-
Technisches Gebiet
-
Die
Erfindung betrifft ein Netzwerksystem, ein Verbindungsgerät, ein Verbindungsverfahren,
ein Netzwerk, einen Router, ein Endgerät, ein Kommunikationsverfahren,
ein Programm und ein Aufzeichnungsmedium, die im Fall einer Verbindung
des Netzwerks in einem Heim mit dem Internet angewendet werden können.
-
Über das
Internet in ein Heim übertragene
Inhalte werden üblicherweise
zu einem Personalcomputer gesendet. Musikkompressionsdaten, Bilddaten und
dgl., die heruntergeladen wurden, werden im Personalcomputer gespeichert.
Der Benutzer versucht, diese beim Personalcomputer angekommenen
Inhalte durch ein AV-Gerät
(AV = audio and/or visual (Audio-und/oder-Visuell-)) anders als
der Personalcomputer wiederzugeben. Wenn jedoch im Heim ein Netzwerk
nicht existiert, ist es schwierig, eine solche Anforderung zu realisieren.
-
Als
Netzwerkarchitekturen sind ein als TCP/IP (Transmission Control
Protocol/Internet Protocol (Übertragungssteuerungsprotokoll/Internetprotokoll))
bekanntes Internetprotokollsystem, das im Internet benutzt wird,
und ein grundlegendes OSI-Referenzmodell (OSI = Open System Interface
(Offensystemschnittstelle)) bekannt. Das OSI-Referenzmodell weist
sieben Schichten auf. Die erste Schicht ist eine physikalische Schicht.
Die zweite Schicht ist eine Datenverbindungsschicht. Die dritte
Schicht ist eine Netzwerkschicht. Die vierte Schicht ist eine Transportschicht.
Die fünfte
Schicht ist eine Sessionsschicht (Sitzungsschicht). Die sechste
Schicht ist eine Präsentationsschicht.
Die siebte Schicht ist eine Anwendungsschicht. In der physikalischen
Schicht wird eine gegenseitige physikalische Verbindung hergestellt.
Daten werden hier als ein Bitzug (bit train) behandelt. In der Datenverbindungsschicht
wird ein physikalischer Kommunikationspfad zu einem Kommunikationspartner
garantiert und wird eine Konkurrenzsteuerung (competition control)
oder dgl. ausgeführt.
Daten werden hier als eine Einheit wie beispielsweise als ein Rahmen
oder dgl., die bzw. der stärker
strukturiert worden ist, behandelt.
-
Das
TCP/IP weist vier Konzeptschichten auf: eine Netzwerkschnittstellenschicht,
eine Internetschicht, eine Transportschicht und eine Anwendungsschicht.
Diese Schichten sind auf der physikalischen Schicht aufgebaut. Sie
können
so gebildet sein, dass sie mit denen des OSI-Referenzmodells wie
folgt korrespondieren: die Datenverbindungsschicht ➝ die
Netzwerkschnittstellenschicht, die Netzwerkschicht ➝ die
Internetschicht, die Transportschicht ➝ die Transportschicht,
die Sessionsschicht, Präsentationsschicht,
Anwendungsschicht ➝ die Anwendungsschicht. Die Netzwerkschnittstellenschicht
ist eine Schicht zum Garantieren einer Kommunikation in einem einzelnen
Subnetzwerk. Beispielsweise korrespondiert ein PPP (Point-to-Point
Protocol (Punkt-zu-Punkt-Protokoll, Direktwahlprotokoll)) zur Herstellung
einer Kommunikation zwischen zwei Punkten mit der Netzwerkschnittstellenschicht.
-
Das
PPP (Point-to-Point Protocol) ist ein Protokoll, das durch eine
Einwahl-IP-Verbindung
(dial-up IP connection) als ein Standardprotokoll benutzt wird. Eine
Datenkommunikation durch eine Mehrzahl von Protokollauthentisierung
wird durch eine Leitung bereitgestellt, die in einer Eins-zu-Eins-Korrespondenzrelation
geschaltet ist. Eine Verbindung wird als eine Verbindungsprozedur über 1) eine
Verbindungsherstellungsanforderung, 2) eine Authentisierung einer verbindenden
Person und 3) einen Informationsaustausch bei jedem Protokoll hergestellt.
-
Als
Netzwerke im Heim sind Leitungs- bzw. Draht-Übertragungssysteme (wire transmission
systems) wie beispielsweise IEEE 1394 (IEEE = Institute of Electrical
and Electronics Engineers (Institut der Elektro- und Elektronikingenieure)),
Ethernet und dgl. und mehrere Funk- bzw. Drahtlos-Übertragungssysteme
(wireless transmiesion systems) vorgeschlagen worden. Als Drahtlos-Übertragungssysteme
sind IEEE 802.11, Bluetooth (Handelsmarke), Wireless 1394 und dgl.
vorgeschlagen worden. Die Netzwerke im Heim entsprechend diesen
unterschiedlichen Übertagungssystemen
bauen ein LAN (Local Area Network (lokales Netz)) auf.
-
In
den letzten Jahren hat die Anzahl von Endgeräten, die mit dem Netzwerk im
Heim verbunden werden, zugenommen. Jedes Endgerät ist nicht auf eine Kommunikation
beschränkt,
die nur bezüglich
eines spezifischen Ziels hergestellt wird, sondern ist auch mit
dem Internet verbunden und kann auch von einem Netzwerk über das
LAN referenziert werden. Um zu ermöglichen, dass das Endgeräte bei einem solchen
Netzwerk partizipieren kann, ist ein Endgerät notwendig, das als ein Router
(Wegewähler)
zum wenigstens Ermöglichen,
dass Information von einem LAN zu einem anderen LAN passieren kann,
und Ermöglichen
eines Informationsaustauschs mit einem anderen Endgerät im Netzwerk, mit
dem das relevante Endgerät
verbunden worden ist, bezeichnet wird.
-
Obgleich
die Einstellung des Routings (der Leitwegsteuerung) des Routers
vom Benutzer ausgeführt
wird, ist es, wenn der Benutzer ein Endgerät neu anschließt, da die
Einstellungsoperation technisch und expertenmäßig ist, notwendig, die mühsame Einstellungsoperation
auszuführen.
-
Die
vorhergehende generelle Netzwerkarchitektur, beispielsweise das
TCP/IP-Protokoll,
wird auch beim Heimnetzwerk angewendet. Im Fall, dass das Heimnetzwerk
ein Funk- bzw. Drahtlos-Netzwerk ist, ist es zu einer Verhinderung,
dass eine dritte Person heimlich und unerlaubt Einblick nimmt, wünschenswert,
eine Authentisierungsverschlüsselung auf
dem Niveau der Datenverbindungsschicht auszuführen. Da die Einstellungsoperation
des die Funk- bzw. Drahtlos-Datenverbindung
aufweisenden Routers für
einen solchen Zweck technisch und expertenmäßig ist, wenn der Benutzer
ein Endgerät
neu anschließt,
ist es notwendig, die mühsame
Einstellungsoperation auszuführen.
-
Außerdem wird
unter dem Gesichtspunkt des Schutzes persönlicher Information gefordert, dass
das Heimnetzwerk ein sicheres Netzwerk ist. Bisher ist zwischen
dem öffentlichen
Netzwerk und dem privaten Netzwerk eine Firewall (Feuerwand) bereitgestellt
worden. Dies deshalb, weil eine Person verhindert werden soll, die
als böswilliger
Hacker bezeichnet wird, der in das Netzwerk eindringt. Jedoch hängt ein
solches Heimnetzwerk von der bereitgestellten Firewall ab, und das
Heimnetzwerk wird nicht offen, so dass ein Problem derart besteht,
dass es im Fall der Entwicklung unterschiedlicher Arten von Anwendungen
ein Hindernis wird.
-
Ausführungsformen
der Erfindung stellen ein Netzwerksystem, das den Benutzer befähigt, ein Endgerät mit einem
Router leicht zu verbinden, bereit.
-
Ausführungsformen
der Erfindung stellen ein Netzwerksystem zur Ermöglichung einer Authentisierung
auf einem Datenverbindungsniveau, obgleich die Einstellungsoperation
eines Routers, der eine Drahtlos-Datenverbindung aufweist, nicht
notwendig ist, bereit.
-
Ausführungsformen
der Erfindung stellen ein Netzwerksystem, das ein sicheres Netzwerk
ohne Bereitstellung einer Firewall aufbauen kann, bereit.
-
Aus
WO 98/20646 geht ein Computernetzwerksystem hervor, das aufweist:
Computer, Router/Schalter zwischen den Computernetzwerken und Benutzerschnittstellen,
die durch einen Router/Schalter eines Verbindungsproviders mit den Computernetzwerken
verbunden sind. Jeder der mit den Netzweken verbundenen Computer
weist eine IP-Adresse auf. Zugriffsrechte eines Benutzers auf unterschiedliche
Adressen eines Adressenraums sind entsprechend einer Tabelle definiert.
Der Benutzer hat das Recht, die Zugriffsrechte auf einen durch die
Tabelle definierten Adressenraum zu ändern
-
Aus „Security
Architekture for Wireless Residential Networks" von P. Krishnamurthy et al., IEEE vol.
4, 24. September 2000 (2000-09-24), Seiten 1960–1966, XP010524364 geht eine
Sicherheitsarchitektur für
WRNs (= wireless residential networks (drahtlose residentielle Netzwerke))
hervor, die auf einer Klassifikation von Sicherheitsdiensten, Eindämmung und
Algorithmusbeweglichkeit basieren. Eine Anzahl von Einrichtungskategorien
(auf Basis von Datenrate, Leistungskategorie und mobil/fest) und eine
Anzahl von Sicherheitskategorien (beispielsweise keine, moderat,
hoch kritisch hoch) werden identifiziert. Eine einzelne Einrichtung
erhält
Zugriff auf das WRN durch Kommunizieren mit einem Zugriffspunkt. Eine
Netzwerkeinrichtung wird durch ihre physikalische Adresse und ein „Tupel", das aus der Einrichtungskategorie
und dem Sicherheitspegel besteht, identifiziert.
-
Offenbarung der Erfindung
-
Gemäß einem
ersten Aspekt stellt die vorliegende Erfindung ein Netzwerksystem
bereit, das aufweist:
einen Router,
mehrere Endgeräte, die
ein erstes Endgerät
und ein zweites Endgerät
aufweisen,
einen Server mit:
einer Datenbank zum Speichern
von Registrierungsinformation, die eine Korrespondenz zwischen dem Router
und zugeordneten der mit dem Netzwerk verbundenen mehreren Endgeräte anzeigt,
einer
Einrichtung zum Empfang einer Anfrage vom ersten Endgerät über den
Router, wobei die Anfrage eine Herstellung einer Kommunikation mit
dem zweiten Endgerät
anfordert,
einer Einrichtung zur Übertragung eines Resultats der
Anfrage zum ersten Endgerät,
so dass, wenn die Datenbank anzeigt, dass das erste Endgerät und das zweite Endgerät zu einer
gleichen Gruppe gehören, eine
Kommunikation zwischen dem ersten Endgerät und dem zweiten Endgerät hergestellt
wird.
-
Gemäß einem
zweiten Aspekt stellt die vorliegende Erfindung ein Endgerät bereit,
das zum Anschließen
an ein einen Server mit einer Datenbank und einen Router aufweisendes
Netzwerksystem betriebsfähig
ist, wobei das Endgerät
aufweist:
eine Einrichtung zum Empfang einer Kommunikationsanforderung
von einem weiteren Endgerät über das
Netzwerksystem,
eine Einrichtung zur Übertragung einer Anfrage bezüglich eines
Identifizierers des weiteren Endgeräts über einen Router zum Server,
wobei die Übertragung
in Reaktion auf die Kommunikationsanforderung ist,
eine Einrichtung
zur Herstellung einer Kommunikation mit dem weiteren Endgerät in Abhängigkeit
von einem Resultat der Anfrage, so dass, wenn die Datenbank spezifiziert,
dass das weitere Endgerät
zu einer gleichen Gruppe wie das Endgerät gehört, die Kommunikation hergestellt
wird.
-
Die
vorliegende Erfindung stellt ein im Anspruch 1 dargelegtes Netzwerksystem,
ein im Anspruch 7 dargelegtes Verbindungsverfahren und ein im Anspruch
10 dargelegtes Programm bereit.
-
Gemäß einem
dritten Aspekt stellt die vorliegende Erfindung ein Kommunikationsverfahren
in einem Netzwerksystem, bei dem ein Server und ein Router über ein
Netzwerk verbunden sind, ein oder mehrere Endgeräte mit dem Router verbunden
sind und der Server eine Datenbank aufweist, in der eine Korrespondenzrelation
zwischen einem Identifizierer des Routers und Identifizierern der
mit dem Netzwerk verbundenen Endgeräte registriert worden ist,
bereit, aufweisend die Schritte:
wenn das erste und zweite
Endgerät
miteinander kommunizieren, Abfragen den Server darüber, ob
die Identifizierer des ersten und zweiten Endgeräts als eine gleiche Gruppe
auf der Datenbank registriert worden sind oder nicht, und
wenn
die Korrespondenzrelation existiert, Feststellen, dass das erste
und zweite Endgerät
kommunizieren können.
-
Gemäß einem
vierten Aspekt stellt die vorliegende Erfindung einen Server für ein Netzwerksystem
bereit, das einen Router und mehrere Endgeräte aufweist, wobei der Server
aufweist:
eine Einrichtung zum Empfang einer Anfrage von einem
ersten der mehreren Endgeräte über den
Router, wobei die Anfrage die Herstellung einer Kommunikation mit
einem zweiten der mehreren Endgeräte anfordert,
eine Datenbank
zum Speichern von Registrierungsinformation, die eine Korrespondenz
zwischen dem Router und zugeordneten der mehreren mit dem Netzwerksystem
verbundenen Endgeräte
anzeigt,
eine Einrichtung zur Übertragung eines Resultats
der Anfrage zum ersten Endgerät,
so dass, wenn die Datenbank spezifiziert, dass das erste Endgerät und das
zweite Endgerät
zu einer gleichen Gruppe gehören,
eine Kommunikation zwischen dem ersten Endgerät und dem zweiten Endgerät hergestellt
wird.
-
Gemäß Ausführungsformen
der Erfindung ist nur im Fall einer Kombination des Routers mit
dem Endgerät,
die in der für
einen Internetdienstprovider bereitgestellten Datenbank registriert
worden sind, die Verbindung mit dem Netzwerk wie beispielsweise einem
Heimnetzwerk oder dgl. erlaubt. Der Benutzer braucht nicht den Router
selbst einzustellen und kann dem Endgerät leicht erlauben, neu am Netzwerk
wie beispielsweise einem Heimnetzwerk oder dgl. zu partizipieren.
Es ist auch möglich
zu verhindern, dass ein nicht registriertes Endgerät mit dem Netzwerk
wie beispielsweise einem Heimnetzwerk oder dgl. verbunden wird,
so dass die Sicherheit des Netzwerks verbessert wird.
-
Unterschiedliche
andere jeweilige Aspekte und Merkmale der Erfindung sind in den
beigefügten Ansprüchen definiert.
-
Gemäß Ausführungsformen
der Erfindung wird durch sich Beziehen auf einen Identifizierer
einer Partnerseite, mit der die Kommunikation gemacht wird, für die für den Server
bereitgestellte Datenbank entschieden, ob der Identifizierer des
Partners zur gleichen Gruppe wie ein eigener Identifizierer des Benutzers
gehört
oder nicht. Wenn er zur gleichen Gruppe gehört, wird bestimmt, dass die
Authentisierung zwischen den Endgeräten erfüllt ist, so dass die Verbindung
hergestellt wird. Das sichere Netzwerk kann ohne Implementierung
einer Firewall aufgebaut werden, und das Heimnetzwek kann so eingestellt werden,
dass es offen ist.
-
Kurze Beschreibung der Zeichnungen
-
1 ist
ein Blockdiagramm, das einen Ausbau eines Netzwerksystems gemäß der ersten
Ausführungsform
der Erfindung zeigt;
-
2 ist
ein Blockdiagramm, das ein Beispiel des Aufbaus eines Routers bei
der ersten Ausführungsform
der Erfindung zeigt;
-
3 ist
ein Flussdiagramm zur Erläuterung von
Prozessen im Fall, dass bei der ersten Ausführungsform der Erfindung einem
neuen Endgerät
erlaubt ist, an einem Heimnetzwerk zu partizipieren;
-
4 ist
ein Blockdiagramm, das einen Aufbau eines Netzwerksystems gemäß der zweiten
Ausführungsform
der Erfindung zeigt;
-
5 ist
ein Blockdiagramm, das einen Aufbau eines Netzwerksystems gemäß bei der
zweiten Ausführungsform
der Erfindung zeigt;
-
6 ist
ein Blockdiagramm, das ein Beispiel des Aufbaus eines Routers bei
der zweiten Ausführungsform
der Erfindung zeigt;
-
7 zeigt
ein Flussdiagramm zur Erläuterung
eines Authentisierungsprozesses auf einer Datenverbindungsebene
bei der zweiten Ausführungsform
der Erfindung;
-
8 ist
ein, das einen Aufbau des Netzwerksystems bei der zweiten Ausführungsform
der Erfindung zeigt;
-
9 ist
ein Flussdiagramm zur Erläuterung eines
Endgerät-Authentisierungsprozesses
bei der zweiten Ausführungsform
der Erfindung;
-
10 ein
ist, das einen Aufbau des Netzwerksystems bei der zweiten Ausführungsform
der Erfindung zeigt;
-
11 ist
ein Blockdiagramm, das einen Aufbau des Netzwerksystems bei der
zweiten Ausführungsform
der Erfindung zeigt.
-
Beste Ausführungsweise der Erfindung
-
(Erste Ausführungsform)
-
Eine
Ausführungsform
der Erfindung wird nachfolgend beschrieben. 1 zeigt
ein Beispiel eines Systems der ersten Ausführungsform der Erfindung. Bezugszeichen 1 bezeichnet
ein Internet, 2 bezeichnet einen ISP (Internet Service
Provider (Internetdienstprovider)), der mit dem Internet 1 verbunden
ist. Der ISP 2 weist einen Elektonikpost- bzw. Mail-Server,
einen DNS-Server (DNS = Domain Name System (Domänennamen-System)), einen Proxy-Server
(Stellvertreter-Server bzw. Server im Nahbereich) und dgl. auf,
stellt eine gewöhnliche
Internetverbindungsfunktion bereit und weist eine Datenbank 3 zur
Authentisierung auf.
-
Bezugszeichen 11 bezeichnet
ein Heim und 12 bezeichnet einen Heim-Gateway (Heim-Netzübergang), beispielsweise einen
Router. Der ISP 2 und der Router 12 sind durch
eine bidirektionale Zugriffsleitung 4 wie beispielsweise
eine ISDN-Leitung (ISDN = Integrated Services Digital Network (Dienste integrierendes
digitales Netzwerk)), eine dedizierte Leitung, eine xDSL (x Digital
Subscriber Line (x digitale Teilnehmerleitung)) wie beispielsweise
eine ADSL (Asymmetric Digital Subscriber Line (asymmetrische digitale
Teilnehmerleitung)) oder dgl., eine optische Faser oder dgl. verbunden.
Im Fall der Benutzung der ISDN-Leitung als bidirektionale Zugriffsleitung 4 sind,
wenn notwendig, eine DSU (Digital Service Unit (Digitaldiensteinheit))
(nicht gezeigt) und ein TA (Terminal Adapter (Endgerätadapter)
zwischen den Router 12 und die ISDN-Leitung eingesetzt.
-
Es
kann auch eine Dienstgesellschaft eines Kabelfernsehens durch Benutzung
einer Kabelfernsehleitung als eine bidirektionale Zugriffsleitung 4 verbunden
sein. Die Dienstgesellschaft verbreitet Audio- und/oder visuelle
Inhalte über
eine Kabelfernseh-Basisstation
und eine im Heim 11 bereitgestellt digitale Set-Top-Box
(Aufsatzgerät
bzw. Decodiergerät
für digitales
Fernsehen). Eine solche Dienstgesellschaft des Kabelfernsehens ist
auch eine Art von ISP 2 zur Bereitstellung eines Diensts
zur Verbindung mit dem Internet.
-
Bei
der Ausführungsform
ist im Heim ein Heimnetzwerk wie beispielsweise ein beim Bezugszeichen 13 gezeigtes
Funk- bzw. Drahtlos-LAN installiert. Als Drahtlos-LAN kann IEEE
802.11x, das IEEE 802.11 umfasst, Bluetooth, Wireless 1394 oder dgl.
benutzt werden. Das Heimnetzwerk 13 ist nicht auf das Drahtlos-LAN
beschränkt,
sondern es kann auch ein Leitungs- bzw. Draht-LAN benutzt werden, das
eine Telefonleitung, eine Energieleitung oder ein Kabel benutzt.
Außerdem
kann das Heimnetzwerk 13 auch mehrere Netzwerke umfassen.
Beispielsweise ist es auch möglich,
ein Zellulartelefon mit dem Drahtlos-LAN zu verbinden und das Zellulartelefon durch
Bluetooth mit einem anderen Gerät
zu verbinden.
-
Mit
dem Heimnetzwerk 13 ist ein Endgerät 14 verbunden. Bezugszeichen 15 bezeichnet
ein Endgerät,
das mit dem Heimnetzwerk 13 neu zu verbinden ist. Mit dem
Heimnetzwerk 13 können
ein Personalcomputer (Tischgerättyp
(desktop type) oder Notebookgrößentyp)),
ein Audiogerät
wie beispielsweise ein CD-Spieler (CD = Compact Disk (Kompaktplatte))
oder dgl., ein Fernsehen betreffendes Gerät wie beispielsweise ein Tuner
(Abstimmgerät),
eine Anzeige oder dgl., ein Video-Rekorder/Spieler wie beispielsweise
ein DVD-Gerät
(DVD = Digital Versatile Disc (mehrseitige Digitalplatte) oder Digital
Video Disc (digitale Videoplatte)) oder dgl. oder ein Endgerät wie beispielsweise
ein tragbares Informationsgerät
oder dgl. verbunden sein. Außerdem
können
mit dem Heimnetzwerk 13 Haushaltsgeräte wie beispielsweise Klimaanlage,
Kühlschrank
und dgl. verbunden sein.
-
Jedem
der mit dem Heimnetzwerk 13 verbundenen Endgeräte werden
vom ISP 2 über
den Router 12 unterschiedliche Daten zugeführt. Beispielsweise
werden dem Router 12 Inhaltsdaten wie beispielsweise Audiodaten,
Videodaten usw. zugeführt.
Zur gleichen Zeit können
die mit dem Heimnetzwerk 13 verbundenen Endgeräte miteinander kommunizieren.
-
2 zeigt
schematisch einen Aufbau des Routers 12. Der Router weist
auf: eine Medienzugriffssteuerungseinheit 21, eine Leitweg-
bzw. Routensteuerungseinheit 22, eine Funk- bzw. Drahtlossteuerungseinheit 23,
eine Abfrageeinheit 24 und eine Zugriffsleitungs-Medienzugriffssteuerungseinheit 26.
Die Medienzugriffssteuerungseinheit 21 steuert eine Übertragung
von Daten zu einem Übertragungsmedium
wie beispielsweise einem Drahtlos-LAN (Heimnetzwerk 13).
Durch die Drahtlossteuerungseinheit 23 sind mehrere Endgeräte 14 und 15 aufdrahtlose
Weise gegenseitig verbunden. Die Routensteuerungseinheit 22 ist
mit der bidirektionalen Zugriffsleitung 4 verbunden. Die
Abfrageeinheit 24 kommuniziert mit dem ISP 2 über die
Medienzugriffssteuerungseinheit 23 und die Routensteuerungseinheit 23 und
fragt den ISP 2 bezüglich
einer Zulassung oder Verweigerung des neuen Endgeräts 15 ab.
-
Der
Router 12 und die Endgeräte 14 und 15 weisen
im ISP je einen ID (Identifizierer) auf. Der ID des Endgeräts ist durch
MTID ausgedrückt,
und der ID des Routers 12 ist durch HGWID ausgedrückt.
-
Information
einer Kombination auf dem HGWID des Routers 12 und dem
MTID des Endgeräts ist
in der für
den ISP 2 bereitgestellten Datenbank 3 vorher
registriert worden. Beispielsweise wird ein Registrierungsprozess
bezüglich
der Datenbank 3 durch einen Verkaufsladen ausgeführt, der
das Endgerät
verkaufte. Speziell gesprochen bringt unter der Annahme, dass der
HGWID des Routers 12 auf HGWID = A gesetzt wird und der
MTID des Endgeräts 15 auf
MTID = B gesetzt wird, wenn der Benutzer das Endgerät 15 kauft,
der Benutzer selbst eine Karte, in welcher der HGWID des Routers 12 zuhause
aufgezeichnete worden ist, in den Laden mit. Auf der Basis von Information
des Routers und Information des Endgeräts 15 registriert
der Laden Daten, die eine Korrespondenzrelation von (HGWID = A und
MTID = B) in der Datenbank 3 zeigen. Ein zum ID addiertes Symbol
hat eine Bedeutung zum Spezifizieren jedes ID und bezeichnet keinen
Wert der Daten. Ein Datenaufbau des ID weist ein vorbestimmtes Format
wie beispielsweise ein Bitlänge
oder dgl. auf und ist vorzugsweise verschlüsselt worden.
-
Das
Verfahren zur Registrierung der Datenbank ist nicht auf das obige
Verfahren beschränkt. Wenn
beispielweise ein Vertrag zum Verkauf über das Internet 1 und
den ISP 2 gemacht worden ist, kann auf der Basis der Information
des Routers, mit dem das Endgerät,
in welchem Software für
eine solche Kommunikation implementiert worden ist, verbunden ist,
der ISP 2 oder die Empfangsseite eines Auftrags die Daten
registrieren, welche die Korrespondenzrelation zwischen dem HGWID
des Routers und des MTID des Endgeräts in der Datenbank 3 anzeigen.
-
Ein
Fluss von Prozessen, die zu der Zeit ausgeführt werden, zu der das neue
Endgerät 15 mit dem
Heimnetzwerk 13 verbunden ist, wird anhand der 3 beschrieben.
Der Fluss dieser Prozesse korrespondiert mit einem Programm, das
im Router 12 oder einem anderen Computer installiert ist
und das Heimnetzwerk 13 steuert. Dieses Programm ist wie
erforderlich in einem Computer-lesbaren Aufzeichnungsmedium aufgezeichnet.
Schritt S1 bezieht sich auf einen Prozess zur vorläufigen Registrierung eines
MTID des Endgeräts
(TE) 15 in der oben erwähnten
Datenbank 3 und wird von nachfolgenden Prozessen separat
ausgeführt.
-
Beim
Schritt S2 überträgt, wenn
im Heim 11 die Anfangsoperation des Endgeräts 15,
beispielsweise die Operation zum erstmaligen Einschalten einer Versorgungsquelle
ausgeführt
wird, der Benutzer den (MTID = B) vom Endgerät 15 zum Router 12.
Von der Drahtlossteuerungseinheit 23 des Routers 12 wird
ein Übertragungssignal
des Endgeräts 15 empfangen.
Der MTID wird über
die Medienzugriffssteuerungseinheit 21 der Abfrageeinheit 24 zugeführt.
-
Die
Abfrageeinheit 24 kann ein den MTID aufweisendes Signal
vom Endgerät 15,
das noch nicht im Heimnetzwerk 13 registriert ist, verarbeiten. In
der Abfrageeinheit 24 ist der HGWID des Routers 12 gehalten
worden. Von der Abfrageeinheit 24 wird (HGWID = A und MTID
= B) über
die Routensteuerungseinheit 22, Zugriffsleitungs-Medienzugriffssteuerungseinheit 26 und
bidirektionale Zugriffsleitung 4 zum ISP 2 übertragen
(Schritt S3).
-
Der
ISP 2 entscheidet durch Bezugnahme auf die Datenbank 3,
ob die Kombination der IDs, d.h. (HGWID = A und MTID = B) in der
Datenbank 3 registriert worden ist oder nicht. Wenn sie
registriert worden ist, das heißt
wenn beim Schritt S4 einer Übereinstimmung
genügt
ist, überträgt der ISP 2 beim
Schritt S5 eine Zulässigmitteilung über die
bidirektionale Zugriffsleitung 4 zum Router 12.
-
Im
Router 12 wird die Zulässigmitteilung über die
Zugriffsleitungs-Medienzugriffssteuerungseinheit 26,
Routensteuerungseinheit 22 und Medienzugriffssteuerungseinheit 21 des
Routers 12 zur Abfrageeinheit 24 gesendet. Beim
Schritt S6 wird im Fall einer IPv4 (Internet Protocol version 4
(Internetprotokollversion 4)) mittels eines DHCP (Dynamic Host Configuration
Protocol, RFC 2131 (dynamisches Host-Konfigurationsprotokoll, RFC
2131)) dem neuen Endgerät 15 eine
IP-Adresse zugeordnet. Im Fall eines IPv6 wird ein IP-Netzwerkpräfix zugeordnet.
Infolgedessen kann das neue Endgerät 15 am Heimnetzwerk 13 partizipieren.
Es werden durch die Zulässigmitteilung
auch unterschiedliche Einstellungen, die zur Verbindung des Endgeräts 15 mit
dem Heimnetzwerk 13 notwendig sind, ausgeführt, und
der Benutzer muss selbst die Einstellungsoperation kaum ausführen.
-
Wenn
beim Schritt S4 festgestellt wird, dass die Kombination der IDs,
d.h. (HGWID = A und MTID = B) in der Datenbank 3 noch nicht
registriert ist, wird beim Schritt S7 über die Routensteuerungseinheit 22 und
Medienzugriffssteuerungseinheit 21 des Routers 12 eine
Verweigerungsmitteilung zur Abfrageeinheit 24 gesendet.
In diesem Fall kann, da der Router 12 erkennt, dass das
neue Endgerät
ein Gerät
ist, das nicht mit dem Heimnetzwerk 13 verbunden werden darf,
dieses Endgerät
nicht am Heimnetzwerk 13 partizipieren.
-
(Zweite Ausführungsform)
-
4 zeigt
ein Beispiel eines Systems gemäß der zweiten
Ausführungsform
der Erfindung. Das Bezugszeichen 101 bezeichnet ein Internet
und 102 bezeichnet einen ISP (Internet Service Provider (Internetdienstbereitsteller)),
der als ein mit dem Internet 101 verbundener Server dient.
Der ISP 102 weist einen Mail- bzw. E-Mail-Server (mail server),
einen DNS-Server, einen Proxy-Server und dgl. auf, stellt eine gewöhnliche
Internetverbindungsfunktion bereit und weist eine Datenbank 103 zur
Authentisierung auf.
-
Das
Bezugszeichen 111 bezeichnet ein Heim und 112 bezeichnet
einen Heim-Gateway
für beispielsweise
einen Router. Der ISP 102 und der Router 112 sind
durch eine bidirektionale Zugriffsleitung 102 wie beispielsweise
eine ISDN-Leitung (ISDN = Integrated Services Digital Network (Dienste-integrierendes
digitales Netzwerk), eine dezidierte Leitung, eine xDSL (x Digital
Subscriber Line (x digitale Teilnehmerleitung)) wie beispielsweise
eine ADSL (Asymmetric Digital Subscriber Line (asymmetrische digitale
Teilnehmerleitung)) oder dgl., eine optische Faser oder dgl. verbunden.
Im Fall der Benutzung des ISDN als eine bidirektionale Zugriffsleitung 104 sind,
wenn notwendig, zwischen den Router 112 und das ISDN eine
DSU (Digital Service Unit (Digitaldiensteinheit)) (nicht gezeigt)
und ein TA (Terminal Adapter (Endgerätadapter)) eingesetzt.
-
Es
kann auch eine Dienstgesellschaft eines Kabelfernsehens durch Benutzung
einer Kabelfernsehleitung als eine bidirektionale Zugriffsleitung 104 verbunden
sein. Die Dienstgesellschaft verbreitet Audio- und/oder visuelle
Inhalte über
eine Kabelfernseh-Basisstation und eine im Heim 111 bereitgestellte
digitale Set-Top-Box. Eine solche Dienstgesellschaft des Kabelfernsehens
ist auch eine Art von ISP 102 zur Bereitstellung eines
Diensts zur Verbindung mit dem Internet.
-
Bei
der Ausführungsform
sind im Heim 111 ein beim Bezugszeichen 113 gezeigtes
Leitungs- bzw. Draht-LAN und ein Funk- bzw. Drahtlos-LAN 114 installiert.
Das Draht-LAN 113 und das Drahtlos-LAN 114 bauen
ein Heimnetzwerk auf. Als Drahtlos-LAN 114 kann das IEEE
802.11 umfassende IEEE 802.11x, Bluetooth, Wireless 1394 oder dgl.
benutzt werden. Das Heimnetzwerk kann auch ein anderes Netzwerk
aufweisen. Beispielsweise ist es auch möglich, mit dem Drahtlos-LAN ein Zellulartelefon
zu verbinden und das Zellulartelefon durch Bluetooth mit einem anderen
Gerät zu
verbinden. Obgleich die Erfindung durch eine Verbindungssteuerung
eines Geräts,
das auf drahtlose Weise angeschlossen ist, charakterisiert ist,
wird die Ausführungsform
in Bezug auf ein Gerät
beschrieben, das mit einem mittels Draht angeschlossen Gerät gemischt
existiert.
-
Mit
dem Draht-LAN 113 sind Endgeräte TE1, TE2 und TE3 verbunden.
TE4 bezeichnet ein Endgerät,
das mit dem Drahtlos-LAN 114 neu zu verbinden ist. Als
Endgerät
können
ein Personalcomputer (Tischgerättyp
oder Notebookgrößentyp),
ein Audiogerät
wie beispielsweise ein CD-Spieler (CD = Compact Disc (Kompaktplatte))
oder dgl., ein Fernsehen betreffendes Gerät wie beispielsweise ein Tuner, eine
Anzeige oder dgl., ein Video-Rekorder/Spieler wie beispielsweise
ein DVD-Gerät
(DVD = Digital Versatile Disc (mehrseitige Digitalplatte) oder Digital Video
Disc (Videodigitalplatte)) oder dgl. oder ein tragbares Informationsgerät oder dgl.
angeschlossen sein. Ferner können
mit dem Heimnetzwerk Haushaltsgeräte wie beispielsweise Klimaanlage,
Kühlschrank
und dgl. verbunden sein.
-
Vom
ISP 102 werden jedem der mit dem Draht-LAN 113 und
Drahtlos-LAN 114 verbundenen Endgeräte über den Router 112 unterschiedliche
Daten zugeführt.
Beispielsweise werden dem Router 112 Inhaltsdaten wie beispielsweise
Audiodaten, Videodaten usw. zugeführt. Zur gleichen Zeit können die
mit dem Draht-LAN 113 und/oder dem Drahtlos-LAN 114 verbundenen
Endgeräte
miteinander kommunizieren.
-
Im
Fall des Heimnetzwerks, das vom ISP 102 verwaltet wird,
weist jedes Endgerät
einen einzelnen Identifizierer im ISP auf. ISP 102 zeichnet
den Identifizierer auf einem Aufzeichnungsmedium (das heißt entfernbaren
Aufzeichnungsmedium) vorläufig auf,
das zum/vom Endgerät
bringbar/entfernbar ist. Es ist möglich, als ein Aufzeichnungsmedium
ein Informationsaufzeichnungsmedium, das generell Information halten
kann, wie beispielsweise eine IC-Karte (auch als Speicherkarte bezeichnet)
zur Aufzeichnung von Information in einem Blitz- bzw. Flash-Speicher,
eine Magnetkarte zur Aufzeichnung von Information auf einem magnetischem
Material, eine Plastikkarte zur Aufzeichnung von Information als
ein Grafikmuster wie beispielsweise Strichcode oder dgl., oder dgl
zu benutzen. Bei dieser Ausführungsform
ist die IC-Karte benutzt. Die IC-Karte kann auch eine Funktion einer
LAN-Karte oder dgl. zusätzlich
zu einer Funktion zum Halten des Identifizierers aufweisen. Der
Router 112 weist auch einen Identifizierer (ID:0) des Routers
selbst auf.
-
Die
IC-Karte, in welcher der Identifizierer (ID) aufgezeichnet worden
ist, ist zum/vom Router 112 und zu/von jedem Endgerät bringbar/entfernbar.
In einer in das Endgerät
TE1 geladenen IC-Karte MS1 ist (ID:1) aufgezeichnet. In einer in
das Endgerät
TE2 geladenen IC-Karte MS2 ist (ID:2) aufgezeichnet. In einer in
das Endgerät
TE3 geladenen IC-Karte MS3 ist (ID:3) aufgezeichnet. Außerdem ist
in einer in das Endgerät
TE4 geladenen IC-Karte MS4 (ID:4) aufgezeichnet. Eine zum ID addierte
Zahl hat eine Bedeutung zum Spezifizieren jedes ID und bezeichnet
keinen Wert der Daten. Ein Datenaufbau des ID weist ein vorbestimmtes
Format wie beispielsweise eine Bitlänge oder dgl. auf und ist vorzugsweise
verschlüsselt
worden.
-
Wenn
der Benutzer beabsichtigt, das Endgerät TE4 mit dem Drahtlos-LAN 114 zu
verbinden, fordert er den ISP 102 auf, einen neuen Identifzierer (ID:4)
auszugeben. Das heißt
der Benutzer empfängt eine
Distriebuntion der IC-Karte MS4, auf der ein solcher Identifizierer
aufgezeichnet worden ist. 4 zeigt
eine Stufe, bei welcher der Benutzer die IC-Karte MS4 erhielt. Wie
in 5 gezeigt ist die IC-Karte MS4 in den Router 112 geladen.
Der Router 112 liest den Identifizierer (ID:4) von der
IC-Karte MS4 aus und
speichert ihn im Router 112. In anderen Worten wird (ID:4)
vorher im Router 112 registriert.
-
Nach
Vollendung des Lesens und Speicherns des Identifizierers im Router 112 wird
die IC-Karte MS4 vom Router 112 entfernt und wieder in das
Endgerät
TE4 geladen. Wenn das Endgerät
TE4 durch Übertragung
des Identifizierers (ID:4) mit dem Router 112 kommuniziert,
wird zwischen dem Router 112 und dem Endgerät TE4 eine
Authentisierung auf der Datenverbindungsebene ausgeführt. Es
ist auch möglich,
durch Benutzung des Identifizierers (ID:4) einen Verschlüsselungsschlüssel zu
erzeugen und Kommunikationsinhalte wie notwendig zu verschlüsseln.
-
Wie
oben erwähnt
kann durch Einsetzen der IC-Karte MS4 in den Router 112 und
nachfolgendes Einsetzen der IC-Karte MS4 in das Endgerät TE4 die Authentisierung
auf der Datenverbindungsebene ausgeführt werden. Infolgedessen ist
es möglich
zu verhindern, dass eine nicht autoririsierte Person heimlich und
unerlaubt in die Inhalte der Kommunikation des Drahtlos-LAN 114 Einblick
nimmt. Das heißt es
ist möglich
zu verhindern, dass sich eine dritte Person von der Außenseite
des Hauses, bei dem der Router 112 installiert worden ist,
mit dem Drahtlos-LAN 1 verbindet. Außerdem ist zum Zweck einer Ausführung der
Endgerätauthentisierung
die Korrespondenzrelation zwischen dem ID des Routers und dem ID
des Endgeräts
auf der Datenbank, die der ISP 102 hat, registriert worden.
Der ID des Routers 112 ist durch HGWID ausgedrückt.
-
Information
einer Kombination aus dem HGWID des Routers 112 und dem
ID des Endgeräts
sind in der für
den ISP 102 bereitgestellten Datenbank vorher registriert
worden. Beispielsweise wird ein Registrierungsprozess bezüglich der
Datenbank 103 vom ISP 102 und einem Verkaufsladen
ausgeführt, wenn
das Endgerät
verkauft wird. Beispielsweise bringt, wenn der Benutzer das Endgerät TE4 kauft, der
Benutzer selbst eine Karte, in welcher der HGWID des Routers 112 zuhause
aufgezeichnet worden ist, in den Laden mit. Auf Basis der Information
des Routers und Information der IC-Karte MS4 registriert der Laden
Daten, die eine Korrespondenzrelation (HGWID:0, ID:4) zeigen, in
der Datenbank 103. Zusammen mit dem Endgerät TE4 erhält der Benutzer die
IC-Karte MS4, auf welcher (ID:4) vorher aufgezeichnet worden ist.
-
Natürlich ist
das Registrierungsverfahren in die Datenbank 103 nicht
auf das obige Verfahren beschränkt.
Wenn beispielsweise über
das Internet 101 und den ISP 102 ein Kaufvertrag
auf der Basis der Information des Routers, mit dem das Endgerät, in welchem
die Software für
eine solche Kommunikation implementiert worden ist, verbunden ist,
gemacht worden ist, kann der ISP 102 oder die Empfangsseite eines
Auftrags die Daten, welche die Korrespondenzrelation zwischen dem
HGWID des Routers und dem ID des Endgeräts anzeigen, in der Datenbank 103 registrieren.
-
6 zeigt
schematisch einen Aufbau des Routen 112. Der Router 112 weist
auf eine Drahtlos-Medienzugriffssteuerungseinheit 121,
eine Routensteuerungseinheit 122, eine Drahtlossteuerungseinheit 123,
eine Abfrageeinheit 124, eine IC-Karten-Schnittstelle 125, eine Zugriffsleitungs-Medienzugriffssteuerungseinheit 126 und
eine Draht-Medienzugriffssteuerungseinheit 127. Die Drahtlos-Medienzugriffssteuerungseinheit 121 steuert
eine Übertragung
von Daten zum Drahtlos-LAN 114. Die Draht-Medienzugriffssteuerungseinheit 127 steuert eine Übertragung
von Daten zum Draht-LAN 113.
-
Durch
die Drahtlossteuerungseinheit 123 sind mehrere Endgeräte auf drahtlose
Weise gegenseitig verbunden. Die Routensteuerungseinheit 122 ist
mit der bidirektionalen Zugriffsleitung 104 verbunden.
Die Abfrageeinheit 124 kommuniziert über die Drahtlos-Medienzugriffssteuerungseinheit 121,
Routensteuerungseinheit 122 und Zugriffsleitungs-Medienzugriffssteuerungseinheit 126 mit
dem ISP 102 und fragt den ISP 102 über die
Zulassung oder Verweigerung einer Verbindung eines neuen Endgeräts ab. Die
IC-Karten-Schnittstelle 125 ist eine Schnittstelle der
IC-Karte und kann den in einem vorbestimmten Format aufgezeichneten
Identifizierer auslesen. Außerdem
können
Schlüsseldaten
oder dgl. auf der IC-Karte wie notwendig aufgezeichnet sein.
-
Der
Authentisierungsprozess auf der Datenverbindungsebene wird anhand
eines Flussdiagramm der 7 beschrieben. Ein Fluss dieses
Prozesses korrespondiert mit einem Programm, das im Router 112 oder
einem anderen Computer installiert ist und das Drahtlos-LAN 114 steuert.
Wie erforderlich ist dieses Programm auf einem Computer-lesbaren
Aufzeichnungsmedium aufgezeichnet. Jedoch bezieht sich Schritt S10
auf einen wie oben erwähnten
Prozess zur vorherigen Registrierung des ID in der Datenbank 103 und
wird von nachfolgenden Prozessen separat aufgeführt.
-
Beim
ersten Schritt S11 wird die IC-Karte in den Router 112 eingesetzt.
Der in der IC-Karte aufgezeichnete Identifizierer, beispielsweise
(ID:4), wird über
die IC-Karten-Schnittstelle 125 des
Routers 112 ausgelesen. Danach wird beim Schritt S12 die IC-Karte
in das Endgeräte
TE4 zurückgebracht
(in dieses geladen). Bei einer Kommunikation beim Schritt S13 informiert
das Endgerät
TE4 den Router 112 über
den (ID:4). Der Router 112 erkennt, dass das Endgerät TE4 den
gleichen ID wie den ausgelesenen ID hat. Auf diese Weise wird beim
Schritt S14 zwischen dem Router 112 und dem Endgerät TE4 der
Authentisierung auf der Datenverbindungsebene genügt.
-
Danach
wird die Endgerätauthentisierung ausgeführt. Die
Endgerätauthentisierung
ist ungeachtet der drahtmäßigen Weise
oder der drahtlosen Weise notwendig, und ein sicheres Netzwerk kann ohne
Installierung der Firewall und Ausführung einer Paketfilterung
oder dgl. aufgebaut werden. Die Endgerätauthentisierung wird nachfolgend
beschrieben.
-
8 zeigt
einen Zustand, bei dem IC-Karten MS1, MS2 und MS3 in die jeweiligen
Endgeräte TE1,
TE2 bzw. TE3, die jeweils mit dem Draht-LAN 113 verbunden
sind, geladen worden sind und die in diesen IC-Karten aufgezeichneten
Identifizierer in der Datenbank des ISP 102 registriert
worden sind. Als ein Verfahren zur Registrierung der Identifizierer der
mit dem Draht-LAN 113 verbundenen Endgeräte in der
Datenbank 113 kann ein Verfahren ähnlich zu dem oben erwähnten benutzt
werden.
-
Ein
Fluss für
den Endgerätauthentisierungsprozess
wird anhand der 9 beschrieben. Ein Fluss dieses
Prozesses korrespondiert mit einem Programm, das im Router 112 oder
einem anderen Computer installiert ist und das Draht-LAN 113 und Drahtlos-LAN 114 steuert.
Wie erforderlich ist dieses Programm in einem Computerlesbaren Aufzeichnungsmedium
aufgezeichnet. Der Registrierungsprozess des ID in der Datenbank
ist vorher ausgeführt worden.
-
Beispielsweise
wird ein Fall, bei dem das Endgerät TE4 (ID:4) mit dem Endgerät TE3 (ID:3)
als ein Beispiel beschrieben. Beim Schritt S21 fordert das Endgerät TE4 das
Endgerät
TE3 zur Herstellung der Verbindung auf. Beim Schritt S22 fragt das
Endgerät
TE3, das diese Aufforderung empfangen hat, den ISP 102 über den
Router 112 darüber
ab, ob das Endgerät
TE4 zur gleichen Gruppe gehört
oder nicht. Die Abfrageeinheit 124 des Routers 112 überträgt auch
den Identifizierer (ID0:0) des Routers 112 zum ISP 102 in
einer Verriegelungsrelationsweise. Vorzugsweise ist die Kommunikation
für die
Authentisierung verschlüsselt
worden.
-
Beim
Schritt S23 bezieht sich der ISP 102 auf die Datenbank 103.
Beim Schritt S24 wird entschieden, ob (ID:3) und (ID:4) zur gleichen
Gruppe gehören
oder nicht. In der Datenbank 103 sind in Bezug auf (HGWID:0)(1,
2, 3, 4) registriert worden (siehe 4 und 5).
Deshalb wird festgestellt, dass (ID:3) und (ID:4) zur gleichen Gruppe
gehören.
-
Dieses
Resultat wird vom ISP 102 über die bidirektionale Zugriffsleitung 104,
die Zugriffsleitungs-Medienzugriffssteuerungseinheit 126 und
die Routensteuerungseinheit 122 zum Router 112 übertragen
und außerdem
vom Router 112 zum Endgerät TE3 übertragen. Im Fall der gleichen
Gruppe ist der Endgerätauthentisierung
genügt
(Schritt S25). Beim Schritt S26 wird die Sicherheit zwischen den
Endgeräten
TE3 und TE4 hergestellt. Wenn beim Schritt S24 festgestellt wird,
dass sie nicht zur gleichen Gruppe gehören, ist der Endgerätauthentisierung nicht
genügt
(Schritt S27). In diesem Fall wird die Sicherheit nicht hergestellt
(Schritt S28). Um die Sicherheit des Netzwerks zu garantieren, wird,
wenn die IC-Karte nach Herstellung der Verbindung aus dem Endgerät gezogen
wird, die Herstellung der Sicherheit annulliert.
-
10 zeigt
eine Situation, bei der das in einem Heimnetzwerk der dritten Person
registrierte Endgerät
mit dem eigenen Heimnetzwerk des Benutzers verbunden worden ist.
Es sei angenommen, dass ein anderes Endgerät TE10 ist, seine IC-Karte MS10
ist und sein Identifzierer (ID:10) ist. In diesem Fall wird die
IC-Karte MS10 in den Router 112 geladen, wodurch der Router 112 (ID:10)
auslesen kann. Infolgedessen ist der Authentisierung auf der Datenverbindungsebene
genügt.
Jedoch in der Datenbank 103 des ISP 102 ist (ID:10)
nicht als ein ID der gleichen Gruppe wie der des Routers 112 (HGW
ID:0) registriert. Deshalb ist einer Endgerätauthentisierung nicht genügt.
-
Dies
bedeutet dass, obgleich das Endgerät TE10 über den Router 122 und
das Heimnetzwerk dieser Person mit dem Internet 101 verbunden
werden kann, es nicht mit dem mit dem Draht-LAN 113 und
Drahtlos-LAN 114 verbundenen Endgerät kommunizieren kann. Das heißt es besteht
ein Vorteil derart, dass das Endgerät, das einen Mechanismus zur Authentisierung
auf der Datenverbindungsebene unter Benutzung der IC-Karte aufweist, über das
andere Heimnetzwerk, das einen ähnlichen
Mechanismus aufweist, mit der Außenseite kommunizieren kann.
-
Außerdem zeigt 11 ein
Beispiel, bei dem ein Endgerät,
beispielsweise TE4, zur Außenseite des
Heims gebracht ist und eine Kommunikation über einen öffentlichen Zugriffspunkt 131 gemacht
wird. Die IC-Karte MS4, auf der (ID:4) aufgezeichnet worden ist,
ist in das Endgerät
TE4 geladen worden. In diesem Fall ist jedoch, da die IC-Karte MS4
nicht in den an einer entfernten Position existierenden Router 112 geladen
werden kann, die Authentisierung auf der Datenverbindungsebene fortgelassen.
Jedoch kann der öffentliche
Zugriffspunkt 131 einen Aufbau derart aufweisen, dass eine
vorherige Registrierung des Identifizierers durch die IC-Karte akzeptiert
werden kann.
-
Das
Endgerät
TE4 kann über
den öffentlichen
Zugriffspunkt 131 auf das Internet 101 zugreifen und
kann außerdem
mit dem Endgerät
des Heimnetzwerks eines eigenen Heims kommunizieren. In diesem Fall
wird die Endgerätauthentisierung
wie oben erwähnt
ausgeführt.
Nur wenn. der Endgerätauthentisierung
genügt
ist, ist die Sicherheit hergestellt. Wie oben erwähnt kann
sie selbst beim Endgerät,
das vom Heimnetzwerk benutzt wird, auf der Außenseite des Heims ausgeführt und
benutzt werden.
-
Die
Erfindung ist nicht auf die vorhergehende Ausführungsform der Erfindung beschränkt, sondern es
sind in dem durch die beigefügten
Ansprüche
definierten Schutzbereich der Erfindung viele Modifikationen und
Anwendungen möglich.
Beispielsweise ist, wenn die vorhergehende Ausführungsform in Bezug auf das
Beispiel des Heimnetzwerks beschrieben worden ist, die Erfindung
nicht auf das Heim beschränkt,
sondern kann bei einem Netzwerk in einer Gesellschaft oder Firma
angewendet werden. Gemäß der obigen
Offenbarung kann das Netzwerksystem, bei dem nur eine Kombination
aus dem Router und dem Endgerät,
das in der für
den Internetdienstbereitsteller bereitgestellten Datenbank registriert worden
ist, mit dem Netzwerk verbunden werden kann, realisiert werden.
Der Benutzer muss den Router nicht selbst einstellen, sondern kann
dem Endgerät
ermöglichen,
am Netzwerk wie beispielsweise einem Heimnetzwerk oder dgl. neu
zu partizipieren.
-
Es
ist möglich
zu verhindern, dass das nicht registrierte Endgerät mit dem
Netzwerk wie beispielsweise einem Heimnetzwerk oder dgl. verbunden wird,
so dass die Sicherheit des Netzwerks verbessert werden kann. Beispielsweise
kann ein Zellulartelefon, das mit dem Netzwerk verbunden werden kann,
auf ein Zellulartelefon beschränkt
werden, das eine Funktion zur Verhinderung eines illegalen Eingriffs
von außen
aufweist.
-
Auch
selbst in dem Fall, dass das Heimnetzwerk ein Drahtlos-Netzwerk
ist, kann, um zu verhindern, dass eine dritte Person heimlich und
unerlaubt Einblick nimmt, die Authentisierung auf der Datenverbindungsebene
ausgeführt
werden. Die Sicherheit kann durch die Endgerätauthentisierung verbessert werden.
Außerdem
besteht ein Vorteil derart, dass die Einstellungsoperation des Routers
oder dgl. für einen
solchen Zweck unnötig
wird und es ausreicht, die Lade- und Entfernungsoperation des Aufzeichnungsmediums
auszuführen.
-
Außerdem kann
das Sicherheitsnetzwerk ohne Implementierung der Firewall aufgebaut
werden. Es besteht folglich ein Vorteil derart, dass ein Problem,
bei dem das Heimnetzwerk von der implementierten Firewall abhängt und
das Heimnetzwerk kein offenes Netzwerk wird, nicht auftritt.
-
- 1,
101
- INTERNET
- 2,
102
- ISP
- 3,
303
- DATENBANK
- 12,
102
- ROUTER
- 13
- HEIMNETZWERK
- 14,
15,
- TF1
~ TE4, TE10 ENDGERÄT
- 113
- DRAHT-LAN
- 114
- DRAHTLOS-LAN
- MS1
~ MS4, MS10
- IC-KARTE
- S1
- REGISTRIERE
MTID VON TE
- S2
- TE ÜBERTRÄGT MTID
= B ZU ROUTER
- S3
- ROUTER ÜBERTRÄGT HGWID
= A UND MTID = B ZU ISP
- S4
- IST ÜBEREINSTIMMUNG OK?
- S5
- ISP ÜBERTRÄGT ZULÄSSIGMITTEILUNG
ZU ROUTER
- S6
- ORDNE
IP-ADRESSE TE ZU
- S7
- ISP ÜBERTRÄGT VERWEIGERUNGSMITTEILUNG
ZU ROUTER
- S8
- FEHLERANZEIGE
- S10
- (ID
= 4) WIRD VON ISP IN DATENBANK REGISTRIERT UND IN
-
- IC-KARTE
AUFGEZEICHNET
- S11
- IC-KARTE
WIRD IN ROUTER EINGESETZT
- S12
- BRINGE
IC-KARTE ZU ENDGERÄT
ZURÜCK
- S13
- ENDGERÄT INFORMIERT ROUTER
VON ID = 4
- S14
- AUTHENTISIERUNG
VON DATENVERBINDUNGSEBENE IST OK
- S21
- KOMMUNIZIERUNGSAUFFORDERUNG
VON ENDGERÄT
(ID = 4)
-
- ZU
ENDGERÄT
(ID = 3)
- S22
- ENDGERÄT (ID =
3) FRAGT ISP AB
- S23
- ISP
BEZIEHT SICH AUF DATENBANK
- S24
- GEHÖREN (ID
= 3) UND (ID = 4) ZUR GLEICHEN GRUPPE?
- S25
- ENDGERÄTAUTHENTISIERUNG
IST OK
- S26
- SICHERHEIT
WIRD HERGESTELLT
- S27
- ENDGERÄTAUTHENTISIERUNG
IST NG
- S28
- SICHERHEIT
WIRD NICHT HERGESTELLT