KR20050116140A - 액세스 제어 처리 방법 - Google Patents

액세스 제어 처리 방법 Download PDF

Info

Publication number
KR20050116140A
KR20050116140A KR1020057016897A KR20057016897A KR20050116140A KR 20050116140 A KR20050116140 A KR 20050116140A KR 1020057016897 A KR1020057016897 A KR 1020057016897A KR 20057016897 A KR20057016897 A KR 20057016897A KR 20050116140 A KR20050116140 A KR 20050116140A
Authority
KR
South Korea
Prior art keywords
client
server
application gateway
shared secret
information
Prior art date
Application number
KR1020057016897A
Other languages
English (en)
Inventor
겐스께 바바
야스유끼 기노시따
요이찌 고보리
게이고 이하라
Original Assignee
소니 가부시끼 가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 소니 가부시끼 가이샤 filed Critical 소니 가부시끼 가이샤
Publication of KR20050116140A publication Critical patent/KR20050116140A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2816Controlling appliance services of a home automation network by calling their functionalities
    • H04L12/2821Avoiding conflicts related to the use of home appliances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2816Controlling appliance services of a home automation network by calling their functionalities
    • H04L12/2818Controlling appliance services of a home automation network by calling their functionalities from a device located outside both the home and the home network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/283Processing of data at an internetworking point of a home automation network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Multimedia (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

내부 네트워크에 대한 외부 네트워크로부터의 액세스 제어를 정확하게 또한 효율적으로 실행하는 장치 및 방법을 제공한다. 외부 네트워크에 접속 가능한 클라이언트 기기와, 어플리케이션 게이트웨이의 쌍방이, 공유 비밀 정보(Secret)로서, 클라이언트의 생성 ID인 클라이언트 ID:GUID(C)와, 어플리케이션 게이트웨이의 생성 ID인 서버 ID:GUID(S)를 기억부에 저장하고, 어플리케이션 게이트웨이가, 클라이언트로부터의 액세스 요구를 수신했을 때에, 클라이언트가 옳은 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리를 실행하여 액세스 권한을 판정한다. 본 구성에 의해, 홈 네트워크 등의 내부 네트워크에 대한 외부 네트워크로부터의 액세스에 대한 권한 판정을 효율적으로 또한 정확하게 실행할 수 있게 된다.

Description

액세스 제어 처리 방법{ACCESS CONTROL PROCESSING METHOD}
본 발명은, 정보 처리 장치, 및 액세스 제어 처리 방법, 정보 처리 방법, 및 컴퓨터프로그램에 관한 것이다. 또한, 상세하게는, 홈 네트워크 등의 내부 네트워크에 접속된 장치에 대한 외부 네트워크로부터의 액세스 권한의 판정을 행하여 정당한 권한을 갖는 클라이언트만의 액세스 및 데이터 이용을 실현하는 정보 처리 장치, 및 액세스 제어 처리 방법, 정보 처리 방법, 및 컴퓨터 프로그램에 관한 것이다.
근래의 데이터 통신 네트워크의 보급에 수반하여, 가정내에 있어서도 가전 기기나 컴퓨터, 그 밖의 주변 기기를 네트워크 접속하여, 각 기기 사이에서의 통신을 가능하게 한, 소위 홈 네트워크가 침투하고 있다. 홈 네트워크는, 네트워크 접속 기기 사이에서 통신을 행하는 것에 의해 각 기기의 데이터 처리 기능을 공유하거나, 기기 사이에서 콘텐츠의 송수신을 행하는 등, 유저에게 편리성, 쾌적성을 제공하는 것으로, 금후, 점점더 보급될 것으로 예측된다.
이러한 홈 네트워크의 구성에 적합한 프로토콜로서 유니버설 플러그 앤드 플레이(UPnP:Universal Plug and Play)가 알려져 있다. 유니버설 플러그 앤드 플레이(UPnP)는, 복잡한 조작을 수반하지 않고 용이하게 네트워크를 구축하는 것이 가능하고, 곤란한 조작이나 설정을 수반하지 않고 네트워크 접속된 기기에 있어서 각 접속 기기의 제공 서비스를 수령 가능하게 하는 것이다. 또한, UPnP는 디바이스 상의 OS(오퍼레이팅 시스템)에도 의존하지 않고, 용이하게 기기를 추가할 수 있다고 하는 이점을 갖는다.
UPnP는, 접속 기기 사이에서, XML(eXtensible Markup Language)에 준거한 정의 파일을 교환하고, 기기 사이에 있어서 상호 인식을 행한다. UPnP의 처리의 개요는, 이하와 같다.
(1) IP 어드레스 등의 자신의 디바이스 ID를 취득하는 어드레싱 처리.
(2) 네트워크 상의 각 디바이스의 검색을 행하여, 각 디바이스로부터 응답을 수신하고, 응답에 포함되는 디바이스 종별, 기능 등의 정보를 취득하는 디스커버리 처리.
(3) 디스커버리 처리에서 취득한 정보에 기초하여, 각 디바이스에 서비스를 요구하는 서비스 요구 처리.
상기 처리 수순을 행함으로써, 네트워크 접속된 기기를 적용한 서비스의 제공 및 수령이 가능하게 된다. 네트워크에 새롭게 접속되는 기기는, 상기한 어드레싱 처리에 의해 디바이스 ID를 취득하고, 디스커버리 처리에 의해 네트워크 접속된 다른 디바이스의 정보를 취득하여, 취득 정보에 기초하여 다른 기기에 서비스를 요구할 수 있게 된다.
그러나, 한편, 이러한 종류의 네트워크에서는, 부정(不正) 액세스에 대한 대책을 고려하는 것도 필요하게 된다. 홈 네트워크 내의 기기, 예를 들면 서버 등에는 사적인 콘텐츠나 유료 콘텐츠 등의 저작권 관리가 요구되는 콘텐츠가 저장되는 경우도 많다.
이러한 홈 네트워크 내의 서버에 저장된 콘텐츠는, 네트워크 접속된 다른 기기로부터 액세스 가능하게 된다. 예를 들면, 전술한 간이한 기기 접속 구성인 UPnP 접속을 실행한 기기에 의해서 콘텐츠를 취득하는 것이 가능하게 된다. 콘텐츠가 영화 데이터나 음악 데이터의 경우, 네트워크 접속 기기로서 TV, 혹은 플레이어 등을 접속하면, 영화를 시청하거나, 음악을 듣거나 하는 것이 가능하게 된다.
콘텐츠의 이용권을 갖는 유저가 접속한 기기에 의한 액세스는 허용되어도 되지만, 전술한 바와 같은 네트워크 구성에 있어서는, 콘텐츠 등의 이용권을 갖지 않는 유저가 네트워크에 들어가는 것도 용이하다. 예를 들면 무선 LAN에 의해서 구성된 네트워크인 경우에는 집 안에 있는 서버에 대하여, 옥외, 혹은 이웃 집 등으로부터 통신 기기를 이용하여 부정하게 네트워크에 들어가, 콘텐츠의 착취를 행하는 사태도 발생할 수 있다. 이러한 부정한 액세스를 허용하는 구성은, 비밀 누설을 발생시키는 것으로도 되고, 또한, 콘텐츠 저작권의 관리의 관점으로부터도 중요한 문제로 된다.
전술한 바와 같은 부정 액세스를 배제하기 위해서, 예를 들면 서버에 액세스를 허용하는 클라이언트의 리스트를 유지시켜, 클라이언트로부터 서버에 대한 액세스 요구시에, 서버에서 리스트와의 대조 처리를 실행하여 부정 액세스를 배제하는 구성이 제안되어 있다.
예를 들면, 네트워크 접속 기기 고유의 물리 어드레스인 MAC(Media Access Control) 어드레스를, 액세스 허용 기기 리스트로서 설정하는 MAC 어드레스 필터링이 알려져 있다. MAC 어드레스 필터링이라 함은, 홈 네트워크 등의 내부 네트워크(서브넷)와 외부 네트워크를 격리하는 라우터 혹은 게이트 웨이에, 미리 액세스를 허용하는 MAC 어드레스를 등록해 놓고, 수신한 패킷의 MAC 어드레스와 등록된 MAC 어드레스를 대조하여, 등록되어 있지 않은 MAC 어드레스를 갖는 기기로부터의 액세스를 거부하는 것이다. 또한, 이러한 종류의 기술에 대해서는, 예를 들면 특허 문헌 1(일본 특허 공개 평성 10-271154호 공보)에 개시되어 있다.
그러나, 액세스 제한을 하기 위한 MAC 어드레스의 등록 처리를 행하기 위해서는, 네트워크에 접속되는 기기의 모든 MAC 어드레스를 조사하는 것이 필요하고, 취득한 모든 기기의 MAC 어드레스(48bit)를 오퍼레이터가 입력하여 리스트를 작성하는 처리가 필요하게 된다. 이러한 처리는, 예를 들면 특정한 회사, 단체 등, 시큐어한 환경을 구축하는 것이 요구되는 경우에는, 소정의 관리자 하에서 행하는 것도 가능하지만, 예를 들면 일반 가정에 설정되는 홈 네트워크 환경에 있어서, 일반 유저에게 MAC 리스트의 생성, 저장을 요구하는 것은 현실적이지 않다.
홈 네트워크에 있어서는, 새로운 기기의 추가 처리가 행해지는 것은 빈번하게 발생하는 것이고, 이러한 기기 추가 처리시에, 유저가 순차, 기기의 MAC 어드레스를 조사하여 등록 처리를 해야만 한다고 하면, 네트워크 구축의 용이성을 저해하게 된다.
한편, 일반 가정에 있어서도, PC뿐만 아니라, 가전 기기도 포함한 네트워크 구성이 구축되어, 어떠한 기기로부터라도 네트워크에 액세스 가능한 소위 유비쿼터스 환경이 구축되고 있고, 또한, 무선 LAN 등의 보급에 의해, 통신 가능한 기기가 외부로부터 무선 LAN에 침입하는 것도 용이하게 되어 있다. 이러한 네트워크 환경에 있어서, 네트워크 접속 기기에 대한 부정 액세스도 더욱 발생하기 쉬워져 있어, 부정한 액세스에 의한 비밀 정보의 착취, 콘텐츠의 부정 판독 등이 실행될 가능성은 점점 더 높아지고 있다. 이러한 상황에 있어서, 일반 유저에게 부담을 강요하는 일 없이, 적절한 액세스 제어 구성을 용이하게 실현하는 것이 요구되고 있다.
<발명의 개시>
본 발명은, 상술한 문제점을 감안하여 이루어진 것으로, 홈 네트워크 등의 내부 네트워크에 접속된 장치에 대한 외부 네트워크로부터의 액세스 권한의 판정을 행하여 정당한 권한을 갖는 클라이언트에게만 내부 네트워크 접속 기기에 대한 액세스 및 데이터 이용을 허용하는 것을 가능하게 한 정보 처리 장치, 및 액세스 제어 처리 방법, 정보 처리 방법, 및 컴퓨터 프로그램을 제공하는 것을 목적으로 한다.
본 발명의 제1 측면은,
액세스 제어 처리를 실행하는 정보 처리 장치로서,
액세스 요구 기기로서의 클라이언트와의 데이터 송수신 처리를 실행하는 데이터 송수신부와,
정당한 액세스 권한을 갖는 클라이언트와의 공유 비밀 정보(Secret)로서, 클라이언트의 생성 ID인 클라이언트 ID와, 정보 처리 장치의 생성 ID인 서버 ID를 저장한 기억부와,
클라이언트로부터의 액세스 요구에 따라서, 상기 클라이언트가 상기 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리를 실행하여 클라이언트의 액세스 권한의 유무를 판정하는 기기 인증 처리부
를 갖는 것을 특징으로 하는 정보 처리 장치에 있다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 기억부는, 상기 클라이언트 ID와 서버 ID를 포함하는 공유 비밀 정보(Secret)를, 상기 정보 처리 장치 디바이스의 하드웨어 고유의 식별 정보, 즉 하드웨어 유니크 ID(Huid(S))에 의해 암호화한 암호화 데이터로서 저장한 구성인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 기기 인증 처리부는, 자신이 생성한 난수(Nonce2)와 클라이언트가 유지하는 공유 비밀 정보(Secret)와의 해시값(Hash Value)을 클라이언트 인증값(ClientAuth)으로서 클라이언트로부터 수신함과 함께, 상기 난수(Nonce2)와 상기 기억부에 저장한 공유 비밀 정보(Secret)의 해시값 산출 처리를 실행하여, 수신 해시값과 산출 해시값과의 비교 대조 처리를 실행하고, 양 해시값의 일치를 조건으로 해서 클라이언트가 액세스 권한을 갖는다는 판정을 실행하는 구성인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 기기 인증 처리부는, 클라이언트가 생성한 난수(Nonce1)를 수신하고, 상기 수신 난수(Nonce1)와, 상기 기억부에 저장한 공유 비밀 정보(Secret)와의 해시값을 서버 인증값(ServerAuth)으로서 산출하여 클라이언트에게 송신하는 처리를 실행하는 구성인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 정보 처리 장치는, 클라이언트 식별자와, 상기 공유 비밀 정보(Secret)의 해시값을 대응시킨 클라이언트 식별 테이블을 갖고, 상기 기기 인증 처리부는, 클라이언트로부터 수신하는 상기 공유 비밀 정보(Secret)의 해시값에 기초한 상기 클라이언트 식별 테이블의 검색에 의해, 클라이언트를 특정하는 처리를 실행하는 구성인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 정보 처리 장치는, 클라이언트 식별자와, 클라이언트와의 커넥션 식별 정보로서의 세션 ID를 대응시킨 클라이언트 세션 ID 테이블을 갖고, 클라이언트로부터 수신하는 세션 ID에 기초한 상기 클라이언트 세션 ID 테이블의 검색에 의해 클라이언트의 식별 처리를 실행하는 구성인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 기기 인증 처리부는, 상기 클라이언트가 상기 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리에 의한 클라이언트의 액세스 권한 판정 처리의 개시 전에, 클라이언트와의 암호 통신에 적용할 암호 키 공유 처리를 실행하고, 상기 암호 키에 기초한 송수신 데이터의 암호화를 행하여, 상기 클라이언트가 상기 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리를 실행하는 구성인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 암호 키 공유 처리는, SSL(Secure Socket Layer) 핸드 쉐이크 처리인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 정보 처리 장치는, 상기 공유 비밀 정보(Secret)를 구성하는 클라이언트 ID, 및 서버 ID의 클라이언트와의 공유 처리를 실행하는 기기 등록 처리부를 갖고, 상기 기기 등록 처리부는, 클라이언트의 생성 ID인 클라이언트 ID와, 정보 처리 장치의 생성 ID인 서버 ID를 암호화 데이터로서 네트워크를 통하여 교환하는 ID 교환 처리를 실행하는 구성인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 기기 등록 처리부는, 상기 ID 교환 처리의 실행 조건으로서, 패스워드 인증 처리를 실행하는 구성인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 공유 비밀 정보(Secret)를 구성하는 클라이언트 ID, 및 서버 ID의 각각은 글로벌 유니크성을 갖는 ID인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 정보 처리 장치는, 로컬 영역 내의 내부 네트워크와, 로컬 영역 밖의 외부 네트워크 사이에 위치하는 어플리케이션 게이트웨이로서의 기능을 갖는 것을 특징으로 한다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 정보 처리 장치는, 로컬 영역 내의 내부 네트워크와, 로컬 영역 밖의 외부 네트워크 사이에 위치하는 리버스 프록시 서버로서의 기능을 갖는 것을 특징으로 한다.
또한, 본 발명의 제2 측면은,
액세스 요구 처리를 실행하는 클라이언트로서의 정보 처리 장치로서,
데이터 송수신 처리를 실행하는 데이터 송수신부와,
어플리케이션 게이트웨이와의 공유 비밀 정보(Secret)로서, 클라이언트의 생성 ID인 클라이언트 ID와, 어플리케이션 게이트웨이의 생성 ID인 서버 ID를 저장한 기억부와,
상기 어플리케이션 게이트웨이가 상기 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리를 실행하여 어플리케이션 게이트웨이의 정당성을 판정하는 기기 인증 처리부
를 갖는 것을 특징으로 하는 정보 처리 장치에 있다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 기억부는, 상기 클라이언트 ID와 서버 ID를 포함하는 공유 비밀 정보(Secret)를, 상기 정보 처리 장치 디바이스의 하드웨어 고유의 식별 정보, 즉 하드웨어 유니크 ID(Huid(C))에 의해 암호화한 암호화 데이터로서 저장한 구성인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 기기 인증 처리부는, 자신이 생성한 난수(Nonce1)와 어플리케이션 게이트웨이가 유지하는 공유 비밀 정보(Secret)와의 해시값을 서버(어플리케이션 게이트웨이) 인증값(ServerAuth)으로서 어플리케이션 게이트웨이로부터 수신함과 함께, 상기 난수(Nonce1)와 상기 기억부에 저장한 공유 비밀 정보(Secret)의 해시값 산출 처리를 실행하여, 수신 해시값과 산출 해시값과의 비교 대조 처리를 실행하고, 양 해시값의 일치를 조건으로 해서 어플리케이션 게이트웨이가 정당하다는 판정을 실행하는 구성인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 기기 인증 처리부는, 어플리케이션 게이트웨이가 생성한 난수(Nonce2)를 수신하고, 상기 수신 난수(Nonce2)와, 상기 기억부에 저장한 공유 비밀 정보(Secret)와의 해시값을 클라이언트 인증값(ClientAuth)으로서 산출하여 어플리케이션 게이트웨이에 송신하는 처리를 실행하는 구성인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 기기 인증 처리부는, 상기 어플리케이션 게이트웨이가 상기 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리에 의한 어플리케이션 게이트웨이의 정당성 판정 처리의 개시 전에, 어플리케이션 게이트웨이와의 암호 통신에 적용할 암호 키 공유 처리를 실행하고, 상기 암호 키에 기초한 송수신 데이터의 암호화를 행하여, 상기 어플리케이션 게이트웨이가 상기 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리를 실행하는 구성인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 암호 키 공유 처리는, SSL(Secure Socket Layer) 핸드 쉐이크 처리인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 정보 처리 장치는, 상기 공유 비밀 정보(Secret)를 구성하는 클라이언트 ID, 및 서버 ID의 어플리케이션 게이트웨이와의 공유 처리를 실행하는 기기 등록 처리부를 갖고, 상기 기기 등록 처리부는, 클라이언트의 생성 ID인 클라이언트 ID와, 정보 처리 장치의 생성 ID인 서버 ID를 암호화 데이터로서 네트워크를 통하여 교환하는 ID 교환 처리를 실행하는 구성인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 기기 등록 처리부는, 상기 ID 교환 처리의 실행 조건으로서, 패스워드 인증 처리를 실행하는 구성인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 장치의 일 실시 양태에 있어서, 상기 공유 비밀 정보(Secret)를 구성하는 클라이언트 ID, 및 서버 ID의 각각은 글로벌 유니크성을 갖는 ID인 것을 특징으로 한다.
또한, 본 발명의 제3 측면은,
액세스 제어 처리를 실행하는 서버 및, 상기 서버에 대한 액세스 요구 처리를 실행하는 클라이언트로 이루어지는 서버 클라이언트 시스템으로서,
상기 서버는,
데이터 송수신 처리를 실행하는 서버 데이터 송수신부와,
정당한 액세스 권한을 갖는 클라이언트와의 공유 비밀 정보(Secret)로서, 클라이언트의 생성 ID인 클라이언트 ID와, 정보 처리 장치의 생성 ID인 서버 ID를 저장한 서버 기억부와,
클라이언트로부터의 액세스 요구에 따라서, 상기 클라이언트가 상기 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리를 실행하여 클라이언트의 액세스 권한의 유무를 판정하는 서버 기기 인증 처리부를 갖고,
상기 클라이언트는,
데이터 송수신 처리를 실행하는 클라이언트 데이터 송수신부와,
어플리케이션 게이트웨이와의 공유 비밀 정보(Secret)로서, 클라이언트의 생성 ID인 클라이언트 ID와, 어플리케이션 게이트웨이의 생성 ID인 서버 ID를 저장한 클라이언트 기억부와,
상기 어플리케이션 게이트웨이가 상기 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리를 실행하여 어플리케이션 게이트웨이의 정당성을 판정하는 클라이언트 기기 인증 처리부를 갖는 것을 특징으로 하는 서버 클라이언트 시스템에 있다.
또한, 본 발명의 서버 클라이언트 시스템의 일 실시 양태에 있어서, 상기 서버 기억부는, 상기 클라이언트 ID와 서버 ID를 포함하는 공유 비밀 정보(Secret)를, 서버의 하드웨어 고유의 식별 정보, 즉 하드웨어 유니크 ID(Huid(S))에 의해 암호화한 암호화 데이터로서 저장한 구성인 것을 특징으로 한다.
또한, 본 발명의 서버 클라이언트 시스템의 일 실시 양태에 있어서, 상기 서버 기기 인증 처리부는, 자신이 생성한 난수(Nonce2)와 클라이언트가 유지하는 공유 비밀 정보(Secret)와의 해시값을 클라이언트 인증값(ClientAuth)으로서 클라이언트로부터 수신함과 함께, 상기 난수(Nonce2)와 상기 서버 기억부에 저장한 공유 비밀 정보(Secret)의 해시값 산출 처리를 실행하여, 수신 해시값과 산출 해시값과의 비교 대조 처리를 실행하고, 양 해시값의 일치를 조건으로 해서 클라이언트가 액세스 권한을 갖는다는 판정을 실행하는 구성인 것을 특징으로 한다.
또한, 본 발명의 서버 클라이언트 시스템의 일 실시 양태에 있어서, 상기 서버 기기 인증 처리부는, 클라이언트가 생성한 난수(Nonce1)를 수신하고, 상기 수신 난수(Nonce1)와, 상기 서버 기억부에 저장한 공유 비밀 정보(Secret)와의 해시값을 서버 인증값(ServerAuth)으로서 산출하여 클라이언트에게 송신하는 처리를 실행하는 구성인 것을 특징으로 한다.
또한, 본 발명의 서버 클라이언트 시스템의 일 실시 양태에 있어서, 상기 클라이언트 기억부는, 상기 클라이언트 ID와 서버 ID를 포함하는 공유 비밀 정보(Secret)를, 클라이언트의 하드웨어 고유의 식별 정보, 즉 하드웨어 유니크 ID(Huid(C))에 의해 암호화한 암호화 데이터로서 저장한 구성인 것을 특징으로 한다.
또한, 본 발명의 서버 클라이언트 시스템의 일 실시 양태에 있어서, 상기 클라이언트 기기 인증 처리부는, 자신이 생성한 난수(Nonce1)와 어플리케이션 게이트웨이가 유지하는 공유 비밀 정보(Secret)와의 해시값을 서버(어플리케이션 게이트웨이) 인증값(ServerAuth)으로서 어플리케이션 게이트웨이로부터 수신함과 함께, 상기 난수(Nonce1)와 상기 클라이언트 기억부에 저장한 공유 비밀 정보(Secret)의 해시값 산출 처리를 실행하여, 수신 해시값과 산출 해시값과의 비교 대조 처리를 실행하고, 양 해시값의 일치를 조건으로 해서 어플리케이션 게이트웨이가 정당하다는 판정을 실행하는 구성인 것을 특징으로 한다.
또한, 본 발명의 서버 클라이언트 시스템의 일 실시 양태에 있어서, 상기 클라이언트 기기 인증 처리부는, 어플리케이션 게이트웨이가 생성한 난수(Nonce2)를 수신하고, 상기 수신 난수(Nonce2)와, 상기 클라이언트 기억부에 저장한 공유 비밀 정보(Secret)와의 해시값을 클라이언트 인증값(ClientAuth)으로서 산출하여 어플리케이션 게이트웨이에 송신하는 처리를 실행하는 구성인 것을 특징으로 한다.
또한, 본 발명의 제4 측면은,
정보 처리 장치에 있어서의 액세스 제어 처리 방법으로서,
클라이언트로부터의 액세스 요구를 수신하는 액세스 요구 수신 스텝과,
상기 클라이언트가, 공유 비밀 정보(Secret)로서, 클라이언트의 생성 ID인 클라이언트 ID와, 정보 처리 장치의 생성 ID인 서버 ID를 갖는지의 여부의 확인 처리를 실행하여 클라이언트의 액세스 권한의 유무를 판정하는 기기 인증 처리 스텝
을 갖는 것을 특징으로 하는 액세스 제어 처리 방법에 있다.
또한, 본 발명의 액세스 제어 처리 방법의 일 실시 양태에 있어서, 상기 기기 인증 처리 스텝은, 자신이 생성한 난수(Nonce2)와 클라이언트가 유지하는 공유 비밀 정보(Secret)와의 해시값을 클라이언트 인증값(ClientAuth)으로서 클라이언트로부터 수신하는 스텝과, 상기 난수(Nonce2)와 기억부에 저장한 공유 비밀 정보(Secret)의 해시값 산출 처리를 실행하여, 수신 해시값과 산출 해시값과의 비교 대조 처리를 실행하는 스텝과, 양 해시값의 일치를 조건으로 해서 클라이언트가 액세스 권한을 갖는다는 판정을 실행하는 스텝을 포함하는 것을 특징으로 한다.
또한, 본 발명의 액세스 제어 처리 방법의 일 실시 양태에 있어서, 상기 액세스 제어 처리 방법은, 또한, 클라이언트가 생성한 난수(Nonce1)를 수신하고, 상기 수신 난수(Nonce1)와, 기억부에 저장한 공유 비밀 정보(Secret)와의 해시값을 서버 인증값(ServerAuth)으로서 산출하여 클라이언트에게 송신하는 처리를 실행하는 스텝을 포함하는 것을 특징으로 한다.
또한, 본 발명의 액세스 제어 처리 방법의 일 실시 양태에 있어서, 상기 액세스 제어 처리 방법은, 또한, 클라이언트 식별자와, 상기 공유 비밀 정보(Secret)의 해시값을 대응시킨 클라이언트 식별 테이블에 기초하여, 클라이언트로부터 수신하는 상기 공유 비밀 정보(Secret)의 해시값에 의한 테이블 검색을 실행하여, 클라이언트의 특정 처리를 실행하는 스텝을 포함하는 것을 특징으로 한다.
또한, 본 발명의 액세스 제어 처리 방법의 일 실시 양태에 있어서, 상기 액세스 제어 처리 방법은, 또한, 클라이언트 식별자와, 클라이언트와의 커넥션 식별 정보로서의 세션 ID를 대응시킨 클라이언트 세션 ID 테이블에 기초하여, 클라이언트로부터 수신하는 세션 ID에 의한 상기 클라이언트 세션 ID 테이블의 검색을 실행하여 클라이언트의 식별 처리를 실행하는 스텝을 포함하는 것을 특징으로 한다.
또한, 본 발명의 액세스 제어 처리 방법의 일 실시 양태에 있어서, 상기 액세스 제어 처리 방법은, 상기 클라이언트가 상기 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리에 의한 클라이언트의 액세스 권한 판정 처리의 개시 전에, 클라이언트와의 암호 통신에 적용할 암호 키 공유 처리를 실행하고, 상기 암호 키에 기초한 송수신 데이터의 암호화를 행하여, 상기 클라이언트가 상기 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리를 실행하는 것을 특징으로 한다.
또한, 본 발명의 액세스 제어 처리 방법의 일 실시 양태에 있어서, 상기 암호 키 공유 처리는, SSL(Secure Socket Layer) 핸드 쉐이크 처리인 것을 특징으로 한다.
또한, 본 발명의 액세스 제어 처리 방법의 일 실시 양태에 있어서, 상기 액세스 제어 처리 방법은, 또한, 상기 공유 비밀 정보(Secret)를 구성하는 클라이언트 ID, 및 서버 ID의 클라이언트와의 공유 처리를 실행하는 기기 등록 처리 스텝을 갖고, 상기 기기 등록 처리 스텝은, 클라이언트의 생성 ID인 클라이언트 ID와, 정보 처리 장치의 생성 ID인 서버 ID를 암호화 데이터로서 네트워크를 통하여 교환하는 ID 교환 처리를 실행하는 스텝을 포함하는 것을 특징으로 한다.
또한, 본 발명의 액세스 제어 처리 방법의 일 실시 양태에 있어서, 상기 기기 등록 처리 스텝은, 상기 ID 교환 처리의 실행 조건으로서, 패스워드 인증 처리를 실행하는 스텝을 포함하는 것을 특징으로 한다.
또한, 본 발명의 액세스 제어 처리 방법의 일 실시 양태에 있어서, 상기 공유 비밀 정보(Secret)를 구성하는 클라이언트 ID, 및 서버 ID의 각각은 글로벌 유니크성을 갖는 ID인 것을 특징으로 한다.
또한, 본 발명의 제5 측면은,
액세스 요구 처리를 실행하는 클라이언트에 있어서의 정보 처리 방법으로서,
어플리케이션 게이트웨이와의 접속 스텝과,
어플리케이션 게이트웨이가, 클라이언트의 생성 ID인 클라이언트 ID와, 어플리케이션 게이트웨이의 생성 ID인 서버 ID로 이루어지는 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리를 실행하여 어플리케이션 게이트웨이의 정당성을 판정하는 기기 인증 처리 스텝
을 갖는 것을 특징으로 하는 정보 처리 방법에 있다.
또한, 본 발명의 정보 처리 방법의 일 실시 양태에 있어서, 상기 기기 인증 처리 스텝은, 자신이 생성한 난수(Nonce1)와 어플리케이션 게이트웨이가 유지하는 공유 비밀 정보(Secret)와의 해시값을 서버(어플리케이션 게이트웨이) 인증값(ServerAuth)으로서 어플리케이션 게이트웨이로부터 수신하는 스텝과, 상기 난수(Nonce1)와 기억부에 저장한 공유 비밀 정보(Secret)의 해시값 산출 처리를 실행하여, 수신 해시값과 산출 해시값과의 비교 대조 처리를 실행하는 스텝과, 양 해시값의 일치를 조건으로 해서 어플리케이션 게이트웨이가 정당하다는 판정을 실행하는 스텝을 포함하는 것을 특징으로 한다.
또한, 본 발명의 정보 처리 방법의 일 실시 양태에 있어서, 상기 기기 인증 처리 스텝은, 어플리케이션 게이트웨이가 생성한 난수(Nonce2)를 수신하고, 상기 수신 난수(Nonce2)와, 기억부에 저장한 공유 비밀 정보(Secret)와의 해시값을 클라이언트 인증값(ClientAuth)으로서 산출하여 어플리케이션 게이트웨이에 송신하는 처리를 실행하는 구성인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 방법의 일 실시 양태에 있어서, 상기 정보 처리 방법은, 또한, 상기 어플리케이션 게이트웨이가 상기 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리에 의한 어플리케이션 게이트웨이의 정당성 판정 처리의 개시 전에, 어플리케이션 게이트웨이와의 암호 통신에 적용할 암호 키 공유 처리를 실행하고, 상기 암호 키에 기초한 송수신 데이터의 암호화를 행하여, 상기 어플리케이션 게이트웨이가 상기 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리를 실행하는 것을 특징으로 한다.
또한, 본 발명의 정보 처리 방법의 일 실시 양태에 있어서, 상기 암호 키 공유 처리는, SSL(Secure Socket Layer) 핸드 쉐이크 처리인 것을 특징으로 한다.
또한, 본 발명의 정보 처리 방법의 일 실시 양태에 있어서, 상기 정보 처리 방법은, 또한, 상기 공유 비밀 정보(Secret)를 구성하는 클라이언트 ID, 및 서버 ID의 어플리케이션 게이트웨이와의 공유 처리를 실행하는 기기 등록 처리 스텝을 갖고, 상기 기기 등록 처리 스텝은, 클라이언트의 생성 ID인 클라이언트 ID와, 정보 처리 장치의 생성 ID인 서버 ID를 암호화 데이터로서 네트워크를 통하여 교환하는 ID 교환 처리를 실행하는 것을 특징으로 한다.
또한, 본 발명의 정보 처리 방법의 일 실시 양태에 있어서, 상기 기기 등록 처리 스텝은, 상기 ID 교환 처리의 실행 조건으로서, 패스워드 인증 처리를 실행하는 것을 특징으로 한다.
또한, 본 발명의 정보 처리 방법의 일 실시 양태에 있어서, 상기 공유 비밀 정보(Secret)를 구성하는 클라이언트 ID, 및 서버 ID의 각각은 글로벌 유니크성을 갖는 ID인 것을 특징으로 한다.
또한, 본 발명의 제6 측면은,
정보 처리 장치에 있어서의 액세스 제어 처리를 실행하는 컴퓨터 프로그램으로서,
클라이언트로부터의 액세스 요구를 수신하는 액세스 요구 수신 스텝과,
상기 클라이언트가, 공유 비밀 정보(Secret)로서, 클라이언트의 생성 ID인 클라이언트 ID와, 정보 처리 장치의 생성 ID인 서버 ID를 갖는지의 여부의 확인 처리를 실행하여 클라이언트의 액세스 권한의 유무를 판정하는 기기 인증 처리 스텝
을 갖는 것을 특징으로 하는 컴퓨터 프로그램에 있다.
또한, 본 발명의 제7 측면은,
액세스 요구 처리를 실행하는 클라이언트에 있어서의 정보 처리를 실행하는 컴퓨터 프로그램으로서,
어플리케이션 게이트웨이와의 접속 스텝과,
어플리케이션 게이트웨이가, 클라이언트의 생성 ID인 클라이언트 ID와, 어플리케이션 게이트웨이의 생성 ID인 서버 ID로 이루어지는 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리를 실행하여 어플리케이션 게이트웨이의 정당성을 판정하는 기기 인증 처리 스텝
을 갖는 것을 특징으로 하는 컴퓨터 프로그램에 있다.
본 발명의 구성에 따르면, 외부 네트워크에 접속 가능한 클라이언트 기기와 어플리케이션 게이트웨이의 쌍방이, 공유 비밀 정보(Secret)로서, 클라이언트의 생성 ID인 클라이언트 ID:GUID(C)와, 어플리케이션 게이트웨이의 생성 ID인 서버 ID:GUID(S)를 기억부에 저장하고, 어플리케이션 게이트웨이가, 클라이언트로부터의 액세스 요구를 수신했을 때에, 클라이언트가, 옳은 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리를 실행하여 클라이언트의 액세스 권한의 유무를 판정하는 구성으로 했으므로, 홈 네트워크 등의 로컬 영역의 내부 네트워크에 대한 외부 네트워크로부터의 액세스에 대한 권한 판정 처리를 효율적으로 또한 정확하게 실행하는 것이 가능하게 된다.
또한, 본 발명의 구성에 있어서는, 클라이언트 기기와 어플리케이션 게이트웨이의 쌍방이, 공유 비밀 정보(Secret), 즉 클라이언트 ID:GUID(C)와 서버 ID:GUID(S)를 보유하는지의 여부를 확인하는 처리를 상호 실행하여, 상대의 정당성을 확인하는 구성으로 했으므로, 어느 한쪽이 부정한 경우에도 내부 네트워크에 대한 액세스가 거부되게 되어, 내부 네트워크의 외부로부터의 액세스에 대한 시큐러티를 높이는 것이 가능하게 된다.
또한, 본 발명의 구성에 따르면, 어플리케이션 게이트웨이가, 클라이언트 식별자와, 클라이언트와의 커넥션 식별 정보로서의 세션 ID를 대응시킨 클라이언트 세션 ID 테이블을 보유하는 구성으로 했으므로, 복수의 클라이언트가 외부 네트워크로부터 액세스하고 있는 경우에 있어서도, 세션 ID에 의한 클라이언트의 식별이 가능하게 된다.
또한, 본 발명의 구성에 따르면, 클라이언트가 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리에 의한 클라이언트의 액세스 권한 판정 처리의 개시 전에, 클라이언트와의 암호 통신에 적용할 암호 키 공유 처리를 실행하고, 암호 키에 기초한 송수신 데이터의 암호화를 행하여, 클라이언트가 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리를 실행하는 구성으로 했으므로, 인터넷 등, 도청의 우려가 있는 네트워크를 통한 통신에 있어서도 시큐러티가 높은 액세스 권한 판정 처리가 가능하게 된다.
또한, 본 발명의 구성에 있어서는, 클라이언트 ID:GUID(C), 및 서버 ID:GUID(S)의 공유 처리를 실행하는 기기 등록 처리에 있어서, ID 교환 전에 패스워드 인증을 실행하고, 또한, 교환 ID를 암호화 데이터로서 네트워크를 통하여 교환하는 구성으로 했으므로, 특정한 폐쇄된 네트워크에서의 시큐어한 기기 등록 처리가 실현되어, 부정한 기기 등록의 곤란성을 높이는 것이 가능하게 된다.
또한, 본 발명의 컴퓨터 프로그램은, 예를 들면, 여러 가지 프로그램 코드를 실행할 수 있는 범용 컴퓨터 시스템에 대하여, 컴퓨터 판독 가능한 형식으로 제공하는 기억 매체, 통신 매체, 예를 들면, CD나 FD, MO 등의 기억 매체, 혹은, 네트워크 등의 통신 매체에 의해서 제공 가능한 컴퓨터 프로그램이다. 이러한 프로그램을 컴퓨터 판독 가능한 형식으로 제공함으로써, 컴퓨터 시스템상에서 프로그램에 따른 처리가 실현된다.
본 발명의 또 다른 목적, 특징이나 이점은, 후술하는 본 발명의 실시예나 첨부하는 도면에 기초한, 보다 상세한 설명에 의해서 명확하게 될 것이다. 또한, 본 명세서에 있어서 시스템이라 함은, 복수의 장치의 논리적 집합 구성이고, 각 구성의 장치가 동일 케이스 내에 있는 것에 한정하는 것은 아니다.
도 1은 본 발명의 적용 가능한 네트워크 구성예를 도시하는 도면.
도 2는 네트워크 접속 기기의 구성예에 대하여 설명하는 도면.
도 3은 홈 네트워크 등의 내부 네트워크에 접속된 클라이언트에 의한 서버 발견 처리 시퀀스를 도시하는 도면.
도 4는 외부 네트워크에 접속 가능한 클라이언트의 기기 등록 처리 수순을 설명하는 시퀀스도.
도 5는 외부 네트워크에 접속된 클라이언트에 의한 인증 및 콘텐츠 취득 처리 수순을 설명하는 시퀀스도.
도 6은 외부 네트워크에 접속된 클라이언트의 인증 처리 수순을 설명하는 시퀀스도(그 1).
도 7은 외부 네트워크에 접속된 클라이언트의 인증 처리 수순을 설명하는 시퀀스도(그 2).
도 8은 어플리케이션 게이트웨이가 생성하는 클라이언트 식별 테이블의 구성예를 도시하는 도면.
도 9는 어플리케이션 게이트웨이가 생성하는 클라이언트 세션 ID 테이블의 구성예를 도시하는 도면.
도 10은 외부 네트워크에 접속된 클라이언트로부터의 디바이스 리스트 취득 요구의 처리 시퀀스를 도시하는 도면.
도 11은 외부 네트워크에 접속된 클라이언트로부터의 디바이스 리스트 취득 요구의 수신에 기초하여 어플리케이션 게이트웨이가 실행하는 처리를 설명하는 플로우도.
도 12는 어플리케이션 게이트웨이의 기능 구성을 설명하는 블록도.
도 13은 클라이언트의 기능 구성을 설명하는 블록도.
<발명을 실시하기 위한 최량의 형태>
이하, 도면을 참조하면서, 본 발명의 정보 처리 장치 및 액세스 제어 처리 방법, 정보 처리 방법, 및 컴퓨터 프로그램의 상세에 대하여 설명한다.
[시스템 개요]
우선, 도 1을 참조하여, 본 발명의 적용 가능한 네트워크 구성예에 대하여 설명한다. 도 1은, 예를 들면 특정 유저의 집 등에 구축된 홈 네트워크(100) 등의 로컬 에리어 통신망(LAN), 즉 내부 네트워크로서, 퍼스널 컴퓨터(PC)(101, 102), 하드디스크 레코더(103), TV(104), PDA(105) 등의 여러 가지 정보 처리 장치가 홈 네트워크(100)를 통하여 데이터 송수신을 행한다.
예를 들면, PC(101,102), 혹은 하드디스크 레코더(103)를 콘텐츠 제공 서버로 하고, TV(104), PDA(105)를 클라이언트로 하여, 클라이언트가 서버의 저장 콘텐츠를 네트워크를 통하여 취득하고, 클라이언트의 디스플레이, 스피커를 이용하여 콘텐츠 출력을 행한다.
홈 네트워크(100)는, 유선, 무선 등 어느 하나의 네트워크이고, 각 접속 기기는, 예를 들면 이더넷(등록상표) 프레임 등의 통신 패킷을 네트워크를 통하여 송수신한다. 즉, 클라이언트는, 이더넷 프레임의 데이터부에 처리 요구 정보를 저장한 프레임을 서버에 송신함으로써, 서버에 대한 데이터 처리 요구를 실행한다. 서버는, 처리 요구 프레임의 수신에 따라서, 데이터 처리를 실행하고, 필요에 따라 데이터 처리 결과로서의 결과 데이터를 통신 패킷의 데이터부에 저장하고, 각 클라이언트에게 송신한다.
네트워크 접속 기기는, 예를 들면 유니버설 플러그 앤드 플레이(UPnP:Universal Plug and Play) 대응 기기에 의해서 구성된다. 따라서, 네트워크에 대한 접속 기기의 추가, 삭제가 용이한 구성이다. 네트워크에 새롭게 접속하는 기기는,
(1) IP 어드레스 등의 자신의 디바이스 ID를 취득하는 어드레싱 처리.
(2) 네트워크 상의 각 디바이스의 검색을 행하여, 각 디바이스로부터 응답을 수신하고, 응답에 포함되는 디바이스 종별, 기능 등의 정보를 취득하는 디스커버리 처리.
(3) 디스커버리 처리에서 취득한 정보에 기초하여, 각 디바이스에 서비스를 요구하는 서비스 요구 처리.
상기 처리 수순을 행함으로써, 네트워크 접속된 기기를 적용한 서비스를 수령하는 것이 가능하게 된다.
도 1에 있어서, 홈 네트워크(100)는, 인터넷 등의 외부 네트워크(120)에 접속되어 있다. 외부 네트워크(120)에도 PC(121), 휴대 전화(122), 포터블 재생 플레이어(123) 등의 각종 정보 처리 장치가 접속된다. 홈 네트워크(100) 내의 정보 처리 장치와 외부 네트워크(120)의 정보 처리 장치는, 외부 네트워크(120) 및 홈 네트워크(100)를 통하여 통신이 가능하게 된다.
외부 네트워크(120) 및 홈 네트워크(100)에 의해서 구성되는 내부 네트워크 사이에는, 외부 네트워크(120)의 접속장치로부터의 액세스를 제한하기 위한 파이어월 기능을 갖는 어플리케이션 게이트웨이(110)가 설치된다. 어플리케이션 게이트웨이는, 외부 네트워크로부터의 액세스 요구에 대하여, 어플리케이션층에 있어서 통신 패킷의 체크를 실행하여, 필터링을 행한다.
또한, 어플리케이션 게이트웨이(110)는, 홈 네트워크(100)에 접속된 정보 처리 장치의 대리 응답 서버로서의 기능도 갖는다. 즉, 어플리케이션 게이트웨이(110)는, 리버스 프록시 서버 기능도 겸비한 구성을 갖는다.
이와 같이, 어플리케이션 게이트웨이(110)는, 홈 네트워크 등의 로컬 영역 내의 내부 네트워크와, 로컬 영역 밖의 외부 네트워크 사이에 위치하는 어플리케이션 게이트웨이이고, 또한 리버스 프록시 서버로서의 기능을 갖는다.
외부 네트워크(120)에 접속된 PC(121), 휴대 전화(122), 포터블 재생 플레이어(123) 등의 각종 정보 처리 장치는, 어플리케이션 게이트웨이(110)를 통하여 홈 네트워크(100) 내의 서버, 예를 들면 PC(101,102), 하드디스크 레코더(103) 등에 액세스하여, 이들의 장치에 저장된 콘텐츠를 취득해서 PC(121), 휴대 단말기(122), 재생 플레이어(123) 등에 있어서 콘텐츠 출력을 행하는 것이 가능하게 된다.
단, 이들의 콘텐츠 취득을 불특정의 클라이언트에게 허용하는 것은, 콘텐츠의 저작권, 비밀누설 등의 문제 때문에 바람직한 것이 아니다. 따라서, 외부 네트워크(120)와 홈 네트워크(100) 사이에 배치된 어플리케이션 게이트웨이(110)에 있어서, 외부로부터의 액세스에 대한 액세스 권한 판정 처리를 실행하여, 권한이 있다고 판정한 경우에 있어서만, 외부로부터의 액세스를 허용하는 구성을 갖는다. 이 상세 처리 구성에 대해서는 후술한다.
도 1에 도시하는 각 정보 처리 장치, 즉 서버, 클라이언트, 및 어플리케이션 게이트웨이를 구성하는 정보 처리 장치의 하드웨어 구성예에 대하여 도 2를 참조하여 설명한다.
CPU(Central Processing Unit)(201)은, ROM(Read Only Memory)(202), 또는 HDD(Hard Disk Drive)(204) 등에 기억되어 있는 프로그램에 따라서, 각종 처리를 실행하여, 데이터 처리 수단, 혹은 통신 제어 처리 수단으로서 기능한다. RAM(Random Access Memory)(203)에는, CPU(201)가 실행하는 프로그램이나 데이터가 적절하게 기억된다. CPU(201), ROM(202), 및 RAM(203), HDD(204)는, 버스(205)를 통하여 상호 접속되어 있다.
버스(205)에는, 입출력 인터페이스(206)가 접속되어 있고, 이 입출력 인터페이스(206)에는, 예를 들면, 유저에 의해 조작되는 키보드, 스위치, 버튼, 혹은 마우스 등에 의해 구성되는 입력부(207), 유저에게 각종 정보를 제시하는 LCD, CRT, 스피커 등에 의해 구성되는 출력부(208)가 접속된다. 또한, 데이터 송수신 수단으로서 기능하는 통신부(209), 또한, 자기 디스크, 광 디스크, 광 자기 디스크, 또는 반도체 메모리 등의 리무버블 기록 매체(211)를 장착할 수 있고, 이들의 리무버블 기록 매체(211)로부터의 데이터 판독 혹은 기입 처리를 실행하는 드라이브(210)가 접속된다.
도 2에 도시하는 구성은, 도 1에 도시하는 네트워크 접속 기기의 일례로서의 일반적인 PC의 구성을 나타내는 것이지만, 네트워크 접속 기기는 PC에 한정하지 않고, 도 1에 도시하는 바와 같이 휴대 전화, PDA 등의 휴대 통신 단말기, 그 밖의 여러 가지 전자 기기, 정보 처리 장치에 의해서 구성하는 것이 가능하다. 따라서, 각각의 기기 고유의 하드웨어 구성을 갖는 것이 가능하여, 그 하드웨어에 따른 처리를 실행한다.
[홈 네트워크 내의 클라이언트에 의한 콘텐츠 취득 처리]
도 1에 도시하는 홈 네트워크(100)에 접속된 PC(101, 102), 하드디스크 레코더(103), TV(104), PDA(105) 등의 여러 가지 정보 처리 장치간에 있어서는,상술한 유니버설 플러그 앤드 플레이(UPnP:Universal Plug and Play) 프로토콜에 따른 통신을 실행하여, 클라이언트는 서버로부터 콘텐츠를 취득하는 것이 가능하게 된다.
홈 네트워크(100)에 접속된 클라이언트, 즉 서버로부터 콘텐츠를 취득하려고 하는 정보 처리 장치는, 네트워크 상의 서버의 검색으로서의 서버 발견 처리, 예를 들면 UPnP가 규정하는 디스커버리 처리에 의해 서버로부터 서버가 제공 가능한 서비스 정보를 취득할 수 있다. 홈 네트워크(100)에 접속된 클라이언트에 의한 서버의 디스커버리 처리 시퀀스를 도 3에 도시한다.
클라이언트(301)는, 홈 네트워크를 통하여 예를 들면 네트워크 서비스의 검출 프로토콜인 SSDP(Simple Service Discovery Protocol)를 적용하여 서버 발견 처리를 행한다. 클라이언트는, 스텝 S1에 있어서, 네트워크를 통한 서치 리퀘스트를 UDP(User Datagram Protocol)에 따라서, 멀티캐스트 송신(HTTPMU:HTTPMulticast)한다. 홈 네트워크에 접속된 서버(1, 311), 서버(2, 312), 서버(3, 313)의 각각은, 클라이언트로부터의 서치 리퀘스트를 수신하면, 스텝 S2, S3, S4에 있어서, 서비스 제공 가능한 것을 나타내는 OK 레스펀스를 UDP에 따라서, 클라이언트에 대하여 유니캐스트 송신(HTTPU:HTTPUnicast)한다. 또한, OK 레스펀스에는, 각 서버에 대한 액세스 정보, 제공 가능한 서비스에 대한 정보 등이 포함된다.
상기한 디스커버리 처리에 의해, 각 서버로부터의 OK 레스펀스를 수신한 클라이언트는, 서버가 제공 가능한 서비스에 대한 정보를 확인하고, 그 후, 이들의 정보에 기초하여, 각 디바이스에 서비스를 요구하는 서비스 요구 처리를 실행한다. 예를 들면, 서버에 대한 콘텐츠 송신 요구 등을 실행하여, 서버로부터 콘텐츠를 취득해서 클라이언트의 디스플레이, 스피커를 통하여 출력하는 처리가 가능하게 된다.
[홈 네트워크 밖의 클라이언트에 의한 콘텐츠 취득 처리]
상술한 일반적인 UPnP에 따른 서버 발견 처리를 외부 네트워크에 접속된 정보 처리 단말기와 홈 네트워크 내의 서버 사이에서 실행하면, 부정한 클라이언트, 즉 콘텐츠의 이용을 허락받지 않은 클라이언트로부터 홈 네트워크에 접속된 서버의 저장 콘텐츠가 부정하게 취득되어, 이용될 가능성이 있다.
본 발명의 구성에 있어서는, 외부 네트워크에 접속된 클라이언트로부터 홈 네트워크 등의 내부 네트워크에 접속된 서버에 대한 액세스 요구를 도 1에 도시하는 어플리케이션 게이트웨이(110)에 있어서 검증하여, 액세스 권한의 판정 처리를 실행한 후에, 외부 네트워크에 접속된 클라이언트가 정당한 액세스 권한을 갖는다는 판정이 있었던 경우에만 서버에 대한 액세스를 허용한다.
(1) 기기 등록 처리
홈 네트워크 밖의 인터넷 등의 외부 네트워크에 접속하여, 홈 네트워크 내의 서버에 대한 액세스를 행하고자 하는 정보 처리 장치(모바일 기기)는, 사전에 기기 등록 처리를 행하는 것이 필요하게 된다.
즉, 모바일 기기는, 홈 네트워크 내의 어플리케이션 게이트웨이를 포함하는 정보 처리 장치 사이에서, 소정의 시퀀스에 따른 기기 등록 처리를 실행한다. 또한, 기기 등록 처리는 유저가 등록 처리 시퀀스를 실행하는 2개의 기기의 조작, 혹은 패스워드 등의 표시 정보의 확인을 하는 것이 필요하고, 예를 들면 홈 네트워크에 양 기기(모바일 기기와 어플리케이션 게이트웨이)를 접속하여 실행한다.
도 4를 참조하여 모바일 기기의 기기 등록 처리의 수순에 대하여 설명한다. 도 4에는, 좌측에 모바일 기기로서의 클라이언트, 우측에 홈 네트워크 내의 어플리케이션 게이트웨이를 포함하는 정보 처리 장치를 의미하는 서버의 처리를 나타내고 있다.
우선, 스텝 S11에 있어서, 유저가 클라이언트측에 설치된 기기 등록 버튼을 누른다. 그러면, 클라이언트는, 스텝 S12에 있어서, 등록 요구를 브로드캐스트한다. 이것은, UDP(User Datagram Protocol)에 따른 멀티캐스트 송신으로서 실행된다.
등록 요구를 수신한 서버는, 스텝 S13에 있어서 확인 요구를 클라이언트에 대하여 유니캐스트 송신한다. 이 이후의 데이터 송수신 처리는, TCP(Transmission Control Protocol)에 따라서 실행된다. 서버로부터 클라이언트에게 송신하는 확인 요구에는 서버명이 포함된다. 확인 요구를 수신한 클라이언트는, 스텝 S14에 있어서 확인 요구 응답을 서버에 대하여 송신한다. 확인 요구 응답에는 클라이언트명이 포함된다.
확인 요구 응답을 수신한 서버는, 스텝 S15에 있어서 유저에게 대하여 「클라이언트“YYYY”를 위한 원 타임 패스워드는 “○○○○”입니다.」인 메시지를 표시한다. 즉, 원 타임 패스워드를 서버의 디스플레이에 표시한다. 이 패스워드는, 서버가 예를 들면 난수 발생 처리에 의해 생성하는 것이다.
유저는, 원 타임 패스워드를 확인하고, 서버측으로부터 클라이언트측으로 이동한다. 클라이언트측으로 이동해 온 유저는, 스텝 S16에 있어서 서버측에 제시된 원 타임 패스워드를 클라이언트의 입력 수단으로부터 입력한다. 스텝 S17에 있어서, 클라이언트는 입력 패스워드를 서버에 송신한다.
서버는, 원 타임 패스워드 제시 후의 소정 시간의 대기 중에 클라이언트로부터의 패스워드를 수신하면, 스텝 S18에 있어서, 앞의 스텝 S15에 있어서 서버가 생성하여 유저에게 제시한 원 타임 패스워드와 수신 패스워드와의 대조 처리를 실행한다. 서버는, 스텝 S19에 있어서, 클라이언트에 대하여 패스워드 대조 OK/NG의 통지를 행한다. 패스워드 대조 NG인 경우에는 처리를 중지한다. 패스워드 대조 OK인 경우에는, 스텝 S20에 있어서, 암호화 통신 처리를 가능하게 하기 위한 SSL(Secure Socket Layer) 핸드 쉐이크 처리로 이행한다.
SSL 핸드 쉐이크에 의해, 서버 및 클라이언트는, 암호 통신을 위한 키로서 적용 가능한 비밀 정보의 공유를 행하고, 그 후의 통신에 있어서는, 공유한 비밀 정보를 이용한 암호화 데이터의 송수신이 가능하게 된다.
스텝 S21에 있어서, 서버는, 예를 들면 난수 발생 처리에 의해 ID를 생성한다. ID는, 글로벌 유니크성을 갖는 것이 바람직하고, 예를 들면 128bit 이상의 비트열로서 생성된다. 서버가 생성하는 ID를 서버 ID:GUID(S)라고 한다. GUID는, Globally Unique Identifier를 의미한다.
스텝 S22에 있어서, 서버는, 생성한 서버 ID:GUID(S)를 SSL 핸드 쉐이크에 의해 서버 클라이언트 사이에서 공유한 키로 암호화하여 클라이언트에게 송신한다. 클라이언트는, 수신 데이터를 복호하여 서버 ID:GUID(S)를 취득한다.
한편, 클라이언트는, 스텝 S23에 있어서, 예를 들면 난수 발생 처리에 의해 ID를 생성한다. ID는, 글로벌 유니크성을 갖는 것이 바람직하고, 예를 들면 128bit 이상의 비트열로서 생성된다. 클라이언트가 생성하는 ID를 클라이언트 ID:GUID(C)라고 한다.
스텝 S24에 있어서, 클라이언트는, 생성한 클라이언트 ID:GUID(C)를 SSL 핸드 쉐이크에 의해 서버 클라이언트 사이에서 공유한 키로 암호화하여 서버에 송신한다. 서버는, 수신 데이터를 복호하여 클라이언트 ID:GUID(C)를 취득한다.
스텝 S25에 있어서, 클라이언트는, 서버로부터 수신한 서버 ID:GUID(S)와 자체 디바이스에서 생성한 클라이언트 ID:GUID(C)를 기억 수단에 암호화하여 저장한다. 암호화 키로서는, 예를 들면 자체 디바이스의 하드웨어 고유의 식별 정보, 즉 하드웨어 유니크 ID(Huid(C))를 적용한다. 서버 ID:GUID(S) 및 클라이언트 ID:GUID(C)는 암호화 데이터로서 기억부에 저장된다.
이와 같이, 서버 ID:GUID(S) 및 클라이언트 ID:GUID(C)는, 하드웨어 유니크 ID(Huid(C))에 의한 암호화가 이루어져, 부정 카피, 개찬(改竄) 곤란성을 높인 암호화 데이터로서, 즉, 탬퍼 레지스턴트성을 확보한 데이터로서 저장된다.
스텝 S26에 있어서, 서버는, 클라이언트로부터 수신한 클라이언트 ID:GUID(C)와 자체 디바이스에서 생성한 서버 ID:GUID(S)를 기억 수단에 암호화하여 저장한다. 암호화 키로서는, 클라이언트와 마찬가지로, 자체 디바이스의 하드웨어 고유의 식별 정보, 즉 하드웨어 유니크 ID(Huid(S))를 적용한다. 서버에 있어서도, 서버 ID:GUID(S) 및 클라이언트 ID:GUID(C)는 암호화 데이터로서 기억부에 저장되어, 부정 카피, 개찬이 곤란한 탬퍼 레지스턴트성이 확보된다.
상술한 처리에 의해, 외부 네트워크에 접속 가능한 모바일 기기와, 홈 네트워크 내의 어플리케이션 게이트웨이를 포함하는 서버의 각각은, 각각, 서버 ID:GUID(S) 및 클라이언트 ID:GUID(C)를 공유하는 비밀 정보(Secret)로서 보유하게 된다.
(2) 기기 인증 처리
상술한 기기 등록 처리에 의해, 서버 ID:GUID(S) 및 클라이언트 ID:GUID(C)를 어플리케이션 게이트웨이와의 공유 비밀 정보(Secret)로서 보유한 모바일 기기는, 인터넷 등의 외부 네트워크에 접속하고, 도 1에 도시하는 어플리케이션 게이트웨이(110)에 접속하여, 소정의 액세스 권한 판정 처리 시퀀스를 실행함으로써, 홈 네트워크 등의 내부 네트워크에 접속된 서버에 대한 액세스가 가능해져, 서버로부터의 콘텐츠 취득 등이 허용된다.
즉, 모바일 기기는, 어플리케이션 게이트웨이(110)에 의해서 공유 비밀 정보(Secret)인 서버 ID:GUID(S) 및 클라이언트 ID:GUID(C)를 적용한 액세스 권한 판정 처리가 실행되고, 액세스 권한이 있다는 판정을 조건으로 해서, 홈 네트워크 내의 서버에 대한 액세스가 가능하게 된다.
도 5에, 외부 네트워크에 접속한 모바일 기기와, 어플리케이션 게이트웨이와의 통신 처리 시퀀스를 나타낸다.
도 5에 있어서, 클라이언트는 외부 네트워크에 접속된 클라이언트이고, 서버는 홈 네트워크 등의 내부 네트워크에 속하고, 어플리케이션 게이트웨이가, 양 네트워크 사이에 존재하고 있다.
클라이언트는, 스텝 S31에 있어서, 어플리케이션 게이트웨이에 접속한다. 또한, 클라이언트는, 어플리케이션 게이트웨이에 접속하기 위해서 어플리케이션 게이트웨이의 IP 어드레스, 포트 번호를 취득하는 것이 필요하다. 예를 들면, 어플리케이션 게이트웨이에 설정된 호스트명 등에 기초하여, 네트워크 상의 DNS(Domain Name System) 서버, 그 밖에, ISP(Internet Service Provider)가 제공하는 서비스 서버에 의해서, 어플리케이션 게이트웨이의 IP 어드레스, 포트 번호를 취득하여 접속을 행한다.
또한, 클라이언트는, 명시적으로 어플리케이션 게이트웨이에 접속하는 처리를 실행하지 않고, 예를 들면 어플리케이션 게이트웨이가 접속된 홈 네트워크 등, 내부 네트워크의 접속 서버의 호스트명을 이용하여 서버에 대한 다이렉트 접속을 시도한 경우에 있어서도, 각 서버에 설정된 게이트웨이의 설정 정보에 기초하여, 클라이언트는, 외부 네트워크와 내부 네트워크 사이에 설치된 어플리케이션 게이트웨이에 접속되어, 이하에 설명하는 기기 인증 시퀀스가 실행된다.
또한, 클라이언트와 어플리케이션 게이트웨이와의 접속은, 접속 기간에 있어서 복수의 HTTP 패킷의 송수신이 가능한 HTTP 킵 얼라이브(HTTP Keep Alive)가 설정된 TCP 접속으로 하고, 1접속 시퀀스에 있어서, 이하에 설명하는 SSL(Secure Socket Layer) 핸드 쉐이크 처리 및 로그인 처리를 계속해서 실행하는 것이 바람직하다.
스텝 S32에 있어서, 클라이언트와 어플리케이션 게이트웨이 사이에 있어서, SSL(Secure Socket Layer) 핸드 쉐이크 처리를 실행한다. SSL 핸드 쉐이크에 의해, 클라이언트와 어플리케이션 게이트웨이는, 암호 통신을 위한 키로서 적용 가능한 비밀 정보(세션 키)의 공유를 행하고, 그 후의 통신에 있어서는, 공유한 비밀 정보(세션 키)를 이용한 암호화 데이터의 송수신이 가능하게 된다.
스텝 S33에 있어서, 클라이언트와 어플리케이션 게이트웨이 사이에 있어서, 기기 인증 처리로서의 로그인(Login) 처리를 실행한다. 로그인(Login) 처리의 상세에 대하여, 도 6, 도 7을 참조하여 설명한다.
정규의 액세스 권한을 갖는 클라이언트는, 상술한 기기 등록 처리를 실행하고 있고, 서버 ID:GUID(S) 및 클라이언트 ID:GUID(C)를 어플리케이션 게이트웨이와 함께 공유하는 비밀 정보(Secret)로서 보유한다. 또한, 서버 ID:GUID(S)는, 도 4를 참조하여 설명한 기기 등록 시퀀스에 있어서, 어플리케이션 게이트웨이가 생성한 서버 ID이다.
기기 인증은, 클라이언트와 어플리케이션 게이트웨이의 각각이, 비밀 정보(Secret), 즉 서버 ID:GUID(S) 및 클라이언트 ID:GUID(C)를 공유하고 있는 것을 상호 확인하는 처리로서 실행된다. 어플리케이션 게이트웨이는, 게이트웨이의 기억부에 저장하고 있는 서버 ID:GUID(S) 및 클라이언트 ID:GUID(C)와 동일한 값을 클라이언트가 알고 있는 것을 확인하고, 이 확인을 조건으로 해서 클라이언트를 인증한다. 또한, 클라이언트는, 클라이언트의 기억부에 저장하고 있는 서버 ID:GUID(S) 및 클라이언트 ID:GUID(C)와 동일한 값을 게이트웨이가 알고 있는 것을 확인하고, 이 확인을 조건으로 해서 게이트웨이를 인증한다.
도 6, 도 7에 있어서, Secret=GUID(C)∥GUID(S)이다. 또한, A∥B는 A와 B의 연결을 나타낸다.
우선, 클라이언트는, 도 6에 도시하는 스텝 S 51에 있어서, Secret=GUID(C)∥GUID(S)에 일방향성 함수로서의 해시 함수(h)를 적용하여 다이제스트값을 하기 식에 따라서 계산한다.
Digest=h(Secret)
또한, 클라이언트는 난수(Nonce1)를 생성한다. 또한, 해시 함수로서는 예를 들면 MD5 등의 함수를 적용할 수 있다.
스텝 S52에 있어서, 클라이언트는, 생성한 다이제스트(Digest) 및 난수(Nonce1)를 어플리케이션 게이트웨이에 송신한다.
또한, 클라이언트와 어플리케이션 게이트웨이 사이에 있어서 이미 커넥션이 설정되어 세션이 계속되고 있는 동안에 있어서 재차 인증을 실행하는 경우, 클라이언트가 어플리케이션 게이트웨이로부터 수령 완료한 세션 ID를 보유하고 있기 때문에, 클라이언트는, 세션 ID에 대해서도 어플리케이션 게이트웨이에 송신한다. 초기 접속인 경우에는, 클라이언트는, 세션 ID를 유지하고 있지 않으므로, 생성한 다이제스트(Digest) 및 난수(Nonce1)만을 어플리케이션 게이트웨이에 송신한다.
또한, 도 6, 도 7에 도시하는 로그인 처리 시퀀스에 있어서 클라이언트와 어플리케이션 게이트웨이 사이에서 송수신하는 데이터는, 도 5에 도시하는 스텝 S32의 SSL 핸드 쉐이크 처리에 있어서 쌍방에서 공유하고 있는 키를 이용하여 암호화된다. 클라이언트와 어플리케이션 게이트웨이 사이의 통신은, 인터넷 등의 외부 네트워크를 통한 통신으로서 실행되지만, 암호화 통신에 의한 시큐러티가 확보된다.
스텝 S53에 있어서, 어플리케이션 게이트웨이는, 클라이언트로부터의 수신 데이터에 포함되는 Digest=h(Secret)를 바탕으로 클라이언트의 특정을 행한다. 어플리케이션 게이트웨이는, 도 8에 도시하는 바와 같은 클라이언트 식별자와 Digest=h(Secret)의 대응 테이블(클라이언트 식별 테이블)을 기억부에 저장하고 있다.
또한, 이 클라이언트 식별 테이블은, 어플리케이션 게이트웨이가, 도 4를 참조하여 설명한 기기 등록 처리시에, 클라이언트와 공유한 비밀 정보(Secret), 즉 서버 ID:GUID(S) 및 클라이언트 ID:GUID(C)에 기초한 해시값 산출 처리를 실행하여, 클라이언트 식별자에 대응한 엔트리를 생성하여 기억부에 저장한다.
스텝 S54에 있어서, 어플리케이션 게이트웨이는 서버 인증값(ServerAuth)를 하기 식에 따라서 생성한다.
ServerAuth=h(Secret∥Nonce1)
즉, Secret=GUID(C)∥GUID(S)와, 클라이언트로부터 수신한 난수(Nonce1)와의 결합 데이터에 대한 해시값을 구하고, 이것을 서버(어플리케이션 게이트웨이) 인증값(ServerAuth)으로 한다. 또한, 어플리케이션 게이트웨이는, 난수(Nonce2)를 생성한다.
또한, 어플리케이션 게이트웨이는, 클라이언트와의 접속이 초기 접속이고, 스텝 S52에 있어서, 클라이언트로부터 세션 ID를 수신하고 있지 않은 경우에는, 커넥션 식별 정보로서의 세션 ID를 생성하여, 클라이언트 식별자와 대응시켜 보존한다.
어플리케이션 게이트웨이는, 커넥션이 계속되고 있는 클라이언트에 대하여, 도 9에 도시하는 바와 같이 클라이언트 식별자와 세션 ID를 대응시킨 클라이언트 세션 ID 테이블에 엔트리를 설정하여 기억부에 저장한다.
어플리케이션 게이트웨이가, 외부 네트워크의 복수의 클라이언트와 접속하고 있는 경우에도, 어플리케이션 게이트웨이는, 도 9에 도시하는 클라이언트 세션 ID 테이블에 기초하여, 세션 ID로부터 개개의 클라이언트를 판별하는 것이 가능하게 된다.
스텝 S55에 있어서, 어플리케이션 게이트웨이는, 클라이언트에 대하여 서버 인증값[ServerAuth=h(Secret∥Nonce1)]과, 생성 난수(Nonce2)를 송신한다.
스텝 S56에 있어서, 클라이언트는, 어플리케이션 게이트웨이로부터 수신한 서버 인증값[ServerAuth=h(Secret∥Nonce1)]과, 자체 디바이스에서 생성한 ServerAuth’=h(Secret∥Nonce1)를 비교 대조한다. 양 값이 일치, 즉, ServerAuth=ServerAuth’가 성립하면, 클라이언트는, 통신을 행하고 있는 어플리케이션 게이트웨이가, 자신이 보유하는 비밀 정보, 즉, Secret=GUID(C)∥GUID(S)와 동일한 비밀 정보를 갖는 어플리케이션 게이트웨이이고, 기기 등록 시퀀스에 기초하여 비밀 정보를 공유한 정당한 어플리케이션 게이트웨이라고 판정한다.
한편, 어플리케이션 게이트웨이로부터 수신한 서버 인증값[ServerAuth=h(Secret∥Nonce1)]과, 자체 디바이스에서 생성한 ServerAuth’=h(Secret∥Nonce1)이 일치하지 않는 경우에는, 어플리케이션 게이트웨이는, 클라이언트가 기억부에 저장한 비밀 정보, 즉, Secret=GUID(C)∥GUID(S)와 동일한 비밀 정보를 갖지 않는 디바이스로서, 기기 등록 시퀀스에 기초하여 비밀 정보를 공유한 어플리케이션 게이트웨이가 아니고, 부정한 어플리케이션 게이트웨이라고 판정한다. 이 경우, 클라이언트는, 어플리케이션 게이트웨이와의 접속을 절단한다.
정당한 어플리케이션 게이트웨이라고 판정된 경우에는, 다음의 스텝, 즉, 도 7의 스텝 S57로 진행한다.
도 7의 스텝 S57에 있어서, 클라이언트는, 클라이언트 인증값(ClientAuth)을 하기 식에 따라서 생성한다.
ClientAuth=h(Secret∥Nonce2)
즉, Secret=GUID(C)∥GUID(S)와, 어플리케이션 게이트웨이로부터 수신한 난수(Nonce2)와의 결합 데이터에 대한 해시값을 구하고, 이것을 클라이언트 인증값(ClientAuth)으로 한다.
스텝 S58에 있어서, 클라이언트는, 어플리케이션 게이트웨이에 대하여 클라이언트 인증값[ClientAuth=h(Secret∥Nonce2)]을 송신한다.
스텝 S59에 있어서, 어플리케이션 게이트웨이는, 클라이언트로부터 수신한 클라이언트 인증값[ClientAuth=h(Secret∥Nonce2)]과, 자체 디바이스에서 생성한 ClientAuth’=h(Secret∥Nonce2)를 비교 대조한다. 양 값이 일치, 즉 ClientAuth=ClientAuth’가 성립하면, 어플리케이션 게이트웨이는, 통신을 행하고 있는 클라이언트가, 자신이 보유하는 비밀 정보, 즉, Secret=GUID(C)∥GUID(S)와 동일한 비밀 정보를 갖는 클라이언트이고, 기기 등록 시퀀스에 기초하여 비밀 정보를 공유한 정당한 클라이언트라고 판정한다.
한편, 클라이언트로부터 수신한 클라이언트 인증값[ClientAuth=h(Secret∥Nonce2)]과, 자체 디바이스에서 생성한 ClientAuth’=h(Secret∥Nonce2)이 일치하지 않는 경우에는, 클라이언트는, 어플리케이션 게이트웨이가 기억부에 저장한 비밀 정보, 즉, Secret=GUID(C)∥GUID(S)와 동일한 비밀 정보를 갖지 않는 디바이스로서, 기기 등록 시퀀스에 기초하여 비밀 정보를 공유한 클라이언트가 아니고, 부정한 클라이언트라고 판정한다.
스텝 S60에 있어서, 어플리케이션 게이트웨이는, 클라이언트의 인증 결과 [OK] 또는 [NG]를 클라이언트에게 송신한다. [OK]이면, 세션 ID도 함께 송신한다.
스텝 S61에 있어서, 클라이언트는, 인증이 성립하면, 어플리케이션 게이트웨이로부터 수신한 세션 ID를 기억부에 저장하고, 다음의 처리(예를 들면 도 5의 스텝 S34의 디바이스 리스트 취득 처리)로 이행한다. 인증이 성립하지 않은 경우에는, 어플리케이션 게이트웨이와의 접속을 절단한다.
이상의 처리에 의해, 외부 네트워크에 접속된 클라이언트와, 홈 네트워크 등의 내부 네트워크에 접속된 어플리케이션 게이트웨이와의 인증 처리가 종료하고, 인증 성립을 조건으로 해서, 클라이언트는, 홈 네트워크 등의 내부 네트워크에 접속된 서버에 관한 정보 취득, 서버에 대한 액세스, 서버로부터의 콘텐츠 취득 등의 처리가 가능하게 된다.
전술한 바와 같이, 기기 인증 처리는, 클라이언트와, 어플리케이션 게이트웨이의 각각이, 공유한 비밀 정보(Secret), 즉, 서버 ID:GUID(S) 및 클라이언트 ID:GUID(C)를 공유하고 있는 것을 상호 확인하는 처리로서 실행된다.
즉, 어플리케이션 게이트웨이는, 게이트웨이의 기억부에 저장하고 있는 서버 ID:GUID(S) 및 클라이언트 ID:GUID(C)와 동일한 값을 클라이언트가 알고 있는 것을 확인하고, 이 확인을 조건으로 해서 클라이언트를 인증한다. 또한, 클라이언트는, 클라이언트의 기억부에 저장하고 있는 서버 ID:GUID(S) 및 클라이언트 ID:GUID(C)와 동일한 값을 게이트웨이가 알고 있는 것을 확인하고, 이 확인을 조건으로 해서 게이트웨이를 인증한다. 이와 같이, 상호 인증 처리를 실행하게 되어, 상호의 신뢰성이 확보된 것을 조건으로 해서 그 후의 처리를 실행할 수 있게 된다.
(3) 디바이스 리스트의 취득 처리
외부 네트워크에 접속된 클라이언트와 어플리케이션 게이트웨이 사이에서의 로그인 처리가 완료하고, 양 디바이스의 신뢰성이 확인되면, 클라이언트는, 홈 네트워크 등, 어플리케이션 게이트웨이가 접속된 내부 네트워크 내의 서버 정보를 취득하는 처리로 이행한다.
홈 네트워크 내에 접속된 클라이언트이면, 이 디바이스 정보 취득 처리는, 먼저 도 3을 참조하여 설명한 바와 같이, 네트워크 서비스의 검출 프로토콜인 SSDP(Simple Service Discovery Protocol)를 적용한 처리로서 실행할 수 있다. 즉, 네트워크를 통한 서치 리퀘스트를 UDP(User Datagram Protocol)에 따라서, 멀티캐스트 송신(HTTPMU:HTTPMulticast)하고, 홈 네트워크에 접속된 서버로부터 제공 가능한 서비스에 대한 정보가 포함되는 OK 레스펀스를 UDP에 따라서 수신함으로써 서버 정보를 취득할 수 있었다.
그러나, 외부 네트워크에 접속되어, 어플리케이션 게이트웨이와 통신을 행하고 있는 클라이언트는, 상술한 것과 마찬가지의 UDP 패킷의 멀티캐스트 송신을 실행하여 홈 네트워크 내의 서버 정보를 취득할 수는 없다.
따라서, 새로운 정의 커맨드를 이용하여, 이 신 정의 커맨드를 클라이언트로부터 어플리케이션 게이트웨이에 송신하고, 어플리케이션 게이트웨이에 있어서 수신 커맨드에 기초하여, SSDP(Simple Service Discovery Protocol)를 적용한 처리에 따라서 홈 네트워크 내에 있어서 서버 발견 처리를 실행하고, 그 결과로서 어플리케이션 게이트웨이가 취득한 서버 정보를 클라이언트에 대하여 송신한다.
도 5에 도시하는 스텝 S34에 있어서, 클라이언트는, 신 정의 커맨드로서의 디바이스 리스트 취득 커맨드(Get Device List)를 어플리케이션 게이트웨이에 송신하고, 어플리케이션 게이트웨이에 있어서 수신 커맨드에 기초하여, SSDP(Simple Service Discovery Protocol)를 적용한 처리에 따라서 홈 네트워크 내에 있어서 서버 발견 처리를 실행하고, 서버는, 스텝 S35에 있어서, SSDP 처리 결과로서 취득한 서버 정보, 즉 디바이스 리스트를 클라이언트에 대하여 송신한다. 디바이스 리스트에는, 서버에 대한 액세스 정보, 서버가 제공 가능한 서비스 정보가 포함된다.
이하, 도 10을 참조하여 외부 네트워크에 접속된 클라이언트에 의한 서버 정보 취득 처리로서 실행되는 디바이스 리스트 취득(Get Device List) 처리 시퀀스의 상세에 대하여 설명한다.
도 10에 있어서, 클라이언트는 외부 네트워크에 접속된 클라이언트이고, 서버는 홈 네트워크 등의 내부 네트워크에 속하고, 어플리케이션 게이트웨이가, 양 네트워크 사이에 존재하고 있는 것으로 한다. 클라이언트와 어플리케이션 게이트웨이 사이에서는 상술한 로그인 처리가 실행 완료이고, 상호 인증이 성립하여 신뢰성이 보증되어 있는 것으로 한다.
스텝 S71에 있어서, 클라이언트는, 어플리케이션 게이트웨이에 대하여 신 정의 커맨드, 즉 서버 정보로서의 디바이스 리스트 취득[Get Device list] 요구 커맨드를 송신한다.
어플리케이션 게이트웨이는, 디바이스 리스트 취득[Get Device list] 요구 커맨드를 수신하면, 클라이언트 확인 처리를 실행한 후, 스텝 S72에 있어서, 디바이스 리스트의 취득 처리를 실행한다.
어플리케이션 게이트웨이에 있어서의 처리의 상세에 대하여, 도 11을 참조하여 설명한다.
스텝 S101에 있어서, 어플리케이션 게이트웨이는, 클라이언트로부터 디바이스 리스트 취득[Get Device list] 요구 커맨드를 수신하면, 우선, 클라이언트가 로그인 처리에 의해 인증이 성립한 클라이언트인지의 여부를 판정한다. 도 9를 참조하여 설명한 클라이언트 식별자와 세션 ID를 대응시킨 클라이언트 세션 ID 테이블 등록된 클라이언트이면, 로그인 처리에 의한 인증이 성립한 클라이언트이고, 미등록된 클라이언트이면, 로그인 처리에 의한 인증이 성립하지 않은 클라이언트이므로, 처리의 속행을 중지하고, 스텝 S106에 있어서 에러 메시지를 클라이언트에게 송신하고, 스텝 S107에서 클라이언트와의 커넥션을 절단하고, 처리를 종료한다.
디바이스 리스트 취득[Get Device list] 요구 커맨드의 송신 클라이언트가, 클라이언트 세션 ID 테이블 등록된 클라이언트이면, 로그인 처리에 의한 인증이 성립한 클라이언트라고 판정하고, 스텝 S103에 있어서, 디바이스 리스트 취득 처리를 실행한다.
디바이스 리스트의 취득은, UPnP의 SSDP(Simple Service Discovery Protocol)를 적용한 처리로서 실행된다. 즉, 어플리케이션 게이트웨이는, 어플리케이션 게이트웨이가 접속된 홈 네트워크 등의 내부 네트워크에 있어서 서버 발견 처리를 실행하여, 각 서버로부터의 서버 정보를 수신한다. 이것은, 네트워크를 통한 서치 리퀘스트를 UDP(User Datagram Protocol)에 따라서, 어플리케이션 게이트웨이로부터 멀티캐스트 송신(HTTPMU:HTTPMulticast)하고, 홈 네트워크에 접속된 서버로부터 제공 가능한 서비스에 대한 정보가 포함되는 OK 레스펀스를 UDP에 따라서 수신하는 처리이다.
스텝 S104에 있어서, 어플리케이션 게이트웨이는, 디바이스 리스트의 취득에 성공했는지의 여부를 판정하고, 취득 처리에 실패한 경우에는, 스텝 S108에 있어서, 디바이스 리스트의 취득 에러 메시지를 클라이언트에게 송신한다.
디바이스 리스트의 취득에 성공한 경우에는, 스텝 S105로 진행하여, 취득한 디바이스 리스트를 클라이언트에게 송신한다. 어플리케이션 게이트웨이는, 홈 네트워크 내에서 UDP 패킷에 의해 각 서버로부터 수신한 서버가 제공 가능한 서비스 정보를 TCP 패킷의 페이로드로서 저장한 TCP 패킷을 생성하여 클라이언트에게 송신한다. 또한, 이 디바이스 리스트의 송신 데이터는, 상술한 SSL 핸드 쉐이크 처리에 있어서 클라이언트와 공유한 비밀 정보(암호 키)에 의해서 암호화되어 송신된다. 디바이스 리스트에는, 서버에 대한 액세스 정보, 서버가 제공 가능한 서비스 정보가 포함된다.
도 10에 도시하는 스텝 S73에 있어서, 어플리케이션 게이트웨이는, 홈 네트워크 내의 서버1, 서버2, 서버3으로부터 수신한 서비스 제공 가능하다는 것을 나타내는 OK 레스펀스와, 서버에 있어서 제공 가능한 서비스에 대한 정보를 포함하는 디바이스 리스트를 암호화하여 클라이언트에게 송신한다.
상기한 처리에 의해, 각 서버로부터의 OK 레스펀스를 어플리케이션 게이트웨이를 통하여 수신한 클라이언트는, 상술한 SSL 핸드 쉐이크 처리에 있어서 어플리케이션 게이트웨이와 공유한 비밀 정보(암호 키)에 의해서 수신 데이터를 복호하여 서버 리스트를 취득하고, 서버에 대한 액세스 정보 및 제공 가능한 서비스에 대한 정보를 확인한다. 그 후, 이들의 정보에 기초하여, 서버에 서비스를 요구하는 서비스 요구 처리를 실행한다. 예를 들면, 서버에 대한 콘텐츠 송신 요구 등을 실행하여, 콘텐츠를 취득해서 클라이언트의 디스플레이, 스피커를 통하여 출력하는 처리가 가능하게 된다.
또한, 어플리케이션 게이트웨이가 클라이언트로부터 디바이스 리스트 취득[Get Device list] 요구 커맨드를 수신하기 이전에, 이미 서버 정보를 취득 완료한 경우에는, 어플리케이션 게이트웨이는, 클라이언트로부터의 디바이스 리스트 취득[Get Device list] 요구 커맨드의 수신 후, 새롭게 서버 발견 처리를 실행하지 않고, 축적 완료된 서버 정보를 클라이언트에게 송신해도 좋다.
이와 같이, 외부 네트워크에 접속된 정규의 액세스 권한을 갖는 클라이언트는, UPnP에 있어서 적용되는 SSDP(Simple Service Discovery Protocol)에 기초한 서버 정보와 완전히 동일한 정보를 어플리케이션 게이트웨이를 통하여 수신할 수 있으므로, 홈 네트워크 내의 클라이언트와 마찬가지의 환경에서 서버에 대한 서비스 요구를 실행하는 것이 가능하게 된다.
디바이스 리스트를 취득한 클라이언트는, 도 5에 도시하는 스텝 S36에 있어서, 서버에 대한 콘텐츠 취득 요구를 행한다. 서버에 대한 콘텐츠 취득 처리는, 예를 들면 취득한 서버 정보에 포함되는 콘텐츠의 URL을 지정한 HTTP(Hyper Text Transfer Protocol) GET 메소드 리퀘스트의 송신 처리로서 실행 가능하다.
스텝 S37에 있어서, 어플리케이션 게이트웨이는, 서버에 대한 콘텐츠 요구를 중계하여 패킷을 서버에 송신한다. 클라이언트로부터 패킷을 수신한 게이트웨이는, 수신 패킷의 HOST 헤더값에 기입된 디바이스의 IP 어드레스와 포트 번호에 새롭게 커넥션을 연결하여, 패킷 내용을 변경하지 않고 중계한다. 이에 의해, 종래 사용하고 있던 프로토콜을 변경하지 않고, 외부 네트워크에 접속된 클라이언트와 내부 네트워크에 접속된 서버 사이에서의 통신 및 서버로부터 클라이언트에 대한 서비스 제공이 가능하게 된다.
서버가 콘텐츠 요구를 수신하면, 서버는, 지정 콘텐츠를 자신의 기억 수단으로부터 취득하여, 클라이언트에게 송신한다. 콘텐츠는, 어플리케이션 게이트웨이를 통하여 클라이언트에게 송신(단계 S38, S39)된다. 클라이언트는, 서버로부터의 수신 콘텐츠를 클라이언트의 디스플레이, 스피커를 통하여 재생하는 것이 가능하게 된다.
[어플리케이션 게이트웨이, 및 클라이언트의 기능 구성]
어플리케이션 게이트웨이, 클라이언트, 및 서버의 하드웨어 구성에 대해서는, 앞서 도 2를 참조하여 설명한 바와 같고, 상술한 각종 처리는, 어플리케이션 게이트웨이, 클라이언트, 및 서버 각각의 기억부에 저장된 프로그램에 따라서 제어부로서의 CPU가 실행한다.
CPU에 의해서 실행되는 처리는, 예를 들면 어플리케이션 게이트웨이에서는, 클라이언트로부터의 요구를 입력하고, 입력 정보의 해석, 해석 결과에 기초한 기기 등록 처리, 기기 인증 처리(로그인 처리), SSDP에 따른 서버 발견 처리, 패킷 중계 처리, 패킷 생성, 해석 처리, 그리고, 기기 등록 처리에 있어서의 패스워드 등, 각종 메시지 출력, 유저 입력 정보의 해석 처리 등이다. 클라이언트측의 처리로서는, 어플리케이션 게이트웨이로부터 수신하는 정보 해석 처리, 어플리케이션 게이트웨이와 송수신하는 패킷 생성, 해석 처리, 기기 등록 처리, 기기 인증 처리, 메시지 출력, 유저 입력 정보의 해석 처리, 콘텐츠 재생 처리 등이다.
기본적으로 이들의 처리는, 어플리케이션 게이트웨이, 클라이언트 장치에 각각 구비된 제어부로서의 CPU의 제어 하에서 미리 저장된 처리 프로그램에 따라서 실행된다. 제어부로서의 CPU가 실행하는 처리 및 기억부의 저장 데이터 중, 본 발명에 관련된 주요 구성에 대하여, 도 12 및 도 13을 참조하여 설명한다. 도 12는, 어플리케이션 게이트웨이의 주요 기능 구성을 설명하는 블록도이고, 도 13은, 클라이언트의 주요 기능 구성을 설명하는 블록도이다.
우선, 도 12의 블록도를 참조하여 어플리케이션 게이트웨이의 기능 구성에 대하여 설명한다. 데이터 송수신 처리부(501)는, 클라이언트 및 서버에 대한 패킷 송수신 처리를 실행한다. 데이터 송수신 처리부(501)는, 송신 패킷의 생성 처리, 수신 패킷의 해석 처리를 행한다. 패킷의 어드레스 설정, 어드레스인식, 데이터부에 대한 데이터 저장, 데이터부로부터의 데이터 취득 처리 등이다.
데이터 입력부(502)는, 키보드, 스위치 등의 입력 수단으로부터의 입력 정보를 각 처리부에 대하여 입력한다. 데이터 출력부(503)는, 각종 처리부의 출력 신호를 외부의 출력부로서의 디스플레이나 스피커에 대하여 출력하는 처리를 실행한다.
기기 등록 처리부(504)는, 클라이언트로부터의 기기 등록 요구에 기초한 일련의 처리 시퀀스를 실행한다. 도 4를 참조하여 설명한 시퀀스 중, 어플리케이션 게이트웨이 측의 처리를 프로그램 기억부(507)에 저장된 기기 등록 처리 프로그램(521)에 따라서 실행한다. 또한, 기기 등록 처리부(504)는, 패스워드 생성 판정부(511)를 갖고, 패스워드의 생성 및 대조 처리를 실행한다.
기기 인증 처리부(505)는, 외부 네트워크에 접속된 클라이언트로부터의 접속 처리 요구를 수신한 경우의 기기 인증 처리를 실행한다. 도 5∼도 7을 참조하여 설명한 기기 인증 처리(로그인 처리)에 있어서의 어플리케이션 게이트웨이 측의 처리를, 프로그램 기억부(507)에 저장된 기기 인증 처리 프로그램(522)에 따라서 실행한다. 또한, 암호 키 공유 처리로서의 SSL(Secure Socket Layer) 핸드 쉐이크 처리도 실행한다.
서버 발견 처리 실행부(506)는, 클라이언트로부터의 디바이스 리스트 요구에 기초하여, SSDP에 따른 서버 발견 처리를 실행하여 취득한 서버 리스트를 클라이언트에게 송신하는 처리를 실행한다. 도 10, 도 11을 참조하여 설명한 어플리케이션 게이트웨이 측의 처리를, 프로그램 기억부(507)에 저장된 서버 발견 처리 실행 프로그램(523)에 따라서 실행한다.
프로그램 기억부(507)에는, 상기 각 처리부에 있어서 실행하는 프로그램, 즉, 기기 등록 처리 프로그램(521), 기기 인증 처리 프로그램(522), 및 서버 발견 처리 실행 프로그램(523)이 저장된다.
데이터 기억부(508)에는, 클라이언트와의 기기 등록 처리에 있어서 생성한 공유 비밀 정보(Secret)(531), 즉, Secret=GUID(C)∥GUID(S)를 하드웨어 유니크 ID(Huid(S))로 암호화한 데이터, 및, 클라이언트와의 기기 등록 처리에 있어서 생성한 클라이언트 식별 테이블(532)(도 8 참조), 및, 클라이언트와의 상호 인증이 성립하여 클라이언트와의 신뢰 관계가 구축된 세션을, 클라이언트마다 식별하기 위한 클라이언트 세션 ID 테이블(533)(도 9 참조)이 저장된다.
또한, 도 12에 도시하는 블록도는, 어플리케이션 게이트웨이가 실행하는 여러 가지 처리 중에서 본 발명에 관련된 처리를 실행하기 위한 기능을 중심으로 하여 도시한 기능 블록도이고, 어플리케이션 게이트웨이는, 이 이외에도 각종 처리 프로그램을 유지하여, 각 처리 프로그램에 따른 여러 가지 처리를 실행한다.
다음으로, 도 13을 참조하여 클라이언트의 기능 구성에 대하여 설명한다. 데이터 송수신 처리부(601)는, 어플리케이션 게이트웨이 및 서버에 대한 패킷 송수신 처리를 실행한다. 데이터 송수신 처리부(601)는, 송신 패킷의 생성 처리, 수신 패킷의 해석 처리를 행한다. 패킷의 어드레스 설정, 어드레스 인식, 데이터부에 대한 데이터 저장, 데이터부로부터의 데이터 취득 처리 등이다.
데이터 입력부(602)는, 키보드, 스위치 등의 입력 수단으로부터의 입력 정보를 각 처리부에 대하여 입력한다. 데이터 출력부(603)는, 각종 처리부의 출력 신호를 외부의 출력부로서의 디스플레이나 스피커에 대하여 출력하는 처리를 실행한다.
기기 등록 처리부(604)는, 어플리케이션 게이트웨이 이외의 디바이스 사이에서 실행하는 기기 등록 처리 시퀀스를 실행한다. 도 4를 참조하여 설명한 처리 중, 클라이언트측의 처리를, 프로그램 기억부(607)에 저장된 기기 등록 처리 프로그램(621)에 따라서 실행한다.
기기 인증 처리부(605)는, 외부 네트워크에 접속된 클라이언트가, 어플리케이션 게이트웨이에 대하여 접속했을 때의 기기 인증 처리를 실행한다. 도 5∼도 7을 참조하여 설명한 기기 인증 처리(로그인)에 있어서의 클라이언트측의 처리를, 프로그램 기억부(607)에 저장된 기기 인증 처리 프로그램(622)에 따라서 실행한다. 또한, 암호 키 공유 처리로서의 SSL(Secure Socket Layer) 핸드 쉐이크 처리도 실행한다.
디바이스 리스트 요구 처리 실행부(606)는, 어플리케이션 게이트웨이에 대한 디바이스 리스트 요구의 발행 및 디바이스 리스트 취득 처리를 실행한다. 도 10을 참조하여 설명한 처리 중, 클라이언트측의 처리를, 프로그램 기억부(607)에 저장된 디바이스 리스트 요구 처리 실행 프로그램(623)에 따라서 실행한다.
프로그램 기억부(607)에는, 상기 각 처리부에 있어서 실행하는 프로그램, 즉, 기기 등록 처리 프로그램(621), 기기 인증 처리 프로그램(622), 및 디바이스 리스트 요구 처리 실행 프로그램(623)이 저장된다.
데이터 기억부(608)에는, 예를 들면 어플리케이션 게이트웨이와의 기기 등록 처리에 있어서 생성한 공유 비밀 정보(Secret)(631), 즉, Secret=GUID(C)∥GUID(S)를 하드웨어 식별자(Huid(C))로 암호화한 데이터, 및, 어플리케이션 게이트웨이와의 인증이 성립한 경우에, 어플리케이션 게이트웨이로부터 취득하는 세션 ID(632)가 저장된다.
또한, 도 13에 도시하는 블록도는, 클라이언트가 실행하는 여러 가지 처리 중에서 본 발명에 관련된 처리를 실행하기 위한 기능을 중심으로 하여 도시한 기능 블록도이고, 클라이언트는, 이 이외에도 각종 처리 프로그램을 유지하여, 각 처리 프로그램에 따른 여러 가지 처리를 실행한다.
이상, 특정한 실시예를 참조하면서, 본 발명에 대하여 상해(詳解)해 왔다. 그러나, 본 발명의 요지를 일탈하지 않는 범위에서 당업자가 상기 실시예의 수정이나 대용을 할 수 있는 것은 자명하다. 즉, 예시라는 형태로 본 발명을 개시해 온 것이고, 한정적으로 해석되어서는 안 된다. 본 발명의 요지를 판단하기 위해서는, 특허 청구의 범위의 란을 참작해야 한다.
또한, 명세서 중에 있어서 설명한 일련의 처리는 하드웨어, 또는 소프트웨어, 혹은 양자의 복합 구성에 의해서 실행하는 것이 가능하다. 소프트웨어에 의한 처리를 실행하는 경우에는, 처리 시퀀스를 기록한 프로그램을, 전용의 하드웨어에 조립된 컴퓨터 내의 메모리에 인스톨하여 실행시키거나, 혹은, 각종 처리를 실행할 수 있는 범용 컴퓨터에 프로그램을 인스톨하여 실행시키는 것이 가능하다.
예를 들면, 프로그램은 기록 매체로서의 하드디스크나 ROM(Read Only Memory)에 미리 기록해 둘 수 있다. 혹은, 프로그램은 플렉시블 디스크, CD-ROM(Compact Disc Read Only Memory), MO(Magneto optical) 디스크, DVD(Digital Versatile Disc), 자기 디스크, 반도체 메모리 등의 리무버블 기록 매체에, 일시적 혹은 영속적으로 저장(기록)해 둘 수 있다. 이러한 리무버블 기록 매체는, 소위 패키지 소프트웨어로서 제공할 수 있다.
또한, 프로그램은, 전술한 바와 같은 리무버블 기록 매체로부터 컴퓨터에 인스톨하는 것 외에, 다운로드 사이트로부터 컴퓨터에 무선 전송하거나, LAN(Local Area Network), 인터넷과 같은 네트워크를 통하여, 컴퓨터에 유선으로 전송하고, 컴퓨터에서는, 그와 같이 해서 전송되어 오는 프로그램을 수신하여, 내장하는 하드디스크 등의 기록 매체에 인스톨할 수 있다.
또한, 명세서에 기재된 각종 처리는, 기재에 따라서 시계열로 실행될 뿐만 아니라, 처리를 실행하는 장치의 처리 능력 혹은 필요에 따라 병렬적으로 혹은 개별로 실행되어도 좋다. 또한, 본 명세서에 있어서 시스템이라 함은, 복수의 장치의 논리적 집합 구성이고, 각 구성의 장치가 동일 케이스 내에 있는 것에 한정되는 것은 아니다.
이상 설명한 바와 같이, 본 발명에 따르면, 외부 네트워크에 접속 가능한 클라이언트 기기와 어플리케이션 게이트웨이의 쌍방이, 공유 비밀 정보(Secret)로서, 클라이언트의 생성 ID인 클라이언트 ID:GUID(C)와, 어플리케이션 게이트웨이의 생성 ID인 서버 ID:GUID(S)를 기억부에 저장하고, 어플리케이션 게이트웨이가, 클라이언트로부터의 액세스 요구를 수신했을 때에, 클라이언트가, 옳은 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리를 실행하여 클라이언트의 액세스 권한의 유무를 판정하는 구성으로 했으므로, 홈 네트워크 등의 로컬 영역의 내부 네트워크에 대한 외부 네트워크로부터의 액세스에 대한 권한 판정 처리를 효율적으로 또한 정확하게 실행하는 것이 가능하게 된다.
또한, 본 발명의 구성에 있어서는, 클라이언트 기기와 어플리케이션 게이트웨이의 쌍방이, 공유 비밀 정보(Secret), 즉 클라이언트 ID:GUID(C)와 서버 ID:GUID(S)를 보유하는지의 여부를 확인하는 처리를 상호 실행하여, 상대의 정당성을 확인하는 구성으로 했으므로, 어느 한쪽이 부정한 경우에도 내부 네트워크에 대한 액세스가 거부되게 되어, 내부 네트워크의 외부로부터의 액세스에 대한 시큐러티를 높이는 것이 가능하게 된다.
또한, 본 발명의 구성에 따르면, 어플리케이션 게이트웨이가, 클라이언트 식별자와, 클라이언트와의 커넥션 식별 정보로서의 세션 ID를 대응시킨 클라이언트 세션 ID 테이블을 보유하는 구성으로 했으므로, 복수의 클라이언트가 외부 네트워크로부터 액세스하고 있는 경우에 있어서도, 세션 ID에 의한 클라이언트의 식별이 가능하게 된다.
또한, 본 발명의 구성에 따르면, 클라이언트가 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리에 의한 클라이언트의 액세스 권한 판정 처리의 개시 전에, 클라이언트와의 암호 통신에 적용할 암호 키 공유 처리를 실행하고, 암호 키에 기초한 송수신 데이터의 암호화를 행하여, 클라이언트가 공유 비밀 정보(Secret)를 갖는지의 여부의 확인 처리를 실행하는 구성으로 했으므로, 인터넷 등, 도청의 우려가 있는 네트워크를 통한 통신에 있어서도 시큐러티가 높은 액세스 권한 판정 처리가 가능하게 된다.
또한, 본 발명의 구성에 있어서는, 클라이언트 ID:GUID(C), 및 서버 ID:GUID(S)의 공유 처리를 실행하는 기기 등록 처리에 있어서, ID 교환 전에 패스워드 인증을 실행하고, 또한, 교환 ID를 암호화 데이터로서 네트워크를 통하여 교환하는 구성으로 했으므로, 특정한 폐쇄된 네트워크에서의 시큐어한 기기 등록 처리가 실현되어, 부정한 기기 등록의 곤란성을 높이는 것이 가능하게 된다.

Claims (49)

  1. 액세스 제어 처리를 실행하는 정보 처리 장치로서,
    액세스 요구 기기로서의 클라이언트와의 데이터 송수신 처리를 실행하는 데이터 송수신부와,
    정당한 액세스 권한을 갖는 클라이언트와의 공유 비밀 정보로서, 클라이언트의 생성 ID인 클라이언트 ID와, 정보 처리 장치의 생성 ID인 서버 ID를 저장한 기억부와,
    클라이언트로부터의 액세스 요구에 따라서, 상기 클라이언트가 상기 공유 비밀 정보를 갖는지의 여부의 확인 처리를 실행하여 클라이언트의 액세스 권한의 유무를 판정하는 기기 인증 처리부
    를 갖는 것을 특징으로 하는 정보 처리 장치.
  2. 제1항에 있어서,
    상기 기억부는,
    상기 클라이언트 ID와 서버 ID를 포함하는 공유 비밀 정보를, 상기 정보 처리 장치 디바이스의 하드웨어 고유의 식별 정보, 즉 하드웨어 유니크 ID에 의해 암호화한 암호화 데이터로서 저장한 구성인 것을 특징으로 하는 정보 처리 장치.
  3. 제1항에 있어서,
    상기 기기 인증 처리부는,
    자신이 생성한 난수와 클라이언트가 유지하는 공유 비밀 정보와의 해시값을 클라이언트 인증값으로서 클라이언트로부터 수신함과 함께, 상기 난수와 상기 기억부에 저장한 공유 비밀 정보의 해시값 산출 처리를 실행하여, 수신 해시값과 산출 해시값과의 비교 대조 처리를 실행하고, 양 해시값의 일치를 조건으로 하여 클라이언트가 액세스 권한을 갖는다는 판정을 실행하는 구성인 것을 특징으로 하는 정보 처리 장치.
  4. 제1항에 있어서,
    상기 기기 인증 처리부는,
    클라이언트가 생성한 난수를 수신하고, 상기 수신 난수와, 상기 기억부에 저장한 공유 비밀 정보와의 해시값을 서버 인증값으로서 산출하여 클라이언트에게 송신하는 처리를 실행하는 구성인 것을 특징으로 하는 정보 처리 장치.
  5. 제1항에 있어서,
    상기 정보 처리 장치는,
    클라이언트 식별자와, 상기 공유 비밀 정보의 해시값을 대응시킨 클라이언트 식별 테이블을 갖고,
    상기 기기 인증 처리부는,
    클라이언트로부터 수신하는 상기 공유 비밀 정보의 해시값에 기초한 상기 클라이언트 식별 테이블의 검색에 의해, 클라이언트를 특정하는 처리를 실행하는 구성인 것을 특징으로 하는 정보 처리 장치.
  6. 제1항에 있어서,
    상기 정보 처리 장치는,
    클라이언트 식별자와, 클라이언트와의 커넥션 식별 정보로서의 세션 ID를 대응시킨 클라이언트 세션 ID 테이블을 갖고,
    클라이언트로부터 수신하는 세션 ID에 기초한 상기 클라이언트 세션 ID 테이블의 검색에 의해 클라이언트의 식별 처리를 실행하는 구성인 것을 특징으로 하는 정보 처리 장치.
  7. 제1항에 있어서,
    상기 기기 인증 처리부는,
    상기 클라이언트가 상기 공유 비밀 정보를 갖는지의 여부의 확인 처리에 의한 클라이언트의 액세스 권한 판정 처리의 개시 전에, 클라이언트와의 암호 통신에 적용할 암호 키 공유 처리를 실행하고,
    상기 암호 키에 기초한 송수신 데이터의 암호화를 행하여, 상기 클라이언트가 상기 공유 비밀 정보를 갖는지의 여부의 확인 처리를 실행하는 구성인 것을 특징으로 하는 정보 처리 장치.
  8. 제7항에 있어서,
    상기 암호 키 공유 처리는,
    SSL(Secure Socket Layer) 핸드 쉐이크 처리인 것을 특징으로 하는 정보 처리 장치.
  9. 제1항에 있어서,
    상기 정보 처리 장치는,
    상기 공유 비밀 정보를 구성하는 클라이언트 ID, 및 서버 ID의 클라이언트와의 공유 처리를 실행하는 기기 등록 처리부를 갖고,
    상기 기기 등록 처리부는,
    클라이언트의 생성 ID인 클라이언트 ID와, 정보 처리 장치의 생성 ID인 서버 ID를 암호화 데이터로서 네트워크를 통하여 교환하는 ID 교환 처리를 실행하는 구성인 것을 특징으로 하는 정보 처리 장치.
  10. 제9항에 있어서,
    상기 기기 등록 처리부는,
    상기 ID 교환 처리의 실행 조건으로서, 패스워드 인증 처리를 실행하는 구성인 것을 특징으로 하는 정보 처리 장치.
  11. 제1항에 있어서,
    상기 공유 비밀 정보를 구성하는 클라이언트 ID, 및 서버 ID의 각각은 글로벌 유니크성을 갖는 ID인 것을 특징으로 하는 정보 처리 장치.
  12. 제1항에 있어서,
    상기 정보 처리 장치는,
    로컬 영역 내의 내부 네트워크와, 로컬 영역 밖의 외부 네트워크 사이에 위치하는 어플리케이션 게이트웨이로서의 기능을 갖는 것을 특징으로 하는 정보 처리 장치.
  13. 제1항에 있어서,
    상기 정보 처리 장치는,
    로컬 영역 내의 내부 네트워크와, 로컬 영역 밖의 외부 네트워크 사이에 위치하는 리버스 프록시 서버로서의 기능을 갖는 것을 특징으로 하는 정보 처리 장치.
  14. 액세스 요구 처리를 실행하는 클라이언트로서의 정보 처리 장치로서,
    데이터 송수신 처리를 실행하는 데이터 송수신부와,
    어플리케이션 게이트웨이와의 공유 비밀 정보로서, 클라이언트의 생성 ID인 클라이언트 ID와, 어플리케이션 게이트웨이의 생성 ID인 서버 ID를 저장한 기억부와,
    상기 어플리케이션 게이트웨이가 상기 공유 비밀 정보를 갖는지의 여부의 확인 처리를 실행하여 어플리케이션 게이트웨이의 정당성을 판정하는 기기 인증 처리부
    를 갖는 것을 특징으로 하는 정보 처리 장치.
  15. 제14항에 있어서,
    상기 기억부는,
    상기 클라이언트 ID와 서버 ID를 포함하는 공유 비밀 정보를, 상기 정보 처리 장치 디바이스의 하드웨어 고유의 식별 정보, 즉 하드웨어 유니크 ID에 의해 암호화한 암호화 데이터로서 저장한 구성인 것을 특징으로 하는 정보 처리 장치.
  16. 제14항에 있어서,
    상기 기기 인증 처리부는,
    자신이 생성한 난수와 어플리케이션 게이트웨이가 유지하는 공유 비밀 정보와의 해시값을 서버(어플리케이션 게이트웨이) 인증값으로서 어플리케이션 게이트웨이로부터 수신함과 함께, 상기 난수와 상기 기억부에 저장한 공유 비밀 정보의 해시값 산출 처리를 실행하여, 수신 해시값과 산출 해시값과의 비교 대조 처리를 실행하고, 양 해시값의 일치를 조건으로 해서 어플리케이션 게이트웨이가 정당하다는 판정을 실행하는 구성인 것을 특징으로 하는 정보 처리 장치.
  17. 제14항에 있어서,
    상기 기기 인증 처리부는,
    어플리케이션 게이트웨이가 생성한 난수를 수신하고, 상기 수신 난수와, 상기 기억부에 저장한 공유 비밀 정보와의 해시값을 클라이언트 인증값으로서 산출하여 어플리케이션 게이트웨이에 송신하는 처리를 실행하는 구성인 것을 특징으로 하는 정보 처리 장치.
  18. 제14항에 있어서,
    상기 기기 인증 처리부는,
    상기 어플리케이션 게이트웨이가 상기 공유 비밀 정보를 갖는지의 여부의 확인 처리에 의한 어플리케이션 게이트웨이의 정당성 판정 처리의 개시 전에, 어플리케이션 게이트웨이와의 암호 통신에 적용할 암호 키 공유 처리를 실행하고,
    상기 암호 키에 기초한 송수신 데이터의 암호화를 행하여, 상기 어플리케이션 게이트웨이가 상기 공유 비밀 정보를 갖는지의 여부의 확인 처리를 실행하는 구성인 것을 특징으로 하는 정보 처리 장치.
  19. 제18항에 있어서,
    상기 암호 키 공유 처리는,
    SSL(Secure Socket Layer) 핸드 쉐이크 처리인 것을 특징으로 하는 정보 처리 장치.
  20. 제14항에 있어서,
    상기 정보 처리 장치는,
    상기 공유 비밀 정보를 구성하는 클라이언트 ID, 및 서버 ID의 어플리케이션 게이트웨이와의 공유 처리를 실행하는 기기 등록 처리부를 갖고,
    상기 기기 등록 처리부는,
    클라이언트의 생성 ID인 클라이언트 ID와, 정보 처리 장치의 생성 ID인 서버 ID를 암호화 데이터로서 네트워크를 통하여 교환하는 ID 교환 처리를 실행하는 구성인 것을 특징으로 하는 정보 처리 장치.
  21. 제20항에 있어서,
    상기 기기 등록 처리부는,
    상기 ID 교환 처리의 실행 조건으로서, 패스워드 인증 처리를 실행하는 구성인 것을 특징으로 하는 정보 처리 장치.
  22. 제14항에 있어서,
    상기 공유 비밀 정보를 구성하는 클라이언트 ID, 및 서버 ID의 각각은 글로벌 유니크성을 갖는 ID인 것을 특징으로 하는 정보 처리 장치.
  23. 액세스 제어 처리를 실행하는 서버 및, 상기 서버에 대한 액세스 요구 처리를 실행하는 클라이언트로 이루어지는 서버 클라이언트 시스템으로서,
    상기 서버는,
    데이터 송수신 처리를 실행하는 서버 데이터 송수신부와,
    정당한 액세스 권한을 갖는 클라이언트와의 공유 비밀 정보로서, 클라이언트의 생성 ID인 클라이언트 ID와, 정보 처리 장치의 생성 ID인 서버 ID를 저장한 서버 기억부와,
    클라이언트로부터의 액세스 요구에 따라서, 상기 클라이언트가 상기 공유 비밀 정보를 갖는지의 여부의 확인 처리를 실행하여 클라이언트의 액세스 권한의 유무를 판정하는 서버 기기 인증 처리부를 갖고,
    상기 클라이언트는,
    데이터 송수신 처리를 실행하는 클라이언트 데이터 송수신부와,
    어플리케이션 게이트웨이와의 공유 비밀 정보로서, 클라이언트의 생성 ID인 클라이언트 ID와, 어플리케이션 게이트웨이의 생성 ID인 서버 ID를 저장한 클라이언트 기억부와,
    상기 어플리케이션 게이트웨이가 상기 공유 비밀 정보를 갖는지의 여부의 확인 처리를 실행하여 어플리케이션 게이트웨이의 정당성을 판정하는 클라이언트 기기 인증 처리부를 갖는 것을 특징으로 하는 서버 클라이언트 시스템.
  24. 제23항에 있어서,
    상기 서버 기억부는,
    상기 클라이언트 ID와 서버 ID를 포함하는 공유 비밀 정보를, 서버의 하드웨어 고유의 식별 정보, 즉 하드웨어 유니크 ID에 의해 암호화한 암호화 데이터로서 저장한 구성인 것을 특징으로 하는 서버 클라이언트 시스템.
  25. 제23항에 있어서,
    상기 서버 기기 인증 처리부는,
    자신이 생성한 난수와 클라이언트가 유지하는 공유 비밀 정보와의 해시값을 클라이언트 인증값으로서 클라이언트로부터 수신함과 함께, 상기 난수와 상기 서버 기억부에 저장한 공유 비밀 정보의 해시값 산출 처리를 실행하여, 수신 해시값과 산출 해시값과의 비교 대조 처리를 실행하고, 양 해시값의 일치를 조건으로 해서 클라이언트가 액세스 권한을 갖는다는 판정을 실행하는 구성인 것을 특징으로 하는 서버 클라이언트 시스템.
  26. 제23항에 있어서,
    상기 서버 기기 인증 처리부는,
    클라이언트가 생성한 난수를 수신하고, 상기 수신 난수와, 상기 서버 기억부에 저장한 공유 비밀 정보와의 해시값을 서버 인증값으로서 산출하여 클라이언트에게 송신하는 처리를 실행하는 구성인 것을 특징으로 하는 서버 클라이언트 시스템.
  27. 제23항에 있어서,
    상기 클라이언트 기억부는,
    상기 클라이언트 ID와 서버 ID를 포함하는 공유 비밀 정보를, 클라이언트의 하드웨어 고유의 식별 정보, 즉 하드웨어 유니크 ID에 의해 암호화한 암호화 데이터로서 저장한 구성인 것을 특징으로 하는 서버 클라이언트 시스템.
  28. 제23항에 있어서,
    상기 클라이언트 기기 인증 처리부는,
    자신이 생성한 난수와 어플리케이션 게이트웨이가 유지하는 공유 비밀 정보와의 해시값을 서버(어플리케이션 게이트웨이) 인증값으로서 어플리케이션 게이트웨이로부터 수신함과 함께, 상기 난수와 상기 클라이언트 기억부에 저장한 공유 비밀 정보의 해시값 산출 처리를 실행하여, 수신 해시값과 산출 해시값과의 비교 대조 처리를 실행하고, 양 해시값의 일치를 조건으로 해서 어플리케이션 게이트웨이가 정당하다는 판정을 실행하는 구성인 것을 특징으로 하는 서버 클라이언트 시스템.
  29. 제23항에 있어서,
    상기 클라이언트 기기 인증 처리부는,
    어플리케이션 게이트웨이가 생성한 난수를 수신하고, 상기 수신 난수와, 상기 클라이언트 기억부에 저장한 공유 비밀 정보와의 해시값을 클라이언트 인증값으로서 산출하여 어플리케이션 게이트웨이에 송신하는 처리를 실행하는 구성인 것을 특징으로 하는 서버 클라이언트 시스템.
  30. 정보 처리 장치에 있어서의 액세스 제어 처리 방법으로서,
    클라이언트로부터의 액세스 요구를 수신하는 액세스 요구 수신 스텝과,
    상기 클라이언트가, 공유 비밀 정보로서, 클라이언트의 생성 ID인 클라이언트 ID와, 정보 처리 장치의 생성 ID인 서버 ID를 갖는지의 여부의 확인 처리를 실행하여 클라이언트의 액세스 권한의 유무를 판정하는 기기 인증 처리 스텝
    을 갖는 것을 특징으로 하는 액세스 제어 처리 방법.
  31. 제30항에 있어서,
    상기 기기 인증 처리 스텝은,
    자신이 생성한 난수와 클라이언트가 유지하는 공유 비밀 정보와의 해시값을 클라이언트 인증값으로서 클라이언트로부터 수신하는 스텝과,
    상기 난수와 기억부에 저장한 공유 비밀 정보의 해시값 산출 처리를 실행하여, 수신 해시값과 산출 해시값과의 비교 대조 처리를 실행하는 스텝과,
    양 해시값의 일치를 조건으로 해서 클라이언트가 액세스 권한을 갖는다는 판정을 실행하는 스텝
    을 포함하는 것을 특징으로 하는 액세스 제어 처리 방법.
  32. 제30항에 있어서,
    상기 액세스 제어 처리 방법은,
    클라이언트가 생성한 난수를 수신하고, 상기 수신 난수와, 기억부에 저장한 공유 비밀 정보와의 해시값을 서버 인증값으로서 산출하여 클라이언트에게 송신하는 처리를 실행하는 스텝을 더 포함하는 것을 특징으로 하는 액세스 제어 처리 방법.
  33. 제30항에 있어서,
    상기 액세스 제어 처리 방법은,
    클라이언트 식별자와, 상기 공유 비밀 정보의 해시값을 대응시킨 클라이언트 식별 테이블에 기초하여, 클라이언트로부터 수신하는 상기 공유 비밀 정보의 해시값에 의한 테이블 검색을 실행하여, 클라이언트의 특정 처리를 실행하는 스텝을 더 포함하는 것을 특징으로 하는 액세스 제어 처리 방법.
  34. 제30항에 있어서,
    상기 액세스 제어 처리 방법은,
    클라이언트 식별자와, 클라이언트와의 커넥션 식별 정보로서의 세션 ID를 대응시킨 클라이언트 세션 ID 테이블에 기초하여, 클라이언트로부터 수신하는 세션 ID에 의한 상기 클라이언트 세션 ID 테이블의 검색을 실행하여 클라이언트의 식별 처리를 실행하는 스텝을 더 포함하는 것을 특징으로 하는 액세스 제어 처리 방법.
  35. 제30항에 있어서,
    상기 액세스 제어 처리 방법은,
    상기 클라이언트가 상기 공유 비밀 정보를 갖는지의 여부의 확인 처리에 의한 클라이언트의 액세스 권한 판정 처리의 개시 전에, 클라이언트와의 암호 통신에 적용할 암호 키 공유 처리를 실행하고,
    상기 암호 키에 기초한 송수신 데이터의 암호화를 행하여, 상기 클라이언트가 상기 공유 비밀 정보를 갖는지의 여부의 확인 처리를 실행하는 것을 특징으로 하는 액세스 제어 처리 방법.
  36. 제35항에 있어서,
    상기 암호 키 공유 처리는,
    SSL(Secure Socket Layer) 핸드 쉐이크 처리인 것을 특징으로 하는 액세스 제어 처리 방법.
  37. 제30항에 있어서,
    상기 액세스 제어 처리 방법은,
    상기 공유 비밀 정보를 구성하는 클라이언트 ID, 및 서버 ID의 클라이언트와의 공유 처리를 실행하는 기기 등록 처리 스텝을 더 갖고,
    상기 기기 등록 처리 스텝은,
    클라이언트의 생성 ID인 클라이언트 ID와, 정보 처리 장치의 생성 ID인 서버 ID를 암호화 데이터로서 네트워크를 통하여 교환하는 ID 교환 처리를 실행하는 스텝을 포함하는 것을 특징으로 하는 액세스 제어 처리 방법.
  38. 제37항에 있어서,
    상기 기기 등록 처리 스텝은,
    상기 ID 교환 처리의 실행 조건으로서, 패스워드 인증 처리를 실행하는 스텝을 포함하는 것을 특징으로 하는 액세스 제어 처리 방법.
  39. 제30항에 있어서,
    상기 공유 비밀 정보를 구성하는 클라이언트 ID, 및 서버 ID의 각각은 글로벌 유니크성을 갖는 ID인 것을 특징으로 하는 액세스 제어 처리 방법.
  40. 액세스 요구 처리를 실행하는 클라이언트에 있어서의 정보 처리 방법으로서,
    어플리케이션 게이트웨이와의 접속 스텝과,
    어플리케이션 게이트웨이가, 클라이언트의 생성 ID인 클라이언트 ID와, 어플리케이션 게이트웨이의 생성 ID인 서버 ID로 이루어지는 공유 비밀 정보를 갖는지의 여부의 확인 처리를 실행하여 어플리케이션 게이트웨이의 정당성을 판정하는 기기 인증 처리 스텝
    을 갖는 것을 특징으로 하는 정보 처리 방법.
  41. 제40항에 있어서,
    상기 기기 인증 처리 스텝은,
    자신이 생성한 난수와 어플리케이션 게이트웨이가 유지하는 공유 비밀 정보와의 해시값을 서버(어플리케이션 게이트웨이) 인증값으로서 어플리케이션 게이트웨이로부터 수신하는 스텝과,
    상기 난수와 기억부에 저장한 공유 비밀 정보의 해시값 산출 처리를 실행하여, 수신 해시값과 산출 해시값과의 비교 대조 처리를 실행하는 스텝과,
    양 해시값의 일치를 조건으로 해서 어플리케이션 게이트웨이가 정당하다는 판정을 실행하는 스텝
    을 포함하는 것을 특징으로 하는 정보 처리 방법.
  42. 제40항에 있어서,
    상기 기기 인증 처리 스텝은,
    어플리케이션 게이트웨이가 생성한 난수를 수신하고, 상기 수신 난수와, 기억부에 저장한 공유 비밀 정보와의 해시값을 클라이언트 인증값으로서 산출하여 어플리케이션 게이트웨이에 송신하는 처리를 실행하는 구성인 것을 특징으로 하는 정보 처리 방법.
  43. 제40항에 있어서,
    상기 정보 처리 방법은, 또한
    상기 어플리케이션 게이트웨이가 상기 공유 비밀 정보를 갖는지의 여부의 확인 처리에 의한 어플리케이션 게이트웨이의 정당성 판정 처리의 개시 전에, 어플리케이션 게이트웨이와의 암호 통신에 적용할 암호 키 공유 처리를 실행하고,
    상기 암호 키에 기초한 송수신 데이터의 암호화를 행하여, 상기 어플리케이션 게이트웨이가 상기 공유 비밀 정보를 갖는지의 여부의 확인 처리를 실행하는 것을 특징으로 하는 정보 처리 방법.
  44. 제43항에 있어서,
    상기 암호 키 공유 처리는,
    SSL(Secure Socket Layer) 핸드 쉐이크 처리인 것을 특징으로 하는 정보 처리 방법.
  45. 제40항에 있어서,
    상기 정보 처리 방법은,
    상기 공유 비밀 정보를 구성하는 클라이언트 ID, 및 서버 ID의 어플리케이션 게이트웨이와의 공유 처리를 실행하는 기기 등록 처리 스텝을 더 갖고,
    상기 기기 등록 처리 스텝은,
    클라이언트의 생성 ID인 클라이언트 ID와, 정보 처리 장치의 생성 ID인 서버 ID를 암호화 데이터로서 네트워크를 통하여 교환하는 ID 교환 처리를 실행하는 것을 특징으로 하는 정보 처리 방법.
  46. 제45항에 있어서,
    상기 기기 등록 처리 스텝은,
    상기 ID 교환 처리의 실행 조건으로서, 패스워드 인증 처리를 실행하는 것을 특징으로 하는 정보 처리 방법.
  47. 제40항에 있어서,
    상기 공유 비밀 정보를 구성하는 클라이언트 ID, 및 서버 ID의 각각은 글로벌 유니크성을 갖는 ID인 것을 특징으로 하는 정보 처리 방법.
  48. 정보 처리 장치에 있어서의 액세스 제어 처리를 실행하는 컴퓨터 프로그램으로서,
    클라이언트로부터의 액세스 요구를 수신하는 액세스 요구 수신 스텝과,
    상기 클라이언트가, 공유 비밀 정보로서, 클라이언트의 생성 ID인 클라이언트 ID와, 정보 처리 장치의 생성 ID인 서버 ID를 갖는지의 여부의 확인 처리를 실행하여 클라이언트의 액세스 권한의 유무를 판정하는 기기 인증 처리 스텝
    을 갖는 것을 특징으로 하는 컴퓨터 프로그램.
  49. 액세스 요구 처리를 실행하는 클라이언트에 있어서의 정보 처리를 실행하는 컴퓨터 프로그램으로서,
    어플리케이션 게이트웨이와의 접속 스텝과,
    어플리케이션 게이트웨이가, 클라이언트의 생성 ID인 클라이언트 ID와, 어플리케이션 게이트웨이의 생성 ID인 서버 ID로 이루어지는 공유 비밀 정보를 갖는지의 여부의 확인 처리를 실행하여 어플리케이션 게이트웨이의 정당성을 판정하는 기기 인증 처리 스텝
    을 갖는 것을 특징으로 하는 컴퓨터 프로그램.
KR1020057016897A 2003-03-10 2004-03-05 액세스 제어 처리 방법 KR20050116140A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2003063018A JP4487490B2 (ja) 2003-03-10 2003-03-10 情報処理装置、およびアクセス制御処理方法、情報処理方法、並びにコンピュータ・プログラム
JPJP-P-2003-00063018 2003-03-10

Publications (1)

Publication Number Publication Date
KR20050116140A true KR20050116140A (ko) 2005-12-09

Family

ID=32984417

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020057016897A KR20050116140A (ko) 2003-03-10 2004-03-05 액세스 제어 처리 방법

Country Status (6)

Country Link
US (1) US8037538B2 (ko)
EP (1) EP1603269A4 (ko)
JP (1) JP4487490B2 (ko)
KR (1) KR20050116140A (ko)
CN (1) CN1759564B (ko)
WO (1) WO2004082205A1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101365225B1 (ko) * 2006-03-07 2014-02-26 소니 주식회사 정보처리 장치 및 정보처리 방법과 컴퓨터ㆍ프로그램
KR101601769B1 (ko) 2014-10-31 2016-03-10 서강대학교산학협력단 소규모의 사물 인터넷 시스템 및 그를 위한 보안통신방법
KR101664963B1 (ko) * 2015-05-29 2016-10-12 주식회사 스마트큐 사물인터넷을 위한 안전한 디바이스 보안과 인증 절차를 처리하는 시스템
JPWO2017051630A1 (ja) * 2015-09-25 2018-07-12 ソニー株式会社 情報処理装置、サービス処理装置、情報処理方法、プログラム、および情報処理システム

Families Citing this family (83)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004272632A (ja) * 2003-03-10 2004-09-30 Sony Corp 情報処理装置、および情報処理方法、並びにコンピュータ・プログラム
US7809843B1 (en) * 2003-09-18 2010-10-05 Intel Corporation Globally unique identification in communications protocols and databases
US20050240758A1 (en) * 2004-03-31 2005-10-27 Lord Christopher J Controlling devices on an internal network from an external network
US8266670B1 (en) * 2004-05-06 2012-09-11 American Express Travel Related Services Company, Inc. System and method for dynamic security provisioning of data resources
US7827294B2 (en) 2004-05-06 2010-11-02 American Express Travel Related Services Company, Inc. System and method for dynamic security provisioning of computing resources
US20050261970A1 (en) 2004-05-21 2005-11-24 Wayport, Inc. Method for providing wireless services
US7725926B1 (en) * 2004-08-23 2010-05-25 Hewlett-Packard Development Company, L.P. Authentication
US20060112192A1 (en) * 2004-11-24 2006-05-25 Motorola, Inc. Method and apparatus to facilitate universal plug and play interaction between different local networks
KR101074068B1 (ko) 2004-12-28 2011-10-17 주식회사 케이티 홈네트워크 서비스를 위한 통합 인증 시스템 및 방법
KR100675380B1 (ko) 2005-01-14 2007-01-29 삼성전자주식회사 저자원 디바이스와 공개키를 사용하는 일반 디바이스 간의인증 방법 및 시스템
JP4769475B2 (ja) * 2005-04-06 2011-09-07 株式会社ハートランド コンテンツ配信用サーバ及びこれを備えたコンテンツ配信システム
CN101019125B (zh) * 2005-05-11 2010-06-16 索尼株式会社 服务器装置和关联登记设备的方法
JP4961826B2 (ja) * 2005-05-11 2012-06-27 ソニー株式会社 サーバ装置、機器の関連付け登録方法、プログラム、および記録媒体
KR100646350B1 (ko) 2005-06-09 2006-11-23 에스케이 텔레콤주식회사 보안 플랫폼을 탑재한 이동통신 단말기에서 보안 데이터를공유하는 방법
US8848912B2 (en) 2005-12-19 2014-09-30 Nippon Telegraph And Telephone Corporation Terminal identification method, authentication method, authentication system, server, terminal, wireless base station, program, and recording medium
US7783771B2 (en) * 2005-12-20 2010-08-24 Sony Ericsson Mobile Communications Ab Network communication device for universal plug and play and internet multimedia subsystems networks
KR100823260B1 (ko) * 2006-01-19 2008-04-17 삼성전자주식회사 도메인에 가입하지 않은 기기로 콘텐트를 전송하는 방법 및장치
US8725845B2 (en) * 2006-03-16 2014-05-13 Exceptional Innovation Llc Automation control system having a configuration tool
JP2007293639A (ja) * 2006-04-26 2007-11-08 Yokogawa Electric Corp アクセス制御方法、アクセス制御方法を用いた機器及びシステム
US8613056B2 (en) * 2006-05-26 2013-12-17 Cisco Technology, Inc. Extensible authentication and authorization of identities in an application message on a network device
US8683059B2 (en) * 2006-06-15 2014-03-25 Fujitsu Limited Method, apparatus, and computer program product for enhancing computer network security
CN101075866B (zh) * 2006-12-26 2010-08-18 腾讯科技(深圳)有限公司 一种互联网信息的上报方法和系统
US8285851B2 (en) * 2007-01-08 2012-10-09 Apple Inc. Pairing a media server and a media client
US20080216141A1 (en) * 2007-02-07 2008-09-04 The Directv Group, Inc. On demand rf video feed for portable video monitor
CN101267304B (zh) * 2007-03-13 2010-09-08 华为技术有限公司 一种上网权限控制方法、装置及系统
US9398022B2 (en) * 2007-06-01 2016-07-19 Teresa C. Piliouras Systems and methods for universal enhanced log-in, identity document verification, and dedicated survey participation
EP2026530A1 (en) * 2007-07-12 2009-02-18 Wayport, Inc. Device-specific authorization at distributed locations
KR100918626B1 (ko) * 2007-08-02 2009-09-25 주식회사 플랜티넷 어플리케이션 프로그램 검증 및 실행 제어 방법
US20090094372A1 (en) * 2007-10-05 2009-04-09 Nyang Daehun Secret user session managing method and system under web environment, recording medium recorded program executing it
JP5159261B2 (ja) * 2007-11-12 2013-03-06 インターナショナル・ビジネス・マシーンズ・コーポレーション セッションを管理する技術
JP5214228B2 (ja) * 2007-11-30 2013-06-19 株式会社日立製作所 コンテンツ配信システム
ES2346825T3 (es) * 2008-01-17 2010-10-20 DLB FINANCE &amp; CONSULTANCY B.V. Metodo y sistema para controlar un programa de aplicacion de ordenador.
US8347103B2 (en) * 2009-01-13 2013-01-01 Nic, Inc. System and method for authenticating a user using a graphical password
US8495359B2 (en) * 2009-06-22 2013-07-23 NetAuthority System and method for securing an electronic communication
US20110074542A1 (en) * 2009-09-25 2011-03-31 Panasonic Electric Works Co., Ltd. Monitoring and control system and monitoring and control device
US8229936B2 (en) * 2009-10-27 2012-07-24 International Business Machines Corporation Content storage mapping method and system
US8090853B2 (en) * 2009-12-01 2012-01-03 International Business Machines Corporation Data access control
US8467532B2 (en) * 2010-01-04 2013-06-18 Tata Consultancy Services Limited System and method for secure transaction of data between a wireless communication device and a server
JP5423424B2 (ja) * 2010-01-25 2014-02-19 富士ゼロックス株式会社 アクセス権管理プログラム、アクセス権管理装置及びデータ処理システム
CN101923616A (zh) * 2010-08-03 2010-12-22 鸿富锦精密工业(深圳)有限公司 版权保护中的服务提供装置、用户终端及版权保护方法
CN102480472B (zh) * 2010-11-22 2015-07-22 英业达股份有限公司 企业内网络的应用程序整合登录方法及其验证服务器
US20120174206A1 (en) * 2010-12-31 2012-07-05 Alpine Access, Inc. Secure computing environment
JP5112532B2 (ja) * 2011-04-26 2013-01-09 株式会社東芝 情報処理装置
US8842840B2 (en) 2011-11-03 2014-09-23 Arvind Gidwani Demand based encryption and key generation and distribution systems and methods
JP2013121039A (ja) * 2011-12-07 2013-06-17 Sharp Corp 通信システム
CN103166931A (zh) * 2011-12-15 2013-06-19 华为技术有限公司 一种安全传输数据方法,装置和系统
CN103188254A (zh) * 2011-12-31 2013-07-03 北京市国路安信息技术有限公司 一种兼顾内外网信息通畅性和安全性的网络安全保护方法
US8752203B2 (en) * 2012-06-18 2014-06-10 Lars Reinertsen System for managing computer data security through portable data access security tokens
KR101906449B1 (ko) 2012-12-10 2018-10-10 삼성전자주식회사 홈 네트워크 시스템에서 홈 디바이스 및 외부 서버간의 접속 제어 방법 및 장치
EP2951978A4 (en) * 2013-01-29 2016-08-31 Hewlett Packard Entpr Dev Lp METHOD AND SYSTEMS FOR STORING COMMONLY USED FILES
US10200351B2 (en) * 2013-03-14 2019-02-05 Google Llc System for managing remote software applications
US9729514B2 (en) * 2013-03-22 2017-08-08 Robert K Lemaster Method and system of a secure access gateway
CN104468065A (zh) * 2013-09-18 2015-03-25 中兴通讯股份有限公司 一种用户设备、节点设备及上行定时关系的确定方法
CN103546474B (zh) * 2013-10-28 2016-05-18 中国软件与技术服务股份有限公司 一种数据阻隔与特权控制的方法及系统
GB2534693B (en) * 2013-11-08 2017-02-08 Exacttrak Ltd Data accessibility control
CN104683320A (zh) * 2013-12-03 2015-06-03 中兴通讯股份有限公司 一种家庭网络多媒体内容共享的访问控制方法和装置
US9584324B2 (en) * 2014-01-13 2017-02-28 Sap Se Centralized datastore password management
CN105721153B (zh) * 2014-09-05 2020-03-27 三星Sds株式会社 基于认证信息的密钥交换系统及方法
JP6342281B2 (ja) * 2014-09-26 2018-06-13 国立大学法人名古屋大学 書換検出システム及び情報処理装置
JP2016081523A (ja) * 2014-10-15 2016-05-16 株式会社リコー 情報処理システム及び機器制御方法
US10454676B2 (en) * 2015-02-13 2019-10-22 International Business Machines Corporation Automatic key management using enterprise user identity management
US10348727B2 (en) 2015-02-13 2019-07-09 International Business Machines Corporation Automatic key management using enterprise user identity management
DE102015002821A1 (de) * 2015-03-03 2016-09-08 Deutsche Telekom Ag Verfahren und System zur Integration von entfernten Geräten in eine lokale Automatisierungsstruktur
US9697371B1 (en) * 2015-06-30 2017-07-04 Google Inc. Remote authorization of usage of protected data in trusted execution environments
JP6504951B2 (ja) * 2015-07-21 2019-04-24 キヤノン株式会社 通信装置、通信装置の制御方法、プログラム
JP6525783B2 (ja) * 2015-07-21 2019-06-05 キヤノン株式会社 通信装置、提供方法、および、プログラム
CN105704526B (zh) * 2015-12-30 2019-02-12 北方联合广播电视网络股份有限公司 数字电视的drm实现方法和系统、电视网关和终端
JP6623903B2 (ja) * 2016-03-30 2019-12-25 富士通株式会社 受信制御システム、受信制御プログラム及び受信制御方法
JP2018032917A (ja) * 2016-08-23 2018-03-01 シャープ株式会社 ネットワークシステム、情報処理方法、サーバ、電気機器、通信端末、およびプログラム
US11895240B2 (en) * 2016-12-15 2024-02-06 Nec Corporation System, apparatus, method and program for preventing illegal distribution of an access token
CN108337210B (zh) * 2017-01-19 2021-05-18 钉钉控股(开曼)有限公司 设备配置方法及装置、系统
US10491584B2 (en) * 2017-05-22 2019-11-26 General Electric Company Role-based resource access control
RU2020111006A (ru) * 2017-09-25 2021-09-17 Сони Корпорейшн Устройство верификации, способ обработки информации и программа
CN107995215B (zh) * 2017-12-20 2020-09-01 青岛海信智慧家居系统股份有限公司 智能家居设备的控制方法、装置及云平台服务器
JP7040215B2 (ja) * 2018-03-29 2022-03-23 富士通株式会社 アクセス制御装置、アクセス制御プログラムおよびアクセス制御システム
US10931760B2 (en) 2018-11-01 2021-02-23 Cisco Technology, Inc. Wireless event correlation using anonymous data
WO2020162739A1 (ko) 2019-02-08 2020-08-13 주식회사 센스톤 칩 고유값 기반의 가상코드를 이용하여 장치를 식별하는 방법, 프로그램 및 장치
KR102243532B1 (ko) * 2019-02-08 2021-04-22 주식회사 센스톤 칩 고유값 기반의 가상코드를 이용하여 장치를 식별하는 방법, 프로그램 및 장치
CN112583866B (zh) * 2019-09-27 2023-03-10 百度在线网络技术(北京)有限公司 智能家电设备的共享方法、装置、电子设备和介质
AU2021203680B2 (en) * 2020-06-22 2022-10-27 Honeywell International Inc. Configuration of devices for business management systems
CN112612533B (zh) * 2020-12-03 2024-02-09 山东云海国创云计算装备产业创新中心有限公司 ARM服务器中基于CentOS的BMC setup选项修改方法
JP7412691B2 (ja) * 2021-08-13 2024-01-15 株式会社ギガ・システム 認証システム、認証モジュール、および認証プログラム
KR102576794B1 (ko) * 2022-02-04 2023-09-11 디디에이치 주식회사 다중 애플리케이션을 위한 통합 인증 서비스 시스템 및 이의 동작 방법

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10313306A (ja) * 1997-05-13 1998-11-24 Oki Electric Ind Co Ltd 認証装置、暗号化装置、復号化装置及び暗号通信システム
JP3688099B2 (ja) * 1997-07-22 2005-08-24 富士通株式会社 電子情報配布方法及び記録媒体
JPH11308212A (ja) 1998-04-24 1999-11-05 Nippon Telegr & Teleph Corp <Ntt> 同一性確認方法および装置と同一性確認プログラムを記録した記録媒体
US7743412B1 (en) * 1999-02-26 2010-06-22 Intel Corporation Computer system identification
JP2001008269A (ja) 1999-04-19 2001-01-12 Sanyo Electric Co Ltd 携帯電話機
JP4552281B2 (ja) 1999-06-21 2010-09-29 株式会社日立製作所 電子認証方法及びその装置ならびにその記憶媒体
US7437550B2 (en) * 1999-12-02 2008-10-14 Ponoi Corp. System for providing session-based network privacy, private, persistent storage, and discretionary access control for sharing private data
KR100847596B1 (ko) * 2000-03-02 2008-07-21 소니 가부시끼 가이샤 통신망 시스템, 게이트웨이, 데이터 통신방법과 프로그램제공매체
JP2001251297A (ja) 2000-03-07 2001-09-14 Cti Co Ltd 情報処理装置、該情報処理装置を具備する暗号通信システム及び暗号通信方法
JP2001265731A (ja) * 2000-03-22 2001-09-28 Nippon Telegr & Teleph Corp <Ntt> クライアント認証方法及びクライアント認証システム
JP2002014872A (ja) 2000-06-29 2002-01-18 Fujitsu Ltd 暗号制御装置
US7089585B1 (en) * 2000-08-29 2006-08-08 Microsoft Corporation Method and system for authorizing a client computer to access a server computer
JP3501361B2 (ja) 2000-09-04 2004-03-02 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータネットワークシステム、コンピュータシステム、コンピュータシステム間の通信方法、コンピュータシステムのパフォーマンス測定方法および記録媒体
US6924727B2 (en) * 2000-09-27 2005-08-02 Ntt Docomo, Inc. Method for remote control of home-located electronic devices and a management facility
JP2002288054A (ja) 2001-03-23 2002-10-04 Matsushita Electric Ind Co Ltd 遠隔操作システム
US7350076B1 (en) * 2001-05-16 2008-03-25 3Com Corporation Scheme for device and user authentication with key distribution in a wireless network
JP2002084326A (ja) 2001-06-11 2002-03-22 Fujitsu Ltd 被サービス装置、センタ装置、及びサービス装置
CN1268088C (zh) * 2001-11-29 2006-08-02 东南大学 基于pki的vpn密钥交换的实现方法
US7194621B1 (en) * 2002-02-28 2007-03-20 Cisco Technology, Inc. Method and apparatus for encrypting data communicated between a client and a server that use an unencrypted data transfer protocol
AU2002253738A1 (en) * 2002-04-09 2003-10-27 Telefonaktiebolaget L M Ericsson (Publ) Secure file transfer
US7483945B2 (en) * 2002-04-19 2009-01-27 Akamai Technologies, Inc. Method of, and system for, webcasting with just-in-time resource provisioning, automated telephone signal acquisition and streaming, and fully-automated event archival

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101365225B1 (ko) * 2006-03-07 2014-02-26 소니 주식회사 정보처리 장치 및 정보처리 방법과 컴퓨터ㆍ프로그램
KR101601769B1 (ko) 2014-10-31 2016-03-10 서강대학교산학협력단 소규모의 사물 인터넷 시스템 및 그를 위한 보안통신방법
KR101664963B1 (ko) * 2015-05-29 2016-10-12 주식회사 스마트큐 사물인터넷을 위한 안전한 디바이스 보안과 인증 절차를 처리하는 시스템
JPWO2017051630A1 (ja) * 2015-09-25 2018-07-12 ソニー株式会社 情報処理装置、サービス処理装置、情報処理方法、プログラム、および情報処理システム

Also Published As

Publication number Publication date
US8037538B2 (en) 2011-10-11
JP2004274429A (ja) 2004-09-30
US20060168253A1 (en) 2006-07-27
CN1759564B (zh) 2011-07-06
EP1603269A1 (en) 2005-12-07
CN1759564A (zh) 2006-04-12
JP4487490B2 (ja) 2010-06-23
WO2004082205A1 (ja) 2004-09-23
EP1603269A4 (en) 2011-07-27

Similar Documents

Publication Publication Date Title
KR101038612B1 (ko) 정보 처리 장치, 및 정보 처리 방법
JP4487490B2 (ja) 情報処理装置、およびアクセス制御処理方法、情報処理方法、並びにコンピュータ・プログラム
US7882356B2 (en) UPnP authentication and authorization
US8724515B2 (en) Configuring a secure network
KR101019974B1 (ko) 기기 인증 장치, 기기 인증 방법, 및 정보 처리 장치, 정보 처리 방법, 및 컴퓨터로 읽을 수 있는 매체
RU2409853C2 (ru) Администрирование управления доступом в беспроводных сетях
JP3826100B2 (ja) 通信中継装置、通信システム及び通信制御プログラム
US7987359B2 (en) Information communication system, information communication apparatus and method, and computer program
US7340769B2 (en) System and method for localizing data and devices
CA2407482A1 (en) Security link management in dynamic networks
JP2004173148A (ja) 情報処理装置、サーバクライアントシステム、および方法、並びにコンピュータ・プログラム
US20150229616A1 (en) Home network controlling apparatus and method to obtain encrypted control information
US20060123077A1 (en) Communication system and communication control server and communication terminals consituting that communication system
JP4470573B2 (ja) 情報配信システム、情報配信サーバ、端末機器、情報配信方法、情報受信方法、情報処理プログラム、及び記憶媒体
JP6056970B2 (ja) 情報処理装置、端末機、情報処理システム及び情報処理方法
Pehkonen et al. Secure universal plug and play network
GB2560895A (en) Secure transfer of data between internet of things devices
Lucenius et al. Security technologies in home and wireless networking environments
Primc Naslavljanje overovljenih identitet
Bornstein et al. Shell Protocols
GB2560746A (en) Secure transfer of data between internet of things devices
GB2560896A (en) Secure transfer of data between internet of things devices
GB2560894A (en) Secure transfer of data between internet of things devices
KR20050046834A (ko) 클라이언트 시스템과 특정 도메인 서버간의 보안 시스템및 그 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application