WO2004081801A1

WO2004081801A1 - 情報処理装置、および情報処理方法、並びにコンピュータ・プログラム

Info

Publication number: WO2004081801A1
Application number: PCT/JP2004/002903
Authority: WO
Inventors: Kensuke Baba; Yasuyuki Kinoshita; Yoichi Kobori; Keigo Ihara
Original assignee: Sony Corporation
Priority date: 2003-03-10
Filing date: 2004-03-05
Publication date: 2004-09-23
Also published as: US20060168264A1; US7870261B2; CN1748207A; CN1748207B; EP1603047A1; EP1603047A4; KR20050117543A; JP2004272632A; KR101038612B1

Abstract

外部ネットワークに接続されたクライアントによる内部ネットワーク接続サーバの効率的な情報取得を可能とした装置および方法を提供する。外部ネットワークおよび内部ネットワークの境界に接続されたアプリケーション・ゲートウェイとしての情報処理装置が、内部ネットワークに接続されたサーバ情報の取得要求を外部ネットワーク接続クライアントから受信したことを条件として、内部ネットワークを介した接続サーバのサーバ情報取得処理を実行し、取得したサーバ情報に基づいてデバイスリストを生成し、外部ネットワークを介してクライアントに送信する構成とした。本構成により、外部ネットワークに接続されたクライアントによる内部ネットワーク接続サーバの情報取得が効率的に実行できる。

Description

明細書情報処理装置、および情報処理方法、並びにコンピュータ 'プログラム技術分野本発明は、情報処理装置、および情報処理方法、並びにコンピュータ ·プログラムに関する。さらに、詳細には、ホームネットワーク等の内部ネットヮ一クに接続されたサーバ等の情報処理装置に関する情報の取得を外部ネットヮークに接続されたクライアントからゲートウェイを仲介として実行することを可能とした情報処理装置、および情報処理方法、並びにコンピュータ 'プログラムに関する。 ft景技昨今のデータ通信ネットワークの普及に伴い、家庭内においても家電機器やコンピュータ、その他の周辺機器をネットワーク接続し、各機器間での通信を可能とした、いわゆるホームネットワークが浸透しつつある。ホームネットヮークは、ネットワーク接続機器間で通信を行なうことにより各機器のデータ処理機能を共有したり、機器間でコンテンツの送受信を行なう等、ユーザに利便性'快適性を提供するものであり、今後、ますます普及することが予測される。このようなホームネットワークの構成に適するプロトコルとしてュ-バーサルプラグアンドプレイ（U P n P ： Universal Plug and Play) が知られている。ユニバーサルプラグアンドプレイ（U P n P ) は、複雑な操作を伴うことなく容易にネットワークを構築することが可能であり、困難な操作や設定を伴うことなくネットワーク接続された機器において各接続機器の提供サービスを受領可能とするものである。また、 U P n Pはデバイス上の O S (ォペレ一ティングシステム）にも依存せず、容易に機器の追加ができるという利点を持つ。

U P n Pは、接練機器間で、 X M L ( extensible Markup Language) に準拠した定義ファイルを交換し、機器間において相互認識を行なう。 U P n Pの処理の概要は、以下の通りである。

( 1 ) I Pァドレス等の自己のデバィス I Dを取得するァドレッシング処理。

( 2 ) ネットワーク上の各デバイスの検索を行ない、各デバイスから応答を受信し、応答に含まれるデバイス種別、機能等の情報を取得するデイス力バリ処理。

( 3 ) ディスカパリ処理で取得した情報に基づいて、各デバイスにサービスを要求するサービス要求処理。上記処理手順を行なうことで、ネットワーク接続された機器を適用したサービスの提供および受領が可能となる。ネットワークに新たに接続される機器は、上記のァドレツシング処理によりデパイス I Dを取得し、ディスカバリ処理によりネットワーク接続された他のデバイスの情報を取得して、取得情報に基づいて他の機器にサービスの要求が可能となる。しかし、一方、この種のネットワークでは、不正アクセスに対する対策を考慮することも必要となる。ホームネットワーク内の機器、例えばサーバ等には私的なコンテンツや有料コンテンッ等の著作権管理を要求されるコンテンッが格納されることも多い。このようなホームネットワーク内のサーバに格納されたコンテンッは、ネットワーク接続された他の機器からアクセス可能となる。例えば、上述の簡易な機器接続構成である U P n P接続を実行した機器によってコンテンツを取得することが可能となる。コンテンツが映画データや音楽データの場合、ネットワーク接続機器として T V、あるいはプレーヤ等を接続すれば、映画を視聴したり、音楽を聴いたりすることが可能となる。コンテンッの利用権を有するユーザの接続した機器によるアクセスは許容されてもよいが、上述のようなネットワーク構成においては、コンテンッ等の利用権を持たないユーザがネットワークに入り込むことも容易である。例えば無線 LANによって構成されたネットワークの場合には家の中にあるサーバに対して、戸外、あるいは隣家等から通信機器を利用して不正にネットワークに参入し、コンテンツの搾取を行なうような事態も発生し得る。このような不正なアクセスを許容する構成は、秘密漏洩を生じさせることにもなり、また、コンテンツ著作権の管理の観点からも重要な問題となる。上述のような不正アクセスを排除するため、例えばサーバにアクセスを許容するクライアントのリストを保持させ、クライアントからサーバに対するァクセス要求の際に、サーバでリストとの照合処理を実行して不正アクセスを排除する構成が提案されている。例えば、ネットワーク接続機器に固有の物理ァドレスである MAC (Me d i a A c c e s s C o n t r o 1 ) アドレスを、アクセス許容機器リストとして設定する MACァドレスフィルタリングが知られている。 MACァドレスフィルタリングとは、ホームネットワーク等の内部ネットワーク（サブネット）と外部ネットワークとを隔離するルータあるいはゲートウヱイに、予めァクセスを許容する MACァドレスを登録しておき、受信したパケットの MAC 了ドレスと登録された MACァドレスとを照合し、登録されていない MACァドレスを有する機器からのアクセスを拒否するものである。なお、この種の技術については、例えば特許文献 1 (特許公開平 1 0— 2 7 1 1 54号公報）に開示されている。しかし、アクセス制限をするための MACァドレスの登録処理を行なうためには、ネットワークに接続される機器の全ての MACァドレスを調べることが必要であり、取得した全ての機器の MACァドレス（4 8 b i ) をオペレータが入力してリストを作成するという処理が必要となる。このような処理は、例えば特定の会社、団体等、セキュアな環境を構築することが要求される場合には、所定の管理者の下に行なうことも可能であるが、例えば一般家庭に設定されるホームネットワーク環境において、一般ユーザに M A Cリストの生成、格納を要求することは現実的ではない。ホームネットワークにおいては、新たな機器の追加処理が行われることは頻繁に発生することであり、このような機器追加処理の際に、ユーザが逐次、機器の M A Cァドレスを調べて登録処理をしなければならないとすると、ネットワーク構築の容易性を阻害することになる。一方、一般家庭においても、 P Cのみならず、家電機器も含んだネットヮーク構成が構築され、どのような機器からでもネットワークにアクセス可能ないわゆるュビキタス環境が構築されつつあり、また、無線 L A N等の普及により、通信可能な機器が外部から無線 L A Nに侵入することも容易となっている。このようなネットワーク環境において、ネットワーク接続機器に対する不正ァクセスもより発生しゃすくなつており、不正なアクセスによる秘密情報の搾取、コンテンッの不正読み取り等が実行される可能性はますます高くなっている。このような状況において、一般ユーザに負担を強いることなく、適切なァクセス制御構成を容易に実現することが求められている。また、アクセス権限を正しく判定したとしても、外部ネットワークに接続されたクライアントカホームネットワークに接続された内部ネットワークの各サーバの情報を取得するためには、例えば各サーバに個別に逐次アクセスして情報を取得することが必要となる。内部ネットワークに接続されたクライアントであれば、前述の U P n Pに従つたサーチ処理、すなわち U D P (User Datagram Protocol) に従って、サーチリクエストをマルチキャスト送信（H T T P M U ： H T T P Multi cast) することで一括して複数サーバからの情報取得が可能となり、容易にサーバ情報を取得することができる。しかし、外部ネットワークに接続されたクライアントが、上記と同様の U D Pパケットのマルチキャスト送信により、特定の内部ネットワークに接続されたサーバの情報を取得することは困難である。また、インターネット等の外部ネットワークにサーバ情報を生のまま送信することは盗聴等の危険を伴うことになる。発明の開示本発明は、上述の問題点に鑑みてなされたものであり、ホームネットワーク等の内部ネットワークに接続されたサーバ等の装置の情報取得を、外部ネットワークに接続されたクライアントから容易にかつセキュアに実行することを可能とした情報処理装置、および情報処理方法、並びにコンピュータ 'プログラムを提供することを目的とする。本発明の第 1の側面は、

外部ネットワークおよび内部ネットワークの境界において、外部ネットヮーク接続クライアントからのデータ処理要求に従った処理を実行する情報処理装置であり、 '

外部ネットワークおよび内部ネットワークを介したデータ送受信を実行するデータ送受信部と、

内部ネットワークに接続されたサーバ情報の取得要求を外部ネットワーク接銃クライアントから受領したことを条件として、内部ネットワークを介した接続サーバのサーバ情報取得処理を実行し、該サーバ情報取得処理に基づいて取得したサーバ情報に基づいて、外部ネットワークを介して前記クライアントに送信するデバイスリスト生成処理を実行するサーバ発見処理実行部と、を有することを特徴とする情報処理装置にある。さらに、本発明の情報処理装置の一実施態様において、前記サーバ発見処理実行部は、内部ネットワークを介した接続サーバに関するサーバ情報取得処理を S S D P (S imple Servi ce Di scovery Protocol) を適用した処理として実行する構成であることを特徴とする。さらに、本発明の情報処理装置の一実施態様において、前記サーバ発見処理実行部は、内部ネットワークを介した接続サーバのサーバ情報取得処理を、前記内部ネットワークを介したサーチリクエストのマルチキャスト送信により実行し、内部ネットワークに接続されたサーバからの受信情報に基づいて前記デバイスリストを生成する構成であることを特徴とする。さらに、本発明の情報処理装置の一実施態様において、前記サーバ発見処理実行部は、内部ネットワークに接続された各サーバから受信する U D P (User Datagram Protocol) パケット格納情報に基づいて、外部ネットワークに接続されたクライアントに対して送信するデバイスリストを生成する構成であることを特徴とする。さらに、本発明の情報処理装置の一実施態様において、前記サーバ発見処理実行部は、外部ネットワークに接続されたクライアントに対して送信するデバイスリストを、前記クライアントと共有する鍵で暗号化する処理を実行し、デバイスリストを暗号化データとしてクライアントに送信する構成であることを特徴とする。さらに、本発明の情報処理装置の一実施態様において、前記デバィスリストの暗号化に適用する鍵は、クライアントと情報処理装置との間で実行する S S L (Secure Socket Layer)ハンドシェイク処理によって取得した暗号処理鍵であることを特徴とする。さらに、本発明の情報処理装置の一実施態様において、前記情報処理装置は、前記内部ネ V トワークを介した接続サーバのサーバ情報取得処理を U D P (User Datagram Protocol) に従って実行し、前記外部ネットワークを介したクライアントに対するデバィスリスト送信を T C P (Transmi ss i on Control Protocol) に従って実行する構成であることを特徴とする。さらに、本発明の情報処理装置の一実施態様において、前記サーバ発見処理実行部は、前記デバィスリスト生成処理において、内部ネットワークに接続されたサーバから受信する情報に基づいて、各サーバに対するアクセス情報、および各サーバの提供可能なサービス情報を含むデバィスリストを生成する処理を実行する構成であることを特徴とする。さらに、本発明の情報処理装置の一実施態様において、前記情報処理装置は、さらに、クライアントのアクセス権限の有無を判定する機器認証処理部を有し、前記サーバ発見処理実行部は、前記機器認証処理部においてクライアントのァクセス権限が認められたことを条件として、サーバ発見処理を実行する構成であることを特徴とする。さらに、本発明の情報処理装置の一実施態様において、前記情報処理装置は、クライアント識別子と、クライアントとのコネクション識別情報としてのセッシヨン I Dとを対応付けたクライアントセッション I Dテーブルを有し、クライアントから受信するセッション I Dに基づく前記クライアントセッション I Dテーブルの検索によりクライアントの識別処理を実行する構成であることを特徴とする。さらに、本発明の情報処理装置の一実施態様において、前記情報処理装置は、外部ネットワークおょぴ内部ネットワークの境界に位置するアプリケーション ·ゲートウェイとしての機能を有することを特徴とする。さらに、本発明の情報処理装置の一実施態様において、前記情報処理装置は、外部ネットワークおよび内部ネットワークの境界に位置するリバースプロキシサーバとしての機能を有することを特徴とする。さらに、本発明の第 2の側面は、

外部ネットワークおよび内部ネットワークの境界に接続された情報処理装置において、外部ネットワーク接続クライアントからのデータ処理要求に従つた処理を実行する情報処理方法であり、

内部ネットワークに接続されたサーバ情報の取得要求を外部ネットワーク接続クライアントから受信する情報要求受信ステップと、

内部ネットワークを介した接続サーバのサーバ情報取得処理を実行するサーバ情報取得処理ステップと、

前記サーバ情報取得処理ステップにおいて取得したサーバ情報に基づいて前記クライアントに送信するデバイスリストを生成するデバイスリスト生成処理ステップと、

前記デバィスリスト生成処理ステップにおいて生成したデバィスリストを外部ネットワークを介してクライアントに送信するデバイスリスト送信ステップと、 '

を有することを特徴とする情報処理方法にある。さらに、本発明の情報処理方法の一実施態様において、前記サーバ情報取得処理ステップは、内部ネットワークを介した接続サーバに関するサーバ情報取得処理を S S D P (S imple Servi ce Discovery Protocol) を適用した処理として実行することを特徴とする。さらに、本発明の情報処理方法の一実施態様において、前記サーバ情報取得処理ステップは、内部ネットワークを介した接続サーバのサーバ情報取得処理を、前記内部ネ Vトワークを介したサーチリクエストのマルチキャスト送信により実行することを特徴とする。さらに、本発明の情報処理方法の一実施態様において、前記サーバ情報取得処理ステツプは、内部ネットワークに接続された各サーバから受信する U D P (User Datagram Protocol) パケット格納情報を受信し、前記デバィスリスト生成処理ステップは、前記 U D P (User Datagram Protocol) パケット格納情報に基づいて、外部ネットワークに接続されたクライアントに対して送信するデバイスリストを生成することを特徴とする。さらに、本発明の情報処理方法の一実施態様において、前記デパイスリスト送信ステップは、外部ネットワークに接続されたクライアントに対して送信するデバイスリストを、前記クライアントと共有する鍵で暗号化する処理を実行し、デバイスリストを暗号化データとしてクライアントに送信することを特徴とする。さらに、本発明の情報処理方法の一実施態様において、前記デバィスリストの暗号化に適用する鍵は、クライアントと情報処理装置との間で実行する S S L (Secure Socket Layer)ハンドシェイク処理によって取得した暗号処理鍵であることを特徴とする。さらに、本発明の情報処理方法の一実施態様において、前記サーバ情報取得処理ステップは、前記内部ネットワークを介した接続サーバのサーバ情報取得処理を U D P (User Datagram Protocol) に従って実行し、前記デバイスリスト送信ステップは、前記外部ネットワークを介したクライアントに対するデバイスリス卜送信を T C P (Transmi ss ion Control Protocol) に従って実行することを特徴とする。さらに、本発明の情報処理方法の一実施態様において、前記デバィスリスト生成処理ステップは、内部ネットワークに接続されたサーバから受信する情報に基づいて、各サーバに対するアクセス情報、およぴ各サーバの提供可能なサ一ビス情報を含むデバィスリストを生成する処理を実行することを特徴とするさらに、本発明の情報処理方法の一実施態様において、前記情報処理方法は、さらに、クライアントのアクセス権限の有無を判定する機器認証処理ステップを有し、前記サーバ情報取得処理ステップは、前記機器認証処理ステップにおいてクライアントのアクセス権限が認められたことを条件として実行することを特徴とする。さらに、本発明の情報処理方法の一実施態様において、前記情報処理方法は、さらに、クライアント識別子と、クライアントとのコネクション識別情報としてのセッシヨン I Dとを対応付けたクライアントセッション I Dテーブルに基づいて、クライアントから受信するセッション I Dに従ったテーブル検索を実行し、クライアントの識別処理を実行するステップを有することを特徴とする。さらに、本発明の第 3の側面は、

外部ネットワークおよび内部ネットワークの境界に接続された情報処理装置において、外部ネットワーク接続クライアントからのデータ処理要求に従つた処理を実行するコンピュータ 'プログラムであり、

前記デバィスリスト生成処理ステップにおいて生成したデバイスリストを外部ネットワークを介してクライアントに送信するデバイスリスト送信ステップと、

を有することを特徴とするコンピュータ ·プログラムにある。本発明の構成によれば、外部ネットワークおよび内部ネットワークの境界に接続されたアプリケーション ·ゲートウエイとしての情報処理装置が、内部ネットワークに接続されたサーバ情報の取得要求を外部ネットワーク接続クライアントから受信したことを条件として、内部ネットヮ一クを介した接続サーバのサーバ情報取得処理を実行し、取得したサーバ情報に基づいてデバイスリストを生成し、外部ネットワークを介してクライアントに送信する構成としたので、外部ネットワークに接続されたクライアントによるホームネ Vトヮ一ク等、内部ネットワークに接続されたサーバ情報の効率的な取得が可能となる。さらに、本発明の構成によれば、クライアントとアプリケーション ·ゲートウェイとしての情報処理装置との間で実行する S S L (Secure Socket Layer) ハンドシェィク処理によって取得した喑号処理鍵を用いてデバイスリストを暗号化してクライアントに送信する構成としたので、インターネット等の盗聴のおそれのある通信路を介したデータ通信が必要な場合であっても、セキュアなデバイスリスト送信が可能となる。さらに、本発明の構成によれば、内部ネットワークを介した接続サーバのサーバ情報取得処理を U D P (User Datagram Protocol) に従って実行し、外部ネットワークを介したクライアントに対するデバイスリスト送信を T C P (Transmi ssion Control Protocol) に従って実行する構成としたので、サ一パ情報取得処理は、 U P n Pの規定に従った S S D P ( Simple Servi ce Di scovery Protocol) を適用した処理として実行可能であり、また、外部ネットワークに接続されたクライアントに対するデバイスリスト送信は、安全性、確実性が高い T C Pによる通信によるリスト送信が実現される。さらに、本発明の構成によれば、クライアントのアクセス権限の有無を判定する機器認証処理においてクライアントのアクセス権限が認められたことを条件としてデバィスリストの取得および送付を実行する構成としたので、ァクセス権限を持たない不正クライアントからのデバイスリスト取得処理が防止される。なお、本発明のコンピュータ ' プログラムは、例えば、様々なプログラム' コードを実行可能な汎用コンピュータ 'システムに対して、コンピュータ可読な形式で提供する記憶媒体、通信媒体、例えば、 C D F D、 M Oなどの記憶媒体、あるいは、ネットワークなどの通信媒体によって提供可能なコンビユータ .プログラムである。このようなプログラムをコンピュータ可読な形式で提供することにより、コンピュータ 'システム上でプログラムに応じた処理が実現される。本発明のさらに他の目的、特徴や利点は、後述する本発明の実施例や添付する図面に基づく、より詳細な説明によって明らかになるであろう。なお、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。図面の簡単な説明図 1は、本発明の適用可能なネットワーク構成例を示す図である。

図 2は、ネットワーク接続機器の構成例について説明する図である。

図 3は、ホームネットワーク等の内部ネットワークに接続されたクライアントによるサーバ発見処理シーケンスを示す図である。

図 4は、外部ネットワークに接続可能なクライアントの機器登録処理手順を説明するシーケンス図である。

図 5は、外部ネットワークに接続されたクライアントによる認証および、コンテンッ取得処理手順を説明するシーケンス図である。

図 6は、外部ネットワークに接続されたクライアントの認証処理手順を説明するシーケンス図 (その 1 ) である。

図 7は、外部ネットワークに接練されたクライアントの認証処理手順を説明するシーケンス図（その 2 ) である。

図 8は、アプリケーション 'ゲートウェイの生成するクライアント識別テーブルの構成例を示す図である。

図 9は、アプリケ一ション ·ゲートウエイの生成するクライアントセッション I Dテーブルの構成例を示す図である。

図 1 0は、外部ネットワークに接続されたクライアントからのデバイスリスト取得要求の処理シーケンスを示す図である。

図 1 1は、外部ネットワークに接続されたクライアントからのデバイスリスト取得要求の受信に基づいてアプリケーション'ゲートウェイの実行する処理を説明するフロー図である。

図 1 2は、アプリケーション ·ゲートウェイの機能構成を説明するプロック図である。

図 1 3は、クライアントの機能構成を説明するプロック図である。

発明を実施するための最良の形態以下、図面を参照しながら、本発明の情報処理装置、および情報処理方法. 並びにコンピュータ ·プログラムの詳細について説明する。

'概要]

まず、図 1を参照して、本発明の適用可能なネットワーク構成例について説明する。図 1は、例えば特定ユーザの家等に構築されたホームネットワーク 1 0 0等の口一力ルェリァネットワーク、すなわち内部ネットワークであり、パ一ソナルコンビュ一タ（P C ) 1 0 1、 1 0 2、ハードディスクレコーダ 1 0 3、 T V 1 0 4、P D A 1 0 5等の様々な情報処理装置がホームネットワーク 1 0 0を介してデータ送受信を行う。たとえば、 P C 1 0 1、 1 0 2、あるいはハードディスクレコーダ 1 0 3をコンテンッ提供サーバとし、 TV 1 0 4、P DA 1 0 5をクライアントとして、クライアントがサーバの格納コンテンツをネットワークを介して取得し、クライアントのディスプレイ、スピーカを利用してコンテンツ出力を行う。ホームネットワーク 1 0 0は、有線、無線等いずれかのネットワークであり、各接続機器は、例えばイーサネット (登録商標) フレーム等の通信パケットをネットワークを介して送受信する。すなわち、クライアントは、イーサネットフレームのデータ部に処理要求情報を格納したフレームをサーバに送信することにより、サーバに対するデータ処理要求を実行する。サーバは、処理要求フレームの受信に応じて、データ処理を実行し、必要に応じてデータ処理結果としての結果データを通信パケットのデータ部に格納し、各クライアントに送信する。ネットワーク接続機器は、例えばユニバーサルプラグアンドプレイ（U P n P ： Universal Plug and Play) 対応機器によって構成される。従って、ネットワークに対する接続機器の追加、削除が容易な構成である。ネットワークに新たに接続する機器は、

( 1 ) I Pァドレス等の自己のデバイス I Dを取得するァドレッシング処理。

(2) ネットワーク上の各デバイスの検索を行ない、各デバイスから応答を受信し、応答に含まれるデバイス種別、機能等の情報を取得するデイス力バリ処理。

( 3) ディスカバリ処理で取得した情報に基づいて、各デパイスにサービスを要求するサービス要求処理。

上記処理手順を行なうことで、ネットワーク接続された機器を適用したサ一ビスを受領することが可能となる。図 1において、ホームネットワーク 1 0 0は、ィンターネット等の外部ネットワーク 1 2 0に接続されている。外部ネットワーク 1 2 0にも P C 1 2 1、携帯電話 1 2 2、ポータブル再生プレーヤ 1 2 3等の各種の情報処理装置が接銃される。ホームネットヮ一ク 1 0 0内の情報処理装置と外部ネットワーク 1

2 0の情報処理装置とは、外部ネットワーク 1 2 0およびホームネットワーク 1 0 0を介して通信が可能となる。外部ネットワーク 1 2 0およびホームネットワーク 1 0 0によって構成される内部ネットワークの間には、外部ネットワーク 1 2 0の接続装置からのァクセスを制限するためのファイアウォール機能を持つアプリケ——ンョン.ゲートウエイ 1 1 0が設置される。アプリケーション ·ゲートウェイは、外部ネットワークからのアクセス要求について、アプリケーション層において通信パケットのチェックを実行し、フィルタリングを行う。なお、アプリケ一ション ·ゲートウエイ 1 1 0は、ホームネットワーク 1 0 0に接続された情報処理装置の代理応答サ一バとしての機能も有する。すなわち、アプリケーション ·ゲートウヱイ 1 1 0は、リバースプロキシサーバ機能も兼ね備えた構成をもつ。このように、アプリケ一ション ·ゲートウエイ 1 1 0は、ホームネッ卜ヮ一ク等のローカル領域内の内部ネットヮ一クと、ローカル領域外の外部ネットヮークの間に位置するアプリケーション.ゲートクエイであり、またリバースプロキシサーバとしての機能を有する。外部ネットワーク 1 2 0に接続された P C 1 2 1、携帯電話 1 2 2、ポータプル再生プレーヤ 1 2 3等の各種の情報処理装置は、アプリケーション.ゲートウエイ 1 1 0を介してホームネットワーク 1 0 0内のサーバ、例えば P C 1 0 1、 1 0 2、ハ—ドディスクレコーダ 1 0 3等にアクセスし、これらの装置に格納されたコンテンツを取得して P C 1 2 1、携帯端末 1 2 2、再生プレーャ 1 2 3等においてコンテンツ出力を行うことが可能となる。ただし、これらのコンテンツ取得を不特定のクライアントに許容することは、コンテンツの著作権、秘密漏洩等の問題から好ましいことではない。従って、外部ネットワーク 1 2 0とホームネットワーク 1 0 0の間に配置されたァプリケーション ·ゲ一トウエイ 1 1 0において、外部からのアクセスについてのアクセス権限判定処理を実行し、権限ありと判定した場合においてのみ、外部からのアクセスを許容する構成を持つ。この詳細処理構成については後述する _c 図 1に示す各情報処理装置、すなわちサーバ、クライアント、およびアプリケーション'ゲートウェイを構成する情報処理装置のハードウエア構成例について図 2を参照して説明する。

C PU (Central Processing Unit) 2 0 1は、 ROM (Read Only Memory) 2 0 2、または HDD (Hard Disk Drive) 2 0 4等に記憶されているプログラムに従って、各種の処理を実行し、データ処理手段、あるいは通信制御処理手段として機能する。 RAM (Random Access Memory) 2 0 3には、 C P U 2 0 1カ実行するプログラムやデータが適宜記憶される。 C PU 2 0 1、ROM 2 0 2、および RAM 2 0 3、 HDD 2 0 4は、バス 2 0 5を介して相互に接続されている。バス 2 0 5には、入出力インタフェース 2 0 6が接続されており、この入出力インタフェース 2 0 6には、例えば、ユーザにより操作されるキーボード、スィッチ、ボタン、あるいはマウス等により構成される入力部 2 0 7、ユーザに各種の情報を提示する L CD、 CRT, スピー力等により構成される出力部 2 0 8が接続される。さらに、データ送受信手段として機能する通信部 2 0 9、さらに、磁気ディスク、光ディスク、光磁気ディスク、または半導体メモリなどのリムーバブル記録媒体 2 1 1を装着可能で、これらのリムーバプル記録媒体 2 1 1からのデータ読み出しあるいは書き込み処理を実行するドライブ 2 1 0が接続される。図 2に示す構成は、図 1に示すネットワーク接続機器の一例としての一般的な P Cの構成を示すものであるが、ネットワーク接続機器は P Cに限らず、図 1に示すように携帯電話、 PDA等の携帯通信端末、その他の様々な電子機器、情報処理装置によって構成することが可能である。従って、それぞれの機器固有のハードウェア構成を持つことが可能であり、そのハードウエアに従った処理を実行する。

[ホームネットワーク内のクライアントによるコンテンッ取得処理] 図 1に示すホームネットワーク 1 0 0に接続された P C 1 0 1、 1 0 2、ハードディスクレコーダ 1 0 3、 TV 1 0 4、 P DA 1 0 5等の様々な情報処理装置間においては、上述したユニバーサルプラグアンドプレイ（U P n P : Universal Plug and Play) プロトコノレに従った通信を実行して、クライアントはサーバからコンテンッを取得することが可能となる。ホームネットワーク 1 0 0に接続されたクライアント、すなわちサーバからコンテンツを取得しようとする情報処理装置は、ネットワーク上のサーバの検索としてのサーバ発見処理、例えば U P n Pの規定するディスカノくリ処理によりサーバからサーバの提供可能なサービス情報を取得することができる。ホームネットワーク 1 0 0に接続されたクライアントによるサーバのディスカバリ処理シーケンスを図 3に示す。クライアント 3 0 1は、ホームネットワークを介して例えばネットワークサ一ビスの検出プロトコノレである S S D P ( Simple Service Discovery Protocol) を適用してサーバ発見処理を行う。クライアントは、ステップ S 1 において、ネットワークを介したサーチリクエストを UD P (User Datagram Protocol)に従って、マルチキャスト送信 ( H T T P M U： H T T P Multicast) する。ホームネットワークに接続されたサーバ 1 , 3 1 1、サーバ 2 , 3 1 2、サーバ 3 , 3 1 3の各々は、クライアントからのサーチリクエストを受信すると、ステップ S 2 , S 3 , S 4において、サービス提供可能であることを示す O Kレスポンスを U D Pに従って、クライアントに対してュニキャスト送信 ( H T T P U ： H T T P Unicast) する。なお、 O Kレスポンスには、各サ一バに対するアクセス情報、提供可能なサービスについての情報等が含まれる。上記のディスカバリ処理により、各サーバからの O Kレスポンスを受信したクライアントは、サーバの提供可能なサービスについての情報を確認し、その後、これらの情報に基づいて、各デバイスにサービスを要求するサービス要求処理を実行する。例えば、サーバに対するコンテンツ送信要求等を実行し、サーバからコンテンッを取得してクライアントのディスプレイ、スピーカを介して出力する処理が可能となる。 '

[ホームネットワーク外のクライアントによるコンテンッ取得処理] 上述した一般的な U P n Pに従ったサーバ発見処理を外部ネットワークに接続された情報処理端末とホームネットワーク内のサーバ間で実行すると、不正なクライアント、すなわちコンテンツの利用を許諾されていないクライアントからホームネットワークに接続されたサーバの格納コンテンツが不正に取得され、利用される可能性がある。本発明の構成においては、外部ネットワークに接続されたクライアントからホームネットワーク等の内部ネットワークに接続されたサーバに対するァクセス要求を図 1に示すアプリケーション'ゲ一トウエイ 1 1 0において検証し、アクセス権限の判定処理を実行した上で、外部ネットワークに接続されたクライアントが正当なアクセス権限を有するとの判定があった場合にのみサーバに対するアクセスを許容する。 ( 1 ) 機器登録処理

ホームネットワーク外のインターネット等の外部ネットワークに接練し、ホ一ムネットワーク内のサーバに対するアクセスを行おうとする情報処理装置 (モパイル機器）は、事前に機器登録処理を行うことが必要となる。すなわち、モパイル機器は、ホームネットワーク内のアプリケーション ·ゲ一トウヱイを含む情報処理装置との間で、所定のシーケンスに従った機器登録処理を実行する。なお、機器登録処理はユーザが登録処理シーケンスを実行する 2つの機器の操作、あるいはパスヮード等の表示情報の確認をすることが必要であり、例えばホームネットワークに両機器 (モパイル機器とアプリケ——ンヨン . ゲートウェイ）を接続して実行する。図 4を参照してモパイル機器の機器登録処理の手順について説明する。図 4 には、左側にモパイル機器としてのクライアント、右側にホームネットワーク内のアプリケーシヨン'ゲートウェイを含む情報処理装置を意味するサーバの処理を示している。まず、ステップ S 1 1において、ユーザがクライアント側に設けられた機器登録ボタンを押下する。すると、クライアントは、ステップ S 1 2において、登録要求をプロードキャストする。これは、 U D P (User Datagram Protocol) に従ったマルチキャスト送信として実行される。登録要求を受信したサーバは、ステップ S 1 3において確認要求をクライアントに対してュニキャスト送信する。これ以降のデータ送受信処理は、 T C P (Transmi ss ion Control Protocol) l従って実行される。サ一く力らクライアントに送信する確認要求には、サーバ名が含まれる。確認要求を受信したクライアントは、ステップ S 1 4において確認要求応答をサーバに対して送信する。確認要求応答には、クライアント名が含まれる。確認要求応答を受信したサーバは、ステップ S 1 5においてユーザに対して「クライアント " γ γ γ γ " のためのワンタイムパスワードは "〇〇〇〇" です。」なるメッセージを表示する。すなわち、ワンタイムパスワードをサーバのディスプレイに表示する。このパスヮードは、サ一バが例えば乱数発生処理により生成するものである。ユーザは、ワンタイムパスヮードを確認し、サーバ側からクライアント側に移動する。クライアント側に移動してきたユーザは、ステップ S 1 6においてサーバ側に提示されたワンタイムパスヮードをクライアントの入力手段から入力する。ステップ S 1 7において、クライアントは、入力パスヮードをサ一バに送信する。サーバは、ヮンタイムパスヮード提示後の所定時間の待機中にクライアントからのパスヮードを受信すると、ステップ S 1 8において、先のステップ S 1 5においてサ"バが生成しユーザに提示したワンタイムパスヮードと受信パスヮードとの照合処理を実行する。サーバは、ステップ S 1 9において、クライアントに対してパスヮード照合 O K / N Gの通知を行う。パスヮード照合 N Gの場合は、処理を中止する。パスヮード照合 O Kの場合は、ステップ S 2 0 において、暗号化通信処理を可能とするための S S L (Secure Socket Layer) ハンドシェイク処理に移行する。

S S Lハンドシェィクにより、サーバおよびクライァントは、暗号通信のための鍵として適用可能な秘密情報の共有を行い、その後の通信においては、共有した秘密情報を用いた暗号化データの送受信が可能となる。ステップ S 2 1において、サーバは、例えば乱数発生処理により I Dを生成する。 I Dは、グローバルユニーク性を有することが好ましく、例えば 1 2 8 b i t以上のビット列として生成される。サーバの生成する I Dをサーバ I D ： G U I D ( S ) とする。 G U I Dは、 Global ly Uni que Ident ifi er を意味する。ステップ S 2 2において、サーバは、生成したサーバ I D ： G U I D ( S ) を S S Lハンドシェイクによりサーバクライアント間で共有した鍵で暗号化してクライアントに送信する。クライアントは、受信データを復号しサーバ I D ： GU I D ( S ) を取得する。一方、クライアントは、ステップ S 2 3において、例えば乱数発生処理により I Dを生成する。 I Dは、グローバルユニーク性を有することが好ましく、例えば 1 2 8 b i t以上のビット列として生成される。クライアントの生成する I Dをクライアント I D ： GU I D (C ) とする。ステップ S 24において、クライアントは、生成したクライアント I D： G U I D (C) を S S Lハンドシェイクによりサーバクライアント間で共有した鍵で暗号化してサーバに送信する。サーバは、受信データを復号しクライアント I D ： GU I D (C) を取得する。ステップ S 2 5において、クライアントは、サーバから受信したサーバ I D： G U I D ( S) と自デパイスで生成したクライアント I D : GU I D (C) を記憶手段に暗号化して格納する。暗号化鍵としては、例えば自デバイスのハ一ドウエアに固有の識別情報、すなわちハードウエアユニーク I D (Hu i d (Ο) を適用する。サーバ I D : GU I D (S) およびクライアント I D : GU I D (C) は暗号化データとして記憶部に格納される。このように、サーバ I D : GU I D ( S ) およびクライアント I D : GU I D (C) は、ハードウェアユニーク I D (Hu i d (Ο) による暗号化がなされ、不正コピー、改ざん困難性を高めた暗号化データとして、すなわち、タンパレジスタント性を確保したデータとして格納される。ステップ S 2 6において、サーバは、クライアントから受信したクライアント I D : GU I D (C) と自デバイスで生成したサーバ I D ： GU I D ( S ) を記憶手段に暗号化して格納する。暗号化鍵としては、クライアントと同様、自デバイスのハードウエアに固有の識別情報、すなわちハードウエアユニーク I D (H u i d ( S )) を適用する。サーバにおいても、サーバ I D ： GU I D ( S ) およびクライアント I D ： GU 1 D (C) は暗号化データとして記憶部に格納され、不正コピー、改ざんの困難なタンパレジスタント性が確保され o 上述の処理により、外部ネットワークに接続可能なモパイル機器と、ホームネットワーク内のアプリケーション.ゲートウェイを含むサーバの各々は、それぞれ、サーバ I D： G U I D ( S) およぴクライアント I D : GU I D (C) を共有する秘密情報（S e c r e t ) として保有することになる。

( 2) 機器認証処理上述の機器登録処理により、サーバ I D : GU I D (S) およびクライアント I D : GU I D (C) をアプリケーション ·ゲートウエイとの共有秘密情報 (S e c r e t ) として保有したモパイル機器は、ィンターネット等の外部ネットワークに接続し、図 1に示すアプリケーシヨン'ゲートウエイ 1 1 0に接続し、所定のアクセス権限判定処理シーケンスを実行することで、ホームネットワーク等の内部ネットワークに接続されたサーバに対するアクセスが可能となり、サーバからのコンテンツ取得等が許容される。すなわち、モパイル機器は、アプリケーション ·ゲートウエイ 1 1 0によつて共有秘密情報（S e c r e t ) であるサーバ I D : GU I D (S) およびクライアント I D:GU I D (C)を適用したアクセス権限判定処理が実行され、アクセス権限ありとの判定を条件として、ホームネットワーク内のサーバに対するアクセスが可能となる。図 5に、外部ネットワークに接続したモパイル機器と、アプリケーション ' ゲートウェイとの通信処理シーケンスを示す。図 5において、クライアントは外部ネットワークに接続されたクライアントであり、サーバはホームネットワーク等の内部ネットワークに属し、アプリケーシヨン · ゲ一トウエイが、両ネ V トワークの間に存在している。クライアントは、ステップ S 3 1において、アプリケーション ·ゲートクェィに接続する。なお、クライアントは、アプリケーション · ゲートウェイに接続するためアプリケーション ·ゲートウヱイの I Pアドレス、ポート番号を取得することが必要である。例えばアプリケ一ション ·ゲートウエイに設定されたホスト名等【こ基づヽて、ネットワーク上の D N S (Domain Name System)サーバ、その他、 I S P ( Internet Service Provi der) の提供するサービスサーバによって、アプリケーション ·ゲートウエイの I Pアドレス、ポート番号を取得し接続を行う。なお、クライアントは、明示的にアプリケーション .ゲートウェイに接続する処理を実行することなく、例えばアプリケーション *ゲートウェイの接続されたホームネットワーク等、内部ネットワークの接続サーバのホスト名を用いてサーバに対するダイレクト接続を試みた場合においても、各サーバに設定されたゲ一トウエイの設定情報に基づいて、クライアントは、外部ネットワークと内部ネットワークの間に設置されたアプリケーション 'ゲートウェイに接続され、以下に説明する機器認証シーケンスが実行される。なお、クライアントとアプリケーション ·ゲートウェイとの接続は、接続期間において複数の H T T Pパケットの送受信が可能な H T T Pキープアライブ ( H T T P K e e p A 1 i v e ) の設定された T C P接練とし、一接続シ- ーケンスにおいて、以下に説明する S S L (Secure Socket Layer)ハンドシェィク処理、およびログイン処理を継続して実行することが好ましい。ステップ S 3 2において、クライアントと、アプリケーション ·ゲートウェィ間において、 S S L (Secure Socket Layer)ノヽンドシェィク処理を実行する。 S S Lハンドシェィクにより、クライアントと、ァプリケ——ンョン ·ザ一トゥエイは、暗号通信のための鍵として適用可能な秘密情報（セッション鍵）の共有を行い、その後の通信においては、共有した秘密情報（セッション鍵）を用いた暗号化データの送受信が可能となる。ステップ S 3 3において、クライアントと、アプリケ一ション ·ゲートクェィ間において、機器認証処理としての口グイン（L o g i n)処理を実行する。ログイン（L o g i n)処理の詳細について、図 6、図 7を参照して説明する。正規なアクセス権限を有するクライアントは、前述した機器登録処理を実行しており、サーバ I D : GU I D (S)およびクライアント I D : GU I D (C) をアプリケ——ンョン'ゲ一トウヱイとともに共有する秘密情報（S e c r e t ) として保有する。なお、サーバ I D： GU I D (S) は、図 4を参照して説明した機器登録シーケンスにおいて、アプリケーション'ゲ一トウェイの生成したサーバ I Dである。機器認証は、クライアントと、アプリケーション 'ゲートウェイの各々が、秘密情報（S e c r e t )、すなわちサーバ I D : GU I D (S) およびクライアント I D : GU I D (C) を共有していることを相互に確認する処理として実行される。アプリケーション ·ゲートウェイは、ゲートウェイの記憶部に格納しているサーバ I D : GU I D (S) およびクライアント I D : GU I D (C) と同じ値をクライアントが知っていることを確認し、この確認を条件としてクライアントを認証する。また、クライアントは、クライアントの記憶部に格納しているサーバ I D ： GU I D ( S) およびクライアント I D : GU I D (C) と同じ値をゲートウェイが知っていることを確認し、この確認を条件としてゲートウェイを認証する。図 6、図 7において、 S e c r e t =GU I D (C) || G U I D ( S ) である。なお、 A II Bは Aと Bの連結を示す。まず、クライアントは、図 6に示すステツプ S 5 1において、 S e c r e =GU I D (C) II G U I D ( S ) に一方向性関数としてのハッシュ関数 (h) を適用してダイジエスト値を下記式に従って計算する。

D i g e s t = h (S e c r e t ;

さらに、クライアントは、乱数（N o n c e 1 ) を生成する。なお、ハツシュ関数としてはたとえば MD 5等の関数が適用可能である。ステップ S 5 2において、クライアントは、生成したダイジェスト（D i g e s t ) および乱数（N o n c e 1 ) をアプリケーション ·ゲートウェイに送信する。なお、クライアントとアプリケーション ·ゲートウェイ間において既にコネクションが設定されセッションが継続している間において再度、認証を実行する場合、クライアントが、アプリケーション 'ゲートウェイから受領済みのセッシヨン I Dを保有しているので、クライアントは、セッション I Dについてもアプリケーション .ゲートウエイに送信する。初期接続の場合は、クライアントは、セッション I Dを保持していないので生成したダイジエスト（D i g e s t ) および乱数 (N o n c e 1 ) のみをアプリケーション ·ザ一トウエイに送信する。なお、図 6、図 7に示す口グイン処理シーケンスにおいてクライアントとァプリケ——ンョン.ゲートウェイ間で送受信するデータは、図 5に示すステップ S 3 2の S S Lハンドシェイク処理において双方で共有している鍵を用いて暗号化される。クライアントとアプリケーション · ゲートウェイ間の通信は、ィンターネット等の外部ネットワークを介した通信として実行される力暗号化通信によるセキュリティが確保される。ステップ S 5 3において、アプリケーション 'ゲートウエイは、クライアントからの受信データに含まれる D i g e s t = h (S e c r e t ) を元にクライアントの特定を行う。アプリケーション .ゲ一トウェイは、図 8に示すようなクライアント識別子と D i g e s t - h (S e c r e t )の対応テープル（クライアント識別テーブル) を記憶部に格納している。なお、このクライアント識別テーブルは、アプリケーション 'ゲートウェイ力図 4を参照して説明した機器登録処理の際に、クライアントと共有した秘密情報 (S e c r e t ), すなわちサーバ I D ： GU I D ( S) およびクライアント I D : GU I D (C) に基づくハッシュ値算出処理を実行して、クライアント識別子に対応付けたェントリを生成し記憶部に格納する。ステップ S 5 4において、アプリケーション .ゲートウェイはサーバ認証値 (S e r v e r Au t h) を下記式に従って生成する。

S e r v e r A u t h = h (S e c r e t || N o n c e l )

すなわち、 S e c r e t =GU I D (C) || G U I D (S) と、クライアントから受信した乱数（N o n c e 1 ) との結合データに対するハッシュ値を求めて、これをサーバ（アプリケーション ·ゲートウヱイ）認証値（S e r v e r Au t h) とする。さらに、アプリケーション .ゲートウエイは、乱数（N o n c e 2 ) を生成する。さらに、アプリケーション ·ゲートウェイは、クライアントとの接続が初期接続であり、ステップ S 5 2において、クライアントからセッション I Dを受信していない場合は、コネクション識別情報としてのセッション I Dを生成し、クライアント識別子と対応付けて保存する。アプリケ一ンョン ·ゲートウエイは、コネクションが継続しているクライアントについて、図 9に示すようにクライアント識別子とセッシヨン I Dを対応付けたクライアントセッション I Dテ一プルにェントリを設定して記億部に格納する。アプリケーション ·ゲ一トウェイが、外部ネットワークの複数のクライアントと接続している場合においても、アプリケーション .ゲートウエイは、図 9 に示すクライアントセッション I Dテーブルに基づいて、セッション I Dから個々のクライアン 1、を判別することが可能となる。ステップ S 5 5において、アプリケーション ·ゲ一トウエイは、クライアントに対してサーバ認、証値 [S e r v e r Au t h = h (S e c r e t || N o n c e 1 )] と、生成乱数（N o n c e 2) を送信する。ステップ S 5 6において、クライアントは、アプリケーション 'ゲ一トウェィから受信したサーバ認証値 [S e r v e r Au t h = h (S e e r e t || N o n e e l )] と、自デバイスで生成した S e r v e r Au t h ' = h ( S e c r e t || N o n c e l ) とを比較照合する。両値が一致、すなわち、 S e r v e r Au t h = S e r v e r Au t h ' が成立すれば、クライアントは、通信を行っているアプリケーション'ゲ一トウェイが、自己の保有する秘密情報、すなわち、 S e c r e t =GU I D (C) || G U I D ( S ) と同一の秘密情報を持つアプリケーション 'ゲートウェイであり、機器登録シーケンスに基づいて秘密情報を共有した正当なアプリケーション'ゲ一トウェイであると判定する。一方、アプリケ一ション ·ゲートウェイから受信したサーバ認証値 [S e r v e r Au t h = h (S e c r e t || N o n c e l )] と、自デバイスで生成した S e r v e r Au t h ' = h (S e c r e t || N o n c e l ) とが不一致の場合は、アプリケーション ·ゲートウェイは、クライアントが記憶部に格納した秘密情報、すなわち、 S e c r e t =GU I D (C) || G U I D ( S ) と同一の秘密情報を持たないデバイスであり、機器登録シーケンスに基づいて秘密情報を共有したアプリケーション 'ゲートウェイではなく、不正なアプリケーシヨン 'ゲ一トウヱイであると判定する。この場合、クライアントは、アブリケ——ンョン ·ゲートウェイとの接続を切断する。正当なアプリケ一ション ·ゲートゥヱイであると判定された場合は、次のステツプ、すなわち、図 7のステップ S 5 7に進む。図 7のステップ S 5 7において、クライアントは、クライアント認証値 (C

1 i e n t A u t h ) を下記式に従って生成する。

C l i e n t Au t h = h (S e c r e t || N o n c e 2)

すなわち、 S e c r e t =GU I D (C) | G U I D ( S ) と、アプリケーシヨン 'ゲートウェイから受信した乱数（N o n c e 2 ) との結合データに対するハッシュ値を求めて、これをクライアント認証値（C l i e n t Au t h) とする。ステップ S 5 8において、クライアントは、アプリケーション ·ゲートウェィに対してクライアント認証値 [C 1 i e n t Au t h = h (S e e r e t || N o n c e 2)] を送信する。ステップ S 5 9において、アプリケーション ·ゲートウエイは、クライアント力、ら受信したクライアント認証値 [C l i e n t Au t h = h (S e c r e t II N o n c e 2 ) ] と、自デバイスで生成した C l i e n t Au t h ' = h (S e c r e t || N o n c e 2) とを比較照合する。両値がー致、すなわち C 1 i e n t Au t h = C l i e n t A u t h ' が成立すれば、アプリケ一ション ·ゲートウエイは、通信を行っているクライアントが、自己の保有する秘密情報、すなわち、 S e c r e t = GU I D (C) || GU I D ( S) と同一の秘密情報を持つクライアントであり、機器登録シーケンスに基づいて秘密情報を共有した正当なクライアントであると判定する。一方、クライアントから受信したクライアント認証値 [C 1 i e n t Au t h = h (S e c r e t II N o n c e 2 )] と、自デバイスで生成した C 1 i e n t A u t h ' = h (S e c r e t II N o n c e 2) とが不一致の場合は、クライアントは、アプリケーション'ゲートウェイが記億部に格納した秘密情報、すなわち、 S e c r e t =G U I D (C) || G U I D ( S ) と同一の秘密情報を持たないデバイスであり、機器登録シーケンスに基づいて秘密情報を共有したクライアントではなく、不正なクライアントであると判定する。ステップ S 6 0において、ァプリケーション ·ザ一トウエイは、クライアントの認証結果 [OK] または [NG] をクライアントに送信する。 [OK] であれば、セッション I Dも併せて送信する。ステップ S 6 1において、クライアントは、認証成立なら、アプリケーションゲートウェイから受信したセッション I Dを記憶部に格納し、次の処理（例えば図 5のステップ S 34のデバイスリスト取得処理）に移行する。認証不成立の場合には、アプリケーション ·グートウエイとの接続を切断する。以上の処理により、外部ネットワークに接続されたクライアントと、ホームネットワーク等の内部ネットワークに接続されたアブリケーション.ゲートゥエイとの認証処理が終了し、認証成立を条件として、クライアントは、ホームネットワーク等の内部ネットワークに接続されたサーバに関する情報取得、サーバに対するアクセス、サーバからのコンテンツ取得等の処理が可能となる。上述したように、機器認証処理は、クライアントと、アプリケーション 'ゲ一トウエイの各々が、共有した秘密情報（S e c r e t)、すなわち、サーバ I D ： GU I D ( S ) およびクライアント I D : GU I D (C) を共有していることを相互に確認する処理として実行される。すなわち、アプリケ——ンョン ·ゲートウェイは、グートウエイの記憶部に格納しているサーバ I D : GU I D (S)およびクライアント I D : GU I D (C) と同じ値をクライアントが知っていることを確認し、この確認を条件としてクライアントを認証する。また、クライアントは、クライアントの記憶部に格納しているサーバ I D： G U I D ( S ) およびクライアント I D： G U I D ( C ) と同じ値をグートウエイが知っていることを確認し、この確認を条件としてゲ一トウエイを認証する。このように、相互に認証処理を実行することになり、相互の信頼性が確保されたことを条件としてその後の処理が実行可能となる。

( 3 ) デバイスリストの取得処理

外部ネットワークに接続されたクライアントと、アプリケーション 'ゲートウェイ間でのログイン処理が済み、両デバイスの信頼性が確認されると、クライアントは、ホームネットワーク等、アプリケーション ·ゲートウェイの接続された内部ネットワーク内のサーバ情報を取得する処理に移行する。ホームネットワーク内に接続されたクライアントであれば、このデバィス情報取得処理は、先に図 3を参照して説明したように、ネットワークサービスの検出プロトコノレである S S D P (Simple Servi ce Di scovery Protocol) を適用した処理として実行できる。すなわち、ネットワークを介したサーチリクェス卜を U D P (User Datagram Protocol) (こ従って、マノレチキャス卜送信 ( H T T P M U ： H T T P Multicast) し、ホームネットワークに接続されたサーバから提供可能なサービスについての情報が含まれる O Kレスポンスを U D Pに従って受信することでサーバ情報を取得することができた。しかし、外部ネットワークに接練され、アプリケーション ·ゲートウェイと通信を行っているクライアントは、上述と同様の U D Pパケットのマルチキヤスト送信を実行してホームネットワーク内のサーバ情報を取得することはできない。従って、新たな定義コマンドを用いて、この新定義コマンドをクライアントからアプリケーション ·ゲートウェイに送信し、アプリケーション .ゲートゥエイにおいて受信コマンドに基づいて、 S S D P (Simple Service Discovery Protocol)を適用した処理に従ってホームネットワーク内においてサーバ発見処理を実行し、その結果としてアプリケーション ·ゲートウェイが取得したサーバ情報をクライアントに対して送信する。図 5に示すステップ S 3 4において、クライアントは、新定義コマンドとしてのデバィスリスト取得コマンド（G e t D e v i c e L i s t ) をアプリケーション .ゲートウエイに送信し、アプリケ一ション ·ゲ一トウヱイにおいて受信コマンド iこ基づヽて、 S S D P (Simple Service Discovery Protocol) を適用した処理に従ってホームネットワーク内においてサーバ発見処理を実行し、サーバは、ステップ S 3 5において、 S S D P処理結果として取得したサーバ情報、すなわちデバイスリストをクライアントに対して送信する。デパイスリストには、サーバに対するアクセス情報、サーバの提供可能なサービス情報が含まれる。以下、図 1 0を参照して外部ネットワークに接続されたクライアントによるサーバ情報取得処理として実行されるデバイスリスト取得（G e t D e v i c e L i s t ) 処理シーケンスの詳細について説明する。図 1 0において、クライアントは外部ネットワークに接続されたクライアントであり、サーバはホームネットワーク等の内部ネットワークに厲し、アプリケーション.ゲートウェイ力両ネットワークの間に存在しているものとする。クライアントとアプリケーション'ゲ一トウェイ間では前述した口グイン処理が実行済みであり、相互認証が成立し信頼性が保証されているものとする。ステップ S 7 1において、クライアントは、アプリケーション .ゲートウェィに対して新定義コマンド、すなわちサーバ情報としてのデバイスリスト取得 [G e t D e v i c e l i s t ] 要求コマンドを送信する。アプリケーション · ゲートウエイは、デバイスリスト取得 [G e t D e V i c e l i s t ] 要求コマンドを受信すると、クライアント確認処理を実行した後、ステップ S 7 2において、デバイスリストの取得処理を実行する。アプリケ——ンョン ·ゲートウェイにおける処理の詳細について、図

照して説明する。ステップ S 1 0 1において、アプリケ一ション ·ゲートウェイは、クライアントからデバイスリスト取得 [G e t D e v i c e l i s t ]要求コマンドを受信すると、まず、クライアントがログイン処理により認証が成立したクライアントであるか否かを判定する。図 9を参照して説明したクライアント識別子とセッション I Dを対応付けたクライアントセッション I Dテーブル登録されたクライアントであれば、口グイン処理による認証の成立したクライアントであり、未登録のクライアントであれば、口グイン処理による認証の成立していないクライアントであるので、処理の続行を中止し、ステップ S 1 0 6においてエラーメッセージをクライアントに送信し、ステップ S 1 0 7でクライアントとのコネクションを切断し、処理を終了する。デパイスリスト取得 [G e t D e v i c e l i s t ]要求コマンドの送信クライアントが、クライアントセッション I Dテーブル登録されたクライアントであれば、口グイン処理による認証の成立したクライアントであると判定し、ステップ S 1 0 3において、デバイスリスト取得処理を実行する。デパイスリストの取得は、 U P n Pの S S D P (Simple Service Discovery Protocol) を適用した処理として実行される。すなわち、アプリケーション · ゲートウェイは、アプリケーション.ゲートウェイの接続されたホームネットヮ一ク等の内部ネットワークにおいてサーバ発見処理を実行し、各サ一パからのサーバ情報を受信する。これは、ネットワークを介したサーチリクエストを UD P (User Datagram Protocol) に従って、アプリケーション 'ゲートゥェィからマルチキャスト送信 (HTT PMU ： HTT PMulticast) し、ホームネットワークに接続されたサーバから提供可能なサービスについての情報が含まれる OKレスポンスを UD Pに従って受信する処理である。ステップ S 1 04において、アプリケーション ·ゲートウェイは、デバイスリストの取得に成功したか否かを判定し、取得処理に失敗した場合は、ステツプ S 1 0 8において、デバイスリストの取得エラーメッセ一ジをクライアントに送信する。デバイスリストの取得に成功した場合は、ステップ S 1 0 5に進み、取得したデバイスリストをクライアントに送信する。アプリケーション ·ゲートウェィは、ホームネットワーク内で UD Pパケットにより各サーバから受信したサーバの提供可能なサービス情報を T C Pパケットのペイロードとして格納した TC Pパケットを生成してクライアントに送信する。なお、このデバイスリストの送信データは、前述の S S Lハンドシェイク処理においてクライアントと共有した秘密情報（暗号鍵）によって喑号化されて送信される。デバイスリストには、サーバに対するアクセス情報、サーバの提供可能なサービス情報が含まれる。図 1 0に示すステップ S 7 3において、アプリケーション'ゲ一トウエイは、ホームネットワーク内のサーバ 1、サーバ 2、サーバ 3から受信したサービス提供可能であることを示す OKレスポンスと、サーバにおいて提供可能なサービスについての情報を含むデバィスリストを暗号化してクライアントに送信する。上記の処理により、各サーバからの OKレスポンスをアプリケーション 'ゲ一トウエイを介して受信したクライアントは、前述の S S Lハンドシェイク処理においてアプリケーション ·ゲートウヱイと共有した秘密情報（暗号鍵）によって受信データを復号してサーパリストを取得し、サーバに対するアクセス情報および提供可能なサービスについての情報を確認する。その後、これらの情報に基づいて、サーバにサービスを要求するサービス要求処理を実行する。例えば、サーバに対するコンテンツ送信要求等を実行し、コンテンツを取得してクライアントのディスプレイ、スピーカを介して出力する処理が可能となる。なお、アプリケーション ·ゲートウェイがクライアン卜からデバィスリスト取得 [G e t D e v i c e l i s t ] 要求コマンドを受信する以前に、既にサーバ情報を取得済みである場合は、アプリケーション 'ゲートウェイは、クライアントからのデバイスリスト取得 [G e t D e v i c e l i s t ]要求コマンドの受信後、新たにサーバ発見処理を実行せず、蓄積済みのサーバ情報をクライアントに送信してもよい。このように、外部ネットワークに接続された正規なアクセス権限を有するクライアントは、 U P n Pにおいて適用される S S D P (Simple Service Discovery Protocol) に基づくサーバ情報とまったく同じ情報をアプリケーション ·ゲートウエイを介して受信できるので、ホームネットヮ一ク内のクライアントと同様の環境でサーバに対するサ一ビス要求を実行することが可能となる。デバイスリストを取得したクライアントは、図 5に示すステップ S 3 6において、サーバに対するコンテンツ取得要求を行う。サーバに対するコンテンツ取得処理は、例えば取得したサーバ情報に含まれるコンテンツの UR Lを指定した HTT P (Hyper Text Transfer Protocol) G E Tメソッドリクエストの送信処理として実行可能である。ステップ S 3 7において、アプリケーション ·ゲ一トウエイは、サ一バに対するコンテンツ要求を中継してパケットをサーバに送信する。クライアントからパケットを受信したゲートウェイは、受信バケツトの HO S Τヘッダ値に書かれたデバイスの I Ρァドレスとポート番号に新たにコネクションを張りノケット内容を変更することなく中継する。これにより、従来使用していたプロトコルを変更することなく、外部ネットヮ一クに接続されたクライアントと内部ネットワークに接続されたサーバ間での通信およびサーバからクライアントに対するサービス提供が可能となる。サーバがコンテンツ要求を受信すると、サーバは、指定コンテンツを自己の記憶手段から取得して、クライアントに送信する。コンテンツは、アプリケーシヨン'ゲートウエイを介してクライアントに送信（ステップ S 3 8 , S 3 9 ) される。クライアントは、サーバからの受信コンテンツをクライアントのディスプレイ、スピーカを介して再生することが可能となる。

[アプリケーション · ゲートウェイ、およびクライアントの機能構成] アプリケ一ション .ゲートウエイ、クライアント、およびサーバのハードウエア構成については、先に図 2を参照して説明した通りであり、上述した各種の処理は、アプリケーション ·ゲートウェイ、クライアント、およびサーバそれぞれの記憶部に格納されたプログラムに従って制御部としての C P Uが実行する。

C P Uによって実行される処理は、例えばアプリケーション 'ゲートウエイでは、クライアントからの要求を入力し、入力情報の解析、解析結果に基づく機器登録処理、機器認証処理（ログイン処理）、 S S D Pに従ったサーバ発見処理、パケット中継処理、パケット生成、解析処理、さらに、機器登録処理におけるパスワード等、各種メッセージ出力、ュ一ザ入力情報の解析処理等である。クライアント側の処理としては、アプリケーション ·ゲートウェイから受信する情報解析処理、アプリケーション .ゲ一トウエイと送受信するバケツト生成、解析処理、機器登録処理、機器認、証処理、メッセージ出力、ユーザ入力情報の解析処理、コンテンツ再生処理等である基本的にこれらの処理は、アプリケーション ·ゲートウヱイ、クライアント装置にそれぞれ備えられた制御部としての C P Uの制御の下に予め格納された処理プログラムに従って実行される。制御部としての C P Uが実行する処理および記憶部の格納データ中、本発-明に関連する主要構成について、図 1 2および図 1 3を参照して説明する。図 1 2は、アプリケーション ·グートウエイの主要機能構成を説明するプロック図であり、図 1 3は、クライアントの主要機能構成を説明するプロック図である。まず、図 1 2のプロック図を参照してアプリケ一ション ·ゲートウェイの機能構成について説明する。データ送受信処理部 5 0 1は、クライアントおよびサーバに対するパケット送受信処理を実行する。データ送受信処理部 5 0 1は, 送信パケットの生成処理、受信パケットの解析処理を行う。パケットのァドレス設定、アドレス認識、データ部に対するデータ格納、データ部からのデータ取得処理などである。データ入力部 5 0 2は、キーボード、スィツチ等の入力手段からの入力情報を各処理部に対して入力する。データ出力部 5 0 3は、各種処理部の出力信号を外部の出力部としてのディスプレイゃスピー力に対して出力する処理を実行する。機器登録処理部 5 0 4は、クライアントからの機器登録要求に基づく一連の処理シーケンスを実行する。図 4を参照して説明したシーケンス中、アプリケーション'ゲ一トウェイ側の処理をプログラム記憶部 5 0 7に格納された機器登録処理プログラム 5 2 1に従って実行する。なお、機器登録処理部 5 0 4は、パスヮード生成判定部 5 1 1を有し、パスヮードの生成および照合処理を実行する。機器認証処理部 5 0 5は、外部ネットワークに接続されたクライアントからの接続処理要求を受信した場合の機器認証処理を実行する。図 5〜図 7を参照して説明した機器認証処理（ログイン処理）におけるアプリケーション ·ゲ一トウェイ側の処理を、プログラム記憶部 5 0 7に格納された機器認証処理プログラム 5 2 2に従って実行する。また、暗号鍵共有処理としての S S L (Secure Socket Layer)ハンドシェイク処理も実行する。サーバ発見処理実行部 5 0 6は、クライアントからのデバイスリスト要求に基づいて、 S S D Pに従ったサーバ発見処理を実行して取得したサーバリストをクライアントに送信する処理を実行する。図 1 0、図 1 1を参照して説明したアプリケーション .ゲートウェイ側の処理を、プログラム記憶部 5 0 7に格納されたサーバ発見処理実行プログラム 5 2 3に従って実行する。プログラム記憶部 5 0 7には、上記各処理部において実行するプログラム、すなわち、機器登録処理プログラム 5 2 1、機器認証処理プログラム 5 2 2、およびサーバ発見処理実行プログラム 5 2 3が格納される。データ記憶部 5 0 8には、クライアントとの機器登録処理において生成した共有秘密情報（S e c r e t ) 5 3 1、すなわち、 S e c r e t = GU I D (C) II GU I D (S) をハードウエアユニーク I D (H u i d ( S )) で暗号化したデータ、および、クライアントとの機器登録処理において生成したクライアント識別テーブル 5 3 2 (図 8参照）、および、クライアントとの相互認証が成立しクライアントとの信頼関係が構築されたセッションを、クライアント毎に識別するためのクライアントセッション I Dテーブル 5 3 3 (図 9参照）力 S 格納される。なお、図 1 2に示すプロック図は、アプリケ——ンョン ·ゲートウェイの実行する様々な処理の中から本発明に関連する処理を実行するための機能を中心として示した機能プロック図であり、アプリケーション 'ゲートウエイは、この他にも各種の処理プログラムを保持し、各処理プログラムに従った様々な処理を実行する。次に、図 1 3を参照してクライアントの機能構成について説明する。データ送受信処理部 6 0 1は、アプリケ一ション ·ザ一トウェイおよびサーバに対するバケツト送受信処理を実行する。データ送受信処理部 6 0 1は、送信バケツトの生成処理、受信パケ Vトの解析処理を行う。パケットのァドレス設定、ァドレス認識、データ部に対するデータ格納、データ部からのデータ取得処理などである。データ入力部 6 0 2は、キーボード、スィツチ等の入力手段からの入力情報を各処理部に対して入力する。データ出力部 6 0 3は、各種処理部の出力信号を外部の出力部としてのディスプレイゃスピー力に対して出力する処理を実行する。機器登録処理部 6 0 4は、アプリケーション ·ゲートウェイ他のデバイス間で実行する機器登録処理シーケンスを実行する。図 4を参照して説明した処理中、クライアント側の処理を、プログラム記憶部 6 0 7に格納された機器登録処理プログラム 6 2 1に従って実行する。機器認証処理部 6 0 5は、外部ネットワークに接続されたクライアントが、アプリケーション'ゲ一トウエイに対して接続した際の機器認証処理を実行する。図 5〜図 7を参照して説明した機器認証処理（ログイン）におけるクライアント側の処理を、プログラム記憶部 6 0 7に格納された機器認証処理プログラム 6 2 2に従って実行する。また、暗号鍵共有処理としての S S L (Secure Socket Layer)ハンドシェイク処理も実行する。デバイスリスト要求処理実行部 6 0 6は、アプリケーション ·ゲートウエイに対するデバイスリスト要求の発行およびデバィスリスト取得処理を実行する。図 1 0を参照して説明した処理中、クライアント側の処理を、プログラム記憶部 6 0 7に格納されたデバイスリスト要求処理実行プログラム 6 2 3に従って実行する。プログラム記憶部 6 0 7には、上記各処理部において実行するプログラム、すなわち、機器登録処理プログラム 6 2 1、機器認証処理プログラム 6 2 2、およびデバイスリスト要求処理実行プログラム 6 2 3が格納される。データ記憶部 6 0 8には、例えばアプリケ——ンョン ·ゲートウェイとの機器登録処理において生成した共有秘密情報 (S e c r e t ) 6 3 1、すなわち、 S e c r e t =GU I D (C) || G U I D ( S ) をハードウエア識別子 (H u i d ( Ο) で暗号化したデータ、および、アプリケーション 'ゲートウェイとの認証が成立した場合に、アプリケーション'ゲートウェイから取得するセッシヨン I D 6 3 2が格納される。なお、図 1 3に示すプロック図は、クライアントの実行する様々な処理の中から本発明に関連する処理を実行するための機能を中心として示した機能プロック図であり、クライアントは、この他にも各種の処理プログラムを保持し、各処理プログラムに従った様々な処理を実行する。以上、特定の実施例を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が該実施例の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的に解釈されるべきではない。本発明の要旨を判断するためには、特許請求の範囲の欄を参酌すべきである。なお、明細書中において説明した一連の処理はハードウェア、またはソフトウェア、あるいは両者の複合構成によって実行することが可能である。ソフトウェアによる処理を実行する場合は、処理シーケンスを記録したプログラムを, 専用のハードウェアに組み込まれたコンピュータ内のメモリにインストールして実行させるか、あるいは、各種処理が実行可能な汎用コンピュータにプログラムをインストールして実行させることが可能である。例えば、プログラムは記録媒体としてのハードディスクや R O M (Read Only Memory)に予め記録しておくことができる。あるいは、プログラムはフレキシプノレディスク、 C D— R O M (Compact Di sc Read Only Memory) , M O (Magneto optical)ディスク， D V D (Di gi tal Versat i le Di sc)、磁気ディスク、半導体メモリなどのリムーバブル記録媒体に、一時的あるいは永続的に格納（記録）しておくことができる。このようなリムーパプル記録媒体は、いわゆるパッケージソフトウェアとして提供することができる。なお、プログラムは、上述したようなリムーバプル記録媒体からコンビユータにィンストールする他、ダウンロードサイトカら、コンピュータに無線転送したり、 L A N (Local Area Network)、インターネットといったネットワークを介して、コンピュータに有線で転送し、コンピュータでは、そのようにして転送されてくるプログラムを受信し、内蔵するハードディスク等の記録媒体にインストールすることができる。なお、明細書に記載された各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。産業上の利用可能性以上、説明したように、本発明によれば、外部ネットワークおよび内部ネットワークの境界に接続されたアプリケーション'ゲ一トウエイとしての情報処理装置が、内部ネットワークに接続されたサーバ情報の取得要求を外部ネットワーク接続クライアントから受信したことを条件として、内部ネットワークを介した接続サーバのサーバ情報取得処理を実行し、取得したサーバ情報に基づいてデバィスリストを生成し、外部ネットヮ一クを介してクライアントに送信する構成としたので、外部ネットワークに接続されたクライアントによるホームネットワーク等、内部ネットワークに接続されたサーバ情報の効率的な取得が可能となる。さらに、本発明の構成によれば、クライアントとアプリケーション 'グートウェイとしての情報処理装置との間で実行する S S L (Secure Socket Layer) ハンドシヱイク処理によって取得した暗号処理鍵を用いてデバイスリストを暗号化してクライアントに送信する構成としたので、インターネット等の盗聴のおそれのある通信路を介したデータ通信が必要な場合であっても、セキュアなデパイスリスト送信が可能となる。さらに、本発明の構成によれば、内部ネットワークを介した接続サーバのサーバ情報取得処理を U D P (User Datagram Protocol) に従って実行し、外部ネットワークを介したクライアントに対するデバイスリスト送信を T C P (Transmi ssion Control Protocol) に従って実行する構成としたので、サーバ情報取得処理は、 U P n Pの規定に従った S S D P ( S imple Service Di scovery Protocol) を適用した処理として実行可能であり、また、外部ネットワークに接続されたクライアントに対するデバイスリスト送信は、安全性、確実性が高い T C Pによる通信によるリスト送信が実現される。さらに、本発明の構成によれば、クライアントのアクセス権限の有無を判定する機器認証処理においてクライアントのアクセス権限が認められたことを条件としてデバィスリストの取得および送付を実行する構成としたので、ァクセス権限を持たない不正クライアントからのデバイスリスト取得処理が防止される。

Claims

請求の範囲

1 . 外部ネットワークおよび内部ネットワークの境界において、外部ネットワーク接続クライアントからのデータ処理要求に従った処理を実行する情報処理装置であり、

内部ネットワークに接続されたサーバ情報の取得要求を外部ネットワーク接続クライアントから受領したことを条件として、内部ネットワークを介した接続サーバのサーバ情報取得処理を実行し、該サバ情報取得処理に基づいて取得したサーバ情報に基づいて、外部ネットワークを介して前記クライアントに送信するデバイスリスト生成処理を実行するサーバ発見処理実行部と、を有することを特徴とする情報処理装置。

2 . 前記サーバ発見処理実行部は、

内部ネットワークを介した接続サーバに関するサーバ情報取得処理を S S D P (Simple Service Di scovery Protocol) を適用した処理として実行する構成であることを特徴とする請求項 1に記載の情報処理装置。

3 . 前記サーバ発見処理実行部は、

内部ネットワークを介した接続サーバのサーバ情報取得処理を、前記内部ネ Vトワークを介したサーチリクエストのマルチキャスト送信により実行し、内部ネットワークに接続されたサーバからの受信情報に基づいて前記デバィスリストを生成する構成であることを特徴とする請求項 1に記載の情報処理装

4 . 前記サ一バ発見処理実行部は、

内部ネットワークに接続された各サーバから受信する U D P ( User Datagram Protocol) パケット格納情報に基づいて、外部ネットワークに接続されたクライアントに対して送信するデバイスリストを生成する構成であることを特徴とする請求項 1に記載の情報処理装置。

5 . 前記サーバ発見処理実行部は、

外部ネットワークに接続されたクライアントに対して送信するデバイスリストを、前記クライアントと共有する鍵で暗号化する処理を実行し、

デバイスリストを暗号化データとしてクライアントに送信する構成であることを特徴とする請求項 1に記載の情報処理装置。

6 . 前記デバイスリストの暗号化に適用する鍵は、クライアントと情報処理装置との間で実行する S S L (Secure Socket Layer)ハンドシェイク処理によって取得した暗号処理鍵であることを特徴とする請求項 5に記載の情報処

7 . 前記情報処理装置は、

前記内部ネットワークを介した接続サーバのサーバ情報取得処理を U D P (User Datagram Protocol) に従って実行し、前記外部ネットワークを介したクライアントに対するデバイスリスト送信を T C P (Transmi ssion Control Protocol)に従って実行する構成であることを特徴とする請求項 1に記載の情報処理装置。

8 . 前記サーバ発見処理実行部は、

前記デバイスリスト生成処理において、内部ネットワークに接続されたサーバから受信する情報に基づいて、各サーバに対するアクセス情報、およぴ各サーバの提供可能なサービス情報を含むデバィスリストを生成する処理を実行する構成であることを特徴とする請求項 1に記載の情報処理装置。

9 . 前記情報処理装置は、さらに、クライアントのアクセス権限の有無を判定する機器認証処理部を有し、前記サーバ発見処理実行部は、

前記機器認証処理部においてクライアントのアクセス権限が認められたことを条件として、サーバ発見処理を実行する構成であることを特徴とする請求項 1に記載の情報処理装置。

1 0 . 前記情報処理装置は、

クライアント識別子と、クライアントとのコネクション識別情報としてのセッシヨン I Dとを対応付けたクライアントセッション I Dテーブルを有し、クライアントから受信するセッション I Dに基づく前記クライアントセッシヨン I Dテーブルの検索によりクライアントの識別処理を実行する構成であることを特徴とする請求項 1に記載の情報処理装置。

1 1 . 前記情報処理装置は、

外部ネットワークおよび内部ネットワークの境界に位置するアプリケーシヨン ·ゲートウェイとしての機能を有することを特徴とする請求項 1に記載の情報処理装置。

1 2 . 前記情報処理装置は、

外部ネットワークおよび内部ネットワークの境界に位置するリバースプロキシサーバとしての機能を有することを特徴とする請求項 1に記載の情報処理装置。

1 3 . 外部ネットワークおよび内部ネットワークの境界に接続された情報処理装置において、外部ネットワーク接続クライアントからのデータ処理要求に従った処理を実行する情報処理方法であり、

前記サーバ情報取得処理ステップにおいて取得したサ一パ情報に基づいて前記クライアントに送信するデバイスリストを生成するデパイスリスト生成処理ステップと、

前記デバイスリスト生成処理ステップにおいて生成したデバィスリストを外部ネットヮ一クを介してクライアントに送信するデバイスリスト送信ステップと、

を有することを特徴とする情報処理方法。

1 4 . 前記サーバ情報取得処理ステップは、

内部ネットワークを介した接続サーバに関するサーバ情報取得処理を S S D P (Simple Servi ce Di scovery Protocol) を適用した処理として実行することを特徴とする請求項 1 3に記載の情報処理方法。

1 5 . 前記サーバ情報取得処理ステップは、

内部ネットワークを介した接続サーバのサーバ情報取得処理を、前記内部ネットワークを介したサーチリクエストのマルチキャスト送信により実行することを特微とする請求項 1 3に記載の情報処理方法。

1 6 . 前記サーバ情報取得処理ステップは、

内部ネットワークに接続された各サーバから受信する U D P ( User Datagram Protocol) パケット格納情報を受信し、

前記デバイスリスト生成処理ステップは、

前記 U D P (User Datagram Protocol) パケット格納情報に基づいて、外部ネットワークに接続されたクライアントに対して送信するデバイスリストを生成することを特徴とする請求項 1 3に記載の情報処理方法。

1 7 . 前記デバイスリスト送信ステップは、

外部ネットワークに接続されたクライアントに対して送信するデバイスリストを、前記クライアントと共有する鍵で暗号化する処理を実行し、デバイスリストを暗号化データとしてクライアントに送信することを特徴とする請求項 1 3に記載の情報処理方法。

1 8 . 前記デバイスリストの暗号化に適用する鍵は、クライアントと情報処理装置との間で実行する S S L (Secure Socket Layer)ハンドシェイク処理によって取得した暗号処理鍵であることを特徴とする請求項 1 7に記載の情報処理方法。

1 9 . 前記サーバ情報取得処理ステップは、

前記内部ネットワークを介した接続サーバのサーバ情報取得処理を U D P (User Datagram Protocol) に従って実行し、

前記デバイスリスト送信ステップは、

前記外部ネットワークを介したクライアントに対するデバイスリスト送信を T C P (Transmi ssion Control Protocol) に従って実行することを特徴とする請求項 1 3に記載の情報処理方法。

2 0 . 前記デバイスリスト生成処理ステップは、

内部ネットワークに接続されたサーバから受信する情報に基づいて、各サーバに対するアクセス情報、および各サーバの提供可能なサービス情報を含むデバイスリストを生成する処理を実行することを特徴とする請求項 1 3に記載の情報処理方法。

2 1 . 前記情報処理方法は、さらに、

クライアントのアクセス権限の有無を判定する機器認証処理ステップを有し、

前記サーバ情報取得処理ステツプは、

前記機器認証処理ステップにおいてクライアントのアクセス権限が認められたことを条件として実行することを特徴とする請求項 1 3に記載の情報処理方法。

2 2 . 前記情報処理方法は、さらに、

クライアント識別子と、クライアントとのコネクション識別情報としてのセッシヨン I Dとを対応付けたクライアントセッション I Dテーブルに基づいて、クライアントから受信するセッション I Dに従ったテーブル検索を実行し、クライアントの識別処理を実行するステップを有することを特徴とする請求項 1 3に記載の情報処理方法。

2 3 . 外部ネットワークおよび内部ネットワークの境界に接続された情報処理装置において、外部ネットワーク接続クライアントからのデータ処理要求に従った処理を実行するコンピュータ .プログラムであり、

前記デバイスリスト生成処理ステップにおいて生成したデバイスリストを外部ネットワークを介してクライアントに送信するデバイスリスト送信ステップと、

を有することを特徴とするコンピュータ .プログラム。