在具有不同地址系统的网络上的用户识别技术.pdf

在具有不同地址系统的网络上的用户识别技术
    【技术领域】

    本发明涉及一种用于识别通过具有不同地址系统的网络进行通信的用户终端的用户的技术。

    背景技术

    随着近年来因特网地快速发展，已经报道存在数目渐增的非法活动，诸如诽谤人格、侵犯版权、以及入侵主页和电子公告牌的隐私等等。考虑到上述的情形，一组涉及到有关特定电信服务提供商对发送者信息的损害和泄露的赔偿责任限度的法律近期已经在日本实施。这组法律规定了涉及到损害赔偿的责任的限度，当权利的侵犯是由于通过特定的电信的信息流通而导致时，该赔偿责任就应当由特定的电信服务提供商(包括所谓的服务商、服务器管理员等等)来承担，并且这组法律还规定一种对发送者信息的公开提出要求的权力。这样就允许由于经特定电信的信息流通而导致他/她的权利遭受侵犯的、提出要求的人对相关提供商公开发送者信息提出要求。因此，为了应对这种发送者信息公开要求，期望的情况是，每个提供商都能够根据由提出要求的人所提供的信息(例如发送者的IP地址)来识别该发送者。

    不过，在因特网接入服务被提供到公寓大楼(诸如″因特网公寓大楼″)的每个公寓的情形下，多个用户是使用相同的IP地址在因特网上进行通信的。在这种情形下，很难根据源IP地址来识别具体用户，因此提供商就无法快速地响应该发送者信息公开请求。

    【发明内容】

    本发明的目的是提供一种用户识别技术，该技术能够根据源IP地址快速地识别具体用户以解决上述问题。

    该目的是通过将在本发明的每个独立权利要求中所描述的技术特征组合起来而得以实现的。从属权利要求提供根据本发明的更加有利的例子。

    根据本发明的第一方面，提供了一种用于识别用户终端的用户的用户识别系统，该用户终端位于具有第一地址系统的第一网络上且在具有第二地址系统的第二网络上进行通信，该用户识别系统包括：位于第一网络并且具有分别与多个用户终端相连接的多个物理端口的互连设备，其中该互连设备存储在该物理端口和与该物理端口相连接的该用户终端的终端识别信息之间的对应；第一存储设备，用于存储在该用户终端的终端识别信息和在第一地址系统中被分配给该终端识别信息的第一地址之间的对应；第二存储设备，用于存储在第一地址和在第二地址系统中被分配给该第一地址的第二地址之间的对应；以及一种用户识别设备，用于从该互连设备、第一存储设备以及第二存储设备中获取通信信息，并且根据所获取的通信信息识别在第二网络上通信的用户终端的用户，其中该用户识别设备包括：第一通信信息获取部件，用于从该互连设备中获取第一通信信息，其中第一通信信息指示在该物理端口和该终端识别信息之间的对应；第二通信信息获取部件，用于从第一存储设备中获取第二通信信息，其中第二通信信息指示在该终端识别信息和第一地址之间的对应；第三通信信息获取部件，用于从第二存储设备中获取第三通信信息，其中第三通信信息指示在第一地址和第二地址之间的对应；以及端口检测器，用于根据第三通信信息检测与指定的第二地址相关联的第一地址，根据第二通信信息检测与第一地址相关联的终端识别信息，以及根据第一通信信息检测与该终端识别信息相关联的物理端口。

    该互连设备可以是一种包括转发数据库的智能集线器，该转发数据库用于存储在该物理端口和作为该终端识别信息的MAC地址之间的对应，其中当该转发数据库被更新时，该互连设备将第一通信信息发送到该用户识别设备。

    第一存储设备可以是DHCP服务器，该服务器将作为第一地址的私有IP地址分配给作为终端识别信息的MAC地址，其中当私有IP地址被分配给MAC地址时，第一存储设备将第二通信信息发送到该用户识别设备。

    第一存储设备可以是包括ARP表的ARP服务器，该ARP表存储作为终端识别信息的MAC地址以及被分配给该MAC地址作为第一地址的私有IP地址，其中当第一存储设备已经接收到来自用户终端的ARP请求时，第一存储设备将第二通信信息发送到该用户识别设备。

    第二存储设备可以包括地址转换器，该地址转换器将作为第二地址的全局IP地址分配给作为第一地址的私有IP地址，以便将第一网络连接到第二网络，其中当全局IP地址被分配给私有IP地址时，第二存储设备将第三通信信息发送到该用户识别设备。

    根据本发明的第二方面，提供了一种在用户识别系统中的用户识别设备，该用户识别系统包括：位于具有第一地址系统的第一网络上并且具有分别与多个用户终端中的相应用户终端相连接的多个物理端口的互连设备，其中该互连设备存储在该物理端口和与该物理端口相连接的该用户终端的终端识别信息之间的对应；第一存储设备，用于存储在该用户终端的终端识别信息和在第一地址系统中被分配给该终端识别信息的第一地址之间的对应；以及第二存储设备，用于存储在第一地址和在第二地址系统中被分配给该第一地址的第二地址之间的对应，其中，该用户识别设备从该互连设备、第一存储设备以及第二存储设备中获取通信信息，并且根据所获取的通信信息识别在具有第二地址系统的第二网络上通信的用户终端的用户，其中该用户识别设备包括：第一通信信息获取部件，用于从该互连设备中获取第一通信信息，其中第一通信信息指示在该物理端口和该终端识别信息之间的对应；第二通信信息获取部件，用于从第一存储设备中获取第二通信信息，其中第二通信信息指示在该终端识别信息和第一地址之间的对应；第三通信信息获取部件，用于从第二存储设备中获取第三通信信息，其中第三通信信息指示在第一地址和第二地址之间的对应；以及端口检测器，用于根据第三通信信息检测与指定的第二地址相关联的第一地址，根据第二通信信息检测与第一地址相关联的终端识别信息，以及根据第一通信信息检测与该终端识别信息相关联的物理端口。

    第三通信信息获取部件可以从第二存储设备中获取第三通信信息，其中第三通信信息还将具有该第二地址作为其源地址的分组的目的地址与第一地址和第二地址关联起来，并且该端口检测器可以根据该指定的第二地址和该目的地址来检测第一地址。

    该用户识别设备还可以包括一个通信信息存储部件，用于存储第一通信信息、第二通信信息和第三通信信息中的每个通信信息的获取时间信息，其中该端口检测器通过参考在该通信信息存储部件中所存储的时间信息来检测与该指定的第二地址相关联的第一地址，并检测与第一地址相关联的终端识别信息，以及检测与该终端识别信息相关联的物理端口。

    第一通信信息获取部件可以从该互连设备中获取第一通信信息，其中第一通信信息还将该物理端口和该终端识别信息与该互连设备的设备识别信息关联起来，并且该端口检测器检测与该终端识别信息相关联的该设备识别信息和该物理端口。  

    根据本发明的第三方面，提供了一种在用户识别系统中的用户识别方法设备，包括：位于具有第一地址系统的第一网络上并且具有分别与多个用户终端中的相应用户终端相连接的多个物理端口的互连设备，其中该互连设备存储在该物理端口和与该物理端口相连接的用户终端的终端识别信息之间的对应；第一存储设备，用于存储在该用户终端的终端识别信息和在第一地址系统中被分配给该终端识别信息的第一地址之间的对应；以及

    第二存储设备，用于存储在第一地址和在第二地址系统中被分配给该第一地址的第二地址之间的对应，该用户识别方法用于从该互连设备、第一存储设备以及第二存储设备中获取通信信息，并且根据所获取的通信信息识别在具有第二地址系统的第二网络上通信的用户终端的用户，包括如下步骤：从该互连设备中获取第一通信信息，其中第一通信信息指示在该物理端口和该终端识别信息之间的对应；从第一存储设备中获取第二通信信息，其中第二通信信息指示在该终端识别信息和第一地址之间的对应；从第二存储设备中获取第三通信信息，其中第三通信信息指示在第一地址和第二地址之间的对应；根据第三通信信息检测与指定的第二地址相关联的第一地址；根据第二通信信息检测与第一地址相关联的终端识别信息；以及根据第一通信信息检测与该终端识别信息相关联的物理端口。

    根据本发明的第四方面，提供了一种用于指示计算机来实现在用户识别系统中的用户识别设备的程序，该用户识别系统包括：位于具有第一地址系统的第一网络上并且具有分别与多个用户终端中的相应用户终端相连接的多个物理端口的互连设备，其中该互连设备存储在该物理端口和与该物理端口相连接的该用户终端的终端识别信息之间的对应；第一存储设备，用于存储在该用户终端的终端识别信息和在第一地址系统中被分配给该终端识别信息的第一地址之间的对应；以及第二存储设备，用于存储在第一地址和在第二地址系统中被分配给该第一地址的第二地址之间的对应，该程序用于从该互连设备、第一存储设备以及第二存储设备中获取通信信息，并且根据所获取的通信信息识别在具有第二地址系统的第二网络上通信的用户终端的用户的用户识别设备，包括如下步骤：从该互连设备中获取第一通信信息，其中第一通信信息指示在该物理端口和该终端识别信息之间的对应；从第一存储设备中获取第二通信信息，其中第二通信信息指示在该终端识别信息和第一地址之间的对应；从第二存储设备中获取第三通信信息，其中第三通信信息指示在第一地址和第二地址之间的对应；根据第三通信信息检测与指定的第二地址相关联的第一地址；根据第二通信信息检测与第一地址相关联的终端识别信息；以及根据第一通信信息检测与该终端识别信息相关联的物理端口。

    根据本发明的第五方面，提供了一种用于识别位于在具有第一地址系统的第一网络上并且在具有第二地址系统的第二网络上进行通信的用户终端的用户的用户识别系统，包括：位于第一网络上并且具有分别与多个用户终端中的相应用户终端相连接的多个物理端口的互连设备；地址转换器，用于实施在第一地址系统中的第一地址和在第二地址系统中的第二地址之间的地址转换，以便中继在第一网络和第二网络之间的通信；以及用户识别设备，用于从该地址转换设备中获取端口信息，根据该端口信息检测与指定的第二地址相关联的物理端口，以及识别与该物理端口相连接的用户终端的用户，其中该地址转换器包括：第一通信信息获取部件，用于从该互连设备中获取第一通信信息，其中第一通信信息指示在该物理端口和该终端识别信息之间的对应；第二通信信息存储部件，用于存储第二通信信息，第二通信信息指示在该终端识别信息和被分配给该终端识别信息的第一地址之间的对应；第三通信信息存储部件，用于存储第三通信信息，第三通信信息指示在第一地址和被分配给各第一地址的第二地址之间的对应；以及端口信息生成部件，用于根据第一通信信息、第二通信信息以及第三通信信息生成端口信息，其中该端口信息指示在第二地址和与使用第二地址在第二网络上通信的用户终端相连接的物理端口之间的对应。

    在本发明的第五方面，提供了一种地址转换器，用于实施在第一地址系统中的第一地址和在第二地址系统中的第二地址之间的地址转换，以便中继在具有第一地址系统的第一网络和具有第二地址系统的第二网络之间的通信，包括：第一通信信息获取部件，用于从位于第一网络并具有分别与多个用户终端中的相应用户终端相连接的多个物理端口的互连设备中获取第一通信信息，其中第一通信信息指示在该物理端口和与该物理端口相连接的该用户终端的终端识别信息之间的对应；第二通信信息存储部件，用于存储第二通信信息，第二通信信息指示在该终端识别信息和被分配给该终端识别信息的第一地址之间的对应；第三通信信息存储部件，用于存储第三通信信息，第三通信信息指示在第一地址和被分配给第一地址的第二地址之间的对应；以及端口信息生成部件，用于根据第一通信信息、第二通信信息以及第三通信信息生成端口信息，其中该端口信息指示在第二地址和与使用第二地址在第二网络上通信的用户终端相连接的物理端口之间的对应。

    【附图说明】

    图1是展示根据本发明的第一实施例的用户识别系统的系统配置的例子的框图；

    图2是根据第一实施例的用户识别设备的组成的例子的框图；

    图3是根据第一实施例的该用户识别设备的通信信息存储部件的数据结构的例子的表；

    图4是由第一实施例的用户识别系统所采用的用户识别方法的例子的示意图；

    图5是展示根据第一实施例的该用户识别设备的硬件配置的例子的框图；

    图6是展示根据本发明的第二实施例的用户识别系统的系统配置的例子的框图；以及

    图7是展示根据第二实施例的路由器的组成的例子的框图。

    【具体实施方式】

    现在参考附图，将给出根据本发明的优选实施例的详细描述。尽管本发明将参考如下的实施例来加以描述，但是它们的用意并不在于限制在权利要求书中所描述的本发明的范围。对于解决上面的问题，并非在每个实施例中所描述的所有技术特征都是必要的。

    [实施例1]

    参看图1，根据本发明的第一实施例的用户识别系统10包括：智能集线器16a-16d，其中的每个智能集线器位于LAN(局域网)12a或者12b中，并且被提供有与多个用户终端(14a-141)分别相连的多个物理端口；路由器20a和20b，用于将LAN12a和12b与因特网18连接起来；以及用户识别设备22，用于识别在因特网18上通信的用户终端的用户。应该指出在本发明中，每个LAN(12a，12b)是具有第一地址系统的第一网络的一个例子，并且因特网18是具有第二地址系统的第二网络的一个例子。每个LAN(12a，12b)被构建在例如公寓大楼中，诸如配备接入因特网设施的因特网公寓大楼，在其中在用户终端之间的通信受到智能集线器16a-16d的VLAN(虚拟局域网)功能的限制。应该指出在本发明中，私有IP地址是在第一地址系统中的第一地址的一个例子，并且全局IP地址是第二地址系统中的第二地址的一个例子。

    每个智能集线器(16a/16b/16c/16d)，在本发明中作为互连设备的一个例子，具有分别与对应的用户终端(14a-14c/14d-14f/14g-14i/14j-141)相连接的多个物理端口。每个智能集线器(16a-16d)被提供有转发数据库，该转发数据库用于存储指示在智能集线器的每个物理端口和识别与该物理端口相连接的用户终端的终端识别信息(此处，MAC地址)之间的对应的信息。智能集线器(16a-16d)向用户识别设备22发送关于在每个物理端口和在该转发数据库中所存储的终端识别信息之间的对应的第一通信信息。第一通信信息除了包括在该物理端口和终端识别信息之间的对应信息之外，还可以包括对应的智能集线器自身的设备识别信息。

    例如，当该转发数据库已经被更新时，第一通信信息被从智能集线器(16a-16d)发送到用户识别设备22。例如，当MAC地址已经被从该转发数据库中删除时，智能集线器(16a-16d)还可以将第一通信信息发送到用户识别设备22。在多个VLAN被分配给多个物理端口时，智能集线器(16a-16d)还可以将VLAN名(代替物理端口)关联到该终端识别信息。在这一例子中，智能集线器(16a-16d)可以向用户识别设备22发送作为第一通信信息的关于在每个VLAN名和该终端识别信息之间的对应的信息。将第一通信信息从智能集线器(16a-16d)传送到用户识别设备22的这一过程能够使用例如系统日志(syslog)消息、SNMP(简单网络管理协议)陷阱(trap)等等来加以实施。

    每个路由器(20a，20b)，在本发明中作为第一存储设备的一个例子，存储指示在每个对应的用户终端的终端识别信息和被分配给每个终端识别信息的每个私有IP地址之间的对应的信息。路由器(20a，20b)包括DHCP服务器，为作为每个用户终端的终端识别信息的MAC地址执行私有IP地址的分配/释放。路由器(20a，20b)向用户识别设备22发送指示在MAC地址和被分配给它的私有IP地址之间的对应的第二通信信息。例如，当路由器(20a，20b)已经将私有IP地址分配给MAC地址时，第二通信信息就被发送到用户识别设备22。例如当路由器(20a，20b)已经释放了一个私有IP地址时，第二通信信息还可被发送到用户识别设备22。

    路由器(20a，20b)还包括一个ARP服务器，该服务器被提供有ARP表，该表存储指示在作为该用户终端的终端识别信息的MAC地址和每个都被分配给MAC地址的私有IP地址之间的对应的信息。例如，当路由器(20a，20b)已经接收到来自用户终端的ARP请求时，相互关联的MAC地址和私有IP地址就由路由器(20a，20b)发送到用户识别设备22作为第二通信信息。例如当路由器(20a，20b)已经将ARP应答返回给用户终端时，第二通信信息还可以被发送到用户识别设备22。将第二通信信息从路由器(20a，20b)传送到用户识别设备22这一过程能够使用例如系统日志消息、SNMP陷阱等等来加以实施。

    路由器(20a，20b)在本发明中还是第二存储设备的一个例子，它存储指示在被分配给每个用户终端的私有IP地址和被分配给该私用IP地址的全局IP地址之间的对应的信息。路由器(20a，20b)包括地址转换器，该地址转换器执行在全局IP地址和从LAN(12a，12b)或者因特网18接收的每个分组的私有IP地址之间的转换，由此中继在LAN(12a，12b)和因特网18之间的分组。路由器(20a，20b)还向用户识别设备22发送指示在该私有IP地址和其中所存储的该全局IP地址之间的对应的第三通信信息。例如，当全局IP地址已经被分配给私有IP地址时，第三通信信息被发送到用户识别设备22。将第三通信信息从路由器(20a，20b)发送到用户识别设备22这一过程能够使用例如系统日志消息、SNMP陷阱等等来加以实施。

    例如，当路由器(20a，20b)已经释放了一个全局IP地址时，第三通信信息还可以被发送到用户识别设备22。在路由器(20a，20b)具有IP伪装功能的情形下，路由器(20a，20b)可以将被分配给每个用户终端的私有IP地址与全局IP地址和被分配给该私有IP地址的端口号一起存储，然后向用户识别设备22发送指示该相互关联的私有IP地址、全局IP地址和端口号的对应的第三通信信息。

    路由器(20a，20b)还可以将该私有IP地址和全局IP地址进一步地与具有该全局IP地址作为其源地址的分组的目的地址关联起来，并将相互关联的该私有IP地址、该全局IP地址和该目的地址发送到用户识别设备22作为第三通信信息。例如，当路由器(20a，20b)中继在用户终端和因特网18之间的通信时，第三通信信息还被发送到用户识别设备22。

    用户识别设备22根据从智能集线器(16a-16d)接收到的第一通信信息和从路由器(20a，20b)接收到的第二和第三通信信息来检测与已经在因特网18上通信的用户终端相连接的智能集线器(16a-16d)的物理端口，由此识别该用户终端的用户。顺便说明一下，尽管图1所示的用户识别设备22被放置在因特网18上，但它也能够被放置在LAN12a或者12b中。

    路由器(20a，20b)将从用户终端(14a-141)所接收的分组的源IP地址从被分配给该用户终端(14a-141)的私有IP地址转换到被分配给路由器(20a，20b)的全局IP地址，并且将该分组发送到因特网18。因此，总体而言，不可能根据被从路由器20a或者20b传送到因特网18的分组的源IP地址来识别该用户终端(14a-141)。即使在这样的例子中，根据这一实施例的用户识别系统10也使识别在因特网18上通信的用户终端(14a-141)的用户成为可能。

    参考图2，用户识别设备22包括：收发器100，该收发器传送数据到因特网18/从因特网18接收数据；第一通信信息获取部件102，用于通过收发器100从智能集线器16a-16d获取指示物理端口、MAC地址以及设备识别信息的对应的第一通信信息；第二通信信息获取部件104，用于通过收发器100从路由器20a和20b获取指示MAC地址和私有IP地址的对应的第二通信信息；第三通信信息获取部件106，用于通过收发器100从路由器20a和20b获取指示私有IP地址和全局IP地址的对应的第三通信信息；通信信息存储部件108，用于存储第一到第三通信信息；以及端口检测器110，用于检测与已经使用由管理员所指定的全局IP地址在因特网18上通信的用户终端相连接的物理端口。

    端口检测器110参考在该通信信息存储部件108中所存储通信信息，根据第三通信信息检测与该管理员所指定的全局IP地址相关联的私有IP地址，根据第二通信信息检测与该私有IP地址相关联的MAC地址，以及根据第一通信信息检测与该MAC地址相关联的设备识别信息和物理端口。采用这一方式，用户识别设备2 2识别通过由端口检测器110所检测到的物理端口进行通信的用户终端的用户。

    如图3所示，该通信信息存储部件108存储对应于从智能集线器16a-16d或者路由器20a和20b所获取的第一、第二和第三通信信息中的每个的、该所获取的第一、第二和第三通信信息的获取时间信息。

    第一行(L1)指示第一通信信息，第一通信信息已经由第一通信信息获取部件102从智能集线器的转发数据库(FDB)中获取。如在第一行L1中所展示的，该通信信息存储部件108存储指示下列元素的对应的第一通信信息：时间″9月1日23:50:23″；路由器的全局IP地址″218.47.62.aaa″；该智能集线器的设备识别信息的″系统名″；物理端口″端口1″；VLAN名″V200″；以及用户终端的MAC地址″00-90-99-48-85-**″。

    第二和第三行(L2，L3)指示第二通信信息，第二通信信息已经由第二通信信息获取部件104从路由器的DHCP服务器中获取。如在第二行(L2)中所展示的，该通信信息存储部件108存储指示下列元素的对应的第二通信信息：时间″9月1日23:50:34″；该路由器的全局IP地址″218.47.62.aaa″；私有IP地址″192.168.1.100″；以及MAC地址″00-90-99-48-85-**″。第二通信信息指示已经被分配给MAC地址″00-90-99-48-85-**″的私有IP地址″192.168.1.100″在时间″9月1日23:50:34″被释放了。如在第三行(L3)中所展示的，该通信信息存储部件108存储指示下列元素的对应的第二通信信息：时间″9月1日23:50:38″；该路由器的全局IP地址″218.47.62.aaa″；私有IP地址″192.168.1.100″；以及MAC地址″00-90-99-48-85-**″。第二通信信息指示在时间″9月1日23:50:34″将该私有IP地址″192.168.1.100″分配给该MAC地址″00-90-99-48-85-**″。

    第四行(L4)指示第二通信信息，第二通信信息已经由第二通信信息获取部件104从路由器的ARP表中获取。如在第四行(L4)所展示的，该通信信息存储部件108存储指示下列元素的对应的第二通信信息：时间″9月1日23:50:55″；该路由器的全局IP地址″218.47.62.aaa″；MAC地址″00-90-99-48-85-90″；以及私有IP地址″192.168.1.100″。第二通信信息指示该MAC地址″00-90-99-48-85-90″和该私有IP地址″192.168.1.100″的组合在时间″9月1日23:50:55″被填加到该ARP表。

    第五行(L5)指示第三通信信息，第三通信信息已经由第三通信信息获取部件106从防火墙服务器中获取，该防火墙服务器是前面提及的路由器的地址转换器的一个例子。如在第五行(L5)中所展示的，该通信信息存储部件108存储指示下列元素的对应的第三通信信息：时间″9月1日23:51:12″；该路由器的全局IP地址″218.47.62.aaa″；私有IP地址和端口号″192.168.1.100:1031″；以及作为分组的目的地址的全局IP地址和端口号″210.153.1.bbb:53″。第三通信信息指示被分配了私有IP地址″192.168.1.100″的用户终端已经在时间″9月1日23:51:12″使用UDP(用户数据协议)将分组传送到具有全局IP地址″210.153.1.bbb″的通信设备。第6-11行(L6-L11)指示与第五行(L5)相似的第三通信信息。

    例如，当全局IP地址″218.47.62.aaa″、目的地址″210.153.1.bbb″和时间被管理员指定时，端口检测器110参考在通信信息存储部件108中所存储的时间，并且根据第9行(L9)的第三通信信息检测与该全局IP地址″218.47.62.aaa″和目的地址″210.153.1.bbb″相关联的私有IP地址″192.168.1.100″。接着，端口检测器110根据在第四行(L4)的第二通信信息检测与该私有IP地址″192.168.1.100″相关联的MAC地址″00-90-99-48-85-90″。然后，端口检测器110根据第一行(L1)的第一通信信息检测与该MAC地址″00-90-99-48-85-**相关联的设备识别信息″系统名″和物理端口″端口1″。

    如上所述，该通信信息存储部件108存储与时间相关联的第一到第三通信信息，并且端口检测器110参考在该通信信息存储部件108中所存储的时间信息来检测物理端口，其结果是可以精确地检测该用户的物理端口和可靠的识别。

    参考图4，当加电时，用户终端14a将DHCP请求发送到路由器20a的DHCP服务器(S100)。当中继在用户终端14a和路由器20a之间的DHCP请求时，智能集线器16a更新转发数据库，并且向用户识别设备22发送包括第一通信信息的系统日志消息#1，第一通信信息指示在用户终端14a连接到的物理端口和用户终端14a的MAC地址之间的对应(S102)。用户识别设备22的第一通信信息获取部件102从智能集线器16a获取第一通信信息。

    接着，路由器20a的DHCP服务器将一个私有IP地址分配给用户终端14a的MAC地址，并且将DHCP确认送回用户终端14a(S104)。之后，路由器20a向用户识别设备22发送包括第二通信信息的系统日志消息#2，第二通信信息指示在用户终端14a的MAC地址和被分配给该MAC地址的私有IP地址之间的对应(S106)。用户识别设备22的第二通信信息获取部件104从路由器20a中获取第二通信信息。

    接着，用户终端14a将ARP请求发送到路由器20a的ARP服务器(S108)。路由器20a的ARP服务器参考它的ARP表，并且将ARP应答送回到用户终端14a(S110)。路由器20a向用户识别设备22发送包括在该ARP表中所存储的第二通信信息的系统日志消息#3，第二通信信息指示在用户终端14a的该MAC地址和该私有IP地址之间的对应(S112)。用户识别设备22的第二通信信息获取部件104从路由器20a获取第二通信信息。

    接着，用户终端14a使用TCP/IP在因特网18上通信(S114)。当中继在用户终端14a和因特网18之间的通信时，路由器20a的防火墙服务器将全局IP地址分配给用户终端14a的私有IP地址。路由器20a向用户识别设备22发送包括第三通信信息的系统日志消息#4，第三通信信息指示在用户终端14a的私有IP地址和被分配给该私有IP地址的全局IP地址之间的对应(S116)。

    用户识别设备22的端口检测器110根据从智能集线器16a所获取的第一通信信息以及从路由器20a所获取的第二和第三通信信息，检测与已经在因特网18上通信的用户终端14a相连接的智能集线器16a的物理端口，并由此识别用户终端14a的用户。

    参考图5，用户识别设备22包括CPU(中央处理单元)700、ROM(只读存储器)702、RAM(随机存取存储器)704、通信接口706、硬盘驱动器708、数据库接口710、软盘驱动器712、以及CD-ROM驱动器714。CPU700通过运行在ROM702和RAM704中所存储的程序来控制用户识别设备22的操作。与因特网18的通信是通过通信接口706来进行的。数据库接口710实施读取和写入数据以及更新数据库的内容。

    软盘驱动器712从软盘720中读出程序或者数据，以便将它提供给CPU700。CD-ROM驱动器714从CD-ROM722中读出程序或者数据，以便将它提供给CPU700。数据库接口710与各种数据库724相连接，以便传送/接收数据。

    在记录介质(诸如软盘720或者CD-ROM722)中所存储的程序由用户供应给用户识别设备22。在记录介质中所存储的程序可以是压缩式或者是非压缩式的。该程序被从该记录介质中读出并由CPU700来加以执行。

    将被安装在用户识别设备22中的记录介质中所存储的程序在功能上由以下模块组成：传送/接收模块、第一通信信息获取模块、第二通信信息获取模块、第三通信信息获取模块、通信信息存储模块、以及端口检测模块。由每个模块所驱动的用户识别设备22的操作与在图1-4中所解释的用户识别设备22的每个对应部件的操作相同，因此就省略对它们的描述。

    软盘720或CD-ROM722作为该记录介质的一个例子可以存储一个或者多个程序，该程序实现在本发明的所有实施例中描述的用户识别设备22的功能/操作的全部或者一部分。

    该程序可以直接被从该记录介质读到RAM704中来加以执行。或者，该程序可以预先被安装在硬盘驱动器708中，在以后可以将它从该硬盘驱动器中读到RAM704中来加以执行。该程序可以被存储在单个记录介质中或者被存储在两个或者多个记录介质中。该程序可以被编码、被压缩和/或被加密后再加以存储。

    除了软盘和CD-ROM以外，诸如DVD和PD的光记录介质、诸如MD的磁光记录介质、磁带记录介质、磁记录介质、在IC卡中所采用的半导体存储器、微型卡等等也能够被当作记录介质来应用。还可以使用连接到网络(因特网、专用网等等)的服务器系统的存储设备(HDD、RAM、等等)来作为记录介质，并且还可以通过该网络将该程序从该存储设备提供给用户识别设备22。

    [实施例2]

    参考图6，用户识别系统30的配置和操作可与在第一实施例中的用户识别系统10的配置和操作相同，除了以下所描述的那些点之外。

    根据本发明的第二实施例的用户识别系统30包括：智能集线器16a-16d，其中的每个智能集线器位于LAN12a或者12b中，并且被提供与多个用户终端(14a-141)分别连接的多个物理端口；用于将LAN12a和12b与因特网18连接起来的路由器32a和32b；以及用于识别在因特网18上通信的用户终端的用户的用户识别设备34。

    每个路由器(32a，32b)，在本发明中作为地址转换器的一个例子，执行在私有IP地址和全局IP地址之间的地址转换，由此中继在因特网18和LAN12a以及12b之间的通信。每个路由器(32a，32b)根据第一到第三通信信息生成端口信息，并将它发送到用户识别设备34，该端口信息指示在全局IP地址和与已经使用该全局IP地址在因特网18上通信的用户终端相连接的智能集线器的物理端口之间的对应。用户识别设备34从路由器(32a，32b)中获取该端口信息，根据该端口信息检测与管理员所指定的全局IP地址相关联的智能集线器的物理端口，以及由此识别与该物理端口相连接的用户终端的用户。

    如图7所示，路由器32a包括：外部收发器200，它传送数据到因特网18/从因特网18接收数据；内部收发器202，它传送数据到LAN12a

    /从LAN12a接收数据；地址转换器204，它通过将全局IP地址分配给用户终端的私有IP地址执行在外部收发器200和内部收发器202之间接收的分组的私有IP地址和全局IP地址之间的地址转换；第一通信信息获取部件206，它从智能集线器16a和16b中获取第一通信信息；第二通信信息存储部件208，它存储第二通信信息；第三通信信息存储部件210，它存储第三通信信息；以及端口信息生成部件212，它根据第一到第三通信信息生成端口信息，该端口信息指示在全局IP地址和智能集线器的物理端口之间的对应。

    第一通信信息获取部件206通过内部收发器202从智能集线器16a和16b获取第一通信信息，第一通信信息指示物理端口、MAC地址以及设备识别信息的对应。

    第二通信信息存储部件208可以充当DHCP服务器，例如，它将私有IP地址分配给MAC地址(作为用户终端的终端识别信息)，并且释放它。第二通信信息存储部件208存储该用户终端的终端识别信息和分配给该终端识别信息的私有IP地址，它们是相互相关的。第二通信信息存储部件208还可以起到ARP服务器的作用，该服务器包括ARP表，在该表中，MAC地址(作为用户终端的终端识别信息)和被分配给该MAC地址的私有IP地址是相互关联地加以存储的。

    第三通信信息存储部件210是地址转换器204的地址转换表，它存储每个用户终端的私有IP地址和分配给该私有IP地址的全局IP地址。

    端口信息生成部件212根据第一到第三通信信息生成端口信息，该端口信息指示在全局IP地址和与使用该全局IP地址在因特网18上通信的用户终端相连接的智能集线器的物理端口之间的对应，并且通过外部收发器200将所生成的端口信息发送到用户识别设备34。

    如上所述，在根据本发明的第二实施例的用户识别系统30中，每个路由器(32a，32b)根据第一到第三通信信息生成端口信息，并且将该端口信息发送到用户识别设备34，与第一实施例相比较而言，这减少了从每个路由器传送到该用户识别设备的数据量。尤其在许多LAN由每个用户识别设备加以管理时，由该用户识别设备所管理和处理的数据量能够被减少，并且由此，用户识别设备34的存储资源能够被有效地加以利用。

    如上面所阐述的，根据本发明，有可能通过一个路由器来识别在因特网上通信的用户终端的用户，该路由器执行在私有IP地址和全局IP地址之间的地址转换。

    尽管本发明已经参考特定的说明性实施例进行了描述，但是本发明并不受到那些实施例的限制而仅仅由所附的权利要求来加以限制。应该理解，本领域普通技术人员在不背离本发明的范围和精神的情况下能够改变或者修改这些实施例。