网络系统的制作方法

专利名称：网络系统的制作方法
技术领域：
本发明涉及可在家庭上因特网时连接网络所用的网络系统、连接设备、连接方法、网络、路由器、终端设备、通信方法、程序和记录介质。
背景技术：
通过因特网传输到住家的内容通常传送给个人计算机。压缩的音乐数据、图像数据等下载的内容都存储在个人计算机中。用户会使用AV(音频和/或视频)设备而不是个人计算机来复制这些个人计算机中的内容。然而，如果家里没有网络，将很难满足这样的要求。
因特网中所用的称为TCP/IP(Transmission ControlProtocol/Internet Protocol，传输控制协议/互联网协议)互联网协议系统和OSI(开发系统接口)基本参考模型都是著名的网络体系结构。OSI参考模型包括七层第一层是物理层；第二层是数据链路层；第三层是网络层；第四层是传输层；第五层是会话层；第六层是表示层；第七层是应用层。在物理层中建立物理互连。其中数据以比特队列(Bit Train)的方式进行处理。在数据链路层中，为了确保与通信对象的物理通信路径，进行竞争控制(Competition Control)等工作。其中数据以帧(Frame)等更结构化的单元进行处理。
TCP/IP包括四个概念层网络接口层、互连网络层、传输层和应用层。这些层建立在物理层之上。它们可以这样和OSI参考模型中的各层相对应数据链路层→网络接口层；网络层→互连网络层；传输层→传输层；会话层、表示层、应用层→应用层。网络接口层确保子网内通信。例如，在两点之间建立通信的PPP协议(点对点协议)就对应于网络接口层。
PPP(点对点协议)是用于拨号IP连接的标准协议。多个协议认证主体(Protocal Authentication)之间的数据通信在一一对应的线路上进行。在连接过程中，通过三个方面来建立链路1)链路建立请求；2)连接人的认证信息；和3)各协议的信息交换(Information Exchange)。
对于家庭网络，推荐使用有线传输系统，比如IEEE(电气和电子工程协会)1394、以太网等，以及一些无线传输系统。对于无线传输系统，推荐使用IEEE 802.11、蓝牙(商标)、无线1394等。根据那些不同传输系统建立的家庭网络组成了一个LAN(局域网)。
近年来，用于家庭联网的终端设备越来越多。每台终端设备不仅仅只用于与特定目标的通信，而且也用于连接因特网和从LAN以外的网络进行访问。为了在这样的网络中使用终端设备，需要一种称为路由器的终端设备，以便信息在LAN之间传递，以及使与网络中的另一个终端设备进行信息交换成为可能，该网络已经和相关终端设备相连接。
尽管路由器的路由设置由用户完成，但由于设置操作的技术性和专业性强，对于刚接触终端设备的新用户来说，不得不去进行如此麻烦的设置操作。
所述的通用网络体系结构，例如TCP/IP协议，也可以用于家庭网络。当家庭网络是无线网络时，为了避免第三者窃听，应当在数据链路层中进行认证加密。又由于为了建立无线数据链路的路由器设置操作的技术性和专业性强，对于刚接触终端设备的新用户来说，也不得不去进行如此麻烦的设置操作。
而且，从保护个人信息的方面出发，也需要家庭网络是安全的。目前主要是在公共网络和私人网络之间使用防火墙。这是为了避免所谓的骇客(Cracker)非法入侵网络。但是，基于此类防火墙和家庭网络的家庭网络并不开放(Open)，因此出现了一个难以开发各种各样的应用软件的问题。
因此，本发明的第一个目的是提供一个使用户可以很容易将终端设备与路由器相连接的网络系统。
本发明的第二个目的是提供一个即使有无线数据链路的路由器已不再需要设置操作时，也可以在数据链路层进行认证的网络系统。
本发明的第三个目的是提供一个不需要防火墙也可以构建安全网络的网络系统。

发明内容
要解决所述问题，根据权利要求1所述的发明，提供了一种网络系统，包括路由器，用于基于终端设备的一个标识符(Identifier)而许可或拒绝连接；和数据库，其中彼此连接的路由器和终端设备预先被关联，
其中，当出现来自终端设备的连接请求时，根据请求对数据库进行查询，并且只有数据库中登记有路由器和终端设备的对应(Correspondence)时，才允许建立终端设备的连接。
根据权利要求2所述的发明，提供了一种连接设备，其中，在终端方提供含路由器和一个或多个终端设备的网络，并且该连接设备为终端方提供连接因特网的服务，该连接设备包括数据库，其中登记有路由器的标识符和要连接网络的终端设备的标识符之间的对应关系，其中，当终端设备初次连接网络时，将检查在数据库中是否存在从用户方所发送的路由器的标识符和终端设备的标识符之间的对应关系记录，然后要把许可信息和拒绝信息中的至少一种传送给终端方若存在对应关系则生成许可信息，该许可信息将允许新终端设备和网络之间的连接；若不存在对应关系记录则生成拒绝信息，该拒绝信息将拒绝新终端设备和网络之间的连接。
根据权利要求5所述的发明，提供一种连接方法，其中，在终端方提供含路由器和一个或多个终端设备在内的网络，并为终端方提供连接因特网的服务，该方法包括数据库，其中登记有路由器的标识符和要连接网络的终端设备的标识符之间的对应关系，当终端设备初次连接网络时，将检查在数据库中是否存在从用户方所发送的路由器的标识符和终端设备的标识符之间的对应关系，然后要把许可信息和拒绝信息中的至少一种传送给终端方若存在对应关系记录则生成许可信息，该许可信息将允许新终端设备和网络之间的连接；若不存在对应关系记录则生成拒绝信息，该拒绝信息将拒绝新终端设备和网络之间的连接。
根据权利要求8所述的发明，提供一种网络，该网络由带有一个标识符的路由器和一个或多个各带有一个标识符并通过路由器连接到因特网连接设备的终端设备组成，其中当终端设备初次连接网络时，路由器的标识符和终端设备的标识符之间的对应关系将传送到因特网连接设备，并接收到由因特网连接设备根据数据库查询的检查结果所生成的许可信息和拒绝信息中的至少一种，并且只有当许可信息和拒绝信息中至少一个显示出在数据库中存在对应关系时，终端设备才能够建立初次连接。
根据权利要求11所述的发明，提供一种程序，用于由带有一个标识符的路由器和一个或多个各带有一个标识符并通过路由器连接到因特网连接设备的终端设备组成的网络系统，其中该程序允许网络执行过程，当终端设备初次连接网络时，传送路由器的标识符和终端设备的标识符之间的对应关系到因特网连接设备；过程，接收因特网连接设备根据数据库查询的检查结果生成的许可信息和拒绝信息中的至少一个；和过程，只有当由许可信息和拒绝信息中的至少一个显示出在数据库中存在对应关系时，终端设备才能够建立初次连接。
根据权利要求12所述的发明，其中提供一种记录介质，以记录由带有一个标识符的路由器和一个或多个各带有一个标识符并通过路由器连接到因特网连接设备的终端设备组成的网络所用的程序，其中该程序允许网络执行过程，用于当终端设备初次连接网络时，传送路由器的标识符和终端设备的标识符之间的对应关系到因特网连接设备；过程，用于由接收因特网连接设备根据数据库查询的检查结果生成的许可信息和拒绝信息中的至少一个；过程，只有当许可信息和拒绝信息中的至少一个显示出在数据库中存在对应关系时，终端设备才能够建立初次连接。
根据发明，只有当在因特网服务提供商所提供的数据库中登记了路由器和终端设备的组合关系后，才允许建立与比如家庭网络等一样的网络的连接。用户不需要自己来设置路由器而可以方便地将终端设备新加入如家庭网络等的网络中。也可以防止未登记的终端设备连接如家庭网络等的网络，从而提高了网络的安全性。
要解决所述问题，根据权利要求13所述的发明，提供了一种由路由器和终端设备通过无线方式连接的网络系统，其中记录一个标识符，提供可移动的记录介质，将记录介质装载到路由器中、此后附加到终端设备上，路由器读出标识符，从而允许建立该路由器和由该标识符所指定的终端设备之间的链接。
根据权利要求16所述的发明，提供在终端设备之间以无线方式交换信息所用的路由器，其中记录一个标识符，提供可移动的记录介质，从装载的记录介质中读出标识符，并且建立和由该标识符所指定的终端设备之间的链接。
根据权利要求19所述的发明，提供以无线方式交换信息所用的终端设备，其中记录一个标识符，可独立提供可移动的记录介质，从装载的记录介质中读出该标识符，并且在无线通信的时候根据该标识符建立链接。
根据权利要求20所述的发明，提供一种用于网络系统的通信方法，在该网络系统中路由器和终端设备以无线方式连接，该方法包括步骤，其中，记录一个标识符，并且提供可移动的记录介质；步骤，其中，将记录介质装载到路由器中，并且路由器读出标识符；步骤，其中，记录介质附加到终端设备上，并且终端设备读出标识符；和步骤，其中，路由器检测由该标识符所指定的终端设备，从而建立该路由器和该终端设备之间的链接。
根据权利要求21所述的发明，提供一种用于网络系统的程序，在该网络系统中路由器、终端设备以无线方式连接并且记录一个标识符，以及提供可移动的记录介质，其中程序允许网络系统执行步骤，其中，将记录介质装载到路由器中，并且路由器读出标识符；步骤，其中，将记录介质附加到终端设备上，并且该终端设备读出标识符；和步骤，其中，路由器检测由标识符所指定的终端设备，从而建立该路由器和该终端设备之间的链接。
根据权利要求22所述的发明，提供一种记录介质，在该记录介质上记录一种用于网络系统的程序，在该网络系统中路由器和终端设备以无线方式连接，记录一个标识符，以及提供可移动的记录介质，其中程序允许网络执行步骤，其中，将记录介质装载到路由器中，并且路由器读出标识符；步骤，其中，记录介质装载到终端设备上，并且终端设备读出标识符；和步骤，其中，路由器检测由该标识符所指定的终端设备，从而建立该路由器和该终端设备之间的链接。
根据本发明，将记录介质装载到路由器中，并且路由器读出在记录介质上的标识符，从而可以执行许可路由器与由该标识符所指定的终端设备之间通信的认证。所以，用户不再需要进行诸如配置路由器等麻烦的工作了。
此外，为解决所述问题，根据权利要求23所述的发明，提供一种网络系统，其中服务器和路由器通过网络连接并且一个或多个终端设备连接到该路由器，其中服务器具有数据库，该数据库登记了路由器的标识符和连接到网络的终端设备的标识符之间的对应关系，当第一个和第二个终端设备相互通信时，服务器查询第一个和第二个终端设备的标识符是否已经在数据库中登记在同一个组里，并且若该对应关系存在，则第一个和第二个终端设备可以进行通信。
根据权利要求26所述的发明，提供连接到网络系统的终端设备，其中当出现另一个终端设备的通信请求时，通过路由器向外部服务器查询该另一个终端设备的标识符，通过查询服务器的数据库对该另一个终端设备是否属于同一个组进行检查，并且只有当该另一个终端设备属于同一个组时，才允许和该另一个终端设备进行通信。
根据权利要求28所述的发明，提供一种用于网络系统的通信方法，在该网络系统中服务器和路由器通过网络连接，一个或多个终端设备连接到路由器，并且服务器具有登记了路由器的标识符和连接到网络的多个终端设备的多个标识符之间的对应关系的数据库，该方法包括步骤当第一个和第二个终端设备相互通信时，服务器查询第一个和第二个终端设备的标识符是否已经在数据库中登记在同一个组里；并且若对应关系存在，则判定第一个和第二个终端设备可以进行通信。
根据权利要求31所述的发明，提供一种用于在网络系统中的通信方法的程序，在该网络系统中服务器和路由器通过网络连接、一个或多个终端设备连接到路由器、并且服务器具有登记了路由器的标识符和连接到网络的多个终端设备的多个标识符之间的对应关系的数据库，其中程序允许网络系统执行如下步骤当第一个和第二个终端设备相互通信时，服务器查询第一个和第二个终端设备的标识符是否已经在数据库中登记在同一个组里；和若对应关系存在，则判定第一个和第二个终端设备可以进行通信。
根据权利要求32所述的发明，提供一种记录介质，在该记录介质上记录用于在网络系统中的通信方法的程序，在该网络系统中服务器和路由器通过网络连接、一个或多个终端设备连接到路由器、并且服务器具有登记了路由器的标识符和连接到网络的多个终端设备的多个标识符之间对应关系的数据库，其中程序允许网络系统执行如下步骤当第一个和第二个终端设备相互通信时，服务器查询第一个和第二个终端设备的标识符是否已经在数据库中登记在同一个组里；和若对应关系存在，则判定第一个和第二个终端设备可以进行通信。
根据本发明，通过查询通信一方的标识符，可为服务器提供的数据库检查出对方的标识符是否和用户自己的标识符属于同一个组。若属于同一个组，可确定终端之间的认证满足要求，从而建立链接。不需要安装防火墙就可以建立安全网络，且家庭网络也可以设置开放了。


图1是根据本发明的第一个实施例得出的网络系统结构的方框图。
图2是在本发明的第一个实施例中路由器的结构示例的方框图。
图3是解释在本发明的第一个实施例中允许新终端设备加入家庭网络的过程的流程图。
图4是根据本发明的第二个实施例得出的网络系统结构的方框图。
图5是在本发明的第二个实施例中网络系统结构的方框图。
图6是在本发明的第二个实施例中路由器的结构示例的方框图。
图7是解释在本发明的第二个实施例中数据链路级的认证过程的流程图。
图8是在本发明的第二个实施例中网络系统结构的方框图。
图9是解释在本发明的第二个实施例中终端认证过程的流程图。
图10是在本发明的第二个实施例中网络系统结构的方框图。
图11是在本发明的第二个实施例中网络系统结构的方框图。
具体实施例方式
(第一个实施例)下文将描述本发明的第一个实施例。图1示出了发明的第一个实施例的一个系统示例。标号1表示因特网；2代表连接到因特网1的ISP(因特网服务提供商)。ISP2有一个邮件服务器、DNS(域名系统)服务器、代理服务器等，提供普通的因特网连接功能，以及用于认证的数据库3。
标号11代表一个家庭；12代表一个家庭用网关，比如路由器。ISP2和路由器12通过一条双向访问线路4连接起来，比如ISDN(综合服务数字网)线路、专用线路、xDSL(x数字用户线路)如ADSL(非对称数字用户线路)等、光纤等。若用ISDN线路作为双向访问线路4，必要时要将一个DSU(数字服务单元)(未标出)和一个TA(终端适配器)插入在路由器12和ISDN线路之间。
有线电视服务公司也可以使用有线电缆作为双向访问线路4进行连接。服务公司通过有线电视基站和家庭11中提供的数字机顶盒来传送音频和视频内容。这样的有线电视服务公司也是一种提供因特网连接服务的ISP2。
在本实施例中，家庭11里安装了标号13所标的家庭网络，比如无线LAN等。无线LAN可以使用IEEE802.11x，IEEE802.11x包括IEEE802.11、蓝牙、无线1394等。家庭网络13并不是只能使用无线LAN，也可以使用基于电话线、电源线、电缆的有线LAN。此外，家庭网络13也可以包括多个网络。例如，可以通过无线LAN连接一台蜂窝电话，并使用蓝牙将蜂窝电话连接到另一个设备上。
终端设备14连接到家庭网络13。标号15代表一个初次连接到家庭网络13的终端设备。个人计算机(台式机或笔记本型的)，CD(光盘)播放器等音频设备，调谐器、显示器等电视相关设备，如DVD(数字通用光盘/数字视频光盘)设备等一样的视频录像机/播放器，或如便携式信息设备等一样的终端设备都可以连接到家庭网络13。此外，家庭装置如空调器、电冰箱等也可以连接到家庭网络13。
各种数据都通过路由器12从ISP2提供给连接到家庭网络13的每一个终端设备。例如，诸如音频数据、视频数据等的内容数据都提供给路由器12。同时，连接到家庭网络13的每一个终端设备可以相互通信。
图2概要地示出了路由器12的结构。路由器12包括介质访问控制单元21；路由控制单元22；无线控制单元23；查询单元24；以及访问线路介质访问控制单元26。介质访问控制单元21控制到如无线LAN(家庭网络13)的传输介质的数据传输。多个终端设备14和15之间通过无线控制单元23以无线方式相互连接。路由控制单元22连接到双向访问路线4。查询单元24通过介质访问控制单元21和路由控制单元23与ISP2进行通信，并向ISP2查询新终端设备15的连接许可或拒绝结果。
路由器12与终端设备14和15都各有一个在ISP里的ID(标识符)。终端设备的ID用MTID表示，路由器12的ID用HGWID表示。
路由器12的HGWID和终端设备的MTID的组合信息事先已经在为ISP2提供的数据库3中登记。例如，卖掉了终端设备的商店将执行数据库3的一个登记过程。具体来说，假设路由器12的HGWID设为HGWID＝A，终端设备15的MTID设为MTID＝B，当用户购买终端设备15时，商店记录下用户自己带来的其中有家里的路由器12的HGWID的卡片。基于路由器的信息和终端设备15的信息，商店把代表(HGWID＝A与MTID＝B)之间的对应关系的数据登记到数据库3中。加到ID的符号具有用于指明每一个ID的含意，但并不代表数据的值。ID的数据结构有预定格式，比如位长度等，而且最好进行加密。
登记入数据库3中的方法并不只限于所述方法。例如，如果通过因特网1和ISP2来生成销售合同，则基于路由器的信息，与该路由器连结有实现了用于所述通信的软件的终端设备，通信ISP2或订单的接收方可将体现路由器的HGWID和终端设备的MTID的对应关系的数据登记到数据库3中。
在新终端设备15连接到家庭网络13时所执行过程的流程可参考图3的描述。这些过程的流程与路由器或另一台计算机上安装的、控制家庭网络13的程序相一致。若有必要，这个程序将记录在一个计算机可读取的记录介质中。步骤S1与上面提及的将终端设备(TE)的MTID预先登记到数据库3中的过程有关，并独立于随后的过程而执行。
在步骤S2中，如果在家庭11中执行终端设备15的初始操作，例如，初次开启电源的操作，用户将(MTID＝B)从终端设备15传送到路由器12。终端设备15的传送信号由路由器12的无线控制单元23接收。MTID通过介质访问控制单元21提供给查询单元24。
查询单元24可以处理包括来自尚未在家庭网络13中登记的终端设备15的MTID在内的信号。在查询单元24中，路由器12的HGWID被保存(He1d)。通过路由控制单元22、访问线路介质访问控制单元26以及双向访问线路4，(HGWID＝A与MTID＝B)从查询单元24传送到ISP2(步骤S3)。
ISP2通过查询数据库3来检查标识符(HGWID＝A与MTID＝B)是否已经登记在数据库3中。如果已经登记，也就是说，如果在步骤S4中满足匹配，ISP2在步骤S5中通过双向访问线路4将许可消息传送到路由器12。
在路由器12中，通过路由器12的访问线路介质访问控制单元26、路由控制单元22以及介质访问控制单元21，将许可消息传送到查询单元24。在步骤S6中，若使用IPv4(互连网协议第4版)，通过DHCP(动态主机配置协议，RFC2131)为新终端设备15分配IP地址。若使用IPv6，将分配一个IP网络前缀(Network Prefix)。从而，新终端设备15可加入家庭网络13。将终端设备15连接到家庭网络13所需的各种配置也都可以由许可消息来执行，用户自己几乎不需要执行配置操作。
如果在步骤S4中判定标识符的组合(HGWID＝A与MTID＝B)尚未在数据库3中登记，在步骤S7中，通过路由器12的路由控制单元22和介质访问控制单元21，拒绝消息传送到查询单元24。这种情况下，因为路由器12发现新终端设备是不允许连接到家庭网络13的，所以这个终端设备不能够加入家庭网络13。
(第二个实施例)图4示出了根据本发明的第二个实施例得出的系统示例。标号101代表因特网，102表示作为连接到因特网101的服务器提供服务的ISP。ISP102有邮件服务器、DNS(域命系统)服务器、代理服务器等，提供普通因特网连接功能，还有用于认证的数据库103。
标号111代表一个家庭；112表示一个家庭用网关，比如路由器。ISP102和路由器112通过一条双向访问线路104连接起来，比如ISDN、专用线路、xDSL(x数字用户线路)如ADSL(非对称数字用户线路)等、光纤等。若用ISDN线路作为双向访问线路104，必要时要将DSU(数字服务单元)(未标出)和TA(终端适配器)插入在路由器112和ISDN线路之间。
有线电视服务公司也可以使用有线电缆作为双向访问线路104进行连接。服务公司通过有线电视基站和家庭111中提供的数字机顶盒来传送音频和视频内容。这样的有线电视服务公司也是一种提供因特网连接服务的ISP102。
在实施例中，标号113标记了有线LAN，并且家庭111里安装了无线LAN114。有线LAN113和无线LAN114组成家庭网络。无线LAN114可以使用IEEE802.11x，IEEE802.11x包括IEEE802.11、蓝牙、无线1394等。家庭网络也可以包括另一个网络。例如，可以通过无线LAN连接蜂窝电话，并通过蓝牙将蜂窝电话连接到另一个设备上。虽然本发明的特征在于对通过无线方式所连接设备的连接控制，本实施例会对与以有线连接的设备混合存在的设备进行描述。
终端设备TE1、TE2和TE3都连接到有线LAN113。TE4代表一个初次连接到无线LAN114的终端设备。个人计算机(台式机或笔记本型的)，如CD播放器等一样的音频设备，如调谐器、显示器等一样的电视相关设备，如DVD(数字通用光盘/数字视频光盘)设备等一样的视频录像机/播放器，或者便携式信息设备等终端设备都可以作为终端设备进行连接。此外，家庭装置如空调器、电冰箱等也可以连接到家庭网络。
各种数据都通过路由器112从ISP102提供给连接到有线LAN113和无线LAN114的每一个终端设备。例如，诸如音频数据、视频数据等的内容数据都提供给路由器112。同时，连接到有线LAN113和/或无线LAN114的终端设备可以相互通信。
对于ISP102所管理的家庭网络，每一个终端设备都在ISP中有标识符。ISP102预先把标识符记录到可与终端设备分离的记录介质(也就是，可移动的记录介质)。作为记录介质，可使用通常用于保存信息的信息记录介质，比如用于记录信息到闪存(Flash Memory)中的IC卡(也称为存储卡)、用于记录信息到磁性材料的磁卡、用于以如条形码等图案来记录信息的塑料卡等。在本实施例中，使用了IC卡。除了保存标识符的功能外，IC卡等还具有LAN卡等的功能。路由器112自己也有一个标识符(ID0)。
记录标识符(ID)的IC卡可与路由器112和每一个终端设备分离。(ID1)记录在装载到终端设备TE1的IC卡MS1中。(ID2)记录在装载到终端设备TE2的IC卡MS2中。(ID3)记录在装载到终端设备TE3的IC卡MS3中。此外，(ID4)记录在装载到终端设备TE4的IC卡MS4中。加到ID的数字都有说明每一个ID的含意，但并不代表数据的值。ID的数据结构有预定格式，比如位长度等，而且最好进行加密。
如果用户打算把终端设备TE4连接到无线LAN114，他请求ISP102产生新标识符(ID4)。也就是说，用户接收记录着这样一个标识符的IC卡MS4的分配(Distribution)。图4示出了用户获得IC卡MS4的过程。如图5中示出，IC卡MS4装载到路由器112中。路由器112从IC卡MS4中读出标识符(ID4)，并存储至路由器112中。换句话说，(ID4)预先已经登记在路由器112中了。
完成读出标识符和存储进路由器112之后，IC卡MS4从路由器112移除，再次装载到终端设备TE4中。当终端设备TE4与路由器112通信时，通过传送标识符(ID4)，在路由器112和终端设备TE4之间执行数据链路级的认证。需要的话，也可以使用标识符(ID4)产生密钥，对通信内容进行加密。
根据上文所述，通过把IC卡MS4插入路由器112，随后再把IC卡MS4插入终端设备TE4，可以进行数据链路级的认证。从而，可以避免未经认证的人窥视无线LAN114的通信内容。也就是说，可以避免第三者从路由器112所安装的房子之外连接无线LAN1。此外，在本实施例中，为了进行终端认证，路由器的ID和终端设备的ID之间的对应关系已经登记到ISP102的数据库3中。路由器112的ID用HGWID表示。
路由器112的HGWID和终端设备的ID的组合信息已经预先在为ISP102提供的数据库103中登记。例如，当卖出终端设备时，ISP102和销售商店执行数据库103的登记进程。例如，当用户购买终端设备TE4时，用户自己把其中记录着家里的路由器112的HGWID的卡片带来给商店。基于路由器的信息和IC卡MS4的信息，商店把代表(HGWID0，ID4)的对应关系的数据登记到数据库103中。与终端设备TE4一起，用户获得事先已经记录了(ID4)的IC卡MS4。
自然，登记到数据库103的方法并不局限于所述方法。例如，如果通过因特网101和ISP102来生成销售合同，则基于路由器的信息，与该路由器连结有实现了用于所述通信的软件的终端设备，通信ISP102或订单的接收方可将体现路由器的HGWID和终端设备的MTID的对应关系的数据登记到数据库103中。
图6概要地示出了路由器112的一种结构。路由器112包括无线介质访问控制单元121；路由控制单元122；无线控制单元123；查询单元124；IC卡接口125；访问线路介质访问控制单元126；以及有线介质访问控制单元127。无线介质访问控制单元121控制着到无线LAN114的数据传送。有线介质访问控制单元127控制着到有线LAN113的数据传送。
多个终端设备之间通过无线控制单元123以无线方式相互连接。路由控制单元122连接到双向访问线路104。查询单元124通过无线介质访问控制单元121、路由控制单元122和访问线路介质访问控制单元126与ISP102通信，并向ISP102查询在新终端设备连接时是否许可或拒绝。IC卡接口125是IC卡的接口，可以读出以预定格式记录的标识符。此外，若必要也可以把密钥数据等记录到IC卡中。
数据链路级的认证过程可参考图7所示流程图的描述。这个过程的流程与路由器112或另一台计算机中安装的、控制无线LAN114的程序相一致。若有必要，这个程序将记录在一个计算机可读取的记录介质中。另一方面，步骤S10与上面提及的将ID预先登记到数据库103中的过程有关，并独立于随后的过程而执行。
在第一步骤S11中，IC卡插入到路由器112中。通过路由器112的IC卡接口125读出标识符，例如，记录在IC卡中的(ID4)。随后，在步骤S12中，IC卡放回(装载)到终端设备TE4中。当通信时，在步骤S13中，终端设备TE4以(ID4)通知路由器112。路由器112发现终端设备TE4和读出的标识符具有相同的ID。按照这种方式，在路由器112和终端设备TE4之间的数据链路级认证在步骤S14中得到满足。
随后，进行终端认证。终端认证不必考虑是有线还是无线的方式，也不需要安装防火墙和执行包过滤等就可以搭建起一个安全网络。终端认证将在下文进行描述。
图8示出了IC卡MS1、MS2和MS3依次装载在分别地连接到有线LAN113的终端设备TE1、TE2和TE3中，以及记录在这些IC卡里的标识符在ISP102的数据库103中登记之后的一种情形。对于把连接到有线LAN113的终端设备的标识符登记到数据库103中的方法，也可以使用类似所述的另一种方法。
终端认证过程的流程可参考图9的描述。这个过程的流程与路由器112或另一台计算机中安装的、控制有线LAN113和无线LAN114的程序相一致。若有必要，这个程序将记录在一个计算机可读取的记录介质中。将ID预先登记到数据库中的过程已经预先执行了。
例如，以终端设备TE4(ID4)与终端设备TE3(ID3)通信的情形举一个例子。在步骤S21中，终端设备TE4请求终端设备TE3建立链接。在步骤S22中，接收到这个请求的终端设备TE3通过路由器112向ISP102查询终端设备TE4是否属于同一个组。路由器112的查询单元124也以联锁关系(Interlocking Relational)方式把路由器112的标识符(ID0)传送给ISP102。最好对认证通信已进行加密。
在步骤S23中，ISP102参考数据库103。在步骤S24中，检查(ID3)和(ID4)是否属于同一个组。对于(HGWID0)，分别在数据库103中注册ID为(1，2，3，4)(参考图4和图5)。因此，可以确定(ID3)和(ID4)属于同一个组。
这个结果通过双向访问线路104、访问线路介质访问控制单元126和路由控制单元122从ISP102传送到路由器112，然后，从路由器112传送到终端设备TE3。若是同一个组，则终端认证通过(步骤S25)。在步骤S26中，终端设备TE3和TE4之间的安全(Security)已建立。如果在步骤S24中已确定他们不属于同一个组，则终端认证失败(步骤S27)。这种情况下，则安全未建立(步骤S28)。为了确保家庭网络的安全，若在链接建立之后从终端设备中拔出IC卡，则已建立的安全失效。
图10示出了登记在第三者的家庭网络中的终端设备已经连接到用户自己的家庭网络的一种情形。另一个终端设备假设是TE10，它的IC卡假设是MS10，以及它的标识符假设是(ID10)。这种情况下，IC卡MS10被装载到路由器112中，从而允许路由器112读出(ID10)。因此，数据链路级的认证通过。但是，在ISP102的数据库103中，(ID10)没有和路由器112的标识符(HGWID0)登记在同一个组中。因此，终端认证失败。
这就意味着虽然终端设备TE10可以通过路由器122连接到因特网101和那个人的家庭网络，它并不能够与连接到有线LAN113和无线LAN114的终端设备通信。也就是说，一个好处是，拥有使用IC卡进行数据链路级的认证机制的终端设备可以通过另一个使用类似的机制的家庭网络与外界通信。
此外，图11示出了一个终端设备，例如TE4，被放置在家庭之外并通过公共访问点131进行通信的示例。记录着(ID4)的IC卡MS4装载到终端设备TE4中。这种情况下，既然IC卡MS4不能够装载到远程的路由器112中，将忽略数据链路级的认证。但是，公共访问点131可以拥有一种结构，该结构使标识符前一次通过IC卡进行的登记得到认可。
终端设备TE4可以通过公共访问点131访问因特网101，然后，可以和自己家里的家庭网络的终端设备进行通信。这种情况下，将执行所述的终端认证。只有当终端认证通过时，安全才建立。如上文所述，即使在由家庭网络使用的终端设备中，它也可以在家庭之外执行和使用。
本发明并不只限于所述的实施例，在不脱离本发明的精神的范围之内，可以对其进行很多修改和应用。例如，虽然所述的实施例是对于家庭网络的例子进行描述的，但是本发明并不只限于家庭，也可以应用于公司的网络。
工业应用性根据本发明，其中仅有路由器和在ISP的数据库中登记的终端设备的组合、并可以被连接到网络的网络系统是可行的，该数据库为因特网服务提供商提供。用户不需要自己设置路由器就可以由终端设备新加入如家庭网络等的网络。根据本发明，可以防止未登记的终端设备连接到如家庭网络等的网络，因此提高了网络的安全性。例如，连接到网络的蜂窝电话可以限制为具有防止外界非法侵入功能的蜂窝电话。
根据本发明，即使在家庭网络是无线网络的情况下，为了防止第三者窥视，可以执行数据链路级的认证。通过终端认证，可以提高安全性。此外，好处是，仅仅为这样一个目的没有必要进行路由器等的设置操作，执行记录介质的装载和移除操作就足够了。
此外，根据本发明，不需要安装防火墙就可以搭建安全网络。必然带来的一个好处是，家庭网络依赖于所安装的防火墙和家庭网络无法开放的问题不复出现。
权利要求
1.一种网络系统包括路由器，用于基于终端设备所具有的一个标识符来许可或拒绝连接；和数据库，其中彼此连接的路由器和终端设备预先被关联，其中，当出现来自所述终端设备的连接请求时，根据请求对所述数据库进行查询，并且只有所述数据库中登记有所述路由器和所述终端设备的对应时，才允许建立所述终端设备的连接。
2.一种连接设备，其中，在终端方提供包括路由器和一个或多个终端设备的网络，并且该连接设备为终端方提供连接因特网的服务，该连接设备包括数据库，其中登记有路由器的标识符和要连接网络的终端设备的标识符之间的对应关系，其中，当终端设备初次连接网络时，将检查在所述数据库中是否存在从用户方所发送的路由器的标识符和终端设备的标识符之间的对应关系记录，并且要把许可信息和拒绝信息中的至少一种传送给所述终端方若存在所述对应关系则生成许可信息，该许可信息将允许所述新终端设备和所述网络之间的连接；若不存在所述对应关系记录则生成拒绝信息，该拒绝信息将拒绝所述新终端设备和所述网络之间的连接。
3.如权利要求2所述的连接设备，其中当卖出终端设备时，路由器的标识符与连接到网络的终端设备标识符之间的对应关系会被登记到所述数据库中。
4.如权利要求2所述的连接设备，其中当通过因特网下一个订单时，路由器的标识符与连接到网络的终端设备的标识符之间的对应关系由收到所述订单的人登记到所述数据库中。
5.一种在网络系统中的连接方法，该网络系统包括在终端方的路由器和一个或多个终端设备，其中所述网络系统具有数据库，在该数据库中登记有路由器的标识符和要连接网络的终端设备的标识符之间的对应关系，并且在所述网络系统中，为终端方提供连接因特网的服务，当终端设备初次连接所示网络系统时，将检查在所述数据库中是否存在从用户方所发送的路由器的标识符和所述终端设备的标识符之间的对应关系，然后要把许可信息和拒绝信息中的至少一种传送给所述终端方若存在所述对应关系则生成许可信息，该许可信息将允许所述新终端设备和所述网络之间的连接；若不存在所述对应关系记录则生成拒绝信息，该拒绝信息将拒绝所述新终端设备和所述网络之间的连接。
6.如权利要求5所述的连接方法，其中当卖出终端设备时，路由器的标识符与连接到网络的终端设备标识符之间的对应关系会被登记到所述数据库中。
7.如权利要求5所述的连接方法，其中当通过因特网下一个订单时，路由器的标识符与连接到网络的终端设备的标识符之间的对应关系由收到所述订单的人登记到所述数据库中。
8.一种网络系统，该网络系统由带有一个标识符的路由器和一个或多个各带有一个标识符并通过所述路由器连接到因特网连接设备的终端设备组成，其中当终端设备初次连接网络系统时，路由器的标识符和所述终端设备的标识符之间的对应关系将传送到所述因特网连接设备，并接收到由所述因特网连接设备根据数据库查询的检查结果所生成的许可信息和拒绝信息中的至少一种，并且只有当所述许可信息和所述拒绝信息中至少一个显示出在所述数据库中存在的所述对应关系时，终端设备才能够建立初次连接。
9.如权利要求8所述的网络系统，其中当卖出终端设备时，路由器的标识符与连接到网络的终端设备标识符之间的对应关系会被登记到所述数据库中。
10.如权利要求8所述的网络系统，其中当通过因特网下一个订单时，路由器的标识符与连接到网络的终端设备的标识符之间的对应关系由收到所述订单的人登记到所述数据库中。
11.一种程序，用于由带有一个标识符的路由器和一个或多个各带有一个标识符并通过路由器连接到因特网连接设备的终端设备组成的网络系统，其中所述程序允许所述网络系统执行过程，当终端设备初次连接所述网络系统时，传送路由器的标识符和所述终端设备的标识符之间的对应关系到所述因特网连接设备；过程，接收由所述因特网连接设备根据数据库查询的检查结果生成的许可信息和拒绝信息中的至少一个；和过程，只有当由所述许可信息和所述拒绝信息中的至少一个显示出在所述数据库中存在的所述对应关系时，终端设备才能够建立初次连接。
12.一种记录介质，以记录由带有一个标识符的路由器和一个或多个各带有一个标识符并通过所述路由器连接到因特网连接设备的终端设备组成的网络系统所用的程序，其中所述程序允许所述网络系统执行过程，用于当终端设备初次连接所述网络系统时，传送路由器的标识符和终端设备的标识符之间的对应关系到所述因特网连接设备；过程，用于由接收由所述因特网连接设备根据数据库查询的检查结果生成的许可信息和拒绝信息中的至少一个；过程，只有当所述许可信息和所述拒绝信息中的至少一个显示出在所述数据库中存在所述对应关系时，终端设备才能够建立初次连接。
13.一种由路由器和终端设备通过无线方式连接的网络系统，其中记录一个标识符，提供可移动的记录介质，将所述记录介质装载到所述路由器中、此后附加到终端设备上，所述路由器读出标识符，从而允许建立该路由器和由该标识符所指定的终端设备之间的链接。
14.如权利要求13所述的网络系统，其中事先将标识符写在位于连接设备方上的所述记录介质上。
15.如权利要求13所述的网络系统，其中所述记录介质已经附加到所述终端设备这一点是用作建立链接的条件。
16.一种路由器，用于在通过无线方式连接的终端设备之间交换信息，其中记录一个标识符，可分离地提供可移动的记录介质，从所述装载的记录介质中读出所述标识符，并且建立起与由所述标识符指定的终端设备之间的链接。
17.如权利要求16所述的路由器，其中将标识符事先写入在连接设备方的所述记录介质。
18.如权利要求16所述的路由器，其中所述记录介质已经附加到所述终端设备这一点是用作建立链接的一个前提条件。
19.一种终端设备，用于以无线方式交换信息，其中记录一个标识符，可分离地提供可移动的记录介质，从从所述装载的记录介质中读出所述标识符，并且在无线通信的时候根据所述标识符建立链接。
20.一种用于网络系统的通信方法，在该网络系统中路由器和终端设备以无线方式连接，该方法包括步骤，其中，记录一个标识符，并且提供可移动的记录介质；步骤，其中，将所述记录介质装载到所述路由器中，并且所述路由器读出所述标识符；步骤，其中，将所述记录介质附加到所述终端设备上，并且所述终端设备读出所述标识符；和步骤，其中，所述路由器检测由所述标识符所指定的所述终端设备，从而建立所述路由器和所述终端设备之间的链接。
21.一种用于网络系统的程序，在该网络系统中路由器、终端设备以无线方式连接并且记录一个标识符，以及提供可移动的记录介质，其中所述程序允许所述网络系统执行步骤，其中，将所述记录介质装载到所述路由器中，并且所述路由器读出所述标识符；步骤，其中，将所述记录介质附加到所述终端设备上，并且所述终端设备读出所述标识符；和步骤，其中，所述路由器检测由所述标识符所指定的所述终端设备，从而建立所述路由器和所述终端设备之间的链接。
22.一种记录介质，在该记录介质上记录一种用于网络系统的程序，在该网络系统中路由器和终端设备以无线方式连接，记录一个标识符，以及提供可移动的记录介质，其中所述程序允许所述网络系统执行步骤，其中，将所述记录介质装载到所述路由器中，并且所述路由器读出所述标识符；步骤，其中，将所述记录介质附加到所述终端设备上，并且所述终端设备读出所述标识符；和步骤，其中，所述路由器检测由所述标识符所指定的所述终端设备，从而建立所述路由器和所述终端设备之间的链接。
23.一种网络系统，其中服务器和路由器通过网络连接并且一个或多个终端设备连接到所述路由器，其中所述服务器具有数据库，该数据库登记了所述路由器的标识符和连接到网络的所述终端设备的标识符之间的对应关系，当第一个和第二个终端设备相互通信时，所述服务器查询所述第一个和第二个终端设备的标识符是否已经在所述数据库中登记在同一个组里，并且若所述对应关系存在，则所述第一个和第二个终端设备可以进行通信。
24.如权利要求23所述的网络系统，其中按照路由器的每个标识符将一个或多个标识符登记到所述数据库中。
25.如权利要求23所述的网络系统，其中所述终端设备的标识符已经记录在记录介质上，该记录介质可以移到所述终端设备上或从所述终端设备上移除。
26.一种连接到网络系统的终端设备，其中当出现另一个终端设备的通信请求时，通过路由器向外部服务器查询所述另一个终端设备的标识符，通过查询所述服务器的数据库对所述另一个终端设备是否属于同一个组进行检查，并且只有当所述另一个终端设备属于同一个组时，才允许和所述另一个终端设备进行通信。
27.如权利要求26所述的终端设备，其中通过检查所述路由器的标识符和所述终端设备的标识符之间的对应关系是否存在于所述数据库中来确定所述另一个终端设备是否属于同一个组。
28.一种用于网络系统的通信方法，在该网络系统中服务器和路由器通过网络连接，一个或多个终端设备连接到所述路由器，并且服务器具有登记了路由器的标识符和连接到所述网络的多个终端设备的多个标识符之间的对应关系的数据库，该方法包括步骤当第一个和第二个终端设备相互通信时，向所述服务器查询所述第一个和第二个终端设备的标识符是否已经在所述数据库中登记在同一个组里；并且若所述对应关系存在，则判定所述第一个和第二个终端设备可以进行通信。
29.如权利要求28所述的通信方法，其中按照路由器的每个标识符将一个或多个标识符登记到所述数据库中。
30.如权利要求28所述的通信方法，其中所述终端设备的标识符已经记录在记录介质上，该记录介质可以移到所述终端设备上或从所述终端设备上移除。
31.一种用于在网络系统中的通信方法的程序，在该网络系统中服务器和路由器通过网络连接、一个或多个终端设备连接到所述路由器、并且所述服务器具有登记了路由器的标识符和连接到所述网络的多个终端设备的多个标识符之间的对应关系的数据库，其中所述程序允许所述网络系统执行如下步骤当第一个和第二个终端设备相互通信时，向所述服务器查询所述第一个和第二个终端设备的标识符是否已经在所述数据库中登记在同一个组里；和若所述对应关系存在，则判定所述第一个和第二个终端设备可以进行通信。
32.一种记录介质，在该记录介质上记录用于在网络系统中的通信方法的程序，在该网络系统中服务器和路由器通过网络连接、一个或多个终端设备连接到所述路由器、并且所述服务器具有登记了路由器的标识符和连接到所述网络的多个终端设备的多个标识符之间对应关系的数据库，其中所述程序允许所述网络系统执行如下步骤当第一个和第二个终端设备相互通信时，向所述服务器查询所述第一个和第二个终端设备的标识符是否已经在所述数据库中登记在同一个组里；和若所述对应关系存在，则判定所述第一个和第二个终端设备可以进行通信。
全文摘要
终端的ID已预先在ISP的数据库中登记。当终端设备的电源首次接通时，终端的ID从终端传送到路由器，然后将一组终端的ID和路由器的ID从路由器传送到ISP。如果该组终端的ID和路由器的ID已经在数据库登记，ISP就传送许可消息，并且该路由器给终端分配IP地址，然后使该终端设备可以加入家庭网络。如果该组终端的ID和路由器的ID没有登记，就将拒绝消息传送给路由器。
文档编号H04L29/12GK1459175SQ02800734
公开日2003年11月26日 申请日期2002年3月19日 优先权日2001年3月19日
发明者木村真也, 佐佐木贵宏, 中出元树, 国头义之, 保木本晃弘, 冈诚, 松山科子, 盐野崎敦 申请人:索尼公司