説明

ネットワーク接続方法及びシステム、ネットワーク接続用プログラム

【課題】 セキュリティの向上を図り、地域固定によるサービスの提供を実現すること。
【解決手段】 ネットワーク接続機器がユーザ収容装置を介してネットワーク網上の所定のアクセスサーバに対してアクセスするネットワーク網接続工程の前に、ネットワーク接続機器がネットワーク網への接続操作を行うユーザの識別情報を送信してユーザ収容装置に対して接続中継要求を行う接続中継要求工程と、ユーザ収容装置が当該ユーザ収容装置の識別情報と受信したユーザの識別情報とをユーザ収容装置に接続された認証サーバに送信して、当該認証サーバにユーザがユーザ収容装置を介してネットワーク網に接続可能か否かの認証を依頼する認証依頼工程と、ユーザ収容装置が認証サーバから認証成功の通知を受けたときにネットワーク接続機器をネットワーク網に接続可能なよう制御する接続制御工程と、を有する。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク接続方法及びシステムにかかり、特に、FTTH(Fiber To The Home)上におけるネットワーク接続方法及びシステムに関する。
【背景技術】
【0002】
近年、電話局から各家庭までの加入者線を結ぶアクセス網を光ファイバ化し、高速な通信環境を構築する計画が進行しており、光ファイバにて接続された通信ネットワーク自体をFTTH(Fiber To The Home)と呼んでいる。
【0003】
そして、従来におけるFTTH網を介したネットワーク接続では、接続されたユーザ端末から送信されるユーザIDやパスワードが一致していれば、当該ユーザ端末の存在する地域に関係なく、サービスを受けるためのネットワーク接続(インターネット接続など)が可能であった。このため、例えば、ユーザID、パスワードが漏洩してしまった場合には、FTTH網への接続は、地域に関係なく何処からでも可能であるために、誰でもが簡単に他の地域(場所)からアクセスできてしまうという、セキュリティ上の問題があった。
【0004】
そして、セキュリティを強固なものとするために、下記の特許文献1に示すような2段階の個人認証を行うことも検討されている。しかし、かかる技術では、2段階目の認証時にさらに異なるIDを入力しなければならず、ユーザにとって操作の煩わしさが生じる、という問題があった。
【0005】
また、IP電話では、地理的識別地域毎に異なる電話番号が利用されていないため、電話番号の0AB-J化(地域に割り当てられている番号を用いた固定電話サービス化)には、現状のFTTHでは対応できない、という問題が生じる。
【0006】
【特許文献1】特開2003−323408号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
以上のように、従来のFTTH網を介したネットワーク接続では、セキュリティが低いという問題や、IP電話の0AB-J化に対応できないなどの地域ごとのサービス提供を実現することが困難であるという問題が生じていた。
【0008】
このため、上記従来例の有する不都合を改善し、特に、他のユーザによるなりすましによる接続を防止することによるセキュリティの向上を図り、ユーザの地域の固定により提供可能なサービスの実現を図るネットワーク接続方法及びシステムを提供することをその目的とする。
【課題を解決するための手段】
【0009】
そこで、本発明であるネットワーク接続方法の一形態として、
ネットワーク網へ接続するインタフェイスのLinkUPやユーザ端末からのデータ発生、あるいは、ユーザの操作など、をトリガに、ネットワーク網への接続を要求するネットワーク接続機器と、当該ネットワーク接続機器を収容すると共にネットワーク網への接続を中継するユーザ収容装置と、を備え、
ネットワーク接続機器がユーザ収容装置を介してネットワーク網上の所定のアクセスサーバに対してアクセスするネットワーク網接続工程を有するネットワーク接続方法であって、
ネットワーク網接続工程の前に、
ネットワーク接続機器がユーザの識別情報を送信してユーザ収容装置に対して接続中継要求を行う接続中継要求工程と、
ユーザ収容装置が当該ユーザ収容装置の識別情報と受信したユーザの識別情報とをユーザ収容装置に接続された認証サーバに送信して、当該認証サーバにユーザがユーザ収容装置を介してネットワーク網に接続可能か否かの認証を依頼する認証依頼工程と、
ユーザ収容装置が認証サーバから認証成功の通知を受けたときにネットワーク接続機器をネットワーク網に接続可能なよう制御する接続制御工程と、を有する、
ことを特徴としている。
【0010】
また、ネットワーク接続方法の他の形態として、
ユーザの操作などをトリガに、ネットワーク網への接続を要求するネットワーク接続機器と、当該ネットワーク接続機器を収容すると共にネットワーク網への接続を中継するユーザ収容装置と、を備え、
ネットワーク接続機器がユーザ収容装置を介してネットワーク網上の所定のアクセスサーバに対して当該アクセスサーバにユーザがアクセス可能か否かを判断するために用いられるユーザの識別情報を送信してアクセス許可を要求するアクセス許可要求工程と、ネットワーク接続機器がアクセスサーバからのアクセス許可通知に対してユーザ収容装置を介してネットワーク網上のアクセスサーバへのアクセスを実行するネットワーク網接続工程と、
を有するネットワーク接続方法であって、
アクセス許可要求工程の前に、
ネットワーク接続機器がユーザの識別情報を送信してユーザ収容装置に対して接続中継要求を行う接続中継要求工程と、
ユーザ収容装置が当該ユーザ収容装置の識別情報と受信したユーザの識別情報とをユーザ収容装置に接続された認証サーバに送信して、当該認証サーバにユーザがユーザ収容装置を介してネットワーク網に接続可能か否かの認証を依頼する認証依頼工程と、
ユーザ収容装置が認証サーバから認証成功の通知を受けたときにネットワーク接続機器をネットワーク網に接続可能なよう制御する接続制御工程と、を有する、
ことを特徴としている。
【0011】
そして、上記方法において、
ユーザ収容装置は複数の接続ポートを備えて複数のユーザを収容し、
認証依頼工程は、ユーザ収容装置が、ユーザ収容装置の識別情報と、ネットワーク接続機器から接続中継要求工程にてアクセスを受けた接続ポートのポート番号と、接続中継要求工程にて受信したユーザの識別情報と、をユーザ収容装置に接続された認証サーバに送信して、当該認証サーバにユーザがユーザ収容装置の接続ポートを介してネットワーク網に接続可能か否かの認証を依頼し、
接続制御工程は、ユーザ収容装置が認証サーバから認証成功の通知を受けたときにネットワーク接続機器が接続ポートを介してネットワーク網に接続可能となるよう制御する、
ことを特徴としている。
【0012】
また、ネットワーク接続方法の別の形態として、
ユーザの操作などに応じてネットワーク網への接続を要求するネットワーク接続機器と、当該ネットワーク接続機器を収容すると共にネットワーク網への接続を中継するユーザ収容装置と、を備え、
ネットワーク接続機器がユーザ収容装置を介してネットワーク網上の所定のアクセスサーバに対して当該アクセスサーバにユーザがアクセス可能か否かを判断するために用いられるユーザの識別情報を送信してアクセス許可を要求するアクセス許可要求工程と、ネットワーク接続機器がアクセスサーバからのアクセス許可通知に対してユーザ収容装置を介してネットワーク網上のアクセスサーバへのアクセスを実行するネットワーク網接続工程と、
を有するネットワーク接続方法であって、
アクセス許可要求工程の前に、
ネットワーク接続機器がユーザの識別情報を送信してユーザ収容装置に対して接続中継要求を行う接続中継要求工程と、
ユーザ収容装置が当該ユーザ収容装置の識別情報と受信したユーザの識別情報とをユーザ収容装置に接続された認証サーバに送信して、当該認証サーバにユーザがユーザ収容装置を介してネットワーク網に接続可能か否かの認証を依頼する認証依頼工程と、
認証サーバが、予め記憶された、ユーザのユーザ識別情報と当該ユーザが接続可能なユーザ収容装置の識別情報とが関連付けられた収容装置接続可能情報に基づいて、ユーザ収容装置からの認証依頼に応じてユーザがユーザ収容装置を介してネットワーク網に接続可能か否かの認証を行ってその認証結果を返送する認証工程と、
ユーザ収容装置が認証サーバから認証成功の通知を受けたときにネットワーク接続機器をネットワーク網に接続可能なよう制御する接続制御工程と、を有する、
ことを特徴としている。
【0013】
また、本発明ではネットワーク接続システムを提供しており、その一形態として、
ユーザの操作などに応じてネットワーク網への接続を要求するネットワーク接続機器と、当該ネットワーク接続機器を収容すると共にネットワーク網への接続を中継するユーザ収容装置と、を備えたネットワーク接続システムであって、
ネットワーク接続機器が、ユーザの識別情報をユーザ収容装置に送信して当該ユーザ収容装置に対して接続中継要求を行う接続中継要求機能と、ユーザ収容装置から接続許可の応答を受けた場合にユーザ収容装置を介してネットワーク網上の所定のアクセスサーバに対してアクセスするネットワーク網接続機能と、を備え、
ユーザ収容装置が、ネットワーク接続機器からの接続中継要求に応じてユーザ収容装置の識別情報と受信したユーザの識別情報とをユーザ収容装置に接続された認証サーバに送信してユーザがユーザ収容装置を介してネットワーク網に接続可能か否かの認証を依頼する認証依頼機能と、認証サーバから認証成功の通知を受けたときにネットワーク接続機器をネットワーク網に接続可能なよう制御する接続制御機能と、を備えたことを特徴としている。
【0014】
また、ネットワーク接続システムの別の形態として、
ユーザの操作などに応じてネットワーク網への接続を要求するネットワーク接続機器と、当該ネットワーク接続機器を収容すると共にネットワーク網への接続を中継するユーザ収容装置と、を備えたネットワーク接続システムであって、
ネットワーク接続機器が、ユーザの識別情報をユーザ収容装置に送信して当該ユーザ収容装置に対して接続中継要求を行う接続中継要求機能と、ユーザ収容装置から接続許可の応答を受けた場合にユーザ収容装置を介してネットワーク網上の所定のアクセスサーバに対して当該アクセスサーバにユーザがアクセス可能か否かを判断するために用いられるユーザの識別情報を送信してアクセス許可を要求するアクセス許可要求機能と、を備え、
ユーザ収容装置が、ネットワーク接続機器からの接続中継要求に応じてユーザ収容装置の識別情報と受信したユーザの識別情報とをユーザ収容装置に接続された認証サーバに送信してユーザがユーザ収容装置を介してネットワーク網に接続可能か否かの認証を依頼する認証依頼機能と、認証サーバから認証成功の通知を受けたときにネットワーク接続機器をネットワーク網に接続可能なよう制御する接続制御機能と、を備えたことを特徴としている。
【0015】
さらに、ネットワーク接続システムの別の形態として、
ユーザの操作などに応じてネットワーク網への接続を要求するネットワーク接続機器と、当該ネットワーク接続機器を収容すると共にネットワーク網への接続を中継するユーザ収容装置と、ユーザ収容装置に接続されユーザがユーザ収容装置を介してネットワーク網に接続可能か否かの認証を行う認証サーバと、を備えたネットワーク接続システムであって、
ネットワーク接続機器が、ユーザの識別情報をユーザ収容装置に送信して当該ユーザ収容装置に対して接続中継要求を行う接続中継要求機能と、ユーザ収容装置から接続許可の応答を受けた場合にユーザ収容装置を介してネットワーク網上の所定のアクセスサーバに対して当該アクセスサーバにユーザがアクセス可能か否かを判断するために用いられるユーザの識別情報を送信してアクセス許可を要求するアクセス許可要求機能と、を備え、
ユーザ収容装置が、ネットワーク接続機器からの接続中継要求に応じてユーザ収容装置の識別情報と受信したユーザの識別情報とをユーザ収容装置に接続された認証サーバに送信してユーザがユーザ収容装置を介してネットワーク網に接続可能か否かの認証を依頼する認証依頼機能と、認証サーバから認証成功の通知を受けたときにネットワーク接続機器をネットワーク網に接続可能なよう制御する接続制御機能と、を備え、
認証サーバが、ユーザの識別情報と当該ユーザが接続可能なユーザ収容装置とが関連付けられた収容装置接続可能情報を記憶すると共に、この収容装置接続可能情報に基づいてユーザ収容装置からの認証依頼に応じてユーザがユーザ収容装置を介してネットワーク網に接続可能か否かの認証を行ってその認証結果を返送する認証機能を備えた、
ことを特徴としている。
【0016】
また、本発明では、上記ネットワーク接続システムの一部であるネットワーク接続機器をも提供しており、その一形態として、
ユーザの操作などに応じてネットワーク網への接続を要求するネットワーク接続機器であって、
ユーザの識別情報を、ネットワーク接続機器を収容すると共にネットワーク網への接続を中継するユーザ収容装置に送信して当該ユーザ収容装置に対して接続中継要求を行う接続中継要求機能を備えると共に、
この接続中継要求機能にてユーザ収容装置に送信されたユーザの識別情報に基づいて、ユーザがユーザ収容装置を介してネットワーク網に接続可能か否かの認証が行われ、認証成功に応じてネットワーク接続機器をネットワーク網に接続可能なよう制御されたユーザ収容装置から接続許可の応答を受けた場合に、当該ユーザ収容装置を介してネットワーク網上の所定のアクセスサーバに対して当該アクセスサーバにユーザがアクセス可能か否かを判断するために用いられるユーザの識別情報を送信してアクセス許可を要求するアクセス許可要求機能を備えた、
ことを特徴としている。
【0017】
そして、ネットワーク接続機器に上記機能を実現するためのプログラムをも本発明では提供している。
【0018】
さらに、本発明では、上記ネットワーク接続システムの一部であるユーザ収容装置をも提供しており、その一形態として、
ユーザの操作などに応じてネットワーク網への接続を要求するネットワーク接続機器を収容すると共にネットワーク網への接続を中継するユーザ収容装置であって、
ネットワーク接続機器から接続中継要求がなされると同時に送信されたユーザの識別情報と、ユーザ収容装置の識別情報と、をユーザ収容装置に接続された認証サーバに送信してユーザがユーザ収容装置を介してネットワーク網に接続可能か否かの認証を依頼する認証依頼機能と、
認証サーバから認証成功の通知を受けたときに、ネットワーク接続機器がユーザ収容装置を介してネットワーク網上の所定のアクセスサーバに対してアクセスすることが可能なよう、ネットワーク接続機器をネットワーク網に接続可能に制御する接続制御機能と、を備えたことを特徴としている。
【0019】
そして、ユーザ収容装置に上記機能を実現するためのプログラムをも本発明として提供している。
【0020】
上記構成の発明によると、まず、ネットワーク接続機器は、ネットワーク網にアクセスする際に、ユーザのIDやパスワードなどによる識別情報をユーザ収容装置に対して送信し、ネットワーク網への接続が可能となるよう接続要求を行う。これに応じて、ユーザ収容装置は、受信したユーザの識別情報と当該ユーザ収容装置の識別情報とを、当該ユーザ収容装置に接続された認証サーバに送信して、ユーザがユーザ収容装置を利用してネットワーク網に接続可能か否かの認証を依頼する。すると、認証サーバでは、ユーザ収容装置から送信されてきたユーザの識別情報及びユーザ収容装置の識別情報と、予め記録された収容装置接続可能情報とに基づいて認証を行い、その結果をユーザ収容装置に通知する。通知を受けたユーザ収容装置は、認証が成功である場合には、ネットワーク接続機器がユーザ収容装置を利用できるよう、すなわち、接続要求を行ってきたユーザがユーザ収容装置を介してネットワーク網にアクセス可能なようユーザ収容装置の接続ポートを設定制御する。これと同時に、その旨をネットワーク接続機器に通知する。かかる通知を受けたネットワーク接続機器は、ユーザ収容装置を介してネットワーク網に接続可能となり、ユーザがアクセスを希望する当該ネットワーク網上のアクセスサーバに、ユーザ認証用の識別情報を送信してアクセス許可要求を行う。かかる要求に対して許可されると、ユーザはネットワーク網上において所定のサービスを受けることが可能となる。
【0021】
以上より、ユーザが予め特定のユーザ収容装置のみの利用しかできないよう設定しておき、その利用の可否を認証することで、ユーザ収容装置の位置はネットワーク網に対して固定して装備されていることから、ユーザのネットワーク網へのアクセス場所が特定される。従って、ユーザのIDやパスワードの漏洩による他人の成りすましを抑制でき、セキュリティの向上を図ることができる。特に、その後にネットワーク網上の所定のアクセスサーバにアクセスする際に認証が行われる場合には、ユーザ収容装置とアクセス先との2段階にて認証が行われることとなるため、ネットワーク接続におけるセキュリティのさらなる向上を図ることができる。
【0022】
また、ユーザのアクセス場所の固定化に伴い、地域固有のサービスの提供を図ることができる。例えば、IP電話の電話番号の0AB-J化を図ることも可能である。
【発明の効果】
【0023】
本発明は、上述のように構成され機能するので、これによると、ユーザがネットワーク網にアクセス可能な位置が固定されるため、ユーザのIDやパスワードの漏洩による他人の成りすましを抑制でき、セキュリティの向上を図ることができると共に、地域固有のサービスの提供を図ることができるため、IP電話の電話番号の0AB-J化などを図ることができる、という従来にない優れた効果を有する。
【発明を実施するための最良の形態】
【0024】
本発明は、ユーザがFTTH網に対してアクセスする際に、ユーザのネットワーク接続機器が当該ユーザを収容するユーザ収容装置を介してアクセス可能かどうか、すなわち、接続しているユーザ収容装置を利用可能か否かを認証することに特徴を有する。これにより、所定の地域に固定設置されているユーザ収容装置に合わせて、ユーザのアクセス可能な位置も固定され、第三者による成りすましなどの不正アクセスを抑制でき、セキュリティの向上を図ることができる。以下、本発明の構成について、実施例にて詳述する。
【実施例1】
【0025】
本発明の第1の実施例を、図1乃至図3を参照して説明する。図1は、ネットワーク接続システムの全体構成を示す概略図である。図2は、図1に開示した装置の詳細な構成を示す機能ブロック図である。図3は、システムの動作を示すシーケンス図である。
【0026】
<全体構成>
本発明であるネットワーク接続システムにおいて、接続対象となるネットワークは、光ファイバにて接続された通信ネットワーク自体であるFTTH(Fiber To The Home)網N2である。そして、ネットワーク接続システムは、図1に示すように、ユーザ宅に設置された当該ユーザの操作に応じてFTTH網N2への接続を要求する宅内ルータ1(ネットワーク接続機器)と、当該宅内ルータ1を収容すると共にFTTH網N2への接続を中継する収容局に設置されたユーザ収容装置2と、を備えている。また、FTTH網N2には、さらに、ユーザがFTTH網N2において接続対象とする所定のサービスを提供するアクセスサーバ4が接続されている。さらに、このアクセスサーバ4には、所定のインターネットサービスプロバイダ網N3(ISP網)が接続されており、当該ISP網N3内には、ユーザ収容装置2に接続されユーザがユーザ収容装置2を介してFTTH網N2に接続可能か否かの認証を行う認証サーバ3が設置されている。なお、上記ISP網N3は直接FTTH網N2に接続されていてもよく、認証サーバ3がFTTH網N2に直接接続されていてもよい。以下、各装置1〜4の構成を詳述する。
【0027】
<宅内ルータ>
宅内ルータ1は、ユーザが所有し操作するユーザ端末Uが接続された宅内LAN(N1)上に設置され、当該LAN側(宅内側プライベートネットワーク)においては宅内LAN(プライベートネットワーク)を収容し、NAT(Network Address Translation)によりサービス(インターネット接続や固有サービスネットワーク接続)への接続を実行するよう作動する。このとき、ユーザがユーザ端末Uに対してFTTH網N2上にアクセスする操作を行ったときに、宅内ルータ1はユーザ端末Uからの動作指示によりFTTH網N2へのアクセス動作を実行する。但し、宅内ルータ1によるFTTH網N2へのアクセス動作は、上記ユーザによる操作に限定されず、ネットワーク網へ接続するインタフェイスのLinkUPやユーザ端末からのデータ発生などをトリガに実行される。なお、かかる動作を実行するための構成については後述する。
【0028】
また、宅内ルータ1は、後述するFTTH網N2への接続インタフェースとなるユーザ収容装置2の1つの接続ポート20aに接続され、かかるWAN側においては、ユーザ収容装置2の接続ポートをFTTH網N2へのインタフェースとして利用要求する機能を有する。そして、ユーザの宅内ルータ1が接続されているユーザ収容装置2を利用可能であると認証されると、宅内ルータ1がユーザ収容装置2をFTTH網N2への接続インタフェースとして利用可能となり、ユーザ端末Uはユーザ収容装置2を介してFTTH網N2にアクセス可能となり、アクセスサーバ4に対してアクセス可能となる。
【0029】
上記動作を実現するために、宅内ルータ1には以下のような機能が備わっている。その構成を図2に示す。この図に示すように、宅内ルータ1は、ユーザ収容装置2の1つの接続ポート(符号20aに示すポート)と光ファイバにて接続されており、宅内ルータ1には、当該宅内ルータ1の動作を制御するCPU(1A)と、所定の情報を記憶保持しておくROMやRAMなどのメモリ(1B)とが備えられている。そして、CPU(1A)には、予め用意されたネットワーク接続用プログラムが組み込まれることにより、FTTH網N2に接続する際にユーザ収容装置2に対して接続中継要求を行う接続中継要求処理部11(接続中継要求機能)と、ユーザ収容装置2を介してFTTH網N2上の所定のアクセスサーバ4に対して所定のサービスを受けるべくアクセス許可を要求するサービス利用要求処理部12(アクセス許可要求機能)と、が構築されている。
【0030】
まず、上記接続中継要求処理部11は、ユーザ端末UからFTTH網N2への接続要求がなされると、予め宅内ルータ1のメモリ(1B)に記憶されているユーザ固有のユーザIDとパスワードを読み出し、これらの情報と共に接続中継要求の旨をユーザ収容装置2に送信する。ここで、接続中継要求としては、例えばIEEE802.1Xクライアント機能が用いられる。なお、上記ユーザIDなどは、予めユーザ端末Uから取得してメモリ(1B)に記憶されたものである。ただし、ユーザIDなどは、その都度、ユーザ端末Uから取得されてもよい。そして、かかる接続中継要求に応じて、ユーザ収容装置2からは後述するように接続可能か否かの通知が来る。このとき、接続可能である場合には、ユーザ収容装置2にて、後述するように、宅内ルータ1がFTTH網N2に接続できるよう接続ポート20aの設定制御が行われる。
【0031】
また、上記サービス利用要求処理部12は、ユーザ収容装置2から接続許可の応答を受けた場合に、接続可能となった接続ポート20aを通じてユーザ収容装置2を介してFTTH網N2に接続し、当該FTTH網N2上のアクセスサーバ4に対して、アクセス要求を行う。このとき、アクセスサーバ4にて、ユーザがアクセス可能か否か判断されるが、この際の認証に用いられる上記ユーザIDとパスワードを送信する。かかる認証としては、例えば、PPPoE(PPP Over Ethernet(登録商標))クライアント機能を用いる。なお、このとき送信されるユーザIDとパスワードは、接続中継要求処理部11にてユーザ収容装置2に送信されるユーザIDやパスワードと同一もものでもよく、異なるものでもよい。
【0032】
そして、上記サービス利用要求処理部12に対する応答として、アクセスサーバ4からアクセス許可通知を受けると、ユーザ収容装置2を介してアクセスサーバ4にアクセスを実行して、所定のサービスを受けることが可能となる。すなわち、CPU(1A)には、上述したように作動するネットワーク網接続機能(図示せず)も構築されている。
【0033】
<ユーザ収容装置>
ユーザ収容装置2は、ユーザ、すなわち、ユーザが操作するユーザ端末Uが接続された上記宅内ルータ1を光ファイバーなどを介して収容する装置であり、収容局に設置されている。なお、本実施例では、複数のユーザに対応可能なよう接続インタフェース20として接続ポート20a〜20nを複数備えており、1物理インターフェイスに複数ユーザを収容する機器であるEther-PON(Passive Optical Network)を利用しているが、1物理インターフェイスに対し1ユーザ収容の機器を用いてもよい。
【0034】
そして、ユーザ収容装置2には、図2に示すように、当該ユーザ収容装置2の動作を制御するCPU(2A)と、所定の情報を記憶保持しておくROMやRAMなどのメモリ(2B)とが備えられている。そして、CPU(2A)には、予め用意されたネットワーク接続用プログラムが組み込まれることにより、接続中継要求をしてきたユーザがユーザ収容装置2を利用可能であるか否かを認証サーバ3に認証依頼する認証依頼処理部21(認証依頼機能)と、認証サーバ3から認証成功の通知を受けたときにユーザがFTTH網N2に接続することを可能とする接続制御処理部22(接続制御機能)と、が構築されている。また、メモリ(2B)には、ユーザ収容装置2に予め設定された固有の識別情報である装置IDが記憶されている。以下、上記各処理部21,22について、詳述する。
【0035】
上記認証依頼処理部21は、ユーザ端末Uを操作するユーザ、すなわち、宅内ルータ1がユーザ収容装置2を介してFTTH網N2に接続可能か否かを、アクセスサーバ4を通過して認証サーバ3に認証依頼する。このとき、宅内ルータ1からの接続中継要求時に送信されたユーザID、パスワードに、ユーザ収容装置2自身の装置IDと宅内ルータ1が接続されている接続ポート番号とを加えて認証サーバ3に送信して、上記ユーザIDのユーザが、上記装置IDのユーザ収容装置2の上記接続ポート番号のポートを利用して、FTTH網N2に接続することが可能か否かの認証を依頼する。
【0036】
また、上記接続制御機能22は、上記認証依頼に応じて認証サーバ3から認証成功の通知を受けた場合に、ユーザがユーザ収容装置2を利用してFTTH網N2に接続可能なよう、宅内ルータ1が接続されている接続ポート20aの設定制御を行う。これと共に、ユーザ収容装置2を利用してFTTH網N2への接続が可能である旨の通知を宅内ルータ1に対して行う。なお、認証サーバ3から認証に失敗した旨の通知を受けた場合には、引き続き、ユーザがFTTH網N2に接続不可能なよう、接続ポート20aの設定を維持する。
【0037】
<認証サーバ>
次に、認証サーバ3について説明する。認証サーバ3はISP網N3内に設置されたユーザに関する情報を記憶するサーバであり、特に、上述したユーザのユーザID及びパスワードと、当該ユーザがFTTH網に接続する際に利用可能なユーザ収容装置2の装置ID及び当該装置の利用可能な接続ポートの番号と、が関連付けられて収容装置接続可能情報として記憶されている。なお、上述したように、認証サーバ3はアクセスサーバ4を介してFTTH網N2に接続されていることに限定されない。
【0038】
また、認証サーバ3には、アクセスサーバ4が提供するサービスの提供を受けることができるユーザのユーザID及びパスワードも記憶されている。このとき、アクセスサーバ4が複数存在する場合には、それぞれのアクセスサーバ4ごと、すなわち、それぞれのサービスごとに利用可能なユーザIDなどが予め登録されている。
【0039】
そして、認証サーバ3のCPUには、所定のプログラムが組み込まれることにより、ユーザ収容装置2の認証依頼処理部21による認証依頼に応じて、ユーザ認証を行う機能が構築されている。具体的には、送信されてきたユーザID及びパスワードにて特定されるユーザが、同時に送信された装置ID及び接続ポート番号にて特定されるユーザ収容装置の接続ポートを利用してFTTH網N2に接続可能か否かを、上記収容装置接続可能情報に基づいて判断する。すなわち、送信されてきたユーザID等と装置ID等とが、収容装置接続可能情報内に関連付けられたデータとして登録されているか否かを調べ、すべてのデータが正しく登録されている場合には認証成功と判断し、その旨をユーザ収容装置2に通知する。一方、ユーザIDに対して装置IDあるいは接続ポート番号が一致していなかったり、一部のデータに不備や誤りがあった場合には、認証失敗と判断し、その旨をユーザ収容装置2に通知する。
【0040】
また、認証サーバ3のCPUには、アクセスサーバ4からユーザIDとパスワード、及び、アクセスサーバ4が提供するサービスを特定する情報が送信され、認証依頼された場合にも、同様に、予め登録されているデータと一致するか否かを判断し、その認証結果をアクセスサーバ4に通知する機能が構築されている。
【0041】
ここで、上記認証サーバ3は、図1に示すISP網N3内に設置されていることに限定されず、FTTH網N2上に設置されていてもよい。また、上述したユーザ収容装置2からの依頼に応じて認証を行う処理部と、アクセスサーバ4からの依頼に応じて認証を行う処理部とは、必ずしも一台の認証サーバ3に備わっている必要はなく、それぞれ異なる認証サーバ3に構築されていてもよい。
【0042】
<アクセスサーバ>
次に、アクセスサーバ4について説明する。アクセスサーバ4は、一般的なウェブサイトなどのアクセスしてきたユーザに対して所定のサービスを提供する、あるいは、他のサービス提供機器への中継接続を行うサーバコンピュータである。そして、アクセスサーバ4は、ユーザのセキュリティを保護するために、サービス提供可能なユーザを制限している。このため、アクセスしてきたユーザの認証を行うべく、宅内ルータ1から送信されたユーザID及びパスワードを、当該アクセスサーバ4自身によるサービスを特定する情報と共に認証サーバ3に送信して、認証を依頼する。そして、認証成功の通知を受けると、その旨を宅内ルータ1に通知して、その後の接続を許可し、ユーザに対してサービスの提供を行う。なお、アクセスサーバ4自体にユーザの登録情報が記憶されており、当該アクセスサーバ4にてユーザの認証処理が行われてもよい。すなわち、認証サーバ3の認証機能の一部が、アクセスサーバ4に備わっていてもよい。
【0043】
<動作>
次に、上記ネットワーク接続システムの動作について、図3のシーケンス図を参照して説明する。まず、宅内ルータ1は、例えば、ユーザ端末Uに対して入力されたユーザからの指示に応じて、FTTH網N2に接続するためにユーザ収容装置2に対して接続中継要求を行う(ステップS1、接続中継依頼工程)。すなわち、ユーザ収容装置2の特定の接続ポートを、FTTH網N2に接続するためのインタフェースとして利用することを要求する。このとき、ユーザのユーザID及びパスワードをメモリ(1B)から読み出して、ユーザ収容装置2に送信する。
【0044】
続いて、上記接続中継要求を受けたユーザ収容装置2は、メモリ(2B)から装置IDを読み出すと共に、要求してきた宅内ルータ1が接続されている接続ポート番号を確認する(ステップS2)。そして、宅内ルータ1から送信されたユーザID及びパスワードと共に、装置ID及び接続ポート番号を認証サーバ3に送信し、ユーザがユーザ収容装置2を利用可能か否かの認証を依頼する(ステップS3、認証依頼工程)。
【0045】
続いて、認証依頼を受けた認証サーバ3は、送信されたユーザID及びパスワードと装置ID及び接続ポート番号とが関連付けられて登録されているか否かを調べ(ステップS4、認証工程)、認証結果をユーザ収容装置2に通知する(ステップS5)。このとき、送信されたデータと登録されているデータとが一致する場合には、認証成功の通知をし、一方、宅内ルータ1からのユーザIDやパスワードの不備、ユーザIDやパスワードが正常であっても異なるユーザー収容装置2や異なる接続ポート20からの認証要求があった場合などの状況では、認証失敗の通知を行う。
【0046】
そして、認証結果の通知を受けたユーザ収容装置2は、認証が成功である旨の通知を受けた場合には、ユーザがFTTH網N2に接続可能となるよう、該当する接続ポート20aの設定制御を行い(ステップS6、接続制御工程)、接続か可能である旨を宅内ルータ1に通知する(ステップS7)。一方、認証失敗の通知を受けた場合には、FTTH網N2に接続可能なよう接続ポート20の設定が行われない。
【0047】
続いて、FTTH網N2への接続が可能となった宅内ルータ1は、アクセスサーバ4に対してサービスを要求するためにアクセスする(ステップS8、アクセス許可要求工程)。このとき、宅内ルータ1は、ユーザID及びパスワードを送信する。これを受けたアクセスサーバ4は、接続要求を受けユーザID及びパスワードを認証サーバ3に対して送信し、アクセスしてきたユーザにサービス提供可能か否かの認証要求を行う(ステップS9)。このとき、サービスを特定する情報も送信する。そして、認証サーバ3は、認証要求を受け入れ、認証要求に含まれるユーザID及びパスワードと、対象となるサービスを認識し、これらが予め登録されているか否かを調べる(ステップS10)。そして、その認証結果をアクセスサーバ4に返信する(ステップS11)。
【0048】
認証結果を受けたアクセスサーバ4は、その認証結果を宅内ルータ1に通知し(ステップS12)、認証成功であれば宅内ルータ1、すなわち、ユーザ端末Uとの接続を維持し、所定のサービスを提供する(ステップS13)。これにより、ユーザ端末Uは所定のサービスの提供を受けることができる(ネットワーク接続工程)。一方、認証失敗の場合には、宅内ルータ1はアクセスサーバ4からサービスの提供を受けることができない。
【0049】
以上のように作動するため、本発明によると、ユーザは特定のユーザ収容装置のみからしかFTTH網N2への接続ができないため、ユーザのFTTH網N2へのアクセス場所が特定される。従って、ユーザのIDやパスワードの漏洩による他人の成りすましを抑制でき、セキュリティの向上を図ることができ、また、ユーザのアクセス場所の固定化に伴い、地域固有のサービスの提供を図ることができるため、例えば、IP電話の電話番号の0AB-J化を図ることも可能である。
【0050】
また、その後にFTTH網N2上の所定のアクセスサーバ4にアクセスする際に認証が必要な場合には、ユーザ収容装置2とアクセス先との2段階にて認証が行われることとなるため、FTTH網N2への接続におけるセキュリティのさらなる向上を図ることができる。このとき、2段階の認証の際に、ユーザから別途IDなどを入力する必要はなく、宅内ルータ1にて自動的に送信されてユーザ収容装置2及びアクセスサーバ4に対する認証が行われるため、ユーザの手間もかからず、利便性の向上を図ることもできる。
【0051】
ここで、上記では、ユーザ収容装置2に収容されるネットワーク接続機器として宅内ルータ1を挙げて説明したが、ネットワーク接続機器はこれに限定されない。例えば、ユーザ端末Uに通信手段が備わっていて、当該ユーザ端末U自体が宅内ルータ1と同様の機能を有していることで、上記ネットワーク接続機器として作動してもよい。
【産業上の利用可能性】
【0052】
本発明は、宅内及び収容局に上記システムを設置することにより、FTTH網に接続する際におけるセキュリティの向上を図ることができ、産業上の利用可能性を有する。
【図面の簡単な説明】
【0053】
【図1】本発明の全体構成を示す概略図である。
【図2】本発明の構成を示す機能ブロック図である。
【図3】本発明の動作を示すシーケンス図である。
【符号の説明】
【0054】
1 宅内ルータ(ネットワーク接続機器)
2 ユーザ収容装置
3 認証サーバ
4 アクセスサーバ
11 接続中継要求処理部(接続中継要求機能)
12 サービス利用要求処理部(アクセス許可要求機能)
21 認証依頼処理部(認証依頼機能)
22 接続制御処理部(接続制御機能)
N1 宅内LAN
N2 FTTH網(ネットワーク網)

【特許請求の範囲】
【請求項1】
ネットワーク網への接続を要求するネットワーク接続機器と、当該ネットワーク接続機器を収容すると共にネットワーク網への接続を中継するユーザ収容装置と、を備え、
前記ネットワーク接続機器が前記ユーザ収容装置を介して前記ネットワーク網上の所定のアクセスサーバに対してアクセスするネットワーク網接続工程を有するネットワーク接続方法であって、
前記ネットワーク網接続工程の前に、
前記ネットワーク接続機器がユーザの識別情報を送信して前記ユーザ収容装置に対して接続中継要求を行う接続中継要求工程と、
前記ユーザ収容装置が当該ユーザ収容装置の識別情報と前記受信したユーザの識別情報とを前記ユーザ収容装置に接続された認証サーバに送信して、当該認証サーバに前記ユーザが前記ユーザ収容装置を介して前記ネットワーク網に接続可能か否かの認証を依頼する認証依頼工程と、
前記ユーザ収容装置が前記認証サーバから認証成功の通知を受けたときに前記ネットワーク接続機器をネットワーク網に接続可能なよう制御する接続制御工程と、を有する、
ことを特徴とするネットワーク接続方法。
【請求項2】
ネットワーク網への接続を要求するネットワーク接続機器と、当該ネットワーク接続機器を収容すると共にネットワーク網への接続を中継するユーザ収容装置と、を備え、
前記ネットワーク接続機器が前記ユーザ収容装置を介して前記ネットワーク網上の所定のアクセスサーバに対して当該アクセスサーバにユーザがアクセス可能か否かを判断するために用いられる前記ユーザの識別情報を送信してアクセス許可を要求するアクセス許可要求工程と、前記ネットワーク接続機器が前記アクセスサーバからのアクセス許可通知に対して前記ユーザ収容装置を介して前記ネットワーク網上のアクセスサーバへのアクセスを実行するネットワーク網接続工程と、
を有するネットワーク接続方法であって、
前記アクセス許可要求工程の前に、
前記ネットワーク接続機器がユーザの識別情報を送信して前記ユーザ収容装置に対して接続中継要求を行う接続中継要求工程と、
前記ユーザ収容装置が当該ユーザ収容装置の識別情報と前記受信したユーザの識別情報とを前記ユーザ収容装置に接続された認証サーバに送信して、当該認証サーバに前記ユーザが前記ユーザ収容装置を介して前記ネットワーク網に接続可能か否かの認証を依頼する認証依頼工程と、
前記ユーザ収容装置が前記認証サーバから認証成功の通知を受けたときに前記ネットワーク接続機器をネットワーク網に接続可能なよう制御する接続制御工程と、を有する、
ことを特徴とするネットワーク接続方法。
【請求項3】
前記ユーザ収容装置は複数の接続ポートを備えて複数の前記ユーザを収容し、
前記認証依頼工程は、前記ユーザ収容装置が、前記ユーザ収容装置の識別情報と、前記ネットワーク接続機器から前記接続中継要求工程にてアクセスを受けた前記接続ポートのポート番号と、前記接続中継要求工程にて受信した前記ユーザの識別情報と、を前記ユーザ収容装置に接続された認証サーバに送信して、当該認証サーバに前記ユーザが前記ユーザ収容装置の前記接続ポートを介して前記ネットワーク網に接続可能か否かの認証を依頼し、
前記接続制御工程は、前記ユーザ収容装置が前記認証サーバから認証成功の通知を受けたときに前記ネットワーク接続機器が前記接続ポートを介してネットワーク網に接続可能となるよう制御する、
ことを特徴とする請求項2記載のネットワーク接続方法。
【請求項4】
ネットワーク網への接続を要求するネットワーク接続機器と、当該ネットワーク接続機器を収容すると共にネットワーク網への接続を中継するユーザ収容装置と、を備え、
前記ネットワーク接続機器が前記ユーザ収容装置を介して前記ネットワーク網上の所定のアクセスサーバに対して当該アクセスサーバにユーザがアクセス可能か否かを判断するために用いられる前記ユーザの識別情報を送信してアクセス許可を要求するアクセス許可要求工程と、前記ネットワーク接続機器が前記アクセスサーバからのアクセス許可通知に対して前記ユーザ収容装置を介して前記ネットワーク網上のアクセスサーバへのアクセスを実行するネットワーク網接続工程と、
を有するネットワーク接続方法であって、
前記アクセス許可要求工程の前に、
前記ネットワーク接続機器がユーザの識別情報を送信して前記ユーザ収容装置に対して接続中継要求を行う接続中継要求工程と、
前記ユーザ収容装置が当該ユーザ収容装置の識別情報と前記受信したユーザの識別情報とを前記ユーザ収容装置に接続された認証サーバに送信して、当該認証サーバに前記ユーザが前記ユーザ収容装置を介して前記ネットワーク網に接続可能か否かの認証を依頼する認証依頼工程と、
前記認証サーバが、予め記憶された、前記ユーザのユーザ識別情報と当該ユーザが接続可能な前記ユーザ収容装置の識別情報とが関連付けられた収容装置接続可能情報に基づいて、前記ユーザ収容装置からの認証依頼に応じて前記ユーザが前記ユーザ収容装置を介して前記ネットワーク網に接続可能か否かの認証を行ってその認証結果を返送する認証工程と、
前記ユーザ収容装置が前記認証サーバから認証成功の通知を受けたときに前記ネットワーク接続機器をネットワーク網に接続可能なよう制御する接続制御工程と、を有する、
ことを特徴とするネットワーク接続方法。
【請求項5】
ネットワーク網への接続を要求するネットワーク接続機器と、当該ネットワーク接続機器を収容すると共にネットワーク網への接続を中継するユーザ収容装置と、を備えたネットワーク接続システムであって、
前記ネットワーク接続機器が、ユーザの識別情報を前記ユーザ収容装置に送信して当該ユーザ収容装置に対して接続中継要求を行う接続中継要求機能と、前記ユーザ収容装置から接続許可の応答を受けた場合に前記ユーザ収容装置を介して前記ネットワーク網上の所定のアクセスサーバに対してアクセスするネットワーク網接続機能と、を備え、
前記ユーザ収容装置が、前記ネットワーク接続機器からの接続中継要求に応じて前記ユーザ収容装置の識別情報と前記受信したユーザの識別情報とを前記ユーザ収容装置に接続された認証サーバに送信して前記ユーザが前記ユーザ収容装置を介して前記ネットワーク網に接続可能か否かの認証を依頼する認証依頼機能と、前記認証サーバから認証成功の通知を受けたときに前記ネットワーク接続機器をネットワーク網に接続可能なよう制御する接続制御機能と、を備えたことを特徴とするネットワーク接続システム。
【請求項6】
ネットワーク網への接続を要求するネットワーク接続機器と、当該ネットワーク接続機器を収容すると共にネットワーク網への接続を中継するユーザ収容装置と、を備えたネットワーク接続システムであって、
前記ネットワーク接続機器が、ユーザの識別情報を前記ユーザ収容装置に送信して当該ユーザ収容装置に対して接続中継要求を行う接続中継要求機能と、前記ユーザ収容装置から接続許可の応答を受けた場合に前記ユーザ収容装置を介して前記ネットワーク網上の所定のアクセスサーバに対して当該アクセスサーバに前記ユーザがアクセス可能か否かを判断するために用いられる前記ユーザの識別情報を送信してアクセス許可を要求するアクセス許可要求機能と、を備え、
前記ユーザ収容装置が、前記ネットワーク接続機器からの接続中継要求に応じて前記ユーザ収容装置の識別情報と前記受信したユーザの識別情報とを前記ユーザ収容装置に接続された認証サーバに送信して前記ユーザが前記ユーザ収容装置を介して前記ネットワーク網に接続可能か否かの認証を依頼する認証依頼機能と、前記認証サーバから認証成功の通知を受けたときに前記ネットワーク接続機器をネットワーク網に接続可能なよう制御する接続制御機能と、を備えたことを特徴とするネットワーク接続システム。
【請求項7】
ネットワーク網への接続を要求するネットワーク接続機器と、当該ネットワーク接続機器を収容すると共にネットワーク網への接続を中継するユーザ収容装置と、前記ユーザ収容装置に接続されユーザが前記ユーザ収容装置を介して前記ネットワーク網に接続可能か否かの認証を行う認証サーバと、を備えたネットワーク接続システムであって、
前記ネットワーク接続機器が、ユーザの識別情報を前記ユーザ収容装置に送信して当該ユーザ収容装置に対して接続中継要求を行う接続中継要求機能と、前記ユーザ収容装置から接続許可の応答を受けた場合に前記ユーザ収容装置を介して前記ネットワーク網上の所定のアクセスサーバに対して当該アクセスサーバにユーザがアクセス可能か否かを判断するために用いられる前記ユーザの識別情報を送信してアクセス許可を要求するアクセス許可要求機能と、を備え、
前記ユーザ収容装置が、前記ネットワーク接続機器からの接続中継要求に応じて前記ユーザ収容装置の識別情報と前記受信したユーザの識別情報とを前記ユーザ収容装置に接続された認証サーバに送信して前記ユーザが前記ユーザ収容装置を介して前記ネットワーク網に接続可能か否かの認証を依頼する認証依頼機能と、前記認証サーバから認証成功の通知を受けたときに前記ネットワーク接続機器をネットワーク網に接続可能なよう制御する接続制御機能と、を備え、
前記認証サーバが、前記ユーザの識別情報と当該ユーザが接続可能な前記ユーザ収容装置とが関連付けられた収容装置接続可能情報を記憶すると共に、この収容装置接続可能情報に基づいて前記ユーザ収容装置からの認証依頼に応じて前記ユーザが前記ユーザ収容装置を介して前記ネットワーク網に接続可能か否かの認証を行ってその認証結果を返送する認証機能を備えた、
ことを特徴とするネットワーク接続システム。
【請求項8】
ネットワーク網への接続を要求するネットワーク接続機器であって、
当該ネットワーク接続機器を収容すると共にネットワーク網への接続を中継するユーザ収容装置に、ユーザの識別情報を送信して前記ユーザ収容装置に対して接続中継要求を行う接続中継要求機能を備えると共に、
この接続中継要求機能にて前記ユーザ収容装置に送信された前記ユーザの識別情報に基づいて、前記ユーザが前記ユーザ収容装置を介して前記ネットワーク網に接続可能か否かの認証が行われ、認証成功に応じて前記ネットワーク接続機器をネットワーク網に接続可能なよう制御された前記ユーザ収容装置から接続許可の応答を受けた場合に、当該ユーザ収容装置を介して前記ネットワーク網上の所定のアクセスサーバに対して当該アクセスサーバに前記ユーザがアクセス可能か否かを判断するために用いられる前記ユーザの識別情報を送信してアクセス許可を要求するアクセス許可要求機能を備えた、
ことを特徴とするネットワーク接続機器。
【請求項9】
ネットワーク網への接続を要求するネットワーク接続機器を収容すると共にネットワーク網への接続を中継するユーザ収容装置であって、
前記ネットワーク接続機器から接続中継要求がなされると同時に送信されたユーザの識別情報と、前記ユーザ収容装置の識別情報と、を前記ユーザ収容装置に接続された認証サーバに送信して前記ユーザが前記ユーザ収容装置を介して前記ネットワーク網に接続可能か否かの認証を依頼する認証依頼機能と、
前記認証サーバから認証成功の通知を受けたときに、前記ネットワーク接続機器が前記ユーザ収容装置を介して前記ネットワーク網上の所定のアクセスサーバに対してアクセスすることが可能なよう、前記ネットワーク接続機器をネットワーク網に接続可能に制御する接続制御機能と、を備えたことを特徴とするユーザ収容装置。
【請求項10】
ネットワーク網への接続を要求するネットワーク接続機器に、
ネットワーク接続機器を収容すると共にネットワーク網への接続を中継するユーザ収容装置に、ユーザの識別情報を送信して当該ユーザ収容装置に対して接続中継要求を行う接続中継要求機能と、
この接続中継要求機能にて前記ユーザ収容装置に送信された前記ユーザの識別情報に基づいて、前記ユーザが前記ユーザ収容装置を介して前記ネットワーク網に接続可能か否かの認証が行われ、認証成功に応じて前記ネットワーク接続機器をネットワーク網に接続可能なよう制御された前記ユーザ収容装置から接続許可の応答を受けた場合に、当該ユーザ収容装置を介して前記ネットワーク網上の所定のアクセスサーバに対して当該アクセスサーバに前記ユーザがアクセス可能か否かを判断するために用いられる前記ユーザの識別情報を送信してアクセス許可を要求するアクセス許可要求機能と、
を実現するためのネットワーク接続用プログラム。
【請求項11】
ネットワーク網への接続を要求するネットワーク接続機器を収容すると共にネットワーク網への接続を中継するユーザ収容装置に、
前記ネットワーク接続機器から接続中継要求がなされると同時に送信されたユーザの識別情報と、前記ユーザ収容装置の識別情報と、を前記ユーザ収容装置に接続された認証サーバに送信して前記ユーザが前記ユーザ収容装置を介して前記ネットワーク網に接続可能か否かの認証を依頼する認証依頼機能と、
前記認証サーバから認証成功の通知を受けたときに、前記ネットワーク接続機器が前記ユーザ収容装置を介して前記ネットワーク網上の所定のアクセスサーバに対してアクセスすることが可能なよう、前記ネットワーク接続機器をネットワーク網に接続可能に制御する接続制御機能と、
を実現するためのネットワーク接続用プログラム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate


【公開番号】特開2006−54694(P2006−54694A)
【公開日】平成18年2月23日(2006.2.23)
【国際特許分類】
【出願番号】特願2004−235225(P2004−235225)
【出願日】平成16年8月12日(2004.8.12)
【出願人】(000197366)NECアクセステクニカ株式会社 (1,236)
【Fターム(参考)】