以下に、図面を参照しつつ、本発明に係るアクセス制御システムおよびアクセス制御方法の一実施形態として各実施例を詳細に説明する。なお、以下に説明する各実施例により本発明が限定されるものではない。
実施例1に係るアクセス制御システムは、リモートアクセス要求に応じて、アクセス要求先のHGW(Home Gateway、ホームゲートウェイ)内のNAT/FW(Network Address Transfer/Firewall)についての設定を自動で行う点に特徴がある。なお、以下の実施例1では、宅内にある電気機器についてのサポートを要請するユーザ宅と、ユーザ宅に対してリモートアクセスによるサポートサービスを提供するサポートセンタとのやり取りを行う例を取り上げる。
[アクセス制御システムの構成(実施例1)]
図1は、実施例1に係るアクセス制御システムの構成を示す図である。同図に示すように、実施例1に係るアクセス制御システムは、公衆電話網やインターネット、WAN(Wide Area Network)などのネットワーク1を介して、ユーザ宅100とサポートセンタ200とアドレス交換サーバ300とが通信可能な状態に接続される。
図1に示すように、ユーザ宅100は、プリンタ110およびフォトフレーム120と、PC130と、HGW140とを有する。プリンタ110、フォトフレーム120、PC(Personal Computer)130およびHGW140は、LAN(Local Area Network)などの家庭内ネットワークを介して相互接続が可能である。
例えば、プリンタ110、フォトフレーム120、PC130およびHGW140は、UPnP/DLNA(Universal Plug and Play/Digital Living Network Alliance)などの仕様による相互接続が可能である。なお、ユーザ宅100の住人は、サポートセンタ200のオペレータによるリモートアクセスを受け入れて、サポートサービスの提供を受ける。
プリンタ110、フォトフレーム120およびPC130は、サポートセンタ200を運営する会社などから購入した電気機器であり、サポートセンタ200が顧客に提供するサポートサービスの対象となる。
PC130は、WEBブラウザの機能を有する。ユーザ宅100の住人は、PC130のWEBブラウザの機能を用いて、後述するアドレス交換サーバ300にアクセスする。そして、ユーザ宅100の住人は、サポートセンタ300のオペレータによるリモートアクセスを受け入れるためにログインする。
なお、ユーザ宅100の住人は、例えば、アドレス交換サーバ300にアクセスすることでPC130のディスプレイに表示される所定のWEB画面の指定箇所に、ユーザIDおよびパスワードを入力することよりログインする。ユーザ宅100の住人のユーザIDおよびパスワードは、アドレス交換サーバ300に事前登録されていることを前提とする。また、PC130は、後述するアドレス交換サーバ300から、サポートセンタ200のオペレータによるリモートアクセスの許可を求めるアクセス許可要求を受信する。
また、ユーザ宅100の住人は、リモートアクセスを行う側あるいはリモートアクセスを受ける側のどちらであるかの選択を要求する所定のWEB画面がPC130に表示されると、例えば、リモートアクセスを受ける側を選択する。また、ユーザ宅100の住人は、アクセス許可要求の受信に伴い、サポートセンタ200のオペレータによるアクセス要求を許可するか否かの入力を要求する所定のWEB画面がPC130に表示されると、アクセスを許可するか否かの入力を行う。
アクセスの許可に伴って、リモートアクセスさせる電気機器の設定を要求する所定のWEB画面がPC130に表示されると、ユーザ宅100の住人はリモートアクセスさせる電気機器の設定を行う。さらに、電気機器の設定に伴って、リモートアクセスの有効期限の設定を要求する所定のWEB画面がPC130に表示されると、ユーザ宅の100の住人は有効期限を設定する。
ユーザ宅100の住人により有効期限までの設定を完了されると、PC130は、アクセス許可要求をHGW140にリダイレクトする。アクセス許可要求には、アクセス要求の要求元を示すアクセス元アドレス、リモートアクセスの対象となる電気機器の識別情報である機器IDおよびリモートアクセスの有効期限が含まれる。
また、図1に示すように、サポートセンタ200は、PC210およびHGW220を有する。
PC210は、WEBブラウザの機能を有する。ユーザ宅100にサポートサービスを提供するサポートセンタ200のオペレータは、PC210のWEBブラウザの機能を用いて、後述するアドレス交換サーバ300にアクセスする。そして、サポートセンタ200のオペレータは、ユーザ宅100へリモートアクセスするために後述するアドレス交換サーバ300にログインする。
なお、サポートセンタ200のオペレータは、後述するアドレス交換サーバ300にアクセスすることでPC130のディスプレイに表示される所定のWEB画面の指定箇所に、ユーザIDおよびパスワードを入力することよりログインする。サポートセンタ200のオペレータのユーザIDおよびパスワードは、アドレス交換サーバ300に事前登録されていることを前提とする。
また、サポートセンタ200のオペレータは、リモートアクセスを行う側あるいはリモートアクセスを受ける側のどちらであるかの選択を要求する所定のWEB画面がPC130に表示されると、例えば、リモートアクセスを行う側を選択する。また、サポートセンタ200のオペレータは、後述するアドレス交換サーバ300にログインした後、リモートアクセスのアクセス先として希望するユーザIDの入力を要求する所定のWEB画面がPC210に表示されると、例えば、ユーザ宅100の住人のユーザIDを入力する。
また、サポートセンタ200のオペレータは、リモートアクセス開始の承諾を要求する所定のWEB画面がPC210に表示されると、例えば、承諾の入力を行う。承諾の入力を行うことにより、サポートセンタ200のオペレータは、以後、ユーザ宅100の住人からサポートの要請があった電気機器にリモートアクセスすることが可能となる。例えば、サポートセンタ200のオペレータは、PC210を用いて、ユーザ宅100の電気機器の設定に関する情報を電気機器との間で直接やり取りできる。
HGW220は、ネットワーク1を介して、PC210とアドレス交換サーバ300との間で行われる通信、あるいはPC210とユーザ宅100との間で行われる通信を制御する。
図2は、実施例1に係るHGW140の構成を示す図である。同図に示すように、HGW140は、通信制御I/F部141、記憶部142および制御部143を有する。通信制御I/F部141は、家庭内ネットワークを介して相互接続される電気機器や、ネットワーク1を介して相互接続されるサポートセンタ200およびアドレス交換サーバ300との間でやり取りされる各種データに関する通信を制御する。
記憶部142は、図2に示すように、機器管理テーブル142aおよびFW設定テーブル142bを有する。
図3は、実施例1に係る機器管理テーブル142aの構成例を示す図である。同図に示すように、機器管理テーブル142aは、「機器ID」の項目に関する情報に対応付けて、「機器名」、「アドレス」、「画像URL」および「備考」の各項目に関する情報を記憶する。
「機器ID」には、家庭内ネットワークに相互接続されている電気機器に一意に付与される識別情報が記憶される。「機器名」には、家庭内ネットワークに相互接続されている電気機器の名称が記憶される。「アドレス」には、家庭内ネットワークを介して相互に接続された機器と通信を行うために割り当てられたローカルアドレスが記憶される。「画像URL」には、電気機器内に記憶されている画像データのURL(Uniform Resource Locator)が記憶される。「備考」には、電気機器に関する補足情報が記憶される。
例えば、図3に示すように、機器管理テーブル142aは、機器ID「1001」に対応付けて、機器名「プリンタ」、アドレス「192.168.3.111:80」、画像URL「http://192.168.3.111:80/img.jpg」、備考「プリンタ会社はアクセスできます」を記憶する。また、同図に示すように、機器管理テーブル142aは、機器ID「1002」に対応付けて、機器名「フォトフレーム」、アドレス「192.168.3.112:8080」、画像URL「http://192.168.3.112:8080/img.jpg」を記憶する。
図4は、実施例1に係るFW設定テーブル142bの構成例を示す図である。同図に示すように、FW(Firewall)設定テーブル142bは、「アクセス元アドレス」、「アクセス先アドレス」、「転送先アドレス」、「制御設定」、「有効期限」および「備考」の各項目に関する情報を相互に関連付けて記憶する。
「アクセス元アドレス」には、ユーザ宅100へのアクセスを要求するアクセス要求元であるサポートセンタ200(例えば、HGW220)のIP(Internet Protocol)アドレスが記憶される。「アクセス先アドレス」には、ユーザ宅100へのアクセスを要求するサポートセンタ200に、アクセス先として指定させるためのIPアドレスが記憶される。「転送先アドレス」には、サポートセンタ200からのリモートアクセスを家庭内ネットワークに属する電気機器に転送するために、リモートアクセスのアクセス先アドレスに関連付けられるローカルアドレスが記憶される。「制御設定」には、FW設定テーブル142bの設定を有効なものとして機能させる条件が記憶される。「有効期限」には、FW設定テーブル142bの設定を有効なものとして機能させる条件の一つである有効期限が記憶される。「備考」には、「アクセス元アドレス」、「アクセス先アドレス」、「転送先アドレス」、「制御設定」、「有効期限」の関連付けに関する補足情報が記憶される。
例えば、図4に示すように、FW設定テーブル142bは、アクセス元アドレス「10.010.200」、アクセス先アドレス「10.0.10.100.5555」、転送先アドレス「192.168.3.111:80」、制御設定「有効期限以内」、有効期限「2009/07/10 20:50:55」を相互に関連付けて記憶する。
制御部143は、所定の制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。そして、制御部143は、図2に示すように、アクセス設定部143aおよびアクセス制御部143bを有する。
アクセス設定部143aは、PC130からリダイレクトされたアクセス許可設定を受信すると、サポートセンタ200のオペレータによるリモートアクセスを可能とするためのNAT/FWの設定を行う。具体的に説明すると、アクセス設定部143aは、アクセス許可設定に含まれるアクセス元アドレス、リモートアクセスの対象となる電気機器の機器IDおよびリモートアクセスの有効期限を取得する。そして、アクセス設定部143aは、機器管理テーブル142aを参照して、アクセス許可要求から取得した機器IDに対応付けられている電気機器のローカルアドレスを取得する。取得したローカルアドレスは、サポートセンタ200からのリモートアクセスをユーザ宅100内の電気機器に転送するための転送先アドレスとなる。
続いて、アクセス設定部143aは、HGW140の現在の空きポート番号を検索し、検索した空きポート番号を用いて、サポートセンタ200のオペレータにアクセス先として指定させるためのアクセス先アドレスを生成する。アクセス先アドレスの生成後、アクセス制御部143aは、生成したアクセス先アドレスと、転送先アドレスと、アクセス元アドレスと、有効期限とを関連付ける。そして、アクセス制御部143aは、関連付けたアクセス先アドレス、転送先アドレス、アクセス元アドレスおよび有効期限をFW設定テーブル142bに設定する。
FW設定テーブル142bへの設定を完了すると、アクセス設定部143aは、後述するアドレス交換サーバ300のIPアドレスをリダイレクト先に指定し、アクセス先アドレスをPC130に送信する。また、アクセス先アドレスの送信時に、アクセス設定部143aは、所定のWEB画面をPC130に表示出力し、サポートセンタ200へアクセス先アドレスを通知する旨をユーザ宅100の住人に知らせる。なお、ユーザ宅100の住人により、PC130に表示される所定のWEB画面上で、アクセス先アドレスの送信を取消す旨の入力があると、アクセス設定部143aは、アクセス先アドレスの送信を中止する。
アクセス制御部143bは、サポートセンタ200のオペレータからのリモートアクセスを制御する。具体的に説明すると、アクセス制御部143bは、サポートセンタ200のオペレータからのリモートアクセスがあると、FW設定テーブル142bを参照して、リモートアクセスのアクセス先アドレスに関連付けられた転送先アドレスを取得する。そして、アクセス制御部143bは、取得した転送先アドレスに対してリモートアクセスを転送する。
なお、アクセス制御部143bは、リモートアクセスのアクセス元、すなわち、サポートセンタ200のオペレータが使用するPC210宛に電気機器からアクセスがあると、電気機器からアクセスをPC210に転送する。
図5は、実施例1に係るアドレス交換サーバ300の構成を示す図である。同図に示すように、アドレス交換サーバ300は、通信制御部310、記憶部320および制御部330を有する。通信制御部310は、ネットワーク1を介して相互接続されるユーザ宅100や、サポートセンタ200との間でやり取りされる各種データに関する通信を制御する。
記憶部320は、図5に示すように、ユーザ管理テーブル321およびアドレス情報テーブル322を有する。
図6は、実施例1に係るユーザ管理テーブルの構成例を示す図である。同図に示すように、ユーザ管理テーブル321は、「ID」の項目に対応付けて、「ユーザID」、「パスワード」、「名前」、「設定用アドレス」および「備考」の各項目に関する情報を記憶する。
「ID」には、ユーザに関する情報ごとに付与する識別情報が記憶される。「ユーザID」には、アドレス交換サーバ300を利用するユーザごとに一意に付与される識別情報が記憶される。「パスワード」には、アドレス交換サーバ300利用時の認証に利用するために、ユーザ各自に設定させる文字列データが記憶される。「名前」には、アドレス交換サーバ300を利用するユーザの名前が記憶される。「設定用アドレス」には、ユーザ宅100のPC130からHGW140にアクセス許可要求をリダイレクトさせるために、アクセス許可要求のリダイレクト先として指定するHGW140のローカルアドレスが記憶される。「備考」には、アドレス交換サーバ300を利用するユーザに関する補足情報が記憶される。
例えば、図6に示すように、ユーザ管理テーブル321は、ID「101」に対応付けて、ユーザID「taro」、パスワード「pass1」、名前「太郎さん」、設定用アドレス「192.168.3.1」を記憶する。また、ユーザ管理テーブル321は、図5に示すように、ID「102」に対応付けて、ユーザID「hanako」、パスワード「pass2」、名前「花子さん」、設定用アドレス「192.168.3.100」および備考「プリンタ会社」を記憶する。
図7は、実施例1に係るアドレス情報テーブルの構成例を示す図である。同図に示すように、アドレス情報テーブル322は、「セッションID」、「アクセス元ID」、「アクセス元アドレス」、「アクセス先ID」、「アクセス先アドレス」および「備考」の各項目に関する情報を対応付けて記憶する。
「セッションID」には、リモートアクセスのアクセス元およびアクセス先の関係となった各PCとの間に、ログインを許可することで確立されたセッションの組合せごとに一意に付与される識別情報が記憶される。「アクセス元ID」には、リモートアクセスのアクセス元となったユーザのユーザIDが記憶される。「アクセス元アドレス」には、リモートアクセスのアクセス元となったユーザのIPアドレスが記憶される。「アクセス先ID」には、リモートアクセスのアクセス先となったユーザのユーザIDが記憶される。「アクセス先アドレス」には、リモートアクセスのアクセス先となったユーザのIPアドレスが記憶される。「備考」には、補足情報が記憶される。
例えば、図7に示すように、アドレス情報テーブル322は、セッションID「session1234」、アクセス元ID「hanako」、アクセス元アドレス「10.0.10.200」、アクセス先ID「taro」、アクセス先アドレス「10.0.10.100:5555」を対応付けて記憶する。
制御部330は、所定の制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。そして、制御部330は、図5に示すように、ログイン処理部331、アドレス転送部332およびアドレス情報格納部333を有する。
ログイン処理部331は、リモートアクセスを実行するためのログイン要求に関する処理を行う。具体的に説明すると、ログイン処理部331は、PC130あるいはPC210からログイン要求を受信すると、ユーザIDおよびパスワードの入力を要求する所定のWEB画面をログイン要求元に表示出力する。ユーザIDおよびパスワードの入力を受信すると、ログイン処理部331は、ユーザ管理テーブル321を参照し、ユーザIDとパスワードの組合せが正しいか否かに基づいてユーザ認証を行う。そして、ログイン処理部331は、ユーザ認証に成功した場合には、ログイン要求元のユーザのログインを許可する。
なお、ログイン処理部331は、後述するアドレス転送部332によりアクセス先のユーザIDの入力があると、ログイン中のユーザについて、リモートアクセスを行う側と受ける側との組合せを確定させてセッションIDを付与する。
アドレス転送部332は、リモートアクセスに関するアドレス情報の転送を行う。具体的に説明すると、アドレス転送部332は、例えば、ログイン中のサポートセンタ200のPC210に対して所定のWEB画面を送信し、リモートアクセスを行う側あるいはリモートアクセスを受ける側のどちらであるかの選択を要求する。一方で、アドレス転送部332は、例えば、ログイン中のユーザ宅100のPC130に対して所定のWEB画面を送信し、リモートアクセスを行う側あるいはリモートアクセスを受ける側のどちらであるかの選択を要求する。
そして、リモートアクセスを行う側である旨の入力をPC210から受信すると、アドレス転送部332は、所定のWEB画面をPC210に送信し、リモートアクセスを希望するアクセス先のユーザIDの入力を要求する。ユーザIDの入力に伴ってPC210から送信されたアクセス要求を受信すると、アドレス転送部332は、ユーザ管理テーブル321を参照して、アクセス要求にアクセス先として含まれるユーザIDに対応付けられた設定用アドレスを取得する。設定用アドレスの取得後、アドレス転送部232は、取得した設定用アドレスをリダイレクト先に指定したリモートアクセスのアクセス許可要求をPC130に送信する。このとき、アドレス転送部332は、リモートアクセスの要求元を示すアクセス元アドレスとして、サポートセンタ200のHGW220のIPアドレスを指定する。
また、アドレス転送部332は、ユーザ宅100のHGW140からリモートアクセスのアクセス先アドレスを受信すると、アクセス先アドレスをリダイレクト先に指定してPC210に返送する。アクセス先アドレスの返送時に、アドレス転送部332は、所定のWEB画面をPC210に表示出力し、リモートアクセス開始の承諾を要求する。なお、PC210に表示された所定のWEB画面上で、サポートセンタ200のオペレータによりリモートアクセス開始を承諾する旨の入力操作が行われると、PC210からユーザ宅100のHGW100にリダイレクトされる。
アドレス情報格納部333は、アドレス転送部332によりアクセス先アドレスが受信されると、リモートアクセスのアクセス元およびアクセス先についての情報に対応付けてアドレス情報テーブル322に格納する。例えば、アドレス情報格納部333は、セッションID「session1234」、アクセス元ID「hanako」、アクセス元アドレス「10.0.10.200」、アクセス先ID「taro」、アクセス先アドレス「10.0.10.100:5555」を対応付けてアドレス情報テーブル322に格納する。
[実施例1による処理]
図8は、実施例1による処理の流れを示す図である。同図に示すように、アドレス交換サーバ300は、サポートセンタ200のPC210からのログイン(hanako,pass2)を許可し(ステップS1)、PC210からアクセス要求を受信する(ステップS2)。
なお、アクセス要求には、アクセス先ID=「taro」およびアクセス元アドレス=「10.0.10.200」が含まれる。ここで、アクセス要求に含まれるアクセス元アドレスは、サポートセンタ200のオペレータが予め記憶しておいて自ら入力する必要はない。すなわち、サポートセンタのオペレータが、アドレス交換サーバ300から受信するWEB画面上でアクセス先のID(例えば、「taro」)を入力するだけで、アクセス元アドレスが自動的に設定されたアクセス要求がPC210からアドレス交換サーバ300に送信される。
また、アドレス交換サーバ300は、ユーザ宅100のPC130からのログイン(taro,pass2)を許可する(ステップS3)。
そして、アドレス交換サーバ300は、ユーザ宅100のHGW140をリダイレクト先に指定したアクセス許可要求をPC130に送信する(ステップS4)。PC130において、アクセス元アドレス(例えば、10.0.10.200)、リモートアクセスの対象となる電気機器の機器ID(例えば、1001)およびリモートアクセスの有効期限の設定を含むアクセス許可設定がなされ、HGW140にリダイレクトされる(ステップS5)。
HGW140は、PC130からリダイレクトされたアクセス許可設定に基づいて、サポートセンタ200のオペレータによるリモートアクセスを可能とするためのNAT/FW設定を行う(ステップS6)。
具体的には、HGW140は、アクセス許可設定に含まれるアクセス元アドレス、リモートアクセスの対象となる電気機器の機器IDおよびリモートアクセスの有効期限を取得する。そして、アクセス設定部143aは、機器管理テーブル142aを参照して、アクセス許可要求から取得した機器IDに対応付けられている電気機器のローカルアドレスを取得する。取得したローカルアドレスは、サポートセンタ200からのリモートアクセスをユーザ宅100内の電気機器に転送するための転送先アドレスとなる。
続いて、アクセス制御部143aは、HGW140の現在の空きポート番号を検索し、検索した空きポート番号を用いて、サポートセンタ200のオペレータにアクセス先として指定させるためのアクセス先アドレスを生成する。アクセス先アドレスの生成後、アクセス制御部143aは、生成したアクセス先アドレスと、転送先アドレスと、アクセス元アドレスと、有効期限とを関連付ける。そして、アクセス制御部143aは、関連付けたアクセス先アドレス、転送先アドレス、アクセス元アドレスおよび有効期限をFW設定テーブル142bに設定する。
FW設定テーブル142bへの設定(上記のステップS6)が完了すると、アクセス設定部143aは、後述するアドレス交換サーバ300のIPアドレスをリダイレクト先に指定し、アクセス先アドレス(例えば、10.0.10.100:5555)をPC130に送信する(ステップS7)。
アドレス情報格納部333は、アドレス転送部332によりアクセス先アドレスが受信されると、リモートアクセスのアクセス元およびアクセス先についての情報に対応付けてアドレス情報テーブル322に格納する(ステップS8)。
アドレス転送部332は、ユーザ宅100のHGW140からリモートアクセスのアクセス先アドレスを受信すると、アクセス先アドレスをリダイレクト先に指定してPC210に返送する(ステップS9)。PC210に表示された所定のWEB画面上で、サポートセンタ200のオペレータによりリモートアクセス開始を承諾する旨の入力操作が行われると、PC210からユーザ宅100のHGW100にリダイレクトされる(ステップS10)。
アクセス制御部143bは、サポートセンタ200のPC210からのリモートアクセスがあると、FW設定テーブル142bを参照して、リモートアクセスのアクセス先アドレスに関連付けられた転送先アドレスを取得するNAT/FW動作を行う(ステップS11)。そして、アクセス制御部143bは、取得した転送先アドレス(例えば、192.168.3.111.80)に対してリモートアクセスを転送する(ステップS12)。
リモートアクセスの対象であるプリンタ110は、機器設定画面をサポートセンタ200のPC210宛に返送する(ステップS13)。HGW140は、プリンタ110から受信した機器設定画面をPC210に返送する(ステップS14)。
続いて、図9および図10を用いて、NAT/FW設定時のPC130およびPC210に表示される画面の遷移例を説明する。図9および図10は、実施例1に係るNAT/FW設定時のPC130およびPC210に表示される画面の遷移例を示す図である。
まず、図9を用いて、NAT/FW設定時のPC130に表示される画面の遷移を説明する。同図の(1)に示すように、まず、ユーザIDおよびパスワードが入力されたログイン画面が表示される。ログインが完了すると、同図の(2)に示すように、リモートアクセスを行う側(「アクセスする」)あるいはリモートアクセスを受ける側(「アクセスを受ける」)のどちらであるかの選択を要求する画面に遷移する。同図(2)に示す「アクセスを受ける」が入力操作されると、同図の(3)に示すように、サポートセンタ200のオペレータによるアクセス要求を許可するか否かの入力を要求する画面に遷移する。同図(3)に示す「許可」が入力操作されると、同図(4)に示すように、リモートアクセスさせる電気機器の選択を要求する画面に遷移する。
図9(4)に示す「プリンタ」が入力操作されると、同図(5)に示すように、リモートアクセスの有効期限の設定を要求する画面に遷移する。同図(5)の「設定する」が入力操作されると、同図(6)に示すように、サポートセンタ200へアクセス先アドレスを通知する旨を表示する画面に遷移する。そして、同図(6)に示す「取消」が入力操作されることなく所定時間が経過すると、同図(7)に示すように、アクセス許可中である旨を表示する画面に遷移する。
続いて、図10を用いて、NAT/FW設定時のPC210に表示される画面の遷移を説明する。同図の(1)に示すように、まず、ユーザIDおよびパスワードが入力されたログイン画面が表示される。ログインが完了すると、同図の(2)に示すように、同図の(2)に示すように、リモートアクセスを行う側(「アクセスする」)あるいはリモートアクセスを受ける側(「アクセスを受ける」)のどちらであるかの選択を要求する画面に遷移する。同図(2)に示す「アクセスする」が入力操作されると、同図の(3)に示すように、リモートアクセスのアクセス先として希望するユーザID(アクセス先ID)の入力を要求する画面に遷移する。
アクセス先IDの入力が完了すると、同図の(4)に示すように、リモートアクセス開始の承諾を要求する画面に遷移する。同図(4)の「OK」が入力操作されると、同図(5)に示すように、アクセス中である旨(「しばらくお待ち下さい」)を表示する画面に遷移する。そして、最終的には、同図(6)に示すように、リモートアクセスの対象となるユーザ宅100のプリンタ110から返送された設定画面に遷移する。
[実施例1による効果]
上述してきたように、実施例1によれば、リモートアクセス要求に応じて、アクセス要求先のHGW(Home Gateway、ホームゲートウェイ)内のNAT/FW(Network Address Transfer/Firewall)についての設定を自動で行う。このようなことから、ソフトウェアのインストールやアドレスの事前登録を必要とせず、遠隔からのオンデマンドなアクセスを実現できる。
また、実施例1によれば、ユーザ宅100のPC130を用いて、HGW140への設定(NAT/FWの設定)を行うので、セキュリティの低下を回避できる。
また、実施例1によれば、WEBブラウザを利用したHTTP(HyperText Transfer Protocol)ベースでNAT/FWの設定を行うので、UI(User Interface)を介してユーザに設定状況を認知させやすい。
また、実施例1によれば、アドレス交換サーバ300のアドレス情報テーブル322に、リモートアクセスのアクセス元およびアクセス先に関する情報を記憶するので、アクセス状況をリアルタイムに把握できる。また、任意のタイミングでアクセス許可の取り消すことも可能となる。
また、実施例1によれば、UPnP/DLNAによりユーザ宅100の家庭内ネットワーク内に新たに接続された電気機器についての情報を自動的に取得することが可能なので、電気機器に関する情報をユーザが管理する必要がない。
また、実施例1によれば、サポートセンタのオペレータが、アドレス交換サーバ300から受信するWEB画面上でアクセス先のIDを入力するだけで、自動的にアクセス元アドレスを含むアクセス要求がPC210からアドレス交換サーバ300に送信される。したがって、サポートセンタ200のオペレータが予め記憶しておいて、アクセス元アドレスを自ら設定する手間を省くことができる。
また、実施例1において、サポートセンタ200のオペレータについて、電気機器ごとにサポート可能であるか否かの属性を登録することもできる。このようにすれば、サポートセンタから顧客に提供するサポートサービスの質を向上させることができる。
また、実施例1において、ユーザ宅100のHGW140が、アドレス交換サーバ300を認証するようにしてもよい。例えば、事前共有鍵による暗号化、チャレンジ&レスポンス認証またはアドレス交換サーバの公開鍵によるパラメータ検証を用いて、ユーザ宅100のHGW140とアドレス交換サーバ300との間でやり取りされる情報を認証する。このようにすれば、関係ないサイトからのアタックを防止でき、セキュリティを向上させることができる。
上記の実施例1では、ユーザ宅100およびサポートセンタ200の双方がアドレス交換サーバ300にログインすることを契機として、リモートアクセスに関わるHGW140のNAT/FW設定を自動で行う場合を説明したが、これに限定されるものではない。例えば、ユーザ宅100の通信端末とサポートセンタ200の通信端末との間で通信が確立されることを条件に、NAT/FWの自動設定を行ってもよい。
なお、以下の実施例2では、ユーザ宅100のホームネットワーク内に接続された電話機150と、サポートセンタ200のローカルネットワーク内に接続された電話機230との間で、SIP(Session Initiation Protocol)による通話(セッション)が確立されることを条件に、NAT/FWの自動設定を行う場合を例に挙げて説明する。また、以下では、ユーザ宅100の電話機150から、サポートセンタ200の電話機230に発呼が行われるケースを例に挙げる。
図11は、実施例2に係るアクセス制御システムの構成を示す図である。実施例2に係るアクセス制御システムは、セッション管理サーバ400を新たに有する点が実施例1に係るアクセス制御システム(図1参照)とは異なる。また、実施例2に係るアクセス制御システムは、ユーザ宅100が電話150を有する点およびサポートセンタ200が電話230を有する点が実施例1に係るアクセス制御システム(図1参照)とは異なる。
セッション管理サーバ400は、ネットワーク1を介して、ユーザ宅100、サポートセンタ200およびアドレス交換サーバ300と通信可能な状態に接続される。そして、セッション管理サーバ400は、電話機150と電話機230との間でSIP(Session Initiation Protocol)通信により通信(呼)が確立されると、電話機150と電話機230とが通信中であることをアドレス交換サーバ300に通知する。
具体的に説明すると、セッション管理サーバ400は、HGW140およびHGW200のそれぞれから、電話機150と電話機230との間で確立された通信(呼)を特定するための特定情報を受信する。例えば、セッション管理サーバ400は、発側電話機の識別情報(例えば、電話番号や「SIP URI」など)、着側電話機の識別情報(例えば、電話番号や「SIP URI」など)、callセッションID、発側IPアドレス、着側IPアドレスを特定情報として受信する。そして、セッション管理サーバ400は、受信した特定情報を、アドレス交換サーバ300にリダイレクト先に指定してPC130およびPC210に送信する。
なお、セッション管理サーバ400は、電話機150と電話機230との間で確立された通信(呼)を特定するための特定情報を管理する。具体的には、セッション管理サーバ400は、確立された通信(呼)ごとに一意に付与するIDに対応付けて発呼側の識別情報を記憶する。また、セッション管理サーバ400は、確立された通信(呼)ごとに一意に付与するIDに対応付けて着呼側の識別情報を記憶する。また、セッション管理サーバ400は、確立された通信(呼)ごとに一意に付与するIDに対応付けて、確立された通信(呼)を特定する情報を記憶する。セッション管理サーバ400は、確立された通信(呼)ごとに一意に付与するIDに対応付けて発呼側のIPアドレスを記憶する。また、セッション管理サーバ400は、確立された通信(呼)ごとに一意に付与するIDに対応付けて着呼側のIPアドレスを記憶する。また、セッション管理サーバ400は、確立された通信(呼)ごとに一意に付与するIDに対応付けて、確立された通信(呼)に関する補足情報を記憶する。
図12は、実施例2に係るセッション管理サーバ400の管理する情報の構成例を示す図である。例えば、同図に示すように、確立された通信(呼)ごとに一意に付与するIDを表す「Call-ID」の項目には「10000」が記憶される。また、同図に示すように、発呼側の電話機130の識別情報を表す「From」の項目には「202@localhost」が「Call-ID=10000」に対応付けて記憶される。
また、同12に示すように、着呼側の電話機230の識別情報を表す「To」の項目には「0312345678@example.com」が「Call-ID=10000」に対応付けて記憶される。また、同図に示すように、確立された通信(呼)を特定する情報を表す「callセッションID」の項目には「bc0epb7421009dc4638b9a133b9149e97ece9793」が「Call-ID=10000」に対応付けて記憶される。また、同図に示すように、発呼側のIPアドレスを表す「From IPアドレス」の項目には、「192.163.3.99」が「Call-ID=10000」に対応付けて記憶される。
また、図12に示すように、着呼側のIPアドレスを表す「To IPアドレス」の項目には、「10.0.10.200」が「Call-ID=10000」に対応付けて記憶される。また、同図に示すように、確立された通信(呼)に関する補足情報を表す「備考」の項目には、例えば、「通話中」が「Call-ID=10000」に対応付けて記憶される。
また、図13に示すように、HGW140が有する機器管理テーブル142aの「備考」の項目には、着呼側の電話機230の識別情報に対応する情報、すなわち「0312345678はアクセスできます」が新たに記憶される。図13は、実施例2に係る機器管理テーブル142aの構成例を示す図である。
また、図14に示すように、HGW140が有するFW設定テーブル142bの「有効期限」の項目には、「通話中」という情報が新たに記憶される。図14は、実施例2に係るFW設定テーブル142bの構成例を示す図である。
HGW140は、電話機150と電話機230との間でSIP通信により通信(呼)が確立されると、確立された通信(呼)を特定するための特定情報(例えば、callセッションID)を取得する。そして、HGW140は、取得した特定情報(例えば、callセッションID)を、セッション管理サーバ400をリダイレクト先に指定してPC130に送信する。同様に、HGW220は、電話機150と電話機230との間でSIP通信により通信(呼)が確立されると、確立された通信(呼)を特定するための特定情報(例えば、callセッションID)を取得する。そして、HGW220は、取得した特定情報(例えば、callセッションID)を、セッション管理サーバ400をリダイレクト先に指定してPC220に送信する。
また、HGW140のアクセス設定部143aは、電話機150と電話機230との間で確立された通信(呼)の切断、すなわち通話の終了を検出すると、終了が検出された通話に関連する設定をFW設定テーブル142bから消去し、NAT/FWを解除する。
アドレス交換サーバ300が有するユーザ管理テーブル321には、実施例1と同様の情報が記憶される。例えば、図15に示すように、ユーザ管理テーブル321は、「ID」の項目に対応付けて、「ユーザID」、「パスワード」、「名前」、「設定用アドレス」および「備考」の各項目に関する情報を記憶する。図15は、実施例2に係るユーザ管理テーブルの構成例を示す図である。
また、アドレス交換サーバ300が有するアドレス情報テーブル322には、実施例1と同様の情報が記憶される。例えば、図16に示すように、アドレス情報テーブル322は、「セッションID」、「アクセス元ID」、「アクセス元アドレス」、「アクセス先ID」、「アクセス先アドレス」および「備考」の各項目に関する情報を対応付けて記憶する。図16は、実施例2に係るアドレス情報テーブルの構成例を示す図である。
アドレス交換サーバ300のログイン処理部331は、電話機150と電話機230との間で確立された通信(呼)を特定する「callセッションID」をPC130およびPC210のそれぞれから受信する。そして、ログイン処理部331は、PC210に所定のWEB画面を送信し、リモートアクセスを行う側(「アクセスする」)あるいはリモートアクセスを受ける側(「アクセスを受ける」)のどちらであるかの選択を要求する。サポートセンタ200のオペレータが、PC210に表示された所定のWEB画面上で、リモートアクセスを行う側(「アクセスする」)を選択する入力操作を行うと、PC210からアドレス交換サーバ300にアクセス要求が送信される。
なお、ログイン処理部331は、PC210と同様に、PC130に所定のWEB画面を送信し、リモートアクセスを行う側(「アクセスする」)あるいはリモートアクセスを受ける側(「アクセスを受ける」)のどちらであるかの選択を要求する。ユーザ宅100の住人が、PC130に表示された所定のWEB画面上で、リモートアクセスを受ける側(「アクセスを受ける」)を選択する入力操作を行うと、NAT/FWの設定に関する処理に移行される。
PC210からアクセス要求を受信すると、アドレス交換サーバ300のアドレス転送部332は、HGW140をリダイレクト先に指定し、「callセッションID」によりPC210に紐づくPC130に対して、アクセス要求に対するアクセス許可要求を送信する。
[実施例2による処理]
図17は、実施例2による処理の流れを示す図である。実施例2に係る処理の流れは、ステップS1〜ステップS5、ステップS17およびステップS18が実施例1に係る処理の流れ(図8参照)とは異なる。
すなわち、図17に示すように、電話機150と電話機230との間でSIP(Session Initiation Protocol)通信により通信(呼)が確立される(ステップS1)。HGW140は、電話機150と電話機230との間に確立された通信(呼)を特定するための特定情報(例えば、callセッションID)を取得し、セッション管理サーバ400をリダイレクト先に指定してPC130に送信する(ステップS2)。
HGW220は、電話機150と電話機230との間に確立された通信(呼)を特定するための特定情報(例えば、callセッションID)を取得し、セッション管理サーバ400をリダイレクト先に指定してPC220に送信する(ステップS3)。
セッション管理サーバ400は、電話機150と電話機230との間で確立された通信(呼)を特定するための特定情報を受信すると、受信した特定情報を、アドレス交換サーバ300にリダイレクト先に指定してPC130およびPC210に送信する。
アドレス交換サーバ300は、電話機150と電話機230との間で確立された通信(呼)を特定する「callセッションID」をPC130およびPC210のそれぞれから受信する。そして、アドレス交換サーバ300のアドレス転送部332は、PC210からアクセス要求を受信すると、HGW140をリダイレクト先に指定し、「callセッションID」によりPC210に紐づくPC130に対して、アクセス要求に対するアクセス許可要求を送信する(ステップS5)。以降のステップS6からステップS16までの処理の流れは、実施例1と基本的に同様であるので説明は省略する。
HGW140は、電話機150と電話機230との間で確立された通信(呼)の切断、すなわち通話の終了を検出すると(ステップS17)、終了が検出された通話に関連するNAT/FWの設定をFW設定テーブル142bから消去する(ステップS18)。
続いて、図18および図19を用いて、NAT/FW設定時のPC130およびPC210に表示される画面の遷移例を説明する。図18および図19は、実施例2に係るNAT/FW設定時のPC130およびPC210に表示される画面の遷移例を示す図である。
まず、図18を用いて、NAT/FW設定時のPC130に表示される画面の遷移を説明する。同図の(1)に示すように、まず、リモートアクセスを行う側(「アクセスする」)あるいはリモートアクセスを受ける側(「アクセスを受ける」)のどちらであるかの選択を要求する画面が表示される。同図(1)に示す「アクセスを受ける」が入力操作されると、同図の(2)に示すように、リモートアクセスさせる電気機器の選択を要求する画面に遷移する。
図18(2)に示す「プリンタ」が入力操作されると、同図(3)に示すように、リモートアクセスの有効期限の設定を要求する画面に遷移する。同図(3)の「設定する」が入力操作されると、同図(4)に示すように、サポートセンタ200へアクセス先アドレスを通知する旨を表示する画面に遷移する。そして、同図(4)に示す「取消」が入力操作されることなく所定時間が経過すると、同図(5)に示すように、アクセス許可中である旨を表示する画面に遷移する。なお、通話終了によりNAT/FWの設定が消去された場合には、同図(6)に示すように、アクセス許可を終了した旨を表示する画面に遷移する。
続いて、図19を用いて、NAT/FW設定時のPC210に表示される画面の遷移を説明する。同図の(1)に示すように、まず、リモートアクセスを行う側(「アクセスする」)あるいはリモートアクセスを受ける側(「アクセスを受ける」)のどちらであるかの選択を要求する画面に遷移する。同図(1)に示す「アクセスする」が入力操作されると、同図の(2)に示すように、リモートアクセス開始の承諾を要求する画面に遷移する。同図(2)の「OK」が入力操作されると、同図(3)に示すように、アクセス中である旨(「しばらくお待ち下さい」)を表示する画面に遷移する。そして、最終的には、同図(4)に示すように、リモートアクセスの対象となるユーザ宅100のプリンタ110から返送された設定画面に遷移する。
[実施例2による効果]
上述してきたように、実施例2によれば、電話機150と電話機230との間に確立された通話が終了した場合には、終了した通話に対応するNAT/FWの設定を消去するので、リモートアクセス時のセキュリティ低下を防止できる。
また、実施例2によれば、ユーザ宅100の電気機器をリモートアクセスすることが可能なサポートセンタ200の電話機230の情報(例えば、「0312345678」、図13備考参照)を記憶するので、リモートアクセスさせる相手をフィルタリングできる。
また、実施例2によれば、電話機150と電話機230との間に通話が確立されている間にリモートアクセスが行われるので、例えば、サポートサービスに口頭での説明を追加でき、より充実したサポートサービスを提供できる。
なお、実施例2によれば、callセッションIDによりPC130とPC210とが連携されているので、サポートセンタ200のオペレータがリモートアクセス先を指定することなく、リモートアクセスに関するNAT/FW設定が実行される。