ホーム > 特許ランキング > コネクトフリー株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022184954
(43)【公開日】2022-12-13
(54)【発明の名称】ネットワークシステム
(51)【国際特許分類】
H04L 61/5007 20220101AFI20221206BHJP
H04L 12/22 20060101ALI20221206BHJP
G06F 21/44 20130101ALI20221206BHJP
【FI】
H04L61/5007
H04L12/22
G06F21/44
【審査請求】有
【請求項の数】4
【出願形態】OL
(21)【出願番号】P 2022147202
(22)【出願日】2022-09-15
(62)【分割の表示】P 2018018928の分割
【原出願日】2018-02-06
(31)【優先権主張番号】P 2017112589
(32)【優先日】2017-06-07
(33)【優先権主張国・地域又は機関】JP
(71)【出願人】
【識別番号】514318600
【氏名又は名称】コネクトフリー株式会社
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】帝都 久利寿
(57)【要約】
【課題】デバイスや当該デバイスを使用するユーザに応じたサービスを提供するにあたって、特別なアプリケーションなどが不要となり、かつ、追加の認証手続も不要であるため、サービス提供に係るレスポンス時間などを短縮できる構成を提供する。
【解決手段】ネットワークシステムは、少なくとも1つのサーバ装置と、少なくとも1つのサーバ装置のいずれかにアクセス可能な少なくとも1つの端末装置とを含む。端末装置は、少なくとも1つのサーバ装置のいずれかとの間で、ネットワークアドレスを認証した上で、データ通信するように構成されている。サーバ装置は、端末装置からの要求を受けると、当該要求元の端末装置が有している認証されたネットワークアドレスに応じたサービスを提供する。
【選択図】図1
【解決手段】ネットワークシステムは、少なくとも1つのサーバ装置と、少なくとも1つのサーバ装置のいずれかにアクセス可能な少なくとも1つの端末装置とを含む。端末装置は、少なくとも1つのサーバ装置のいずれかとの間で、ネットワークアドレスを認証した上で、データ通信するように構成されている。サーバ装置は、端末装置からの要求を受けると、当該要求元の端末装置が有している認証されたネットワークアドレスに応じたサービスを提供する。
【選択図】図1
【特許請求の範囲】
【請求項1】
少なくとも1つのサーバ装置と、
前記少なくとも1つのサーバ装置のいずれかにアクセス可能な少なくとも1つの端末装置とを備え、
前記端末装置は、前記少なくとも1つのサーバ装置のいずれかとの間で、ネットワークアドレスを認証した上で、データ通信するように構成されており、
前記サーバ装置は、前記端末装置からの要求を受けると、当該要求元の端末装置が有している認証されたネットワークアドレスに応じたサービスを提供する、ネットワークシステム。
前記少なくとも1つのサーバ装置のいずれかにアクセス可能な少なくとも1つの端末装置とを備え、
前記端末装置は、前記少なくとも1つのサーバ装置のいずれかとの間で、ネットワークアドレスを認証した上で、データ通信するように構成されており、
前記サーバ装置は、前記端末装置からの要求を受けると、当該要求元の端末装置が有している認証されたネットワークアドレスに応じたサービスを提供する、ネットワークシステム。
【請求項2】
前記サーバ装置は、アプリケーション層での認証処理を行なうことなく、前記端末装置との間のネットワーク層での遣り取りにおいて利用されるネットワークアドレスのみを用いて、前記要求元の端末装置を特定する、請求項1に記載のネットワークシステム。
【請求項3】
前記端末装置は、データリンク層を担当する第1の通信プログラムと、トランスポート層およびネットワーク層を担当する第2の通信プログラムと、前記第1の通信プログラムと前記第2の通信プログラムとの間に接続されるアドレス認証プログラムとを含み、
前記アドレス認証プログラムは、前記第2の通信プログラムが要求するデータ伝送に用いられるネットワークアドレスを通信先のデバイスとの間で認証する、請求項1または2に記載のネットワークシステム。
前記アドレス認証プログラムは、前記第2の通信プログラムが要求するデータ伝送に用いられるネットワークアドレスを通信先のデバイスとの間で認証する、請求項1または2に記載のネットワークシステム。
【請求項4】
前記端末装置は、通信機能を提供する通信機能モジュールと、前記認証されたネットワークアドレスがハードコードされた半導体装置とを含み、
前記半導体装置は、前記通信機能モジュールを利用して通信先のデバイスとの間でネットワークアドレスを認証する、請求項1または2に記載のネットワークシステム。
前記半導体装置は、前記通信機能モジュールを利用して通信先のデバイスとの間でネットワークアドレスを認証する、請求項1または2に記載のネットワークシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークアドレス自体の認証という新たなコンセプトを用いたネットワークシステムに関する。
【背景技術】
【0002】
近年の情報通信技術(Information and Communication Technology:ICT)の進歩は目覚ましく、インターネットなどのネットワークに接続されるデバイスは、従来のパーソナルコンピュータやスマートフォンといった情報処理装置に限らず、様々なモノ(things)に広がっている。このような技術トレンドは、「IoT(Internet of Things;モノのインターネット)」と称され、様々な技術およびサービスが提案および実用化されつつある。将来的には、地球上の数十億人と数百億または数兆のデバイスとが同時につながる世界が想定されている。このようなネットワーク化された世界を実現するためには、よりシンプル、より安全、より自由につながることができるソリューションを提供する必要がある。
【0003】
通常、ネットワーク上では、各デバイスに静的または動的に割り当てられたネットワークアドレスを用いて、デバイス間のデータ通信が実現される。このようなネットワークアドレスとしては、典型的には、IP(Internet Protocol)アドレスが用いられる。
【0004】
一般的に、IPアドレスは、グローバルアドレスのように、インターネット上で一意に定められるものと、プライベートアドレスのように、プライベートネットワーク上において重複なく割り当てられるものとがある。また、DHCP(Dynamic Host Configuration
Protocol)などを用いて、IPアドレスを動的に割り当てるような仕組みも存在する。
Protocol)などを用いて、IPアドレスを動的に割り当てるような仕組みも存在する。
【0005】
このように、IPアドレスの設定は、データ通信のために、同一ネットワーク上において重複なく割り当てられることのみが考慮される。つまり、IPアドレスは、対象のネットワークに応じて、任意に設定されるネットワークアドレスである。
【0006】
例えば、特開2017-059868号公報(特許文献1)は、IPアドレスの設定工数を低減させる構成を開示する。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2017-059868号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
上述したように、これまでのネットワークアドレスは、通信先を特定するための識別情報ではあったものの、そのアドレス自体には何の信頼性も付与されていなかった。そのため、IPアドレスを用いてデバイス間でデータ通信するものの、認証処理などについては、より上位の層(例えば、アプリケーション層など)で実現されていた。
【0009】
そのため、各種の認証処理を必要とするサービスを提供するためには、当該サービスの基盤になる認証処理を実現するためのアプリケーションなどを事前に、あるいは、その都度提供しなければならず、普及の妨げになっていた。
【0010】
本発明は、上述のような課題に対する解決策を提供する。
【課題を解決するための手段】
【0011】
本発明のある局面に従うネットワークシステムは、少なくとも1つのサーバ装置と、少なくとも1つのサーバ装置のいずれかにアクセス可能な少なくとも1つの端末装置とを含む。端末装置は、少なくとも1つのサーバ装置のいずれかとの間で、ネットワークアドレスを認証した上で、データ通信するように構成されている。サーバ装置は、端末装置からの要求を受けると、当該要求元の端末装置が有している認証されたネットワークアドレスに応じたサービスを提供する。
【0012】
好ましくは、サーバ装置は、アプリケーション層での認証処理を行なうことなく、端末装置との間のネットワーク層での遣り取りにおいて利用されるネットワークアドレスのみを用いて、要求元の端末装置を特定する。
【0013】
好ましくは、端末装置は、データリンク層を担当する第1の通信プログラムと、トランスポート層およびネットワーク層を担当する第2の通信プログラムと、第1の通信プログラムと第2の通信プログラムとの間に接続されるアドレス認証プログラムとを含む。アドレス認証プログラムは、第2の通信プログラムが要求するデータ伝送に用いられるネットワークアドレスを通信先のデバイスとの間で認証する。
【0014】
好ましくは、端末装置は、通信機能を提供する通信機能モジュールと、認証されたネットワークアドレスがハードコードされた半導体装置とを含む。半導体装置は、通信機能モジュールを利用して通信先のデバイスとの間でネットワークアドレスを認証する。
【発明の効果】
【0015】
本発明のある形態によれば、デバイスや当該デバイスを使用するユーザに応じたサービスを提供するにあたって、特別なアプリケーションなどが不要となり、かつ、追加の認証手続も不要であるため、サービス提供に係るレスポンス時間などを短縮できる。
【図面の簡単な説明】
【0016】
【図1】本実施の形態に従うネットワークシステムの全体構成の一例を示す模式図である。
【図2】本実施の形態に従う端末装置の装置構成の一例を示す模式図である。
【図3】本実施の形態に従う端末装置の装置構成の一例を示す模式図である。
【図4】本実施の形態に従う端末装置の装置構成の別の一例を示す模式図である。
【図5】本実施の形態に従うネットワークシステムにおけるデバイス間の遣り取りを説明するための模式図である。
【図6】本実施の形態に従うネットワークシステムにおけるサーバ提供に係る処理手順の一例を示すシーケンス図である。
【図7】本実施の形態に従うネットワークシステムを利用したサービス提供のアプリケーション例を説明するための図である。
【図8】本実施の形態に従うネットワークシステムを利用したサービス提供の別のアプリケーション例を説明するための図である。
【図9】本実施の形態に従うネットワークシステムを利用したネットワークアドレスのフィルタリング例を説明するための図である。
【発明を実施するための形態】
【0017】
本発明の実施の形態について、図面を参照しながら詳細に説明する。なお、図中の同一または相当部分については、同一符号を付してその説明は繰返さない。
【0018】
<A.概要>
本実施の形態によれば、認証されたネットワークアドレスを用いたサービスおよびそのサービスを提供するための基盤が提供される。すなわち、従来のネットワークにおいては、ネットワークアドレス自体を認証するという技術思想は存在しておらず、主として、ネットワークアドレスは通信接続を確立するためにのみ用いられるものであった。その上で、認証するためのアプリケーションを用いて、認証手続を行なうことが通常であった。これに対して、本実施の形態においては、ネットワークアドレス自体が認証されているため、通信接続の確立自体が認証手続を兼ねることになり、アプリケーションを用いた追加の認証手続などは不要となる。
本実施の形態によれば、認証されたネットワークアドレスを用いたサービスおよびそのサービスを提供するための基盤が提供される。すなわち、従来のネットワークにおいては、ネットワークアドレス自体を認証するという技術思想は存在しておらず、主として、ネットワークアドレスは通信接続を確立するためにのみ用いられるものであった。その上で、認証するためのアプリケーションを用いて、認証手続を行なうことが通常であった。これに対して、本実施の形態においては、ネットワークアドレス自体が認証されているため、通信接続の確立自体が認証手続を兼ねることになり、アプリケーションを用いた追加の認証手続などは不要となる。
【0019】
そのため、デバイスや当該デバイスを使用するユーザに応じたサービスを提供するにあたって、特別なアプリケーションなどが不要となり、かつ、追加の認証手続も不要であるため、サービス提供に係るレスポンス時間などを短縮できる。
【0020】
本明細書において、「ネットワークアドレス」とは、何らかのネットワーク上においてデバイスをユニークに特定するための識別情報を意味し、一般的には、文字、数字、記号などの組合せにより構成される文字列からなる。ネットワークアドレスの典型例として、IP(Internet Protocol)アドレスが想定されるが、MAC(Media Access Control address)といったより下位層のアドレスであってもよいし、DNS(Domain Name System
)によって管理されるホスト名やURL(Uniform Resource Locator)といったより上位層のアドレスであってもよい。また、ネットワークとしても、グローバルネットワークおよびプライベートネットワークといった相違にかかわらず、また、用いられるプロトコルも任意に選択できる。ネットワークアドレスとしては、採用されるプロトコルに固有のものを採用してもよい。
)によって管理されるホスト名やURL(Uniform Resource Locator)といったより上位層のアドレスであってもよい。また、ネットワークとしても、グローバルネットワークおよびプライベートネットワークといった相違にかかわらず、また、用いられるプロトコルも任意に選択できる。ネットワークアドレスとしては、採用されるプロトコルに固有のものを採用してもよい。
【0021】
典型例としてIPアドレスが採用される場合には、バージョンによって、規定されるビット数が異なっている。現在制定されているIPv4(Internet Protocol Version 4)
においては、32ビットのアドレス区間が規定されており、現在制定されているIPv6(Internet Protocol Version 6)においては、128ビットのアドレス区間が規定されている。本実施の形態においては、ネットワークアドレスとして、IPv6に従うIPアドレスを主として説明する。
においては、32ビットのアドレス区間が規定されており、現在制定されているIPv6(Internet Protocol Version 6)においては、128ビットのアドレス区間が規定されている。本実施の形態においては、ネットワークアドレスとして、IPv6に従うIPアドレスを主として説明する。
【0022】
本明細書において、「認証されたネットワークアドレス」とは、通信先あるいは第三者に対して、各デバイスに割り当てられているネットワークアドレスの真正性(authenticity)が保証されている状態を意味する。すなわち、後述するような仕組みを採用することで、各デバイスがデータ通信に利用するネットワークアドレスが偽装されていなことを保証できる状態を意味する。
【0023】
本明細書において、「デバイス」とは、ネットワークを介してデータ通信が可能な任意のモノを包含する。典型的には、デバイスは、通信装置単体として構成されることもあるし、何らかのモノの一部として、あるいは、何らかのモノに組み込まれて構成されることもある。
【0024】
<B.ネットワークシステムの全体構成>
まず、本実施の形態に従うネットワークシステム1の全体構成について説明する。
まず、本実施の形態に従うネットワークシステム1の全体構成について説明する。
【0025】
図1は、本実施の形態に従うネットワークシステム1の全体構成の一例を示す模式図である。図1を参照して、インターネットなどのネットワーク2には、デバイスの一例である端末装置100-1,100-2,100-3,・・・(以下、「端末装置100」と総称することもある。)と、デバイスの別の一例であるサーバ装置200-1,200-2,200-3,・・・(以下、「サーバ装置200」と総称することもある。)とが接
続されているとする。
続されているとする。
【0026】
端末装置100-1は、例えば、スマートフォンや携帯電話などを想定しており、移動体通信事業者が配置する基地局6などを介してネットワーク2に接続される。また、端末装置100-2は、例えば、タブレットなどを想定しており、端末装置100-3は、例えば、ラップトップ型のパーソナルコンピュータなどを想定している。端末装置100-2および100-3は、例えば、アクセスポイント4を介してネットワーク2に接続される。
【0027】
サーバ装置200-1,200-2,200-3,・・・の各々は、任意のサービスを提供するデバイスである。サーバ装置200の各々は、いずれかの端末装置100からのアクセスを受けて、要求されたサービスを提供する。
【0028】
このように、ネットワークシステム1は、少なくとも1つのサーバ装置200(第2のデバイス)と、少なくとも1つのサーバ装置200のいずれかにアクセス可能な少なくとも1つの端末装置100(第1のデバイス)とを含む。
【0029】
本実施の形態に従うネットワークシステム1において、サーバ装置200は、アクセス元の端末装置100についての認証されたネットワークアドレスを取得できる。同様に、端末装置100は、アクセス先のサーバ装置200についての認証されたネットワークアドレスを取得できる。
【0030】
端末装置100とサーバ装置200との間では、互いにネットワークアドレスを認証する処理が実行され、そのネットワークアドレスの認証が成功したことをもって、データ通信を開始する。すなわち、端末装置100は、少なくとも1つのサーバ装置のいずれかとの間で、ネットワークアドレスを認証した上で、データ通信するように構成されている。このようなデータ通信を行なうための構成を採用することで、端末装置100およびサーバ装置200は、互いに通信先の認証されたネットワークアドレスを取得できる。
【0031】
例えば、サーバ装置200は、端末装置100からの要求を受けると、当該要求元の端末装置100の認証されたネットワークアドレスに応じたサービスを提供する。すなわち、サーバ装置200は、取得した認証されたネットワークアドレスに応じたサービスを要求元の端末装置100へ提供することができる。ネットワークアドレスに応じたサービスの一例については、後述する。また、端末装置100についても、サーバ装置200の認証されたネットワークアドレスを取得できるので、通信先のサーバ装置200に応じた固有の指令を送信することもできる。
【0032】
このように、本実施の形態に従うネットワークシステム1においては、端末装置100の各々についての認証されたネットワークアドレスを取得できるので、認証処理を実現するためのアプリケーションなどを必要とすることなく、端末装置100の各々に固有のサービスを提供できる。また、端末装置100とサーバ装置200といった、デバイス間でデータ通信を行なうことが、認証されたネットワークアドレスの取得を意味するので、端末装置100に固有のサービスを提供するのに要する時間などもごく短いものとなり、アプリケーションを利用して認証処理を行なう構成に比較して、サービス提供に要する待ち時間などを短縮できる。
【0033】
<C.ネットワークアドレスの認証を実現するためのデバイスの装置構成>
次に、本実施の形態に従うネットワークシステム1に用いられる、ネットワークアドレスの認証を実現するためのデバイスの装置構成例について説明する。ネットワークアドレスの認証を実現するためには、例えば、ハードウェア実装およびソフトウェア実装が想定
される。以下、それぞれの実装形態の一例について説明する。
次に、本実施の形態に従うネットワークシステム1に用いられる、ネットワークアドレスの認証を実現するためのデバイスの装置構成例について説明する。ネットワークアドレスの認証を実現するためには、例えば、ハードウェア実装およびソフトウェア実装が想定
される。以下、それぞれの実装形態の一例について説明する。
【0034】
(c1:ハードウェア実装)
図2は、本実施の形態に従う端末装置100Aの装置構成の一例を示す模式図である。図2を参照して、端末装置100Aは、プロセッサ102と、主メモリ104と、ディスプレイ106と、入力部108と、通信モジュール110と、二次記憶装置130とを含む。
図2は、本実施の形態に従う端末装置100Aの装置構成の一例を示す模式図である。図2を参照して、端末装置100Aは、プロセッサ102と、主メモリ104と、ディスプレイ106と、入力部108と、通信モジュール110と、二次記憶装置130とを含む。
【0035】
プロセッサ102は、端末装置100Aにおける各種処理を実行する処理主体である。プロセッサ102は、二次記憶装置130に格納されているプログラムや各種命令などを主メモリ104に展開して実行する。
【0036】
主メモリ104は、DRAM(Dynamic Random Access Memory)やSRAM(Static Random Access Memory)などの揮発性記憶装置である。二次記憶装置130は、フラッシ
ュメモリやハードディスクなどの不揮発性記憶装置である。二次記憶装置130には、OS(Operating System)132および1または複数の任意のアプリケーション134が格納される。
ュメモリやハードディスクなどの不揮発性記憶装置である。二次記憶装置130には、OS(Operating System)132および1または複数の任意のアプリケーション134が格納される。
【0037】
ディスプレイ106は、プロセッサ102での処理結果などを外部へ提示するためのコンポーネントであり、例えば、LCD(Liquid Crystal Display)や有機EL(Electro-Luminescence)ディスプレイなどからなる。
【0038】
入力部108は、ユーザからの操作を受付けるためのコンポーネントであり、例えば、キーボード、タッチパネル、マウスなどの任意の入力装置からなる。
【0039】
通信モジュール110は、認証されたネットワークアドレスを提供するための主要なコンポーネントであり、アドレス認証チップ112と、WiFiモジュール114と、LTEモジュール118とを含む。
【0040】
アドレス認証チップ112は、認証されたネットワークアドレスおよび認証に必要な情報がハードコードされた半導体装置であり、WiFiモジュール114および/またはLTEモジュール118を利用して他のデバイスとデータ通信する際に、ネットワークアドレスを認証する。
【0041】
より具体的には、アドレス認証チップ112は、WiFiモジュール114またはLTEモジュール118を用いたデータ通信において、予め付与された認証されたネットワークアドレスを他のデバイスとの間で互いに認証する処理を実行する。このように、アドレス認証チップ112は、通信機能モジュール(WiFiモジュール114および/またはLTEモジュール118)を利用して通信先のデバイスとの間でネットワークアドレスを認証する。アドレス認証チップ112については、耐タンパ性を有する回路構成を採用することが好ましい。
【0042】
WiFiモジュール114および/またはLTEモジュール118は、OSI(Open Systems Interconnection)参照モデルの物理層およびデータリンク層の機能を提供する。WiFiモジュール114は、アンテナ116と接続されて、無線LAN(Local Area Network)やWiMAXなどの無線アクセス方式に従う無線通信機能を提供する。LTEモジュール118は、アンテナ120と接続されて、LTE(Long Term Evolution)、W
-CDMA(Wideband Code Division Multiple Access)、CDMA2000などの無線アクセス方式に従う無線通信機能を提供する。
-CDMA(Wideband Code Division Multiple Access)、CDMA2000などの無線アクセス方式に従う無線通信機能を提供する。
【0043】
なお、説明の便宜上、WiFiモジュール114および/またはLTEモジュール118を含む通信モジュール110を例示するが、必ずしも両モジュールを含む必要はなく、いずれか一方のモジュールだけを搭載するものであってもよいし、他の通信機能を提供する1または複数のモジュールを搭載するような構成であってもよい。この場合、通信機能としては、無線通信機能に限らず、有線通信機能であってもよい。
【0044】
このように、通信モジュール110は、通信機能を提供する通信機能モジュール(WiFiモジュール114および/またはLTEモジュール118)と、認証されたネットワークアドレスがハードコードされた半導体装置(アドレス認証チップ112)とを含む。
【0045】
以上のようなハードウェア実装を採用することで、端末装置100Aにおいて、認証されたネットワークアドレスの提供および取得を実現できる。
【0046】
(c2:ソフトウェア実装)
図3は、本実施の形態に従う端末装置100Bの装置構成の一例を示す模式図である。図3(A)を参照して、端末装置100Bは、プロセッサ102と、主メモリ104と、ディスプレイ106と、入力部108と、二次記憶装置130と、WiFiモジュール144と、LTEモジュール148とを含む。
図3は、本実施の形態に従う端末装置100Bの装置構成の一例を示す模式図である。図3(A)を参照して、端末装置100Bは、プロセッサ102と、主メモリ104と、ディスプレイ106と、入力部108と、二次記憶装置130と、WiFiモジュール144と、LTEモジュール148とを含む。
【0047】
プロセッサ102は、端末装置100Bにおける各種処理を実行する処理主体である。プロセッサ102は、二次記憶装置130に格納されているプログラムや各種命令などを主メモリ104に展開して実行する。二次記憶装置130には、OS132および1または複数の任意のアプリケーション134に加えて、アドレス認証プログラム136および認証管理情報138が格納されている。
【0048】
WiFiモジュール144および/またはLTEモジュール148は、OSI参照モデルの物理層およびデータリンク層の機能を提供する。WiFiモジュール144は、アンテナ146と接続されて、無線LANやWiMAXなどの無線アクセス方式に従う無線通信機能を提供する。LTEモジュール148は、アンテナ150と接続されて、LTE、W-CDMA、CDMA2000などの無線アクセス方式に従う無線通信機能を提供する。
【0049】
なお、説明の便宜上、WiFiモジュール144および/またはLTEモジュール148を含む構成を例示するが、必ずしも両モジュールを含む必要はなく、いずれか一方のモジュールだけを搭載するものであってもよいし、他の通信機能を提供する1または複数のモジュールを搭載するような構成であってもよい。この場合、通信機能としては、無線通信機能に限らず、有線通信機能であってもよい。
【0050】
端末装置100Bにおいては、アドレス認証プログラム136が実行されることで、認証されたネットワークアドレスの提供を実現する。以下、認証されたネットワークアドレスを提供するためのソフトウェア構成について例示する。
【0051】
図3(B)には、端末装置100Bにおけるデータ通信に係る処理を説明するための模式図を示す。図3(B)に示すように、物理層の機能を提供するWiFiモジュール114および/またはLTEモジュール118は、データリンクドライバ1322(OS132の一部の機能)によって、現実の信号(データ)の遣り取りを実現する。
【0052】
Webブラウザなどのアプリケーション134は、データ通信のために、TCP/IPソケット1324を利用する。TCP/IPソケット1324は、OS132の一部の機能として提供されてもよい。なお、図3(B)には、一例として、TCP/IPソケット
1324を例示するが、例えば、UDP/IPソケットを採用してもよい。
1324を例示するが、例えば、UDP/IPソケットを採用してもよい。
【0053】
通常、TCP/IPソケット1324は、データリンクドライバ1322と内部的にデータを遣り取りすることで、他のデバイスへのデータ送信および他のデバイスからのデータ受信を実現する。
【0054】
これに対して、本実施の形態に従う端末装置100Bにおいては、TCP/IPソケット1324とデータリンクドライバ1322との間に、アドレス認証プログラム136が配置されている。アドレス認証プログラム136は、特定のセッションにおいて、通信先のデバイスとの間で各デバイスに割り当てられているネットワークアドレスを互いに認証し、認証が成功した場合に限って、当該特定のセッションを用いて、データを送受信する。このような仕組みを採用することで、アプリケーション134から見た場合に、アドレス認証プログラム136の存在を意識することなく、透過性を維持できる。すなわち、アプリケーション134は、必要なデータを含むパケットを送信すればよく、また、いずれかのデバイスから受信したパケットのヘッダに含まれるネットワークアドレスをそのまま信頼して用いることができる。
【0055】
アドレス認証プログラム136は、予めセキュアな態様で用意された認証管理情報138に格納される情報に基づいて、他のデバイスとの間で、互いにネットワークアドレスを認証する。認証管理情報138は、各デバイスに割り当てられたネットワークアドレスに加えて、当該ネットワークアドレスが正当なものである(すなわち、認証されたものである)ことを確実にするためのコードを含む。アドレス認証プログラム136は、認証管理情報138に規定されたネットワークアドレスとともに、認証管理情報138に含まれる付加情報を通信先へ送信することで、互いにネットワークアドレスを認証する。
【0056】
なお、データ通信を行なう通信先のデバイスに限らず、外部の認証サーバ装置などとの間でネットワークアドレスを認証するようにしてもよい。
【0057】
このように、端末装置100Bは、データリンク層を担当する通信プログラム(データリンクドライバ1322)と、トランスポート層およびネットワーク層を担当する通信プログラム(TCP/IPソケット1324)と、データリンクドライバ1322とTCP/IPソケット1324との間に接続されるアドレス認証プログラム136とを含む。
【0058】
なお、図3には、TCP/IPソケット1324とデータリンクドライバ1322との間の層間にアドレス認証プログラム136を論理的に配置した構成を示したが、これに限らず、アドレス認証プログラム136が通信先とネットワークアドレスを互いに認証できる構成であれば、どのような実装形態であってもよい。
【0059】
例えば、TCP/IPソケット1324とアドレス認証プログラム136とが論理的に並列的に配置されており、アドレス認証プログラム136が通信先のデバイスとの間で認証したネットワークアドレスでなければ、TCP/IPソケット1324がパケットの送受信を開始しないようにしてもよい。この場合、アドレス認証プログラム136がネットワークアドレスを認証すると、その後は、TCP/IPソケット1324とデータリンクドライバ1322との間でデータの遣り取りが続行され、アドレス認証プログラム136は内部的なデータ転送には関与しなくてもよい。
【0060】
端末装置100Bのコンポーネントのうち、対応するコンポーネントは端末装置100Aと同様であるので、詳細な説明は繰返さない。
【0061】
以上のようなソフトウェア実装を採用することで、端末装置100Bに対して、認証さ
れたネットワークアドレスを付与することができる。
れたネットワークアドレスを付与することができる。
【0062】
(c3:ソフトウェア実装の別形態)
図3(B)に示すデータ通信に係る機能構成に限定されることなく別の実装形態を採用してもよい。図4は、本実施の形態に従う端末装置の装置構成の別の一例を示す模式図である。
図3(B)に示すデータ通信に係る機能構成に限定されることなく別の実装形態を採用してもよい。図4は、本実施の形態に従う端末装置の装置構成の別の一例を示す模式図である。
【0063】
図4(A)に示す実装例において、一般的なレイヤ構造、すなわち、物理層およびデータリンク層(WiFiモジュール144および/またはLTEモジュール148)の上層には、データリンクドライバ1322およびTCP/IPソケット1324が順に配置される。任意のアプリケーション134は、データ通信のために、TCP/IPソケット1324を利用する。
【0064】
図4(A)に示す実装例においては、TCP/IPソケット1324が通信先のノードとの間でデータを遣り取りの開始時または実行中に、アドレス認証プログラム136に対して、通信先の認証などを依頼する。アドレス認証プログラム136は、上述したような認証処理を実施することで、通信先が信頼できるノードであるか、あるいは、通信先と遣り取りされるデータに改ざんなどがないかを認証し、その結果を、TCP/IPソケット1324へ応答する。TCP/IPソケット1324は、認証結果などをアプリケーション134へ送信する。アドレス認証プログラム136の基本的な処理は、上述の図3(B)に示すアドレス認証プログラム136と同様である。
【0065】
図4(A)に示すような実装形態においては、TCP/IPソケット1324がアドレス認証プログラム136に依頼して必要な認証処理を実行するので、アプリケーション134から見ると、通常の通信と同じインターフェイスで、認証されたネットワークアドレスを有する通信先とセキュアな通信ができる。
【0066】
図4(B)に示す実装例においては、一般的なレイヤ構造、すなわち、物理層およびデータリンク層(WiFiモジュール144および/またはLTEモジュール148)の上層には、データリンクドライバ1322およびTCP/IPソケット1324が順に配置される。任意のアプリケーション134は、データ通信のために、TCP/IPソケット1324を利用するとともに、アドレス認証プログラム136との間でも必要な認証に係る遣り取りを実施する。
【0067】
図4(B)に示す実装例においては、アプリケーション134が通信先のノードとの間でデータを遣り取りの開始時または実行中に、アドレス認証プログラム136に対して、通信先の認証などを依頼する。アドレス認証プログラム136は、TCP/IPソケット1324との間でデータを遣り取りするとともに、上述したような認証処理を実施することで、通信先が信頼できるノードであるか、あるいは、通信先と遣り取りされるデータに改ざんなどがないかを認証する。そして、アドレス認証プログラム136は、認証結果を、アプリケーション134へ応答する。アドレス認証プログラム136の基本的な処理は、上述の図3(B)に示すアドレス認証プログラム136と同様である。
【0068】
図4(B)に示すような実装形態を採用することで、データリンクドライバ1322およびTCP/IPソケット1324などの通信レイヤの構造を変えることなく、認証されたネットワークアドレスを有する通信先とセキュアな通信ができる。
【0069】
(c4:デバイス間の遣り取り)
次に、端末装置100とサーバ装置200との間などの、デバイス間の遣り取りの一例について説明する。
次に、端末装置100とサーバ装置200との間などの、デバイス間の遣り取りの一例について説明する。
【0070】
【0071】
図5を参照して、デバイス1およびデバイス2は、いずれも、ネットワーク認証機能(図2に示すアドレス認証チップ112、または、図3に示すアドレス認証プログラム136に相当)を有している。それぞれのデバイスのネットワーク認証機能は、互いに、ネットワークアドレスについての認証処理を実行する。この認証処理は、基本的には、ネットワーク層で実行される。認証処理が完了すると、それぞれのデバイスのネットワーク認証機能は、各デバイスで実行されるアプリケーション(アプリケーション層)がデータを遣り取りする際のネットワークアドレスとして利用される。
【0072】
アプリケーションに対して、認証されたネットワークアドレスを通知するようにしてもよいし、パケット生成およびパケット受信などを担当するTCP/IPソケットなどに対して、認証されたネットワークアドレスを通知するようにしてもよい。
【0073】
図5に示すような構成を採用することで、アプリケーション側で特別な認証処理などを必要とせずに、互いに認証されたネットワークアドレスを利用することができる。
【0074】
<D.処理手順例>
次に、本実施の形態に従うネットワークシステム1における処理手順の一例について説明する。
次に、本実施の形態に従うネットワークシステム1における処理手順の一例について説明する。
【0075】
図6は、本実施の形態に従うネットワークシステム1におけるサーバ提供に係る処理手順の一例を示すシーケンス図である。図6には、端末装置100からサーバ装置200へのアクセスに応答して、サーバ装置200が要求されたサービスを提供する典型例の処理手順を示す。
【0076】
具体的には、図6を参照して、まず、ユーザがアプリケーション134上で何らかの操作をすると(ステップS2)、アプリケーション134からサーバ装置200へのアクセス要求が、ネットワーク認証機能(図2に示すアドレス認証チップ112、または、図3に示すアドレス認証プログラム136)へ転送される(ステップS4)。端末装置100のネットワーク認証機能は、サーバ装置200のネットワーク認証機能(図2に示すアドレス認証チップ112、または、図3に示すアドレス認証プログラム136に相当する機能)との間で、互いのネットワークアドレスについて認証処理を実行する(ステップS6)。認証処理が完了すると、端末装置100は、認証されたネットワークアドレスを用いて、要求されたアクセス要求をサーバ装置200へ転送する(ステップS8)。
【0077】
サーバ装置200において、端末装置100から送信されたアクセス要求は、ネットワーク認証機能によって受信された上で、必要な処理を施された上で、アプリケーションへ転送される(ステップS10)。サーバ装置200のアプリケーションは、端末装置100から受信したアクセス要求のデータ通信に用いられたネットワークアドレスを特定し(ステップS12)、特定したネットワークアドレスに応じて、決定すべきサービスを決定する(ステップS14)。
【0078】
そして、サーバ装置200のアプリケーションは、決定したサービスに応じたデータを端末装置100へ送信する(ステップS16)。このデータは、サーバ装置200のネットワーク認証機能によって受信された上で、必要な処理を施された上で、端末装置100へ送信される(ステップS18)。
【0079】
端末装置100において、サーバ装置200から送信されたデータは、ネットワーク認証機能によって受信された上で、必要な処理を施された上で、アプリケーション134へ転送される(ステップS20)。そして、アプリケーション134からユーザに対して、受信されたデータに応じた内容が提示される(ステップS22)。
【0080】
本実施の形態に従うネットワークシステム1において、サーバ装置200は、端末装置100からアクセスを受けると、当該アクセスに含まれるネットワークアドレスは認証されたものであるので、追加の認証処理を行なうことなく、端末装置100に固有のサービスを提供できる。すなわち、サーバ装置200は、アプリケーション層での認証処理を行なうことなく、端末装置100との間のネットワーク層での遣り取りにおいて利用されるネットワークアドレスのみを用いて、要求元の端末装置100を特定する。
【0081】
<E.アプリケーション例>
次に、図6に示すネットワークシステム1において提供されるサービスの一例について説明する。
次に、図6に示すネットワークシステム1において提供されるサービスの一例について説明する。
【0082】
(e1:アプリケーション例その1)
まず、サーバ装置200としてWebサーバを想定し、アクセス元の端末装置100のネットワークアドレスに応じて固有のWebページを提供するような構成を一例として説明する。
まず、サーバ装置200としてWebサーバを想定し、アクセス元の端末装置100のネットワークアドレスに応じて固有のWebページを提供するような構成を一例として説明する。
【0083】
図7は、本実施の形態に従うネットワークシステム1を利用したサービス提供のアプリケーション例を説明するための図である。図7(A)には、サーバ装置200が保持するネットワーク管理テーブル210の一例を示す。ネットワーク管理テーブル210には、過去にアクセスしたことのある、あるいは、アクセスの予定のある端末装置100のネットワークアドレス(IPアドレス)212に関連付けて、初期画面を示す初期画面情報214と、好みを示すプリファレンス情報216とが規定されている。ネットワーク管理テーブル210の内容は、ユーザが手動で更新し、あるいは、ユーザの操作に応じてサーバ装置200によって更新してもよい。
【0084】
サーバ装置200は、端末装置100からのアクセスを受けると、当該端末装置100に付与されているネットワークアドレスをキーにして、ネットワーク管理テーブル210を参照し、対応する初期画面情報214およびプリファレンス情報216を決定する。そして、サーバ装置200は、決定した初期画面情報214およびプリファレンス情報216に基づいて、アクセス元の端末装置100へ提供するWebページの内容を決定する。
【0085】
図7(B)には、一例として、サーバ装置200がオンラインバンキングのサービスを提供する場合のWeb画面例を示す。例えば、IPアドレス1が付与されている端末装置100のディスプレイに提示されるWeb画面例220Aには、「振込手続」、「口座残高確認」、「振替手続」といった基本的な口座管理のボタンが配置されている。一方、IPアドレス2が付与されている端末装置100のディスプレイに提示されるWeb画面例220Bには、為替レートの時間的変化を示すチャートとともに、「外貨購入」、「外貨売却」といった外貨に関するボタンが配置されている。
【0086】
このような初期画面は、例えば、ネットワーク管理テーブル210の初期画面情報214などを参照することで決定することができる。さらに、ネットワーク管理テーブル210のプリファレンス情報216などを参照することで、初期画面だけではなく、端末装置100(すなわち、端末装置100を操作するユーザ)毎に好みに応じたサービスを提供することができる。
【0087】
以上のように、端末装置100に付与されているネットワークアドレスに基づいて、サーバ装置200へアクセスしたときに提供される初期画面および各種サービス内容をカスタムすることができる。
【0088】
(e2:アプリケーション例その2)
次に、サーバ装置200としてホテルなどの利用管理サーバを想定し、端末装置100を電子的な鍵(利用証)として用いるような構成を一例として説明する。
次に、サーバ装置200としてホテルなどの利用管理サーバを想定し、端末装置100を電子的な鍵(利用証)として用いるような構成を一例として説明する。
【0089】
図8は、本実施の形態に従うネットワークシステム1を利用したサービス提供の別のアプリケーション例を説明するための図である。図8(A)には、サーバ装置200が保持する利用管理テーブル230の一例を示す。利用管理テーブル230には、予約サイトなどを通じて予約された内容(部屋番号234および利用可能時間236)が当該予約操作に用いられた端末装置100に付与されているネットワークアドレス232に関連付けて格納されている。
【0090】
すなわち、ユーザが自身の端末装置100を操作して、予約サイトで宿泊予約をすると、サーバ装置200は、その宿泊予約に用いられた端末装置100に付与されているネットワークアドレスとともに、予約内容を利用管理テーブル230に追加する。
【0091】
図8(B)に示すように、宿泊施設240の各部屋の前には、無線通信ユニット242が配置されている。宿泊予定のユーザが宿泊予約に用いた端末装置100をもって、予約した部屋に近付くと、無線通信ユニット242は端末装置100と無線通信を行なう。なお、端末装置100と無線通信ユニット242との間の無線通信は、自動的に開始されるようにしてもよいし、ユーザが明示的に操作を行なった上で開始されるようにしてもよい。
【0092】
そして、ユーザが保持する端末装置100に付与されているネットワークアドレスが、利用管理テーブル230のネットワークアドレス232のいずれかのエントリと一致すると、対応する部屋番号234および利用可能時間236に基づいて、サーバ装置200は、予約対象の部屋を解錠する。
【0093】
図8には、典型例として、端末装置100をホテルといった宿泊施設の各部屋の鍵として使用する構成について例示したが、これに限らず、任意の利用証として用いることができる。例えば、端末装置100そのものを、アミューズメント施設などの各種施設や、コンサートなどの各種イベントの入場券として使用できる。さらに、端末装置100そのものを、鉄道や航空機のチケットとして使用することもできる。
【0094】
上述したように、本実施の形態に従うネットワークシステム1においては、端末装置100に付与されたネットワークアドレスそのものが認証されているので、既存技術のように、チケットを表示させるためのアプリケーションなどは必要なく、端末装置100そのものを利用証として使用するシステムの普及の障壁を低減できる。
【0095】
以上のように、端末装置100に付与されているネットワークアドレスに基づいて、端末装置100を任意の利用証として容易に利用できる。
【0096】
(e3:アプリケーション例その3)
次に、ネットワークアドレス自体の認証処理をより多面的に実現する構成について説明する。図9は、本実施の形態に従うネットワークシステム1を利用したネットワークアドレスのフィルタリング例を説明するための図である。図9には、一例として、OSI参照
モデルの第3レイヤ(ネットワーク層)にアドレス認証プログラム136を配置し、第4レイヤ(トランスポート層)にTCP(または、UDP)を配置した構成例を示す。
次に、ネットワークアドレス自体の認証処理をより多面的に実現する構成について説明する。図9は、本実施の形態に従うネットワークシステム1を利用したネットワークアドレスのフィルタリング例を説明するための図である。図9には、一例として、OSI参照
モデルの第3レイヤ(ネットワーク層)にアドレス認証プログラム136を配置し、第4レイヤ(トランスポート層)にTCP(または、UDP)を配置した構成例を示す。
【0097】
図9には、フィルタリングを実現するための構成として、認証管理情報138が配置される。認証管理情報138は、ブラックリスト1382および/またはホワイトリスト1384を含んでいてもよい。なお、ブラックリスト1382およびホワイトリスト1384の両方を用意しておく必要はなく、いずれか一方のみを用意するようにしてもよい。
【0098】
ブラックリスト1382は、アクセスを遮断すべきネットワークアドレスを規定するリストであり、ホワイトリスト1384は、アクセスを許可すべきネットワークアドレスを規定するリストである。
【0099】
図9(A)には、アドレス認証プログラム136にフィルタリング機能が実装される例を示す。より具体的には、アドレス認証プログラム136は、通信先について認証したネットワークアドレスがブラックリスト1382に規定されているいずれかのエントリに合致した場合には、その認証したネットワークアドレスを有する通信先(ブラックリストノード)との通信を遮断または禁止する。すなわち、ブラックリストノードからのパケットはアドレス認証プログラム136において遮断され、アプリケーション134へは与えられない。
【0100】
一方、アドレス認証プログラム136は、認証したネットワークアドレスがホワイトリスト1384に規定されているいずれかのエントリに合致した場合に限って、その認証したネットワークアドレスを有する通信先(ホワイトリストノード)との通信を通過させる。すなわち、ホワイトリストノードからのパケットはアドレス認証プログラム136からアプリケーション134へ与えられる。アプリケーション134は、アドレス認証プログラム136において認証されたネットワークアドレス自体と、受信したパケットとに基づいて、サービスを提供する。
【0101】
図9(B)には、アプリケーション134にフィルタリング機能が実装される例を示す。より具体的には、アプリケーション134は、アドレス認証プログラム136からのパケットを受信すると、当該パケットの送信元のネットワークアドレス(アドレス認証プログラム136によって認証されている)がブラックリスト1382またはホワイトリスト1384のいずれかのエントリに合致するか否かを判断する。
【0102】
受信したパケットの送信元のネットワークアドレスがブラックリスト1382に規定されているいずれかのエントリに合致した場合には、アプリケーション134は、そのパケットを遮断する。一方、受信したパケットの送信元のネットワークアドレスがホワイトリスト1384に規定されているいずれかのエントリに合致した場合には、アプリケーション134は、そのパケットを処理して、要求されたサービスを提供する。
【0103】
以上のように、ネットワークアドレス自体の認証機能に加えて、ブラックリスト/ホワイトリストを用いたフィルタリグ機能を組み合わせることで、より実用性の高いネットワークシステムを実現できる。
【0104】
<F.その他の実施の形態>
上述の実施の形態においては、デバイス間で認証されたネットワークアドレスを利用する構成例として、1つ以上の端末装置100と1つ以上のサーバ装置200とからなるネットワークシステムを例示したが、これに限られず、端末装置100間あるいはサーバ装置200間のデータ通信にも適用可能である。さらに、端末装置100またはサーバ装置200といった枠組みにとらわれることなく、任意のデバイス間のデータ通信に利用可能
である。
上述の実施の形態においては、デバイス間で認証されたネットワークアドレスを利用する構成例として、1つ以上の端末装置100と1つ以上のサーバ装置200とからなるネットワークシステムを例示したが、これに限られず、端末装置100間あるいはサーバ装置200間のデータ通信にも適用可能である。さらに、端末装置100またはサーバ装置200といった枠組みにとらわれることなく、任意のデバイス間のデータ通信に利用可能
である。
【0105】
<G.利点>
本実施の形態によれば、認証されたネットワークアドレスを用いたサービスおよびそのサービスを提供するための基盤が提供される。ネットワークアドレス自体が認証されているため、通信接続の確立自体が認証手続を兼ねることになり、アプリケーションを用いた追加の認証手続などは不要となる。これによって、IoTに適した多種多様なサービスを提供できる。
本実施の形態によれば、認証されたネットワークアドレスを用いたサービスおよびそのサービスを提供するための基盤が提供される。ネットワークアドレス自体が認証されているため、通信接続の確立自体が認証手続を兼ねることになり、アプリケーションを用いた追加の認証手続などは不要となる。これによって、IoTに適した多種多様なサービスを提供できる。
【0106】
今回開示された実施の形態はすべての点で例示であって制限的なものでないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
【符号の説明】
【0107】
1 ネットワークシステム、4 アクセスポイント、6 基地局、100,100A,100B 端末装置、102 プロセッサ、104 主メモリ、106 ディスプレイ、108 入力部、110 通信モジュール、112 アドレス認証チップ、114,144 WiFiモジュール、116,120,146,150 アンテナ、118,148
LTEモジュール、130 二次記憶装置、132 OS、134 アプリケーション、136 アドレス認証プログラム、138 認証管理情報、200 サーバ装置、210 ネットワーク管理テーブル、212 ネットワークアドレス(IPアドレス)、214 初期画面情報、216 プリファレンス情報、220A,220B 画面例、230
利用管理テーブル、232 ネットワークアドレス、234 部屋番号、236 利用可能時間、240 宿泊施設、242 無線通信ユニット、1322 データリンクドライバ、1324 TCP/IPソケット。
LTEモジュール、130 二次記憶装置、132 OS、134 アプリケーション、136 アドレス認証プログラム、138 認証管理情報、200 サーバ装置、210 ネットワーク管理テーブル、212 ネットワークアドレス(IPアドレス)、214 初期画面情報、216 プリファレンス情報、220A,220B 画面例、230
利用管理テーブル、232 ネットワークアドレス、234 部屋番号、236 利用可能時間、240 宿泊施設、242 無線通信ユニット、1322 データリンクドライバ、1324 TCP/IPソケット。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】