JP2013098761A - Secure access system and secure access method - Google Patents

Secure access system and secure access method Download PDF

Info

Publication number
JP2013098761A
JP2013098761A JP2011240018A JP2011240018A JP2013098761A JP 2013098761 A JP2013098761 A JP 2013098761A JP 2011240018 A JP2011240018 A JP 2011240018A JP 2011240018 A JP2011240018 A JP 2011240018A JP 2013098761 A JP2013098761 A JP 2013098761A
Authority
JP
Japan
Prior art keywords
home
address
temporary
terminal
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011240018A
Other languages
Japanese (ja)
Other versions
JP5731949B2 (en
Inventor
Hiroaki Sato
裕昭 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2011240018A priority Critical patent/JP5731949B2/en
Publication of JP2013098761A publication Critical patent/JP2013098761A/en
Application granted granted Critical
Publication of JP5731949B2 publication Critical patent/JP5731949B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide safe and secure remote access from an outdoor terminal to a home apparatus.SOLUTION: A secure access system 60 includes an IP network 100 having a SIP server 30, to which an HGW (Home GateWay) 11 of a home network 10 accommodating home apparatuses 13 and an outdoor terminal 20 are connected. When detecting a call origination from the outdoor terminal 20 permitted to communicate with the home network 10 to a home apparatus 13-1 in the home network 10, the HGW 11 receives provision of a temporary IP address and notifies the outdoor terminal 20 of the IP address. When receiving an IP packet containing the temporary IP address and an identifier of the corresponding home apparatus 13 from the outdoor terminal 20, the HGW 11 converts the received IP packet to an IP packet addressed to a local IP address of the home apparatus 13-1.

Description

本発明は、ホームネットワークに接続されたホーム機器に対して、外部のネットワークに接続された端末から、安全かつ確実にリモートアクセスする技術に関する。   The present invention relates to a technology for safely and surely remotely accessing a home device connected to a home network from a terminal connected to an external network.

インターネットの普及に伴い、エンドユーザの宅内に設置されたコンピュータ機器、AV(Audio Visual)系機器、白物家電などであるホーム機器をホームネットワークに接続し、ホームネットワーク内の各ホーム機器間相互で通信させることが多くなってきた。更に、インターネットとの通信を行うホームネットワークの進展に伴い、外部ネットワークに接続された宅外端末から、ホームゲートウェイを介して、ホームネットワーク内の各ホーム機器に安全かつ確実にリモートアクセスすることの重要性が高まっている。以下、明細書および図面に於いて、ホームゲートウェイを、HGW(Home GateWay)と略して記載している場合がある。   With the spread of the Internet, home devices such as computer devices, AV (Audio Visual) devices, white goods, etc. installed in the end user's home are connected to the home network, and each home device in the home network Increasing communication. Furthermore, with the advancement of home networks that communicate with the Internet, it is important to remotely and securely access each home device in the home network from a terminal outside the home connected to the external network via the home gateway. The nature is increasing. Hereinafter, in the specification and drawings, the home gateway may be abbreviated as HGW (Home GateWay).

外部ネットワークに接続された宅外端末から、ホームネットワーク内の機器に対してリモートアクセスする従来技術として、宅外端末からホームゲートウェイの特定のポート番号を指定してアクセスする技術がある。この技術に於いて、ホームゲートウェイは、当該ポート番号に対するファイアウォールをあらかじめ透過設定しておき、当該ポート番号に対応するプライベートIPアドレスを有するホーム機器に接続可能なようにしている。   As a conventional technique for remotely accessing a device in a home network from an external terminal connected to an external network, there is a technique for specifying and accessing a specific port number of the home gateway from the external terminal. In this technique, the home gateway sets a firewall for the port number in advance so that it can be connected to a home device having a private IP address corresponding to the port number.

この技術は、極めて簡易にリモートアクセスが可能である。しかし、第三者にホームゲートウェイのIPアドレスを知られると簡単に不正アクセスされてしまうという問題を有している。   This technology enables remote access very easily. However, there is a problem that unauthorized access is easily made when a third party knows the IP address of the home gateway.

他の従来技術として、ホームネットワークに接続された複数のホーム機器に予め組み込まれた機種別パスワードと、複数のホーム機器それぞれに付与される暫定パスワードとをネットワーク内の認証システムが予め記憶し、ホーム機器から送信された機種別パスワードおよび暫定パスワードが、上記認証システムが予め記憶した機種別パスワードおよび暫定パスワードと一致した場合に通信を行う技術がある。   As another conventional technique, an authentication system in the network stores in advance a model-specific password pre-installed in a plurality of home devices connected to a home network and a provisional password assigned to each of the plurality of home devices. There is a technique for performing communication when a model-specific password and a temporary password transmitted from a device match a model-specific password and a temporary password stored in advance by the authentication system.

特許文献1には、情報機器単位のユニークな機器認証情報を容易に情報機器に提供することを可能にする発明が記載されている。特許文献1に記載の発明は、複数の家電機器それぞれに機種単位で予め組み込まれた機種別パスワードと、複数の暫定パスワードとを、対応する機器それぞれのIDに関連付けて記憶する。そして、ある家電機器から送信されてきた機種別パスワードおよび暫定パスワードが、記憶された複数の機種別パスワードおよび複数の暫定パスワードと一致するか否かをそれぞれ照合し、受信した機種別パスワードおよび暫定パスワードの何れも一致した場合に、送信元の家電機器を機器単位でユニークに認証できる機器認証情報を生成し、生成された機器認証情報を送信元の家電機器に送信する。   Patent Document 1 describes an invention that makes it possible to easily provide unique authentication information for each information device to the information device. The invention described in Patent Document 1 stores a model-specific password previously incorporated in each of a plurality of home appliances in units of models and a plurality of provisional passwords in association with IDs of corresponding devices. Then, it is verified whether the model-specific password and provisional password transmitted from a certain household electrical appliance match the stored plurality of model-specific passwords and the plurality of provisional passwords, respectively, and the received model-specific password and provisional password are received. If both match, device authentication information that can uniquely authenticate the home appliance of the transmission source for each device is generated, and the generated device authentication information is transmitted to the home appliance of the transmission source.

この技術は、機種別パスワードと暫定パスワードを組み合わせることにより、複数のホーム機器に対して機器単位でユニークな認証手段を提供することが可能となり、ホーム機器に対するアクセスの安全性を向上させることができる。   This technology can provide a unique authentication means for each home device for each home device by combining a model-specific password and a provisional password, and can improve the safety of access to the home device. .

特開2004−355396号公報JP 2004-355396 A

特許文献1に記載されている発明は、単一のパスワード認証よりも不正アクセスの虞は少ないと考えられる。しかし、機種別パスワードおよび暫定パスワードの両方が漏洩した場合には、やはり不正アクセスされてしまうという問題を有している。
そこで、本発明は、宅外端末とホーム機器との間で安全かつ確実なリモートアクセスを行うことを課題とする。 The invention described in Patent Document 1 is considered to be less susceptible to unauthorized access than single password authentication. However, if both the model-specific password and the provisional password are leaked, there is still a problem that the computer is illegally accessed.
Therefore, an object of the present invention is to perform safe and reliable remote access between an out-of-home terminal and a home device.

前記した課題を解決するため、請求項1に記載の発明では、呼制御を行う呼制御サーバおよび臨時IPアドレスを払い出すアドレス管理サーバを備えたIPネットワークに、ホーム機器を収容しているホームネットワークのホームゲートウェイおよび宅外端末が接続されたセキュアアクセスシステムであって、当該宅外端末は、各ホームネットワークに収容されたいずれかの機器の電話番号と、通信が許可された宅外端末の電話番号との対応を示すアクセス許可リストに基いて、通信の許可/不許可が判断され、前記ホームゲートウェイは、通信を許可された当該宅外端末に、少なくとも前記アドレス管理サーバが払い出した臨時IPアドレスを通知する、ことを特徴とするセキュアアクセスシステムとした。   In order to solve the above-described problem, in the invention according to claim 1, a home network in which a home device is accommodated in an IP network including a call control server that performs call control and an address management server that issues a temporary IP address. A secure access system to which a home gateway and an out-of-home terminal are connected, and the out-of-home terminal includes a telephone number of one of the devices accommodated in each home network and a telephone of the out-of-home terminal permitted to communicate. Based on the access permission list indicating the correspondence with the number, permission / non-permission of communication is determined, and the home gateway sends at least the temporary IP address issued by the address management server to the out-of-home terminal permitted to communicate The secure access system is characterized in that

このようにすることで、本発明によれば、当該ホームネットワークとの通信を許可された宅外端末のみが、ホーム機器への通信の許可を得ることができる。   In this way, according to the present invention, only an out-of-home terminal permitted to communicate with the home network can obtain permission to communicate with the home device.

請求項2に記載の発明では、前記臨時IPアドレスは、前記アドレス管理サーバから前記ホームゲートウェイに払い出され、前記ホームゲートウェイは、前記臨時IPアドレスと前記ホーム機器に係るアクセス情報とを当該宅外端末に通知する、ことを特徴とする請求項1に記載のセキュアアクセスシステムとした。   In the invention according to claim 2, the temporary IP address is issued from the address management server to the home gateway, and the home gateway sends the temporary IP address and access information related to the home device to the outside of the home. The secure access system according to claim 1, wherein the terminal is notified.

このようにすることで、本発明によれば、臨時IPアドレスに、ホーム機器に係るアクセス情報を組み合わせることにより、更に安全な通信を行うことができる。   In this way, according to the present invention, safer communication can be performed by combining the temporary IP address with the access information related to the home device.

請求項3に記載の発明では、前記アクセス情報は、前記ホーム機器に係る識別子であり、前記ホームゲートウェイは、前記宅外端末から前記臨時IPアドレスと前記ホーム機器に係る識別子による通信パケットを受信したとき、当該ホーム機器のローカルIPアドレスを宛先とする通信パケットに変換する、ことを特徴とする請求項2に記載のセキュアアクセスシステムとした。   In the invention according to claim 3, the access information is an identifier related to the home device, and the home gateway has received a communication packet from the temporary terminal and the identifier related to the home device from the outside terminal. The secure access system according to claim 2, wherein the local access address is converted into a communication packet destined to the local IP address of the home device.

このようにすることで、本発明によれば、臨時IPアドレスに、ホーム機器に係る識別子を組み合わせることにより、更に安全な通信を行うことができる。   In this way, according to the present invention, safer communication can be performed by combining the temporary IP address with the identifier associated with the home device.

請求項4に記載の発明では、前記アクセス情報は、前記ホーム機器に係るポート番号であり、前記ホームゲートウェイは、前記宅外端末から前記臨時IPアドレスと前記ホーム機器に係るポート番号による通信パケットを受信したとき、当該ホーム機器のローカルIPアドレスと受信ポート番号とを宛先とする通信パケットに変換する、ことを特徴とする請求項2に記載のセキュアアクセスシステムとした。   In the invention according to claim 4, the access information is a port number related to the home device, and the home gateway sends a communication packet by the temporary IP address and the port number related to the home device from the outside terminal. 3. The secure access system according to claim 2, wherein when receiving, the secure access system converts the local IP address and the reception port number of the home device into a communication packet destined for the destination.

このようにすることで、本発明によれば、臨時IPアドレスに、ホーム機器に係るポート番号を組み合わせることにより、更に安全な通信を行うことができる。また、ホームゲートウェイのネットワークアドレストランスレーション動作を利用することができる。   By doing in this way, according to this invention, a safer communication can be performed by combining the temporary IP address with the port number concerning a home apparatus. In addition, the network address translation operation of the home gateway can be used.

請求項5に記載の発明では、前記ホームゲートウェイは、前記宅外端末によるリモートアクセスが終了すると、当該臨時IPアドレスを削除する、ことを特徴とする請求項3または請求項4に記載のセキュアアクセスシステムとした。   5. The secure access according to claim 3, wherein the home gateway deletes the temporary IP address when the remote access by the out-of-home terminal is completed. The system.

このようにすることで、本発明によれば、リモートアクセス終了と共に臨時IPアドレスを削除するので、セキュリティを向上させて不正アクセスを防止することができる。   In this way, according to the present invention, the temporary IP address is deleted at the same time as the remote access ends, so that it is possible to improve security and prevent unauthorized access.

請求項6に記載の発明では、前記臨時IPアドレスは、サーバから前記ホーム機器に払い出され、前記ホームゲートウェイは、前記臨時IPアドレスを前記宅外端末に通知するときに、前記臨時IPアドレスに対してファイアウォールを透過設定する、ことを特徴とする請求項1に記載のセキュアアクセスシステムとした。   In the invention of claim 6, the temporary IP address is issued from a server to the home device, and the home gateway uses the temporary IP address when notifying the temporary IP address to the outside terminal. 2. The secure access system according to claim 1, wherein the firewall is transparently set.

このようにすることで、本発明によれば、当該ホームネットワークとの通信を許可された宅外端末のみが、グローバルIPアドレスでリモートアクセスできるので、ホーム機器と高速に通信することができる。   In this way, according to the present invention, only an out-of-home terminal that is permitted to communicate with the home network can remotely access with the global IP address, and thus can communicate with the home device at high speed.

請求項7に記載の発明では、前記ホームゲートウェイは、前記宅外端末によるリモートアクセスが終了すると、当該臨時IPアドレスに対してファイアウォールを遮断設定する、ことを特徴とする請求項6に記載のセキュアアクセスシステムとした。   According to a seventh aspect of the invention, the secure gateway according to the sixth aspect, wherein the home gateway sets a firewall to be blocked for the temporary IP address when remote access by the out-of-home terminal is completed. Access system.

このようにすることで、本発明によれば、リモートアクセス終了と共にファイアウォールを遮断設定するので、セキュリティを向上させて不正アクセスを防止することができる。   In this way, according to the present invention, since the firewall is set to be shut off at the same time as the remote access ends, it is possible to improve security and prevent unauthorized access.

請求項8に記載の発明では、呼制御を行う呼制御サーバおよび臨時IPアドレスを払い出すアドレス管理サーバを備えたIPネットワークに、ホーム機器を収容しているホームネットワークのホームゲートウェイおよび宅外端末が接続されたセキュアアクセスシステムのセキュアアクセス方法であって、当該宅外端末は、各ホームネットワークに収容されたいずれかの機器の電話番号と、通信が許可された宅外端末の電話番号との対応を示すアクセス許可リストに基いて、通信の許可/不許可が判断され、前記ホームゲートウェイは、通信を許可された当該宅外端末に、少なくとも前記アドレス管理サーバが払い出した臨時IPアドレスを通知する、ことを特徴とするセキュアアクセス方法とした。   According to the eighth aspect of the present invention, a home network home gateway and an out-of-home terminal accommodating a home device are provided in an IP network including a call control server that performs call control and an address management server that issues a temporary IP address. A secure access method for a connected secure access system, wherein the out-of-home terminal corresponds to a telephone number of any device accommodated in each home network and a telephone number of an out-of-home terminal permitted to communicate The home gateway notifies at least the temporary IP address issued by the address management server to the out-of-home terminal that is permitted to communicate. The secure access method is characterized by this.

このようにすることで、本発明によれば、当該ホームネットワークとの通信を許可された宅外端末のみが、ホーム機器への通信の許可を得ることができる。   In this way, according to the present invention, only an out-of-home terminal permitted to communicate with the home network can obtain permission to communicate with the home device.

本発明によれば、宅外端末とホーム機器との間で、安全かつ確実なリモートアクセスを行うことができる。   According to the present invention, safe and reliable remote access can be performed between an out-of-home terminal and a home device.

第1の実施形態に於けるセキュアアクセスシステムを示す概略の構成図である。1 is a schematic configuration diagram showing a secure access system in a first embodiment. 第1の実施形態に於けるアクセス許可リストを示す図である。It is a figure which shows the access permission list | wrist in 1st Embodiment. 第1の実施形態に於けるセキュアアクセスシステムの動作を示すシーケンス図である。It is a sequence diagram which shows operation | movement of the secure access system in 1st Embodiment. 第2の実施形態に於けるセキュアアクセスシステムの動作を示すシーケンス図である。It is a sequence diagram which shows operation | movement of the secure access system in 2nd Embodiment. 第3の実施形態に於けるセキュアアクセスシステムの動作を示すシーケンス図である。It is a sequence diagram which shows operation | movement of the secure access system in 3rd Embodiment.

以降、本発明を実施するための形態を、図を参照して詳細に説明する。   Hereinafter, embodiments for carrying out the present invention will be described in detail with reference to the drawings.

(第1の実施形態の構成)
図1は、第1の実施形態に於けるセキュアアクセスシステムを示す概略の構成図である。
セキュアアクセスシステム60は、IP(Internet Protocol)ネットワーク100と、宅外端末20と、ホームネットワーク10とを備えている。 (Configuration of the first embodiment)
FIG. 1 is a schematic configuration diagram showing a secure access system according to the first embodiment.
The secure access system 60 includes an IP (Internet Protocol) network 100, an out-of-home terminal 20, and a home network 10.

IPネットワーク100は、宅外端末20とホームネットワーク10との間でIPパケットを中継するものであり、エッジルータ50−1,50−2と、SIP(Session Initiation Protocol)サーバ30(呼制御サーバ)と、アドレス管理サーバ40とを有している。SIPサーバ30は、エッジルータ50−1,50−2に接続されていると共に、アドレス管理サーバ40に接続されている。エッジルータ50−1は、エッジルータ50−2に接続されている。エッジルータ50−1,50−2と、SIPサーバ30と、アドレス管理サーバ40とは、任意の送信元から任意の宛先へとIPパケットを送信することができる。   The IP network 100 relays IP packets between the out-of-home terminal 20 and the home network 10, and includes edge routers 50-1 and 50-2 and a SIP (Session Initiation Protocol) server 30 (call control server). And an address management server 40. The SIP server 30 is connected to the edge routers 50-1 and 50-2 and is connected to the address management server 40. The edge router 50-1 is connected to the edge router 50-2. The edge routers 50-1 and 50-2, the SIP server 30, and the address management server 40 can transmit IP packets from an arbitrary transmission source to an arbitrary destination.

エッジルータ50−1,50−2は、IPパケットを転送するものである。エッジルータ50−1,50−2は、2台に限られず、1台以上であってもよい。以下、エッジルータ50−1,50−2を個々に識別しないときには、単にエッジルータ50と記載する。   The edge routers 50-1 and 50-2 transfer IP packets. The edge routers 50-1 and 50-2 are not limited to two, and may be one or more. Hereinafter, when the edge routers 50-1 and 50-2 are not individually identified, they are simply referred to as the edge router 50.

SIPサーバ30は、呼制御を行ってサービスを制御するものであり、アクセス許可リスト31を格納している。アクセス許可リスト31は、後記する図2で詳細に説明する。   The SIP server 30 controls the service by performing call control, and stores an access permission list 31. The access permission list 31 will be described in detail with reference to FIG.

アドレス管理サーバ40は、臨時IPアドレス管理部41を有している。臨時IPアドレス管理部41は、HGW11などの各機器に払い出す臨時IPアドレスを管理する。   The address management server 40 has a temporary IP address management unit 41. The temporary IP address management unit 41 manages a temporary IP address to be paid out to each device such as the HGW 11.

ホームネットワーク10は、HGW11と、ホーム機器13−1〜13−3とを有している。以下、ホーム機器13−1〜13−3を個々に識別しない場合には、単にホーム機器13と記載する。HGW11は、IPネットワーク100と、ホーム機器13−1〜13−3とに接続されている。ホーム機器13−1〜13−3は、HGW11に接続されている。   The home network 10 includes an HGW 11 and home devices 13-1 to 13-3. Hereinafter, when the home devices 13-1 to 13-3 are not individually identified, they are simply referred to as home devices 13. The HGW 11 is connected to the IP network 100 and home devices 13-1 to 13-3. The home devices 13-1 to 13-3 are connected to the HGW 11.

HGW11は、例えば、ブロードバンドルータであり、IPネットワーク100側にグローバルIPアドレスが、ホームネットワーク10側にローカルIPアドレスが払い出される。HGW11は、ネットワークアドレストランスレーション動作であるNAT(Network Address Translation)またはNAPT(Network Address Port Translation)を行う図示しない処理部を有している。   The HGW 11 is, for example, a broadband router, and a global IP address is assigned to the IP network 100 side, and a local IP address is assigned to the home network 10 side. The HGW 11 has a processing unit (not shown) that performs NAT (Network Address Translation) or NAPT (Network Address Port Translation), which is a network address translation operation.

ホーム機器13は、例えば、コンピュータ機器、AV系機器、白物家電、セキュリティ機器(監視カメラ)などであり、かつ、ネットワークに接続する機能を有するものである。本実施形態のホームネットワーク10は、3台のホーム機器13を備えている。しかし、ホーム機器13の台数は、3台に限らない。   The home device 13 is, for example, a computer device, AV system device, white goods, security device (surveillance camera), or the like, and has a function of connecting to a network. The home network 10 of the present embodiment includes three home devices 13. However, the number of home devices 13 is not limited to three.

宅外端末20は、例えば、固定電話、携帯電話、または、コンピュータ機器などである。宅外端末20は、エッジルータ50−2を介してIPネットワーク100に接続されている。ホームネットワーク10は、エッジルータ50−1を介してIPネットワーク100に接続されている。エッジルータ50−1,50−2は、IPネットワーク100が有しているSIPサーバ30に接続されている。なお、宅外端末20、ホームネットワーク10は、1個に限られず、複数であってもよい。   The out-of-home terminal 20 is, for example, a fixed phone, a mobile phone, or a computer device. The out-of-home terminal 20 is connected to the IP network 100 via the edge router 50-2. The home network 10 is connected to the IP network 100 via the edge router 50-1. The edge routers 50-1 and 50-2 are connected to the SIP server 30 included in the IP network 100. The number of out-of-home terminals 20 and home networks 10 is not limited to one and may be plural.

図2は、第1の実施形態に於けるアクセス許可リストを示す図である。   FIG. 2 is a diagram showing an access permission list in the first embodiment.

アクセス許可リスト31は、HGW11(図1)に対するアクセスを許可する宅外端末20(図1)を対応付けるものである。アクセス許可リスト31は、宅外端末20(図1)の識別子である発電話番号欄と、HGW11(図1)の識別子である着電話番号欄と、を有し、この発電話番号と着電話番号とを対応付けている。   The access permission list 31 associates the remote terminal 20 (FIG. 1) that permits access to the HGW 11 (FIG. 1). The access permission list 31 has a calling phone number column that is an identifier of the remote terminal 20 (FIG. 1) and a called phone number column that is an identifier of the HGW 11 (FIG. 1). Numbers are associated with each other.

アクセス許可リスト31には、不図示の手段により、あらかじめ宅外端末20(図1)の発電話番号(AAA−AAA−AAAA)と、HGW11(図1)の着電話番号(XXX−XXX−XXXX)とが登録されている。宅外端末20とホームネットワーク10との通信の許可/不許可は、このアクセス許可リスト31に基いて判断される。個々のホーム機器13−1〜13−3(図1)へのアクセスは、HGW11(図1)に格納されている各ホーム機器13の識別子に基いて行われる。   In the access permission list 31, by means not shown, the outgoing telephone number (AAA-AAA-AAAAA) of the out-of-home terminal 20 (FIG. 1) and the incoming telephone number (XXX-XXX-XXXX) of the HGW 11 (FIG. 1) in advance. ) And are registered. The permission / denial of communication between the remote terminal 20 and the home network 10 is determined based on the access permission list 31. Access to the individual home devices 13-1 to 13-3 (FIG. 1) is performed based on the identifier of each home device 13 stored in the HGW 11 (FIG. 1).

(第1の実施形態の動作)
図3は、第1の実施形態に於けるセキュアアクセスシステムを示すシーケンス図である。宅外端末20、エッジルータ50−2、SIPサーバ30、アドレス管理サーバ40、エッジルータ50−1、HGW11、ホーム機器13−n(n=1〜3)間のシーケンスを示している。 (Operation of the first embodiment)
FIG. 3 is a sequence diagram showing the secure access system in the first embodiment. The sequence among the remote terminal 20, the edge router 50-2, the SIP server 30, the address management server 40, the edge router 50-1, the HGW 11, and the home device 13-n (n = 1 to 3) is shown.

《リモートアクセス開始処理》
処理を開始すると、シーケンスQ10に於いて、宅外端末20は、リモートアクセス要求用の特殊番号(例えば、1XY)を用いて、ホームネットワーク10内のHGW11へのアクセスをSIPサーバ30に要求する。
シーケンスQ11に於いて、SIPサーバ30は、宅外端末20の回線認証を行う。 << Remote access start processing >>
When the process is started, in sequence Q10, the out-of-home terminal 20 requests the SIP server 30 to access the HGW 11 in the home network 10 using a special number (for example, 1XY) for remote access request.
In sequence Q11, the SIP server 30 performs line authentication of the out-of-home terminal 20.

シーケンスQ12に於いて、SIPサーバ30は、アクセス許可リスト31を参照して宅外端末20の発電話番号がHGW11の着電話番号と対応しているか否かを判定する。
当該判定条件が成立したならば、SIPサーバ30は、当該ホーム機器13−nへのアクセスを許可する。当該判定条件が成立しなかったならば、SIPサーバ30は、当該ホーム機器13−nへのアクセスを不許可として、当該ホーム機器13−nに対して不正なアクセスがあった旨を、例えば当該ホーム機器13−nに通知することによって、ユーザに報知する。以降のシーケンスは、当該判定条件が成立した場合を示している。
シーケンスQ13に於いて、SIPサーバ30は、ホームネットワーク10へのリモートアクセスをHGW11に要求する。 In sequence Q <b> 12, the SIP server 30 refers to the access permission list 31 to determine whether or not the calling telephone number of the outside terminal 20 corresponds to the called telephone number of the HGW 11.
If the determination condition is satisfied, the SIP server 30 permits access to the home device 13-n. If the determination condition is not satisfied, the SIP server 30 disallows access to the home device 13-n and indicates that there is an unauthorized access to the home device 13-n. The user is notified by notifying the home device 13-n. The subsequent sequence shows a case where the determination condition is satisfied.
In sequence Q13, the SIP server 30 requests the HGW 11 for remote access to the home network 10.

シーケンスQ14に於いて、HGW11は、アドレス管理サーバ40に対して、要求されたリモートアクセスで使用する臨時IPアドレスの払い出しを要求する。
シーケンスQ15に於いて、アドレス管理サーバ40は、臨時IPアドレス管理部41から未使用の臨時IPアドレスを払い出し、HGW11に通知する。
シーケンスQ16に於いて、HGW11は、アドレス管理サーバ40から通知された臨時IPアドレスを、SIPサーバ30に通知する。
シーケンスQ17に於いて、SIPサーバ30は、通知された臨時IPアドレスを、宅外端末20に対して通知し、HGW11へのアクセスを許可する。 In sequence Q14, the HGW 11 requests the address management server 40 to issue a temporary IP address to be used for the requested remote access.
In sequence Q15, the address management server 40 issues an unused temporary IP address from the temporary IP address management unit 41 and notifies the HGW 11 of the unused temporary IP address.
In sequence Q <b> 16, the HGW 11 notifies the SIP server 30 of the temporary IP address notified from the address management server 40.
In sequence Q17, the SIP server 30 notifies the outside IP terminal 20 of the notified temporary IP address, and permits access to the HGW 11.

《リモートアクセス処理》
シーケンスQ30に於いて、宅外端末20は、通知されたHGW11の臨時IPアドレスに対し、ホーム機器13−nの識別子を指定してIPパケットを送信する。HGW11は、図示しない変換テーブルによって、当該IPパケットの宛先を当該ホーム機器13−nのプライベートIPアドレスに変換して中継し、宅外端末20にホーム機器13−nへのリモートアクセスを行わせる。 <Remote access processing>
In sequence Q30, the out-of-home terminal 20 transmits an IP packet by designating the identifier of the home device 13-n for the notified temporary IP address of the HGW 11. The HGW 11 converts the IP packet destination to the private IP address of the home device 13-n and relays it using a conversion table (not shown), and causes the outside terminal 20 to perform remote access to the home device 13-n.

《リモートアクセス終了処理》
シーケンスQ40〜Q47は、当該ホーム機器13−nへのリモートアクセス終了処理である。 << Remote access termination process >>
Sequences Q40 to Q47 are processes for terminating remote access to the home device 13-n.

シーケンスQ40に於いて、宅外端末20は、ホーム機器13−nへのリモートアクセス終了後、リモートアクセス解除要求用の特殊番号(例えば、1AB)を用いて、ホームネットワーク10内のHGW11へのアクセス解除を、SIPサーバ30に要求する。
シーケンスQ41に於いて、SIPサーバ30は、宅外端末20の回線認証を行う。 In the sequence Q40, the remote terminal 20 accesses the HGW 11 in the home network 10 using the special number for remote access release request (for example, 1AB) after the remote access to the home device 13-n is completed. Request the release to the SIP server 30.
In sequence Q41, the SIP server 30 performs line authentication of the out-of-home terminal 20.

シーケンスQ42に於いて、SIPサーバ30は、アクセス許可リスト31を参照して宅外端末20の発電話番号がHGW11の着電話番号と対応しているか否かを判定する。
シーケンスQ43に於いて、SIPサーバ30は、ホームネットワーク10へのアクセス解除をHGW11に要求する。
シーケンスQ44に於いて、HGW11は、アドレス管理サーバ40に対して、払い出された臨時IPアドレスの削除を要求する。 In sequence Q42, the SIP server 30 refers to the access permission list 31 to determine whether or not the calling telephone number of the out-of-home terminal 20 corresponds to the called telephone number of the HGW 11.
In sequence Q43, the SIP server 30 requests the HGW 11 to cancel access to the home network 10.
In sequence Q44, the HGW 11 requests the address management server 40 to delete the issued temporary IP address.

シーケンスQ45に於いて、アドレス管理サーバ40は、払い出した臨時IPアドレスのリース時間に0を設定することにより、当該臨時IPアドレスを削除し、HGW11に通知する。ここでリース時間とは、クライアントが割り当てられたIPアドレスを使用できる時間の長さである。
シーケンスQ46に於いて、HGW11は、アドレス管理サーバ40から通知された臨時IPアドレスの削除を、SIPサーバ30に対して通知する。更に、HGW11は、図示しない変換テーブルから、臨時IPアドレスと当該ホーム機器13−nの識別子とを有するエントリを削除する。
シーケンスQ47に於いて、SIPサーバ30は、HGW11へのアクセス解除完了を宅外端末20に通知する。 In sequence Q45, the address management server 40 sets the lease time of the paid-out temporary IP address to 0, thereby deleting the temporary IP address and notifying the HGW 11 of the temporary IP address. Here, the lease time is the length of time that the client can use the assigned IP address.
In sequence Q46, the HGW 11 notifies the SIP server 30 of the deletion of the temporary IP address notified from the address management server 40. Further, the HGW 11 deletes the entry having the temporary IP address and the identifier of the home device 13-n from the conversion table (not shown).
In sequence Q47, the SIP server 30 notifies the out-of-home terminal 20 of the completion of the release of access to the HGW 11.

なお、シーケンスQ44でHGW11がアドレス管理サーバ40に対して、払い出された臨時IPアドレスの更新を要求する場合にも、シーケンスQ45〜Q47に於いて、臨時IPアドレスが削除される。   Even when the HGW 11 requests the address management server 40 to update the issued temporary IP address in sequence Q44, the temporary IP address is deleted in sequences Q45 to Q47.

(第1の実施形態の効果)
以上説明した第1の実施形態では、次の(A)〜(C)のような効果がある。 (Effects of the first embodiment)
The first embodiment described above has the following effects (A) to (C).

(A) ホームネットワーク10との通信を許可された宅外端末20の電話番号と、HGW11の電話番号との対応リストを、予めネットワーク内に登録している。これにより、予め登録された宅外端末20のみがホームネットワーク10に通信できるので、安全かつ確実なリモートアクセスを行うことができる。 (A) A correspondence list between the telephone number of the remote terminal 20 permitted to communicate with the home network 10 and the telephone number of the HGW 11 is registered in the network in advance. Thereby, since only the pre-registered out-of-home terminal 20 can communicate with the home network 10, safe and reliable remote access can be performed.

(B) 宅外端末20がリモートアクセスに用いるIPアドレスは、臨時のものである。これにより、リモートアクセスに用いるIPアドレスが漏洩しても、繰り返し不正アクセスすることができないので、安全かつ確実なリモートアクセスを行うことができる。 (B) The IP address used by the remote terminal 20 for remote access is a temporary one. As a result, even if the IP address used for remote access leaks, unauthorized access cannot be repeated repeatedly, so that safe and reliable remote access can be performed.

(C) 宅外端末20のリモートアクセスが終了すると、臨時IPアドレスを削除する。これにより、リモートアクセスに用いるIPアドレスが漏洩しても、当該リモートアクセスの終了と共に、臨時IPアドレスによるアクセスができなくなるので、安全かつ確実なリモートアクセスが可能となる。 (C) When the remote access of the remote terminal 20 is completed, the temporary IP address is deleted. As a result, even if the IP address used for remote access leaks, access with the temporary IP address becomes impossible when the remote access ends, so that safe and reliable remote access is possible.

(第2の実施形態の構成)
第2の実施形態のセキュアアクセスシステム60は、第1の実施形態のセキュアアクセスシステム60(図1)と同様に構成されている。
第2の実施形態のHGW11は、第1の実施形態のHGW11(図1)に加えて更に、ネットワークアドレストランスレーション動作であるNAT(Network Address Translation)またはNAPT(Network Address Port Translation)を行う図示しない処理部と、静的IPマスカレードテーブル(不図示)とを有している。 (Configuration of Second Embodiment)
The secure access system 60 of the second embodiment is configured similarly to the secure access system 60 (FIG. 1) of the first embodiment.
The HGW 11 of the second embodiment performs NAT (Network Address Translation) or NAPT (Network Address Port Translation), which is a network address translation operation, in addition to the HGW 11 (FIG. 1) of the first embodiment (not shown). It has a processing unit and a static IP masquerade table (not shown).

第2の実施形態のセキュアアクセスシステム60は、第1の実施形態のセキュアアクセスシステム60(図1)に於ける宅外端末20が、臨時IPアドレスとホーム機器13−nの識別子とを用いてアクセスするのに対し、臨時IPアドレスとホーム機器13−nに係るポート番号とを用いてアクセスする。これにより、臨時IPアドレスとポート番号で宛先が指定されたIPパケットを、NATまたはNAPTによって、ホーム機器13−nを宛先とするIPパケットに変換することができる。   In the secure access system 60 of the second embodiment, the remote terminal 20 in the secure access system 60 (FIG. 1) of the first embodiment uses the temporary IP address and the identifier of the home device 13-n. In contrast to the access, the temporary IP address and the port number related to the home device 13-n are used for access. Thereby, an IP packet whose destination is specified by a temporary IP address and a port number can be converted into an IP packet destined for the home device 13-n by NAT or NAPT.

(第2の実施形態の動作)
図4は、第2の実施形態に於けるセキュアアクセスシステムの動作を示すシーケンス図である。第1の実施形態のセキュアアクセスシステムの動作(図3)を示すシーケンス図と同一の要素には同一の符号を付与している。 (Operation of Second Embodiment)
FIG. 4 is a sequence diagram showing the operation of the secure access system in the second embodiment. The same elements as those in the sequence diagram showing the operation (FIG. 3) of the secure access system of the first embodiment are given the same reference numerals.

《リモートアクセス開始処理》
処理を開始したのち、シーケンスQ10〜Q15の処理は、第1の実施形態のシーケンスQ10〜Q15の処理と同様である。 << Remote access start processing >>
After starting the processing, the processing of sequences Q10 to Q15 is the same as the processing of sequences Q10 to Q15 of the first embodiment.

シーケンスQ16Aに於いて、HGW11は、全てのホーム機器13−1〜13−3に対してブロードキャストを行い、通知された当該ホーム機器13−nの電話番号に基き、ホーム機器13−nのアドレスを解決する。   In sequence Q16A, the HGW 11 broadcasts to all the home devices 13-1 to 13-3, and sets the address of the home device 13-n based on the notified telephone number of the home device 13-n. Solve.

シーケンスQ17Aに於いて、HGW11は、通知された当該ホーム機器13−nのプライベートIPアドレスに対応する受信ポート番号を取得し、HGW11のIPネットワーク100(図1)側のグローバルIPアドレスと受信ポート番号との対応付けを行い、当該受信ポート番号に対するファイアウォールを透過設定とする。   In sequence Q17A, the HGW 11 obtains the reception port number corresponding to the notified private IP address of the home device 13-n, and the global IP address and the reception port number on the IP network 100 (FIG. 1) side of the HGW 11 And the firewall for the reception port number is set to be transparent.

シーケンスQ18Aに於いて、HGW11は、IPネットワーク100側のグローバルIPアドレスである臨時IPアドレスと受信ポート番号、および、シーケンスQ15で取得した当該ホーム機器13−nの受信ポート番号を、SIPサーバ30に通知する。   In the sequence Q18A, the HGW 11 sends the temporary IP address and the reception port number, which are global IP addresses on the IP network 100 side, and the reception port number of the home device 13-n acquired in the sequence Q15 to the SIP server 30. Notice.

シーケンスQ19Aに於いて、SIPサーバ30は、HGW11から通知されたHGW11のIPネットワーク100側のグローバルIPアドレス(臨時IPアドレス)と受信ポート番号、および、通信された当該ホーム機器13−nの受信ポート番号を宅外端末20に対して通知し、当該ホーム機器13−nへのアクセスを許可する。
《リモートアクセス処理》 In sequence Q19A, the SIP server 30 receives the global IP address (temporary IP address) on the IP network 100 side of the HGW 11 and the reception port number notified from the HGW 11, and the reception port of the communicated home device 13-n. The number is notified to the out-of-home terminal 20, and access to the home device 13-n is permitted.
<Remote access processing>

シーケンスQ30Aに於いて、宅外端末20は、HGW11のIPネットワーク100側のグローバルIPアドレス(臨時IPアドレス)と受信ポート番号を指定してIPパケットを送信する。HGW11は、ネットワークアドレストランスレーション動作であるNATまたはNAPTによって、当該IPパケットの宛先を当該ホーム機器13−nのプライベートIPアドレスと受信ポート番号との組合せに変換して中継し、宅外端末20にホーム機器13−nへのリモートアクセスを行わせる。   In sequence Q30A, the out-of-home terminal 20 transmits an IP packet by designating a global IP address (temporary IP address) on the IP network 100 side of the HGW 11 and a reception port number. The HGW 11 converts the destination of the IP packet into a combination of the private IP address and the reception port number of the home device 13-n and relays it to the outside terminal 20 by NAT or NAPT which is a network address translation operation. Remote access to the home device 13-n is performed.

《リモートアクセス終了処理》
シーケンスQ40〜Q45の処理は、第1の実施形態のシーケンスQ40〜Q45(図3)の処理と同様である。 << Remote access termination process >>
The processing of sequences Q40 to Q45 is the same as the processing of sequences Q40 to Q45 (FIG. 3) of the first embodiment.

シーケンスQ46Aに於いて、HGW11は、アドレス管理サーバ40から通知された臨時IPアドレスの削除を、SIPサーバ30に対して通知する。更にHGW11は、この臨時IPアドレスとポート番号の組み合わせを、静的IPマスカレードテーブルから削除することにより、それ以降の不正アクセスを抑止する。
シーケンスQ47の処理は、第1の実施形態のシーケンスQ47(図3)の処理と同様である。 In sequence Q46A, the HGW 11 notifies the SIP server 30 of the deletion of the temporary IP address notified from the address management server 40. Furthermore, the HGW 11 suppresses subsequent unauthorized access by deleting the combination of the temporary IP address and the port number from the static IP masquerade table.
The process of sequence Q47 is the same as the process of sequence Q47 (FIG. 3) of the first embodiment.

(第2の実施形態の効果)
以上説明した第2の実施形態では、次の(D)のような効果がある。 (Effect of 2nd Embodiment)
The second embodiment described above has the following effect (D).

(D) HGW11は、ネットワークアドレストランスレーション動作であるNATまたはNAPTによって、宅外端末20が送信したIPパケットを、当該ホーム機器13−nに中継し、リモートアクセスの終了と共に、ネットワークアドレストランスレーション動作を行わないように構成している。これにより、リモートアクセスに用いるIPアドレスとポート番号の組み合わせが漏洩しても、当該リモートアクセスの終了と共にアクセスができなくなるので、安全かつ確実なリモートアクセスが可能となる。 (D) The HGW 11 relays the IP packet transmitted by the out-of-home terminal 20 to the home device 13-n by NAT or NAPT which is a network address translation operation. It is configured not to perform. As a result, even if the combination of the IP address and port number used for remote access leaks, the access cannot be made with the end of the remote access, so that safe and reliable remote access is possible.

(第3の実施形態の構成)
第3の実施形態のセキュアアクセスシステム60は、第1の実施形態のセキュアアクセスシステム60(図1)と同様に構成されている。
第3の実施形態のセキュアアクセスシステム60は、第1の実施形態のセキュアアクセスシステム60(図1)に於ける宅外端末20が、臨時IPアドレスとホーム機器13−nの識別子とを用いてアクセスするのに対し、ホーム機器13−nに係る臨時IPアドレス(グローバルIPアドレス)を用いてアクセスする。 (Configuration of Third Embodiment)
The secure access system 60 of the third embodiment is configured similarly to the secure access system 60 (FIG. 1) of the first embodiment.
In the secure access system 60 of the third embodiment, the remote terminal 20 in the secure access system 60 (FIG. 1) of the first embodiment uses the temporary IP address and the identifier of the home device 13-n. In contrast to access, access is made using a temporary IP address (global IP address) associated with the home device 13-n.

(第3の実施形態の動作)
図5は、第3の実施形態に於けるセキュアアクセスシステムの動作を示すシーケンス図である。第1の実施形態のセキュアアクセスシステムの動作(図3)を示すシーケンス図と同一の要素には同一の符号を付与している。
《リモートアクセス開始処理》
処理を開始したのち、シーケンスQ10〜Q13の処理は、第1の実施形態のシーケンスQ10〜Q13の処理(図3)と同様である。
シーケンスQ14Bに於いて、HGW11は、ホームネットワーク10へのリモートアクセスをホーム機器13−nに要求する。 (Operation of Third Embodiment)
FIG. 5 is a sequence diagram showing the operation of the secure access system according to the third embodiment. The same elements as those in the sequence diagram showing the operation (FIG. 3) of the secure access system of the first embodiment are given the same reference numerals.
<< Remote access start processing >>
After starting the processing, the processing of sequences Q10 to Q13 is the same as the processing of sequences Q10 to Q13 (FIG. 3) of the first embodiment.
In sequence Q14B, the HGW 11 requests the home device 13-n to remotely access the home network 10.

シーケンスQ15Bに於いて、ホーム機器13−nは、アドレス管理サーバ40に対して、要求されたリモートアクセスで使用する臨時IPアドレス(グローバルIPアドレス)の払い出しを要求する。   In sequence Q15B, the home device 13-n requests the address management server 40 to issue a temporary IP address (global IP address) used for the requested remote access.

シーケンスQ16Bに於いて、アドレス管理サーバ40は、臨時IPアドレス管理部41から未使用の臨時IPアドレスを払い出し、ホーム機器13−nに通知する。
シーケンスQ17Bに於いて、ホーム機器13−nは、アドレス管理サーバ40から通知された臨時IPアドレスを、HGW11に通知する。
シーケンスQ18Bに於いて、HGW11は、アドレス管理サーバ40から通知された臨時IPアドレスに対するファイアウォールを透過設定する。
シーケンスQ19Bに於いて、HGW11は、アドレス管理サーバ40から通知された臨時IPアドレスを、SIPサーバ30に通知する。 In sequence Q16B, the address management server 40 issues an unused temporary IP address from the temporary IP address management unit 41 and notifies the home device 13-n.
In sequence Q17B, the home device 13-n notifies the HGW 11 of the temporary IP address notified from the address management server 40.
In sequence Q <b> 18 </ b> B, the HGW 11 transparently sets a firewall for the temporary IP address notified from the address management server 40.
In sequence Q19B, the HGW 11 notifies the SIP server 30 of the temporary IP address notified from the address management server 40.

シーケンスQ20Bに於いて、SIPサーバ30は、通知された臨時IPアドレスを、宅外端末20に対して通知し、ホーム機器13−nへのアクセスを許可する。   In sequence Q20B, the SIP server 30 notifies the outside IP terminal 20 of the notified temporary IP address, and permits access to the home device 13-n.

《リモートアクセス処理》
シーケンスQ30Bに於いて、宅外端末20は、通知されたホーム機器13−nの臨時IPアドレスに対してIPパケットを送信する。HGW11は、当該IPパケットを当該ホーム機器13−nに中継してリモートアクセスを行わせる。 <Remote access processing>
In sequence Q30B, the out-of-home terminal 20 transmits an IP packet to the notified temporary IP address of the home device 13-n. The HGW 11 relays the IP packet to the home device 13-n to perform remote access.

《リモートアクセス終了処理》
シーケンスQ40〜Q50Bは、当該ホーム機器13−nへのリモートアクセス終了処理である。
処理を開始したのち、シーケンスQ40〜Q43の処理は、第1の実施形態のシーケンスQ40〜Q43の処理(図3)と同様である。
シーケンスQ44Bに於いて、HGW11は、ホームネットワーク10へのアクセス解除を当該ホーム機器13−nに要求する。
シーケンスQ45Bに於いて、ホーム機器13−nは、アドレス管理サーバ40に対して、払い出された臨時IPアドレスの削除を要求する。 << Remote access termination process >>
Sequences Q40 to Q50B are remote access end processing for the home device 13-n.
After starting the processing, the processing of sequences Q40 to Q43 is the same as the processing of sequences Q40 to Q43 of the first embodiment (FIG. 3).
In sequence Q44B, the HGW 11 requests the home device 13-n to release access to the home network 10.
In sequence Q45B, the home device 13-n requests the address management server 40 to delete the issued temporary IP address.

シーケンスQ46Bに於いて、アドレス管理サーバ40は、払い出した臨時IPアドレスのリース時間に0を設定することにより、当該臨時IPアドレスを削除し、ホーム機器13−nに通知する。
シーケンスQ47Bに於いて、ホーム機器13−nは、アドレス管理サーバ40から通知された臨時IPアドレスの削除を、HGW11に対して通知する。
シーケンスQ48Bに於いて、HGW11は、アドレス管理サーバ40から通知された臨時IPアドレスに対するファイアウォールを遮断設定する。
シーケンスQ49Bに於いて、HGW11は、アドレス管理サーバ40から通知された臨時IPアドレスの削除を、SIPサーバ30に対して通知する。
シーケンスQ50Bに於いて、SIPサーバ30は、HGW11へのアクセス解除完了を宅外端末20に通知する。 In sequence Q46B, the address management server 40 sets the lease time of the paid-out temporary IP address to 0, thereby deleting the temporary IP address and notifying the home device 13-n.
In sequence Q47B, the home device 13-n notifies the HGW 11 of the deletion of the temporary IP address notified from the address management server 40.
In sequence Q48B, the HGW 11 sets a firewall for the temporary IP address notified from the address management server 40 to be shut off.
In sequence Q49B, the HGW 11 notifies the SIP server 30 of the deletion of the temporary IP address notified from the address management server 40.
In sequence Q50B, the SIP server 30 notifies the remote terminal 20 of the completion of the release of access to the HGW 11.

(第3の実施形態の効果)
以上説明した第3の実施形態では、次の(E),(F)のような効果がある。 (Effect of the third embodiment)
The third embodiment described above has the following effects (E) and (F).

(E) ホーム機器13−nは、臨時IPアドレス(グローバルIPアドレス)を宅外端末20に通知することにより、宅外端末20にリモートアクセスを行わせている。これにより、リモートアクセスの際のHGW11の変換動作が不要となるので、宅外端末20とホーム機器13との間で、高速にIPパケットを送受信することができる。 (E) The home device 13-n notifies the remote terminal 20 of remote access by notifying the remote terminal 20 of a temporary IP address (global IP address). Thereby, since the conversion operation of the HGW 11 at the time of remote access becomes unnecessary, it is possible to transmit and receive IP packets between the out-of-home terminal 20 and the home device 13 at high speed.

(F) リモートアクセスの際、HGW11は、静的IPマスカレードテーブルなどの変換テーブルが使用されない。すなわち、HGW11の変換テーブルが枯渇することがないので、宅外端末20とホーム機器13との間で、安定したリモートアクセスが行える。 (F) During remote access, the HGW 11 does not use a conversion table such as a static IP masquerade table. That is, since the conversion table of the HGW 11 is not exhausted, stable remote access can be performed between the out-of-home terminal 20 and the home device 13.

(変形例)
本発明は、上記実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲で、変更実施が可能である。この利用形態や変形例としては、例えば、次の(a)〜(d)のようなものがある。 (Modification)
The present invention is not limited to the above embodiment, and can be modified without departing from the spirit of the present invention. For example, the following forms (a) to (d) are used as the usage form and the modified examples.

(a) 第1、第2の実施形態のHGW11は、リモートアクセスが終了すると、当該臨時IPアドレスを削除している。しかし、これに限られず、リモートアクセスが所定の期間に亘って行われなかったならば(タイムアウト)、当該臨時IPアドレスを削除してもよい。これにより、不正アクセスを防止することができる。 (A) The HGW 11 of the first and second embodiments deletes the temporary IP address when remote access ends. However, the present invention is not limited to this, and if the remote access is not performed over a predetermined period (timeout), the temporary IP address may be deleted. Thereby, unauthorized access can be prevented.

(b) 第3の実施形態のホーム機器13は、リモートアクセスが終了すると、当該臨時IPアドレスを削除している。しかし、これに限られず、リモートアクセスが所定の期間に亘って行われなかったならば(タイムアウト)、当該臨時IPアドレスを削除してもよい。これにより、不正アクセスを防止することができる。 (B) The home device 13 of the third embodiment deletes the temporary IP address when the remote access ends. However, the present invention is not limited to this, and if the remote access is not performed over a predetermined period (timeout), the temporary IP address may be deleted. Thereby, unauthorized access can be prevented.

(c) 第1〜第3の実施形態のアクセス許可リスト31は、宅外端末20(図1)の識別子である発電話番号欄と、HGW11(図1)の識別子である着電話番号欄と、を有している。しかし、これに限られず、宅外端末20(図1)の識別子である発電話番号欄と、ホーム機器13(図1)の着電話番号との対応が記録されていてもよい。 (C) The access permission list 31 of the first to third embodiments includes a calling phone number column that is an identifier of the out-of-home terminal 20 (FIG. 1), a called phone number column that is an identifier of the HGW 11 (FIG. 1), ,have. However, the present invention is not limited to this, and the correspondence between the calling telephone number column that is the identifier of the out-of-home terminal 20 (FIG. 1) and the called telephone number of the home device 13 (FIG. 1) may be recorded.

(d) 第1〜第3の実施形態のアクセス許可リスト31は、SIPサーバ30に格納されている。SIPサーバ30は、アクセス許可リスト31に基いて、宅外端末20(図1)との通信の許可/不許可を判断する。しかし、これに限られず、アクセス許可リスト31は、HGW11に格納されていてもよく、HGW11が、アクセス許可リスト31に基いて、宅外端末20(図1)との通信の許可/不許可を判断してもよい。 (D) The access permission list 31 of the first to third embodiments is stored in the SIP server 30. Based on the access permission list 31, the SIP server 30 determines permission / non-permission of communication with the out-of-home terminal 20 (FIG. 1). However, the present invention is not limited to this, and the access permission list 31 may be stored in the HGW 11, and the HGW 11 permits / denies communication with the remote terminal 20 (FIG. 1) based on the access permission list 31. You may judge.

10 ホームネットワーク
11 HGW
13 ホーム機器
20 宅外端末
30 SIPサーバ(呼制御サーバ)
31 アクセス許可リスト
40 アドレス管理サーバ
41 臨時IPアドレス管理部
50 エッジルータ
60 セキュアアクセスシステム
100 IPネットワーク 10 Home network 11 HGW
13 Home device 20 Outside terminal 30 SIP server (call control server)
31 Access Permission List 40 Address Management Server 41 Temporary IP Address Management Unit 50 Edge Router 60 Secure Access System 100 IP Network

Claims (8)

呼制御を行う呼制御サーバおよび臨時IPアドレスを払い出すアドレス管理サーバを備えたIPネットワークに、ホーム機器を収容しているホームネットワークのホームゲートウェイおよび宅外端末が接続されたセキュアアクセスシステムであって、
当該宅外端末は、各ホームネットワークに収容されたいずれかの機器の電話番号と、通信が許可された宅外端末の電話番号との対応を示すアクセス許可リストに基いて、通信の許可/不許可が判断され、
前記ホームゲートウェイは、通信を許可された当該宅外端末に、少なくとも前記アドレス管理サーバが払い出した臨時IPアドレスを通知する、
ことを特徴とするセキュアアクセスシステム。 A secure access system in which a home gateway of a home network accommodating a home device and an out-of-home terminal are connected to an IP network having a call control server for performing call control and an address management server for paying out a temporary IP address. ,
The out-of-home terminal accepts / denies communication based on the access permission list indicating the correspondence between the telephone number of any device accommodated in each home network and the telephone number of the out-of-home terminal permitted to communicate. Permission is judged,
The home gateway notifies at least the temporary IP address issued by the address management server to the out-of-home terminal permitted to communicate;
A secure access system characterized by that. 前記臨時IPアドレスは、前記アドレス管理サーバから前記ホームゲートウェイに払い出され、
前記ホームゲートウェイは、前記臨時IPアドレスと前記ホーム機器に係るアクセス情報とを当該宅外端末に通知する、
ことを特徴とする請求項1に記載のセキュアアクセスシステム。 The temporary IP address is issued from the address management server to the home gateway,
The home gateway notifies the external terminal of the temporary IP address and access information related to the home device;
The secure access system according to claim 1. 前記アクセス情報は、前記ホーム機器に係る識別子であり、
前記ホームゲートウェイは、前記宅外端末から前記臨時IPアドレスと前記ホーム機器に係る識別子による通信パケットを受信したとき、当該ホーム機器のローカルIPアドレスを宛先とする通信パケットに変換する、
ことを特徴とする請求項2に記載のセキュアアクセスシステム。 The access information is an identifier related to the home device,
When the home gateway receives a communication packet with the temporary IP address and the identifier related to the home device from the outside terminal, the home gateway converts the local IP address of the home device into a communication packet.
The secure access system according to claim 2. 前記アクセス情報は、前記ホーム機器に係るポート番号であり、
前記ホームゲートウェイは、前記宅外端末から前記臨時IPアドレスと前記ホーム機器に係るポート番号による通信パケットを受信したとき、当該ホーム機器のローカルIPアドレスと受信ポート番号とを宛先とする通信パケットに変換する、
ことを特徴とする請求項2に記載のセキュアアクセスシステム。 The access information is a port number related to the home device,
When the home gateway receives a communication packet with the temporary IP address and the port number associated with the home device from the outside terminal, the home gateway converts the communication packet to the local IP address and reception port number of the home device as a destination. To
The secure access system according to claim 2. 前記ホームゲートウェイは、前記宅外端末によるリモートアクセスが終了すると、当該臨時IPアドレスを削除する、
ことを特徴とする請求項3または請求項4に記載のセキュアアクセスシステム。 The home gateway deletes the temporary IP address when remote access by the out-of-home terminal is terminated,
The secure access system according to claim 3 or 4, characterized by the above. 前記臨時IPアドレスは、サーバから前記ホーム機器に払い出され、
前記ホームゲートウェイは、前記臨時IPアドレスを前記宅外端末に通知するときに、前記臨時IPアドレスに対してファイアウォールを透過設定する、
ことを特徴とする請求項1に記載のセキュアアクセスシステム。 The temporary IP address is issued from the server to the home device,
The home gateway, when notifying the temporary IP address to the outside terminal, transparently set a firewall for the temporary IP address,
The secure access system according to claim 1. 前記ホームゲートウェイは、前記宅外端末によるリモートアクセスが終了すると、当該臨時IPアドレスに対してファイアウォールを遮断設定する、
ことを特徴とする請求項6に記載のセキュアアクセスシステム。 When the remote access by the out-of-home terminal ends, the home gateway sets a firewall to be blocked for the temporary IP address.
The secure access system according to claim 6. 呼制御を行う呼制御サーバおよび臨時IPアドレスを払い出すアドレス管理サーバを備えたIPネットワークに、ホーム機器を収容しているホームネットワークのホームゲートウェイおよび宅外端末が接続されたセキュアアクセスシステムのセキュアアクセス方法であって、
当該宅外端末は、各ホームネットワークに収容されたいずれかの機器の電話番号と、通信が許可された宅外端末の電話番号との対応を示すアクセス許可リストに基いて、通信の許可/不許可が判断され、
前記ホームゲートウェイは、通信を許可された当該宅外端末に、少なくとも前記アドレス管理サーバが払い出した臨時IPアドレスを通知する、
ことを特徴とするセキュアアクセス方法。 Secure access of a secure access system in which a home gateway of a home network that accommodates home devices and an out-of-home terminal are connected to an IP network that includes a call control server that performs call control and an address management server that issues a temporary IP address A method,
The out-of-home terminal accepts / denies communication based on the access permission list indicating the correspondence between the telephone number of any device accommodated in each home network and the telephone number of the out-of-home terminal permitted to communicate. Permission is judged,
The home gateway notifies at least the temporary IP address issued by the address management server to the out-of-home terminal permitted to communicate;
The secure access method characterized by the above-mentioned.
JP2011240018A 2011-11-01 2011-11-01 Secure access system and secure access method Active JP5731949B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011240018A JP5731949B2 (en) 2011-11-01 2011-11-01 Secure access system and secure access method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011240018A JP5731949B2 (en) 2011-11-01 2011-11-01 Secure access system and secure access method

Publications (2)

Publication Number Publication Date
JP2013098761A true JP2013098761A (en) 2013-05-20
JP5731949B2 JP5731949B2 (en) 2015-06-10

Family

ID=48620272

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011240018A Active JP5731949B2 (en) 2011-11-01 2011-11-01 Secure access system and secure access method

Country Status (1)

Country Link
JP (1) JP5731949B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021002180A1 (en) * 2019-07-01 2021-01-07 株式会社ソラコム Relay method, relay system, and relay program

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006050114A (en) * 2004-08-03 2006-02-16 Oki Electric Ind Co Ltd Access control method to in-home network
JP2006217660A (en) * 2006-04-25 2006-08-17 Matsushita Electric Ind Co Ltd Information processing system and method, server device, and access device
JP2008135882A (en) * 2006-11-27 2008-06-12 Oki Electric Ind Co Ltd Connection support device, connection supporting method, and program
JP2008177761A (en) * 2007-01-17 2008-07-31 Fujitsu Access Ltd Ip-address delivery control system and ip-address delivery control method
JP2011150704A (en) * 2011-02-09 2011-08-04 Fujitsu Ltd Connection support device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006050114A (en) * 2004-08-03 2006-02-16 Oki Electric Ind Co Ltd Access control method to in-home network
JP2006217660A (en) * 2006-04-25 2006-08-17 Matsushita Electric Ind Co Ltd Information processing system and method, server device, and access device
JP2008135882A (en) * 2006-11-27 2008-06-12 Oki Electric Ind Co Ltd Connection support device, connection supporting method, and program
JP2008177761A (en) * 2007-01-17 2008-07-31 Fujitsu Access Ltd Ip-address delivery control system and ip-address delivery control method
JP2011150704A (en) * 2011-02-09 2011-08-04 Fujitsu Ltd Connection support device

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021002180A1 (en) * 2019-07-01 2021-01-07 株式会社ソラコム Relay method, relay system, and relay program
JP2021010100A (en) * 2019-07-01 2021-01-28 株式会社ソラコム Method, system, and program for relay
JP7209593B2 (en) 2019-07-01 2023-01-20 株式会社ソラコム Relay method, relay system, and relay program
US11792206B2 (en) 2019-07-01 2023-10-17 Soracom, Inc. Relay method, relay system, and relay program

Also Published As

Publication number Publication date
JP5731949B2 (en) 2015-06-10

Similar Documents

Publication Publication Date Title
US7729331B2 (en) Home terminal apparatus and communication system
CN100591013C (en) Implementing authentication method and system
US9344417B2 (en) Authentication method and system
KR100738567B1 (en) System and method for dynamic network security
JP5876877B2 (en) Telecommunication network and method and system for efficient use of connection between telecommunication network and customer premises equipment
JP2010118752A (en) Network system, dhcp server apparatus and dhcp client apparatus
US9065684B2 (en) IP phone terminal, server, authenticating apparatus, communication system, communication method, and recording medium
KR20210116508A (en) Improved handling of unique identifiers for stations
CN102611597A (en) Method for accessing internet through broadband in free of inputting account and password in different family environments
US20220029962A1 (en) Securing access to network devices utilizing two factor authentication and dynamically generated temporary firewall rules
CN104253787A (en) Service authentication method and system
CN113453098B (en) Management method of broadband service and network equipment
JP5731949B2 (en) Secure access system and secure access method
JP5820239B2 (en) Secure access system, home gateway, and secure access method
JP4472566B2 (en) Communication system and call control method
JP7209593B2 (en) Relay method, relay system, and relay program
WO2015100874A1 (en) Home gateway access management method and system
JP2010187314A (en) Network relay apparatus with authentication function, and terminal authentication method employing the same
JP4775154B2 (en) COMMUNICATION SYSTEM, TERMINAL DEVICE, PROGRAM, AND COMMUNICATION METHOD
US20190200226A1 (en) Method of authenticating access to a wireless communication network and corresponding apparatus
JP2009258965A (en) Authentication system, authentication apparatus, communication setting apparatus, and authentication method
CN105530687B (en) A kind of wireless network access controlling method and access device
JP2009171132A (en) Data repeater, data repeating method, and data repeating program
JPWO2014207929A1 (en) Information processing apparatus, terminal, information processing system, and information processing method
JP2009267638A (en) Terminal authentication/access authentication method, and authentication system

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130201

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140205

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20140502

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20140528

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140922

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140930

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141126

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150407

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150410

R150 Certificate of patent or registration of utility model

Ref document number: 5731949

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150