JP4167603B2 - Service providing system and gateway device - Google Patents
Service providing system and gateway device Download PDFInfo
- Publication number
- JP4167603B2 JP4167603B2 JP2004035273A JP2004035273A JP4167603B2 JP 4167603 B2 JP4167603 B2 JP 4167603B2 JP 2004035273 A JP2004035273 A JP 2004035273A JP 2004035273 A JP2004035273 A JP 2004035273A JP 4167603 B2 JP4167603 B2 JP 4167603B2
- Authority
- JP
- Japan
- Prior art keywords
- label
- gateway device
- communication terminal
- communication
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、サーバがゲートウェイ装置を介して通信端末にサービスを提供するサービス提供システムに関する。 The present invention relates to a service providing system in which a server provides a service to a communication terminal via a gateway device.
従来、ホームゲートウェイ装置を介して住宅内に設置された各家電機器に係るサービス情報を提供するサービス提供システムとしては、ローカルネットワークに接続されたそれぞれの家電機器と、インターネットに接続され、各家電機器に関するサービス情報を提供するサービスプロバイダと、ローカルネットワークとインターネットを接続するホームゲートウェイ装置とを備えたものが知られている。 Conventionally, as a service providing system for providing service information related to each home appliance installed in a house via a home gateway device, each home appliance connected to a local network and each home appliance connected to the Internet There is known a service provider that provides service information on the Internet and a home gateway device that connects a local network and the Internet.
従来のサービス提供システムの動作において、まず、サービスプロバイダは、サービスプログラムをホームゲートウェイ装置や家電機器にダウンロードする。ダウンロードされたサービスプログラムは、ローカルネットワークを介し、家電機器の運転状態や、家電機器によって計測された宅内の状態に関する情報を収集する。収集された情報は、インターネットを介してサービスプロバイダに送信される。サービスプロバイダは、送信された情報をもとに、機器のメンテナンスや効率的な運転アドバイスなどのサービス情報を作成し、これをインターネットを介してホームゲートウエイ装置に返信する。返信されたサービス情報は、ホームゲートウェイ装置によってローカルネットワークを介し、個々の機器に提供される。よって、従来のサービス提供システムは、家電機器の所有者が家電機器の管理や監視を行う手間を省き、サービスプロバイダに家電機器の管理や監視などの業務委託をさせることができる(例えば特許文献1参照)。
しかしながら、上述のサービス提供システムでは、サービスプロバイダに家電機器のアクセス権限を与えてしまうため、悪意があれば、家電機器を乗っ取ることができ、家電機器に格納されたデータの破壊や個人情報などの漏洩が行われてしまうという問題があった。また、サービス提供の対象となる所定の家電機器以外の家電機器も、サービスプロバイダによって乗っ取られてしまうという問題がある。 However, in the service providing system described above, since the access authority of the home appliance is given to the service provider, if there is malicious intent, the home appliance can be hijacked, and the data stored in the home appliance may be destroyed or personal information, etc. There was a problem that leakage occurred. In addition, there is a problem in that home appliances other than the predetermined home appliances to be provided for service are also taken over by the service provider.
本発明は、上記の従来の課題を解決するためになされたもので、その目的はサービスが提供される通信端末の安全性を高め、通信端末の所有者が通信端末の管理や監視を行う手間を省き、サービスプロバイダに通信端末の管理や監視などの業務委託をさせることができるサービス提供システムおよびゲートウェイ装置を提供するにある。 The present invention has been made to solve the above-described conventional problems, and its purpose is to increase the safety of the communication terminal to which the service is provided, and the trouble of the communication terminal owner managing and monitoring the communication terminal. And providing a service providing system and a gateway device that allow a service provider to outsource business operations such as management and monitoring of communication terminals.
本発明のサービス提供システムは、第1のネットワークおよび第2のネットワークに接続されたゲートウェイ装置と、第1のネットワークを介してゲートウェイ装置と通信可能に接続された1つ以上のサーバと、前記第2のネットワークを介してゲートウェイ装置と通信可能に接続された1つ以上の通信端末とを備え、サーバがゲートウェイ装置を介して通信端末にサービスを提供するサービス提供システムであって、ゲートウェイ装置は、サーバとの間でセッションを確立させ、確立させたセッションの識別情報を保持するセッション確立手段と、サーバとの間で確立させたセッションからパケットを受信する第1の通信手段と、第1の通信手段が受信したセッションの識別情報と対応するラベルを取得するラベル取得手段と、前記セッションから受信したパケットから得られるデータおよびラベル取得手段が取得したラベルによって構成されるパケットを、前記ラベルと対応する通信端末に送信する第2の通信手段とを有し、通信端末は、ゲートウエイ装置によって送信されたパケットを受信し、通信端末によって処理されるプロセスは、受信したパケットを構成するラベルにしたがって通信端末のリソースに対するアクセス制御を行う。 The service providing system of the present invention includes a gateway device connected to the first network and the second network, one or more servers communicatively connected to the gateway device via the first network, and the first network And a service providing system in which a server provides a service to the communication terminal via the gateway device, the gateway device including: A session establishing means for establishing a session with the server and retaining identification information of the established session; a first communication means for receiving a packet from the session established with the server; and a first communication Label acquisition means for acquiring a label corresponding to the identification information of the session received by the means, and the session Second communication means for transmitting to the communication terminal corresponding to the label a packet composed of the data obtained from the packet received from the packet and the label acquired by the label acquisition means. The process that is received by the communication terminal and processed by the communication terminal performs access control on the resource of the communication terminal according to the label that constitutes the received packet.
この構成により、通信端末によって処理されるプロセスは、セッションを識別するための識別情報と対応するラベルにしたがって通信端末のリソースに対するアクセス制御を行うため、通信端末のリソースに対するサーバのアクセスを制御させ、サービスが提供される通信端末の安全性を高めることができる。 With this configuration, the process processed by the communication terminal performs access control on the resource of the communication terminal according to the label corresponding to the identification information for identifying the session, so that the server access to the resource of the communication terminal is controlled, It is possible to improve the safety of the communication terminal provided with the service.
本発明の実施態様によれば、通信端末によって処理されるプロセスが、ラベルを含むパケットを第2のネットワークを介して送信し、第2の通信手段は、通信端末から送信されたラベルを含むパケットを受信し、ゲートウェイ装置は、第2の通信手段によって受信されたパケットに含まれるラベルと識別情報とが対応するか否かを判断するラベル判断手段を備え、ラベル判断手段が識別情報と対応すると判断したとき、第1の通信手段は、識別情報と対応したセッションを介して前記受信されたパケットから得られるデータをサーバに送信する。 According to the embodiment of the present invention, the process processed by the communication terminal transmits a packet including the label via the second network, and the second communication means includes the packet including the label transmitted from the communication terminal. And the gateway apparatus includes a label determination unit that determines whether the label included in the packet received by the second communication unit corresponds to the identification information, and the label determination unit corresponds to the identification information. When determined, the first communication means transmits data obtained from the received packet to the server via the session corresponding to the identification information.
この構成により、ゲートウェイ装置が通信端末によって送信されたパケットに含まれるラベルと識別情報とが対応すると判断したとき、受信されたパケットから得られるデータをサーバに送信するため、通信端末が送信したデータをサーバと接続されるネットワークに流出することを制限し、通信端末に関わる情報および通信端末の利用者に関わる情報の漏洩を防止することができる。 With this configuration, when the gateway device determines that the label included in the packet transmitted by the communication terminal corresponds to the identification information, the data transmitted from the communication terminal is transmitted to the server to transmit data obtained from the received packet. Can be prevented from leaking to the network connected to the server, and information related to the communication terminal and information related to the user of the communication terminal can be prevented from leaking.
本発明の実施態様によれば、ゲートウェイ装置によって処理されるプロセスは、第1の通信手段が受信したセッションの識別情報に対応するセキュリティラベルにしたがってゲートウェイ装置のリソースに対するアクセス制御を行う。 According to the embodiment of the present invention, the process processed by the gateway device performs access control on the resources of the gateway device according to the security label corresponding to the session identification information received by the first communication means.
この構成により、ゲートウェイ装置によって処理されるプロセスは、受信したセッションの識別情報に対応するセキュリティラベルにしたがってゲートウェイ装置のリソースに対するアクセス制御を行うため、ゲートウェイ装置のリソースに対するアクセスを制限させ、ゲートウェイ装置の安全性を高めることができる。 With this configuration, the process processed by the gateway device performs access control on the resource of the gateway device according to the security label corresponding to the received identification information of the session. Safety can be increased.
本発明の実施態様によれば、ゲートウェイ装置によって処理されるプロセスは、第2の通信手段が受信したパケットに含まれるラベルにしたがってゲートウェイ装置のリソースに対するアクセス制御を行う。 According to the embodiment of the present invention, the process processed by the gateway device performs access control on the resources of the gateway device according to the label included in the packet received by the second communication means.
この構成により、ゲートウェイ装置によって処理されるプロセスは、受信したパケットに含まれるラベルにしたがってゲートウェイ装置のリソースに対するアクセス制御を行うため、ゲートウェイ装置のリソースに対するアクセスを制限させ、ゲートウェイ装置の安全性を高めることができる。 With this configuration, the process processed by the gateway device performs access control on the resource of the gateway device in accordance with the label included in the received packet, thereby restricting access to the resource of the gateway device and improving the safety of the gateway device. be able to.
本発明の実施態様によれば、サーバによって処理されるプロセスが、ラベルを含むラベルパケットをセッションを介して送信し、第1の通信手段は、サーバから送信されたラベルパケットを受信し、ゲートウェイ装置によって処理されるプロセスは、第1の通信手段が受信したラベルパケットに含まれるラベルにしたがってゲートウェイ装置のリソースに対するアクセス制御を行う。 According to the embodiment of the present invention, the process processed by the server transmits the label packet including the label via the session, and the first communication unit receives the label packet transmitted from the server, and the gateway device The process processed by the control unit performs access control on the resources of the gateway device according to the label included in the label packet received by the first communication unit.
この構成により、サーバによって処理されるプロセスがセッションを介してラベルパケットを転送することにより、ゲートウェイ装置によって処理されるプロセスが、サーバによって処理されるプロセス毎に、ゲートウェイ装置のリソースに対してよりきめ細かいアクセス制御を行うことができる。 With this configuration, the process processed by the server transfers the label packet through the session, so that the process processed by the gateway device is more fine-tuned with respect to the resources of the gateway device for each process processed by the server. Access control can be performed.
本発明の実施態様によれば、ゲートウェイ装置は、各通信端末から使用中の前記ラベルを収集するラベル収集手段と、ラベル収集手段が収集したラベルが既に使用済であったとき、他のラベルを使用するように通信端末と交渉する交渉手段とを有している。 According to the embodiment of the present invention, the gateway device collects the label in use from each communication terminal, and when the label collected by the label collection unit has already been used, another label is used. Negotiation means for negotiating with the communication terminal for use.
この構成により、ゲートウェイ装置が各通信端末から使用中のラベルを収集し、収集したラベルが既に使用済であったとき、他のラベルを使用するように通信端末と交渉するため、各通信端末が使用するラベルの重複を避けることができ、各通信端末でラベルを分散管理することができる。 With this configuration, the gateway device collects labels in use from each communication terminal, and when the collected labels are already used, each communication terminal negotiates with the communication terminal to use another label. Duplication of labels to be used can be avoided, and labels can be distributed and managed in each communication terminal.
本発明の実施態様によれば、ゲートウェイ装置は、通信端末によって使用されるラベルを通知するための通知情報を通信端末から受信するラベル通知情報受信手段と、ラベル通知情報受信手段によって受信された通知情報が示すラベルが既に使用済であったとき、他のラベルを使用するように通信端末と交渉する交渉手段とを有している。 According to the embodiment of the present invention, the gateway device receives the notification information for notifying the label used by the communication terminal from the communication terminal, and the notification received by the label notification information receiving means. Negotiation means for negotiating with the communication terminal to use another label when the label indicated by the information has already been used.
この構成により、ゲートウェイ装置が通信端末によって使用されるラベルを通知するための通知情報を通信端末から受信し、受信された通知情報が示すラベルが既に使用済であったとき、他のラベルを使用するように通信端末と交渉するため、各通信端末が使用するラベルの重複を避けることができ、ゲートウェイ装置でラベルを集中管理することができる。 With this configuration, the gateway device receives notification information for notifying the label used by the communication terminal from the communication terminal, and when the label indicated by the received notification information is already used, the other label is used. In order to negotiate with the communication terminal, it is possible to avoid duplication of labels used by each communication terminal and to centrally manage the labels in the gateway device.
本発明は、サービスプロバイダがゲートウェイ装置を介して家電機器などの通信端末にサービスを提供するサービス提供システムにおいて、サービスが提供される通信端末の安全性を高め、通信端末の所有者が通信端末の管理や監視を行う手間を省き、サービスプロバイダに通信端末の管理や監視などの業務委託をさせることができるという効果を奏する。 The present invention provides a service providing system in which a service provider provides a service to a communication terminal such as a home appliance via a gateway device, and improves the safety of the communication terminal to which the service is provided. This eliminates the trouble of performing management and monitoring, and allows the service provider to outsource the management and monitoring of communication terminals.
以下、本発明の実施の態様の形態について図面を参照して詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
[第1の実施の形態]
図1は、本発明の第1の実施の形態によるサービス提供システムのブロック構成図である。図1に示すように、サービス提供システム1は、ネットワーク30およびネットワーク40に接続されたゲートウェイ装置50と、ネットワーク30を介してゲートウェイ装置50と通信可能に接続された1つ以上のサーバ20と、ネットワーク40を介してゲートウェイ装置50と通信可能に接続された1つ以上の通信端末10とを備え、サーバ20がゲートウェイ装置50を介して通信端末10にサービスを提供するようになっている。
[First Embodiment]
FIG. 1 is a block configuration diagram of a service providing system according to a first embodiment of the present invention. As shown in FIG. 1, the
ネットワーク30はインターネットなどであり、ネットワーク40は、家庭内用、データセンタ内、または企業内のネットワークなどである。また、通信端末10は情報家電などを含む。以下、図示した通信端末10の各々を区別する場合には、通信端末10をそれぞれ通信端末10―1、通信端末10―2、通信端末10―3と記載する。例えば、サービス提供システム1は、通信端末10―1がセットトップボックス、通信端末10―2がIP電話、通信端末10―3がウェブサーバであるような構成を有する。また、各通信端末10はPC (Personal Computer) でもよい。
The
通信端末10は、ネットワーク40を介してゲートウェイ装置50と通信する通信部11を有している。また、通信端末10には、SE Linux などのセキュアOSがインストールされている。
The
ところで、セキュアOSの代表的な機能には、強制アクセス制御などがある。アクセス制御を行う通信端末10には、プロセス12が、電子ファイルなどのリソース13に対してアクセスすることを許容するか否かを記述したセキュリティポリシ14が格納されている。セキュアOSをインストールした通信端末10内で生じたプロセス12は、セキュリティポリシ14にしたがって処理される。
By the way, typical functions of the secure OS include forced access control. The
より詳細には、セキュアOSが、プロセス12の属性を示したラベルをプロセス12に付与するようになっている。セキュアOSは、付与されたラベルがリソース13にアクセスを許容するか否かを判断してアクセス制御するようになっている。 More specifically, the secure OS gives a label indicating the attribute of the process 12 to the process 12. The secure OS determines whether or not the given label permits access to the resource 13 and controls access.
また、サービスプロバイダは、サーバ20を有し、サーバ20は、各通信端末10に対するプログラムの導入または更新、もしくは通信端末10のメンテナンスなどに関わるサービスをゲートウェイ装置50を介して行うことができるようになっている。以下、図示したサーバ20の各々を区別する場合には、サーバ20をそれぞれサーバ20―1、サーバ20―2と記載する。例えば、サービス提供システム1は、サーバ20―1がサービスプロバイダA社のサーバであり、サーバ20―2がサービスプロバイダB社のサーバである構成を有する。
Further, the service provider has a
また、本発明の実施の形態のサーバ20とゲートウェイ装置50との間においては、IP secに準拠した通信サービスに関わるサービス情報を送受信する。なお、サーバ20とゲートウエイ装置50との間の通信路は、MPLS (Multiprotocol Label Switching) のLSP (Label Switched Path)、その他、L2T P(Layer 2 Tunneling Protocol)、SSL (Secure Sockets Layer)などの通信プロトコルに準拠した論理的な通信路でもよい。以下、通信プロトコルに準拠した装置間の論理的な通信路をセッションと呼ぶ。サービス情報は、サーバ20とゲートウェイ装置50との間のセッションを介して送受される。
Moreover, between the
図2は、本発明の第1の実施の形態におけるゲートウェイ装置50のブロック構成図である。 図2に示すように、ゲートウェイ装置50は、ラベルデータベース51、セッション確立部52、通信部53、ラベル取得部54、通信部55、およびラベル判断部56を含むように構成されている。
FIG. 2 is a block configuration diagram of the
なお、ラベルデータベース51は、ハードディスクなどの記憶手段を備えて構成されている。通信部53および通信部55は、ネットワーク30、40と接続するためのネットワーク接続デバイスなどを備えて構成されている。また、セッション確立部52、通信部53、ラベル取得部54、通信部55、およびラベル判断部56は、CPUなどの制御手段によって処理されるプログラムのモジュールを備えて構成されている。
The
ラベルデータベース51は、セッションを識別するための識別情報とラベルとを対応させるラベル対応情報を格納するようになっている。ラベル対応情報の一例を表1に示す。また、この例では、識別情報を、IPsecで規定されているSA(セキュリティアソシエーション)から得られる鍵とする。なお、鍵およびラベルは、数値で表せるものである。
The
ここでは、識別情報をSA(セキュリティアソシエーション)から得られる鍵としているが、サーバ20とゲートウェイ装置50との間のセッションを識別可能な識別情報であればいかなるものでもよい。また、ラベル対応情報において、鍵xはラベルaに対応し、鍵yはラベルbに対応し、鍵zはラベルcに対応することを表している。
Here, the identification information is a key obtained from the SA (security association), but any identification information can be used as long as the session between the
また、ラベルデータベース51に格納される他のラベル対応情報の一例を表2に示す。なお、本実施の形態において、ラベルaは、通信端末10―1をメンテナンスするためのサービスに対応、ラベルbは、通信端末10―1を監視するためのサービスに対応、ラベルcは、通信端末10―2をメンテナンスするためのサービスに対応している。
An example of other label correspondence information stored in the
セッション確立部52は、サーバ20との間でセッションを確立させるようになっている。例えば、セッション確立部52は、サービスを提供させるための要求を表す要求情報を通信端末10から受付けて、IP secに準拠して、サーバ20の認証を行うと共に、互いの鍵をサーバ20と交換するなどしてセキュアなセッションを確立させるようになっている。なお、ラベルデータベース51には、ラベル対応情報が予め格納されていてもよく、セッション確立部52は、表1に示したラベル対応情報の鍵をサーバ20と交換するようにしてもよい。
The
また、通信端末10が使用するラベルが要求情報に含まれていた場合、セッション確立部52は、セッションを確立させ、確立させたセッションを識別するための識別情報と通信端末10が使用するラベルとを対応させてラベルデータベース51に格納させるようにしてもよい。
If the request information includes a label used by the
通信部53は、セッション確立部52がサーバ20との間で確立したセッションから、サービス情報を含むパケットを受信するようになっている。例えば、IP secに準拠したセッションが確立した後には、サーバ20がIP secに準拠したIPパケットをゲートウェイ装置50に送信し、通信部53は、サーバ20から送信されたIPパケットを受信するようになっている。
The
ラベル取得部54は、通信部53が受信したセッションの識別情報と対応するラベルを取得するようになっている。例えば、ラベル取得部54は、IP secのSA(セキュリティアソシエーション)から得られる鍵が鍵xであった場合、表1に示したラベル対応情報が格納されているラベルデータベース51から、鍵xと対応するラベルaを取得するようになっている。
The
通信部55は、識別情報を含むパケットから得られるデータおよびラベル取得部54が取得したラベルによって構成されるパケットを、ラベルと対応する通信端末10に送信するようになっている。
The
例えば、通信部55は、IPパケットの暗号化されたペイロードの部分を復号して得られたデータと、ラベル取得部54が取得したラベルとを含むパケットを生成し、生成されたパケットを、表2に示したラベル対応情報に基づいて、ラベルと対応する通信端末10に送信するようになっている。
For example, the
通信端末10は、ゲートウェイ装置50によって送信されたパケットを受信し、通信端末10によって処理されるプロセス12は、受信したパケットを構成するラベルにしたがって通信端末10のリソース13に対するアクセス制御を行うようになっている。
The
例えば、パケットを構成するラベルがラベルaであった場合、通信端末10―1をメンテナンスするためのサービスを処理するプロセス12は、ラベルaにしたがって通信端末10のリソース13(メンテナンス用のリソース)に対するアクセス制御を行うようになっている。換言すれば、このプロセス12は、ラベルaと関係のない通信端末10のリソース13にアクセスすることができない。
For example, when the label constituting the packet is label a, the process 12 for processing the service for maintaining the communication terminal 10-1 performs the process for the resource 13 (maintenance resource) of the
また、通信端末10が、ラベルを含むパケットをゲートウェイ装置50にネットワーク40を介して送信するようになっており、通信部55は、通信端末10から送信されたラベルを含むパケットを受信するようになっている。
Further, the
ラベル判断部56は、通信部55によって受信されたパケットに含まれるラベルと識別情報とが対応するか否かを判断するようになっている。例えば、ラベル判断部56は、表1に示したラベル対応情報に基づいてラベルと対応する識別情報が存在するか否かを判断するようになっている。
The
通信部53は、ラベルと識別情報とが対応すると判断したとき、識別情報と対応したセッションを介して受信されたパケットから得られるデータをサーバ20に送信するようになっている。
When the
次に、本発明の第1の実施の形態によるサービス提供システム1の動作について、図3を参照して説明する。図3は、本発明の第1の実施の形態におけるセッション確立の動作の流れを示すフローチャートである。
Next, the operation of the
まず、通信端末10からの要求情報に応じて、サーバ20とゲートウェイ装置50との間でIPsecなどに準拠してセキュアなセッションが確立される(ステップ101、ステップ102)。セッションが確立したとき、ラベルと識別情報とを対応させたラベル対応情報がラベルデータベース51に格納される(ステップ103)。なお、ラベルデータベース51にラベル対応情報が予め格納されている場合には、ステップ103は省略される。
First, in accordance with request information from the
図4は、本発明の第1の実施の形態において、サーバ20から通信端末10にパケットが中継される動作の流れを示すフローチャートである。まず、サービスを提供するためのパケットが、確立されたセッションによってサーバ20からゲートウェイ装置50に送信される(ステップ104)。
FIG. 4 is a flowchart showing an operation flow in which a packet is relayed from the
次に、サーバ20から送信されたパケットは、通信部53によって受信され(ステップ105)、受信したセッションの識別情報と対応するラベルが、ラベル取得部54によって取得される(ステップ106)。受信した識別情報を含むパケットのペイロードの部分を取り出して得られたデータと、ラベル取得部54によって取得されたラベルを含むパケットが生成される(ステップ107)。生成されたパケットは、通信部55によって通信端末10に送信される(ステップ108)。
Next, the packet transmitted from the
ゲートウェイ装置50から送信されたパケットは、通信端末10によって受信され(ステップ109)、通信端末10内のプロセス12は、受信されたパケットに含まれるラベルにしたがってリソース13に対応するアクセス制御を行う(ステップ110)。
The packet transmitted from the
図5は、本発明の第1の実施の形態において、通信端末10からサーバ20にパケットが中継される動作の流れを示すフローチャートである。まず、ラベルを含むパケットは、通信端末10によってゲートウェイ装置50に送信される(ステップ111)。
FIG. 5 is a flowchart showing an operation flow in which a packet is relayed from the
次に、通信端末10から送信されたパケットが、通信部55によって受信され(ステップ112)、受信されたパケットに含まれるラベルと識別情報とが対応するか否かが、ラベル判断部56によって判断される(ステップ113)。ラベルと識別情報とが対応すると判断されたとき、識別情報と対応したセッションを介して、パケットから得られるデータが、通信部53によってサーバ20に送信される。
Next, the packet transmitted from the
以上説明したように、本発明の第1の実施の形態によるサービス提供システム1は、通信端末10によって処理されるプロセス12は、セッションを識別するための識別情報と対応するラベルにしたがって通信端末10のリソース13に対するアクセス制御を行うため、通信端末10のリソース13に対するアクセスをサーバ20に制限させ、サービスが提供される通信端末10の安全性を高めることができる。また、通信端末10の所有者が通信端末10の管理や監視を行う手間を省き、サービスプロバイダに通信端末10の管理や監視などの業務委託をさせることができる。
As described above, in the
また、ゲートウェイ装置50が通信端末10によって送信されたパケットに含まれるラベルと識別情報とが対応すると判断したとき、受信されたパケットから得られるデータをサーバ20に送信するため、通信端末10が送信したデータをサーバ20と接続されるネットワーク30に流出することを制限し、通信端末10に関わる情報および通信端末10の利用者に関わる情報の漏洩を防止することができる。
When the
[第2の実施の形態]
図6は、本発明の第2の実施の形態によるサービス提供システムのブロック構成図である。図6に示すように、サービス提供システム2は、ネットワーク30およびネットワーク40に接続されたゲートウェイ装置60と、ネットワーク30を介してゲートウェイ装置60と通信可能に接続された1つ以上のサーバ20と、ネットワーク40を介してゲートウェイ装置60と通信可能に接続された1つ以上の通信端末10とを備え、サーバ20がゲートウェイ装置60を介して通信端末10にサービスを提供するようになっている。
[Second Embodiment]
FIG. 6 is a block diagram of a service providing system according to the second embodiment of the present invention. As illustrated in FIG. 6, the
なお、本発明の第2の実施の形態によるサービス提供システム2を構成する構成要素のうち、本発明の第1の実施の形態によるサービス提供システム1を構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
Of the components constituting the
図7は、本発明の第2の実施の形態におけるゲートウェイ装置60のブロック構成図である。図7に示すように、ゲートウェイ装置60は、ラベルデータベース51、セッション確立部52、通信部53、ラベル取得部54、通信部55、ラベル判断部56、およびセキュアオペレーション部57を含むように構成されている。
FIG. 7 is a block configuration diagram of the
なお、本発明の第2の実施の形態によるゲートウェイ装置60を構成する構成要素のうち、本発明の第1の実施の形態によるゲートウェイ装置50を構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
Of the components constituting the
セキュアオペレーション部57は、SE LinuxなどのセキュアOSで構成されている。また、セキュアオペレーション部57は、ゲートウェイ装置60によって処理される各プロセス12を制御し、各プロセス12は、通信部53が受信したセッションの識別情報と対応するセキュリティラベルにしたがってリソース13にアクセスすることを許容するか否かを判断するようになっている。なお、セキュリティラベルおよび第1の実施の形態で説明したラベルは、同等のものである。
The
例えば、セキュアオペレーション部57は、下記の表3に示すようなセキュリティラベル対応情報を有している。鍵は識別情報の一例であり、通信部53が受信したIP secに準拠したパケットに含まれるSA(セキュリティアソシエーション)から得られたものである。また、セキュリティラベルは、例えば、サーバ20との間のセッションを介して受信したパケットを処理するプロセスに対応したラベルである。
For example, the
また、セキュリティラベル対応情報において、鍵xはセキュリティラベルαに対応し、鍵yはセキュリティラベルβに対応し、鍵zはセキュリティラベルγに対応することを表している。 In the security label correspondence information, the key x corresponds to the security label α, the key y corresponds to the security label β, and the key z corresponds to the security label γ.
受信したパケットのペイロード部が暗号化されていた場合、暗号化されたペイロード部を復号するためのプロセスは、鍵と対応するセキュリティラベルにしたがってリソースにアクセスすることを許容するか否かを判断しながら動作するようになっている。 If the payload portion of the received packet is encrypted, the process for decrypting the encrypted payload portion determines whether to allow access to the resource according to the security label corresponding to the key. It is supposed to work while.
例えば、受信したパケットが鍵xで暗号化されていた場合、復号するためのプロセスは、セキュリティラベルαにしたがって、鍵xで暗号化されたパケットのペイロード部を復号でき、鍵yで暗号化されたパケットのペイロード部を復号することはできない。 For example, if the received packet is encrypted with the key x, the decryption process can decrypt the payload part of the packet encrypted with the key x according to the security label α and is encrypted with the key y. The payload part of the received packet cannot be decoded.
また、プロセス12は、復号するためのプロセスだけではなく、映像音声などのコンテンツをデコードするためのプロセスや、ログを収集するためのプロセスなど、ゲートウェイ装置60内で処理されるプロセスを含む。
The process 12 includes not only a process for decoding but also a process processed in the
なお、ゲートウェイ装置60と通信端末10との間の通信は、従来のセキュアOS間の通信方法に準拠してもよく、例えば、セキュアオペレーション部57は、通信部55が受信したパケットに含まれるラベルと対応するセキュリティラベルにしたがってリソース13にアクセスすることを許容するか否かを判断するようにしてもよい。
Note that the communication between the
また、サーバ20にSE LinuxなどのセキュアOSがインストールされている場合には、サーバ20によって処理されるプロセスが、ラベルを含むラベルパケットをセッションを介して送信するようになっている。この場合、通信部53は、サーバ20から送信されたラベルパケットを受信し、ゲートウェイ装置60によって処理されるプロセス12は、通信部53が受信したラベルパケットに含まれるラベルにしたがってゲートウェイ装置60のリソースに対するアクセス制御を行うようにしてもよい。
When a secure OS such as SE Linux is installed in the
以上説明したように、本発明の第2の実施の形態によるサービス提供システム2は、ゲートウェイ装置60によって処理されるプロセス12は、受信したセッションの識別情報やパケットに含まれるラベルと対応するセキュリティラベルにしたがってゲートウェイ装置60のリソース13に対するアクセス制御を行うため、ゲートウェイ装置60のリソース13に対するアクセスを制限させ、ゲートウェイ装置60の安全性を高めることができる。
As described above, in the
また、サーバ20によって処理されるプロセスがセッションを介してラベルパケットを転送することにより、ゲートウェイ装置60によって処理されるプロセス12が、サーバ20によって処理されるプロセス毎に、ゲートウェイ装置60のリソースに対してよりきめ細かいアクセス制御を行うことができる。
In addition, the process processed by the
[第3の実施の形態]
図8は、本発明の第3の実施の形態によるサービス提供システムのブロック構成図である。図8に示すように、サービス提供システム3は、ネットワーク30およびネットワーク40に接続されたゲートウェイ装置70と、ネットワーク30を介してゲートウェイ装置70と通信可能に接続された1つ以上のサーバ20と、ネットワーク40を介してゲートウェイ装置70と通信可能に接続された1つ以上のサーバ20と、ネットワーク40を介してゲートウェイ装置70と通信可能に接続された1つ以上の通信端末50とを備え、サーバ20がゲートウェイ装置70を介して通信端末50にサービスを提供するようになっている。
[Third Embodiment]
FIG. 8 is a block diagram of a service providing system according to the third embodiment of the present invention. As illustrated in FIG. 8, the
なお、本発明の第3の実施の形態によるサービス提供システム3を構成する構成要素のうち、本発明の第2の実施の形態によるサービス提供システム2を構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
Of the components constituting the
通信端末50は、情報家電など含み、以下、図示した通信端末50の各々を区別する場合には、通信端末50をそれぞれ通信端末50―1、通信端末50―2、通信端末50―3と記載する。例えば、サービル提供システム3は、通信端末50―1がセットトップボックス、通信端末50―2がIP電話、通信端末50―3がウェブサーバであるような構成を有する。また、各通信端末50はPC (Personal Computer)でもよい。
The
通信端末50は、ネットワーク40を介してゲートウェイ装置70と通信する通信部11およびラベルに関する情報を制御するラベル情報制御部16を有している。また、通信端末50には、SE LinuxなどのセキュアOSがインストールされている。サーバ20からサービスを提供させる場合には、セキュアOSが、サービス提供用のプロセス生成し、生成されたプロセスが送受するパケットに対するラベルを割当てるようになっている。
The
図9は、本発明の第3の実施の形態におけるゲートウェイ装置70のブロック構成図である。図9に示すように、ゲートウェイ装置70は、ラベルデータベース51、セッション確立部52、通信部53、ラベル取得部54、通信部55、ラベル判断部56、セキュアオペレーション部57、およびラベル情報制御部58を含むように構成されている。
FIG. 9 is a block configuration diagram of the
なお、本発明の第3の実施の形態によるゲートウェイ装置70を構成する構成要素のうち、本発明の第2の実施の形態によるゲートウェイ装置60を構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
Of the components constituting the
ラベル情報制御部58は、ラベルに関する情報を制御するようになっており、CPUなどの制御手段によって処理されるプログラムのモジュールを備えて構成されている。また、ラベル情報制御部58はラベル収集部58aと交渉部58bを有する。
The label
ラベル収集部58aは、各通信端末50から使用中のラベルを収集するようになっている。例えば、ラベル収集部58aは、使用中のラベルを通信端末50に問い合わせるための問い合せ情報をそれぞれの通信端末50に送信し、問い合せ情報に対する応答情報を受信して、受信したそれぞれの応答情報に含まれるラベルを収集し、収集したラベルに関する情報をラベルデータベース51に格納するようになっている。
The
なお、ラベル収集部58aは、IP secやSSLなどのセキュアなセッションを通信端末50と確立させた状態で、セキュアなセッションを介してラベルを収集するようにしてもよい。
The
交渉部58bは、ラベル収集部58aが収集したラベルが既に使用済であったとき、他のラベルを使用するように通信端末50のいずれかと交渉するようになっている。
When the label collected by the
例えば、ラベル収集部58aは、通信端末50―1が使用しているラベルを収集し、収集したラベルをラベルデータベース51に格納し、次に、通信端末50―2が使用しているラベルを収集して、通信端末50―2が使用しているラベルと、通信端末50―1が使用しているラベルと同じであったとき、交渉部58bは、同じであったラベルから他のラベルに変更させるための変更情報を通信端末50―2に送信することにより、通信端末50―2と交渉するようになっている。なお、このとき、交渉部58bは、変更情報を通信端末50―1に送信することにより、通信端末50―2に代えて通信端末50―1と交渉してもよい。
For example, the
また、ラベル収集部58aがラベルデータベース51に格納したラベルに関する情報の一例としては、表2に示した情報のようになる。なお、表2に示した情報では通信端末10としているが、ここでは、通信端末50と読み替える。
Moreover, as an example of the information regarding the label stored in the
以下、本発明の第3の実施の形態によるサービス提供システム3の動作について、図10を参照して説明する。図10は、本発明の第3の実施の形態によるサービス提供システム3の動作の流れを示すフローチャートである。
The operation of the
まず、問い合せ情報は、ラベル収集部58aによって通信端末50に送信される(ステップ301)。次に、ゲートウェイ装置70から送信された問い合せ情報が、ラベル情報制御部16によって受信される(ステップ302)。受信された問い合せ情報に応じて使用中のラベルは、応答情報に含められ、この応答情報が、ラベル情報制御部16によってゲートウェイ装置70に送信される(ステップ303)。
First, the inquiry information is transmitted to the
通信端末50から送信された応答情報は、ラベル収集部58aによって受信され、応答情報に含まれる使用中のラベルがラベルデータベース51に格納される(ステップ304)。
The response information transmitted from the
また、応答情報に含まれる使用中のラベルが、既に他の通信端末50に使用されているか否か、交渉部58bによって確認される(ステップ305)。ラベルが既に他の通信端末50に使用されていたとき、交渉部58bは、使用中のラベルから他のラベルに変更するように通信端末50のラベル情報制御部16と交渉する(ステップ306、ステップ307)。
Further, the negotiation unit 58b confirms whether the label in use included in the response information is already used by another communication terminal 50 (step 305). When the label has already been used for another
この他、ラベル収集部58aが、各通信端末50の使用中のラベルを定期的に収集して、同じラベルが使用されないように各通信端末50との交渉が、交渉部58bによって行われるようにしてもよい。
In addition, the
以上説明したように、本発明の第3の実施の形態によるサービス提供システム3は、ゲートウェイ装置70が各通信端末50から使用中のラベルを収集し、収集したラベルが既に使用済であったとき、他のラベルを使用するように通信端末50と交渉するため、各通信端末50が使用するラベルの重複を避けることができ、各通信端末50でラベルを分散管理することができる。
As described above, in the
[第4の実施の形態]
図11は、本発明の第4の実施の形態によるサービス提供システムのブロック構成図である。図11に示すように、サービス提供システム4は、ネットワーク30およびネットワーク40に接続されたゲートウェイ装置80と、ネットワーク30を介してゲートウェイ装置80と通信可能に接続された1つ以上のサーバ20と、ネットワーク40を介してゲートウェイ装置80と通信可能に接続された1つ以上の通信端末60とを備え、サーバ20がゲートウェイ装置80を介して通信端末60にサービスを提供するようになっている。
[Fourth Embodiment]
FIG. 11 is a block diagram of a service providing system according to the fourth embodiment of the present invention. As shown in FIG. 11, the
なお、本発明の第4の実施の形態によるサービス提供システム4を構成する構成要素のうち、本発明の第2の実施の形態によるサービス提供システム2を構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
Of the components constituting the
通信端末60は情報家電など含み、以下、図示した通信端末60の各々を区別する場合には、通信端末60をそれぞれ通信端末60―1、通信端末60―2、通信端末60―3と記載する。例えば、サービス提供システム4は、通信端末60―1がセットトップボックス、通信端末60―2がIP電話、通信端末60―3がウェブサーバであるような構成を有する。また、各通信端末50はPC (Personal Computer)でもよい。
The
通信端末60は、ネットワーク40を介してゲートウェイ装置80と通信する通信部11およびラベルに関する情報を制御するラベル情報制御部17を有している。また、通信端末60には、SE LinuxなどのセキュアOSがインストールされている。サーバ20からサービスを提供させる場合には、セキュアOSが、サービス提供用のプロセスを生成し、生成されたプロセスが送受するパケットに対するラベルを割当てるようになっている。通信端末60は、割当てたラベルを通知するための通知情報をゲートウェイ装置80に送信するようになっている。なお、通信端末60は、IPsecやSSLなどのセキュアなセッションをゲートウェイ装置80と確立させた状態で、セキュアなセッションを介して通知情報をゲートウェイ装置80に送信するようにしてもよい。
The
図12は、本発明の第4の実施の形態におけるゲートウェイ装置80のブロック構成図である。図12に示すように、ゲートウェイ装置80は、ラベルデータベース51、セッション確立部52、通信部53、ラベル取得部54、通信部55、ラベル判断部56、セキュアオペレーション部57、およびラベル情報制御部59を含むように構成されている。
FIG. 12 is a block configuration diagram of the
なお、本発明の第4の実施の形態におけるゲートウエイ装置80を構成する構成要素のうち、本発明の第2の実施の形態におけるゲートウエイ装置60を構成する構成要素と同一の構成要素には同一の符号を付し、それぞれ説明を省略する。
Of the components constituting the
ラベル制御部59は、ラベルに関する情報を制御するようになっており、CPUなどの制御手段によって処理されるプログラムのモジュールを備えて構成されている。また、ラベル情報制御部59はラベル通知情報受信部59aと交渉部59bを有する。
The
ラベル通知情報受信部59aは、通信端末60によって使用されるラベルを通知するための通知情報を通信端末60から受信するようになっている。例えば、通信端末60のプロセス12が起動したとき、ラベル通知情報受信部59aは、プロセス12と対応するラベルを表す通知情報を通信端末60から受信し、受信した通知情報が示すラベルをラベルデータベース51に格納するようになっている。
The label notification information receiving unit 59a is configured to receive notification information for notifying the label used by the
また、ラベル通知情報受信部59aがラベルデータベース51に格納したラベルに関する情報の一例としては、表2に示した情報のようになる。なお、表2に示した情報では通信端末10としているが、ここでは、通信端末60と読み替える。
Moreover, as an example of the information regarding the label stored in the
ラベル通知情報受信部59aによって受信された通知情報が示すラベルが既に使用済であったとき、交渉部59bは、他のラベルを使用するように、通知情報を送信した通信端末60と交渉するようになっている。例えば、ラベルが、既にラベルデータベース51に格納されたラベルと同一であったとき、交渉部59bは、使用済であったラベルから他のラベルに変更させるための変更情報を、通信端末60に送信することにより、通信端末60と交渉するようになっている。
When the label indicated by the notification information received by the label notification information receiving unit 59a has already been used, the negotiation unit 59b negotiates with the
以下、本発明の第4の実施の形態によるサービス提供システム4の動作について、図13を参照して説明する。図13は、本発明の第4の実施の形態によるサービス提供システム4の動作の流れを示すフローチャートである。
The operation of the
まず、通信端末60によって割当てられたラベルを通知するための通知情報が、ラベル情報制御部17によってゲートウェイ装置70に送信される(ステップ401)。通信端末60から送信された通知情報は、ラベル通知情報受信部59aによって受信され、ラベルデータベース51に格納される(ステップ402)。
First, notification information for notifying the label assigned by the
また、ラベル通知情報受信部59aによって受信された通知情報が示すラベルが、既に使用済であるか否かが確認され(ステップ403)、既に使用済であったとき、交渉部59bは、同じであったラベルから他のラベルに変更するように、通信端末60のラベル情報制御部17と交渉する(ステップ404、ステップ405)。
Further, it is confirmed whether or not the label indicated by the notification information received by the label notification information receiving unit 59a has already been used (step 403). When the label has already been used, the negotiation unit 59b is the same. Negotiations are made with the label information control unit 17 of the
以上説明したように、本発明の第4の実施の形態によるサービス提供システム4は、ゲートウェイ装置80が、通信端末60によって使用されるラベルを通知するための通知情報を通信端末60から受信し、受信された通知情報が示すラベルが既に使用済であったとき、他のラベルを使用するように通信端末60と交渉するため、各通信端末60が使用するラベルの重複を避けることができ、ゲートウェイ装置80でラベルを集中管理することができる。
As described above, in the
なお、以上説明したゲートウェイ装置の機能は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD―ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。 In addition to the functions of the gateway device described above being realized by dedicated hardware, a program for realizing the functions is recorded on a computer-readable recording medium and recorded on the recording medium. The program may be read into a computer system and executed. The computer-readable recording medium refers to a recording medium such as a floppy disk, a magneto-optical disk, a CD-ROM, or a storage device such as a hard disk device built in the computer system. Furthermore, a computer-readable recording medium is a server that dynamically holds a program (transmission medium or transmission wave) for a short period of time, as in the case of transmitting a program via the Internet, and a server in that case. Some of them hold programs for a certain period of time, such as volatile memory inside computer systems.
1、2、3、4 サービス提供システム
10、50、60 通信端末
11 通信部
12 プロセス
13 リソース
14 セキュリティポリシ
20 サーバ
30、40 ネットワーク
16、17 ラベル情報制御部
50、60、70、80 ゲートウェイ装置
51 ラベルデータベース
52 セッション確立部
53、55 通信部
54 ラベル取得部
56 ラベル判断部
57 セキュアオペレーション部
58、59 ラベル情報制御部
58a ラベル収集部
58b、59b 交渉部
59a ラベル通知情報受信部
101〜114、301〜307、401〜405 ステップ
1, 2, 3, 4
Claims (14)
前記ゲートウェイ装置は、
前記サーバとの間でセッションを確立させ、確立させたセッションの識別情報を保持するセッション確立手段と、
前記サーバとの間で確立させたセッションからパケットを受信する第1の通信手段と、
前記第1の通信手段が受信したセッションの識別情報と対応するラベルを取得するラベル取得手段と、
前記セッションから受信したパケットから得られるデータおよび前記ラベル取得手段が取得したラベルによって構成されるパケットを、前記ラベルと対応する通信端末に送信する第2の通信手段とを有し、
前記通信端末は、前記ゲートウェイ装置によって送信されたパケットを受信し、前記通信端末によって処理されるるプロセスは、受信したパケットを構成するラベルにしたがって前記通信端末のリソースに対するアクセス制御を行う、
サービス提供システム。 A gateway device connected to the first network and the second network, one or more servers communicably connected to the gateway device via the first network, and via the second network One or more communication terminals communicably connected to the gateway device, wherein the server provides a service to the communication terminal via the gateway device,
The gateway device is
Session establishment means for establishing a session with the server and holding identification information of the established session;
First communication means for receiving a packet from a session established with the server;
Label obtaining means for obtaining a label corresponding to the identification information of the session received by the first communication means;
Second communication means for transmitting a packet constituted by data obtained from the packet received from the session and a label acquired by the label acquisition means to a communication terminal corresponding to the label;
The communication terminal receives a packet transmitted by the gateway device, and a process processed by the communication terminal performs access control on resources of the communication terminal according to a label constituting the received packet.
Service provision system.
前記第2の通信手段は、前記通信端末から送信されたラベルを含むパケットを受信し、
前記ゲートウェイ装置は、
前記第2の通信手段にょって受信されたパケットに含まれるラベルと前記識別情報とが対応するか否かを判断するラベル判断手段を備え、
前記ラベル判断手段が前記識別情報と対応すると判断したとき、前記第1の通信手段は、前記識別情報と対応したセッションを介して前記受信されたパケットから得られるデータを前記サーバに送信する、
請求項1に記載のサービス提供システム。 A process processed by the communication terminal transmits a packet including a label via the second network;
The second communication means receives a packet including a label transmitted from the communication terminal,
The gateway device is
Label judging means for judging whether or not the label included in the packet received by the second communication means corresponds to the identification information;
When the label determining means determines that it corresponds to the identification information, the first communication means transmits data obtained from the received packet to the server via a session corresponding to the identification information.
The service providing system according to claim 1.
請求項1または請求項2に記載のサービス提供システム。 The process processed by the gateway device performs access control on the resources of the gateway device according to a label corresponding to the identification information of the session received by the first communication unit.
The service providing system according to claim 1 or 2.
請求項1または請求項2に記載のサービス提供システム。 The process processed by the gateway device performs access control on the resources of the gateway device according to a label included in the packet received by the second communication unit.
The service providing system according to claim 1 or 2.
前記第1の通信手段は、前記サーバから送信されたラベルパケットを受信し、前記ゲートウエイ装置によって処理されるプロセスは、前記第1の通信手段が受信したラベルパケットに含まれるラベルにしたがって前記ゲートウェイ装置のリソースに対するアクセス制御を行う、
請求項1または請求項2に記載のサービス提供システム。 A process handled by the server sends a label packet containing a label over the session;
The first communication unit receives a label packet transmitted from the server, and a process processed by the gateway device is performed according to a label included in the label packet received by the first communication unit. Control access to other resources,
The service providing system according to claim 1 or 2.
各前記通信端末から使用中の前記ラベルを収集するラベル収集手段と、
前記ラベル収集手段が収集したラベルが既に使用済であったとき、他のラベルを使用するように前記通信端末と交渉する交渉手段と
を備えている請求項1から請求項5までのいずれかに記載のサービス提供システム。 The gateway device is
Label collecting means for collecting the label in use from each of the communication terminals;
The negotiation means for negotiating with the communication terminal so as to use another label when the label collected by the label collection means has already been used. The service provision system described.
前記通信端末によって使用されるラベルを通知するための通知情報を前記通信端末から受信するラベル通知情報受信手段と、
前記ラベル通知情報受信手段によって受信された通知情報が示すラベルが既に使用済であったとき、他のラベルを使用するように前記通信端末と交渉する交渉手段と
を備えている、請求項1から請求項5までのいずれかに記載のサービス提供システム。 The gateway device is
Label notification information receiving means for receiving notification information for notifying a label used by the communication terminal from the communication terminal;
From the claim 1, comprising: negotiation means for negotiating with the communication terminal to use another label when the label indicated by the notification information received by the label notification information receiving means has already been used. The service providing system according to claim 5.
前記サーバとの間でセッションを確立させ、確立させたセッションの識別情報を保持するセッション確立手段と、
前記サーバとの間で確立させたセッションからパケットを受信する第1の通信手段と、
前記第1の通信手段が受信したセッションの識別情報と対応するラベルを取得するラベル取得手段と、
前記セッションから受信したパケットから得られるデータおよび前記ラベル取得手段が取得したラベルによって構成されるパケットを、前記ラベルと対応する通信端末に送信する第2の通信手段と
を有するゲートウェイ装置。 The first server is communicably connected to one or more servers, the second network is communicably connected to one or more communication terminals, and the server provides services to the communication terminals. A gateway device for
Session establishment means for establishing a session with the server and holding identification information of the established session;
First communication means for receiving a packet from a session established with the server;
Label obtaining means for obtaining a label corresponding to the identification information of the session received by the first communication means;
And a second communication unit configured to transmit a packet including data obtained from the packet received from the session and a label acquired by the label acquisition unit to a communication terminal corresponding to the label.
前記第2の通信手段にょって受信されたパケットに含まれるラベルと前記識別情報とが対応するか否かを判断するラベル判断手段を備え、
前記ラベル判断手段が前記識別情報と対応すると判断したとき、前記第1の通信手段は、前記識別情報と対応したセッションを介して前記受信されたパケットから得られるデータを前記サーバに送信する、
請求項8に記載のゲートウェイ装置。 The second communication means receives a packet including a label transmitted from the communication terminal,
Label judging means for judging whether or not the label included in the packet received by the second communication means corresponds to the identification information;
When the label determining means determines that it corresponds to the identification information, the first communication means transmits data obtained from the received packet to the server via a session corresponding to the identification information.
The gateway device according to claim 8.
請求項8または請求項9に記載のゲートウェイ装置。 The process processed by the gateway device performs access control on the resources of the gateway device according to the label corresponding to the session identification information received by the first communication means.
The gateway device according to claim 8 or 9.
請求項8または請求項9に記載のゲートウェイ装置。 The process processed by the gateway device performs access control on the resources of the gateway device according to a label included in the packet received by the second communication unit.
The gateway device according to claim 8 or 9.
請求項8または請求項9に記載のゲートウェイ装置。 The first communication means receives a label packet including a label transmitted from the server, and a process processed by the gateway device applies a label included in the label packet received by the first communication means. Therefore, access control to the resources of the gateway device is performed.
The gateway device according to claim 8 or 9.
前記ラベル収集手段が収集したラベルが既に使用済であったとき、他のラベルを使用するように前記通信端末と交渉する交渉手段と
をさらに備えている請求項8から請求項12までのいずれかに記載のゲートウェイ装置。 Label collecting means for collecting the label in use from each of the communication terminals;
The negotiation means for negotiating with the communication terminal to use another label when the label collected by the label collection means has already been used, further comprising: The gateway device described in 1.
受信するラベル通知情報受信手段と、
前記ラベル通知情報受信手段によって受信された通知情報が示すラベルが既に使用済であったとき、他のラベルを使用するように前記通信端末と交渉する交渉手段と
をさらに備えている、請求項8から請求項12までのいずれかに記載のゲートウェイ装置。
Label notification information receiving means for receiving notification information for notifying a label used by the communication terminal from the communication terminal;
9. A negotiation means for negotiating with the communication terminal to use another label when the label indicated by the notification information received by the label notification information receiving means has already been used. The gateway device according to claim 12.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004035273A JP4167603B2 (en) | 2004-02-12 | 2004-02-12 | Service providing system and gateway device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004035273A JP4167603B2 (en) | 2004-02-12 | 2004-02-12 | Service providing system and gateway device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005229288A JP2005229288A (en) | 2005-08-25 |
JP4167603B2 true JP4167603B2 (en) | 2008-10-15 |
Family
ID=35003670
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004035273A Expired - Fee Related JP4167603B2 (en) | 2004-02-12 | 2004-02-12 | Service providing system and gateway device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4167603B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5435231B2 (en) * | 2010-03-04 | 2014-03-05 | 日本電気株式会社 | E-mail processing apparatus, e-mail processing method, and e-mail processing program |
CN116249130A (en) * | 2021-12-07 | 2023-06-09 | 中兴通讯股份有限公司 | Information processing method, electronic equipment and storage medium |
-
2004
- 2004-02-12 JP JP2004035273A patent/JP4167603B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2005229288A (en) | 2005-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3995338B2 (en) | Network connection control method and system | |
EP0883270B1 (en) | A distributed network computing system | |
CN101714979B (en) | Management apparatus and information processing apparatus, control method of the management apparatus | |
US7610380B2 (en) | Information processing device, access control processing method, and computer program | |
US8813243B2 (en) | Reducing a size of a security-related data object stored on a token | |
TWI271967B (en) | Home terminal apparatus, communication system, communication method, and recording media | |
US6813715B2 (en) | Method for accessing home-network using home-gateway and home-portal server and apparatus thereof | |
US7631181B2 (en) | Communication apparatus and method, and program for applying security policy | |
JP4349365B2 (en) | Control information transmission method, relay server, and controlled device | |
US20060280127A1 (en) | Domestic network setting method, home gateway device, home gateway program, and recording medium | |
JPWO2005101217A1 (en) | Address translation method, access control method, and apparatus using those methods | |
WO2007064169A1 (en) | Method and apparatus for transmitting message in heterogeneous federated environment, and method and apparatus for providing service using the message | |
US10218681B2 (en) | Home network controlling apparatus and method to obtain encrypted control information | |
JP5043953B2 (en) | Resource transmission method and information providing method | |
JP2005223892A (en) | Digital certificate revocation method, digital certificate revocation apparatus, digital certificate revocation system, program and recording medium | |
JP3864743B2 (en) | Firewall device, information device, and information device communication method | |
JP4802105B2 (en) | Information network operating method and system for content publication | |
US20050135269A1 (en) | Automatic configuration of a virtual private network | |
JP3833652B2 (en) | Network system, server device, and authentication method | |
JP2012064007A (en) | Information processor, communication relay method and program | |
JP4167603B2 (en) | Service providing system and gateway device | |
US7840666B2 (en) | Device, control method of the device, and program for causing computer to execute the control method | |
CN112511620A (en) | Network communication method, device, equipment and storage medium | |
JP2010092407A (en) | Authentication information processing apparatus, authentication information transmission method, and authentication method | |
JP2014219826A (en) | Information processing system, information processor and information processing program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050623 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060417 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080723 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080801 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110808 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120808 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130808 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |