WO2004102886A1

WO2004102886A1 - 情報処理装置、およびアクセス制御処理方法、並びにコンピュータ・プログラム

Info

Publication number: WO2004102886A1
Application number: PCT/JP2004/004919
Authority: WO
Inventors: Tatsuya Igarashi; Norifumi Kikkawa; Yoichi Kobori; Takehiko Morita; Yasuaki Honda; Koichi Tanaka
Original assignee: Sony Corporation
Priority date: 2003-05-16
Filing date: 2004-04-05
Publication date: 2004-11-25
Also published as: KR20060018808A; US20060089987A1; EP1517480A4; CN1698319A; US7610380B2; JP2004343497A; DE602004024944D1; KR101031168B1; EP1517480B1; EP1517480A1; CN100358308C; JP3800198B2

Abstract

モード設定による異なるアクセス制御を可能とした装置および方法を実現する。マニュアル登録ＭＡＣアドレスと、自動登録ＭＡＣアドレスとを識別可能な態様で登録したＭＡＣアドレステーブルを設定し、アクセス制御モードが、自動登録アクセス制御モードである場合は、アクセス要求クライアントＭＡＣアドレスを、ＭＡＣアドレステーブルの規定登録限度数：Ｎに至るまで登録し、登録を条件としてアクセスを許容し、アクセス制御モードが、登録デバイスアクセス制御モードである場合は、クライアントＭＡＣアドレスが、ＭＡＣアドレステーブルに、マニュアル登録ＭＡＣアドレスとして設定されていることを条件としてアクセスを許容する。

Description

明細書情報処理装置、およびアクセス制御処理方法、並びにコンピュータ 'プログラム技術分野本発明は、情報処理装置、およびアクセス制御処理方法、並びにコンビユータ ·プログラムに関する。さらに、詳細には、ネットワーク接続された機器間の通信においてアクセス権限判定に基づくアクセス制御処理を実行する情報処理装置、およびアクセス制御処理方法、並びにコンピュータ ·プログラムに関する。背景技術昨今のデータ通信ネットワークの普及に伴い、家庭内においても家電機器やコンピュータ、その他の周辺機器をネットワーク接続し、各機器間での通信を可能とした、いわゆるホームネットワークが浸透しつつある。ホームネットヮークは、ネットワーク接続機器間で通信を行なうことにより各機器のデータ処理機能を共有したり、機器間でコンテンツの送受信を行なう等、ユーザに利便性'快適性を提供するものであり、今後、ますます普及することが予測される。このようなホームネットワークの構成に適するプロトコルとして U P n P (登録商標）が知られている。 U P n Pは、複雑な操作を伴うことなく容易にネットワークを構築することが可能であり、困難な操作や設定を伴うことなくネットワーク接続された機器において各接続機器の提供サービスを受領可能とするものである。また、 U P n Pはデバイス上の O S (オペレーティングシステム）にも依存せず、容易に機器の追加ができるという利点を持つ。 U P n Pは、接続機器間で、 X M L ( extens ible Markup Language) に準拠した定義ファイルを交換し、機器間において相互認識を行なう。 U P n Pの処理の概要は、以下の通りである。

( 1 ) I Pァドレス等の自己のデバイス I Dを取得するァドレッシング処理。 ( 2 ) ネットワーク上の各デバイスの検索を行ない、各デバイスから応答を受信し、応答に含まれるデバイス種別、機能等の情報を取得するデイス力バリ処理。

( 3 ) ディスカパリ処理で取得した情報に基づいて、各デパイスにサービスを要求するサービス要求処理。上記処理手順を行なうことで、ネットワーク接続された機器を適用したサービスの提供および受領が可能となる。ネットワークに新たに接続される機器は、上記のァドレッシング処理によりデバイス I Dを取得し、ディスカバリ処理によりネットワーク接続された他のデバイスの情報を取得して、取得情報に基づいて他の機器にサービスの要求が可能となる。し力し、一方、この種のネットワークでは、不正アクセスに対する対策を考盧することも必要となる。ホームネットワーク内の機器、例えばサーバ等には私的なコンテンツや有料コンテンツ等の著作権管理を要求されるコンテンッが格納されることも多い。このようなホームネットワーク内のサーバに格納されたコンテンッは、ネットワーク接続された他の機器からアクセス可能となる。例えば、上述の簡易な機器接続構成である U P n P接続を実行した機器によってコンテンツを取得することが可能となる。コンテンツが映画データや音楽データの場合、ネットワーク接続機器として τ ν、あるいはプレーヤ等を接続すれば、映画を視聴したり、音楽を聴いたりすることが可能となる。コンテンッの利用権を有するユーザの接続した機器によるアクセスは許容されてもよいが、上述のようなネットワーク構成においては、コンテンツ等の利用権を持たないユーザがネットワークに入り込むことも容易である。例えば無線 LANによって構成されたネットワークの場合には家の中にあるサーバに対して、戸外、あるいは隣家等から通信機器を利用して不正にネットワークに参入し、コンテンツの搾取を行なうような事態も発生し得る。このような不正なアクセスを許容する構成は、秘密漏洩を生じさせることにもなり、また、コンテンッ著作権の管理の観点からも重要な問題となる。上述のような不正アクセスを排除するため、例えばサーバにアクセスを許容するクライアントのリストを保持させ、クライアントからサーバに対するァクセス要求の際に、サーバでリストとの照合処理を実行して不正アクセスを排除する構成が提案されている。例えば、ネットワーク接続機器に固有の物理ァドレスである MAC (Me d i a A c c e s s C o n t r o l ) アドレスを、アクセス許容機器リストとして設定する MACァドレスフィルタリングが知られている。 MACァドレスフィルタリングとは、ホームネットワーク等の内部ネットワーク（サブネット）と外部ネットワークとを隔離するルータあるいはゲートウエイに、予めァクセスを許容する MACァドレスを登録しておき、受信したパケットの MAC 了ドレスと登録された MACァドレスとを照合し、登録されていない MACァドレスを有する機器からのアクセスを拒否するものである。なお、この種の技術については、例えば特開平 1 0— 2 7 1 1 5 4号公報（特許文献 1 ) に開示されている。しかし、一般にアクセス制限をするための MACァドレスの登録処理を行なうためには、ユーザあるいは管理者がネットワークに接銃される機器の MAC ァドレスを調べて、調べた MACァドレスをオペレータが入力してリストを作成するという処理が必要となる。ホームネットワークにおいては、新たな機器の追加処理が行われることは頻繁に発生することであり、このような機器追加処理の際に、ユーザが逐次、機器の M A Cァドレスを調べて登録処理をしなければならないとすると、ネットワーク構築の容易性を阻害することになる。一方、一般家庭においても、 P Cのみならず、家電機器も含んだネットヮーク構成が構築され、どのような機器からでもネットワークにアクセス可能ないわゆるュビキタス環境が構築されつつあり、また、無線 L A N等の普及により、通信可能な機器が外部から無線 L A Nに侵入することも容易となっている。このようなネットワーク環境において、ネットワーク接続機器に対する不正ァクセスもより発生しやすくなっており、不正なアクセスによる秘密情報の搾取、コンテンッの不正読み取り等が実行される可能性はますます高くなっている。このような状況において、一般ユーザに負祖を強いることなく、適切なァクセス制御構成を容易に実現することが求められている。発明の開示本発明は、上述の問題点に鑑みてなされたものであり、様々な機器からのァクセス要求をネットワークを介して受領する情報処理装置におけるアクセス制御において、複数のモードに基づく異なる態様でのアクセス制御処理を可能とすることで、ユーザ負担の軽減を図るとともに、不特定多数クライアントからの無制限なアクセスについても防止可能とした情報処理装置、およびァクセス制御処理方法、並びにコンピュータ ·プログラムを提供することを目的とする。本発明の第 1の側面は、

アクセス制御処理を実行する情報処理装置であり、

マニュアル登録のなされたクライアント M A Cァドレスと、自動登録処理のなされたクライアント M A Cァドレスとを識別可能な態様で登録した M A C ァドレステーブルを記憶した記憶部と、

情報処理装置に設定されたアクセス制御モードが、自動登録アクセス制御モ一ドである力、登録デバイスアクセス制御モードであるかに応じて、クライアントからのアクセス要求に対して異なるアクセス制御処理を実行するァクセス制御部とを有し、

前記アクセス制御部は、

情報処理装置に設定されたアクセス制御モードが、自動登録アクセス制御モ一ドである場合は、アクセス要求クライアントの M A Cァドレスを、前記 M A Cァドレステーブルの規定登録限度数： Nに至るまで登録し、該登録処理を条件としてクライアントのアクセスを許容するアクセス制御処理を実行し、情報処理装置に設定されたアクセス制御モードが、登録デバィスアクセス制御モードである場合は、アクセス要求クライアントの M A Cァドレスが、前記 M A Cァドレステーブルに、マ二ユアノレ登録された M A Cァドレスとして登録されていることを条件としてクライアントのアクセスを許容するアクセス制御処理を実行する構成を有することを特徴とする情報処理装置にある。さらに、本発明の情報処理装置の一実施態様において、前記アクセス制御部は、情報処理装置に設定されたアクセス制御モードが、自動登録アクセス制御モードである場合、クライアントのアクセス要求種別を識別し、該識別されたアクセス要求種別が予め定めたアクセス制御を実行すべき要求種別である場合にのみ、クライアントの M A Cアドレスを、前記 M A Cァドレステープノレの規定登録限度数： Nに至るまで登録し、該登録処理を条件としてクライアントのアクセスを許容する処理を実行する構成であることを特徴とする。さらに、本発明の情報処理装置の一実施態様において、前記アクセス制御を実行すべき要求種別は、 H T T P (Hyper Text Transfer Protocol)— G E Tメソッドに基づくコンテンツ要求処理、または S O A P (Simple Object Access Protocol)に基づく制御要求処理の少なくともいずれかを含むことを特徴とする。さらに、本発明の情報処理装置の一実施態様において、前記情報処理装置は、予め規定された MACァドレス登録処理シーケンスに従ったマニュアル登録処理が実行されたことを条件として、クライアント MACァドレスを前記 M A Cァドレステーブルにマニュアル登録のなされたクライアント MACァドレスとして登録する処理を実行する登録処理部を有することを特徴とする。さらに、本発明の情報処理装置の一実施態様において、前記情報処理装置は、前記 MACァドレステーブルに自動登録のなされたクライアント MACアドレスとして登録された MACァドレスについて、予め規定された MACァドレス登録処理シーケンスに従ったマニュアル登録処理が実行されたことを条件として、前記 MACァドレステーブルの自動登録クライアント MACアドレスエントリをマニュアル登録クライアント MACアドレスエントリとする設定変更処理を実行する登録処理部を有することを特徴とする。さらに、本発明の第 2の側面は、

情報処理装置におけるアクセス制御処理方法であり、

クライアントからのァクセス要求を受信するアクセス要求受信ステップと、情報処理装置に設定されたアクセス制御モードが、自動登録アクセス制御モ一ドである力登録デバイスアクセス制御モードであるかを判定するモード判定ステップと、

設定アクセス制御モードが、自動登録アクセス制御モードである場合は、ァクセス要求クライアントの MACァドレスを、 MACァドレステーブルの規定登録限度数： Nに至るまで登録し、該登録処理を条件としてクライアントのァクセスを許容するアクセス制御処理を実行し、

設定アクセス制御モードが、登録デバイスアクセス制御モードである場合は、アクセス要求クライアントの MACァドレス力 S、前記 MACァドレステーブルに、マニュアル登録された MACァドレスとして登録されていることを条件としてクライアントのアクセスを許容するアクセス制御処理を実行するァクセス制御ステップと、

を有することを特徴とするアクセス制御処理方法にある。さらに、本発明のアクセス制御処理方法の一実施態様において、前記ァクセス制御ステップは、情報処理装置に設定されたアクセス制御モードが、自動登録アクセス制御モードである場合、クライアントのアクセス要求種別を識別し、該識別されたアクセス要求種別が予め定めたアクセス制御を実行すべき要求種別である場合にのみ、クライアントの MACァドレスを、前記 MACァドレステーブルの規定登録限度数： Nに至るまで登録し、該登録処理を条件としてクライアントのアクセスを許容する処理を実行することを特徴とする。さらに、.本発明のアクセス制御処理方法の一実施態様において、前記ァクセス制御を実行すべき要求種別は、 HT T P (Hyper Text Transfer Protocol) 一 GETメソッドなどに基づくコンテンツ要求処理、または S OAP (Simple Object Access Protocol) に基づく制御要求処理の少なくともいずれかを含むことを特徴とする。さらに、本発明のアクセス制御処理方法の一実施態様において、前記ァクセス制御処理方法は、さらに、予め規定された MACァドレス登録処理シーケンスに従ったマニュアル登録処理が実行されたことを条件として、クライアント MACァドレスを前記 MACァドレステーブルにマニュアル登録のなされたクライアント MACアドレスとして登録する処理を実行する登録処理ステツプを有することを特徴とする。さらに、本発明のアクセス制御処理方法の一実施態様において、前記ァクセス制御処理方法は、さらに、前記 MACァドレステーブルに自動登録のなされたクライアント MACアドレスとして登録された MACァドレスについて、予め規定された MA Cァドレス登録処理シーケンスに従ったマニュアル登録処理が実行されたことを条件として、前記 MACァドレステーブルの自動登録クライアント MACアドレスエントリをマニュアル登録クライアント MACァドレスエントリとする設定変更処理を実行する登録処理ステップを有することを特徴とする。さらに、本発明の第 3の側面は、

情報処理装置におけるアクセス制御処理を実行するコンピュータ ·プロダラムであり、

情報処理装置に設定されたアクセス制御モードが、自動登録アクセス制御モ一ドである力、登録デバイスアクセス制御モードであるかを判定するモード判定ステップと、

設定アクセス制御モードが、自動登録アクセス制御モードである場合は、ァクセス要求クライアントの MACアドレスを、 MACァドレステープノレの規定登録限度数： Nに至るまで登録し、該登録処理を条件としてクライアントのァクセスを許容するアクセス制御処理を実行し、

設定アクセス制御モードが、登録デバイスアクセス制御モードである場合は、アクセス要求クライアントの MACァドレス力前記 MA Cァドレステープルに、マニュアル登録された MA Cァドレスとして登録されていることを条件としてクライアントのアクセスを許容するアクセス制御処理を実行するァクセス制御ステップと、

を有することを特徴とするコンピュータ · プログラムにある。本発明の構成においては、マニュアル登録のなされたクライアント MACァドレスと、自動登録処理のなされたクライアント MACァドレスとを識別可能な態様で登録した MACァドレステーブルを設定し、アクセス制御モードが、自動登録アクセス制御モードである場合は、アクセス要求クライアントの MA Cァドレスを、 MACァドレステーブルの規定登録限度数： Nに至るまで登録し、該登録処理を条件としてクライアントのアクセスを許容するアクセス制御処理を実行し、アクセス制御モードが、登録デバイスアクセス制御モードである場合は、アクセス要求クライアントの MACァドレスが、 MACァドレステ一プルに、マニュアル登録された M A Cァドレスとして登録されていることを条件としてクライアントのアクセスを許容するアクセス制御処理を実行する構成としたので、ュ一ザによるマ-ユアル登録処理を実行しない場合においても、無制限なアクセスが防止され、例えば不特定多数クライアントからのサーバ格納コンテンツの取得等を防止することが可能となり、さらに、モードを、登録デバイスアクセス制御モードに設定することにより、厳格なアクセス制御を実行することも可能となる。さらに、本発明の構成によれば、自動登録アクセス制御モードにおいて、クライアントのアクセス要求種別を識別し、識別されたアクセス要求種別が予め定めたァクセス制御を実行すべき要求種別、例えば H T T P (Hyper Text Transfer Protocol)— G E Tメソッドに基づくコンテンッ要求処理、または S O A P (Simple Object Access Protocol) に基づく制御要求処理である場合にのみ、クライアントの M A Cアドレスを、 M A Cァドレステーブルの規定登録限度数： Nに至るまで登録し、該登録処理を条件としたアクセス許容を実行する構成としたので、 U P n P等における機器発見処理、情報取得処理等において不必要なアクセス制御を行うことが防止される。なお、本発明のコンピュータ 'プログラムは、例えば、様々なプログラム' コードを実行可能な汎用コンピュータ 'システムに対して、コンピュータ可読な形式で提供する記憶媒体、通信媒体、例えば、 C D F D、 M Oなどの記憶媒体、あるいは、ネットワークなどの通信媒体によって提供可能なコンビユータ .プログラムである。このようなプログラムをコンピュータ可読な形式で提供することにより、コンピュータ ·システム上でプログラムに応じた処理が実現される。本発明のさらに他の目的、特徴や利点は、後述する本発明の実施例や添付する図面に基づく、より詳細な説明によって明らかになるであろう。なお、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。図面の簡単な説明図 1は、本発明の適用可能なネットワーク構成例を示す図である。

図 2は、ネットワーク接続機器の構成例について説明する図である。

図 3は、本発明の情報処理装置の有する M A Cァドレステーブルおよびァクセス制御処理について説明する図である。

図 4は、本発明の情報処理装置の実行するアクセス制御処理について説明するフロー図である。

図 5は、クライアントが送信するパケット構成を示す図である。

図 6は、本発明の情報処理装置の実行するアクセス制御処理について説明するフロー図である。

図 7は、本発明の情報処理装置のアクセス制御処理構成を示す機能プロック図である。

図 8は、アクセス制御処理を実行する情報処理装置のディスプレイに表示されるユーザィンタフェース構成例を示す図である。

図 9は、クライアントからのアクセス要求に含まれる H T T P— G E Tへッダのデータ例を示す図である。

図 1 0は、 M A Cァドレスのマニュアル登録処理シーケンスの例を示すシーケンス図である。

図 1 1は、サーバの機能構成を示すブロック図である。

図 1 2は、クライアントの機能構成を示すプロック図である。発明を実施するための最良の形態以下、図面を参照しながら、本発明の情報処理装置、およびアクセス制御処理方法、並びにコンピュータ ·プログラムの詳細について説明する。 [システム概要および MACァドレステ一プル]

まず、図 1を参照して、本発明の適用可能なネットワーク構成例について説明する。図 1は、様々なクライアント機器からの処理要求に応じて処理を実行するサーバ 1 0 1 と、サーバ 1 0 1に対して処理要求を行なうクライアント機器としての？〇 1 2 1 , 1 2 2 , 1 24、？0八、携帯電話等の携帯通信端末 1 2 3 , 1 2 5がネットワーク 1 0 0を介して接続された構成、例えばホームネットワーク構成を示している。サーバ 1 0 1がクライアントからの要求に応じて実行する処理は、例えばサーバ 1 0 1の保有するハードディスク等の記憶手段に格納されたコンテンツの提供、あるいはサーバの実行可能なアプリケーションプログラムの実行によるデータ処理サービス等である。なお、図 1においては、サーバ 1 0 1と、その他のクライアント機器としての P C 1 2 1 , 1 2 2, 1 2 4、 PDA, 携帯電話等の携帯通信端末 1 2 3 , 1 2 5とを区別して示しているが、クライアントからの要求に対するサービスを提供する機器をサーバとして示しているものであり、いずれのクライアント機器も、自己のデータ処理サービスを他のクライアントに提供する場合には、サーバとしての機能を提供可能となる。従つて、図 1に示すネットワーク接続されたクライアント機器もサーバとなり得る。ネットワーク 1 0 0は、有線、無線等いずれかのネットワークであり、各接続機器は、 MAC (Media Access Control)アドレスを有している。各ネットヮーク接続機器は、宛先 MACァドレスおよび送信元 MACァドレスをヘッダ情報に持つパケット、例えばイーサネット（登録商標）フレームをネットワーク 1 0 0を介して送受信する。すなわち、クライアントは、イーサネットフレームのデータ部に処理要求情報を格納したフレームをサーバ 1 0 1に送信することにより、サーバ 1 0 1に対するデータ処理要求を実行する。サーバ 1 0 1 は、処理要求フレームの受信に応じて、後述するアクセス権限判定処理を行ない、権限ありの判定を条件としてデータ処理を実行し、必要に応じてデータ処理結果としての結果データをイーサネットフレームのデータ部に格納し、各クライアントに送信する。ネットワーク接続機器は、例えばユニバーサルプラグアンドプレイ（UP n P ： Universal Plug and Play) 対応機器によって構成される。従って、ネットワークに対する接続機器の追加、削除が容易な構成である。ネットワークに新たに接続する機器は、

( 1 ) I Pァドレス等の自己のデバィス I Dを取得するァドレツシング処理。

( 2) ネットワーク上の各デバイスの検索を行ない、各デバイスから応答を受信し、応答に含まれるデバイス種別、機能等の情報を取得するデイス力バリ処理。

( 3) ディスカバリ処理で取得した情報に基づいて、各デバイスにサービスを要求するサービス要求処理。

上記処理手順を行なうことで、ネットワーク接続された機器を適用したサービスを受領することが可能となる。図 1に示すサーバおよびクライアント機器を構成する P C等の情報処理装置のハードウエア構成例について図 2を参照して説明する。

C PU (Central Processing Unit) 3 0 1は、 ROM (Read Only Memory) 3 0 2、または HDD 3 04等に記憶されているプログラムに従って、各種の処理を実行し、データ処理手段、あるいは通信制御処理手段として機能する。 R AM 3 0 3には、 C PU 3 0 1が実行するプログラムやデータが適宜記憶される。 C PU 3 0 1、 ROM3 0 2、および RAM 3 0 3、 HD D 3 0 4は、バス 3 0 5を介して相互に接続されている。バス 3 0 5には、入出力インタフェース 3 0 6が接続されており、この入出力インタフェース 3 0 6には、例えば、ユーザにより操作されるキーボード、スィッチ、ボタン、あるいはマウス等により構成される入力部 3 0 7、ユーザに各種の情報を提示する L CD、 CRT, スピーカ等により構成される出力部 3 0 8が接続される。さらに、データ送受信手段として機能する通信部 3 0 9、さらに、磁気ディスク、光ディスク、光磁気ディスク、または半導体メモリなどのリムーバブル記録媒体 3 1 1を装着可能で、これらのリムーバブル記録媒体 3 1 1からのデータ読み出しあるいは書き込み処理を実行するドライブ 3 1 0が接続される。図 2に示す構成は、図 1に示すネットワーク接続機器の一例としてのサーバ、パーソナルコンピュータ（P C) の例であるが、ネットワーク接続機器は P C に限らず、図 1に示すように携帯電話、 P D A等の携帯通信端末、その他の様々な電子機器、情報処理装置によって構成することが可能である。従って、それぞれの機器固有のハードウエア構成を持つことが可能であり、そのハードゥエァに従つた処理を実行する。本発明において、アクセス制御を行なうネットワーク接続機器としての情報処理装置は、アクセス権限を有するネットワーク接続機器の機器リストとしてアクセス権限を有するネットワーク接続機器の MACァドレスを登録した M ACァドレステーブルを格納し、 MACァドレステーブルに基づくアクセス制御処理を実行する。 MACァドレステーブルに基づくアクセス制御を実行する情報処理装置は、 2つのアクセス制御モードを持つ。すなわち、

( 1 ) 自動登録アクセス制御モード

(2) .登録デバイスアクセス制御モード

の 2つのモードである。

( 1 ) 自動登録アクセス制御モードは、 MACァドレステーブルに基づく了クセス制御を実行する情報処理装置が、外部機器（クライアント）からのァクセス要求を受信した場合に、アクセス要求パケットから送信元 MACァドレス (クライアント MACァドレス）を取得し、情報処理装置に格納した MACァドレステーブルに登録された登録済み MACァドレスと一致するか否かを判定し、一致する場合には、アクセスを許可する。一致しない場合には、ァクセス要求パケットから取得した MACァドレスを MACァドレステープルに自動登録し、登録処理が実行されたことを条件としてアクセスを許容する。ただし、 MACァドレステープルに対する MACァドレス登録数には予め登録限度数： N (例えば N= 5 , 1 0， 1 5 , 6 3など）が設定され、 MACァドレステーブルの登録 MACァドレス数が登録限度数： Nに達していない場合に限り、 MACァドレスの自動登録処理が実行され、自動登録処理の後、ァクセスが許可される。

( 2) 登録デバイスアクセス制御モードは、 MACァドレステーブルに基づくアクセス制御を実行する情報処理装置が、外部機器（クライアント）からのアクセス要求を受信した場合に、アクセス要求パケットから送信元 MACァドレス (クライアント MACアドレス) を取得し、情報処理装置に格納した MA Cァドレステーブルに登録された登録済み MACァドレス中、予め規定された MACァドレス登録処理シーケンスに従ったマニュアル登録処理がなされたマニュアル登録 MACァドレスと一致するか否かを判定し、マニュアル登録 M ACァドレスと一致する場合には、アクセスを許可する。一致しない場合には、アクセスを許可しない処理を実行するモードである。本発明の情報処理装置においては、上記 2つのモードを適宜切り替えることを可能とし、各設定モードにおいて、上記態様でのアクセス制御を行う。本発明の情報処理装置がアクセス制御を行うために、記憶部に格納する M A Cァドレステーブル（MACリスト）の構成例について、図 3を参照して説明する。アクセス制御を行なうネットワーク接続機器としての情報処理装置 4 1 0は、ネットワークを介して接続される様々な情報処理装置 4 2 1〜 4 2 3からアクセス要求を受領し、そのアクセス要求に含まれる送信元 MACァドレスと、 MACァドレステーブル（MACリスト） 4 1 1に格納された MACァドレスとの照合を行う。情報処理装置 4 1 0が記憶部に格納している MACァドレステープル（M A Cリスト） 4 1 1は、図に示すように、登録限度数： Nまでのェントリを格納することを許容したテーブル構成を持ち、上述の自動登録アクセス制御モードまたは、予め定められたシーケンスに従ってマニュアル登録がなされた MAC ァドレスデータが格納されている。さらに、 MACアドレステーブル（MACリスト） 4 1 1には、登録 MAC ァドレスがマニュアル登録されたデータであるか否かのデータが各 MACァドレスに対応付けられたデータとして設定される。すなわち、予め設定された登録シーケンスに従ったマニュアル登録処理によつて登録された MACァドレスであるカあるいは上述の自動登録アクセス制御モードにおいて自動登録されたァドレスであるかを示すマニュアル登録識別データが、 MACァドレステーブル 4 1 1に各登録 MACァドレスに対応して設定される。図 3において、マニュアル登録欄に〇の設定されたェントリが予め設定された登録シーケンスに従ったマニュアル登録処理によって登録された MACアドレスである。

MACァドレステーブルは、アクセス制御を行なうネットワーク接続機器としての情報処理装置（サーバ）内の記憶部（不揮発性メモリ）に格納される。 MACァドレステープルは、スロット単位で、各クライアントの登録データを格納する構成を有し、 1スロット毎に 1つの登録クライアント情報を格納する。なお、登録情報には、図に示すようにクライアントの MACァドレスと、マ二ュアル登録か否かの情報の他、図には示していないが、ユーザが任意に設定可能なクライアント名、登録日時等の情報を格納してもよい。 [モードに応じたアクセス制御処理]

次に、アクセス制御を行なうネットワーク接続機器としての情報処理装置が実行するアクセス制御処理シーケンスについて図 4のフローを参照して説明する。ステップ S 1 0 1において、アクセス制御を行なうネットワーク接続機器としての情報処理装置は、他のネットワーク接続機器からのアクセス要求を受信する。アクセス制御を行なうネットワーク接続機器としての情報処理装置をサーパ、アクセス要求を実行する情報処理装置をクライアントとして説明する。クライアントから送信されるアクセス要求パケット（イーサネットフレーム）の構成例を図 5に示す。パケットは、ヘッダ部、データ部、トレーラ部に区分され、ヘッダ部には、同期信号、パケット開始符号、宛先 M A Cァドレス、送信元 M A Cアドレス、およびパケット長，タイプが含まれる。データ部には、例えば T C P / I P通信プロトコルに従って生成されたデータが含まれ、例えば送信元、送信先 I Pァドレスを含む I Pパケットが格納される。サーバは自己のアクセス制御モードが（1 ) 自動登録アクセス制御モード、 ( 2 )登録デバイスアクセス制御モードのいずれにあるかによって異なる処理を実行することになる。サーバはステップ S 1 0 2において自己のモードを識別し、（1 ) 自動登録アクセス制御モードにある場合は、ステップ S 1 0 3以下の処理を実行する。ステップ S 1 0 3では、クライアントからの受信バケツトからアクセス要求元の M A Cァドレスを取得し、サーバの記憶部に格納した M A Cァドレステーブル（図 3参照）に登録された M A Cァドレスとの照合処理を実行し、登録済みか否かを判定する。登録済みである場合（ステップ S 1 0 3 ： Y e s ) は、ステップ S 1 0 6に進み、アクセスを許可し、クライアントの要求に応じた処理を実行する。登録済みでない場合（ステップ S 1 0 3 ： N o) は、ステップ S 1 04に進み、 MACァドレステーブルにすでに登録された MACァドレスがサーバに設定した登録限度数： Nに達していないか、すなわち、登録 MACァドレス <登録限度数： Nであるか否かを判定する。登録 MACァドレス <登録限度数： Nである場合（ステップ S 1 04 : Y e s ) は、クライアントからの受信パケットのヘッダ部に設定されている送信元 MACァドレスを MACァドレステーブルに登録し、その後、ステップ S 1 0 6においてアクセスを許可し、クライアントの要求に応じた処理を実行する。登録 MACァドレス <登録限度数： Nでない場合（ステップ S 1 04 :N o )、すなわち、 MACァドレステーブルに既に登録限度数： Nの MACァドレスが登録済みである場合は、これ以上の自動登録を実行できないので、 MACァドレスの登録処理を実行することなく、ステップ S 1 0 7において、クライアントからのアクセス要求を拒絶する。 —方、ステップ S 1 0 2において、自己のモードが、（2) 登録デバイスァクセス制御モードであると判定した場合は、ステップ S 1 1 1に進み、クライアントからの受信パケットからアクセス要求元の MACァドレスを取得し、サーバの記憶部に格納した MACァドレステーブル（図 3参照）に登録された M ACァドレス中、予め規定された MACァドレス登録処理シーケンスに従ったマニュアル登録処理がなされたマニュアル登録 MACァドレスと一致するか否かを判定する。すなわち、図 3において、マニュアル登録欄に〇の設定されたェントリのみが照合処理対象の MACァドレスエントリとなる。送信元 MACァドレス（クライアント MACアドレス）力 S、マニュアル登録された MACァドレスェントリと一致する場合（ステップ S I 1 1 ： Y e s ) には、ステップ S 1 06に進み、アクセスを許可し、クライアントの要求に応じた処理を実行する。一方、送信元 MACァドレスが、マニュアル登録された MACァドレスェントリと一致しない場合（ステップ S 1 1 1 ： N o) には、ステップ S 1 1 2に進み、アクセスを拒絶する。登録デバイスアクセス制御モードにある場合は、送信元 MACァドレス力 MACァドレステーブルに自動登録された MACァドレスと一致する場合であってもアクセスを拒絶することになる。なお、アクセス制御を行なうネットワーク接続機器としての情報処理装置 (サーバ）力 S (1) 自動登録アクセス制御モードにある場合、サーバは、クライアントからの要求態様を判定し、特定のカテゴリのアクセス要求である場合にのみ、アクセス制御を実行、すなわち、 MACァドレステーブルとの照合および自動登録処理を実行し、特定のカテゴリのアクセス要求でない場合には、アクセス制御を実行することなく、すなわち、 MACァドレステーブルとの照合および自動登録処理を実行することなくクライアントからの要求に応じる構成としてもよい。特定のカテゴリのアクセス要求とは、例えば、サーバの保有するコンテンッの取得要求や、サーバに対する制御要求である。例えば U P n P機器において、サーバの保有するコンテンッの取得要求は、コンテンッの識別子としてのコンテンッ U R L (Uniform Resource Locators) を指定した HTT P (Hyper Text Transfer Protocol)GE Tメソッドに基づいて実行される。また、サーバに対する制御要求は S OAP (Simple Object Access Protocol) プロトコルが利用される。アクセス制御を行なうネットワーク接続機器としての情報処理装置（サーバ）力 S ( 1 ) 自動登録アクセス制御モードにある場合、クライアントからの要求が、コンテンツ UR L (Uniform Resource Locators) を指定した HTTP (Hyper Text Transfer Protocol) GE Tメソッドである力あるいは、 S OA P (Simple Object Access Protocol) プロトコルに基づくサーバに対する制御要求である場合にのみ、アクセス制御処理としての MACァドレステーブルとの照合および自動登録処理を実行し、 MACァドレステーブルに登録済みであることを条件としてアクセス要求を許容する。クライアントからのアクセスが HTT P— GETメソッドに基づくコンテンッ取得要求、あるいは S O A Pに基づく制御要求以外、例えば、 UP n Pにおける機器発見処理としてのデイス力バリ要求である場合などには、アクセス制御処理としての MACァドレステ一ブルとの照合および自動登録処理を実行することなく、無条件にクライアントの要求を受領し、応答を実行する。サーバにおいて、クライアントからの要求種別を判別して、アクセス制御処理としての MACァドレステーブルとの照合および自動登録処理を実行するか否かを判定して処理を実行するシーケンスについて、図 6のフローチヤ一トを参照して説明する。図 6の処理フローは、アクセス制御を行なうネットワーク接続機器としての情報処理装置（サーバ）が自動登録アクセス制御モードにある場合の処理である。ステップ S 2 0 1において、アクセス制御を行なうネットワーク接続機器としての情報処理装置は、他のネットワーク接続機器からのアクセス要求を受信する。ステップ S 2 0 2では、クライアントからのアクセス要求が、 HTT P — GETメソッドに基づくコンテンツ取得要求、あるいは S OAPに基づく制御要求であるか否かを判定する。クライアントからのアクセス要求が、 HT T Ρ— GE Tメソッドに基づくコンテンッ取得要求、あるいは S OAPに基づく制御要求である場合（ステップ S 2 0 2 ： Y e s ) には、ステップ S 2 0 3において、受信パケットからァクセス要求元の MACァドレスを取得し、サーバの記憶部に格納した MACァドレステーブル（図 3参照）に登録された MACァドレスとの照合処理を実行し、登録済みか否かを判定する。登録済みである場合（ステップ S 2 0 3 ： Y e s ) は、ステップ S 2 0 6に進み、アクセスを許可し、クライアントの要求に応じた処理を実行する。登録済みでない場合（ステップ S 2 0 3 ： N o ) は、ステップ S 2 04に進み、 MACァドレステーブルにすでに登録された MACァドレスがサーバに設定した登録限度数： Nに達していないか、すなわち、登録 MACァドレスく登録限度数： Nであるか否かを判定する。登録 MACァドレスく登録限度数： Nである場合（ステップ S 20 4 : Y e s ) は、ステップ S 2 0 5において、クライアントからの受信パケットのへッダ部に設定されている送信元 MACァドレスを MACァドレステーブルに登録し、その後、ステップ S 2 0 6においてアクセスを許可し、クライアントの要求に応じた処理を実行する。登録 MACァドレス <登録限度数： Nでない場合（ステップ S 204 :N o )、すなわち、 MACァドレステーブルに既に登録限度数： Nの MACァドレスが登録済みである場合は、これ以上の自動登録を実行できないので、 MACァドレスの登録処理を実行することなく、ステップ S 2 0 7において、クライアントからのアクセス要求を拒絶する。一方、ステップ S 2 0 2において、クライアントからのアクセス要求が、 H TT P— GETメソッドに基づくコンテンッ取得要求、あるいは S O APに基づく制御要求でないと判定した場合には、 MACァドレステーブルとの照合、自動登録処理を実行することなく、ステップ S 2 0 6に進み、アクセスを許可し、クライアントの要求に応じた処理を実行する。図 7に、アクセス制御を実行するネットワーク接続機器（サーバ）のァクセス制御処理を説明する機能ブロック図を示す。サーバは、ネットワークを介したパケットの送受信を実行するパケット送受信部 5 0 1、パケット送受信部 5 0 1を介して受信するパケットの解析およびノケット送受信部 5 0 1を介して送信するパケットを生成するパケット生成、解析部 5 0 2、クライアントから受信するパケットに基づいて M A Cァドレステーブルに対する登録可否を判定し、登録可と判定した場合に M A Cァドレスの登録処理を実行する登録処理実行部 5 0 3、 M A Cァドレステープルを格納した記憶部 5 0 4、さらに、サーバに対する様々なデータ処理要求パケットに基づいて、データ処理要求クライアントが M A Cァドレステーブルに登録されているか否か等を判断し、ァクセス可否判定処理を実行するアクセス制御処理実行部 5 0 5、アクセス制御処理実行部 5 0 5におけるアクセス可の判定を条件として、クライアントの要求するデータ処理を実行するデータ処理部 5 0 7、サーバが（ 1 ) 自動登録ァクセス制御モードにある力、 ( 2 ) 登録デバイスアクセス制御モードにあるかのモード情報を記憶したモード情報記憶部 5 0 6を有する。登録処理実行部 5 0 3、アクセス制御処理実行部 5 0 5は、モード情報記憶部 5 0 6に設定されたモード設定情報、すなわち、（1 ) 自動登録アクセス制御モード、（ 2 ) 登録デバイスアクセス制御モードの 2つのモードのいずれのモードにあるかに応じて異なる処理を実行する。例えば、（1 ) 自動登録ァクセス制御モードにある場合は、登録処理実行部 5 0 3は、記憶部 5 0 4に記憶された M A Cァドレステーブルの登録ェントリ数に基づいて、自動登録が許容されるか否かの判定を実行し、限度数以内であることを条件とした登録処理を実行する。また、登録処理実行部 5 0 3は、マニュアル登録処理実行時における登録可否判定処理も実行する。すなわち予め決められたマニュアル登録処理シーケンスに応じた処理が実行されているか否かを判定する処理などを実行する。なお、マニュアル登録処理の詳細例については後述する。図 8にアクセス制御を実行するネットワーク接続機器（サーバ）においてデイスプレイに表示される MACァドレステーブルおよびモード設定処理を実行するためのユーザィンタフェースの例を示す。サーバのディスプレイ 6 5 0には、クライアント機器名、 MACアドレス、マニュアル登録か否かを示すデータからなる MACァドレステーブル 6 5 1 が表示され、さらに、現在の設定モード情報表示部 6 5 2、モード切り替え部 6 5 4とマニュアル登録処理において MA Cァドレスを登録する際の登録確認ボタン 6 5 5を持つユーザ入力部 6 5 3、さらに MACァドレステープル 6 5 1に登録されたェントリを削除するための削除ボタン 6 5 6を持つユーザインタフェース (U I ) が表示される。クライアントからのアクセス要求である、すべての H T T P— GETメソッドおよび S O APには、図 9のような送信者の情報を示す HT T P拡張ヘッダ (X- A V - C 1 i e n t— I n f o) が付加されており、ディスプレイ 6 5 0には、この情報に基づく表示処理がなされる。すなわち、例えば、図 9に示すように、

GET /tracks/track?id=254 HTTP/1.1 ¥r¥n

Host: 192.254.32.11:80 ¥r¥n

X - AV - Client—Info : av=2.0 ； cn ="Sony Corporation" ； mn=Linux-Sample-CP ； mv=2002-ll-22-2.0 ¥r¥n

からなる H T T P拡張へッダ（X— AV— C l i e n t— I n f o) がクライアントから送信される。ユーザは、図 8に示すような U Iをサーバのディスプレイに表示し、モードの切り替えを実行し、また、 MACァドレステーブルに登録された MACァドレスの確認を実行することができ、さらに、必要に応じて MACァドレステープルに登録された MACァドレスの削除処理を実行する。 [マニュアル登録処理]

次に、アクセス制御を実行する情報処理装置が実行する MACアドレスのマニュアル登録処理の手順について、図 1 0のシーケンス図を参照して説明する。なお、図 1 0に示す例は、マニュアルによる MACァドレス登録処理の一例であり、必ずしもこの例に従ったマニュアル登録を行うことが必須ではない。ただし、あらかじめ定められたマニュアル登録を行ったクライアントの MACァドレスのみが、図 3に示す MACァドレステーブル（MACリスト）にマニュアル登録された MACァドレスとしてエントリが設定される。図 1 0に示すシーケンスは、パスヮードを用いた機器認証に基づく MAC登録処理シーケンスである。まず、ステップ S 3 0 1において、ユーザがクライアント（コント口—ラ）側に設けられた登録ボタンを押下する。すると、クライアント装置は登録ボタンの押下に応じて発生するユーザシグナル A (U S A) に従い、ステップ S 3 0 2において、 MACァドレス登録要求をネットヮークを介してプロードキャスト送信する。 MACァドレス登録要求のプロ一ドキャスト送信は、例えば 3秒毎に数分間継続して実行される。クライアント（コントローラ）側に設けられた登録ボタンを押下した後、ュ一ザはサーバ（デバイス）側に移動する。そして、ステツプ S 3 0 3において、サーバ側に設けられた確認ボタンを押下する。すると、サーバは確認ボタンの押下に応じて発生するユーザシグナル B (U S B) に従い、ステップ S 3 0 4 において、 MACアドレス登録要求を規定時間、例えば 1 0秒間受信する。

1 0秒間に同一の送信元（MACァドレス）から MACァドレス登録要求を受信した場合、サーバはその MACァドレスを MACァドレステープル（MA Cリスト）（図 3参照）に仮記憶した後、ユーザに対して「機器を発見しました。登録しますか？」なるメッセージを表示するデバイスシグナル A (D S A) を発生（S 3 0 5) し、その状態で所定時間（たとえば 1分間）待機する。なお、サーバは、 MACァドレステープルを参照し、既にマニュアル登録済みのクライアントからの MACァドレス登録要求であると判定した場合、 M A C登録完了を意味する通知をクライアントに送信して MACァドレス登録処理を終了する。すなわちサーバは同一の MACァドレスの二重登録は行わない。ただし、マニュアル登録されていないが、自動登録処理によって MACアドレステーブルに登録されている MACァドレスと一致する MACァドレスのマニュアル登録処理である場合は、サーバは、 MACァドレステーブルに登録されている MACァドレスデータェントリを自動登録ェントリからマ二ユアル登録ェントリへ変更する処理を行う。この変更処理においては、サーバは、 MACァドレステーブルの自動登録処理のなされた MACァドレスデータのェントリに対応するマニュアル登録フィールドにマニュアル登録がなされたことを示す識別子を設定する処理を実行することになる。サーバが、ステップ S 3 0 5において、「機器を発見しました。登録しますか？」なるメッセージを表示するデバイスシグナル A (D SA) を発生した状態で所定時間（例えば 1分間）待機している間に、ステップ S 3 0 6において、ユーザがサーバ側に設けられた確認ボタン（図 8の登録確認ポタン 6 5 5 ) を押下する。すると、サーバは確認ボタンの押下に応じて発生するユーザシグナル C (U S C) に従い、ステップ S 3 0 7において、 MAC登録確認要求をクライアントに対して送信する。 MAC登録確認要求には、パスヮード要求フラグが付加される。クライアントはノスヮ一ド要求フラグが付加された MAC登録確認要求をサーバから受信すると、ステップ S 3 0 8において、受信した MAC登録確認要求に含まれるパスヮード要求フラグに基づき、ユーザに対して「デバイス" X XXX" のパスワードを入力してください。」なるメッセージを表示するデバイスシグナル B (D S B) を発生し、パスワードの入力を所定時間（例えば 5 分間）待機する。さらに、クライアントは、 MACァドレス登録要求の送信を停止し、ステツプ S 3 0 9において、サーバへ MAC登録確認レスポンスを返信する。サーバは、この MAC登録確認レスポンスを受信すると、ステップ S 3 1 0 において、パスワード（ワンタイムパスワード）を生成し、ユーザに対して「クライアント（コントローラ） "YYYY" のためのパスワードは" 〇〇〇〇" です。」なるメッセージを表示するデバイスシグナル C (D S C) を発生し、パスワードを提示した状態で規定時間（例えば 5分間）待機する。一方、クライアント側では、パスヮードの入力待機中に、ステップ S 3 1 1 で、ユーザがパスヮードを入力すると、ステップ S 3 1 2で、クライアントから入力パスヮードがサーバに送信される。サーバは、パスワードをクライアントから受信すると、ステップ S 3 1 0で生成しサーバ側でユーザに対して提示したパスヮードと、受信パスヮードとの照合処理を実行する。クライアントからの受信パスヮードと生成パスヮードとがー致すると、ステップ S 3 1 3において、サーバは MACァドレステープル (MACリスト）（図 3参照）にクライアントの MACアドレスを正式ェントリとして設定するとともに、マニュアル登録であることを示す識別データ（フラグなど）を設定する。または自動登録ェントリをマニュアル登録ェントリに変更する。サーバは MACァドレスの登録が済むと、ステップ S 3 1 4において、ユーザに対して「クライアント（コントローラ） "YYYY" を登録しました。」なるメッセージを表示するデバイスシグナル D (D S D) を発生し、ステップ S 3 1 5において、クライアントに照合 O Kを付加したパスヮードレスポンスを返信する。クライアントは、サーバからパスヮード照合 OKに基づく MACァドレス登録通知としてのパスヮードレスポンスを受信すると、ステップ S 3 1 6において、 MACァドレスが認証登録されたとして、ユーザに対して「デバイス "X XXX" に登録されました。」なるメッセージを表示するデバイスシグナル E (D S E)を発生して MACァドレスの機器認証を伴うマニュアル登録処理を終える。なお、クライアントから送られてきたパスヮードが不正、すなわちクライアントからの受信パスヮードとサーバの生成パスヮードが不一致であると、サーバはクライアントに照合 NGを付加したパスヮードレスポンスを返信し、クライアントから再度パスヮード入力されるのを待機し、待機期間中にパスワード照合 NGが 3回連続すると、サーバはパスヮード入力の再試行を中止させ、ュ一ザに対して「コントローラ "YYYY" を登録できません。」なるメッセ一ジを表示し、クライアントの MACァドレス登録を実行することなく処理を終了する。上述した MACァドレスのマニュアル登録処理を実行したクライアントの MACァドレスのみが、 MACァドレステーブルにマニュアル登録 MACァドレスとして登録されることになる。サーバが「登録デバイスアクセス制御モード」にある場合は、これらのマ二ュアル登録されたクライアントのみが、アクセスを許容されることになる。 [サーバおよびクライアントの機能構成]

サーバおょぴクライアント装置のハードウエア構成については、先に図 2を参照して説明した通りであり、上述した各種の処理は、サーバクライアントそれぞれの記憶部に格納されたプログラムに従って制御部としての C P Uが実行する。

C P Uによって実行される処理は、例えばサーバ側では、クライアントからの要求を入力し、入力情報の解析、解析結果に基づく M A Cァドレステーブル (M A Cリスト）、すなわちアクセス制御情報へ登録する処理、クライアントと送受信するパケット生成、解析処理、さらに、登録処理における各種メッセージ出力、ユーザ入力情報の解析処理等である。クライアント側の処理としては、サーバに対する各種要求パケットの生成、送信、サーバから受信するパケット解析処理、さらに、登録処理における各種メッセージ出力、ユーザ入力情報の解析処理等である基本的にこれらの処理は、サーバ、クライアント装置の制御部としての C P Uの制御の下に予め格納された処理プログラムに従って実行される。制御部としての C P Uが実行する処理および記憶部の格納データ等について、図 1 1および図 1 2を参照して説明する。図 1 1は、サーバの主要機能構成を説明するプロック図であり、図 1 2は、クライアントの主要機能構成を説明するプロック図である。まず、図 1 1のサーバの機能構成を示すプロック図を参照してサーバの機能構成について説明する。パケット送受信部 7 0 1は、クライアントに対するパケット、クライアントからのパケットを受信する。パケット生成、解析部 7 0 2は、送信パケットの生成処理、受信パケットの解析処理を行う。バケツトのアドレス設定、アドレス認識、パケットのデータ格鈉部に対するデータ格納、データ格納部からのデータ取得処理などである。データ入力部 7 0 3は、ユーザによるデータ入力を実行するためのキーボード、ユーザィンタフェースなどである。データ出力部 7 0 4は、メッセージデ一タ等を表示するディスプレイ等の出力部である。アクセス制御処理実行部 7 0 5は、先に図 4、図 6を参照して説明した（ 1 ) 自動登録アクセス制御モードにおけるアクセス制御処理、（2 ) 登録デバイスアクセス制御モードにおけるアクセス制御処理を実行する。登録処理部 7 0 6は、（ 1 ) 自動登録アクセス制御モードにおけるアクセスに対応して実行する MACァドレス登録処理と、先に図 1 0を参照して説明したマニュアル登録処理を実行する。すなわち、登録処理部 7 0 6は、例えば、図 1 0を参照して説明したマニュアル登録処理のように、予め規定された MA Cァドレス登録処理シーケンスに従った処理が実行されたことを条件として、クライアント MA Cアドレスを MACァドレステーブルにマニュアル登録 M ACアドレスとして登録する処理を実行する。さらに、登録処理部 7 0 6は、予め規定された MACァドレス登録処理シーケンスに従ったマニュアル登録処理が実行された MACァドレスが、自動登録 MACァドレスとしてテーブルに登録されている場合は、自動登録クライアント MA Cアドレスエントリをマニュアル登録クライアント MACアドレスェントリとする設定変更処理を実行する。データ処理部 7 0 7は、アクセスの許可されたクライアントからの要求、例えばコンテンツ取得処理等に対応する処理を実行する。記憶部 7 0 8には、ァクセス制御処理実行部 7 0 5において実行するアクセス制御処理プログラム 7 1 1、登録処理部 7 0 6において実行する MACァドレス登録処理プロダラム 7 1 2等の各種データ処理プログラムが格納され、さらに、図 3を参照して説明した MACァドレステーブル 7 1 3、さらにサーバに設定されたモード情報 7 1 4が格納される。なお、サーバはさらにクライアントに提供するコンテンッ、コンテンツに対応するメタデータ等を格納している。次に、クライアント装置の機能構成について、図 1 2を参照して説明する。パケット送受信部 8 0 1は、サーバに対するパケット、サーバからのパケットを受信する。パケット生成、解析部 8 0 2は、送信パケットの生成処理、受信パケットの解析処理を行う。ノ、ケットのアドレス設定、アドレス認識、パケットのデータ格納部に対するデータ格納、データ格納部からのデータ取得処理などである。データ入力部 8 0 3は、ユーザによるデータ入力を実行するためのキーボード、ユーザィンタフェースなどである。データ出力部 8 0 4は、メッセージデ一タ等を表示するディスプレイ等の出力部である。アクセス要求処理実行部 8 0 5は、コンテンッ取得要求、制御要求等のサーバに対する各種のアクセス要求処理を実行する。ァドレス登録処理実行部 8 0 6は、図 1 0を参照して説明した M A Cァドレスのマニュアル登録処理を実行する。データ処理部は、サーバから取得したコンテンツの再生処理など、様々なデータ処理を実行する。記憶部 8 0 8には、ァドレス登録処理実行部 8 0 6において実行するァドレス登録処理プログラム 8 1 1他の処理プログラム、さらにクライアントの M A Cァドレス 8 1 2などが格納される。サーバ、およびクライアントは、機能的には図 1 1、図 1 2に示す各機能を有し、上述した各処理を実行する。ただし、図 1 1、図 1 2に示すプロック図は、機能を説明するプロック図であり、サーバクライアントが図 1 1、図 1 2 に示すプロックに対応するハードウエアを有することは必須ではない。具体的には、図 2に示す P C等の構成における C P Uの制御の下に各種の処理プログラムが実行され、図 1 1、図 1 2に示す各プロックを参照して説明した処理、あるいは上述の発明の詳細な説明において説明した各処理が実行される。以上、特定の実施例を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が該実施例の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的に解釈されるべきではない。本発明の要旨を判断するためには、特許請求の範囲の欄を参酌すべきである。なお、明細書中において説明した一連の処理はハードウエア、またはソフトウェア、あるいは両者の複合構成によって実行することが可能である。ソフトウェアによる処理を実行する場合は、処理シーケンスを記録したプログラムを、専用のハードウエアに組み込まれたコンピュータ内のメモリにインストールして実行させるか、あるいは、各種処理が実行可能な汎用コンピュータにプログラムをインストールして実行させることが可能である。例えば、プログラムは記録媒体としてのハードディスクや R O M (Read Only Memory)に予め記録しておくことができる。あるいは、プログラムはフレキシブルディスク、 C D - R O M (Compact Di sc Read Only Memory) , M O (Magneto opt ical)ディスク， D V D (Di gital Versat i le Di sc：)、磁気ディスク、半導体メモリなどのリムーバブル記録媒体に、一時的あるいは永続的に格納（記録）しておくことができる。このようなリムーバブル記録媒体は、いわゆるパッケージソフトウェアとして提供することができる。なお、プログラムは、上述したようなリムーバブル記録媒体からコンピュータにインストールする他、ダウンロードサイトカら、コンピュータに無線転送したり、 L A N (Local Area Network)、インターネットといったネットワークを介して、コンピュータに有線で転送し、コンピュータでは、そのようにして転送されてくるプログラムを受信し、内蔵するハードディスク等の記録媒体にィンストールすることができる。なお、明細書に記載された各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。産業上の利用可能性以上、説明したように、本発明の構成においては、マニュアル登録のなされたクライアント M A Cァドレスと、自動登録処理のなされたクライアント M A Cアドレスとを識別可能な態様で登録した M A Cァドレステーブルを設定し、アクセス制御モードが、自動登録アクセス制御モードである場合は、アクセス要求クライアントの M A Cァドレスを、 M A Cァドレステーブルの規定登録限度数： Nに至るまで登録し、該登録処理を条件としてクライアントのアクセスを許容するアクセス制御処理を実行し、アクセス制御モードが、登録デバイスアクセス制御モードである場合は、アクセス要求クライアントの M A Cァドレス力 M A Cァドレステーブルに、マニュアル登録された M A Cァドレスとして登録されていることを条件としてクライアントのアクセスを許容するァクセス制御処理を実行する構成としたので、ユーザによるマニュアル登録処理を実行しない場合においても、無制限なアクセスが防止され、例えば不特定多数クライアントからのサーバ格納コンテンツの取得等を防止することが可能となり、さらに、モードを、登録デバイスアクセス制御モードに設定することにより、厳格なアクセス制御を実行することも可能となる。さらに、本発明の構成によれば、自動登録アクセス制御モードにおいて、クライアントのアクセス要求種別を識別し、識別されたアクセス要求種別が予め定めたアクセス制御を実行すべき要求種別、例えば H T T P (Hyper Text Transfer Protocol)— G E Tメソッドに基づくコンテンツ要求処理、または S O A P (Simple Object Access Protocol) に基づく制御要求処理である場合にのみ、クライアントの MACアドレスを、 MACァドレステーブルの規定登録限度数： Nに至るまで登録し、該登録処理を条件としたアクセス許容を実行する構成としたので、 U P n P等における機器発見処理、情報取得処理等において不必要なアクセス制御を行うことが防止される。

Claims

請求の範囲

1. アクセス制御処理を実行する情報処理装置であり、

マニュアル登録のなされたクライアント MACァドレスと、自動登録処理のなされたクライアント MACァドレスとを識別可能な態様で登録した MAC アドレステーブルを記憶した記憶部と、

情報処理装置に設定されたアクセス制御モードが、自動登録アクセス制御モ一ドである力登録デバイスアクセス制御モードであるかに応じて、クライアントからのアクセス要求に対して異なるアクセス制御処理を実行するァクセス制御部とを有し、

前記アクセス制御部は、

情報処理装置に設定されたアクセス制御モードが、自動登録アクセス制御モ一ドである場合は、アクセス要求クライアントの MACァドレスを、前記 MA Cァドレステーブルの規定登録限度数： Nに至るまで登録し、該登録処理を条件としてクライアントのアクセスを許容するアクセス制御処理を実行し、情報処理装置に設定されたアクセス制御モードが、登録デバイスアクセス制御モードである場合は、アクセス要求クライアントの MACァドレスが、前記 MACァドレステーブルに、マニュアル登録された MACァドレスとして登録されていることを条件としてクライアントのアクセスを許容するアクセス制御処理を実行する構成を有することを特徴とする情報処理装置。

2. 前記アクセス制御部は、

情報処理装置に設定されたアクセス制御モードが、自動登録アクセス制御モ一ドである場合、クライアントのアクセス要求種別を識別し、該識別されたァクセス要求種別が予め定めたアクセス制御を実行すべき要求種別である場合にのみ、クライアントの MACアドレスを、前記 MACァドレステープノレの規定登録限度数： Nに至るまで登録し、該登録処理を条件としてクライアントのアクセスを許容する処理を実行する構成であることを特徴とする請求項 1に記載の情報処理装置。

3. 前記アクセス制御を実行すべき要求種別は、

HTT P (Hyper Text Transfer Protocol)— G E Tメソッドに基づくコンテンッ要求処理、または S OAP (Simple Object Access Protocol) に基づく制御要求処理の少なくともいずれかを含むことを特徴とする請求項 2に記載の情報処理装置。

4. 前記情報処理装置は、

予め規定された MACァドレス登録処理シーケンスに従ったマニュアル登録処理が実行されたことを条件として、クライアント MACァドレスを前記 M ACァドレステーブルにマニュアル登録のなされたクライアント MACアドレスとして登録する処理を実行する登録処理部を有することを特徴とする請求項 1に記載の情報処理装置。

5. 前記情報処理装置は、

前記 MACァドレステーブルに自動登録のなされたクライアント MACァドレスとして登録された MACァドレスについて、予め規定された MACァドレス登録処理シーケンスに従ったマニュアル登録処理が実行されたことを条件として、前記 MACァドレステーブルの自動登録クライアント MACァドレスエントリをマニュアル登録クライアント MACァドレスエントリとする設定変更処理を実行する登録処理部を有することを特徴とする請求項 1に記載の情報処理装置。

6. 情報処理装置におけるアクセス制御処理方法であり、

クライアントからのアクセス要求を受信するアクセス要求受信ステップと、情報処理装置に設定されたアクセス制御モードが、自動登録アクセス制御モ一ドである力登録デバイスアクセス制御モードであるかを判定するモード判定ステップと、設定アクセス制御モードが、自動登録アクセス制御モードである場合は、ァクセス要求クライアントの MACァドレスを、 MACァドレステーブルの規定登録限度数： Nに至るまで登録し、該登録処理を条件としてクライアントのァクセスを許容するアクセス制御処理を実行し、

設定アクセス制御モードが、登録デバイスアクセス制御モードである場合は、アクセス要求クライアントの MACァドレス力 S、前記 MACァドレステープルに、マニュアル登録された MACァドレスとして登録されていることを条件としてクライアントのアクセスを許容するアクセス制御処理を実行するァクセス制御ステップと、

を有することを特徴とするアクセス制御処理方法。

7. 前記アクセス制御ステップは、

情報処理装置に設定されたアクセス制御モードが、自動登録アクセス制御モ ―ドである場合、クライアントのアクセス要求種別を識別し、該識別されたァクセス要求種別が予め定めたアクセス制御を実行すべき要求種別である場合にのみ、クライアントの MACァドレスを、前記 MACァドレステーブルの規定登録限度数： Nに至るまで登録し、該登録処理を条件としてクライアントのアクセスを許容する処理を実行することを特徴とする請求項 6に記載のァクセス制御処理方法。

8. 前記アクセス制御を実行すべき要求種別は、

HTT P (Hyper Text Transfer Protocol)— G E Tメソッドに基づくコンテンッ要求処理、または S OAP (Simple Object Access Protocol) に基づく制御要求処理の少なくともいずれかを含むことを特徴とする請求項 7に記載のアクセス制御処理方法。

9. 前記アクセス制御処理方法は、さらに、

予め規定された MACァドレス登録処理シーケンスに従ったマニュアル登録処理が実行されたことを条件として、クライアント MACァドレスを前記 M ACァドレステーブルにマニュアル登録のなされたクライアント MACァドレスとして登録する処理を実行する登録処理ステップを有することを特徴とする請求項 6に記載のアクセス制御処理方法。

1 0. 前記アクセス制御処理方法は、さらに、

前記 MACァドレステーブルに自動登録のなされたクライアント MACァドレスとして登録された MACァドレスについて、予め規定された MACァドレス登録処理シーケンスに従ったマニュアル登録処理が実行されたことを条件として、前記 MACァドレステーブルの自動登録クライアント MACァドレスエントリをマニュアル登録クライアント MACアドレスエントリとする設定変更処理を実行する登録処理ステップを有することを特徴とする請求項 6 に記載のアクセス制御処理方法。

1 1. 情報処理装置におけるアクセス制御処理を実行するコンピュータ ·プログラムであり、

情報処理装置に設定されたアクセス制御モードが、自動登録アクセス制御モ一ドである力登録デバイスアクセス制御モードであるかを判定するモード判定ステップと、

設定アクセス制御モードが、自動登録アクセス制御モード,である場合は、ァクセス要求クライアントの MACァドレスを、 MACァドレステーブルの規定登録限度数： Nに至るまで登録し、該登録処理を条件としてクライアントのァクセスを許容するアクセス制御処理を実行し、

設定アクセス制御モードが、登録デバイスアクセス制御モードである場合は、アクセス要求クライアントの MACァドレス力、前記 MACァドレステープルに、マニュアル登録された MACァドレスとして登録されていることを条件としてクライアントのアクセスを許容するアクセス制御処理を実行するァクセス制御ステップと、

を有することを特徴とするコンピュータ 'プログラム。