JP5784059B2 - Communication control method, local device, information processing terminal, communication path establishment support device, and program - Google Patents
Communication control method, local device, information processing terminal, communication path establishment support device, and program Download PDFInfo
- Publication number
- JP5784059B2 JP5784059B2 JP2013064565A JP2013064565A JP5784059B2 JP 5784059 B2 JP5784059 B2 JP 5784059B2 JP 2013064565 A JP2013064565 A JP 2013064565A JP 2013064565 A JP2013064565 A JP 2013064565A JP 5784059 B2 JP5784059 B2 JP 5784059B2
- Authority
- JP
- Japan
- Prior art keywords
- local
- information processing
- processing terminal
- terminal
- local device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、通信制御方法、ローカル装置、情報処理端末、通信経路確立支援装置及びプログラムに関し、特に、ローカルエリアネットワークに接続されたローカル装置と、前記ローカルエリアネットワークとは異なるネットワークに接続する情報処理端末との間の通信経路を確立する通信制御方法等に関する。 The present invention relates to a communication control method, a local device, an information processing terminal, a communication path establishment support device, and a program, and in particular, a local device connected to a local area network and an information processing connected to a network different from the local area network. The present invention relates to a communication control method for establishing a communication path with a terminal.
特許文献1には、送信側端末から受信側端末にデータを転送する際に、送信者及び受信者は、通信支援装置へユーザ登録を行っておき、データは、中継サーバを経由して、送信側端末から受信側端末へと転送されるものが記載されている。
In
特許文献2には、ユーザ端末が、動画利用管理サーバに対してユーザ認証を行い、動画利用管理サーバが動画提供サーバにユーザ登録させておき、ユーザ端末は、動画提供サーバからサービスの提供を受けるものが記載されている。 In Patent Document 2, the user terminal performs user authentication with the video usage management server, the video usage management server registers the user with the video providing server, and the user terminal receives a service provided from the video providing server. Things are listed.
特許文献3には、アクセス端末とユーザ宅内装置との間の通信路を、プロキシサーバが中継して確立するものが記載されている。アクセス端末とプロキシサーバ間の通信は、認証機関からのプロキシ証明書により客観的に証明される。プロキシサーバとユーザ宅内装置との間の通信は、ユーザ宅内装置の自己署名によるユーザ証明書により証明する。
特許文献4には、端末の個別IDをサーバに登録しておき、その登録の有無によって、サーバへのアクセスを管理するものが記載されている。 Japanese Patent Laid-Open No. 2004-26883 describes a device in which an individual ID of a terminal is registered in a server, and access to the server is managed based on the presence or absence of the registration.
情報処理端末からサーバへのアクセスを認めるか否かは、特に、ローカルエリアネットワーク(以下、「LAN」ともいう。)におけるサーバ(以下、「ローカルサーバ」という。例えばホームサーバのように、家庭内で構築されたネットワークで用いられ、映像等のコンテンツを情報処理端末に配信するサーバなどである。)において重要である。ローカルサーバは、LANとは異なるネットワークにおける端末(例えば、グローバルネットワークに接続して当該LANとの間で通信経路を確立することが可能な端末や、他のLANに接続し、グローバルエリアネットワークを経由して当該LANとの間で通信経路を確立することが可能な端末など)との間で通信経路を確立してしまうと、当該ローカルサーバそのもののセキュリティが問題となるだけでなく、当該ローカルサーバを経由して当該LANにおける情報処理装置に対してアクセスすることが可能となりうる。そのため、ローカルサーバがLAN外の情報処理端末からのアクセスを認めることは、LANにおける情報処理装置全体にとって、セキュリティ上の問題が生じうることとなる。 Whether or not to allow access from the information processing terminal to the server is particularly determined by a server (hereinafter referred to as “local server”) in a local area network (hereinafter also referred to as “LAN”). This is important in a server that distributes content such as video to an information processing terminal. The local server is a terminal in a network different from the LAN (for example, a terminal that can connect to the global network and establish a communication path with the LAN, or connect to another LAN and pass through the global area network. If a communication path is established with a terminal that can establish a communication path with the LAN, not only the security of the local server itself becomes a problem, but also the local server It is possible to access the information processing apparatus in the LAN via the network. Therefore, allowing the local server to access from an information processing terminal outside the LAN may cause a security problem for the entire information processing apparatus in the LAN.
例えばホームサーバ等では、家庭内などにおける使用が想定されている。サーバ管理者は、素人が想定されており、高度な技能や知識を期待することはできない。そのため、ローカルサーバを管理するためには、ローカルサーバや情報処理端末についての高度な技能や知識が必要なく、かつ、サーバ管理者や情報処理端末の利用者からの指示は簡易にとどめることが望ましい。 For example, a home server or the like is assumed to be used at home. The server administrator is assumed to be an amateur and cannot expect advanced skills and knowledge. Therefore, in order to manage the local server, it is desirable that advanced skills and knowledge about the local server and the information processing terminal are not required, and instructions from the server administrator and the user of the information processing terminal should be kept simple. .
特許文献1記載の技術では、通信支援装置によってセキュリティが確保されており、かつ、データのアクセスは、中継サーバを経由するため、LAN全体のセキュリティも確保されている。しかしながら、送信側端末及び受信側端末が、ユーザ登録をする必要がある。このようなユーザ登録は、一般に、パスワード等を利用する。ユーザは、パスワード等を無くしたり忘れたりすることが多い。そのため、日々の使用において、サーバ管理者及び情報処理端末の利用者に対する負担が大きい。また、中継サーバを経由してデータの送受信が行われるため、中継サーバの負荷が高くなる。さらに、送信側端末は、中継サーバに同じデータが存在する状態にし、かつ、その状態を維持する必要がある。
In the technique described in
特許文献2記載の技術は、動画利用管理サーバが、動画提供サーバに代わってユーザの認証を行う点では、家庭内等の動画提供サーバの管理者に高度な知識・技能を求めるものではない。しかしながら、特許文献2記載の技術も、特許文献1記載の技術と同様に、人に着目したものであり、日々の運用において、情報処理端末の利用者等に対する負担が大きい。さらに、動画提供サーバにおいて、情報処理端末による個々のアクセスの管理ができない。そのため、サーバ管理者による管理の自由度が低くなる。
The technology described in Patent Document 2 does not require advanced knowledge / skills from the administrator of the video providing server in the home or the like in that the video usage management server authenticates the user instead of the video providing server. However, similarly to the technique described in
特許文献3記載の技術は、ハードウエアに着目しており、日々の運用におけるサーバ管理者や情報処理端末の利用者の負担は軽減されている。しかしながら、LAN内のセキュリティは、ユーザ宅内装置の自己署名によって確保されている。そのため、サーバ管理者に対して、高度な知識・技能を要求するものとなる。
The technique described in
特許文献4記載の技術も、特許文献3記載の技術と同様に、ハードウエアに着目するものである。しかしながら、ローカルサーバに登録すれば端末のアクセスが認められてしまうため、ローカルサーバの安全性を確保するためには、サーバ管理者が、ローカルサーバ及び端末に関して一定の知識を有することを前提とする。そのため、サーバ管理者に対して、高度な知識・技能を期待するものとなる。
Similarly to the technique described in
そこで、本願発明は、例えばローカルサーバなどのLAN内のローカル装置について、管理者に高度な知識や技能を必要とせずにセキュリティを確保して、このLANとは異なるネットワークに接続する情報処理端末が、LAN内のローカル装置に接続することを可能とすることに適した通信制御方法等を提案することを目的とする。 Therefore, the present invention provides an information processing terminal that secures security for a local device in a LAN, such as a local server, without requiring a high level of knowledge and skill for an administrator and connects to a network different from this LAN. An object of the present invention is to propose a communication control method suitable for enabling connection to a local device in a LAN.
本願発明の第1の観点は、情報処理端末と、ローカルエリアネットワークに接続されたローカル装置との間の通信経路を確立するか否かを制御する通信制御方法であって、前記ローカルエリアネットワークとは異なるネットワークに接続する認証サーバが備える認証手段が、一つ又は複数の情報処理端末を認証する認証ステップと、前記ローカル装置が備えるローカル登録手段が、前記ローカル装置が備えるローカル機器記憶手段に、前記認証サーバによって認証された一つ又は複数の情報処理端末を登録するローカルレジストレーションステップと、前記ローカルエリアネットワークとは異なるネットワークに接続する情報処理端末が備える端末通信制御手段が、前記ローカル装置に対して通信経路確立要求をした場合に、前記ローカル装置が備えるローカル通信制御手段が、前記ローカル機器記憶手段に当該情報処理端末が登録されているときに、当該情報処理端末と前記ローカル装置との間の通信経路を確立することを許可し、前記ローカル機器記憶手段に当該情報処理端末が登録されていないときに、当該情報処理端末と前記ローカル装置との間の通信経路を確立することを拒否する通信経路確立制御ステップを含むことを特徴とするものである。 A first aspect of the present invention is a communication control method for controlling whether or not a communication path between an information processing terminal and a local device connected to a local area network is established, the local area network An authentication unit provided in an authentication server connected to a different network, an authentication step for authenticating one or a plurality of information processing terminals, a local registration unit provided in the local device, a local device storage unit provided in the local device, A local registration step for registering one or a plurality of information processing terminals authenticated by the authentication server, and a terminal communication control means provided in an information processing terminal connected to a network different from the local area network are provided in the local device. When a communication path establishment request is sent to the local device, A local communication control unit that allows the local device storage unit to establish a communication path between the information processing terminal and the local device when the information processing terminal is registered in the local device storage unit; Including a communication path establishment control step for refusing to establish a communication path between the information processing terminal and the local device when the information processing terminal is not registered in the device storage unit It is.
本願発明の第2の観点は、第1の観点の通信制御方法であって、前記ローカルレジストレーションステップにおいて、前記情報処理端末は、前記ローカルエリアネットワークに接続するものであり、前記ローカル装置が備えるローカル登録手段は、前記ローカルエリアネットワークに接続する前記情報処理端末から当該情報処理端末の識別情報を得て、前記ローカル機器記憶手段に登録するものである。 A second aspect of the present invention is a communication control method according to the first aspect, wherein, in the local registration step, the information processing terminal is connected to the local area network, and the local apparatus includes The local registration means obtains identification information of the information processing terminal from the information processing terminal connected to the local area network and registers it in the local device storage means.
本願発明の第3の観点は、第2の観点の通信制御方法であって、前記認証ステップにおいて、前記認証手段は、前記情報処理端末のそれぞれに対して、デバイス識別情報を付与し、前記ローカルレジストレーションステップにおいて、前記ローカル登録手段は、前記情報処理端末から、当該情報処理端末の識別情報として、前記認証手段から付与されたデバイス識別情報を登録するものである。 A third aspect of the present invention is the communication control method according to the second aspect, wherein, in the authentication step, the authentication means assigns device identification information to each of the information processing terminals, and In the registration step, the local registration unit registers the device identification information given from the authentication unit as identification information of the information processing terminal from the information processing terminal.
本願発明の第4の観点は、第1から第3のいずれかの観点の通信制御方法であって、前記通信経路確立制御ステップにおいて、前記ローカルエリアネットワークとは異なるネットワークに接続する支援手段は、前記情報処理端末が前記ローカルエリアネットワークとは異なるネットワークに接続する状態で前記通信経路確立要求をした場合に、前記情報処理端末が前記認証サーバにより認証されているときに、前記情報処理端末と前記ローカル装置との間で通信経路を確立するためのNAT越えを支援するものである。 A fourth aspect of the present invention is the communication control method according to any one of the first to third aspects, wherein in the communication path establishment control step, the support means for connecting to a network different from the local area network includes: When the information processing terminal is authenticated by the authentication server when the information processing terminal makes the communication path establishment request in a state of being connected to a network different from the local area network, the information processing terminal and the information processing terminal It supports NAT traversal for establishing a communication path with a local device.
本願発明の第5の観点は、第4の観点の通信制御方法であって、前記認証ステップにおいて、前記認証手段は、前記ローカル装置に対して、当該ローカル装置を識別するためのデバイス識別情報を付与して認証し、前記ローカルレジストレーションステップにおいて、前記情報処理端末が備える端末登録手段は、前記ローカル装置のデバイス識別情報を登録し、前記通信経路確立制御ステップにおいて、前記情報処理端末は、前記支援手段に対して、前記ローカル装置のデバイス識別情報を通知し、前記支援手段は、前記ローカル装置のデバイス識別情報を用いて前記ローカル装置へアクセスするための情報を得て、端末通信制御手段に対して、前記ローカル装置を接続先として伝え、前記情報処理端末と前記ローカル装置との間で通信経路を確立するためのNAT越えを支援するものである。 According to a fifth aspect of the present invention, there is provided a communication control method according to the fourth aspect, wherein, in the authentication step, the authentication means provides device identification information for identifying the local device to the local device. In the local registration step, terminal registration means included in the information processing terminal registers device identification information of the local device, and in the communication path establishment control step, the information processing terminal The support unit is notified of the device identification information of the local device, and the support unit obtains information for accessing the local device using the device identification information of the local device, and sends the information to the terminal communication control unit. On the other hand, the local device is communicated as a connection destination, and a communication path between the information processing terminal and the local device It is intended to support the NAT traversal to establish.
本願発明の第6の観点は、ローカルエリアネットワークに接続するローカル装置であって、前記ローカルエリアネットワークとは異なるネットワークに接続する認証サーバが認証した一つ又は複数の情報処理端末を記憶するローカル機器記憶手段と、通信経路確立要求をした情報処理端末との間で通信経路を確立するか否かを制御するローカル通信制御手段を備え、前記ローカル通信制御手段は、前記ローカルエリアネットワークとは異なるネットワークに接続する情報処理端末が備える端末通信制御手段が、当該ローカル装置に対して通信経路確立要求をした場合に、前記ローカル機器記憶手段に当該情報処理端末が登録されていないときに、当該情報処理端末との間で通信経路を確立することを拒否することを特徴とするものである。 A sixth aspect of the present invention is a local device connected to a local area network, which stores one or more information processing terminals authenticated by an authentication server connected to a network different from the local area network. A local communication control unit that controls whether to establish a communication path between the storage unit and the information processing terminal that has requested communication path establishment, and the local communication control unit is a network different from the local area network When the terminal communication control means included in the information processing terminal connected to the local device makes a communication path establishment request to the local device, the information processing terminal is not registered in the local device storage means. It is characterized by refusing to establish a communication path with a terminal.
本願発明の第7の観点は、ローカルエリアネットワークに接続するローカル装置に対して通信経路確立要求をする情報処理端末であって、前記ローカルエリアネットワークとは異なるネットワークに接続する認証サーバに対して、当該情報処理端末の認証要求をする端末認証処理手段と、前記ローカル装置が備えるローカル登録手段に対して、当該情報処理端末の登録要求をする端末ローカルレジストレーション(LR)処理手段と、前記ローカルエリアネットワークとは異なるネットワークに接続する状態で、前記ローカル装置に対して通信経路確立要求をする端末通信制御手段を備えるものである。 A seventh aspect of the present invention is an information processing terminal that makes a communication path establishment request to a local device connected to a local area network, and for an authentication server connected to a network different from the local area network, Terminal authentication processing means for requesting authentication of the information processing terminal; terminal local registration (LR) processing means for requesting registration of the information processing terminal to local registration means included in the local device; and the local area Terminal communication control means for making a communication path establishment request to the local device while connected to a network different from the network is provided.
本願発明の第8の観点は、情報処理端末が、ローカルエリアネットワークに接続するローカル装置との間で通信経路を確立することを支援する通信経路確立支援装置であって、前記情報処理端末が前記ローカルエリアネットワークとは異なるネットワークに接続する状態で前記ローカル装置に対して接続要求をした場合に、前記情報処理端末が、前記ローカルエリアネットワークとは異なるネットワークに接続する認証サーバによって認証されているときに、前記情報処理端末が前記ローカル装置との間で通信経路を確立するためのNAT越えを支援する支援手段を備えるものである。 An eighth aspect of the present invention is a communication path establishment support apparatus that supports an information processing terminal to establish a communication path with a local apparatus connected to a local area network, wherein the information processing terminal When the information processing terminal is authenticated by an authentication server connected to a network different from the local area network when a connection request is made to the local device while connected to a network different from the local area network The information processing terminal further includes support means for supporting NAT traversal for establishing a communication path with the local device.
本願発明の第9の観点は、ローカルエリアネットワークに接続するコンピュータを、ローカル機器記憶手段に対して、前記ローカルエリアネットワークとは異なるネットワークに接続する認証サーバが認証した一つ又は複数の情報処理端末を、前記ローカルエリアネットワークとは異なるネットワークに接続する状態で当該コンピュータとの間で通信経路を確立することが可能な情報処理端末として記憶させるローカル登録手段として機能させるためのプログラムである。 According to a ninth aspect of the present invention, there is provided one or a plurality of information processing terminals in which a computer connected to a local area network is authenticated by an authentication server connected to a network different from the local area network with respect to local device storage means. Is stored as an information processing terminal capable of establishing a communication path with the computer in a state of being connected to a network different from the local area network.
本願発明の第10の観点は、コンピュータを、ローカル装置が接続するローカルエリアネットワークとは異なるネットワークに接続する認証サーバに対して、当該コンピュータの認証要求をする端末認証処理手段と、前記ローカル装置が備えるローカル登録手段に対して、当該コンピュータの登録要求をする端末LR処理手段と、前記ローカルエリアネットワークとは異なるネットワークに接続する状態で、前記ローカル装置に対して通信経路確立要求をする端末通信制御手段として機能させるためのプログラムである。 According to a tenth aspect of the present invention, there is provided terminal authentication processing means for requesting authentication of a computer to an authentication server that connects the computer to a network different from a local area network to which the local device is connected. A terminal LR processing means for requesting registration of the computer to the local registration means, and a terminal communication control for making a communication path establishment request to the local device while connected to a network different from the local area network. It is a program for functioning as a means.
なお、本願発明を、コンピュータを、第8の観点に記載の通信経路確立支援装置として機能させるためのプログラムとして捉えてもよい。また、本願発明を、第9又は第10の観点等に記載のプログラムを定常的に記録するコンピュータ読み取り可能な記録媒体として捉えてもよい。 Note that the present invention may be regarded as a program for causing a computer to function as the communication path establishment support device described in the eighth aspect. Further, the present invention may be regarded as a computer-readable recording medium that regularly records the program described in the ninth or tenth aspect.
本願発明の各観点によれば、ローカル装置と情報処理端末との間の通信経路を、機器に対する認証サーバによる認証を前提として確立する。よって、人に着目せずに機器に着目することから、人に対する負担は軽減される。さらに、機器の安全性は、認証サーバにより、専門家によって管理することが可能である。ローカル装置の管理者は、格別の知識や技能を必要としない。さらに、ローカルレジストレーションとして、ローカル装置の管理者は、情報処理端末ごとに、LAN外からの通信を許可するものを登録する。管理者は、情報処理端末という機器に着目した直観的な操作によって、個々の情報処理端末に対するLAN外からのアクセスの可否を制御することが可能になる。このように、使用者の負担を軽減しつつ、専門家が機器を管理する信頼性だけなく、使用者が直感的に接続の可否を判断することによる信頼性をも確保して、LAN外からのアクセスを管理することが可能になる。 According to each aspect of the present invention, a communication path between a local device and an information processing terminal is established on the premise of authentication by an authentication server for a device. Therefore, since the focus is on the device without focusing on the person, the burden on the person is reduced. Furthermore, the safety of the device can be managed by an expert using the authentication server. The administrator of the local device does not require any special knowledge or skill. Further, as local registration, the administrator of the local device registers information that permits communication from outside the LAN for each information processing terminal. An administrator can control whether or not each information processing terminal can be accessed from outside the LAN by an intuitive operation focusing on a device called an information processing terminal. In this way, while reducing the burden on the user, not only the reliability with which the expert manages the device but also the reliability with which the user intuitively determines whether or not the connection is possible is ensured from outside the LAN. It becomes possible to manage access.
さらに、本願発明の第2の観点によれば、ローカルレジストレーションは、LANに情報処理端末が接続した状態で行う。ローカル装置は、情報処理端末が同じLAN内にあれば、情報処理端末のアドレスを知ることができ、アクセスすることができる。さらに、情報処理端末が、認証サーバによる認証だけでなく、ローカル装置と同じLAN内に接続する必要があり、安全性を確保することが可能になる。 Further, according to the second aspect of the present invention, the local registration is performed in a state where the information processing terminal is connected to the LAN. If the information processing terminal is in the same LAN, the local device can know and access the address of the information processing terminal. Furthermore, it is necessary for the information processing terminal not only to be authenticated by the authentication server but also to be connected to the same LAN as the local device, so that safety can be ensured.
さらに、本願発明の第3の観点によれば、認証サーバによる認証において各情報処理端末に与えられた識別情報を用いることにより、認証サーバによる認証が確実に行われたもののみを登録することが可能となる。 Furthermore, according to the third aspect of the present invention, by using the identification information given to each information processing terminal in the authentication by the authentication server, it is possible to register only those that have been reliably authenticated by the authentication server. It becomes possible.
さらに、本願発明の第4及び第8の観点によれば、通信経路確立支援手段等は、情報処理端末が、認証サーバによって認証されていることを前提に、LAN外からNAT越えを支援する。一般に、NAT越えを実現するためには、LAN外のサーバによることが必要である。認証の有無によりNAT越えを支援するか否かを制御することができ、安全性をさらに確保することが可能になる。 Further, according to the fourth and eighth aspects of the present invention, the communication path establishment support means or the like supports NAT traversal from outside the LAN on the assumption that the information processing terminal is authenticated by the authentication server. Generally, in order to realize NAT traversal, it is necessary to use a server outside the LAN. Whether or not to support NAT traversal can be controlled depending on the presence or absence of authentication, and it is possible to further ensure safety.
さらに、本願発明の第5の観点によれば、ローカル装置も認証サーバによって認証されており、安全性が高まる。さらに、情報処理端末は、認証サーバがローカル装置に対して与えたデバイス識別情報を用いてローカル装置へ接続し、さらに、情報処理端末もローカル装置も共に認証されていることを前提とするため、仮にローカル装置に接続するための情報(エンドポイント)が漏洩した場合でも、LAN内への侵入が困難になる。さらに、サーバ側とクライアント側のアプリケーションソフトを、同様のシステムとして実現することが可能になる。 Furthermore, according to the fifth aspect of the present invention, the local device is also authenticated by the authentication server, and safety is improved. Furthermore, since the information processing terminal is connected to the local device using the device identification information given to the local device by the authentication server, and further assumes that both the information processing terminal and the local device are authenticated. Even if information (endpoint) for connecting to the local device leaks, it becomes difficult to enter the LAN. Furthermore, it is possible to realize the server side and client side application software as a similar system.
以下では、図面を参照して、本願発明の実施例について説明する。なお、本願発明は、この実施例に限定されるものではない。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. The present invention is not limited to this embodiment.
図1は、ローカルレジストレーションが行われる状態のコンテンツ配信システム1の構成の一例を示すブロック図である。図2は、コンテンツを配信する状態のコンテンツ配信システム1の構成の一例を示すブロック図である。
FIG. 1 is a block diagram illustrating an example of the configuration of the
図1及び図2のコンテンツ配信システム1は、情報処理端末5(本願請求項の「情報処理端末」の一例)と、ローカル装置7(本願請求項の「ローカル装置」の一例)と、認証サーバ9(本願請求項の「認証サーバ」の一例)と、NAT越え支援サーバ11(本願請求項の「通信経路確立支援装置」の一例)と、NAT12を備える。
1 and 2 includes an information processing terminal 5 (an example of an “information processing terminal” in the claims of the present application), a local device 7 (an example of the “local device” in the claims of the present application), an authentication server, and the like. 9 (an example of “authentication server” in the claims of the present application), a NAT traversal support server 11 (an example of “communication path establishment support device” in the claims of the present application), and a
情報処理端末5は、端末認証処理部13(本願請求項の「端末認証処理手段」の一例)と、端末認証記憶部15と、端末通信制御部17(本願請求項の「端末通信制御手段」の一例)と、端末登録部19(本願請求項の「端末登録手段」の一例)と、端末機器記憶部21(本願請求項の「端末機器記憶手段」の一例)と、端末LR処理部23(本願請求項の「端末LR処理手段」の一例)と、端末配信処理部25を備える。端末通信制御部17、端末登録部19及び端末機器記憶部21を併せたものが、RAG−CP27である。端末LR処理部23及び端末配信処理部25を併せたものが、DMP29である。
The
ローカル装置7は、ローカル認証処理部31と、ローカル認証記憶部33と、ローカル通信制御部35(本願請求項の「ローカル通信制御手段」の一例)と、ローカル登録部37(本願請求項の「ローカル登録手段」の一例)と、ローカル機器記憶部39(本願請求項の「ローカル機器記憶手段」の一例)と、ローカルLR処理部41と、ローカル配信処理部43を備える。ローカル通信制御部35、ローカル登録部37及びローカル機器記憶部39を併せたものが、RAG−D45である。ローカルLR処理部41及びローカル配信処理部43を併せたものが、DMS47である。
The
認証サーバ9は、認証部49(本願請求項の「認証手段」の一例)を備える。NAT越え支援サーバ11は、STUN50、SIP51(STUN50及びSIP51を併せたものが、本願請求項の「支援手段」の一例)、TURN52を備える。STUN50は、デバイスが位置するNATのタイプと接続可能なグローバルIPアドレス及びマッピングポートの検出を行うものである。SIP51は、RAG間でP2Pトンネルを構築するためのICEメッセージをリレーするものである。TURN52は、P2P通信路が確立不可能な場合に、リレーするものである。
The authentication server 9 includes an authentication unit 49 (an example of “authentication unit” in the claims). The NAT
図1では、情報処理端末5とローカル装置7は、共に、LAN3(本願請求項の「ローカルエリアネットワーク」の一例)の中に存在する。ここで、ある情報処理装置がLAN3の中に存在するとは、当該情報処理装置が、LAN3の中に存在する他の情報処理装置との間で通信をする際に、ネットワーク上の識別情報を変換する必要がないこと(すなわち、例えばインターネットプロトコルでは、NAT12が、IPアドレスのネットワークアドレス変換をする必要がないこと)を意味し、ある情報処理装置がLAN3の中に存在しないとは、当該情報処理装置が、LAN3の中に存在する他の情報処理装置との間で通信をする際に、ネットワーク上の識別情報を変換する必要があること(すなわち、例えばインターネットプロトコルでは、NAT12が、LAN3内のIPアドレスを、外部IPアドレスに変換する必要があること)を意味するとする。情報処理装置がLAN3に接続するとは、LAN3の中に存在する場合を意味し、ある情報処理装置がLAN3以外の他のネットワークに接続するとは、この情報処理装置がLAN3に存在せず、グローバルネットワーク等の他のネットワークに接続して、LAN3の中の情報処理装置にアクセスできる状態を意味するとする。
In FIG. 1, both the
他方、図2では、ローカル装置7は、LAN3の中に存在し、情報処理端末5は、LANの中には存在しない。情報処理端末5及びローカル装置7は、NAT越え支援サーバ11の支援により、NAT越えの技術を用いてセキュアトンネルを構築する。ローカル装置7は、ローカルサーバとして、情報処理端末5に対してコンテンツを配信する。なお、情報処理端末5及びローカル装置7が共にLAN3内に存在する場合には、ローカル装置7及び情報処理端末5は、NAT等を行うことなく互いに通信可能である。ローカル装置7は、情報処理端末5に対して、その状態を利用してコンテンツを配信すればよい。
On the other hand, in FIG. 2, the
図1及び図2において、認証サーバ9は、LAN3の中に存在しない。認証サーバ9をLAN3の管理とは独立させることにより、認証サーバ9による認証の信頼性を確保するためである。
1 and 2, the authentication server 9 does not exist in the
端末認証処理部13及びローカル認証処理部31は、認証サーバ9による認証を行うためのものである。端末認証記憶部15及びローカル認証記憶部33は、認証サーバ9により発行されたデバイス証明書及びサービス証明書を記憶する。
The terminal
端末登録部19及び端末LR処理部23並びにローカル登録部37及びローカルLR処理部41は、ローカルレジストレーションの処理を行うものである。ローカルレジストレーションの具体的な処理の一例に関しては、図4を参照して説明する。端末機器記憶部21は、ローカルレジストレーションされたローカル装置を記憶する。ローカル機器記憶部39は、ローカルレジストレーションされた情報処理端末を記憶する。端末機器記憶部21及びローカル機器記憶部39に記憶された機器を削除する処理の例については、図5及び図6を参照して説明する。
The
端末通信制御部17及びローカル通信制御部35は、情報処理端末5とローカル装置7との間の通信を実現するためのものである。端末配信処理部25及びローカル配信処理部43は、ローカル装置7が、情報処理端末5に対して、コンテンツを配信する処理を実現するためのものである。この処理の一例については、図7を参照して説明する。NAT越え支援サーバ11は、LAN3の外の情報処理端末5とLAN3の中のローカル装置7との間のNAT越えを支援するため、LAN3の中に存在しない。
The terminal
図1及び図2を参照して、本実施例によれば、情報処理端末5とローカル装置7は、同様の構成により実現することが可能である。そのため、認証処理部、認証記憶部、通信制御部、登録部、機器記憶部、LR処理部、及び、配信処理部を実現するための1つのプログラムを配信し、これが、情報処理端末5及び/又はローカル装置7の利用者の指示によって、情報処理端末5の各部及び/又はローカル装置7の各部を実現するものとしてもよい。なお、情報処理端末5とローカル装置7を実現するためのプログラムを別々のものとしてもよい。このプログラムは、アプリケーションソフトとして実現でき、管理者権限を必要としないものである。そのため、仮に、情報処理端末5が、スマートフォンやタブレット等であっても、容易に、アプリケーションプログラムを配布して実現することが可能である。
With reference to FIGS. 1 and 2, according to the present embodiment, the
続いて、図3を参照して、コンテンツ配信システム1の動作の概要を説明する。図3は、コンテンツ配信システム1における処理の概要を示すフロー図である。
Next, the outline of the operation of the
認証サーバ9は、情報処理端末5及びローカル装置7を認証する(図3のステップST1)。なお、ローカルレジストレーション(ステップST2)の前に、情報処理端末5及びローカル装置7の認証処理が行われていればよく、情報処理端末5及びローカル装置7の認証の順番は、問われない。
The authentication server 9 authenticates the
図3のステップST1の処理の一例について、具体的に説明する。 An example of the process of step ST1 in FIG. 3 will be specifically described.
情報処理端末5の端末認証処理部13は、認証サーバ9の認証部49に対して、デバイス証明書の発行を要求する。認証部49は、情報処理端末5の認証処理を行い、デバイス証明書を発行する。このデバイス証明書には、情報処理端末5を、他に認証した情報処理装置とは区別するためのデバイス識別情報(例えば、シリアルナンバーなど。本願請求項の「情報処理端末のデバイス識別情報」の一例。)が含まれている。また、デバイス証明書と同時に、サービス証明書も発行される。端末認証処理部13は、発行されたデバイス証明書及びサービス証明書を端末認証記憶部15に記憶する。
The terminal
同様に、ローカル装置7のローカル認証処理部31は、認証サーバ9の認証部49に対して、デバイス証明書の発行を要求する。認証サーバ9の認証部49は、ローカル装置7の認証処理を行い、デバイス証明書を発行する。デバイス証明書には、ローカル装置7を、他に認証した情報処理装置(例えば情報処理端末5)とは区別するためのデバイス識別情報が含まれている。また、デバイス証明書と同時に、サービス証明書も発行される。ローカル認証処理部31は、発行されたデバイス証明書及びサービス証明書をローカル認証記憶部33に記憶する。
Similarly, the local
また、認証部49は、ローカル認証処理部31との間で、LAN3の外からローカル装置7へNAT越えによりアクセスするためのNAT越え支援情報を得る。これは、セキュアトンネルの構築(ステップST6)の前までに行われれば足りる。そのため、例えば、認証時に一度収集し、ローカル装置7のローカルのIPアドレスが変更されたときに修正する等により、NAT越え支援情報を更新するようにしてもよい。
Further, the
続いて、ローカルレジストレーションの処理(図3のステップST2。本願請求項の「ローカルレジストレーションステップ」の一例。)が、図1にあるように、情報処理端末5及びローカル装置7が同じLAN3の中に存在する状態で行われる。
Subsequently, as shown in FIG. 1, the local registration process (step ST2 in FIG. 3; an example of “local registration step” in the claims of the present application) is performed by the
図4を参照して、ローカルレジストレーションの処理の例について、具体的に説明する。図4は、図3のステップST2のローカルレジストレーションにおける処理の例を示すシーケンス図である。 An example of local registration processing will be specifically described with reference to FIG. FIG. 4 is a sequence diagram showing an example of processing in the local registration in step ST2 of FIG.
ローカルレジストレーションは、図1にあるように、情報処理端末5及びローカル装置7が同じLAN3の中に存在する状態で行われる。情報処理端末5及びローカル装置7が同じLAN3の中に存在する場合、端末通信制御部17及びローカル通信制御部35は、互いに、アドレスを検出することができる。そのため、情報処理端末5とローカル装置7との間で通信をすることが可能である。
As shown in FIG. 1, the local registration is performed in a state where the
情報処理端末5の端末LR処理部23は、情報処理端末5の使用者の指示によって、ローカル装置7のローカルLR処理部41に対して、デバイス証明書を提示して、ローカルレジストレーションの要求をする(図4のステップSTLR1)。
The terminal
ローカルLR処理部41は、端末LR処理部23からローカルレジストレーションの要求があると、ローカル装置7の使用者が情報処理端末5のローカルレジストレーションを許可する場合、RAG−D45に対して、DMP29及びDMS47の登録を指示する(ステップSTLR2)。ローカル通信制御部35は、端末通信制御部17に対して、ローカル装置7のデバイス識別情報を通知し、DMS47のローカルレジストレーションを指示する(ステップSTLR3)。端末登録部19は、端末機器記憶部21にローカル装置7のデバイス識別情報を記憶することにより、DMS47を登録する。端末通信制御部17は、ローカル通信制御部35に対して、DMS47を登録したことを通知する(ステップSTLR4)。ローカル通信制御部35が通知を受信すると、ローカル登録部37は、ローカル機器記憶部39に情報処理端末5のデバイス識別情報を記憶することにより、DMP29を登録する。RAG−D45は、ローカルLR処理部41に対して、DMP29及びDMS47が登録されたことを通知する(ステップSTLR5)。ローカルLR処理部41は、端末LR処理部23に対して、ローカルレジストレーションが終了したことを通知する(ステップSTLR6)。
When there is a request for local registration from the terminal
他方、図2にあるように、ローカル装置7がLAN3の中に存在し、情報処理端末5がLAN3の外に存在する場合、端末通信制御部17及びローカル通信制御部35は、互いに、アドレスを検出することができない。そのため、本実施例では、図1のような場合にのみローカルレジストレーションができる状態にし、図2のような場合には、ローカルレジストレーションはできない状態とされている。
On the other hand, as shown in FIG. 2, when the
続いて、ローカルレジストレーションされた機器を削除するか否かが判断される(図3のステップST3)。削除する場合、削除処理が行われる(図3のステップST4)。 Subsequently, it is determined whether or not to delete the locally registered device (step ST3 in FIG. 3). When deleting, a deletion process is performed (step ST4 in FIG. 3).
図5及び図6を参照して、削除処理の例を説明する。 An example of the deletion process will be described with reference to FIGS.
図5は、LAN3内にあるローカルレジストレーションした情報処理端末から削除要求がなされた場合の処理である。これは、図4とほぼ同様の処理となる。すなわち、端末LR処理部23は、ローカルLR処理部41に対して、削除要求をする(ステップSTD1)。ローカルLR処理部41は、削除要求を受けると、RAG−D45に対して、DMP29及びDMS47の登録削除を指示する(ステップSTD2)。ローカル通信制御部35は、端末通信制御部17に対して、DMS47の登録削除を指示する(ステップSTD3)。端末通信制御部17が登録削除指示を受信すると、端末登録部19は、端末機器記憶部21からローカル装置7のデバイス識別情報を削除することにより、DMS47を登録削除する。端末通信制御部17は、ローカル通信制御部35に対して、DMS47を登録削除したことを通知する(ステップSTD4)。ローカル通信制御部35が通知を受信すると、ローカル登録部37は、ローカル機器記憶部39から情報処理端末5のデバイス識別情報を削除することにより、DMP29を登録削除する。RAG−D45は、ローカルLR処理部41に対して、DMP29及びDMS47が登録削除されたことを通知する(ステップSTD5)。ローカルLR処理部41は、端末LR処理部23に対して、登録削除が終了したことを通知する(ステップSTD6)。
FIG. 5 shows processing when a deletion request is made from a locally registered information processing terminal in the
図6は、ローカル装置7の使用者が削除する場合の処理の一例である。例えば、情報処理端末5の使用者が、悪意で、LAN3に接続して、ローカル装置7にローカルレジストレーションをする可能性がある。そのため、ローカル装置7の使用者は、外部サーバ53から登録削除できる。外部サーバ53は、ローカルLR処理部41に対して、所定の情報処理端末の削除要求をする(ステップSTSD1)。ローカルLR処理部41は、削除要求を受けると、RAG−D45に対して、当該情報処理端末のDMPの登録削除を指示する(ステップSTSD2)。ローカル登録部37は、ローカル機器記憶部39から当該情報処理端末のデバイス識別情報を削除することにより、DMPを登録削除する。ローカル登録部37は、ローカルLR処理部41に対して、DMPが登録削除されたことを通知する(ステップSTSD3)。ローカルLR処理部41は、外部サーバ53に対して、登録削除が終了したことを通知する(ステップSTSD4)。
FIG. 6 is an example of processing when the user of the
このように、本実施例では、情報処理端末5の端末機器記憶部21にローカル装置7が登録されていても、ローカル装置7のローカル機器記憶部39からは情報処理端末5は削除されている可能性がある。
Thus, in this embodiment, even if the
続いて、情報処理端末5において、サービス証明書の有無が判断される(図3のステップST5)。サービス証明書が無ければ、情報処理端末5の端末認証処理部13は、認証サーバ9の認証部49に対して、サービス証明書の発行を要求する(ステップST6)。これにより、認証サーバ9では、例えば、情報処理端末5でのコンテンツ利用の状況を把握することができ、その頻度等により、違法な利用等の可能性を検出することが可能になり、認証サーバ9による認証の信頼性が、さらに高まることとなる。認証サーバ9の認証部49は、問題が認められない場合には、新たなサービス証明書を発行する。情報処理端末5にサービス証明書がある状態であれば、サービス証明書が有効であるかが判断される(ステップST7)。サービス証明書が、例えば期限が切れた状態などのために無効であれば、ステップST3に戻り、削除後に、改めてローカルレジストレーションがなされることが必要な状態とする。
Subsequently, the
有効なサービス証明書が存在する場合、情報処理端末5がローカル装置7に対して、接続要求をしたか否かが判断される(図3のステップST8)。接続要求は、情報処理端末5の使用者の指示によって行われる。情報処理端末5の使用者は、例えば、情報処理端末5のアプリケーションソフトにおいて、接続可能な装置として提示されたデバイスリストの中からローカル装置7を接続先として指示したり、以前にローカル装置7から配信されたコンテンツの再視聴を指示したりすることにより、ローカル装置7への接続を指示する。接続要求がなければ、ステップST3に戻る。
If there is a valid service certificate, it is determined whether or not the
情報処理端末5が接続要求をした場合、情報処理端末5が、図1のようにLAN3内に存在するのであれば、端末通信制御部17及びローカル通信制御部35は、互いに、アドレスを検出することができる。
When the
情報処理端末5が、LAN3に存在せず、図2にあるように、LAN3とは異なるネットワークに接続する状態で接続要求をした場合、端末通信制御部17及びローカル通信制御部35は、互いに、アドレスを検出することができない。そのため、端末通信制御部17は、NAT越え支援サーバ11の支援により、ローカル通信制御部35との間でセキュアトンネルを構築して、コネクションを成立する。なお、以下では、NAT越えについて、ICEを利用したNAT越えの場合を例に説明するが、その他の手法であってもよい。この処理の例について、図3及び図7を参照して、具体的に説明する。
When the
まず、グローバルIPアドレスの検出について説明する。グローバルIPアドレスの検出は、NAT越え支援サーバ11のSTUN50のリクエスト/レスポンスを利用して、NAT12の外側に割り当てられているIPアドレスとポートを検出する。STUN50は、クライアント/サーバ型のプロトコルで、端末通信制御部17及びローカル通信制御部35からSTUN50へリクエストを送信し、そのレスポンスにNATの外側のIPアドレスとマップされたポート番号が格納される。また、STUN50は、NAT12のNATタイプの検出を行う。例えば、NAT12のNATタイプが多段であった場合には、一番制約の厳しいNATのタイプとなる。最終的に得られるものは、ローカルIPアドレスとポート番号、グローバルIPアドレスとポート番号、NATタイプとなる。ここで得られた情報をSIP51に送信して、NAT越えサーバ11においてデータベースに格納する。
First, detection of a global IP address will be described. The global IP address is detected by using the request / response of
まず、ローカル通信制御部35は、STUN50との間で通信を行い、エンドポイントを取得する(ステップSTDE1)。続いて、ローカル通信制御部35は、SIP51に、エンドポイントを登録する(ステップSTDE2)。
First, the local
情報処理端末5の利用者が接続要求をすると、端末配信処理部25は、端末通信制御部17に対して、デバイスリストの取得要求を行う(ステップSTDE3)。端末通信制御部17は、端末配信処理部25に対して、デバイスリストを送信する(ステップSTDE4)。端末配信処理部25は、端末通信制御部17に対して、ローカル装置7に対する接続要求を行う(ステップSTDE5)。
When the user of the
端末通信制御部17は、ローカル通信制御部35のアドレスを取得できない。そのため、端末通信制御部17は、STUN50との間で通信を行い、エンドポイントを取得する(ステップSTDE6)。続いて、端末通信制御部17は、SIP51に、エンドポイントを登録する(ステップSTDE7)。
The terminal
端末通信制御部17は、SIP51に対して、ローカル通信制御部35に対する接続するための提案メッセージを送信する(ステップSTDE8)。このとき、ローカル装置7に与えられたデバイス識別情報は、接続先を特定するための情報として使用される。SIP51は、ローカル通信制御部35に対して、この提案メッセージを送信する(ステップSTDE9)。ローカル通信制御部35は、SIP51に対して、端末通信制御部17に対しての応答メッセージを送信する(ステップSTDE10)。SIP51は、端末通信制御部17に対して、この応答メッセージを送信する(ステップSTDE11)。
The terminal
そして、端末通信制御部17は、NAT越えを利用して、ローカル通信制御部35との間でセキュアトンネルを構築する(図3のステップST9、図7のステップSTDE12。)。NAT越えは、必要であればNAT越え支援サーバ11の支援のもとに行われる。
Then, the terminal
NAT越えの技術には、いくつかの技法が提案されている。例えば、UDPホールパンチングや、TCPホールパンチングなどが提案されている。NATタイプは、RFC3489では、Full Cone、Restricted Cone、Port Restricted Cone,Symmetricが規定されている。Open Internetであれば、なにもせずに接続可能である。Full Coneであれば、STUNによるアドレス解決を利用して接続することができる。Restricted ConeやPort Restricted Cone、Symmetricであれば、STUN/TURN並びにConnection Reversal及び/又はホールパンチング、TURNによるリレーを利用して接続が可能である。このように、NATタイプによって、NAT越えの可否が異なる。 Several techniques have been proposed for techniques beyond NAT. For example, UDP hole punching and TCP hole punching have been proposed. RFC 3489 defines NAT types as Full Cone, Restricted Cone, Port Restricted Cone, and Symmetric. With Open Internet, you can connect without doing anything. With Full Cone, you can connect using address resolution by STUN. In the case of Restricted Cone, Port Restricted Cone, and Symmetric, connection is possible by using STUN / TURN and Connection Reversal and / or hole punching, relay by TURN. As described above, whether or not NAT can be exceeded differs depending on the NAT type.
ローカル通信制御部35は、情報処理端末5が、ローカル機器記憶部39に記憶されている場合、端末通信制御部17との間でコネクションの成立を許可する。ローカル通信制御部35は、情報処理端末5が、ローカル機器記憶部39に記憶されていない場合、端末通信制御部17との間でコネクションの成立を拒否する。
When the
情報処理端末5は、ローカル機器記憶部39に記憶されていることから、ローカルレジストレーションの前提として認証サーバ9による認証処理により一定の信頼性が確保されている。さらに、ローカルレジストレーションによりローカル装置7の使用者により許可がされ、その後、削除されていないことから、ローカル装置7の使用者によっても信頼されていることが確保されている。そのため、これらの信頼性を前提とした、NAT越えによるセキュアトンネルの構築が実現されている。
Since the
端末通信制御部17は、端末配信処理部25に対して、セキュアトンネルが構築されたことを通知する(ステップSTDE13)。
The terminal
続いて、コンテンツの配信処理が行われる(図3のステップST10)。すなわち、端末配信処理部25は、端末通信制御部17に対して、サービス証明書を提示して、コンテンツの配信要求をする(図7のステップSTDE14)。端末通信制御部17は、セキュアトンネルでリレーする(図7のステップSTDE15)。ローカル通信制御部35は、ローカル配信処理部43に対して、配信要求を伝える(図7のステップSTDE16)。ローカル配信処理部43は、ローカル通信制御部35に対して、コンテンツ記憶部(図示を省略)に記憶されたコンテンツの配信処理を行う(図7のステップSTDE17)。ローカル通信制御部35は、セキュアトンネルでリレーする(図7のステップSTDE18)。端末通信制御部17は、端末配信処理部25に対して、配信処理を伝える(図7のステップSTDE19)。
Subsequently, content distribution processing is performed (step ST10 in FIG. 3). That is, the terminal
そして、情報処理端末5又はローカル装置7の使用者から切断が指示されたか否かを判断する(図3のステップST11)。切断しない場合には、ステップST10の処理に戻る。切断が指示された場合、情報処理端末5とローカル装置7の通信経路を切断する(図3のステップST12)。
Then, it is determined whether or not disconnection is instructed by the user of the
なお、ローカル装置7の安全性を確保する観点からは、少なくとも情報処理端末5が認証サーバ9により認証されていれば足りる。この場合、LAN3の外からローカル装置7へNAT越えをするための情報は、認証処理とは別に、NAT越え支援サーバ11に与えられる。
From the viewpoint of ensuring the safety of the
1 コンテンツ配信システム、3 LAN、5 情報処理端末、7 ローカル装置、9 認証サーバ、11 NAT越え支援サーバ、12 NAT、13 端末認証処理部、15 端末認証記憶部、17 端末通信制御部、19 端末登録部、21 端末機器記憶部、23 端末LR処理部、25 端末配信処理部、27 RAG−CP、29 DMP、31 ローカル認証処理部、33 ローカル認証記憶部、35 ローカル通信制御部、37 ローカル登録部、39 ローカル機器記憶部、41 ローカルLR処理部、43 ローカル配信処理部、45 RAG−D、47 DMS、49 認証部、50 STUN、51 SIP、52 TURN、53 外部サーバ 1 content distribution system, 3 LAN, 5 information processing terminal, 7 local device, 9 authentication server, 11 NAT traversal support server, 12 NAT, 13 terminal authentication processing unit, 15 terminal authentication storage unit, 17 terminal communication control unit, 19 terminal Registration unit, 21 Terminal device storage unit, 23 Terminal LR processing unit, 25 Terminal distribution processing unit, 27 RAG-CP, 29 DMP, 31 Local authentication processing unit, 33 Local authentication storage unit, 35 Local communication control unit, 37 Local registration Unit, 39 local device storage unit, 41 local LR processing unit, 43 local distribution processing unit, 45 RAG-D, 47 DMS, 49 authentication unit, 50 STUN, 51 SIP, 52 TURN, 53 external server
Claims (10)
前記ローカル装置は、前記ローカルエリアネットワークとは異なるネットワークに接続する情報処理装置と、ネットワークアドレス変換をして通信を行うものであり、
前記ローカルエリアネットワークとは異なるネットワークに接続する認証サーバが備える認証手段が、一つ又は複数の情報処理端末を認証する認証ステップと、
前記ローカル装置が備えるローカル登録手段が、前記認証サーバによって認証された情報処理端末との間でNAT越えを行わずに通信を行って、前記ローカル装置が備えるローカル機器記憶手段に当該情報処理端末を登録するローカルレジストレーションステップと、
前記ローカルエリアネットワークとは異なるネットワークに接続する情報処理端末が備える端末通信制御手段がNAT越えにより前記ローカル装置に対して通信経路確立要求をした場合に、前記ローカル装置が備えるローカル通信制御手段が、前記ローカル機器記憶手段に当該情報処理端末が登録されているか否かを判断し、
前記ローカル機器記憶手段に当該情報処理端末が登録されているときに、当該情報処理端末と前記ローカル装置との間の通信経路を確立することを許可し、
前記ローカル機器記憶手段に当該情報処理端末が登録されていないときに、当該情報処理端末と前記ローカル装置との間の通信経路を確立することを拒否する通信経路確立制御ステップを含むことを特徴とする通信制御方法。 A communication control method for controlling whether to establish a communication path between an information processing terminal and a local device connected to a local area network,
The local device communicates with an information processing device connected to a network different from the local area network by performing network address conversion,
An authentication unit provided in an authentication server connected to a network different from the local area network authenticates one or a plurality of information processing terminals,
The local registration means provided in the local device communicates with the information processing terminal authenticated by the authentication server without performing NAT traversal, and the information processing terminal is stored in the local device storage means provided in the local device. A local registration step to register;
When the terminal communication control means provided in the information processing terminal connected to a network different from the local area network makes a communication path establishment request to the local apparatus by traversing the NAT, the local communication control means provided in the local apparatus includes: Determine whether the information processing terminal is registered in the local device storage means;
Allowing the communication path between the information processing terminal and the local device to be established when the information processing terminal is registered in the local device storage means;
Including a communication path establishment control step of refusing to establish a communication path between the information processing terminal and the local device when the information processing terminal is not registered in the local device storage unit. Communication control method.
前記ローカルレジストレーションステップにおいて、前記ローカル登録手段は、前記情報処理端末から、当該情報処理端末の識別情報として、前記認証手段から付与されたデバイス識別情報を登録する、請求項1記載の通信制御方法。 In the authentication step, the authentication means gives device identification information to each of the information processing terminals,
In the local registration step, said local registration means, wherein the information processing terminal, as the identification information of the information processing terminal, registering the device identification information issued from the authentication unit, the communication control method according to claim 1, wherein .
前記ローカルレジストレーションステップにおいて、前記情報処理端末が備える端末登録手段は、前記ローカル装置のデバイス識別情報を登録し、
前記通信経路確立制御ステップにおいて、
前記情報処理端末は、前記支援手段に対して、前記ローカル装置のデバイス識別情報を通知し、
前記支援手段は、前記ローカル装置のデバイス識別情報を用いて前記ローカル装置へアクセスするための情報を得て、端末通信制御手段に対して、前記ローカル装置を接続先として伝え、前記情報処理端末と前記ローカル装置との間のNAT越えを支援する、請求項3記載の通信制御方法。 In the authentication step, the authentication unit authenticates the local device with device identification information for identifying the local device,
In the local registration step, terminal registration means provided in the information processing terminal registers device identification information of the local device,
In the communication path establishment control step,
The information processing terminal notifies the support means of device identification information of the local device,
The support means obtains information for accessing the local apparatus using device identification information of the local apparatus, and notifies the terminal communication control means of the local apparatus as a connection destination, and the information processing terminal The communication control method according to claim 3, wherein NAT communication with the local device is supported.
前記情報処理端末は、
前記ローカル装置に対してNAT越えをすることなく当該情報処理端末の登録要求をする端末LR処理手段と、
前記ローカルエリアネットワークとは異なるネットワークに接続した状態で、前記ローカル装置に対して、NAT越えにより通信経路確立要求をする端末通信制御手段を備え、
前記ローカル装置は、前記ローカルエリアネットワークとは異なるネットワークに接続する情報処理装置とはネットワークアドレス変換をして通信を行う必要があるものであって、
情報処理端末を識別するデバイス識別情報を記憶するローカル機器記憶手段と、
前記ローカル機器記憶手段に対して、前記端末LR処理手段が登録要求をした情報処理端末のデバイス識別情報を登録するローカル登録手段と、
前記端末通信制御手段がNAT越えにより通信経路確立要求をした場合に、通信経路の確立を許可するか拒否するかを行うローカル通信制御手段を備え、
前記ローカルエリアネットワークとは異なるネットワークに接続する認証サーバが備える認証手段が、一つ又は複数の情報処理端末に対して、各情報処理端末を識別するデバイス識別情報を付与して認証する認証ステップと、
前記端末LR処理手段が、前記ローカル装置に対してNAT越えを用いずに当該情報処理端末の登録要求をし、前記ローカル登録手段が、前記ローカル機器記憶手段に対して登録要求をした情報処理端末のデバイス識別情報を登録するローカルレジストレーションステップと、
前記ローカルエリアネットワークとは異なるネットワークに接続する支援手段が、前記ローカルエリアネットワークとは異なるネットワークに接続する前記情報処理端末が備える前記端末通信制御手段が前記ローカル装置に対する通信経路確立要求をする場合に、前記情報処理端末が前記認証サーバにより認証されているときに、前記情報処理端末と前記ローカル装置との間のNAT越えを支援し、前記情報処理端末がNAT越えを利用して前記ローカル装置に対して前記通信経路確立要求をした場合に、前記ローカル装置が備えるローカル通信制御手段が、
前記ローカル機器記憶手段に当該情報処理端末の前記デバイス識別情報が登録されているときに、当該情報処理端末と前記ローカル装置との間の通信経路を確立することを許可し、
前記ローカル機器記憶手段に当該情報処理端末の前記デバイス識別情報が登録されていないときに、当該情報処理端末と前記ローカル装置との間の通信経路を確立することを拒否する通信経路確立制御ステップを含むことを特徴とする通信制御方法。 A communication control method for controlling whether to establish a communication path between an information processing terminal and a local device connected to a local area network,
The information processing terminal
A terminal LR processing means for requesting registration of the information processing terminal without going over the NAT to the local device;
Comprising a terminal communication control means for making a communication path establishment request by NAT traversal to the local device while connected to a network different from the local area network;
The local device needs to perform communication by performing network address conversion with an information processing device connected to a network different from the local area network,
Local device storage means for storing device identification information for identifying an information processing terminal;
Local registration means for registering device identification information of an information processing terminal requested to be registered by the terminal LR processing means with respect to the local device storage means;
When the terminal communication control means makes a communication path establishment request due to NAT traversal, the terminal communication control means comprises local communication control means for permitting or rejecting establishment of the communication path,
An authentication step in which an authentication unit provided in an authentication server connected to a network different from the local area network adds and authenticates device identification information for identifying each information processing terminal to one or a plurality of information processing terminals; ,
The terminal LR processing means requests the local device to register the information processing terminal without using NAT traversal, and the local registration means makes a registration request to the local device storage means. A local registration step for registering device identification information for
When the support means for connecting to a network different from the local area network, the terminal communication control means provided in the information processing terminal connected to a network different from the local area network makes a communication path establishment request to the local device. When the information processing terminal is authenticated by the authentication server, the information processing terminal supports NAT traversal between the information processing terminal and the local device, and the information processing terminal uses the NAT traversal to the local device. When the communication path establishment request is made to the local communication control means provided in the local device,
Allowing the communication path between the information processing terminal and the local device to be established when the device identification information of the information processing terminal is registered in the local device storage means;
A communication path establishment control step for refusing to establish a communication path between the information processing terminal and the local device when the device identification information of the information processing terminal is not registered in the local device storage unit; A communication control method comprising:
情報処理端末を識別するデバイス識別情報を記憶するローカル機器記憶手段と、
前記ローカル機器記憶手段に、認証サーバによって認証された情報処理端末のデバイス識別情報を登録するローカル登録手段と、
通信経路確立要求をした情報処理端末との間で通信経路を確立するか否かを制御するローカル通信制御手段を備え、
前記ローカル登録手段は、前記認証サーバによって認証された情報処理端末がNAT越えを用いずに登録要求をした場合に、前記ローカル機器記憶手段に当該情報処理端末のデバイス識別情報を登録するものであり、
前記ローカル通信制御手段は、前記ローカルエリアネットワークとは異なるネットワークに接続する情報処理端末が備える端末通信制御手段が、NAT越えにより当該ローカル装置に対して通信経路確立要求をした場合に、
前記ローカル機器記憶手段に当該情報処理端末の前記デバイス識別情報が登録されているときに、当該情報処理端末と前記ローカル装置との間の通信経路を確立することを許可し、
前記ローカル機器記憶手段に当該情報処理端末が登録されていないときに、当該情報処理端末との間で通信経路を確立することを拒否することを特徴とするローカル装置。 An information processing apparatus connected to a local area network and connected to a network different from the local area network is a local apparatus that performs communication by performing network address conversion,
Local device storage means for storing device identification information for identifying an information processing terminal;
The local device storage means, a local registration means for registering device identification information of the information processing terminal authenticated by the authentication server,
Comprising a local communication control means for controlling whether or not to establish a communication path with an information processing terminal that has made a communication path establishment request;
The local registration unit registers device identification information of the information processing terminal in the local device storage unit when the information processing terminal authenticated by the authentication server makes a registration request without using NAT traversal. ,
The local communication control means, when a terminal communication control means provided in an information processing terminal connected to a network different from the local area network makes a communication path establishment request to the local device over NAT,
Allowing the communication path between the information processing terminal and the local device to be established when the device identification information of the information processing terminal is registered in the local device storage means;
A local device that refuses to establish a communication path with an information processing terminal when the information processing terminal is not registered in the local device storage unit.
前記ローカルエリアネットワークとは異なるネットワークに接続する認証サーバに対して、当該情報処理端末の認証要求をする端末認証処理手段と、
NAT越えを用いずに、前記ローカル装置が備えるローカル登録手段に対して、当該情報処理端末の登録要求をする端末LR処理手段と、
前記ローカルエリアネットワークとは異なるネットワークに接続する状態で、前記ローカル装置に対してNAT越えにより通信経路確立要求をする端末通信制御手段を備える情報処理端末。 An information processing apparatus connected to a local area network and connected to a network different from the local area network is an information processing terminal that makes a communication path establishment request to a local apparatus that performs communication by performing network address conversion. ,
Terminal authentication processing means for requesting authentication of the information processing terminal to an authentication server connected to a network different from the local area network;
A terminal LR processing means for requesting registration of the information processing terminal to the local registration means provided in the local device without using NAT traversal;
An information processing terminal comprising terminal communication control means for making a communication path establishment request to the local device by traversing a NAT while connected to a network different from the local area network.
前記ローカル装置は、前記ローカルエリアネットワークとは異なるネットワークに接続する認証サーバがデバイス識別情報を付与して認証したものであり、
前記情報処理端末が前記ローカルエリアネットワークとは異なるネットワークに接続する状態で前記ローカル装置に付与された前記デバイス識別情報を用いて前記ローカル装置に対する接続要求をした場合に、前記情報処理端末が、前記ローカルエリアネットワークとは異なるネットワークに接続する認証サーバによって認証されているときに、前記デバイス識別情報を用いて前記ローカル装置に対するアクセスを特定して前記情報処理端末が前記ローカル装置との間のNAT越えを支援する支援手段を備える通信経路確立支援装置。 An information processing terminal is connected to a local area network, and establishes a communication path between the information processing apparatus connected to a network different from the local area network and performing communication by performing network address conversion. A communication path establishment support device for supporting
The local device is an authentication server connected to a network different from the local area network and authenticated by adding device identification information,
When the information processing terminal makes a connection request to the local device using the device identification information given to the local device in a state where the information processing terminal is connected to a network different from the local area network, the information processing terminal When authenticated by an authentication server connected to a network different from the local area network, access to the local device is specified using the device identification information, and the information processing terminal crosses the NAT with the local device. A communication path establishment support device comprising support means for supporting
情報処理端末を識別するデバイス識別情報を記憶するローカル機器記憶手段と、
前記ローカル機器記憶手段に、認証サーバによって認証された情報処理端末のデバイス識別情報を登録するローカル登録手段と、
通信経路確立要求をした情報処理端末との間で通信経路を確立するか否かを制御するローカル通信制御手段として機能させるためのプログラムであって、
前記ローカル登録手段は、前記認証サーバによって認証された情報処理端末がNAT越えを用いずに登録要求をした場合に、前記ローカル機器記憶手段に当該情報処理端末のデバイス識別情報を登録するものであり、
前記ローカル通信制御手段は、前記ローカルエリアネットワークとは異なるネットワークに接続する情報処理端末が備える端末通信制御手段が、NAT越えにより当該コンピュータに対して通信経路確立要求をした場合に、
前記ローカル機器記憶手段に当該情報処理端末の前記デバイス識別情報が登録されているときに、当該情報処理端末と当該コンピュータとの間の通信経路を確立することを許可し、
前記ローカル機器記憶手段に当該情報処理端末が登録されていないときに、当該情報処理端末との間で通信経路を確立することを拒否する、プログラム。 A computer connected to a local area network and performing communication by performing network address conversion with an information processing apparatus connected to a network different from the local area network,
Local device storage means for storing device identification information for identifying an information processing terminal;
The local device storage means, a local registration means for registering device identification information of the information processing terminal authenticated by the authentication server,
A program for functioning as a local communication control means for controlling whether or not to establish a communication path with an information processing terminal that has made a communication path establishment request,
The local registration unit registers device identification information of the information processing terminal in the local device storage unit when the information processing terminal authenticated by the authentication server makes a registration request without using NAT traversal. ,
The local communication control means, when a terminal communication control means provided in an information processing terminal connected to a network different from the local area network makes a communication path establishment request to the computer by crossing NAT,
Allowing the communication path between the information processing terminal and the computer to be established when the device identification information of the information processing terminal is registered in the local device storage means;
A program that refuses to establish a communication path with the information processing terminal when the information processing terminal is not registered in the local device storage means.
ローカル装置が接続するローカルエリアネットワークとは異なるネットワークに接続する認証サーバに対して、当該コンピュータの認証要求をする端末認証処理手段と、
前記ローカル装置が備えるローカル登録手段に対して、NAT越えを行わずに通信を行って当該コンピュータの登録要求をする端末LR処理手段と、
前記ローカルエリアネットワークとは異なるネットワークに接続する状態で、NAT越えにより前記ローカル装置に対して通信経路確立要求をする端末通信制御手段として機能させるためのプログラム。
Computer
Terminal authentication processing means for requesting authentication of the computer to an authentication server connected to a network different from the local area network to which the local device is connected;
A terminal LR processing means for making a request for registration of the computer by communicating with the local registration means provided in the local device without performing NAT traversal;
A program for functioning as a terminal communication control means for making a communication path establishment request to the local device by traversing a NAT while connected to a network different from the local area network.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013064565A JP5784059B2 (en) | 2013-03-26 | 2013-03-26 | Communication control method, local device, information processing terminal, communication path establishment support device, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013064565A JP5784059B2 (en) | 2013-03-26 | 2013-03-26 | Communication control method, local device, information processing terminal, communication path establishment support device, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014192597A JP2014192597A (en) | 2014-10-06 |
JP5784059B2 true JP5784059B2 (en) | 2015-09-24 |
Family
ID=51838523
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013064565A Active JP5784059B2 (en) | 2013-03-26 | 2013-03-26 | Communication control method, local device, information processing terminal, communication path establishment support device, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5784059B2 (en) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004194016A (en) * | 2002-12-12 | 2004-07-08 | Sony Corp | Information processing system and method, repeater and repeating method, recording medium and program |
JP2008010934A (en) * | 2006-06-27 | 2008-01-17 | Nippon Telegr & Teleph Corp <Ntt> | Gateway apparatus, communication control method, program, and storage medium with the program stored |
JP4820342B2 (en) * | 2007-08-09 | 2011-11-24 | 日本電信電話株式会社 | User authentication method, user authentication apparatus, program, and recording medium |
JP2012060357A (en) * | 2010-09-08 | 2012-03-22 | Kddi Corp | Remote access control method for mobile body system |
JP5690239B2 (en) * | 2011-07-26 | 2015-03-25 | Kddi株式会社 | Method and system for remote access to a local network |
-
2013
- 2013-03-26 JP JP2013064565A patent/JP5784059B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014192597A (en) | 2014-10-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5333263B2 (en) | Access control system and access control method | |
EP3073699B1 (en) | System and method for controlling mutual access of smart devices | |
US8301691B2 (en) | Server apparatus, network system, data transfer method, and program | |
US7792924B2 (en) | Using a mobile phone to remotely control a computer via an overlay network | |
US7412727B2 (en) | Media streaming home network system and method for operating the same | |
US9154487B2 (en) | Registration server, gateway apparatus and method for providing a secret value to devices | |
EP2708007B1 (en) | Methods, server and proxy agent for dynamically setting up a session between a target resource in a private network and an application on a device | |
JP6193185B2 (en) | Communication device, terminal device, and program | |
US20100211995A1 (en) | Communication system, relay apparatus, terminal apparatus and computer readable medium | |
US9130783B2 (en) | Relay communication system and access management apparatus | |
JP2009163546A (en) | Gateway, repeating method and program | |
JP2011076425A (en) | Repeater, method for continuing service between different terminal devices, and relay program | |
KR20100022927A (en) | Method and apparatus for protecting of pravacy in home network | |
WO2019167057A1 (en) | Relaying media content via a relay server system without decryption | |
JP2008158903A (en) | Authentication system and main terminal | |
JP7398251B2 (en) | How to remotely control video cameras and video surveillance systems | |
JP2009230256A (en) | Communication controller, communication control method and communication control program | |
JP4886712B2 (en) | Access control system, access control method, access control apparatus, and access control program | |
US8031641B2 (en) | Method and system for serving multi-media data between hetero UPnP networks | |
CN109218381B (en) | Remote communication control system and session relay system | |
JP5784059B2 (en) | Communication control method, local device, information processing terminal, communication path establishment support device, and program | |
JP5764085B2 (en) | Port open / close control system | |
JP2010206773A (en) | Method and apparatus for providing security network robot services | |
JP2004158923A (en) | Http session tunneling system, method thereof, and program thereof | |
JP2015204499A (en) | Communication system, access point device, server device, gateway device, and communication method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140925 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141121 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150309 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150407 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150717 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150721 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5784059 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |