WO2019092873A1 - 通信ネットワークシステム - Google Patents
通信ネットワークシステム Download PDFInfo
- Publication number
- WO2019092873A1 WO2019092873A1 PCT/JP2017/040686 JP2017040686W WO2019092873A1 WO 2019092873 A1 WO2019092873 A1 WO 2019092873A1 JP 2017040686 W JP2017040686 W JP 2017040686W WO 2019092873 A1 WO2019092873 A1 WO 2019092873A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- communication
- unit
- packet
- access
- access request
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/564—Enhancement of application control based on intercepted application data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Definitions
- the present invention relates to a communication network system that mutually communicates between an external device connected to a global network and an internal device connected to a local area network.
- a wide variety of manufacturing devices are installed in a factory that produces products. For example, in a factory which produces a mounting substrate on which electronic components are mounted (mounted), a plurality of component mounting apparatuses for mounting (mounting) the electronic components on the substrate are installed. Each of the plurality of component mounting apparatuses refers to various information necessary for the mounting operation for mounting the electronic component on the substrate, and produces a mounting substrate by executing a predetermined mounting program.
- a local network (local area network) separated from global networks such as the Internet and office networks from the viewpoint of preventing leakage of information on technical information, production volume, product quality, etc. to the outside. )
- various manufacturing devices hereinafter referred to as “internal devices”
- internal devices such as a plurality of component mounting devices installed in a factory to a local area network
- the manufacturer of internal devices such as component mounting devices is required to update programs for operating the devices, to provide information on maintenance and inspection of the devices, and to perform maintenance inspections by remote control (remote control). Provision is desired.
- the maker of the internal device In order for the maker of the internal device to provide the above service, it is necessary to access the internal device connected to the local area network from an external device connected to the global network separated from the local area network. Technologies that enable such communication between the global network and the local area network are disclosed, for example, in Patent Documents 1 and 2.
- the present invention has been made in view of such circumstances, and an object of the present invention is to allow an external device connected to a global network to improperly access an internal device connected to a local area network. It is an object of the present invention to provide a communication network system capable of monitoring, in a local area network, whether or not it is not.
- a communication network system includes an external device connected to a global network, an internal device connected to a local area network separated from the global network, and the external device via the global network. And a gateway device which relays communication between the global network and the local area network.
- the server device receives an access request packet indicating a request for access to the internal device from the external device via the global network, and receives a first access request notification packet for notifying receipt of the access request packet. It is configured to transmit to the gateway device.
- the gateway device includes: a first communication unit that communicates with the server device via the global network; and a second communication unit that communicates with the internal device via the local area network.
- a first communication control unit that controls the first communication unit and receives the first access request notification packet transmitted from the server device to the gateway device; and controls the second communication unit; When the first access request notification packet is received by the unit, the external device and the external device are notified by transmitting a second access request notification packet for notifying receipt of the first access request notification packet to the internal device.
- a second communication control unit for establishing a session with the internal device, and between the external device and the internal device by the establishment of the session Including, a communication history storage unit for storing the communication history information on the history of communications.
- it is a flow chart which shows cloud server communication processing which a cloud server device performs.
- it is a flow chart which shows gateway communication processing which a gateway device performs.
- FIG. 1 is a block diagram showing the configuration of a communication network system 1 according to the first embodiment of the present invention.
- the communication network system 1 is a network system for mutually communicating between a global network (hereinafter referred to as “GN”) 2 such as the Internet and a local area network (hereinafter referred to as “LAN”) 6. is there.
- GN global network
- LAN local area network
- the communication network system 1 includes an external device 3 connected to the GN 2, a cloud server device 4, and a local system 5.
- the local system 5 is a system belonging to the LAN 6 separated from the GN 2 and is, for example, a computer network system built in a factory.
- the local system 5 is constructed as a system belonging to the LAN 6 separated from the GN 2 from the viewpoint of suppressing the leakage of information on the technical information, the production amount, the product quality and the like to the outside.
- the local system 5 includes a plurality of first internal devices 61 and second internal devices 62 connected to the LAN 6, a packet filtering device 7, a router 8, and a gateway device 9.
- the first internal device 61 is, for example, a manufacturing device such as a component mounting device installed in a factory.
- the component mounting apparatus is a manufacturing apparatus for mounting (mounting) an electronic component on a substrate, and refers to various information necessary for the mounting operation for mounting the electronic component on the substrate and executes a predetermined mounting program. To produce a mounting board.
- the second internal device 62 is a management device for comprehensively managing the operation of each first internal device 61. In the example shown in FIG. 1, four first internal devices 61 and one second internal device 62 are connected to the LAN 6. By connecting the plurality of first internal devices 61 and the second internal devices 62 installed in the factory to the LAN 6, information between the plurality of first internal devices 61 and the second internal devices 62 via the LAN 6 Transmission and reception of
- the packet filtering device 7 is a device that limits packet communication between the external device 3 connected to the GN 2 and the first and second internal devices 61 and 62 connected to the LAN 6, and is, for example, a so-called firewall. .
- the router 8 is a communication device for interconnecting the GN 2 and the LAN 6 and has a route selection function of determining through which route data should be transferred in the network layer.
- the gateway device 9 is a device that relays communication between the external device 3 connected to the GN 2 and the first and second internal devices 61 and 62 connected to the LAN 6. Details of the configuration of the gateway device 9 will be described later.
- the external device 3 connected to the GN 2 is, for example, a personal computer.
- the external device 3 is operated by, for example, the manufacturer of the first internal device 61 and the second internal device 62 that constitute the local system 5.
- the external device 3 is operated.
- the cloud server device 4 is a virtualization server device that cooperates with the external device 3 and the gateway device 9 via the GN 2.
- the cloud server device 4 is communicably connected to the external device 3 and the gateway device 9 via the GN 2.
- FIG. 2 is a block diagram showing the configuration of the gateway device 9 provided in the communication network system 1.
- FIGS. 3 to 7 are diagrams showing packet header information used to establish a session between the external device 3 and the first and second internal devices 61 and 62.
- the gateway device 9 includes a first communication unit 91, a second communication unit 92, a communication management unit 93, a display unit 94, a central processing unit 95, a communication history storage unit 96, and a communication information storage unit 97. These units are connected via a bus 90.
- the first communication unit 91 is an interface circuit for communicating with the cloud server device 4 via the GN 2.
- the packet filtering device 7 and the router 8 are disposed on a communication path on which communication via the GN 2 is performed between the first communication unit 91 and the cloud server device 4.
- the first communication unit 91 generates a communication signal according to the GN 2 transmission method based on the data from the central processing unit 95, and the central processing unit 95 processes the communication signal from the cloud server device 4 via GN 2. Convert to possible format data.
- the second communication unit 92 is an interface circuit for communicating with the first and second internal devices 61 and 62 via the LAN 6.
- the second communication unit 92 generates a communication signal according to the transmission method of the LAN 6 based on the data from the central processing unit 95, and transmits the communication signals from the first and second internal devices 61 and 62 via the LAN 6.
- the central processing unit 95 converts it into data of a processable format.
- the central processing unit 95 includes, for example, a microprocessor and its peripheral circuits, and includes a first communication control unit 951, a second communication control unit 952, a communication management control unit 953, and a display control unit 954.
- the first communication control unit 951 controls the first communication unit 91.
- the first communication control unit 951 is a software group compliant with the Internet protocol group including TCP / IP used in GN2.
- the first communication control unit 951 includes a lowermost device driver for controlling the first communication unit 91, software of a data link layer corresponding to the Internet protocol, software of a network layer of IP (Internet Protocol), and TCP (Transmission Control). And the upper layer software such as Protocol).
- the first communication control unit 951 controls the first communication unit 91 to transmit the first periodic packet RP1 including the header information HJ1 shown in FIG. 3 from the first communication unit 91 to the cloud server device 4.
- the first regular packet RP1 is a communication packet transmitted from the first communication unit 91 to the cloud server device 4 periodically at predetermined time intervals.
- the header information HJ1 of the first periodic packet RP1 is the global IP address GAG of the gateway apparatus 9 as the transmission source of the first periodic packet RP1, the global IP address GAC of the cloud server apparatus 4 as the transmission destination of the first periodic packet RP1, And RGID of the gateway device 9 is added. In the example shown in FIG.
- the global IP address GAG of the gateway device 9 is "210.0.0.254", and the global IP address GAC of the cloud server device 4 is " 320.0.0.1 ", and the identifier GID of the gateway apparatus 9 is" GATE AWY1 ".
- the first communication control unit 951 is transmitted from the cloud server device 4 to the gateway device 9 to control the first communication unit 91 and to respond to the first periodic packet RP1 transmitted from the first communication unit 91.
- the first communication unit 91 is made to receive the first access request notification packet NP1 (see FIG. 6).
- packet communication via the GN 2 between the external device 3 and the cloud server device 4 will be described.
- the cloud server device 4 receives an access request packet DP including header information HJ3 shown in FIG. 5 from the external device 3 via GN2.
- the access request packet DP is a communication packet transmitted from the external device 3 to the cloud server device 4 and is a communication packet indicating a request for access from the external device 3 to the first and second internal devices 61 and 62.
- the header information HJ3 of the access request packet DP includes the global IP address GAM of the external device 3 that is the transmission source of the access request packet DP, the global IP address GAC of the cloud server device 4 that is the transmission destination of the access request packet DP, and the access request
- the identifier MID of the first and second internal devices 61 and 62 is added. In the example shown in FIG.
- the global IP address GAM of the external device 3 is "A1.B1.C1.D1" and the global IP address GAC of the cloud server device 4 is "320".
- the identifier MID of the first and second internal devices 61 and 62 of the access request destination is "MACHINE 1".
- the cloud server device 4 When the cloud server device 4 receives the access request packet DP from the external device 3 and receives the first periodic packet RP1 from the first communication unit 91 of the gateway device 9, the cloud server device 4 includes the header information HJ4 shown in FIG.
- the access request notification packet NP1 is transmitted to the gateway 9.
- the first access request notification packet NP1 is a communication packet for notifying the gateway device 9 of the reception of the access request packet DP from the external device 3.
- the cloud server device 4 When transmitting the first access request notification packet NP1 to the gateway device 9, the cloud server device 4 refers to the header information HJ1 of the first periodic packet RP1 to specify the global IP address GAG of the gateway device 9 as the transmission destination. Do.
- the header information HJ4 of the first access request notification packet NP1 is the global IP address GAC of the cloud server device 4 that is the transmission source of the first access request notification packet NP1, and the gateway device 9 that is the transmission destination of the first access request notification packet NP1.
- the global IP address GAG and the identifier MID of the first and second internal devices 61 and 62 of the access request destination are added. In the example shown in FIG.
- the global IP address GAC of the cloud server device 4 is "320.0.0.1” and the global IP address GAG of the gateway device 9 Is “210.0.0.254”, and the identifier MID of the first and second internal devices 61 and 62 of the access request destination is “MACHINE 1”.
- the first communication control unit 951 in the central processing unit 95 of the gateway device 9 sends the cloud server device 4 to the gateway device 9 so as to respond to the first periodic packet RP1 transmitted from the first communication unit 91.
- the first communication unit 91 is made to receive the transmitted first access request notification packet NP1.
- the second communication control unit 952 controls the second communication unit 92.
- the second communication control unit 952 is a software group conforming to the communication protocol used in the LAN 6.
- the second communication control unit 952 is a lowermost device driver for controlling the second communication unit 92, software of a data link layer corresponding to the communication protocol used in the LAN 6, and a network layer corresponding to the communication protocol used in the LAN 6.
- the second communication control unit 952 controls the second communication unit 92 to cause the second communication unit 92 to receive the second periodic packet RP2 including the header information HJ2 shown in FIG. 4.
- the second periodic packet RP2 is a communication packet transmitted from the first and second internal devices 61 and 62 to the gateway device 9 periodically at predetermined time intervals.
- the header information HJ2 of the second periodic packet RP2 is the gateway device 9 as the transmission destination of the second periodic packet RP2 and the local IP address LAM of the first and second internal devices 61 and 62 as the transmission sources of the second periodic packet RP2.
- an identifier MID of the first and second internal devices 61 and 62 In the example shown in FIG.
- the local IP address LAM of the first and second internal devices 61 and 62 is “66.0.0. 1”.
- the local IP address LAG is "66.0.0.254", and the identifier MID of the first and second internal devices 61, 62 is "MACHINE 1".
- the second communication control unit 952 transmits the second period transmitted from the first and second internal devices 61 and 62 to the gateway device 9.
- the second communication unit 92 transmits the second access request notification packet NP2 including the header information HJ5 shown in FIG. 7 to the first and second internal devices 61 and 62 so as to respond to the packet RP2.
- the second communication control unit 952 performs the second communication.
- the second access request notification packet NP2 is transmitted from the unit 92 to the first and second internal devices 61 and 62.
- the second access request notification packet NP2 is a communication packet for notifying the first and second internal devices 61 and 62 of the reception of the first access request notification packet NP1 from the cloud server device 4.
- the second communication control unit 952 refers to the header information HJ2 of the second periodic packet RP2 to be the transmission destination.
- the local IP address LAM of the first and second internal devices 61 and 62 is specified.
- the second communication control unit 952 when transmitting the second access request notification packet NP2 to the first and second internal devices 61 and 62, refers to the header information HJ2 of the second periodic packet RP2, Although the configuration for specifying the local IP address LAM of the first and second internal devices 61 and 62 has been described, the present invention is not limited to this configuration.
- the second communication control unit 952 refers to the local communication information stored in the communication information storage unit 97 provided in the gateway device 9, The second access request notification packet NP2 may be transmitted from the second communication unit 92 to the first and second internal devices 61 and 62.
- the local communication information is information stored in advance in the communication information storage unit 97, and is used in communication between the gateway device 9 and the first and second internal devices 61 and 62 via the LAN 6. It is information in which the local IP address LAM of the first and second internal devices 61 and 62 and the identifier MID of the first and second internal devices 61 and 62 are associated with each other.
- the second communication control unit 952 when transmitting the second access request notification packet NP2 to the first and second internal devices 61 and 62, the second communication control unit 952 refers to the local communication information stored in the communication information storage unit 97. Then, the local IP address LAM of the first and second internal devices 61 and 62 as the transmission destinations is specified.
- the header information HJ5 of the second access request notification packet NP2 is the first IP address of the local IP address LAG of the gateway apparatus 9 which is the transmission source of the second access request notification packet NP2 and the first and second transmission destinations of the second access request notification packet NP2. 2
- the local IP address LAM of the internal devices 61 and 62 and the identifier GID of the gateway device 9 are added.
- the local IP address LAG of the gateway device 9 is "66.0.0.254", and the first and second internal devices 61
- the 62 local IP address LAM is “66.0.0.1”
- the identifier GID of the gateway apparatus 9 is “GATEAWY1”.
- the second communication control unit 952 transmits the second access request notification packet NP2 from the second communication unit 92 to the first and second internal devices 61 and 62, thereby the external device 3 and the first and second internal devices 61. , 62, establishing a session for mutual communication.
- the first and second internal devices 61 and 62 are operated by remote control (remote control) from the external device 3. It becomes possible to provide information on updating of a program for operation, maintenance and inspection of the device, and provision of a service for performing maintenance and inspection.
- communication processing based on packet communication of the cloud server device 4 and the gateway device 9 for establishing a session between the external device 3 and the first and second internal devices 61 and 62 in the communication network system 1 Will be described in more detail later.
- the communication management control unit 953 controls the communication management unit 93.
- the communication management unit 93 includes a session monitoring unit 931 and an unauthorized access processing unit 932.
- the session monitoring unit 931 monitors a session between the external device 3 and the first and second internal devices 61 and 62.
- the session monitoring unit 931 detects an unauthorized access from the external device 3 to the first and second internal devices 61 and 62 based on an access standard set in advance in the gateway device 9 by monitoring a session.
- the access standard is information indicating the permitted range of access from the external device 3 to the first and second internal devices 61 and 62.
- the access criteria are set in the gateway 9 as, for example, an access permission external identifier, an access permission internal identifier, and an access permission communication content information.
- the access permission external identifier indicates an identifier of the external device 3 that permits access to the first and second internal devices 61 and 62.
- the access permission internal identifier indicates the identifiers of the first and second internal devices 61 and 62 that permit the external device 3 to access.
- the access permission communication content information indicates information regarding communication content permitted after establishing a session between the external device 3 and the first and second internal devices 61 and 62.
- the communication content indicates the content of mutual communication performed between the external device 3 and the first and second internal devices 61 and 62 after the session is established.
- the contents of communication include, for example, remote control (remote control) from the external device 3 and data transfer between the external device 3 and the first and second internal devices 61 and 62.
- the session monitoring unit 931 detects an access from the external device 3 having an identifier other than the identifier indicated by the access permission external identifier to the first and second internal devices 61 and 62 as an unauthorized access. Also, the session monitoring unit 931 detects the access of the external device 3 to the first and second internal devices 61 and 62 having an identifier other than the identifier indicated by the access permission internal identifier as an unauthorized access. Also, when the session monitoring unit 931 performs mutual communication of communication contents other than the communication contents indicated by the access permission communication contents information, between the external device 3 and the first and second internal devices 61 and 62, Detect as unauthorized access. When detecting an unauthorized access from the external device 3 to the first and second internal devices 61 and 62, the session monitoring unit 931 outputs unauthorized access detection information.
- the session monitoring unit 931 performs monitoring operation for monitoring a session between the external device 3 and the first and second internal devices 61 and 62, and communication history information stored in the communication history storage unit 96 described later. It may be executed by referring to or may be executed without referring to the communication history information.
- the unauthorized access processing unit 932 When the unauthorized access detection information is output from the session monitoring unit 931, the unauthorized access processing unit 932 reports the unauthorized access detection information, and the external device 3 and the first and second internal devices 61 and 62. And / or perform at least one processing of blocking processing for blocking communication between
- the display control unit 954 controls the display unit 94 to cause the display unit 94 to display unauthorized access detection information.
- the unauthorized access detection information displayed on the display unit 94 includes, for example, message information such as “unauthorized access detected”.
- the display control unit 954 controls the display unit 94 to cause the display unit 94 to display the communication blocking information.
- the communication blocking information displayed on the display unit 94 includes, for example, message information such as "Intercommunication has been blocked.”
- the communication history storage unit 96 of the gateway device 9 stores communication history information on the history of the intercommunication between the external device 3 and the first and second internal devices 61 and 62 due to the establishment of a session.
- FIG. 8 is a diagram for explaining the communication history information JH1 stored in the communication history storage unit 96. As shown in FIG.
- the communication history information JH1 stored in the communication history storage unit 96 includes session start date and time information JH11, a global IP address GAM of the external device 3, an identifier MGID of the external device 3, and the first and second internal devices 61 and 62.
- the local IP address LAM, the identifier MID of the first and second internal devices 61 and 62, and the communication content information JH12 are associated with each other.
- the session start date information JH 11 is information indicating the date (“session start date”) when a session is started between the external device 3 and the first and second internal devices 61 and 62.
- the session start date and time information JH11 is shown as different session start dates and times for each of “S001”, “S002”, “S003”, “S004”, and “S005”.
- the global IP address GAM of the external device 3 is the global IP address of the external device 3 that is the access source to the first and second internal devices 61 and 62 (“IP address of access source”)
- IP address of access source Is information representing In the example shown in FIG. 8, the same “A1.B1.C1.D1” is associated with each session start date and time as the global IP address GAM of the external device 3.
- the identifier MGID of the external device 3 is information representing the identifier ("ID of access source") of the external device 3 as the access source to the first and second internal devices 61, 62. .
- ID of access source the identifier of access source
- the identifier MGID of the external device 3 "A001" is associated with each of the session start dates "S001", “S002", “S004", "S005", and "A002" is the session start date It is associated with "S003".
- the local IP addresses LAM of the first and second internal devices 61, 62 are the local IP addresses of the first and second internal devices 61, 62 as access destinations accessed by the external device 3. This is information that represents ("IP address of access destination").
- IP address of access destination In the example shown in FIG. 8, the same "66.0.0.1" is associated with each session start date and time as the local IP address LAM of the first and second internal devices 61 and 62.
- the identifiers MID of the first and second internal devices 61, 62 are the identifiers of the first and second internal devices 61, 62 that are the access destinations accessed by the external device 3 (“access destination Information representing the ID of In the example shown in FIG. 8, “MACHINE 1” is associated with each of the session start dates “S001”, “S003”, “S004”, and “S005” as the identifier MID of the first and second internal devices 61 and 62, "MACHINE 2" is associated with the session start date and time "S002".
- the communication content information JH 12 is information representing the content (“communication content”) of the mutual communication performed between the external device 3 and the first and second internal devices 61 and 62.
- “remote control” is associated with each of session start dates "S001", “S002” and “S003” as communication content information JH12
- "data transfer (transmission) folder: CCC” is a session.
- “Data transfer (reception) folder: CCC” is associated with the session start date and time "S005" in association with the start date and time "S004".
- FIG. 9 is a flowchart showing cloud server communication processing performed by the cloud server device 4 in the communication network system 1.
- FIG. 10 is a flowchart showing the gateway communication process performed by the gateway device 9 in the communication network system 1.
- the cloud server device 4 is communicably connected to the external device 3 through the GN 2, and the gateway device 9 is the cloud through the GN 2 by the first communication unit 91. It can communicate with the server device 4 and can communicate with the first and second internal devices 61, 62 via the LAN 6 by the second communication unit 92.
- the cloud server device 4 communicates with the external device 3 via GN 2
- the gateway apparatus 9 constructs a communication path for relaying between the GN 2 and the LAN 6.
- the cloud server device 4 performs cloud server communication processing by packet communication in order to establish a session between the external device 3 and the first and second internal devices 61 and 62.
- the cloud server device 4 receives an access request packet DP (see FIG. 5) from the external device 3 via the GN 2 (step a1).
- the cloud server device 4 determines whether the first periodic packet RP1 (see FIG. 3) is received from the first communication unit 91 of the gateway device 9 (step a2).
- the cloud server device 4 stands by until receiving the first periodic packet RP1 from the first communication unit 91 of the gateway device 9.
- the cloud server device 4 transmits a first access request notification packet NP1 (see FIG.
- step a3 the cloud server device 4 shifts the processing to step a1, and repeats each processing from step a1 to step a3.
- the gateway device 9 performs gateway communication processing by packet communication in order to establish a session between the external device 3 and the first and second internal devices 61 and 62.
- the first communication control unit 951 causes the first communication unit 91 to transmit the first periodic packet RP1 (see FIG. 3) to the cloud server device 4 (step b1).
- the first communication control unit 951 determines whether the first communication unit 91 receives the first access request notification packet NP1 (see FIG. 6) from the cloud server device 4 (step b2).
- the first communication control unit 951 stands by until the first communication unit 91 receives the first access request notification packet NP1.
- the second communication control unit 952 determines whether the second communication unit 92 receives the second periodic packet RP2 (see FIG. 4) from the first and second internal devices 61 and 62. It judges (step b3). The second communication control unit 952 waits until the second communication unit 92 receives the second periodic packet RP2.
- the second communication control unit 952 When the second communication control unit 952 receives the first access request notification packet NP1 by the first communication unit 91 and receives the second periodic packet RP2 by the second communication unit 92, the second communication control unit 952 receives the first access request notification packet NP1 from the second communication unit 92.
- the second access request notification packet NP2 (see FIG. 7) is transmitted to the first and second internal devices 61 and 62 (step b4).
- the second communication control unit 952 transmits the second access request notification packet NP2 from the second communication unit 92 to the first and second internal devices 61 and 62, thereby the external device 3 and the first and second internal devices 61. , 62, establishing a session for mutual communication (step b5).
- the communication target of the external device 3 via the GN 2 is the cloud server device 4. Therefore, in the global IP address used for communication via the GN 2, the address of the cloud server device 4 may be disclosed to the external device 3, and the address of the gateway device 9 may not be disclosed. Thereby, direct access from the external device 3 to the first and second internal devices 61 and 62 via the gateway device 9 can be restricted. As a result, regarding the access from the external device 3 to the first and second internal devices 61, 62, unauthorized access leading to information leakage to the outside can be suppressed as much as possible, and a high degree of security is achieved. Is secured.
- the second communication control unit 952 when establishing a session for mutual communication between the external device 3 and the first and second internal devices 61 and 62, the second communication control unit 952 performs the second periodic packet.
- the present invention is not limited to the configuration that refers to RP 2, and may have a configuration that refers to the local communication information stored in the communication information storage unit 97. In this case, step b3 is omitted in the flowchart shown in FIG.
- the second communication control unit 952 refers to the local communication information stored in the communication information storage unit 97 in step b4.
- a second access request notification packet NP2 is transmitted from the second communication unit 92 to the first and second internal devices 61 and 62.
- the communication history storage unit 96 When a session between the external device 3 and the first and second internal devices 61 and 62 is established, the communication history storage unit 96 performs communication between the external device 3 and the first and second internal devices 61 and 62. Communication history information JH1 (see FIG. 8) related to the history of mutual communication in step S6 is stored (step b6).
- the gateway device 9 provided with the communication history storage unit 96 constitutes a part of the local system 5 belonging to the LAN 6 separated from the GN 2, and the second communication unit 92 transmits the first and second internal devices 61 via the LAN 6. , 62 can be communicated. Therefore, by referring to the communication history information JH1 stored in the communication history storage unit 96 of the gateway device 9, unauthorized access from the external device 3 to the first and second internal devices 61, 62 is not performed. It becomes possible to monitor LAN etc. within the LAN 6 built in the local system 5.
- the session monitoring unit 931 monitors the session between the external device 3 and the first and second internal devices 61 and 62 (step b7). By monitoring the session, the session monitoring unit 931 determines whether the external device 3 has made unauthorized access to the first and second internal devices 61 and 62 (step b8). If an unauthorized access is not detected by the session monitoring unit 931, the communication management unit 93 determines whether the session between the external device 3 and the first and second internal devices 61 and 62 has ended ( Step b9) A session end process for ending the session is performed (step b10).
- the unauthorized access processing unit 932 performs notification processing for notifying the unauthorized access detection information; At least one of the unauthorized access processes of the blocking process for blocking the communication between the device 3 and the first and second internal devices 61 and 62 is performed (step b11).
- the session monitoring unit 931 detects the unauthorized access, and the unauthorized access processing unit 932 performs notification processing. And communication blocking process is performed.
- the gateway apparatus 9 provided with the session monitoring unit 931 and the unauthorized access processing unit 932 constitutes a part of the local system 5 belonging to the LAN 6 separated from the GN 2, and the second communication unit 92 transmits the first and the second through the LAN 6. Communication can be performed with the second internal device 61, 62. For this reason, it is possible to monitor, within the LAN 6 built in the local system 5, whether unauthorized access from the external device 3 to the first and second internal devices 61, 62 is performed.
- FIG. 11 is a block diagram showing the configuration of a communication network system 1A according to the second embodiment of the present invention.
- FIG. 12 is a block diagram showing the configuration of the gateway device 9A provided in the communication network system 1A according to the second embodiment.
- the communication network system 1A according to the second embodiment includes the proxy server 10 in the local system 5, and accordingly, the configuration of the gateway device 9A is different from that of the gateway device 9 in the communication network system 1 according to the first embodiment described above. .
- the communication network system 1A is configured in the same manner as the communication network system 1 according to the first embodiment.
- the communication network system 1A according to the second embodiment has the same parts as the communication network system 1 according to the first embodiment. Therefore, in the following description and drawings, the same reference numerals are given to corresponding similar parts, and the description is omitted.
- the proxy server 10 provided in the local system 5 is a server device that performs authentication processing for authenticating communication between the cloud server device 4 and the gateway device 9A via the GN 2 by the first communication unit 91.
- the gateway device 9A provided in the communication network system 1A is, similarly to the above-described gateway device 9, a communication management unit 93 including a first communication unit 91, a second communication unit 92, a session monitoring unit 931, and an unauthorized access processing unit 932
- a display unit 94, a central processing unit 95, a communication history storage unit 96, and a communication information storage unit 97 are provided, and an authentication information storage unit 98 and an access approval denial processing unit 99 are provided as new configurations.
- the authentication information storage unit 98 stores authentication information used for authentication processing of the proxy server 10.
- the authentication information used for the authentication process of the proxy server 10 includes an authentication identifier (authentication ID) and a password.
- the first communication control unit 951 controls the first communication unit 91, and an authentication information added packet RP1A including header information HJ6 shown in FIG. Are transmitted from the first communication unit 91 to the cloud server device 4 as a first periodic packet.
- the authentication information addition packet RP1A is a communication packet transmitted from the first communication unit 91 to the cloud server device 4 periodically at predetermined time intervals.
- the header information HJ6 of the authentication information addition packet RP1A is the global IP address GAG of the gateway apparatus 9A as a transmission source of the authentication information addition packet RP1 and the global IP address GAC of the cloud server apparatus 4 as a transmission destination of the authentication information addition packet RP1A.
- the identifier GID of the gateway device 9A and the authentication information JH2 stored in the authentication information storage unit 98 are added.
- the global IP address GAG of the gateway apparatus 9 is "210.0.0.254"
- the global IP address GAC of the cloud server apparatus 4 is " 320.0.0.1 "
- the identifier GID of the gateway apparatus 9A is" GATEAWY1 "
- the authentication information JH2 is" J001 ".
- the first communication control unit 951 is transmitted from the cloud server device 4 to the gateway device 9A so as to control the first communication unit 91 and to respond to the authentication information addition packet RP1A transmitted from the first communication unit 91.
- the first communication unit 91 is made to receive the first access request notification packet NP1 (see FIG. 6).
- the cloud server device 4 when the cloud server device 4 receives the access request packet DP (see FIG. 5) from the external device 3 and receives the authentication information added packet RP1A from the first communication unit 91 of the gateway device 9A, the first access is made.
- the request notification packet NP1 is transmitted to the gateway device 9A.
- the cloud server device 4 refers to the header information HJ6 of the authentication information addition packet RP1A to specify the global IP address GAG of the gateway device 9A as the transmission destination.
- authentication information to be used for authentication processing of the proxy server 10 is specified.
- the header information HJ3 of the access request packet DP transmitted from the external device 3 to the cloud server device 4 includes the global IP address GAM of the external device 3 and the global IP address GAC of the cloud server device 4,
- the identifier of the external device 3 and the communication content information are included.
- the communication content information included in the header information HJ3 of the access request packet DP indicates the content of mutual communication performed between the external device 3 and the first and second internal devices 61 and 62 after the session is established.
- the contents of communication include, for example, remote control (remote control) from the external device 3 and data transfer between the external device 3 and the first and second internal devices 61 and 62.
- the header information HJ4 of the first access request notification packet NP1 transmitted from the cloud server device 4 to the gateway device 9A includes the global IP address GAC of the cloud server device 4 and the global IP of the gateway device 9.
- the identifier of the external device 3 added to the header information HJ3 of the access request packet DP and the communication content information include.
- the access approval denial processing unit 99 performs an approval process or a rejection process.
- the approval process executed by the access approval denial processing unit 99 is a process for approving the access from the external device 3 to the first and second internal devices 61 and 62 based on a predetermined access standard.
- the refusal process performed by the access approval refusal processing unit 99 is a process for refusing the access from the external device 3 to the first and second internal devices 61 and 62 based on a predetermined access standard.
- the access criteria to be referred to when the access approval denial processing unit 99 performs the approval process and rejection process are the same as the above-mentioned access criteria to be referred to when the session monitoring unit 931 monitors the session. This is information indicating the permitted range of access to the first and second internal devices 61 and 62.
- the access criteria include the aforementioned access permission external identifier, access permission internal identifier, and access permission communication content information.
- a first access request notification packet NP1 including an access permission external identifier as an access reference, an access permission internal identifier, and header information to which information matching the access permission communication content information is added is received by the first communication unit 91
- the access approval denial processing unit 99 performs an approval process for approving the access from the external device 3 to the first and second internal devices 61 and 62.
- the access approval denial processing unit 99 receives A denial process for denying access to the first and second internal devices 61 and 62 is performed.
- the second communication control unit 952 when the second communication control unit 952 performs the approval processing by the access approval denial processing unit 99, the second communication request notification packet from the second communication unit 92 to the first and second internal devices 61 and 62. NP2 (see FIG. 7) is transmitted to establish a session between the external device 3 and the first and second internal devices 61 and 62.
- the second communication control unit 952 transmits the second access request notification packet NP2 from the second communication unit 92 to the first and second internal devices 61 and 62. Instead, the session between the external device 3 and the first and second internal devices 61 and 62 is not established.
- FIG. 14 is a flowchart showing cloud server communication processing performed by the cloud server device 4 in the communication network system 1A.
- FIG. 15 is a flowchart showing the gateway communication process performed by the gateway device 9A in the communication network system 1A.
- the cloud server device 4 is communicably connected to the external device 3 through the GN 2 and the gateway device 9A is the cloud through the GN 2 by the first communication unit 91. It can communicate with the server device 4 and can communicate with the first and second internal devices 61, 62 via the LAN 6 by the second communication unit 92.
- the cloud server device 4 communicates with the external device 3 via GN 2
- the gateway apparatus 9A constructs a communication path for relaying between the GN 2 and the LAN 6.
- the cloud server device 4 performs cloud server communication processing by packet communication in order to establish a session between the external device 3 and the first and second internal devices 61 and 62.
- the cloud server device 4 receives an access request packet DP from the external device 3 via GN 2 (step c1).
- the cloud server device 4 determines whether the authentication information added packet RP1A has been received from the first communication unit 91 of the gateway device 9A (step c2).
- the cloud server device 4 stands by until receiving the authentication information added packet RP1A from the first communication unit 91 of the gateway device 9A.
- the cloud server device 4 When the authentication information addition packet RP1A is received, the cloud server device 4 refers to the header information HJ6 of the authentication information addition packet RP1A to specify the global IP address GAG of the gateway device 9A, and is used for the authentication process of the proxy server 10. Authentication information JH2 to be identified. Then, the gateway 4 transmits the first access request notification packet NP1 to the gateway 9A so as to respond to the authentication information addition packet RP1A (step c3). When the transmission of the first access request notification packet NP1 is completed, the cloud server device 4 shifts the process to step c1 and repeats each process from step c1 to step c3.
- the gateway device 9A performs gateway communication processing by packet communication in order to establish a session between the external device 3 and the first and second internal devices 61 and 62.
- the first communication control unit 951 causes the first communication unit 91 to transmit an authentication information addition packet RP1A to the cloud server device 4 (step d1).
- the authentication information JH2 used for the authentication process of the proxy server 10 is added to the header information HJ6 of the authentication information addition packet RP1A, and the authentication information JH2 is stored in the authentication information storage unit 98 of the gateway device 9A. It is done.
- the gateway apparatus 9A provided with the authentication information storage unit 98 constructs a communication path relaying between the GN 2 and the LAN 6 in the communication path between the external apparatus 3 and the first and second internal apparatuses 61 and 62. For this reason, it is not necessary to store authentication information in the first and second internal devices 61 and 62 connected to the LAN 6.
- the first communication control unit 951 causes the first communication unit 91 to transmit the authentication information addition packet RP1A to the cloud server device 4.
- the cloud server device 4 transmits the first access request notification packet NP1 to the gateway device 9A in response to the authentication information addition packet RP1A, the cloud server device 4 refers to the header information HJ6 of the authentication information addition packet RP1A.
- the authentication information JH2 used for the authentication process of the proxy server 10 can be specified.
- the first communication control unit 951 determines whether the first communication unit 91 has received the first access request notification packet NP1 from the cloud server device 4 (step d2). The first communication control unit 951 stands by until the first communication unit 91 receives the first access request notification packet NP1.
- the access approval refusal processing unit 99 transmits the first and second internal devices 61 and 62 from the external device 3 based on a predetermined access standard. An approval process for approving access to the content or denial processing for rejecting the access is performed (step d3).
- the second communication control unit 952 performs the second periodic packet RP2 from the first and second internal devices 61 and 62 2) It is determined whether the communication unit 92 has received (step d5). The second communication control unit 952 waits until the second communication unit 92 receives the second periodic packet RP2.
- the second communication control unit 952 is between the external device 3 and the first and second internal devices 61 and 62. Session is not established (step d15). In this case, the second communication control unit 952 does not transmit the second access request notification packet NP2 from the second communication unit 92 to the first and second internal devices 61 and 62.
- the second communication control unit 952 When the second communication control unit 952 receives the first access request notification packet NP1 by the first communication unit 91 and receives the second periodic packet RP2 by the second communication unit 92, the second communication control unit 952 receives the first access request notification packet NP1 from the second communication unit 92.
- the second access request notification packet NP2 is transmitted to the first and second internal devices 61 and 62 (step d6).
- the second communication control unit 952 transmits the second access request notification packet NP2 from the second communication unit 92 to the first and second internal devices 61 and 62, thereby the external device 3 and the first and second internal devices 61. , 62, establishing a session for mutual communication (step d7).
- the second communication control unit 952 when establishing a session for mutual communication between the external device 3 and the first and second internal devices 61 and 62, the second communication control unit 952 performs the second periodic packet.
- the present invention is not limited to the configuration that refers to RP 2, and may have a configuration that refers to the local communication information stored in the communication information storage unit 97. In this case, step d5 is omitted in the flowchart shown in FIG.
- the second communication control unit 952 refers to the local communication information stored in the communication information storage unit 97 in step d6, A second access request notification packet NP2 is transmitted from the second communication unit 92 to the first and second internal devices 61 and 62.
- the communication history storage unit 96 When a session between the external device 3 and the first and second internal devices 61 and 62 is established, the communication history storage unit 96 performs communication between the external device 3 and the first and second internal devices 61 and 62. Communication history information JH1 related to the history of the intercommunication in step D8 is stored (step d8).
- the gateway apparatus 9A including the communication history storage unit 96 constitutes a part of the local system 5 belonging to the LAN 6 separated from the GN 2 and the second communication unit 92 via the LAN 6 to the first and second internal devices 61. , 62 can be communicated. Therefore, by referring to the communication history information JH1 stored in the communication history storage unit 96 of the gateway device 9A, unauthorized access from the external device 3 to the first and second internal devices 61, 62 is not performed. It becomes possible to monitor LAN etc. within the LAN 6 built in the local system 5.
- the session monitoring unit 931 monitors a session between the external device 3 and the first and second internal devices 61 and 62 (step d9). By monitoring the session, the session monitoring unit 931 determines whether the external device 3 has made unauthorized access to the first and second internal devices 61 and 62 (step d10). If an unauthorized access is not detected by the session monitoring unit 931, the communication management unit 93 determines whether the session between the external device 3 and the first and second internal devices 61 and 62 has ended ( Step d11) A session end process for ending the session is performed (step d12).
- the unauthorized access processing unit 932 performs notification processing for notifying the unauthorized access detection information; At least one of the unauthorized access processes of the blocking process for blocking communication between the device 3 and the first and second internal devices 61 and 62 is performed (step d13).
- the session monitoring unit 931 detects the unauthorized access, and the unauthorized access processing unit 932 performs notification processing. And communication blocking process is performed.
- the gateway apparatus 9A including the session monitoring unit 931 and the unauthorized access processing unit 932 constitutes a part of the local system 5 belonging to the LAN 6 separated from the GN 2 and the second communication unit 92 transmits the first and the second through the LAN 6. Communication can be performed with the second internal device 61, 62. For this reason, it is possible to monitor, within the LAN 6 built in the local system 5, whether unauthorized access from the external device 3 to the first and second internal devices 61, 62 is performed.
- a communication network system includes an external device connected to a global network, an internal device connected to a local area network separated from the global network, and the external device via the global network. And a gateway device which relays communication between the global network and the local area network.
- the server device receives an access request packet indicating a request for access to the internal device from the external device via the global network, and receives a first access request notification packet for notifying receipt of the access request packet. It is configured to transmit to the gateway device.
- the gateway device includes: a first communication unit that communicates with the server device via the global network; and a second communication unit that communicates with the internal device via the local area network.
- a first communication control unit that controls the first communication unit and receives the first access request notification packet transmitted from the server device to the gateway device; and controls the second communication unit; When the first access request notification packet is received by the unit, the external device and the external device are notified by transmitting a second access request notification packet for notifying receipt of the first access request notification packet to the internal device.
- a second communication control unit for establishing a session with the internal device, and between the external device and the internal device by the establishment of the session Including, a communication history storage unit for storing the communication history information on the history of communications.
- the server device is communicably connected to the external device via the global network, and the gateway device can communicate with the server device via the global network by the first communication unit, and The second communication unit can communicate with the internal device via the local area network.
- the server device establishes a communication path with the external device via the global network, and the gateway device is global Establish a communication path relaying between the network and the local area network.
- the server device that has received the access request packet from the external device transmits a first access request notification packet to the gateway device, and the gateway device that has received the first access request notification packet Is established by sending a second access request notification packet to the internal device.
- the communication target of the external device via the global network is a server device. Therefore, with the global IP address used for communication via the global network, the address of the server device may be disclosed to the external device, and the address of the gateway device may not be disclosed. Thereby, direct access from the external device to the internal device via the gateway device can be restricted. As a result, regarding the access from the external device to the internal device, unauthorized access leading to information leakage to the outside can be suppressed as much as possible, and high security in security is ensured.
- communication history information on the history of the communication is stored in the communication history storage unit of the gateway device.
- the gateway device provided with the communication history storage unit can communicate with the internal device via the local area network by the second communication unit. Therefore, by referring to the communication history information stored in the communication history storage unit of the gateway device, it is monitored whether the unauthorized access from the external device to the internal device is performed or not in the local area network. Is possible.
- the gateway device monitors the session between the external device and the internal device with reference to the communication history information stored in the communication history storage unit, and the external device A session monitoring unit that outputs unauthorized access detection information when an unauthorized access to the internal device is detected, and notification that the unauthorized access detection information is notified when the unauthorized access detection information is output by the session monitoring unit
- the configuration may further include an unauthorized access processing unit that performs at least one of processing and blocking processing for blocking communication between the external device and the internal device.
- the session monitoring unit detects the unauthorized access by referring to the communication history information stored in the communication history storage unit, and unauthorized access is made.
- the processing unit performs notification processing and communication disconnection processing. This ensures a higher degree of security.
- the gateway device monitors the session between the external device and the internal device without referring to the communication history information stored in the communication history storage unit, When an unauthorized access to the internal device from the device is detected, a session monitoring unit that outputs the unauthorized access detection information, and when the unauthorized access detection information is output by the session monitoring unit, the unauthorized access detection information is notified.
- the configuration may further include an unauthorized access processing unit that performs at least one of notification processing and blocking processing for blocking communication between the external device and the internal device.
- the session monitoring unit detects the unauthorized access without referring to the communication history information stored in the communication history storage unit,
- the access processing unit performs notification processing and communication blocking processing.
- the gateway device provided with the session monitoring unit and the unauthorized access processing unit can communicate with the internal device via the local area network by the second communication unit. For this reason, it is possible to monitor in the local area network whether unauthorized access from the external device to the internal device is performed.
- the first communication control unit causes the first communication unit to periodically transmit a first periodic packet to the server device at predetermined time intervals, and responds to the first periodic packet. And causing the first communication unit to receive the first access request notification packet transmitted from the server device to the gateway device.
- the second communication control unit causes the second communication unit to receive a second periodic packet periodically transmitted from the internal device to the gateway device at predetermined time intervals, and responds to the second periodic packet. To transmit the second access request notification packet from the second communication unit to the internal device.
- the gateway device stores local communication information associated with an address of the internal device and an identifier, which is used in communication with the internal device via the local area network.
- the communication information storage unit may be further included.
- the first communication control unit causes the server device to transmit a first periodic packet from the first communication unit to the server device periodically at predetermined time intervals, and to respond to the first periodic packet.
- the first communication unit receives the first access request notification packet transmitted to the gateway device.
- the second communication control unit refers to the local communication information stored in the communication information storage unit when the first access request notification packet is received by the first communication unit, and from the second communication unit The second access request notification packet is transmitted to the internal device.
- the communication network system may further include a proxy server that performs an authentication process for authenticating communication between the server apparatus and the gateway apparatus via the global network by the first communication unit. Good.
- the gateway device further includes an authentication information storage unit that stores authentication information used for the authentication process of the proxy server.
- the first communication control unit transmits an authentication information addition packet including header information to which the authentication information is added as the first periodic packet from the first communication unit to the server apparatus, and responds to the authentication information addition packet When the first access request notification packet is transmitted from the server device to the gateway device, the first communication unit is made to receive the first access request notification packet.
- authentication information used for authentication processing of the proxy server is stored in the authentication information storage unit of the gateway device.
- the gateway apparatus provided with the authentication information storage unit constructs a communication path relaying between the global network and the local area network in the communication path between the external apparatus and the internal apparatus. For this reason, it is not necessary to store authentication information in the internal device connected to the local area network.
- the first communication control unit causes the first communication unit to transmit an authentication information addition packet to the server device.
- the server apparatus transmits the first access request notification packet to the gateway apparatus in response to the authentication information addition packet, the server apparatus refers to the header information of the authentication information addition packet and uses it for the authentication process of the proxy server. Authentication information can be identified.
- the gateway device determines the external device based on a predetermined access standard.
- the system may further include an access approval refusal processing unit that performs an approval process for approving an access to the internal device from the above, or a refusal process for refusing the access.
- the second communication control unit causes the second communication unit to transmit the second access request notification packet from the second communication unit to the external device when the access approval denial processing unit performs the approval process. And a session between the internal device and the internal device is established, and when the denial process is performed by the access approval denial processing unit, the second communication unit does not transmit the second access request notification packet to the internal device. The session between the external device and the internal device is not established.
- the gateway apparatus that establishes a communication path relaying between the global network and the local area network includes an access approval denial processing unit. Then, in the gateway device, when the access approval refusal processing unit performs the approval processing, the second communication control unit causes the second communication unit to transmit a second access request notification packet to the internal device, and the external device and the internal device Establish a session between On the other hand, when the access approval refusal processing unit performs the refusal processing, the second communication control unit does not transmit the second access request notification packet from the second communication unit to the internal device, and between the external device and the internal device. Make the session not established. This ensures a higher degree of security.
- the external device connected to the global network monitors whether the unauthorized access to the internal device connected to the local area network is performed, etc. in the local area network. It is possible to provide a communication network system that can
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
通信ネットワークシステム(1)は、グローバルネットワーク(2)を介して外部装置(3)と接続されるクラウドサーバ装置(4)と、ゲートウェイ装置(9)とを備える。ゲートウェイ装置(9)は、グローバルネットワーク(2)を介してクラウドサーバ装置(4)との間で通信を行う第1通信部(91)と、ローカルエリアネットワーク(6)を介して内部装置(61)との間で通信を行う第2通信部(92)と、これらの第1及び第2通信部(91,92)をそれぞれ制御する第1及び第2通信制御部(951,952)と、通信履歴記憶部(96)と、を含む。第1及び第2通信制御部(951,952)による第1及び第2通信部(91,92)の制御によって、外部装置(3)と内部装置(61)との間のセッションが確立されると、通信履歴記憶部(96)は、当該外部装置(3)と内部装置(61)との間の通信の履歴に関する通信履歴情報(JH1)を記憶する。
Description
本発明は、グローバルネットワークに接続された外部装置とローカルエリアネットワークに接続された内部装置との間で相互に通信を行う通信ネットワークシステムに関する。
製品を生産する工場内には、多種多様な製造装置が設置されている。例えば、電子部品が搭載(実装)された実装基板を生産する工場内には、基板に電子部品を搭載(実装)する複数の部品実装装置が設置されている。複数の部品実装装置の各々は、基板に対して電子部品を実装する実装動作に必要な各種情報を参照し、所定の実装プログラムを実行することにより、実装基板を生産する。
ところで、工場内では、技術情報、生産量や製品品質等に関する情報などが外部に漏洩することを抑止する観点から、インターネットやオフィスネットワークなどのグローバルネットワークと分離された、ローカルなネットワーク(ローカルエリアネットワーク)が構築されていることが多い。工場内に設置された、複数の部品実装装置などの各種製造装置(以下、「内部装置」と称する)をローカルエリアネットワークに接続することにより、当該ローカルエリアネットワークを介して各内部装置の間での情報の送受信が可能となる。
一方、部品実装装置などの内部装置のメーカーには、装置を動作させるためのプログラムの更新や、装置の保守点検などに関する情報の提供、並びに遠隔操作(リモートコントロール)により保守点検を実行するサービスの提供が望まれている。内部装置のメーカーが上記のサービスを提供するに際しては、ローカルエリアネットワークとは分離されたグローバルネットワークに接続された外部装置から、ローカルエリアネットワークに接続された内部装置へアクセスする必要がある。このような、グローバルネットワークとローカルエリアネットワークとの間での通信を可能とする技術が、例えば特許文献1,2に開示されている。
しかしながら、外部への情報漏洩の抑止の観点からは、単純に、グローバルネットワークとローカルエリアネットワークとの間での通信を可能とするだけでは不十分である。すなわち、外部装置から内部装置へのアクセスについて、外部への情報漏洩につながる不正なアクセスが行われていないか等を、ローカルエリアネットワーク内で監視することが可能な通信ネットワークシステムを構築する必要がある。
本発明は、このような事情に鑑みてなされたものであり、その目的とするところは、グローバルネットワークに接続された外部装置から、ローカルエリアネットワークに接続された内部装置への不正なアクセスが行われていないか等を、ローカルエリアネットワーク内で監視することが可能な通信ネットワークシステムを提供することにある。
本発明の一の局面に係る通信ネットワークシステムは、グローバルネットワークに接続された外部装置と、前記グローバルネットワークと分離されたローカルエリアネットワークに接続された内部装置と、前記グローバルネットワークを介して前記外部装置と通信可能に接続されるサーバ装置と、前記グローバルネットワークと前記ローカルエリアネットワークとの間での通信を中継するゲートウェイ装置と、を備える。前記サーバ装置は、前記グローバルネットワークを介し、前記外部装置から前記内部装置へのアクセスの要求を示すアクセス要求パケットを受信し、当該アクセス要求パケットの受信を通知するための第1アクセス要求通知パケットを前記ゲートウェイ装置へ送信するように構成される。前記ゲートウェイ装置は、前記グローバルネットワークを介して前記サーバ装置との間で通信を行う第1通信部と、前記ローカルエリアネットワークを介して前記内部装置との間で通信を行う第2通信部と、前記第1通信部を制御し、前記サーバ装置から前記ゲートウェイ装置へ送信された前記第1アクセス要求通知パケットを受信させる第1通信制御部と、前記第2通信部を制御し、前記第1通信部により前記第1アクセス要求通知パケットが受信されると、当該第1アクセス要求通知パケットの受信を通知するための第2アクセス要求通知パケットを前記内部装置へ送信させることにより、前記外部装置と前記内部装置との間のセッションを確立する第2通信制御部と、前記セッションの確立による、前記外部装置と前記内部装置との間の通信の履歴に関する通信履歴情報を記憶する通信履歴記憶部と、を含む。
本発明の目的、特徴及び利点は、以下の詳細な説明と添付図面とによって、より明白となる。
以下、本発明の実施形態に係る通信ネットワークシステムについて図面に基づいて説明する。
[第1実施形態に係る通信ネットワークシステム]
<通信ネットワークシステムの全体構成>
図1は、本発明の第1実施形態に係る通信ネットワークシステム1の構成を示すブロック図である。通信ネットワークシステム1は、インターネットなどのグローバルネットワーク(以下、「GN」と称する)2と、ローカルエリアネットワーク(以下、「LAN」と称する)6との間で相互に通信を行うためのネットワークシステムである。通信ネットワークシステム1は、GN2に接続された外部装置3と、クラウドサーバ装置4と、ローカルシステム5とを備える。
<通信ネットワークシステムの全体構成>
図1は、本発明の第1実施形態に係る通信ネットワークシステム1の構成を示すブロック図である。通信ネットワークシステム1は、インターネットなどのグローバルネットワーク(以下、「GN」と称する)2と、ローカルエリアネットワーク(以下、「LAN」と称する)6との間で相互に通信を行うためのネットワークシステムである。通信ネットワークシステム1は、GN2に接続された外部装置3と、クラウドサーバ装置4と、ローカルシステム5とを備える。
ローカルシステム5は、GN2とは分離されたLAN6に属するシステムであって、例えば工場内に構築されたコンピュータネットワークシステムである。ローカルシステム5は、技術情報、生産量や製品品質等に関する情報などが外部に漏洩することを抑止する観点から、GN2とは分離されたLAN6に属するシステムとして構築されている。ローカルシステム5は、LAN6に接続された複数の第1内部装置61及び第2内部装置62と、パケットフィルタリング装置7と、ルーター8と、ゲートウェイ装置9とを含んで構成される。
第1内部装置61は、例えば工場内に設置された部品実装装置などの製造装置である。部品実装装置は、基板に電子部品を搭載(実装)するための製造装置であって、基板に対して電子部品を実装する実装動作に必要な各種情報を参照し、所定の実装プログラムを実行することにより、実装基板を生産する。第2内部装置62は、各第1内部装置61の動作を統括的に管理するための管理装置である。図1に示す例では、4台の第1内部装置61と1台の第2内部装置62とが、LAN6に接続されている。工場内に設置された複数の第1内部装置61及び第2内部装置62をLAN6に接続することにより、当該LAN6を介して複数の第1内部装置61及び第2内部装置62の間での情報の送受信が可能となる。
パケットフィルタリング装置7は、GN2に接続された外部装置3と、LAN6に接続された第1及び第2内部装置61,62との間における、パケット通信を制限する装置であり、例えば所謂ファイアウォールである。ルーター8は、GN2とLAN6との間を相互接続する通信機器であり、データをネットワーク層で、どのルートを通して転送すべきかを判断するルート選択機能を有する。ゲートウェイ装置9は、GN2に接続された外部装置3とLAN6に接続された第1及び第2内部装置61,62との間での通信を中継する装置である。このゲートウェイ装置9の構成の詳細については、後述する。
GN2に接続された外部装置3は、例えばパーソナルコンピュータからなる。外部装置3は、例えば、ローカルシステム5を構成する第1内部装置61及び第2内部装置62のメーカーによって操作される。第1内部装置61及び第2内部装置62を動作させるためのプログラムの更新や、装置の保守点検などに関する情報の提供、並びに遠隔操作(リモートコントロール)により保守点検を実行するサービスの提供の際に、外部装置3が操作される。
クラウドサーバ装置4は、GN2を介して外部装置3及びゲートウェイ装置9と連携する仮想化サーバ装置である。クラウドサーバ装置4は、GN2を介して外部装置3及びゲートウェイ装置9と通信可能に接続される。
通信ネットワークシステム1において、GN2に接続された外部装置3と、LAN6に接続された第1及び第2内部装置61,62との間での、相互通信のためのセッションは、クラウドサーバ装置4とゲートウェイ装置9との間のパケット通信に基づき確立される。このセッションを確立するためのゲートウェイ装置9の構成と、クラウドサーバ装置4とゲートウェイ装置9との間のパケット通信について、図2乃至図7を参照して説明する。図2は、通信ネットワークシステム1に備えられるゲートウェイ装置9の構成を示すブロック図である。図3乃至図7は、外部装置3と第1及び第2内部装置61,62との間のセッションを確立するために用いられるパケットのヘッダ情報を示す図である。
まず、図2を参照してゲートウェイ装置9の構成を説明する。ゲートウェイ装置9は、第1通信部91と、第2通信部92と、通信管理部93と、表示部94と、中央処理部95と、通信履歴記憶部96と、通信情報記憶部97とを含んで構成され、これらの各部はバス90を介して接続されている。
第1通信部91は、GN2を介してクラウドサーバ装置4との間で通信を行うためのインターフェース回路である。第1通信部91とクラウドサーバ装置4との間での、GN2を介した通信が行われる通信経路には、パケットフィルタリング装置7及びルーター8が配置されている。第1通信部91は、中央処理部95からのデータに基づいてGN2の伝送方式に従った通信信号を生成するとともに、GN2を介したクラウドサーバ装置4からの通信信号を中央処理部95が処理可能な形式のデータに変換する。
第2通信部92は、LAN6を介して第1及び第2内部装置61,62との間で通信を行うためのインターフェース回路である。第2通信部92は、中央処理部95からのデータに基づいてLAN6の伝送方式に従った通信信号を生成するとともに、LAN6を介した第1及び第2内部装置61,62からの通信信号を中央処理部95が処理可能な形式のデータに変換する。
中央処理部95は、例えば、マイクロプロセッサやその周辺回路等で構成され、第1通信制御部951と、第2通信制御部952と、通信管理制御部953と、表示制御部954とを含む。
第1通信制御部951は、第1通信部91を制御する。第1通信制御部951は、GN2で使用されるTCP/IP等からなるインターネットプロトコル群に準拠したソフトウェア群である。第1通信制御部951は、第1通信部91を制御する最下層のデバイスドライバ、インターネットプロトコルに対応したデータリンク層のソフトウェア、IP(Internet Protocol)のネットワーク層のソフトウェア、及び、TCP(Transmission Control Protocol)等の上位層のソフトウェアなどを備えて構成される。
また、第1通信制御部951は、第1通信部91を制御し、図3に示すヘッダ情報HJ1を含む第1定期パケットRP1を第1通信部91からクラウドサーバ装置4へ送信させる。第1定期パケットRP1は、所定の時間間隔で定期的に、第1通信部91からクラウドサーバ装置4へ送信される通信パケットである。第1定期パケットRP1のヘッダ情報HJ1は、第1定期パケットRP1の送信元となるゲートウェイ装置9のグローバルIPアドレスGAG、第1定期パケットRP1の送信先となるクラウドサーバ装置4のグローバルIPアドレスGAC、及びゲートウェイ装置9のRGIDが付加されている。図3に示す例では、第1定期パケットRP1のヘッダ情報HJ1において、ゲートウェイ装置9のグローバルIPアドレスGAGが「210.0.0.254」であり、クラウドサーバ装置4のグローバルIPアドレスGACが「320.0.0.1」であり、ゲートウェイ装置9の識別子GIDが「GATEAWY1」である。
更に、第1通信制御部951は、第1通信部91を制御し、第1通信部91から送信された第1定期パケットRP1に応答するようにクラウドサーバ装置4からゲートウェイ装置9へ送信された第1アクセス要求通知パケットNP1(図6参照)を、第1通信部91に受信させる。ここで、第1通信部91により受信される第1アクセス要求通知パケットNP1を説明するに先立って、外部装置3とクラウドサーバ装置4との間でのGN2を介したパケット通信について説明する。
クラウドサーバ装置4は、図5に示すヘッダ情報HJ3を含むアクセス要求パケットDPを、GN2を介して外部装置3から受信する。アクセス要求パケットDPは、外部装置3からクラウドサーバ装置4へ送信される通信パケットであって、外部装置3から第1及び第2内部装置61,62へのアクセスの要求を示す通信パケットである。アクセス要求パケットDPのヘッダ情報HJ3は、アクセス要求パケットDPの送信元となる外部装置3のグローバルIPアドレスGAM、アクセス要求パケットDPの送信先となるクラウドサーバ装置4のグローバルIPアドレスGAC、及びアクセス要求先の第1及び第2内部装置61,62の識別子MIDが付加されている。図5に示す例では、アクセス要求パケットDPのヘッダ情報HJ3において、外部装置3のグローバルIPアドレスGAMが「A1.B1.C1.D1」であり、クラウドサーバ装置4のグローバルIPアドレスGACが「320.0.0.1」であり、アクセス要求先の第1及び第2内部装置61,62の識別子MIDが「MACHINE1」である。
クラウドサーバ装置4は、外部装置3からアクセス要求パケットDPを受信し、且つ、ゲートウェイ装置9の第1通信部91から第1定期パケットRP1を受信すると、図6に示すヘッダ情報HJ4を含む第1アクセス要求通知パケットNP1を、ゲートウェイ装置9へ送信する。第1アクセス要求通知パケットNP1は、外部装置3からのアクセス要求パケットDPの受信をゲートウェイ装置9へ通知するための通信パケットである。ゲートウェイ装置9へ第1アクセス要求通知パケットNP1を送信するに際し、クラウドサーバ装置4は、第1定期パケットRP1のヘッダ情報HJ1を参照して、送信先となるゲートウェイ装置9のグローバルIPアドレスGAGを特定する。
第1アクセス要求通知パケットNP1のヘッダ情報HJ4は、第1アクセス要求通知パケットNP1の送信元となるクラウドサーバ装置4のグローバルIPアドレスGAC、第1アクセス要求通知パケットNP1の送信先となるゲートウェイ装置9のグローバルIPアドレスGAG、及びアクセス要求先の第1及び第2内部装置61,62の識別子MIDが付加されている。図6に示す例では、第1アクセス要求通知パケットNP1のヘッダ情報HJ4において、クラウドサーバ装置4のグローバルIPアドレスGACが「320.0.0.1」であり、ゲートウェイ装置9のグローバルIPアドレスGAGが「210.0.0.254」であり、アクセス要求先の第1及び第2内部装置61,62の識別子MIDが「MACHINE1」である。
前述したように、ゲートウェイ装置9の中央処理部95における第1通信制御部951は、第1通信部91から送信された第1定期パケットRP1に応答するようにクラウドサーバ装置4からゲートウェイ装置9へ送信された第1アクセス要求通知パケットNP1を、第1通信部91に受信させる。
第2通信制御部952は、第2通信部92を制御する。第2通信制御部952は、LAN6で使用される通信プロトコルに準拠したソフトウェア群である。第2通信制御部952は、第2通信部92を制御する最下層のデバイスドライバ、LAN6で使用される通信プロトコルに対応したデータリンク層のソフトウェア、LAN6で使用される通信プロトコルに対応したネットワーク層のソフトウェア、及び、LAN6で使用される通信プロトコルに対応した上位層のソフトウェアなどを備えて構成される。
また、第2通信制御部952は、第2通信部92を制御し、図4に示すヘッダ情報HJ2を含む第2定期パケットRP2を第2通信部92に受信させる。第2定期パケットRP2は、所定の時間間隔で定期的に、第1及び第2内部装置61,62からゲートウェイ装置9へ送信される通信パケットである。第2定期パケットRP2のヘッダ情報HJ2は、第2定期パケットRP2の送信元となる第1及び第2内部装置61,62のローカルIPアドレスLAM、第2定期パケットRP2の送信先となるゲートウェイ装置9のローカルIPアドレスLAG、及び、第1及び第2内部装置61,62の識別子MIDが付加されている。図4に示す例では、第2定期パケットRP2のヘッダ情報HJ2において、第1及び第2内部装置61,62のローカルIPアドレスLAMが「66.0.0.1」であり、ゲートウェイ装置9のローカルIPアドレスLAGが「66.0.0.254」であり、第1及び第2内部装置61,62の識別子MIDが「MACHINE1」である。
更に、第2通信制御部952は、第1通信部91により第1アクセス要求通知パケットNP1が受信されると、第1及び第2内部装置61,62からゲートウェイ装置9へ送信された第2定期パケットRP2に応答するように、図7に示すヘッダ情報HJ5を含む第2アクセス要求通知パケットNP2を、第2通信部92から第1及び第2内部装置61,62へ送信させる。換言すると、第2通信制御部952は、第1通信部91により第1アクセス要求通知パケットNP1が受信され、且つ、第2通信部92により第2定期パケットRP2が受信されると、第2通信部92から第1及び第2内部装置61,62へ第2アクセス要求通知パケットNP2を送信させる。第2アクセス要求通知パケットNP2は、クラウドサーバ装置4からの第1アクセス要求通知パケットNP1の受信を第1及び第2内部装置61,62へ通知するための通信パケットである。第1及び第2内部装置61,62へ第2アクセス要求通知パケットNP2を送信させるに際し、第2通信制御部952は、第2定期パケットRP2のヘッダ情報HJ2を参照して、送信先となる第1及び第2内部装置61,62のローカルIPアドレスLAMを特定する。
なお、上記では、第1及び第2内部装置61,62へ第2アクセス要求通知パケットNP2を送信させるに際し、第2通信制御部952が、第2定期パケットRP2のヘッダ情報HJ2を参照して、第1及び第2内部装置61,62のローカルIPアドレスLAMを特定する構成について説明したが、この構成に限定されるものではない。第2通信制御部952は、第1通信部91により第1アクセス要求通知パケットNP1が受信されると、ゲートウェイ装置9に備えられた通信情報記憶部97に記憶されたローカル通信情報を参照し、第2通信部92から第1及び第2内部装置61,62へ第2アクセス要求通知パケットNP2を送信させるように構成されていてもよい。前記ローカル通信情報は、通信情報記憶部97に予め記憶された情報であって、LAN6を介したゲートウェイ装置9と第1及び第2内部装置61,62との間の通信において使用される、第1及び第2内部装置61,62のローカルIPアドレスLAMと第1及び第2内部装置61,62の識別子MIDとを関連付けた情報である。この場合、第1及び第2内部装置61,62へ第2アクセス要求通知パケットNP2を送信させるに際し、第2通信制御部952は、通信情報記憶部97に記憶された前記ローカル通信情報を参照して、送信先となる第1及び第2内部装置61,62のローカルIPアドレスLAMを特定する。
第2アクセス要求通知パケットNP2のヘッダ情報HJ5は、第2アクセス要求通知パケットNP2の送信元となるゲートウェイ装置9のローカルIPアドレスLAG、第2アクセス要求通知パケットNP2の送信先となる第1及び第2内部装置61,62のローカルIPアドレスLAM、及びゲートウェイ装置9の識別子GIDが付加されている。図7に示す例では、第2アクセス要求通知パケットNP2のヘッダ情報HJ5において、ゲートウェイ装置9のローカルIPアドレスLAGが「66.0.0.254」であり、第1及び第2内部装置61,62のローカルIPアドレスLAMが「66.0.0.1」であり、ゲートウェイ装置9の識別子GIDが「GATEAWY1」である。
第2通信制御部952は、第2通信部92から第1及び第2内部装置61,62へ第2アクセス要求通知パケットNP2を送信させることにより、外部装置3と第1及び第2内部装置61,62との間での、相互通信のためのセッションを確立する。外部装置3と第1及び第2内部装置61,62との間でのセッションが確立されると、外部装置3からの遠隔操作(リモートコントロール)によって、第1及び第2内部装置61,62を動作させるためのプログラムの更新や、装置の保守点検などに関する情報の提供、並びに保守点検を実行するサービスの提供が可能となる。なお、通信ネットワークシステム1において、外部装置3と第1及び第2内部装置61,62との間でのセッションの確立のための、クラウドサーバ装置4及びゲートウェイ装置9のパケット通信に基づく通信処理については、後記にて更に詳述する。
ゲートウェイ装置9の中央処理部95において、通信管理制御部953は、通信管理部93を制御する。通信管理部93は、図2に示すように、セッション監視部931と、不正アクセス処理部932とを含む。
セッション監視部931は、外部装置3と第1及び第2内部装置61,62との間のセッションを監視する。セッション監視部931は、セッションの監視によって、ゲートウェイ装置9に予め設定されているアクセス基準に基づき、外部装置3から第1及び第2内部装置61,62への不正なアクセスを検知する。アクセス基準は、外部装置3から第1及び第2内部装置61,62へのアクセスの許可範囲を示す情報である。このアクセス基準は、例えば、アクセス許可外部識別子、アクセス許可内部識別子、及びアクセス許可通信内容情報として、ゲートウェイ装置9に設定されている。アクセス許可外部識別子は、第1及び第2内部装置61,62へのアクセスを許可する外部装置3の識別子を示す。アクセス許可内部識別子は、外部装置3のアクセスを許可する第1及び第2内部装置61,62の識別子を示す。アクセス許可通信内容情報は、外部装置3と第1及び第2内部装置61,62との間のセッション確立後において許可される通信内容に関する情報を示す。通信内容は、セッション確立後において外部装置3と第1及び第2内部装置61,62との間で行われる相互通信の内容を示す。通信内容としては、例えば、外部装置3からの遠隔操作(リモートコントロール)や、外部装置3と第1及び第2内部装置61,62との間でのデータ転送などが挙げられる。
セッション監視部931は、アクセス許可外部識別子にて示される識別子以外の識別子を有する外部装置3からの第1及び第2内部装置61,62へのアクセスを、不正なアクセスとして検知する。また、セッション監視部931は、アクセス許可内部識別子にて示される識別子以外の識別子を有する第1及び第2内部装置61,62への外部装置3のアクセスを、不正なアクセスとして検知する。また、セッション監視部931は、外部装置3と第1及び第2内部装置61,62との間において、アクセス許可通信内容情報にて示される通信内容以外の通信内容の相互通信が行われると、不正なアクセスとして検知する。セッション監視部931は、外部装置3から第1及び第2内部装置61,62への不正なアクセスを検知すると、不正アクセス検知情報を出力する。
なお、セッション監視部931は、外部装置3と第1及び第2内部装置61,62との間でのセッションを監視する監視動作を、後述の通信履歴記憶部96に記憶される通信履歴情報を参照することにより実行してもよいし、当該通信履歴情報を参照することなく実行してもよい。
不正アクセス処理部932は、セッション監視部931により不正アクセス検知情報が出力されると、当該不正アクセス検知情報を報知する報知処理、及び、外部装置3と第1及び第2内部装置61,62との間の通信を遮断する遮断処理の、少なくともいずれか一方の処理を行う。
不正アクセス処理部932により報知処理が行われると、ゲートウェイ装置9の中央処理部95において、表示制御部954は、表示部94を制御し、表示部94に不正アクセス検知情報を表示させる。表示部94に表示される不正アクセス検知情報は、例えば、「不正アクセスが検知されました。」などのメッセージ情報を含む。また、不正アクセス処理部932により遮断処理が行われると、表示制御部954は、表示部94を制御し、表示部94に通信遮断情報を表示させる。表示部94に表示される通信遮断情報は、例えば、「相互通信が遮断されました。」などのメッセージ情報を含む。
ゲートウェイ装置9の通信履歴記憶部96は、セッションの確立による、外部装置3と第1及び第2内部装置61,62との間の相互通信の履歴に関する通信履歴情報を記憶する。図8は、通信履歴記憶部96に記憶される通信履歴情報JH1を説明するための図である。
通信履歴記憶部96に記憶される通信履歴情報JH1は、セッション開始日時情報JH11と、外部装置3のグローバルIPアドレスGAMと、外部装置3の識別子MGIDと、第1及び第2内部装置61,62のローカルIPアドレスLAMと、第1及び第2内部装置61,62の識別子MIDと、通信内容情報JH12とを関連付けた情報である。
通信履歴情報JH1において、セッション開始日時情報JH11は、外部装置3と第1及び第2内部装置61,62との間でセッションが開始された日時(「セッション開始日時」)を表す情報である。図8に示す例では、セッション開始日時情報JH11は、「S001」、「S002」、「S003」、「S004」、「S005」の各々にて、それぞれ異なるセッション開始日時として示されている。
また、通信履歴情報JH1において、外部装置3のグローバルIPアドレスGAMは、第1及び第2内部装置61,62へのアクセス元となる外部装置3のグローバルIPアドレス(「アクセス元のIPアドレス」)を表す情報である。図8に示す例では、外部装置3のグローバルIPアドレスGAMとして、同一の「A1.B1.C1.D1」が各セッション開始日時に関連付けられている。
また、通信履歴情報JH1において、外部装置3の識別子MGIDは、第1及び第2内部装置61,62へのアクセス元となる外部装置3の識別子(「アクセス元のID」)を表す情報である。図8に示す例では、外部装置3の識別子MGIDとして、「A001」がセッション開始日時「S001」,「S002」,「S004」,「S005」の各々に関連付けられ、「A002」がセッション開始日時「S003」に関連付けられている。
また、通信履歴情報JH1において、第1及び第2内部装置61,62のローカルIPアドレスLAMは、外部装置3によりアクセスされたアクセス先となる第1及び第2内部装置61,62のローカルIPアドレス(「アクセス先のIPアドレス」)を表す情報である。図8に示す例では、第1及び第2内部装置61,62のローカルIPアドレスLAMとして、同一の「66.0.0.1」が各セッション開始日時に関連付けられている。
また、通信履歴情報JH1において、第1及び第2内部装置61,62の識別子MIDは、外部装置3によりアクセスされたアクセス先となる第1及び第2内部装置61,62の識別子(「アクセス先のID」)を表す情報である。図8に示す例では、第1及び第2内部装置61,62の識別子MIDとして、「MACHINE1」がセッション開始日時「S001」,「S003」,「S004」,「S005」の各々に関連付けられ、「MACHINE2」がセッション開始日時「S002」に関連付けられている。
また、通信履歴情報JH1において、通信内容情報JH12は、外部装置3と第1及び第2内部装置61,62との間で行われる相互通信の内容(「通信内容」)を表す情報である。図8に示す例では、通信内容情報JH12として、「リモートコントロール」がセッション開始日時「S001」,「S002」,「S003」の各々に関連付けられ、「データ転送(送信)フォルダ:CCC」がセッション開始日時「S004」に関連付けられ、「データ転送(受信)フォルダ:CCC」がセッション開始日時「S005」に関連付けられている。
<外部装置と内部装置との間のセッション確立のための通信処理について>
次に、通信ネットワークシステム1において、外部装置3と第1及び第2内部装置61,62との間でのセッションの確立のための、クラウドサーバ装置4及びゲートウェイ装置9のパケット通信に基づく通信処理について、図9及び図10のフローチャートを参照して説明する。図9は、通信ネットワークシステム1において、クラウドサーバ装置4が実行するクラウドサーバ通信処理を示すフローチャートである。図10は、通信ネットワークシステム1において、ゲートウェイ装置9が実行するゲートウェイ通信処理を示すフローチャートである。
次に、通信ネットワークシステム1において、外部装置3と第1及び第2内部装置61,62との間でのセッションの確立のための、クラウドサーバ装置4及びゲートウェイ装置9のパケット通信に基づく通信処理について、図9及び図10のフローチャートを参照して説明する。図9は、通信ネットワークシステム1において、クラウドサーバ装置4が実行するクラウドサーバ通信処理を示すフローチャートである。図10は、通信ネットワークシステム1において、ゲートウェイ装置9が実行するゲートウェイ通信処理を示すフローチャートである。
前述したように、本実施形態に係る通信ネットワークシステム1では、クラウドサーバ装置4がGN2を介して外部装置3と通信可能に接続され、ゲートウェイ装置9が第1通信部91によりGN2を介してクラウドサーバ装置4との間で通信可能であり、且つ第2通信部92によりLAN6を介して第1及び第2内部装置61,62との間で通信可能である。GN2に接続された外部装置3とLAN6に接続された第1及び第2内部装置61,62との間の通信経路において、クラウドサーバ装置4が外部装置3との間のGN2を介した通信経路を構築し、ゲートウェイ装置9がGN2とLAN6との間を中継する通信経路を構築する。
(クラウドサーバ装置のクラウドサーバ通信処理)
クラウドサーバ装置4は、外部装置3と第1及び第2内部装置61,62との間でのセッションの確立のために、パケット通信によるクラウドサーバ通信処理を行う。まず、クラウドサーバ装置4は、アクセス要求パケットDP(図5参照)を、GN2を介して外部装置3から受信する(ステップa1)。次に、クラウドサーバ装置4は、ゲートウェイ装置9の第1通信部91から第1定期パケットRP1(図3参照)を受信したか否かを判断する(ステップa2)。クラウドサーバ装置4は、ゲートウェイ装置9の第1通信部91からの第1定期パケットRP1を受信するまで待機する。第1定期パケットRP1を受信すると、クラウドサーバ装置4は、当該第1定期パケットRP1に応答するように、ゲートウェイ装置9へ第1アクセス要求通知パケットNP1(図6参照)を送信する(ステップa3)。第1アクセス要求通知パケットNP1の送信を完了すると、クラウドサーバ装置4は、ステップa1に処理を移行し、ステップa1からステップa3までの各処理を繰り返す。
クラウドサーバ装置4は、外部装置3と第1及び第2内部装置61,62との間でのセッションの確立のために、パケット通信によるクラウドサーバ通信処理を行う。まず、クラウドサーバ装置4は、アクセス要求パケットDP(図5参照)を、GN2を介して外部装置3から受信する(ステップa1)。次に、クラウドサーバ装置4は、ゲートウェイ装置9の第1通信部91から第1定期パケットRP1(図3参照)を受信したか否かを判断する(ステップa2)。クラウドサーバ装置4は、ゲートウェイ装置9の第1通信部91からの第1定期パケットRP1を受信するまで待機する。第1定期パケットRP1を受信すると、クラウドサーバ装置4は、当該第1定期パケットRP1に応答するように、ゲートウェイ装置9へ第1アクセス要求通知パケットNP1(図6参照)を送信する(ステップa3)。第1アクセス要求通知パケットNP1の送信を完了すると、クラウドサーバ装置4は、ステップa1に処理を移行し、ステップa1からステップa3までの各処理を繰り返す。
(ゲートウェイ装置のゲートウェイ通信処理)
ゲートウェイ装置9は、外部装置3と第1及び第2内部装置61,62との間でのセッションの確立のために、パケット通信によるゲートウェイ通信処理を行う。図10に示すように、ゲートウェイ装置9において、第1通信制御部951は、第1定期パケットRP1(図3参照)を第1通信部91からクラウドサーバ装置4へ送信させる(ステップb1)。次に、第1通信制御部951は、クラウドサーバ装置4からの第1アクセス要求通知パケットNP1(図6参照)を第1通信部91が受信したか否かを判断する(ステップb2)。第1通信制御部951は、第1通信部91が第1アクセス要求通知パケットNP1を受信するまで待機する。また、ゲートウェイ装置9において、第2通信制御部952は、第1及び第2内部装置61,62からの第2定期パケットRP2(図4参照)を第2通信部92が受信したか否かを判断する(ステップb3)。第2通信制御部952は、第2通信部92が第2定期パケットRP2を受信するまで待機する。
ゲートウェイ装置9は、外部装置3と第1及び第2内部装置61,62との間でのセッションの確立のために、パケット通信によるゲートウェイ通信処理を行う。図10に示すように、ゲートウェイ装置9において、第1通信制御部951は、第1定期パケットRP1(図3参照)を第1通信部91からクラウドサーバ装置4へ送信させる(ステップb1)。次に、第1通信制御部951は、クラウドサーバ装置4からの第1アクセス要求通知パケットNP1(図6参照)を第1通信部91が受信したか否かを判断する(ステップb2)。第1通信制御部951は、第1通信部91が第1アクセス要求通知パケットNP1を受信するまで待機する。また、ゲートウェイ装置9において、第2通信制御部952は、第1及び第2内部装置61,62からの第2定期パケットRP2(図4参照)を第2通信部92が受信したか否かを判断する(ステップb3)。第2通信制御部952は、第2通信部92が第2定期パケットRP2を受信するまで待機する。
第2通信制御部952は、第1通信部91により第1アクセス要求通知パケットNP1が受信され、且つ、第2通信部92により第2定期パケットRP2が受信されると、第2通信部92から第1及び第2内部装置61,62へ第2アクセス要求通知パケットNP2(図7参照)を送信させる(ステップb4)。第2通信制御部952は、第2通信部92から第1及び第2内部装置61,62へ第2アクセス要求通知パケットNP2を送信させることにより、外部装置3と第1及び第2内部装置61,62との間での、相互通信のためのセッションを確立する(ステップb5)。
ここで、GN2を介した外部装置3の通信対象は、クラウドサーバ装置4である。このため、GN2を介した通信に使用されるグローバルIPアドレスにおいて、外部装置3に対しては、クラウドサーバ装置4のアドレスを公開すればよく、ゲートウェイ装置9のアドレスを公開する必要はない。これにより、外部装置3から第1及び第2内部装置61,62への、ゲートウェイ装置9を介した直接的なアクセスを規制することができる。この結果、外部装置3から第1及び第2内部装置61,62へのアクセスについて、外部への情報漏洩につながる不正なアクセスを可及的に抑止することができ、セキュリティ上の高度な安全性が確保される。
なお、前述したように、外部装置3と第1及び第2内部装置61,62との間での、相互通信のためのセッションを確立するに際し、第2通信制御部952は、第2定期パケットRP2を参照する構成に限定されるものではなく、通信情報記憶部97に記憶された前記ローカル通信情報を参照する構成であってもよい。この場合、図10に示すフローチャートにおいて、ステップb3は省略される。そして、第1通信部91により第1アクセス要求通知パケットNP1が受信されると、第2通信制御部952は、ステップb4において、通信情報記憶部97に記憶された前記ローカル通信情報を参照し、第2通信部92から第1及び第2内部装置61,62へ第2アクセス要求通知パケットNP2を送信させる。
外部装置3と第1及び第2内部装置61,62との間でのセッションが確立されると、通信履歴記憶部96は、外部装置3と第1及び第2内部装置61,62との間での相互通信の履歴に関する通信履歴情報JH1(図8参照)を記憶する(ステップb6)。
通信履歴記憶部96を備えたゲートウェイ装置9は、GN2とは分離されたLAN6に属するローカルシステム5の一部を構成し、第2通信部92によりLAN6を介して第1及び第2内部装置61,62との間で通信可能である。このため、ゲートウェイ装置9の通信履歴記憶部96に記憶された通信履歴情報JH1を参照することにより、外部装置3から第1及び第2内部装置61,62への不正なアクセスが行われていないか等を、ローカルシステム5に構築されたLAN6内で監視することが可能となる。
また、ゲートウェイ装置9において、セッション監視部931は、外部装置3と第1及び第2内部装置61,62との間のセッションを監視する(ステップb7)。このセッションの監視によってセッション監視部931は、外部装置3から第1及び第2内部装置61,62への不正なアクセスがなされたか否かを判断する(ステップb8)。セッション監視部931により不正なアクセスが検知されなかった場合、通信管理部93は、外部装置3と第1及び第2内部装置61,62との間のセッションが終了したか否かを判断し(ステップb9)、セッションを終了させるセッション終了処理を行う(ステップb10)。
一方、セッション監視部931により不正なアクセスが検知され、セッション監視部931から不正アクセス検知情報が出力されると、不正アクセス処理部932は、当該不正アクセス検知情報を報知する報知処理、及び、外部装置3と第1及び第2内部装置61,62との間の通信を遮断する遮断処理の、少なくともいずれか一方の不正アクセス処理を行う(ステップb11)。
上記のように、外部装置3から第1及び第2内部装置61,62への不正なアクセスが行われた場合、その不正アクセスをセッション監視部931が検知し、不正アクセス処理部932により報知処理や通信の遮断処理が行われる。セッション監視部931及び不正アクセス処理部932を備えたゲートウェイ装置9は、GN2とは分離されたLAN6に属するローカルシステム5の一部を構成し、第2通信部92によりLAN6を介して第1及び第2内部装置61,62との間で通信可能である。このため、外部装置3から第1及び第2内部装置61,62への不正なアクセスが行われていないか等を、ローカルシステム5に構築されたLAN6内で監視することが可能となる。
[第2実施形態に係る通信ネットワークシステム]
<通信ネットワークシステムの全体構成>
図11は、本発明の第2実施形態に係る通信ネットワークシステム1Aの構成を示すブロック図である。図12は、第2実施形態に係る通信ネットワークシステム1Aに備えられるゲートウェイ装置9Aの構成を示すブロック図である。第2実施形態に係る通信ネットワークシステム1Aは、ローカルシステム5においてプロキシサーバ10が備えられ、これに伴いゲートウェイ装置9Aの構成が上述の第1実施形態に係る通信ネットワークシステム1におけるゲートウェイ装置9と異なる。このこと以外については、通信ネットワークシステム1Aは、第1実施形態に係る通信ネットワークシステム1と同様に構成される。このように第2実施形態に係る通信ネットワークシステム1Aは、第1実施形態に係る通信ネットワークシステム1と同様の部分を有する。従って、以下の説明及び図において、対応する同様の部分については同一の参照符号を付すとともに、説明を省略する。
<通信ネットワークシステムの全体構成>
図11は、本発明の第2実施形態に係る通信ネットワークシステム1Aの構成を示すブロック図である。図12は、第2実施形態に係る通信ネットワークシステム1Aに備えられるゲートウェイ装置9Aの構成を示すブロック図である。第2実施形態に係る通信ネットワークシステム1Aは、ローカルシステム5においてプロキシサーバ10が備えられ、これに伴いゲートウェイ装置9Aの構成が上述の第1実施形態に係る通信ネットワークシステム1におけるゲートウェイ装置9と異なる。このこと以外については、通信ネットワークシステム1Aは、第1実施形態に係る通信ネットワークシステム1と同様に構成される。このように第2実施形態に係る通信ネットワークシステム1Aは、第1実施形態に係る通信ネットワークシステム1と同様の部分を有する。従って、以下の説明及び図において、対応する同様の部分については同一の参照符号を付すとともに、説明を省略する。
ローカルシステム5に備えられるプロキシサーバ10は、クラウドサーバ装置4とゲートウェイ装置9Aとの間における、第1通信部91によるGN2を介した通信を認証する認証処理を行うサーバ装置である。
通信ネットワークシステム1Aに備えられるゲートウェイ装置9Aは、上述のゲートウェイ装置9と同様に、第1通信部91、第2通信部92、セッション監視部931及び不正アクセス処理部932を含む通信管理部93、表示部94、中央処理部95、通信履歴記憶部96、及び通信情報記憶部97を備えるとともに、新たな構成として、認証情報記憶部98とアクセス承認拒否処理部99とを備える。
ゲートウェイ装置9Aにおいて、認証情報記憶部98は、プロキシサーバ10の認証処理に用いられる認証情報を記憶する。プロキシサーバ10の認証処理に用いられる認証情報には、認証識別子(認証ID)及びパスワードが含まれる。
認証情報が記憶された認証情報記憶部98を備えたゲートウェイ装置9Aにおいて、第1通信制御部951は、第1通信部91を制御し、図13に示すヘッダ情報HJ6を含む認証情報付加パケットRP1Aを第1定期パケットとして、第1通信部91からクラウドサーバ装置4へ送信させる。認証情報付加パケットRP1Aは、所定の時間間隔で定期的に、第1通信部91からクラウドサーバ装置4へ送信される通信パケットである。認証情報付加パケットRP1Aのヘッダ情報HJ6は、認証情報付加パケットRP1Aの送信元となるゲートウェイ装置9AのグローバルIPアドレスGAG、認証情報付加パケットRP1Aの送信先となるクラウドサーバ装置4のグローバルIPアドレスGAC、ゲートウェイ装置9Aの識別子GID、並びに、認証情報記憶部98に記憶された認証情報JH2が付加されている。図13に示す例では、認証情報付加パケットRP1Aのヘッダ情報HJ6において、ゲートウェイ装置9のグローバルIPアドレスGAGが「210.0.0.254」であり、クラウドサーバ装置4のグローバルIPアドレスGACが「320.0.0.1」であり、ゲートウェイ装置9Aの識別子GIDが「GATEAWY1」であり、認証情報JH2が「J001」である。
更に、第1通信制御部951は、第1通信部91を制御し、第1通信部91から送信された認証情報付加パケットRP1Aに応答するようにクラウドサーバ装置4からゲートウェイ装置9Aへ送信された第1アクセス要求通知パケットNP1(図6参照)を、第1通信部91に受信させる。
ここで、クラウドサーバ装置4は、外部装置3からアクセス要求パケットDP(図5参照)を受信し、且つ、ゲートウェイ装置9Aの第1通信部91から認証情報付加パケットRP1Aを受信すると、第1アクセス要求通知パケットNP1をゲートウェイ装置9Aへ送信する。ゲートウェイ装置9Aへ第1アクセス要求通知パケットNP1を送信するに際し、クラウドサーバ装置4は、認証情報付加パケットRP1Aのヘッダ情報HJ6を参照して、送信先となるゲートウェイ装置9AのグローバルIPアドレスGAGを特定するとともに、プロキシサーバ10の認証処理に用いられる認証情報を特定する。
なお、通信ネットワークシステム1Aにおいて、外部装置3からクラウドサーバ装置4へ送信されるアクセス要求パケットDPのヘッダ情報HJ3には、外部装置3のグローバルIPアドレスGAM、クラウドサーバ装置4のグローバルIPアドレスGAC、及びアクセス要求先の第1及び第2内部装置61,62の識別子MIDの情報以外に、外部装置3の識別子、並びに通信内容情報が含まれている。アクセス要求パケットDPのヘッダ情報HJ3に含まれる通信内容情報は、セッション確立後において外部装置3と第1及び第2内部装置61,62との間で行われる相互通信の内容を示す。通信内容としては、例えば、外部装置3からの遠隔操作(リモートコントロール)や、外部装置3と第1及び第2内部装置61,62との間でのデータ転送などが挙げられる。
また、通信ネットワークシステム1Aにおいて、クラウドサーバ装置4からゲートウェイ装置9Aへ送信される第1アクセス要求通知パケットNP1のヘッダ情報HJ4には、クラウドサーバ装置4のグローバルIPアドレスGAC、ゲートウェイ装置9のグローバルIPアドレスGAG、及びアクセス要求先の第1及び第2内部装置61,62の識別子MIDの情報以外に、アクセス要求パケットDPのヘッダ情報HJ3に付加されていた外部装置3の識別子、並びに通信内容情報が含まれている。
ゲートウェイ装置9Aにおいて、アクセス承認拒否処理部99は、第1通信制御部951の制御により第1通信部91が第1アクセス要求通知パケットNP1を受信すると、承認処理又は拒否処理を行う。アクセス承認拒否処理部99が実行する承認処理は、予め定められたアクセス基準に基づき、外部装置3から第1及び第2内部装置61,62へのアクセスを承認する処理である。また、アクセス承認拒否処理部99が実行する拒否処理は、予め定められたアクセス基準に基づき、外部装置3から第1及び第2内部装置61,62へのアクセスを拒否する処理である。
アクセス承認拒否処理部99が承認処理及び拒否処理を実行する際に参照するアクセス基準は、セッション監視部931がセッションを監視する際に参照する前述のアクセス基準と同じであり、外部装置3から第1及び第2内部装置61,62へのアクセスの許可範囲を示す情報である。アクセス基準は、前述のアクセス許可外部識別子、アクセス許可内部識別子、及びアクセス許可通信内容情報を含む。
アクセス基準としてのアクセス許可外部識別子、アクセス許可内部識別子、及びアクセス許可通信内容情報と一致する情報が付加されたヘッダ情報を含む第1アクセス要求通知パケットNP1が、第1通信部91により受信された場合、アクセス承認拒否処理部99は、外部装置3から第1及び第2内部装置61,62へのアクセスを承認する承認処理を行う。一方、アクセス基準と不一致の情報が付加されたヘッダ情報を含む第1アクセス要求通知パケットNP1が、第1通信部91により受信された場合には、アクセス承認拒否処理部99は、外部装置3から第1及び第2内部装置61,62へのアクセスを拒否する拒否処理を行う。
ゲートウェイ装置9Aにおいて、第2通信制御部952は、アクセス承認拒否処理部99により承認処理が行われると、第2通信部92から第1及び第2内部装置61,62へ第2アクセス要求通知パケットNP2(図7参照)を送信させて、外部装置3と第1及び第2内部装置61,62との間のセッションを確立する。一方、アクセス承認拒否処理部99により拒否処理が行われると、第2通信制御部952は、第2通信部92から第1及び第2内部装置61,62へ第2アクセス要求通知パケットNP2を送信させず、外部装置3と第1及び第2内部装置61,62との間のセッションを不成立とする。
<外部装置と内部装置との間のセッション確立のための通信処理について>
次に、通信ネットワークシステム1Aにおいて、外部装置3と第1及び第2内部装置61,62との間でのセッションの確立のための、クラウドサーバ装置4及びゲートウェイ装置9Aのパケット通信に基づく通信処理について、図14及び図15のフローチャートを参照して説明する。図14は、通信ネットワークシステム1Aにおいて、クラウドサーバ装置4が実行するクラウドサーバ通信処理を示すフローチャートである。図15は、通信ネットワークシステム1Aにおいて、ゲートウェイ装置9Aが実行するゲートウェイ通信処理を示すフローチャートである。
次に、通信ネットワークシステム1Aにおいて、外部装置3と第1及び第2内部装置61,62との間でのセッションの確立のための、クラウドサーバ装置4及びゲートウェイ装置9Aのパケット通信に基づく通信処理について、図14及び図15のフローチャートを参照して説明する。図14は、通信ネットワークシステム1Aにおいて、クラウドサーバ装置4が実行するクラウドサーバ通信処理を示すフローチャートである。図15は、通信ネットワークシステム1Aにおいて、ゲートウェイ装置9Aが実行するゲートウェイ通信処理を示すフローチャートである。
前述したように、本実施形態に係る通信ネットワークシステム1Aでは、クラウドサーバ装置4がGN2を介して外部装置3と通信可能に接続され、ゲートウェイ装置9Aが第1通信部91によりGN2を介してクラウドサーバ装置4との間で通信可能であり、且つ第2通信部92によりLAN6を介して第1及び第2内部装置61,62との間で通信可能である。GN2に接続された外部装置3とLAN6に接続された第1及び第2内部装置61,62との間の通信経路において、クラウドサーバ装置4が外部装置3との間のGN2を介した通信経路を構築し、ゲートウェイ装置9AがGN2とLAN6との間を中継する通信経路を構築する。
(クラウドサーバ装置のクラウドサーバ通信処理)
クラウドサーバ装置4は、外部装置3と第1及び第2内部装置61,62との間でのセッションの確立のために、パケット通信によるクラウドサーバ通信処理を行う。まず、クラウドサーバ装置4は、アクセス要求パケットDPを、GN2を介して外部装置3から受信する(ステップc1)。次に、クラウドサーバ装置4は、ゲートウェイ装置9Aの第1通信部91から認証情報付加パケットRP1Aを受信したか否かを判断する(ステップc2)。クラウドサーバ装置4は、ゲートウェイ装置9Aの第1通信部91からの認証情報付加パケットRP1Aを受信するまで待機する。認証情報付加パケットRP1Aを受信すると、クラウドサーバ装置4は、認証情報付加パケットRP1Aのヘッダ情報HJ6を参照して、ゲートウェイ装置9AのグローバルIPアドレスGAGを特定するとともに、プロキシサーバ10の認証処理に用いられる認証情報JH2を特定する。そして、ゲートウェイ装置4は、認証情報付加パケットRP1Aに応答するように、ゲートウェイ装置9Aへ第1アクセス要求通知パケットNP1を送信する(ステップc3)。第1アクセス要求通知パケットNP1の送信を完了すると、クラウドサーバ装置4は、ステップc1に処理を移行し、ステップc1からステップc3までの各処理を繰り返す。
クラウドサーバ装置4は、外部装置3と第1及び第2内部装置61,62との間でのセッションの確立のために、パケット通信によるクラウドサーバ通信処理を行う。まず、クラウドサーバ装置4は、アクセス要求パケットDPを、GN2を介して外部装置3から受信する(ステップc1)。次に、クラウドサーバ装置4は、ゲートウェイ装置9Aの第1通信部91から認証情報付加パケットRP1Aを受信したか否かを判断する(ステップc2)。クラウドサーバ装置4は、ゲートウェイ装置9Aの第1通信部91からの認証情報付加パケットRP1Aを受信するまで待機する。認証情報付加パケットRP1Aを受信すると、クラウドサーバ装置4は、認証情報付加パケットRP1Aのヘッダ情報HJ6を参照して、ゲートウェイ装置9AのグローバルIPアドレスGAGを特定するとともに、プロキシサーバ10の認証処理に用いられる認証情報JH2を特定する。そして、ゲートウェイ装置4は、認証情報付加パケットRP1Aに応答するように、ゲートウェイ装置9Aへ第1アクセス要求通知パケットNP1を送信する(ステップc3)。第1アクセス要求通知パケットNP1の送信を完了すると、クラウドサーバ装置4は、ステップc1に処理を移行し、ステップc1からステップc3までの各処理を繰り返す。
(ゲートウェイ装置のゲートウェイ通信処理)
ゲートウェイ装置9Aは、外部装置3と第1及び第2内部装置61,62との間でのセッションの確立のために、パケット通信によるゲートウェイ通信処理を行う。図15に示すように、ゲートウェイ装置9Aにおいて、第1通信制御部951は、認証情報付加パケットRP1Aを第1通信部91からクラウドサーバ装置4へ送信させる(ステップd1)。
ゲートウェイ装置9Aは、外部装置3と第1及び第2内部装置61,62との間でのセッションの確立のために、パケット通信によるゲートウェイ通信処理を行う。図15に示すように、ゲートウェイ装置9Aにおいて、第1通信制御部951は、認証情報付加パケットRP1Aを第1通信部91からクラウドサーバ装置4へ送信させる(ステップd1)。
ここで、認証情報付加パケットRP1Aのヘッダ情報HJ6には、プロキシサーバ10の認証処理に用いられる認証情報JH2が付加されており、その認証情報JH2は、ゲートウェイ装置9Aの認証情報記憶部98に記憶されている。
認証情報記憶部98を備えたゲートウェイ装置9Aは、外部装置3と第1及び第2内部装置61,62との間の通信経路において、GN2とLAN6との間を中継する通信経路を構築する。このため、LAN6に接続された第1及び第2内部装置61,62に対し、認証情報を記憶させておく必要がない。また、認証情報記憶部98を備えたゲートウェイ装置9Aにおいて、第1通信制御部951は、認証情報付加パケットRP1Aを第1通信部91からクラウドサーバ装置4へ送信させる。この認証情報付加パケットRP1Aに応答するようにクラウドサーバ装置4がゲートウェイ装置9Aへ第1アクセス要求通知パケットNP1を送信するに際し、クラウドサーバ装置4は、認証情報付加パケットRP1Aのヘッダ情報HJ6を参照して、プロキシサーバ10の認証処理に用いられる認証情報JH2を特定することができる。
次に、第1通信制御部951は、クラウドサーバ装置4からの第1アクセス要求通知パケットNP1を第1通信部91が受信したか否かを判断する(ステップd2)。第1通信制御部951は、第1通信部91が第1アクセス要求通知パケットNP1を受信するまで待機する。
第1通信部91により第1アクセス要求通知パケットNP1が受信されると、アクセス承認拒否処理部99は、予め定められたアクセス基準に基づき、外部装置3から第1及び第2内部装置61,62へのアクセスを承認する承認処理、又は当該アクセスを拒否する拒否処理を行う(ステップd3)。
アクセス承認拒否処理部99により承認処理が行われた場合(ステップd4)、ゲートウェイ装置9Aにおいて第2通信制御部952は、第1及び第2内部装置61,62からの第2定期パケットRP2を第2通信部92が受信したか否かを判断する(ステップd5)。第2通信制御部952は、第2通信部92が第2定期パケットRP2を受信するまで待機する。
一方、アクセス承認拒否処理部99により拒否処理が行われた場合(ステップd14)、ゲートウェイ装置9Aにおいて第2通信制御部952は、外部装置3と第1及び第2内部装置61,62との間のセッションを不成立とする(ステップd15)。この場合、第2通信制御部952は、第2通信部92から第1及び第2内部装置61,62へ第2アクセス要求通知パケットNP2を送信させない。
第2通信制御部952は、第1通信部91により第1アクセス要求通知パケットNP1が受信され、且つ、第2通信部92により第2定期パケットRP2が受信されると、第2通信部92から第1及び第2内部装置61,62へ第2アクセス要求通知パケットNP2を送信させる(ステップd6)。第2通信制御部952は、第2通信部92から第1及び第2内部装置61,62へ第2アクセス要求通知パケットNP2を送信させることにより、外部装置3と第1及び第2内部装置61,62との間での、相互通信のためのセッションを確立する(ステップd7)。
なお、前述したように、外部装置3と第1及び第2内部装置61,62との間での、相互通信のためのセッションを確立するに際し、第2通信制御部952は、第2定期パケットRP2を参照する構成に限定されるものではなく、通信情報記憶部97に記憶された前記ローカル通信情報を参照する構成であってもよい。この場合、図15に示すフローチャートにおいて、ステップd5は省略される。そして、第1通信部91により第1アクセス要求通知パケットNP1が受信されると、第2通信制御部952は、ステップd6において、通信情報記憶部97に記憶された前記ローカル通信情報を参照し、第2通信部92から第1及び第2内部装置61,62へ第2アクセス要求通知パケットNP2を送信させる。
外部装置3と第1及び第2内部装置61,62との間でのセッションが確立されると、通信履歴記憶部96は、外部装置3と第1及び第2内部装置61,62との間での相互通信の履歴に関する通信履歴情報JH1を記憶する(ステップd8)。
通信履歴記憶部96を備えたゲートウェイ装置9Aは、GN2とは分離されたLAN6に属するローカルシステム5の一部を構成し、第2通信部92によりLAN6を介して第1及び第2内部装置61,62との間で通信可能である。このため、ゲートウェイ装置9Aの通信履歴記憶部96に記憶された通信履歴情報JH1を参照することにより、外部装置3から第1及び第2内部装置61,62への不正なアクセスが行われていないか等を、ローカルシステム5に構築されたLAN6内で監視することが可能となる。
また、ゲートウェイ装置9Aにおいて、セッション監視部931は、外部装置3と第1及び第2内部装置61,62との間のセッションを監視する(ステップd9)。このセッションの監視によってセッション監視部931は、外部装置3から第1及び第2内部装置61,62への不正なアクセスがなされたか否かを判断する(ステップd10)。セッション監視部931により不正なアクセスが検知されなかった場合、通信管理部93は、外部装置3と第1及び第2内部装置61,62との間のセッションが終了したか否かを判断し(ステップd11)、セッションを終了させるセッション終了処理を行う(ステップd12)。
一方、セッション監視部931により不正なアクセスが検知され、セッション監視部931から不正アクセス検知情報が出力されると、不正アクセス処理部932は、当該不正アクセス検知情報を報知する報知処理、及び、外部装置3と第1及び第2内部装置61,62との間の通信を遮断する遮断処理の、少なくともいずれか一方の不正アクセス処理を行う(ステップd13)。
上記のように、外部装置3から第1及び第2内部装置61,62への不正なアクセスが行われた場合、その不正アクセスをセッション監視部931が検知し、不正アクセス処理部932により報知処理や通信の遮断処理が行われる。セッション監視部931及び不正アクセス処理部932を備えたゲートウェイ装置9Aは、GN2とは分離されたLAN6に属するローカルシステム5の一部を構成し、第2通信部92によりLAN6を介して第1及び第2内部装置61,62との間で通信可能である。このため、外部装置3から第1及び第2内部装置61,62への不正なアクセスが行われていないか等を、ローカルシステム5に構築されたLAN6内で監視することが可能となる。
なお、上述した具体的実施形態には以下の構成を有する発明が主に含まれている。
本発明の一の局面に係る通信ネットワークシステムは、グローバルネットワークに接続された外部装置と、前記グローバルネットワークと分離されたローカルエリアネットワークに接続された内部装置と、前記グローバルネットワークを介して前記外部装置と通信可能に接続されるサーバ装置と、前記グローバルネットワークと前記ローカルエリアネットワークとの間での通信を中継するゲートウェイ装置と、を備える。前記サーバ装置は、前記グローバルネットワークを介し、前記外部装置から前記内部装置へのアクセスの要求を示すアクセス要求パケットを受信し、当該アクセス要求パケットの受信を通知するための第1アクセス要求通知パケットを前記ゲートウェイ装置へ送信するように構成される。前記ゲートウェイ装置は、前記グローバルネットワークを介して前記サーバ装置との間で通信を行う第1通信部と、前記ローカルエリアネットワークを介して前記内部装置との間で通信を行う第2通信部と、前記第1通信部を制御し、前記サーバ装置から前記ゲートウェイ装置へ送信された前記第1アクセス要求通知パケットを受信させる第1通信制御部と、前記第2通信部を制御し、前記第1通信部により前記第1アクセス要求通知パケットが受信されると、当該第1アクセス要求通知パケットの受信を通知するための第2アクセス要求通知パケットを前記内部装置へ送信させることにより、前記外部装置と前記内部装置との間のセッションを確立する第2通信制御部と、前記セッションの確立による、前記外部装置と前記内部装置との間の通信の履歴に関する通信履歴情報を記憶する通信履歴記憶部と、を含む。
この通信ネットワークシステムによれば、サーバ装置がグローバルネットワークを介して外部装置と通信可能に接続され、ゲートウェイ装置が第1通信部によりグローバルネットワークを介してサーバ装置との間で通信可能であり、且つ第2通信部によりローカルエリアネットワークを介して内部装置との間で通信可能である。グローバルネットワークに接続された外部装置とローカルエリアネットワークに接続された内部装置との間の通信経路において、サーバ装置が外部装置との間のグローバルネットワークを介した通信経路を構築し、ゲートウェイ装置がグローバルネットワークとローカルエリアネットワークとの間を中継する通信経路を構築する。外部装置と内部装置との間のセッションは、外部装置からのアクセス要求パケットを受信したサーバ装置がゲートウェイ装置へ第1アクセス要求通知パケットを送信し、その第1アクセス要求通知パケットを受信したゲートウェイ装置が内部装置へ第2アクセス要求通知パケットを送信することにより、確立される。
グローバルネットワークを介した外部装置の通信対象は、サーバ装置である。このため、グローバルネットワークを介した通信に使用されるグローバルIPアドレスにおいて、外部装置に対しては、サーバ装置のアドレスを公開すればよく、ゲートウェイ装置のアドレスを公開する必要はない。これにより、外部装置から内部装置への、ゲートウェイ装置を介した直接的なアクセスを規制することができる。この結果、外部装置から内部装置へのアクセスについて、外部への情報漏洩につながる不正なアクセスを可及的に抑止することができ、セキュリティ上の高度な安全性が確保される。
また、セッションの確立による外部装置と内部装置との間の相互通信において、その通信の履歴に関する通信履歴情報が、ゲートウェイ装置の通信履歴記憶部に記憶される。通信履歴記憶部を備えたゲートウェイ装置は、第2通信部によりローカルエリアネットワークを介して内部装置との間で通信可能である。このため、ゲートウェイ装置の通信履歴記憶部に記憶された通信履歴情報を参照することにより、外部装置から内部装置への不正なアクセスが行われていないか等を、ローカルエリアネットワーク内で監視することが可能となる。
上記の通信ネットワークシステムにおいて、前記ゲートウェイ装置は、前記通信履歴記憶部に記憶された前記通信履歴情報を参照して、前記外部装置と前記内部装置との間の前記セッションを監視し、前記外部装置から前記内部装置への不正なアクセスを検知すると、不正アクセス検知情報を出力するセッション監視部と、前記セッション監視部により前記不正アクセス検知情報が出力されると、当該不正アクセス検知情報を報知する報知処理、及び、前記外部装置と前記内部装置との間の通信を遮断する遮断処理の、少なくともいずれか一方の処理を行う不正アクセス処理部と、を更に含む構成としてもよい。
この態様では、外部装置から内部装置への不正なアクセスが行われた場合、その不正アクセスを、通信履歴記憶部に記憶された通信履歴情報を参照することによりセッション監視部が検知し、不正アクセス処理部により報知処理や通信の遮断処理が行われる。これにより、セキュリティ上の、より高度な安全性が確保される。
上記の通信ネットワークシステムにおいて、前記ゲートウェイ装置は、前記通信履歴記憶部に記憶された前記通信履歴情報を参照することなく、前記外部装置と前記内部装置との間の前記セッションを監視し、前記外部装置から前記内部装置への不正なアクセスを検知すると、不正アクセス検知情報を出力するセッション監視部と、前記セッション監視部により前記不正アクセス検知情報が出力されると、当該不正アクセス検知情報を報知する報知処理、及び、前記外部装置と前記内部装置との間の通信を遮断する遮断処理の、少なくともいずれか一方の処理を行う不正アクセス処理部と、を更に含む構成としてもよい。
この態様では、外部装置から内部装置への不正なアクセスが行われた場合、その不正アクセスを、通信履歴記憶部に記憶された通信履歴情報を参照することなく、セッション監視部が検知し、不正アクセス処理部により報知処理や通信の遮断処理が行われる。セッション監視部及び不正アクセス処理部を備えたゲートウェイ装置は、第2通信部によりローカルエリアネットワークを介して内部装置との間で通信可能である。このため、外部装置から内部装置への不正なアクセスが行われていないか等を、ローカルエリアネットワーク内で監視することが可能となる。
上記の通信ネットワークシステムにおいて、前記第1通信制御部は、所定の時間間隔で定期的に第1定期パケットを前記第1通信部から前記サーバ装置へ送信させ、且つ、前記第1定期パケットに応答するように前記サーバ装置から前記ゲートウェイ装置へ送信された前記第1アクセス要求通知パケットを前記第1通信部に受信させる。前記第2通信制御部は、所定の時間間隔で定期的に前記内部装置から前記ゲートウェイ装置へ送信される第2定期パケットを前記第2通信部に受信させ、且つ、前記第2定期パケットに応答するように前記第2通信部から前記内部装置へ前記第2アクセス要求通知パケットを送信させる。
また、上記の通信ネットワークシステムにおいて、前記ゲートウェイ装置は、前記ローカルエリアネットワークを介した前記内部装置との間の通信において使用される、当該内部装置のアドレスと識別子とを関連付けたローカル通信情報を記憶する通信情報記憶部を、更に含む構成としてもよい。前記第1通信制御部は、所定の時間間隔で定期的に第1定期パケットを前記第1通信部から前記サーバ装置へ送信させ、且つ、前記第1定期パケットに応答するように前記サーバ装置から前記ゲートウェイ装置へ送信された前記第1アクセス要求通知パケットを前記第1通信部に受信させる。前記第2通信制御部は、前記第1通信部により前記第1アクセス要求通知パケットが受信されると、前記通信情報記憶部に記憶された前記ローカル通信情報を参照し、前記第2通信部から前記内部装置へ前記第2アクセス要求通知パケットを送信させる。
また、上記の通信ネットワークシステムは、前記サーバ装置と前記ゲートウェイ装置との間における、前記第1通信部による前記グローバルネットワークを介した通信を認証する認証処理を行うプロキシサーバを、更に備える構成としてもよい。そして、前記ゲートウェイ装置は、前記プロキシサーバの前記認証処理に用いられる認証情報を記憶する認証情報記憶部を、更に含む。前記第1通信制御部は、前記認証情報が付加されたヘッダ情報を含む認証情報付加パケットを前記第1定期パケットとして前記第1通信部から前記サーバ装置へ送信させ、前記認証情報付加パケットに応答するように前記サーバ装置から前記ゲートウェイ装置へ前記第1アクセス要求通知パケットが送信されると、当該第1アクセス要求通知パケットを前記第1通信部に受信させる。
この態様では、プロキシサーバの認証処理に用いられる認証情報が、ゲートウェイ装置の認証情報記憶部に記憶されている。認証情報記憶部を備えたゲートウェイ装置は、外部装置と内部装置との間の通信経路において、グローバルネットワークとローカルエリアネットワークとの間を中継する通信経路を構築する。このため、ローカルエリアネットワークに接続された内部装置に対し、認証情報を記憶させておく必要がない。また、認証情報記憶部を備えたゲートウェイ装置において、第1通信制御部は、認証情報付加パケットを第1通信部からサーバ装置へ送信させる。この認証情報付加パケットに応答するようにサーバ装置がゲートウェイ装置へ第1アクセス要求通知パケットを送信するに際し、サーバ装置は、認証情報付加パケットのヘッダ情報を参照して、プロキシサーバの認証処理に用いられる認証情報を特定することができる。
上記の通信ネットワークシステムにおいて、前記ゲートウェイ装置は、前記第1通信制御部の制御により前記第1通信部が前記第1アクセス要求通知パケットを受信すると、予め定められたアクセス基準に基づき、前記外部装置から前記内部装置へのアクセスを承認する承認処理、又は当該アクセスを拒否する拒否処理を行うアクセス承認拒否処理部を、更に含む構成としてもよい。そして、前記第2通信制御部は、前記アクセス承認拒否処理部により前記承認処理が行われると、前記第2通信部から前記内部装置へ前記第2アクセス要求通知パケットを送信させて、前記外部装置と前記内部装置との間のセッションを確立し、前記アクセス承認拒否処理部により前記拒否処理が行われると、前記第2通信部から前記内部装置へ前記第2アクセス要求通知パケットを送信させず、前記外部装置と前記内部装置との間のセッションを不成立とする。
この態様では、グローバルネットワークとローカルエリアネットワークとの間を中継する通信経路を構築するゲートウェイ装置が、アクセス承認拒否処理部を備える。そして、ゲートウェイ装置において、第2通信制御部は、アクセス承認拒否処理部により承認処理が行われると、第2通信部から内部装置へ第2アクセス要求通知パケットを送信させて、外部装置と内部装置との間のセッションを確立する。一方、アクセス承認拒否処理部により拒否処理が行われると、第2通信制御部は、第2通信部から内部装置へ第2アクセス要求通知パケットを送信させず、外部装置と内部装置との間のセッションを不成立とする。これにより、セキュリティ上の、より高度な安全性が確保される。
以上説明した通り、本発明によれば、グローバルネットワークに接続された外部装置から、ローカルエリアネットワークに接続された内部装置への不正なアクセスが行われていないか等を、ローカルエリアネットワーク内で監視することが可能な通信ネットワークシステムを提供することができる。
1,1A 通信ネットワークシステム
2 グローバルネットワーク(GN)
3 外部装置
4 クラウドサーバ装置
5 ローカルシステム
6 ローカルエリアネットワーク(LAN)
61 第1内部装置
62 第2内部装置
9,9A ゲートウェイ装置
91 第1通信部
92 第2通信部
93 通信管理部
931 セッション監視部
932 不正アクセス処理部
94 表示部
95 中央処理部
951 第1通信制御部
952 第2通信制御部
96 通信履歴記憶部
97 通信情報記憶部
98 認証情報記憶部
99 アクセス承認拒否処理部
10 プロキシサーバ
RP1 第1定期パケット
RP1A 認証情報付加パケット
RP2 第2定期パケット
DP アクセス要求パケット
NP1 第1アクセス要求通知パケット
NP2 第2アクセス要求通知パケット
2 グローバルネットワーク(GN)
3 外部装置
4 クラウドサーバ装置
5 ローカルシステム
6 ローカルエリアネットワーク(LAN)
61 第1内部装置
62 第2内部装置
9,9A ゲートウェイ装置
91 第1通信部
92 第2通信部
93 通信管理部
931 セッション監視部
932 不正アクセス処理部
94 表示部
95 中央処理部
951 第1通信制御部
952 第2通信制御部
96 通信履歴記憶部
97 通信情報記憶部
98 認証情報記憶部
99 アクセス承認拒否処理部
10 プロキシサーバ
RP1 第1定期パケット
RP1A 認証情報付加パケット
RP2 第2定期パケット
DP アクセス要求パケット
NP1 第1アクセス要求通知パケット
NP2 第2アクセス要求通知パケット
Claims (7)
- グローバルネットワークに接続された外部装置と、
前記グローバルネットワークと分離されたローカルエリアネットワークに接続された内部装置と、
前記グローバルネットワークを介して前記外部装置と通信可能に接続されるサーバ装置と、
前記グローバルネットワークと前記ローカルエリアネットワークとの間での通信を中継するゲートウェイ装置と、を備え、
前記サーバ装置は、前記グローバルネットワークを介し、前記外部装置から前記内部装置へのアクセスの要求を示すアクセス要求パケットを受信し、当該アクセス要求パケットの受信を通知するための第1アクセス要求通知パケットを前記ゲートウェイ装置へ送信するように構成され、
前記ゲートウェイ装置は、
前記グローバルネットワークを介して前記サーバ装置との間で通信を行う第1通信部と、
前記ローカルエリアネットワークを介して前記内部装置との間で通信を行う第2通信部と、
前記第1通信部を制御し、前記サーバ装置から前記ゲートウェイ装置へ送信された前記第1アクセス要求通知パケットを受信させる第1通信制御部と、
前記第2通信部を制御し、前記第1通信部により前記第1アクセス要求通知パケットが受信されると、当該第1アクセス要求通知パケットの受信を通知するための第2アクセス要求通知パケットを前記内部装置へ送信させることにより、前記外部装置と前記内部装置との間のセッションを確立する第2通信制御部と、
前記セッションの確立による、前記外部装置と前記内部装置との間の通信の履歴に関する通信履歴情報を記憶する通信履歴記憶部と、を含む、通信ネットワークシステム。 - 前記ゲートウェイ装置は、
前記通信履歴記憶部に記憶された前記通信履歴情報を参照して、前記外部装置と前記内部装置との間の前記セッションを監視し、前記外部装置から前記内部装置への不正なアクセスを検知すると、不正アクセス検知情報を出力するセッション監視部と、
前記セッション監視部により前記不正アクセス検知情報が出力されると、当該不正アクセス検知情報を報知する報知処理、及び、前記外部装置と前記内部装置との間の通信を遮断する遮断処理の、少なくともいずれか一方の処理を行う不正アクセス処理部と、を更に含む、請求項1に記載の通信ネットワークシステム。 - 前記ゲートウェイ装置は、
前記通信履歴記憶部に記憶された前記通信履歴情報を参照することなく、前記外部装置と前記内部装置との間の前記セッションを監視し、前記外部装置から前記内部装置への不正なアクセスを検知すると、不正アクセス検知情報を出力するセッション監視部と、
前記セッション監視部により前記不正アクセス検知情報が出力されると、当該不正アクセス検知情報を報知する報知処理、及び、前記外部装置と前記内部装置との間の通信を遮断する遮断処理の、少なくともいずれか一方の処理を行う不正アクセス処理部と、を更に含む、請求項1に記載の通信ネットワークシステム。 - 前記第1通信制御部は、所定の時間間隔で定期的に第1定期パケットを前記第1通信部から前記サーバ装置へ送信させ、且つ、前記第1定期パケットに応答するように前記サーバ装置から前記ゲートウェイ装置へ送信された前記第1アクセス要求通知パケットを前記第1通信部に受信させ、
前記第2通信制御部は、所定の時間間隔で定期的に前記内部装置から前記ゲートウェイ装置へ送信される第2定期パケットを前記第2通信部に受信させ、且つ、前記第2定期パケットに応答するように前記第2通信部から前記内部装置へ前記第2アクセス要求通知パケットを送信させる、請求項1~3のいずれか1項に記載の通信ネットワークシステム。 - 前記ゲートウェイ装置は、前記ローカルエリアネットワークを介した前記内部装置との間の通信において使用される、当該内部装置のアドレスと識別子とを関連付けたローカル通信情報を記憶する通信情報記憶部を、更に含み、
前記第1通信制御部は、所定の時間間隔で定期的に第1定期パケットを前記第1通信部から前記サーバ装置へ送信させ、且つ、前記第1定期パケットに応答するように前記サーバ装置から前記ゲートウェイ装置へ送信された前記第1アクセス要求通知パケットを前記第1通信部に受信させ、
前記第2通信制御部は、前記第1通信部により前記第1アクセス要求通知パケットが受信されると、前記通信情報記憶部に記憶された前記ローカル通信情報を参照し、前記第2通信部から前記内部装置へ前記第2アクセス要求通知パケットを送信させる、請求項1~3のいずれか1項に記載の通信ネットワークシステム。 - 前記サーバ装置と前記ゲートウェイ装置との間における、前記第1通信部による前記グローバルネットワークを介した通信を認証する認証処理を行うプロキシサーバを、更に備え、
前記ゲートウェイ装置は、前記プロキシサーバの前記認証処理に用いられる認証情報を記憶する認証情報記憶部を、更に含み、
前記第1通信制御部は、
前記認証情報が付加されたヘッダ情報を含む認証情報付加パケットを前記第1定期パケットとして前記第1通信部から前記サーバ装置へ送信させ、
前記認証情報付加パケットに応答するように前記サーバ装置から前記ゲートウェイ装置へ前記第1アクセス要求通知パケットが送信されると、当該第1アクセス要求通知パケットを前記第1通信部に受信させる、請求項4又は5に記載の通信ネットワークシステム。 - 前記ゲートウェイ装置は、前記第1通信制御部の制御により前記第1通信部が前記第1アクセス要求通知パケットを受信すると、予め定められたアクセス基準に基づき、前記外部装置から前記内部装置へのアクセスを承認する承認処理、又は当該アクセスを拒否する拒否処理を行うアクセス承認拒否処理部を、更に含み、
前記第2通信制御部は、
前記アクセス承認拒否処理部により前記承認処理が行われると、前記第2通信部から前記内部装置へ前記第2アクセス要求通知パケットを送信させて、前記外部装置と前記内部装置との間のセッションを確立し、
前記アクセス承認拒否処理部により前記拒否処理が行われると、前記第2通信部から前記内部装置へ前記第2アクセス要求通知パケットを送信させず、前記外部装置と前記内部装置との間のセッションを不成立とする、請求項6に記載の通信ネットワークシステム。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE112017008193.9T DE112017008193T5 (de) | 2017-11-13 | 2017-11-13 | Kommunikationsnetzwerksystem |
PCT/JP2017/040686 WO2019092873A1 (ja) | 2017-11-13 | 2017-11-13 | 通信ネットワークシステム |
CN201780096655.5A CN111344998B (zh) | 2017-11-13 | 2017-11-13 | 通信网络系统 |
JP2019551852A JP6908721B2 (ja) | 2017-11-13 | 2017-11-13 | 通信ネットワークシステム |
US16/758,377 US11388024B2 (en) | 2017-11-13 | 2017-11-13 | Communication network system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2017/040686 WO2019092873A1 (ja) | 2017-11-13 | 2017-11-13 | 通信ネットワークシステム |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2019092873A1 true WO2019092873A1 (ja) | 2019-05-16 |
Family
ID=66439101
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2017/040686 WO2019092873A1 (ja) | 2017-11-13 | 2017-11-13 | 通信ネットワークシステム |
Country Status (5)
Country | Link |
---|---|
US (1) | US11388024B2 (ja) |
JP (1) | JP6908721B2 (ja) |
CN (1) | CN111344998B (ja) |
DE (1) | DE112017008193T5 (ja) |
WO (1) | WO2019092873A1 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004310295A (ja) * | 2003-04-03 | 2004-11-04 | Sharp Corp | ゲートウェイ機器、中継方法、中継処理プログラムおよび記録媒体 |
JP2017016422A (ja) * | 2015-07-01 | 2017-01-19 | コニカミノルタ株式会社 | 通信システム、管理サーバおよびプログラム |
JP2017118484A (ja) * | 2016-08-08 | 2017-06-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004120534A (ja) | 2002-09-27 | 2004-04-15 | Matsushita Electric Ind Co Ltd | ルータと中継装置、フォワーディング方法 |
JP4514134B2 (ja) | 2005-01-24 | 2010-07-28 | 株式会社コナミデジタルエンタテインメント | ネットワークシステム、サーバ装置、不正利用検出方法、ならびに、プログラム |
JP3999238B2 (ja) | 2005-06-23 | 2007-10-31 | 日本電信電話株式会社 | アドレス変換方法及びその装置 |
US8589541B2 (en) * | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
US9100188B2 (en) * | 2011-04-18 | 2015-08-04 | Bank Of America Corporation | Hardware-based root of trust for cloud environments |
JP5672154B2 (ja) * | 2011-05-31 | 2015-02-18 | 株式会社バッファロー | ネットワークシステム、ゲートウェイ装置、経路決定方法、プログラム、および記憶媒体 |
US9706004B2 (en) * | 2013-04-06 | 2017-07-11 | Citrix Systems, Inc. | Systems and methods for exporting client and server timing information for webpage and embedded object access |
US10158536B2 (en) * | 2014-05-01 | 2018-12-18 | Belkin International Inc. | Systems and methods for interaction with an IoT device |
US12114986B2 (en) * | 2014-09-23 | 2024-10-15 | SST Canada Inc. | System and method for biometric data capture for event prediction |
EP3269120A1 (en) * | 2015-03-10 | 2018-01-17 | Telefonaktiebolaget LM Ericsson (PUBL) | Access network determination |
US10225290B2 (en) * | 2016-07-15 | 2019-03-05 | Genband Us Llc | Systems and methods for extending DSP capability of existing computing devices |
US10284589B2 (en) * | 2016-10-31 | 2019-05-07 | Acentium Inc. | Methods and systems for ranking, filtering and patching detected vulnerabilities in a networked system |
-
2017
- 2017-11-13 CN CN201780096655.5A patent/CN111344998B/zh active Active
- 2017-11-13 US US16/758,377 patent/US11388024B2/en active Active
- 2017-11-13 JP JP2019551852A patent/JP6908721B2/ja active Active
- 2017-11-13 DE DE112017008193.9T patent/DE112017008193T5/de active Pending
- 2017-11-13 WO PCT/JP2017/040686 patent/WO2019092873A1/ja active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004310295A (ja) * | 2003-04-03 | 2004-11-04 | Sharp Corp | ゲートウェイ機器、中継方法、中継処理プログラムおよび記録媒体 |
JP2017016422A (ja) * | 2015-07-01 | 2017-01-19 | コニカミノルタ株式会社 | 通信システム、管理サーバおよびプログラム |
JP2017118484A (ja) * | 2016-08-08 | 2017-06-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
US20200344091A1 (en) | 2020-10-29 |
CN111344998B (zh) | 2022-04-12 |
CN111344998A (zh) | 2020-06-26 |
JPWO2019092873A1 (ja) | 2020-11-12 |
US11388024B2 (en) | 2022-07-12 |
JP6908721B2 (ja) | 2021-07-28 |
DE112017008193T5 (de) | 2020-07-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11700232B2 (en) | Publishing data across a data diode for secured process control communications | |
US20180115517A1 (en) | Secured Process Control Communications | |
US20180115528A1 (en) | Securely Transporting Data Across a Data Diode for Secured Process Control Communications | |
WO2011021371A1 (ja) | 中継通信システム及びアクセス管理装置 | |
JP4998526B2 (ja) | 中継サーバ及び中継通信システム | |
US9088429B2 (en) | Method for operating, monitoring and/or configuring an automation system of a technical plant | |
US20130138824A1 (en) | Method for establishing connection between communication apparatuses, communication apparatus, and server apparatus | |
CN104094243A (zh) | 信息处理装置、信息处理方法和程序 | |
US8554935B2 (en) | Relay server and relay communication system | |
WO2019092873A1 (ja) | 通信ネットワークシステム | |
JP6537019B2 (ja) | 中継装置及び中継通信システム | |
JP2002368826A (ja) | 中継サーバ及び中継システム | |
JP5272968B2 (ja) | 中継通信システム及びアクセス管理装置 | |
CN108292343B (zh) | 薄弱环节的避免 | |
WO2012144135A1 (ja) | 中継サーバ及び中継通信システム | |
JP2011216030A (ja) | ネットワーク端末管理システム、ネットワーク端末管理方法、ネットワーク端末管理プログラム | |
JP5272974B2 (ja) | 中継通信システム及びアクセス管理装置 | |
JP5272967B2 (ja) | 中継通信システム及びアクセス管理装置 | |
JP2011087082A (ja) | アクセス管理用中継装置および中継通信システム | |
JP2019009670A (ja) | ネットワーク機器 | |
JP2007086894A (ja) | データ中継方法及びデータ中継システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 17931148 Country of ref document: EP Kind code of ref document: A1 |
|
DPE1 | Request for preliminary examination filed after expiration of 19th month from priority date (pct application filed from 20040101) | ||
ENP | Entry into the national phase |
Ref document number: 2019551852 Country of ref document: JP Kind code of ref document: A |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 17931148 Country of ref document: EP Kind code of ref document: A1 |