网络系统的制作方法

专利名称：网络系统的制作方法
技术领域：
本发明涉及可在家庭上因特网时连接网络所用的网络系统、连接设备、 连接方法、网络、路由器、终端设备、通信方法、程序和记录介质。
背景技术：
通过因特网传输到住家的内容通常传送给个人计算机。压缩的音乐数据、 图像数据等下载的内容都存储在个人计算机中。用户会使用AV(音频和/或视 频)设备而不是个人计算机来复制这些个人计算机中的内容。然而，如果家里 没有网络，将很难满足这样的要求。
因特网中所用的称为TCP/IP(Transmission Control Protocol/Internet Protocol,传输4空制十办i义/互联网协i义)互联网协i义系纟充 和OS I (开发系统接口 )基本参考模型都是著名的网络体系结构。OS I参考模型 包括七层第一层是物理层；第二层是数据链路层；第三层是网络层；第四 层是传输层；第五层是会话层；第六层是表示层；第七层是应用层。在物理 层中建立物理互连。其中数据以比特队列(Bit Train)的方式进行处理。在数 据链路层中，为了确保与通信对象的物理通信路径，进行竟争控制 (Competition Control)等工作。其中数据以帧(Frame)等更结构化的单元进 行处理。
TCP/IP包括四个和克念层网络接口层、互连网络层、传输层和应用层。 这些层建立在物理层之上。它们可以这样和0SI参考模型中的各层相对应 数据链路层—网络接口层；网络层—互连网络层；传输层—传输层；会话层、 表示层、应用层—应用层。网络接口层确保子网内通信。例如，在两点之间建立通信的PPP协议(点对点协议)就对应于网络接口层。
PPP (点对点协议)是用于拨号IP连接的标准协议。多个协议认证主体
(Protocal Authentication)之间的数据通信在--对应的线路上进行。在连
接过程中，通过三个方面来建立链路l)链路建立请求；2)连接人的认证信 息；和3)各协议的信息交换(Information Exchange)。
对于家庭网络，推荐使用有线传输系统，比如IEEE(电气和电子工程协 会)1394、以太网等，以及一些无线传输系统。对于无线传输系统，推荐使 用IEEE 802. 11、蓝牙(商标)、无线1394等。才艮据那些不同传输系统建立的 家庭网络组成了 一个LAN (局域网)。
近年来，用于家庭联网的终端设备越来越多。每台终端设备不仅仅只用 于与特定目标的通信，而且也用于连接因特网和从LAN以外的网络进行访问。 为了在这样的网络中使用终端设备，需要一种称为路由器的终端设备，以便 信息在LAN之间传递，以及使与网络中的另 一个终端设备进行信息交换成为 可能，该网络已经和相关终端设备相连接。
尽管路由器的路由设置由用户完成，但由于设置操作的技术性和专业性 强，对于刚接触终端设备的新用户来说，不得不去进行如此麻烦的设置操作。
所述的通用网络体系结构，例如TCP/IP协议，也可以用于家庭网络。当 家庭网络是无线网络时，为了避免第三者窃听，应当在数据链路层中进行认 证加密。又由于为了建立无线数据链^^的路由器设置操作的技术性和专业性 强，对于刚接触终端设备的新用户来说，也不得不去进行如此麻烦的设置操 作。
而且，从保护个人信息的方面出发，也需要家庭网络是安全的。目前主 要是在公共网络和私人网络之间使用防火墙。这是为了避免所谓的骇客 (Cracker)非法入侵网络。但是，基于此类防火墙和家庭网络的家庭网络并不 开放(0pen),因此出现了一个难以开发各种各样的应用软件的问题。
因此，本发明的第一个目的是提供一个使用户可以很容易将终端设备与 路由器相连接的网络系统。
本发明的第二个目的是提供一个即使有无线数据链路的路由器已不再需 要设置操作时，也可以在数据链路层进行认证的网络系统。
本发明的第三个目的是提供一个不需要防火墙也可以构建安全网络的网 络系统。

发明内容
要解决所述问题，根据本发明，提供了一种网络系统，包括路由器， 用于基于终端设备的一个标识符(Identifier)而许可或拒绝连接；和数据库， 其中彼此连接的路由器和终端设备预先被关联，
其中，当出现来自终端设备的连接请求时，根据请求对数据库进行查询， 并且只有^:据库中登记有路由器和终端i殳备的对应(Correspondence)时，才 允许建立终端设备的连接。
根据本发明，提供了一种连接设备，其中，在终端方提供含路由器和一 个或多个终端设备的网络，并且该连接设备为终端方提供连接因特网的服务， 该连接设备包括
数据库，其中登记有路由器的标识符和要连接网络的终端设备的标识符 之间的对应关系，
其中，当终端设备初次连接网络时，将检查在数据库中是否存在从用户 方所发送的路由器的标识符和终端设备的标识符之间的对应关系记录，
然后要把许可信息和拒绝信息中的至少一种传送给终端方若存在对应 关系则生成许可信息，该许可信息将允许新终端设备和网络之间的连接；若 不存在对应关系记录则生成拒绝信息，该拒绝信息将拒绝新终端设备和网络 之间的连4妄。
根据本发明，提供一种连接方法，其中，在终端方提供含路由器和一个 或多个终端设备在内的网络，并为终端方提供连接因特网的服务，该方法包 括
数据库，其中登记有路由器的标识符和要连接网络的终端设备的标识符 之间的对应关系，
当终端设备初次连接网络时，将检查在数据库中是否存在从用户方所发 送的路由器的标识符和终端设备的标识符之间的对应关系，然后
要把许可信息和拒绝信息中的至少一种传送给终端方若存在对应关系 记录则生成许可信息，该许可信息将允许新终端设备和网络之间的连接；若 不存在对应关系记录则生成拒绝信息，该拒绝信息将拒绝新终端设备和网络 之间的连才妄。
根据本发明，提供一种网络，该网络由带有一个标识符的路由器和一个或多个各带有一个标识符并通过路由器连接到因特网连接设备的终端设备组 成，其中
当终端设备初次连接网络时，路由器的标识符和终端设备的标识符之间 的对应关系将传送到因特网连接设备，并接收到由因特网连接设备根据数据
库查询的^r查结果所生成的许可信息和拒绝信息中的至少一种，并且
只有当许可信息和拒绝信息中至少 一个显示出在数据库中存在对应关系
时，终端设备才能够建立初次连接。
根据本发明，提供一种程序，用于由带有一个标识符的路由器和一个或
多个各带有一个标识符并通过路由器连接到因特网连接设备的终端设备组成
的网络系统，其中
该程序允许网络扭^亍
过程，当终端设备初次连接网络时，传送路由器的标识符和终端设备的 标识符之间的对应关系到因特网连接设备；
过程，接收因特网连接设备根据数据库查询的检查结果生成的许可信息 和拒绝信息中的至少一个；和
过程，只有当由许可信息和拒绝信息中的至少一个显示出在数据库中存 在对应关系时，终端i殳备才能够建立初次连^:。
根据本发明，其中提供一种记录介质，以记录由带有一个标识符的路由 器和一个或多个各带有一个标识符并通过路由器连接到因特网连接设备的终 端设备组成的网络所用的程序，其中
该程序允许网络扭J亍
过程，用于当终端设备初次连接网络时，传送路由器的标识符和终端设 备的标识符之间的对应关系到因特网连接设备；
过程，用于由接收因特网连接设备根据数据库查询的检查结果生成的许 可信息和拒绝信息中的至少 一个；
过程，只有当许可信息和拒绝信息中的至少 一个显示出在数据库中存在 对应关系时，终端设备才能够建立初次连接。
根据发明，只有当在因特网服务提供商所提供的数据库中登记了路由器 和终端设备的组合关系后，才允许建立与比如家庭网络等一样的网络的连接。 用户不需要自己来设置路由器而可以方便地将终端设备新加入如家庭网络等 的网络中。也可以防止未登记的终端设备连接如家庭网络等的网络，从而提高了网络的安全性。
要解决所述问题，根据本发明，提供了一种由路由器和终端设备通过无 线方式连接的网络系统，其中
记录一个标识符，提供可移动的记录介质，
将记录介质装载到路由器中、此后附加到终端设备上，路由器读出标识 符，从而允许建立该路由器和由该标识符所指定的终端设备之间的链接。
根据本发明，提供在终端设备之间以无线方式交换信息所用的路由器，
其中
记录一个标识符，提供可移动的记录介质，从装载的记录介质中读出标 识符，并且
建立和由该标识符所指定的终端设备之间的链接。 根据本发明，提供以无线方式交换信息所用的终端设备，其中 记录一个标识符，可独立提供可移动的记录介质，从装载的记录介质中 读出该标识符，并且
在无线通信的时候根据该标识符建立链接。
才艮据本发明，提供一种用于网络系统的通信方法，在该网络系统中路由
器和终端设备以无线方式连接，该方法包括
步骤，其中，记录一个标识符，并且提供可移动的记录介质； 步骤，其中，将记录介质装载到路由器中，并且路由器读出标识符； 步骤，其中，记录介质附加到终端设备上，并且终端设备读出标识符；
和
步骤，其中，路由器检测由该标识符所指定的终端设备，从而建立该路 由器和该终端设备之间的链接。
根据本发明，提供一种用于网络系统的程序，在该网络系统中路由器、 终端设备以无线方式连接并且记录一个标识符，以及提供可移动的记录介质， 其中
程序允许网络系统执行
步骤，其中，将记录介质装载到路由器中，并且路由器读出标识符； 步骤，其中，将记录介质附加到终端设备上，并且该终端设备读出标识 符；和
步骤，其中，路由器检测由标识符所指定的终端设备，从而建立该路由器和该终端设备之间的链接。
根据本发明，提供一种记录介质，在该记录介质上记录一种用于网络系 统的程序，在该网络系统中路由器和终端设备以无线方式连接，记录一个标 识符，以及提供可移动的记录介质，其中
程序允许网络执行
步骤，其中，将记录介质装载到路由器中，并且路由器读出标识符； 步骤，其中，记录介质装载到终端设备上，并且终端设备读出标识符；
和
步骤，其中，路由器检测由该标识符所指定的终端设备，从而建立该路 由器和该终端设备之间的链接。
根据本发明，将记录介质装载到路由器中，并且路由器读出在记录介质 上的标识符，从而可以执行许可路由器与由该标识符所指定的终端设备之间 通信的认证。所以，用户不再需要进行诸如配置路由器等麻烦的工作了。
此外，为解决所述问题，根据本发明，提供一种网络系统，其中服务器 和路由器通过网络连接并且一个或多个终端设备连接到该路由器，其中
服务器具有数据库，该数据库登记了路由器的标识符和连接到网络的终
端设备的标识符之间的对应关系，
当第一个和第二个终端设备相互通信时，服务器查询第一个和第二个终
端设备的标识符是否已经在数据库中登记在同一个组里，并且
若该对应关系存在，则第一个和第二个终端i殳备可以进行通信。 根据本发明，提供连接到网络系统的终端设备，其中 当出现另一个终端设备的通信请求时，通过路由器向外部服务器查询该
另 一个终端设备的标识符，
通过查询服务器的数据库对该另 一个终端设备是否属于同 一个组进行冲全
查，并且
只有当该另 一个终端设备属于同一个组时，才允许和该另 一个终端设备 进行通信。
根据本发明，提供一种用于网络系统的通信方法，在该网络系统中服务 器和路由器通过网络连接， 一个或多个终端设备连接到路由器，并且服务器 具有登记了路由器的标识符和连接到网络的多个终端设备的多个标识符之间 的对应关系的数据库，该方法包括步骤
9当第 一个和第二个终端设备相互通信时，服务器查询第 一个和第二个终
端设备的标识符是否已经在数据库中登记在同一个组里；并且
若对应关系存在，则判定第 一个和第二个终端设备可以进行通信。 根据本发明，提供一种用于在网络系统中的通信方法的程序，在该网络
系统中服务器和路由器通过网络连接、 一个或多个终端设备连接到路由器、
并且服务器具有登记了路由器的标识符和连接到网络的多个终端设备的多个
标识符之间的对应关系的数据库，其中 程序允许网络系统执行如下步骤
当第一个和第二个终端设备相互通信时，服务器查询第一个和第二个终 端设备的标识符是否已经在数据库中登记在同一个组里；和
若对应关系存在，则判定第一个和第二个终端设备可以进行通信。
根据本发明，提供一种记录介质，在该记录介质上记录用于在网络系统 中的通信方法的程序，在该网络系统中服务器和路由器通过网络连接、 一个 或多个终端设备连接到路由器、并且服务器具有登记了路由器的标识符和连 接到网络的多个终端设备的多个标识符之间对应关系的数据库，其中
程序允许网络系统执行如下步骤
当第 一个和第二个终端设备相互通信时，服务器查询第一个和第二个终 端设备的标识符是否已经在数据库中登记在同一个组里；和
若对应关系存在，则判定第 一个和第二个终端i殳备可以进行通信。 根据本发明，通过查询通信一方的标识符，可为服务器提供的数据库枱r 查出对方的标识符是否和用户自己的标识符属于同一个组。若属于同一个组， 可确定终端之间的认证满足要求，从而建立链接。不需要安装防火墙就可以 建立安全网络，且家庭网络也可以设置开放了。


图1是根据本发明的第一个实施例得出的网络系统结构的方框图。 图2是在本发明的第 一个实施例中路由器的结构示例的方框图。 图3是解释在本发明的第一个实施例中允许新终端设备加入家庭网络的 过程的流程图。
图4是根据本发明的第二个实施例得出的网络系统结构的方框图。 图5是在本发明的第二个实施例中网络系统结构的方框图。图6是在本发明的第二个实施例中路由器的结构示例的方框图。
图7是解释在本发明的第二个实施例中数据链路级的认证过程的流程
图8是在本发明的第二个实施例中网络系统结构的方框图。 图9是解释在本发明的第二个实施例中终端认证过程的流程图。 图10是在本发明的第二个实施例中网络系统结构的方框图。 图11是在本发明的第二个实施例中网络系统结构的方框图。
具体实施方式
(第一个实施例)
下文将描述本发明的第一个实施例。图1示出了发明的第一个实施例的 一个系统示例。标号l表示因特网；2代表连接到因特网1的ISP(因特网服 务提供商)。ISP 2有一个邮件服务器、DNS(域名系统)服务器、代理服务器 等，提供普通的因特网连接功能，以及用于认证的数据库3。
标号ll代表一个家庭；12代表一个家庭用网关，比如路由器。ISP 2 和路由器12通过一条双向访问线路4连接起来，比如ISDN(综合服务数字 网)线路、专用线路、xDSL(x数字用户线路)如ADSL(非对称数字用户线路) 等、光纤等。若用ISDN线路作为双向访问线路4，必要时要将一个DSU (数字 服务单元)(未标出)和一个TA(终端适配器)插入在路由器12和ISDN线路之 间。
服务公司通过有线电视基站和家庭11中提供的数字机顶盒来传送音频和视 频内容。这样的有线电视服务公司也是一种提供因特网连接服务的ISP 2。
在本实施例中，家庭11里安装了标号13所标的家庭网络，比如无线LAN 等。无线LAN可以使用IEEE 802. llx, IEEE 802. llx包括IEEE 802.11、蓝 牙、无线1394等。家庭网络13并不是只能使用无线LAN,也可以使用基于 电话线、电源线、电缆的有线LAN。此外，家庭网络13也可以包括多个网络。 例如，可以通过无线LAN连接一台蜂窝电话，并使用蓝牙将蜂窝电话连接到 另一个设备上。
终端设备14连接到家庭网络13。标号15代表一个初次连接到家庭网络 13的终端设备。个人计算机(台式机或笔记本型的)，CD(光盘)播放器等音频示器等电视相关设备，如DVD(数字通用光盘/数字^L频光 盘)设备等一样的视频录像机/播放器，或如便携式信息设备等一样的终端设 备都可以连接到家庭网络13。此外，家庭装置如空调器、电水箱等也可以连 接到家庭网络13。
各种数据都通过路由器12从ISP 2提供给连接到家庭网络13的每一个 终端设备。例如，诸如音频数据、视频数据等的内容数据都提供给路由器12。 同时，连接到家庭网络13的每一个终端设备可以相互通信。
图2概要地示出了路由器12的结构。路由器12包括介质访问控制单 元21;路由控制单元22;无线控制单元23;查询单元24;以及访问线路介 质访问控制单元26。介质访问控制单元21控制到如无线LAN(家庭网络13) 的传输介质的数据传输。多个终端设备14和15之间通过无线控制单元23以 无线方式相互连接。路由控制单元22连接到双向访问路线4。查询单元24 通过介质访问控制单元21和路由控制单元23与ISP2进行通信，并向ISP 2 查询新终端设备15的连接许可或拒绝结果。
路由器12与终端设备14和15都各有一个在ISP里的ID(标识符)。终 端设备的ID用MTID表示，路由器12的ID用HGWID表示。
路由器12的HGWID和终端设备的MTID的组合信息事先已经在为ISP 2 提供的数据库3中登记。例如，卖掉了终端设备的商店将执行数据库3的一 个登记过程。具体来说，假设路由器12的HGWID设为HGWID=A，终端设备15 的MTID设为MTID-B，当用户购买终端设备15时，商店记录下用户自己带来 的其中有家里的路由器12的HGWID的卡片。基于路由器的信息和终端设备 15的信息，商店把代表(HGWID二A与MTID-B)之间的对应关系的数据登记到数 据库3中。加到ID的符号具有用于指明每一个ID的含意，但并不代表数据 的值。ID的数据结构有预定格式，比如位长度等，而且最好进行加密。
登记入数据库3中的方法并不只限于所述方法。例如，如果通过因特网 1和ISP 2来生成销售合同，则基于路由器的信息，与该路由器连结有实现 了用于所述通信的软件的终端设备，通信ISP 2或订单的接收方可将体现路 由器的HGWID和终端设备的MTID的对应关系的数据登记到数据库3中。
在新终端设备15连接到家庭网络13时所执行过程的流程可参考图3的 描述。这些过程的流程与路由器或另一台计算机上安装的、控制家庭网络13 的程序相一致。若有必要，这个程序将记录在一个计算机可读取的记录介质
12中。步骤Sl与上面提及的将终端设备(TE)的MTID预先登记到数据库3中的 过程有关，并独立于随后的过程而执行。
在步骤S2中，如果在家庭ll中执行终端设备15的初始操作，例如，初 次开启电源的操作，用户将(MTID-B)从终端设备15传送到路由器12。终端 设备15的传送信号由路由器12的无线控制单元23接收。MTID通过介质访 问控制单元21提供给查询单元24。
查询单元24可以处理包括来自尚未在家庭网络13中登记的终端设备15 的MTID在内的信号。在查询单元24中，路由器12的HGWID浮皮保存(Held)。 通过路由控制单元22、访问线路介质访问控制单元26以及双向访问线路4， (HGWID=A与MTID-B)从查询单元24传送到ISP 2 (步骤S3)。
ISP 2通过查询数据库3来片企查标识符(HGWID=A与MTID-B)是否已经登 记在数据库3中。如果已经登记，也就是说，如果在步骤S4中满足匹配，ISP 2在步骤S5中通过双向访问线路4将许可消息传送到路由器12。
在路由器12中，通过路由器12的访问线路介质访问控制单元26、路由 控制单元22以及介质访问控制单元21,将许可消息传送到查询单元24。在 步骤S6中，若使用IPv4 (互连网协议第4版)，通过DHCP (动态主机配置协议， RFC2131)为新终端设备15分配IP地址。若使用IPv6,将分配一个IP网络 前缀(Network Prefix)。从而，新终端设备15可加入家庭网络13。将终端 设备15连接到家庭网络13所需的各种配置也都可以由许可消息来执行，用 户自己几乎不需要执行配置操作。
如果在步骤S4中判定标识符的组合(HGWID=A与MTID=B)尚未在数据库3 中登记，在步骤S7中，通过路由器12的路由控制单元22和介质访问控制单 元21，拒绝消息传送到查询单元24。这种情况下，因为路由器12发现新终 端设备是不允许连接到家庭网络13的，所以这个终端设备不能够加入家庭网 络13。
(第二个实施例)
图4示出了根据本发明的第二个实施例得出的系统示例。标号101代表 因特网，102表示作为连接到因特网101的服务器提供服务的ISP。 ISP 102 有邮件服务器、DNS (域命系统)服务器、代理服务器等，提供普通因特网连 接功能，还有用于认证的数据库103。
标号111代表一个家庭；112表示一个家庭用网关，比如路由器。ISP 102和路由器112通过一条双向访问线路104连接起来，比如ISDN、专用线路、 xDSL(x数字用户线路)如ADSL(非对称数字用户线路)等、光纤等。若用ISDN 线路作为双向访问线路104,必要时要将DSU(数字服务单元)(未标出)和 TA(终端适配器)插入在路由器112和ISDN线路之间。
有线电视服务公司也可以使用有线电缆作为双向访问线路104进行连 接。服务公司通过有线电视基站和家庭lll中提供的数字机顶盒来传送音频 和视频内容。这样的有线电视服务公司也是一种提供因特网连接服务的ISP 102。
在实施例中，标号113标记了有线LAN，并且家庭111里安装了无线LAN 114。有线LAN 113和无线LAN 114组成家庭网络。无线LAN 114可以使用 IEEE 802. llx， IEEE 802. llx包括IEEE 802. 11、蓝牙、无线1394等。家庭 网络也可以包括另一个网络。例如，可以通过无线LAN连接蜂窝电话，并通 过蓝牙将蜂窝电话连接到另 一个设备上。虽然本发明的特征在于对通过无线 方式所连接设备的连接控制，本实施例会对与以有线连接的设备混合存在的 设备进行描述。
终端设备TE1、 TE2和TE3都连接到有线LAN 113。 TE4代表一个初次连 接到无线LAN114的终端设备。个人计算机(台式机或笔记本型的)，如CD播 放器等一样的音频设备，如调谐器、显示器等一样的电视相关设备，如DVD(数 字通用光盘/数字视频光盘)设备等一样的视频录像机/播放器，或者便携式信 息设备等终端设备都可以作为终端设备进行连接。此外，家庭装置如空调器、 电冰箱等也可以连接到家庭网络。
各种数据都通过路由器112从ISP 102提供给连接到有线LAN 113和无 线LAN 114的每一个终端设备。例如，诸如音频数据、视频数据等的内容数 据都提供给路由器112。同时，连接到有线LAN 113和/或无线LAN 114的终 端设备可以相互通信。
对于ISP 102所管理的家庭网络，每一个终端设备都在ISP中有标识符。 ISP 102预先把标识符记录到可与终端设备分离的记录介质(也就是，可移动 的记录介质)。作为记录介质，可使用通常用于保存信息的信息记录介质，比 如用于记录信息到闪存(Flash Memory)中的IC卡(也称为存储卡)、用于记录 信息到磁性材料的磁卡、用于以如条形码等图案来记录信息的塑料卡等。在 本实施例中，使用了IC卡。除了保存标识符的功能外，IC卡等还具有LAN卡等的功能。路由器112自己也有一个标识符(ID: 0)。
记录标识符(ID)的IC卡可与路由器112和每一个终端设备分离。(ID: l)记录在装载到终端设备TEl的IC卡MS1中。(ID: 2)记录在装载到终端设 备TE2的IC卡MS2中。(ID: 3)记录在装载到终端设备TE3的IC卡MS3中。 此外，(ID: 4)记录在装载到终端设备TE4的IC卡MS4中。加到ID的数字都 有说明每一个ID的含意，但并不代表数据的值。ID的数据结构有预定格式， 比如位长度等，而且最好进行加密。
如果用户打算把终端设备TE4连接到无线LAN 114,他请求ISP 102产 生新标识符(ID: 4)。也就是说，用户接收记录着这样一个标识符的IC卡MS4 的分配(Distribution)。图4示出了用户获得IC卡MS4的过程。如图5中示 出，IC卡MS4装载到路由器112中。路由器112从IC卡MS4中读出标识符 (ID: 4)，并存储至路由器112中。换句话说，(ID: 4)预先已经登记在路由 器112中了。
完成读出标识符和存储进路由器112之后，IC卡MS4从路由器112移除， 再次装载到终端设备TE4中。当终端设备TE4与路由器112通信时，通过传 送标识符(ID: 4)，在路由器112和终端设备TE4之间执行数据链路级的认证。 需要的话，也可以使用标识符(ID: 4)产生密钥，对通信内容进行加密。
根据上文所述，通过把IC卡MS4插入路由器112,随后再把IC卡MS4 插入终端设备TE4，可以进行数据链路级的认证。从而，可以避免未经认证 的人窥视无线LAN114的通信内容。也就是说，可以避免第三者从路由器112 所安装的房子之外连接无线LAN1。此外，在本实施例中，为了进行终端认证， 路由器的ID和终端设备的ID之间的对应关系已经登记到ISP 102的数据库 3中。路由器112的ID用HGWID表示。
路由器112的HGWID和终端设备的ID的组合信息已经预先在为ISP 102 提供的数据库103中登记。例如，当卖出终端设备时，ISP 102和销售商店 执行数据库103的登记进程。例如，当用户购买终端设备TE4时，用户自己 把其中记录着家里的路由器112的HGWID的卡片带来给商店。基于路由器的 信息和IC卡MS4的信息，商店把代表(HGWID: 0， ID: 4)的对应关系的数据 登记到数据库103中。与终端设备TE4—起，用户获得事先已经记录了 (ID: 4)的IC卡MS4。
自然，登记到数据库103的方法并不局限于所述方法。例如，如果通过因特网101和ISP 102来生成销售合同，则基于^各由器的信息，与该^各由器连结有实现了用于所述通信的软件的终端设备，通信ISP 102或订单的接收方可将体现路由器的HGWID和终端设备的MTID的对应关系的数据登记到数据库103中。
图6概要地示出了 S各由器112的一种结构。路由器112包括无线介质访问控制单元121; 3各由控制单元122;无线控制单元123;查询单元124;IC卡接口125;访问线路介质访问控制单元126;以及有线介质访问控制单元127。无线介质访问控制单元121控制着到无线LAN 114的数据传送。有线介质访问控制单元127控制着到有线LAN 113的数据传送。
多个终端设备之间通过无线控制单元123以无线方式相互连接。路由控制单元122连接到双向访问线路104。查询单元124通过无线介质访问控制单元121、路由控制单元122和访问线路介质访问控制单元126与ISP 102通信，并向ISP 102查询在新终端设备连接时是否许可或拒绝。IC卡接口 125是IC卡的接口，可以读出以预定格式记录的标识符。此外，若必要也可以把密钥数据等记录到IC卡中。
数据链路级的认证过程可参考图7所示流程图的描述。这个过程的流程与路由器112或另一台计算机中安装的、控制无线LAN 114的程序相一致。若有必要，这个程序将记录在一个计算机可读取的记录介质中。另一方面，步骤S10与上面提及的将ID预先登记到数据库103中的过程有关，并独立于随后的过程而执行。
在第一步骤S11中，IC卡插入到路由器112中。通过路由器112的IC卡接口 125读出标识符，例如，记录在IC卡中的(ID: 4)。随后，在步骤S12中，IC卡放回(装载)到终端设备TE4中。当通信时，在步骤S13中，终端设备TE4以(ID: 4)通知路由器112。路由器112发现终端设备TE4和读出的标识符具有相同的ID。按照这种方式，在路由器112和终端设备TE4之间的数据链路级认证在步骤S14中得到满足。
随后，进行终端认证。终端认证不必考虑是有线还是无线的方式，也不需要安装防火墙和执行包过滤等就可以搭建起一个安全网络。终端认证将在下文进行描述。
图8示出了 IC卡MS 1 、 MS2和MS 3依次装载在分别地连接到有线LAN 113的终端设备TE1、 TE2和TE3中，以及记录在这些IC卡里的标识符在ISP 102的数据库103中登记之后的一种情形。对于把连接到有线LAN 113的终端设备的标识符登记到数据库103中的方法，也可以使用类似所述的另一种方法。终端认证过程的流程可参考图9的描述。这个过程的流程与路由器112或另一台计算机中安装的、控制有线LAN113和无线LAN 114的程序相一致。若有必要，这个程序将记录在一个计算机可读耳又的记录介质中。将ID预先登
记到数据库中的过程已经预先执行了 。
例如，以终端设备TE4(ID: 4)与终端设备TE3(ID: 3)通信的情形举一个例子。在步骤S21中，终端设备TE4请求终端设备TE3建立链接。在步骤S22中，接收到这个请求的终端设备TE3通过路由器112向ISP 102查询终端设备TE4是否属于同一个组。路由器112的查询单元124也以联锁关系(Interlocking Relational)方式把路由器112的标识符(ID: O)传送给ISP102。最好对认证通信已进行加密。
在步骤S23中，ISP 102参考数据库103。在步骤S24中，检查(ID: 3)和(ID: 4)是否属于同一个组。对于(HGWID: 0),分别在数据库103中注册ID为(l, 2, 3， 4)(参考图4和图5)。因此，可以确定(ID: 3)和(ID: 4)属于同一个组。
这个结果通过双向访问线^各104、访问线路介质访问控制单元126和^各由控制单元122从ISP 102传送到路由器112，然后，从路由器112传送到终端设备TE3。若是同一个组，则终端认证通过(步骤S25)。在步骤S26中，终端设备TE3和TE4之间的安全(Security)已建立。如果在步骤S24中已确定他们不属于同一个组，则终端认证失败(步骤S27)。这种情况下，则安全未建立(步骤S28)。为了确保家庭网络的安全，若在链接建立之后从终端设备中拔出IC卡，则已建立的安全失效。
图IO示出了登记在第三者的家庭网络中的终端设备已经连接到用户自己的家庭网络的一种情形。另一个终端设^f叚设是TE10,它的IC卡假设是MSIO，以及它的标识符假设是(ID: 10)。这种情况下，IC卡MS10被装载到路由器112中，从而允许路由器112读出(ID: 10)。因此，数据链路级的认证通过。但是，在ISP 102的数据库103中，(ID: 10)没有和路由器112的标识符(HGWID: O)登记在同一个组中。因此，终端认证失败。
这就意味着虽然终端设备TE10可以通过路由器122连接到因特网101和那个人的家庭网络，它并不能够与连接到有线LAN 113和无线LAN 1"的终端设备通信。也就是说， 一个好处是，拥有使用IC卡进行数据链路级的认 证机制的终端设备可以通过另 一个使用类似的机制的家庭网络与外界通信。
此外，图11示出了一个终端设备，例如TE4，被放置在家庭之外并通过 公共访问点131进行通信的示例。记录着(ID: 4)的IC卡MS4装载到终端设 备TE4中。这种情况下，既然IC卡MS4不能够装载到远程的路由器112中， 将忽略数据链路级的认证。但是，公共访问点131可以拥有一种结构，该结 构使标识符前一次通过IC卡进行的登记得到认可。
终端设备TE4可以通过/^共访问点131访问因特网101，然后，可以和 自己家里的家庭网络的终端设备进行通信。这种情况下，将执行所述的终端 认证。只有当终端认证通过时，安全才建立。如上文所述，即使在由家庭网 络使用的终端设备中，它也可以在家庭之外执行和使用。
本发明并不只限于所述的实施例，在不脱离本发明的精神的范围之内， 可以对其进行很多修改和应用。例如，虽然所述的实施例是对于家庭网络的 例子进行描述的，但是本发明并不只限于家庭，也可以应用于公司的网络。
工业应用性
根据本发明，其中仅有路由器和在ISP的数据库中登记的终端设备的组 合、并可以被连接到网络的网络系统是可行的，该数据库为因特网服务提供 商提供。用户不需要自己设置路由器就可以由终端设备新加入如家庭网络等 的网络。根据本发明，可以防止未登记的终端设备连接到如家庭网络等的网 络，因此提高了网络的安全性。例如，连接到网络的蜂窝电话可以限制为具 有防止外界非法侵入功能的蜂窝电话。
根据本发明，即使在家庭网络是无线网络的情况下，为了防止第三者窥 视，可以执行数据链路级的认证。通过终端认证，可以提高安全性。此外， 好处是，仅仅为这样一个目的没有必要进行路由器等的设置操作，执行记录 介质的装载和移除操作就足够了 。
此外，根据本发明，不需要安装防火墙就可以搭建安全网络。必然带来 的 一个好处是，家庭网络依赖于所安装的防火墙和家庭网络无法开放的问题 不复出现。
权利要求
1.一种由路由器和终端设备通过无线方式连接的网络系统，其中记录一个标识符，提供可移动的记录介质，将所述记录介质装载到所述路由器中、此后附加到终端设备上，所述路由器读出标识符，从而允许建立该路由器和由该标识符所指定的终端设备之间的链接。
2. 如权利要求1所述的网络系统，其中 事先将标识符写在位于连接设备方上的所述记录介质上。
3. 如权利要求1所述的网络系统，其中所述记录介质已经附加到所述终端设备这一点是用作建立链接的条件。
4. 一种路由器，用于在通过无线方式连接的终端设备之间交换信息，其中记录一个标识符，可分离地才是供可移动的记录介质， A^所述装载的记录介质中读出所述标识符，并且 建立起与由所述标识符指定的终端设备之间的链接。
5. 如权利要求4所述的路由器，其中 将标识符事先写入在连接设备方的所述记录介质。
6. 如权利要求4所述的路由器，其中所述记录介质已经附加到所述终端设备这一点是用作建立链接的一个前 提条件。
7. —种终端设备，用于以无线方式交换信息，其中 记录一个标识符，可分离地提供可移动的记录介质， 从所述装载的记录介质中读出所述标识符，并且 在无线通信的时候根据所述标识符建立链接。
8. —种用于网络系统的通信方法，在该网络系统中路由器和终端设备以 无线方式连4妄，该方法包4舌步骤，其中，记录一个标识符，并且提供可移动的记录介质； 步骤，其中，将所述记录介质装载到所述路由器中，并且所述路由器读 出所述标识符；步骤，其中，将所述记录介质附加到所述终端设备上，并且所述终端设备读出所述标识符；和步骤，其中，所述路由器检测由所述标识符所指定的所述终端设备，从 而建立所述路由器和所述终端设备之间的链接。
全文摘要
本发明涉及一种由路由器、终端设备、由路由器和终端设备通过无线方式连接的网络系统以及网络系统中的通信方法。所述终端的ID已预先在ISP的数据库中登记。当终端设备的电源首次接通时，终端的ID从终端传送到路由器，然后将一组终端的ID和路由器的ID从路由器传送到ISP。如果该组终端的ID和路由器的ID已经在数据库登记，ISP就传送许可消息，并且该路由器给终端分配IP地址，然后使该终端设备可以加入家庭网络。如果该组终端的ID和路由器的ID没有登记，就将拒绝消息传送给路由器。
文档编号H04L29/06GK101540708SQ20091000384
公开日2009年9月23日 申请日期2002年3月19日 优先权日2001年3月19日
发明者中出元树, 佐佐木贵宏, 保木本晃弘, 诚 冈, 国头义之, 木村真也, 松山科子, 盐野崎敦 申请人:索尼公司