JP2006025010A - 通信システム及びサービス提供方法並びにコンピュータプログラム - Google Patents
通信システム及びサービス提供方法並びにコンピュータプログラム Download PDFInfo
- Publication number
- JP2006025010A JP2006025010A JP2004199343A JP2004199343A JP2006025010A JP 2006025010 A JP2006025010 A JP 2006025010A JP 2004199343 A JP2004199343 A JP 2004199343A JP 2004199343 A JP2004199343 A JP 2004199343A JP 2006025010 A JP2006025010 A JP 2006025010A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- line
- ipv6
- service
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 37
- 238000000034 method Methods 0.000 title claims description 30
- 238000004590 computer program Methods 0.000 title claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000003860 storage Methods 0.000 claims description 6
- 238000012546 transfer Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 16
- 238000012545 processing Methods 0.000 description 4
- 238000009826 distribution Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 208000033748 Device issues Diseases 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】パスワード等を利用せず、IPv6ネットワークの回線認証を利用してIPv4ネットワークにおいてサービス提供の制御を可能とする。
【解決手段】通信システム1において、エンドユーザ端末20aは、IPv6ルータ10aを介して回線認証局30に証明書発行要求を送信する。IPv6ルータ10aは、受信した証明書発行要求に含まれている回線識別子が回線15aに予め付与された回線識別子に一致するか否かを認証する。回線認証局30は、IPv6ネットワーク50から証明書発行要求を受信して回線証明書を発行する。発行した回線証明書をエンドユーザ端末20aに送信する。エンドユーザ端末20aは、受信した回線証明書を含むサービス提供要求をIPv4ネットワーク51を介してサービスプロバイダシステム40aに送信する。サービスプロバイダシステム40aは、回線証明書が有効であると認証した場合に、サービス提供を開始する。
【選択図】 図1
【解決手段】通信システム1において、エンドユーザ端末20aは、IPv6ルータ10aを介して回線認証局30に証明書発行要求を送信する。IPv6ルータ10aは、受信した証明書発行要求に含まれている回線識別子が回線15aに予め付与された回線識別子に一致するか否かを認証する。回線認証局30は、IPv6ネットワーク50から証明書発行要求を受信して回線証明書を発行する。発行した回線証明書をエンドユーザ端末20aに送信する。エンドユーザ端末20aは、受信した回線証明書を含むサービス提供要求をIPv4ネットワーク51を介してサービスプロバイダシステム40aに送信する。サービスプロバイダシステム40aは、回線証明書が有効であると認証した場合に、サービス提供を開始する。
【選択図】 図1
Description
本発明は、IPv6ネットワークの回線認証と公開鍵暗号化方式による認証を利用してネットワークのサービス提供を制御する通信システム及びサービス提供方法並びにコンピュータプログラムに関する。
従来、公衆電話網において、回線に割り当てられる発信者番号は通信事業者が運用する交換機によって管理されているため第三者のなりすましを防止することができており、公衆電話網を利用することで交換機から通知される発信者番号に基づいて発信元の信頼性を担保することが可能であった。そのため、LAN(Local Area Network)間の接続の認証や、インターネットやイントラネットへリモートアクセスする際のユーザ認証を行う際に、発信者番号、即ち発信元の端末装置に接続された回線に付与された回線番号を利用することが広く行われている。
一方、インターネットやイントラネットに代表される現状のIPネットワークはIP(Internet Protocol)version4(以下、IPv4)の規格に基づいて構築されている。しかしながら、IPv4アドレスや更に下位層のMAC(Media Access Control)アドレスでは、端末に設定されているIPv4アドレスを第三者が容易に書き換えてなりすますことができるという問題がある。そのため、サービス提供時のユーザ認証としてIPv4アドレスやMACアドレスに基づいて発信元を認証した結果を利用することは信頼性に問題があるため行われていなかった。そのため、IPv4ネットワークで、ユーザごとに異なるサービスを提供する制御を行う場合には、発信元に付与されたアドレスによって認証するのではなく、ユーザごとに付与したパスワードやユーザごとに配布されたIC(Integrated Circuit)カード、USB(Universal Serial Bus)キーデバイスによりユーザ認証を行うことが一般的に行われている。
ところで、近年IPv4アドレスの不足に対応して、新たなバージョンであるIPversion6(以下、IPv6と記載)というプロトコルが実用化されている。IPv4ネットワークが32ビット長のアドレスで接続先を識別するのに対し、IPv6ネットワークは、128ビットのアドレス(以下、IPv6アドレスと呼ぶ)長で接続先を識別する。また、IPv6では端末装置がネットワークに接続した時、当該端末装置をすぐにネットワークの端末装置として使用できるプラグアンドプレイの機能が規定されている。そのため、端末装置を収容するIPv6ルータにはプラグアンドプレイ機能を実現するためRA(Router Advertise)機能が備えられている。RA機能を備えたルータは、IPv6アドレスの上位64ビットをネットワークプレフィックスとして端末装置に送信する。端末装置はネットワークプレフィックスを受信して、インタフェースに予め割り当てられているMACアドレスを基に下位64ビットを生成し、上位64ビットと結合して128ビットのIPv6アドレスを生成する。このとき上位の64ビットであるネットワークプレフィックスは、IPv6ルータが収容する回線ごとに割り当てられており、当該回線から受信するパケットに関しては正しいIPv6アドレスが設定されているかを確認する回線認証にあたる機能を有している。そのためIPv6ネットワークではIPv6ルータの当該回線認証の機能を利用して第三者によるなりすましを防止することができ、それによって、発信元の信頼性を担保することができる(例えば、特許文献1参照)。
特開2003−132030号公報
一方、インターネットやイントラネットに代表される現状のIPネットワークはIP(Internet Protocol)version4(以下、IPv4)の規格に基づいて構築されている。しかしながら、IPv4アドレスや更に下位層のMAC(Media Access Control)アドレスでは、端末に設定されているIPv4アドレスを第三者が容易に書き換えてなりすますことができるという問題がある。そのため、サービス提供時のユーザ認証としてIPv4アドレスやMACアドレスに基づいて発信元を認証した結果を利用することは信頼性に問題があるため行われていなかった。そのため、IPv4ネットワークで、ユーザごとに異なるサービスを提供する制御を行う場合には、発信元に付与されたアドレスによって認証するのではなく、ユーザごとに付与したパスワードやユーザごとに配布されたIC(Integrated Circuit)カード、USB(Universal Serial Bus)キーデバイスによりユーザ認証を行うことが一般的に行われている。
ところで、近年IPv4アドレスの不足に対応して、新たなバージョンであるIPversion6(以下、IPv6と記載)というプロトコルが実用化されている。IPv4ネットワークが32ビット長のアドレスで接続先を識別するのに対し、IPv6ネットワークは、128ビットのアドレス(以下、IPv6アドレスと呼ぶ)長で接続先を識別する。また、IPv6では端末装置がネットワークに接続した時、当該端末装置をすぐにネットワークの端末装置として使用できるプラグアンドプレイの機能が規定されている。そのため、端末装置を収容するIPv6ルータにはプラグアンドプレイ機能を実現するためRA(Router Advertise)機能が備えられている。RA機能を備えたルータは、IPv6アドレスの上位64ビットをネットワークプレフィックスとして端末装置に送信する。端末装置はネットワークプレフィックスを受信して、インタフェースに予め割り当てられているMACアドレスを基に下位64ビットを生成し、上位64ビットと結合して128ビットのIPv6アドレスを生成する。このとき上位の64ビットであるネットワークプレフィックスは、IPv6ルータが収容する回線ごとに割り当てられており、当該回線から受信するパケットに関しては正しいIPv6アドレスが設定されているかを確認する回線認証にあたる機能を有している。そのためIPv6ネットワークではIPv6ルータの当該回線認証の機能を利用して第三者によるなりすましを防止することができ、それによって、発信元の信頼性を担保することができる(例えば、特許文献1参照)。
上述したように従来では、信頼性の問題からIPv4ネットワークにおいて回線を認証に利用してサービス提供の制御を行うことはなされていなかった。しかしながら、一般的にIPv4ネットワークで行われている認証は、パスワードやデバイスによるものであり、パスワードが漏洩したりデバイスが盗難された場合に信頼性を維持するのが困難であるという問題がある。
本発明は、上記問題を解決すべくなされたもので、その目的は、パスワードやデバイスによる認証を利用することなく、IPv6ネットワークの回線認証を利用してIPv4ネットワークにおいてサービス提供の制御を可能とする通信システムを提供することにある。
上述した課題を解決するために、本発明は、IPv6ルータ(IPv6ルータ10)によって構成されるIPv6ネットワーク(IPv6ネットワーク50)と、前記IPv6ネットワークに接続する認証局(回線認証局30)と、サービス提供者のサーバ装置(サービスプロバイダシステム40)が接続するIPv4ネットワーク(IPv4ネットワーク51)と、前記IPv6ネットワークと前記IPv4ネットワークとに接続する端末装置(エンドユーザ端末20)と、を具備した通信システム(通信システム1)において、前記IPv6ルータは、収容する回線(回線15)ごとに予め付与された回線識別子を前記回線に接続している前記端末装置に送信する回線識別子送信手段と、前記端末装置から前記証明書発行要求を受信した時、受信した前記証明書発行要求に含まれている前記回線識別子が前記端末装置を収容する前記回線に予め付与された前記回線識別子に一致するか否かを認証する回線認証手段と、前記回線認証手段によって前記回線識別子が一致すると認証された場合に、前記証明書発行要求を前記IPv6ネットワークを介して前記認証局に転送する証明書発行要求転送手段と、によって構成され、前記端末装置は、前記回線を通じて接続する前記IPv6ルータから前記回線識別子を受信した時、内部に記憶している端末番号と前記回線識別子を組み合わせて自IPv6アドレスを生成し、内部に設定するアドレス設定手段と、前記IPv6ルータを介して前記認証局に証明書発行要求を送信する証明書発行要求送信手段と、前記認証局から前記IPv6ネットワークを介して回線証明書を受信する証明書受信手段と、受信した前記回線証明書を含むサービス提供要求を前記IPv4ネットワークを介して前記サーバ装置に送信するサービス提供要求送信手段と、によって構成され、前記認証局は、前記IPv6ネットワークから前記端末装置が送信した前記証明書発行要求を受信する証明書発行要求受信手段と、前記証明書発行要求受信手段が前記証明書発行要求を受信した時、前記回線証明書を発行し、前記回線証明書を前記端末装置に前記IPv6ネットワークを介して送信する証明書送信手段と、によって構成され、前記サーバ装置は、前記IPv4ネットワークを介して前記端末装置から前記サービス提供要求を受信した時、前記認証局から予め受信した公開鍵を利用して前記サービス提供要求に含まれている前記回線証明書が有効か否かを認証する証明書認証手段と、前記証明書認証手段によって前記回線証明書が有効であると認証された場合に、前記端末装置に対してサービス提供を開始するサービス提供開始手段と、によって構成されることを特徴とする通信システムである。
本発明は、上記の発明において、前記端末装置の前記証明書発行要求送信手段は、ユーザの指示を受けてユーザ指定有効期間情報を含んだ前記証明書発行要求を前記認証局に送信し、前記認証局の前記回線証明書送信手段は、前記証明書発行要求に前記ユーザ指定有効期間情報が含まれている場合は、発行日時に前記ユーザ指定有効期間情報を加えた値を有効期限として設定した前記回線証明書を発行することを特徴とする。
本発明は、上記の発明において、前記認証局の前記証明書送信手段は、前記回線証明書を発行する際に、前記証明書発行要求に含まれている前記ユーザ指定有効期間情報と、前記認証局に予め設定されている認証局指定有効期間情報と、前記サービス提供者が予め前記認証局に通知し前記認証局が記憶しているサービス提供者指定有効期間情報とを比較し、最も短い有効期間情報を発行日時に加えて前記有効期限として設定した前記回線証明書を発行することを特徴とする。
本発明は、上記の発明において、前記サーバ装置は、前記サービス提供するサービスに付与されたサービス識別子に対応付けて当該サービスの利用を許可する前記回線識別子を記憶するサービス提供リスト記憶部(サービス提供リストデータベース44)を備え、前記認証局の前記証明書送信手段は、前記証明書を発行する際に、前記証明書発行要求の送信元IPv6アドレスから前記回線識別子を読み出し、前記回線識別子を含む前記回線証明書を発行し、前記端末装置の前記サービス提供要求送信手段は、前記ユーザの指示を受けてユーザが提供を受けたいサービスの前記サービス識別子を含む前記サービス提供要求を前記サーバ装置に送信し、前記サーバ装置の前記サービス提供開始手段は、前記回線証明書認証手段によって前記回線証明書が有効であると認証された後に、前記サービス提供要求から前記サービス識別子を読み出し、前記サービス提供リスト記憶部から読み出した前記サービス識別子に対応付けられている前記回線識別子を読み出し、前記回線証明書に含まれている前記回線識別子が読み出した前記回線識別子に含まれている場合に、前記端末装置に対して前記サービス識別子に対応するサービス提供を開始することを特徴とする。
本発明は、IPv6ルータによって構成されるIPv6ネットワークと、前記IPv6ネットワークに接続する認証局と、サービス提供者のサーバ装置が接続するIPv4ネットワークと、前記IPv6ネットワークと前記IPv4ネットワークと接続する端末装置と、を具備した通信システムのサービス提供方法において、前記IPv6ルータが、収容する回線ごとに予め付与された回線識別子を前記回線に接続している前記端末装置に送信する過程と、前記端末装置が、前記回線を通じて接続する前記IPv6ルータから前記回線識別子を受信した時、内部に記憶している端末番号と前記回線識別子を組み合わせて自IPv6アドレスを生成し、内部に設定する過程と、前記端末装置が、前記IPv6ルータを介して前記認証局に証明書発行要求を送信する過程と、前記IPv6ルータが、前記端末装置から前記証明書発行要求を受信した時、受信した前記証明書発行要求に含まれている前記回線識別子が前記端末装置を収容する前記回線に予め付与された前記回線識別子に一致するか否かを認証する過程と、前記IPv6ルータが、前記回線識別子が一致すると認証した場合に、前記証明書発行要求を前記IPv6ネットワークを介して前記認証局に転送する過程と、前記認証局が、前記IPv6ネットワークから前記端末装置が送信した前記証明書発行要求を受信する過程と、前記認証局が、前記証明書発行要求を受信した時、前記回線証明書を発行し、前記回線証明書を前記端末装置に前記IPv6ネットワークを介して送信する過程と、前記端末装置が、前記認証局から前記IPv6ネットワークを介して回線証明書を受信する過程と、前記端末装置が、受信した前記回線証明書を含むサービス提供要求を前記IPv4ネットワークを介して前記サーバ装置に送信する過程と、前記サーバ装置が、前記IPv4ネットワークを介して前記端末装置から前記サービス提供要求を受信した時、前記認証局から予め受信した公開鍵を利用して前記サービス提供要求に含まれている前記回線証明書が有効か否かを認証する過程と、前記サーバ装置が、前記回線証明書が有効であると認証した場合に、前記端末装置に対してサービス提供を開始する過程と、からなることを特徴とするサービス提供方法である。
本発明は、IPv6ルータによって構成されるIPv6ネットワークと、前記IPv6ネットワークに接続する認証局と、サービス提供者のサーバ装置が接続するIPv4ネットワークと、前記IPv6ネットワークと前記IPv4ネットワークと接続する端末装置と、を具備した通信システムの前記端末装置のコンピュータを、前記回線を通じて接続する前記IPv6ルータから前記回線識別子を受信した時、内部に記憶している端末番号と前記回線識別子を組み合わせて自IPv6アドレスを生成し、内部に設定するアドレス設定手段、前記IPv6ルータを介して前記認証局に証明書発行要求を送信する証明書発行要求送信手段、前記認証局から前記IPv6ネットワークを介して回線証明書を受信する証明書受信手段、受信した前記回線証明書を含むサービス提供要求を前記IPv4ネットワークを介して前記サーバ装置に送信するサービス提供要求送信手段、として機能させるためのコンピュータプログラムである。
本発明は、IPv6ルータによって構成されるIPv6ネットワークと、前記IPv6ネットワークに接続する認証局と、サービス提供者のサーバ装置が接続するIPv4ネットワークと、前記IPv6ネットワークと前記IPv4ネットワークと接続する端末装置と、を具備した通信システムの前記認証局のコンピュータを、前記IPv6ネットワークから前記端末装置が送信した前記証明書発行要求を受信する証明書発行要求受信手段、前記証明書発行要求受信手段が前記証明書発行要求を受信した時、前記回線証明書を発行し、前記回線証明書を前記端末装置に前記IPv6ネットワークを介して送信する証明書送信手段、として機能させるためのコンピュータプログラムである。
本発明は、IPv6ルータによって構成されるIPv6ネットワークと、前記IPv6ネットワークに接続する認証局と、サービス提供者のサーバ装置が接続するIPv4ネットワークと、前記IPv6ネットワークと前記IPv4ネットワークと接続する端末装置と、を具備した通信システムの前記サーバ装置のコンピュータを、前記IPv4ネットワークを介して前記端末装置から前記サービス提供要求を受信した時、前記認証局から予め受信した公開鍵を利用して前記サービス提供要求に含まれている前記回線証明書が有効か否かを認証する証明書認証手段、前記証明書認証手段によって前記回線証明書が有効であると認証された場合に、前記端末装置に対してサービス提供を開始するサービス提供開始手段、として機能させるためのコンピュータプログラムである。
この発明によれば、IPv6ネットワークとIPv4ネットワークとに接続する端末装置は、IPv6ルータを介して認証局に証明書発行要求を送信する。IPv6ルータは、端末装置から証明書発行要求を受信した時、受信した証明書発行要求に含まれている回線識別子が端末装置を収容する回線に予め付与された回線識別子に一致するか否かを認証する。そして、回線識別子が一致すると認証した場合には、証明書発行要求をIPv6ネットワークを介して認証局に転送する。認証局は、証明書発行要求を受信した時、回線証明書を発行して端末装置にIPv6ネットワークを介して送信する。端末装置は、受信した回線証明書を含むサービス提供要求をIPv4ネットワークを介してサーバ装置に送信する。サーバ装置は、IPv4ネットワークを介して端末装置からサービス提供要求を受信した時、認証局から予め受信した公開鍵を利用してサービス提供要求に含まれている回線証明書が有効か否かを認証する。回線証明書が有効であると認証した場合に、端末装置に対してサービス提供を開始する構成となっている。そのため、端末装置は、IPv6ルータによる回線認証によって発信元の信頼性が担保され、公開鍵暗号方式によって認証局が発行した回線証明書で回線認証された情報の信頼性を保持しつつ、IPv4ネットワークにおいてサービスを提供するサーバ装置に回線認証されたことの情報を示すことができる。それによって、端末装置のユーザに予め付与されたパスワードや配布されたデバイスなどを利用せずにサーバ装置は端末装置の認証を行うことが可能となる。
また、本発明によれば、端末装置は、ユーザの指示を受けてユーザ指定有効期間情報を含んだ証明書発行要求を認証局に送信する。認証局は、証明書発行要求にユーザ指定有効期間情報が含まれている場合は、発行日時にユーザ指定有効期間情報を加えた値と有効期限として設定し回線証明書を発行する構成となっている。そのため、ユーザが指定した有効期間に従って回線証明書が失効させることができる。それによって、認証局は失効リストなどによる証明書の有効期限管理を行う必要がなくなる。
また、本発明によれば、認証局は、回線証明書を発行する際に、証明書発行要求に含まれているユーザ指定有効期間情報と、認証局に予め設定されている認証局指定有効期間情報と、サービス提供者が予め認証局に通知し認証局が記憶しているサービス提供者指定有効期間情報とを比較し、最も短い有効期間情報を発行日時に加えた値を有効期限として設定し回線証明書を発行する構成となっている。そのため、複数の有効期間の指定があっても最も短い有効期間が自動的に設定されることになる。それによって、認証局は失効リストなどによる証明書の有効期限管理を行う必要がなくなる。
また、本発明によれば、サーバ装置は、サービス提供するサービスに付与されたサービス識別子に対応付けて当該サービスの利用を許可する回線識別子を記憶するサービス提供リスト記憶部を備えている。そして、認証局は、証明書を発行する際に、証明書発行要求の送信元IPv6アドレスから回線識別子を読み出し、回線識別子を含む回線証明書を発行する。端末装置は、ユーザの指示を受けてユーザが提供を受けたいサービスのサービス識別子を含むサービス提供要求をサーバ装置に送信する。サーバ装置は、回線証明書が有効であると認証された後に、サービス提供要求からサービス識別子を読み出し、サービス提供リスト記憶部からサービス識別子に対応付けられている回線識別子を読み出し、回線証明書に含まれている回線識別子が読み出した回線識別子に含まれている場合に、端末装置に対してサービス識別子に対応するサービス提供を開始する構成となっている。そのため、サーバ装置は、回線識別子ごとに提供可能なサービスを設定することが可能となる。それによって、1つの回線識別子に複数の端末装置が接続している場合には、回線識別子単位でサービス提供の制御を行うことが可能となる。
以下、本発明の一実施形態による通信システムを図面を参照して説明する。
図1は、本実施形態による通信システム1を示す概略ブロック図である。
同図において、IPv6ルータ10a、10b、10c、10d(以下、IPv6ルータを代表して示す際はIPv6ルータ10と記載する。)は、IPv6のプロトコルに基づいて、パケットの転送を行うことができる通信装置である。IPv6ネットワーク50は、IPv6ルータ10a、10b、10c、10dとそれらを相互に接続する専用線等の回線から構成されるネットワークである。エンドユーザ端末20a、20b、20c(以下、エンドユーザ端末を代表して示す際はエンドユーザ端末20と記載する。)は、例えば、ユーザが利用するパーソナルコンピュータ等であり、それぞれIPv6ルータ10a、10b、10cと回線15a、15b、15c(以下、回線を代表して示す際は回線15と記載する。)を介して接続している。また、エンドユーザ端末20aは、IPv4ネットワーク51にも接続しており、IPv6ネットワーク50を介して受信した情報をIPv4ネットワーク51側へ転送することが可能である。ここで、IPv4ネットワーク51は、具体的にはインターネットが該当する。回線認証局30(CA:Certificate Authoritry)は、IPv6ルータ10dに接続し、エンドユーザ端末20a、20b、20cから回線証明書の発行要求を受信して、回線証明書の発行を行うサーバ装置である。回線証明書とは、具体的には公開鍵暗号化方式において公開鍵の証明のために利用される公開鍵証明書に該当する。サービスプロバイダシステム40a、40b(以下、サービスプロバイダシステムを代表して示す際はサービスプロバイダシステム40と記載する。)は、具体的にはコンテンツやゲームプログラム等を格納する複数のサーバ装置から構成されるシステムである。サービスプロバイダシステム40a、40bは、IPv4ネットワーク51に接続しIPv4ネットワーク51を介してコンテンツ配信やゲームプログラムのダウンロードなどのサービスをエンドユーザ端末20aに提供する。また、サービスプロバイダシステム40aは、セキュアネットワーク52にも接続しており、セキュアネットワーク52を介して回線認証局30から回線証明書に付された電子署名の有効性を確認するために必要な回線認証局30の公開鍵を受信する。セキュアネットワーク52は、例えば、公衆電話網、専用回線、VPN(Virtual Private Network)などの第三者が容易にデータの改ざんなどを行うことができない閉域網である。
図1は、本実施形態による通信システム1を示す概略ブロック図である。
同図において、IPv6ルータ10a、10b、10c、10d(以下、IPv6ルータを代表して示す際はIPv6ルータ10と記載する。)は、IPv6のプロトコルに基づいて、パケットの転送を行うことができる通信装置である。IPv6ネットワーク50は、IPv6ルータ10a、10b、10c、10dとそれらを相互に接続する専用線等の回線から構成されるネットワークである。エンドユーザ端末20a、20b、20c(以下、エンドユーザ端末を代表して示す際はエンドユーザ端末20と記載する。)は、例えば、ユーザが利用するパーソナルコンピュータ等であり、それぞれIPv6ルータ10a、10b、10cと回線15a、15b、15c(以下、回線を代表して示す際は回線15と記載する。)を介して接続している。また、エンドユーザ端末20aは、IPv4ネットワーク51にも接続しており、IPv6ネットワーク50を介して受信した情報をIPv4ネットワーク51側へ転送することが可能である。ここで、IPv4ネットワーク51は、具体的にはインターネットが該当する。回線認証局30(CA:Certificate Authoritry)は、IPv6ルータ10dに接続し、エンドユーザ端末20a、20b、20cから回線証明書の発行要求を受信して、回線証明書の発行を行うサーバ装置である。回線証明書とは、具体的には公開鍵暗号化方式において公開鍵の証明のために利用される公開鍵証明書に該当する。サービスプロバイダシステム40a、40b(以下、サービスプロバイダシステムを代表して示す際はサービスプロバイダシステム40と記載する。)は、具体的にはコンテンツやゲームプログラム等を格納する複数のサーバ装置から構成されるシステムである。サービスプロバイダシステム40a、40bは、IPv4ネットワーク51に接続しIPv4ネットワーク51を介してコンテンツ配信やゲームプログラムのダウンロードなどのサービスをエンドユーザ端末20aに提供する。また、サービスプロバイダシステム40aは、セキュアネットワーク52にも接続しており、セキュアネットワーク52を介して回線認証局30から回線証明書に付された電子署名の有効性を確認するために必要な回線認証局30の公開鍵を受信する。セキュアネットワーク52は、例えば、公衆電話網、専用回線、VPN(Virtual Private Network)などの第三者が容易にデータの改ざんなどを行うことができない閉域網である。
図2は、IPv6ルータ10、エンドユーザ端末20、回線認証局30、サービスプロバイダシステム40の内部構成を示したブロック図である。
同図(a)は、IPv6ルータ10の内部構成を示した図である。同図(a)において、IPv6プレフィックス通知部11は、IPv6ルータ10が収容する回線ごとに予め付与しているIPv6アドレスの上位64ビットであるネットワークプレフィックス(プレフィックスと略して呼ぶ場合もある)を回線15を通じて直接接続しているエンドユーザ端末20に通知する。回線認証部12は、エンドユーザ端末20が送信したIPv6アドレスが設定されたパケットを受信した時、当該IPv6アドレスが、予め内部に設定されているネットワークプレフィックスを含んでいる有効なパケットか否かを確認する。有効なパケットの場合は、経路設定に従って転送するが、有効でない場合には、パケットを破棄する。IPv6通信制御部13は、エンドユーザ端末20を収容し、また、他のIPv6ルータ10と接続してIPv6プロトコルに基づく通信を行う。
同図(b)は、エンドユーザ端末20の内部構成を示した図である。同図(b)において、IPv6アドレス合成部21は、IPv6ルータ10から受信した上位64ビットのネットワークプレフィックスとインタフェースに予め設定されているMACアドレスから生成した64ビットの下位アドレスを合成して128ビットのIPv6アドレスを生成し内部に自IPv6アドレスとして設定する。証明書発行要求部22は、回線認証局30に対して証明書発行要求を送信して回線15に対して発行された回線証明書を受信する。証明書送信部23は、サービスプロバイダシステム40のサービスを利用する際にユーザ認証を受けるため、サービスプロバイダシステム40に回線認証局30から受信した回線証明書をサービス提供要求と共に送信する。IPv6通信制御部24は、IPv6ルータ10と接続してIPv6プロトコルに基づく通信を行う。IPv4通信制御部25は、IPv4ネットワーク51に接続しサービスプロバイダシステム40との間でIPv4プロトコルに基づく通信を行う。
同図(a)は、IPv6ルータ10の内部構成を示した図である。同図(a)において、IPv6プレフィックス通知部11は、IPv6ルータ10が収容する回線ごとに予め付与しているIPv6アドレスの上位64ビットであるネットワークプレフィックス(プレフィックスと略して呼ぶ場合もある)を回線15を通じて直接接続しているエンドユーザ端末20に通知する。回線認証部12は、エンドユーザ端末20が送信したIPv6アドレスが設定されたパケットを受信した時、当該IPv6アドレスが、予め内部に設定されているネットワークプレフィックスを含んでいる有効なパケットか否かを確認する。有効なパケットの場合は、経路設定に従って転送するが、有効でない場合には、パケットを破棄する。IPv6通信制御部13は、エンドユーザ端末20を収容し、また、他のIPv6ルータ10と接続してIPv6プロトコルに基づく通信を行う。
同図(b)は、エンドユーザ端末20の内部構成を示した図である。同図(b)において、IPv6アドレス合成部21は、IPv6ルータ10から受信した上位64ビットのネットワークプレフィックスとインタフェースに予め設定されているMACアドレスから生成した64ビットの下位アドレスを合成して128ビットのIPv6アドレスを生成し内部に自IPv6アドレスとして設定する。証明書発行要求部22は、回線認証局30に対して証明書発行要求を送信して回線15に対して発行された回線証明書を受信する。証明書送信部23は、サービスプロバイダシステム40のサービスを利用する際にユーザ認証を受けるため、サービスプロバイダシステム40に回線認証局30から受信した回線証明書をサービス提供要求と共に送信する。IPv6通信制御部24は、IPv6ルータ10と接続してIPv6プロトコルに基づく通信を行う。IPv4通信制御部25は、IPv4ネットワーク51に接続しサービスプロバイダシステム40との間でIPv4プロトコルに基づく通信を行う。
同図(c)は、回線認証局30の内部構成を示した図である。同図(c)において、証明書発行部31は、エンドユーザ端末20から証明書発行要求を受信して回線証明書の発行を行う。認証局公開鍵提供部32は、セキュアネットワーク52に接続し、サービスプロバイダシステム40からの公開鍵取得要求を受信して認証局の公開鍵を発行する。IPv6通信制御部33は、IPv6ルータ10と接続してIPv6プロトコルに基づく通信を行う。
同図(d)は、サービスプロバイダシステム40の内部構成を示した図である。同図(d)において、証明書検証部41は、セキュアネットワーク52に接続し、回線認証局30から受信した認証局の公開鍵を利用して、エンドユーザ端末20から受信した回線証明書に付された電子署名を復号化し、回線証明書が有効であるか否かの確認をする。サービス提供部42は、証明書検証部41によって回線証明書が有効であると確認された場合にエンドユーザ端末20に対してサービスの提供を行う。IPv4通信制御部43は、IPv4ネットワーク51に接続しエンドユーザ端末20とIPv4プロトコルに基づく通信を行う。サービス提供リストデータベース(以下、DB)44は、サービスプロバイダシステム40が提供することができるサービスに付与されたサービス識別子に対応付けて当該サービスの提供を許可する回線識別子、即ちネットワークプレフィックスの情報を記憶している。サービス提供履歴データベース45は、提供したサービスのサービス識別子に対応付けてサービス提供を行った回線識別子と提供日時の履歴を記憶する。
同図(d)は、サービスプロバイダシステム40の内部構成を示した図である。同図(d)において、証明書検証部41は、セキュアネットワーク52に接続し、回線認証局30から受信した認証局の公開鍵を利用して、エンドユーザ端末20から受信した回線証明書に付された電子署名を復号化し、回線証明書が有効であるか否かの確認をする。サービス提供部42は、証明書検証部41によって回線証明書が有効であると確認された場合にエンドユーザ端末20に対してサービスの提供を行う。IPv4通信制御部43は、IPv4ネットワーク51に接続しエンドユーザ端末20とIPv4プロトコルに基づく通信を行う。サービス提供リストデータベース(以下、DB)44は、サービスプロバイダシステム40が提供することができるサービスに付与されたサービス識別子に対応付けて当該サービスの提供を許可する回線識別子、即ちネットワークプレフィックスの情報を記憶している。サービス提供履歴データベース45は、提供したサービスのサービス識別子に対応付けてサービス提供を行った回線識別子と提供日時の履歴を記憶する。
図3は、IPv6ルータ10のRA機能を説明するための図である。同図に示すように、IPv6アドレスは128ビットを有しており、上位64ビットはIPv6ルータ10側で回線ごとに割り当てられるネットワークプレフィックスである。下位64ビットは、エンドユーザ端末20の個々のインタフェースに割り当てられているMACアドレスに基づいて生成されるエンドユーザ端末20ごとに固有の番号である。RA機能は、IPv6ルータ10にエンドユーザ端末20が接続すると、IPv6ルータ10がネットワークプレフィックス部分をエンドユーザ端末20に対して送信する。ネットワークプレフィックス部分を受信したエンドユーザ端末20はネットワークプレフィックスを上位64ビットとし、MACアドレスに基づいて生成したアドレスを下位の64ビットとして結合して128ビットの端末固有のIPv6アドレスを生成して内部に設定する。上位の64ビットであるネットワークプレフィックスは、通信事業者が運営するIPv6ルータ10が管理している。また、エンドユーザ端末20がパケットを送信する際に、当該パケットの送信元アドレスに設定されているネットワークプレフィックスが、回線に設定されているネットワークプレフィックスと一致する場合にのみ当該パケットを転送しているため、第三者によるなりすましを防止しやすくしている。
図4は、回線証明書のデータ形式を示した図である。上述した通り、回線証明書は公開鍵暗号化方式の公開鍵証明書に該当する。具体的には、X.509バージョン3のデジタル証明書を利用することとなる。同図において、バージョンには、X.509バージョン3であることを示す数値2が設定される。シリアル番号には、証明書を一意に識別するための識別番号が整数値で設定される。署名アルゴリズムには、当該証明書に対して回線認証局30が自らの電子署名を付与する際の暗号化アルゴリズムの識別子が設定される。発行者には回線認証局30の名称、例えば企業名、団体名が設定される。証明書有効期間には、証明書の利用開始日時と証明書の利用限度日時(=有効期限)が設定される。所有者名には、当該証明書によって証明される公開鍵の所有者であるエンドユーザ端末20のユーザの識別情報が設定される。所有者公開鍵情報には、所有者が利用している公開鍵暗号化方式の公開鍵アルゴリズムの識別子と、公開鍵の情報が設定される。拡張領域には、エンドユーザ端末20が接続している回線の回線識別子としてIPv6アドレスの上位64ビットのネットワークプレフィックスが設定される。
なお、所有者であるエンドユーザ端末20のユーザの公開鍵と秘密鍵自体は、回線認証局30が発行してもよいし、ユーザが自ら作成し、証明書のみを回線認証局30が発行するようにしてもよい。
なお、所有者であるエンドユーザ端末20のユーザの公開鍵と秘密鍵自体は、回線認証局30が発行してもよいし、ユーザが自ら作成し、証明書のみを回線認証局30が発行するようにしてもよい。
図5(a)、(b)はそれぞれ、サービスプロバイダシステム40に備えられているデータベースであるサービス提供リストDB44とサービス提供履歴DB45のデータ構成を示した図である。
同図(a)のサービス提供リストDB44において、サービス名にはサービスプロバイダシステム40が提供するサービス名が設定される。サービス識別子には当該サービスに予め付与されている一意に特定できる識別子が設定される。提供対象回線識別子には、当該サービスの提供を許可するエンドユーザ端末20を回線単位で制限するために、IPv6のネットワークプレフィックスに該当する回線識別子が設定される。サービスプロバイダシステム40は、エンドユーザ端末20のユーザとの契約に基づき、予めサービス提供リストDB44を設定する。そして、エンドユーザ端末20からサービス提供要求を受信した時、サービス提供要求に含まれているサービス識別子と回線証明書の拡張領域に設定されている回線識別子に基づいてサービス提供リストDB44を参照しサービス識別子と回線識別子の対応関係が一致する場合にサービス識別子に対応するサービスの提供を開始する。
同図(b)のサービス提供履歴DB45において、サービス識別子には、エンドユーザ端末20によって利用されたサービスのサービス識別子が記録される。提供日時には、当該サービスを提供した日時が記録される。提供回線識別子には、サービスを利用したエンドユーザ端末20の回線識別子が設定される。サービスプロバイダシステム40の運営者は、サービス提供履歴DB45を参照してエンドユーザ端末20のユーザに課金を行うことができる。
同図(a)のサービス提供リストDB44において、サービス名にはサービスプロバイダシステム40が提供するサービス名が設定される。サービス識別子には当該サービスに予め付与されている一意に特定できる識別子が設定される。提供対象回線識別子には、当該サービスの提供を許可するエンドユーザ端末20を回線単位で制限するために、IPv6のネットワークプレフィックスに該当する回線識別子が設定される。サービスプロバイダシステム40は、エンドユーザ端末20のユーザとの契約に基づき、予めサービス提供リストDB44を設定する。そして、エンドユーザ端末20からサービス提供要求を受信した時、サービス提供要求に含まれているサービス識別子と回線証明書の拡張領域に設定されている回線識別子に基づいてサービス提供リストDB44を参照しサービス識別子と回線識別子の対応関係が一致する場合にサービス識別子に対応するサービスの提供を開始する。
同図(b)のサービス提供履歴DB45において、サービス識別子には、エンドユーザ端末20によって利用されたサービスのサービス識別子が記録される。提供日時には、当該サービスを提供した日時が記録される。提供回線識別子には、サービスを利用したエンドユーザ端末20の回線識別子が設定される。サービスプロバイダシステム40の運営者は、サービス提供履歴DB45を参照してエンドユーザ端末20のユーザに課金を行うことができる。
次に、図6から図8を参照して、回線認証に基づくIPv4ネットワークでのサービス提供制御の処理の流れについて説明する。
図6は、IPv6アドレスの生成の処理を示した図である。図6において、最初に回線15aを通じてエンドユーザ端末20aを収容しているIPv6ルータ10aが、回線15aに予め割り当てられているネットワークプレフィックスをエンドユーザ端末20aに送信する(ステップS1)。ネットワークプレフィックスを受信したエンドユーザ端末20aは自らのインタフェースに設定されているMACアドレスから下位の64ビットを生成し、ネットワークプレフィックスを上位64ビットとしてIPv6アドレスを生成し内部に設定する(ステップS2)。
図7は、回線証明書の発行の処理を示した図である。図7において、エンドユーザ端末20aは、回線認証局30を宛先として証明書発行要求をIPv6ルータ10aに送信する(ステップS3)。IPv6ルータ10aは、証明書発行要求に設定されている送信元IPv6アドレスのネットワークプレフィックスを読み出し、回線15aに割り当てられているネットワークプレフィックスに一致するか否かを確認することで回線認証を行う(ステップS4)。ネットワークプレフィックスが一致する場合には、IPv6ネットワーク50を通じてIPv6ルータ10dに証明書発行要求を転送し、IPv6ルータ10dは回線認証局30に証明書発行要求を転送する。証明書発行要求を受信した回線認証局30は、送信元のIPv6アドレスのネットワークプレフィックスを読み出して、当該ネットワークプレフィックスを含む回線証明書を発行し、エンドユーザ端末20aに送信する(ステップS5)。エンドユーザ端末20aは、IPv6ネットワーク50を介して回線証明書を受信する。
図6は、IPv6アドレスの生成の処理を示した図である。図6において、最初に回線15aを通じてエンドユーザ端末20aを収容しているIPv6ルータ10aが、回線15aに予め割り当てられているネットワークプレフィックスをエンドユーザ端末20aに送信する(ステップS1)。ネットワークプレフィックスを受信したエンドユーザ端末20aは自らのインタフェースに設定されているMACアドレスから下位の64ビットを生成し、ネットワークプレフィックスを上位64ビットとしてIPv6アドレスを生成し内部に設定する(ステップS2)。
図7は、回線証明書の発行の処理を示した図である。図7において、エンドユーザ端末20aは、回線認証局30を宛先として証明書発行要求をIPv6ルータ10aに送信する(ステップS3)。IPv6ルータ10aは、証明書発行要求に設定されている送信元IPv6アドレスのネットワークプレフィックスを読み出し、回線15aに割り当てられているネットワークプレフィックスに一致するか否かを確認することで回線認証を行う(ステップS4)。ネットワークプレフィックスが一致する場合には、IPv6ネットワーク50を通じてIPv6ルータ10dに証明書発行要求を転送し、IPv6ルータ10dは回線認証局30に証明書発行要求を転送する。証明書発行要求を受信した回線認証局30は、送信元のIPv6アドレスのネットワークプレフィックスを読み出して、当該ネットワークプレフィックスを含む回線証明書を発行し、エンドユーザ端末20aに送信する(ステップS5)。エンドユーザ端末20aは、IPv6ネットワーク50を介して回線証明書を受信する。
図8は、サービスプロバイダシステム40aがエンドユーザ端末20aに対してサービス提供を行う処理を示した図である。図8において、最初にエンドユーザ端末20aは回線認証局30から受信した回線証明書と共に提供を受けたいサービスのサービス識別子を指定したサービス提供要求をIPv4ネットワーク51を介してサービスプロバイダシステム40aに送信する(ステップS6)。サービスプロバイダシステム40aは、セキュアネットワーク52を介して回線認証局30から回線認証局30の公開鍵を受信する(ステップS7)。サービスプロバイダシステム40aは、回線認証局30の公開鍵で回線証明書の検証を行う。回線証明書が有効であると判定した場合にはサービス提供要求に指定されたサービス識別子と回線証明書の拡張領域に設定されている回線識別子に基づいてサービス提供リストDB44a(サービスプロバイダ40aに対応するサービス提供リストDBとして符号を44aと記載する。以下、サービス提供履歴DBについても同様に45aと記載する。)を参照しサービス識別子と回線識別子の対応関係が一致する場合にサービス識別子に対応するサービスの提供を開始する(ステップS8)。
なお、図8において、サービスプロバイダシステム40aはセキュアネットワーク52を通じてオンラインで回線認証局30から公開鍵を受信するようにしているが、記録媒体による郵送等によりオフラインで取得するようにしてもよい。
なお、図8において、サービスプロバイダシステム40aはセキュアネットワーク52を通じてオンラインで回線認証局30から公開鍵を受信するようにしているが、記録媒体による郵送等によりオフラインで取得するようにしてもよい。
図9は、IPv6アドレスの生成からサービスプロバイダシステム40aによるサービス提供までの一連の処理を示したシーケンス図である。
同図において、最初にエンドユーザ端末20aがIPv6のインタフェースからIPv6ルータ10aに接続する(ステップS9−1)。一方で、エンドユーザ端末20aはIPv4のインタフェースからIPv4ネットワーク51にも接続する(ステップS9−2)。IPv6ルータ10aはエンドユーザ端末20aを収容する回線に割り当てられているネットワークプレフィックスを送信する(ステップS9−3)。ネットワークプレフィックスを受信したエンドユーザ端末20aは自らのIPv6のインタフェースに設定されているMACアドレスから下位の64ビットを生成し、ネットワークプレフィックスを上位64ビットとしてIPv6アドレスを生成し内部に設定する(ステップS9−4)。エンドユーザ端末20aは、有効期間をn分に設定した証明書発行要求を回線認証局30を宛先としてIPv6ルータ10aに送信する(ステップS9−5)。IPv6ルータ10aは、証明書発行要求に設定されている送信元IPv6アドレスのネットワークプレフィックスを読み出し、エンドユーザ端末10aを収容している回線に割り当てられているネットワークプレフィックスに一致するか否かを確認することで回線認証を行う(ステップSS9−6)。ネットワークプレフィックスが一致する場合には、IPv6ネットワーク50を通じてIPv6ルータ10dに証明書発行要求を転送し、IPv6ルータ10dは回線認証局30に証明書発行要求を転送する。証明書発行要求を受信した回線認証局30は、送信元のIPv6アドレスのネットワークプレフィックスを読み出す(ステップS9−7)。次に、回線認証局30は、証明書発行要求から有効期間のn分を読み出して、発行日時に読み出したn分を加えた日時を有効期限として設定した回線証明書を生成する。そして、生成した回線証明書の拡張領域に回線識別子としてネットワークプレフィックスを設定する(ステップS9−8)。そして、当該回線証明書をエンドユーザ端末20aに送信する(ステップS9−9)。エンドユーザ端末20aは、IPv6ネットワーク50を介して回線証明書を受信する。次に、エンドユーザ端末20aは回線認証局30から受信した回線証明書と共に提供を受けたいサービスのサービス識別子を指定したサービス提供要求をIPv4ネットワーク51を介してサービスプロバイダシステム40aに送信する。この時、回線証明書の有効期間はn分であるため、サービスプロバイダシステム40aが確認する時間を含めて有効期限内に送信する必要がある(ステップS9−10)。サービスプロバイダシステム40aは、最初に回線証明書の有効期限を確認する。有効期限内の場合には、予め内部に記憶している回線認証局30から受信した回線認証局30の公開鍵で回線証明書の検証を行う(ステップS9−11)。回線証明書が有効であると判定した場合には、サービス提供要求に指定されているサービス識別子と回線証明書の拡張領域に設定されている回線識別子に基づいてサービス提供リストDB44aを参照し、サービス識別子と回線識別子の対応関係が一致する場合にサービス識別子に対応するサービスの提供を開始する(ステップS9−12)。
なお、上記した処理では、エンドユーザ端末20aが指定した有効期間にのみ従って、回線証明書の有効期間の設定を行っているが、回線認証局30が自ら有効期間を指定できるようにしてもよいし、サービスプロバイダシステム40aの運用者が、回線認証局30との契約時に有効期間を指定するようにしてもよい。複数の有効期間が設定されている場合には最も短い有効期間が設定されることとなる。
同図において、最初にエンドユーザ端末20aがIPv6のインタフェースからIPv6ルータ10aに接続する(ステップS9−1)。一方で、エンドユーザ端末20aはIPv4のインタフェースからIPv4ネットワーク51にも接続する(ステップS9−2)。IPv6ルータ10aはエンドユーザ端末20aを収容する回線に割り当てられているネットワークプレフィックスを送信する(ステップS9−3)。ネットワークプレフィックスを受信したエンドユーザ端末20aは自らのIPv6のインタフェースに設定されているMACアドレスから下位の64ビットを生成し、ネットワークプレフィックスを上位64ビットとしてIPv6アドレスを生成し内部に設定する(ステップS9−4)。エンドユーザ端末20aは、有効期間をn分に設定した証明書発行要求を回線認証局30を宛先としてIPv6ルータ10aに送信する(ステップS9−5)。IPv6ルータ10aは、証明書発行要求に設定されている送信元IPv6アドレスのネットワークプレフィックスを読み出し、エンドユーザ端末10aを収容している回線に割り当てられているネットワークプレフィックスに一致するか否かを確認することで回線認証を行う(ステップSS9−6)。ネットワークプレフィックスが一致する場合には、IPv6ネットワーク50を通じてIPv6ルータ10dに証明書発行要求を転送し、IPv6ルータ10dは回線認証局30に証明書発行要求を転送する。証明書発行要求を受信した回線認証局30は、送信元のIPv6アドレスのネットワークプレフィックスを読み出す(ステップS9−7)。次に、回線認証局30は、証明書発行要求から有効期間のn分を読み出して、発行日時に読み出したn分を加えた日時を有効期限として設定した回線証明書を生成する。そして、生成した回線証明書の拡張領域に回線識別子としてネットワークプレフィックスを設定する(ステップS9−8)。そして、当該回線証明書をエンドユーザ端末20aに送信する(ステップS9−9)。エンドユーザ端末20aは、IPv6ネットワーク50を介して回線証明書を受信する。次に、エンドユーザ端末20aは回線認証局30から受信した回線証明書と共に提供を受けたいサービスのサービス識別子を指定したサービス提供要求をIPv4ネットワーク51を介してサービスプロバイダシステム40aに送信する。この時、回線証明書の有効期間はn分であるため、サービスプロバイダシステム40aが確認する時間を含めて有効期限内に送信する必要がある(ステップS9−10)。サービスプロバイダシステム40aは、最初に回線証明書の有効期限を確認する。有効期限内の場合には、予め内部に記憶している回線認証局30から受信した回線認証局30の公開鍵で回線証明書の検証を行う(ステップS9−11)。回線証明書が有効であると判定した場合には、サービス提供要求に指定されているサービス識別子と回線証明書の拡張領域に設定されている回線識別子に基づいてサービス提供リストDB44aを参照し、サービス識別子と回線識別子の対応関係が一致する場合にサービス識別子に対応するサービスの提供を開始する(ステップS9−12)。
なお、上記した処理では、エンドユーザ端末20aが指定した有効期間にのみ従って、回線証明書の有効期間の設定を行っているが、回線認証局30が自ら有効期間を指定できるようにしてもよいし、サービスプロバイダシステム40aの運用者が、回線認証局30との契約時に有効期間を指定するようにしてもよい。複数の有効期間が設定されている場合には最も短い有効期間が設定されることとなる。
図10は、サービスプロバイダシステム40aが複数のエンドユーザ端末20a−1〜Nを一元管理してサービス提供を行う処理を示した図である。同図において、エンドユーザ端末20−iの符号iは1からNまでの値を示しており、1つの回線15aにハブ等を利用して1つの回線15aに接続している。つまり、エンドユーザ端末20−iは、IPv6ルータ10aから見ると同一の回線15aに接続する端末となり、ネットワークプレフィックスが同一のIPv6アドレスを有することになる。IPv6ルータ10aからネットワークプレフィックスを受信して、エンドユーザ端末20−iが自らのIPv6アドレスを生成して登録した後に、エンドユーザ端末20−iは回線認証局30に証明書発行要求を送信する(ステップS10−1)。回線認証局30は、回線識別子、有効期限を含む回線証明書を発行し、エンドユーザ端末20−iに送信する(ステップS10−2)。次に、エンドユーザ端末20−iは、IPv4ネットワーク51を介してサービスプロバイダシステム40aに回線証明書と共に提供を受けたいサービス識別子を設定したサービス提供要求を送信する(ステップS10−3)。サービス提供要求を受信したサービスプロバイダシステム40aは、回線証明書の有効期限を確認し、有効期限内の場合には、回線認証局30から予め受信している回線認証局30の公開鍵を利用して回線証明書の有効性を確認する。有効であると確認できた場合には、内部のサービス提供リストDB40aからサービス提供要求に指定されているサービス識別子に対応付けられている回線識別子を読み出し、回線証明書に含まれている回線識別子が読み出した回線識別子に含まれているか否かを確認する。回線証明書に含まれている回線識別子が含まれている場合には、エンドユーザ端末20−iに対してサービス識別子に該当するサービスの提供を開始すると共にサービス提供履歴DB44aに、提供したサービス識別子と提供日時と回線識別子を記録する(ステップS10−4)。サービスプロバイダシステム40aの運用者は、サービス料金の支払い時期に、サービス提供履歴DB45aに記録された履歴に基づいて回線識別子ごとに課金を行うことが可能となる。
上述の通信システム1のエンドユーザ端末20、回線認証局30、IPv6ルータ10、サービスプロバイダシステム40を構成するサーバ装置は内部に、コンピュータシステムを有している。そして、上述した回線認証によるサービス提供制御の処理過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
1 通信システム
10a〜d IPv6ルータ
15a〜c 回線
20a〜c エンドユーザ端末
30 回線認証局
40a、b サービスプロバイダシステム
50 IPv6ネットワーク
51 IPv4ネットワーク
10a〜d IPv6ルータ
15a〜c 回線
20a〜c エンドユーザ端末
30 回線認証局
40a、b サービスプロバイダシステム
50 IPv6ネットワーク
51 IPv4ネットワーク
Claims (8)
- IPv6ルータによって構成されるIPv6ネットワークと、前記IPv6ネットワークに接続する認証局と、サービス提供者のサーバ装置が接続するIPv4ネットワークと、前記IPv6ネットワークと前記IPv4ネットワークとに接続する端末装置と、を具備した通信システムにおいて、
前記IPv6ルータは、
収容する回線ごとに予め付与された回線識別子を前記回線に接続している前記端末装置に送信する回線識別子送信手段と、
前記端末装置から前記証明書発行要求を受信した時、受信した前記証明書発行要求に含まれている前記回線識別子が前記端末装置を収容する前記回線に予め付与された前記回線識別子に一致するか否かを認証する回線認証手段と、
前記回線認証手段によって前記回線識別子が一致すると認証された場合に、前記証明書発行要求を前記IPv6ネットワークを介して前記認証局に転送する証明書発行要求転送手段と、によって構成され、
前記端末装置は、
前記回線を通じて接続する前記IPv6ルータから前記回線識別子を受信した時、内部に記憶している端末番号と前記回線識別子を組み合わせて自IPv6アドレスを生成し、内部に設定するアドレス設定手段と、
前記IPv6ルータを介して前記認証局に証明書発行要求を送信する証明書発行要求送信手段と、
前記認証局から前記IPv6ネットワークを介して回線証明書を受信する証明書受信手段と、
受信した前記回線証明書を含むサービス提供要求を前記IPv4ネットワークを介して前記サーバ装置に送信するサービス提供要求送信手段と、によって構成され、
前記認証局は、
前記IPv6ネットワークから前記端末装置が送信した前記証明書発行要求を受信する証明書発行要求受信手段と、
前記証明書発行要求受信手段が前記証明書発行要求を受信した時、前記回線証明書を発行し、前記回線証明書を前記端末装置に前記IPv6ネットワークを介して送信する証明書送信手段と、によって構成され、
前記サーバ装置は、
前記IPv4ネットワークを介して前記端末装置から前記サービス提供要求を受信した時、前記認証局から予め受信した公開鍵を利用して前記サービス提供要求に含まれている前記回線証明書が有効か否かを認証する証明書認証手段と、
前記証明書認証手段によって前記回線証明書が有効であると認証された場合に、前記端末装置に対してサービス提供を開始するサービス提供開始手段と、
によって構成されることを特徴とする通信システム。 - 前記端末装置の前記証明書発行要求送信手段は、
ユーザの指示を受けてユーザ指定有効期間情報を含んだ前記証明書発行要求を前記認証局に送信し、
前記認証局の前記回線証明書送信手段は、
前記証明書発行要求に前記ユーザ指定有効期間情報が含まれている場合は、発行日時に前記ユーザ指定有効期間情報を加えた値を有効期限として設定した前記回線証明書を発行することを特徴とする請求項1に記載の通信システム。 - 前記認証局の前記証明書送信手段は、
前記回線証明書を発行する際に、前記証明書発行要求に含まれている前記ユーザ指定有効期間情報と、前記認証局に予め設定されている認証局指定有効期間情報と、前記サービス提供者が予め前記認証局に通知し前記認証局が記憶しているサービス提供者指定有効期間情報とを比較し、最も短い有効期間情報を発行日時に加えて前記有効期限として設定した前記回線証明書を発行することを特徴とする請求項1または2に記載の通信システム。 - 前記サーバ装置は、
前記サービス提供するサービスに付与されたサービス識別子に対応付けて当該サービスの利用を許可する前記回線識別子を記憶するサービス提供リスト記憶部を備え、
前記認証局の前記証明書送信手段は、
前記証明書を発行する際に、前記証明書発行要求の送信元IPv6アドレスから前記回線識別子を読み出し、前記回線識別子を含む前記回線証明書を発行し、
前記端末装置の前記サービス提供要求送信手段は、
前記ユーザの指示を受けてユーザが提供を受けたいサービスの前記サービス識別子を含む前記サービス提供要求を前記サーバ装置に送信し、
前記サーバ装置の前記サービス提供開始手段は、
前記回線証明書認証手段によって前記回線証明書が有効であると認証された後に、前記サービス提供要求から前記サービス識別子を読み出し、前記サービス提供リスト記憶部から読み出した前記サービス識別子に対応付けられている前記回線識別子を読み出し、前記回線証明書に含まれている前記回線識別子が読み出した前記回線識別子に含まれている場合に、前記端末装置に対して前記サービス識別子に対応するサービス提供を開始することを特徴とする請求項1乃至3のいずれか1つに記載の通信システム。 - IPv6ルータによって構成されるIPv6ネットワークと、前記IPv6ネットワークに接続する認証局と、サービス提供者のサーバ装置が接続するIPv4ネットワークと、前記IPv6ネットワークと前記IPv4ネットワークと接続する端末装置と、を具備した通信システムのサービス提供方法において、
前記IPv6ルータが、収容する回線ごとに予め付与された回線識別子を前記回線に接続している前記端末装置に送信する過程と、
前記端末装置が、前記回線を通じて接続する前記IPv6ルータから前記回線識別子を受信した時、内部に記憶している端末番号と前記回線識別子を組み合わせて自IPv6アドレスを生成し、内部に設定する過程と、
前記端末装置が、前記IPv6ルータを介して前記認証局に証明書発行要求を送信する過程と、
前記IPv6ルータが、前記端末装置から前記証明書発行要求を受信した時、受信した前記証明書発行要求に含まれている前記回線識別子が前記端末装置を収容する前記回線に予め付与された前記回線識別子に一致するか否かを認証する過程と、
前記IPv6ルータが、前記回線識別子が一致すると認証した場合に、前記証明書発行要求を前記IPv6ネットワークを介して前記認証局に転送する過程と、
前記認証局が、前記IPv6ネットワークから前記端末装置が送信した前記証明書発行要求を受信する過程と、
前記認証局が、前記証明書発行要求を受信した時、前記回線証明書を発行し、前記回線証明書を前記端末装置に前記IPv6ネットワークを介して送信する過程と、
前記端末装置が、前記認証局から前記IPv6ネットワークを介して回線証明書を受信する過程と、
前記端末装置が、受信した前記回線証明書を含むサービス提供要求を前記IPv4ネットワークを介して前記サーバ装置に送信する過程と、
前記サーバ装置が、前記IPv4ネットワークを介して前記端末装置から前記サービス提供要求を受信した時、前記認証局から予め受信した公開鍵を利用して前記サービス提供要求に含まれている前記回線証明書が有効か否かを認証する過程と、
前記サーバ装置が、前記回線証明書が有効であると認証した場合に、前記端末装置に対してサービス提供を開始する過程と、
からなることを特徴とするサービス提供方法。 - IPv6ルータによって構成されるIPv6ネットワークと、前記IPv6ネットワークに接続する認証局と、サービス提供者のサーバ装置が接続するIPv4ネットワークと、前記IPv6ネットワークと前記IPv4ネットワークと接続する端末装置と、を具備した通信システムの前記端末装置のコンピュータを、
前記回線を通じて接続する前記IPv6ルータから前記回線識別子を受信した時、内部に記憶している端末番号と前記回線識別子を組み合わせて自IPv6アドレスを生成し、内部に設定するアドレス設定手段、
前記IPv6ルータを介して前記認証局に証明書発行要求を送信する証明書発行要求送信手段、
前記認証局から前記IPv6ネットワークを介して回線証明書を受信する証明書受信手段、
受信した前記回線証明書を含むサービス提供要求を前記IPv4ネットワークを介して前記サーバ装置に送信するサービス提供要求送信手段、
として機能させるためのコンピュータプログラム。 - IPv6ルータによって構成されるIPv6ネットワークと、前記IPv6ネットワークに接続する認証局と、サービス提供者のサーバ装置が接続するIPv4ネットワークと、前記IPv6ネットワークと前記IPv4ネットワークと接続する端末装置と、を具備した通信システムの前記認証局のコンピュータを、
前記IPv6ネットワークから前記端末装置が送信した前記証明書発行要求を受信する証明書発行要求受信手段、
前記証明書発行要求受信手段が前記証明書発行要求を受信した時、前記回線証明書を発行し、前記回線証明書を前記端末装置に前記IPv6ネットワークを介して送信する証明書送信手段、
として機能させるためのコンピュータプログラム。 - IPv6ルータによって構成されるIPv6ネットワークと、前記IPv6ネットワークに接続する認証局と、サービス提供者のサーバ装置が接続するIPv4ネットワークと、前記IPv6ネットワークと前記IPv4ネットワークと接続する端末装置と、を具備した通信システムの前記サーバ装置のコンピュータを、
前記IPv4ネットワークを介して前記端末装置から前記サービス提供要求を受信した時、前記認証局から予め受信した公開鍵を利用して前記サービス提供要求に含まれている前記回線証明書が有効か否かを認証する証明書認証手段、
前記証明書認証手段によって前記回線証明書が有効であると認証された場合に、前記端末装置に対してサービス提供を開始するサービス提供開始手段、
として機能させるためのコンピュータプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004199343A JP4409377B2 (ja) | 2004-07-06 | 2004-07-06 | 通信システム及びサービス提供方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004199343A JP4409377B2 (ja) | 2004-07-06 | 2004-07-06 | 通信システム及びサービス提供方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006025010A true JP2006025010A (ja) | 2006-01-26 |
| JP4409377B2 JP4409377B2 (ja) | 2010-02-03 |
Family
ID=35797995
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004199343A Expired - Lifetime JP4409377B2 (ja) | 2004-07-06 | 2004-07-06 | 通信システム及びサービス提供方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4409377B2 (ja) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008042819A (ja) * | 2006-08-10 | 2008-02-21 | Nippon Telegr & Teleph Corp <Ntt> | 利用者回線認証システム、利用者回線認証方法および利用者回線認証プログラム |
| WO2008096825A1 (ja) | 2007-02-07 | 2008-08-14 | Nippon Telegraph And Telephone Corporation | 証明書認証方法、証明書発行装置及び認証装置 |
| WO2008155888A1 (ja) * | 2007-06-20 | 2008-12-24 | Panasonic Corporation | プレフィックス情報確認装置及び通信装置 |
| WO2009004687A1 (ja) * | 2007-06-29 | 2009-01-08 | Fujitsu Limited | 認証装置および接続管理装置 |
| JP2009130545A (ja) * | 2007-11-21 | 2009-06-11 | Nippon Telegr & Teleph Corp <Ntt> | サービス提供システムおよびサービス提供方法 |
| JP2010268084A (ja) * | 2009-05-12 | 2010-11-25 | Nippon Telegr & Teleph Corp <Ntt> | ユーザ認証システム、プロキシ装置、ユーザ認証方法およびプログラム |
| JP2012073754A (ja) * | 2010-09-28 | 2012-04-12 | Nippon Telegr & Teleph Corp <Ntt> | 認証システムおよび認証方法 |
| KR101330958B1 (ko) | 2006-09-20 | 2013-11-18 | 엘지전자 주식회사 | 이동통신 단말기의 인증서 발급 및 관리 방법 |
| JP2018101216A (ja) * | 2016-12-19 | 2018-06-28 | Kddi株式会社 | サービス予約管理システム、サービス管理サーバ、サービス提供クライアント、サービス予約管理方法、及び、コンピュータプログラム |
-
2004
- 2004-07-06 JP JP2004199343A patent/JP4409377B2/ja not_active Expired - Lifetime
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008042819A (ja) * | 2006-08-10 | 2008-02-21 | Nippon Telegr & Teleph Corp <Ntt> | 利用者回線認証システム、利用者回線認証方法および利用者回線認証プログラム |
| JP4611946B2 (ja) * | 2006-08-10 | 2011-01-12 | 日本電信電話株式会社 | 利用者回線認証システム、利用者回線認証方法および利用者回線認証プログラム |
| KR101330958B1 (ko) | 2006-09-20 | 2013-11-18 | 엘지전자 주식회사 | 이동통신 단말기의 인증서 발급 및 관리 방법 |
| JP4892008B2 (ja) * | 2007-02-07 | 2012-03-07 | 日本電信電話株式会社 | 証明書認証方法、証明書発行装置及び認証装置 |
| WO2008096825A1 (ja) | 2007-02-07 | 2008-08-14 | Nippon Telegraph And Telephone Corporation | 証明書認証方法、証明書発行装置及び認証装置 |
| US8775796B2 (en) | 2007-02-07 | 2014-07-08 | Nippon Telegraph And Telephone Corporation | Certificate authenticating method, certificate issuing device, and authentication device |
| US20110185171A1 (en) * | 2007-02-07 | 2011-07-28 | Nippon Telegraph And Telephone Corp. | Certificate authenticating method, certificate issuing device, and authentication device |
| WO2008155888A1 (ja) * | 2007-06-20 | 2008-12-24 | Panasonic Corporation | プレフィックス情報確認装置及び通信装置 |
| JPWO2008155888A1 (ja) * | 2007-06-20 | 2010-08-26 | パナソニック株式会社 | プレフィックス情報確認装置及び通信装置 |
| WO2009004687A1 (ja) * | 2007-06-29 | 2009-01-08 | Fujitsu Limited | 認証装置および接続管理装置 |
| JP2009130545A (ja) * | 2007-11-21 | 2009-06-11 | Nippon Telegr & Teleph Corp <Ntt> | サービス提供システムおよびサービス提供方法 |
| JP2010268084A (ja) * | 2009-05-12 | 2010-11-25 | Nippon Telegr & Teleph Corp <Ntt> | ユーザ認証システム、プロキシ装置、ユーザ認証方法およびプログラム |
| JP2012073754A (ja) * | 2010-09-28 | 2012-04-12 | Nippon Telegr & Teleph Corp <Ntt> | 認証システムおよび認証方法 |
| JP2018101216A (ja) * | 2016-12-19 | 2018-06-28 | Kddi株式会社 | サービス予約管理システム、サービス管理サーバ、サービス提供クライアント、サービス予約管理方法、及び、コンピュータプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4409377B2 (ja) | 2010-02-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10567370B2 (en) | Certificate authority | |
| US7680878B2 (en) | Apparatus, method and computer software products for controlling a home terminal | |
| EP1643691B1 (en) | Remote access vpn mediation method and mediation device | |
| CN101160924B (zh) | 在通信系统中分发证书的方法 | |
| US7392393B2 (en) | Content distribution system | |
| US20070254630A1 (en) | Methods, devices and modules for secure remote access to home networks | |
| CN108512862A (zh) | 基于无证书标识认证技术的物联网终端安全认证管控平台 | |
| CN103067337B (zh) | 一种身份联合的方法、IdP、SP及系统 | |
| JP2003296281A (ja) | アクセス制御方法及びシステム | |
| CN102624744B (zh) | 网络设备的认证方法、装置、系统和网络设备 | |
| JP4987820B2 (ja) | 認証システム、接続制御装置、認証装置および転送装置 | |
| JP4709470B2 (ja) | インターネットユーザの識別方法およびインターネットアクセスポイント装置 | |
| JP4409377B2 (ja) | 通信システム及びサービス提供方法 | |
| JP5495194B2 (ja) | アカウント発行システム、アカウントサーバ、サービスサーバおよびアカウント発行方法 | |
| CN112132581B (zh) | 基于iota的pki身份认证系统及方法 | |
| TW200534653A (en) | Communication system using TCP/IP protocols | |
| JP2007334753A (ja) | アクセス管理システムおよび方法 | |
| JPH11331181A (ja) | ネットワーク端末認証装置 | |
| JP5388088B2 (ja) | 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。 | |
| JP2007181123A (ja) | デジタル証明書交換方法、端末装置、及びプログラム | |
| JP5282795B2 (ja) | 情報通信システム、情報処理方法、ノード装置及びプログラム | |
| JP6813030B2 (ja) | 通信システム | |
| JP2006229265A (ja) | ゲートウェイシステム | |
| CN118283781A (zh) | LoRa网关的注册方法、装置及LoRa网关 | |
| JP2006319410A (ja) | ユーザ情報管理方法およびシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070307 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090225 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090407 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090526 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091104 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091111 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4409377 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121120 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131120 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |