JP4608466B2 - 通信システムおよび通信方法 - Google Patents

通信システムおよび通信方法 Download PDF

Info

Publication number
JP4608466B2
JP4608466B2 JP2006188445A JP2006188445A JP4608466B2 JP 4608466 B2 JP4608466 B2 JP 4608466B2 JP 2006188445 A JP2006188445 A JP 2006188445A JP 2006188445 A JP2006188445 A JP 2006188445A JP 4608466 B2 JP4608466 B2 JP 4608466B2
Authority
JP
Japan
Prior art keywords
address
communication terminal
personal
packet
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006188445A
Other languages
English (en)
Other versions
JP2008017343A (ja
Inventor
弘高 吉岡
康志 高木
宏樹 内山
正治 佐々木
伸郎 高木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006188445A priority Critical patent/JP4608466B2/ja
Publication of JP2008017343A publication Critical patent/JP2008017343A/ja
Application granted granted Critical
Publication of JP4608466B2 publication Critical patent/JP4608466B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、通信システムおよび通信方法に関する。
従来、ユーザの通信端末と、ASP(Application Service Provider)等のサーバとの認証には、ユーザID(ID)とパスワード等の認証情報が用いられていた。しかし、この認証情報は、ASPごと、あるいはこのASPが提供するサービスごとに設けられているため、複数のASPやサービスを利用するユーザは、認証情報を複数管理する必要があった。このような問題を解決するため、ユーザが複数のASPやサービスを利用する場合の認証処理を1回で済ませるシングル・サインオン技術が提案されている(非特許文献1,2参照)。
@IT、Master of IP Network、なぜ「シングル・サインオン」が必要なのか、連載第1回:ディレクトリ統合、[online]、[2006年6月22日検索]、インターネット、<URL:http://www.atmarkit.co.jp/fnetwork/rensai/dirt01/01.html> ITpro Security 異なる企業間や製品間で認証を連携できるフレームワークの実現へ、"進化"するシングル・サインオン、[online]、[2006年6月22日検索]、インターネット、<URL:http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20030829/1/>
しかし、前記したシングル・サインオンを用いた場合でも、SS0(Single Sign-On)サーバは、ASPに設置されるサーバとの間で認証処理を行う必要がある。つまり、ASP側で何らかの認証手段を設ける必要がある。また、ASP側がこのような認証処理を行う場合、アクセス数が多くなると、ASP側の処理負荷が大きくなり、処理のボトルネックが発生しやすいという問題がある。
そこで、本発明は前記した問題を解決し、ASP等、通信端末との通信を行うネットワークやノード側での認証処理を不要とする通信システムおよび通信方法を提供することを目的とする。
前記した課題を解決するため、本発明は、ASP等、通信端末との通信を行うネットワークやノードにおいて、アクセスしてきた通信端末は確かに自身がサービスを提供する通信端末であることを確認するため、この通信端末に付与されたパーソナルIPアドレスを用いる構成とした。なお、このパーソナルIPアドレス、通信端末においてネットワークへの接続場所や接続手段に依存せずに利用される通信端末を識別する。また、このパーソナルIPアドレスは、IPv4(Internet Protocol Version 4)によるIPアドレスでもよいし、IPv6(Internet Protocol Version 6)によるIPアドレスでもよい。
すなわち、本発明の請求項1に記載の発明は、IPネットワーク内に設置され、認証処理を行った通信端末に、所定のアドレス帯から選択したパーソナルIPアドレスを付与するパーソナルIPアドレス付与装置と、前記付与されたパーソナルIPアドレスを用いて前記IPネットワーク経由で通信を行う前記通信端末と、前記パーソナルIPアドレスごとに、このパーソナルIPアドレスが付与された通信端末との通信に関する契約情報を受信し、この受信した契約情報を、前記契約情報に示されるサービスを提供するノードまたはネットワークに接続する第1のネットワーク接続装置へ送信する契約情報管理装置と、前記契約情報管理装置から送信された契約情報を記憶部に記憶しておき、前記通信端末のアクセスを受け付けたとき、この通信端末のパーソナルIPアドレスを判別し、この判別したパーソナルIPアドレスをもとに前記記憶部から前記通信端末に関する契約情報を読み出し、この読み出した契約情報に従い前記通信端末との間の通信制御を行う前記第1のネットワーク接続装置と、を備えることを特徴とする。
また、本発明の請求項7に記載の発明は、IPネットワーク内に設置され、通信端末へパーソナルIPアドレスを付与するパーソナルIPアドレス付与装置が、前記通信端末からのアクセスを受け付け、この通信端末との認証処理を行うステップと、前記認証処理を行った通信端末に、所定のアドレス帯から選択したパーソナルIPアドレスを付与するステップと、を実行し、前記パーソナルIPアドレスを付与された通信端末が、前記各通信端末の契約情報を管理する契約情報管理装置へ、前記通信端末のパーソナルIPアドレスと、前記通信端末との通信に関する契約情報とを送信するステップを実行し、前記契約情報管理装置が、前記通信端末から送信された契約情報をもとに、前記パーソナルIPアドレスごとに、このパーソナルIPアドレスが付与された通信端末との通信に関する契約情報を作成し、この契約情報を前記契約情報に示されるサービスを提供するノードまたはネットワークに接続する第1のネットワーク接続装置へ送信するステップと、を実行し、前記第1のネットワーク接続装置が、前記契約情報管理装置から送信された契約情報を記憶部に記憶するステップと、前記通信端末のアクセスを受け付けるステップと、前記アクセスしてきた通信端末のパーソナルIPアドレスを判別し、この判別したパーソナルIPアドレスをもとに前記記憶部に記憶された契約情報から前記通信端末に関する契約情報を読み出すステップと、この読み出した契約情報に従い前記通信端末との間の通信制御を行うステップと、を実行することを特徴とする。
このようにすることで、通信端末との通信を行うネットワークやノード(ASP等)に接続する第1のネットワーク接続装置(例えば、IPネットワークの出口側のルータ等)は、通信端末に付与されたパーソナルIPアドレスをもとに、当該通信端末との通信制御を行う。従って、通信端末との通信を行うネットワークやノードにおいて、ユーザIDとパスワード等の認証情報の管理や、これらの認証情報に基づく認証処理を行う必要がなくなる。
本発明の請求項2に記載の発明は、請求項1に記載の通信システムにおいて、前記通信端末は、前記サービスの提供を行うノードまたはネットワークと通信を行うとき、送信先を前記ノードまたはネットワークのアドレスとし、送信元を前記通信端末に付与されたパーソナルIPアドレスとしたデータをカプセル化し、このカプセル化したパケットの外側の送信元を、前記通信端末が前記IPネットワークに接続する際に経由する第2のネットワーク接続装置の配下のアドレスとしたパケットを作成するトンネリング処理部と、前記作成したパケットを前記パーソナルIPアドレス付与装置へ送信する通信部とを備え、前記パーソナルIPアドレス付与装置は、前記通信端末へ付与したパーソナルIPアドレスを示したパーソナルIPアドレステーブルを記憶する記憶部と、前記通信端末からカプセル化されたパケットを受信したとき、このパケットをデカプセル化して、このパケットの内側に設定された送信先である前記ノードまたはネットワークのアドレスと、前記送信元であるパーソナルIPアドレスとを読み出すトンネリング処理部と、前記パーソナルIPアドレステーブルを参照して、前記パケットの内側に設定されたパーソナルIPアドレスが、前記通信端末に付与したパーソナルIPアドレスであるか否かを判断する認証処理部と、前記パケットの内側に設定されたパーソナルIPアドレスが、前記通信端末に付与したパーソナルIPアドレスであると判断されたとき、このデカプセル化したパケットを、このパケットの送信先であるノードまたはネットワークへ転送する通信部とを備えること特徴とする。
このようにすることで、通信端末からネットワークやノード宛に送信されたパケットは、まずパーソナルIPアドレス付与装置に到達する。そして、パーソナルIPアドレス付与装置において、このパケットに設定されたパーソナルIPアドレスが確かに通信端末に付与したものであることが確認できたとき、このパケットを前記ネットワークやノード等へ転送する。従って、通信端末がパーソナルIPアドレスを詐称して、前記ネットワークやノードにアクセスするのを防止できる。
本発明の請求項8に記載の発明は、請求項7に記載の通信方法において、前記通信端末は、前記サービスを提供するノードまたはネットワークと通信を行うとき、送信先を前記ノードまたはネットワークのアドレスとし、送信元を前記通信端末に付与されたパーソナルIPアドレスとしたデータをカプセル化するステップと、このカプセル化したパケットの外側の送信元を、前記通信端末が前記IPネットワークに接続する際に経由する第2のネットワーク接続装置の配下のアドレスであるテンポラリIPアドレスとしたパケットを作成するステップと、前記作成したパケットを前記パーソナルIPアドレス付与装置へ送信するステップと、を実行し、前記パーソナルIPアドレス付与装置は、前記通信端末の識別情報ごとに、前記通信端末へ付与したパーソナルIPアドレスを示したパーソナルIPアドレステーブルを記憶するステップと、前記通信端末からカプセル化されたパケットを受信するステップと、このパケットをデカプセル化して、このパケットの内側に設定された送信先である前記ノードまたはネットワークのアドレスと、前記送信元であるパーソナルIPアドレスとを読み出すステップと、前記パーソナルIPアドレステーブルを参照して、前記パケットの内側に設定されたパーソナルIPアドレスが、前記通信端末に付与したパーソナルIPアドレスであるか否かを判断するステップと、前記パケットの内側に設定されたパーソナルIPアドレスが、前記通信端末に付与したパーソナルIPアドレスであると判断したとき、このデカプセル化したパケットを、このパケットの送信先であるノードまたはネットワークへ転送するステップと、前記ノードまたはネットワークからパケットを受信したとき、前記パケットの送信先に示されるパーソナルIPアドレスをキーとして、前記パーソナルIPアドレステーブルから、前記パーソナルIPアドレスに対応する通信端末の識別情報を読み出すステップと、前記ノードまたはネットワークから受信したパケットをカプセル化し、前記読み出した通信端末の識別情報を認証情報で暗号化して付与し、このパケットの外側の送信先を、前記通信端末から受信したカプセル化されたパケットの外側に送信元として設定されていた前記通信端末のテンポラリIPアドレスとしたパケットを作成するステップと、前記作成したパケットを前記通信端末へ転送するステップと、を実行することを特徴とする。
この方法によれば、通信端末からネットワークやノード宛に送信されたパケットは、まずパーソナルIPアドレス付与装置に到達する。そして、パーソナルIPアドレス付与装置において、このパケットに設定されたパーソナルIPアドレスが確かに通信端末に付与したものであることが確認できたとき、このパケットを前記ネットワークやノード等へ転送する。従って、通信端末がパーソナルIPアドレスを詐称して、前記ネットワークやノードにアクセスするのを防止できる。また、ネットワークやノードから通信端末への通信(下り通信)においても、パーソナルIPアドレスを送信先としたパケットは通信端末に到達することになる。
本発明の請求項3に記載の発明は、請求項2に記載の通信システムにおいて、前記所定のアドレス帯は、前記IPネットワーク内のアドレス帯であり、前記第2のネットワーク接続装置は、前記通信端末からパケットを受信したとき、このパケットの外側に設定された送信元アドレスが前記第2のネットワーク接続装置の配下のアドレスであるか否かを判断し、前記送信元アドレスが前記第2のネットワーク接続装置の配下のアドレスではないとき、前記パケットを破棄することを特徴とする。
また、本発明の請求項9に記載の発明は、請求項8に記載の通信方法において、前記所定のアドレス帯は、前記IPネットワーク内のアドレス帯であり、前記通信端末が前記IPネットワークに接続する際に経由する第2のネットワーク接続装置が、前記通信端末からパケットを受信するステップと、このパケットの外側に設定された送信元アドレスが前記第2のネットワーク接続装置の配下のアドレスであるか否かを判断するステップと、前記送信元アドレスが前記第2のネットワーク接続装置の配下のアドレスでないとき、前記パケットを破棄するステップと、を実行することを特徴とする。
このようにすることで、第2のネットワーク接続装置(IPネットワークの入口側のルータ等)は、パーソナルIPアドレスをそのまま送信元アドレスとしたようなパケットを受信したとき、このパケットを破棄することになる。従って、通信端末がパーソナルIPアドレスを詐称して、ネットワークやノード等にアクセスするのを防止できる。
なお、パーソナルIPアドレス付与装置が、パーソナルIPアドレスとして選択するアドレス帯はIPネットワーク内のアドレス帯である。これにより、第2のネットワーク接続装置において、パケットの送信元アドレス(パケットの外側に設定された送信元アドレス)が自身の配下のアドレスであるか否かを判断すれば、前記したようにパーソナルIPアドレスをそのまま送信元アドレスとしたパケットを破棄することができる。
本発明の請求項4に記載の発明は、請求項1ないし請求項3のいずれか1項に記載の通信システムにおいて、前記第1のネットワーク接続装置へ送信される契約情報は、前記第1のネットワーク接続装置経由での通信を許可する通信端末のパーソナルIPアドレスを示したアクセスリストを含み、前記第1のネットワーク接続装置は、前記アクセスリストを参照して、前記通信端末との通信の許可を判断することを特徴とする。
このような構成によれば、第1のネットワーク接続装置が接続されるネットワークやノード等において、認証処理を行わなくても、当該通信端末の通信を許可するか否かを判断できる。
本発明の請求項5に記載の発明は、請求項1ないし請求項3のいずれか1項に記載の通信システムにおいて、前記第1のネットワーク接続装置へ送信される契約情報は、前記パーソナルIPアドレスごとに、このパーソナルIPアドレスの通信端末と、前記第1のネットワーク接続装置経由で前記ノードまたはネットワークとの通信を行う場合における経路情報を示したルーチングテーブルを含み、前記第1のネットワーク接続装置は、前記ルーチングテーブルを参照して、前記通信端末との通信を行うときの経路を選択することを特徴とする。
このような構成によれば、第1のネットワーク接続装置は、認証処理を行わなくても、通信端末ごとに異なる経路の選択をすることができる。例えば、第1のネットワーク接続装置は、認証処理を行わなくても、通信端末ごとに異なるサーバへのパケット振り分け等を行うことができる。
本発明の請求項6に記載の発明は、請求項1ないし請求項3のいずれか1項に記載の通信システムにおいて、前記第1のネットワーク接続装置へ送信される契約情報は、前記パーソナルIPアドレスごとに、このパーソナルIPアドレスの通信端末と、前記第1のネットワーク接続装置経由で前記ノードまたはネットワークとの通信を行う場合における通信品質を示したQoS(Quality of Service)テーブルを含み、前記第1のネットワーク接続装置は、前記QoSテーブルを参照して、前記通信端末との通信における通信品質の制御を行うことを特徴とする。
このような構成によれば、第1のネットワーク接続装置は、認証処理を行わなくても、この通信端末が契約している種別のQoSサービスを提供することができる。例えば、第1のネットワーク接続装置は、認証処理を行わなくても、通信端末ごとにパケット転送の優先度を変えたり、通信帯域を変えたりすることができる。
本発明の請求項10に記載の発明は、請求項7ないし請求項9のいずれか1項に記載の通信方法において、前記第1のネットワーク接続装置へ送信される契約情報は、前記第1のネットワーク接続装置経由において、(1)前記サービスを提供するノードまたはネットワークとの通信を許可する通信端末のパーソナルIPアドレスを示したアクセスリスト、(2)前記通信における経路情報を示したルーチングテーブルおよび(3)前記通信における通信品質を示したQoS(Quality of Service)テーブルのうち、少なくともいずれか1つを含み、前記第1のネットワーク接続装置は、前記契約情報に従い前記通信端末との間の通信制御を行うことを特徴とする。
この方法によれば、第1のネットワーク接続装置は、認証処理を行わなくても、当該通信端末の通信を許可するか否かを判断や、経路の選択や、この通信端末が契約している種別のQoSサービスを提供することができる。
本発明によれば、ASP等、ネットワークやノードがユーザの端末装置と通信を行うとき、このネットワークやノードにおける認証処理が不要となる。また、このように認証処理を不要としたことで、アクセス数が多くなっても、このネットワークやノードの認証処理に伴う、処理のボトルネックが発生しない。
以下、本発明を実施するための最良の形態(以下、実施の形態という)を、図面を参照しながら説明する。図1は、本実施の形態の通信システムの構成例を示した図である。
<通信システムの概要>
図1に示すように、通信システムは、パーソナルIPアドレスを通信端末6に付与するパーソナルIPアドレス付与装置1と、このパーソナルIPアドレスを用いてIP網4経由で通信を行う通信端末6と、この通信端末6から送信された契約情報を、xSP5(5A,5B,5C)に設置されるルータ3(3A,3B,3C)やサーバ7(7A,7B,7C)等のノードへ送信する契約情報管理装置2と、通信端末6がパーソナルIPアドレス付与装置1やIP網(IPネットワーク)4に接続するためのルータ3(3D,3E)とを備える。IP網4は、xSP5と通信端末6とがIP(Internet Protocol)通信を行うためのネットワークである。
なお、通信端末6から送信される契約情報は、この通信端末6がxSP5と通信を行う際の条件等を示した情報である。
また、xSP5は、ASPやISP(Internet Services Provider)等の所有するネットワークである。このxSP5(5A,5B,5C)は、例えば、コンテンツサーバ、メールサーバ、VoD(Video On Demand)サーバ等のサーバ7(7A,7B,7C)を備える。xSP5は、このサーバ7により通信端末6へ各種サービスを提供する。
このパーソナルIPアドレス付与装置1は、IP網4の内側に設置される装置である。このパーソナルIPアドレス付与装置1が、通信端末6へ付与するパーソナルIPアドレスは、このIP網4の内側のアドレス帯から選択する。
通信端末6はパーソナルIPアドレス付与装置1からパーソナルIPアドレスが付与されると、図1に示すように、通信端末6がルータ3D経由でアクセスした場合でも、ルータ3E経由でアクセスした場合でも同じパーソナルIPアドレス(「IP#a」)を用いる。このようにすることで、xSP5は、異なるルータ3(ネットワーク)からアクセスした場合でも、同じ通信端末6からのアクセスであることを知ることができる。
つまり、従来、IPアドレスを通信端末6の識別情報として用いると、通信端末6が移動してそれまで接続していたネットワークとは異なるネットワークに接続したとき、IPアドレスが変更になる。そのため、xSP5は、例えば、IDとパスワード等を用いた認証処理を行わないと、通信端末6を識別することができないという問題があった。ところが、本実施の形態によれば、xSP5は、このパーソナルIPアドレスで通信端末6の識別を行うので、従来のような認証処理を行う必要がなくなる。なお、このときの通信端末6の通信手順の詳細は、図6および図7のフローチャートを用いて後記する。
また、この契約情報管理装置2において管理される契約情報は、通信端末6から送信されたものをもとに作成される。例えば、通信端末6がサービス先xSP名「A」および「B」のxSP5のサービス状況を「利用中」とし、xSP名「A」のxSP5AのQoSサービス種別は「優先」であるが、xSP名「B」のQoSサービス種別は「種別なし」であるという契約情報(符号60参照)を、自身のパーソナルIPアドレス「IP#a」とともに契約情報管理装置2へ送信する。これを受信した契約情報管理装置2は、このパーソナルIPアドレス「IP#a」の契約情報を作成する(符号20参照)。
すなわち、契約情報管理装置2は、xSP5Aへの入口であるルータA(ルータ3A)に、(1)パーソナルIPアドレス「IP#a」をAL(アクセスリスト)に登録し、(2)このルータ3AのQoSテーブルに、QoSサービス種別は「優先」である旨を登録し、(3)ルーチングテーブルへの設定は「無」とする情報を作成する。また、ルータB(ルータ3B)にも(1)パーソナルIPアドレス「IP#a」をALに登録し、(2)ルーチングテーブルへの設定は「無」とする情報を作成する。
そして、契約情報管理装置2は、このようにして作成した契約情報を、ルータ3(3A,3B)へ送信する。契約情報管理装置2から契約情報を受信すると、この契約情報に基づき、自身のAL(アクセスリスト)と、QoSテーブルと、ルーチングテーブル(図示せず)との情報を更新する。例えば、図1の符号50に例示するように、ルータ3Aは、自身のALにパーソナルIPアドレス「IP#a」を追加し、QoSテーブルにパーソナルIPアドレス「IP#a」のQoSサービス種別は「優先」とする情報を書き込む。
そして、ルータ3(3A,3B,3C)は、通信端末6からのパケットを受け付けたとき、通信端末6のパーソナルIPアドレスと、この通信端末6の契約情報に基づき、通信端末6に対する通信制御を行う。例えば、パーソナルIPアドレスが「IP#a」である通信端末6が、ルータ3Aへパケットを送信したとき、ルータ3Aはこの通信端末6からのパケットを通過させ、xSP5A内のサーバ7Aへ転送する。また、この通信端末6との通信についてはQoSサービスの「優先」を適用するようにする。
このようにして、契約情報管理装置2は、通信端末6から受け付けた契約情報を各xSP5のルータ3(3A,3B)等へ反映させ、ルータ3(3A,3B)はこの契約情報に基づく通信制御を行う。
なお、図1に示した通信システムの構成要素の数は、図1に示した個数に限定されない。また、ルータ3(3A,3B,3C)は、請求項における第1のネットワーク接続装置に相当し、ルータ3(3D,3E)は、請求項における第2のネットワーク接続装置に相当する。
次に、図1を参照しつつ、図2〜図4を用いて、図1の通信システムの各構成要素の詳細を説明する。図2(a)は、図1の通信端末の構成を示したブロック図であり、(b)は、図1のパーソナルIPアドレス付与装置の構成を示したブロック図である。また、図3(a)および(b)は、図1のルータの構成を示したブロック図であり、図4は、図1の契約情報管理装置の構成を示したブロック図である。
<通信端末>
前記したとおり通信端末6は、契約情報管理装置2へ契約情報を送信したり、xSP5のルータ3(3A,3B,3C)およびサーバ7(3A,3B,3C)との通信を行ったりする。このような通信端末6は、図2(a)に示すように、通信部61と、制御処理部62と、記憶部63と、入出力部64とを備える。
通信部61は、他のノードやIP網4経由でのデータの送受信を行う。この通信部61は、ネットワークインタフェースおよび所定の通信プロトコルにより実現される。制御処理部62は、この通信端末6全体の制御を司り、パーソナルIPアドレス付与装置1との通信においてトンネリング処理を行うトンネリング処理部621と、契約情報管理装置2へ契約情報を送信する契約情報送信処理部622とを備える。
なお、通信端末6は、xSP5へパケットを送信するとき、トンネリング処理部621により送信元アドレスをパーソナルIPアドレス631としたパケットのカプセル化処理を行い、このカプセル化したパケットをパーソナルIPアドレス付与装置1経由でxSP5へ送信する。また、パーソナルIPアドレス付与装置1からカプセル化されたパケットを受信したとき、このカプセル化したパケットのデカプセル化を行い中身のデータを取り出す。このときの処理の詳細は、図6および図7を用いて後記する。
また、以下の説明において、トンネリングは、例えばIPsecやMobileIP等、公知の技術を用いてよい。さらに、制御処理部62は、Webブラウザ等を備え、この通信端末6の契約情報の入力受付や契約情報管理装置2への契約情報の送信は、Webブラウザにより行うようにしてもよい。
なお、この制御処理部62の機能は、CPU(Central Processing Unit)等がRAM(Random Access Memory)上に、記憶部63に記憶された所定のプログラムを実行することで実現される。
また、記憶部63は、通信端末6の機能を実現するプログラムのほかに、自身の通信端末6に設定されたパーソナルIPアドレス631と、パーソナルIPアドレス付与装置1との認証処理に用いる認証情報632とを記憶する。この記憶部63は、RAM、フラッシュメモリ、HDD(Hard Disk Drive)等の記憶装置により実現される。入出力部64は、この通信端末6に接続されるキーボードやマウス等の入力装置(図示せず)、あるいは液晶モニタ等の出力装置(図示せず)とのインタフェースである。例えば、入出力部64が契約情報の入力を受け付けると、この契約情報を契約情報送信処理部622に受け渡し、契約情報送信処理部622は通信部61経由で、この情報を契約情報管理装置2へ送信する。また、入出力部64は制御処理部62による処理結果を受け取ると、この処理結果を出力装置へ出力する。
<パーソナルIPアドレス付与装置>
パーソナルIPアドレス付与装置1は、IP網4内に設置され、通信端末6へパーソナルIPアドレスを付与する。また、パーソナルIPアドレス付与装置1は、通信端末6がxSP5へパケットを送信するとき、このパケットを中継し、xSP5へ転送する。
このようなパーソナルIPアドレス付与装置1は、図2(b)に示すように、通信部11と、制御処理部12と、記憶部13とを備える。このパーソナルIPアドレス付与装置1は、前記した通信端末6と同様、入力装置や出力装置等、外部装置との接続インタフェースである入出力部を備えるようにしてもよい。
通信部11は、前記した通信端末6の通信部61と同様、他のノードやIP網4経由でのパケットの送受信を行う。
制御処理部12は、パーソナルIPアドレス付与装置1全体の制御を司り、通信端末6との通信においてトンネリング処理を行うトンネリング処理部121と、通信端末6へパーソナルIPアドレスを付与(送信)するパーソナルIPアドレス付与部122と、通信端末6との間で認証処理を行う認証処理部123とを備える。
このトンネリング処理部121は、認証処理部123による通信端末6との認証処理を行い、認証が成功したとき、この通信端末6との間でトンネリング処理を行う。そして、この認証済みの通信端末6からパケットを受信すると、このパケットのデカプセル化を行い、パケットの内部に含まれる(内側に設定された)この通信端末6のパーソナルIPアドレスを読み出す。そして、パーソナルIPアドレステーブル131(後記)を参照して、このパーソナルIPアドレスが確かにこの通信端末6に付与したものであることを確認する。ここで、パーソナルIPアドレスが通信端末6に付与したものである場合、このデカプセル化したパケットを、このパケットの送信先であるxSP5へ転送する。一方、このパーソナルIPアドレスが、通信端末6に付与したものでない場合には、このパケットを破棄する。
パーソナルIPアドレス付与部122は、このパーソナルIPアドレス付与装置1に割当てられたアドレス帯(所定のアドレス帯)から、通信端末6に付与するパーソナルIPアドレスを選択する。そして、この選択したパーソナルIPアドレスを通信端末6へ付与(送信)する。そして、この通信端末6へ送信したパーソナルIPアドレスを、パーソナルIPアドレステーブル131に記録しておく。なお、パーソナルIPアドレスは、通信端末6ごとにユニークなものであれば、パーソナルIPアドレス付与装置1に割当てられたアドレス帯から任意のものを選択してよい。また、このパーソナルIPアドレス付与装置1に割当てられたアドレス帯は、IP網4の内側のアドレス帯である。つまり、ルータ3によりIP網4に接続されるいずれのネットワークにも属さないようなアドレス帯である。
認証処理部123は、通信端末6との間で認証処理を行い、この認証が成功すると、この認証の際に作成した認証情報(例えば、IPsecの共有鍵や証明書等のキー情報)と、この通信端末6の識別情報とを通信端末6へ送信する。また、この識別情報と、認証情報とをパーソナルIPアドレステーブル131に記録する。
なお、トンネリング処理部121が、通信端末6から受信するパケットは、前記した認証情報により暗号化された識別情報が付与されている。認証処理部123は、IPアドレステーブル131に記録された認証情報により、このパケットに付与された識別情報を復号する。そして、パケット内から読み出したパーソナルIPアドレスが、パーソナルIPアドレステーブル131(表1参照)においてこの識別情報に対応するパーソナルIPアドレスであるか否かを判断する。ここで、このパーソナルIPアドレスが当該識別情報に対応するパーソナルIPアドレスであるときは、このパケットをxSP5へ転送する。一方、このパーソナルIPアドレスが当該識別情報に対応するパーソナルIPアドレスでないときは、このパケットを破棄する。このようにすることで、通信端末6がパーソナルIPアドレスを詐称して通信を行うのを防止できる。
記憶部13は、前記したパーソナルIPアドレステーブル131を記憶する。このパーソナルIPアドレステーブル131は、以下の表1に例示するように通信端末6の識別情報と、通信端末6の認証情報と、この通信端末6に付与したパーソナルIPアドレスとを対応付けた情報である。例えば、識別情報「AA」の通信端末6の認証情報は「BB」であり、この通信端末6のパーソナルIPアドレスは「XXX」であることを示す。
Figure 0004608466
このようなパーソナルIPアドレステーブル131は、前記した認証処理部123が認証処理を行う際や、トンネリング処理部121において、当該パーソナルIPアドレスが確かに通信端末6に付与されたものであるか否かを判断する際に参照される。
なお、この通信端末6とパーソナルIPアドレス付与装置1との間で確立されるトンネルはソフトイーサ等のレイヤ2技術によるトンネルであってもよい。
<ルータ>
ルータ3は、xSP5とIP網4との間、および通信端末6が属するネットワークとIP網4との間に設置され、それぞれのネットワーク間で送受信されるパケットの転送制御を行う。まず、図3(a)を用いてxSP5とIP網4との間に設置されるルータ3(3A,3B,3C)について説明する。
xSP5とIP網4との間に設置されるルータ3(3A,3B,3C)は、通信端末6のパーソナルIPアドレスをもとに、この通信端末6からのパケットの転送制御を行う。図3(a)に示すように、ルータ3(3A,3B,3C)は、通信部31と、制御処理部32と、記憶部33とを備える。
通信部31は、前記した通信端末6の通信部61と同様、他のノードやIP網4経由でのデータの送受信を行う。
制御処理部32は、ルータ3(3A,3B,3C)全体の制御を司り、IP網4経由で送信されたパケットあるいはxSP5から送信されたパケットの転送処理を行う転送処理部321を備える。つまり、転送処理部321は、通信端末6からxSP5への上り通信およびxSP5から通信端末6への下り通信について通信制御を行う。このときの通信制御は、記憶部33に記憶されるアクセスリスト331、QoSテーブル332、ルーチングテーブル333等を参照して行われる。なお、請求項において、記憶部33に記憶されるアクセスリスト331、QoSテーブル332、ルーチングテーブル333等をまとめて、契約情報としている。
アクセスリスト331は、前記した図1に例示したように、このルータ3が通信を許可する通信端末6のパーソナルIPアドレスを示したリストである。パケットの送信元のパーソナルIPアドレスがこのアクセスリスト331に登録されていれば、制御処理部32はこのパケットをxSP5内へ転送する。一方、このパーソナルIPアドレスがアクセスリスト331に登録されていなければ、制御処理部32はこのパケットを破棄する等して、このパケットをxSP5内へ転送しない。
このように転送処理部321は、通信端末6のパーソナルIPアドレスと、アクセスリスト331により、その通信端末6の通信を許可するか否かを判断するので、xSP5は通信端末6との間で、通信の許可を判断するとき、認証処理を行う必要がなくなる。
QoSテーブル332は、パーソナルIPアドレスごとに、このパーソナルIPアドレスの通信端末6に提供するQoSサービスの種別(通信品質)を示したテーブルである。
このようなQoSテーブル332に基づき、転送処理部321は、通信端末6との通信に関する通信品質の制御を行う。例えば、このQoSテーブル332において、この当該パーソナルIPアドレスの通信端末6が「優先」となっていたとき、転送処理部321はこの通信端末6はxSP5へ優先的にアクセスできるようにする。あるいは、転送処理部321は、当該通信端末6がアクセスするときの通信帯域を他の通信端末6よりも大きく確保したり、xSP5から通信端末6への下り通信の際(例えば、通信端末6へのコンテンツ配信の際)、当該通信端末6が他の通信端末6よりも優先的にパケットを受信できるようにしたりしてもよい。例えば、転送処理部321は、IP網4において、優先的に転送されるようなフラグをパケットに付して通信端末6へ送信するようにしてもよい。
ルーチングテーブル333は、パーソナルIPアドレスごとに、そのパーソナルIPアドレスの通信端末6からIP網4経由で送信されたパケットの経路情報を示したテーブルである。例えば、このルーチングテーブル333において、パーソナルIPアドレスごとに経路情報を設定しておけば、その通信端末6からのパケットが同じ送信先を指定したものであっても、その通信端末6のパーソナルIPアドレスごとに、異なるサーバ7へパケットを到達させることができる。
次に、図3(b)を用いて通信端末6とIP網4との間に設置されるルータ3(3D,3E)について説明する。ルータ3(3D,3E)の機能は、ルータ3(3A,3B,3C)とほぼ同様であるが、パーソナルIPアドレス付与装置1宛のパケットの送信元のアドレスが、自身のルータ3の配下のアドレスでないとき、このパケットをパーソナルIPアドレス付与装置1へ転送しないことを特徴とする。
図3(b)に示すように、ルータ3(3D,3E)は、ルータ3(3A,3B,3C)と同様に、通信部31と、制御処理部32と、記憶部33とを備える。
通信部31は、前記した通信端末6の通信部61と同様、他のノードやIP網4経由でのデータの送受信を行う。制御処理部32は、ルータ3(3D,3E)全体の制御を司り、IP網4経由で送信されたパケットあるいはxSP5から送信されたパケットの転送処理を行う転送処理部321Dを備える。このときの転送処理は、記憶部33に記憶されるアクセスリスト331D、ルーチングテーブル333D等を参照して行われる。
アクセスリスト331Dは、このルータ3(3D,3E)が、通信を許可するアドレス帯(このルータ3の配下のアドレス)を示したリストである。本実施の形態において、通信を許可するアドレス帯は、このルータ3(3D,3E)の属するネットワークのアドレス帯とする。前記した転送処理部321Dは、通信部61経由で、通信端末6からパケットを受信したとき、このパケットの送信元アドレスを見る。そして、アクセスリスト331を参照し、この送信元アドレスが自身のルータ3の配下のアドレスではないパケットを破棄する。一方、この送信元アドレスが自身のルータ3の配下のアドレスであれば、パケットは破棄せず、このパケットをパーソナルIPアドレス付与装置1へ転送する。
つまり、パーソナルIPアドレス付与装置1との間で認証処理が成功した通信端末6から送信されるパケットは、前記したとおりカプセル化される。そして、このカプセル化されたパケットは、送信元アドレスとして、このルータ3(3D,3E)の属するネットワークのアドレスが設定されたものである。ところが、送信元アドレスを単にパーソナルIPアドレスとしたパケット(つまり、送信元アドレスをIP網4の内側のネットワークにおけるIPアドレスとしたパケット)は、ルータ3(3D,3E)において自身が属するネットワーク以外のアドレスではないと判断されるので破棄される。このようにすることで、通信システムは、通信端末6がパーソナルIPアドレスを詐称してxSP5へアクセスするのを防止できる。
なお、ルータ3(3A,3B,3C,3D,3E)は、IPv4用のルータでもよいし、IPv6用のルータでもよい。ここで、ルータ3(3D,3E)が、IPv6用のルータである場合、通信端末6がカプセル化したパケットの送信元アドレスとして設定するアドレスは、ルータ3(3D,3E)が払い出したアドレスに基づく。また、通信端末6とパーソナルIPアドレス付与装置1との間でレイヤ2による通信を行う場合、ルータ3(3D,3E)にはレイヤ2スイッチを用いる。
<契約情報管理装置>
次に、図4を用いて、契約情報管理装置2を説明する。
図4に示すように、契約情報管理装置2は、通信部21と、制御処理部22と、記憶部23とを備える。
通信部21は、前記した通信端末6の通信部61と同様、他のノードやIP網4経由でのデータの送受信を行う。制御処理部22は、契約情報管理装置2全体の制御を司り、通信端末6から契約情報を受信し、この通信端末6のパーソナルIPアドレスごとの契約情報を契約情報231として記憶部23に記憶させる契約情報受信処理部223と、契約情報231から、各ルータ3(3A,3B,3C)へ送信する契約情報を取り出し、このルータ3(3A,3B,3C)用の契約情報を作成する契約情報作成部221と、ルータ3(3A,3B,3C)へ、この作成した契約情報を送信する契約情報送信処理部222とを備える。記憶部23は、各通信端末6から送信された契約情報231(図1の符号20)を記憶する。この契約情報管理装置2の動作の詳細は、図5のフローチャートを用いて後記する。
なお、前記したパーソナルIPアドレス付与装置1、ルータ3、契約情報管理装置2において、通信部11,31,21は、ネットワークインタフェースおよび所定の通信プロトコルにより実現される。また、制御処理部12,32,22は、CPU等がRAM上に記憶部に記憶された所定のプログラムを実行することで実現してもよいし、専用の回路により実現してもよい。記憶部13,33,23は、RAM、フラッシュメモリ、HDD等の記憶装置により実現される。なお、契約情報管理装置2の機能は、パーソナルIPアドレス付与装置1に組み込んでもよいし、ルータ3(3A,3B,3C,3D,3E)に組み込んでもよい。
<契約情報の設定手順>
次に、図1〜図4を参照しつつ、図5を用いて、本通信システムにおいて、通信端末6から送信された契約情報が、各xSP5のルータへ設定されるまでの手順を説明する。図5は、図1の通信端末から送信された契約情報が、各xSPのルータへ設定されるまでの手順を示したフローチャートである。なお、図5において、図1のルータ3(3C,3D,3E)、xSP5(5A,5B,5C)およびサーバ7(7A,7B,7C)の記載は省略している。
まず、通信端末6は、通信システムを提供する通信事業者との契約情報を契約情報管理装置2へ送信する(S0)。
次に、契約情報管理装置2は、通信端末6の認証情報をパーソナルIPアドレス付与装置1および通信端末6へ送信する(S1)。この認証情報は、例えば、IPsecにおける共有鍵や証明書等である。パーソナルIPアドレス付与装置1は、契約情報管理装置2から受信した通信端末6の認証情報を、パーソナルIPアドレステーブル131(表1参照)に記録する。また、通信端末6もこの認証情報を記憶部63に記憶しておく。
次に、通信端末6は、パーソナルIPアドレスの付与を受けるため、S1で送信された認証情報をパーソナルIPアドレス付与装置1へ送信する(S2)。
そして、パーソナルIPアドレス付与装置1の認証処理部123は、通信端末6から送信された認証情報と、パーソナルIPアドレステーブル131に記録された認証情報とに基づき、通信端末6に対する認証処理を行う。ここで、認証OKだった場合(S3のYes)、パーソナルIPアドレス付与部122は、このパーソナルIPアドレス付与装置1に割当てられたアドレス帯からパーソナルIPアドレスを選択し、このパーソナルIPアドレスを通信端末6へ付与(送信)する(S5)。そして、この後、パーソナルIPアドレス付与部122は、この通信端末6へ付与したパーソナルIPアドレスを、パーソナルIPアドレステーブル131に記録しておく。一方、S3において認証NGだった場合(S3のNo)、認証処理部123は通信端末6へ認証NGを通知し(S4)、処理を終了する。
S5において、パーソナルIPアドレス付与装置1からパーソナルIPアドレスを送信された通信端末6は、このパーソナルIPアドレスを記憶部63に記憶し、自身のパーソナルIPアドレスとして設定する(S6)。
次に、通信端末6は、xSP5との契約情報の入力を受け付けると、この契約情報を契約情報送信処理部622により契約情報管理装置2へ送信する(S7)。
契約情報管理装置2は、契約情報受信処理部223により契約情報を受信すると、この契約情報を記憶部23に記憶する(S8)。そして、契約情報作成部221は、記憶部23に記憶された契約情報をもとに、各xSP5へ送信する契約情報を作成する。例えば、通信端末6から送信された契約情報から、xSP5Aへ送信する契約情報を作成する。
次に、契約情報送信処理部222は、この契約情報をxSP5のルータ3へ送信する(S9)。例えば、S8で通信端末6から送信された契約情報が、xSP5AおよびxSP5Bに関する契約情報であったとき、xSP5Aのルータ3Aと、xSP5Bのルータ3Bへ契約情報を送信する。そして、このような契約情報を受信したルータ3は、契約情報を記憶部33に記憶する。なお、ここで既にルータ3が過去に受信した契約情報を持っている場合には、その契約情報の追加、変更、削除等の更新がされることになる。一方、ルータ3がまだ契約情報を持っていない場合には、新規に登録されることになる。
このようにして、通信端末6から送信された契約情報が、この通信端末6に対しサービスを提供するxSP5のルータ3へ送信され、ルータ3に契約情報が設定される。なお、契約情報送信処理部222は、この契約情報を、ルータ3A,3Bのみならず、サーバ7A,7Bへ送信するようにしてもよい。
<通信手順>
続いて、図1〜図5を参照しつつ、図6および図7を用いて、本通信システムにおいて通信端末6がxSP5と通信を行うときの手順を説明する。図6および図7は、図1の通信端末がxSPと通信を行うときの手順を示したフローチャートである。なお、図6および図7において、図1のルータ3(3B,3C,3E)、xSP5(5A,5B,5C)、サーバ7(7A,7B,7C)の記載は省略している。
まず、通信端末6のトンネリング処理部621は、トンネリングによりxSP5のサーバ7宛のパケットを送信する(S601)。つまり、通信端末6のトンネリング処理部121はパーソナルIPアドレス付与装置1との間でトンネルを設定する。そして、トンネル経由でxSP5のサーバ7宛へパケットを送信する。
ここで、トンネリング処理部21が作成するパケットは、図6に例示するようにカプセル化したパケットである。このカプセル化したパケットの内側には、送信先としてサーバ(サーバ7のIPアドレス)、送信元として通信端末6のパーソナルIPアドレスを設定する。また、このカプセル化したパケットの外側には、送信先としてパーソナルIPアドレス付与装置1、送信元としてテンポラリIPアドレスを設定する。なお、このテンポラリIPアドレスは、例えば、この通信端末6がパケットを送信する際の入口となるルータ3(3D)配下のアドレスである。また、トンネリング処理部121は、このパケットに、契約情報管理装置2から送信された認証情報により暗号化した自身の通信端末6の識別情報を付与する。このようにしてカプセル化されたパケットが送信されると、このパケットは、まずこの通信端末6が接続するルータ3(3D)に到達する。
このパケットを受信したルータ3(3D)は、転送処理部321Dにより、このパケットの送信元アドレスが自ルータ(自身のルータ3D)配下のアドレスであるか否かを判断する(S602)。ここで、パケットの外側に設定された送信元アドレスが、自ルータ配下のアドレスではなかった場合(S602のNo)、例えば、パーソナルIPアドレス等であった場合、このパケットを破棄し(S604)、処理を終了する。一方、このパケットの外側に設定された送信元アドレスが自ルータ配下のアドレスであった場合(S602のYes)、転送処理部321Dは、このパケットをパーソナルIPアドレス付与装置1へ転送する(S603)。
パーソナルIPアドレス付与装置1は、パケットを受信すると、トンネリング処理部121により、このパケットをデカプセル化する(S605)。そして、このパケットの内側に設定されたパーソナルIPアドレスを読み出す。
図7の説明に移る。トンネリング処理部121は、このようにして読み出したパーソナルIPアドレスが、当該通信端末6のパーソナルIPアドレスであるか否かを判断する(S701)。すなわち、まず、トンネリング処理部121は、認証情報によりこのパケットに付与された識別情報を解読し、通信端末6の識別情報を読み出す。そして、パケット内から読み出したパーソナルIPアドレスが、パーソナルIPアドレステーブル131においてこの識別情報に対応するパーソナルIPアドレスであるか否かを判断する。ここで、読み出したパーソナルIPアドレスが当該識別情報に対応するパーソナルIPアドレスであるときは(S701のYes)、このデカプセル化されたパケットをルータ3(3A)へ転送する(S702)。一方、読み出したパーソナルIPアドレスが当該識別情報に対応するパーソナルIPアドレスでないときは(S701のNo)、このパケットを破棄する(S703)。ルータ3(3A)は、S702において転送されたパケットを受信すると、このパケットに設定されたパーソナルIPアドレスを読み出し、このパーソナルIPアドレスに応じた通信制御を行う(S704)。
なお、前記した図1に例示したように、パーソナルIPアドレス「IP#a」の通信端末6がルータ3Dのネットワークから移動して、ルータ3Eのネットワークに接続した場合でも、この通信端末6から送信されるカプセル化パケットの内側に設定されるパーソナルIPアドレスは「IP#a」のままである。つまり、通信端末6が移動して別のルータ3からアクセスした場合でも、この通信端末6のパーソナルIPアドレスは同じなので、xSP5側(つまり、ルータ3(3A,3B,3C)側)は、同じ通信端末6からのアクセスであることを認識できる。
また、ここでは通信端末6からxSP5へパケットを送信する場合について説明したが、xSP5側から通信端末6へパケットを送信する場合も同様である。すなわち、xSP5から通信端末6宛に送信するパケットは、ルータ3(3A,3B,3C)から、パーソナルIPアドレス付与装置1へ転送され、このパーソナルIPアドレス付与装置1においてカプセル化され、ルータ3(3D,3E)経由で通信端末6へ転送される。つまり、パーソナルIPアドレス付与装置1において、xSP5からパケットを受信すると、まず、この受信したパケットの送信先に示されるパーソナルIPアドレスをキーとして、パーソナルIPアドレステーブル131(表1参照)から、このパーソナルIPアドレスに対応する通信端末6の識別情報を読み出す。次に、パーソナルIPアドレス付与装置1のトンネリング処理部131は、受信したパケットのカプセル化を行うが、このとき、読み出した通信端末6の識別情報を認証情報で暗号化して付与し、通信端末6から受信したカプセル化されたパケットの外側に送信元として設定されていた通信端末6のテンポラリIPアドレスをこのカプセル化したパケットの送信先として設定し、転送する。これにより、パーソナルIPアドレス付与装置1から送信されたパケットは通信端末6へ到達する。
なお、ルータ3(3A,3B,3C)が、xSP5からのパケットをパーソナルIPアドレス付与装置1へ転送する際、つまり、xSP5から通信端末6への下り通信において、ルータ3(3A,3B,3C)のQoSテーブル332に、当該通信端末6宛への通信に関する通信品質の情報が示されていれば、ルータ3(3A,3B,3C)は、このQoSテーブル332に示される通信品質の情報に従いパケットを転送する。このようにルータ3(3A,3B,3C)は、下り通信においても、契約情報に基づく通信制御を行う。
ここで、図1〜図7を参照しつつ、図8を用いて、図7のS704において行われるパーソナルIPアドレスに応じた通信制御について説明する。図8は、図7のS704において行われるパーソナルIPアドレスに応じた通信制御の手順を示したフローチャートである。
まず、ルータ3(3A)は、パーソナルIPアドレス付与装置1からパケットを受信すると(S801)、転送処理部321によりこのパケットの送信元アドレス(パーソナルIPアドレス)を読み出す。そして、転送処理部321は、アクセスリスト331に当該パーソナルIPアドレスの登録があるか否かを判断する(S802)。
ここで、アクセスリスト331に当該パーソナルIPアドレスの登録がないとき(S802のNo)、このパケットを破棄し(S803)、S807へ進む。一方、アクセスリスト331に当該パーソナルIPアドレスの登録があるとき(S802のYes)、このルータ3(3A)にQoSテーブル332があるか否かを確認する(S804)。
ここで、QoSテーブル332があるときには(S804のYes)、転送処理部321は、このQoSテーブル332を参照して、当該パーソナルIPアドレスのQoSサービス種別が「優先」であるか否かを判断する(S805)。ここで当該パーソナルIPアドレスのQoSサービス種別が「優先」であるとき(S805のYes)、当該パケットの優先制御を行う(S806)。また、転送処理部321は、ルーチングテーブル333に基づくルーチングを行う(S807)。
そして、ルータ3は、パケットの受信が終了すると(S808のYes)、処理を終了し、まだパケットの受信が終了していなければ(S808のNo)、S801へ戻る。なお、S804でQoSテーブル332がなかったとき(S804のNo)、および、S805において当該パーソナルIPアドレスのQoSサービス種別が「優先」ではなかったとき(S805のNo)は、S807へ進み、転送処理部321は、ルーチングテーブル333に基づくルーチングを行う。
このような通信システムによれば、xSP5において通信端末6の認証を行う認証手段が不要となり、Cookie等の認証情報の管理も不要となる。また、このように認証手段を不要とすることで、xSP5へ多数の通信端末6からのアクセスがあった場合、処理のボトルネックが発生しにくくなり、xSP5は通信端末6に対し安定したサービスを提供できる。さらに、xSP5は、通信端末6ごとに、アクセスを許可の判断をしたり、アクセスするサーバ7の振り分けをしたり、通信の際の優先度を判断したりするとき、通信端末6との間でアプリケーションレベルでの認証処理を行う必要がなくなる。また、通信端末6は複数のxSP5の認証情報を管理する必要がなくなる。
なお、前記した実施の形態において、契約情報は主に、xSP5に接続するルータ3に設定される場合について説明したが、これに限定されない。例えば、通信端末6が他の通信端末6と通信を行う場合、契約情報は、この通信相手の通信端末6に設定する。これにより、通信端末6同士が通信を行う場合、それぞれの通信端末6のパーソナルIPアドレスにより簡易な識別をして通信を行うことができる。
また、前記した実施の形態において、パーソナルIPアドレスはパーソナルIPアドレス付与装置1との認証処理後に通信端末6へ付与されるものとしたが、認証処理前に付与されてもよい。さらに、前記した実施の形態において、通信端末6は、認証情報631やパーソナルIPアドレス632を記憶部63に記憶するものとしたが、この記憶部63として、通信端末6に接続されるUSB(Universal Serial Bus)メモリや、CD−ROM、ICカード、SIM(Subscriber Identity Module)等の記憶媒体を用いてもよい。また、この認証情報631やパーソナルIPアドレス632は、通信端末6のユーザが、本通信システムを提供する通信事業者と契約した後、この通信事業者が記憶媒体に記憶して、オフラインで通信端末6へ送るようにしてもよい。そして、通信端末6が、xSP5との通信を行う際には、通信端末6のユーザがこの認証情報631やパーソナルIPアドレス632を記憶した記憶媒体を通信端末6に接続して利用させるようにしてもよい。
本実施の形態に係るパーソナルIPアドレス付与装置1および契約情報管理装置2は、前記したような処理を実行させるプログラムによって実現することができ、そのプログラムをコンピュータによる読み取り可能な記憶媒体(CD−ROM等)に記憶して提供することが可能である。また、そのプログラムを、IP網4等のネットワークを通して提供することも可能である。
本実施の形態の通信システムの構成例を示した図である。 (a)は、図1の通信端末の構成を示したブロック図であり、(b)は、図1のパーソナルIPアドレス付与装置の構成を示したブロック図である。 図1のルータの構成を示したブロック図である。 図1の契約情報管理装置の構成を示したブロック図である。 図1の通信端末から送信された契約情報が、各xSPのルータへ設定されるまでの手順を示したフローチャートである。 図1の通信端末がxSPと通信を行うときの手順を示したフローチャートである。 図1の通信端末がxSPと通信を行うときの手順を示したフローチャートである。 図7のS704において行われるパーソナルIPアドレスに応じた通信制御の手順を示したフローチャートである。
符号の説明
1 パーソナルIPアドレス付与装置
2 契約情報管理装置
3(3A,3B,3C) ルータ(第1のネットワーク接続装置)
3(3D,3E) ルータ(第2のネットワーク接続装置)
4 IP網(IPネットワーク)
5(5A,5B,5C) xSP
6 通信端末
7(7A,7B,7C) サーバ
11,21,31,61 通信部
12,22,32,62 制御処理部
13,23,33,63 記憶部
64 入出力部
121,621 トンネリング処理部
122 パーソナルIPアドレス付与部
123 認証処理部
131 パーソナルIPアドレステーブル
221 契約情報作成部
222,622 契約情報送信処理部
223 契約情報受信処理部
231 契約情報
321,321D 転送処理部
331,331D アクセスリスト
332 QoSテーブル
333,333D ルーチングテーブル
631 パーソナルIPアドレス
632 認証情報

Claims (10)

  1. IPネットワーク内に設置され、認証処理を行った通信端末に、所定のアドレス帯から選択したパーソナルIPアドレスを付与するパーソナルIPアドレス付与装置と、
    前記付与されたパーソナルIPアドレスを用いて前記IPネットワーク経由で通信を行う前記通信端末と、
    前記パーソナルIPアドレスごとに、このパーソナルIPアドレスが付与された通信端末との通信に関する契約情報を受信し、この受信した契約情報を、前記契約情報に示されるサービスを提供するノードまたはネットワークに接続する第1のネットワーク接続装置へ送信する契約情報管理装置と、
    前記契約情報管理装置から送信された契約情報を記憶部に記憶しておき、前記通信端末のアクセスを受け付けたとき、この通信端末のパーソナルIPアドレスを判別し、この判別したパーソナルIPアドレスをもとに前記記憶部から前記通信端末に関する契約情報を読み出し、この読み出した契約情報に従い前記通信端末との間の通信制御を行う前記第1のネットワーク接続装置と、
    を備えることを特徴とする通信システム。
  2. 前記通信端末は、
    前記サービスの提供を行うノードまたはネットワークと通信を行うとき、送信先を前記ノードまたはネットワークのアドレスとし、送信元を前記通信端末に付与されたパーソナルIPアドレスとしたデータをカプセル化し、このカプセル化したパケットの外側の送信元を、前記通信端末が前記IPネットワークに接続する際に経由する第2のネットワーク接続装置の配下のアドレスとしたパケットを作成するトンネリング処理部と、前記作成したパケットを前記パーソナルIPアドレス付与装置へ送信する通信部とを備え、
    前記パーソナルIPアドレス付与装置は、
    前記通信端末へ付与したパーソナルIPアドレスを示したパーソナルIPアドレステーブルを記憶する記憶部と、前記通信端末からカプセル化されたパケットを受信したとき、このパケットをデカプセル化して、このパケットの内側に設定された送信先である前記ノードまたはネットワークのアドレスと、前記送信元であるパーソナルIPアドレスとを読み出すトンネリング処理部と、前記パーソナルIPアドレステーブルを参照して、前記パケットの内側に設定されたパーソナルIPアドレスが、前記通信端末に付与したパーソナルIPアドレスであるか否かを判断する認証処理部と、前記パケットの内側に設定されたパーソナルIPアドレスが、前記通信端末に付与したパーソナルIPアドレスであると判断されたとき、このデカプセル化したパケットを、このパケットの送信先であるノードまたはネットワークへ転送する通信部とを備えること特徴とする請求項1に記載の通信システム。
  3. 前記所定のアドレス帯は、前記IPネットワーク内のアドレス帯であり、
    前記第2のネットワーク接続装置は、前記通信端末からパケットを受信したとき、このパケットの外側に設定された送信元アドレスが前記第2のネットワーク接続装置の配下のアドレスであるか否かを判断し、前記送信元アドレスが前記第2のネットワーク接続装置の配下のアドレスではないとき、前記パケットを破棄することを特徴とする請求項2に記載の通信システム。
  4. 前記第1のネットワーク接続装置へ送信される契約情報は、前記第1のネットワーク接続装置経由での通信を許可する通信端末のパーソナルIPアドレスを示したアクセスリストを含み、
    前記第1のネットワーク接続装置は、前記アクセスリストを参照して、前記通信端末との通信の許可を判断することを特徴とする請求項1ないし請求項3のいずれか1項に記載の通信システム。
  5. 前記第1のネットワーク接続装置へ送信される契約情報は、前記パーソナルIPアドレスごとに、このパーソナルIPアドレスの通信端末と、前記第1のネットワーク接続装置経由で前記ノードまたはネットワークとの通信を行う場合における経路情報を示したルーチングテーブルを含み、
    前記第1のネットワーク接続装置は、前記ルーチングテーブルを参照して、前記通信端末との通信を行うときの経路を選択することを特徴とする請求項1ないし請求項3のいずれか1項に記載の通信システム。
  6. 前記第1のネットワーク接続装置へ送信される契約情報は、前記パーソナルIPアドレスごとに、このパーソナルIPアドレスの通信端末と、前記第1のネットワーク接続装置経由で前記ノードまたはネットワークとの通信を行う場合における通信品質を示したQoS(Quality of Service)テーブルを含み、
    前記第1のネットワーク接続装置は、前記QoSテーブルを参照して、前記通信端末との通信における通信品質の制御を行うことを特徴とする請求項1ないし請求項3のいずれか1項に記載の通信システム。
  7. IPネットワーク内に設置され、通信端末へパーソナルIPアドレスを付与するパーソナルIPアドレス付与装置が、
    前記通信端末からのアクセスを受け付け、この通信端末との認証処理を行うステップと、
    前記認証処理を行った通信端末に、所定のアドレス帯から選択したパーソナルIPアドレスを付与するステップと、
    を実行し、
    前記パーソナルIPアドレスを付与された通信端末が、
    前記各通信端末の契約情報を管理する契約情報管理装置へ、前記通信端末のパーソナルIPアドレスと、前記通信端末との通信に関する契約情報とを送信するステップを実行し、
    前記契約情報管理装置が、
    前記通信端末から送信された契約情報をもとに、前記パーソナルIPアドレスごとに、このパーソナルIPアドレスが付与された通信端末との通信に関する契約情報を作成し、この契約情報を前記契約情報に示されるサービスを提供するノードまたはネットワークに接続する第1のネットワーク接続装置へ送信するステップと、
    を実行し、
    前記第1のネットワーク接続装置が、
    前記契約情報管理装置から送信された契約情報を記憶部に記憶するステップと、
    前記通信端末のアクセスを受け付けるステップと、
    前記アクセスしてきた通信端末のパーソナルIPアドレスを判別し、この判別したパーソナルIPアドレスをもとに前記記憶部に記憶された契約情報から前記通信端末に関する契約情報を読み出すステップと、
    この読み出した契約情報に従い前記通信端末との間の通信制御を行うステップと、
    を実行することを特徴とする通信方法。
  8. 前記通信端末は、
    前記サービスを提供するノードまたはネットワークと通信を行うとき、送信先を前記ノードまたはネットワークのアドレスとし、送信元を前記通信端末に付与されたパーソナルIPアドレスとしたデータをカプセル化するステップと、
    このカプセル化したパケットの外側の送信元を、前記通信端末が前記IPネットワークに接続する際に経由する第2のネットワーク接続装置の配下のアドレスであるテンポラリIPアドレスとしたパケットを作成するステップと、
    前記作成したパケットを前記パーソナルIPアドレス付与装置へ送信するステップと、
    を実行し、
    前記パーソナルIPアドレス付与装置は、
    前記通信端末の識別情報ごとに、前記通信端末へ付与したパーソナルIPアドレスを示したパーソナルIPアドレステーブルを記憶するステップと、
    前記通信端末からカプセル化されたパケットを受信するステップと、
    このパケットをデカプセル化して、このパケットの内側に設定された送信先である前記ノードまたはネットワークのアドレスと、前記送信元であるパーソナルIPアドレスとを読み出すステップと、
    前記パーソナルIPアドレステーブルを参照して、前記パケットの内側に設定されたパーソナルIPアドレスが、前記通信端末に付与したパーソナルIPアドレスであるか否かを判断するステップと、
    前記パケットの内側に設定されたパーソナルIPアドレスが、前記通信端末に付与したパーソナルIPアドレスであると判断したとき、このデカプセル化したパケットを、このパケットの送信先であるノードまたはネットワークへ転送するステップと、
    前記ノードまたはネットワークからパケットを受信したとき、前記パケットの送信先に示されるパーソナルIPアドレスをキーとして、前記パーソナルIPアドレステーブルから、前記パーソナルIPアドレスに対応する通信端末の識別情報を読み出すステップと、
    前記ノードまたはネットワークから受信したパケットをカプセル化し、前記読み出した通信端末の識別情報を認証情報で暗号化して付与し、このパケットの外側の送信先を、前記通信端末から受信したカプセル化されたパケットの外側に送信元として設定されていた前記通信端末のテンポラリIPアドレスとしたパケットを作成するステップと、
    前記作成したパケットを前記通信端末へ転送するステップと、
    を実行することを特徴とする請求項7に記載の通信方法。
  9. 前記所定のアドレス帯は、前記IPネットワーク内のアドレス帯であり、
    前記通信端末が前記IPネットワークに接続する際に経由する第2のネットワーク接続装置が、
    前記通信端末からパケットを受信するステップと、
    このパケットの外側に設定された送信元アドレスが前記第2のネットワーク接続装置の配下のアドレスであるか否かを判断するステップと、
    前記送信元アドレスが前記第2のネットワーク接続装置の配下のアドレスでないとき、前記パケットを破棄するステップと、
    を実行することを特徴とする請求項8に記載の通信方法。
  10. 前記第1のネットワーク接続装置へ送信される契約情報は、前記第1のネットワーク接続装置経由において、
    (1)前記サービスを提供するノードまたはネットワークとの通信を許可する通信端末のパーソナルIPアドレスを示したアクセスリスト、
    (2)前記通信における経路情報を示したルーチングテーブル
    および
    (3)前記通信における通信品質を示したQoS(Quality of Service)テーブル
    のうち、少なくともいずれか1つを含み、
    前記第1のネットワーク接続装置は、
    前記契約情報に従い前記通信端末との間の通信制御を行うことを特徴とする請求項7ないし請求項9のいずれか1項に記載の通信方法。
JP2006188445A 2006-07-07 2006-07-07 通信システムおよび通信方法 Expired - Fee Related JP4608466B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006188445A JP4608466B2 (ja) 2006-07-07 2006-07-07 通信システムおよび通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006188445A JP4608466B2 (ja) 2006-07-07 2006-07-07 通信システムおよび通信方法

Publications (2)

Publication Number Publication Date
JP2008017343A JP2008017343A (ja) 2008-01-24
JP4608466B2 true JP4608466B2 (ja) 2011-01-12

Family

ID=39073933

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006188445A Expired - Fee Related JP4608466B2 (ja) 2006-07-07 2006-07-07 通信システムおよび通信方法

Country Status (1)

Country Link
JP (1) JP4608466B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6584460B2 (ja) * 2017-08-29 2019-10-02 ビッグローブ株式会社 認証システム、認証方法およびプログラム
JP6868066B2 (ja) * 2019-09-02 2021-05-12 ビッグローブ株式会社 認証システム、認証方法およびプログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003298741A (ja) * 2002-01-31 2003-10-17 Ntt Docomo Inc 接続受付処理システム、接続受付処理方法、及び、接続受付処理装置
JP2006054733A (ja) * 2004-08-13 2006-02-23 Fujitsu Ltd 移動体通信システム及びホームアドレス成り済まし防止方法
JP2006074451A (ja) * 2004-09-02 2006-03-16 Kddi Corp IPv6/IPv4トンネリング方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003298741A (ja) * 2002-01-31 2003-10-17 Ntt Docomo Inc 接続受付処理システム、接続受付処理方法、及び、接続受付処理装置
JP2006054733A (ja) * 2004-08-13 2006-02-23 Fujitsu Ltd 移動体通信システム及びホームアドレス成り済まし防止方法
JP2006074451A (ja) * 2004-09-02 2006-03-16 Kddi Corp IPv6/IPv4トンネリング方法

Also Published As

Publication number Publication date
JP2008017343A (ja) 2008-01-24

Similar Documents

Publication Publication Date Title
CN110191031B (zh) 网络资源访问方法、装置、电子设备
EP1998506B1 (en) Method for controlling the connection of a virtual network
JP4023240B2 (ja) ユーザ認証システム
JP6619894B2 (ja) アクセス制御
CN107534643B (zh) 在ip vpn与传输层vpn之间转换移动业务的方法和系统
CN103812960A (zh) 用于订户感知服务的应用的网络地址转换
US8150951B2 (en) System and method for communicating in a loadbalancing environment
US20130182651A1 (en) Virtual Private Network Client Internet Protocol Conflict Detection
EP2223549B1 (en) Enabling provider network inter-working with mobile access
WO2013040957A1 (zh) 单点登录的方法、系统和信息处理方法、系统
JP4253569B2 (ja) 接続制御システム、接続制御装置、及び接続管理装置
WO2009093308A1 (ja) 接続制御方法、接続制御サーバ装置、接続制御クライアント装置、及びプログラム
JP7135206B2 (ja) アクセス認証
JP3616570B2 (ja) インターネット中継接続方式
CN109379339A (zh) 一种Portal认证方法及装置
JP4608466B2 (ja) 通信システムおよび通信方法
JP4344336B2 (ja) マルチホーミング認証通信システム、マルチホーミング認証通信方法、および管理サーバ
JP4827868B2 (ja) ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法
JP2008010934A (ja) ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体
CN110943962B (zh) 一种认证方法、网络设备和认证服务器以及转发设备
JP5947763B2 (ja) 通信システム、通信方法、および、通信プログラム
KR101712922B1 (ko) 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치
JP4261146B2 (ja) 利用者認証ネットワーク通信システム、プログラム及び方法
CN113595848B (zh) 一种通信隧道建立方法、装置、设备及存储介质
JP6920614B2 (ja) 本人認証装置、本人認証システム、本人認証プログラム、および、本人認証方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080730

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100623

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100706

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100906

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101005

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101008

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131015

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees