JP4477612B2 - 通信制御装置、通信制御方法、通信制御プログラムおよびコンピュータ読み取り可能な記録媒体 - Google Patents

通信制御装置、通信制御方法、通信制御プログラムおよびコンピュータ読み取り可能な記録媒体 Download PDF

Info

Publication number
JP4477612B2
JP4477612B2 JP2006257847A JP2006257847A JP4477612B2 JP 4477612 B2 JP4477612 B2 JP 4477612B2 JP 2006257847 A JP2006257847 A JP 2006257847A JP 2006257847 A JP2006257847 A JP 2006257847A JP 4477612 B2 JP4477612 B2 JP 4477612B2
Authority
JP
Japan
Prior art keywords
connection
request
network
permission
destination device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006257847A
Other languages
English (en)
Other versions
JP2008079147A (ja
Inventor
欣子 末田
正久 川島
敬宏 春山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006257847A priority Critical patent/JP4477612B2/ja
Publication of JP2008079147A publication Critical patent/JP2008079147A/ja
Application granted granted Critical
Publication of JP4477612B2 publication Critical patent/JP4477612B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

この発明は、複数の通信装置がデータ中継装置を介して他のネットワークに接続されるように構成されたネットワークから、同様に構成された他のネットワークに対して送信される接続要求に応じて、ネットワーク間の接続を制御する通信制御装置、通信制御方法および通信制御プログラムに関する。
従来より、ネットワーク機能を持つ家電(いわゆる、情報家電)が普及するにつれて、各家庭では、これらの情報家電を用いてホームネットワークの構築を行っている。そして、これらのホームネットワークに接続される各情報家電は、インターネットや異なるホームネットワークと接続して、各種データなどのやり取りなどを行う。
そこで、自身のホームネットワークと、インターネットや異なるホームネットワークと接続する際に、不正な利用者が自身のホームネットワークに入り込むことを防ぐ様々な技術が開示されている。
一般的には、自身のホームネットワークと他のネットワークとを接続するHGW(Home GateWay)やファイアウォールなどは、自身のホームネットワークと接続することを許可した装置および当該装置のIPアドレスなどを記載したアクセス制御リストを保持し、このアクセス制御リストに基づいて、アクセスを制御する(非特許文献1参照)。
具体的に説明すると、HGWやファイアウォールは、他のネットワークからアクセスがあると、このアクセス制御リストを参照して、接続を許可したり、拒否するなどのアクセス制御を行うことで、不正な利用者が自身のホームネットワークに入り込むことを防ぐことが行われている。
始動する「LANオンデマンド」"検疫とネットワーク認証がLANを脅威から守る砦"、日経コミュニケーション、2006年5月1日
ところで、上記した従来の技術は、アクセス制御リストに記載されていない未知の装置に対しては、アクセスを拒否するしかなく、こういった未知の装置に対してアクセスを許可するには、予め(事前に)、アクセス制御リストを更新する必要があり、利用者の負担が大きいという課題があった。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、利用者の負担なく、機動的にアクセス制御を行うことが可能である通信制御装置を提供することを目的とする。
上述した課題を解決し、目的を達成するため、発明は、複数の通信装置がデータ中継装置を介して他のネットワークに接続されるように構成されたネットワークから、同様に構成された他のネットワークに対して送信される接続要求に応じて、ネットワーク間の接続を制御する通信制御装置であって、前記接続要求を受信したことが通知される装置を特定する通知先装置情報を記憶する通知先装置情報記憶手段と、前記ネットワークから前記接続要求を受信した場合に、前記通知先装置情報記憶手段に記憶される通知先装置に対して当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信する接続許可要求手段と、前記接続許可要求手段により許可する旨の応答が受信された場合に、前記ネットワークとの接続を許可し、前記接続許可要求手段により拒否する旨の応答が受信された場合に、前記ネットワークとの接続を拒否する接続制御手段と、を備えたことを特徴とする。
また、発明は、上記の発明において、前記接続許可要求手段は、前記ネットワークから前記接続要求とともに、接続要求先の装置を示す接続先装置情報を受信した場合に、前記通知先装置に対して当該接続先装置情報を明示した上で、接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信し、前記接続制御手段は、前記接続許可要求手段により許可する旨の応答が受信された場合に、前記接続要求先の装置との接続を許可し、前記接続許可要求手段により拒否する旨の応答が受信された場合に、前記接続要求先の装置との接続を拒否することを特徴とする。
また、発明は、上記の発明において、前記接続許可要求手段は、前記ネットワークから前記接続要求とともに、接続先の装置により提供されるサービスを示すサービス情報を受信した場合に、前記通知先装置に対して当該サービス情報を明示した上で、接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信し、前記接続制御手段は、前記接続許可要求手段により許可する旨の応答が受信された場合に、前記サービスを提供する装置との接続を許可し、前記接続許可要求手段により拒否する旨の応答が受信された場合に、前記サービスを提供する装置との接続を拒否することを特徴とする。
また、発明は、上記の発明において、前記接続許可要求手段は、前記ネットワークから前記接続要求とともに、接続要求先の接続先装置情報および接続要求元の装置を示す接続要求元装置情報とを受信した場合に、前記通知先装置に対して当該接続先装置情報と接続要求元装置情報とを明示した上で、当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信し、前記接続制御手段は、前記接続許可要求手段により許可する旨の応答が受信された場合に、前記接続要求先装置と前記接続要求元装置との接続を許可し、前記接続許可要求手段により拒否する旨の応答が受信された場合に、前記接続要求先装置と前記接続要求元装置との接続を拒否することを特徴とする。
また、発明は、上記の発明において、前記接続制御手段により前記ネットワークとの接続が許可された場合に、当該接続が許可されたネットワークに関する接続許可情報を記憶する接続許可情報記憶手段をさらに備え、前記接続許可要求手段は、前記ネットワークから前記接続要求を受信すると、当該接続要求を送信したネットワークに関する接続許可情報が前記接続許可情報記憶手段に記憶されているか否かを判定し、接続許可情報が記憶されていないと判定した場合に、前記通知先装置に当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信し、接続許可情報が記憶されていると判定した場合に、当該接続を許可するか否かの問い合わせを行うことなく、当該接続を許可すると判定することを特徴とする。
また、発明は、上記の発明において、前記接続制御手段により前記ネットワークとの接続が拒否された場合に、当該接続が拒否されたネットワークに関する接続拒否情報を記憶する接続拒否情報記憶手段をさらに備え、前記接続許可要求手段は、前記ネットワークから前記接続要求を受信すると、当該接続要求を送信したネットワークに関する接続拒否情報が前記接続拒否情報記憶手段に記憶されているか否かを判定し、接続拒否情報が記憶されていると判定した場合に、前記通知先装置に当該接続を許可するか否かの問い合わせを行うことなく、当該接続を拒否すると判定し、接続拒否情報が記憶されていないと判定した場合に、前記通知先装置に当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信することを特徴とする。
また、発明は、上記の発明において、前記接続許可要求手段は、前記ネットワークから前記接続要求とともに、前記データ中継装置が署名した電子署名を受信した場合に、前記電子署名が正当であることを条件として、前記通知先装置に当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信することを特徴とする。
また、発明は、上記の発明において、前記接続許可要求手段は、前記ネットワークから前記接続要求とともに、前記ネットワークの利用者に関する属性情報を受信した場合に、前記属性情報が所定の条件を満たすことを条件として、前記通知先装置に当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信することを特徴とする。
また、発明は、上記の発明において、前記接続制御手段は、前記接続許可要求手段により許可する旨の応答が受信された場合に、前記接続要求が許可されたことを前記ネットワーク内のデータ中継装置に通知して、接続を受け付けることを特徴とする。
また、発明は、上記の発明において、前記接続制御手段は、前記接続許可要求手段により許可する旨の応答が受信された場合に、前記ネットワーク内のデータ中継装置に対して接続を行うことを特徴とする。
また、発明は、上記の発明において、前記接続許可要求手段は、前記通知先装置に当該接続を許可するか否かを問い合わせるとともに、前記接続の有効期限を示す有効期限情報を送信して、前記通知先装置から許可または拒否する旨の応答を受信し、前記接続制御手段は、前記接続許可要求手段により許可する旨の応答が受信された場合に、当該有効期限情報に示される有効期限を満たすことを条件として、前記ネットワークとの接続を許可し、前記接続許可要求手段により拒否する旨の応答が受信された場合に、前記接続要求先の装置との接続を拒否することを特徴とする。
また、発明は、複数の通信装置がデータ中継装置を介して他のネットワークに接続されるように構成されたネットワークから、同様に構成された他のネットワークに対して送信される接続要求に応じて、ネットワーク間の接続を制御することに適する通信制御方法であって、前記接続要求を受信したことが通知される装置を特定する通知先装置情報を記憶する通知先装置情報記憶手段と、前記ネットワークから前記接続要求を受信した場合に、前記通知先装置情報記憶手段に記憶される通知先装置に対して当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信する接続許可要求工程と、前記接続許可要求工程により許可する旨の応答が受信された場合に、前記ネットワークとの接続を許可し、前記接続許可要求工程により拒否する旨の応答が受信された場合に、前記ネットワークとの接続を拒否する接続制御工程と、を含んだことを特徴とする。
また、発明は、複数の通信装置がデータ中継装置を介して他のネットワークに接続されるように構成されたネットワークから、同様に構成された他のネットワークに対して送信される接続要求に応じて、ネットワーク間の接続を制御することをコンピュータに実行させる通信制御プログラムであって、前記接続要求を受信したことが通知される装置を特定する通知先装置情報を記憶する通知先装置情報記憶手段と、前記ネットワークから前記接続要求を受信した場合に、前記通知先装置情報記憶手段に記憶される通知先装置に対して当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信する接続許可要求手順と、前記接続許可要求手順により許可する旨の応答が受信された場合に、前記ネットワークとの接続を許可し、前記接続許可要求手順により拒否する旨の応答が受信された場合に、前記ネットワークとの接続を拒否する接続制御手順と、をコンピュータに実行させることを特徴とする。
発明によれば、接続要求を受信したことが通知される装置を特定する通知先装置情報を記憶し、ネットワークから接続要求を受信した場合に、記憶される通知先装置に対して当該接続を許可するか否かを問い合わせて、通知先装置から許可または拒否する旨の応答を受信し、許可する旨の応答が受信された場合に、ネットワークとの接続を許可し、拒否する旨の応答が受信された場合に、ネットワークとの接続を拒否するので、利用者の負担なく、機動的にアクセス制御(接続制御)を行うことが可能である。
例えば、接続要求ごとに接続を許可または拒否するなど(例えば、見ず知らずの装置やユーザからのアクセスを拒否するなど)、接続相手を確認してアクセス制御をすることができる結果、利用者の負担なく、機動的にアクセス制御(接続制御)を行うことが可能である。また、アクセスリストによるアクセス制御に比べて、頻繁にアクセスリストを更新したりする必要がなく、機動的にアクセス制御(接続制御)を行うことが可能である。
また、発明によれば、ネットワークから接続要求とともに、接続要求先の装置を示す接続先装置情報を受信した場合に、通知先装置に対して当該接続先装置情報を明示した上で、接続を許可するか否かを問い合わせて、通知先装置から許可または拒否する旨の応答を受信し、許可する旨の応答が受信された場合に、接続要求先の装置との接続を許可し、拒否する旨の応答が受信された場合に、接続要求先の装置との接続を拒否するので、ネットワーク同士を全面的に接続する必要がなく、接続要求元のネットワークと自ネットワークの接続を要求された装置のみとを接続することができ、セキュリティを高く保ちつつ、アクセス制御(接続制御)を行うことが可能である。例えば、接続要求元のネットワークと自ネットワークのPCとを接続するだけでよく、自ネットワークに接続される他の装置へのアクセスを拒否する制御をすることができる。
また、発明によれば、ネットワークから接続要求とともに、接続先の装置により提供されるサービスを示すサービス情報を受信した場合に、通知先装置に対して当該サービス情報を明示した上で、接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信し、許可する旨の応答が受信された場合に、サービスを提供する装置との接続を許可し、拒否する旨の応答が受信された場合に、サービスを提供する装置との接続を拒否するので、ネットワーク同士を全面的に接続する必要がなく、接続要求元のネットワークと自ネットワークのサービスを提供する装置のみとを接続することができ、さらに、セキュリティを高く保ちつつ、アクセス制御(接続制御)を行うことが可能である。
例えば、ネットワークと装置とを接続する場合に比べて、接続要求元のネットワークと自ネットワークが提供する音楽ダウンロードサービスだけを接続するだけでよく、自ネットワークが提供する他のサービスへのアクセスを拒否する制御をすることができる。
また、発明によれば、ネットワークから接続要求とともに、接続要求先の接続先装置情報および接続要求元の装置を示す接続要求元装置情報とを受信した場合に、通知先装置に対して当該接続先装置情報と接続要求元装置情報とを明示した上で、当該接続を許可するか否かを問い合わせて、通知先装置から許可または拒否する旨の応答を受信し、許可する旨の応答が受信された場合に、接続要求先装置と接続要求元装置との接続を許可し、拒否する旨の応答が受信された場合に、接続要求先装置と接続要求元装置との接続を拒否するので、ネットワーク同士を全面的に接続する必要がなく、接続要求先装置と接続要求元装置とを接続することができ、さらに、セキュリティを高く保ちつつ、アクセス制御(接続制御)を行うことが可能である。
例えば、接続要求元のネットワークに接続されるWebTVと自ネットワークに接続されるPCとを接続するだけでよく、接続要求元のネットワークに接続されるHDDやPCなどの他の装置から自ネットワークへのアクセスを拒否することができるなど不要なアクセスを防止することができる。
また、発明によれば、ネットワークとの接続が許可された場合に、当該接続が許可されたネットワークに関する接続許可情報を記憶し、ネットワークから接続要求を受信すると、当該接続要求を送信したネットワークに関する接続許可情報が記憶されているか否かを判定し、接続許可情報が記憶されていないと判定した場合に、通知先装置に当該接続を許可するか否かを問い合わせて、通知先装置から許可または拒否する旨の応答を受信し、接続許可情報が記憶されていると判定した場合に、当該接続を許可するか否かの問い合わせを行うことなく、当該接続を許可すると判定するので、一度、接続(アクセス)を許可したネットワークから再度、接続要求を受信した場合、接続許可または拒否を問い合わせる必要がなく、さらに、利用者の負担を軽減することができる。
また、発明によれば、ネットワークとの接続が拒否された場合に、当該接続が拒否されたネットワークに関する接続拒否情報を記憶し、ネットワークから接続要求を受信すると、当該接続要求を送信したネットワークに関する接続拒否情報が記憶されているか否かを判定し、接続拒否情報が記憶されていると判定した場合に、通知先装置に当該接続を許可するか否かの問い合わせを行うことなく、当該接続を拒否すると判定し、接続拒否情報が記憶されていないと判定した場合に、通知先装置に当該接続を許可するか否かを問い合わせて、通知先装置から許可または拒否する旨の応答を受信するので、一度、接続(アクセス)を拒否したネットワークから再度、接続要求を受信した場合、接続許可または拒否を問い合わせる必要がなく、さらに、利用者の負担を軽減することができる。
また、発明によれば、ネットワークから接続要求とともに、データ中継装置が署名した電子署名を受信した場合に、電子署名が正当であることを条件として、通知先装置に当該接続を許可するか否かを問い合わせて、通知先装置から許可または拒否する旨の応答を受信するので、未知の装置からアクセスがあった場合でも、電子署名により不正な利用者によるアクセスでないと確認でき、さらに、不正な利用者が自身のホームネットワークに入り込むことを防ぐアクセス制御(接続制御)を行うことが可能である。
また、発明によれば、ネットワークから接続要求とともに、ネットワークの利用者に関する属性情報を受信した場合に、属性情報が所定の条件を満たすことを条件として、通知先装置に当該接続を許可するか否かを問い合わせて、通知先装置から許可または拒否する旨の応答を受信するので、属性情報に基づいて、アクセス制御を行うことが可能である。
例えば、属性情報として年齢を受信することで、20歳未満の利用者に対して有料サービスを提供する装置への接続(アクセス)を拒否したり、属性情報として性別を受信することで、男性の利用者に対して女性専用サービスを提供する装置への接続を拒否することが可能である。
また、発明によれば、許可する旨の応答が受信された場合に、接続要求が許可されたことをネットワーク内のデータ中継装置に通知して、接続を受け付けるので、接続要求(アクセス)が許可されたことを、接続要求元が確認することが可能である。例えば、接続要求後に許可されていないにも関わらず、接続しにいったりするなどの無駄なパケット送信を防止することが可能である。
また、発明によれば、許可する旨の応答が受信された場合に、ネットワーク内のデータ中継装置に対して接続を行うので、接続要求(アクセス)が許可した後に、接続要求先装置は、自身の都合やタイミングに応じて、接続をすることが可能である。例えば、接続を許可した後から接続されるまでの時間において、ファイアウォールの設定を変更していたるなどセキュリティ的に危険である無駄な時間を短縮することが可能である。
また、発明によれば、通知先装置に当該接続を許可するか否かを問い合わせるとともに、接続の有効期限を示す有効期限情報を送信して、通知先装置から許可または拒否する旨の応答を受信し、許可する旨の応答が受信された場合に、当該有効期限情報に示される有効期限を満たすことを条件として、ネットワークとの接続を許可し、拒否する旨の応答が受信された場合に、接続要求先の装置との接続を拒否するので、接続回数(利用回数)の少ない接続要求送信元に対して、有効期限を設けることで悪意のある第三者がネットワークに侵入することを防ぐことが可能である。例えば、一度きりの接続要求などに対して接続を許可したい場合でも、有効期限を定めることで、無用心に接続を許可し続けることを防ぐことが可能である。
以下に添付図面を参照して、この発明に係る接続制御装置の実施例を詳細に説明する。なお、以下の実施例で用いる主要な用語、実施例1に係る通信装置の概要および特徴、実施例1に係る通信装置の構成および処理の手順、実施例1の効果を順に説明し、続いて、他の実施例について説明する。
[用語の説明]
まず最初に、本実施例で用いる主要な用語を説明する。本実施例で用いる「ホームネットワーク」とは、電話機やWebTVなど複数の通信装置(例えば、情報家電)がHGW(Home GateWay)を介して他のネットワークに接続されるように構成されたネットワークであり、インターネットなどの外部のネットワークからはあらかじめ登録しておいた利用者のみが利用できるようになっている。具体的には、ホームネットワーク(A)は、利用者(A)が管理するホームネットワークであり、利用者(A)が使用する装置のみが、ホームネットワーク(A)を利用でき、同様に、ホームネットワーク(B)は、利用者(B)が管理するホームネットワークであり、利用者(B)が使用する装置のみが、ホームネットワーク(B)を利用できる。
また、ホームネットワークに接続される装置としては、「電話機」「WebTV」「HDD」などの情報家電があり、これらの情報家電が相互接続されることにより、ホームネットワークが構成される。「電話機」は、アナログ電話機やVoIP電話機などのテンキーを備え、ダイアル信号により相手先を指定して通話接続を行う電話機である。「WebTV」は、インターネットが利用できるテレビであり、テレビを見ながら、WWW(World Wide Web)を閲覧したり、電子メールを送受信したりすることができる。「HDD」は、ハードディスクレコーダーなどの記憶装置であり、WebTVなどによりダウンロードされた音楽や映画などを保存することができる。これらの情報家電は、あくまで一例であり、PC(Personal Computer)など様々な装置がある。
なお、このようなホームネットワークを構成する情報家電は、Ethernet(登録商標)を用いた一般的なLAN(Local Erea Network)で接続されていてもよく、家電標準化技術であるDLNA(Digital Living Netwirk Alliance)やUPnP(Universal Plug and Play)などのプロトコルを用いて接続するなど、あらゆる通信制御方式を用いることができる。
また、本実施例で用いる「携帯電話(B)」は、ホームネットワーク(B)を管理する利用者(B)が所有するパーソナルコンピュータやワークステーション、家庭用ゲーム機、インターネットTV、PDA、あるいは携帯電話やPHSの如き移動体通信端末である。具体的には、電話(通話機能)や電子メール機能などにより、他の装置と通信可能に接続することができる移動体通信端末である。なお、「携帯電話(B)」は、特許請求の範囲に記載の「通信先装置」に対応する。
本実施例で用いる「HGW」は、ホームネットワーク(A)とホームネットワーク(B)とのを接続を制御する装置であり、アドレス変換やデータの載せ換えなどを行うことにより情報家電を相互接続する。具体的には、インターネットなどのネットワークと宅内ネットワークなどのローカルネットワークの間に配置され、ホームルータ、プロトコル変換、ファイアウォール、ファイアウォールのルール動的変更などの機能や放送受信機能などのセットトップボックスを備えるゲートウェイ装置(GW装置)である。例えば、ホームネットワークに設置されたWebTVから発信されるリクエストであり、当該宅内ネットワークに設置されたHDDやPCからWebTVに提供されるサービスに関して情報を要求する旨のリクエストを受信したり、ホームネットワークに設置されたWebTVからインターネット接続要求を受信して、NAT変換を行い、当該要求をインターネット網に送信したりする。なお、「HGW」は、特許請求の範囲に記載の「通信制御装置」に対応する。また、本実施例では、「HGW(通信制御装置)」と特許請求の範囲に記載の「データ中継装置」が同じ装置で構成される場合について説明するが、本発明はこれに限定されるものではなく、「HGW(通信制御装置)」と「データ中継装置」とが別の装置で構成されていてもよい。
また、この「HGW」は、VoIP−GW(Vice Over Internet Protocol―GateWay)としての機能を有するとともに、IP電話アダプタを有し、ホームネットワークと外部のVoIP網とを接続する。さらに、「HGW」は、宅内ネットワークの電話回線と外部の公衆電話交換回線網であるPSTN(Public Switch Telephone Networks)とを接続する機能も備える。つまり、IP電話機、アナログ電話機のいずれの電話機が接続されていても、通常の通話(呼処理)を行うことができる。なお、IP電話アダプタは、必ずしもHGWに内蔵されている必要はなく、他の装置として宅内ネットワークに接続されていてもよい。
なお、本実施例では、HGWは、異なるホームネットワーク間を接続する場合について説明するが、本発明はこれに限定されるものではなく、ホームネットワークと企業内LANとを接続したり、異なる企業内LAN間を接続したり、あらゆる形態のネットワーク間を接続することができる。
[通信制御装置(HGW(B))の概要および特徴]
続いて、図1を用いて、実施例1に係るHGW(B)の概要および特徴を説明する。図1は、実施例1に係るHGW(B)の全体構成を示すシステム構成図である。
図1に示すように、このシステムは、利用者(A)の管理下にあるホームネットワーク(A)と、利用者(B)が所有する携帯電話(B)と、利用者(B)の管理下にあるホームネットワーク(B)とが、インターネットなどのネットワークにより接続される。そして、ホームネットワーク(A)は、電話機(A)と、WebTV(A)と、HDD(A)とがHGW(A)を介して相互に通信可能に接続されるとともに、HGW(A)を介してインターネットに接続されている。また、ホームネットワーク(B)も同様に、電話機(B)と、WebTV(B)と、HDD(B)とがHGW(B)を介して相互に通信可能に接続されるとともに、HGW(A)を介してインターネットに接続されている。 そして、HGW(A)には、IPアドレスとして「192.168.1.1」が設定されており、HGW(B)には、IPアドレスとして「10.1.1.1」が設定されている。
このような構成のもと、実施例1に係るHGW(B)は、上記したように、電話機(A)などがHGW(A)を介して他のネットワークに接続されるように構成されたホームネットワーク(A)から、同様に構成されたホームネットワーク(B)に対して送信される接続要求に応じて、ネットワーク間の接続を制御することを概要とするものであり、特に、利用者の負担なく、機動的にアクセス制御(接続制御)を行うことが可能である点に主たる特徴がある。
この主たる特徴を具体的に説明すると、図1に示すように、HGW(B)は、接続要求を受信したことが通知される装置(携帯電話(B))を特定する通知先装置情報を通信先情報DBに記憶する。具体的に例を挙げれば、通信先装置情報DBは、『通知先装置の電話番号を示す「電話番号」、通知先装置のメールアドレスを示す「メールアドレス」』として、「090−XXX−XXXX、XXX@YYY」などと記憶する。
このような状態において、例えば、電話機(A)からHGW(A)を介して送信された接続要求を受信した場合に、HGW(B)は、記憶される通知先装置の携帯電話(B)に対して当該接続を許可するか否かを問い合わせて、携帯電話(B)から許可または拒否する旨の応答を受信する(図1の(1)〜(5)を参照)。
具体的に例を挙げれば、電話機(A)によりホームネットワーク(B)に対して送信された接続要求を受信すると、HGW(A)は、インターネットを介してHGW(B)に当該接続要求を送信する。続いて、当該接続要求を受信したHGW(B)は、通信先情報DBに記憶される通信先装置情報(090−XXX−XXXX、XXX@YYY)を読み出して、通信先装置にメールや電話を用いて当該接続要求を許可する否かを問い合わせる。なお、この際、HGW(B)は、HGW(A)のIPアドレスに対応付けてホスト名などを記憶しておく。そうすることで、HGW(B)は、接続要求を受信した場合に、送信元装置の利用者を特定し、当該接続要求に利用者名を付加して、携帯電話(B)に問い合わせを行うようにしてもよい(図4参照)。
その後、当該接続要求を受信した携帯電話(B)は、利用者の操作により「許可」が指示されると、当該応答として「許可」を応答し、「拒否」が指示されると、「拒否」をHGW(B)に応答として送信する。
そして、HGW(B)は、許可する旨の応答が受信された場合に、ホームネットワーク(A)との接続を許可し、拒否する旨の応答が受信された場合に、ホームネットワーク(A)との接続を拒否する(図1の(6)参照)。上記した例で具体的に説明すると、HGW(B)は、携帯電話(B)より許可する旨の応答が受信された場合に、HGW(B)のファイアウォールの設定変更などを行うことでHGW(A)とHGW(B)とを通信可能にし、ホームネットワーク(A)とホームネットワーク(B)とを接続する。一方、HGW(B)は、携帯電話(B)より拒否する旨の応答が受信された場合に、HGW(B)はホームネットワーク(A)とホームネットワーク(B)とを接続を拒否する。
このように、実施例1では、接続要求ごとに接続を許可または拒否するなど(例えば、見ず知らずの装置やユーザからのアクセスを拒否するなど)、接続相手を確認してアクセス制御をすることができ、また、アクセスリストによるアクセス制御に比べて、頻繁にアクセスリストを更新したりする必要がない結果、上記した主たる特徴のごとく、利用者の負担なく、機動的にアクセス制御(接続制御)を行うことが可能である。
[通信制御装置(HGW(B))の構成]
次に、図2および図3を用いて、図1に示したHGW(B)の構成を説明する。図2は、実施例1に係るHGW(B)の構成を示すブロック図であり、図3は、通信先装置情報DBに記憶される情報の構成例を示した図であり、図4は、携帯電話(B)に送信される接続許可要求の画面例を示した図である。
図2に示すように、このHGW(B)20は、通信制御I/F部21と、記憶部22と、制御部24とから構成される。通信制御I/F部21は、HGW(A)などとの間でやり取りする各種情報に関する通信を制御する。具体的に例を挙げると、HGW(A)などからインターネットなどを介して接続要求を受信したり、携帯電話(B)に接続を許可するか否かを問い合わせの要求を送信したり、携帯電話(B)に送信される接続許可問い合わせに対する応答を受信したりする。
記憶部22は、制御部24による各種処理に必要なデータおよびプログラムを格納し、特に本発明に密接に関連するものとしては、通知先装置情報DB23を備える。通知先装置情報DB23は、図3に示すように、接続要求を受信したことが通知される装置(携帯電話(B))を特定する通知先装置情報を記憶する。具体的に例を挙げれば、通信先装置情報DBは、『通知先装置の電話番号を示す「電話番号」、通知先装置のメールアドレスを示す「メールアドレス」』として、「090−XXX−XXXX、XXX@YYY」などと記憶する。
また、通知先装置情報DB23は、HGW(A)のIPアドレスに対応付けてホスト名などを記憶しておくことで、送信元装置の利用者を特定するようにしてもよい。例えば、「接続要求元装置のIPアドレス、接続要求元の装置名、利用者名』として「10.1.1.1、HGW(A)、利用者(A)さん」などと記憶してもよい。なお、通知先装置情報DB23に記憶される各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
制御部24は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、特に本発明に密接に関連するものとしては、接続要求許可要求部25と、接続制御部26とを備え、これらによって種々の処理を実行する。
接続要求許可要求部25は、ホームネットワーク(A)からHGW(A)を介して送信された接続要求を受信した場合に、記憶される通知先装置の携帯電話(B)に対して当該接続を許可するか否かを問い合わせて、携帯電話(B)から許可または拒否する旨の応答を受信する。上記した例で具体的に説明すると、接続要求を受信した接続要求許可要求部25は、通信先装置情報DB23に記憶される通信先装置情報(090−XXX−XXXX、XXX@YYY)を読み出して、図4に示したような、応答画面を携帯電話(B)にメールで送信する。
その後、接続要求許可要求部25は、携帯電話(B)において「許可」が操作指示されると、当該接続要求に対する応答として当該接続を許可する旨の応答を携帯電話(B)から受信する。一方、接続要求許可送信部25は、携帯電話(B)により「拒否」が操作支持されると、当該接続要求に対する応答として当該接続を拒否する旨の応答を携帯電話(B)から受信する。そして、接続要求許可要求部25は、当該応答を後述する接続制御部26に通知する。
なお、接続要求許可要求部25は、SIPメッセージやHTTPアクセスなどの通信によりHGW(A)から接続要求を受信する。また、接続要求許可要求部25は、HTTPアクセスにより接続要求を受信した場合に、接続要求元にIDなどを入力させたり、Turingテストなどのチャレンジ&レスポンスを行うことで、なりすまし防止やDos攻撃(Denial of Services)を防ぐようにしてもよい。
また、接続要求許可要求部25は、通知先装置として携帯電話(B)に接続を許可するか否かの問い合わせを送信する場合について説明したが、本発明はこれに限定されるものではなく、WebTVやインターフォンに問い合わせを送信してもよい。例えば、接続要求許可要求部25は、WebTVなどに問い合わせ画面を表示したり、インターフォンを鳴らしたりしてもよい。
接続制御部26は、例えば、携帯電話(B)により許可する旨の応答が受信された場合に、ホームネットワーク(A)との接続を許可し、拒否する旨の応答が受信された場合に、ホームネットワーク(A)との接続を拒否する。上記した例で具体的に説明すると、接続制御部26は、接続要求許可要求部25により携帯電話(B)から許可する旨の応答が受信された場合に、HGW(B)のファイアウォールの設定変更などを行うことでHGW(A)とHGW(B)とを通信可能にし、ホームネットワーク(A)とホームネットワーク(B)とを接続する。つまり、電話機(A)からWebTV(B)への接続が可能となるなど、ホームネットワーク(A)とホームネットワーク(B)とを全体的に接続する。一方、接続制御部26は、接続要求許可要求部25により携帯電話(B)から拒否する旨の応答が受信された場合に、HGW(B)はホームネットワーク(A)とホームネットワーク(B)との接続を拒否する。
[通信制御装置(HGW(B))による処理]
次に、図5を用いて、HGW(B)による処理を説明する。図5は、実施例1に係るHGW(B)による処理の流れを示すシーケンス図である。
図5に示すように、HGW(B)の接続許可要求部25は、電話機(A)からHGW(A)を介して送信された接続要求を受信する(ステップS501)。そして、HGW(B)の接続許可要求部25は、記憶される通知先装置の携帯電話(B)のIPアドレスを通知先装置情報DB23から取得し、携帯電話(B)に当該接続を許可するか否かを問い合わせる(ステップS502)。
その後、携帯電話(B)は、受信した当該接続要求に対して、接続を許可するかまたは拒否するかを示す接続応答をHGW(B)に送信する(ステップS503)。そして、HGW(B)の接続許可要求部25は、携帯電話(B)から許可の応答を受信する(ステップS504)。
許可する旨の応答を受信すると、HGW(B)の接続制御部26は、接続要求許可要求部25により携帯電話(B)から許可する旨の応答が受信された場合に、HGW(B)のファイアウォールの設定変更などを行うことでHGW(A)とHGW(B)との接続し、ホームネットワーク(A)とホームネットワーク(B)とを接続する(ステップS505)。
一方、HGW(B)の接続制御部26は、接続要求許可要求部25により携帯電話(B)から拒否する旨の応答が受信された場合に、HGW(B)はホームネットワーク(A)とホームネットワーク(B)との接続を拒否する。
[実施例1による効果]
このように、実施例1によれば、接続要求を受信したことが通知される装置を特定する通知先装置情報を記憶し、ホームネットワーク(A)から接続要求を受信した場合に、通知先装置情報DB23に記憶される携帯電話(B)に対して当該接続を許可するか否かを問い合わせて、携帯電話(B)から許可または拒否する旨の応答を受信し、接続許可要求部25により許可する旨の応答が受信された場合に、ホームネットワーク(A)との接続を許可し、接続許可要求部25により拒否する旨の応答が受信された場合に、ホームネットワーク(A)との接続を拒否するので、利用者の負担なく、機動的にアクセス制御(接続制御)を行うことが可能である。
例えば、接続要求ごとに接続を許可または拒否するなど(例えば、見ず知らずの装置やユーザからのアクセスを拒否するなど)、接続相手を確認してアクセス制御をすることができる結果、利用者の負担なく、機動的にアクセス制御(接続制御)を行うことが可能である。
さて、これまで実施例1では、接続要求が許可または拒否により、ホームネットワーク(A)とホームネットワーク(B)との接続を制御する(許可または拒否する)場合について説明してきたが、接続が許可されると、当該接続が許可されたネットワークに関する接続許可情報を接続許可情報DBに記憶するようにしてもよい。
そこで、実施例2では、図6〜図8を用いて、接続が許可されると、当該接続が許可されたネットワークに関する接続許可情報を接続許可情報DBに記憶する場合について説明する。なお、以下では、実施例2に係る通信制御装置を含むシステムの全体構成、処理の手順、実施例2の効果を順に説明する。
[通信制御装置(HGW(B))を含むシステムの全体構成]
まず、図6を用いて、実施例2に係るHGW(B)を含むシステムの全体構成を説明する。図6は、実施例2に係るHGW(B)を含むシステムの全体構成図であり、図7は、接続許可情報DBに記憶される情報の構成例を示す図である。
図6に示すように、このシステムは、ホームネットワーク(A)と、携帯電話(B)と、ホームネットワーク(B)と、ホームネットワーク(Y)が、インターネットなどのネットワークにより接続される。そして、それぞれのホームネットワークは、図1と同様の装置が相互に通信可能に接続され、また、HGW(B)は、接続要求を受信したことが通知される装置(携帯電話(B))を特定する通知先装置情報を通信先装置情報DBに記憶する。
そして、HGW(A)とHGW(B)とには、実施例1と同様に、IPアドレスがそれぞれ「192.168.1.1」「10.1.1.1」が設定されており、HGW(Y)には、IPアドレス「100.100.100.100」が設定されている。
そして、実施例1と異なり、HGW(B)は、接続が許可されたネットワークに関する接続許可情報を接続許可情報DBに記憶する。具体的に例を挙げれば、図7の(1)に示すように、接続許可情報DBは、『利用者名を示す「利用者名」、接続元の装置名を示す「接続元装置名」、接続元のIPアドレスを示す「接続元IPアドレス」、接続先の装置名を示す「接続先装置名」、接続先のIPアドレスを示す「接続先IPアドレス」』として「利用者(Y)、HGW(Y)、100.100.100.100、HGW(B)、10.1.1.1」などと記憶する。なお、接続許可情報DBに記憶される各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
このような構成のもと、HGW(B)は、HGW(Y)から接続要求を受信すると、当該接続要求を送信したホームネットワーク(Y)に関する接続許可情報が接続許可情報DBに記憶されているか否かを判定する(図6の(1)と(2)を参照)。具体的に例を挙げれば、HGW(B)は、HGW(Y)から接続要求を受信すると、当該接続要求を送信したホームネットワーク(Y)のHGW(Y)に関するIPアドレスや接続装置先名などが接続許可情報DBに記憶されているか否かを判定する。
そして、HGW(B)は、接続許可情報が記憶されていると判定した場合に、当該接続を許可するか否かの問い合わせを行うことなく、当該接続を許可すると判定する(図6の(3)を参照)。上記した例で具体的に説明すると、HGW(B)は、接続許可情報DBにHGW(Y)に関する情報が記憶されていることを根拠に、携帯電話(B)に当該接続を許可するか否かの問い合わせを行うことなく、ホームネットワーク(Y)とホームネットワーク(B)とを接続する。
一方、HGW(A)からHGW(B)に対して接続要求が送信された場合、接続許可情報DBにHGW(A)に関する情報が記憶されていないことを根拠にして、実施例1で説明したように、HGW(B)は、通知先装置情報DBに記憶される通知先装置の携帯電話(B)に対して当該接続を許可するか否かを問い合わせて、携帯電話(B)から許可または拒否する旨の応答を受信し、受信した応答に基づいてHGW(A)とHGW(B)との接続を許可または拒否する。
そして、許可する旨の応答を受信した場合、HGW(B)は、当該接続を許可したホームネットワーク(A)に関する情報を接続許可情報DBに格納する。上記した例で具体的に説明すると、図7の(2)に示すように、HGW(B)は、「利用者(A)、HGW(A)、192.168.1.1、HGW(B)、10.1.1.1」などと接続許可情報DBに格納する。その後、再びHGW(A)から接続要求を受信すると、HGW(B)は、接続許可情報が記憶されていることを根拠に、当該接続を許可するか否かの問い合わせを行うことなく、当該接続を許可すると判定する。
なお、接続要求を受信したHGW(B)が当該接続を拒否した場合、HGW(B)は、当該接続を拒否したホームネットワーク(A)に関する情報を接続拒否情報DBに格納するようにしてもよい。これにより、一度、接続を拒否したネットワークから再度、接続要求を受信した場合、接続許可または拒否を問い合わせる必要がなく、さらに、利用者の負担を軽減することができる。
また、接続要求を受信したHGW(B)が当該接続を許可(または、拒否)したホームネットワーク(A)に関する情報を接続許可情報DB(または、接続拒否情報DB)に格納するとともに、接続要求を送信したHGW(A)は、当該接続が許可(または、拒否)されたホームネットワーク(B)に関する情報を、自身が管理する接続許可情報DB(または、接続拒否情報DB)に格納するようにしてもよい。これにより、接続要求元と接続要求先が逆になった場合でも、一度、接続を許可した(または、拒否した)ネットワークから再度、接続要求を受信した場合、接続許可または拒否を問い合わせる必要がなく、さらに、利用者の負担を軽減することができる。
また、HGW(A)およびHGW(B)は、接続許可情報DBの中からアクセスの少ない情報を定期的に削除するようにしてもよい。これにより、接続許可情報DBの容量などの浪費を防止することができる。
[通信制御装置(HGW(B))による処理]
次に、図8を用いて、HGW(B)による処理を説明する。図8は、実施例2に係るHGW(B)による処理の流れを示すフローチャートである。
図8に示すように、接続要求を受信すると(ステップS801肯定)、HGW(B)は、当該接続要求を送信したホームネットワーク(または、HGW)が接続許可情報DBに記憶されているか否かを判定する(ステップS802)。
接続許可情報が記憶されていると判定した場合(ステップS802肯定)、HGW(B)は、当該接続を許可するか否かの問い合わせを行うことなく、当該接続を許可すると判定して接続制御を行う(ステップS803)。
一方、接続許可情報が記憶されていないと判定した場合(ステップS802否定)、HGW(B)は、当該接続を許可するか否かの問い合わせを通知先装置に問い合わせる(ステップS804)。そして、許可応答を受信すると(ステップS805肯定)、HGW(B)は、当該接続許可されたネットワーク(HGW)に関する情報を接続許可情報DBに格納し(ステップS806)、接続制御を行う(ステップS803)。一方、拒否応答を受信すると(ステップS805否定)、HGW(B)は、接続拒否制御を行う(ステップS807)。
[実施例2による効果]
このように、実施例2によれば、ホームネットワークとの接続が許可された場合に、当該接続が許可されたネットワークに関する接続許可情報を記憶する接続許可情報DBをさらに備え、ホームネットワークから接続要求を受信すると、当該接続要求を送信したホームネットワークに関する接続許可情報が接続許可情報DBに記憶されているか否かを判定し、接続許可情報が記憶されていないと判定した場合に、通知先装置に当該接続を許可するか否かを問い合わせて、通知先装置から許可または拒否する旨の応答を受信し、当該接続を許可したネットワークに関する情報を接続許可情報DBに格納し、接続許可情報が記憶されていると判定した場合に、当該接続を許可するか否かの問い合わせを行うことなく、当該接続を許可すると判定するので、一度、接続(アクセス)を許可したネットワークから再度、接続要求を受信した場合、接続許可または拒否を問い合わせる必要がなく、さらに、利用者の負担を軽減することができる。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に示すように、(1)接続対象、(2)証明書、(3)属性情報、(4)接続順序、(5)有効期限、(6)システム構成等、にそれぞれ区分けして異なる実施例を説明する。
(1)接続対象
例えば、実施例1と2では、ホームネットワーク同士を接続する場合について説明したが、本発明はこれに限定されるものではなく、ネットワークと装置とを接続したりしてもよい。具体的に例を挙げると、HGW(A)は、接続要求とともに、接続先装置情報(例えば、WebTV(B)やHDD(B)など)を送信するようにしてもよい。この場合、HGW(B)は、図9に示したように、通知先装置に対して当該接続先装置情報であるWebTV(B)を明示した上で、接続を許可するか否かを問い合わせて、接続を制御する。
これにより、ホームネットワーク同士を全面的に接続する必要がなく、接続要求元のホームネットワークと自ホームネットワークの接続を要求された装置のみとを接続することができ、セキュリティを高く保ちつつ、アクセス制御(接続制御)を行うことが可能である。例えば、接続要求元のホームネットワークと自ホームネットワークのPCとを接続するだけでよく、自ホームネットワークに接続される他の装置へのアクセスを拒否する制御をすることができる。
また、HGW(A)は、ホームネットワーク(B)とホームネットワーク(B)のサービスを提供する装置のみとを接続するようにしてもよい。具体的に例を挙げると、HGW(A)は、接続要求とともに、接続先の装置により提供されるサービスを示すサービス情報(例えば、音楽ダウンロードサービスや映像視聴サービスなど)を送信するようにしてもよい。この場合、HGW(B)は、図10に示したように、通知先装置に対して当該サービス情報である音楽ダウンロードサービスを明示した上で、接続を許可するか否かを問い合わせて、接続要求先の装置との接続を制御する。
これにより、ネットワーク同士を全面的に接続する必要がなく、接続要求元のホームネットワークと自ホームネットワークのサービスを提供する装置のみとを接続することができ、さらに、セキュリティを高く保ちつつ、アクセス制御(接続制御)を行うことが可能である。例えば、ホームネットワークと装置とを接続する場合に比べて、接続要求元のホームネットワークと自ホームネットワークが提供する音楽ダウンロードサービスだけを接続するだけでよく、自ホームネットワークが提供する他のサービスへのアクセスを拒否する制御をすることができる。
また、HGW(A)は、接続要求とともに、ホームネットワーク(A)に接続される特定の装置とホームネットワーク(B)に接続される特定の装置とを接続するようにしてもよい。具体的に例を挙げると、HGW(A)は、接続要求とともに、接続要求先の接続先装置情報(例えば、WebTV(B)など)および接続要求元の装置を示す接続要求元装置情報(例えば、WebTV(A)など)とをHGW(B)に送信してもよい。この場合、HGW(B)は、図11に示したように、通知先装置に対して当該接続先装置情報(WebTV(B))と接続要求元装置情報(WwbTV(A))とを明示した上で、当該接続を許可するか否かを問い合わせて、接続要求先装置と接続要求元装置との接続を制御する。
これにより、ホームネットワーク同士を全面的に接続する必要がなく、接続要求先装置と接続要求元装置とを接続することができ、さらに、セキュリティを高く保ちつつ、アクセス制御(接続制御)を行うことが可能である。例えば、接続要求元のホームネットワークに接続されるWebTVと自ホームネットワークに接続されるPCとを接続するだけでよく、接続要求元のホームネットワークに接続されるHDDやPCなどの他の装置から自ホームネットワークへのアクセスを拒否することができるなど不要なアクセスを防止することができる。
なお、HGWは、接続要求元の装置を識別するホームネットワーク内の装置と識別子とを対応付けて「WebTV、01」などと記憶しておいたり、また、あらかじめ接続要求先の装置名や識別子、サービス名などを記憶しておいてもよい。この場合、HGW(A)は、接続要求に接続要求先を示す「01」などを付して、当該接続要求をHGW(B)に送信する、当該接続要求を受信したHGW(B)は、接続要求に付された「01」から接続要求先を「WebTV」と特定することができる。
(2)証明書
また、接続要求を送信するHGW(A)は、接続要求とともに、電子証明書を送信するようにしてよい。この場合、HGW(B)は、受信した電子署名が正当であることを条件として、通知先装置に当該接続を許可するか否かを問い合わせて、接続を制御する。これにより、未知の装置からアクセスがあった場合でも、HGW(B)は、電子署名により不正な利用者によるアクセスでないと確認でき、さらに、不正な利用者が自身のホームネットワークに入り込むことを防ぐアクセス制御(接続制御)を行うことが可能である。
(3)属性情報
また、接続要求を送信するHGW(A)は、接続要求とともに、利用者(A)の属性情報(例えば、年齢や性別など)を送信するようにしてよい。この場合、HGW(B)は、受信した属性情報が所定の条件を満たすことを条件として通知先装置に当該接続を許可するか否かを問い合わせて、接続を制御する。これにより、HGW(B)は、属性情報に基づいて、アクセス制御を行うことが可能である。例えば、属性情報として年齢を受信することで、20歳未満の利用者に対して有料サービスを提供する装置への接続(アクセス)を拒否したり、属性情報として性別を受信することで、男性の利用者に対して女性専用サービスを提供する装置への接続を拒否することが可能である。なお、電子署名に限らず、オーソリティの評価に基づく判断、SAML(Security Assertion Markup Language)などを用いてもよい。
(4)接続順序
また、接続要求先のHGW(B)により接続が許可された後、接続要求元のHGW(A)は、接続を行うようにしてもよい。具体的に例を挙げれば、HGW(B)は、許可する旨の応答が受信された場合に、接続要求が許可されたことをホームネットワーク(A)内のHGW(A)に通知して、接続を受け付ける。これにより、接続要求(アクセス)が許可されたことを、接続要求元が確認することが可能である。例えば、接続要求後に許可されていないにも関わらず、接続しにいったりするなどの無駄なパケット送信を防止することが可能である。
また、HGW(B)は、接続を許可した後、HGW(B)から接続要求元のHGW(A)に接続するようにしてもよい。具体的に例を挙げれば、HGW(B)は、許可する旨の応答が受信された場合に、ホームネットワーク(A)内のHGW(A)に対して接続を行う。これにより、接続要求(アクセス)が許可した後に、接続要求先装置は、自身の都合やタイミングに応じて、接続をすることが可能である。例えば、接続を許可した後から接続されるまでの時間において、ファイアウォールの設定を変更していたるなどセキュリティ的に危険である無駄な時間を短縮することが可能である。
(5)有効期限
また、HGW(B)は、接続を許可する場合に、有効期限を設けて許可するようにしてもよい。具体的に例を挙げれば、HGW(B)は、通知先装置(携帯電話(B))に接続を許可するか否かを問い合わせるとともに、接続の有効期限を示す有効期限情報を送信して、当該有効期限情報に示される有効期限を満たすことを条件として、ホームネットワーク(A)とホームネットワーク(B)との接続を制御する。これにより、接続回数(利用回数)の少ない接続要求送信元に対して、有効期限を設けることで悪意のある第三者がネットワークに侵入することを防ぐことが可能である。例えば、一度きりの接続要求などに対して接続を許可したい場合でも、有効期限を定めることで、無用心に接続を許可し続けることを防ぐことが可能である。
(6)システム構成等
また、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については(例えば、通知先装置情報DB23など)、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる(例えば、接続許可要求部25と接続制御部26とを統合するなど)。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
なお、本実施例で説明した各種の処理手順(例えば、図5や図8など)は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
以上のように、本発明に係る通信制御装置、通信制御方法および通信制御プログラムは、複数の通信装置がデータ中継装置を介して他のネットワークに接続されるように構成されたネットワークから、同様に構成された他のネットワークに対して送信される接続要求に応じて、ネットワーク間の接続を制御することに有用であり、特に、利用者の負担なく、機動的にアクセス制御(接続制御)を行うことに適する。
実施例1に係るHGW(B)の全体構成を示すシステム構成図である。 実施例1に係るHGW(B)の構成を示すブロック図である。 通信先装置情報DBに記憶される情報の構成例を示した図である。 携帯電話(B)に送信される接続許可要求の画面例を示した図である。 実施例1に係るHGW(B)による処理の流れを示すシーケンス図である。 実施例2に係るHGW(B)を含むシステムの全体構成図である。 接続許可情報DBに記憶される情報の構成例を示す図である。 実施例2に係るHGW(B)による処理の流れを示すフローチャートである。 携帯電話(B)に送信される接続要求の画面例を示した図である。 携帯電話(B)に送信される接続要求の画面例を示した図である。 携帯電話(B)に送信される接続要求の画面例を示した図である。
符号の説明
20 HGW(B)
21 通信制御I/F部
22 記憶部
23 通知先装置情報DB
24 制御部
25 接続許可要求部
26 接続制御部

Claims (28)

  1. 第一のユーザが管理する通信装置がデータ中継装置を介して他のネットワークに接続されるように構成されたネットワークから、第二のユーザが管理する同様に構成された他のネットワークに対して送信される接続要求に応じて、ネットワーク間の接続を制御する通信制御装置であって、
    前記接続要求を受信したことが第二のユーザに通知される装置を特定する通知先装置情報を記憶する通知先装置情報記憶手段と、
    前記ネットワークから前記接続要求を受信した場合に、前記通知先装置情報記憶手段に記憶される通知先装置に対して当該接続を許可する否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信する接続許可要求手段と、
    前記接続許可要求手段により許可する旨の応答が受信された場合に、前記ネットワークとの接続を許可し、前記接続許可要求手段により拒否する旨の応答が受信された場合に、前記ネットワークとの接続を拒否する接続制御手段と、
    を備えたことを特徴とする通信制御装置。
  2. 前記接続許可要求手段は、前記ネットワークから前記接続要求とともに、接続要求先の装置を示す接続先装置情報を受信した場合に、前記通知先装置に対して当該接続先装置情報を明示した上で、接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信し、
    前記接続制御手段は、前記接続許可要求手段により許可する旨の応答が受信された場合に、前記接続要求先の装置との接続を許可し、前記接続許可要求手段により拒否する旨の応答が受信された場合に、前記接続要求先の装置との接続を拒否することを特徴とする請求項1に記載の通信制御装置。
  3. 前記接続許可要求手段は、前記ネットワークから前記接続要求とともに、接続先の装置により提供されるサービスを示すサービス情報を受信した場合に、前記通知先装置に対して当該サービス情報を明示した上で、接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信し、
    前記接続制御手段は、前記接続許可要求手段により許可する旨の応答が受信された場合に、前記サービスを提供する装置との接続を許可し、前記接続許可要求手段により拒否する旨の応答が受信された場合に、前記サービスを提供する装置との接続を拒否することを特徴とする請求項1に記載の通信制御装置。
  4. 前記接続許可要求手段は、前記ネットワークから前記接続要求とともに、接続要求先の接続先装置情報および接続要求元の装置を示す接続要求元装置情報とを受信した場合に、前記通知先装置に対して当該接続先装置情報と接続要求元装置情報とを明示した上で、当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信し、
    前記接続制御手段は、前記接続許可要求手段により許可する旨の応答が受信された場合に、前記接続要求先装置と前記接続要求元装置との接続を許可し、前記接続許可要求手段により拒否する旨の応答が受信された場合に、前記接続要求先装置と前記接続要求元装置との接続を拒否することを特徴とする請求項1に記載の通信制御装置。
  5. 前記接続制御手段により前記ネットワークとの接続が許可された場合に、当該接続が許可されたネットワークに関する接続許可情報を記憶する接続許可情報記憶手段をさらに備え、
    前記接続許可要求手段は、前記ネットワークから前記接続要求を受信すると、当該接続要求を送信したネットワークに関する接続許可情報が前記接続許可情報記憶手段に記憶されているか否かを判定し、接続許可情報が記憶されていないと判定した場合に、前記通知先装置に当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信し、接続許可情報が記憶されていると判定した場合に、当該接続を許可するか否かの問い合わせを行うことなく、当該接続を許可すると判定することを特徴とする請求項1〜4のいずれか一つに記載の通信制御装置。
  6. 前記接続許可情報記憶手段は、さらに、前記第二のユーザが管理するネットワークから前記第一のユーザが管理するネットワークに対して送信された接続要求に応じて、前記第一のユーザによってネットワークの接続が許可された場合には、前記第一のユーザが管理するネットワークに関する接続許可情報を記憶することを特徴とする請求項5に記載の通信制御装置。
  7. 前記接続制御手段により前記ネットワークとの接続が拒否された場合に、当該接続が拒否されたネットワークに関する接続拒否情報を記憶する接続拒否情報記憶手段をさらに備え、
    前記接続許可要求手段は、前記ネットワークから前記接続要求を受信すると、当該接続要求を送信したネットワークに関する接続拒否情報が前記接続拒否情報記憶手段に記憶されているか否かを判定し、接続拒否情報が記憶されていると判定した場合に、前記通知先装置に当該接続を許可するか否かの問い合わせを行うことなく、当該接続を拒否すると判定し、接続拒否情報が記憶されていないと判定した場合に、前記通知先装置に当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信することを特徴とする請求項1〜4のいずれか一つに記載の通信制御装置。
  8. 前記接続拒否情報記憶手段は、さらに、前記第二のユーザが管理するネットワークから前記第一のユーザが管理するネットワークに対して送信された接続要求に応じて、前記第一のユーザによってネットワークの接続が拒否された場合には、前記第一のユーザが管理するネットワークに関する接続拒否情報を記憶することを特徴とする請求項7に記載の通信制御装置。
  9. 前記接続許可要求手段は、前記ネットワークから前記接続要求とともに、前記データ中継装置が署名した電子署名を受信した場合に、前記電子署名が正当であることを条件として、前記通知先装置に当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信することを特徴とする請求項1〜のいずれか一つに記載の通信制御装置。
  10. 前記接続許可要求手段は、前記ネットワークから前記接続要求とともに、前記ネットワークの利用者に関する属性情報を受信した場合に、前記属性情報が所定の条件を満たすことを条件として、前記通知先装置に当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信することを特徴とする請求項1〜のいずれか一つに記載の通信制御装置。
  11. 前記接続制御手段は、前記接続許可要求手段により許可する旨の応答が受信された場合に、前記接続要求が許可されたことを前記ネットワーク内のデータ中継装置に通知して、前記ネットワークからの接続を受け付けることを特徴とする請求項1〜10のいずれか一つに記載の通信制御装置。
  12. 前記接続制御手段は、前記接続許可要求手段により許可する旨の応答が受信された場合に、前記接続要求の送信元であるネットワーク内のデータ中継装置に対して接続を行うことを特徴とする請求項1〜10のいずれか一つに記載の通信制御装置。
  13. 前記接続許可要求手段は、前記通知先装置に当該接続を許可するか否かを問い合わせるとともに、前記接続の有効期限を示す有効期限情報を送信して、前記通知先装置から許可または拒否する旨の応答を受信し、
    前記接続制御手段は、前記接続許可要求手段により許可する旨の応答が受信された場合に、当該有効期限情報に示される有効期限を満たすことを条件として、前記ネットワークとの接続を許可し、前記接続許可要求手段により拒否する旨の応答が受信された場合に、前記接続要求先の装置との接続を拒否することを特徴とする請求項1に記載の通信制御装置。
  14. 第一のユーザが管理する通信装置がデータ中継装置を介して他のネットワークに接続されるように構成されたネットワークから、第二のユーザが管理する同様に構成された他のネットワークに対して送信される接続要求に応じて、ネットワーク間の接続を制御することに適する通信制御方法であって、
    前記接続要求を受信したことが通知される装置を特定する通知先装置情報を通知先装置情報記憶手段に記憶する通知先装置情報記憶工程と、
    前記ネットワークから前記接続要求を受信した場合に、前記通知先装置情報記憶手段に記憶される通知先装置に対して当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信する接続許可要求工程と、
    前記接続許可要求工程により許可する旨の応答が受信された場合に、前記ネットワークとの接続を許可し、前記接続許可要求工程により拒否する旨の応答が受信された場合に、前記ネットワークとの接続を拒否する接続制御工程と、
    を含んだことを特徴とする通信制御方法。
  15. 前記接続許可要求工程は、前記ネットワークから前記接続要求とともに、接続要求先の装置を示す接続先装置情報を受信した場合に、前記通知先装置に対して当該接続先装置情報を明示した上で、接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信し、
    前記接続制御工程は、前記接続許可要求工程により許可する旨の応答が受信された場合に、前記接続要求先の装置との接続を許可し、前記接続許可要求工程により拒否する旨の応答が受信された場合に、前記接続要求先の装置との接続を拒否することを特徴とする請求項14に記載の通信制御方法。
  16. 前記接続許可要求工程は、前記ネットワークから前記接続要求とともに、接続先の装置により提供されるサービスを示すサービス情報を受信した場合に、前記通知先装置に対して当該サービス情報を明示した上で、接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信し、
    前記接続制御工程は、前記接続許可要求工程により許可する旨の応答が受信された場合に、前記サービスを提供する装置との接続を許可し、前記接続許可要求工程により拒否する旨の応答が受信された場合に、前記サービスを提供する装置との接続を拒否することを特徴とする請求項14に記載の通信制御方法。
  17. 前記接続許可要求工程は、前記ネットワークから前記接続要求とともに、接続要求先の接続先装置情報および接続要求元の装置を示す接続要求元装置情報とを受信した場合に、前記通知先装置に対して当該接続先装置情報と接続要求元装置情報とを明示した上で、当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信し、
    前記接続制御工程は、前記接続許可要求工程により許可する旨の応答が受信された場合に、前記接続要求先装置と前記接続要求元装置との接続を許可し、前記接続許可要求工程により拒否する旨の応答が受信された場合に、前記接続要求先装置と前記接続要求元装置との接続を拒否することを特徴とする請求項14に記載の通信制御方法。
  18. 前記接続制御工程により前記ネットワークとの接続が許可された場合に、当該接続が許可されたネットワークに関する接続許可情報を接続許可情報記憶手段に記憶する接続許可情報記憶工程をさらに含み、
    前記接続許可要求工程は、前記ネットワークから前記接続要求を受信すると、当該接続要求を送信したネットワークに関する接続許可情報が前記接続許可情報記憶手段に記憶されているか否かを判定し、接続許可情報が記憶されていないと判定した場合に、前記通知先装置に当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信し、接続許可情報が記憶されていると判定した場合に、当該接続を許可するか否かの問い合わせを行うことなく、当該接続を許可すると判定することを特徴とする請求項14〜17のいずれか一つに記載の通信制御方法。
  19. 前記接続許可情報記憶工程は、さらに、前記第二のユーザが管理するネットワークから前記第一のユーザが管理するネットワークに対して送信された接続要求に応じて、前記第一のユーザによってネットワークの接続が許可された場合には、前記第一のユーザが管理するネットワークに関する接続許可情報を記憶することを特徴とする請求項18に記載の通信制御方法。
  20. 前記接続制御工程により前記ネットワークとの接続が拒否された場合に、当該接続が拒否されたネットワークに関する接続拒否情報を接続拒否情報記憶手段に記憶する接続拒否情報記憶工程をさらに含み、
    前記接続許可要求工程は、前記ネットワークから前記接続要求を受信すると、当該接続要求を送信したネットワークに関する接続拒否情報が前記接続拒否情報記憶手段に記憶されているか否かを判定し、接続拒否情報が記憶されていると判定した場合に、前記通知先装置に当該接続を許可するか否かの問い合わせを行うことなく、当該接続を拒否すると判定し、接続拒否情報が記憶されていないと判定した場合に、前記通知先装置に当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信することを特徴とする請求項14〜17のいずれか一つに記載の通信制御方法。
  21. 前記接続拒否情報記憶工程は、さらに、前記第二のユーザが管理するネットワークから前記第一のユーザが管理するネットワークに対して送信された接続要求に応じて、前記第一のユーザによってネットワークの接続が拒否された場合には、前記第一のユーザが管理するネットワークに関する接続拒否情報を記憶することを特徴とする請求項20に記載の通信制御方法。
  22. 前記接続許可要求工程は、前記ネットワークから前記接続要求とともに、前記データ中継装置が署名した電子署名を受信した場合に、前記電子署名が正当であることを条件として、前記通知先装置に当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信することを特徴とする請求項14〜21のいずれか一つに記載の通信制御方法。
  23. 前記接続許可要求工程は、前記ネットワークから前記接続要求とともに、前記ネットワークの利用者に関する属性情報を受信した場合に、前記属性情報が所定の条件を満たすことを条件として、前記通知先装置に当該接続を許可するか否かを問い合わせて、前記通知先装置から許可または拒否する旨の応答を受信することを特徴とする請求項14〜21のいずれか一つに記載の通信制御方法。
  24. 前記接続制御工程は、前記接続許可要求工程により許可する旨の応答が受信された場合に、前記接続要求が許可されたことを前記ネットワーク内のデータ中継装置に通知して、前記ネットワークからの接続を受け付けることを特徴とする請求項14〜23のいずれか一つに記載の通信制御方法。
  25. 前記接続制御工程は、前記接続許可要求工程により許可する旨の応答が受信された場合に、前記接続要求の送信元であるネットワーク内のデータ中継装置に対して接続を行うことを特徴とする請求項14〜23のいずれか一つに記載の通信制御方法。
  26. 前記接続許可要求工程は、前記通知先装置に当該接続を許可するか否かを問い合わせるとともに、前記接続の有効期限を示す有効期限情報を送信して、前記通知先装置から許可または拒否する旨の応答を受信し、
    前記接続制御工程は、前記接続許可要求工程により許可する旨の応答が受信された場合に、当該有効期限情報に示される有効期限を満たすことを条件として、前記ネットワークとの接続を許可し、前記接続許可要求工程により拒否する旨の応答が受信された場合に、前記接続要求先の装置との接続を拒否することを特徴とする請求項14に記載の通信制御方法。
  27. コンピュータを請求項1〜13のいずれか一つに記載の通信制御装置として機能させる通信制御プログラム。
  28. 請求項27に記載の通信制御プログラムが記録されているコンピュータ読み取り可能な記録媒体。
JP2006257847A 2006-09-22 2006-09-22 通信制御装置、通信制御方法、通信制御プログラムおよびコンピュータ読み取り可能な記録媒体 Expired - Fee Related JP4477612B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006257847A JP4477612B2 (ja) 2006-09-22 2006-09-22 通信制御装置、通信制御方法、通信制御プログラムおよびコンピュータ読み取り可能な記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006257847A JP4477612B2 (ja) 2006-09-22 2006-09-22 通信制御装置、通信制御方法、通信制御プログラムおよびコンピュータ読み取り可能な記録媒体

Publications (2)

Publication Number Publication Date
JP2008079147A JP2008079147A (ja) 2008-04-03
JP4477612B2 true JP4477612B2 (ja) 2010-06-09

Family

ID=39350704

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006257847A Expired - Fee Related JP4477612B2 (ja) 2006-09-22 2006-09-22 通信制御装置、通信制御方法、通信制御プログラムおよびコンピュータ読み取り可能な記録媒体

Country Status (1)

Country Link
JP (1) JP4477612B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4750761B2 (ja) * 2007-07-23 2011-08-17 日本電信電話株式会社 接続制御システム、接続制御方法、接続制御プログラムおよび中継装置
JP5465646B2 (ja) * 2010-10-08 2014-04-09 日本電信電話株式会社 アクセス制御システム及びアクセス制御方法
JP2014103614A (ja) * 2012-11-22 2014-06-05 Hitachi Ltd 通信システム

Also Published As

Publication number Publication date
JP2008079147A (ja) 2008-04-03

Similar Documents

Publication Publication Date Title
JP4750761B2 (ja) 接続制御システム、接続制御方法、接続制御プログラムおよび中継装置
CN101282254B (zh) 家庭网络设备管理方法、系统及装置
JPWO2002027503A1 (ja) ホームネットワークシステム
CN102077546A (zh) UPnP设备之间的远程访问
WO2008022589A1 (fr) Système et procédé destinés à authentifier une demande d'accès pour un réseau local
WO2004105333A1 (ja) 安全な仮想プライベート・ネットワーク
JP2008098699A (ja) 接続制御システム、接続制御方法およびデータ中継装置
JP4551866B2 (ja) 通信システムおよび呼制御サーバ装置およびプログラム
JP2009163546A (ja) ゲートウェイ、中継方法及びプログラム
CN102801694A (zh) 基于灰名单实现第三方认证的方法和系统
WO2006016500A1 (ja) ネットワークカメラ、ddnsサーバおよび映像配信システム
WO2007138663A1 (ja) ネットワークアクセス制御方法、ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置およびアクセス要求装置
JP4477612B2 (ja) 通信制御装置、通信制御方法、通信制御プログラムおよびコンピュータ読み取り可能な記録媒体
JP2009230256A (ja) 通信制御装置、通信制御方法および通信制御プログラム
JP5487116B2 (ja) 企業内内線アイデンティティをネットワークローミングする方法及び装置
JP4886712B2 (ja) アクセス制御システム、アクセス制御方法、アクセス制御装置およびアクセス制御プログラム
JP4667473B2 (ja) データ中継装置、データ中継方法およびデータ中継プログラム
Müller et al. A secure service infrastructure for interconnecting future home networks based on DPWS and XACML
JP4950095B2 (ja) サービス提供システム、サービス提供方法およびサービス提供プログラム
JP4965499B2 (ja) 認証システム、認証装置、通信設定装置および認証方法
KR101117316B1 (ko) 댁 내 범용 플러그 앤 플레이 디바이스에 대한 원격 접속 서비스를 제공하기 위한 원격 접속 서비스 프로파일 설정 방법 및 사용자 인증 방법
JP2006050114A (ja) 家庭内ネットワークへのアクセス制御方法
JP2004128532A (ja) 機器選択方法及び機器選択装置
JP2007259384A (ja) 通信制御システム、通信制御装置、端末、通信制御方法、およびそのプログラム
EP3380972A1 (en) Network architecture for controlling data signalling

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091222

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100217

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100309

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100311

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130319

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees