通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法
【課題】 ウイルス感染の通信機器や不正アクセスを目的とする通信機器等のネットワークへの接続を防止し、ネットワークへの接続を容易に行うことが可能なネットワーク接続方法を提供する。
【解決手段】 要求元の通信機器のユーザは、メインネットワークに接続する際に通信機器のケーブルをネットワーク機器のポートに差し込んで接続する。要求元の通信機器はネットワーク機器内のチェックインネットワークにて受付BOXに1対1に接続されると、ステップS2で受付BOX利用によるチェックインを行う。受付BOXはチェックイン処理で要求元の通信機器が接続条件を満たしていると判断すると、ステップS3で要求元の通信機器が接続するネットワークをチェックインネットワークからメインネットワークに切替える。要求元の通信機器はステップS4で、メインネットワークの実際の利用に移行する。
【解決手段】 要求元の通信機器のユーザは、メインネットワークに接続する際に通信機器のケーブルをネットワーク機器のポートに差し込んで接続する。要求元の通信機器はネットワーク機器内のチェックインネットワークにて受付BOXに1対1に接続されると、ステップS2で受付BOX利用によるチェックインを行う。受付BOXはチェックイン処理で要求元の通信機器が接続条件を満たしていると判断すると、ステップS3で要求元の通信機器が接続するネットワークをチェックインネットワークからメインネットワークに切替える。要求元の通信機器はステップS4で、メインネットワークの実際の利用に移行する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法並びにそのプログラム、資格審査用ツールプログラムに関し、特にネットワークへのウイルスに感染した通信機器や不正アクセスを目的とする通信機器等の接続を防ぐ方法に関する。
【背景技術】
【0002】
近年、パーソナルコンピュータ(以下、パソコンとする)やインタネットの普及に伴って、社会的経済基盤、社会的生産基盤としてのネットワークの重要性が急速に高まっている。しかしながら、ネットワークにおいては、社会的経済基盤、社会的生産基盤としての重要性が高まるにつれて、ウイルスの意図的な配布やネットワークへの不正アクセス等のネットワークへの攻撃も頻発している。
【0003】
従来、ウイルスとしては、記録媒体や電子メール、あるいは悪質なホームページや不正アクセスで書換えられたホームページを介してパソコン等に感染していたが、近年ではインタネットに接続するだけで感染するネットワークウイルスも大量に出回っている。
【0004】
そのため、ネットワーク内部で使用しているパソコンを外部に持ち出した際に、インタネットに接続してウイルスに感染しても、そのウイルスの感染に気がつかないままネットワーク内部に接続すると、そのウイルスがネットワーク内部に広がるといった被害もでている。
【0005】
このような状況において、ネットワークを構築する際には、外部からの攻撃のみならず、ネットワーク内部におけるウイルス感染等の広がりからネットワークを守るために、パソコン等を外部からネットワークに持ち込む際に、そのパソコン等を検疫用のネットワークに接続してウイルスに感染していないか、OS(Operating System)等のソフトウェアに最新のパッチが施されているか等のチェック(以下、検疫処理とする)を行い、安全と判定された時にネットワーク自体への接続の制限を解除する検疫ネットワークあるいは検疫システムが提案されている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2005−216253号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、上述した検疫ネットワークあるいは検疫システムでは、外部からネットワーク内部に持ち込まれるパソコン等をそのまま検疫用のネットワークに接続しているため、検疫用のネットワークにウイルス感染の機器が接続されると、その時、検疫用のネットワークに同時に接続している機器がウイルスに感染する恐れがある。
【0008】
また、パソコン等の機器をネットワークに接続する際には、本人確認のためのID(識別情報)やパスワード等の入力を行わなくてはならず、ネットワークに接続するための手間がかかるという問題もある。特に、パソコン初心者がネットワークに接続するためには、ネットワークに接続するための設定(上記のIDやパスワードの設定、ネットワーク機器の設定等)を行わなければならず、初心者にとっては敷居が高いものとなっている。
【0009】
そこで、本発明の目的は上記の問題点を解消し、検疫中における他装置へのウイルスの拡散やトラフィックの増大を招くことなく、メインネットワークへの接続を容易に行うことができる通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法を提供することにある。
【課題を解決するための手段】
【0010】
本発明による通信システムは、各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムであって、
前記受付制御部に設けられかつ前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行う手段を備え、
前記資格条件を満たすと判断された場合に前記受付制御部によって前記通信機器が接続されたネットワークを、前記資格審査/設定用ネットワークから前記メインネットワークに切替えさせている。
【0011】
本発明による他の通信システムは、各種サービスを提供する複数のメインネットワークと、前記複数のメインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムであって、
前記受付制御部に設けられかつ前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行う手段を備え、
前記資格条件を満たすと判断された場合に前記受付制御部によって前記通信機器が接続されたネットワークを、前記資格審査/設定用ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えさせている。
【0012】
本発明による資格審査/設定用ネットワークは、各種サービスを提供するメインネットワークとは独立に設けられ、前記メインネットワークとともに受付制御部に接続される資格審査/設定用ネットワークであって、
通信機器の前記メインネットワークへの接続要求時に当該通信機器を前記受付制御部に1対1に隔離接続する手段を備え、
前記受付制御部に1対1に隔離接続された前記通信機器の状態情報が予め設定された資格条件を満たすと判断された場合に当該通信機器を、前記受付制御部によって自ネットワークから前記メインネットワークに切替えさせている。
【0013】
本発明による他の資格審査/設定用ネットワークは、各種サービスを提供する複数のメインネットワークとは独立に設けられ、前記メインネットワークとともに受付制御部に接続される資格審査/設定用ネットワークであって、
通信機器の前記メインネットワークへの接続要求時に当該通信機器を前記受付制御部に1対1に隔離接続する手段を備え、
前記受付制御部に1対1に隔離接続された前記通信機器の状態情報が予め設定された資格条件を満たすと判断された場合に当該通信機器を、前記受付制御部によって前記資格条件にしたがって自ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えさせている。
【0014】
本発明による通信機器は、各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記メインネットワークへの接続を要求する通信機器であって、
自機器が予め設定された資格条件を満足するか否かの資格審査を行うために前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続し、
前記資格条件を満足すると判断された場合に自機器が接続されたネットワークが、前記受付制御部によって前記資格審査/設定用ネットワークから前記メインネットワークに切替えされている。
【0015】
本発明による他の通信機器は、各種サービスを提供する複数のメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記メインネットワークへの接続を要求する通信機器であって、
自機器が予め設定された資格条件を満足するか否かの資格審査を行うために前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続し、
前記資格条件を満足すると判断された場合に自機器が接続されたネットワークが、前記受付制御部によって前記資格条件にしたがって前記資格審査/設定用ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えされている。
【0016】
本発明によるネットワーク接続方法は、各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムに用いるネットワーク接続方法であって、
前記受付制御部が、前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行い、
前記資格条件を満たすと判断された場合に前記通信機器が接続されたネットワークを、前記受付制御部によって前記資格審査/設定用ネットワークから前記メインネットワークに切替えさせている。
【0017】
本発明による他のネットワーク接続方法は、各種サービスを提供する複数のメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムに用いるネットワーク接続方法であって、
前記受付制御部が、前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行い、
前記資格条件を満たすと判断された場合に前記通信機器が接続されたネットワークを、前記受付制御部によって前記資格条件にしたがって前記資格審査/設定用ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えさせている。
【0018】
本発明によるプログラムは、各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記受付制御部内の中央処理装置に実行させるプログラムであって、
前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された前記通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行う処理と、
前記資格条件を満たすと判断された場合に前記通信機器が接続されたネットワークを、前記資格審査/設定用ネットワークから前記メインネットワークに切替えさせる処理とを含むことを特徴とする。
【0019】
本発明による他のプログラムは、各種サービスを提供する複数のメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記受付制御部内の中央処理装置に実行させるプログラムであって、
前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行う処理と、
前記資格条件を満たすと判断された場合に前記通信機器が接続されたネットワークを、前記資格条件にしたがって前記資格審査/設定用ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えさせる処理とを含むことを特徴とする。
【0020】
本発明による資格審査用ツールプログラムは、各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記メインネットワークへの接続を要求する通信機器が予め設定された資格条件を満足するかの資格審査を行うための資格審査用ツールプログラムであって、
前記通信機器のコンピュータに、前記通信機器が前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された時にリンク状態の確認を行う処理と、前記資格審査/設定用ネットワークの確認を行う処理と、前記資格審査のための資格審査情報を自機器から取得して前記受付制御部に送信する処理とを実行させている。
【0021】
すなわち、本発明のネットワーク接続方法は、各種サービスを提供するネットワーク(以下、メインネットワークとする)に接続される通信機器を論理的にグループ化する通信システムにおいて、メインネットワークとは独立に設けられかつメインネットワークへの接続要求を行う通信機器が予め設定された接続条件(資格条件)に一致するかを検証するためのネットワーク(以下、資格審査/設定用ネットワークとする)を設け、メインネットワークと資格審査/設定用ネットワークとに接続される受付制御部を、メインネットワークへの接続を要求する要求元の通信機器の接続条件の検証を行うために、その通信機器を資格審査/設定用ネットワークを介して隔離接続することを特徴とする。
【0022】
これによって、本発明のネットワーク接続方法では、受付制御部が資格審査/設定用ネットワークを通して隔離接続された要求元の通信機器を検証することで、ウイルス感染の通信機器や不正アクセスを目的とする通信機器等が資格審査/設定用ネットワークに接続されても、それらの装置による検疫中の他装置へのウイルスの拡散やトラフィックの増大を招くことなく、メインネットワークへの接続を容易に行うことが可能となる。
【0023】
また、本発明のネットワーク接続方法では、要求元の通信機器が、自機器のケーブルを、資格審査/設定用ネットワークへの接続を行うためのネットワーク機器(ハブ等)に接続すること[以下、プラグアンドプレイ(Plug and Play)]を契機として検証用ネットワークに接続したことを検出した時に接続先を確認し、その確認した接続先の受付制御部に対してSLP(Service Location Protocol)クエリを送信することで、サービス発見(Service Discovery/必要情報の自動発見設定)を行い、利用通信環境毎に異なる多様な情報の受け渡しを行っている。
【0024】
その際、本発明のネットワーク接続方法では、受付制御部が要求元の通信機器に対して名前・ID(識別情報)の自動設定を行い、要求元の通信機器が予め設定された資格条件に一致(例えば、最新のパッチを施し、ウイルス対策も万全の状態等の資格条件に合致)していれば、要求元の通信機器が接続されているネットワークをメインネットワークに接続するので、要求元の通信機器のユーザはケーブルをネットワーク機器に接続するだけで、資格条件に一致していれば、あるいは資格条件に一致するように自動設定された後に、メインネットワークに接続することが可能となる。
【0025】
さらに、本発明のネットワーク接続方法では、受付制御部と要求元の通信機器とが資格審査/設定用ネットワークに接続された状態で、受付制御部がメインネットワークに接続された各機器を代表して、メインネットワークで取得した情報が正しい機器からのものかを電子署名機能で検証するための鍵情報を通信機器に提供することで[KDC(Key Distribution Center)モデルの利用]、あるいは通信機器がメインネットワークに送出する情報がその通信機器からのものかを電子署名機能で検証するための鍵情報を受付制御部に提供することで、プラグアンドプレイにて接続したメインネットワークから提供されるサービスを検知した時に、そのサービスの情報が正しい情報であるかを鍵情報を用いて検証することが可能となる。
【0026】
この場合、メインネットワークに接続されている機器の情報が登録されるディレクトリサーバ(DA:Directory Agent)を用いていれば、正しいディレクトリサーバから発した正しい情報であることを検証する機構が構築可能である。この機構は必要十分で、シンプルな機構として、ディレクトリサーバの公開鍵取得というサービスを新たに設けている。このディレクトリサーバの公開鍵の取得・検証は最初に一度だけ行われ、その公開鍵を用いて一般サービス情報の取得・検証を行うことが可能となる。
【0027】
さらにまた、本発明のネットワーク接続方法では、要求元の通信機器のケーブルがネットワーク機器から外されると、ネットワーク機器の設定において、メインネットワークへの切替えを元に戻す(資格審査/設定用ネットワークへの接続に戻す)ことで、次にネットワーク機器に接続される通信機器に対して、受付制御部に隔離接続された状態で、受付制御部による資格条件の検証を行うことが可能となる。
【0028】
本発明のネットワーク接続方法では、
(1)メインネットワーク利用のための事前処理(契約等)
(2)ネットワーク機器(ハブ等)へのケーブルの接続
(3)受付制御部(Reception−Box)利用のためのチェックイン(Check−in)処理
(4)メインネットワークの実際の利用[メインネットワークへのプラグイン(Plug−in)]
(5)ネットワーク機器からのケーブルの離脱[メインネットワークからのプラグアウト(Plug−out)]
(6)受付制御部利用からの離脱のためのチェックアウト(Check−out)
(7)メインネットワークの利用終了
という流れで、利用の要求元の通信機器の処理が行われる。
【0029】
尚、上記の説明では、要求元の通信機器に(2)〜(7)の処理を行わせるための検証用ソフトウェア(資格審査用ツールプログラム)がインストール(Bootstrap:tool installer)されているものとしているが、要求元の通信機器の新規接続要求時に、その通信機器を検証用ソフトウェアのダウンロードサイトに接続させて検証用ソフトウェアのダウンロードを行わせてインストールさせることも可能である。
【0030】
この場合、通信機器には少なくともWebブラウザを搭載しておく必要があり、通信機器のケーブルがネットワーク機器に接続され、Webブラウザによって任意のサイトにアクセスされた時に、受付制御部がそのアクセスを検証用ソフトウェアのダウンロードサイトへと導入するリダイレクション(redirection)を行い、そのダウンロードサイトから通信機器に検証用ソフトウェアのダウンロードを行わせる。これによって、本発明のネットワーク接続方法では、各種ツール(ソフトウェア)の新規導入を容易にかつ強制的に行わせることが可能となり、サービス提供時に各種ツールをインストールしておく必要があるという前提条件問題を解消することが可能となる。
【0031】
したがって、本発明のネットワーク接続方法では、ネットワーク機器への接続監視[L2(Layer 2)状態監視][L2→L3(Layer 3)→アプリケーション(Application)という一連の処理]にてL2の状態変化を動作のトリガ(Trigger)にしているので、ケーブルをネットワーク機器に挿すだけの誰にでもできる動作のみで処理を完結することが可能となる。
【0032】
この場合、通信機器側では検証用ソフトウェアにて、同じポート(port)を利用してリンク(Link)の状態変化(linkup/down)の検出に加え、VLAN[Virtual LAN(Local Area Network)]もしくはVPN(Virtual Private Network)(メインネットワーク及び検証用ネットワーク)の状態変化・切替えを自動検出することが可能となる。ネットワーク機器[例えば、ハブ(Hub)]はリンクの状態変化(linkup/down)に応じてVLANもしくはVPNの切替えを行う。尚、ネットワーク機器では、SNMP(Simple Network Management Protocol)というプロトコルにて動作可能な機器等が考えられる。
【0033】
本発明のネットワーク接続方法では、通信機器に対して上記の受付制御部による検証処理の後に鍵情報の交換が行われると、外部のネットワーク(フォーリンリンク)から接続する際に、通信機器が取得した鍵情報を用いてメインネットワークに接続されるホームゲートウェイとの間にVPNトンネルを構築することが可能となるので、その通信機器が安全かつ容易に外部からメインネットワークに接続することが可能となる。
【0034】
通信機器側においては、
(1)ネットワーク機器へのプラグイン直後に必ず資格審査/設定用ネットワーク(Check−in Network)につながる。この場合、通信機器は条件不一致(例えば、未検疫)であれば、「検疫せよ」、「登録せよ」のメッセージが通知され、条件一致(例えば、検疫済)であれば、メインネットワークへのVLANもしくはVPNの切替えが行われて、メインネットワークが利用可能となり、メインネットワークからの情報提供が可能となる。
(2)ネットワーク機器からケーブルを抜けば、自動検出でそのポートを資格審査/設定用ネットワークに接続する。
(3)問題が発生すると(Wormを発見すると)、全ポートを資格審査/設定用ネットワークに接続する。
という動作が行われる。
【0035】
上述したように、本発明のネットワーク接続方法では、ネットワーク機器へのケーブル挿入だけで、IPv6(Internet Protocol version 6)高速サービス発見、アプリケーションまでの実行を実証すること等が可能となる。その場合、操作をガイドし、誤りなく機器を設定する通信環境構築システムが開発可能となり、一回の簡単動作のみで完結し、いつ/なにをするかを考えさせることもなく、装置の初期設定すら自動で行い、取得情報が信頼可能かを検証可能となる。その際に、ウイルス等で汚染された装置や不正な装置をメインネットワークに入れることもなく、それらの装置に対する検疫を自動的にかつ強制的に行わせることが可能となる。当然、その時同時にネットワーク機器に接続された他の装置に対しても、ウイルスの拡散やトラフィックの増大を招くことはない。
【0036】
本発明のネットワーク接続方法では、多様なサービス情報[カメラ情報、VPN(Virtual Private Network)情報、ネット状態情報、鍵等]を対象とし、秘匿が必要な鍵も制御サーバ装置を介して簡単安全に受渡することが可能となる。また、本発明のネットワーク接続方法では、様々な(受動・能動)型のIP(Internet Protocol)機器に対応している。自発的サービス探索が不可の受動型装置としては、無線LAN(Local Area Network) AP(Access Point)(ルータや情報家電等)があり、自発的サービス探索が可能な能動型装置としては、ノート型PC(Personal Computer)やPDA(Personal Digital Assistant)等がある。
【0037】
また、本発明のネットワーク接続方法では、資格審査/設定用ネットワークにて受付制御部と通信機器とを一対一に隔離接続して行う自動検疫と、不審者による端末使用の監視が可能な人間認証とのハイブリッドな認証が可能となる。その場合でも、ユーザはネットワークへの接続の際のパスワード(Password)の入力が不要となり、安全にかつ容易にネットワークへの接続が可能となる。
【発明の効果】
【0038】
本発明は、上記のような構成及び動作とすることで、検疫中における他装置へのウイルスの拡散やトラフィックの増大を招くことなく、メインネットワークへの接続を容易に行うことができるという効果が得られる。
【図面の簡単な説明】
【0039】
【図1】本発明による通信システムの動作を示すフローチャートである。
【図2】本発明の第1の実施の形態による通信システムの構成を示すブロック図である。
【図3】図2の受付BOXと通信機器との接続状態を示すブロック図である。
【図4】図2の受付BOXの構成を示すブロック図である。
【図5】図2の通信機器の構成を示すブロック図である。
【図6】本発明の第1の実施の形態による通信システムでのネットワーク接続処理を示すシーケンスチャートである。
【図7】本発明の第1の実施の形態による通信システムでのネットワーク接続処理を示すシーケンスチャートである。
【図8】本発明の第1の実施の形態による通信システムでの検疫処理を示すシーケンスチャートである。
【図9】本発明の第1の実施の形態による通信システムでの検疫処理を示すシーケンスチャートである。
【図10】本発明の第1の実施の形態による通信システムで用いるチェックインツールの処理を示すフローチャートである。
【図11】本発明の第1の実施の形態による通信システムでのプラグイン先ネットワークの確認処理を示すフローチャートである。
【図12】本発明の第1の実施の形態による通信システムのプラグアウト時の動作を示すシーケンスチャートである。
【図13】本発明の第2の実施の形態による通信システムの構成を示すブロック図である。
【図14】本発明の第2の実施の形態による通信システムでの通信機器の動作を示すフローチャートである。
【図15】本発明の第3の実施の形態による通信システムの構成を示すブロック図である。
【図16】本発明の第3の実施の形態による通信システムでの受付BOXと周辺装置との接続状態を示すブロック図である。
【図17】本発明の第3の実施の形態による通信システムでのネットワーク接続処理を示すシーケンスチャートである。
【図18】本発明の第4の実施の形態による通信システムでのネットワーク接続処理を示すシーケンスチャートである。
【図19】本発明の第4の実施の形態による通信システムでのネットワーク接続処理を示すシーケンスチャートである。
【図20】本発明の第5の実施の形態による受付BOXと通信機器との接続状態を示すブロック図である。
【発明を実施するための形態】
【0040】
次に、本発明の実施の形態について図面を参照して説明する。図1は本発明による通信システムの動作を示すフローチャートである。以下、図1を参照して、本発明による通信システムでの通信機器の動作について説明する。
【0041】
但し、通信機器が接続要求するホームリンクは各種サービスを提供するメインネットワークと、要求元の通信機器が予め設定された接続条件を満たしているかを検証するためのチェックイン(Check−in)ネットワーク(資格審査/設定用ネットワーク)とからなり、接続条件を満たしているかの検証を行うための受付BOX(Reception−Box)(受付制御部)はチェックインネットワークにて要求元の通信機器に1対1に隔離接続され、要求元の通信機器が同じチェックインネットワークに接続される他装置からアクセスされることはない。また、メインネットワーク及びチェックインネットワークはVLAN[Virtual LAN(Local Area Network)]もしくはVPN(Virtual Private Network)を形成している。
【0042】
要求元の通信機器のユーザはメインネットワーク利用のための事前処理(契約等)を予め行っておき(図1ステップS1)、メインネットワークに接続する際に通信機器のケーブルをネットワーク機器(例えば、ハブ等)のポートに差し込んで、チェックインネットワークに接続する。
【0043】
すると、要求元の通信機器はネットワーク機器内のチェックインネットワークにて受付BOXに1対1に隔離接続される。この場合には、ネットワーク機器に他の装置が接続されていても、その装置からネットワーク機器に接続された要求元の通信機器を認識することもできず、要求元の通信機器にアクセスすることもできない。
【0044】
要求元の通信機器は受付BOXに1対1に隔離接続されると、受付BOX利用によるチェックインを行う(図1ステップS2)。つまり、受付BOXは1対1に隔離接続された要求元の通信機器が、ウイルス感染の通信機器や不正アクセスを目的とする通信機器等でないかどうかの検証処理を含みかつ予め設定された接続条件を満たしているかを検証するためのチェックイン処理を行う。
【0045】
この場合、受付BOXは検証を行うためのデータを要求元の通信機器に渡し、そのデータの実行結果(ウイルスやスパイウェア等への感染の有無等)、要求元の通信機器自身の情報[OS(Operation System)の情報やそれに施されたパッチの情報、ウイルス対策ソフトウェアのバージョン情報、搭載するアプリケーションソフトウェアの情報等]を取得し、それらの情報を基に予め設定された資格条件(メインネットワークに接続する資格があるかどうかの条件)を満たしているかを検証する。資格条件としては、例えば、ウイルスやスパイウェア等への感染がなく、少なくともWebブラウザやウイルス対策ソフトウェアを搭載し、それらに最新のパッチが施されている状態であること等が挙げられる。
【0046】
また、受付BOXは要求元の通信機器がチェックインネットワークを介して接続された状態の時に、要求元の通信機器において取得された情報が正しいかを電子署名機能で検証するための鍵情報を交換することで[KDC(Key Distribution Center)モデルの利用]、プラグアンドプレイにて接続したメインネットワークから提供されるサービスの情報が正しい情報であるかを鍵情報を用いて検証することができる。
【0047】
この場合、本発明では、メインネットワークに接続されている機器の情報が登録されるディレクトリサーバ(DA:Directory Agent)を用いていれば、正しいディレクトリサーバから発した正しい情報であることを検証する機構を構築することができる。この機構では必要十分で、シンプルな機構として、ディレクトリサーバの公開鍵取得というサービスを新たに設けている。このディレクトリサーバの公開鍵の取得・検証は最初に一度だけ行われ、その公開鍵を用いて一般サービス情報の取得・検証を行うことができる。
【0048】
受付BOXは上記のチェックイン処理で要求元の通信機器が接続条件を満たしていると判断すると、ネットワーク機器に要求元の通信機器が接続されたネットワークをチェックインネットワークからメインネットワークに切替えさせる(プラグイン)(図1ステップS3)。この後、要求元の通信機器はメインネットワークの実際の利用に移行する(図1ステップS4)。
【0049】
要求元の通信機器はメインネットワークの実際の利用に移行する際に、上記のような鍵情報の交換が行われていれば、メインネットワークからどのようなサービスが受けられるかを検索し、検索されたサービスの情報が正しいかを鍵情報を用いた電子署名機能にて検証することができる。サービスの情報が正しい場合には、要求元の通信機器がそのサービスの情報を用いてサービスを利用することになる。
【0050】
また、要求元の通信機器は、上記のような鍵情報の交換が行われていれば、メインネットワークの利用を終了し、他のネットワークから上記のメインネットワークに接続する際に、他のネットワークとメインネットワークとの間に鍵情報を用いてVPN(Virtual Private Network)トンネルを構築することもできる。
【0051】
要求元の通信機器のユーザは、メインネットワークの実際の利用を終了する場合、ネットワーク機器からケーブルを外してメインネットワークとの接続を切断する[プラグアウト(Plug−out)](図1ステップS5)。この場合、受付BOXでは要求元の通信機器のメインネットワークへの接続が切れるので、ネットワーク機器の設定を元の設定(ケーブルが挿入された時にチェックインネットワークを通して受付BOXへと隔離接続する設定)に戻すチェックアウト(Check−out)を行う(図1ステップS6)。
【0052】
つまり、受付BOXはチェックアウト処理において、要求元の通信機器のケーブルがネットワーク機器から外されると、ネットワーク機器のポートにケーブルが差し込まれた時にそのケーブルの通信機器に接続されるネットワークをチェックインネットワークにする設定へと戻す処理を行う。これによって、受付BOXはネッワーク機器に次に接続される通信機器がまずチェックインネットワークに接続されるようにする。
【0053】
上記のような処理を行うことで、要求元の通信機器のユーザは、メインネットワークの利用を終了する(図1ステップS7)。上記のような処理の流れで、メインネットワークを利用する要求元の通信機器の処理が行われる。したがって、本発明では、ウイルス感染の通信機器や不正アクセスを目的とする通信機器等のチェックインネットワークに接続されても、他の機器へのアクセスを防止する隔離状態とすることができ、正しい通信機器のメインネットワークへの接続を容易に行うことができる。この場合、その時同時にネットワーク機器に接続された他の装置に対して、上記のウイルス感染の通信機器や不正アクセスを目的とする通信機器等からのウイルスの拡散やトラフィックの増大を招くことはない。
【0054】
図2は本発明の第1の実施の形態による通信システムの構成を示すブロック図である。図2において、本発明の第1の実施の形態による通信システムは、受付BOX1と、通信機器2と、カメラ3と、ホームゲートウェイ4と、ホームリンク100とから構成され、ホームリンク100にはメインネットワーク101とチェックインネットワーク102とが含まれている。尚、以下の説明では、メインネットワーク101及びチェックインネットワーク102をVLANとして述べるが、これらはVPNでもよく、これに限定されない。
【0055】
図3は図2の受付BOX1と通信機器2との接続状態を示すブロック図である。図3において、ハブ(VLAN対応)5にはポートa〜hが設けられており、受付BOX1はポートaを通してメインネットワーク101に接続され、ポートbを通してチェックインネットワーク102に接続されている。尚、本実施の形態では、ハブ以外のネットワーク機器(例えば、ルータ等)にも適用可能である。また、ネットワーク機器は、SNMP(Simple Network Management Protocol)等のプロトコルを用いて動作している。
【0056】
また、ポートc〜hは接続された機器をメインネットワーク100への接続とチェックインネットワーク102を介してポートbへの1対1接続とを切り替えられるようになっている。これによって、ポートbに接続された受付BOX1とポートc〜hに接続された通信機器との間を1対1に隔離接続するようになっている。この場合、ハブ5においてはポートc〜hにそれぞれ接続された通信機器同士を接続することはできない。図3ではポートdに接続された通信機器2が、ポートbに接続された受付BOX1に1対1に隔離接続されている状態を示している。また、ポートg,hにそれぞれ接続されたカメラ3及びホームゲートウェイ4は受付BOX1による接続条件のチェック(資格審査)が済んでいるので、メインネットワーク101に接続されている。
【0057】
受付BOX1と通信機器2との間の情報のやり取りで、通信機器2が予め設定された資格条件を満たしていると判断すると、受付BOX1は通信機器2が接続されたポートdを切替えて(VLAN切替え)、通信機器2をメインネットワーク101に接続させるようにしている。
【0058】
図4は図2の受付BOX1の構成を示すブロック図である。図4において、受付BOX1はCPU(中央処理装置)11と、CPU11が実行する制御プログラム12aを格納するメインメモリ12と、CPU11が制御プログラム12aを実行する際に作業領域として使用する記憶装置13と、ハブ5にケーブルを通して接続するI/F(インタフェース)部14と、各種情報を蓄積するデータベース15とから構成されている。尚、CPU11、メインメモリ12、記憶装置13、I/F部14、データベース15はそれぞれ内部バス110に接続されている。また、データベース15は受付BOX1の装置外に設置してもよい。
【0059】
記憶装置13にはCPU11にて使用される各種情報が保持されており、チェックイン処理を行うためのチェックイン処理プログラム131と、チェックイン処理で使用するチェックインツールを記憶するチェックインツール記憶領域132と、鍵情報を保持する鍵情報保持部133と、チェックイン情報記憶領域134とが設けられている。データベース15には通信機器の初期情報を記憶する通信機器初期情報記憶領域151と、通信機器の検疫情報を記憶する通信機器検疫情報記憶領域152とが設けられている。
【0060】
図5は図2の通信機器2の構成を示すブロック図である。図5において、通信機器2はCPU21と、CPU21が実行する制御プログラム22aを格納するメインメモリ22と、CPU21が制御プログラム22aを実行する際に作業領域として使用する記憶装置23と、ハブ5にケーブルを通して接続するI/F部24とから構成されている。尚、CPU21、メインメモリ22、記憶装置23、I/F部24はそれぞれ内部バス210に接続されている。
【0061】
記憶装置23にはCPU21にて使用される各種情報が保持されており、AP(アプリケーション)ソフトウェア231と、インタネット上の各サイトにアクセスするためのWebブラウザ232と、上記のチェックイン処理で使用するチェックインツール233と、鍵情報を保持する鍵情報保持部234とが設けられている。
【0062】
図6及び図7は本発明の第1の実施の形態による通信システムでのネットワーク接続処理を示すシーケンスチャートであり、図8及び図9は本発明の第1の実施の形態による通信システムでの検疫処理を示すシーケンスチャートであり、図10は本発明の第1の実施の形態による通信システムで用いるチェックインツールの処理を示すフローチャートであり、図11は本発明の第1の実施の形態による通信システムでのプラグイン先ネットワークの確認処理を示すフローチャートである。これら図1〜図11を参照して本発明の第1の実施の形態による通信システムの動作について説明する。尚、図6〜図9と図11とにおける受付BOX1の処理はCPU11が制御プログラム12aを実行することで実現され、通信機器2の処理はCPU21が制御プログラム22aを実行することで実現される。
【0063】
通信機器2はケーブルがハブ5のポートfに接続され(チェックインネットワークへのプラグイン)(図6のa1参照)、チェックインネットワーク102に接続されると、チェックインネットワーク102へのリンクアップ(linkup)を検出し(図6のa2参照)、チェックインツール233を用いてプラグイン先確認を行う(図6のa3参照)。この場合、チェックインツール233は予めチェックインツールのダウンロードサーバ(図示せず)からダウンロードして記憶装置23に保持されているものとする。
【0064】
通信機器2はブロードキャストにて、プラグイン先確認を行うための問合わせ要求をチェックインネットワーク102に送信する(図6のa4参照)。この場合、通信機器2はチェックインネットワーク102を通して受付BOX1に1対1に隔離接続されているので、受付BOX1が応答を通信機器2に返すこととなる(図6のa5参照)。
【0065】
通信機器2は応答が返ってくると、SLP(Service Location Protocol)クエリ(Query)、SLPリプライ(Reply)[HTTP(Hyper Text Transfer Protocol) URL(Uniform Resource Locator)]等によるサービス探索処理を実行する(図6のa6参照)。
【0066】
通信機器2はグローバルアドレスの用意(Global Address Ready)を行ってから(図6のa7参照)、受付BOX1に対してHTTPアクセスを行う(図6のa8参照)。受付BOX1は通信機器2からのHTTPアクセスに対して接続条件チェックを行う(図6のa9参照)。この場合、接続条件は上述した本発明の実施の形態にて説明した資格条件の一種であり、この接続条件のチェックについても、上述した本発明による処理と同様であるので、その説明を省略する。
【0067】
受付BOX1は接続条件チェックにて接続条件に未対応であれば、検疫画面を通信機器2に通知し(図6のa10参照)、通信機器2に対して検疫処理を行わせる(図6のa11参照)。通信機器2にて検疫処理が行われ、処理結果(HTTP Submit)が返ってくると(図6のa12参照)、受付BOX1は検疫判定を行う(図6のa13参照)。
【0068】
受付BOX1は検疫処理の結果がNGであれば、検疫指示画面を通信機器2に通知し(図6のa14参照)、通信機器2に検疫を行わせる。また、受付BOX1は検疫処理の結果がOKであれば、通信機器2との間で公開鍵交換処理を行う(図6のa16〜a18参照)。受付BOX1は公開鍵(通信機器2)を記憶装置13の鍵情報保持部133に登録する(図6のa19参照)。
【0069】
同様に、通信機器2も受付BOX1からの公開鍵(受付BOX1)を記憶装置23の鍵情報保持部234に登録する。この場合、受付BOX1からの公開鍵(受付BOX1)はメインネットワーク101に接続された各機器(例えば、カメラ3やホームゲートウェイ4)の公開鍵が、受付BOX1にて代行されて通信機器2に渡される。
【0070】
この後に、受付BOX1はVLAN切替えを行い(図7のa19参照)、通信機器2にネットワーク切替え指示画面を通知すると(図7のa20参照)、通信機器2はRS(Router Solicitation)メッセージやRA(Router Advertisement)等によってアドレス設定処理を行う(図7のa21参照)。
【0071】
通信機器2はチェックインネットワーク102のリンクダウン(移動検出)を検出すると(図7のa22参照)、あるいは接続条件チェックにて接続条件に対応していれば、VLAN切替えを行い(図7のa23参照)、さらにメインネットワーク101のリンクアップを検出すると(図7のa24参照)(メインネットワークへのプラグイン)、チェックインツール233を用いてプラグイン先確認を行う(図7のa25参照)。
【0072】
通信機器2はブロードキャストにて、プラグイン先確認を行うための問合わせ要求をメインネットワーク101に送信する(図7のa26参照)。この場合、メインネットワーク101にはカメラ3と、ホームゲートウェイ4と、図示せぬディレクトリサーバ(DA:Directory Agent)が接続されているので、これらからの応答が通信機器2に返ってくる(図7のa27参照)。
【0073】
ここで、ディレクトリサーバにはメインネットワーク101に接続されている機器の情報が登録されている。したがって、通信機器2はホームリンク検出、ホームリンク処理の開始を行う(図7のa28参照)。その際、通信機器2は鍵情報保持部234に登録した公開鍵を用いてカメラ3、ホームゲートウェイ4、ディレクトリサーバからの情報であることを確認することができる。
【0074】
上記の検疫処理について、図8及び図9を参照して詳細に説明する。通信機器2はケーブルがハブ5のポートdに接続され(プラグイン)(図8のb1参照)、チェックインネットワーク102に接続されると、チェックインネットワーク102へのリンクアップ(linkup)を検出し(図8のb2参照)、チェックインツール233を用いてプラグイン先確認を行う(図8のb3参照)。
【0075】
通信機器2はブロードキャストにて、プラグイン先確認を行うための問合わせ要求をチェックインネットワーク102に送信する(図8のb4参照)。この場合、通信機器2はチェックインネットワーク102を通して受付BOX1のみに1対1に隔離接続されているので、受付BOX1は応答を通信機器2に返す(図8のb5参照)。通信機器2は応答が返ってくると、上述したサービス探索処理を行う(図8のb6参照)。
【0076】
通信機器2はグローバルアドレスの用意を行ってから(図8のb7参照)、受付BOX1に対してHTTPアクセスを行う(図8のb8参照)。受付BOX1は通信機器2からのHTTPアクセスに対して接続条件チェックを行う(図8のb9参照)。接続条件のチェックについては、上述した本発明による処理と同様であるので、その説明を省略する。
【0077】
受付BOX1は接続条件チェックにて接続条件に未対応であれば、検疫画面を通信機器2に通知する(図8のb10参照)。通信機器2はその検疫画面に対してクリックが行われると、HTTP Submitを受付BOX1に返す(図8のb11参照)。受付BOX1は通信機器2からHTTP Submitが返ってくると、通信機器2に対する検疫を開始し(図8のb12参照)、検疫開始スクリプトを通信機器2に送る(図8のb13参照)。
【0078】
これによって、通信機器2は検疫開始スクリプトを実行し、HTTP Submitを受付BOX1に返す(図8のb14参照)。受付BOX1は通信機器2からHTTP Submitが返ってくると、通信機器2に対して補助ファイル[ホームゲートウェイ4の公開鍵(host key)、検疫データ、検疫スクリプト]をダウンロードさせる(図8のb15参照)。
【0079】
通信機器2は補助ファイルをダウンロードすると、検疫スクリプトを実行し、情報収集、フォーム作成、フォーム表示を行い(図8のb16参照)、その表示内で所定のアイコン等(図示せず)がクリックされると、HTTP Submit(通信機器の状態情報、公開鍵)を受付BOX1に返す(図8のb17参照)。受付BOX1は通信機器2からの情報を基に検疫判定を行い(図9のb18参照)、NGであれば、修正指示画面を通信機器2に通知する(図9のb19参照)。
【0080】
通信機器2は修正指示画面を受取ると、その指示に基づいて自端末の状態の修正(例えば、最新のパッチをダウンロードして施したり、ウイルス対策ソフトウェアの最新のパターンやパッチをダウンロードして施したり、感染しているウイルスやスパイウェアの駆除を行うこと等)を行い、修正が終了すると、修正終了を自端末の公開鍵とともに受付BOX1に送る(図9のb20参照)。尚、上記の通信機器2へのダウンロードは受付BOX1を介して行われ、それぞれ専用のサイトのみにアクセス可となっており、通信機器2によるそれ以外のサイトへのアクセスは不可となっている。
【0081】
受付BOX1はその公開鍵を記憶装置13の鍵情報保持部133に保持する(図9のb21参照)。受付BOX1は公開鍵を登録すると、あるいは接続条件に一致していれば、ネットワーク切替え指示画面を通信機器2に通知する(図9のb22参照)。
【0082】
次に、上記の処理で用いられるチェックインツールの処理について図10を参照して説明する。通信機器2では上記の処理において、ケーブルをネットワーク機器(ハブ5)のポートdに差し込むことで、チェックインネットワーク102への接続を検出すると、チェックインツール233を起動する。その際、通信機器2はチェックインツール233の軌道によって、リンク状態確認(図10ステップS11)、ネットワーク確認(図10ステップS12)を行った後、自機器内からの資格審査情報の取得を行う(図10ステップS13)。
【0083】
通信機器2は取得した資格審査情報を受付BOX1に送信し(図10ステップS14)、受付BOX1から資格審査OKが返ってくると(図10ステップS15)、処理を終了する。また、通信機器2は資格審査OKが返ってこなければ(図10ステップS15)、修正状態の確認、つまり受付BOX1から指定された修正を行い、その後の自機器内の修正状態を確認し(図10ステップS16)、修正済みであれば、ステップS13に戻って、自機器内からの資格審査情報の取得を行う。
【0084】
また、図11を参照してプラグイン先ネットワークの確認処理について説明する。通信機器2はメインネットワーク101へのリンクアップによってプラグイン先ネットワークの確認処理を起動する(図11ステップS21)。通信機器2は確認処理が起動されると、SLP(マルチキャスト)でメインネットワーク101への問合わせ(サービスタイプ:x−networl−id、サービスURL:種別+ID)を行い、ネットワークIDを取得する(図11ステップS22)。
【0085】
通信機器2は種別をチェックインネットワーク102と判定すると(図11ステップS23)、チェックイン処理(検疫+鍵交換)を行う(図11ステップS24)。また、通信機器2は種別をホームリンク100と判定すると(図11ステップS25)、ホームリンク処理を行う(図11ステップS26)。さらに、通信機器2は種別をフォーリンリンク(図示せず)と判定すると(図11ステップS27)、フォーリンリンク処理を行う(図11ステップS28)。尚、フォーリンリンク処理について後述する。
【0086】
図12は本発明の第1の実施の形態による通信システムのプラグアウト時の動作を示すシーケンスチャートである。この図12を参照して本発明の第1の実施の形態による通信システムのプラグアウト時の動作について説明する。尚、図12における受付BOX1の処理はCPU11が制御プログラム12aを実行することで実現され、通信機器2の処理はCPU21が制御プログラム22aを実行することで実現される。
【0087】
通信機器2はハブ5のポートdからケーブルが抜かれることで、メインネットワーク101との接続が切れると(プラグアウト)(図12のc1参照)、カメラ3の状態更新を中止する(図12のc2参照)。この時、受付BOX1にはハブ5からケーブルが外されたことを示すリンクダウントラップが入力されるので(図12のc3参照)、メインネットワーク101からチェックインネットワーク102への切替え(VLAN切替え)を行い(図12のc4参照)、検疫状態クリアタイマ(図示せず)を起動する(図12のc5参照)。
【0088】
これによって、メインネットワーク101からチェックインネットワーク102への切替え(VLAN切替え)が行われる(図12のc6参照)。また、受付BOX1では検疫状態クリアタイマがタイムアウトになると、保持していた通信機器2の検疫状態がクリアされる(図12のc7参照)。
【0089】
尚、本実施の形態では、通信機器2に上記の処理を行うチェックインツール233をインストール(Bootstrap:tool installer)しているものとしているが、通信機器2の新規接続時に、通信機器2をチェックインツールのダウンロードサイト(図示せず)に接続させてチェックインツールのダウンロードを行わせてインストールさせることも可能である。
【0090】
このチェックインツールのダウンロードを行う場合、通信機器2には少なくともWebブラウザを搭載しておく必要があり、通信機器2のケーブルがハブ5に接続され、Webブラウザによって任意のサイトにアクセスされた時に、受付BOX1がそのアクセスをチェックインツールのダウンロードサイトへと導入するリダイレクション(redirection)を行い、そのダウンロードサイトから通信機器2に対してチェックインツールのダウンロードを行わせる。これによって、本実施の形態では、各種ツール(ソフトウェア)の新規導入を容易にかつ強制的に行わせることができ、サービス提供時に各種ツールをインストールしておく必要があるという前提条件問題を解消することができる。
【0091】
このように、本実施の形態では、ハブ5への接続監視[L2(Layer 2)状態監視(L2→L3(Layer 3)→アプリケーション(Application)という一連の処理]にてL2の状態変化を動作のトリガ(Trigger)にしているので、通信機器2のケーブルをハブ5のポートc〜hに挿すだけの誰にでもできる動作のみで処理を完結することができる。
【0092】
この場合、通信機器2側では同じポートを利用してリンクの状態変化(linkup/down)の検出に加え、VLANの状態変化・切替えを自動検出することができる。ハブ5はリンクの状態変化(linkup/down)に応じてVLANの切替えを行う。
【0093】
通信機器2側においては、(1)プラグイン直後に必ずチェックインネットワーク102につながり、条件不一致(例えば、未検疫)であれば、「検疫せよ」、「登録せよ」のメッセージが通知され、条件一致(例えば、検疫済)であれば、メインネットワーク101へのVLAN切替えが行われて、メインネットワーク101を利用することができ、メインネットワーク101からの情報提供が得られる。
【0094】
また、通信機器2側においては、(2)ハブ5からケーブルを抜けば、自動検出でそのポートをチェックインネットワーク102に接続する。さらに、通信機器2側においては、(3)問題が発生すると[例えば、ワーム(Worm)を発見すると]、ハブ5の全てのポートをチェックインネットワーク102に接続する。
【0095】
したがって、本実施の形態では、通信機器2のケーブルをハブ5のポートに差し込むだけで、IPv6(Internet Protocol version 6)高速サービス発見、アプリケーションまでの実行を実証することができる。その場合、本実施の形態では、操作をガイドし、誤りなく機器を設定する通信環境構築システムが開発可能となり、一回の簡単動作のみで完結し、いつ/なにをするかを考えさせることもなく、装置の初期設定すら自動で行い、取得情報が信頼可能かを検証することができる。
【0096】
その際に、本実施の形態では、ウイルス等で汚染された装置や不正な装置がチェックインネットワーク102を通して受付BOX1に隔離接続されたままとなるので、それらの装置がメインネットワーク101に接続されることもなく、受付BOX1を通してそれらの装置に対する検疫を自動的にかつ強制的に行わせることができる。
【0097】
この場合、ウイルス等で汚染された装置や不正な装置はチェックインネットワーク102を通して受付BOX1に隔離接続されたままなので、その時同時にハブ5に接続された他の装置に対しても、それらの装置によるウイルスの拡散やトラフィックの増大を招くことはない。
【0098】
図13は本発明の第2の実施の形態による通信システムの構成を示すブロック図である。図13においては、通信機器2が移動し(移動先の通信機器を2aとする)、フォーリンリンク200及びIP(Internet Protocol)網300を介してホームゲートウェイ4との間にVPN(Virtual Private Network)トンネルを構築することでメインネットワーク100への接続を行う例を示している。
【0099】
この場合、通信機器2aは受付BOX1によるチェックイン処理時に、チェックインネットワーク102を介して受付BOX1に1対1で隔離接続し、鍵情報を交換する際にホームゲートウェイ4の公開鍵を取得しているものとする。また、ホームゲートウェイ4も受付BOX1から通信機器2aの公開鍵を取得しているものとする。これらの公開鍵を用いることで、VPNトンネルの構築のための鍵情報が取得可能となる。
【0100】
図14は本発明の第2の実施の形態による通信システムでの通信機器2aの動作を示すフローチャートである。これら図13及び図14を参照して通信機器2aの動作について説明する。尚、通信機器2aの構成は図4に示す本発明の第1の実施例による通信機器2と同様の構成となっており、図14に示す処理は通信機器2aのCPU21が制御プログラム22aを実行することで実現される。
【0101】
通信機器2aはフォーリンリンク200を確認すると(図14ステップS31)、ホームリンク100を確認できなければ(図14ステップS32)、ホームリンク100なしを通知し(図14ステップS33)、処理を終了する。
【0102】
通信機器2aはホームリンク100を確認すると(図14ステップS32)、ホームリンク100のステータスを問合わせ(図14ステップS34)、応答がなければ(図14ステップS35)、ダウンを通知し(図14ステップS36)、処理を終了する。
【0103】
通信機器2aは応答があれば(図14ステップS35)、ホームリンク100のステータスをチェックする(図14ステップS37)。通信機器2aはホームリンク100のステータスがインアクティブ(INACTIVE)であれば、ダウンを通知し(図14ステップS38)、処理を終了する。
【0104】
通信機器2aはホームリンク100のステータスがアクティブ(ACTIVE)であれば、リンクダウンかどうかを判定する(図14ステップS39)。通信機器2aはリンクダウンであれば、処理を終了する。
【0105】
通信機器2aはリンクダウンでなければ、「Acquired Group」を取得し(図14ステップS40)、WEBページの生成/表示を行い(図14ステップS41)、初回のみ、フォーリンリンク200のログを取得する(図14ステップS42)。これらの処理はリンクダウンされるまで繰り返し行われる(図14ステップS39〜S41)。
【0106】
尚、フォーリンリンク200のログは次回以降、フォーリンリンク200に接続するために必要な情報(IP address、netmask、default router、routing table、neighbour cache table、arp table等の情報)である。
【0107】
このように、本実施の形態では、通信機器2aに対して上記の受付BOX1によるチェックイン処理が行われると、外部のネットワーク(フォーリンリンク200)から接続する際に、通信機器2aが取得した鍵情報を用いてメインネットワーク101に接続されるホームゲートウェイ4との間にVPNトンネルを構築することが可能となるので、その通信機器2aが安全かつ容易に外部からメインネットワーク101に接続することができる。
【0108】
本実施の形態では、多様なサービス情報[カメラ情報、VPN情報、ネット状態情報、鍵等]を対象とし、秘匿が必要な鍵も受付BOX1を介して簡単安全に受渡することができる。
【0109】
図15は本発明の第3の実施の形態による通信システムの構成を示すブロック図である。図15においては、自発的サービス探索が不可(チェックインツールの搭載が不可)の周辺装置6[例えば、無線LAN(Local Area Network) AP(Access Point)やルータ、情報家電等]をメインネットワーク101に接続する例を示している。
【0110】
図16は本発明の第3の実施の形態による通信システムでの受付BOX1と周辺装置6との接続状態を示すブロック図である。図16において、ハブ(VLAN対応)5にはポートa〜hが設けられており、受付BOX1はポートaを通してメインネットワーク101に接続され、ポートbを通してチェックインネットワーク102に接続されている。尚、本実施の形態では、ハブ以外のネットワーク機器(例えば、ルータ等)にも適用可能である。また、ネットワーク機器は、SNMP(Simple Network Management Protocol)等のプロトコルを用いて動作している。
【0111】
また、ポートc〜hは接続された機器をメインネットワーク100への接続とチェックインネットワーク102を介してポートbへの1対1接続とを切り替えられるようになっている。これによって、ポートbに接続された受付BOX1とポートc〜hに接続された通信機器との間を1対1に隔離接続するようになっている。この場合、ハブ5においてはポートc〜hにそれぞれ接続された通信機器同士を接続することはできない。
【0112】
図16ではポートeに接続された周辺装置6が、ポートbに接続された受付BOX1に1対1に隔離接続されている状態を示している。また、ポートd,g,hにそれぞれ接続された通信機器2、ポートカメラ3、ホームゲートウェイ4各々は受付BOX1による接続条件のチェック(資格審査)が済んでいるので、メインネットワーク101に接続されている。
【0113】
受付BOX1はチェックインネットワーク102によって周辺装置6が1対1に隔離接続されると、周辺装置6からの信号を基にどのような機器が接続されたかを判定し、その判定結果にしたがって周辺装置6に対する設定を行い、その後に周辺装置6が接続されたポートeにおいて、周辺装置6が接続されたネットワークをメインネットワーク101に接続する。
【0114】
図17は本発明の第3の実施の形態による通信システムでのネットワーク接続処理を示すシーケンスチャートである。これら図15〜図17を参照して本発明の第3の実施の形態による通信システムの動作について説明する。尚、図17における受付BOX1の処理はCPU11が制御プログラム12aを実行することで実現され、周辺装置6の処理は図示せぬCPUが制御プログラムを実行することで実現される。
【0115】
周辺装置6のケーブルがハブ5のポートeに接続され、チェックインネットワーク102に接続されると(チェックインネットワークへのプラグイン)(図17のd1参照)、ハブ5はリンクアップトラップにてチェックインネットワーク102に周辺装置6が接続されたことを受付BOX1に通知する(図17のd2参照)。
【0116】
受付BOX1はチェックインネットワーク102に周辺装置6が接続されたことが通知されると、データベース15を参照して接続機器の確認処理を開始し(図17のd3参照)、各種接続機器に対応するping(接続性を確認するための信号)を応答が返ってくるまで周辺装置6に送出する(ping処理)(図17のd4参照)。
【0117】
受付BOX1は周辺装置6から応答が返ってくると(図17のd5参照)、その応答(上記のpingに対する応答)に対応するメーカ名、機器の種別等をデータベース15を参照して取得するとともに、データベース15を検索してその機器のMAC(Media Access Control)アドレスを取得する(図17のd6参照)。
【0118】
受付BOX1は取得したMACアドレスを基に周辺装置6に対して機器情報取得要求を送り(図17のd7参照)、周辺装置6から機器情報を取得した後(図17のd8参照)、その機器情報を基に周辺装置6の機種を判別してその機種に対応する初期設定の情報を周辺装置6に送って(図17のd9参照)、周辺装置6の初期設定を行う(図17のd10参照)。この場合、初期設定の情報ではなく、メインネットワーク101に接続するための設定情報でもよい。
【0119】
この後、受付BOX1は周辺装置6の接続先としてチェックインネットワーク102からメインネットワーク101への切替え(VLAN切替え)を行うので(図17のd11,d12参照)、周辺装置6にてVLAN切替えが行われる(図17のd13参照)。周辺装置6はブロードキャストにて、プラグイン先確認を行うための問合わせ要求をメインネットワーク101に送信する(図17のd14参照)。
【0120】
この場合、メインネットワーク101にはカメラ3と、ホームゲートウェイ4と、図示せぬディレクトリサーバ(DA)が接続されているので、これらからの応答が周辺装置6に返ってくる(図17のd15参照)。ここで、ディレクトリサーバにはメインネットワーク101に接続されている機器の情報が登録されているので、周辺装置6も他の機器と同様に、ディレクトリサーバへの登録処理を開始する(図17のd16参照)。
【0121】
これによって、本実施の形態では、周辺装置6のケーブルをハブ5のポートc〜hに挿すだけで、周辺装置6に対する受付BOX1による資格審査、メインネットワーク101に接続するための設定が行われるので、周辺装置6をメインネットワーク101に容易にかつ簡便に接続することができる。
【0122】
このように、本実施の形態では、様々な(受動・能動)型のIP機器に対応しており、自発的サービス探索が不可(チェックインツールが搭載不可)の受動型装置としては、上記のような無線LAN APがあり、自発的サービス探索が可能な(チェックインツールが搭載可)能動型装置としては、ノート型PC(Personal Computer)やPDA(Personal Digital Assistant)等がある。
【0123】
図18及び図19は本発明の第4の実施の形態による通信システムでのネットワーク接続処理を示すシーケンスチャートである。本発明の第4の実施の形態による通信システムや各装置は図2〜図5に示す本発明の第1の実施の形態による通信システムや各装置と同様の構成となっているので、図2〜図5と図18と図19とを参照して本発明の第4の実施の形態による通信システムの動作について説明する。尚、通信機器2はメインネットワーク101への新規接続で、チェックインツールがインストールされていないものとする。また、図18及び図19における受付BOX1の処理はCPU11が制御プログラム12aを実行することで実現され、通信機器2の処理はCPU21が制御プログラム22aを実行することで実現される。
【0124】
通信機器2のケーブルがハブ5のポートfに接続されると(チェックインネットワークへのプラグイン)(図18のe1参照)、チェックインネットワーク102に接続されると、ハブ5はリンクアップトラップにてチェックインネットワーク102に通信機器2が接続されたことを受付BOX1に通知する(図18のe2参照)。
【0125】
受付BOX1はチェックインネットワーク102に通信機器2が接続されたことが通知され、通信機器2からWebブラウザを使用して任意のサイトへのアクセスが行われると(図18のe3参照)、そのアクセスをチェックインツールのダウンロードサイトへと導入するリダイレクションを行い(図18のe4参照)、そのダウンロードサイトから通信機器2にチェックインツールのダウンロードを行わ(図18のe5,e6参照)、通信機器2にチェックインツールをインストールさせる。
【0126】
通信機器2はチェックインネットワーク102へのリンクアップ(linkup)を検出すると(図18のe7参照)、インストールしたチェックインツールを用いてプラグイン先確認を行う(図18のe8参照)。通信機器2はブロードキャストにて、プラグイン先確認を行うための問合わせ要求をチェックインネットワーク102に送信する(図18のe9参照)。この場合、通信機器2はチェックインネットワーク102を通して受付BOX1に1対1に隔離接続されているので、受付BOX1が応答を通信機器2に返すこととなる(図18のe10参照)。
【0127】
通信機器2は応答が返ってくると、SLPクエリ、SLPリプライ[HTTP URL]等によるサービス探索処理を実行する(図18のe11参照)。通信機器2はグローバルアドレスの用意(Global Address Ready)を行ってから(図18のe12参照)、受付BOX1に対してHTTPアクセスを行う(図18のe13参照)。
【0128】
受付BOX1は通信機器2からのHTTPアクセスに対して接続条件チェックを行う(図18のe14参照)。この場合、接続条件は上述した本発明による処理にて説明した資格条件の一種であり、この接続条件のチェックについても、上述した本発明による処理と同様であるので、その説明を省略する。
【0129】
受付BOX1は接続条件チェックにて接続条件に未対応であれば、検疫画面を通信機器2に通知し(図18のe15参照)、通信機器2に対して検疫処理を行わせる(図18のe16参照)。通信機器2にて検疫処理が行われ、処理結果(HTTP Submit)が返ってくると(図18のe17参照)、受付BOX1は検疫判定を行う(図18のe18参照)。
【0130】
受付BOX1は検疫処理の結果がNGであれば、検疫指示画面を通信機器2に通知し(図18のe19参照)、通信機器2に検疫を行わせる。また、受付BOX1は検疫処理の結果がOKであれば、通信機器2との間で公開鍵交換処理を行う(図19のe20〜e22参照)。受付BOX1は公開鍵(通信機器2)を記憶装置13の鍵情報保持部133に登録する(図19のe23参照)。
【0131】
同様に、通信機器2も受付BOX1からの公開鍵(受付BOX1)を記憶装置23の鍵情報保持部234に登録する。この場合、受付BOX1からの公開鍵(受付BOX1)はメインネットワーク101に接続された各機器(例えば、カメラ3やホームゲートウェイ4)の公開鍵が、受付BOX1にて代行されて通信機器2に渡される。
【0132】
この後に、受付BOX1はVLAN切替えを行い(図19のe24参照)、通信機器2にネットワーク切替え指示画面を通知すると(図19のe25参照)、通信機器2はRSメッセージやRA等によってアドレス設定処理を行う(図19のe26参照)。
【0133】
通信機器2はチェックインネットワーク102のリンクダウン(移動検出)を検出すると(図19のe27参照)、あるいは接続条件チェックにて接続条件に対応していれば、VLAN切替えを行い(図19のe28参照)、さらにメインネットワーク101のリンクアップを検出すると(図19のe29参照)(メインネットワークへのプラグイン)、チェックインツールを用いてプラグイン先確認を行う(図19のe30参照)。
【0134】
通信機器2はブロードキャストにて、プラグイン先確認を行うための問合わせ要求をメインネットワーク101に送信する(図19のe31参照)。この場合、メインネットワーク101にはカメラ3と、ホームゲートウェイ4と、図示せぬディレクトリサーバ(DA)が接続されているので、これらからの応答が通信機器2に返ってくる(図19のe32参照)。ここで、ディレクトリサーバにはメインネットワーク101に接続されている機器の情報が登録されている。したがって、通信機器2はホームリンク検出、ホームリンク処理の開始を行う(図19のe33参照)。
【0135】
上述したように、本発明では、チェックインネットワーク102にて受付BOX1と通信機器2とを一対一に接続して行う自動検疫と、不審者による端末使用の監視が可能な人間認証とのハイブリッドな認証が可能となる。その場合でも、ユーザはネットワークに接続する際のパスワード(Password)の入力が不要となり、安全にかつ容易にネットワークへの接続が可能となる。尚、本発明の各実施の形態では、受付BOX1とハブ5とをそれぞれ独立した機器として説明しているが、これらが一体化した機器であっても、上記と同様の動作及び効果が得られる。
【0136】
図20は本発明の第5の実施の形態による受付BOXと通信機器との接続状態を示すブロック図である。図20において、本発明の第5の実施の形態では、通信機器2をその資格条件に応じて3つのメインネットワーク(#1〜#3)201〜203のいずれかに接続できるようにしている。
【0137】
ハブ(VLAN対応)5にはポートa〜hが設けられており、受付BOX1はポートaを通してメインネットワーク(#1)201に接続され、ポートbを通してチェックインネットワークに接続されている。尚、本実施例では、ハブ以外のネットワーク機器(例えば、ルータ等)にも適用可能である。また、ネットワーク機器は、SNMP(Simple Network Management Protocol)等のプロトコルを用いて動作している。
【0138】
また、ポートc〜hは接続された機器をメインネットワーク100への接続とチェックインネットワークを介してポートbへの1対1接続とを切り替えられるようになっている。これによって、ポートbに接続された受付BOX1とポートc〜hに接続された通信機器との間を1対1に隔離接続するようになっている。この場合、ハブ5においてはポートc〜hにそれぞれ接続された通信機器同士を接続することはできない。
【0139】
図20ではポートdに接続された通信機器2が、ポートbに接続された受付BOX1に1対1に隔離接続されて資格審査が行われた後に、その資格条件に応じてメインネットワーク(#3)203に選択接続されている状態を示している。また、ポートg,hにそれぞれ接続されたカメラ3及びホームゲートウェイ4は受付BOX1による接続条件のチェック(資格審査)が済んで、メインネットワーク(#1)201に選択接続されている状態を示している。
【0140】
このように、本実施の形態では、メインネットワークが複数あった場合でも(尚、メインネットワークは4以上でも対応可能である)、上述した本発明の第1〜第4の実施の形態と同様の処理を行うことができ、同様の効果が得られるとともに、予め設定された資格条件に応じて接続するメインネットワークを選択することができる。
【0141】
尚、上述した本発明の第1〜第5の実施の形態では、主に検疫システムについて述べているが、メインネットワークへの接続条件として、
(1)検疫対策済みか
(2)連絡事項の確認済みか
(3)利用者毎の未処理案件を通知済みか
等を資格審査基準として設定して運用するシステムにも本発明を適用することができる。
【0142】
上記の(1)の条件が設定されるシステムでは、資格審査基準として、接続する通信装置の検疫(例えば、ウィルスに汚染されていないか、OS等に最新のパッチがあたっているか、最新のウィルスの定義ファイルとなっているか等)を行い、その検疫にパスすると、メインネットワークに接続許可することが考えられる。このシステムでは、これらの条件を確認できるように上述したチェックインツールを設定するだけでよく、システムの構成や動作は上述した本発明の第1〜第5の実施の形態の構成や動作と同じでよい。
【0143】
上記の(2)の条件が設定されるシステムでは、資格審査基準として、誰が接続してきたかは特定せず、接続先の組織で共通となるある特定のWebページを必ず読むことを強制し、連絡事項を確実に伝達したり、あるいは特定のWebページを読む操作で合意をとりつけられるように接続条件を設定することが考えられる。
【0144】
このシステムでは、接続する通信装置の利用者が、チェックインネットワークにおいて、接続先の組織で全ての人が読むべきお知らせや訓示等を掲載している特定のWebページを必ず読むことを条件としておき、チェックインネットワークへの接続時に利用者を特定のWebページに導き、そのWebページを読むことでメインネットワークへの接続を許可することが考えられる。このシステムでも、その構成や動作が上述した本発明の第1〜第5の実施の形態の構成や動作と同じでよい。
【0145】
上記の(3)の条件が設定されるシステムでは、資格審査基準として、誰が接続してきたかを、チェックイン処理時に交換されるID情報(識別情報)によって特定し、その利用者毎に読むべきWebページを用意しておき、そのWebページに導くことでWebページの内容を読ませて、Web base等のネットワークを利用して研修や教育プログラムを受けさせたり、出張の精算処理や承認等の未処理の事務作業を催促/強制することが考えられる。
【0146】
また、上記の(3)の条件が設定される他のシステムでは、資格審査基準として、接続する通信装置の利用者をチェックイン処理時に交換されるID情報(識別情報)によって特定し、そのID情報から受付BOXに設けたデータベースを検索して、その利用者に応じた、あるいはその利用者が行うべき処理事項を表示するWebページを作成しておき、そのWebページに利用者を導くことで表示された処理事項を行うように催促したり、その処理事項を必ず実施するように促すことが考えられる。この場合、利用者の通信装置がチェックインネットワークに接続された時に上記の処理事項の実行を確認することでメインネットワークへの接続を許可することが考えられる。これらのシステムでも、その構成や動作が上述した本発明の第1〜第5の実施の形態の構成や動作と同じでよい。
【0147】
上述した各システムは、本発明の適用例を示しているが、本発明は、資格審査を必要とするシステムに適用可能であり、上述した各実施の形態や上記のシステムに限定されるものではない。
【符号の説明】
【0148】
1 受付BOX
2,2a 通信機器
3 カメラ
4 ホームゲートウェイ
5 ハブ
6 周辺装置
11,21 CPU
12,22 メインメモリ
12a,22a 制御プログラム
13,23 記憶装置
14,24 I/F部
15 データベース
100 ホームリンク
101 メインネットワーク
102 チェックインネットワーク
110,210 内部バス
120,220 ケーブル
131 チェックイン処理プログラム
132 チェックインツール記憶領域
133,234 鍵情報保持部
134 チェックイン情報記憶領域
151 通信機器初期情報記憶領域
152 通信機器検疫情報記憶領域
200 フォーリンリンク
201〜203 メインネットワーク(#1〜#3)
231 APソフトウェア
232 Webブラウザ
233 チェックインツール
300 IP網
a〜h ポート
【技術分野】
【0001】
本発明は通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法並びにそのプログラム、資格審査用ツールプログラムに関し、特にネットワークへのウイルスに感染した通信機器や不正アクセスを目的とする通信機器等の接続を防ぐ方法に関する。
【背景技術】
【0002】
近年、パーソナルコンピュータ(以下、パソコンとする)やインタネットの普及に伴って、社会的経済基盤、社会的生産基盤としてのネットワークの重要性が急速に高まっている。しかしながら、ネットワークにおいては、社会的経済基盤、社会的生産基盤としての重要性が高まるにつれて、ウイルスの意図的な配布やネットワークへの不正アクセス等のネットワークへの攻撃も頻発している。
【0003】
従来、ウイルスとしては、記録媒体や電子メール、あるいは悪質なホームページや不正アクセスで書換えられたホームページを介してパソコン等に感染していたが、近年ではインタネットに接続するだけで感染するネットワークウイルスも大量に出回っている。
【0004】
そのため、ネットワーク内部で使用しているパソコンを外部に持ち出した際に、インタネットに接続してウイルスに感染しても、そのウイルスの感染に気がつかないままネットワーク内部に接続すると、そのウイルスがネットワーク内部に広がるといった被害もでている。
【0005】
このような状況において、ネットワークを構築する際には、外部からの攻撃のみならず、ネットワーク内部におけるウイルス感染等の広がりからネットワークを守るために、パソコン等を外部からネットワークに持ち込む際に、そのパソコン等を検疫用のネットワークに接続してウイルスに感染していないか、OS(Operating System)等のソフトウェアに最新のパッチが施されているか等のチェック(以下、検疫処理とする)を行い、安全と判定された時にネットワーク自体への接続の制限を解除する検疫ネットワークあるいは検疫システムが提案されている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2005−216253号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、上述した検疫ネットワークあるいは検疫システムでは、外部からネットワーク内部に持ち込まれるパソコン等をそのまま検疫用のネットワークに接続しているため、検疫用のネットワークにウイルス感染の機器が接続されると、その時、検疫用のネットワークに同時に接続している機器がウイルスに感染する恐れがある。
【0008】
また、パソコン等の機器をネットワークに接続する際には、本人確認のためのID(識別情報)やパスワード等の入力を行わなくてはならず、ネットワークに接続するための手間がかかるという問題もある。特に、パソコン初心者がネットワークに接続するためには、ネットワークに接続するための設定(上記のIDやパスワードの設定、ネットワーク機器の設定等)を行わなければならず、初心者にとっては敷居が高いものとなっている。
【0009】
そこで、本発明の目的は上記の問題点を解消し、検疫中における他装置へのウイルスの拡散やトラフィックの増大を招くことなく、メインネットワークへの接続を容易に行うことができる通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法を提供することにある。
【課題を解決するための手段】
【0010】
本発明による通信システムは、各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムであって、
前記受付制御部に設けられかつ前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行う手段を備え、
前記資格条件を満たすと判断された場合に前記受付制御部によって前記通信機器が接続されたネットワークを、前記資格審査/設定用ネットワークから前記メインネットワークに切替えさせている。
【0011】
本発明による他の通信システムは、各種サービスを提供する複数のメインネットワークと、前記複数のメインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムであって、
前記受付制御部に設けられかつ前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行う手段を備え、
前記資格条件を満たすと判断された場合に前記受付制御部によって前記通信機器が接続されたネットワークを、前記資格審査/設定用ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えさせている。
【0012】
本発明による資格審査/設定用ネットワークは、各種サービスを提供するメインネットワークとは独立に設けられ、前記メインネットワークとともに受付制御部に接続される資格審査/設定用ネットワークであって、
通信機器の前記メインネットワークへの接続要求時に当該通信機器を前記受付制御部に1対1に隔離接続する手段を備え、
前記受付制御部に1対1に隔離接続された前記通信機器の状態情報が予め設定された資格条件を満たすと判断された場合に当該通信機器を、前記受付制御部によって自ネットワークから前記メインネットワークに切替えさせている。
【0013】
本発明による他の資格審査/設定用ネットワークは、各種サービスを提供する複数のメインネットワークとは独立に設けられ、前記メインネットワークとともに受付制御部に接続される資格審査/設定用ネットワークであって、
通信機器の前記メインネットワークへの接続要求時に当該通信機器を前記受付制御部に1対1に隔離接続する手段を備え、
前記受付制御部に1対1に隔離接続された前記通信機器の状態情報が予め設定された資格条件を満たすと判断された場合に当該通信機器を、前記受付制御部によって前記資格条件にしたがって自ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えさせている。
【0014】
本発明による通信機器は、各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記メインネットワークへの接続を要求する通信機器であって、
自機器が予め設定された資格条件を満足するか否かの資格審査を行うために前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続し、
前記資格条件を満足すると判断された場合に自機器が接続されたネットワークが、前記受付制御部によって前記資格審査/設定用ネットワークから前記メインネットワークに切替えされている。
【0015】
本発明による他の通信機器は、各種サービスを提供する複数のメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記メインネットワークへの接続を要求する通信機器であって、
自機器が予め設定された資格条件を満足するか否かの資格審査を行うために前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続し、
前記資格条件を満足すると判断された場合に自機器が接続されたネットワークが、前記受付制御部によって前記資格条件にしたがって前記資格審査/設定用ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えされている。
【0016】
本発明によるネットワーク接続方法は、各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムに用いるネットワーク接続方法であって、
前記受付制御部が、前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行い、
前記資格条件を満たすと判断された場合に前記通信機器が接続されたネットワークを、前記受付制御部によって前記資格審査/設定用ネットワークから前記メインネットワークに切替えさせている。
【0017】
本発明による他のネットワーク接続方法は、各種サービスを提供する複数のメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムに用いるネットワーク接続方法であって、
前記受付制御部が、前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行い、
前記資格条件を満たすと判断された場合に前記通信機器が接続されたネットワークを、前記受付制御部によって前記資格条件にしたがって前記資格審査/設定用ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えさせている。
【0018】
本発明によるプログラムは、各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記受付制御部内の中央処理装置に実行させるプログラムであって、
前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された前記通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行う処理と、
前記資格条件を満たすと判断された場合に前記通信機器が接続されたネットワークを、前記資格審査/設定用ネットワークから前記メインネットワークに切替えさせる処理とを含むことを特徴とする。
【0019】
本発明による他のプログラムは、各種サービスを提供する複数のメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記受付制御部内の中央処理装置に実行させるプログラムであって、
前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行う処理と、
前記資格条件を満たすと判断された場合に前記通信機器が接続されたネットワークを、前記資格条件にしたがって前記資格審査/設定用ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えさせる処理とを含むことを特徴とする。
【0020】
本発明による資格審査用ツールプログラムは、各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記メインネットワークへの接続を要求する通信機器が予め設定された資格条件を満足するかの資格審査を行うための資格審査用ツールプログラムであって、
前記通信機器のコンピュータに、前記通信機器が前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された時にリンク状態の確認を行う処理と、前記資格審査/設定用ネットワークの確認を行う処理と、前記資格審査のための資格審査情報を自機器から取得して前記受付制御部に送信する処理とを実行させている。
【0021】
すなわち、本発明のネットワーク接続方法は、各種サービスを提供するネットワーク(以下、メインネットワークとする)に接続される通信機器を論理的にグループ化する通信システムにおいて、メインネットワークとは独立に設けられかつメインネットワークへの接続要求を行う通信機器が予め設定された接続条件(資格条件)に一致するかを検証するためのネットワーク(以下、資格審査/設定用ネットワークとする)を設け、メインネットワークと資格審査/設定用ネットワークとに接続される受付制御部を、メインネットワークへの接続を要求する要求元の通信機器の接続条件の検証を行うために、その通信機器を資格審査/設定用ネットワークを介して隔離接続することを特徴とする。
【0022】
これによって、本発明のネットワーク接続方法では、受付制御部が資格審査/設定用ネットワークを通して隔離接続された要求元の通信機器を検証することで、ウイルス感染の通信機器や不正アクセスを目的とする通信機器等が資格審査/設定用ネットワークに接続されても、それらの装置による検疫中の他装置へのウイルスの拡散やトラフィックの増大を招くことなく、メインネットワークへの接続を容易に行うことが可能となる。
【0023】
また、本発明のネットワーク接続方法では、要求元の通信機器が、自機器のケーブルを、資格審査/設定用ネットワークへの接続を行うためのネットワーク機器(ハブ等)に接続すること[以下、プラグアンドプレイ(Plug and Play)]を契機として検証用ネットワークに接続したことを検出した時に接続先を確認し、その確認した接続先の受付制御部に対してSLP(Service Location Protocol)クエリを送信することで、サービス発見(Service Discovery/必要情報の自動発見設定)を行い、利用通信環境毎に異なる多様な情報の受け渡しを行っている。
【0024】
その際、本発明のネットワーク接続方法では、受付制御部が要求元の通信機器に対して名前・ID(識別情報)の自動設定を行い、要求元の通信機器が予め設定された資格条件に一致(例えば、最新のパッチを施し、ウイルス対策も万全の状態等の資格条件に合致)していれば、要求元の通信機器が接続されているネットワークをメインネットワークに接続するので、要求元の通信機器のユーザはケーブルをネットワーク機器に接続するだけで、資格条件に一致していれば、あるいは資格条件に一致するように自動設定された後に、メインネットワークに接続することが可能となる。
【0025】
さらに、本発明のネットワーク接続方法では、受付制御部と要求元の通信機器とが資格審査/設定用ネットワークに接続された状態で、受付制御部がメインネットワークに接続された各機器を代表して、メインネットワークで取得した情報が正しい機器からのものかを電子署名機能で検証するための鍵情報を通信機器に提供することで[KDC(Key Distribution Center)モデルの利用]、あるいは通信機器がメインネットワークに送出する情報がその通信機器からのものかを電子署名機能で検証するための鍵情報を受付制御部に提供することで、プラグアンドプレイにて接続したメインネットワークから提供されるサービスを検知した時に、そのサービスの情報が正しい情報であるかを鍵情報を用いて検証することが可能となる。
【0026】
この場合、メインネットワークに接続されている機器の情報が登録されるディレクトリサーバ(DA:Directory Agent)を用いていれば、正しいディレクトリサーバから発した正しい情報であることを検証する機構が構築可能である。この機構は必要十分で、シンプルな機構として、ディレクトリサーバの公開鍵取得というサービスを新たに設けている。このディレクトリサーバの公開鍵の取得・検証は最初に一度だけ行われ、その公開鍵を用いて一般サービス情報の取得・検証を行うことが可能となる。
【0027】
さらにまた、本発明のネットワーク接続方法では、要求元の通信機器のケーブルがネットワーク機器から外されると、ネットワーク機器の設定において、メインネットワークへの切替えを元に戻す(資格審査/設定用ネットワークへの接続に戻す)ことで、次にネットワーク機器に接続される通信機器に対して、受付制御部に隔離接続された状態で、受付制御部による資格条件の検証を行うことが可能となる。
【0028】
本発明のネットワーク接続方法では、
(1)メインネットワーク利用のための事前処理(契約等)
(2)ネットワーク機器(ハブ等)へのケーブルの接続
(3)受付制御部(Reception−Box)利用のためのチェックイン(Check−in)処理
(4)メインネットワークの実際の利用[メインネットワークへのプラグイン(Plug−in)]
(5)ネットワーク機器からのケーブルの離脱[メインネットワークからのプラグアウト(Plug−out)]
(6)受付制御部利用からの離脱のためのチェックアウト(Check−out)
(7)メインネットワークの利用終了
という流れで、利用の要求元の通信機器の処理が行われる。
【0029】
尚、上記の説明では、要求元の通信機器に(2)〜(7)の処理を行わせるための検証用ソフトウェア(資格審査用ツールプログラム)がインストール(Bootstrap:tool installer)されているものとしているが、要求元の通信機器の新規接続要求時に、その通信機器を検証用ソフトウェアのダウンロードサイトに接続させて検証用ソフトウェアのダウンロードを行わせてインストールさせることも可能である。
【0030】
この場合、通信機器には少なくともWebブラウザを搭載しておく必要があり、通信機器のケーブルがネットワーク機器に接続され、Webブラウザによって任意のサイトにアクセスされた時に、受付制御部がそのアクセスを検証用ソフトウェアのダウンロードサイトへと導入するリダイレクション(redirection)を行い、そのダウンロードサイトから通信機器に検証用ソフトウェアのダウンロードを行わせる。これによって、本発明のネットワーク接続方法では、各種ツール(ソフトウェア)の新規導入を容易にかつ強制的に行わせることが可能となり、サービス提供時に各種ツールをインストールしておく必要があるという前提条件問題を解消することが可能となる。
【0031】
したがって、本発明のネットワーク接続方法では、ネットワーク機器への接続監視[L2(Layer 2)状態監視][L2→L3(Layer 3)→アプリケーション(Application)という一連の処理]にてL2の状態変化を動作のトリガ(Trigger)にしているので、ケーブルをネットワーク機器に挿すだけの誰にでもできる動作のみで処理を完結することが可能となる。
【0032】
この場合、通信機器側では検証用ソフトウェアにて、同じポート(port)を利用してリンク(Link)の状態変化(linkup/down)の検出に加え、VLAN[Virtual LAN(Local Area Network)]もしくはVPN(Virtual Private Network)(メインネットワーク及び検証用ネットワーク)の状態変化・切替えを自動検出することが可能となる。ネットワーク機器[例えば、ハブ(Hub)]はリンクの状態変化(linkup/down)に応じてVLANもしくはVPNの切替えを行う。尚、ネットワーク機器では、SNMP(Simple Network Management Protocol)というプロトコルにて動作可能な機器等が考えられる。
【0033】
本発明のネットワーク接続方法では、通信機器に対して上記の受付制御部による検証処理の後に鍵情報の交換が行われると、外部のネットワーク(フォーリンリンク)から接続する際に、通信機器が取得した鍵情報を用いてメインネットワークに接続されるホームゲートウェイとの間にVPNトンネルを構築することが可能となるので、その通信機器が安全かつ容易に外部からメインネットワークに接続することが可能となる。
【0034】
通信機器側においては、
(1)ネットワーク機器へのプラグイン直後に必ず資格審査/設定用ネットワーク(Check−in Network)につながる。この場合、通信機器は条件不一致(例えば、未検疫)であれば、「検疫せよ」、「登録せよ」のメッセージが通知され、条件一致(例えば、検疫済)であれば、メインネットワークへのVLANもしくはVPNの切替えが行われて、メインネットワークが利用可能となり、メインネットワークからの情報提供が可能となる。
(2)ネットワーク機器からケーブルを抜けば、自動検出でそのポートを資格審査/設定用ネットワークに接続する。
(3)問題が発生すると(Wormを発見すると)、全ポートを資格審査/設定用ネットワークに接続する。
という動作が行われる。
【0035】
上述したように、本発明のネットワーク接続方法では、ネットワーク機器へのケーブル挿入だけで、IPv6(Internet Protocol version 6)高速サービス発見、アプリケーションまでの実行を実証すること等が可能となる。その場合、操作をガイドし、誤りなく機器を設定する通信環境構築システムが開発可能となり、一回の簡単動作のみで完結し、いつ/なにをするかを考えさせることもなく、装置の初期設定すら自動で行い、取得情報が信頼可能かを検証可能となる。その際に、ウイルス等で汚染された装置や不正な装置をメインネットワークに入れることもなく、それらの装置に対する検疫を自動的にかつ強制的に行わせることが可能となる。当然、その時同時にネットワーク機器に接続された他の装置に対しても、ウイルスの拡散やトラフィックの増大を招くことはない。
【0036】
本発明のネットワーク接続方法では、多様なサービス情報[カメラ情報、VPN(Virtual Private Network)情報、ネット状態情報、鍵等]を対象とし、秘匿が必要な鍵も制御サーバ装置を介して簡単安全に受渡することが可能となる。また、本発明のネットワーク接続方法では、様々な(受動・能動)型のIP(Internet Protocol)機器に対応している。自発的サービス探索が不可の受動型装置としては、無線LAN(Local Area Network) AP(Access Point)(ルータや情報家電等)があり、自発的サービス探索が可能な能動型装置としては、ノート型PC(Personal Computer)やPDA(Personal Digital Assistant)等がある。
【0037】
また、本発明のネットワーク接続方法では、資格審査/設定用ネットワークにて受付制御部と通信機器とを一対一に隔離接続して行う自動検疫と、不審者による端末使用の監視が可能な人間認証とのハイブリッドな認証が可能となる。その場合でも、ユーザはネットワークへの接続の際のパスワード(Password)の入力が不要となり、安全にかつ容易にネットワークへの接続が可能となる。
【発明の効果】
【0038】
本発明は、上記のような構成及び動作とすることで、検疫中における他装置へのウイルスの拡散やトラフィックの増大を招くことなく、メインネットワークへの接続を容易に行うことができるという効果が得られる。
【図面の簡単な説明】
【0039】
【図1】本発明による通信システムの動作を示すフローチャートである。
【図2】本発明の第1の実施の形態による通信システムの構成を示すブロック図である。
【図3】図2の受付BOXと通信機器との接続状態を示すブロック図である。
【図4】図2の受付BOXの構成を示すブロック図である。
【図5】図2の通信機器の構成を示すブロック図である。
【図6】本発明の第1の実施の形態による通信システムでのネットワーク接続処理を示すシーケンスチャートである。
【図7】本発明の第1の実施の形態による通信システムでのネットワーク接続処理を示すシーケンスチャートである。
【図8】本発明の第1の実施の形態による通信システムでの検疫処理を示すシーケンスチャートである。
【図9】本発明の第1の実施の形態による通信システムでの検疫処理を示すシーケンスチャートである。
【図10】本発明の第1の実施の形態による通信システムで用いるチェックインツールの処理を示すフローチャートである。
【図11】本発明の第1の実施の形態による通信システムでのプラグイン先ネットワークの確認処理を示すフローチャートである。
【図12】本発明の第1の実施の形態による通信システムのプラグアウト時の動作を示すシーケンスチャートである。
【図13】本発明の第2の実施の形態による通信システムの構成を示すブロック図である。
【図14】本発明の第2の実施の形態による通信システムでの通信機器の動作を示すフローチャートである。
【図15】本発明の第3の実施の形態による通信システムの構成を示すブロック図である。
【図16】本発明の第3の実施の形態による通信システムでの受付BOXと周辺装置との接続状態を示すブロック図である。
【図17】本発明の第3の実施の形態による通信システムでのネットワーク接続処理を示すシーケンスチャートである。
【図18】本発明の第4の実施の形態による通信システムでのネットワーク接続処理を示すシーケンスチャートである。
【図19】本発明の第4の実施の形態による通信システムでのネットワーク接続処理を示すシーケンスチャートである。
【図20】本発明の第5の実施の形態による受付BOXと通信機器との接続状態を示すブロック図である。
【発明を実施するための形態】
【0040】
次に、本発明の実施の形態について図面を参照して説明する。図1は本発明による通信システムの動作を示すフローチャートである。以下、図1を参照して、本発明による通信システムでの通信機器の動作について説明する。
【0041】
但し、通信機器が接続要求するホームリンクは各種サービスを提供するメインネットワークと、要求元の通信機器が予め設定された接続条件を満たしているかを検証するためのチェックイン(Check−in)ネットワーク(資格審査/設定用ネットワーク)とからなり、接続条件を満たしているかの検証を行うための受付BOX(Reception−Box)(受付制御部)はチェックインネットワークにて要求元の通信機器に1対1に隔離接続され、要求元の通信機器が同じチェックインネットワークに接続される他装置からアクセスされることはない。また、メインネットワーク及びチェックインネットワークはVLAN[Virtual LAN(Local Area Network)]もしくはVPN(Virtual Private Network)を形成している。
【0042】
要求元の通信機器のユーザはメインネットワーク利用のための事前処理(契約等)を予め行っておき(図1ステップS1)、メインネットワークに接続する際に通信機器のケーブルをネットワーク機器(例えば、ハブ等)のポートに差し込んで、チェックインネットワークに接続する。
【0043】
すると、要求元の通信機器はネットワーク機器内のチェックインネットワークにて受付BOXに1対1に隔離接続される。この場合には、ネットワーク機器に他の装置が接続されていても、その装置からネットワーク機器に接続された要求元の通信機器を認識することもできず、要求元の通信機器にアクセスすることもできない。
【0044】
要求元の通信機器は受付BOXに1対1に隔離接続されると、受付BOX利用によるチェックインを行う(図1ステップS2)。つまり、受付BOXは1対1に隔離接続された要求元の通信機器が、ウイルス感染の通信機器や不正アクセスを目的とする通信機器等でないかどうかの検証処理を含みかつ予め設定された接続条件を満たしているかを検証するためのチェックイン処理を行う。
【0045】
この場合、受付BOXは検証を行うためのデータを要求元の通信機器に渡し、そのデータの実行結果(ウイルスやスパイウェア等への感染の有無等)、要求元の通信機器自身の情報[OS(Operation System)の情報やそれに施されたパッチの情報、ウイルス対策ソフトウェアのバージョン情報、搭載するアプリケーションソフトウェアの情報等]を取得し、それらの情報を基に予め設定された資格条件(メインネットワークに接続する資格があるかどうかの条件)を満たしているかを検証する。資格条件としては、例えば、ウイルスやスパイウェア等への感染がなく、少なくともWebブラウザやウイルス対策ソフトウェアを搭載し、それらに最新のパッチが施されている状態であること等が挙げられる。
【0046】
また、受付BOXは要求元の通信機器がチェックインネットワークを介して接続された状態の時に、要求元の通信機器において取得された情報が正しいかを電子署名機能で検証するための鍵情報を交換することで[KDC(Key Distribution Center)モデルの利用]、プラグアンドプレイにて接続したメインネットワークから提供されるサービスの情報が正しい情報であるかを鍵情報を用いて検証することができる。
【0047】
この場合、本発明では、メインネットワークに接続されている機器の情報が登録されるディレクトリサーバ(DA:Directory Agent)を用いていれば、正しいディレクトリサーバから発した正しい情報であることを検証する機構を構築することができる。この機構では必要十分で、シンプルな機構として、ディレクトリサーバの公開鍵取得というサービスを新たに設けている。このディレクトリサーバの公開鍵の取得・検証は最初に一度だけ行われ、その公開鍵を用いて一般サービス情報の取得・検証を行うことができる。
【0048】
受付BOXは上記のチェックイン処理で要求元の通信機器が接続条件を満たしていると判断すると、ネットワーク機器に要求元の通信機器が接続されたネットワークをチェックインネットワークからメインネットワークに切替えさせる(プラグイン)(図1ステップS3)。この後、要求元の通信機器はメインネットワークの実際の利用に移行する(図1ステップS4)。
【0049】
要求元の通信機器はメインネットワークの実際の利用に移行する際に、上記のような鍵情報の交換が行われていれば、メインネットワークからどのようなサービスが受けられるかを検索し、検索されたサービスの情報が正しいかを鍵情報を用いた電子署名機能にて検証することができる。サービスの情報が正しい場合には、要求元の通信機器がそのサービスの情報を用いてサービスを利用することになる。
【0050】
また、要求元の通信機器は、上記のような鍵情報の交換が行われていれば、メインネットワークの利用を終了し、他のネットワークから上記のメインネットワークに接続する際に、他のネットワークとメインネットワークとの間に鍵情報を用いてVPN(Virtual Private Network)トンネルを構築することもできる。
【0051】
要求元の通信機器のユーザは、メインネットワークの実際の利用を終了する場合、ネットワーク機器からケーブルを外してメインネットワークとの接続を切断する[プラグアウト(Plug−out)](図1ステップS5)。この場合、受付BOXでは要求元の通信機器のメインネットワークへの接続が切れるので、ネットワーク機器の設定を元の設定(ケーブルが挿入された時にチェックインネットワークを通して受付BOXへと隔離接続する設定)に戻すチェックアウト(Check−out)を行う(図1ステップS6)。
【0052】
つまり、受付BOXはチェックアウト処理において、要求元の通信機器のケーブルがネットワーク機器から外されると、ネットワーク機器のポートにケーブルが差し込まれた時にそのケーブルの通信機器に接続されるネットワークをチェックインネットワークにする設定へと戻す処理を行う。これによって、受付BOXはネッワーク機器に次に接続される通信機器がまずチェックインネットワークに接続されるようにする。
【0053】
上記のような処理を行うことで、要求元の通信機器のユーザは、メインネットワークの利用を終了する(図1ステップS7)。上記のような処理の流れで、メインネットワークを利用する要求元の通信機器の処理が行われる。したがって、本発明では、ウイルス感染の通信機器や不正アクセスを目的とする通信機器等のチェックインネットワークに接続されても、他の機器へのアクセスを防止する隔離状態とすることができ、正しい通信機器のメインネットワークへの接続を容易に行うことができる。この場合、その時同時にネットワーク機器に接続された他の装置に対して、上記のウイルス感染の通信機器や不正アクセスを目的とする通信機器等からのウイルスの拡散やトラフィックの増大を招くことはない。
【0054】
図2は本発明の第1の実施の形態による通信システムの構成を示すブロック図である。図2において、本発明の第1の実施の形態による通信システムは、受付BOX1と、通信機器2と、カメラ3と、ホームゲートウェイ4と、ホームリンク100とから構成され、ホームリンク100にはメインネットワーク101とチェックインネットワーク102とが含まれている。尚、以下の説明では、メインネットワーク101及びチェックインネットワーク102をVLANとして述べるが、これらはVPNでもよく、これに限定されない。
【0055】
図3は図2の受付BOX1と通信機器2との接続状態を示すブロック図である。図3において、ハブ(VLAN対応)5にはポートa〜hが設けられており、受付BOX1はポートaを通してメインネットワーク101に接続され、ポートbを通してチェックインネットワーク102に接続されている。尚、本実施の形態では、ハブ以外のネットワーク機器(例えば、ルータ等)にも適用可能である。また、ネットワーク機器は、SNMP(Simple Network Management Protocol)等のプロトコルを用いて動作している。
【0056】
また、ポートc〜hは接続された機器をメインネットワーク100への接続とチェックインネットワーク102を介してポートbへの1対1接続とを切り替えられるようになっている。これによって、ポートbに接続された受付BOX1とポートc〜hに接続された通信機器との間を1対1に隔離接続するようになっている。この場合、ハブ5においてはポートc〜hにそれぞれ接続された通信機器同士を接続することはできない。図3ではポートdに接続された通信機器2が、ポートbに接続された受付BOX1に1対1に隔離接続されている状態を示している。また、ポートg,hにそれぞれ接続されたカメラ3及びホームゲートウェイ4は受付BOX1による接続条件のチェック(資格審査)が済んでいるので、メインネットワーク101に接続されている。
【0057】
受付BOX1と通信機器2との間の情報のやり取りで、通信機器2が予め設定された資格条件を満たしていると判断すると、受付BOX1は通信機器2が接続されたポートdを切替えて(VLAN切替え)、通信機器2をメインネットワーク101に接続させるようにしている。
【0058】
図4は図2の受付BOX1の構成を示すブロック図である。図4において、受付BOX1はCPU(中央処理装置)11と、CPU11が実行する制御プログラム12aを格納するメインメモリ12と、CPU11が制御プログラム12aを実行する際に作業領域として使用する記憶装置13と、ハブ5にケーブルを通して接続するI/F(インタフェース)部14と、各種情報を蓄積するデータベース15とから構成されている。尚、CPU11、メインメモリ12、記憶装置13、I/F部14、データベース15はそれぞれ内部バス110に接続されている。また、データベース15は受付BOX1の装置外に設置してもよい。
【0059】
記憶装置13にはCPU11にて使用される各種情報が保持されており、チェックイン処理を行うためのチェックイン処理プログラム131と、チェックイン処理で使用するチェックインツールを記憶するチェックインツール記憶領域132と、鍵情報を保持する鍵情報保持部133と、チェックイン情報記憶領域134とが設けられている。データベース15には通信機器の初期情報を記憶する通信機器初期情報記憶領域151と、通信機器の検疫情報を記憶する通信機器検疫情報記憶領域152とが設けられている。
【0060】
図5は図2の通信機器2の構成を示すブロック図である。図5において、通信機器2はCPU21と、CPU21が実行する制御プログラム22aを格納するメインメモリ22と、CPU21が制御プログラム22aを実行する際に作業領域として使用する記憶装置23と、ハブ5にケーブルを通して接続するI/F部24とから構成されている。尚、CPU21、メインメモリ22、記憶装置23、I/F部24はそれぞれ内部バス210に接続されている。
【0061】
記憶装置23にはCPU21にて使用される各種情報が保持されており、AP(アプリケーション)ソフトウェア231と、インタネット上の各サイトにアクセスするためのWebブラウザ232と、上記のチェックイン処理で使用するチェックインツール233と、鍵情報を保持する鍵情報保持部234とが設けられている。
【0062】
図6及び図7は本発明の第1の実施の形態による通信システムでのネットワーク接続処理を示すシーケンスチャートであり、図8及び図9は本発明の第1の実施の形態による通信システムでの検疫処理を示すシーケンスチャートであり、図10は本発明の第1の実施の形態による通信システムで用いるチェックインツールの処理を示すフローチャートであり、図11は本発明の第1の実施の形態による通信システムでのプラグイン先ネットワークの確認処理を示すフローチャートである。これら図1〜図11を参照して本発明の第1の実施の形態による通信システムの動作について説明する。尚、図6〜図9と図11とにおける受付BOX1の処理はCPU11が制御プログラム12aを実行することで実現され、通信機器2の処理はCPU21が制御プログラム22aを実行することで実現される。
【0063】
通信機器2はケーブルがハブ5のポートfに接続され(チェックインネットワークへのプラグイン)(図6のa1参照)、チェックインネットワーク102に接続されると、チェックインネットワーク102へのリンクアップ(linkup)を検出し(図6のa2参照)、チェックインツール233を用いてプラグイン先確認を行う(図6のa3参照)。この場合、チェックインツール233は予めチェックインツールのダウンロードサーバ(図示せず)からダウンロードして記憶装置23に保持されているものとする。
【0064】
通信機器2はブロードキャストにて、プラグイン先確認を行うための問合わせ要求をチェックインネットワーク102に送信する(図6のa4参照)。この場合、通信機器2はチェックインネットワーク102を通して受付BOX1に1対1に隔離接続されているので、受付BOX1が応答を通信機器2に返すこととなる(図6のa5参照)。
【0065】
通信機器2は応答が返ってくると、SLP(Service Location Protocol)クエリ(Query)、SLPリプライ(Reply)[HTTP(Hyper Text Transfer Protocol) URL(Uniform Resource Locator)]等によるサービス探索処理を実行する(図6のa6参照)。
【0066】
通信機器2はグローバルアドレスの用意(Global Address Ready)を行ってから(図6のa7参照)、受付BOX1に対してHTTPアクセスを行う(図6のa8参照)。受付BOX1は通信機器2からのHTTPアクセスに対して接続条件チェックを行う(図6のa9参照)。この場合、接続条件は上述した本発明の実施の形態にて説明した資格条件の一種であり、この接続条件のチェックについても、上述した本発明による処理と同様であるので、その説明を省略する。
【0067】
受付BOX1は接続条件チェックにて接続条件に未対応であれば、検疫画面を通信機器2に通知し(図6のa10参照)、通信機器2に対して検疫処理を行わせる(図6のa11参照)。通信機器2にて検疫処理が行われ、処理結果(HTTP Submit)が返ってくると(図6のa12参照)、受付BOX1は検疫判定を行う(図6のa13参照)。
【0068】
受付BOX1は検疫処理の結果がNGであれば、検疫指示画面を通信機器2に通知し(図6のa14参照)、通信機器2に検疫を行わせる。また、受付BOX1は検疫処理の結果がOKであれば、通信機器2との間で公開鍵交換処理を行う(図6のa16〜a18参照)。受付BOX1は公開鍵(通信機器2)を記憶装置13の鍵情報保持部133に登録する(図6のa19参照)。
【0069】
同様に、通信機器2も受付BOX1からの公開鍵(受付BOX1)を記憶装置23の鍵情報保持部234に登録する。この場合、受付BOX1からの公開鍵(受付BOX1)はメインネットワーク101に接続された各機器(例えば、カメラ3やホームゲートウェイ4)の公開鍵が、受付BOX1にて代行されて通信機器2に渡される。
【0070】
この後に、受付BOX1はVLAN切替えを行い(図7のa19参照)、通信機器2にネットワーク切替え指示画面を通知すると(図7のa20参照)、通信機器2はRS(Router Solicitation)メッセージやRA(Router Advertisement)等によってアドレス設定処理を行う(図7のa21参照)。
【0071】
通信機器2はチェックインネットワーク102のリンクダウン(移動検出)を検出すると(図7のa22参照)、あるいは接続条件チェックにて接続条件に対応していれば、VLAN切替えを行い(図7のa23参照)、さらにメインネットワーク101のリンクアップを検出すると(図7のa24参照)(メインネットワークへのプラグイン)、チェックインツール233を用いてプラグイン先確認を行う(図7のa25参照)。
【0072】
通信機器2はブロードキャストにて、プラグイン先確認を行うための問合わせ要求をメインネットワーク101に送信する(図7のa26参照)。この場合、メインネットワーク101にはカメラ3と、ホームゲートウェイ4と、図示せぬディレクトリサーバ(DA:Directory Agent)が接続されているので、これらからの応答が通信機器2に返ってくる(図7のa27参照)。
【0073】
ここで、ディレクトリサーバにはメインネットワーク101に接続されている機器の情報が登録されている。したがって、通信機器2はホームリンク検出、ホームリンク処理の開始を行う(図7のa28参照)。その際、通信機器2は鍵情報保持部234に登録した公開鍵を用いてカメラ3、ホームゲートウェイ4、ディレクトリサーバからの情報であることを確認することができる。
【0074】
上記の検疫処理について、図8及び図9を参照して詳細に説明する。通信機器2はケーブルがハブ5のポートdに接続され(プラグイン)(図8のb1参照)、チェックインネットワーク102に接続されると、チェックインネットワーク102へのリンクアップ(linkup)を検出し(図8のb2参照)、チェックインツール233を用いてプラグイン先確認を行う(図8のb3参照)。
【0075】
通信機器2はブロードキャストにて、プラグイン先確認を行うための問合わせ要求をチェックインネットワーク102に送信する(図8のb4参照)。この場合、通信機器2はチェックインネットワーク102を通して受付BOX1のみに1対1に隔離接続されているので、受付BOX1は応答を通信機器2に返す(図8のb5参照)。通信機器2は応答が返ってくると、上述したサービス探索処理を行う(図8のb6参照)。
【0076】
通信機器2はグローバルアドレスの用意を行ってから(図8のb7参照)、受付BOX1に対してHTTPアクセスを行う(図8のb8参照)。受付BOX1は通信機器2からのHTTPアクセスに対して接続条件チェックを行う(図8のb9参照)。接続条件のチェックについては、上述した本発明による処理と同様であるので、その説明を省略する。
【0077】
受付BOX1は接続条件チェックにて接続条件に未対応であれば、検疫画面を通信機器2に通知する(図8のb10参照)。通信機器2はその検疫画面に対してクリックが行われると、HTTP Submitを受付BOX1に返す(図8のb11参照)。受付BOX1は通信機器2からHTTP Submitが返ってくると、通信機器2に対する検疫を開始し(図8のb12参照)、検疫開始スクリプトを通信機器2に送る(図8のb13参照)。
【0078】
これによって、通信機器2は検疫開始スクリプトを実行し、HTTP Submitを受付BOX1に返す(図8のb14参照)。受付BOX1は通信機器2からHTTP Submitが返ってくると、通信機器2に対して補助ファイル[ホームゲートウェイ4の公開鍵(host key)、検疫データ、検疫スクリプト]をダウンロードさせる(図8のb15参照)。
【0079】
通信機器2は補助ファイルをダウンロードすると、検疫スクリプトを実行し、情報収集、フォーム作成、フォーム表示を行い(図8のb16参照)、その表示内で所定のアイコン等(図示せず)がクリックされると、HTTP Submit(通信機器の状態情報、公開鍵)を受付BOX1に返す(図8のb17参照)。受付BOX1は通信機器2からの情報を基に検疫判定を行い(図9のb18参照)、NGであれば、修正指示画面を通信機器2に通知する(図9のb19参照)。
【0080】
通信機器2は修正指示画面を受取ると、その指示に基づいて自端末の状態の修正(例えば、最新のパッチをダウンロードして施したり、ウイルス対策ソフトウェアの最新のパターンやパッチをダウンロードして施したり、感染しているウイルスやスパイウェアの駆除を行うこと等)を行い、修正が終了すると、修正終了を自端末の公開鍵とともに受付BOX1に送る(図9のb20参照)。尚、上記の通信機器2へのダウンロードは受付BOX1を介して行われ、それぞれ専用のサイトのみにアクセス可となっており、通信機器2によるそれ以外のサイトへのアクセスは不可となっている。
【0081】
受付BOX1はその公開鍵を記憶装置13の鍵情報保持部133に保持する(図9のb21参照)。受付BOX1は公開鍵を登録すると、あるいは接続条件に一致していれば、ネットワーク切替え指示画面を通信機器2に通知する(図9のb22参照)。
【0082】
次に、上記の処理で用いられるチェックインツールの処理について図10を参照して説明する。通信機器2では上記の処理において、ケーブルをネットワーク機器(ハブ5)のポートdに差し込むことで、チェックインネットワーク102への接続を検出すると、チェックインツール233を起動する。その際、通信機器2はチェックインツール233の軌道によって、リンク状態確認(図10ステップS11)、ネットワーク確認(図10ステップS12)を行った後、自機器内からの資格審査情報の取得を行う(図10ステップS13)。
【0083】
通信機器2は取得した資格審査情報を受付BOX1に送信し(図10ステップS14)、受付BOX1から資格審査OKが返ってくると(図10ステップS15)、処理を終了する。また、通信機器2は資格審査OKが返ってこなければ(図10ステップS15)、修正状態の確認、つまり受付BOX1から指定された修正を行い、その後の自機器内の修正状態を確認し(図10ステップS16)、修正済みであれば、ステップS13に戻って、自機器内からの資格審査情報の取得を行う。
【0084】
また、図11を参照してプラグイン先ネットワークの確認処理について説明する。通信機器2はメインネットワーク101へのリンクアップによってプラグイン先ネットワークの確認処理を起動する(図11ステップS21)。通信機器2は確認処理が起動されると、SLP(マルチキャスト)でメインネットワーク101への問合わせ(サービスタイプ:x−networl−id、サービスURL:種別+ID)を行い、ネットワークIDを取得する(図11ステップS22)。
【0085】
通信機器2は種別をチェックインネットワーク102と判定すると(図11ステップS23)、チェックイン処理(検疫+鍵交換)を行う(図11ステップS24)。また、通信機器2は種別をホームリンク100と判定すると(図11ステップS25)、ホームリンク処理を行う(図11ステップS26)。さらに、通信機器2は種別をフォーリンリンク(図示せず)と判定すると(図11ステップS27)、フォーリンリンク処理を行う(図11ステップS28)。尚、フォーリンリンク処理について後述する。
【0086】
図12は本発明の第1の実施の形態による通信システムのプラグアウト時の動作を示すシーケンスチャートである。この図12を参照して本発明の第1の実施の形態による通信システムのプラグアウト時の動作について説明する。尚、図12における受付BOX1の処理はCPU11が制御プログラム12aを実行することで実現され、通信機器2の処理はCPU21が制御プログラム22aを実行することで実現される。
【0087】
通信機器2はハブ5のポートdからケーブルが抜かれることで、メインネットワーク101との接続が切れると(プラグアウト)(図12のc1参照)、カメラ3の状態更新を中止する(図12のc2参照)。この時、受付BOX1にはハブ5からケーブルが外されたことを示すリンクダウントラップが入力されるので(図12のc3参照)、メインネットワーク101からチェックインネットワーク102への切替え(VLAN切替え)を行い(図12のc4参照)、検疫状態クリアタイマ(図示せず)を起動する(図12のc5参照)。
【0088】
これによって、メインネットワーク101からチェックインネットワーク102への切替え(VLAN切替え)が行われる(図12のc6参照)。また、受付BOX1では検疫状態クリアタイマがタイムアウトになると、保持していた通信機器2の検疫状態がクリアされる(図12のc7参照)。
【0089】
尚、本実施の形態では、通信機器2に上記の処理を行うチェックインツール233をインストール(Bootstrap:tool installer)しているものとしているが、通信機器2の新規接続時に、通信機器2をチェックインツールのダウンロードサイト(図示せず)に接続させてチェックインツールのダウンロードを行わせてインストールさせることも可能である。
【0090】
このチェックインツールのダウンロードを行う場合、通信機器2には少なくともWebブラウザを搭載しておく必要があり、通信機器2のケーブルがハブ5に接続され、Webブラウザによって任意のサイトにアクセスされた時に、受付BOX1がそのアクセスをチェックインツールのダウンロードサイトへと導入するリダイレクション(redirection)を行い、そのダウンロードサイトから通信機器2に対してチェックインツールのダウンロードを行わせる。これによって、本実施の形態では、各種ツール(ソフトウェア)の新規導入を容易にかつ強制的に行わせることができ、サービス提供時に各種ツールをインストールしておく必要があるという前提条件問題を解消することができる。
【0091】
このように、本実施の形態では、ハブ5への接続監視[L2(Layer 2)状態監視(L2→L3(Layer 3)→アプリケーション(Application)という一連の処理]にてL2の状態変化を動作のトリガ(Trigger)にしているので、通信機器2のケーブルをハブ5のポートc〜hに挿すだけの誰にでもできる動作のみで処理を完結することができる。
【0092】
この場合、通信機器2側では同じポートを利用してリンクの状態変化(linkup/down)の検出に加え、VLANの状態変化・切替えを自動検出することができる。ハブ5はリンクの状態変化(linkup/down)に応じてVLANの切替えを行う。
【0093】
通信機器2側においては、(1)プラグイン直後に必ずチェックインネットワーク102につながり、条件不一致(例えば、未検疫)であれば、「検疫せよ」、「登録せよ」のメッセージが通知され、条件一致(例えば、検疫済)であれば、メインネットワーク101へのVLAN切替えが行われて、メインネットワーク101を利用することができ、メインネットワーク101からの情報提供が得られる。
【0094】
また、通信機器2側においては、(2)ハブ5からケーブルを抜けば、自動検出でそのポートをチェックインネットワーク102に接続する。さらに、通信機器2側においては、(3)問題が発生すると[例えば、ワーム(Worm)を発見すると]、ハブ5の全てのポートをチェックインネットワーク102に接続する。
【0095】
したがって、本実施の形態では、通信機器2のケーブルをハブ5のポートに差し込むだけで、IPv6(Internet Protocol version 6)高速サービス発見、アプリケーションまでの実行を実証することができる。その場合、本実施の形態では、操作をガイドし、誤りなく機器を設定する通信環境構築システムが開発可能となり、一回の簡単動作のみで完結し、いつ/なにをするかを考えさせることもなく、装置の初期設定すら自動で行い、取得情報が信頼可能かを検証することができる。
【0096】
その際に、本実施の形態では、ウイルス等で汚染された装置や不正な装置がチェックインネットワーク102を通して受付BOX1に隔離接続されたままとなるので、それらの装置がメインネットワーク101に接続されることもなく、受付BOX1を通してそれらの装置に対する検疫を自動的にかつ強制的に行わせることができる。
【0097】
この場合、ウイルス等で汚染された装置や不正な装置はチェックインネットワーク102を通して受付BOX1に隔離接続されたままなので、その時同時にハブ5に接続された他の装置に対しても、それらの装置によるウイルスの拡散やトラフィックの増大を招くことはない。
【0098】
図13は本発明の第2の実施の形態による通信システムの構成を示すブロック図である。図13においては、通信機器2が移動し(移動先の通信機器を2aとする)、フォーリンリンク200及びIP(Internet Protocol)網300を介してホームゲートウェイ4との間にVPN(Virtual Private Network)トンネルを構築することでメインネットワーク100への接続を行う例を示している。
【0099】
この場合、通信機器2aは受付BOX1によるチェックイン処理時に、チェックインネットワーク102を介して受付BOX1に1対1で隔離接続し、鍵情報を交換する際にホームゲートウェイ4の公開鍵を取得しているものとする。また、ホームゲートウェイ4も受付BOX1から通信機器2aの公開鍵を取得しているものとする。これらの公開鍵を用いることで、VPNトンネルの構築のための鍵情報が取得可能となる。
【0100】
図14は本発明の第2の実施の形態による通信システムでの通信機器2aの動作を示すフローチャートである。これら図13及び図14を参照して通信機器2aの動作について説明する。尚、通信機器2aの構成は図4に示す本発明の第1の実施例による通信機器2と同様の構成となっており、図14に示す処理は通信機器2aのCPU21が制御プログラム22aを実行することで実現される。
【0101】
通信機器2aはフォーリンリンク200を確認すると(図14ステップS31)、ホームリンク100を確認できなければ(図14ステップS32)、ホームリンク100なしを通知し(図14ステップS33)、処理を終了する。
【0102】
通信機器2aはホームリンク100を確認すると(図14ステップS32)、ホームリンク100のステータスを問合わせ(図14ステップS34)、応答がなければ(図14ステップS35)、ダウンを通知し(図14ステップS36)、処理を終了する。
【0103】
通信機器2aは応答があれば(図14ステップS35)、ホームリンク100のステータスをチェックする(図14ステップS37)。通信機器2aはホームリンク100のステータスがインアクティブ(INACTIVE)であれば、ダウンを通知し(図14ステップS38)、処理を終了する。
【0104】
通信機器2aはホームリンク100のステータスがアクティブ(ACTIVE)であれば、リンクダウンかどうかを判定する(図14ステップS39)。通信機器2aはリンクダウンであれば、処理を終了する。
【0105】
通信機器2aはリンクダウンでなければ、「Acquired Group」を取得し(図14ステップS40)、WEBページの生成/表示を行い(図14ステップS41)、初回のみ、フォーリンリンク200のログを取得する(図14ステップS42)。これらの処理はリンクダウンされるまで繰り返し行われる(図14ステップS39〜S41)。
【0106】
尚、フォーリンリンク200のログは次回以降、フォーリンリンク200に接続するために必要な情報(IP address、netmask、default router、routing table、neighbour cache table、arp table等の情報)である。
【0107】
このように、本実施の形態では、通信機器2aに対して上記の受付BOX1によるチェックイン処理が行われると、外部のネットワーク(フォーリンリンク200)から接続する際に、通信機器2aが取得した鍵情報を用いてメインネットワーク101に接続されるホームゲートウェイ4との間にVPNトンネルを構築することが可能となるので、その通信機器2aが安全かつ容易に外部からメインネットワーク101に接続することができる。
【0108】
本実施の形態では、多様なサービス情報[カメラ情報、VPN情報、ネット状態情報、鍵等]を対象とし、秘匿が必要な鍵も受付BOX1を介して簡単安全に受渡することができる。
【0109】
図15は本発明の第3の実施の形態による通信システムの構成を示すブロック図である。図15においては、自発的サービス探索が不可(チェックインツールの搭載が不可)の周辺装置6[例えば、無線LAN(Local Area Network) AP(Access Point)やルータ、情報家電等]をメインネットワーク101に接続する例を示している。
【0110】
図16は本発明の第3の実施の形態による通信システムでの受付BOX1と周辺装置6との接続状態を示すブロック図である。図16において、ハブ(VLAN対応)5にはポートa〜hが設けられており、受付BOX1はポートaを通してメインネットワーク101に接続され、ポートbを通してチェックインネットワーク102に接続されている。尚、本実施の形態では、ハブ以外のネットワーク機器(例えば、ルータ等)にも適用可能である。また、ネットワーク機器は、SNMP(Simple Network Management Protocol)等のプロトコルを用いて動作している。
【0111】
また、ポートc〜hは接続された機器をメインネットワーク100への接続とチェックインネットワーク102を介してポートbへの1対1接続とを切り替えられるようになっている。これによって、ポートbに接続された受付BOX1とポートc〜hに接続された通信機器との間を1対1に隔離接続するようになっている。この場合、ハブ5においてはポートc〜hにそれぞれ接続された通信機器同士を接続することはできない。
【0112】
図16ではポートeに接続された周辺装置6が、ポートbに接続された受付BOX1に1対1に隔離接続されている状態を示している。また、ポートd,g,hにそれぞれ接続された通信機器2、ポートカメラ3、ホームゲートウェイ4各々は受付BOX1による接続条件のチェック(資格審査)が済んでいるので、メインネットワーク101に接続されている。
【0113】
受付BOX1はチェックインネットワーク102によって周辺装置6が1対1に隔離接続されると、周辺装置6からの信号を基にどのような機器が接続されたかを判定し、その判定結果にしたがって周辺装置6に対する設定を行い、その後に周辺装置6が接続されたポートeにおいて、周辺装置6が接続されたネットワークをメインネットワーク101に接続する。
【0114】
図17は本発明の第3の実施の形態による通信システムでのネットワーク接続処理を示すシーケンスチャートである。これら図15〜図17を参照して本発明の第3の実施の形態による通信システムの動作について説明する。尚、図17における受付BOX1の処理はCPU11が制御プログラム12aを実行することで実現され、周辺装置6の処理は図示せぬCPUが制御プログラムを実行することで実現される。
【0115】
周辺装置6のケーブルがハブ5のポートeに接続され、チェックインネットワーク102に接続されると(チェックインネットワークへのプラグイン)(図17のd1参照)、ハブ5はリンクアップトラップにてチェックインネットワーク102に周辺装置6が接続されたことを受付BOX1に通知する(図17のd2参照)。
【0116】
受付BOX1はチェックインネットワーク102に周辺装置6が接続されたことが通知されると、データベース15を参照して接続機器の確認処理を開始し(図17のd3参照)、各種接続機器に対応するping(接続性を確認するための信号)を応答が返ってくるまで周辺装置6に送出する(ping処理)(図17のd4参照)。
【0117】
受付BOX1は周辺装置6から応答が返ってくると(図17のd5参照)、その応答(上記のpingに対する応答)に対応するメーカ名、機器の種別等をデータベース15を参照して取得するとともに、データベース15を検索してその機器のMAC(Media Access Control)アドレスを取得する(図17のd6参照)。
【0118】
受付BOX1は取得したMACアドレスを基に周辺装置6に対して機器情報取得要求を送り(図17のd7参照)、周辺装置6から機器情報を取得した後(図17のd8参照)、その機器情報を基に周辺装置6の機種を判別してその機種に対応する初期設定の情報を周辺装置6に送って(図17のd9参照)、周辺装置6の初期設定を行う(図17のd10参照)。この場合、初期設定の情報ではなく、メインネットワーク101に接続するための設定情報でもよい。
【0119】
この後、受付BOX1は周辺装置6の接続先としてチェックインネットワーク102からメインネットワーク101への切替え(VLAN切替え)を行うので(図17のd11,d12参照)、周辺装置6にてVLAN切替えが行われる(図17のd13参照)。周辺装置6はブロードキャストにて、プラグイン先確認を行うための問合わせ要求をメインネットワーク101に送信する(図17のd14参照)。
【0120】
この場合、メインネットワーク101にはカメラ3と、ホームゲートウェイ4と、図示せぬディレクトリサーバ(DA)が接続されているので、これらからの応答が周辺装置6に返ってくる(図17のd15参照)。ここで、ディレクトリサーバにはメインネットワーク101に接続されている機器の情報が登録されているので、周辺装置6も他の機器と同様に、ディレクトリサーバへの登録処理を開始する(図17のd16参照)。
【0121】
これによって、本実施の形態では、周辺装置6のケーブルをハブ5のポートc〜hに挿すだけで、周辺装置6に対する受付BOX1による資格審査、メインネットワーク101に接続するための設定が行われるので、周辺装置6をメインネットワーク101に容易にかつ簡便に接続することができる。
【0122】
このように、本実施の形態では、様々な(受動・能動)型のIP機器に対応しており、自発的サービス探索が不可(チェックインツールが搭載不可)の受動型装置としては、上記のような無線LAN APがあり、自発的サービス探索が可能な(チェックインツールが搭載可)能動型装置としては、ノート型PC(Personal Computer)やPDA(Personal Digital Assistant)等がある。
【0123】
図18及び図19は本発明の第4の実施の形態による通信システムでのネットワーク接続処理を示すシーケンスチャートである。本発明の第4の実施の形態による通信システムや各装置は図2〜図5に示す本発明の第1の実施の形態による通信システムや各装置と同様の構成となっているので、図2〜図5と図18と図19とを参照して本発明の第4の実施の形態による通信システムの動作について説明する。尚、通信機器2はメインネットワーク101への新規接続で、チェックインツールがインストールされていないものとする。また、図18及び図19における受付BOX1の処理はCPU11が制御プログラム12aを実行することで実現され、通信機器2の処理はCPU21が制御プログラム22aを実行することで実現される。
【0124】
通信機器2のケーブルがハブ5のポートfに接続されると(チェックインネットワークへのプラグイン)(図18のe1参照)、チェックインネットワーク102に接続されると、ハブ5はリンクアップトラップにてチェックインネットワーク102に通信機器2が接続されたことを受付BOX1に通知する(図18のe2参照)。
【0125】
受付BOX1はチェックインネットワーク102に通信機器2が接続されたことが通知され、通信機器2からWebブラウザを使用して任意のサイトへのアクセスが行われると(図18のe3参照)、そのアクセスをチェックインツールのダウンロードサイトへと導入するリダイレクションを行い(図18のe4参照)、そのダウンロードサイトから通信機器2にチェックインツールのダウンロードを行わ(図18のe5,e6参照)、通信機器2にチェックインツールをインストールさせる。
【0126】
通信機器2はチェックインネットワーク102へのリンクアップ(linkup)を検出すると(図18のe7参照)、インストールしたチェックインツールを用いてプラグイン先確認を行う(図18のe8参照)。通信機器2はブロードキャストにて、プラグイン先確認を行うための問合わせ要求をチェックインネットワーク102に送信する(図18のe9参照)。この場合、通信機器2はチェックインネットワーク102を通して受付BOX1に1対1に隔離接続されているので、受付BOX1が応答を通信機器2に返すこととなる(図18のe10参照)。
【0127】
通信機器2は応答が返ってくると、SLPクエリ、SLPリプライ[HTTP URL]等によるサービス探索処理を実行する(図18のe11参照)。通信機器2はグローバルアドレスの用意(Global Address Ready)を行ってから(図18のe12参照)、受付BOX1に対してHTTPアクセスを行う(図18のe13参照)。
【0128】
受付BOX1は通信機器2からのHTTPアクセスに対して接続条件チェックを行う(図18のe14参照)。この場合、接続条件は上述した本発明による処理にて説明した資格条件の一種であり、この接続条件のチェックについても、上述した本発明による処理と同様であるので、その説明を省略する。
【0129】
受付BOX1は接続条件チェックにて接続条件に未対応であれば、検疫画面を通信機器2に通知し(図18のe15参照)、通信機器2に対して検疫処理を行わせる(図18のe16参照)。通信機器2にて検疫処理が行われ、処理結果(HTTP Submit)が返ってくると(図18のe17参照)、受付BOX1は検疫判定を行う(図18のe18参照)。
【0130】
受付BOX1は検疫処理の結果がNGであれば、検疫指示画面を通信機器2に通知し(図18のe19参照)、通信機器2に検疫を行わせる。また、受付BOX1は検疫処理の結果がOKであれば、通信機器2との間で公開鍵交換処理を行う(図19のe20〜e22参照)。受付BOX1は公開鍵(通信機器2)を記憶装置13の鍵情報保持部133に登録する(図19のe23参照)。
【0131】
同様に、通信機器2も受付BOX1からの公開鍵(受付BOX1)を記憶装置23の鍵情報保持部234に登録する。この場合、受付BOX1からの公開鍵(受付BOX1)はメインネットワーク101に接続された各機器(例えば、カメラ3やホームゲートウェイ4)の公開鍵が、受付BOX1にて代行されて通信機器2に渡される。
【0132】
この後に、受付BOX1はVLAN切替えを行い(図19のe24参照)、通信機器2にネットワーク切替え指示画面を通知すると(図19のe25参照)、通信機器2はRSメッセージやRA等によってアドレス設定処理を行う(図19のe26参照)。
【0133】
通信機器2はチェックインネットワーク102のリンクダウン(移動検出)を検出すると(図19のe27参照)、あるいは接続条件チェックにて接続条件に対応していれば、VLAN切替えを行い(図19のe28参照)、さらにメインネットワーク101のリンクアップを検出すると(図19のe29参照)(メインネットワークへのプラグイン)、チェックインツールを用いてプラグイン先確認を行う(図19のe30参照)。
【0134】
通信機器2はブロードキャストにて、プラグイン先確認を行うための問合わせ要求をメインネットワーク101に送信する(図19のe31参照)。この場合、メインネットワーク101にはカメラ3と、ホームゲートウェイ4と、図示せぬディレクトリサーバ(DA)が接続されているので、これらからの応答が通信機器2に返ってくる(図19のe32参照)。ここで、ディレクトリサーバにはメインネットワーク101に接続されている機器の情報が登録されている。したがって、通信機器2はホームリンク検出、ホームリンク処理の開始を行う(図19のe33参照)。
【0135】
上述したように、本発明では、チェックインネットワーク102にて受付BOX1と通信機器2とを一対一に接続して行う自動検疫と、不審者による端末使用の監視が可能な人間認証とのハイブリッドな認証が可能となる。その場合でも、ユーザはネットワークに接続する際のパスワード(Password)の入力が不要となり、安全にかつ容易にネットワークへの接続が可能となる。尚、本発明の各実施の形態では、受付BOX1とハブ5とをそれぞれ独立した機器として説明しているが、これらが一体化した機器であっても、上記と同様の動作及び効果が得られる。
【0136】
図20は本発明の第5の実施の形態による受付BOXと通信機器との接続状態を示すブロック図である。図20において、本発明の第5の実施の形態では、通信機器2をその資格条件に応じて3つのメインネットワーク(#1〜#3)201〜203のいずれかに接続できるようにしている。
【0137】
ハブ(VLAN対応)5にはポートa〜hが設けられており、受付BOX1はポートaを通してメインネットワーク(#1)201に接続され、ポートbを通してチェックインネットワークに接続されている。尚、本実施例では、ハブ以外のネットワーク機器(例えば、ルータ等)にも適用可能である。また、ネットワーク機器は、SNMP(Simple Network Management Protocol)等のプロトコルを用いて動作している。
【0138】
また、ポートc〜hは接続された機器をメインネットワーク100への接続とチェックインネットワークを介してポートbへの1対1接続とを切り替えられるようになっている。これによって、ポートbに接続された受付BOX1とポートc〜hに接続された通信機器との間を1対1に隔離接続するようになっている。この場合、ハブ5においてはポートc〜hにそれぞれ接続された通信機器同士を接続することはできない。
【0139】
図20ではポートdに接続された通信機器2が、ポートbに接続された受付BOX1に1対1に隔離接続されて資格審査が行われた後に、その資格条件に応じてメインネットワーク(#3)203に選択接続されている状態を示している。また、ポートg,hにそれぞれ接続されたカメラ3及びホームゲートウェイ4は受付BOX1による接続条件のチェック(資格審査)が済んで、メインネットワーク(#1)201に選択接続されている状態を示している。
【0140】
このように、本実施の形態では、メインネットワークが複数あった場合でも(尚、メインネットワークは4以上でも対応可能である)、上述した本発明の第1〜第4の実施の形態と同様の処理を行うことができ、同様の効果が得られるとともに、予め設定された資格条件に応じて接続するメインネットワークを選択することができる。
【0141】
尚、上述した本発明の第1〜第5の実施の形態では、主に検疫システムについて述べているが、メインネットワークへの接続条件として、
(1)検疫対策済みか
(2)連絡事項の確認済みか
(3)利用者毎の未処理案件を通知済みか
等を資格審査基準として設定して運用するシステムにも本発明を適用することができる。
【0142】
上記の(1)の条件が設定されるシステムでは、資格審査基準として、接続する通信装置の検疫(例えば、ウィルスに汚染されていないか、OS等に最新のパッチがあたっているか、最新のウィルスの定義ファイルとなっているか等)を行い、その検疫にパスすると、メインネットワークに接続許可することが考えられる。このシステムでは、これらの条件を確認できるように上述したチェックインツールを設定するだけでよく、システムの構成や動作は上述した本発明の第1〜第5の実施の形態の構成や動作と同じでよい。
【0143】
上記の(2)の条件が設定されるシステムでは、資格審査基準として、誰が接続してきたかは特定せず、接続先の組織で共通となるある特定のWebページを必ず読むことを強制し、連絡事項を確実に伝達したり、あるいは特定のWebページを読む操作で合意をとりつけられるように接続条件を設定することが考えられる。
【0144】
このシステムでは、接続する通信装置の利用者が、チェックインネットワークにおいて、接続先の組織で全ての人が読むべきお知らせや訓示等を掲載している特定のWebページを必ず読むことを条件としておき、チェックインネットワークへの接続時に利用者を特定のWebページに導き、そのWebページを読むことでメインネットワークへの接続を許可することが考えられる。このシステムでも、その構成や動作が上述した本発明の第1〜第5の実施の形態の構成や動作と同じでよい。
【0145】
上記の(3)の条件が設定されるシステムでは、資格審査基準として、誰が接続してきたかを、チェックイン処理時に交換されるID情報(識別情報)によって特定し、その利用者毎に読むべきWebページを用意しておき、そのWebページに導くことでWebページの内容を読ませて、Web base等のネットワークを利用して研修や教育プログラムを受けさせたり、出張の精算処理や承認等の未処理の事務作業を催促/強制することが考えられる。
【0146】
また、上記の(3)の条件が設定される他のシステムでは、資格審査基準として、接続する通信装置の利用者をチェックイン処理時に交換されるID情報(識別情報)によって特定し、そのID情報から受付BOXに設けたデータベースを検索して、その利用者に応じた、あるいはその利用者が行うべき処理事項を表示するWebページを作成しておき、そのWebページに利用者を導くことで表示された処理事項を行うように催促したり、その処理事項を必ず実施するように促すことが考えられる。この場合、利用者の通信装置がチェックインネットワークに接続された時に上記の処理事項の実行を確認することでメインネットワークへの接続を許可することが考えられる。これらのシステムでも、その構成や動作が上述した本発明の第1〜第5の実施の形態の構成や動作と同じでよい。
【0147】
上述した各システムは、本発明の適用例を示しているが、本発明は、資格審査を必要とするシステムに適用可能であり、上述した各実施の形態や上記のシステムに限定されるものではない。
【符号の説明】
【0148】
1 受付BOX
2,2a 通信機器
3 カメラ
4 ホームゲートウェイ
5 ハブ
6 周辺装置
11,21 CPU
12,22 メインメモリ
12a,22a 制御プログラム
13,23 記憶装置
14,24 I/F部
15 データベース
100 ホームリンク
101 メインネットワーク
102 チェックインネットワーク
110,210 内部バス
120,220 ケーブル
131 チェックイン処理プログラム
132 チェックインツール記憶領域
133,234 鍵情報保持部
134 チェックイン情報記憶領域
151 通信機器初期情報記憶領域
152 通信機器検疫情報記憶領域
200 フォーリンリンク
201〜203 メインネットワーク(#1〜#3)
231 APソフトウェア
232 Webブラウザ
233 チェックインツール
300 IP網
a〜h ポート
【特許請求の範囲】
【請求項1】
各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムであって、
前記受付制御部に設けられかつ前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行う手段を有し、
前記資格条件を満たすと判断された場合に前記受付制御部によって前記通信機器が接続されたネットワークを、前記資格審査/設定用ネットワークから前記メインネットワークに切替えさせることを特徴とする通信システム。
【請求項2】
各種サービスを提供する複数のメインネットワークと、前記複数のメインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムであって、
前記受付制御部に設けられかつ前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行う手段を有し、
前記資格条件を満たすと判断された場合に前記受付制御部によって前記通信機器が接続されたネットワークを、前記資格審査/設定用ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えさせることを特徴とする通信システム。
【請求項3】
前記受付制御部は、隔離接続された前記通信機器に対して前記メインネットワークから取得する情報が正しいかを電子署名機能にて検証するための鍵情報を事前に提供することを特徴とする請求項1または請求項2記載の通信システム。
【請求項4】
前記通信機器は、隔離接続された前記受付制御部に対して自機器から前記メインネットワークに送出する情報が正しいかを電子署名機能にて検証するための鍵情報を事前に提供することを特徴とする請求項1から請求項3のいずれか記載の通信システム。
【請求項5】
前記通信機器は、自機器が前記資格審査/設定用ネットワークに接続したことを契機として前記資格審査/設定用ネットワークへの接続を検出した時に前記資格審査/設定用ネットワークにおける接続先を確認し、その確認した接続先となる前記受付制御部に対して必要情報の自動発見設定を行うことを特徴とする請求項1から請求項4のいずれか記載の通信システム。
【請求項6】
前記受付制御部は、前記通信機器と前記メインネットワークとの接続が切れた場合に前記通信機器の隔離接続の設定に戻すことを特徴とする請求項1から請求項5のいずれか記載の通信システム。
【請求項7】
前記受付制御部は、前記通信機器が前記資格審査のためのツールを搭載せずに前記資格審査/設定用ネットワークに接続した時にその通信機器からのWebアクセスを前記資格審査のためのツールのダウンロードサイトへと導き、
前記通信機器は、前記資格審査のためのツールを前記ダウンロードサイトからダウンロードしてインストールすることを特徴とする請求項1から請求項6のいずれか記載の通信システム。
【請求項8】
前記通信機器は、前記資格審査/設定用ネットワークに接続した時に前記ダウンロードサイトに前記資格審査のための新しいツールが存在する場合に当該資格審査のための新しいツールをダウンロードして実行することを特徴とする請求項7記載の通信システム。
【請求項9】
前記資格審査のためのツールは、前記通信機器が前記資格審査/設定用ネットワークに接続した時に前記ダウンロードサイトにおける更新情報の有無を確認し、前記更新情報があればその更新情報をダウンロードすることを特徴とする請求項7または請求項8記載の通信システム。
【請求項10】
前記受付制御部は、前記メインネットワークに関する事象が外部から予め設定された条件に合致する時に前記通信機器をすべて前記資格審査/設定用ネットワークに接続させることを特徴とする請求項1から請求項9のいずれか記載の通信システム。
【請求項11】
前記受付制御部は、前記通信機器が前記資格審査のためのツールの搭載が不可の通信機器である時に当該通信機器の種別を確認する手段と、その確認結果に応じて当該通信機器に情報を設定する手段とを含むことを特徴とする請求項1または請求項2記載の通信システム。
【請求項12】
前記メインネットワーク及び前記資格審査/設定用ネットワークは、それぞれ少なくともVLAN[Virtual LAN(Local Area Network)]及びVPN(Virtual Private Network)のいずれかであることを特徴とする請求項1から請求項13のいずれか記載の通信システム。
【請求項13】
各種サービスを提供するメインネットワークとは独立に設けられ、前記メインネットワークとともに受付制御部に接続される資格審査/設定用ネットワークであって、
通信機器の前記メインネットワークへの接続要求時に当該通信機器を前記受付制御部に1対1に隔離接続する手段を有し、
前記受付制御部に1対1に隔離接続された前記通信機器の状態情報が予め設定された資格条件を満たすと判断された場合に当該通信機器を、前記受付制御部によって自ネットワークから前記メインネットワークに切替えさせることを特徴とする資格審査/設定用ネットワーク。
【請求項14】
各種サービスを提供する複数のメインネットワークとは独立に設けられ、前記メインネットワークとともに受付制御部に接続される資格審査/設定用ネットワークであって、
通信機器の前記メインネットワークへの接続要求時に当該通信機器を前記受付制御部に1対1に隔離接続する手段を有し、
前記受付制御部に1対1に隔離接続された前記通信機器の状態情報が予め設定された資格条件を満たすと判断された場合に当該通信機器を、前記受付制御部によって前記資格条件にしたがって自ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えさせることを特徴とする資格審査/設定用ネットワーク。
【請求項15】
各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記メインネットワークへの接続を要求する通信機器であって、
自機器が予め設定された資格条件を満足するか否かの資格審査を行うために前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続し、
前記資格条件を満足すると判断された場合に自機器が接続されたネットワークが、前記受付制御部によって前記資格審査/設定用ネットワークから前記メインネットワークに切替えされることを特徴とする通信機器。
【請求項16】
各種サービスを提供する複数のメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記メインネットワークへの接続を要求する通信機器であって、
自機器が予め設定された資格条件を満足するか否かの資格審査を行うために前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続し、
前記資格条件を満足すると判断された場合に自機器が接続されたネットワークが、前記受付制御部によって前記資格条件にしたがって前記資格審査/設定用ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えされることを特徴とする通信機器。
【請求項17】
各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムに用いるネットワーク接続方法であって、
前記受付制御部が、前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行い、
前記資格条件を満たすと判断された場合に前記通信機器が接続されたネットワークを、前記受付制御部によって前記資格審査/設定用ネットワークから前記メインネットワークに切替えさせることを特徴とするネットワーク接続方法。
【請求項18】
各種サービスを提供する複数のメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムに用いるネットワーク接続方法であって、
前記受付制御部が、前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行い、
前記資格条件を満たすと判断された場合に前記通信機器が接続されたネットワークを、前記受付制御部によって前記資格条件にしたがって前記資格審査/設定用ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えさせることを特徴とするネットワーク接続方法。
【請求項19】
各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記受付制御部内の中央処理装置に実行させるプログラムであって、
前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された前記通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行う処理と、
前記資格条件を満たすと判断された場合に前記通信機器が接続されたネットワークを、前記資格審査/設定用ネットワークから前記メインネットワークに切替えさせる処理とを含むことを特徴とするプログラム。
【請求項20】
各種サービスを提供する複数のメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記受付制御部内の中央処理装置に実行させるプログラムであって、
前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行う処理と、
前記資格条件を満たすと判断された場合に前記通信機器が接続されたネットワークを、前記資格条件にしたがって前記資格審査/設定用ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えさせる処理とを含むことを特徴とするプログラム。
【請求項21】
各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記メインネットワークへの接続を要求する通信機器が予め設定された資格条件を満足するかの資格審査を行うための資格審査用ツールプログラムであって、
前記通信機器のコンピュータに、前記通信機器が前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された時にリンク状態の確認を行う処理と、前記資格審査/設定用ネットワークの確認を行う処理と、前記資格審査のための資格審査情報を自機器から取得して前記受付制御部に送信する処理とを実行させるための資格審査用ツールプログラム。
【請求項1】
各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムであって、
前記受付制御部に設けられかつ前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行う手段を有し、
前記資格条件を満たすと判断された場合に前記受付制御部によって前記通信機器が接続されたネットワークを、前記資格審査/設定用ネットワークから前記メインネットワークに切替えさせることを特徴とする通信システム。
【請求項2】
各種サービスを提供する複数のメインネットワークと、前記複数のメインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムであって、
前記受付制御部に設けられかつ前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行う手段を有し、
前記資格条件を満たすと判断された場合に前記受付制御部によって前記通信機器が接続されたネットワークを、前記資格審査/設定用ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えさせることを特徴とする通信システム。
【請求項3】
前記受付制御部は、隔離接続された前記通信機器に対して前記メインネットワークから取得する情報が正しいかを電子署名機能にて検証するための鍵情報を事前に提供することを特徴とする請求項1または請求項2記載の通信システム。
【請求項4】
前記通信機器は、隔離接続された前記受付制御部に対して自機器から前記メインネットワークに送出する情報が正しいかを電子署名機能にて検証するための鍵情報を事前に提供することを特徴とする請求項1から請求項3のいずれか記載の通信システム。
【請求項5】
前記通信機器は、自機器が前記資格審査/設定用ネットワークに接続したことを契機として前記資格審査/設定用ネットワークへの接続を検出した時に前記資格審査/設定用ネットワークにおける接続先を確認し、その確認した接続先となる前記受付制御部に対して必要情報の自動発見設定を行うことを特徴とする請求項1から請求項4のいずれか記載の通信システム。
【請求項6】
前記受付制御部は、前記通信機器と前記メインネットワークとの接続が切れた場合に前記通信機器の隔離接続の設定に戻すことを特徴とする請求項1から請求項5のいずれか記載の通信システム。
【請求項7】
前記受付制御部は、前記通信機器が前記資格審査のためのツールを搭載せずに前記資格審査/設定用ネットワークに接続した時にその通信機器からのWebアクセスを前記資格審査のためのツールのダウンロードサイトへと導き、
前記通信機器は、前記資格審査のためのツールを前記ダウンロードサイトからダウンロードしてインストールすることを特徴とする請求項1から請求項6のいずれか記載の通信システム。
【請求項8】
前記通信機器は、前記資格審査/設定用ネットワークに接続した時に前記ダウンロードサイトに前記資格審査のための新しいツールが存在する場合に当該資格審査のための新しいツールをダウンロードして実行することを特徴とする請求項7記載の通信システム。
【請求項9】
前記資格審査のためのツールは、前記通信機器が前記資格審査/設定用ネットワークに接続した時に前記ダウンロードサイトにおける更新情報の有無を確認し、前記更新情報があればその更新情報をダウンロードすることを特徴とする請求項7または請求項8記載の通信システム。
【請求項10】
前記受付制御部は、前記メインネットワークに関する事象が外部から予め設定された条件に合致する時に前記通信機器をすべて前記資格審査/設定用ネットワークに接続させることを特徴とする請求項1から請求項9のいずれか記載の通信システム。
【請求項11】
前記受付制御部は、前記通信機器が前記資格審査のためのツールの搭載が不可の通信機器である時に当該通信機器の種別を確認する手段と、その確認結果に応じて当該通信機器に情報を設定する手段とを含むことを特徴とする請求項1または請求項2記載の通信システム。
【請求項12】
前記メインネットワーク及び前記資格審査/設定用ネットワークは、それぞれ少なくともVLAN[Virtual LAN(Local Area Network)]及びVPN(Virtual Private Network)のいずれかであることを特徴とする請求項1から請求項13のいずれか記載の通信システム。
【請求項13】
各種サービスを提供するメインネットワークとは独立に設けられ、前記メインネットワークとともに受付制御部に接続される資格審査/設定用ネットワークであって、
通信機器の前記メインネットワークへの接続要求時に当該通信機器を前記受付制御部に1対1に隔離接続する手段を有し、
前記受付制御部に1対1に隔離接続された前記通信機器の状態情報が予め設定された資格条件を満たすと判断された場合に当該通信機器を、前記受付制御部によって自ネットワークから前記メインネットワークに切替えさせることを特徴とする資格審査/設定用ネットワーク。
【請求項14】
各種サービスを提供する複数のメインネットワークとは独立に設けられ、前記メインネットワークとともに受付制御部に接続される資格審査/設定用ネットワークであって、
通信機器の前記メインネットワークへの接続要求時に当該通信機器を前記受付制御部に1対1に隔離接続する手段を有し、
前記受付制御部に1対1に隔離接続された前記通信機器の状態情報が予め設定された資格条件を満たすと判断された場合に当該通信機器を、前記受付制御部によって前記資格条件にしたがって自ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えさせることを特徴とする資格審査/設定用ネットワーク。
【請求項15】
各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記メインネットワークへの接続を要求する通信機器であって、
自機器が予め設定された資格条件を満足するか否かの資格審査を行うために前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続し、
前記資格条件を満足すると判断された場合に自機器が接続されたネットワークが、前記受付制御部によって前記資格審査/設定用ネットワークから前記メインネットワークに切替えされることを特徴とする通信機器。
【請求項16】
各種サービスを提供する複数のメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記メインネットワークへの接続を要求する通信機器であって、
自機器が予め設定された資格条件を満足するか否かの資格審査を行うために前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続し、
前記資格条件を満足すると判断された場合に自機器が接続されたネットワークが、前記受付制御部によって前記資格条件にしたがって前記資格審査/設定用ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えされることを特徴とする通信機器。
【請求項17】
各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムに用いるネットワーク接続方法であって、
前記受付制御部が、前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行い、
前記資格条件を満たすと判断された場合に前記通信機器が接続されたネットワークを、前記受付制御部によって前記資格審査/設定用ネットワークから前記メインネットワークに切替えさせることを特徴とするネットワーク接続方法。
【請求項18】
各種サービスを提供する複数のメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムに用いるネットワーク接続方法であって、
前記受付制御部が、前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行い、
前記資格条件を満たすと判断された場合に前記通信機器が接続されたネットワークを、前記受付制御部によって前記資格条件にしたがって前記資格審査/設定用ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えさせることを特徴とするネットワーク接続方法。
【請求項19】
各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記受付制御部内の中央処理装置に実行させるプログラムであって、
前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された前記通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行う処理と、
前記資格条件を満たすと判断された場合に前記通信機器が接続されたネットワークを、前記資格審査/設定用ネットワークから前記メインネットワークに切替えさせる処理とを含むことを特徴とするプログラム。
【請求項20】
各種サービスを提供する複数のメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記受付制御部内の中央処理装置に実行させるプログラムであって、
前記メインネットワークへの接続要求時に前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された通信機器の状態情報を取得してその状態が予め設定された資格条件を満たすか否かの資格審査を行う処理と、
前記資格条件を満たすと判断された場合に前記通信機器が接続されたネットワークを、前記資格条件にしたがって前記資格審査/設定用ネットワークから前記複数のメインネットワークのうちの一つに選択的に切替えさせる処理とを含むことを特徴とするプログラム。
【請求項21】
各種サービスを提供するメインネットワークと、前記メインネットワークとは独立に設けられる資格審査/設定用ネットワークと、前記メインネットワークと前記資格審査/設定用ネットワークとに接続される受付制御部とを含む通信システムにおいて前記メインネットワークへの接続を要求する通信機器が予め設定された資格条件を満足するかの資格審査を行うための資格審査用ツールプログラムであって、
前記通信機器のコンピュータに、前記通信機器が前記資格審査/設定用ネットワークを介して前記受付制御部に1対1に隔離接続された時にリンク状態の確認を行う処理と、前記資格審査/設定用ネットワークの確認を行う処理と、前記資格審査のための資格審査情報を自機器から取得して前記受付制御部に送信する処理とを実行させるための資格審査用ツールプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【公開番号】特開2011−18347(P2011−18347A)
【公開日】平成23年1月27日(2011.1.27)
【国際特許分類】
【出願番号】特願2010−166623(P2010−166623)
【出願日】平成22年7月26日(2010.7.26)
【分割の表示】特願2006−15749(P2006−15749)の分割
【原出願日】平成18年1月25日(2006.1.25)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成23年1月27日(2011.1.27)
【国際特許分類】
【出願日】平成22年7月26日(2010.7.26)
【分割の表示】特願2006−15749(P2006−15749)の分割
【原出願日】平成18年1月25日(2006.1.25)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]