JP4785992B2 - Authentication method and relay device - Google Patents
Authentication method and relay device Download PDFInfo
- Publication number
- JP4785992B2 JP4785992B2 JP2011000729A JP2011000729A JP4785992B2 JP 4785992 B2 JP4785992 B2 JP 4785992B2 JP 2011000729 A JP2011000729 A JP 2011000729A JP 2011000729 A JP2011000729 A JP 2011000729A JP 4785992 B2 JP4785992 B2 JP 4785992B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- server
- terminal device
- temporary
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、端末装置のユーザについてのユーザ認証処理を行う認証方法、及びかかる方法に用いられる中継装置に関する。 The present invention relates to an authentication method for performing user authentication processing for a user of a terminal device, and a relay device used in the method.
従来、WLANにおいてユーザIDを隠蔽しながらユーザ認証処理を行う認証方法として、EAP-TTLS方式が知られている。 Conventionally, an EAP-TTL system is known as an authentication method for performing user authentication processing while hiding a user ID in a WLAN.
EAP-TTLS方式では、端末装置と認証サーバとの間でセキュアトンネルが構築され、当該端末装置が、構築されたセキュアトンネルを介して、当該認証サーバにユーザIDを送信するように構成されている。 In the EAP-TTLS scheme, a secure tunnel is constructed between a terminal device and an authentication server, and the terminal device is configured to transmit a user ID to the authentication server via the constructed secure tunnel. .
しかしながら、EAP-TTLS方式には、セキュアトンネルを構築するステップが冗長であるという問題点があった。 However, the EAP-TTLS method has a problem that a step for constructing a secure tunnel is redundant.
かかる問題点を解決するために、セキュアトンネルを構築することなくユーザ認証処理を行う方式として、EAP-AKA方式が考えられていた。図15を参照して、かかるEAP-AKA方式について簡単に説明する。 In order to solve this problem, the EAP-AKA system has been considered as a system for performing user authentication processing without constructing a secure tunnel. With reference to FIG. 15, the EAP-AKA system will be briefly described.
図15に示すように、初回のユーザ認証処理では、ステップS1001において、端末装置100が、ユーザIDを含む認証情報を認証機器(中継装置)200Aに送信し、ステップS1002において、認証機器200Aが、当該認証情報を認証サーバ300Aに転送する。
As shown in FIG. 15, in the first user authentication process, in step S1001, the
ステップS1003において、認証サーバ300Aが、受信した認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行い、その後、当該端末装置100のユーザ用のテンポラリID(一時的なユーザID)を生成する。
In step S1003, the
ステップS1004において、認証サーバ300Aが、当該テンポラリIDを認証機器200Aに通知し、ステップS1005において、認証機器200Aが、当該テンポラリIDを端末装置100に通知する。
In step S1004, the
そして、2回目以降のユーザ認証処理は、認証サーバ300Aにおいて、端末装置100によって送信されるテンポラリIDを含む認証情報に基づいて行われる。
The second and subsequent user authentication processes are performed based on the authentication information including the temporary ID transmitted by the
しかしながら、従来のEAP-AKA方式を用いてユーザ認証処理は、複数の認証サーバによって実現される場合、各認証サーバが、全ての認証サーバによって発行されたユーザIDとテンポラリIDとの対応付けを把握していないため、うまく機能しないという問題点があった。 However, when user authentication processing using the conventional EAP-AKA method is realized by a plurality of authentication servers, each authentication server grasps the correspondence between user IDs issued by all authentication servers and temporary IDs. Not working properly.
図15を参照して、かかる問題点について、具体的に説明する。 This problem will be specifically described with reference to FIG.
ステップS1006において、端末装置100が、認証サーバ300Aによって発行されたテンポラリIDを含む認証情報を認証機器200Aに送信し、ステップS1007において、認証機器200Aが、当該認証情報を認証サーバ300Bに転送するものとする。
In step S1006, the
かかる場合、ステップS1008において、認証サーバ300Bは、受信した認証情報に含まれているテンポラリIDとユーザIDとの対応付けを管理していないため、かかる認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行うことができない。
In such a case, in step S1008, the
したがって、ステップS1009において、認証サーバ300Bは、その旨を示す認証結果(NG)を認証機器200Aに通知し、ステップS1010において、認証機器200Aが、かかる認証結果(NG)を端末装置100に通知することになる。
Accordingly, in step S1009, the
その結果、ステップS1011乃至S1015において、端末装置100は、再度、初回のユーザ認証処理を行うことによって、認証サーバ300Bによって発行されるテンポラリIDを入手しなければならない。
As a result, in steps S1011 to S1015, the
なお、他にも認証サーバ300が複数存在する場合、端末装置100は、全ての認証サーバ300によって発行されるテンポラリIDを入手して、ユーザ認証処理を行う認証サーバごとにテンポラリIDを使い分ける必要がある。
If there are a plurality of
そこで、本発明は、以上の点に鑑みてなされたもので、複数の認証サーバによってユーザ認証処理が行われるネットワークにおいて、端末装置が複数のテンポラリIDを入手して使い分けなくても、安全なユーザ認証処理を実現することができる認証方法、及びかかる方法に用いられる中継装置を提供することを目的とする。 Therefore, the present invention has been made in view of the above points, and in a network in which user authentication processing is performed by a plurality of authentication servers, even if a terminal device does not acquire and use a plurality of temporary IDs, a safe user can be obtained. It is an object of the present invention to provide an authentication method capable of realizing authentication processing and a relay device used in the method.
本発明の第1の特徴は、端末装置のユーザについてのユーザ認証処理を行う認証方法であって、前記端末装置が、ユーザIDを含む第1の認証情報を中継装置に送信する工程と、前記中継装置が、前記第1の認証情報を、前記ユーザIDに対応する認証サーバに転送する工程と、前記認証サーバが、前記第1の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程と、前記認証サーバが、前記端末装置のユーザ用のテンポラリIDを発行して、該認証サーバを識別するための認証サーバID及び該テンポラリIDを前記中継装置に送信する工程と、前記中継装置が、前記テンポラリID及び前記認証サーバIDを、前記端末装置に通知する工程と、前記端末装置が、前記テンポラリID及び前記認証サーバIDを含む第2の認証情報を前記中継装置に送信する工程と、前記中継装置が、前記第2の認証情報に含まれる前記認証サーバIDに基づいて、前記テンポラリIDを含む第3の認証情報を、該認証サーバに送信する工程と、前記認証サーバが、前記第3の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程とを有することを要旨とする。 A first feature of the present invention is an authentication method for performing user authentication processing for a user of a terminal device, wherein the terminal device transmits first authentication information including a user ID to a relay device; A relay device forwarding the first authentication information to an authentication server corresponding to the user ID; and the authentication server authenticating a user of the terminal device based on the first authentication information. A step of performing processing; and a step of issuing a temporary ID for a user of the terminal device, and transmitting an authentication server ID for identifying the authentication server and the temporary ID to the relay device, the authentication server; The relay device notifying the terminal device of the temporary ID and the authentication server ID; and the terminal device receiving the temporary ID and the authentication server ID. Transmitting the second authentication information to the relay device, and the relay device includes third authentication information including the temporary ID based on the authentication server ID included in the second authentication information. The gist of the invention is that it includes a step of transmitting to the authentication server and a step of performing a user authentication process for the user of the terminal device based on the third authentication information.
本発明の第2の特徴は、認証サーバによってユーザ認証処理が行われるユーザによって利用される端末装置であって、中継装置に対して、ユーザIDを含む第1の認証情報を送信する第1の認証情報送信部と、前記中継装置を介して前記第1の認証情報を受信した前記認証サーバによって発行されたテンポラリIDを記憶するテンポラリID記憶部と、前記中継装置に対して、前記テンポラリID及び前記認証サーバを識別するための認証サーバIDを含む第2の認証情報を送信する第2の認証情報送信部とを具備することを要旨とする。 A second feature of the present invention is a terminal device used by a user for which user authentication processing is performed by an authentication server, wherein first authentication information including a user ID is transmitted to a relay device. An authentication information transmission unit, a temporary ID storage unit that stores a temporary ID issued by the authentication server that has received the first authentication information via the relay device, and the temporary ID and the relay device The gist of the present invention is to include a second authentication information transmitting unit that transmits second authentication information including an authentication server ID for identifying the authentication server.
本発明の第3の特徴は、端末装置から送信された認証情報を認証サーバに転送する中継装置であって、ユーザIDを含む第1の認証情報を前記端末装置から受信した場合、該ユーザIDに対応する前記認証サーバに対して該第1の認証情報を転送する第1の認証情報送信部と、前記テンポラリID及び前記認証サーバIDを含む第2の認証情報を受信した場合、前記認証サーバIDによって識別される認証サーバに対して、該テンポラリIDを含む第3の認証情報を送信する第3の認証情報送信部とを具備することを要旨とする。 A third feature of the present invention is a relay device that transfers authentication information transmitted from a terminal device to an authentication server. When the first authentication information including a user ID is received from the terminal device, the user ID When receiving the first authentication information transmitting unit for transferring the first authentication information to the authentication server corresponding to the second authentication information including the temporary ID and the authentication server ID, the authentication server The gist of the present invention is to include a third authentication information transmission unit that transmits third authentication information including the temporary ID to the authentication server identified by the ID.
本発明の第4の特徴は、端末装置のユーザについてのユーザ認証処理を行う認証サーバであって、前記端末装置から送信されたユーザIDを含む第1の認証情報を受信した場合、前記第1の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う第1の認証情報処理部と、前記端末装置のユーザ用のテンポラリIDを生成して前記端末装置に通知するテンポラリID生成部と、前記端末装置から送信された前記テンポラリIDを含む第3の認証情報を受信した場合、前記第3の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う第3の認証情報処理部とを具備することを要旨とする。 According to a fourth aspect of the present invention, there is provided an authentication server that performs a user authentication process for a user of a terminal device, and receives the first authentication information including a user ID transmitted from the terminal device. A first authentication information processing unit for performing user authentication processing for the user of the terminal device based on the authentication information of the terminal device, and temporary ID generation for generating a temporary ID for the user of the terminal device and notifying the terminal device And the third authentication information including the temporary ID transmitted from the terminal device, a user authentication process for the user of the terminal device is performed based on the third authentication information. The gist is to include an authentication information processing unit.
以上説明したように、本発明によれば、複数の認証サーバによってユーザ認証処理が行われるネットワークにおいて、端末装置が複数のテンポラリIDを入手して使い分けなくても、安全なユーザ認証処理を実現することができる認証方法、及びかかる方法に用いられる中継装置を提供することができる。 As described above, according to the present invention, in a network in which user authentication processing is performed by a plurality of authentication servers, secure user authentication processing is realized even if a terminal device does not acquire and use a plurality of temporary IDs. It is possible to provide an authentication method that can be used, and a relay device used in such a method.
本発明によれば、例えば、負荷分散等を考慮して複数の認証サーバが設置されるネットワークや、複数の通信事業者を跨って構成されるネットワーク等の、ユーザ認証処理が分散して行われるネットワークにおいて、ユーザIDを露出することなく、安全にユーザ認証処理を行うことができ、ユーザのロケーションプライバシー侵害を防ぐことが可能となる。 According to the present invention, for example, user authentication processing is performed in a distributed manner such as a network in which a plurality of authentication servers are installed in consideration of load distribution or the like, or a network configured across a plurality of communication carriers. In the network, the user authentication process can be performed safely without exposing the user ID, and the location privacy violation of the user can be prevented.
(本発明の第1の実施形態に係る認証システム)
図1乃至図5を参照して、本実施形態に係る第1の実施形態に係る認証システムについて説明する。
(Authentication system according to the first embodiment of the present invention)
With reference to FIG. 1 thru | or FIG. 5, the authentication system which concerns on 1st Embodiment which concerns on this embodiment is demonstrated.
図1に示すように、本実施形態に係る認証システムは、端末装置100と、認証機器200Aと、複数の認証サーバ300A乃至300Cによって構成されている通信事業者のネットワーク3とを具備している。
As shown in FIG. 1, the authentication system according to the present embodiment includes a
本実施形態に係る認証システムでは、通信事業者のネットワーク3を構成する複数の認証サーバ300A乃至300Cのいずれかが、端末装置100のユーザについてのユーザ認証処理を行うように構成されている。
In the authentication system according to the present embodiment, any one of the plurality of
また、本実施形態に係る認証システムでは、端末装置100は、無線LANを介して認証機器200Aに接続するように構成されており、認証機器200Aは、通信事業者のネットワーク3内の全ての認証サーバ300A乃至300Cに接続されている。
Further, in the authentication system according to the present embodiment, the
図2に示すように、端末装置100は、ユーザID記憶部101と、テンポラリIDテーブル記憶部102と、認証情報送信部103と、認証結果受信部104とを具備している。本実施形態では、端末装置100として、携帯通信端末が用いられている。
As illustrated in FIG. 2, the
ユーザID記憶部101は、端末装置100のユーザを識別するためのユーザIDを記憶するものである。例えば、ユーザIDとして、携帯電話番号等が用いられ得る。
The user
テンポラリIDテーブル記憶部102は、認証機器200Aを介して第1の認証情報(後述)を受信した認証サーバ300によって発行されたテンポラリIDを記憶するものである。
The temporary ID
具体的には、テンポラリIDテーブル記憶部102は、「テンポラリID」と「認証サーバID」とを対応付けるテンポラリIDテーブルを記憶するように構成されている。
Specifically, the temporary ID
ここで、「テンポラリID」は、ユーザIDを隠蔽するために、端末装置100のユーザについての初回のユーザ認証処理を行った認証サーバによって発行された一時的なユーザIDである。
Here, the “temporary ID” is a temporary user ID issued by the authentication server that has performed the initial user authentication process for the user of the
また、「認証サーバID」は、当該テンポラリIDを発行した認証サーバを識別するための識別情報である。例えば、認証サーバIDとして、認証サーバのURL等が用いられ得る。 The “authentication server ID” is identification information for identifying the authentication server that issued the temporary ID. For example, the URL of the authentication server can be used as the authentication server ID.
認証情報送信部103は、初回のユーザ認証処理時に、認証機器200Aに対して、ユーザIDを含む第1の認証情報を送信するものである。
The authentication
また、認証情報送信部103は、2回目以降のユーザ認証処理時に、認証機器200Aに対して、テンポラリIDテーブル記憶部102を参照して、該当するテンポラリID及び認証サーバIDを含む第2の認証情報を送信するものである。
The authentication
ここで、2回目以降のユーザ認証処理時には、例えば、鍵更新時や位置登録時等の周期的なユーザ認証処理時や、サービス接続時や発信時の不定期なユーザ認証処理時等が含まれる。 Here, the second and subsequent user authentication processes include, for example, periodic user authentication processes such as key update and location registration, and irregular user authentication processes during service connection and transmission. .
認証結果受信部104は、認証機器200Aを介して、認証サーバ300から受信した認証結果を受信するものである。認証結果受信部104は、受信した認証結果に含まれるテンポラリIDに基づいて、テンポラリIDテーブル記憶部102内のテンポラリIDテーブルを更新するように構成されていてもよい。
The authentication
図3に示すように、認証機器200Aは、認証情報受信部201と、ユーザIDテーブル記憶部202と、認証サーバIDテーブル記憶部203と、認証情報転送部204と、認証結果受信部205と、認証結果転送部206とを具備している。なお、本実施形態では、認証機器200Aは、端末装置100から送信された認証情報を、認証サーバ300A乃至300Cのいずれかに転送する中継装置としての役割を果たすように構成されている。
As shown in FIG. 3, the
認証情報受信部201は、ユーザIDを含む第1の認証情報、又は、テンポラリID及び認証サーバIDを含む第2の認証情報を、端末装置100から受信するものである。
The authentication
ユーザIDテーブル記憶部202は、「ユーザID」と「認証サーバID」とを対応付けるユーザIDテーブルを記憶するものである。すなわち、ユーザIDテーブル記憶部202は、ユーザIDテーブルによって、各ユーザについての初回のユーザ認証処理を行う認証サーバ300A乃至300Cを管理する。
The user ID
認証サーバIDテーブル記憶部203は、図1に示すように、「認証サーバID」と「アドレス」とを対応付ける認証サーバIDテーブル2を記憶するものである。「アドレス」は、認証サーバのアドレスを示すものであって、例えば、認証サーバのIPアドレスを示す。
As shown in FIG. 1, the authentication server ID
なお、認証サーバIDテーブル2内に記憶されていない認証サーバIDによって識別される認証サーバ300のアドレスは、「default」ゲートウェイのアドレス(図1の例では、「aaa.aaa.aaa.aaa」)として設定されている。
The address of the
認証情報転送部204は、ユーザIDを含む第1の認証情報を端末装置100から受信した場合、当該ユーザIDに対応する認証サーバ300に対して当該第1の認証情報を転送するものである。
When the first authentication information including the user ID is received from the
具体的には、認証情報転送部204は、ユーザIDを含む第1の認証情報を受信した場合、ユーザIDテーブル及び認証サーバIDテーブル2を参照して、当該ユーザIDに対応する認証サーバ300のアドレス宛てに当該第1の認証情報を転送するように構成されている。
Specifically, when the authentication
また、認証情報転送部204は、テンポラリID及び認証サーバIDを含む第2の認証情報を受信した場合、認証サーバIDテーブル2を参照して、当該認証サーバIDによって識別される認証サーバ300に対して、当該テンポラリIDを含む第3の認証情報を送信するものである。
When the authentication
具体的には、認証情報転送部204は、テンポラリID及び認証サーバIDを含む第2の認証情報を受信した場合、認証サーバIDテーブル2を参照して、当該認証サーバIDに対応するアドレス宛てに、受信した第2の認証情報を第3の認証情報としてそのまま転送するように構成されていてもよいし、少なくとも当該テンポラリIDを含む新たな第3の認証情報を生成して転送するように構成されていてもよい。
Specifically, when the authentication
また、認証情報転送部204は、受信した第1の認証情報に含まれるユーザIDに対応する認証サーバ300のアドレス、又は、受信した第2の認証情報に含まれる認証サーバIDに対応するアドレスを見つけられない場合、第1の認証情報又は第3の認証情報をdefaultゲートウェイに送信するように構成されていてもよい。
Further, the authentication
認証結果受信部205は、端末装置100のユーザについてのユーザ認証処理の結果を示す認証結果、及び、新たに生成されたテンポラリIDを、認証サーバ300から受信するものである。
The authentication
認証結果転送部206は、認証サーバ300から受信した認証結果及びテンポラリIDを、端末装置100に通知するものである。
The authentication
図4に示すように、認証サーバ300は、認証情報受信部301と、認証処理部302と、テンポラリID生成部303と、認証結果送信部304とを具備している。
As shown in FIG. 4, the
認証情報受信部301は、認証機器200Aを介して、端末装置から送信された第1の認証情報及び第3の認証情報を受信するものである。
The authentication
認証処理部302は、認証情報受信部301によって受信された第1の認証情報又は第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行うものである。
The
具体的には、認証処理部302は、第1の認証情報に含まれるユーザIDによって識別されるユーザが正規のユーザであるか否かについて認証し、また、第3の認証情報に含まれるテンポラリIDによって識別されるユーザが正規のユーザであるか否かについて認証するように構成されている。
Specifically, the
テンポラリID生成部303は、端末装置100のユーザ用のテンポラリIDを生成するものである。具体的には、テンポラリID生成部303は、初回のユーザ認証処理の完了時に、端末装置100のユーザ用のテンポラリIDをランダムに生成するように構成されている。また、テンポラリID生成部303は、2回目以降のユーザ認証処理の完了時に、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成するように構成されている。
The temporary
認証結果送信部304は、認証処理部302によるユーザ認証処理の結果を示す認証結果と共に、テンポラリID生成部303によって生成されたテンポラリID及び当該認証サーバ300を識別するための認証サーバIDを、認証機器200Aを介して、端末装置100に通知するものである。
The authentication
次に、図5を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。 Next, user authentication processing in the authentication system according to the present embodiment will be described with reference to FIG.
図5に示すように、ステップS101において、初回のユーザ認証処理を希望する端末装置100は、未だテンポラリIDが割り当てられていないため、ユーザIDを含む第1の認証情報を認証機器200Aに送信する。
As shown in FIG. 5, in step S101, the
ステップS102において、認証機器200Aは、ユーザIDテーブル及び認証サーバIDテーブル2を参照して、受信した第1の認証情報に含まれるユーザIDに対応する認証サーバ300Aに対して、当該第1の認証情報を転送する。
In step S102, the
ステップS103において、認証サーバ300Aは、受信した第1の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用のテンポラリIDをランダムに生成する。
In step S <b> 103, the
ステップS104において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証機器200Aに送信する。
In step S104, the
ステップS105において、認証機器200Aは、受信した認証結果とテンポラリIDと認証サーバIDとを、端末装置100に通知する。
In step S105, the
ステップS106において、2回目以降のユーザ認証処理を希望する端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Aに送信する。
In step S106, the
ステップS107において、認証機器200Aは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。
In step S107, the
ステップS108において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。
In step S <b> 108, the
ステップS109において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証機器200Aに送信する。
In step S109, the
ステップS110において、認証機器200Aは、受信した認証結果とテンポラリIDと認証サーバIDとを、端末装置100に通知する。
In step S110, the
本実施形態に係る認証システムによれば、負荷分散等を考慮して複数の認証サーバ300A乃至300Cによって端末装置100のユーザについてのユーザ認証処理を行うネットワークにおいても、テンポラリIDを用いる方式で、ユーザIDを隠蔽することが可能となる。
According to the authentication system according to the present embodiment, even in a network in which user authentication processing for a user of the
(本発明の第2の実施形態に係る認証システム)
図6及び図7を参照して、本実施形態に係る第2の実施形態に係る認証システムについて、上述の第1の実施形態に係る認証システムとの相違点に着目して説明する。
(Authentication system according to the second embodiment of the present invention)
With reference to FIG.6 and FIG.7, the authentication system which concerns on 2nd Embodiment which concerns on this embodiment is demonstrated paying attention to difference with the authentication system which concerns on the above-mentioned 1st Embodiment.
図6に示すように、本実施形態では、端末装置100の移動によって、当該端末装置100が、認証機器200Aと通信している状態から、認証機器200Bと通信する状態に移行する場合の例について説明する。
As shown in FIG. 6, in the present embodiment, an example in which the
なお、本実施形態では、認証機器200A及び200Bの両者が、通信事業者のネットワーク3内の全ての認証サーバ300A乃至300Cに接続されているものとする。
In the present embodiment, it is assumed that both the
また、本実施形態において、認証機器200A及び200Bの両者は、互いに、認証サーバIDテーブル2の更新内容について、定期的に交換し合っているものとする。 In the present embodiment, it is assumed that the authentication devices 200 </ b> A and 200 </ b> B regularly exchange the updated contents of the authentication server ID table 2 with each other.
次に、図7を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。 Next, user authentication processing in the authentication system according to the present embodiment will be described with reference to FIG.
図7に示すように、ステップS201において、認証機器200Aとの間で通信状態にある端末装置100が、ステップS202において、移動することによって、ステップS203において、認証機器200Bとの間で通信を確立する。
As shown in FIG. 7, in step S201, the
なお、端末装置100は、認証機器200Aを介して、初回のユーザ認証処理を行っており、認証サーバ300Aによって、端末装置100のユーザ用のテンポラリIDが既に発行されているものとする。
It is assumed that the
ステップS204において、認証機器200Bとの間で通信状態にある端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Bに送信する。
In step S204, the
ステップS205において、認証機器200Bは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。
In step S205, the
ステップS206において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。
In step S206, the
ステップS207において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証機器200Bに送信する。
In step S207, the
ステップS208において、認証機器200Bは、受信した認証結果とテンポラリIDと認証サーバIDとを、端末装置100に通知する。
In step S208, the
本実施形態に係る認証システムによれば、異なる認証機器200Bへの新規接続時においても、ユーザIDを通知することなく、テンポラリIDを通知することによって、ユーザ認証処置を行うことができる。
According to the authentication system according to the present embodiment, even when a new connection is made to a
(本発明の第3の実施形態に係る認証システム)
図8乃至図10を参照して、本実施形態に係る第3の実施形態に係る認証システムについて、上述の第1の実施形態に係る認証システムとの相違点に着目して説明する。
(Authentication system according to the third embodiment of the present invention)
With reference to FIGS. 8 to 10, an authentication system according to the third embodiment according to the present embodiment will be described by focusing on differences from the authentication system according to the first embodiment described above.
図8に示すように、通信事業者のネットワーク3内に、複数の認証サーバ300A乃至300Cに加えて、認証プロキシサーバ400Aが設けられている。
As shown in FIG. 8, an
認証プロキシサーバ400Aは、認証機器200Aに対して、複数の認証サーバ300A乃至300Cの代表としての役割を果たすプロキシサーバである。認証プロキシサーバ400Aは、認証機器200Aと複数の認証サーバ300A乃至300Cと接続されている。
The
具体的には、図9に示すように、認証プロキシサーバ400Aは、認証情報受信部401と、ユーザIDテーブル記憶部402と、認証サーバIDテーブル記憶部403と、認証情報転送部404と、認証結果受信部405と、認証結果転送部406とを具備している。なお、本実施形態では、認証プロキシサーバ400Aは、端末装置100から送信された認証情報を、認証サーバ300A乃至300Cのいずれかに転送する中継装置としての役割を果たすように構成されている。
Specifically, as illustrated in FIG. 9, the
ここで、認証プロキシサーバ400Aの各機能401乃至406は、図3に示す認証機器200Aの各機能201乃至206と同一である。
Here, the
次に、図10を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。 Next, a user authentication process in the authentication system according to the present embodiment will be described with reference to FIG.
図10に示すように、ステップS301において、初回のユーザ認証処理を希望する端末装置100は、未だテンポラリIDが割り当てられていないため、ユーザIDを含む第1の認証情報を認証機器200Aに送信する。
As shown in FIG. 10, in step S301, the
ステップS302において、認証機器200Aは、自身が接続されている認証プロキシサーバ400Aに対して、受信した第1の認証情報を転送する。なお、認証機器200Aは、複数の認証プロキシサーバ400に接続されている場合、所定の方式で選択した認証プロキシサーバ400に対して、受信した第1の認証情報を転送するように構成されていてもよい。
In step S302, the
ステップS303において、認証プロキシサーバ400Aは、ユーザIDテーブル及び認証サーバIDテーブル2を参照して、受信した第1の認証情報に含まれるユーザIDに対応する認証サーバ300Aに対して、当該第1の認証情報を転送する。
In step S303, the
ステップS304において、認証サーバ300Aは、受信した第1の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用のテンポラリIDをランダムに生成する。
In step S304, the
ステップS305において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証プロキシサーバ400Aに送信する。
In step S305, the
ステップS306において、認証プロキシサーバ400Aは、受信した認証結果とテンポラリIDと認証サーバIDとを認証機器200Aに通知し、ステップS307において、認証機器200Aは、受信した認証結果とテンポラリIDと認証サーバIDとを端末装置100に通知する。
In step S306, the
ステップS308において、2回目以降のユーザ認証処理を希望する端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Aに送信する。
In step S308, the
ステップS309において、認証機器200Aは、自身が接続されている認証プロキシサーバ400Aに対して、受信した第2の認証情報を転送する。
In step S309, the
ステップS310において、認証プロキシサーバ400Aは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。
In step S310, the
ステップS311において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。
In step S311, the
ステップS312において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証プロキシサーバ400Aに送信する。
In step S312, the
ステップS313において、認証プロキシサーバ400Aは、受信した認証結果とテンポラリIDと認証サーバIDとを認証機器200Aに通知し、ステップS314において、認証機器200Aは、受信した認証結果とテンポラリIDと認証サーバIDとを端末装置100に通知する。
In step S313, the
(本発明の第4の実施形態に係る認証システム)
図11及び図12を参照して、本実施形態に係る第4の実施形態に係る認証システムについて、上述の第3の実施形態に係る認証システムとの相違点に着目して説明する。
(Authentication system according to the fourth embodiment of the present invention)
With reference to FIGS. 11 and 12, an authentication system according to the fourth embodiment of the present embodiment will be described by focusing on the differences from the authentication system according to the third embodiment described above.
図11に示すように、本実施形態では、端末装置100の移動によって、当該端末装置100が、認証機器200Aと通信している状態から、認証機器200Bと通信する状態に移行する場合の例について説明する。
As shown in FIG. 11, in the present embodiment, an example of a case where the
なお、本実施形態では、通信事業者のネットワーク3内に、認証機器200Aに接続されている認証プロキシサーバ400Aに加えて、認証機器200Bに接続されている認証プロキシサーバ400Bが設けられている。そして、認証プロキシサーバ400A及び400Bの両者が、通信事業者のネットワーク3内の全ての認証サーバ300A乃至300Cに接続されているものとする。
In the present embodiment, an
また、本実施形態において、認証プロキシサーバ400A及び400Bの両者は、互いに、認証サーバIDテーブル2の更新内容について、定期的に交換し合っているものとする。
Further, in the present embodiment, it is assumed that both of the
次に、図12を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。 Next, a user authentication process in the authentication system according to the present embodiment will be described with reference to FIG.
図12に示すように、ステップS401において、認証機器200Aとの間で通信状態にある端末装置100が、ステップS402において、移動することによって、ステップS403において、認証機器200Bとの間で通信を確立する。
As shown in FIG. 12, the
なお、端末装置100は、認証機器200Aを介して、初回のユーザ認証処理を行っており、認証サーバ300Aによって、端末装置100のユーザ用のテンポラリIDが既に発行されているものとする。
It is assumed that the
ステップS404において、認証機器200Bとの間で通信状態にある端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Bに送信する。
In step S404, the
ステップS405において、認証機器200Bは、自身が接続されている認証プロキシサーバ400Bに対して、受信した第2の認証情報を転送する。なお、認証機器200Bは、複数の認証プロキシサーバ400に接続されている場合、所定の方式で選択した認証プロキシサーバ400に対して、受信した第2の認証情報を転送するように構成されていてもよい。
In step S405, the
ステップS406において、認証プロキシサーバ400Bは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。
In step S406, the
ステップS407において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。
In step S407, the
ステップS408において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証プロキシサーバ400Bに送信する。
In step S408, the
ステップS409において、認証プロキシサーバ400Bは、受信した認証結果とテンポラリIDと認証サーバIDとを認証機器200Bに通知し、ステップS410において、認証機器200Bは、受信した認証結果とテンポラリIDと認証サーバIDとを端末装置100に通知する。
In step S409, the
(本発明の第5の実施形態に係る認証システム)
図13及び図14を参照して、本実施形態に係る第5の実施形態に係る認証システムについて、上述の第4の実施形態に係る認証システムとの相違点に着目して説明する。
(Authentication system according to the fifth embodiment of the present invention)
With reference to FIG. 13 and FIG. 14, an authentication system according to the fifth embodiment according to the present embodiment will be described focusing on differences from the authentication system according to the fourth embodiment described above.
図13に示すように、本実施形態では、端末装置100の移動によって、当該端末装置100が、認証機器200Aと通信している状態から、認証機器200Cと通信する状態に移行する場合の例について説明する。なお、本実施形態に係る認証システムは、複数の通信事業者A及びBによって実現されているものとする。
As illustrated in FIG. 13, in the present embodiment, an example in which the
具体的には、通信事業者Aのネットワーク3Aは、複数の認証サーバ300A乃至300Cと、認証プロキシサーバ400Aとを具備し、通信事業者Bのネットワーク3Bは、複数の認証サーバ300D等と、認証プロキシサーバ400Cとを具備するように構成されている。
Specifically, the network 3A of the communication carrier A includes a plurality of
ここで、通信事業者Aのネットワーク3A及び通信事業者Bのネットワーク3Bは、互いのゲートウェイを介して接続されており、相互にローンミングサービスを提供することができる。
Here, the network 3A of the telecommunications carrier A and the
また、本実施形態において、認証プロキシサーバ400A及び400Cの両者は、互いに、認証サーバIDテーブル2の更新内容について、定期的に交換し合っているものとする。
In the present embodiment, it is assumed that the
次に、図14を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。 Next, a user authentication process in the authentication system according to the present embodiment will be described with reference to FIG.
図14に示すように、ステップS501において、通信事業者Aのネットワーク3A内の認証プロキシサーバ400Aに接続されている認証機器200Aとの間で通信状態にある端末装置100が、ステップS502において、移動することによって、ステップS503において、通信事業者Bのネットワーク3B内の認証プロキシサーバ400Cに接続されている認証機器200Cとの間で通信を確立する。
As shown in FIG. 14, in step S501, the
なお、端末装置100は、認証機器200Aを介して、初回のユーザ認証処理を行っており、認証サーバ300Aによって、端末装置100のユーザ用のテンポラリIDが既に発行されているものとする。
It is assumed that the
ステップS504において、認証機器200Cとの間で通信状態にある端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Cに送信する。
In step S504, the
ステップS505において、認証機器200Cは、自身が接続されている認証プロキシサーバ400Cに対して、受信した第2の認証情報を転送する。なお、認証機器200Cは、通信事業者Bのネットワーク3B内の複数の認証プロキシサーバ400に接続されている場合、所定の方式で選択した認証プロキシサーバ400に対して、受信した第2の認証情報を転送するように構成されていてもよい。
In step S505, the
ステップS506において、認証プロキシサーバ400Cは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。
In step S506, the
具体的には、認証プロキシサーバ400Cは、通信事業者Aのネットワーク3A内のゲートウェイに対して、認証サーバ300A宛ての第3の認証情報を転送する、すなわち、ローミングサービスを利用することによって、第3の認証情報を認証サーバ300Aに転送するように構成されている。
Specifically, the
ステップS507において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。
In step S507, the
ステップS508において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証プロキシサーバ400Cに送信する。
In step S508, the
具体的には、認証サーバ300Aは、通信事業者Bのネットワーク3B内のゲートウェイに対して、認証プロキシサーバ400C宛ての情報(認証結果、テンポラリID及び認証サーバID)を転送する、すなわち、ローミングサービスを利用することによって、情報(認証結果、テンポラリID及び認証サーバID)を認証プロキシサーバ400Cに転送するように構成されている。
Specifically, the
ステップS509において、認証プロキシサーバ400Cは、受信した認証結果とテンポラリIDと認証サーバIDとを認証機器200Cに通知し、ステップS510において、認証機器200Cは、受信した認証結果とテンポラリIDと認証サーバIDとを端末装置100に通知する。
In step S509, the
100…端末装置
101…ユーザID記憶部
102…テンポラリIDテーブル記憶部
103…認証情報送信部
104、205、405…認証結果受信部
200A、200B、200C…認証機器
201、301、401…認証情報受信部
202、402…ユーザIDテーブル記憶部
203、403…認証サーバIDテーブル記憶部
204、404…認証情報転送部
206、406…認証結果転送部
300A、300B、300C…認証サーバ
302…認証処理部
303…テンポラリID生成部
304…認証結果送信部
400A、400B、400C…認証プロキシサーバ
DESCRIPTION OF
Claims (1)
前記端末装置が、ユーザIDを含む第1の認証情報を中継装置に送信する工程と、
前記中継装置が、前記第1の認証情報を、前記ユーザIDに対応する認証サーバに転送する工程と、
前記認証サーバが、前記第1の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程と、
前記認証サーバが、前記端末装置のユーザ用のテンポラリIDを発行して、該認証サーバを識別するための認証サーバID及び該テンポラリIDを前記中継装置に送信する工程と、
前記中継装置が、前記テンポラリID及び前記認証サーバIDを、前記端末装置に通知する工程と、
前記端末装置が、前記テンポラリID及び前記認証サーバIDを含む第2の認証情報を前記中継装置に送信する工程と、
前記中継装置が、前記第2の認証情報に含まれる前記認証サーバIDに基づいて、前記テンポラリIDを含む第3の認証情報を、該認証サーバに送信する工程と、
前記認証サーバが、前記第3の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程とを有し、
前記転送する工程では、前記中継装置が、前記第1の認証情報を前記端末装置から受信する前において前記中継装置に予め記憶されたユーザIDテーブルを用いて、前記ユーザIDに対応する前記認証サーバを判定し、
前記ユーザIDテーブルは、前記ユーザIDと前記認証サーバIDとを対応付け、
前記端末装置は、2回目以降の前記ユーザ認証処理時に前記第2の認証情報を前記中継装置に送信し、
前記認証サーバは、2回目以降の前記ユーザ認証処理時に前記第3の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行うことを特徴とする認証方法。 An authentication method for performing user authentication processing for a user of a terminal device in a network in which user authentication processing is performed by a plurality of authentication servers,
The terminal device transmits first authentication information including a user ID to the relay device;
The relay device transferring the first authentication information to an authentication server corresponding to the user ID;
The authentication server performing a user authentication process for the user of the terminal device based on the first authentication information;
The authentication server issuing a temporary ID for the user of the terminal device, and transmitting the authentication server ID for identifying the authentication server and the temporary ID to the relay device;
The relay device notifying the terminal device of the temporary ID and the authentication server ID;
The terminal device transmitting second authentication information including the temporary ID and the authentication server ID to the relay device;
The relay device transmitting third authentication information including the temporary ID to the authentication server based on the authentication server ID included in the second authentication information;
The authentication server has a step of performing user authentication processing for a user of the terminal device based on the third authentication information;
In the transferring step, the authentication server corresponding to the user ID using the user ID table stored in the relay device in advance before the relay device receives the first authentication information from the terminal device. Determine
The user ID table associates the user ID with the authentication server ID,
The terminal device transmits the second authentication information to the relay device during the second and subsequent user authentication processes,
The authentication server performs a user authentication process for a user of the terminal device based on the third authentication information during the second and subsequent user authentication processes.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011000729A JP4785992B2 (en) | 2011-01-05 | 2011-01-05 | Authentication method and relay device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011000729A JP4785992B2 (en) | 2011-01-05 | 2011-01-05 | Authentication method and relay device |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004190442A Division JP2006011989A (en) | 2004-06-28 | 2004-06-28 | Authentication method, terminal device, repeater, and authentication server |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011076635A JP2011076635A (en) | 2011-04-14 |
JP4785992B2 true JP4785992B2 (en) | 2011-10-05 |
Family
ID=44020484
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011000729A Expired - Fee Related JP4785992B2 (en) | 2011-01-05 | 2011-01-05 | Authentication method and relay device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4785992B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5319575B2 (en) * | 2010-02-23 | 2013-10-16 | 日本電信電話株式会社 | Communication method and communication system |
JP7000771B2 (en) | 2017-09-27 | 2022-02-10 | 株式会社リコー | Network equipment, input / output devices, authentication methods and programs |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8972582B2 (en) * | 2002-10-03 | 2015-03-03 | Nokia Corporation | Method and apparatus enabling reauthentication in a cellular communication system |
-
2011
- 2011-01-05 JP JP2011000729A patent/JP4785992B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2011076635A (en) | 2011-04-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2006011989A (en) | Authentication method, terminal device, repeater, and authentication server | |
CN104767715B (en) | Access control method and equipment | |
CN101123811B (en) | Apparatus and method for managing stations associated with WPA-PSK wireless network | |
JP6555258B2 (en) | Mobile communication system, ProSe Function, UE and method | |
US10530573B2 (en) | System and method for wireless network access protection and security architecture | |
CN101006682B (en) | Fast network attchment | |
JP2014526841A (en) | Wireless communication with parallel re-authentication and connection setup | |
CN107071771A (en) | The system and method for performing link establishment and certification | |
WO2009152749A1 (en) | A binding authentication method, system and apparatus | |
KR20200003082A (en) | Method and device and communication system for obtaining a key | |
EP2856789B1 (en) | Method for tracking a mobile device onto a remote displaying unit via a mobile switching center and a head-end | |
EP2561696B1 (en) | Method and apparatus for machine communication | |
CN108683690A (en) | Method for authenticating, user equipment, authentication device, authentication server and storage medium | |
CN108781110A (en) | For the system and method by relay in telecommunication network data | |
JP2023052288A (en) | Method, system, and program for relay | |
JP4785992B2 (en) | Authentication method and relay device | |
JP2019153922A (en) | LTE communication system and communication control method | |
JP2006229265A (en) | Gateway system | |
CN106888447A (en) | The processing method and system of secondary USIM application messages | |
JP6546846B2 (en) | Authentication server, access point and program | |
JP6088607B1 (en) | Setting information server, access point, communication setting system, information providing method, communication setting method, information providing program, and communication setting program | |
JP2005333350A (en) | Communication system | |
JPWO2018105043A1 (en) | Terminal device, program, and communication system | |
JP7027835B2 (en) | Network system and its management method | |
JP6684242B2 (en) | Position information providing device, program and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110412 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110610 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110705 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110712 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140722 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |