JP3833932B2 - Ipアドレスを端末アイデンティティとして使用可能なipネットワーク - Google Patents

Ipアドレスを端末アイデンティティとして使用可能なipネットワーク Download PDF

Info

Publication number
JP3833932B2
JP3833932B2 JP2001369748A JP2001369748A JP3833932B2 JP 3833932 B2 JP3833932 B2 JP 3833932B2 JP 2001369748 A JP2001369748 A JP 2001369748A JP 2001369748 A JP2001369748 A JP 2001369748A JP 3833932 B2 JP3833932 B2 JP 3833932B2
Authority
JP
Japan
Prior art keywords
address
network
terminal device
terminal
data link
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001369748A
Other languages
English (en)
Other versions
JP2003169069A (ja
Inventor
直人 蒔苗
孝夫 中西
克之 川瀬
能直 菊地
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2001369748A priority Critical patent/JP3833932B2/ja
Publication of JP2003169069A publication Critical patent/JP2003169069A/ja
Application granted granted Critical
Publication of JP3833932B2 publication Critical patent/JP3833932B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、IPネットワークにおいて端末が使用するIPアドレスの正当性を保証し、IPアドレスを端末アイデンティティとして使用できるIPネットワークに関する。
【0002】
【従来の技術】
IPネットワーク上の電子商取引サーバ等は注文主のアイデンティティを確認する手段として専らIDとパスワードを使用している。また、一部の電子商取引サーバは、ID/パスワード認証よりも技術的に高度な電子証明書認証等を採用している。回線交換型電話網では発信者電話番号により発信回線に従って注文主のアイデンティティを特定出来るが、IPネットワークにおいては送信元IPアドレスから発信回線または発信端末を特定することができない。これは、IPネットワークではDHCPによる動的なIPアドレス割当、アドレス変換装置、IPアドレス詐称が存在するため、送信元IPアドレスから必ずしも発信者を特定出来ないという事情による。
【0003】
DHCPによる動的なIPアドレス割当やアドレス変換はネットワーク設計者が意図的に導入するものであるため、アドレス空間が潤沢でありかつセキュリティ条件が許容すれば、これらは使用しないことも可能である。従って、IPアドレスの正当性を保証しIPアドレスを端末アイデンティティとして使用するためには、IPアドレス詐称を排除すればよい。LANを構成するハブやルータ等の端末収容装置は端末装置を認証しないので、端末装置に適切なIPアドレスと経路情報を設定し端末収容装置に接続するだけでIPネットワークを利用できることからIPアドレス詐称が発生する。しかしながら、特開2000−201143、特開2001−111544および特開2001−211180に示されるように、近年はLANにおいても端末装置のMACアドレスを検査し、不正な端末装置を識別し排除する仕組みが検討されている。しかし、端末装置のMACアドレスはIPパケットがルータを通過する時にルータのMACアドレスで書き換えられてしまうため、端末装置のMACアドレスは電子商取引サーバが端末装置を特定する手段としては不適当である。
【0004】
【発明が解決しようとする課題】
上述したIPアドレス詐称のため、IPネットワークではIPアドレスを端末アイデンティティとして利用できない。そこで本発明は、IPアドレス詐称を排除し、IPアドレスを端末アイデンティティとして利用可能とすることを目的とする。
【0005】
【課題を解決するための手段】
本発明のIPネットワークは、ルータ等のネットワーク層中継装置、ブリッジ等のデータリンク層中継装置、リピータ等の物理層中継装置、認証サーバおよびDHCPサーバおよび電子商取引サーバ等のサーバ装置から構成され、ポイント・ツー・ポイント型データリンクを介して端末装置を収容するIPネットワークであって、上記課題を解決するため、データリンク確立時に端末装置を認証する端末認証手段と、端末装置が使用するIPアドレスを記憶し、IPアドレス登録要求を受けて記憶してある全てのIPアドレスと照合して一致するIPアドレスが存在しない場合には端末装置のIPアドレスとして新たに記憶して登録成功を応答し、一致するIPアドレスが存在する場合は登録失敗を応答し、またIPアドレス削除要求を受けてIPアドレスを削除するIPアドレス登録手段と、端末認証手段により認証された端末装置との間にデータリンクを設定し、端末認証手段により認証を否認された端末装置および未だ認証されていない端末装置との間にはデータリンクを設定しないデータリンク層終端手段と、データリンクフレーム内のIPパケットを監視し、端末装置のIPアドレスを記憶し、端末装置が送信するIPパケットの送信元IPアドレスが記憶してあるIPアドレスと異なる場合に該IPパケットの転送を保留しIPアドレス登録手段へIPアドレス登録要求を送信し、IPアドレス登録成功を受信すると該IPパケットの送信元IPアドレスで更新して該IPパケットを転送し、IPアドレス登録失敗を受信するとIPアドレスを更新せずに該IPパケットを転送しないIPアドレス監視手段を有する。
【0006】
また、IPアドレスにはIPv4アドレスやIPv6アドレス等各種分類が存在し、1台の端末装置がこれら複数種類のIPアドレスを同時使用することがあることから、本発明のIPネットワークは、IPアドレスを1以上の型に分類するIPアドレス分類手段と、IPアドレスの分類手段の分類に従ってIPアドレスを記憶し照合するIPアドレス登録手順と、IPアドレス分類手段の分類に従ってIPアドレスを記憶し照合するIPアドレス監視手段を有してもよい。
【0007】
更に、IPネットワーク内において端末装置が使用することのできるIPアドレスの値は予め限定されていることが一般的であるから、本発明のIPネットワークは、IPネットワークにおいて端末装置が使用可能な1以上のIPアドレスを記憶し、登録要求受信時は記憶してあるIPアドレスとの照合に加えて、使用可能なIPアドレスである場合に登録して登録成功を応答し、使用可能なIPアドレスでなければ登録失敗を応答するIPアドレス登録手段を有してもよい。
【0008】
本発明のIPネットワークは外部ネットワークとの相互接続のために、外部ネットワークとの間でIPパケットを送受信し、外部ネットワークから受信するIPパケットの送信元IPアドレスが使用可能なIPアドレスでない場合に該IPパケットをIPネットワークに転送し、使用可能なIPアドレスである場合は該パケットをIPネットワークに転送しない外部ネットワーク接続手段を有してもよい。
【0009】
また、IPアドレス登録手段は、IPアドレス削除依頼を受信するとIPアドレスを削除するとともに、IPアドレスを使用不能IPアドレスとして一定期間記憶し、IPアドレス登録依頼を受信すると端末装置毎に記憶してあるIPアドレスと照合するだけではなく、使用不能IPアドレスとも照合するようにしてもよい。
【0010】
【発明の実施の形態】
本発明のIPネットワークの実施形態を図面を用いて詳細に説明する。
[実施の形態1]
[構成の説明]
図1は本発明の第1の実施形態のネットワーク構成図である。本実施形態のIPネットワーク1は、ルータ10、ハブ11〜12、ファイアウォール13、認証サーバ14から構成され、ハブ11とハブ12はルータ10を介して相互に接続されている。ファイアウォール13と認証サーバ14はハブ12に接続されている。端末装置15〜17はハブ11に接続されている。電子商取引サーバ18はハブ12に、外部ネットワーク19はファイアウォール13にそれぞれ接続されている。
【0011】
図2は図1のIPネットワーク1を構成するハブ11の構成を示すブロック図である。ハブ11は、データリンク層終端手段20〜23、データリンクフレーム交換手段24、IPアドレス監視手段25〜27から構成される。データリンク層終端手段20〜23は100BASE−Tイーサネット規格に準拠するデータリンクポートであり、データリンクフレーム交換手段24により相互に接続される。データリンク層終端手段21〜23にはIPアドレス監視手段25〜27がそれぞれ接続する。ルータ10はデータリンク層終端手段20に接続し、端末装置15〜17はデータリンク層終端装置21〜23にそれぞれ接続される。データリンク層終端手段21〜23に接続するIPアドレス監視手段25〜27は、端末装置15〜17のIPアドレスを記憶するためのIPアドレス記憶域250〜270を備える。
【0012】
図3は図1のIPネットワーク1を構成するファイアウォール13の構成を示すブロック図である。ファイアウォール13はIPネットワーク1と外部ネットワーク19を相互に接続する外部ネットワーク接続手段30を備える。外部ネットワーク接続手段30はIPネットワーク内で使用可能なIPアドレスの記憶域301〜30Nを有する。
【0013】
図4は図1のIPネットワーク1を構成する認証サーバ14の構成を示すブロック図である。認証サーバ14は、端末認証手段40とIPアドレス登録手段41を備える。端末認証手段40は、IPネットワーク1を利用可能な端末装置15〜17のMACアドレス150〜170を記憶する。IPアドレス登録手段は、端末装置15〜17のIPアドレスを記憶するため、端末装置15〜17に対応してIPアドレス記憶域450〜470を備える。
【0014】
[動作の説明]
端末装置15、端末装置16および端末装置17のMACアドレスはそれぞれMACアドレス150、MACアドレス160およびMACアドレス170とし、IPアドレスはそれぞれIPアドレス151、IPアドレス161およびIPアドレス171を使用するものとする。認証サーバ14の端末認証手段40は、IPネットワーク1の正当な端末のMACアドレスとしてMACアドレス150、MACアドレス160およびMACアドレス170を記憶しているものとする。ファイアウォール13の外部ネットワーク接続手段30のIPアドレス記憶域301〜303には、IPネットワーク1内で使用可能なIPアドレスとしてそれぞれIPアドレス151、IPアドレス161およびIPアドレス171を記憶しているものとする。
【0015】
今、端末装置15と端末装置16がそれぞれハブ11のデータリンク層終端手段21とハブ11のデータリンク層終端手段22に接続されているものとする。IPアドレス記憶域250とIPアドレス記憶域260にはそれぞれ端末15のIPアドレス151と端末16のIPアドレス161が書き込まれているものとする。認証サーバ14のIPアドレス記憶域450とIPアドレス記憶域460にはそれぞれ端末15のIPアドレス151と端末16のIPアドレス161が書き込まれているものとする。ハブ11のデータリンク層終端手段23には端末装置が接続されておらず、従って、IPアドレス記憶域270と認証サーバ14のIPアドレス記憶域470には有効なIPアドレスが書き込まれていないものとする。
【0016】
この状態において、端末装置17をハブ11のデータリンク層終端手段23に接続するものとする。データリンク層終端手段23は端末装置17とデータリンクフレームを交換し、端末装置17のMACアドレス170を取得する。データリンク層終端手段23は端末装置17を認証するため、認証サーバ14の端末認証手段40に対してMACアドレス170を有する端末装置17がIPネットワーク1の正当な端末であるか問い合わせる。端末認証手段40はMACアドレス170が端末認証手段40の記憶するMACアドレスの一つであることを確認し、正当な端末であることを回答する。データリンク層終端手段23は正当な端末であるとの回答を待って、端末装置17との間にデータリンクを設定する。仮に正当な端末ではないとの回答を得たとすると、データリンク層終端手段23は端末装置17との間にデータリンクを設定しない。
【0017】
続いて、IPアドレス監視手段27は端末装置17がデータリンク上で最初に送信するIPパケットを監視し、送信元IPアドレスフィールドからIPアドレス171を取得する。IPアドレス記憶域270には有効なIPアドレスが書き込まれておらず従ってIPアドレス171と一致しないため、データリンク層終端手段23は認証サーバ14のIPアドレス登録手段41に対してIPアドレス登録依頼を送信する。IPアドレス登録手段41はIPアドレス記憶域450〜470に書き込まれている有効なIPアドレス、即ちIPアドレス151とIPアドレス161のいずれともIPアドレス171が一致しないことを確認すると、登録許可を応答する。IPアドレス監視手段27は登録許可を待って、IPアドレス171をIPアドレス記憶域270に書き込み、保留していたIPパケットを転送する。
【0018】
外部ネットワーク19からIPアドレス151を送信元IPアドレスフィールドに設定されたIPパケットを受信すると、ファイアウォール13の外部ネットワーク接続手段30はIPアドレス151がIPアドレス記憶域301に書き込まれたIPアドレスと一致することを検出し、該IPパケットを破棄する。
【0019】
電子商取引サーバ18は端末装置16から物品またはコンテンツまたはサービスの注文を受けると、注文を構成するIPパケットの送信元IPパケットフィールドからIPアドレス161を取得する。電子商取引サーバは認証サーバ14に対して、IPアドレス161に対応する端末装置を問い合わせる。認証サーバ14はIPアドレス記憶域460に書き込まれたIPアドレスがIPアドレス161と一致することを確認し、IPアドレス161を使用する端末装置が端末装置16であることを回答する。
【0020】
[実施の形態2]
[構成の説明]
続いて本発明の第2の実施形態を説明する。IPネットワーク1のネットワーク構成図1、ハブ11のブロック構成図2、ファイアウォール13のブロック構成図3は第1の実施形態と共通である。
【0021】
図5は本発明の認証サーバ14の構成を示すブロック図である。認証サーバ14は、端末認証手段40とIPアドレス登録手段41を備える。端末認証手段40は、IPネットワーク1を利用可能な端末装置15〜17の端末認証情報152〜172を記憶する。IPアドレス登録手段は、端末装置15〜17のIPアドレスを記憶するため、端末装置15〜17に対応してIPアドレス記憶域450〜470を備える。
【0022】
[動作の説明]
端末装置15、端末装置16および端末装置17のMACアドレスはそれぞれMACアドレス150、MACアドレス160およびMACアドレス170とし、IPアドレスはそれぞれIPアドレス151、IPアドレス161およびIPアドレス171を使用するものとする。認証サーバ14の端末認証手段40は、IPネットワーク1の正当な端末の端末認証情報として端末認証情報152、端末認証情報162および端末認証情報172を記憶し、ファイアウォール13の外部ネットワーク接続手段30のIPアドレス記憶域301〜303には、IPネットワーク1内で使用可能なIPアドレスとしてそれぞれIPアドレス151、IPアドレス161およびIPアドレス171を記憶しているものとする。
【0023】
今、端末装置15と端末装置16がそれぞれハブ11のデータリンク層終端手段21とハブ11のデータリンク層終端手段22に接続されているものとする。IPアドレス記憶域250とIPアドレス記憶域260にはそれぞれ端末15のIPアドレス151と端末16のIPアドレス161が書き込まれているものとする。認証サーバ14のIPアドレス記憶域450とIPアドレス記憶域460にはそれぞれ端末15のIPアドレス151と端末16のIPアドレス161が書き込まれているものとする。ハブ11のデータリンク層終端手段23には端末装置が接続されておらず、従って、IPアドレス記憶域270と認証サーバ14のIPアドレス記憶域470には有効なIPアドレスが書き込まれていないものとする。
【0024】
この状態において、端末装置17をハブ11のデータリンク層終端手段23に接続するものとする。データリンク層終端手段23は認証サーバ14と通信チャネルを設定し、認証サーバ14と端末装置17の通信を中継する。認証サーバ14の端末認証手段40は端末認証情報172を用いて端末17を認証し、端末装置17が正当な端末であることを回答する。データリンク層終端手段23は正当な端末であるとの回答を待って、端末装置17との間にデータリンクを設定する。仮に正当な端末ではないとの回答を得たとすると、データリンク層終端手段23は端末装置17との間にデータリンクを設定しない。認証サーバ14と端末装置17の間の認証手順としては本実施例ではIEEE802.1x規格を想定するが、勿論他の手順でも構わない。
【0025】
続いて、IPアドレス監視手段27は端末装置17がデータリンク上で最初に送信するIPパケットを監視し、送信元IPアドレスフィールドからIPアドレス171を取得する。IPアドレス記憶域270には有効なIPアドレスが書き込まれておらず従ってIPアドレス171と一致しないため、データリンク層終端手段23は認証サーバ14のIPアドレス登録手段41に対してIPアドレス登録依頼を送信する。IPアドレス登録手段41はIPアドレス記憶域450〜470に書き込まれている有効なIPアドレス、即ちIPアドレス151とIPアドレス161のいずれともIPアドレス171が一致しないことを確認すると、登録許可を応答する。IPアドレス監視手段27は登録許可を待って、IPアドレス171をIPアドレス記憶域270に書き込み、保留していたIPパケットを転送する。
【0026】
外部ネットワーク19からIPアドレス151を送信元IPアドレスフィールドに設定されたIPパケットを受信すると、ファイアウォール13の外部ネットワーク接続手段30はIPアドレス151がIPアドレス記憶域301に書き込まれたIPアドレスと一致することを検出し、該IPパケットを破棄する。
【0027】
電子商取引サーバ18は端末装置16から物品またはコンテンツまたはサービスの注文を受けると、注文を構成するIPパケットの送信元IPパケットフィールドからIPアドレス161を取得する。電子商取引サーバは認証サーバ14に対して、IPアドレス161に対応する端末装置を問い合わせる。認証サーバ14はIPアドレス記憶域460に書き込まれたIPアドレスがIPアドレス161と一致することを確認し、IPアドレス161を使用する端末装置が端末装置16であることを回答する。
【0028】
本実施例ではIPアドレスの種類としてIPv4アドレスとIPv6アドレスの2種類のみを採用しているが、IPv6グローバルユニキャストアドレス、IPv6サイトローカルアドレス、IPv6リンクローカルアドレスなど、より詳細な分類を用いることも可能である。
【0029】
[実施の形態3]
[構成の説明]
続いて本発明の第3の実施形態を説明する。本実施形態のネットワーク構成は第1および第2の実施形態と共通である。本実施形態のIPネットワーク1はIPv4プロトコルとIPv6プロトコルの2種類のIPプロトコルを用いるものとする。IPv4プロトコルとIPv6プロトコルの区別はデータリンクフレームのヘッダ部により弁別できる。
【0030】
図6は本実施形態IPネットワーク1を構成するハブ11の構成を示すブロック図である。ハブ11は、データリンク層終端手段20〜23、データリンクフレーム交換手段24、IPアドレス監視手段25〜27から構成される。データリンク層終端手段20〜23は100BASE−Tイーサネット規格に準拠するデータリンクポートであり、データリンクフレーム交換手段24により相互に接続される。データリンク層終端手段21〜23にはIPアドレス監視手段25〜27がそれぞれ接続する。ルータ10はデータリンク層終端手段20に接続し、端末装置15〜17はデータリンク層終端装置21〜23にそれぞれ接続される。データリンク層終端手段21〜23に接続するIPアドレス監視手段25〜27は、端末装置15〜17のIPv4アドレスを記憶するためのIPv4アドレス記憶域250〜270とIPv6アドレスを記憶するためのIPv6アドレス記憶域251〜271を備える。
【0031】
図7は本実施例のIPネットワーク1を構成するファイアウォール13の構成を示すブロック図である。ファイアウォール13はIPネットワーク1と外部ネットワーク19を相互に接続する外部ネットワーク接続手段30を備える。外部ネットワーク接続手段30はIPネットワーク内で使用可能なIPv4アドレスの記憶域301〜30NとIPv6アドレスの記憶域311〜31Mを有する。
【0032】
図8は本実施例のIPネットワーク1を構成する認証サーバ14の構成を示すブロック図である。認証サーバ14は、端末認証手段40とIPアドレス登録手段41を備える。端末認証手段40は、IPネットワーク1を利用可能な端末装置15〜17のMACアドレス150〜170を記憶する。IPアドレス登録手段は、端末装置15〜17のIPv4アドレスとIPv6アドレスを記憶するため、端末装置15〜17に対応してIPv4アドレス記憶域450〜470とIPv6アドレス記憶域451〜471を備える。
【0033】
[動作の説明]
端末装置15、端末装置16および端末装置17のMACアドレスはそれぞれMACアドレス150、MACアドレス160およびMACアドレス170とし、IPv4アドレスはそれぞれIPv4アドレス151、IPv4アドレス161およびIPv4アドレス171、IPv6アドレスはそれぞれIPv6アドレス152、IPv6アドレス162、IPv6アドレス172を使用するものとする。認証サーバ14の端末認証手段40は、IPネットワーク1の正当な端末のMACアドレスとしてMACアドレス150、MACアドレス160およびMACアドレス170を記憶しているものとする。ファイアウォール13の外部ネットワーク接続手段30のIPv4アドレス記憶域301〜303には、IPネットワーク1内で使用可能なIPv4アドレスとしてそれぞれIPv4アドレス151、IPv4アドレス161およびIPv4アドレス171を記憶し、IPネットワーク1内で使用可能なIPv6アドレスとしてそれぞれIPv6アドレス152、IPv6アドレス162およびIPv6アドレス172を記憶しているものとする。
【0034】
今、端末装置15と端末装置16がそれぞれハブ11のデータリンク層終端手段21とハブ11のデータリンク層終端手段22に接続されているものとする。IPv4アドレス記憶域250とIPv4アドレス記憶域260にはそれぞれ端末15のIPv4アドレス151と端末16のIPv4アドレス161が書き込まれ、IPv6アドレス記憶域251とIPv6アドレス記憶域261にはそれぞれ端末15のIPv6アドレス152と端末16のIPv6アドレス162が書き込まれているものとする。認証サーバ14のIPv4アドレス記憶域450とIPv4アドレス記憶域460にはそれぞれ端末15のIPv4アドレス151と端末16のIPv4アドレス161が書き込まれ、IPv6アドレス記憶域451とIPv6アドレス記憶域461にはそれぞれ端末15のIPv6アドレス152と端末16のIPv6アドレス162が書き込まれているものとする。ハブ11のデータリンク層終端手段23には端末装置が接続されておらず、従って、IPv4アドレス記憶域270とIPv6アドレス記憶域271、認証サーバ14のIPv4アドレス記憶域470とIPv6アドレス記憶域471には有効なIPアドレスが書き込まれていないものとする。
【0035】
この状態において、端末装置17をハブ11のデータリンク層終端手段23に接続するものとする。データリンク層終端手段23は端末装置17とデータリンクフレームを交換し、端末装置17のMACアドレス170を取得する。データリンク層終端手段23は端末装置17を認証するため、認証サーバ14の端末認証手段40に対してMACアドレス170を有する端末装置17がIPネットワーク1の正当な端末であるか問い合わせる。端末認証手段40はMACアドレス170が端末認証手段40の記憶するMACアドレスの一つであることを確認し、正当な端末であることを回答する。データリンク層終端手段23は正当な端末であるとの回答を待って、端末装置17との間にデータリンクを設定する。仮に正当な端末ではないとの回答を得たとすると、データリンク層終端手段23は端末装置17との間にデータリンクを設定しない。
【0036】
続いて、IPアドレス監視手段27は端末装置17がデータリンク上で最初に送信するIPパケットを監視し、データリンクフレームのヘッダによりIPv4パケットまたはIPv6パケットのいずれであるか判定し、送信元IPアドレスフィールドからIPv4アドレス171またはIPv6アドレス172を取得する。ここではIPv6アドレスを取得するものとする。IPv6アドレス記憶域271には有効なIPv6アドレスが書き込まれておらず、従ってIPv6アドレス172と一致しないため、データリンク層終端手段23は認証サーバ14のIPアドレス登録手段41に対してIPアドレス登録依頼を送信する。IPアドレス登録手段41はIPv6アドレス記憶域451〜471に書き込まれている有効なIPv6アドレス、即ちIPv6アドレス152とIPv6アドレス162のいずれともIPv6アドレス172が一致しないことを確認すると、登録許可を応答する。IPアドレス監視手段27は登録許可を待って、IPv6アドレス172をIPアドレス記憶域271に書き込み、保留していたIPパケットを転送する。
【0037】
外部ネットワーク19からIPv6アドレス152を送信元IPアドレスフィールドに設定されたIPv6パケットを受信すると、ファイアウォール13の外部ネットワーク接続手段30はIPv6アドレス152がIPアドレス記憶域311に書き込まれたIPアドレスと一致することを検出し、該IPパケットを破棄する。
【0038】
電子商取引サーバ18は端末装置16から物品またはコンテンツまたはサービスの注文を受けると、注文を構成するIPv6パケットの送信元IPパケットフィールドからIPv6アドレス162を取得する。電子商取引サーバは認証サーバ14に対して、IPv6アドレス162に対応する端末装置を問い合わせる。認証サーバ14はIPv6アドレス記憶域461に書き込まれたIPv6アドレスがIPv6アドレス162と一致することを確認し、IPv6アドレス162を使用する端末装置が端末装置16であることを回答する。
【0039】
以上、本発明者によってなされた発明を、前記実施の形態に基づき具体的に説明したが、本発明は、前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【0040】
【発明の効果】
本発明のIPネットワークは上記のように構成されているので、同時に2台以上の端末装置が同一のIPアドレスを使用することが無いため、端末装置が送信するIPパケットの送信元IPアドレスから端末装置を特定することができ、従って、IPアドレスを端末アイデンティティとして使用できるという効果がある。
【図面の簡単な説明】
【図1】本発明の第1および第2および第3の実施形態のネットワーク構成図である。
【図2】本発明の第1および第2の実施形態のハブ11の構成を示すブロック図である。
【図3】本発明の第1および第2の実施形態のファイアウォール13の構成を示すブロック図である。
【図4】本発明の第1の実施形態の認証サーバ14の構成を示すブロック図である。
【図5】本発明の第2の実施形態の認証サーバ14の構成を示すブロック図である。
【図6】本発明の第3の実施形態のハブ11の構成を示すブロック図である。
【図7】本発明の第3の実施形態のファイアウォール13の構成を示すブロック図である。
【図8】本発明の第3の実施形態の認証サーバ14の構成を示すブロック図である。
【符号の説明】
1…IPネットワーク、10…ルータ、11…ハブ、12…ハブ、13…ファイアウォール、14…認証サーバ、15…端末装置、16…端末装置、17…端末装置、150…端末装置15のMACアドレス、160…端末装置16のMACアドレス、170…端末装置17のMACアドレス、18…電子商取引サーバ、19…外部ネットワーク、20…データリンク層終端手段、21…データリンク層終端手段、22…データリンク層終端手段、23…データリンク層終端手段、24…データリンクフレーム交換手段、25…IPアドレス監視手段、26…IPアドレス監視手段、27…IPアドレス監視手段、250…IPアドレス記憶域、260…IPアドレス記憶域、270…IPアドレス記憶域、30…外部ネットワーク接続手段、301〜30N…IPネットワーク1内で使用可能なIPアドレス、40…端末認証手段、41…IPアドレス登録手段、450…IPアドレス記憶域、460…IPアドレス記憶域、470…IPアドレス記憶域。

Claims (5)

  1. データリンク確立時に端末装置を認証する端末認証手段と、
    端末装置が使用するIPアドレスを記憶し、IPアドレス登録要求を受信すると記憶してある全てのIPアドレスと照合して一致するIPアドレスが存在しない場合には端末装置のIPアドレスとして新たに記憶して登録成功を応答し、一致するIPアドレスが存在する場合は登録失敗を応答し、またIPアドレス削除要求を受信するとIPアドレスを削除するIPアドレス登録手段と、
    を有する認証サーバと、
    前記端末認証手段により認証を否認された端末装置および未だ認証されていない端末装置との間にはデータリンクを設定せず前記端末認証手段により認証された端末装置との間にのみデータリンクを設定し、データリンクフレームをネットワーク層中継装置またはデータリンク層中継装置または物理層中継装置に中継するデータリンク層終端手段と、
    前記データリンク層終端手段が設定したデータリンク上でIPパケットを監視し、端末装置のIPアドレスを記憶し、端末装置が送信するIPパケットの送信元IPアドレスと記憶してあるIPアドレスが異なる場合にIPパケットの転送を保留し前記IPアドレス登録手段へIPアドレス登録要求を送信し、前記IPアドレス登録手段からIPアドレス登録成功を受信すると記憶してあるIPパケット値をIPパケットの送信元IPアドレスで更新してIPパケットを転送し、前記IPアドレス登録手段からIPアドレス登録失敗を受信するとIPアドレスを更新せずにIPパケットを転送しないIPアドレス監視手段
    を有する端末収容装置と、
    を有するIPネットワークにおいて、
    前記認証サーバは、注文を構成するIPパケットの送信元IPパケットフィールドから取得されたIPアドレスに対応する端末装置の問い合わせを受け、問い合わせを受けたIPアドレスと記憶しているIPアドレスが一致することを確認し、該IPアドレスを使用する端末装置を回答することを特徴とするIPネットワーク。
  2. 請求項1記載のIPネットワークにおいて
    前記IPアドレス登録手段は、IPアドレスの分類に従ってIPアドレスを記憶し照合
    前記IPアドレス監視手段は、前記IPアドレスの分類に従ってIPアドレスを登録し削除する
    とを特徴とするIPネットワーク。
  3. 請求項1または請求項2記載のIPネットワークであって、
    前記IPアドレス登録手段は、IPネットワークにおいて端末装置が使用可能な1以上のIPアドレスを記憶し、登録要求受信時は記憶してあるIPアドレスとの照合に加えて、使用可能なIPアドレスである場合にのみIPアドレスを登録し登録成功を応答し、使用可能なIPアドレスでなければIPアドレスを登録せずに登録失敗を応答することを特徴とするIPネットワーク。
  4. 請求項3記載のIPネットワークであって、
    外部ネットワークとの間でIPパケットを送受信し、外部ネットワークから受信するIPパケットの送信元IPアドレスが自IPネットワーク内で使用可能なIPアドレスでない場合にのみIPパケットをIPネットワークに転送し、自IPネットワーク内で使用可能なIPアドレスである場合はIPパケットをIPネットワークに転送しない外部ネットワーク接続手段、
    を有することを特徴とするIPネットワーク。
  5. 請求項1または請求項2または請求項3または請求項4記載のIPネットワークであって、
    前記IPアドレス登録手段は、IPアドレス削除依頼を受信するとIPアドレスを削除するとともに、IPアドレスを使用不能IPアドレスとして一定期間記憶し、IPアドレス登録依頼を受信すると端末装置毎に記憶してあるIPアドレスと照合するだけではなく、使用不能IPアドレスとも照合することを特徴とするIPネットワーク。
JP2001369748A 2001-12-04 2001-12-04 Ipアドレスを端末アイデンティティとして使用可能なipネットワーク Expired - Fee Related JP3833932B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001369748A JP3833932B2 (ja) 2001-12-04 2001-12-04 Ipアドレスを端末アイデンティティとして使用可能なipネットワーク

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001369748A JP3833932B2 (ja) 2001-12-04 2001-12-04 Ipアドレスを端末アイデンティティとして使用可能なipネットワーク

Publications (2)

Publication Number Publication Date
JP2003169069A JP2003169069A (ja) 2003-06-13
JP3833932B2 true JP3833932B2 (ja) 2006-10-18

Family

ID=19179088

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001369748A Expired - Fee Related JP3833932B2 (ja) 2001-12-04 2001-12-04 Ipアドレスを端末アイデンティティとして使用可能なipネットワーク

Country Status (1)

Country Link
JP (1) JP3833932B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7733856B2 (en) * 2004-07-15 2010-06-08 Alcatel-Lucent Usa Inc. Obtaining path information related to a virtual private LAN services (VPLS) based network
CN108668337B (zh) * 2017-03-31 2020-07-28 华为技术有限公司 关联消息处理装置及方法
JP7148947B2 (ja) * 2017-06-07 2022-10-06 コネクトフリー株式会社 ネットワークシステムおよび情報処理装置

Also Published As

Publication number Publication date
JP2003169069A (ja) 2003-06-13

Similar Documents

Publication Publication Date Title
US7831237B2 (en) Authenticating mobile network provider equipment
EP1878169B1 (en) Operator shop selection in broadband access related application
ES2258134T3 (es) Metodo y aparato para el control del acceso de un dispositivo terminal inalambrico en una red de comunicaciones.
Patel et al. Securing L2TP using IPsec
CN1722661B (zh) 认证***、网络线路级联器和认证方法
US8068414B2 (en) Arrangement for tracking IP address usage based on authenticated link identifier
US7333482B2 (en) Route optimization technique for mobile IP
US6907470B2 (en) Communication apparatus for routing or discarding a packet sent from a user terminal
US7480933B2 (en) Method and apparatus for ensuring address information of a wireless terminal device in communications network
US20040213237A1 (en) Network authentication apparatus and network authentication system
US7861076B2 (en) Using authentication server accounting to create a common security database
WO2011041967A1 (zh) 匿名通信的方法、注册方法、信息收发方法及***
US11196702B2 (en) In-vehicle communication device, and communication control method
WO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
US8819790B2 (en) Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment
US20100191963A1 (en) Method for transmission of dhcp messages
JP3833932B2 (ja) Ipアドレスを端末アイデンティティとして使用可能なipネットワーク
JP5715030B2 (ja) アクセス回線特定・認証システム
WO2011044807A1 (zh) 一种匿名通信的注册、通信方法及数据报文的收发***
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
JP3678166B2 (ja) 無線端末の認証方法、無線基地局及び通信システム
Bagnulo et al. SAVI: The IETF standard in address validation
JP4768547B2 (ja) 通信装置の認証システム
JP2004072633A (ja) IPv6ノード収容方法およびIPv6ノード収容システム
WO2011157142A2 (zh) 报文发送方法和装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060119

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060124

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060327

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060718

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060720

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090728

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100728

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100728

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110728

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120728

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130728

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees