)라는 오브젝트 식별자 OID2와 설비 기기 B가 가지는 복수 기능의 각각에 대응시켜 정의되는 2개의 인터페이스 식별자(IID1, IID2)와의 조합으로 이루어지는 2조의 식별자 정보를 가지고 있다. 게이트웨이(3)는, LAN(1) 내에 있는 이들 2개의 설비 기기(2)로부터 식별자 정보를 수취하고, 센터 서버(5)에 송신한다. 한편, 센터 서버(5)에는, LAN(1) 및 WAN(4)의 모든 설비 기기에 대하여 액세스 가능한 설비 기기의 허가 정보가 식별자끼리의 대응 관계에 의해 나타낸 테이블이 저장되어 있고, 본 예에서는, WAN(4)에 접속된 설비 기기 C 및 설비 기기 D에 대해서도, 액세스 가능한 설비 기기의 식별자 정보가 리스트되어 있다.In the network system of FIG. 5, the equipment A is divided into three objects defined by corresponding to each of a plurality of functions of the object identifiers OID1 (OID1, IID1), (OID1, IID2), (OID1, IID3) and the equipment A. Having three sets of identifier information consisting of a combination of the interface identifiers IID1 to IID3, the equipment B has a plurality of functions possessed by the object identifiers OID2 and the equipment B which are (OID2, IID1), (OID2, IID2). It has two sets of identifier information consisting of a combination with two interface identifiers IID1 and IID2 defined in correspondence with each of. The
그리고, LAN(1) 내에 있는 설비 기기(2)로부터 수취하는 정보는, 오브젝트 식별자 및 인터페이스 식별자 중 적어도 한쪽만이라도 되고, 오브젝트 식별자 및 인터페이스 식별자의 양쪽을 수취하는 것이 바람직하다. 또한, 게이트웨이(3)가 그 하위의 설비 기기(2)로부터 오브젝트 식별자 및 인터페이스 식별자의 양쪽을 수취한 후, 센터 서버에 보존되어 있는 액세스 허가 정보 테이블의 내용에 기초하여, 필요한 식별자 정보만을 센터 서버에 송신하도록 해도 된다.The information received from the
도 5에 나타내는 센터 AS 테이블에, 설비 기기 A(0ID1)로부터의 액세스 요구에 대하여, LAN 내의 설비 기기 B는, 식별자의 조합(OID2, ***)이 액세스 허가되어 있다. 여기에, “***”는 인터페이스 식별자가 임의인 것을 나타내고 있으므로, 구체적으로는, 설비 기기 B의 (OID2, IID1) 및 (OID2, IID2)의 각각이 액세스 허가 되어 있는 것을 의미한다. 한편, 설비 기기 B(OID2)로부터의 액세스 요구에 대하여, LAN 내의 설비 기기 A는, 식별자의 조합 (OID1, IID2) 및 (OID1, IID3)에 액세스가 허가되어 있지만, 식별자의 조합 (OID1, IIDl)에 대해서는 허가되어 있지 않은 것을 알 수 있다.In the center AS table shown in FIG. 5, the combination of identifiers (OID2, ***) of the equipment B in the LAN is allowed to access the access request from the equipment A (0ID1). Here, since "***" shows that the interface identifier is arbitrary, it means that each of (OID2, IID1) and (OID2, IID2) of the equipment B is specifically allowed to access. On the other hand, with respect to the access request from the equipment B (OID2), the equipment A in the LAN is permitted to access the combination of the identifiers (OID1, IID2) and (OID1, IID3), but the combination of the identifiers (OID1, IIDl). ) Is not allowed.
센터 서버(5)가, 게이트웨이(3)로부터 송신된 LAN 내의 설비 기기(A, B)의 식별자 정보의 통지를 받으면, 센터 AS 테이블로부터 설비 기기(A, B)에 대한 액세스 허가 정보만을 추출하여, 게이트웨이(3)에 송신하고, 도 5의 우측 아래 표에 나타낸 바와 같이, 로컬 AS 테이블에 설정된다. 그리고, 테이블에는, “r(읽기 허가)”, “w(기입 허가)”, “x(실행 허가)”에 의해 액세스 허가의 종류가 각각의 식별자 정보에 대응되어 표시된다.When the
도 6은, 설비 기기 A 및 B가 접속되는 제1 LAN(LAN-1)과, 설비 기기 C 및 D가 접속되는 제2 LAN(LAN-2)이, 인터넷인 WAN(4)을 통하여 센터 서버(5)에 접속된 다른 네트워크 시스템에서의 액세스 허가 정보의 추출예를 나타내고 있다. 제1 LAN의 로컬 AS 테이블에는, 도 5와 마찬가지의 방법에 의해, 설비 기기 A와 B 사이의 액세스 허가 정보만이 센터 AS 테이블로부터 추출, 설정되고, 제2 LAN의 로컬 AS 테이블에는, 도 5와 마찬가지의 방법에 의해, 설비 기기 C와 D 사이의 액세스 허가 정보만이 센터 AS 테이블로부터 추출되고, 설정되어 있다.FIG. 6 shows a center server via a
그리고, 전술한 네트워크 시스템에서, 게이트웨이(3)는, 서버 기능부(33)를 탑재하지 않고, 단지 인터넷인 WAN(4)과 LAN(1) 사이의 프로토콜 변환과 LAN 상의 설비 기기(2)를 인터넷에 접속하기 위한 루팅 기능을 가진 것만이라도 된다. 이 경우, 로컬 AS(34)는, 설비 기기(2)를 브로드캐스트 또는 멀티캐스트에 의해 검출하는 처리를 행하여, LAN 상의 설비 기기(2)의 IP 어드레스 등 네트워크 통신에 필요한 정보를 취득한다. 그리고, 접속 처리 후 LAN 내의 각 설비 기기(2)에 대하여 탑재하고 있는 오브젝트의 식별자의 요구를 행하여 각 오브젝트의 식별자(후술하는 OID 및 IID)의 취득을 행하고, 또한 취득한 오브젝트의 식별자를 후술하는 센터 AS(52)에 통지하고, 이 통지에 대응하여 센터 AS(52)로부터 보내져 오는 허가 정보를 취득하여 초기 설정하도록 해도 된다.In the above-described network system, the
전술한 바와 같이 구축된 네트워크 시스템에서, 설비 기기 중 하나(설비 기기 A)로부터 별도의 설비 기기(설비 기기 B)에 대하여 오브젝트의 실행에 관한 액세스 요구를 행하는 경우의 인증 동작을 도 7에 기초하여 상세하게 설명한다.In the network system constructed as described above, an authentication operation in the case of making an access request for execution of an object from one of the equipment (equipment equipment A) to another equipment (equipment equipment B) is performed based on FIG. It demonstrates in detail.
먼저, 네트워크 내의 설비 기기 A로부터 설비 기기 B에 대하여 액세스 요구가 있으면(단계 S6), 이 액세스 요구는 일단 게이트웨이(3)의 서버 기능부(33)가 수취하고, 서버 기능부(33) 내의 로컬 AS(34)에서, 실행 요구할 곳, 즉 수신측의 설비 기기 B의 오브젝트의 OID가, 게이트웨이(3)의 로컬 기억부에 설정된 테이블에 존재하는지의 여부에 의해, 설비 기기 B가 LAN 내의 설비 기기인지의 여부가 판정된다(단계 S7). 또한, 설비 기기 B가 LAN 내의 설비 기기인 경우는, 실행 요구를 행한 송신측의 설비 기기 A의 식별자 정보(예를 들면, OID)와, 실행 요구할 곳, 즉 수신측의 설비 기기 B의 식별자 정보(예를 들면, OID 및 IID의 조합)와의 관계가, 로컬 기억부에 액세스 허가 정보로서 설정된 테이블 내에 존재하는지의 여부가 조회된다(단계 S8). 이 조회 작업은, 예를 들면, 게이트웨이(3)의 서버 기능부(33)에 설치한 로컬 조회부가, 소정의 프로그램을 실행함으로써 행한다.First, if there is an access request from the equipment A in the network to the equipment B (step S6), this access request is received by the server
액세스가 허가되어 있는 경우는, 허가 통지와 인증 키의 배신(配信)을 설비 기기 A, B에 대하여 행한다(단계 S9). 이에 따라, 허가 통지와 함께 인증 키를 수취한 설비 기기(A-B) 사이에서 시큐어 통신이 행해지고, 오브젝트 실행에 의한 정보의 수수(授受)가 가능하게 된다(단계 S10). 이 경우, 게이트웨이(3)의 서버 기능부(33)의 접속 설비 정보용 테이블을 사용한 루팅 기능의 실행에 의해 설비 기기끼리에서는 IP 어드레스 등을 특히 의식하지 않고 통신할 수 있다. 그리고, 액세스 허가 정보가 로컬 기억부에 설정된 테이블에 존재하지 않고, 설비 기기 A-B 사이의 액세스가 허가되어 있지 않을 경우에는, 로컬 AS(34)는 불허가 통지를 적어도 오브젝트의 실행을 요구하는 측의 설비 기기 A에 송신하므로(단계 S11), 바람직하게는 액세스를 거부하여 시큐어 통신의 목적을 달성할 수 있다.When the access is permitted, the permission notification and the distribution of the authentication key are performed to the equipment A and B (step S9). Thereby, secure communication is performed between the equipment A-B which received the authentication key with permission notification, and the receipt of the information by object execution becomes possible (step S10). In this case, by executing the routing function using the connection facility information table of the
또한, 설비 기기 B가 LAN 내의 설비 기기가 아닌 것으로 판정된 경우, 즉 로컬 기억부에 설정된 테이블에 설비 기기 B에 관한 정보가 리스트되어 있지 않은 경 우는, 상기 오브젝트의 실행 요구를 행하기 위한 인증 요구가 센터 서버(5)의 서버 기능부(50)를 통하여 센터 AS(52)에 전송된다(단계 S12).Further, when it is determined that the equipment B is not a equipment in the LAN, that is, when the information on the equipment B is not listed in the table set in the local storage unit, the authentication request for executing the object is requested. Is transmitted to the center AS 52 via the
센터 AS(52)에서는, 실행 요구를 행한 설비 기기 A의 오브젝트의 식별자 정보와, 실행 요구할 곳의 설비 기기 B의 오브젝트의 식별자 정보와, 액세스 허가의 종류에 관한 정보 등이 센터 기억부에 저장되어 있는 정보와 조회되고, 상기 액세스 요구를 허가할지의 여부가 판정된다(단계 S13). 이 조회 작업은, 예를 들면, 센터 서버(5)의 서버 기능부(50)에 설치한 센터 조회부가, 소정의 프로그램을 실행함으로써 행해진다.In the center AS 52, the identifier information of the object of the equipment A which made the execution request, the identifier information of the object of the equipment B which is the execution request place, the information regarding the type of access permission, etc. are stored in the center storage unit. The information is inquired and it is determined whether or not to permit the access request (step S13). This inquiry operation is performed by, for example, executing a predetermined program by a center inquiry unit provided in the
그리고, 센터 기억부에 저장되는 정보로서는, 액세스가 허가되는 설비 기기끼리의 식별자 정보만이 등록되어 있어도 되고, 또는 모든 설비 기기끼리의 식별자 정보에 대하여 액세스 허가의 유무를 표시하도록 해도 된다. 요컨대, 도 5나 도 6에 나타낸 바와 같이, 액세스 요구하는 측의 설비 기기의 오브젝트 식별자(OID) 또는 인터페이스 식별자(IID) 중 적어도 한쪽과, 액세스 요구되는 측의 설비 기기의 오브젝트 식별자(OID) 또는 인터페이스 식별자(IID) 중 적어도 한쪽과의 대응 관계가 설정된 테이블과, 게이트웨이(3)로부터 제공되는 식별자 정보에 기초하여, LAN 밖의 설비 기기와의 액세스를 허가할 것인지의 여부를 판정할 수 있으면 된다.As the information stored in the center storage unit, only the identifier information of the equipments to which access is permitted may be registered, or the presence or absence of an access permission may be displayed on the identifier information of all the equipments. That is, as shown in FIG. 5 or FIG. 6, at least one of the object identifier (OID) or the interface identifier (IID) of the equipment on the side of the request for access, and the object identifier (OID) of the equipment on the side of the request for access, or What is necessary is just to be able to determine whether to permit access to the equipment outside the LAN, based on the table in which the correspondence relationship with at least one of the interface identifiers IID is set, and the identifier information provided from the
센터 서버(5)가 액세스를 허가하는 경우는, 허가 통지와 인증 키의 배신을 로컬 AS(34)에 대하여 행하고(단계 S14), 로컬 AS(34)에서는 배신되어 온 허가 통지와 인증 키를 설비 기기 A, B에 대하여 배신한다(단계 S15). 이에 따라, 허가 통지와 함께 인증 키를 수취한 설비 기기 A-B의 사이에서 시큐어 통신이 행해지고, 오브젝트 실행에 의한 정보의 수수가 가능해진다(단계 S16). 이 경우, 게이트웨이(3) 및 센터 서버(5)의 서버 기능부(33, 50)의 접속 설비 정보용 테이블을 사용한 루팅 기능의 실행에 의해 설비 기기끼리에서는 IP 어드레스 등을 특히 의식하지 않고 통신할 수 있다.When the
한편, 센터 서버(5)가 액세스를 허가하지 않는 경우는, 불허가 통지를 로컬 AS(34)에 대하여 행하고(단계 S17), 로컬 AS(34)에서는 배신되어 온 불허가 통지를 적어도 오브젝트의 실행을 요구하는 측의 설비 기기 A에 배신하고, 설비 기기 A로부터 설비 기기 B로의 상기 오브젝트의 실행 요구를 거부한다(단계 S18).On the other hand, when the
이와 같이, LAN 내, LAN 외를 불문하고, 설비 기기끼리의 액세스 요구가 있으면, 상기 액세스를 허가할지의 여부를 판정하여, 바람직하게는 액세스 요구에 대해서는 이것을 거부함으로써 시큐어 통신의 목적을 달성할 수 있다.In this way, if there is an access request between equipments in the LAN and outside the LAN, it is determined whether to permit the access, and preferably, the access request is rejected, thereby achieving the purpose of secure communication. have.
그리고, 전술한 본 발명 네트워크 시스템에, LAN 내의 설비 기기끼리의 액세스 요구에 대해서는, 센터 서버(5)가 아닌, 로컬 서버로서의 게이트웨이(3)에서 인증을 행함으로써, LAN 밖의 네트워크 환경(예를 들면, 인터넷)이 절단되는 사태가 발생해도 LAN 내 통신을 정상적인 상태로 확보할 수 있다. 또한, 시스템 시작 시 외에, 로컬 AS(34)가 정기적으로 LAN 내의 설비 기기의 식별자 정보를 취득하여 센터 AS(52)에 통지하고, 센터 서버(5)로부터 LAN 내의 설비 기기끼리의 액세스 허가 정보만을 추출하여 로컬 AS(34)에 자동적으로 갱신 설정되므로, 사용자가 특히 의식하지 않고 초기 설정을 행할 수 있고, 또한 LAN 내의 환경 설정에 변경이 있는 경우도, 사용자가 번거로운 설정 작업을 행할 필요가 없다. 또한, 로컬 AS(34)에 는, LAN 내의 설비 기기끼리의 액세스 허가 정보만이 설정되고, 게이트웨이(3)가 행해야할 정보 처리의 양을 저감시킬 수 있는 장점도 있다.The network system of the present invention described above is authenticated by the
또한, LAN 밖의 설비 기기와의 액세스 요구인 경우는, 센터 서버(5)에서 액세스를 허가할지의 여부가 재판정되므로, LAN 밖의 설비 기기와 LAN 내의 설비 기기 사이에서도 시큐어 통신을 확보할 수 있다.In addition, in the case of an access request with equipment outside the LAN, whether or not to permit access from the
이하, 액세스가 허가된 경우의 인증 키의 배포 방법에 대하여, 도 8∼도 14를 참조하면서 설명한다.Hereinafter, a description will be given of a method for distributing an authentication key when access is granted with reference to FIGS. 8 to 14.
도 8에 나타내는 인증 키의 배포 방법에서는, LAN 내의 설비 기기 A가 LAN 내의 설비 기기 B에 대하여 액세스를 요구하는 경우이다. 인증 요구에는, 설비 기기 A의 식별자 정보, 설비 기기 B의 식별자 정보 및 액세스 요구 권한(r/w/x)이 포함되어 있다. 설비 기기 A로부터의 액세스 요구를 받은 설비 기기 B는, 로컬 AS(34)에 액세스를 허가할지의 여부의 인증을 요구한다. 로컬 AS(34)의 액세스 허가 정보 테이블에서 상기 액세스가 허가되어 있으면, 로컬 AS(34)가 설비 기기 B에 대하여 인증 키를 배포하고, 설비 기기 A에는 설비 기기 B로부터 인증 키가 배포된다. 인증 키는, 설비 기기 A용, 설비 기기 B용이 포함되어 있고, 각각의 비밀키로 암호화되어 있다. 이에 따라, 설비 기기 A 및 설비 기기 B는 인증 키로부터 각각의 비밀키를 사용하여 통신용 암호 키(설비 기기 A와 설비 기기 B에 공통인 세션용 통신 키)를 인출하고, 시큐어 통신을 실행할 수 있다.In the distribution method of the authentication key shown in FIG. 8, it is a case where the equipment A in LAN requests access to the equipment B in LAN. The authentication request includes the identifier information of the equipment A, the identifier information of the equipment B, and the access request authority (r / w / x). The equipment B which has received an access request from the equipment A asks for authentication of whether to allow access to the
그리고, 도 9에 나타낸 바와 같이, LAN 내의 설비 기기 A가, LAN 내의 설비 기기 B에 대한 액세스를 로컬 AS(34)에 직접 요구해도 된다. 이 경우, 액세스 요 구가 승인되면, 설비 기기 A에 대하여 인증 키가 배포되고, 설비 기기 B에는 설비 기기 A로부터 인증 키가 배포된다. 이에 따라, 설비 기기 A 및 설비 기기 B는, 인증 키로부터 각각의 비밀키를 사용하여 통신용 암호 키를 취출(取出)하고, 시큐어 통신을 실행할 수 있다.As shown in FIG. 9, the equipment A in the LAN may directly request the local AS 34 to access the equipment B in the LAN. In this case, when the access request is approved, the authentication key is distributed to the equipment A, and the authentication key is distributed from the equipment A to the equipment. Thereby, the equipment A and the equipment B can take out the communication encryption key using each secret key from the authentication key, and can perform secure communication.
도 1O에 나타내는 인증 키의 배포 방법은, LAN 내의 설비 기기 A가 LAN 내의 설비 기기 B에 대하여 액세스 요구하고, 설비 기기 B가 로컬 AS(34)에 인증 요구하고 있는 점에서 도 8의 경우와 같지만, 로컬 AS(34)가 설비 기기 A 및 설비 기기 B 각각에 인증 키를 배포하고 있는 점에 특징이 있다. 또한, 도 11에 나타내는 인증 키의 배포 방법은, LAN 내의 설비 기기 A가, LAN 내의 설비 기기 B에 대한 액세스를 로컬 AS(34)에 직접 요구하고 있는 점에서 도 9의 경우와 같지만, 로컬 AS(34)가 설비 기기 A 및 설비 기기 B 각각에 인증 키를 배포하고 있는 점에 특징이 있다. 이들 경우도 인증 키를 받은 설비 기기 A 및 설비 기기 B 끼리의 사이에 시큐어 통신이 실행된다.The method of distributing the authentication key shown in FIG. 10 is the same as in the case of FIG. 8 in that the equipment A in the LAN requests access to the equipment B in the LAN, and the equipment B requests authentication to the
도 12는, LAN 내의 복수개의 설비 기기가 그룹 ID를 가지고 있는 경우의 인증 키의 배포 방법을 나타내고 있다. 이 경우는, 설비 기기 A가 로컬 AS(34)에 대하여, 설비 기기 A의 식별자 정보와 그룹 ID, 및 액세스 요구 권한(r/w/x)을 제시하여, 동일한 그룹 ID를 가지는 설비 기기(2) 끼리에서의 액세스의 허가를 요구한다. 마찬가지로, 설비 기기 B가 로컬 AS(34)에 대하여, 설비 기기 B의 식별자 정보와 그룹 ID, 및 액세스 요구 권한(r/w/x)을 제시하여, 동일한 그룹 ID를 가지는 설비 기기(2)끼리에서의 액세스의 허가를 요구한다. 로컬 AS(34)는, 각각의 요구 에 대하여, 허가 가능한지의 여부를 판정하고, 허가 가능한 경우는, 각각의 설비 기기에 인증 키를 배포한다. 인증 키를 수취한 설비 기기 A 및 설비 기기 B는, 각각의 비밀키를 사용하여 통신용 암호 키(설비 기기 A와 설비 기기 B에 공통의 세션용 통신 키)를 취출하고, 시큐어 통신을 실행한다.Fig. 12 shows a method for distributing authentication keys when a plurality of equipments in a LAN have a group ID. In this case, the equipment A presents the identifier information, the group ID, and the access request authority (r / w / x) of the equipment A to the local AS 34, and has the same equipment ID (2). Request permission from each other. Similarly, the equipment B presents the identifier information, the group ID, and the access request authority (r / w / x) of the equipment B to the local AS 34, and the
도 13은, LAN 내의 설비 기기 A가 그룹 ID를 가지고 있지 않은 경우의 인증 키의 배포 방법을 나타내고 있다. 즉, 설비 기기 B는, 그룹 ID를 가지고 있으므로, 로컬 AS(34)에 대하여, 설비 기기 B의 식별자 정보와 그룹 ID, 및 액세스 요구 권한(r/w/x)을 제시하여, 동일한 그룹 ID를 가지는 설비 기기(2)끼리에서의 액세스의 허가를 요구한다. 로컬 AS(34)는, 이 설비 기기 B로부터의 요구에 대하여 허가 가능한지의 여부를 판정하고, 허가 가능한 경우는, 설비 기기 B에 인증 키를 배포한다. 한편, 설비 기기 A가 설비 기기 B에 액세스를 요구하면, 설비 기기 B는, 설비 기기 A에 대하여 액세스의 인증에는 그룹 ID가 필요한 것을 통지한다(그룹 통지). 이 결과, 설비 기기 A는, 로컬 AS(34)에 대하여, 설비 기기 A의 식별자 정보와, 설비 기기 B로부터의 그룹 통지에 의해 얻은 그룹 ID, 및 액세스 요구 권한(r/w/x)을 제시하여, 동일한 그룹 ID를 가지는 설비 기기(2)끼리에서의 액세스의 허가를 요구한다. 로컬 AS(34)는, 이 설비 기기 A로부터의 요구에 대하여 허가 가능한지의 여부를 판정하고, 허가 가능한 경우는, 설비 기기 A에 인증 키를 배포한다. 이 결과, 인증 키를 수취한 설비 기기 A 및 설비 기기 B는, 각각의 비밀키를 사용하여 통신용 암호 키(설비 기기 A와 설비 기기 B에 공통의 세션용 통신 키)를 취출하고, 시큐어 통신을 실행할 수 있다.Fig. 13 shows a method for distributing the authentication key when the equipment A in the LAN does not have a group ID. That is, since the equipment B has a group ID, the identifier information, the group ID, and the access request authority (r / w / x) of the equipment B are presented to the local AS 34 to provide the same group ID. Branch requires permission of access from
도 14는, 설비 기기 B가 상기 암호 키를 사전에 유지하고, 설비 기기 B의 액세스에 필요한 암호 키가 로컬 AS(34)에 의해 관리되고 있는 경우의 인증 키의 배포 방법을 나타내고 있다. 즉, 설비 기기 B와의 액세스를 희망하는 LAN 내의 설비 기기 A는, 로컬 AS(34)에 대하여, 설비 기기 A의 식별자 정보, 설비 기기 B의 식별자 정보 및 액세스 요구 권한(r/w/x)을 제시하여 인증 요구하면, 로컬 AS(34)는, 이 설비 기기 A로부터의 요구에 대하여 허가 가능한지의 여부를 판정하고, 허가 가능한 경우는, 설비 기기 A에 인증 키를 배포한다. 인증키는, 설비 기기 B의 암호 키가 설비 기기 A의 비밀키로 암호화되어 있으므로, 설비 기기 A는, 인증 키로부터 설비 기기 B와의 통신용 암호 키를 취출함음로써 설비 기기 B와 시큐어 통신을 행할 수 있다.Fig. 14 shows a method for distributing the authentication key in the case where the equipment B holds the encryption key in advance, and the encryption key necessary for accessing the equipment B is managed by the
(제2 실시예)(2nd Example)
본 실시예는, 도 15에 나타낸 바와 같이, 사용자 영역인 가정 내의 설비 기기의 원격 조정 시스템을 본 발명의 네트워크 시스템을 사용하여 구성한 것이며, 게이트웨이(3)나 센터 서버(5) 등 제1 실시예와 동일한 구성에 대해서는 중복되는 설명을 생략한다.As shown in Fig. 15, the present embodiment is constructed by using the network system of the present invention for a remote control system of equipment in a home that is a user area. The first embodiment includes a
본 실시예의 네트워크 시스템에는, 도 3의 (A)에 나타낸 설비 기기(2)의 구성이 탑재된 조명 기구(2a), 공조 기기(2b), 전기자물쇠(2c), 경보 감시 장치(2d), 녹화 전송 장치(2e), 전용의 클라이언트용 단말기 장치(2f), PC(6) 등이 가정 내에 설치된 LAN(1)의 케이블에 의해 게이트웨이(3)에 접속되어 있다.In the network system of the present embodiment, the
경보 감시 장치(2d)는, 각종 방범 센서나 방재 센서 등의 비정상 발생 검출 용 센서(60) 상태를 무선에 의해 수집하고, 비정상 발생의 검출이 있을 때 경보 정보를 출력하는 기능을 가지고, 비정상 발생 검출용 센서(60)로부터의 검출 신호를 무선으로 수신하는 무선 수신부 외에, 무선 수신부에서 수신한 검출 신호를 수신하고 비정상 검출 시에는 경보기에 발보(發報)하는 처리나, 외부로 발보 정보를 출력 처리하는 기능부를 구비하고 있으며, 이 기능부가 도 3의 (A)의 기능부(20)에 해당하며, 정보 처리부(23)에 발보 정보를 전달하도록 되어 있다.The
녹화 전송 장치(2e)는, 인터폰 시스템(70)의 텔레비전 카메라(도시하지 않음)로 포착한 내방자의 녹화 영상을 외부나 가정의 모니터에 배신하는 기능을 가지고, 녹화 영상 데이터를 저장하는 녹화부를 기능부(20)로 하여, 이 기능부(20)에 녹화 보존되어 있는 녹화 영상 데이터를 정보 처리부(23)에 건달하도록 되어 있다.The
게이트웨이(3)는, 제1 실시예와 마찬가지로, ADSL나 광섬유 통신망 등 접속 서비스업자가 제공하는 인터넷과 같은 WAN(4)을 통하여 센터 서버(5)에 접속되어 있다. 게이트웨이(3)의 로컬 AS(34)에는, 전술한 LAN(1) 내의 설비 기기(2)에 대하여, 설비 기기끼리의 액세스 허가 정보가 설정되어 있다. WAN(4)에는, 제1 실시예와 마찬가지로, PC나 휴대 전화기로 이루어지는 클라이언트용 단말기(6) 외에, 원하는 설비 기기(2)를 접속할 수 있다.As in the first embodiment, the
다음에, 본 실시예의 네트워크 시스템의 동작을 설명한다. 먼저, 시스템 기동 시, 게이트웨이(3)는, LANl에 접속되어 있는 기기의 검출 처리를 행하여, 각각의 IP 어드레스 등의 네트워크 통신에 필요한 정보와 식별자 정보를 제공하도록 요구한다. 또한, 각 설비 기기(2a∼2f)의 모듈부 MOS는, 자신의 모듈부 MOS 상의 설 비측 오브젝트의 OID 또는 OID와 그 아래의 인터페이스의 IID의 정보를 게이트웨이(3)의 서비스 기능부(33)에 제공한다.Next, the operation of the network system of the present embodiment will be described. First, at the time of system startup, the
한편, 게이트웨이(3)의 서비스 기능부(33)는, 설비 기기(2a∼2f)로부터 수취한 설비측 오브젝트의 식별자 정보를 센터 서버(5)에 송신한다. 센터 서버(5)는, 센터 AS(52)에 등록되어 있는 액세스 허가 정보 중, LAN 내의 설비 기기끼리의 액세스의 허가 정보만을 게이트웨이(3)에 보내고, LAN 내의 현재의 환경 설정에 대응하는 액세스 허가 정보가 로컬 AS(34)로 갱신 설정된다. 이와 같은 갱신은, 설비 기기의 증감 등의 LAN 내 환경 설정에 변화가 있을 때마다 행해진다.On the other hand, the
사용자 영역인 LAN(1) 내의 설비 기기에 대한 오브젝트의 실행 요구는, 제1 실시예와 실질적으로 동일한 방법으로 행할 수 있다. 즉, LAN(1) 내의 설비 기기 중 하나(예를 들면, 클라이언트 용 단말기 장치(2f))로부터 설비 기기 중 다른 하나(예를 들면, 조명기기(2a))에 대하여, 각각의 오브젝트 식별자(OID) 또는 인터페이스 식별자(IID) 또는 양자의 편성을 사용한 실행 요구가 게이트웨이(3)를 통하여 행해지면, 상기 설비 기기끼리의 액세스를 허가할지의 여부가 게이트웨이(3)의 로컬 AS(34)에 의해 조회된다. 액세스가 허가되면, 인증 키가 배포되고, 액세스를 요구하는 설비 기기와 액세스가 허가된 설비 기기(이 경우는, 2f와 2a)끼리 사이의 시큐어 통신에 의해 원하는 오브젝트가 실행된다.The execution request of the object to the equipment in the
보다 구체적인 네트워크 시스템의 동작으로서, 예를 들면, 도 16에 나타낸 바와 같이, 클라이언트용 단말기 장치(2f)로부터, 공조 기기(2b)와 전기자물쇠(2c)에 대하여 오브젝트의 실행 요구를 행하는 경우, 클라이언트용 단말기 장치(2f)의 오브젝트 식별자 OID(「외출」)와 공조 기기(2b)의 오브젝트 식별자 OID(「공조 기기」) 및 인터페이스의 식별자 IID(「공조의 운전 정지」)와의 대응 관계, 및 클라이언트용 단말기 장치(2f)의 오브젝트 식별자 OID(「외출」)와 전기자물쇠(2c)의 오브젝트 식별자 OID(「전기자물쇠」) 및 인터페이스의 식별자 IID(「록킹(locking)」)와의 대응 관계 각각이, 게이트웨이(3)의 로컬 AS(34)에 액세스 허가 정보로서 등록되어 있는지의 여부가 조회된다. 액세스가 허가되면 공조 기기(2b)의 운전 정지와 전기자물쇠(2c)의 록킹이라는 2개의 오브젝트가 시큐어 통신에 의해 실행된다.As a more specific operation of the network system, for example, as shown in Fig. 16, when the
그리고, 인터넷인 WAN(4)에 접속된 클라이언트용 단말기 장치로부터 오브젝트의 실행 요구를 행하는 경우는, LAN 외부로부터의 액세스 요구이므로, 식별자 정보가 게이트웨이(3)로부터 일단 센터 서버(5)에 전송되고, 센터 서버(5)의 센터 AS(52)에 액세스 허가 정보로서 등록되어 있는지의 여부가 조회되고, 상기 액세스를 허가할지의 여부가 판정된다. 액세스를 허가할 경우는, 인증 키와 허가 정보가 게이트웨이(3)에 통지되고, 전술한 바와 마찬가지로 하여 LAN 내의 설비 기기와 LAN 밖의 설비 기기끼리 사이에서 시큐어 통신이 실행된다.When the object execution request is made from the client terminal device connected to the
또한, 조명 기구(2a)의 조도를 저하시키고, 또한 동시에 녹화 전송 장치(2e)를 동작시켜서 LAN 상의 모니터 장치(도시하지 않음)로 영상을 보는 장면을, 클라이언트용 단말기 장치(2f)로부터 이들 설비 기기에 대하여 오브젝트의 실행 요구를 행함으로써 작성할 수도 있다. 즉, 녹화 전송 장치(2e)에서는, 녹화 영상 데이터의 전송을 모듈부 MOS의 설비측 오브젝트로 하고, 조명 기구(2a)에서는, 조광(調 光)을 모듈부 M0S의 설비측 오브젝트로 한다. 각각의 설비 기기끼리의 액세스가 허가, 전술한 오브젝트를 위한 프로그램이 실행되고, 전술한 장면을 만들기 만들어 내는 복합 서비스를 즐길 수 있게 된다.Further, the scene of viewing the video with a monitor device (not shown) on the LAN by lowering the illuminance of the
또한, 본 발명에 의하면, 설비 기기로서의 화재 감지기나 인체 감지 센서가 비정상을 검지한 경우(이벤트 발생 시), 가정 내 LAN에 접속된 다른 설비 기기인 조명 기구를 점멸시킴으로써 거주자에게 비정상을 통지하도록 한 네트워크 시스템을 구축할 수도 있다. 또한, 오브젝트를 요구하는 측의 설비 기기의 식별자에 대하여, 오브젝트를 실행하는 측의 복수개의 설비 기기의 식별자를 대응시켜 둠으로써, 하나의 실행 요구에 대하여 복수개의 오브젝트의 실행을 동시에 즐길 수도 있다.In addition, according to the present invention, when a fire detector or a human body detecting sensor as an equipment device detects an abnormality (when an event occurs), the residents are notified of the abnormality by blinking a lighting device that is another equipment device connected to a LAN in the home. You can also build a network system. In addition, by matching the identifiers of the equipment on the side requesting the object with the identifiers of the equipment on the side executing the object, the execution of the plurality of objects can be enjoyed simultaneously in one execution request.
본 실시예의 네트워크 시스템의 변경예를 도 17에 나타낸다. 이 네트워크 시스템은, 2층 건물 주택의 1층에 있는 조명 기구(82), 공조 기기(84), 전기자물쇠(86)를 원격 조정하기 위한 집중 제어 컨트롤러(2g)와, 2층 건물 주택의 2층에 있는 조명 기구(82) 및 공조 기기(84)를 원격 조정하기 위한 집중 제어 컨트롤러(2h)를 각각 설비 기기(2)로서 게이트웨이(3)에 LAN(1)을 통하여 접속되어 있는 점에 특징이 있다. 집중 제어 컨트롤러(2g, 2h)는, 신호선(80)을 통하여 조명 기구(82), 공조 기기(84)나 전기자물쇠(86)에 JEMA 규격(일본 전기 공업회 규격)에 대응한 제어 신호를 생성하는 기능이나, 동작 신호를 감시 정보로서 수취하는 기능을 가지고, 또한 이들 신호에 대응한 정보를 정보 처리부(23)와의 사이에서 수수하는 기능부를 전술한 도 3의 (A)의 기능부(20)로서 구비하고 있다.17 shows a modification of the network system of the present embodiment. The network system includes a centralized control controller (2g) for remotely controlling the
이 네트워크 시스템에서, LAN(1) 내의 설비 기기 중 하나(예를 들면, 클라이언트용 단말기 장치(2f))로부터 설비 기기 중 다른 하나(예를 들면, 집중 제어 컨트롤러(2g))에 대하여, 각각의 오브젝트 식별자(OID) 또는 인터페이스 식별자(IID) 또는 양자의 조합을 사용한 실행 요구가 게이트웨이(3)를 통하여 행해지면, 상기 설비 기기끼리의 액세스를 허가할지의 여부가 게이트웨이(3)의 로컬 AS(34)에 의해 조회된다. 액세스가 허가되면, 정보 처리부(23)는 모듈부 MOS를 통하여 집중 제어 컨트롤러(2g)의 기능부(20)에 공조 기기(84)의 운전 정지의 제어 정보나 전기자물쇠(86)의 록킹의 제어 정보를 함수로서 전달하는 처리를 행한다. 이 제어 정보에 기초하여 기능부(20)는 공조 기기(84)의 운전을 정지시키는 제어 신호, 또는 전기자물쇠(86)를 록킹하는 제어 신호를 각각이 접속되어 있는 신호선(80)을 통하여 보내는 처리를 행하도록 되어 있다. 이와 같이, 본 네트워크 시스템에 의하면, 사용자가 외출할 때 전기자물쇠(86)의 록킹이나 공조 기기(84)의 운전 정지를 원격 조정할 수 있다.In this network system, each of the equipments in the LAN 1 (for example, the
그리고, 본 발명의 네트워크 시스템에서는, 설비 기기끼리 사이의 액세스가 허가된 경우의 인증 키나 허가 정보의 배포할 곳은 한정되지 않고, 오브젝트를 요구하는 측의 설비 기기 외에 오브젝트를 실행하는 측의 설비 기기에도 액세스 허가 신호를 송신해도 된다. 또한, 설비 기기끼리 사이의 액세스가 거부된 경우의 액세스 거부 정보의 송신할 곳에 대해서도 특히 한정되지 않지만, 오브젝트를 요구하는 설비 기기에 대하여 송신하는 것이 시스템의 운용 상 바람직하다.The network system of the present invention is not limited to distributing authentication keys and permission information when access between equipment devices is allowed, and equipment equipment on the side of executing the object other than equipment equipment on the side requesting the object. The access permission signal may also be transmitted. In addition, although it does not specifically limit also about where to transmit access denial information when the access between equipments is denied, it is preferable in operation | movement of a system to transmit to the equipment which requests an object.
전술한 바와 같이, 본 발명의 네트워크 시스템에서는, LAN 내의 설비 기기끼리의 액세스에 대하여 인증 처리를 행할 수 있는 서버를 LAN 내에 설치함으로써, WAN에 비정상이 발생해도 1AN 내에서의 시큐어 통신을 확보할 수 있다. 또한, 로컬 서버에는, LAN 내의 설비 기기끼리의 액세스를 허가할지의 여부의 인증 처리에 필요한 정보만이 센터 서버로부터 송신되고, 설정되므로, 로컬 서버에서의 정보 처리의 부담이 적다. 또한, LAN 내의 설비 기기의 환경 설정에 변경(설비 기기의 증설이나 제거, 설비 기기로의 기능의 추가 등)이 있을 때 식별자 정보가 로컬 서버로부터 센터 서버에 송신되고, LAN 내에서의 인증 처리에 필요한 정보가 자동적으로 갱신되므로, LAN 내에서 신뢰성이 높은 시큐어 통신을 행할 수 있는 시스템을 용이하게 구축할 수 있다.As described above, in the network system of the present invention, by providing a server in the LAN that can perform authentication processing for access between facility devices in the LAN, secure communication within 1AN can be secured even if an abnormality occurs in the WAN. have. In addition, since only the information necessary for the authentication processing of whether or not to allow access between facility devices in the LAN is transmitted from the center server and is set in the local server, the burden on the information processing in the local server is small. In addition, when there is a change in the configuration of equipment in the LAN (addition or removal of equipment, addition of functions to equipment), identifier information is sent from the local server to the center server, and the authentication processing in the LAN is performed. Since the necessary information is automatically updated, it is possible to easily construct a system that can perform secure communication with high reliability within a LAN.
이와 같이, 본 발명은, 액세스 제어의 안전성 향상이 점점 더 중요시되고 있는 최근의 정보화 사회에 최적인 네트워크 시스템을 제공하는 것으로서 그 이용가치가 높다.As described above, the present invention provides a network system that is optimal for an information society that has recently become increasingly important in improving the safety of access control, and its use value is high.
Claims (8)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006132930A JP3992067B1 (en) | 2006-05-11 | 2006-05-11 | Network system |
JPJP-P-2006-00132930 | 2006-05-11 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080082971A KR20080082971A (en) | 2008-09-12 |
KR100969906B1 true KR100969906B1 (en) | 2010-07-13 |
Family
ID=38683352
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020087016557A KR100969906B1 (en) | 2006-05-11 | 2007-05-11 | Network system |
Country Status (4)
Country | Link |
---|---|
JP (1) | JP3992067B1 (en) |
KR (1) | KR100969906B1 (en) |
CN (1) | CN101443777B (en) |
WO (1) | WO2007132764A1 (en) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4640402B2 (en) * | 2007-11-07 | 2011-03-02 | 富士ゼロックス株式会社 | Information processing apparatus and user authentication program |
US8341716B2 (en) | 2007-11-07 | 2012-12-25 | Fuji Xerox Co., Ltd. | Information processing device, information processing method, and storage media storing user certification program |
JP5560561B2 (en) * | 2009-01-15 | 2014-07-30 | ソニー株式会社 | Content provision system |
JP5308993B2 (en) * | 2009-11-02 | 2013-10-09 | 株式会社日立製作所 | How to register device information |
JP5503500B2 (en) * | 2010-11-02 | 2014-05-28 | 株式会社日立製作所 | Access right management device, access right management system, access right management method, and access right management program |
JP7331532B2 (en) * | 2019-07-30 | 2023-08-23 | 京セラドキュメントソリューションズ株式会社 | Information processing system, information processing device, and information processing method |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1049443A (en) | 1996-08-02 | 1998-02-20 | Nippon Telegr & Teleph Corp <Ntt> | Information processing system |
JP2002056074A (en) | 2000-08-07 | 2002-02-20 | Matsushita Electric Works Ltd | Equipment use contracting system using communication network |
JP2004005532A (en) | 2003-03-31 | 2004-01-08 | Fujitsu Support & Service Kk | Individual authenticating system by fingerprint |
JP2004021666A (en) | 2002-06-18 | 2004-01-22 | Hitachi Ltd | Network system, server, and server setting method |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5941947A (en) * | 1995-08-18 | 1999-08-24 | Microsoft Corporation | System and method for controlling access to data entities in a computer network |
JP2001358717A (en) * | 2000-06-12 | 2001-12-26 | Nippon Telegr & Teleph Corp <Ntt> | Method and device for managing network device or the like and program recording medium |
JP3575603B2 (en) * | 2001-03-16 | 2004-10-13 | ソニー株式会社 | Information processing apparatus and method, recording medium, and program |
JP3797937B2 (en) * | 2002-02-04 | 2006-07-19 | 株式会社日立製作所 | Network connection system, network connection method, and network connection device used therefor |
JP3573453B2 (en) * | 2002-09-27 | 2004-10-06 | 松下電器産業株式会社 | Terminal authentication system, terminal authentication method, and terminal authentication server |
JP2004334610A (en) * | 2003-05-09 | 2004-11-25 | Nec Corp | Method for providing local network management service |
CN100445925C (en) * | 2004-04-15 | 2008-12-24 | 松下电器产业株式会社 | Access control device and electronic device |
JP4410058B2 (en) * | 2004-08-18 | 2010-02-03 | 日本電信電話株式会社 | Network operation service composition processing method, network operation apparatus, program, and recording medium |
JP4260759B2 (en) * | 2005-02-18 | 2009-04-30 | 富士通株式会社 | Device control service providing program, device control service providing system, and device control service providing method |
-
2006
- 2006-05-11 JP JP2006132930A patent/JP3992067B1/en not_active Expired - Fee Related
-
2007
- 2007-05-11 CN CN2007800171376A patent/CN101443777B/en not_active Expired - Fee Related
- 2007-05-11 WO PCT/JP2007/059731 patent/WO2007132764A1/en active Application Filing
- 2007-05-11 KR KR1020087016557A patent/KR100969906B1/en not_active IP Right Cessation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH1049443A (en) | 1996-08-02 | 1998-02-20 | Nippon Telegr & Teleph Corp <Ntt> | Information processing system |
JP2002056074A (en) | 2000-08-07 | 2002-02-20 | Matsushita Electric Works Ltd | Equipment use contracting system using communication network |
JP2004021666A (en) | 2002-06-18 | 2004-01-22 | Hitachi Ltd | Network system, server, and server setting method |
JP2004005532A (en) | 2003-03-31 | 2004-01-08 | Fujitsu Support & Service Kk | Individual authenticating system by fingerprint |
Also Published As
Publication number | Publication date |
---|---|
JP3992067B1 (en) | 2007-10-17 |
WO2007132764A1 (en) | 2007-11-22 |
CN101443777B (en) | 2012-05-23 |
CN101443777A (en) | 2009-05-27 |
JP2007306331A (en) | 2007-11-22 |
KR20080082971A (en) | 2008-09-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8561147B2 (en) | Method and apparatus for controlling of remote access to a local network | |
US9125049B2 (en) | Configuring secure wireless networks | |
JP5072666B2 (en) | Facility equipment cooperation system, equipment control method, and agent device | |
KR100969906B1 (en) | Network system | |
US20140247941A1 (en) | Self-configuring wireless network | |
US20170048700A1 (en) | Self-configuring wireless network | |
US20130067544A1 (en) | System for authentication management of a sensor node having a subscription processing function, and a method for operating the system | |
JP2004214937A (en) | Home automation system for multiple dwelling house and center server used for the same | |
WO2001082086A1 (en) | Access right setting device and manager terminal | |
US8089896B2 (en) | Network system | |
US9749285B2 (en) | Connected home control system with auto router port configuration and DDNS registration | |
KR100555949B1 (en) | Authentication system of home device and a method authenticating thereof | |
US10523763B2 (en) | Communication device, communication method, controlled device, and non-transitory computer readable medium | |
KR101056102B1 (en) | Network system | |
JP2003085059A (en) | Firewall setting method and system for the same | |
CN108055182B (en) | Open type intelligent home system | |
KR100777811B1 (en) | home network control system of long distance computer power supply using home gateway | |
CN112383500A (en) | Method and system for controlling access request related to screen projection equipment | |
KR19990078861A (en) | Security System of Terminal Unit for Keep Watch Camera | |
JP4501498B2 (en) | Network-compatible analyzer and system | |
US10511671B2 (en) | Communication device, communication method, controlled device, and non-transitory computer readable medium | |
JP4473836B2 (en) | Remote monitoring system | |
KR100462660B1 (en) | Automatic monitoring and defencing system based on communication network | |
WO2021182346A1 (en) | Remote operation management device and remote operation management method for facility security equipment | |
KR20060001903A (en) | Homenetwork system using real time interlock server and it's control system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130618 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140630 Year of fee payment: 5 |
|
LAPS | Lapse due to unpaid annual fee |