专利名称:家庭网络系统的制作方法
技术领域:
本发明涉及一种家庭网络系统。
背景技术:
以前由于从一般家庭对公共网络常时连接的情况少,所以很少意识到网络安全性。
以前企业等的网络安全性是采用防火墙等进行的。
对防火墙设置、运用、维修时需要很多专门知识,这在一般家庭使用事实上是不可能的。
一般家庭当不设置防火墙,常时连接在公共网络时,由于第3者容易侵入家庭内网络,所以有可能使密码、信用卡ID、电子商务(EC)的ID等机密信息被盗用。
一般家庭即使通过路由器这时与公共网络连接时,虽然可以进行过滤,但是有时当需要另外进行个人认证等时,为了构筑认证系统而需要专门知识,所以在一般家庭中利用事实上是不可能的。
当通过便携机器等从户外对户内网络机器进行访问时,由于没有认证系统,所以在安全性上无法进行防止犯罪等安全系统的远程操作及从户内服务器进行数据下载等。
使用VoIP(Voice over IP)的网络电话除了在企业内使用等外,通常只呼叫连接服务器上所连接的对方,不会呼叫像一般电话系统中由电话号码呼叫那样不在连接状态的网络电话。
现在,当常时连接在像因特网那样的公共网络上时,为了保证安全性,而通过路由器等连接装置进行过滤及连接的控制,或者设置大规模的防火墙等,但是这时由于单个网络内的机器被隐蔽,所以在每个机器上接收压入(push)型的信息分配,需要网络知识,一般是困难的。
发明内容
本发明鉴于这种情况,即使没有专门知识的一般用户也可以简单可靠地保持安全性,与外部进行通信。
本发明的家庭网络系统,其特征在于包括检测装置,用于检测第1网络和第2网络间的访问方向;存储装置,用于存储进行认证处理时所需要的信息;认证装置,当通过检测装置检测出从第1网络向第2网络的方向的访问时,根据由存储装置所存储的信息,进行认证处理;以及控制装置,根据认证装置的认证结果,控制从第1网络向第2网络访问为基础的连接。
当通过检测装置检测出从第2网络向第1网络方向的访问时,上述认证装置可以不进行认证处理。
上述控制装置可以利用VPN控制连接。
上述第2网络可以由多数居住空间中的各个网络构成。
上述多个居住空间的各个网络可以包括以太网或IEEE1394。
上述认证装置可以利用从无线移动机器发出的电话号码或机器ID进行认证处理。
上述存储装置还可以存储将第1网络来的信息向第2网络进行压入型分配时所需要的信息。
上述压入型分配的信息可以包括广告信息、行政信息、灾害信息、及紧急信息。
本发明的连接控制方法,其特征在于检测第1网络和第2网络间的访问方向;预先存储进行认证处理时所需要的信息;当检测出从第1网络向第2网络方向的访问时,根据所存储的信息进行认证处理;根据认证结果,控制以从第1网络向第2网络的访问为基础的连接。
本发明的网络系统供家庭内的各种机器通过网络相互连接,以及在物理层、协议不同的网络之间通过桥(Bridge)等的利用,可以相互进行通信。
通过路由器等可进行通信数据的路由、过滤的机器,可以与外部网络进行常时连接。
通过在上述机器上附加的连接控制的机器,可以实现与外部网络进行常时连接。
通过上述机器对外部来的连接进行控制,并使用VPN等技术,可以具有使从可信赖的机器来的连接有效的功能。
本发明的共用区域网络构成了多数住宅(包括公寓大楼、公共住宅等)、或住宅地集中的网络。本发明的广域共用网络是集中了多数共用区域网络而构成的网络。
具有存储信息分配镜像服务器、广告分配服务器等进行各种服务的服务器,此外还具有维持安全性的安全服务器。
本发明的广域共用网络,安全服务器使用VPN等技术对从公共网络来的连接进行用户认证等,连接在成为目标的用户住宅内网络的路由器、网关等上。
本发明的广域共用网络当使用移动电话机器及PDA等经过公共网络连接时,将电话号码等识别代码及各种ID传送给安全服务器,在用户认证中利用。
本发明的广域共用网络在有共用区域网络等范围的网络内,安全服务器监视信息传输量及路由器等连接装置的状况,保留记录,发生问题时进行报警及分析等,确保安全性。
图1是表示使用本发明的系统构成的方框图。
图2是表示使用本发明的住宅内网络构成的方框图。
图3是表示使用本发明的住宅内网络构成的方框图。
图4是说明安全服务器连接处理的流程图。
图5是说明路由器访问处理的流程图。
图6是表示使用本发明的广域共用网络构成的方框图。
图7是说明通信步骤的图。
具体实施例方式
图1是表示使用本发明的系统基本构成图。
在图1的构成中,代表因特网的公共网络1和分配存储信息等的分配服务器2通过路径N101、N102进行连接,公共网络1和移动电话机、PDA(Personal Digital Assistants)等无线电移动机器经过载波的网关(Gate Way)4,通过路径N141、N142、N151、N152进行连接。
作为内部网络的共用区域网络5-1包括由住宅地及公寓大楼等集体住宅等依存于地理形态的网络构成的情况、及由ISP(Intenet Ser ViceProvider)等不依存于地理的网络形态构成的情况。
在共用区域网络5-1中设置为维持安全性的安全服务器11-1、为保持认证数据及对各住宅进行访问的轮廓等的数据库12-1、为向共用区域网络5-1内高质量分配各种存储信息的分配镜像服务器13-1等。
信息分配镜像服务器13-1在对从信息分配服务器2向共用区域网络5内所分配存储信息进行快速存储的同时,进行镜像环状存储。
根据到共用区域网络5-1的线路状况,有时在共用区域网络5-1内不需要信息分配镜像服务器13-1。
安全服务器11-1从作为外部网络的公共网络1对经过路线N42向共用区域网络5-1内的访问,通过使访问的机器ID(固有ID及电话号码等)及密码等与数据库12-1的数据进行对照,认证是否可以访问。
在图1的例子中,与共用区域网络5-1同样构成的共用区域网络5-2,也连接在公共网络1中。
从住宅内向经过公共网络1向信息分配服务器2的访问,例如是从住宅21-1经过路径N2向公共网络1、再从公共网络1经过路径N101进行扩展连接。即,从共用区域网络5-1向外部的访问实质上不使用安全服务器11(即使使用,认证处理等实质上也是直达的)。
这时,例如,如果TCP/IP(Transmissin Control Protocol/InternetProtocol)就在最初的分组中SYN位置位,而ACK位被复位。
从信息分配服务器2的返回信息是从信息分配服务器2经过路径N102向公共网络1,再从公共网络1经过路径N3向住宅21-1进行的。
这时,例如在TCP/IP中,SYN位置位,ACK位被置位。
此后,在建立连接的通信中ACK位置位。
当从住宅21-1未开始通信时,首先在从公共网络1向住宅21-1的路径N3上开始通信,并在最初的分组中SYN位置位,而ACK位复位。
住宅21-1通过路由器61(下述的图2),根据ACK位复位的最初分组的传输方向(目标地址),可以判断是从住宅21-1开始通信,还是从公共网络1开始。
住宅21-1当以通过路由器61判断是从公共网络1的访问时,通过拒绝连接可以拒绝从公共网络1的进入。
当正规的用户从住宅21-1的外部经过公共网络1对住宅21-1进行访问时,例如从移动电话机、PDA等无线移动机器3经过路径N152,对载波网关4最初进行载波通信,并确保线路。
接着进行由载波网关4向公共网络1通信的协议变换处理,经过路径N141对公共网络1、再经过路径N42对安全服务器11-1展开连接。
如上所述,安全服务器11-1根据无线移动机器3的机器ID及密码等进行认证,当对认证成功时,根据数据库12-1的轮廓,通过路径N9使用VPN(Virtual Private Network)等技术,连接到目的地例如住宅21-1上。
住宅21-1(路由器61)只在从可以信赖的安全服务器11-1使用VPN等技术连接时才允许连接,确立由这个路径N9的连接。
根据上述可以实现从外部对住宅21-1的连接。
压入型信息分配从信息分配服务器2经过路径N102、公共网络1、路径N42传输给安全服务器11-1。
安全服务器11-1判断是否应从数据库12-1中登录的信息进行分配,如果是应进行信息分配,则以分配信息、或数据库12-1的登录信息为基础,对住宅内的机器使用VPN等技术进行分配。这样,就可以对区域相关型广告、行政信息、紧急信息、及灾害信息等进行压入型信息分配。为此,在数据库12-1中预先登录有为判断是否容许这种压入型信息分配的必要信息。
在共用区域网5-1内,基本上例如在住宅21-1与住宅22-1之间不能进行通信的连接。
因此,各住宅(路由器61)与公共网络1之间的通信一样,对于外部通信也需要拒绝从路径N12(住宅21和住宅22间的通信)、路径N11(住宅21-1和住宅23-1间的通信)那样的同一共用区域网络5-1内的住宅来的连接。
但是,例如住宅22-1和住宅23-1当相互指定为在紧急时的连络对象时,从住宅22-1对安全服务器11-1发送紧急信息,安全服务器11-1以数据库12-1中所登录的信息为基础,使用VPN等技术与住宅23-1相连接,将紧急信息压入型分配给指定机器。
这样,可以在共用区域网络5-1内进行紧急时的相互援助。
图2表示构成图1的共用区域网络5-1、5-2的住宅内网络的基本构成。
作为住宅内的网络,例如路径N21与公共网络1、及安全服务器11-1间的连接,通过路由器61由路径N20进行。
路由器61具有由地址、端口、输入输出等条件构成的基本过滤功能,安装如上所述中说明的过滤功能、只接受从可以信赖的特定机器(图1的例中为安全服务器11-1)来的连接请求的功能、VPN等的通道功能。
路由器61此外在对应于地址、端口变换功能、流动时,还具有Qos(Quality of Vervice)功能,必要时具有HUB功能,DNS(Domain NameSystem)、DHCP(Dynamic Host Configuration Protocol)等设备发现功能。
路径N21是住宅内的骨干高速网络,例如使用以太网(Ethernet)等。
在作为该高速网络的路径N21中具有VoIP功能,经过网络可连接可进行通信的电话机(TEL)62、对信息流及数据进行记录、再生、再分配等的服务器(Server)63、在磁带媒体及磁盘媒体等上进行信息流及数据记录、再生、再分配等的录像机(VCR)64、对流动音响及网络声音广播进行接收、或进行再分配等的音响设备(Audio)65、对应于网络比赛游戏等的游戏机(Game)66、接收影像存储信息及数字广播、流动广播等显示影像的数字电视接收机(DTV)67、以及个人计算机(PC)68等。
路径N22是在住宅内的低速网络,连接有防止犯罪、火灾等的安全性传感器71、供热水、照明、供电等的住宅设备机器72、进行锁门等调节器机器控制的调节器控制器73等。
这些机器由作为高速网络的路径N21和桥(Bridge)70连接,协议变换、物理媒体变换等由桥70进行。
图3表示构成图1的共用区域网络5-1、5-2的住宅内网络的另一构成例,在该例中,在图2的网络上还连接例如在IEEE1394等的规定区域特定的网络。
路径N33例如是由IEEE1394构成的Av系统的网络,路径N31是与路径N21同样的住宅内骨干网,例如是以太网。
路径N33通过桥91与路径N31连接,桥91进行路径33和路径N31间的协议变换、物体媒体变换等。
通过采用经过这种桥连接各种网络的构成,住宅内网络可以灵活地对应最新的技术。
归纳安全服务11-1中的连接处理,如图4的流程图所示。即,安全服务器11-1在步骤S11中检测访问的方向。即,检测是从共用区域网络5-1向公共网络1方向的访问(从内部向外部的访问),还是仅仅从公共网络1向共用区域网络5-1的访问(从外部向内部的访问)。在步骤S12中,安全服务器11-1判断步骤S11上的检测结果是否是从外部向内部的访问。在是从外部向内部的访问时,进入步骤S13,安全服务器11-1如上所述进行认证处理。该认证处理如上所述例如在利用从无线移动机器3取得的电话号码及机器ID等的同时,可利用数据库12-1中登录的信息。
在步骤S14上,安全服务器11-1判断认证结果是否OK,如果认证结果是OK,则进入步骤S15,执行连接处理。即,安全服务器11-1执行将经过公共网络1访问的外部机器,连接到住宅21-1的机器上的处理。该处理对应于经过路径N42、N9的处理。
对此,在步骤S12上当未得到认证OK的结果时,进入步骤S16,安全服务器11-1执行拒绝连接的处理。
在步骤S12上当判断不是从外部向内部的访问时(判断是从内部向外部的访问时),安全服务器11-1跳过步骤S13的处理,进入步骤S15,立即执行连接处理。该处理对应于经过路径N2的处理。
归纳路由器61的访问处理,如图5的流程图所示。
即,在步骤S31上,路由器61判断是否进行访问。当不是接受访问而是进行访问时,进入步骤S32,路由器61判断是否是向外部的访问。当是向外部的访问时,进入步骤S33,路由器61执行访问。该处理例如对应于经过路径N2的访问。
在步骤S32上,当判断不是向外部的访问时(当判断是向内部的访问时),进入步骤S34,路由器61执行拒绝访问的处理。该处理例如对应于路径N11的访问。
在步骤S31上,当判断不是进行访问时(判断是接受访问时),进入步骤S35,路由器61判断是否是从安全服务器11-1来的访问。当是从安全服务器11-1来的访问时,进入步骤S36,路由器61执行接受访问的处理。该访问例如对应于经过路径N42和路径N9的访问。
对此,在步骤S35上,当判断不是从安全服务器11-1来的访问时,进入步骤S37,路由器61执行拒绝访问的处理。例如该访问对应于经过路径N3的访问。
图6是表示内部网络由更广的网络广域共用网络111构成时的例子。广域共用网络111由多数共用区域网5-1至5-n构成,各共用区域网络5-1至5-n共用数据库12、安全服务器11、及信息分配镜像服务器13。
图7是为了可以利用经过VoIP等网络利用实际使用的电话机,在构成中采用了电话号码变换路由服务器121的例子。
VoIP通常通过指定IP地址进行呼叫,确定通信路线,但是由于IP地址很难记住,不是一般的,而且IP地址本身随着连接形式而变化,所以可利用ITU-TE.164等。
在图7中,当从住宅21-1的VoIP电话机66利用电话号码对住宅23-1进行呼叫时,经过路径N52、公共网络1、路径N561,可进行对电话号码变换路由服务器121进行建立的通信。
电话号码变换路由服务器121根据数据库122中所登录的信息,将电话号码变换成IP地址,经过路径N562、公共网络1、路径N552、安全服务器11-1、路径N510,连接到住宅23-1的VoIP电话机上。
这时,安全服务器11-1从数据库12-1中取出有关住宅23-1内的VoIP电话机的信息,而安全服务器11-1以住宅23-1的VoIP电话机的代理人(Proxy)进行应答。
在IP地址变化的环境,在电话号码变换路由服务器121中需要具有从VoIP电话机及代理人将电话号码及与其对应的IP地址登录进行动态更新的装置。
这样,在每个作为内部网络的共用区域网络5及广域共用网络111中设置安全服务器11、数据库12、信息分配镜像13,在各住宅中不需要专门的知识就可以确保安全性,并总是可以与外部网络进行连接。
这样,本发明可以适用于提供以下服务的情况。
(1)安全性系列服务信息在各家庭不必设置防火墙的网络安全服务防止犯罪当检测出防止犯罪的异常情况时,对指定连络目的地、以及共用区域内的派出所、警察局等进行自动通知的服务安全在紧急情况时(煤气泄漏、火灾、急病等)通知附近的指定家庭的地域相互援助服务。
(2)从住宅外的访问服务从住宅外的移动电话机、PDA等向自家的安全连接服务(3)VoIP电话服务通过电话号码-IP地址变换和安全服务器的代理人可以进行由电话号码的呼叫,使VoIP更容易利用的网络型电话服务(4)广告分配服务利用共用区域网络内的信息分配镜像服务器的区域相关型的压入型广告分配服务(5)行政等信息服务行政信息的分配、紧急报警、注意事项等灾害信息的压入型信息分配服务产业上利用可能性即使从一般家庭对因特网等公共网络常时连接的情况下,用户即使不必意识安全性、且没有专门的知识,也可以利用确保安全性的网络环境。
通过提供从住宅外用移动电话机及PDA等向住宅内网络的确保安全性的访问环境,可以进行户内机器的监视、操作、交往等,可以对应防止犯罪、安全、急病等的通信、及各种数据的无缝利用。
通过确定共用区域网络等网络的有效范围,可容易把握状况、状态,可以使系统稳定工作及确保安全性。
由于只容许从安全服务器等特定的路径来的连接,所以可以保证安全性、对路由器等连接机器进行远程设定及维护等。
与上述的情况一样,也可以确保安全性、对住宅内的网络机器等的远程维护等。
权利要求
1.一种家庭网络系统,包括连接在外部第1网络上的内部第2网络,其特征在于包括检测装置,用于检测上述第1网络和上述第2网络间的访问方向;存储装置,用于存储进行认证处理时所需要的信息;认证装置,当通过检测装置检测出从上述第1网络向上述第2网络方向的访问时,根据由上述存储装置所存储的信息,进行认证处理;以及控制装置,根据上述存储装置的认证结果,根据从上述第1网络向上述第2网络访问控制连接。
2.如权利要求1所述的家庭网络系统,其特征在于通过上述检测装置检测出从上述第2网络向上述第1网络方向的访问时,上述存储装置不进行认证处理。
3.如权利要求1所述的家庭网络系统,其特征在于上述控制装置利用VPN控制连接。
4.如权利要求1所述的家庭网络系统,其特征在于上述第2网络在多数居住空间中由各个网络构成。
5.如权利要求4所述的家庭网络系统,其特征在于上述多数居住空间中的各个网络包括以太网或IEEE1394。
6.如权利要求1所述的家庭网络系统,其特征在于上述认证装置利用从无线移动机器的电话号码或机器ID进行上述认证处理。
7.如权利要求1所述的家庭网络系统,其特征在于上述存储装置还要存储将从上述第1网络来的信息向上述第2网络进行压入型分配时所需要的信息。
8.如权利要求7所述的家庭网络系统,其特征在于上述压入型分配的信息包括广告信息、行政信息、灾害信息、及紧急信息。
9.一种家庭网络的连接控制方法,包括连接在外部第1网络上的第2网络,其特征在于检测出上述第1网络和上述第2网络间的访问方向;预先存储进行认证处理时所需要的信息;当检测出从上述第1网络向上述第2网络方向的访问时,根据所存储的信息进行认证处理;根据认证结果,按照从上述第1网络向上述第2网络的访问控制连接。
全文摘要
即使用户设有专门的知识,也能构成一个保证安全的共用的家庭网络。通过路径(N2),不需要由安全服务(11-1)认证,就能从公用区域网中的家庭(21-1)访问到外部的公众网络(1)。家庭(21-1)中的装置和机器拒绝通过路径(N3)对来自公众网(1)的直接访问。当通过路径(42)形成来自公众网的访问时,安全服务器执行认证处理。如果获得正确的认证结果,就允许通过路径(N9)访问到家庭(21-1)。
文档编号H04L29/06GK1392982SQ01802919
公开日2003年1月22日 申请日期2001年9月27日 优先权日2000年9月27日
发明者小林信司 申请人:索尼株式会社