用户认证系统和用户认证方法

专利名称：用户认证系统和用户认证方法
技术领域：
本发明涉及一种用户认证系统和用户认证方法，即举例来说，在用户有选择地使用多个局域网的其中之一的情况下，以及在用户使用ADSL通信技术，通过特定的因特网服务提供商发送分组信号的情况下，对连接的网络进行认证时优先选用的用户认证系统和用户认证方法。
背景技术：
在通常情况下，随着通信设施的配置和扩展，在固定连接的环境下，使用诸如ADSL(不对称数字用户线)的xDSL(x数字用户线)通信技术接入因特网。
图6显示了一种传统的通信系统的轮廓，在该通信系统中，使用ADSL来进行与网络服务提供商的连接。在该通信系统100中，由个人计算机组成的通信终端101通过调制解调器(调制器和解调器)102，与宽带接入服务器(BAS)103连接。宽带接入服务器103是指安装在图中未示出的通信站设施内的服务器，以便提供诸如ADSL的xDSL，或者诸如FTTH(光纤到户)的快速因特网固定连接服务。在通常情况下，宽带接入服务器103通过多个因特网服务提供商(ISP)1041、1042、……，与在图中未示出的因特网连接。
在这样的通信系统100中，使用基于以太网(注册商标)的点对点协议(PPPoE)会话105，将点对点数据从通信终端101一直传送到宽带接入服务器103。在这里，基于以太网(注册商标)的点对点协议是用于实现两点之间的连接以便进行数据通信的协议。通过使用该协议，可以中继从TCP/IP(传输控制协议/因特网协议)而下的许多协议。在这里，为了封装具有包括IP地址的分组信号，以及通过诸如以太网(注册商标)的局域网，将该信号传送到宽带接入服务器103，使用基于以太网(登记商标)的点对点协议会话105。例如，在JP-P1998-173691A中已经公开了这种技术。
宽带接入服务器103解封装在局域网上、从通信终端101发送的信号，以便提取分组信号，并且将该信号传送到与通信终端101达成合约的因特网服务提供商104x。因特网服务提供商104x通过从通信终端101要求密码的技术等，使认证作为对委托人(principal)的确认，并且如果认证成功，开始把从通信终端101发送的分组信号，分配给该信号的IP地址表示的对方。
在这样的方式下，在图6所示的通信系统100中，使用点对点协议封装用于传送的分组信号，如果通信终端101直接与因特网服务提供商104x连接，则在最初可以不需要点对点协议。出于这个目标，宽带接入服务器103需要封装和解封装分组信号的工作，例如使用点对点协议装配和拆卸报头。最近，已经非常快地配置了与因特网硬件连接的环境，并且通过这样的配置，实现了用户终端101通过与其达成合约的特定因特网服务提供商104x来通信的分组信号量的增加。同时，由于适合于固定连接的应用软件的出现，以及网站的增加，在将来，用户终端101和因特网服务提供商104x之间的通信量会可靠地逐渐增加。在这样的情况下，需要取消或者减少使用点对点协议来封装分组信号和用于拆除封装的解封装工作。
图7说明了避免使用以上解释的点对点协议的、传统上提出的通信系统的轮廓。在图7中，对与图6相同的部件添加相同的代号，并且适当地省略该解释。在通信系统120中，通信终端101与VLAN(虚拟局域网)交换机121连接。该VLAN交换机121由虚拟局域网1221、1222、……，通过多个因特网服务提供商(ISP)1041、1042、……，与未示出的因特网连接。因此，如果假定通信终端101与因特网服务提供商104x达成关于与因特网连接的合约，则当通信终端101注册时，VLAN交换机121进行认证，并且如果认证成功，则实现与作为合约伙伴的因特网服务提供商104x的连接。此外，在JP-P1997-130421A等中公开了与VLAN有关的内容。
在图7所示的通信系统120中，不需要使用图6中解释的点对点协议。因此，从由于存在太多的协议栈的原因而将宽带引入到通信系统的观点来看，将系统从作为现有设施和路由器的带宽接入服务器103成为瓶颈的问题中解放出来。同时，在完成认证之后，进行与作为虚拟的局域网的虚拟/局域网1221、1222、……的连接，由此希望在吞吐量方面的巨大改进。
然而，如上所述，在该通信系统120中采用了虚拟/局域网。由于这个原因，关于VLAN交换机121可以分支的虚拟/局域网的数量，由于把要在虚拟/局域网上传送的帧的VLAN字段配置为12比特，因此该数量最大为2的12次幂，即4096个。由于情况可能为例如即使在一个公司内，对应多个部门和物理位置会需要许多局域网，以及合并这些网络以便构成一个更大的网络，因此该限制成为构造通信系统的最大的约束。

发明内容
本发明的目标是提供用户认证系统和用户认证方法，其中，通信终端可以通过局域网，与通信网任意地连接，并且可以与期望的局域网连接而没有数量的限制。
在本发明中，用户系统包括(1)通信终端；(2)物理端口转换装置，它包括用于输入分组信号的分组信号输入装置，其中分组信号从在上游端的该通信终端，被发送到需要认证的预定通信网；认证存在确定装置，它确定该分组信号输入装置输入的分组信号是否为已经接收到所述预定通信网认证的信号；未认证信号端口，它在认证存在确定装置确定该信号是还没有接受认证的信号时，输出该信号；以及已认证信号端口，它在认证存在确定装置确定该信号是已经接受认证的信号时，输出该信号；(3)临时使用的地址提供装置，它在从物理端口转换装置的未认证信号端口中输出所述的分组信号时，向发送其分组信号的通信终端提供用于注册的临时使用的IP地址；(4)临时使用的IP地址/通信终端对应存储装置，它存储在临时使用的地址提供装置中提供的临时使用的IP地址和通信终端之间的对应(5)注册画面显示装置，它在接收由所述的临时使用的地址提供装置提供的临时使用的IP地址的通信终端后，注册到用于接收认证的预定的通信网，并且从未认证的信号端口输出该分组信号时，输入该分组信号以便显示注册画面。(6)认证合适与否确定装置，它在通过使用注册画面显示装置，从通信终端进行注册时，确定是否对移动终端进行认证；以及(7)网络地址授予装置，它在认证合适与否确认装置确定进行了认证时，向移动终端提供用于把分组数据传送到作为认证目标的、所期望的通信网的网络地址，在这样的方式下，使该网络替代临时使用的IP地址，与在临时使用的IP地址/通信终端对应存储装置中存储的通信终端相对应。
更明确地说，配置本发明，以致于设置在需要认证的预定通信网络的上游端的物理端口转换装置输入，由通信终端发送的分组信号，然后，确定该信号是否为已经接受认证的信号，在该信号是没有接受认证的信号的情况下，向发送分组信号的通信终端，临时地提供用于注册的临时使用的IP地址。接收到临时使用的IP地址的通信终端使用该地址发送分组信号，通过物理端口转换装置中的未认证信号端口，将该分组信号输入到注册画面显示装置，并且进行注册画面的显示。通信终端通过注册画面，进行用于认证的注册，然后认证合适与否确定装置确定是否进行了认证，在认证成功的情况下，向作为认证目标的、期望的通信网络提供用于传输分组信号的网络地址，而不是临时使用的IP地址。
因此，在这之后，通过物理端口转换装置的已认证信号端口，可以进行与期望的通信网络的通信。至于网络地址的数量，没有受到前述的VLAN字段的位数的限制，从而增大了构造通信系统的自由度。
同时，通过网络地址来处理分组信号的目的地，从而与使用点对点协议的技术相比，简化了处理，并且不存在降低吞吐量的可能性。
在本发明中，用户认证系统的特征在于它包括网络分配装置，在由网络地址授予装置向其提供了网络地址的通信终端发送分组信号时，该装置通过已认证信号端口接收该信号，以便将该信号分配到对应的通信网络。
更明确地说，在本发明中，网络分配装置通常依据网络地址，进行由通信终端发送的分组信号的分配。
在本发明中，用户认证系统包括(1)通信终端(2)物理端口转换装置，它包括分组信号输入装置，它输入从在上游端的通信终端，发送到需要认证的预定通信网络的分组信号；认证存在确定装置，用于确定从分组信号输入装置输入的分组信号是否为已经接受所述的预定通信网络认证的信号；未认证信号端口，它在认证存在确定端口确定该信号是还没有接受认证的信号时，输出该信号；以及已认证信号端口，它在认证存在确定装置确定该信号是已经接受认证的信号时，输出该信号；(3)临时使用的地址提供装置，它在从物理端口转换装置的未认证信号端口中输出分组信号时，向发送分组信号的通信终端，临时提供用于注册的临时使用的IP地址(4)临时使用IP地址/通信终端对应存储装置，它存储临时使用地址提供装置提供的临时使用的IP地址和通信终端之间的对应；(5)注册画面显示装置，它在接收到由临时使用地址提供装置提供的临时使用的IP地址的通信终端，注册到用于接受认证的所述预定通信网络，并且从未认证信号端口中输出该分组信号时，输入该信号，以便显示注册画面；(6)认证合适与否确定装置，它在通过使用该注册画面显示装置，从通信终端进行注册时，确定是否对该信号进行了认证；以及(7)正常IP地址授予装置，它在认证合适与否确定装置确定进行了认证时，向通信终端提供正常IP地址，在这种方式下，使正常IP地址而不是临时使用的IP地址与在临时使用IP地址/通信终端对应存储装置中存储的通信终端对应。
更明确地说，配置本发明，以致于设置在需要认证的预定通信网络的上游端的物理端口转换装置输入通信终端发送的分组信号。然后，确定该信号是否为已经接受认证的信号，在该信号为还没有接受认证的信号的情况下，向发送分组信号的通信终端临时地提供用于注册的临时使用的IP地址。接收到临时使用的IP地址的通信终端使用该地址来发送分组信号，通过物理端口转换装置的未认证信号端口，将该分组信号输入到注册画面显示装置，然后进行该注册画面的显示。
该通信终端通过注册画面，进行用于认证的注册，然后由认证合适与否确定装置确定是否进行该确定。在认证成功的情况下，向成为认证目标的期望的通信网络，提供用于传输分组信号的正常IP地址，而不是临时使用的IP地址。
因此，在此之后，通过物理端口转换装置的已认证信号端口，可以进行与期望的通信网络的通信。至于要由IP地址指定的目的地的数量，该数量可以接近于无穷大，并且不受以上提到的VLAN字段的位数的限制，从而增大了构造通信系统的自由度。
同时，通过IP地址来处理分组信号的目的地，从而与使用点对点协议的技术相比，简化了处理，并且不存在降低吞吐量的可能性。
在本发明中，用户认证系统的特征在于它包括IP子网分配装置，该装置在由正常IP地址授予装置向其提供IP地址的通信终端发送分组信号时，通过已认证信号端口接受该信号，以便将该信号分配该对应的IP网络。
更明确地说，在本发明中，IP子网分配装置通常通过IP分组的子网地址，进行由通信终端发送的分组信号的分配。
在本发明中，认证存在确定装置包括用户登记部分，其中该用户登记部分具有接受了认证且登记了的用户，认证存在确定装置依据在用户登记部分是否登记了用户，确定是否进行对每一个用户的认证。
更明确地说，在本发明中，由于需要对还没有进行认证的分组信号进行认证，通常通过使用用户登记部分，在认证存在确定装置进行该信号的确定。用户登记部分已经登记了认证的用户，通过检索该部分，可以确定认证的存在。例如，使用MAC地址使用户被指定。
在本发明中，用户认证系统包括使用通信终端的IP地址或者MAC地址中的任一个，以便进行从通信终端发送的分组信号的分配。
更明确地说，本发明指定了由IP子网分配装置进行分配的方面。如果在各个作为分配目的地的通信网络中相应地准备了IP地址，则只有调IP地址才可以确定将这些IP地址分别分配给了哪一个通信网络。此外，还可以通过利用通信终端的MAC地址进行分配。在这样的方式下，通过适当地使用关于分配的两种信息，可以从不同的观点，即通过提供给各个用户的IP地址，或者通过硬件自身，进行分组信号的分配。
在本发明中，用户认证系统包括(1)通信终端；(2)地址授予装置，它在从该通信终端进行接入时，将由因特网可访问的地址提供给该通信终端；以及(3)认证时万维网(Web)接入装置，它在通信终端通过使用由地址授予装置提供的地址，请求认证时，使上述的通信终端进行输入操作，并且使用充当认证画面的万维网显示画面进行认证的显示，其中在接入因特网时，显示该画面。
更明确地说，在本发明中，当从通信终端进行接入时，地址授予装置通常不耗时地将由因特网可访问的地址提供给通信终端。并且，当通信终端使用指定的地址请求认证时，认证时万维网接入装置通常使通信终端进行输入操作，以及使用充当认证画面的万维网显示画面，进行认证的显示，其中在接入因特网时，显示该画面。按照这样的方式，使用万维网显示画面来执行认证过程，从而通过使用通常提供的浏览器，而不需要在通信终端上安装特殊的用于认证的应用软件，就可以进行认证操作。
在本发明中，IP子网分配装置的特征在于将分组信号分配到具有与IP地址和MAC地址都一致的目的地的通信网络。
更明确地说，在本发明中，IP子网分配装置处理与IP地址和MAC地址都一致的情况。通过按照这样的方式，在IP地址和MAC地址都一致的情况下确定分配目的地，可以提高安全性。
在本发明中，使用户认证方法包括(1)因特网接入请求步骤在接入因特网时，将来自预定通信终端的分组信号发送到与局域网连接的网络服务提供商，以便请求接入因特网；(2)临时使用的IP地址返回步骤当在因特网接入步骤，进行接入因特网的请求时，向通信终端返回用于注册的临时使用的IP地址；(3)认证请求步骤使用在临时使用的IP地址返回步骤返回的临时使用的IP地址，以便从移动终端，发送用于请求特定因特网服务提供商的认证的分组信号；(4)认证合适与否确定步骤依据在认证请求步骤发送的分组信号中描述的信息，在网络提供服务提供商一方确定是否获得所述特定因特网服务提供商的认证；(5)正常IP地址返回步骤当确定在认证合适与否确定步骤中获得了认证时，向通信终端返回分配给所述特定因特网服务提供商的IP地址；(6)用于接入因特网的分组信号的发送步骤使用在正常IP地址返回步骤返回的正常IP地址，以便从通信终端发送用于接入因特网的分组信号；以及(7)分组信号分配步骤接收在用于因特网接入的分组信号发送步骤发送的分组信号，以便检查该分组信号的正常IP地址，从而将该分组信号分配到所述的特定的因特网服务提供商。
更明确地说，按照以下的方式来实现本发明在接入因特网时，从预定的通信终端向与局域网连接的因特网服务发送分组信号，进行接入因特网的请求，并且从网络服务提供商一方返回用于注册的临时使用的IP地址。并且，使用该临时使用的IP地址，从通信终端发送用于请求特定的因特网服务提供商认证的分组信号(认证请求步骤)，然后依据在分组信号中描述的信息，使网络服务提供商一方确定是否获得所述特定网络服务提供商的认证(认证合适与否确定步骤)。当在认证合适与否确定步骤确定获得了认证时，从网络服务提供商一方向通信终端返回作为正常地址的分配给所述特定因特网服务提供商的IP地址(正常IP地址返回步骤)。在这种情况下，当通过使用正常IP地址，从通信终端向网络服务提供商发送用于接入因特网的分组信号时(用于接入因特网的分组信号的发送步骤)，在网络服务提供商一方检查该分组信号的正常IP地址，从而可以将该分组信号分配到所述特定因特网服务提供商(分组信号分配步骤)。因此，在此之后，可以实现与期望的通信网络的通信。至于IP地址的数量，没有受到前面提高的VLAN字段的位数的限制，从而增大了构造通信系统的自由度。同时，依据IP地址来处理分组信号的目的地，从而与使用点对点协议的技术相比，简化了处理，并且不存在降低吞吐量的可能性。


通过阅读以下的详细描述以及附图，本发明的特征和优点将变得更加明显，图1是表示本发明的第一实施例的用户认证系统的系统配置图；图2是表示该实施例的物理端口转换开关的控制情况的流程图；图3是说明在本发明的用户认证系统中，分组信号的认证和分配原理的解释性的图；图4是显示，在发送DHCP请求分组的时刻之后，在本实施例的用户认证系统中，在用户终端一方的过程的流程图；图5是表示本发明的第二实施例的用户认证系统的系统配置图；图6是表示传统的通信系统的轮廓的系统配置图，其中使用ADSL与网络服务提供商进行连接，以及图7是表示避免了使用点对点协议的传统上提出的通信系统的轮廓的系统配置图。
具体实施例方式
以下将依据实施例，详细地解释本发明。
<第一实施例>
图1说明在本发明的第一实施例中的用户认证系统。在该认证系统200中，用户终端201与诸如以太网(注册商标)的网络(以后被称为局域网)202连接。局域网202与物理端口转换开关204输入端连接，以便转换在网络服务提供商203中要被定位的物理端口。物理端口转换开关是用于切换两个端口的开关，这两个端口即对应于认证信号的物理端口的已认证信号端口205和对应于未认证信号的物理端口的未认证信号物理端口206。已认证信号端口205与认证IP网络207连接，以便在完成用户认证之后，传送IP分组。
在本实施例中，认证IP网络207与IP子网分配交换机209连接，以便通过子网，将IP分组分配到第一因特网服务提供商(ISP)2081和第二因特网服务提供商2082中的一条路线以便传输。IP地址被分为两个地址，即，网络地址和主机地址，并且最重要的是，通过进一步划分网络地址获得的地址是子网地址。IP子网分配交换机209检查IP地址中的子网地址，如果该网络地址与第一目标IP网络2141的网络地址一致，则将从用户终端201发送的帧信号转发(传送)到第一目标IP网络2141。相反，如果该网络地址与第二目标IP网络2142的网络地址一致，则IP子网分配交换机209将该帧信号转发到第二目标IP网络2142。
同时，认证IP网络207与认证IP网络DHCP服务器211的一端连接，以便进行用户终端201的认证。此时，所谓的DHCP(动态主机配置协议)是用于在开始时向每一个用户动态分配IP地址，而在结束时，收回该IP地址的协议。认证IP网络DHCP服务器211用于将从物理端口转换开关204发出的目的地源的MAC地址提交到第一和第二RADIUS(远程认证拨入用户服务)服务器2131和2132，即提交到管理作为认证目标的因特网服务提供商208的服务器，以便接收IP地址，并且用于将该IP地址分配给用户终端201。在接收到客户的拨入连接认证请求时，适配第一和第二RADIUS服务器2131和2132中的对应的服务器，以便返回对客户认证是否合适。认证IP网络DHCP服务器211的另一端用于管理的IP网络212连接，用于管理的IP网络用于在用户认证系统200中的用户认证的管理。
另一方面，默认IP网络217与物理转换开关204的未认证信号端口206侧连接，默认IP网络217用于输入还没有接受认证的分组信号，以便执行认证过程。默认IP网络217分别与用于注册的万维网服务器215和用于默认IP网络的DHCP(动态主机配置协议)服务器216连接，其中用于注册的万维网服务器215使还没有接受认证的分组信号注册。此时，所谓的用于注册的万维网服务器215是通过使用在购买计算机等时通常附带的免费或者便宜的、用于网页精读的软件，而无需使用特别软件，使用户终端201注册的服务器。用于默认IP网络的DHCP服务器216是进行可再次利用的IP地址动态分配的服务器，更具体地说，用于默认IP网络的DHCP服务器216是临时提供IP地址，以使用户终端201注册到用于注册的万维网服务器215的服务器。用于注册的万维网服务器215和用于默认IP网络的DHCP服务器216还与用于管理的IP网络212连接。
用于管理的IP网络212与前面提到的认证IP网络DHCP服务器211连接，此外，用于管理的IP网络212还与第一和第二RADIUS服务器2131和2132连接。当接收到网络终端201的拨入连接认证请求时，RADIUS服务器2131和2132用于向客户返回认证是否合适。同时，如果用户终端201是通过第一目标IP网络2141和第一因特网服务提供商2081与因特网进行连接的终端，适配第一RADIUS服务器2131，以便向该终端提供实现这样的分配的IP地址。相反，在用户终端201是通过第二目标IP网络2142和第二因特网服务提供商2082与因特网进行连接的终端的情况下，则向该终端提供实现这样的分配的IP地址。
顺便提及，在本实施例的用户认证系统200中，物理端口转换开关204接收从用户终端201一方，通过局域网202发送到网络服务提供商203的分组信号。并且适配物理端口转换开关204，以便查找分组信号传输源的MAC(媒体接入控制)地址，并且进行其对应的端口的转换控制。
图2说明物理端口转换开关的控制情况。图1所示的物理端口转换开关204包括CPU(中央处理单元)，在图中未显示此单元；用于归档控制程序的存储介质；用于转换输出端口的转换装置；以及用于登记MAC地址的MAC地址登记表。当分组信号到达时(步骤S301是)，物理端口转换开关204确定该分组信号的MAC地址(步骤S302)。MAC地址是由NIC分配给NIC(网络接口卡)的号码，它由6个八位字节表示。并且检索在MAC地址登记表中是否登记了与该MAC地址相同的地址(步骤S303)。
在本发明的MAC地址登记表中登记接受了用户认证的MAC地址。然而，无论曾经登记的MAC地址是什么，在注销该MAC地址时，删除该MAC地址的登记内容。如果接收到的分组信号的MAC地址是在MAC地址登记表中登记的地址(步骤S304是)，在物理端口转换开关204中的前述的CPU将物理端口转换到已认证信号端口205侧(步骤S305)，并且将该分组信号发送到图1所示的认证IP网络207。
相反，在MAC地址登记表中没有登记接收到的分组信号的MAC地址的情况下(步骤S304否)，CUP将物理端口转换到未认证信号端口(206)侧(步骤S306)以便将该分组信号发送到图1所示的默认IP网络217。
现在，假定图1所示的用户终端201的用户与第一因特网提供商2081达成了关于连接到因特网的合约。假定该用户在接入因特网的预定时刻，委托浏览用户终端201，并且开始了请求第一因特网服务提供商2081认证的过程。因此，将从用户终端201发出的分组信号输入到，设置在第一因特网服务提供商2081的上游端的网络服务提供商203的物理端口转换开关204。当还没有进行该认证时，物理端口转换开关204还没有在MAC地址登记表中登记用户终端201的MAC地址。因此，物理端口转换开关204经历提供临时IP地址的过程，该过程实现用户的注册以便进行用户的认证。
图3说明本实施例的用户认证系统的主要方式的配置。构成用户认证系统200的必需部分的网络服务提供商203通过局域网202，将分组信号401输入到物理端口转换开关204。此时，还没有进行用于实现物理端口转换开关204和预定因特网服务提供商208之间的因特网连接的认证，从而物理端口转换开关204进行与用户认证装置402的连接，并且开始用户认证的过程。当在该过程中，用户认证成功时，网络服务提供商203向用户终端201提供IP地址。此时，IP子网地址提交装置403向用户终端201提交网络服务提供商203一方预先存储的IP地址其中的一个地址。稍后将详细地解释这个情况。
然后，在网络服务提供商203一方上，将提交的IP地址用于用户终端201发送的分组信号。因此，从物理端口转换开关204发送到认证IP网络207的分组信号被输入IP地址/MAC地址过滤装置404，以及在该过滤装置中对该分组信号进行过滤，稍后将详细地解释这个情况，并且还通过在分配装置405中检查IP子网地址，将该信号分配给特定的因特网服务提供商208或者在图中未显示的通信网络。通过IP地址以及MAC地址，可以执行作为用户分配的过滤。也可以接受IP地址和MAC地址的结合。
在以上的粗略描述之后，将以用户认证装置402的过程为起点，进行详细的描述。当用户操作用户终端201进行与因特网的连接时，从用户终端201发送用于获得IP地址的DHCP请求分组。
图4说明在本实施例的用户认证系统中发送DHCP请求分组之后，在用户终端一方的过程的流程图。将结合图1来解释这个情况。用户终端201通过广播帧，传送DHCP请求分组(步骤S501)。当物理端口转换开关204接收到该分组时，物理端口转换开关204把该分组转发到未认证信号端口206连接的默认IP网络217。
安装在默认IP网络217中的、用于默认IP网络的DHCP服务器216接收到从用户终端201发出的DHCP请求分组。然后该DHCP服务器返回表4接收的“ack”信号，因此，用户终端201重复DHCP请求分组的传输直到用户终端201接收到该“ack”信号(步骤S502否)用于默认IP网络的DHCP服务器216返回该“ack”信号；然而，在此时该信号中附加了预先准备的未使用的IP地址，并且将该信号传送到用户终端201。结果，一旦用户终端201接收到表示DHCP请求分组已接收的“ack”信号(步骤S502是)，随后，用户终端获得该临时分配的IP地址(步骤S503)。当用于默认IP网络的DHCP服务器216分配该临时IP地址时，该DHCP服务器存储用户终端201的MAC地址，并且将IP地址分配给在图中未显示的该DHCP存储区域中的该MAC地址。同时，此时分配的IP地址是被租用有限时间的地址，从而建立了租用时间t。作为一个实例，将租用时间t建立为5秒，或者其他类似的时间。不必说，租用时间可以比该时间更长，例如，一个小时也可接受。
当以这样的方式临时地分配IP地址时，用户终端201使用它的万维网浏览器访问用于注册的万维网服务器215。用于注册的万维网服务器215按照“http”(超文本传输协议)过程，向用户终端201传输需要输入用户ID(标识符)和密码的画面。此时，所谓的“http”过程意即具有请求和应答组合的过程，该过程被指定为用于HTML(超文本链接标示语言)传输的超文本传输协议。画面信息的传输使用户终端201显示画面，可以将用户ID和密码输入该画面，以便认证。
用户操作处于在该画面显示状态的用户终端201，并且按照“http”过程，输入用户ID和密码。用于注册的万维网服务器通过用于管理的IP网络212，向用于默认IP网络的DHCP服务器216提交用户终端201的IP地址，其中万维网服务器按照“http”过程进行访问。当用于默认IP网络216的DHCP服务器接收到用户终端201的IP地址时，该DHCP服务器通知用于注册的万维网服务器215对应于该IP地址的用户终端201的MAC地址。当用于注册的万维网服务器215接收到用户终端201的MAC地址的通知时，它通过用于管理的IP网络212，将该MAC地址、以及先前接收到的用户ID和密码提交到第一和第二RADIUS服务器2131和2132中的对应的服务器，以便进行认证请求。
现在，对于与用户终端201达成关于因特网连接的合约的第一因特网服务提供商2081而言，第一RADIUS服务器2131开始管理该服务提供商。此外，由于第二RADIUS服务器2132具有与第一RADIUS服务器2131的配置基本上相同的配置，忽略该操作的解释。
在本发明的情况下，第一RADIUS服务器2131认证从用于注册的万维网服务器215接收到的用户ID和密码。并且通知用于注册的万维网服务器215认证的结果，此时，第一RADIUS服务器2131在图中未显示的存储区域中存储用户ID和MAC地址。
用于注册的万维网服务器215接收从第一RADIUS服务器2131得到的认证。如果由于密码不一致等原因，认证失败，用于注册的万维网服务器215按照“http”过程，直接将表示认证失败的画面发送到用户终端201上。如果认证成功，它同样地按照“http”过程，直接将表示认证成功的画面发送到用户终端201上。同时，在认证成功的情况下，用于注册的万维网服务器215向物理端口转换开关204发送表明认证成功的指令，此后，在已经接收到具有用户终端201的MAC地址的分组信号的情况下，应该将该分组信号转发到与已认证信号端口205连接的认证IP网络207。
接收到该指令的物理端口转换开关204在以前提到的MAC地址登记表中登记该MAC地址。同时，如果用户终端201没有进行锁定，则当具有相同MAC地址的分组信号到达时，物理端口转换开关204进行操作，以便将该分组信号发送到与已认证信号端口205连接的认证IP网络207。
此后，将以这样的方式从用户终端201发送到局域网202的用户终端201的分组信号，通过物理端口转换开关204，转发到认证IP网络207。然而，IP地址的租用时间是有限的。因此，当过去了租用时间t的一半时(步骤S504)，用户终端201发送需要延长租用时间的DHCP请求分组(步骤S505)。按照单点广播帧来传输该DHCP请求分组。当发出临时IP地址时，将DHCP请求分组发送到充当目的地的、用于默认IP网络的DHCP服务器216。
当从对应的用于默认IP网络的DHCP服务器216返回该DHCP请求的“ack”信号时(步骤S506是)，此时，用于默认IP网络216的DHCP服务器已经再次延长租用时间t。因此，只要过去了租用时间t的一半时间，用户终端201就重复相同的操作，从而可以多次延长租用时间t。提供这样的租用时间t的目标是避免即使用户终端进行了注销，它还保留相同的IP地址，并且防止用完预先准备的IP地址。
顺便地说，存在虽然在步骤S505发出了需要延长租用时间的DHCP请求分组，但是由于某些原因，对应的用于默认IP网络的DHCP服务器216不返回“ack”信号的情况(步骤S506否)。在这样的情况下，在过去了租用时间t的八分之七之前(步骤S507是)，过程返回步骤S505，以便通过单点广播帧重复发送DHCP请求分组。
在即使按照这样的方式，重复发送DHCP请求分组，还没有从对应的用于默认IP网络216的DHCP服务器返回“ack”信号的情况下(步骤S507否)，即当过去的时间到达租用时间t的八分之七时(步骤S507N)，此时，通过广播帧来发送该DHCP分组请求(步骤S508)。这使该DHCP请求不仅被传送到用于默认IP网络的DHCP服务器216，还被传送到认证IP网络的DHCP服务器211。
在从认证IP网络DHCP服务器211返回该DHCP请求的“ack”信号的情况下(步骤S509是)，更新租用时间t。因此，过程返回到步骤S504。相反，在没有返回该DHCP请求的“ack”信号的情况下(步骤S509)，在租用时间t耗尽之前(步骤S510否)，通过广播帧重复发送该DHCP请求分组(步骤S508)。当租用时间t耗尽时(步骤S510是)，释放该IP地址(步骤S511)。
顺便地说，认证IP网络DHCP服务器211可以按照DHCP过程获得用户终端201的MAC地址。因此，认证IP网络DHCP服务器211通过用于管理的IP网络212，将用户终端201的MAC地址提交到管理的第一RADIUS服务器2131，并且请求第一RADIUS服务器2131通知应该分配给该用户终端的适当的IP地址。
当第一RADIUS服务器2131得到该请求时，它从认证IP网络DHCP服务器211接收用户终端的MAC地址，并且从先前存储的用户ID和MAC地址的组合中提取对应的用户ID。第一RADIUS服务器2131确定应该分配给该用户的IP地址，并且通知认证IP网络DHCP服务器211所确定的IP地址。此外，该IP地址是从预先存储的地址中提交的地址；然而，地址不局限于这样的地址。例如，按照这样的情况，调整该IP地址，以便提供由用于默认IP网络的DHCP服务器216临时提供的IP地址。然而，如果在网络服务提供商203的外部，不存在与第一RADIUS服务器2131和第二RADIUS服务器2132提交的IP地址相同的地址，则只要该地址不是与网络服务提供商203内的其他IP地址竞争的地址，那么用于默认IP网络的DHCP服务器216临时提供的任何IP地址都是可接受的。
当在本实例中，由第一RADIUS服务器2131向认证IP网络DHCP服务器211通知了应该分配的IP地址时，认证IP网络DHCP服务器返回了分配通知分组，其中该分组提供已经向用户终端201的DHCP请求分配了IP地址的通知。
顺便地说，当从认证IP网络207发送IP分组时，IP子网分配交换机209检查IP分组的IP子网地址，并且建立稳定的通信，以便将这些分组转发到各自对应的IP网络。结果，例如，如果具有与第一目标IP网络2141的子网一致的子网地址的IP分组到达时，IP子网分配交换机209将该分组将该分组转发到第一目标IP网络2141。同时，如果具有与第二目标IP网络2142的子网一致的子网地址的IP分组到达时，IP子网分配交换机209将该分组转发到第二目标IP网络2142。
在先前的实例中，用户终端201与第一因特网服务提供商2081达成了关于接入因特网的合约。因此，第一RADIUS服务器2131向用户终端201提供该IP地址。由IP子网分配交换机209将具有该IP地址的分组信号，发送到第一目标IP网络2141的第一因特网服务提供商2081，并且通过第一因特网服务提供商2081，将分组信号传送到在图中未示出的因特网。
<第二实施例>
图5说明在本发明的第二实施例中的用户认证系统。该用户认证系统600是一种用户认证系统，适配该用户认证系统，以使特定公司向每一个公司员工和合作公司员工分配可访问的局域网。用户认证系统600配置有第一到第n输入/输出终端6011到601N，每一个输入/输出终端由个人计算机组成；通常与输入/输出终端连接的公司内通用的局域网(LAN)602；用于特殊目标或者应用的第一到第m专用局域网6031到603M；以及认证/分配装置604，它进行第一到第m专用局域网6031到603M的认证和分配。
在这里，认证/分配装置604包括与公司内通用局域网602连接的物理端口转换开关611。物理端口转换开关611包括用于登记已经进行了认证的用户的列表的用户登记表612。适配用户登记表612，以至于当用户请求注册到第一到第m专用局域网6031到603M中的特定局域网时，如果认证成功，则登记该用户，当用户从专用局域网603中注销时，删除该登记。
物理转换开关611除了用户登记表612外，还包括与先前的实施例相似的未认证信号端口613和已认证信号端口614。当没有在用户登记表612中进行登记的用户进行接入时，选择未认证信号端口613，并且将发送的具有广播地址的分组，传送到与未认证信号端口613连接的用于未认证信号的网络616。用于注册的万维网服务器617和默认地址服务器618与用于未认证信号的网络616连接。用于注册的万维网服务器617和默认地址服务器618还与用于管理的网络619连接。
另一方面，用于认证信号的网络621与已认证信号端口614连接。用于认证信号的网络621还与认证服务器622和地址分配交换机623连接，其中认证服务器622进行由用户注册到第一到第m专用局域网6031到603M中的任何期望的局域网的认证。适配地址分配交换机623，以便响应从用户发出的分组信号的子地址，将该分组发送到第一到第m专用局域网6031到603M中的任何一个局域网。认证服务器622还与用于管理的网络619连接。同时，此外，子地址授予服务器624与用于管理的网络619连接。适配子地址授予服务器624，以便向认证分组信号的用户提供与用户期望的专用局域网603相对应的子地址。
将通过采用以下情况作为实例进行解释，在该情况下，在这样的用户认证系统600中，举例来说，作为光纤的研究人员的用户A对第一专用局域网6031进行接入，以便收集在公司内与光纤相关的技术信息。用户A使他/她自己的员工证件中的磁信息，由与第一和第n输入/输出终端6011到601N中的任何一个连接的磁信息读取装置读出，在图中未示出该磁信息读取装置。将包括该信息的分组信号输入到认证/分配装置604的物理端口转换开关611。
物理端口中开关611使用包含在分组信号中的磁卡读取信息作为关键字，检索用户登记表，并且意识到该信号是还没有接受认证的信号。然后，将该分组信号从未认证信号端口613传送到用于未认证信号的网络616。当默认地址服务器618接收到该分组信号，该默认地址服务器向用户A发送临时对应的IP地址。将该IP地址返回作为该分组信号的传输源的用户A。用户A传送使用该IP地址的认证请求分组信号，并且由用于注册的万维网服务器17显示通用浏览器的认证画面。用户A输入他/她注册的、所期望的第一专用局域网6031的名称，以及在这样的情况下，他/她的密码。
将该输入信息与前面提到的磁信息一起，提供给认证服务器622。认证服务器622参考表示每一个公司员工所分别具有的对列出的第一到第m专用局域网6031到603M访问权限的表，并且确定认证是否合适。当认证成功时，子地址授予服务器624建立用户A的子地址，该子地址对应于用户A所期望的第一专用局域网6031。通过公司内的通用局域网602，将该子地址与认证成功的通知一起，返回到用户A。同时，当认证成功时，在用户登记表612中登记用户A。
此后，当用户A发送被寻址到第一专用局域网6031的分组信号时，物理端口转换开关611将该分组信号，从已认证信号端口614发送到用于认证信号的网络621。将该分组信号输入到地址分配交换机623。地址分配交换机623检查该分组信号的子地址，然后开始将该分组信号传送到第一专用局域网6031。
此外，在上面解释的第一实施例中执行使用提供的IP地址的子地址，以便挑选出目标IP网络的过程；然而，还可以，例如，将该分组信号的MAC地址与该分组信号的IP地址一起使用，以便使分组信号分配到具有与该IP地址和MAC地址都一致的目的地的网络。与只使用IP地址的情况相比，这可以避免第三人无意中侵入IP网络的情况，并且提高安全性。
同时，使用所提供的IP地址的子地址进行在第一实施例中的分组信号的分配；然而，还可以仅通过MAC地址进行分配。
如上所述，依据本发明，进行配置，以使设置在需要认证的预定通信网络的上游端的物理端口转换装置输入由通信终端发送的分组信号。在该分组信号不是已经接受认证的信号时，将用于注册的临时使用的IP地址，临时地提供给发送该分组信号的终端，并且在注册画面显示装置中进行注册时的画面显示。这通过使用在用于显示因特网上的信息的通信终端中通常提供的浏览器，可以实现注册操作。更明确地说，不必在通信终端中安装特殊的软件。同时，在认证成功的情况下，提供用于将分组信号传送到作为认证目标的网络、所期望的通信网络的网络地址，而不是临时使用的IP地址，通过物理端口转换装置的已认证信号端口，可以实现与期望的通信网络的通信。至于网络地址的数量，不受前面提到的VLAN字段的位数的限制，从而增大了构造通信网络的自由度。同时，通过网络地址来处理分组信号的目的地，从而与使用点对点协议的技术相比，不存在降低吞吐量的可能性。
同时，依据本发明，提供网络分配装置，从而由于通信终端使用给定的网络地址，可以容易地实现分组信号的分配。
此外，依据本发明，进行配置，以使设置在需要认证的预定通信网络上游端的物理端口转换装置输入通信终端发送的分组信号，在该分组信号不是已经接受认证的信号时，向发送该分组信号的通信终端临时地提供用于注册的临时使用的IP地址，并且在注册画面显示装置中进行在注册时的画面显示。通过使用通常设置在用于显示因特网上的信息的通信终端中的浏览器，这可以实现注册操作。更明确地说，不必安装用于注册通信终端的专用软件。同时，在认证成功的情况下，提供正常IP地址，而不是临时使用的IP地址，从而，此后，通过物理端口转换装置的已认证信号端口可以实现与期望的通信网络的通信。至于IP地址的数量，不受前面提到的VLAN字段的位数的限制，从而增大了通信系统的自由度。同时，通过网络地址处理分组信号的目的地，从而与使用点对点协议的技术比较，简化了该过程，并且不存在降低吞吐量的可能性。
同时，依据本发明，提供了IP子网分配装置，从而由于使用给定的IP地址，可以简单地进行分组信号的分配。
此外，依据本发明，IP子网分配装置通过使用通信终端的IP地址或者MAC地址中的任一个，实现从通信终端发出的分组信号的分配，从而可以从不同的观点进行分组信号的分配。
同时，依据本发明，当从通信终端进行接入时，向该通信终端提供可由因特网访问的IP地址，并且使用万维网显示画面进行认证过程，从而通过通常设置的浏览器，就可以进行认证操作，而不需要在通信终端中安装用于认证的专用应用软件。
此外，依据本发明，IP子网分配装置通常依据IP地址和MAC地址都一致的原则，确定分组信号的分配目的地，从而可以提高接入的安全性。
同时，依据本发明，通常在临时使用IP地址返回步骤中将临时使用的IP地址返回到通信终端，并且使通信终端利用该地址进行认证请求，从而，通过利用临时使用的IP地址，可以在因特网服务提供商的上游端容易地执行认证过程。同时，通过给各个因特网服务提供商预先分配IP地址，读取从通信终端一方发送的分组信号的IP地址可以容易地确定将该分组信号分配到哪一个因特网服务提供商，从而与使用点对点协议的技术相比，简化了过程，并且不存在降低吞吐量的可能性。此外，至于IP地址的数量，不受前面提到的VLAN字段的位数的限制，从而增大了构造通信系统的自由度。
权利要求
1.一种用户认证系统，包括通信终端；物理端口转换装置，该装置具有分组信号输入装置，它输入要从位于上游端的通信终端发送到需要认证的预定通信网络分组信号，认证存在确定装置，它确定分组信号输入装置输入的分组信号是否为已经接受所述预定通信网络认证的信号，未认证信号端口，它在该认证存在确定装置确定该信号是还没有接受认证的信号时，输出该信号，以及已认证信号端口，它在所述的认证存在确定装置确定该信号是已经接受认证的信号时，输出该信号；临时使用地址提供装置，它在从物理端口转换装置的未认证信号端口中输出所述的分组信号时，向发送该分组信号的通信终端，临时地提供用于注册的临时使用的IP地址；临时使用IP地址/通信终端对应存储装置，它存储临时使用的IP地址和通信终端之间的对应，其中临时使用的IP地址由临时使用地址提供装置提供；注册画面显示装置，它在通信终端接收到由所述临时使用地址提供装置提供的临时使用的IP地址后，注册到用于接受认证的所述预定通信网络，并且从所述的未认证信号端口输出该分组信号时，将该分组信号输入，以便显示注册画面；认证合适与否确定装置，它在通过使用该注册画面显示装置，从所述通信终端进行注册时，确定是否对该注册进行了认证；以及网络地址授予装置，它在认证合适与否确定装置确定进行了认证时，向该通信终端提供用于将分组信号传输到作为认证目标的、所期望的通信网络的网络地址，在这样的方式下，使替代临时使用的IP地址的该网络地址，与在所述临时使用IP地址/通信终端对应存储装置中存储的通信终端相对应。
2.根据权利要求1所述的用户认证系统，其特征在于所述的用户认证系统包括网络分配装置，该网络分配装置在由所述的网络地址授予装置向其提供了网络地址的所述通信终端发送分组信号时，通过所述的已认证信号端口，接受该分组信号，以便将该信号分配到对应的通信网络。
3.根据权利要求1所述的用户认证系统，其特征在于该系统包括，替代所述的网络地址授予装置的正常IP地址授予装置，该装置在认证合适与否确定装置确定进行了认证时，向通信终端提供正常的IP地址，在这样的方式下，使替代临时使用的IP地址的正常IP地址，与在所述的临时使用IP地址/通信终端对应存储装置中存储的通信终端对应。
4.根据权利要求3所述的用户认证系统，其特征在于所述的用户认证系统包括IP子网分配装置，该装置在由所述的正常IP地址授予装置向其提供IP地址的通信终端发送分组信号时，通过所述的已认证信号端口接受该分组信号，以便将分组信号分配到对应的IP网络。
5.根据权利要求1、2、3和4之一所述的用户认证系统，其特征在于所述的认证存在确定装置包括具有接受了认证并且登记了的用户的用户登记部分，该装置依据在用户登记部分中是否登记了该用户，确定是否对每一个用户进行认证。
6.根据权利要求4和5之一所述的用户认证系统，其特征在于所述的IP子网分配装置使用所述通信终端的IP地址或者MAC地址中的任一个，进行从通信终端发送的分组信号的分配。
7.根据权利要求4、5和6之一所述的用户认证系统，其特征在于所述的IP子网分配装置将分组信号分配到具有与所述的IP地址和MAC地址都一致的目的地的通信网络。
8.一种用户认证系统，包括通信终端；地址授予装置，它在从该通信终端进行接入时，向该通信终端提供因特网可访问的地址；以及认证时万维网接入装置，它在所述的通信终端利用由该地址授予装置提供的地址请求认证时，使所述的通信终端进行输入操作，并且显示用于认证的万维网显示画面，在接入因特网时，该画面被当作认证画面显示。
9.一种用户认证方法，该方法包括因特网接入请求步骤在进行因特网接入时，将分组信号从预定的通信终端发送到与局域网连接的网络服务提供商，以便发出接入因特网的请求；临时使用IP地址返回步骤当在因特网接入步骤，发出接入因特网请求时，将用于注册的临时使用的IP地址返回到该通信终端；认证请求步骤使用在临时使用的IP地址返回步骤中返回的临时使用的IP地址，从所述的通信终端发送对特定的因特网服务提供商进行认证请求的分组信号；认证合适与否确定步骤依据在认证请求步骤中的分组信号中描述的信息，在网络服务提供商一方确定是否获得了所述特定因特网服务提供商的认证；正常IP地址返回步骤当在认证合适与否确定步骤中确定获得认证时，向通信终端返回分配给所述特定因特网服务提供商的IP地址；用于接入因特网的分组信号发送步骤使用在正常IP地址返回步骤中返回的正常IP地址，从所述的通信终端发送用于因特网接入的分组信号；以及分组信号分配步骤接收在用于接入因特网的分组信号发送步骤中发送的分组信号，并且将该分组信号分配到所述的特定因特网服务提供商。
全文摘要
配置用户终端201，以便通过LAN 202、以及在网络服务提供商203中的IP子网分配交换机209与因特网服务提供商209连接。当输入还没有接受认证的分组信号时，物理端口转换开关204向用户终端201提供临时IP地址，并且使该用户终端201采用该IP地址来进行认证过程。如果认证成功，在提供正常的IP地址，并且由IP子网分配开关209将使用该IP地址的分组信号分配到作为目的地的网络。
文档编号H04L29/12GK1471259SQ0314743
公开日2004年1月28日 申请日期2003年7月10日 优先权日2002年7月10日
发明者进昭宏 申请人:日本电气株式会社