JP2005210583A - アクセス制御方式 - Google Patents

アクセス制御方式 Download PDF

Info

Publication number
JP2005210583A
JP2005210583A JP2004016888A JP2004016888A JP2005210583A JP 2005210583 A JP2005210583 A JP 2005210583A JP 2004016888 A JP2004016888 A JP 2004016888A JP 2004016888 A JP2004016888 A JP 2004016888A JP 2005210583 A JP2005210583 A JP 2005210583A
Authority
JP
Japan
Prior art keywords
access
network
camera
packet
network camera
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2004016888A
Other languages
English (en)
Inventor
Ichiko Mayuzumi
いち子 黛
Miki Ito
幹 伊藤
Eiichiro Kitagawa
英一郎 北川
Takayuki Komine
孝之 小峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2004016888A priority Critical patent/JP2005210583A/ja
Publication of JP2005210583A publication Critical patent/JP2005210583A/ja
Withdrawn legal-status Critical Current

Links

Images

Abstract

【課題】 家庭内LANに設置したネットワークカメラを、外部ネットワークであるインターネット上からアクセスする場合には、ユーザ認証などのアクセス制限を行い、同じネットワークである家庭内LANからアクセスする場合には、ユーザ認証のためのユーザ名、パスワード入力を不要とする。
【解決手段】 ネットワークカメラが受信したパケットの送信元が、家庭内LANをインターネットに接続するルータであるかを、IPアドレスにより判断する。送信元のIPアドレスがルータである場合のみ、ユーザ認証を行う。また、ルーティングテーブルの設定を使い、外部ネットワークからカメラへアクセスするポート番号と、内部ネットワークからカメラへアクセスするポート番号が別々になるように設定し、外部ネットワーク用のポートへのアクセスに対して、ユーザ認証を行う。
【選択図】 図1

Description

本発明は、通信中継装置により、WANから分離されたLANに接続される通信端末装置における、アクセス制御方法に関する。
インターネットの普及に伴い、ネットワークに接続される多種多様なデバイスが増加している。その中でも最近、企業のみならず、個人でも広く使われるようになった、ネットワークに接続可能なカメラがある。ネットワークへの接続形態はいくつかあり、カメラの映像、音声出力をPCへ入力し、PCが圧縮処理などを行い、ネットワーク上へ送信するもの、カメラ専用のネットワークアダプタを接続するものや、カメラとネットワークアダプタが一体になり、カメラにネットワークインターフェースがついているのなど、その形態は、さまざまである。企業におけるこれらのカメラの使われ方は、監視やテレビ電話といった用途に古くから使われ、また個人での使用目的は、ホームセキュリティや、テレビ電話、そして外出中ペットの様子を確認したいなどといったものである。
図9に、個人でネットワークカメラを使用する例を示す。図は、オフィスLANとホームLAN間を、WANで接続した、ネットワークの構成図である。図9左側の点線部は、ホーム環境を示しており、WAN環境としてのインターネットと、LAN環境下を、ルータ903により相互接続している。ルータ903の下には、ネットワークカメラ904と、PC905が接続されている。また、もう一方、図右側の点線部は、オフィス環境を示しており、インターネットとLAN環境下を、ルータ901により相互接続し、ルータ901の下には、PC902が接続されている。このように構成されているネットワークにおいて、オフィスからホームの様子を確認する場合には、オフィスLANに接続されているPC902から、ルータ901を経由し、WAN網を通り、ホームLANのルータ903を介して、ネットワークカメラ904にアクセスする。ネットワークカメラは、ルータ903経由により、インターネット上の不特定多数からのアクセスが考えられるため、ユーザ認証によるアクセス制限をかけている。
アクセス制限は、あらかじめユーザ名、パスワードを、カメラに登録しておき、カメラへのアクセス時、ユーザ名とパスワードを送ることにより、映像および音声の配信が受けられるようになる。このようなアクセス制限を行う従来例として、特許文献1記載の“画像伝送装置および画像伝送を実行するプログラムを記憶した記憶媒体”がある。カメラを制御するPCには、専用のブラウザが装備されており、該ブラウザとともに、カメラのIPアドレスや設定項目が保存されている。また、カメラにはユーザとパスワードが登録されており、PC上の専用ブラウザが送信する情報を受け取ると、パスワード要求信号を送信する。PCの専用ブラウザでは、パスワード入力ダイアログが表示され、ユーザがキーボードなどからパスワードを入力すると、カメラでキャプチャ、JPEG圧縮された画像が受信され、PCで画像データを復号し、ブラウザで表示するようになっている。カメラにあらかじめ登録されているユーザ名とパスワードの設定方法については説明されていないが、PCから特別なユーザ(administratorなど)でカメラにアクセスし、必要なユーザとパスワードを設定する方法が、一般的である。
また、アクセス制限の他の方法として、ルータやサーバなど、通信中継装置がユーザ認証を行い、カメラへのアクセスを保護するものがある。このようなアクセス制御を行う従来例として、特許文献2記載の“通信中継装置、通信中継方法、および通信端末装置、並びにプログラム記憶媒体”がある。サーバには専用のデーモンが存在し、ネットワーク接続機器(ルータ)のある予約ポートとしてのウェルノウンポート(Well Known Port)にTCP/UDPコネクトするものである。WAN側からネットワーク接続機器のデーモンにアクセスすると、CGI(Common Gateway Interface)を使用し、HTTPdサーバが認証を行う。この認証を事前に登録してあるユーザ名、パスワードにより、その後のアクセス制御権が与えられる方式である。通信中継装置が行うアクセス制限は、このほかに、上記のような特別なデーモンでなく、サーバのファイアウォール機能を使い、WANからホームLANへの不正侵入を防ぐ方法もある。
特開2000−175179号公報 特開2002−141953号公報
しかしながら、従来の方法である、カメラがユーザ認証等によるアクセス制限をする場合、図9のホームLANに接続されたPC905から同じLAN上に接続されているカメラ904にアクセスする場合においても、ユーザ名、パスワードを入力し、ユーザ認証を得なければならない。こうしたことは、たとえば、カメラが設置されている場所が玄関であり、PCがリビングに置かれており、玄関に誰かが尋ねてきた時、誰が来たかをカメラで確認しようとする。このとき、カメラへアクセスするのに、毎回ユーザ名、パスワードを入力しなければならず、すぐに映像が見られないため、使い勝手が悪いものとなる。また、家のどこかで不審音がし、家の中に設置された数台のカメラの映像を見たいときに、1台1台のカメラにアクセスするごとに、ユーザ名、パスワードを入力していては、セキュリティとして意味をなさなくなってしまう。
また従来のもう一方のアクセス制御方式である、ルータ、またはサーバによる方法においては、ホームLANに接続されるPC905からカメラ904へのアクセスは、ユーザ認証が必要でないために、前記のような問題はないと考えられる。しかし、ルータ903では、WANからカメラ904へのアクセスには、カメラへのアクセスを許可するユーザ認証データを使った認証を行い、また、PC905には、PCへのアクセスを許可するユーザ認証データを使って、ユーザ認証をしなければならないなど、LANに接続されるデバイスが多いほど、その設定が複雑になってしまう。
本発明では、このような不都合を解消するアクセス制御方式を提示することであり、WANからのアクセスに対しては、ユーザ認証などによるアクセス制御を行い、LAN内部からのアクセスに対しては、ユーザ認証を必要とせず、またルータによるアクセス制御が不要な、アクセス制御方式にすることである。
本発明に係るアクセス制御方式は、外部ネットワークとローカルネットワークとの中継手段として機能し、NAT、もしくはIPマスカレード機能を有する通信中継装置とローカルネットワークに接続され、IPIプロトコルを有する複数の内部端末と、外部ネットワークに接続される外部端末において、外部端末は、IPIプロトコルにより、外部端末から前記内部端末に接続可能な状態であり、外部端末から、内部端末にアクセスする際、通信中継装置はNATもしくはIPマスカレード機能により、外部端末からのパケットを内部端末に送信し、内部端末は、ネットワークからのアクセスを、そのIPアドレスから、通信中継装置からのアクセスか、それ以外の内部端末かを判断し、通信中継装置からのアクセスであった場合、アクセス制限をし、それ以外の内部端末からのアクセスであった場合、アクセス制限をしないことを特徴とする。
さらに、本発明に係る他のアクセス制御方式は、外部ネットワークとローカルネットワークとの中継手段として機能し、NAT、もしくはIPマスカレード機能を有する通信中継装置とローカルネットワークに接続され、IPIプロトコルを有する複数の内部端末と、外部ネットワークに接続される外部端末において、外部端末は、IPIプロトコルにより、外部端末から前記内部端末に接続可能な状態にあり、外部端末から、内部端末にアクセスする際、通信中継装置はNATもしくはIPマスカレード機能により、外部端末からのパケットを、内部端末の特定のポート番号に送信し、内部端末は、ネットワークからのアクセスが、前記特定のポート番号か否かを判断し、特定のポート番号へのアクセスであった場合、アクセス制限をし、その他のポート番号へのアクセスであった場合、アクセス制限をしないことを特徴とする。
本発明のアクセス制御方式では、LANに接続されたネットワークカメラが、WANからアクセスしてきたパケットか、同じLAN上のデバイスからアクセスしてきたパケットかを判断することにより、WANからのアクセスには、ユーザ認証によるアクセス制限を行い、同じLANからのアクセスには、ユーザ認証なしに、カメラを制御することができるようになる。そのため、WANからのカメラアクセスを可能な状態にしてあっても、不特定多数からカメラを制御されることがなく、セキュリティを維持することができる。そして、同じLANからのアクセスでは、毎回ユーザ名、パスワード入力することがないので、わずらわしさがなく、使い勝手が向上する効果がある。
以下本発明を実施するための最良の形態を、実施例により詳しく説明する。
以下、図面を参照して、本発明の実施の形態を詳細に説明する。
1.ネットワーク構成
図1は、本発明の一実施例における、ネットワーク構成図を示したものである。点線で囲まれる100は、オフィス環境LANを示しており、ルータ101は、WAN環境としてのインターネットと、LAN環境下を、相互接続している。ルータ101の下には、PC102が接続されている。もう一方の点線で囲まれている110は、ホーム環境LANを示しており、サーバ111は、インターネットと、LAN環境下を相互接続している。該サーバは、ルータ機能、DHCPサーバ、IPIプロトコルの実装、メールクライアントといった機能を有している。ここで、IPIプロトコルとは、同出願人による“ネットワークアクセス制御装置およびサービス提供システム”で説明されているプロトコルのことを示す。11のサーバを、以下ホームサーバと呼ぶ。ホームサーバのWAN側となるインターネット側のIPアドレスは、グローバルアドレス(211.4.251.193)が取得されているものとする。また110内部のLAN側は、プライベートアドレスであり、ホームサーバのLAN上のアドレスは、192.168.0.1とする。ホームサーバを通信中継装置としたLAN上には、複数のネットワークカメラ112、113、114と、PC115が接続されている。これらのデバイスは、サーバのDHCP機能により、プライベートアドレスが付与され、ネットワークカメラ1は192.168.0.2、ネットワークカメラ2は192.168.0.3、ネットワークカメラ3は192.168.0.4、そしてPCには192.168.0.5が、それぞれ付与されている。またIPマスカレードにより、これらのデバイスは、外部ネットワークであるインターネットとの接続が可能な状態である。ネットワークカメラは、それぞれ異なる場所に設置されており、1つは玄関で、来客を確認できる位置に設置され、1つはリビングで、テレビ電話をするときや、外部から部屋の様子を確認するときに使われる。またもう1つは車庫に設置され、車の防犯に使われている。これらのカメラには、IPIプロトコルが実装されており、後述するデバイス発見機能や、データ転送に関するプロトコル独自の機能を有している。また、インターネット上にはISPにより運用されているメールサーバ120があり、ホームLANやオフィスLANからの使用が可能となっている。
図2は、ネットワークカメラのファームウェア上に実装されるサーバ機能と、該機能を使うホームサーバに関して示した図である。201はホームサーバを示し、202はネットワークカメラを示している。ネットワークカメラ内部のファームウェアには、203IPIデバイス発見プロトコルサーバ機能、204HTTPサーバ機能、205ASFサーバ機能が実装されている。203IPIデバイス発見プロトコルサーバ機能は、ホームサーバ間との間で、ネットワーク上でIPI通信を開始するための発見手順を実現する機能である。後に動作フローにより簡単に説明する。204HTTPサーバ機能は、IPIプロトコルによるカメラのコンフィグレーションと制御を、ホームサーバ間で通信するために使われる。205ASFサーバ機能は、ネットワークカメラが送信するビデオ、オーディオデータをASFフォーマットに加工し、ストリーミング配信するための機能である。ネットワークカメラは、これらのサーバ機能により、ネットワーク上において、自動デバイス認識、遠隔操作、オーディオとビデオのストリーミングを実現している。
2.IPIプロトコルの簡単な説明
2.1 デバイス発見
次に、IPIデバイス発見プロトコルに関して説明する。IPIデバイス発見は、図1に示すようなLAN環境110において、デバイスであるネットワークカメラと、ホストであるホームサーバ間で、デバイスの自動認識を実現させる機能である。図3は、ネットワークカメラとホームサーバ間の、デバイス発見時の動作フローを示した図である。301はネットワークカメラの動作を、302はホームサーバの動作を、そして303はDHCPサーバに関する動作を示すものである、DHCPサーバは、ホームサーバが行う機能の一部であってもよいし、LAN上の他の機器がもつ機能であってもよい。ここでは、ホームサーバのIPIプロトコル動作と区別するため、DHCPサーバの機能を別に示している。まず、ネットワークカメラがLANに接続、および、LANに接続されていたネットワークカメラの電源が投入される(S304)と、DHCPサーバ(303)は、ネットワークカメラにプライベートアドレスを付与する(S305)。DHCPサーバによるプライベートアドレス付与方法については、説明を省略する。プライベートアドレスが付与されたネットワークカメラは、ネットワーク上でIPIデバイスが有効になったことを示すため、自IPアドレスをパラメータとしたデバイス通知パケットを、UDPでブロードキャストする。図4に、S306でブロードキャストされるパケット内容を示す。401は、UDPパケットのヘッダ部分であり、詳細は省略する。402はIPIプロトコルであることを示すプロトコルID”IPI”を格納する。データ長は4バイトである。403はIPIプロトコルバージョンを示す。バージョン1.0を0x0100と示す。データ長は2バイトである。404は、パケットを送信した機器が、ホストかデバイスかを識別するパケットソース番号である。該パケットソース番号は、ホストであるホームサーバが割り当てる番号であり、ID未割り当て時は、254を使用する。ここでは、まだパケットソース番号が割り当てられていないので、254を格納する。データ長は1バイト。405は、パケットの種類を示すパケットタイプである。デバイス通知パケットは、4が格納される。データ長は1バイト。406は、パケットタイプごとに決まるデータ領域である。デバイス通知パケットでは、ここに能力タイプを格納する。ネットワークカメラでは、ビデオ、オーディオ、および雲台能力を有するビットを有効にした値を格納する。
図4に示されたデバイス通知パケットを、ネットワークカメラがブロードキャストする(S306)と、ホームサーバはこれを受信し、IPIデバイスであるネットワークカメラが、LAN上に接続されたことを認識する。デバイスを認識したホームサーバは、ネットワークカメラのUDPポート8079にIPI_DISCOVERY_MSGメッセージを送信する(S307)。IPI_DISCOVERY_MSGには、プロトコルID、ホストのIPアドレス、IPIで使用するポート番号などの情報が格納されている。デバイス通知パケットをブロードキャストしたネットワークカメラは、ホストからのメッセージを受信するために、UDPポート8079を監視する。このポートに応答がない場合には、一定の間隔で、デバイス通知パケットを送信し続ける。ホームサーバが送信したIPI_DISCOVERY_MSGを、ネットワークカメラが受信すると(S307)、ネットワークカメラは、メッセージ内部に示されているホームサーバのポート番号にアクセスするために、TCPポートをオープンする(S308)。
次に、オープンされたTCPポートを使って、ネットワークカメラは、IPI_DISCOVERY_MSGをホームサーバに送信する。このメッセージ内部は、プロトコルID,ネットワークカメラのIPアドレス、IPIで使用するポート番号などが、格納されている。以上で、デバイスであるネットワークカメラ、およびホストであるホームサーバが、互いにネットワーク上で存在を認識したことにより、デバイス発見の一連の手順が終了する。ホスト−デバイス間は、この後、さらに詳しい情報を取得するために、IPIコネクションを確立し、デバイスからプロファイルを取得する(S310)。
2.2 ルータ設定
次に、ホームLAN上にあるネットワークカメラを、オフィスLAN上のPCからアクセス可能にするための、ルータ設定について説明する。
ホームLAN上のデバイスは、ホームサーバに割り当てられている1つのグローバルアドレスを使って、インターネットにアクセスする。そのため、ホームサーバは、IPマスカレード(拡張NAT)機能を有している。一般的にIPマスカレードは、LAN側からWAN側へ送信されるパケットに対して、動的にアドレス・ポート変換テーブルを生成する。その変換テーブルが有効である間は、同じ組のアドレス・ポートなら相互に通信できる。しかし、WAN側からのパケットに対しては、動的に変換テーブルが生成することはない。これは、オフィスLANに接続されているPCから、ホームLANのネットワークカメラへアクセスしようとするときに、問題となる。これを可能にするために、アドレス変換テーブルを‘静的’に設定する、ポートフォワーディングの設定が必要になってくる。図5は、その設定を行ったIPアドレス・ポート変換テーブルの一例である。この変換テーブルは、WANから、各ネットワークカメラのポート80(HTTPサーバ204)へアクセスできるように設定したものである。ホームサーバのWAN側IPアドレス211.4.251.193のポート8050へのアクセスは、プライベートアドレス192.168.0.2が付与されている、ネットワークカメラ1(112)のポート80へフォワーディングされる。また同様に、WAN側からホームサーバのポート8051へのアクセスは、ネットワークカメラ2のポート80へ、WAN側からホームサーバのポート8052へのアクセスは、ネットワークカメラ3のポート80へ、それぞれフォワーディングされる。フォワーディングされたパケット内容により、ネットワークカメラがこれに応答する場合、たとえばネットワークカメラ1は、その応答パケットを、ホームサーバのポート8050へ送信することにより、相互に通信することができる。なお、ホームサーバのIPアドレスおよび、各ネットワークカメラへアクセスするためのポート番号は、メールサーバ120を使い、ホームサーバがあらかじめ設定されたメールアドレスへ通知することにより、ユーザは知ることができる。
3.ネットワークカメラへのアクセス
次に、PCからネットワークカメラへアクセスする過程を説明する。ネットワークカメラをPCからアクセスするには、図2で示した、ネットワークカメラファームのHTTPサーバ(204)へ、IPIコマンドを送信する。通常HTTPプロトコルはポート番号80を使用している。
はじめにオフィスLAN(100)に接続されたPC(102)から、ホームLAN(110)に接続されているネットワークカメラへアクセスするまでの手順について説明する。該PCからネットワークカメラへアクセスするには、まずPCは、ホームLANの通信中継装置であるホームサーバへアクセスする。ネットワークカメラ1へアクセスするためには、図5で示したように、ホームサーバ211.4.251.293のポート8050へIPIコマンドパケットを送信する。該パケットを受信したホームサーバは、IPアドレス・ポート変換テーブル(図5)により、IPアドレスをネットワークカメラ1のプライベートアドレスである192.168.0.2のポート80へ変換し、ネットワークカメラ1へ、パケットを転送する。転送されたパケットをネットワークカメラが受信してからの動作を、図6に示す。ネットワークカメラは、ポート80へのアクセスを検知すると(S601)、そのパケットがIPIプロトコルによるパケットであることを確認する(S602)。もしIPIプロトコルパケットでない場合は、アクセスを拒否する(S608)。パケットがIPIプロトコルであると確認されると、次に送信元を確認するために、受信したパケットから、送信元のIPアドレスを取得する。この取得したIPアドレスが、ホームサーバのLAN側アドレス192.168.0.1であるかどうかを判断する(S603)。この場合、ホームサーバはIPマスカレード機能により、パケットの送信元アドレスを、自身のLAN側IPアドレスに変更している。そのため、S603においてネットワークカメラは、受信パケットの送信元が、ホームサーバであると、判断する。パケットの送信元がホームサーバであることから、ネットワークカメラは、受信パケットは、WANから受信されたものと判断し、ユーザ認証によるアクセス制限を行う。ユーザ認証は、ユーザ名、パスワードを要求(S604)し、これが、あらかじめ登録されたものと一致するかを、判断する。ユーザ名、パスワードを要求するパケットは、ホームサーバへ送信され、ホームサーバは、アドレス変換を行い、WANを経由して、オフィスLANに接続されたPCへ送信する。PCを操作するユーザにより、ユーザ認証に必要な情報が書き込まれたパケットは、再度ホームサーバへ送信され、アドレス・ポート変換され、ネットワークPCへ転送される。ユーザ名、パスワードが書き込まれたパケットを受信したネットワークカメラは、これが正しいものか判断する(S605)。ユーザ名、またはパスワードが不一致であった場合、エラーカウントを+1し、そのカウントが2回に達していないか判断する(S607)。エラーカウントが2回以下であった場合には、再度ユーザ名、パスワードの要求を行う(S604)。一方、エラーカウントが2回に達した場合は、その後のアクセスを拒否する(S608)。S605にて、ユーザ名、パスワードが一致した場合、アクセスは許可され、次のステップであるIPI接続を開始する。
WANを経由したPCから、ホームLAN上に接続されるネットワークカメラをアクセスするには、上記のように、ユーザ認証によるアクセス制限がかけられている。一方、同じホームLAN上に接続されたPC(115)から、ネットワークカメラへアクセスする場合には、次のような接続方法をとる。
ホームLAN上に接続されたPCは、ホームサーバを経由することなく、直接同じホームLAN上に接続されたネットワークカメラのポート80へ、アクセスする(S601)。ポート80へのアクセスを検知したネットワークカメラは、そのパケットがIPIプロトコルパケットであることを確認する(S602)。パケットがIPIプロトコルパケットでない場合は、アクセスを拒否する(S608)。パケットがIPIプロトコルパケットであると確認されると、次にパケットの送信元のIPアドレスを取得する。このとき取得したIPアドレスは、PC(115)のプライベートアドレス192.168.0.5である。そのため、ネットワークカメラは、送信元はホームサーバでないと判断できる(S603)。送信元がホームサーバでなく、同じホームLAN上の他のデバイスからであることから、ネットワークカメラはユーザ認証を省略し、次のステップに進むためアクセスを許可する(S606)。
以上説明したように、ネットワークカメラは、WANからのアクセスに対しては、ユーザ認証を行い、同じホームLANからのアクセスに対しては、ユーザ認証を行うことなく、制御可能状態にすることができる。これにより、ユーザは、外部からのアクセスに対してセキュリティを保持し、内部からのアクセスに対しては、ユーザ認証などのわずらわしい手続きをすることなく、ネットワークカメラを制御することができる。
本発明の、他の実施形態を、以下に説明する。
ネットワーク構成、そしてIPIプロトコル−デバイス発見に関しては、実施例1と同じであるので、ここでは説明を省略する。
2.2 ルータ設定
ホームLAN上にあるネットワークカメラを、オフィスLAN上のPCからアクセス可能にするための、ルータ設定について説明する。
ホームサーバは、実施例1で説明したIPマスカレード、およびポートフォワーディングの設定を行う。図7は、その設定を行ったIPアドレス・ポート変換テーブルの例である。この変換テーブルは、WANから、各ネットワークカメラのHTTPサーバへアクセスできるように設定したものである。通常HTTPサーバはポート80を使用するが、ホームサーバからのアクセスは、ポート8050にフォワーディングするように、設定する。よって、ホームサーバのWAN側IPアドレス211.4.251.193のポート8050へのアクセスは、プライベートアドレス192.168.0.2が付与されている、ネットワークカメラ1(112)のポート8050へフォワーディングされる。また同様に、WAN側からホームサーバのポート8051へのアクセスは、ネットワークカメラ2(113)のポート8050へ、WAN側からホームサーバのポート8052へのアクセスは、ネットワークカメラ3(114)のポート8050へ、それぞれフォワーディングされる。ネットワークカメラは、フォワーディングされたパケット内容により、これに応答する場合、たとえばネットワークカメラ1は、その応答パケットを、ホームサーバのポート8050へ送信することにより、相互に通信することができる。なお、ホームサーバのIPアドレスおよび、各ネットワークカメラへアクセスするためのポート番号は、メールサーバ120を使い、ホームサーバがあらかじめ設定されたメールアドレスへ通知することにより、ユーザは知ることができる。
3 カメラへのアクセス
次に、PCからネットワークカメラへアクセスする過程を説明する。はじめに、ホームLAN(110)に接続されているPC(115)から、同じホームLAN上に接続されているネットワークカメラへアクセスする手順について説明する。
ホームLAN上に接続されたPCは、ホームサーバを経由することなく、直接同じホームLAN上に接続されたネットワークカメラへアクセスする。このとき、使用するポートは、HTTPサーバが使用するデフォルトのポート80へアクセスする(S811)。ポート80へのアクセスを検知したネットワークカメラは、まずそのパケットがIPIプロトコルパケットであることを確認する(S812)。パケットがIPIプロトコルパケットでない場合は、アクセスを拒否する(S814)。パケットがIPIプロトコルパケットである場合、このポートへのアクセスは、ホームLAN上の他のデバイスからのアクセスであることが、図7のアドレス・ポート変換テーブルより明らかであることから、ネットワークカメラはユーザ認証を省略し、次のステップに進むためアクセスを許可する(S813)。
次にオフィスLAN(100)に接続されているネットワークカメラへアクセスするまでの手順について説明する。該PCからネットワークカメラへアクセスするには、まずPCは、ホームLANの通信中継装置であるホームサーバへアクセスする。ネットワークカメラ1へアクセスするためには、図7で示したように、ホームサーバ211.4.251.293のポート8050へIPIコマンドパケットを送信する。該パケットを受信したホームサーバは、IPアドレス・変換テーブル(図7)により、IPアドレスを、ネットワークカメラ1のプライベートアドレスである192.168.0.2のポート8050へ変換し、ネットワークカメラ1へ、パケットを転送する。転送されたパケットをネットワークカメラが受信してからの動作を、図8−1に示す。ネットワークカメラは、ポート8050へのアクセスを検知すると(S801)、受信したパケットがIPIプロトコルによるパケットであることを確認する(S802)。もしIPIプロトコルパケットでない場合は、アクセスを拒否する(S807)。パケットがIPIプロトコルである場合、このポートへのアクセスは、図7のアドレス・ポート変換テーブルより、WANからのパケットを、ホームサーバが転送していることが明らかであることから、ネットワークカメラはユーザ認証によるアクセス制御を行う。ネットワークカメラは、ユーザ名、パスワードを要求(S803)し、あらかじめ登録されたユーザ名、パスワードと一致するか判断する(S804)。ユーザ名、またはパスワードが不一致である場合、エラーカウントを+1し、そのカウントが2回に達していないか判断する(S806)。エラーカウントが2回以下であった場合には、再度ユーザ名、パスワードの要求を行う(S803)。一方、エラーカウントが2回に達した場合は、その後のアクセスを拒否する(S807)。S804にて、ユーザ名、パスワードが一致した場合、アクセスは許可され、次のステップであるIPI接続を開始する。
以上のように、ネットワークカメラは、ホームサーバを経由したWANからのアクセスを、特定のポート(ポート8050)で受信し、また同じネットワーク上のデバイスからのアクセスを、デフォルトのポート(ポート80)と、区別することで、簡単に外部ネットワークからのアクセスか、内部ネットワークからのアクセスかを判断する。これによりネットワークカメラは、外部ネットワークからのアクセスの場合は、ユーザ認証によるアクセス制御を行い、内部ネットワークからのアクセスの場合は、パスワード入力せずに、制御が可能になるようにしている。
本発明におけるネットワーク構成を示す図 ネットワークカメラのファームウェア上に実装されるサーバ機能を説明する図 ネットワークカメラとホームサーバ間の、デバイス発見時の動作フロー IPIプロトコルにおけるデバイス発見時に使用されるパケット 実施例1において、ホームサーバが使用するIPアドレス・ポート変換テーブル 実施例1において、ネットワークカメラがパケットを受信したときの動作フロー 実施例2において、ホームサーバが使用するIPアドレス・ポート変換テーブル 実施例2において、ネットワークカメラがパケットを受信したときの動作フロー 実施例2において、ホームLANに接続されているPCから同じホームLAN上に接続されているネットワークカメラへアクセスする手順についての動作フロー 従来例を説明するネットワーク構成を示す図
符号の説明
100 オフィス環境LAN
101 ルータ
102 PC
110 ホーム環境LAN
111 ホームサーバ
112 ネットワークカメラ1
113 ネットワークカメラ2
114 ネットワークカメラ3
115 PC
120 メールサーバ
201 ホームサーバ
202 ネットワークカメラ
203 デバイス発見プロトコルサーバ機能
204 HTTPサーバ機能
205 ASFサーバ機能
901 ルータ
902 PC
903 ルータ
904 ネットワークカメラ
905 PC

Claims (2)

  1. 外部ネットワークとローカルネットワークとの中継手段として機能し、NAT、もしくはIPマスカレード機能を有する通信中継装置と、
    ローカルネットワークに接続され、IPIプロトコルを有する複数の内部端末と、
    外部ネットワークに接続される外部端末において、
    外部端末は、IPIプロトコルにより、外部端末から前記内部端末に接続可能な状態であり、
    外部端末から、内部端末にアクセスする際、通信中継装置はNATもしくはIPマスカレード機能により、外部端末からのパケットを内部端末に送し、
    内部端末は、ネットワークからのアクセスを、そのIPアドレスから、通信中継装置からのアクセスか、それ以外の内部端末かを判断し、
    通信中継装置からのアクセスであった場合、アクセス制限をし、
    それ以外の内部端末からのアクセスであった場合、アクセス制限をしないことを特徴とする、アクセス制御方式。
  2. 外部ネットワークとローカルネットワークとの中継手段として機能し、NAT、もしくはIPマスカレード機能を有する通信中継装置と、
    ローカルネットワークに接続され、IPIプロトコルを有する複数の内部端末と、
    外部ネットワークに接続される外部端末において、
    外部端末は、IPIプロトコルにより、外部端末から前記内部端末に接続可能な状態にあり、
    外部端末から、内部端末にアクセスする際、通信中継装置はNATもしくはIPマスカレード機能により、外部端末からのパケットを、内部端末の特定のポート番号に送信し、
    内部端末は、ネットワークからのアクセスが、前記特定のポート番号か否かを判断し、特定のポート番号へのアクセスであった場合、アクセス制限をし、その他のポート番号へのアクセスであった場合、アクセス制限をしないことを特徴とする、アクセス制御方式。
JP2004016888A 2004-01-26 2004-01-26 アクセス制御方式 Withdrawn JP2005210583A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004016888A JP2005210583A (ja) 2004-01-26 2004-01-26 アクセス制御方式

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004016888A JP2005210583A (ja) 2004-01-26 2004-01-26 アクセス制御方式

Publications (1)

Publication Number Publication Date
JP2005210583A true JP2005210583A (ja) 2005-08-04

Family

ID=34901897

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004016888A Withdrawn JP2005210583A (ja) 2004-01-26 2004-01-26 アクセス制御方式

Country Status (1)

Country Link
JP (1) JP2005210583A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007304963A (ja) * 2006-05-12 2007-11-22 Murata Mach Ltd ネットワークプリンタおよびファイルサーバ
WO2009066795A1 (en) 2007-11-20 2009-05-28 Panasonic Corporation Server apparatus
JP2010011074A (ja) * 2008-06-26 2010-01-14 Canon Inc ネットワークカメラ及びその制御方法
JP2013081231A (ja) * 2008-07-28 2013-05-02 Digix Inc ネットワークカメラシステム
CN103916637A (zh) * 2014-04-15 2014-07-09 浙江宇视科技有限公司 一种安全地共享监控前端设备的方法和装置

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007304963A (ja) * 2006-05-12 2007-11-22 Murata Mach Ltd ネットワークプリンタおよびファイルサーバ
WO2009066795A1 (en) 2007-11-20 2009-05-28 Panasonic Corporation Server apparatus
US8645549B2 (en) 2007-11-20 2014-02-04 Panasonic Corporation Signal relay method and relay server performing a relay operation between a plurality of first terminals and a second terminal via a network
US9712568B2 (en) 2007-11-20 2017-07-18 Panasonic Intellectual Property Management Co., Ltd. Server apparatus and method of operating a network
JP2010011074A (ja) * 2008-06-26 2010-01-14 Canon Inc ネットワークカメラ及びその制御方法
JP2013081231A (ja) * 2008-07-28 2013-05-02 Digix Inc ネットワークカメラシステム
CN103916637A (zh) * 2014-04-15 2014-07-09 浙江宇视科技有限公司 一种安全地共享监控前端设备的方法和装置
CN103916637B (zh) * 2014-04-15 2017-08-15 浙江宇视科技有限公司 一种安全地共享监控前端设备的方法和装置

Similar Documents

Publication Publication Date Title
JP4909277B2 (ja) ネットワーク通信機器、ネットワーク通信方法、アドレス管理機器
JP4260116B2 (ja) 安全な仮想プライベート・ネットワーク
EP1552652B1 (en) Home terminal apparatus and communication system
US7526641B2 (en) IPsec communication method, communication control apparatus, and network camera
US8561147B2 (en) Method and apparatus for controlling of remote access to a local network
US20050050214A1 (en) Access control method, communication system, server, and communication terminal
US6813715B2 (en) Method for accessing home-network using home-gateway and home-portal server and apparatus thereof
US20020157007A1 (en) User authentication system and user authentication method used therefor
KR100738567B1 (ko) 동적 네트워크 보안 시스템 및 그 제어방법
JPWO2002027503A1 (ja) ホームネットワークシステム
JPWO2005101217A1 (ja) アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置
JP4726190B2 (ja) ネットワークカメラ、ddnsサーバおよび映像配信システム
JP2009010606A (ja) トンネル接続システム、トンネル管理サーバ、トンネル接続装置、及びトンネル接続方法
JP3970857B2 (ja) 通信システム、ゲートウェイ装置
JP2005210583A (ja) アクセス制御方式
JP5148179B2 (ja) Ip端末装置及びip端末装置の映像モニタ方法
US9226223B2 (en) Network connection system of network electronic device and method allowing a terminal device to access an electronic device connected behind a router without a NAT loopback function
KR20070018196A (ko) 원격에서의 국부망 액세스에 대한 보안을 확보하는 방법 및장치
US20190116081A1 (en) Method for establishing a management session between an item of equipment and a device for management of this item of equipment
US20060072618A1 (en) Packet-sending communication apparatus with forwarding-address automatic-recognition function, communication system and programs thereof
JP2007096554A (ja) 通信システム、ブロードバンドルータ、情報処理装置及びそれらに用いるnat越え機能実現方法
JP2005311829A (ja) 通信路設定方法、ゲートウェイ装置及び通信システム
JP2007519356A (ja) セキュリティを備えた遠隔制御ゲートウェイ管理
JP4018361B2 (ja) ネットワーク環境通知方法、ネットワーク環境通知システム、及びプログラム
JP2006115285A (ja) 映像配信システムおよびネットワークカメラ

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20070403