JP2004112018A - インターネットアクセスWeb監視制御システム - Google Patents
インターネットアクセスWeb監視制御システム Download PDFInfo
- Publication number
- JP2004112018A JP2004112018A JP2002267907A JP2002267907A JP2004112018A JP 2004112018 A JP2004112018 A JP 2004112018A JP 2002267907 A JP2002267907 A JP 2002267907A JP 2002267907 A JP2002267907 A JP 2002267907A JP 2004112018 A JP2004112018 A JP 2004112018A
- Authority
- JP
- Japan
- Prior art keywords
- intranet
- port number
- public
- address
- web client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】プライベートネットワークのイントラネットに設置されたWebサーバ機能付き制御装置を権限を持ったWebクライアントだけがインターネットからアクセスできる監視制御システムを実現すること。
【解決手段】ダイナミックポートマッピング機能付きのアドレス・ポート変換ルータでインターネットからイントラネット内部へのパケット通過を可能とし、イントラネット装置ネームサーバを設置して内部装置へのアクセスするための情報(公開IPと公開ポート番号)を公開する。このとき電子証明書を所有しているWebクライアントにだけアクセス情報を公開する。また内部装置にアクセスする公開ポート番号をダイナミックに変化させて第3者が公開ポート番号を特定することを困難にする。
【選択図】 図1
【解決手段】ダイナミックポートマッピング機能付きのアドレス・ポート変換ルータでインターネットからイントラネット内部へのパケット通過を可能とし、イントラネット装置ネームサーバを設置して内部装置へのアクセスするための情報(公開IPと公開ポート番号)を公開する。このとき電子証明書を所有しているWebクライアントにだけアクセス情報を公開する。また内部装置にアクセスする公開ポート番号をダイナミックに変化させて第3者が公開ポート番号を特定することを困難にする。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、プライベートネットワークで構成されたイントラネット内にあるWebサーバ機能付きの制御装置をインターネットからアクセスして監視制御するシステムに関するものである。
【0002】
【従来の技術】
プライベートアドレスのイントラネットに接続されたWeb機能付き制御装置をインターネットからアクセスするためには特殊なルータを必要とする。図4はアドレス変換ルータを使用した従来例である。10はイントラネットを形成しているプライベートネットワーク、60はインターネットである。11はWebサーバ機能付き制御装置1である。説明のためこの装置のIPアドレスは192.168.0.11とする。51は11にアクセスするWebクライアント装置(以後、Webクライアントと略記)である。20はイントラネットとインターネットを中継するアドレス変換ルータである。このルータは特定のポート番号宛てに来たパケットをあらかじめ決められたプライベートアドレスに転送する機能をもっている。この機能はポートフォワーデイング機能あるいは静的IPマスカレード機能として知られている。説明のためこのルータのイントラネット側のアドレスを192.168.0.1、インターネット側のアドレスを210.130.30.1とする。このルータは内部に図5に示すアドレス変換テーブルをもっている。内部IPはイントラネット内部装置(以後、内部装置と略記する)を特定するプライベートIPアドレス、内部ポート番号はその装置上で動作しているサーバアプリケーションが待機しているポート番号である。公開IPと公開ポート番号は、アドレス変換ルータが、上記の内部IPと内部ポート番号をインターネットに公開しているグローバルIPアドレスとポート番号である。
【0003】
宛先IPアドレスが210.130.30.1でポート番号が80で入力されたパケットはこのテーブルにより、IPが192.168.0.11でポート番号80で待機しているWebサーバ機能付き制御装置1のWebサーバアプリケーションに転送される。この結果、この装置はインターネットからのアクセスが可能になっている。しかし従来例では、Webクライアントは、ポート番号ごとにあらかじめ決められた内部装置にしかアクセスできない。また内部装置はイントラネットに接続されているがアドレス変換ルータによりインターネットからアクセス可能になっている。インターネット上で第3者がポートスキャンを実行し公開ポート番号を検知して内部装置にアクセスすることが可能になっている。
【0004】
図6は、図4の従来例を改善したものである。図4と同一のものは同一符号を付し説明を省略する。アドレス変換ルータがアドレス・ポート変換ルータに置き換わった構成になっている。30はイントラネットとインターネットを中継するアドレス・ポート変換ルータである。このルータはインターネットから入力してくるパケットの宛先IPアドレスとポート番号の双方を変換してプライベートアドレスに転送する機能をもっている。説明のためこのルータのイントラネット側のアドレスを図4の場合と同じく192.168.0.1、インターネット側のアドレスを210.130.30.1とする。このルータは内部で図7に示すアドレス・ポート変換テーブルをもっている。内部IPは内部装置のプライベートIPアドレス、内部ポート番号はその装置上で動作しているサーバアプリケーションが待機しているポート番号である。公開IPと公開ポート番号は、上記の内部IPと内部ポート番号を上記のアドレス・ポート変換ルータを経由してインターネットからアクセスできるように公開しているIPアドレスとポート番号である。
【0005】
52はポート番号指定機能付きWebクライアント装置である。この装置は、内部ポート番号ではなく、公開されたポート番号で内部装置サーバアプリケーションにアクセスできる機能が実装されている。
【0006】
アドレス・ポート変換ルータは入力パケットのIPアドレスとポート番号の双方を変換するため、Webクライアントは、同じポート番号で待機している複数の内部装置サーバアプリケーションにアクセスすることが可能になる。12は追加になったWebサーバ機能付き制御装置2である。説明のためこの装置のIPアドレスは192.168.0.12とする。宛先IPアドレスが210.130.30.1でポート番号が1000で入力されたパケットは図7のテーブルにより、IPが192.168.0.11でポート番号80で待機しているWebサーバ機能付き制御装置1のWebサーバアプリケーションに転送される。宛先IPアドレスが210.130.30.1でポート番号が1002で入力されたパケットは図7のテーブルにより、IPが192.168.0.12でポート番号80で待機しているWebサーバ機能付き制御装置2のWebサーバアプリケーションに転送される。この結果複数の内部装置のWebサーバにインターネットからアクセス可能になっている。
【0007】
しかし図6の改善例では以下が問題点として残っている。Webクライアントは内部装置へアクセスするための情報をオンラインで入手できない。このためWebクライアントは内部装置へアクセスするための情報を全て記憶しておく必要がある。内部装置へのアクセス情報が変更されたときWebクライアントは内部装置にアクセスできなくなる。また、内部装置はイントラネットに接続されているが、アドレス・ポート変換ルータによりインターネットからアクセス可能になっている。また内部装置へのアクセス情報(図7のアドレス・ポート変換テーブル)は固定されている。この結果、インターネット上で第3者がポートスキャンを実行し公開ポート番号を検知して内部装置にアクセスすることが可能になっている。
【0008】
【発明が解決しようとする課題】
本発明の目的は、プライベートネットワークで構成されたイントラネット内にあるWebサーバ機能付きの制御装置に対して、インターネットから、特定の権限を持ったクライアントだけがアクセスできるようすることである。
【0009】
【課題を解決するための手段】
このような目的を達成する請求項1の発明は、インターネット側にグローバルアドレスでアドレッシングされたイントラネット装置ネームサーバ装置を設置して、この装置がWebクライアントがイントラネット内の個々の装置のアプリケーションへアクセスするために必要な公開IPと公開ポート番号を管理して提供することである。
【0010】
請求項2の発明は、イントラネット装置ネームサーバのデータを、特定の権限を持ったWebクライアントだけが入手できるように構成することである。
【0011】
請求項3の発明は、個々の内部装置のアプリケーションに対する公開ポート番号を固定しないで、あらかじめ決められた条件で変更することである。
【0012】
請求項4の発明は、特別な区切り文字で、内部装置名であることを識別させるドメイン名を使用すること、および、Webクライアントが、このドメイン名を解釈して、イントラネット装置ネームサーバから内部装置へアクセスするための公開IPと公開ポート番号を入手することである。
【0013】
請求項5の発明は、Webクライアント装置が、上記で入手した公開ポート番号を使用して内部装置のアプリケーションへアクセスすることである。
【0014】
【発明の実施の形態】
以下図面を用いて本発明の実施の形態を説明する。図1は本発明の一実施例を示した構成図であり、図6と同一のものは同一符号を付し説明を省略する。31はイントラネットとインターネットを中継するポートマッピング機能付きアドレス・ポート変換ルータである。このルータ31は、内部装置からのグローバルアドレス問い合わせに対する返答機能、内部装置からのアドレス・ポート変換テーブルの設定機能(ポートマッピング機能)を持っている。UPnP(Universal Plug & Play)ルータではこの機能が実装されている。このルータは内部では図2に示すダイナミックに書き換え可能なアドレス・ポート変換テーブルをもっている。このテーブル内容自体は図7のものと同じであるが、図2では、このアドレス・ポート変換テーブルを内部装置がダイナミックに書き換えることができる。即ち内部装置は、公開ポート番号をダイナミックに変化させて内部ポート番号をインターネットに公開することができる。説明のためこのルータのイントラネット側のアドレスを図6の場合と同じく192.168.0.1、インターネット側のアドレスを210.130.30.1とする。
【0015】
40はインターネット側に新たに設置されたイントラネット装置ネームサーバである。この装置は、インターネット側にあるWebクライアントに対して、イントラネット装置名とサーバアプリケーション待機の内部ポート番号から、この内部装置サーバアプリケーションにアクセスするための公開IPと公開ポート番号を提供する。この装置は図3に示すようなデータを持っている。イントラネット装置名はイントラネット内の装置を識別する装置名である。この名前はイントラネット装置ネームサーバが管理している装置群の範囲でユニークでなければならない。内部ポート番号はその内部装置サーバアプリケーションが待機しているポート番号である。なおこのイントラネット装置ネームサーバ内のデータは権限をもったWebクライアントにだけ提供されるように構成されている。
【0016】
53は内部装置名解決機能・ポート番号指定機能つきWebクライアント装置である。即ちこのWebクライアント装置は、内部装置が表記されたドメイン名を解釈して内部装置へのアクセスするための公開IPと公開ポート番号を入手する機能と、入手した公開ポート番号を指定して内部装置にアクセスする機能をもっている。またこのWebクライアント装置は内部装置へアクセスして情報を入手する権限があることを証明する電子証明書を持っている。
【0017】
説明のため、11、12のイントラネット装置名をwdevice1, wdevice2とする。40のイントラネット装置ネームサーバのIPアドレスを、210.120.1.10とする。40のイントラネット装置ネームサーバのドメイン名をinamesvr.xyzabc.co.jp とする。
【0018】
11、12のイントラネット装置は、既存のDNS(Domain Name Server)でのドメイン名では表記できない。本提案では、2個の連続したドットという特殊文字を識別子としたドメイン名で内部装置を表示するものとする。したがって、11、12の内部装置のドメイン名は、それぞれ、
wdevice1..inamesvr.xyzabc.co.jp
wdevice2..inamesvr.xyzabc.co.jp
として表記される。この表記方法は既存のDNSで使用されているドメイン名の表記方法を、内部装置がある場合について機能拡張したものである。この表記で、inamesvr.xyzabc.co.jp の部分はイントラネット装置ネームサーバのホスト名でもある。
【0019】
本発明の動作について説明する。内部装置11はアドレス・ポート変換ルータ31に対してHTTPサーバアプリケーション(内部ポート番号80で待機)とHTTPSサーバサーバアプリケーション(内部ポート番号443で待機)をそれぞれポート番号1000と1001で外部に公開するようにポートマッピング要求を発行する。同時に内部装置11はイントラネット装置ネームサーバ40に対しても、自分の装置名 wdevice1でのHTTPサーバアプリケーション(内部ポート番号80で待機)とHTTPSサーバアプリケーション(内部ポート番号443で待機)が、公開IPが210.130.30.1で、外部ポート番号が1000,1001でアクセス可能である、というデータを発行する。内部装置12も同様にアドレス・ポート変化ルータ31にポートマッピング要求、イントラネット装置ネームサーバ40に自分のサーバアプリケーションの公開データを発行する。この結果、ポートマッピング機能付きポート・アドレス変換ルータ31の内部に図2のテーブルが作成される。まだイントラネット装置ネームサーバ40内に図3のデータが作成される。
【0020】
Webクライアントが、wdevice1..inamesvr.xyzabc.co.jp でドメイン表記されている装置のHTTPサーバアプリケーション(内部ポート番号80で待機)にアクセスする場合を例に説明する。最初に、Webクライアントは既存のDNS機能で、inamesvr.xyzabc.co.jp までの名前解決を実行する。ここで解決されたIPアドレス210.120.1.10はイントラネット装置ネームサーバのホストのIPアドレスである。Webクライアントは、2個の連続したドットという特殊文字以降は内部装置であることを知っている。したがってWebクライアントは、イントラネット装置ネームサーバに対して、2個の連続したドット以降の名前 wdevice1 と内部ポート番号(80)を発行して、内部装置へのアクセス情報を問い合わせる。このときWebクライアントは自分が権限があるクライアントであることを証明する電子証明書を提示する。イントラネット装置ネームサーバは、電子証明書をチェックして答を返して良いクライアントであるかどうかを判断する。答を返して良いクライアントであるとき、内部装置へアクセスするための公開IPと公開ポート番号をWebクライアントに返す。電子証明書のチェックで否認されたときは返答は無い。なお、Webクライアントは、2個の連続したドットという特殊文字をもたない持たないドメイン名をアクセスしたときは既存のDNS機能で全ての名前解決を実行する。
【0021】
Webクライアントは、上記で入手した公開IP(210.120.1.10)と公開ポート番号(1000)を使用して、内部装置11のHTTPサーバアプリケーションにアクセスする。
【0022】
イントラネット内の装置は、条件設定されたタイミングで、アドレス・ポート変換ルータに対して、現在のポートマッピングをキャンセルして新たにポートマッピング要求を発行してランダムに公開ポート番号を変更する。同時にイントラネット装置ネームサーバにもこの変更データを送信して公開ポート番号を最新のものに反映させる。本発明の実施例を示す図1においても内部装置はイントラネット内部に接続されているがアドレス・ポート変換ルータによりインターネットからアクセス可能になっている。しかし公開ポート番号がダイナミックに変更されているため第3者は変化している公開ポート番号を追跡して検知することは困難になっている。公開ポート番号が検知されてもある時間後には無効になっている。実測結果では可能性がある全てのTCPポート番号65536個をポーチスキャンするには約10時間程度かかる。したがって1時間ごとに公開ポート番号を切り替えて運用すれば第3者が公開ポート番号を検知して追跡することは困難になる。
【0023】
Webクライアントは内部装置へのアクセス情報をキャッシングしている。したがって、公開ポート番号が変更されると、Webクライアントはキャッシングしている内部装置へのアクセス情報が古くなるため内部装置へのアクセスに失敗する。この場合にはイントラネット装置ネームサーバから最新情報を入手してアクセスして、またキャッシング情報を更新するようにする。
【0024】
本発明の応用例について説明する。イントラネット装置ネームサーバが、特定の権限をもったクライアントにだけ答えを返すようにするためには、電子証明書以外にもログイン名、パスワードの組み合わせ等、各種の方式の採用が可能である。
【0025】
また、イントラネット装置ネームサーバ内のデータを秘密鍵を所有している特定のWebクライアントだけが入手できるようにWebクライアントの公開鍵で暗号化して保管することもできる。この公開鍵方式を採用すれがWebクライアントごとにアクセス情報をよりきめ細かく管理できる。
【0026】
また、WebクライアントのIPアドレスが限定されている場合には、アドレス・ポート変換ルータにパケットフィルタリングを設定できる。これにより第3者からの内部装置アクセスがより困難になる。
【0027】
【発明の効果】
本発明によれば、以下のような効果が得られる。
【0028】
請求項1により、イントラネット装置ネームサーバが存在することにより、Webクライアントは、複数のイントラネット内装置にアクセスできるようになる。公開ポート番号をダイナミックに変更したときでもWebクライアントはイントラネットへアクセスするための最新情報を入手することができるようになる。
【0029】
請求項2により、権限を持ったWebクライアントだけがイントラネット装置ネームサーバから内部装置へのアクセスするための公開IPと公開ポート番号を入手できることにより、第3者が内部装置にアクセスすることは困難になる。
【0030】
請求項3により、公開ポート番号が固定されていないことにより、第3者が内部装置へアクセスする公開ポート番号を検知することが困難になり、第3者が内部装置にアクセスすることが困難になる。
【0031】
請求項4により、内部装置を特定するため、従来のDNSと両立するドメイン名表記を使用していることにより、従来のドメイン名表記と互換性を保ちながら、新規に内部装置名を表現できるようになる。Webクライアントは、従来のDNS機能でイントラネット装置ネームサーバまでの名前解決ができ、ま、イントラネット装置ネームサーバから内部装置へのアクセスするための公開IPと公開ポート番号を入手できるようになる。
【0032】
請求項5により、Webクライアントはポート番号を指定してアクセスできる機能をもっていることにより、請求項5で入手した公開ポート番号で内部装置にアクセスできるようになる。
【図面の簡単な説明】
【図1】本発明の一実施例を示した構成図である。
【図2】ダイナミックに書き換え可能なアドレス・ポート変換テーブルである。
【図3】イントラネット装置ネームサーバ内のデータである。
【図4】従来例の構成図である。
【図5】アドレス変換テーブルである。
【図6】改善例である。
【図7】アドレス・ポート変換テーブルである。
【符号の説明】
10 プライベートネットワーク
11 Webサーバ機能付き制御装置1
12 Webサーバ機能付き制御装置2
20 アドレス変換ルータ
30 アドレス・ポート変換ルータ
31 ポートマッピング機能付きアドレス・ポート変換ルータ
40 イントラネット装置ネームサーバ
51 Webクライアント装置
52 ポート番号指定機能付きWebクライアント装置
53 内部装置名解決機能・ポート番号指定機能付きWebクライアント装置
60 インターネット
【発明の属する技術分野】
本発明は、プライベートネットワークで構成されたイントラネット内にあるWebサーバ機能付きの制御装置をインターネットからアクセスして監視制御するシステムに関するものである。
【0002】
【従来の技術】
プライベートアドレスのイントラネットに接続されたWeb機能付き制御装置をインターネットからアクセスするためには特殊なルータを必要とする。図4はアドレス変換ルータを使用した従来例である。10はイントラネットを形成しているプライベートネットワーク、60はインターネットである。11はWebサーバ機能付き制御装置1である。説明のためこの装置のIPアドレスは192.168.0.11とする。51は11にアクセスするWebクライアント装置(以後、Webクライアントと略記)である。20はイントラネットとインターネットを中継するアドレス変換ルータである。このルータは特定のポート番号宛てに来たパケットをあらかじめ決められたプライベートアドレスに転送する機能をもっている。この機能はポートフォワーデイング機能あるいは静的IPマスカレード機能として知られている。説明のためこのルータのイントラネット側のアドレスを192.168.0.1、インターネット側のアドレスを210.130.30.1とする。このルータは内部に図5に示すアドレス変換テーブルをもっている。内部IPはイントラネット内部装置(以後、内部装置と略記する)を特定するプライベートIPアドレス、内部ポート番号はその装置上で動作しているサーバアプリケーションが待機しているポート番号である。公開IPと公開ポート番号は、アドレス変換ルータが、上記の内部IPと内部ポート番号をインターネットに公開しているグローバルIPアドレスとポート番号である。
【0003】
宛先IPアドレスが210.130.30.1でポート番号が80で入力されたパケットはこのテーブルにより、IPが192.168.0.11でポート番号80で待機しているWebサーバ機能付き制御装置1のWebサーバアプリケーションに転送される。この結果、この装置はインターネットからのアクセスが可能になっている。しかし従来例では、Webクライアントは、ポート番号ごとにあらかじめ決められた内部装置にしかアクセスできない。また内部装置はイントラネットに接続されているがアドレス変換ルータによりインターネットからアクセス可能になっている。インターネット上で第3者がポートスキャンを実行し公開ポート番号を検知して内部装置にアクセスすることが可能になっている。
【0004】
図6は、図4の従来例を改善したものである。図4と同一のものは同一符号を付し説明を省略する。アドレス変換ルータがアドレス・ポート変換ルータに置き換わった構成になっている。30はイントラネットとインターネットを中継するアドレス・ポート変換ルータである。このルータはインターネットから入力してくるパケットの宛先IPアドレスとポート番号の双方を変換してプライベートアドレスに転送する機能をもっている。説明のためこのルータのイントラネット側のアドレスを図4の場合と同じく192.168.0.1、インターネット側のアドレスを210.130.30.1とする。このルータは内部で図7に示すアドレス・ポート変換テーブルをもっている。内部IPは内部装置のプライベートIPアドレス、内部ポート番号はその装置上で動作しているサーバアプリケーションが待機しているポート番号である。公開IPと公開ポート番号は、上記の内部IPと内部ポート番号を上記のアドレス・ポート変換ルータを経由してインターネットからアクセスできるように公開しているIPアドレスとポート番号である。
【0005】
52はポート番号指定機能付きWebクライアント装置である。この装置は、内部ポート番号ではなく、公開されたポート番号で内部装置サーバアプリケーションにアクセスできる機能が実装されている。
【0006】
アドレス・ポート変換ルータは入力パケットのIPアドレスとポート番号の双方を変換するため、Webクライアントは、同じポート番号で待機している複数の内部装置サーバアプリケーションにアクセスすることが可能になる。12は追加になったWebサーバ機能付き制御装置2である。説明のためこの装置のIPアドレスは192.168.0.12とする。宛先IPアドレスが210.130.30.1でポート番号が1000で入力されたパケットは図7のテーブルにより、IPが192.168.0.11でポート番号80で待機しているWebサーバ機能付き制御装置1のWebサーバアプリケーションに転送される。宛先IPアドレスが210.130.30.1でポート番号が1002で入力されたパケットは図7のテーブルにより、IPが192.168.0.12でポート番号80で待機しているWebサーバ機能付き制御装置2のWebサーバアプリケーションに転送される。この結果複数の内部装置のWebサーバにインターネットからアクセス可能になっている。
【0007】
しかし図6の改善例では以下が問題点として残っている。Webクライアントは内部装置へアクセスするための情報をオンラインで入手できない。このためWebクライアントは内部装置へアクセスするための情報を全て記憶しておく必要がある。内部装置へのアクセス情報が変更されたときWebクライアントは内部装置にアクセスできなくなる。また、内部装置はイントラネットに接続されているが、アドレス・ポート変換ルータによりインターネットからアクセス可能になっている。また内部装置へのアクセス情報(図7のアドレス・ポート変換テーブル)は固定されている。この結果、インターネット上で第3者がポートスキャンを実行し公開ポート番号を検知して内部装置にアクセスすることが可能になっている。
【0008】
【発明が解決しようとする課題】
本発明の目的は、プライベートネットワークで構成されたイントラネット内にあるWebサーバ機能付きの制御装置に対して、インターネットから、特定の権限を持ったクライアントだけがアクセスできるようすることである。
【0009】
【課題を解決するための手段】
このような目的を達成する請求項1の発明は、インターネット側にグローバルアドレスでアドレッシングされたイントラネット装置ネームサーバ装置を設置して、この装置がWebクライアントがイントラネット内の個々の装置のアプリケーションへアクセスするために必要な公開IPと公開ポート番号を管理して提供することである。
【0010】
請求項2の発明は、イントラネット装置ネームサーバのデータを、特定の権限を持ったWebクライアントだけが入手できるように構成することである。
【0011】
請求項3の発明は、個々の内部装置のアプリケーションに対する公開ポート番号を固定しないで、あらかじめ決められた条件で変更することである。
【0012】
請求項4の発明は、特別な区切り文字で、内部装置名であることを識別させるドメイン名を使用すること、および、Webクライアントが、このドメイン名を解釈して、イントラネット装置ネームサーバから内部装置へアクセスするための公開IPと公開ポート番号を入手することである。
【0013】
請求項5の発明は、Webクライアント装置が、上記で入手した公開ポート番号を使用して内部装置のアプリケーションへアクセスすることである。
【0014】
【発明の実施の形態】
以下図面を用いて本発明の実施の形態を説明する。図1は本発明の一実施例を示した構成図であり、図6と同一のものは同一符号を付し説明を省略する。31はイントラネットとインターネットを中継するポートマッピング機能付きアドレス・ポート変換ルータである。このルータ31は、内部装置からのグローバルアドレス問い合わせに対する返答機能、内部装置からのアドレス・ポート変換テーブルの設定機能(ポートマッピング機能)を持っている。UPnP(Universal Plug & Play)ルータではこの機能が実装されている。このルータは内部では図2に示すダイナミックに書き換え可能なアドレス・ポート変換テーブルをもっている。このテーブル内容自体は図7のものと同じであるが、図2では、このアドレス・ポート変換テーブルを内部装置がダイナミックに書き換えることができる。即ち内部装置は、公開ポート番号をダイナミックに変化させて内部ポート番号をインターネットに公開することができる。説明のためこのルータのイントラネット側のアドレスを図6の場合と同じく192.168.0.1、インターネット側のアドレスを210.130.30.1とする。
【0015】
40はインターネット側に新たに設置されたイントラネット装置ネームサーバである。この装置は、インターネット側にあるWebクライアントに対して、イントラネット装置名とサーバアプリケーション待機の内部ポート番号から、この内部装置サーバアプリケーションにアクセスするための公開IPと公開ポート番号を提供する。この装置は図3に示すようなデータを持っている。イントラネット装置名はイントラネット内の装置を識別する装置名である。この名前はイントラネット装置ネームサーバが管理している装置群の範囲でユニークでなければならない。内部ポート番号はその内部装置サーバアプリケーションが待機しているポート番号である。なおこのイントラネット装置ネームサーバ内のデータは権限をもったWebクライアントにだけ提供されるように構成されている。
【0016】
53は内部装置名解決機能・ポート番号指定機能つきWebクライアント装置である。即ちこのWebクライアント装置は、内部装置が表記されたドメイン名を解釈して内部装置へのアクセスするための公開IPと公開ポート番号を入手する機能と、入手した公開ポート番号を指定して内部装置にアクセスする機能をもっている。またこのWebクライアント装置は内部装置へアクセスして情報を入手する権限があることを証明する電子証明書を持っている。
【0017】
説明のため、11、12のイントラネット装置名をwdevice1, wdevice2とする。40のイントラネット装置ネームサーバのIPアドレスを、210.120.1.10とする。40のイントラネット装置ネームサーバのドメイン名をinamesvr.xyzabc.co.jp とする。
【0018】
11、12のイントラネット装置は、既存のDNS(Domain Name Server)でのドメイン名では表記できない。本提案では、2個の連続したドットという特殊文字を識別子としたドメイン名で内部装置を表示するものとする。したがって、11、12の内部装置のドメイン名は、それぞれ、
wdevice1..inamesvr.xyzabc.co.jp
wdevice2..inamesvr.xyzabc.co.jp
として表記される。この表記方法は既存のDNSで使用されているドメイン名の表記方法を、内部装置がある場合について機能拡張したものである。この表記で、inamesvr.xyzabc.co.jp の部分はイントラネット装置ネームサーバのホスト名でもある。
【0019】
本発明の動作について説明する。内部装置11はアドレス・ポート変換ルータ31に対してHTTPサーバアプリケーション(内部ポート番号80で待機)とHTTPSサーバサーバアプリケーション(内部ポート番号443で待機)をそれぞれポート番号1000と1001で外部に公開するようにポートマッピング要求を発行する。同時に内部装置11はイントラネット装置ネームサーバ40に対しても、自分の装置名 wdevice1でのHTTPサーバアプリケーション(内部ポート番号80で待機)とHTTPSサーバアプリケーション(内部ポート番号443で待機)が、公開IPが210.130.30.1で、外部ポート番号が1000,1001でアクセス可能である、というデータを発行する。内部装置12も同様にアドレス・ポート変化ルータ31にポートマッピング要求、イントラネット装置ネームサーバ40に自分のサーバアプリケーションの公開データを発行する。この結果、ポートマッピング機能付きポート・アドレス変換ルータ31の内部に図2のテーブルが作成される。まだイントラネット装置ネームサーバ40内に図3のデータが作成される。
【0020】
Webクライアントが、wdevice1..inamesvr.xyzabc.co.jp でドメイン表記されている装置のHTTPサーバアプリケーション(内部ポート番号80で待機)にアクセスする場合を例に説明する。最初に、Webクライアントは既存のDNS機能で、inamesvr.xyzabc.co.jp までの名前解決を実行する。ここで解決されたIPアドレス210.120.1.10はイントラネット装置ネームサーバのホストのIPアドレスである。Webクライアントは、2個の連続したドットという特殊文字以降は内部装置であることを知っている。したがってWebクライアントは、イントラネット装置ネームサーバに対して、2個の連続したドット以降の名前 wdevice1 と内部ポート番号(80)を発行して、内部装置へのアクセス情報を問い合わせる。このときWebクライアントは自分が権限があるクライアントであることを証明する電子証明書を提示する。イントラネット装置ネームサーバは、電子証明書をチェックして答を返して良いクライアントであるかどうかを判断する。答を返して良いクライアントであるとき、内部装置へアクセスするための公開IPと公開ポート番号をWebクライアントに返す。電子証明書のチェックで否認されたときは返答は無い。なお、Webクライアントは、2個の連続したドットという特殊文字をもたない持たないドメイン名をアクセスしたときは既存のDNS機能で全ての名前解決を実行する。
【0021】
Webクライアントは、上記で入手した公開IP(210.120.1.10)と公開ポート番号(1000)を使用して、内部装置11のHTTPサーバアプリケーションにアクセスする。
【0022】
イントラネット内の装置は、条件設定されたタイミングで、アドレス・ポート変換ルータに対して、現在のポートマッピングをキャンセルして新たにポートマッピング要求を発行してランダムに公開ポート番号を変更する。同時にイントラネット装置ネームサーバにもこの変更データを送信して公開ポート番号を最新のものに反映させる。本発明の実施例を示す図1においても内部装置はイントラネット内部に接続されているがアドレス・ポート変換ルータによりインターネットからアクセス可能になっている。しかし公開ポート番号がダイナミックに変更されているため第3者は変化している公開ポート番号を追跡して検知することは困難になっている。公開ポート番号が検知されてもある時間後には無効になっている。実測結果では可能性がある全てのTCPポート番号65536個をポーチスキャンするには約10時間程度かかる。したがって1時間ごとに公開ポート番号を切り替えて運用すれば第3者が公開ポート番号を検知して追跡することは困難になる。
【0023】
Webクライアントは内部装置へのアクセス情報をキャッシングしている。したがって、公開ポート番号が変更されると、Webクライアントはキャッシングしている内部装置へのアクセス情報が古くなるため内部装置へのアクセスに失敗する。この場合にはイントラネット装置ネームサーバから最新情報を入手してアクセスして、またキャッシング情報を更新するようにする。
【0024】
本発明の応用例について説明する。イントラネット装置ネームサーバが、特定の権限をもったクライアントにだけ答えを返すようにするためには、電子証明書以外にもログイン名、パスワードの組み合わせ等、各種の方式の採用が可能である。
【0025】
また、イントラネット装置ネームサーバ内のデータを秘密鍵を所有している特定のWebクライアントだけが入手できるようにWebクライアントの公開鍵で暗号化して保管することもできる。この公開鍵方式を採用すれがWebクライアントごとにアクセス情報をよりきめ細かく管理できる。
【0026】
また、WebクライアントのIPアドレスが限定されている場合には、アドレス・ポート変換ルータにパケットフィルタリングを設定できる。これにより第3者からの内部装置アクセスがより困難になる。
【0027】
【発明の効果】
本発明によれば、以下のような効果が得られる。
【0028】
請求項1により、イントラネット装置ネームサーバが存在することにより、Webクライアントは、複数のイントラネット内装置にアクセスできるようになる。公開ポート番号をダイナミックに変更したときでもWebクライアントはイントラネットへアクセスするための最新情報を入手することができるようになる。
【0029】
請求項2により、権限を持ったWebクライアントだけがイントラネット装置ネームサーバから内部装置へのアクセスするための公開IPと公開ポート番号を入手できることにより、第3者が内部装置にアクセスすることは困難になる。
【0030】
請求項3により、公開ポート番号が固定されていないことにより、第3者が内部装置へアクセスする公開ポート番号を検知することが困難になり、第3者が内部装置にアクセスすることが困難になる。
【0031】
請求項4により、内部装置を特定するため、従来のDNSと両立するドメイン名表記を使用していることにより、従来のドメイン名表記と互換性を保ちながら、新規に内部装置名を表現できるようになる。Webクライアントは、従来のDNS機能でイントラネット装置ネームサーバまでの名前解決ができ、ま、イントラネット装置ネームサーバから内部装置へのアクセスするための公開IPと公開ポート番号を入手できるようになる。
【0032】
請求項5により、Webクライアントはポート番号を指定してアクセスできる機能をもっていることにより、請求項5で入手した公開ポート番号で内部装置にアクセスできるようになる。
【図面の簡単な説明】
【図1】本発明の一実施例を示した構成図である。
【図2】ダイナミックに書き換え可能なアドレス・ポート変換テーブルである。
【図3】イントラネット装置ネームサーバ内のデータである。
【図4】従来例の構成図である。
【図5】アドレス変換テーブルである。
【図6】改善例である。
【図7】アドレス・ポート変換テーブルである。
【符号の説明】
10 プライベートネットワーク
11 Webサーバ機能付き制御装置1
12 Webサーバ機能付き制御装置2
20 アドレス変換ルータ
30 アドレス・ポート変換ルータ
31 ポートマッピング機能付きアドレス・ポート変換ルータ
40 イントラネット装置ネームサーバ
51 Webクライアント装置
52 ポート番号指定機能付きWebクライアント装置
53 内部装置名解決機能・ポート番号指定機能付きWebクライアント装置
60 インターネット
Claims (5)
- プライベートアドレスでアドレッシングされたイントラネット内の装置、インターネットに接続されグローバルアドレスでアドレッシングされたWebクライアント装置、インターネットとイントラネットをアドレスとポート番号を変換して中継するアドレス・ポート変換ルータで構成される監視制御システムにおいて、インターネット側にグローバルアドレスでアドレッシングされたイントラネット装置ネームサーバが追加設置され、この装置が、Webクライアントがイントラネット内の個々の装置のアプリケーションへアクセスするために必要な公開IPと公開ポート番号を提供している構成となっていることを特徴とする監視制御システム。
- 請求項1記載の監視制御システムにおいて、イントラネット装置ネームサーバのデータが、特定の権限を持ったWebクライアントだけが読めるように構成されていることを特徴とする監視制御システム。
- 請求項1記載の監視制御システムにおいて、個々の内部装置のアプリケーションにアクセスするための公開ポート番号が固定されていなくて、あらかじめ決められた条件で変更されることを特徴とする監視制御システム。
- 請求項1記載の監視制御システムにおいて、特別な区切り文字でイントラネット内の装置名であることを識別させているドメイン名が使用されていること、および、Webクライアントがこのドメイン名を解釈して、イントラネット装置ネームサーバから内部装置へアクセスするための公開IPと公開ポート番号を入手することを特徴とする監視制御システム。
- 請求項1記載の監視制御システムにおいて、Webクライアント装置が、請求項4で入手した公開ポート番号を使用して内部装置のアプリケーションへアクセスすることを特徴とする監視制御システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002267907A JP2004112018A (ja) | 2002-09-13 | 2002-09-13 | インターネットアクセスWeb監視制御システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002267907A JP2004112018A (ja) | 2002-09-13 | 2002-09-13 | インターネットアクセスWeb監視制御システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004112018A true JP2004112018A (ja) | 2004-04-08 |
Family
ID=32266280
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002267907A Pending JP2004112018A (ja) | 2002-09-13 | 2002-09-13 | インターネットアクセスWeb監視制御システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004112018A (ja) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005303766A (ja) * | 2004-04-14 | 2005-10-27 | Matsushita Electric Ind Co Ltd | Ip機器と管理サーバ、及びネットワークシステム |
| WO2006016500A1 (ja) * | 2004-08-09 | 2006-02-16 | Megachips System Solutions Inc. | ネットワークカメラ、ddnsサーバおよび映像配信システム |
| WO2006038391A1 (ja) * | 2004-09-30 | 2006-04-13 | Megachips System Solutions Inc. | ネットワーク装置およびネットワークシステム |
| WO2006040881A1 (ja) * | 2004-10-15 | 2006-04-20 | Megachips System Solutions Inc. | 映像配信システムおよびネットワークカメラ |
| JP2007081971A (ja) * | 2005-09-15 | 2007-03-29 | Matsushita Electric Ind Co Ltd | Ip通信装置及びip電話装置 |
| JP2007116245A (ja) * | 2005-10-18 | 2007-05-10 | Sanyo Electric Co Ltd | アクセス制御装置 |
| JP2007334411A (ja) * | 2006-06-12 | 2007-12-27 | Fuji Xerox Co Ltd | 制御プログラムおよび通信システム |
| JP2010514326A (ja) * | 2006-12-19 | 2010-04-30 | ピーエヌピーセキュアー インコーポレイテッド | Tcp/ip基盤のアドレス変更方法及び装置 |
| US8295268B2 (en) | 2004-01-09 | 2012-10-23 | Panasonic Corporation | IP device, management server, and network system |
| CN105933346A (zh) * | 2016-06-27 | 2016-09-07 | 安徽科成信息科技有限公司 | 一种网络巡警 |
| CN105978900A (zh) * | 2016-06-27 | 2016-09-28 | 安徽科成信息科技有限公司 | 一种新型网络监控装置 |
| US9794277B2 (en) | 2015-12-31 | 2017-10-17 | Cyber 2.0 (2015) LTD | Monitoring traffic in a computer network |
| US9838368B2 (en) | 2015-08-27 | 2017-12-05 | Cyber 2.0 (2015) Ltd. | Port scrambling for computer networks |
| JP2018157563A (ja) * | 2017-03-15 | 2018-10-04 | 陳 立新CHAN, Charles Lap San | ネットワーク上でドメイン間通信を実現するシステム及びその方法 |
| JP2019528005A (ja) * | 2016-08-09 | 2019-10-03 | 華為技術有限公司Huawei Technologies Co.,Ltd. | クラウドコンピューティングシステムにおいて仮想マシンが物理サーバにアクセスするための方法、装置、およびシステム |
-
2002
- 2002-09-13 JP JP2002267907A patent/JP2004112018A/ja active Pending
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8295268B2 (en) | 2004-01-09 | 2012-10-23 | Panasonic Corporation | IP device, management server, and network system |
| JP2005303766A (ja) * | 2004-04-14 | 2005-10-27 | Matsushita Electric Ind Co Ltd | Ip機器と管理サーバ、及びネットワークシステム |
| WO2006016500A1 (ja) * | 2004-08-09 | 2006-02-16 | Megachips System Solutions Inc. | ネットワークカメラ、ddnsサーバおよび映像配信システム |
| WO2006038391A1 (ja) * | 2004-09-30 | 2006-04-13 | Megachips System Solutions Inc. | ネットワーク装置およびネットワークシステム |
| WO2006040881A1 (ja) * | 2004-10-15 | 2006-04-20 | Megachips System Solutions Inc. | 映像配信システムおよびネットワークカメラ |
| JP2007081971A (ja) * | 2005-09-15 | 2007-03-29 | Matsushita Electric Ind Co Ltd | Ip通信装置及びip電話装置 |
| JP2007116245A (ja) * | 2005-10-18 | 2007-05-10 | Sanyo Electric Co Ltd | アクセス制御装置 |
| JP2007334411A (ja) * | 2006-06-12 | 2007-12-27 | Fuji Xerox Co Ltd | 制御プログラムおよび通信システム |
| JP2010514326A (ja) * | 2006-12-19 | 2010-04-30 | ピーエヌピーセキュアー インコーポレイテッド | Tcp/ip基盤のアドレス変更方法及び装置 |
| US9838368B2 (en) | 2015-08-27 | 2017-12-05 | Cyber 2.0 (2015) Ltd. | Port scrambling for computer networks |
| US9794277B2 (en) | 2015-12-31 | 2017-10-17 | Cyber 2.0 (2015) LTD | Monitoring traffic in a computer network |
| CN105933346A (zh) * | 2016-06-27 | 2016-09-07 | 安徽科成信息科技有限公司 | 一种网络巡警 |
| CN105978900A (zh) * | 2016-06-27 | 2016-09-28 | 安徽科成信息科技有限公司 | 一种新型网络监控装置 |
| JP2019528005A (ja) * | 2016-08-09 | 2019-10-03 | 華為技術有限公司Huawei Technologies Co.,Ltd. | クラウドコンピューティングシステムにおいて仮想マシンが物理サーバにアクセスするための方法、装置、およびシステム |
| US10659471B2 (en) | 2016-08-09 | 2020-05-19 | Huawei Technologies Co., Ltd. | Method for virtual machine to access physical server in cloud computing system, apparatus, and system |
| US11418512B2 (en) | 2016-08-09 | 2022-08-16 | Huawei Technologies Co., Ltd. | Method for virtual machine to access physical server in cloud computing system, apparatus, and system |
| JP2018157563A (ja) * | 2017-03-15 | 2018-10-04 | 陳 立新CHAN, Charles Lap San | ネットワーク上でドメイン間通信を実現するシステム及びその方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2291979B1 (en) | Remote access between upnp devices | |
| CN101375566B (zh) | 利用动态dns的域名系统和动态dns服务器全局地址管理方法 | |
| JP2004112018A (ja) | インターネットアクセスWeb監視制御システム | |
| KR100780494B1 (ko) | 사용자 터미널 관리 장치, 사용자 터미널 관리 프로그램을 기록한 기록 매체 및 사용자 터미널 관리 시스템 | |
| US20030084162A1 (en) | Managing peer-to-peer access to a device behind a firewall | |
| US20050240758A1 (en) | Controlling devices on an internal network from an external network | |
| JP2003244184A (ja) | ドメインネームの管理方法及びこれに適した装置 | |
| JP5323674B2 (ja) | DNS(DomainNameSystem)登録装置、VPN(VirtualPrivateNetwork)間接続管理システム、広域DNS装置、DNS登録プログラム、広域DNSプログラム、DNS登録方法、及びVPN間接続管理方法 | |
| JP4524906B2 (ja) | 通信中継装置、通信中継方法、および通信端末装置、並びにプログラム記憶媒体 | |
| Yan et al. | Is DNS ready for ubiquitous Internet of Things? | |
| JP2004120534A (ja) | ルータと中継装置、フォワーディング方法 | |
| JP3858884B2 (ja) | ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム | |
| US8510419B2 (en) | Identifying a subnet address range from DNS information | |
| JP2005539428A (ja) | 第一コンピュータ・ネットワークから第二コンピュータ・ネットワークへの通信セッションの始動 | |
| JP2005311829A (ja) | 通信路設定方法、ゲートウェイ装置及び通信システム | |
| JP3896361B2 (ja) | 通信経路設定装置、通信経路設定方法および通信経路設定プログラム | |
| JP3616571B2 (ja) | インターネット中継接続におけるアドレス解決方式 | |
| JP2009206876A (ja) | サービス公開システム、通信中継装置、およびサービス公開装置 | |
| US20030225910A1 (en) | Host resolution for IP networks with NAT | |
| JP2006135704A (ja) | ルーターおよびその制御方法 | |
| JP4191180B2 (ja) | 通信支援装置、システム、通信方法及びコンピュータプログラム | |
| JP2006148241A (ja) | ホームゲートウェイ装置及びip通信方法 | |
| JP5041381B2 (ja) | 名前解決システム、名前解決サーバ、名前解決方法及び名前解決プログラム | |
| JP2003283570A (ja) | 通信ネットワークシステムおよびデータ通信方法 | |
| JP4252041B2 (ja) | Dhcp情報管理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050909 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070525 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070530 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20071121 |