JP4785952B2 - ACCESS CONTROL SYSTEM, ACCESS CONTROL METHOD, ACCESS CONTROL PROGRAM, AND ACCESS CONTROL PROGRAM RECORDING MEDIUM - Google Patents

ACCESS CONTROL SYSTEM, ACCESS CONTROL METHOD, ACCESS CONTROL PROGRAM, AND ACCESS CONTROL PROGRAM RECORDING MEDIUM Download PDF

Info

Publication number
JP4785952B2
JP4785952B2 JP2009143084A JP2009143084A JP4785952B2 JP 4785952 B2 JP4785952 B2 JP 4785952B2 JP 2009143084 A JP2009143084 A JP 2009143084A JP 2009143084 A JP2009143084 A JP 2009143084A JP 4785952 B2 JP4785952 B2 JP 4785952B2
Authority
JP
Japan
Prior art keywords
home
home device
address
server
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009143084A
Other languages
Japanese (ja)
Other versions
JP2011003957A (en
Inventor
和昭 尾花
晃平 水野
幸生 小池
英嗣 小林
絵理 伊藤
聡 佐久間
幸久 片山
隆文 向内
彰久 川野辺
毅文 山崎
育生 依田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009143084A priority Critical patent/JP4785952B2/en
Publication of JP2011003957A publication Critical patent/JP2011003957A/en
Application granted granted Critical
Publication of JP4785952B2 publication Critical patent/JP4785952B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、外部ネットワークに配置されたエンドユーザ端末から、ホームネットワークに接続されているホーム機器にアクセスする技術に関する。   The present invention relates to a technology for accessing a home device connected to a home network from an end user terminal arranged in an external network.

現在、インターネットの普及と、エンドユーザ宅内のホーム機器相互間をネットワークで結んだホームネットワークの進展とに伴い、ホームゲートウェイ(以下、HGWという)の必要性・重要性が増大している。HGWは、PC機器、AV系機器、電話系機器、白物家電機器系等の種々の系統の標準規格間をまたいで、アドレス変換やデータの載せ換え等を行うことにより、ホーム機器を相互に接続し、更にホームネットワーク内の各ホーム機器間の通信だけでなく、それらとインターネットとの通信を橋渡しする機能も有している。   At present, the necessity and importance of home gateways (hereinafter referred to as HGWs) are increasing with the spread of the Internet and the progress of home networks in which home devices in end-user homes are connected by a network. HGW cross-connects home devices to each other by performing address conversion and data transfer across various standards such as PC devices, AV devices, telephone devices, white goods devices, etc. In addition to communication between each home device in the home network, it also has a function of bridging communication between them and the Internet.

このようなHGWはエンドユーザ宅内に配置され、インターネット側からエンドユーザ宅内へのアクセス(逆方向のアクセスも含む)を制限するファイアウォール(以下、FWという)機能や、プライベートアドレスをグローバルアドレスに変換(逆方向の変換も含む)するNAPT(Network Address Port Translation)機能を備えている。   Such an HGW is arranged in the end user's home, and a firewall function (hereinafter referred to as FW) that restricts access from the Internet side to the end user's home (including access in the reverse direction) or a private address is converted into a global address ( It also has a NAPT (Network Address Port Translation) function that performs conversion in the reverse direction.

NAPT/FWの設定は、ホームネットワークに接続されたホーム機器上で動作しているアプリケーションのポート番号や、ホーム機器にアクセスするエンドユーザ端末の接続位置等により、ユーザの有するホームネットワーク環境に応じて適宜設定されるが、一般的には、外部ネットワーク側からホームゲートウェイ側へのアクセスを拒否し、その逆のアクセスは許容するようにFWを設定し、UPnP(Universal Plug and Play) NATトラバーサル(非特許文献3参照)を用いて、NAPT/FWが設定されている。   The NAPT / FW setting depends on the user's home network environment, depending on the port number of the application running on the home device connected to the home network, the connection position of the end user terminal that accesses the home device, and the like. Generally, the FW is set to deny access from the external network side to the home gateway side, and vice versa, and UPnP (Universal Plug and Play) NAT traversal (non- NAPT / FW is set using the patent document 3).

しかしながら、DNSサーバ運営においては、アドレス情報の原本を保持するサーバへの問い合わせを最小にするため各サーバがキャッシュを一定期間保持しており、ダイナミックDNSによりサーバのアドレスが書き換えられた直後には、各DNSサーバのキャッシュと不整合が生じるため、外部ネットワークに接続されているエンドユーザ端末からアクセスできないという問題があった。   However, in DNS server operation, each server holds a cache for a certain period in order to minimize inquiries to the server holding the original address information, and immediately after the server address is rewritten by dynamic DNS, There is a problem in that it cannot be accessed from an end user terminal connected to an external network because inconsistency occurs with the cache of each DNS server.

また、UPnPを用いたNAPT/FW設定は、ホームネットワークに接続されたホーム機器がUPnPに対応している必要があるため、アクセス対象となるホーム機器が限定されるという問題があった。さらに、UPnPを用いたNAPT/FW設定は、外部ネットワークからのアクセスに対して認証を行わないため、悪意あるスクリプト等の攻撃対象となり得るという問題があった。   In addition, the NAPT / FW setting using UPnP has a problem that home devices to be accessed are limited because home devices connected to the home network need to support UPnP. Furthermore, since the NAPT / FW setting using UPnP does not authenticate access from an external network, there is a problem that it can be an attack target such as a malicious script.

また、特許文献1には、アクセス対象となる対象機器が、自身にアクセスするためのURLを外部サーバ装置に登録しておき、同一のホームネットワークのWebブラウザ装置から該外部サーバ装置にアクセスすることにより、ソースアドレスの同一性をキーにしてURLを検索し、対象機器にアクセスする技術が開示されている。   Further, in Patent Document 1, a target device to be accessed registers a URL for accessing itself in an external server device, and accesses the external server device from a Web browser device on the same home network. Thus, a technique for searching for a URL using the identity of a source address as a key and accessing a target device is disclosed.

しかしながら、外部サーバ装置へ登録するには対象機器がその登録機能を備える必要があるため、やはり、アクセス対象となるホーム機器が限定されるという問題があった。また、Webブラウザ装置は同一のホームネットワークに接続されているため、開示された構成や方法を用いた場合であっても、外部ネットワークからのアクセスには対応できないという問題もある。   However, since the target device needs to have the registration function in order to register with the external server device, there is still a problem that home devices to be accessed are limited. Further, since the Web browser apparatus is connected to the same home network, there is a problem that even if the disclosed configuration and method are used, access from an external network cannot be handled.

特許第4110145号公報Japanese Patent No. 4110145

“Dynamic Updates in the Domain Name System (DNS UPDATE)”、[online]、RFC2136、The Internet Engineering Task Force、[平成21年6月2日検索]、インターネット<http://www.ietf.org/rfc/rfc2136.txt>“Dynamic Updates in the Domain Name System (DNS UPDATE)”, [online], RFC2136, The Internet Engineering Task Force, [Search June 2, 2009], Internet <http://www.ietf.org/rfc /rfc2136.txt> “DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION”、[online]、RFC1035、The Internet Engineering Task Force、[平成21年6月2日検索]、インターネット<http://www.ietf.org/rfc/rfc1035.txt>“DOMAIN NAMES-IMPLEMENTATION AND SPECIFICATION”, [online], RFC1035, The Internet Engineering Task Force, [Search June 2, 2009], Internet <http://www.ietf.org/rfc/rfc1035.txt> “Internet Gateway Device”、[online]、UPnP FORUM、[平成21年6月2日検索]、インターネット<http://www.upnp.org/standardizeddcps/igd.asp>“Internet Gateway Device”, [online], UPnP FORUM, [Search June 2, 2009], Internet <http://www.upnp.org/standardizeddcps/igd.asp>

本発明は、上記課題を鑑みてなされたものであり、ホームネットワークに接続されたホーム機器に対して、外部ネットワークから確実かつ安全にアクセスすることを課題とする。   The present invention has been made in view of the above problems, and it is an object of the present invention to reliably and safely access a home device connected to a home network from an external network.

請求項1に記載の本発明は、外部ネットワークに配置されたユーザ端末からホームネットワークに接続されているホーム機器にアクセスするためのアクセス制御システムにおいて、前記外部ネットワークに配置され、ホーム機器の識別子と該ホーム機器でアクセス要求を待ち受けるポート番号とを関連付けて記憶手段に記憶しておき、記憶されているホーム機器を選択可能な管理ページを前記ユーザ端末に表示し、選択された対象ホーム機器に対応するポート番号を前記記憶手段から検索して、前記外部ネットワークと前記ホームネットワークとの境界に配置されたホームゲートウェイにおける外部ネットワーク側のアドレスに到達したアクセス要求を前記対象ホーム機器に転送するようNAPT及びFWのテーブル情報を設定する設定要求を送信する受付サーバと、受付サーバ/ホーム機器からホーム機器/受付サーバへのアクセス制限を定めたアクセス制御リストに基づいて、前記設定要求を送信した受付サーバが前記対象ホーム機器にアクセス可能か否かを判定し、アクセス可能な場合に、ホーム機器の識別子からホームゲートウェイを検索可能なホームゲートウェイ識別子リストに基づいて、前記対象ホーム機器と同じホームネットワークに接続されたホームゲートウェイを検索し、専用ネットワークに配置されたアドレス管理サーバへの問い合わせ結果から得られた該ホームゲートウェイのアドレスに前記設定要求を中継する運用サーバと、専用ネットワークに接続されたホームゲートウェイの識別子と、該ホームゲートウェイにおける専用ネットワーク側のアドレスとを関連付けて管理しておき、前記運用サーバからの問い合わせに応じたホームゲートウェイのアドレスを送信するアドレス管理サーバと、前記専用ネットワークを介して中継された前記設定要求を受信する運用サーバ通信部と、該設定要求を受信した後に自身に設定された外部ネットワーク側のアドレスを取得する情報取得部と、前記設定要求を受信した後に前記対象ホーム機器の識別子を用いてホームネットワークにブロードキャストを行って該対象ホーム機器のアドレスを解決するホーム機器通信部と、前記外部ネットワーク側で待ち受けるポート番号を決定した後に、前記外部ネットワーク側のアドレス及びポート番号と前記対象ホーム機器のアドレス及びポート番号とを用いて、前記設定要求に応じた設定を行う設定部とを有するホームゲートウェイと、を備え、前記受付サーバは、前記ホームゲートウェイにおける外部ネットワーク側のアドレス及びポート番号を用いてURI又はRDPファイルを生成し、該URI又はRDPファイルへのリンクを生成して、前記ユーザ端末からのアクセス要求を管理ページから前記対象ホーム機器に遷移させることを特徴とする。   The present invention according to claim 1 is an access control system for accessing a home device connected to a home network from a user terminal located in the external network. The home device associates the port number with which the home device waits for an access request and stores it in the storage means, displays a management page for selecting the stored home device on the user terminal, and corresponds to the selected target home device A port number to be searched from the storage means, and NAPT and an access request that reaches an address on the external network side in a home gateway arranged at a boundary between the external network and the home network are transferred to the target home device. Setting request to set FW table information Whether or not the reception server that transmitted the setting request can access the target home device based on the reception server to be transmitted and an access control list that defines access restrictions from the reception server / home device to the home device / reception server When the access is possible, the home gateway connected to the same home network as the target home device is searched based on the home gateway identifier list from which the home gateway can be searched from the home device identifier. An operation server that relays the setting request to the address of the home gateway obtained from the inquiry result to the address management server that is arranged, an identifier of the home gateway connected to the dedicated network, and the dedicated network side of the home gateway Address and An address management server that transmits a home gateway address in response to an inquiry from the operation server, an operation server communication unit that receives the setting request relayed via the dedicated network, An information acquisition unit that acquires an address on the external network side set to itself after receiving the setting request, and a broadcast to the home network using the identifier of the target home device after receiving the setting request After determining the home device communication unit for resolving the device address, and the port number to wait on the external network side, using the address and port number on the external network side and the address and port number of the target home device, And a setting unit that performs setting according to the setting request. The reception server generates a URI or RDP file using an address and port number on the external network side of the home gateway, generates a link to the URI or RDP file, and The access request from the terminal is transitioned from the management page to the target home device.

請求項2に記載の本発明は、前記運用サーバ通信部と、前記情報取得部と、前記ホーム機器通信部と、前記設定部とは、OSGiフレームワークを用いたバンドルで構成されていることを特徴とする。   According to a second aspect of the present invention, the operation server communication unit, the information acquisition unit, the home device communication unit, and the setting unit are configured by a bundle using an OSGi framework. Features.

請求項3に記載の本発明は、外部ネットワークに配置されたユーザ端末からホームネットワークに接続されているホーム機器にアクセスするためのアクセス制御方法において、前記外部ネットワークに配置された受付サーバにより、ホーム機器の識別子と該ホーム機器でアクセス要求を待ち受けるポート番号とを関連付けて記憶手段に記憶しておき、記憶されているホーム機器を選択可能な管理ページを前記ユーザ端末に表示し、選択された対象ホーム機器に対応するポート番号を前記記憶手段から検索して、前記外部ネットワークと前記ホームネットワークとの境界に配置されたホームゲートウェイにおける外部ネットワーク側のアドレスに到達したアクセス要求を前記対象ホーム機器に転送するようNAPT及びFWのテーブル情報を設定する設定要求を送信するステップと、運用サーバにより、受付サーバ/ホーム機器からホーム機器/受付サーバへのアクセス制限を定めたアクセス制御リストに基づいて、前記設定要求を送信した受付サーバが前記対象ホーム機器にアクセス可能か否かを判定し、アクセス可能な場合に、ホーム機器の識別子からホームゲートウェイを検索可能なホームゲートウェイ識別子リストに基づいて、前記対象ホーム機器と同じホームネットワークに接続されたホームゲートウェイを検索し、専用ネットワークに配置されたアドレス管理サーバへ該ホームネットワークにおける専用ネットワーク側のアドレスを問い合わせるステップと、アドレス管理サーバにより、専用ネットワークに接続されたホームゲートウェイの識別子と、該ホームゲートウェイにおける専用ネットワーク側のアドレスとを関連付けて管理しておき、前記運用サーバからの問い合わせに応じたホームゲートウェイのアドレスを送信するステップと、前記運用サーバにより、前記問い合わせ結果から得られた該ホームゲートウェイのアドレスに前記設定要求を中継するステップと、ホームゲートウェイの運用サーバ通信部により、前記専用ネットワークを介して中継された前記設定要求を受信するステップと、当該ホームゲートウェイの情報取得部により、該設定要求を受信した後に自身に設定された外部ネットワーク側のアドレスを取得するステップと、当該ホームゲートウェイのホーム機器通信部により、前記設定要求を受信した後に前記対象ホーム機器の識別子を用いてホームネットワークにブロードキャストを行って該対象ホーム機器のアドレスを解決するステップと、当該ホームゲートウェイの設定部により、前記外部ネットワーク側で待ち受けるポート番号を決定した後に、前記外部ネットワーク側のアドレス及びポート番号と前記対象ホーム機器のアドレス及びポート番号とを用いて、前記設定要求に応じた設定を行うステップと、前記受付サーバにより、前記ホームゲートウェイにおける外部ネットワーク側のアドレス及びポート番号を用いてURI又はRDPファイルを生成し、該URI又はRDPファイルへのリンクを生成して、前記ユーザ端末からのアクセス要求を管理ページから前記対象ホーム機器に遷移させるステップと、を有することを特徴とする。   According to a third aspect of the present invention, there is provided an access control method for accessing a home device connected to a home network from a user terminal arranged in an external network, by a reception server arranged in the external network. The identifier of the device and the port number on which the home device waits for an access request is stored in the storage means, the management page for selecting the stored home device is displayed on the user terminal, and the selected target The port number corresponding to the home device is searched from the storage means, and the access request that has reached the address on the external network side in the home gateway located at the boundary between the external network and the home network is transferred to the target home device Set NAPT and FW table information to And a receiving server that has transmitted the setting request based on an access control list that defines an access restriction from the receiving server / home device to the home device / receiving server by the operation server. A home gateway connected to the same home network as the target home device based on a home gateway identifier list that determines whether or not the device can be accessed and, when accessible, can search for the home gateway from the home device identifier Inquiring about an address on the dedicated network side of the home network from an address management server arranged in the dedicated network, an identifier of the home gateway connected to the dedicated network by the address management server, and the home gateway A dedicated network address in B is managed in association with each other, and a home gateway address corresponding to the inquiry from the operation server is transmitted, and the home gateway obtained from the inquiry result by the operation server Relaying the setting request to the address of the home gateway, receiving the setting request relayed via the dedicated network by the operation server communication unit of the home gateway, and information setting unit of the home gateway The step of acquiring the address on the external network side set in itself after receiving the request, and the home device communication unit of the home gateway, after receiving the setting request, using the identifier of the target home device to the home network Broadcast And resolving the address of the target home device, and after determining the port number to be waited on the external network side by the setting unit of the home gateway, the address and port number on the external network side and the target home device Using the address and port number to perform setting according to the setting request; and generating a URI or RDP file using the address and port number on the external network side in the home gateway by the receiving server; Generating a link to a URI or RDP file, and transitioning an access request from the user terminal from a management page to the target home device.

請求項4に記載の本発明は、前記運用サーバ通信部と、前記情報取得部と、前記ホーム機器通信部と、前記設定部とは、OSGiフレームワークを用いたバンドルで構成されていることを特徴とする。   According to a fourth aspect of the present invention, the operation server communication unit, the information acquisition unit, the home device communication unit, and the setting unit are configured by a bundle using an OSGi framework. Features.

請求項5に記載の本発明は、請求項1又は2に記載した受付サーバ、運用サーバ、アドレス管理サーバ、ホームゲートウェイの各処理をコンピュータに実行させることを特徴とする。   The present invention described in claim 5 is characterized by causing a computer to execute each process of the reception server, operation server, address management server, and home gateway described in claim 1 or 2.

請求項6に記載の本発明は、請求項5に記載したアクセス制御プログラムを記録したことを特徴とする。   The present invention described in claim 6 is characterized in that the access control program described in claim 5 is recorded.

本発明によれば、ホームネットワークに接続されたホーム機器に対して、外部ネットワークから確実かつ安全にアクセスすることができる。   According to the present invention, it is possible to reliably and safely access a home device connected to a home network from an external network.

アクセス制御システムの全体構成を示す図である。It is a figure which shows the whole structure of an access control system. HGWの機能ブロック構成を示す図である。It is a figure which shows the functional block structure of HGW. アクセス制御システムの処理フローを示す図である。It is a figure which shows the processing flow of an access control system. 画面遷移の一例を示す図である。It is a figure which shows an example of a screen transition. 画面遷移の他の一例を示す図である。It is a figure which shows another example of a screen transition. 画面遷移の他の一例を示す図である。It is a figure which shows another example of a screen transition.

以下、一実施の形態について図面を用いて説明する。   Hereinafter, an embodiment will be described with reference to the drawings.

図1は、本実施の形態に係るアクセス制御システムの全体構成を示す図である。本アクセス制御システム1は、エンドユーザ宅A,Bのホームネットワーク32に接続されたホーム機器14に対し、外部ネットワーク30を介して第3エンドユーザ端末15cからアクセスするためのアクセス制御システムであって、HSPサーバ10(第1HSPサーバ10a,第2HSPサーバ10b)と、HNW運用サーバ11と、HGWアドレス管理サーバ12と、HGW13(第1HGW13a,第2HGW13b)と、専用ネットワーク31とで構成されている。   FIG. 1 is a diagram showing an overall configuration of an access control system according to the present embodiment. The access control system 1 is an access control system for accessing the home device 14 connected to the home networks 32 of the end user homes A and B from the third end user terminal 15c via the external network 30. , HSP server 10 (first HSP server 10a, second HSP server 10b), HNW operation server 11, HGW address management server 12, HGW 13 (first HGW 13a, second HGW 13b), and dedicated network 31.

なお、このようなアクセス制御システム1を構成している各サーバやHGWは、CPU等の演算処理装置やメモリ等の記憶装置を備えたコンピュータにより構成可能なものであり、各機能処理はプログラムによって実行される。また、このようなプログラムは記憶装置に記憶されており、記録媒体に記録することも、ネットワークを通して提供することも可能である。以下、本アクセス制御システム1の機能及び処理フローについて個別具体的に説明すると共に、本実施の形態における作用及び効果について説明する。   In addition, each server and HGW which comprise such an access control system 1 can be comprised by computers provided with arithmetic processing units, such as CPU, and memory | storage devices, such as memory, and each function process is carried out by a program. Executed. Such a program is stored in a storage device, and can be recorded on a recording medium or provided through a network. Hereinafter, the functions and processing flow of the access control system 1 will be described individually and specifically, and the operations and effects of the present embodiment will be described.

HSP(Home network Service Provider)サーバ10は、インターネット等の広く一般に用いられている広域網である外部ネットワーク30に接続されており、エンドユーザ宅A,Bのホームネットワーク32に接続されているホーム機器の識別子と該ホーム機器でアクセス要求を待ち受けるポート番号とをそれぞれ関連付けて記憶部に記憶しておく機能を有している。また、第3エンドユーザ端末15cからアクセス要求があった場合に、上記記憶部に記憶されているホーム機器の識別子(又はホーム機器の名称)や、ホーム機器へのアクセス方法(具体的には、リモートアクセス、又はリモートデスクトップ接続)を選択可能なホーム機器一元管理ページを第3エンドユーザ端末15cに表示する機能を有している。なお、このホーム機器一元管理ページとは、複数のエンドユーザ宅A,Bのホームネットワーク32に接続された異なる様々なベンダの機器を纏めて一元的に管理し、画面に表示されるページである。また、エンドユーザ端末(第1エンドユーザ端末15a〜第3エンドユーザ端末15c)とは、エンドユーザがアクセス制御に用いる端末であって、例えばPC、携帯電話、TV等を一例とし、ホーム機器(第1ホーム機器14a〜第3ホーム機器14c)とは、エンドユーザによりアクセス制御される対象機器である。   A home network service provider (HSP) server 10 is connected to an external network 30 that is a widely used wide area network such as the Internet, and is connected to a home network 32 of end user homes A and B. And the port number that waits for an access request in the home device are associated with each other and stored in the storage unit. In addition, when there is an access request from the third end user terminal 15c, the identifier of the home device (or the name of the home device) stored in the storage unit, the access method to the home device (specifically, It has a function of displaying on the third end user terminal 15c a home device centralized management page capable of selecting remote access or remote desktop connection). The home device centralized management page is a page that collectively manages devices of various different vendors connected to the home networks 32 of a plurality of end user homes A and B, and is displayed on the screen. . The end user terminals (first end user terminal 15a to third end user terminal 15c) are terminals used by end users for access control. For example, a PC, a mobile phone, a TV, etc. The first home device 14a to the third home device 14c) are target devices whose access is controlled by the end user.

さらに、HSPサーバ10は、第3エンドユーザ端末15cを操作しているエンドユーザにより選択されたホーム機器(以降、対象ホーム機器という)に対応するポート番号を上記記憶部から検索して、HGW13の外部ネットワーク側のアドレスに到達したアクセス要求を対象ホーム機器に転送するようHGW13のNAPT及びFWのテーブル情報を設定するNAPT/FW設定要求を送信する機能を有している。また、HGW13のNAPT及びFWのテーブル情報が上記NAPT/FW設定要求に基づいて設定(変更や追加)された場合には、HGW13の外部ネットワーク側のアドレス及びポート番号を用いてURI又はRDPファイルを生成し、生成したURI又はRDPファイルへのリンクを生成した上でリダイレクトが可能であればリダイレクトを行い、第3エンドユーザ端末15cからのアクセス要求をホーム機器一元管理ページから対象ホーム機器に遷移させる機能を有している。なお、HSPサーバ10は、第3エンドユーザ端末15cからアクセスがあった際に、予め登録されたエンドユーザ情報やパスワードを用いて、ログイン認証を行うことも可能となっている。   Further, the HSP server 10 searches the storage unit for a port number corresponding to a home device (hereinafter referred to as a target home device) selected by the end user operating the third end user terminal 15c, and It has a function of transmitting a NAPT / FW setting request for setting NAPT and FW table information of the HGW 13 so as to transfer the access request that has reached the address on the external network side to the target home device. When the NAPT and FW table information of the HGW 13 is set (changed or added) based on the NAPT / FW setting request, a URI or RDP file is created using the address and port number on the external network side of the HGW 13. Generate a link to the generated URI or RDP file and redirect if possible, and transition the access request from the third end user terminal 15c from the home device unified management page to the target home device. It has a function. The HSP server 10 can also perform login authentication using end user information and a password registered in advance when accessed from the third end user terminal 15c.

HNW運用サーバ11は、HSPサーバ10とホームネットワーク32との間の通信を司るサーバであって、HSPサーバ10からホーム機器14への通信(アクション中継)とホーム機器14からHSPサーバ10への通信(ノーティファイ中継)との許可/不許可を設定したアクセスコントロールリスト(以下、ACLという)と、ホーム機器14の識別子とHGW13の識別子とを対応付けて記載したHGW識別子リスト(以下、HILという)とを記憶しておく機能を有している。また、ACLに基づいて、上記NAPT/FW設定要求を送信したHSPサーバ10が対象ホーム機器にアクセス可能か否かを判定し、アクセス可能な場合に、HILに基づいて、対象ホーム機器と同じホームネットワークのHGW13を検索し、NGN(Next Generation Network)網等の閉域かつセキュアな専用ネットワーク31に配置されているHGWアドレス管理サーバ12へHGW13のアドレスを問い合わせ、その問い合わせ結果から得られたHGW13のアドレスにNAPT/FW設定要求を中継する機能を有している。   The HNW operation server 11 is a server that manages communication between the HSP server 10 and the home network 32, and communication (action relay) from the HSP server 10 to the home device 14 and communication from the home device 14 to the HSP server 10. An access control list (hereinafter referred to as ACL) in which permission / non-permission with (notify relay) is set, and an HGW identifier list (hereinafter referred to as HIL) in which the identifier of the home device 14 and the identifier of HGW 13 are described in association with each other. Is stored. Further, based on the ACL, it is determined whether or not the HSP server 10 that has transmitted the NAPT / FW setting request can access the target home device. If the target home device can be accessed, the same home as the target home device is determined based on the HIL. The HGW 13 of the network is searched, the address of the HGW 13 is inquired to the HGW address management server 12 arranged in the closed and secure dedicated network 31 such as an NGN (Next Generation Network) network, and the address of the HGW 13 obtained from the inquiry result Has a function of relaying a NAPT / FW setting request.

HGWアドレス管理サーバ12は、専用ネットワーク31に接続されているHGW13にアドレスを割り振ると共に、割り振ったHGW13の専用ネットワーク側のアドレスとHGW13の識別子とを関連付けて管理しておき、HNW運用サーバ11からの問い合わせに応じたHGW13のアドレスを送信する機能を有している。   The HGW address management server 12 allocates an address to the HGW 13 connected to the dedicated network 31 and manages the allocated network address of the HGW 13 in association with the identifier of the HGW 13. It has a function of transmitting the address of the HGW 13 in response to the inquiry.

HGW13は、外部ネットワーク30と専用ネットワーク31とホームネットワーク32とに接続され、ルータ機能、NAPT機能、FW機能を具備している。また、図2に示すように、専用ネットワーク31を介して中継された上記NAPT/FW設定要求を受信するHNW運用サーバ通信部131と、NAPT/FW設定要求を受信した後に自身に設定された外部ネットワーク側のアドレスを取得するHGW情報取得部132と、NAPT/FW設定要求を受信した後に対象ホーム機器の識別子を用いてホームネットワーク32にブロードキャストを行って対象ホーム機器のアドレスを解決するホーム機器通信部133と、外部ネットワーク側で待ち受けるポート番号を決定した後に、外部ネットワーク側のアドレス及びポート番号と対象ホーム機器のアドレス及びポート番号とを用いて、上記NAPT/FW設定要求に応じた設定を行うNAPT/FW設定部134とで構成されている。このHGW13を構成しているHNW運用サーバ通信部131と、HGW情報取得部132と、ホーム機器通信部133と、NAPT/FW設定部134は、OSGi(Open Services Gateway initiative)フレームワークを用いたバンドルで実装されている。このようにバンドルで実装することにより、OSGiフレームワークを用いて各バンドルを容易に配布し、アップデートが可能となるので、様々なホーム機器に対応することが可能となる。   The HGW 13 is connected to the external network 30, the dedicated network 31, and the home network 32, and has a router function, a NAPT function, and an FW function. Further, as shown in FIG. 2, the HNW operation server communication unit 131 that receives the NAPT / FW setting request relayed via the dedicated network 31, and the external set in itself after receiving the NAPT / FW setting request An HGW information acquisition unit 132 that acquires an address on the network side, and home device communication that resolves the address of the target home device by broadcasting to the home network 32 using the identifier of the target home device after receiving the NAPT / FW setting request After determining the port number that the unit 133 and the external network side wait on, the setting according to the NAPT / FW setting request is performed using the address and port number on the external network side and the address and port number of the target home device. The NAPT / FW setting unit 134 is configured. The HNW operation server communication unit 131, the HGW information acquisition unit 132, the home device communication unit 133, and the NAPT / FW setting unit 134 constituting the HGW 13 are bundles using an OSGi (Open Services Gateway initiative) framework. Implemented in. By mounting in bundles in this way, each bundle can be easily distributed and updated using the OSGi framework, so that various home devices can be supported.

本実施の形態では、HSPサーバ10とHNW運用サーバ11とを互いに独立した装置として説明するが、運用形態によっては、両サーバの機能を1つの装置に集約させることも可能である。   In the present embodiment, the HSP server 10 and the HNW operation server 11 are described as independent devices. However, depending on the operation mode, the functions of both servers can be integrated into one device.

次に、本アクセス制御システム1の処理フローについて説明する。図3は、アクセス制御システムの処理フローを示す図である。   Next, a processing flow of the access control system 1 will be described. FIG. 3 is a diagram showing a processing flow of the access control system.

最初に、ステップS1において、第3エンドユーザ端末15cから第1HSPサーバ10aに対してエンドユーザ宅のホーム機器へのアクセス要求(Webブラウザでのウェブ接続)があった場合に、ログイン認証を行い、第1HSPサーバ10aが、該エンドユーザ宅内に配置されているホーム機器を選択させるホーム機器一元管理ページを第3エンドユーザ端末15cの画面に出力する。これにより、第3エンドユーザ端末15cを操作しているエンドユーザは、エンドユーザ宅内において所望するホーム機器を選択することが可能となる。   First, in step S1, if there is an access request (web connection with a web browser) to the home device at the end user's home from the third end user terminal 15c to the first HSP server 10a, login authentication is performed. The first HSP server 10a outputs a home device centralized management page for selecting home devices arranged in the end user's home on the screen of the third end user terminal 15c. Thereby, the end user operating the third end user terminal 15c can select a desired home device in the end user's home.

ステップS2において、エンドユーザにより所定のホーム機器14が選択された(以下、第1ホーム機器14aが選択されたものする)後に、第1HSPサーバ10aが、選択された第1ホーム機器14aで利用可能なアクセス方法を選択させる画面、具体的には「リモートアクセス」又は「リモートデスクトップ接続」を選択する表示を上記ホーム機器一元管理ページに出力する。   In step S2, after a predetermined home device 14 is selected by the end user (hereinafter, the first home device 14a is selected), the first HSP server 10a can be used by the selected first home device 14a. A screen for selecting an appropriate access method, specifically, a display for selecting “remote access” or “remote desktop connection” is output to the home device centralized management page.

ステップS3において、第1HSPサーバ10aが、選択された第1ホーム機器14aでアクセス要求を待ち受けているポート番号を記憶部から検索取得し、NAPT/FW設定要求の識別子と、送信元である第1HSPサーバ10aの識別子と、送信先である第1ホーム機器14aの識別子と、第1ホーム機器14aの待ち受けポート番号と、第3エンドユーザ端末15cのソースアドレスとを指定すると共に、必要に応じてHGW13の待ち受けポート番号を指定し、これら指定情報を記載したNAPT/FW設定要求パケットを中継するようHNW運用サーバ11に送信する。   In step S3, the first HSP server 10a retrieves from the storage unit the port number on which the selected first home device 14a is waiting for an access request, stores the identifier of the NAPT / FW setting request, and the first HSP that is the transmission source. The identifier of the server 10a, the identifier of the first home device 14a that is the transmission destination, the standby port number of the first home device 14a, and the source address of the third end user terminal 15c are designated, and if necessary, the HGW 13 Is sent to the HNW operation server 11 so as to relay the NAPT / FW setting request packet in which the designation information is described.

ステップS4において、NAPT/FW設定要求パケットを受信したHNW運用サーバ11が、そのパケットに記載されている第1HSPサーバ10aの識別子と第1ホーム機器14aの識別子とを用いて、ACLの設定内容に基づいて送信可能な宛先であるか否かを判定し、送信可能な場合には、第1ホーム機器14aの識別子に対応付けられたHGW13の識別子をHILから解決する(ここでは、第1HGW13aの識別子が解決されたものとする)。その後、専用ネットワーク31を介して第1HGW13aの識別子をHGWアドレス管理サーバ12に送信して、第1HGW13aにおける専用ネットワーク側のアドレスを解決する。そして、受信しているNAPT/FW設定要求パケットを、解決されたアドレスの第1HGW13aに中継する。   In step S4, the HNW operation server 11 that has received the NAPT / FW setting request packet uses the identifier of the first HSP server 10a and the identifier of the first home device 14a described in the packet to set the ACL setting contents. Based on the HIL, the identifier of the HGW 13 associated with the identifier of the first home device 14a is resolved from the HIL (here, the identifier of the first HGW 13a). Is resolved). Thereafter, the identifier of the first HGW 13a is transmitted to the HGW address management server 12 via the dedicated network 31, and the address on the dedicated network side in the first HGW 13a is resolved. Then, the received NAPT / FW setting request packet is relayed to the first HGW 13a of the resolved address.

ステップS5において、専用ネットワーク31を介してHNW運用サーバ11で中継されたNAPT/FW設定要求パケットを第1HGW13aのHNW運用サーバ通信部131で受信した後に、HGW情報取得部132が、自身の外部ネットワーク側に設定されているアドレスを取得する。そして、ホーム機器通信部133が、NAPT/FW設定要求パケットに記載されている第1ホーム機器14aの識別子を用いてホームネットワーク32にブロードキャストを行い、第1ホーム機器14aのアドレスを解決する。その後、NAPT/FW設定部134が、NAPT/FW設定要求パケットにHGW13の待ち受けポート番号が指定されている場合にはそのポート番号、指定されていない場合や予め規定されている場合には該規定に従うポート番号、又はランダムに決定したポート番号のうちいずれかを第1HGW13aの待ち受けポート番号に用いて、HGW情報取得部132により取得した外部ネットワーク側のアドレスであって決定した待ち受けポート番号に到達したパケットを、ホーム機器通信部133により解決した第1ホーム機器14aのアドレスであってNAPT/FW設定要求に記載されている第1ホーム機器14aの待ち受けポート番号に転送可能とするように、NAPT及びFWのテーブル情報を設定(変更や追加)する。テーブル情報の設定が成功した場合には、第1HGW13aの外部ネットワーク側のアドレス及び待ち受けポート番号、又はこれら2つの情報から生成されたURIを、専用ネットワーク31を介して第1HSPサーバ10aに返却する。   In step S5, after receiving the NAPT / FW setting request packet relayed by the HNW operation server 11 via the dedicated network 31 by the HNW operation server communication unit 131 of the first HGW 13a, the HGW information acquisition unit 132 performs its own external network. Get the address set on the side. The home device communication unit 133 then broadcasts to the home network 32 using the identifier of the first home device 14a described in the NAPT / FW setting request packet, and resolves the address of the first home device 14a. After that, the NAPT / FW setting unit 134 indicates the port number when the standby port number of the HGW 13 is specified in the NAPT / FW setting request packet, and the specification when it is not specified or is specified in advance. Using either the port number according to the above or a randomly determined port number as the standby port number of the first HGW 13a, the external network side address acquired by the HGW information acquisition unit 132 and reached the determined standby port number The NAPT and the address of the first home device 14a resolved by the home device communication unit 133, so that the packet can be transferred to the standby port number of the first home device 14a described in the NAPT / FW setting request. FW table information is set (changed or added). If the setting of the table information is successful, the external network side address and standby port number of the first HGW 13a or the URI generated from these two pieces of information is returned to the first HSP server 10a via the dedicated network 31.

ステップS6において、第1HSPサーバ10aが、返却されたURIをそのまま利用し、又は返却された第1HGW13aの外部ネットワーク側のアドレス及び待ち受けポート番号からURI又はRDPファイルを生成し、URI又はRDPファイルへのリンクを生成した上でリダイレクトが可能であればリダイレクトを行い、第3エンドユーザ端末15cからのアクセス要求をホーム機器一元管理ページから第1ホーム機器14aに遷移させる。   In step S6, the first HSP server 10a uses the returned URI as it is, or generates a URI or RDP file from the address of the external network side of the returned first HGW 13a and a standby port number, and stores it in the URI or RDP file. If redirection is possible after generating the link, the redirection is performed, and the access request from the third end user terminal 15c is changed from the home device integrated management page to the first home device 14a.

ステップS7において、エンドユーザは、そのまま待機するか、画面に表示されているリンクをクリックすることにより、外部ネットワーク30経由で第1ホーム機器14aにアクセスして制御することが可能となる。   In step S <b> 7, the end user can access and control the first home device 14 a via the external network 30 by waiting as it is or by clicking a link displayed on the screen.

最後に、ステップS8において、第1ホーム機器14aへのアクセス終了後、タイムアウト処理、又はホーム機器一元管理ページからのユーザの明示的な指示に基づいて、ステップS5で設定した設定情報をNAPT/FWのテーブル情報から削除する。   Finally, in step S8, after the access to the first home device 14a is completed, the setting information set in step S5 is applied to the NAPT / FW based on the timeout process or the user's explicit instruction from the home device centralized management page. Delete from the table information.

以上説明した本アクセス制御システムを用いることにより、例えば、1)Webブラウザを用いたホーム機器へのhttp/httpsでのリモートアクセス、2)Webブラウザとリモートデスクトップ接続とを用いたホーム機器へのリモートデスクトップ接続、3)Webブラウザと動画ファイルを再生可能なソフトウェアとを用いたDLNA(Digital Living Network Alliance)のコンテンツ視聴等のサービスを提供することが可能となる。   By using the access control system described above, for example, 1) remote access to a home device using a web browser using http / https 2) remote control to a home device using a web browser and a remote desktop connection Desktop connection 3) It is possible to provide services such as DLNA (Digital Living Network Alliance) content viewing using a Web browser and software capable of reproducing moving image files.

最初に、上記1)の場合における画面遷移を図4に示す。このリモートアクセスは、ホーム機器を選択した後に、HGW13のHNW運用サーバ通信部131を経由してNAPT/FW設定部134によりNAPT/FW設定を行い、設定完了後にリダイレクトを行って、ホーム機器へ直接アクセスするアクセス方法である。   First, the screen transition in the case of 1) is shown in FIG. In this remote access, after selecting a home device, the NAPT / FW setting unit 134 performs NAPT / FW setting via the HNW operation server communication unit 131 of the HGW 13 and redirects after the setting is completed to directly access the home device. It is an access method to do.

まず、第3エンドユーザ端末15cの画面には、ホーム機器を選択するホーム機器一元管理ページが表示され(遷移Sa1)、続いて、選択されたホーム機器で利用可能なアクセス方法等が表示される(遷移Sa2)。リモートアクセスを選択することにより、ホーム機器の管理画面又はファイル閲覧を選択する画面が表示され(遷移Sa3)、ファイル閲覧の開始が選択されることにより、HNW運用サーバ11経由でHGW13のNAPT/FW設定が行われる。ここで、新たなウィンドウが立ち上がり、NAPT/FW設定中には設定中であることが表示され(遷移Sa4)、設定完了後にはその旨が表示される(遷移Sa5)。その後、リダイレクトを行うか、又は画面上での指定箇所をクリックしてリンクを辿ることにより、ホーム機器のページが表示され、ホーム機器のファイルを閲覧することが可能となる(遷移Sa6)。そして、ファイルの閲覧が終了する場合にはページを閉じることにより(遷移Sa7)、遷移Sa3の画面に戻る(遷移Sa8)。その後、ファイル閲覧の終了を選択することにより全ての処理が終了する(遷移Sa9、Sa10)。   First, a home device centralized management page for selecting a home device is displayed on the screen of the third end user terminal 15c (transition Sa1), followed by an access method that can be used by the selected home device. (Transition Sa2). By selecting remote access, a home device management screen or a screen for selecting file browsing is displayed (transition Sa3), and by selecting to start file browsing, the NAPT / FW of the HGW 13 via the HNW operation server 11 is displayed. Settings are made. Here, a new window is displayed, indicating that the setting is being performed during the NAPT / FW setting (transition Sa4), and that setting is displayed (transition Sa5). After that, by redirecting or clicking a designated location on the screen and following the link, the home device page is displayed, and the home device file can be browsed (transition Sa6). When the browsing of the file ends, the page is closed (transition Sa7), and the screen returns to the transition Sa3 screen (transition Sa8). Thereafter, by selecting the end of file browsing, all processing ends (transitions Sa9 and Sa10).

次に、上記2)の場合における画面遷移を図5に示す。このリモートディスクトップ接続は、ホーム機器を選択した後に、HGW13のHNW運用サーバ通信部131を経由してNAPT/FW設定部134によりNAPT/FW設定を行い、設定完了後にアクセス対象のホーム機器にアクセス可能となるよう、HGW13の待ち受けポート番号と外部ネットワーク側のアドレスとを記述したRDPファイルを生成し、該RDPファイルへのURLを記述したページを生成して、ホーム機器へリモートデスクトップで直接アクセスするアクセス方法である。   Next, the screen transition in the case of 2) is shown in FIG. In this remote desktop connection, after selecting a home device, NAPT / FW setting is performed by the NAPT / FW setting unit 134 via the HNW operation server communication unit 131 of the HGW 13, and the accessed home device is accessed after the setting is completed. Create an RDP file that describes the standby port number of the HGW 13 and the address on the external network side so that it can be created, create a page that describes the URL to the RDP file, and access the home device directly on the remote desktop Is the method.

まず、第3エンドユーザ端末15cの画面には、ホーム機器を選択するホーム機器一元管理ページが表示され(遷移Sb1)、続いて、選択されたホーム機器で利用可能なアクセス方法等が表示される(遷移Sb2)。RDP接続を選択することにより、RDP接続の開始/終了を選択する画面が表示され(遷移Sb3)、RDP接続の開始が選択されることにより、HNW運用サーバ11経由でHGW13のNAPT/FW設定が行われ、RDPファイルが生成される。ここで、新たなウィンドウが立ち上がり、NAPT/FW設定中には設定中であることが表示され(遷移Sb4)、その設定やRDPファイルが生成された後に、RDPファイルへのリンクを記述したページが表示される(遷移Sb5)。その後、表示された指定箇所をクリックすることにより外部プログラムが起動し、ホーム機器へリモートディスクトップ接続でアクセスすることが可能となる(遷移Sb6)。そして、そのホーム機器への接続を終了する場合には、ページを閉じることにより(遷移Sb7)、遷移Sb3の画面に戻る(遷移Sb8)。その後、RDP接続の終了を選択することにより全ての処理が終了する(遷移Sb9、Sb10)。   First, a home device centralized management page for selecting a home device is displayed on the screen of the third end user terminal 15c (transition Sb1), and subsequently an access method and the like that can be used with the selected home device are displayed. (Transition Sb2). By selecting the RDP connection, a screen for selecting the start / end of the RDP connection is displayed (transition Sb3). By selecting the start of the RDP connection, the NAPT / FW setting of the HGW 13 is set via the HNW operation server 11. And an RDP file is generated. Here, a new window is displayed, and it is displayed during the NAPT / FW setting (transition Sb4). After the setting and the RDP file are generated, a page describing a link to the RDP file is displayed. Is displayed (transition Sb5). After that, by clicking on the designated location displayed, the external program is started, and it becomes possible to access the home device via a remote desktop connection (transition Sb6). When the connection to the home device is terminated, the page is closed (transition Sb7), and the screen returns to the transition Sb3 screen (transition Sb8). Thereafter, by selecting the end of the RDP connection, all the processes are completed (transitions Sb9 and Sb10).

最後に、上記3)の場合における画面遷移を図6に示す。このコンテンツ視聴は、ホーム機器を選択した後に、HGW13のHNW運用サーバ通信部131及びホーム機器通信部133を経由してホーム機器が有するコンテンツ迄の階層を辿り、その提供可能なコンテンツリストを取得した後に、HNW運用サーバ通信部131を経由してNAPT/FW設定部134によりNAPT/FW設定を行い、設定完了後にアクセス対象のホーム機器のコンテンツにアクセス可能となるよう、HGW13の待ち受けポート番号と外部ネットワーク側のアドレスとを記述したリンクを生成すると共にリダイレクトを行い、ホーム機器のコンテンツへ直接アクセスするアクセス方法である。   Finally, the screen transition in the case of 3) is shown in FIG. In this content viewing, after selecting a home device, the user can follow the hierarchy up to the content of the home device via the HNW operation server communication unit 131 and the home device communication unit 133 of the HGW 13 and obtain a content list that can be provided. Later, NAPT / FW setting is performed by the NAPT / FW setting unit 134 via the HNW operation server communication unit 131, and the standby port number of the HGW 13 and the external are set so that the content of the home device to be accessed can be accessed after the setting is completed. In this access method, a link describing the address on the network side is generated and redirected to directly access the content of the home device.

まず、第3エンドユーザ端末15cの画面には、ホーム機器を選択するホーム機器一元管理ページが表示され(遷移Sc1)、続いて、選択されたホーム機器で利用可能なアクセス方法等が表示される(遷移Sc2)。ここで、コンテンツ視聴を選択することにより、HNW運用サーバ通信部131及びホーム機器通信部133が、選択されたホーム機器により視聴可能なコンテンツを該ホーム機器から検索取得して表示する(遷移Sc3)。ビデオが選択されて、更に全てのビデオが選択された場合に(遷移Sc4)、ホーム機器が提供可能なビデオ1〜ビデオ3の開始/終了を選択する画面が表示され(遷移Sc5)、例えばビデオ1の開始が選択されることにより、HNW運用サーバ11経由でHGW13のNAPT/FW設定が行われる。ここで、新たなウィンドウが立ち上がり、NAPT/FW設定中には設定中であることが表示され(遷移Sc6)、HGW13へのリンクが生成された後に、そのリンクを記述したページが表示される(遷移Sc7)。その後、リダイレクトを行うか、表示された指定箇所をクリックすることにより外部プログラムが起動し、コンテンツ視聴が可能となる(遷移Sc8)。そして、そのコンテンツ視聴を終了する場合には、ページを閉じることにより(遷移Sc9)、遷移Sc5の画面に戻る(遷移Sc10)。その後、ビデオ1の終了を選択することにより全ての処理が終了する(遷移Sc11、Sc12)。   First, a home device centralized management page for selecting a home device is displayed on the screen of the third end user terminal 15c (transition Sc1), and subsequently an access method and the like that can be used with the selected home device are displayed. (Transition Sc2). Here, by selecting content viewing, the HNW operation server communication unit 131 and the home device communication unit 133 retrieve and display content that can be viewed by the selected home device from the home device (transition Sc3). . When a video is selected and all videos are further selected (transition Sc4), a screen for selecting start / end of video 1 to video 3 that can be provided by the home device is displayed (transition Sc5). When the start of 1 is selected, the NAPT / FW setting of the HGW 13 is performed via the HNW operation server 11. Here, a new window is displayed, and it is displayed that NAPT / FW is being set (transition Sc6). After a link to the HGW 13 is generated, a page describing the link is displayed ( Transition Sc7). Thereafter, the external program is activated by performing redirection or clicking the designated location displayed, and content viewing is enabled (transition Sc8). When the content viewing ends, the page is closed (transition Sc9), and the screen returns to the transition Sc5 (transition Sc10). Thereafter, by selecting the end of the video 1, all the processes are completed (transitions Sc11 and Sc12).

本実施の形態によれば、HGW情報取得部132が、第3エンドユーザ端末15cからアクセス要求が送信された後に、外部ネットワーク30に接続された外部ネットワーク側のアドレスを取得するので、ダイナミックDNSによりHGW13の外部ネットワーク側のアドレスが変更されるような場合であっても、第3エンドユーザ端末15cからのアクセスを確実にHGW13に遷移させ、ユーザによるホーム機器14へのアクセスをより確実なものとすることができる。   According to the present embodiment, the HGW information acquisition unit 132 acquires the address on the external network side connected to the external network 30 after the access request is transmitted from the third end user terminal 15c. Even when the address on the external network side of the HGW 13 is changed, the access from the third end user terminal 15c is surely transited to the HGW 13, and the user can access the home device 14 more reliably. can do.

本実施の形態によれば、ホーム機器通信部133が、アクセス対象のホーム機器の識別子を用いてホームネットワークにブロードキャストを行ってホーム機器のアドレスを解決するので、換言すれば、ホーム機器との通信においてはUPnPである必要はないので、ホーム機器がUPnPに対応している必要はなく、広く一般に普及している機器をアクセス制御の対象とすることができる。   According to the present embodiment, the home device communication unit 133 broadcasts to the home network using the identifier of the home device to be accessed to resolve the address of the home device, in other words, communication with the home device. Therefore, it is not necessary for the home device to support UPnP, and a device that is widely spread can be used as a target for access control.

本実施の形態によれば、HSPサーバ10へのログイン時に認証を行い、閉域かつセキュアな専用ネットワーク31を経由してHGW13のNAPT/FW設定を行うので、成りすましや盗聴等の危険性を低減することができる。   According to the present embodiment, authentication is performed at the time of login to the HSP server 10, and NAPT / FW setting of the HGW 13 is performed via the closed and secure dedicated network 31, thereby reducing the risk of impersonation and wiretapping. be able to.

本実施の形態によれば、HNW運用サーバ通信部131と、HGW情報取得部132と、ホーム機器通信部133と、NAPT/FW設定部134とが、OSGiフレームワークを用いたバンドルで実装されているので、将来におけるホーム機器の増設や機能に拡張に対して容易に対応することができる。   According to the present embodiment, the HNW operation server communication unit 131, the HGW information acquisition unit 132, the home device communication unit 133, and the NAPT / FW setting unit 134 are implemented in a bundle using the OSGi framework. Therefore, it is possible to easily cope with the expansion of home devices and functions in the future.

A,B…エンドユーザ宅
1…アクセス制御システム
10…HSPサーバ(受付サーバ)
11…HNW運用サーバ(運用サーバ)
12…HGWアドレス管理サーバ(アドレス管理サーバ)
13…HGW(ホームゲートウェイ)
131…HNW運用サーバ通信部(運用サーバ通信部)
132…HGW情報取得部(情報取得部)
133…ホーム機器通信部
134…NAPT/FW設定部(設定部)
14…ホーム機器
15…エンドユーザ端末
30…外部ネットワーク
31…専用ネットワーク
32…ホームネットワーク
S1〜S8…ステップ
Sa1〜Sa10、Sb1〜Sb10、Sc1〜Sc12…遷移 A, B ... End user home 1 ... Access control system 10 ... HSP server (reception server)
11 ... HNW operation server (operation server)
12 ... HGW address management server (address management server)
13 ... HGW (Home Gateway)
131 ... HNW operation server communication unit (operation server communication unit)
132 ... HGW information acquisition unit (information acquisition unit)
133 ... Home device communication unit 134 ... NAPT / FW setting unit (setting unit)
DESCRIPTION OF SYMBOLS 14 ... Home equipment 15 ... End user terminal 30 ... External network 31 ... Dedicated network 32 ... Home network S1-S8 ... Step Sa1-Sa10, Sb1-Sb10, Sc1-Sc12 ... Transition

Claims (6)

外部ネットワークに配置されたユーザ端末からホームネットワークに接続されているホーム機器にアクセスするためのアクセス制御システムにおいて、
前記外部ネットワークに配置され、ホーム機器の識別子と該ホーム機器でアクセス要求を待ち受けるポート番号とを関連付けて記憶手段に記憶しておき、記憶されているホーム機器を選択可能な管理ページを前記ユーザ端末に表示し、選択された対象ホーム機器に対応するポート番号を前記記憶手段から検索して、前記外部ネットワークと前記ホームネットワークとの境界に配置されたホームゲートウェイにおける外部ネットワーク側のアドレスに到達したアクセス要求を前記対象ホーム機器に転送するようNAPT及びFWのテーブル情報を設定する設定要求を送信する受付サーバと、
受付サーバ/ホーム機器からホーム機器/受付サーバへのアクセス制限を定めたアクセス制御リストに基づいて、前記設定要求を送信した受付サーバが前記対象ホーム機器にアクセス可能か否かを判定し、アクセス可能な場合に、ホーム機器の識別子からホームゲートウェイを検索可能なホームゲートウェイ識別子リストに基づいて、前記対象ホーム機器と同じホームネットワークに接続されたホームゲートウェイを検索し、専用ネットワークに配置されたアドレス管理サーバへの問い合わせ結果から得られた該ホームゲートウェイのアドレスに前記設定要求を中継する運用サーバと、
専用ネットワークに接続されたホームゲートウェイの識別子と、該ホームゲートウェイにおける専用ネットワーク側のアドレスとを関連付けて管理しておき、前記運用サーバからの問い合わせに応じたホームゲートウェイのアドレスを送信するアドレス管理サーバと、
前記専用ネットワークを介して中継された前記設定要求を受信する運用サーバ通信部と、該設定要求を受信した後に自身に設定された外部ネットワーク側のアドレスを取得する情報取得部と、前記設定要求を受信した後に前記対象ホーム機器の識別子を用いてホームネットワークにブロードキャストを行って該対象ホーム機器のアドレスを解決するホーム機器通信部と、前記外部ネットワーク側で待ち受けるポート番号を決定した後に、前記外部ネットワーク側のアドレス及びポート番号と前記対象ホーム機器のアドレス及びポート番号とを用いて、前記設定要求に応じた設定を行う設定部とを有するホームゲートウェイと、を備え、
前記受付サーバは、前記ホームゲートウェイにおける外部ネットワーク側のアドレス及びポート番号を用いてURI又はRDPファイルを生成し、該URI又はRDPファイルへのリンクを生成して、前記ユーザ端末からのアクセス要求を管理ページから前記対象ホーム機器に遷移させることを特徴とするアクセス制御システム。 In an access control system for accessing a home device connected to a home network from a user terminal arranged in an external network,
A management page which is arranged in the external network and associates an identifier of the home device with a port number on which the home device waits for an access request is stored in a storage means, and a management page capable of selecting the stored home device is stored in the user terminal The port number corresponding to the selected target home device is retrieved from the storage means, and the access that has reached the address on the external network side in the home gateway located at the boundary between the external network and the home network A reception server that transmits a setting request for setting NAPT and FW table information so as to transfer the request to the target home device;
Based on an access control list that defines access restrictions from the reception server / home device to the home device / reception server, it is determined whether or not the reception server that transmitted the setting request can access the target home device. In this case, the home gateway connected to the same home network as the target home device is searched based on the home gateway identifier list that can search the home gateway from the home device identifier, and the address management server arranged in the dedicated network. An operation server that relays the setting request to the address of the home gateway obtained from the inquiry result to
An address management server that manages the identifier of the home gateway connected to the dedicated network in association with the address on the dedicated network side of the home gateway, and transmits the address of the home gateway according to the inquiry from the operation server; ,
An operation server communication unit that receives the setting request relayed through the dedicated network, an information acquisition unit that acquires an address on the external network side set in itself after receiving the setting request, and the setting request After receiving the home device communication unit that broadcasts to the home network using the identifier of the target home device and resolves the address of the target home device, and determining the port number that the external network side waits for, the external network A home gateway having a setting unit configured to perform a setting according to the setting request, using the address and port number of the side and the address and port number of the target home device,
The reception server generates a URI or RDP file using an address and port number on the external network side in the home gateway, generates a link to the URI or RDP file, and manages an access request from the user terminal An access control system, wherein a transition is made from a page to the target home device. 前記運用サーバ通信部と、前記情報取得部と、前記ホーム機器通信部と、前記設定部とは、OSGiフレームワークを用いたバンドルで構成されていることを特徴とする請求項1に記載のアクセス制御システム。   The access according to claim 1, wherein the operation server communication unit, the information acquisition unit, the home device communication unit, and the setting unit are configured by a bundle using an OSGi framework. Control system. 外部ネットワークに配置されたユーザ端末からホームネットワークに接続されているホーム機器にアクセスするためのアクセス制御方法において、
前記外部ネットワークに配置された受付サーバにより、ホーム機器の識別子と該ホーム機器でアクセス要求を待ち受けるポート番号とを関連付けて記憶手段に記憶しておき、記憶されているホーム機器を選択可能な管理ページを前記ユーザ端末に表示し、選択された対象ホーム機器に対応するポート番号を前記記憶手段から検索して、前記外部ネットワークと前記ホームネットワークとの境界に配置されたホームゲートウェイにおける外部ネットワーク側のアドレスに到達したアクセス要求を前記対象ホーム機器に転送するようNAPT及びFWのテーブル情報を設定する設定要求を送信するステップと、
運用サーバにより、受付サーバ/ホーム機器からホーム機器/受付サーバへのアクセス制限を定めたアクセス制御リストに基づいて、前記設定要求を送信した受付サーバが前記対象ホーム機器にアクセス可能か否かを判定し、アクセス可能な場合に、ホーム機器の識別子からホームゲートウェイを検索可能なホームゲートウェイ識別子リストに基づいて、前記対象ホーム機器と同じホームネットワークに接続されたホームゲートウェイを検索し、専用ネットワークに配置されたアドレス管理サーバへ該ホームネットワークにおける専用ネットワーク側のアドレスを問い合わせるステップと、
アドレス管理サーバにより、専用ネットワークに接続されたホームゲートウェイの識別子と、該ホームゲートウェイにおける専用ネットワーク側のアドレスとを関連付けて管理しておき、前記運用サーバからの問い合わせに応じたホームゲートウェイのアドレスを送信するステップと、
前記運用サーバにより、前記問い合わせ結果から得られた該ホームゲートウェイのアドレスに前記設定要求を中継するステップと、
ホームゲートウェイの運用サーバ通信部により、前記専用ネットワークを介して中継された前記設定要求を受信するステップと、
当該ホームゲートウェイの情報取得部により、該設定要求を受信した後に自身に設定された外部ネットワーク側のアドレスを取得するステップと、
当該ホームゲートウェイのホーム機器通信部により、前記設定要求を受信した後に前記対象ホーム機器の識別子を用いてホームネットワークにブロードキャストを行って該対象ホーム機器のアドレスを解決するステップと、
当該ホームゲートウェイの設定部により、前記外部ネットワーク側で待ち受けるポート番号を決定した後に、前記外部ネットワーク側のアドレス及びポート番号と前記対象ホーム機器のアドレス及びポート番号とを用いて、前記設定要求に応じた設定を行うステップと、
前記受付サーバにより、前記ホームゲートウェイにおける外部ネットワーク側のアドレス及びポート番号を用いてURI又はRDPファイルを生成し、該URI又はRDPファイルへのリンクを生成して、前記ユーザ端末からのアクセス要求を管理ページから前記対象ホーム機器に遷移させるステップと、
を有することを特徴とするアクセス制御方法。 In an access control method for accessing a home device connected to a home network from a user terminal arranged in an external network,
A management page in which an identifier of a home device and a port number waiting for an access request in the home device are associated with each other and stored in a storage unit by a reception server arranged in the external network, and the stored home device can be selected. Is displayed on the user terminal, the port number corresponding to the selected target home device is retrieved from the storage means, and the address on the external network side in the home gateway placed at the boundary between the external network and the home network Transmitting a setting request for setting NAPT and FW table information so as to transfer the access request that has reached the target home device;
The operation server determines whether or not the receiving server that sent the setting request can access the target home device based on an access control list that defines access restrictions from the receiving server / home device to the home device / receiving server. If it is accessible, the home gateway connected to the same home network as the target home device is searched based on the home gateway identifier list from which the home gateway can be searched from the home device identifier, and the home gateway is located in the dedicated network. Querying the address management server for the address on the dedicated network side in the home network;
The address management server associates and manages the identifier of the home gateway connected to the dedicated network and the address on the dedicated network side of the home gateway, and transmits the address of the home gateway according to the inquiry from the operation server And steps to
Relaying the setting request to the home gateway address obtained from the inquiry result by the operation server;
Receiving the setting request relayed via the dedicated network by the operation server communication unit of the home gateway;
Acquiring an address on the external network side set in the home gateway after receiving the setting request by the information acquisition unit of the home gateway;
Resolving the address of the target home device by broadcasting to the home network using the identifier of the target home device after receiving the setting request by the home device communication unit of the home gateway;
After determining the port number to be waited on the external network side by the setting unit of the home gateway, using the address and port number on the external network side and the address and port number of the target home device in response to the setting request The steps to set
The reception server generates a URI or RDP file using the address and port number on the external network side of the home gateway, generates a link to the URI or RDP file, and manages access requests from the user terminal Transitioning from the page to the target home device;
An access control method comprising: 前記運用サーバ通信部と、前記情報取得部と、前記ホーム機器通信部と、前記設定部とは、OSGiフレームワークを用いたバンドルで構成されていることを特徴とする請求項3に記載のアクセス制御方法。   The access according to claim 3, wherein the operation server communication unit, the information acquisition unit, the home device communication unit, and the setting unit are configured by a bundle using an OSGi framework. Control method. 請求項1又は2に記載した受付サーバ、運用サーバ、アドレス管理サーバ、ホームゲートウェイの各処理をコンピュータに実行させることを特徴とするアクセス制御プログラム。   An access control program for causing a computer to execute each process of the reception server, operation server, address management server, and home gateway according to claim 1 or 2. 請求項5に記載したアクセス制御プログラムを記録したことを特徴とするアクセス制御プログラム用記録媒体。   6. An access control program recording medium, wherein the access control program according to claim 5 is recorded.
JP2009143084A 2009-06-16 2009-06-16 ACCESS CONTROL SYSTEM, ACCESS CONTROL METHOD, ACCESS CONTROL PROGRAM, AND ACCESS CONTROL PROGRAM RECORDING MEDIUM Active JP4785952B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009143084A JP4785952B2 (en) 2009-06-16 2009-06-16 ACCESS CONTROL SYSTEM, ACCESS CONTROL METHOD, ACCESS CONTROL PROGRAM, AND ACCESS CONTROL PROGRAM RECORDING MEDIUM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009143084A JP4785952B2 (en) 2009-06-16 2009-06-16 ACCESS CONTROL SYSTEM, ACCESS CONTROL METHOD, ACCESS CONTROL PROGRAM, AND ACCESS CONTROL PROGRAM RECORDING MEDIUM

Publications (2)

Publication Number Publication Date
JP2011003957A JP2011003957A (en) 2011-01-06
JP4785952B2 true JP4785952B2 (en) 2011-10-05

Family

ID=43561595

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009143084A Active JP4785952B2 (en) 2009-06-16 2009-06-16 ACCESS CONTROL SYSTEM, ACCESS CONTROL METHOD, ACCESS CONTROL PROGRAM, AND ACCESS CONTROL PROGRAM RECORDING MEDIUM

Country Status (1)

Country Link
JP (1) JP4785952B2 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5385935B2 (en) * 2011-04-07 2014-01-08 日本電信電話株式会社 Access control system and access control method
JP5478546B2 (en) * 2011-04-12 2014-04-23 日本電信電話株式会社 Access control system and access control method
JP5731964B2 (en) * 2011-12-15 2015-06-10 日本電信電話株式会社 Device management system, device management method, and device management program
US9083705B2 (en) * 2012-11-22 2015-07-14 Telefonaktiebolaget L M Ericsson (Publ) Identifying NATed devices for device-specific traffic flow steering
JP6855751B2 (en) * 2016-10-28 2021-04-07 コニカミノルタ株式会社 Relay device, program for relay device, and information processing system
WO2018164236A1 (en) * 2017-03-10 2018-09-13 シャープ株式会社 Internet server, terminal, communication system, control method for internet server, and control program
JP2022010633A (en) * 2020-06-29 2022-01-17 サイレックス・テクノロジー株式会社 Relay device, relay method, and program

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0832714A (en) * 1994-07-14 1996-02-02 Hitachi Ltd Inter-terminal communication system
JP2003085059A (en) * 2001-03-16 2003-03-20 Matsushita Electric Ind Co Ltd Firewall setting method and system for the same
JP2005311829A (en) * 2004-04-23 2005-11-04 Matsushita Electric Ind Co Ltd Communication path setting method, gateway device and communication system
JP4961826B2 (en) * 2005-05-11 2012-06-27 ソニー株式会社 Server apparatus, device association registration method, program, and recording medium
JP2007184756A (en) * 2006-01-06 2007-07-19 Hitachi Ltd Adapter device performing encryption communication on network
JP4114814B2 (en) * 2006-04-10 2008-07-09 ソニー・エリクソン・モバイルコミュニケーションズ株式会社 Communication terminal and communication system
JP4742981B2 (en) * 2006-05-19 2011-08-10 株式会社日立製作所 Home gateway device
JP2010041605A (en) * 2008-08-07 2010-02-18 Fujitsu Ltd Device for controlling external connection of indoor apparatus

Also Published As

Publication number Publication date
JP2011003957A (en) 2011-01-06

Similar Documents

Publication Publication Date Title
JP4785952B2 (en) ACCESS CONTROL SYSTEM, ACCESS CONTROL METHOD, ACCESS CONTROL PROGRAM, AND ACCESS CONTROL PROGRAM RECORDING MEDIUM
CN102077546B (en) Remote access between UPnP devices
TWI274491B (en) Network interconnection apparatus, network interconnection method, name resolution apparatus and computer program
JP5421041B2 (en) Remote device connection establishment method and connection establishment device
DK2248324T3 (en) PROCEDURE AND SYSTEM TO PROVIDE CONNECTIVITY BETWEEN CLIENTS CONNECTED TO THE INTERNET.
KR101508675B1 (en) User terminal, operator server, remote support method and user terminal program
CN100518125C (en) Communication apparatus, system, method
JP5478546B2 (en) Access control system and access control method
US8327433B2 (en) Content aggregation server on virtual universal plug-n-play network
CN103004186B (en) Between computer equipment, configure the apparatus and method of high definition video phone
WO2012103721A1 (en) Method and device for terminal to visit digital household devices
JP2008135882A (en) Connection support device, connection supporting method, and program
WO2010083889A1 (en) Identity management scheme
JP2004120534A (en) Router, repeater and forwarding method
JP4365401B2 (en) COMMUNICATION CONTROL PROGRAM, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL DEVICE
US20090254671A1 (en) Remote control of a device by a terminal
WO2009154249A1 (en) Remote access system, device, method and program
JP2002305531A (en) Information processing unit, dns server system, information processing system and method, and information processing program
KR100953093B1 (en) Method and system for serving multi-media data through hetero upnp networks
JP4110145B2 (en) URL management apparatus, Web server apparatus, communication system, and communication method
JP4481971B2 (en) COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM
JP5385935B2 (en) Access control system and access control method
JP4680172B2 (en) Service providing system and service providing method
JP2008206081A (en) Data relaying apparatus and data relaying method used for multi-homing communication system
KR101262122B1 (en) Mediation Method and Server for Providing Web Contents to UPnP Devices

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110609

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110705

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110712

R150 Certificate of patent or registration of utility model

Ref document number: 4785952

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140722

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350