JP6008705B2 - Gateway and remote access system - Google Patents
Gateway and remote access system Download PDFInfo
- Publication number
- JP6008705B2 JP6008705B2 JP2012251203A JP2012251203A JP6008705B2 JP 6008705 B2 JP6008705 B2 JP 6008705B2 JP 2012251203 A JP2012251203 A JP 2012251203A JP 2012251203 A JP2012251203 A JP 2012251203A JP 6008705 B2 JP6008705 B2 JP 6008705B2
- Authority
- JP
- Japan
- Prior art keywords
- home
- user
- home device
- remote access
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、ホームネットワークと接続するゲートウェイに関する。 The present invention relates to a gateway connected to a home network.
ネットワーク技術の進歩により通信デバイスが安価・小型で実現可能なため、今日では、さまざまな種類の機器がネットワークに接続して動作している。家庭内に設置される電化製品についても、インターネットの普及により、自装置単体ではなく、装置外部の情報と連動して動作するための通信機能を備えるものも多い。 Due to advances in network technology, communication devices can be realized at a low cost and in a small size. Today, various types of devices are connected to a network and operate. Many appliances installed in the home are equipped with a communication function for operating in conjunction with information outside the device, instead of the device itself, due to the spread of the Internet.
ホームオートメーションと呼ばれる技術は、マイコンと呼ばれるプロセッサが家電機器に搭載されはじめた当時から存在する。現在では、インターネットの普及や電化製品のデジタル化の流れを受けて、スマートハウスと呼ばれる、家中の電化製品を連携制御することでユーザに快適な住環境を提供しながらエネルギー消費量を抑制するなど効率的で経済的なシステム、を構築するための研究開発が盛んである。 Technology called home automation has existed since the beginning of the time when processors called microcomputers began to be installed in home appliances. Currently, in response to the spread of the Internet and the digitization of electrical appliances, energy consumption is reduced while providing a comfortable living environment for users by controlling the electrical appliances in the house, called smart houses. Research and development to build an efficient and economical system is thriving.
スマートハウスでは、宅内の家電機器同士は、連携動作するためホームネットワークと呼ばれる家庭内のネットワークに接続されている。現在では、ホームネットワークの接続機器や情報を、インターネットを介して接続している外部のシステムや情報を利用して、より効率的なシステムを作るための連携方法についても研究開発が行われている。 In a smart house, home appliances in a home are connected to a home network called a home network in order to perform a cooperative operation. Currently, research and development is also being conducted on a linkage method for creating a more efficient system by using external systems and information connected to home network devices and information via the Internet. .
例えば、家庭内のデジタルレコーダに対して、外部のシステムから予約情報を投入するシステムが実現されている。デジタルレコーダは、家庭内で接続するネットワークを介して公衆網と接続し、デジタルレコーダの予約を管理するサーバに接続する。ユーザがサーバに対して予約情報を入力すると、サーバに入力された予約情報は、デジタルレコーダとサーバ間の通信によりデジタルレコーダへ転送される。 For example, a system for inputting reservation information from an external system to a home digital recorder has been realized. The digital recorder is connected to a public network via a network connected at home, and is connected to a server that manages reservations for the digital recorder. When the user inputs reservation information to the server, the reservation information input to the server is transferred to the digital recorder by communication between the digital recorder and the server.
一方、ホームネットワークに対してインターネット等の外部から接続する方法として、ホームネットワークと公衆網との接続点であるホームゲートウェイと、ホームネットワークへ接続する端末との間で、IPsec(Internet Protocol security)等の暗号化プロトコルを使って仮想プライベート網(VPN:Virtual Private Network)を設定し、サーバを経由せずに直接アクセスする実現方法もある。 On the other hand, as a method of connecting to the home network from the outside such as the Internet, IPsec (Internet Protocol security) or the like between the home gateway which is a connection point between the home network and the public network and the terminal connected to the home network. There is also a realization method in which a virtual private network (VPN) is set using the encryption protocol of FIG.
想定するアプリケーション種別によって適した遠隔アクセスに関する実現方式は異なるため、ホームネットワークへの遠隔アクセスシステムを検討する際は、上記2つの実現方式は併用される。VPNを用いた遠隔アクセスを採用した場合、ホームネットワーク内で使用していた制御方式が、VPNを通してそのまま遠隔アクセス越しに適用することができるため、ホームネットワーク内でのローカルな制御/操作と、遠隔からの制御/操作を同一のインタフェースで実現することができることがメリットである。 Since the suitable realization method for remote access differs depending on the assumed application type, the above two realization methods are used together when considering a remote access system to a home network. When remote access using VPN is adopted, the control method used in the home network can be applied through remote access as it is through the VPN, so that local control / operation in the home network and remote control can be performed. It is an advantage that the control / operation from can be realized with the same interface.
従来の遠隔アクセスに関するユーザ毎の接続制御を実施するため、センターシステム、ホームゲートウェイを介してアクセスする場合のアクセス可否の制御を実現する方式の検討が行われている。例えば、下記特許文献1では、アプリケーションサーバがインターネット上に設置されている場合の、アクセス制御の実現方式についての技術が開示されている。インターネット上に設置されたアプリケーションサーバ、センタサーバ、ホームゲートウェイの間に設置された通信路を利用して宅内機器へのアクセス権を確認し、最終的に、リモート端末との間でユーザ認証を実施し、その情報に基づいて宅内機器へのアクセス制御を実現している。
In order to perform connection control for each user related to conventional remote access, a method for realizing access control when accessing via a center system and a home gateway has been studied. For example,
しかしながら、上記従来の技術によれば、アプリケーションサーバおよびセンタサーバを設置し、これらのサーバ経由でホームネットワークへのアクセスを実現する。そのため、インターネット上にサーバを設置/運用する必要があり、システムの設置および運用維持にコストがかかる、という問題があった。 However, according to the conventional technique, an application server and a center server are installed, and access to the home network is realized via these servers. For this reason, there is a problem that it is necessary to install / operate a server on the Internet, and it is costly to install and maintain the system.
また、人間が直接宅内機器を操作する場合は、対象や周囲の環境を目で見たり肌で感じたりなど五感で感じることで実施する操作の快適性を推測できるが、遠隔から制御するユーザは、宅内の状態を正確に認識できないため、遠隔から実施する制御が状況にあったものかどうかを判断できない、という問題があった。例えば、エアコンに対する遠隔アクセス制御として、宅内で稼働中のエアコンを停止、停止しているエアコンを稼働、または温度設定を変更した場合、遠隔から制御するユーザは、実際この部屋を誰がどのように使っているかを正確に把握できないため、快適性・利便性等の観点から問題がある。ユーザ毎に遠隔からアクセス可能な宅内装置を制限しても、宅内の状況を把握できない状態で宅内にある機器の制御を実施できてしまうことで、快適性等を損なう可能性がある。 In addition, when a human directly operates a home device, the user can estimate the comfort of the operation performed by feeling the five senses, such as seeing the target and the surrounding environment with the eyes or the skin. There is a problem that it is impossible to judge whether the control performed remotely is in the situation because the state in the house cannot be accurately recognized. For example, as remote access control for an air conditioner, if a running air conditioner is stopped, a stopped air conditioner is operated, or the temperature setting is changed, the user who remotely controls how and who actually uses this room This is problematic from the viewpoint of comfort and convenience. Even if the home devices that can be accessed remotely are restricted for each user, the comfort and the like may be impaired because the devices in the home can be controlled in a state where the home status cannot be grasped.
本発明は、上記に鑑みてなされたものであって、遠隔からホームネットワークに接続された宅内装置を制御する場合に、低コストで運用でき、かつ、利便性を向上可能なゲートウェイを得ることを目的とする。 The present invention has been made in view of the above, and it is possible to obtain a gateway that can be operated at low cost and can improve convenience when remotely controlling a home device connected to a home network. Objective.
上述した課題を解決し、目的を達成するために、本発明は、ホームネットワークと接続する宅内装置を遠隔アクセスで制御可能なユーザ毎に、各宅内装置に対する制御優先度の情報を記憶するユーザデータベースと、前記宅内装置毎に、現在制御を受け付けているユーザの情報を記憶するデバイスデータベースと、前記ホームネットワークと接続中のユーザの情報を記憶する接続管理データベースと、設定されたフィルタリング用エントリに基づいて、前記ユーザから前記宅内装置へ送信されるパケット、および前記宅内装置から前記ユーザへ送信されるパケットに対してフィルタリング処理を行うパケットフィルタリング手段と、前記ユーザデータベース、前記デバイスデータベース、および前記接続管理データベースの情報に基づいて、前記ホームネットワークと接続中のユーザ毎に制御可能な宅内装置を決定し、前記宅内装置と当該宅内装置を制御するユーザとの間でパケットの送受信が可能な前記フィルタリング用エントリを設定する遠隔アクセス管理手段と、を備え、前記遠隔アクセス管理手段は、前記ユーザが前記ホームネットワークと接続する際のVPN(Virtual Private Network)確立の認証に使用した情報を前記ユーザの情報として前記接続管理データベースに登録する、ことを特徴とする。 In order to solve the above-described problems and achieve the object, the present invention provides a user database for storing control priority information for each home device for each user who can control the home device connected to the home network by remote access. And a device database that stores information on users who are currently receiving control, a connection management database that stores information on users who are connected to the home network, and a set entry for filtering. Packet filtering means for performing filtering processing on packets transmitted from the user to the in-home device and packets transmitted from the in-home device to the user, the user database, the device database, and the connection management Based on the information in the database Remote access management for determining a home device that can be controlled for each user connected to the home network and setting the filtering entry capable of transmitting and receiving packets between the home device and the user controlling the home device The remote access management means registers, in the connection management database, information used for authentication for establishing a VPN (Virtual Private Network) when the user connects to the home network as the user information. It is characterized by that.
本発明によれば、遠隔からホームネットワークに接続された宅内装置を制御する場合に、低コストで運用でき、かつ、利便性を向上できる、という効果を奏する。 According to the present invention, when a home device connected to a home network is controlled from a remote location, it is possible to operate at low cost and to improve convenience.
以下に、本発明にかかるゲートウェイの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。 Embodiments of a gateway according to the present invention will be described below in detail with reference to the drawings. Note that the present invention is not limited to the embodiments.
実施の形態1.
図1は、本実施の形態の遠隔アクセスシステムの構成例を示す図である。遠隔アクセスシステムは、ホームゲートウェイ(HGW)1と、ホームネットワーク2と、宅内装置3〜5と、公衆網6と、遠隔端末7と、から構成される。HGW1と遠隔端末7との間では、公衆網6内でVPN8が確立可能である。
FIG. 1 is a diagram illustrating a configuration example of a remote access system according to the present embodiment. The remote access system includes a home gateway (HGW) 1, a
HGW1は、ホームネットワーク2と公衆網6とを接続するゲートウェイである。ホームネットワーク2は、家庭内の機器(宅内装置3〜5)を収容するネットワークであり、遠隔端末7からの制御対象となる機器(宅内装置3〜5)が接続されている。宅内装置3〜5は、ホームネットワーク2と接続し、遠隔端末7からの制御を受け付ける。公衆網6は、インターネットや携帯電話のデータ通信用ネットワークの総称であり、複数のネットワークの集合体として構成されることもある。遠隔端末7は、公衆網6と接続し、公衆網6を経由してHGW1にVPN8を使ってアクセスする。VPN8は、遠隔端末7が宅内装置3〜5を遠隔アクセス制御する際に、HGW1との間で確立する仮想プライベート網である。
The HGW 1 is a gateway that connects the
つぎに、遠隔アクセスシステムを構成するHGW1の構成について説明する。図2は、HGW1の構成例を示す図である。HGW1は、ゲートウェイ部10と、L2スイッチ(SW)部20と、を備える。なお、L2SW部20は、HGW1に必須の構成ではなく、実装しない構成にすることも可能である。
Next, the configuration of the
ゲートウェイ部10は、WANインタフェース部11と、制御部12と、ルータ部13と、ユーザデータベース(DB)14と、デバイスデータベース(DB)15と、接続管理データベース(DB)16と、遠隔アクセス管理部17と、内部接続用ポート18と、を備える。
The
WANインタフェース部11は、公衆網6に接続するためのインタフェースである。制御部12は、ルータ部13におけるルータ機能以外の制御を行う。例えば、HGW1を装置として動作させるために必要な設定パラメータの管理やGUI(Graphical User Interface)等の機能の制御が含まれる。ルータ部13は、通信プロトコルスタックおよび各プロトコルで使用する機能を実装する。例えば、PPP(Point to Point Protocol)131、IPsec132、PPPoE(PPP over Ethernet(登録商標))133、L2TP(Layer 2 Tunneling Protocol)134、NAPT(Network Address Port Translation)135といったプロトコルスタックや、ルータ機能の一部としてファイアーウォール機能を実現するためのPacket filtering(パケットフィルタリング)136を実装している。
The
ユーザDB14は、遠隔アクセスシステムを使用可能なユーザに対して、ホームネットワーク2に接続されたそれぞれの宅内装置3〜5へのアクセス権と優先度を管理するためのデータベースである。デバイスDB15は、ホームネットワーク2に接続している宅内装置3〜5のそれぞれに対して、現状どのような制御が行われているかを管理するデータベースである。接続管理DB16は、現在ホームネットワーク2に外部からどのユーザがアクセスしてきているかを管理するデータベースである。遠隔アクセス管理部17は、各DBの情報を管理し、遠隔アクセスにおけるアクセス制御を実現する管理部である。内部接続用ポート18は、ホームネットワーク2側のL2SW部20と接続するポートである。L2SW部20が実装されない場合には、内部接続用ポート18をホームネットワーク2へ接続するためのポートとして使用する。
The
L2SW部20は、内部接続用ポート21と、ホームネットワーク接続用ポート22−1,22−2,22−3,…,22−nと、を備える。
The
内部接続用ポート21は、公衆網6側のゲートウェイ部10と接続するポートである。ホームネットワーク接続用ポート22−1,22−2,22−3,…,22−nは、ホームネットワーク2と接続するポートである。
The
つぎに、ゲートウェイ部10が備える各DBの構成について説明する。図3は、ユーザDB14の構成例を示す図である。ユーザDB14では、ユーザを識別するための情報(ユーザ31)が定義され、各ユーザに対して制御対象の装置(対象装置32)と、その装置に対する当該ユーザの制御権を表す優先度33、の情報が定義されている。例えば、ユーザ#1については、宅内装置3〜5が制御可能であり、宅内装置3に対して優先度100、宅内装置4に対して優先度20、宅内装置5に対して優先度80が設定されていることを示す。ユーザDB14については、ホームネットワーク2を管理する管理者が、事前に各ユーザの各宅内装置に対するアクセス優先度を決定して設定・記憶しておくこととする。
Next, the configuration of each DB included in the
図4は、デバイスDB15の構成例を示す図である。デバイスDB15では、ホームネットワーク2に接続されたそれぞれの宅内装置3〜5に対して、各宅内装置を識別するための情報(対象装置41)と、各宅内装置に設定されているIPアドレス42と、各宅内装置に対して現状実施されている制御の状態を示す制御状態43と、その制御がどのユーザにより行われたかを示す制御実施者44、の情報が定義されている。例えば、宅内装置3のIPアドレスは192.168.0.101であり、現在、ユーザ#1によって制御中であることを示す。デバイスDB15については、遠隔アクセス管理部17が、情報の内容を登録(記憶・更新)することができる。
FIG. 4 is a diagram illustrating a configuration example of the
図5は、接続管理DB16の構成例を示す図である。接続管理DB16は、現在遠隔よりホームネットワーク2へ接続中のユーザを管理する。接続管理DB16では、接続中のユーザを管理する接続中ユーザ51の情報と、このユーザに対応した遠隔アクセス元(遠隔端末7)のIPアドレスの情報(IPアドレス52)と、現在当該ユーザが接続中のインタフェース情報53と、を管理する。例えば、ホームネットワーク2へ接続中のユーザ#2のIPアドレスは192.168.0.10であり、インタフェースとしてVPN8を使用していることを示す。外部からのアクセスがあってVPN8を介した遠隔アクセス制御では、HGW1は、IPsecのIKE(Internet Key Exchange)による認証機能によりアクセスしてきたユーザを認証して接続の許可判定を行う。接続を許可した場合、HGW1では、遠隔アクセス管理部17が、接続管理DB16の情報を登録(記憶・更新)して、現在接続中のユーザおよびそのIPアドレスと接続インタフェースの情報を管理する。
FIG. 5 is a diagram illustrating a configuration example of the
つづいて、遠隔アクセスシステムにおいて、遠隔端末7がHGW1との間でIPsec/L2TPによるVPN接続を行い、遠隔端末7から宅内装置3〜5への遠隔アクセスによる制御を行う動作について説明する。図6は、本実施の形態の遠隔アクセスシステムにおける遠隔アクセス制御を示すシーケンス図である。ここでは、図1と同様、1つの遠隔端末(遠隔端末7)と3つの宅内装置(宅内装置3〜5)を用いて、ユーザDB14において遠隔端末7のユーザが宅内装置4を制御可能な設定の場合について説明する。
Next, in the remote access system, an operation in which the remote terminal 7 performs VPN connection with the
まず、遠隔端末7は、遠隔アクセス実施時に、自端末とHGW1との間のVPN確立の動作として、HGW1に対してIPsec/L2TPトンネルを設定するため、IPsec/L2TPトンネル確立の処理を実施する。IPsec/L2TPでのVPNトンネル確立の際、遠隔端末7は、IPsecのイニシエータとなり、HGW1に対してIPsecのトンネル確立を要求するが、まずは、L2TPによる接続を遠隔端末7との間で確立し、その上でIPsecの接続を行う(ステップS1)。
First, when performing remote access, the remote terminal 7 performs an IPsec / L2TP tunnel establishment process to set up an IPsec / L2TP tunnel for the
このとき、HGW1は、IPsecのレスポンダとして動作する。IPsec/L2TPで接続を行う場合、遠隔端末7は、HGW1からホームネットワーク2で使用するためのIPアドレスの払い出しを受け、カプセル化対象のパケットにはホームネットワーク2で使用可能なアドレスを付与して送信する。これにより、遠隔端末7とHGW1との間でVPNが確立し、通常の場合、HGW1では、遠隔端末7から受信したパケットについてデカプセル化を行った後、NAT(Network Address Translation)/NAPT処理やパケットフィルタリング処理を行わずに転送することができる。IPsecトンネルが確立した後、HGW1では、遠隔アクセス管理部17が、IPsecトンネルの接続で使われたIKEの認証情報から接続したユーザを特定し、接続したユーザに関する情報をユーザ接続管理DB16に登録する(ステップS2)。
At this time, the
その後、遠隔アクセス管理部17は、接続管理DB16を常時監視し、接続管理DB16に現在接続しているユーザの情報が登録された場合、接続管理DB16、デバイスDB15、およびユーザDB14の内容に基づいて、ルータ部13のパケットフィルタリング136にフィルタ条件を設定、すなわち、フィルタリング用エントリを追加する(ステップS3)。これにより、HGW1では、遠隔端末7と宅内装置3〜5の間の通信に対して、あらかじめ設定されたアクセス権に基づいて、パケットの廃棄/通過の制御を実施することができる。
Thereafter, the remote
遠隔端末7は、UPnP(Universal Plug and Play)のプロトコルに基づいて制御対象のデバイス(宅内装置)を探す場合、マルチキャストIPアドレス宛てにM−Searchと呼ばれるパケットを送信し、制御可能な宅内装置に応答を求める(ステップS4)。このとき、M−Searchを中継するHGW1は、遠隔端末7から受信したM−Searchのパケットを廃棄することなく、ホームネットワーク2に接続している全ての宅内端末3〜5へ転送する。
When the remote terminal 7 searches for a control target device (home device) based on the UPnP (Universal Plug and Play) protocol, the remote terminal 7 transmits a packet called M-Search to the multicast IP address, and sends it to the controllable home device. A response is obtained (step S4). At this time, the
宅内に存在して遠隔端末7からの制御対象となり得る宅内装置3〜5は、遠隔端末7からのM−Searchに対応して自装置の情報をResponseで応答する(ステップS5〜S7)。 The in-home devices 3 to 5 that are present in the home and can be controlled by the remote terminal 7 respond to the information of the own device in response to the M-Search from the remote terminal 7 (steps S5 to S7).
宅内装置3〜5からのResponseのパケットを中継するHGW1は、ステップS3で設定されたパケットフィルタ設定(フィルタリング用エントリ)に基づいて、パケットフィルタリング動作を実施する。この結果、HGW1では、遠隔端末7からの制御が許可されている宅内端末4からのResponseだけを遠隔端末7に転送し、その他の宅内装置3,5からのResponseについては廃棄する(ステップS8)。
The
宅内装置3〜5からマルチキャストIPアドレス宛てに送付されるAdvertisementについても同様である。宅内装置3〜5がAdvertisementを送信すると(ステップS9〜S11)、宅内装置3〜5からのAdvertisementのパケットを中継するHGW1は、ステップS3で設定されたパケットフィルタ設定(フィルタリング用エントリ)に基づいて、遠隔端末7からの制御が許可されている宅内装置4からのAdvertisementだけを遠隔端末7に転送し、その他の宅内装置3,5からのAdvertisementについては廃棄する(ステップS12)。
The same applies to Advertisement sent from the in-home devices 3 to 5 to the multicast IP address. When the in-home devices 3 to 5 transmit the advertisement (steps S9 to S11), the
この結果、遠隔端末7では、宅内装置4からのパケットしか届かないことから、宅内装置4しか見えない、すなわち、宅内装置4のみが制御可能であると判断する。 As a result, since only the packet from the in-home device 4 reaches the remote terminal 7, it is determined that only the in-home device 4 can be seen, that is, only the in-home device 4 can be controlled.
また、HGW1では、遠隔端末7から送信されたパケットに対しても、同様のパケットフィルタリング動作を実施する。例えば、遠隔端末7から個別の宅内装置に対する制御パケットであるcontrol to 宅内装置3,4,5を送信すると(ステップS13〜S15)、遠隔端末7からのcontrol to 宅内装置3,4,5のパケットを中継するHGW1は、ステップS3で設定されたパケットフィルタ設定(フィルタリング用エントリ)に基づいて、遠隔端末7からの制御が許可されている宅内装置4へのcontrol to 宅内装置4だけを宅内装置4に転送し、その他のcontrol to 宅内装置3,5については廃棄する(ステップS16)。
Further, the
図7は、図6のシーケンスのステップS3において設定されるパケットフィルタリング136におけるフィルタリング用エントリを示す図である。本エントリは、遠隔アクセス用に特別に作成するものではなく、ルータ部13に実装されているパケットフィルタリング136に通常実装されているフィルタリング用エントリを用いる。フィルタリング用エントリを構成する情報である、方向61、送信元IP(アドレス)62、宛先IP(アドレス)63、プロトコル64、送信元ポート(番号)65、宛先ポート(番号)66、通過可否67、の各情報は、前述の通り通常のパケットフィルタリング用エントリに実装されている情報である。
FIG. 7 is a diagram showing filtering entries in the
図6に示すシーケンスでは、遠隔端末7からの制御は宅内装置4に対してのみ有効になることを前提としているが、図7はその場合のフィルタリングの設定を示すものである。遠隔端末7からのアクセスについては、宅内装置4のユニキャストIPアドレスへのパケットは全て通過させるが、宅内装置4以外のユニキャストIPアドレスへのパケットは全て廃棄させ、マルチキャスト/ブロードキャストパケットはホームネットワーク2へ通過させる。この設定は、図6のシーケンスのステップS3にて実施する。 In the sequence shown in FIG. 6, it is assumed that the control from the remote terminal 7 is effective only for the in-home device 4, but FIG. 7 shows the setting of filtering in that case. For access from the remote terminal 7, all packets to the unicast IP address of the home device 4 are allowed to pass, but all packets to unicast IP addresses other than the home device 4 are discarded, and multicast / broadcast packets are sent to the home network. Pass to 2. This setting is performed in step S3 of the sequence of FIG.
上記動作により、遠隔端末7と宅内装置3〜5との間の通信をパケットフィルタリングにより制御することで、遠隔アクセスにより接続している遠隔端末7から宅内装置3〜5に対する制御を制限することが可能になる。 By controlling the communication between the remote terminal 7 and the in-home devices 3 to 5 by packet filtering by the above operation, it is possible to limit the control of the in-home devices 3 to 5 from the remote terminal 7 connected by remote access. It becomes possible.
なお、本実施の形態では、ユーザを識別するための認証情報にIKEでの認証情報を利用する場合について説明したが、これに限定するものではない。例えば、PPPの認証情報を用いる場合についても適用可能である。 In the present embodiment, a case has been described in which IKE authentication information is used as authentication information for identifying a user. However, the present invention is not limited to this. For example, the present invention can also be applied when using PPP authentication information.
また、本実施の形態では、HGW1で実施するパケットフィルタリング処理によって、実際に宅内の状態を把握していないユーザの操作を制限できるが、この場合でも、特定のユーザの優先度を高く設定することで、利便性を向上させることができる。例えば、子供が留守番中に外出している親については優先度を高く設定することにより、宅内装置(例えば、エアコン等)を外出先からでも快適な状態に制御することができる。これに対して、親よりも優先度が低く設定されている人物については、設定されたフィルタリング用エントリから、宅内装置を制御することができないことになる。このように、優先度の情報を用いることにより、従来と比較して、システム内での遠隔アクセスによる制御の利便性を向上することが可能となる。
In this embodiment, the packet filtering process performed by the
以上説明したように、本実施の形態によれば、遠隔端末が遠隔から宅内装置の動作を制御可能な遠隔アクセスシステムにおいて、遠隔端末と宅内装置との間の通信を中継するHGWでは、遠隔端末との間でVPNを確立する際のユーザ識別の情報を用いてパケットフィルタリング機能のフィルタリング用エントリを設定し、設定したエントリに基づいてパケットフィルタリングを実施してパケットの通過/廃棄を行うこととした。これにより、新たにサーバ等を設置する必要もないことから低コストで運用でき、また、ユーザ別に設定された制御対象の宅内装置に対する制御に対してHGWのパケットフィルタリング機能を用いることで、特定のユーザの優先度を高く設定する等により宅内装置の操作に対する利便性を向上させることができる。 As described above, according to the present embodiment, in the remote access system in which the remote terminal can remotely control the operation of the in-home device, in the HGW that relays communication between the remote terminal and the in-home device, the remote terminal The filtering entry of the packet filtering function is set using the information of the user identification when establishing the VPN between and the packet filtering based on the set entry, and the packet is passed / discarded. . As a result, it is not necessary to install a new server or the like, so that it can be operated at a low cost. Also, by using the packet filtering function of the HGW for the control of the in-house device to be controlled set for each user, a specific The convenience for the operation of the in-home device can be improved by setting the user's priority high.
実施の形態2.
実施の形態1では、遠隔端末が、VPN、HGWを介してホームネットワークに接続された宅内装置を制御する方法について説明した。本実施の形態では、遠隔からの制御に加えて、使用者が宅内装置を直接制御することも考慮した遠隔アクセスシステムの制御について説明する。実施の形態1と異なる部分について説明する。
In the first embodiment, a method has been described in which a remote terminal controls an in-home device connected to a home network via a VPN or HGW. In this embodiment, in addition to remote control, control of a remote access system that takes into account that a user directly controls a home device will be described. A different part from
図8は、本実施の形態の遠隔アクセスシステムにおける遠隔アクセス制御を示すシーケンス図である。ここでは、図1のシステムと異なり、2つの遠隔端末(遠隔端末7a,7b)と1つの宅内装置(宅内装置3)、さらに、遠隔端末7a,7bからのアクセス(制御)と競合する関係にあって宅内で宅内装置3を操作するユーザである宅内操作者9を用いた場合について説明する。
FIG. 8 is a sequence diagram showing remote access control in the remote access system of the present embodiment. Here, unlike the system shown in FIG. 1, two remote terminals (
なお、本実施の形態のシステムにおいては、前提として、遠隔端末7aからはユーザ#1がアクセスし、遠隔端末7bからはユーザ#2がアクセスすることとし、ユーザDB14においてユーザ#1はユーザ#2に比べて宅内装置3に対する制御優先度が高く設定されていることとする。また、ユーザDB14において、宅内操作者9からの制御は、ユーザ#1、ユーザ#2からの遠隔アクセスによる制御に対して制御優先度が高く設定されていることとする。
In the system of the present embodiment, it is assumed that the
まず、遠隔端末7aは、HGW1に対してIPsecトンネル確立を行い(ステップS21)、ホームネットワーク2へ接続を行う。このとき、HGW1の遠隔アクセス管理部17は、トンネルの接続で使われた認証情報から接続したユーザがユーザ#1であることを特定し、接続したユーザに関する情報を接続管理DB16へ登録し(ステップS22)、接続管理DB16、デバイスDB15、およびユーザDB14の内容に基づいて、ルータ部13のパケットフィルタリング136にフィルタリング用エントリを追加する(ステップS23)。遠隔端末7aにおける上記ステップS21〜S23の動作は、実施の形態1の遠隔端末7におけるステップS1〜S3の動作と同様である。
First, the
遠隔端末7aについては初期状態で宅内装置3に対して制御可能であって、かつ、優先度が設定されているため、パケットフィルタリング136では通過設定がされている。そのため、HGW1では、遠隔端末7aからの制御(パケット)を通過させ、宅内装置3へ転送する(ステップS24)。このとき、HGW1では、遠隔アクセス管理部17が、遠隔端末7aから宅内装置3への制御パケットを監視し、デバイスDB15に対して、宅内装置3に対して制御を行ったユーザがユーザ#1であるという情報を格納する(ステップS25)。
Since the
つぎに、遠隔端末7bは、HGW1に対してIPsecトンネル確立を行い(ステップS26)、ホームネットワーク2へ接続を行う。このとき、HGW1の遠隔アクセス管理部17は、トンネルの接続で使われた認証情報から接続したユーザがユーザ#2であることを特定し、接続したユーザに関する情報を接続管理DB16へ登録し(ステップS27)、接続管理DB16、デバイスDB15、およびユーザDB14の内容に基づいて、ルータ部13のパケットフィルタリング136にフィルタリング用エントリを追加する(ステップS28)。遠隔端末7bにおける上記ステップS26〜S28の動作は、遠隔端末7aにおけるステップS21〜S23の動作と同様である。
Next, the
ここで、HGW1の遠隔アクセス管理部17では、デバイスDB15を確認すると、宅内装置3に対して制御を行ったユーザがユーザ#1であるという情報が格納されているため、つぎに、ユーザDB14を用いて宅内装置3に対するユーザの優先度を確認すると、ユーザ#1の優先度がユーザ#2の優先度より高いことがわかる。この結果、HGW1の遠隔アクセス管理部17は、ステップS28において、遠隔端末7bからの宅内装置3への制御(パケット)は廃棄されるようにフィルタリング用エントリを追加する。
Here, when the remote
HGW1では、遠隔端末7bからユーザ#2が宅内装置3への制御を実施すると(ステップS29)、この制御(パケット)をパケットフィルタリング136により廃棄する。これらの動作により、HGW1では、事前にユーザDB14に設定された優先度の情報に基づいて、複数の遠隔アクセスユーザ間の優先制御を実現できる。すなわち、HGW1では、IPsec(VPN)の認証で識別できるユーザ情報に従って、遠隔者(遠隔端末7a,7b)からのアクセスを管理でき、優先度の高低に応じて、後からのパケットをフィルタリングすることで、優先度の制御を実現することができる(ステップS30)。
In the
このとき、HGW1では、宅内装置3への制御状態を格納する処理においては、遠隔端末7bのユーザ#2からの制御は実施されていないため、ステップS25の時点で設定されたデバイスDB15の状態を格納(維持)する(ステップS31)。
At this time, in the
つぎに、遠隔アクセスシステムにおいて、宅内操作者9が、宅内装置3に対する制御を行う(ステップS32)。通常、この制御の宛先は宅内装置3のため、HGW1において、宅内操作者9から宅内装置3への制御の情報を受信することはできない。しかしながら、HGW1では、ホームネットワーク2内のトラヒックをモニタすることで、宅内装置3への制御を検出し、宅内操作者9からの制御が宅内装置3において実施されたことを認識して、この情報に基づいて、宅内装置3に宅内操作者9が制御を実施したとして、宅内装置3への制御状態の情報を更新する(ステップS33)。
Next, in the remote access system, the home operator 9 controls the home device 3 (step S32). Normally, since the destination of this control is the in-home device 3, the
このとき、HGW1では、デバイスDB15の更新が行われたため、再度、パケットフィルタリング136のフィルタリング用エントリの設定が見直される。具体的に、遠隔端末7aからアクセス中のユーザ#1および遠隔端末7bからアクセス中のユーザ#2が実施する宅内装置3への制御の優先度は、宅内操作者9が実施する制御の優先度よりも低いため、HGW1の遠隔アクセス管理部17は、遠隔端末7aから宅内装置3への制御(パケット)、および遠隔端末7bから宅内装置3への制御(パケット)を廃棄するように、パケットフィルタリング136のパケットフィルタリング機能にフィルタリング用エントリを追加する(ステップS34)。
At this time, since the
このような状態で遠隔端末7aから宅内装置3に対して制御を実施、すなわち、遠隔端末7aから制御パケットを送信すると(ステップS35)、HGW1では、パケットフィルタリング136により制御パケットを廃棄し、ホームネットワーク2内へ転送しない(ステップS36)。上記動作により、宅内操作者9からの制御と遠隔アクセスからの制御の優先制御を実現することができる。
In such a state, when the
なお、本実施の形態では、HGW1がホームネットワーク2内のトラヒックをモニタして宅内操作者9の制御を検出する場合について説明したが、これに限定するものではない。例えば、ホームネットワーク2内の制御対象機器(宅内装置3)が制御結果とその制御者情報をHGW1に通知する場合においても、HGW1は、同様に宅内操作者9を含めたデバイスDB15の更新が可能となり、宅内操作者9からの制御と遠隔アクセスからの制御の優先制御を実現することができる。
In the present embodiment, the case has been described in which the
以上説明したように、本実施の形態によれば、遠隔アクセスシステムに宅内装置を宅内から操作する宅内操作者が有る場合に、HGWでは、宅内装置に対する優先度を定義したユーザDBにおいて、宅内操作者の優先度を遠隔端末のユーザの優先度よりも高く設定する。これにより、実施の形態1の効果に加えて、宅内操作者からの制御と遠隔アクセスからの制御の優先制御を実現することができ、宅内において宅内操作者が快適性を損なうような状態を回避することができる。 As described above, according to the present embodiment, when there is a home operator who operates the home device from the home in the remote access system, in the HGW, in the user DB in which the priority for the home device is defined, The priority of the user is set higher than the priority of the user of the remote terminal. As a result, in addition to the effects of the first embodiment, it is possible to realize priority control of control from the home operator and control from remote access, avoiding a state where the home operator impairs comfort in the home. can do.
以上のように、本発明にかかるゲートウェイは、2つのネットワークとの接続に有用であり、特に、ホームネットワークと公衆網との接続に適している。 As described above, the gateway according to the present invention is useful for connection between two networks, and is particularly suitable for connection between a home network and a public network.
1 ホームゲートウェイ(HGW)、2 ホームネットワーク、3,4,5 宅内装置、6 公衆網、7 遠隔端末、8 VPN、10 ゲートウェイ部、11 WANインタフェース部、12 制御部、13 ルータ部、14 ユーザデータベース(DB)、15 デバイスデータベース(DB)、16 接続管理データベース(DB)、17 遠隔アクセス管理部、18 内部接続用ポート、20 L2スイッチ(SW)部、21 内部接続用ポート、22−1,22−2,22−3,…,22−n ホームネットワーク接続用ポート、131 PPP、132 IPsec、133 PPPoE、134 L2TP、135 NAPT、136 Packet filtering(パケットフィルタリング)。
DESCRIPTION OF
Claims (4)
前記宅内装置毎に、現在制御を受け付けているユーザの情報を記憶するデバイスデータベースと、
前記ホームネットワークと接続中のユーザの情報を記憶する接続管理データベースと、
設定されたフィルタリング用エントリに基づいて、前記ユーザから前記宅内装置へ送信されるパケット、および前記宅内装置から前記ユーザへ送信されるパケットに対してフィルタリング処理を行うパケットフィルタリング手段と、
前記ユーザデータベース、前記デバイスデータベース、および前記接続管理データベースの情報に基づいて、前記ホームネットワークと接続中のユーザ毎に制御可能な宅内装置を決定し、前記宅内装置と当該宅内装置を制御するユーザとの間でパケットの送受信が可能な前記フィルタリング用エントリを設定する遠隔アクセス管理手段と、
を備え、
前記遠隔アクセス管理手段は、前記ユーザが前記ホームネットワークと接続する際のVPN(Virtual Private Network)確立の認証に使用した情報を前記ユーザの情報として前記接続管理データベースに登録する、
ことを特徴とするゲートウェイ。 A user database that stores control priority information for each home device for each user who can control the home device connected to the home network by remote access;
A device database that stores information on users who are currently receiving control for each home device;
A connection management database for storing information of users connected to the home network;
A packet filtering means for performing filtering processing on a packet transmitted from the user to the in-home device and a packet transmitted from the in-home device to the user based on a set filtering entry;
Based on information in the user database, the device database, and the connection management database, a controllable home device is determined for each user connected to the home network, and the home device and the user who controls the home device; Remote access management means for setting the filtering entry capable of transmitting and receiving packets between,
With
The remote access management means registers information used for authentication for establishing a VPN (Virtual Private Network) when the user connects to the home network as the user information in the connection management database.
A gateway characterized by that.
前記遠隔アクセス管理手段は、前記宅内操作者から前記宅内装置に対する制御状態を監視し、さらに、前記制御状態の情報を用いて、前記ユーザおよび前記宅内操作者について制御可能な宅内装置を決定し、前記フィルタリング用エントリを設定する、
ことを特徴とする請求項1に記載のゲートウェイ。 In the user database, when storing information on the connection priority for each home device for a home operator who operates the home device from within the home network,
The remote access management means monitors a control state for the in-home device from the in-house operator, and further determines a controllable in-home device for the user and the in-home operator using the control state information. Set the filtering entry;
The gateway according to claim 1.
前記ゲートウェイは、
前記宅内装置を遠隔アクセスで制御可能な前記ユーザ毎に、各宅内装置に対する接続優先度の情報を記憶するユーザデータベースと、
前記宅内装置毎に、現在制御を受け付けているユーザの情報を記憶するデバイスデータベースと、
前記ホームネットワークと接続中のユーザの情報を記憶する接続管理データベースと、
設定されたフィルタリング用エントリに基づいて、前記ユーザから前記宅内装置へ送信されるパケット、および前記宅内装置から前記ユーザへ送信されるパケットに対してフィルタリング処理を行うパケットフィルタリング手段と、
前記ユーザデータベース、前記デバイスデータベース、および前記接続管理データベースの情報に基づいて、前記ホームネットワークと接続中のユーザ毎に制御可能な宅内装置を決定し、前記宅内装置と当該宅内装置を制御するユーザとの間でパケットの送受信が可能な前記フィルタリング用エントリを設定する遠隔アクセス管理手段と、
を備え、
前記遠隔アクセス管理手段は、前記ユーザが前記ホームネットワークと接続する際のVPN(Virtual Private Network)確立の認証に使用した情報を前記ユーザの情報として前記接続管理データベースに登録する、
ことを特徴とする遠隔アクセスシステム。 A gateway connecting a home network and a public network, and a remote terminal connected to the gateway via the public network, and a user operating the remote terminal connects to the home network via the remote terminal In a remote access system for controlling a home device connected to the home network by remote access,
The gateway is
For each user who can control the in-home device by remote access, a user database that stores connection priority information for each in-home device;
A device database that stores information on users who are currently receiving control for each home device;
A connection management database for storing information of users connected to the home network;
A packet filtering means for performing filtering processing on a packet transmitted from the user to the in-home device and a packet transmitted from the in-home device to the user based on a set filtering entry;
Based on information in the user database, the device database, and the connection management database, a controllable home device is determined for each user connected to the home network, and the home device and the user who controls the home device; Remote access management means for setting the filtering entry capable of transmitting and receiving packets between,
With
The remote access management means registers information used for authentication for establishing a VPN (Virtual Private Network) when the user connects to the home network as the user information in the connection management database.
A remote access system characterized by that.
前記遠隔アクセス管理手段は、前記宅内操作者から前記宅内装置に対する制御状態を監視し、さらに、前記制御状態の情報を用いて、前記ユーザおよび前記宅内操作者について制御可能な宅内装置を決定し、前記フィルタリング用エントリを設定する、
ことを特徴とする請求項3に記載の遠隔アクセスシステム。 In the user database, when storing information on the connection priority for each home device for a home operator who operates the home device from within the home network,
The remote access management means monitors a control state for the in-home device from the in-house operator, and further determines a controllable in-home device for the user and the in-home operator using the control state information. Set the filtering entry;
The remote access system according to claim 3.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012251203A JP6008705B2 (en) | 2012-11-15 | 2012-11-15 | Gateway and remote access system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012251203A JP6008705B2 (en) | 2012-11-15 | 2012-11-15 | Gateway and remote access system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014099795A JP2014099795A (en) | 2014-05-29 |
JP6008705B2 true JP6008705B2 (en) | 2016-10-19 |
Family
ID=50941457
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012251203A Expired - Fee Related JP6008705B2 (en) | 2012-11-15 | 2012-11-15 | Gateway and remote access system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6008705B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2024083028A (en) * | 2022-12-09 | 2024-06-20 | 株式会社ビットキー | Processing device, processing system, repeater, processing program, and processing method |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010041605A (en) * | 2008-08-07 | 2010-02-18 | Fujitsu Ltd | Device for controlling external connection of indoor apparatus |
JP5478546B2 (en) * | 2011-04-12 | 2014-04-23 | 日本電信電話株式会社 | Access control system and access control method |
-
2012
- 2012-11-15 JP JP2012251203A patent/JP6008705B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2014099795A (en) | 2014-05-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4909277B2 (en) | Network communication device, network communication method, address management device | |
US8984141B2 (en) | Server for routing connection to client device | |
EP1575230B1 (en) | Server for routing connection to client device | |
RU2555244C2 (en) | Method and apparatus for implementing remote house control | |
CN106302320B (en) | The method, apparatus and system authorized for the business to user | |
RU2584752C2 (en) | Device and method for implementing data transmission network used for remote house control | |
KR20130060291A (en) | Computer system and communication method in computer system | |
US20070195804A1 (en) | Ppp gateway apparatus for connecting ppp clients to l2sw | |
JPWO2005081464A1 (en) | Access network system, subscriber station apparatus, and network termination apparatus | |
RU2552140C1 (en) | Device for remote property control | |
JP5367764B2 (en) | Virtual network system, configuration change method, tunnel connection apparatus, and program | |
JP6008705B2 (en) | Gateway and remote access system | |
JP5670279B2 (en) | Virtual network control device, virtual network control method, virtual network control system, and program | |
ES2359811T3 (en) | SERVER TO ENCAMINATE A CONNECTION TO A CUSTOMER DEVICE. | |
US20060072618A1 (en) | Packet-sending communication apparatus with forwarding-address automatic-recognition function, communication system and programs thereof | |
JP5261432B2 (en) | Communication system, packet transfer method, network switching apparatus, access control apparatus, and program | |
JP5437518B2 (en) | Virtual network system, configuration change method, tunnel termination device, tunnel connection device, and program | |
JP5986044B2 (en) | Network system, communication control method, communication control apparatus, and program | |
EP2883338A1 (en) | Method and apparatus for using rendezvous server to make connections to fire alarm panels | |
US20200287868A1 (en) | Systems and methods for in-band remote management | |
JP3802464B2 (en) | Communication network system, service processing control method, provider server, and service processing apparatus | |
KR101824642B1 (en) | Residence Management System using a plurality of virtual Private network | |
JP5875507B2 (en) | Relay device, program, information processing method, and information processing device | |
JP5845898B2 (en) | Relay server | |
KR101425138B1 (en) | An individual communication security equipment for an individual device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20151020 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160708 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160816 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160913 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6008705 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |