JP5820239B2 - Secure access system, home gateway, and secure access method - Google Patents
Secure access system, home gateway, and secure access method Download PDFInfo
- Publication number
- JP5820239B2 JP5820239B2 JP2011240330A JP2011240330A JP5820239B2 JP 5820239 B2 JP5820239 B2 JP 5820239B2 JP 2011240330 A JP2011240330 A JP 2011240330A JP 2011240330 A JP2011240330 A JP 2011240330A JP 5820239 B2 JP5820239 B2 JP 5820239B2
- Authority
- JP
- Japan
- Prior art keywords
- home
- home device
- terminal
- access
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Description
本発明は、ホームネットワークに接続されたホーム機器に対して、外部のネットワークに接続された端末から安全かつ確実にリモートアクセスする技術に関する。 The present invention relates to a technology for securely and reliably remotely accessing a home device connected to a home network from a terminal connected to an external network.
インターネットの普及に伴い、エンドユーザの宅内に設置されたコンピュータ機器、AV(Audio Visual)系機器、白物家電などであるホーム機器をホームネットワークに接続し、ホームネットワーク内の各ホーム機器間相互で通信させることが多くなってきた。更に、インターネットとの通信を行うホームネットワークの進展に伴い、外部ネットワークに接続された宅外端末から、ホームゲートウェイを介して、ホームネットワーク内の各ホーム機器に安全かつ確実にリモートアクセスすることの重要性が高まっている。以下、明細書および図面に於いて、ホームゲートウェイを、HGW(Home GateWay)と略して記載している場合がある。 With the spread of the Internet, home devices such as computer devices, AV (Audio Visual) devices, white goods, etc. installed in the end user's home are connected to the home network, and each home device in the home network Increasing communication. Furthermore, with the advancement of home networks that communicate with the Internet, it is important to remotely and securely access each home device in the home network from a terminal outside the home connected to the external network via the home gateway. The nature is increasing. Hereinafter, in the specification and drawings, the home gateway may be abbreviated as HGW (Home GateWay).
外部ネットワークに接続された宅外端末から、ホームネットワーク内の機器に対してリモートアクセスする従来技術として、宅外端末からホームゲートウェイの特定のポート番号を指定してアクセスする技術がある。この技術に於いて、ホームゲートウェイは、当該ポート番号に対するファイアウォールをあらかじめ透過設定しておき、当該ポート番号に対応するプライベートIPアドレスを有するホーム機器に接続可能なようにしている。 As a conventional technique for remotely accessing a device in a home network from an external terminal connected to an external network, there is a technique for specifying and accessing a specific port number of the home gateway from the external terminal. In this technique, the home gateway sets a firewall for the port number in advance so that it can be connected to a home device having a private IP address corresponding to the port number.
この技術は、極めて簡易にリモートアクセスが可能である。しかし、第三者にホームゲートウェイのIPアドレスを知られると簡単に不正アクセスされてしまうという問題を有している。 This technology enables remote access very easily. However, there is a problem that unauthorized access is easily made when a third party knows the IP address of the home gateway.
他の従来技術として、ホームネットワークに接続された複数のホーム機器に予め組み込まれた機種別パスワードと、複数のホーム機器それぞれに付与される暫定パスワードとをネットワーク内の認証システムが予め記憶し、ホーム機器から送信された機種別パスワードと暫定パスワードが、上記認証システムが予め記憶した種別パスワードと暫定パスワードと一致した場合に通信を行う技術がある。 As another conventional technique, an authentication system in the network stores in advance a model-specific password pre-installed in a plurality of home devices connected to a home network and a provisional password assigned to each of the plurality of home devices. There is a technique for performing communication when a model-type password and a provisional password transmitted from a device match a type password and a provisional password stored in advance by the authentication system.
この技術は、機種別パスワードと暫定パスワードを組み合わせることにより、複数のホーム機器に対して機器単位でユニークな認証手段を提供することが可能となり、ホーム機器へのアクセスの安全性を向上させることができる。 This technology makes it possible to provide a unique authentication means for each home device for each home device by combining a model-specific password and a provisional password, and improve the safety of access to the home device. it can.
特許文献1には、情報機器単位のユニークな機器認証情報を容易に情報機器に提供することを可能にする発明が記載されている。特許文献1に記載の発明は、複数の家電機器それぞれに機種単位で予め組み込まれた機種別パスワードと、複数の暫定パスワードとを、対応する機器それぞれのIDに関連付けて記憶する。そして、ある家電機器から送信されてきた機種別パスワードおよび暫定パスワードが、記憶された複数の機種別パスワードおよび複数の暫定パスワードと一致するか否かをそれぞれ照合し、受信した機種別パスワードおよび暫定パスワードの何れも一致した場合に、送信元の家電機器を機器単位でユニークに認証できる機器認証情報を生成し、生成された機器認証情報を送信元の家電機器に送信する。 Patent Document 1 describes an invention that makes it possible to easily provide unique authentication information for each information device to the information device. The invention described in Patent Document 1 stores a model-specific password previously incorporated in each of a plurality of home appliances in units of models and a plurality of provisional passwords in association with IDs of corresponding devices. Then, it is verified whether the model-specific password and provisional password transmitted from a certain household electrical appliance match the stored plurality of model-specific passwords and the plurality of provisional passwords, respectively, and the received model-specific password and provisional password are received. If both match, device authentication information that can uniquely authenticate the home appliance of the transmission source for each device is generated, and the generated device authentication information is transmitted to the home appliance of the transmission source.
特許文献1に記載されている発明は、単一のパスワード認証よりも不正アクセスの虞は少ないと考えられる。しかし、機種別パスワードおよび暫定パスワードの両方が漏洩した場合には、やはり不正アクセスされてしまうという問題を有している。
そこで、本発明は、宅外端末からホーム機器への安全かつ確実なリモートアクセスを行うことを課題とする。
The invention described in Patent Document 1 is considered to be less susceptible to unauthorized access than single password authentication. However, if both the model-specific password and the provisional password are leaked, there is still a problem that the computer is illegally accessed.
Therefore, an object of the present invention is to perform safe and reliable remote access from an out-of-home terminal to a home device.
前記した課題を解決するため、請求項1に記載の発明では、呼処理を行う呼制御サーバを備えたIPネットワークに、ホーム機器を収容しているホームネットワークのホームゲートウェイおよび宅外端末が接続されたセキュアアクセスシステムであって、前記呼制御サーバは、各ホームネットワークに収容されたいずれかのホーム機器の電話番号と、当該ホーム機器への通信が許可された宅外端末の電話番号との対応を示すアクセス許可リストに基いて、当該宅外端末と当該ホーム機器との通信の許可/不許可および通信不許可の際には通信許可されたファイアウォールを前記ホームゲートウェイにより遮断することを判断し、この通信を許可したならば、当該ホーム機器の電話番号に基いて、当該ホーム機器へのアクセスとアクセス解除とを前記ホームゲートウェイに要求し、前記ホームゲートウェイは、前記呼制御サーバから前記ホーム機器へのアクセス要求を受けたならば、前記呼制御サーバから通知された当該ホーム機器の電話番号に基いて、当該ホーム機器のアドレスを解決し、前記呼制御サーバを介して当該ホーム機器から取得した当該ホーム機器に係る一時的な受信ポート情報を当該宅外端末に通知すると共に、当該受信ポート情報に対してファイアウォールを透過設定し、前記宅外端末から当該ホーム機器に係るポート番号によるIPパケットを受信したとき、ネットワークアドレストランスレーション動作により当該ホーム機器のローカルIPアドレスを宛先とするIPパケットに変換し、前記呼制御サーバから前記ホーム機器へのアクセス解除要求を受けたならば、前記ホーム機器の前記受信ポート情報に対してファイアウォールを遮断設定する、ことを特徴とするセキュアアクセスシステムとした。 In order to solve the above-described problem, in the invention according to claim 1, a home gateway and an out-of-home terminal of a home network accommodating a home device are connected to an IP network provided with a call control server that performs call processing. In the secure access system, the call control server corresponds to a telephone number of any home device accommodated in each home network and a telephone number of a remote terminal permitted to communicate with the home device. On the basis of the access permission list indicating that, when permitting / disallowing communication and disallowing communication between the external terminal and the home device, it is determined to block the firewall permitted to communicate by the home gateway , If this communication is permitted, access to the home device, access release, and access based on the phone number of the home device. The home gateway makes a request to the home gateway. When the home gateway receives an access request to the home device from the call control server, the home gateway determines the home gateway based on the telephone number of the home device notified from the call control server. Resolving the device address, notifying the outside terminal of temporary reception port information related to the home device acquired from the home device via the call control server, and a firewall for the reception port information . When the IP packet with the port number related to the home device is received from the outside terminal, the call control is performed by converting the local IP address of the home device to the IP packet by the network address translation operation when the IP packet is received. Do not receive a request to cancel access to the home device from the server If, blocking configure the firewall to the reception port information of the home appliance, and a secure access system, characterized in that.
このようにすることで、本発明によれば、当該ホームネットワークとの通信を許可された宅外端末のみが、ホーム機器への通信の許可を得ることができる。アクセス許可リストをホームゲートウェイに格納して安全性を高めることができる。または、アクセス許可リストを呼制御サーバに格納して、処理の効率化を図ることができる。更にリモートアクセス終了と共にファイアウォールを遮断設定するので、セキュリティを向上させて不正アクセスを防止することができ、宅外端末は、ホーム機器の電話番号に基いてアクセスすることができる。更に、ネットワークアドレストランスレーション動作によってホーム機器にアクセスするので、ホーム機器への不正アクセスを防ぐことができる。 In this way, according to the present invention, only an out-of-home terminal permitted to communicate with the home network can obtain permission to communicate with the home device. The access permission list can be stored in the home gateway to increase security. Alternatively, the access permission list can be stored in the call control server to improve processing efficiency. Further, since the firewall is set to be cut off when the remote access is completed, it is possible to improve security and prevent unauthorized access, and the outside terminal can access based on the telephone number of the home device. Furthermore, since the home device is accessed by the network address translation operation, unauthorized access to the home device can be prevented.
請求項2に記載の発明では、呼処理を行う呼制御サーバを備えたIPネットワークに、ホーム機器を収容しているホームネットワークのホームゲートウェイおよび宅外端末が接続されたセキュアアクセスシステムであって、前記呼制御サーバは、当該ホーム機器の電話番号に基いて、当該ホーム機器へのアクセスを前記ホームゲートウェイに要求し、前記ホームゲートウェイは、前記呼制御サーバから前記ホーム機器へのアクセス要求を受けたならば、各ホームネットワークに収容されたいずれかのホーム機器の電話番号と、当該ホーム機器への通信が許可された宅外端末の電話番号との対応を示すアクセス許可リストに基いて、当該宅外端末と当該ホーム機器との通信の許可/不許可および通信不許可の際には通信許可されたファイアウォールを前記ホームゲートウェイにより遮断することを判断し、当該ホーム機器との通信を許可したならば、当該ホーム機器の電話番号に基いて、当該ホーム機器のアドレスを解決し、前記呼制御サーバを介して当該ホーム機器から取得した当該ホーム機器に係る一時的な受信ポート情報を当該宅外端末に通知すると共に、当該受信ポート情報に対してファイアウォールを透過設定し、前記宅外端末から当該ホーム機器に係るポート番号によるIPパケットを受信したとき、ネットワークアドレストランスレーション動作により当該ホーム機器のローカルIPアドレスを宛先とするIPパケットに変換し、前記呼制御サーバから前記ホーム機器へのアクセス解除要求を受けたならば、前記アクセス許可リストに基いて、当該宅外端末と当該ホーム機器の対応を判定し、対応していたならば前記ホーム機器の前記受信ポート情報に対してファイアウォールを遮断設定する、ことを特徴とするセキュアアクセスシステムとした。 The invention according to claim 2 is a secure access system in which a home gateway of a home network accommodating a home device and an out-of-home terminal are connected to an IP network provided with a call control server for performing call processing, The call control server requests the home gateway to access the home device based on the telephone number of the home device, and the home gateway receives an access request to the home device from the call control server. Then, based on the access permission list indicating the correspondence between the telephone number of any home device accommodated in each home network and the telephone number of a remote terminal that is permitted to communicate with the home device, firewalls communicated permitted upon permission / denial and the communication disallow communication between the outer terminal and the home appliance Le is determined to be blocked by the home gateway, if you allow communication with the home appliance, on the basis of the telephone number of the home device, to resolve the address of the home device via the call control server a temporary reception port information relating to the home device acquired from the home device notifies to the out-of-house terminal Te, the firewall passes set for the reception port information, to the home device from the out-of-home terminal When an IP packet with the port number is received, it is converted into an IP packet whose destination is the local IP address of the home device by a network address translation operation, and an access release request to the home device is received from the call control server Then, based on the access permission list, the remote terminal and the home Determining the corresponding device, blocking configure the firewall to the reception port information of the home appliance if corresponded, and a secure access system, characterized in that.
このようにすることで、本発明によれば、当該ホームネットワークとの通信を許可された宅外端末のみが、ホーム機器への通信の許可を得ることができる。アクセス許可リストをホームゲートウェイに格納して安全性を高めることができる。または、アクセス許可リストを呼制御サーバに格納して、処理の効率化を図ることができる。更にリモートアクセス終了と共にファイアウォールを遮断設定するので、セキュリティを向上させて不正アクセスを防止することができ、宅外端末は、ホーム機器の電話番号に基いてアクセスすることができる。更に、ネットワークアドレストランスレーション動作によってホーム機器にアクセスするので、ホーム機器への不正アクセスを防ぐことができる。 In this way, according to the present invention, only an out-of-home terminal permitted to communicate with the home network can obtain permission to communicate with the home device. The access permission list can be stored in the home gateway to increase security. Alternatively, the access permission list can be stored in the call control server to improve processing efficiency. Further, since the firewall is set to be cut off when the remote access is completed, it is possible to improve security and prevent unauthorized access, and the outside terminal can access based on the telephone number of the home device. Furthermore, since the home device is accessed by the network address translation operation, unauthorized access to the home device can be prevented.
請求項3に記載の発明では、ホーム機器を収容しているホームネットワークのホームゲートウェイであって、当該ホームゲートウェイは、各ホームネットワークに収容されたいずれかのホーム機器の電話番号と、当該ホーム機器への通信が許可された宅外端末の電話番号との対応を示すアクセス許可リストに基いて、当該宅外端末からホーム機器への通信の許可/不許可および通信不許可の際には通信許可されたファイアウォールを前記ホームゲートウェイにより遮断することを判断し、当該ホームゲートウェイが通信を許可したならば、通知された当該ホーム機器の電話番号に基づき、当該ホーム機器のアドレスを解決し、当該ホーム機器への通信を許可された当該宅外端末に、当該ホーム機器から取得した当該ホーム機器に係る一時的な受信ポート情報を通知すると共に、当該受信ポート情報に対してファイアウォールを透過設定し、前記宅外端末から当該ホーム機器に係るポート番号によるIPパケットを受信したとき、ネットワークアドレストランスレーション動作により当該ホーム機器のローカルIPアドレスを宛先とするIPパケットに変換し、前記ホーム機器へのアクセス解除要求を受けたならば、前記ホーム機器の前記受信ポート情報に対してファイアウォールを遮断設定する、ことを特徴とするホームゲートウェイとした。 According to the third aspect of the present invention, there is provided a home gateway of a home network that accommodates a home device, and the home gateway includes a telephone number of any home device accommodated in each home network, and the home device. Based on the access permission list that indicates the correspondence with the telephone number of the outside terminal that is permitted to communicate with, the communication is permitted when communication from the outside terminal to the home device is permitted / not permitted and when communication is not permitted. has been the firewall determines that the blocking by the home gateway, if the home gateway permits the communication, based on the notified telephone number of the home device, to resolve the address of the home device, the home device communication to the out-of-house terminal that is authorized to to, temporary relating to the home device acquired from the home appliance Notifies the signal port information, the firewall passes set for the reception port information, when receiving an IP packet by the port number according to the home appliance from the home outside terminal, the home device by the network address translation operation The local IP address of the home device is converted into an IP packet, and when a request for releasing access to the home device is received, a firewall is set to be blocked for the reception port information of the home device. Home gateway.
このようにすることで、本発明によれば、当該ホームネットワークとの通信を許可された宅外端末のみが、ホーム機器への通信の許可を得ることができる。更にリモートアクセス終了と共にファイアウォールを遮断設定するので、セキュリティを向上させて不正アクセスを防止することができ、宅外端末は、ホーム機器の電話番号に基いてアクセスすることができる。更に、ネットワークアドレストランスレーション動作によってホーム機器にアクセスするので、ホーム機器への不正アクセスを防ぐことができる。 In this way, according to the present invention, only an out-of-home terminal permitted to communicate with the home network can obtain permission to communicate with the home device. Further, since the firewall is set to be cut off when the remote access is completed, it is possible to improve security and prevent unauthorized access, and the outside terminal can access based on the telephone number of the home device. Furthermore, since the home device is accessed by the network address translation operation, unauthorized access to the home device can be prevented.
請求項4に記載の発明では、呼制御を行う呼制御サーバを備えたIPネットワークに、ホーム機器を収容しているホームネットワークのホームゲートウェイおよび宅外端末が接続されたセキュアアクセスシステムのセキュアアクセス方法であって、前記宅外端末は、各ホームネットワークに収容されたいずれかのホーム機器の電話番号と、当該ホーム機器への通信が許可された宅外端末の電話番号との対応を示すアクセス許可リストによって通信を許可され、または通信許可されたファイアウォールを遮断され、前記ホームゲートウェイは、前記呼制御サーバから前記ホーム機器へのアクセス要求を受けたならば、各ホームネットワークに収容されたいずれかのホーム機器の電話番号と、当該ホーム機器への通信が許可された宅外端末の電話番号との対応を示すアクセス許可リストに基いて、当該宅外端末と当該ホーム機器との通信の許可/不許可および通信不許可の際には通信許可されたファイアウォールを前記ホームゲートウェイにより遮断することを判断し、当該ホームゲートウェイが通信を許可したならば、通知された当該ホーム機器の電話番号に基いて、当該ホーム機器のアドレスを解決し、当該ホーム機器への通信を許可された当該宅外端末に、当該ホーム機器から取得した当該ホーム機器に係る一時的な受信ポート情報を通知すると共に、当該受信ポート情報に対してファイアウォールを透過設定し、前記宅外端末から当該ホーム機器に係るポート番号によるIPパケットを受信したとき、ネットワークアドレストランスレーション動作により当該ホーム機器のローカルIPアドレスを宛先とするIPパケットに変換し、前記ホーム機器へのアクセス解除要求を受けたならば、前記ホーム機器の前記受信ポート情報に対してファイアウォールを遮断設定する、ことを特徴とするセキュアアクセス方法とした。
このようにすることで、本発明によれば、当該ホームネットワークとの通信を許可された宅外端末のみが、ホーム機器への通信の許可を得ることができる。アクセス許可リストをホームゲートウェイに格納して安全性を高めることができる。または、アクセス許可リストを呼制御サーバに格納して、処理の効率化を図ることができる。更にリモートアクセス終了と共にファイアウォールを遮断設定するので、セキュリティを向上させて不正アクセスを防止することができ、宅外端末は、ホーム機器の電話番号に基いてアクセスすることができる。更に、ネットワークアドレストランスレーション動作によってホーム機器にアクセスするので、ホーム機器への不正アクセスを防ぐことができる。
In the invention described in 請 Motomeko 4, the IP network with a call control server that performs call control, home network housing the home device home gateway and out-of-house terminal secure access connection and secure access system In the method, the out-of-home terminal is an access indicating a correspondence between a telephone number of any home device accommodated in each home network and a telephone number of an out-of-home terminal permitted to communicate with the home device. If the home gateway receives an access request to the home device from the call control server when communication is permitted by the permission list or a firewall that is permitted to communicate is blocked, the home gateway can either be accommodated in each home network. Phone number of the home device and the phone of the remote terminal that is allowed to communicate with the home device Based on the access permission list showing correspondence between items, that during the enable / disable and communication disallow communication with the out-of-house terminal and the home device blocks the firewall communicated permitted by the home gateway If the home gateway permits communication, the home device address is resolved based on the notified telephone number of the home device, and the outside of the home that is permitted to communicate with the home device. Notifying the terminal of the temporary reception port information related to the home device acquired from the home device, transparently setting a firewall for the reception port information , and the port number related to the home device from the outside terminal When an IP packet is received by the Converts Le IP address in the IP packet whose destination, if receiving an access release request to the home device, blocking configure the firewall to the reception port information of the home appliance, and wherein the secure Access method.
In this way, according to the present invention, only an out-of-home terminal permitted to communicate with the home network can obtain permission to communicate with the home device. The access permission list can be stored in the home gateway to increase security. Alternatively, the access permission list can be stored in the call control server to improve processing efficiency. Further, since the firewall is set to be cut off when the remote access is completed, it is possible to improve security and prevent unauthorized access, and the outside terminal can access based on the telephone number of the home device. Furthermore, since the home device is accessed by the network address translation operation, unauthorized access to the home device can be prevented.
本発明によれば、宅外端末からホーム機器への安全かつ確実なリモートアクセスを行うことができる。 ADVANTAGE OF THE INVENTION According to this invention, the safe and reliable remote access from a remote terminal to a home apparatus can be performed.
以降、本発明を実施するための形態を、各図を参照して詳細に説明する。 Hereinafter, embodiments for carrying out the present invention will be described in detail with reference to the drawings.
(第1の実施形態の構成)
図1は、第1の実施形態に於けるセキュアアクセスシステムを示す概略の構成図である。
セキュアアクセスシステム60は、IP(Internet Protocol)ネットワーク100と、宅外端末20と、ホームネットワーク10とを備えている。
(Configuration of the first embodiment)
FIG. 1 is a schematic configuration diagram showing a secure access system according to the first embodiment.
The
IPネットワーク100は、宅外端末20とホームネットワーク10との間でIPパケットを中継するものであり、エッジルータ50−1,50−2と、SIP(Session Initiation Protocol)サーバ30(呼制御サーバ)とを有している。
エッジルータ50−1,50−2は、IPパケットを転送するものである。エッジルータ50−1,50−2は、2台に限られず、1台以上であってもよい。以下、エッジルータ50−1,50−2を個々に識別しないときには、単にエッジルータ50と記載する。
SIPサーバ30は、呼制御を行ってサービスを制御するものであり、アクセス許可リスト31を格納している。アクセス許可リスト31は、後記する図2で詳細に説明する。
The
The edge routers 50-1 and 50-2 transfer IP packets. The edge routers 50-1 and 50-2 are not limited to two, and may be one or more. Hereinafter, when the edge routers 50-1 and 50-2 are not individually identified, they are simply referred to as the edge router 50.
The
ホームネットワーク10は、HGW11と、ホーム機器13−1〜13−3とを有している。以下、ホーム機器13−1〜13−3を個々に識別しない場合には、単にホーム機器13と記載する。HGW11は、IPネットワーク100と、ホーム機器13−1〜13−3とに接続されている。ホーム機器13−1〜13−3は、HGW11に接続されている。
HGW11は、例えば、ブロードバンドルータであり、IPネットワーク100側にグローバルIPアドレスが、ホームネットワーク10側にローカルIPアドレスが払い出される。HGW11は、ネットワークアドレストランスレーション動作であるNAT(Network Address Translation)またはNAPT(Network Address Port Translation)を行う図示しない処理部を有している。
ホーム機器13は、例えば、コンピュータ機器、AV系機器、白物家電、セキュリティ機器(監視カメラ)などであり、かつ、ネットワークに接続する機能を有するものである。本実施形態のホームネットワーク10は、3台のホーム機器13を備えている。しかし、ホーム機器13の台数は、3台に限らない。
The
The
The
宅外端末20は、例えば、固定電話、携帯電話、または、コンピュータ機器などである。宅外端末20は、エッジルータ50−2を介してIPネットワーク100に接続されている。ホームネットワーク10は、エッジルータ50−1を介してIPネットワーク100に接続されている。エッジルータ50−1,50−2は、IPネットワーク100が有しているSIPサーバ30に接続されている。なお、宅外端末20、ホームネットワーク10は、1個に限られず、複数であってもよい。
The out-of-
図2は、第1の実施形態に於けるアクセス許可リストを示す図である。
アクセス許可リスト31は、HGW11(図1)に収容されたホーム機器13−1〜13−3(図1)に対するアクセスを許可する宅外端末20(図1)を対応付けるものである。アクセス許可リスト31は、ホーム機器13(図1)の識別子である着電話番号欄と、宅外端末20(図1)の識別子である発電話番号欄とを有している。アクセス許可リスト31は、ホーム機器13(図1)と、当該ホーム機器13(図1)へのアクセスが許可されている宅外端末20(図1)とを対応付けている。
FIG. 2 is a diagram showing an access permission list in the first embodiment.
The
アクセス許可リスト31には、不図示の手段により、あらかじめ宅外端末20(図1)の発電話番号(AAA−AAA−AAAA)と、HGW11(図1)に収容されるホーム機器13−1(図1)の着電話番号(XXX−XXX−XXXX)と、ホーム機器13−2(図1)の着電話番号(YYY−YYY−YYYY)と、ホーム機器13−3(図1)の着電話番号(ZZZ−ZZZ−ZZZZ)とが登録されている。
宅外端末20とホーム機器13との通信の許可/不許可は、このアクセス許可リスト31に基いて判断される。
(第1の実施形態の動作)
In the
The permission / denial of communication between the
(Operation of the first embodiment)
図3は、第1の実施形態に於けるセキュアアクセスシステムの動作を示すシーケンス図である。宅外端末20、エッジルータ50−2、SIPサーバ30、エッジルータ50−1、HGW11、ホーム機器13−n(n=1〜3)間のシーケンスを示している。
FIG. 3 is a sequence diagram showing the operation of the secure access system in the first embodiment. The sequence among the
《リモートアクセス開始処理》
処理を開始すると、シーケンスQ10に於いて、宅外端末20は、ホームネットワーク10(図1)内のホーム機器13−nへのアクセスをSIPサーバ30に要求する。
シーケンスQ11に於いて、SIPサーバ30は、宅外端末20の回線認証を行う。
<< Remote access start processing >>
When the process is started, in sequence Q10, the out-of-
In sequence Q11, the
シーケンスQ12に於いて、SIPサーバ30は、アクセス許可リスト31(図2)を参照して、宅外端末20の発電話番号が、HGW11に収容されている当該ホーム機器13−nの着電話番号と対応しているか否かを判定する(アクセス許可判定)。
In the sequence Q12, the
当該判定条件が成立したならば、SIPサーバ30は、当該ホーム機器13−nへのアクセスを許可する。当該判定条件が成立しなかったならば、SIPサーバ30は、当該ホーム機器13−nへのアクセスを不許可として、当該ホーム機器13−nに対して不正なアクセスがあった旨を、例えば当該ホーム機器13−nに通知して表示させる。以降のシーケンスは、当該判定条件が成立した場合を示している。
シーケンスQ13に於いて、SIPサーバ30は、当該ホーム機器13−nへのアクセスをHGW11に要求する。
If the determination condition is satisfied, the
In sequence Q13, the
シーケンスQ14に於いて、HGW11は、全てのホーム機器13−1〜13−3に対してブロードキャストを行い、通知された当該ホーム機器13−nの電話番号に基き、ホーム機器13−nのアドレスを解決する。
In sequence Q14, the
シーケンスQ15に於いて、HGW11は、通知された当該ホーム機器13−nのプライベートIPアドレスに対応する受信ポート番号を取得し、HGW11のIPネットワーク100(図1)側のグローバルIPアドレスと受信ポート番号との対応付けを行う。
シーケンスQ16に於いて、HGW11は、当該受信ポート番号に対するファイアウォール(FW)を透過設定とする。なお、ファイアウォールのことを「FW」と記載している場合がある。
In sequence Q15, the
In sequence Q16, the
シーケンスQ17に於いて、HGW11は、IPネットワーク100側のグローバルIPアドレスと受信ポート番号、および、シーケンスQ15で取得した当該ホーム機器13−nの受信ポート番号を、SIPサーバ30に通知する。
In sequence Q17, the
シーケンスQ18に於いて、SIPサーバ30は、HGW11から通知されたHGW11のIPネットワーク100側のグローバルIPアドレスと受信ポート番号、および、通信された当該ホーム機器13−nの受信ポート番号を宅外端末20に対して通知し、当該ホーム機器13−nへのアクセスを許可する。
In sequence Q18, the
《リモートアクセス処理》
シーケンスQ30に於いて、宅外端末20は、HGW11のIPネットワーク100側のグローバルIPアドレスと受信ポート番号を指定してIPパケットを送信する。HGW11は、ネットワークアドレストランスレーション動作であるNATまたはNAPTによって、当該IPパケットの宛先を当該ホーム機器13−nのプライベートIPアドレスと受信ポート番号との組合せに変換して中継し、宅外端末20にホーム機器13−nへのリモートアクセスを行わせる。
<Remote access processing>
In sequence Q30, the out-of-
《リモートアクセス終了処理》
シーケンスQ40〜Q46は、当該ホーム機器13−nへのリモートアクセス終了処理である。
処理を開始すると、シーケンスQ40に於いて、宅外端末20は、当該ホーム機器13−nへのリモートアクセス終了後、SIPサーバ30に対して、アクセス解除を要求する。
シーケンスQ41に於いて、SIPサーバ30は、回線の認証を行う。
<< Remote access termination process >>
Sequences Q40 to Q46 are processes for terminating remote access to the home device 13-n.
When the process is started, the remote terminal 20 requests the
In sequence Q41, the
シーケンスQ42に於いて、SIPサーバ30は、アクセス許可リスト31を参照して宅外端末20の発電話番号が、HGW11に収容されている当該ホーム機器13−nの着電話番号と対応しているか否かを判定する。
シーケンスQ43に於いて、SIPサーバ30は、当該ホーム機器13−nへのアクセス解除をHGW11に要求する。
In sequence Q42, the
In sequence Q43, the
シーケンスQ44に於いて、HGW11は、当該ホーム機器13−nのプライベートIPアドレスに対応する受信ポート番号に対して透過設定となっているファイアウォールを遮断設定とする。
シーケンスQ45に於いて、HGW11は、当該ホーム機器13−nへのアクセス解除完了を、SIPサーバ30に通知する。
シーケンスQ46に於いて、SIPサーバ30は、当該ホーム機器13−nへのアクセス解除完了を、宅外端末20に通知する。
In sequence Q44, the
In sequence Q45, the
In sequence Q46, the
(第1の実施形態の効果)
以上説明した第1の実施形態では、次の(A)〜(C)のような効果がある。
(Effects of the first embodiment)
The first embodiment described above has the following effects (A) to (C).
(A) ホームネットワーク10との通信を許可された宅外端末20の電話番号と、HGW11に収容されるホーム機器13の電話番号との対応リストを、あらかじめネットワーク内に登録している。これにより、予め登録された宅外端末20のみがホームネットワーク10に通信できるので、安全かつ確実なリモートアクセスを行うことができる。
(B) 宅外端末20がリモートアクセスに用いるIPアドレスとポート番号の組み合わせは、一時的なものである。これにより、リモートアクセスに用いるIPアドレスとポート番号の組み合わせが漏洩しても、繰り返し不正アクセスすることができないので、安全かつ確実なリモートアクセスを行うことができる。
(C) 宅外端末20のリモートアクセスの終了の際には、当該ポート番号に対するHGW11のファイアウォールを遮断設定する。これにより、リモートアクセスに用いるIPアドレスとポート番号の組み合わせが漏洩しても、当該リモートアクセスの終了と共に不正アクセスができなくなるので、宅外端末20からホーム機器13への安全かつ確実なリモートアクセスが可能となる。
(A) A correspondence list between the telephone number of the
(B) The combination of the IP address and port number used by the
(C) When remote access of the
(第2の実施形態の構成)
図4は、第2の実施形態に於けるセキュアアクセスシステムを示す概略の構成図である。
第2の実施形態のセキュアアクセスシステム60Aは、第1の実施形態のSIPサーバ30(図1)とは異なるSIPサーバ30Aを有し、第1の実施形態のホームネットワーク10(図1)とは異なるホームネットワーク10Aを有している他は、第1の実施形態のセキュアアクセスシステム60(図1)と同様に構成されている。
(Configuration of Second Embodiment)
FIG. 4 is a schematic configuration diagram showing a secure access system according to the second embodiment.
The
第2の実施形態のホームネットワーク10Aは、第1の実施形態のHGW11とは異なるHGW11Aを有している他は、第1の実施形態のホームネットワーク10(図1)と同様に構成されている。
The
第2の実施形態のSIPサーバ30Aは、第1の実施形態のアクセス許可リスト31(図2)を有していない他は、第1の実施形態のSIPサーバ30(図1)と同様に構成されている。
第2の実施形態のHGW11Aは、第1の実施形態のHGW11(図1)と同様の構成に加えて更に、アクセス許可リスト12を有している。
第2の実施形態のアクセス許可リスト12は、第1の実施形態のアクセス許可リスト31(図2)と同様の構成を有している。
The
The
The
(第2の実施形態の動作)
図5は、第2の実施形態に於けるセキュアアクセスシステムの動作を示すシーケンス図である。
(Operation of Second Embodiment)
FIG. 5 is a sequence diagram showing the operation of the secure access system in the second embodiment.
《リモートアクセス開始処理》
処理を開始したのち、シーケンスQ10〜Q11の処理は、第1の実施形態のシーケンスQ10〜Q11(図3)の処理と同様である。シーケンスQ10〜Q11の処理が終了すると、SIPサーバ30Aは、第1の実施形態のシーケンスQ13(図3)と同様の処理を行う。
<< Remote access start processing >>
After starting the processing, the processing of sequences Q10 to Q11 is the same as the processing of sequences Q10 to Q11 (FIG. 3) of the first embodiment. When the processes of the sequences Q10 to Q11 are completed, the
シーケンスQ13Aに於いて、HGW11Aは、アクセス許可リスト12を参照して宅外端末20の発電話番号がHGW11Aに収容されるホーム機器13−nの着電話番号と対応しているか否かを判定する。
In sequence Q13A, the
当該判定条件が成立すると、HGW11Aは、当該ホーム機器13−nへのアクセスを許可する。当該判定条件が成立しなかったならば、HGW11Aは、当該ホーム機器13−nへのアクセスを不許可として、当該ホーム機器13−nに対して不正なアクセスがあった旨を、例えば当該ホーム機器13−nに通知して表示させる。以降のシーケンスは、当該判定条件が成立した場合を示している。
When the determination condition is satisfied, the
第2の実施形態に於いて、アクセス許可リスト12(図4)は、各ホームネットワーク10A(図4)のHGW11Aがそれぞれ格納している。これにより、アクセス許可リスト12(図4)を容易に実現すると共に、アクセス許可リスト12(図4)をSIPサーバ30Aに格納しないことにより、情報漏洩を抑止することができる。
シーケンスQ14〜Q18の処理は、第1の実施形態のシーケンスQ14〜Q18(図3)の処理と同様である。
In the second embodiment, the access permission list 12 (FIG. 4) is stored in the
The processing of sequences Q14 to Q18 is the same as the processing of sequences Q14 to Q18 (FIG. 3) of the first embodiment.
《リモートアクセス実行》
シーケンスQ30の処理は、第1の実施形態のシーケンスQ30(図3)の処理と同様である。
《Remote access execution》
The process of sequence Q30 is the same as the process of sequence Q30 (FIG. 3) of the first embodiment.
《リモートアクセス終了》
処理を開始したのち、シーケンスQ40,Q41,Q43の処理は、第1の実施形態のシーケンスQ40,Q41,Q43(図3)の処理と同様である。
シーケンスQ43Aに於いて、HGW11Aは、シーケンスQ13Aと同様に、アクセス許可リスト12(図4)を参照して、宅外端末20の発電話番号がHGW11Aに収容されるホーム機器13−nの着電話番号と対応しているか否かを判定する。
シーケンスQ44〜Q46の処理は、第1の実施形態のシーケンスQ44〜Q46(図3)の処理と同様である。
<End remote access>
After starting the processing, the processing of sequences Q40, Q41, and Q43 is the same as the processing of sequences Q40, Q41, and Q43 (FIG. 3) of the first embodiment.
In the sequence Q43A, the
The processes of sequences Q44 to Q46 are the same as the processes of sequences Q44 to Q46 (FIG. 3) of the first embodiment.
(第2の実施形態の効果)
以上説明した第2の実施形態では、次の(D)のような効果がある。
(Effect of 2nd Embodiment)
The second embodiment described above has the following effect (D).
(D) 第2の実施形態に於いて、アクセス許可リスト12は、各ホームネットワーク10AのHGW11Aがそれぞれ格納している。これにより、SIPサーバ30Aに格納していないので、アクセス許可リスト12の情報漏洩を抑止し、アクセス許可リスト12によるアクセス制御を容易に実現することができる。
(D) In the second embodiment, the
(第3の実施形態の構成)
第3の実施形態のセキュアアクセスシステム60は、第1の実施形態のセキュアアクセスシステム60(図1)と同様に構成されている。更に、ホーム機器13−1〜13−3は、それぞれグローバルIPアドレスが払い出されている。
(Configuration of Third Embodiment)
The
(第3の実施形態の動作)
図6は、第3の実施形態に於けるセキュアアクセスシステムの動作を示すシーケンス図である。
(Operation of Third Embodiment)
FIG. 6 is a sequence diagram showing an operation of the secure access system according to the third embodiment.
《リモートアクセス開始処理》
処理を開始したのち、シーケンスQ10〜Q13の処理は、第1の実施形態のシーケンスQ10〜Q13(図3)の処理と同様である。
シーケンスQ16Bに於いて、HGW11は、通知された当該ホーム機器13−nのグローバルIPアドレスに対するファイアウォールを、透過設定とする。
シーケンスQ17Bに於いて、HGW11は、通知された当該ホーム機器13−nのグローバルIPアドレスを、SIPサーバ30に通知する。
<< Remote access start processing >>
After starting the processing, the processing of sequences Q10 to Q13 is the same as the processing of sequences Q10 to Q13 (FIG. 3) of the first embodiment.
In sequence Q16B, the
In sequence Q17B, the
シーケンスQ18Bに於いて、SIPサーバ30は、通知された当該ホーム機器13−nのグローバルIPアドレスを、宅外端末20に通知し、アクセス許可する。
In sequence Q18B, the
《リモートアクセス処理》
シーケンスQ30Bに於いて、宅外端末20は、通知された当該ホーム機器13−nのグローバルIPアドレスを指定してIPパケットを送信する。ホーム機器13−nは、宅外端末20のグローバルIPアドレスを指定してIPパケットを送信する。
<Remote access processing>
In sequence Q30B, the out-of-
《リモートアクセス終了処理》
処理を開始すると、シーケンスQ40〜Q43の処理は、第1の実施形態のシーケンスQ40〜Q43(図3)の処理と同様である。
シーケンスQ44Bに於いて、HGW11は、当該ホーム機器13−nのグローバルIPアドレスに対し、透過設定となっているファイアウォールを遮断設定とする。
シーケンスQ45〜Q46の処理は、第1の実施形態のシーケンスQ44〜Q46(図3)の処理と同様である。
<< Remote access termination process >>
When the process is started, the processes of sequences Q40 to Q43 are the same as the processes of sequences Q40 to Q43 (FIG. 3) of the first embodiment.
In sequence Q44B, the
The processes of sequences Q45 to Q46 are the same as the processes of sequences Q44 to Q46 (FIG. 3) of the first embodiment.
(第3の実施形態の効果)
以上説明した第3の実施形態では、次の(E),(F)のような効果がある。
(Effect of the third embodiment)
The third embodiment described above has the following effects (E) and (F).
(E) HGW11は、ホーム機器13−nのグローバルIPアドレスを宅外端末20に通知することにより、宅外端末20にリモートアクセスを行わせている。これにより、リモートアクセスの際のHGW11のネットワークアドレストランスレーション動作(NATまたはNAPT)が不要となるので、宅外端末20とホーム機器13との間で、高速にIPパケットを送受信することができる。
(E) The
(F) リモートアクセスの際、HGW11は、静的IPマスカレードテーブルなどの変換テーブルが使用されない。すなわち、HGW11の変換テーブルが枯渇することがないので、宅外端末20とホーム機器13との間で、安定したリモートアクセスが行える。
(F) During remote access, the
(変形例)
本発明は、上記実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲で、変更実施が可能である。この利用形態や変形例としては、例えば、次の(a)〜(d)のようなものがある。
(Modification)
The present invention is not limited to the above embodiment, and can be modified without departing from the spirit of the present invention. For example, the following forms (a) to (d) are used as the usage form and the modified examples.
(a) 第1の実施形態のHGW11は、ホーム機器13のプライベートIPアドレスに対応する受信ポート番号を取得するため、シーケンスQ14でアドレス解決したのちに、シーケンスQ15で、ホーム機器13からポート番号の通知を受けている。しかし、これに限られず、HGW11は、予め登録された宅外端末20の発電話番号と対応するホーム機器13−1のプライベートIPアドレスを保持しておき、HGW11のIPネットワーク100側のグローバルIPアドレスと受信ポート番号との対応付けを行い、IPネットワーク100側のグローバルIPアドレスと受信ポート番号をSIPサーバ30に通知し、SIPサーバ30からのホーム機器13−1の受信ポート番号を問い合わせに応じて、予め登録された複数の受信ポート番号の中から、ホーム機器13−1に対して動的に割り当てた受信ポート番号をSIPサーバ30に通知してもよい。
(A) The
(b) 第1の実施形態のHGW11は、リモートアクセスが終了すると、当該ホーム端末に係るポート番号に対するファイアウォールを遮断設定している。しかし、これに限られず、リモートアクセスが所定の期間に亘って行われなかったならば(タイムアウト)、当該ホーム端末に係るポート番号に対するファイアウォールを遮断設定してもよい。
(B) When the remote access ends, the
(c) 第3の実施形態のHGW11は、リモートアクセスが終了すると、当該ホーム端末に係るグローバルIPアドレスに対するファイアウォールを遮断設定している。しかし、これに限られず、リモートアクセスが所定の期間に亘って行われなかったならば(タイムアウト)、当該ホーム端末に係るグローバルIPアドレスに対するファイアウォールを遮断設定してもよい。
(C) When the remote access ends, the
(d) 第1、第3の実施形態のアクセス許可リスト31と、第2の実施形態のアクセス許可リスト12とは、宅外端末20(図1)の識別子である発電話番号欄と、ホーム機器13(図1)の識別子である着電話番号欄と、を有している。しかし、これに限られず、宅外端末20(図1)の識別子である発電話番号欄と、HGW11(図1)の着電話番号との対応が記録されていてもよい。これにより、宅外端末20は、各ホームネットワークに収容されたいずれかの機器の電話番号と、通信が許可された宅外端末との電話番号との対応を示すアクセス許可リストに基いて、当該ホーム機器との通信の許可/不許可が判断される。
(D) The
10,10A ホームネットワーク
11,11A HGW(ホームゲートウェイ)
12 アクセス許可リスト
13 ホーム機器
20 宅外端末
30,30A SIPサーバ(呼制御サーバ)
31 アクセス許可リスト
50 エッジルータ
60,60A セキュアアクセスシステム
100 IPネットワーク
10,
12
31 access permission list 50
Claims (4)
前記呼制御サーバは、各ホームネットワークに収容されたいずれかのホーム機器の電話番号と、当該ホーム機器への通信が許可された宅外端末の電話番号との対応を示すアクセス許可リストに基いて、当該宅外端末と当該ホーム機器との通信の許可/不許可および通信不許可の際には通信許可されたファイアウォールを前記ホームゲートウェイにより遮断することを判断し、この通信を許可したならば、当該ホーム機器の電話番号に基いて、当該ホーム機器へのアクセスとアクセス解除とを前記ホームゲートウェイに要求し、
前記ホームゲートウェイは、前記呼制御サーバから前記ホーム機器へのアクセス要求を受けたならば、前記呼制御サーバから通知された当該ホーム機器の電話番号に基いて、当該ホーム機器のアドレスを解決し、前記呼制御サーバを介して当該ホーム機器から取得した当該ホーム機器に係る一時的な受信ポート情報を当該宅外端末に通知すると共に、当該受信ポート情報に対してファイアウォールを透過設定し、
前記宅外端末から当該ホーム機器に係るポート番号によるIPパケットを受信したとき、ネットワークアドレストランスレーション動作により当該ホーム機器のローカルIPアドレスを宛先とするIPパケットに変換し、
前記呼制御サーバから前記ホーム機器へのアクセス解除要求を受けたならば、前記ホーム機器の前記受信ポート情報に対してファイアウォールを遮断設定する、
ことを特徴とするセキュアアクセスシステム。 A secure access system in which a home gateway and an out-of-home terminal of a home network accommodating a home device are connected to an IP network including a call control server that performs call processing,
The call control server is based on an access permission list indicating correspondence between a telephone number of any home device accommodated in each home network and a telephone number of a remote terminal permitted to communicate with the home device. If it is determined that the firewall permitted communication is blocked by the home gateway when communication is permitted / denied and communication is not permitted between the external terminal and the home device, and if this communication is permitted, Based on the telephone number of the home device, the home gateway is requested to access and release the home device,
The home gateway, when receiving an access request to the home device from the call control server, resolves the address of the home device based on the telephone number of the home device notified from the call control server, Notifying the out-of-home terminal of temporary reception port information related to the home device acquired from the home device via the call control server, and transparently setting a firewall for the reception port information ,
When receiving an IP packet with a port number related to the home device from the out-of-home terminal, it is converted into an IP packet destined for the local IP address of the home device by a network address translation operation,
If an access release request to the home device is received from the call control server, a firewall is set to be blocked for the reception port information of the home device.
A secure access system characterized by that.
前記呼制御サーバは、当該ホーム機器の電話番号に基いて、当該ホーム機器へのアクセスを前記ホームゲートウェイに要求し、
前記ホームゲートウェイは、前記呼制御サーバから前記ホーム機器へのアクセス要求を受けたならば、各ホームネットワークに収容されたいずれかのホーム機器の電話番号と、当該ホーム機器への通信が許可された宅外端末の電話番号との対応を示すアクセス許可リストに基いて、当該宅外端末と当該ホーム機器との通信の許可/不許可および通信不許可の際には通信許可されたファイアウォールを前記ホームゲートウェイにより遮断することを判断し、当該ホーム機器との通信を許可したならば、当該ホーム機器の電話番号に基いて、当該ホーム機器のアドレスを解決し、前記呼制御サーバを介して当該ホーム機器から取得した当該ホーム機器に係る一時的な受信ポート情報を当該宅外端末に通知すると共に、当該受信ポート情報に対してファイアウォールを透過設定し、
前記宅外端末から当該ホーム機器に係るポート番号によるIPパケットを受信したとき、ネットワークアドレストランスレーション動作により当該ホーム機器のローカルIPアドレスを宛先とするIPパケットに変換し、
前記呼制御サーバから前記ホーム機器へのアクセス解除要求を受けたならば、前記アクセス許可リストに基いて、当該宅外端末と当該ホーム機器の対応を判定し、対応していたならば前記ホーム機器の前記受信ポート情報に対してファイアウォールを遮断設定する、
ことを特徴とするセキュアアクセスシステム。 A secure access system in which a home gateway and an out-of-home terminal of a home network accommodating a home device are connected to an IP network including a call control server that performs call processing,
The call control server requests the home gateway to access the home device based on the telephone number of the home device,
When the home gateway receives an access request to the home device from the call control server, the home gateway is allowed to communicate with the home device's telephone number and the home device. out-of-house based on the access permission list showing correspondence between the telephone number of the terminal, the out-of-house terminal and the home appliances and the communication enable / disable and communication disallowed the home firewall communicated permitted upon If it is determined to be blocked by the gateway and communication with the home device is permitted, the address of the home device is resolved based on the telephone number of the home device, and the home device is connected via the call control server. a temporary reception port information related to the home device notifies to the out-of-house terminal acquired from, with respect to the reception port information Passes set the Aiaworu,
When receiving an IP packet with a port number related to the home device from the out-of-home terminal, it is converted into an IP packet destined for the local IP address of the home device by a network address translation operation,
If a request for canceling access to the home device is received from the call control server, the correspondence between the outside terminal and the home device is determined based on the access permission list. A firewall is set to be blocked for the reception port information of
A secure access system characterized by that.
当該ホームゲートウェイは、各ホームネットワークに収容されたいずれかのホーム機器の電話番号と、当該ホーム機器への通信が許可された宅外端末の電話番号との対応を示すアクセス許可リストに基いて、当該宅外端末からホーム機器への通信の許可/不許可および通信不許可の際には通信許可されたファイアウォールを前記ホームゲートウェイにより遮断することを判断し、
当該ホームゲートウェイが通信を許可したならば、通知された当該ホーム機器の電話番号に基づき、当該ホーム機器のアドレスを解決し、
当該ホーム機器への通信を許可された当該宅外端末に、当該ホーム機器から取得した当該ホーム機器に係る一時的な受信ポート情報を通知すると共に、当該受信ポート情報に対してファイアウォールを透過設定し、
前記宅外端末から当該ホーム機器に係るポート番号によるIPパケットを受信したとき、ネットワークアドレストランスレーション動作により当該ホーム機器のローカルIPアドレスを宛先とするIPパケットに変換し、
前記ホーム機器へのアクセス解除要求を受けたならば、前記ホーム機器の前記受信ポート情報に対してファイアウォールを遮断設定する、
ことを特徴とするホームゲートウェイ。 A home network home gateway that houses home devices,
The home gateway is based on an access permission list indicating the correspondence between the telephone number of any home device accommodated in each home network and the telephone number of an external terminal that is permitted to communicate with the home device. In the case of permitting / disapproving communication and disapproving communication from the outside terminal to the home device, it is determined to block the firewall that is permitted to communicate by the home gateway ,
If the home gateway permits communication, resolve the address of the home device based on the notified telephone number of the home device,
Notifying the out-of-home terminal that is permitted to communicate with the home device of the temporary reception port information related to the home device acquired from the home device, and transparently setting a firewall for the reception port information . ,
When receiving an IP packet with a port number related to the home device from the out-of-home terminal, it is converted into an IP packet destined for the local IP address of the home device by a network address translation operation,
If a request for releasing access to the home device is received, a firewall is set to be blocked for the reception port information of the home device.
A home gateway characterized by that.
前記宅外端末は、各ホームネットワークに収容されたいずれかのホーム機器の電話番号と、当該ホーム機器への通信が許可された宅外端末の電話番号との対応を示すアクセス許可リストによって通信を許可され、または通信許可されたファイアウォールを遮断され、
前記ホームゲートウェイは、前記呼制御サーバから前記ホーム機器へのアクセス要求を受けたならば、各ホームネットワークに収容されたいずれかのホーム機器の電話番号と、当該ホーム機器への通信が許可された宅外端末の電話番号との対応を示すアクセス許可リストに基いて、当該宅外端末と当該ホーム機器との通信の許可/不許可および通信不許可の際には通信許可されたファイアウォールを前記ホームゲートウェイにより遮断することを判断し、
当該ホームゲートウェイが通信を許可したならば、通知された当該ホーム機器の電話番号に基いて、当該ホーム機器のアドレスを解決し、
当該ホーム機器への通信を許可された当該宅外端末に、当該ホーム機器から取得した当該ホーム機器に係る一時的な受信ポート情報を通知すると共に、当該受信ポート情報に対してファイアウォールを透過設定し、
前記宅外端末から当該ホーム機器に係るポート番号によるIPパケットを受信したとき、ネットワークアドレストランスレーション動作により当該ホーム機器のローカルIPアドレスを宛先とするIPパケットに変換し、
前記ホーム機器へのアクセス解除要求を受けたならば、前記ホーム機器の前記受信ポート情報に対してファイアウォールを遮断設定する、
ことを特徴とするセキュアアクセス方法。 A secure access method for a secure access system in which a home gateway of a home network accommodating a home device and an out-of-home terminal are connected to an IP network including a call control server that performs call control,
The out-of-home terminal communicates with an access permission list indicating correspondence between the telephone number of any home device accommodated in each home network and the number of the out-of-home terminal permitted to communicate with the home device. Blocked firewalls that are allowed or allowed to communicate,
When the home gateway receives an access request to the home device from the call control server, the home gateway is allowed to communicate with the home device's telephone number and the home device. out-of-house based on the access permission list showing correspondence between the telephone number of the terminal, the out-of-house terminal and the home appliances and the communication enable / disable and communication disallowed the home firewall communicated permitted upon determines that the blocking by the gateway,
If the home gateway permits communication, resolve the address of the home device based on the notified telephone number of the home device,
Notifying the out-of-home terminal that is permitted to communicate with the home device of the temporary reception port information related to the home device acquired from the home device, and transparently setting a firewall for the reception port information . ,
When receiving an IP packet with a port number related to the home device from the out-of-home terminal, it is converted into an IP packet destined for the local IP address of the home device by a network address translation operation,
If a request for releasing access to the home device is received, a firewall is set to be blocked for the reception port information of the home device.
The secure access method characterized by the above-mentioned.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011240330A JP5820239B2 (en) | 2011-11-01 | 2011-11-01 | Secure access system, home gateway, and secure access method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011240330A JP5820239B2 (en) | 2011-11-01 | 2011-11-01 | Secure access system, home gateway, and secure access method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013098778A JP2013098778A (en) | 2013-05-20 |
JP5820239B2 true JP5820239B2 (en) | 2015-11-24 |
Family
ID=48620285
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011240330A Expired - Fee Related JP5820239B2 (en) | 2011-11-01 | 2011-11-01 | Secure access system, home gateway, and secure access method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5820239B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20190004634A (en) * | 2017-07-04 | 2019-01-14 | 주식회사 케이티 | Method for restricting call and apparatus therefor |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6073120B2 (en) * | 2012-11-30 | 2017-02-01 | 株式会社日本デジタル研究所 | Connection authentication system and connection authentication method |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002152279A (en) * | 2000-11-10 | 2002-05-24 | Sony Corp | Network access controller and its method |
JP3973019B2 (en) * | 2002-03-29 | 2007-09-05 | テンパール工業株式会社 | Remote operation control method for image pickup means |
JP2005117545A (en) * | 2003-10-10 | 2005-04-28 | Nippon Telegr & Teleph Corp <Ntt> | System, method, and program for telephone switching |
JP2006050114A (en) * | 2004-08-03 | 2006-02-16 | Oki Electric Ind Co Ltd | Access control method to in-home network |
JP4663383B2 (en) * | 2005-04-13 | 2011-04-06 | 株式会社日立製作所 | Home gateway device, control method for home gateway device, and control method for communication system |
JP2007060419A (en) * | 2005-08-25 | 2007-03-08 | Nippon Telegr & Teleph Corp <Ntt> | System, method and program for controlling communication |
JP4750761B2 (en) * | 2007-07-23 | 2011-08-17 | 日本電信電話株式会社 | Connection control system, connection control method, connection control program, and relay device |
JP2009271651A (en) * | 2008-05-02 | 2009-11-19 | Fujitsu Ltd | Sip session control system to home local terminal such as household electric apparatus |
JP2011182070A (en) * | 2010-02-26 | 2011-09-15 | Nippon Telegr & Teleph Corp <Ntt> | System and method for virtual communication route connection |
-
2011
- 2011-11-01 JP JP2011240330A patent/JP5820239B2/en not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20190004634A (en) * | 2017-07-04 | 2019-01-14 | 주식회사 케이티 | Method for restricting call and apparatus therefor |
KR102400135B1 (en) * | 2017-07-04 | 2022-05-19 | 주식회사 케이티 | Method for restricting call and apparatus therefor |
Also Published As
Publication number | Publication date |
---|---|
JP2013098778A (en) | 2013-05-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10541976B2 (en) | Secure communications with internet-enabled devices | |
US10581839B2 (en) | Secure communications with internet-enabled devices | |
KR101507632B1 (en) | Method and apparatus for remote access to a local network | |
JP4750761B2 (en) | Connection control system, connection control method, connection control program, and relay device | |
JP4960285B2 (en) | IP telephone terminal, server device, authentication device, communication system, communication method, and program | |
KR100738567B1 (en) | System and method for dynamic network security | |
US11431707B2 (en) | Method, device and server for the secure distribution of a configuration to a terminal | |
JP2022538736A (en) | A method, system, and computer-readable medium for establishing a communication session between a public switched telephone network (PSTN) endpoint and a web real-time communication (WEBRTC) endpoint | |
US20140007220A1 (en) | Use of telephony features and phones to enable and disable secure remote access | |
JP5820239B2 (en) | Secure access system, home gateway, and secure access method | |
JP4472566B2 (en) | Communication system and call control method | |
JP2010187314A (en) | Network relay apparatus with authentication function, and terminal authentication method employing the same | |
JP4667473B2 (en) | Data relay apparatus, data relay method, and data relay program | |
JP4775154B2 (en) | COMMUNICATION SYSTEM, TERMINAL DEVICE, PROGRAM, AND COMMUNICATION METHOD | |
JP5731949B2 (en) | Secure access system and secure access method | |
JP2009258965A (en) | Authentication system, authentication apparatus, communication setting apparatus, and authentication method | |
CN111163465B (en) | Method and device for connecting user terminal and local terminal and call center system | |
JP2009267638A (en) | Terminal authentication/access authentication method, and authentication system | |
Meng | A preliminary research on security issues in ip Multimedia Subsystem | |
JP2010178178A (en) | Ip network communication system and sni configuration method | |
JP2006054694A (en) | Network connection method and system thereof, and program for network connection | |
JP2016100615A (en) | Terminal device, remote connection system, security ensuring method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130201 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140205 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20140502 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20140528 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140919 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140930 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141126 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150303 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150414 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150707 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150824 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150929 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20151002 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5820239 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |