JP4260116B2 - 安全な仮想プライベート・ネットワーク - Google Patents

安全な仮想プライベート・ネットワーク Download PDF

Info

Publication number
JP4260116B2
JP4260116B2 JP2004572115A JP2004572115A JP4260116B2 JP 4260116 B2 JP4260116 B2 JP 4260116B2 JP 2004572115 A JP2004572115 A JP 2004572115A JP 2004572115 A JP2004572115 A JP 2004572115A JP 4260116 B2 JP4260116 B2 JP 4260116B2
Authority
JP
Japan
Prior art keywords
network
external
connection
internal network
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004572115A
Other languages
English (en)
Other versions
JPWO2004105333A1 (ja
Inventor
徹 上和田
俊浩 園田
淳 河合
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2004105333A1 publication Critical patent/JPWO2004105333A1/ja
Application granted granted Critical
Publication of JP4260116B2 publication Critical patent/JP4260116B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、外部からのアクセスに対して安全な仮想プライベート・ネットワークに関し、特に、高いセキュリティ方式に従った外部情報処理装置から外部ネットワークを介した内部ネットワーク上の機器への接続のための処理に関する。
例えばインターネットのような外部ネットワークに接続された情報処理端末から、例えば家庭内ローカルエリア・ネットワークのような内部ネットワーク接続された装置へリモート・アクセスするために、その情報処理端末は、内部ネットワークと外部ネットワークの間に介在するゲートウェイ装置の外部ネットワーク用グローバルIPアドレスを取得する必要がある。その情報処理端末は、宛先アドレスとしてその取得したIPアドレスを用いてゲートウェイ装置へアクセスする。
通常、インターネットへ接続するための家庭の情報処理装置用のグローバルIPアドレスは、インターネット・サービス・プロバイダ(ISP)によってDHCP(Dynamic Host Configuration Protocol)に従ってその情報処理装置に動的に割り当てられる。従って、外部情報処理端末は、ゲートウェイ装置のインターネット用グローバルIPアドレスを予め取得することはできない。
前田によって平成14年1月31日に公開された特開2002−32342号公報(A)には認証システムが記載されている。このシステムでは、クライアントが情報端末でユーザIDやパスワードで入力した際に、ダイヤルアップ番号を取込み、情報端末を確認の上、生成したワンタイム・ユーザID、ワンタイム・パスワードによりファイアウォール・サーバで、認証したものしか、情報端末とホストコンピュータとのインターネットによるデータ送受信を認めない。
特開2002−32342号公報
一方、典型例のダイナミックDSNサービスとして、ゲートウェイ装置によってその動的グローバルIPアドレスを、インターネット用の固定的グローバルIPアドレスを有するサーバに登録することによって、ゲートウェイ装置のグローバルIPアドレスを公開する方法が知られている。ゲートウェイ装置は、グローバルIPアドレスが変更されるたびに、または定期的に、そのサーバに自己の現在のグローバルIPアドレスを登録しまたは更新する。外部情報処理端末は、そのサーバにおける登録されたゲートウェイ装置の動的グローバルIPアドレスを先に取得し、次いでそのIPアドレスを用いてゲートウェイ装置にアクセスする。
しかし、そのようにゲートウェイ装置のIPアドレスをサーバに登録して公開すると、ゲートウェイ装置のIPアドレスが第三者によって知られて、ゲートウェイ装置が不正にアクセスされる恐れがある。
上述の問題に対処するために、登録用のそのサーバに認証機能を付与することができる。外部情報処理端末がゲートウェイ装置に対するアクセス権を有するかどうかを、その認証サーバによって判定してもよい。それがアクセス権を有すると判定された場合に、そのサーバは、ゲートウェイ装置によって提供されるWWWサービス用の固有のURI(Uniformed Resource Identifier)またはURLをその外部情報処理端末に送信する。このように、サーバは、安全に外部情報処理端末にゲートウェイ装置のIPアドレスを通知することができる。その外部情報処理端末はそのURIを用いてそのWWWサービスにアクセスできる。それによって、第三者によるゲートウェイ装置への不正なアクセスが防止できる。
発明者たちは、上述の方法では、外部情報処理端末は、ゲートウェイ装置におけるWWWサービスにしかアクセスできず、内部ネットワーク装置向けのサービスを利用できないという問題があることを認識した。
一方、ゲートウェイ装置に仮想プライベート・ネットワーク(VPN)のサーバ機能を付与することができる。そのサーバ機能は、外部情報処理端末からインターネットを介して接続されたときに、外部情報処理端末との間に仮想的に内部ネットワークの間の接続を確立し、それによって内部ネットワーク向けのゲートウェイ装置のサービスを外部情報処理端末に提供するように構成できる。そのために、外部情報処理端末は、上述のように認証サーバから安全にゲートウェイ装置のIPアドレスを取得してもよい。しかし、VPNサーバ機能がインターネットを介して外部にサービスを提供している間に、VPNサーバに対する第三者による不正なアクセスによって内部ネットワークに侵入される恐れがある。また、VPN接続の確立時には、通常、パスワード等によって認証を行うが、異なるサービスに対して異なるパスワードを使用しなければならず、認証を必要とするサービスが増えるにしたがってユーザが記憶しなければならないパスワードの数が多くなり、ユーザはパスワードを忘れるかもしれない。
発明者たちは、ユーザの手間を増大させることなく、ゲートウェイ装置のVPNサーバ機能によって内部ネットワーク装置向けのサービスをより安全に外部情報処理端末に提供することに対するニーズ(必要性)があると認識した。
本発明の目的は、内部ネットワーク装置向けのサービスをより安全に外部情報処理装置に提供することである。
発明の概要
本発明の特徴によれば、ゲートウェイ装置は、内部ネットワークと外部ネットワークとに接続可能であって、ゲートウェイ装置のグローバルアドレスと、内部ネットワークへの接続を許容する端末装置の識別情報とを管理する情報管理手段を具えている。情報管理手段は、その内部ネットワークへの接続を許容する端末装置を外部装置において識別させるために、その端末装置の識別情報をその外部ネットワークを介してその外部装置に送信し、その内部ネットワークへの接続を許容する端末装置へその外部装置から送信させるために、そのゲートウェイ装置のグローバル・アドレスをその外部ネットワークを介してその外部装置に送信する。また、その情報管理手段は、その内部ネットワークへの接続を許容された端末装置からの要求を受けたその外部装置からの要求に応答して、ワンタイム・パスワードを、その内部ネットワークへの接続を許容する端末装置へその外部装置から送信させるために、その外部ネットワークを介してその外部装置に送信する。ゲートウェイ装置は、さらに、その内部ネットワークへの接続を許容する端末装置からその外部ネットワークを介して、その外部装置に送信したそのワンタイム・パスワードを含むURIを受信した場合、そのURIを送信したその接続を許容する端末装置にその内部ネットワークへの接続を許容する接続手段と、その外部ネットワークと記内部ネットワークの間で送受信されるパケットのアドレスを変換するアドレス変換手段と、を具えている。その接続手段は、その内部ネットワークを介してその内部ネットワークに接続された複数の機器にサーチ・メッセージを送信し、その複数の機器の中で仮想プライベート・ネットワークを構成し得る機器から利用可能な仮想プライペート・ネットワークのプロトコルを示すプロトコル情報を含む応答メッセージを受信し、その内部ネットワークへの接続を許容する端末装置からその外部ネットワークを介して、その外部装置に送信したそのワンタイム・パスワードを含むURIを受信した場合、そのURIを送信したその端末装置に、その仮想プライベート・ネットワークを構成し得る機器において利用可能なそのプロトコルのリストを送信し、その送信したプロトコルのリストのうちその端末装置において利用されるそのプロトコルを示すプロトコル情報をその端末装置から受信し、その受信したプロトコル情報に示されたプロトコルを用いて構成されるその仮想プライベート・ネットワークにおけるその機器との接続を、その受信したプロトコル情報に示されたプロトコルに基づいて確立する。そのアドレス変換手段は、その接続手段により接続が確立されたその端末装置とその機器とのその仮想プライベート・ネットワークにおいて、その外部ネットワークとその内部ネットワークの間で送受信されるパケットのアドレスをその受信したプロトコル情報に基づいて変換する。
本発明は、上述のゲートウェイ装置を実現するためのプログラムに関する。
本発明は、また、上述のゲートウェイ装置を実現するための方法に関する。
本発明によれば、内部ネットワーク装置向けのサービスをより安全に外部情報処理装置に提供することができる。
図面において同じ要素には同じ参照番号が付されている。
好ましい実施形態の説明
図1は、本発明の実施形態による、家庭用ゲートウェイ装置100および家庭用機器102、104および106と、認証サーバ300およびリモート情報処理端末400とを含む概略的システムを示している。家庭用ゲートウェイ装置100および家庭用機器102〜106は、家庭内ローカルエリア・ネットワーク(LAN)10に接続されている。家庭用機器102〜106は、例えば、パーソナル・コンピュータ、ファイル・サーバ、ファクシミリ、冷蔵庫、空調機器またはビデオ記録再生装置であってもよい。ゲートウェイ装置100、認証サーバ300およびリモート情報処理端末400は、外部ネットワークとしてのインターネット50に接続されている。
ゲートウェイ装置100は、例えばADSL、ISDN回線または専用回線等を介してインターネット50に常時接続されている。リモート情報処理端末400は、例えばデスクトップ型パーソナル・コンピュータ(PC)、ノートブック型PC、PDA(Personal Digital Assistant)または携帯電話機のような固定またはモバイル情報処理端末であればよく、インターネット50にダイヤルアップで接続されるかまたは常時接続されていてもよい。ゲートウェイ装置100のインターネット50用のグローバルIPアドレスは、典型的には、インターネット・サービス・プロバイダによって動的に割り当てられる。ゲートウェイ装置100は、グローバルIPアドレスが割り当てられると、所定のタイミングで認証サーバ300にそのグローバルIPアドレスを登録する。
認証サーバ300は、リモート情報処理端末400からのアクセスに応答して、ゲートウェイ装置100に対するリモート・アクセスのための認証を行って、インターネット50におけるゲートウェイ装置100のグローバルIPアドレスおよびその他の情報をリモート端末400に提供する。リモート端末400は、そのIPアドレスおよびその他の情報を用いてゲートウェイ装置100および家庭用機器102〜106にアクセスする。認証サーバ300のインターネット50用のグローバルIPアドレスは固定的に割り当てられている。
ゲートウェイ装置100は、家庭内LAN10とインターネット50とを介してインターネット・プロトコル(IP)上でリモート端末400と家庭用機器102および104をVPN接続させ、LAN10とインターネット50の間で送受信されるIPパケットについてIPアドレスの変換を行って、仮想プライベート・ネットワーク(VPN)を形成する。
図2は、本発明の実施形態による、ゲートウェイ装置100の構成を示している。図2において、ゲートウェイ装置100は、インターネット50に接続されたネットワーク・インタフェース(NW I/F)112と、家庭内LAN10に接続されたネットワーク・インタフェース(NW I/F)114と、ネットワーク・インタフェース112および114に接続されたIPパケット処理器116と、ネットワーク・インタフェース114に接続されたリモート・アクセス情報管理部120と、IPパケット処理器116および情報管理部120に接続されたリモート・サービス処理器130と、IPパケット処理器116に接続されたVPNパケット処理器140と、リモート・サービス処理器130およびVPNパケット処理器140に接続されたVPN接続情報管理部132と、VPNパケット処理器140に接続されたVPNサーバ部142と、を具えている。ゲートウェイ装置100は、さらに、情報管理部120に接続されたリモート端末情報格納部152および認証サーバ用登録情報格納部154と、VPN接続情報管理部132に接続されたVPN接続管理情報格納部156と、を具えている。
構成要素112〜142は内部バス11を介して接続されていてもよい。構成要素116〜142の機能は、メモリ110に格納されたプログラムに従ってプロセッサ108によって実行されて、プロセッサ108上で実装(インプレメント)されてもよい。格納部152〜156はメモリ110における記憶領域であってもよい。
図3は、本発明の実施形態による、認証サーバ300の構成を示している。認証サーバ300は、インターネット50に接続されたネットワーク・インタフェース(NW I/F)302と、ゲートウェイ情報管理部304と、リモート・アクセス用URI生成部308と、アクセス権判定部310とを具えている。
図4は、本発明の実施形態によるリモート情報処理端末400の構成を示している。図4において、リモート端末400は、例えばダイヤルアップによって移動体無線電話網を介してインターネット50に接続されるネットワーク・インタフェース(NW I/F)402と、プロセッサ404と、メモリ406と、入力装置408と、表示装置410とを具えている。
VPNを構築するために、ユーザは、家庭用機器102〜106の各々をLAN10を介してゲートウェイ装置100に接続して、家庭用機器102〜106の各々の固有の情報をゲートウェイ装置100のVPN接続管理情報格納部156に格納する。次いで、ユーザは、家庭用機器102〜106およびゲートウェイ装置100の中のいずれかを操作して、リモート端末400に例えば電子メール等のメッセージを介してリモート端末400の固有の情報を送信するよう要求し、リモート端末400から例えば電子メール等のメッセージを介してその情報を取得してゲートウェイ装置100のリモート端末情報格納部152に格納する。そのメッセージは暗号化されていることが好ましい。次いで、ゲートウェイ装置100は、ゲートウェイ装置100に固有の情報およびリモート端末400に割り当てられる識別情報を、例えば電子メール等のメッセージを介してリモート端末400に送信する。リモート端末400は、ゲートウェイ装置100に固有の情報およびリモート端末400に割り当てられた識別情報をそのメモリ406に格納する。
次いで、ゲートウェイ装置100は、自動的に、またはユーザによる家庭用機器102〜106およびゲートウェイ装置100のいずれかの操作によって受けた指示に従って、インターネット50を介して認証サーバ300に接続し、ゲートウェイ装置100の固有の情報とリモート端末情報を認証サーバ300に登録する。ゲートウェイ装置100は、家庭用機器102〜106にプライベートIPアドレスを動的に割り当てる。
図5Aは、認証サーバ用登録情報格納部154に格納されていて認証サーバ300にゲートウェイ装置100の固有の情報を登録するための情報を示している。その情報は、認証サーバ300のDNS名または固定的グローバルIPアドレスと、ゲートウェイ装置100の登録用ID、リモート端末による認証サーバ300へのアクセスのためのパスワードと、ゲートウェイ装置100の動的グローバルIPアドレスを認証サーバ300に更新のために自動的に登録するかどうかを示す情報とを含んでいる。その登録用IDは、認証サーバ300において相異なるゲートウェイ装置を識別するための一意的な文字列であり、例えば、ゲートウェイ装置のMACアドレスまたは製品シリアル番号に基づいてゲートウェイ装置によって生成されればよい。パスワードおよび自動登録のオン/オフの選択は、ゲートウェイ装置100およびLAN10のユーザによって決定されればよい。
図5Bは、リモート端末情報格納部152に格納されていて認証サーバ300に登録されるリモート端末400の固有の情報を示している。その情報は、端末識別子と端末IDとを含んでいる。端末識別子は、ユーザによって入力される有意なキャラクタ列であればよい。端末IDは、認証サーバ300において相異なるリモート端末を識別するための一意的キャラクタ列であり、例えばMACアドレスのような端末に固有の情報に基づいてゲートウェイ装置によって生成されればよい。
図5Cは、ゲートウェイ装置100によって認証サーバ300に登録されてそのゲートウェイ管理情報格納部306に格納されるゲートウェイ管理情報を示している。ゲートウェイ装置100によってゲートウェイ管理情報が登録される前は、その情報は、ゲートウェイ装置100のゲートウェイIDおよびパスワードだけを含んでいる。登録後、その情報は、ゲートウェイ装置100のゲートウェイID、パスワードおよび動的に変更されるグローバルIPアドレスと、リモート端末の識別子およびIDと、を含んでいる。
図6は、ゲートウェイ装置100のリモート・アクセス情報管理部120によって実行される、ゲートウェイ装置100を認証サーバ300に登録するためのフローチャートを示している。
図6を参照すると、ステップ502において、リモート・アクセス情報管理部120は、インターネット50を介して認証サーバ300に接続を試みる。ステップ504において、リモート・アクセス情報管理部120は接続が確立されたかどうかを判定する。接続が確立されなかったと判定された場合は、手順は図6のルーチンを出る。
ステップ504において接続が確立されたと判定された場合は、ステップ506において、リモート・アクセス情報管理部120は、認証サーバ用登録情報154を参照してゲートウェイIDおよびパスワードを認証サーバ300に送信する。ステップ510において、リモート・アクセス情報管理部120は、ゲートウェイIDおよびパスワードが認証サーバ300によって受理されたかどうかを判定する。受理されなかったと判定された場合は、ステップ518において、リモート・アクセス情報管理部120は接続を終了する。次いで、手順は図6のルーチンを出る。
ステップ510において受理されたと判定された場合は、ステップ512において、リモート・アクセス情報管理部120は、ゲートウェイ装置100に関連する全ての端末情報を送信したかどうかを判定する。送信したと判定された場合は、ステップ518において、リモート・アクセス情報管理部120は接続を終了する。次いで、手順は図6のルーチンを出る。
ステップ512において全ての端末の端末識別子および端末IDを送信していないと判定された場合は、ステップ514において、リモート・アクセス情報管理部120は、リモート端末情報152を参照して、端末識別子および端末IDを認証サーバ300に送信する。次いで手順はステップ512に戻る。ステップ512〜514のルーチンは全ての端末の端末識別子および端末IDを送信してしまうまで繰り返される。
図7Aおよび7Bは、認証サーバ300のゲートウェイ情報管理部304によって実行される、ゲートウェイ装置100の関連情報を認証サーバ300に登録するためのフローチャートを示している。
図7Aを参照すると、ステップ602において、ゲートウェイ情報管理部304は、ゲートウェイ装置100によって接続されてゲートウェイ装置100からゲートウェイIDおよびパスワードを受信する。ステップ604において、ゲートウェイ情報管理部304は、そのゲートウェイIDを求めてゲートウェイ管理情報306を検索する。
ステップ608において、ゲートウェイ情報管理部304は、ゲートウェイIDが見つかったかどうかを判定する。それが見つかったと判定された場合は、ステップ610において、ゲートウェイ情報管理部304は、受信したパスワードとゲートウェイ管理情報306中のゲートウェイIDに関連づけられたパスワードとが一致するかどうかを判定する。それが一致しないと判定された場合は、ステップ612において、ゲートウェイ情報管理部304は、登録が失敗したことをゲートウェイ装置100に通知する。その後、手順は図7Aのルーチンを出る。パスワードが一致すると判定された場合は、手順はステップ624に進む。
ステップ608においてゲートウェイIDが見つからなかったと判定された場合は、ステップ620において、ゲートウェイ情報管理部304は、ゲートウェイ装置100用の新しいエントリを生成してそれをゲートウェイ管理情報306に追加する。次いで、手順はステップ624に進む。
ステップ624において、ゲートウェイ情報管理部304は、ゲートウェイ管理情報306におけるゲートウェイ装置100のエントリ中のIPアドレスを更新して、端末情報をクリア(削除)する。
図7Bを参照すると、ステップ632において、ゲートウェイ情報管理部304は、図5Bに例示されているようなゲートウェイ装置100に関連する全ての端末識別子および端末IDを受信したかどうかを判定する。その全てが受信されたと判定された場合は、ステップ638においてゲートウェイ情報管理部304は接続を終了する。次いで、手順は図7Aおよび7Bのルーチンを出る。
それが受信されていないと判定された場合は、ゲートウェイ情報管理部304は、ステップ634において端末識別子および端末IDの受信を待ち、ステップ636においてその受信した端末識別子および端末IDをゲートウェイ管理情報306に追加する。ステップ632〜636のルーチンは全ての端末識別子および端末IDを受信するまで繰り返される。
図8Aおよび8Bは、認証サーバ300のゲートウェイ情報管理部304によって実行される、リモート情報処理端末400を認証してゲートウェイ装置100用のURIをリモート情報処理端末400に通知するためのフローチャートを示している。
リモート情報処理端末400は、前述したように、ゲートウェイ装置100から、ゲートウェイ装置100のIDおよびパスワードと、ゲートウェイ装置100によって生成されたリモート端末400の端末識別子および端末IDとを受信してメモリ406に予め格納する。
図8Aを参照すると、ステップ702において、ゲートウェイ情報管理部304は、リモート情報処理端末400によってインターネット50を介してアクセスされてリモート端末400から、ゲートウェイ装置100のIDおよびパスワードと、端末識別子および端末IDとを受信する。ステップ704において、ゲートウェイ情報管理部304は、エントリとしての対応するゲートウェイ装置IDを求めてゲートウェイ管理情報306を検索する。
ステップ708において、ゲートウェイ情報管理部304は、ゲートウェイ管理情報306中に対応するゲートウェイIDが見つかったかどうかを判定する。それが見つからなかったと判定された場合には、ステップ714において、ゲートウェイ情報管理部304はリモート端末400によるアクセスを拒否する。
それが見つかったと判定された場合には、ステップ710において、ゲートウェイ情報管理部304は、その受信したパスワードをゲートウェイ管理情報306中のパスワードと比較して、その受信したパスワードが管理情報306中のパスワードと一致するかどうかを判定する。それが一致しないと判定された場合は、手順はステップ714に進む。
それが一致すると判定された場合は、ステップ712において、ゲートウェイ情報管理部304は、受信した端末識別子および端末IDに対応する端末識別子および端末IDがゲートウェイ管理情報306中に存在するかどうかを判定する。それらがないと判定された場合は、手順は図8Bのステップ714に進む。
図8Bを参照すると、それらが存在すると判定された場合は、ステップ722において、ゲートウェイ情報管理部304は、インターネット50を介してゲートウェイ装置100にアクセスしてゲートウェイ装置100からワンタイム・パスワードを取得する。ゲートウェイ装置100のリモート・サービス処理器130は、認証サーバ300の要求に応答して、ランダムにワンタイム・パスワードを生成して認証サーバ300に送信し、VPN接続情報管理部132にそのワンタイム・パスワードをVPN接続管理情報156に格納させる。
ゲートウェイ情報管理部304は、ステップ724において、その受信したワンタイム・パスワードをゲートウェイ装置100へのログイン情報(例えばグローバルIPアドレス等)と組み合わせて、ゲートウェイ装置100のウェブ・ページ用のURI(例えば、http://210.140.120.128/index.cgi?data=...)を生成する。ゲートウェイ情報管理部304は、ステップ726において、ゲートウェイ装置のウェブ・ページ用のURIをリモート端末400に送信し返す。
図9は、ゲートウェイ装置100のリモート・サービス処理器130によって実行される、リモート情報処理端末400を認証してゲートウェイ装置100に接続するためのフローチャートを示している。
リモート端末400は、認証サーバ300から受信したゲートウェイ装置のウェブ・ページ用のURIを、インターネット50を介してゲートウェイ装置100に送信する。
リモート・サービス部130は、ステップ802においてリモート端末400からウェブ・ページ用のURIを受信し、ステップ804においてURIを構文解析してその中からログイン情報とワンタイム・パスワードを取り出す。ステップ806において、リモート・サービス部130は、受信したログイン情報をVPN接続管理情報156中に格納されているログイン情報と比較する。ステップ808において、リモート・サービス処理器130は、受信したログイン情報がVPN接続管理情報156中に格納されているログイン情報と一致するかどうかを判定する。それが一致しないと判定された場合は、手順はステップ814に進む。
それが一致すると判定された場合は、ステップ810においてワンタイム・パスワードをVPN接続管理情報156中に格納されているワンタイム・パスワードと比較する。ステップ812において、リモート・サービス部130は、受信したワンタイム・パスワードがVPN接続管理情報156中に格納されていたワンタイム・パスワードと一致するかどうかを判定する。それが一致しないと判定された場合は、手順はステップ814に進む。それが一致すると判定された場合は、ステップ816において、リモート・サービス処理器130はリモート端末400との接続を確立し、次いでVPN接続管理情報156中に格納されていたワンタイム・パスワードを以後無効にする。
図10は、ゲートウェイ装置100のリモート・サービス処理器130によって実行される、リモート端末400に表示されるウェブ・ページとしてのVPN接続メニューを生成するのに利用可能なVPNプロトコルを取得するためのフローチャートを示している。
図10を参照すると、ステップ902において、リモート・サービス処理器130は、家庭内LAN10上の全ての機器にサーチ・メッセージを同報通信(ブロードキャスト)する。そのサーチ・メッセージに応答して、LAN10に接続されている家庭用機器102および104等の中でVPNを構成し得る機器は、リモート・サービス処理器130にそれぞれのプライベートIPアドレスおよび機器識別を含む応答メッセージを送信し返す。ステップ904において、リモート・サービス処理器130は、受信した応答メッセージの発信元の家庭用機器102および104のリスト、即ちVPNを構成し得る機器のリストを作成する。
ステップ906において、リモート・サービス処理器130は、そのリストの全ての家庭用機器について利用可能なVPNプロトコルのリストを取得したかどうかを判定する。最初はそれが取得されていないので、手順はステップ908に進む。ステップ908において、リモート・サービス処理器130は、VPN接続情報管理部132を介してVPN接続管理情報156中の各家庭用機器の利用可能な全てのVPNプロトコルのリストを取得する。次いで、手順はステップ906に戻る。ステップ906において全ての機器について利用可能なVPNプロトコルのリストを取得したと判定された場合は、手順は図10のルーチンを出る。
図11は、ゲートウェイ装置100のリモート・サービス処理器130によって、リモート端末400にウェブ・ページとして送信されて表示装置410に表示される接続可能な家庭内機器のメニューの一例を示している。図9においてリモート端末400との間に接続が確立された(ステップ816)後、リモート・サービス処理器130は、そのVPNプロトコルのリストに基づいて作成された接続可能な家庭内機器のメニューを、リモート端末400に送信して表示させる。図11において、陰影を付けられた○印は選択不可能な項目を示し、陰影のない○印は選択可能な項目を示し、黒丸を含む○印はユーザによって選択された項目を示している。
リモート端末400のユーザは、表示装置408に表示されたそのメニューから接続すべき機器(例えば機器102)および使用したいプロトコル(例えばPPTP)を選択して、ソフトウェア・キー“接続”を選択して選択された機器にアクセスする。図において、選択された項目は黒丸で示される。使用したいプロトコルはデフォルト表示されてもよい。
VPN接続が開始されたとき、ゲートウェイ機器100のVPNパケット処理器140は、選択された家庭内機器(102)とリモート・アクセス端末400が互いに通信するための準備を行う。
ゲートウェイ装置100のIPパケット処理器140は、通常、不正なアクセスを防止するために、ゲートウェイ装置100によって外部端末に提供されるサービスに必要のないIPプロトコル番号(例えば、ICMP用の1、TCP用の6、UDP用の17およびGRE用の47、等)、およびTCPまたはUDP用のポート番号等を含んでいるパケットをフィルタリング(濾波)して通過を阻止する。
VPNパケット処理器140は、リモート・アクセス端末400からのパケットのうち選択された家庭内機器102へのパケットのプロトコルを変換してLAN10へ通過させる。そのために、VPNパケット処理器140は、ゲートウェイ装置100が受信したリモート・アクセス端末400からのパケットのうち、IPパケット処理器140によって通過を阻止される、VPN接続に使用されるIPプロトコル番号、およびTCPまたはUDP用のポート番号を含んでいるパケットを、ゲートウェイ装置100で受け入れ可能な形態にその記述を変更する。VPNパケット処理器140は、さらに、家庭内LAN10における機器にアクセスするために、NATのようなアドレス変換処理によってその選択された機器102の識別をプライベートIPアドレスに変換する。VPNパケット処理器140は、そのアドレス変換したパケットを、IPパケット処理器116へ渡してネットワーク・インタフェース114を介してLAN10上で選択された家庭内機器102へ送信する。
ゲートウェイ装置100におけるVPNパケット処理に用いられる情報は、VPN接続情報管理部132によってVPN接続管理情報156に予め格納される。
リモート端末400からのユーザの指示による、またはVPN接続宛先である家庭内機器102〜106またはゲートウェイ装置100のVPNサーバ156による明示的な命令によって、VPN接続が切断されたとき、VPNパケット処理器140は、VPN接続情報管理部132に、VPN接続管理情報156から対応するエントリを削除させ、対応するVPNパケットに関するVPN接続管理情報126中の設定を解除させる。それによって、それ以後、リモート端末400からのVPNパケットがゲートウェイ装置100およびLAN10に進入できないようにする。ユーザがリモート端末400を家庭内機器102〜106またはVPNサーバ156に再度接続するには、上述した接続手順を再度実行して、別のワンタイム・パスワードを含む、ゲートウェイ装置100のURIを取得しなければならない。
ゲートウェイ装置100において、VPN情報管理部132は、VPN接続中は常にIPパケット処理器116に入力されるVPNパケットの有無を監視し、VPN接続管理情報126中のパケット最終送受信時刻を参照しながら所定時間以上VPN用のパケットが流れていないときは、そのVPN接続は使用されていないと見なして、VPN接続を切断してもよい。
図12は、VPN接続管理情報156に格納される、リモート端末のIPアドレス、接続される機器のプライベートIPアドレス、VPNプロトコルの識別および接続開始日時のようなVPN接続管理情報の記録の例を示している。
図13Aおよび13Bは、ゲートウェイ機器100のIPパケット処理器116およびVPNパケット処理器140によって実行されるVPNパケットを処理するためのフローチャートを示している。
図13Aを参照すると、ステップ1002において、IPパケット処理器116またはVPNパケット処理器140は、VPN接続情報管理部132を介してVPN接続管理情報156を参照して、IPパケット処理器116への入力パケットのプロトコルを識別する。ステップ1004において、IPパケット処理器116またはVPNパケット処理器140は、そのパケットがVPNパケットかどうかを判定する。そのパケットがVPNパケットでないと判定された場合は、IPパケット処理器116は、ステップ1006においてそのパケットを通常の形態で処理する。通常のパケット処理とは、ゲートウェイ機器100によって行われるVPN以外のための通常の処理を意味する。
そのパケットがVPNパケットであると判定された場合は、VPNパケット処理器140は、VPN接続情報管理部132を介してVPN接続管理情報156を参照して、ステップ1008においてそのパケットの発信元アドレスを識別する。
図13Bを参照すると、ステップ1008において、VPNパケット処理器140は、その入力パケットの発信元アドレスがVPN接続の外部端末かどうかを判定する。
それが外部端末でないと判定された場合は、ステップ1010において、VPNパケット処理器140は、VPN接続情報管理部132を介してVPN接続管理情報156を参照して、入力パケットの発信元アドレスを識別する。ステップ1012において、VPNパケット処理器140は、発信元アドレスがVPN接続宛先の機器のアドレスであるかどうかを判定する。
それがVPN接続宛先の機器のアドレスでないと判定された場合は、IPパケット処理器116はステップ1014において通常のIPパケットの処理を行う。
ステップ1012においてそれがVPN接続宛先の機器のアドレスであると判定された場合は、ステップ1016において、VPNパケット処理器140は、そのパケットの発信元のアドレスをゲートウェイ装置100のグローバルIPアドレスに書き換えてインターネット50上で送出する。ステップ1030において、VPNパケット処理器140は、VPN接続情報管理部132を介してそのVPNパケット送受信時刻等をVPN接続管理情報156に記録することによって、図12に例示されているような最終送受信時刻を更新する。その後、手順は図13Bのルーチンを出る。
ステップ1008においてそれが外部端末であると判定された場合は、ステップ1020において、VPNパケット処理器140は、VPN接続管理情報156を参照して、VPN接続宛先を識別する。ステップ1022において、VPNパケット処理器140は、接続宛先がゲートウェイ装置100であるかどうかを判定する。
それがゲートウェイ装置100であると判定された場合は、VPNパケット処理器140は、ステップ1026において、ゲートウェイ装置100におけるVPNサーバ142にそのパケットを渡す。次いで、手順はステップ1030に進む。
ステップ1022においてそれがゲートウェイ装置100でないと判定された場合は、VPNパケット処理器140は、ステップ1024において、VPN接続管理情報156を参照してパケット中の宛先アドレスをLAN10上におけるプライベートIPアドレスに書き換えて、LAN10を介して宛先の家庭内機器(102)にそのパケットを送信する。次いで、手順はステップ1030に進む。
以上説明した実施形態によれば、リモート端末400は、ゲートウェイ装置100に接続する前に、予め認証サーバ300によってセキュリティのために認証されるので、ゲートウェイ装置100によって新たに認証される必要がない。
代替構成として、ゲートウェイ装置100とリモート端末400は、認証サーバ300を介さずに、好ましくは暗号化されたメッセージをインターネット50上で電子メールを介してまたは電話回線を介して交換することによって、リモート端末400がゲートウェイ装置100を介して家庭内機器102〜106およびVPNサーバ142のいずれかにアクセスするのに必要な上述の情報を互いに交換してもよい。
より具体的には、リモート端末400は、家庭内機器102〜106およびVPNサーバ142のいずれかにアクセスするときに、先にゲートウェイ装置100のURIの送信を要求するメッセージをゲートウェイ装置100に送信してもよい。そのメッセージには、リモート端末400の認証に必要な情報が含まれていてもよい。この場合、ゲートウェイ装置100は、認証サーバ300に代わってリモート端末400の認証処理を実行する。ゲートウェイ装置100は、その要求に応答して、上述のURIを含むメッセージをリモート端末400に送信してもよい。また、ゲートウェイ装置100は、そのグローバルIPアドレスが変更されるたびに上述のURIを含むメッセージをリモート端末400に送信してもよい。リモート端末400は、上述したのと同様にそのURIを用いてゲートウェイ装置100にアクセスする。
以上説明した実施形態によれば、ゲートウェイ装置100に仮想プライベート・ネットワーク接続機能を設けることによって、インターネット50上のリモート端末400はゲートウェイ装置100を介して内部ネットワーク10に仮想的に接続することができ、内部ネットワーク10で利用可能なサービスを利用できる。
また、VPN接続をリモート・アクセス処理と連携させることによって、特にVPN接続のためだけの認証を行わずに、充分に高いセキュリティを確保することができる。また、ゲートウェイ装置100において、様々なVPN接続状態を管理することによって、ゲートウェイ装置100において複雑な設定をする必要なく、使用するVPN接続に限定したパケット処理を施すことができる。従って、ユーザの手間は最小限に抑えられる。
以上説明した実施形態は典型例として挙げたに過ぎず、その変形およびバリエーションは当業者にとって明らかであり、当業者であれば本発明の原理および請求の範囲に記載した発明の範囲を逸脱することなく上述の実施形態の種々の変形を行えることは明らかである。
図1は、図1は、本発明の実施形態による、家庭用ゲートウェイ装置および家庭用機器と、認証サーバおよびリモート情報処理端末とを含む概略的システムを示している。 図2は、本発明の実施形態による、ゲートウェイ装置の構成を示している。 図3は、本発明の実施形態による、認証サーバの構成を示している。 図4は、本発明の実施形態によるリモート情報処理端末の構成を示している。 図5Aは、認証登録用設定情報格納部に格納されていて認証サーバにゲートウェイ装置の固有の情報を登録するための情報を示している。図5Bは、リモート端末情報格納部に格納されていて認証サーバに登録されるリモート端末の固有の情報を示している。図5Cは、ゲートウェイ装置によって認証サーバに登録されてそのゲートウェイ管理情報格納部に格納されるゲートウェイ管理情報を示している。 図6は、ゲートウェイ装置のリモート・アクセス情報管理部によって実行される、ゲートウェイ装置を認証サーバに登録するためのフローチャートを示している。 図7Aおよび7Bは、認証サーバのゲートウェイ情報管理部によって実行される、ゲートウェイ装置の関連情報を認証サーバに登録するためのフローチャートを示している。 . 図8Aおよび8Bは、認証サーバのゲートウェイ情報管理部によって実行される、リモート情報処理端末を認証してゲートウェイ装置用のURIをリモート情報処理端末に通知するためのフローチャートを示している。 . 図9は、ゲートウェイ装置のリモート・サービス処理器によって実行される、リモート情報処理端末を認証してゲートウェイ装置に接続するためのフローチャートを示している。 図10は、ゲートウェイ装置のリモート・サービス処理器によって実行される、リモート端末に表示されるウェブ・ページとしてのVPN接続のメニューを生成するのに利用可能なVPNプロトコルを取得するためのフローチャートを示している。 図11は、ゲートウェイ装置のリモート・サービス処理器によって、リモート端末にウェブ・ページとして送信されて表示装置に表示される接続可能な家庭内機器のメニューの一例を示している。 図12は、VPN接続管理情報に格納されるVPN接続管理情報の記録の例を示している。 図13Aおよび13Bは、ゲートウェイ機器のIPパケット処理器およびVPNパケット処理器によって実行されるVPNパケットを処理するためのフローチャートを示している。 .

Claims (7)

  1. 内部ネットワークと外部ネットワークとに接続可能なゲートウェイ装置であって、
    前記ゲートウェイ装置のグローバルアドレスと、前記内部ネットワークへの接続を許容する端末装置の識別情報とを管理する情報管理手段を具え、
    前記情報管理手段は、
    前記内部ネットワークへの接続を許容する端末装置を外部装置において識別させるために、前記端末装置の識別情報を前記外部ネットワークを介して前記外部装置に送信し、
    前記内部ネットワークへの接続を許容する端末装置へ前記外部装置から送信させるために、前記ゲートウェイ装置のグローバル・アドレスを前記外部ネットワークを介して前記外部装置に送信し、
    前記情報管理手段は、
    前記内部ネットワークへの接続を許容された端末装置からの要求を受けた前記外部装置からの要求に応答して、ワンタイム・パスワードを、前記内部ネットワークへの接続を許容する端末装置へ前記外部装置から送信させるために、前記外部ネットワークを介して前記外部装置に送信するものであり、
    さらに、前記内部ネットワークへの接続を許容する端末装置から前記外部ネットワークを介して、前記外部装置に送信した前記ワンタイム・パスワードを含むURIを受信した場合、前記URIを送信した前記接続を許容する端末装置に前記内部ネットワークへの接続を許容する接続手段と、
    前記外部ネットワークと記内部ネットワークの間で送受信されるパケットのアドレスを変換するアドレス変換手段と、
    を具え、
    前記接続手段は、前記内部ネットワークを介して前記内部ネットワークに接続された複数の機器にサーチ・メッセージを送信し、
    前記複数の機器の中で仮想プライベート・ネットワークを構成し得る機器から利用可能な仮想プライペート・ネットワークのプロトコルを示すプロトコル情報を含む応答メッセージを受信し、
    前記内部ネットワークへの接続を許容する端末装置から前記外部ネットワークを介して、前記外部装置に送信した前記ワンタイム・パスワードを含むURIを受信した場合、前記URIを送信した前記端末装置に、前記仮想プライベート・ネットワークを構成し得る機器において利用可能な前記プロトコルのリストを送信し、
    前記送信したプロトコルのリストのうち前記端末装置において利用される前記プロトコルを示すプロトコル情報を前記端末装置から受信し、
    前記受信したプロトコル情報に示されたプロトコルを用いて構成される前記仮想プライベート・ネットワークにおける前記機器との接続を、前記受信したプロトコル情報に示されたプロトコルに基づいて確立し、
    前記アドレス変換手段は、
    前記接続手段により接続が確立された前記端末装置と前記機器との前記仮想プライベート・ネットワークにおいて、前記外部ネットワークと前記内部ネットワークの間で送受信されるパケットのアドレスを、前記受信したプロトコル情報に基づいて変換するものであること
    を特徴とする、ゲートウェイ装置。
  2. 前記ゲートウェイ装置の前記グローバルアドレスはインターネット・サービス・プロバイダによって動的に割り当てられるものであり、
    前記外部装置が前記接続を許容する装置を認証するための認証サーバであり、前記認証サーバには固定的グローバルアドレスが割り当てられていることを特徴とする、請求項1に記載のゲートウェイ装置。
  3. 前記アドレス変換手段は、前記接続手段によって接続を許可された前記装置と前記内部ネットワークに接続された機器との間で送受信されるパケットだけを抽出して前記パケットアドレスを変換することを特徴とする、請求項1または2に記載のゲートウェイ装置。
  4. 前記接続手段によって接続を許容された前記装置と前記内部ネットワークに接続された機器との間でパケットの送受信が所定時間期間行われないときに、前記接続手段は、前記接続手段によって接続を許容された前記装置と前記内部ネットワークとの間の前記接続を切断することを特徴とする、請求項1乃至3のいずれかに記載のゲートウェイ装置。
  5. 前記URIを送信した前記装置と前記内部ネットワークに接続された機器の間の接続が切断された後、前記アドレス変換手段は、前記URIを送信した前記装置と前記内部ネットワークに接続された機器の間のパケットアドレスの変換を停止することを特徴とする、請求項1乃至4のいずれかに記載のゲートウェイ装置。
  6. 内部ネットワークと外部ネットワークとに接続可能なゲートウェイ装置用のプログラムであって、
    前記内部ネットワークへの接続を許容する端末装置を外部装置において識別させるために、前記端末装置の識別情報前記外部ネットワークを介して前記外部装置に送信するステップと、
    前記内部ネットワークへの接続を許容する端末装置へ前記外部装置から送信させるために、前記ゲートウェイ装置のグローバル・アドレスを前記外部ネットワークを介して前記外部装置に送信するステップと、
    前記内部ネットワークへの接続を許容された端末装置からの要求を受けた前記外部装置からの要求に応答して、ワンタイム・パスワードを、前記内部ネットワークへの接続を許容する端末装置へ前記外部装置から送信させるために、前記外部ネットワークを介して前記外部装置に送信するステップと、
    前記内部ネットワークへの接続を許容する端末装置から前記外部ネットワークを介して、前記外部装置に送信した前記ワンタイム・パスワードを含むURIを受信した場合、前記URIを送信した前記接続を許容する端末装置に前記内部ネットワークへの接続を許容するステップと、
    前記外部ネットワークと前記内部ネットワークの間で送受信されるパケットアドレスを変換するステップと、
    前記内部ネットワークを介して前記内部ネットワークに接続された複数の機器にサーチ・メッセージを送信し、
    前記複数の機器の中で仮想プライベート・ネットワークを構成し得る機器から利用可能な仮想プライペート・ネットワークのプロトコルを示すプロトコル情報を含む応答メッセージを受信し、
    前記内部ネットワークへの接続を許容する端末装置から前記外部ネットワークを介して、前記外部装置に送信した前記ワンタイム・パスワードを含むURIを受信した場合、前記URIを送信した前記端末装置に、前記仮想プライベート・ネットワークを構成し得る機器において利用可能な前記プロトコルのリストを送信するステップと、
    前記送信したプロトコルのリストのうち前記端末装置において利用される前記プロトコルを示すプロトコル情報を前記端末装置から受信するステップと、
    前記受信したプロトコル情報に示されたプロトコルを用いて構成される前記仮想プライベート・ネットワークにおける前記機器との接続を、前記受信したプロトコル情報に示されたプロトコルに基づいて確立するステップと、
    接続が確立された前記端末装置と前記機器との前記仮想プライベート・ネットワークにおいて、前記外部ネットワークと前記内部ネットワークの間で送受信されるパケットのアドレスを前記受信したプロトコル情報に基づいて変換するステップと、
    前記ゲートウェイ装置に実行させるためのプログラム。
  7. 内部ネットワークと外部ネットワークとに接続可能なゲートウェイ装置における通信方法であって、
    前記内部ネットワークへの接続を許容する端末装置を外部装置において識別させるため に、前記端末装置の識別情報前記外部ネットワークを介して前記外部装置に送信するステップと、
    前記内部ネットワークへの接続を許容する端末装置へ前記外部装置から送信させるために、前記ゲートウェイ装置のグローバル・アドレスを前記外部ネットワークを介して前記外部装置に送信するステップと、
    前記内部ネットワークへの接続を許容された端末装置からの要求を受けた前記外部装置からの要求に応答して、ワンタイム・パスワードを、前記内部ネットワークへの接続を許容する端末装置へ前記外部装置から送信させるために、前記外部ネットワークを介して前記外部装置に送信するステップと、
    前記内部ネットワークへの接続を許容する端末装置から前記外部ネットワークを介して、前記外部装置に送信した前記ワンタイム・パスワードを含むURIを受信した場合、前記URIを送信した前記接続を許容する端末装置に前記内部ネットワークへの接続を許容するステップと、
    前記外部ネットワークと前記内部ネットワークの間で送受信されるパケットアドレスを変換するステップと、
    前記内部ネットワークを介して前記内部ネットワークに接続された複数の機器にサーチ・メッセージを送信し、
    前記複数の機器の中で仮想プライベート・ネットワークを構成し得る機器から利用可能な仮想プライペート・ネットワークのプロトコルを示すプロトコル情報を含む応答メッセージを受信し、
    前記内部ネットワークへの接続を許容する端末装置から前記外部ネットワークを介して、前記外部装置に送信した前記ワンタイム・パスワードを含むURIを受信した場合、前記URIを送信した前記端末装置に、前記仮想プライベート・ネットワークを構成し得る機器において利用可能な前記プロトコルのリストを送信するステップと、
    前記送信したプロトコルのリストのうち前記端末装置において利用される前記プロトコルを示すプロトコル情報を前記端末装置から受信するステップと、
    前記受信したプロトコル情報に示されたプロトコルを用いて構成される前記仮想プライベート・ネットワークにおける前記機器との接続を、前記受信したプロトコル情報に示されたプロトコルに基づいて確立するステップと、
    接続が確立された前記端末装置と前記機器との前記仮想プライベート・ネットワークにおいて、前記外部ネットワークと前記内部ネットワークの間で送受信されるパケットのアドレスを前記受信したプロトコル情報に基づいて変換するステップと、
    を含む通信方法。
JP2004572115A 2003-05-22 2003-05-22 安全な仮想プライベート・ネットワーク Expired - Fee Related JP4260116B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2003/006432 WO2004105333A1 (ja) 2003-05-22 2003-05-22 安全な仮想プライベート・ネットワーク

Publications (2)

Publication Number Publication Date
JPWO2004105333A1 JPWO2004105333A1 (ja) 2006-07-20
JP4260116B2 true JP4260116B2 (ja) 2009-04-30

Family

ID=33463153

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004572115A Expired - Fee Related JP4260116B2 (ja) 2003-05-22 2003-05-22 安全な仮想プライベート・ネットワーク

Country Status (3)

Country Link
US (1) US7856023B2 (ja)
JP (1) JP4260116B2 (ja)
WO (1) WO2004105333A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014125956A1 (ja) * 2013-02-15 2014-08-21 スター精密株式会社 ネットワークのアクセス制御システム、アクセス制御装置およびアクセス制御用プログラム

Families Citing this family (123)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1378093B1 (en) * 2001-04-09 2012-08-08 Hewlett-Packard Development Company, L.P. Authentication and encryption method and apparatus for a wireless local access network
US6658091B1 (en) 2002-02-01 2003-12-02 @Security Broadband Corp. LIfestyle multimedia security system
US20050071494A1 (en) * 2003-09-30 2005-03-31 Rundquist William A. Method and apparatus for providing fixed bandwidth communications over a local area network
US8996665B2 (en) 2005-03-16 2015-03-31 Icontrol Networks, Inc. Takeover processes in security network integrated with premise security system
US10156959B2 (en) 2005-03-16 2018-12-18 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US9172553B2 (en) 2005-03-16 2015-10-27 Icontrol Networks, Inc. Security system with networked touchscreen and gateway
JP2007529826A (ja) 2004-03-16 2007-10-25 アイコントロール ネットワークス, インコーポレイテッド 対象事項管理ネットワーク
US10375253B2 (en) 2008-08-25 2019-08-06 Icontrol Networks, Inc. Security system with networked touchscreen and gateway
US7911341B2 (en) * 2007-01-24 2011-03-22 Icontrol Networks Inc. Method for defining and implementing alarm/notification by exception
US11677577B2 (en) 2004-03-16 2023-06-13 Icontrol Networks, Inc. Premises system management using status signal
US8612591B2 (en) 2005-03-16 2013-12-17 Icontrol Networks, Inc. Security system with networked touchscreen
US11190578B2 (en) 2008-08-11 2021-11-30 Icontrol Networks, Inc. Integrated cloud system with lightweight gateway for premises automation
US8635350B2 (en) 2006-06-12 2014-01-21 Icontrol Networks, Inc. IP device discovery systems and methods
US10522026B2 (en) 2008-08-11 2019-12-31 Icontrol Networks, Inc. Automation system user interface with three-dimensional display
US8988221B2 (en) 2005-03-16 2015-03-24 Icontrol Networks, Inc. Integrated security system with parallel processing architecture
US10142392B2 (en) * 2007-01-24 2018-11-27 Icontrol Networks, Inc. Methods and systems for improved system performance
US10382452B1 (en) 2007-06-12 2019-08-13 Icontrol Networks, Inc. Communication protocols in integrated systems
US11811845B2 (en) 2004-03-16 2023-11-07 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US10348575B2 (en) 2013-06-27 2019-07-09 Icontrol Networks, Inc. Control system user interface
US20090077623A1 (en) 2005-03-16 2009-03-19 Marc Baum Security Network Integrating Security System and Network Devices
US7711796B2 (en) * 2006-06-12 2010-05-04 Icontrol Networks, Inc. Gateway registry methods and systems
US10237237B2 (en) 2007-06-12 2019-03-19 Icontrol Networks, Inc. Communication protocols in integrated systems
US11201755B2 (en) 2004-03-16 2021-12-14 Icontrol Networks, Inc. Premises system management using status signal
US11582065B2 (en) 2007-06-12 2023-02-14 Icontrol Networks, Inc. Systems and methods for device communication
US20170118037A1 (en) 2008-08-11 2017-04-27 Icontrol Networks, Inc. Integrated cloud system for premises automation
US11316958B2 (en) 2008-08-11 2022-04-26 Icontrol Networks, Inc. Virtual device systems and methods
US8963713B2 (en) 2005-03-16 2015-02-24 Icontrol Networks, Inc. Integrated security network with security alarm signaling system
US10721087B2 (en) 2005-03-16 2020-07-21 Icontrol Networks, Inc. Method for networked touchscreen with integrated interfaces
US8473619B2 (en) 2005-03-16 2013-06-25 Icontrol Networks, Inc. Security network integrated with premise security system
US10313303B2 (en) 2007-06-12 2019-06-04 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US9141276B2 (en) 2005-03-16 2015-09-22 Icontrol Networks, Inc. Integrated interface for mobile device
US11368429B2 (en) 2004-03-16 2022-06-21 Icontrol Networks, Inc. Premises management configuration and control
US11277465B2 (en) 2004-03-16 2022-03-15 Icontrol Networks, Inc. Generating risk profile using data of home monitoring and security system
US11489812B2 (en) 2004-03-16 2022-11-01 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US10339791B2 (en) 2007-06-12 2019-07-02 Icontrol Networks, Inc. Security network integrated with premise security system
US11159484B2 (en) 2004-03-16 2021-10-26 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US11113950B2 (en) 2005-03-16 2021-09-07 Icontrol Networks, Inc. Gateway integrated with premises security system
US9191228B2 (en) 2005-03-16 2015-11-17 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US11244545B2 (en) 2004-03-16 2022-02-08 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US10200504B2 (en) 2007-06-12 2019-02-05 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US9729342B2 (en) 2010-12-20 2017-08-08 Icontrol Networks, Inc. Defining and implementing sensor triggered response rules
US11343380B2 (en) 2004-03-16 2022-05-24 Icontrol Networks, Inc. Premises system automation
US9609003B1 (en) 2007-06-12 2017-03-28 Icontrol Networks, Inc. Generating risk profile using data of home monitoring and security system
US10444964B2 (en) 2007-06-12 2019-10-15 Icontrol Networks, Inc. Control system user interface
US11916870B2 (en) 2004-03-16 2024-02-27 Icontrol Networks, Inc. Gateway registry methods and systems
US9531593B2 (en) 2007-06-12 2016-12-27 Icontrol Networks, Inc. Takeover processes in security network integrated with premise security system
US7539858B2 (en) * 2004-04-05 2009-05-26 Nippon Telegraph And Telephone Corporation Packet encryption substituting device, method thereof, and program recording medium
JP4377786B2 (ja) * 2004-09-22 2009-12-02 パナソニック株式会社 電化機器、サーバ装置、携帯端末、通信システム、通信方法、及びプログラム
US8825871B2 (en) 2005-03-16 2014-09-02 Icontrol Networks, Inc. Controlling data routing among networks
US11496568B2 (en) * 2005-03-16 2022-11-08 Icontrol Networks, Inc. Security system with networked touchscreen
US20120324566A1 (en) 2005-03-16 2012-12-20 Marc Baum Takeover Processes In Security Network Integrated With Premise Security System
US9306809B2 (en) 2007-06-12 2016-04-05 Icontrol Networks, Inc. Security system with networked touchscreen
US11615697B2 (en) 2005-03-16 2023-03-28 Icontrol Networks, Inc. Premise management systems and methods
US10999254B2 (en) 2005-03-16 2021-05-04 Icontrol Networks, Inc. System for data routing in networks
US9450776B2 (en) 2005-03-16 2016-09-20 Icontrol Networks, Inc. Forming a security network including integrated security system components
US9059863B2 (en) 2005-03-16 2015-06-16 Icontrol Networks, Inc. Method for data routing in networks
US8819178B2 (en) 2005-03-16 2014-08-26 Icontrol Networks, Inc. Controlling data routing in integrated security systems
US20170180198A1 (en) 2008-08-11 2017-06-22 Marc Baum Forming a security network including integrated security system components
US20110128378A1 (en) 2005-03-16 2011-06-02 Reza Raji Modular Electronic Display Platform
US8713132B2 (en) 2005-03-16 2014-04-29 Icontrol Networks, Inc. Device for data routing in networks
US11700142B2 (en) 2005-03-16 2023-07-11 Icontrol Networks, Inc. Security network integrating security system and network devices
JP4718216B2 (ja) * 2005-03-24 2011-07-06 富士通株式会社 プログラム、クライアント認証要求方法、サーバ認証要求処理方法、クライアント及びサーバ
US7983180B2 (en) * 2005-05-13 2011-07-19 Cisco Technology, Inc. Triggered announcement from a gateway
US20060294580A1 (en) * 2005-06-28 2006-12-28 Yeh Frank Jr Administration of access to computer resources on a network
US7818580B2 (en) * 2005-08-09 2010-10-19 International Business Machines Corporation Control of port based authentication protocols and process to support transfer of connection information
TWI268438B (en) * 2005-08-30 2006-12-11 Acer Inc Data accessing method, data searching method and message box
US8213412B2 (en) 2005-09-29 2012-07-03 Comcast Cable Holdings, Llc System and method for providing multimedia services utilizing a local proxy
US7590129B2 (en) * 2005-12-07 2009-09-15 Alcatel Lucent Complementary residential gateway management
US10079839B1 (en) 2007-06-12 2018-09-18 Icontrol Networks, Inc. Activation of gateway device
US11706279B2 (en) 2007-01-24 2023-07-18 Icontrol Networks, Inc. Methods and systems for data communication
US7633385B2 (en) 2007-02-28 2009-12-15 Ucontrol, Inc. Method and system for communicating with and controlling an alarm system from a remote server
US9742851B2 (en) * 2007-03-05 2017-08-22 Telefonaktiebolaget Lm Ericsson (Publ) Method and arrangement for remotely controlling multimedia communication across local networks
US8451986B2 (en) 2007-04-23 2013-05-28 Icontrol Networks, Inc. Method and system for automatically providing alternate network access for telecommunications
US10389736B2 (en) 2007-06-12 2019-08-20 Icontrol Networks, Inc. Communication protocols in integrated systems
US11089122B2 (en) 2007-06-12 2021-08-10 Icontrol Networks, Inc. Controlling data routing among networks
US10666523B2 (en) 2007-06-12 2020-05-26 Icontrol Networks, Inc. Communication protocols in integrated systems
US12003387B2 (en) 2012-06-27 2024-06-04 Comcast Cable Communications, Llc Control system user interface
US10423309B2 (en) 2007-06-12 2019-09-24 Icontrol Networks, Inc. Device integration framework
US11212192B2 (en) 2007-06-12 2021-12-28 Icontrol Networks, Inc. Communication protocols in integrated systems
US11601810B2 (en) 2007-06-12 2023-03-07 Icontrol Networks, Inc. Communication protocols in integrated systems
US11423756B2 (en) 2007-06-12 2022-08-23 Icontrol Networks, Inc. Communication protocols in integrated systems
US11646907B2 (en) 2007-06-12 2023-05-09 Icontrol Networks, Inc. Communication protocols in integrated systems
US10051078B2 (en) 2007-06-12 2018-08-14 Icontrol Networks, Inc. WiFi-to-serial encapsulation in systems
US11316753B2 (en) 2007-06-12 2022-04-26 Icontrol Networks, Inc. Communication protocols in integrated systems
US10523689B2 (en) 2007-06-12 2019-12-31 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US10616075B2 (en) 2007-06-12 2020-04-07 Icontrol Networks, Inc. Communication protocols in integrated systems
US10498830B2 (en) 2007-06-12 2019-12-03 Icontrol Networks, Inc. Wi-Fi-to-serial encapsulation in systems
US11237714B2 (en) 2007-06-12 2022-02-01 Control Networks, Inc. Control system user interface
US11218878B2 (en) 2007-06-12 2022-01-04 Icontrol Networks, Inc. Communication protocols in integrated systems
US10223903B2 (en) 2010-09-28 2019-03-05 Icontrol Networks, Inc. Integrated security system with parallel processing architecture
US11831462B2 (en) 2007-08-24 2023-11-28 Icontrol Networks, Inc. Controlling data routing in premises management systems
TWI441493B (zh) * 2007-11-27 2014-06-11 Ind Tech Res Inst 網路位址轉換的系統與方法
US11916928B2 (en) 2008-01-24 2024-02-27 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US20170185278A1 (en) 2008-08-11 2017-06-29 Icontrol Networks, Inc. Automation system user interface
US11792036B2 (en) 2008-08-11 2023-10-17 Icontrol Networks, Inc. Mobile premises automation platform
US11729255B2 (en) 2008-08-11 2023-08-15 Icontrol Networks, Inc. Integrated cloud system with lightweight gateway for premises automation
US11758026B2 (en) 2008-08-11 2023-09-12 Icontrol Networks, Inc. Virtual device systems and methods
US11258625B2 (en) 2008-08-11 2022-02-22 Icontrol Networks, Inc. Mobile premises automation platform
US9628440B2 (en) 2008-11-12 2017-04-18 Icontrol Networks, Inc. Takeover processes in security network integrated with premise security system
US8638211B2 (en) 2009-04-30 2014-01-28 Icontrol Networks, Inc. Configurable controller and interface for home SMA, phone and multimedia
JP5437785B2 (ja) * 2009-12-21 2014-03-12 富士通株式会社 認証方法、変換装置、中継装置、及び該プログラム
US9144143B2 (en) 2010-04-30 2015-09-22 Icontrol Networks, Inc. Power and data solution for remote low-power devices
EP2569712B1 (en) 2010-05-10 2021-10-13 Icontrol Networks, Inc. Control system user interface
US8836467B1 (en) 2010-09-28 2014-09-16 Icontrol Networks, Inc. Method, system and apparatus for automated reporting of account and sensor zone information to a central station
US11750414B2 (en) 2010-12-16 2023-09-05 Icontrol Networks, Inc. Bidirectional security sensor communication for a premises security system
US9147337B2 (en) 2010-12-17 2015-09-29 Icontrol Networks, Inc. Method and system for logging security event data
US20120324567A1 (en) * 2011-06-17 2012-12-20 General Instrument Corporation Method and Apparatus for Home Network Discovery
JP6248329B2 (ja) 2011-12-27 2017-12-20 インテル・コーポレーション デバイス固有のワンタイムパスワードによるネットワークからの認証
US9231908B2 (en) * 2012-02-08 2016-01-05 Microsoft Technology Licensing, Llc Ensuring symmetric routing to private network
KR20140026787A (ko) * 2012-08-23 2014-03-06 알서포트 주식회사 원격 지원을 위한 영상 교환 방법 및 원격 지원을 위한 영상 교환 시스템
US20140149540A1 (en) * 2012-11-23 2014-05-29 Oracle International Corporation Decentralized administration of access to target systems in identity management
US9928975B1 (en) 2013-03-14 2018-03-27 Icontrol Networks, Inc. Three-way switch
US9867143B1 (en) 2013-03-15 2018-01-09 Icontrol Networks, Inc. Adaptive Power Modulation
US9287727B1 (en) 2013-03-15 2016-03-15 Icontrol Networks, Inc. Temporal voltage adaptive lithium battery charger
US20140337961A1 (en) * 2013-05-08 2014-11-13 Promise Technology, Inc. System for implementing dynamic access to private cloud environment via public network
US10841668B2 (en) 2013-08-09 2020-11-17 Icn Acquisition, Llc System, method and apparatus for remote monitoring
JP5786913B2 (ja) * 2013-09-20 2015-09-30 コニカミノルタ株式会社 情報通信システム、中間サーバおよびプログラム
US9256726B2 (en) * 2014-02-19 2016-02-09 Avaya Inc. Call center customer service kiosk
US11146637B2 (en) 2014-03-03 2021-10-12 Icontrol Networks, Inc. Media content management
US11405463B2 (en) 2014-03-03 2022-08-02 Icontrol Networks, Inc. Media content management
DE102014113885A1 (de) * 2014-11-11 2016-05-12 Deutsche Telekom Ag Verfahren zum Aufbau eines lokalen Steuerungskanals zwischen einem Steuerungsgerät und einem gebäudeinternen Zugangsportal
US10116661B2 (en) * 2016-12-27 2018-10-30 Oath Inc. Method and system for classifying network requests
US11689414B2 (en) * 2017-11-10 2023-06-27 International Business Machines Corporation Accessing gateway management console

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5113499A (en) * 1989-04-28 1992-05-12 Sprint International Communications Corp. Telecommunication access management system for a packet switching network
JP2000512044A (ja) * 1996-06-07 2000-09-12 エイ・ティ・アンド・ティ・コーポレーション インターネット・ファイル・システム
JP3688464B2 (ja) * 1997-05-06 2005-08-31 株式会社東芝 端末装置、サーバ装置、通信装置および制御方法
US5978951A (en) * 1997-09-11 1999-11-02 3Com Corporation High speed cache management unit for use in a bridge/router
US6353614B1 (en) * 1998-03-05 2002-03-05 3Com Corporation Method and protocol for distributed network address translation
US6393467B1 (en) * 1998-08-31 2002-05-21 Nortel Networks Limited Network interconnected computing device, server and notification method
JP2000172600A (ja) * 1998-12-03 2000-06-23 Canon Inc ネットワーク構成調査方法、ネットワーク機器制御方法及びその装置
US6715082B1 (en) * 1999-01-14 2004-03-30 Cisco Technology, Inc. Security server token caching
US6615357B1 (en) * 1999-01-29 2003-09-02 International Business Machines Corporation System and method for network address translation integration with IP security
US6081900A (en) * 1999-03-16 2000-06-27 Novell, Inc. Secure intranet access
JP3318289B2 (ja) * 1999-08-10 2002-08-26 松下電送システム株式会社 ホームネットワークゲートウエイ装置
US6618757B1 (en) * 2000-05-17 2003-09-09 Nortel Networks Limited System and method for dynamic IP address management
JP2002032342A (ja) 2000-07-17 2002-01-31 Isamu Maeda 情報端末確認とワンタイム・パスワード等による認証システム
JP2002123491A (ja) * 2000-10-13 2002-04-26 Nippon Telegr & Teleph Corp <Ntt> 認証代行方法、認証代行装置、及び認証代行システム
KR100416541B1 (ko) * 2000-11-30 2004-02-05 삼성전자주식회사 홈게이트웨이와 홈포탈서버를 이용한 홈네트워크 접근방법 및 그 장치
KR20020055287A (ko) * 2000-12-28 2002-07-08 구자홍 라우터 장치의 패킷 라우팅 방법
JP3616570B2 (ja) * 2001-01-04 2005-02-02 日本電気株式会社 インターネット中継接続方式
JP2002247111A (ja) * 2001-02-20 2002-08-30 Mcm Japan Kk 不正アクセス防止方法及びセキュリティ管理装置及びゲートウェイ装置及び端末装置
JP2002342285A (ja) * 2001-05-18 2002-11-29 Ntt Data Corp 情報発行システム
JP2003030146A (ja) * 2001-07-17 2003-01-31 Nec Corp 端末認証機能を有するネットワークシステム、該システムに用いられる端末認証方法及び認証制御プログラム
JP2003044927A (ja) * 2001-08-01 2003-02-14 Akira Higuchi 商品購入システム、商品購入方法及び商品購入システムにおける管理サーバ
JP3645844B2 (ja) * 2001-09-12 2005-05-11 日本電気株式会社 中継接続方式およびネットワークレベル認証サーバおよびゲートウェイ装置および情報サーバおよびプログラム
JP2003099341A (ja) * 2001-09-20 2003-04-04 Canon Inc ネットワークデバイス管理装置、管理システム及び管理方法、並びにネットワークデバイス
JP4118566B2 (ja) * 2002-01-17 2008-07-16 学校法人早稲田大学 機器統合のためのネットワーク構築装置
US7181612B1 (en) * 2002-01-17 2007-02-20 Cisco Technology, Inc. Facilitating IPsec communications through devices that employ address translation in a telecommunications network

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014125956A1 (ja) * 2013-02-15 2014-08-21 スター精密株式会社 ネットワークのアクセス制御システム、アクセス制御装置およびアクセス制御用プログラム

Also Published As

Publication number Publication date
WO2004105333A1 (ja) 2004-12-02
JPWO2004105333A1 (ja) 2006-07-20
US20050169288A1 (en) 2005-08-04
US7856023B2 (en) 2010-12-21

Similar Documents

Publication Publication Date Title
JP4260116B2 (ja) 安全な仮想プライベート・ネットワーク
US8458359B2 (en) System for the internet connections, and server for routing connection to a client machine
KR100461593B1 (ko) 통신망을 통한 원격제어서비스 제공장치, 시스템 및 방법
EP1753180B1 (en) Server for routing a connection to a client device
US7631181B2 (en) Communication apparatus and method, and program for applying security policy
TWI274491B (en) Network interconnection apparatus, network interconnection method, name resolution apparatus and computer program
JP4909277B2 (ja) ネットワーク通信機器、ネットワーク通信方法、アドレス管理機器
EP1755285A1 (en) Domestic network setting method, home gateway device, home gateway program, and recording medium
US20080098088A1 (en) Communication System, Terminal Device And Communication Device
KR101614945B1 (ko) 홈 네트워크에서의 개인정보 보호 방법 및 장치
JP2003348116A (ja) 家庭内ネットワーク向けアドレス自動設定方式
US11838269B2 (en) Securing access to network devices utilizing authentication and dynamically generated temporary firewall rules
US20100030346A1 (en) Control system and control method for controlling controllable device such as peripheral device, and computer program for control
JP4524906B2 (ja) 通信中継装置、通信中継方法、および通信端末装置、並びにプログラム記憶媒体
WO2006016500A1 (ja) ネットワークカメラ、ddnsサーバおよび映像配信システム
JP3649440B2 (ja) クライアント機器への接続をルーティングするためのサーバ
JP4340848B2 (ja) リモートアクセスシステムおよびリモートアクセス方法
JP5169461B2 (ja) セキュリティパラメータ配布装置及びセキュリティパラメータ配布方法
Cisco MPLS VPN ID
CN108834141A (zh) 一种新型物联网网关接入认证方法及系统
JP2006020089A (ja) 端末装置、vpn接続制御方法、及び、プログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071218

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080812

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081014

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090203

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090203

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120220

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4260116

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130220

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140220

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees