WO2004051937A1

WO2004051937A1 - ユーザ特定システム、ユーザ特定装置、ユーザ特定方法、アドレス変換装置、及びプログラム

Info

Publication number: WO2004051937A1
Application number: PCT/JP2003/015475
Authority: WO
Inventors: Hideo Kato
Original assignee: Allied Telesis Holdings K.K.
Priority date: 2002-12-05
Filing date: 2003-12-03
Publication date: 2004-06-17
Also published as: JPWO2004051935A1; WO2004051936A1; WO2004051935A1; US20040003292A1; EP1427171A3; JPWO2004051937A1; AU2003289139A1; JPWO2004051936A1; AU2003289140A1; JP4142015B2; CN1505338A; JP4142014B2; TW200410521A; EP1427171A2; AU2002361080A1

Abstract

　インターネットにおける通信を行ったユーザ端末のユーザを特定するユーザ特定装置であって、ユーザ認証情報とＭＡＣアドレスとが対応づけられた第１通信情報をＲＡＤＩＵＳサーバから取得する第１通信情報取得部と、ＭＡＣアドレスとプライベートＩＰアドレスとが対応づけられた第２通信情報をルータから取得する第２通信情報取得部と、プライベートＩＰアドレスとグローバルＩＰアドレスとが対応づけられた第３通信情報をルータから取得する第３通信情報取得部と、指定されたグローバルＩＰアドレスに基づいて当該グローバルＩＰアドレスを用いて通信を行ったユーザ端末が有するユーザ認証情報を検出するユーザ端末検出部とを備える。

Description

明細書ユーザ特定システム、ユーザ特定装置、ユーザ特定方法、アドレス変換装置、及びプログラム

技分野

本発明は、ユーザ特定システム、ユーザ特定装置、ユーザ特定方法、ァドレス変換装置、及びプログラムに関する。特に本発明は、アドレス体系の異なる 2つのネットワークを介して通信を行ったユーザ端末のユーザを特定するためのユーザ特定システム、ユーザ特定装置、ユーザ特定方法、アドレス変換装置、及びプログラムに関する。また本出願は、下記の日本特許出願に関連する。文献の参照による組み込みが認められる指定国については、下記の出願に記載された内容を参照により本出願に組み込み、本出願の記載の一部とする。

P C T/ J P 0 2 / 1 2 7 9 5 出願日 2 0 0 2年 1 2月 5日

背景技術

近年のインターネットの急速な膨張に伴い、ホームページや電子掲示板における名誉毀損、著作権侵害、プライバシー侵害等の不法行為等の問題が数多く指摘されるようになっている。そのため、近時、「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」が施行された。この法律は、特定電気通信による情報の流通によって権利の侵害があった場合について、特定電気通信役務提供者（プロバイダ、サーバの管理者等）の損害賠償責任の制限及び発信者情報の開示を請求する権利について定め、特定電気通信による情報の流通により自己の権利を侵害されたとする者が、関係するプロバイダ等に対し、当該プロバイダ等が保有する発信者の情報の開示を請求できる規定を設けている。そのため、プロバイダは、発信者の情報の開示の請求に対応するため、自己の権利を侵害されたとする者から提供された情報、例えば発信者の I Pァドレスに基づいて発信者を特定できることが望ましい。

しかしながら、複数のユーザが同一の I Pァドレスを用いてィンターネット上で通信を行う、公衆無線 L A Nサービス等を提供するプロバイダでは、発信者の I Pアドレスに基づいてユーザを特定することが困難であり、発信者の情報の開示の請求に迅速に対応することができないという問題がある。

そこで本発明は、上記の課題を解決することのできるユーザ特定システム、ユーザ特定装置、ユーザ特定方法、アドレス変換装置、及びプログラムを提供することを目的とする。この目的は請求の範囲における独立項に記載の特徴の組み合わせにより達成される。また従属項は本発明の更なる有利な具体例を規定する。発明の開示

このような目的を達成するために、本発明の第 1の形態によれば、第 1アドレス体系の第 1ネットワークに配置され、第 2ァドレス体系の第 2ネットヮークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定システムであって、第 1ネットワークに配置され、第 1ネットワーク内において複数のュ一ザ端末と通信を行う中継機器と、ユーザ端末による中継機器を介した通信を許可するための認証を行う情報としてユーザ毎に割り当てられたユーザ認証情報と、当該ユーザ認証情報による認証が成立したユーザ端末の端末識別情報とを対応づけて格納するユーザ認証装置と、ユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた第 1アドレス体系の第 1ァドレスとを対応づけて格納する第 1格納装置と、第 1アドレスと当該第 1ァドレスに対して割り当てられた第 2ァドレス体系の第 2ァドレスとを対応づけて格納する第 2格納装置と、ユーザ認証装置、第 1格納装置、及び第 2格納装置が格納する情報に基づいて、第 2ネットワークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定装置とを備える。

ユーザ特定装置は、ユーザ認証装置が格納するユーザ認証情報と端末識別情報とが対応づけられた第 1通信情報を取得する第 1通信情報取得部と、第 1格納装置が格納する端末識別情報と第 1ァドレスとが対応づけられた第 2通信情報を取得する第 2通信情報取得部と、第 2格納装置が格納する第 1ァドレスと第 2アドレスとが対応づけられた第 3通信情報を取得する第 3通信情報取得部と、指定された第 2アドレスに対応づけられた第 1アドレスを第 3通信情報に基づいて検出し、当該第 1ァドレスに対応づけられた端末識別情報を第 2通信情報に基づいて検出し、当該端末識別情報に対応づけられたユーザ認証情報を第 1通信情報に基づいて検出するユーザ端末検出部とを有する。

中継機器は、ユーザ端末から通信要求があった場合に、ユーザ端末からユーザ認証情報及び端末識別情報を取得してユーザ認証装置に送信し、ユーザ認証装置は、無線通信機器から受信したユーザ認証情報を認証し、当該ユーザ認証情報による認証が成立した場合に、ユーザ端末による中継機器を介した通信を許可すべく中継機器を設定するとともに、ユーザ特定装置に対して第 1通信情報を送信してもよい。

第 1格納装置は、端末識別情報である MA Cアドレスに対して第 1アドレスであるプライべ一ト I Pァドレスを割り当てる D H C Pサーバであり、 MA C ァドレスに対してプライべ一ト I Pァドレスを割り当てた場合に、ユーザ特定装置に対して第 2通信情報を送信してもよい。

第 1格納装置は、端末識別情報である MA Cァドレスと当該 MA Cァドレスに対して割り当てられた第 1ァドレスであるプライべ一ト I Pアドレスとを対応づけて格納する A R Pテーブルを有する A R Pサーバであり、ユーザ端末から A R Pリクエストを受信した場合に、ユーザ特定装置に対して第 2通信情報を送信してもよレ、。

第 2格納装置は、第 1ネットワークと第 2ネットワークとを接続し、第 1ァドレスであるプライべ一ト I Pァドレスに対して第 2ァドレスであるグローバル I Pアドレスを割り当てるァドレス変換装置を有し、プライベート I Pアドレスに対してグローバル I Pアドレスを割り当てた場合に、ユーザ特定装置に対して第 3通信情報を送信してもよい。

また、本発明の第 2の形態によれば、第 1アドレス体系の第 1ネットワークに配置され、第 2ァドレス体系の第 2ネットワークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定システムであって、第 1ネットワークに配置され、第 1ネットワーク内において複数のユーザ端末と通信を行う第 1中継機器と、ユーザ端末による中継機器を介した通信を許可するための認証を行う情報としてユーザ毎に割り当てたれたユーザ認証情報と、当該ユーザ認証情報による認証が成立したユーザ端末の端末識別情報とを対応づけて格納するュ一ザ認証装置と、ユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた第 1ァドレス体系の第 1ァドレスとを対応づけて格納する第 1通信情報格納部、第 1ァドレスと当該第 1ァドレスに対して割り当てられた第 2ァドレス体系の第 2ァドレスとを対応づけて格納する第 2通信情報格納部、及ぴ第 1通信情報格納部が格納する端末識別情報と第 1ァドレスとが対応づけられた第 1通信情報、及び第 2通信情報格納部が格納する第 1ァドレスと第 2ァドレスとが対応づけられた第 2通信情報に基づいて、端末識別情報と第 2ァドレスとが対応づけられたユーザ特定情報を生成するユーザ特定情報生成部を有する第 2中継機器と、ユーザ認証装置が格納する通信情報、及び第 2中継機器が生成したユーザ特定情報に基づいて、第 2ネットワークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定装置とを備える。

ユーザ特定装置は、ユーザ認証装置が格納するユーザ認証情報と端末識別情報とが対応づけられた第 1通信情報を取得する第 1通信情報取得部と、第 2中継機器が格納する端末識別情報と第 2アドレスとが対応づけられたユーザ特定情報を取得する第 4通信情報取得部と、指定された第 2アドレスに対応づけられた端末識別情報をユーザ特定情報に基づいて検出し、当該端末識別情報に対応づけられたユーザ認証情報を第 1通信情報に基づいて検出するユーザ端末検出部とを有する。

また、本発明の第 3の形態によれば、第 1アドレス体系の第 1ネットワークに配置され、第 1ネットワーク内において複数のユーザ端末と通信を行う中継機器と、ユーザ端末による中継機器を介した通信を許可するための認証を行う情報としてユーザ毎に割り当てられたユーザ認証情報と、当該ユーザ認証情報による認証が成立したユーザ端末の端末識別情報とを対応づけて格納するユーザ認証装置と、ユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた第 1ァドレス体系の第 1ァドレスとを対応づけて格納する第 1格納装置と、第 1ァドレスと当該第 1ァドレスに対して割り当てられた第 2ァドレス体系の第 2ァドレスとを対応づけて格納する第 2格納装置とを備えるユーザ特定システムの、ユーザ認証装置、第 1格納装置、及び第 2格納装置が格納する通信情報に基づいて、第 2アドレス体系の第 2ネットワークにおける通信を行つたユーザ端末のユーザを特定するユーザ特定装置であって、ユーザ認証装置が格納するユーザ認証情報と端末識別情報とが対応づけられた第 1通信情報を取得する第 1通信情報取得部と、第 1格納装置が格納する端末識別情報と第 1 アドレスとが対応づけられた第 2通信情報を取得する第 2通信情報取得部と、第 2格納装置が格納する第 1ァドレスと第 2ァドレスとが対応づけられた第 3 通信情報を取得する第 3通信情報取得部と、指定された第 2ァドレスに対応づけられた第 1ァドレスを第 3通信情報に基づいて検出し、当該第 1ァドレスに対応づけられた端末識別情報を第 2通信情報に基づいて検出し、当該端末識別情報に対応づけられたユーザ認証情報を第 1通信情報に基づいて検出するユーザ端末検出部とを備える。

第 3通信情報取得部は、第 1アドレス及び第 2アドレスに、当該第 2ァドレスを送信元ァドレスとするバケツトの宛先ァドレスが対応づけられた、第 2格納装置が格納する第 3通信情報を取得し、ユーザ端末検出部は、指定された第 2ァドレス及び宛先ァドレスに基づいて第 1ァドレスを検出してもよい。

第 1通信情報、第 2通信情報、及び第 3通信情報に対応づけて、第 1通信情報、第 2通信情報、及び第 3通信情報を取得した時刻をそれぞれ格納する通信情報格納部をさらに備え、ユーザ端末検出部は、通信情報格納部が格納する時刻を参照して、指定された第 2ァドレスに対応づけられた第 1ァドレスを検出し、当該第 1アドレスに対応づけられた端末識別情報を検出し、当該端末識別情報に対応づけられたユーザ認証情報を検出してもよい。

また、本発明の第 4の形態によれば、第 1アドレス体系の第 1ネットワークに配置され、第 1ネットワーク内において複数のユーザ端末と通信を行う中継機器と、ユーザ端末による中継機器を介した通信を許可するための認証を行う情報としてユーザ毎に割り当てられたユーザ認証情報と、当該ユーザ認証情報による認証が成立したユーザ端末の端末識別情報とを対応づけて格納するユーザ認証装置と、ユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた第 1ァドレス体系の第 1ァドレスとを対応づけて格納する第 1格納装置と、第 1ァドレスと当該第 1ァドレスに対して割り当てられた第 2アドレス体系の第 2ァドレスとを対応づけて格納する第 2格納装置とを備えるユーザ特定システムの、ユーザ認証装置、第 1格納装置、及び第 2格納装置が格納する通信情報に基づいて、第 2ァドレス体系の第 2ネットワークにおける通信を行つたユーザ端末のュ一ザを特定するユーザ特定方法であって、ユーザ認証装置が格納するユーザ認証情報と端末識別情報とが対応づけられた第 1通信情報を取得ずる第 1通信情報取得段階と、第 1格納装置が格納する端末識別情報と第 1アドレスとが対応づけられた第 2通信情報を取得する第 2通信情報取得段階と、第 2格納装置が格納する第 1ァドレスと第 2アドレスとが対応づけられた第 3通信情報を取得する第 3通信情報取得段階と、指定された第 2アドレスに対応づけられた第 1ァドレスを第 3通信情報に基づいて検出し、当該第 1ァドレスに対応づけられた端末識別情報を第 2通信情報に基づいて検出し、当該端末識別情報に対応づけられたユーザ認証情報を第 1通信情報に基づいて検出するポート検出段階とを備える。

また、本発明の第 5の形態によれば、第 1アドレス体系の第 1ネットワークに配置され、第 1ネットワーク内において複数のユーザ端末と通信を行う中継機器と、ユーザ端末による中継機器を介した通信を許可するための認証を行う情報としてユーザ毎に割り当てられたユーザ認証情報と、当該ユーザ認証情報による認証が成立したユーザ端末の端末識別情報とを対応づけて格納するユーザ認証装置と、ユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた第 1ァドレス体系の第 1ァドレスとを対応づけて格納する第 1格納装置と、第 1アドレスと当該第 1アドレスに対して割り当てられた第 2アドレス体系の第 2アドレスとを対応づけて格納する第 2格納装置とを備えるユーザ特定システムの、ユーザ認証装置、第 1格納装置、及び第 2格納装置が格納する通信情報に基づいて、第 2ァドレス体系の第 2ネットワークにおける通信を行つたユーザ端末のユーザを特定するユーザ特定装置用のプログラムであって、ユーザ特定装置を、ユーザ認証装置が格納するユーザ認証情報と端末識別情報とが対応づけられた第 1通信情報を取得する第 1通信情報取得部、第 1格納装置が格納する端末識別情報と第 1ァドレスとが対応づけられた第 2通信情報を取得する第 2通信情報取得部、第 2格納装置が格納する第 1ァドレスと第 2ァドレスとが对応づけられた第 3通信情報を取得する第 3通信情報取得部、指定された第 2ァドレスに对応づけられた第 1ァドレスを第 3通信情報に基づいて検出し、当該第 1ァドレスに対応づけられた端末識別情報を第 2通信情報に基づいて検出し、当該端末識別情報に対応づけられたユーザ認証情報を第 1通信情報に基づいて検出するユーザ端末検出部として機能させる。

また、本発明の第 6の形態によれば、第 1アドレス体系の第 1ネットワークに配置され、第 2アドレス体系の第 2ネットワークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定システムであって、第 1ネットワークに配置され、第 1ネットワーク内において複数のユーザ端末と通信を行う中継機器と、ユーザ端末による中継機器を介した通信を許可するための認証を行う情報としてユーザ毎に割り当てられたユーザ認証情報と、当該ユーザ認証情報による認証が成立したユーザ端末の端末識別情報とを対応づけて格納するユーザ認証装置と、第 1ァドレス体系の第 1ァドレスと第 2ァドレス体系の第 2ァドレスとを相互に変換して、第 1ネットワークと第 2ネットワークとの間で通信を中継するァドレス変換装置と、ァドレス変換装置が生成するユーザ特定情報に基づいて、第 2ネットワークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定装置とを備える。

ァドレス変換装置は、ユーザ認証装置が格納するユーザ認証情報と端末識別情報とが対応づけられた第 1通信情報を取得する第 1通信情報取得部と、ユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた第 1ァドレス体系の第 1アドレスとが対応づけられた第 2通信情報を格納する第 2通信情報格納部と、第 1ァドレスと当該第 1ァドレスに対して割り当てられた第 2ァドレス体系の第 2アドレスとが対応づけられた第 3通信情報を格納する第 3通信情報格納部と、第 1通信情報、第 2通信情報、及び第 3通信情報に基づいて、第 2ァドレスと当該第 2ァドレスを用いて第 2ネットワークにおける通信を行つたユーザ端末が有するユーザ認証情報とが対応づけられたユーザ特定情報を生成するユーザ特定情報生成部とを有する。

また、本発明の第 7の形態によれば、第 1アドレス体系の第 1アドレスと第 2アドレス体系の第 2アドレスとを相互に変換して、第 1アドレス体系の第 1 ネットワークと第 2ァドレス体系の第 2ネットワークとの間で通信を中継するァドレス変換装置であって、第 1ネットワークに配置されて複数のユーザ端末と通信を行う中継機器を介したユーザ端末による通信を許可するための認証を行うユーザ認証装置から、ユーザ端末による通信を許可するための認証を行う情報としてユーザ毎に割り当てられたユーザ認証情報と、当該ユーザ認証情報による認証が成立したユーザ端末の端末識別情報とが対応づけられた第 1通信情報を取得する第 1通信情報取得部と、端末識別情報と当該端末識別情報に対して割り当てられた第 1ァドレスとが対応づけられた第 2通信情報を格納する第 2通信情報格納部と、第 1ァドレスに対して第 2ァドレスを割り当てるァドレス変換部と、第 1アドレスと当該第 1アドレスに対して割り当てられたの第 2アドレスとが対応づけられた第 3通信情報を格納する第 3通信情報格納部と、第 1通信情報、第 2通信情報、及び第 3通信情報に基づいて、第 2アドレスと当該第 2ァドレスを用いて第 2ネットワークにおける通信を行ったユーザ端末が有するユーザ認証情報とが対応づけられたユーザ特定情報を生成するユーザ特定情報生成部とを備える。

なお上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではなく、これらの特徴群のサブコンビネーションも又発明となりうる。図面の簡単な説明

図 1は、第 1実施形態に係るユーザ特定システム 1 0のシステム構成の一例を示す。

図 2は, 第 1実施形態に係るユーザ特定装置 2 2のブロック構成の一例を示す。

図 3は、第 1実施形態に係る通信情報格納部 1 0 8のデータ構成の一例を示す。

図 4は、第 1実施形態に係るユーザ特定システム 1 0のユーザ特定方法の一例を示す。

図 5は、第 1実施形態に係るユーザ特定装置 2 2のハードウエア構成の一例を示す。

図 6は、第 2実施形態に係るユーザ特定システム 3 0の構成の一例を示す。図 7は、第 2実施形態に係るルータ 3 2 aのブロック構成の一例を示す。図 8は、第 2実施形態に係るユーザ特定装置 3 4のブロック構成の一例を示す。発明を実施するための最良の形態

以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は請求の範囲に係る発明を限定するものではなく、又実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。 (第 1実施形態）

図 1は、本発明の第 1実施形態に係るユーザ特定システム 1 0のシステム構成の一例を示す。ユーザ特定システム 1 0は、 LAN (L o c a l A r e a N e t w o r k) 1 2 a又は 1 2 bに配置され、 L A N 1 2 a又は 1 2 bにおいて複数のユーザ端末 14 a〜 14 1 と無線通信を行う無線 L A Nステーション 1 6 a〜1 6 dと、 LAN 1 2 a及び 1 2 bとィンターネット 1 8とを接続するルータ 20 a及び 20 bと、インターネット 1 8における通信を行ったュ一ザ端末のユーザ特定するユーザ特定装置 22と、ユーザ端末 14 a〜l 4 1 による無線 LANステーション 1 6 a〜 1 6 d又はルータ 20 a及び 20 bを介した通信を許可するための認証を行う RAD I U Sサーバ 24 a及び 24 b とを備える。なお、 LAN 1 2 a及び 1 2 bは、本発明の第 1ァドレス体系の第 1ネットワークの一例であり、インタ一ネット 1 8は、本発明の第 2ァドレス体系の第 2ネットワークの一例である。また、無線 LANステーション 1 6 a〜 1 6 d及びルータ 20 a及び 20 bは、本発明の中継機器の一例であり、 RAD I USサーバ 24 a及び 24 bは、本発明のユーザ認証装置の一例である。また、本発明の中継機器は、無線 LANステーション 1 6 a〜 1 6 dに限られず、 VLAN (V i r t u a l LAN) 機能等の通信制限を行う機能を有するスィッチングハブ等の有線通信を行う機器であってもよい。

また、 LAN 1 2 a及び 1 2 bは、例えば公衆無線 L A Nサービスによって構築され、無線 LANステーション 1 6 a〜1 6 d又はルータ 20 a及び 20 bの V LAN機能により、ユーザ端末間の通信が制限されている。なお、ブラィベート I Pァドレスは、本発明の第 1ァドレス体系の第 1ァドレスの一例であり、グローバル I Pアドレスは、本発明の第 2ァドレス体系の第 2ァドレスの一例である。また、本発明の第 2アドレス体系の第 2アドレスは、グローバノレ I Pアドレス及ぴポート番号を含んでもよい。

無線 LANステーション 1 6 a〜1 6 dは、ユーザ端末 14 a〜 14 1から通信要求があった場合に、ユーザ端末 1 4 a〜 1 4 1による無線 LANステーシヨン 1 6 a〜1 6 dを介した通信を許可するための認証を行う情報としてュ —ザ毎に割り当てられたユーザ認証情報、及びユーザ端末 14 a〜l 4 1の端末識別情報である MACァドレスをュ一ザ端末 1 4 a〜 1 4 1から取得して、 RAD I U Sサーバ 24 a又は 24 bに送信する。ここで、ユーザ認証情報とは、例えばユーザ I D、パスワード等である。

RAD I USサーバ 24 a及び 24 bは、無線 LANステーション 1 6 a〜 1 6 dから受信したユーザ認証情報を認証し、当該ユーザ認証情報による認証が成立した場合に、当該ユーザ認証情報を有するユーザ端末による無線 L A N ステーション 1 6 a〜l 6 dを介した通信を許可すべく無線 LANステーション 1 6 a〜1 6 dを設定するとともに、ユーザ認証情報と当該ユーザ認証情報による認証が成立したユーザ端末の MACァドレスとを対応づけて格納し、また、ユーザ認証情報と MACアドレスとを対応づけて、第 1通信情報としてュ一ザ特定装置 22に送信する。

また、無線 LANステーション 1 6 a〜： I 6 d又はルータ 20 a及び 20 b において複数の V LANがそれぞれ割り当てられている場合には、 RAD I U Sサーバ 24 a及び 24 bは、ユーザ認証情報に代えて V L A N名と M A Cァドレスとを対応づけて、第 1通信情報としてユーザ特定装置 22に送信してもよレヽ。また、 RAD I U Sサーバ 24 a又は 24 bは、例えば S y s 1 o g Me s s a g eを用いて第 1通信情報を送信してもよいし、 SNMP (S i m p i e N e t wo r k Ma n a g eme n t P r o t o c o l ) の T r a pを用いて第 1通信情報を送信してもよい。なお、 RAD I USサーバ 24 a及び 24 bは、図 1に示すように LAN 1 2 a又は 1 2 b内に配置されてもょレヽし、またィンターネット 1 8上に配置されてもよレ、。

ルータ 20 a及び 20 bは、本発明の第 1格納装置の一例であり、複数のュ一ザ端末の MACアドレスと、当該 MACアドレスに对して割り当てられたプライべ一ト I Pァドレスとを対応づけて格納する。ルータ 20 a及び 20 bは. DHCPサーバを有し、ユーザ端末の MACアドレスに対して、プライベート 1 Pァドレスの割り当て及び解放を行う。そして、ノレータ 20 a及び 20 bは、 MACアドレスとプライベート I Pアドレスとを対応づけて、第 2通信情報としてユーザ特定装置 22に送信する。ルータ 20 a及び 20 bは、例えば MA Cァドレスに対してプライべ一ト I Pァドレスを割り当てた場合に第 2通信情報をユーザ特定装置 22に送信する。また、ルータ 20 a及ぴ 20 bは、例えばプライべ一ト I Pァドレスを解放した場合に第 2通信情報をユーザ特定装置

22に送信してもよい。

また、ルータ 20 a及ぴ 20 bは、ユーザ端末の MACアドレスと、当該 M ACァドレスに対して割り当てられたプライべ一ト I Pァドレスとを対応づけて格納する AR Pテーブルを含む AR Pサーバを有する。そして、ルータ 20 a及び 20 bは、 MACァドレスとプライべ一ト I Pァドレスとを対応づけて、第 2通信情報としてユーザ特定装置 22に送信する。ルータ 20 a及ぴ 20 b は、例えばユーザ端末から ARPリクエストを受信した場合に第 2通信情報をユーザ特定装置 2 2に送信する。また、ルータ 20 a及び 20 bは、例えばュ一ザ端末に ARPリプライを返信した場合に第 2通信情報をユーザ特定装置 2 2に送信してもよレ、。また、ルータ 20 a及び 20 bは、例えば S y s 1 o g Me s s a g eを用いて第 2通信情報を送信してもよいし、 S NMPの T r a Pを用いて第 2通信情報を送信してもよい。

また、ルータ 20 a及び 20 bは、本発明の第 2格納装置の一例であり、ュ一ザ端末に割り当てられたプライベート I Pアドレスと、当該プライベート I Pァドレスに割り当てられたグロ一バル I Pァドレスを格納する。ルータ 20 a及び 20 bは、プライべ一ト I Pアドレスに対してグローバル I Pアドレスを割り当てるァドレス変換装置を有し、受信したバケツトのプライべ一ト I P アドレスとグロ一バル I Pァドレスとを相互に変換して、 LAN 1 2 a又は 1 2 bとインターネット 1 8との間で通信を中継する。そして、ルータ 20 a及び 20 bは、格納するプライべ一ト I Pアドレスとグローバル I Pアドレスとを対応づけて、第 3通信情報としてユーザ特定装置 22に送信する。ルータ 2 0 a及び 20 bは、例えばプライべ一ト I Pァドレスに対してグローバル I P ァドレスを割り当てた場合に第 3通信情報をユーザ特定装置 22に送信する。また、ルータ 20 a及び 20 bは、例えば S y s l o g Me s s a g eを用いて第 3通信情報を送信してもよいし、 SNMPの T r a pを用いて第 3通信情報を送信してもよい。

また、ルータ 20 a及び 20 bは、例えばグローバル I Pアドレスを解放した場合に第 3通信情報をユーザ特定装置 22に送信してもよい。また、ルータ 20 a及び 2 O bは、 I Pマスカレード機能を有する場合、ユーザ端末に割り当てられたプライべ一ト I Pアドレスと、当該プライべ一ト I Pァドレスに割り当てられたグローバル I Pアドレス及びポート番号を格納し、プライベート

1 Pアドレスとグローバル I Pァドレス及びポート番号と対応づけて、を第 3 通信情報としてユーザ特定装置 22に送信してもよい。

また、ルータ 20 a及ぴ 20 bは、プライべ一ト I Pァドレス及ぴグローバル I Pァドレスに、当該グローバル I Pァドレスを送信元ァドレスとするパケットの宛先アドレスをさらに対応づけて、第 3通信情報としてユーザ特定装置

22に送信してもよい。ルータ 20 a及び 20 bは、例えばユーザ端末とインターネット 1 8との通信を中継する場合に第 3通信情報をユーザ特定装置 22 に送信してもよレ、。

ユーザ特定装置 22は、 RAD I USサーバ 24 a及ぴ 24 bが格納する第 1通信情報、並びにルータ 20 a及び 20 bが格納する第 2通信情報及び第 3 通信情報に基づいて、インターネット 1 8における通信を行ったユーザ端末が有するユーザ認証情報を検出し、当該ユーザ認証情報に基づいてユーザ端末のユーザを特定する。なお、ユーザ特定装置 2 2は、図 1に示すようにインターネット 1 8上に配置されてもよいし、また LAN 1 2 a又は 1 2 b内に配置されてもよレヽ。

ルータ 20 a及ぴ 20 bは、ユーザ端末 14 a〜l 4 1から受信したバケツ卜の送信元 I Pアドレスを、ユーザ端末 1 4 a〜 1 4 1に割り当てられたプラィベート I Pァドレスから、ルータ 2 0 a又は 2 0 bに割り当てられたグロ一バノレ I Pアドレスに変換してインターネット 1 8に送信する。そのため、ルータ 2 0 a又はルータ 2 0 bからインターネット 1 8に送信されたバケツトの送信元 I Pアドレスから、ユーザ端末 1 4 a〜 1 4 1を特定することがでない。しかしながら、このような場合において、ユーザ特定システム 1 0は、インターネット 1 8における通信を行ったユーザ端末のユーザを特定することを可能にする。図 2は、第 1実施形態に係るユーザ特定装置 2 2のプロック構成の一例を示す。ユーザ特定装置 2 2は、インターネット 1 8に対してデータの送受信を行う送受信部 1 0 0と、 R A D I U Sサーバ 2 4 a及び 2 4 bが格納するユーザ認証情報と MA Cァドレスとが対応づけられた第 1通信情報を送受信部 1 0 0 を介して取得する第 1通信情報取得部 1 0 2と、ルータ 2 0 a及び 2 0 bが格納する MA Cァドレスとプライべ一ト I Pァドレスとが対応づけられた第 2通信情報を送受信部 1 0 0を介して取得する第 2通信情報取得部 1 0 4と、ルータ 2 0 a及び 2 0 bが格納するプライべ一ト I Pァドレスとグロ一バル I Pァドレスとが対応づけられた第 3通信情報を送受信部 1 0 0を介して取得する第 3通信情報取得部 1 0 6と、第 1通信情報、第 2通信情報、及び第 3通信情報を格納する通信情報格納部 1 0 8と、管理者によって指定されたグローバル I Pァドレスを用いてィンターネット 1 8における通信を行ったユーザ端末が有するユーザ認証情報を検出するユーザ端末検出部 1 1 0とを備える。

なお、第 1通信情報取得部 1 0 2、第 2通信情報取得部 1 0 4、及び第 3通信情報取得部 1 0 6のそれぞれは、ルータ 2 0 a若しくは及ぴ 2 0 b又は R A D I U Sサーバ 2 4 a若しくは 2 4 bが送信する第 1通信情報、第 2通信情報、及び第 3通信情報のそれぞれを受動的に取得してもよいし、送信要求パケットを送ることによって能動的にルータ 2 0 a若しくは及び 2 0 b又は R A D I U Sサーバ 2 4 a若しぐは 2 4 bから第 1通信情報、第 2通信情報、及び第 3通信情報のそれぞれを取得してもよい。

ユーザ端末検出部 1 1 0は、通信情報格納部 1 08が格納する通信情報を参照して、管理者によって指定されたグローバル I Pアドレスに対応づけられたプライべ一ト I Pァドレスを第 3通信情報に基づいて検出し、当該プライべ一ト I Pァドレスに対応づけられた MACァドレスを第 2通信情報に基づいて検出し、当該 MACァドレスに対応づけられたユーザ認証情報を第 1通信情報に基づいて検出する。そして、ユーザ特定装置 22は、ユーザ端末検出部 1 1 0 によって検出されたユーザ認証情報を用いて介して RAD I U Sサーバ 24 a 又は 24 bにアクセスするユーザ端末のユーザを特定する。図 3は、第 1実施形態に係る通信情報格納部 1 08のデータ構成の一例を示す。通信情報格納部 1 08は、第 1通信情報、第 2通信情報、及び第 3通信情報に対応づけて、第 1通信情報、第 2通信情報、及び第 3通信情報を RAD I USサーバ 24 a又は 24 b又はルータ 20 a若しくは 20 bから取得した時刻を格納する。

第 1行（L 1) は、第 1通信情報取得部 1 02が RAD I USサーバから取得した第 1通信情報である。通信情報格納部 108は、時刻「2003 S e p 1 23 : 50 : 23」と、ルータのグローバノレ I Pアドレス「2 1 8. 47. 6 2. a a a」と、ユーザ I D 「AAA」と、 VLAN名「V 200」と、ユーザ端末の MACアドレス「00— 90— 9 9—48— 85— * *」とが対応づけられた第 1通信情報を格納する。

第 2行（L 2) 及び第 3行（L 3) は、第 2通信情報取得部 1 04がルータが有する D H C Pサーバから取得した第 2通信情報である。通信情報格納部 1 08は、第 2行（L 2) に示すように、時刻「200 3 S e p 1 23 : 50 ： 34」と、ノレ一タのグローバノレ I Pァドレス「2 1 8. 4 7. 62. a a a J と、プライべ一ト I Pアドレス「1 92. 1 6 8. 1. 1 00」と、 M ACアドレス「00— 90— 9 9— 48— 85— * *」とが対応づけられた第 2通信情報を格納する。当該第 2通信情報は、時刻「 2 0 0 3 S e p 1

23 ： 50 ： 34 J に MACァドレス「00— 90— 9 9— 48— 8 5—* * 」に割り当てられていたプライベート I Pアドレス「 1 9 2. 1 68. 1. 1 00」が解放されたことを示す。また、通信情報格納部 1 08は、第 3行（L 3) に示すように、時亥 IJ 「2003 S e p 1 23 : 50 : 38」と、ル —タのグローバル I pアドレス「2 1 8. 47. 6 2. a a a」と、プライべート I Pアドレス「1 92. 1 6 8. 1. 1 00」と、 MACァドレス「00 — 90— 99—48—8 5—* *」とが対応づけられた第 2通信情報を格納する。当該第 2通信情報は、時刻「2003 S e p 1 2 3 : 50 : 34」に MACアドレス「00— 90— 9 9— 48— 8 5— * *」に対してプライべート I Pアドレス「1 92. 1 68. 1. 1 00」を割り当てたことを示す。第 4行（L 4) は、第 2通信情報取得部 1 04がルータが有する ARPテーブルから取得した第 2通信情報である。通信情報格納部 1 08は、時刻「 20

03 S e p 1 23 : 50 : 5 5」と、ルータのグローバル I Pアドレス「2 1 8. 4 7. 6 2. a a a」と、 M A Cアドレス「00— 90— 9 9— 4

8— 8 5—* *」と、プライベート I Pアドレス「1 9 2. 1 68. 1. 10 0J とが対応づけられた第 2通信情報を格納する。当該第 2通信情報は、時刻「200 3 S e p 1 2 3 : 50 : 55」に MACァドレス「00— 90 — 9 9— 48— 8 5— * *」とプライベート I Pアドレス「 1 92. 1 68. 1. 1 00」との組み合わせが AR Pテーブルに追加されたことを示す。

第 5行（L 5) は、第 3通信情報取得部 1 06がルータが有するアドレス変換装置の一例である F i r e w a 1 1サーバから取得した第 3通信情報である。通信情報格納部 1 08は、時刻「2003 S e p 1 2 3 : 5 1 : 1 2」と、ルータのグローバル I Pアドレス「2 1 8. 4 7. 6 2. a a a」と、プライべート I Pアドレス及びポート番号「 1 9 2. 1 68. 1. 1 00 : 1 0 3 1 j と、バケツトの宛先ァドレスであるグローバル I Pァドレス及びポート番号「2 10. 1 53. 1. b b b ： 5 3」とが対応づけられた第 3通信情報を格納する。当該第 3通信情報は、時刻「2003 S e p 1 2 3 : 5 1 ： 1 2」に、プライべ一ト I Pアドレス「1 92. 1 68. 1. 1 00」が割り当てられたユーザ端末がグローバル I Pアドレス「2 1 0. 1 53. 1. b b b」の通信機器に対して UDPによりパケットを送信したことを示す。第 6 行（L 6) 〜第 1 1行（L 1 1) は、第 5行（L 5) と同様の第 3通信情報である。

例えば、管理者によってグローバル I Pアドレス「2 1 8. 4 7. 62. a a a j 、宛先ァドレス「2 10. 1 53. 1. b b b」、及び時刻が指定された場合、ユーザ端末検出部 1 1 0は、通信情報格納部 1 08が格納する時刻を参照して、グローノノレ I Pアドレス「2 1 8. 47. 6 2. a a a」及ぴ宛先アドレス「2 1 0. 1 5 3. 1. b b b」に対応づけられたプライベート I P アドレス「1 92. 1 68. 1. 1 00」を第 7行（L 7) の第 3通信情報に基づいて検出する。そして、ユーザ端末検出部 1 1 0は、プライベート I Pァドレス「 1 9 2. 1 68. 1. 1 00 J に対応づけられた MACアドレス「0 0— 90— 9 9— 48— 85— * *」を第 4行（L 4) の第 2通信情報に基づいて検出する。そして、ユーザ端末検出部 1 1 0は、 MACァドレス「00— 90— 9 9— 48— 85—* *」に対応づけられたユーザ I D 「AAA」を第 1行（L 1) の第 1通信情報に基づいて検出する。

以上のように、通信情報格納部 1 08が第 1通信情報、第 2通信情報、及び第 3通信情報を時刻に対応づけて格納し、ユーザ端末検出部 1 1 0が時刻を参照してユーザ I D等のユーザ認証情報の検出を行うことにより、ユーザ認証情報を正確に検出することができ、ユーザを正確に特定することができる。図 4は、第 1実施形態に係るユーザ特定システム 1 0のユーザ特定方法の一例を示す。ユーザ端末 1 4 dは、電源が投入されて起動すると、まず無線 LA Nステ一ション 1 6 bに通信要求を送信する（S 1 00) 。無線 LANステーシヨン 1 6 bは、ユーザ端末 1 4 dから通信要求があった場合に、ユーザ認証情報及びユーザ端末 1 4 dの MACァドレスをユーザ端末 1 4 dから取得して RAD I USサーバ 24 aに送信する（S 1 0 1) 。 RAD I USサーバ 24 aは、無線 LANステーション 1 6 bから受信したユーザ認証情報を認証し、当該ユーザ認証情報による認証が成立した場合に、ユーザ端末 14 dによる無線 LANステーション 1 6 bを介した通信を許可すべく無線 LANステーション 1 6 bを設定する（S 1 02) 。そして、 RAD I U Sサーバ 24 aは、ュ一ザ端末 14 dが有するユーザ認証情報とユーザ端末 14 dの MACァドレスとが対応づけられた第 1通信情報を含む S y s 1 o g Me s s a g e # 1 をユーザ特定装置 22に送信する（S 1 03) 。これにより、ユーザ特定装置 22の第 1通信情報取得部 1 02は、第 1通信情報を無線 LANステーション 1 6 bから取得する。

次に、ユーザ端末 1 4 dは、 DHCP R e q u e s tをルータ 20 aの D HCPサーバに送信する（S 104) 。そして、ルータ 20 aの DHC Pサ一バは、ユーザ端末 1 4 dの MACァドレスに対してプライべ一ト I Pアドレスを割り当て、 DHCP A c kをユーザ端末 1 4に送信する（S 1 05) 。そして、ノレータ 20 aは、ユーザ端末 1 4 dの MACアドレスと、当該 MACァドレスに割り当てられたプライべ一ト I Pァドレスとが対応づけられた第 2通信情報を含む S y s l o g Me s s a g e # 2をユーザ特定装置 2 2に送信する（S 1 06) 。これにより、ユーザ特定装置 22の第 2通信情報取得部 104は、第 2通信情報をルータ 20 aから取得する。

次に、ユーザ端末 1 4 dは、 AR P R e q u e s tをルータ 20 aの AR Pサーバに送信する（S 1 08) 。そして、ルータ 20 aの ARPサーバは、 AR Pテーブルを参照して、 ARP R e p 1 yをユーザ端末 14 dに送信する（S 1 1 0) 。そして、ルータ 20 aは、 AR Pテーブルに格納されたュ一ザ端末 1 4 dの MACァドレスとプライべ一ト I Pァドレスとが对応づけられた第 2通信情報を含む S y s 1 o g Me s s a g e # 3をユーザ特定装置 22に送信する（S 1 1 2) 。これにより、ユーザ特定装置 2 2の第 2通信情報取得部 1 04は、第 2通信情報をルータ 20 aから取得する。

次に、ユーザ端末 1 4 dは、 TCP / I P通信によりインターネット 1 8で通信を行う（S 1 1 4) 。ルータ 20 aの F i r e w a 1 1サーバは、ユーザ端末 14 dとインターネット 1 8との間の通信を中継する場合、ユーザ端末 1 4 dのプライべ一ト I Pァドレスに対してグローバル I Pァドレスを割り当てる。そして、ルータ 20 aは、ユーザ端末 1 4 dのプライべ一ト I Pアドレスと、当該プライべ一ト I Pァドレスに割り当てられたグローバル I Pァドレスとが対応づけられた第 3通信情報を含む S y s 1 o g Me s s a g e # 4 をユーザ特定装置 22に送信する（S 1 1 6) 。

そして、ユーザ特定装置 22のユーザ端末検出部 1 1 0は、 RAD I USサーバ 24 aから取得した第 1通信情報、並びにルータ 20 aから取得した第 2 通信情報及び第 3通信情報に基づいて、インターネット 1 8における通信を行つたユーザ端末 1 4 dが有するユーザ認証情報を検出し、当該ユーザ認証情報に基づいてユーザ端末 14 dのユーザを特定する。図 5は、第 1実施形態に係るユーザ特定装置 22のハードウェア構成の一例を示す。ユーザ特定装置 22は、 CPU 700、 ROM702、 RAM704、通信ィンタフェース 706、ハードディスクドライブ 708、データベースインタフエ一ス 710、フレキシブルディスクドライブ 71 2、及び CD— ROMドライブ 71 4を備える。 CPU 700は、 ROM702及び RAM704に格納されたプログラムに基づいて動作し、各部の制御を行う。通信インタフェース 706は、インタ一ネット 18に対して通信を行う。データベースインタフェース 710は、データベースへのデータの書込、及びデータベースの内容の更新を行う。

フレキシブルディスクドライブ 7 1 2は、フレキシブルディスク 720からデータ又はプログラムを読み取り C PU 700に提供する。 CD— ROMドライブ 7 1 4は、 CD— ROM722からデータ又はプログラムを読み取り C P U 700に提供する。データベースィンタフエース 7 1 0は、各種データべ一ス 7 2 4と接続してデータを送受信する。

ユーザ特定装置 2 2に提供されるプログラムは、フレキシブルディスク 7 2 0又は C D— R O M 7 2 2等の記録媒体に格納されて利用者によって提供される。記録媒体に格納されたプログラムは圧縮されていても非圧縮であってもよレ、。プログラムは記録媒体から読み出され、 C P U 7 0 0により実行される。記録媒体に格納されて提供されるプログラム、即ちユーザ特定装置 2 2にィンストールされるプログラムは、機能構成として、送受信モジュール、第 1通信情報取得モジュール、第 2通信情報取得モジュール、第 3通信情報取得モジユール、通信情報格納モジュール、及びユーザ端末検出モジュールを有する。各モジュールがユーザ特定装置 2 2に働きかけて行わせる動作は、図 1から図 4において説明したユーザ特定装置 2 2における、対応する部材の動作と同一であるから、説明を省略する。

記録媒体の一例としてのフレキシブルディスク 7 2 0又は C D— R O M 7 2 2には、本出願で説明する全ての実施形態におけるユーザ特定装置 2 2の動作の一部又は全ての機能を格納することができる。

これらのプログラムは記録媒体から直接 R AM 7 0 4に読み出されて実行されても、一旦ハードディスクにィンストールされた後に R AMに読み出されて実行されてもよい。更に、上記プログラムは単一の記録媒体に格納されても複数の記録媒体に格納されてもよい。また、暗号化、圧縮等により符号化された形態で格納されていてもよい。

記録媒体としては、フレキシブルディスク、 C D— R O Mの他にも、 D V D、 P D等の光学記録媒体、 MD等の光磁気記録媒体、テープ媒体、磁気記録媒体、 I Cカードやミニチュアカードなどの半導体メモリ等を用いることができる。また、専用通信ネットワークやインターネットに接続されたサーバシステムに設けたハードディスク又は R AM等の格納装置を記録媒体として使用し、通信網を介してプログラムをユーザ特定装置 2 2に提供してもよい。

なお、第 1実施形態においては、ルータ 2 0 a と無線 L A Nステーション 1 6 a及び 1 6 bとが別個に設けられ、ルータ 20 bと無線 LANステーション 1 6 c及び 1 6 dとが別個に設けられているが、ルータ 20 a と無線 LANステ一ション 1 6 a及び 1 6 bとが一体となって、ルータ 20 aが無線 LANステーション 1 6 a及び 1 6 bの機能を有し、ルータ 20 bと無線 LANステーシヨン 1 6 c及び 1 6 dとがー体となって、ルータ 20 bが無線 LANステーシヨン 1 6 c及び 1 6 dの機能を有してもよい。即ち、本発明に係る中継機器、第 1格納装置、及び第 2格納装置は、同一筐体内に設けられた 1個の機器であつてもよい。 (第 2実施形態）

図 6は、本発明の第 2実施形態に係るユーザ特定システム 30の構成の一例を示す。第 2実施形態において、以下に説明する部分を除き、第 1実施形態と同一であってよい。

ユーザ特定システム 30は、 L AN 1 2 a又は 1 2 bに配置され、 LAN 1 2 a又は 1 2 bにおいて複数のユーザ端末 1 4 a〜l 4 1 と無線通信を行う無線 LANステーション 1 6 a〜： I 6 dと、 LAN 1 2 a及ぴ 1 2 bとインターネット 1 8とを接続するルータ 3 2 a及ぴ 3 2 bと、インタ一ネット 1 8における通信を行ったユーザ端末のユーザ特定するユーザ特定装置 34とを備える。ルータ 32 a及ぴ 3 2 bは、本発明のァドレス変換装置の一例であり、プラィペート I Pアドレスとグローバル I Pアドレスとを相互に変換して、 LAN 1 2 a及び 1 2 bとインターネット 1 8との間で通信を中継する。また、ルータ 32 a及び 32 bは、第 1通信情報、第 2通信情報、及び第 3通信情報に基づいて、グローバル I Pアドレスと、当該グローバル I Pアドレスを用いてィンターネット 1 8における通信を行ったユーザ端末が有するユーザ認証情報とが対応づけられたユーザ特定情報を生成して、ユーザ特定装置 34に供給する。ユーザ特定装置 34は、ルータ 3 2 a又は 3 2 bからユーザ特定情報を取得し、ユーザ特定情報に基づいて、管理者によって指定されたグローバル I Pァドレスに対応づけられたユーザ認証情報を検出し、インターネット 1 8における通信を行ったユーザ端末のユーザを特定する。図 7は、第 2実施形態に係るルータ 3 2 aのブロック構成の一例を示す。ルータ 3 2 aは、インターネット 1 8に対してデータの送受信を行う外部送受信部 200と、 LAN 1 2 aに対してデータの送受信を行う内部送受信部 20 2 と、ユーザ端末のプライべ一ト I pァドレスに対してグロ一バル I Pアドレスを割り当て、外部送受信部 200と内部送受信部 202との間で、受信したパケットのプライべ一ト I Pアドレスとグローバル I Pアドレスとを相互に変換するアドレス変換部 204と、 RAD I USサーバ 24 aから第 1通信情報を取得する第 1通信情報取得部 206と、第 2通信情報を格納する第 2通信情報格納部 208と、第 3通信情報を格納する第 3通信情報格納部 2 1 0と、第 1 通信情報、第 2通信情報、及び第 3通信情報に基づいて、グローバル I Pアドレスとユーザ認証情報とが対応づけられたユーザ特定情報を生成するユーザ特定情報生成部 21 2とを備える。

第 1通信情報取得部 206は、ユーザ認証情報と M A Cアドレスとが対応づけられた第 1通信情報を内部送受信部 20 2を介して RAD I USサーバ 24 aから取得する。

第 2通信情報格納部 208は、例えば DHC Pサーバであり、ユーザ端末の MACアドレスに対して、プライベート I Pアドレスの割り当て及び解放を行う。そして、第 2通信情報格納部 208は、ユーザ端末の MACアドレスと、当該 MACァドレスに対して割り当てられたプライべ一ト I Pァドレスとを対応づけて格納する。また、第 2通信情報格納部 208は、ユーザ端末の MAC アドレスと、当該 MACァドレスに対して割り当てられたプライべ一ト I Pァドレスとを対応づけて格納する AR Pテーブルを含む AR Pサーバであってもよい。

第 3通信情報格納部 2 1 0は、ァドレス変換部 204のァドレス変換テープルであり、ユーザ端末に割り当てられたプライベート I Pアドレスと、当該プライべ一ト I Pァドレスに割り当てられたグロ一バル I Pァドレスを格納する。ユーザ特定情報生成部 2 1 2は、第 1通信情報及び第 2通信情報に基づいて、グローバル I Pアドレスと、当該グローバル I Pァドレスを用いてィンターネット 1 8における通信を行ったユーザ端末の MA Cアドレスとが対応づけられたユーザ特定情報を生成する。また、ユーザ特定情報生成部 2 1 2は、第 1通信情報、第 2通信情報、及び第 3通信情報に基づいて、グローバル I Pァドレスと、当該グローバル I Pァドレスを用いてインターネット 1 8における通信を行ったユーザ端末が有するユーザ認証情報とが対応づけられたユーザ特定情報を生成してもよい。そして、ユーザ特定情報生成部 2 1 2は、生成したユーザ特定情報を外部送受信部 2 0 0を介してユーザ特定装置 3 4に送信する。図 8は、第 2実施形態に係るユーザ特定装置 3 4のプロック構成の一例を示す。ユーザ特定装置 3 4は、インターネット 1 8に対してデータの送受信を行う送受信部 3 0 0と、ルータ 3 2 a又は 3 2 bが生成したユーザ特定情報を送受信部 3 0 0を介して取得する第 4通信情報取得部 3 0 2と、 R A D I U Sサーバ 2 4 a又は 2 4 bが格納するユーザ認証情報と MA Cァドレスとが対応づけられた第 3通信情報を送受信部 1 0 0を介して取得する第 3通信情報取得部 3 0 6と、ユーザ特定情報及び第 3通信情報を格納する通信情報格納部 3 0 8 と、管理者によって指定されたグロ一バル I Pアドレスを用いてインターネット 1 8における通信を行ったユーザ端末が有するユーザ識別情報を検出するュ一ザ端末検出部 3 1 0とを備える。

ユーザ端末検出部 3 1 0は、通信情報格納部 3 0 8を参照して、管理者によつて指定されたグローバル I Pァドレスに対応づけられた MA Cァドレスをュ一ザ特定情報に基づいて検出し、当該 MA Cアドレスに対応づけられたユーザ認証情報を第 3通信情報に基づいて検出する。また、ユーザ端末検出部 3 1 0 は、通信情報格納部 3 0 8を参照して、管理者によって指定されたグローバル I Pアドレスに対応づけられたユーザ認証情報をユーザ特定情報に基づいて検出してもよい。そして、ユーザ特定装置 3 4は、ユーザ端末検出部 1 1 0によつて検出されたユーザ認証情報に基づいてユーザを特定する。

第 2実施形態のユーザ特定システム 3 0によれば、ルータ 3 2 a及び 3 2 b が第 1通信情報、第 2通信情報、及び第 3通信情報からユーザ特定情報を生成してユーザ特定装置 3 4に送信するので、ルータ 3 2 a及び 3 2 bからユーザ特定装置 3 4へ送信されるデータの量を低減させることができる。また、ユーザ特定装置 3 4が多数の L A Nを管理する場合に、管理するデータの量を低減させることができ、ユーザ特定装置 3 4の記録資源を効率的に利用することができる。以上発明の実施の形態を説明したが、本出願に係る発明の技術的範囲は上記の実施の形態に限定されるものではない。上記実施の形態に種々の変更を加えて、請求の範囲に記載の発明を実施することができる。そのような発明が本出願に係る発明の技術的範囲に属することもまた請求の範囲の記載から明らかである。産業上の利用可能性

以上の説明から明らかなように、本発明によれば、プライベート I Pァドレスとグローバル I Pアドレスとを相互に変換するルータを介してィンターネッ卜における通信を行ったユーザ端末のユーザを特定することができる。

Claims

請求の範囲

1 . 第 1アドレス体系の第 1ネットワークに配置され、第 2アドレス体系の第 2ネットワークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定システムであって、

前記第 1ネットワークに配置され、前記第 1ネットワーク内において複数の前記ユーザ端末と通信を行う中継機器と、

前記ユーザ端末による前記中継機器を介した通信を許可するための認証を行う情報としてユーザ毎に割り当てられたユーザ認証情報と、当該ユーザ認証情報による認証が成立した前記ユーザ端末の端末識別情報とを対応づけて格納するユーザ認証装置と、

前記ユーザ端末の前記端末識別情報と当該端末識別情報に対して割り当てられた前記第 1ァドレス体系の第 1ァドレスとを対応づけて格納する第 1格納装置と、

第 1ァドレスと当該第 1ァドレスに対して割り当てられた前記第 2ァドレス体系の第 2ァドレスとを対応づけて格納する第 2格納装置と、

前記ユーザ認証装置、前記第 1格納装置、及び前記第 2格納装置が格納する情報に基づいて、前記第 2ネットワークにおける通信を行った前記ユーザ端末のユーザを特定するユーザ特定装置と

を備え、

前記ユーザ特定装置は、

前記ユーザ認証装置が格納する前記ユーザ認証情報と前記端末識別情報とが対応づけられた第 1通信情報を取得する第 1通信情報取得部と、

前記第 1格納装置が格納する前記端末識別情報と前記第 1アドレスとが対応づけられた第 2通信情報を取得する第 2通信情報取得部と、

前記第 2格納装置が格納する前記第 1ァドレスと前記第 2ァドレスとが対応づけられた第 3通信情報を取得する第 3通信情報取得部と、指定された前記第 2ァドレスに対応づけられた前記第 1ァドレスを前記第 3 通信情報に基づいて検出し、当該第 1ァドレスに対応づけられた前記端末識別情報を前記第 2通信情報に基づいて検出し、当該端末識別情報に対応づけられた前記ユーザ認証情報を前記第 1通信情報に基づいて検出するユーザ端末検出部と

を有することを特徴とするユーザ特定システム。

2 . 前記中継機器は、前記ユーザ端末から通信要求があった場合に、前記ュ一ザ端末から前記ユーザ認証情報及び前記端末識別情報を取得して前記ユーザ認証装置に送信し、

前記ユーザ認証装置は、前記無線通信機器から受信した前記ユーザ認証情報を認証し、当該ユーザ認証情報による認証が成立した場合に、前記ユーザ端末による前記中継機器を介した通信を許可すべく前記中継機器を設定するとともに、前記ユーザ特定装置に対して前記第 1通信情報を送信することを特徴とする請求項 1に記載のユーザ特定システム。

3 . 前記第 1格納装置は、前記端末識別情報である MA Cアドレスに対して前記第 1アドレスであるプライベート I Pアドレスを割り当てる D H C Pサーバであり、前記 MA Cァドレスに対して前記プライべ一ト I Pァドレスを割り当てた場合に、前記ユーザ特定装置に対して前記第 2通信情報を送信することを特徴とする請求項 1に記載のユーザ特定システム。

4 . 前記第 1格納装置は、前記端末識別情報である MA Cアドレスと当該 M A Cァドレスに対して割り当てられた前記第 1ァドレスであるプライべ一ト I Pアドレスとを対応づけて格納する A R Pテーブルを有する A R Pサーバであり、前記ユーザ端末から A R Pリクエストを受信した場合に、前記ユーザ特定装置に対して前記第 2通信情報を送信することを特徴とする請求項 1に記載のュ一ザ特定システム。

5 . 前記第 2格納装置は、前記第 1ネットワークと前記第 2ネットワークとを接続し、前記第 1ァドレスであるプライべ一ト I Pァドレスに対して前記第 2ァドレスであるグローバル I Pァドレスを割り当てるァドレス変換装置を有し、前記プライべ一ト I Pァドレスに対して前記グローバル I Pァドレスを割り当てた場合に、前記ユーザ特定装置に対して前記第 3通信情報を送信することを特徴とする請求項 1に記載のユーザ特定システム。

6 . 第 1アドレス体系の第 1ネットワークに配置され、第 2アドレス体系の第 2ネットワークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定システムであって、

前記第 1ネットワークに配置され、前記第 1ネットワーク内において複数の前記ユーザ端末と通信を行う第 1中継機器と、

前記ユーザ端末による前記中継機器を介した通信を許可するための認証を行う情報としてユーザ毎に割り当てたれたユーザ認証情報と、当該ユーザ認証情報による認証が成立した前記ユーザ端末の端末識別情報とを対応づけて格納するユーザ認証装置と、

前記ユーザ端末の前記端末識別情報と当該端末識別情報に対して割り当てられた前記第 1ァドレス体系の第 1ァドレスとを対応づけて格納する第 1通信情報格納部、第 1ァドレスと当該第 1ァドレスに対して割り当てられた前記第 2 ァドレス体系の第 2ァドレスとを対応づけて格納する第 2通信情報格納部、及び前記第 1通信情報格納部が格納する前記端末識別情報と前記第 1アドレスとが対応づけられた第 1通信情報、及び前記第 2通信情報格納部が格納する前記第 1ァドレスと前記第 2ァドレスとが対応づけられた第 2通信情報に基づいて、前記端末識別情報と前記第 2アドレスとが対応づけられたユーザ特定情報を生成するユーザ特定情報生成部を有する第 2中継機器と、

前記ユーザ認証装置が格納する通信情報、及び前記第 2中継機器が生成した前記ユーザ特定情報に基づいて、前記第 2ネットワークにおける通信を行った前記ユーザ端末のユーザを特定するユーザ特定装置と

を備え、

前記ユーザ特定装置は、前記ユーザ認証装置が格納する前記ユーザ認証情報と前記端末識別情報とが対応づけられた第 1通信情報を取得する第 1通信情報取得部と、

前記第 2中継機器が格納する前記端末識別情報と前記第 2アドレスとが対応づけられた前記ユーザ特定情報を取得する第 4通信情報取得部と、

指定された前記第 2ァドレスに対応づけられた前記端末識別情報を前記ユーザ特定情報に基づいて検出し、当該端末識別情報に対応づけられた前記ユーザ認証情報を前記第 1通信情報に基づいて検出するユーザ端末検出部と

を有することを特徴とするユーザ特定システム。

7 . 第 1アドレス体系の第 1ネットワークに配置され、前記第 1ネットヮーク内において複数のユーザ端末と通信を行う中継機器と、前記ユーザ端末による前記中継機器を介した通信を許可するための認証を行う情報としてユーザ毎に割り当てられたユーザ認証情報と、当該ユーザ認証情報による認証が成立した前記ユーザ端末の端末識別情報とを対応づけて格納するユーザ認証装置と、前記ユーザ端末の前記端末識別情報と当該端末識別情報に対して割り当てられた前記第 1ァドレス体系の第 1ァドレスとを対応づけて格納する第 1格納装置と、第 1ァドレスと当該第 1ァドレスに対して割り当てられた第 2ァドレス体系の第 2アドレスとを対応づけて格納する第 2格納装置とを備えるユーザ特定システムの、前記ユーザ認証装置、前記第 1格納装置、及び前記第 2格納装置が格納する通信情報に基づいて、前記第 2ァドレス体系の第 2ネットワークにおける通信を行った前記ユーザ端末のユーザを特定するユーザ特定装置であつて、

を備えることを特徴とするユーザ特定装置。

8 . 前記第 3通信情報取得部は、前記第 1アドレス及び前記第 2アドレスに、当該第 2ァドレスを送信元ァドレスとするバケツトの宛先ァドレスが対応づけられた、前記第 2格納装置が格納する前記第 3通信情報を取得し、

前記ユーザ端末検出部は、指定された前記第 2アドレス及び前記宛先アドレスに基づいて前記第 1ァドレスを検出することを特徴とする請求項 7に記載のユーザ特定装置。

9 . 前記第 1通信情報、前記第 2通信情報、及び前記第 3通信情報に対応づけて、前記第 1通信情報、前記第 2通信情報、及び前記第 3通信情報を取得した時刻をそれぞれ格納する通信情報格納部をさらに備え、

前記ユーザ端末検出部は、前記通信情報格納部が格納する前記時刻を参照して、指定された前記第 2ァドレスに対応づけられた前記第 1ァドレスを検出し、当該第 1ァドレスに対応づけられた前記端末識別情報を検出し、当該端末識別情報に対応づけられた前記ユーザ認証情報を検出することを特徴とする請求項 7に記載のユーザ特定装置。

1 0 . 第 1アドレス体系の第 1ネットワークに配置され、前記第 1ネットヮーク内において複数のユーザ端末と通信を行う中継機器と、前記ユーザ端末による前記中継機器を介した通信を許可するための認証を行う情報としてユーザ毎に割り当てられたユーザ認証情報と、当該ユーザ認証情報による認証が成立した前記ユーザ端末の端末識別情報とを対応づけて格納するユーザ認証装置と、前記ユーザ端末の前記端末識別情報と当該端末識別情報に対して割り当てられた前記第 1ァドレス体系の第 1ァドレスとを対応づけて格納する第 1格納装置と、第 1ァドレスと当該第 1ァドレスに対して割り当てられた第 2ァドレス体系の第 2アドレスとを対応づけて格納する第 2格納装置とを備えるユーザ特定システムの、前記ユーザ認証装置、前記第 1格納装置、及び前記第 2格納装置が格納する通信情報に基づいて、前記第 2ァドレス体系の第 2ネットワークにおける通信を行つた前記ユーザ端末のユーザを特定するユーザ特定方法であつて、

前記ユーザ認証装置が格納する前記ユーザ認証情報と前記端末識別情報とが対応づけられた第 1通信情報を取得する第 1通信情報取得段階と、

前記第 1格納装置が格納する前記端末識別情報と前記第 1アドレスとが対応づけられた第 2通信情報を取得する第 2通信情報取得段階と、

前記第 2格納装置が格納する前記第 1ァドレスと前記第 2ァドレスとが対応づけられた第 3通信情報を取得する第 3通信情報取得段階と、

指定された前記第 2ァドレスに対応づけられた前記第 1ァドレスを前記第 3 通信情報に基づいて検出し、当該第 1ァドレスに対応づけられた前記端末識別情報を前記第 2通信情報に基づいて検出し、当該端末識別情報に対応づけられた前記ユーザ認証情報を前記第 1通信情報に基づいて検出するポート検出段階と

を備えることを特徴とするユーザ特定方法。

1 1 . 第 1アドレス体系の第 1ネットワークに配置され、前記第 1ネットヮーク内において複数のユーザ端末と通信を行う中継機器と、前記ユーザ端末による前記中継機器を介した通信を許可するための認証を行う情報としてユーザ毎に割り当てられたユーザ認証情報と、当該ユーザ認証情報による認証が成立した前記ユーザ端末の端末識別情報とを対応づけて格納するユーザ認証装置と、前記ユーザ端末の前記端末識別情報と当該端末識別情報に対して割り当てられた前記第 1ァドレス体系の第 1ァドレスとを対応づけて格納する第 1格納装置と、第 1ァドレスと当該第 1ァドレスに対して割り当てられた第 2ァドレス体系の第 2ァドレスとを対応づけて格納する第 2格納装置とを備えるユーザ特定システムの、前記ユーザ認証装置、前記第 1格納装置、及び前記第 2格納装置が格納する通信情報に基づいて、前記第 2ァドレス体系の第 2ネットワークにおける通信を行った前記ユーザ端末のユーザを特定するユーザ特定装置用のプ口グラムであって、

ユーザ特定装置を、

前記ユーザ認証装置が格納する前記ユーザ認証情報と前記端末識別情報とが対応づけられた第 1通信情報を取得する第 1通信情報取得部、

前記第 1格納装置が格納する前記端末識別情報と前記第 1ァドレスとが対応づけられた第 2通信情報を取得する第 2通信情報取得部、

前記第 2格納装置が格納する前記第 1ァドレスと前記第 2ァドレスとが対応づけられた第 3通信情報を取得する第 3通信情報取得部、

指定された前記第 2ァドレスに対応づけられた前記第 1ァドレスを前記第 3 通信情報に基づいて検出し、当該第 1ァドレスに対応づけられた前記端末識別情報を前記第 2通信情報に基づいて検出し、当該端末識別情報に対応づけられた前記ユーザ認証情報を前記第 1通信情報に基づいて検出するユーザ端末検出部

として機能させることを特徴とするプログラム。

1 2 . 第 1ァドレス体系の第 1ネットワークに配置され、第 2ァドレス体系の第 2ネットワークにおける通信を行ったユーザ端末のユーザを特定するユーザ特定システムであって、

前記第 1ネットワークに配置され、前記第 1ネットワーク内において複数のュ一ザ端末と通信を行う中継機器と、

前記第 1ァドレス体系の第 1ァドレスと前記第 2ァドレス体系の第 2ァドレスとを相互に変換して、前記第 1ネットワークと前記第 2ネットワークとの間で通信を中継するァドレス変換装置と、

前記ァドレス変換装置が生成するユーザ特定情報に基づいて、前記第 2ネットワークにおける通信を行った前記ユーザ端末のユーザを特定するユーザ特定装置と

を備え、

前記ァドレス変換装置は、

前記ユーザ端末の端末識別情報と当該端末識別情報に対して割り当てられた前記第 1ァドレス体系の第 1ァドレスとが対応づけられた第 2通信情報を格納する第 2通信情報格納部と、

第 1ァドレスと当該第 1ァドレスに対して割り当てられた第 2ァドレス体系の第 2アドレスとが対応づけられた第 3通信情報を格納する第 3通信情報格納部と、

前記第 1通信情報、前記第 2通信情報、及び前記第 3通信情報に基づいて、前記第 2ァドレスと当該第 2ァドレスを用いて前記第 2ネットワークにおける通信を行った前記ユーザ端末が有する前記ユーザ認証情報とが対応づけられた前記ユーザ特定情報を生成するユーザ特定情報生成部と

を有することを特徴とするユーザ特定システム。

1 3 . 第 1ァドレス体系の第 1アドレスと第 2ァドレス体系の第 2ァドレスとを相互に変換して、前記第 1ァドレス体系の第 1ネットワークと前記第 2ァドレス体系の第 2ネットワークとの間で通信を中継するァドレス変換装置であつて、

前記第 1ネットワークに配置されて複数のユーザ端末と通信を行う中継機器を介した前記ユーザ端末による通信を許可するための認証を行うユーザ認証装置から、前記ユーザ端末による通信を許可するための認証を行う情報としてュ —ザ毎に割り当てられたユーザ認証情報と、当該ユーザ認証情報による認証が成立した前記ユーザ端末の端末識別情報とが対応づけられた第 1通信情報を取得する第 1通信情報取得部と、

前記端末識別情報と当該端末識別情報に対して割り当てられた前記第 1ァドレスとが対応づけられた第 2通信情報を格納する第 2通信情報格納部と、

前記第 1ァドレスに対して前記第 2ァドレスを割り当てるァドレス変換部と、前記第 1ァドレスと当該第 1ァドレスに対して割り当てられたの第 2ァドレスとが対応づけられた第 3通信情報を格納する第 3通信情報格納部と、

前記第 1通信情報、前記第 2通信情報、及び前記第 3通信情報に基づいて、前記第 2ァドレスと当該第 2ァドレスを用いて前記第 2ネットワークにおける通信を行った前記ユーザ端末が有する前記ユーザ認証情報とが対応づけられたユーザ特定情報を生成するユーザ特定情報生成部と

を備えることを特徴とするァドレス変換装置。