家庭网络系统

1.一种家庭网络系统，包括属于内部网络的第2网络，该第2 网络连接在属于外部网络的第1网络上，其特征在于包括：
检测装置，用于检测上述第1网络和上述第2网络间的访问方向；
存储装置，用于存储进行认证处理时所需要的信息；
认证装置，用于当上述检测装置检测出从上述第1网络向上述第 2网络方向的访问时，根据由上述存储装置所存储的信息，进行认证 处理，而当上述检测装置检测出从上述第2网络向上述第1网络方向 的访问时，略去认证处理；以及
控制装置，用于根据上述认证装置的认证结果，控制从上述第1 网络向上述第2网络的访问连接。
2.如权利要求1所述的家庭网络系统，其特征在于：
当上述检测装置检测出从上述第2网络向上述第1网络方向的访 问时，上述认证装置不进行认证处理。
3.如权利要求1所述的家庭网络系统，其特征在于：
上述控制装置利用VPN控制连接。
4.如权利要求1所述的家庭网络系统，其特征在于：
上述第2网络由多个居住空间中的各个网络构成。
5.如权利要求4所述的家庭网络系统，其特征在于：
上述多个居住空间中的各个网络包括以太网或IEEE1394总线。
6.如权利要求1所述的家庭网络系统，其特征在于：
上述认证装置利用从无线移动机器的电话号码或机器ID进行上 述认证处理。
7.如权利要求1所述的家庭网络系统，其特征在于：
上述存储装置还存储将从上述第1网络来的信息向上述第2网络 的各居住空间节点推进式分配时所需要的信息。
8.如权利要求7所述的家庭网络系统，其特征在于：
上述推进式分配的信息包括广告信息、行政信息、灾害信息、及 紧急信息。
9.一种家庭网络系统的连接控制方法，该家庭网络系统包括属 于内部网络的第2网络，该第2网络连接在属于外部网络的第1网络 上，其特征在于：
检测出上述第1网络和上述第2网络间的访问方向；
预先存储进行认证处理时所需要的信息；
当检测出从上述第1网络向上述第2网络方向的访问时，根据所 存储步骤中存储的信息进行认证处理，而当检测出从上述第2网络向 上述第1网络方向的访问时略去认证处理；
根据认证结果，控制从上述第1网络向上述第2网络的访问连接。

技术领域\n本发明涉及一种家庭网络系统。\n背景技术\n以前由于从一般家庭对公共网络常时连接的情况少，所以很少意 识到网络安全性。\n以前企业等的网络安全性是采用防火墙等进行的。\n对防火墙设置、运用、维修时需要很多专门知识，这在一般家庭 使用事实上是不可能的。\n一般家庭当不设置防火墙，常时连接在公共网络时，由于第3者 容易侵入家庭内网络，所以有可能使密码、信用卡ID、电子商务(EC) 的ID等机密信息被盗用。\n一般家庭即使通过路由器这时与公共网络连接时，虽然可以进行 过滤，但是有时当需要另外进行个人认证等时，为了构筑认证系统而需 要专门知识，所以在一般家庭中利用事实上是不可能的。\n当通过便携机器等从户外对户内网络机器进行访问时，由于没有 认证系统，所以在安全性上无法进行防止犯罪等安全系统的远程操作及 从户内服务器进行数据下载等。\n使用VoIP(Voice over IP)的网络电话除了在企业内使用等外， 通常只呼叫连接服务器上所连接的对方，不会呼叫像一般电话系统中由 电话号码呼叫那样不在连接状态的网络电话。\n现在，当常时连接在像因特网那样的公共网络上时，为了保证安 全性，而通过路由器等连接装置进行过滤及连接的控制，或者设置大规 模的防火墙等，但是这时由于单个网络内的机器被隐蔽，所以在每个机 器上接收压入(push)型的信息分配，需要网络知识，一般是困难的。\n发明内容\n本发明鉴于这种情况，即使没有专门知识的一般用户也可以简单 可靠地保持安全性，与外部进行通信。\n本发明的一种家庭网络系统，包括属于内部网络的第2网络，该 第2网络连接在属于外部网络的第1网络上，其特征在于包括：检测装 置，用于检测上述第1网络和上述第2网络间的访问方向；存储装置， 用于存储进行认证处理时所需要的信息；认证装置，用于当上述检测装 置检测出从上述第1网络向上述第2网络方向的访问时，根据由上述存 储装置所存储的信息，进行认证处理，而当上述检测装置检测出从上述 第2网络向上述第1网络方向的访问时，略去认证处理；以及控制装置， 用于根据上述认证装置的认证结果，控制从上述第1网络向上述第2网 络的访问连接。\n当通过检测装置检测出从第2网络向第1网络方向的访问时，上 述认证装置可以不进行认证处理。\n上述控制装置可以利用VPN控制连接。\n上述第2网络可以由多个居住空间中的各个网络构成。\n上述多个居住空间的各个网络可以包括以太网或IEEE1394。\n上述认证装置可以利用从无线移动机器发出的电话号码或机器ID 进行认证处理。\n上述存储装置还可以存储将第1网络来的信息向第2网络推进式 分配时所需要的信息。\n上述推进式分配的信息可以包括广告信息、行政信息、灾害信息、 及紧急信息。\n本发明的一种家庭网络系统的连接控制方法，该家庭网络系统包 括属于内部网络的第2网络，该第2网络连接在属于外部网络的第1网 络上，其特征在于：检测出上述第1网络和上述第2网络间的访问方向； 预先存储进行认证处理时所需要的信息；当检测出从上述第1网络向上 述第2网络方向的访问时，根据所存储步骤中存储的信息进行认证处理， 而当检测出从上述第2网络向上述第1网络方向的访问时略去认证处 理；根据认证结果，控制从上述第1网络向上述第2网络的访问连接。\n本发明的网络系统供家庭内的各种机器通过网络相互连接，以及 在物理层、协议不同的网络之间通过桥(Bridge)等的利用，可以相互 进行通信。\n通过路由器等可进行通信数据的路由、过滤的机器，可以与外部 网络进行常时连接。\n通过在上述机器上附加的连接控制的机器，可以实现与外部网络 进行常时连接。\n通过上述机器对外部来的连接进行控制，并使用VPN等技术，可 以具有使从可信赖的机器来的连接有效的功能。\n本发明的共用区域网络构成了多个住宅(包括公寓大楼、公共住 宅等)、或住宅地集中的网络。本发明的广域共用网络是集中了多个共 用区域网络而构成的网络。\n具有存储信息分配镜像服务器、广告分配服务器等进行各种服务 的服务器，此外还具有维持安全性的安全服务器。\n本发明的广域共用网络，安全服务器使用VPN等技术对从公共网 络来的连接进行用户认证等，连接在成为目标的用户住宅内网络的路由 器、网关等上。\n本发明的广域共用网络当使用移动电话机器及PDA等经过公共网 络连接时，将电话号码等识别代码及各种ID传送给安全服务器，在用 户认证中利用。\n本发明的广域共用网络在有共用区域网络等范围的网络内，安全 服务器监视信息传输量及路由器等连接装置的状况，保留记录，发生问 题时进行报警及分析等，确保安全性。\n附图说明\n图1是表示使用本发明的系统构成的方框图。\n图2是表示使用本发明的住宅内网络构成的方框图。\n图3是表示使用本发明的住宅内网络构成的方框图。\n图4是说明安全服务器连接处理的流程图。\n图5是说明路由器访问处理的流程图。\n图6是表示使用本发明的广域共用网络构成的方框图。\n图7是说明通信步骤的图。\n具体实施方式\n图1是表示使用本发明的系统基本构成图。\n在图1的构成中，代表因特网的公共网络1和分配存储信息等的 分配服务器2通过路径N101、N102进行连接，公共网络1和移动电话 机、PDA(Personal Digital Assistants)等无线电移动机器经过载波的 网关(Gate Way)4，通过路径N141、N142、N151、N152进行连接。\n作为内部网络的共用区域网络5-1包括由住宅地及公寓大楼等集 体住宅等依存于地理形态的网络构成的情况、及由ISP(Intenet Ser Vice Provider)等不依存于地理的网络形态构成的情况。\n在共用区域网络5-1中设置为维持安全性的安全服务器11-1、 为保持认证数据及对各住宅进行访问的轮廓等的数据库12-1、为向共 用区域网络5-1内高质量分配各种存储信息的分配镜像服务器13-1 等。\n信息分配镜像服务器13-1在对从信息分配服务器2向共用区域 网络5内所分配存储信息进行快速存储的同时，进行镜像环状存储。\n根据到共用区域网络5-1的线路状况，有时在共用区域网络5-1 内不需要信息分配镜像服务器13-1。\n安全服务器11-1从作为外部网络的公共网络1对经过路线N42 向共用区域网络5-1内的访问，通过使访问的机器ID(固有ID及电 话号码等)及密码等与数据库12-1的数据进行对照，认证是否可以访 问。\n在图1的例子中，与共用区域网络5-1同样构成的共用区域网络 5-2，也连接在公共网络1中。\n从住宅内向经过公共网络1向信息分配服务器2的访问，例如是 从住宅21-1经过路径N2向公共网络1、再从公共网络1经过路径N101 进行扩展连接。即，从共用区域网络5-1向外部的访问实质上不使用 安全服务器11(即使使用，认证处理等实质上也是直达的)。\n这时，例如，如果TCP/IP(Transmissin Control Protocol/Internet Protocol)就在最初的分组中SYN位置位，而ACK位被复位。\n从信息分配服务器2的返回信息是从信息分配服务器2经过路径 N102向公共网络1，再从公共网络1经过路径N3向住宅21-1进行的。\n这时，例如在TCP/IP中，SYN位置位，ACK位被置位。\n此后，在建立连接的通信中ACK位置位。\n当从住宅21-1未开始通信时，首先在从公共网络1向住宅21-1 的路径N3上开始通信，并在最初的分组中SYN位置位，而ACK位复 位。\n住宅21-1通过路由器61(下述的图2)，根据ACK位复位的最 初分组的传输方向(目标地址)，可以判断是从住宅21-1开始通信， 还是从公共网络1开始。\n住宅21-1当以通过路由器61判断是从公共网络1的访问时，通 过拒绝连接可以拒绝从公共网络1的进入。\n当正规的用户从住宅21-1的外部经过公共网络1对住宅21-1 进行访问时，例如从移动电话机、PDA等无线移动机器3经过路径N152， 对载波网关4最初进行载波通信，并确保线路。\n接着进行由载波网关4向公共网络1通信的协议变换处理，经过 路径N141对公共网络1、再经过路径N42对安全服务器11-1展开连 接。\n如上所述，安全服务器11-1根据无线移动机器3的机器ID及密 码等进行认证，当对认证成功时，根据数据库12-1的轮廓，通过路径 N9使用VPN(Virtual Private Network)等技术，连接到目的地例如住 宅21-1上。\n住宅21-1(路由器61)只在从可以信赖的安全服务器11-1使用 VPN等技术连接时才允许连接，确立由这个路径N9的连接。\n根据上述可以实现从外部对住宅21-1的连接。\n推进式信息分配从信息分配服务器2经过路径N102、公共网络1、 路径N42传输给安全服务器11-1。\n安全服务器11-1判断是否应从数据库12-1中登录的信息进行分 配，如果是应进行信息分配，则以分配信息、或数据库12-1的登录信 息为基础，对住宅内的机器使用VPN等技术进行分配。这样，就可以 对区域相关型广告、行政信息、紧急信息、及灾害信息等推进式信息分 配。为此，在数据库12-1中预先登录有为判断是否容许这种推进式信 息分配的必要信息。\n在共用区域网5-1内，基本上例如在住宅21-1与住宅22-1之 间不能进行通信的连接。\n因此，各住宅(路由器61)与公共网络1之间的通信一样，对于 外部通信也需要拒绝从路径N12(住宅21和住宅22间的通信)、路径 N11(住宅21-1和住宅23-1间的通信)那样的同一共用区域网络5 -1内的住宅来的连接。\n但是，例如住宅22-1和住宅23-1当相互指定为在紧急时的连 络对象时，从住宅22-1对安全服务器11-1发送紧急信息，安全服务 器11-1以数据库12-1中所登录的信息为基础，使用VPN等技术与 住宅23-1相连接，将紧急信息推进式分配给指定机器。\n这样，可以在共用区域网络5-1内进行紧急时的相互援助。\n图2表示构成图1的共用区域网络5-1、5-2的住宅内网络的基 本构成。\n作为住宅内的网络，例如路径N21与公共网络1、及安全服务器 11-1间的连接，通过路由器61由路径N20进行。\n路由器61具有由地址、端口、输入输出等条件构成的基本过滤功 能，安装如上所述中说明的过滤功能、只接受从可以信赖的特定机器(图 1的例中为安全服务器11-1)来的连接请求的功能、VPN等的通道功 能。\n路由器61此外在对应于地址、端口变换功能、流动时，还具有 Qos(Quality of Vervice)功能，必要时具有HUB功能，DNS(Domain Name System)、DHCP(Dynamic Host Configuration Protocol)等设 备发现功能。\n路径N21是住宅内的骨干高速网络，例如使用以太网(Ethernet) 等。\n在作为该高速网络的路径N21中具有VoIP功能，经过网络可连接： 可进行通信的电话机(TEL)62、对信息流及数据进行记录、再生、再 分配等的服务器(Server)63、在磁带媒体及磁盘媒体等上进行信息流 及数据记录、再生、再分配等的录像机(VCR)64、对流动音响及网络 声音广播进行接收、或进行再分配等的音响设备(Audio)65、对应于 网络比赛游戏等的游戏机(Game)66、接收影像存储信息及数字广播、 流动广播等显示影像的数字电视接收机(DTV)67、以及个人计算机 (PC)68等。\n路径N22是在住宅内的低速网络，连接有防止犯罪、火灾等的安 全性传感器71、供热水、照明、供电等的住宅设备机器72、进行锁门 等调节器机器控制的调节器控制器73等。\n这些机器由作为高速网络的路径N21和桥(Bridge)70连接，协 议变换、物理媒体变换等由桥70进行。\n图3表示构成图1的共用区域网络5-1、5-2的住宅内网络的另 一构成例，在该例中，在图2的网络上还连接例如在IEEE1394等的规 定区域特定的网络。\n路径N33例如是由IEEE1394构成的Av系统的网络，路径N31 是与路径N21同样的住宅内骨干网，例如是以太网。\n路径N33通过桥91与路径N31连接，桥91进行路径33和路径 N31间的协议变换、物体媒体变换等。\n通过采用经过这种桥连接各种网络的构成，住宅内网络可以灵活 地对应最新的技术。\n归纳安全服务11-1中的连接处理，如图4的流程图所示。即，安 全服务器11-1在步骤S11中检测访问的方向。即，检测是从共用区域 网络5-1向公共网络1方向的访问(从内部向外部的访问)，还是仅仅 从公共网络1向共用区域网络5-1的访问(从外部向内部的访问)。在 步骤S12中，安全服务器11-1判断步骤S11上的检测结果是否是从外 部向内部的访问。在是从外部向内部的访问时，进入步骤S13，安全服 务器11-1如上所述进行认证处理。该认证处理如上所述例如在利用从 无线移动机器3取得的电话号码及机器ID等的同时，可利用数据库12 -1中登录的信息。\n在步骤S14上，安全服务器11-1判断认证结果是否OK，如果认 证结果是OK，则进入步骤S15，执行连接处理。即，安全服务器11-1 执行将经过公共网络1访问的外部机器，连接到住宅21-1的机器上的 处理。该处理对应于经过路径N42、N9的处理。\n对此，在步骤S12上当未得到认证OK的结果时，进入步骤S16， 安全服务器11-1执行拒绝连接的处理。\n在步骤S12上当判断不是从外部向内部的访问时(判断是从内部 向外部的访问时)，安全服务器11-1跳过步骤S13的处理，进入步骤 S15，立即执行连接处理。该处理对应于经过路径N2的处理。\n归纳路由器61的访问处理，如图5的流程图所示。\n即，在步骤S31上，路由器61判断是否进行访问。当不是接受访 问而是进行访问时，进入步骤S32，路由器61判断是否是向外部的访 问。当是向外部的访问时，进入步骤S33，路由器61执行访问。该处 理例如对应于经过路径N2的访问。\n在步骤S32上，当判断不是向外部的访问时(当判断是向内部的 访问时)，进入步骤S34，路由器61执行拒绝访问的处理。该处理例如 对应于路径N11的访问。\n在步骤S31上，当判断不是进行访问时(判断是接受访问时)，进 入步骤S35，路由器61判断是否是从安全服务器11-1来的访问。当是 从安全服务器11-1来的访问时，进入步骤S36，路由器61执行接受访 问的处理。该访问例如对应于经过路径N42和路径N9的访问。\n对此，在步骤S35上，当判断不是从安全服务器11-1来的访问 时，进入步骤S37，路由器61执行拒绝访问的处理。例如该访问对应 于经过路径N3的访问。\n图6是表示内部网络由更广的网络广域共用网络111构成时的例 子。广域共用网络111由多个共用区域网5-1至5-n构成，各共用区 域网络5-1至5-n共用数据库12、安全服务器11、及信息分配镜像 服务器13。\n图7是为了可以利用经过VoIP等网络利用实际使用的电话机，在 构成中采用了电话号码变换路由服务器121的例子。\nVoIP通常通过指定IP地址进行呼叫，确定通信路线，但是由于 IP地址很难记住，不是一般的，而且IP地址本身随着连接形式而变化， 所以可利用ITU-TE.164等。\n在图7中，当从住宅21-1的VoIP电话机66利用电话号码对住 宅23-1进行呼叫时，经过路径N52、公共网络1、路径N561，可进行 对电话号码变换路由服务器121进行建立的通信。\n电话号码变换路由服务器121根据数据库122中所登录的信息， 将电话号码变换成IP地址，经过路径N562、公共网络1、路径N552、 安全服务器11-1、路径N510，连接到住宅23-1的VoIP电话机上。\n这时，安全服务器11-1从数据库12-1中取出有关住宅23-1 内的VoIP电话机的信息，而安全服务器11-1以住宅23-1的VoIP电 话机的代理人(Proxy)进行应答。\n在IP地址变化的环境，在电话号码变换路由服务器121中需要具 有从VoIP电话机及代理人将电话号码及与其对应的IP地址登录进行动 态更新的装置。\n这样，在每个作为内部网络的共用区域网络5及广域共用网络111 中设置安全服务器11、数据库12、信息分配镜像13，在各住宅中不需 要专门的知识就可以确保安全性，并总是可以与外部网络进行连接。\n这样，本发明可以适用于提供以下服务的情况。\n(1)安全性系列服务\n信息：在各家庭不必设置防火墙的网络安全服务\n防止犯罪：当检测出防止犯罪的异常情况时，对指定连络目的 地、以及共用区域内的派出所、警察局等进行自动通知的服务\n安全：在紧急情况时(煤气泄漏、火灾、急病等)通知附近的 指定家庭的地域相互援助服务。\n(2)从住宅外的访问服务\n从住宅外的移动电话机、PDA等向自家的安全连接服务\n(3)VoIP电话服务\n通过电话号码-IP地址变换和安全服务器的代理人可以进行由 电话号码的呼叫，使VoIP更容易利用的网络型电话服务\n(4)广告分配服务\n利用共用区域网络内的信息分配镜像服务器的区域相关型的推 进式广告分配服务\n(5)行政等信息服务\n行政信息的分配、紧急报警、注意事项等灾害信息的推进式信 息分配服务\n产业上利用可能性\n即使从一般家庭对因特网等公共网络常时连接的情况下，用户即 使不必意识安全性、且没有专门的知识，也可以利用确保安全性的网络 环境。\n通过提供从住宅外用移动电话机及PDA等向住宅内网络的确保安 全性的访问环境，可以进行户内机器的监视、操作、交往等，可以对应 防止犯罪、安全、急病等的通信、及各种数据的无缝利用。\n通过确定共用区域网络等网络的有效范围，可容易把握状况、状 态，可以使系统稳定工作及确保安全性。\n由于只容许从安全服务器等特定的路径来的连接，所以可以保证 安全性、对路由器等连接机器进行远程设定及维护等。\n与上述的情况一样，也可以确保安全性、对住宅内的网络机器等 的远程维护等。