通信装置、通信方法およびプログラム
【課題】 利用者毎のサービスの利用可否を決定できる通信装置を提供する。
【解決手段】 携帯端末10は、第1のネットワークまたは第2のネットワークからリクエストを受け取り、リクエストに応じたレスポンスを返す通信手段と、通信手段がリクエストを第1のネットワークから受信したとき、リクエストが第2のネットワークからアクセスするための識別情報を含まない場合は該識別情報を生成してレスポンスに含め、通信手段がリクエストを第2のネットワークから受信したとき、識別情報を生成しないCookie生成手段14と、通信手段が第2のネットワークから受け取ったリクエストが、識別情報を含むときはリクエストに応じたサービスをレスポンスに含め、含まないときはサービスの利用の不許可をレスポンスに含めるHTTPサーバ手段13とを備える。
【解決手段】 携帯端末10は、第1のネットワークまたは第2のネットワークからリクエストを受け取り、リクエストに応じたレスポンスを返す通信手段と、通信手段がリクエストを第1のネットワークから受信したとき、リクエストが第2のネットワークからアクセスするための識別情報を含まない場合は該識別情報を生成してレスポンスに含め、通信手段がリクエストを第2のネットワークから受信したとき、識別情報を生成しないCookie生成手段14と、通信手段が第2のネットワークから受け取ったリクエストが、識別情報を含むときはリクエストに応じたサービスをレスポンスに含め、含まないときはサービスの利用の不許可をレスポンスに含めるHTTPサーバ手段13とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信装置、通信方法およびプログラムに関し、特にサービスの利用時におけるアクセス制御を実施する通信装置、通信方法およびプログラムに関する。
【背景技術】
【0002】
近年、無線LAN(Local Area Network)アクセスポイント機能を持つ通信機器や携帯電話が登場している。このような機器は、複数の通信ベアラを有する。すなわち、インターネット接続のように不特定多数からアクセスされる通信ベアラと、無線LANアクセスポイントと端末との間に形成されるネットワークのように接続時に認証などによりアクセス制限を行う通信ベアラである。
【0003】
また、従来、サービスを提供するWebサーバは主にインターネット上に配置されていたが、近年では情報家電を含むさまざまな小型機器にもWebサーバが搭載されている。例えば、Webサーバを搭載したHDD(Hard Disk Drive)レコーダがある。このようなHDDレコーダが搭載するWebサーバに対して、ユーザはPCなどが搭載するWebブラウザを介してアクセスし、録画予約をしたり、録画したコンテンツを視聴したりすることなどができる。これらのWebサーバは、通常は家庭内LANのようなクローズドなネットワーク内に配置されることが多い。
【0004】
このように無線LANアクセスポイント機能を持つ通信機器がWebサーバを搭載する場合、その通信機器が開示する情報の重要度に応じてアクセス制御を行うことが重要である。これは、このような通信機器は不特定多数からのアクセスが可能であるため、不特定多数に機密性が高い情報が漏洩する恐れがあるからである。例えばGPS(Global Positioning System)情報や端末内の個人情報は、特定の人や機器のみに公開し、それ以外の人や機器には非公開にするといったアクセス制限が必要である。
【0005】
このようなアクセス制限の例として、例えば通信機器が有する通信ベアラ毎に固定でサービスの利用可否を決定する方法がある。近年の無線LANアクセスポイントには、ネットワーク設定のページが実装されている。この設定ページへのアクセスは、無線LANベアラからは行えるが、インターネットベアラからはアクセスが禁止されている。これは、無線LANベアラでは、接続時のアクセス認証があり、このアクセス認証をサービス利用認証としても利用しているためである。
【0006】
例えば、特許文献1には、端末ID(Identification)を有さないパーソナルコンピュータから携帯電話端末向けのサービスサイトに接続するコンピュータネットワークシステムが開示されている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2002−94571公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
上述したように、通信機器が有するベアラ毎に固定でサービスの利用可否を決定する方法では、利用者毎のサービスの利用可否を決定できないという課題がある。すなわち、サービスを利用させたい端末や利用者からのアクセスであっても、例えば3Gネットワークなどの不特定多数からのアクセスが可能なネットワークからのアクセスの場合、サービスの利用を拒否するといった制限がなされてしまう。
【0009】
また上記特許文献1に記載の発明では、端末IDを有さないパーソナルコンピュータの全てに対して端末IDを生成してアクセスを可能にするので、利用者毎のサービスの利用可否を決定することはできない。
【0010】
本発明の目的は、利用者毎のサービスの利用可否を決定できる通信装置、通信方法およびプログラムを提供することにある。
【課題を解決するための手段】
【0011】
本発明に係る通信装置は、第1のネットワークまたは第2のネットワークからリクエストを受け取り、当該リクエストに応じたレスポンスを返す通信手段と、通信手段がリクエストを第1のネットワークから受信したとき、当該リクエストが第2のネットワークからアクセスするための識別情報を含まない場合は該識別情報を生成してレスポンスに含め、通信手段が前記リクエストを第2のネットワークから受信したとき、識別情報を生成しない識別情報生成手段と、通信手段が第2のネットワークから受け取ったリクエストが、識別情報を含むときは当該リクエストに応じたサービスをレスポンスに含め、含まないときはサービスの利用の不許可をレスポンスに含めるサービス提供手段とを備える。
【0012】
本発明に係る通信方法は、第1のネットワークまたは第2のネットワークからリクエストを受け取り、リクエストを第1のネットワークから受信したとき、当該リクエストが第2のネットワークからアクセスするための識別情報を含まない場合は該識別情報を生成してレスポンスに含め、リクエストを第2のネットワークから受信したとき、識別情報を生成しない制御を行い、第2のネットワークから受け取ったリクエストが、識別情報を含むときは当該リクエストに応じたサービスをレスポンスに含め、含まないときはサービスの利用の不許可をレスポンスに含めることを備える。
【0013】
本発明に係るプログラムは、第1のネットワークまたは第2のネットワークからリクエストを受け取る処理と、リクエストを第1のネットワークから受信したとき、当該リクエストが第2のネットワークからアクセスするための識別情報を含まない場合は該識別情報を生成してレスポンスに含め、リクエストを第2のネットワークから受信したとき、識別情報を生成しない処理と、第2のネットワークから受け取ったリクエストが、識別情報を含むときは当該リクエストに応じたサービスをレスポンスに含め、含まないときはサービスの利用の不許可をレスポンスに含める処理とをコンピュータに実行させる。
【発明の効果】
【0014】
本発明によれば、利用者毎のサービスの利用可否を決定できるという効果が得られる。
【図面の簡単な説明】
【0015】
【図1】本発明の第1実施形態に係る通信システムの構成図である。
【図2】本発明の第1実施形態に係る携帯端末の構成を示すブロック図である。
【図3】本発明の第1実施形態に係る携帯端末の動作を示すフローチャートである。
【図4】無線LANからHTTPリクエストを受信した場合の携帯端末の動作を示すフローチャートである。
【図5】インターネットからHTTPリクエストを受信した場合の携帯端末の動作を示すフローチャートである。
【図6】インターネットから受信したHTTPリクエストがCookieを含む場合の携帯端末の動作を示すフローチャートである。
【図7】本発明の第3実施形態に係る通信装置の構成を示すブロック図である。
【発明を実施するための形態】
【0016】
第1実施形態
次に、本発明の実施形態について図面を参照して詳細に説明する。
【0017】
図1は、本発明の第1実施形態に係る通信システムの構成図である。図1に示すように、通信システムは、携帯端末10(通信装置)を含む。携帯端末10は、第1のネットワーク40および第2のネットワーク50と接続可能である。
【0018】
第1のネットワーク40は、無線LANなどのローカルネットワークであり、接続時に認証が必要なネットワークである。第2のネットワーク50は、インターネットなどの不特定多数からアクセス可能なネットワークである。以下、第1のネットワーク40を無線LAN40、第2のネットワーク50をインターネット50として説明する。
【0019】
端末20は、無線LAN40からもインターネット50からも携帯端末10に接続可能な端末である。端末30は、インターネット50からのみアクセス可能な端末である。携帯端末10は、携帯端末に限らず、パソコン、その他の通信装置でもよい。同様に、端末20,30も、携帯端末、パソコン、その他の通信装置でよい。
【0020】
本第1の実施形態では、無線LAN40およびインターネット50のいずれからもアクセス可能な端末20と、インターネット50からのみアクセス可能な端末30が、それぞれ携帯端末10が提供するサービスを利用するためにアクセスしたときの携帯端末10の動作について説明する。携帯端末10は、Webサーバとしての機能と無線LANアクセスポイント機能を搭載する。
【0021】
図2は、携帯端末10の構成を示すブロック図である。図2に示すように、携帯端末10は、無線LAN通信手段(通信手段)11、インターネット通信手段(通信手段)12、HTTP(HyperText Transfer Protocol)サーバ手段(サービス提供手段)13、Cookie生成手段(識別情報生成手段)14、Cookie確認手段(識別情報確認手段)15、コンテンツ格納手段16を備える。
【0022】
無線LAN通信手段11は、無線LAN40と通信を行う。インターネット通信手段12は、インターネット50と通信を行う。HTTPサーバ手段13は、WWW(World Wide Web)を通じて受けた要求(HTTPリクエスト)に応じて、HTML(Hyper Text Markup Language)文書などの情報を提供する。Cookie生成手段14は、HTTPサーバ手段13からの指示に応答してCookieを生成する。Cookie確認手段15は、HTTPリクエスト内のCookieの有効性を確認する。コンテンツ格納手段16は、HTTPリクエストに応じて提供するコンテンツを格納する。
【0023】
携帯端末10は、受信したHTTPリクエストが無線LAN40からのアクセスであった場合、送信元の端末に自身が提供するサービスの利用を許可する。これは、その端末が無線LAN40への接続時のアクセス認証に成功しているということであり、そのような端末は携帯端末10が提供するサービスを利用させてもよいと判断できるからである。
【0024】
一方、HTTPリクエストがインターネット50からのアクセスであった場合は、携帯端末10は原則としてアクセスを許可しない。これは、インターネット50は不特定多数からアクセス可能なネットワークであるため、機密性が高い情報を漏洩させないためである。ただし、携帯端末10は、サービスを利用させたい端末を判断し、その端末に対してのみサービスを提供することを実現する。サービスを利用させたい端末か否かを判断するために、携帯端末10はCookieを利用する。
【0025】
Cookieとは、利用者があるWebサイトにアクセスしたときに、そのWebサイトが利用者のコンピュータのハードディスクドライブに保存する情報であり、例えば利用者が最後にWebサイトを訪れた日時、訪問回数、その他ユーザ情報を含む。
【0026】
以下、具体的に携帯端末10の動作について説明する。図3は、携帯端末10の動作を示すフローチャートである。
【0027】
まず、携帯端末10に対して端末20が無線LAN40からHTTPリクエストを送信した場合の携帯端末10の動作について説明する。図4は、端末20が無線LAN40からHTTPリクエストを送信した場合の携帯端末10の動作を示すフローチャートである。図3、図4を参照して、携帯端末10の動作について説明する。
【0028】
携帯端末10は、無線LAN通信手段11において無線LAN40内に存在する端末20からHTTPリクエストを受信する(図3ステップST101)。無線LAN通信手段11は、受信したHTTPリクエストをHTTPサーバ手段13に通知する(図4ステップa1)。
【0029】
HTTPサーバ手段13は、HTTPリクエストが無線LAN通信手段11またはインターネット通信手段12のいずれから受け取ったかを判別する(図3ステップST102、図4ステップa2)。ここでは、HTTPサーバ手段13は無線LAN40からのアクセスであると判別する。またこのときHTTPサーバ手段13は、無線LAN40からのアクセスを受信した旨のネットワーク識別子を生成する。
【0030】
続いて、HTTPサーバ手段13は、受信したHTTPリクエストがCookieを含むか否かを判断する(図3ステップST103、図4ステップa3)。HTTPリクエストは、ヘッダとボディを含む。HTTPリクエストのヘッダには、Webブラウザで利用可能な言語や認証情報、コンテンツパスなど、WebブラウザからWebサーバに知らせたい情報が含まれる。Cookieが存在する場合、該CookieはHTTPリクエストのヘッダに含まれてHTTPサーバ13に送信される。ここでは、Cookieは存在しないとする。
【0031】
HTTPサーバ手段13は、Cookie生成手段14にCookieの生成を要求する(図4ステップa4)。このとき、HTTPサーバ手段13は、ステップa2で生成したネットワーク識別子とHTTPリクエスト内に含まれるコンテンツパスとを引数としてCookie生成手段14に渡す。
【0032】
Cookie生成手段14は、上記要求に応答してCookieの生成を許可するか否を判断し、許可する場合はCookieを生成する(図3ステップST104、図4ステップa5)。Cookie生成手段14は、HTTPサーバ手段13から受け取ったネットワーク識別子が無線LAN40からのアクセスであることを示すことを確認し、Cookieを生成する。Cookie生成手段14は、インターネットからのアクセスに対してはCookieを生成しない。
【0033】
上述したように、無線LAN40からHTTPリクエストを送信してきた端末は、携帯端末10が提供するサービスの利用を許可してよい端末である。したがって、携帯端末10は、この端末に対して、サービスの利用を許可する旨の識別情報を生成し、付与する。この識別情報が、Cookie生成手段14が生成するCookieである。
【0034】
Cookie生成手段14は、例えば「Set−Cookie:NAME=ServiceA.携帯端末10;Wed、31−Dec−2038 23:59:59;」というCookieを生成する。「Set−Cookie」は、HTTPサーバが端末にCookieを送るときのHTTPヘッダである。「NAME=ServiceA.携帯端末10」は、Cookieの名前とその値を示す。このCookieは、「ServiceA」というサービスを提供している携帯端末10であることを示す。「Wed、31−Dec−2038 23:59:59;」は、Cookieの有効期限を示す。
【0035】
Cookie生成手段14は、生成したCookieをHTTPサーバ手段13に返す(図4ステップa6)。HTTPサーバ手段13は、Cookieを受け取ると、HTTPリクエストのコンテンツパスを引数として、コンテンツ格納手段16に対してコンテンツの読み出しを要求する(図3ステップST105、図4ステップa7)。コンテンツ格納手段16から対応するコンテンツの通知を受けると(図4ステップa8)、HTTPサーバ手段13はCookieとコンテンツを含むHTTPレスポンスを生成する。そして、そのHTTPレスポンスをHTTPリクエストを送信してきた端末20に、無線LAN通信手段11を介して返信する(図3ステップST106、図4ステップa9)。以上の動作により、携帯端末10は、無線LAN40からHTTPリクエストを送信してきた端末20に対してコンテンツを提供する。
【0036】
次に、インターネット50内に存在する端末30が携帯端末10にアクセスした場合の携帯端末10の動作について説明する。図5は、携帯端末10がインターネット50内に存在する端末30からHTTPリクエストを受信した場合の動作を示すフローチャートである。図3、図5を参照して、携帯端末10の動作について説明する。
【0037】
携帯端末10は、インターネット通信手段12においてインターネット50内に存在する端末30からHTTPリクエストを受信する。インターネット通信手段12は、受信したHTTPリクエストをHTTPサーバ手段13に通知する(図5ステップb1)。HTTPサーバ手段13は、HTTPリクエストが無線LAN通信手段11またはインターネット通信手段12のいずれから受け取ったかを判別する(図3ステップST102、図5ステップb2)。ここでは、HTTPサーバ手段13はインターネット50からのアクセスであると判別し、その旨を示すネットワーク識別子を生成する。
【0038】
上述したように、HTTPサーバ手段13は、インターネット50からのアクセスは原則として許可しないが、許可する端末からのアクセスであるか否かを以下のように判別し、許可する端末にのみサービスを提供する。
【0039】
すなわち、HTTPサーバ手段13は、受信したHTTPリクエストがCookieを含むか否かを判断する(図3ステップST107、図5ステップb3)。ここでは、Cookieは存在しないとする。
【0040】
HTTPサーバ手段13は、Cookie生成手段14に対してCookieの生成を要求する(図5ステップb4)。このとき、HTTPサーバ手段13は、ステップb2で生成したネットワーク識別子とHTTPリクエスト内に含まれるコンテンツパスを引数としてCookie生成手段14に渡す。
【0041】
Cookie生成手段14は、上記要求に応答して、Cookieの生成を許可するか否を判断する(図5ステップb5)。ここでは、HTTPサーバ手段13から受け取ったネットワーク識別子がインターネット50からのアクセスであることを示すので、Cookie生成手段14は、Cookieの生成を許可しないと判断し、その旨をHTTPサーバ手段13に返す(図5ステップb6)。
【0042】
HTTPサーバ手段13は、上記通知に応答して、アクセスを許可しない旨のHTTPレスポンスをインターネット通信手段12を介して端末20に送信する(図3ステップST108、図5ステップb7)。具体的には、HTTPサーバ手段13は、HTTPのステータスコードとして「400BadRequest」をインターネット通信手段12に返す。「400BadRequest」は、不正なリクエストが行われたことを意味する。ユーザは、アクセスが許可されなかったことを認識する。以上の動作により、携帯端末10は、インターネット50からCookieを含まないHTTPリクエストを送信してきた端末30に対して、サービスの利用を許可しない。
【0043】
次に、端末20がインターネット50を経由して携帯端末10にアクセスする場合について説明する。端末20は、上述したように無線LAN40に接続可能な端末であるので、インターネット50を経由して携帯端末10にアクセスした場合でも携帯端末10のサービスの利用を許可することが望ましい。そこで、インターネット50を経由して携帯端末10にアクセスしてきた端末にサービスの利用を許可するか否かを以下のように判断する。
【0044】
図6は、端末20がインターネット50を経由して携帯端末10にアクセスする場合の動作を示すフローチャートである。図3,図6を参照して、携帯端末10の動作について説明する。
【0045】
携帯端末10は、インターネット50を経由してHTTPリクエストを受信した場合、図3のステップST107の判断を行う。すなわち、携帯端末10は、受信したHTTPリクエストがCookieを含むか否かを判別する(図3ステップST107、図6ステップc2)。
【0046】
この場合、HTTPリクエストはCookieを含むとする。インターネット50から送信されたHTTPリクエストがCookieを含むのは、HTTPリクエストを送信してきた端末が過去に無線LAN40から携帯端末10にHTTPリクエストを送信し、そのレスポンスとしてCookieを受信していた場合である。したがって、インターネット50からCookieを含むHTTPリクエストを送信してきた端末には携帯端末10のサービスの利用を許可してよいと判断できる。
【0047】
HTTPサーバ手段13は、HTTPリクエストがCookieを含むと判断すると、そのCookieとコンテンツパスを引数としてCookie確認手段15にCookieが利用可能か否かの確認を要求する(図3ステップST109、図6ステップc3)。Cookie確認手段15は、そのCookieが自端末の該当するサービスのものか否か、有効期限が切れていない否かなど、Cookieの利用可否を確認する(図6ステップc4)。利用不可である場合、HTTPサーバ手段13は、アクセスを許可しない旨のHTTPレスポンスをインターネット通信手段12を介して送信する(図3ステップST108)。
【0048】
Cookieが利用可である場合、Cookie確認手段15はHTTPサーバ手段13に対してコンテンツの読み込みを許可する旨を通知する(図6ステップc5)。HTTPサーバ手段13は、HTTPリクエストのコンテンツパスを引数として、コンテンツ格納手段16に対してコンテンツの読み出しを要求する(図3ステップST110、図6ステップc6)。コンテンツ格納手段16から対応するコンテンツの通知を受けると(図6ステップc7)、HTTPサーバ手段13は、コンテンツを含むHTTPレスポンスを生成し、それをインターネット通信手段12を介して返信する(図3ステップST111、図6ステップc8)。以上の動作により、携帯端末10は、インターネット50を経由してHTTPリクエストを送信してきた端末20にサービスを提供する。
【0049】
以上のように、第1の実施形態によれば、携帯端末10は、無線LANネットワーク40内に存在する端末からHTTPリクエストを受信した場合、そのHTTPリクエストがCookieを含まない場合はCookieを生成し、生成したCookieとコンテンツを端末20に提供する。また携帯端末10は、インターネット50内に存在する端末からHTTPリクエストを受信した場合、HTTPリクエストが利用可能なCookieを含む場合のみその端末にコンテンツを提供する。この構成により、携帯端末10はサービスを提供したい端末のみにアクセス権を付与することができ、利用者毎のサービスの利用可否を決定できるという効果が得られる。
【0050】
第2の実施形態
上記第1の実施形態で説明したCookieは、端末の利用者に悪意があれば改ざんされてしまう恐れがある。そこで、第2の実施形態では、この改ざんを防ぐために、デジタル証明書の署名を行うことを説明する。
【0051】
第1の実施形態で示した図4のステップa5において、Cookie生成手段14は生成したCookieに対してデジタル証明書の署名を行ってもよい。具体的には、Cookie生成手段14は、HTTPサーバ手段13の秘密鍵を用いた署名計算を行う。例えば、HTTPサーバ手段13の秘密鍵が「[SomeSecret]」であり、Cookie生成手段14が生成したCookieが「Set−Cookie:NAME=ServiceA.携帯端末10;Wed、31−Dec−2038 23:59:59;」であったとする。このとき、Cookie生成手段14は、これらを連結した「Set−Cookie:NAME=ServiceA.携帯端末10;Wed、31−Dec−2038 23:59:59;secret_key=[SomeSecret]」というCookieを生成する。そして、Cookie生成手段14は、このCookieのSHA−1ハッシュ値を算出する。SHA−1とは、米国政府標準ハッシュ関数である。
【0052】
ここでは、例えば「86e7ec2adaedabfbd49ac380dea1b257ce8b1e52」というハッシュ値が得られたとする。Cookie生成手段14は、これらを連結した「Set−Cookie:NAME=ServiceA.携帯端末10;Wed、31−Dec−2038 23:59:59;secret_key=[SomeSecret]; sign=86e7ec2adaedabfbd49ac380dea1b257ce8b1e52」をCookieとして生成する。HTTPサーバ手段13は、このCookieをHTTPレスポンスに含めて送信する。
【0053】
第1の実施形態で示した図6のステップc4において、Cookie確認手段15は、HTTPリクエストに含まれるCookieにデジタル証明書の署名がなされていた場合、その検証を行う。すなわち、Cookie生成手段14が用いたハッシュアルゴリズムを用いて、HTTPリクエストに含まれるCookie「Set−Cookie:NAME=ServiceA.携帯端末10;Wed、31−Dec−2038 23:59:59;secret_key=[SomeSecret]」のハッシュ値を算出する。そして、この算出値とHTTPリクエストのCookieに含まれていたハッシュ値とを比較し、一致すれば、Cookie確認手段15は、続いてCookieに署名されている秘密鍵が自身のものであるか否かを検証する。ハッシュ値が一致し、秘密鍵が自身のものであれば、Cookie確認手段15は検証が成功したと判断する。HTTPサーバ手段13はCookieのデジタル証明書の署名の検証が成功した場合のみ端末にサービスを提供する。成功しなかった場合は、HTTPサーバ手段13はCookieが改ざんされたことを端末に通知してもよい。
【0054】
ここではデジタル証明書の署名にSHA−1ハッシュアルゴリズムを用いたが、任意の一方向性関数を用いてもよい。
【0055】
なお、秘密鍵として、HTTPサーバ手段13はすべてのコンテンツについて同一の鍵を用いてもよいし、コンテンツ毎に異なる鍵を配布してもよい。また、HTTPサーバ手段13は秘密鍵を1つ保持することに限定されず、複数の秘密鍵を保持してもよい。この場合、秘密鍵を識別するための識別情報をCookie生成手段14がCookieに含めてもよい。あるいは、HTTPサーバ手段13は保持するすべての秘密鍵を用いてデジタル証明書の署名を行い、1つでも一致すれば検証が成功したとしてもよい。
【0056】
以上のように、第2の実施形態によれば、Cookie生成手段14が生成したCookieにデジタル証明書の署名を行い、Cookie確認手段15がCookieのデジタル証明書の署名の検証を行う。この構成により、携帯端末10はCookieの改ざんを防止し、サービスの利用を許可する正当な端末にのみサービスを提供することができるという効果が得られる。
【0057】
第3の実施形態
図7は、第3の実施形態に係る通信装置60の構成を示すブロック図である。図7に示すように、通信装置60は、通信手段61、識別情報生成手段62およびサービス提供手段63を備える。
【0058】
通信手段61は、第1のネットワークまたは第2のネットワークからリクエストを受け取り、そのリクエストに応じたレスポンスを返す。識別情報生成手段62は、通信手段61がリクエストを第1のネットワークから受信したとき、そのリクエストが第2のネットワークからアクセスするための識別情報を含まない場合は該識別情報を生成してレスポンスに含め、通信手段61がリクエストを第2のネットワークから受信したとき、識別情報を生成しない。サービス提供手段63は、通信手段61が第2のネットワークから受け取ったリクエストが、識別情報を含むときは当該リクエストに応じたサービスをレスポンスに含め、含まないときはサービスの利用の不許可をレスポンスに含める。
【0059】
以上のように、第3の実施形態によれば、通信装置60は利用者毎のサービスの利用可否を決定できるという効果が得られる。
【産業上の利用可能性】
【0060】
本発明は、サーバ機能を搭載する通信装置に適用できる。
【符号の説明】
【0061】
10 携帯端末
11 無線LAN通信手段
12 インターネット通信手段
13 HTTPサーバ手段
14 Cookie生成手段
15 Cookie確認手段
16 コンテンツ格納手段
20,30 端末
40 無線LAN
50 インターネット
【技術分野】
【0001】
本発明は、通信装置、通信方法およびプログラムに関し、特にサービスの利用時におけるアクセス制御を実施する通信装置、通信方法およびプログラムに関する。
【背景技術】
【0002】
近年、無線LAN(Local Area Network)アクセスポイント機能を持つ通信機器や携帯電話が登場している。このような機器は、複数の通信ベアラを有する。すなわち、インターネット接続のように不特定多数からアクセスされる通信ベアラと、無線LANアクセスポイントと端末との間に形成されるネットワークのように接続時に認証などによりアクセス制限を行う通信ベアラである。
【0003】
また、従来、サービスを提供するWebサーバは主にインターネット上に配置されていたが、近年では情報家電を含むさまざまな小型機器にもWebサーバが搭載されている。例えば、Webサーバを搭載したHDD(Hard Disk Drive)レコーダがある。このようなHDDレコーダが搭載するWebサーバに対して、ユーザはPCなどが搭載するWebブラウザを介してアクセスし、録画予約をしたり、録画したコンテンツを視聴したりすることなどができる。これらのWebサーバは、通常は家庭内LANのようなクローズドなネットワーク内に配置されることが多い。
【0004】
このように無線LANアクセスポイント機能を持つ通信機器がWebサーバを搭載する場合、その通信機器が開示する情報の重要度に応じてアクセス制御を行うことが重要である。これは、このような通信機器は不特定多数からのアクセスが可能であるため、不特定多数に機密性が高い情報が漏洩する恐れがあるからである。例えばGPS(Global Positioning System)情報や端末内の個人情報は、特定の人や機器のみに公開し、それ以外の人や機器には非公開にするといったアクセス制限が必要である。
【0005】
このようなアクセス制限の例として、例えば通信機器が有する通信ベアラ毎に固定でサービスの利用可否を決定する方法がある。近年の無線LANアクセスポイントには、ネットワーク設定のページが実装されている。この設定ページへのアクセスは、無線LANベアラからは行えるが、インターネットベアラからはアクセスが禁止されている。これは、無線LANベアラでは、接続時のアクセス認証があり、このアクセス認証をサービス利用認証としても利用しているためである。
【0006】
例えば、特許文献1には、端末ID(Identification)を有さないパーソナルコンピュータから携帯電話端末向けのサービスサイトに接続するコンピュータネットワークシステムが開示されている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2002−94571公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
上述したように、通信機器が有するベアラ毎に固定でサービスの利用可否を決定する方法では、利用者毎のサービスの利用可否を決定できないという課題がある。すなわち、サービスを利用させたい端末や利用者からのアクセスであっても、例えば3Gネットワークなどの不特定多数からのアクセスが可能なネットワークからのアクセスの場合、サービスの利用を拒否するといった制限がなされてしまう。
【0009】
また上記特許文献1に記載の発明では、端末IDを有さないパーソナルコンピュータの全てに対して端末IDを生成してアクセスを可能にするので、利用者毎のサービスの利用可否を決定することはできない。
【0010】
本発明の目的は、利用者毎のサービスの利用可否を決定できる通信装置、通信方法およびプログラムを提供することにある。
【課題を解決するための手段】
【0011】
本発明に係る通信装置は、第1のネットワークまたは第2のネットワークからリクエストを受け取り、当該リクエストに応じたレスポンスを返す通信手段と、通信手段がリクエストを第1のネットワークから受信したとき、当該リクエストが第2のネットワークからアクセスするための識別情報を含まない場合は該識別情報を生成してレスポンスに含め、通信手段が前記リクエストを第2のネットワークから受信したとき、識別情報を生成しない識別情報生成手段と、通信手段が第2のネットワークから受け取ったリクエストが、識別情報を含むときは当該リクエストに応じたサービスをレスポンスに含め、含まないときはサービスの利用の不許可をレスポンスに含めるサービス提供手段とを備える。
【0012】
本発明に係る通信方法は、第1のネットワークまたは第2のネットワークからリクエストを受け取り、リクエストを第1のネットワークから受信したとき、当該リクエストが第2のネットワークからアクセスするための識別情報を含まない場合は該識別情報を生成してレスポンスに含め、リクエストを第2のネットワークから受信したとき、識別情報を生成しない制御を行い、第2のネットワークから受け取ったリクエストが、識別情報を含むときは当該リクエストに応じたサービスをレスポンスに含め、含まないときはサービスの利用の不許可をレスポンスに含めることを備える。
【0013】
本発明に係るプログラムは、第1のネットワークまたは第2のネットワークからリクエストを受け取る処理と、リクエストを第1のネットワークから受信したとき、当該リクエストが第2のネットワークからアクセスするための識別情報を含まない場合は該識別情報を生成してレスポンスに含め、リクエストを第2のネットワークから受信したとき、識別情報を生成しない処理と、第2のネットワークから受け取ったリクエストが、識別情報を含むときは当該リクエストに応じたサービスをレスポンスに含め、含まないときはサービスの利用の不許可をレスポンスに含める処理とをコンピュータに実行させる。
【発明の効果】
【0014】
本発明によれば、利用者毎のサービスの利用可否を決定できるという効果が得られる。
【図面の簡単な説明】
【0015】
【図1】本発明の第1実施形態に係る通信システムの構成図である。
【図2】本発明の第1実施形態に係る携帯端末の構成を示すブロック図である。
【図3】本発明の第1実施形態に係る携帯端末の動作を示すフローチャートである。
【図4】無線LANからHTTPリクエストを受信した場合の携帯端末の動作を示すフローチャートである。
【図5】インターネットからHTTPリクエストを受信した場合の携帯端末の動作を示すフローチャートである。
【図6】インターネットから受信したHTTPリクエストがCookieを含む場合の携帯端末の動作を示すフローチャートである。
【図7】本発明の第3実施形態に係る通信装置の構成を示すブロック図である。
【発明を実施するための形態】
【0016】
第1実施形態
次に、本発明の実施形態について図面を参照して詳細に説明する。
【0017】
図1は、本発明の第1実施形態に係る通信システムの構成図である。図1に示すように、通信システムは、携帯端末10(通信装置)を含む。携帯端末10は、第1のネットワーク40および第2のネットワーク50と接続可能である。
【0018】
第1のネットワーク40は、無線LANなどのローカルネットワークであり、接続時に認証が必要なネットワークである。第2のネットワーク50は、インターネットなどの不特定多数からアクセス可能なネットワークである。以下、第1のネットワーク40を無線LAN40、第2のネットワーク50をインターネット50として説明する。
【0019】
端末20は、無線LAN40からもインターネット50からも携帯端末10に接続可能な端末である。端末30は、インターネット50からのみアクセス可能な端末である。携帯端末10は、携帯端末に限らず、パソコン、その他の通信装置でもよい。同様に、端末20,30も、携帯端末、パソコン、その他の通信装置でよい。
【0020】
本第1の実施形態では、無線LAN40およびインターネット50のいずれからもアクセス可能な端末20と、インターネット50からのみアクセス可能な端末30が、それぞれ携帯端末10が提供するサービスを利用するためにアクセスしたときの携帯端末10の動作について説明する。携帯端末10は、Webサーバとしての機能と無線LANアクセスポイント機能を搭載する。
【0021】
図2は、携帯端末10の構成を示すブロック図である。図2に示すように、携帯端末10は、無線LAN通信手段(通信手段)11、インターネット通信手段(通信手段)12、HTTP(HyperText Transfer Protocol)サーバ手段(サービス提供手段)13、Cookie生成手段(識別情報生成手段)14、Cookie確認手段(識別情報確認手段)15、コンテンツ格納手段16を備える。
【0022】
無線LAN通信手段11は、無線LAN40と通信を行う。インターネット通信手段12は、インターネット50と通信を行う。HTTPサーバ手段13は、WWW(World Wide Web)を通じて受けた要求(HTTPリクエスト)に応じて、HTML(Hyper Text Markup Language)文書などの情報を提供する。Cookie生成手段14は、HTTPサーバ手段13からの指示に応答してCookieを生成する。Cookie確認手段15は、HTTPリクエスト内のCookieの有効性を確認する。コンテンツ格納手段16は、HTTPリクエストに応じて提供するコンテンツを格納する。
【0023】
携帯端末10は、受信したHTTPリクエストが無線LAN40からのアクセスであった場合、送信元の端末に自身が提供するサービスの利用を許可する。これは、その端末が無線LAN40への接続時のアクセス認証に成功しているということであり、そのような端末は携帯端末10が提供するサービスを利用させてもよいと判断できるからである。
【0024】
一方、HTTPリクエストがインターネット50からのアクセスであった場合は、携帯端末10は原則としてアクセスを許可しない。これは、インターネット50は不特定多数からアクセス可能なネットワークであるため、機密性が高い情報を漏洩させないためである。ただし、携帯端末10は、サービスを利用させたい端末を判断し、その端末に対してのみサービスを提供することを実現する。サービスを利用させたい端末か否かを判断するために、携帯端末10はCookieを利用する。
【0025】
Cookieとは、利用者があるWebサイトにアクセスしたときに、そのWebサイトが利用者のコンピュータのハードディスクドライブに保存する情報であり、例えば利用者が最後にWebサイトを訪れた日時、訪問回数、その他ユーザ情報を含む。
【0026】
以下、具体的に携帯端末10の動作について説明する。図3は、携帯端末10の動作を示すフローチャートである。
【0027】
まず、携帯端末10に対して端末20が無線LAN40からHTTPリクエストを送信した場合の携帯端末10の動作について説明する。図4は、端末20が無線LAN40からHTTPリクエストを送信した場合の携帯端末10の動作を示すフローチャートである。図3、図4を参照して、携帯端末10の動作について説明する。
【0028】
携帯端末10は、無線LAN通信手段11において無線LAN40内に存在する端末20からHTTPリクエストを受信する(図3ステップST101)。無線LAN通信手段11は、受信したHTTPリクエストをHTTPサーバ手段13に通知する(図4ステップa1)。
【0029】
HTTPサーバ手段13は、HTTPリクエストが無線LAN通信手段11またはインターネット通信手段12のいずれから受け取ったかを判別する(図3ステップST102、図4ステップa2)。ここでは、HTTPサーバ手段13は無線LAN40からのアクセスであると判別する。またこのときHTTPサーバ手段13は、無線LAN40からのアクセスを受信した旨のネットワーク識別子を生成する。
【0030】
続いて、HTTPサーバ手段13は、受信したHTTPリクエストがCookieを含むか否かを判断する(図3ステップST103、図4ステップa3)。HTTPリクエストは、ヘッダとボディを含む。HTTPリクエストのヘッダには、Webブラウザで利用可能な言語や認証情報、コンテンツパスなど、WebブラウザからWebサーバに知らせたい情報が含まれる。Cookieが存在する場合、該CookieはHTTPリクエストのヘッダに含まれてHTTPサーバ13に送信される。ここでは、Cookieは存在しないとする。
【0031】
HTTPサーバ手段13は、Cookie生成手段14にCookieの生成を要求する(図4ステップa4)。このとき、HTTPサーバ手段13は、ステップa2で生成したネットワーク識別子とHTTPリクエスト内に含まれるコンテンツパスとを引数としてCookie生成手段14に渡す。
【0032】
Cookie生成手段14は、上記要求に応答してCookieの生成を許可するか否を判断し、許可する場合はCookieを生成する(図3ステップST104、図4ステップa5)。Cookie生成手段14は、HTTPサーバ手段13から受け取ったネットワーク識別子が無線LAN40からのアクセスであることを示すことを確認し、Cookieを生成する。Cookie生成手段14は、インターネットからのアクセスに対してはCookieを生成しない。
【0033】
上述したように、無線LAN40からHTTPリクエストを送信してきた端末は、携帯端末10が提供するサービスの利用を許可してよい端末である。したがって、携帯端末10は、この端末に対して、サービスの利用を許可する旨の識別情報を生成し、付与する。この識別情報が、Cookie生成手段14が生成するCookieである。
【0034】
Cookie生成手段14は、例えば「Set−Cookie:NAME=ServiceA.携帯端末10;Wed、31−Dec−2038 23:59:59;」というCookieを生成する。「Set−Cookie」は、HTTPサーバが端末にCookieを送るときのHTTPヘッダである。「NAME=ServiceA.携帯端末10」は、Cookieの名前とその値を示す。このCookieは、「ServiceA」というサービスを提供している携帯端末10であることを示す。「Wed、31−Dec−2038 23:59:59;」は、Cookieの有効期限を示す。
【0035】
Cookie生成手段14は、生成したCookieをHTTPサーバ手段13に返す(図4ステップa6)。HTTPサーバ手段13は、Cookieを受け取ると、HTTPリクエストのコンテンツパスを引数として、コンテンツ格納手段16に対してコンテンツの読み出しを要求する(図3ステップST105、図4ステップa7)。コンテンツ格納手段16から対応するコンテンツの通知を受けると(図4ステップa8)、HTTPサーバ手段13はCookieとコンテンツを含むHTTPレスポンスを生成する。そして、そのHTTPレスポンスをHTTPリクエストを送信してきた端末20に、無線LAN通信手段11を介して返信する(図3ステップST106、図4ステップa9)。以上の動作により、携帯端末10は、無線LAN40からHTTPリクエストを送信してきた端末20に対してコンテンツを提供する。
【0036】
次に、インターネット50内に存在する端末30が携帯端末10にアクセスした場合の携帯端末10の動作について説明する。図5は、携帯端末10がインターネット50内に存在する端末30からHTTPリクエストを受信した場合の動作を示すフローチャートである。図3、図5を参照して、携帯端末10の動作について説明する。
【0037】
携帯端末10は、インターネット通信手段12においてインターネット50内に存在する端末30からHTTPリクエストを受信する。インターネット通信手段12は、受信したHTTPリクエストをHTTPサーバ手段13に通知する(図5ステップb1)。HTTPサーバ手段13は、HTTPリクエストが無線LAN通信手段11またはインターネット通信手段12のいずれから受け取ったかを判別する(図3ステップST102、図5ステップb2)。ここでは、HTTPサーバ手段13はインターネット50からのアクセスであると判別し、その旨を示すネットワーク識別子を生成する。
【0038】
上述したように、HTTPサーバ手段13は、インターネット50からのアクセスは原則として許可しないが、許可する端末からのアクセスであるか否かを以下のように判別し、許可する端末にのみサービスを提供する。
【0039】
すなわち、HTTPサーバ手段13は、受信したHTTPリクエストがCookieを含むか否かを判断する(図3ステップST107、図5ステップb3)。ここでは、Cookieは存在しないとする。
【0040】
HTTPサーバ手段13は、Cookie生成手段14に対してCookieの生成を要求する(図5ステップb4)。このとき、HTTPサーバ手段13は、ステップb2で生成したネットワーク識別子とHTTPリクエスト内に含まれるコンテンツパスを引数としてCookie生成手段14に渡す。
【0041】
Cookie生成手段14は、上記要求に応答して、Cookieの生成を許可するか否を判断する(図5ステップb5)。ここでは、HTTPサーバ手段13から受け取ったネットワーク識別子がインターネット50からのアクセスであることを示すので、Cookie生成手段14は、Cookieの生成を許可しないと判断し、その旨をHTTPサーバ手段13に返す(図5ステップb6)。
【0042】
HTTPサーバ手段13は、上記通知に応答して、アクセスを許可しない旨のHTTPレスポンスをインターネット通信手段12を介して端末20に送信する(図3ステップST108、図5ステップb7)。具体的には、HTTPサーバ手段13は、HTTPのステータスコードとして「400BadRequest」をインターネット通信手段12に返す。「400BadRequest」は、不正なリクエストが行われたことを意味する。ユーザは、アクセスが許可されなかったことを認識する。以上の動作により、携帯端末10は、インターネット50からCookieを含まないHTTPリクエストを送信してきた端末30に対して、サービスの利用を許可しない。
【0043】
次に、端末20がインターネット50を経由して携帯端末10にアクセスする場合について説明する。端末20は、上述したように無線LAN40に接続可能な端末であるので、インターネット50を経由して携帯端末10にアクセスした場合でも携帯端末10のサービスの利用を許可することが望ましい。そこで、インターネット50を経由して携帯端末10にアクセスしてきた端末にサービスの利用を許可するか否かを以下のように判断する。
【0044】
図6は、端末20がインターネット50を経由して携帯端末10にアクセスする場合の動作を示すフローチャートである。図3,図6を参照して、携帯端末10の動作について説明する。
【0045】
携帯端末10は、インターネット50を経由してHTTPリクエストを受信した場合、図3のステップST107の判断を行う。すなわち、携帯端末10は、受信したHTTPリクエストがCookieを含むか否かを判別する(図3ステップST107、図6ステップc2)。
【0046】
この場合、HTTPリクエストはCookieを含むとする。インターネット50から送信されたHTTPリクエストがCookieを含むのは、HTTPリクエストを送信してきた端末が過去に無線LAN40から携帯端末10にHTTPリクエストを送信し、そのレスポンスとしてCookieを受信していた場合である。したがって、インターネット50からCookieを含むHTTPリクエストを送信してきた端末には携帯端末10のサービスの利用を許可してよいと判断できる。
【0047】
HTTPサーバ手段13は、HTTPリクエストがCookieを含むと判断すると、そのCookieとコンテンツパスを引数としてCookie確認手段15にCookieが利用可能か否かの確認を要求する(図3ステップST109、図6ステップc3)。Cookie確認手段15は、そのCookieが自端末の該当するサービスのものか否か、有効期限が切れていない否かなど、Cookieの利用可否を確認する(図6ステップc4)。利用不可である場合、HTTPサーバ手段13は、アクセスを許可しない旨のHTTPレスポンスをインターネット通信手段12を介して送信する(図3ステップST108)。
【0048】
Cookieが利用可である場合、Cookie確認手段15はHTTPサーバ手段13に対してコンテンツの読み込みを許可する旨を通知する(図6ステップc5)。HTTPサーバ手段13は、HTTPリクエストのコンテンツパスを引数として、コンテンツ格納手段16に対してコンテンツの読み出しを要求する(図3ステップST110、図6ステップc6)。コンテンツ格納手段16から対応するコンテンツの通知を受けると(図6ステップc7)、HTTPサーバ手段13は、コンテンツを含むHTTPレスポンスを生成し、それをインターネット通信手段12を介して返信する(図3ステップST111、図6ステップc8)。以上の動作により、携帯端末10は、インターネット50を経由してHTTPリクエストを送信してきた端末20にサービスを提供する。
【0049】
以上のように、第1の実施形態によれば、携帯端末10は、無線LANネットワーク40内に存在する端末からHTTPリクエストを受信した場合、そのHTTPリクエストがCookieを含まない場合はCookieを生成し、生成したCookieとコンテンツを端末20に提供する。また携帯端末10は、インターネット50内に存在する端末からHTTPリクエストを受信した場合、HTTPリクエストが利用可能なCookieを含む場合のみその端末にコンテンツを提供する。この構成により、携帯端末10はサービスを提供したい端末のみにアクセス権を付与することができ、利用者毎のサービスの利用可否を決定できるという効果が得られる。
【0050】
第2の実施形態
上記第1の実施形態で説明したCookieは、端末の利用者に悪意があれば改ざんされてしまう恐れがある。そこで、第2の実施形態では、この改ざんを防ぐために、デジタル証明書の署名を行うことを説明する。
【0051】
第1の実施形態で示した図4のステップa5において、Cookie生成手段14は生成したCookieに対してデジタル証明書の署名を行ってもよい。具体的には、Cookie生成手段14は、HTTPサーバ手段13の秘密鍵を用いた署名計算を行う。例えば、HTTPサーバ手段13の秘密鍵が「[SomeSecret]」であり、Cookie生成手段14が生成したCookieが「Set−Cookie:NAME=ServiceA.携帯端末10;Wed、31−Dec−2038 23:59:59;」であったとする。このとき、Cookie生成手段14は、これらを連結した「Set−Cookie:NAME=ServiceA.携帯端末10;Wed、31−Dec−2038 23:59:59;secret_key=[SomeSecret]」というCookieを生成する。そして、Cookie生成手段14は、このCookieのSHA−1ハッシュ値を算出する。SHA−1とは、米国政府標準ハッシュ関数である。
【0052】
ここでは、例えば「86e7ec2adaedabfbd49ac380dea1b257ce8b1e52」というハッシュ値が得られたとする。Cookie生成手段14は、これらを連結した「Set−Cookie:NAME=ServiceA.携帯端末10;Wed、31−Dec−2038 23:59:59;secret_key=[SomeSecret]; sign=86e7ec2adaedabfbd49ac380dea1b257ce8b1e52」をCookieとして生成する。HTTPサーバ手段13は、このCookieをHTTPレスポンスに含めて送信する。
【0053】
第1の実施形態で示した図6のステップc4において、Cookie確認手段15は、HTTPリクエストに含まれるCookieにデジタル証明書の署名がなされていた場合、その検証を行う。すなわち、Cookie生成手段14が用いたハッシュアルゴリズムを用いて、HTTPリクエストに含まれるCookie「Set−Cookie:NAME=ServiceA.携帯端末10;Wed、31−Dec−2038 23:59:59;secret_key=[SomeSecret]」のハッシュ値を算出する。そして、この算出値とHTTPリクエストのCookieに含まれていたハッシュ値とを比較し、一致すれば、Cookie確認手段15は、続いてCookieに署名されている秘密鍵が自身のものであるか否かを検証する。ハッシュ値が一致し、秘密鍵が自身のものであれば、Cookie確認手段15は検証が成功したと判断する。HTTPサーバ手段13はCookieのデジタル証明書の署名の検証が成功した場合のみ端末にサービスを提供する。成功しなかった場合は、HTTPサーバ手段13はCookieが改ざんされたことを端末に通知してもよい。
【0054】
ここではデジタル証明書の署名にSHA−1ハッシュアルゴリズムを用いたが、任意の一方向性関数を用いてもよい。
【0055】
なお、秘密鍵として、HTTPサーバ手段13はすべてのコンテンツについて同一の鍵を用いてもよいし、コンテンツ毎に異なる鍵を配布してもよい。また、HTTPサーバ手段13は秘密鍵を1つ保持することに限定されず、複数の秘密鍵を保持してもよい。この場合、秘密鍵を識別するための識別情報をCookie生成手段14がCookieに含めてもよい。あるいは、HTTPサーバ手段13は保持するすべての秘密鍵を用いてデジタル証明書の署名を行い、1つでも一致すれば検証が成功したとしてもよい。
【0056】
以上のように、第2の実施形態によれば、Cookie生成手段14が生成したCookieにデジタル証明書の署名を行い、Cookie確認手段15がCookieのデジタル証明書の署名の検証を行う。この構成により、携帯端末10はCookieの改ざんを防止し、サービスの利用を許可する正当な端末にのみサービスを提供することができるという効果が得られる。
【0057】
第3の実施形態
図7は、第3の実施形態に係る通信装置60の構成を示すブロック図である。図7に示すように、通信装置60は、通信手段61、識別情報生成手段62およびサービス提供手段63を備える。
【0058】
通信手段61は、第1のネットワークまたは第2のネットワークからリクエストを受け取り、そのリクエストに応じたレスポンスを返す。識別情報生成手段62は、通信手段61がリクエストを第1のネットワークから受信したとき、そのリクエストが第2のネットワークからアクセスするための識別情報を含まない場合は該識別情報を生成してレスポンスに含め、通信手段61がリクエストを第2のネットワークから受信したとき、識別情報を生成しない。サービス提供手段63は、通信手段61が第2のネットワークから受け取ったリクエストが、識別情報を含むときは当該リクエストに応じたサービスをレスポンスに含め、含まないときはサービスの利用の不許可をレスポンスに含める。
【0059】
以上のように、第3の実施形態によれば、通信装置60は利用者毎のサービスの利用可否を決定できるという効果が得られる。
【産業上の利用可能性】
【0060】
本発明は、サーバ機能を搭載する通信装置に適用できる。
【符号の説明】
【0061】
10 携帯端末
11 無線LAN通信手段
12 インターネット通信手段
13 HTTPサーバ手段
14 Cookie生成手段
15 Cookie確認手段
16 コンテンツ格納手段
20,30 端末
40 無線LAN
50 インターネット
【特許請求の範囲】
【請求項1】
第1のネットワークまたは第2のネットワークからリクエストを受け取り、当該リクエストに応じたレスポンスを返す通信手段と、
前記通信手段が前記リクエストを第1のネットワークから受信したとき、当該リクエストが第2のネットワークからアクセスするための識別情報を含まない場合は該識別情報を生成して前記レスポンスに含め、前記通信手段が前記リクエストを第2のネットワークから受信したとき、前記識別情報を生成しない識別情報生成手段と、
前記通信手段が第2のネットワークから受け取ったリクエストが、前記識別情報を含むときは当該リクエストに応じたサービスをレスポンスに含め、含まないときはサービスの利用の不許可をレスポンスに含めるサービス提供手段と
を備えた通信装置。
【請求項2】
前記通信手段が第2のネットワークから受け取ったリクエストに含まれる識別情報の有効性を確認する識別情報確認手段をさらに備えることを特徴とする請求項1記載の通信装置。
【請求項3】
前記識別情報生成手段は、生成した識別情報に対してデジタル証明書の署名を行うことを特徴とする請求項1または請求項2記載の通信装置。
【請求項4】
前記識別情報確認手段は、受け取った識別情報にデジタル証明書の署名がなされていたらその検証を行うことを特徴とする請求項2記載の通信装置。
【請求項5】
前記第1のネットワークは、アクセス認証を必要とするローカルネットワークであり、前記第2のネットワークは不特定多数の人がアクセス可能なネットワークであることを特徴とする請求項1ないし請求項4のいずれか1項記載の通信装置。
【請求項6】
前記識別情報生成手段は、識別情報としてCookieを生成することを特徴とする請求項1ないし請求項5記載の通信装置。
【請求項7】
第1のネットワークまたは第2のネットワークからリクエストを受け取り、
前記リクエストを第1のネットワークから受信したとき、当該リクエストが第2のネットワークからアクセスするための識別情報を含まない場合は該識別情報を生成してレスポンスに含め、前記リクエストを第2のネットワークから受信したとき、前記識別情報を生成しない制御を行い、
前記第2のネットワークから受け取ったリクエストが、前記識別情報を含むときは当該リクエストに応じたサービスをレスポンスに含め、含まないときはサービスの利用の不許可をレスポンスに含めること
を備えた通信方法。
【請求項8】
前記第2のネットワークから受け取ったリクエストに含まれる識別情報の有効性を確認することをさらに備えることを特徴とする請求項7記載の通信方法。
【請求項9】
生成した識別情報に対してデジタル証明書の署名を行うことを特徴とする請求項7または請求項8記載の通信方法。
【請求項10】
受け取った識別情報にデジタル証明書の署名がなされていたらその検証を行うことを特徴とする請求項8記載の通信方法。
【請求項11】
前記第1のネットワークは、アクセス認証を必要とするローカルネットワークであり、前記第2のネットワークは不特定多数の人がアクセス可能なネットワークであることを特徴とする請求項7ないし請求項10のいずれか1項記載の通信方法。
【請求項12】
識別情報としてCookieを生成することを特徴とする請求項7ないし請求項11記載の通信方法。
【請求項13】
第1のネットワークまたは第2のネットワークからリクエストを受け取る処理と、
前記リクエストを第1のネットワークから受信したとき、当該リクエストが第2のネットワークからアクセスするための識別情報を含まない場合は該識別情報を生成してレスポンスに含め、前記リクエストを第2のネットワークから受信したとき、前記識別情報を生成しない処理と、
前記第2のネットワークから受け取ったリクエストが、前記識別情報を含むときは当該リクエストに応じたサービスをレスポンスに含め、含まないときはサービスの利用の不許可をレスポンスに含める処理とを、
コンピュータに実行させるプログラム。
【請求項14】
前記第2のネットワークから受け取ったリクエストに含まれる識別情報の有効性を確認する処理をさらに備えることを特徴とする請求項13記載のプログラム。
【請求項15】
生成した識別情報に対してデジタル証明書の署名を行う処理を含むことを特徴とする請求項13または請求項14記載のプログラム。
【請求項16】
受け取った識別情報にデジタル証明書の署名がなされていたらその検証を行う処理を含むことを特徴とする請求項14記載のプログラム。
【請求項17】
前記第1のネットワークは、アクセス認証を必要とするローカルネットワークであり、前記第2のネットワークは不特定多数の人がアクセス可能なネットワークであることを特徴とする請求項13ないし請求項16のいずれか1項記載のプログラム。
【請求項18】
識別情報としてCookieを生成する処理を含むことを特徴とする請求項13ないし請求項17記載のプログラム。
【請求項1】
第1のネットワークまたは第2のネットワークからリクエストを受け取り、当該リクエストに応じたレスポンスを返す通信手段と、
前記通信手段が前記リクエストを第1のネットワークから受信したとき、当該リクエストが第2のネットワークからアクセスするための識別情報を含まない場合は該識別情報を生成して前記レスポンスに含め、前記通信手段が前記リクエストを第2のネットワークから受信したとき、前記識別情報を生成しない識別情報生成手段と、
前記通信手段が第2のネットワークから受け取ったリクエストが、前記識別情報を含むときは当該リクエストに応じたサービスをレスポンスに含め、含まないときはサービスの利用の不許可をレスポンスに含めるサービス提供手段と
を備えた通信装置。
【請求項2】
前記通信手段が第2のネットワークから受け取ったリクエストに含まれる識別情報の有効性を確認する識別情報確認手段をさらに備えることを特徴とする請求項1記載の通信装置。
【請求項3】
前記識別情報生成手段は、生成した識別情報に対してデジタル証明書の署名を行うことを特徴とする請求項1または請求項2記載の通信装置。
【請求項4】
前記識別情報確認手段は、受け取った識別情報にデジタル証明書の署名がなされていたらその検証を行うことを特徴とする請求項2記載の通信装置。
【請求項5】
前記第1のネットワークは、アクセス認証を必要とするローカルネットワークであり、前記第2のネットワークは不特定多数の人がアクセス可能なネットワークであることを特徴とする請求項1ないし請求項4のいずれか1項記載の通信装置。
【請求項6】
前記識別情報生成手段は、識別情報としてCookieを生成することを特徴とする請求項1ないし請求項5記載の通信装置。
【請求項7】
第1のネットワークまたは第2のネットワークからリクエストを受け取り、
前記リクエストを第1のネットワークから受信したとき、当該リクエストが第2のネットワークからアクセスするための識別情報を含まない場合は該識別情報を生成してレスポンスに含め、前記リクエストを第2のネットワークから受信したとき、前記識別情報を生成しない制御を行い、
前記第2のネットワークから受け取ったリクエストが、前記識別情報を含むときは当該リクエストに応じたサービスをレスポンスに含め、含まないときはサービスの利用の不許可をレスポンスに含めること
を備えた通信方法。
【請求項8】
前記第2のネットワークから受け取ったリクエストに含まれる識別情報の有効性を確認することをさらに備えることを特徴とする請求項7記載の通信方法。
【請求項9】
生成した識別情報に対してデジタル証明書の署名を行うことを特徴とする請求項7または請求項8記載の通信方法。
【請求項10】
受け取った識別情報にデジタル証明書の署名がなされていたらその検証を行うことを特徴とする請求項8記載の通信方法。
【請求項11】
前記第1のネットワークは、アクセス認証を必要とするローカルネットワークであり、前記第2のネットワークは不特定多数の人がアクセス可能なネットワークであることを特徴とする請求項7ないし請求項10のいずれか1項記載の通信方法。
【請求項12】
識別情報としてCookieを生成することを特徴とする請求項7ないし請求項11記載の通信方法。
【請求項13】
第1のネットワークまたは第2のネットワークからリクエストを受け取る処理と、
前記リクエストを第1のネットワークから受信したとき、当該リクエストが第2のネットワークからアクセスするための識別情報を含まない場合は該識別情報を生成してレスポンスに含め、前記リクエストを第2のネットワークから受信したとき、前記識別情報を生成しない処理と、
前記第2のネットワークから受け取ったリクエストが、前記識別情報を含むときは当該リクエストに応じたサービスをレスポンスに含め、含まないときはサービスの利用の不許可をレスポンスに含める処理とを、
コンピュータに実行させるプログラム。
【請求項14】
前記第2のネットワークから受け取ったリクエストに含まれる識別情報の有効性を確認する処理をさらに備えることを特徴とする請求項13記載のプログラム。
【請求項15】
生成した識別情報に対してデジタル証明書の署名を行う処理を含むことを特徴とする請求項13または請求項14記載のプログラム。
【請求項16】
受け取った識別情報にデジタル証明書の署名がなされていたらその検証を行う処理を含むことを特徴とする請求項14記載のプログラム。
【請求項17】
前記第1のネットワークは、アクセス認証を必要とするローカルネットワークであり、前記第2のネットワークは不特定多数の人がアクセス可能なネットワークであることを特徴とする請求項13ないし請求項16のいずれか1項記載のプログラム。
【請求項18】
識別情報としてCookieを生成する処理を含むことを特徴とする請求項13ないし請求項17記載のプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2011−107745(P2011−107745A)
【公開日】平成23年6月2日(2011.6.2)
【国際特許分類】
【出願番号】特願2009−258813(P2009−258813)
【出願日】平成21年11月12日(2009.11.12)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成23年6月2日(2011.6.2)
【国際特許分類】
【出願日】平成21年11月12日(2009.11.12)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]