JP4002844B2 - Gateway device and network connection method - Google Patents

Gateway device and network connection method Download PDF

Info

Publication number
JP4002844B2
JP4002844B2 JP2003012714A JP2003012714A JP4002844B2 JP 4002844 B2 JP4002844 B2 JP 4002844B2 JP 2003012714 A JP2003012714 A JP 2003012714A JP 2003012714 A JP2003012714 A JP 2003012714A JP 4002844 B2 JP4002844 B2 JP 4002844B2
Authority
JP
Japan
Prior art keywords
user terminal
user
address
dhcp server
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003012714A
Other languages
Japanese (ja)
Other versions
JP2004228799A (en
Inventor
憲一 丸茂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2003012714A priority Critical patent/JP4002844B2/en
Publication of JP2004228799A publication Critical patent/JP2004228799A/en
Application granted granted Critical
Publication of JP4002844B2 publication Critical patent/JP4002844B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、公衆利用が可能なネットワークに利用されるゲートウェイ装置及びネットワーク接続方法に関するものである。
【0002】
【従来の技術】
従来、無線通信端末のユーザは、店舗などに設置された無線基地局を利用することで、無線通信サービス提供者に別途の許可を得ることなく、この無線基地局が接続されたローカルネットワークにアクセスすることができる。すなわち、DHCP(Dynamic Host Configuration Protocol)サーバが、無線基地局を介して、ユーザの無線通信端末にIPアドレス(プライベートIP)を設定することで、ユーザは、ローカルネットワークへのアクセスが可能となる。それにより、ローカルネットワーク上においてサービス提供者が提供する特定ホームページ(例えば、広告ページ)の閲覧や、特定コンテンツ(例えば、音楽データ)のダウンロードを自由におこなうことができる。なお、有線通信システムにおけるアクセス制御(ゲートウェイ)の技術は、例えば下記特許文献1に開示されている。
【0003】
【特許文献1】
特開2001−268125号公報
【0004】
【発明が解決しようとする課題】
このような無線基地局を介したローカルネットワークへの接続を、サービス提供者が許容するユーザ(正規ユーザ)に限り、オープンなネットワークであるインターネットへの接続まで拡張するサービスの提供が切望されている。すなわち、サービス提供者が、正規ユーザにのみ、インターネット接続用のIPアドレス(グローバルIP)を提供することへの要求が高まっている。しかしながら、前述したローカルネットワークへの接続のように、不特定のユーザ各々に設定するプライベートIPと、正規ユーザのみに設定するグローバルIPとを単一のDHCPサーバが設定する場合、プライベートIPでローカルネットワークに接続した不正ユーザが、当該DHCPサーバにアクセスして容易にグローバルIPを盗用できるという問題があった。それにより、不正ユーザが正規ユーザになりすまして、正規ユーザのアクセスが拒絶されるおそれがあった。
【0005】
本発明は、上述の課題を解決するためになされたもので、セキュリティの向上が図られたゲートウェイ装置及びネットワーク接続方法を提供することを目的とする。
【0006】
【課題を解決するための手段】
本発明に係るゲートウェイ装置は、プライベートIPアドレスをユーザ端末に割り当てる第1のDHCPサーバと、グローバルIPアドレスをユーザ端末に割り当てる第2のDHCPサーバと、ユーザ端末、第1及び第2のDHCPサーバのそれぞれと情報の送受信が可能であり、ユーザ端末に対してユーザ認証をおこなう認証サーバとを備えるゲートウェイ装置であって、認証サーバは、ユーザ端末からの要求に応じて、ユーザ端末と第1のDHCPサーバとの接続を確立して、要求のあったユーザ端末にプライベートIPアドレスを送信すると共に、そのプライベートIPアドレスを受信し格納しているユーザ端末に対するユーザ認証が成功した場合には、そのユーザ端末と第2のDHCPサーバとの接続を確立して、そのユーザ端末にグローバルIPアドレスを送信することを特徴とする。
【0007】
このようなゲートウェイ装置においては、ユーザは第1のDHCPサーバから認証サーバを介してプライベートIPアドレスを受信することによって、プライベートIPアドレスが通用するネットワーク(ローカルネットワーク)へ接続することができる。したがって、ユーザは、ローカルネットワーク内に用意された特定ページ(例えば、広告ページ)の閲覧や、特定コンテンツ(例えば、音楽データ)のダウンロードを自由におこなうことができる。また、ユーザは、プライベートIPアドレスを有する状態で、認証サーバおいておこなわれるユーザ認証に成功した場合には、第2のDHCPサーバから認証サーバを介してグローバルIPアドレスを受信することができる。したがって、ユーザ認証が成功した特定のユーザに関しては、グローバルIPアドレスが通用するインターネットへの接続が許可されることとなる。このように、本発明に係るゲートウェイ装置によれば、認証サーバにおいてユーザ認証をおこない、このユーザ認証に成功したユーザのユーザ端末のみ第2のDHCPサーバとの接続が確立され、グローバルIPアドレスが割り当てられるため、認証されない不正ユーザが第2のDHCPサーバにアクセスすることは不可能であり、ゲートウェイ装置のセキュリティの向上が図られる。
【0008】
本発明に係るネットワーク接続方法は、プライベートIPアドレスをユーザ端末に割り当てる第1のDHCPサーバと、グローバルIPアドレスをユーザ端末に割り当てる第2のDHCPサーバと、ユーザ端末、第1及び第2のDHCPサーバのそれぞれと情報の送受信が可能であり、ユーザ端末に対してユーザ認証をおこなう認証サーバとを備えるゲートウェイ装置において適用されるネットワーク接続方法であって、認証サーバが、ユーザ端末からの要求に応じて、ユーザ端末と第1のDHCPサーバとの接続を確立するステップと、第1のDHCPサーバとの接続が確立されたユーザ端末にプライベートIPアドレスを送信するステップと、プライベートIPアドレスを受信し格納しているユーザ端末に対してユーザ認証をするステップと、ユーザ端末に対するユーザ認証が成功した場合に、そのユーザ端末と第2のDHCPサーバとの接続を確立するステップと、第2のDHCPサーバとの接続が確立されたユーザ端末にグローバルIPアドレスを送信するステップとを備えることを特徴とする。
【0009】
このようなネットワーク接続方法においては、ユーザは第1のDHCPサーバから認証サーバを介してプライベートIPアドレス受信することによって、プライベートIPアドレスが通用するネットワーク(ローカルネットワーク)へ接続することができる。したがって、ユーザは、ローカルネットワーク内に用意された特定ページ(例えば、広告ページ)の閲覧や、特定コンテンツ(例えば、音楽データ)のダウンロードを自由におこなうことができる。また、ユーザは、プライベートIPアドレスを有する状態で、認証サーバにおいておこなわれるユーザ認証に成功した場合には、第2のDHCPサーバから認証サーバを介してグローバルIPアドレスを受信することができる。したがって、ユーザ認証が成功した特定のユーザに関しては、グローバルIPアドレスが通用するインターネットへの接続が許可されることとなる。このように、本発明に係るネットワーク接続方法によれば、認証サーバにおいてユーザ認証をおこない、このユーザ認証に成功したユーザのユーザ端末のみ第2のDHCPサーバとの接続が確立され、グローバルIPアドレスが割り当てられるため、認証されない不正ユーザが第2のDHCPサーバにアクセスすることは不可能であり、ゲートウェイ装置のセキュリティの向上が図られる。
【0010】
【発明の実施の形態】
以下、添付図面を参照して本発明に係るゲートウェイ装置及びネットワーク接続方法の好適な実施の形態について詳細に説明する。
【0011】
図1に示すように、ゲートウェイ装置10は、BAS(認証サーバ)12と、第1のDHCPサーバ14と、第2のDHCPサーバ16とを備えている。このゲートウェイ装置10は、主として、無線基地局11を介してユーザ端末18からローカルネットワーク20及びインターネット22へのアクセス制御をおこなうものである。
【0012】
BAS(Broadband Access Server)12は、インターネットの常時接続サービス(例えば、ADSL)に利用される、ユーザ認証機能やルータ機能を有するサーバである。なお、BAS12におけるユーザ認証には、一般的にPPPoE(PPP over Ethernet(登録商標))が利用される。このPPPoEによるデータ通信は、いわゆるOSI参照モデル(国際標準化機構(ISO)が定義したコンピュータ間の通信の仕組み)の第2層(データリンク層)でおこなわれる。
【0013】
また、第1及び第2のDHCPサーバ14,16は、ともにIPアドレスをユーザ端末18に割り当てるサーバであり、第1のDHCPサーバ14にはプライベートIPアドレスが、第2のDHCPサーバ16にはグローバルIPアドレスが格納されている。このグローバルIPアドレスが、インターネット22において利用されるIPアドレスであるのに対し、プライベートIPアドレスは、閉じられたローカルネットワーク20においてのみ利用可能なIPアドレスである。
【0014】
ユーザ端末18は、無線通信可能な端末であり、例えば、無線LANカードが装備されたノートパソコン等である。そして、このユーザ端末18は、BAS12に接続された無線基地局11を介してBAS12との間でデータの送受信が可能となっている。この無線基地局11は、ユーザ端末18からBAS12へのデータ送信を無線通信から有線通信へ変換するインターフェース装置であると共に、BAS12からユーザ端末18へのデータ送信を有線通信から無線通信へ変換するインターフェース装置である。また、ユーザ端末18には、ユーザ端末18でのPPPoE接続を可能にするソフトウェア(以下、「PPPoEソフト」と称す。)が格納されている。
【0015】
なお、無線基地局11から第1のDHCPサーバ14までのルートは、BAS12を介して常時データのやりとりが可能となっている。一方、無線基地局11から第2のDHCPサーバ16までのルートは、BAS12によりデータのやりとりが制御されている。すなわち、ユーザは、BAS12によるユーザ認証に成功することにより、ユーザ端末18と第2のDHCPサーバ16との接続を確立することができる。
【0016】
以下、ユーザ端末18からローカルネットワーク20及びインターネット22へアクセスする手順について、図2を参照しつつ説明する。
【0017】
まず、ユーザ端末18が、アクセス要求を無線基地局11に無線送信して(S10)、ユーザ端末18と無線基地局11との間の接続が確立される。このユーザ端末18と無線基地局11との間の接続が確立されると、無線基地局11と第1のDHCPサーバ14とはBAS12を介して常に接続が確立されているので、ユーザ端末18と第1のDHCPサーバ14との接続が確立されることとなり(S12)、第1のDHCPサーバ14からユーザ端末18へプライベートIPアドレスが送信される(S14)。ユーザ端末18はそのプライベートIPアドレスを受信すると(S16)、その割り当てられたIPアドレスを用いてローカルネットワーク20にアクセスする(S18)。それにより、ユーザは、ローカルネットワーク内に存在する広告ページを閲覧したり、音楽コンテンツをダウンロードしたりすることができる。
【0018】
このように、第1のDHCPサーバ14からプライベートIPアドレスを割り当てられた状態で、ユーザがインターネット22へアクセスしようとする場合には、ユーザ端末18のPPPoEソフトを起動する。そして、このソフトを用いて、BAS12にユーザ認証情報(例えば、ユーザID及びパスワード)を送信する(S20)。そして、BAS12が、このユーザ認証情報を受信して(S22)、ユーザ認証をおこなう(S24)。ここで、「ユーザ認証」とは、例えば、BAS12が、図示しないデータベースを参照して、ユーザのユーザ登録の有無を調べること等である。ユーザは、このユーザ認証に失敗した場合は、再度ユーザ認証することとなる。
【0019】
BAS12によるユーザ認証が成功した場合、BAS12は、ユーザ端末18とデータリンク層における接続を確立すると共に、ユーザ端末18と第2のDHCPサーバ16との接続を確立する(S26)。それにより、第2のDHCPサーバ16からユーザ端末18へPPPoEプロトコルによりグローバルIPアドレスが送信される(S28)。ユーザ端末18はグローバルIPアドレスを受信し(S30)、その割り当てられたIPアドレスを用いることにより、インターネット22へアクセスできるようになる(S32)。
【0020】
以上詳細に説明したように、ゲートウェイ装置10においては、ユーザは第1のDHCPサーバ14からプライベートIPアドレスを受信することにより、プライベートIPアドレスが通用するローカルネットワーク20へ接続することができる。したがって、ユーザは、ローカルネットワーク20内に用意された特定ページ(例えば、広告ページ)の閲覧や、特定コンテンツ(例えば、音楽データ)のダウンロードを自由におこなうことができる。また、ユーザは、BAS12おいておこなわれるユーザ認証に成功した場合には、第2のDHCPサーバ16からグローバルIPアドレスを受信することができる。
【0021】
したがって、一般のユーザは誰でも、ユーザ端末18と第1のDHCPサーバ14との接続を確立でき、ユーザはプライベートIPアドレスが通用するローカルネットワーク20への接続が許可される。また、BAS12によるユーザ認証が成功した特定のユーザに関しては、そのユーザのユーザ端末18と第2のDHCPサーバ16との接続を確立でき、そのユーザはグローバルIPアドレスが通用するインターネットへの接続が許可される。このように、ゲートウェイ装置10によれば、BAS12においてユーザ認証されない不正ユーザが第2のDHCPサーバ16にアクセスすることは不可能であり、ゲートウェイ装置10のセキュリティの向上が図られている。
【0022】
なお、第三者による通信内容の盗聴を阻止するために、上述したゲートウェイ装置10に代えて、図3に示したゲートウェイ装置10Aを用いてもよい。すなわち、ユーザが通信するデータフレーム上ではデータが平文で格納されるため、特に無線の特性上、第三者のデータ傍受による盗聴がおこなわれ得るが、ゲートウェイ装置10にSSL変換GW26を付加したゲートウェイ装置10Aによれば、第三者の盗聴を抑止することができる。以下、詳細に説明する。
【0023】
図3に示すように、BAS12とインターネット22とはSSL変換GW26を介して接続されており、BAS12においてユーザ認証が成功した特定のユーザは、SSL変換GW26を介してインターネット22へアクセスする。そして、ユーザ端末18が接続要求しているサービス種類がHTTPプロトコルの場合には、SSL変換GW26はユーザ端末18との間でSSLセッションを確立する。なお、サービス種類がHTTPプロトコルとは異なるプロトコル(例えば、HTTPSやPOP、FTP等)の場合は、通常の通信を確保するため、SSL変換GW26はユーザ端末18との間でSSLセッションを確立しない。
【0024】
このように、BAS12においてユーザ認証が成功した特定のユーザは、、インターネット22との通信のうち、HTTPプロトコル通信においてはユーザ端末18とSSL変換GW26との間でSSLセッションを確立してHTTPSプロトコル通信をおこなうため、このユーザ端末18とSSL変換GW26との間における通信のセキュリティレベルが向上される。なお、HTTPS(SSL)通信機能は、一般的なインターネット閲覧ソフトに標準装備されており、ゲートウェイ装置10AがSSL変換GW26を備えるだけで、容易に暗号化通信を実現することができる。
【0025】
なお、第三者の盗聴を回避するセキュリティ対策としては、VPN機能を用いる方がより一般的である。すなわち、ゲートウェイ装置10又はゲートウェイ装置10AのBAS12がVPN(仮想専用線)機能を有する場合は、ユーザ端末18はインターネット22を利用して、より高いセキュリティレベルでデータ通信をおこなうことができる。ただしこの場合には、ユーザは専用のVPNクライアントソフトが必要となる。
【0026】
本発明は上記実施形態に限定されるものではなく、様々な変形が可能である。例えば、ユーザ端末18とBAS12との接続は、無線接続に限定されるものではなく、有線接続であってもよい。この場合、ユーザ端末18は、ケーブル及びルータ等を介してBAS12に接続される。
【0027】
【発明の効果】
本発明によれば、セキュリティの向上が図られたゲートウェイ装置及びネットワーク接続方法が提供される。
【図面の簡単な説明】
【図1】本発明の実施形態に係るゲートウェイ装置を説明するための図である。
【図2】ユーザ端末からローカルネットワーク及びインターネットへアクセスする手順を示したフロー図である。
【図3】図1のゲートウェイ装置の変形態様を示した図である。
【符号の説明】
10,10A…ゲートウェイ装置、12…BAS(認証サーバ)、14…第1のDHCPサーバ、16…第2のDHCPサーバ、18…ユーザ端末、20…ローカルネットワーク、22…インターネット。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a gateway device and a network connection method used for a network that can be used by the public.
[0002]
[Prior art]
Conventionally, a user of a wireless communication terminal uses a wireless base station installed in a store or the like to access a local network to which the wireless base station is connected without obtaining a separate permission from a wireless communication service provider. can do. That is, a DHCP (Dynamic Host Configuration Protocol) server sets an IP address (private IP) in a user's wireless communication terminal via a wireless base station, so that the user can access the local network. Thereby, it is possible to freely browse a specific homepage (for example, advertisement page) provided by the service provider on the local network and download specific content (for example, music data). The technique of access control (gateway) in the wired communication system is disclosed in, for example, Patent Document 1 below.
[0003]
[Patent Document 1]
Japanese Patent Laid-Open No. 2001-268125
[Problems to be solved by the invention]
There is an urgent need to provide a service that extends connection to the Internet, which is an open network, only for users (regular users) permitted by the service provider to connect to the local network via such wireless base stations. . That is, there is an increasing demand for service providers to provide IP addresses (global IP) for Internet connection only to authorized users. However, when a single DHCP server sets a private IP set for each unspecified user and a global IP set only for a regular user, as in the connection to the local network described above, the local network is set with the private IP. There is a problem that an unauthorized user connected to the network can easily steal the global IP by accessing the DHCP server. As a result, there is a possibility that an unauthorized user impersonates a regular user and denies the access of the regular user.
[0005]
SUMMARY An advantage of some aspects of the invention is that it provides a gateway device and a network connection method in which security is improved.
[0006]
[Means for Solving the Problems]
The gateway device according to the present invention includes a first DHCP server that assigns a private IP address to a user terminal, a second DHCP server that assigns a global IP address to the user terminal, a user terminal, and first and second DHCP servers. Each of the gateway devices is capable of transmitting / receiving information to / from each other and includes an authentication server that performs user authentication with respect to the user terminal, the authentication server responding to a request from the user terminal and the first DHCP. When establishing a connection with the server and transmitting a private IP address to the requested user terminal and receiving and storing the private IP address, if the user authentication is successful, the user terminal And establish a connection with the second DHCP server to the user terminal And transmitting the global IP address.
[0007]
In such a gateway device, the user can connect to a network (local network) through which the private IP address is valid by receiving the private IP address from the first DHCP server via the authentication server. Therefore, the user can freely browse a specific page (for example, an advertisement page) prepared in the local network and download a specific content (for example, music data). In addition, when the user has been successfully authenticated by the authentication server while having a private IP address, the user can receive the global IP address from the second DHCP server via the authentication server. Therefore, for a specific user who has been successfully authenticated, connection to the Internet through which the global IP address is valid is permitted. As described above, according to the gateway device of the present invention, user authentication is performed in the authentication server, and only the user terminal of the user who has succeeded in the user authentication is connected to the second DHCP server, and the global IP address is assigned. Therefore, an unauthorized user who is not authenticated cannot access the second DHCP server, and the security of the gateway device can be improved.
[0008]
A network connection method according to the present invention includes a first DHCP server that assigns a private IP address to a user terminal, a second DHCP server that assigns a global IP address to the user terminal, a user terminal, and first and second DHCP servers. A network connection method applied in a gateway device that is capable of transmitting / receiving information to / from each other and includes an authentication server that performs user authentication for a user terminal, the authentication server responding to a request from the user terminal Establishing a connection between the user terminal and the first DHCP server, transmitting a private IP address to the user terminal with which the connection with the first DHCP server is established, and receiving and storing the private IP address. To authenticate the user to the current user terminal. And when the user authentication to the user terminal is successful, establishing a connection between the user terminal and the second DHCP server, and assigning a global IP address to the user terminal established with the connection to the second DHCP server. And a step of transmitting.
[0009]
In such a network connection method, the user can connect to the network (local network) through which the private IP address is valid by receiving the private IP address from the first DHCP server via the authentication server. Therefore, the user can freely browse a specific page (for example, an advertisement page) prepared in the local network and download a specific content (for example, music data). In addition, the user can receive the global IP address from the second DHCP server via the authentication server when the user authentication performed in the authentication server is successful with the private IP address. Therefore, for a specific user who has been successfully authenticated, connection to the Internet through which the global IP address is valid is permitted. Thus, according to the network connection method of the present invention, user authentication is performed in the authentication server, and only the user terminal of the user who has succeeded in the user authentication is connected to the second DHCP server, and the global IP address is Therefore, the unauthorized user who is not authenticated cannot access the second DHCP server, and the security of the gateway device is improved.
[0010]
DETAILED DESCRIPTION OF THE INVENTION
DESCRIPTION OF EXEMPLARY EMBODIMENTS Hereinafter, preferred embodiments of a gateway device and a network connection method according to the invention will be described in detail with reference to the accompanying drawings.
[0011]
As shown in FIG. 1, the gateway device 10 includes a BAS (authentication server) 12, a first DHCP server 14, and a second DHCP server 16. The gateway device 10 mainly performs access control from the user terminal 18 to the local network 20 and the Internet 22 via the radio base station 11.
[0012]
A BAS (Broadband Access Server) 12 is a server having a user authentication function and a router function that is used for an always-on Internet service (for example, ADSL). Note that PPPoE (PPP over Ethernet (registered trademark)) is generally used for user authentication in the BAS 12. Data communication by PPPoE is performed in the second layer (data link layer) of a so-called OSI reference model (communication mechanism between computers defined by the International Organization for Standardization (ISO)).
[0013]
Each of the first and second DHCP servers 14 and 16 is a server that assigns an IP address to the user terminal 18. The first DHCP server 14 has a private IP address, and the second DHCP server 16 has a global address. An IP address is stored. The global IP address is an IP address that is used in the Internet 22, whereas the private IP address is an IP address that can be used only in the closed local network 20.
[0014]
The user terminal 18 is a terminal capable of wireless communication, such as a notebook computer equipped with a wireless LAN card. The user terminal 18 can transmit and receive data to and from the BAS 12 via the radio base station 11 connected to the BAS 12. The wireless base station 11 is an interface device that converts data transmission from the user terminal 18 to the BAS 12 from wireless communication to wired communication, and an interface that converts data transmission from the BAS 12 to the user terminal 18 from wired communication to wireless communication. Device. The user terminal 18 stores software (hereinafter referred to as “PPPoE software”) that enables PPPoE connection at the user terminal 18.
[0015]
Note that the route from the wireless base station 11 to the first DHCP server 14 can always exchange data via the BAS 12. On the other hand, the exchange of data in the route from the wireless base station 11 to the second DHCP server 16 is controlled by the BAS 12. That is, the user can establish a connection between the user terminal 18 and the second DHCP server 16 by succeeding in user authentication by the BAS 12.
[0016]
Hereinafter, a procedure for accessing the local network 20 and the Internet 22 from the user terminal 18 will be described with reference to FIG.
[0017]
First, the user terminal 18 wirelessly transmits an access request to the radio base station 11 (S10), and a connection between the user terminal 18 and the radio base station 11 is established. When the connection between the user terminal 18 and the radio base station 11 is established, the connection between the radio base station 11 and the first DHCP server 14 is always established via the BAS 12. A connection with the first DHCP server 14 is established (S12), and a private IP address is transmitted from the first DHCP server 14 to the user terminal 18 (S14). Upon receiving the private IP address (S16), the user terminal 18 accesses the local network 20 using the assigned IP address (S18). Thereby, the user can browse an advertisement page existing in the local network or download music content.
[0018]
As described above, when the user tries to access the Internet 22 with the private IP address assigned by the first DHCP server 14, the PPPoE software of the user terminal 18 is activated. Then, using this software, user authentication information (for example, user ID and password) is transmitted to the BAS 12 (S20). The BAS 12 receives the user authentication information (S22) and performs user authentication (S24). Here, “user authentication” means, for example, that the BAS 12 refers to a database (not shown) to check whether or not a user is registered. If this user authentication fails, the user authenticates the user again.
[0019]
When the user authentication by the BAS 12 is successful, the BAS 12 establishes a connection between the user terminal 18 and the data link layer, and establishes a connection between the user terminal 18 and the second DHCP server 16 (S26). Thereby, the global IP address is transmitted from the second DHCP server 16 to the user terminal 18 by the PPPoE protocol (S28). The user terminal 18 receives the global IP address (S30), and can access the Internet 22 by using the assigned IP address (S32).
[0020]
As described above in detail, in the gateway device 10, the user can connect to the local network 20 through which the private IP address is valid by receiving the private IP address from the first DHCP server 14. Therefore, the user can freely browse a specific page (for example, an advertisement page) prepared in the local network 20 and download a specific content (for example, music data). Further, the user can receive a global IP address from the second DHCP server 16 when the user authentication performed in the BAS 12 is successful.
[0021]
Therefore, any general user can establish a connection between the user terminal 18 and the first DHCP server 14, and the user is permitted to connect to the local network 20 through which the private IP address is valid. In addition, for a specific user who has been successfully authenticated by the BAS 12, a connection between the user terminal 18 of the user and the second DHCP server 16 can be established, and the user is permitted to connect to the Internet through which the global IP address is valid. Is done. As described above, according to the gateway device 10, an unauthorized user who is not authenticated by the BAS 12 cannot access the second DHCP server 16, and security of the gateway device 10 is improved.
[0022]
Note that the gateway device 10A shown in FIG. 3 may be used in place of the gateway device 10 described above to prevent eavesdropping of communication contents by a third party. That is, since data is stored in plaintext on the data frame communicated by the user, wiretapping by data interception by a third party can be performed particularly due to wireless characteristics, but a gateway in which the SSL conversion GW 26 is added to the gateway device 10 According to the device 10A, it is possible to suppress eavesdropping by a third party. Details will be described below.
[0023]
As shown in FIG. 3, the BAS 12 and the Internet 22 are connected via an SSL conversion GW 26, and a specific user who has succeeded in user authentication in the BAS 12 accesses the Internet 22 via the SSL conversion GW 26. If the service type requested by the user terminal 18 is the HTTP protocol, the SSL conversion GW 26 establishes an SSL session with the user terminal 18. If the service type is a protocol different from the HTTP protocol (for example, HTTPS, POP, FTP, etc.), the SSL conversion GW 26 does not establish an SSL session with the user terminal 18 in order to ensure normal communication.
[0024]
As described above, the specific user who has succeeded in the user authentication in the BAS 12 establishes an SSL session between the user terminal 18 and the SSL conversion GW 26 in the HTTP protocol communication among the communications with the Internet 22 and performs the HTTPS protocol communication. Therefore, the security level of communication between the user terminal 18 and the SSL conversion GW 26 is improved. Note that the HTTPS (SSL) communication function is provided as standard in general Internet browsing software, and encrypted communication can be easily realized only by the gateway device 10A having the SSL conversion GW 26.
[0025]
In addition, it is more common to use the VPN function as a security measure for preventing eavesdropping by a third party. That is, when the BAS 12 of the gateway device 10 or the gateway device 10A has a VPN (virtual dedicated line) function, the user terminal 18 can perform data communication at a higher security level using the Internet 22. In this case, however, the user needs dedicated VPN client software.
[0026]
The present invention is not limited to the above embodiment, and various modifications are possible. For example, the connection between the user terminal 18 and the BAS 12 is not limited to a wireless connection, and may be a wired connection. In this case, the user terminal 18 is connected to the BAS 12 via a cable and a router.
[0027]
【The invention's effect】
According to the present invention, a gateway device and a network connection method with improved security are provided.
[Brief description of the drawings]
FIG. 1 is a diagram for explaining a gateway device according to an embodiment of the present invention.
FIG. 2 is a flowchart showing a procedure for accessing a local network and the Internet from a user terminal.
FIG. 3 is a diagram showing a modification of the gateway device of FIG. 1;
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 10,10A ... Gateway apparatus, 12 ... BAS (authentication server), 14 ... 1st DHCP server, 16 ... 2nd DHCP server, 18 ... User terminal, 20 ... Local network, 22 ... Internet.

Claims (2)

プライベートIPアドレスをユーザ端末に割り当てる第1のDHCPサーバと、
グローバルIPアドレスを前記ユーザ端末に割り当てる第2のDHCPサーバと、
前記ユーザ端末、前記第1及び第2のDHCPサーバのそれぞれと情報の送受信が可能であり、ユーザ端末に対してユーザ認証をおこなう認証サーバと
を備えるゲートウェイ装置であって、
前記認証サーバは、前記ユーザ端末からの要求に応じて前記ユーザ端末と前記第1のDHCPサーバとの接続を確立して、要求のあったユーザ端末に前記プライベートIPアドレスを送信すると共に、そのプライベートIPアドレスを受信し格納しているユーザ端末に対するユーザ認証が成功した場合には、そのユーザ端末と前記第2のDHCPサーバとの接続を確立して、そのユーザ端末に前記グローバルIPアドレスを送信することを特徴とするゲートウェイ装置。A first DHCP server for assigning a private IP address to the user terminal;
A second DHCP server for assigning a global IP address to the user terminal;
A gateway device comprising an authentication server capable of transmitting / receiving information to / from each of the user terminal and the first and second DHCP servers, and performing user authentication for the user terminal;
The authentication server establishes a connection between the user terminal and the first DHCP server in response to a request from the user terminal, transmits the private IP address to the requested user terminal, and When user authentication for a user terminal that receives and stores an IP address is successful, a connection is established between the user terminal and the second DHCP server, and the global IP address is transmitted to the user terminal. A gateway device characterized by that. プライベートIPアドレスをユーザ端末に割り当てる第1のDHCPサーバと、
グローバルIPアドレスを前記ユーザ端末に割り当てる第2のDHCPサーバと、
前記ユーザ端末、前記第1及び第2のDHCPサーバのそれぞれと情報の送受信が可能であり、ユーザ端末に対してユーザ認証をおこなう認証サーバと
を備えるゲートウェイ装置において適用されるネットワーク接続方法であって、
前記認証サーバが、
前記ユーザ端末からの要求に応じて、前記ユーザ端末と前記第1のDHCPサーバとの接続を確立するステップと、
前記第1のDHCPサーバとの接続が確立されたユーザ端末に前記プライベートIPアドレスを送信するステップと、
前記プライベートIPアドレスを受信し格納しているユーザ端末に対してユーザ認証をするステップと、
前記ユーザ端末に対するユーザ認証が成功した場合に、そのユーザ端末と前記第2のDHCPサーバとの接続を確立するステップと、
前記第2のDHCPサーバとの接続が確立された前記ユーザ端末に前記グローバルIPアドレスを送信するステップと
を備えることを特徴とするネットワーク接続方法。A first DHCP server for assigning a private IP address to the user terminal;
A second DHCP server for assigning a global IP address to the user terminal;
A network connection method applied in a gateway device including an authentication server capable of transmitting / receiving information to / from each of the user terminal and the first and second DHCP servers and performing user authentication for the user terminal. ,
The authentication server is
Establishing a connection between the user terminal and the first DHCP server in response to a request from the user terminal;
Transmitting the private IP address to a user terminal established with a connection with the first DHCP server;
Authenticating a user terminal for receiving and storing the private IP address;
Establishing a connection between the user terminal and the second DHCP server if user authentication to the user terminal is successful;
And a step of transmitting the global IP address to the user terminal that has established a connection with the second DHCP server.
JP2003012714A 2003-01-21 2003-01-21 Gateway device and network connection method Expired - Fee Related JP4002844B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003012714A JP4002844B2 (en) 2003-01-21 2003-01-21 Gateway device and network connection method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003012714A JP4002844B2 (en) 2003-01-21 2003-01-21 Gateway device and network connection method

Publications (2)

Publication Number Publication Date
JP2004228799A JP2004228799A (en) 2004-08-12
JP4002844B2 true JP4002844B2 (en) 2007-11-07

Family

ID=32901235

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003012714A Expired - Fee Related JP4002844B2 (en) 2003-01-21 2003-01-21 Gateway device and network connection method

Country Status (1)

Country Link
JP (1) JP4002844B2 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006035478A1 (en) 2004-09-27 2006-04-06 Hewlett-Packard Development Company, L.P. Computer system and method thereof
CN100388739C (en) * 2005-04-29 2008-05-14 华为技术有限公司 Method and system for contributing DHCP addresses safely
CN1921496B (en) * 2005-08-24 2010-04-14 中兴通讯股份有限公司 Method for DHCP client terminal to identifying DHCP server
JP4965144B2 (en) * 2006-03-20 2012-07-04 株式会社リコー Communication device
JP5018883B2 (en) * 2007-07-11 2012-09-05 富士通株式会社 Authentication system, terminal authentication device, and authentication processing program
JP5078025B2 (en) * 2008-07-02 2012-11-21 日本電信電話株式会社 P2P type traffic control system and control method
CN105281996A (en) * 2015-11-03 2016-01-27 广东亿迅科技有限公司 Gateway system and method for automatically accessing extranet

Also Published As

Publication number Publication date
JP2004228799A (en) 2004-08-12

Similar Documents

Publication Publication Date Title
US7142851B2 (en) Technique for secure wireless LAN access
USRE45532E1 (en) Mobile host using a virtual single account client and server system for network access and management
US6971005B1 (en) Mobile host using a virtual single account client and server system for network access and management
US9226146B2 (en) Dynamic PSK for hotspots
US8537841B2 (en) Connection support apparatus and gateway apparatus
JP5958864B2 (en) Secure tunnel platform system and method
US20100122338A1 (en) Network system, dhcp server device, and dhcp client device
JP2002314549A (en) User authentication system and user authentication method used for the same
JP2004505383A (en) System for distributed network authentication and access control
JP5112806B2 (en) Wireless LAN communication method and communication system
US20090064291A1 (en) System and method for relaying authentication at network attachment
WO2010094331A1 (en) Authentication to an identity provider
WO2005036858A1 (en) A persistent and reliable session securely traversing network components using an encapsulating protocol
US9032487B2 (en) Method and system for providing service access to a user
WO2011037226A1 (en) Access control system, authentication server system, and access control program
JP4002844B2 (en) Gateway device and network connection method
WO2006064552A1 (en) Network connection service providing device
US20070226490A1 (en) Communication System
JP2007334753A (en) Access management system and method
JP4630296B2 (en) Gateway device and authentication processing method
JP2005073090A (en) Communication system, its authentication method and authentication program
JP2005020668A (en) Network communication program and network communication card
CN116668181A (en) Intranet access method, electronic equipment and storage medium
KR20050087908A (en) User authentication method of wireless network
JP2006520501A (en) Secure web browser based system management for embedded platforms

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050411

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070806

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070814

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070820

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100824

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110824

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110824

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120824

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120824

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130824

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees