アクセス回線特定・認証システム
【課題】接続元情報が動的に割り当てられるネットワークにおいてもIPバージョンに依存することなく、シンプルな仕組みでアクセス回線の特定・認証を可能にする。
【解決手段】アクセスNW機器13は、HGW12のMACアドレスが偽装でなければ、ユーザ端末装置16の接続を許可すると共に、アドレス払出し装置14にアドレス払出し要求を送信する。アドレス払出し装置14は、事前準備時に、HGW12にアドレスを払出すと共に、払出しアドレス情報をアクセス回線特定・認証装置15に送信する。アクセス回線特定・認証装置15は、払出しアドレス情報とユーザ基本情報の紐付情報を登録し、回線認証時に、サービス提供サーバ19から回線認証要求を受け、紐付情報とエッジルータ17が保持するアドレスを用いて偽装アドレスと回線をチェックし、その結果をサービス提供サーバ19に返す。
【解決手段】アクセスNW機器13は、HGW12のMACアドレスが偽装でなければ、ユーザ端末装置16の接続を許可すると共に、アドレス払出し装置14にアドレス払出し要求を送信する。アドレス払出し装置14は、事前準備時に、HGW12にアドレスを払出すと共に、払出しアドレス情報をアクセス回線特定・認証装置15に送信する。アクセス回線特定・認証装置15は、払出しアドレス情報とユーザ基本情報の紐付情報を登録し、回線認証時に、サービス提供サーバ19から回線認証要求を受け、紐付情報とエッジルータ17が保持するアドレスを用いて偽装アドレスと回線をチェックし、その結果をサービス提供サーバ19に返す。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセス回線特定・認証システムに関し、特に、接続元に対して接続元情報が動的に割り当てられる固定系ネットワークにおいてもIPバージョンに依存することなく、シンプルな仕組みで接続元アクセス回線を特定・認証することができるアクセス回線特定・認証システムに関する。
【背景技術】
【0002】
DHCP(dynamic host configuration protocol)では、接続元のユーザ端末装置がネットワークに接続されたとき、接続元に対してIPアドレスなどの接続元情報が動的に割り当てられる。また、インターネットなどのIP通信においては、偽装IPアドレスや偽装MACアドレスにより接続元なりすましが行われる恐れがある。
【0003】
光ファイバや電気導線などからなる通信ケーブルを物理的に接続して構成される固定系ネットワークにおいて、接続元に対してIPアドレスなどの接続元情報が動的に割り当てられる場合でも、接続元アクセス回線を特定する共に、偽装IPアドレスや偽装MACアドレスによるアクセスを防ぐ仕組みを備え、接続元を保証することが要求される。しかし、DHPCのような固定系ネットワークでは、接続元に対して接続元情報が動的に割り当てられ、また、接続元なりすましが行われる恐れもあるので、接続元情報によりアクセス回線を特定することは困難である。
【0004】
特許文献1には、パスワードなどを利用せず、IPv6ネットワークの回線認証を利用してIPv4ネットワークにおいてサービス提供の制御を可能にする通信システムが提案されている。これでは、IPv6ルータによる回線認証によって接続元端末装置の信頼性を担保し、IPv6ネットワークに接続された回線認証局が接続元端末装置からの証明書発行要求に従って回線証明書を発行し、接続元端末装置が回線証明書を受けてそれ含むサービス提供要求をIPv4ネットワークに送信してサービスプロバイダシステムからサービス提供を受ける。
【0005】
特許文献2には、サービス利用者によるアサーションの使い回し行為や正規サービス提供者に成りすまして行われるフィッシング行為を防止する利用者回線認証システムが提案されている。これでは、サービス提供者の利用者回線認証装置が利用者端末から利用者IDを含むログイン要求を受信し、アサーション要求(チャレンジ、リンクID)を利用者端末に送信する。利用者端末は、アサーション要求を回線事業者のネットワーク管理装置に転送する。回線事業者は、ネットワーク管理装置とサービス管理装置を用いて正しい回線からのアクセスであることを保証するアサーション(チャレンジ、リンクID、電子署名)を生成してアサーション要求に対する応答として利用者端末に送信する。利用者端末は、このアサーションを含む回線認証要求をサービス提供者の利用者回線認証装置に送信して回線認証を受ける。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2006−25010号公報
【特許文献2】特開2008−42819号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
特許文献1の通信システムでは、IPv6ルータにおいて、接続元端末装置からの証明書発行要求中の回線識別子が接続元端末装置を収容する回線に予め付与された回線識別子に一致するか否かを認証し、この認証を元に証明書発行要求を認証局に転送し、認証局が回線証明書を接続元端末装置に送信する。これにより接続元端末装置の信頼性を担保することができる。
【0008】
しかし、特許文献1で提案されている通信システムでは、偽装IPアドレスや偽装MACアドレスによる第3者のなりすましを防止し、接続元端末装置の信頼性を担保するために、IPv6ルータが備える接続元アクセス回線を特定する仕組み(回線認証機能)を利用する。その仕組みは、IPv6で特有なものであるので、特許文献1の通信システムは、IPv6ネットワークやIPv6プロトコルを必須とし、ネットワーク環境やユーザ属性によってはそれを適用できないという課題がある。
【0009】
特許文献2で提案されている利用者回線認証システムでは、利用者端末が、サービス提供者の利用者回線認証装置にログイン要求を送信し、それに対する応答として送信されるアサーション要求を受信して回線事業者のサービス管理装置に転送し、さらに、回線事業者からアサーション要求に対する応答として送信されるアサーションを受信し、受信されたアサーションを元にサービス提供者に回線認証要求を送信する。このように、特許文献2で提案されている利用者回線認証システムでは、回線事業者とサービス提供者の間に利用者端末が介在して回線認証を行うので、利用者端末に特別な仕組みやアプリケーションを組み込む必要があるという課題がある。
【0010】
本発明の目的は、接続元に対して接続元情報が動的に割り当てられるネットワークにおいてもIPバージョンに依存することなく、シンプルな仕組みで接続元アクセス回線の特定・認証ができるアクセス回線特定・認証システムを提供することにある。
【課題を解決するための手段】
【0011】
上記課題を解決するため、本発明は、ユーザ情報管理装置、宅内サーバ、アクセスネットワーク機器、アドレス払出し装置およびアクセス回線特定・認証装置を備え、前記ユーザ情報管理装置は、ユーザ端末装置が接続された回線の回線ID、前記宅内サーバのMACアドレスおよび前記ユーザ端末装置がネットワーク接続に利用するエッジルータの接続エッジルータ情報を含むユーザ基本情報を格納し、前記宅内サーバは、前記アドレス払出し装置が払出したアドレスを前記ユーザ端末装置に割り当て、前記アクセスネットワーク機器は、前記宅内サーバのMACアドレスが偽装アドレスでないかどうかをチェックする機能を有し、偽装アドレスでない場合に、前記ユーザ端末装置がネットワークに接続されることを許可すると共に、前記アドレス払出し装置にアドレス払出し要求を送信し、前記アドレス払出し装置は、前記アクセスネットワーク機器からのアドレス払出し要求に従って前記宅内サーバにアドレスを払出すと共に、払出したアドレスと前記宅内サーバのMACアドレスのペアを払出しアドレス情報として前記アクセス回線特定・認証装置に送信し、前記アクセス回線特定・認証装置は、回線認証要求に先立つ事前準備時に、前記ユーザ情報管理装置から取得されるユーザ基本情報のうち、前記アドレス払出し装置からの払出しアドレス情報中のMACアドレスに対応するユーザ基本情報を該払出しアドレス情報に紐付けして紐付情報として登録し、回線認証要求時に、ユーザIDに対して回線IDを保持するサービス提供サーバから、ユーザ端末装置から送信された接続/サービス要求中のユーザIDに対応する回線IDと前記接続/サービス要求中のアドレスを含む回線認証要求を受け、前記紐付情報およびエッジルータで保持されているアドレスを用いて、該回線認証要求中のアドレスが偽装アドレスでないかどうか、さらに前記紐付情報中の回線IDが前記回線認証要求中の回線IDに一致するかどうかをチェックし、その結果を前記回線認証要求に対する回答として前記サービス提供サーバに返すことを特徴としている。
【0012】
また、本発明は、前記ユーザ基本情報が、さらに回線住所情報を含み、前記アクセス回線特定・認証装置は、回線認証要求時に、ユーザIDに対して回線IDおよびユーザ住所情報を保持するサービス提供サーバから、ユーザ端末装置から送信された接続/サービス要求中のユーザIDに対応する回線IDとユーザ住所情報および前記接続/サービス要求中のアドレスを含む回線認証要求を受け、前記紐付情報およびエッジルータで保持されているアドレスを用いて、該回線認証要求中のアドレスが偽装アドレスでないかどうか、前記紐付情報中の回線IDが前記回線認証要求中の回線IDに一致するかどうか、さらに前記紐付情報中の回線住所情報が前記回線認証要求中のユーザ住所情報に一致するかどうかをチェックし、その結果を前記回線認証要求に対する回答として前記サービス提供サーバに返すことを特徴としている。
【0013】
さらに、本発明は、前記前記アドレス払出し装置が、前記宅内サーバの仕様がIPv4でもIPv6でも対応可能であることを特徴としている。
【発明の効果】
【0014】
本発明によれば、接続元に対して接続元情報が動的に割り当てられるネットワークにおいてもIPバージョンに依存することなく、シンプルな仕組みで接続元アクセス回線を特定・認証することができる。
【0015】
また、ユーザ端末装置に特別な仕組みやアプリケーションを組み込む必要がなく、ユーザは、通常のログイン手順でサービス提供サーバにアクセスするだけでよく、それにより回線認証を受けてサービス提供サーバが提供するサービスを受けることができる。
【0016】
さらに、回線認証時に、回線住所情報とユーザ住所情報を照合するようにすることにより、ユーザ住所情報に一致する回線住所情報の回線からのアクセスに限定したサービス提供が可能になる。
【図面の簡単な説明】
【0017】
【図1】本発明に係るアクセス回線特定・認証システムの一実施形態の構成を示すブロック図である。
【図2】図1のアクセス回線特定・認証システムの事前準備時の動作を示すシーケンス図である。
【図3】図1のアクセス回線特定・認証システムの認証要求時の動作を示すシーケンス図である。
【発明を実施するための形態】
【0018】
本発明は、IPアドレスは動的に割り当てられて変化するが、回線IDは固定であり、宅内サーバ(home gate way:以下、HGWと称する)のMACアドレスを接続元ごとに固定すると、回線IDは、HGWのMACアドレスと1:1に対応するという点に着目し、それを利用してアクセス回線の特定・認証を行うものである。
【0019】
以下、図面を参照して本発明を説明する。図1は、本発明に係るアクセス回線特定・認証システムの一実施形態の構成を示すブロック図である。
【0020】
本実施形態のアクセス回線特定・認証システムは、ユーザ情報管理装置11、HGW12、アクセスネットワーク機器(アクセスNW機器)13、アドレス払出し装置14およびアクセス回線特定・認証装置15を備える。
【0021】
ユーザ情報管理装置11は、各ユーザのユーザ情報を収容し、管理する。ユーザ情報には、ユーザ端末装置(接続元端末装置)を収容する回線ID、回線工事などの際に必要とされた回線住所情報、HGWのMACアドレス、ユーザ端末装置をネットワーク接続するエッジルータの情報(接続エッジルータ情報)などのユーザ基本情報が含まれる。それらの情報は、通信事業者(キャリア)とユーザとのネットワーク使用契約に従って設定され、ユーザごとに紐付けられている。
【0022】
HGW12は、通信事業者により提供される機器であり、宅内ネットワークと通信事業者ネットワークの境界に配設される。HGW12には通信事業者により予め個別にMACアドレスが割り当てられており、このMACアドレスは、ユーザ側で変更することはできない。宅内ネットワークには、接続元としてのユーザ端末装置16が接続される。ここでは1つのユーザ端末装置が図示されているが、複数のユーザ端末装置が接続されることもある。
【0023】
アクセスNW機器13は、HGW12とエッジルータ17の間に配設され、HGW12のMACアドレスが偽装MACアドレスでないかどうか、すなわち、HGW12として正規HGWが接続されているかどうかをチェックする機能を有する。アクセスNW機器13は、HGW12のMACアドレスが偽装MACアドレスでないことを確認すれば、ユーザ端末装置16からインターネットなどのネットワーク(以下では、インターネットと称する)18への接続を許可すると共に、アドレス払出し装置14にアドレス払出し要求を送信してユーザ端末装置16に対するIPアドレスの払出しを要求する。このチェックには、IEEE802.1xでの標準化規格を利用することができる。IEEE802.1xではポートベースのネットワークアクセス制御について規定している。これによればダイナミックなポートベースセキュリティが可能となり、偽装MACアドレスによるネットワークアクセスを防ぐことができる。
【0024】
アクセスNW機器13によりユーザ端末装置16からインターネット18への接続が許可されれば、ユーザ端末装置16は、HGW12、アクセスNW機器13、エッジルータ17およびインターネット18を通してサービス提供サーバ19にアクセスすることができる。HGW12のMACアドレスが偽装MACアドレスである場合、すなわち、正規HGWが接続されていない場合には、ユーザ端末装置16から接続/サービス要求が送信されても、そのインターネット18への接続は拒否される。
【0025】
アドレス払出し装置14は、アクセスNW機器13からのアドレス払出し要求に従ってユーザ端末装置16に対するIPアドレスを払出す。このIPアドレスは、HGW12によりユーザ端末装置16に割り当てられる。回線認証要求時には、ここで割り当てられたIPアドレスを含む接続/サービス要求がユーザ側から送信される。また、アドレス払出し装置14は、払出しアドレス情報をアクセス回線特定・認証装置15に送信する。払出しアドレス情報は、ユーザ端末装置16に対して払出したIPアドレスとHGW12のMACアドレスのペアからなる。
【0026】
アクセス回線特定・認証装置15は、ユーザ情報管理装置11により登録されたユーザ基本情報のうち、アドレス払出し装置14から送信された払出しアドレス情報中のHGW12のMACアドレスと同じMACアドレスを有するユーザ基本情報を払い出しアドレス情報に紐付けし、紐付情報として登録する。すなわち、紐付情報は、ユーザごとに紐付けられた、回線ID(固定)−回線住所情報(固定)−HGWのMACアドレス(固定)−IPアドレス(可変)からなる。なお、これらの情報を登録するデータベース(DB)は、外部装置として構成してもよい。
【0027】
エッジルータ17は、ユーザ側とインターネット18の境界に位置し、その間の接続を確立し、また、ここを通る接続/サービス要求のMACアドレスとIPアドレスを保持する。
【0028】
サービス提供サーバ19は、ユーザから予め郵送やその他の方法で提供された回線ID(ユーザ端末装置を収容する回線ID)をユーザIDに対応させて保持する。サービス提供サーバ19は、ユーザ端末装置16から送信される接続/サービス要求を受信すると、インターネット18とは別の経路(コントロールプレーン)で回線認証要求をアクセス回線特定・認証装置15に送信し、それに対する回答を受信する。接続/サービス要求は、ユーザIDとIPアドレスを含み、回線認証要求は、接続/サービス要求中のユーザIDに対応して保持している回線IDと接続/サービス要求中のIPアドレスを含む。ここで、回線特定・認証装置15でのアクセス回線の特定・認証の結果、ユーザ端末装置16からのアクセスが正規アクセス回線からのアクセスであるという回答が返されれば、サービス提供サーバ19は、ユーザ端末装置16からの接続/サービス要求に応じる。
【0029】
アクセス回線特定・認証装置15は、サービス提供サーバ19からの回線認証要求を受信し、回線認証要求中のIPアドレスと回線IDが正規組み合わせであるかどうかを判定する。ここで、IPアドレスと回線IDの正規組み合わせであると判定された場合、正規アクセス回線からのアクセスであるという回答をサービス提供サーバ19に返す。そうでない場合には、正規アクセス回線からのアクセスではないという回答をサービス提供サーバ19に返す。IPアドレスと回線IDが正規組み合わせであるかどうかの判定の処理については、後で説明する。
【0030】
図2は、図1のアクセス回線特定・認証システムにおける事前準備時の動作を示すシーケンス図である。事前準備時では、以下に説明するように、ユーザの意識なしに、システム内で自動的に、ユーザ端末装置に対するIPアドレスの払出し、MAC偽装チェック、ユーザ情報管理装置からのユーザ基本情報とアドレス払出し装置からの払出しアドレス情報の登録が実行される。
【0031】
図2に示すように、まず、アクセス回線特定・認証装置15は、ユーザ情報管理装置11からユーザ基本情報である回線ID、回線住所情報、HGW12のMACアドレス、接続エッジルータ情報を取得し、ユーザごとに登録する(S1)。
【0032】
アクセスNW機器13は、HGW12の起動時ならびに起動後一定時間経過ごとに、HGW12との間でHGW12が正規HGWであるかどうか、すなわち、HGW12のMACアドレスが偽装MACアドレスでないかどうかのチェックを行う(S2)。ここで、MACアドレスが偽装MACアドレスでない、すなわち、HGW12として正規HGWが接続されていれば、アクセスNW機器13は、ユーザ端末装置16からインターネット18への接続を許可すると共に、アドレス払出し装置14にアドレス払出し要求を送信し、ユーザ端末装置16に対するIPアドレスの払出しを要求する(S3)。しかし、MACアドレスが偽装MACアドレスである、すなわち、HGW12として不正HGWが接続されると、何らかの不正を行おうとしているとして、アクセスNW機器13は、ユーザ端末装置16から接続/サービス要求が送信されても、そのインターネット18への接続を拒否する。
【0033】
アドレス払出し装置14は、アクセスNW機器13からのアドレス払出し要求に従い、HGW12にユーザ端末装置16に対するIPアドレスを払出す(S4)。なお、アドレス払出し装置14を、HGW12の仕様に合わせ、IPv4/IPv6何れのIPアドレスも払出しできるように構成しておくことにより、IPv4とIPv6の両者に対処できる。アドレス払出し装置14により払い出されたIPアドレスは、ユーザ端末装置16に割り当てられる。したがって、回線認証要求時には、ここで割り当てられたIPアドレスを含む接続/サービス要求がユーザ側から送信される。また、アドレス払出し装置14は、HGW12に払出したIPアドレスとHGW12のMACアドレスのペアを払出しアドレス情報としてアクセス回線特定・認証装置15に送信する。
【0034】
アクセス回線特定・認証装置15は、(S1)でユーザ情報管理装置11により登録されたユーザ基本情報のうち、アドレス払出し装置14から送信された払出しアドレス情報中のHGW12のMACアドレスと同じMACアドレスを有するユーザ基本情報を払い出しアドレス情報に紐付けし、紐付情報として登録する(S5)。すなわち、紐付情報は、ユーザごとに紐付けられた、回線ID(固定)−回線住所情報(固定)−HGWのMACアドレス(固定)−IPアドレス(可変)からなる。
【0035】
図3は、図1のアクセス回線特定・認証システムにおける認証要求時の動作を示すシーケンス図である。回線認証要求時には、以下に説明するように、ユーザ端末装置からの接続/サービス要求に対してアクセス回線の特定・認証を行い、サービス提供サーバによるサービス提供を許可あるいは拒否する。なお、サービス提供サーバは、ユーザから提供された回線IDをユーザIDに対応させて予め保持している。
【0036】
図3に示すように、まず、ユーザは、サービス提供サーバ19によるサービス提供を受けるため、ユーザ端末装置16からHGW12、アクセスNW機器13、エッジルータ17およびインターネット18を介してサービス提供サーバ19に接続/サービス要求を送信する(S6)。接続/サービス要求は、ユーザIDとIPアドレスを含む。これは、ユーザに特別な操作を要求することなく、通常のアクセスと同様の操作で送信される。エッジルータ17は、この接続/サービス要求に伴うアドレス(IPアドレスとMACアドレス)を保持する機能を有する。
【0037】
サービス提供サーバ19は、予め保持しているユーザIDと回線IDの対応から、接続/サービス要求中のユーザIDに対応する回線IDを取得し、この回線IDとIPアドレスを含む回線認証要求をアクセス回線特定・認証装置15に送信する(S7)。ここで、IPアドレスは、接続/サービス要求中のものである。
【0038】
アクセス回線特定・認証装置15は、サービス提供サーバ19からの回線認証要求を受信し、まず、回線認証要求中のIPアドレス(接続/サービス要求中のIPアドレス)が偽装IPアドレスでないかどうかをチェックする(S8)。このチェックは、接続/サービス要求が送信されたエッジルータ17を回線認証要求中のIPアドレスから特定し、該エッジルータ17が該IPアドレスに対応して保持しているMACアドレスを取得し、取得されたMACアドレスとIPアドレスのペアが(S5)で登録されたMACアドレスとIPアドレスのペアと一致するかどうかを照合することで実現できる。ここで、IPアドレスが偽装IPアドレスでなければ、両者のIPアドレスとMACアドレスのペアは一致し、IPアドレスが偽装IPアドレスであれば、両者のIPアドレスとMACアドレスのペアは一致しない。
【0039】
IPアドレスが偽装IPアドレスでないと判定されれば、アクセス回線特定・認証装置15は、(S1)ならびに(S5)で登録された紐付情報(回線ID(固定)−回線住所情報(固定)−HGW12のMACアドレス(固定)−IPアドレス(可変))を確認し、回線認証を行う(S9)。回線認証は、IPアドレス偽装チェックの際のMACアドレスと同じMACアドレスを有する紐付情報の回線IDが回線認証要求中の回線IDに一致するかどうかを照合することで実現できる。すなわち、上記紐付情報の回線IDが回線認証要求中の回線IDに一致すれば、サービス提供サーバ19に予め保持された回線IDの回線からの接続/サービス要求であることが分かる。
【0040】
次に、アクセス回線特定・認証装置15は、回線認証要求に対する回答をサービス提供サーバ19に返す(S10)。サービス提供サーバ19は、この回答に従って、ユーザ端末装置16からの接続/サービス要求を許可あるいは拒否する(S11)。
【0041】
以上のように、HGWのMACアドレスおよびIPアドレスが偽装アドレスでなく、サービス提供サーバ19が予め保持している回線からのアクセスであれば、サービス提供サーバ19からユーザ端末装置16へのサービス提供が許可され、そうでなければ、サービス提供が拒否される。
【0042】
以上、実施形態について説明したが、本発明は、上記実施形態に限定されるものではない。例えば、(S1)ならびに(S5)で登録される紐付情報は、回線住所情報を含むので、これを利用して接続元情報を割り出すことができる。
【0043】
また、上記実施形態では、HGWのMACアドレスおよびIPアドレスが偽装アドレスでなく、サービス提供サーバ19が予め保持している回線からのアクセスであることを条件としてサービス提供を許可するようにしているが、さらに、ユーザ住所を条件としてサービス提供を許可するようにすることもできる。
【0044】
これは、回線IDに加えてユーザ住所情報をサービス提供サーバ19に保持させることで実現できる。この場合、回線認証要求にユーザ住所情報を含ませてアクセス回線・認証装置15に送信し、アクセス回線・認証装置15では、紐付情報の回線IDが回線認証要求中の回線IDに一致するかどうかの照合に加えて、紐付情報の回線住所情報がユーザ住所情報に一致するかどうかの照合を行い、両者の照合結果に応じてサービス提供を許可あるいは拒否するようにすればよい。
【0045】
これによれば、例えば、在宅勤務などの場合に、勤務先(社員データベース)に登録してあるユーザの自宅住所と回線住所とが一致するかどうかをチェックし、ユーザの自宅に限定してサービス提供サーバ19へのアクセスを許可するようにできる。
【0046】
なお、サービス提供サーバ19がユーザIDに対して保持する回線IDは、回線IDそのものでなくてもよく、回線を識別し得る情報ならばどのようなものでもよい。また、ユーザ住所情報は、地名番地に限らず、一定エリアを示すエリアコードなどのエリア特定情報でもよく、その場合には、回線住所がエリアに含まれるかどうかを照合すればよい。
【0047】
以上の説明から明らかなように、アドレス払出し装置やアクセス回線特定・認証装置は、どのようなIPバージョンでも動作可能にすることができるので、IPv4やIPv6といったIPバージョンに縛られることなく、アクセス回線を特定・認証することができる。また、ユーザ端末装置は、通常のログイン手順でサービス提供サーバにアクセスするだけでよいので、特別な仕組みやアプリケーションを組み込む必要がない。さらに、サービス提供サーバは、ユーザから提供される回線ID(あるいは回線IDとユーザ住所情報)をユーザIDに対応させて保持するだけでよく、特殊な情報の送受を必要としない。
【符号の説明】
【0048】
11・・・ユーザ情報管理装置、12・・・宅内サーバ(HGW)、13・・・アクセスネットワーク機器、14・・・アドレス払出し装置、15・・・アクセス回線特定・認証装置、16・・・ユーザ端末装置、17・・・エッジルータ、18・・・ネットワーク(インターネット)、19・・・サービス提供サーバ
【技術分野】
【0001】
本発明は、アクセス回線特定・認証システムに関し、特に、接続元に対して接続元情報が動的に割り当てられる固定系ネットワークにおいてもIPバージョンに依存することなく、シンプルな仕組みで接続元アクセス回線を特定・認証することができるアクセス回線特定・認証システムに関する。
【背景技術】
【0002】
DHCP(dynamic host configuration protocol)では、接続元のユーザ端末装置がネットワークに接続されたとき、接続元に対してIPアドレスなどの接続元情報が動的に割り当てられる。また、インターネットなどのIP通信においては、偽装IPアドレスや偽装MACアドレスにより接続元なりすましが行われる恐れがある。
【0003】
光ファイバや電気導線などからなる通信ケーブルを物理的に接続して構成される固定系ネットワークにおいて、接続元に対してIPアドレスなどの接続元情報が動的に割り当てられる場合でも、接続元アクセス回線を特定する共に、偽装IPアドレスや偽装MACアドレスによるアクセスを防ぐ仕組みを備え、接続元を保証することが要求される。しかし、DHPCのような固定系ネットワークでは、接続元に対して接続元情報が動的に割り当てられ、また、接続元なりすましが行われる恐れもあるので、接続元情報によりアクセス回線を特定することは困難である。
【0004】
特許文献1には、パスワードなどを利用せず、IPv6ネットワークの回線認証を利用してIPv4ネットワークにおいてサービス提供の制御を可能にする通信システムが提案されている。これでは、IPv6ルータによる回線認証によって接続元端末装置の信頼性を担保し、IPv6ネットワークに接続された回線認証局が接続元端末装置からの証明書発行要求に従って回線証明書を発行し、接続元端末装置が回線証明書を受けてそれ含むサービス提供要求をIPv4ネットワークに送信してサービスプロバイダシステムからサービス提供を受ける。
【0005】
特許文献2には、サービス利用者によるアサーションの使い回し行為や正規サービス提供者に成りすまして行われるフィッシング行為を防止する利用者回線認証システムが提案されている。これでは、サービス提供者の利用者回線認証装置が利用者端末から利用者IDを含むログイン要求を受信し、アサーション要求(チャレンジ、リンクID)を利用者端末に送信する。利用者端末は、アサーション要求を回線事業者のネットワーク管理装置に転送する。回線事業者は、ネットワーク管理装置とサービス管理装置を用いて正しい回線からのアクセスであることを保証するアサーション(チャレンジ、リンクID、電子署名)を生成してアサーション要求に対する応答として利用者端末に送信する。利用者端末は、このアサーションを含む回線認証要求をサービス提供者の利用者回線認証装置に送信して回線認証を受ける。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2006−25010号公報
【特許文献2】特開2008−42819号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
特許文献1の通信システムでは、IPv6ルータにおいて、接続元端末装置からの証明書発行要求中の回線識別子が接続元端末装置を収容する回線に予め付与された回線識別子に一致するか否かを認証し、この認証を元に証明書発行要求を認証局に転送し、認証局が回線証明書を接続元端末装置に送信する。これにより接続元端末装置の信頼性を担保することができる。
【0008】
しかし、特許文献1で提案されている通信システムでは、偽装IPアドレスや偽装MACアドレスによる第3者のなりすましを防止し、接続元端末装置の信頼性を担保するために、IPv6ルータが備える接続元アクセス回線を特定する仕組み(回線認証機能)を利用する。その仕組みは、IPv6で特有なものであるので、特許文献1の通信システムは、IPv6ネットワークやIPv6プロトコルを必須とし、ネットワーク環境やユーザ属性によってはそれを適用できないという課題がある。
【0009】
特許文献2で提案されている利用者回線認証システムでは、利用者端末が、サービス提供者の利用者回線認証装置にログイン要求を送信し、それに対する応答として送信されるアサーション要求を受信して回線事業者のサービス管理装置に転送し、さらに、回線事業者からアサーション要求に対する応答として送信されるアサーションを受信し、受信されたアサーションを元にサービス提供者に回線認証要求を送信する。このように、特許文献2で提案されている利用者回線認証システムでは、回線事業者とサービス提供者の間に利用者端末が介在して回線認証を行うので、利用者端末に特別な仕組みやアプリケーションを組み込む必要があるという課題がある。
【0010】
本発明の目的は、接続元に対して接続元情報が動的に割り当てられるネットワークにおいてもIPバージョンに依存することなく、シンプルな仕組みで接続元アクセス回線の特定・認証ができるアクセス回線特定・認証システムを提供することにある。
【課題を解決するための手段】
【0011】
上記課題を解決するため、本発明は、ユーザ情報管理装置、宅内サーバ、アクセスネットワーク機器、アドレス払出し装置およびアクセス回線特定・認証装置を備え、前記ユーザ情報管理装置は、ユーザ端末装置が接続された回線の回線ID、前記宅内サーバのMACアドレスおよび前記ユーザ端末装置がネットワーク接続に利用するエッジルータの接続エッジルータ情報を含むユーザ基本情報を格納し、前記宅内サーバは、前記アドレス払出し装置が払出したアドレスを前記ユーザ端末装置に割り当て、前記アクセスネットワーク機器は、前記宅内サーバのMACアドレスが偽装アドレスでないかどうかをチェックする機能を有し、偽装アドレスでない場合に、前記ユーザ端末装置がネットワークに接続されることを許可すると共に、前記アドレス払出し装置にアドレス払出し要求を送信し、前記アドレス払出し装置は、前記アクセスネットワーク機器からのアドレス払出し要求に従って前記宅内サーバにアドレスを払出すと共に、払出したアドレスと前記宅内サーバのMACアドレスのペアを払出しアドレス情報として前記アクセス回線特定・認証装置に送信し、前記アクセス回線特定・認証装置は、回線認証要求に先立つ事前準備時に、前記ユーザ情報管理装置から取得されるユーザ基本情報のうち、前記アドレス払出し装置からの払出しアドレス情報中のMACアドレスに対応するユーザ基本情報を該払出しアドレス情報に紐付けして紐付情報として登録し、回線認証要求時に、ユーザIDに対して回線IDを保持するサービス提供サーバから、ユーザ端末装置から送信された接続/サービス要求中のユーザIDに対応する回線IDと前記接続/サービス要求中のアドレスを含む回線認証要求を受け、前記紐付情報およびエッジルータで保持されているアドレスを用いて、該回線認証要求中のアドレスが偽装アドレスでないかどうか、さらに前記紐付情報中の回線IDが前記回線認証要求中の回線IDに一致するかどうかをチェックし、その結果を前記回線認証要求に対する回答として前記サービス提供サーバに返すことを特徴としている。
【0012】
また、本発明は、前記ユーザ基本情報が、さらに回線住所情報を含み、前記アクセス回線特定・認証装置は、回線認証要求時に、ユーザIDに対して回線IDおよびユーザ住所情報を保持するサービス提供サーバから、ユーザ端末装置から送信された接続/サービス要求中のユーザIDに対応する回線IDとユーザ住所情報および前記接続/サービス要求中のアドレスを含む回線認証要求を受け、前記紐付情報およびエッジルータで保持されているアドレスを用いて、該回線認証要求中のアドレスが偽装アドレスでないかどうか、前記紐付情報中の回線IDが前記回線認証要求中の回線IDに一致するかどうか、さらに前記紐付情報中の回線住所情報が前記回線認証要求中のユーザ住所情報に一致するかどうかをチェックし、その結果を前記回線認証要求に対する回答として前記サービス提供サーバに返すことを特徴としている。
【0013】
さらに、本発明は、前記前記アドレス払出し装置が、前記宅内サーバの仕様がIPv4でもIPv6でも対応可能であることを特徴としている。
【発明の効果】
【0014】
本発明によれば、接続元に対して接続元情報が動的に割り当てられるネットワークにおいてもIPバージョンに依存することなく、シンプルな仕組みで接続元アクセス回線を特定・認証することができる。
【0015】
また、ユーザ端末装置に特別な仕組みやアプリケーションを組み込む必要がなく、ユーザは、通常のログイン手順でサービス提供サーバにアクセスするだけでよく、それにより回線認証を受けてサービス提供サーバが提供するサービスを受けることができる。
【0016】
さらに、回線認証時に、回線住所情報とユーザ住所情報を照合するようにすることにより、ユーザ住所情報に一致する回線住所情報の回線からのアクセスに限定したサービス提供が可能になる。
【図面の簡単な説明】
【0017】
【図1】本発明に係るアクセス回線特定・認証システムの一実施形態の構成を示すブロック図である。
【図2】図1のアクセス回線特定・認証システムの事前準備時の動作を示すシーケンス図である。
【図3】図1のアクセス回線特定・認証システムの認証要求時の動作を示すシーケンス図である。
【発明を実施するための形態】
【0018】
本発明は、IPアドレスは動的に割り当てられて変化するが、回線IDは固定であり、宅内サーバ(home gate way:以下、HGWと称する)のMACアドレスを接続元ごとに固定すると、回線IDは、HGWのMACアドレスと1:1に対応するという点に着目し、それを利用してアクセス回線の特定・認証を行うものである。
【0019】
以下、図面を参照して本発明を説明する。図1は、本発明に係るアクセス回線特定・認証システムの一実施形態の構成を示すブロック図である。
【0020】
本実施形態のアクセス回線特定・認証システムは、ユーザ情報管理装置11、HGW12、アクセスネットワーク機器(アクセスNW機器)13、アドレス払出し装置14およびアクセス回線特定・認証装置15を備える。
【0021】
ユーザ情報管理装置11は、各ユーザのユーザ情報を収容し、管理する。ユーザ情報には、ユーザ端末装置(接続元端末装置)を収容する回線ID、回線工事などの際に必要とされた回線住所情報、HGWのMACアドレス、ユーザ端末装置をネットワーク接続するエッジルータの情報(接続エッジルータ情報)などのユーザ基本情報が含まれる。それらの情報は、通信事業者(キャリア)とユーザとのネットワーク使用契約に従って設定され、ユーザごとに紐付けられている。
【0022】
HGW12は、通信事業者により提供される機器であり、宅内ネットワークと通信事業者ネットワークの境界に配設される。HGW12には通信事業者により予め個別にMACアドレスが割り当てられており、このMACアドレスは、ユーザ側で変更することはできない。宅内ネットワークには、接続元としてのユーザ端末装置16が接続される。ここでは1つのユーザ端末装置が図示されているが、複数のユーザ端末装置が接続されることもある。
【0023】
アクセスNW機器13は、HGW12とエッジルータ17の間に配設され、HGW12のMACアドレスが偽装MACアドレスでないかどうか、すなわち、HGW12として正規HGWが接続されているかどうかをチェックする機能を有する。アクセスNW機器13は、HGW12のMACアドレスが偽装MACアドレスでないことを確認すれば、ユーザ端末装置16からインターネットなどのネットワーク(以下では、インターネットと称する)18への接続を許可すると共に、アドレス払出し装置14にアドレス払出し要求を送信してユーザ端末装置16に対するIPアドレスの払出しを要求する。このチェックには、IEEE802.1xでの標準化規格を利用することができる。IEEE802.1xではポートベースのネットワークアクセス制御について規定している。これによればダイナミックなポートベースセキュリティが可能となり、偽装MACアドレスによるネットワークアクセスを防ぐことができる。
【0024】
アクセスNW機器13によりユーザ端末装置16からインターネット18への接続が許可されれば、ユーザ端末装置16は、HGW12、アクセスNW機器13、エッジルータ17およびインターネット18を通してサービス提供サーバ19にアクセスすることができる。HGW12のMACアドレスが偽装MACアドレスである場合、すなわち、正規HGWが接続されていない場合には、ユーザ端末装置16から接続/サービス要求が送信されても、そのインターネット18への接続は拒否される。
【0025】
アドレス払出し装置14は、アクセスNW機器13からのアドレス払出し要求に従ってユーザ端末装置16に対するIPアドレスを払出す。このIPアドレスは、HGW12によりユーザ端末装置16に割り当てられる。回線認証要求時には、ここで割り当てられたIPアドレスを含む接続/サービス要求がユーザ側から送信される。また、アドレス払出し装置14は、払出しアドレス情報をアクセス回線特定・認証装置15に送信する。払出しアドレス情報は、ユーザ端末装置16に対して払出したIPアドレスとHGW12のMACアドレスのペアからなる。
【0026】
アクセス回線特定・認証装置15は、ユーザ情報管理装置11により登録されたユーザ基本情報のうち、アドレス払出し装置14から送信された払出しアドレス情報中のHGW12のMACアドレスと同じMACアドレスを有するユーザ基本情報を払い出しアドレス情報に紐付けし、紐付情報として登録する。すなわち、紐付情報は、ユーザごとに紐付けられた、回線ID(固定)−回線住所情報(固定)−HGWのMACアドレス(固定)−IPアドレス(可変)からなる。なお、これらの情報を登録するデータベース(DB)は、外部装置として構成してもよい。
【0027】
エッジルータ17は、ユーザ側とインターネット18の境界に位置し、その間の接続を確立し、また、ここを通る接続/サービス要求のMACアドレスとIPアドレスを保持する。
【0028】
サービス提供サーバ19は、ユーザから予め郵送やその他の方法で提供された回線ID(ユーザ端末装置を収容する回線ID)をユーザIDに対応させて保持する。サービス提供サーバ19は、ユーザ端末装置16から送信される接続/サービス要求を受信すると、インターネット18とは別の経路(コントロールプレーン)で回線認証要求をアクセス回線特定・認証装置15に送信し、それに対する回答を受信する。接続/サービス要求は、ユーザIDとIPアドレスを含み、回線認証要求は、接続/サービス要求中のユーザIDに対応して保持している回線IDと接続/サービス要求中のIPアドレスを含む。ここで、回線特定・認証装置15でのアクセス回線の特定・認証の結果、ユーザ端末装置16からのアクセスが正規アクセス回線からのアクセスであるという回答が返されれば、サービス提供サーバ19は、ユーザ端末装置16からの接続/サービス要求に応じる。
【0029】
アクセス回線特定・認証装置15は、サービス提供サーバ19からの回線認証要求を受信し、回線認証要求中のIPアドレスと回線IDが正規組み合わせであるかどうかを判定する。ここで、IPアドレスと回線IDの正規組み合わせであると判定された場合、正規アクセス回線からのアクセスであるという回答をサービス提供サーバ19に返す。そうでない場合には、正規アクセス回線からのアクセスではないという回答をサービス提供サーバ19に返す。IPアドレスと回線IDが正規組み合わせであるかどうかの判定の処理については、後で説明する。
【0030】
図2は、図1のアクセス回線特定・認証システムにおける事前準備時の動作を示すシーケンス図である。事前準備時では、以下に説明するように、ユーザの意識なしに、システム内で自動的に、ユーザ端末装置に対するIPアドレスの払出し、MAC偽装チェック、ユーザ情報管理装置からのユーザ基本情報とアドレス払出し装置からの払出しアドレス情報の登録が実行される。
【0031】
図2に示すように、まず、アクセス回線特定・認証装置15は、ユーザ情報管理装置11からユーザ基本情報である回線ID、回線住所情報、HGW12のMACアドレス、接続エッジルータ情報を取得し、ユーザごとに登録する(S1)。
【0032】
アクセスNW機器13は、HGW12の起動時ならびに起動後一定時間経過ごとに、HGW12との間でHGW12が正規HGWであるかどうか、すなわち、HGW12のMACアドレスが偽装MACアドレスでないかどうかのチェックを行う(S2)。ここで、MACアドレスが偽装MACアドレスでない、すなわち、HGW12として正規HGWが接続されていれば、アクセスNW機器13は、ユーザ端末装置16からインターネット18への接続を許可すると共に、アドレス払出し装置14にアドレス払出し要求を送信し、ユーザ端末装置16に対するIPアドレスの払出しを要求する(S3)。しかし、MACアドレスが偽装MACアドレスである、すなわち、HGW12として不正HGWが接続されると、何らかの不正を行おうとしているとして、アクセスNW機器13は、ユーザ端末装置16から接続/サービス要求が送信されても、そのインターネット18への接続を拒否する。
【0033】
アドレス払出し装置14は、アクセスNW機器13からのアドレス払出し要求に従い、HGW12にユーザ端末装置16に対するIPアドレスを払出す(S4)。なお、アドレス払出し装置14を、HGW12の仕様に合わせ、IPv4/IPv6何れのIPアドレスも払出しできるように構成しておくことにより、IPv4とIPv6の両者に対処できる。アドレス払出し装置14により払い出されたIPアドレスは、ユーザ端末装置16に割り当てられる。したがって、回線認証要求時には、ここで割り当てられたIPアドレスを含む接続/サービス要求がユーザ側から送信される。また、アドレス払出し装置14は、HGW12に払出したIPアドレスとHGW12のMACアドレスのペアを払出しアドレス情報としてアクセス回線特定・認証装置15に送信する。
【0034】
アクセス回線特定・認証装置15は、(S1)でユーザ情報管理装置11により登録されたユーザ基本情報のうち、アドレス払出し装置14から送信された払出しアドレス情報中のHGW12のMACアドレスと同じMACアドレスを有するユーザ基本情報を払い出しアドレス情報に紐付けし、紐付情報として登録する(S5)。すなわち、紐付情報は、ユーザごとに紐付けられた、回線ID(固定)−回線住所情報(固定)−HGWのMACアドレス(固定)−IPアドレス(可変)からなる。
【0035】
図3は、図1のアクセス回線特定・認証システムにおける認証要求時の動作を示すシーケンス図である。回線認証要求時には、以下に説明するように、ユーザ端末装置からの接続/サービス要求に対してアクセス回線の特定・認証を行い、サービス提供サーバによるサービス提供を許可あるいは拒否する。なお、サービス提供サーバは、ユーザから提供された回線IDをユーザIDに対応させて予め保持している。
【0036】
図3に示すように、まず、ユーザは、サービス提供サーバ19によるサービス提供を受けるため、ユーザ端末装置16からHGW12、アクセスNW機器13、エッジルータ17およびインターネット18を介してサービス提供サーバ19に接続/サービス要求を送信する(S6)。接続/サービス要求は、ユーザIDとIPアドレスを含む。これは、ユーザに特別な操作を要求することなく、通常のアクセスと同様の操作で送信される。エッジルータ17は、この接続/サービス要求に伴うアドレス(IPアドレスとMACアドレス)を保持する機能を有する。
【0037】
サービス提供サーバ19は、予め保持しているユーザIDと回線IDの対応から、接続/サービス要求中のユーザIDに対応する回線IDを取得し、この回線IDとIPアドレスを含む回線認証要求をアクセス回線特定・認証装置15に送信する(S7)。ここで、IPアドレスは、接続/サービス要求中のものである。
【0038】
アクセス回線特定・認証装置15は、サービス提供サーバ19からの回線認証要求を受信し、まず、回線認証要求中のIPアドレス(接続/サービス要求中のIPアドレス)が偽装IPアドレスでないかどうかをチェックする(S8)。このチェックは、接続/サービス要求が送信されたエッジルータ17を回線認証要求中のIPアドレスから特定し、該エッジルータ17が該IPアドレスに対応して保持しているMACアドレスを取得し、取得されたMACアドレスとIPアドレスのペアが(S5)で登録されたMACアドレスとIPアドレスのペアと一致するかどうかを照合することで実現できる。ここで、IPアドレスが偽装IPアドレスでなければ、両者のIPアドレスとMACアドレスのペアは一致し、IPアドレスが偽装IPアドレスであれば、両者のIPアドレスとMACアドレスのペアは一致しない。
【0039】
IPアドレスが偽装IPアドレスでないと判定されれば、アクセス回線特定・認証装置15は、(S1)ならびに(S5)で登録された紐付情報(回線ID(固定)−回線住所情報(固定)−HGW12のMACアドレス(固定)−IPアドレス(可変))を確認し、回線認証を行う(S9)。回線認証は、IPアドレス偽装チェックの際のMACアドレスと同じMACアドレスを有する紐付情報の回線IDが回線認証要求中の回線IDに一致するかどうかを照合することで実現できる。すなわち、上記紐付情報の回線IDが回線認証要求中の回線IDに一致すれば、サービス提供サーバ19に予め保持された回線IDの回線からの接続/サービス要求であることが分かる。
【0040】
次に、アクセス回線特定・認証装置15は、回線認証要求に対する回答をサービス提供サーバ19に返す(S10)。サービス提供サーバ19は、この回答に従って、ユーザ端末装置16からの接続/サービス要求を許可あるいは拒否する(S11)。
【0041】
以上のように、HGWのMACアドレスおよびIPアドレスが偽装アドレスでなく、サービス提供サーバ19が予め保持している回線からのアクセスであれば、サービス提供サーバ19からユーザ端末装置16へのサービス提供が許可され、そうでなければ、サービス提供が拒否される。
【0042】
以上、実施形態について説明したが、本発明は、上記実施形態に限定されるものではない。例えば、(S1)ならびに(S5)で登録される紐付情報は、回線住所情報を含むので、これを利用して接続元情報を割り出すことができる。
【0043】
また、上記実施形態では、HGWのMACアドレスおよびIPアドレスが偽装アドレスでなく、サービス提供サーバ19が予め保持している回線からのアクセスであることを条件としてサービス提供を許可するようにしているが、さらに、ユーザ住所を条件としてサービス提供を許可するようにすることもできる。
【0044】
これは、回線IDに加えてユーザ住所情報をサービス提供サーバ19に保持させることで実現できる。この場合、回線認証要求にユーザ住所情報を含ませてアクセス回線・認証装置15に送信し、アクセス回線・認証装置15では、紐付情報の回線IDが回線認証要求中の回線IDに一致するかどうかの照合に加えて、紐付情報の回線住所情報がユーザ住所情報に一致するかどうかの照合を行い、両者の照合結果に応じてサービス提供を許可あるいは拒否するようにすればよい。
【0045】
これによれば、例えば、在宅勤務などの場合に、勤務先(社員データベース)に登録してあるユーザの自宅住所と回線住所とが一致するかどうかをチェックし、ユーザの自宅に限定してサービス提供サーバ19へのアクセスを許可するようにできる。
【0046】
なお、サービス提供サーバ19がユーザIDに対して保持する回線IDは、回線IDそのものでなくてもよく、回線を識別し得る情報ならばどのようなものでもよい。また、ユーザ住所情報は、地名番地に限らず、一定エリアを示すエリアコードなどのエリア特定情報でもよく、その場合には、回線住所がエリアに含まれるかどうかを照合すればよい。
【0047】
以上の説明から明らかなように、アドレス払出し装置やアクセス回線特定・認証装置は、どのようなIPバージョンでも動作可能にすることができるので、IPv4やIPv6といったIPバージョンに縛られることなく、アクセス回線を特定・認証することができる。また、ユーザ端末装置は、通常のログイン手順でサービス提供サーバにアクセスするだけでよいので、特別な仕組みやアプリケーションを組み込む必要がない。さらに、サービス提供サーバは、ユーザから提供される回線ID(あるいは回線IDとユーザ住所情報)をユーザIDに対応させて保持するだけでよく、特殊な情報の送受を必要としない。
【符号の説明】
【0048】
11・・・ユーザ情報管理装置、12・・・宅内サーバ(HGW)、13・・・アクセスネットワーク機器、14・・・アドレス払出し装置、15・・・アクセス回線特定・認証装置、16・・・ユーザ端末装置、17・・・エッジルータ、18・・・ネットワーク(インターネット)、19・・・サービス提供サーバ
【特許請求の範囲】
【請求項1】
ユーザ情報管理装置、宅内サーバ、アクセスネットワーク機器、アドレス払出し装置およびアクセス回線特定・認証装置を備え、
前記ユーザ情報管理装置は、ユーザ端末装置が接続された回線の回線ID、前記宅内サーバのMACアドレスおよび前記ユーザ端末装置がネットワーク接続に利用するエッジルータの接続エッジルータ情報を含むユーザ基本情報を格納し、
前記宅内サーバは、前記アドレス払出し装置が払出したアドレスを前記ユーザ端末装置に割り当て、
前記アクセスネットワーク機器は、前記宅内サーバのMACアドレスが偽装アドレスでないかどうかをチェックする機能を有し、偽装アドレスでない場合に、前記ユーザ端末装置がネットワークに接続されることを許可すると共に、前記アドレス払出し装置にアドレス払出し要求を送信し、
前記アドレス払出し装置は、前記アクセスネットワーク機器からのアドレス払出し要求に従って前記宅内サーバにアドレスを払出すと共に、払出したアドレスと前記宅内サーバのMACアドレスのペアを払出しアドレス情報として前記アクセス回線特定・認証装置に送信し、
前記アクセス回線特定・認証装置は、
回線認証要求に先立つ事前準備時に、前記ユーザ情報管理装置から取得されるユーザ基本情報のうち、前記アドレス払出し装置からの払出しアドレス情報中のMACアドレスに対応するユーザ基本情報を該払出しアドレス情報に紐付けして紐付情報として登録し、
回線認証要求時に、ユーザIDに対して回線IDを保持するサービス提供サーバから、ユーザ端末装置から送信された接続/サービス要求中のユーザIDに対応する回線IDと前記接続/サービス要求中のアドレスを含む回線認証要求を受け、前記紐付情報およびエッジルータで保持されているアドレスを用いて、該回線認証要求中のアドレスが偽装アドレスでないかどうか、さらに前記紐付情報中の回線IDが前記回線認証要求中の回線IDに一致するかどうかをチェックし、その結果を前記回線認証要求に対する回答として前記サービス提供サーバに返すことを特徴とするアクセス回線特定・認証システム。
【請求項2】
前記ユーザ基本情報は、さらに回線住所情報を含み、
前記アクセス回線特定・認証装置は、
回線認証要求時に、ユーザIDに対して回線IDおよびユーザ住所情報を保持するサービス提供サーバから、ユーザ端末装置から送信された接続/サービス要求中のユーザIDに対応する回線IDとユーザ住所情報および前記接続/サービス要求中のアドレスを含む回線認証要求を受け、前記紐付情報およびエッジルータで保持されているアドレスを用いて、該回線認証要求中のアドレスが偽装アドレスでないかどうか、前記紐付情報中の回線IDが前記回線認証要求中の回線IDに一致するかどうか、さらに前記紐付情報中の回線住所情報が前記回線認証要求中のユーザ住所情報に一致するかどうかをチェックし、その結果を前記回線認証要求に対する回答として前記サービス提供サーバに返すことを特徴とする請求項1に記載のアクセス回線特定・認証システム。
【請求項3】
前記前記アドレス払出し装置は、前記宅内サーバの仕様がIPv4でもIPv6でも対応可能であることを特徴とする請求項1または2に記載のアクセス回線特定・認証システム。
【請求項1】
ユーザ情報管理装置、宅内サーバ、アクセスネットワーク機器、アドレス払出し装置およびアクセス回線特定・認証装置を備え、
前記ユーザ情報管理装置は、ユーザ端末装置が接続された回線の回線ID、前記宅内サーバのMACアドレスおよび前記ユーザ端末装置がネットワーク接続に利用するエッジルータの接続エッジルータ情報を含むユーザ基本情報を格納し、
前記宅内サーバは、前記アドレス払出し装置が払出したアドレスを前記ユーザ端末装置に割り当て、
前記アクセスネットワーク機器は、前記宅内サーバのMACアドレスが偽装アドレスでないかどうかをチェックする機能を有し、偽装アドレスでない場合に、前記ユーザ端末装置がネットワークに接続されることを許可すると共に、前記アドレス払出し装置にアドレス払出し要求を送信し、
前記アドレス払出し装置は、前記アクセスネットワーク機器からのアドレス払出し要求に従って前記宅内サーバにアドレスを払出すと共に、払出したアドレスと前記宅内サーバのMACアドレスのペアを払出しアドレス情報として前記アクセス回線特定・認証装置に送信し、
前記アクセス回線特定・認証装置は、
回線認証要求に先立つ事前準備時に、前記ユーザ情報管理装置から取得されるユーザ基本情報のうち、前記アドレス払出し装置からの払出しアドレス情報中のMACアドレスに対応するユーザ基本情報を該払出しアドレス情報に紐付けして紐付情報として登録し、
回線認証要求時に、ユーザIDに対して回線IDを保持するサービス提供サーバから、ユーザ端末装置から送信された接続/サービス要求中のユーザIDに対応する回線IDと前記接続/サービス要求中のアドレスを含む回線認証要求を受け、前記紐付情報およびエッジルータで保持されているアドレスを用いて、該回線認証要求中のアドレスが偽装アドレスでないかどうか、さらに前記紐付情報中の回線IDが前記回線認証要求中の回線IDに一致するかどうかをチェックし、その結果を前記回線認証要求に対する回答として前記サービス提供サーバに返すことを特徴とするアクセス回線特定・認証システム。
【請求項2】
前記ユーザ基本情報は、さらに回線住所情報を含み、
前記アクセス回線特定・認証装置は、
回線認証要求時に、ユーザIDに対して回線IDおよびユーザ住所情報を保持するサービス提供サーバから、ユーザ端末装置から送信された接続/サービス要求中のユーザIDに対応する回線IDとユーザ住所情報および前記接続/サービス要求中のアドレスを含む回線認証要求を受け、前記紐付情報およびエッジルータで保持されているアドレスを用いて、該回線認証要求中のアドレスが偽装アドレスでないかどうか、前記紐付情報中の回線IDが前記回線認証要求中の回線IDに一致するかどうか、さらに前記紐付情報中の回線住所情報が前記回線認証要求中のユーザ住所情報に一致するかどうかをチェックし、その結果を前記回線認証要求に対する回答として前記サービス提供サーバに返すことを特徴とする請求項1に記載のアクセス回線特定・認証システム。
【請求項3】
前記前記アドレス払出し装置は、前記宅内サーバの仕様がIPv4でもIPv6でも対応可能であることを特徴とする請求項1または2に記載のアクセス回線特定・認証システム。
【図1】
【図2】
【図3】
【図2】
【図3】
【公開番号】特開2013−105250(P2013−105250A)
【公開日】平成25年5月30日(2013.5.30)
【国際特許分類】
【出願番号】特願2011−247495(P2011−247495)
【出願日】平成23年11月11日(2011.11.11)
【出願人】(000208891)KDDI株式会社 (2,700)
【公開日】平成25年5月30日(2013.5.30)
【国際特許分類】
【出願日】平成23年11月11日(2011.11.11)
【出願人】(000208891)KDDI株式会社 (2,700)
[ Back to top ]