JP2014099795A - ゲートウェイおよび遠隔アクセスシステム - Google Patents

ゲートウェイおよび遠隔アクセスシステム Download PDF

Info

Publication number
JP2014099795A
JP2014099795A JP2012251203A JP2012251203A JP2014099795A JP 2014099795 A JP2014099795 A JP 2014099795A JP 2012251203 A JP2012251203 A JP 2012251203A JP 2012251203 A JP2012251203 A JP 2012251203A JP 2014099795 A JP2014099795 A JP 2014099795A
Authority
JP
Japan
Prior art keywords
user
home
home device
information
remote access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012251203A
Other languages
English (en)
Other versions
JP6008705B2 (ja
Inventor
Yoshinori Takada
佳典 高田
Daisuke Takahashi
大佑 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2012251203A priority Critical patent/JP6008705B2/ja
Publication of JP2014099795A publication Critical patent/JP2014099795A/ja
Application granted granted Critical
Publication of JP6008705B2 publication Critical patent/JP6008705B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】遠隔からホームネットワークに接続された宅内装置を制御する場合に、低コストで運用でき、かつ、利便性を向上可能なゲートウェイを得ること。
【解決手段】ユーザ毎に各宅内装置に対する制御優先度の情報を記憶するユーザDB14と、宅内装置毎に現在制御を受け付けているユーザの情報を記憶するデバイスDB15と、ホームネットワークと接続中のユーザの情報を記憶する接続管理DB16と、フィルタリング用エントリに基づいてフィルタリング処理を行うパケットフィルタリング136と、ユーザDB14、デバイスDB15、および接続管理DB16の情報に基づいて、ユーザ毎に制御可能な宅内装置を決定してフィルタリング用エントリを設定する遠隔アクセス管理部17と、を備え、遠隔アクセス管理部17は、VPN確立の認証に使用した情報をユーザの情報として接続管理DB16に登録する。
【選択図】図2

Description

本発明は、ホームネットワークと接続するゲートウェイに関する。
ネットワーク技術の進歩により通信デバイスが安価・小型で実現可能なため、今日では、さまざまな種類の機器がネットワークに接続して動作している。家庭内に設置される電化製品についても、インターネットの普及により、自装置単体ではなく、装置外部の情報と連動して動作するための通信機能を備えるものも多い。
ホームオートメーションと呼ばれる技術は、マイコンと呼ばれるプロセッサが家電機器に搭載されはじめた当時から存在する。現在では、インターネットの普及や電化製品のデジタル化の流れを受けて、スマートハウスと呼ばれる、家中の電化製品を連携制御することでユーザに快適な住環境を提供しながらエネルギー消費量を抑制するなど効率的で経済的なシステム、を構築するための研究開発が盛んである。
スマートハウスでは、宅内の家電機器同士は、連携動作するためホームネットワークと呼ばれる家庭内のネットワークに接続されている。現在では、ホームネットワークの接続機器や情報を、インターネットを介して接続している外部のシステムや情報を利用して、より効率的なシステムを作るための連携方法についても研究開発が行われている。
例えば、家庭内のデジタルレコーダに対して、外部のシステムから予約情報を投入するシステムが実現されている。デジタルレコーダは、家庭内で接続するネットワークを介して公衆網と接続し、デジタルレコーダの予約を管理するサーバに接続する。ユーザがサーバに対して予約情報を入力すると、サーバに入力された予約情報は、デジタルレコーダとサーバ間の通信によりデジタルレコーダへ転送される。
一方、ホームネットワークに対してインターネット等の外部から接続する方法として、ホームネットワークと公衆網との接続点であるホームゲートウェイと、ホームネットワークへ接続する端末との間で、IPsec(Internet Protocol security)等の暗号化プロトコルを使って仮想プライベート網(VPN:Virtual Private Network)を設定し、サーバを経由せずに直接アクセスする実現方法もある。
想定するアプリケーション種別によって適した遠隔アクセスに関する実現方式は異なるため、ホームネットワークへの遠隔アクセスシステムを検討する際は、上記2つの実現方式は併用される。VPNを用いた遠隔アクセスを採用した場合、ホームネットワーク内で使用していた制御方式が、VPNを通してそのまま遠隔アクセス越しに適用することができるため、ホームネットワーク内でのローカルな制御/操作と、遠隔からの制御/操作を同一のインタフェースで実現することができることがメリットである。
従来の遠隔アクセスに関するユーザ毎の接続制御を実施するため、センターシステム、ホームゲートウェイを介してアクセスする場合のアクセス可否の制御を実現する方式の検討が行われている。例えば、下記特許文献1では、アプリケーションサーバがインターネット上に設置されている場合の、アクセス制御の実現方式についての技術が開示されている。インターネット上に設置されたアプリケーションサーバ、センタサーバ、ホームゲートウェイの間に設置された通信路を利用して宅内機器へのアクセス権を確認し、最終的に、リモート端末との間でユーザ認証を実施し、その情報に基づいて宅内機器へのアクセス制御を実現している。
特開2010−41605号公報 「宅内機器外部接続管理装置」
しかしながら、上記従来の技術によれば、アプリケーションサーバおよびセンタサーバを設置し、これらのサーバ経由でホームネットワークへのアクセスを実現する。そのため、インターネット上にサーバを設置/運用する必要があり、システムの設置および運用維持にコストがかかる、という問題があった。
また、人間が直接宅内機器を操作する場合は、対象や周囲の環境を目で見たり肌で感じたりなど五感で感じることで実施する操作の快適性を推測できるが、遠隔から制御するユーザは、宅内の状態を正確に認識できないため、遠隔から実施する制御が状況にあったものかどうかを判断できない、という問題があった。例えば、エアコンに対する遠隔アクセス制御として、宅内で稼働中のエアコンを停止、停止しているエアコンを稼働、または温度設定を変更した場合、遠隔から制御するユーザは、実際この部屋を誰がどのように使っているかを正確に把握できないため、快適性・利便性等の観点から問題がある。ユーザ毎に遠隔からアクセス可能な宅内装置を制限しても、宅内の状況を把握できない状態で宅内にある機器の制御を実施できてしまうことで、快適性等を損なう可能性がある。
本発明は、上記に鑑みてなされたものであって、遠隔からホームネットワークに接続された宅内装置を制御する場合に、低コストで運用でき、かつ、利便性を向上可能なゲートウェイを得ることを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、ホームネットワークと接続する宅内装置を遠隔アクセスで制御可能なユーザ毎に、各宅内装置に対する制御優先度の情報を記憶するユーザデータベースと、前記宅内装置毎に、現在制御を受け付けているユーザの情報を記憶するデバイスデータベースと、前記ホームネットワークと接続中のユーザの情報を記憶する接続管理データベースと、設定されたフィルタリング用エントリに基づいて、前記ユーザから前記宅内装置へ送信されるパケット、および前記宅内装置から前記ユーザへ送信されるパケットに対してフィルタリング処理を行うパケットフィルタリング手段と、前記ユーザデータベース、前記デバイスデータベース、および前記接続管理データベースの情報に基づいて、前記ホームネットワークと接続中のユーザ毎に制御可能な宅内装置を決定し、前記宅内装置と当該宅内装置を制御するユーザとの間でパケットの送受信が可能な前記フィルタリング用エントリを設定する遠隔アクセス管理手段と、を備え、前記遠隔アクセス管理手段は、前記ユーザが前記ホームネットワークと接続する際のVPN(Virtual Private Network)確立の認証に使用した情報を前記ユーザの情報として前記接続管理データベースに登録する、ことを特徴とする。
本発明によれば、遠隔からホームネットワークに接続された宅内装置を制御する場合に、低コストで運用でき、かつ、利便性を向上できる、という効果を奏する。
図1は、実施の形態1の遠隔アクセスシステムの構成例を示す図である。 図2は、HGWの構成例を示す図である。 図3は、ユーザDBの構成例を示す図である。 図4は、デバイスDBの構成例を示す図である。 図5は、接続管理DBの構成例を示す図である。 図6は、実施の形態1の遠隔アクセスシステムにおける遠隔アクセス制御を示すシーケンス図である。 図7は、パケットフィルタリングにおけるフィルタリング用エントリを示す図である。 図8は、実施の形態2の遠隔アクセスシステムにおける遠隔アクセス制御を示すシーケンス図である。
以下に、本発明にかかるゲートウェイの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
実施の形態1.
図1は、本実施の形態の遠隔アクセスシステムの構成例を示す図である。遠隔アクセスシステムは、ホームゲートウェイ(HGW)1と、ホームネットワーク2と、宅内装置3〜5と、公衆網6と、遠隔端末7と、から構成される。HGW1と遠隔端末7との間では、公衆網6内でVPN8が確立可能である。
HGW1は、ホームネットワーク2と公衆網6とを接続するゲートウェイである。ホームネットワーク2は、家庭内の機器(宅内装置3〜5)を収容するネットワークであり、遠隔端末7からの制御対象となる機器(宅内装置3〜5)が接続されている。宅内装置3〜5は、ホームネットワーク2と接続し、遠隔端末7からの制御を受け付ける。公衆網6は、インターネットや携帯電話のデータ通信用ネットワークの総称であり、複数のネットワークの集合体として構成されることもある。遠隔端末7は、公衆網6と接続し、公衆網6を経由してHGW1にVPN8を使ってアクセスする。VPN8は、遠隔端末7が宅内装置3〜5を遠隔アクセス制御する際に、HGW1との間で確立する仮想プライベート網である。
つぎに、遠隔アクセスシステムを構成するHGW1の構成について説明する。図2は、HGW1の構成例を示す図である。HGW1は、ゲートウェイ部10と、L2スイッチ(SW)部20と、を備える。なお、L2SW部20は、HGW1に必須の構成ではなく、実装しない構成にすることも可能である。
ゲートウェイ部10は、WANインタフェース部11と、制御部12と、ルータ部13と、ユーザデータベース(DB)14と、デバイスデータベース(DB)15と、接続管理データベース(DB)16と、遠隔アクセス管理部17と、内部接続用ポート18と、を備える。
WANインタフェース部11は、公衆網6に接続するためのインタフェースである。制御部12は、ルータ部13におけるルータ機能以外の制御を行う。例えば、HGW1を装置として動作させるために必要な設定パラメータの管理やGUI(Graphical User Interface)等の機能の制御が含まれる。ルータ部13は、通信プロトコルスタックおよび各プロトコルで使用する機能を実装する。例えば、PPP(Point to Point Protocol)131、IPsec132、PPPoE(PPP over Ethernet(登録商標))133、L2TP(Layer 2 Tunneling Protocol)134、NAPT(Network Address Port Translation)135といったプロトコルスタックや、ルータ機能の一部としてファイアーウォール機能を実現するためのPacket filtering(パケットフィルタリング)136を実装している。
ユーザDB14は、遠隔アクセスシステムを使用可能なユーザに対して、ホームネットワーク2に接続されたそれぞれの宅内装置3〜5へのアクセス権と優先度を管理するためのデータベースである。デバイスDB15は、ホームネットワーク2に接続している宅内装置3〜5のそれぞれに対して、現状どのような制御が行われているかを管理するデータベースである。接続管理DB16は、現在ホームネットワーク2に外部からどのユーザがアクセスしてきているかを管理するデータベースである。遠隔アクセス管理部17は、各DBの情報を管理し、遠隔アクセスにおけるアクセス制御を実現する管理部である。内部接続用ポート18は、ホームネットワーク2側のL2SW部20と接続するポートである。L2SW部20が実装されない場合には、内部接続用ポート18をホームネットワーク2へ接続するためのポートとして使用する。
L2SW部20は、内部接続用ポート21と、ホームネットワーク接続用ポート22−1,22−2,22−3,…,22−nと、を備える。
内部接続用ポート21は、公衆網6側のゲートウェイ部10と接続するポートである。ホームネットワーク接続用ポート22−1,22−2,22−3,…,22−nは、ホームネットワーク2と接続するポートである。
つぎに、ゲートウェイ部10が備える各DBの構成について説明する。図3は、ユーザDB14の構成例を示す図である。ユーザDB14では、ユーザを識別するための情報(ユーザ31)が定義され、各ユーザに対して制御対象の装置(対象装置32)と、その装置に対する当該ユーザの制御権を表す優先度33、の情報が定義されている。例えば、ユーザ#1については、宅内装置3〜5が制御可能であり、宅内装置3に対して優先度100、宅内装置4に対して優先度20、宅内装置5に対して優先度80が設定されていることを示す。ユーザDB14については、ホームネットワーク2を管理する管理者が、事前に各ユーザの各宅内装置に対するアクセス優先度を決定して設定・記憶しておくこととする。
図4は、デバイスDB15の構成例を示す図である。デバイスDB15では、ホームネットワーク2に接続されたそれぞれの宅内装置3〜5に対して、各宅内装置を識別するための情報(対象装置41)と、各宅内装置に設定されているIPアドレス42と、各宅内装置に対して現状実施されている制御の状態を示す制御状態43と、その制御がどのユーザにより行われたかを示す制御実施者44、の情報が定義されている。例えば、宅内装置3のIPアドレスは192.168.0.101であり、現在、ユーザ#1によって制御中であることを示す。デバイスDB15については、遠隔アクセス管理部17が、情報の内容を登録(記憶・更新)することができる。
図5は、接続管理DB16の構成例を示す図である。接続管理DB16は、現在遠隔よりホームネットワーク2へ接続中のユーザを管理する。接続管理DB16では、接続中のユーザを管理する接続中ユーザ51の情報と、このユーザに対応した遠隔アクセス元(遠隔端末7)のIPアドレスの情報(IPアドレス52)と、現在当該ユーザが接続中のインタフェース情報53と、を管理する。例えば、ホームネットワーク2へ接続中のユーザ#2のIPアドレスは192.168.0.10であり、インタフェースとしてVPN8を使用していることを示す。外部からのアクセスがあってVPN8を介した遠隔アクセス制御では、HGW1は、IPsecのIKE(Internet Key Exchange)による認証機能によりアクセスしてきたユーザを認証して接続の許可判定を行う。接続を許可した場合、HGW1では、遠隔アクセス管理部17が、接続管理DB16の情報を登録(記憶・更新)して、現在接続中のユーザおよびそのIPアドレスと接続インタフェースの情報を管理する。
つづいて、遠隔アクセスシステムにおいて、遠隔端末7がHGW1との間でIPsec/L2TPによるVPN接続を行い、遠隔端末7から宅内装置3〜5への遠隔アクセスによる制御を行う動作について説明する。図6は、本実施の形態の遠隔アクセスシステムにおける遠隔アクセス制御を示すシーケンス図である。ここでは、図1と同様、1つの遠隔端末(遠隔端末7)と3つの宅内装置(宅内装置3〜5)を用いて、ユーザDB14において遠隔端末7のユーザが宅内装置4を制御可能な設定の場合について説明する。
まず、遠隔端末7は、遠隔アクセス実施時に、自端末とHGW1との間のVPN確立の動作として、HGW1に対してIPsec/L2TPトンネルを設定するため、IPsec/L2TPトンネル確立の処理を実施する。IPsec/L2TPでのVPNトンネル確立の際、遠隔端末7は、IPsecのイニシエータとなり、HGW1に対してIPsecのトンネル確立を要求するが、まずは、L2TPによる接続を遠隔端末7との間で確立し、その上でIPsecの接続を行う(ステップS1)。
このとき、HGW1は、IPsecのレスポンダとして動作する。IPsec/L2TPで接続を行う場合、遠隔端末7は、HGW1からホームネットワーク2で使用するためのIPアドレスの払い出しを受け、カプセル化対象のパケットにはホームネットワーク2で使用可能なアドレスを付与して送信する。これにより、遠隔端末7とHGW1との間でVPNが確立し、通常の場合、HGW1では、遠隔端末7から受信したパケットについてデカプセル化を行った後、NAT(Network Address Translation)/NAPT処理やパケットフィルタリング処理を行わずに転送することができる。IPsecトンネルが確立した後、HGW1では、遠隔アクセス管理部17が、IPsecトンネルの接続で使われたIKEの認証情報から接続したユーザを特定し、接続したユーザに関する情報をユーザ接続管理DB16に登録する(ステップS2)。
その後、遠隔アクセス管理部17は、接続管理DB16を常時監視し、接続管理DB16に現在接続しているユーザの情報が登録された場合、接続管理DB16、デバイスDB15、およびユーザDB14の内容に基づいて、ルータ部13のパケットフィルタリング136にフィルタ条件を設定、すなわち、フィルタリング用エントリを追加する(ステップS3)。これにより、HGW1では、遠隔端末7と宅内装置3〜5の間の通信に対して、あらかじめ設定されたアクセス権に基づいて、パケットの廃棄/通過の制御を実施することができる。
遠隔端末7は、UPnP(Universal Plug and Play)のプロトコルに基づいて制御対象のデバイス(宅内装置)を探す場合、マルチキャストIPアドレス宛てにM−Searchと呼ばれるパケットを送信し、制御可能な宅内装置に応答を求める(ステップS4)。このとき、M−Searchを中継するHGW1は、遠隔端末7から受信したM−Searchのパケットを廃棄することなく、ホームネットワーク2に接続している全ての宅内端末3〜5へ転送する。
宅内に存在して遠隔端末7からの制御対象となり得る宅内装置3〜5は、遠隔端末7からのM−Searchに対応して自装置の情報をResponseで応答する(ステップS5〜S7)。
宅内装置3〜5からのResponseのパケットを中継するHGW1は、ステップS3で設定されたパケットフィルタ設定(フィルタリング用エントリ)に基づいて、パケットフィルタリング動作を実施する。この結果、HGW1では、遠隔端末7からの制御が許可されている宅内端末4からのResponseだけを遠隔端末7に転送し、その他の宅内装置3,5からのResponseについては廃棄する(ステップS8)。
宅内装置3〜5からマルチキャストIPアドレス宛てに送付されるAdvertisementについても同様である。宅内装置3〜5がAdvertisementを送信すると(ステップS9〜S11)、宅内装置3〜5からのAdvertisementのパケットを中継するHGW1は、ステップS3で設定されたパケットフィルタ設定(フィルタリング用エントリ)に基づいて、遠隔端末7からの制御が許可されている宅内装置4からのAdvertisementだけを遠隔端末7に転送し、その他の宅内装置3,5からのAdvertisementについては廃棄する(ステップS12)。
この結果、遠隔端末7では、宅内装置4からのパケットしか届かないことから、宅内装置4しか見えない、すなわち、宅内装置4のみが制御可能であると判断する。
また、HGW1では、遠隔端末7から送信されたパケットに対しても、同様のパケットフィルタリング動作を実施する。例えば、遠隔端末7から個別の宅内装置に対する制御パケットであるcontrol to 宅内装置3,4,5を送信すると(ステップS13〜S15)、遠隔端末7からのcontrol to 宅内装置3,4,5のパケットを中継するHGW1は、ステップS3で設定されたパケットフィルタ設定(フィルタリング用エントリ)に基づいて、遠隔端末7からの制御が許可されている宅内装置4へのcontrol to 宅内装置4だけを宅内装置4に転送し、その他のcontrol to 宅内装置3,5については廃棄する(ステップS16)。
図7は、図6のシーケンスのステップS3において設定されるパケットフィルタリング136におけるフィルタリング用エントリを示す図である。本エントリは、遠隔アクセス用に特別に作成するものではなく、ルータ部13に実装されているパケットフィルタリング136に通常実装されているフィルタリング用エントリを用いる。フィルタリング用エントリを構成する情報である、方向61、送信元IP(アドレス)62、宛先IP(アドレス)63、プロトコル64、送信元ポート(番号)65、宛先ポート(番号)66、通過可否67、の各情報は、前述の通り通常のパケットフィルタリング用エントリに実装されている情報である。
図6に示すシーケンスでは、遠隔端末7からの制御は宅内装置4に対してのみ有効になることを前提としているが、図7はその場合のフィルタリングの設定を示すものである。遠隔端末7からのアクセスについては、宅内装置4のユニキャストIPアドレスへのパケットは全て通過させるが、宅内装置4以外のユニキャストIPアドレスへのパケットは全て廃棄させ、マルチキャスト/ブロードキャストパケットはホームネットワーク2へ通過させる。この設定は、図6のシーケンスのステップS3にて実施する。
上記動作により、遠隔端末7と宅内装置3〜5との間の通信をパケットフィルタリングにより制御することで、遠隔アクセスにより接続している遠隔端末7から宅内装置3〜5に対する制御を制限することが可能になる。
なお、本実施の形態では、ユーザを識別するための認証情報にIKEでの認証情報を利用する場合について説明したが、これに限定するものではない。例えば、PPPの認証情報を用いる場合についても適用可能である。
また、本実施の形態では、HGW1で実施するパケットフィルタリング処理によって、実際に宅内の状態を把握していないユーザの操作を制限できるが、この場合でも、特定のユーザの優先度を高く設定することで、利便性を向上させることができる。例えば、子供が留守番中に外出している親については優先度を高く設定することにより、宅内装置(例えば、エアコン等)を外出先からでも快適な状態に制御することができる。これに対して、親よりも優先度が低く設定されている人物については、設定されたフィルタリング用エントリから、宅内装置を制御することができないことになる。このように、優先度の情報を用いることにより、従来と比較して、システム内での遠隔アクセスによる制御の利便性を向上することが可能となる。
以上説明したように、本実施の形態によれば、遠隔端末が遠隔から宅内装置の動作を制御可能な遠隔アクセスシステムにおいて、遠隔端末と宅内装置との間の通信を中継するHGWでは、遠隔端末との間でVPNを確立する際のユーザ識別の情報を用いてパケットフィルタリング機能のフィルタリング用エントリを設定し、設定したエントリに基づいてパケットフィルタリングを実施してパケットの通過/廃棄を行うこととした。これにより、新たにサーバ等を設置する必要もないことから低コストで運用でき、また、ユーザ別に設定された制御対象の宅内装置に対する制御に対してHGWのパケットフィルタリング機能を用いることで、特定のユーザの優先度を高く設定する等により宅内装置の操作に対する利便性を向上させることができる。
実施の形態2.
実施の形態1では、遠隔端末が、VPN、HGWを介してホームネットワークに接続された宅内装置を制御する方法について説明した。本実施の形態では、遠隔からの制御に加えて、使用者が宅内装置を直接制御することも考慮した遠隔アクセスシステムの制御について説明する。実施の形態1と異なる部分について説明する。
図8は、本実施の形態の遠隔アクセスシステムにおける遠隔アクセス制御を示すシーケンス図である。ここでは、図1のシステムと異なり、2つの遠隔端末(遠隔端末7a,7b)と1つの宅内装置(宅内装置3)、さらに、遠隔端末7a,7bからのアクセス(制御)と競合する関係にあって宅内で宅内装置3を操作するユーザである宅内操作者9を用いた場合について説明する。
なお、本実施の形態のシステムにおいては、前提として、遠隔端末7aからはユーザ#1がアクセスし、遠隔端末7bからはユーザ#2がアクセスすることとし、ユーザDB14においてユーザ#1はユーザ#2に比べて宅内装置3に対する制御優先度が高く設定されていることとする。また、ユーザDB14において、宅内操作者9からの制御は、ユーザ#1、ユーザ#2からの遠隔アクセスによる制御に対して制御優先度が高く設定されていることとする。
まず、遠隔端末7aは、HGW1に対してIPsecトンネル確立を行い(ステップS21)、ホームネットワーク2へ接続を行う。このとき、HGW1の遠隔アクセス管理部17は、トンネルの接続で使われた認証情報から接続したユーザがユーザ#1であることを特定し、接続したユーザに関する情報を接続管理DB16へ登録し(ステップS22)、接続管理DB16、デバイスDB15、およびユーザDB14の内容に基づいて、ルータ部13のパケットフィルタリング136にフィルタリング用エントリを追加する(ステップS23)。遠隔端末7aにおける上記ステップS21〜S23の動作は、実施の形態1の遠隔端末7におけるステップS1〜S3の動作と同様である。
遠隔端末7aについては初期状態で宅内装置3に対して制御可能であって、かつ、優先度が設定されているため、パケットフィルタリング136では通過設定がされている。そのため、HGW1では、遠隔端末7aからの制御(パケット)を通過させ、宅内装置3へ転送する(ステップS24)。このとき、HGW1では、遠隔アクセス管理部17が、遠隔端末7aから宅内装置3への制御パケットを監視し、デバイスDB15に対して、宅内装置3に対して制御を行ったユーザがユーザ#1であるという情報を格納する(ステップS25)。
つぎに、遠隔端末7bは、HGW1に対してIPsecトンネル確立を行い(ステップS26)、ホームネットワーク2へ接続を行う。このとき、HGW1の遠隔アクセス管理部17は、トンネルの接続で使われた認証情報から接続したユーザがユーザ#2であることを特定し、接続したユーザに関する情報を接続管理DB16へ登録し(ステップS27)、接続管理DB16、デバイスDB15、およびユーザDB14の内容に基づいて、ルータ部13のパケットフィルタリング136にフィルタリング用エントリを追加する(ステップS28)。遠隔端末7bにおける上記ステップS26〜S28の動作は、遠隔端末7aにおけるステップS21〜S23の動作と同様である。
ここで、HGW1の遠隔アクセス管理部17では、デバイスDB15を確認すると、宅内装置3に対して制御を行ったユーザがユーザ#1であるという情報が格納されているため、つぎに、ユーザDB14を用いて宅内装置3に対するユーザの優先度を確認すると、ユーザ#1の優先度がユーザ#2の優先度より高いことがわかる。この結果、HGW1の遠隔アクセス管理部17は、ステップS28において、遠隔端末7bからの宅内装置3への制御(パケット)は廃棄されるようにフィルタリング用エントリを追加する。
HGW1では、遠隔端末7bからユーザ#2が宅内装置3への制御を実施すると(ステップS29)、この制御(パケット)をパケットフィルタリング136により廃棄する。これらの動作により、HGW1では、事前にユーザDB14に設定された優先度の情報に基づいて、複数の遠隔アクセスユーザ間の優先制御を実現できる。すなわち、HGW1では、IPsec(VPN)の認証で識別できるユーザ情報に従って、遠隔者(遠隔端末7a,7b)からのアクセスを管理でき、優先度の高低に応じて、後からのパケットをフィルタリングすることで、優先度の制御を実現することができる(ステップS30)。
このとき、HGW1では、宅内装置3への制御状態を格納する処理においては、遠隔端末7bのユーザ#2からの制御は実施されていないため、ステップS25の時点で設定されたデバイスDB15の状態を格納(維持)する(ステップS31)。
つぎに、遠隔アクセスシステムにおいて、宅内操作者9が、宅内装置3に対する制御を行う(ステップS32)。通常、この制御の宛先は宅内装置3のため、HGW1において、宅内操作者9から宅内装置3への制御の情報を受信することはできない。しかしながら、HGW1では、ホームネットワーク2内のトラヒックをモニタすることで、宅内装置3への制御を検出し、宅内操作者9からの制御が宅内装置3において実施されたことを認識して、この情報に基づいて、宅内装置3に宅内操作者9が制御を実施したとして、宅内装置3への制御状態の情報を更新する(ステップS33)。
このとき、HGW1では、デバイスDB15の更新が行われたため、再度、パケットフィルタリング136のフィルタリング用エントリの設定が見直される。具体的に、遠隔端末7aからアクセス中のユーザ#1および遠隔端末7bからアクセス中のユーザ#2が実施する宅内装置3への制御の優先度は、宅内操作者9が実施する制御の優先度よりも低いため、HGW1の遠隔アクセス管理部17は、遠隔端末7aから宅内装置3への制御(パケット)、および遠隔端末7bから宅内装置3への制御(パケット)を廃棄するように、パケットフィルタリング136のパケットフィルタリング機能にフィルタリング用エントリを追加する(ステップS34)。
このような状態で遠隔端末7aから宅内装置3に対して制御を実施、すなわち、遠隔端末7aから制御パケットを送信すると(ステップS35)、HGW1では、パケットフィルタリング136により制御パケットを廃棄し、ホームネットワーク2内へ転送しない(ステップS36)。上記動作により、宅内操作者9からの制御と遠隔アクセスからの制御の優先制御を実現することができる。
なお、本実施の形態では、HGW1がホームネットワーク2内のトラヒックをモニタして宅内操作者9の制御を検出する場合について説明したが、これに限定するものではない。例えば、ホームネットワーク2内の制御対象機器(宅内装置3)が制御結果とその制御者情報をHGW1に通知する場合においても、HGW1は、同様に宅内操作者9を含めたデバイスDB15の更新が可能となり、宅内操作者9からの制御と遠隔アクセスからの制御の優先制御を実現することができる。
以上説明したように、本実施の形態によれば、遠隔アクセスシステムに宅内装置を宅内から操作する宅内操作者が有る場合に、HGWでは、宅内装置に対する優先度を定義したユーザDBにおいて、宅内操作者の優先度を遠隔端末のユーザの優先度よりも高く設定する。これにより、実施の形態1の効果に加えて、宅内操作者からの制御と遠隔アクセスからの制御の優先制御を実現することができ、宅内において宅内操作者が快適性を損なうような状態を回避することができる。
以上のように、本発明にかかるゲートウェイは、2つのネットワークとの接続に有用であり、特に、ホームネットワークと公衆網との接続に適している。
1 ホームゲートウェイ(HGW)、2 ホームネットワーク、3,4,5 宅内装置、6 公衆網、7 遠隔端末、8 VPN、10 ゲートウェイ部、11 WANインタフェース部、12 制御部、13 ルータ部、14 ユーザデータベース(DB)、15 デバイスデータベース(DB)、16 接続管理データベース(DB)、17 遠隔アクセス管理部、18 内部接続用ポート、20 L2スイッチ(SW)部、21 内部接続用ポート、22−1,22−2,22−3,…,22−n ホームネットワーク接続用ポート、131 PPP、132 IPsec、133 PPPoE、134 L2TP、135 NAPT、136 Packet filtering(パケットフィルタリング)。

Claims (4)

  1. ホームネットワークと接続する宅内装置を遠隔アクセスで制御可能なユーザ毎に、各宅内装置に対する制御優先度の情報を記憶するユーザデータベースと、
    前記宅内装置毎に、現在制御を受け付けているユーザの情報を記憶するデバイスデータベースと、
    前記ホームネットワークと接続中のユーザの情報を記憶する接続管理データベースと、
    設定されたフィルタリング用エントリに基づいて、前記ユーザから前記宅内装置へ送信されるパケット、および前記宅内装置から前記ユーザへ送信されるパケットに対してフィルタリング処理を行うパケットフィルタリング手段と、
    前記ユーザデータベース、前記デバイスデータベース、および前記接続管理データベースの情報に基づいて、前記ホームネットワークと接続中のユーザ毎に制御可能な宅内装置を決定し、前記宅内装置と当該宅内装置を制御するユーザとの間でパケットの送受信が可能な前記フィルタリング用エントリを設定する遠隔アクセス管理手段と、
    を備え、
    前記遠隔アクセス管理手段は、前記ユーザが前記ホームネットワークと接続する際のVPN(Virtual Private Network)確立の認証に使用した情報を前記ユーザの情報として前記接続管理データベースに登録する、
    ことを特徴とするゲートウェイ。
  2. 前記ユーザデータベースにおいて、前記宅内装置を前記ホームネットワーク内から操作する宅内操作者について各宅内装置に対する接続優先度の情報を記憶している場合に、
    前記遠隔アクセス管理手段は、前記宅内操作者から前記宅内装置に対する制御状態を監視し、さらに、前記制御状態の情報を用いて、前記ユーザおよび前記宅内操作者について制御可能な宅内装置を決定し、前記フィルタリング用エントリを設定する、
    ことを特徴とする請求項1に記載のゲートウェイ。
  3. ホームネットワークと公衆網とを接続するゲートウェイと、前記公衆網を介して前記ゲートウェイと接続する遠隔端末と、を備え、前記遠隔端末を操作するユーザが、前記遠隔端末を介して前記ホームネットワークと接続し、前記ホームネットワークと接続する宅内装置を遠隔アクセスで制御する遠隔アクセスシステムにおいて、
    前記ゲートウェイは、
    前記宅内装置を遠隔アクセスで制御可能な前記ユーザ毎に、各宅内装置に対する接続優先度の情報を記憶するユーザデータベースと、
    前記宅内装置毎に、現在制御を受け付けているユーザの情報を記憶するデバイスデータベースと、
    前記ホームネットワークと接続中のユーザの情報を記憶する接続管理データベースと、
    設定されたフィルタリング用エントリに基づいて、前記ユーザから前記宅内装置へ送信されるパケット、および前記宅内装置から前記ユーザへ送信されるパケットに対してフィルタリング処理を行うパケットフィルタリング手段と、
    前記ユーザデータベース、前記デバイスデータベース、および前記接続管理データベースの情報に基づいて、前記ホームネットワークと接続中のユーザ毎に制御可能な宅内装置を決定し、前記宅内装置と当該宅内装置を制御するユーザとの間でパケットの送受信が可能な前記フィルタリング用エントリを設定する遠隔アクセス管理手段と、
    を備え、
    前記遠隔アクセス管理手段は、前記ユーザが前記ホームネットワークと接続する際のVPN(Virtual Private Network)確立の認証に使用した情報を前記ユーザの情報として前記接続管理データベースに登録する、
    ことを特徴とする遠隔アクセスシステム。
  4. 前記ユーザデータベースにおいて、前記宅内装置を前記ホームネットワーク内から操作する宅内操作者について各宅内装置に対する接続優先度の情報を記憶している場合に、
    前記遠隔アクセス管理手段は、前記宅内操作者から前記宅内装置に対する制御状態を監視し、さらに、前記制御状態の情報を用いて、前記ユーザおよび前記宅内操作者について制御可能な宅内装置を決定し、前記フィルタリング用エントリを設定する、
    ことを特徴とする請求項3に記載の遠隔アクセスシステム。
JP2012251203A 2012-11-15 2012-11-15 ゲートウェイおよび遠隔アクセスシステム Expired - Fee Related JP6008705B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012251203A JP6008705B2 (ja) 2012-11-15 2012-11-15 ゲートウェイおよび遠隔アクセスシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012251203A JP6008705B2 (ja) 2012-11-15 2012-11-15 ゲートウェイおよび遠隔アクセスシステム

Publications (2)

Publication Number Publication Date
JP2014099795A true JP2014099795A (ja) 2014-05-29
JP6008705B2 JP6008705B2 (ja) 2016-10-19

Family

ID=50941457

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012251203A Expired - Fee Related JP6008705B2 (ja) 2012-11-15 2012-11-15 ゲートウェイおよび遠隔アクセスシステム

Country Status (1)

Country Link
JP (1) JP6008705B2 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010041605A (ja) * 2008-08-07 2010-02-18 Fujitsu Ltd 宅内機器外部接続管理装置
JP2012222678A (ja) * 2011-04-12 2012-11-12 Nippon Telegr & Teleph Corp <Ntt> アクセス制御システム、およびアクセス制御方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010041605A (ja) * 2008-08-07 2010-02-18 Fujitsu Ltd 宅内機器外部接続管理装置
JP2012222678A (ja) * 2011-04-12 2012-11-12 Nippon Telegr & Teleph Corp <Ntt> アクセス制御システム、およびアクセス制御方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6016030530; 吉川 貴、他2名: 'モバイル連携ホームゲートウェイシステム' 情報処理学会研究報告 2006-MBL-39 第2006巻 第120号, 20061116, pp.97-102, 社団法人情報処理学会 *

Also Published As

Publication number Publication date
JP6008705B2 (ja) 2016-10-19

Similar Documents

Publication Publication Date Title
JP4909277B2 (ja) ネットワーク通信機器、ネットワーク通信方法、アドレス管理機器
US8984141B2 (en) Server for routing connection to client device
EP1575230B1 (en) Server for routing connection to client device
RU2555244C2 (ru) Способ и устройство для реализации дистанционного управления жилищем
CN106302320B (zh) 用于对用户的业务进行授权的方法、装置及系统
RU2584752C2 (ru) Устройство и способ реализации сети передачи данных, используемой для удаленного управления жилищем
WO2012086816A1 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
US20070195804A1 (en) Ppp gateway apparatus for connecting ppp clients to l2sw
RU2552140C1 (ru) Устройство для осуществления удаленного управления собственностью
JP5367764B2 (ja) 仮想ネットワークシステム、構成変更方法、トンネル接続装置、及びプログラム
ES2359811T3 (es) Servidor para encaminar una conexión a un dispositivo cliente.
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
US20060072618A1 (en) Packet-sending communication apparatus with forwarding-address automatic-recognition function, communication system and programs thereof
JP6008705B2 (ja) ゲートウェイおよび遠隔アクセスシステム
JP5437518B2 (ja) 仮想ネットワークシステム、構成変更方法、トンネル終端装置、トンネル接続装置、及びプログラム
JP2013038715A (ja) 仮想ネットワーク制御装置、仮想ネットワーク制御方法、仮想ネットワーク制御システム、及びプログラム
JP5986044B2 (ja) ネットワークシステム、通信制御方法、通信制御装置、およびプログラム
WO2014025471A1 (en) Method and apparatus for using rendezvous server to make connections to fire alarm panels
US20200287868A1 (en) Systems and methods for in-band remote management
JP2005286558A (ja) 端末認証システム
KR101824642B1 (ko) 다중 가상 사설 네트워크를 이용한 주거 관리 시스템
KR101425138B1 (ko) 개별 장치용 개별 통신 보안 장비
JP5875507B2 (ja) 中継装置、プログラム、情報処理方法、及び情報処理装置
JP2016046625A (ja) 通信中継装置、情報処理方法、及び、プログラム
JP2013141071A (ja) 中継サーバ

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151020

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160708

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160816

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160913

R150 Certificate of patent or registration of utility model

Ref document number: 6008705

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees