WO2004051936A1

WO2004051936A1 - ユーザ特定システム、ユーザ特定装置、ユーザ特定方法、アドレス変換装置、及びプログラム

Info

Publication number: WO2004051936A1
Application number: PCT/JP2003/015474
Authority: WO
Inventors: Hideo Kato
Original assignee: Allied Telesis Holdings K.K.
Priority date: 2002-12-05
Filing date: 2003-12-03
Publication date: 2004-06-17
Also published as: CN1505338A; WO2004051937A1; EP1427171A3; WO2004051935A1; AU2003289139A1; AU2003289140A1; JP4142014B2; US20040003292A1; JPWO2004051937A1; JP4142015B2; JPWO2004051935A1; AU2002361080A1; JPWO2004051936A1; TW200410521A; EP1427171A2

Abstract

　インターネットにおける通信を行ったユーザ端末のユーザを特定するユーザ特定装置であって、ＭＡＣアドレスとプライベートＩＰアドレスとが対応づけられた第１通信情報をルータから取得する第１通信情報取得部と、プライベートＩＰアドレスとグローバルＩＰアドレスとが対応づけられた第２通信情報をルータから取得する第２通信情報取得部と、指定されたグローバルＩＰアドレスに基づいて当該グローバルＩＰアドレスを用いて通信を行ったユーザ端末のＭＡＣアドレスを検出するユーザ端末検出部とを備える。

Description

明細書ユーザ特定システム、ユーザ特定装置、ユーザ特定方法、アドレス変換装置、及びプログラム

技術分野

本発明は、ユーザ特定システム、ユーザ特定装置、ユーザ特定方法、ァドレス変換装置、及びプログラムに関する。特に本発明は、アドレス体系の異なる

2つのネットワークを介して通信を行ったユーザ端末のユーザを特定するためのユーザ特定システム、ユーザ特定装置、ユーザ特定方法、アドレス変換装置、及びプログラムに関する。また本出願は、下記の日本特許出願に関連する。文献の参照による組み込みが認められる指定国については、下記の出願に記載された内容を参照により本出願に組み込み、本出願の記載の一部とする。 .

P C T / J P 0 2 / 1 2 7 9 5 出願日 2 0 0 2年 1 2月 5日

背景技術

近年のインターネットの急速な膨張に伴い、ホームページや電子掲示板における名誉毀損、著作権侵害、プライバシー侵害等の不法行為等の問題が数多く指摘されるようになっている。そのため、近時、「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」が施行された。この法律は、特定電気通信による情報の流通によって権利の侵害があった場合について、特定電気通信役務提供者（プロバイダ、サーバの管理者等）の損害賠償責任の制限及び発信者情報の開示を請求する権利について定め、特定電気通信による情報の流通により自己の権利を侵害されたとする者が、関係するプロバイダ等に対し、当該プロバイダ等が保有する発信者の情報の開示を請求できる規定を設けている。そのため、プロバイダは、発信者の情報の開示の請求に対応するため、自己の権利を侵害されたとする者から提供された情報、例えば発信者の I Pァドレスに基づいて発信者を特定できることが望ましい。しかしながら、複数のユーザが同一の I Pァドレスを用いてィンターネット上で通信を行う、インターネットマンション等のサービスを提供するプロバイダでは、発信者の I Pァドレスに基づいてユーザを特定することが困難であり、発信者の情報の開示の請求に迅速に対応することができないという問題がある _c そこで本発明は、上記の課題を解決することのできるユーザ特定システム、ユーザ特定装置、ユーザ特定方法、アドレス変換装置、及びプログラムを提供することを目的とする。この目的は請求の範囲における独立項に記載の特徴の組み合わせにより達成される。また従属項は本発明の更なる有利な具体例を規定する。発明の開示

このような目的を達成するために、本発明の第 1の形態によれば、第 1アドレス体系の第 1ネットワークに配置され、第 2ァドレス体系の第 2ネットヮークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定システムであって、ユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた第 1ァドレス体系の第 1ァドレスとを対応づけて格納する第 1格納装置と、第 1ァドレスと当該第 1ァドレスに対して割り当てられた第 2ァドレス体系の第 2ァドレスとを対応づけて格納する第 2格納装置と、第 1格納装置及び第 2 格納装置が格納する通信情報に基づいて、第 2ネットワークにおける通信を行つたユーザ端末のユーザを特定するユーザ特定装置とを備える。

ユーザ特定装置は、第 1格納装置が格納する端末識別情報と第 1ァドレスとが対応づけられた第 1通信情報を取得する第 1通信情報取得部と、第 2格納装置が格納する第 1ァドレスと第 2ァドレスとが対応づけられた第 2通信情報を取得する第 2通信情報取得部と、指定された第 2アドレスに対応づけられた第 1ァドレスを第 2通信情報に基づいて検出し、当該第 1ァドレスに対応づけられた端末識別情報を第 1通信情報に基づいて検出するユーザ端末検出部とを有する。

第 1格納装置は、端末識別情報である MA Cァドレスに対して第 1ァドレスであるプライべ一ト I Pァドレスを割り当てる D H C Pサーバであり、 MA C ァドレスに対してプライべ一ト I Pァドレスを割り当てた場合に、ユーザ特定装置に対して第 1通信情報を送信してもよい。

第 1格納装置は、端末識別情報である MA Cァドレスと当該 MA Cァドレスに対して割り当てられた第 1ァドレスであるプライべ一ト I Pアドレスとを対応づけて格納する A R Pテーブルを有する A R Pサーバであり、ユーザ端末から A R Pリクエストを受信した場合に、ユーザ特定装置に対して第 1通信情報を送信してもよレ、。

第 2格納装置は、第 1ネットワークと第 2ネットワークとを接続し、第 1ァドレスであるプライべ一ト I Pァドレスに対して第 2ァドレスであるグローバル I Pアドレスを割り当てるァドレス変換サーバであり、プライべ一ト I Pァドレスに対してグローバル I Pアドレスを割り当てた場合に、ユーザ特定装置に対して第 2通信情報を送信してもよい。

第 1ネットワークに配置され、複数のユーザ端末がそれぞれ接続された複数の物理ポートを有し、物理ポートと当該物理ポートに接続されたユーザ端末の端末識別情報とを対応づけて格納する第 3格納装置をさらに備え、ユーザ特定装置は、第 3格納装置が格納する物理ポートと端末識別情報とが対応づけられた第 3通信情報を取得する第 3通信情報取得部をさらに有し、ユーザ端末検出部は、指定された第 2ァドレスに対応づけられた第 1ァドレスを第 2通信情報に基づいて検出し、当該第 1ァドレスに対応づけられた端末識別情報を第 1通信情報に基づいて検出し、当該端末識別情報に対応づけられた物理ポートを第 3通信情報に基づいて検出してもよい。

第 3格納装置は、物理ポートと端末識別情報である MA Cアドレスとを対応づけて格納するフォヮ一ディングデータベースであり、フォヮ一ディングデ一タベースを更新した場合に、ユーザ特定装置に対して第 3通信情報を送信してもよい。

ユーザ端末が接続された中継機器の物理ポートに割り当てられた V L A Nを識別する V L A N識別情報と、当該物理ポートに接続されたユーザ端末の端末識別情報とを対応づけて格納する第 3格納装置をさらに備え、ユーザ特定装置は、第 3格納装置が格納する V L A N識別情報と端末識別情報とが対応づけられた第 3通信情報を取得する第 3通信情報取得部をさらに有し、ユーザ端末検出部は、指定された第 2ァドレスに対応づけられた第 1ァドレスを第 2通信情報に基づいて検出し、当該第 1ァドレスに対応づけられた端末識別情報を第 1 通信情報に基づいて検出し、当該端末識別情報に対応づけられた V L A N識別情報を第 3通信情報に基づいて検出してもよい。

また、本発明の第 2の形態によれば、第 1アドレス体系の第 1ネットワークに配置され、第 2ァドレス体系の第 2ネットワークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定システムであって、ユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた第 1ァドレス体系の第 1ァドレスとを対応づけて格納する第 1通信情報格納部、第 1アドレスと当該第 1 了ドレスに対して割り当てられた第 2ァドレス体系の第 2ァドレスとを対応づけて格納する第 2通信情報格納部、及び第 1通信情報格納部が格納する端末識別情報と第 1アドレスとが対応づけられた第 1通信情報、及び第 2通信情報格納部が格納する第 1アドレスと第 2アドレスとが対応づけられた第 2通信情報に基づいて、端末識別情報と第 2ァドレスとが対応づけられたユーザ特定情報を生成するユーザ特定情報生成部を有する中継機器と、第 1ネットワークに配置され、複数のユーザ端末がそれぞれ接続された複数の物理ポートを有し、物理ポートと当該物理ポートに接続されたユーザ端末の端末識別情報とを対応づけて格納する第 3格納装置と、第 3格納装置が格納する通信情報、及び中継機器が生成したユーザ特定情報に基づいて、第 2ネットワークにおける通信を行つたユーザ端末のユーザを特定するユーザ特定装置とを備える。

ユーザ特定装置は、第 3格納装置が格納する物理ポートと端末識別情報とが対応づけられた第 3通信情報を取得する第 3通信情報取得部と、中継機器が格納する端末識別情報と第 2アドレスとが対応づけられたユーザ特定情報を取得する第 4通信情報取得部と、指定された第 2アドレスに対応づけられた端末識別情報をユーザ特定情報に基づいて検出し、当該端末識別情報に対応づけられた物理ポートを第 3通信情報に基づいて検出するユーザ端末検出部とを有する。また、本発明の第 3の形態によれば、第 1アドレス体系の第 1ネットワークに配置されたユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた第 1ァドレス体系の第 1ァドレスとを対応づけて格納する第 1格納装置と、第 1ァドレスと当該第 1ァドレスに対して割り当てられた第 2ァドレス体系の第 2ァドレスとを対応づけて格納する第 2格納装置とを備えるユーザ特定システムの、第 1格納装置及び第 2格納装置が格納する通信情報に基づいて、第 2ァドレス体系の第 2ネットワークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定装置であって、第 1格納装置が格納する端末識別情報と第 1アドレスとが対応づけられた第 1通信情報を取得する第 1通信情報取得部と、第 2格納装置が格納する第 1アドレスと第 2アドレスとが対応づけられた第 2通信情報を取得する第 2通信情報取得部と、指定された第 2アドレスに対応づけられた第 1ァドレスを第 2通信情報に基づいて検出し、当該第 1ァドレスに対応づけられた端末識別情報を第 1通信情報に基づいて検出するユーザ端末検出部とを備える。

第 2通信情報取得部は、第 1アドレス及び第 2アドレスに、当該第 2ァドレスを送信元ァドレスとするバケツトの宛先ァドレスが対応づけられた、第 2格納装置が格納する第 2通信情報を取得し、ユーザ端末検出部は、指定された第 2ァドレス及び宛先ァドレスに基づいて第 1ァドレスを検出してもよい。

第 1通信情報及び第 2通信情報に対応づけて、第 1通信情報及び第 2通信情報を取得した時刻をそれぞれ格納する通信情報格納部をさらに備え、ユーザ端末検出部は、通信情報格納部が格納する時刻を参照して、指定された第 2アドレスに対応づけられた第 1ァドレスを検出し、当該第 1ァドレスに対応づけられた端末識別情報を検出してもよい。

また、本発明の第 4の形態によれば、第 1アドレス体系の第 1ネットワークに配置されたユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた第 1ァドレス体系の第 1ァドレスとを対応づけて格納する第 1格納装置と、第 1アドレスと当該第 1アドレスに対して割り当てられた第 2アドレス体系の第 2ァドレスとを対応づけて格納する第 2格納装置とを備えるユーザ特定システムの、第 1格納装置及び第 2格納装置が格納する通信情報に基づいて、第 2ァドレス体系の第 2ネットワークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定方法であって、第 1格納装置が格納する端末識別情報と第 1アドレスとが対応づけられた第 1通信情報を取得する第 1通信情報取得段階と、第 2格納装置が格納する第 1ァドレスと第 2ァドレスとが対応づけられた第 2通信情報を取得する第 2通信情報取得段階と、指定された第 2ァドレスに対応づけられた第 1アドレスを第 3通信情報に基づいて検出し、当該第 1 ァドレスに対応づけられた端末識別情報を第 2通信情報に基づいて検出するュ一ザ端末検出段階とを備える。

また、本発明の第 5の形態によれば、第 1アドレス体系の第 1ネットワークに配置されたユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた第 1ァドレス体系の第 1ァドレスとを対応づけて格納する第 1格納装置と、第 1ァドレスと当該第 1ァドレスに対して割り当てられた第 2ァドレス体系の第 2ァドレスとを対応づけて格納する第 2格納装置とを備えるユーザ特定システムの、第 1格納装置及び第 2格納装置が格納する通信情報に基づいて、第 2ァドレス体系の第 2ネットワークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定装置用のプログラムであって、ユーザ特定装置を、第 1格納装置が格納する端末識別情報と第 1アドレスとが対応づけられた第 1通信情報を取得する第 1通信情報取得部、第 2格納装置が格納する第 1アドレスと第 2アドレスとが対応づけられた第 2通信情報を取得する第 2通信情報取得部、指定された第 2ァドレスに対応づけられた第 1ァドレスを第 3通信情報に基づいて検出し、当該第 1ァドレスに対応づけられた端末識別情報を第 2通信情報に基づいて検出するユーザ端末検出部として機能させる。

また、本発明の第 5の形態によれば、第 1アドレス体系の第 1ネットワークに配置され、第 2ァドレス体系の第 2ネットワークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定システムであって、第 1アドレス体系の第 1アドレスと第 2ァドレス体系の第 2ァドレスとを相互に変換して、第 1ネットワークと第 ₂ネットワークとの間で通信を中継するァドレス変換装置と、ァドレス変換装置が生成するユーザ特定情報に基づいて、第 2ネットワークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定装置とを備える。アドレス変換装置は、ユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた第 1ァドレス体系の第 1ァドレスとが対応づけられた第 1通信情報を格納する第 1通信情報格納部と、第 1ァドレスと当該第 1ァドレスに対して割り当てられた第 2ァドレス体系の第 2ァドレスとが対応づけられた第 2通信情報を格納する第 2通信情報格納部と、第 1通信情報及び第 2通信情報に基づいて、第 2アドレスと当該第 2アドレスを用いて第 2ネットワークにおける通信を行ったユーザ端末の端末識別情報とが対応づけられたユーザ特定情報を生成するユーザ特定情報生成部とを有する。

第 1ネットワークに配置され、複数のユーザ端末がそれぞれ接続された複数の物理ポートを有し、物理ポートと当該物理ポートに接続されたユーザ端末の端末識別情報とを対応づけて格納する第 3格納装置をさらに備え、アドレス変換装置は、第 3格納装置が格納する物理ポートと当該物理ポートに接続されたユーザ端末の端末識別情報とが対応づけられた第 3通信情報を取得する第 3通信情報取得部をさらに有し、ユーザ特定情報生成部は、第 1通信情報、第 2通信情報、及び第 3通信情報に基づいて、第 2アドレスと当該第 2アドレスを用いて第 2ネットワークにおける通信を行ったユーザ端末が接続された物理ポートとが対応づけられたユーザ特定情報を生成してもよい。

また、本発明の第 6の形態によれば、第 1アドレス体系の第 1アドレスと第 2ァドレス体系の第 2ァドレスとを相互に変換して、第 1ァドレス体系の第 1 ネットワークと第 2ァドレス体系の第 2ネットワークとの間で通信を中継するァドレス変換装置であって、第 1ネットワークに配置されたユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた第 1ァドレスとが対応づけられた第 1通信情報を格納する第 1通信情報格納部と、第 1アドレスに対して第 2ァドレスを割り当てるァドレス変換部と、第 1ァドレスと当該第 1ァドレスに対して割り当てられたの第 2ァドレスとが対応づけられた第 2通信情報を格納する第 2通信情報格納部と、第 1通信情報及び第 2通信情報に基づいて、第 2アドレスと当該第 2ァドレスを用いて第 2ネットワークにおける通信を行つたユーザ端末の端末識別情報とが対応づけられたユーザ特定情報を生成するユーザ特定情報生成部とを備える。

なお上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではなく、これらの特徴群のサブコンビネーションも又発明となりうる。図面の簡単な説明

図 1は、第 1実施形態に係るユーザ特定システム 1 0のシステム構成の一例を示す。

図 2は、第 1実施形態に係るユーザ特定装置 2 2のブロック構成の一例を示す。

図 3は、第 1実施形態に係る通信情報格納部 1 0 8のデータ構成の一例を示す。

図 4は、第 1実施形態に係るユーザ特定システム 1 0のユーザ特定方法の一例を示す。

図 5は、第 1実施形態に係るユーザ特定装置 2 2のハードウエア構成の一例を示す。

図 6は、第 2実施形態に係るユーザ特定システム 3 0の構成の一例を示す。図 7は、第 2実施形態に係るルータ 3 2 aのブロック構成の一例を示す。図 8は、第 2実施形態に係るユーザ特定装置 3 4のブロック構成の一例を示す。発明を実施するための最良の形態

以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は請求の範囲に係る発明を限定するものではなく、又実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。

(第 1実施形態）

図 1は、本発明の第 1実施形態に係るユーザ特定システム 1 0のシステム構成の一例を示す。ユーザ特定システム 1 0は、 LAN (L o c a l A r e a N e t w o r k) 1 2 a又は 1 2 bに配置され、複数のユーザ端末 1 4 a〜 1 4 1がそれぞれ接続されたインテリジヱントハブ 1 6 a〜1 6 dと、 LAN 1 2 a及び 1 2 bとインターネット 1 8とを接続するルータ 2 0 a及び 2 0 bと、インターネット 1 8における通信を行ったユーザ端末のユーザ特定するユーザ特定装置 2 2とを備える。なお、 LAN 1 2 a及ぴ 1 2 bは、本発明の第 1ァドレス体系の第 1ネットワークの一例であり、インターネット 1 8は、本発明の第 2アドレス体系の第 2ネットワークの一例である。また、 LAN 1 2 a及び 1 2 bは、例えばインターネットマンション等の集合建築物内に構築され、インテリジェントハブ 1 6 a〜： I 6 dの VLAN (V i r t u a l LAN) 機能により、ユーザ端末間の通信が制限されている。なお、プライベート I P アドレスは、本発明の第 1アドレス体系の第 1アドレスの一例であり、グロ一ノくノレ I Pァドレスは、本発明の第 2ァドレス体系の第 2ァドレスの一例である。また、本発明の第 2アドレス体系の第 2アドレスは、グローバル I Pアドレス及びポート番号を含んでもよい。

ルータ 2 0 a及び 2 0 bは、本発明の第 1格納装置の一例であり、複数のュ一ザ端末の端末識別情報である MACァドレスと、当該 MACァドレスに対して割り当てられたプライべ一ト I Pァドレスとを対応づけて格納する。ルータ 20 a及び 2 O bは、 DHCPサーバを有し、ユーザ端末の M A Cアドレスに対して、プライベート I Pァドレスの割り当て及び解放を行う。そして、ル一タ 20 a及び 20 bは、 MACァドレスとプライべ一ト I Pアドレスとを対応づけて、第 1通信情報としてユーザ特定装置 22に送信する。ルータ 20 a及び 20 bは、例えば MACァドレスに対してプライべ一ト I Pァドレスを割り当てた場合に第 1通信情報をユーザ特定装置 22に送信する。また、ルータ 2 0 a及び 20 bは、例えばプライべ一ト I Pァドレスを解放した場合に第 1通信情報をユーザ特定装置 22に送信してもよい。

また、ルータ 20 a及び 20 bは、ユーザ端末の MACアドレスと、当該 M ACァドレスに対して割り当てられたプライべ一ト I Pァドレスとを対応づけて格納する AR Pテーブルを含む AR Pサーバを有する。そして、ルータ 20 a及び 20 bは、 MACァドレスとプライべ一ト I Pァドレスとを対応づけて、第 1通信情報としてユーザ特定装置 22に送信する。ルータ 20 a及び 20 b は、例えばユーザ端末から ARPリクエストを受信した場合に第 1通信情報をユーザ特定装置 22に送信する。また、ルータ 20 a及び 20 bは、例えばュ一ザ端末に AR Pリプライを返信した場合に第 1通信情報をユーザ特定装置 2 2に送信してもよい。また、ルータ 20 a及び 20 bは、例えば S y s 1 o g Me s s a g eを用いて第 1通信情報を送信してもよいし、 SNMPのT r a pを用いて第 1通信情報を送信してもよい。

また、ルータ 20 a及び 20 bは、本発明の第 2格納装置の一例であり、ュ一ザ端末に割り当てられたプライべ一ト I Pアドレスと、当該プライべ一ト I Pァドレスに割り当てられたグローバル I Pァドレスを格納する。ルータ 20 a及び 20 bは、プライべ一ト I Pァドレスに対してグローバル I Pアドレスを割り当てるアドレス変換装置を有し、受信したパケットのプライベート I P アドレスとグローバル I Pアドレスとを相互に変換して、 LAN 1 2 a又は 1 2 bとインタ一ネット 1 8との間で通信を中継する。そして、ルータ 20 a及び 20 bは、格納するプライべ一ト I Pアドレスとグローバル I Pアドレスとを対応づけて、第 2通信情報としてユーザ特定装置 2 2に送信する。ルータ 2

0 a及び 20 bは、例えばプライべ一ト I Pァドレスに対してグローバル I P ァドレスを割り当てた場合に第 2通信情報をユーザ特定装置 22に送信する。また、ル一タ 20 a及び 20 bは、例えば S y s 1 o g Me s s a g eを用いて第 2通信情報を送信してもよいし、 SNMPの T r a pを用いて第 2通信情報を送信してもよい。

また、ルータ 20 a及び 20 bは、例えばグローバル I Pァドレスを解放した場合に第 2通信情報をユーザ特定装置 2 2に送信してもよい。また、ルータ 20 a及び 20 bは、 I Pマスカレード機能を有する場合、ユーザ端末に割り当てられたプライベート I Pアドレスと、当該プライべ一ト I Pァドレスに割り当てられたグローバル I Pァドレス及びポート番号を格納し、プライべ一ト

1 Pァドレスとグローバル I Pァドレス及びポート番号と対応づけて、第 2通信情報としてユーザ特定装置 22に送信してもよい。

また、ルータ 20 a及ぴ 20 bは、プライべ一ト I Pァドレス及びグローバル I Pァドレスに、当該グローバル I Pァドレスを送信元ァドレスとするパケットの宛先ァドレスをさらに対応づけて、第 2通信情報としてユーザ特定装置

22に送信してもよい。ルータ 20 a及び 20 bは、例えばユーザ端末とインターネット 1 8との通信を中継する場合に第 2通信情報をユーザ特定装置 2 2 に送信してもよい。

インテリジェントハブ 1 6 a〜l 6 dは、本発明の第 3格納装置及び中継器器の一例であり、複数のユーザ端末 14 a〜l 4 1がそれぞれ接続された複数の物理ポ一トを有する。また、インテリジヱントハブ 1 6 a及び 1 6 dは、物理ポー卜と、当該物理ポートに接続されたュ一ザ端末の MACァドレスとを対応づけて格納するフォワーディングデータベースを有する。そして、インテリジェントハブ 1 6 a〜 1 6 dは、フォヮ一ディングデータベースが格納する物理ポートと MACァドレスとを対応づけて、第 3通信情報としてユーザ特定装置 22に送信する。さらに、インテリジェントハブ 1 6 a〜 1 6 dは、物理ポ一ト及び MACァドレスに、当該インテリジェントハブの機器識別情報をさらに対応づけて、第 3通信情報としてユーザ特定装置 22に送信してもよい。ィンテリジェントハブ 1 6 a〜 1 6 dは、例えばフォヮ一ディングデータべースを更新した場合に第 3通信情報をユーザ特定装置 22に送信する。また、ィンテリジェントハブ 1 6 a〜 1 6 dは、例えばフォヮ一ディングデータべ一スから MACァドレスを消去した場合に第 3通信情報をユーザ特定装置 22に送信してもよい。また、インテリジェントハブ 1 6 a〜l 6 dは、例えば S y s l o g Me s s a g eを用いて第 3通信情報を送信してもよいし、 S NM P (S i mp l e N e t wo r k Ma n a g eme n t P r o t o c o 1 ) の T r a pを用いて第 3通信情報を送信してもよい。

また、インテリジェントハブ 1 6 a〜 1 6 dの複数の物理ポートに対して複数の VLANがそれぞれ割り当てられている場合には、インテリジェントハブ 1 6 a〜1 6 dは、物理ポートに割り当てられた VLANを識別する VLAN 識別情報と、当該物理ポートに接続されたユーザ端末の MACアドレスとを対応づけて格納しており、 VLAN識別情報と MACァドレスとを対応づけて、第 3通信情報としてユーザ特定装置 22に送信してもよい。また、他の例においては、 LAN 1 2 a若しくは 1 2 b又はィンターネット 1 8に設けられた、本発明の第 3格納装置の一例である RAD I U Sサーバ等の管理装置が、ィンテリジェントハブ 1 6 a〜l 6 dの複数の物理ポ一トに割り当てられた VL A Nを識別する V L A N識別情報と、当該物理ポートに接続されたユーザ端末の MACァドレスとを対応づけて格納しており、 VLAN識別情報と MACァドレスとを対応づけて、第 3通信情報としてユーザ特定装置 22に送信してもよレ、。

ユーザ特定装置 2 2は、ルータ 20 a及ぴ 20 bが格納する第 1通信情報及び第 2通信情報に基づいて、インターネット 1 8における通信を行ったユーザ端末の MACァドレスを検出し、当該 MACァドレスに基づいてユーザ端末のユーザを特定する。また、ユーザ特定装置 2 2は、ルータ 2 0 a及び 2 O bが格納する第 1通信情報及び第 2通信情報、並びにインテリジェントハブ 1 6 a 〜1 6 dが格納する第 3通信情報に基づいて、インターネット 1 8における通信を行ったユーザ端末が接続されるインテリジェントハブ 1 6 a〜 1 6 dの物理ポート又は V L A N識別情報を検出し、当該物理ポート又は当該 V L A N識別情報に基づいてユーザ端末のユーザを特定してもよい。なお、ユーザ特定装置 2 2は、図 1に示すようにインターネット 1 8上に配置されてもよいし、また L A N 1 2 a又は 1 2 b内に配置されてもよレヽ。

ルータ 2 0 a及び 2 0 bは、ユーザ端末 1 4 a〜 1 4 1から受信したバケツトの送信元 I Pァドレスを、ユーザ端末 1 4 a〜l 4 1に割り当てられたプラィベート I Pアドレスから、ルータ 2 0 a又は 2 0 bに割り当てられたグロ一バル I Pアドレスに変換してインターネット 1 8に送信する。そのため、ルータ 2 0 a又はルータ 2 0 bからィンターネット 1 8に送信されたバケツトの送信元 I Pアドレスから、ユーザ端末 1 4 a〜 1 4 1を特定することがでない。しかしながら、このような場合において、ユーザ特定システム 1 0は、インターネット 1 8における通信を行ったユーザ端末のユーザを特定することを可能にする。図 2は、第 1実施形態に係るユーザ特定装置 2 2のブロック構成の一例を示す。ユーザ特定装置 2 2は、インターネット 1 8に対してデータの送受信を行う送受信部 1 0 0と、ルータ 2 0 a及ぴ 2 0 bが格納する MA Cァドレスとプライべート I Pァドレスとが对応づけられた第 1通信情報を送受信部 1 0 0を介して取得する第 1通信情報取得部 1 0 2と、ルータ 2 0 a及び 2 0 bが格納するプライべ一ト I Pァドレスとグローバル I Pァドレスとが対応づけられた第 2通信情報を送受信部 1 0 0を介して取得する第 2通信情報取得部 1 0 4と、インテリジェントハブ 1 6 a〜 1 6 dが格納する物理ポート又は V L A N識別情報と M A Cアドレスと機器識別情報とが対応づけられた第 3通信情報を送受信部 1 0 0を介して取得する第 3通信情報取得部 1 0 6と、第 1通信情報、第 2通信情報、及び第 3通信情報を格納する通信情報格納部 1 0 8と、管理者によって指定されたグロ一バル I Pァドレスを用いてィンタ一ネット 1 8における通信を行ったユーザ端末の MA Cァドレス、又は当該ユーザ端末が接続された物理ポートを検出するユーザ端末検出部 1 1 0とを備える。

なお、第 1通信情報取得部 1 0 2、第 2通信情報取得部 1 0 4、及び第 3通信情報取得部 1 0 6のそれぞれは、ルータ 2 0 a若しくは及び 2 0 b又はィンテリジェントハブ 1 6 a〜l 6 dが送信する第 1通信情報、第 2通信情報、及び第 3通信情報のそれぞれを受動的に取得してもよいし、送信要求バケツトを送ることによって能動的にルータ 2 0 a若しくは及び 2 0 b又はインテリジェントハブ 1 6 a〜l 6 dから第 1通信情報、第 2通信情報、及び第 3通信情報のそれぞれを取得してもよい。

ユーザ端末検出部 1 1 0は、通信情報格納部 1 0 8が格納する通信情報を参照して、管理者によって指定されたグローバル I Pアドレスに対応づけられたプライベート I Pアドレスを第 2通信情報に基づいて検出し、当該プライべ一ト I Pァドレスに対応づけられた MA Cァドレスを第 1通信情報に基づいて検出する。また、ユーザ端末検出部 1 1 0は、管理者によって指定されたグロ一バル I Pァドレスに対応づけられたプライべ一ト I Pァドレスを第 2通信情報に基づいて検出し、当該プライべ一ト I Pァドレスに対応づけられた MA Cァドレスを第 1通信情報に基づいて検出し、当該 MA Cアドレスに対応づけられた機器識別情報、及び物理ポート又は V L A N識別情報を第 3通信情報に基づいて検出してもよい。そして、ユーザ特定装置 2 2は、ユーザ端末検出部 1 1 0によって検出された MA Cァドレスを有するユーザ端末、ユーザ端末検出部 1 1 0によって検出された物理ポートを介して通信を行うユーザ端末、又はュ —ザ端末検出部 1 1 0によって検出された V L A N識別情報で識別される V L A Nに属するユーザ端末のユーザを特定する。図 3は、第 1実施形態に係る通信情報格納部 1 08のデータ構成の一例を示す。通信情報格納部 1 08は、第 1通信情報、第 2通信情報、及び第 3通信情報に対応づけて、第 1通信情報、第 2通信情報、及び第 3通信情報をインテリジェントハブ 1 6 a〜 1 6 d又はルータ 20 a若しくは 20 bから取得した時刻を格納する。

第 1行（L 1) は、第 3通信情報取得部 1 06がインテリジェントハブのフォヮ一ディングデータベース（FDB) から取得した第 3通信情報である。通信情報格納部 1 08は、時刻「2003 S e p 1 2 3 : 50 : 2 3」と、ルータのグロ一バル I Pアドレス「2 1 8. 4 7. 62. a a a」と、ィンテリジェントハブの機器識別情報「S y s t e m N ame」と、物理ポート「 P o r t 1」と、 V LAN識別情報「V 200」と、ユーザ端末の MACァドレス「00— 90— 99—4 8— 8 5—* *」とが対応づけられた第 3通信情報を格納する。

第 2行（L 2) 及び第 3行（L 3) は、第 1通信情報取得部 1 02がルータが有する DHCPサーバから取得した第 1通信情報である。通信情報格納部 1 08は、第 2行（L 2) に示すように、時刻「2003 S e p 1 2 3 : 50 : 34」と、ルータのグローバル I Pアドレス「2 1 8. 47. 6 2. a a a」と、プライべ一ト I Pアドレス「1 92. 1 68. 1. 1 00」と、 M ACアドレス「00— 90— 99—48—8 5—* *」とが対応づけられた第 1通信情報を格納する。当該第 1通信情報は、時刻「 200 3 S e p 1

2 3 : 50 : 34」に MA Cアドレス「00— 90— 9 9— 48— 8 5— * * 」に割り当てられていたプライベート I Pアドレス「1 92. 1 6 8. 1. 1 00」が解放されたことを示す。また、通信情報格納部 1 08は、第 3行（L

3 ) に示すように、時刻「2003 S e p 1 23 : 5 0 : 38」と、ル —タのグローバル I Pアドレス「2 1 8. 4 7. 6 2. a a a」と、プライべート I Pアドレス「1 9 2. 1 68. 1. 1 00」と、 MACァドレス「00 — 90— 99— 48— 8 5— * *」とが対応づけられた第 1通信情報を格納する。当該第 1通信情報は、時刻「2003 S e p 1 23 : 50 : 34」に MACアドレス「00— 90— 9 9—48— 85—* *」に対してプライべ —ト I Pアドレス「 1 92. 1 68. 1. 1 00」を割り当てたことを示す。第 4行（L 4) は、第 1通信情報取得部 1 0 2がルータが有する A RPテーブルから取得した第 1通信情報である。通信情報格納部 1 08は、時刻「20 03 S e p 1 23 : 50 : 5 5」と、ノレ一タのグローバノレ I Pァドレス「2 1 8. 4 7. 6 2. a a a」と、 MACァドレス「00— 90— 9 9— 4 8— 8 5— * *」と、プライベート I Pアドレス「1 92. 1 68. 1. 1 0 0」とが対応づけられた第 1通信情報を格納する。当該第 1通信情報は、時刻「2003 S e p 1 23 : 50 : 5 5」に MA Cアドレス「00— 90 — 9 9— 48— 8 5— * *」とプライベート I Pアドレス「1 92. 1 6 8. 1. 1 00」との組み合わせが ARPテーブルに追加されたことを示す。

第 5行（L 5) は、第 2通信情報取得部 1 04がルータが有するアドレス変換装置の一例である F i r e w a 1 1サーバから取得した第 2通信情報である。通信情報格納部 1 08は、時刻「2003 S e p 1 23 : 5 1 : 1 2」と、ルータのグローバノレ I Pァドレス「2 1 8. 4 7. 6 2. a a a」と、プライべート I Pアドレス及びポート番号「 1 9 2. 1 68. 1. 1 00 : 1 0 3 1」と、パケットの宛先アドレスであるグローバル I Pアドレス及びポート番号「2 1 0. 1 53. 1. b b b : 53」とが対応づけられた第 2通信情報を格納する。当該第 2通信情報は、時刻「2003 S e p 1 23 : 5 1 ： 1 2」に、プライべ一ト I Pアドレス「1 92. 1 68. 1. 1 00」が割り当てられたユーザ端末がグローバル I Pアドレス「2 1 0. 1 5 3. 1. b b b」の通信機器に対して UDPによりパケットを送信したことを示す。第 6 行（L 6) 〜第 1 1行（L I 1) は、第 5行（L 5) と同様の第 2通信情報である。

例えば、管理者によってグローバル I Pアドレス「2 1 8. 47. 6 2. a a a」、宛先ァドレス「2 1 0. 1 53. 1. b b b」、及び時刻が指定された場合、ユーザ端末検出部 1 1 0は、通信情報格納部 1 08が格納する時刻を参照して、グローバル I Pアドレス「2 1 8. 47. 62. a a a」及ぴ宛先アドレス「2 1 0. 1 5 3. 1. b b b」に対応づけられたプライベート I P アドレス「1 9 2. 1 68. 1. 1 00」を第 7行（L 7) の第 2通信情報に基づいて検出する。そして、ユーザ端末検出部 1 1 0は、プライべ一ト I Pァドレス「 1 9 2. 1 68. 1. 1 00 J に対応づけられた MACァドレス「0 0— 90— 9 9— 48— 85— * *」を第 4行（L 4) の第 1通信情報に基づいて検出する。さらに、ユーザ端末検出部 1 1 0は、 MACァドレス「00— 90— 9 9— 48— 85— * *」に対応づけられた機器識別情報「 S y s t e m N a m e」、及び物理ポート「P o r t 1」又は VL AN識別情報「V 2 00」を第 1行（L 1) の第 3通信情報に基づいて検出してもよい。

以上のように、通信情報格納部 1 08が第 1通信情報及び第 2通信情報を時刻に対応づけて格納し、ユーザ端末検出部 1 1 0が時刻を参照してユーザ端末の MACァドレスの検出を行うことにより、ユーザ端末の MACァドレスを正確に検出することができ、ユーザを正確に特定することができる。また、通信情報格納部 1 08がさらに第 3通信情報を時刻に対応づけて格納し、ユーザ端末検出部 1 1 0が時刻を参照して物理ポート又は V LAN識別情報の検出を行うことにより、ユーザ端末が接続された物理ポートを正確に検出することができ、ユーザを正確に特定することができる。図 4は、第 1実施形態に係るユーザ特定システム 1 0のユーザ特定方法の一例を示す。ユーザ端末 1 4 aは、電源が投入されて起動すると、 DHCP R e q u e s tをルータ 20 aの D H C Pサーバに送信する（S 1 00) 。インテリジェントハブ 1 6 aは、ユーザ端末 1 4 a とルータ 20 a との間で DHC P R e q u e s tを中継する場合に、フォワーディングデータベースを更新し、ユーザ端末 1 4 aが接続された物理ポートとュ一ザ端末 1 4 aの MACァドレスとが対応づけられた第 3通信情報を含む S y s l o g Me s s a g e # 1をユーザ特定装置 22に送信する（S 1 02) 。これにより、ユーザ特定装置 22の第 3通信情報取得部 1 06は、第 3通信情報をインテリジヱントハブ 1 6 aから取得する。

次に、ルータ 20 aの DHC Pサーバは、ユーザ端末 1 4 aの MACァドレスに対してプライベート I Pアドレスを割り当て、 DHC P Ac kをユーザ端末 1 4に送信する（S 1 04) 。そして、ルータ 20 aは、ユーザ端末 14 aの MACァドレスと、当該 MACァドレスに割り当てられたプライべ一ト I Pァドレスとが対応づけられた第 1通信情報を含む S y s 1 o g Me s s a g e # 2をユーザ特定装置 22に送信する（S 1 06) 。これにより、ユーザ特定装置 22の第 1通信情報取得部 1 02は、第 1通信情報をルータ 20 a から取得する。

次に、ユーザ端末 1 4 aは、 ARP R e q u e s tをルータ 20 aの AR Pサーバに送信する（S 1 08) 。そして、ルータ 20 aの ARPサーバは、 AR Pテーブルを参照して、 ARP R e p 1 yをユーザ端末 14 aに送信する（S 1 10) 。そして、ルータ 20 aは、 AR Pテーブルに格納されたユーザ端末 1 4 aの MACァドレスとプライべ一ト I Pァドレスとが対応づけられた第 1通信情報を含む S y s 1 o g Me s s a g e # 3をユーザ特定装置 22に送信する（S 1 1 2) 。これにより、ユーザ特定装置 22の第 1通信情報取得部 102は、第 1通信情報をルータ 20 aから取得する。

次に、ュ一ザ端末 1 4 aは、 TCPZ I P通信によりインターネット 1 8で通信を行う（S 1 1 4) 。ルータ 20 aの F i r e wa 1 1サーバは、ユーザ端末 1 4 aとインターネット 1 8との間の通信を中継する場合、ユーザ端末 1 4 aのプライべ一ト I Pァドレスに対してグローバル I Pァドレスを割り当てる。そして、ルータ 20 aは、ユーザ端末 1 4 aのプライべ一ト I Pアドレスと、当該プライベート I Pアドレスに割り当てられたグローバル I Pアドレスとが対応づけられた第 2通信情報を含む S y s 1 o g Me s s a g e # 4 をユーザ特定装置 22に送信する（ S 1 1 6 ) 。そして、ユーザ特定装置 22のユーザ端末検出部 1 1 0は、ルータ 20 aから取得した第 1通信情報及び第 2通信情報に基づいて、インターネット 1 8における通信を行ったユーザ端末 14 aの MACァドレスを検出し、 MACアドレスに基づいてユーザ端末 1 4 aのユーザを特定する。また、ユーザ特定装置 22のユーザ端末検出部 1 1 0は、インテリジェントハブ 1 6 aから取得した第 3通信情報、並びにルータ 20 aから取得した第 1通信情報及び第 2通信情報に基づいて、インターネット 1 8における通信を行ったユーザ端末 1 4 aが接続されるインテリジヱントハブ 1 6 aの物理ポートを検出し、物理ポートに基づいてユーザ端末 14 aのユーザを特定してもよい。図 5は、第 1実施形態に係るユーザ特定装置 22のハードウエア構成の一例を示す。ユーザ特定装置 22は、 CPU 700、 ROM702、 RAM704, 通信ィンタフェース 706、ハ一ドディスクドライブ 708、データべ一スィンタフェース 7 1 0、フレキシブルディスクドライブ 7 1 2、及ぴ CD— RO Mドライブ 7 1 4を備える。 C PU 700は、 R OM 702及び R AM 704 に格納されたプログラムに基づいて動作し、各部の制御を行う。通信インタフエース 706は、インターネット 1 8に対して通信を行う。データベースインタフエース 7 1 0は、データベースへのデータの書込、及ぴデータベースの内容の更新を行う。

フレキシブルディスクドライブ 7 1 2は、フレキシブルディスク 720からデータ又はプログラムを読み取り C PU 700に提供する。 CD— ROMドライブ 7 14は、 CD— ROM722からデータ又はプログラムを読み取り C P U 700に提供する。データべ一スィンタフエース 7 1 0は、各種データべ一ス 724と接続してデータを送受信する。

ユーザ特定装置 22に提供されるプログラムは、フレキシブルディスク 7 2 0又は CD— ROM7 22等の記録媒体に格納されて利用者によって提供される。記録媒体に格納されたプログラムは圧縮されていても非圧縮であってもよレ、。プログラムは記録媒体から読み出され、 C P U 7 0 0により実行される。記録媒体に格納されて提供されるプログラム、即ちユーザ特定装置 2 2にィンストールされるプログラムは、機能構成として、送受信モジュール、第 1通信情報取得モジュール、第 2通信情報取得モジュール、第 3通信情報取得モジユール、通信情報格納モジュール、及びユーザ端末検出モジュールを有する。各モジュールがユーザ特定装置 2 2に働きかけて行わせる動作は、図 1から図 4において説明したユーザ特定装置 2 2における、対応する部材の動作と同一であるから、説明を省略する。

記録媒体の一例としてのフレキシブルディスク 7 2 0又は C D— R O M 7 2 2には、本出願で説明する全ての実施形態におけるユーザ特定装置 2 2の動作の一部又は全ての機能を格納することができる。

これらのプログラムは記録媒体から直接 R AM 7 0 4に読み出されて実行されても、一旦ハードディスクにィンストールされた後に R AMに読み出されて実行されてもよい。更に、上記プログラムは単一の記録媒体に格納されても複数の記録媒体に格納されてもよい。また、暗号化、圧縮等により符号化された形態で格納されていてもよい。

記録媒体としては、フレキシブルディスク、 C D— R O Mの他にも、 D V D、 P D等の光学記録媒体、 M D等の光磁気記録媒体、テープ媒体、磁気記録媒体、 I Cカードやミニチュアカードなどの半導体メモリ等を用いることができる。また、専用通信ネットワークやインターネットに接続されたサーバシステムに設けたハードディスク又は R AM等の格納装置を記録媒体として使用し、通信網を介してプログラムをユーザ特定装置 2 2に提供してもよい。

なお、第 1実施形態においては、ルータ 2 0 aとインテリジェントハブ 1 6 a及び 1 6 bとが別個に設けられ、ノレータ 2 0 bとインテリジェントハブ 1 6 c及び 1 6 dとが別個に設けられているが、ルータ 2 0 a とインテリジェントハブ 1 6 a及び 1 6 bとが一体となって、ルータ 2 0 aがインテリジヱントハブ 1 6 a及ぴ 1 6 bの機能を有し、ルータ 2 0 bとインテリジェントハブ 1 6 c及び 1 6 dとがー体となって、ルータ 2 0 bがインテリジェントハブ 1 6 c 及び 1 6 dの機能を有してもよい。即ち、本発明に係る第 1格納装置、第 2格納装置、及び第 3格納装置は、同一筐体内に設けられた 1個の機器であってもよい。

また、第 1実施形態において、ユーザ特定システム 1 0は、インテリジェントハブ 1 6 a〜 1 6 dを備えるが、インテリジェントハブ 1 6 a〜 1 6 dに換えて、フォヮ一ディングデータベースを有しないリピータハブを備えてもよい。この場合、ユーザ特定装置 2 2は、物理ポートと MA Cアドレスとが対応づけられた第 3通信情報を取得することができないので、ユーザ端末 1 4 aが接続される物理ポートを検出することができないが、ルータ 2 0 aから取得した第 1通信情報及ぴ第 2通信情報に基づいて、ユーザ端末 1 4 aの MA Cアドレスを検出し、ユーザ端末 1 4 aのユーザを特定することができる。

(第 2実施形態）

図 6は、本発明の第 2実施形態に係るユーザ特定システム 3 0の構成の一例を示す。第 2実施形態において、以下に説明する部分を除き、第 1実施形態と同一であってよい。

ユーザ特定システム 3 0は、 L A N 1 2 a又は 1 2 bに配置され、複数のュ一ザ端末 1 4 a〜 1 4 1がそれぞれ接続されたィンテリジェントハブ 1 6 a〜 1 6 と、 L A N 1 2 a及ぴ 1 2 bとインターネット 1 8とを接続するルータ 3 2 a及ぴ 3 2 bと、ィンターネット 1 8における通信を行ったユーザ端末のユーザ特定するユーザ特定装置 3 4とを備える。

ルータ 3 2 a及び 3 2 bは、本発明のァドレス変換装置及び中継機器の一例であり、プライべ一ト I Pアドレスとグローバル I Pアドレスとを相互に変換して、 L A N 1 2 a及び 1 2 bとインタ一ネット 1 8との間で通信を中継する。ルータ 3 2 a及び 3 2 bは、第 1通信情報及び第 2通信情報に基づいて、グロ一バル I Pアドレスと、当該グローバル I Pァドレスを用いてインターネット 1 8における通信を行ったユーザ端末の MA Cァドレスとが対応づけられたュ —ザ特定情報を生成して、ユーザ特定装置 3 4に供給する。また、ルータ 3 2 a及び 3 2 bは、第 1通信情報、第 2通信情報、及び第 3通信情報に基づいて、グローバル I Pアドレスと、当該グローバル I Pァドレスを用いてインターネット 1 8における通信を行ったユーザ端末が接続されたィンテリジヱントハブの物理ポートとが対応づけられたユーザ特定情報を生成して、ユーザ特定装置 3 4に供給してもよい。ユーザ特定装置 3 4は、ルータ 3 2 a又は 3 2 からユーザ特定情報を取得し、ユーザ特定情報に基づいて、管理者によって指定されたグローバル I Pァドレスに対応づけられたユーザ端末の MA Cァドレスを検出し、第 3通信情報に基づいて、当該 MA Cアドレスを有するユーザ端末のユーザを特定する。また、ユーザ特定装置 3 4は、ルータ 3 2 a又は 3 2 bからユーザ特定情報を取得し、ユーザ特定情報に基づいて、管理者によって指定されたグローバル I Pァドレスに対応づけられたィンテリジヱントハブの物理ポートを検出し、当該物理ポートに接続されたユーザ端末のユーザを特定してちょレヽ。図 7は、第 2実施形態に係るルータ 3 2 aのブロック構成の一例を示す。ルータ 3 2 aは、ィンターネット 1 8に対してデータの送受信を行う外部送受信部 2 0 0と、 L A N 1 2 aに対してデータの送受信を行う内部送受信部 2 0 2 と、ユーザ端末のプライベート I Pアドレスに対してグローバル I Pアドレスを割り当て、外部送受信部 2 0 0と内部送受信部 2 0 2との間で、受信したパケットのプライべ一ト I Pアドレスとグローバル I Pアドレスとを相互に変換するァドレス変換部 2 0 4と、第 1通信情報を格納する第 1通信情報格納部 2 0 8と、第 2通信情報を格納する第 2通信情報格納部 2 1 0と、インテリジェントハブ 1 6 a及び 1 6 bから第 3通信情報を取得する第 3通信情報取得部 2 0 6と、少なくとも第 1通信情報及び第 2通信情報に基づいて、ユーザ特定情報を生成するユーザ特定情報生成部 2 1 2とを備える。第 3通信情報取得部 2 0 6は、物理ポートと MA Cァドレスと機器識別情報とが対応づけられた第 3通信情報を内部送受信部 2 0 2を介してィンテリジヱントハブ 1 6 a及び 1 6 bから取得する。

第 1通信情報格納部 2 0 8は、例えば D H C Pサーバであり、ユーザ端末の MA Cァドレスに対して、プライべ一ト I Pァドレスの割り当て及び解放を行う。そして、第 1通信情報格納部 2 0 8は、ユーザ端末の MA Cアドレスと、当該 MA Cァドレスに対して割り当てられたプライべ一ト I Pアドレスとを対応づけて格納する。また、第 1通信情報格納部 2 0 8は、ユーザ端末の MA C ァドレスと、当該 MA Cァドレスに対して割り当てられたプライべ一ト I Pァドレスとを対応づけて格納する A R Pテーブルを含む A R Pサーバであってもよい。

第 2通信情報格納部 2 1 0は、ァドレス変換部 2 0 4のァドレス変換テープルであり、ユーザ端末に割り当てられたプライベート I Pアドレスと、当該プライべ一ト I pァドレスに割り当てられたグローバル I Pァドレスを格納する。ユーザ特定情報生成部 2 1 2は、第 1通信情報及び第 2通信情報に基づいて、グローバル I Pアドレスと、当該グローバル I Pァドレスを用いてィンターネット 1 8における通信を行ったユーザ端末の MA Cァドレスとが対応づけられたユーザ特定情報を生成する。また、ユーザ特定情報生成部 2 1 2は、第 1通信情報、第 2通信情報、及び第 3通信情報に基づいて、'グローバル I Pァドレスと、当該グローバル I Pァドレスを用いてインターネット 1 8における通信を行ったユーザ端末が接続されたィンテリジェントハブの物理ポートとが対応づけられたユーザ特定情報を生成してもよい。そして、ユーザ特定情報生成部 2 1 2は、生成したユーザ特定情報を外部送受信部 2 0 0を介してユーザ特定装置 3 4に送信する。

図 8は、第 2実施形態に係るユーザ特定装置 3 4のプロック構成の一例を示す。ユーザ特定装置 3 4は、インターネット 1 8に対してデータの送受信を行う送受信部 3 0 0と、ルータ 3 2 a又は 3 2 bが生成したユーザ特定情報を送受信部 3 0 0を介して取得する第 4通信情報取得部 3 0 2と、インテリジェントハブ 1 6 a〜l 6 dが格納する物理ポートと MA Cァドレスと機器識別情報とが対応づけられた第 3通信情報を送受信部 1 0 0を介して取得する第 3通信情報取得部 3 0 6と、ユーザ特定情報及び第 3通信情報を格納する通信情報格納部 3 0 8と、管理者によって指定されたグローバル I Pァドレスを用いてィンターネット 1 8における通信を行ったユーザ端末の MA Cァドレス、又は当該ユーザ端末が接続された物理ポートを検出するユーザ端末検出部 3 1 0とを備える。

ユーザ端末検出部 3 1 0は、通信情報格納部 3 0 8を参照して、管理者によつて指定されたグローバル I Pァドレスに対応づけられた MA Cァドレスをュ一ザ特定情報に基づいて検出し、当該 MA Cァドレスに対応づけられた機器識別情報及び物理ポートを第 3通信情報に基づいて検出する。また、ユーザ端末検出部 3 1 0は、通信情報格納部 3 0 8を参照して、管理者によって指定されたグローバル I Pァドレスに対応づけられた機器識別情報及び物理ポートをュ一ザ特定情報に基づいて検出してもよい。そして、ユーザ特定装置 3 4は、ュ一ザ端末検出部 3 1 0によって検出された MA Cァドレスを有するユーザ端末、又はユーザ端末検出部 1 1 0によって検出された物理ポートを介して通信を行うユーザ端末のユーザを特定する。

第 2実施形態のユーザ特定システム 3 0によれば、ルータ 3 2 a及ぴ 3 2 b が第 1通信情報及び第 2通信情報、又は第 1通信情報、第 2通信情報、及び第 3通信情報からユーザ特定情報を生成してユーザ特定装置 3 4に送信するので、ルータ 3 2 a及び 3 2 bからユーザ特定装置 3 4へ送信されるデータの量を低減させることができる。また、ユーザ特定装置 3 4が多数の L A Nを管理する場合に、管理するデータの量を低減させることができ、ユーザ特定装置 3 4の記録資源を効率的に利用することができる。以上発明の実施の形態を説明したが、本出願に係る発明の技術的範囲は上記の実施の形態に限定されるものではない。上記実施の形態に種々の変更を加えて、請求の範囲に記載の発明を実施することができる。そのような発明が本出願に係る発明の技術的範囲に属することもまた請求の範囲の記載から明らかである。産業上の利用可能性

以上の説明から明らかなように、本発明によれば、プライベート I Pァドレスとグローバル I pァドレスとを相互に変換するルータを介してインターネットにおける通信を行ったユーザ端末のユーザを特定することができる。

Claims

請求の範囲

1 . 第 1アドレス体系の第 1ネットワークに配置され、第 2アドレス体系の第 2ネットワークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定システムであって、

前記ユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた前記第 1ァドレス体系の第 1ァドレスとを対応づけて格納する第 1格納装置と、第 1ァドレスと当該第 1ァドレスに对して割り当てられた前記第 2ァドレス体系の第 2ァドレスとを対応づけて格納する第 2格納装置と、

前記第 1格納装置及び前記第 2格納装置が格納する通信情報に基づいて、前記第 2ネットワークにおける通信を行った前記ユーザ端末のユーザを特定するユーザ特定装置と

を備え、

前記ユーザ特定装置は、

前記第 1格納装置が格納する前記端末識別情報と前記第 1アドレスとが対応づけられた第 1通信情報を取得する第 1通信情報取得部と、

前記第 2格納装置が格納する前記第 1ァドレスと前記第 2ァドレスとが対応づけられた第 2通信情報を取得する第 2通信情報取得部と、

指定された前記第 2ァドレスに対応づけられた前記第 1ァドレスを前記第 2 通信情報に基づいて検出し、当該第 1アドレスに対応づけられた前記端末識別情報を前記第 1通信情報に基づいて検出するユーザ端末検出部と

を有することを特徴とするユーザ特定システム。

2 . 前記第 1格納装置は、前記端末識別情報である MA Cアドレスに対して前記第 1 アドレスであるプライベート I Pアドレスを割り当てる D H C Pサーバであり、前記 MA Cアドレスに対して前記プライベート I Pアドレスを割り当てた場合に、前記ユーザ特定装置に対して前記第 1通信情報を送信することを特徴とする請求項 1に記載のユーザ特定システム。

3 . 前記第 1格納装置は、前記端末識別情報である MA Cアドレスと当該 M A Cァドレスに対して割り当てられた前記第 1ァドレスであるプライべ一ト I Pアドレスとを対応づけて格納する A R Pテーブルを有する A R Pサーバであり、前記ユーザ端末から A R Pリクエストを受信した場合に、前記ユーザ特定装置に対して前記第 1通信情報を送信することを特徴とする請求項 1に記載のユーザ特定システム。

4 . 前記第 2格納装置は、前記第 1ネットワークと前記第 2ネットワークとを接続し、前記第 1ァドレスであるプライべ一ト I Pァドレスに対して前記第 2ァドレスであるグローバル I Pアドレスを割り当てるァドレス変換サーバであり、前記プライべ一ト I Pァドレスに対して前記グローバル I Pアドレスを割り当てた場合に、前記ユーザ特定装置に対して前記第 2通信情報を送信することを特徴とする請求項 1に記載のユーザ特定システム。

5 . 前記第 1ネットワークに配置され、複数の前記ユーザ端末がそれぞれ接続された複数の物理ポートを有し、前記物理ポートと当該物理ポートに接続された前記ユーザ端末の端末識別情報とを対応づけて格納する第 3格納装置をさらに備え、

前記ユーザ特定装置は、前記第 3格納装置が格納する前記物理ポー卜と前記端末識別情報とが対応づけられた第 3通信情報を取得する第 3通信情報取得部をさらに有し、

前記ユーザ端末検出部は、指定された前記第 2アドレスに対応づけられた前記第 1ァドレスを前記第 2通信情報に基づいて検出し、当該第 1ァドレスに対応づけられた前記端末識別情報を前記第 1通信情報に基づいて検出し、当該端末識別情報に対応づけられた前記物理ポートを前記第 3通信情報に基づいて検出する請求項 1に記載のユーザ特定システム。

6 . 前記第 3格納装置は、前記物理ポートと前記端末識別情報である MA C ァドレスとを対応づけて格納するフォワーディングデータベースであり、前記フォヮ一ディングデータベースを更新した場合に、前記ユーザ特定装置に対して前記第 3通信情報を送信することを特徴とする請求項 5に記載のユーザ特定システム。

7 . 前記ユーザ端末が接続された中継機器の物理ポートに割り当てられた V L A Nを識別する V L A N識別情報と、当該物理ポートに接続された前記ユーザ端末の端末識別情報とを対応づけて格納する第 3格納装置をさらに備え、前記ユーザ特定装置は、前記第 3格納装置が格納する前記 V L A N識別情報と前記端末識別情報とが対応づけられた第 3通信情報を取得する第 3通信情報取得部をさらに有し、

前記ユーザ端末検出部は、指定された前記第 2ァドレスに対応づけられた前記第 1アドレスを前記第 2通信情報に基づいて検出し、当該第 1アドレスに対応づけられた前記端末識別情報を前記第 1通信情報に基づいて検出し、当該端末識別情報に対応づけられた前記 V L A N識別情報を前記第 3通信情報に基づいて検出する請求項 1に記載のユーザ特定システム。

8 . 第 1アドレス体系の第 1ネットワークに配置され、第 2アドレス体系の第 2ネットワークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定システムであって、

前記ユーザ端末の端末識別情報と肖該端末識別情報に対して割り当てられた前記第 1ァドレス体系の第 1アドレスとを対応づけて格納する第 1通信情報格納部、第 1ァドレスと当該第 1ァドレスに対して割り当てられた前記第 2ァドレス体系の第 2アドレスとを対応づけて格納する第 2通信情報格納部、及び前記第 1通信情報格納部が格納する前記端末識別情報と前記第 1アドレスとが対応づけられた第 1通信情報、及び前記第 2通信情報格納部が格納する前記第 1 了ドレスと前記第 2ァドレスとが対応づけられた第 2通信情報に基づいて、前記端末識別情報と前記第 2アドレスとが対応づけられたユーザ特定情報を生成するユーザ特定情報生成部を有する中継機器と、

前記第 1ネットワークに配置され、複数の前記ユーザ端末がそれぞれ接続された複数の物理ポートを有し、前記物理ポートと当該物理ポートに接続された前記ユーザ端末の端末識別情報とを対応づけて格納する第 3格納装置と、前記第 3格納装置が格納する通信情報、及び前記中継機器が生成した前記ュ一ザ特定情報に基づいて、前記第 2ネットワークにおける通信を行った前記ュ一ザ端末のユーザを特定するユーザ特定装置と

を備え、

前記ユーザ特定装置は、

前記第 3格納装置が格納する前記物理ポートと前記端末識別情報とが対応づけられた第 3通信情報を取得する第 3通信情報取得部と、

前記中継機器が格納する前記端末識別情報と前記第 2アドレスとが対応づけられた前記ユーザ特定情報を取得する第 4通信情報取得部と、

指定された前記第 2ァドレスに対応づけられた前記端末識別情報を前記ユーザ特定情報に基づいて検出し、当該端末識別情報に対応づけられた前記物理ポートを前記第 3通信情報に基づいて検出するユーザ端末検出部と

を有することを特徴とするユーザ特定システム。

9 . 第 1アドレス体系の第 1ネットワークに配置されたユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた前記第 1ァドレス体系の第 1ァドレスとを対応づけて格納する第 1格納装置と、第 1ァドレスと当該第 1 ァドレスに対して割り当てられた第 2ァドレス体系の第 2ァドレスとを対応づけて格納する第 2格納装置とを備えるユーザ特定システムの、前記第 1格納装置及び前記第 2格納装置が格納する通信情報に基づいて、前記第 2アドレス体系の第 2ネットワークにおける通信を行った前記ユーザ端末のユーザを特定するユーザ特定装置であって、

指定された前記第 2ァドレスに対応づけられた前記第 1了ドレスを前記第 2 通信情報に基づいて検出し、当該第 1ァドレスに対応づけられた前記端末識別情報を前記第 1通信情報に基づいて検出するユーザ端末検出部と

を備えることを特徴とするユーザ特定装置。

1 0 . 前記第 2通信情報取得部は、前記第 1ァドレス及び前記第 2アドレスに、当該第 2アドレスを送信元アドレスとするパケットの宛先アドレスが対応づけられた、前記第 2格納装置が格納する前記第 2通信情報を取得し、

前記ユーザ端末検出部は、指定された前記第 2ァドレス及び前記宛先ァドレスに基づいて前記第 1ァドレスを検出することを特徴とする請求項 9に記載のユーザ特定装置。

1 1 . 前記第 1通信情報及び前記第 2通信情報に对応づけて、前記第 1通信情報及び前記第 2通信情報を取得した時刻をそれぞれ格納する通信情報格納部をさらに備え、

前記ユーザ端末検出部は、前記通信情報格納部が格納する前記時刻を参照して、指定された前記第 2ァドレスに対応づけられた前記第 1ァドレスを検出し、当該第 1ァドレスに対応づけられた前記端末識別情報を検出することを特徴とする請求項 9に記載のユーザ特定装置。

1 2 . 第 1ァドレス体系の第 1ネットワークに配置されたユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた前記第 1ァドレス体系の第 1ァドレスとを対応づけて格納する第 1格納装置と、第 1ァドレスと当該第 1ァドレスに対して割り当てられた第 2ァドレス体系の第 2ァドレスとを対応づけて格納する第 2格納装置とを備えるユーザ特定システムの、前記第 1格納装置及び前記第 2格納装置が格納する通信情報に基づいて、前記第 2ァドレス体系の第 2ネットワークにおける通信を行った前記ユーザ端末のユーザを特定するユーザ特定方法であって、

前記第 1格納装置が格納する前記端末識別情報と前記第 1アドレスとが対応づけられた第 1通信情報を取得する第 1通信情報取得段階と、

前記第 2格納装置が格納する前記第 1ァドレスと前記第 2ァドレスとが対応づけられた第 2通信情報を取得する第 2通信情報取得段階と、

指定された前記第 2ァドレスに対応づけられた前記第 1ァドレスを前記第 3 通信情報に基づいて検出し、当該第 1ァドレスに対応づけられた前記端末識別情報を前記第 2通信情報に基づいて検出するユーザ端末検出段階と

を備えることを特徴とするユーザ特定方法。

1 3 . 第 1ァドレス体系の第 1ネットワークに配置されたユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた前記第 1ァドレス体系の第 1ァドレスとを対応づけて格納する第 1格納装置と、第 1ァドレスと当該第 1ァドレスに対して割り当てられた第 2ァドレス体系の第 2ァドレスとを対応づけて格納する第 2格納装置とを備えるユーザ特定システムの、前記第 1格納装置及び前記第 2格納装置が格納する通信情報に基づいて、前記第 2ァドレス体系の第 2ネットワークにおける通信を行った前記ユーザ端末のユーザを特定するユーザ特定装置用のプログラムであって、

ユーザ特定装置を、

前記第 1格納装置が格納する前記端末識別情報と前記第 1アドレスとが対応づけられた第 1通信情報を取得する第 1通信情報取得部、

前記第 2格納装置が格納する前記第 1ァドレスと前記第 2ァドレスとが対応づけられた第 2通信情報を取得する第 2通信情報取得部、

指定された前記第 2アドレスに对応づけられた前記第 1ァドレスを前記第 3 通信情報に基づいて検出し、当該第 1ァドレスに対応づけられた前記端末識別情報を前記第 2通信情報に基づいて検出するユーザ端末検出部

として機能させることを特徴とするプログラム。

1 4 . 第 1アドレス体系の第 1ネットワークに配置され、第 2アドレス体系の第 2ネットワークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定システムであって、

前記第 1ァドレス体系の第 1ァドレスと前記第 2ァドレス体系の第 2ァドレスとを相互に変換して、前記第 1ネットワークと前記第 2ネットワークとの間で通信を中継するァドレス変換装置と、

前記ァドレス変換装置が生成するユーザ特定情報に基づいて、前記第 2ネットワークにおける通信を行った前記ユーザ端末のユーザを特定するユーザ特定装置と

を備え、

前記ァドレス変換装置は、

前記ュ一ザ端末の端末識別情報と当該端末識別情報に対して割り当てられた前記第 1ァドレス体系の第 1ァドレスとが対応づけられた第 1通信情報を格納する第 1通信情報格納部と、

第 1ァドレスと当該第 1ァドレスに対して割り当てられた第 2ァドレス体系の第 2アドレスとが対応づけられた第 2通信情報を格納する第 2通信情報格納部と、

前記第 1通信情報及び前記第 2通信情報に基づいて、前記第 2アドレスと当該第 2ァドレスを用いて前記第 2ネットワークにおける通信を行った前記ユーザ端末の前記端末識別情報とが対応づけられた前記ユーザ特定情報を生成するユーザ特定情報生成部と

を有することを特徴とするユーザ特定システム。

1 5 . 前記第 1ネットワークに配置され、複数の前記ユーザ端末がそれぞれ接続された複数の物理ポートを有し、前記物理ポートと当該物理ポートに接続された前記ユーザ端末の端末識別情報とを対応づけて格納する第 3格納装置をさらに備え、

前記ァドレス変換装置は、前記第 3格納装置が格納する前記物理ポートと当該物理ポートに接続された前記ユーザ端末の端末識別情報とが対応づけられた第 3通信情報を取得する第 3通信情報取得部をさらに有し、

前記ユーザ特定情報生成部は、前記第 1通信情報、前記第 2通信情報、及び前記第 3通信情報に基づいて、前記第 2ァドレスと当該第 2ァドレスを用いて前記第 2ネットワークにおける通信を行った前記ユーザ端末が接続された前記物理ポートとが対応づけられた前記ユーザ特定情報を生成することを特徴とする請求項 1 4に記載のユーザ特定システム。

1 6 . 第 1ァドレス体系の第 1ァドレスと第 2ァドレス体系の第 2ァドレスとを相互に変換して、前記第 1ァドレス体系の第 1ネットワークと前記第 2ァドレス体系の第 2ネットワークとの間で通信を中継するァドレス変換装置であつて、

前記第 1ネットワークに配置されたユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた前記第 1アドレスとが対応づけられた第 1通信情報を格納する第 1通信情報格納部と、

前記第 1ァドレスに对して前記第 2ァドレスを割り当てるァドレス変換部と、前記第 1ァドレスと当該第 1ァドレスに対して割り当てられたの第 2ァドレスとが対応づけられた第 2通信情報を格納する第 2通信情報格納部と、

前記第 1通信情報及び前記第 2通信情報に基づいて、前記第 2アドレスと当該第 2アドレスを用いて前記第 2ネットワークにおける通信を行った前記ユーザ端末の前記端末識別情報とが対応づけられたユーザ特定情報を生成するユーザ特定情報生成部と

を備えることを特徴とするァドレス変換装置。