专利名称:访问管理系统及其相关设备的制作方法
技术领域:
本发明涉及利用蜂窝移动站,进行对资源的访问权管理的访问信息 中继设备、网络设备、访问信息管理设备、资源管理设备及访问管理系 统。
背景技术:
为了使网络设备访问网络上的内容服务器,并取得内容,必须在网 络设备上具备用户投入访问信息用的键盘或液晶画面等。因此,难以使 网络设备小型化。
另外,为了在小型但没有充足的键盘和画面的节点(设备)中保存 内容,可以通过将其与计算机连接来转移被预先保存在计算机中的内容。
并且,上述背景技术中的关于在不具备充足的键盘和画面的节点中 保存内容的技术,就申请人在申请时所知,还没有文献公知。
另外,申请人在申请之前没有发现与本发明相关联的先行技术文献。 因此,没有先行技术文献信息是已公开的。
然而,在上述的背景技术中存在以下的问题。
在通过把节点连接到计算机上以转移预先保存在计算机中的内容的 方法中,因为内容在服务器、计算机、节点间移动,所以特别是在内容 的容量大的情况下,存在保存很费时间这样的缺点。
发明内容
因此,在本发明中,其目的是提供能够取得对各资源的访问信息, 并传送给访问主体的访问信息中继设备、网络设备、访问信息管理设备、 资源管理设备及访问管理系统。
3为了解决上述课题,本发明的访问信息中继设备具备访问信息取 得单元,其取得由用于对资源进行访问的信息和用于下载资源的密钥构
成的访问信息;通信单元,其把访问信息发送给其它的访问信息中继设 备和访问主体中的至少一方。
通过这样构成,能够取得对网络上的各资源的访问信息,把该取得 的访问信息传送给访问主体。
另外,本发明的网络设备具备存储单元,其存储由用于对资源进 行访问的信息和用于下载资源的密钥构成的访问信息;访问单元,其根 据访问信息,对资源进行访问;解密单元,其利用密钥对已加密的资源
进行解密。
通过这样构成,可以对资源进行访问。
另外,本发明的访问信息管理设备具备存储单元,其存储用于对
资源进行访问的信息和表示可否对资源进行访问的信息中的至少一方;
访问信息生成单元,其按照用于对资源进行访问的信息的发布请求,生 成由用于对所请求的资源进行访问的信息和用于下载资源的密钥构成的
访问信息;发送单元,其发送所生成的所述访问信息。
通过这样构成,可以管理网络上所存在的资源的访问信息。
另外,本发明的资源管理设备具备存储资源的存储单元;加密单
元,其根据所通知的访问信息,对要发布的资源进行加密;发布单元,
其发布已加密的资源。
通过这样构成,可以根据访问信息来发布资源。
另外,本发明的访问管理系统具备存储单元,其存储用于对资源
进行访问的信息和表示可否对资源进行访问的信息中的至少一方;访问
信息生成单元,其按照用于对资源进行访问的信息的发布请求,生成由 用于对所请求的资源进行访问的信息和用于下载资源的密钥构成的访问
信息;通信单元,其把访问信息发送给访问主体,访问主体具备存储
所接收到的所述访问信息的存储单元;根据访问信息对资源进行访问的
访问单元;利用密钥对已加密的资源进行解密的解密单元,管理资源的 资源管理设备具备存储资源的存储单元;根据从访问信息管理节点所通知的访问信息,对要发布的资源进行加密的加密单元;发布已加密的 资源的发布单元。
通过这样构成,可以取得对网络上的各资源的访问信息,把该取得 的访问信息传送给访问主体。另外,访问主体,例如网络设备能够实际 地访问资源。
根据本发明的实施例,可以实现能取得对各资源的访问信息,并传 送给访问主体的访问信息中继设备、网络设备、访问信息管理设备、资 源管理设备和访问管理系统。
图1是表示本发明的一个实施例的访问管理系统的结构的说明图。
图2是表示本发明的一个实施例的访问信息管理节点的结构的方框图。
图3是表示本发明的一个实施例的访问信息中继节点的结构的方框图。
图4是表示本发明的一个实施例的网络设备的结构的方框图。
图5是表示本发明的一个实施例的资源管理节点的结构的方框图。
图6是表示本发明的一个实施例的访问管理系统的动作的方框图。
图7是表示本发明的一个实施例的访问管理系统的动作的顺序图。
图8是表示本发明的一个实施例的访问管理系统的动作的顺序图。
图9是表示本发明的一个实施例的访问ID列表的说明图。
图IO是表示本发明的一个实施例的访问管理系统的结构的说明图。
图11是表示本发明的一个实施例的资源管理设备的结构的方框图。
图12是表示本发明的一个实施例的网络设备的结构的方框图。
图13是表示本发明的一个实施例的访问管理系统的结构的说明图。
图14是表示本发明的一个实施例的资源管理设备的结构的方框图。
图15是表示本发明的一个实施例的网络设备的结构的方框图。
图16是表示本发明的一个实施例的访问管理系统的动作的顺序图。
具体实施例方式
接着,参照
本发明的实施例。
并且,在用于说明实施例的所有附图中,具有相同功能的部件使用 相同符号,省略重复的说明。
首先,参照图1说明本发明的第1实施例的访问管理系统。 在本实施例的访问管理系统100中,作为访问信息中继节点(设备) 120的移动站从存在于网络上的存储有访问信息的访问信息管理节点110 中取得访问信息,并把所取得的访问信息发送给成为访问主体的网络设
备130。另外,网络设备130根据接收到的访问信息,访问资源。
访问管理系统100具备访问信息管理节点(设备)110;通过通信
网10、例如蜂窝网络(cellular NW)与访问信息管理节点IIO连接的访 问信息中继节点(设备)120;与访问信息中继节点120连接的网络设备 130;通过通信网12、例如家庭网络与网络设备130连接的网关(GW) 140;通过通信网14、例如因特网与网关140连接的资源管理节点(设备) 150、 160和170。另外,访问信息管理节点IIO与通信网14连接。
接着,参照图2 图5说明访问信息管理节点110、访问信息中继节 点120、网络设备130和资源管理节点150、 160和170。
参照图2说明访问信息管理节点110。
访问信息管理节点110具备:作为访问权判断单元的访问控制部112、 与访问控制部112连接的存储部114、作为访问信息生成单元和发送单元 的访问信息生成部116、更新部118和收费部119。
访问控制部112控制对访问信息中继节点120和资源管理节点150、 160和170的访问。例如,在从访问信息中继节点120接收到由用于对某 资源进行访问的信息和用于下载资源的下载密钥((解除资源的隐匿性 的)密钥)构成的访问信息的发布请求的情况下,参照存储在后述的存 储部114中的用于对存在于网络上的资源进行访问的信息和表示可否对 各资源进行访问的信息中的至少一方,判断对访问信息中继节点120是 否具有访问权。其结果是,在具有访问权的情况下把所请求的资源的访 问信息发布给访问信息中继节点120,在没有访问权的情况下拒绝发布请
6求。这里所说的资源是指节点自身、节点所具备的存储介质读写器、节 点所存储的信息。
另外,对存在于网络上的资源的访问信息进行一元管理。例如,根 据访问信息中继节点120来管理对各资源的访问权。另外,也可以在访
问信息中继节点120中设置存储了用于识别用户的信息的模块、例如SIM (Subscriber Identity Module,用户识别模块),根据该模块来进行管理。 由此,利用了访问信息中继节点120或访问信息中继节点120所具 备的存储有用于识别用户的信息的模块与其所有者的同一性的安全的访 问控制成为可能。即,可以利用访问信息中继节点120或存储有用于识 别用户的信息的模块总是被其所有者携带和利用这样的性质来进行访问 控制。
存储部114存储用于对存在于网络上的资源进行访问的信息和表示 可否对各资源进行访问的信息中的至少一方。例如,如图1所示,存储 对各资源的访问权,即表示访问信息中继节点可否进行访问的信息以及 对各资源的访问信息等。
例如,对于资源管理节点150的文件A,访问信息中继节点121、 122 被许可访问,地址是205.214.12.5,访问密钥是"huidjf89"。另外,对于 资源管理节点160的服务B,访问信息中继节点120、 123被许可访问, 地址是205.214.12.33,端口号是5003,访问密钥是"uhowiru"。另外, 对于资源管理节点170,访问信息中继节点124、 125被许可访问,地址 是200.168.22.22,访问密钥是"wd53hjo4"。
访问信息生成部116生成由用于对资源进行访问的信息和用于下载 资源的下载密钥构成的访问信息。这里,用于对资源进行访问的信息, 在资源是节点、节点所具备的存储介质读写器的情况下,是指IP地址或 IP地址和端口号等,在资源是所存储的信息的情况下,是指资源所存在 的节点的IP地址和用于确定资源的内容ID等。另外,用于下载资源的 下载密钥是指用于解除资源的隐匿性的密钥,例如在信息的收发中需要 密码等安全信息的情况下,是指其安全信息。
更新部118根据从资源管理节点150发送的最新的资源访问信息,更新存储在存储部114中的资源访问信息。通过具备更新部118,可以减 少对当前为旧的且无效的资源的访问,并且可以削减无用的访问业务量。
收费部119进行收费处理。例如,根据访问信息中继节点120进行 收费处理。另外,也可以在访问信息中继节点120中设置存储有用于识 别用户的信息的模块、例如SIM (Subscriber Identity Module),并根据该 用于识别用户的信息来进行收费处理。
通过具备收费部119,可以把以前的发布收费资源的节点各自具备的 收费单元汇集到访问信息管理节点110中。另外,以前的一个用户的收 费信息、例如信用卡的号码等被登记到多个资源管理节点中,而在本实 施例中一个用户的收费信息仅被登记到访问信息管理节点上,所以能够 削减存储收费信息的存储容量。
接着,参照图3说明访问信息中继节点120。
访问信息中继节点120具备作为访问信息取得单元的访问控制部 122、与访问控制部122连接的输入部124和通信部126。
访问控制部122控制对访问信息管理节点110和网络设备130的访 问。另外,访问控制部122对访问信息管理节点110进行访问,取得由 用于对资源进行访问的信息和用于下载资源的下载密钥构成的访问信 息。输入部124根据资源的访问信息选择要请求的资源。通信部126例 如由近距离无线通信构成并与网络设备130进行通信。例如,把与要请 求的资源对应的访问信息投入到网络设备130中。
接着,参照图4说明网络设备130。
网络设备130具备控制部132、与控制部132连接的存储部134和解 密部136。
控制部132对访问信息中继节点120与资源管理节点150、 160及170 之间的访问进行控制。存储部134存储从访问信息管理节点110发送的 访问信息。解密部136使用存储在存储部134中的密钥对从资源管理节 点150、 160及170发送的已加密的信息进行解密处理。
接着,参照图5对资源管理节点150进行说明。资源管理节点160 和170是与资源管理节点150相同的结构,所以省略其说明。资源管理节点150具备控制部152、与控制部152连接的存储部154、 加密部156和发布部158。
控制部152对访问信息管理节点110与网络设备130之间的访问进 行控制。存储部154存储资源。加密部158使用从访问信息管理节点110 发送的访问信息中所包含的下载密钥进行加密处理。发布部158把已加 密的信息发布给网络设备130。
接着,参照图6说明本实施例的访问管理系统100的动作。
这里,作为一例对由管理内容的内容服务器构成资源管理节点150、 160和170,由移动站构成访问信息中继节点120,由便携式游戏机构成 网络设备130的情况进行说明。这种情况下,访问信息管理节点110管 理存储在内容服务器中的乐曲的曲目信息。
首先,各公司的内容服务器150、 160和170通过通信网14、例如因 特网,对访问信息管理节点IIO进行访问,随时更新存储在存储部154 中的乐曲的曲目信息的列表((l)曲目信息的更新)。
接着,访问信息管理节点110的更新部118根据所发送的乐曲的曲 目信息,更新存储在存储部114中的曲目列表的信息。结果,在访问信 息管理节点上,如图6所示,存在综合的曲目列表。
这样,各资源管理节点150、 160和170与访问信息管理节点IIO进 行通信,通过通知本资源管理节点的资源访问信息,可以减少利用当前 为无效的(旧的)访问信息进行的访问,并可以削减无用的访问业务量。
接着,用户K使用蜂窝移动站120,对访问信息管理节点110进行 访问,选择想要从访问信息管理节点110的曲目列表中购入的曲目,并 进行请求((2)曲目的选择和请求)。
这种情况下,在请求了曲目的移动站120或移动站120所具备的存 储有用于识别用户的信息的模块没有对请求资源的访问权的情况下,可 以通过对请求了曲目的移动站120或移动站120所具备的存储有用于识 别用户的信息的模块进行收费处理,来赋予访问权。
这里,对选择了B公司内容服务器160 (IP地址205.214.12.5)上 的曲目"AAA"的情况进行说明。
9接着,访问信息管理节点110的收费部119按照所选择的曲目,对
用户K进行收费处理((3)收费处理)。这里,对于曲目"AAA"进行 200日元的收费处理。
例如,收费部119可以进行对移动站120的所有者的收费处理,另 外,也可以在移动站120中设置存储有用于识别用户的信息的模块、例 如SIM (Subscriber Identity Module),并根据该用于识别用户的信息来进 行收费处理。
接着,访问信息管理节点110的访问信息生成部116发行作为表示 访问用的信息的请求识别号的请求ID、 一次性密码、作为一次性共用密 钥的下载密钥。另外,访问信息生成部116把请求ID和下载密钥与B公 司内容服务器160的IP地址一起作为访问信息,发送给移动站120 ((4) 访问信息的发布)。
这里,在访问信息管理节点110中具备与蜂窝系统直接连接的接口, 可以对访问信息发布请求的接收和访问信息发布中的至少一方,使用该 接口进行发送。这样,可以实现不能盗听的访问信息的发布。
当接收到访问信息时,移动站120的通信部126把接收到的访问信 息发送给便携式游戏机。例如,用户K操作移动站120,利用红外线接 口,把所发送的访问信息投入到便携式游戏机130中。这样,通过利用 近距离无线通信来进行移动站120与网络设备130之间的通信,与利用 有线的情况相比不需要布线,能够很快地投入访问信息。由于访问信息 在发布后可能变化,所以通过很快地投入访问信息,能够减少访问信息 过期的件数,并且能够削减在网络上流动的访问业务量。便携式游戏机 130把接收到的访问信息存储在存储部134中。
另一方面,访问信息管理节点110的访问信息生成部116把生成的 请求ID和下载密钥、以及用户K所选择的曲目的标题通知给B公司内 容服务器160 ((6)发布的访问信息)。B公司内容服务器160把表示所 接收的请求ID和下载密钥、以及用户K所选择的曲目的标题的信息存储 到存储部154中。
接着,用户K操作便携式游戏机130,通过GW 140对B公司内容服务器160进行访问,通过下载获取乐曲"AAA" ((7)乐曲的下载)。 接着,参照图7说明乐曲的下载处理。
首先,便携式游戏机160的控制部132把请求ID发送给B公司内容 服务器160。这里,作为请求ID发送"22520"。
当B公司内容服务器160接收到请求ID时,加密部156利用下载密 钥、这里是"shu467ef"对与请求ID对应的乐曲"AAA"进行加密并输 入到发布部158中。发布部158把加密后的乐曲"AAA"发送给便携式 游戏机130。
当便携式游戏机130接收到已加密的乐曲"AAA"时,解密部136 使用存储在存储部134中的下载密钥,对己加密的乐曲进行解密。
这样,资源管理节点根据从访问信息管理节点通知的访问信息来发 布资源,从而可以发布防止重传攻击(retry attack)的资源。
另外,在该情况下,由访问信息管理节点、访问信息中继节点、网 络设备发送访问信息,但访问信息与资源相比其容量非常小,所以对网 络设备的内容取得时间的影响小。
接着,参照图8和图9说明本实施例的其它访问管理系统200的动作。
这里,作为一例对由监视照相机250、 AV服务器260和电冰箱270 构成资源管理节点150、 160和170,由移动站构成访问信息中继节点120, 由监视器230构成网络设备130的情况进行说明。这种情况下,访问信 息管理节点110如图9所示,把监视照相机250、 AV服务器260和电冰 箱270的IP地址及端口号的信息作为地址ID列表进行存储和管理。
对用户确认自家中设置的监视照相机的图像的情况进行说明。
用户与因特网服务提供商(ISP)签订因特网连接合同,把全球IP 赋予给设置在自家中的路由器220。另外,路由器220对家庭网络内的各 网络设备,即监视照相机250、 AV服务器260和电冰箱270,分配固有 的端口号。因此,在从外部对家庭网络内的网络设备进行访问的情况下, 路由器指定由ISP赋予的全球IP地址和网络设备固有的端口号。
首先,用户通过通信网、例如CellularNW从移动站120向自家的访
ii问信息管理节点IIO发出呼叫(假设电话号码是预先知道的),请求被存
储在存储部114中的访问ID列表((l)访问ID列表)。
访问信息管理节点110的访问控制部112针对从移动站120发送的 请求,把家庭网络内的监视照相机250、 AV服务器260和电冰箱270等 家电产品的访问ID列表返回给移动站120。
这里,在访问信息管理节点110中具备与蜂窝系统直接连接的接口, 可以对访问信息发布请求的接收和访问信息发布中的至少一方使用该接 口。这样,可以实现不能盗听的访问信息发布。
接着,用户通过操作移动站120的输入部124,从访问ID列表中选 择监视照相机250,把监视照相机250的访问ID通过通信部126、例如 红外线接口投入到监视器230中。
接着用户使用被传送给监视器230的访问ID,由监视器230访问监 视照相机250,对监视照相机250的图像进行监视。
在本实施例中,对访问信息管理节点独立存在的情况进行了说明, 然而作为访问信息管理功能也能内置于访问信息中继节点120中。例如 作为蜂窝数据卡,内置于移动站中。
接着,参照图10说明本发明的第2实施例的访问管理系统。
这里,作为一例,对由照相机280构成资源管理设备,由具备非接 触IC卡、例如FeliCa的移动站320 (32Ch和3202)构成访问信息中继设 备120,由显像机330 (33(h和3302)构成网络设备130的情况进行说明。
例如,在A君的家里,具有与网络连接、通过接收控制命令能够进 行照相机操作的网络照相机280,该照相机280根据来自外部的请求,发 布影像。然而,对于在发布请求时没有发送来正确密码的用户不进行影 像的发布。
另外,在A君的公司的桌子上具有网络显像机33(h。该网络显像机 33(h能够通过网络接收影像。这种情况下,网络显像机33(h向照相机280 进行影像发布请求。
并且,在A君的亲友B君的公司桌子上也有同一类型的网络显像机。
参照图11说明本实施例的照相机280。照相机280具有摄影部281、与摄影部281连接的编码部282、与 编码部282连接的通信部283、与通信部283连接的网络IF 284、访问 信息管理部288和非接触IC卡接口 286。
摄影部281对对象进行拍摄,把所拍摄的静止图像或动态图像输入 到编码部282中。编码部282对所输入的静止图像或动态图像进行编码, 并输入到通信部283中。
通信部283在接收到图像的发布请求的情况下,根据后述的访问信 息管理部288的密码验证处理的结果,把影像发送给请求源。
访问信息管理部288具备DHCP (dynamic host configuration protocol,动态主机分配协议)客户机功能,取得照相机自身的IP地址 并进行存储。另外,访问信息管理部288存储认证用密码,验证从显像 机330发送的密码,并把密码的正确与否通知给通信部283。
非接触工C卡接口 286具备例如FeliCa接口 ,把访问信息管理部288 所存储的照相机自身的IP地址和密码传送给外部设备、例如移动站320。
接着,参照图12说明本实施例的显像机330。
显像机330具备监视器部331、与监视器部331连接的解码部332、 与解码部332连接的通信部334、与通信部334连接的网络IF 336和非 接触IC卡接口 338 。
通信部334根据经由非接触IC卡接口 338、例如FeliCa接口所接收 到的访问信息,例如IP地址、密码,通过网络IF 336向网络照相机280 发送发布请求。
在照相机接受发布请求,并发布了影像数据的情况下,通信部334 通过网络IF 336接收影像数据,把所接收到的影像数据输入到解码部332 中。
解码部332对所输入的影像数据(数字数据)进行解码,并输入到 监视器部331中。监视器部331显示已解码的静止图像或动态图像。
接着,具体说明本实施例的访问管理系统的动作。
A君在去公司前,取出作为访问信息中继设备的便携终端32(h,使用 便携终端32(h所具备的非接触IC卡、例如FeliCa,取得由网络照相机280的IP地址和密码组成的访问信息((l)取得访问信息(IP地址和密 码))。
例如,访问控制部122通过通信部126所具备的近距离无线通信功 能取得访问信息。
照相机280在提供访问信息时,即使不特别进行A君的本人确认, 只要照相机280的设置场所在A君的家内,访问信息泄漏给非确定的第 三者的可能性就很小。
A君在中午休息时,使用便携终端32(h所具备的非接触IC卡接口 , 把访问信息投入到公司桌子上的网络显像机33(h中((2)投入访问信息)。 例如,访问控制部122通过通信部126所具备的近距离无线通信功能和1 对1直接通信功能中的一方来投入访问信息。
显像机33(h通过非接触IC卡接口 338取得访问信息。通信部334按 照所输入的访问信息访问照相机280,并发送发布请求和密码。
照相机280的通信部283通过网络IF 284接收从显像机33(h发送的 发布请求和密码,并输入到访问信息管理部288中。访问信息管理部288 进行密码的验证,在密码正确的情况下把表示许可发布的信息输入到通 信部283中。通信部283根据所输入的表示许可发布的信息,进行发布。 被发布的数据在显像机33(h中通过网络IF 336被通信部334接收,在解 码部332中被解码,并被输入到监视器部331中。结果,在监视器部331 上显示照相机280所拍摄的影像。
这样A君可以使用没有大的外部输入设备的照相机280、显像机33(h,
确认例如放在家里饲养的猫的状态。
一会儿,A君想向亲友B君夸耀一下饲养的猫,也让B君访问照相机 280。 A君操作便携终端32(h的输入部124,从而利用通信部126所具备 的近距离无线通信功能和1对1直接通信功能中的一方把访问信息投入 到访问控制部122中。这种情况下,A君在便携终端32(h的电子邮件中 加载访问信息并发送到B君的便携终端3202中((3)访问信息的传送)。
这种情况下,A君所发送的电子邮件通过蜂窝网络10,发送到B君 的便携终端3202中。接收到A君所发送的电子邮件的B君使用便携终端3202所具备的非
接触IC卡,把访问信息、例如IP地址、密码投入到显像机3302的非接 触工C卡接口 338中。
显像机3302的通信部334按照所输入的访问信息,访问照相机280, 进行请求发送。之后,如上所述进行密码的验证等,在显像机3302的监 视器部331上显示照相机280所拍摄的影像。
这样,A君和B君可以享受A君词养的猫的状态。
根据本实施例,不需要用于向照相机280或显像机330投入访问信 息等的大的输入装置。而且,因为访问信息仅使用非接触IC卡、例如 FeliCa的近距离通信功能以及便携终端网来进行传送,所以泄漏给第三 者的可能性低,实现了安全且简单的资源共享。
接着,参照图13说明本发明的第3实施例的访问管理系统。
这里,作为一例,对由文件服务器430构成资源管理设备,由记录 介质、例如USB存储器构成访问信息中继设备,由PC(Personal Computer, 个人电脑)440构成网络设备的情况进行说明。
例如,在A君的家里有家庭网络12,带有例如DHCP/IP伪装功能的 宽带路由器成为家庭网络12的网关(GW) 140。
A君为了与住在远处的父母共享照片,配置了文件服务器430,该文 件服务器430被提供了 IP地址192. 168. 0. 212。另外,GW 140的外部IP 地址是200. 0. 0. 211。 GW 140针对来自外部的发送给相同IP地址的分组, 把端口号212传送给文件服务器430。
接着,参照图14说明本实施例的文件服务器430。
文件服务器430具备接口 431、与接口 431连接的访问信息管理部 432和通信部436、与通信部436连接的存储部434和网络IF 438。
存储部434存储文件,例如照片数据。
通信部436在接收到文件公开请求的情况下,根据后述的访问信息 管理部432中的密码的验证处理的结果,向请求源公开所请求的文件。
访问信息管理部432具有通过网络IF 438与GW 140进行通信的功 能,取得GW 140的外部IP地址、例如200. 0. 0. 211以及赋予给文件服务器430的传送用端口号、例如212,并将其作为资源所在地信息进行存 储。而且,访问信息管理部432存储用于解除资源的隐匿性的密钥、例 如密码,验证从PC 440发送的密码,把密码的正确与否通知给通信部436。
接口 431例如由USB接口构成,对例如带访问信息中继功能的USB 存储器420传送访问信息管理部432所存储的IP地址、端口号、密码。
接着,参照图15说明本实施例的PC 440。
PC440具备监视器部442、与监视器部442连接的通信部444、与 通信部444连接的网络IF 446和接口 448。
接口 448例如由USB接口构成,从例如带访问信息中继功能的USB 存储器420中取得访问信息,例如IP地址、端口号、密码,并传送给通 信部444。
通信部444根据经由USB存储器而输入的访问信息,向文件服务器 430发送照片的公开请求。
照片公开请求被文件服务器430接受,在发布了照片的情况下,通 信部444把通过网络IF接收到的照片数据输入到监视器部442中。监视 器部442根据所输入的照片数据,在监视器画面上显示照片。
接着,具体说明本实施例的访问管理系统的动作。
A君在设置了文件服务器430后,把带访问信息中继功能的USB存储 器420安装到该文件服务器430上((l) USB存储器安装)。
检测到带访问信息中继功能的USB存储器420的文件服务器430的 访问信息管理部432与家庭网络(专用网络)12的GW140进行通信,通 过网络IF 438和通信部436取得GW 140所保存的文件服务器430的所 在地信息((2)取得资源所在地信息))。所取得的所在地信息例如是工P 地址、例如200.0.0.211以及所分配的端口号、例如212。
文件服务器430的访问信息管理部432把由所在地信息以及密码、 例如"cats"构成的访问信息通过接口 432保存到USB存储器420中((3)
把访问信息传送给存储器)。
然后,A君把USB存储器420寄送给住在远处的父母((4)寄送USB
存储器)。然后,得到了 USB存储器420的父母把USB存储器420安装到PC 440 上((5)安装USB存储器)。
PC 440的通信部444通过接口 448取得访问信息,通过网络IF 446, 访问文件服务器430,发送公开请求和密码。
文件服务器430的通信部436通过网络IF,接收所发送的公开请求, 在访问信息管理部432中,进行密码的验证。通信部436在密码正确的 情况下,从存储在存储部434中的文件中公开被请求的文件((6)公开 请求和公开)。
这样,A君和父母无需花费从外部输入设备输入访问信息等的工夫, 能够在网络上安全地共享照片。
在本实施例中,对文件服务器430从网关140取得资源所在地信息 的情况进行了说明,然而也可以通过与例如存在于家庭网络12之外的资 源所在地解决服务器进行通信,取得资源所在地信息。
参照图16说明从资源所在地解决服务器取得资源所在地信息时的动作。
文件服务器430的通信部436向资源所在地解决服务器发送所在地 通知请求分组(步骤S1602)。例如通信部436以与资源所在地解决服务 器对应的IP地址215. 215. 215. 215、端口号215为目的地进行发送。
即,通信部436发送发送源IP地址和端口号为192. 168. 0. 212和# 4000、发送目的地IP地址和端口号为215.215.215. 215和弁215、消息
类型为资源所在地通知请求的所在地通知请求分组。
从文件服务器430发送的所在地通知请求分组被GW 140接收,GW 140 变换所在地通知请求分组的发送源IP地址和端口号,并发送给资源所在 地解决服务器(步骤S1604)。 GW 140把发送源IP地址和端口号变换为 本GW 140的外部IP地址和所分配的端口号即200. 0. 0. 212和#212。
即,GW 140发送发送源IP地址和端口号为200.0.0. 212和井212、 发送目的地IP地址和端口号为215.215.215.215和#215、消息类型为 资源所在地通知请求的所在地通知请求分组。
接收到该所在地通知请求分组的资源所在地解决服务器向分组的发送源发送所在地通知分组(步骤S1606)。例如,资源所在地解决服务器 把所在地通知请求分组的发送源IP地址和端口号设定成所在地通知分组 的发送目的地IP地址和发送目的地端口,发送在数据部中保存了分组的 目的地信息作为资源所在地的所在地通知分组。
艮口,资源所在地解决服务器发送发送源IP地址和端口号为
215. 215. 215. 215和#215、发送目的地IP地址和端口号为200. 0. 0. 212 和#212、消息类型为资源所在地通知、资源所在地为200.0.0.212和# 212的所在地通知分组。
从资源所在地解决服务器发送的所在地通知分组被GW 140接收,GW 140变换所在地通知分组的发送目的地IP地址和端口号,并发送给文件 服务器430 (步骤S1608)。 GW140把发送目的地IP地址和端口号变换为 文件服务器430的IP地址和所分配的端口号即192. 168. 0. 212和#4000。
即,GW 140发送发送源IP地址和端口号为215. 215. 215. 215和#215、 发送目的地IP地址和端口号为192. 168. 0. 212和井4000、消息类型为资 源所在地通知、资源所在地为200. 0. 0. 212和弁212的所在地通知分组。
文件服务器430接收所在地通知分组。文件服务器430参照所在地 通知分组的数据部,获得自身的资源所在地信息。
文件服务器430存储资源所在地信息(步骤S1610)。
根据上述的实施例,作为取得访问信息的访问信息中继节点(设备), 使用蜂窝移动站,通过利用蜂窝移动站的用户的同一性,可进行防止冒 充的安全的访问权管理。另外,不需要使用移动站自身的保密密钥。
另外,可以通过访问信息中继节点(设备)和网络设备把访问信息 从外部投入给网络设备,可以使访问资源的网络设备小型化。
在本发明的实施例中,对访问信息管理节点独立存在的情况进行了 说明,然而并不一定要独立存在,也可以通过在其它网络设备上附加访 问信息管理功能的方式来实现。
本发明的访问信息中继设备、网络设备、访问信息管理设备、资源 管理设备和访问管理系统可应用于利用蜂窝移动站,进行对资源的访问 权管理的系统。
权利要求
1. 一种网络设备,其特征在于,包括存储单元(134),其存储由用于访问资源的信息和用于下载所述资源的密钥构成的访问信息;访问单元(132),其根据所述访问信息来访问所述资源;以及解密单元(136),其利用所述密钥对所述资源进行解密。
2. 根据权利要求l所述的网络设备,其特征在于,包括接收单元, 其从所述访问信息中继设备中接收所述访问信息。
全文摘要
本发明提供能够取得对各资源的访问信息,并传送给访问主体的访问信息中继设备、网络设备、访问信息管理设备、资源管理设备和访问管理系统。通过具备下述单元来达到上述目的访问信息管理设备,其具有根据用于对资源进行访问的信息的发布请求而生成访问信息的访问信息生成单元,以及发送所生成的访问信息的发送单元;访问信息中继设备,其具有取得访问信息的访问信息取得单元,以及把访问信息发送给访问主体的通信单元;网络设备,其具有根据访问信息,对资源进行访问的访问单元;资源管理设备,其具有根据所通知的访问信息而发布资源的发布单元。
文档编号H04L9/08GK101426011SQ200810166770
公开日2009年5月6日 申请日期2006年1月11日 优先权日2005年1月11日
发明者大前浩司, 松本洋一 申请人:株式会社Ntt都科摩