JP4641301B2 - 接続制御装置、接続制御方法および接続制御プログラム - Google Patents

接続制御装置、接続制御方法および接続制御プログラム Download PDF

Info

Publication number
JP4641301B2
JP4641301B2 JP2006278045A JP2006278045A JP4641301B2 JP 4641301 B2 JP4641301 B2 JP 4641301B2 JP 2006278045 A JP2006278045 A JP 2006278045A JP 2006278045 A JP2006278045 A JP 2006278045A JP 4641301 B2 JP4641301 B2 JP 4641301B2
Authority
JP
Japan
Prior art keywords
terminal device
user authentication
user
connection
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006278045A
Other languages
English (en)
Other versions
JP2008098939A (ja
Inventor
敬宏 春山
伸太郎 水野
孝二 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006278045A priority Critical patent/JP4641301B2/ja
Publication of JP2008098939A publication Critical patent/JP2008098939A/ja
Application granted granted Critical
Publication of JP4641301B2 publication Critical patent/JP4641301B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

この発明は、第一の端末装置を所有する利用者であることを認証した上で、第二の端末装置からの要求に応じて当該第二の端末装置と第一の端末装置との接続を制御する接続制御装置、接続制御方法および接続制御プログラムに関する。
従来より、ネットワーク機能を持つ家電(いわゆる、情報家電)がホームネットワークの端末装置として普及するにつれて、自宅から離れた自宅外端末装置から自宅ホームネットワーク内の自宅端末装置に接続することが行われている。
一般的には、外部から自宅の情報家電に安全にアクセスするために、自宅外端末装置と自宅端末装置とをVPN(Virtual Private Network)を用いて接続することが行われている(非特許文献1参照)。
具体的には、自宅外端末装置と自宅端末装置との両方にVPNソフトウエアをインストールして、認証情報としてユーザIDとパスワードとを設定しておく。そして、自宅外端末装置にてVPNソフトウエアを起動し、あらかじめ設定しておいた認証情報(ユーザIDとパスワード)を入力することで、自宅外端末装置と自宅端末装置とをVPNを用いて接続する。
"イーサネット over IPで自宅LANにアクセスする"、日経NETWORK、2006年07号、p150〜155
ところで、上記した従来の技術は、第一の端末装置と第二の端末装置とを接続するのに際して、第二の端末装置に認証情報であるユーザIDとパスワードとを入力する必要があり、認証情報の盗難リスクが高いという課題があった。
具体的に例を挙げれば、利用者の管理下にある端末装置と利用者の管理下にない端末装置とを接続するのに際して、利用者の管理下にない自宅外端末装置に認証情報であるユーザIDとパスワードとを入力する必要があった。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、第一の端末装置と第二の端末装置とを接続するのに際して、認証情報の盗難を防止しつつ、安全に接続することが可能である接続制御装置、接続制御方法および接続制御プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、本発明は、第一の端末装置を所有する利用者であることを認証した上で、第二の端末装置からの要求に応じて当該第二の端末装置と前記第一の端末装置とのVPN接続を制御する接続制御装置であって、前記VPN接続の接続先となる前記第一の端末装置を所有する利用者であることを認証するための利用者認証情報に対応付けて、当該利用者が所有する第一の端末装置に付与されているIPアドレスを保持する利用者認証情報保持手段と、前記第二の端末装置から接続要求を受信した場合に、当該接続要求を識別するためのセッション情報を生成して前記第二の端末装置に送信するセッション情報生成手段と、前記第二の端末装置に付与されているIPアドレスを取得し、当該IPアドレスおよび前記セッション情報を対応付けて保持するセッション情報保持手段と、第三の端末装置から前記セッション情報とともに前記利用者認証情報を受信し、当該利用者認証情報が前記利用者認証情報保持手段に保持されているか否かによって、当該利用者認証情報によって示される利用者が、当該利用者認証情報に対応付けて保持されているIPアドレスを付与されている前記第一の端末装置を所有する利用者であることを認証する利用者認証手段と、前記利用者認証手段によって前記第一の端末装置を所有する利用者であると認証された場合に、前記利用者認証情報に対応するIPアドレスを前記利用者認証情報保持手段から取得するとともに、当該利用者認証情報とともに受信したセッション情報に対応するIPアドレスを前記セッション情報保持手段から取得し、当該取得したIPアドレスを用いて前記第一の端末装置および第二の端末装置のVPN接続を制御する接続制御手段と、を備えたことを特徴とする。
また、本発明は、前記利用者認証情報に対応するIPアドレスまたは当該IPアドレスから特定される前記第二の端末装置に係る情報を前記第三の端末装置に送信した後に、前記第一の端末装置および第二の端末装置のVPN接続を許可するか否かを示す情報を前記第三の端末装置から受信する接続許可受信手段をさらに備え、前記接続制御手段は、前記接続許可受信手段によって前記第一の端末装置および第二の端末装置のVPN接続を許可する旨を示す許可情報を受信した場合に、当該第一の端末装置および第二の端末装置のVPN接続を許可することを特徴とする。
また、本発明は、前記利用者認証情報保持手段は、前記利用者が所有する複数の第一の端末装置ごとに、それぞれ付与されているIPアドレスを保持し、前記接続許可受信手段は、前記許可情報とともに、前記複数の第一の端末装置のうちのいずれについてVPN接続を許可するかを示す許可対象情報を前記第三の端末装置から受信し、前記接続制御手段は、前記利用者認証情報および許可対象情報に対応するIPアドレスを前記利用者認証情報保持手段から取得し、当該取得したIPアドレスを用いて前記第一の端末装置および第二の端末装置のVPN接続を許可することを特徴とする。
また、本発明は、前記第三の端末装置は、予め前記利用者認証情報を保持しており、前記セッション情報の入力を受け付けた場合に、前記セッション情報とともに前記利用者認証情報を送信するものであって、前記利用者認証手段は、前記第三の端末装置から前記セッション情報と前記利用者認証情報とを受信することを特徴とする。
また、本発明は、第一の端末装置を所有する利用者であることを認証した上で、第二の端末装置からの要求に応じて当該第二の端末装置と前記第一の端末装置とのVPN接続を制御することに適する接続制御方法であって、前記VPN接続の接続先となる前記第一の端末装置を所有する利用者であることを認証するための利用者認証情報に対応付けて、当該利用者が所有する第一の端末装置に付与されているIPアドレスを保持する利用者認証情報保持手段と、前記第二の端末装置から接続要求を受信した場合に、当該接続要求を識別するためのセッション情報を生成して前記第二の端末装置に送信するセッション情報生成工程と、前記第二の端末装置に付与されているIPアドレスを取得し、当該IPアドレスおよび前記セッション情報を対応付けて保持するセッション情報保持手段と、第三の端末装置から前記セッション情報とともに前記利用者認証情報を受信し、当該利用者認証情報が前記利用者認証情報保持手段に保持されているか否かによって、当該利用者認証情報によって示される利用者が、当該利用者認証情報に対応付けて保持されているIPアドレスを付与されている前記第一の端末装置を所有する利用者であることを認証する利用者認証工程と、前記利用者認証工程によって前記第一の端末装置を所有する利用者であると認証された場合に、前記利用者認証情報に対応するIPアドレスを前記利用者認証情報保持手段から取得するとともに、当該利用者認証情報とともに受信したセッション情報に対応するIPアドレスを前記セッション情報保持手段から取得し、当該取得したIPアドレスを用いて前記第一の端末装置および第二の端末装置のVPN接続を制御する接続制御工程と、を含んだことを特徴とする。
また、本発明は、前記利用者認証情報に対応するIPアドレスまたは当該IPアドレスから特定される前記第二の端末装置に係る情報を前記第三の端末装置に送信した後に、前記第一の端末装置および第二の端末装置のVPN接続を許可するか否かを示す情報を前記第三の端末装置から受信する接続許可受信工程をさらに備え、前記接続制御工程は、前記接続許可受信工程によって前記第一の端末装置および第二の端末装置のVPN接続を許可する旨を示す許可情報を受信した場合に、当該第一の端末装置および第二の端末装置のVPN接続を許可することを特徴とする。
また、本発明は、前記利用者認証情報保持手段は、前記利用者が所有する複数の第一の端末装置ごとに、それぞれ付与されているIPアドレスを保持し、前記接続許可受信工程は、前記許可情報とともに、前記複数の第一の端末装置のうちのいずれについてVPN接続を許可するかを示す許可対象情報を前記第三の端末装置から受信し、前記接続制御工程は、前記利用者認証情報および許可対象情報に対応するIPアドレスを前記利用者認証情報保持手段から取得し、当該取得したIPアドレスを用いて前記第一の端末装置および第二の端末装置のVPN接続を許可することを特徴とする。
また、本発明は、前記第三の端末装置は、予め前記利用者認証情報を保持しており、前記セッション情報の入力を受け付けた場合に、前記セッション情報とともに前記利用者認証情報を送信するものであって、前記利用者認証工程は、前記第三の端末装置から前記セッション情報と前記利用者認証情報とを受信することを特徴とする。
また、本発明は、第一の端末装置を所有する利用者であることを認証した上で、第二の端末装置からの要求に応じて当該第二の端末装置と前記第一の端末装置とのVPN接続を制御することをコンピュータに実行させる接続制御プログラムであって、前記VPN接続の接続先となる前記第一の端末装置を所有する利用者であることを認証するための利用者認証情報に対応付けて、当該利用者が所有する第一の端末装置に付与されているIPアドレスを保持する利用者認証情報保持手段と、前記第二の端末装置から接続要求を受信した場合に、当該接続要求を識別するためのセッション情報を生成して前記第二の端末装置に送信するセッション情報生成手順と、前記第二の端末装置に付与されているIPアドレスを取得し、当該IPアドレスおよび前記セッション情報を対応付けて保持するセッション情報保持手段と、第三の端末装置から前記セッション情報とともに前記利用者認証情報を受信し、当該利用者認証情報が前記利用者認証情報保持手段に保持されているか否かによって、当該利用者認証情報によって示される利用者が、当該利用者認証情報に対応付けて保持されているIPアドレスを付与されている前記第一の端末装置を所有する利用者であることを認証する利用者認証手順と、前記利用者認証手順によって前記第一の端末装置を所有する利用者であると認証された場合に、前記利用者認証情報に対応するIPアドレスを前記利用者認証情報保持手段から取得するとともに、当該利用者認証情報とともに受信したセッション情報に対応するIPアドレスを前記セッション情報保持手段から取得し、当該取得したIPアドレスを用いて前記第一の端末装置および第二の端末装置のVPN接続を制御する接続制御手順と、をコンピュータに実行させることを特徴とする。
また、本発明は、前記利用者認証情報に対応するIPアドレスまたは当該IPアドレスから特定される前記第二の端末装置に係る情報を前記第三の端末装置に送信した後に、前記第一の端末装置および第二の端末装置のVPN接続を許可するか否かを示す情報を前記第三の端末装置から受信する接続許可受信手順をさらに備え、前記接続制御手順は、前記接続許可受信手順によって前記第一の端末装置および第二の端末装置のVPN接続を許可する旨を示す許可情報を受信した場合に、当該第一の端末装置および第二の端末装置のVPN接続を許可することを特徴とする。
また、本発明は、前記利用者認証情報保持手段は、前記利用者が所有する複数の第一の端末装置ごとに、それぞれ付与されているIPアドレスを保持し、前記接続許可受信手順は、前記許可情報とともに、前記複数の第一の端末装置のうちのいずれについてVPN接続を許可するかを示す許可対象情報を前記第三の端末装置から受信し、前記接続制御手順は、前記利用者認証情報および許可対象情報に対応するIPアドレスを前記利用者認証情報保持手段から取得し、当該取得したIPアドレスを用いて前記第一の端末装置および第二の端末装置のVPN接続を許可することを特徴とする。
また、本発明は、前記第三の端末装置は、予め前記利用者認証情報を保持しており、前記セッション情報の入力を受け付けた場合に、前記セッション情報とともに前記利用者認証情報を送信するものであって、前記利用者認証手順は、前記第三の端末装置から前記セッション情報と前記利用者認証情報とを受信することを特徴とする。
また、本発明は、利用者が所有する複数の第一の端末装置のうちのいずれかについて、当該第一の端末装置を所有する利用者であることを認証した上で、第二の端末装置からの接続要求に応じて第三の端末装置を用いて当該第二の端末装置と前記第一の端末装置とを認証し、VPN接続を制御する接続制御装置であって、前記接続制御装置は、前記VPN接続の接続先となる前記第一の端末装置を所有する利用者であることを認証するために、利用者を一意に識別するユーザIDと利用者が設定するパスワードからなる利用者認証情報に対応付けて、当該利用者が所有する第一の端末装置ごとそれぞれに付与されているIPアドレスを保持する利用者認証情報保持手段と、前記第二の端末装置から接続要求を受信した場合に、当該接続要求を識別するためのセッション情報を生成して前記第二の端末装置に送信するセッション情報生成手段と、記第二の端末装置に付与されているIPアドレスを取得し、当該IPアドレスおよび前記セッション情報を対応付けて保持するセッション情報保持手段と、第三の端末装置から前記セッション情報とともに、利用者が入力した若しくは予め第三の端末に保持されていた前記利用者認証情報を受信し、当該利用者認証情報が前記利用者認証情報保持手段に保持されているか否かによって、当該利用者認証情報によって示される利用者が、当該利用者認証情報に対応付けて保持されているIPアドレスを付与されている前記第一の端末装置を所有する利用者であることを認証する利用者認証手段と、前記利用者認証手段によって前記第一の端末装置を所有する利用者であると認証された場合に、前記利用者認証情報に対応するIPアドレスまたは当該IPアドレスから特定される前記第二の端末装置に係る情報を前記第三の端末装置に送信した後に、前記第一の端末装置および第二の端末装置のVPN接続を許可するか否かを示す情報とともに、前記複数の第一の端末装置のうちのいずれについてVPN接続を許可するかを示す許可対象情報を前記第三の端末装置から受信する接続許可受信手段と、前記接続許可受信手段によって前記第一の端末装置および第二の端末装置のVPN接続を許可する旨を示す許可情報を受信した場合に、前記利用者認証情報および前記許可対象情報に対応するIPアドレスを前記利用者認証情報保持手段から取得するとともに当該利用者認証情報とともに受信したセッション情報に対応するIPアドレスを前記セッション情報保持手段から取得し、当該取得したIPアドレスを用いて前記第一の端末装置および第二の端末装置のVPN接続を許可し、制御する接続制御手段とを備えたことを特徴とする。
また、本発明は、利用者が所有する複数の第一の端末装置のうちのいずれかについて、当該第一の端末装置を所有する利用者であることを認証した上で、第二の端末装置からの接続要求に応じて第三の端末装置を用いて当該第二の端末装置と前記第一の端末装置とを認証し、VPN接続を制御する接続制御方法であって、前記接続制御装置は、前記VPN接続の接続先となる前記第一の端末装置を所有する利用者であることを認証するために、利用者を一意に識別するユーザIDと利用者が設定するパスワードからなる利用者認証情報に対応付けて、当該利用者が所有する第一の端末装置ごとそれぞれに付与されているIPアドレスを保持する利用者認証情報保持工程と、前記第二の端末装置から接続要求を受信した場合に、当該接続要求を識別するためのセッション情報を生成して前記第二の端末装置に送信するセッション情報生成工程と、前記第二の端末装置に付与されているIPアドレスを取得し、当該IPアドレスおよび前記セッション情報を対応付けて保持するセッション情報保持手段と、第三の端末装置から前記セッション情報とともに、利用者が入力した若しくは予め第三の端末に保持されていた前記利用者認証情報を受信し、当該利用者認証情報が前記利用者認証情報保持手段に保持されているか否かによって、当該利用者認証情報によって示される利用者が、当該利用者認証情報に対応付けて保持されているIPアドレスを付与されている前記第一の端末装置を所有する利用者であることを認証する利用者認証工程と、前記利用者認証工程によって前記第一の端末装置を所有する利用者であると認証された場合に、前記利用者認証情報に対応するIPアドレスまたは当該IPアドレスから特定される前記第二の端末装置に係る情報を前記第三の端末装置に送信した後に、前記第一の端末装置および第二の端末装置のVPN接続を許可するか否かを示す情報とともに、前記複数の第一の端末装置のうちのいずれについてVPN接続を許可するかを示す許可対象情報を前記第三の端末装置から受信する接続許可受信工程と、前記接続許可受信工程によって前記第一の端末装置および第二の端末装置のVPN接続を許可する旨を示す許可情報を受信した場合に、前記利用者認証情報および前記許可対象情報に対応するIPアドレスを前記利用者認証情報保持手段から取得するとともに当該利用者認証情報とともに受信したセッション情報に対応するIPアドレスを前記セッション情報保持手段から取得し、当該取得したIPアドレスを用いて前記第一の端末装置および第二の端末装置のVPN接続を許可し、制御する接続制御工程と、を備えたことを特徴とする。
また、本発明は、利用者が所有する複数の第一の端末装置のうちのいずれかについて、当該第一の端末装置を所有する利用者であることを認証した上で、第二の端末装置からの接続要求に応じて第三の端末装置を用いて当該第二の端末装置と前記第一の端末装置とを認証し、VPN接続を制御することをコンピュータに実行させる接続制御プログラムであって、前記接続制御装置は、前記VPN接続の接続先となる前記第一の端末装置を所有する利用者であることを認証するために、利用者を一意に識別するユーザIDと利用者が設定するパスワードからなる利用者認証情報に対応付けて、当該利用者が所有する第一の端末装置ごとそれぞれに付与されているIPアドレスを保持する利用者認証情報保持手段と、前記第二の端末装置から接続要求を受信した場合に、当該接続要求を識別するためのセッション情報を生成して前記第二の端末装置に送信するセッション情報生成手順と、記第二の端末装置に付与されているIPアドレスを取得し、当該IPアドレスおよび前記セッション情報を対応付けて保持するセッション情報保持手段と、第三の端末装置から前記セッション情報とともに、利用者が入力した若しくは予め第三の端末に保持されていた前記利用者認証情報を受信し、当該利用者認証情報が前記利用者認証情報保持手段に保持されているか否かによって、当該利用者認証情報によって示される利用者が、当該利用者認証情報に対応付けて保持されているIPアドレスを付与されている前記第一の端末装置を所有する利用者であることを認証する利用者認証手順と、前記利用者認証手順によって前記第一の端末装置を所有する利用者であると認証された場合に、前記利用者認証情報に対応するIPアドレスまたは当該IPアドレスから特定される前記第二の端末装置に係る情報を前記第三の端末装置に送信した後に、前記第一の端末装置および第二の端末装置のVPN接続を許可するか否かを示す情報とともに、前記複数の第一の端末装置のうちのいずれについてVPN接続を許可するかを示す許可対象情報を前記第三の端末装置から受信する接続許可受信手順と、前記接続許可受信手順によって前記第一の端末装置および第二の端末装置のVPN接続を許可する旨を示す許可情報を受信した場合に、前記利用者認証情報および前記許可対象情報に対応するIPアドレスを前記利用者認証情報保持手段から取得するとともに当該利用者認証情報とともに受信したセッション情報に対応するIPアドレスを前記セッション情報保持手段から取得し、当該取得したIPアドレスを用いて前記第一の端末装置および第二の端末装置のVPN接続を許可し、制御する接続制御手順と、をコンピュータに実行させることを特徴とする。
本発明によれば、VPN接続の接続先となる第一の端末装置を所有する利用者であることを認証するための利用者認証情報に対応付けて、当該利用者が所有する第一の端末装置に付与されているIPアドレスを保持し、第二の端末装置から接続要求を受信した場合に、当該接続要求を識別するためのセッション情報を生成して第二の端末装置に送信し、第二の端末装置に付与されているIPアドレスを取得し、当該IPアドレスおよびセッション情報を対応付けて保持し、第三の端末装置からセッション情報とともに利用者認証情報を受信し、当該利用者認証情報が利用者認証情報保持手段に保持されているか否かによって、当該利用者認証情報によって示される利用者が、当該利用者認証情報に対応付けて保持されているIPアドレスを付与されている第一の端末装置を所有する利用者であることを認証し、第一の端末装置を所有する利用者であると認証された場合に、利用者認証情報に対応するIPアドレスを利用者認証情報保持手段から取得するとともに、当該利用者認証情報とともに受信したセッション情報に対応するIPアドレスをセッション情報保持手段から取得し、当該取得したIPアドレスを用いて第一の端末装置および第二の端末装置のVPN接続を制御するので、第一の端末装置と第二の端末装置とを接続するのに際して、認証情報の盗難を防止しつつ、安全に接続することが可能である。
例えば、外部の端末装置と自宅の端末装置を接続する際に、自分の携帯電話で認証情報を送信するなどを行うことができる結果、認証情報の盗難を防止しつつ、安全に接続することが可能である。また、接続制御装置は、第一の端末装置のIPアドレスを保持しており、利用者がIPアドレスを記憶している必要がないので、利用者の負担を軽減することが可能であるとともに、第一の端末装置と第二の端末装置とを接続する際に、第一の端末装置を容易に特定することが可能である。さらに、例えば、端末装置が情報家電の場合、パスワードなどをリモコンで入力する必要があるので、携帯端末などを使用してパスワードなどを入力することができる結果、利用者の負担を削減することが可能である。
また、本発明によれば、利用者認証情報に対応するIPアドレスまたは当該IPアドレスから特定される第二の端末装置に係る情報を第三の端末装置に送信した後に、第一の端末装置および第二の端末装置のVPN接続を許可するか否かを示す情報を第三の端末装置から受信し、第一の端末装置および第二の端末装置のVPN接続を許可する旨を示す許可情報を受信した場合に、当該第一の端末装置および第二の端末装置のVPN接続を許可するので、利用者認証に加え、接続先端末装置を利用者に許可させることができ、利用者認証のみを行って外部の端末装置から自宅LANの端末装置に接続する場合に比べて、さらにセキュリティを高く保ちつつ、安全に接続することが可能である。
また、本発明によれば、利用者が所有する複数の第一の端末装置ごとに、それぞれ付与されているIPアドレスを保持し、許可情報とともに、複数の第一の端末装置のうちのいずれについてVPN接続を許可するかを示す許可対象情報を第三の端末装置から受信し、利用者認証情報および許可対象情報に対応するIPアドレスを利用者認証情報保持手段から取得し、当該取得したIPアドレスを用いて第一の端末装置および第二の端末装置のVPN接続を許可するので、用途、利用状況や回線状況に応じて、容易に接続先を選択することが可能である。
例えば、遅い速度の回線に接続されるHGWでは、音楽や画像などの通信に使用せず、早い速度の回線を選択することができ、また、接続元に応じて、その都度、選択することが出来る。
また、本発明によれば、第三の端末装置は、予め利用者認証情報を保持しており、セッション情報の入力を受け付けた場合に、セッション情報とともに利用者認証情報を送信するものであって、第三の端末装置からセッション情報と利用者認証情報とを受信するので、利用者の負担を削減するとともに、利便性を向上させることが可能である。例えば、携帯電話にユーザIDやパスワードを入力する必要がなく、事前に格納してある端末の個体番号や証明書などを用いて認証することができる結果、利用者の負担を削減するとともに、利便性を向上させることが可能である。
以下に添付図面を参照して、この発明に係る接続制御装置の実施例を詳細に説明する。なお、以下の実施例で用いる主要な用語、実施例1に係る接続制御装置の概要および特徴、実施例1に係る接続制御装置の構成および処理の手順、実施例1の効果を順に説明し、続いて、他の実施例について説明する。
[用語の説明]
まず最初に、本実施例で用いる主要な用語を説明する。本実施例で用いる「HGW(A)およびHGW(B)」は、アドレス変換やデータの載せ換えなどを行うことにより情報家電を相互接続する装置である。具体的には、インターネットと家庭(ホーム)ネットワークの間に配置され、ホームルータ、プロトコル変換、ファイアウォールなどの機能や放送受信機能などのセットトップボックスを備える。例えば、ホームネットワーク内のWebTVなどからインターネット接続要求を受信して、NAT変換を行い、当該要求をインターネット網に送信したり、電子メールを受信して、電子メール機能を備える情報家電(例えば、WebTV)などに送信したりする。なお、「HGW(A)」は、特許請求の範囲に記載の「第一の端末装置」に対応し、「HGW(B)」は、特許請求の範囲に記載の「第二の端末装置」に対応する。
また、上記したHGW(A)やHGW(B)に接続される情報家電として、「WebTV」や「HDD」などがある。「WebTV」とは、インターネットが利用できるテレビであり、テレビを見ながら、WWW(World Wide Web)を閲覧したり、電子メールを送受信したりすることができる。「HDD」は、ハードディスクレコーダーなどの記録媒体であり、WebTVと接続することで、外部から録画予約などを受け付けることができる。
また、本実施例で用いる「携帯端末」とは、既知の携帯用パーソナルコンピュータ、ワークステーション、携帯電話、PHS端末、移動体通信端末またはPDA(Personal Digital Assitants)などの端末装置である。具体的には、ホームネットワークの管理下にない装置であるとともに、インターネット接続機能を備えており、電子メールの送受信や後述するポータルサーバ装置(接続制御装置)へアクセス可能な端末装置である。なお、「携帯端末」は、特許請求の範囲に記載の「第三の端末装置」に対応する。
また、本実施例で用いる「ポータルサーバ装置」とは、第一の端末装置を所有する利用者であることを認証した上で、第二の端末装置からの要求に応じて当該第二の端末装置と第一の端末装置との接続を制御する情報処理装置である。具体的に例を挙げると、HGW(A)に接続されるホームネットワーク(A)の利用者が、自身のホームネットワークではないHGW(B)に接続されるWebTVから自身のホームネットワークにあるPCに接続する場合、当該利用者によりWebTVから接続ソフトウエア(例えば、VPNソフトウエア)などが起動される。その後、WebTVは、接続先であるPCのIPアドレスと利用者情報であるユーザIDとパスワードを受け付けると、当該IPアドレスとユーザIDとパスワードとをポータルサーバ装置に送信する。そして、ポータルサーバ装置は、受信したユーザIDとパスワードにより認証を行い、正当なユーザであると判定すると、受信したIPアドレスを用いて、PCとWebTVとを接続する。なお、「ポータルサーバ装置」は、特許請求の範囲に記載の「接続制御装置」に対応する。
[接続制御装置の概要および特徴]
次に、図1を用いて、実施例1に係るポータルサーバ装置(接続制御装置)の概要および特徴を説明する。図1は、実施例1に係るポータルサーバ装置を含むシステムの全体構成図である。
図1に示すように、HGW(A)とPCとWebTVとからホームネットワーク(A)が構成され、HGW(B)とWebTVとHDDとからホームネットワーク(B)が構成される。そして、ポータルサーバ装置とHGW(A)とHGW(B)とは、インターネットなどのネットワークで相互通信を可能にして接続される。また、携帯電話Aは、ホームネットワーク(A)の利用者により所持されている。
このような構成のもと、実施例1に係るポータルサーバ装置は、上記したように、HGW(A)を所有する利用者であることを認証した上で、HGW(B)からの要求に応じて当該HGW(B)とHGW(A)との接続を制御することを概要とするものであり、特に、HGW(A)とHGW(B)とを接続するのに際して、認証情報の盗難を防止しつつ、安全に接続することが可能である点に主たる特徴がある。
この主たる特徴を具体的に説明すると、図1に示すように、ポータルサーバ装置の利用者認証情報DBは、利用者を認証するための利用者認証情報に対応付けて、当該利用者が所有するHGW(A)に付与されているIPアドレスを保持する。具体的には、利用者認証情報DBは、利用者認証情報として『利用者を一意に識別する「ユーザID」と利用者により設定される「パスワード」』と、HGW(A)の情報として『第一の端末装置を示す「HGWの名称」と第一の端末装置のIPアドレスを示す「HGW IPアドレス」』とを対応付けて利用者情報DBに保持する(図3参照)。例を挙げると、利用者認証情報DBは、利用者認証情報とHGW(A)とを対応付けて、「ユーザID、認証情報(パスワード)、HGW、HGW IPアドレス」を「haru、AAAA、HGW(A)、10.1.1.1」などと保持する。
また、このHGWのIPアドレスは、固定的に割り振られてもよく、一定間隔でHGWを参照することで、取得してもよい。つまり、固定IPアドレスを用いたHGWでも、DHCPなどで一時的に割り振られたIPアドレスを用いたHGWでも、いずれのIPアドレスでも取得し保持することができる。
そして、ポータルサーバ装置は、HGW(B)から接続要求を受信した場合に、当該接続要求を識別するためのセッション情報を生成してHGW(B)に送信し、続いて、ポータルサーバ装置は、HGW(B)に付与されているIPアドレスを取得し、当該IPアドレスおよびセッション情報を対応付けて保持する(図1の(1)〜(5)参照)。
具体的には、ホームネットワーク(A)の利用者によりホームネットワーク(B)のWebTVからHGW(A)への接続要求を受信したHGW(B)は、当該接続要求をポータルサーバ装置に送信する。当該接続要求を受信したポータルサーバ装置は、当該接続要求を識別するためのセッション情報(例えば、123456789)を生成してHGW(B)に送信し、セッション情報を受信したHGW(B)は、接続要求送信元のWevTVに当該セッション情報を送信する。そして、セッション情報を受信したWebTVは、ディスプレイなどに当該セッション情報を出力する。
そして、接続要求を受信してセッション情報を生成したポータルサーバ装置は、HGW(B)に付与されているIPアドレス(例えば、20.1.1.1)を取得し、当該IPアドレスおよびセッション情報(例えば、123456789)を対応付けてセッション情報DBに保持する(図4参照)。例を挙げると、「接続先HGW IPアドレス、セッション情報」として「20.1.1.1、123456789」などとセッション情報DBに保持する。
続いて、ポータルサーバ装置は、携帯端末(A)からセッション情報とともに利用者認証情報を受信し、当該利用者認証情報が保持されているか否かによってHGW(A)を所有する利用者であることを認証する(図1の(6)〜(8)参照)。上記した例で具体的に説明すると、ホームネットワーク(A)の利用者の操作により携帯端末(A)は、ネットワークを介してポータルサーバ装置へアクセスして、認証画面を取得する。そして、HGW(B)に送信されWebTVに出力されたセッション情報(123456789)と利用者認証情報(ユーザID(haru)とパスワード(AAAA))とを認証画面から受け付けると、携帯端末(A)は、当該セッション情報と利用者認証情報とをポータルサーバ装置に送信する。
そして、ポータルサーバ装置の利用者認証情報DBは、ユーザID(haru)とユーザID(haru)に対応したパスワード(AAAA)とを対応付けて保持しているので、ポータルサーバ装置は、HGW(B)から接続要求を送信した利用者を、HGW(A)を所有する利用者であると認証する。
その後、ポータルサーバ装置は、認証結果を携帯端末(A)の送信し、HGW(A)およびHGW(B)の接続を許可する旨を示す許可情報を受け付ける(図1の(9)と(10)参照)。上記した例で具体的に説明すると、ポータルサーバ装置は、認証結果(例えば、認証通過など)を携帯端末(A)に送信し、携帯端末(A)から送信されたHGW(A)とHGW(B)の接続を許可することを示す許可情報を受信する。
そして、ポータルサーバ装置は、利用者認証情報に対応するIPアドレスを利用者認証DBから取得するとともに、当該利用者認証情報とともに受信したセッション情報に対応するIPアドレスをセッション情報DBから取得し、当該取得したIPアドレスを用いてHGW(A)およびHGW(B)の接続を制御する(図1の(11)と(12)参照)。
上記した例で具体的に説明すると、ポータルサーバ装置は、HGW(A)とHGW(B)の接続を許可することを示す許可情報を受信した場合に、利用者認証情報に対応するIPアドレス(10.1.1.1)を利用者認証DBから取得するとともに、当該利用者認証情報とともに受信したセッション情報(123456789)に対応するIPアドレス(20.1.1.1)をセッション情報DBから取得し、当該取得したIPアドレスを用いてHGW(A)およびHGW(B)に鍵情報とVPN接続情報とを送信する。そして、HGW(A)とHGW(B)とは、送信された鍵情報とVPN接続情報を用いてお互いにVPN接続を行う。
続いて、ポータルサーバ装置は、接続情報DBに『生成したセッション情報を示す「セッション情報」、接続元のHGWを示す「接続元HGW IPアドレス」、接続先のHGWを示す「接続先HGW IPアドレス」、許可結果を示す「許可結果」』として「123456789、HGW(A)10.1.1.1、HGW(B)20.1.1.1、TRUE」などと記憶する(図5参照)。
このように、実施例1に係るポータルサーバ装置(接続制御装置)は、上記した主たる特徴のごとく、第一の端末装置(HGW(A))と第二の端末装置(HGW(B))とを接続するのに際して、認証情報(例えば、ユーザIDやパスワード)の盗難を防止しつつ、安全に接続することが可能である。また、ポータルサーバ装置は、第一の端末装置(HGW(A))のIPアドレスを保持しており、利用者がIPアドレスを記憶している必要がないので、利用者の負担を軽減することが可能であるとともに、第一の端末装置(HGW(A))と第二の端末装置(HGW(B))とを接続する際に、第一の端末装置(HGW(A))を容易に特定することが可能である。さらに、例えば、端末装置が情報家電の場合、パスワードなどをリモコンで入力する必要があるので、携帯端末などを使用してパスワードなどを入力することができる結果、利用者の負担を削減することが可能である。
[ポータルサーバ装置を含むシステムの構成]
次に、図2〜8を用いて、図1に示したポータルサーバ装置を含むシステムの構成を説明する。図2は、ポータルサーバ装置を含むシステムの構成を示すブロック図であり、図3は、利用者認証情報DBに保持される情報の構成例を示した図であり、図4は、セッション情報DBに保持される情報の構成例を示した図であり、図5は、接続情報DBに保持される情報の構成例を示した図であり、図6は、WebTVがセッション情報を出力した例を示す図であり、図7は、携帯端末(A)がポータルサーバ装置へアクセスする際の画面例を示した図であり、図8は、携帯端末(A)によりセッション情報と利用者認証情報が送信される画面例を示した図である。図2に示すように、このシステムは、HGW(B)10と、HGW(A)20と、携帯端末(A)30と、ポータルサーバ装置40とから構成される。
(HGW(B)の構成)
HGW(B)10は、通信制御I/F部11と、記憶部13と、制御部15とから構成される。通信制御I/F部11は、インターネットなどのネットワークを介してHGW(A)20やポータルサーバ装置40との間でやり取りする各種情報に関する通信を制御する。具体的に例を挙げれば、後述する接続要求送信部16に送信される接続要求をポータルサーバ装置に送信したり、ポータルサーバ装置40からセッション情報を受信したり、後述する接続部17によりHGW(B)と接続されると、各種データ(例えば、画像や音声など)を送信したりする。ここで、セッション情報を受信すると、通信制御I/F部11は、当該セッション情報をWebTVに送信し、WebTVは、受信したセッション情報をディスプレイやモニタなどに出力する。
記憶部13は、制御部15による各種処理に必要なデータおよびプログラムや通信に必要な情報を格納するとともに、特に本発明に密接に関連するものとしては、IPアドレス記憶部14を備える。IPアドレス記憶部14は、HGW(B)10がHGW(A)20やポータルサーバ装置40との通信に必要であり、ポータルサーバ装置40が接続装置を特定するのに必要なIPアドレス(例えば、20.1.1.1など)を記憶する。このIPアドレス記憶部14は、あらかじめ設定されたIPアドレスを記憶してもよく、DHCPなどにより一時的に割り振られたIPアドレスを動的に取得して記憶してもよい。
制御部15は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、特に本発明に密接に関連するものとしては、接続要求送信部16と、接続部17とを備え、これらによって種々の処理を実行する。
接続要求送信部16は、ポータルサーバ装置40に接続要求を送信する。具体的に例を挙げれば、利用者によりWebTVから接続要求を受信すると、接続要求送信部16は、ポータルサーバ装置40に当該接続要求を送信する。
接続部17は、インターネットなどのネットワークを介して、自身のホームネットワークの管理下にない装置と接続する。具体的に例を挙げれば、ポータルサーバ装置40から鍵情報とVPN接続情報を受信すると、接続部17は、当該鍵情報とVPN接続情報を用いてHGW(A)とVPN接続する。この接続部17は、VPNなどのセキュアな回線を用いて接続してもよく、ファイアウォールの設定を変更することで、ホームネットワークの管理下にない装置と接続するようにしてもよい。
(HGW(A)の構成)
HGW(A)20は、通信制御I/F部21と、記憶部23と、制御部25とから構成される。この通信制御I/F部21と、記憶部23と、制御部25の接続要求送信部26と、接続部27とは、HGW(B)10の通信制御I/F部11と、記憶部13と、制御部15の接続要求送信部16と、接続部17と同様の機能を有するので、ここでは、その詳細な説明は省略する。
(携帯端末(A)の構成)
携帯端末(A)30は、通信部31と、表示部32と、記憶部33と、入力受付部34と、制御部35とから構成される。通信部31は、インターネットなどとの通信を制御したり、図示しない基地局を介して音声通信などを制御したりする。具体的に例を挙げれば、後述する入力受付部34により入力されたセッション情報や利用者認証情報(例えば、ユーザIDやパスワード)をインターネットを介して、ポータルサーバ装置40に送信したりする。
表示部32は、モニタ(若しくはディスプレイ、タッチパネル)やスピーカを備えて構成され、各種の情報を出力する。具体的に例を挙げれば、ポータルサーバ装置40にアクセスする際に、図7に示すように、アクセス画面を出力したり、セッション情報と利用者認証情報とを送信する際に、図8に示すように、セッション情報と利用者認証情報とを利用者に入力を促す画面を出力したりする。
記憶部33は、制御部35による各種処理に必要なデータおよびプログラムを格納する。具体的に例を挙げれば、携帯端末(A)30を識別するための識別番号(例えば、電話番号など)を記憶する。
入力受付部34は、キーボードや各種ボタンなどを備え、利用者により各種入力を受け付ける。具体的に例を挙げれば、図7に示すように、表示部32によりセッション情報と利用者認証情報(例えば、ユーザIDやパスワード)などの入力を受け付ける画面が出力されると、入力受付部34は、利用者によりそれぞれの値の入力を受け付ける。
制御部35は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する処理部である。具体的に例を挙げれば、図6に示すように、「送信」ボタンがクリックされると、制御部35は、ポータルサーバ装置40にアクセスしたり、図7に示すように、送信ボタンがクリックされると、制御部35は、入力されたセッション情報と利用者認証情報とを通信部31を介してポータルサーバ装置40に送信する。
(ポータルサーバ装置の構成)
ポータルサーバ装置40は、通信制御I/F部41と、記憶部42と、制御部46とから構成される。通信制御I/F部41は、HGW(B)10、HGW(A)20や携帯端末(A)30との間でやり取りする各種情報に関する通信を制御する。具体的に例を挙げれば、携帯端末(A)30からネットワークを介してセッション情報や利用者認証情報などを受信したり、携帯端末(A)30に認証結果を送信したり、HGW(B)10に生成したセッション情報を送信したり、HGW(A)20やHGW(B)10に鍵情報やVPN接続情報などを送信したりする。
記憶部42は、制御部46による各種処理に必要なデータおよびプログラムを格納し、特に本発明に密接に関連するものとしては、利用者認証情報DB43と、セッション情報DB44と、接続情報DB45とを備える。なお、利用者認証情報DB43は、特許請求の範囲に記載の「利用者認証情報保持手段」に対応し、セッション情報DB44は、同様に、「セッション情報保持手段」に対応する。
利用者認証情報DB43は、利用者を認証するための利用者認証情報に対応付けて、当該利用者が所有する第一の端末装置に付与されているIPアドレスを保持する。具体的には、利用者認証情報DB43は、利用者を認証するための利用者認証情報(例えば、ユーザIDやパスワード)に対応付けて、当該利用者が所有するHGW(A)20に付与されているIPアドレス(例えば、10.1.1.1)を保持する。例を挙げると、図3に示すように、利用者認証情報として『利用者を一意に識別する「ユーザID」と利用者により設定される「パスワード」』と、第一の端末装置情報として『第一の端末装置を示す「HGWの名称」と第一の端末装置のIPアドレスを示す「HGW IPアドレス」』を、「ユーザID、パスワード、HGW、HGW IPアドレス」として「haru、AAAA、HGW(A)、10.1.1.1」などと保持する。
セッション情報DB44は、第二の端末装置に付与されているIPアドレスとセッション情報を対応付けて保持する。具体的には、後述するセッション情報生成部47により取得されたHGW(B)10に付与されているIPアドレスとセッション情報生成部47により生成されたセッション情報と対応付けて保持する。例を挙げると、図4に示すように、『接続先のHGWのIPアドレスを示す「接続先HGW IPアドレス」、生成されたセッション情報を示す「セッション情報」』として「20.1.1.1、123456789」などと保持する。
接続情報DB45は、生成されたセッション情報と接続した端末情報とを対応付けて保持する。具体的には、接続先HGWと接続元HGWとの接続が許可されると、生成されたセッション情報と、当該セッション情報が割り当てられたHGW(B)10のIPアドレスと、HGW(B)10と接続するHGW(A)20のIPアドレスと、利用者の管理下にあるHGW(A)20の接続先であるHGW(B)10が利用者に許可されたことを示す許可情報とを保持する。例を挙げると、『生成したセッション情報を示す「セッション情報」、接続元のHGWを示す「接続元HGW IPアドレス」、接続先のHGWを示す「接続先HGW IPアドレス」、許可結果を示す「許可結果」』として「123456789、HGW(A)10.1.1.1、HGW(B)20.1.1.1、TRUE」などを保持する。
制御部46は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、特に本発明に密接に関連するものとしては、セッション情報生成部47と、利用者認証部48と、接続許可受信部49と、接続制御部50とを備え、これらによって種々の処理を実行する処理部である。
セッション情報生成部47は、第二の端末装置から接続要求を受信した場合に、当該接続要求を識別するためのセッション情報を生成して第二の端末装置に送信し、第二の端末装置に付与されているIPアドレスを取得し、当該IPアドレスと当該セッション情報とをセッション情報DB44に格納する。上記した例で具体的に説明すると、ホームネットワーク(A)の利用者によりホームネットワーク(B)のWebTVからHGW(A)20への接続要求を受信したHGW(B)10が、当該接続要求をポータルサーバ装置40に送信すると、当該接続要求を受信したセッション情報生成部47は、当該接続要求を識別するためのセッション情報(例えば、123456789)を生成してHGW(B)10に送信する。そして、セッション情報生成部47は、生成したセッション情報と、セッション情報を割り当てたHGW(B)10のIPアドレスを取得し、当該IPアドレスとセッション情報とを対応付けてセッション情報DB44に格納する。
また、セッション情報生成部47は、生成したセッション情報をそのまま送信するだけでなく、セッション情報をQRコード(登録商標)などの二次元コードに変換して、送信するようにしてもよく、セッション情報とIPアドレスとを二次元コードに変換して送信してもよい。さらに例を挙げて説明すると、セッション情報生成部47は、生成したセッション情報とIPアドレスをQRコード(登録商標)に変換して、HGW(B)10に送信する。その後、HGW(B)10により当該QRコードがホームネットワーク(B)のWebTVに送信され、携帯端末(A)30は、WebTVに送信されたQRコードを読み取る。そして、携帯電話(A)30は、読み取ったQRコードにより自動的にポータルサーバ装置40にセッション情報を送信する。その後、携帯電話(A)30は、認証情報をポータルサーバ装置40に送信する。
このように、QRコードを用いることで、セッション情報を自動的に送信することができ、セッションコードを送信するまでの処理を簡略化することが可能である。なお、二次元コードに限らず、バーコードや暗号化したセッション情報などあらゆる送信形態で送信することができる。また、このQRコードは、必ずしもポータルサーバ装置40で生成される必要はなく、セッションコードを受信したHGW(B)10により生成されてもよい。その場合、HGW(B)10の制御部15がQRコードを生成する。
利用者認証部48は、第三の端末装置からセッション情報とともに利用者認証情報を受信し、当該利用者認証情報が利用者認証情報DB43に保持されているか否かによって第一の端末装置を所有する利用者であることを認証する。上記した例で具体的に説明すると、利用者認証部48は、ホームネットワーク(A)の利用者の操作により携帯端末(A)からセッション情報(123456789)とともに利用者認証情報(ユーザID(haru)とパスワード(AAAA))とを受信し、当該利用者認証情報が利用者認証情報DB43に保持されているか否かによってHGW(A)20を所有する利用者であることを認証する。この例の場合、ポータルサーバ装置の利用者認証情報DBは、ユーザID(haru)とユーザID(haru)に対応したパスワード(AAAA)とを対応付けて保持しているので、HGW(B)10から接続要求を送信した利用者を、HGW(A)20を所有する利用者であると認証する。
接続許可受信部49は、利用者認証情報に対応するIPアドレスまたは当該IPアドレスから特定される第二の端末装置に係る情報を第三の端末装置に送信した後に、第一の端末装置および第二の端末装置の接続を許可するか否かを示す情報を第三の端末装置から受信する。上記した例で具体的に説明すると、接続許可受信部49は、図4を参照し、利用者認証情報に対応するIPアドレス(20.1.1.1)または当該IPアドレスから特定されるHGW(B)10に係る情報(例えば、利用者がHGW(A)に設定したホスト名など)とともに、利用者認証部48により認証された認証結果を携帯端末(A)30に送信した後に、HGW(A)20およびHGW(B)10の接続を許可するか否かを示す情報を携帯端末(A)30から受信する。
接続制御部50は、第一の端末装置および第二の端末装置の接続を許可する旨を示す許可情報を受信した場合に、当該第一の端末装置および第二の端末装置の接続を許可し、利用者認証情報に対応するIPアドレスを利用者認証DBから取得するとともに、当該利用者認証情報とともに受信したセッション情報に対応するIPアドレスをセッション情報DBから取得し、当該取得したIPアドレスを用いて第一の端末装置および第二の端末装置の接続を制御する。
上記した例で具体的に説明すると、接続制御部50は、HGW(A)20およびHGW(B)10の接続を許可する旨を示す許可情報を受信した場合に、当該HGW(A)20およびHGW(B)10の接続を許可し、HGW(B)10から接続要求を送信したHGW(A)20を所有する利用者の利用者認証情報に対応するIPアドレス(10.1.1.1)を利用者認証DBから取得するとともに、当該利用者認証情報とともに受信したセッション情報(123456789)に対応するIPアドレス(20.1.1.1)をセッション情報DBから取得し、当該取得したIPアドレスを用いてHGW(A)20およびHGW(B)10に鍵情報とVPN接続情報とを送信する。
また、HGW(A)20およびHGW(B)10の接続を許可にする許可情報を受信した場合に接続制御部50は、「セッション情報、接続元HGW IPアドレス、接続先HGW IPアドレス、許可結果」として「123456789、HGW(A)10.1.1.1、HGW(B)20.1.1.1、TRUE」などを接続情報DBに格納する。
一方、HGW(A)およびHGW(B)の接続を拒否にする許可情報を受信した場合に、接続許可受信部49は、HGW(A)20およびHGW(B)10に鍵情報とVPN接続情報とを送信せずに、「セッション情報、接続元HGW IPアドレス、接続先HGW IPアドレス、許可結果」として「123456789、HGW(A)10.1.1.1、HGW(B)20.1.1.1、FALSE」などを接続情報DBに格納する。
[ポータルサーバ装置を含むシステムによる処理]
次に、図9を用いて、ポータルサーバ装置を含むシステムによる処理を説明する。図9は、ポータルサーバ装置を含むシステムによる流れを示すシーケンス図であり、図10は、ポータルサーバ装置40における処理の流れを示すフローチャートであり、図11は、HGW(B)10における処理の流れを示すフローチャートであり、図12は、携帯端末(A)30における処理の流れを示すフローチャートである。
(ポータルサーバ装置を含むシステムによる流れ)
図9に示すように、WebTVは、HGW(B)10にアクセスすると(ステップS901)、HGW(B)10の接続要求送信部16は、ポータルサーバ装置40に接続要求を送信する(ステップS902)。
続いて、ポータルサーバ装置40のセッション情報生成部47は、セッション情報を生成しHGW(B)10に送信する(ステップS903)。セッション情報を受信したHGW(B)10は、当該セッション情報をWebTVに送信する(ステップS904)。
そして、携帯端末(A)30の制御部35は、ポータルサーバ装置40に認証リクエストを送信しアクセスする(ステップS905)。続いて、入力受付部34によりWebTVに出力されたセッション情報と利用者認証情報との入力を受け付けた携帯端末(A)30は、当該セッション情報と利用者認証情報とをポータルサーバ装置40に送信する(ステップS906)。
そして、ポータルサーバ装置40の利用者認証部48は、携帯端末(A)30からセッション情報とともに利用者認証情報を受信し、当該利用者認証情報が利用者認証情報DB43に保持されているか否かによってHGW(A)20を所有する利用者であることを認証する(ステップS907)。
その後、ポータルサーバ装置40の接続許可受信部49は、認証結果を携帯端末(A)30に送信し(ステップS908)、携帯端末(A)30の制御部35は、HGW(A)20およびHGW(B)10の接続を許可するか否かを示すHGW許可をポータルサーバ装置40に送信する(ステップS909)。
そして、ポータルサーバ装置40の接続許可受信部49は、HGW(A)20およびHGW(B)10の接続を許可する旨を示す許可情報を受信した場合に、HGW(A)20およびHGW(B)10の接続を許可し、接続制御部50は、HGW(A)20を所有する利用者であると認証された場合に、当該利用者認証情報に対応するIPアドレスを利用者認証情報DB43から取得するとともに、当該利用者認証情報とともに受信したセッション情報に対応するIPアドレスをセッション情報DB44から取得し、当該取得したIPアドレスを用いて鍵情報とVPN接続情報とをHGW(A)20とHGW(B)10に送信する(ステップS910)。
続いて、HGW(A)20の接続部27とHGW(B)10の接続部17は、受信した鍵情報とVPN接続情報とを用いて、お互いにVPN接続する(ステップS911)。
(ポータルサーバ装置40における処理の流れ)
接続要求を受信すると(ステップS1001肯定)、ポータルサーバ装置40のセッション情報生成部47は、セッション情報を生成し(ステップS1002)、セッション情報DB44に接続先HGWのIPアドレスとセッション情報を格納する(ステップS1003)。
そして、セッション情報と認証情報を受信すると(ステップS1004肯定)、ポータルサーバ装置40の利用者認証部48は、認証処理を行い(ステップS1005)、認証結果をHGW(B)10に送信する(ステップS1006)。
続いて、ポータルサーバ装置40の接続許可受信部49は、接続先HGW(例えば、HGW(B)10)を許可または拒否する旨を示すメッセージを携帯端末(A)30から受信する(ステップS1007)。
接続先HGW(例えば、HGW(B)10)を許可する旨のメッセージを受信した場合(ステップS1007許可)、接続先HGWと接続元HGWに鍵情報とVPN接続情報を送信する(ステップS1008)。
そして、接続先HGW(例えば、HGW(B)10)を許可する旨のメッセージを受信した場合、ポータルサーバ装置40の接続制御部50は、生成したセッション情報と接続元HGWのIPアドレス(例えば、HGW(A)20のIPアドレス)と接続先のHGWのIPアドレス(例えば、HGW(B)10のIPアドレス)と認可結果「TRUE」とをセッション情報DB44に格納する(ステップS1009)。
一方、接続先HGW(例えば、HGW(B)10)を拒否する旨のメッセージを受信した場合(ステップS1007拒否)、ポータルサーバ装置40の接続制御部50は、生成したセッション情報と接続元HGWのIPアドレス(例えば、HGW(A)20のIPアドレス)と接続先のHGWのIPアドレス(例えば、HGW(B)10のIPアドレス)と認可結果「FALSE」を格納し(ステップS1010)、処理を終了する。
(HGW(B)10のおける処理の流れ)
図11に示すように、VPN接続要求を受信すると(ステップS1101肯定)、HGW(B)10の接続要求送信部16は、ポータルサーバ装置40へ当該VPN接続要求を送信する(ステップS1102)。
続いて、ポータルサーバ装置40からセッション情報を受信すると(ステップS1103肯定)、HGW(B)10は、受信したセッション情報をディスプレイやモニタなどに出力する(ステップS1104)。
そして、ポータルサーバ装置40から鍵情報とVPN接続情報とを受信すると(ステップS1105肯定)、HGW(B)10の接続部17は、HGW(A)20とVPN接続を行う(ステップS1106)。
(携帯端末(A)30のおける処理の流れ)
図12に示すように、利用者によりセッション情報を受け付けると(ステップS1201肯定)、携帯端末(A)30の制御部35は、入力されたセッション情報と利用者認証情報とをポータルサーバ装置40へ送信する(ステップS1202)。
そして、ポータルサーバ装置40から認証結果を受信し(ステップS1203肯定)、当該認証結果が「通過」であった場合(ステップS1204肯定)、携帯端末(A)30の入力受付部34は、接続先HGW(例えば、HGW(B)10)を許可するか否かの入力を利用者より受け付ける(ステップS1205)。
接続先HGW(例えば、HGW(B)10)を許可する入力を受け付けると(ステップS1205肯定)、携帯端末(A)30の制御部35は、当該接続先HGWを許可する旨のメッセージをポータルサーバ装置40へ送信する(ステップS1206)。
一方、接続先HGW(例えば、HGW(B)10)を拒否する入力を受け付けると(ステップS1205否定)、携帯端末(A)30の制御部35は、当該接続先HGWを拒否する旨のメッセージをポータルサーバ装置40へ送信する(ステップS1207)。
ステップS1204に戻り、当該認証結果が「拒否」であった場合(ステップS1204否定)、携帯端末(A)30は、ステップS1202のセッション情報と認証要求を再びポータルサーバ装置40へ送信し、上記した処理を再度実行する。
[実施例1による効果]
このように、実施例1によれば、利用者を認証するための利用者認証情報に対応付けて、当該利用者が所有するHGW(A)20に付与されているIPアドレスを保持し、HGW(B)10から接続要求を受信した場合に、当該接続要求を識別するためのセッション情報を生成してHGW(B)10に送信し、HGW(B)10に付与されているIPアドレスを取得し、当該IPアドレスおよびセッション情報を対応付けて保持し、携帯端末(A)30からセッション情報とともに利用者認証情報を受信し、当該利用者認証情報が利用者認証情報DB43に保持されているか否かによってHGW(A)20を所有する利用者であることを認証し、HGW(A)20を所有する利用者であると認証された場合に、利用者認証情報に対応するIPアドレスを利用者認証情報DB43から取得するとともに、当該利用者認証情報とともに受信したセッション情報に対応するIPアドレスをセッション情報DB44から取得し、当該取得したIPアドレスを用いてHGW(A)20をおよびHGW(B)10の接続を制御するので、HGW(A)20とHGW(B)10とを接続するのに際して、認証情報の盗難を防止しつつ、安全に接続することが可能である。
例えば、外部の端末装置と自宅の端末装置を接続する際に、自分の携帯電話で認証情報を送信するなどを行うことができる結果、認証情報の盗難を防止しつつ、安全に接続することが可能である。また、ポータルサーバ装置40は、HGW(A)20のIPアドレスを保持しており、利用者がIPアドレスを記憶している必要がないので、利用者の負担を軽減することが可能であるとともに、HGW(A)20とHGW(B)10とを接続する際に、HGW(A)20を容易に特定することが可能である。さらに、例えば、端末装置が情報家電の場合、パスワードなどをリモコンで入力する必要があるので、携帯端末などを使用してパスワードなどを入力することができる結果、利用者の負担を削減することが可能である。
また、実施例1によれば、利用者認証情報に対応するIPアドレスまたは当該IPアドレスから特定されるHGW(B)10に係る情報を携帯端末(A)30に送信した後に、HGW(A)20およびHGW(B)10の接続を許可するか否かを示す情報を携帯端末(A)30から受信し、HGW(A)20およびHGW(B)10の接続を許可する旨を示す許可情報を受信した場合に、当該HGW(A)20およびHGW(B)10の接続を許可するので、利用者認証に加え、ポータルサーバ装置40を利用者に許可させることができ、利用者認証のみを行って外部の端末装置から自宅LANの端末装置に接続する場合に比べて、さらにセキュリティを高く保ちつつ、安全に接続することが可能である。
さて、これまで実施例1では、接続先HGW(HGW(B)10から接続される接続元HGW(HGW(A)20)が一つである場合について説明してきたが、本発明はこれに限定されるものではなく、接続元HGWが複数存在していてもよい。
そこで、実施例2では、図13と図14を用いて、接続先HGW(HGW(B)から接続される接続元HGWが複数存在している場合について説明する。図13は、実施例2に係るポータルサーバ装置を含むシステムの全体構成を示す図であり、図14は、利用者認証情報DBに保持される情報の構成例を示した図である。
図13に示すように、HGW(A)とPCとWebTVからホームネットワーク(A)が構成され、HGW(B)とWebTVとHDDとからホームネットワーク(B)が構成され、HGW(C)とPCとWebTVからホームネットワーク(C)が構成されており、同様に、図示しないホームネットワーク(D)が構成されている。そして、ポータルサーバ装置とHGW(A)とHGW(B)とHGW(C)とは、インターネットなどのネットワークで相互通信を可能にして接続される。また、携帯電話Aは、ホームネットワーク(A)、ホームネットワーク(C)およびホームネットワーク(D)の利用者により所持されている。実施例1と異なる点は、第一の端末装置が複数ある、つまり、ホームネットワーク(A)だけが携帯端末(A)30の管理下にあるのではなく、ホームネットワーク(A)、ホームネットワーク(C)およびホームネットワーク(D)が携帯端末(A)30を所持している利用者の管理下にある点である。
このような構成のもと、ポータルサーバ装置の利用者情報DBは、利用者を認証するための利用者認証情報に対応付けて、当該利用者が所有する第一の端末装置(例えば、HGW(A)、HGW(C)、HGW(D)に付与されているIPアドレスを保持する。具体的には、利用者認証情報DBは、図14に示すように、利用者認証情報として『利用者を一意に識別する「ユーザID」と利用者により設定される「パスワード」』と、第一の端末装置情報として『第一の端末装置を示す「HGWの名称」と第一の端末装置のIPアドレスを示す「HGW IPアドレス」』とを対応付けて利用者情報DBに保持する。例を挙げると、利用者認証情報DBは、利用者認証情報と第一の端末情報とを対応付けて、「ユーザID、認証情報(パスワード)、HGW、HGW IPアドレス」を「haru、AAAA、HGW(A)/HGW(C)/HGW(D)、10.1.1.1/10.2.1.1/30.1.1.1」などと保持する。
また、このHGWのIPアドレスは、固定的に割り振られてもよく、一定間隔でHGWを参照することで、取得してもよい。つまり、固定IPアドレスを用いたHGWでも、DHCPなどで一時的に割り振られたIPアドレスを用いたHGWでも、いずれのIPアドレスでも取得し保持することができる。
そして、ホームネットワーク(B)のWebTVから接続要求が送信されて、携帯端末(A)30に認証結果が送信されるまでの図13(1)〜(9)までの処理の流れは、実施例1で説明した図1の(1)〜(9)まで同様であるので、ここでは、その詳細な説明は省略する。
このようにして、ポータルサーバ装置は、許可情報とともに、複数の第一の端末装置のうちのいずれについて接続を許可するかを示す許可対象情報を第三の端末装置から受信し、利用者認証情報および許可対象情報に対応するIPアドレスを利用者認証情報DBから取得し、当該取得したIPアドレスを用いて第一の端末装置および第二の端末装置の接続を許可する(図13の(10)参照)。
具体的に例を挙げれば、ポータルサーバ装置は、許可情報とともに、HGW(A)、HGW(C)、HGW(D)のうちのHGW(A)、HGW(C)について接続を許可すること示す許可対象情報を携帯端末(A)から受信し、利用者認証情報および許可対象情報に対応するIPアドレスを利用者認証情報DBから取得し、当該取得したIPアドレスを用いてHGW(A)、HGW(C)およびHGW(B)の接続を許可する。
そして、ポータルサーバ装置は、第一の端末装置(HGW(A)およびHGW(C))および第二の端末装置(HGW(B)の接続を許可する旨を示す許可情報を受信した場合に、当該利用者認証情報とともに受信したセッション情報に対応するIPアドレスをセッション情報DBから取得し、当該取得したIPアドレスを用いて第一の端末装置および第二の端末装置の接続を制御する(図13の(11)と(12)参照)。
具体的に例を挙げれば、ポータルサーバ装置は、HGW(A)、HGW(C)およびHGW(B)の接続を許可する旨を示す許可対象情報を受信した場合に、当該HGW(A)、HGW(C)およびHGW(B)の接続を許可し、利用者認証情報に対応するIPアドレス(10.1.1.1と10.2.1.1)を利用者認証DBから取得するとともに、当該利用者認証情報とともに受信したセッション情報(123456789)に対応するIPアドレス(20.1.1.1)をセッション情報DBから取得し、当該取得したIPアドレスを用いてHGW(A)、HGW(C)およびHGW(B)に鍵情報とVPN接続情報とを送信する。続いて、HGW(A)とHGW(B)とは、送信された鍵情報とVPN接続情報を用いてお互いにVPN接続を行い、同様に、HGW(C)とHGW(B)とが接続される。
このように、実施例2によれば、利用者認証情報DBは、利用者が所有するHGW(A)、HGW(C)、HGW(D)ごとに、それぞれ付与されているIPアドレスを保持し、許可情報とともに、HGW(A)、HGW(C)、HGW(D)のうちのいずれについて接続を許可するかを示す許可対象情報を携帯端末(A)から受信し、利用者認証情報および許可対象情報に対応するIPアドレスを利用者認証情報DBから取得し、当該取得したIPアドレスを用いてHGW(A)、HGW(C)およびHGW(B)の接続を許可するので、用途、利用状況や回線状況に応じて、容易に接続先を選択することが可能である。
例えば、遅い速度の回線に接続されるHGWでは、音楽や画像などの通信に使用せず、早い速度の回線を選択することができ、また、接続元に応じて、その都度、選択することが出来る。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に示すように、(1)利用者認証情報、(2)接続形態、(3)接続装置の種類、(4)システム構成等、にそれぞれ区分けして異なる実施例を説明する。
(1)利用者認証情報
例えば、実施例1および2では、携帯端末(A)は、利用者により入力されたセッション情報と利用者認証情報(ユーザIDとパスワード)とをポータルサーバ装置へ送信する場合について説明したが、本発明はこれに限定されるものではなく、セッション情報と予め保持する利用者認証情報とを送信するようにしてもよい。また、携帯端末(A)は、予め利用者認証情報として「ユーザID」や「パスワード」などのほかにも「端末の個体番号(例えば、ABC00001)」や「証明書(例えば、電子著名など)」などを保持していてもよい。
具体的に説明すると、携帯電話(A)は、予め利用者認証情報として「端末の個体番号である「ABC00001)」を保持している。また、ポータルサーバ装置の利用者認証情報DBは、利用者認証情報とHGW(A)とを対応付けて、「ユーザID、認証情報(パスワード)、HGW、HGW IPアドレス、端末の個体番号」を「haru、AAAA、HGW(A)、10.1.1.1、ABC00001」などと保持する。そして、ポータルサーバ装置は、HGW(B)から接続要求を受信した場合に、セッション情報を生成してHGW(B)に送信する。その後、携帯端末(A)は、利用者の指示操作によるセッション情報の入力を受け付けた場合に、保持する利用者認証情報を読み出して、セッション情報とともに利用者認証情報(ABC00001)をポータルサーバ装置に送信する。その後、ポータルサーバ装置は、受信した利用者認証情報が保持されているか否かによってHGW(A)を所有する利用者であることを認証して、実施例1と同様の処理を行い、HGW(A)およびHGW(B)の接続を制御する。
これにより、携帯電話(A)にユーザIDやパスワードを入力する必要がなく、事前に格納してある端末の個体番号や証明書などを用いて認証することができる結果、利用者の負担を削減するとともに、利便性を向上させることが可能である。
(2)接続形態
また、実施例1および2では、HGW同士をVPNを用いて接続する場合について説明したが、本発明はこれに限定されるものではなく、他のセキュアな回線を用いて接続したり、通常通りに接続したりしてもよい。例えば、VPNを用いて接続する代わりに、単にインターネットを介して接続してもよく、また、ファイアウォールの設定を一時的に変更して、接続するようにしてもよい。
(3)接続装置の種類
また、実施例1と2では、HGWを接続する場合を説明したが、本発明はこれに限定されるものではなく、HGW以外の端末装置間同士を接続するようにしてもよい。例えば、それぞれのホームネットワークに接続されるPCやWebTVなどとHGWを接続してもよく、PC同士やWebTV同士など、HGW以外の端末装置を接続することができる。
(4)システム構成等
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき(例えば、パスワードを自動入力にするなど)、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報(例えば、利用者認証情報DB、セッション情報DB、接続情報DB)については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合(例えば、セッション情報生成部と利用者認証部を統合するなど)して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、実施例1と2では、ポータルサーバ装置をHGW(A)またはHGW(B)とは異なる装置である場合について説明したが、本発明はこれに限定されるものではなく、例えば、ポータルサーバ装置の各機能部をHGW(A)またはHGW(B)のいずれかがまたは両方が備えるようにしてもよい。
なお、上記の実施例で説明した各種の処理手順は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
以上のように、本発明に係る接続制御装置、接続制御方法および接続制御プログラムは、第一の端末装置を所有する利用者であることを認証した上で、第二の端末装置からの要求に応じて当該第二の端末装置と前記第一の端末装置との接続を制御することに有用であり、特に、第一の端末装置と第二の端末装置とを接続するのに際して、認証情報の盗難を防止しつつ、安全に接続することに適する。
実施例1に係るポータルサーバ装置を含むシステムの全体構成を示すシステム構成図である。 実施例1に係るポータルサーバ装置を含むシステムの構成を示すブロック図である。 利用者認証情報DBに保持される情報の構成例を示した図である。 セッション情報DBに保持される情報の構成例を示した図である。 接続情報DBに保持される情報の構成例を示した図である。 WebTVがセッション情報を出力した例を示す図である。 携帯端末(A)がポータルサーバ装置へアクセスする際の画面例を示した図である。 携帯端末(A)によりセッション情報と利用者認証情報が送信される画面例を示した図である。 ポータルサーバ装置を含むシステムによる流れを示すシーケンス図である。 ポータルサーバ装置における処理の流れを示すフローチャートである。 HGW(B)における処理の流れを示すフローチャートである。 携帯端末(A)における処理の流れを示すフローチャートである。 実施例2に係るポータルサーバ装置を含むシステムの全体構成を示す図である。 利用者認証情報DBに保持される情報の構成例を示した図である。
符号の説明
10 HGW(B)
11 通信制御I/F部
13 記憶部
14 IPアドレス記憶部
15 制御部
16 接続要求送信部
17 接続部
20 HGW(A)
21 通信制御I/F部
23 記憶部
24 IPアドレス記憶部
25 制御部
26 接続要求送信部
27 接続部
30 携帯端末(A)
31 通信部
32 表示部
33 記憶部
34 入力受付部
35 制御部
40 ポータルサーバ装置
41 通信制御I/F部
42 記憶部
43 利用者認証情報DB
44 セッション情報DB
45 接続情報DB
46 制御部
47 セッション情報生成部
48 利用者認証部
49 接続許可受信部
50 接続制御部

Claims (15)

  1. 第一の端末装置を所有する利用者であることを認証した上で、第二の端末装置からの要求に応じて当該第二の端末装置と前記第一の端末装置とのVPN接続を制御する接続制御装置であって、
    前記VPN接続の接続先となる前記第一の端末装置を所有する利用者であることを認証するための利用者認証情報に対応付けて、当該利用者が所有する第一の端末装置に付与されているIPアドレスを保持する利用者認証情報保持手段と、
    前記第二の端末装置から接続要求を受信した場合に、当該接続要求を識別するためのセッション情報を生成して前記第二の端末装置に送信するセッション情報生成手段と、
    前記第二の端末装置に付与されているIPアドレスを取得し、当該IPアドレスおよび前記セッション情報を対応付けて保持するセッション情報保持手段と、
    第三の端末装置から前記セッション情報とともに前記利用者認証情報を受信し、当該利用者認証情報が前記利用者認証情報保持手段に保持されているか否かによって、当該利用者認証情報によって示される利用者が、当該利用者認証情報に対応付けて保持されているIPアドレスを付与されている前記第一の端末装置を所有する利用者であることを認証する利用者認証手段と、
    前記利用者認証手段によって前記第一の端末装置を所有する利用者であると認証された場合に、前記利用者認証情報に対応するIPアドレスを前記利用者認証情報保持手段から取得するとともに、当該利用者認証情報とともに受信したセッション情報に対応するIPアドレスを前記セッション情報保持手段から取得し、当該取得したIPアドレスを用いて前記第一の端末装置および第二の端末装置のVPN接続を制御する接続制御手段と、
    を備えたことを特徴とする接続制御装置。
  2. 前記利用者認証情報に対応するIPアドレスまたは当該IPアドレスから特定される前記第二の端末装置に係る情報を前記第三の端末装置に送信した後に、前記第一の端末装置および第二の端末装置のVPN接続を許可するか否かを示す情報を前記第三の端末装置から受信する接続許可受信手段をさらに備え、
    前記接続制御手段は、前記接続許可受信手段によって前記第一の端末装置および第二の端末装置のVPN接続を許可する旨を示す許可情報を受信した場合に、当該第一の端末装置および第二の端末装置のVPN接続を許可することを特徴とする請求項1に記載の接続制御装置。
  3. 前記利用者認証情報保持手段は、前記利用者が所有する複数の第一の端末装置ごとに、それぞれ付与されているIPアドレスを保持し、
    前記接続許可受信手段は、前記許可情報とともに、前記複数の第一の端末装置のうちのいずれについてVPN接続を許可するかを示す許可対象情報を前記第三の端末装置から受信し、
    前記接続制御手段は、前記利用者認証情報および許可対象情報に対応するIPアドレスを前記利用者認証情報保持手段から取得し、当該取得したIPアドレスを用いて前記第一の端末装置および第二の端末装置のVPN接続を許可することを特徴とする請求項2に記載の接続制御装置。
  4. 前記第三の端末装置は、予め前記利用者認証情報を保持しており、前記セッション情報の入力を受け付けた場合に、前記セッション情報とともに前記利用者認証情報を送信するものであって、
    前記利用者認証手段は、前記第三の端末装置から前記セッション情報と前記利用者認証情報とを受信することを特徴とする請求項1に記載の接続制御装置。
  5. 第一の端末装置を所有する利用者であることを認証した上で、第二の端末装置からの要求に応じて当該第二の端末装置と前記第一の端末装置とのVPN接続を制御することに適する接続制御方法であって、
    前記VPN接続の接続先となる前記第一の端末装置を所有する利用者であることを認証するための利用者認証情報に対応付けて、当該利用者が所有する第一の端末装置に付与されているIPアドレスを保持する利用者認証情報保持手段と、
    前記第二の端末装置から接続要求を受信した場合に、当該接続要求を識別するためのセッション情報を生成して前記第二の端末装置に送信するセッション情報生成工程と、
    前記第二の端末装置に付与されているIPアドレスを取得し、当該IPアドレスおよび前記セッション情報を対応付けて保持するセッション情報保持手段と、
    第三の端末装置から前記セッション情報とともに前記利用者認証情報を受信し、当該利用者認証情報が前記利用者認証情報保持手段に保持されているか否かによって、当該利用者認証情報によって示される利用者が、当該利用者認証情報に対応付けて保持されているIPアドレスを付与されている前記第一の端末装置を所有する利用者であることを認証する利用者認証工程と、
    前記利用者認証工程によって前記第一の端末装置を所有する利用者であると認証された場合に、前記利用者認証情報に対応するIPアドレスを前記利用者認証情報保持手段から取得するとともに、当該利用者認証情報とともに受信したセッション情報に対応するIPアドレスを前記セッション情報保持手段から取得し、当該取得したIPアドレスを用いて前記第一の端末装置および第二の端末装置のVPN接続を制御する接続制御工程と、
    を含んだことを特徴とする接続制御方法。
  6. 前記利用者認証情報に対応するIPアドレスまたは当該IPアドレスから特定される前記第二の端末装置に係る情報を前記第三の端末装置に送信した後に、前記第一の端末装置および第二の端末装置のVPN接続を許可するか否かを示す情報を前記第三の端末装置から受信する接続許可受信工程をさらに備え、
    前記接続制御工程は、前記接続許可受信工程によって前記第一の端末装置および第二の端末装置のVPN接続を許可する旨を示す許可情報を受信した場合に、当該第一の端末装置および第二の端末装置のVPN接続を許可することを特徴とする請求項5に記載の接続制御方法。
  7. 前記利用者認証情報保持手段は、前記利用者が所有する複数の第一の端末装置ごとに、それぞれ付与されているIPアドレスを保持し、
    前記接続許可受信工程は、前記許可情報とともに、前記複数の第一の端末装置のうちのいずれについてVPN接続を許可するかを示す許可対象情報を前記第三の端末装置から受信し、
    前記接続制御工程は、前記利用者認証情報および許可対象情報に対応するIPアドレスを前記利用者認証情報保持手段から取得し、当該取得したIPアドレスを用いて前記第一の端末装置および第二の端末装置のVPN接続を許可することを特徴とする請求項6に記載の接続制御方法。
  8. 前記第三の端末装置は、予め前記利用者認証情報を保持しており、前記セッション情報の入力を受け付けた場合に、前記セッション情報とともに前記利用者認証情報を送信するものであって、
    前記利用者認証工程は、前記第三の端末装置から前記セッション情報と前記利用者認証情報とを受信することを特徴とする請求項5に記載の接続制御方法。
  9. 第一の端末装置を所有する利用者であることを認証した上で、第二の端末装置からの要求に応じて当該第二の端末装置と前記第一の端末装置とのVPN接続を制御することをコンピュータに実行させる接続制御プログラムであって、
    前記VPN接続の接続先となる前記第一の端末装置を所有する利用者であることを認証するための利用者認証情報に対応付けて、当該利用者が所有する第一の端末装置に付与されているIPアドレスを保持する利用者認証情報保持手段と、
    前記第二の端末装置から接続要求を受信した場合に、当該接続要求を識別するためのセッション情報を生成して前記第二の端末装置に送信するセッション情報生成手順と、
    前記第二の端末装置に付与されているIPアドレスを取得し、当該IPアドレスおよび前記セッション情報を対応付けて保持するセッション情報保持手段と、
    第三の端末装置から前記セッション情報とともに前記利用者認証情報を受信し、当該利用者認証情報が前記利用者認証情報保持手段に保持されているか否かによって、当該利用者認証情報によって示される利用者が、当該利用者認証情報に対応付けて保持されているIPアドレスを付与されている前記第一の端末装置を所有する利用者であることを認証する利用者認証手順と、
    前記利用者認証手順によって前記第一の端末装置を所有する利用者であると認証された場合に、前記利用者認証情報に対応するIPアドレスを前記利用者認証情報保持手段から取得するとともに、当該利用者認証情報とともに受信したセッション情報に対応するIPアドレスを前記セッション情報保持手段から取得し、当該取得したIPアドレスを用いて前記第一の端末装置および第二の端末装置のVPN接続を制御する接続制御手順と、
    をコンピュータに実行させることを特徴とする接続制御プログラム。
  10. 前記利用者認証情報に対応するIPアドレスまたは当該IPアドレスから特定される前記第二の端末装置に係る情報を前記第三の端末装置に送信した後に、前記第一の端末装置および第二の端末装置のVPN接続を許可するか否かを示す情報を前記第三の端末装置から受信する接続許可受信手順をさらに備え、
    前記接続制御手順は、前記接続許可受信手順によって前記第一の端末装置および第二の端末装置のVPN接続を許可する旨を示す許可情報を受信した場合に、当該第一の端末装置および第二の端末装置のVPN接続を許可することを特徴とする請求項9に記載の接続制御プログラム。
  11. 前記利用者認証情報保持手段は、前記利用者が所有する複数の第一の端末装置ごとに、それぞれ付与されているIPアドレスを保持し、
    前記接続許可受信手順は、前記許可情報とともに、前記複数の第一の端末装置のうちのいずれについてVPN接続を許可するかを示す許可対象情報を前記第三の端末装置から受信し、
    前記接続制御手順は、前記利用者認証情報および許可対象情報に対応するIPアドレスを前記利用者認証情報保持手段から取得し、当該取得したIPアドレスを用いて前記第一の端末装置および第二の端末装置のVPN接続を許可することを特徴とする請求項10に記載の接続制御プログラム。
  12. 前記第三の端末装置は、予め前記利用者認証情報を保持しており、前記セッション情報の入力を受け付けた場合に、前記セッション情報とともに前記利用者認証情報を送信するものであって、
    前記利用者認証手順は、前記第三の端末装置から前記セッション情報と前記利用者認証情報とを受信することを特徴とする請求項9に記載の接続制御プログラム。
  13. 利用者が所有する複数の第一の端末装置のうちのいずれかについて、当該第一の端末装置を所有する利用者であることを認証した上で、第二の端末装置からの接続要求に応じて第三の端末装置を用いて当該第二の端末装置と前記第一の端末装置とを認証し、VPN接続を制御する接続制御装置であって、
    前記接続制御装置は、
    前記VPN接続の接続先となる前記第一の端末装置を所有する利用者であることを認証するために、利用者を一意に識別するユーザIDと利用者が設定するパスワードからなる利用者認証情報に対応付けて、当該利用者が所有する第一の端末装置ごとそれぞれに付与されているIPアドレスを保持する利用者認証情報保持手段と、
    前記第二の端末装置から接続要求を受信した場合に、当該接続要求を識別するためのセッション情報を生成して前記第二の端末装置に送信するセッション情報生成手段と、
    前記第二の端末装置に付与されているIPアドレスを取得し、当該IPアドレスおよび前記セッション情報を対応付けて保持するセッション情報保持手段と、
    第三の端末装置から前記セッション情報とともに、利用者が入力した若しくは予め第三の端末に保持されていた前記利用者認証情報を受信し、当該利用者認証情報が前記利用者認証情報保持手段に保持されているか否かによって、当該利用者認証情報によって示される利用者が、当該利用者認証情報に対応付けて保持されているIPアドレスを付与されている前記第一の端末装置を所有する利用者であることを認証する利用者認証手段と、
    前記利用者認証手段によって前記第一の端末装置を所有する利用者であると認証された場合に、前記利用者認証情報に対応するIPアドレスまたは当該IPアドレスから特定される前記第二の端末装置に係る情報を前記第三の端末装置に送信した後に、前記第一の端末装置および第二の端末装置のVPN接続を許可するか否かを示す情報とともに、前記複数の第一の端末装置のうちのいずれについてVPN接続を許可するかを示す許可対象情報を前記第三の端末装置から受信する接続許可受信手段と、
    前記接続許可受信手段によって前記第一の端末装置および第二の端末装置のVPN接続を許可する旨を示す許可情報を受信した場合に、前記利用者認証情報および前記許可対象情報に対応するIPアドレスを前記利用者認証情報保持手段から取得するとともに当該利用者認証情報とともに受信したセッション情報に対応するIPアドレスを前記セッション情報保持手段から取得し、当該取得したIPアドレスを用いて前記第一の端末装置および第二の端末装置のVPN接続を許可し、制御する接続制御手段と、
    を備えたことを特徴とする接続制御装置。
  14. 利用者が所有する複数の第一の端末装置のうちのいずれかについて、当該第一の端末装置を所有する利用者であることを認証した上で、第二の端末装置からの接続要求に応じて第三の端末装置を用いて当該第二の端末装置と前記第一の端末装置とを認証し、VPN接続を制御する接続制御方法であって、
    前記接続制御装置は、
    前記VPN接続の接続先となる前記第一の端末装置を所有する利用者であることを認証するために、利用者を一意に識別するユーザIDと利用者が設定するパスワードからなる利用者認証情報に対応付けて、当該利用者が所有する第一の端末装置ごとそれぞれに付与されているIPアドレスを保持する利用者認証情報保持工程と、
    前記第二の端末装置から接続要求を受信した場合に、当該接続要求を識別するためのセッション情報を生成して前記第二の端末装置に送信するセッション情報生成工程と、
    前記第二の端末装置に付与されているIPアドレスを取得し、当該IPアドレスおよび前記セッション情報を対応付けて保持するセッション情報保持手段と、
    第三の端末装置から前記セッション情報とともに、利用者が入力した若しくは予め第三の端末に保持されていた前記利用者認証情報を受信し、当該利用者認証情報が前記利用者認証情報保持手段に保持されているか否かによって、当該利用者認証情報によって示される利用者が、当該利用者認証情報に対応付けて保持されているIPアドレスを付与されている前記第一の端末装置を所有する利用者であることを認証する利用者認証工程と、
    前記利用者認証工程によって前記第一の端末装置を所有する利用者であると認証された場合に、前記利用者認証情報に対応するIPアドレスまたは当該IPアドレスから特定される前記第二の端末装置に係る情報を前記第三の端末装置に送信した後に、前記第一の端末装置および第二の端末装置のVPN接続を許可するか否かを示す情報とともに、前記複数の第一の端末装置のうちのいずれについてVPN接続を許可するかを示す許可対象情報を前記第三の端末装置から受信する接続許可受信工程と、
    前記接続許可受信工程によって前記第一の端末装置および第二の端末装置のVPN接続を許可する旨を示す許可情報を受信した場合に、前記利用者認証情報および前記許可対象情報に対応するIPアドレスを前記利用者認証情報保持手段から取得するとともに当該利用者認証情報とともに受信したセッション情報に対応するIPアドレスを前記セッション情報保持手段から取得し、当該取得したIPアドレスを用いて前記第一の端末装置および第二の端末装置のVPN接続を許可し、制御する接続制御工程と、
    を備えたことを特徴とする接続制御方法。
  15. 利用者が所有する複数の第一の端末装置のうちのいずれかについて、当該第一の端末装置を所有する利用者であることを認証した上で、第二の端末装置からの接続要求に応じて第三の端末装置を用いて当該第二の端末装置と前記第一の端末装置とを認証し、VPN接続を制御することをコンピュータに実行させる接続制御プログラムであって、
    前記接続制御装置は、
    前記VPN接続の接続先となる前記第一の端末装置を所有する利用者であることを認証するために、利用者を一意に識別するユーザIDと利用者が設定するパスワードからなる利用者認証情報に対応付けて、当該利用者が所有する第一の端末装置ごとそれぞれに付与されているIPアドレスを保持する利用者認証情報保持手段と、
    前記第二の端末装置から接続要求を受信した場合に、当該接続要求を識別するためのセッション情報を生成して前記第二の端末装置に送信するセッション情報生成手順と、
    前記第二の端末装置に付与されているIPアドレスを取得し、当該IPアドレスおよび前記セッション情報を対応付けて保持するセッション情報保持手段と、
    第三の端末装置から前記セッション情報とともに、利用者が入力した若しくは予め第三の端末に保持されていた前記利用者認証情報を受信し、当該利用者認証情報が前記利用者認証情報保持手段に保持されているか否かによって、当該利用者認証情報によって示される利用者が、当該利用者認証情報に対応付けて保持されているIPアドレスを付与されている前記第一の端末装置を所有する利用者であることを認証する利用者認証手順と、
    前記利用者認証手順によって前記第一の端末装置を所有する利用者であると認証された場合に、前記利用者認証情報に対応するIPアドレスまたは当該IPアドレスから特定される前記第二の端末装置に係る情報を前記第三の端末装置に送信した後に、前記第一の端末装置および第二の端末装置のVPN接続を許可するか否かを示す情報とともに、前記複数の第一の端末装置のうちのいずれについてVPN接続を許可するかを示す許可対象情報を前記第三の端末装置から受信する接続許可受信手順と、
    前記接続許可受信手順によって前記第一の端末装置および第二の端末装置のVPN接続を許可する旨を示す許可情報を受信した場合に、前記利用者認証情報および前記許可対象情報に対応するIPアドレスを前記利用者認証情報保持手段から取得するとともに当該利用者認証情報とともに受信したセッション情報に対応するIPアドレスを前記セッション情報保持手段から取得し、当該取得したIPアドレスを用いて前記第一の端末装置および第二の端末装置のVPN接続を許可し、制御する接続制御手順と、
    をコンピュータに実行させることを特徴とする接続制御プログラム。
JP2006278045A 2006-10-11 2006-10-11 接続制御装置、接続制御方法および接続制御プログラム Expired - Fee Related JP4641301B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006278045A JP4641301B2 (ja) 2006-10-11 2006-10-11 接続制御装置、接続制御方法および接続制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006278045A JP4641301B2 (ja) 2006-10-11 2006-10-11 接続制御装置、接続制御方法および接続制御プログラム

Publications (2)

Publication Number Publication Date
JP2008098939A JP2008098939A (ja) 2008-04-24
JP4641301B2 true JP4641301B2 (ja) 2011-03-02

Family

ID=39381327

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006278045A Expired - Fee Related JP4641301B2 (ja) 2006-10-11 2006-10-11 接続制御装置、接続制御方法および接続制御プログラム

Country Status (1)

Country Link
JP (1) JP4641301B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5662699B2 (ja) * 2010-05-13 2015-02-04 エヌエイチエヌ エンターテインメント コーポレーションNHN Entertainment Corporation イベント情報通知装置およびイベント情報通知制御方法
CN111371793A (zh) 2020-01-13 2020-07-03 吴恩平 一种通信方法及通信系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004007671A (ja) * 2002-05-14 2004-01-08 Samsung Electronics Co Ltd 相異なるホームネットワークに存するネットワーク機器間の接続装置及びその方法
JP2005244753A (ja) * 2004-02-27 2005-09-08 Toshiba Corp 家電機器の状態変化管理システム
JP2006166028A (ja) * 2004-12-07 2006-06-22 Ntt Data Corp Vpn接続構築システム
JP2006174320A (ja) * 2004-12-20 2006-06-29 Nippon Telegr & Teleph Corp <Ntt> 認証装置および認証方法
JP2006244418A (ja) * 2005-03-07 2006-09-14 Nippon Telegr & Teleph Corp <Ntt> サービス提供システムおよびサービス提供装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004007671A (ja) * 2002-05-14 2004-01-08 Samsung Electronics Co Ltd 相異なるホームネットワークに存するネットワーク機器間の接続装置及びその方法
JP2005244753A (ja) * 2004-02-27 2005-09-08 Toshiba Corp 家電機器の状態変化管理システム
JP2006166028A (ja) * 2004-12-07 2006-06-22 Ntt Data Corp Vpn接続構築システム
JP2006174320A (ja) * 2004-12-20 2006-06-29 Nippon Telegr & Teleph Corp <Ntt> 認証装置および認証方法
JP2006244418A (ja) * 2005-03-07 2006-09-14 Nippon Telegr & Teleph Corp <Ntt> サービス提供システムおよびサービス提供装置

Also Published As

Publication number Publication date
JP2008098939A (ja) 2008-04-24

Similar Documents

Publication Publication Date Title
EP3333744B1 (en) Authorization code flow for in-browser applications
JP4173866B2 (ja) 通信装置
JP4260116B2 (ja) 安全な仮想プライベート・ネットワーク
JP5045417B2 (ja) ネットワークシステム及びダイレクトアクセス方法
JP4636617B2 (ja) ゲートウェイ装置、接続制御装置及びネットワーク接続システム
JP2007097010A (ja) 接続支援装置およびゲートウェイ装置
WO2008093868A9 (ja) 周辺装置などの被制御装置を制御する制御システム、制御方法、及び制御用コンピュータプログラム
WO2006073008A1 (ja) ネットワークカメラへのログイン認証システム
JP4340241B2 (ja) 利用者認証プログラム、利用者認証方法、利用者認証装置および利用者認証システム
CN101982958A (zh) 自动设定网络监视系统的处理方法与其处理系统
JP5485356B1 (ja) 情報処理装置、情報処理装置の制御方法、および制御プログラム。
JP4853331B2 (ja) カラオケネットワークシステム
JP4740092B2 (ja) 通信システムおよび通信方法
JP4109273B2 (ja) ネットワーク接続システム、ネットワーク接続装置およびプログラム
JP4641301B2 (ja) 接続制御装置、接続制御方法および接続制御プログラム
JP4713420B2 (ja) 通信システム、およびネットワーク機器の共有方法
JP5558689B2 (ja) 遠隔制御装置、遠隔制御プログラム、遠隔制御方法、及び、遠隔制御システム
JP6635495B1 (ja) リモコンシステム、リモコン方法、ならびに、プログラム
JP2010165306A (ja) サービス提供方法、サービス提供システム、代理装置、そのプログラム
JP2008028498A (ja) コンテンツ再生装置及びコンテンツ提供装置
JP2004128532A (ja) 機器選択方法及び機器選択装置
CN100470518C (zh) 地址变换方法、访问控制方法及使用这些方法的装置
JP4878043B2 (ja) アクセス制御システム、接続制御装置および接続制御方法
JP2003242122A (ja) ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム
JP4632062B2 (ja) アクセス制限情報生成装置およびアクセス制限情報生成方法並びにプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100713

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100913

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101124

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101126

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131210

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees