JP2003169069A - Ipアドレスを端末アイデンティティとして使用可能なipネットワーク - Google Patents

Ipアドレスを端末アイデンティティとして使用可能なipネットワーク

Info

Publication number
JP2003169069A
JP2003169069A JP2001369748A JP2001369748A JP2003169069A JP 2003169069 A JP2003169069 A JP 2003169069A JP 2001369748 A JP2001369748 A JP 2001369748A JP 2001369748 A JP2001369748 A JP 2001369748A JP 2003169069 A JP2003169069 A JP 2003169069A
Authority
JP
Japan
Prior art keywords
address
network
terminal device
packet
data link
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001369748A
Other languages
English (en)
Other versions
JP3833932B2 (ja
Inventor
Naoto Makinae
直人 蒔苗
Takao Nakanishi
孝夫 中西
Katsuyuki Kawase
克之 川瀬
Yoshinao Kikuchi
能直 菊地
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2001369748A priority Critical patent/JP3833932B2/ja
Publication of JP2003169069A publication Critical patent/JP2003169069A/ja
Application granted granted Critical
Publication of JP3833932B2 publication Critical patent/JP3833932B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】 一般のIP網ではIPアドレス詐称が可能で
あるため、IPアドレスを端末アイデンティティとして
用いることができない。 【解決手段】 本発明のIPネットワークは、端末認証
手段により認証された端末装置との間にのみデータリン
クを設定するデータリンク層終端手段と、端末装置のI
Pアドレスを記憶し、端末装置が送信するIPパケット
の送信元IPアドレスが記憶してあるIPアドレスと異
なる場合に該IPパケットの転送を保留しIPアドレス
登録手段へIPアドレス登録要求を送信し、IPアドレ
ス登録成功を受信すると該IPパケットの送信元IPア
ドレスで更新して該IPパケットを転送し、IPアドレ
ス登録失敗を受信するとIPアドレスを更新せずに該I
Pパケットを転送しないIPアドレス監視手段を有す
る。これによりIPアドレスを端末アイデンティティと
して使用できる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、IPネットワーク
において端末が使用するIPアドレスの正当性を保証
し、IPアドレスを端末アイデンティティとして使用で
きるIPネットワークに関する。
【0002】
【従来の技術】IPネットワーク上の電子商取引サーバ
等は注文主のアイデンティティを確認する手段として専
らIDとパスワードを使用している。また、一部の電子
商取引サーバは、ID/パスワード認証よりも技術的に
高度な電子証明書認証等を採用している。回線交換型電
話網では発信者電話番号により発信回線に従って注文主
のアイデンティティを特定出来るが、IPネットワーク
においては送信元IPアドレスから発信回線または発信
端末を特定することができない。これは、IPネットワ
ークではDHCPによる動的なIPアドレス割当、アド
レス変換装置、IPアドレス詐称が存在するため、送信
元IPアドレスから必ずしも発信者を特定出来ないとい
う事情による。
【0003】DHCPによる動的なIPアドレス割当や
アドレス変換はネットワーク設計者が意図的に導入する
ものであるため、アドレス空間が潤沢でありかつセキュ
リティ条件が許容すれば、これらは使用しないことも可
能である。従って、IPアドレスの正当性を保証しIP
アドレスを端末アイデンティティとして使用するために
は、IPアドレス詐称を排除すればよい。LANを構成
するハブやルータ等の端末収容装置は端末装置を認証し
ないので、端末装置に適切なIPアドレスと経路情報を
設定し端末収容装置に接続するだけでIPネットワーク
を利用できることからIPアドレス詐称が発生する。し
かしながら、特開2000−201143、特開200
1−111544および特開2001−211180に
示されるように、近年はLANにおいても端末装置のM
ACアドレスを検査し、不正な端末装置を識別し排除す
る仕組みが検討されている。しかし、端末装置のMAC
アドレスはIPパケットがルータを通過する時にルータ
のMACアドレスで書き換えられてしまうため、端末装
置のMACアドレスは電子商取引サーバが端末装置を特
定する手段としては不適当である。
【0004】
【発明が解決しようとする課題】上述したIPアドレス
詐称のため、IPネットワークではIPアドレスを端末
アイデンティティとして利用できない。そこで本発明
は、IPアドレス詐称を排除し、IPアドレスを端末ア
イデンティティとして利用可能とすることを目的とす
る。
【0005】
【課題を解決するための手段】本発明のIPネットワー
クは、ルータ等のネットワーク層中継装置、ブリッジ等
のデータリンク層中継装置、リピータ等の物理層中継装
置、認証サーバおよびDHCPサーバおよび電子商取引
サーバ等のサーバ装置から構成され、ポイント・ツー・
ポイント型データリンクを介して端末装置を収容するI
Pネットワークであって、上記課題を解決するため、デ
ータリンク確立時に端末装置を認証する端末認証手段
と、端末装置が使用するIPアドレスを記憶し、IPア
ドレス登録要求を受けて記憶してある全てのIPアドレ
スと照合して一致するIPアドレスが存在しない場合に
は端末装置のIPアドレスとして新たに記憶して登録成
功を応答し、一致するIPアドレスが存在する場合は登
録失敗を応答し、またIPアドレス削除要求を受けてI
Pアドレスを削除するIPアドレス登録手段と、端末認
証手段により認証された端末装置との間にデータリンク
を設定し、端末認証手段により認証を否認された端末装
置および未だ認証されていない端末装置との間にはデー
タリンクを設定しないデータリンク層終端手段と、デー
タリンクフレーム内のIPパケットを監視し、端末装置
のIPアドレスを記憶し、端末装置が送信するIPパケ
ットの送信元IPアドレスが記憶してあるIPアドレス
と異なる場合に該IPパケットの転送を保留しIPアド
レス登録手段へIPアドレス登録要求を送信し、IPア
ドレス登録成功を受信すると該IPパケットの送信元I
Pアドレスで更新して該IPパケットを転送し、IPア
ドレス登録失敗を受信するとIPアドレスを更新せずに
該IPパケットを転送しないIPアドレス監視手段を有
する。
【0006】また、IPアドレスにはIPv4アドレス
やIPv6アドレス等各種分類が存在し、1台の端末装
置がこれら複数種類のIPアドレスを同時使用すること
があることから、本発明のIPネットワークは、IPア
ドレスを1以上の型に分類するIPアドレス分類手段
と、IPアドレスの分類手段の分類に従ってIPアドレ
スを記憶し照合するIPアドレス登録手順と、IPアド
レス分類手段の分類に従ってIPアドレスを記憶し照合
するIPアドレス監視手段を有してもよい。
【0007】更に、IPネットワーク内において端末装
置が使用することのできるIPアドレスの値は予め限定
されていることが一般的であるから、本発明のIPネッ
トワークは、IPネットワークにおいて端末装置が使用
可能な1以上のIPアドレスを記憶し、登録要求受信時
は記憶してあるIPアドレスとの照合に加えて、使用可
能なIPアドレスである場合に登録して登録成功を応答
し、使用可能なIPアドレスでなければ登録失敗を応答
するIPアドレス登録手段を有してもよい。
【0008】本発明のIPネットワークは外部ネットワ
ークとの相互接続のために、外部ネットワークとの間で
IPパケットを送受信し、外部ネットワークから受信す
るIPパケットの送信元IPアドレスが使用可能なIP
アドレスでない場合に該IPパケットをIPネットワー
クに転送し、使用可能なIPアドレスである場合は該パ
ケットをIPネットワークに転送しない外部ネットワー
ク接続手段を有してもよい。
【0009】また、IPアドレス登録手段は、IPアド
レス削除依頼を受信するとIPアドレスを削除するとと
もに、IPアドレスを使用不能IPアドレスとして一定
期間記憶し、IPアドレス登録依頼を受信すると端末装
置毎に記憶してあるIPアドレスと照合するだけではな
く、使用不能IPアドレスとも照合するようにしてもよ
い。
【0010】
【発明の実施の形態】本発明のIPネットワークの実施
形態を図面を用いて詳細に説明する。 [実施の形態1] [構成の説明]図1は本発明の第1の実施形態のネット
ワーク構成図である。本実施形態のIPネットワーク1
は、ルータ10、ハブ11〜12、ファイアウォール1
3、認証サーバ14から構成され、ハブ11とハブ12
はルータ10を介して相互に接続されている。ファイア
ウォール13と認証サーバ14はハブ12に接続されて
いる。端末装置15〜17はハブ11に接続されてい
る。電子商取引サーバ18はハブ12に、外部ネットワ
ーク19はファイアウォール13にそれぞれ接続されて
いる。
【0011】図2は図1のIPネットワーク1を構成す
るハブ11の構成を示すブロック図である。ハブ11
は、データリンク層終端手段20〜23、データリンク
フレーム交換手段24、IPアドレス監視手段25〜2
7から構成される。データリンク層終端手段20〜23
は100BASE−Tイーサネット(登録商標)規格に
準拠するデータリンクポートであり、データリンクフレ
ーム交換手段24により相互に接続される。データリン
ク層終端手段21〜23にはIPアドレス監視手段25
〜27がそれぞれ接続する。ルータ10はデータリンク
層終端手段20に接続し、端末装置15〜17はデータ
リンク層終端装置21〜23にそれぞれ接続される。デ
ータリンク層終端手段21〜23に接続するIPアドレ
ス監視手段25〜27は、端末装置15〜17のIPア
ドレスを記憶するためのIPアドレス記憶域250〜2
70を備える。
【0012】図3は図1のIPネットワーク1を構成す
るファイアウォール13の構成を示すブロック図であ
る。ファイアウォール13はIPネットワーク1と外部
ネットワーク19を相互に接続する外部ネットワーク接
続手段30を備える。外部ネットワーク接続手段30は
IPネットワーク内で使用可能なIPアドレスの記憶域
301〜30Nを有する。
【0013】図4は図1のIPネットワーク1を構成す
る認証サーバ14の構成を示すブロック図である。認証
サーバ14は、端末認証手段40とIPアドレス登録手
段41を備える。端末認証手段40は、IPネットワー
ク1を利用可能な端末装置15〜17のMACアドレス
150〜170を記憶する。IPアドレス登録手段は、
端末装置15〜17のIPアドレスを記憶するため、端
末装置15〜17に対応してIPアドレス記憶域450
〜470を備える。
【0014】[動作の説明]端末装置15、端末装置1
6および端末装置17のMACアドレスはそれぞれMA
Cアドレス150、MACアドレス160およびMAC
アドレス170とし、IPアドレスはそれぞれIPアド
レス151、IPアドレス161およびIPアドレス1
71を使用するものとする。認証サーバ14の端末認証
手段40は、IPネットワーク1の正当な端末のMAC
アドレスとしてMACアドレス150、MACアドレス
160およびMACアドレス170を記憶しているもの
とする。ファイアウォール13の外部ネットワーク接続
手段30のIPアドレス記憶域301〜303には、I
Pネットワーク1内で使用可能なIPアドレスとしてそ
れぞれIPアドレス151、IPアドレス161および
IPアドレス171を記憶しているものとする。
【0015】今、端末装置15と端末装置16がそれぞ
れハブ11のデータリンク層終端手段21とハブ11の
データリンク層終端手段22に接続されているものとす
る。IPアドレス記憶域250とIPアドレス記憶域2
60にはそれぞれ端末15のIPアドレス151と端末
16のIPアドレス161が書き込まれているものとす
る。認証サーバ14のIPアドレス記憶域450とIP
アドレス記憶域460にはそれぞれ端末15のIPアド
レス151と端末16のIPアドレス161が書き込ま
れているものとする。ハブ11のデータリンク層終端手
段23には端末装置が接続されておらず、従って、IP
アドレス記憶域270と認証サーバ14のIPアドレス
記憶域470には有効なIPアドレスが書き込まれてい
ないものとする。
【0016】この状態において、端末装置17をハブ1
1のデータリンク層終端手段23に接続するものとす
る。データリンク層終端手段23は端末装置17とデー
タリンクフレームを交換し、端末装置17のMACアド
レス170を取得する。データリンク層終端手段23は
端末装置17を認証するため、認証サーバ14の端末認
証手段40に対してMACアドレス170を有する端末
装置17がIPネットワーク1の正当な端末であるか問
い合わせる。端末認証手段40はMACアドレス170
が端末認証手段40の記憶するMACアドレスの一つで
あることを確認し、正当な端末であることを回答する。
データリンク層終端手段23は正当な端末であるとの回
答を待って、端末装置17との間にデータリンクを設定
する。仮に正当な端末ではないとの回答を得たとする
と、データリンク層終端手段23は端末装置17との間
にデータリンクを設定しない。
【0017】続いて、IPアドレス監視手段27は端末
装置17がデータリンク上で最初に送信するIPパケッ
トを監視し、送信元IPアドレスフィールドからIPア
ドレス171を取得する。IPアドレス記憶域270に
は有効なIPアドレスが書き込まれておらず従ってIP
アドレス171と一致しないため、データリンク層終端
手段23は認証サーバ14のIPアドレス登録手段41
に対してIPアドレス登録依頼を送信する。IPアドレ
ス登録手段41はIPアドレス記憶域450〜470に
書き込まれている有効なIPアドレス、即ちIPアドレ
ス151とIPアドレス161のいずれともIPアドレ
ス171が一致しないことを確認すると、登録許可を応
答する。IPアドレス監視手段27は登録許可を待っ
て、IPアドレス171をIPアドレス記憶域270に
書き込み、保留していたIPパケットを転送する。
【0018】外部ネットワーク19からIPアドレス1
51を送信元IPアドレスフィールドに設定されたIP
パケットを受信すると、ファイアウォール13の外部ネ
ットワーク接続手段30はIPアドレス151がIPア
ドレス記憶域301に書き込まれたIPアドレスと一致
することを検出し、該IPパケットを破棄する。
【0019】電子商取引サーバ18は端末装置16から
物品またはコンテンツまたはサービスの注文を受ける
と、注文を構成するIPパケットの送信元IPパケット
フィールドからIPアドレス161を取得する。電子商
取引サーバは認証サーバ41に対して、IPアドレス1
61に対応する端末装置を問い合わせる。認証サーバは
IPアドレス記憶域461に書き込まれたIPアドレス
がIPアドレス161と一致することを確認し、IPア
ドレス161を使用する端末装置が端末装置16である
ことを回答する。
【0020】[実施の形態2] [構成の説明]続いて本発明の第2の実施形態を説明す
る。IPネットワーク1のネットワーク構成図1、ハブ
11のブロック構成図2、ファイアウォール13のブロ
ック構成図3は第1の実施形態と共通である。
【0021】図5は本発明の認証サーバ14の構成を示
すブロック図である。認証サーバ14は、端末認証手段
40とIPアドレス登録手段41を備える。端末認証手
段40は、IPネットワーク1を利用可能な端末装置1
5〜17の端末認証情報152〜172を記憶する。I
Pアドレス登録手段は、端末装置15〜17のIPアド
レスを記憶するため、端末装置15〜17に対応してI
Pアドレス記憶域450〜470を備える。
【0022】[動作の説明]端末装置15、端末装置1
6および端末装置17のMACアドレスはそれぞれMA
Cアドレス150、MACアドレス160およびMAC
アドレス170とし、IPアドレスはそれぞれIPアド
レス151、IPアドレス161およびIPアドレス1
71を使用するものとする。認証サーバ14の端末認証
手段40は、IPネットワーク1の正当な端末の端末認
証情報として端末認証情報152、端末認証情報162
および端末認証情報172を記憶し、ファイアウォール
13の外部ネットワーク接続手段30のIPアドレス記
憶域301〜303には、IPネットワーク1内で使用
可能なIPアドレスとしてそれぞれIPアドレス15
1、IPアドレス161およびIPアドレス171を記
憶しているものとする。
【0023】今、端末装置15と端末装置16がそれぞ
れハブ11のデータリンク層終端手段21とハブ11の
データリンク層終端手段22に接続されているものとす
る。IPアドレス記憶域250とIPアドレス記憶域2
60にはそれぞれ端末15のIPアドレス151と端末
16のIPアドレス161が書き込まれているものとす
る。認証サーバ14のIPアドレス記憶域450とIP
アドレス記憶域460にはそれぞれ端末15のIPアド
レス151と端末16のIPアドレス161が書き込ま
れているものとする。ハブ11のデータリンク層終端手
段23には端末装置が接続されておらず、従って、IP
アドレス記憶域270と認証サーバ14のIPアドレス
記憶域470には有効なIPアドレスが書き込まれてい
ないものとする。
【0024】この状態において、端末装置17をハブ1
1のデータリンク層終端手段23に接続するものとす
る。データリンク層終端手段23は認証サーバ14と通
信チャネルを設定し、認証サーバ14と端末装置17の
通信を中継する。認証サーバ14の端末認証手段40は
端末認証情報172を用いて端末17を認証し、端末装
置17が正当な端末であることを回答する。データリン
ク層終端手段23は正当な端末であるとの回答を待っ
て、端末装置17との間にデータリンクを設定する。仮
に正当な端末ではないとの回答を得たとすると、データ
リンク層終端手段23は端末装置17との間にデータリ
ンクを設定しない。認証サーバ14と端末装置17の間
の認証手順としては本実施例ではIEEE802.1x
規格を想定するが、勿論他の手順でも構わない。
【0025】続いて、IPアドレス監視手段27は端末
装置17がデータリンク上で最初に送信するIPパケッ
トを監視し、送信元IPアドレスフィールドからIPア
ドレス171を取得する。IPアドレス記憶域270に
は有効なIPアドレスが書き込まれておらず従ってIP
アドレス171と一致しないため、データリンク層終端
手段23は認証サーバ14のIPアドレス登録手段41
に対してIPアドレス登録依頼を送信する。IPアドレ
ス登録手段41はIPアドレス記憶域450〜470に
書き込まれている有効なIPアドレス、即ちIPアドレ
ス151とIPアドレス161のいずれともIPアドレ
ス171が一致しないことを確認すると、登録許可を応
答する。IPアドレス監視手段27は登録許可を待っ
て、IPアドレス171をIPアドレス記憶域270に
書き込み、保留していたIPパケットを転送する。
【0026】外部ネットワーク19からIPアドレス1
51を送信元IPアドレスフィールドに設定されたIP
パケットを受信すると、ファイアウォール13の外部ネ
ットワーク接続手段30はIPアドレス151がIPア
ドレス記憶域301に書き込まれたIPアドレスと一致
することを検出し、該IPパケットを破棄する。
【0027】電子商取引サーバ18は端末装置16から
物品またはコンテンツまたはサービスの注文を受ける
と、注文を構成するIPパケットの送信元IPパケット
フィールドからIPアドレス161を取得する。電子商
取引サーバは認証サーバ41に対して、IPアドレス1
61に対応する端末装置を問い合わせる。認証サーバは
IPアドレス記憶域461に書き込まれたIPアドレス
がIPアドレス161と一致することを確認し、IPア
ドレス161を使用する端末装置が端末装置16である
ことを回答する。
【0028】本実施例ではIPアドレスの種類としてI
Pv4アドレスとIPv6アドレスの2種類のみを採用
しているが、IPv6グローバルユニキャストアドレ
ス、IPv6サイトローカルアドレス、IPv6リンク
ローカルアドレスなど、より詳細な分類を用いることも
可能である。
【0029】[実施の形態3] [構成の説明]続いて本発明の第3の実施形態を説明す
る。本実施形態のネットワーク構成は第1および第2の
実施形態と共通である。本実施形態のIPネットワーク
1はIPv4プロトコルとIPv6プロトコルの2種類
のIPプロトコルを用いるものとする。IPv4プロト
コルとIPv6プロトコルの区別はデータリンクフレー
ムのヘッダ部により弁別できる。
【0030】図6は本実施形態IPネットワーク1を構
成するハブ11の構成を示すブロック図である。ハブ1
1は、データリンク層終端手段20〜23、データリン
クフレーム交換手段24、IPアドレス監視手段25〜
27から構成される。データリンク層終端手段20〜2
3は100BASE−Tイーサネット規格に準拠するデ
ータリンクポートであり、データリンクフレーム交換手
段24により相互に接続される。データリンク層終端手
段21〜23にはIPアドレス監視手段25〜27がそ
れぞれ接続する。ルータ10はデータリンク層終端手段
20に接続し、端末装置15〜17はデータリンク層終
端装置21〜23にそれぞれ接続される。データリンク
層終端手段21〜23に接続するIPアドレス監視手段
25〜27は、端末装置15〜17のIPv4アドレス
を記憶するためのIPv4アドレス記憶域250〜27
0とIPv6アドレスを記憶するためのIPv6アドレ
ス記憶域251〜271を備える。
【0031】図7は本実施例のIPネットワーク1を構
成するファイアウォール13の構成を示すブロック図で
ある。ファイアウォール13はIPネットワーク1と外
部ネットワーク19を相互に接続する外部ネットワーク
接続手段30を備える。外部ネットワーク接続手段30
はIPネットワーク内で使用可能なIPv4アドレスの
記憶域301〜30NとIPv6アドレスの記憶域31
1〜31Mを有する。
【0032】図8は本実施例のIPネットワーク1を構
成する認証サーバ14の構成を示すブロック図である。
認証サーバ14は、端末認証手段40とIPアドレス登
録手段41を備える。端末認証手段40は、IPネット
ワーク1を利用可能な端末装置15〜17のMACアド
レス150〜170を記憶する。IPアドレス登録手段
は、端末装置15〜17のIPv4アドレスとIPv6
アドレスを記憶するため、端末装置15〜17に対応し
てIPv4アドレス記憶域450〜470とIPv6ア
ドレス記憶域451〜471を備える。
【0033】[動作の説明]端末装置15、端末装置1
6および端末装置17のMACアドレスはそれぞれMA
Cアドレス150、MACアドレス160およびMAC
アドレス170とし、IPv4アドレスはそれぞれIP
v4アドレス151、IPv4アドレス161およびI
Pv4アドレス171、IPv6アドレスはそれぞれI
Pv6アドレス152、IPv6アドレス162、IP
v6アドレス172を使用するものとする。認証サーバ
14の端末認証手段40は、IPネットワーク1の正当
な端末のMACアドレスとしてMACアドレス150、
MACアドレス160およびMACアドレス170を記
憶しているものとする。ファイアウォール13の外部ネ
ットワーク接続手段30のIPv4アドレス記憶域30
1〜303には、IPネットワーク1内で使用可能なI
Pv4アドレスとしてそれぞれIPv4アドレス15
1、IPv4アドレス161およびIPv4アドレス1
71を記憶し、IPネットワーク1内で使用可能なIP
v6アドレスとしてそれぞれIPv6アドレス152、
IPv6アドレス162およびIPv6アドレス172
を記憶しているものとする。
【0034】今、端末装置15と端末装置16がそれぞ
れハブ11のデータリンク層終端手段21とハブ11の
データリンク層終端手段22に接続されているものとす
る。IPv4アドレス記憶域250とIPv4アドレス
記憶域260にはそれぞれ端末15のIPv4アドレス
151と端末16のIPv4アドレス161が書き込ま
れ、IPv6アドレス記憶域251とIPv6アドレス
記憶域261にはそれぞれ端末15のIPv6アドレス
152と端末16のIPv6アドレス162が書き込ま
れているものとする。認証サーバ14のIPv4アドレ
ス記憶域450とIPv4アドレス記憶域460にはそ
れぞれ端末15のIPv4アドレス151と端末16の
IPv4アドレス161が書き込まれ、IPv6アドレ
ス記憶域451とIPv6アドレス記憶域461にはそ
れぞれ端末15のIPv6アドレス152と端末16の
IPv6アドレス162が書き込まれているものとす
る。ハブ11のデータリンク層終端手段23には端末装
置が接続されておらず、従って、IPv4アドレス記憶
域270とIPv6アドレス記憶域271、認証サーバ
14のIPv4アドレス記憶域470とIPv6アドレ
ス記憶域471には有効なIPアドレスが書き込まれて
いないものとする。
【0035】この状態において、端末装置17をハブ1
1のデータリンク層終端手段23に接続するものとす
る。データリンク層終端手段23は端末装置17とデー
タリンクフレームを交換し、端末装置17のMACアド
レス170を取得する。データリンク層終端手段23は
端末装置17を認証するため、認証サーバ14の端末認
証手段40に対してMACアドレス170を有する端末
装置17がIPネットワーク1の正当な端末であるか問
い合わせる。端末認証手段40はMACアドレス170
が端末認証手段40の記憶するMACアドレスの一つで
あることを確認し、正当な端末であることを回答する。
データリンク層終端手段23は正当な端末であるとの回
答を待って、端末装置17との間にデータリンクを設定
する。仮に正当な端末ではないとの回答を得たとする
と、データリンク層終端手段23は端末装置17との間
にデータリンクを設定しない。
【0036】続いて、IPアドレス監視手段27は端末
装置17がデータリンク上で最初に送信するIPパケッ
トを監視し、データリンクフレームのヘッダによりIP
v4パケットまたはIPv6パケットのいずれであるか
判定し、送信元IPアドレスフィールドからIPv4ア
ドレス171またはIPv6アドレス172を取得す
る。ここではIPv6アドレスを取得するものとする。
IPv6アドレス記憶域271には有効なIPv6アド
レスが書き込まれておらず、従ってIPv6アドレス1
72と一致しないため、データリンク層終端手段23は
認証サーバ14のIPアドレス登録手段41に対してI
Pアドレス登録依頼を送信する。IPアドレス登録手段
41はIPv6アドレス記憶域451〜471に書き込
まれている有効なIPv6アドレス、即ちIPv6アド
レス152とIPv6アドレス162のいずれともIP
v6アドレス172が一致しないことを確認すると、登
録許可を応答する。IPアドレス監視手段27は登録許
可を待って、IPv6アドレス172をIPアドレス記
憶域271に書き込み、保留していたIPパケットを転
送する。
【0037】外部ネットワーク19からIPv6アドレ
ス152を送信元IPアドレスフィールドに設定された
IPv6パケットを受信すると、ファイアウォール13
の外部ネットワーク接続手段30はIPv6アドレス1
52がIPアドレス記憶域311に書き込まれたIPア
ドレスと一致することを検出し、該IPパケットを破棄
する。
【0038】電子商取引サーバ18は端末装置16から
物品またはコンテンツまたはサービスの注文を受ける
と、注文を構成するIPv6パケットの送信元IPパケ
ットフィールドからIPv6アドレス162を取得す
る。電子商取引サーバは認証サーバ41に対して、IP
v6アドレス162に対応する端末装置を問い合わせ
る。認証サーバはIPv6アドレス記憶域461に書き
込まれたIPv6アドレスがIPv6アドレス162と
一致することを確認し、IPv6アドレス162を使用
する端末装置が端末装置16であることを回答する。
【0039】以上、本発明者によってなされた発明を、
前記実施の形態に基づき具体的に説明したが、本発明
は、前記実施の形態に限定されるものではなく、その要
旨を逸脱しない範囲において種々変更可能であることは
勿論である。
【0040】
【発明の効果】本発明のIPネットワークは上記のよう
に構成されているので、同時に2台以上の端末装置が同
一のIPアドレスを使用することが無いため、端末装置
が送信するIPパケットの送信元IPアドレスから端末
装置を特定することができ、従って、IPアドレスを端
末アイデンティティとして使用できるという効果があ
る。
【図面の簡単な説明】
【図1】本発明の第1および第2および第3の実施形態
のネットワーク構成図である。
【図2】本発明の第1および第2の実施形態のハブ11
の構成を示すブロック図である。
【図3】本発明の第1および第2の実施形態のファイア
ウォール13の構成を示すブロック図である。
【図4】本発明の第1の実施形態の認証サーバ14の構
成を示すブロック図である。
【図5】本発明の第2の実施形態の認証サーバ14の構
成を示すブロック図である。
【図6】本発明の第3の実施形態のハブ11の構成を示
すブロック図である。
【図7】本発明の第3の実施形態のファイアウォール1
3の構成を示すブロック図である。
【図8】本発明の第3の実施形態の認証サーバ14の構
成を示すブロック図である。
【符号の説明】
1…IPネットワーク、10…ルータ、11…ハブ、1
2…ハブ、13…ファイアウォール、14…認証サー
バ、15…端末装置、16…端末装置、17…端末装
置、150…端末装置15のMACアドレス、160…
端末装置16のMACアドレス、170…端末装置17
のMACアドレス、18…電子商取引サーバ、19…外
部ネットワーク、20…データリンク層終端手段、21
…データリンク層終端手段、22…データリンク層終端
手段、23…データリンク層終端手段、24…データリ
ンクフレーム交換手段、25…IPアドレス監視手段、
26…IPアドレス監視手段、27…IPアドレス監視
手段、250…IPアドレス記憶域、260…IPアド
レス記憶域、270…IPアドレス記憶域、30…外部
ネットワーク接続手段、301〜30N…IPネットワ
ーク1内で使用可能なIPアドレス、40…端末認証手
段、41…IPアドレス登録手段、450…IPアドレ
ス記憶域、460…IPアドレス記憶域、470…IP
アドレス記憶域。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 川瀬 克之 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 (72)発明者 菊地 能直 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5K030 GA14 GA15 HA08 HD03 HD06 HD09 KA04 MD09 5K033 AA08 CB01 CB11 DA05 DB12 DB16 DB19 EC03

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】 データリンク確立時に端末装置を認証す
    る端末認証手段と、 端末装置が使用するIPアドレスを記憶し、IPアドレ
    ス登録要求を受信すると記憶してある全てのIPアドレ
    スと照合して一致するIPアドレスが存在しない場合に
    は端末装置のIPアドレスとして新たに記憶して登録成
    功を応答し、一致するIPアドレスが存在する場合は登
    録失敗を応答し、またIPアドレス削除要求を受信する
    とIPアドレスを削除するIPアドレス登録手段と、 端末認証手段により認証を否認された端末装置および未
    だ認証されていない端末装置との間にはデータリンクを
    設定せず端末認証手段により認証された端末装置との間
    にのみデータリンクを設定し、データリンクフレームを
    ネットワーク層中継装置またはデータリンク層中継装置
    または物理層中継装置に中継するデータリンク層終端手
    段と、 データリンクフレーム内のIPパケットを監視し、端末
    装置のIPアドレスを記憶し、端末装置が送信するIP
    パケットの送信元IPアドレスと記憶してあるIPアド
    レスが異なる場合にIPパケットの転送を保留しIPア
    ドレス登録手段へIPアドレス登録要求を送信し、IP
    アドレス登録成功を受信すると記憶してあるIPパケッ
    ト値をIPパケットの送信元IPアドレスで更新してI
    Pパケットを転送し、IPアドレス登録失敗を受信する
    とIPアドレスを更新せずにIPパケットを転送しない
    IPアドレス監視手段、を有することを特徴とするIP
    ネットワーク。
  2. 【請求項2】 請求項1記載のIPネットワークにおい
    て、 IPアドレスを1以上の型に分類するIPアドレス分類
    手段と、 IPアドレス分類手段の分類に従ってIPアドレスを記
    憶し照合するIPアドレス登録手順と、 IPアドレス分類手段の分類に従ってIPアドレスを登
    録し削除するIPアドレス監視手段、を有することを特
    徴とするIPネットワーク。
  3. 【請求項3】 請求項1または請求項2記載のIPネッ
    トワークであって、 IPネットワークにおいて端末装置が使用可能な1以上
    のIPアドレスを記憶し、登録要求受信時は記憶してあ
    るIPアドレスとの照合に加えて、使用可能なIPアド
    レスである場合にのみIPアドレスを登録し登録成功を
    応答し、使用可能なIPアドレスでなければIPアドレ
    スを登録せずに登録失敗を応答するIPアドレス登録手
    段、を有することを特徴とするIPネットワーク。
  4. 【請求項4】 請求項3記載のIPネットワークであっ
    て、 外部ネットワークとの間でIPパケットを送受信し、外
    部ネットワークから受信するIPパケットの送信元IP
    アドレスが使用可能なIPアドレスでない場合にのみI
    PパケットをIPネットワークに転送し、使用可能なI
    Pアドレスである場合はIPパケットをIPネットワー
    クに転送しない外部ネットワーク接続手段、を有するこ
    とを特徴とするIPネットワーク。
  5. 【請求項5】 請求項1または請求項2または請求項3
    または請求項4記載のIPネットワークであって、 IPアドレス削除依頼を受信するとIPアドレスを削除
    するとともに、IPアドレスを使用不能IPアドレスと
    して一定期間記憶し、IPアドレス登録依頼を受信する
    と端末装置毎に記憶してあるIPアドレスと照合するだ
    けではなく、使用不能IPアドレスとも照合するIPア
    ドレス登録手段、を有することを特徴とするIPネット
    ワーク。
JP2001369748A 2001-12-04 2001-12-04 Ipアドレスを端末アイデンティティとして使用可能なipネットワーク Expired - Fee Related JP3833932B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001369748A JP3833932B2 (ja) 2001-12-04 2001-12-04 Ipアドレスを端末アイデンティティとして使用可能なipネットワーク

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001369748A JP3833932B2 (ja) 2001-12-04 2001-12-04 Ipアドレスを端末アイデンティティとして使用可能なipネットワーク

Publications (2)

Publication Number Publication Date
JP2003169069A true JP2003169069A (ja) 2003-06-13
JP3833932B2 JP3833932B2 (ja) 2006-10-18

Family

ID=19179088

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001369748A Expired - Fee Related JP3833932B2 (ja) 2001-12-04 2001-12-04 Ipアドレスを端末アイデンティティとして使用可能なipネットワーク

Country Status (1)

Country Link
JP (1) JP3833932B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008507202A (ja) * 2004-07-15 2008-03-06 リヴァーストーン ネットワークス インコーポレーテッド 仮想プライベートlanサービス(vpls)ベースのネットワークに関する経路情報の取得
CN108668337A (zh) * 2017-03-31 2018-10-16 华为技术有限公司 关联消息处理装置及方法
WO2019155671A1 (ja) * 2017-06-07 2019-08-15 コネクトフリー株式会社 ネットワークシステム

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008507202A (ja) * 2004-07-15 2008-03-06 リヴァーストーン ネットワークス インコーポレーテッド 仮想プライベートlanサービス(vpls)ベースのネットワークに関する経路情報の取得
JP4758991B2 (ja) * 2004-07-15 2011-08-31 アルカテル−ルーセント ユーエスエー インコーポレーテッド 仮想プライベートlanサービス(vpls)ベースのネットワークに関する経路情報の取得
CN108668337A (zh) * 2017-03-31 2018-10-16 华为技术有限公司 关联消息处理装置及方法
CN108668337B (zh) * 2017-03-31 2020-07-28 华为技术有限公司 关联消息处理装置及方法
WO2019155671A1 (ja) * 2017-06-07 2019-08-15 コネクトフリー株式会社 ネットワークシステム
US11218577B2 (en) 2017-06-07 2022-01-04 Connectfree Corporation Communication network system and method for network communication
US11683404B2 (en) 2017-06-07 2023-06-20 Connectfree Corporation Communication network system and method for network communication

Also Published As

Publication number Publication date
JP3833932B2 (ja) 2006-10-18

Similar Documents

Publication Publication Date Title
ES2258134T3 (es) Metodo y aparato para el control del acceso de un dispositivo terminal inalambrico en una red de comunicaciones.
US8875233B2 (en) Isolation VLAN for layer two access networks
US20040213237A1 (en) Network authentication apparatus and network authentication system
JP5497901B2 (ja) 匿名通信の方法、登録方法、メッセージ受発信方法及びシステム
US8488569B2 (en) Communication device
US6907470B2 (en) Communication apparatus for routing or discarding a packet sent from a user terminal
EP1878169B1 (en) Operator shop selection in broadband access related application
EP1987629B1 (en) Techniques for authenticating a subscriber for an access network using dhcp
CN1722661B (zh) 认证系统、网络线路级联器和认证方法
US7480933B2 (en) Method and apparatus for ensuring address information of a wireless terminal device in communications network
CN107547510B (zh) 一种邻居发现协议安全表项处理方法和装置
US11196702B2 (en) In-vehicle communication device, and communication control method
US20070195804A1 (en) Ppp gateway apparatus for connecting ppp clients to l2sw
JP2008535363A (ja) モバイルipを用いた移動ノードの仮想私設網接続方法
US7835341B2 (en) Packet communication apparatus
WO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
US20030212774A1 (en) Method and apparatus for assigning IP address using agent in zero configuration network
WO2011044807A1 (zh) 一种匿名通信的注册、通信方法及数据报文的收发系统
JP2002084306A (ja) パケット通信装置及びネットワークシステム
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
JP3678166B2 (ja) 無線端末の認証方法、無線基地局及び通信システム
JP3833932B2 (ja) Ipアドレスを端末アイデンティティとして使用可能なipネットワーク
JP4768547B2 (ja) 通信装置の認証システム
JP2004072633A (ja) IPv6ノード収容方法およびIPv6ノード収容システム
US20220417831A1 (en) Method and device for protecting a local area network comprising a network switch to which a station is connected by cable connection

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060119

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060124

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060327

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060718

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060720

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090728

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100728

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100728

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110728

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120728

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130728

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees