DDNS服务器、DDNS客户终端和DDNS系统以及万维网服务器终端、其网络系统和访问控制方法.pdf

DDNS服务器、DDNS客户终端和DDNS系统 以及万维网服务器终端、其网络系统和访问控制方法
    【技术领域】

    本发明涉及一种DDNS(动态域名系统)服务器和作为其客户端的DDNS客户终端以及包括服务器和终端的DDNS系统。

    本发明还涉及仅仅当注册主机名(host name)匹配所接收到的主机名时，允许访问的万维网服务器终端及其网络系统，以及检测主机名以确定是否允许访问的访问控制方法。

    背景技术

    在近些年来，因特网已经获得了广泛使用。各种网页被注册在因特网的服务器上，而因特网用户可以比以往更容易地获得多种信息。

    必须在访问在因特网上的服务器之前指定在因特网上的服务器的全局IP地址。但是，用户难以明白全局IP地址，因此一般使用域名(DNS名称)。DNS服务器通过将诸如服务器之类的单元的主机名(域名)映射为全局IP地址来管理所述域名。一般，从诸如服务器之类的单元向DNS服务器传送全局IP地址和主机名，并且由DNS服务器来注册和管理全局IP地址和主机名。

    将说明通过使用域名来对被注册到DNS服务器的服务器单元进行访问的操作。当一个域名被输入到用于访问一个单元的浏览器装置时，向DNS服务器查询对应于域名的全局IP地址。被查询的DNS服务器向访问浏览器装置返回对应的全局IP地址，所述访问浏览器装置使用这个全局IP地址来与所述服务器单元通信。

    由ISP来分配全局IP地址。全局IP地址或者被以统计方式或者动态地分配到ISP客户。一般，为了向尽可能多的客户分配有限的全局IP地址，经常动态地分配全局IP地址。作为用于分配全局IP地址地装置，DHCP(动态主机配置协议)被使用。

    通过DHCP，DHCP客户在连接到网络或通电时从DHCP服务器请求分配全局IP地址以从DHCP服务器接收全局IP地址的分配。全局IP地址被DHCP服务器分配以用于预定时期。如果没有DHCP客户的重复的分配请求，则向DHCP客户的全局IP地址的分配不再有效。一般，只要DHCP保持连接到网络，则DHCP客户在由DHCP服务器传送的全局IP地址的可用时期中再次进行IP地址分配请求。因此，DHCP客户的全局IP地址在这种环境中变为无效。但是，如果关闭电源或终止与网络的连接，则一次性分配的全局IP地址变得无效，并且必须再次进行全局IP地址分配请求。在这种实践中，新的全局IP地址可能与先前获得的全局IP地址不同。而且，一些DHCP服务器不必响应于第二分配请求而分配相同的全局IP地址。

    因此，永久DNS不能支持其全局IP地址动态改变的DHCP客户。

    近些年来，已经使用DDNS来管理动态改变的全局IP地址和主机名。在DDNS中，DDNS服务器定期注册/管理从客户通信的全局IP地址和域名。这避免了在当使用现有技术的DNS和DHCP时发生的实际状态和向DDNS注册的信息之间的任何不一致。在DDNS中，如果由DHCP服务器动态分配IP地址，则一些问题仍然出现，如下所述。

    在所述实际状态和被注册的信息之间的不一致持续一段短时间直到响应于从客户到DDNS服务器的定期通知的更新。现在将说明现有技术的DDNS系统。图6是现有技术的DDNS系统的方框图。图7A是在现有技术的DDNS中的连接更新的时序图。图7B是在现有技术DDNS中由DHCP注册终端管理表和使用IP地址的时序图。在图6中，标号1表示因特网，2a、2b、2’表示PC终端，3、3’表示作为域的窗口的、诸如万维网服务器和邮件服务器之类的服务器，4表示向在服务器3的域中的PC终端2a、2b分配IP地址的DHCP服务器，5a表示DDNS服务器，它在来自PC终端2a、2b的访问中将访问目的地域名(以下域名包括子域名)转换为全局IP地址，5a表示一个终端管理表，用于管理在DDNS服务器5上提供的终端，8表示DNS服务器。

    下面说明使用现有技术DDNS系统的因特网连接顺序和DDNS的更新。在图7A中，在时间T1，用户A的PC终端2a通过接通电源或电路连接而连接到因特网，被DHCP服务器4分配全局IP地址‘222.222.222.222’，并且开始因特网连接。被分配全局IP地址的PC终端2a向DDNS服务器5传送被分配的全局IP地址及其域名(预先注册到DDNS服务器5的PC终端的域名‘aa.xx.ne.jp’)。DDNS服务器5响应于此而更新全局IP地址与域名的映射。

    在时间T2，PC终端2a关闭电源或释放电路连接以释放因特网连接。全局IP地址‘222.222.222.222’被释放。

    在时间T3，用户B的PC终端通过电源接通或电路连接而连接到因特网，被DHCP服务器4分配全局IP地址‘222.222.222.222’，并且开始因特网连接。PC终端2b向DDNS服务器5传送所分配的全局IP地址及其域名(‘bb.xx.ne.jp’)。DDNS服务器5更新所述注册。在这种状态下，在时间t4，PC终端2a再次开始因特网连接。PC终端2a被DHCP服务器4分配IP地址‘222.222.222.111’。PC终端2a向DDNS服务器5传送被分配的全局IP地址及其域名(‘aa.xx.ne.jp’)。DDNS服务器5更新所述注册。在时间T5，pp 2b释放因特网连接。在时间T6，释放PC终端2a的第二连接。

    在上述的连接顺序中，只要使用DHCP服务器4，则可以向PC终端2a和2b注册同一全局IP地址，如图7B所示。即，在时间T1，在终端管理表5a中的PC终端2a的信息区域中注册终端地址(‘aa.xx.ne.jp’)和全局IP地址‘222.222.222.222’。虽然在终端管理表5a中的PC终端2a的注册信息被保持直到时间T4全局IP地址改变，但是在时间T2释放所述全局IP地址。

    在时间T3，在终端管理表5a中的PC终端2b的信息区域中记录在最后访问时的全局IP地址‘222.222.222.333’。如果用户3在时间T3在这个点进行访问，则DHCP服务器4向PC终端2b分配刚刚变空的全局IP地址“222.222.222.222”，并且向终端管理表5a注册“222.222.222.222”。从时间T3到时间T4，同一全局IP地址“222.222.222.222”作为一个全局IP地址被分配到在终端管理表5a中的两个不同的终端地址‘aa.xx.ne.jp’和‘bb.xx.ne.jp’。在这种状态下，如果从外部PC终端2’向PC终端2a使用终端地址‘aa.xx.ne.jp’进行访问，则DDNS服务器5使用建立到PC终端2b的连接的全局IP地址‘222.222.222.222’来发送数据。试图访问PC终端2a的外部PC终端2’的用户不能访问PC终端2a，而是访问非计划中的PC终端2b。这也侵害了隐私并且引起安全问题。虽然在DDNS中，PC终端2a的全局IP地址在时间T5被更新为‘222.222.222.111’，并且其后不发生两次注册，但这样的两次注册至少直到完成更新之前可以发生。对于DNS，两次注册的时段由于缺少定期更新而比在DDNS中的更长。一些DHCP服务器不必响应于第二次分配请求而分配同一全局IP地址，即使在未释放因特网连接的情况下也是如此。而且，在规则的间隔产生用于更新DDNS服务器5的请求。两次注册的问题也在这种情况下发生。

    为了消除两次注册的危险，必须不向PC终端2a、2b发出同一全局IP地址。但是，进行限制以便不发出同一全局IP地址带来一个问题。在多个终端本地连接到与因特网连接的路由器的情况下，这些终端共享同一全局IP地址，并且独立的域名不能被分配到这多个终端。结果，仅仅单个终端可以连接到DDNS服务器。

    图8是包括经由路由器连接到因特网的现有技术终端的DDNS系统的方框图。在图8中，标号1表示因特网，2’表示PC终端，3’表示作为域的窗口的服务器，诸如连接到因特网1的万维网服务器和邮件服务器，4表示DHCP服务器，它在服务器3的域中分配IP地址，5表示DDNS服务器，5a表示终端管理表，用于管理在DDNS服务器5上提供的终端。标号6a、6b表示多个图像拾取终端，7表示路由器，它被配备了图像拾取终端6a、6b以允许在端口转发的基础上从外部的访问，8表示DNS服务器。

    如图8所示，在包括经由路由器连接的终端的现有技术的DDNS系统中，路由器7被DHCP服务器4分配IP地址‘222.222.222.222’。这不允许系统识别图像拾取终端6a、6b。因此，向图像拾取终端6a、6b提供端口号。例如，图像拾取终端6a使用IP地址‘222.222.222.222’和端口号‘800’来识别其本身，而图像拾取终端6b使用IP地址‘222.222.222.222’和端口号‘8000’来识别其本身。图像拾取终端6a的URL是‘http//222.222.222.222:800/’，图像拾取终端6b的URL是‘http//222.222.222.222:8000/’。

    为了经由因特网从外部访问图像拾取终端6a，作为目的地IP地址的‘222.222.222.222’和作为端口号的‘800’被写入到IP首标中，然后向网络发送IP分组。具有IP地址‘222.222.222.222’的路由器7接收这个分组，并且因为端口转发的次序而向域中传送它。然后，所述分组被具有端口号‘800’的图像拾取终端6a接收。类似地，可以使用端口号‘8000’来向图像拾取终端6b发送IP分组。

    以这种方式，在从外部向图像拾取终端的访问中，使用同一IP地址来识别两个图像拾取终端6a、6b。如果施加一个限制以便不发出同一IP地址以避免上述的两次注册的问题，则图像拾取终端6a或图像拾取终端6b可以被注册到DDNS服务器5。

    如上所述，只要使用DHCP服务器4，则可以向在现有技术的DDNS系统中的两个图像拾取终端6a、6b注册同一IP地址。当在这个状态下由外部终端进行访问时，DDNS服务器5向这个IP地址发送数据，这使得所述终端连接到PC终端2b而不是目标PC终端2a。虽然这在短时间间隔发生，但是用户的隐私不被保护，并且这个系统在安全性方面不完美。如果施加一个限制使得不向PC终端2a、2b发送同一IP地址以便消除两次注册的可能性，则本地连接到路由器单元的多个终端(例如图像拾取终端6a、6b)的仅仅一个——如果有的话——可以被注册到DDNS服务器5。

    【发明内容】

    本发明旨在提供一种网络系统，它可以通过下述方式来避免隐私保护的问题：解决对于一个终端的两次注册的上述问题，所述终端被ISP使用DHCP动态地分配全局IP地址。

    为了解决上述问题，本发明的DDNS服务器包括用于存储DDNS客户终端的域名、全局IP地址和端口号的终端管理表、用于管理终端管理表的终端管理部分，其特征在于，DDNS服务器按照来自DDNS客户终端的更新请求来接收从DDNS客户终端发送的域名、全局IP地址和端口号，并且重写所述终端管理表。

    使用这种配置，有可能解决一个终端的两次注册的问题，ISP可以使用DHCP来动态地向所述终端分配全局IP地址，由此避免隐私保护的问题。也有可能注册诸如本地连接到路由器的终端的、具有相同IP地址的多个终端以便可以允许对于终端的独立访问，并且执行数据更新。

    本发明的DDNS服务器包括终端管理表，用于存储DDNS客户终端的域名、全局IP地址和端口号，其特征在于，所述终端管理部分当从DDNS客户终端进行重写全局IP地址的请求时查看在终端管理表中是否存在相同的全局IP地址，如果不存在相同的全局IP地址则允许重写所述全局IP地址，如果存在相同的全局IP地址则查看端口号，如果检测到相同的端口号则禁止重写全局IP地址，如果端口号不同则允许重写所述全局IP地址。

    使用这种配置，有可能解决一个终端的两次注册的问题，ISP可以使用DHCP来动态地向所述终端分配全局IP地址，由此避免隐私保护的问题。也有可能注册具有相同IP地址的多个终端以便可以允许对于终端的独立访问，并且执行数据更新。

    本发明的DDNS客户终端的特征在于：DDNS客户终端包括：DDNS管理表，用于存储域名、全局IP地址、端口号和更新间隔信息；DDNS管理装置，用于管理DDNS管理表和按照更新间隔信息来定期地更新全局IP地址和/或域名。

    使用这种配置，也有可能注册具有相同IP地址的多个终端，以便可以允许对于终端的独立访问，并且执行数据更新。

    本发明的DDNS系统包括DDNS服务器、DDNS客户终端和DHCP服务器，其特征在于，DDNS系统当从DDNS客户终端向DDNS服务器进行重写全局IP地址的请求时查看在域中是否存在相同的全局IP地址，如果不存在相同的全局IP地址则允许重写所述全局IP地址，如果存在相同的全局IP地址则查看端口号，如果检测到相同的端口号，则禁止重写所述全局IP地址，如果端口号不同，则允许重写所述全局IP地址。

    使用这种配置，有可能解决一个终端的两次注册的问题，ISP可以使用DHCP动态地向所述终端分配全局IP地址，由此解决隐私保护的问题。也有可能注册具有相同IP地址的多个终端以便可以允许对于终端的独立访问，并且终端数据更新。

    本发明的万维网服务器包括：管理表，用于存储其本身的主机名；主机名检测装置，用于在接收到访问请求时从HTTP首标提取主机名；确定装置，用于比较由主机名检测装置检测的主机名和存储在管理表中的主机名，并且查看是否它们彼此匹配，其特征在于，如果所述主机名彼此匹配，则所述确定装置允许万维网处理装置执行通信，如果所述主机名彼此不匹配，则拒绝通信。

    使用这种配置，有可能即使在存在IP地址的两次注册时也容易地和可靠地防止错误的连接，由此增强安全性。

    本发明的网络系统包括万维网服务器终端、万维网客户终端、DDNS服务器和用于分配IP地址的DHCP服务器，其特征在于，万维网客户终端向访问请求附加主机名，并且万维网服务器终端将所述主机名与被注册的主机名相比较，并且仅仅当所述主机名彼此匹配时允许连接。

    使用这种配置，有可能即使在两次注册IP地址时也容易地和可靠地防止错误的连接，由此增强安全性。

    本发明的访问控制方法的特征在于：万维网客户终端在通过浏览器装置访问万维网服务器终端中向访问请求设置主机名，并且万维网服务器终端提取所述主机名，比较所述主机名与被注册的主机名，并且在主机名彼此匹配时允许连接，在主机名彼此不匹配时拒绝连接。

    使用这种配置，有可能即使当两次注册IP地址时也容易地和可靠地防止错误的连接。

    【附图说明】

    图1是按照本发明的实施例1的DDNS系统的方框图；

    图2A是按照本发明的实施例1的作为DDNS客户终端的PC终端的方框图；

    图2B是按照本发明的实施例1的DDNS服务器的方框图；

    图2C是按照本发明的实施例1的作为DDNS客户终端的图像拾取终端的方框图；

    图3A示出了按照本发明的实施例1的DDNS服务器的终端管理表；

    图3B示出了按照本发明的实施例1的图像拾取终端的DDNS管理表；

    图4是按照本发明的实施例1的DDNS系统的IP分组方框图；

    图5A是按照本发明的实施例1的更新DDNS服务器的流程图；

    图5B是按照本发明的实施例1的访问DDNS服务器的流程图；

    图6是现有技术的DDNS系统的方框图；

    图7A是在现有技术DDNS中的连接更新的时序图；

    图7B是在现有技术的DDNS中由DHCP注册终端管理表和使用IP地址的时序图；

    图8是包括经由路由器连接到因特网的现有技术终端的DDNS系统的方框图；

    图9是按照本发明的实施例2的使用DDNS和DHCP的网络系统的方框图；

    图10A是按照本发明的实施例2的万维网服务器终端的方框图；

    图10B是按照本发明的实施例2的万维网客户终端的方框图；

    图11A是按照本发明的实施例2的万维网服务器终端的管理表的主要部分；

    图11B是按照本发明的实施例2的访问请求的方框图；

    图12是示出按照本发明的实施例2的控制对于万维网服务器终端的访问的流程图。

    【具体实施方式】

    (实施例1)

    将说明DDNS服务器、DDNS客户终端和包括DDNS服务器和DDNS客户终端的DDNS系统。图1是按照本发明的实施例1的DDNS系统的方框图。图2A是按照本发明的实施例1的作为DDNS客户终端的PC终端的方框图。图2B是按照本发明的实施例1的DDNS服务器的方框图。图2C是按照本发明的实施例1的作为DDNS客户终端的图像拾取终端的方框图。图3A示出了按照本发明的实施例1的DDNS服务器的终端管理表。图3B示出了按照本发明的实施例1的图像拾取终端的DDNS管理表。图4是按照本发明的实施例1的DDNS系统的IP分组方框图。图5A是按照本发明的实施例1的更新DDNS服务器的流程图。图5B是按照本发明的实施例1的访问DDNS服务器的流程图。

    在图1中，标号1表示因特网，2、2’表示PC终端，3、3’表示作为域的窗口的服务器，诸如万维网服务器和邮件服务器，4表示在服务器3的域中分配IP地址的DHCP服务器，5表示DDNS服务器，它在来自PC终端2、2’的访问中将访问目的地域名转换为全局IP地址。标号6a、6b表示拍摄和发送图像的图像拾取终端，7表示路由器，8表示DNS服务器。标号26’表示PC终端2’的浏览器装置。

    在图2A所示的PC终端2中，标号21表示PC终端2的控制器，其中包括用于加载控制程序以执行各种控制特征的CPU，标号22表示DDNS管理装置，用于对于DDNS的客户终端执行处理，23表示存储器，用于存储控制器21的CPU的控制程序，24表示DDNS管理表，用于存储在存储器23中提供的验证信息、域名、全局IP地址、端口号和更新间隔信息，25表示输入/输出控制器，用于执行通信的输入/输出控制，26表示浏览器装置，用于浏览诸如网页之类的HTML文件。DDNS管理装置22向DDNS管理表24中存储被注册的验证信息、域名、全局IP地址、端口号和更新间隔信息，并且按照更新间隔信息定期地向DDNS服务器5发送全局IP地址和域名的更新通知，并且在重写请求下重写所述全局IP地址和域名，因此执行更新处理。

    在图2B所示的DDNS服务器5中，标号51表示DDNS服务器5的控制器，其中包括用于加载控制程序以执行各种控制特征的CPU，52表示终端管理部分，用于对DDNS的服务器执行处理，53表示存储器，用于存储控制器51的CPU的控制程序；54表示终端管理表(也参见图3A)，用于存储在存储器53中提供的验证信息、域名、全局IP地址、端口号和更新间隔信息；以及55表示输入/输出控制器，用于执行输入/输出通信控制。终端管理部分52向终端管理表54中存储验证信息、域名、全局IP地址、端口号和更新间隔信息，以及在从DDNS客户终端接收到定期更新通知时执行更新处理。终端管理部分52使用包括子域名的域名来管理全局IP地址(以下没有子域名的域名和包括子域名的域名都被称为域名)。

    在图2C的图像拾取终端6a、6b中，标号61表示图像拾取终端6a、6b的控制器，其中包括用于加载控制程序以执行各种控制特征的CPU，62表示DDNS管理装置，用于对DDNS的客户机执行处理，63表示存储器，用于存储控制器61的CPU的控制程序，64表示DDNS管理表，用于存储在存储器63中提供的验证信息、域名、全局IP地址、端口号和更新间隔信息，65表示输入/输出控制器，用于执行通信的输入/输出控制，66表示照相机驱动部分，用于改变摄像机的角度或焦点以便驱动照相机来拍摄图像，67表示万维网服务器部分。在因特网1上的图像拾取终端6a、6b也与路由器7具有公共的全局IP地址。图像拾取终端6a、6b按照来自另一个用户的单元的照相机控制请求来经由因特网1控制照相机驱动部分，并且拍摄图像然后向用户的终端发送数据。图像拾取终端6a和6b可以被独立的用户按照愿望来使用。因此，必须允许对于图像拾取终端6a、6b的每个的外部访问。

    接着，将说明DDNS服务器5的终端管理表54和终端管理部分52。图3示出了终端管理表54的细节。标号541表示用于验证访问是否是被授权的访问的、在终端管理表54中存储的验证信息，542表示域名，543表示域的全局IP地址，544表示终端的端口号。

    作为验证信息541，其隐私被保护的单元的MAC地址是优选的，因为它被安全和容易地使用。MAC地址是产品固有的值，并且是包括制造商代码和序列号的唯一号码。在图3的示例中，图像拾取终端6a、6b和PC终端2的MAC地址‘11:22:33:44:55:66’、‘22:33:44:55:66:77’和‘33:44:55:66:77:88’分别被用作验证信息541。这些地址被写入到在图4中所示的IP首标的选项中以便发送，并且与提前存储的验证信息541相比较以查看访问是否是被授权的访问。

    在实施例1中的域名542是由DDNS服务器5自动注册或通过使用DDNS服务器人工输入的域名。包括子域名的诸如‘11.xx.ne.jp’之类的域名与图像拾取终端6a、6b和PC终端2的每个相关联地被存储。全局IP地址543被DHCP服务器4动态地分配。例如，路由器7和与其连接的图像拾取终端6a、6b的全局IP地址543在一个时间点被共同分配到‘222.222.222.222’。DHCP服务器4从全局IP地址‘222.222.111.001’到‘222.222.222.300’中选择全局IP地址，并且向请求单元分配全局IP地址543。

    作为端口号544，‘800’、‘8000’和‘888’被分别分配到图像拾取终端6a、6b和PC终端2的程序。端口号被写入到图4所示的IP分组中的目的地端口号中，并且在因特网和路由器之间被发送/接收以使得可以从外部直接识别在路由器7中的目标单元。

    例如，在直接识别图像拾取终端6a的通信中，通过因特网发送具有被写入到其首标中的、路由器7的全局IP地址和图像拾取终端6a的端口号‘800’的IP分组。路由器7接收所述分组，并且使用路由器7的伪装特征(端口转发特征)来向图像拾取终端6a的端口号‘800’传送所述IP分组。

    在按照实施例1的DDNS服务器5中，当从DDNS客户终端发送更新通知时，终端管理部分53管理终端管理表54和更新全局IP地址543、端口号544和域名542。首先，将参照图5A中的更新处理流程图来描述作为DDNS的特征的、由终端管理部分52进行的全局IP地址更新处理。

    在图5A中，终端管理部分52查看是否从DDNS客户终端发送的更新通知包括IP地址重写请求(步骤1)。如果所述更新通知不包括IP地址重写请求，则终端管理部分52执行另一个处理(诸如改变子域名)(步骤2)。如果所述更新通知包括IP地址重写请求，则终端管理部分52查看是否在终端管理表54中存在相同的全局IP地址(步骤3)。

    如果在步骤3中不存在相同的全局IP地址，则终端管理部分52允许重写全局IP地址(步骤4)。如果在步骤3中存在相同的全局IP地址，则终端管理部分52查看更新通知的端口号与终端管理表的端口号544是否相同(步骤5)。如果更新通知的端口号与端口号544相同，则终端管理部分52禁止重写全局IP地址(步骤6)。否则，终端管理部分52允许重写全局IP地址(步骤4)。因此，如果对于全局IP地址和先前注册的端口地址的组合的注册请求或更新请求被除了以这样的组合识别的终端之外的终端接收，则有可能禁止重写全局IP地址。如果经由诸如MAC地址的验证信息从以这样的组合识别的终端接收到对于全局IP地址和先前注册的端口地址的组合的注册请求或更新请求，则可以允许重写全局IP地址。

    接着，将说明DDNS服务器5的处理，即经由网络1从按照实施例1的PC终端2’向图像拾取终端6a的访问的处理。从PC终端2’的浏览器装置26’(见图1)输入图像拾取终端6a的域名和端口号。浏览器装置26’向DNS服务器8发送用于包括输入的域名的全局IP地址查询请求的IP分组(步骤11)。DNS服务器8向DDNS服务器5发送IP分组以便进行全局IP地址查询请求，并且DDNS服务器5接收所述IP分组。DDNS服务器5引用终端管理表54并且从域名提取全局IP地址543(步骤12)。DDNS服务器5向作出全局IP地址查询请求的DNS服务器8发送全局IP地址543。接收全局IP地址543的DNS服务器8向作为查询源的PC终端2’发送所述IP分组。

    接收从DNS服务器8发送的全局IP地址543的PC终端2’的浏览器装置26使用全局IP地址543和输入的端口号544来进行访问(步骤1 3)。路由器7按照端口号544来向图像拾取终端6a传送所述IP分组，路由器7接收从PC终端2’发送的IP分组(步骤14)。

    因此，按照实施例1的DDNS系统将端口号以及域名与全局IP地址相关联。DDNS系统使用全局IP地址和端口号的组合来避免两次注册。因此，有可能注册多个具有相同IP地址的终端(诸如本地连接到路由器的终端)，以便可以允许对于终端的独立访问，并且有可能执行数据更新。而且，允许对于ISP已经使用DHCP动态地分配全局IP地址的终端的两次注册。

    接着，将说明DDNS客户终端的DDNS管理表64和DDNS管理装置。如图3B所示，图像拾取终端6a的DDNS管理表64存储诸如MAC地址之类的验证信息641、域名642、端口号644和更新间隔645。注意，如果图像拾取终端6a连接到路由器7，则通过路由器7来管理全局IP地址，因此全局IP地址不被存储在图像拾取终端6a中。虽然未示出，对于图像拾取终端6b和PC终端2的DDNS管理表64，配置是相同的。

    可以对于图像拾取终端6a、6b和PC终端2设置更新间隔645或规则的更新间隔，例如对于图像拾取终端6a、6b设置为10分钟，对于PC终端2设置为一天。DDNS管理装置22、62每个都按照这个设置以预设的间隔定期向DDNS服务器5发送包括端口号和MAC地址的更新请求分组。路由器7接收所述分组，将其首标改变为由DHCP服务器4分配的当前全局IP地址，并且向DDNS服务器5发送产生的分组。

    接收到从图像拾取终端6a定期发送的更新请求的DDNS服务器5更新终端管理表54。从外部识别的图像拾取终端6a、6b的每个的全局IP地址与路由器7的相同，这个全局IP地址被DHCP服务器4分配到路由器7。所述全局IP地址当被DHCP服务器4分配时被存储到路由器7中，并且在由DHCP服务器4第二次分配时，被重写为新的全局IP地址。

    接着，将说明由DDNS客户终端更新DDNS服务器的处理。如图1和图3A所示，当诸如10分钟这样的更新间隔被输入到图像拾取终端6a、6b的DDNS管理表64中时，DDNS管理装置62每10分钟从DDNS管理表64提取端口号和作为验证信息的MAC地址，并且向DDNS服务器5发送包括端口号、MAC地址和重写请求的更新通知。路由器7接收所述更新通知，将其首标改变为由DHCP服务器4分配到路由器7的当前全局IP地址，并且向DDNS服务器5发送产生的更新通知。

    DDNS服务器5验证所述更新通知，并且查看是否所述更新通知包括全局IP地址重写请求。如果所述更新通知不是全局IP地址重写请求，则DDNS服务器5执行另一个处理。如果所述更新请求是全局IP地址重写请求，则终端管理部分52查看在终端管理表54中是否存在相同的全局IP地址‘222.222.222.222’。

    如果不存在相同的全局IP地址‘222.222.222.222’，则终端管理部分52允许重写全局IP地址。如果存在相同的全局IP地址‘222.222.222.222’，则终端管理部分52查看所述更新通知的端口号‘800’与终端管理表54的端口号544是否相同。如果它们相同，终端管理部分52禁止重写全局IP地址。如果它们不相同，则终端管理部分52允许重写全局IP地址。即，终端管理部分52在IP地址和端口号相同时禁止任何改变，在其余情况下允许改变。结果，如果对于全局IP地址和先前注册的端口地址的组合的注册请求或更新请求被除了以这样的组合识别的终端之外的终端接收，则有可能禁止重写全局IP地址。如果经由诸如MAC地址的验证信息从以这样的组合识别的终端接收到对于全局IP地址和先前注册的端口地址的组合的注册请求或更新请求，则可以允许重写全局IP地址。

    将说明经由网络1从按照实施例1的PC终端2’向图像拾取终端6a的访问的处理。域名‘11.xx.ne.jp’和端口号‘800’被输入到PC终端2’的浏览器装置26’。浏览器装置26向先前多径输入的域名的DNS服务器8查询全局IP地址名。接收所述查询的DNS服务器8向DDNS服务器5查询对应于由PC终端2’查询的域名的全局IP地址。DDNS服务器5从所发送的IP分组提取域名‘11.xx.ne.jp’，引用终端管理表54，并且从域名‘11.xx.ne.jp’提取IP地址‘222.222.222.222’。域名‘11.xx.ne.jp’包括如上所述的子域名。DDNS服务器5向DNS服务器8发送包括IP地址‘222.222.222.222’的对于查询的响应。DNS服务器8接收所述响应，根据这个响应来向PC终端2’发送一个IP分组来作为包括IP地址‘222.222.222.222’的对于查询的响应。

    经由DNS服务器8从DDNS服务器5接收图像拾取终端6a的地址信息(‘222.222.222.222’)的PC终端2’的浏览器装置26’访问输入的端口号‘800’和图像拾取终端6a的IP地址‘222.222.222.222:800’。被分配IP地址‘222.222.222.222’的路由器从PC终端2’接收访问，并且按照所接收的端口规格(端口号‘800’)执行端口转发以传送IP分组。

    因此，按照实施例1的DDNS系统将端口号以及全局IP地址与域名相关联。DDNS系统使用全局IP地址和端口号的组合来避免两次注册。因此，有可能注册多个具有相同IP地址的终端，诸如本地连接到路由器的终端，以便可以允许对于终端的独立访问，并且有可能执行数据更新。而且，允许对于ISP已经使用DHCP动态地分配全局IP地址的终端的两次注册。

    (实施例2)

    将说明按照本发明的实施例2的使用DDNS和DHCP的网络系统及其访问控制方法。图9是按照本发明的实施例2的、使用DDNS和DHCP的网络系统的方框图。图10A是按照本发明的实施例2的万维网服务器终端的方框图。图10B是按照本发明的实施例2的万维网客户终端的方框图。图11A是按照本发明的实施例2的万维网服务器终端的管理表的主要部分。图11B是按照本发明的实施例2的访问请求的方框图。图12是示出按照本发明的实施例2的控制对于万维网服务器终端的访问的流程图。

    在图9中，标号1表示因特网，2a表示万维网服务器终端A，2b表示万维网服务器终端B，2c表示路由器C，2c1表示万维网服务器终端C1、2c2表示万维网服务器终端C2，2d表示万维网服务器终端，3表示加载了浏览器的客户终端，4表示DNS服务器，4a表示DNS管理表，5表示DHCP服务器，6表示DDNS服务器，它向万维网客户传送对应于主机名而动态地改变的IP地址以便执行访问支持，6a表示管理表。这些部件的细节一般与现有技术中的那些相同。可以在网络上的各种位置以各种形式来提供DNS服务器4、DHCP服务器5和DDNS服务器6。

    将参照图9和10A来说明万维网服务器终端的配置。标号21表示万维网服务器的控制器，其中包括CPU，用于加载控制程序以执行各种控制特征，22表示DDNS管理装置，用于在DDNS的服务器上执行处理，23表示存储器，用于存储控制器21的CPU的控制程序，24表示管理表，用于存储在存储器23中提供的验证信息、主机名、IP地址和端口号。标号25表示输入/输出控制器，用于执行输入/输出通信控制，26表示万维网处理装置，诸如httpd，用于处理诸如发送从万维网客户终端3发送的HTML文件之来的传输的请求，27表示主机名检测装置，用于在接收到从万维网客户终端3发送的访问请求时从数据区域提取主机名，28表示确定装置，用于比较由主机名检测装置检测的主机名和在管理表中存储的主机名，并且查看它们是否彼此匹配以确定是否允许或禁止所述访问。

    DDNS管理装置22在管理表24中存储验证信息、主机名、IP地址和端口号。当DHCP服务器5已经分配IP地址时，DDNS管理装置22向DDNS服务器6传送所述IP地址。在DDNS管理表24中存储的主机名被DDNS管理装置22提前注册到DDNS服务器6，并且被DDNS管理装置22从DDNS服务器6获取来作为注册名。图11A所示的管理表24示出了用于访问请求的主机名24a和IP地址24b。在所述表中未示出验证信息和端口号。主机名在此指示访问名，其中包括狭义上的主机名来作为终端名和域名，在一些情况下也包括子域名。在图11A和11B中的主机名是‘tarou.miemasu.net’和‘hanako.miemasu.net’，其中‘tarou’和‘hanako’是狭义上的主机名，并且‘miemasu.net’是公共域名。在从万维网客户终端3接收到访问请求时，主机名检测装置27按照图11B中所示的HTTP请求首标方法‘GET’来从‘Host’检测主机名。确定装置28确定是否允许或禁止访问，如图4所示。

    在图12中，主机名检测装置27从HTTP请求首标来检测主机名(步骤1)。例如，输入的分组试图访问IP地址‘1.1.1.1’和主机名‘http：//tarou.miemasu.net’，主机名检测装置27在步骤1中使用图11B所示的方法‘GET’来从‘Host’提取‘tarou.miemasu.net’。

    然后，确定装置28比较由主机名检测装置27检测的主机名和在管理表24中存储的注册的主机名‘tarou.miemasu.net’，并且确定是否它们相同(步骤2)。

    当注册的主机名匹配所检测的主机名时，确定装置28允许访问(步骤3)，并且万维网处理装置26开始传送。如果注册的主机名不匹配所检测的主机名，则确定装置28拒绝所述访问(步骤4)，并且万维网处理装置26向浏览器返回HTML网页‘连接失败’。

    实施例2的万维网服务器终端提前在其中注册主机名。即使在DDNS服务器向两个主机名分配相同的IP地址，万维网服务器终端也检测被设置到在来自浏览器的访问请求中包括的HTTP请求的主机名，以仅仅当对其进行访问尝试时允许通信。因此，有可能容易和可靠地防止错误的连接。由于错误连接而导致的信息泄露被防止，由此增强了安全性。

    接着，将说明按照实施例2的万维网客户。在图10B中，标号31表示万维网客户终端3的控制器，其中包括CPU，用于加载控制程序以执行各种控制特征，33表示存储器，用于存储用于控制器31的CPU的控制程序，35表示输入/输出控制器，用于执行对于通信的输入/输出控制，36表示浏览器装置，用于浏览诸如网页之类的HTML文件，37表示HTTP请求产生装置，用于在对于万维网服务器终端作出访问请求时产生HTTP请求。

    浏览器装置36在访问万维网服务器终端时向DNS服务器4查询对应于主机名的IP地址。DNS服务器4向DDNS服务器6查询所述IP地址，因此允许获得所述IP地址。例如，在访问具有在存储器33中存储的主机名的万维网服务器终端时，HTTP请求产生装置37产生HTTP请求，浏览器装置36发送一个IP分组，在此这个HTTP请求通过因特网被设置到万维网服务器终端。当所述万维网服务器终端接收到通过DNS服务器4和DDNS服务器6获得的IP地址时，所述万维网服务器终端查看在HTTP请求中的主机名以确定所述访问是否是被授权的访问，并且允许或禁止所述访问。

    在图3B中示出了所述HTTP请求的细节。按照协议HTTP，HTTP请求产生装置37在方法‘GET’之后马上设置URI(统一资源标识符)和版本信息‘HTTP1.0’，并且在‘Host’后马上写入主机名以产生HTTP请求首标。在HTTP1.1中，强制HTTP请求产生装置37设置主机名，它被自动写入。

    按照实施例2的万维网客户终端在HTTP请求产生装置上的访问请求中设置目标主机名。因此，在主机名以及IP地址之间的比较在万维网服务器终端上是可能的，这使得有可能容易和可靠地防止错误的连接。

    接着，将说明在网络系统中万维网客户终端对于万维网服务器终端的访问流程，在所述网络系统中，按照实施例2的一个万维网服务器终端和一个万维网客户终端连接到因特网。

    从万维网客户经由网络发送向万维网服务器终端的访问请求。由万维网服务器终端使用来检测主机名的HTTP请求被设置到这个访问请求。其中对应于使用DDNS服务器和DNS服务器而获得的主机名的IP地址被分配的IP首标被附加到被发送的分组。产生的IP分组被发送到万维网服务器终端。

    在万维网服务器终端中，主机名检测装置检测被设置到用于请求访问的HTTP请求的主机名，并且确定装置比较这个主机名与被注册的主机名，并且仅仅当主机名相同时允许访问。

    使用这种访问控制方法，有可能仅仅当主机名彼此匹配时允许访问，而不用配置特殊的系统。因此，即使在存在IP地址的两次注册的时候，也有可能容易和可靠地防止错误的连接。由于错误连接而导致的信息泄露被防止，由此增强了安全性。

    产业上的应用

    按照本发明的DDNS服务器，有可能解决对于一个终端的两次注册的问题，ISP可以使用DHCP向所述终端动态地分配全局IP地址，由此避免了隐私保护的问题。也有可能注册多个具有相同IP地址的终端，诸如本地连接到路由器的终端，以便可以允许对于终端的独立访问，并且执行数据更新。

    按照本发明的DDNS服务器，有可能解决对于一个终端的两次注册的问题，ISP可以使用DHCP向所述终端动态地分配全局IP地址，由此避免了隐私保护的问题。也有可能注册多个具有相同IP地址的终端，以便可以允许对于终端的独立访问，并且执行数据更新。

    按照本发明的DDNS客户终端，也有可能注册多个具有相同IP地址的终端，以便可以允许对于终端的独立访问，并且执行数据更新。

    按照本发明的DDNS系统，有可能解决对于一个终端的两次注册的问题，ISP可以使用DHCP向所述终端动态地分配全局IP地址，由此避免了隐私保护的问题。也有可能注册多个具有相同IP地址的终端，以便可以允许对于终端的独立访问，并且执行数据更新。

    按照本发明的万维网服务器终端，即使在存在IP地址的两次注册的情况下也有可能容易和可靠地防止错误的连接，由此增强安全性。

    按照本发明的网络系统，即使当两次注册一个IP地址时也有可能容易和可靠地防止错误的连接，由此增强安全性。

    按照本发明的访问控制方法，即使当两次注册一个IP地址时也有可能容易和可靠地防止错误的连接，由此增强安全性。