CN111788813A - 网络系统 - Google Patents
网络系统 Download PDFInfo
- Publication number
- CN111788813A CN111788813A CN201880088748.8A CN201880088748A CN111788813A CN 111788813 A CN111788813 A CN 111788813A CN 201880088748 A CN201880088748 A CN 201880088748A CN 111788813 A CN111788813 A CN 111788813A
- Authority
- CN
- China
- Prior art keywords
- address
- network
- communication
- terminal device
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/324—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Communication Control (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Telephonic Communication Services (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
- Vehicle Body Suspensions (AREA)
Abstract
网络系统包括至少一个服务器装置、以及能够访问至少一个服务器装置中的任一个服务器装置的至少一个终端装置。终端装置构成为在与至少一个服务器装置中的任一个服务器装置之间对网络地址进行了认证后进行数据通信。服务器装置当接受到来自终端装置的请求时,提供与作为请求方的该终端装置具有的被认证的网络地址相应的服务。
Description
技术领域
本发明涉及一种使用了对网络地址本身的认证这个新的概念的网络系统。
背景技术
近年的信息通信技术(Information and Communication Technology:ICT)的进步显著,与因特网等网络连接的设备不限于以往的个人计算机、智能手机之类的信息处理装置,扩展到各种物(things)。这样的技术趋势被称作“IoT(Internet of Things;物联网)”,各种技术和服务不断地被提出及实用化。设想将来地球上的数十亿人与数百亿或数兆的设备同时相连的世界。为了实现这样的网络化的世界,需要提供一种能够更简单、更安全、更自由地相连的解决方案。
通常,在网络上,使用静态或动态地分配给各设备的网络地址来实现设备间的数据通信。作为这样的网络地址,典型的是使用IP(Internet Protocol:因特网协议)地址。
一般来说,IP地址具有如全局地址那样在因特网上唯一地被决定的地址、以及如私有地址那样在私有网络上不重复地被分配的地址。另外,还存在使用DHCP(Dynamic HostConfiguration Protocol:动态主机配置协议)等来动态地分配IP地址这样的结构。
像这样,关于IP地址的设定,仅考虑在同一网络上不重复地被分配,以进行数据通信。也就是说,IP地址为根据对象的网络而任意地被设定的网络地址。
例如,日本特开2017-059868号公报(专利文献1)公开了一种减少IP地址的设定工时的结构。
现有技术文献
专利文献
专利文献1:日本特开2017-059868号公报
发明内容
发明要解决的问题
如上所述,至今为止的网络地址是用于确定通信目的地的识别信息,但对该地址本身没有提供任何的可靠性。因此,虽然使用IP地址来在设备间进行数据通信,但对于认证处理等,由更上位的层(例如应用层等)来实现。
因此,为了提供需要各种认证处理的服务,必须事先或每次提供用于实现成为该服务的基础的认证处理的应用程序等,成为普及的妨碍。
本发明提供针对上述那样的课题的解决方案。
用于解决问题的方案
本发明的某个方面的网络系统包括至少一个服务器装置、以及能够访问至少一个服务器装置中的任一个服务器装置的至少一个终端装置。终端装置构成为在与至少一个服务器装置中的任一个服务器装置之间对网络地址进行了认证后进行数据通信。服务器装置当接受到来自终端装置的请求时,提供与作为请求方的该终端装置具有的被认证的网络地址相应的服务。
优选的是,服务器装置不进行应用层中的认证处理,仅使用与终端装置之间在网络层中的交换中利用的网络地址,来确定作为请求方的终端装置。
优选的是,终端装置包括担当数据链路层的第一通信程序、担当传输层和网络层的第二通信程序、以及连接于第一通信程序与第二通信程序之间的地址认证程序。地址认证程序与作为通信目的地的设备之间对在第二通信程序请求的数据传输中使用的网络地址进行认证。
优选的是,终端装置包括提供通信功能的通信功能模块、以及对被认证的网络地址进行了硬编码的半导体装置。半导体装置利用通信功能模块与作为通信目的地的设备之间对网络地址进行认证。
发明的效果
根据本发明的某个方式,在提供与设备、使用该设备的用户相应的服务时,不需要特别的应用程序等,并且也不需要追加的认证手续,因此能够缩短与服务提供有关的响应时间等。
附图说明
图1是表示基于本实施方式的网络系统的整体结构的一例的示意图。
图2是表示基于本实施方式的终端装置的装置结构的一例的示意图。
图3是表示基于本实施方式的终端装置的装置结构的一例的示意图。
图4是表示基于本实施方式的终端装置的装置结构的其它一例的示意图。
图5是用于说明基于本实施方式的网络系统中的设备间的交换的示意图。
图6是表示基于本实施方式的网络系统中的与服务提供有关的处理过程的一例的序列图。
图7是用于说明利用了基于本实施方式的网络系统的服务提供的应用程序例的图。
图8是用于说明利用了基于本实施方式的网络系统的服务提供的其它应用程序例的图。
图9是用于说明利用了基于本实施方式的网络系统的网络地址的过滤例的图。
具体实施方式
参照附图来详细地说明本发明的实施方式。此外,对于图中的相同或相当部分标注相同标记,不重复其说明。
<A.概要>
根据本实施方式,提供一种使用被认证的网络地址的服务和用于提供该服务的基础。即,在以往的网络中,不存在对网络地址本身进行认证这个技术构思,网络地址主要仅被用于建立通信连接。通常是在此之后,使用用于进行认证的应用程序来进行认证手续。相对于此,在本实施方式中,网络地址本身被认证,因此通信连接的建立本身兼具认证手续,不需要使用了应用程序的追加的认证手续等。
因此,在提供与设备、使用该设备的用户相应的服务时,不需要特别的应用程序等,并且也不需要追加的认证手续,因此能够缩短与服务提供有关的响应时间等。
在本说明书中,“网络地址”是指在某些网络上用于唯一地确定设备的识别信息,一般由包括文字、数字、符号等的组合的字符串构成。作为网络地址的代表例,假定IP(Internet Protocol:因特网协议)地址,但既可以为MAC(Media Access Controladdress:介质访问控制地址)之类的更下位层的地址,也可以为由DNS(Domain NameSystem:域名系统)管理的主机名、URL(Uniform Resource Locator:统一资源定位器)之类的更上位层的地址。另外,作为网络,也不问全局网络和私有网络之类的不同,另外,使用的协议也能够任意地选择。作为网络地址,可以采用所采用的协议固有的地址。
作为代表例,在采用IP地址的情况下,规定的位数根据版本而不同。在当前制定的IPv4(Internet Protocol Version 4:因特网协议版本4)中,规定了32位的地址区间,在当前制定的IPv6(Internet Protocol Version 6:因特网协议版本6)中,规定了128位的地址区间。在本实施方式中,作为网络地址,主要说明基于IPv6的IP地址。
在本说明书中,“被认证的网络地址”是指对通信目的地或第三方保证分配给各设备的网络地址的真实性(authenticity)的状态。即,是指通过采用后述那样的构造能够保证各设备利用于数据通信的网络地址没有被伪装的状态。
在本说明书中,“设备”包括能够经由网络进行数据通信的任意的物。典型的是,设备有时构成为通信装置单体,还有时构成为某些物的一部分或者被组装到某些物中。
<B.网络系统的整体结构>
首先,对基于本实施方式的网络系统1的整体结构进行说明。
图1是表示基于本实施方式的网络系统1的整体结构的一例的示意图。参照图1,设为因特网等网络2连接了作为设备的一例的终端装置100-1、100-2、100-3、···(下面也有时统称为“终端装置100”。)、作为设备的其它一例的服务器装置200-1、200-2、200-3、···(下面也有时统称为“服务器装置200”。)。
终端装置100-1例如假定为智能手机、移动电话等,经由移动网路运营商配置的基站6等来与网络2连接。另外,终端装置100-2例如假定为平板电脑等,终端装置100-3例如假定为笔记本型的个人计算机等。终端装置100-2和100-3例如经由接入点4来与网络2连接。
服务器装置200-1、200-2、200-3、···的各个服务器装置为提供任意的服务的设备。服务器装置200的各个服务器装置接受来自任一终端装置100的访问,并提供被请求的服务。
像这样,网络系统1包括至少一个服务器装置200(第二设备)、以及能够访问至少一个服务器装置200中的任一个服务器装置200的至少一个终端装置100(第一设备)。
在基于本实施方式的网络系统1中,服务器装置200能够获取关于作为访问方的终端装置100的被认证的网络地址。同样地,终端装置100能够获取关于作为访问目的地的服务器装置200的被认证的网络地址。
在终端装置100与服务器装置200之间,执行彼此对网络地址进行认证的处理,基于该网络地址的认证成功来开始进行数据通信。即,终端装置100构成为在与至少一个服务器装置中的任一个服务器装置之间对网络地址进行了认证后进行数据通信。通过采用这样的用于进行数据通信的结构,终端装置100和服务器装置200能够彼此获取通信目的地的被认证的网络地址。
例如,服务器装置200当接受到来自终端装置100的请求时,提供与作为请求方的该终端装置100的被认证的网络地址相应的服务。即,服务器装置200能够向作为请求方的终端装置100提供与获取到的被认证的网络地址相应的服务。在后文叙述与网络地址相应的服务的一例。另外,终端装置100也能够获取服务器装置200的被认证的网络地址,因此也能够发送与作为通信目的地的服务器装置200相应的固有的指令。
像这样,在基于本实施方式的网络系统1中,能够获取关于终端装置100的各个终端装置100的被认证的网络地址,因此不需要用于实现认证处理的应用程序等,就能够对终端装置100的各个终端装置100提供固有的服务。另外,在终端装置100与服务器装置200之类的设备间进行数据通信意味着被认证的网络地址的获取,因此对终端装置100提供固有的服务所需的时间等也极短,相比于利用应用程序来进行认证处理的结构,能够缩短服务提供所需的等待时间等。
<C.用于实现网络地址的认证的设备的装置结构>
接着,对基于本实施方式的网络系统1中使用的、用于实现网络地址的认证的设备的装置结构例进行说明。例如假定硬件安装和软件安装以实现网络地址的认证。下面,说明各个实施方式的一例。
(c1:硬件安装)
图2是表示基于本实施方式的终端装置100A的装置结构的一例的示意图。参照图2,终端装置100A包括处理器102、主存储器104、显示器106、输入部108、通信模块110、二次存储装置130。
处理器102为执行终端装置100A中的各种处理的处理主体。处理器102将二次存储装置130中保存的程序、各种命令等在主存储器104中展开并执行。
主存储器104为DRAM(Dynamic Random Access Memory:动态随机存取存储器)、SRAM(Static Random Access Memory:静态随机存取存储器)等易失性存储装置。二次存储装置130为闪存、硬盘等非易失性存储装置。在二次存储装置130中保存OS(OperatingSystem:操作系统)132和一个或多个任意的应用程序134。
显示器106为用于向外部呈现处理器102中的处理结果等的组件,例如包括LCD(Liquid Crystal Display:液晶显示器)、有机EL(Electro-Luminescence:电致发光)显示器等。
输入部108为用于接受来自用户的操作的组件,例如包括键盘、触摸面板、鼠标等任意的输入装置。
通信模块110为用于提供被认证的网络地址的主要的组件,包括地址认证芯片112、WiFi模块114、LTE模块118。
地址认证芯片112为对被认证的网络地址和认证所需的信息进行了硬编码的半导体装置,在利用WiFi模块114和/或LTE模块118来与其它设备进行数据通信时,对网络地址进行认证。
更具体地说,地址认证芯片112在使用WiFi模块114或LTE模块118的数据通信中,执行与其它设备之间彼此对预先被提供的被认证的网络地址进行认证的处理。像这样,地址认证芯片112利用通信功能模块(WiFi模块114和/或LTE模块118)来与作为通信目的地的设备之间对网络地址进行认证。地址认证芯片112优选采用具有防篡改性的电路结构。
WiFi模块114和/或LTE模块118提供OSI(Open Systems Interconnection:开放系统互联)参照模型的物理层和数据链路层的功能。WiFi模块114与天线116连接,来提供按照无线LAN(Local Area Network:局域网)、WiMAX等无线接入方式的无线通信功能。LTE模块118与天线120连接,来提供按照LTE(Long Term Evolution:长期演进)、W-CDMA(WidebandCode Division Multiple Access:宽带码分多址)、CDMA2000等无线接入方式的无线通信功能。
此外,为了便于说明,例示出包括WiFi模块114和/或LTE模块118的通信模块110,但无需一定包括两模块,可以仅搭载任一方的模块,也可以为搭载一个或多个用于提供其它通信功能的模块那样的结构。在该情况下,作为通信功能,不限于无线通信功能,也可以为有线通信功能。
像这样,通信模块110包括提供通信功能的通信功能模块(WiFi模块114和/或LTE模块118)、以及对被认证的网络地址进行了硬编码的半导体装置(地址认证芯片112)。
通过采用以上那样的硬件安装,能够在终端装置100A中实现被认证的网络地址的提供及获取。
(c2:软件安装)
图3是表示基于本实施方式的终端装置100B的装置结构的一例的示意图。参照图3的(A),终端装置100B包括处理器102、主存储器104、显示器106、输入部108、二次存储装置130、WiFi模块144、LTE模块148。
处理器102为执行终端装置100B中的各种处理的处理主体。处理器102将二次存储装置130中保存的程序、各种命令等在主存储器104中展开并执行。在二次存储装置130中除了保存OS 132和一个或多个任意的应用程序134以外,还保存有地址认证程序136和认证管理信息138。
WiFi模块144和/或LTE模块148提供OSI参照模型的物理层和数据链路层的功能。WiFi模块144与天线146连接,来提供按照无线LAN、WiMAX等无线接入方式的无线通信功能。LTE模块148与天线150连接,来提供按照LTE、W-CDMA、CDMA2000等无线接入方式的无线通信功能。
此外,为了便于说明,例示出包括WiFi模块144和/或LTE模块148的结构,但无需一定包括两模块,可以仅搭载任一方的模块,也可以为搭载一个或多个用于提供其它通信功能的模块那样的结构。在该情况下,作为通信功能,不限于无线通信功能,也可以为有线通信功能。
在终端装置100B中,通过执行地址认证程序136来实现被认证的网络地址的提供。下面,例示用于提供被认证的网络地址的软件结构。
图3的(B)示出用于说明终端装置100B中的与数据通信有关的处理的示意图。如图3的(B)所示,提供物理层的功能的WiFi模块144和/或LTE模块148通过数据链路驱动器1322(OS 132的一部分的功能)来实现现实的信号(数据)的交换。
Web浏览器等应用程序134利用TCP/IP套接字1324以进行数据通信。TCP/IP套接字1324可以作为OS 132的一部分的功能来提供。此外,作为一例,图3的(B)例示出TCP/IP套接字1324,但例如也可以采用UDP/IP套接字。
通常,TCP/IP套接字1324与数据链路驱动器1322内部地交换数据,由此实现针对其它设备的数据发送和来自其它设备的数据接收。
相对于此,在基于本实施方式的终端装置100B中,在TCP/IP套接字1324与数据链路驱动器1322之间配置有地址认证程序136。地址认证程序136在特定的会话中,与作为通信目的地的设备之间彼此对被分配给各设备的网络地址进行认证,仅在认证成功的情况下使用该特定的会话来发送接收数据。通过采用这样的结构,在从应用程序134观察的情况下,不会意识到地址认证程序136的存在,能够维持透明性。即,应用程序134发送包括需要的数据的包即可,另外,应用程序134能够直接信赖地使用从任一个设备接收到的包的头中包含的网络地址。
地址认证程序136基于预先以安全的方式准备的保存在认证管理信息138中的信息来与其它设备之间彼此对网络地址进行认证。认证管理信息138除了包括被分配给各设备的网络地址以外,还包括用于使该网络地址为合法的地址(即,被认证的地址)可靠的代码。地址认证程序136将认证管理信息138中包含的附加信息与认证管理信息138中规定的网络地址一同发送到通信目的地,由此彼此对网络地址进行认证。
此外,不限于与进行数据通信的通信目的地的设备之间对网络地址进行认证,也可以设为与外部的认证服务器装置等之间对网络地址进行认证。
像这样,终端装置100B包括担当数据链路层的通信程序(数据链路驱动器1322)、担当传输层和网络层的通信程序(TCP/IP套接字1324)、以及连接于数据链路驱动器1322与TCP/IP套接字1324之间的地址认证程序136。
此外,图3示出在TCP/IP套接字1324与数据链路驱动器1322之间的层间逻辑性地配置了地址认证程序136的结构,但不限于此,只要为地址认证程序136能够与通信目的地彼此对网络地址进行认证的结构,可以为任意的安装方式。
例如,也可以设为,在逻辑上并列地配置TCP/IP套接字1324和地址认证程序136,如果不是地址认证程序136与作为通信目的地的设备之间进行了认证的网络地址,则TCP/IP套接字1324不开始进行包的发送接收。在该情况下,如果地址认证程序136对网络地址进行认证,则在之后,在TCP/IP套接字1324与数据链路驱动器1322之间继续进行数据的交换,地址认证程序136可以不参与内部的数据传送。
终端装置100B的组件中的对应的组件与终端装置100A相同,因此不重复详细的说明。
通过采用以上那样的软件安装,能够对终端装置100B提供被认证的网络地址。
(c3:软件安装的其它方式)
不限定于图3的(B)所示的与数据通信有关的功能结构,也可以采用其它的安装方式。图4是表示基于本实施方式的终端装置的装置结构的其它一例的示意图。
在图4的(A)所示的安装例中,在一般的层构造、即物理层和数据链路层(WiFi模块144和/或LTE模块148)的上层依次配置数据链路驱动器1322和TCP/IP套接字1324。任意的应用程序134利用TCP/IP套接字1324以进行数据通信。
在图4的(A)所示的安装例中,在TCP/IP套接字1324与作为通信目的地的节点之间开始进行数据的交换时或正在执行数据的交换的期间,委托地址认证程序136进行对通信目的地的认证等。地址认证程序136实施上述那样的认证处理,由此对通信目的地是否为可信赖的节点、或者与通信目的地交换的数据是否不存在篡改等进行认证,并将其结果应答至TCP/IP套接字1324。TCP/IP套接字1324将认证结果等发送给应用程序134。地址认证程序136的基本的处理与上述的图3的(B)所示的地址认证程序136相同。
在图4的(A)所示那样的安装方式中,TCP/IP套接字1324委托地址认证程序136来执行需要的认证处理,因此当从应用程序134观察时,能够以与通常的通信相同的接口与具有被认证的网络地址的通信目的地进行安全的通信。
在图4的(B)所示的安装例中,在一般的层构造、即物理层和数据链路层(WiFi模块144和/或LTE模块148)的上层依次配置数据链路驱动器1322和TCP/IP套接字1324。任意的应用程序134利用TCP/IP套接字1324以进行数据通信,并且与地址认证程序136之间也实施与认证有关的需要的交换。
在图4的(B)所示的安装例中,在应用程序134与作为通信目的地的节点之间开始进行数据的交换时或正在执行数据的交换的期间,委托地址认证程序136进行对通信目的地的认证等。地址认证程序136与TCP/IP套接字1324之间交换数据,并且实施上述那样的认证处理,由此地址认证程序136对通信目的地是否为可信赖的节点、或者与通信目的地交换的数据是否不存在篡改等进行认证。然后,地址认证程序136将认证结果应答至应用程序134。地址认证程序136的基本处理与上述的图3的(B)所示的地址认证程序136相同。
通过采用图4的(B)所示那样的安装方式,能够不改变数据链路驱动器1322及TCP/IP套接字1324等的通信层的构造地、与具有被认证的网络地址的通信目的地进行安全的通信。
(c4:设备间的交换)
接着,对设备间的交换、例如终端装置100与服务器装置200之间等的交换的一例进行说明。
图5是用于说明基于本实施方式的网络系统1中的设备间的交换的示意图。图5示出在设备1与设备2之间交换数据的情况下的处理例。
参照图5,设备1和设备2均具有网络认证功能(相当于图2所示的地址认证芯片112或图3所示的地址认证程序136)。各个设备的网络认证功能彼此执行关于网络地址的认证处理。该认证处理基本上在网络层执行。当认证处理完成时,各个设备的网络认证功能被用作通过各设备执行的应用程序(应用层)交换数据时的网络地址。
可以设为对应用程序通知被认证的网络地址,也可以设为对担当包生成和包接收等的TCP/IP套接字等通知被认证的网络地址。
通过采用图5所示那样的结构,不需要在应用程序侧进行特别的认证处理等,能够彼此利用被认证的网络地址。
<D.处理过程例>
接着,对基于本实施方式的网络系统1中的处理过程的一例进行说明。
图6是表示基于本实施方式的网络系统1中的与服务提供有关的处理过程的一例的序列图。图6示出对由终端装置100对服务器装置200的访问进行应答、来由服务器装置200提供被请求的服务的代表例的处理过程。
具体地说,参照图6,首先,当用户在应用程序134上进行某些操作时(步骤S2),由应用程序134对服务器装置200的访问请求被传送到网络认证功能(图2所示的地址认证芯片112、或图3所示的地址认证程序136)(步骤S4)。终端装置100的网络认证功能与服务器装置200的网络认证功能(相当于图2所示的地址认证芯片112、或图3所示的地址认证程序136的功能)之间对彼此的网络地址执行认证处理(步骤S6)。当认证处理完成时,终端装置100使用被认证的网络地址来将所请求的访问请求传送到服务器装置200(步骤S8)。
在服务器装置200中,在通过网络认证功能接收到从终端装置100发送来的访问请求后实施需要的处理,之后传送到应用程序(步骤S10)。服务器装置200的应用程序确定出在从终端装置100接收到的访问请求的数据通信中使用的网络地址(步骤S12),根据确定出的网络地址来决定应提供的服务(步骤S14)。
然后,服务器装置200的应用程序将与决定出的服务相应的数据发送到终端装置100(步骤S16)。在通过服务器装置200的网络认证功能接收到该数据之后实施需要的处理,之后发送到终端装置100(步骤S18)。
在终端装置100中,在通过网络认证功能接收到从服务器装置200发送来的数据后实施需要的处理,之后传送到应用程序134(步骤S20)。然后,由应用程序134对用户呈现与接收到的数据相应的内容(步骤S22)。
在基于本实施方式的网络系统1中,服务器装置200当从终端装置100接受到访问时,该访问中包括的网络地址已被认证,因此不进行追加的认证处理,就能够对终端装置100提供固有的服务。即,服务器装置200不进行应用层中的认证处理,只使用与终端装置100之间在网络层中的交换中利用的网络地址,来确定作为请求方的终端装置100。
<E.应用程序例>
接着,对在图6所示的网络系统1中提供的服务的一例进行说明。
(e1:应用程序例其一)
首先,将如下这样的结构作为一例进行说明:将Web服务器假定为服务器装置200,根据作为访问方的终端装置100的网络地址来提供固有的Web页面。
图7是用于说明利用了基于本实施方式的网络系统1的服务提供的应用程序例的图。图7的(A)示出服务器装置200保持的网络管理表210的一例。在网络管理表210中,与过去曾经访问过的或者具有访问预定的终端装置100的网络地址(IP地址)212相关联地规定有表示初始画面的初始画面信息214、以及表示喜好的偏好信息216。网络管理表210的内容可以由用户手动地进行更新,或者由服务器装置200与用户的操作相应地进行更新。
服务器装置200当接受到来自终端装置100的访问时,将被提供给该终端装置100的网络地址作为键值,参照网络管理表210,来决定对应的初始画面信息214和偏好信息216。然后,服务器装置200基于决定出的初始画面信息214和偏好信息216,来决定向作为访问方的终端装置100提供的Web页面的内容。
作为一例,图7的(B)示出服务器装置200提供网上银行的服务的情况下的Web画面例。例如,在被提供IP地址1的终端装置100的显示器所呈现的Web画面例220A配置有“转账手续”、“账户余额确认”、“转存手续”之类的账户管理的基本按钮。另一方面,在被提供IP地址2的终端装置100的显示器所呈现的Web画面例220B,与表示汇率的随时间变化的图一同配置有“购买外汇”、“出售外汇”之类的与外汇有关的按钮。
例如能够通过参照网络管理表210的初始画面信息214等来决定这样的初始画面。并且,通过参照网络管理表210的偏好信息216等,不仅提供初始画面,还能够针对每个终端装置100(即操作终端装置100的用户)提供与喜好相应的服务。
如以上那样,能够基于被提供给终端装置100的网络地址,来自定义在访问服务器装置200时提供的初始画面和各种服务内容。
(e2:应用程序例其二)
接着,将如下这样的结构作为一例来进行说明:将旅馆等的利用管理服务器假定为服务器装置200,将终端装置100用作电子钥匙(利用证)。
图8是用于说明利用了基于本实施方式的网络系统1的服务提供的其它应用程序例的图。图8的(A)示出服务器装置200保持的利用管理表230的一例。在利用管理表230中,与被提供给在通过预约网站等预约的预约操作中使用的终端装置100的网络地址232相关联地保存有该预约的内容(房间编号234和可利用时间236)。
即,当用户操作自身的终端装置100来通过预约网站进行住宿预约时,服务器装置200将预约内容与被提供给在该住宿预约中使用的终端装置100的网络地址一同追加到利用管理表230。
如图8的(B)所示,在住宿设施240的各房间前配置有无线通信单元242。当住宿预定的用户持有在住宿预约中使用的终端装置100靠近所预约的房间时,无线通信单元242与终端装置100进行无线通信。此外,对于终端装置100与无线通信单元242之间的无线通信,既可以设为自动地开始,也可以设为在用户明示地进行了操作之后开始。
而且,当被提供给用户保持的终端装置100的网络地址与利用管理表230的网络地址232中的任一个入口一致时,服务器装置200基于对应的房间编号234和可利用时间236将预约对象的房间开锁。
作为代表例,图8例示出将终端装置100用作旅馆之类的住宿设施的各房间的钥匙的结构,但不限于此,能够用作任意的利用证。例如,能够将终端装置100本身用作娱乐设施等各种设施、音乐会等各种活动的入场券。并且,也能够将终端装置100本身用作火车、飞机的票。
如上所述,在基于本实施方式的网络系统1中,被提供给终端装置100的网络地址本身被认证,因此不像现有技术那样需要用于显示票的应用程序等,能够减少将终端装置100本身用作利用证的系统的普及障碍。
如以上那样,能够基于被提供给终端装置100的网络地址来将终端装置100容易地用作任意的利用证。
(e3:应用程序例其三)
接着,对更多面地实现网络地址自身的认证处理的结构进行说明。图9是用于说明利用了基于本实施方式的利用网络系统1的网络地址的过滤例的图。作为一例,图9示出如下的结构例:在OSI参照模型的第3层(网络层)配置地址认证程序136,在第4层(传输层)配置TCP(或UDP)。
在图9中,作为用于实现过滤的结构,配置认证管理信息138。认证管理信息138可以包括黑名单1382和/或白名单1384。此外,无需事先准备黑名单1382和白名单1384这两方,可以设为只准备任一方。
黑名单1382为用于规定应切断访问的网络地址的列表,白名单1384为用于规定应允许访问的网络地址的列表。
图9的(A)示出在地址认证程序136中安装过滤功能的例子。更具体地说,在对通信目的地进行了认证的网络地址与黑名单1382中规定的任一个入口一致的情况下,地址认证程序136切断或禁止与具有进行了认证的该网络地址的通信目的地(黑名单节点)的通信。即,来自黑名单节点的包在地址认证程序136中被切断,不被提供给应用程序134。
另一方面,仅限于进行了认证的网络地址与白名单1384中规定的任一个入口一致的情况下,地址认证程序136使与具有进行了认证的该网络地址的通信目的地(白名单节点)的通信通过。即,将来自白名单节点的包从地址认证程序136提供给应用程序134。应用程序134基于在地址认证程序136中被认证的网络地址本身和接收到的包来提供服务。
图9的(B)示出在应用程序134安装过滤功能的例子。更具体地说,应用程序134当接收到来自地址认证程序136的包时,判断该包的发送方的网络地址(被地址认证程序136认证)是否与黑名单1382或白名单1384中的任一个入口一致。
在接收到的包的发送方的网络地址与黑名单1382中规定的任一个入口一致的情况下,应用程序134切断该包。另一方面,在接收到的包的发送方的网络地址与白名单1384中规定的任一个入口一致的情况下,应用程序134对该包进行处理,提供被请求的服务。
如以上那样,除了网络地址本身的认证功能以外,还组合了使用黑名单/白名单的过滤功能,由此能够实现实用性更高的网络系统。
<F.其它实施方式>
在上述的实施方式中,作为利用在设备间被认证的网络地址的结构例,例示了包括一个以上的终端装置100和一个以上的服务器装置200的网络系统,但不限于此,也能够应用于终端装置100之间或服务器装置200之间的数据通信。并且,不拘泥于终端装置100或服务器装置200之类的结构,能够利用于任意的设备间的数据通信。
<G.优点>
根据本实施方式,提供一种使用了被认证的网络地址的服务和用于提供该服务的基础。由于网络地址本身被认证,因此通信连接的建立本身兼作认证手续,不需要使用了应用程序的追加的认证手续等。由此,能够提供适于IoT的各种服务。
应认为,本次公开的实施方式的所有点均是例示性而非限制性的。本发明的范围通过权利要求书而不是通过上述的说明来示出,意图包括与权利要求书等同的含义和范围内的所有变更。
附图标记说明
1:网络系统;4:接入点;6:基站;100、100A、100B:终端装置;102:处理器;104:主存储器;106:显示器;108:输入部;110:通信模块;112:地址认证芯片;114、144:WiFi模块;116、120、146、150:天线;118、148:LTE模块;130:二次存储装置;132:OS;134:应用程序;136:地址认证程序;138:认证管理信息;200:服务器装置;210:网络管理表;212:网络地址(IP地址);214:初始画面信息;216:偏好信息;220A、220B:画面例;230:利用管理表;232:网络地址;234:房间编号;236:可利用时间;240:住宿设施;242:无线通信单元;1322:数据链路驱动器;1324:TCP/IP套接字。
Claims (4)
1.一种网络系统,具备:
至少一个服务器装置;以及
至少一个终端装置,所述至少一个终端装置能够访问所述至少一个服务器装置中的任一个服务器装置,
其中,所述终端装置构成为在与所述至少一个服务器装置中的任一个服务器装置之间对网络地址进行了认证后进行数据通信,
所述服务器装置当接受到来自所述终端装置的请求时,提供与作为请求方的该终端装置具有的被认证的网络地址相应的服务。
2.根据权利要求1所述的网络系统,其特征在于,
所述服务器装置不进行应用层中的认证处理,仅使用与所述终端装置之间在网络层中的交换中利用的网络地址,来确定作为请求方的所述终端装置。
3.根据权利要求1或2所述的网络系统,其特征在于,
所述终端装置包括担当数据链路层的第一通信程序、担当传输层和网络层的第二通信程序、以及连接于所述第一通信程序与所述第二通信程序之间的地址认证程序,
所述地址认证程序与作为通信目的地的设备之间对在所述第二通信程序请求的数据传输中使用的网络地址进行认证。
4.根据权利要求1或2所述的网络系统,其特征在于,
所述终端装置包括提供通信功能的通信功能模块、以及对被认证的所述网络地址进行了硬编码的半导体装置,
所述半导体装置利用所述通信功能模块与作为通信目的地的设备之间对网络地址进行认证。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017112589 | 2017-06-07 | ||
| JP2018018928A JP7148947B2 (ja) | 2017-06-07 | 2018-02-06 | ネットワークシステムおよび情報処理装置 |
| JP2018-018928 | 2018-02-06 | ||
| PCT/JP2018/033887 WO2019155671A1 (ja) | 2017-06-07 | 2018-09-12 | ネットワークシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111788813A true CN111788813A (zh) | 2020-10-16 |
Family
ID=64957522
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880088748.8A Pending CN111788813A (zh) | 2017-06-07 | 2018-09-12 | 网络系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US11218577B2 (zh) |
| EP (1) | EP3751819A4 (zh) |
| JP (3) | JP7148947B2 (zh) |
| CN (1) | CN111788813A (zh) |
| TW (2) | TW202349924A (zh) |
| WO (1) | WO2019155671A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7148947B2 (ja) | 2017-06-07 | 2022-10-06 | コネクトフリー株式会社 | ネットワークシステムおよび情報処理装置 |
| JP7218003B2 (ja) * | 2019-01-31 | 2023-02-06 | コネクトフリー株式会社 | データ送信方法、通信処理方法、装置、および通信処理プログラム |
| US20220141002A1 (en) | 2019-02-06 | 2022-05-05 | Connectfree Corporation | Data transmission method, communication processing method, device, and communication processing program |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001067311A (ja) * | 1999-08-27 | 2001-03-16 | Mitsubishi Electric Corp | 情報提供システム |
| JP2002271367A (ja) * | 2001-03-09 | 2002-09-20 | Megafusion Corp | ネットワークの接続システム |
| JP2005244573A (ja) * | 2004-02-26 | 2005-09-08 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク接続機器、ネットワーク接続方法、ネットワーク接続用プログラムおよびそのプログラムを記憶した記憶媒体 |
| US7249374B1 (en) * | 2001-01-22 | 2007-07-24 | Cisco Technology, Inc. | Method and apparatus for selectively enforcing network security policies using group identifiers |
| JP2014138320A (ja) * | 2013-01-17 | 2014-07-28 | Oki Electric Ind Co Ltd | サービス構成情報提供装置、サービス構成情報提供方法及びサービス構成情報提供プログラム |
| CN105580333A (zh) * | 2013-08-14 | 2016-05-11 | 丹尼尔·钱 | 评估可疑网络通信 |
| US20160165435A1 (en) * | 2013-07-24 | 2016-06-09 | Datong MU | Encrypted communications method and encrypted communications system |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0949787A1 (en) | 1998-03-18 | 1999-10-13 | Sony International (Europe) GmbH | Multiple personality internet account |
| US7451312B2 (en) * | 2000-03-07 | 2008-11-11 | General Instrument Corporation | Authenticated dynamic address assignment |
| AU2001247630A1 (en) * | 2000-03-20 | 2001-10-03 | At And T Corporation | Method and apparatus for coordinating a change in service provider between a client and a server with identity based service access management |
| US7000012B2 (en) * | 2000-04-24 | 2006-02-14 | Microsoft Corporation | Systems and methods for uniquely identifying networks by correlating each network name with the application programming interfaces of transport protocols supported by the network |
| JP2002344474A (ja) | 2001-05-14 | 2002-11-29 | Nippon Telegr & Teleph Corp <Ntt> | Cugの構築方法、ネットワークへの偽装パケット流入防止方法および偽装パケット流入防止機能付きネットワーク |
| JP3833932B2 (ja) | 2001-12-04 | 2006-10-18 | 日本電信電話株式会社 | Ipアドレスを端末アイデンティティとして使用可能なipネットワーク |
| US7853983B2 (en) * | 2002-07-29 | 2010-12-14 | Bea Systems, Inc. | Communicating data from a data producer to a data receiver |
| US7562393B2 (en) * | 2002-10-21 | 2009-07-14 | Alcatel-Lucent Usa Inc. | Mobility access gateway |
| US7305705B2 (en) * | 2003-06-30 | 2007-12-04 | Microsoft Corporation | Reducing network configuration complexity with transparent virtual private networks |
| US20050216587A1 (en) | 2004-03-25 | 2005-09-29 | International Business Machines Corporation | Establishing trust in an email client |
| JP2009263892A (ja) | 2008-04-22 | 2009-11-12 | Yamaha Corp | 電子錠制御システム |
| JP2012511842A (ja) | 2008-12-12 | 2012-05-24 | ボックスセントリー プライヴェート リミテッド | 電子メッセージング統合エンジン |
| JP5521057B2 (ja) | 2010-03-09 | 2014-06-11 | アルカテル−ルーセント | ユーザ機器を認証するための方法および装置 |
| US20120109447A1 (en) * | 2010-11-03 | 2012-05-03 | Broadcom Corporation | Vehicle black box |
| EP2924941B1 (en) | 2012-12-26 | 2019-09-11 | Huawei Technologies Co., Ltd. | Method and device for preventing service illegal access |
| JP2014071888A (ja) | 2013-03-06 | 2014-04-21 | Dna:Kk | ネットワークシステム、及び、プログラム |
| TW201526588A (zh) * | 2013-12-17 | 2015-07-01 | Edgewater Networks Inc | 用於本地與遠端處理時之設備控制分隔的系統及其方法 |
| US20150188949A1 (en) * | 2013-12-31 | 2015-07-02 | Lookout, Inc. | Cloud-based network security |
| US20160044023A1 (en) * | 2014-01-30 | 2016-02-11 | Globalfoundries Inc. | Authentication policy enforcement |
| US9717088B2 (en) * | 2014-09-11 | 2017-07-25 | Arizona Board Of Regents On Behalf Of Arizona State University | Multi-nodal wireless communication systems and methods |
| JP2016066298A (ja) | 2014-09-25 | 2016-04-28 | ニフティ株式会社 | 中継装置、通信システム、情報処理方法、及び、プログラム |
| JP2017059868A (ja) | 2015-09-14 | 2017-03-23 | 富士通株式会社 | アドレス管理装置及び通信システム |
| JP6633886B2 (ja) | 2015-10-23 | 2020-01-22 | ビッグローブ株式会社 | 認証システム、認証方法およびプログラム |
| JP7148947B2 (ja) | 2017-06-07 | 2022-10-06 | コネクトフリー株式会社 | ネットワークシステムおよび情報処理装置 |
-
2018
- 2018-02-06 JP JP2018018928A patent/JP7148947B2/ja active Active
- 2018-09-12 US US16/967,428 patent/US11218577B2/en active Active
- 2018-09-12 WO PCT/JP2018/033887 patent/WO2019155671A1/ja unknown
- 2018-09-12 CN CN201880088748.8A patent/CN111788813A/zh active Pending
- 2018-09-12 EP EP18904797.0A patent/EP3751819A4/en active Pending
- 2018-09-13 TW TW111141559A patent/TW202349924A/zh unknown
- 2018-09-13 TW TW107132205A patent/TWI785111B/zh active
-
2021
- 2021-12-10 US US17/548,007 patent/US11683404B2/en active Active
-
2022
- 2022-09-15 JP JP2022147202A patent/JP7359477B2/ja active Active
-
2023
- 2023-06-16 US US18/336,811 patent/US20230336645A1/en active Pending
- 2023-09-21 JP JP2023154071A patent/JP2023166598A/ja active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001067311A (ja) * | 1999-08-27 | 2001-03-16 | Mitsubishi Electric Corp | 情報提供システム |
| US7249374B1 (en) * | 2001-01-22 | 2007-07-24 | Cisco Technology, Inc. | Method and apparatus for selectively enforcing network security policies using group identifiers |
| JP2002271367A (ja) * | 2001-03-09 | 2002-09-20 | Megafusion Corp | ネットワークの接続システム |
| JP2005244573A (ja) * | 2004-02-26 | 2005-09-08 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク接続機器、ネットワーク接続方法、ネットワーク接続用プログラムおよびそのプログラムを記憶した記憶媒体 |
| JP2014138320A (ja) * | 2013-01-17 | 2014-07-28 | Oki Electric Ind Co Ltd | サービス構成情報提供装置、サービス構成情報提供方法及びサービス構成情報提供プログラム |
| US20160165435A1 (en) * | 2013-07-24 | 2016-06-09 | Datong MU | Encrypted communications method and encrypted communications system |
| CN105580333A (zh) * | 2013-08-14 | 2016-05-11 | 丹尼尔·钱 | 评估可疑网络通信 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019155671A1 (ja) | 2019-08-15 |
| US20230336645A1 (en) | 2023-10-19 |
| JP7148947B2 (ja) | 2022-10-06 |
| TWI785111B (zh) | 2022-12-01 |
| TW201935907A (zh) | 2019-09-01 |
| US11218577B2 (en) | 2022-01-04 |
| US11683404B2 (en) | 2023-06-20 |
| TW202349924A (zh) | 2023-12-16 |
| JP7359477B2 (ja) | 2023-10-11 |
| JP2023166598A (ja) | 2023-11-21 |
| US20210160352A1 (en) | 2021-05-27 |
| JP2018207472A (ja) | 2018-12-27 |
| US20220103663A1 (en) | 2022-03-31 |
| EP3751819A4 (en) | 2021-12-01 |
| EP3751819A1 (en) | 2020-12-16 |
| JP2022184954A (ja) | 2022-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11831629B2 (en) | Server for providing a token | |
| JP7359477B2 (ja) | ネットワークシステムおよび情報処理方法 | |
| US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
| KR101914408B1 (ko) | 인터넷 액세스 인증 방법 및 클라이언트, 그리고 컴퓨터 저장 매체 | |
| US20120311660A1 (en) | SYSTEM AND METHOD FOR MANAGING IPv6 ADDRESS AND ACCESS POLICY | |
| WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| EP2846586A1 (en) | A method of accessing a network securely from a personal device, a personal device, a network server and an access point | |
| KR20190051326A (ko) | 블록 체인 기반 사물 인터넷 장치 제어 시스템 및 방법 | |
| CN111049946A (zh) | 一种Portal认证方法、系统及电子设备和存储介质 | |
| WO2017219748A1 (zh) | 访问权限的确定、页面的访问方法及装置 | |
| KR20170011388A (ko) | 안전한 사물 인터넷 단말 원격 접속 시스템 및 그 방법, ip 주소 할당 방법 | |
| WO2015013221A2 (en) | Secure communication network | |
| CN107733890B (zh) | 基于web协议的跨网通讯方法、电子设备、存储介质、系统 | |
| CN110266674B (zh) | 一种内网访问方法及相关装置 | |
| WO2020248368A1 (zh) | 一种内网访问方法、系统及相关装置 | |
| JP2008263445A (ja) | 接続設定システム、認証装置、無線端末、及び接続設定方法 | |
| JP2004078280A (ja) | リモートアクセス仲介システム及び方法 | |
| KR101787404B1 (ko) | Dhcp 기반 보안 주소 할당 방법 | |
| WO2020248369A1 (zh) | 一种防火墙切换方法及相关装置 | |
| JP2006020089A (ja) | 端末装置、vpn接続制御方法、及び、プログラム | |
| KR101807695B1 (ko) | 이동통신 라우터 장치 및 이를 포함하는 ip 공유 시스템 | |
| JP2005073090A (ja) | 通信システム,その認証方法及び認証プログラム | |
| KR20180019457A (ko) | 공유기의 dns 주소 변조를 통한 파밍 공격 방지 방법 및 단말 | |
| EP3896921A1 (en) | Information communication method, information communication system and method | |
| CN115348041A (zh) | 一种设备激活方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |