JP2012222678A - Access control system and access control method - Google Patents

Access control system and access control method Download PDF

Info

Publication number
JP2012222678A
JP2012222678A JP2011088010A JP2011088010A JP2012222678A JP 2012222678 A JP2012222678 A JP 2012222678A JP 2011088010 A JP2011088010 A JP 2011088010A JP 2011088010 A JP2011088010 A JP 2011088010A JP 2012222678 A JP2012222678 A JP 2012222678A
Authority
JP
Japan
Prior art keywords
home
setting request
vpn
home device
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011088010A
Other languages
Japanese (ja)
Other versions
JP5478546B2 (en
Inventor
Kazuaki Obana
和昭 尾花
Ikuo Yoda
育生 依田
Kohei Mizuno
晃平 水野
Yukio Koike
幸生 小池
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2011088010A priority Critical patent/JP5478546B2/en
Publication of JP2012222678A publication Critical patent/JP2012222678A/en
Application granted granted Critical
Publication of JP5478546B2 publication Critical patent/JP5478546B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide an access control system and an access control method, which enable firm and secure access to a diversity of home appliances connected to a home network from an external network.SOLUTION: When an access request requesting for access to a home appliance 14 is transmitted from a remote terminal 15, a HGW 13 corresponding to the home appliance performs a FW setting so as to open a port to be used for a VPN to thereby establish the VPN between the remote terminal 15 and the HGW 13, performs a NAT setting or a reverse proxy setting so as to transfer the access request reaching an address on the VPN to a target home appliance and causes the access request made by the remote terminal to transition from a management page to the target home appliance 14 via the established VPN.

Description

本発明は、外部ネットワークに配置されたリモート端末から、ホームネットワークに接続されているホーム機器にアクセスするためのアクセス制御システム、およびアクセス制御方法に関する。   The present invention relates to an access control system and an access control method for accessing a home device connected to a home network from a remote terminal arranged in an external network.

現在、インターネットの普及と、エンドユーザ宅内のホーム機器相互間をネットワークで結んだホームネットワークの進展とに伴い、ホームゲートウェイ(以下、HGWという)の必要性・重要性が増大している。   At present, the necessity and importance of home gateways (hereinafter referred to as HGWs) are increasing with the spread of the Internet and the progress of home networks in which home devices in end-user homes are connected by a network.

HGWは、PC機器、AV系機器、電話系機器、白物家電機器系等の種々の系統の標準規格間をまたいで、アドレス変換やデータの載せ換え等を行うことにより、ホーム機器を相互に接続し、更にホームネットワーク内の各ホーム機器間の通信だけでなく、それらとインターネットとの通信を橋渡しする機能も有している。   HGW cross-connects home devices to each other by performing address conversion and data transfer across various standards such as PC devices, AV devices, telephone devices, white goods devices, etc. In addition to communication between each home device in the home network, it also has a function of bridging communication between them and the Internet.

このようなHGWがエンドユーザ宅内に配置され、インターネット側からエンドユーザ宅内へのアクセス(逆方向のアクセスも含む)を制限するファイアウォール(以下、FWと称する。)機能や、プライベートアドレスをグローバルアドレスに変換(逆方向の変換も含む)するNAPT(Network Address Port Translation)機能を備えたシステムとして、特許文献1に記載のアクセス制御システムがある。   Such an HGW is arranged in the end user's house, and a firewall function (hereinafter referred to as FW) for restricting access (including reverse access) from the Internet side to the end user's house or a private address as a global address. As a system having a NAPT (Network Address Port Translation) function for conversion (including reverse conversion), there is an access control system described in Patent Document 1.

この特許文献1に記載のアクセス制御システムは、外部ネットワークに配置されたリモート端末からホームネットワークに接続されているホーム機器にアクセスするためのシステムであり、当該リモート端末からアクセス要求が送信された後に、外部ネットワークに接続された外部ネットワーク側のアドレスを取得するように構成されている。   The access control system described in Patent Document 1 is a system for accessing a home device connected to a home network from a remote terminal arranged in an external network, and after an access request is transmitted from the remote terminal. The address of the external network connected to the external network is acquired.

このように構成することにより、外部ネットワークとホームネットワークとの境界に配置されたホームゲートウェイ(以下、HGWと称する。)の外部ネットワーク側のアドレスが動的に変更されるような場合であっても、リモート端末からのアクセスを確実にホームゲートウェイに遷移させ、ユーザによるホーム機器へのアクセスを確実なものとすることができる。   With this configuration, even when the address on the external network side of the home gateway (hereinafter referred to as HGW) arranged at the boundary between the external network and the home network is dynamically changed. The access from the remote terminal can be reliably transferred to the home gateway, and the access to the home device by the user can be ensured.

また、ホーム機器がHGWのFWを制御したり、NAPTの設定を行ったりするためにUPnP技術を利用する必要はないので、ホーム機器がUPnPに対応している必要はなく、広く一般に普及している機器をアクセス制御の対象とすることができる。   In addition, since it is not necessary for the home device to use UPnP technology in order to control the FW of the HGW or to set the NAPT, it is not necessary for the home device to support UPnP. Devices that are subject to access control.

特開2011−3957号公報JP 2011-3957 A

この特許文献1に記載のアクセス制御システムは、NAPT/FWの制御を単一のポートに対して行うものであり、またOSI参照モデルで規定されたネットワーク階層の高位レイヤのプロトコル(例えばHTTP:Hyper Text Transfer Protocol)によりリモート端末からホーム機器に対して直接アクセスするための技術である。   The access control system described in Patent Document 1 performs NAPT / FW control on a single port, and is a protocol in a higher layer of the network hierarchy defined by the OSI reference model (for example, HTTP: Hyper). This is a technology for directly accessing a home device from a remote terminal using Text Transfer Protocol.

そのため、このアクセス制御システムにおいてリモート端末からホーム機器へのアクセスを高いセキュリティ品質で実行するためにはSSL(Secure Socket Layer)により接続することが考えられるが、この場合、ホーム機器に対して正規のサーバ証明書をインストールする必要があり、サーバ証明書の発行のためのコストがかかるという問題があった。ここで独自証明書を使用することも考えられるが、他のなりすましサイトへの誘導時と見分けがつかないなど、セキュリティ品質が低下するという問題があった。   For this reason, in this access control system, in order to execute access from a remote terminal to a home device with high security quality, it is conceivable to connect by SSL (Secure Socket Layer). There is a problem that it is necessary to install a server certificate, and there is a cost for issuing the server certificate. Although it is conceivable to use a unique certificate here, there was a problem that the security quality deteriorated, such as being indistinguishable from guiding to other spoofing sites.

また、上記特許文献1に記載のアクセス制御システムではNAPT/FWを用いて外部からホーム機器にアクセスするための手法であり、ホーム機器がLAN以外からのアクセスを拒否する仕様である場合にはホーム機器へのアクセスができないという問題があった。   The access control system described in Patent Document 1 is a technique for accessing a home device from the outside using NAPT / FW. If the home device has a specification that denies access from other than the LAN, the home control device is used. There was a problem that the device could not be accessed.

本発明は上記課題を鑑みてなされたものであり、ホームネットワークに接続された多種多様なホーム機器に対して、外部ネットワークから確実かつ安全にアクセスすることが可能なアクセス制御システム、およびアクセス制御方法を提供することを課題とする。   The present invention has been made in view of the above problems, and an access control system and an access control method capable of reliably and safely accessing various home devices connected to a home network from an external network. It is an issue to provide.

上記の課題を解決するための本発明のアクセス制御システムは、外部ネットワークに配置されたVPNクライアント機能を有するリモート端末からホームネットワークに接続されているホーム機器にアクセスするためのアクセス制御システムであって、前記外部ネットワークに配置され、前記ホーム機器の識別子を記憶手段に記憶しておき、前記接続されたホーム機器の中から対象ホーム機器を選択させるための管理ページを前記リモート端末に表示させ、これにより選択された対象ホーム機器の識別子を前記記憶手段から検索して、前記外部ネットワークと前記ホームネットワークとの境界に配置されたホームゲートウェイと前記リモート端末との間にVPNを確立できるように、当該VPNを確立する際に利用するポートの情報を含むファイアウォールのテーブル情報を設定するためのファイアウォール設定要求を、前記ホームゲートウェイに送信し、また前記VPN確立後に前記ホームゲートウェイにおけるVPN上のアドレスに到達したアクセス要求を選択された対象ホーム機器に転送するように、NATテーブル情報を設定するためのNAT設定要求ないしはリバースプロキシ設定を行うためのリバースプロキシ設定要求を送信する受付サーバと、受付サーバ/ホーム機器からホーム機器/受付サーバへのアクセス制限を定めたアクセス制御リストに基づいて、前記ファイアウォール設定要求、またはNAT設定要求ないしはリバースプロキシ設定要求を送信した受付サーバが前記対象ホーム機器にアクセス可能か否かを判定し、アクセス可能な場合に、ホーム機器の識別子からホームゲートウェイを検索可能なホームゲートウェイ識別子リストに基づいて、前記対象ホーム機器と同じホームネットワークに接続されたホームゲートウェイを特定し、特定された該ホームゲートウェイに前記ファイアウォール設定要求、またはNAT設定要求ないしはリバースプロキシ設定要求を、専用ネットワークを介して中継するアクセス制御サーバと、前記アクセス制御サーバから専用ネットワークを介して中継された前記ファイアウォール設定要求、またはNAT設定要求ないしはリバースプロキシ設定要求を受信するアクセス制御サーバ通信部と、前記ファイアウォール設定要求を受信したときに自身に設定されている外部ネットワーク側のアドレスを取得し、前記NAT設定要求ないしはリバースプロキシ設定要求を受信したときに前記ホームゲートウェイにおけるVPN上のアドレスを取得する情報取得部と、前記NAT設定要求ないしはリバースプロキシ設定要求を受信したときに前記対象ホーム機器の識別子を用いてホームネットワークにブロードキャストを行って前記対象ホーム機器のローカルアドレスを取得するホーム機器通信部と、前記ファイアウォール設定要求を受信したときに前記自身に設定されている外部ネットワーク側のアドレスと前記ポートの情報とを用いて前記ファイアウォールのテーブル情報を設定し、前記NAT設定要求ないしはリバースプロキシ設定要求を受信したときに、前記ホームゲートウェイにおいてVPN上で待ち受けるポート番号を決定した後に、前記ホームゲートウェイにおけるVPN上のアドレス及び決定したポート番号と前記対象ホーム機器の前記ローカルアドレスとを用いて、前記NAT設定要求ないしはリバースプロキシ設定要求に応じた設定を行う設定部と、設定された前記ファイアウォールのテーブル情報により、前記リモート端末から送信されるVPN確立リクエストに応じて前記ホームゲートウェイとの間にVPNを確立させるVPNサーバ機能部とを有するホームゲートウェイとを備え、前記受付サーバは、前記ホームゲートウェイにおけるVPN上のアドレス及び決定したポート番号を用いてURI又はRDPファイルを生成し、該URI又はRDPファイルへのリンクを生成して、前記リモート端末からのアクセス要求を管理ページから前記対象ホーム機器に、確立されたVPNを経由して遷移させることを特徴とする。   An access control system of the present invention for solving the above problem is an access control system for accessing a home device connected to a home network from a remote terminal having a VPN client function arranged in an external network. , Arranged in the external network, storing an identifier of the home device in a storage means, and displaying a management page for selecting a target home device from the connected home devices on the remote terminal, The identifier of the target home device selected by the storage unit is retrieved from the storage means so that a VPN can be established between the home gateway located at the boundary between the external network and the home network and the remote terminal. Contains information about the port used when establishing a VPN. A firewall setting request for setting the table information of the firewall is transmitted to the home gateway, and the access request reaching the address on the VPN in the home gateway after the VPN is established is transferred to the selected target home device. As described above, a reception server for transmitting a NAT setting request for setting NAT table information or a reverse proxy setting request for performing reverse proxy setting, and an access restriction from the reception server / home device to the home device / reception server are defined. Based on the access control list, it is determined whether the reception server that transmitted the firewall setting request, the NAT setting request or the reverse proxy setting request can access the target home device. Knowledge A home gateway connected to the same home network as the target home device is identified based on a home gateway identifier list that can search for a home gateway from a child, and the firewall setting request or the NAT setting request is specified to the identified home gateway. Or an access control server that relays a reverse proxy setting request via a dedicated network, and an access that receives the firewall setting request, NAT setting request, or reverse proxy setting request relayed from the access control server via a dedicated network. When the control server communication unit and the firewall setting request are received, the external network side address set in itself is acquired, and the NAT setting request or reverse proxy setting request is obtained. When receiving the information acquisition unit for acquiring the address on the VPN at the home gateway, and broadcasting the home network using the identifier of the target home device when receiving the NAT setting request or the reverse proxy setting request A table of the firewall using a home device communication unit that acquires a local address of the target home device, an address on the external network side set in the device when the firewall setting request is received, and information on the port When the information is set and the NAT setting request or reverse proxy setting request is received, the home gateway determines the port number to wait on the VPN, and then determines the address on the VPN at the home gateway. Transmission from the remote terminal by using the port number and the local address of the target home device to set according to the NAT setting request or reverse proxy setting request, and the set firewall table information A home gateway having a VPN server function unit that establishes a VPN with the home gateway in response to a VPN establishment request made, and the reception server has an address on the VPN and a determined port number in the home gateway A URI or RDP file is generated using, a link to the URI or RDP file is generated, and an access request from the remote terminal is transferred from the management page to the target home device via the established VPN It is characterized by making it.

また、本発明のアクセス制御方法は、外部ネットワークに配置されたVPNクライアント機能を有するリモート端末からホームネットワークに接続されているホーム機器にアクセスするためのアクセス制御方法であって、前記外部ネットワークに配置された受付サーバが、前記ホーム機器の識別子を記憶手段に記憶しておき、前記接続されたホーム機器の中から対象ホーム機器を選択させるための管理ページを前記リモート端末に表示させ、これにより選択された対象ホーム機器の識別子を前記記憶手段から検索して、前記外部ネットワークと前記ホームネットワークとの境界に配置されたホームゲートウェイと前記リモート端末との間にVPNを確立できるように、当該VPNを確立する際に利用するポートの情報を含むファイアウォールのテーブル情報を設定するためのファイアウォール設定要求を、前記ホームゲートウェイに送信するステップと、アクセス制御サーバが、受付サーバ/ホーム機器からホーム機器/受付サーバへのアクセス制限を定めたアクセス制御リストに基づいて、前記ファイアウォール設定要求を送信した受付サーバが前記対象ホーム機器にアクセス可能か否かを判定し、アクセス可能な場合に、ホーム機器の識別子からホームゲートウェイを検索可能なホームゲートウェイ識別子リストに基づいて、前記対象ホーム機器と同じホームネットワークに接続されたホームゲートウェイを特定し、特定された該ホームゲートウェイに前記ファイアウォール設定要求を、専用ネットワークを介して中継するステップと、前記ホームゲートウェイのアクセス制御サーバ通信部が、前記アクセス制御サーバから専用ネットワークを介して中継された前記ファイアウォール設定要求を受信するステップと、前記ホームゲートウェイの情報取得部が、前記ファイアウォール設定要求を受信したときに自身に設定されている外部ネットワーク側のアドレスを取得するステップと、前記ホームゲートウェイの設定部が、前記ファイアウォール設定要求を受信したときに前記自身に設定されている外部ネットワーク側のアドレスと前記ポートの情報とを用いて前記ファイアウォールのテーブル情報を設定するステップと、前記ホームゲートウェイのVPNサーバ機能部が、設定されたファイアウォールのテーブル情報により、前記リモート端末から送信されるVPN確立リクエストに応じて前記ホームゲートウェイとの間にVPNを確立させるステップと、前記受付サーバが、前記VPN確立後に前記ホームゲートウェイにおけるVPN上のアドレスに到達したアクセス要求を選択された対象ホーム機器に転送するように、NATテーブル情報を設定するためのNAT設定要求ないしはリバースプロキシ設定を行うためのリバースプロキシ設定要求を送信するステップと、前記アクセス制御サーバが、受付サーバ/ホーム機器からホーム機器/受付サーバへのアクセス制限を定めたアクセス制御リストに基づいて、前記NAT設定要求ないしはリバースプロキシ設定要求を送信した受付サーバが前記対象ホーム機器にアクセス可能か否かを判定し、アクセス可能な場合に、ホーム機器の識別子からホームゲートウェイを検索可能なホームゲートウェイ識別子リストに基づいて、前記対象ホーム機器と同じホームネットワークに接続されたホームゲートウェイを特定し、特定された該ホームゲートウェイに前記NAT設定要求ないしはリバースプロキシ設定要求を、専用ネットワークを介して中継するステップと、前記ホームゲートウェイのアクセス制御サーバ通信部が、前記アクセス制御サーバから専用ネットワークを介して中継された前記NAT設定要求ないしはリバースプロキシ設定要求を受信するステップと、前記ホームゲートウェイの情報取得部が、前記NAT設定要求ないしはリバースプロキシ設定要求を受信したときに自身に設定されているVPN上のアドレスを取得するステップと、前記ホームゲートウェイのホーム機器通信部が、前記NAT設定要求ないしはリバースプロキシ設定要求を受信したときに前記対象ホーム機器の識別子を用いてホームネットワークにブロードキャストを行って前記対象ホーム機器のローカルアドレスを取得するステップと、前記ホームゲートウェイの設定部が、前記NAT設定要求ないしはリバースプロキシ設定要求を受信したときに、前記ホームゲートウェイにおいてVPN上で待ち受けるポート番号を決定した後に、前記VPN上のアドレス及び決定したポート番号と前記対象ホーム機器の前記ローカルアドレスとを用いて、前記NAT設定要求ないしはリバースプロキシ設定要求に応じた設定を行うステップと、前記受付サーバが、前記ホームゲートウェイにおけるVPN上のアドレス及び決定したポート番号を用いてURI又はRDPファイルを生成し、該URI又はRDPファイルへのリンクを生成して、前記リモート端末からのアクセス要求を管理ページから前記対象ホーム機器に、確立されたVPNを経由して遷移させるステップとを有することを特徴とする。   The access control method of the present invention is an access control method for accessing a home device connected to a home network from a remote terminal having a VPN client function arranged in the external network, and is arranged in the external network. The received reception server stores the identifier of the home device in a storage unit, and displays a management page for selecting a target home device from the connected home devices on the remote terminal, thereby selecting The identifier of the target home device is retrieved from the storage means so that the VPN can be established between the home gateway located at the boundary between the external network and the home network and the remote terminal. Firewall that contains information about the port to use when establishing A step of transmitting a firewall setting request for setting table information to the home gateway, and an access control server based on an access control list defining access restrictions from the receiving server / home device to the home device / receiving server. Determining whether or not the reception server that sent the firewall setting request can access the target home device, and if it is accessible, based on the home gateway identifier list that can search the home gateway from the identifier of the home device, Identifying a home gateway connected to the same home network as the target home device, relaying the firewall setting request to the identified home gateway via a dedicated network, and access control of the home gateway A communication unit that receives the firewall setting request relayed from the access control server via a dedicated network; and the information acquisition unit of the home gateway sets the firewall setting request when it receives the firewall setting request. The external network side address being acquired, and the home gateway setting unit, when receiving the firewall setting request, the external network side address and the port information set to the self And setting the firewall table information using the firewall server function unit of the home gateway according to the VPN establishment request transmitted from the remote terminal according to the set firewall table information. And establishing NAT table information so that the accepting server forwards the access request reaching the address on the VPN in the home gateway to the selected target home device after establishing the VPN. A NAT setting request for transmitting or a reverse proxy setting request for performing reverse proxy setting, and access control in which the access control server defines access restrictions from the receiving server / home device to the home device / receiving server Based on the list, it is determined whether or not the receiving server that transmitted the NAT setting request or reverse proxy setting request can access the target home device, and if it is accessible, the home gateway can be searched from the home device identifier. Home gateway identifier Identifying a home gateway connected to the same home network as the target home device based on a list, and relaying the NAT setting request or reverse proxy setting request to the identified home gateway via a dedicated network; The access control server communication unit of the home gateway receives the NAT setting request or reverse proxy setting request relayed from the access control server via a dedicated network; and the information acquisition unit of the home gateway includes: A step of acquiring an address on the VPN set in the home gateway when receiving a NAT setting request or a reverse proxy setting request; and a home device communication unit of the home gateway, the NAT setting request or reverse proxy setting When receiving a request, broadcasting to a home network using the identifier of the target home device to obtain a local address of the target home device; and a setting unit of the home gateway, the NAT setting request or reverse proxy When receiving a setting request, the home gateway determines a port number waiting on the VPN, and then uses the address on the VPN and the determined port number and the local address of the target home device to set the NAT setting. A request or a setting corresponding to a reverse proxy setting request, and the reception server generates a URI or RDP file using the address on the VPN and the determined port number in the home gateway, and the URI or RDP file Generating a link to the network, and transitioning an access request from the remote terminal from the management page to the target home device via the established VPN.

本発明のアクセス制御システム、およびアクセス制御方法によれば、ホームネットワークに接続された多種多様なホーム機器に対して、外部ネットワークから確実かつ安全にアクセスすることができる。   According to the access control system and the access control method of the present invention, it is possible to securely and safely access various home devices connected to the home network from the external network.

本発明の一実施形態によるアクセス制御システムの構成を示す全体図である。1 is an overall view showing a configuration of an access control system according to an embodiment of the present invention. 本発明の一実施形態によるアクセス制御システムのHGWの構成を示すブロック図である。It is a block diagram which shows the structure of HGW of the access control system by one Embodiment of this invention. 本発明の一実施形態によるアクセス制御システムの動作を示すシーケンス図である。It is a sequence diagram which shows operation | movement of the access control system by one Embodiment of this invention. 本発明の一実施形態によるアクセス制御システムを利用するリモート端末の表示部の画面遷移を示す説明図である。It is explanatory drawing which shows the screen transition of the display part of the remote terminal using the access control system by one Embodiment of this invention. 本発明の一実施形態によるアクセス制御システムを利用するリモート端末の表示部の画面遷移を示す他の説明図である。It is another explanatory drawing which shows the screen transition of the display part of the remote terminal using the access control system by one Embodiment of this invention. 本発明の一実施形態によるアクセス制御システムを利用するリモート端末の表示部の画面遷移を示す他の説明図である。It is another explanatory drawing which shows the screen transition of the display part of the remote terminal using the access control system by one Embodiment of this invention.

以下、一実施形態について図面を用いて説明する。   Hereinafter, an embodiment will be described with reference to the drawings.

図1は、本実施形態に係るアクセス制御システムの全体構成を示す図である。   FIG. 1 is a diagram showing an overall configuration of an access control system according to the present embodiment.

本アクセス制御システム1は、エンドユーザ宅A,Bのホームネットワーク32に接続されたホーム機器14a〜14dに対し、外部ネットワーク30を介してリモート端末15からNAT(Network Address Translation)機能によりアクセスするためのアクセス制御システムであって、受付サーバとしての第1アプリケーションサーバ10aおよび第2アプリケーションサーバ10bを含むアプリケーションサーバ群10と、アクセス制御サーバ11と、HGWアドレス管理サーバ12と、第1HGW13aおよび第2HGW13bを含むHGW群13と、専用ネットワーク31とで構成されている。   The access control system 1 accesses the home devices 14a to 14d connected to the home networks 32 of the end user homes A and B from the remote terminal 15 via the external network 30 by using the NAT (Network Address Translation) function. The access control system includes an application server group 10 including a first application server 10a and a second application server 10b as an accepting server, an access control server 11, an HGW address management server 12, a first HGW 13a, and a second HGW 13b. The HGW group 13 includes a dedicated network 31.

なお、このようなアクセス制御システム1を構成している各サーバやHGWは、CPU等の演算処理装置やメモリ等の記憶装置を備えたコンピュータにより構成可能なものであり、各機能処理はプログラムによって実行される。   In addition, each server and HGW which comprise such an access control system 1 can be comprised by computers provided with arithmetic processing units, such as CPU, and memory | storage devices, such as memory, and each function process is carried out by a program. Executed.

また、このアクセス制御システム1を利用するためのリモート端末15には、外部ネットワーク30を介してホーム機器14a〜14dにアクセスするためのリモートアクセスクライアントソフトウェアが搭載されるとともに、VPN(Virtual Private Network)クライアントとしてVPNを確立するためのVPN接続ツールがOSに搭載されている。   The remote terminal 15 for using the access control system 1 is equipped with remote access client software for accessing the home devices 14a to 14d via the external network 30 and a VPN (Virtual Private Network). A VPN connection tool for establishing a VPN as a client is installed in the OS.

また、このようなプログラムは記憶装置に記憶されており、記録媒体に記録することも、ネットワークを通して提供することも可能である。   Such a program is stored in a storage device, and can be recorded on a recording medium or provided through a network.

以下、本アクセス制御システム1の機能及び処理フローについて個別具体的に説明すると共に、本実施の形態における作用及び効果について説明する。   Hereinafter, the functions and processing flow of the access control system 1 will be described individually and specifically, and the operations and effects of the present embodiment will be described.

アプリケーションサーバ群10は、インターネット等の広く一般に用いられている広域網である外部ネットワーク30に接続されており、エンドユーザ宅A,Bのホームネットワーク32a、32bに接続されているホーム機器の識別子を記憶部に記憶しておく機能を有している。   The application server group 10 is connected to an external network 30 which is a widely used wide area network such as the Internet, and the identifiers of home devices connected to the home networks 32a and 32b of the end user homes A and B are set. It has a function of storing in the storage unit.

また、リモート端末15からアクセス要求があった場合に、上記記憶部に記憶されているホーム機器の識別子(又はホーム機器の名称)や、ホーム機器へのアクセス方法(具体的には、リモートアクセス、又はリモートデスクトップ接続)を選択可能なホーム機器一元管理ページをリモート端末15に表示させる機能を有している。   Further, when there is an access request from the remote terminal 15, the home device identifier (or the name of the home device) stored in the storage unit and the home device access method (specifically, remote access, Or remote desktop connection), a home device centralized management page can be displayed on the remote terminal 15.

なお、このホーム機器一元管理ページとは、複数のエンドユーザ宅A,Bのホームネットワーク32に接続された異なる様々なベンダの機器を纏めて一元的に管理し、画面に表示されるページである。   The home device centralized management page is a page that collectively manages devices of various different vendors connected to the home networks 32 of a plurality of end user homes A and B, and is displayed on the screen. .

またリモート端末15とは、エンドユーザがホーム機器14a〜14dに対しリモートでアクセス制御を行うために用いる端末であって、例えばPC、携帯電話、TV等を一例とし、ホーム機器(第1ホーム機器14a〜第3ホーム機器14d)とは、エンドユーザによりアクセス制御される対象機器である。   The remote terminal 15 is a terminal used by an end user to remotely control access to the home devices 14a to 14d. For example, a PC, a mobile phone, a TV, or the like is used as an example. 14a to third home device 14d) are target devices whose access is controlled by the end user.

さらに、アプリケーションサーバ群10の第1アプリケーションサーバ10a、第2アプリケーションサーバ10bは、リモート端末15を操作しているエンドユーザにより選択されたホーム機器(以降、対象ホーム機器という)の識別子を上記記憶部から検索して、対象ホーム機器に対応するホームゲートウェイとの間にVPNを確立できるように、当該VPNを確立する際に利用するポートの情報を含むFWのテーブル情報を設定するためのFW設定要求、およびVPN確立後に該HGW13のVPN上のアドレスに到達したアクセス要求を対象ホーム機器に転送するように、該HGW13のNATのテーブル情報を設定するためのNAT設定要求ないしリバースプロキシ設定要求を送信する機能を有している。   Further, the first application server 10a and the second application server 10b of the application server group 10 store the identifier of the home device (hereinafter referred to as the target home device) selected by the end user operating the remote terminal 15 in the storage unit. FW setting request for setting FW table information including port information used when establishing the VPN so that a VPN can be established with the home gateway corresponding to the target home device. And a NAT setting request or reverse proxy setting request for setting NAT table information of the HGW 13 so as to transfer the access request reaching the address on the VPN of the HGW 13 to the target home device after the VPN is established. It has a function.

また、HGW13のFWのテーブル情報が上記FW設定要求に基づいて設定(変更や追加)された場合に、該HGW13の外部ネットワーク側のアドレス及びポート番号を用いてリモート端末15と該HGW13との間にVPNを確立し、また該HGW13のNATのテーブル情報が上記NAT設定要求に基づいて設定(変更や追加)された場合ないしリバースプロキシ情報が上記リバースプロキシ設定要求に基づいて設定(変更や追加)された場合に、該HGW13のVPN上のアドレスおよびVPN上の待ち受けポート番号を元にURI又はRDPファイルを生成し、生成したURI又はRDPファイルへのリンクを生成した上でリダイレクトが可能であればリダイレクトを行い、リモート端末15からのアクセス要求をホーム機器一元管理ページから対象ホーム機器にVPN経由で遷移させる機能を有している。   Further, when the FW table information of the HGW 13 is set (changed or added) based on the FW setting request, the address and port number on the external network side of the HGW 13 are used between the remote terminal 15 and the HGW 13. VPN is established, and NAT table information of the HGW 13 is set (changed or added) based on the NAT setting request or reverse proxy information is set (changed or added) based on the reverse proxy setting request. If a URI or RDP file is generated based on the address on the VPN of the HGW 13 and the standby port number on the VPN, and a link to the generated URI or RDP file is generated and redirection is possible Performs redirect and unifies access request from remote terminal 15 to home device It has a function to transition through the VPN to the target home devices from the management page.

なお、アプリケーションサーバ10a、10bは、リモート端末15からアクセスがあった際に、予め登録されたエンドユーザ情報やパスワードを用いて、ログイン認証を行うことも可能となっている。   Note that the application servers 10a and 10b can also perform login authentication using pre-registered end user information and passwords when accessed from the remote terminal 15.

アクセス制御サーバ11は、アプリケーションサーバ10a、10bと、ホームネットワーク32との間の通信を司るサーバであって、アプリケーションサーバ10a、10bからホーム機器14a〜14dへの通信(アクション中継)とホーム機器14a〜14dからアプリケーションサーバ10a、10bへの通信(ノーティファイ中継)との許可/不許可を設定したアクセスコントロールリスト(以下、ACLという)と、ホーム機器14a〜14dの識別子とHGW13a、13bの識別子とを対応付けて記載したHGW識別子リスト(以下、HILという)とを記憶しておく機能を有している。   The access control server 11 is a server that manages communication between the application servers 10a and 10b and the home network 32, and communication (action relay) from the application servers 10a and 10b to the home devices 14a to 14d and the home device 14a. To 14d to the application servers 10a and 10b (notify relay), an access control list (to be referred to as ACL hereinafter) in which permission / denial is set, identifiers of the home devices 14a to 14d, identifiers of the HGWs 13a and 13b Are stored in association with an HGW identifier list (hereinafter referred to as HIL).

また、ACLに基づいて、上記FW設定要求、またはNAT設定要求ないしリバースプロキシ設定要求を送信したアプリケーションサーバ10a、10bが対象ホーム機器にアクセス可能か否かを判定し、アクセス可能な場合に、HILに基づいて、対象ホーム機器と同じホームネットワークのHGW13を検索し、NGN(Next Generation Network)網等の閉域かつセキュアな専用ネットワーク31に配置されているHGWアドレス管理サーバ12へHGW13の専用ネットワーク31側のアドレスを問い合わせ、その問い合わせ結果から得られたHGW13のアドレスにFW設定要求またはNAT設定要求を中継する機能を有している。   Further, based on the ACL, it is determined whether or not the application server 10a, 10b that has transmitted the FW setting request or the NAT setting request or the reverse proxy setting request can access the target home device. The HGW 13 of the same home network as the target home device is searched based on the HGW 13 to the HGW address management server 12 arranged in a closed and secure dedicated network 31 such as an NGN (Next Generation Network) network. And the function of relaying the FW setting request or the NAT setting request to the address of the HGW 13 obtained from the inquiry result.

HGWアドレス管理サーバ12は、専用ネットワーク31に接続されているHGW13a、13bにアドレスを割り振ると共に、割り振ったHGW13の専用ネットワーク側のアドレスとHGW13の識別子とを関連付けて管理しておき、アクセス制御サーバ11からの問い合わせに応じたHGW13のアドレスを送信する機能を有している。   The HGW address management server 12 allocates addresses to the HGWs 13 a and 13 b connected to the dedicated network 31 and manages the allocated HGW 13 addresses on the dedicated network side in association with the identifiers of the HGW 13. It has a function of transmitting the address of the HGW 13 in response to an inquiry from.

HGW13a、13bは、外部ネットワーク30と専用ネットワーク31とホームネットワーク32a、32bとに接続され、ルータ機能、NAT機能、FW機能、VPNサーバ機能を具備している。   The HGWs 13a and 13b are connected to the external network 30, the dedicated network 31, and the home networks 32a and 32b, and have a router function, NAT function, FW function, and VPN server function.

またHGW13a、13bは、図2に示すように、専用ネットワーク31を介して中継された上記FW設定要求、NAT設定要求ないしリバースプロキシ設定要求、VPN確立リクエストを受信するアクセス制御サーバ通信部131と、FW設定要求を受信したときに自身に設定された外部ネットワーク30側のアドレスを取得し、VPN確立後にNAT設定要求ないしリバースプロキシ設定要求を受信したときにVPN上のアドレスを取得するHGW情報取得部132と、VPN確立後にNAT設定要求ないしリバースプロキシ設定要求を受信したときに対象ホーム機器の識別子を用いてホームネットワーク32にブロードキャストを行って対象ホーム機器のローカルアドレスを取得するホーム機器通信部133と、FW設定要求を受信したときにVPN接続で利用するためのポートを開けるためのFW設定を行い、VPN確立後にNAT設定要求を受信したときに外部ネットワーク30側で待ち受けるポート番号を決定した後に、HGW13におけるVPN上のアドレス及びVPN上のポート番号と対象ホーム機器のローカルアドレスとを用いて、当該NAT設定要求に応じた設定を行うNAT/FW設定部134と、VPN確立後にリバースプロキシ設定要求を受信したときに外部ネットワーク30側で待ち受けるポート番号を決定した後に、HGW13におけるVPN上のアドレス及びポート番号と対象ホーム機器のローカルアドレスとを用いて、リバースプロキシ設定要求に応じた設定を行い、設定したリバースプロキシ設定によりアクセス制御を行うリバースプロキシ機能部135と、VPN確立リクエストを受信したときにVPNサーバとしてVPNを確立させるVPNサーバ機能部136と、NAT/FW設定部134で設定されたFW設定およびNAT設定によりアクセス制御を行うNAT/FW機能部137とで構成されている。   Further, as shown in FIG. 2, the HGWs 13a and 13b receive the FW setting request, NAT setting request or reverse proxy setting request, and VPN establishment request relayed via the dedicated network 31, and the access control server communication unit 131, An HGW information acquisition unit that acquires an address on the external network 30 set to itself when receiving an FW setting request, and acquires an address on the VPN when receiving a NAT setting request or a reverse proxy setting request after establishing a VPN 132, a home device communication unit 133 that broadcasts to the home network 32 using the identifier of the target home device when a NAT setting request or reverse proxy setting request is received after the VPN is established, and acquires a local address of the target home device. , Received FW setting request FW setting for opening a port for use in VPN connection is sometimes performed, and after determining the port number to be waited on the external network 30 side when receiving the NAT setting request after establishing the VPN, the address on the VPN in the HGW 13 and Using the port number on the VPN and the local address of the target home device, the NAT / FW setting unit 134 that performs settings according to the NAT setting request, and the external network 30 when the reverse proxy setting request is received after the VPN is established After determining the port number to wait on the side, use the VPN address and port number on the HGW 13 and the local address of the target home device to make settings according to the reverse proxy setting request, and access control by the set reverse proxy settings Do reverse proxy Function unit 135, VPN server function unit 136 that establishes a VPN as a VPN server when a VPN establishment request is received, and NAT / FW that performs access control by FW setting and NAT setting set by NAT / FW setting unit 134 And a functional unit 137.

このHGW13a、13bを構成しているアクセス制御サーバ通信部131と、HGW情報取得部132と、ホーム機器通信部133と、NAT/FW設定部134と、リバースプロキシ機能部135とは、OSGi(Open Services Gateway initiative)フレームワークを用いたバンドルで実装されている。   The access control server communication unit 131, the HGW information acquisition unit 132, the home device communication unit 133, the NAT / FW setting unit 134, and the reverse proxy function unit 135 that constitute the HGWs 13a and 13b are OSGi (Open It is implemented in a bundle using the Services Gateway initiative) framework.

このようにバンドルで実装することにより、OSGiフレームワークを用いて各バンドルを容易に配布し、アップデートが可能となるので、様々なホーム機器に対応することが可能となる。   By mounting in bundles in this way, each bundle can be easily distributed and updated using the OSGi framework, so that various home devices can be supported.

本実施の形態では、アプリケーションサーバ10a、10bとアクセス制御サーバ11とを互いに独立した装置として説明するが、運用形態によっては、両サーバの機能を1つの装置に集約させることも可能である。   In the present embodiment, the application servers 10a and 10b and the access control server 11 will be described as independent devices. However, depending on the operation mode, the functions of both servers can be integrated into one device.

次に、本アクセス制御システム1の処理フローについて説明する。図3は、アクセス制御システムの処理フローを示す図である。   Next, a processing flow of the access control system 1 will be described. FIG. 3 is a diagram showing a processing flow of the access control system.

最初に、ステップS1において、リモート端末15から第1アプリケーションサーバ10aに対してエンドユーザ宅のホーム機器へのアクセス要求(Webブラウザでのウェブ接続)があった場合に、ログイン認証を行い、第1アプリケーションサーバ10aが、該エンドユーザ宅内に配置されているホーム機器を選択させるホーム機器一元管理ページをリモート端末15の画面に出力させる。   First, in step S1, when there is an access request (web connection with a web browser) to the home device at the end user's home from the remote terminal 15 to the first application server 10a, login authentication is performed and the first The application server 10 a causes the home device centralized management page for selecting home devices arranged in the end user's home to be output on the screen of the remote terminal 15.

これにより、リモート端末15を操作しているエンドユーザは、エンドユーザ宅内において所望するホーム機器を選択することが可能となる。   Thereby, the end user operating the remote terminal 15 can select a desired home device in the end user's home.

ステップS2において、エンドユーザにより所定のホーム機器14が選択された(以下、第1ホーム機器14aが選択されたものとする)後に、第1アプリケーションサーバ10aが、選択された第1ホーム機器14aで利用可能なアクセス方法を選択させる画面、具体的には「リモートアクセス」又は「リモートデスクトップ接続」を選択する表示を上記ホーム機器一元管理ページに出力する。   In step S2, after a predetermined home device 14 is selected by the end user (hereinafter, the first home device 14a is selected), the first application server 10a is selected by the selected first home device 14a. A screen for selecting an available access method, specifically, a display for selecting “remote access” or “remote desktop connection” is output to the home device centralized management page.

ステップS3において、第1アプリケーションサーバ10aが、選択された第1ホーム機器14aの識別子を記憶部から検索取得し、VPNを確立するためのFW設定要求の識別子と、VPNで利用するポートの情報と、送信元である第1アプリケーションサーバ10aの識別子と、送信先である第1ホーム機器14aの識別子と、リモート端末15のソースアドレスとを指定し、これら指定情報を記載したFW設定要求パケットを中継するようアクセス制御サーバ11に送信する。   In step S3, the first application server 10a retrieves the identifier of the selected first home device 14a from the storage unit, and establishes the FW setting request identifier for establishing the VPN, and the port information used in the VPN. The identifier of the first application server 10a that is the transmission source, the identifier of the first home device 14a that is the transmission destination, and the source address of the remote terminal 15 are specified, and the FW setting request packet describing these specification information is relayed To the access control server 11.

ステップS4において、FW設定要求パケットを受信したアクセス制御サーバ11が、そのパケットに記載されている第1アプリケーションサーバ10aの識別子と第1ホーム機器14aの識別子とを用いて、ACLの設定内容に基づいて送信可能な宛先であるか否かを判定し、送信可能な場合には、第1ホーム機器14aの識別子に対応付けられたHGW13の識別子がHILから取得され、HGWが特定される(ここでは、第1HGW13aの識別子が取得されたものとする)。   In step S4, the access control server 11 that has received the FW setting request packet uses the identifier of the first application server 10a and the identifier of the first home device 14a described in the packet based on the ACL setting contents. In the case where transmission is possible, the identifier of the HGW 13 associated with the identifier of the first home device 14a is acquired from the HIL, and the HGW is specified (here, , The identifier of the first HGW 13a is acquired).

その後、専用ネットワーク31を介して第1HGW13aの識別子をHGWアドレス管理サーバ12に送信して、第1HGW13aにおける専用ネットワーク側のアドレスを取得する。   Thereafter, the identifier of the first HGW 13a is transmitted to the HGW address management server 12 via the dedicated network 31, and the address on the dedicated network side in the first HGW 13a is acquired.

そして、受信しているFW設定要求パケットを、取得されたアドレスの第1HGW13aに中継する。   Then, the received FW setting request packet is relayed to the first HGW 13a of the acquired address.

ステップS5において、専用ネットワーク31を介してアクセス制御サーバ11で中継されたFW設定要求パケットを第1HGW13aのアクセス制御サーバ通信部131で受信した後に、HGW情報取得部132が、自身の外部ネットワーク30側に設定されているアドレスを取得する。   In step S5, after receiving the FW setting request packet relayed by the access control server 11 via the dedicated network 31 by the access control server communication unit 131 of the first HGW 13a, the HGW information acquisition unit 132 performs its own external network 30 side. Get the address set in.

そして、NAT/FW設定部134が、当該FW設定要求パケットに記述されている、VPNで利用するポートを開けるようにFWの設定を行う。このとき、当該FW設定要求パケットに記述されているリモート端末15のソースアドレスを用いて、NAT/FW機能部137が、このリモート端末15からのVPN確立リクエストのみを受け付けるように設定が行われる。   Then, the NAT / FW setting unit 134 sets the FW so as to open the port used in the VPN described in the FW setting request packet. At this time, using the source address of the remote terminal 15 described in the FW setting request packet, setting is performed so that the NAT / FW function unit 137 accepts only the VPN establishment request from the remote terminal 15.

このFWの設定が成功した場合には、第1HGW13aの外部ネットワーク30側のアドレス及び待ち受けポート番号を、専用ネットワーク31を介して第1アプリケーションサーバ10aに返却する。   When the FW setting is successful, the address and the standby port number on the external network 30 side of the first HGW 13a are returned to the first application server 10a via the dedicated network 31.

ステップS6において、第1アプリケーションサーバ10aが、返却された第1HGW13aの外部ネットワーク側のアドレス及び待ち受けポート番号をVPNクライアントとしてのリモート端末15のリモートアクセスクライアントソフトウェアに通知し、このリモートアクセスクライアントソフトウェアからVPN接続ツールを利用してVPN確立リクエストを送信し、このVPN確立リクエストをHGW13aのVPNサーバ機能部136およびNAT/FW機能部137が受信することにより設定されたFW設定により、外部ネットワーク30上のリモート端末15と第1HGW13aとの間にVPNを確立させる。   In step S6, the first application server 10a notifies the remote access client software of the remote terminal 15 as a VPN client of the address and standby port number of the returned first HGW 13a to the remote terminal 15 as a VPN client. A VPN establishment request is transmitted using the connection tool, and the VPN establishment function is received by the VPN server function unit 136 and the NAT / FW function unit 137 of the HGW 13a. A VPN is established between the terminal 15 and the first HGW 13a.

次に、第1アプリケーションサーバ10aが、NATないしはリバースプロキシの設定のため、ホーム機器14aにアクセスするためのNAT設定要求の識別子ないしはリバースプロキシ設定の識別子と、送信元である第1アプリケーションサーバ10aの識別子と、送信先である第1ホーム機器14aの識別子とを指定すると共に、必要に応じてHGW13の待ち受けポート番号を指定し、これら指定情報を記載したNAT設定要求パケットないしはリバースプロキシ設定要求パケットを中継するようアクセス制御サーバ11に送信する。   Next, in order for the first application server 10a to set the NAT or the reverse proxy, the identifier of the NAT setting request for accessing the home device 14a or the identifier of the reverse proxy setting and the first application server 10a that is the transmission source The identifier and the identifier of the first home device 14a that is the transmission destination are designated, the standby port number of the HGW 13 is designated as necessary, and a NAT setting request packet or reverse proxy setting request packet in which these designation information is described It transmits to the access control server 11 to relay.

ステップS7において、NAT設定要求パケットないしはリバースプロキシ設定要求パケットを受信したアクセス制御サーバ11が、そのパケットに記載されている第1アプリケーションサーバ10aの識別子と第1ホーム機器14aの識別子とを用いて、ACLの設定内容に基づいて送信可能な宛先であるか否かを判定し、送信可能な場合には、第1ホーム機器14aの識別子に対応付けられたHGW13の識別子がHILから取得される(ここでは、第1HGW13aの識別子が取得されたものとする)。   In step S7, the access control server 11 that has received the NAT setting request packet or the reverse proxy setting request packet uses the identifier of the first application server 10a and the identifier of the first home device 14a described in the packet, It is determined whether or not the destination is a destination that can be transmitted based on the setting contents of the ACL, and if transmission is possible, the identifier of the HGW 13 associated with the identifier of the first home device 14a is acquired from the HIL (here Then, it is assumed that the identifier of the first HGW 13a has been acquired).

その後、専用ネットワーク31を介して第1HGW13aの識別子をHGWアドレス管理サーバ12に送信して、第1HGW13aにおける専用ネットワーク側のアドレスを取得する。   Thereafter, the identifier of the first HGW 13a is transmitted to the HGW address management server 12 via the dedicated network 31, and the address on the dedicated network side in the first HGW 13a is acquired.

そして、受信しているNAT設定要求パケットないしはリバースプロキシ設定要求パケットを、取得されたアドレスの第1HGW13aに中継する。   Then, the received NAT setting request packet or reverse proxy setting request packet is relayed to the first HGW 13a of the acquired address.

ステップS8において、専用ネットワーク31を介してアクセス制御サーバ11で中継されたNAT設定要求パケットないしはリバースプロキシ設定要求パケットを第1HGW13aのアクセス制御サーバ通信部131で受信した後に、HGW情報取得部132が、自身のVPN上に設定されているアドレスを取得する。   In step S8, after receiving the NAT setting request packet or the reverse proxy setting request packet relayed by the access control server 11 via the dedicated network 31, the access control server communication unit 131 of the first HGW 13a, the HGW information acquisition unit 132 The address set on its own VPN is acquired.

そして、ホーム機器通信部133が、NAT設定要求パケットないしはリバースプロキシ設定要求パケットに記載されている第1ホーム機器14aの識別子を用いてホームネットワーク32にブロードキャストにより問い合わせを行い、第1ホーム機器14aのローカルアドレスを取得する。   Then, the home device communication unit 133 makes an inquiry to the home network 32 by broadcast using the identifier of the first home device 14a described in the NAT setting request packet or the reverse proxy setting request packet, and the first home device 14a Get local address.

その後、NAT設定要求パケットないしはリバースプロキシ設定要求パケットにHGW13の待ち受けポート番号が指定されている場合にはそのポート番号、指定されていない場合や予め規定されている場合には該規定に従うポート番号、又はランダムに決定したポート番号のうちいずれかを第1HGW13aのVPN上の待ち受けポート番号として用いて、HGW情報取得部132により取得したVPN上のアドレスであって決定した待ち受けポート番号に到達したパケットを、ホーム機器通信部133により取得した第1ホーム機器14aのローカルアドレスであってNAT設定要求パケットないしはリバースプロキシ設定要求パケットに記載されている第1ホーム機器14aに転送可能とするように、NAT/FW設定部134がNATのテーブル情報を設定(変更や追加)を行うかまたは、リバースプロキシ機能部135がリバースプロキシ設定を行う。この設定において、第1ホーム機器14aのポート番号は、ホーム機器への問い合わせによって得られたポート番号、予め規定されているポート番号、又はランダムに決定したポート番号のうちいずれかが用いられて設定される。ランダムに決定した場合には、別途第1ホーム機器14aに対して決定したポート番号が通知され、該第1ホーム機器14aはリモート端末15からの通信のための待ち受けを該ポート番号において行う。   Thereafter, when the standby port number of the HGW 13 is specified in the NAT setting request packet or the reverse proxy setting request packet, the port number is specified, and when not specified or specified in advance, the port number according to the specification is specified. Alternatively, any one of the randomly determined port numbers is used as a standby port number on the VPN of the first HGW 13a, and a packet that has reached the determined standby port number is an address on the VPN acquired by the HGW information acquisition unit 132. , The local address of the first home device 14a acquired by the home device communication unit 133, so that it can be transferred to the first home device 14a described in the NAT setting request packet or the reverse proxy setting request packet. The FW setting unit 134 Or performs the setting table information (additional changes or), reverse proxy function unit 135 performs a reverse proxy settings. In this setting, the port number of the first home device 14a is set using any one of a port number obtained by an inquiry to the home device, a predefined port number, or a randomly determined port number. Is done. If it is determined randomly, the determined port number is notified separately to the first home device 14a, and the first home device 14a waits for communication from the remote terminal 15 at the port number.

設定が成功した場合には、第1HGW13aのVPN上のアドレス及びVPN上の待ち受けポート番号を、専用ネットワーク31を介して第1アプリケーションサーバ10aに返却する。   When the setting is successful, the address on the VPN of the first HGW 13a and the standby port number on the VPN are returned to the first application server 10a via the dedicated network 31.

またステップS9において、第1アプリケーションサーバ10aは、返却された情報を元にURI又はRDPファイルを生成し、URI又はRDPファイルへのリンクを生成した上でリダイレクトが可能であればリダイレクトを行い、リモート端末15からのアクセス要求をホーム機器一元管理ページから第1ホーム機器14aに遷移させる。   In step S9, the first application server 10a generates a URI or RDP file based on the returned information, generates a link to the URI or RDP file, and performs redirection if redirection is possible. The access request from the terminal 15 is shifted from the home device unified management page to the first home device 14a.

ステップS10においてエンドユーザは、そのまま待機するか、画面に表示されているリンクをクリックすることにより、外部ネットワーク30上にリモート端末15からHGW14aに確立されたVPNおよび、HGW14a上のNAT設定ないしはリバースプロキシ設定により、NAT/FW機能部137またはリバースプロキシ機能部135により第1ホーム機器14aへのアクセス制御が行われ、リモート端末15と第1ホーム機器14aとの間で通信が可能となる。   In step S10, the end user waits as it is or clicks a link displayed on the screen, so that the VPN established from the remote terminal 15 to the HGW 14a on the external network 30 and the NAT setting or reverse proxy on the HGW 14a are established. By setting, access control to the first home device 14a is performed by the NAT / FW function unit 137 or the reverse proxy function unit 135, and communication between the remote terminal 15 and the first home device 14a becomes possible.

最後に、ステップS11において、第1ホーム機器14aへのアクセス終了後、タイムアウト処理、又はホーム機器一元管理ページからのユーザの明示的な指示に基づいて、ステップS5およびS8で設定した設定情報をNAT/FWのテーブル情報から削除する。   Finally, in step S11, after the access to the first home device 14a is completed, the setting information set in steps S5 and S8 is changed to NAT based on the timeout process or the user's explicit instruction from the home device unified management page. Delete from / FW table information.

以上説明した本アクセス制御システムを用いることにより、例えば、1)Webブラウザを用いたホーム機器へのhttp/httpsでのリモートアクセス、2)Webブラウザとリモートデスクトップ接続とを用いたホーム機器へのリモートデスクトップ接続、3)Webブラウザと動画ファイルを再生可能なソフトウェアとを用いたDLNA(Digital Living Network Alliance)のコンテンツ視聴等のサービスを提供することが可能となる。   By using the access control system described above, for example, 1) remote access to a home device using a web browser using http / https 2) remote control to a home device using a web browser and a remote desktop connection Desktop connection 3) It is possible to provide services such as DLNA (Digital Living Network Alliance) content viewing using a Web browser and software capable of reproducing moving image files.

最初に、上記1)の場合における画面遷移を図4に示す。   First, the screen transition in the case of 1) is shown in FIG.

このリモートアクセスは、ホーム機器を選択した後に、HGW13のアクセス制御サーバ通信部131を経由してNAT/FW設定部134によりVPN接続のためのFW設定を行い、VPNを確立した上でNAT/FW設定部134によるNATの設定またはリバースプロキシ機能部によるリバースプロキシの設定を行い、設定完了後にリダイレクトを行って、ホーム機器へVPN経由で直接アクセスするアクセス方法である。   In this remote access, after selecting a home device, the NAT / FW setting unit 134 performs FW setting for VPN connection via the access control server communication unit 131 of the HGW 13, and after establishing the VPN, the NAT / FW In this access method, NAT is set by the setting unit 134 or reverse proxy is set by the reverse proxy function unit, and redirected after the setting is completed to directly access the home device via the VPN.

まず、リモート端末15の画面には、ホーム機器を選択するホーム機器一元管理ページが表示され(遷移Sa1)、続いて、選択されたホーム機器で利用可能なアクセス方法等が表示される(遷移Sa2)。   First, the home device centralized management page for selecting a home device is displayed on the screen of the remote terminal 15 (transition Sa1), followed by an access method that can be used by the selected home device (transition Sa2). ).

リモートアクセスを選択することにより、ホーム機器の管理画面又はファイル閲覧を選択する画面が表示され(遷移Sa3)、ファイル閲覧の開始が選択されることにより、アクセス制御サーバ11経由でHGW13のFW設定およびVPNの確立が行われ、さらにNATの設定またはリバースプロキシの設定が行われる。   By selecting the remote access, a home device management screen or a screen for selecting file browsing is displayed (transition Sa3), and by selecting the start of file browsing, the FW setting of the HGW 13 and the access control server 11 are selected. VPN establishment is performed, and further NAT setting or reverse proxy setting is performed.

ここで、新たなウィンドウが立ち上がり、FW設定、VPNの確立、NAT設定ないしはリバースプロキシ設定中には「設定中」であることが表示され(遷移Sa4)、設定完了後にはその旨が表示される(遷移Sa5)。   Here, a new window is started up, and “setting” is displayed during FW setting, VPN establishment, NAT setting or reverse proxy setting (transition Sa4), and this is displayed after the setting is completed. (Transition Sa5).

その後、リダイレクトを行うか、又は画面上での指定箇所をクリックしてリンクを辿ることにより、VPN経由でホーム機器のページが表示され、ホーム機器のファイルを閲覧することが可能となる(遷移Sa6)。   After that, by redirecting or by clicking a designated place on the screen and following the link, the home device page is displayed via the VPN, and the home device file can be browsed (transition Sa6). ).

そして、ファイルの閲覧が終了する場合にはページを閉じることにより(遷移Sa7)、遷移Sa3の画面に戻る(遷移Sa8)。   When the browsing of the file ends, the page is closed (transition Sa7), and the screen returns to the transition Sa3 screen (transition Sa8).

その後、ファイル閲覧の終了を選択することにより全ての処理が終了する(遷移Sa9、Sa10)。   Thereafter, by selecting the end of file browsing, all processing ends (transitions Sa9 and Sa10).

次に、上記2)の場合における画面遷移を図5に示す。   Next, the screen transition in the case of 2) is shown in FIG.

このリモートデスクトップ接続は、ホーム機器を選択した後に、HGW13のアクセス制御サーバ通信部131を経由してNAT/FW設定部134によりVPN接続のためのFW設定を行い、VPNを確立した上でNAT/FW設定部134によるNATの設定またはリバースプロキシ機能部によるリバースプロキシの設定を行い、設定完了後にアクセス対象のホーム機器にVPN経由でアクセス可能となるよう、VPN上におけるNATでの外部ネットワーク30側の待ち受けポート番号およびVPN上のアドレス、またはVPN上のリバースプロキシでの外部ネットワーク30側の待ち受けポートおよびVPN上のアドレスを記述したRDPファイルを生成し、該RDPファイルへのURLを記述したページを生成して、ホーム機器へリモートデスクトップで直接アクセスするアクセス方法である。   In this remote desktop connection, after selecting a home device, the NAT / FW setting unit 134 performs FW setting for VPN connection via the access control server communication unit 131 of the HGW 13, and after establishing the VPN, The NAT setting by the FW setting unit 134 or the reverse proxy setting by the reverse proxy function unit is performed, and after the setting is completed, the external network 30 side in the NAT on the VPN is made to be accessible via the VPN. Generate an RDP file describing the listening port number and address on the VPN, or the listening port and VPN address on the external network 30 side in the reverse proxy on the VPN, and generate a page describing the URL to the RDP file To home equipment It is an access method for direct access in remote desktop.

まず、リモート端末15の画面には、ホーム機器を選択するホーム機器一元管理ページが表示され(遷移Sb1)、続いて、選択されたホーム機器で利用可能なアクセス方法等が表示される(遷移Sb2)。   First, a home device centralized management page for selecting a home device is displayed on the screen of the remote terminal 15 (transition Sb1), and subsequently, an access method that can be used by the selected home device is displayed (transition Sb2). ).

RDP接続を選択することにより、RDP接続の開始/終了を選択する画面が表示され(遷移Sb3)、RDP接続の開始が選択されることにより、アクセス制御サーバ11経由でHGW13のFW設定およびVPNの確立が行われ、さらにNATの設定またはリバースプロキシの設定が行われる。   By selecting the RDP connection, a screen for selecting the start / end of the RDP connection is displayed (transition Sb3). By selecting the start of the RDP connection, the FW setting of the HGW 13 and the VPN settings are made via the access control server 11. Establishment is performed, and further NAT setting or reverse proxy setting is performed.

ここで、新たなウィンドウが立ち上がり、FW設定、VPNの確立、NAT設定ないしはリバースプロキシ設定中には「設定中」であることが表示され(遷移Sb4)、その設定やRDPファイルが生成された後に、RDPファイルへのリンクを記述したページが表示される(遷移Sb5)。   Here, a new window is launched, and “setting” is displayed during FW setting, VPN establishment, NAT setting or reverse proxy setting (transition Sb4), and after the setting or RDP file is generated The page describing the link to the RDP file is displayed (transition Sb5).

その後、表示された指定箇所をクリックすることにより外部プログラムが起動し、ホーム機器へVPN経由でリモートデスクトップ接続によりアクセスすることが可能となる(遷移Sb6)。   After that, by clicking the designated location displayed, the external program is activated, and it becomes possible to access the home device via a remote desktop connection via VPN (transition Sb6).

そして、そのホーム機器への接続を終了する場合には、ページを閉じることにより(遷移Sb7)、遷移Sb3の画面に戻る(遷移Sb8)。   When the connection to the home device is terminated, the page is closed (transition Sb7), and the screen returns to the transition Sb3 screen (transition Sb8).

その後、RDP接続の終了を選択することにより全ての処理が終了する(遷移Sb9、Sb10)。   Thereafter, by selecting the end of the RDP connection, all the processes are completed (transitions Sb9 and Sb10).

最後に、上記3)の場合における画面遷移を図6に示す。   Finally, the screen transition in the case of 3) is shown in FIG.

このコンテンツ視聴は、ホーム機器を選択した後に、HGW13のアクセス制御サーバ通信部131及びホーム機器通信部133を経由してホーム機器が有するコンテンツ迄の階層を辿り、その提供可能なコンテンツリストを取得した後に、アクセス制御サーバ通信部131を経由してNAT/FW設定部134によりFW設定を行い、VPNを確立した上でNAT/FW設定部134によるNATの設定またはリバースプロキシ機能部によるリバースプロキシの設定を行い、設定完了後にアクセス対象のホーム機器のコンテンツにアクセス可能となるよう、VPN上におけるNATでの外部ネットワーク30側の待ち受けポート番号およびVPN上のアドレス、またはVPN上のリバースプロキシでの外部ネットワーク30側の待ち受けポートおよびVPN上のアドレスを記述したリンクを生成すると共にリダイレクトを行い、ホーム機器のコンテンツへVPN経由で直接アクセスするアクセス方法である。   In this content viewing, after selecting the home device, the content list that can be provided is obtained by following the hierarchy up to the content of the home device via the access control server communication unit 131 and the home device communication unit 133 of the HGW 13. Later, the FW setting is performed by the NAT / FW setting unit 134 via the access control server communication unit 131, and after establishing the VPN, the NAT setting by the NAT / FW setting unit 134 or the reverse proxy setting by the reverse proxy function unit After the setting is completed, the standby port number on the external network 30 side in the NAT on the VPN and the address on the VPN, or the external network on the reverse proxy on the VPN so that the contents of the home device to be accessed can be accessed 30 side standby To redirection to generate a link that describes the address on the bets and VPN, the access method for direct access through the VPN to the content of the home device.

まず、リモート端末15の画面には、ホーム機器を選択するホーム機器一元管理ページが表示され(遷移Sc1)、続いて、選択されたホーム機器で利用可能なアクセス方法等が表示される(遷移Sc2)。   First, the home device centralized management page for selecting a home device is displayed on the screen of the remote terminal 15 (transition Sc1), and then an access method and the like that can be used with the selected home device are displayed (transition Sc2). ).

ここで、コンテンツ視聴を選択することにより、アクセス制御サーバ通信部131及びホーム機器通信部133が、選択されたホーム機器により視聴可能なコンテンツを該ホーム機器から検索取得して表示する(遷移Sc3)。   Here, by selecting content viewing, the access control server communication unit 131 and the home device communication unit 133 search and acquire content that can be viewed by the selected home device from the home device and display the content (transition Sc3). .

ここで「ビデオ」が選択されて、更に「全てのビデオ」が選択された場合に(遷移Sc4)、ホーム機器が提供可能なビデオ1〜ビデオ3の開始/終了を選択する画面が表示され(遷移Sc5)、例えばビデオ1の開始が選択されることにより、アクセス制御サーバ11経由でHGW13のFW設定およびVPNの確立が行われ、さらにNATの設定またはリバースプロキシの設定が行われる。   Here, when “video” is selected and “all videos” is further selected (transition Sc4), a screen for selecting start / end of video 1 to video 3 that can be provided by the home device is displayed ( Transition Sc5), for example, when the start of video 1 is selected, FW setting and VPN establishment of the HGW 13 are performed via the access control server 11, and further NAT setting or reverse proxy setting is performed.

ここで、新たなウィンドウが立ち上がり、FW設定、VPNの確立、NAT設定ないしはリバースプロキシ設定中には「設定中」であることが表示され(遷移Sc6)、HGW13へのリンクが生成された後に、そのリンクを記述したページが表示される(遷移Sc7)。   Here, a new window is launched, and it is displayed that “setting is in progress” during FW setting, VPN establishment, NAT setting or reverse proxy setting (transition Sc6), and after the link to HGW 13 is generated, A page describing the link is displayed (transition Sc7).

その後、リダイレクトを行うか、表示された指定箇所をクリックすることにより外部プログラムが起動し、VPN経由でコンテンツ視聴が可能となる(遷移Sc8)。   Thereafter, redirection is performed or an external program is activated by clicking a designated location displayed, and content viewing via the VPN becomes possible (transition Sc8).

そして、そのコンテンツ視聴を終了する場合には、ページを閉じることにより(遷移Sc9)、遷移Sc5の画面に戻る(遷移Sc10)。   When the content viewing ends, the page is closed (transition Sc9), and the screen returns to the transition Sc5 (transition Sc10).

その後、ビデオ1の終了を選択することにより全ての処理が終了する(遷移Sc11、Sc12)。   Thereafter, by selecting the end of the video 1, all the processes are completed (transitions Sc11 and Sc12).

本実施の形態によれば、HGW情報取得部132が、リモート端末15からアクセス要求が送信された後に、外部ネットワーク30に接続された外部ネットワーク側のアドレスを取得するので、ダイナミックDNSによりHGW13の外部ネットワーク側のアドレスが変更されるような場合であっても、リモート端末15からのアクセスを確実にHGW13に遷移させ、ユーザによるホーム機器14へのアクセスをより確実なものとすることができる。   According to the present embodiment, the HGW information acquisition unit 132 acquires the address on the external network side connected to the external network 30 after the access request is transmitted from the remote terminal 15, and thus the external of the HGW 13 is performed by dynamic DNS. Even when the address on the network side is changed, the access from the remote terminal 15 can be reliably transited to the HGW 13 and the access to the home device 14 by the user can be made more reliable.

本実施の形態によれば、ホーム機器通信部133が、アクセス対象のホーム機器の識別子を用いてホームネットワークにブロードキャストを行ってホーム機器のアドレスを取得するので、換言すれば、ホーム機器との通信においてはUPnPである必要はないので、ホーム機器がUPnPに対応している必要はなく、広く一般に普及している機器をアクセス制御の対象とすることができる。   According to the present embodiment, the home device communication unit 133 broadcasts to the home network using the identifier of the home device to be accessed, and acquires the address of the home device. In other words, communication with the home device Therefore, it is not necessary for the home device to support UPnP, and a device that is widely spread can be used as a target for access control.

本実施の形態によれば、アプリケーションサーバ10へのログイン時に認証を行い、閉域かつセキュアな専用ネットワーク31を経由してHGW13のNAT/FW設定を行うので、成りすましや盗聴等の危険性を低減することができる。   According to the present embodiment, authentication is performed at the time of login to the application server 10, and NAT / FW setting of the HGW 13 is performed via the closed and secure dedicated network 31, so that the risk of impersonation and eavesdropping is reduced. be able to.

本実施の形態によれば、リモート端末とホーム機器との外部ネットワークによる接続はセキュアなVPNを経由して行われるため、成りすましや盗聴等の危険性を低減することができる。   According to the present embodiment, since the connection between the remote terminal and the home device via the external network is performed via the secure VPN, the risk of impersonation or eavesdropping can be reduced.

本実施の形態によれば、HGWがVPNサーバとして機能し、VPNクライアントであるリモート端末との間でVPNを確立するため、HGWに接続されたホーム機器のプロトコルは限定されず、さまざまな機種のホーム機器に対応した幅広いサービスを一元的に管理することができる。   According to the present embodiment, since the HGW functions as a VPN server and establishes a VPN with a remote terminal that is a VPN client, the protocol of the home device connected to the HGW is not limited, and various models A wide range of services compatible with home devices can be centrally managed.

また、ホーム機器よってはローカルネットワークからのアクセス以外は受け付けないように設定されているものもあるが、そのようなホーム機器に対してはリバースプロキシ設定を用いることにより、リモート端末から外部ネットワークを介して容易かつセキュアにアクセスすることが可能になる。   In addition, some home devices are set not to accept access other than from the local network. For such home devices, the reverse proxy setting can be used from the remote terminal via the external network. Easy and secure access.

本実施の形態によれば、アクセス制御サーバ通信部131と、HGW情報取得部132と、ホーム機器通信部133と、NAT/FW設定部134とが、OSGiフレームワークを用いたバンドルで実装されているので、将来におけるホーム機器の増設や機能に拡張に対して容易に対応することができる。   According to the present embodiment, the access control server communication unit 131, the HGW information acquisition unit 132, the home device communication unit 133, and the NAT / FW setting unit 134 are implemented in a bundle using the OSGi framework. Therefore, it is possible to easily cope with the expansion of home devices and functions in the future.

1…アクセス制御システム
10…アプリケーションサーバ群
10a、10b…アプリケーションサーバ
11…アクセス制御サーバ
12…HGWアドレス管理サーバ
13…HGW群
13a、13b…HGW
14…ホーム機器群
14a〜14d…ホーム機器
15…リモート端末
30…外部ネットワーク
31…専用ネットワーク
32a、32b…ホームネットワーク
131…アクセス制御サーバ通信部
132…HGW情報取得部
133…ホーム機器通信部
134…NAT/FW設定部
135…リバースプロキシ機能部
136…VPNサーバ機能部
137…NAT/FW機能部 DESCRIPTION OF SYMBOLS 1 ... Access control system 10 ... Application server group 10a, 10b ... Application server 11 ... Access control server 12 ... HGW address management server 13 ... HGW group 13a, 13b ... HGW
DESCRIPTION OF SYMBOLS 14 ... Home equipment group 14a-14d ... Home equipment 15 ... Remote terminal 30 ... External network 31 ... Dedicated network 32a, 32b ... Home network 131 ... Access control server communication part 132 ... HGW information acquisition part 133 ... Home equipment communication part 134 ... NAT / FW setting unit 135... Reverse proxy function unit 136... VPN server function unit 137. NAT / FW function unit

Claims (2)

外部ネットワークに配置されたVPNクライアント機能を有するリモート端末からホームネットワークに接続されているホーム機器にアクセスするためのアクセス制御システムにおいて、
前記外部ネットワークに配置され、前記ホーム機器の識別子を記憶手段に記憶しておき、前記接続されたホーム機器の中から対象ホーム機器を選択させるための管理ページを前記リモート端末に表示させ、これにより選択された対象ホーム機器の識別子を前記記憶手段から検索して、前記外部ネットワークと前記ホームネットワークとの境界に配置されたホームゲートウェイと前記リモート端末との間にVPNを確立できるように、当該VPNを確立する際に利用するポートの情報を含むファイアウォールのテーブル情報を設定するためのファイアウォール設定要求を、前記ホームゲートウェイに送信し、また前記VPN確立後に前記ホームゲートウェイにおけるVPN上のアドレスに到達したアクセス要求を選択された対象ホーム機器に転送するように、NATテーブル情報を設定するためのNAT設定要求ないしはリバースプロキシ設定を行うためのリバースプロキシ設定要求を送信する受付サーバと、
受付サーバ/ホーム機器からホーム機器/受付サーバへのアクセス制限を定めたアクセス制御リストに基づいて、前記ファイアウォール設定要求、またはNAT設定要求ないしはリバースプロキシ設定要求を送信した受付サーバが前記対象ホーム機器にアクセス可能か否かを判定し、アクセス可能な場合に、ホーム機器の識別子からホームゲートウェイを検索可能なホームゲートウェイ識別子リストに基づいて、前記対象ホーム機器と同じホームネットワークに接続されたホームゲートウェイを特定し、特定された該ホームゲートウェイに前記ファイアウォール設定要求、またはNAT設定要求ないしはリバースプロキシ設定要求を、専用ネットワークを介して中継するアクセス制御サーバと、
前記アクセス制御サーバから専用ネットワークを介して中継された前記ファイアウォール設定要求、またはNAT設定要求ないしはリバースプロキシ設定要求を受信するアクセス制御サーバ通信部と、前記ファイアウォール設定要求を受信したときに自身に設定されている外部ネットワーク側のアドレスを取得し、前記NAT設定要求ないしはリバースプロキシ設定要求を受信したときに前記ホームゲートウェイにおけるVPN上のアドレスを取得する情報取得部と、前記NAT設定要求ないしはリバースプロキシ設定要求を受信したときに前記対象ホーム機器の識別子を用いてホームネットワークにブロードキャストを行って前記対象ホーム機器のローカルアドレスを取得するホーム機器通信部と、前記ファイアウォール設定要求を受信したときに前記自身に設定されている外部ネットワーク側のアドレスと前記ポートの情報とを用いて前記ファイアウォールのテーブル情報を設定し、前記NAT設定要求ないしはリバースプロキシ設定要求を受信したときに、前記ホームゲートウェイにおいてVPN上で待ち受けるポート番号を決定した後に、前記ホームゲートウェイにおけるVPN上のアドレス及び決定したポート番号と前記対象ホーム機器の前記ローカルアドレスとを用いて、前記NAT設定要求ないしはリバースプロキシ設定要求に応じた設定を行う設定部と、設定された前記ファイアウォールのテーブル情報により、前記リモート端末から送信されるVPN確立リクエストに応じて前記ホームゲートウェイとの間にVPNを確立させるVPNサーバ機能部とを有するホームゲートウェイとを備え、
前記受付サーバは、前記ホームゲートウェイにおけるVPN上のアドレス及び決定したポート番号を用いてURI又はRDPファイルを生成し、該URI又はRDPファイルへのリンクを生成して、前記リモート端末からのアクセス要求を管理ページから前記対象ホーム機器に、確立されたVPNを経由して遷移させることを特徴とするアクセス制御システム。 In an access control system for accessing a home device connected to a home network from a remote terminal having a VPN client function arranged in an external network,
An identifier of the home device is stored in the storage means and is stored in the external network, and a management page for selecting a target home device from the connected home devices is displayed on the remote terminal, thereby An identifier of the selected target home device is retrieved from the storage means so that a VPN can be established between the home gateway located at the boundary between the external network and the home network and the remote terminal. A firewall setting request for setting firewall table information including port information used when establishing a VPN is transmitted to the home gateway, and after the VPN is established, an access that has reached an address on the VPN in the home gateway Transfer the request to the selected target home device. As to the reception server for transmitting a reverse proxy setting request for performing NAT setting request or reverse proxy configuration for setting the NAT table information,
Based on an access control list that defines access restrictions from the reception server / home device to the home device / reception server, the reception server that has transmitted the firewall setting request, the NAT setting request, or the reverse proxy setting request to the target home device. Judge whether access is possible, and if access is possible, identify a home gateway connected to the same home network as the target home device based on a home gateway identifier list from which the home gateway can be searched from the home device identifier An access control server that relays the firewall setting request, the NAT setting request or the reverse proxy setting request to the identified home gateway via a dedicated network;
An access control server communication unit that receives the firewall setting request or NAT setting request or reverse proxy setting request relayed from the access control server via a dedicated network, and is set in itself when the firewall setting request is received. An information acquisition unit that acquires an address on the external network side and acquires an address on the VPN in the home gateway when the NAT setting request or reverse proxy setting request is received; and the NAT setting request or reverse proxy setting request When receiving the firewall setting request, the home device communication unit broadcasts to the home network using the identifier of the target home device and obtains the local address of the target home device. When the firewall table information is set using the external network side address and the port information set in the server, and when the NAT setting request or reverse proxy setting request is received, the home gateway In response to the NAT setting request or reverse proxy setting request using the address on the VPN in the home gateway and the determined port number and the local address of the target home device after determining the port number waiting on the VPN in FIG. And a VPN server function unit that establishes a VPN with the home gateway according to a VPN establishment request transmitted from the remote terminal based on the set firewall table information. And an arm gateway,
The reception server generates a URI or RDP file using an address on the VPN in the home gateway and the determined port number, generates a link to the URI or RDP file, and sends an access request from the remote terminal. An access control system, wherein a transition is made from a management page to the target home device via an established VPN. 外部ネットワークに配置されたVPNクライアント機能を有するリモート端末からホームネットワークに接続されているホーム機器にアクセスするためのアクセス制御方法において、
前記外部ネットワークに配置された受付サーバが、前記ホーム機器の識別子を記憶手段に記憶しておき、前記接続されたホーム機器の中から対象ホーム機器を選択させるための管理ページを前記リモート端末に表示させ、これにより選択された対象ホーム機器の識別子を前記記憶手段から検索して、前記外部ネットワークと前記ホームネットワークとの境界に配置されたホームゲートウェイと前記リモート端末との間にVPNを確立できるように、当該VPNを確立する際に利用するポートの情報を含むファイアウォールのテーブル情報を設定するためのファイアウォール設定要求を、前記ホームゲートウェイに送信するステップと、
アクセス制御サーバが、受付サーバ/ホーム機器からホーム機器/受付サーバへのアクセス制限を定めたアクセス制御リストに基づいて、前記ファイアウォール設定要求を送信した受付サーバが前記対象ホーム機器にアクセス可能か否かを判定し、アクセス可能な場合に、ホーム機器の識別子からホームゲートウェイを検索可能なホームゲートウェイ識別子リストに基づいて、前記対象ホーム機器と同じホームネットワークに接続されたホームゲートウェイを特定し、特定された該ホームゲートウェイに前記ファイアウォール設定要求を、専用ネットワークを介して中継するステップと、
前記ホームゲートウェイのアクセス制御サーバ通信部が、前記アクセス制御サーバから専用ネットワークを介して中継された前記ファイアウォール設定要求を受信するステップと、
前記ホームゲートウェイの情報取得部が、前記ファイアウォール設定要求を受信したときに自身に設定されている外部ネットワーク側のアドレスを取得ステップと、
前記ホームゲートウェイの設定部が、前記ファイアウォール設定要求を受信したときに前記自身に設定されている外部ネットワーク側のアドレスと前記ポートの情報とを用いて前記ファイアウォールのテーブル情報を設定するステップと、
前記ホームゲートウェイのVPNサーバ機能部が、設定されたファイアウォールのテーブル情報により、前記リモート端末から送信されるVPN確立リクエストに応じて前記ホームゲートウェイとの間にVPNを確立させるステップと、
前記受付サーバが、前記VPN確立後に前記ホームゲートウェイにおける前記VPN上のアドレスに到達したアクセス要求を選択された対象ホーム機器に転送するように、NATテーブル情報を設定するためのNAT設定要求ないしはリバースプロキシ設定を行うためのリバースプロキシ設定要求を送信するステップと、
前記アクセス制御サーバが、受付サーバ/ホーム機器からホーム機器/受付サーバへのアクセス制限を定めたアクセス制御リストに基づいて、前記NAT設定要求ないしはリバースプロキシ設定要求を送信した受付サーバが前記対象ホーム機器にアクセス可能か否かを判定し、アクセス可能な場合に、ホーム機器の識別子からホームゲートウェイを検索可能なホームゲートウェイ識別子リストに基づいて、前記対象ホーム機器と同じホームネットワークに接続されたホームゲートウェイを特定し、特定された該ホームゲートウェイに前記NAT設定要求ないしはリバースプロキシ設定要求を、専用ネットワークを介して中継するステップと、
前記ホームゲートウェイのアクセス制御サーバ通信部が、前記アクセス制御サーバから専用ネットワークを介して中継された前記NAT設定要求ないしはリバースプロキシ設定要求を受信するステップと、
前記ホームゲートウェイの情報取得部が、前記NAT設定要求ないしはリバースプロキシ設定要求を受信したときに自身に設定されているVPN上のアドレスを取得するステップと、
前記ホームゲートウェイのホーム機器通信部が、前記NAT設定要求ないしはリバースプロキシ設定要求を受信したときに前記対象ホーム機器の識別子を用いてホームネットワークにブロードキャストを行って前記対象ホーム機器のローカルアドレスを取得するステップと、
前記ホームゲートウェイの設定部が、前記NAT設定要求ないしはリバースプロキシ設定要求を受信したときに、前記ホームゲートウェイにおいてVPN上で待ち受けるポート番号を決定した後に、前記VPN上のアドレス及び決定したポート番号と前記対象ホーム機器の前記ローカルアドレスとを用いて、前記NAT設定要求ないしはリバースプロキシ設定要求に応じた設定を行うステップと、
前記受付サーバが、前記ホームゲートウェイにおけるVPN上のアドレス及び決定したポート番号を用いてURI又はRDPファイルを生成し、該URI又はRDPファイルへのリンクを生成して、前記リモート端末からのアクセス要求を管理ページから前記対象ホーム機器に、確立されたVPNを経由して遷移させるステップと、
を有することを特徴とするアクセス制御方法。 In an access control method for accessing a home device connected to a home network from a remote terminal having a VPN client function arranged in an external network,
The reception server arranged in the external network stores the identifier of the home device in a storage unit, and displays a management page for selecting a target home device from the connected home devices on the remote terminal Thus, the identifier of the target home device selected can be retrieved from the storage means so that a VPN can be established between the home gateway and the remote terminal located at the boundary between the external network and the home network. Sending a firewall setting request for setting firewall table information including port information used when establishing the VPN to the home gateway;
Whether or not the reception server that has transmitted the firewall setting request can access the target home device based on an access control list that defines an access restriction from the reception server / home device to the home device / reception server. A home gateway connected to the same home network as the target home device based on a home gateway identifier list that can be searched from the home device identifier based on the home gateway identifier. Relaying the firewall setting request to the home gateway via a dedicated network;
The access control server communication unit of the home gateway receives the firewall setting request relayed from the access control server via a dedicated network;
The information acquisition unit of the home gateway acquires an address on the external network side set in itself when the firewall setting request is received;
The setting unit of the home gateway sets the table information of the firewall using the external network side address and the port information set to the self when the firewall setting request is received;
The VPN server function unit of the home gateway establishes a VPN with the home gateway according to a VPN establishment request transmitted from the remote terminal according to the set firewall table information;
A NAT setting request or reverse proxy for setting NAT table information so that the reception server transfers an access request reaching the address on the VPN in the home gateway after the VPN is established to the selected target home device. Sending a reverse proxy setup request to configure,
The reception server that has transmitted the NAT setting request or the reverse proxy setting request based on an access control list in which the access control server defines an access restriction from the reception server / home device to the home device / reception server. The home gateway connected to the same home network as the target home device based on the home gateway identifier list from which the home gateway can be searched from the home device identifier. Relaying the NAT setting request or reverse proxy setting request to the specified home gateway via a dedicated network;
The access control server communication unit of the home gateway receives the NAT setting request or reverse proxy setting request relayed from the access control server via a dedicated network;
The information acquisition unit of the home gateway acquires an address on the VPN set in itself when receiving the NAT setting request or the reverse proxy setting request;
When the home device communication unit of the home gateway receives the NAT setting request or reverse proxy setting request, it broadcasts to the home network using the identifier of the target home device to acquire the local address of the target home device. Steps,
When the setting unit of the home gateway receives the NAT setting request or the reverse proxy setting request, after determining the port number to wait on the VPN in the home gateway, the address on the VPN and the determined port number Using the local address of the target home device to perform settings according to the NAT setting request or reverse proxy setting request;
The reception server generates a URI or RDP file using the address on the VPN in the home gateway and the determined port number, generates a link to the URI or RDP file, and sends an access request from the remote terminal. Transition from the management page to the target home device via the established VPN;
An access control method comprising:
JP2011088010A 2011-04-12 2011-04-12 Access control system and access control method Active JP5478546B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011088010A JP5478546B2 (en) 2011-04-12 2011-04-12 Access control system and access control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011088010A JP5478546B2 (en) 2011-04-12 2011-04-12 Access control system and access control method

Publications (2)

Publication Number Publication Date
JP2012222678A true JP2012222678A (en) 2012-11-12
JP5478546B2 JP5478546B2 (en) 2014-04-23

Family

ID=47273704

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011088010A Active JP5478546B2 (en) 2011-04-12 2011-04-12 Access control system and access control method

Country Status (1)

Country Link
JP (1) JP5478546B2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012238143A (en) * 2011-05-11 2012-12-06 Nippon Telegr & Teleph Corp <Ntt> Home equipment management system and home equipment management method
JP2014099795A (en) * 2012-11-15 2014-05-29 Mitsubishi Electric Corp Gateway and remote access system
JP2014232442A (en) * 2013-05-29 2014-12-11 西日本電信電話株式会社 Web server system, web server cooperation method and program
WO2015121705A1 (en) * 2014-02-11 2015-08-20 Techlan Reti S.R.L. System for setting up a virtual private network
JP2017028403A (en) * 2015-07-17 2017-02-02 三菱電機株式会社 Device and program for firewall management
CN111460460A (en) * 2020-04-02 2020-07-28 北京金山云网络技术有限公司 Task access method, device, proxy server and machine-readable storage medium

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006121533A (en) * 2004-10-22 2006-05-11 Matsushita Electric Ind Co Ltd Relay device, communication terminal, communication system
JP2007158793A (en) * 2005-12-06 2007-06-21 Shinei Kigyo:Kk Remote access system, remote access method, connection management server, program and recording medium
JP2008028899A (en) * 2006-07-25 2008-02-07 Nec Corp Communication system, terminal device, vpn server, program, and communication method
WO2009113931A1 (en) * 2008-03-14 2009-09-17 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for remote access to a local network
JP2010193192A (en) * 2009-02-18 2010-09-02 Nippon Telegr & Teleph Corp <Ntt> Apparatus, method and program of access control, and service provision system
JP2011003957A (en) * 2009-06-16 2011-01-06 Nippon Telegr & Teleph Corp <Ntt> System, method and program for controlling access, and recording medium for the access control program

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006121533A (en) * 2004-10-22 2006-05-11 Matsushita Electric Ind Co Ltd Relay device, communication terminal, communication system
JP2007158793A (en) * 2005-12-06 2007-06-21 Shinei Kigyo:Kk Remote access system, remote access method, connection management server, program and recording medium
JP2008028899A (en) * 2006-07-25 2008-02-07 Nec Corp Communication system, terminal device, vpn server, program, and communication method
WO2009113931A1 (en) * 2008-03-14 2009-09-17 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for remote access to a local network
JP2010193192A (en) * 2009-02-18 2010-09-02 Nippon Telegr & Teleph Corp <Ntt> Apparatus, method and program of access control, and service provision system
JP2011003957A (en) * 2009-06-16 2011-01-06 Nippon Telegr & Teleph Corp <Ntt> System, method and program for controlling access, and recording medium for the access control program

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012238143A (en) * 2011-05-11 2012-12-06 Nippon Telegr & Teleph Corp <Ntt> Home equipment management system and home equipment management method
JP2014099795A (en) * 2012-11-15 2014-05-29 Mitsubishi Electric Corp Gateway and remote access system
JP2014232442A (en) * 2013-05-29 2014-12-11 西日本電信電話株式会社 Web server system, web server cooperation method and program
WO2015121705A1 (en) * 2014-02-11 2015-08-20 Techlan Reti S.R.L. System for setting up a virtual private network
JP2017028403A (en) * 2015-07-17 2017-02-02 三菱電機株式会社 Device and program for firewall management
CN111460460A (en) * 2020-04-02 2020-07-28 北京金山云网络技术有限公司 Task access method, device, proxy server and machine-readable storage medium
CN111460460B (en) * 2020-04-02 2023-12-05 北京金山云网络技术有限公司 Task access method, device, proxy server and machine-readable storage medium

Also Published As

Publication number Publication date
JP5478546B2 (en) 2014-04-23

Similar Documents

Publication Publication Date Title
JP5301571B2 (en) Method and system for providing connectivity between clients connected to the Internet
US9363099B2 (en) UPnP/DLNA with RADA hive
CA2530340C (en) Server for routing connection to client machine
JP4260116B2 (en) Secure virtual private network
US8307093B2 (en) Remote access between UPnP devices
KR101508675B1 (en) User terminal, operator server, remote support method and user terminal program
JP5478546B2 (en) Access control system and access control method
US20070211734A1 (en) Digital living network alliance gateway having integrated website server for remote access and method thereof
JP4785952B2 (en) ACCESS CONTROL SYSTEM, ACCESS CONTROL METHOD, ACCESS CONTROL PROGRAM, AND ACCESS CONTROL PROGRAM RECORDING MEDIUM
US8327433B2 (en) Content aggregation server on virtual universal plug-n-play network
JP2007521541A (en) Cache server at hotspot for downloading services
KR20030073180A (en) Apparatus and system providing remote control and management service via communication network, and method thereof
KR20070076487A (en) Remote access to local network
CN103004186B (en) Between computer equipment, configure the apparatus and method of high definition video phone
WO2012103721A1 (en) Method and device for terminal to visit digital household devices
JP2015211474A (en) Method for opening communication path using relay server active connection for mobile terminal
KR100906677B1 (en) Secure remote access system and method for universal plug and play
US20130064250A1 (en) Remotely accessing and controlling user equipment in a private network
JP2006121533A (en) Relay device, communication terminal, communication system
WO2009154249A1 (en) Remote access system, device, method and program
JP5669441B2 (en) Cache server at hotspot for downloading services
JP6393475B2 (en) Communication adapter device, communication system, tunnel communication method, and program
JP3649440B2 (en) Server for routing connections to client devices
JP4713420B2 (en) Communication system and network device sharing method
JP5385935B2 (en) Access control system and access control method

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130513

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130625

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130812

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140210

R150 Certificate of patent or registration of utility model

Ref document number: 5478546

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150