JP5465646B2 - Access control system and access control method - Google Patents
Access control system and access control method Download PDFInfo
- Publication number
- JP5465646B2 JP5465646B2 JP2010228938A JP2010228938A JP5465646B2 JP 5465646 B2 JP5465646 B2 JP 5465646B2 JP 2010228938 A JP2010228938 A JP 2010228938A JP 2010228938 A JP2010228938 A JP 2010228938A JP 5465646 B2 JP5465646 B2 JP 5465646B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- communication
- access
- session
- arrival
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、アクセス制御システム及びアクセス制御方法に関する。 The present invention relates to an access control system and an access control method.
近年、IP(Internet Protocol)ネットワークに接続するWebサーバ間において、「サークル・オブ・トラスト(信頼の輪)」と称される信頼関係が結ばれることがある。「サークル・オブ・トラスト」が結ばれると、例えば、利用者の認証情報がWebサーバ間で交換され、SSO(Single Sign On)の実現が可能になる。かかる「サークル・オブ・トラスト」は、従来、事前に結ばれるものであり、例えば、第1の事業体と第2の事業体との間で証明書などを事前に交換することで結ばれる。 In recent years, there is a case in which a trust relationship called “circle of trust” is established between Web servers connected to an IP (Internet Protocol) network. When “Circle of Trust” is connected, for example, user authentication information is exchanged between Web servers, and SSO (Single Sign On) can be realized. Such “Circle of Trust” is conventionally connected in advance. For example, the “Circle of Trust” is connected by exchanging a certificate or the like in advance between the first business entity and the second business entity.
なお、事前に信頼関係を結ぶ必要のない「OpenID」という概念がある。利用者は、初めてWebサイトにアクセスする場合であっても、「OpenID」を入力するだけで、そのWebサイトにログインすることが可能である。もっとも、Webサイトが「OpenID」に対応していることが前提となる。 Note that there is a concept of “OpenID” that does not require a trust relationship in advance. Even when the user accesses the website for the first time, the user can log in to the website simply by inputting “OpenID”. However, it is assumed that the website corresponds to “OpenID”.
しかしながら、このような信頼関係は、必ずしもWebサーバ間において結ばれなければならないものではなく、また、必ずしも事前に結ばれなければならないものでもない。すなわち、信頼関係は、例えば、WebサーバとHGW(Home Gate Way)との間において結ばれてもよい。また、例えば、Webサービスの利用中に限るなど、一時的な信頼関係がオンデマンド(On Demand)に結ばれてもよい。しかしながら、証明書などを事前に交換する従来の技術では、一時的な信頼関係をオンデマンドに結ぶことはできない。 However, such a trust relationship does not necessarily have to be established between Web servers, and does not necessarily have to be established in advance. That is, the trust relationship may be established between, for example, a Web server and an HGW (Home Gate Way). Also, for example, a temporary trust relationship may be tied to On Demand, such as only during use of a Web service. However, with the conventional technology for exchanging certificates and the like in advance, a temporary trust relationship cannot be established on demand.
本発明は、上記に鑑みてなされたものであって、一時的な信頼関係をオンデマンドに結ぶことが可能なアクセス制御システム及びアクセス制御方法を提供することを目的とする。 The present invention has been made in view of the above, and an object thereof is to provide an access control system and an access control method capable of establishing a temporary trust relationship on demand.
上述した課題を解決し、目的を達成するために、アクセス制御システムは、セッション連携サーバ、Webサーバ、及び通信制御装置を含む。セッション連携サーバは、取得手段と、発行手段とを備える。取得手段は、複数の利用者間で通信が確立されると、該通信を識別する通信情報を取得する。発行手段は、前記通信情報を取得すると、該通信情報が示す複数の利用者が利用する複数の端末間でWebセッションを連携するための連携情報を発行し、発行した連携情報を、該連携情報の正当性を検証することが可能な形式でWebサーバに送信する。Webサーバは、検証手段と、アクセス手段と、連携手段とを備える。検証手段は、前記連携情報を受信すると、該連携情報の正当性を検証する。アクセス手段は、前記端末と前記Webサーバとの間の通信を制御する通信制御装置に、前記正当性が検証された連携情報とともにアクセスする。連携手段は、前記正当性が検証された連携情報に基づいて前記複数の端末間でWebセッションを連携するとともに前記アクセスの結果を該Webセッションに反映する。通信制御装置は、アクセス制御手段を備える。アクセス制御手段は、前記Webサーバからのアクセスが前記連携情報とともに行われたことを条件として、該アクセスを受け付ける。 In order to solve the above-described problems and achieve the object, the access control system includes a session cooperation server, a Web server, and a communication control device. The session cooperation server includes an obtaining unit and an issuing unit. When communication is established among a plurality of users, the acquisition means acquires communication information for identifying the communication. When the issuing unit acquires the communication information, the issuing unit issues linkage information for linking a Web session among a plurality of terminals used by a plurality of users indicated by the communication information, and the issued linkage information is used as the linkage information. Is transmitted to the Web server in a format in which the validity of the server can be verified. The Web server includes a verification unit, an access unit, and a cooperation unit. Upon receiving the cooperation information, the verification unit verifies the validity of the cooperation information. The access unit accesses a communication control apparatus that controls communication between the terminal and the Web server together with the cooperation information whose validity is verified. The cooperation unit cooperates the Web session between the plurality of terminals based on the cooperation information whose validity is verified, and reflects the access result in the Web session. The communication control device includes access control means. The access control means accepts the access on condition that the access from the Web server is performed together with the cooperation information.
上述した課題を解決し、目的を達成するために、アクセス制御方法は、セッション連携サーバ、Webサーバ、及び通信制御装置において、以下の工程を含む。セッション連携サーバは、取得工程と、発行工程とを含む。取得工程は、複数の利用者間で通信が確立されると、該通信を識別する通信情報を取得する。発行工程は、前記通信情報を取得すると、該通信情報が示す複数の利用者が利用する複数の端末間でWebセッションを連携するための連携情報を発行し、発行した連携情報を、該連携情報の正当性を検証することが可能な形式でWebサーバに送信する。Webサーバは、検証工程と、アクセス工程と、連携工程とを含む。検証工程は、前記連携情報を受信すると、該連携情報の正当性を検証する。アクセス工程は、前記端末と前記Webサーバとの間の通信を制御する通信制御装置に、前記正当性が検証された連携情報とともにアクセスする。連携工程は、前記正当性が検証された連携情報に基づいて前記複数の端末間でWebセッションを連携するとともに前記アクセスの結果を該Webセッションに反映する。通信制御装置は、アクセス制御工程を含む。アクセス制御工程は、前記Webサーバからのアクセスが前記連携情報とともに行われたことを条件として、該アクセスを受け付ける。 In order to solve the above-described problems and achieve the object, an access control method includes the following steps in a session cooperation server, a Web server, and a communication control device. The session cooperation server includes an acquisition process and an issue process. In the acquisition step, when communication is established among a plurality of users, communication information for identifying the communication is acquired. In the issuing step, when the communication information is acquired, the link information for linking the Web session between a plurality of terminals used by a plurality of users indicated by the communication information is issued, and the issued link information is converted into the link information. Is transmitted to the Web server in a format in which the validity of the server can be verified. The Web server includes a verification process, an access process, and a cooperation process. In the verification step, when the cooperation information is received, the validity of the cooperation information is verified. In the access step, the communication control device that controls communication between the terminal and the Web server is accessed together with the cooperation information whose validity is verified. In the cooperation step, a web session is linked between the plurality of terminals based on the linkage information whose validity is verified, and the access result is reflected in the web session. The communication control device includes an access control process. The access control step accepts the access on condition that the access from the Web server is performed together with the cooperation information.
本発明によれば、一時的な信頼関係をオンデマンドに結ぶことが可能になるという効果を奏する。 According to the present invention, it is possible to establish a temporary trust relationship on demand.
以下、本発明に係るアクセス制御システム及びアクセス制御方法の実施例を説明する。なお、以下の実施例により本発明が限定されるものではない。 Embodiments of an access control system and an access control method according to the present invention will be described below. In addition, this invention is not limited by the following examples.
[実施例1に係るアクセス制御システムの概要]
実施例1に係るアクセス制御システムの概要を説明する。まず、実施例1に係るアクセス制御システムは、通話中の利用者間でWebセッションの連携が行われるシステムを前提としている。すなわち、利用者は、通話中であれば、Webページの閲覧を通話相手と連携することができる。例えば、通話中、一方の利用者が、自身が閲覧するWebページをリンク先に遷移させると、他方の利用者が閲覧するWebページも、リンク先のWebページに自動的に遷移する。
[Outline of Access Control System According to Embodiment 1]
An overview of the access control system according to the first embodiment will be described. First, the access control system according to the first embodiment is premised on a system in which web sessions are coordinated between users who are in a call. That is, if the user is on a call, the user can link the browsing of the Web page with the call partner. For example, during a call, when one user transitions a web page that the user browses to a link destination, the web page that the other user browses automatically transitions to the linked web page.
さて、実施例1に係るアクセス制御システムは、このようなシステムを前提に、「通話中である」という事実に基づいて、Webサーバと、利用者が所属するネットワークのHGW(通信制御装置とも称する)との間に、一時的な信頼関係をオンデマンドに結ぶ。WebサーバとHGWとの間に一時的な信頼関係が結ばれた結果、WebサーバからHGWへのアクセスが一時的に許容される。すると、例えば、Webサーバは、HGWに記憶された情報を取得し、取得した情報を用いたWebページを利用者に提供する。 The access control system according to the first embodiment is based on the fact that the system is in a call on the premise of such a system, and is also referred to as an HGW (communication control device) of the network to which the user belongs. ) To establish a temporary trust relationship on demand. As a result of the temporary trust relationship being established between the Web server and the HGW, access from the Web server to the HGW is temporarily allowed. Then, for example, the Web server acquires information stored in the HGW, and provides a user with a Web page using the acquired information.
サービスイメージの一例を挙げる。例えば、一方の利用者は、A社のコールセンタであり、他方の利用者は、A社のPC(Personal Computer)を購入した顧客である。例えば、A社のPCがDLNA(Digital Living Network Alliance)などの規格に準拠しており、顧客のネットワークにPCが接続された際に、顧客側のHGWに、A社のPCに関する情報(型番、仕様など)が自動で格納されたとする。そして、PCの操作中、不具合が発生したため、顧客が、コールセンタに電話をかけたとする。両者が通話中、コールセンタが運用するWebサーバと、顧客側のHGWとの間には、一時的な信頼関係がオンデマンドに結ばれる。すると、コールセンタが運用するWebサーバは、HGWにアクセスし、PCに関する情報(型番、仕様など)を取得する。そして、Webサーバは、例えば取得した情報に基づいて、そのPCに合致する取り扱い説明書を選択し、選択した取り扱い説明書のWebページの閲覧が、コールセンタと顧客との間で連携されるように、Webセッションを制御する。なお、上記サービスイメージは一例に過ぎず、アクセスの結果、どのようにサービスが提供され、どのようにWebセッションが連携されるかは、任意に変更され得るものである。 Give an example of service image. For example, one user is a call center of company A, and the other user is a customer who purchased a PC (Personal Computer) of company A. For example, when a company A's PC complies with a standard such as DLNA (Digital Living Network Alliance), and the PC is connected to the customer's network, the customer's HGW receives information about the company A's PC (model number, Spec) etc. are stored automatically. Then, it is assumed that a problem occurs during the operation of the PC, so that the customer calls the call center. During the call, a temporary trust relationship is established on demand between the Web server operated by the call center and the customer HGW. Then, the Web server operated by the call center accesses the HGW and acquires information (model number, specification, etc.) related to the PC. Then, the Web server selects an instruction manual that matches the PC based on the acquired information, for example, so that browsing of the Web page of the selected instruction manual is linked between the call center and the customer. Control the web session. The service image is merely an example, and how the service is provided as a result of the access and how the Web session is linked can be arbitrarily changed.
図1は、実施例1に係るアクセス制御システムの概要を説明するための図である。図1に示すように、実施例1に係るアクセス制御システムは、セッション連携サーバと、Webサーバとを備える。ここで、セッション連携サーバとWebサーバとの間においては、事前に信頼関係が結ばれている(図1において点線の枠で示す)。 FIG. 1 is a diagram for explaining the outline of the access control system according to the first embodiment. As illustrated in FIG. 1, the access control system according to the first embodiment includes a session cooperation server and a Web server. Here, a trust relationship is established in advance between the session cooperation server and the Web server (indicated by a dotted frame in FIG. 1).
上述したように、実施例1に係るアクセス制御システムは、「通話中である」という事実に基づいて、WebサーバとHGWとの間に一時的な信頼関係をオンデマンドに結ぶ。セッション連携サーバは、この「通話中である」という事実を管理する役割を担う。 As described above, the access control system according to the first embodiment establishes a temporary trust relationship between the Web server and the HGW on demand based on the fact that “the call is in progress”. The session cooperation server plays a role of managing the fact that “the call is in progress”.
具体的には、図1に示すように、セッション連携サーバは、複数の利用者間で通話が確立されると、この通話を識別する通話情報(通信情報とも称する)を取得する。例えば、セッション連携サーバは、各HGWによって収集された通話情報を各HGWから取得する。また、例えば、セッション連携サーバは、通話情報を、通話を制御するSIP(Session Initiation Protocol)サーバ(図1において図示を省略)から直接取得してもよい。 Specifically, as shown in FIG. 1, when a call is established between a plurality of users, the session cooperation server acquires call information (also referred to as communication information) for identifying the call. For example, the session cooperation server acquires call information collected by each HGW from each HGW. Further, for example, the session cooperation server may directly acquire the call information from a SIP (Session Initiation Protocol) server (not shown in FIG. 1) that controls the call.
次に、セッション連携サーバは、通話情報を取得すると、この通話情報が示す複数の利用者が利用する複数の情報表示端末間でWebセッションを連携するための連携情報(以下、発着間紐付けID)を発行する。すなわち、Webセッションの連携はWebサーバにおいて行われるが、Webサーバは、どの情報表示端末が、互いに通話中の利用者が利用する情報表示端末であるかを識別することができない。そこで、セッション連携サーバは、通話中の利用者同士を紐付けるための発着間紐付けIDを発行し、Webサーバは、発着間紐付けIDを用いることで、互いに通話中の利用者が利用する情報表示端末を識別する。なお、発着間紐付けIDがどのように用いられるかという点については後述する。 Next, when the session cooperation server acquires the call information, the session cooperation server cooperates with the Web session link between the plurality of information display terminals used by the plurality of users indicated by the call information (hereinafter referred to as the arrival / departure linking ID). ). That is, the Web session is linked in the Web server, but the Web server cannot identify which information display terminal is the information display terminal used by the users who are talking to each other. Therefore, the session cooperation server issues an arrival / departure association ID for associating users who are in a call, and the Web server uses a connection / departure association ID so that users who are talking to each other use each other. Identify the information display terminal. Note that how the arrival / departure linking ID is used will be described later.
さて、セッション連携サーバは、発行した発着間紐付けIDを、その正当性を検証することが可能な形式で、Webサーバに送信する。例えば、セッション連携サーバは、発着間紐付けIDに、セッション連携サーバ自身の署名付証明書を添付する。 Now, the session cooperation server transmits the issued link between departure and arrival to the Web server in a format in which the validity can be verified. For example, the session cooperation server attaches the certificate with the signature of the session cooperation server itself to the link ID between arrivals and departures.
一方、Webサーバは、発着間紐付けIDを受信すると、発着間紐付けIDの正当性を検証する。例えば、Webサーバは、証明書に含まれるセッション連携サーバの公開鍵(認証局によって真正な公開鍵であることは証明されている)を利用して署名を復号することで、発着間紐付けIDの正当性を検証する。 On the other hand, when the Web server receives the arrival / departure association ID, the Web server verifies the validity of the departure / arrival association ID. For example, the Web server decrypts the signature using the public key of the session cooperation server included in the certificate (provided to be a genuine public key by the certificate authority), so that the link ID between arrivals and departures is obtained. Verify the validity of.
そして、Webサーバは、正当性が検証された発着間紐付けIDとともに、HGWに対してアクセスする。すると、HGWは、Webサーバからのアクセスが発着間紐付けIDとともに行われたことを条件として、アクセスを受け付ける。 Then, the Web server accesses the HGW together with the arrival / departure association ID whose validity is verified. Then, the HGW accepts the access on the condition that the access from the Web server is performed together with the link ID between arrival and departure.
こうして、Webサーバは、発着間紐付けIDに基づいて複数の情報表示端末間でWebセッションを連携するとともに、HGWにアクセスした結果をWebセッションに反映する。 In this way, the Web server links the Web session among a plurality of information display terminals based on the arrival / departure association ID, and reflects the result of accessing the HGW in the Web session.
[実施例1に係るアクセス制御システムによる処理手順]
次に、図2を用いて、実施例1に係るアクセス制御システムによる処理手順を説明する。図2は、実施例1に係るアクセス制御システムによる処理手順を示すシーケンス図である。なお、図2に示す点線の枠は、利用者が所属するネットワークを示し、点線の枠の外は、インターネットなどの広域ネットワークを示す。図2に示すように、利用者が所属するネットワークにはHGW10が設置され、HGW10が、ネットワーク内の情報表示端末20やSIPフォン30による通信を制御する。また、広域ネットワークには、セッション連携サーバ100、Webサーバ200、及びSIPサーバが設置される。
[Processing Procedure by Access Control System According to Embodiment 1]
Next, a processing procedure performed by the access control system according to the first embodiment will be described with reference to FIG. FIG. 2 is a sequence diagram illustrating a processing procedure performed by the access control system according to the first embodiment. 2 indicates the network to which the user belongs, and outside the dotted line frame indicates a wide area network such as the Internet. As shown in FIG. 2, the
図2に示すように、アクセス制御システムにおいて、まず、複数の利用者間で通話が確立される(ステップS101)。すなわち、SIPフォン30間で通信が確立される。なお、SIPサーバが、SIPフォン30間の通信を制御する。
As shown in FIG. 2, in the access control system, first, a call is established between a plurality of users (step S101). That is, communication is established between the
複数の利用者間で通話が確立されると、実施例1に係るHGW10は、この通話を識別するcallセッション情報を収集する(ステップS102)。例えば、HGW10は、SIPによって確立された通信に含まれる情報から、『Call−ID』、『From(SIP−URI(Uniform Resource Identifier))』及び『To(SIP−URI)』を収集する。なお、実施例1に係るHGW10は、callセッション情報を収集する他に、確立された通話の発側であるか着側であるかを判定し、発着を示す発着判定フラグを生成する。この発着判定フラグは、例えば、Webサーバ200がHGW10にアクセスする際や情報表示端末20にサービスを提供する際に、発着を区別するために用いられるものであり、必ずしも必須なものではない。
When a call is established among a plurality of users, the
続いて、HGW10は、自HGW10にポーリングを行う配下の情報表示端末20に対して、セッション連携サーバ100のURL(Uniform Resource Locator)に接続先を変更するよう指示するリダイレクト指示を、callセッション情報及び発着判定フラグとともに行う(ステップS103)。
Subsequently, the
すると、情報表示端末20はリダイレクトされ、接続先を、HGW10からセッション連携サーバ100に変更する(ステップS103)。このとき、情報表示端末20は、callセッション情報及び発着判定フラグを、セッション連携サーバ100に送信する。
Then, the
一方、セッション連携サーバ100は、callセッション情報及び発着判定フラグを受信すると、同じ通話を識別するcallセッション情報の送信元である複数の情報表示端末20間でWebセッションを連携するための発着間紐付けIDを発行する(ステップS104)。
On the other hand, when the
そして、セッション連携サーバ100は、発着間紐付けIDを、その正当性を検証することが可能な形式で、Webサーバ200に送信する(ステップS105)。例えば、セッション連携サーバ100は、発着間紐付けIDに、セッション連携サーバ100自身の署名付証明書を添付する。また、実施例1に係るセッション連携サーバ100は、発着間紐付けIDとともに発着判定フラグも送信する。なお、発着判定フラグの送信は、上述したように、必ずしも必須なものではない。
Then, the
また、セッション連携サーバ100は、発着間紐付けID及び発着判定フラグを、情報表示端末20にてリダイレクトされるようにWebサーバ200に送信する。情報表示端末20にてリダイレクトされてWebサーバ200に送信されることによって、Webサーバ200は、HGW10のIPアドレス、並びに、情報表示端末20(情報表示端末20のWebブラウザに付与されたブラウザセッション情報)と発着間紐付けID及び発着判定フラグとの対応関係を把握することができる。
Further, the
Webサーバ200は、情報表示端末20にてリダイレクトされて送信された発着間紐付けID及び発着判定フラグを受信すると、この発着間紐付けIDの正当性を検証する(ステップS106)。例えば、Webサーバ200は、添付された証明書に含まれるセッション連携サーバ100の公開鍵を利用して署名を復号することで、発着間紐付けIDの正当性を検証する。
When the
そして、Webサーバ200は、正当性が検証された発着間紐付けIDとともに、HGW10に対してアクセスする(ステップS107)。このアクセスには、ステップS105において取得されたHGW10のIPアドレスが用いられる。また、Webサーバ200は、必要に応じて、どちらのHGW10にアクセスすべきかなどについて、発着判定フラグを用いて判定する。なお、図2においては、ステップS107のアクセス時にも、発着間紐付けIDに署名付証明書が添付されている。この場合、例えばHGW10側においても、発着間紐付けIDの正当性を検証することが可能である。もっとも、ステップS107のアクセス時には、署名付証明書を添付しなくてもよい。
Then, the
すると、HGW10は、Webサーバ200からのアクセスが発着間紐付けIDとともに行われたことを条件として、アクセスを受け付け、例えば、Webサーバ200は、HGW10に記憶された個人情報を取得する(ステップS108)。
Then, the
こうして、Webサーバ200は、発着間紐付けIDに基づいて複数の情報表示端末20間でWebセッションを連携するとともに、HGW10にアクセスした結果をWebセッションに反映する(ステップS109)。例えば、Webサーバ200は、情報表示端末20からWebページ取得要求を受け付けると(ステップS110)、HGW10から取得した個人情報を用いたWebページを返信する(ステップS111)。なお、Webサーバ200は、ステップS105において、情報表示端末20のWebブラウザに付与されたブラウザセッション情報と、発着間紐付けID及び発着判定フラグとの対応関係を把握している。このため、Webサーバ200は、その後、発着間紐付けIDが一致する複数の情報表示端末20間でWebコンテンツを連携するように制御することができる。
In this way, the
なお、上述した処理手順は一例に過ぎない。例えば、ステップS109のWebコンテンツの連携が開始された後に、ステップS107及びS108のアクセスが行われてもよい。 Note that the processing procedure described above is merely an example. For example, the access in steps S107 and S108 may be performed after the cooperation of the Web content in step S109 is started.
[実施例1に係るアクセス制御システムの構成]
次に、図3〜図9を用いて、実施例1に係るアクセス制御システムの構成を説明する。以下、HGW10、SIPフォン30、情報表示端末20、セッション連携サーバ100、Webサーバ200の順に説明する。
[Configuration of Access Control System According to Embodiment 1]
Next, the configuration of the access control system according to the first embodiment will be described with reference to FIGS. Hereinafter, the
[HGW10]
図3は、実施例1に係るHGW10の構成を示すブロック図である。HGW10は、図2を用いて説明した処理手順などを実行する各部が、汎用的なゲートウェイ装置などに備えられることによって実現される。HGW10は、例えば、SIP通信部/HTTP(Hyper Text Transfer Protocol)通信部11と、記憶部12と、制御部13とを備える。
[HGW10]
FIG. 3 is a block diagram illustrating the configuration of the
SIP通信部/HTTP通信部11は、SIP用及びHTTP通信用の一般的なインタフェース及びライブラリを備える。SIP通信部/HTTP通信部11は、SIPフォン30とSIPサーバとの間の通信、情報表示端末20とWebサーバ200との間の通信、HGW10とSIPサーバとの間の通信、HGW10とセッション連携サーバ100との間の通信、HGW10とWebサーバ200との間の通信などを制御する。
The SIP communication unit /
記憶部12は、制御部13における各種制御に用いられる情報を記憶し、個人情報等記憶部12aを有する。個人情報等記憶部12aは、例えば利用者の個人情報などを記憶する。例えば、記憶部12は、RAM(Random Access Memory)、フラッシュメモリ、ハードディスク、光ディスクなどで実現される。
The
制御部13は、HGW10における各種制御を行い、callセッション情報通知部13aと、アクセス受付部13bとを有する。
The
callセッション情報通知部13aは、callセッション情報を収集し、収集したcallセッション情報を、セッション連携サーバ100に通知する。具体的には、callセッション情報通知部13aは、SIPによって確立された通信に含まれる情報から、『Call−ID』、『From』及び『To(SIP−URI)』を収集する。また、実施例1に係るcallセッション情報通知部13aは、callセッション情報を収集する他に、確立された通話の発側であるか着側であるかを判定し、発着を示す発着判定フラグを生成する。なお、callセッション情報は、上述の情報に限られず、例えば、『Call−ID』もしくは『isub』、又は、『From』、『To』、『tag』、IPアドレス、もしくは、これらを組合せて実現される。また、callセッション情報は、SIP通信に含まれるその他の情報(例えば『Date』など)を組合せて実現される。なお、SIPによって確立された通信を一意に識別することが可能な情報を用いる手法であれば、どのような手法で実現してもよい。
The call session
そして、callセッション情報通知部13aは、自HGW10にポーリングを行う情報表示端末20に対して、セッション連携サーバ100のURLに接続先を変更するよう指示するリダイレクト指示を、callセッション情報及び発着判定フラグとともに行う。なお、callセッション情報通知部13aは、例えば、セッション連携サーバ100のURL情報を予め記憶部12に記憶することで、このリダイレクト指示を行う。
Then, the call session
なお、callセッション情報通知部13aがcallセッション情報を収集する手法としては各種手法が考えられる。例えば、callセッション情報通知部13aが、HTTP通信によってSIPサーバにアクセスし、プル型でcallセッション情報を収集する手法などでもよい。もっとも、この場合には、SIPサーバが、callセッション情報の取得を希望するHGW10について、IPアドレスベースや回線ベースの認証など、何らかの認証手段によって認証することが望ましい。
Note that various methods are conceivable as a method by which the call session
アクセス受付部13bは、Webサーバ200からのアクセスが発着間紐付けIDとともに行われたことを条件として、Webサーバ200からのアクセスを受け付ける。具体的には、アクセス受付部13bは、Webサーバ200からのアクセスを受け付けると、そのアクセスが、発着間紐付けIDとともに行われているか否かを判定する。そして、発着間紐付けIDとともに行われていると判定した場合に、アクセス受付部13bは、Webサーバ200とHGW10との間に一時的な信頼関係が結ばれたものとして、Webサーバ200からのアクセスを許容する。アクセス受付部13bは、例えば個人情報等記憶部12aに記憶された情報の取得を許容する。
The access receiving unit 13b receives access from the
なお、アクセス受付部13bは、Webサーバ200からのアクセス時、発着間紐付けIDに署名付証明書が添付されている場合には、発着間紐付けIDの正当性を検証してもよい。例えば、アクセス受付部13bは、証明書に含まれるセッション連携サーバ100の公開鍵(認証局によって真正な公開鍵であることは証明されている)を利用して署名を復号し、発着間紐付けIDのハッシュ値を取り出す。また、アクセス受付部13bは、発着間紐付けID自体からハッシュ値を算出する。そして、アクセス受付部13bは、署名から取り出したハッシュ値と算出したハッシュ値とを照合することで、発着間紐付けIDが真正な情報であることを検証する。すなわち、署名から取り出したハッシュ値と算出したハッシュ値とを照合した結果、両者が一致すれば、(a)発着間紐付けIDが、確かにセッション連携サーバ100から発行された情報であること、(b)発着間紐付けIDが、改竄されていないこと、(c)セッション連携サーバ100が発着間紐付けIDを送信した事実を否認しないことなどの事実を検証することができ、発着間紐付けIDが真正な情報であることを検証することができる。
Note that when accessing from the
[SIPフォン30]
図4は、実施例1に係るSIPフォン30の構成を示すブロック図である。SIPフォン30は、例えば、入力部32と、出力部33と、入出力制御I/F部34と、SIP通信部31とを備える。
[SIP phone 30]
FIG. 4 is a block diagram illustrating the configuration of the
いずれも汎用的なSIPフォン30と同様であるので簡単に説明すると、入力部32は、SIPフォン30に用いられる情報や、各種処理をするための操作指示などを、番号キーやマイクなどによって入力する。出力部33は、SIPフォン30による各種処理の結果や、各種処理をするための操作指示などを、ディスプレイやスピーカに出力する。入出力制御I/F部34は、入力部32と、出力部33と、SIP通信部31との間における情報転送を制御する。SIP通信部31は、SIP用の一般的なインタフェース及びライブラリを備え、他方のSIPフォン30との間で情報を送受信する。
Since both are the same as the general-
[情報表示端末20]
図5は、実施例1に係る情報表示端末20の構成を示すブロック図である。情報表示端末20は、図2を用いて説明した処理手順などを実行する各部が、汎用的なPCや情報家電などに備えられることによって実現される。情報表示端末20は、例えば、入力部22と、出力部23と、入出力制御I/F部24と、HTTP通信部21と、制御部25とを備える。
[Information display terminal 20]
FIG. 5 is a block diagram illustrating the configuration of the
入力部22は、情報表示端末20に用いられる情報や、各種処理をするための操作指示などを、キーボード、マウス、リモコンなどによって入力する。出力部23は、情報表示端末20による各種処理の結果や、各種処理をするための操作指示などを、ディスプレイやプリンタなどに出力する。入出力制御I/F部24は、入力部22と、出力部23と、HTTP通信部21と、制御部25との間における情報転送を制御する。HTTP通信部21は、HTTP通信用の一般的なインタフェース及びライブラリを備え、Webサーバ200との間で情報を送受信する。
The
制御部25は、Webコンテンツ閲覧部25aを有する。例えば、Webコンテンツ閲覧部25aは、いわゆるWebブラウザによって実現され、HGW10に対してポーリングを行っている。また、Webコンテンツ閲覧部25aは、HGW10からリダイレクト指示を受けると、HGW10から受信したcallセッション情報及び発着判定フラグをセッション連携サーバ100に送信する。また、Webコンテンツ閲覧部25aは、セッション連携サーバ100からリダイレクトされると、セッション連携サーバ100から受信した発着間紐付けID及び発着判定フラグをWebサーバ200に送信する。
The
このとき、Webコンテンツ閲覧部25aを実現するWebブラウザには、Webブラウザを識別するブラウザセッション情報が付与されており、Webサーバ200は、ブラウザセッション情報を用いて情報表示端末20を識別する。すなわち、ブラウザセッション情報は、情報表示端末20とWebサーバ200との間で確立されたWebセッション毎に生成され、情報表示端末20とWebサーバ200との間で確立されたWebセッションを一意に識別する情報である。ブラウザセッション情報は、例えばWebサーバ200によって発行され、例えば『セッションID』(CookieのIDなど)で実現される。
At this time, browser session information for identifying the web browser is given to the web browser that realizes the web
また、Webコンテンツ閲覧部25aは、Webサーバ200から送信されたWebページを出力部23に出力する。
Further, the web
[セッション連携サーバ100]
図6は、実施例1に係るセッション連携サーバ100の構成を示すブロック図である。セッション連携サーバ100は、図2を用いて説明した処理手順などを実行する各部が、汎用的なサーバなどに備えられることによって実現される。セッション連携サーバ100は、例えば、通信部110と、記憶部120と、制御部130とを備える。
[Session Cooperation Server 100]
FIG. 6 is a block diagram illustrating the configuration of the
通信部110は、HTTP通信用の一般的なインタフェース及びライブラリを有し、HGW10、情報表示端末20、Webサーバ200との間で情報を送受信する。記憶部120は、制御部130における各種制御に用いられる情報を記憶する。記憶部120は、制御用セッション情報管理テーブル121と、発着間紐付けID管理テーブル122とを有する。例えば、記憶部120は、RAM、フラッシュメモリ、ハードディスク、光ディスクなどで実現される。
The
制御用セッション情報管理テーブル121は、制御用セッション情報を管理する。具体的には、制御用セッション情報管理テーブル121は、制御用セッション情報を記憶し、制御用セッション情報管理テーブル121が記憶する制御用セッション情報は、後述する発着間紐付けID発行部132による処理に利用される。
The control session information management table 121 manages control session information. Specifically, the control session information management table 121 stores the control session information, and the control session information stored in the control session information management table 121 is processed by an outgoing / incoming link
図7は、制御用セッション情報管理テーブルを説明するための図である。例えば、制御用セッション情報管理テーブル121は、図7に示すように、制御用セッション情報と、callセッション情報と、発着判定フラグとを対応付けて記憶する。 FIG. 7 is a diagram for explaining the control session information management table. For example, as shown in FIG. 7, the control session information management table 121 stores control session information, call session information, and arrival / departure determination flags in association with each other.
制御用セッション情報は、情報表示端末20とセッション連携サーバ100との間で確立されたセッション毎に生成され、情報表示端末20とセッション連携サーバ100との間で確立されたセッションを一意に識別する情報である。制御用セッション情報は、後述するcallセッション情報収集部131によって発行され、制御用セッション情報管理テーブル121に格納される。例えば、制御用セッション情報は、『セッションID』(CookieのIDなど)で実現される。なお、図7において、説明の便宜上、制御用セッション情報として規則的な数値が例示されているが、一般的には乱数などが格納される。
The control session information is generated for each session established between the
また、callセッション情報は、SIPフォン30間でSIPによって確立された通信を一意に識別する情報である。callセッション情報は、後述するcallセッション情報収集部131によって収集され、制御用セッション情報管理テーブル121に格納される。また、図7において、説明の便宜上、callセッション情報の『Call−ID』として規則的な数値が例示されているが、一般的には乱数などが格納される。
The call session information is information for uniquely identifying communication established by SIP between the
また、発着判定フラグは、SIPフォン30間でSIPによって確立された通信について、SIPフォン30が発側であるのか着側であるのかを示すフラグである。後述するcallセッション情報収集部131によって収集され、制御用セッション情報管理テーブル121に格納される。
The arrival / departure determination flag is a flag indicating whether the
発着間紐付けID管理テーブル122は、発着間紐付けIDを管理する。具体的には、発着間紐付けID管理テーブル122は、発着間紐付けIDを記憶する。 The departure / arrival association ID management table 122 manages the arrival / departure association ID. Specifically, the arrival / departure association ID management table 122 stores an arrival / departure association ID.
図8は、発着間紐付けID管理テーブルを説明するための図である。例えば、発着間紐付けID管理テーブル122は、図8に示すように、制御用セッション情報と、発着間紐付けIDとを対応付けて記憶する。 FIG. 8 is a diagram for explaining the between-arrival and arrival association ID management table. For example, as shown in FIG. 8, the between-arrival and associated ID management table 122 stores the control session information and the between-arrival and associated IDs in association with each other.
発着間紐付けIDは、SIPによって確立された通信を一意に識別するcallセッション情報の仮名情報であり、通話を行っている利用者間でWebセッションを連携するための連携情報である。発着間紐付けIDは、後述する発着間紐付けID発行部132によって発行され、発着間紐付けID管理テーブル122に格納される。なお、図8に示すように、一般的には乱数などが格納される。
The link ID between arrivals and departures is pseudonym information of call session information that uniquely identifies communication established by SIP, and is linkage information for linking Web sessions between users who are making a call. The departure / arrival association ID is issued by an after-arrival association
図6に戻り、制御部130は、callセッション情報収集部131と、発着間紐付けID発行部132とを有する。
Returning to FIG. 6, the
callセッション情報収集部131は、callセッション情報及び発着判定フラグを収集する。具体的には、callセッション情報収集部131は、HGW10のcallセッション情報通知部13aによって通知されることで、callセッション情報及び発着判定フラグを収集する。そして、callセッション情報収集部131は、制御用セッション情報を発行し、収集したcallセッション情報及び発着判定フラグを、発行した制御用セッション情報と対応付けて、制御用セッション情報管理テーブル121に格納する。
The call session
発着間紐付けID発行部132は、発着間紐付けIDを発行し、発行した発着間紐付けIDを、その正当性を検証することが可能な形式でWebサーバ200に送信する。具体的には、発着間紐付けID発行部132は、制御用セッション情報管理テーブル121に記憶されている複数のcallセッション情報の中から同一の通信を示すcallセッション情報を特定する。次に、発着間紐付けID発行部132は、特定したcallセッション情報と対応付けて記憶されている2つの制御用セッション情報を特定する。そして、発着間紐付けID発行部132は、発着間紐付けIDを発行し、発行した発着間紐付けIDと特定した制御用セッション情報とを対応付けて発着間紐付けID管理テーブル122に格納する。
The arrival / departure association
続いて、発着間紐付けID発行部132は、発行した発着間紐付けIDに、セッション連携サーバ100の署名付証明書を添付する。ここで、発着間紐付けID発行部132は、署名付証明書を添付することにより、例えば、(a)発着間紐付けIDが、確かにセッション連携サーバ100から発行された情報であること、(b)発着間紐付けIDが、改竄されていないこと、(c)セッション連携サーバ100が発着間紐付けIDを送信した事実を否認しないことを保証する。これらをWebサーバ200において検証することができれば、Webサーバ200は、取得した発着間紐付けIDが信用できる情報(真正な情報)であることを確認することができる。
Subsequently, the between-arrival / inbound linking
また、例えば、実施例1に係る発着間紐付けID発行部132は、署名付証明書を、SAML(Security Assertion Markup Language)に規定する形式で記述する。ここで、SAML形式とは、認証のための情報をXML(Extensible Markup Language)で記述されたデータで交換することを目的として策定されたプロトコルであり、署名によって検証可能な形式である。発着間紐付けID発行部132は、セッション連携サーバ100の公開鍵が真正であることを証明する認証局発行の証明書と、セッション連携サーバ100の秘密鍵で発着間紐付けID(ハッシュ値)を暗号化した署名とを、SAML形式で記述する。
Also, for example, the arrival / departure linking
[Webサーバ200]
図9は、実施例1に係るWebサーバ200の構成を示すブロック図である。Webサーバ200は、図2を用いて説明した処理手順などを実行する各部が、汎用的なサーバなどに備えられることによって実現される。Webサーバ200は、例えば、通信部210と、制御部230とを備える。
[Web server 200]
FIG. 9 is a block diagram illustrating the configuration of the
通信部210は、HTTP通信用の一般的なインタフェース及びライブラリを備え、セッション連携サーバ100との間や、情報表示端末20との間などで情報を送受信する。
The
制御部230は、発着間紐付けID検証部231と、HGWアクセス部232と、Webセッション連携部233とを有する。
The
発着間紐付けID検証部231は、セッション連携サーバ100によって発行された発着間紐付けIDを検証する。具体的には、発着間紐付けID検証部231は、情報表示端末20から発着間紐付けID及び発着判定フラグを受信する。発着間紐付けIDは、確立された通話毎に新しく払い出されるものであるので、発着間紐付けID検証部231は、各情報表示端末20から発着間紐付けIDを受信した結果、2つの情報表示端末20からは同じ発着間紐付けIDを受信することになる。
The arrival / departure association
また、発着間紐付けID検証部231は、発着間紐付けIDに添付された署名付証明書を検証することで、発着間紐付けIDの正当性を検証する。例えば、発着間紐付けID検証部231は、証明書に含まれるセッション連携サーバ100の公開鍵(認証局によって真正な公開鍵であることは証明されている)を利用して署名を復号し、発着間紐付けIDのハッシュ値を取り出す。また、発着間紐付けID検証部231は、発着間紐付けID自体からハッシュ値を算出する。そして、発着間紐付けID検証部231は、署名から取り出したハッシュ値と算出したハッシュ値とを照合することで、発着間紐付けIDが真正な情報であることを検証する。すなわち、署名から取り出したハッシュ値と算出したハッシュ値とを照合した結果、両者が一致すれば、(a)発着間紐付けIDが、確かにセッション連携サーバ100から発行された情報であること、(b)発着間紐付けIDが、改竄されていないこと、(c)セッション連携サーバ100が発着間紐付けIDを送信した事実を否認しないことなどの事実を検証することができ、発着間紐付けIDが真正な情報であることを検証することができる。
In addition, the between-arrival / linking
HGWアクセス部232は、正当性が検証された発着間紐付けIDとともに、HGW10にアクセスする。具体的には、HGWアクセス部232は、発着間紐付けID検証部231によって発着間紐付けIDが真正な情報であることが検証された場合には、この発着間紐付けIDとともに、HGW10にアクセスする。なお、HGWアクセス部232は、各情報表示端末20から発着間紐付けID及び発着判定フラグを受信した際に取得されたHGW10のIPアドレスを用いて、HGW10にアクセスする。また、HGWアクセス部232は、必要に応じて、どちらのHGW10にアクセスすべきかなどについて、発着判定フラグを用いて判定する。
The
Webセッション連携部233は、正当性が検証された発着間紐付けIDに基づいて複数の情報表示端末20間でWebセッションを連携するとともに、HGWアクセス部232によるアクセスの結果をWebセッションに反映する。具体的には、Webセッション連携部233は、発着間紐付けID検証部231によって正当性が検証された複数の発着間紐付けIDの中から、Webセッションを連携することを示す発着間紐付けID(同一の発着間紐付けID)を特定し、特定した発着間紐付けIDの送信元である情報表示端末20各々に提供するWebコンテンツを連携するように、サービス提供を制御する。なお、Webセッション連携部233は、情報表示端末20に付与されたブラウザセッション情報と、発着間紐付けID及び発着判定フラグとの対応関係を把握しているので、特定した発着間紐付けIDの送信元である情報表示端末20各々に提供するWebセッションを連携するように、サービス提供を制御することができる。
The web
[実施例1の効果]
上述したように、実施例1に係るアクセス制御システムは、セッション連携サーバ100、Webサーバ200、及びHGW10を含む。セッション連携サーバ100は、callセッション情報収集部131と、発着間紐付けID発行部132とを備える。callセッション情報収集部131は、複数の利用者間で通話が確立されると、この通話を識別するcallセッション情報を取得する。発着間紐付けID発行部132は、callセッション情報を取得すると、このcallセッション情報が示す複数の利用者が利用する複数の情報表示端末20間でWebセッションを連携するための発着間紐付けIDを発行し、発行した発着間紐付けIDを、この発着間紐付けIDの正当性を検証することが可能な形式でWebサーバ200に送信する。Webサーバ200は、発着間紐付けID検証部231と、HGWアクセス部232と、Webセッション連携部233とを備える。発着間紐付けID検証部231は、発着間紐付けIDを受信すると、この発着間紐付けIDの正当性を検証する。HGWアクセス部232は、情報表示端末20とWebサーバ200との間の通信を制御するHGW10に、正当性が検証された発着間紐付けIDとともにアクセスする。Webセッション連携部233は、正当性が検証された発着間紐付けIDに基づいて複数の情報表示端末20間でWebセッションを連携するとともに、アクセスの結果をWebセッションに反映する。HGW10は、アクセス受付部13bを備える。アクセス受付部13bは、Webサーバ200からのアクセスが発着間紐付けIDとともに行われたことを条件として、アクセスを受け付ける。
[Effect of Example 1]
As described above, the access control system according to the first embodiment includes the
このようなことから、実施例1によれば、「通話中である」という事実に基づいて、Webサーバ200と、利用者が所属するネットワークのHGW10との間に、一時的な信頼関係をオンデマンドに結ぶことが可能になる。
For this reason, according to the first embodiment, a temporary trust relationship is turned on between the
次に、実施例2に係るアクセス制御システムを説明する。実施例2に係るアクセス制御システムは、実施例1に係るアクセス制御システムと同様の処理手順に加え、HGW10に対するWebサーバ200からのアクセスを許容するか否かを利用者に確認する。すなわち、アクセス制御システムにおいて、Webサーバ200からのアクセスが発着間紐付けIDとともに行われた場合には、HGW10は、無条件に、このアクセスを受け付ける。このようなことから、実施例2においては、利用者に事前確認をとることとする。
Next, an access control system according to the second embodiment will be described. In addition to the same processing procedure as the access control system according to the first embodiment, the access control system according to the second embodiment confirms with the user whether or not access from the
図10は、実施例2に係るアクセス制御システムによる処理手順を示すシーケンス図である。図10に示すように、セッション連携サーバ100の発着間紐付けID発行部132は、発着間紐付けIDを発行する際に、HGW10に対するWebサーバ200からのアクセスを許容するか否かを確認する確認画面を、情報表示端末20に送信する(ステップS204)。例えば、発着間紐付けID発行部132は、「ホームゲートウェイにアクセスしますが、よろしいですか?」といった確認画面を送信する。
FIG. 10 is a sequence diagram illustrating a processing procedure performed by the access control system according to the second embodiment. As illustrated in FIG. 10, the between-arrival and association
例えば、利用者が、情報表示端末20の出力部23に出力された確認画面を確認し、これに了承して例えばボタンを押下すると、その情報がセッション連携サーバ100に送信される(ステップS205)。すると、発着間紐付けID発行部132は、利用者による確認が得られたとして、発着間紐付けIDを発行する。一方、利用者による確認が得られなかった場合には、発着間紐付けID発行部132は、発着間紐付けIDを発行しない。
For example, when the user confirms the confirmation screen output to the
なお、利用者に事前確認をとる処理手順は、図10に例示した処理手順に限られない。図10に例示した処理手順の場合、利用者による確認が得られなければ、発着間紐付けID発行部132は発着間紐付けIDを発行しないことになり、Webサーバ200は、Webセッションの連携もできなくなってしまう。そこで、例えば、発着間紐付けID発行部132は、利用者による確認が得られなければ、その旨を情報として添付した発着間紐付けIDを発行してもよい。この場合、Webサーバ200のHGWアクセス部232は、HGW10へのアクセスを行わないようにする。一方、Webセッション連携部233は、Webセッションの連携を行うことができる。
Note that the processing procedure for confirming in advance with the user is not limited to the processing procedure illustrated in FIG. In the case of the processing procedure illustrated in FIG. 10, if the confirmation by the user is not obtained, the arrival / departure association
また、図10に例示した処理手順の場合、利用者のうち、発信者は、HGW10に対するアクセスを許容することを前提とし、着信者に、確認画面を送信した。しかしながらこれに限られるものではなく、発信者及び着信者の両者に確認画面を送信するようにしてもよい。
In the case of the processing procedure illustrated in FIG. 10, out of the users, the caller transmits a confirmation screen to the callee on the assumption that access to the
また、確認画面において、単にアクセスを許容するか否かを確認するだけでなく、アクセスに関する情報、例えば、アクセスすることを許容するディレクトリ、フォルダ、あるいは、実行を許容するコマンドの種別などを利用者に入力させてもよい。この場合、発着間紐付けID発行部132は、これらの情報を添付して、発着間紐付けIDを発行する。一方、HGWアクセス部232は、HGW10へアクセスする前に、発着間紐付けIDに添付されたこれらの情報を確認し、例えば、アクセスすることが許容されたディレクトリ、フォルダのみにアクセスする、また、例えば、実行を許容されたコマンドのみを実行する、といったように、アクセスを制御する。
On the confirmation screen, the user not only confirms whether or not access is permitted, but also information related to access, for example, the directory and folder permitted to access, or the type of command permitted to execute. May be input. In this case, the arrival / departure association
また、図10に例示した処理手順の場合、利用者に事前確認をとる処理手順は、セッション連携サーバ100によって行われたが、Webサーバ200に行わせてもよい。例えば、HGWアクセス部232は、HGW10へアクセスする前に、アクセスを許容するか否かを確認する確認画面を情報表示端末20に対して送信し、利用者による確認が得られた場合にのみ、アクセスしてもよい。また、確認画面において、単にアクセスを許容するか否かを確認するだけでなく、アクセスに関する情報、例えば、アクセスすることを許容するディレクトリ、フォルダ、あるいは、実行を許容するコマンドの種別などを利用者に入力させてもよい。さらに、Webサーバ200自身が送信する確認画面であるので、例えば、どのような情報を取得したいか、具体的に記載して、その情報の取得のために必要な情報(ディレクトリ、フォルダ、許容するコマンドの種別など)を入力してもらうようにしてもよい。
In the case of the processing procedure illustrated in FIG. 10, the processing procedure for confirming the user in advance is performed by the
次に、実施例3に係るアクセス制御システムを説明する。実施例3に係るアクセス制御システムは、実施例1に係るアクセス制御システムや実施例2に係るアクセス制御システムと同様の機能を有する他に、発着間紐付けIDを失効させる機能を有する。 Next, an access control system according to the third embodiment will be described. The access control system according to the third embodiment has the same function as the access control system according to the first embodiment and the access control system according to the second embodiment, and also has a function of invalidating the link ID between arrival and departure.
図11は、実施例3に係るセッション連携サーバ100の構成を示すブロック図であり、図12は、実施例3に係るアクセス制御システムによる処理手順を示すシーケンス図である。図11に示すように、実施例3に係るセッション連携サーバ100は、制御部130に、発着間紐付けID失効部133をさらに備える。発着間紐付けID失効部133は、複数の利用者間で確立された通話が切断されると、この通話を識別するcallセッション情報を取得する。また、発着間紐付けID失効部133は、切断された通話を識別するcallセッション情報を取得すると、このcallセッション情報に関連付けて発行された発着間紐付けIDの失効を、Webサーバ200に通知する。
FIG. 11 is a block diagram illustrating a configuration of the
例えば、図12に示すように、複数の利用者間で確立された通話が切断されると(ステップS301)、HGW10が、切断された通話を識別するcallセッション情報を収集し(ステップS302)、収集したcallセッション情報を、セッション連携サーバ100に送信する(ステップS303)。なお、HGW10は、例えば図2のステップS102及びS103と同様の手法で、これらの処理手順を実行することができる。また、HGW10は、切断された通話を識別するcallセッション情報と、確立された通話を識別するcallセッション情報とを区別するために、callセッション情報に、何らかのフラグを付与すればよい。
For example, as shown in FIG. 12, when a call established between a plurality of users is disconnected (step S301), the
そして、発着間紐付けID失効部133は、callセッション情報を受信すると、受信したcallセッション情報を用いて制御用セッション情報管理テーブル121を検索し、受信したcallセッション情報に対応付けて記憶されている制御用セッション情報を特定する。また、発着間紐付けID失効部133は、特定した制御用セッション情報を用いて発着間紐付けID管理テーブル122を検索し、特定した制御用セッション情報に対応付けて記憶されている発着間紐付けIDを特定する。そして、発着間紐付けID失効部133は、特定した発着間紐付けIDは、失効すべき発着間紐付けIDであるとして、Webサーバ200に通知する。
When the call session information is received, the between-arrival / linking ID revocation unit 133 searches the control session information management table 121 using the received call session information, and is stored in association with the received call session information. Identify control session information. In addition, the arrival / departure association ID revocation unit 133 searches the departure / arrival association ID management table 122 using the specified control session information, and stores the arrival / department association stored in association with the specified control session information. The attached ID is specified. Then, the between-arrival and association ID revocation unit 133 notifies the
すると、Webサーバ200のHGWアクセス部232は、発着間紐付けID失効部133から所定の発着間紐付けIDの失効を通知されると、該当するHGW10に対するアクセスを終了する。また、Webセッション連携部233は、発着間紐付けIDの失効を通知されると、通知された発着間紐付けIDを用いたWebセッションの連携を終了する。
Then, when the
このように、実施例3によれば、通話の切断とともに発着間紐付けIDの失効がWebサーバ200に通知され、Webサーバ200によるHGW10へのアクセスも終了するので、「通話中である」との事実に基づいて一時的に結ばれた信頼関係を、通話中以外は確実に解除することが可能になる。
As described above, according to the third embodiment, when the call is disconnected, the expiration of the link ID between the arrival and departure is notified to the
これまでいくつかの実施例を説明したが、本発明は、これらの実施例に限定されるものではない。本発明は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。 Although several embodiments have been described so far, the present invention is not limited to these embodiments. The present invention can be implemented in various other forms, and various omissions, replacements, and changes can be made without departing from the spirit of the invention.
例えば、上記実施例1〜3においては、HGWが、通話中の利用者双方のネットワークに設置される例を説明したが、これに限られるものではなく、HGWは、いずれか一方の利用者のネットワークに設置される場合であってもよい。 For example, in the first to third embodiments described above, the example in which the HGW is installed in the network of both users who are talking is not limited to this, but the HGW is the one of the users. It may be installed in a network.
また、例えば、上記実施例1〜3においては、通話が、2者間で行われる例を説明したが、これに限られるものではなく、通話が、例えば3者間など、2者よりも多人数の間で行われる場合にも、開示の技術を同様に適用することができる。更に、上記実施例1〜3においては、SIPフォン間で行われる通話の例を説明したが、必ずしもこれに限られるものではなく、いわゆる音声通話としての「通話」のみならず、一般的な「通信」の場合にも、開示の技術を同様に適用することができる。すなわち、セッション連携サーバは、複数の利用者間で通信が確立されると、この通信を識別する通信情報を取得し、取得した通信情報が示す複数の利用者が利用する複数の端末間でWebセッションを連携するための連携情報を発行し、発行した連携情報を、その正当性を検証することが可能な形式でWebサーバに送信してもよい。 Further, for example, in the first to third embodiments, an example in which a call is performed between two parties has been described. However, the present invention is not limited to this, and there are more calls than two parties, for example, between three parties. The disclosed technique can be applied in the same manner even when it is performed between people. Further, in the first to third embodiments, an example of a call performed between SIP phones has been described. However, the present invention is not necessarily limited to this. In the case of “communication”, the disclosed technique can be applied in the same manner. In other words, when communication is established between a plurality of users, the session cooperation server acquires communication information for identifying the communication, and Web communication between a plurality of terminals used by the plurality of users indicated by the acquired communication information. Coordination information for coordinating sessions may be issued, and the issued cooperation information may be transmitted to the Web server in a format in which the validity can be verified.
100 セッション連携サーバ
110 通信部
120 記憶部
121 制御用セッション情報管理テーブル
122 発着間紐付けID管理テーブル
130 制御部
131 callセッション情報収集部
132 発着間紐付けID発行部
200 Webサーバ
210 通信部
230 制御部
231 発着間紐付けID検証部
232 HGWアクセス部
233 Webセッション連携部
DESCRIPTION OF
Claims (4)
複数の利用者間で通信が確立されると、該通信を識別する通信情報を取得する取得手段と、
前記通信情報を取得すると、該通信情報が示す複数の利用者が利用する複数の端末間でWebセッションを連携するための連携情報を発行し、発行した連携情報を、該連携情報の正当性を検証することが可能な形式でWebサーバに送信する発行手段とを備え、
前記Webサーバは、
前記連携情報を受信すると、該連携情報の正当性を検証する検証手段と、
前記端末と前記Webサーバとの間の通信を制御する通信制御装置に、前記正当性が検証された連携情報とともにアクセスし、前記利用者の個人情報を取得するアクセス手段と、
前記正当性が検証された連携情報に基づいて前記複数の端末間でWebセッションを連携するとともに前記アクセスの結果として、前記個人情報を用いたWebページを前記複数の端末に提供する連携手段とを備え、
前記通信制御装置は、
前記Webサーバからのアクセスが前記連携情報とともに行われたことを条件として、該アクセスを受け付けるアクセス制御手段と
を備えたことを特徴とするアクセス制御システム。 Session linkage server
When communication is established between a plurality of users, acquisition means for acquiring communication information for identifying the communication;
When the communication information is acquired, the link information for linking the Web session between a plurality of terminals used by a plurality of users indicated by the communication information is issued, and the validity of the link information is confirmed with the issued link information. Issuing means for transmitting to a Web server in a format that can be verified,
The web server
Upon receiving the cooperation information, verification means for verifying the validity of the cooperation information;
An access means for accessing a communication control device for controlling communication between the terminal and the Web server together with the cooperation information whose validity is verified , and acquiring personal information of the user ;
Coordinating means for coordinating a web session between the plurality of terminals based on the cooperation information verified for validity and providing a web page using the personal information to the plurality of terminals as a result of the access. Prepared,
The communication control device includes:
An access control system comprising: access control means for accepting access on the condition that access from the Web server is performed together with the cooperation information.
前記通信制御装置に対する前記Webサーバからのアクセスを許容するか否かを確認する情報を前記利用者が利用する端末に送信する確認手段をさらに備えたことを特徴とする請求項1に記載のアクセス制御システム。 The session cooperation server
The access according to claim 1, further comprising confirmation means for transmitting information for confirming whether or not access from the Web server to the communication control device is permitted to a terminal used by the user. Control system.
前記複数の利用者間で確立された通信が切断されると、該通信を識別する通信情報を取得する切断時取得手段と、
切断された通信を識別する前記通信情報を取得すると、該通信情報に関連付けて発行された前記連携情報の失効を前記Webサーバに通知する通知手段とをさらに備え、
前記アクセス手段は、前記連携情報の失効を通知されると、前記通信制御装置に対するアクセスを終了し、
前記連携手段は、前記連携情報の失効を通知されると、前記Webセッションの連携を終了することを特徴とする請求項1又は2に記載のアクセス制御システム。 The session cooperation server
When communication established between the plurality of users is disconnected, a disconnection acquisition unit that acquires communication information for identifying the communication;
A notification means for notifying the Web server of the expiration of the cooperation information issued in association with the communication information when the communication information for identifying the disconnected communication is acquired;
When the access means is notified of the expiration of the linkage information, the access means terminates access to the communication control device,
The access control system according to claim 1, wherein the cooperation unit terminates the cooperation of the Web session when notified of the expiration of the cooperation information.
複数の利用者間で通信が確立されると、該通信を識別する通信情報を取得する取得工程と、
前記通信情報を取得すると、該通信情報が示す複数の利用者が利用する複数の端末間でWebセッションを連携するための連携情報を発行し、発行した連携情報を、該連携情報の正当性を検証することが可能な形式でWebサーバに送信する発行工程とを含み、
前記Webサーバが、
前記連携情報を受信すると、該連携情報の正当性を検証する検証工程と、
前記端末と前記Webサーバとの間の通信を制御する通信制御装置に、前記正当性が検証された連携情報とともにアクセスし、前記利用者の個人情報を取得するアクセス工程と、
前記正当性が検証された連携情報に基づいて前記複数の端末間でWebセッションを連携するとともに前記アクセスの結果として、前記個人情報を用いたWebページを前記複数の端末に提供する連携工程とを含み、
前記通信制御装置は、
前記Webサーバからのアクセスが前記連携情報とともに行われたことを条件として、該アクセスを受け付けるアクセス制御工程と
を含むことを特徴とするアクセス制御方法。
Session linkage server
When communication is established between a plurality of users, an acquisition step of acquiring communication information for identifying the communication;
When the communication information is acquired, the link information for linking the Web session between a plurality of terminals used by a plurality of users indicated by the communication information is issued, and the validity of the link information is confirmed with the issued link information. An issue step of transmitting to a web server in a format that can be verified,
The web server is
Upon receiving the cooperation information, a verification step for verifying the validity of the cooperation information;
An access step of accessing the communication control device that controls communication between the terminal and the Web server together with the cooperation information whose validity is verified , and acquiring personal information of the user ;
Linking a Web session between the plurality of terminals based on the link information verified for validity, and providing a Web page using the personal information to the plurality of terminals as a result of the access. Including
The communication control device includes:
And an access control step of accepting the access on the condition that the access from the Web server is performed together with the cooperation information.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010228938A JP5465646B2 (en) | 2010-10-08 | 2010-10-08 | Access control system and access control method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010228938A JP5465646B2 (en) | 2010-10-08 | 2010-10-08 | Access control system and access control method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012083916A JP2012083916A (en) | 2012-04-26 |
JP5465646B2 true JP5465646B2 (en) | 2014-04-09 |
Family
ID=46242724
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010228938A Expired - Fee Related JP5465646B2 (en) | 2010-10-08 | 2010-10-08 | Access control system and access control method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5465646B2 (en) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008034252A2 (en) * | 2006-09-20 | 2008-03-27 | Mobivox Corp. | Method and system for triggering internet applications using messages |
JP4477612B2 (en) * | 2006-09-22 | 2010-06-09 | 日本電信電話株式会社 | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, COMMUNICATION CONTROL PROGRAM, AND COMPUTER-READABLE RECORDING MEDIUM |
JP2009122953A (en) * | 2007-11-14 | 2009-06-04 | Nippon Telegr & Teleph Corp <Ntt> | Attribute information disclosure system, attribute information disclosure method, and attribute information disclosure program |
JP4950095B2 (en) * | 2008-02-06 | 2012-06-13 | 日本電信電話株式会社 | Service providing system, service providing method, and service providing program |
-
2010
- 2010-10-08 JP JP2010228938A patent/JP5465646B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2012083916A (en) | 2012-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5790653B2 (en) | Service provision system | |
US9648006B2 (en) | System and method for communicating with a client application | |
US20070283142A1 (en) | Multimode authentication using VOIP | |
US20070274293A1 (en) | Archiving VoIP conversations | |
JP5239341B2 (en) | Gateway, relay method and program | |
JP5292712B2 (en) | Authentication linkage system, relay device, authentication linkage method, and authentication linkage program | |
JP2006295673A (en) | Call system, proxy dial server device, proxy dial method used therefor, and program thereof | |
JP2008028600A (en) | Gateway device, connection controller, and network connection system | |
WO2010044471A1 (en) | Service providing system and service providing method | |
JP5043953B2 (en) | Resource transmission method and information providing method | |
JP5260467B2 (en) | Access control system and access control method | |
JP2017063480A (en) | Authentication system keeping confidentiality of secret data | |
JP4768761B2 (en) | Service providing system, service providing method, and service providing program | |
JP4800332B2 (en) | Service providing system, service providing method, and service providing program | |
JP4950095B2 (en) | Service providing system, service providing method, and service providing program | |
CN101232371B (en) | Verification method of digital signature under stream media business level networking architecture | |
JP4950096B2 (en) | Service providing system, service providing method, and service providing program | |
JP5465646B2 (en) | Access control system and access control method | |
JP2006270431A (en) | Call controller, terminal, their programs, and communication channel establishment method | |
JP5215362B2 (en) | Web content sharing system and web content sharing method | |
JP5367477B2 (en) | Service providing system and service providing method | |
JP2006229265A (en) | Gateway system | |
JP5296602B2 (en) | Service providing system and service providing method | |
JP5632429B2 (en) | Service authentication method and system for building a closed communication environment in an open communication environment | |
JP5302665B2 (en) | Authentication server presentation method, service providing system, service providing apparatus, and service providing program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120620 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130731 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130806 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130926 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130930 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140121 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140122 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5465646 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |