知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2019-83446(P2019-83446A)
(43)【公開日】2019年5月30日
(54)【発明の名称】ネットワークシステム
(51)【国際特許分類】
H04L 12/28 20060101AFI20190510BHJP
【FI】
H04L12/28 200Z
【審査請求】未請求
【請求項の数】6
【出願形態】OL
【全頁数】16
(21)【出願番号】特願2017-210445(P2017-210445)
(22)【出願日】2017年10月31日
(71)【出願人】
【識別番号】000102500
【氏名又は名称】SMK株式会社
(74)【代理人】
【識別番号】110000383
【氏名又は名称】特許業務法人 エビス国際特許事務所
(72)【発明者】
【氏名】金 準修
(72)【発明者】
【氏名】近藤 晴彦
【テーマコード(参考)】
5K033
【Fターム(参考)】
5K033AA08
5K033CB01
5K033CB04
5K033CB06
5K033DA01
5K033DB18
5K033DB20
5K033EA05
5K033EA07
5K033EC03
(57)【要約】 (修正有)
【課題】セキュリティを容易に強化可能なネットワークシステムを提供する。【解決手段】ネットワークシステムは、予め付与された自身の識別情報及び機器情報を含む所定情報を所定プロトコルに準じて送信し、外部ネットワークと繋がる内部ネットワークに含まれる情報機器と、前記内部ネットワークを監視し、前記所定プロトコルに準じて前記情報機器から前記所定情報を収集する管理部と、を備え、前記管理部は、未知の情報機器から前記所定情報を収集し、収集された前記所定情報に基づいて、前記未知の情報機器に対する認証要求をユーザに通知し、前記認証要求に対するユーザからの応答に応じて、前記未知の情報機器が前記内部ネットワークへアクセスすることの可否を判断する。
【選択図】図2
【特許請求の範囲】
【請求項1】
外部ネットワークと繋がる内部ネットワークに含まれ、予め付与された自身の識別情報及び機器情報を含む所定情報を、所定プロトコルに準じて送信する情報機器と、
前記内部ネットワークを監視し、前記所定プロトコルに準じて前記情報機器から前記所定情報を収集する管理部と、
を備え、
前記管理部は、
未知の情報機器から前記所定情報を収集し、
収集された前記所定情報に基づいて、前記未知の情報機器に対する認証要求をユーザに通知し、
前記認証要求に対するユーザからの応答に応じて、前記未知の情報機器が前記内部ネットワークへアクセスすることの可否を判断する、
ネットワークシステム。
前記内部ネットワークを監視し、前記所定プロトコルに準じて前記情報機器から前記所定情報を収集する管理部と、
を備え、
前記管理部は、
未知の情報機器から前記所定情報を収集し、
収集された前記所定情報に基づいて、前記未知の情報機器に対する認証要求をユーザに通知し、
前記認証要求に対するユーザからの応答に応じて、前記未知の情報機器が前記内部ネットワークへアクセスすることの可否を判断する、
ネットワークシステム。
【請求項2】
前記管理部は、
収集された前記所定情報に基づいて、前記内部ネットワークの接続構成をユーザが視認可能なマップ情報を作成し、
作成された前記マップ情報を前記認証要求に含めてユーザに通知する、
請求項1に記載のネットワークシステム。
収集された前記所定情報に基づいて、前記内部ネットワークの接続構成をユーザが視認可能なマップ情報を作成し、
作成された前記マップ情報を前記認証要求に含めてユーザに通知する、
請求項1に記載のネットワークシステム。
【請求項3】
前記管理部は、
前記未知の情報機器が前記所定プロトコルに対応した情報機器である場合、既に前記内部ネットワークに接続された前記情報機器から送信された前記機器情報と、前記未知の情報機器から送信された前記機器情報とに基づいて、前記マップ情報を作成し、
作成された前記マップ情報を前記認証要求に含めてユーザに通知する、
請求項2に記載のネットワークシステム。
前記未知の情報機器が前記所定プロトコルに対応した情報機器である場合、既に前記内部ネットワークに接続された前記情報機器から送信された前記機器情報と、前記未知の情報機器から送信された前記機器情報とに基づいて、前記マップ情報を作成し、
作成された前記マップ情報を前記認証要求に含めてユーザに通知する、
請求項2に記載のネットワークシステム。
【請求項4】
前記管理部は、
前記未知の情報機器が前記所定プロトコルに非対応の情報機器である場合、前記未知の情報機器から送信された前記識別情報を含む警告情報を作成し、
作成された前記警告情報を前記認証要求に含めてユーザに通知する、
請求項3に記載のネットワークシステム。
前記未知の情報機器が前記所定プロトコルに非対応の情報機器である場合、前記未知の情報機器から送信された前記識別情報を含む警告情報を作成し、
作成された前記警告情報を前記認証要求に含めてユーザに通知する、
請求項3に記載のネットワークシステム。
【請求項5】
前記管理部は、前記未知の情報機器から送信された前記識別情報を用いて、前記未知の情報機器を前記外部ネットワークの検索システムにて検索し、検索結果に基づいて、前記マップ情報を作成する、
請求項2乃至4の何れか一項に記載のネットワークシステム。
請求項2乃至4の何れか一項に記載のネットワークシステム。
【請求項6】
前記内部ネットワークは、ホームネットワークであり、
前記所定プロトコルは、HTIP(Home-network Topology Identifying Protocol)であり、
前記機器情報は、前記情報機器の区分、メーカ名、機種名及び型番を示す情報であり、
前記識別情報は、MAC(Media Access Control)アドレスである、
請求項1乃至5の何れか一項に記載のネットワークシステム。
前記所定プロトコルは、HTIP(Home-network Topology Identifying Protocol)であり、
前記機器情報は、前記情報機器の区分、メーカ名、機種名及び型番を示す情報であり、
前記識別情報は、MAC(Media Access Control)アドレスである、
請求項1乃至5の何れか一項に記載のネットワークシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークシステムに関する。特に、本発明は、ホームネットワークシステムに関する。
【背景技術】
【0002】
ホームネットワークシステムは、ネットワーク技術に熟練してない一般ユーザによって利用されることが多い。このため、ホームネットワークシステムでは、ルータ等に設けられたファイアウォールが突破された後、不正な情報機器が接続されても、ユーザはそれに気付かず、ホームネットワークを不正に利用されてしまうことがある。
【0003】
特許文献1には、ルータ等にセキュリティスイッチを設け、セキュリティスイッチの状態に応じて、ローカルエリアネットワークへの接続を許可するモードと拒否するモードとを切り替えることで、ネットワークの安全性を高めるシステムが開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特表2009−508398号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に開示されたシステムでは、ルータ等にセキュリティスイッチを設ける必要があると共に、ユーザが都度セキュリティスイッチを押さないと、ネットワークに装置を接続できないため、複雑なセキュリティシステムとなる。
【0006】
また、特許文献1に開示されたシステムでは、ネットワークに装置を接続する際、ユーザが、当該装置のMAC(Media Access Control)アドレスを確認して、当該装置の接続の可否を判断する必要がある。このため、特許文献1に開示されたシステムでは、ネットワーク技術に熟練していない一般ユーザにとって、MACアドレスを確認して当該装置の接続の可否を判断することが困難である。
【0007】
本発明は、上述の事情に鑑みてなされたものであり、上述のような問題点を解決することを課題の一例とする。すなわち、本発明の課題の一例は、セキュリティを容易に強化可能なネットワークシステムを提供することである。
【課題を解決するための手段】
【0008】
本発明の一つの観点に係るネットワークシステムは、外部ネットワークと繋がる内部ネットワークに含まれ、予め付与された自身の識別情報及び機器情報を含む所定情報を、所定プロトコルに準じて送信する情報機器と、前記内部ネットワークを監視し、前記所定プロトコルに準じて前記情報機器から前記所定情報を収集する管理部と、を備え、前記管理部は、未知の情報機器から前記所定情報を収集し、収集された前記所定情報に基づいて、前記未知の情報機器に対する認証要求をユーザに通知し、前記認証要求に対するユーザからの応答に応じて、前記未知の情報機器が前記内部ネットワークへアクセスすることの可否を判断する。
【0009】
好適には、前記ネットワークシステムにおいて、前記管理部は、収集された前記所定情報に基づいて、前記内部ネットワークの接続構成をユーザが視認可能なマップ情報を作成し、作成された前記マップ情報を前記認証要求に含めてユーザに通知する。
【0010】
好適には、前記ネットワークシステムにおいて、前記管理部は、前記未知の情報機器が前記所定プロトコルに対応した情報機器である場合、既に前記内部ネットワークに接続された前記情報機器から送信された前記機器情報と、前記未知の情報機器から送信された前記機器情報とに基づいて、前記マップ情報を作成し、作成された前記マップ情報を前記認証要求に含めてユーザに通知する。
【0011】
好適には、前記ネットワークシステムにおいて、前記管理部は、前記未知の情報機器が前記所定プロトコルに非対応の情報機器である場合、前記未知の情報機器から送信された前記識別情報を含む警告情報を作成し、作成された前記警告情報を前記認証要求に含めてユーザに通知する。
【0012】
好適には、前記ネットワークシステムにおいて、前記管理部は、前記未知の情報機器から送信された前記識別情報を用いて、前記未知の情報機器を前記外部ネットワークの検索システムにて検索し、検索結果に基づいて、前記マップ情報を作成する。
【0013】
好適には、前記ネットワークシステムにおいて、前記内部ネットワークは、ホームネットワークであり、前記所定プロトコルは、HTIP(Home-network Topology Identifying Protocol)であり、前記機器情報は、前記情報機器の区分、メーカ名、機種名及び型番を示す情報であり、前記識別情報は、MAC(Media Access Control)アドレスである。
【発明の効果】
【0014】
本発明の一つの観点に係るネットワークシステムは、セキュリティを容易に強化することができる。
【図面の簡単な説明】
【0015】
本発明のいくつかの実施形態を、単なる例として、添付の図面を参照して以下に説明する。【図1】本発明の実施形態1に係るネットワークシステムの構成を示す図である。
【図2】実施形態1に係る情報機器の機能的構成を示すブロック図である。
【図3】実施形態1に係る管理部で管理される機器情報等を示す図である。
【図4】実施形態1に係る管理部で作成されるマップ情報を示す図である。
【図5】実施形態1に係る管理部で行われる機器認証処理の流れを示す図である。
【図6】実施形態1に係る管理部からユーザに対して認証要求を通知するための認証要求画面を示す図である。
【図7】実施形態2に係る管理部で行われる機器認証処理の流れを示す図である。
【発明を実施するための形態】
【0016】
以下、本発明の実施形態について、図面を参照しながら詳しく説明する。以下に説明される実施形態は、本発明のいくつかの例を示すものであって、本発明の内容を限定するものではない。また、各実施形態で説明される構成及び動作の全てが本発明の構成及び動作として必須であるとは限らない。
【0018】
ネットワークシステム1は、コンピュータネットワークシステムである。ネットワークシステム1は、ゲートウェイ10を介して外部ネットワーク2に繋がる内部ネットワーク3を構築するシステムである。具体的には、外部ネットワーク2は、インターネット等のWAN(Wide Area Network)であり、内部ネットワーク3は、LAN(Local Area Network)であってよい。外部ネットワーク2は、開かれたネットワークであり、内部ネットワーク3は、閉じられたネットワークであってよい。内部ネットワーク3は、VPN(Virtual Private Network)であってよい。好適には、ネットワークシステム1は、宅内の機器が有線又は無線にてゲートウェイ10を含むルータに接続され、ゲートウェイ10を介してインターネットに接続されたホームネットワークシステムであってよい。
【0019】
ネットワークシステム1は、HTIP(Home-network Topology Identifying Protocol)又はLLDP(Link Layer Discovery Protocol)等の、データリンク層の接続を検知及び管理する所定プロトコルに準じたシステムである。好適には、ネットワークシステム1は、HTIPに準じたシステムである。本実施形態では、ネットワークシステム1がHTIPに準じたシステムであるとして説明する。
【0020】
ネットワークシステム1は、内部ネットワーク3のネットワークノードを構成する情報機器5を含む。情報機器5は、内部ネットワーク3を外部ネットワーク2に繋ぐためのゲートウェイ10と、ゲートウェイ10に接続された少なくとも1つのエンド端末とを含む。情報機器5は、例えば、図1に示されるように、ゲートウェイ10と、ネットワーク機器11と、複数のエンド端末12〜15とを含んでよい。
【0021】
ネットワーク機器11は、複数のポートを有し、一のポートで受信したフレーム又はパケットを他のポートへ転送する機能を有する機器である。ネットワーク機器11は、図1に例示されるように、スイッチングハブであってよい。
【0022】
複数のエンド端末12〜15のそれぞれは、フレーム又はパケットを終端する機器である。複数のエンド端末12〜15のそれぞれは、図1に例示されるように、宅内に配置された情報家電等の機器であってよい。図1には、エンド端末12〜15が、それぞれ、デスクトップパソコン、電子ロックドア、エアコン、室内監視用のWebカメラである例が示されている。
【0023】
情報機器5は、HTIPのエージェント機能を実現するエージェントプログラムが実装された情報機器5Aと、HTIPのマネージャ機能を実現するマネージャプログラムが実装された情報機器5Mとに分類される。
【0024】
このマネージャプログラムは、内部ネットワーク3に含まれる任意の情報機器5に実装されてよい。エージェントプログラムは、マネージャプログラムが実装された機器以外の情報機器5に実装されてよい。本実施形態では、マネージャプログラムは、デスクトップパソコンであるエンド端末12に実装されており、エージェントプログラムは、ゲートウェイ10、ネットワーク機器11及びエンド端末13〜15に実装されているとして説明する。
【0025】
図2は、実施形態1に係る情報機器5の機能的構成を示すブロック図である。
【0026】
情報機器5Aは、内部ネットワーク3に含まれ、予め付与された自身の識別情報及び機器情報を含む所定情報を、HTIPに準じて情報機器5Mに送信する。情報機器5Aがネットワーク機器11である場合、情報機器5Aは、自身の識別情報及び機器情報に加えて、次のような情報を上記所定情報として情報機器5Mに送信する。すなわち、ネットワーク機器11である情報機器5Aは、各ポートに接続されたエンド端末14及び15のそれぞれの識別情報及び機器情報、並びに、エンド端末14及び15の接続構成を示す接続構成情報を、情報機器5Mに送信する。なお、識別情報、機器情報及び接続構成情報については、図3を用いて後述する。
【0027】
情報機器5Mは、内部ネットワーク3を監視し、HTIPに準じて情報機器5から上記所定情報を収集する管理部20を含む。管理部20は、情報機器5Mのプロセッサ及び記憶装置を利用してHTIPのマネージャ機能を実現するマネージャプログラムによって構成することができる。
【0028】
具体的には、管理部20は、図2に示されるように、内部ネットワーク3への情報機器5の接続を検知する接続検知部21と、接続検知部21にて接続を検知された情報機器5から上記所定情報を収集する情報収集部22とを備える。
【0029】
更に、管理部20は、情報収集部22にて収集された上記所定情報に基づいて、接続検知部21にて接続を検知された情報機器5が、HTIPに対応した情報機器5Aであるか、HTIPに非対応の情報機器5であるかを判断する機器判断部23を備える。また、機器判断部23は、接続検知部21にて接続を検知された情報機器5が、ユーザによって正当な情報機器5であると認証済の情報機器5であるか、正当な情報機器5であると認証されていない未知の情報機器Xであるかを判断することができる。
【0030】
更に、管理部20は、情報収集部22により収集された上記所定情報に基づいて内部ネットワーク3の接続構成を特定する接続構成特定部24と、接続構成特定部24により特定された接続構成をユーザが視認可能な情報に示したマップ情報を作成するマップ情報作成部25とを備える。なお、マップ情報については、図4を用いて後述する。
【0031】
更に、管理部20は、接続検知部21にて接続を検知された情報機器5が不正な情報機器5である可能性があることをユーザに警告する警告情報を作成する警告情報作成部26を備える。警告情報作成部26は、接続検知部21にて接続を検知された情報機器5の識別情報を含めて、警告情報を作成する。警告情報作成部26は、接続検知部21にて接続を検知された情報機器5が、正当な情報機器5であると認証されていない未知の情報機器Xであり、HTIP非対応の情報機器5である場合に、警告情報を作成する。
【0032】
なお、警告情報作成部26は、接続検知部21にて接続を検知された情報機器5が、正当な情報機器5であると認証されているか否かに関わらず、HTIP非対応の情報機器5である場合に警告情報を作成してもよい。或いは、警告情報作成部26は、接続検知部21にて接続を検知された情報機器5が、HTIPに対応した情報機器5Aであるか否かに関わらず、正当な情報機器5であると認証されていない未知の情報機器Xである場合に、警告情報を作成してもよい。
【0033】
更に、管理部20は、接続検知部21にて接続を検知された情報機器5が正当な情報機器5であると認証するか否かをユーザに判断させるための認証要求を作成する認証要求作成部27を備える。認証要求作成部27は、作成されたマップ情報及び警告情報の少なくとも1つを含めて、認証要求を作成する。
【0034】
更に、管理部20は、認証要求作成部27にて作成された認証要求をユーザに通知する情報通知部28を備える。情報通知部28は、スマートフォン等のユーザの情報端末に対して認証要求を通知する。また、管理部20が内部ネットワーク3の管理者用パソコン等に実装されている場合には、情報通知部28は、この管理者用パソコンに対して認証要求を通知してよい。或いは、管理部20がゲートウェイ10を含むルータに実装されている場合には、ルータのランプを点滅等させることによって、認証要求を通知してよい。この場合、ユーザはルータに管理者用パソコンを接続して認証要求を表示させればよい。
【0035】
更に、管理部20は、認証要求に対するユーザからの応答に応じて、接続検知部21にて接続を検知された情報機器5が内部ネットワーク3へアクセスすることの可否を判断するアクセス可否判断部29を備える。更に、管理部20は、情報収集部22にて収集された上記所定情報と、接続検知部21にて接続を検知された情報機器5がユーザによって認証されたか否かを示す認証情報とを対応付けて、所定の記憶装置に登録する情報登録部30を備える。
【0036】
なお、本実施形態では、情報機器5が内部ネットワーク3へ接続された際に当該情報機器5を認証するために管理部20によって行われる処理を、「機器認証処理」とも称する。機器認証処理の詳細については、図5を用いて後述する。
【0037】
図3は、実施形態1に係る管理部20で管理される機器情報等を示す図である。
【0038】
管理部20は、図3に示されるように、それぞれの情報機器5の機器情報、識別情報及び接続構成情報並びに認証情報を、情報機器5ごとに対応付けて登録及び管理する。
【0039】
機器情報は、情報機器5の区分、メーカ名(メーカコード)、機種名及び型番を示す情報であり、情報機器5ごとに予め付与された情報である。機器情報の区分は、テレビ又はレコーダ等の情報機器5の種別を示す情報である。機器情報に含まれる区分等の定義は、予めHTIPによって定められた定義を用いてよい。識別情報は、MACアドレス等の、情報機器5に対して一意に決定された情報であり、情報機器5ごとに予め付与された情報である。このように、機器情報及び識別情報は、情報機器5自身を指定する情報であり、これらを総称して指定情報ともいう。
【0040】
接続構成情報は、複数のポートを有してフレーム又はパケットを転送するゲートウェイ10及びネットワーク機器11の各ポートに接続された接続機器の構成を示す情報である。接続構成情報は、各ポートのポート番号と、各ポートの接続機器のMACアドレスとを対応付けた情報である。接続構成情報は、MACアドレステーブルであってよい。
【0041】
なお、管理部20は、それぞれの情報機器5の機器情報、識別情報及び接続構成情報並びに認証情報以外の情報についても、情報機器5ごとに対応付けて登録及び管理することができる。例えば、管理部20は、情報機器5ごとに割り当てられたIP(Internet Protocol)アドレス等の情報についても、情報機器5ごとに対応付けて登録及び管理することができる。
【0042】
図4は、実施形態1に係る管理部20で作成されるマップ情報を示す図である。
【0043】
マップ情報は、内部ネットワーク3の接続構成をユーザが視認可能な情報である。言い換えると、マップ情報は、内部ネットワーク3のトポロジーをユーザが視認可能な情報である。マップ情報には、図4に示されるように、情報機器5ごとの画像、機器情報、ポート番号、及び、他の情報機器5との接続関係(リンク)が、ユーザによって視認可能なように示されている。マップ情報には、情報機器5ごとの識別情報(MACアドレス)が含まれてもよい。
【0044】
[実施形態1:機器認証処理]図5は、実施形態1に係る管理部20で行われる機器認証処理の流れを示す図である。図6は、実施形態1に係る管理部20からユーザに対して認証要求を通知するための認証要求画面を示す図である。
【0045】
ステップ501において、管理部20は、内部ネットワーク3への情報機器5の接続を検知する。
【0046】
ステップ502において、管理部20は、接続を検知された情報機器5の識別情報、機器情報及び接続構成情報を含む上記所定情報を収集するため、接続を検知された情報機器5に上記所定情報の取得要求を送信する。
【0047】
接続を検知された情報機器5がHTIPに対応した機器である場合、接続を検知された情報機器5は、この取得要求に応じて、少なくとも自身の識別情報及び機器情報を管理部20へ送信する。接続を検知された情報機器5がHTIPに対応したネットワーク機器11である場合には、接続を検知された情報機器5は、更に接続構成情報を管理部20へ送信する。一方、接続を検知された情報機器5がHTIPに非対応の機器である場合、接続を検知された情報機器5は、この取得要求に応じて、少なくとも自身の識別情報を管理部20へ送信する。
【0048】
ステップ503において、管理部20は、接続を検知された情報機器5が、ユーザによって正当な情報機器5であると認証されていない未知の情報機器Xであるか否かを判断する。管理部20は、接続を検知された情報機器5から送信された識別情報に基づいて、接続を検知された情報機器5が未知の情報機器Xであるか否かを判断してよい。具体的には、管理部20は、接続を検知された情報機器5から送信された識別情報が、図3に示されるようなテーブルに予め登録されているか否かを判断することによって、接続を検知された情報機器5が未知の情報機器Xであるか否かを判断してよい。管理部20は、接続を検知された情報機器5が未知の情報機器Xでない場合、本処理を終了する。一方、管理部20は、接続を検知された情報機器5が未知の情報機器Xである場合、ステップ504へ移行する。
【0049】
ステップ504において、管理部20は、接続を検知された未知の情報機器Xから機器情報を受信したか否かを判断する。すなわち、管理部20は、接続を検知された未知の情報機器Xから送信された上記所定情報に、機器情報が含まれているか否かを判断する。管理部20は、接続を検知された未知の情報機器Xから機器情報を受信していない場合、ステップ510へ移行する。一方、管理部20は、接続を検知された未知の情報機器Xから機器情報を受信した場合、ステップ505へ移行する。
【0050】
ステップ505において、管理部20は、接続を検知された未知の情報機器XがHTIPに対応した情報機器5であると判断する。すなわち、管理部20は、接続を検知された未知の情報機器Xから送信された上記所定情報に機器情報が含まれている場合には、未知の情報機器XがHTIPに対応した情報機器5であると判断する。
【0051】
ステップ506において、管理部20は、内部ネットワーク3に接続された情報機器5から収集された上記所定情報に基づいて、内部ネットワーク3の接続構成を特定する。具体的には、管理部20は、既に内部ネットワーク3に接続された情報機器5から送信された機器情報と、接続を検知された未知の情報機器Xから送信された機器情報とに基づいて、内部ネットワーク3の接続構成を特定する。管理部20は、上記所定情報に接続構成情報が含まれている場合には、機器情報及び接続構成情報に基づいて、内部ネットワーク3の接続構成を特定する。管理部20は、機器情報及び接続構成情報だけでなく、情報機器5の識別情報を用いて、内部ネットワーク3の接続構成を特定することも可能である。なお、既に内部ネットワーク3に接続された情報機器5は、今回の機器認証処理より前に内部ネットワーク3へ接続された情報機器5であり、図3に示されるようなテーブルに予め登録された情報機器5である。
【0052】
ステップ507において、管理部20は、図4に示されるような、特定された内部ネットワーク3の接続構成を示すマップ情報を作成する。
【0053】
ステップ508において、管理部20は、接続を検知された未知の情報機器Xに対する認証要求を作成する。この際、管理部20は、作成されたマップ情報を含めて認証要求を作成する。具体的には、管理部20は、図6(a)に示されるように、マップ情報を含む認証要求をユーザに通知するための認証要求画面を作成する。図6(a)の認証要求画面には、接続を検知された未知の情報機器Xに対する認証要求として、未知の情報機器Xを認証するのか否かをユーザに決定させるボタンが含まれる。更に、図6(a)の認証要求画面には、この認証要求の他、内部ネットワーク3のマップ情報が含まれる。図6(a)のマップ情報には、未知の情報機器Xの画像、機器情報、及び、他の情報機器5との接続関係(リンク)が含まれる。
【0054】
ステップ509において、管理部20は、作成された認証要求をユーザに通知する。具体的には、管理部20は、作成された認証要求を含む図6(a)のような認証要求画面を、ユーザの情報端末に送信する。
【0055】
ユーザは、管理部20から送信された認証要求画面を閲覧し、マップ情報を確認しながら、未知の情報機器Xを認証するボタン、又は、認証しないボタンを押すことができる。これらのボタンが押されると、管理部20には、未知の情報機器Xの認証要求に対するユーザからの応答が通知される。管理部20は、認証要求に対するユーザからの応答に応じて、未知の情報機器Xが内部ネットワーク3へアクセスすることの可否を判断することができる。
【0056】
ステップ510において、管理部20は、接続を検知された未知の情報機器XがHTIPに非対応の情報機器5であると判断する。すなわち、管理部20は、接続を検知された未知の情報機器Xから送信された上記所定情報に機器情報が含まれていない場合には、未知の情報機器XがHTIPに非対応の情報機器5であると判断する。
【0057】
ステップ511において、管理部20は、接続を検知された未知の情報機器Xが不正な情報機器5である可能性があることをユーザに警告する警告情報を作成する。この際、管理部20は、未知の情報機器Xの識別情報を含めて警告情報を作成する。
【0058】
ステップ512において、管理部20は、ステップ506と同様に、内部ネットワーク3の接続構成を特定する。この際、管理部20は、接続を検知された未知の情報機器Xから送信された識別情報に基づいて、内部ネットワーク3における未知の情報機器Xの接続位置を特定する。
【0059】
ステップ513において、管理部20は、既に内部ネットワーク3に接続された情報機器5から送信された上記所定情報と、接続を検知された未知の情報機器Xから送信された識別情報とに基づいて、マップ情報を作成する。この際、管理部20は、図6(b)に示されるように、未知の情報機器Xの接続位置に対して、「?マーク」等の所定のアイコン画像を組み込むことによって、マップ情報を作成する。
【0060】
ステップ514において、管理部20は、接続を検知された未知の情報機器Xに対する認証要求を作成する。この際、管理部20は、作成されたマップ情報及び警告情報を含めて認証要求を作成する。具体的には、管理部20は、図6(b)に示されるように、マップ情報及び警告情報を含む認証要求をユーザに通知するための認証要求画面を作成する。図6(b)の認証要求画面には、図6(a)と同様に、未知の情報機器Xを認証するのか否かをユーザに決定させるボタンで示された認証要求と、内部ネットワーク3のマップ情報とが含まれる。更に、図6(b)の認証要求画面には、未知の情報機器Xの識別情報であるMACアドレスを含む警告情報が含まれる。その後、管理部20は、ステップ509へ移行し、図6(b)のような認証要求画面をユーザの情報端末に送信する。
【0061】
ステップ515において、管理部20は、通知された認証要求に対するユーザからの応答として、未知の情報機器Xを認証する応答を受信したか否かを判断する。管理部20は、未知の情報機器Xを認証する応答を受信した場合、ステップ516へ移行する。一方、管理部20は、未知の情報機器Xを認証する応答を受信しなかった場合、ステップ518へ移行する。
【0062】
ステップ516において、管理部20は、接続を検知された未知の情報機器Xの内部ネットワーク3へのアクセスを許可すると判断する。
【0063】
ステップ517において、管理部20は、接続を検知された未知の情報機器Xが認証済である旨を図3に示されるようなテーブルに登録する。その後、管理部20は、本処理を終了する。
【0064】
ステップ518において、管理部20は、接続を検知された未知の情報機器Xの内部ネットワーク3へのアクセスを許可しないと判断する。
【0065】
ステップ519において、管理部20は、接続を検知された未知の情報機器Xが認証不可である旨を図3に示されるようなテーブルに登録する。その後、管理部20は、本処理を終了する。
【0066】
なお、管理部20は、ステップ512〜ステップ513を実行せず、接続を検知された未知の情報機器XがHTIPに非対応の情報機器5である場合には、ステップ514において、警告情報だけを含んだ認証要求を作成してもよい。それにより、管理部20は、接続を検知された未知の情報機器XがHTIPに非対応の情報機器5である場合には、ステップ509において、マップ情報を含まない認証要求をユーザに通知してもよい。
【0067】
また、管理部20は、ステップ503の判断結果に関わらず、ステップ504に移行してもよい。すなわち、管理部20は、接続を検知された情報機器5が、ユーザによって正当な情報機器5であると認証されていない未知の情報機器Xであるか否かに関わらず、ステップ504に移行してよい。それにより、管理部20は、接続を検知された情報機器5が、ユーザによって正当な情報機器5であると認証されていない未知の情報機器Xであるか否かに関わらず、ステップ509において、接続を検知された情報機器5に対する認証要求をユーザに通知してもよい。この場合、管理部20は、ステップ517又はステップ519を実行せず、接続を検知された未知の情報機器Xが認証済又は認証不可である旨を、図3のテーブルに登録しなくてもよい。
【0068】
[実施形態1:作用効果]以上のように、実施形態1に係る管理部20は、未知の情報機器Xから上記所定情報を収集し、収集された上記所定情報に基づいて、マップ情報を作成する。そして、管理部20は、未知の情報機器Xに対する認証要求にマップ情報を含めてユーザに通知し、認証要求に対するユーザからの応答に応じて、未知の情報機器Xが内部ネットワーク3へアクセスすることの可否を判断する。このため、実施形態1に係るネットワークシステム1では、未知の情報機器Xが正当な情報機器5であるか否かをユーザ自身が決定し、ユーザの決定に応じて、未知の情報機器Xのアクセス可否を判断することができる。しかも、ネットワークシステム1では、ユーザは、未知の情報機器Xが正当な情報機器5であるか否かの決定を、内部ネットワーク3における未知の情報機器Xの画像、接続位置、区分、メーカ名、機種名及び型番等を確認しながら、簡単な操作で行うことができる。それにより、ネットワークシステム1は、複雑なセキュリティシステムを備えたり、ユーザがネットワーク技術に熟練していたりしなくても、不正な情報機器5の内部ネットワーク3へのアクセスを簡易な手法で確実に抑制することができる。よって、実施形態1に係るネットワークシステム1は、内部ネットワーク3のセキュリティを容易に強化することができる。
【0069】
また、実施形態1に係る管理部20は、未知の情報機器XがHTIPに非対応の情報機器5である場合、未知の情報機器Xの識別情報を含む警告情報を作成し、未知の情報機器Xに対する認証要求に警告情報を含めてユーザに通知することができる。このため、実施形態1に係るネットワークシステム1では、未知の情報機器XがHTIPに対応した情報機器5であるか否かに関わらず、未知の情報機器Xが内部ネットワーク3へアクセスすることの可否を、ユーザ自身の決定に応じて判断することができる。それにより、ネットワークシステム1では、未知の情報機器XがHTIPに対応した情報機器5であるか否かに関わらず、不正な情報機器5の内部ネットワーク3へのアクセスを簡易な手法で確実に抑制することができる。よって、実施形態1に係るネットワークシステム1は、様々な情報機器5が混在した内部ネットワーク3にも適用することができるため、内部ネットワーク3のセキュリティを更に容易に強化することができる。
【0070】
特に、実施形態1に係る管理部20では、未知の情報機器XがHTIPに非対応の情報機器5である場合でもマップ情報を作成し、未知の情報機器Xに対する認証要求に警告情報及びマップ情報を含めてユーザに通知することができる。このため、実施形態1に係るネットワークシステム1では、ユーザは、未知の情報機器Xの接続位置及びその識別情報に基づいて、未知の情報機器Xが正当な情報機器5であるか否か容易に決定することができる。よって、実施形態1に係るネットワークシステム1では、様々な情報機器5が混在した内部ネットワーク3であっても、内部ネットワーク3のセキュリティを更に容易に強化することができる。
【0071】
また、実施形態1に係る管理部20は、接続を検知された情報機器5が、ユーザによって正当な情報機器5であると認証済の情報機器5であれば、接続を検知された情報機器5に対する認証要求をユーザに通知しなくてもよい。それにより、実施形態1に係るネットワークシステム1では、認証済の情報機器5に対して認証要求を通知するためのリソースを確保しなくても、不正な情報機器5の内部ネットワーク3へのアクセスを確実に抑制することができる。よって、実施形態1に係るネットワークシステム1は、内部ネットワーク3のセキュリティを更に容易に強化することができる。
【0072】
[実施形態2]実施形態2に係るネットワークシステム1について説明する。実施形態2に係るネットワークシステム1の説明において、実施形態1に係るネットワークシステム1と同様の構成及び動作に係る説明については、重複する説明となるため省略する。
【0073】
図7は、実施形態2に係る管理部20で行われる機器認証処理の流れを示す図である。
【0074】
上述のように、実施形態1に係る管理部20は、接続を検知された未知の情報機器XがHTIPに非対応の情報機器5である場合、未知の情報機器Xの識別情報に基づいて、内部ネットワーク3における未知の情報機器Xの接続位置を特定する。そして、実施形態1に係る管理部20は、図5のステップ514において説明したように、特定された接続位置に「?マーク」等の所定のアイコン画像を組み込むことによって、マップ情報を作成する。
【0075】
これに対し、実施形態2に係る管理部20は、接続を検知された未知の情報機器XがHTIPに非対応の情報機器5である場合、図7のステップ712及びステップ714に示されるような処理を実行することによって、マップ情報を作成する。
【0076】
すなわち、実施形態2に係る管理部20は、未知の情報機器Xから送信された識別情報を用いて、未知の情報機器Xを外部ネットワーク2の検索システムにて検索し、検索結果に基づいて、マップ情報を作成する。例えば、実施形態2に係る管理部20は、ステップ712において、未知の情報機器Xから送信されたMACアドレスを用いて、外部ネットワーク2の検索システムであるWeb上の検索システムにて、未知の情報機器Xの画像及び/又は機器情報を検索する。そして、実施形態2に係る管理部20は、ステップ714において、検索結果から取得された画像及び/又は機器情報を、ステップ713で特定された未知の情報機器Xの接続位置に組み込むことによって、検索結果を反映したマップ情報を作成する。
【0077】
このように、実施形態2に係るネットワークシステム1では、ユーザは、未知の情報機器XがHTIPに非対応の情報機器5であっても、未知の情報機器Xの画像及び/又は機器情報を確認しながら、正当な情報機器5であるか否かを決定することができる。よって、実施形態2に係るネットワークシステム1は、様々な情報機器5が混在した内部ネットワーク3であっても、内部ネットワーク3のセキュリティを更に容易に強化することができる。
【0078】
なお、実施形態2に係る管理部20は、接続を検知された未知の情報機器XがHTIPに対応した情報機器5の場合であっても、HTIPに非対応の情報機器5の場合と同様に、外部ネットワーク2の検索システムの検索結果に基づいて、マップ情報を作成してよい。
【0079】
[その他]上述の実施形態において、ネットワークシステム1は、特許請求の範囲に記載された「ネットワークシステム」の一例に該当する。外部ネットワーク2は、特許請求の範囲に記載された「外部ネットワーク」の一例に該当する。内部ネットワーク3は、特許請求の範囲に記載された「内部ネットワーク」の一例に該当する。情報機器5は、特許請求の範囲に記載された「情報機器」の一例に該当する。管理部20は、特許請求の範囲に記載された「管理部」の一例に該当する。
【0080】
上述の実施形態は、変形例を含めて各実施形態同士で互いの技術を適用し得ることは、当業者には明らかであろう。
【0081】
上述の説明は、制限ではなく単なる例示を意図している。従って、特許請求の範囲を逸脱することなく本発明の実施形態に変更を加えることができることは、当業者には明らかであろう。
【0082】
本明細書及び特許請求の範囲で使用される用語は、限定的でない用語として解釈されるべきである。例えば、「含む」という用語は、「含むものとして記載されたものに限定されない」と解釈されるべきである。「備える」という用語は、「備えるものとして記載されたものに限定されない」と解釈されるべきである。「有する」という用語は、「有するものとして記載されたものに限定されない」と解釈されるべきである。
【符号の説明】
【0083】
1 ネットワークシステム2 外部ネットワーク
3 内部ネットワーク
5 情報機器
10 ゲートウェイ
11 ネットワーク機器
12 エンド端末
13 エンド端末
14 エンド端末
15 エンド端末
20 管理部
21 接続検知部
22 情報収集部
23 機器判断部
24 接続構成特定部
25 マップ情報作成部
26 警告情報作成部
27 認証要求作成部
28 情報通知部
29 アクセス可否判断部
30 情報登録部
【手続補正書】
【提出日】2018年4月18日
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
予め付与された自身の識別情報及び機器情報を含む所定情報を所定プロトコルに準じて送信し、外部ネットワークと繋がる内部ネットワークに含まれる情報機器と、
前記内部ネットワークを監視し、前記所定プロトコルに準じて前記情報機器から前記所定情報を収集する管理部と、
を備え、
前記管理部は、
未知の情報機器から前記所定情報を収集し、
収集された前記所定情報に基づいて、前記未知の情報機器に対する認証要求をユーザに通知し、
前記認証要求に対するユーザからの応答に応じて、前記未知の情報機器が前記内部ネットワークへアクセスすることの可否を判断する、
ネットワークシステム。
前記内部ネットワークを監視し、前記所定プロトコルに準じて前記情報機器から前記所定情報を収集する管理部と、
を備え、
前記管理部は、
未知の情報機器から前記所定情報を収集し、
収集された前記所定情報に基づいて、前記未知の情報機器に対する認証要求をユーザに通知し、
前記認証要求に対するユーザからの応答に応じて、前記未知の情報機器が前記内部ネットワークへアクセスすることの可否を判断する、
ネットワークシステム。
【請求項2】
前記管理部は、
収集された前記所定情報に基づいて、前記内部ネットワークの接続構成をユーザが視認可能なマップ情報を作成し、
作成された前記マップ情報を前記認証要求に含めてユーザに通知する、
請求項1に記載のネットワークシステム。
収集された前記所定情報に基づいて、前記内部ネットワークの接続構成をユーザが視認可能なマップ情報を作成し、
作成された前記マップ情報を前記認証要求に含めてユーザに通知する、
請求項1に記載のネットワークシステム。
【請求項3】
前記管理部は、
前記未知の情報機器が前記所定プロトコルに対応した情報機器である場合、既に前記内部ネットワークに接続された前記情報機器から送信された前記機器情報と、前記未知の情報機器から送信された前記機器情報とに基づいて、前記マップ情報を作成し、
作成された前記マップ情報を前記認証要求に含めてユーザに通知する、
請求項2に記載のネットワークシステム。
前記未知の情報機器が前記所定プロトコルに対応した情報機器である場合、既に前記内部ネットワークに接続された前記情報機器から送信された前記機器情報と、前記未知の情報機器から送信された前記機器情報とに基づいて、前記マップ情報を作成し、
作成された前記マップ情報を前記認証要求に含めてユーザに通知する、
請求項2に記載のネットワークシステム。
【請求項4】
前記管理部は、
前記未知の情報機器が前記所定プロトコルに非対応の情報機器である場合、前記未知の情報機器から送信された前記識別情報を含む警告情報を作成し、
作成された前記警告情報を前記認証要求に含めてユーザに通知する、
請求項3に記載のネットワークシステム。
前記未知の情報機器が前記所定プロトコルに非対応の情報機器である場合、前記未知の情報機器から送信された前記識別情報を含む警告情報を作成し、
作成された前記警告情報を前記認証要求に含めてユーザに通知する、
請求項3に記載のネットワークシステム。
【請求項5】
前記管理部は、前記未知の情報機器から送信された前記識別情報を用いて、前記未知の情報機器を前記外部ネットワークの検索システムにて検索し、検索結果に基づいて、前記マップ情報を作成する、
請求項2乃至4の何れか一項に記載のネットワークシステム。
請求項2乃至4の何れか一項に記載のネットワークシステム。
【請求項6】
前記内部ネットワークは、ホームネットワークであり、
前記所定プロトコルは、HTIP(Home-network Topology Identifying Protocol)であり、
前記機器情報は、前記情報機器の区分、メーカ名、機種名及び型番を示す情報であり、
前記識別情報は、MAC(Media Access Control)アドレスである、
請求項1乃至5の何れか一項に記載のネットワークシステム。
前記所定プロトコルは、HTIP(Home-network Topology Identifying Protocol)であり、
前記機器情報は、前記情報機器の区分、メーカ名、機種名及び型番を示す情報であり、
前記識別情報は、MAC(Media Access Control)アドレスである、
請求項1乃至5の何れか一項に記載のネットワークシステム。
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】0008
【補正方法】変更
【補正の内容】
【0008】
本発明の一つの観点に係るネットワークシステムは、予め付与された自身の識別情報及び機器情報を含む所定情報を所定プロトコルに準じて送信し、外部ネットワークと繋がる内部ネットワークに含まれる情報機器と、前記内部ネットワークを監視し、前記所定プロトコルに準じて前記情報機器から前記所定情報を収集する管理部と、を備え、前記管理部は、未知の情報機器から前記所定情報を収集し、収集された前記所定情報に基づいて、前記未知の情報機器に対する認証要求をユーザに通知し、前記認証要求に対するユーザからの応答に応じて、前記未知の情報機器が前記内部ネットワークへアクセスすることの可否を判断する。