特許5809086 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ 西日本電信電話株式会社の特許一覧

特許5809086携帯端末在圏検知に基づくポート開閉制御方法

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3
4
5
6
7
8
9
10
11

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】5809086

(24)【登録日】2015年9月18日

(45)【発行日】2015年11月10日

(54)【発明の名称】携帯端末在圏検知に基づくポート開閉制御方法

(51)【国際特許分類】

H04W 12/08 20090101AFI20151021BHJP

H04W 88/16 20090101ALI20151021BHJP

【ＦＩ】

H04W12/08

H04W88/16

【請求項の数】6

【全頁数】17

(21)【出願番号】特願2012-58612(P2012-58612)

(22)【出願日】2012年3月15日

(65)【公開番号】特開2013-192160(P2013-192160A)

(43)【公開日】2013年9月26日

【審査請求日】2014年8月11日

(73)【特許権者】

【識別番号】399041158

【氏名又は名称】西日本電信電話株式会社

(74)【代理人】

【識別番号】100074206

【弁理士】

【氏名又は名称】鎌田文二

(74)【復代理人】

【識別番号】100130513

【弁理士】

【氏名又は名称】鎌田直也

(74)【代理人】

【識別番号】100084858

【弁理士】

【氏名又は名称】東尾正博

(74)【代理人】

【識別番号】100112575

【弁理士】

【氏名又は名称】田川孝由

(72)【発明者】

【氏名】横田健一

(72)【発明者】

【氏名】芝崎拓弥

(72)【発明者】

【氏名】川邉隆伸

(72)【発明者】

【氏名】宮奥健人

【審査官】望月章俊

(56)【参考文献】

【文献】特開２０１３−３０８３１（ＪＰ，Ａ）

【文献】特開２００６−１２１２０９（ＪＰ，Ａ）

【文献】国際公開第２０１２／０２６０８６（ＷＯ，Ａ１）

【文献】特開平１０−７０５７６（ＪＰ，Ａ）

【文献】国際公開第２００６／０４１０８０（ＷＯ，Ａ１）

【文献】欧州特許出願公開第１８５３０３８（ＥＰ，Ａ２）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｈ０４Ｗ４／００−Ｈ０４Ｗ９９／００

Ｈ０４Ｂ７／２４−Ｈ０４Ｂ７／２６

(57)【特許請求の範囲】

【請求項1】

ホームネットワークと外部ネットワークとの間に設け、ホームネットワーク内と外部ネットワークとの間の通信をポートごとに遮断可能な通信制御手段を有する中継装置であって、
前記中継装置の周囲に展開される無線通信エリアに存在する携帯端末との間で無線通信を行う無線通信手段又はその無線通信手段と相互通信可能な通信手段と、
上記携帯端末が上記無線通信エリアで通信可能か否かを検出する無線通信エリア在圏検知手段と、
利用者が外出先で利用可能な全ての上記携帯端末のＩＤを記録するリモートアクセス端末ＩＤデータベースと、
前記無線通信エリア在圏検知手段によって前記リモートアクセス端末ＩＤデータベースに記録された利用可能なＩＤを有する上記携帯端末の全てが検知される場合には上記通信制御手段のリモートアクセス用ポートを閉鎖させ、そうでない場合には上記通信制御手段のリモートアクセス用ポートを開放するよう、上記通信制御手段への制御信号を発する第一ポート開閉制御手段と、
を有する中継装置。

【請求項2】

上記無線通信手段で通信可能となった上記携帯端末のＭＡＣアドレスを上記のＩＤとして自動的に上記リモートアクセス端末ＩＤデータベースへ登録する端末ＩＤ自動登録手段を有する請求項１に記載の中継装置。

【請求項3】

利用者のホームネットワークと外部ネットワークとの間に設けられ、利用者が無線でリモートアクセスしようとする携帯端末のＩＤを登録したリモートアクセス端末ＩＤデータベースを有し、ホームネットワークとして接続可能な無線通信エリアを形成する無線通信手段を有する、複数個の中継装置からなる中継装置群と、
自身の周囲に展開される無線通信エリアに存在する携帯端末との間で無線通信を行う無線通信手段と、自身の無線通信エリア内で通信により在圏状態の変更の有無の変更を検知する無線通信エリア在圏検知手段と、在圏状態が変更された上記携帯端末のＩＤをサーバに送信させる在圏端末ＩＤ更新通知機能を実行する通信制御手段とを備えた無線アクセスポイント装置を複数個設置した、無線アクセスポイント装置群と、
上記中継装置のアドレス、及びその中継装置のリモートアクセス端末ＩＤデータベースに登録された携帯端末のＩＤが記録された端末ＩＤ総合データベースを有し、上記無線アクセスポイント装置群から在圏状態の変更が送信された上記携帯端末ＩＤの在圏状況を記録する外部在圏確認データベースを有し、当該携帯端末について在圏状態が変更された旨をその携帯端末のＩＤを自身のリモートアクセス端末ＩＤデータベースに有する前記中継装置へ送信可能な端末在圏情報管理サーバと、
からなり、
上記中継装置は、上記端末在圏情報管理サーバから、自身のリモートアクセス端末ＩＤデータベースにＩＤが登録された携帯端末がいずれかの無線アクセスポイント装置で在圏が検知されている旨の通知を受け取った場合のみ当該リモートアクセス用ポートを開放する第二ポート開放制御手段を有するようにしたリモートアクセスシステム。

【請求項4】

上記端末在圏情報管理サーバが、上記無線アクセスポイント装置からの通知を受け取ったら、端末ＩＤ総合データベースに当該ＩＤを在圏感知している旨を登録し、
各中継装置は、定期的に上記端末在圏情報管理サーバに問い合わせて、自身に属する上記携帯端末のＩＤがいずれかの無線アクセスポイント装置によって在圏感知されているか否かを問い合わせる在圏端末問合機能を実行し、
この問い合わせに対して、上記端末在圏情報管理サーバは、上記外部在圏確認データベースを検索して当該携帯端末の在圏状況を確認する総合在圏確認機能を実行し、その結果を上記中継装置に送信する在圏状況返答機能を実行する、請求項３に記載のリモートアクセスシステム。

【請求項5】

上記端末在圏情報管理サーバは、上記無線アクセスポイント装置群からの上記携帯端末の在圏状況が更新された通知を受け取ったら、そのＩＤについて上記端末ＩＤ総合データベースを検索してそのＩＤの携帯端末が属する上記中継装置のアドレスを求め、そのアドレスへ向けてポートを開放する通知を出す在圏情報更新通知機能を実行する、請求項３に記載のリモートシステム。

【請求項6】

上記中継装置群が、上記無線アクセスポイント装置群としての機能を有する、請求項３乃至５のいずれかに記載の、リモートアクセスシステム。

【発明の詳細な説明】

【技術分野】

【0001】

この発明は、リモートアクセスを受け付けるゲートウェイ装置に関する。

【背景技術】

【0002】

スマートフォンやサーバ機能を有するレコーダなどの普及に伴い、外出先から自宅のサーバにアクセスする需要が増加している。これを受け入れるために、宅内ＬＡＮとインターネットとを繋ぐゲートウェイ装置は、ＷＡＮ側、すなわち主にインターネット側の通信インターフェースに、リモートアクセスを受け付けるため所定のポートを開放しておく。リモートアクセスを行う端末は、公衆無線ＬＡＮのアクセスポイントや携帯電話網などを介してインターネットに接続し、利用者の自宅のゲートウェイ装置のＩＰアドレスへ、予め定めた前記の所定のポートに対して接続要求を発信し、規定のセッション確立手続を経て、端末とゲートウェイ装置との間でＶＰＮ（ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ）接続を確立してリモートアクセスを行う。

【0003】

しかし、リモートアクセスを受け入れる環境を整えておくと、同時に不正アクセスもされやすくなる。これに対して特許文献１では端末がゲートウェイの秘密鍵を保持し、リモートアクセス要求の際に送信することで、ゲートウェイ装置が健全なリモートアクセス要求であるか否かを判断する方法が提示されている。
また特許文献２では、まず端末がアクセスチケット発行要求を送信し、これを受けたゲートウェイ装置が要求に応じて鍵情報を生成して端末に送信し、端末が当該鍵情報を含むデータ要求を発するようにして、その鍵情報が同一と認証した上でアクセスを許可する方法が提示されている。

【0004】

さらに特許文献３では、ＬＡＮ内にＩＳＤＮ回線と接続するポート制御端末を設け、そこへＩＳＤＮ回線を使って外部からポート制御指示を出し、その指示を受けたポート制御端末はLAN内のサーバへポートの開閉指示を出すという方法が提示されている。

【0005】

ところで、これらとは別に、外出時における建物のセキュリティ監視システムにおいて、携帯型の情報通信端末が建物内にあるか否かを無線で検知する手段を設け、当該情報通信端末が建物の検知手段の範囲外に出たことが検知されたら、当該建物のセキュリティ監視対象のセキュリティ情報を検知装置から集め、通信ネットワークを介して当該情報通信端末に送信するという方法が知られている。これはネットワーク上のセキュリティではなく物理的なセキュリティの対処方法である。

【先行技術文献】

【特許文献】

【0006】

【特許文献1】特開２０１１−５２８５１７号公報

【特許文献2】特開２００８−１０９４５４号公報

【特許文献3】特開２０１１−８６１９７号公報

【特許文献4】特開２０１０−１０８４１５号公報

【発明の概要】

【発明が解決しようとする課題】

【0007】

しかしながら、特許文献１及び２に記載の方法では、鍵を使うとはいえポートは常時開放されている。また、特許文献３に記載の方法でも、ポート開放を行うサーバは制御チャネル用のポートを常時開けておく必要があった。結果としていずれの方法でも、ポートスキャンにより当該開放ポートを検出して不正なパケットを大量に送りつけてゲートウェイ装置のセキュリティを突破するＤｏＳ攻撃を回避できない。これは、ＩＰ電話などの生活インフラサービスの提供も兼ねるようになったＶｏＩＰルータ兼用ゲートウェイ装置において深刻な問題であった。

【0008】

そこでこの発明は、ポートスキャンやポートアタックに対しても十分な安全を確保しつつ、ゲートウェイに対してリモートアクセス可能な環境を構築することを目的とする。

【課題を解決するための手段】

【0009】

この発明は、
ホームネットワークと外部ネットワークとの間に設け、ホームネットワーク内と外部ネットワークとの間の通信をポートごとに遮断可能な通信制御手段を有する中継装置であって、
前記中継装置の周囲に展開される無線通信エリアに存在する携帯端末との間で無線通信を行う無線通信手段又はその無線通信手段と相互通信可能な通信手段と、
上記携帯端末が上記無線通信エリアで通信可能か否かを検出する無線通信エリア在圏検知手段と、
利用者が外出先で利用可能な全ての上記携帯端末のＩＤを記録するリモートアクセス端末ＩＤデータベースと、
前記無線通信エリア在圏検知手段によって前記リモートアクセス端末ＩＤデータベースに記録された利用可能なＩＤを有する上記携帯端末の全てが検知されうる場合には上記通信制御手段のリモートアクセス用ポートを閉鎖させ、そうでない場合には上記通信制御手段のリモートアクセス用ポートを開放するよう、上記通信制御手段への制御信号を発する第一ポート開閉制御手段と、
を有する中継装置により上記の課題を解決したのである。

【0010】

すなわち、リモートアクセスを行わなければならない状況というのは、利用者が携帯端末を外に持ち出している場合に限られる。このため、利用者が使う携帯端末が全て自宅にあるときはリモートアクセスを許可する必要が無いため、ポートは全て閉じておけばよい。そして、利用者が使う携帯端末の少なくとも一つについて、自宅の無線ＬＡＮ通信エリアで存在を検知できない間のみ、リモートアクセス接続要求用のポートを開放するように設定しておけばよい。そのために、利用者が外で使う端末のＩＤを予め中継装置のリモートアクセス端末ＩＤデータベースに登録しておき、当該ＩＤの端末が全て検知できるか否かを確認すればよい。

【0011】

上記リモートアクセス端末ＩＤデータベースへの登録にあたっては、上記中継装置は、上記無線通信手段で通信可能となった上記携帯端末のＭＡＣアドレスを自動的に上記リモートアクセス端末ＩＤデータベースへ登録する端末ＩＤ自動登録手段を有するとよい。この端末ＩＤ自動登録手段の実行にあたっては、例えば、暗号キーを用いて接続に成功した上記携帯端末について登録すると、上記中継装置の保持者による正当な通信であると判断できるのでよい。

【0012】

また、このＩＤを当該端末のＭＡＣアドレスとしておけば、リモートアクセスしてきた携帯端末のＭＡＣアドレスを確認した上でリモートアクセスを許可することで、さらなるセキュリティの向上を行うことができる。

【0013】

また、第２及び第３の実施形態として、
利用者のホームネットワークと外部ネットワークとの間に設けられ、利用者が無線でリモートアクセスしようとする携帯端末のＩＤを登録したリモートアクセス端末ＩＤデータベースを有し、ホームネットワークとして接続可能な無線通信エリアを形成する無線通信手段を有する、複数個の中継装置からなる中継装置群と、
自身の周囲に展開される無線通信エリアに存在する携帯端末との間で無線通信を行う無線通信手段と、自身の無線通信エリア内で通信により在圏状態の変更の有無の変更を検知する無線通信エリア在圏検知手段と、在圏状態が変更された上記携帯端末のＩＤをサーバに送信させる在圏端末ＩＤ更新通知機能を実行する通信制御手段とを備えた無線アクセスポイント装置を複数個設置した、無線アクセスポイント装置群と、
上記中継装置のアドレス、及びその中継装置のリモートアクセス端末ＩＤデータベースに登録された携帯端末のＩＤが記録された端末ＩＤ総合データベースを有し、上記無線アクセスポイント装置群から在圏状態の変更が送信された上記携帯端末ＩＤの在圏状況を記録する外部在圏確認データベースを有し、当該携帯端末について在圏状態が変更された旨をその携帯端末のＩＤを自身のリモートアクセス端末ＩＤデータベースに有する前記中継装置へ送信する端末在圏情報管理サーバと、
からなり、
上記中継装置は、上記端末在圏情報管理サーバから、自身のリモートアクセス端末ＩＤデータベースにＩＤが登録された携帯端末が無線アクセスポイント装置で検知された旨の通知を受け取った場合のみ当該リモートアクセス用ポートを開放する第二ポート開放制御手段を有するようにしたリモートアクセスシステムによっても、上記の課題を解決できる。

【0014】

すなわち、外出時は常に開放という形式では、外出時間の長い利用者が用いる場合にはポートスキャン等の対象になる時間が一日の大半を占めることになる。そのため、屋外で実際にリモートアクセスをすることができる環境にあることが確認できた場合のみ、ポートを開けるようにすることで、ポート開放時間をさらに絞ることができ、安全性が向上する。上記中継装置が上記端末在圏情報管理サーバから上記の検知された旨の通知を受け取る際の方式としては、次のような能動型と受動型が挙げられる。

【0015】

上記の能動型としては、上記端末在圏情報管理サーバは、上記無線アクセスポイント装置からの通知を受け取ったら、端末ＩＤ総合データベースに当該ＩＤを在圏感知している旨を登録し、各中継装置には通知しない。各中継装置は定期的に上記端末在圏情報管理サーバに問い合わせて、自身に所属する上記携帯端末のＩＤが在圏感知されているか否かを問い合わせる在圏端末問合機能を実行する。この問い合わせに対して、上記端末在圏情報管理サーバは、外部在圏確認データベース（それと端末ＩＤ総合データベースとの統合データベースを含む）を検索して在圏フラグを確認する総合在圏確認機能を実行し、その結果を上記中継装置に送信する在圏状況返答機能を実行する。上記中継装置は、いずれかの無線アクセスポイント装置で在圏感知されていることが確認できた期間のみリモートアクセス用ポートを開放する。セキュリティ面で強固であるが、感知からポートの開放まで若干のタイムラグが存在する。

【0016】

一方、上記の受動型としては、上記端末在圏情報管理サーバが、上記無線アクセスポイント装置群からの携帯端末の在圏状況が更新された通知を受け取ったら、そのＩＤについて上記端末ＩＤ総合データベースを検索してそのＩＤの携帯端末が属する（すなわち、リモートアクセス端末ＩＤデータベースに登録情報を有する）上記中継装置のアドレスを求め、そのアドレスへ向けてポートを開放する通知を出す在圏情報更新通知機能を実行する。即応性に優れるが、上記中継装置はその通知を受けられる状態にしておかなければならず、能動型に比べるとややセキュリティ面で劣る。

【0017】

これら能動型と受動型との第２及び第３の実施形態では、上記端末在圏情報管理サーバをＮＧＮなどのインターネットとは異なる閉域網に設け、上記無線アクセスポイント装置と上記中継装置もこの閉域網を介して通知や在圏感知している旨などをやりとりすると、より高いセキュリティを確保できる。特に、サーバからの通知を受け取らなければならない受動型の実施形態において、閉域網を用いることで高いセキュリティを実現できる。

【発明の効果】

【0018】

この発明により、リモートアクセスを受け付ける中継装置におけるＷＡＮ側のポート開放状態を制限でき、不正アクセスやＤｏＳ攻撃のリスクを低下できる。このようなセキュアなリモートアクセスの実現にあたって携帯端末側に特段の機能を追加する必要が無く、従って従来の携帯端末をそのまま利用できる。

【図面の簡単な説明】

【0019】

【図1】この発明にかかる第１の実施形態にかかる中継装置及び周辺の概念図

【図2】第１の実施形態の端末ＩＤ自動登録手段の動作フロー図

【図3】リモートアクセス端末ＩＤデータベースのテーブル例を示す図

【図4】第１の実施形態のポート開閉手段の動作フロー図

【図5】第２の実施形態にかかるシステムの概念図

【図6】第２の実施形態を構成する無線アクセスポイント装置の機能ブロック図

【図7】第２の実施形態を構成する中継装置とサーバとの機能ブロック図

【図8】第２の実施形態のポート開閉手段の動作フロー図

【図9】第３の実施形態にかかるシステムの概念図

【図10】第３の実施形態を構成する中継装置とサーバとの機能ブロック図

【図11】第３の実施形態のポート開閉手段の動作フロー図

【発明を実施するための形態】

【0020】

以下、この発明について具体的な実施形態を挙げて説明する。
まず、第１の実施形態について、図１の概念図を用いて説明する。
図１は、この発明の第１の実施形態における中継装置１１の機能ブロックと、携帯端末１２、ホームネットワーク１３，外部ネットワーク１４等の概念図である。

【0021】

中継装置１１は、ホームネットワーク１３と、外部ネットワーク１４との間にある中継装置であり、例えば家庭用ルータなどのホームゲートウェイのようなゲートウェイとして機能する装置である。ホームネットワーク１３へは、少なくとも直接又は間接的に無線ＬＡＮ（ＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）として通信可能な無線通信エリア１６を形成している。直接とは、中継装置１１が無線通信手段２１を内蔵している場合であり、間接とは、中継装置１１と有線ＬＡＮで接続された無線中継装置２０が無線通信手段２１を有していて、その無線中継装置２０が無線通信エリアを形成する場合である。また、それに関連して、有線で接続可能な有線ホームネットワーク１７に接続されていてもよい。さらに、中継装置１１として一般的な中継のための機能として、通信ポートを制御する機能などを有する。さらにまた、ゲートウェイやルータとして外部から設定するために必要なＨＴＭＬ画面出力機能などの一般的機能を備える。

【0022】

携帯端末１２は、スマートフォン、フィーチャーフォンなどの、無線ＬＡＮ子機機能を有する携帯電話や、電話機能の有無に関わらず無線ＬＡＮ子機機能を有するメディアプレイヤーやタブレット端末、さらには、無線ＬＡＮ子機機能を有するノートパソコンなど、無線ＬＡＮ子機機能を有して屋外に持ち出すことができる端末であれば基本的に利用可能であり、またこの発明で管轄すべき対象となる。ここで無線ＬＡＮとは、無線を利用してＬＡＮ、特にホームネットワーク用の無線通信エリアを形成しうる機能であり、ＩＥＥＥ８０２．１１，ａ，ｂ，ｇ，ｎ、ａｃ及びそれらと互換性のある規格が一般的に用いられるが、ＬＡＮを形成できるのであれば特にこれに限定されない。ただし、携帯電話網への接続機能は、ローカルアドレスを割り振られるものであってもこれに該当しない。

【0023】

ホームネットワーク１３とは、中継装置１１で外部ネットワーク１４と区切られた、利用者が管轄するローカルエリアネットワークである。家庭用のネットワークが一般的であるが、営業所や工場など、利用者が滞在しまたそこから外出する建物や一定の区域内で形成されるネットワークであれば本発明の対象となる。

【0024】

上記のホームネットワーク１３は、少なくとも無線通信エリア１６に存在する携帯端末１２との間で形成されるネットワークを含み、ケーブル接続による有線ホームネットワーク１７を含んでいてもよい。これらのネットワークに、リモートアクセスによって接続されるローカルサーバ１８が接続される。

【0025】

上記無線通信エリア１６とは、無線通信手段２１によって携帯端末１２と通信可能な範囲のことであり、その中にある携帯端末１２とはＬＡＮとして通信できる。この無線通信エリア１６は、自宅や営業所、工場など、利用者が長期間滞在しうる建築物またはそれを含む限定された区画を隈無く覆うことが望ましい。この無線通信エリア１６に、監視対象となる携帯端末１２が確認できているときは、利用者が携帯端末１２を持って外出しているわけではないと判断できるようにするためである。

【0026】

上記のローカルサーバ１８とは、利用者が携帯端末１２を用いて外部ネットワーク１４からリモートアクセスした際に、サーバとして働くハードウェアである。具体的には、ファイルサーバ機能を有するパソコンや、記録している動画を配信可能なＨＤＤレコーダなどが挙げられる。

【0027】

外部ネットワーク１４とは、ホームネットワーク１３とは中継装置１１で区切られた、特定個人又は一般の法人が管理するものではないネットワークであり、一般的にはインターネットである。ただし、特定の通信事業者によって管理される広域ネットワークでも本発明は利用可能である。外部ネットワーク１４には、携帯端末１２が接続可能な装置が設けてある。例えば公衆無線ＬＡＮ用のアクセスポイント１５や、間接的に外部ネットワーク１４に接続する携帯電話網、その他有線及び無線に関わらず、接続可能な端子や通信エリアは多数にのぼる。図ではインターネット接続環境を供給するアクセスポイント１５のみ例として記載する。

【0028】

続いて、上記の中継装置１１を構成する手段及び機能について説明する。これらの手段は、独立したチップであったり、ソフトウェア上で実現するものであったり、その複合であったりする。各手段間でのデータの授受は実際の通信でもよいし、メモリ空間上での受け渡しでもよい。中継装置１１は、これらを実現するための処理部たるプロセッサと、記憶部たる揮発性メモリや不揮発性メモリなどを有する。

【0029】

まず、ホームネットワーク１３と外部ネットワーク１４との間で通信を中継する中継装置１１として必要な、通信を中継する通信制御手段２２を有する。この通信制御手段２２は、その通信の中継にあたってポートごとに通信を遮断可能なポート遮断機能３１を実行可能である。

【0030】

無線通信手段２１又は２１ａは、上記の無線通信エリア１６を形成するために電波を送信し、受信するハードウェアとその制御ソフトウェアである。図では中継装置１１が内蔵する無線通信手段２１のみ記載するが、中継装置１１外に設けた、ケーブルで繋がる無線中継装置２０が有する無線通信手段２１ａであっても効果及び手段の中身は同じである。無線ＬＡＮの中継用インターフェースでもあり、通信制御手段２２との間で相互通信が行われる。また、無線通信手段２１又は２１ａは、次に記載の端末ＩＤ自動登録手段２３及び無線通信エリア在圏検知手段２４との間でデータのやり取りを行う。

【0031】

端末ＩＤ自動登録手段２３は、前記の無線通信手段２１又は２１ａが展開する無線通信エリアにおいて、通信が可能である携帯端末１２を新たに検知したら、その携帯端末のＩＤをリモートアクセス端末ＩＤデータベース２５に登録する自動登録機能３２を発揮する。この自動登録機能３２のフローを図２に示す。

【0032】

まず（Ｓ１０１）、無線通信手段２１を通じて常時、無線通信エリア１６で通信可能となった携帯端末１２の有無を監視する。具体的には、携帯端末１２は通信しようとする際に無線通信手段２１又は２１ａに対してパケットを送信するので、そのパケットの有無を検知するとよい。このとき、携帯端末１２が、無線通信手段２１又は２１ａに予め設定されている暗号化通信のパスワードとともに接続を試みたか否かを判定するパスワード確認機能３３を実行する（Ｓ１０２）。この暗号化通信とは例えばＷＰＡやＷＰＡ２などが挙げられる。これらの暗号化通信がされる環境で、携帯端末１２を接続させようとする正規の利用者であれば、中継装置１１又は無線中継装置２０に予め登録したパスワードとともに接続を試みると考えられ、例えば自宅の外から漏れる電波を拾ってただ乗りでアクセスしようとする者はこのようなパスワードを知らないはずであるため、パスワード無しの接続要求は無視して構わないということになる。よって、暗号化通信を介して接続されたもので無ければ（Ｓ１０２→Ｎｏ）、再び待機状態へ戻る。

【0033】

パスワードとともに暗号化通信を介して接続されたことを確認したら（Ｓ１０２→Ｙｅｓ）、その携帯端末１２のＩＤをパケットから取り出した上で、リモートアクセス端末ＩＤデータベース２５にすでに登録済みのＩＤであるか否かを検索するデータベース検索機能３４を実行する（Ｓ１０３）。ここで、ＩＤとして携帯端末１２の無線ＬＡＮ子機機能が有するＭＡＣアドレスを用いると、ＩＤの重複を防ぐことができ、かつ取得しやすいデータであるため望ましい。リモートアクセス端末ＩＤデータベース２５に登録されていないＩＤであった場合は（Ｓ１０３→Ｎｏ）、接続された携帯端末１２のＭＡＣアドレスと登録の日時とを新たにリモートアクセス端末ＩＤデータベース２５に追加登録するＩＤ登録機能３５を実行する（Ｓ１０４）。このリモートアクセス端末ＩＤデータベース２５のテーブルの例を図３に示す。初期登録時点における在圏フラグは○（Ｔｒｕｅ）とする。

【0034】

一方、データベース検索機能３４の実行結果、検索したＩＤがすでに登録済みのものである場合は、接続日時を現時点の日時に更新する接続日時更新機能３６を実行する（Ｓ１０５）。また、在圏フラグは○（Ｔｒｕｅ）に変更する。

【0035】

これらのフローとは別に、端末ＩＤ自動登録手段２３は、既定の時間又は利用者が定めた所定の時間ごとに、リモートアクセス端末ＩＤデータベース２５を点検し、接続日時からその時間以上経過している場合に、リモートアクセス端末ＩＤデータベース２５から当該ＩＤについてのレコードを削除するデータベース削除機能３７を実行するとよい。既定の時間としては例えば１ヶ月程度にしておき、その程度の長期に亘って接続されていない携帯端末１２は廃棄したか、他人に譲渡されたかのいずれかである可能性が高いため、他人に使われてリモートアクセスされるセキュリティリスクを残さないように、レコードを削除するとよい。もし長期的な保存をしているだけであり、再度利用する際には、また新しくレコードを追加する（Ｓ１０３→Ｓ１０４）こととなる。

【0036】

以上のフローによりＩＤを登録したリモートアクセス端末ＩＤデータベース２５の存在を前提として、無線通信エリア在圏検知手段２４は、無線通信手段２１又は２１ａが展開する無線通信エリア１６で、リモートアクセス端末ＩＤデータベース２５に登録されたＩＤを有する携帯端末１２との間で通信が可能な状態であるか否かを検知する。ＷｉＦｉの場合であれば、携帯端末１２は、無線通信エリア１６に入った時点で、無線通信手段２１から定期的に発信されるＳＳＩＤビーコンを受信し、当該ＳＳＩＤビーコンで特定される無線通信手段２１との通信セッションを確立するために無線通信手段２１にパケットを送信する。この際、無線通信手段２１は、携帯端末１２からのパケットを受信し、そのパケットに送信元のＭＡＣアドレスより、当該ＭＡＣアドレスの携帯端末１２が無線通信エリア１６に在圏していることが確認するパケットヘッダ確認機能４０を実行できる。その他、WiFi以外の無線方式においては、無線通信手段２１又は２１ａが受信するパケットを解析するパケット解析機能４１を実行してもよいし、リモートアクセス端末ＩＤデータベース２５に登録されたＭＡＣアドレスへ能動的にパケットを送信して返答があるか否かを確認する返答確認機能４２を実行してもよい。ＩＤが登録された携帯端末１２が在圏していることが通信で確認できれば○（Ｔｒｕｅ）とし、確認できなければ×（Ｆａｌｓｅ）とする。
無線通信エリア在圏検知手段２４は、この検知によって携帯端末１２ごとに、在圏しているか否かの状態が変化したら、リモートアクセス端末ＩＤデータベース２５の在圏フラグを変更する在圏状態更新機能４３を実行する。これには、上記の接続日時更新機能３６による在圏フラグの変更も含まれる。

【0037】

この在圏フラグの更新に引き続く処理フローを、図４を用いて説明する。まず（Ｓ１２１）、普段は待機状態とし（Ｓ１２２→Ｎｏ）、無線通信エリア在圏検知手段２４が在圏フラグの変更を検知したら（Ｓ１２２→Ｙｅｓ）、リモートアクセス端末ＩＤデータベース２５の在圏フラグが全てＴｒｕｅであるか否かをチェックする総合在圏チェック機能４４を実行する（Ｓ１２３）。その結果、一つでも×（Ｆａｌｓｅ）があれば、ポート開閉制御手段２６へ、リモートアクセス接続要求受信ポートを開放する旨の指示を送信するポート開放指示機能４５を実行する（Ｓ１２４）。逆に、全てが○（Ｔｒｕｅ）であれば、ポート開閉制御手段２６へ、リモートアクセス接続要求受信ポートを閉鎖する旨の指示を送信するポート閉鎖指示機能４６を実行する（Ｓ１２５）。

【0038】

ポート開閉制御手段２６は、上記の指示された開放、閉鎖の内容に従って、通信制御手段２２が通信を中継するにあたり、リモートアクセス接続要求受信ポートを開閉するように要求するポート開閉要求機能４７を実行する。これにより、一つ以上の携帯端末１２が無線通信エリア１６に在圏していないと検知された場合のみ、リモートアクセス接続要求受信ポートが開放され、全ての無線通信エリア１６の在圏が検知されていればリモートアクセス接続要求受信ポートが閉鎖されてセキュリティを保った状態となる。

【0039】

無線通信エリア１６に在圏していない携帯端末１２は、公衆無線ＬＡＮのアクセスポイント１５や携帯電話網、その他の回線を通じて外部ネットワーク１４に接続しうる。そして、中継装置１１のＩＰアドレスを直接指定したり、あるいはＤＤＮＳを利用して間接的に指定したりして、中継装置１１にリモートアクセスの接続要求を送信する。このとき、中継装置１１の通信制御手段２２は、リモートアクセス接続要求受信ポートが開放されているので、携帯端末１２とＶＰＮを構築し、携帯端末１２はローカルサーバ１８にアクセス可能となる。

【0040】

次に、この発明の第２の実施形態について説明する。この実施形態における概略図を図５に示す。中継装置１１ａ〜１１ｃは、上記の第１の実施形態における中継装置１１と同様に、ホームネットワーク１３と外部ネットワーク１４との間にあり、無線通信手段２１を内蔵するか又はそれと直結していて、直接に又は間接的にそれぞれが自身の周囲に建物などを覆う無線通信エリア１６ａ〜１６ｃを形成している。図５には３つのみ記載するが、実際には利用者の数だけ存在する。ただし、ポート開放条件が上記の第１の実施形態と異なる。これらの中継装置１１ａ〜１１ｃはそれぞれ利用者が異なり、異なる箇所に設置されている。これらの中継装置をまとめて中継装置群と呼称する。第１の実施形態と同様に、それぞれの中継装置１１ａ〜１１ｃは自身にリモートアクセス可能な携帯端末１２のＩＤを登録しており、その携帯端末１２はその中継装置１１（ａ〜ｃ）に属するという。ただし、一つの携帯端末１２が複数の中継装置１１（ａ〜ｃ）に属していてもよい。

【0041】

また、外部ネットワーク１４には、それに接続することができる無線通信エリア１９ａ〜１９ｃをそれぞれ形成している無線アクセスポイント装置１５ａ〜１５ｃが複数設けられている。これらをまとめて無線アクセスポイント装置群と呼称する。この実施形態におけるこれらの無線アクセスポイント装置１５ａ〜１５ｃの機能概念図を図６に示す。これらの無線アクセスポイント装置１５ａ〜１５ｃは、後述する端末在圏情報管理サーバ５１へ、自身の無線通信エリア１９ａ〜１９ｃ内で通信により存在を検知している携帯端末１２のＩＤの情報の変化を送信する無線通信エリア在圏検知手段２４ａを備える。この変化とは単に新しくＩＤを検知した情報だけでなく、在圏しなくなったことを確認した旨の情報も含む。具体的には、無線通信エリア在圏検知手段２４ａが、無線通信手段２１（２１ａ）を通じて、無線通信エリア１９（ａ〜ｃ）に在圏している携帯端末１２の在圏状況が変化したことを検知したら、通信制御手段２２は、その携帯端末１２の在圏情報が更新された旨を、端末在圏情報管理サーバ５１に通知する在圏端末ＩＤ更新通知機能４８を実行する。

【0042】

また、無線アクセスポイント装置１５ａ〜１５ｃは、第１の実施形態における中継装置１１と同様の無線通信手段２１と、通信制御手段２２とを備える。ただし、通信制御手段２２は不特定多数の携帯端末１２に対して、公衆無線ＬＡＮのように外部ネットワーク１４へのアクセスを供給する無線アクセスポイントとしての諸機能を備えている。

【0043】

さらに、外部ネットワーク１４内には、いずれかの中継装置１１（ａ〜ｃ）に属することが中継装置１１から送信された携帯端末１２のＩＤをその中継装置１１のアドレスとともに記録する端末ＩＤ総合データベース６５と、上記無線アクセスポイント装置群から送信された携帯端末１２のＩＤのうち、少なくとも端末ＩＤ総合データベース６５に登録されているものについて、いずれかの無線通信エリア１９ａ〜１９ｃで検知された旨を登録する外部在圏確認データベース６６とを有する端末在圏情報管理サーバ５１が設けてある。これらのデータベースは一体のものとなっていてもよい。すなわち、携帯端末１２のＩＤと、それがいずれかの無線通信エリア１９ａ〜１９ｃで検知されたか否かのフラグと、それぞれの携帯端末１２が属する中継装置１１のアドレスと、を一つのテーブルとして管理していてもよい。

【0044】

また、この第２の実施形態における中継装置１１の機能ブロック図の主な部分を図７に示す。端末ＩＤ自動登録手段２３は、自身のリモートアクセス端末ＩＤデータベース２５における携帯端末１２のＩＤが更新登録されたら、そのＩＤを端末在圏情報管理サーバ５１へ送信する端末ＩＤ通知機能３８を実行する。これを受けた端末在圏情報管理サーバ５１は、上記の端末ＩＤ総合データベース６５へ登録する受信ＩＤ登録機能６３を実行する。なお、この登録は、新規なＩＤの追加だけでなく、上記の第１の実施形態において、記載したように、所定の期間内に亘って接続が無かった携帯端末１２のＩＤについて削除する場合も含む。

【0045】

一方、この第２の実施形態では、一つ以上の携帯端末１２が在圏しなくなったことを検知できても、ポート開放指示機能４５は実行されない。ひいてはポート開閉制御手段２６によるポート開閉要求機能４７のうち、開放の要求はその時点では出されない。この第２の実施形態におけるポート開閉制御手段２６ａ（「第二ポート開閉制御手段」とも呼称する。）によるポート開放の指示は、端末在圏情報管理サーバ５１に対して、その中継装置１１に属する携帯端末がいずれかの無線通信エリア１９（ａ〜ｃ）で在圏確認されているか否かを問い合わせる在圏端末問合機能４９を実行し、その返答を受けた上で行うためである。

【0046】

この第２の実施形態における動作フローのうち、携帯端末１２のＩＤが中継装置１１に登録されるまでの手順は上記の図２と同じである。その後、ポート開放までの手順は図４とは異なる。このフローを図８に示す。

【0047】

まず（Ｓ２０１）、無線通信エリア在圏検知手段２４は、自局のリモートアクセス端末ＩＤデータベース２５に含まれる全ての携帯端末１２のＩＤが自局の無線通信エリア１６内で検出されているかを調べる総合在圏チェック機能４４を定期的に実行する（Ｓ２０２）。中継装置１１（ａ〜ｃ）の無線通信エリア１６（ａ〜ｃ）に、自身に属する携帯端末１２が全て在圏していることが確認できれば（Ｓ２０２→Ｙｅｓ）、リモートアクセス接続要求受信ポートを閉鎖するため、ポート開閉制御手段２６ａはポート開閉要求機能４７を実行して、通信制御手段２２へポートを閉鎖させる（Ｓ２０３）。

【0048】

一方、自身に属する携帯端末１２のうち、少なくとも一つについて在圏していることが確認できなければ（Ｓ２０２→Ｎｏ）、ポート開閉制御手段２６ａは、端末在圏情報管理サーバ５１に対して問い合わせる在圏端末問合機能４９を実行する（Ｓ２０４）。この問い合わせは、自局のリモートアクセス端末ＩＤデータベース２５に登録されている、すなわち自身に属する携帯端末１２のＩＤが、端末在圏情報管理サーバ５１の外部在圏確認データベース６６に登録されているか否かを尋ねるものである。端末在圏情報管理サーバ５１は、この問い合わせに対して、当該携帯端末１２のＩＤについて外部在圏確認データベース６６（あるいはそれを含む統合データベース）を検索して在圏フラグを確認する総合在圏確認機能６７を実行し、いずれかの無線通信エリア１９（ａ〜ｃ）で在圏確認しているフラグがあればＴｒｕｅを（Ｓ２０５→Ｙｅｓ）、無ければＦａｌｓｅを返す（Ｓ２０５→Ｎｏ）在圏状況返答機能６８を実行する。中継装置１１としては、Ｔｒｕｅが返ってきたら、いずれかの無線通信エリア１９から当該携帯端末１２がリモートアクセスしうる環境にあるので、リモートアクセス接続要求受信ポートを開放するために、ポート開閉制御手段２６ａはポート開閉要求機能４７を実行して、通信制御手段２２へポートを開放させる（Ｓ２０６）。一方、Ｆａｌｓｅが返ってきたら、当該携帯端末１２は、少なくとも端末在圏情報管理サーバ５１が管轄する範囲での無線通信環境を通じて外部ネットワーク１４に接続できる状態にないと考えられるので、リモートアクセス接続要求受信ポートを閉鎖するために、ポート開閉制御手段２６ａはポート開閉要求機能４７を実行して、通信制御手段２２へポートを閉鎖させる（Ｓ２０３）。

【0049】

それぞれの中継装置１１は、以上のフローは定期的に行う。間隔が短いほど、携帯端末１２がいずれかの無線通信エリア１９（ａ〜ｃ）に在圏してからリモートアクセス可能になるまでの時間が短く利用者の利便性が高くなるが、その分端末在圏情報管理サーバ５１にアクセスが集中するので、サーバの処理能力と中継装置１１（ａ〜ｃ）及び無線アクセスポイント装置１５（ａ〜ｃ）の数に応じて、適切な範囲で問い合わせる間隔を調整する。

【0050】

さらに、第３の実施形態について説明する。この実施形態は、第２の実施形態のように、端末在圏情報管理サーバ５１が、いずれかの位置にある携帯端末１２の在圏状況を管理するものであるが、第２の実施形態と違って、サーバ側から各中継装置１１（ａ〜ｃ）に、在圏確認及び在圏からの消失等の更新情報を通知するものである。

【0051】

この第３の実施形態を利用する場合、端末在圏情報管理サーバ５１から中継装置１１へ通信を、中継装置１１が受け入れなければならないが、そのためのポートをインターネットに対して開けておくことは、ポートスキャン等に対する脆弱部分となる。このため、端末在圏情報管理サーバ５１と中継装置１１との間の通信を、インターネットのようなオープンな外部ネットワークではなく、ＮＧＮのように管理された閉域網である外部ネットワーク１４ａを通じて行うことが好ましい。この状況の概念図を図９に示す。中継装置１１（ａ〜ｃ）と、無線アクセスポイント装置１５ａ〜１５ｃ、端末在圏情報管理サーバ５１のいずれも、閉域網である外部ネットワーク１４ａに直接接続されており、インターネットである外部ネットワーク１４ｂへは、ＩＳＰ網を介しＰＰＰｏＥによって接続されている。すなわち、無線アクセスポイント装置１５ａ〜１５ｃに接続した携帯端末１２は、一旦閉域網である外部ネットワーク１４ａをＰＰＰｏＥで通過し、インターネットを通してから再び外部ネットワーク１４ａをＰＰＰｏＥで通過して中継装置１１に接続することとなる。

【0052】

無線アクセスポイント装置１５ａ〜１５ｃが端末在圏情報管理サーバ５１へ携帯端末１２の在圏情報を更新された旨を通知する在圏端末ＩＤ更新通知機能４８や、中継装置１１が自身のリモートアクセス端末ＩＤデータベース２５に携帯端末１２のＩＤを更新登録した旨を端末在圏情報管理サーバ５１へ送信する端末ＩＤ通知機能３８の実行にあたっては、それらの通信は外部ネットワーク１４ａ（閉域網）のみで完結させて行うとよい。

【0053】

第３の実施形態における中継装置１１の概念図を図１０に示す。端末ＩＤ自動登録手段２３は、自身のリモートアクセス端末ＩＤデータベース２５に新たな携帯端末１２のＩＤが登録されたら、そのＩＤを端末在圏情報管理サーバ５１へ送信する端末ＩＤ通知機能３８を実行する。

【0054】

ただし、この第３の実施形態では、第２の実施形態と同様に、一つ以上の携帯端末１２が在圏しなくなったことを検知できても、ポート開放指示機能４５は実行されない。また、第２の実施形態で行う在圏端末問合機能４９も実行されない。端末在圏情報管理サーバ５１からの通知を受信した上で行うためである。

【0055】

第３の実施形態における端末在圏情報管理サーバ５１は、端末ＩＤ総合データベースに登録されている携帯端末１２がいずれかの無線アクセスポイント装置１５ａ〜１５ｃの無線通信エリア１９ａ〜１９ｃで在圏確認されているか否かを、外部在圏確認データベース６６の更新に併せて、その携帯端末１２が属する中継装置１１のアドレスへポートを開放するべき旨の通知を発する、在圏情報更新通知機能５０を実行する。これは、無線アクセスポイント装置１５ａ〜１５ｃによる在圏した旨の確認又は在圏しなくなった旨確認の後速やかに、端末在圏情報管理サーバ５１における登録と並行して行われるため、中継装置１１は速やかにポート開閉制御手段２６ｂにより、ポートを開放又は閉鎖する旨を通信制御手段２２に要求するポート開閉要求機能４７を実行する。ここで、端末ＩＤ総合データベース６５は、どの中継装置１１へどの携帯端末１２のＩＤを通知するべきかの報告用リストとしても使用される。

【0056】

この第３の実施形態における中継装置１１のフローを図１１に示す。中継装置１１に属する携帯端末１２の全てが、自局の無線通信エリア１６で検知されていればリモートアクセス接続要求受信ポートを閉鎖させるＳ２２１〜Ｓ２２３までは、上記のＳ２０１〜Ｓ２０３と同様の扱いである。一方、中継装置１１に属する携帯端末１２のうち、少なくとも一つが在圏検知されない場合、端末在圏情報管理サーバ５１からの通知が来るまでは同様にリモートアクセス接続要求受信ポートを閉鎖させておく（Ｓ２２４→Ｎｏ→Ｓ２２３）。上記の在圏情報更新通知機能５０による、他の無線通信エリア１９で当該携帯端末１２の在圏が検知されている旨の通知を受け取ったら、中継装置１１は、速やかにポート開閉制御手段２６ｂにより、リモートアクセス接続要求受信ポートを開放するようポート開閉要求機能４７を実行する（Ｓ２２４→Ｙｅｓ→Ｓ２２５）。その後、上記在圏情報更新通知機能５０による、他の無線通信エリア１９から当該携帯端末１２の在圏が検知されなくなった旨の通知を受け取ったら、中継装置１１は、速やかにポート開閉制御手段２６ｂにより、リモートアクセス接続要求受信ポートを閉鎖するようポート開閉要求機能４７を実行する（Ｓ２２４→Ｎｏ→Ｓ２２３）。

【0057】

具体的には、端末在圏情報管理サーバ５１から中継装置１１への送信方法としては、
UDP,TCPなどを用いるIPパケットベースのメッセージ通信方式のいずれの方法を用いて実装してもよい。例えば、中継装置１１は閉域網側において所定のＵＤＰポートを開放し、端末在圏情報管理サーバ５１からのパケットのみ受け付けるようにし、端末在圏情報管理サーバ５１は当該所定のポートに対してポート開放通知を送信すればよい。通知を確実に通達させるため、中継装置１１側のポート開閉制御手段２６ｂは、ポート開放通知を受信するとＡＣＫを含むＵＤＰパケットを端末在圏情報管理サーバ５１側へ返信する。端末在圏情報管理サーバ５１側はＡＣＫが受信されない限り一定のｔｉｍｅｏｕｔを持ってポート開放通知を再送する。

【0058】

さらに、第４及び第５の実施形態について説明する。これは、第２又は第３の実施形態において、それぞれの中継装置１１が、無線アクセスポイント装置１５も兼ねるケースである。この場合、中継装置１１の無線通信エリア在圏検知手段２４が、無線通信手段２１（２１ａ）を通じて、無線通信エリア１６（ａ〜ｃ）に在圏している携帯端末１２が変化したことを検知したら、リモートアクセス端末ＩＤデータベース２５の情報を更新する第１の実施形態で行う処理とともに、その携帯端末１２の在圏情報が更新された旨を、端末在圏情報管理サーバ５１に通知する在圏端末ＩＤ更新通知機能４８を実行する。ただしこの場合、中継装置１１は、自身のリモートアクセス端末ＩＤデータベース２５に登録されていない携帯端末１２のＩＤについてのみ、端末在圏情報管理サーバ５１への登録・抹消処理を行う。

【0059】

また、この第４及び第５の実施形態では、端末ＩＤ自動登録手段２３は実行せず、中継装置１１及び携帯端末１２の利用者が中継装置１１に接続したパソコンなどから、中継装置１１が出力したＨＴＭＬページを介して利用者が手作業で使用する携帯端末１２のＩＤをリモートアクセス端末ＩＤデータベース２５に登録することが望ましい。自動登録可能とすると、中継装置１１が設けられた建物などの管理者、所有者ではない一般利用者の端末が、リモートアクセス端末ＩＤデータベース２５に登録されてしまうおそれがあるためである。

【符号の説明】

【0060】

１１中継装置
１１ａ，１１ｂ，１１ｃ中継装置
１２携帯端末
１３ホームネットワーク
１４外部ネットワーク
１４ａ外部ネットワーク
１４ｂ外部ネットワーク
１５アクセスポイント
１５ａ，１５ｂ，１５ｃ無線アクセスポイント装置
１６無線通信エリア
１６ａ，１６ｂ，１６ｃ無線通信エリア
１７有線ホームネットワーク
１８ローカルサーバ
１９ａ，１９ｂ，１９ｃ無線通信エリア
２０無線中継装置
２１無線通信手段
２１ａ無線通信手段
２２通信制御手段
２３端末ＩＤ自動登録手段
２４無線通信エリア在圏検知手段
２４ａ無線通信エリア在圏検知手段
２５リモートアクセス端末ＩＤデータベース
２６ポート開閉制御手段
２６ａ，２６ｂポート開閉制御手段
３１ポート遮断機能
３２自動登録機能
３３パスワード確認機能
３４データベース検索機能
３５ＩＤ登録機能
３６接続日時更新機能
３７データベース削除機能
３８端末ＩＤ通知機能
４０パケットヘッダ確認機能
４１パケット解析機能
４２返答確認機能
４３在圏状態更新機能
４４総合在圏チェック機能
４５ポート開放指示機能
４６ポート閉鎖指示機能
４７ポート開閉要求機能
４８在圏端末ＩＤ更新通知機能
４９在圏端末問合機能
５０在圏情報更新通知機能
５１端末在圏情報管理サーバ
６３受信ＩＤ登録機能
６５端末ＩＤ総合データベース
６６外部在圏確認データベース
６７総合在圏確認機能
６８在圏状況返答機能

【図1】