JP2007082079A - ネットワーク間接続装置、及びそれを用いた簡易認証システムとその認証方法 - Google Patents
ネットワーク間接続装置、及びそれを用いた簡易認証システムとその認証方法 Download PDFInfo
- Publication number
- JP2007082079A JP2007082079A JP2005270005A JP2005270005A JP2007082079A JP 2007082079 A JP2007082079 A JP 2007082079A JP 2005270005 A JP2005270005 A JP 2005270005A JP 2005270005 A JP2005270005 A JP 2005270005A JP 2007082079 A JP2007082079 A JP 2007082079A
- Authority
- JP
- Japan
- Prior art keywords
- terminal device
- network
- identification information
- inter
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims description 44
- 238000004891 communication Methods 0.000 claims description 27
- 230000005540 biological transmission Effects 0.000 claims description 11
- 238000012546 transfer Methods 0.000 claims description 4
- 238000012790 confirmation Methods 0.000 abstract description 2
- 238000012545 processing Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000004308 accommodation Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011982 device technology Methods 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】インタネットからホームネットへのアクセスを希望する端末装置のみを用いて、特別なコマンド操作無しに、セキュリティを確保しながら、ネットワーク間接続装置のF/Wの設定を変更して、インタネットからホームネットへ簡単に接続可能とする。
【解決手段】端末装置20をホームネット30にローカル接続して、接続装置10に対し、正当な端末装置としての認証に必要な情報の交換(登録、及び通知)を行わせる。認証に必要な情報としては、端末装置のIPv6アドレスの下位64ビットと、接続時の時刻情報(タイムスタンプ)とを用いる。認証情報の交換の済んだ端末装置を任意の場所にてインタネット40に接続し、接続装置にアクセスする。接続装置は、端末装置と認証に必要な情報を交換し、正当な端末装置として事前にローカル接続したものであるか確認する。接続装置は、確認がとれれば、端末装置のホームネット側へのアクセスを許可する。
【選択図】 図1
【解決手段】端末装置20をホームネット30にローカル接続して、接続装置10に対し、正当な端末装置としての認証に必要な情報の交換(登録、及び通知)を行わせる。認証に必要な情報としては、端末装置のIPv6アドレスの下位64ビットと、接続時の時刻情報(タイムスタンプ)とを用いる。認証情報の交換の済んだ端末装置を任意の場所にてインタネット40に接続し、接続装置にアクセスする。接続装置は、端末装置と認証に必要な情報を交換し、正当な端末装置として事前にローカル接続したものであるか確認する。接続装置は、確認がとれれば、端末装置のホームネット側へのアクセスを許可する。
【選択図】 図1
Description
本発明は、セキュリティを確保しながら、インタネットなどの一般に公開されたネットワークからホームネットワークなどの私的なネットワークへのアクセスを可能とするネットワーク間接続装置と、それを用いた簡易認証システムと、その認証方法とに関するものである。
ホームネットワークなどの私的な狭域のネットワーク(LAN:ローカル・エリア・ネットワーク)を、インタネットなどの一般に公開された広域のネットワーク(WAN:ワイド・エリア・ネットワーク)に接続する場合、ルータなどのネットワーク間接続装置を使用する。通常、ルータは、セキュリティ確保のため、F/W(ファイアウォール)機能があり、インタネットからホームネットワーク(ホームLAN)へのアクセスが簡単にできない。可能とするためには、ユーザが使用する端末装置などから、ネットワーク間接続装置(ルータ)の設定を変える特別なコマンドを打ち込むなどの操作が必要である。
ホームLANのユーザが、移動先のどこからでも、かつ、容易に他のネットワークを介してホームLANにアクセスするというユビキタスなネットワークアクセスを実現するためには、ユーザに対して、難しい操作を正確に実施することは期待できない。使用する端末装置はプラグアンドプレイで動作することが要求されるが、併せて、ホームLANにおける適度なセキュリティが確保されることも必要である。簡単、かつ、安全なホームLANへのアクセス(ホームLANに収容された通信相手端末装置へのアクセス)が必要とされている。
また、個々の端末装置を一意に識別するために有効なIPv6ネットワーク環境も、あと数年で整備される状況にある。なお、IPv6は、IP(インタネットプロトコル)のバージョン6を表し、現在主流のバージョン4(IPv4)より、膨大なアドレス空間を有している。
IPv6において、各端末装置に割り当てられるアドレス(IPv6アドレス)は、128ビットある。128ビットの内、上位64ビットが、ネットワークを識別するための情報、下位64ビットが、端末装置を識別するための情報(インタフェースID)として用いられる。インタフェースIDのビット数は64ビットと大きいため、通常、端末装置ごとに異なるインタフェースIDを割り当てることが可能である。このため、端末装置をネットワーク間で移動しても、常に同じインタフェースIDを割り当てることができ、端末装置の同一性の確認が容易となる。
このIPv6を用いたネットワークにおけるファイアウォール(F/W)装置技術が提案されている(特許文献1参照)。
特許文献1記載技術では、ファイアウォール機器を挟んで、宅内機器(端末装置)を収容する宅内ネットワーク(ホームネットワーク)と、宅外機器(端末装置)を収容する宅外ネットワーク(インタネット)とが接続されている。宅外機器から宅内機器へのアクセスを許容する場合は、あらかじめ、宅内機器からファイアウォール機器へ、自宅内機器の識別情報(IPv6アドレス)、及びアクセス許容対象の宅外機器の識別情報や、認証用鍵情報を登録しておく。ファイアウォール機器は、宅外機器から宅内機器へのアクセス要求があると、登録されている識別情報や、認証用鍵情報を用いて認証処理し、認証OKとなると、宅外機器から宅内機器へのアクセスを許可する。
上述した従来のネットワーク間接続装置(ルータ)では、インタネットからホームネットワークへアクセスするためには、ユーザが使用する端末装置などから、ネットワーク間接続装置のF/W(ファイアウォール)機能の設定を変える特別なコマンドを打ち込むなどの操作を行う必要がある。このため、ユーザに負担がかかる。
また、特許文献1記載技術では、宅外機器(端末装置)の通信相手となる全ての宅内機器(端末装置)から、ファイアウォール機器へ、各宅内機器の識別情報、及び宅外機器の識別情報や、認証用鍵情報を登録する必要がある。このため、通信相手となる宅内機器の数が増えるほど、コストや手間が増える。
このため、通信相手端末装置による処理を一切必要とせず、また、ユーザによる特別なコマンド操作を必要とせずに、一般公開されたネットワークから私的なネットワークへアクセスしようとする端末装置のみによる処理で、当該端末装置にそのアクセスを許す技術が要望されている。本発明の目的は、この要望を実現可能とした、ネットワーク間接続装置、及びそれを用いた簡易認証システムとその認証方法を提供することにある。
本発明の請求項1に係るネットワーク間接続装置は、第1のネットワークを、ファイアウォールを通して第2のネットワークに接続するネットワーク間接続装置において、前記第1のネットワークに端末装置接続されると、当該端末装置の識別情報と、接続開始時点の時刻を示すタイムスタンプとを対応づけて第1のテーブルに登録し、当該端末装置へ前記タイムスタンプと、前記第2のネットワークにおける自ネットワーク間接続装置へのエントリーアドレスとを通知する手段と、前記第2のネットワークに接続された端末装置が前記エントリーアドレスにアクセスしてくると、当該端末装置の識別情報とパスワードとを受信し、受信した端末装置の識別情報及びパスワードの組が前記第1のテーブルに登録されている端末装置の識別情報及びタイムスタンプの組と一致するか判定し、一致すれば当該端末装置の識別情報を第2のテーブルに登録する手段と、前記第2のテーブルに登録されている識別情報に対応する端末装置を送信元あるいは送信先とする通信データに対し、前記第1のネットワーク及び前記第2のネットワーク間の転送を許容する手段とを有する。
本発明の請求項2に係るネットワーク間接続装置は、請求項1に係るネットワーク間接続装置において、通信プロトコルとしてIPv6を用い、前記端末装置の識別情報は、IPv6アドレスのインタフェースIDである。
本発明の請求項3に係るネットワーク間接続装置は、請求項1、または2に係るネットワーク間接続装置において、前記第1のテーブルに端末装置の識別情報及びタイムスタンプの組を登録した後、あらかじめ設定した所定時間が経過すると、前記第1のテーブルにおける当該組の登録をクリアする。
本発明の請求項4に係るネットワーク間接続装置は、請求項1、または2に係るネットワーク間接続装置において、前記第2のテーブルに端末装置の識別情報を登録した後、あらかじめ設定した所定時間が経過すると、前記第2のテーブルにおける当該端末装置の識別情報の登録をクリアする。
本発明の請求項5に係るネットワーク間接続装置は、請求項1、または2に係るネットワーク間接続装置において、前記第1のテーブルに端末装置の識別情報及びタイムスタンプの組を登録した後、あらかじめ設定した所定時間が経過すると、前記第1のテーブルにおける当該組の登録をクリアするとともに、前記第2のテーブルにおける当該端末装置の識別情報の登録をクリアする。
本発明の請求項6に係るネットワーク間接続装置は、請求項1、または2に係るネットワーク間接続装置において、前記第1のネットワークに端末装置が接続された際、当該端末装置の識別情報及びタイムスタンプの組がすでに第1のテーブルに登録されていれば、新たな登録と、当該端末装置への通知とを中止する。
本発明の請求項7に係るネットワーク間接続装置は、請求項1、または2に係るネットワーク間接続装置において、前記第1のネットワークに端末装置が接続される度に、前記第1のテーブルにおける当該端末装置の識別情報及びタイムスタンプの組の登録を更新する。
本発明の請求項8に係る携帯端末は、ユーザに携帯されて移動することにより、ファイアウォール機能を有するネットワーク間接続装置を介して相互に接続された第1のネットワーク及び第2のネットワークのいずれにも接続可能な携帯端末であり、前記第1のネットワークに接続されると、自端末装置の識別情報を前記ネットワーク間接続装置へ送信し、前記ネットワーク間接続装置から接続開始時点の時刻を示すタイムスタンプと、前記第2のネットワークにおける前記ネットワーク間接続装置へのエントリーアドレスとを受信し記憶する手段と、前記第2のネットワークに接続されると、前記エントリーアドレスにアクセスし、自端末装置の識別情報と、前記タイムスタンプであるパスワードとを前記ネットワーク間接続装置へ送信する手段と、自端末装置を送信元とする通信データを送信し、自端末装置を送信先とする通信データを受信する手段とを有する。
本発明の請求項9に係る携帯端末は、通信プロトコルとしてIPv6を用い、前記自端末装置の識別情報は、IPv6アドレスのインタフェースIDである。
本発明の請求項10に係る簡易認証システムは、第1のネットワークと、前記第1のネットワークを、ファイアウォールを通して第2のネットワークに接続する請求項1乃至7のいずれか1項に係るネットワーク間接続装置と、ユーザに携帯されて移動することにより、前記第1のネットワーク及び前記第2のネットワークのいずれにも接続可能な請求項8、または9に係る端末装置とを備える。
本発明の請求項11に係る簡易認証システムは、請求項10に係る簡易認証システムにおいて、前記第1のネットワークは、ホームネットワークであり、前記第2のネットワークはインタネットである。
本発明の請求項12に係る簡易認証方法は、第1のネットワークを、ファイアウォールを通して第2のネットワークに接続するネットワーク間接続装置における認証方法において、前記第1のネットワークに端末装置が接続されると、当該端末装置の識別情報と、接続開始時点の時刻を示すタイムスタンプとを対応づけて第1のテーブルに登録し、当該端末装置へ前記タイムスタンプと、前記第2のネットワークにおける自ネットワーク間接続装置へのエントリーアドレスとを通知する工程と、前記第2のネットワークに接続された端末装置が前記エントリーアドレスにアクセスしてくると、当該端末装置の識別情報とパスワードとを受信し、受信した端末装置の識別情報及びパスワードの組が前記第1のテーブルに登録されている端末装置の識別情報及びタイムスタンプの組と一致するか判定し、一致すれば当該端末装置の識別情報を第2のテーブルに登録する工程と、前記第2のテーブルに登録されている識別情報に対応する端末装置を送信元あるいは送信先とする通信データに対し、前記第1のネットワーク及び前記第2のネットワーク間の転送を許容する工程とを有する。
本発明の請求項13に係る簡易認証方法は、請求項12に係る簡易認証方法において、通信プロトコルとしてIPv6を用い、IPv6アドレスのインタフェースIDから前記端末装置の識別情報を作成する工程を有する。
本発明の請求項14に係る簡易認証方法は、請求項12、または13に係る簡易認証方法において、前記第1のテーブルに端末装置の識別情報及びタイムスタンプの組を登録した後、あらかじめ設定した所定時間が経過すると、前記第1のテーブルにおける当該組の登録をクリアする工程を有する。
本発明の請求項15に係る簡易認証方法は、請求項12、または13に係る簡易認証方法において、前記第2のテーブルに端末装置の識別情報を登録した後、あらかじめ設定した所定時間が経過すると、前記第2のテーブルにおける当該端末装置の識別情報の登録をクリアする工程を有する。
本発明の請求項16に係る簡易認証方法は、請求項12、または13に係る簡易認証方法において、前記第1のテーブルに端末装置の識別情報及びタイムスタンプの組を登録した後、あらかじめ設定した所定時間が経過すると、前記第1のテーブルにおける当該組の登録をクリアするとともに、前記第2のテーブルにおける当該端末装置の識別情報の登録をクリアする工程を有する。
本発明の請求項17に係る簡易認証方法は、請求項12、または13に係る簡易認証方法において、前記第1のネットワークに端末装置が接続された際、当該端末装置の識別情報及びタイムスタンプの組がすでに第1のテーブルに登録されていれば、新たな登録と、当該端末装置への通知とを中止する工程を有する。
本発明の請求項18に係る簡易認証方法は、請求項12、または13に係る簡易認証方法において、前記第1のネットワークに端末装置が接続される度に、前記第1のテーブルにおける当該端末装置の識別情報及びタイムスタンプの組の登録を更新する工程を有する。
本発明は、私的なネットワークを一般公開されたネットワークに接続するネットワーク間接続装置で、私的なネットワーク側に接続した端末装置の識別情報と接続開始時点のタイムスタンプとを記憶し、タイムスタンプとエントリーアドレスとを端末装置へ通知する。ネットワーク間接続装置は、一般公開されたネットワーク側からエントリーアドレスへアクセスしてきた端末装置から受信した識別情報と、タイムスタンプとが記憶内容と一致するか判定(認証)する。認証OKのとき、ネットワーク間接続装置は、その端末装置の識別情報を私的なネットワーク側へのアクセスの中継を許可する対象として記憶する。これにより、通信相手端末装置による処理を一切必要とせず、また、ユーザによる特別なコマンド操作を必要とせずに、一般公開されたネットワークから私的なネットワークへアクセスしようとする端末装置のみによる処理で、当該端末装置にそのアクセスを許すことができる。
まず、本発明の実施の形態の概要を説明する。本発明の実施の形態では、ネットワーク間接続装置(以下、接続装置と略記)を介して、ホームネットワーク(ホームLANとも呼ぶ。以下、ホームネットと略記)をインタネットに接続している。
ホームネットは、IPv6を用いるLANであり、ユーザが携帯可能な端末装置を収容可能である。
インタネットは、IPv6を用いるWANであり、複数のプロバイダ(インタネットサービスプロバイダ:ISP)がそれぞれ提供する複数のネットワークを含んで構築されている。インタネットも、各プロバイダが提供する適切なアクセス手段を介して、ユーザが携帯可能な端末装置を収容可能である。
接続装置は、ルータ機能、F/W機能、認証機能などを有し、ホームネットを収容するとともに、契約したプロバイダのネットワークを介してインタネットに接続される。接続装置は、ホームネット内の各端末装置間の通信(IPパケット通信)を制御するとともに、ホームネット及びインタネット間の通信を制御する。接続装置は、ホームネット側で接続された実績のある端末装置のみに対して、インタネットを介したホームネット(その収容端末装置)へのアクセスを許可する。
IPv6アドレス体系において、端末装置は、128ビットのアドレス(グローバルアドレス)を割り当てられる。128ビットのうち、上位64ビットは、グローバルルーティングプレフィックス、及びサブネットID(識別子)と呼ばれ、接続されるネットワークに依存した値である。下位64ビットは、インタフェースIDと呼ばれ、端末装置に対応した値(端末装置の識別情報)である。この端末装置に対応した値は、通常、端末固有の48ビットのMAC(Media Access Control)アドレスから、所定の変換規則に基づいて生成した値とする。この変換規則は、インタネット及びホームネットで共通である。したがって、端末装置が、ホームネット及びインタネットのいずれに接続しようとも、グローバルアドレスの下位64ビットは不変(固定値)である。
最初に、ユーザは、端末装置をホームネットにローカル接続して、接続装置に対し、正当な端末装置としての認証に必要な情報の交換(登録、及び通知)を行わせる。認証に必要な情報としては、端末装置のIPv6アドレスの下位64ビットと、接続時の時刻情報(タイムスタンプ)とを用いる。
次にユーザは、認証情報の交換の済んだ端末装置を携帯して任意の場所に移動し、その場所にて端末装置をインタネットに接続し、接続装置にアクセスする。接続装置は、端末装置との間で、認証に必要な情報を交換し、当該端末装置が、正当な端末装置として事前にローカル接続したものであるか確認する。接続装置は、確認がとれれば、端末装置のホームネット側へのアクセスを許可し、確認がとれなければ、許可しない。
このように、本発明の実施の形態によれば、インタネットから、ホームルータにアクセスするための処理(F/Wの設定変更)を、ユーザに特別な操作(特別なコマンドの打ち込み)をさせることなく実行することができる。
次に、図面を参照して、本発明の実施例を詳細に説明する。
図1は、本発明の一実施例を示すシステム構成図である。
図1において、本実施例1の簡易認証システムは、ユーザの自宅に設けられたホームネット30と、インタネット40と、自宅に設けられ、ホームネット30及びインタネット40間を接続する接続装置10とを備えている。簡易認証システムはまた、ユーザに携帯され、移動に応じてホームネット30及びインタネット40のいずれにも接続可能な端末装置20を備えている。
接続装置10は、LANアクセス制御部11と、LAN接続登録部12と、認証許可テーブル13と、WAN接続認証制御部14と、WANアクセス制御部15とを有している。
LANアクセス制御部11は、LAN側インタフェース(ポート)111によりホームネット30を収容する。
WANアクセス制御部15は、WAN側インタフェース(ポート)151によりインタネット40に接続する。
接続装置10はまた、図示していないが、絶対時刻を計時するクロック回路を有している。クロック回路は、その他に、装置内各部を動作させるためのタイミング信号を生成しており、これら絶対時刻信号及びその他のタイミング信号を装置内各部に供給する。
ホームネット30は、IPプロトコル(インタネット・プロトコル)としてIPv6を用いる。ホームネット30には、図示していないが、端末装置20と通信可能な他の端末装置が収容されている。
インタネット40も、IPv6サービスを提供することができる。
端末装置20は、IPv6に対応しており、ホームネット30に接続が許されている端末装置である。端末装置20は、ユーザに携行された移動先で、インタネット40に接続される。
端末装置20は、図示していないが、全体を制御する制御部と、データやプログラムを記憶する記憶部と、ユーザからの指示情報などを入力する入力部と、ユーザへの通知情報などを出力する出力部とを備える。端末装置20はまた、図示していないが、データを処理するデータ処理部と、ネットワークに接続しデータを送受信する通信部とを備える。
次に、図1とともに図2〜4を参照して、本実施例の動作を説明する。図2は、端末装置20を接続装置10のLAN側インタフェースに接続し、認証に必要な情報を交換するときの動作フローを示す図である。図3は、端末装置20を接続装置10のWAN側インタフェースに接続し、認証を行うときの動作フローを示す図である。図4は、認証許可テーブル13のテーブル構成例を示す図である。
ホームネット30、及び端末装置20のユーザは、あらかじめ適切なプロバイダと、インタネット40におけるIPv6サービスを契約する。契約後、ユーザは、接続装置10のLAN側ポート(インタフェース111)をホームネット30に接続する。ユーザはまた、接続装置10のWAN側ポート(インタフェース151)を、プロバイダの提供するインタネット40のIPv6サービスのアクセス線に接続する。
接続装置10では、IPv6サービスに接続されることにより、IPv6アドレスの上位64ビットのアドレスが決まり、規定のアドレスとなる。すなわち、接続装置10のWANアクセス制御部15で、IPv6サービスを提供するネットワークから、上位64ビットのうちの48ビット分として、グローバルルーティングプレフィックスの通知を受ける。残りの16ビット分のサブネットIDは、接続装置10にあらかじめ設定された値(例えば“0”)とする。なお、このサブネットIDは、ホームネット30の構成に応じて、ユーザが任意に設定するようにすることもできる。(図2のステップS11)。
ユーザは続いて、端末装置20をホームネット30に接続し、起動する。端末装置20は、起動時に、ホームネット30に対し、送信元アドレスが未定のルータ要請メッセージを送出する。
ホームネット30上でルータ要請メッセージを受信した接続装置10のLAN接続登録部12は、規定のアドレス(上位64ビット)など端末装置の通信設定に必要な情報を含むルータ広告メッセージをホームネット30上に返信する。
端末装置20は、ホームネット30から受信した規定のアドレス(上位64ビット)と、自身のMACアドレスから生成したインタフェースID(下位64ビット)とを組み合わせて、自身のIPv6アドレス(仮アドレス)を自動生成する。
ここで、インタフェースID(端末装置の識別情報)の生成方法を説明する。端末装置20など全てのネットワーク機器はそれぞれ、固有のMACアドレス(48ビット)が割り当てられている。このMACアドレスを24ビットずつに2分し、分割した間に16進で“FFFE”を挿入して64ビットとする。この64ビットの先頭から7ビット目の値(0/1)を反転したものがインタフェースIDである。
仮のIPv6アドレスを生成した端末装置20は、既に同じIPv6アドレスを使用している他のネットワーク機器が存在しないことを確認するために、近隣探索による重複アドレス検出処理を行う。端末装置20は、仮のIPv6アドレスをターゲットアドレスとする近隣要請メッセージをホームネット30へ送信して、同じアドレスの他のネットワーク機器がある場合に返信される重複を示す近隣広告メッセージを受信するかしないか判定する。
通常の場合、MACアドレスは重複することがないので、IPv6アドレスの重複もない。端末装置20は、重複を示す近隣広告メッセージを受信しなければ、重複アドレスはないと認識して、仮としていたIPv6アドレスを正式なIPv6アドレスとする。もし、重複を示す近隣広告メッセージを受信した場合は、アドレスの割り当てをやり直す必要があるが、これは本発明と直接関係がないため、説明は省略する。
端末装置20は、正式なIPv6アドレスを用い通信が可能となる。すなわち、このIPv6アドレスを送信元アドレス、あるいは送信先アドレスとしたパケットの、ホームネット30を通した送受信が可能となる(図2のステップS12)。
接続装置10は、ホームネット30に端末装置20が正常に接続されたどうかの検出を、端末装置20の近隣探索の結果を監視するか、端末装置20からの再度のルータ要請メッセージを受信することにより、行うことができる。
近隣探索を利用する場合、接続装置10のLAN接続登録部12は、端末装置20から送信された近隣要請メッセージに対する重複を示す近隣広告メッセージが返信されないことを確認すると、端末装置20が正常に接続されたと認識する。LAN接続登録部12は、近隣要請メッセージ中のターゲットアドレスであるIPv6アドレスの下位64ビット(インタフェースID)を抽出する。
ルータ要請メッセージを利用する場合、端末装置20は、正式なIPv6アドレスを送信元アドレスとしたルータ要請メッセージを送出する。ルータ要請メッセージを受信したLAN接続登録部12は、ルータ広告メッセージを返信するとともに、ルータ要請メッセージ中の送信元アドレスであるIPv6アドレスの下位64ビットを抽出する。
LAN接続登録部12は、抽出したIPv6アドレスの下位64ビットにより認証許可テーブル13を参照し、端末装置20が、初めて自接続装置10に接続したかどうかを判定する(図2のステップS13)。
判定の結果が真の場合(認証許可テーブル13に登録されていない場合)、LAN接続登録部12は、LANアクセス制御部11、及びホームネット30を介して、端末装置20との間で認証に必要な情報をやりとりする。
すなわち、LAN接続登録部12は、認証許可テーブル13のWANアクセス認証制御部へのアクセス許可テーブル131部分に、端末装置20のIPv6アドレスの下位64ビットと、接続開始時点の絶対時刻を示すタイムスタンプとを登録する。このタイムスタンプは、認証時にパスワードとして使用される。なお、絶対時刻情報はクロック回路から供給される。
同時に、LAN接続登録部12は、端末装置20に、そのタイムスタンプと、インタネット40から接続装置10のWAN側インタフェースへアクセスするためのIPv6アドレス情報(接続装置のエントリーアドレス)を通知する。通知を受けた端末装置20は、それらの情報を記憶する(図2のステップS14)。
なお、ステップS13の判定の結果、接続が初めてでない場合は、すでにテーブル(WANアクセス認証制御部へのアクセス許可テーブル部131)が生成されているので、LAN接続登録部12は、そのまま処理を終了する。
図4に、認証許可テーブル13のWANアクセス認証制御部へのアクセス許可テーブル131の構成例を示す。
図4においては、IPv6アドレスの下位64ビットの例として、「abcd:abcd:abcd:abcd」が登録されている。すなわち、4ビットずつ16進表現により1桁としたものを、4桁ずつ、「:」で区切っている。
図4においては、タイムスタンプの例として、「20050301120000000」が登録されている。すなわち、最初の数字4桁「2005」は年、次の数字2桁「03」は月、次の数字2桁「01」は日、次の数字2桁「12」は時、次の数字2桁「00」は分、次の数字2桁「00」は秒、次の数字3桁「000」は小数点以下の秒を示している。
以上のようにして、端末装置20の、接続装置10のLAN側インタフェースへの接続、及び認証に必要な情報のやりとりが終了した後、ユーザは、端末装置20をホームネット30から取り外す。その後、ユーザは端末装置20を携帯して移動(自宅からの外出)する。
ユーザは、移動先で、端末装置20をインタネット40に接続する。インタネット40は、図示していないが、複数のプロバイダがそれぞれ提供する複数のネットワークを含んで構築されている。端末装置20は、移動先に対応した適切なプロバイダのネットワークのアクセス手段に接続される。このときのプロバイダは、接続装置10の利用契約を行ったプロバイダと同一のプロバイダであることが望ましいが、別のプロバイダでもよい。プロバイダに応じた利用契約を行っておく。
端末装置20は、インタネット40に接続されると、自動的にIPv6アドレスが割り当てられ、インタネット40を通した通信が可能となる。このときの端末装置20におけるIPv6アドレスの自動生成の仕組みは、上述したホームネット30に接続したときの仕組みと同様である。
IPv6アドレスの上位64ビットは、端末装置20が接続されたプロバイダのネットワークのアクセス手段から割り当てられた値となる。IPv6アドレスの下位64ビットは、端末装置20自身が自身のMACアドレスから生成したインタフェースIDとなる。すなわち、IPv6アドレスの下位64ビットは、ホームネット30経由で接続装置10に接続したときのものと同じである(図4に示す例では、abcd:abcd:abcd:abcd)。
端末装置20は、自動生成した仮のIPv6アドレスが他のネットワーク機器のものと重複していないか、近隣探索により確認する。重複がなければ、端末装置20は、仮のIPv6アドレスを正式なIPv6アドレスとし、これを用いた通信が可能となる。すなわち、このIPv6アドレスを送信元アドレス、あるいは送信先アドレスとしたパケットの、インタネット40を通した送受信が可能となる。(図3のステップS21)。
インタネット40上で通信可能となった端末装置20は、ユーザの指示により、接続装置10から通知され、記憶していた接続装置10の認証用のエントリーアドレスにアクセスする。
接続装置10のWANアクセス制御部15は、インタネット40を介して認証用のエントリーアドレスにアクセスしてきた端末装置20の認証を自動的に開始する。認証には、端末装置20のIPv6アドレスの下位64ビットと、タイムスタンプが用いられる。
この時、端末装置20のIPv6アドレスの下位64ビットは、すでに認証許可テーブル13のWANアクセス認証制御部へのアクセス許可テーブル131部分に登録された値と同じである。このため、WANアクセス制御部15は、端末装置20のWAN接続認証制御部14へのアクセスを許可する(図3のステップS22)。
端末装置20は、WAN接続認証制御部14に接続した際、ホームネット30への接続時に通知されたタイムスタンプをパスワードとして送信する(図4に示す例では、20050301120000000)。
WAN接続認証制御部14は、端末装置20から受信したパスワードが、アドレスの下位64ビットをキーとして、WANアクセス認証制御部へのアクセス許可テーブル131に登録されたタイムスタンプと値が一致するか判定する(図3のステップS23)。
WAN接続認証制御部14は、パスワードに当たるタイムスタンプ値が一致した場合、当該端末装置を、一旦LAN(ホームネット30)で接続した端末装置20と同じとみなす(認証OK)。WAN接続認証制御部14は、同じとみなした端末装置20を、認証許可テーブル13のLANインタフェースへのアクセス許可テーブル132部分に登録する。登録情報は、端末装置20のIPv6アドレスの下位64ビットと、アクセス許可レベル等の付随パラメータである(図3のステップS23)。
WAN接続認証制御部14は、ステップS23の判定の結果、タイムスタンプ値が一致しない場合、当該端末装置を、一旦LAN(ホームネット30)で接続した端末装置20ではないとみなし、そのまま処理を終了する。
図4に、認証許可テーブル13のLANインタフェースへのアクセス許可テーブル132の構成例を示す。
図4においては、IPv6アドレスの下位64ビットの例として、WANアクセス認証制御部へのアクセス許可テーブル131に登録されているものと同じ、「abcd:abcd:abcd:abcd」が登録されている。また、アクセス許可レベルの例として、全て許可することを示す「All」が登録されている。
認証許可テーブル13のLANインタフェースへのアクセス許可テーブル132部分に登録されている端末装置20は、接続装置10を通して、ホームネット30に収容されている任意の端末装置(図示せず)と通信(パケット通信)が可能となる。
接続装置10のWANアクセス制御部15及びLANアクセス制御部11は、入力されたパケットの送信元及び送信先のIPv6アドレスの下位64ビットが、LANインタフェースへのアクセス許可テーブル132に登録されているか確認する。登録されていれば、WANアクセス制御部15及びLANアクセス制御部11は、対応するアクセス許可レベルに応じて、パケットの通過を許す。図4に示す例の場合、アクセス許可レベルが「All」であるので、全てのパケットの両方向(インタネット40側からホームネット30側へ、及びホームネット30側からインタネット40側へ)の通過を許す。
このようにして、端末装置20は、認証処理後、接続装置10配下のネットワーク(ホームネット30、及びそれに収容されている端末装置)にインタネット40からアクセス可能となる。
なお当然ながら、LANインタフェースへのアクセス許可テーブル132に登録されていない端末装置は、インタネット40側からホームネット30側へアクセスすることはできない。
本実施例1によれば、インタネットからホームネットへのアクセスを希望する端末装置のみを用いて、セキュリティを確保しながら接続装置のF/Wの設定を変更して、インタネットからホームネットへの接続を簡単に行うことができる。その際、端末装置から接続装置に対して、ユーザが特別なコマンドを打ち込む必要もない。また、インタネット側の端末装置の通信相手となるホームネット側の全ての端末装置は、接続装置に対しF/Wの設定変更のための情報発信を一切する必要がない。
本実施例1の接続装置は、一度、ホームネット側に接続した端末装置の識別情報と接続開始時点のタイムスタンプとを記憶し、タイムスタンプとエントリーアドレスとを端末装置へ通知する。接続装置は、インタネット側からエントリーアドレスへアクセスしてきた端末装置から受信した識別情報と、タイムスタンプとが記憶内容と一致するか判定(認証)する。認証OKのとき、接続装置は、その端末装置の識別情報をホームネット側へのアクセスの中継を許可する対象として記憶する。そして接続装置は、許可対象として記憶された識別情報に該当する端末装置のみに対して、ホームネット側へのアクセスの中継を許可するにようにしている。すなわち接続装置は、インタネット側からアクセスしてきた端末装置が、ホームネットのユーザの管理しているものであることを十分な確度で確認してから、ホームネットへのアクセスを許容している。
このように、本実施例1によれば、ホームネットのユーザ以外の者(その端末装置)が、ホームネットへアクセスすることを防止し、ホームネットのセキュリティを確保することができる。一方、ユーザ自身(その端末装置)は、特別な操作無しに、インタネット接続可能な場所ならどこからでも、ホームネットへアクセスすることができる。
次に本発明の第2の実施例(実施例2)を説明する。
本実施例2の接続装置及び簡易認証システムの基本的な構成は、実施例1で説明した構成と変わらない。すなわち、簡易認証システムは、ユーザの自宅に設けられたホームネット30と、インタネット40と、ユーザの自宅に設けられ、ホームネット30及びインタネット40間を接続する接続装置10とを備えている。簡易認証システムはまた、ユーザに携帯され、移動に応じてホームネット30及びインタネット40のいずれにも接続可能な端末装置20を備えている。これらは、IPv6プロトコルを用いる。
また、端末装置20のホームネット30を介した接続装置10への接続により、認証に必要な情報を、認証許可テーブル13のWANアクセス認証制御部へのアクセス許可テーブル131に登録するとともに、端末装置20に通知することも、実施例1と同様である。なお、登録される認証に必要な情報とは、端末装置20のIPv6アドレスの下位64ビットと、接続開始時点の絶対時刻を示すタイムスタンプである。また、接続装置10のエントリーアドレスも、端末装置20に通知される。
さらに、端末装置20のインタネット40を介した接続装置10への接続により、認証に必要な情報をやりとりし、認証OKの情報を、認証許可テーブル13のLANインタフェースへのアクセス許可テーブル132に登録することも、実施例1と同様である。
本実施例2が実施例1と異なる点は、WANアクセス認証制御部へのアクセス許可テーブル131に登録した認証に必要な情報に、有効期限があることである。
本実施例2におけるWANアクセス認証制御部へのアクセス許可テーブル131に対する処理を、図5の動作フロー図を参照して説明する。
端末装置20のホームネット30を介した接続装置10への接続により、LAN接続登録部12は、IPv6アドレスの下位64ビットと、タイムスタンプとを、WANアクセス認証制御部へのアクセス許可テーブル131に登録する(図5のステップS31)。
LAN接続登録部12には、WANアクセス認証制御部へのアクセス許可テーブル131の登録有効期限を示す所定の時間が、あらかじめ設定されている。所定の時間の指定方法としては、システムの既定値を用いる方法や、端末装置20の接続時にユーザの手動により指定する方法がある。
LAN接続登録部12は、WANアクセス認証制御部へのアクセス許可テーブル131を定期的に参照し、登録されているタイムスタンプの値(登録時の絶対時刻)と、現在の絶対時刻との差分を、登録経過時間として算出する。LAN接続登録部12は、算出した登録経過時間が、設定されている所定の時間を超えている(有効期限切れ)か判定する(図5のステップS32)。
登録経過時間が所定の時間を超えた場合、LAN接続登録部12は、WANアクセス認証制御部へのアクセス許可テーブル131の対応する端末装置20の登録内容(アドレス下位64ビット、タイムスタンプ)をクリアする(図5のステップS33)。
WANアクセス認証制御部へのアクセス許可テーブル131の登録内容がクリアされた後は、該当する端末装置20は、インタネット40側から接続装置10のエントリーアドレスにアクセスしても認証を得られず、ホームネット30側へアクセスすることはできない。
インタネット40側からの接続時の認証を有効とするためには、再度、端末装置20をホームネット30に直接接続し、接続装置10と認証に必要な情報の情報をやりとりする必要がある。このとき、LAN接続登録部12は、WANアクセス認証制御部へのアクセス許可テーブル131に端末装置20の情報の登録がないため、初めての接続とみなす。そのため、LAN接続登録部12は、WANアクセス認証制御部へのアクセス許可テーブル131に端末装置20の情報の登録を行う。これにより、端末装置20は、インタネット40側から接続装置にアクセスして認証を得ることができる。
本実施例2の接続装置は、一度、ホームネット側に接続した端末装置の識別情報とタイムスタンプとの記憶の保持時間に有効期限を設けている。この有効期限が切れた端末装置は、認証処理を受けることができず、インタネット側からホームネットにアクセスすることができない。端末装置は、携帯可能なため、盗難や紛失などにより、悪意のある者が不正に入手し、使用する可能性がある。このような場合でも、上記有効期限を適切に設定しておくことにより、悪意のある者が端末装置を不正に使用することを、かなりの確度で防止できる。
このように、本実施例2によれば、実施例1と同様の効果を維持しながら、ユーザに対する負担をさほどかけさせずに、セキュリティ機能を一層向上させることができる。
次に本発明の第3の実施例(実施例3)を説明する。
本実施例3の接続装置及び簡易認証システムの基本的な構成は、実施例1で説明した構成と変わらない。すなわち、簡易認証システムは、ユーザの自宅に設けられたホームネット30と、インタネット40と、ユーザの自宅に設けられ、ホームネット30及びインタネット40間を接続する接続装置10とを備えている。簡易認証システムはまた、ユーザに携帯され、移動に応じてホームネット30及びインタネット40のいずれにも接続可能な端末装置20を備えている。これらは、IPv6プロトコルを用いる。
また、端末装置20のホームネット30を介した接続装置10への接続により、認証に必要な情報を、認証許可テーブル13のWANアクセス認証制御部へのアクセス許可テーブル131に登録するとともに、端末装置20に通知することも、実施例1と同様である。なお、登録される認証に必要な情報とは、端末装置20のIPv6アドレスの下位64ビットと、接続開始時点の絶対時刻を示すタイムスタンプである。また、接続装置10のエントリーアドレスも、端末装置20に通知される。
さらに、端末装置20のインタネット40を介した接続装置10への接続により、認証に必要な情報をやりとりし、認証OKの情報を、認証許可テーブル13のLANインタフェースへのアクセス許可テーブル132に登録することも、実施例1と同様である。認証OKの情報とは、端末装置20のIPv6アドレスの下位64ビットと、アクセス許可レベルなどとである。
本実施例3が実施例1と異なる点は、LANインタフェースへのアクセス許可テーブル132に登録した認証OKの情報に、有効期限があることである。
本実施例3におけるLANインタフェースへのアクセス許可テーブル132に対する処理を、図6の動作フロー図を参照して説明する。
端末装置20のインタネット40を介した接続装置10のエントリーアドレスへのアクセスにより、WAN接続認証制御部14は、認証を開始する。認証OKの場合、WAN接続認証制御部14は、端末装置20のIPv6アドレスの下位64ビットと、アクセス許可レベルなどとを、LANインタフェースへのアクセス許可テーブル132に登録する。WAN接続認証制御部14はさらに、その時点の絶対時刻をそれらに対応づけて、LANインタフェースへのアクセス許可テーブル132に登録する。(図6のステップS41)。
WAN接続認証制御部14には、LANインタフェースへのアクセス許可テーブル132の登録有効期限を示す所定の時間が、あらかじめ設定されている。所定の時間の指定方法としては、システムの既定値を用いる方法や、端末装置20の接続時にユーザの手動により指定する方法がある。
WAN接続認証制御部14は、LANインタフェースへのアクセス許可テーブル132を定期的に参照し、登録されている絶対時刻と、現在の絶対時刻との差分を、登録経過時間として算出する。WAN接続認証制御部14は、算出した登録経過時間が、設定されている所定の時間を超えている(有効期限切れ)か判定する(図6のステップS42)。
登録経過時間が所定の時間を超えた場合、WAN接続認証制御部14は、LANインタフェースへのアクセス許可テーブル132の対応する端末装置20の登録内容(アドレス下位64ビット、アクセス許可レベル等、絶対時刻)をクリアする(図6のステップS43)。
LANインタフェースへのアクセス許可テーブル132の登録内容がクリアされた後は、該当する端末装置20は、インタネット40側からホームネット30側へアクセスすることはできない。ホームネット30側へのアクセスを有効とするためには、再度、端末装置20から接続装置10のエントリーアドレスへアクセスし、WAN接続認証制御部14による認証をやり直してもらう必要がある。
本実施例3の接続装置は、認証OK時に、ホームネット側へのアクセスの中継を許可する対象とした端末装置の識別情報の記憶の保持時間に有効期限を設けている。認証済みであっても、この有効期限が切れた端末装置は、インタネット側からホームネットにアクセスすることができない。許可された端末装置がインタネット側からホームネットにアクセスしているときに、その識別情報を、悪意のある者に盗み見られ、識別情報を詐称したなりすまし端末装置を作られるおそれがある。このような場合でも、上記有効期限を適切に設定しておくことにより、なりすまし端末装置によるホームネットへのアクセスを、かなりの確度で防止できる。
このように、本実施例3によれば、実施例1と同様の効果を維持しながら、ユーザに対する負担をさほどかけさせずに、セキュリティ機能を一層向上させることができる。
次に本発明の第4の実施例(実施例4)を説明する。
本実施例4は、実施例2をさらに発展させたものである。本実施例4の接続装置及び簡易認証システムの基本的な構成は、実施例2で説明した構成と同様なので、詳細説明は省略する。
本実施例4が実施例2と異なる点は、WANアクセス認証制御部へのアクセス許可テーブル131が登録有効期限切れによりクリアされる際、LANインタフェースへのアクセス許可テーブル132も同時にクリアされることである。
本実施例4におけるWANアクセス認証制御部へのアクセス許可テーブル131及びLANインタフェースへのアクセス許可テーブル132に対する処理を、図7の動作フロー図を参照して説明する。
端末装置20のホームネット30を介した接続装置10への接続により、LAN接続登録部12は、IPv6アドレスの下位64ビットと、タイムスタンプとを、WANアクセス認証制御部へのアクセス許可テーブル131に登録する(図7のステップS51)。
LAN接続登録部12には、WANアクセス認証制御部へのアクセス許可テーブル131の登録有効期限を示す所定の時間が、あらかじめ設定されている。所定の時間の指定方法としては、システムの既定値を用いる方法や、端末装置20の接続時にユーザの手動により指定する方法がある。
LAN接続登録部12は、WANアクセス認証制御部へのアクセス許可テーブル131を定期的に参照し、登録されているタイムスタンプの値(登録時の絶対時刻)と、現在の絶対時刻との差分を、登録経過時間として算出する。LAN接続登録部12は、算出した登録経過時間が、設定されている所定の時間を超えている(有効期限切れ)か判定する(図7のステップS52)。
登録経過時間が所定の時間を超えた場合、LAN接続登録部12は、WANアクセス認証制御部へのアクセス許可テーブル131の対応する端末装置20の登録内容(アドレス下位64ビット、タイムスタンプ)をクリアする(図7のステップS53)。LAN接続登録部12はさらに、LANインタフェースへのアクセス許可テーブル132に対応する端末装置20の情報(アドレス下位64ビット、タイムスタンプ)が登録されていないかチェックし、登録されていれば、それをクリアする(図7のステップS54)。
本実施例4の接続装置は、一度、ホームネット側に接続した端末装置の識別情報とタイムスタンプとの記憶の保持時間に有効期限を設け、有効期限切れと同時に、認証OKによりホームネットへのアクセス許可対象とした端末装置の識別情報の記憶も削除する。上記有効期限が切れると、該当する端末装置は、新たな認証を受けることができない。また、アクセス許可対象とした端末装置の識別情報の記憶が削除されると、該当する端末装置は、認証済みであっても、認証されなかったものとみなされる。したがって、上記有効期限を適切に設定しておくことにより、悪意のある者が不正に入手した端末装置、あるいは、識別情報を詐称した端末装置を使用して、ホームネットへ不正にアクセスすることを、かなりの確度で防止できる。
このように本実施例4によれば、実施例2と同様の効果を維持しながら、ユーザに対する負担をさほどかけさせずに、セキュリティ機能を一層向上させることができる。
次に本発明の第5の実施例(実施例5)を説明する。
本実施例5の接続装置及び簡易認証システムの基本的な構成は、実施例1で説明した構成と同様なので、詳細説明は省略する。
本実施例5が実施例1と異なる点は、端末装置20をホームネット30を介して接続装置10へ接続した際、毎回必ず、接続装置10と端末装置20との間で、認証に必要な情報をやりとりすることである。
実施例1においては、接続装置10は、端末装置20がホームネット30に接続したことを検出すると、初めての接続かどうかを判定している(図2のステップS12〜S14の処理の説明参照)。
初めての接続の場合は、接続装置10(LAN接続登録部12)は、認証に必要な情報を、認証許可テーブル13のWANアクセス認証制御部へのアクセス許可テーブル131に登録するとともに、端末装置20に通知する。なお、登録される認証に必要な情報とは、端末装置20のIPv6アドレスの下位64ビットと、接続開始時点の絶対時刻を示すタイムスタンプである。また、接続装置10のエントリーアドレスも、端末装置20に通知される。初めての接続でない場合(既に、WANアクセス認証制御部へのアクセス許可テーブル131に認証に必要な情報が登録されている場合)は、接続装置10(LAN接続登録部12)は何もしない。
これに対して、本実施例5においては、接続装置10は、端末装置20がホームネット30に接続したことを検出すると、初めての接続かどうかに関わりなく、認証に必要な情報の登録(上書き登録)と、端末装置20への通知を行う。
本実施例5は、WANアクセス認証制御部へのアクセス許可テーブル131に登録した認証に必要な情報に有効期限を設けた、実施例2あるいは実施例4と組み合わせた場合に、有用となる。
端末装置20をホームネット30に接続し直しても、WANアクセス認証制御部へのアクセス許可テーブル131に認証に必要な情報が登録済みなら、書替えないようにしたときに、有効期限を設けると、次のような不具合が生じる場合がある。つまり、ユーザが有効期限ぎりぎりまで自宅にいてから外出し、移動中に有効期限が切れてしまう場合がある。ユーザが自宅にいるときは有効期限がまだきていないので、登録された認証に必要な情報(特にタイムスタンプ)の書替えができない。タイムスタンプの書替えができないため、有効期限がすぐきてしまって、ユーザの移動中に、認証に必要な情報の登録が消されてしまう。認証に必要な情報の登録が消されてしまうと、ユーザが移動先でインタネット40からホームネット30へアクセスしようとしても、接続装置10が受け付けない。
このような場合、ユーザは一旦、自宅に戻って、端末装置20をホームネット30に接続し直す必要がある。あるいは、ユーザは、有効期限が切れるまで自宅にいて、端末装置20をホームネット30に接続し直してから、外出する必要がある。いずれにしても、ユーザの利便性が損なわれる虞がある。
本実施例5の接続装置は、端末装置をホームネット側に接続する度に、端末装置の識別情報と接続開始時点のタイムスタンプとを記憶し直し、新たなタイムスタンプとエントリーアドレスとを端末装置へ通知する。ここで、ホームネット側に接続した端末装置の識別情報とタイムスタンプとの記憶の保持時間に有効期限を設けた場合、端末装置をホームネット側に接続し直す度に、有効期限も再設定される。したがって、ユーザは自宅から外出する直前に、端末装置をホームネット側に接続し直しておけば、移動中に有効期限が切れてしまう可能性は、ほとんどない。
このように、本実施例5によれば、実施例2あるいは実施例4と同様の効果を維持しながら、ユーザに対する利便性を一層向上させることができる。
ユーザの自宅の外のネットワーク(公共的ネットワーク)から、自宅のネットワーク(私的ネットワーク)に対して、セキュリティを確保しながらアクセスする、すべてのシステム、装置、アプリケーションに適用できる。
10 接続装置
11 LANアクセス制御部
12 LAN接続登録部
13 認証許可テーブル
14 WAN接続認証制御部
15 WANアクセス制御部
20 端末装置
30 ホームネット
40 インタネット
11 LANアクセス制御部
12 LAN接続登録部
13 認証許可テーブル
14 WAN接続認証制御部
15 WANアクセス制御部
20 端末装置
30 ホームネット
40 インタネット
Claims (18)
- 第1のネットワークを、ファイアウォールを通して第2のネットワークに接続するネットワーク間接続装置において、
前記第1のネットワークに端末装置が接続されると、当該端末装置の識別情報と、接続開始時点の時刻を示すタイムスタンプとを対応づけて第1のテーブルに登録し、当該端末装置へ前記タイムスタンプと、前記第2のネットワークにおける自ネットワーク間接続装置へのエントリーアドレスとを通知する手段と、
前記第2のネットワークに接続された端末装置が前記エントリーアドレスにアクセスしてくると、当該端末装置の識別情報とパスワードとを受信し、受信した端末装置の識別情報及びパスワードの組が前記第1のテーブルに登録されている端末装置の識別情報及びタイムスタンプの組と一致するか判定し、一致すれば当該端末装置の識別情報を第2のテーブルに登録する手段と、
前記第2のテーブルに登録されている識別情報に対応する端末装置を送信元あるいは送信先とする通信データに対し、前記第1のネットワーク及び前記第2のネットワーク間の転送を許容する手段とを有することを特徴とするネットワーク間接続装置。 - 通信プロトコルとしてIPv6を用い、前記端末装置の識別情報は、IPv6アドレスのインタフェースIDであることを特徴とする請求項1記載のネットワーク間接続装置。
- 前記第1のテーブルに端末装置の識別情報及びタイムスタンプの組を登録した後、あらかじめ設定した所定時間が経過すると、前記第1のテーブルにおける当該組の登録をクリアすることを特徴とする請求項1、または2記載のネットワーク間接続装置。
- 前記第2のテーブルに端末装置の識別情報を登録した後、あらかじめ設定した所定時間が経過すると、前記第2のテーブルにおける当該端末装置の識別情報の登録をクリアすることを特徴とする請求項1、または2記載のネットワーク間接続装置。
- 前記第1のテーブルに端末装置の識別情報及びタイムスタンプの組を登録した後、あらかじめ設定した所定時間が経過すると、前記第1のテーブルにおける当該組の登録をクリアするとともに、前記第2のテーブルにおける当該端末装置の識別情報の登録をクリアすることを特徴とする請求項1、または2記載のネットワーク間接続装置。
- 前記第1のネットワークに端末装置が接続された際、当該端末装置の識別情報及びタイムスタンプの組がすでに第1のテーブルに登録されていれば、新たな登録と、当該端末装置への通知とを中止することを特徴とする請求項1、または2記載のネットワーク間接続装置。
- 前記第1のネットワークに端末装置が接続される度に、前記第1のテーブルにおける当該端末装置の識別情報及びタイムスタンプの組の登録を更新することを特徴とする請求項1、または2記載のネットワーク間接続装置。
- ユーザに携帯されて移動することにより、ファイアウォール機能を有するネットワーク間接続装置を介して相互に接続された第1のネットワーク及び第2のネットワークのいずれにも接続可能な携帯端末であり、
前記第1のネットワークに接続されると、自端末装置の識別情報を前記ネットワーク間接続装置へ送信し、前記ネットワーク間接続装置から接続開始時点の時刻を示すタイムスタンプと、前記第2のネットワークにおける前記ネットワーク間接続装置へのエントリーアドレスとを受信し記憶する手段と、
前記第2のネットワークに接続されると、前記エントリーアドレスにアクセスし、自端末装置の識別情報と、前記タイムスタンプであるパスワードとを前記ネットワーク間接続装置へ送信する手段と、
自端末装置を送信元とする通信データを送信し、自端末装置を送信先とする通信データを受信する手段とを有することを特徴とする端末装置。 - 通信プロトコルとしてIPv6を用い、前記自端末装置の識別情報は、IPv6アドレスのインタフェースIDであることを特徴とする請求項8記載の端末装置。
- 第1のネットワークと、
前記第1のネットワークを、ファイアウォールを通して第2のネットワークに接続する請求項1乃至7のいずれか1項に記載のネットワーク間接続装置と、
ユーザに携帯されて移動することにより、前記第1のネットワーク及び前記第2のネットワークのいずれにも接続可能な請求項8、または9記載の端末装置とを備えることを特徴とする簡易認証システム。 - 前記第1のネットワークは、ホームネットワークであり、前記第2のネットワークはインタネットであることを特徴とする請求項10記載の簡易認証システム。
- 第1のネットワークを、ファイアウォールを通して第2のネットワークに接続するネットワーク間接続装置における認証方法において、
前記第1のネットワークに端末装置が接続されると、当該端末装置の識別情報と、接続開始時点の時刻を示すタイムスタンプとを対応づけて第1のテーブルに登録し、当該端末装置へ前記タイムスタンプと、前記第2のネットワークにおける自ネットワーク間接続装置へのエントリーアドレスとを通知する工程と、
前記第2のネットワークに接続された端末装置が前記エントリーアドレスにアクセスしてくると、当該端末装置の識別情報とパスワードとを受信し、受信した端末装置の識別情報及びパスワードの組が前記第1のテーブルに登録されている端末装置の識別情報及びタイムスタンプの組と一致するか判定し、一致すれば当該端末装置の識別情報を第2のテーブルに登録する工程と、
前記第2のテーブルに登録されている識別情報に対応する端末装置を送信元あるいは送信先とする通信データに対し、前記第1のネットワーク及び前記第2のネットワーク間の転送を許容する工程とを有することを特徴とする簡易認証方法。 - 通信プロトコルとしてIPv6を用い、IPv6アドレスのインタフェースIDから前記端末装置の識別情報を作成する工程を有することを特徴とする請求項12記載の簡易認証方法。
- 前記第1のテーブルに端末装置の識別情報及びタイムスタンプの組を登録した後、あらかじめ設定した所定時間が経過すると、前記第1のテーブルにおける当該組の登録をクリアする工程を有することを特徴とする請求項12、または13記載の簡易認証方法。
- 前記第2のテーブルに端末装置の識別情報を登録した後、あらかじめ設定した所定時間が経過すると、前記第2のテーブルにおける当該端末装置の識別情報の登録をクリアする工程を有することを特徴とする請求項12、または13記載の簡易認証方法。
- 前記第1のテーブルに端末装置の識別情報及びタイムスタンプの組を登録した後、あらかじめ設定した所定時間が経過すると、前記第1のテーブルにおける当該組の登録をクリアするとともに、前記第2のテーブルにおける当該端末装置の識別情報の登録をクリアする工程を有することを特徴とする請求項12、または13記載の簡易認証方法。
- 前記第1のネットワークに端末装置が接続された際、当該端末装置の識別情報及びタイムスタンプの組がすでに第1のテーブルに登録されていれば、新たな登録と、当該端末装置への通知とを中止する工程を有することを特徴とする請求項12、または13記載の簡易認証方法。
- 前記第1のネットワークに端末装置が接続される度に、前記第1のテーブルにおける当該端末装置の識別情報及びタイムスタンプの組の登録を更新する工程を有することを特徴とする請求項12、または13記載の簡易認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005270005A JP2007082079A (ja) | 2005-09-16 | 2005-09-16 | ネットワーク間接続装置、及びそれを用いた簡易認証システムとその認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005270005A JP2007082079A (ja) | 2005-09-16 | 2005-09-16 | ネットワーク間接続装置、及びそれを用いた簡易認証システムとその認証方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007082079A true JP2007082079A (ja) | 2007-03-29 |
Family
ID=37941868
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005270005A Withdrawn JP2007082079A (ja) | 2005-09-16 | 2005-09-16 | ネットワーク間接続装置、及びそれを用いた簡易認証システムとその認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007082079A (ja) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011138227A (ja) * | 2009-12-25 | 2011-07-14 | Canon It Solutions Inc | 情報処理装置、情報処理方法、及びコンピュータプログラム |
| JP2011138228A (ja) * | 2009-12-25 | 2011-07-14 | Canon It Solutions Inc | 情報処理装置、情報処理方法、及びコンピュータプログラム |
| JP2011138229A (ja) * | 2009-12-25 | 2011-07-14 | Canon It Solutions Inc | 情報処理装置、情報処理方法、及びコンピュータプログラム |
| JP2011238263A (ja) * | 2011-06-27 | 2011-11-24 | Canon It Solutions Inc | 情報処理装置、情報処理方法、及びコンピュータプログラム |
| JP2013033448A (ja) * | 2011-06-30 | 2013-02-14 | Canon Marketing Japan Inc | 情報処理装置およびその制御方法、プログラム |
| WO2014083653A1 (ja) * | 2012-11-29 | 2014-06-05 | 三菱電機株式会社 | 通信装置および通信システム |
| CN106152397A (zh) * | 2016-06-29 | 2016-11-23 | 中国汽车工业工程有限公司 | 一种基于生产管理的涂装车间设备智能控制方法 |
| JP2018137787A (ja) * | 2018-03-27 | 2018-08-30 | ソニー株式会社 | 通信システム |
| JP2023072935A (ja) * | 2021-11-15 | 2023-05-25 | 大日本印刷株式会社 | 遠隔操作方法、遠隔操作システム及び回線接続機器 |
-
2005
- 2005-09-16 JP JP2005270005A patent/JP2007082079A/ja not_active Withdrawn
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011138227A (ja) * | 2009-12-25 | 2011-07-14 | Canon It Solutions Inc | 情報処理装置、情報処理方法、及びコンピュータプログラム |
| JP2011138228A (ja) * | 2009-12-25 | 2011-07-14 | Canon It Solutions Inc | 情報処理装置、情報処理方法、及びコンピュータプログラム |
| JP2011138229A (ja) * | 2009-12-25 | 2011-07-14 | Canon It Solutions Inc | 情報処理装置、情報処理方法、及びコンピュータプログラム |
| JP2011238263A (ja) * | 2011-06-27 | 2011-11-24 | Canon It Solutions Inc | 情報処理装置、情報処理方法、及びコンピュータプログラム |
| JP2013033448A (ja) * | 2011-06-30 | 2013-02-14 | Canon Marketing Japan Inc | 情報処理装置およびその制御方法、プログラム |
| WO2014083653A1 (ja) * | 2012-11-29 | 2014-06-05 | 三菱電機株式会社 | 通信装置および通信システム |
| CN106152397A (zh) * | 2016-06-29 | 2016-11-23 | 中国汽车工业工程有限公司 | 一种基于生产管理的涂装车间设备智能控制方法 |
| JP2018137787A (ja) * | 2018-03-27 | 2018-08-30 | ソニー株式会社 | 通信システム |
| JP2023072935A (ja) * | 2021-11-15 | 2023-05-25 | 大日本印刷株式会社 | 遠隔操作方法、遠隔操作システム及び回線接続機器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1531245B (zh) | 服务器、终端控制设备以及终端鉴权方法 | |
| CN101442516B (zh) | 一种dhcp认证的方法、系统和装置 | |
| JP4583167B2 (ja) | アクセスネットワーク間の相互接続における推移的認証・許可・課金 | |
| JP4730118B2 (ja) | ドメインネームシステム | |
| US7143435B1 (en) | Method and apparatus for registering auto-configured network addresses based on connection authentication | |
| CN100592746C (zh) | 移动因特网协议中的寻址机制 | |
| US20060078119A1 (en) | Bootstrapping method and system in mobile network using diameter-based protocol | |
| US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
| US20080072312A1 (en) | Connection supporting apparatus | |
| US8737396B2 (en) | Communication method and communication system | |
| Perkins et al. | Authentication, authorization, and accounting (AAA) registration keys for mobile IPv4 | |
| JP2008535363A (ja) | モバイルipを用いた移動ノードの仮想私設網接続方法 | |
| WO2017130292A1 (ja) | サーバ、モバイル端末及びプログラム | |
| JP2004241976A (ja) | 移動通信ネットワークシステムおよび移動端末認証方法 | |
| DeKok | The network access identifier | |
| JP2004208101A (ja) | ゲートウェイ及びそれにおける通信方法 | |
| JP2007082079A (ja) | ネットワーク間接続装置、及びそれを用いた簡易認証システムとその認証方法 | |
| US20040156374A1 (en) | Router and routing method for providing linkage with mobile nodes | |
| JPWO2006064552A1 (ja) | ネットワーク接続サービス提供装置 | |
| JP2004078280A (ja) | リモートアクセス仲介システム及び方法 | |
| JP2004072633A (ja) | IPv6ノード収容方法およびIPv6ノード収容システム | |
| JP2007006248A (ja) | リモートアクセス方法、およびリモートアクセスシステム | |
| JP6813030B2 (ja) | 通信システム | |
| JP2005079921A (ja) | 通信装置、アドレス生成方法、プログラム、及び記憶媒体 | |
| JP2006148241A (ja) | ホームゲートウェイ装置及びip通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20070122 |
|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20081202 |