JP2006109152A - ネットワーク上で通信を行う接続要求機器、応答機器、接続管理装置、及び通信システム - Google Patents

ネットワーク上で通信を行う接続要求機器、応答機器、接続管理装置、及び通信システム Download PDF

Info

Publication number
JP2006109152A
JP2006109152A JP2004293902A JP2004293902A JP2006109152A JP 2006109152 A JP2006109152 A JP 2006109152A JP 2004293902 A JP2004293902 A JP 2004293902A JP 2004293902 A JP2004293902 A JP 2004293902A JP 2006109152 A JP2006109152 A JP 2006109152A
Authority
JP
Japan
Prior art keywords
password
response
connection
network
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004293902A
Other languages
English (en)
Inventor
Junji Yoshida
順二 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2004293902A priority Critical patent/JP2006109152A/ja
Publication of JP2006109152A publication Critical patent/JP2006109152A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】 互いに異なるネットワーク上にある機器間で、少なくとも一方の機器がグローバルIPアドレスを持たない場合においても、接続相手の機器が正しい機器であることを確認した上でピアツーピア通信を行うことができる通信システムを提供する。
【解決手段】 サーバ101は、要求発行機器102からの接続要求Aを、接続要求Bとして要求受諾機器103に送信する。接続要求Bには、要求発行機器102への接続情報と使い捨てパスワードとを含む。要求受諾機器103は、サーバ101から受信した使い捨てパスワードを応答パスワードとして、サーバ101から受信した接続情報を利用し要求発行機器102へ送信する。要求発行機器102は受け取った応答パスワードと送信した使い捨てパスワードとにより、接続相手が要求受諾機器103であることを確認した上で接続を維持する。
【選択図】 図3

Description

本発明は、ネットワーク上でピアツーピア通信を行う機器及び通信システムに関する。
近年、xDSLや光ファイバーなどのブロードバンド環境が整ったことにより、企業、一般家庭を問わずインターネットが急速に普及してきている。また、パーソナルコンピュータ(PC)だけでなく、テレビやDVDレコーダなどのAV機器や、エアコン、冷蔵庫などのいわゆる白物家電もインターネットに接続できるようになってきている。
インターネットに接続された機器間で通信を行う場合には、機器毎に一意に割り当てられたグローバルIPアドレスが使用される。しかし、インターネットに接続する機器の急増により、グローバルIPアドレスの数が不足する傾向にある。そのため、インターネットに直接接続されないローカルエリアネットワーク(以下、「LAN」という。)上の機器においては、RFC1918で規定された、LAN内でのみ一意であるプライベートIPアドレスを使用することが推奨されている。ただし、プライベートIPアドレスはインターネット上では一意ではなく、またその使用が許されていないため、プライベートIPアドレスを有する機器は、そのままではインターネットに接続された他の機器との通信を行うことができない。
そこで、家庭内や企業内のLANからインターネットに接続する場合、Network Address Translation(以下NAT)機能やNetwork Address Port Translation(以下NAPT)機能を有するルータを用いるのが一般的になっている。
NATもしくはNAPT機能は、プライベートIPアドレスとグローバルIPアドレスの相互変換を行い、LAN上でプライベートIPアドレスが割り当てられた機器が、インターネット上のグローバルIPアドレスが割り当てられた機器と通信を行えるようにするものである。
以下、NAPT機能の仕組みについて、図8〜図10を用いて説明する。なお、家庭内や企業内など同一の建物内のネットワークを示すLANとインターネット(the Internet)等のLAN同士を接続する広域なネットワークとを明確に区別するために、インターネットを含む広域ネットワークを以下「WAN」(Wide Area Network)と表記する。
図8は、家庭内のLANに接続された機器とWANに接続されたサーバとが通信を行うための通信システムの構成の一例を示す図である。図8に示すように、通信システムは、情報を配信するサーバ11と、サーバ11と通信を行う機器12と、NAPT機能を有するルータ104とを備える。また、機器12とルータ104とはLAN106で接続され、LAN106はルータ104によりWAN105と接続されている。
ルータ104は、WAN105とLAN106とに接続されているため、グローバルIPアドレスとプライベートIPアドレスとが割り当てられているが、ここでは、グローバルIPアドレス“202.204.16.255”が割り当てられていると想定する。なお、ルータ104に割り当てられたプライベートIPアドレスに関する説明は、NAPT機能の仕組みの説明に不要であるため省略する。
同様に、サーバ11にはグローバルIPアドレス“230.74.23.6”が、また、機器12にはプライベートIPアドレス”192.168.1.3”が割り当てられていると想定する。なお、図8に示すように、以下に示す図中に記載された、"["と"]"とで囲まれたIPアドレスは、グローバルIPアドレスを示し、"<"と">"とで囲まれたIPアドレスはプライベートIPアドレスを示すものとする。
図9は、機器12がNAPT機能を有するルータ104を介しサーバ11と通信を行う際の通信シーケンスの一例を示す図である。機器12、ルータ104及びサーバ11の間で行われる通信はIPパケット(以下、単に「パケット」ともいう。)をやりとりすることにより行われ、図9に示すように、機器12から送信されたパケット21は、ルータ104によってパケット23に変換され、サーバ11が受信する。さらに、パケット23の応答としてサーバ11から送信されたパケット25は、ルータ104によってパケット27に変換され、機器12が受信する。
また、図9に示すように、各パケットには、送信元を特定するソースIPアドレス(以下、「SA」という。)と、宛先を指定するディスティネーションIPアドレス(以下、「DA」という。)と、送信元のポート番号であるソースポート(以下、「SP」という。)と、宛先のポート番号であるディスティネーションポート(以下、「DP」という。)と、データ本体であるペイロードとが含まれている。なお、実際に伝送されるパケットには、さらに多くの付加情報が含まれているが、ここでは説明に必要な情報のみを記載している。
ここで、SP及びDPは、通信プロトコルとしてTCP(Transmission Control Protocol)やUDP(User Datagram Protocol)を使用する場合に、パケットに含まれる情報であるが、図9に示す通信シーケンスにおける通信プロトコルはTCPであると想定する。
機器12が、サーバ11と通信するために、パケット21をルータ104に送信する。パケット21には、発信元である機器12のプライベートIPアドレスであるSA“192.168.1.3”と、機器12とルータ104とが通信を行うためのルータ104のポート番号SP“2000”と、パケットの宛先であるサーバ11のグローバルIPアドレスであるDA“230.74.23.6”と、サーバ11が他の機器と通信を行うためのサーバ11のポート番号DP“1200”とが含まれている。
ルータ104は、受け取ったパケット21に往路変換(S22)を施してパケット23とし、宛先であるサーバ11に送信する。往路変換(S22)において、ルータ104は、プライベートIPアドレスであるSA“192.168.1.3”を、ルータ104のグローバルIPアドレスである“202.204.16.255”に置換し、同時にSP“2000”を、ルータ104がサーバ11と通信を行うためののポート番号“3400”に置換する。
このとき、ルータ104は、上記の置換を行ったポート番号やグローバルIPアドレス等を相互に対応付けてNAPTテーブルという形式で記憶する。図10は、ルータ104が有するNAPTテーブルの一例を示す図である。
図10に示すように、NAPTテーブルには、LAN機器アドレスとして、機器12のプライベートアドレス“192.168.1.3”が、WANルータアドレスとして、ルータ104のグローバルIPアドレス“202.204.16.255”が、LAN機器ポートとして、ルータ104と機器12とが通信を行うポート番号“2000”が、WANルータポートとして、ルータ104とサーバ11とが通信を行うポート番号“3400”が、それぞれ対応付けられて保存されている。
さて、サーバ11はパケット23を受け取ると、所定の応答処理(S24)を行った後、パケット23に対する応答として、パケット25をルータ104に送信する。パケット25には、発信元を特定するSA“230.743.23.6”とSP“1200”、及び宛先を示すDA“202.204.16.255”とDP“3400”とが含まれている。
ルータ104は、パケット25を受け取ると、NAPTテーブルを参照し、パケット25に復路変換(S26)を施し、パケット27として機器12に送信する。復路変換(S26)において、ルータ104は、まずNAPTテーブルからDA“202.204.16.255”とDP“3400”との組を参照する。図10に示すように、この組は存在しているので、ルータ104は、DAを“202.204.16.255”から“192.168.1.3”に、DPを“3400”から“2000”に置換する。
NAPTテーブルは、その通信が行われている間中は保持され、通信が終了すると破棄される。
以上の動作により、LAN106上のプライベートIPアドレスを持つ機器12からWAN105上のサーバ11への通信を行うことができる。しかしながら、上述のNAPTテーブルがルータ104に存在しない場合は、サーバ11から機器12へパケットを送達させることができない、つまり、WAN105上のサーバ11からLAN106上のプライベートIPアドレスを持つ機器12への通信を開始することができないこととなる。
そこでこれを解決するために、静的NAPTと呼ばれる機能がある。すなわち、あらかじめ静的なNAPTテーブルをルータ上に設定しておく。内容は、図10のNAPTテーブルと同様であるが、この場合WANルータポートには、設定時に未使用のポート番号を指定しなければならない。静的NAPTを用いると、例えばWAN側の機器から、設定されたグローバルIPアドレスとポート番号とを宛先とするパケットを送信すると、ルータ104は図9と同様に、IPアドレスとポート番号の変換を行うことで、LAN上のプライベートIPアドレスを持つ機器12にパケットが到達することになる。これにより、WAN上の機器からLAN内のプライベートIPアドレスを持つ機器への通信を行えるようになる。
ところで、ルータのグローバルIPアドレスは常に一定であるとは限らない。例えば、PPP(Point―to―Point Protocol)でインターネットサービスプロバイダと接続していたり、あるいはDHCP(Dynamic Host Configuration Protocol)によりIPアドレスが動的に割り当てられる場合には、インターネットに接続する毎にグローバルIPアドレスが変わることがある。このため、接続先機器のグローバルIPアドレスを把握しておくのは困難となる。また静的NAPTを用いると、通信していない間もLAN上の機器へのアクセスが可能となるため、セキュリティが低くなってしまう。
こうした課題を解決するための通信システムが、特許文献1で提案されている。
特許文献1で提案されている通信システムでは、要求を発行する機器と要求を受け取る機器との間に通信を中継するためのサーバが存在する。要求を受け取る機器は、機器とサーバとの通信に使用するためのグローバルIPアドレスとポート番号とを、機器固有のIDである機器IDに関連づけて、あらかじめ定期的に登録するようにしておく。
要求を発行する機器は、要求内容と送信先機器の機器IDとをサーバに送信すると、サーバは受け取った機器IDに関連づけられているグローバルIPアドレスとポート番号を持つ機器に対して、要求内容を転送する。要求を受け取る機器がルータを介しサーバと接続されている場合であっても、要求を受け取る機器からは、定期的にパケットが送信されてくるため、ルータに図10に示したようなNAPTテーブルが保存されており、サーバから送信された要求内容を含むパケットは、ルータにより要求を受け取る機器に転送される。
つまり、特許文献1で提案されている通信システムは、2つの機器の間の通信を常にサーバ経由で行うこととなる。そのため、例えば機器間で動画データのように大容量のデータを伝送しようとすると、サーバに多大な負荷がかかるという問題がある。特に複数組の通信が同時に行われると、複数台のサーバで分散処理を行っても対応できない可能性もある。
そこで、互いのグローバルIPアドレスを知らないWAN上の機器間で直接伝送を行う、すなわちピアツーピア通信を行うための情報処理システムが特許文献2で提案されている。
図11は、ピアツーピア通信を行うための情報処理システムの概要を示す図である。図11に示す情報処理システムでは、サーバ3と、端末機器4、端末機器5及び端末機器6のそれぞれとは、WAN105を介して通信を行える。また、サーバ3と端末機器4と端末機器5とはグローバルIPアドレスを有している。端末機器6はグローバルIPアドレスを有するルータ104を介しサーバ3と接続されており、端末機器6自身はグローバルIPアドレスは有さず、プライベートIPアドレスを有している。
図11に示す情報処理システムでは、端末機器4及び端末機器5は自身のグローバルIPアドレスをサーバ3へ登録し、端末機器6は、ルータ104のグローバルIPアドレスとともに、端末機器6がプライベートIPアドレスを有していることを示す情報をサーバ3へ登録する。
上記登録が行われた状態で、例えば端末機器4は、サーバ3から上記登録情報を取得することにより、端末機器5のグローバルIPアドレスを知ることができる。よって、端末機器4はそのグローバルIPアドレスに接続することにより、端末機器5と直接やり取りすることができる。つまり、端末機器4と端末機器5とはピアツーピア通信を行うことができる。
特開2004−120547号公報 特開2003−203023号公報
しかしながら、上述の情報処理システムでは、ピアツーピア通信は、グローバルIPアドレスを有する端末機器同士のみで可能である。グローバルIPアドレスを持たない端末機器6とグローバルIPアドレスを有する端末機器4又は端末機器5とが通信を行う場合は、ピアツーピア通信を行うことができず、常にサーバ3経由で通信が行われる。そのため、例えば、動画データ等の容量の大きなデータを送受信する場合、サーバ3に多大な負荷がかかることとなる。
また、ネットワークを介してピアツーピア通信を行うということは、ピアツーピア通信を行う機器はネットワーク上の他の機器からの接続を許容している状態であり、不正にアクセスされる危険性がある。しかしながら、上述の情報処理システムでは、端末機器4と端末機器5との間でピアツーピア通信を行う場合に、それぞれの機器において不正アクセスを防ぐための方法は開示されていない。
そこで、本発明は、このような従来の問題点を鑑みてなされたものであって、互いに異なるネットワーク上にある機器間で、少なくとも一方の機器がグローバルIPアドレスを持たない場合においても、接続相手の機器が正しい機器であることを確認した上でピアツーピア通信を行うことができる機器、それを実現させるための通信管理装置、及び通信システムを提供することを目的とする。
上述した課題を解決するために、本発明に関わる通信システムは、第1のネットワークに接続される接続要求機器と、第2のネットワークに接続される応答機器と、前記第1のネットワークと前記第2のネットワークとを接続する第3のネットワークに接続される接続管理装置とを備える通信システムであって、前記接続要求機器は、前記応答機器の識別子と、前記第1のネットワークのグローバルIPアドレスと、前記応答機器との通信に用いるポート番号と、前記応答機器との通信の確立を確認するための第1のパスワードとを前記接続管理装置に送信し、前記接続管理装置は、前記識別子と前記グローバルIPアドレスと前記ポート番号と前記第1のパスワードとを前記接続要求機器から受信し、前記グローバルIPアドレスと前記ポート番号と前記第1のパスワードとを、前記識別子を利用して前記応答機器へ送信し、前記応答機器は、前記グローバルIPアドレスと前記ポート番号と前記第1のパスワードとを前記接続管理装置から受信し、前記第1のパスワードと関連する応答パスワードを、前記グローバルIPアドレスと前記ポート番号とを利用して前記接続要求機器へ送信し、前記接続要求機器は、更に、前記グローバルIPアドレスと前記ポート番号とが利用されて前記応答機器から送信された前記応答パスワードを受信し、(1)受信された前記応答パスワードと前記第1のパスワードとが関連すると判断した場合、前記応答機器との接続を維持し、(2)受信された前記応答パスワードと前記第1のパスワードとが関連しないと判断した場合、前記応答機器との接続を切断する。
これにより、本発明に関わる通信システムにおいて、接続要求機器は、自身が接続される第1のネットワークのグローバルIPアドレス等を接続管理装置に送信する。このことにより、第2のネットワークに接続される応答機器に対する接続要求を行うことができる。つまり、応答機器がグローバルIPアドレスを有するか否かに関係なく、応答機器への接続要求を行うことができる。
更に、接続管理装置は、接続要求機器から送信される要求先識別子等を受信し、その中から応答機器が接続要求機器に直接接続するために必要な情報を送信することができる。つまり、応答機器と接続要求機器とがピアツーピア通信を開始することを可能なものとしている。
更に、応答機器は、接続要求機器に直接接続するための情報を受信することができる。つまり、第1のネットワークのグローバルIPアドレスと、前記接続要求機器が前記応答機器との通信に用いる第1のポート番号とを接続管理装置から受信することができ、応答機器は、第1の機器がグローバルIPアドレスを持たない場合であっても接続要求機器に直接接続することができる。また、受信した第1のパスワードに関連する応答パスワードを接続要求機器に送信することにより、応答機器は、自身が正しい機器であることを接続要求機器に確認させることが可能となる。接続要求機器は、応答機器から受信する応答パスワードと自身が送信した第1のパスワードとが関連していると判断した場合に接続を維持する。つまり、接続相手が正しい機器であることを確認した上で接続を維持するため、接続要求機器に対する不正なアクセスを防止することができる。
以上の各機器の動作により、本発明に関わる通信システムにおいて、接続管理装置が接続要求機器からの応答機器に対する接続要求を仲介することで、応答機器は接続管理装置へ直接接続するための情報を取得することができ、接続要求機器と応答機器とがピアツーピア通信を開始することが可能となる。また、接続要求機器が、接続相手が応答機器であることを確認した上でピアツーピア通信を行なうため、接続要求機器に対する不正なアクセスを防止できる。
また、本発明に関わる接続要求機器は、第1のネットワークに接続され、第2のネットワークに接続される応答機器に接続を要求する接続要求機器であって、前記応答機器の識別子と、前記第1のネットワークのグローバルIPアドレスと、前記接続要求機器が前記応答機器との通信に用いるポート番号と、前記応答機器からの接続を確認するための第1のパスワードとを、前記第1のネットワークと前記第2のネットワークとを接続する第3のネットワークに接続される接続管理装置へ送信する第1送信手段と、前記グローバルIPアドレスと前記ポート番号とが利用されて前記応答機器から送信される応答パスワードを受信する第1受信手段と、前記第1送信手段が送信した前記第1のパスワードと前記第1受信手段が受信した前記応答パスワードとが関連するか否かを判断する判断手段と、前記判断手段が、(1)前記応答パスワードと前記第1のパスワードとが関連すると判断した場合、前記応答機器との接続を前記第1送信手段及び前記第1受信手段に維持させ、(2)前記応答パスワードと前記第1のパスワードとが関連しないと判断した場合、前記応答機器との接続を前記第1送信手段及び前記第1受信手段に切断させる通信制御手段とを備える。
これにより、本発明に関わる接続要求機器は、自身が接続される第1のネットワークのグローバルIPアドレス等を接続管理装置に送信する。このことにより、第2のネットワークに接続される応答機器に対する接続要求を行うことができる。つまり、応答機器がグローバルIPアドレスを有するか否かに関係なく、応答機器への接続要求を行うことができる。また、応答機器から受信する応答パスワードと自身が送信した第1のパスワードとが関連していると判断した場合に接続を維持する。つまり、接続相手が正しい機器であることを確認した上で接続を維持するため、接続要求機器に対する不正なアクセスを防止することができる。
また、本発明に関わる第接続管理装置は、接続要求機器が接続される第1のネットワークと応答機器が接続される第2のネットワークとを接続する第3のネットワークに接続される接続管理装置であって、前記応答機器の識別子である要求先識別子と、前記第1のネットワークのグローバルIPアドレスと、前記接続要求機器が前記応答機器との通信に用いる第1のポート番号と、前記接続要求機器が前記応答機器からの接続を確認するための第1のパスワードとを前記接続要求機器から受信する第3受信手段と、前記グローバルIPアドレスと前記第1のポート番号と前記第1のパスワードとを前記要求先識別子を利用して前記応答機器に送信する第3送信手段を備える。
これにより、接続管理装置は、接続要求機器から送信される要求先識別子等を受信し、その中から応答機器が接続要求機器に直接接続するために必要な情報を送信することができる。つまり、応答機器と接続要求機器とがピアツーピア通信を開始することを可能なものとしている。
また、本発明に関わる応答機器は、第2のネットワークに接続され、第1のネットワークに接続される接続要求機器からの接続の要求に応答する応答機器であって、前記第1のネットワークのグローバルIPアドレスと、前記接続要求機器が前記応答機器との通信に用いる第1のポート番号と、前記接続要求機器が前記応答機器からの接続を確認するための第1のパスワードとを、前記第1のネットワークと前記第2のネットワークとを接続する第3のネットワークに接続される接続管理装置から受信する第2受信手段と、前記第1のパスワードと関連する応答パスワードを、前記グローバルIPアドレスと前記第1のポート番号とを利用して前記接続要求機器へ送信する第2送信手段とを備える。
これにより、本発明に関わる応答機器は、接続要求機器に直接接続するための情報を受信することができる。
つまり、第1のネットワークのグローバルIPアドレスと、前記接続要求機器が前記応答機器との通信に用いる第1のポート番号とを接続管理装置から受信することができ、応答機器は、第1の機器がグローバルIPアドレスを持たない場合であっても接続要求機器に直接接続することができる。また、受信した第1のパスワードに関連する応答パスワードを接続要求機器に送信することにより、応答機器は、自身が正しい機器であることを接続要求機器に確認させることが可能となる。
本発明は、互いに異なるネットワーク上にある機器間で、少なくとも一方の機器がグローバルIPアドレスを持たない場合においても、接続相手の機器が正しい機器であることを確認した上でピアツーピア通信を行うことができる機器、それを実現させるための通信管理装置、及び通信システムを提供することができる。
以下に、本発明の実施の形態を図面を参照して説明する。
(実施の形態1)
以下、本発明の実施の形態1について、図1から図5を用いて説明する。
先ず、本発明の実施の形態1における通信システム1の構成を図1及び図2を用いて説明する。
図1は、本発明の実施の形態1における通信システム1のハードウェア構成図である。通信システム1はネットワークで接続される機器間でピアツーピア通信を行わせるための通信システムである。通信システム1は、サーバ101と、WAN105と、ルータ104aと、LAN106aと、要求発行機器102と、ルータ104bと、要求受諾機器103と、LAN106bとを備える。
図1に示すように、サーバ101とルータ104a及びルータ104bとはWAN105で接続されている。また、ルータ104aと要求発行機器102とはLAN106aで接続され、ルータ104bと要求受諾機器103とはLAN106bで接続されている。つまり、サーバ101と要求発行機器102とはWAN105及びルータ104aを介して接続され、サーバ101と要求受諾機器103とはWAN105及びルータ104bを介して接続されている。
サーバ101は、本発明の接続管理装置の一例であり、要求発行機器102と要求受諾機器103とをピアツーピア接続させるための装置である。
WAN105は、本発明の通信システムにおける第3のネットワークの一例であり、インターネットに代表される、LAN間を接続する広域ネットワークである。
ルータ104aはNAPT機能を備え、グローバルIPアドレスとプライベートIPアドレスとを相互変換することにより、プライベートIPアドレスを有する要求発行機器102とグローバルIPアドレスを有するサーバ101との通信を中継する機器である。
要求発行機器102は、本発明の接続要求機器の一例であり、要求受諾機器103に対して接続を要求する機器である。LAN106aは、本発明の通信システムにおける第1のネットワークの一例であり、上述のようにルータ104aと要求発行機器102とを接続するネットワークである。
ルータ104bはルータ104aと同様のNAPT機能を備え、プライベートIPアドレスを有する要求受諾機器103とグローバルIPアドレスを有するサーバ101との通信を中継する機器である。
要求受諾機器103は、本発明の応答機器の一例であり、要求発行機器102からの接続要求に対応する機器である。LAN106bは、本発明の通信システムにおける第2のネットワークの一例であり、上述のようにルータ104bと要求受諾機器103とを接続するネットワークである。
通信システム1は、上述のようにネットワークで接続される機器間でピアツーピア通信を行わせるための通信システムであり、要求発行機器102と要求受諾機器103とはサーバ101を介することなくデータの送受信を行うことができる。つまり、大容量のデータの送受信を伴う通信であっても、サーバ101に負荷を掛けることがない。そのため、例えば、動画データを再生する動画蓄積機器と動画データを蓄積する動画再生機器とがピアツーピア通信を行ない、動画再生機器に動画データを動画蓄積機器から直接取得させるための動画配信システム等に適用できる。
図2は、通信システム1の機能的な構成を示す機能ブロック図である。通信システム1は上述のように、サーバ101と、WAN105と、ルータ104aと、LAN106aと、要求発行機器102と、ルータ104bと、要求受諾機器103と、LAN106bとを備える。
サーバ101は、上述のように要求発行機器102と要求受諾機器103とをピアツーピア接続させるための装置であり、要求発行機器102とWAN105及びルータ104aを介して接続することができ、要求受諾機器103とWAN105及びルータ104bを介して接続することができる。サーバ101は、サーバ側通信部110と、機器IDリスト保管部111と、検索部112とを備える。
サーバ側通信部110は、要求発行機器102から送信される要求受諾機器103への接続要求を受信し、要求受諾機器103が要求発行機器102へ直接接続するための情報を要求受諾機器103へ送信する処理部である。サーバ側通信部110は本発明の接続管理装置における第3送信手段及び第3受信手段が備える機能を実現する処理部である。
機器IDリスト保管部111は、要求受諾機器103を識別する機器IDと、サーバ101が要求受諾機器103に情報を送信するために必要な情報とを対応付けて機器IDリストとして保管するための記憶装置である。検索部112は、受信した機器IDから要求受諾機器103に情報を送信するために必要な情報を、機器IDリスト保管部111に保管された機器IDリストの中から検索する処理部である。
要求発行機器102は、上述のように要求受諾機器103に対して接続を要求する機器であり、ルータ104a及びWAN105を介してサーバ101に接続される。要求発行機器102は、要求側通信部120と、パスワード生成部121と、入力部122と、判断部123と、通信制御部124とを備える。
要求側通信部120は、サーバ101又は要求受諾機器103と情報のやり取りを行う処理部である。要求側通信部120は本発明の接続要求機器における第1送信手段及び第1受信手段が備える機能を実現する処理部である。パスワード生成部121は、ピアツーピア通信を行う通信相手を確認するためのパスワードとして乱数を生成する処理部である。パスワード生成部121は、要求受諾機器103への接続の要求を行う毎に乱数であるパスワードを生成する。つまり、要求を行う毎に使い捨てられる使い捨てパスワードを生成する。
入力部122は、要求発行機器102を使用するユーザが要求発行機器102に対して情報を入力するための処理部である。判断部123は、ピアツーピア通信を行う通信相手から送信されたパスワードが、パスワード生成部121が生成したパスワードと一致するか否かの判断を行う処理部である。通信制御部124は、判断部123の判断に基づき、要求側通信部120に通信の維持又は切断を行わせる処理部である。
要求受諾機器103は、上述のように要求発行機器102からの接続要求に対応する機器であり、ルータ104b及びWAN105を介してサーバ101と接続される。要求受諾機器103は、受諾側通信部130と、機器ID保管部132とを備える。
受諾側通信部130は、サーバ101又は要求発行機器102と情報のやり取りを行う処理部である。受諾側通信部130は本発明の応答機器における第2送信手段及び第2受信手段が備える機能を実現する処理部である。サーバ101から受信する要求発行機器102からの接続要求に応答するための処理を行う処理部である。機器ID保管部132は、要求受諾機器103に予め付与された識別子である機器IDを保管するための記憶装置である。
図2に示すように、通信システム1を構成する各機器は、グローバルIPアドレスまたはプライベートIPアドレスを有しており、サーバ101はグローバルIPアドレスである“230.74.23.6”を、要求発行機器102はプライベートIPアドレスである“192.168.1.11”を、要求受諾機器103はプライベートIPアドレスである“192.168.1.3”を、ルータ104aはグローバルIPアドレスである“4.17.206.2”を、ルータ104bはグローバルIPアドレスである“202.204.16.255”をそれぞれ有していると想定する。
なお、ルータ104a及びルータ104bが有するグローバルIPアドレスは、WAN105上のサーバ101と通信を行う際に使用するものであり、それぞれ、以下「WAN側IPアドレス」ともいう。また、ルータ104a及びルータ104bはそれぞれ、サーバ101と通信を行うためのポート番号を有するが、それらポート番号も、以下「WAN側ポート番号」ともいう。
次に、以上のように構成された通信システム1の動作を図3から図5を用いて説明する。
図3は、通信システム1における各機器間での通信シーケンスの一例を示す図である。なお、要求受諾機器103は、機器ID保管部132に機器ID“2133”を保管しているものとする。また、図中の「○」は、ルータ104a又はルータ104bにおいて、NAPT機能により、パケットに対するIPアドレス及びポート番号の変換が行われていることを示す。
要求受諾機器103は、あらかじめ機器ID“2133”を含む機器登録パケットを、要求側通信部120からサーバ101にUDPを用いて送信する(S201)。
機器登録パケットはUDPパケットであるため、要求受諾機器103から送信された時点では、付加情報(UDPヘッダ)として要求受諾機器103のプライベートIPアドレスとポート番号が付加されているが、ルータ104bを通過する際にNAPT機能によって、プライベートIPアドレスとポート番号とが、ルータ104bが有するグローバルIPアドレスと、ルータ104bがサーバ101と通信を行うポート番号とに変換される。
要求受諾機器103は上記機器登録パケットを周期的もしくは必要に応じてサーバ101へ送信する。
サーバ101では、サーバ側通信部110が機器登録パケットを受信し、機器登録パケットに含まれる要求受諾機器103の機器ID、及び要求受諾機器103が接続されるルータ104bのグローバルIPアドレスとポート番号との組を対応づけ、図4に示す機器IDリストとして、機器IDリスト保管部111に保管する(S202)。
要求受諾機器103は、周期的もしくは必要に応じて機器登録パケットをサーバ101に送信するため、ルータ104bのWAN側IPアドレスもしくはWAN側ポート番号が変更になった場合でも、自動的に更新される。
つまり、サーバ101は機器IDリスト保管部111に保管されている機器IDリストを参照することにより、任意のタイミングでサーバ101から要求受諾機器103へパケットを送信することができる。
要求発行機器102が要求受諾機器103との通信を行う場合、要求側通信部120は、パスワード生成部121で生成された乱数である使い捨てパスワードと、ユーザによって入力部122から入力された要求受諾機器103の機器ID“2133”とを取得する。
要求側通信部120は、機器IDの取得後、まずサーバ101へのTCP接続を行い(S203)、接続要求パケットAをサーバ101に送信する(S204)。接続要求パケットAには、要求受諾機器103の機器ID、要求受諾機器103との通信に用いるグローバルIPアドレスとポート番号、及び使い捨てパスワードが含まれている。
ここで、接続要求パケットAに含まれる、グローバルIPアドレス及びポート番号は、それぞれルータ104aのWAN側IPアドレス及びWAN側ポート番号であり、要求受諾機器103が要求発行機器102へ直接接続するためのグローバルIPアドレス及びポート番号である。
図5は、接続要求パケットAをサーバ101へ送信した後のルータ104aが有するNAPTテーブルの一例を示す図である。
図5に示すNAPTテーブルの1行目は、要求発行機器102がサーバ101と通信を行うための変換情報である。この変換情報は要求発行機器102が送信した接続要求パケットAがルータ104aを通過する際にルータ104aにより決定され、WANルータアドレスとWANルータポートとが、接続要求パケットAの付加情報(TCPヘッダ)として付加される。なお、WANルータアドレスはルータ104aのWAN側IPアドレスであり、WANルータポートはルータ104aのWAN側ポート番号である。
図5に示すNAPTテーブルの2行目は、要求発行機器102が要求受諾機器103からのTCP接続を受け付けるための変換情報である。WANルータアドレス“4.17.206.2”と、WANルータポート“5000”とが接続要求パケットAのペイロードに含まれている。これらWANルータアドレス及びWANルータポートの値は、接続要求パケットAの送信前に、要求側通信部120がルータ104aから取得し、接続要求パケットAに含ませる。
上記のグローバルIPアドレス“4.17.206.2”、ポート番号“5000”に対してTCP接続がなされた場合、それらグローバルIPアドレス及びポート番号がそれぞれ、ルータ104aのNAPT機能により図5のNAPTテーブルの2行目に示すLAN機器アドレス“192.168.1.11”及びLANルータポート“1600”に変換され、要求発行機器102に対してTCP接続を行うことができる。
サーバ101では、サーバ側通信部110が接続要求パケットAを受信し、検索部112が、接続要求パケットAに含まれている接続要求先の機器ID“2133”により、機器IDリスト保管部111に保管されている図4に示す機器IDリストを検索する(S205)。
検索部112は、機器ID“2133”に関連づけられているIPアドレス“202.204.16.255”とポート番号“3400”とを機器IDリストから抽出し、サーバ側通信部110が、それらIPアドレス“202.204.16.255”とポート番号“3400”とを宛先として、接続要求通知パケットをUDPを用いて送信する(S206)。つまり、接続要求通知パケットが要求受諾機器103へ送信される。接続要求通知パケットは接続要求があったことを要求受諾機器103に通知するためのパケットである。
接続要求通知パケットは、機器登録パケットに対する応答としてルータ104bに送信されるため、ルータ104bでIPアドレスとポート番号の変換が行われ、要求受諾機器103に到達できる。
要求受諾機器103は、接続要求通知パケットを受け取ると、受諾側通信部130がサーバ101に対してTCP接続を行う(S207)。
サーバ101は、要求受諾機器103からのTCP接続を受諾すると、TCP接続を介して接続要求パケットBを要求受諾機器103に送信する(S208)。接続要求パケットBには、サーバ101が要求発行機器102から受信した接続要求パケットAに含まれている、要求発行機器102が要求受諾機器103と通信を行うためのグローバルIPアドレス“4.17.206.2”とポート番号“5000”の組、及び使い捨てパスワードが含まれている。
要求受諾機器103は、接続要求パケットBを受信し、接続要求パケットBに含まれているグローバルIPアドレス“4.17.206.2”とポート番号“5000”に対して、受諾側通信部130よりTCP接続を試みると、前述のようにルータ104aのNAPT機能により、要求発行機器102との間でTCP接続を確立することができる(S210)。
TCP接続の確立後、受諾側通信部130は、接続要求パケットBに含まれている使い捨てパスワードをそのまま応答パスワードとし、その応答パスワードを含む機器認証パケットを要求発行機器102に送信する。
要求発行機器102では、要求側通信部120が機器認証パケットを受信し(S211)、判断部123が、受信した機器認証パケットに含まれている応答パスワードと、通信開始にあたって、パスワード生成部121で生成し、接続要求パケットAに含めて送信した使い捨てパスワードとが一致しているかどうかを判断する(S212)。
判断部123により、機器認証パケットに含まれている応答パスワードと、送信前の使い捨てパスワードとが一致していることが判断されると、通信制御部124は、要求側通信部120にそのまま要求受諾機器103との通信を維持させる。以降、要求発行機器102と要求受諾機器103とは、TCP接続を介して通信を行う(S213)。つまり、要求発行機器102と要求受諾機器301とはピアツーピア通信を行ことができ、例えば動画データ等の大容量のデータであっても、サーバ101に負荷を掛けることなく送受信することができる。
なお、機器認証パケットに含まれている使い捨てパスワードと、送信前の使い捨てパスワードとが一致しないと判断部123が判断した場合、通信制御部124は、要求側通信部120に対し通信の切断を行わせる。
上述のように、要求発行機器102は、要求受諾機器103との通信を行う際、最初にサーバ101に対して接続要求パケットAを送信すると、その後、要求受諾機器103から直接接続され、要求受諾機器103とのピアツーピア通信の開始が可能となる。
また、要求発行機器102は、接続要求パケットAに使い捨てパスワード含ませて送信し、要求受諾機器103はサーバ101を介し受け取った使い捨てパスワードそのものを応答パスワードとして要求発行機器102に送信する。要求発行機器102は、要求受諾機器103から受信した応答パスワードと、接続要求パケットAに含ませて送信した使い捨てパスワードとが一致しているか否かの判断を行う。
受信した応答パスワードと送信した使い捨てパスワードとが一致している場合は、機器認証パケットの送信元の機器は、要求発行機器102が接続相手として指定した要求受諾機器103であると判断できる。よって接続相手が正しい機器であることを確認した上で、要求受諾機器103とのピアツーピア通信を維持することができる。
以上のようにして、グローバルIPアドレスを持たない要求発行機器102が、自身が接続されるLANとは異なるLAN上にある、グローバルIPアドレスを持たない要求受諾機器103との間で、WANを介してピアツーピア通信を行うことができる。また、使い捨てパスワードを用い要求発行機器102が、通信相手が要求受諾機器103である、つまり接続相手が正しい機器であることを確認した上で、ピアツーピア接続の維持を決定するために、要求発行機器102に対する不正なアクセスを防ぐことができ、安全なピアツーピア接続が可能となる。
なお、上述の実施の形態1において、要求発行機器102がグローバルIPアドレスを有し、直接WAN105に接続されている場合、又は、要求受諾機器103がグローバルIPアドレスを有し、直接WAN105に接続されている場合であっても、要求発行機器102と要求受諾機器103とがピアツーピア通信を行うことが可能である。
いずれの場合であっても、ルータ104aまたはルータ104bを介さずに通信を行うだけであり、つまり、ルータによってIPアドレスやポート番号の変換が行われないだけである。その他の、各機器の動作は、上述の実施の形態1の説明で述べた動作と同様である。こうすることで、通信システム1の設計における自由度が向上する。
また、ルータ104aやルータ104bが、NAPT機能ではなくNAT機能のみ有している場合でも同様の動作で要求発行機器102と要求受諾機器103との間で通信を行うことができる。この場合、ルータでポート番号の変換は行われない。こうすることでルータの選択の際の自由度が向上する。
また、要求発行機器102は、要求受諾機器103から要求発行機器102へのTCP接続(S210)用のIPアドレスとポート番号の組み合わせを常にルータ104aのNAPTテーブル(図5参照)に設定したままでもよいし、要求発行機器102からサーバ101へTCP接続を行う(S203)際にこの組み合わせをNAPTテーブルに設定し、TCP接続が終了するとこの組み合わせをNAPTテーブルから削除するようにしてもよい。NAPTテーブルの設定は、静的NAPTを用いてもよいし、Universal Plug and Playなどの機能を用いてもよい。こうすることで、ルータ104aに対する設定方法をユーザの好みや都合で決定することができる。
また、要求発行機器102からサーバ101へのTCP接続(S203)を介した通信、及び要求受諾機器103からサーバ101へのTCP接続(S207)を介した通信は、SSL(Secure Sockets Layer)などの暗号化通信を用いてもよい。この場合、例えば、サーバ101がサーバ証明書を持ち、サーバ101、要求発行機器102、及び要求受諾機器103は、それぞれサーバ証明書を利用した暗号化通信を行うための処理部を持てばよい。こうすることで、要求発行機器102とサーバ101との間の通信、及び、サーバ101と要求受諾機器103との間の通信の秘匿性が高度に保たれる。
また、要求発行機器102と要求受諾機器103とのピアツーピア通信(S213)はSSLなどの暗号化通信を用いてもよいし、UDPなど他の伝送プロトコルを用いてもよい。こうすることで、要求発行機器102と要求受諾機器103との間で行うピアツーピア通信における通信プロトコルをユーザが自由に選択することができる。
また、図2から図5に図示されたIPアドレス、ポート番号及び機器IDは一例であって、他の値であってもよい。
また、要求発行機器102のパスワード生成部121は、乱数の代わりに疑似乱数を生成し、使い捨てパスワードとして使用してもよい。更に、パスワード生成部121が生成するパスワードは、使い捨てパスワードではなく定常的なパスワードでもよく、要求受諾機器103から送信される応答パスワードとの関係から、接続相手が要求受諾機器103であることを判断できるものであればよい。
また、要求発行機器102は、送信した使い捨てパスワードと受信した応答パスワードとが一致すると判断部123が判断した場合に、接続相手が要求受諾機器103であると判断するとしたが、一致ではなく、送信した使い捨てパスワードと受信した応答パスワードとが所定の関連性を有すると判断部123が判断した場合に、接続相手が要求受諾機器103であると判断してもよい。
例えば、要求受諾機器103の受諾側通信部130が、使い捨てパスワードに所定の演算を施し、その演算結果である応答パスワードと、送信した使い捨てパスワードとを要求判断部123が比較し、受信した応答パスワードが、送信した使い捨てパスワードに上記の所定の演算を施した結果であるか否かで判断してもよい。また、例えば、受信した応答パスワードが、送信した使い捨てパスワードの一部又は全部を含むか否かで判断してもよい。
また、要求発行機器102は、入力部122を備えていなくてもよい。例えば、LAN106aに接続された他の機器から、要求側通信部120を介して機器IDを受け取ってもよく、また、接続先が要求受諾機器103だけである場合など、機器IDを予め記憶しておき、要求発行機器102の起動時に接続するようにしてもよい。
また、上述のように、パスワード生成部121が生成するパスワードは定常的なパスワードでもよく、つまり、接続の度に変更する必要がない場合は、パスワード生成部121を備える必要はない。この場合、例えば、所定のパスワードを所定の領域に記憶しておき、その所定のパスワードを接続要求パケットAに含ませてサーバ101へ送信すればよい。
また、サーバ101が機器IDリスト保管部111を備えていなくてもよく、例えば、機器IDなど、要求受諾機器103を識別し、要求受諾機器103へ接続するための情報が記憶された記憶装置を別途接続し、その情報を利用して、要求発行機器102から送信された接続要求パケットBを要求受諾機器103へ送信してもよい。
また、要求受諾機器103は機器ID保管部132を備えていなくてもよく、例えば、要求受諾機器103がLAN106b内で割り当てられるプライベートIPアドレスが一定である場合は要求受諾機器103を識別する識別子としてそのプライベートIPアドレスを用いればよい。
この場合、例えば、要求発行機器102は、接続先としてそのプライベートIPアドレスを接続要求パケットAに含ませてサーバ101へ送信すればよい。また、サーバ101は、そのプライベートIPアドレスと、LAN106aのグローバルIPアドレスと、要求受諾機器103とサーバ101とが通信するためのポート番号とを対応付けた情報を記憶しておく、又は、外部の記憶装置等から取り込み利用すればよい。
上述のように、要求発行機器102、サーバ101又は要求受諾機器103を構成する処理部や、その処理方法に自由度を持たせることで、通信システム1の構築の際に、ハードウェア/ソフトウェアの選択・設計に自由度を持たせることができる。
(実施の形態2)
上述の実施の形態1において、要求受諾機器が要求発行機器102からの接続を認証する処理、及びその処理に必要な処理部を追加した形態を本発明の実施の形態2とし、図4から図7を用いて説明する。
なお、図6及び図7において、図2及び図3に示す符号と同じ符号の処理部等は、上述の実施の形態1での動作と同様の動作を行う。
先ず、本発明の実施の形態2における通信システム2の構成を図6及び図7を用いて説明する。
図6は、通信システム2の機能的の構成を示す機能ブロック図である。サーバ101と、WAN105と、ルータ104aと、LAN106aと、要求発行機器102と、ルータ104bと、要求受諾機器301と、LAN106bとを備える。
サーバ101は、要求発行機器102と要求受諾機器301とをピアツーピア接続させるための装置であり、要求発行機器102と、104a及びWAN105を介して接続することができ、要求受諾機器301と、104b及びWAN105を介して接続することができる。
要求発行機器102は、要求受諾機器301に対して接続を要求する機器であり、ルータ104a及びWAN105を介してサーバ101と接続される。
図6に示すサーバ101及び要求発行機器102は、図2に示した通信システム1におけるサーバ101及び要求発行機器102と同じ処理部をそれぞれ有している。
要求受諾機器301は、要求受諾機器103と同様に、本発明の応答機器の一例であり、要求発行機器102からの接続要求に対応する機器である。要求受諾機器103が有する機能に加え、要求発行機器102との接続を認証するための機能を有している。要求受諾機器301は、ルータ104b及びWAN105を介してサーバ101と接続される。
要求受諾機器301は、図2に示した通信システム1における要求受諾機器103と同様に、受諾側通信部130と、機器ID保管部132とを備え、更に、認証部303と、認証パスワード保管部302とを備える。
認証パスワード保管部302は、接続を要求する要求発行機器102に対し、その接続を認証するための認証パスワードを保管する記憶装置である。認証パスワードは本発明の応答機器における第2のパスワードの一例である。
認証部303は、要求発行機器102から送信された認証パスワードと、認証パスワード保管部302に保管されている認証パスワードとを比較し、要求発行機器102との接続を認証する処理部である。
図6に示すように、通信システム2を構成する各機器には、グローバルIPアドレスまたはプライベートIPアドレスを有しており、サーバ101はグローバルIPアドレスである“230.74.23.6”を、要求発行機器102はプライベートIPアドレスである“192.168.1.11”を、要求受諾機器301はプライベートIPアドレスである“192.168.1.3”を、ルータ104aはグローバルIPアドレスである“4.17.206.2”を、ルータ104bはグローバルIPアドレスである“202.204.16.255”をそれぞれ有していると想定する。
なお、実施の形態2における通信システム2も、通信システム1と同様に、例えば、動画データを再生する動画蓄積機器と動画データを蓄積する動画再生機器とがピアツーピア通信を行ない、動画再生機器に動画データを動画蓄積機器から直接取得させるための動画配信システム等に適用できる。
次に、以上のように構成された通信システム2の動作を図4、図5及び図7を用いて説明する。
図7は、通信システム2における各機器間での通信シーケンスの一例を示す図である。なお、要求受諾機器301は、機器ID保管部132に機器ID“2133”を保管しているものとする。また、図中の「○」は、ルータ104a又はルータ104bにおいて、NAPT機能により、パケットに対するIPアドレス及びポート番号の変換が行われていることを示す。
要求受諾機器301は、あらかじめ機器ID“2133”を含む機器登録パケットを、要求側通信部120からサーバ101にUDPを用いて送信する(S201)。
機器登録パケットはUDPパケットであるため、要求受諾機器301から送信された時点では、付加情報(UDPヘッダ)として要求受諾機器301のプライベートIPアドレスとポート番号が付加されているが、ルータ104bを通過する際にNAPT機能によって、プライベートIPアドレスとポート番号とが、ルータ104bが有するグローバルIPアドレスと、ルータ104bがサーバ101と通信を行うポート番号とに変換される。
要求受諾機器301は上記機器登録パケットを周期的もしくは必要に応じてサーバ101へ送信する。
サーバ101では、サーバ側通信部110が機器登録パケットを受信し、機器登録パケットに含まれる要求受諾機器301の機器ID、及び要求受諾機器301が接続されるルータ104bのグローバルIPアドレスとポート番号との組を対応づけ、図4に示す機器IDリストとして、機器IDリスト保管部111に保管する(S202)。
要求受諾機器301は、周期的もしくは必要に応じて機器登録パケットをサーバ101に送信するため、ルータ104bのWAN側IPアドレスもしくはWAN側ポート番号が変更になった場合でも、自動的に更新される。
つまり、サーバ101は機器IDリスト保管部111に保管されている機器IDリストを参照することにより、任意のタイミングでサーバ101から要求受諾機器301へパケットを送信することができる。
要求発行機器102が要求受諾機器301との通信を行う場合、要求側通信部120は、パスワード生成部121で生成された乱数である使い捨てパスワードと、ユーザによって入力部122から入力された要求受諾機器301の機器ID“2133”、及び要求発行機器102との接続を要求受諾機器301に認証させるためのパスワードである認証パスワードとを取得する。
要求側通信部120は、機器ID及び認証パスワードの取得後、まずサーバ101へのTCP接続を行い(S203)、接続要求パケットCをサーバ101に送信する(S401)。接続要求パケットCには、要求受諾機器301の機器IDと認証パスワード、要求受諾機器301との通信に用いるグローバルIPアドレスとポート番号、及び使い捨てパスワードが含まれている。
ここで、接続要求パケットCに含まれる、グローバルIPアドレス及びポート番号は、それぞれルータ104aのWAN側IPアドレス及びWAN側ポート番号であり、つまり、要求受諾機器301が要求発行機器102へ直接接続するためのグローバルIPアドレス及びポート番号である。
接続要求パケットCをサーバ101へ送信した後のルータ104aが有するNAPTテーブルは、図5に示したNAPTテーブルと同様であり、図5に示すNAPTテーブルの1行目の変換情報は要求発行機器102が送信した接続要求パケットCがルータ104aを通過する際にルータ104aにより決定され、WANルータアドレスとWANルータポートとが、接続要求パケットCの付加情報(TCPヘッダ)として付加される。
また、要求発行機器102が要求受諾機器301からのTCP接続を受け付けるための変換情報は、図5に示すNAPTテーブルの2行目であり、WANルータアドレス“4.17.206.2”と、WANルータポート“5000”とが接続要求パケットCのペイロードに含まれている。これらWANルータアドレス及びWANルータポートの値は、接続要求パケットCの送信前に、要求側通信部120がルータ104aから取得し、接続要求パケットCに含ませる。
上記のグローバルIPアドレス“4.17.206.2”、ポート番号“5000”に対してTCP接続がなされた場合、それらグローバルIPアドレス及びポート番号がそれぞれ、ルータ104aのNAPT機能により図5のNAPTテーブルの2行目に示すLAN機器アドレス“192.168.1.11”及びLANルータポート“1600”に変換され、要求発行機器102に対してTCP接続を行うことができる。
サーバ101では、サーバ側通信部110が接続要求パケットCを受信し、検索部112が、接続要求パケットCに含まれている接続要求先の機器ID“2133”により、機器IDリスト保管部111に保管されている図4に示す機器IDリストを検索する(S205)。
検索部112は、機器ID“2133”に関連づけられているIPアドレス“202.204.16.255”とポート番号“3400”とを機器IDリストから抽出し、サーバ側通信部110が、それらIPアドレス“202.204.16.255”、とポート番号“3400”とを宛先として、接続要求通知パケットをUDPを用いて送信する(S206)。つまり、接続要求通知パケットが要求受諾機器301へ送信される。接続要求通知パケットは接続要求があったことを要求受諾機器301に通知するためのパケットである。
接続要求通知パケットは、機器登録パケットに対する応答としてルータ104bに送信されるため、ルータ104bでIPアドレスとポート番号の変換が行われ、要求受諾機器301に到達できる。
要求受諾機器301は、接続要求通知パケットを受け取ると、受諾側通信部130がサーバ101に対してTCP接続を行う(S207)。
サーバ101は、要求受諾機器301からのTCP接続を受諾すると、TCP接続を介して接続要求パケットDを要求受諾機器301に送信する。接続要求パケットDには、サーバ101が要求発行機器102から受信した接続要求パケットCに含まれている、要求受諾機器301が要求発行機器102との接続を認証するための認証パスワード、要求発行機器102が要求受諾機器301と通信を行うためのグローバルIPアドレス“4.17.206.2”とポート番号“5000”の組、及び使い捨てパスワードが含まれている。
要求受諾機器301では、受諾側通信部130が接続要求パケットDを受信する。認証部303は、接続要求パケットDに含まれている認証パスワードと、認証パスワード保管部302に保有しているパスワードとが一致しているかどうかを確認する。一致している場合、要求発行機器102との接続を許可する(S403)。
認証部303は要求発行機器102との接続を許可する旨を受諾側通信部130に伝える。受諾側通信部130は、要求発行機器102との接続が認証されたことにより、接続要求パケットDに含まれているグローバルIPアドレス“4.17.206.2”とポート番号“5000”に対して、TCP接続を試みると、前述のようにルータ104aのNAPT機能により、要求発行機器102との間でTCP接続を確立することができる(S210)。
なお、接続要求パケットDに含まれている認証パスワードと、認証パスワード保管部302に保有しているパスワードが一致しない場合は、認証部303により要求発行機器102との接続が許可されず、受諾側通信部130は要求発行機器102への接続は行わない。
TCP接続の確立後、受諾側通信部130は、接続要求パケットBに含まれている使い捨てパスワードをそのまま応答パスワードとし、その応答パスワードを含む機器認証パケットを要求発行機器102に送信する(S211)。
要求発行機器102では、要求側通信部120が機器認証パケットを受信し、判断部123が、受信した機器認証パケットに含まれている応答パスワードと、通信開始にあたって、パスワード生成部121で生成し、接続要求パケットCに含めて送信した使い捨てパスワードとが一致しているかどうかを判断する(S212)。
判断部123により、機器認証パケットに含まれている応答パスワードと、送信前の使い捨てパスワードとが一致していることが判断されると、通信制御部124は、要求側通信部120にそのまま要求受諾機器301との通信を維持させる。以降、要求発行機器102と要求受諾機器301とは、TCP接続210を介して通信を行う(S213)。つまり、要求発行機器102と要求受諾機器301とはピアツーピア通信を行ことができ、例えば動画データ等の大容量のデータであっても、サーバ101に負荷を掛けることなく送受信することができる。
なお、機器認証パケットに含まれている使い捨てパスワードと、送信前の使い捨てパスワードとが一致しないと判断部123が判断した場合、通信制御部124は、要求側通信部120に対し通信の切断を行わせる。
上述のように、要求発行機器102は、要求受諾機器301との通信を行う際、最初にサーバ101に対して接続要求パケットCを送信すると、その接続要求パケットCに含まれる、要求発行機器102と要求受諾機器301との通信に必要な情報が、接続要求パケットDとして要求受諾機器301へ送信される。
接続要求パケットDには、要求受諾機器301が要求発行機器102との接続を認証するための認証パスワードが含まれており、正しい認証パスワードであれば、要求受諾機器301は要求発行機器102へ接続を行う。つまり、接続の要求元の正当性を確認した上で接続を開始することになる。
その後、要求発行機器102は要求受諾機器301から直接接続され、要求受諾機器301とのピアツーピア通信の開始が可能となる。
また、要求発行機器102は、接続要求パケットCに使い捨てパスワード含ませて送信し、要求受諾機器301はサーバ101を介し受け取った使い捨てパスワードそのものを応答パスワードとして要求発行機器102に送信する。要求発行機器102は、要求受諾機器301から受信した応答パスワードと、接続要求パケットCに含ませて送信した使い捨てパスワードが一致しているか否かの判断を行う。
受信した応答パスワードと送信した使い捨てパスワードとが一致している場合は、機器認証パケットの送信元の機器は、要求発行機器102が接続相手として指定した要求受諾機器103であると判断できる。よって接続相手が正しい機器であることを確認した上で、要求受諾機器103とのピアツーピア通信を維持することができる。
以上のようにして、グローバルIPアドレスを持たない要求発行機器102が、自身が接続されるLANとは異なったLAN上にある、グローバルIPアドレスを持たない要求受諾機器301との間で、WANを介してピアツーピア通信を行うことができる。また、使い捨てパスワードを用い要求発行機器102が、通信相手が要求受諾機器301である、つまり接続相手が正しい機器であることを確認した上で、ピアツーピア接続の維持を決定するために、要求発行機器102に対する不正なアクセスを防ぐことがでる。
よって、互いに異なるLANに接続される要求発行機器102と要求受諾機器301との間で、安全なピアツーピア通信を行うことがが可能となる。
更に、本実施の形態2における通信システム2においては、要求受諾機器301が、要求発行機器102から送信される認証パスワードにより、要求発行機器102との接続の認証を行うため、要求受諾機器301に対する不正なアクセスを防ぐことができ、ピアツーピア通信における安全性が更に向上する。
なお、上述の実施の形態2において、要求発行機器102がグローバルIPアドレスを有し、直接WAN105に接続されている場合、又は、要求受諾機器301がグローバルIPアドレスを有し、直接WAN105に接続されている場合であっても、要求発行機器102と要求受諾機器301とがピアツーピア通信を行うことが可能である。
いずれの場合であっても、ルータ104aまたはルータ104bを介さずに通信を行うだけであり、つまり、ルータによってIPアドレスやポート番号の変換が行われないだけである。その他の、各機器の動作は、上述の実施の形態2の説明で述べた動作と同様である。こうすることで、通信システム2の設計における自由度が向上する。
また、ルータ104aやルータ104bが、NAPT機能ではなくNAT機能のみ有している場合でも同様の動作で要求発行機器102と要求受諾機器301との間で通信を行うことができる。この場合、ルータでポート番号の変換は行われない。こうすることでルータの選択の際の自由度が向上する。
また、要求発行機器102は、要求受諾機器301から要求発行機器102へのTCP接続(S210)用のIPアドレスとポート番号の組み合わせを常にルータ104aのNAPTテーブル(図5参照)に設定したままでもよいし、要求発行機器102からサーバ101へTCP接続を行う(S203)際にこの組み合わせをNAPTテーブルに設定し、TCP接続が終了するとこの組み合わせをNAPTテーブルから削除するようにしてもよい。NAPTテーブルの設定は、静的NAPTを用いてもよいし、Universal Plug and Playなどの機能を用いてもよい。こうすることで、ルータ104aに対する設定方法をユーザの好みや都合で決定することができる。
また、要求発行機器102からサーバ101へのTCP接続(S203)を介した通信、及び要求受諾機器301からサーバ101へのTCP接続(S207)を介した通信は、SSL(Secure Sockets Layer)などの暗号化通信を用いてもよい。この場合、例えば、サーバ101がサーバ証明書を持ち、サーバ101、要求発行機器102、及び要求受諾機器301は、それぞれサーバ証明書を利用した暗号化通信を行うための処理部を持てばよい。こうすることで、要求発行機器102とサーバ101との間の通信、及び、サーバ101と要求受諾機器301との間の通信の秘匿性が高度に保たれる。
また、要求発行機器102と要求受諾機器301とのピアツーピア通信(S213)はSSLなどの暗号化通信を用いてもよいし、UDPなど他の伝送プロトコルを用いてもよい。こうすることで、要求発行機器102と要求受諾機器301との間で行うピアツーピア通信における通信プロトコルをユーザが自由に選択することができる。
また、図6及び図7に図示されたIPアドレス、ポート番号及び機器IDは一例であって、他の値であってもよい。
また、要求発行機器102のパスワード生成部121は、乱数の代わりに疑似乱数を生成し、使い捨てパスワードとして使用してもよい。更に、パスワード生成部121が生成するパスワードは、使い捨てパスワードではなく定常的なパスワードでもよく、要求受諾機器301から送信される応答パスワードとの関係から、接続相手が要求受諾機器301であることを判断できるものであればよい。
また、要求発行機器102は、送信した使い捨てパスワードと受信した応答パスワードとが一致すると判断部123が判断した場合に、接続相手が要求受諾機器301であると判断するとしたが、一致ではなく、送信した使い捨てパスワードと受信した応答パスワードとが所定の関連性を有すると判断部123が判断した場合に、接続相手が要求受諾機器301であると判断してもよい。
例えば、要求受諾機器301の受諾側通信部130が、使い捨てパスワードに所定の演算を施し、その演算結果である応答パスワードと、送信した使い捨てパスワードとを要求判断部123が比較し、受信した応答パスワードが、送信した使い捨てパスワードに上記の所定の演算を施した結果であるか否かで判断してもよい。また、例えば、受信した応答パスワードが、送信した使い捨てパスワードの一部又は全部を含むか否かで判断してもよい。
また、要求発行機器102は、入力部122を備えていなくてもよい。例えば、LAN106aに接続された他の機器から、要求側通信部120を介して機器IDと認証パスワードとを受け取ってもよく、また、接続先が要求受諾機器301だけである場合など、機器IDと認証パスワードとを予め記憶しておき、要求発行機器102の起動時に接続するようにしてもよい。
また、上述のように、パスワード生成部121が生成するパスワードは定常的なパスワードでもよく、つまり、接続の度に変更する必要がない場合は、パスワード生成部121を備える必要はない。この場合、例えば、所定のパスワードを所定の領域に記憶しておき、その所定のパスワードを接続要求パケットCに含ませてサーバ101へ送信すればよい。
また、要求受諾機器301が要求発行機器102との接続を認証する際、認証部303が、要求発行機器102から送信された認証パスワードと、認証パスワード保管部302に保管された認証パスワードとが一致した場合に、要求発行機器102からの接続を認証するとした。しかしながら、一致ではなく、要求発行機器102から送信された認証パスワードと、認証パスワード保管部302に保管された認証パスワードとが所定の関連性を有する場合に、要求発行機器102からの接続を認証するとしてもよい。
例えば、要求発行機器102から送信された認証パスワードに、認証パスワード保管部302に保管された認証パスワードが含まれる場合に、要求発行機器102からの接続を認証するとしてもよい。
また、サーバ101が機器IDリスト保管部111を備えていなくてもよく、例えば、機器IDなど、要求受諾機器301を識別し、要求受諾機器301へ接続するための情報が記憶された記憶装置を別途接続し、その情報を利用して、要求発行機器102から送信された接続要求パケットDを要求受諾機器301へ送信してもよい。
また、要求受諾機器301は機器ID保管部132を備えていなくてもよく、例えば、要求受諾機器301がLAN106b内で割り当てられるプライベートIPアドレスが一定である場合は要求受諾機器301を識別する識別子としてそのプライベートIPアドレスを用いればよい。
この場合、例えば、要求発行機器102は、接続先としてそのプライベートIPアドレスを接続要求パケットCに含ませてサーバ101へ送信すればよい。また、サーバ101は、そのプライベートIPアドレスと、LAN106aのグローバルIPアドレスと、要求受諾機器301とサーバ101とが通信するためのポート番号とを対応付けた情報を記憶しておく、又は、外部の記憶装置等から取り込み利用すればよい。
上述のように、要求発行機器102、サーバ101又は要求受諾機器301を構成する処理部や、その処理方法に自由度を持たせることで、通信システム2の構築の際に、ハードウェア/ソフトウェアの選択・設計に自由度を持たせることができる。
本発明は、要求を中継するサーバを利用することで、互いに異なったLAN上にある、グローバルIPアドレスを持たない機器同士でピアツーピア通信を行う通信システムに利用でき、特に、動画データ等の容量の大きなデータを送受信する通信システムとして有用である。
実施の形態1における通信システムのハードウェア構成の一例を示すハードウェア構成図である。 実施の形態1における通信システムの機能的な構成の一例を示す機能ブロック図である。 実施の形態1における通信システムの通信シーケンスの一例を示すシーケンス図である。 実施の形態1及び実施の形態2におけるサーバが有する機機器IDリストの一例を示す図である。 実施の形態1及び実施の形態2におけるにおける要求発行機器が接続するルータが有するNAPTテーブルの一例を示す図である。 実施の形態2における通信システムの機能的な構成の一例を示す機能ブロック図である。 実施の形態2における通信システムの通信シーケンスの一例を示すシーケンス図である。 家庭内のLANに接続された機器とWAN上のサーバとが通信を行うための通信システムの構成の一例を示す図である。 図8に示す通信システムにおいてルータのNAPT機能を用いて通信を行う際の通信シーケンスの一例を示す図である。 図8に示す通信システムにおけるルータが有するNAPTテーブルの一例を示す図である。 特許文献2に開示されている情報処理システムの概要を示す図である。
符号の説明
1、2 通信システム
101 サーバ
102 要求発行機器
103、301 要求受諾機器
104a、104b ルータ
105 WAN
106a、106b LAN
110 サーバ側通信部
111 機器IDリスト保管部
112 検索部
120 要求側通信部
121 パスワード生成部
122 入力部
123 判断部
124 通信制御部
130 受諾側通信部
132 機器ID保管部
302 認証パスワード保管部
303 認証部

Claims (26)

  1. 第1のネットワークに接続される接続要求機器と、第2のネットワークに接続される応答機器と、前記第1のネットワークと前記第2のネットワークとを接続する第3のネットワークに接続される接続管理装置とを備える通信システムであって、
    前記接続要求機器は、前記応答機器の識別子と、前記第1のネットワークのグローバルIPアドレスと、前記応答機器との通信に用いるポート番号と、前記応答機器との通信の確立を確認するための第1のパスワードとを前記接続管理装置に送信し、
    前記接続管理装置は、前記識別子と前記グローバルIPアドレスと前記ポート番号と前記第1のパスワードとを前記接続要求機器から受信し、前記グローバルIPアドレスと前記ポート番号と前記第1のパスワードとを、前記識別子を利用して前記応答機器へ送信し、
    前記応答機器は、前記グローバルIPアドレスと前記ポート番号と前記第1のパスワードとを前記接続管理装置から受信し、前記第1のパスワードと関連する応答パスワードを、前記グローバルIPアドレスと前記ポート番号とを利用して前記接続要求機器へ送信し、
    前記接続要求機器は、更に、前記グローバルIPアドレスと前記ポート番号とが利用されて前記応答機器から送信された前記応答パスワードを受信し、
    (1)受信された前記応答パスワードと前記第1のパスワードとが関連すると判断した場合、前記応答機器との接続を維持し、
    (2)受信された前記応答パスワードと前記第1のパスワードとが関連しないと判断した場合、前記応答機器との接続を切断する
    通信システム。
  2. 第1のネットワークに接続され、第2のネットワークに接続される応答機器に接続を要求する接続要求機器であって、
    前記応答機器の識別子と、前記第1のネットワークのグローバルIPアドレスと、前記接続要求機器が前記応答機器との通信に用いるポート番号と、前記応答機器との通信の確立を確認するための第1のパスワードとを、前記第1のネットワークと前記第2のネットワークとを接続する第3のネットワークに接続される接続管理装置へ送信する第1送信手段と、
    前記グローバルIPアドレスと前記ポート番号とが利用されて前記応答機器から送信される応答パスワードを受信する第1受信手段と、
    前記第1送信手段が送信した前記第1のパスワードと前記第1受信手段が受信した前記応答パスワードとが関連するか否かを判断する判断手段と、
    前記判断手段が、(1)前記応答パスワードと前記第1のパスワードとが関連すると判断した場合、前記応答機器との接続を前記第1送信手段及び前記第1受信手段に維持させ、(2)前記応答パスワードと前記第1のパスワードとが関連しないと判断した場合、前記応答機器との接続を前記第1送信手段及び前記第1受信手段に切断させる通信制御手段と
    を備える接続要求機器。
  3. 更に、前記第1のパスワードを生成するパスワード生成手段を備え、
    前記パスワード生成手段は、前記応答機器との通信において、一回の前記通信にのみ有効な使い捨てパスワードを生成し、
    前記第1送信手段は、前記使い捨てパスワードを前記第1のパスワードとして前記接続管理装置に送信する
    請求項2記載の接続要求機器。
  4. 前記パスワード生成手段は、前記使い捨てパスワードとして乱数又は擬似乱数を生成する
    請求項3記載の接続要求機器。
  5. 前記判断手段は、前記第1のパスワードと前記応答パスワードとが一致した場合、前記第1のパスワードと前記応答パスワードとが関連すると判断する
    請求項2記載の接続要求機器。
  6. 更に、ユーザが前記識別子を入力するための入力手段を備え、
    前記第1送信手段は前記入力手段により入力された前記識別子を前記接続管理装置に送信する
    請求項2記載の接続要求機器。
  7. 更に、前記第1送信手段によって送信される情報を暗号化する暗号手段を備え、
    前記第1送信手段は、前記暗号手段により暗号化された前記情報を前記接続管理装置に送信する
    請求項2記載の接続要求機器。
  8. 前記第1送信手段は、更に、前記応答機器に前記接続要求機器との接続を認証させるための第2のパスワードを前記接続管理装置に送信する
    請求項2記載の接続要求機器。
  9. 更に、ユーザが前記第2のパスワードを入力するための入力手段を備え、
    前記第1送信手段は前記入力手段により入力された前記第2のパスワードを前記接続管理装置に送信する
    請求項8記載の接続要求機器。
  10. 接続要求機器が接続される第1のネットワークと応答機器が接続される第2のネットワークとを接続する第3のネットワークに接続される接続管理装置であって、
    前記応答機器の識別子である要求先識別子と、前記第1のネットワークのグローバルIPアドレスと、前記接続要求機器が前記応答機器との通信に用いる第1のポート番号と、前記接続要求機器が前記応答機器との通信の確立を確認するための第1のパスワードとを前記接続要求機器から受信する第3受信手段と、
    前記グローバルIPアドレスと前記第1のポート番号と前記第1のパスワードとを前記要求先識別子を利用して前記応答機器に送信する第3送信手段と
    を備える接続管理装置。
  11. 更に、前記応答機器のアドレスを特定する情報を記憶する記憶手段と、
    前記応答機器の前記アドレスを前記記憶手段に記憶された情報から検索する検索手段とを備え、
    前記第3受信手段は、更に、前記応答機器から、前記応答機器の識別子である機器識別子と、前記第2のネットワークのグローバルIPアドレスと、前記応答機器が前記接続管理装置との通信に用いる第2のポート番号とを受信し、
    前記記憶手段は、前記第3受信手段が受信した前記機器識別子と前記第2のネットワークのグローバルIPアドレスと前記第2のポート番号とを対応付けて前記アドレスを特定する情報として記憶し、
    前記検索手段は、前記接続要求機器から受信した前記要求先識別子と前記記憶手段に記憶されている前記機器識別子とを比較対照し、前記第2のネットワークのグローバルIPアドレスと前記第2のポート番号とを検索し、
    前記第3送信手段は、前記第1のネットワークのグローバルIPアドレスと前記第1のポート番号と前記第1のパスワードとを、前記検索手段によって検索された前記第2のネットワークのグローバルIPアドレスと前記第2のポート番号とを利用して前記応答機器へ送信する
    請求項10記載の接続管理装置。
  12. 前記第3受信手段は、更に、前記応答機器に前記接続要求機器との接続を認証させるための第2のパスワードを、前記接続要求機器から受信し、
    前記第3送信手段は、前記第2のパスワードを前記応答機器へ送信する
    請求項10記載の接続管理装置。
  13. 前記第3送信手段は、前記応答機器への情報の送信を通知する通知パケットをUDPプロトコルで前記応答機器へ送信し、
    前記第3受信手段は、前記応答機器から前記通知パケットの応答を受信し、
    前記第3送信手段は、前記受信手段が前記応答を受信すると前記第1のネットワークのグローバルIPアドレスと前記第1のポート番号と前記第1のパスワードとを前記応答機器へ送信する
    請求項10記載の接続管理装置。
  14. 更に、通信内容を暗号化及び復号化する暗号手段を備え、
    前記第3受信手段は、前記接続要求機器から暗号化された情報を受信し、
    前記暗号手段は、暗号化された前記情報を復号化し、復号化された前記情報に含まれる前記第1のネットワークのグローバルIPアドレスと前記第1のポート番号と前記第1のパスワードとを暗号化し、
    前記第3送信手段は、前記暗号化された前記第1のネットワークのグローバルIPアドレスと前記第1のポート番号と前記第1のパスワードとを前記応答機器へ送信する
    請求項10記載の接続管理装置。
  15. 第2のネットワークに接続され、第1のネットワークに接続される接続要求機器からの接続の要求に応答する応答機器であって、
    前記第1のネットワークのグローバルIPアドレスと、前記接続要求機器が前記応答機器との通信に用いる第1のポート番号と、前記接続要求機器が前記応答機器との通信の確立を確認するための第1のパスワードとを、前記第1のネットワークと前記第2のネットワークとを接続する第3のネットワークに接続される接続管理装置から受信する第2受信手段と、
    前記第1のパスワードと関連する応答パスワードを、前記グローバルIPアドレスと前記第1のポート番号とを利用して前記接続要求機器へ送信する第2送信手段と
    を備える応答機器。
  16. 前記第2送信手段は、前記第1のパスワードを、応答パスワードとして前記接続要求機器へ送信する。
    請求項15記載の応答機器。
  17. 前記応答機器の識別子を記憶する識別子記憶手段を備え、
    前記第2送信手段は、更に、前記識別子記憶手段に記憶されている前記識別子と、前記第2のネットワークのグローバルIPアドレスと、前記応答機器が前記接続管理装置との通信に用いる第2のポート番号とを前記接続管理装置に登録するために、前記識別子を前記管理装置に送信する
    請求項15記載の応答機器。
  18. 更に、前記接続要求機器との接続の可否を認証するための第2のパスワードを記憶するパスワード記憶手段と、
    前記接続要求機器との接続の可否を認証する認証手段とを備え、
    前記第2受信手段は、前記接続管理装置から接続の認証を要求する認証要求パスワードを受信し、
    前記認証部は、前記認証要求パスワードと前記パスワード記憶手段に記憶された第2のパスワードとが関連すると判断した場合に、前記接続要求機器との接続を許可し、
    前記第2送信手段は、前記認証部により前記接続要求機器との接続が許可された場合、前記応答パスワードを前記接続要求機器へ送信する
    請求項15記載の応答機器。
  19. 前記第2受信手段は、前記接続管理装置から情報の送信を通知する通知パケットをUDPプロトコルで受信し、
    前記第2送信手段は、前記第2受信手段が受信した前記通知パケットの応答を前記接続管理装置に送信し、
    前記第2受信手段は、更に、前記応答に対応して前記接続管理装置から送信される前記第1のネットワークのグローバルIPアドレスと前記第1のポート番号と前記第1のパスワードを受信する
    請求項15記載の応答機器。
  20. 更に、暗号化された情報を復号化する復号手段を備え、
    前記第2受信手段は、前記接続管理装置から暗号化された情報を受信し、
    前記復号手段は、暗号化された前記情報を復号化し、
    前記第2送信手段は、復号化された前記情報に含まれる前記第1のパスワードと関連する応答パスワードを、復号化された前記情報に含まれる前記グローバルIPアドレスと前記第1のポート番号とを利用して前記接続要求機器へ送信する
    請求項15記載の応答機器。
  21. 第1のネットワークに接続される接続要求機器が第2のネットワークに接続される応答機器と通信を確立するための通信確立方法であって、
    前記応答機器の識別子と、前記第1のネットワークのグローバルIPアドレスと、前記接続要求機器が前記応答機器との通信に用いるポート番号と、前記応答機器との通信の確立を確認するための第1のパスワードとを、前記第1のネットワークと前記第2のネットワークとを接続する第3のネットワークに接続される接続管理装置へ送信する送信ステップと、
    前記グローバルIPアドレスと前記ポート番号とが利用されて前記応答機器から送信される応答パスワードを受信する受信ステップと、
    前記受信ステップにおいて受信された前記応答パスワードと前記送信ステップにおいて送信された前記第1のパスワードとが関連するか否かを判断する判断ステップと、
    前記判断ステップにおいて、(1)前記応答パスワードと前記第1のパスワードとが関連すると判断された場合、前記応答機器との接続を維持させ、(2)前記応答パスワードと前記第1のパスワードとが関連しないと判断した場合、前記応答機器との接続を切断させる通信制御ステップと
    を含む通信確立方法。
  22. 第2のネットワークに接続される応答機器に、第1のネットワークに接続される接続要求機器との通信を開始させる通信開始方法であって
    前記応答機器の識別子である要求先識別子と、前記第1のネットワークのグローバルIPアドレスと、前記接続要求機器が前記応答機器との通信に用いる第1のポート番号と、前記接続要求機器が前記応答機器との通信の確立を確認するための第1のパスワードとを前記接続要求機器から受信する受信ステップと、
    前記グローバルIPアドレスと前記第1のポート番号と前記第1のパスワードとを前記要求先識別子を利用して前記応答機器に送信する送信ステップと
    を含む通信開始方法。
  23. 第2のネットワークに接続される応答機器が、第1のネットワークに接続される接続要求機器からの要求に応答する応答方法であって
    前記第1のネットワークのグローバルIPアドレスと、前記接続要求機器が前記応答機器との通信に対応するための第1のポート番号と、前記接続要求機器が前記応答機器との通信の確立を確認するための第1のパスワードとを、前記第1のネットワークと前記第2のネットワークとを接続する第3のネットワークに接続される接続管理装置から受信する受信ステップと、
    前記第1のパスワードと関連する応答パスワードを、前記グローバルIPアドレスと前記第1のポート番号とを利用して前記接続要求機器へ送信する送信ステップと
    を含む応答方法。
  24. 第1のネットワークに接続される接続要求機器が第2のネットワークに接続される応答機器と通信を確立するためのプログラムであって、
    前記応答機器の識別子と、前記第1のネットワークのグローバルIPアドレスと、前記接続要求機器が前記応答機器との通信に用いるポート番号と、前記応答機器との通信の確立を確認するための第1のパスワードとを、前記第1のネットワークと前記第2のネットワークとを接続する第3のネットワークに接続される接続管理装置へ送信する送信ステップと、
    前記グローバルIPアドレスと前記ポート番号とが利用されて前記応答機器から送信される応答パスワードを受信する受信ステップと、
    前記受信ステップにおいて受信された前記応答パスワードと前記送信ステップにおいて送信された前記第1のパスワードとが関連するか否かを判断する判断ステップと、
    前記判断ステップにおいて、(1)前記応答パスワードと前記第1のパスワードとが関連すると判断された場合、前記応答機器との接続を維持させ、(2)前記応答パスワードと前記第1のパスワードとが関連しないと判断した場合、前記応答機器との接続を切断させる通信制御ステップと
    をコンピュータに実行させるためのプログラム。
  25. 第2のネットワークに接続される応答機器に、第1のネットワークに接続される接続要求機器との通信を開始させるためのプログラムであって、
    前記応答機器の識別子である要求先識別子と、前記第1のネットワークのグローバルIPアドレスと、前記接続要求機器が前記応答機器との通信に用いる第1のポート番号と、前記接続要求機器が前記応答機器との通信の確立を確認するための第1のパスワードとを前記接続要求機器から受信する受信ステップと、
    前記グローバルIPアドレスと前記第1のポート番号と前記第1のパスワードとを前記要求先識別子を利用して前記応答機器に送信する送信ステップと
    をコンピュータに実行させるためのプログラム。
  26. 第2のネットワークに接続される応答機器が、第1のネットワークに接続される接続要求機器からの要求に応答するためのプログラムであって、
    前記第1のネットワークのグローバルIPアドレスと、前記接続要求機器が前記応答機器との通信に用いる第1のポート番号と、前記接続要求機器が前記応答機器との通信の確立を確認するための第1のパスワードとを、前記第1のネットワークと前記第2のネットワークとを接続する第3のネットワークに接続される接続管理装置から受信する受信ステップと、
    前記第1のパスワードと関連する応答パスワードを、前記グローバルIPアドレスと前記第1のポート番号とを利用して前記接続要求機器へ送信する送信ステップと
    をコンピュータに実行させるためのプログラム。
JP2004293902A 2004-10-06 2004-10-06 ネットワーク上で通信を行う接続要求機器、応答機器、接続管理装置、及び通信システム Pending JP2006109152A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004293902A JP2006109152A (ja) 2004-10-06 2004-10-06 ネットワーク上で通信を行う接続要求機器、応答機器、接続管理装置、及び通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004293902A JP2006109152A (ja) 2004-10-06 2004-10-06 ネットワーク上で通信を行う接続要求機器、応答機器、接続管理装置、及び通信システム

Publications (1)

Publication Number Publication Date
JP2006109152A true JP2006109152A (ja) 2006-04-20

Family

ID=36378339

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004293902A Pending JP2006109152A (ja) 2004-10-06 2004-10-06 ネットワーク上で通信を行う接続要求機器、応答機器、接続管理装置、及び通信システム

Country Status (1)

Country Link
JP (1) JP2006109152A (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009151479A (ja) * 2007-12-19 2009-07-09 Sony Corp ネットワークシステム、ダイレクトアクセス方法、ネットワーク家電機器、およびプログラム
JP2009251648A (ja) * 2008-04-01 2009-10-29 Sony Corp サーバ装置、ネットワークシステム、データ転送方法およびプログラム
JP2012109996A (ja) * 2006-11-03 2012-06-07 Alcatel-Lucent Usa Inc 1つまたは複数のパケット・ネットワーク内で悪意のある攻撃中に制御メッセージを送達する方法および装置
JP2013243674A (ja) * 2012-05-21 2013-12-05 Rsupport Co Ltd 端末間の接続のための方法
JP2014150461A (ja) * 2013-02-01 2014-08-21 Nec Access Technica Ltd 通信システム及び通信方法
WO2014133300A1 (ko) * 2013-02-26 2014-09-04 (주)이스톰 Otp 인증 시스템 및 방법
KR101513694B1 (ko) 2013-02-26 2015-04-22 (주)이스톰 Otp 인증 시스템 및 방법
JP2016134715A (ja) * 2015-01-19 2016-07-25 エヌ・ティ・ティ・コミュニケーションズ株式会社 端末管理システム、端末制御装置、端末管理方法及び通信制御プログラム
CN110391933A (zh) * 2019-06-17 2019-10-29 浙江工商大学 一种嵌入式设备参数配置恢复方法以及嵌入式设备
JP2019533250A (ja) * 2016-10-11 2019-11-14 シエン ヴァン ファムPHAM, Thien, Van 装置をペアリングしてアプリケーション要求を用いてタスクを完了するための方法、システム、及び媒体

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012109996A (ja) * 2006-11-03 2012-06-07 Alcatel-Lucent Usa Inc 1つまたは複数のパケット・ネットワーク内で悪意のある攻撃中に制御メッセージを送達する方法および装置
JP2009151479A (ja) * 2007-12-19 2009-07-09 Sony Corp ネットワークシステム、ダイレクトアクセス方法、ネットワーク家電機器、およびプログラム
US8230488B2 (en) 2007-12-19 2012-07-24 Sony Corporation Network system, direct-access method, network household electrical appliance, and program
JP2009251648A (ja) * 2008-04-01 2009-10-29 Sony Corp サーバ装置、ネットワークシステム、データ転送方法およびプログラム
JP4548503B2 (ja) * 2008-04-01 2010-09-22 ソニー株式会社 サーバ装置、ネットワークシステム、データ転送方法およびプログラム
US8301691B2 (en) 2008-04-01 2012-10-30 Sony Corporation Server apparatus, network system, data transfer method, and program
JP2013243674A (ja) * 2012-05-21 2013-12-05 Rsupport Co Ltd 端末間の接続のための方法
JP2014150461A (ja) * 2013-02-01 2014-08-21 Nec Access Technica Ltd 通信システム及び通信方法
WO2014133300A1 (ko) * 2013-02-26 2014-09-04 (주)이스톰 Otp 인증 시스템 및 방법
KR101513694B1 (ko) 2013-02-26 2015-04-22 (주)이스톰 Otp 인증 시스템 및 방법
US10003595B2 (en) 2013-02-26 2018-06-19 eStorm Co., LTD System and method for one time password authentication
JP2016134715A (ja) * 2015-01-19 2016-07-25 エヌ・ティ・ティ・コミュニケーションズ株式会社 端末管理システム、端末制御装置、端末管理方法及び通信制御プログラム
JP2019533250A (ja) * 2016-10-11 2019-11-14 シエン ヴァン ファムPHAM, Thien, Van 装置をペアリングしてアプリケーション要求を用いてタスクを完了するための方法、システム、及び媒体
CN110391933A (zh) * 2019-06-17 2019-10-29 浙江工商大学 一种嵌入式设备参数配置恢复方法以及嵌入式设备

Similar Documents

Publication Publication Date Title
JP4729602B2 (ja) サーバ装置、通信機器、通信システム、プログラム及び記録媒体
US7870261B2 (en) Information processing device, an information processing method, and a computer program to securely connect clients on an external network to devices within an internal network
EP1560396A2 (en) Method and apparatus for handling authentication on IPv6 network
US20060168253A1 (en) Access control processing method
KR20050054970A (ko) 가정용 단말을 제어하는 장치, 방법 및 컴퓨터 소프트웨어제품
TW200534653A (en) Communication system using TCP/IP protocols
US20090327730A1 (en) Apparatus and method for encrypted communication processing
US20080267395A1 (en) Apparatus and method for encrypted communication processing
JP4470573B2 (ja) 情報配信システム、情報配信サーバ、端末機器、情報配信方法、情報受信方法、情報処理プログラム、及び記憶媒体
JP2006109152A (ja) ネットワーク上で通信を行う接続要求機器、応答機器、接続管理装置、及び通信システム
JP4367002B2 (ja) ネットワーク機器、ネットワークシステム、および、グループ管理方法
JP4909026B2 (ja) 受信装置、方法、及び、プログラム
JP4775154B2 (ja) 通信システム、端末装置、プログラム、及び、通信方法
US20160105407A1 (en) Information processing apparatus, terminal, information processing system, and information processing method
JP4764410B2 (ja) 通信サービス提供システム、アドレス割当装置および信号処理装置
JP2004072633A (ja) IPv6ノード収容方法およびIPv6ノード収容システム
JP2006019824A (ja) セキュア通信システム、管理装置および通信端末
JP2006197094A (ja) 通信システム
JP2005303784A (ja) サーバ装置、要求発行機器、要求受諾機器、通信システム、通信方法及びプログラム
JP2009081710A (ja) 通信機器及び通信機器に用いられる通信方法
JP2005210555A (ja) 情報処理装置
JP2005311747A (ja) サーバ装置、要求発行機器、要求受諾機器、通信システム及びプログラム
KR20070017329A (ko) 프록시에 의한 안전한 단말간 tcp/ip 통신 방법 및통신 시스템
JP2006042207A (ja) 通信機器