アクセス情報中継デバイス、ネットワーク機器、アクセス情報管理デバイス、資源管理デバイスおよびアクセス管理システム
【課題】各資源へのアクセス情報を取得し、アクセス主体へ転送することができるアクセス情報中継デバイス、ネットワーク機器、アクセス情報管理デバイス、資源管理デバイスおよびアクセス管理システムを提供する。
【解決手段】資源にアクセスするための情報の配信要求に応じて、アクセス情報を生成するアクセス情報生成手段と、生成したアクセス情報を送信する送信手段を備えるアクセス情報管理デバイスと、アクセス情報を取得するアクセス情報取得手段と、アクセス情報をアクセス主体に送信する通信手段とを備えるアクセス情報中継デバイスと、アクセス情報に基づいて、資源にアクセスするアクセス手段を備えるネットワーク機器と、通知されたアクセス情報に基づいて、資源を配信する配信手段を備える資源管理デバイスとを備えることにより達成される。
【解決手段】資源にアクセスするための情報の配信要求に応じて、アクセス情報を生成するアクセス情報生成手段と、生成したアクセス情報を送信する送信手段を備えるアクセス情報管理デバイスと、アクセス情報を取得するアクセス情報取得手段と、アクセス情報をアクセス主体に送信する通信手段とを備えるアクセス情報中継デバイスと、アクセス情報に基づいて、資源にアクセスするアクセス手段を備えるネットワーク機器と、通知されたアクセス情報に基づいて、資源を配信する配信手段を備える資源管理デバイスとを備えることにより達成される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セルラー移動局を利用して、資源に対するアクセス権管理を行うアクセス情報中継デバイス、ネットワーク機器、アクセス情報管理デバイス、資源管理デバイスおよびアクセス管理システムに関する。
【背景技術】
【0002】
ネットワーク機器がネットワーク上のコンテンツサーバにアクセスし、コンテンツを取得するためには、ユーザがアクセス情報を投入するためのキーボードや液晶画面などを、ネットワーク機器に具備する必要がある。このため、ネットワーク機器は小型化が困難である。
【0003】
また、小型ではあるが十分なキーボードと画面を有しないノード(デバイス)にコンテンツを保存するには、これをコンピュータに接続することであらかじめコンピュータに保存されているコンテンツを移植することができる。
【0004】
尚、上述した背景技術のうち十分なキーボードと画面を有しないノードにコンテンツを保存する技術は、出願人が出願時点で知る限りにおいて文献公知ではない。
【0005】
また、出願人は出願時点までに本発明に関連する先行技術文献を発見することができなかった。よって、先行技術文献情報を開示していない。
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、上述した背景技術には以下の問題がある。
【0007】
ノードをコンピュータに接続することであらかじめコンピュータに保存されているコンテンツを移植する方法では、コンテンツはサーバ、コンピュータ、ノードと移動するので、特にコンテンツの容量が大きい場合、保存に時間がかかるという欠点がある。
【0008】
そこで、本発明においては、各資源へのアクセス情報を取得し、アクセス主体へ転送することができるアクセス情報中継デバイス、ネットワーク機器、アクセス情報管理デバイス、資源管理デバイスおよびアクセス管理システムを提供することを目的とする。
【課題を解決するための手段】
【0009】
上記課題を解決するため、本発明のアクセス情報中継デバイスは、資源にアクセスするための情報および資源をダウンロードするための鍵からなるアクセス情報を取得するアクセス情報取得手段と、アクセス情報を他のアクセス情報中継デバイスおよびアクセス主体の少なくとも一方に送信する通信手段とを備える。
【0010】
このように構成することにより、ネットワーク上の各資源へのアクセス情報を取得し、この取得したアクセス情報をアクセス主体に転送することができる。
【0011】
また、本発明のネットワーク機器は、資源にアクセスするための情報および資源をダウンロードするための鍵からなるアクセス情報を記憶する記憶手段と、アクセス情報に基づいて、資源にアクセスするアクセス手段と、鍵により、暗号化された資源を復号する復号化手段とを備える。
【0012】
このように構成することにより、資源へアクセスすることができる。
【0013】
また、本発明のアクセス情報管理デバイスは、資源にアクセスするための情報および資源へのアクセスの可否を示す情報のうち少なくとも一方を記憶する記憶手段と、資源にアクセスするための情報の配信要求に応じて、要求された資源にアクセスするための情報および資源をダウンロードするための鍵からなるアクセス情報を生成するアクセス情報生成手段と、生成した前記アクセス情報を送信する送信手段とを備える。
【0014】
このように構成することにより、ネットワーク上に存在する資源のアクセス情報を管理することができる。
【0015】
また、本発明の資源管理デバイスは、資源を記憶する記憶手段と、通知されたアクセス情報に基づいて、配信する資源を暗号化する暗号化手段と、暗号化された資源を配信する配信手段とを備える。
【0016】
このように構成することにより、アクセス情報に基づいて、資源を配信することができる。
【0017】
また、本発明のアクセス管理システムは、資源にアクセスするための情報および資源へのアクセスの可否を示す情報のうち少なくとも一方を記憶する記憶手段と、資源にアクセスするための情報の配信要求に応じて、要求された資源にアクセスするための情報および資源をダウンロードするための鍵からなるアクセス情報を生成するアクセス情報生成手段と、アクセス情報をアクセス主体に送信する通信手段とを備え、アクセス主体は、受信した前記アクセス情報を記憶する記憶手段と、アクセス情報に基づいて、資源にアクセスするアクセス手段と、鍵により、暗号化された資源を復号する復号化手段とを備え、資源を管理する資源管理デバイスは、資源を記憶する記憶手段と、アクセス情報管理ノードから通知されたアクセス情報に基づいて、配信する資源を暗号化する暗号化手段と、暗号化された資源を配信する配信手段とを備える。
【0018】
このように構成することにより、ネットワーク上の各資源へのアクセス情報を取得し、この取得したアクセス情報をアクセス主体に転送することができる。また、アクセス主体、例えば、ネットワーク機器は実際に資源へアクセスすることができる。
【発明の効果】
【0019】
本発明の実施例によれば、各資源へのアクセス情報を取得し、アクセス主体へ転送することができるアクセス情報中継デバイス、ネットワーク機器、アクセス情報管理デバイス、資源管理デバイスおよびアクセス管理システムを実現できる。
【発明を実施するための最良の形態】
【0020】
次に、本発明の実施例について図面を参照して説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を用い、繰り返しの説明は省略する。
【0021】
最初に、本発明の第1の実施例にかかるアクセス管理システムについて、図1を参照して説明する。
【0022】
本実施例にかかるアクセス管理システム100では、アクセス情報中継ノード(デバイス)120としての移動局はネットワーク上に存在するアクセス情報が記憶されたアクセス情報管理ノード110からアクセス情報を取得し、取得したアクセス情報を、アクセス主体となるネットワーク機器130に送信する。また、ネットワーク機器130は、受信したアクセス情報に基づき、資源にアクセスする。
【0023】
アクセス管理システム100は、アクセス情報管理ノード(デバイス)110と、アクセス情報管理ノード110と通信網10、例えばセルラーネットワーク(cellular NW)を介して接続されるアクセス情報中継ノード(デバイス)120と、アクセス情報中継ノード120と接続されるネットワーク機器130と、ネットワーク機器130と通信網12、例えばホームネットワークを介して接続されるゲートウエイ(GW)140と、ゲートウエイ140と通信網14、例えばインターネットを介して接続される資源管理ノード(デバイス)150、160および170とを備える。また、アクセス情報管理ノード110は、通信網14と接続される。
【0024】
次に、アクセス情報管理ノード110、アクセス情報中継ノード120、ネットワーク機器130および資源管理ノード150、160および170について、図2〜図5を参照して説明する。
【0025】
アクセス情報管理ノード110について、図2を参照して説明する。
【0026】
アクセス情報管理ノード110は、アクセス権判断手段としてのアクセス制御部112と、アクセス制御部112と接続された記憶部114、アクセス情報生成手段および送信手段としてのアクセス情報生成部116、更新部118および課金部119とを備える。
【0027】
アクセス制御部112は、アクセス情報中継ノード120および資源管理ノード150、160および170に対するアクセスを制御する。例えば、アクセス情報中継ノード120から、ある資源にアクセスするための情報および資源をダウンロードするためのダウンロードキー((資源の秘匿性を解除する)鍵)からなるアクセス情報の配信要求を受信した場合、後述する記憶部114に記憶されたネットワーク上に存在する資源にアクセスするための情報および各資源へのアクセスの可否を示す情報のうち少なくとも一方を参照し、アクセス情報中継ノード120にアクセス権があるか否かを判断する。その結果、アクセス権がある場合には要求された資源のアクセス情報をアクセス情報中継ノード120に配信し、アクセス権がない場合には配信要求を拒否する。ここで資源とは、ノード自体、ノードが具備する記憶媒体リーダライタ、ノードが記憶する情報である。
【0028】
また、ネットワーク上に存在する資源のアクセス情報を一元管理する。例えば、各資源へのアクセス権をアクセス情報中継ノード120に基づいて管理する。また、アクセス情報中継ノード120に加入者を認識するための情報が記憶されたモジュール、例えばSIM(Subscriber Identity Module)を備えるようにし、このモジュールに基づいて管理するようにしてもよい。
【0029】
このようにすることにより、アクセス情報中継ノード120またはアクセス情報中継ノード120に備えられた加入者を認識するための情報が記憶されたモジュールと、その所有者との同一性を利用した安全なアクセス制御が可能となる。すなわち、アクセス情報中継ノード120または加入者を認識するための情報が記憶されたモジュールが常にその所有者によって所持され、利用されるという性質を利用してアクセス制御を行うことができる。
【0030】
記憶部114はネットワーク上に存在する資源にアクセスするための情報および各資源へのアクセスの可否を示す情報のうち少なくとも一方を記憶する。例えば、図1に示すように、各資源に対するアクセス権、すなわちアクセス情報中継ノードのアクセスの可否を示す情報、各資源に対するアクセス情報などを記憶する。
【0031】
例えば、資源管理ノード150のファイルAに対しては、アクセス情報中継ノード121、122がアクセスを許可されており、アドレスは205.214.12.5、アクセスキーは“huidjf89”である。また、資源管理ノード160のサービスBに対しては、アクセス情報中継ノード120、123がアクセスを許可されており、アドレスは205.214.12.33、ポート番号は5003、アクセスキーは“uhowiru“である。また、資源管理ノード170に対しては、アクセス情報中継ノード124、125がアクセスを許可されており、アドレスは200.168.22.22、アクセスキーは“wd53hjo4“である。
【0032】
アクセス情報生成部116は、資源にアクセスするための情報および資源をダウンロードするためのダウンロードキーからなるアクセス情報を生成する。ここで、資源にアクセスするための情報とは、資源がノード、ノードが具備する記憶媒体リーダライタの場合には、IPアドレスやIPアドレスとポート番号などであり、資源が記憶された情報である場合は、資源が存在するノードのIPアドレスおよび資源を特定するためのコンテンツIDなどである。また、資源をダウンロードするためのダウンロードキーとは、資源の秘匿性を解除する鍵であり、例えば情報の送受信にパスワードなどのセキュリティ情報が必要である場合に、このセキュリティ情報である。
【0033】
更新部118は、資源管理ノード150から送信された最新の資源アクセス情報に基づいて、記憶部114に記憶されている資源のアクセス情報を更新する。更新部118を備えることにより、現在では古くて無効である資源へのアクセスを減少させることができ、無駄なアクセストラヒックの削減が可能となる。
【0034】
課金部119は、課金処理を行う。例えば、アクセス情報中継ノード120に基づいて課金処理を行う。また、アクセス情報中継ノード120に加入者を認識するための情報が記憶されたモジュール、例えばSIM(Subscriber Identity Module)を備えるようにし、この加入者を認識するための情報に基づいて課金処理を行うようにしてもよい。
【0035】
課金部119を備えることにより、これまで、有料資源を配信するノード各々が備えている課金手段をアクセス情報管理ノード110に集約できる。また、これまで1ユーザの課金情報、例えばクレジットカードの番号などは複数の資源管理ノードに登録されていたが、本実施例では1ユーザの課金情報はアクセス情報管理ノード上にのみ登録されるので、課金情報を記憶する記憶容量を削減できる。
【0036】
次に、アクセス情報中継ノード120について、図3を参照して説明する。
【0037】
アクセス情報中継ノード120は、アクセス情報取得手段としてのアクセス制御部122と、アクセス制御部122と接続された入力部124および通信部126とを備える。
【0038】
アクセス制御部122は、アクセス情報管理ノード110およびネットワーク機器130に対するアクセスを制御する。また、アクセス制御部122は、アクセス情報管理ノード110にアクセスし、資源にアクセスするための情報および資源をダウンロードするためのダウンロードキーからなるアクセス情報を取得する。入力部124は、資源のアクセス情報から要求する資源を選択する。通信部128は、例えば近距離無線通信により構成されネットワーク機器130との通信行う。例えば、要求する資源に対応するアクセス情報をネットワーク機器130に投入する。
【0039】
次に、ネットワーク機器130について、図4を参照して説明する。
【0040】
ネットワーク機器130は、制御部132と、制御部132と接続された記憶部134および復号化部136とを備える。
【0041】
制御部132は、アクセス情報中継ノード120および資源管理ノード150、160および170とのアクセスを制御する。記憶部134は、アクセス情報管理ノード110から送信されたアクセス情報を記憶する。復号化部136は、資源管理ノード150、160および170から送信された暗号化された情報を、記憶部134に記憶されたキーを用いて復号化処理を行う。
【0042】
次に、資源管理ノード150について、図5を参照して説明する。資源管理ノード160および170は、資源管理ノード150と同様の構成であるため、その説明を省略する。
【0043】
資源管理ノード150は、制御部152と、制御部152と接続された記憶部154、暗号化部156および配信部158とを備える。
【0044】
制御部152は、アクセス情報管理ノード110およびネットワーク機器130とのアクセスの制御を行う。記憶部154は、資源を記憶する。暗号化部158は、アクセス情報管理ノード110から送信されたアクセス情報に含まれるダウンロードキーを用いて暗号化処理を行う。配信部158は、暗号化された情報をネットワーク機器130に配信する。
【0045】
次に、本実施例にかかるアクセス管理システム100の動作について、図6を参照して説明する。
【0046】
ここでは、一例として資源管理ノード150、160および170を、コンテンツを管理するコンテンツサーバにより構成し、アクセス情報中継ノード120を移動局により構成し、ネットワーク機器130をポータブルプレーヤにより構成する場合について説明する。この場合、アクセス情報管理ノード110は、コンテンツサーバに記憶された楽曲の曲目情報を管理する。
【0047】
最初に、各社のコンテンツサーバ150、160および170は、通信網14、例えばインターネットを介して、アクセス情報管理ノード110にアクセスし、記憶部154に記憶された楽曲の曲目情報のリストを随時アップデートする。((1)曲目情報の更新)。
【0048】
次に、アクセス情報管理ノード110の更新部118は送信された楽曲の曲目情報に基づいて、記憶部114に記憶された曲目リストの情報を更新する。その結果、アクセス情報管理ノード上には、図6に示すように統合された曲目リストが存在する。
【0049】
このように各資源管理ノード150、160および170が、アクセス情報管理ノード110と通信し、自資源管理ノードの資源アクセス情報を通知することにより、現在では無効な(古い)アクセス情報によるアクセスを減らすことができ、無駄なアクセストラヒックの削減が可能となる。
【0050】
次に、ユーザKは、セルラー移動局120を用いて、アクセス情報管理ノード110にアクセスし、アクセス情報管理ノード110の曲目リストから購入したい曲目を選択し、要求する((2)曲目の選択とリクエスト)。
【0051】
この場合、曲目を要求した移動局120または移動局120が備える加入者を認識するための情報が記憶されたモジュールに、要求資源へのアクセス権がない場合、曲目を要求した移動局120または移動局120が備える加入者を認識するための情報が記憶されたモジュールに対して課金処理を行うことによりアクセス権を与えるようにしてもよい。
【0052】
ここでは、B社コンテンツサーバ160(IPアドレス:205.214.12.5)上の楽曲「AAA」が選択される場合について説明する。
【0053】
次に、アクセス情報管理ノード110の課金部119は、選択された曲目に応じて、ユーザKに対して課金処理を行う((3))課金処理)。ここでは、曲目「AAA」に対して、200円の課金処理を行う。
【0054】
例えば、課金部119は、移動局120の所有者に対する課金処理を行ようにしてもよいし、また、移動局120に加入者を認識するための情報が記憶されたモジュール、例えばSIM(Subscriber Identity Module)を備え、この加入者を認識するための情報に基づいて課金処理を行うようにしてもよい。
【0055】
次に、アクセス情報管理ノード110のアクセス情報生成部116は、アクセスするための情報を示す要求識別番号としてのリクエストIDと、ワンタイムパスワード、ワンタイム共通鍵としてのダウンロードキーを発行する。また、アクセス情報生成部116は、B社コンテンツサーバ160のIPアドレスとともに、リクエストIDとダウンロードキーをアクセス情報として、移動局120に送信する((4)アクセス情報の配信)。
【0056】
ここで、アクセス情報管理ノード110にセルラーシステムに直結するインタフェースを備え、アクセス情報配信要求の受信およびアクセス情報配信のうち少なくとも一方に、そのインタフェースを用いて送信するようにしてもよい。このようにすることにより、盗聴不可能なアクセス情報の配信が可能となる。
【0057】
アクセス情報を受信すると、移動局120の通信部126は、受信したアクセス情報をポータブルプレーヤに送信する。例えば、ユーザKは、移動局120を操作し、赤外線インタフェースを利用して、送信されたアクセス情報を、ポータブルプレーヤ130に投入する。このように、移動局120とネットワーク機器130との間の通信を近距離無線通信により行うことにより、有線を用いる場合と比較して配線の必要がなく、アクセス情報をいち早く投入することができる。アクセス情報は配信後変化する可能性があるため、アクセス情報をいち早く投入できることにより、アクセス情報が期限切れとなる件数を減らすことができ、ネットワーク上を流れるアクセストラヒックを削減することができる。ポータブルプレーヤ130は、受信したアクセス情報を記憶部134に記憶する。
【0058】
一方、アクセス情報管理ノード110のアクセス情報生成部116は、生成したリクエストIDとダウンロードキー、およびユーザKが選択した曲のタイトルをB社コンテンツサーバ160に通知する((6)配信したアクセス情報)。B社コンテンツサーバ160は、受信したリクエストIDとダウンロードキー、およびユーザKが選択した曲のタイトルを示す情報を記憶部154に記憶する。
【0059】
次に、ユーザKはポータブルプレーヤ130を操作し、GW140を介して、B社コンテンツサーバ160にアクセスし、楽曲「AAA」をダウンロードすることにより入手する((7)楽曲のダウンロード)。
【0060】
次に、楽曲のダウンロード処理について、図7を参照して説明する。
【0061】
最初に、ポータブルプレーヤ160の制御部132は、リクエストIDをB社コンテンツサーバ160に送信する。ここでは、リクエストIDとして“22520”が送信される。
【0062】
リクエストIDがB社コンテンツサーバ160に受信されると、暗号化部156はリクエストIDに対応する楽曲「AAA」をダウンロードキー、ここでは“shu467ef”で暗号化し配信部158に入力する。配信部158は、暗号化された楽曲「AAA」をポータブルプレーヤ130に送信する。
【0063】
暗号化された楽曲「AAA」がポータブルプレーヤ130に受信されると、復号化部136は、記憶部134に記憶されたダウンロードキーを用いて、暗号化された楽曲を復号化する。
【0064】
このように、資源管理ノードがアクセス情報管理ノードから通知されたアクセス情報に基づいて資源を配信することにより、リトライアタックを防止する資源の配信が可能となる。
【0065】
また、この場合、アクセス情報は、アクセス情報管理ノード、アクセス情報中継ノード、ネットワーク機器と送信されるが、アクセス情報は資源に比較してその容量が十分小さいため、ネットワーク機器のコンテンツ取得時間への影響は小さい。
【0066】
次に、本実施例にかかる他のアクセス管理システム200の動作について、図8および図9を参照して説明する。
【0067】
ここでは、一例として資源管理ノード150、160および170を、監視カメラ250、AVサーバ260および冷蔵庫170により構成し、アクセス情報中継ノード120を移動局により構成し、ネットワーク機器130をモニタ230により構成する場合について説明する。この場合、アクセス情報管理ノード110は、図9に示すように監視カメラ250、AVサーバ260および冷蔵庫170のIPアドレスおよびポート番号の情報を、アドレスIDリストとして記憶し、管理する。
【0068】
ユーザが、自宅に設置した監視カメラの画像を確認する場合について説明する。
【0069】
ユーザは、インタネット・サービス・プロバイダ(ISP)にインターネット接続契約をしており、自宅に設置したルータ220にはグローバルIPが与えられている。また、ルータ220は、ホームネットワーク内の各ネットワーク機器、すなわち、監視カメラ250、AVサーバ260および冷蔵庫270に対し、固有のポート番号を割り当てている。このため、外部からホームネットワーク内のネットワーク機器にアクセスする場合は、ルータがISPから与えられたグローバルIPアドレスとネットワーク機器固有のポート番号を指定する。
【0070】
最初に、ユーザは、通信網、例えばCellular NWを介して、移動局120から自宅のアクセス情報管理ノード110に発呼し(電話番号はあらかじめ知っているものとする)、記憶部114に記憶されているアクセスIDリストをリクエストする((1)アクセスIDリスト)。
【0071】
アクセス情報管理ノード110のアクセス制御部112は、移動局120から送信されたリクエストに対し、ホームネットワーク内の監視カメラ250、AVサーバ260および冷蔵庫270などの家電製品のアクセスIDリストを移動局120に返信する。
【0072】
ここで、アクセス情報管理ノード110にセルラーシステムに直結するインタフェースを備え、アクセス情報配信要求の受信およびアクセス情報配信のうち少なくとも一方に、そのインタフェースを用いるようにしてもよい。このようにすることにより、盗聴不可能なアクセス情報配信が可能となる。
【0073】
次に、ユーザは、移動局120の入力部124を操作することにより、アクセスIDリストの中から監視カメラ250を選択し、監視カメラ250のアクセスIDをモニタ230に、通信部126、例えば赤外線インタフェースを通じて投入する。
【0074】
次に、ユーザは、モニタ230に転送されたアクセスIDを用いて、モニタ230から監視カメラ250にアクセスし、監視カメラ250の画像をモニタする。
【0075】
本実施例においては、アクセス情報管理ノードが独立して存在する場合について説明したが、アクセス情報管理機能として、アクセス情報中継ノード120に内蔵するようにしてもよい。例えば、cellular data cardとして、移動局に内蔵する。
【0076】
次に、本発明の第2の実施例にかかるアクセス管理システムについて、図10を参照して説明する。
【0077】
ここでは、一例として資源管理デバイスをカメラ280により構成し、アクセス情報中継デバイス120を非接触ICカード、例えばFeliCaを備えた移動局320(3201および3202)により構成し、ネットワーク機器130を受像機330(3301および3302)により構成する場合について説明する。
【0078】
例えば、Aさんの家庭には、ネットワークに接続され、制御コマンドを受信することでカメラの操作ができるネットワークカメラ280があり、このカメラ280は外部からの要求によって、映像を配信する。ただし、配信要求時に正しいパスワード送信してこないユーザに対しては映像の配信は行なわれない。
【0079】
また、Aさんの会社のデスクにはネットワーク受像機3301が備えられている。このネットワーク受像機3301はネットワークを介して、映像を受信できる。この場合、ネットワーク受像機3301は、カメラ280に映像配信要求を行う。
【0080】
また、同型のネットワーク受像機は、Aさんの親友のBさんの会社デスクにもある。
【0081】
本実施例にかかるカメラ280について、図11を参照して説明する。
【0082】
カメラ280は、撮影部281と、撮影部281と接続されたエンコーダ部282と、エンコーダ部282と接続された通信部283と、通信部283と接続されたネットワークIF284、アクセス情報管理部288および非接触ICカードインタフェース286とを備える。
【0083】
撮影部281は対象を撮影し、撮影された静止画像または動画像をエンコーダ部282に入力する。エンコーダ部282は、入力された静止画像または動画像をエンコードし、通信部283に入力する。
【0084】
通信部283は、画像の配信リクエストを受信した場合、後述するアクセス情報管理部288によるパスワード検証処理の結果に基づいて、リクエスト元に映像を送信する。
【0085】
アクセス情報管理部288は、DHCP(dynamic host configuration protocol)クライアント機能を備え、カメラ自身のIPアドレスを取得し記憶する。また、アクセス情報管理部288は、認証用パスワードを記憶し、受像機330から送信されたパスワードを検証し、パスワードの正否を通信部283に通知する。
【0086】
非接触ICカードインタフェース286は、例えばFeliCaインタフェースを備え、アクセス情報管理部288が記憶するカメラ自身のIPアドレスとパスワードとを外部デバイス、例えば移動局320に伝送する。
【0087】
次に、本実施例にかかる受像機330について、図12を参照して説明する。
【0088】
受像機330は、モニタ部331と、モニタ331と接続されたデコーダ部332と、デコーダ部332と接続された通信部334と、通信部334と接続されたネットワークIF336および非接触ICカードインタフェース338とを備える。
【0089】
通信部334は、非接触ICカードインタフェース338、例えばFeliCaインタフェース経由で受信した、アクセス情報、例えばIPアドレス、パスワードをもとに、ネットワークカメラ280に対し、ネットワークIF336を介して配信リクエストを送信する。
【0090】
配信リクエストがカメラにより受理され、映像データが配信された場合、通信部334は、映像データをネットワークIF336を介して受信し、受信した映像データをデコーダ部332に入力する。
【0091】
デコーダ部332は、入力された映像データ(デジタルデータ)をデコードし、モニタ部331に入力する。モニタ部331はデコードされた静止画像または動画像を表示する。
【0092】
次に、本実施例にかかるアクセス管理システムの動作について、具体的に説明する。
【0093】
Aさんは出社前に、アクセス情報中継デバイスとしての携帯端末3201を取り出し、携帯端末3201に備えられた非接触ICカード、例えばFeliCaを使用し、ネットワークカメラ280のIPアドレスとパスワードとからなるアクセス情報を取得する((1)アクセス情報(IPアドレスとパスワード)の取得)。
【0094】
例えば、アクセス制御部122は、通信部126に備えられた近距離無線通信機能によりアクセス情報を取得する。
【0095】
カメラ280は、アクセス情報を与える際に、特にAさんの本人確認をしなくとも、カメラ280の設置場所がAさんの家庭内にある限り、不特定の第三者にアクセス情報が漏れる可能性は少ない。
【0096】
Aさんは昼休みに、会社デスク上のネットワーク受像機3301に、携帯端末3201に備えられた非接触ICカードインタフェースを用いて、アクセス情報を投入する((2)アクセス情報の投入)。例えば、アクセス制御部122は、通信部126に備えられた近距離無線通信機能および1対1の直接通信機能のうちの一方によりアクセス情報を投入する。
【0097】
受像機3301は、非接触ICカードインタフェース338を介して、アクセス情報を取得する。通信部334は、入力されたアクセス情報にしたがってカメラ280にアクセスし、配信リクエストおよびパスワードを送信する。
【0098】
カメラ280の通信部280は、受像機3301から送信された配信リクエストおよびパスワードを、ネットワークIF284を介して受信し、アクセス情報管理部288に入力する。アクセス情報管理部288はパスワードの検証を行い、パスワードが正しい場合、配信を許可することを示す情報を通信部283に入力する。通信部283は、入力された配信を許可することを示す情報に基づいて、配信を行う。配信されたデータは、受像機3301において、ネットワークIF336を介して、通信部334に受信され、デコーダ部332においてデコードされ、モニタ部331に入力される。その結果、モニタ部331には、カメラ280が写す映像が表示される。
【0099】
こうしてAさんは、大きな外部入力機器を持たないカメラ280、受像機3301を用いて、例えば家庭に置いてきた飼い猫の姿を確認することができる。
【0100】
やがて、Aさんは親友のBさんに飼い猫の自慢をしたくなり、Bさんにもカメラ280にアクセスさせることにした。Aさんは、携帯端末3201の入力部124を操作することにより、アクセス制御部122に、通信部126に備えられた近距離無線通信機能および1対1の直接通信機能のうちの一方によりアクセス情報を投入させる。この場合、Aさんは携帯端末3201の電子メールにアクセス情報を載せてBさんの携帯端末3202に送信する((3)アクセス情報の転送)。
【0101】
この場合、Aさんの送信した電子メールは、セルラーネットワーク10を介して、Bさんの携帯端末3202に送信される。
【0102】
Aさんが送信した電子メールを受信したBさんは、携帯端末3202に備えられた非接触ICカードを使用し、受像機3302の非接触ICカードインターフェース338に、アクセス情報、例えばIPアドレス、パスワードを投入する。
【0103】
受像機3302の通信部334は、入力されたアクセス情報したがって、カメラ280にアクセスし、リクエスト送信を行う。その後、上述したようにパスワードの検証などが行われ、受像機3302のモニタ部331に、カメラ280が写す映像が表示される。
【0104】
こうして、AさんとBさんは、Aさんの飼い猫の姿を楽しむことができる。
【0105】
本実施例によれば、カメラ280や受像機330にアクセス情報などを投入するための大きな入力装置は不必要である。しかも、アクセス情報は非接触ICカード、例えばFeliCaの近距離通信機能、携帯端末網のみを用いて伝送されるため、第三者に漏洩する可能性は低く、安全かつ簡単な資源共有が実現される。
【0106】
次に、本発明の第3の実施例にかかるアクセス管理システムについて、図13を参照して説明する。
【0107】
ここでは、一例として資源管理デバイスをファイルサーバ430により構成し、アクセス情報中継デバイスを記録媒体、例えばUSBメモリにより構成し、ネットワーク機器をPC(Personal Computer)440により構成する場合について説明する。
【0108】
例えば、Aさんの家庭には、ホームネットワーク12があり、例えば、DHCP/IPマスカレード機能つきブロードバンドルータがホームネットワーク12のゲートウエイ(GW)140となっている。
【0109】
Aさんは、遠隔に住む両親と写真を共有するために、ファイルサーバ430を置いており、このファイルサーバ430には、IPアドレス192.168.0.212が与えられている。また、GW140の外部IPアドレスは200.0.0.211である。GW140は、外部からの同IPアドレス宛のパケットに関し、ポート番号212をファイルサーバ430に転送する。
【0110】
次に、本実施例にかかるファイルサーバ430について図14を参照して説明する。
【0111】
ファイルサーバ430は、インタフェース431と、インタフェース431と接続されたアクセス情報管理部432および通信部436と、通信部436と接続された記憶部434およびネットワークIF438とを備える。
【0112】
記憶部434は、ファイル、例えば写真データを記憶する。
【0113】
通信部436は、ファイル公開リクエストを受信した場合、後述するアクセス情報管理部432におけるパスワードの検証処理の結果に基づいて、リクエスト元にリクエストされたファイルを公開する。
【0114】
アクセス情報管理部432は、ネットワークIF438を介して、GW140と通信する機能を備えており、GW140の外部IPアドレス、例えば200.0.0.211および、ファイルサーバ430に与えられた転送用ポート番号、例えば212を取得し、これを資源所在地情報として記憶する。さらに、アクセス情報管理部432は、資源の秘匿性を解除するための鍵、例えばパスワードを記憶し、PC440から送信されたパスワードを検証し、パスワードの正否を通信部436に通知する。
【0115】
インタフェース431は、例えばUSBインタフェースにより構成され、例えばアクセス情報中継機能付きUSBメモリ420に対し、アクセス情報管理部432が記憶するIPアドレス、ポート番号、パスワードを伝送する。
【0116】
次に、本実施例にかかるPC440について、図15を参照して説明する。
【0117】
PC440は、モニタ部442と、モニタ部442と接続された通信部444と、通信部444と接続されたネットワークIF446およびインタフェース448とを備える。
【0118】
インタフェース448は、例えばUSBインタフェースにより構成され、例えばアクセス情報中継機能付きUSBメモリ420からアクセス情報、例えばIPアドレス、ポート番号、パスワードを取得し、通信部444に転送する。
【0119】
通信部444は、USBメモリ経由で入力されたアクセス情報をもとに、ファイルサーバ430に対して、写真の公開リクエストを送信する。
【0120】
写真公開リクエストがファイルサーバ430により受理され、写真が配信された場合、通信部444は、ネットワークIFを介して受信された写真データをモニタ部442に入力する。モニタ部442は、入力された写真データに基づいて、写真をモニタ画面に表示する。
【0121】
次に、本実施例にかかるアクセス管理システムの動作について、具体的に説明する。
【0122】
Aさんは、ファイルサーバ430を設置後、このファイルサーバ430にアクセス情報中継機能付きUSBメモリ420を装着した((1)USBメモリ装着)。
【0123】
アクセス情報中継機能付きUSBメモリ420を検出したファイルサーバ430のアクセス情報管理部432は、ホームネットワーク(プライベートネットワーク)12のGW140と通信し、GW140が保持している、ファイルサーバ430の所在地情報を、ネットワークIF438および通信部436を介して取得する((2)資源所在地情報取得)。取得される所在地情報は、例えばIPアドレス、例えば200.0.0.211および割り当てられたポート番号、例えば212である。
【0124】
ファイルサーバ430のアクセス情報管理部432は、所在地情報およびパスワード、例えば“cats”からなるアクセス情報を、インタフェース432を介してUSBメモリ420に保存する((3)アクセス情報をメモリへ伝送)。
【0125】
次に、Aさんは、USBメモリ420を遠隔地に住む両親に送付する((4)USBメモリ送付)。
【0126】
次に、USBメモリ420を得た両親は、PC440に、USBメモリ420を装着する((5)USBメモリ装着)。
【0127】
PC440の通信部444は、インタフェース448を介してアクセス情報を取得し、ネットワークIF446を介して、ファイルサーバ430にアクセスし、公開リクエストおよびパスワードを送信する。
【0128】
ファイルサーバ430の通信部436は、ネットワークIFを介して、送信された公開リクエストを受信し、アクセス情報管理部432において、パスワードの検証が行われる。通信部436は、パスワードが正しい場合、記憶部434に記憶されたファイルから、リクエストされたファイルを公開する((6)公開リクエスト&公開)。
【0129】
こうしてAさんおよび両親は、外部入力機器からアクセス情報等を入力する手間なく、安全に写真をネットワーク上で共有することができる。
【0130】
本実施例では、ファイルサーバ430はゲートウエイ140から資源所在地情報を取得する場合について説明したが、例えばホームネットワーク12の外に存在する資源所在地解決サーバと通信することより、資源所在地情報を取得するようにしてもよい。
【0131】
資源所在地解決サーバから資源所在地情報を取得する場合の動作について、図16を参照して説明する。
【0132】
ファイルサーバ430の通信部436は、資源所在地解決サーバに所在地通知要求パケットを送信する(ステップS1602)。例えば、通信部436は、資源所在地解決サーバに対応するIPアドレス215.215.215.215、ポート番号215宛てに送信する。
【0133】
すなわち、通信部436は、送信元IPアドレスおよびポート番号が192.168.0.212および#4000、宛先IPアドレスおよびポート番号が215.215.215.215および#215、メッセージタイプが資源所在地通知要求である所在地通知要求パケットを送信する。
【0134】
ファイルサーバ430から送信された所在地通知要求パケットは、GW140に受信され、GW140は、所在地通知要求パケットの送信元IPアドレスおよびポート番号を変換し、資源所在地解決サーバに送信する(ステップS1604)。GW140は、送信先IPアドレスおよびポート番号を、自GW140の外部IPアドレスおよび割り当てられたポート番号である200.0.0.212および#212に変換する。
【0135】
すなわち、GW140は、送信元IPアドレスおよびポート番号が200.0.0.212および#212、宛先IPアドレスおよびポート番号が215.215.215.215および#215、メッセージタイプが資源所在地通知要求である所在地通知要求パケットを送信する。
【0136】
この所在地通知要求パケットを受信した資源所在地解決サーバは、パケットの送信元へ、所在地通知パケットを送信する(ステップS1606)。例えば、資源所在地解決サーバは、所在地通知要求パケットの送信元IPアドレスおよびポート番号を、所在地通知パケットの宛先IPアドレスおよび宛先ポートに設定し、データ部に、資源所在地としてパケットの宛先情報が格納された所在地通知パケットを送信する。
【0137】
すなわち、資源所在地解決サーバは、送信元IPアドレスおよびポート番号が215.215.215.215および#215、宛先IPアドレスおよびポート番号が200.0.0.212および#212、メッセージタイプが資源所在地通知、資源所在地が200.0.0.212および#212である所在地通知パケットを送信する。
【0138】
資源所在地解決サーバから送信された所在地通知パケットは、GW140に受信され、GW140は、所在地通知パケットの宛先IPアドレスおよびポート番号を変換し、ファイルサーバ430に送信する(ステップS1608)。GW140は、宛先IPアドレスおよびポート番号を、ファイルサーバ430のIPアドレスおよび割り当てられたポート番号である192.168.0.212および#4000に変換する。
【0139】
すなわち、GW140は、送信元IPアドレスおよびポート番号が215.215.215.215および#215、宛先IPアドレスおよびポート番号が192.168.0.212および#4000、メッセージタイプが資源所在地通知、資源所在地が200.0.0.212および#212である所在地通知パケットを送信する。
【0140】
ファイルサーバ430は、所在通知パケットを受信する。ファイルサーバ430は、所在通知パケットのデータ部を参照し、自身の資源所在地情報を得る。
【0141】
ファイルサーバ430は、資源所在地情報を記憶する(ステップS1610)。
【0142】
上述した実施例によれば、アクセス情報を取得するアクセス情報中継ノード(デバイス)として、セルラー移動局を用い、セルラー移動局のユーザの同一性を利用することにより、なりすましを防止した安全なアクセス権管理が可能となる。また、移動局自身の秘密鍵を利用する必要がない。
【0143】
また、アクセス情報中継ノード(デバイス)およびネットワーク機器により、アクセス情報を外部からネットワーク機器へ投入することが可能となり、資源にアクセスするネットワーク機器を小型化できる。
【0144】
本発明の実施例においては、アクセス情報管理ノードが独立して存在する場合について説明したが、必ずしも独立で存在する必要はなく、他のネットワーク機器にアクセス情報管理機能を付加する形で実現するようにしてもよい。
【産業上の利用可能性】
【0145】
本発明にかかるアクセス情報中継デバイス、ネットワーク機器、アクセス情報管理デバイス、資源管理デバイスおよびアクセス管理システムは、セルラー移動局を利用して、資源に対するアクセス権管理を行うシステムに適用できる。
【図面の簡単な説明】
【0146】
【図1】本発明の一実施例にかかるアクセス管理システムの構成を示す説明図である。
【図2】本発明の一実施例にかかるアクセス情報管理ノードの構成を示すブロック図である。
【図3】本発明の一実施例にかかるアクセス情報中継ノードの構成を示すブロック図である。
【図4】本発明の一実施例にかかるネットワーク機器の構成を示すブロック図である。
【図5】本発明の一実施例にかかる資源管理ノードの構成を示すブロック図である。
【図6】本発明の一実施例にかかるアクセス管理システムの動作を示すブロック図である。
【図7】本発明の一実施例にかかるアクセス管理システムの動作を示すシーケンス図である。
【図8】本発明の一実施例にかかるアクセス管理システムの動作を示すシーケンス図である。
【図9】本発明の一実施例にかかるアクセスIDリストを示す説明図である。
【図10】本発明の一実施例にかかるアクセス管理システムの構成を示す説明図である。
【図11】本発明の一実施例にかかる資源管理デバイスの構成を示すブロック図である。
【図12】本発明の一実施例にかかるネットワーク機器の構成を示すブロック図である。
【図13】本発明の一実施例にかかるアクセス管理システムの構成を示す説明図である。
【図14】本発明の一実施例にかかる資源管理デバイスの構成を示すブロック図である。
【図15】本発明の一実施例にかかるネットワーク機器の構成を示すブロック図である。
【図16】本発明の一実施例にかかるアクセス管理システムの動作を示すシーケンス図である。
【符号の説明】
【0147】
100、200 アクセス管理システム
【技術分野】
【0001】
本発明は、セルラー移動局を利用して、資源に対するアクセス権管理を行うアクセス情報中継デバイス、ネットワーク機器、アクセス情報管理デバイス、資源管理デバイスおよびアクセス管理システムに関する。
【背景技術】
【0002】
ネットワーク機器がネットワーク上のコンテンツサーバにアクセスし、コンテンツを取得するためには、ユーザがアクセス情報を投入するためのキーボードや液晶画面などを、ネットワーク機器に具備する必要がある。このため、ネットワーク機器は小型化が困難である。
【0003】
また、小型ではあるが十分なキーボードと画面を有しないノード(デバイス)にコンテンツを保存するには、これをコンピュータに接続することであらかじめコンピュータに保存されているコンテンツを移植することができる。
【0004】
尚、上述した背景技術のうち十分なキーボードと画面を有しないノードにコンテンツを保存する技術は、出願人が出願時点で知る限りにおいて文献公知ではない。
【0005】
また、出願人は出願時点までに本発明に関連する先行技術文献を発見することができなかった。よって、先行技術文献情報を開示していない。
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、上述した背景技術には以下の問題がある。
【0007】
ノードをコンピュータに接続することであらかじめコンピュータに保存されているコンテンツを移植する方法では、コンテンツはサーバ、コンピュータ、ノードと移動するので、特にコンテンツの容量が大きい場合、保存に時間がかかるという欠点がある。
【0008】
そこで、本発明においては、各資源へのアクセス情報を取得し、アクセス主体へ転送することができるアクセス情報中継デバイス、ネットワーク機器、アクセス情報管理デバイス、資源管理デバイスおよびアクセス管理システムを提供することを目的とする。
【課題を解決するための手段】
【0009】
上記課題を解決するため、本発明のアクセス情報中継デバイスは、資源にアクセスするための情報および資源をダウンロードするための鍵からなるアクセス情報を取得するアクセス情報取得手段と、アクセス情報を他のアクセス情報中継デバイスおよびアクセス主体の少なくとも一方に送信する通信手段とを備える。
【0010】
このように構成することにより、ネットワーク上の各資源へのアクセス情報を取得し、この取得したアクセス情報をアクセス主体に転送することができる。
【0011】
また、本発明のネットワーク機器は、資源にアクセスするための情報および資源をダウンロードするための鍵からなるアクセス情報を記憶する記憶手段と、アクセス情報に基づいて、資源にアクセスするアクセス手段と、鍵により、暗号化された資源を復号する復号化手段とを備える。
【0012】
このように構成することにより、資源へアクセスすることができる。
【0013】
また、本発明のアクセス情報管理デバイスは、資源にアクセスするための情報および資源へのアクセスの可否を示す情報のうち少なくとも一方を記憶する記憶手段と、資源にアクセスするための情報の配信要求に応じて、要求された資源にアクセスするための情報および資源をダウンロードするための鍵からなるアクセス情報を生成するアクセス情報生成手段と、生成した前記アクセス情報を送信する送信手段とを備える。
【0014】
このように構成することにより、ネットワーク上に存在する資源のアクセス情報を管理することができる。
【0015】
また、本発明の資源管理デバイスは、資源を記憶する記憶手段と、通知されたアクセス情報に基づいて、配信する資源を暗号化する暗号化手段と、暗号化された資源を配信する配信手段とを備える。
【0016】
このように構成することにより、アクセス情報に基づいて、資源を配信することができる。
【0017】
また、本発明のアクセス管理システムは、資源にアクセスするための情報および資源へのアクセスの可否を示す情報のうち少なくとも一方を記憶する記憶手段と、資源にアクセスするための情報の配信要求に応じて、要求された資源にアクセスするための情報および資源をダウンロードするための鍵からなるアクセス情報を生成するアクセス情報生成手段と、アクセス情報をアクセス主体に送信する通信手段とを備え、アクセス主体は、受信した前記アクセス情報を記憶する記憶手段と、アクセス情報に基づいて、資源にアクセスするアクセス手段と、鍵により、暗号化された資源を復号する復号化手段とを備え、資源を管理する資源管理デバイスは、資源を記憶する記憶手段と、アクセス情報管理ノードから通知されたアクセス情報に基づいて、配信する資源を暗号化する暗号化手段と、暗号化された資源を配信する配信手段とを備える。
【0018】
このように構成することにより、ネットワーク上の各資源へのアクセス情報を取得し、この取得したアクセス情報をアクセス主体に転送することができる。また、アクセス主体、例えば、ネットワーク機器は実際に資源へアクセスすることができる。
【発明の効果】
【0019】
本発明の実施例によれば、各資源へのアクセス情報を取得し、アクセス主体へ転送することができるアクセス情報中継デバイス、ネットワーク機器、アクセス情報管理デバイス、資源管理デバイスおよびアクセス管理システムを実現できる。
【発明を実施するための最良の形態】
【0020】
次に、本発明の実施例について図面を参照して説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を用い、繰り返しの説明は省略する。
【0021】
最初に、本発明の第1の実施例にかかるアクセス管理システムについて、図1を参照して説明する。
【0022】
本実施例にかかるアクセス管理システム100では、アクセス情報中継ノード(デバイス)120としての移動局はネットワーク上に存在するアクセス情報が記憶されたアクセス情報管理ノード110からアクセス情報を取得し、取得したアクセス情報を、アクセス主体となるネットワーク機器130に送信する。また、ネットワーク機器130は、受信したアクセス情報に基づき、資源にアクセスする。
【0023】
アクセス管理システム100は、アクセス情報管理ノード(デバイス)110と、アクセス情報管理ノード110と通信網10、例えばセルラーネットワーク(cellular NW)を介して接続されるアクセス情報中継ノード(デバイス)120と、アクセス情報中継ノード120と接続されるネットワーク機器130と、ネットワーク機器130と通信網12、例えばホームネットワークを介して接続されるゲートウエイ(GW)140と、ゲートウエイ140と通信網14、例えばインターネットを介して接続される資源管理ノード(デバイス)150、160および170とを備える。また、アクセス情報管理ノード110は、通信網14と接続される。
【0024】
次に、アクセス情報管理ノード110、アクセス情報中継ノード120、ネットワーク機器130および資源管理ノード150、160および170について、図2〜図5を参照して説明する。
【0025】
アクセス情報管理ノード110について、図2を参照して説明する。
【0026】
アクセス情報管理ノード110は、アクセス権判断手段としてのアクセス制御部112と、アクセス制御部112と接続された記憶部114、アクセス情報生成手段および送信手段としてのアクセス情報生成部116、更新部118および課金部119とを備える。
【0027】
アクセス制御部112は、アクセス情報中継ノード120および資源管理ノード150、160および170に対するアクセスを制御する。例えば、アクセス情報中継ノード120から、ある資源にアクセスするための情報および資源をダウンロードするためのダウンロードキー((資源の秘匿性を解除する)鍵)からなるアクセス情報の配信要求を受信した場合、後述する記憶部114に記憶されたネットワーク上に存在する資源にアクセスするための情報および各資源へのアクセスの可否を示す情報のうち少なくとも一方を参照し、アクセス情報中継ノード120にアクセス権があるか否かを判断する。その結果、アクセス権がある場合には要求された資源のアクセス情報をアクセス情報中継ノード120に配信し、アクセス権がない場合には配信要求を拒否する。ここで資源とは、ノード自体、ノードが具備する記憶媒体リーダライタ、ノードが記憶する情報である。
【0028】
また、ネットワーク上に存在する資源のアクセス情報を一元管理する。例えば、各資源へのアクセス権をアクセス情報中継ノード120に基づいて管理する。また、アクセス情報中継ノード120に加入者を認識するための情報が記憶されたモジュール、例えばSIM(Subscriber Identity Module)を備えるようにし、このモジュールに基づいて管理するようにしてもよい。
【0029】
このようにすることにより、アクセス情報中継ノード120またはアクセス情報中継ノード120に備えられた加入者を認識するための情報が記憶されたモジュールと、その所有者との同一性を利用した安全なアクセス制御が可能となる。すなわち、アクセス情報中継ノード120または加入者を認識するための情報が記憶されたモジュールが常にその所有者によって所持され、利用されるという性質を利用してアクセス制御を行うことができる。
【0030】
記憶部114はネットワーク上に存在する資源にアクセスするための情報および各資源へのアクセスの可否を示す情報のうち少なくとも一方を記憶する。例えば、図1に示すように、各資源に対するアクセス権、すなわちアクセス情報中継ノードのアクセスの可否を示す情報、各資源に対するアクセス情報などを記憶する。
【0031】
例えば、資源管理ノード150のファイルAに対しては、アクセス情報中継ノード121、122がアクセスを許可されており、アドレスは205.214.12.5、アクセスキーは“huidjf89”である。また、資源管理ノード160のサービスBに対しては、アクセス情報中継ノード120、123がアクセスを許可されており、アドレスは205.214.12.33、ポート番号は5003、アクセスキーは“uhowiru“である。また、資源管理ノード170に対しては、アクセス情報中継ノード124、125がアクセスを許可されており、アドレスは200.168.22.22、アクセスキーは“wd53hjo4“である。
【0032】
アクセス情報生成部116は、資源にアクセスするための情報および資源をダウンロードするためのダウンロードキーからなるアクセス情報を生成する。ここで、資源にアクセスするための情報とは、資源がノード、ノードが具備する記憶媒体リーダライタの場合には、IPアドレスやIPアドレスとポート番号などであり、資源が記憶された情報である場合は、資源が存在するノードのIPアドレスおよび資源を特定するためのコンテンツIDなどである。また、資源をダウンロードするためのダウンロードキーとは、資源の秘匿性を解除する鍵であり、例えば情報の送受信にパスワードなどのセキュリティ情報が必要である場合に、このセキュリティ情報である。
【0033】
更新部118は、資源管理ノード150から送信された最新の資源アクセス情報に基づいて、記憶部114に記憶されている資源のアクセス情報を更新する。更新部118を備えることにより、現在では古くて無効である資源へのアクセスを減少させることができ、無駄なアクセストラヒックの削減が可能となる。
【0034】
課金部119は、課金処理を行う。例えば、アクセス情報中継ノード120に基づいて課金処理を行う。また、アクセス情報中継ノード120に加入者を認識するための情報が記憶されたモジュール、例えばSIM(Subscriber Identity Module)を備えるようにし、この加入者を認識するための情報に基づいて課金処理を行うようにしてもよい。
【0035】
課金部119を備えることにより、これまで、有料資源を配信するノード各々が備えている課金手段をアクセス情報管理ノード110に集約できる。また、これまで1ユーザの課金情報、例えばクレジットカードの番号などは複数の資源管理ノードに登録されていたが、本実施例では1ユーザの課金情報はアクセス情報管理ノード上にのみ登録されるので、課金情報を記憶する記憶容量を削減できる。
【0036】
次に、アクセス情報中継ノード120について、図3を参照して説明する。
【0037】
アクセス情報中継ノード120は、アクセス情報取得手段としてのアクセス制御部122と、アクセス制御部122と接続された入力部124および通信部126とを備える。
【0038】
アクセス制御部122は、アクセス情報管理ノード110およびネットワーク機器130に対するアクセスを制御する。また、アクセス制御部122は、アクセス情報管理ノード110にアクセスし、資源にアクセスするための情報および資源をダウンロードするためのダウンロードキーからなるアクセス情報を取得する。入力部124は、資源のアクセス情報から要求する資源を選択する。通信部128は、例えば近距離無線通信により構成されネットワーク機器130との通信行う。例えば、要求する資源に対応するアクセス情報をネットワーク機器130に投入する。
【0039】
次に、ネットワーク機器130について、図4を参照して説明する。
【0040】
ネットワーク機器130は、制御部132と、制御部132と接続された記憶部134および復号化部136とを備える。
【0041】
制御部132は、アクセス情報中継ノード120および資源管理ノード150、160および170とのアクセスを制御する。記憶部134は、アクセス情報管理ノード110から送信されたアクセス情報を記憶する。復号化部136は、資源管理ノード150、160および170から送信された暗号化された情報を、記憶部134に記憶されたキーを用いて復号化処理を行う。
【0042】
次に、資源管理ノード150について、図5を参照して説明する。資源管理ノード160および170は、資源管理ノード150と同様の構成であるため、その説明を省略する。
【0043】
資源管理ノード150は、制御部152と、制御部152と接続された記憶部154、暗号化部156および配信部158とを備える。
【0044】
制御部152は、アクセス情報管理ノード110およびネットワーク機器130とのアクセスの制御を行う。記憶部154は、資源を記憶する。暗号化部158は、アクセス情報管理ノード110から送信されたアクセス情報に含まれるダウンロードキーを用いて暗号化処理を行う。配信部158は、暗号化された情報をネットワーク機器130に配信する。
【0045】
次に、本実施例にかかるアクセス管理システム100の動作について、図6を参照して説明する。
【0046】
ここでは、一例として資源管理ノード150、160および170を、コンテンツを管理するコンテンツサーバにより構成し、アクセス情報中継ノード120を移動局により構成し、ネットワーク機器130をポータブルプレーヤにより構成する場合について説明する。この場合、アクセス情報管理ノード110は、コンテンツサーバに記憶された楽曲の曲目情報を管理する。
【0047】
最初に、各社のコンテンツサーバ150、160および170は、通信網14、例えばインターネットを介して、アクセス情報管理ノード110にアクセスし、記憶部154に記憶された楽曲の曲目情報のリストを随時アップデートする。((1)曲目情報の更新)。
【0048】
次に、アクセス情報管理ノード110の更新部118は送信された楽曲の曲目情報に基づいて、記憶部114に記憶された曲目リストの情報を更新する。その結果、アクセス情報管理ノード上には、図6に示すように統合された曲目リストが存在する。
【0049】
このように各資源管理ノード150、160および170が、アクセス情報管理ノード110と通信し、自資源管理ノードの資源アクセス情報を通知することにより、現在では無効な(古い)アクセス情報によるアクセスを減らすことができ、無駄なアクセストラヒックの削減が可能となる。
【0050】
次に、ユーザKは、セルラー移動局120を用いて、アクセス情報管理ノード110にアクセスし、アクセス情報管理ノード110の曲目リストから購入したい曲目を選択し、要求する((2)曲目の選択とリクエスト)。
【0051】
この場合、曲目を要求した移動局120または移動局120が備える加入者を認識するための情報が記憶されたモジュールに、要求資源へのアクセス権がない場合、曲目を要求した移動局120または移動局120が備える加入者を認識するための情報が記憶されたモジュールに対して課金処理を行うことによりアクセス権を与えるようにしてもよい。
【0052】
ここでは、B社コンテンツサーバ160(IPアドレス:205.214.12.5)上の楽曲「AAA」が選択される場合について説明する。
【0053】
次に、アクセス情報管理ノード110の課金部119は、選択された曲目に応じて、ユーザKに対して課金処理を行う((3))課金処理)。ここでは、曲目「AAA」に対して、200円の課金処理を行う。
【0054】
例えば、課金部119は、移動局120の所有者に対する課金処理を行ようにしてもよいし、また、移動局120に加入者を認識するための情報が記憶されたモジュール、例えばSIM(Subscriber Identity Module)を備え、この加入者を認識するための情報に基づいて課金処理を行うようにしてもよい。
【0055】
次に、アクセス情報管理ノード110のアクセス情報生成部116は、アクセスするための情報を示す要求識別番号としてのリクエストIDと、ワンタイムパスワード、ワンタイム共通鍵としてのダウンロードキーを発行する。また、アクセス情報生成部116は、B社コンテンツサーバ160のIPアドレスとともに、リクエストIDとダウンロードキーをアクセス情報として、移動局120に送信する((4)アクセス情報の配信)。
【0056】
ここで、アクセス情報管理ノード110にセルラーシステムに直結するインタフェースを備え、アクセス情報配信要求の受信およびアクセス情報配信のうち少なくとも一方に、そのインタフェースを用いて送信するようにしてもよい。このようにすることにより、盗聴不可能なアクセス情報の配信が可能となる。
【0057】
アクセス情報を受信すると、移動局120の通信部126は、受信したアクセス情報をポータブルプレーヤに送信する。例えば、ユーザKは、移動局120を操作し、赤外線インタフェースを利用して、送信されたアクセス情報を、ポータブルプレーヤ130に投入する。このように、移動局120とネットワーク機器130との間の通信を近距離無線通信により行うことにより、有線を用いる場合と比較して配線の必要がなく、アクセス情報をいち早く投入することができる。アクセス情報は配信後変化する可能性があるため、アクセス情報をいち早く投入できることにより、アクセス情報が期限切れとなる件数を減らすことができ、ネットワーク上を流れるアクセストラヒックを削減することができる。ポータブルプレーヤ130は、受信したアクセス情報を記憶部134に記憶する。
【0058】
一方、アクセス情報管理ノード110のアクセス情報生成部116は、生成したリクエストIDとダウンロードキー、およびユーザKが選択した曲のタイトルをB社コンテンツサーバ160に通知する((6)配信したアクセス情報)。B社コンテンツサーバ160は、受信したリクエストIDとダウンロードキー、およびユーザKが選択した曲のタイトルを示す情報を記憶部154に記憶する。
【0059】
次に、ユーザKはポータブルプレーヤ130を操作し、GW140を介して、B社コンテンツサーバ160にアクセスし、楽曲「AAA」をダウンロードすることにより入手する((7)楽曲のダウンロード)。
【0060】
次に、楽曲のダウンロード処理について、図7を参照して説明する。
【0061】
最初に、ポータブルプレーヤ160の制御部132は、リクエストIDをB社コンテンツサーバ160に送信する。ここでは、リクエストIDとして“22520”が送信される。
【0062】
リクエストIDがB社コンテンツサーバ160に受信されると、暗号化部156はリクエストIDに対応する楽曲「AAA」をダウンロードキー、ここでは“shu467ef”で暗号化し配信部158に入力する。配信部158は、暗号化された楽曲「AAA」をポータブルプレーヤ130に送信する。
【0063】
暗号化された楽曲「AAA」がポータブルプレーヤ130に受信されると、復号化部136は、記憶部134に記憶されたダウンロードキーを用いて、暗号化された楽曲を復号化する。
【0064】
このように、資源管理ノードがアクセス情報管理ノードから通知されたアクセス情報に基づいて資源を配信することにより、リトライアタックを防止する資源の配信が可能となる。
【0065】
また、この場合、アクセス情報は、アクセス情報管理ノード、アクセス情報中継ノード、ネットワーク機器と送信されるが、アクセス情報は資源に比較してその容量が十分小さいため、ネットワーク機器のコンテンツ取得時間への影響は小さい。
【0066】
次に、本実施例にかかる他のアクセス管理システム200の動作について、図8および図9を参照して説明する。
【0067】
ここでは、一例として資源管理ノード150、160および170を、監視カメラ250、AVサーバ260および冷蔵庫170により構成し、アクセス情報中継ノード120を移動局により構成し、ネットワーク機器130をモニタ230により構成する場合について説明する。この場合、アクセス情報管理ノード110は、図9に示すように監視カメラ250、AVサーバ260および冷蔵庫170のIPアドレスおよびポート番号の情報を、アドレスIDリストとして記憶し、管理する。
【0068】
ユーザが、自宅に設置した監視カメラの画像を確認する場合について説明する。
【0069】
ユーザは、インタネット・サービス・プロバイダ(ISP)にインターネット接続契約をしており、自宅に設置したルータ220にはグローバルIPが与えられている。また、ルータ220は、ホームネットワーク内の各ネットワーク機器、すなわち、監視カメラ250、AVサーバ260および冷蔵庫270に対し、固有のポート番号を割り当てている。このため、外部からホームネットワーク内のネットワーク機器にアクセスする場合は、ルータがISPから与えられたグローバルIPアドレスとネットワーク機器固有のポート番号を指定する。
【0070】
最初に、ユーザは、通信網、例えばCellular NWを介して、移動局120から自宅のアクセス情報管理ノード110に発呼し(電話番号はあらかじめ知っているものとする)、記憶部114に記憶されているアクセスIDリストをリクエストする((1)アクセスIDリスト)。
【0071】
アクセス情報管理ノード110のアクセス制御部112は、移動局120から送信されたリクエストに対し、ホームネットワーク内の監視カメラ250、AVサーバ260および冷蔵庫270などの家電製品のアクセスIDリストを移動局120に返信する。
【0072】
ここで、アクセス情報管理ノード110にセルラーシステムに直結するインタフェースを備え、アクセス情報配信要求の受信およびアクセス情報配信のうち少なくとも一方に、そのインタフェースを用いるようにしてもよい。このようにすることにより、盗聴不可能なアクセス情報配信が可能となる。
【0073】
次に、ユーザは、移動局120の入力部124を操作することにより、アクセスIDリストの中から監視カメラ250を選択し、監視カメラ250のアクセスIDをモニタ230に、通信部126、例えば赤外線インタフェースを通じて投入する。
【0074】
次に、ユーザは、モニタ230に転送されたアクセスIDを用いて、モニタ230から監視カメラ250にアクセスし、監視カメラ250の画像をモニタする。
【0075】
本実施例においては、アクセス情報管理ノードが独立して存在する場合について説明したが、アクセス情報管理機能として、アクセス情報中継ノード120に内蔵するようにしてもよい。例えば、cellular data cardとして、移動局に内蔵する。
【0076】
次に、本発明の第2の実施例にかかるアクセス管理システムについて、図10を参照して説明する。
【0077】
ここでは、一例として資源管理デバイスをカメラ280により構成し、アクセス情報中継デバイス120を非接触ICカード、例えばFeliCaを備えた移動局320(3201および3202)により構成し、ネットワーク機器130を受像機330(3301および3302)により構成する場合について説明する。
【0078】
例えば、Aさんの家庭には、ネットワークに接続され、制御コマンドを受信することでカメラの操作ができるネットワークカメラ280があり、このカメラ280は外部からの要求によって、映像を配信する。ただし、配信要求時に正しいパスワード送信してこないユーザに対しては映像の配信は行なわれない。
【0079】
また、Aさんの会社のデスクにはネットワーク受像機3301が備えられている。このネットワーク受像機3301はネットワークを介して、映像を受信できる。この場合、ネットワーク受像機3301は、カメラ280に映像配信要求を行う。
【0080】
また、同型のネットワーク受像機は、Aさんの親友のBさんの会社デスクにもある。
【0081】
本実施例にかかるカメラ280について、図11を参照して説明する。
【0082】
カメラ280は、撮影部281と、撮影部281と接続されたエンコーダ部282と、エンコーダ部282と接続された通信部283と、通信部283と接続されたネットワークIF284、アクセス情報管理部288および非接触ICカードインタフェース286とを備える。
【0083】
撮影部281は対象を撮影し、撮影された静止画像または動画像をエンコーダ部282に入力する。エンコーダ部282は、入力された静止画像または動画像をエンコードし、通信部283に入力する。
【0084】
通信部283は、画像の配信リクエストを受信した場合、後述するアクセス情報管理部288によるパスワード検証処理の結果に基づいて、リクエスト元に映像を送信する。
【0085】
アクセス情報管理部288は、DHCP(dynamic host configuration protocol)クライアント機能を備え、カメラ自身のIPアドレスを取得し記憶する。また、アクセス情報管理部288は、認証用パスワードを記憶し、受像機330から送信されたパスワードを検証し、パスワードの正否を通信部283に通知する。
【0086】
非接触ICカードインタフェース286は、例えばFeliCaインタフェースを備え、アクセス情報管理部288が記憶するカメラ自身のIPアドレスとパスワードとを外部デバイス、例えば移動局320に伝送する。
【0087】
次に、本実施例にかかる受像機330について、図12を参照して説明する。
【0088】
受像機330は、モニタ部331と、モニタ331と接続されたデコーダ部332と、デコーダ部332と接続された通信部334と、通信部334と接続されたネットワークIF336および非接触ICカードインタフェース338とを備える。
【0089】
通信部334は、非接触ICカードインタフェース338、例えばFeliCaインタフェース経由で受信した、アクセス情報、例えばIPアドレス、パスワードをもとに、ネットワークカメラ280に対し、ネットワークIF336を介して配信リクエストを送信する。
【0090】
配信リクエストがカメラにより受理され、映像データが配信された場合、通信部334は、映像データをネットワークIF336を介して受信し、受信した映像データをデコーダ部332に入力する。
【0091】
デコーダ部332は、入力された映像データ(デジタルデータ)をデコードし、モニタ部331に入力する。モニタ部331はデコードされた静止画像または動画像を表示する。
【0092】
次に、本実施例にかかるアクセス管理システムの動作について、具体的に説明する。
【0093】
Aさんは出社前に、アクセス情報中継デバイスとしての携帯端末3201を取り出し、携帯端末3201に備えられた非接触ICカード、例えばFeliCaを使用し、ネットワークカメラ280のIPアドレスとパスワードとからなるアクセス情報を取得する((1)アクセス情報(IPアドレスとパスワード)の取得)。
【0094】
例えば、アクセス制御部122は、通信部126に備えられた近距離無線通信機能によりアクセス情報を取得する。
【0095】
カメラ280は、アクセス情報を与える際に、特にAさんの本人確認をしなくとも、カメラ280の設置場所がAさんの家庭内にある限り、不特定の第三者にアクセス情報が漏れる可能性は少ない。
【0096】
Aさんは昼休みに、会社デスク上のネットワーク受像機3301に、携帯端末3201に備えられた非接触ICカードインタフェースを用いて、アクセス情報を投入する((2)アクセス情報の投入)。例えば、アクセス制御部122は、通信部126に備えられた近距離無線通信機能および1対1の直接通信機能のうちの一方によりアクセス情報を投入する。
【0097】
受像機3301は、非接触ICカードインタフェース338を介して、アクセス情報を取得する。通信部334は、入力されたアクセス情報にしたがってカメラ280にアクセスし、配信リクエストおよびパスワードを送信する。
【0098】
カメラ280の通信部280は、受像機3301から送信された配信リクエストおよびパスワードを、ネットワークIF284を介して受信し、アクセス情報管理部288に入力する。アクセス情報管理部288はパスワードの検証を行い、パスワードが正しい場合、配信を許可することを示す情報を通信部283に入力する。通信部283は、入力された配信を許可することを示す情報に基づいて、配信を行う。配信されたデータは、受像機3301において、ネットワークIF336を介して、通信部334に受信され、デコーダ部332においてデコードされ、モニタ部331に入力される。その結果、モニタ部331には、カメラ280が写す映像が表示される。
【0099】
こうしてAさんは、大きな外部入力機器を持たないカメラ280、受像機3301を用いて、例えば家庭に置いてきた飼い猫の姿を確認することができる。
【0100】
やがて、Aさんは親友のBさんに飼い猫の自慢をしたくなり、Bさんにもカメラ280にアクセスさせることにした。Aさんは、携帯端末3201の入力部124を操作することにより、アクセス制御部122に、通信部126に備えられた近距離無線通信機能および1対1の直接通信機能のうちの一方によりアクセス情報を投入させる。この場合、Aさんは携帯端末3201の電子メールにアクセス情報を載せてBさんの携帯端末3202に送信する((3)アクセス情報の転送)。
【0101】
この場合、Aさんの送信した電子メールは、セルラーネットワーク10を介して、Bさんの携帯端末3202に送信される。
【0102】
Aさんが送信した電子メールを受信したBさんは、携帯端末3202に備えられた非接触ICカードを使用し、受像機3302の非接触ICカードインターフェース338に、アクセス情報、例えばIPアドレス、パスワードを投入する。
【0103】
受像機3302の通信部334は、入力されたアクセス情報したがって、カメラ280にアクセスし、リクエスト送信を行う。その後、上述したようにパスワードの検証などが行われ、受像機3302のモニタ部331に、カメラ280が写す映像が表示される。
【0104】
こうして、AさんとBさんは、Aさんの飼い猫の姿を楽しむことができる。
【0105】
本実施例によれば、カメラ280や受像機330にアクセス情報などを投入するための大きな入力装置は不必要である。しかも、アクセス情報は非接触ICカード、例えばFeliCaの近距離通信機能、携帯端末網のみを用いて伝送されるため、第三者に漏洩する可能性は低く、安全かつ簡単な資源共有が実現される。
【0106】
次に、本発明の第3の実施例にかかるアクセス管理システムについて、図13を参照して説明する。
【0107】
ここでは、一例として資源管理デバイスをファイルサーバ430により構成し、アクセス情報中継デバイスを記録媒体、例えばUSBメモリにより構成し、ネットワーク機器をPC(Personal Computer)440により構成する場合について説明する。
【0108】
例えば、Aさんの家庭には、ホームネットワーク12があり、例えば、DHCP/IPマスカレード機能つきブロードバンドルータがホームネットワーク12のゲートウエイ(GW)140となっている。
【0109】
Aさんは、遠隔に住む両親と写真を共有するために、ファイルサーバ430を置いており、このファイルサーバ430には、IPアドレス192.168.0.212が与えられている。また、GW140の外部IPアドレスは200.0.0.211である。GW140は、外部からの同IPアドレス宛のパケットに関し、ポート番号212をファイルサーバ430に転送する。
【0110】
次に、本実施例にかかるファイルサーバ430について図14を参照して説明する。
【0111】
ファイルサーバ430は、インタフェース431と、インタフェース431と接続されたアクセス情報管理部432および通信部436と、通信部436と接続された記憶部434およびネットワークIF438とを備える。
【0112】
記憶部434は、ファイル、例えば写真データを記憶する。
【0113】
通信部436は、ファイル公開リクエストを受信した場合、後述するアクセス情報管理部432におけるパスワードの検証処理の結果に基づいて、リクエスト元にリクエストされたファイルを公開する。
【0114】
アクセス情報管理部432は、ネットワークIF438を介して、GW140と通信する機能を備えており、GW140の外部IPアドレス、例えば200.0.0.211および、ファイルサーバ430に与えられた転送用ポート番号、例えば212を取得し、これを資源所在地情報として記憶する。さらに、アクセス情報管理部432は、資源の秘匿性を解除するための鍵、例えばパスワードを記憶し、PC440から送信されたパスワードを検証し、パスワードの正否を通信部436に通知する。
【0115】
インタフェース431は、例えばUSBインタフェースにより構成され、例えばアクセス情報中継機能付きUSBメモリ420に対し、アクセス情報管理部432が記憶するIPアドレス、ポート番号、パスワードを伝送する。
【0116】
次に、本実施例にかかるPC440について、図15を参照して説明する。
【0117】
PC440は、モニタ部442と、モニタ部442と接続された通信部444と、通信部444と接続されたネットワークIF446およびインタフェース448とを備える。
【0118】
インタフェース448は、例えばUSBインタフェースにより構成され、例えばアクセス情報中継機能付きUSBメモリ420からアクセス情報、例えばIPアドレス、ポート番号、パスワードを取得し、通信部444に転送する。
【0119】
通信部444は、USBメモリ経由で入力されたアクセス情報をもとに、ファイルサーバ430に対して、写真の公開リクエストを送信する。
【0120】
写真公開リクエストがファイルサーバ430により受理され、写真が配信された場合、通信部444は、ネットワークIFを介して受信された写真データをモニタ部442に入力する。モニタ部442は、入力された写真データに基づいて、写真をモニタ画面に表示する。
【0121】
次に、本実施例にかかるアクセス管理システムの動作について、具体的に説明する。
【0122】
Aさんは、ファイルサーバ430を設置後、このファイルサーバ430にアクセス情報中継機能付きUSBメモリ420を装着した((1)USBメモリ装着)。
【0123】
アクセス情報中継機能付きUSBメモリ420を検出したファイルサーバ430のアクセス情報管理部432は、ホームネットワーク(プライベートネットワーク)12のGW140と通信し、GW140が保持している、ファイルサーバ430の所在地情報を、ネットワークIF438および通信部436を介して取得する((2)資源所在地情報取得)。取得される所在地情報は、例えばIPアドレス、例えば200.0.0.211および割り当てられたポート番号、例えば212である。
【0124】
ファイルサーバ430のアクセス情報管理部432は、所在地情報およびパスワード、例えば“cats”からなるアクセス情報を、インタフェース432を介してUSBメモリ420に保存する((3)アクセス情報をメモリへ伝送)。
【0125】
次に、Aさんは、USBメモリ420を遠隔地に住む両親に送付する((4)USBメモリ送付)。
【0126】
次に、USBメモリ420を得た両親は、PC440に、USBメモリ420を装着する((5)USBメモリ装着)。
【0127】
PC440の通信部444は、インタフェース448を介してアクセス情報を取得し、ネットワークIF446を介して、ファイルサーバ430にアクセスし、公開リクエストおよびパスワードを送信する。
【0128】
ファイルサーバ430の通信部436は、ネットワークIFを介して、送信された公開リクエストを受信し、アクセス情報管理部432において、パスワードの検証が行われる。通信部436は、パスワードが正しい場合、記憶部434に記憶されたファイルから、リクエストされたファイルを公開する((6)公開リクエスト&公開)。
【0129】
こうしてAさんおよび両親は、外部入力機器からアクセス情報等を入力する手間なく、安全に写真をネットワーク上で共有することができる。
【0130】
本実施例では、ファイルサーバ430はゲートウエイ140から資源所在地情報を取得する場合について説明したが、例えばホームネットワーク12の外に存在する資源所在地解決サーバと通信することより、資源所在地情報を取得するようにしてもよい。
【0131】
資源所在地解決サーバから資源所在地情報を取得する場合の動作について、図16を参照して説明する。
【0132】
ファイルサーバ430の通信部436は、資源所在地解決サーバに所在地通知要求パケットを送信する(ステップS1602)。例えば、通信部436は、資源所在地解決サーバに対応するIPアドレス215.215.215.215、ポート番号215宛てに送信する。
【0133】
すなわち、通信部436は、送信元IPアドレスおよびポート番号が192.168.0.212および#4000、宛先IPアドレスおよびポート番号が215.215.215.215および#215、メッセージタイプが資源所在地通知要求である所在地通知要求パケットを送信する。
【0134】
ファイルサーバ430から送信された所在地通知要求パケットは、GW140に受信され、GW140は、所在地通知要求パケットの送信元IPアドレスおよびポート番号を変換し、資源所在地解決サーバに送信する(ステップS1604)。GW140は、送信先IPアドレスおよびポート番号を、自GW140の外部IPアドレスおよび割り当てられたポート番号である200.0.0.212および#212に変換する。
【0135】
すなわち、GW140は、送信元IPアドレスおよびポート番号が200.0.0.212および#212、宛先IPアドレスおよびポート番号が215.215.215.215および#215、メッセージタイプが資源所在地通知要求である所在地通知要求パケットを送信する。
【0136】
この所在地通知要求パケットを受信した資源所在地解決サーバは、パケットの送信元へ、所在地通知パケットを送信する(ステップS1606)。例えば、資源所在地解決サーバは、所在地通知要求パケットの送信元IPアドレスおよびポート番号を、所在地通知パケットの宛先IPアドレスおよび宛先ポートに設定し、データ部に、資源所在地としてパケットの宛先情報が格納された所在地通知パケットを送信する。
【0137】
すなわち、資源所在地解決サーバは、送信元IPアドレスおよびポート番号が215.215.215.215および#215、宛先IPアドレスおよびポート番号が200.0.0.212および#212、メッセージタイプが資源所在地通知、資源所在地が200.0.0.212および#212である所在地通知パケットを送信する。
【0138】
資源所在地解決サーバから送信された所在地通知パケットは、GW140に受信され、GW140は、所在地通知パケットの宛先IPアドレスおよびポート番号を変換し、ファイルサーバ430に送信する(ステップS1608)。GW140は、宛先IPアドレスおよびポート番号を、ファイルサーバ430のIPアドレスおよび割り当てられたポート番号である192.168.0.212および#4000に変換する。
【0139】
すなわち、GW140は、送信元IPアドレスおよびポート番号が215.215.215.215および#215、宛先IPアドレスおよびポート番号が192.168.0.212および#4000、メッセージタイプが資源所在地通知、資源所在地が200.0.0.212および#212である所在地通知パケットを送信する。
【0140】
ファイルサーバ430は、所在通知パケットを受信する。ファイルサーバ430は、所在通知パケットのデータ部を参照し、自身の資源所在地情報を得る。
【0141】
ファイルサーバ430は、資源所在地情報を記憶する(ステップS1610)。
【0142】
上述した実施例によれば、アクセス情報を取得するアクセス情報中継ノード(デバイス)として、セルラー移動局を用い、セルラー移動局のユーザの同一性を利用することにより、なりすましを防止した安全なアクセス権管理が可能となる。また、移動局自身の秘密鍵を利用する必要がない。
【0143】
また、アクセス情報中継ノード(デバイス)およびネットワーク機器により、アクセス情報を外部からネットワーク機器へ投入することが可能となり、資源にアクセスするネットワーク機器を小型化できる。
【0144】
本発明の実施例においては、アクセス情報管理ノードが独立して存在する場合について説明したが、必ずしも独立で存在する必要はなく、他のネットワーク機器にアクセス情報管理機能を付加する形で実現するようにしてもよい。
【産業上の利用可能性】
【0145】
本発明にかかるアクセス情報中継デバイス、ネットワーク機器、アクセス情報管理デバイス、資源管理デバイスおよびアクセス管理システムは、セルラー移動局を利用して、資源に対するアクセス権管理を行うシステムに適用できる。
【図面の簡単な説明】
【0146】
【図1】本発明の一実施例にかかるアクセス管理システムの構成を示す説明図である。
【図2】本発明の一実施例にかかるアクセス情報管理ノードの構成を示すブロック図である。
【図3】本発明の一実施例にかかるアクセス情報中継ノードの構成を示すブロック図である。
【図4】本発明の一実施例にかかるネットワーク機器の構成を示すブロック図である。
【図5】本発明の一実施例にかかる資源管理ノードの構成を示すブロック図である。
【図6】本発明の一実施例にかかるアクセス管理システムの動作を示すブロック図である。
【図7】本発明の一実施例にかかるアクセス管理システムの動作を示すシーケンス図である。
【図8】本発明の一実施例にかかるアクセス管理システムの動作を示すシーケンス図である。
【図9】本発明の一実施例にかかるアクセスIDリストを示す説明図である。
【図10】本発明の一実施例にかかるアクセス管理システムの構成を示す説明図である。
【図11】本発明の一実施例にかかる資源管理デバイスの構成を示すブロック図である。
【図12】本発明の一実施例にかかるネットワーク機器の構成を示すブロック図である。
【図13】本発明の一実施例にかかるアクセス管理システムの構成を示す説明図である。
【図14】本発明の一実施例にかかる資源管理デバイスの構成を示すブロック図である。
【図15】本発明の一実施例にかかるネットワーク機器の構成を示すブロック図である。
【図16】本発明の一実施例にかかるアクセス管理システムの動作を示すシーケンス図である。
【符号の説明】
【0147】
100、200 アクセス管理システム
【特許請求の範囲】
【請求項1】
資源にアクセスするための情報および資源をダウンロードするための鍵からなるアクセス情報を取得するアクセス情報取得手段;
前記アクセス情報を他のアクセス情報中継デバイスおよびアクセス主体の少なくとも一方に送信する通信手段;
を備えることを特徴とするアクセス情報中継デバイス。
【請求項2】
請求項1に記載のアクセス情報中継デバイスにおいて:
前記アクセス情報取得手段は、アクセス情報として、資源の所在地を示す資源所在地情報を取得することを特徴とするアクセス情報中継デバイス。
【請求項3】
請求項1または2に記載のアクセス情報中継デバイスにおいて:
前記アクセス情報取得手段は、近距離無線通信により、前記アクセス情報を取得することを特徴とするアクセス情報中継デバイス。
【請求項4】
請求項1ないし3のいずれか1項に記載のアクセス情報中継デバイスにおいて:
前記通信手段は、近距離無線通信により、前記アクセス情報を他のアクセス情報中継デバイスおよびアクセス主体の少なくとも一方に送信することを特徴とするアクセス情報中継デバイス。
【請求項5】
資源にアクセスするための情報および資源をダウンロードするための鍵からなるアクセス情報を記憶する記憶手段;
前記アクセス情報に基づいて、前記資源にアクセスするアクセス手段;
前記鍵により、暗号化された資源を復号する復号化手段;
を備えることを特徴とするネットワーク機器。
【請求項6】
請求項5に記載のネットワーク機器において:
前記アクセス情報を前記アクセス情報中継デバイスから受信する受信手段;
を備えることを特徴とするネットワーク機器。
【請求項7】
請求項6に記載のネットワーク機器において:
前記受信手段は、アクセス情報として、資源の所在地を示す資源所在地情報を受信することを特徴とするネットワーク機器。
【請求項8】
資源にアクセスするための情報および前記資源へのアクセスの可否を示す情報のうち少なくとも一方を記憶する記憶手段;
資源にアクセスするための情報の配信要求に応じて、要求された資源にアクセスするための情報および資源をダウンロードするための鍵からなるアクセス情報を生成するアクセス情報生成手段;
生成した前記アクセス情報を送信する送信手段;
を備えることを特徴とするアクセス情報管理デバイス。
【請求項9】
請求項8に記載のアクセス情報管理デバイスにおいて:
アクセス情報中継デバイスおよびアクセス情報中継デバイスに内蔵された加入者を認識するための情報が記憶されたモジュールの一方に基づいて、要求された資源へのアクセスの可否を判断するアクセス権判断手段;
を備え、
前記アクセス情報生成手段は、アクセスの可否に基づいて、アクセス情報を生成することを特徴とするアクセス情報管理デバイス。
【請求項10】
請求項8または9に記載のアクセス情報管理デバイスにおいて:
前記アクセス情報中継デバイスおよび前記アクセス情報中継デバイスに内蔵された加入者を認識するための情報が記憶されたモジュールの一方に対して、アクセス情報に対する課金をおこなう課金手段;
を備えることを特徴とするアクセス情報管理デバイス。
【請求項11】
請求項10に記載のアクセス情報管理デバイスにおいて:
前記課金手段は、前記アクセス情報中継デバイスおよび前記アクセス情報中継デバイスに内蔵された加入者を認識するための情報が記憶されたモジュールの一方が要求された資源へのアクセス権を有しない場合、アクセス権の要求に基づいて課金を行い、
前記アクセス情報生成手段は、前記課金に基づいて、アクセス情報を生成することを特徴とするアクセス情報管理デバイス。
【請求項12】
請求項8ないし11のいずれか1項に記載のアクセス情報管理デバイスにおいて:
前記アクセス情報中継デバイスに直結するインタフェース;
を備えることを特徴とするアクセス情報管理デバイス。
【請求項13】
請求項8ないし12のいずれか1項に記載のアクセス情報管理デバイスにおいて:
前記送信手段は、前記資源を管理する資源管理デバイスに、生成したアクセス情報を送信することを特徴とするアクセス情報管理デバイス。
【請求項14】
請求項8いし13のいずれか1項に記載のアクセス情報管理デバイスにおいて:
資源にアクセスするための情報および前記資源へのアクセスの可否を示す情報のうち少なくとも一方を、受信したアクセス情報に基づいて更新する更新手段;
を備えることを特徴とするアクセス情報管理デバイス。
【請求項15】
資源を記憶する記憶手段;
通知されたアクセス情報に基づいて、配信する資源を暗号化する暗号化手段;
暗号化された資源を配信する配信手段;
を備えることを特徴とする資源管理デバイス。
【請求項16】
請求項15に記載の資源管理デバイスにおいて:
前記配信手段は、アクセス情報管理デバイスに、資源にアクセスするための情報を通知することを特徴とする資源管理デバイス。
【請求項17】
請求項15または16に記載の資源管理デバイスにおいて:
資源にアクセスするための情報を記憶する記憶手段;
前記資源にアクセスするための情報を、アクセス情報中継デバイスに通知するアクセス情報通知手段;
を備えることを特徴とする資源管理デバイス。
【請求項18】
請求項17に記載の資源管理デバイスにおいて:
前記アクセス情報通知手段は、資源の所在地を示す資源所在地情報を、アクセス情報中継デバイスに通知することを特徴とする資源管理デバイス。
【請求項19】
資源にアクセスするための情報および前記資源へのアクセスの可否を示す情報のうち少なくとも一方を記憶する記憶手段;
資源にアクセスするための情報の配信要求に応じて、要求された資源にアクセスするための情報および資源をダウンロードするための鍵からなるアクセス情報を生成するアクセス情報生成手段;
前記アクセス情報をアクセス主体に送信する通信手段;
を備え、
前記アクセス主体は、
受信した前記アクセス情報を記憶する記憶手段;
前記アクセス情報に基づいて、前記資源にアクセスするアクセス手段;
前記鍵により、暗号化された資源を復号する復号化手段;
を備え、
前記資源を管理する資源管理デバイスは、
前記資源を記憶する記憶手段;
アクセス情報管理ノードから通知されたアクセス情報に基づいて、配信する資源を暗号化する暗号化手段;
暗号化された資源を配信する配信手段;
を備えることを特徴とするアクセス管理システム。
【請求項1】
資源にアクセスするための情報および資源をダウンロードするための鍵からなるアクセス情報を取得するアクセス情報取得手段;
前記アクセス情報を他のアクセス情報中継デバイスおよびアクセス主体の少なくとも一方に送信する通信手段;
を備えることを特徴とするアクセス情報中継デバイス。
【請求項2】
請求項1に記載のアクセス情報中継デバイスにおいて:
前記アクセス情報取得手段は、アクセス情報として、資源の所在地を示す資源所在地情報を取得することを特徴とするアクセス情報中継デバイス。
【請求項3】
請求項1または2に記載のアクセス情報中継デバイスにおいて:
前記アクセス情報取得手段は、近距離無線通信により、前記アクセス情報を取得することを特徴とするアクセス情報中継デバイス。
【請求項4】
請求項1ないし3のいずれか1項に記載のアクセス情報中継デバイスにおいて:
前記通信手段は、近距離無線通信により、前記アクセス情報を他のアクセス情報中継デバイスおよびアクセス主体の少なくとも一方に送信することを特徴とするアクセス情報中継デバイス。
【請求項5】
資源にアクセスするための情報および資源をダウンロードするための鍵からなるアクセス情報を記憶する記憶手段;
前記アクセス情報に基づいて、前記資源にアクセスするアクセス手段;
前記鍵により、暗号化された資源を復号する復号化手段;
を備えることを特徴とするネットワーク機器。
【請求項6】
請求項5に記載のネットワーク機器において:
前記アクセス情報を前記アクセス情報中継デバイスから受信する受信手段;
を備えることを特徴とするネットワーク機器。
【請求項7】
請求項6に記載のネットワーク機器において:
前記受信手段は、アクセス情報として、資源の所在地を示す資源所在地情報を受信することを特徴とするネットワーク機器。
【請求項8】
資源にアクセスするための情報および前記資源へのアクセスの可否を示す情報のうち少なくとも一方を記憶する記憶手段;
資源にアクセスするための情報の配信要求に応じて、要求された資源にアクセスするための情報および資源をダウンロードするための鍵からなるアクセス情報を生成するアクセス情報生成手段;
生成した前記アクセス情報を送信する送信手段;
を備えることを特徴とするアクセス情報管理デバイス。
【請求項9】
請求項8に記載のアクセス情報管理デバイスにおいて:
アクセス情報中継デバイスおよびアクセス情報中継デバイスに内蔵された加入者を認識するための情報が記憶されたモジュールの一方に基づいて、要求された資源へのアクセスの可否を判断するアクセス権判断手段;
を備え、
前記アクセス情報生成手段は、アクセスの可否に基づいて、アクセス情報を生成することを特徴とするアクセス情報管理デバイス。
【請求項10】
請求項8または9に記載のアクセス情報管理デバイスにおいて:
前記アクセス情報中継デバイスおよび前記アクセス情報中継デバイスに内蔵された加入者を認識するための情報が記憶されたモジュールの一方に対して、アクセス情報に対する課金をおこなう課金手段;
を備えることを特徴とするアクセス情報管理デバイス。
【請求項11】
請求項10に記載のアクセス情報管理デバイスにおいて:
前記課金手段は、前記アクセス情報中継デバイスおよび前記アクセス情報中継デバイスに内蔵された加入者を認識するための情報が記憶されたモジュールの一方が要求された資源へのアクセス権を有しない場合、アクセス権の要求に基づいて課金を行い、
前記アクセス情報生成手段は、前記課金に基づいて、アクセス情報を生成することを特徴とするアクセス情報管理デバイス。
【請求項12】
請求項8ないし11のいずれか1項に記載のアクセス情報管理デバイスにおいて:
前記アクセス情報中継デバイスに直結するインタフェース;
を備えることを特徴とするアクセス情報管理デバイス。
【請求項13】
請求項8ないし12のいずれか1項に記載のアクセス情報管理デバイスにおいて:
前記送信手段は、前記資源を管理する資源管理デバイスに、生成したアクセス情報を送信することを特徴とするアクセス情報管理デバイス。
【請求項14】
請求項8いし13のいずれか1項に記載のアクセス情報管理デバイスにおいて:
資源にアクセスするための情報および前記資源へのアクセスの可否を示す情報のうち少なくとも一方を、受信したアクセス情報に基づいて更新する更新手段;
を備えることを特徴とするアクセス情報管理デバイス。
【請求項15】
資源を記憶する記憶手段;
通知されたアクセス情報に基づいて、配信する資源を暗号化する暗号化手段;
暗号化された資源を配信する配信手段;
を備えることを特徴とする資源管理デバイス。
【請求項16】
請求項15に記載の資源管理デバイスにおいて:
前記配信手段は、アクセス情報管理デバイスに、資源にアクセスするための情報を通知することを特徴とする資源管理デバイス。
【請求項17】
請求項15または16に記載の資源管理デバイスにおいて:
資源にアクセスするための情報を記憶する記憶手段;
前記資源にアクセスするための情報を、アクセス情報中継デバイスに通知するアクセス情報通知手段;
を備えることを特徴とする資源管理デバイス。
【請求項18】
請求項17に記載の資源管理デバイスにおいて:
前記アクセス情報通知手段は、資源の所在地を示す資源所在地情報を、アクセス情報中継デバイスに通知することを特徴とする資源管理デバイス。
【請求項19】
資源にアクセスするための情報および前記資源へのアクセスの可否を示す情報のうち少なくとも一方を記憶する記憶手段;
資源にアクセスするための情報の配信要求に応じて、要求された資源にアクセスするための情報および資源をダウンロードするための鍵からなるアクセス情報を生成するアクセス情報生成手段;
前記アクセス情報をアクセス主体に送信する通信手段;
を備え、
前記アクセス主体は、
受信した前記アクセス情報を記憶する記憶手段;
前記アクセス情報に基づいて、前記資源にアクセスするアクセス手段;
前記鍵により、暗号化された資源を復号する復号化手段;
を備え、
前記資源を管理する資源管理デバイスは、
前記資源を記憶する記憶手段;
アクセス情報管理ノードから通知されたアクセス情報に基づいて、配信する資源を暗号化する暗号化手段;
暗号化された資源を配信する配信手段;
を備えることを特徴とするアクセス管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公開番号】特開2006−221602(P2006−221602A)
【公開日】平成18年8月24日(2006.8.24)
【国際特許分類】
【出願番号】特願2005−134363(P2005−134363)
【出願日】平成17年5月2日(2005.5.2)
【出願人】(392026693)株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Fターム(参考)】
【公開日】平成18年8月24日(2006.8.24)
【国際特許分類】
【出願日】平成17年5月2日(2005.5.2)
【出願人】(392026693)株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Fターム(参考)】
[ Back to top ]