JP4785992B2 - Authentication method and relay device - Google Patents

Authentication method and relay device Download PDF

Info

Publication number
JP4785992B2
JP4785992B2 JP2011000729A JP2011000729A JP4785992B2 JP 4785992 B2 JP4785992 B2 JP 4785992B2 JP 2011000729 A JP2011000729 A JP 2011000729A JP 2011000729 A JP2011000729 A JP 2011000729A JP 4785992 B2 JP4785992 B2 JP 4785992B2
Authority
JP
Japan
Prior art keywords
authentication
user
server
terminal device
temporary
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011000729A
Other languages
Japanese (ja)
Other versions
JP2011076635A (en
Inventor
篤 佐藤
勝広 野口
博 青野
克亘 大附
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2011000729A priority Critical patent/JP4785992B2/en
Publication of JP2011076635A publication Critical patent/JP2011076635A/en
Application granted granted Critical
Publication of JP4785992B2 publication Critical patent/JP4785992B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、端末装置のユーザについてのユーザ認証処理を行う認証方法、及びかかる方法に用いられる中継装置に関する。   The present invention relates to an authentication method for performing user authentication processing for a user of a terminal device, and a relay device used in the method.

従来、WLANにおいてユーザIDを隠蔽しながらユーザ認証処理を行う認証方法として、EAP-TTLS方式が知られている。   Conventionally, an EAP-TTL system is known as an authentication method for performing user authentication processing while hiding a user ID in a WLAN.

EAP-TTLS方式では、端末装置と認証サーバとの間でセキュアトンネルが構築され、当該端末装置が、構築されたセキュアトンネルを介して、当該認証サーバにユーザIDを送信するように構成されている。   In the EAP-TTLS scheme, a secure tunnel is constructed between a terminal device and an authentication server, and the terminal device is configured to transmit a user ID to the authentication server via the constructed secure tunnel. .

しかしながら、EAP-TTLS方式には、セキュアトンネルを構築するステップが冗長であるという問題点があった。   However, the EAP-TTLS method has a problem that a step for constructing a secure tunnel is redundant.

かかる問題点を解決するために、セキュアトンネルを構築することなくユーザ認証処理を行う方式として、EAP-AKA方式が考えられていた。図15を参照して、かかるEAP-AKA方式について簡単に説明する。   In order to solve this problem, the EAP-AKA system has been considered as a system for performing user authentication processing without constructing a secure tunnel. With reference to FIG. 15, the EAP-AKA system will be briefly described.

図15に示すように、初回のユーザ認証処理では、ステップS1001において、端末装置100が、ユーザIDを含む認証情報を認証機器(中継装置)200Aに送信し、ステップS1002において、認証機器200Aが、当該認証情報を認証サーバ300Aに転送する。   As shown in FIG. 15, in the first user authentication process, in step S1001, the terminal device 100 transmits authentication information including a user ID to the authentication device (relay device) 200A. In step S1002, the authentication device 200A The authentication information is transferred to the authentication server 300A.

ステップS1003において、認証サーバ300Aが、受信した認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行い、その後、当該端末装置100のユーザ用のテンポラリID(一時的なユーザID)を生成する。   In step S1003, the authentication server 300A performs a user authentication process for the user of the terminal device 100 based on the received authentication information, and then obtains a temporary ID (temporary user ID) for the user of the terminal device 100. Generate.

ステップS1004において、認証サーバ300Aが、当該テンポラリIDを認証機器200Aに通知し、ステップS1005において、認証機器200Aが、当該テンポラリIDを端末装置100に通知する。   In step S1004, the authentication server 300A notifies the temporary ID to the authentication device 200A, and in step S1005, the authentication device 200A notifies the terminal device 100 of the temporary ID.

そして、2回目以降のユーザ認証処理は、認証サーバ300Aにおいて、端末装置100によって送信されるテンポラリIDを含む認証情報に基づいて行われる。   The second and subsequent user authentication processes are performed based on the authentication information including the temporary ID transmitted by the terminal device 100 in the authentication server 300A.

しかしながら、従来のEAP-AKA方式を用いてユーザ認証処理は、複数の認証サーバによって実現される場合、各認証サーバが、全ての認証サーバによって発行されたユーザIDとテンポラリIDとの対応付けを把握していないため、うまく機能しないという問題点があった。   However, when user authentication processing using the conventional EAP-AKA method is realized by a plurality of authentication servers, each authentication server grasps the correspondence between user IDs issued by all authentication servers and temporary IDs. Not working properly.

図15を参照して、かかる問題点について、具体的に説明する。   This problem will be specifically described with reference to FIG.

ステップS1006において、端末装置100が、認証サーバ300Aによって発行されたテンポラリIDを含む認証情報を認証機器200Aに送信し、ステップS1007において、認証機器200Aが、当該認証情報を認証サーバ300Bに転送するものとする。   In step S1006, the terminal device 100 transmits authentication information including the temporary ID issued by the authentication server 300A to the authentication device 200A. In step S1007, the authentication device 200A transfers the authentication information to the authentication server 300B. And

かかる場合、ステップS1008において、認証サーバ300Bは、受信した認証情報に含まれているテンポラリIDとユーザIDとの対応付けを管理していないため、かかる認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行うことができない。   In such a case, in step S1008, the authentication server 300B does not manage the association between the temporary ID and the user ID included in the received authentication information, so the user of the terminal device 100 is determined based on the authentication information. The user authentication process cannot be performed.

したがって、ステップS1009において、認証サーバ300Bは、その旨を示す認証結果(NG)を認証機器200Aに通知し、ステップS1010において、認証機器200Aが、かかる認証結果(NG)を端末装置100に通知することになる。   Accordingly, in step S1009, the authentication server 300B notifies the authentication result (NG) indicating that to the authentication device 200A, and in step S1010, the authentication device 200A notifies the authentication result (NG) to the terminal device 100. It will be.

その結果、ステップS1011乃至S1015において、端末装置100は、再度、初回のユーザ認証処理を行うことによって、認証サーバ300Bによって発行されるテンポラリIDを入手しなければならない。   As a result, in steps S1011 to S1015, the terminal device 100 must obtain the temporary ID issued by the authentication server 300B by performing the initial user authentication process again.

なお、他にも認証サーバ300が複数存在する場合、端末装置100は、全ての認証サーバ300によって発行されるテンポラリIDを入手して、ユーザ認証処理を行う認証サーバごとにテンポラリIDを使い分ける必要がある。   If there are a plurality of other authentication servers 300, the terminal device 100 needs to obtain temporary IDs issued by all the authentication servers 300 and use different temporary IDs for each authentication server that performs user authentication processing. is there.

そこで、本発明は、以上の点に鑑みてなされたもので、複数の認証サーバによってユーザ認証処理が行われるネットワークにおいて、端末装置が複数のテンポラリIDを入手して使い分けなくても、安全なユーザ認証処理を実現することができる認証方法、及びかかる方法に用いられる中継装置を提供することを目的とする。   Therefore, the present invention has been made in view of the above points, and in a network in which user authentication processing is performed by a plurality of authentication servers, even if a terminal device does not acquire and use a plurality of temporary IDs, a safe user can be obtained. It is an object of the present invention to provide an authentication method capable of realizing authentication processing and a relay device used in the method.

本発明の第1の特徴は、端末装置のユーザについてのユーザ認証処理を行う認証方法であって、前記端末装置が、ユーザIDを含む第1の認証情報を中継装置に送信する工程と、前記中継装置が、前記第1の認証情報を、前記ユーザIDに対応する認証サーバに転送する工程と、前記認証サーバが、前記第1の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程と、前記認証サーバが、前記端末装置のユーザ用のテンポラリIDを発行して、該認証サーバを識別するための認証サーバID及び該テンポラリIDを前記中継装置に送信する工程と、前記中継装置が、前記テンポラリID及び前記認証サーバIDを、前記端末装置に通知する工程と、前記端末装置が、前記テンポラリID及び前記認証サーバIDを含む第2の認証情報を前記中継装置に送信する工程と、前記中継装置が、前記第2の認証情報に含まれる前記認証サーバIDに基づいて、前記テンポラリIDを含む第3の認証情報を、該認証サーバに送信する工程と、前記認証サーバが、前記第3の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程とを有することを要旨とする。   A first feature of the present invention is an authentication method for performing user authentication processing for a user of a terminal device, wherein the terminal device transmits first authentication information including a user ID to a relay device; A relay device forwarding the first authentication information to an authentication server corresponding to the user ID; and the authentication server authenticating a user of the terminal device based on the first authentication information. A step of performing processing; and a step of issuing a temporary ID for a user of the terminal device, and transmitting an authentication server ID for identifying the authentication server and the temporary ID to the relay device, the authentication server; The relay device notifying the terminal device of the temporary ID and the authentication server ID; and the terminal device receiving the temporary ID and the authentication server ID. Transmitting the second authentication information to the relay device, and the relay device includes third authentication information including the temporary ID based on the authentication server ID included in the second authentication information. The gist of the invention is that it includes a step of transmitting to the authentication server and a step of performing a user authentication process for the user of the terminal device based on the third authentication information.

本発明の第2の特徴は、認証サーバによってユーザ認証処理が行われるユーザによって利用される端末装置であって、中継装置に対して、ユーザIDを含む第1の認証情報を送信する第1の認証情報送信部と、前記中継装置を介して前記第1の認証情報を受信した前記認証サーバによって発行されたテンポラリIDを記憶するテンポラリID記憶部と、前記中継装置に対して、前記テンポラリID及び前記認証サーバを識別するための認証サーバIDを含む第2の認証情報を送信する第2の認証情報送信部とを具備することを要旨とする。   A second feature of the present invention is a terminal device used by a user for which user authentication processing is performed by an authentication server, wherein first authentication information including a user ID is transmitted to a relay device. An authentication information transmission unit, a temporary ID storage unit that stores a temporary ID issued by the authentication server that has received the first authentication information via the relay device, and the temporary ID and the relay device The gist of the present invention is to include a second authentication information transmitting unit that transmits second authentication information including an authentication server ID for identifying the authentication server.

本発明の第3の特徴は、端末装置から送信された認証情報を認証サーバに転送する中継装置であって、ユーザIDを含む第1の認証情報を前記端末装置から受信した場合、該ユーザIDに対応する前記認証サーバに対して該第1の認証情報を転送する第1の認証情報送信部と、前記テンポラリID及び前記認証サーバIDを含む第2の認証情報を受信した場合、前記認証サーバIDによって識別される認証サーバに対して、該テンポラリIDを含む第3の認証情報を送信する第3の認証情報送信部とを具備することを要旨とする。   A third feature of the present invention is a relay device that transfers authentication information transmitted from a terminal device to an authentication server. When the first authentication information including a user ID is received from the terminal device, the user ID When receiving the first authentication information transmitting unit for transferring the first authentication information to the authentication server corresponding to the second authentication information including the temporary ID and the authentication server ID, the authentication server The gist of the present invention is to include a third authentication information transmission unit that transmits third authentication information including the temporary ID to the authentication server identified by the ID.

本発明の第4の特徴は、端末装置のユーザについてのユーザ認証処理を行う認証サーバであって、前記端末装置から送信されたユーザIDを含む第1の認証情報を受信した場合、前記第1の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う第1の認証情報処理部と、前記端末装置のユーザ用のテンポラリIDを生成して前記端末装置に通知するテンポラリID生成部と、前記端末装置から送信された前記テンポラリIDを含む第3の認証情報を受信した場合、前記第3の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う第3の認証情報処理部とを具備することを要旨とする。   According to a fourth aspect of the present invention, there is provided an authentication server that performs a user authentication process for a user of a terminal device, and receives the first authentication information including a user ID transmitted from the terminal device. A first authentication information processing unit for performing user authentication processing for the user of the terminal device based on the authentication information of the terminal device, and temporary ID generation for generating a temporary ID for the user of the terminal device and notifying the terminal device And the third authentication information including the temporary ID transmitted from the terminal device, a user authentication process for the user of the terminal device is performed based on the third authentication information. The gist is to include an authentication information processing unit.

以上説明したように、本発明によれば、複数の認証サーバによってユーザ認証処理が行われるネットワークにおいて、端末装置が複数のテンポラリIDを入手して使い分けなくても、安全なユーザ認証処理を実現することができる認証方法、及びかかる方法に用いられる中継装置を提供することができる。   As described above, according to the present invention, in a network in which user authentication processing is performed by a plurality of authentication servers, secure user authentication processing is realized even if a terminal device does not acquire and use a plurality of temporary IDs. It is possible to provide an authentication method that can be used, and a relay device used in such a method.

本発明によれば、例えば、負荷分散等を考慮して複数の認証サーバが設置されるネットワークや、複数の通信事業者を跨って構成されるネットワーク等の、ユーザ認証処理が分散して行われるネットワークにおいて、ユーザIDを露出することなく、安全にユーザ認証処理を行うことができ、ユーザのロケーションプライバシー侵害を防ぐことが可能となる。   According to the present invention, for example, user authentication processing is performed in a distributed manner such as a network in which a plurality of authentication servers are installed in consideration of load distribution or the like, or a network configured across a plurality of communication carriers. In the network, the user authentication process can be performed safely without exposing the user ID, and the location privacy violation of the user can be prevented.

本発明の第1の実施形態に係る認証システムの全体構成図である。1 is an overall configuration diagram of an authentication system according to a first embodiment of the present invention. 本発明の第1の実施形態に係る認証システムにおける端末装置の機能ブロック図である。It is a functional block diagram of the terminal device in the authentication system which concerns on the 1st Embodiment of this invention. 本発明の第1の実施形態に係る認証システムにおける認証機器の機能ブロック図である。It is a functional block diagram of the authentication apparatus in the authentication system which concerns on the 1st Embodiment of this invention. 本発明の第1の実施形態に係る認証システムにおける認証サーバの機能ブロック図である。It is a functional block diagram of the authentication server in the authentication system which concerns on the 1st Embodiment of this invention. 本発明の第1の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。It is a sequence diagram which shows the user authentication process in the authentication system which concerns on the 1st Embodiment of this invention. 本発明の第2の実施形態に係る認証システムの全体構成図である。It is a whole block diagram of the authentication system which concerns on the 2nd Embodiment of this invention. 本発明の第2の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。It is a sequence diagram which shows the user authentication process in the authentication system which concerns on the 2nd Embodiment of this invention. 本発明の第3の実施形態に係る認証システムの全体構成図である。It is a whole block diagram of the authentication system which concerns on the 3rd Embodiment of this invention. 本発明の第3の実施形態に係る認証システムにおける認証プロキシサーバの機能ブロック図である。It is a functional block diagram of the authentication proxy server in the authentication system which concerns on the 3rd Embodiment of this invention. 本発明の第3の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。It is a sequence diagram which shows the user authentication process in the authentication system which concerns on the 3rd Embodiment of this invention. 本発明の第4の実施形態に係る認証システムの全体構成図である。It is a whole block diagram of the authentication system which concerns on the 4th Embodiment of this invention. 本発明の第4の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。It is a sequence diagram which shows the user authentication process in the authentication system which concerns on the 4th Embodiment of this invention. 本発明の第5の実施形態に係る認証システムの全体構成図である。It is a whole block diagram of the authentication system which concerns on the 5th Embodiment of this invention. 本発明の第5の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。It is a sequence diagram which shows the user authentication process in the authentication system which concerns on the 5th Embodiment of this invention. 従来技術に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。It is a sequence diagram which shows the user authentication process in the authentication system which concerns on a prior art.

(本発明の第1の実施形態に係る認証システム)
図1乃至図5を参照して、本実施形態に係る第1の実施形態に係る認証システムについて説明する。 (Authentication system according to the first embodiment of the present invention)
With reference to FIG. 1 thru | or FIG. 5, the authentication system which concerns on 1st Embodiment which concerns on this embodiment is demonstrated.

図1に示すように、本実施形態に係る認証システムは、端末装置100と、認証機器200Aと、複数の認証サーバ300A乃至300Cによって構成されている通信事業者のネットワーク3とを具備している。   As shown in FIG. 1, the authentication system according to the present embodiment includes a terminal device 100, an authentication device 200A, and a network 3 of a communication carrier configured by a plurality of authentication servers 300A to 300C. .

本実施形態に係る認証システムでは、通信事業者のネットワーク3を構成する複数の認証サーバ300A乃至300Cのいずれかが、端末装置100のユーザについてのユーザ認証処理を行うように構成されている。   In the authentication system according to the present embodiment, any one of the plurality of authentication servers 300A to 300C configuring the network 3 of the communication carrier is configured to perform user authentication processing for the user of the terminal device 100.

また、本実施形態に係る認証システムでは、端末装置100は、無線LANを介して認証機器200Aに接続するように構成されており、認証機器200Aは、通信事業者のネットワーク3内の全ての認証サーバ300A乃至300Cに接続されている。   Further, in the authentication system according to the present embodiment, the terminal device 100 is configured to connect to the authentication device 200A via the wireless LAN, and the authentication device 200A performs all authentication in the network 3 of the communication carrier. It is connected to the servers 300A to 300C.

図2に示すように、端末装置100は、ユーザID記憶部101と、テンポラリIDテーブル記憶部102と、認証情報送信部103と、認証結果受信部104とを具備している。本実施形態では、端末装置100として、携帯通信端末が用いられている。   As illustrated in FIG. 2, the terminal device 100 includes a user ID storage unit 101, a temporary ID table storage unit 102, an authentication information transmission unit 103, and an authentication result reception unit 104. In the present embodiment, a mobile communication terminal is used as the terminal device 100.

ユーザID記憶部101は、端末装置100のユーザを識別するためのユーザIDを記憶するものである。例えば、ユーザIDとして、携帯電話番号等が用いられ得る。   The user ID storage unit 101 stores a user ID for identifying the user of the terminal device 100. For example, a mobile phone number or the like can be used as the user ID.

テンポラリIDテーブル記憶部102は、認証機器200Aを介して第1の認証情報(後述)を受信した認証サーバ300によって発行されたテンポラリIDを記憶するものである。   The temporary ID table storage unit 102 stores a temporary ID issued by the authentication server 300 that has received first authentication information (described later) via the authentication device 200A.

具体的には、テンポラリIDテーブル記憶部102は、「テンポラリID」と「認証サーバID」とを対応付けるテンポラリIDテーブルを記憶するように構成されている。   Specifically, the temporary ID table storage unit 102 is configured to store a temporary ID table that associates a “temporary ID” with an “authentication server ID”.

ここで、「テンポラリID」は、ユーザIDを隠蔽するために、端末装置100のユーザについての初回のユーザ認証処理を行った認証サーバによって発行された一時的なユーザIDである。   Here, the “temporary ID” is a temporary user ID issued by the authentication server that has performed the initial user authentication process for the user of the terminal device 100 in order to conceal the user ID.

また、「認証サーバID」は、当該テンポラリIDを発行した認証サーバを識別するための識別情報である。例えば、認証サーバIDとして、認証サーバのURL等が用いられ得る。   The “authentication server ID” is identification information for identifying the authentication server that issued the temporary ID. For example, the URL of the authentication server can be used as the authentication server ID.

認証情報送信部103は、初回のユーザ認証処理時に、認証機器200Aに対して、ユーザIDを含む第1の認証情報を送信するものである。   The authentication information transmission unit 103 transmits first authentication information including a user ID to the authentication device 200A during the first user authentication process.

また、認証情報送信部103は、2回目以降のユーザ認証処理時に、認証機器200Aに対して、テンポラリIDテーブル記憶部102を参照して、該当するテンポラリID及び認証サーバIDを含む第2の認証情報を送信するものである。   The authentication information transmission unit 103 refers to the temporary ID table storage unit 102 for the authentication device 200A during the second and subsequent user authentication processes, and performs the second authentication including the corresponding temporary ID and authentication server ID. Information is transmitted.

ここで、2回目以降のユーザ認証処理時には、例えば、鍵更新時や位置登録時等の周期的なユーザ認証処理時や、サービス接続時や発信時の不定期なユーザ認証処理時等が含まれる。   Here, the second and subsequent user authentication processes include, for example, periodic user authentication processes such as key update and location registration, and irregular user authentication processes during service connection and transmission. .

認証結果受信部104は、認証機器200Aを介して、認証サーバ300から受信した認証結果を受信するものである。認証結果受信部104は、受信した認証結果に含まれるテンポラリIDに基づいて、テンポラリIDテーブル記憶部102内のテンポラリIDテーブルを更新するように構成されていてもよい。   The authentication result receiving unit 104 receives the authentication result received from the authentication server 300 via the authentication device 200A. The authentication result receiving unit 104 may be configured to update the temporary ID table in the temporary ID table storage unit 102 based on the temporary ID included in the received authentication result.

図3に示すように、認証機器200Aは、認証情報受信部201と、ユーザIDテーブル記憶部202と、認証サーバIDテーブル記憶部203と、認証情報転送部204と、認証結果受信部205と、認証結果転送部206とを具備している。なお、本実施形態では、認証機器200Aは、端末装置100から送信された認証情報を、認証サーバ300A乃至300Cのいずれかに転送する中継装置としての役割を果たすように構成されている。   As shown in FIG. 3, the authentication device 200A includes an authentication information receiving unit 201, a user ID table storage unit 202, an authentication server ID table storage unit 203, an authentication information transfer unit 204, an authentication result receiving unit 205, And an authentication result transfer unit 206. In the present embodiment, the authentication device 200A is configured to serve as a relay device that transfers the authentication information transmitted from the terminal device 100 to any of the authentication servers 300A to 300C.

認証情報受信部201は、ユーザIDを含む第1の認証情報、又は、テンポラリID及び認証サーバIDを含む第2の認証情報を、端末装置100から受信するものである。   The authentication information receiving unit 201 receives, from the terminal device 100, first authentication information including a user ID or second authentication information including a temporary ID and an authentication server ID.

ユーザIDテーブル記憶部202は、「ユーザID」と「認証サーバID」とを対応付けるユーザIDテーブルを記憶するものである。すなわち、ユーザIDテーブル記憶部202は、ユーザIDテーブルによって、各ユーザについての初回のユーザ認証処理を行う認証サーバ300A乃至300Cを管理する。   The user ID table storage unit 202 stores a user ID table that associates “user ID” with “authentication server ID”. That is, the user ID table storage unit 202 manages the authentication servers 300A to 300C that perform the initial user authentication process for each user using the user ID table.

認証サーバIDテーブル記憶部203は、図1に示すように、「認証サーバID」と「アドレス」とを対応付ける認証サーバIDテーブル2を記憶するものである。「アドレス」は、認証サーバのアドレスを示すものであって、例えば、認証サーバのIPアドレスを示す。   As shown in FIG. 1, the authentication server ID table storage unit 203 stores an authentication server ID table 2 that associates an “authentication server ID” with an “address”. “Address” indicates the address of the authentication server, for example, the IP address of the authentication server.

なお、認証サーバIDテーブル2内に記憶されていない認証サーバIDによって識別される認証サーバ300のアドレスは、「default」ゲートウェイのアドレス(図1の例では、「aaa.aaa.aaa.aaa」)として設定されている。   The address of the authentication server 300 identified by the authentication server ID that is not stored in the authentication server ID table 2 is the address of the “default” gateway (“aaa.aaa.aaa.aaa” in the example of FIG. 1). Is set as

認証情報転送部204は、ユーザIDを含む第1の認証情報を端末装置100から受信した場合、当該ユーザIDに対応する認証サーバ300に対して当該第1の認証情報を転送するものである。   When the first authentication information including the user ID is received from the terminal device 100, the authentication information transfer unit 204 transfers the first authentication information to the authentication server 300 corresponding to the user ID.

具体的には、認証情報転送部204は、ユーザIDを含む第1の認証情報を受信した場合、ユーザIDテーブル及び認証サーバIDテーブル2を参照して、当該ユーザIDに対応する認証サーバ300のアドレス宛てに当該第1の認証情報を転送するように構成されている。   Specifically, when the authentication information transfer unit 204 receives the first authentication information including the user ID, the authentication information transfer unit 204 refers to the user ID table and the authentication server ID table 2 and refers to the authentication server 300 corresponding to the user ID. The first authentication information is transferred to the address.

また、認証情報転送部204は、テンポラリID及び認証サーバIDを含む第2の認証情報を受信した場合、認証サーバIDテーブル2を参照して、当該認証サーバIDによって識別される認証サーバ300に対して、当該テンポラリIDを含む第3の認証情報を送信するものである。   When the authentication information transfer unit 204 receives the second authentication information including the temporary ID and the authentication server ID, the authentication information transfer unit 204 refers to the authentication server ID table 2 to the authentication server 300 identified by the authentication server ID. Thus, the third authentication information including the temporary ID is transmitted.

具体的には、認証情報転送部204は、テンポラリID及び認証サーバIDを含む第2の認証情報を受信した場合、認証サーバIDテーブル2を参照して、当該認証サーバIDに対応するアドレス宛てに、受信した第2の認証情報を第3の認証情報としてそのまま転送するように構成されていてもよいし、少なくとも当該テンポラリIDを含む新たな第3の認証情報を生成して転送するように構成されていてもよい。   Specifically, when the authentication information transfer unit 204 receives the second authentication information including the temporary ID and the authentication server ID, the authentication information transfer unit 204 refers to the authentication server ID table 2 and addresses the address corresponding to the authentication server ID. The received second authentication information may be configured to be transferred as it is as the third authentication information, or new third authentication information including at least the temporary ID is generated and transferred. May be.

また、認証情報転送部204は、受信した第1の認証情報に含まれるユーザIDに対応する認証サーバ300のアドレス、又は、受信した第2の認証情報に含まれる認証サーバIDに対応するアドレスを見つけられない場合、第1の認証情報又は第3の認証情報をdefaultゲートウェイに送信するように構成されていてもよい。   Further, the authentication information transfer unit 204 obtains the address of the authentication server 300 corresponding to the user ID included in the received first authentication information or the address corresponding to the authentication server ID included in the received second authentication information. If not found, the first authentication information or the third authentication information may be configured to be transmitted to the default gateway.

認証結果受信部205は、端末装置100のユーザについてのユーザ認証処理の結果を示す認証結果、及び、新たに生成されたテンポラリIDを、認証サーバ300から受信するものである。   The authentication result receiving unit 205 receives the authentication result indicating the result of the user authentication process for the user of the terminal device 100 and the newly generated temporary ID from the authentication server 300.

認証結果転送部206は、認証サーバ300から受信した認証結果及びテンポラリIDを、端末装置100に通知するものである。   The authentication result transfer unit 206 notifies the terminal device 100 of the authentication result and temporary ID received from the authentication server 300.

図4に示すように、認証サーバ300は、認証情報受信部301と、認証処理部302と、テンポラリID生成部303と、認証結果送信部304とを具備している。   As shown in FIG. 4, the authentication server 300 includes an authentication information receiving unit 301, an authentication processing unit 302, a temporary ID generation unit 303, and an authentication result transmission unit 304.

認証情報受信部301は、認証機器200Aを介して、端末装置から送信された第1の認証情報及び第3の認証情報を受信するものである。   The authentication information receiving unit 301 receives the first authentication information and the third authentication information transmitted from the terminal device via the authentication device 200A.

認証処理部302は、認証情報受信部301によって受信された第1の認証情報又は第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行うものである。   The authentication processing unit 302 performs user authentication processing for the user of the terminal device 100 based on the first authentication information or the third authentication information received by the authentication information receiving unit 301.

具体的には、認証処理部302は、第1の認証情報に含まれるユーザIDによって識別されるユーザが正規のユーザであるか否かについて認証し、また、第3の認証情報に含まれるテンポラリIDによって識別されるユーザが正規のユーザであるか否かについて認証するように構成されている。   Specifically, the authentication processing unit 302 authenticates whether or not the user identified by the user ID included in the first authentication information is a legitimate user, and the temporary processing included in the third authentication information. It is configured to authenticate whether or not the user identified by the ID is a regular user.

テンポラリID生成部303は、端末装置100のユーザ用のテンポラリIDを生成するものである。具体的には、テンポラリID生成部303は、初回のユーザ認証処理の完了時に、端末装置100のユーザ用のテンポラリIDをランダムに生成するように構成されている。また、テンポラリID生成部303は、2回目以降のユーザ認証処理の完了時に、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成するように構成されている。   The temporary ID generation unit 303 generates a temporary ID for the user of the terminal device 100. Specifically, the temporary ID generation unit 303 is configured to randomly generate a temporary ID for the user of the terminal device 100 when the initial user authentication process is completed. The temporary ID generation unit 303 is configured to randomly generate a new temporary ID for the user of the terminal device 100 when the second and subsequent user authentication processes are completed.

認証結果送信部304は、認証処理部302によるユーザ認証処理の結果を示す認証結果と共に、テンポラリID生成部303によって生成されたテンポラリID及び当該認証サーバ300を識別するための認証サーバIDを、認証機器200Aを介して、端末装置100に通知するものである。   The authentication result transmission unit 304 authenticates the temporary ID generated by the temporary ID generation unit 303 and the authentication server ID for identifying the authentication server 300 together with the authentication result indicating the result of the user authentication processing by the authentication processing unit 302. The terminal device 100 is notified via the device 200A.

次に、図5を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。   Next, user authentication processing in the authentication system according to the present embodiment will be described with reference to FIG.

図5に示すように、ステップS101において、初回のユーザ認証処理を希望する端末装置100は、未だテンポラリIDが割り当てられていないため、ユーザIDを含む第1の認証情報を認証機器200Aに送信する。   As shown in FIG. 5, in step S101, the terminal device 100 that desires the first user authentication process has not yet been assigned a temporary ID, and therefore transmits first authentication information including the user ID to the authentication device 200A. .

ステップS102において、認証機器200Aは、ユーザIDテーブル及び認証サーバIDテーブル2を参照して、受信した第1の認証情報に含まれるユーザIDに対応する認証サーバ300Aに対して、当該第1の認証情報を転送する。   In step S102, the authentication device 200A refers to the user ID table and the authentication server ID table 2, and performs the first authentication for the authentication server 300A corresponding to the user ID included in the received first authentication information. Transfer information.

ステップS103において、認証サーバ300Aは、受信した第1の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用のテンポラリIDをランダムに生成する。   In step S <b> 103, the authentication server 300 </ b> A performs user authentication processing for the user of the terminal device 100 based on the received first authentication information. Then, the authentication server 300A randomly generates a temporary ID for the user of the terminal device 100.

ステップS104において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証機器200Aに送信する。   In step S104, the authentication server 300A displays the generated temporary ID and the authentication server ID for identifying the authentication server 300A together with the authentication result indicating that the user authentication process for the user of the terminal device 100 is successful. Send to 200A.

ステップS105において、認証機器200Aは、受信した認証結果とテンポラリIDと認証サーバIDとを、端末装置100に通知する。   In step S105, the authentication device 200A notifies the terminal device 100 of the received authentication result, temporary ID, and authentication server ID.

ステップS106において、2回目以降のユーザ認証処理を希望する端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Aに送信する。   In step S106, the terminal device 100 that desires the second and subsequent user authentication processes transmits second authentication information including the temporary ID and the authentication server ID to the authentication device 200A.

ステップS107において、認証機器200Aは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。   In step S107, the authentication device 200A refers to the authentication server ID table 2 and based on the authentication server ID included in the received second authentication information, the authentication device 200A transmits the third authentication information including the temporary ID to the authentication server 300A. Send to.

ステップS108において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。   In step S <b> 108, the authentication server 300 </ b> A performs user authentication processing for the user of the terminal device 100 based on the received third authentication information. Then, the authentication server 300A randomly generates a new temporary ID for the user of the terminal device 100.

ステップS109において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証機器200Aに送信する。   In step S109, the authentication server 300A displays the generated temporary ID and the authentication server ID for identifying the authentication server 300A together with the authentication result indicating that the user authentication process for the user of the terminal device 100 is successful. Send to 200A.

ステップS110において、認証機器200Aは、受信した認証結果とテンポラリIDと認証サーバIDとを、端末装置100に通知する。   In step S110, the authentication device 200A notifies the terminal device 100 of the received authentication result, temporary ID, and authentication server ID.

本実施形態に係る認証システムによれば、負荷分散等を考慮して複数の認証サーバ300A乃至300Cによって端末装置100のユーザについてのユーザ認証処理を行うネットワークにおいても、テンポラリIDを用いる方式で、ユーザIDを隠蔽することが可能となる。   According to the authentication system according to the present embodiment, even in a network in which user authentication processing for a user of the terminal device 100 is performed by a plurality of authentication servers 300A to 300C in consideration of load distribution and the like, a user who uses a temporary ID is used. The ID can be concealed.

(本発明の第2の実施形態に係る認証システム)
図6及び図7を参照して、本実施形態に係る第2の実施形態に係る認証システムについて、上述の第1の実施形態に係る認証システムとの相違点に着目して説明する。 (Authentication system according to the second embodiment of the present invention)
With reference to FIG.6 and FIG.7, the authentication system which concerns on 2nd Embodiment which concerns on this embodiment is demonstrated paying attention to difference with the authentication system which concerns on the above-mentioned 1st Embodiment.

図6に示すように、本実施形態では、端末装置100の移動によって、当該端末装置100が、認証機器200Aと通信している状態から、認証機器200Bと通信する状態に移行する場合の例について説明する。   As shown in FIG. 6, in the present embodiment, an example in which the terminal device 100 shifts from a state in which the terminal device 100 is in communication with the authentication device 200 </ b> A to a state in which the terminal device 100 is in communication with the authentication device 200 </ b> B. explain.

なお、本実施形態では、認証機器200A及び200Bの両者が、通信事業者のネットワーク3内の全ての認証サーバ300A乃至300Cに接続されているものとする。   In the present embodiment, it is assumed that both the authentication devices 200A and 200B are connected to all the authentication servers 300A to 300C in the network 3 of the communication carrier.

また、本実施形態において、認証機器200A及び200Bの両者は、互いに、認証サーバIDテーブル2の更新内容について、定期的に交換し合っているものとする。   In the present embodiment, it is assumed that the authentication devices 200 </ b> A and 200 </ b> B regularly exchange the updated contents of the authentication server ID table 2 with each other.

次に、図7を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。   Next, user authentication processing in the authentication system according to the present embodiment will be described with reference to FIG.

図7に示すように、ステップS201において、認証機器200Aとの間で通信状態にある端末装置100が、ステップS202において、移動することによって、ステップS203において、認証機器200Bとの間で通信を確立する。   As shown in FIG. 7, in step S201, the terminal device 100 in communication with the authentication device 200A moves in step S202, thereby establishing communication with the authentication device 200B in step S203. To do.

なお、端末装置100は、認証機器200Aを介して、初回のユーザ認証処理を行っており、認証サーバ300Aによって、端末装置100のユーザ用のテンポラリIDが既に発行されているものとする。   It is assumed that the terminal device 100 performs initial user authentication processing via the authentication device 200A, and a temporary ID for the user of the terminal device 100 has already been issued by the authentication server 300A.

ステップS204において、認証機器200Bとの間で通信状態にある端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Bに送信する。   In step S204, the terminal device 100 in communication with the authentication device 200B transmits second authentication information including the temporary ID and the authentication server ID to the authentication device 200B.

ステップS205において、認証機器200Bは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。   In step S205, the authentication device 200B refers to the authentication server ID table 2 and determines the third authentication information including the temporary ID based on the authentication server ID included in the received second authentication information as the authentication server 300A. Send to.

ステップS206において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。   In step S206, the authentication server 300A performs user authentication processing for the user of the terminal device 100 based on the received third authentication information. Then, the authentication server 300A randomly generates a new temporary ID for the user of the terminal device 100.

ステップS207において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証機器200Bに送信する。   In step S207, the authentication server 300A displays the generated temporary ID and the authentication server ID for identifying the authentication server 300A together with the authentication result indicating that the user authentication process for the user of the terminal device 100 has been successful. Send to 200B.

ステップS208において、認証機器200Bは、受信した認証結果とテンポラリIDと認証サーバIDとを、端末装置100に通知する。   In step S208, the authentication device 200B notifies the terminal device 100 of the received authentication result, temporary ID, and authentication server ID.

本実施形態に係る認証システムによれば、異なる認証機器200Bへの新規接続時においても、ユーザIDを通知することなく、テンポラリIDを通知することによって、ユーザ認証処置を行うことができる。   According to the authentication system according to the present embodiment, even when a new connection is made to a different authentication device 200B, user authentication processing can be performed by notifying the temporary ID without notifying the user ID.

(本発明の第3の実施形態に係る認証システム)
図8乃至図10を参照して、本実施形態に係る第3の実施形態に係る認証システムについて、上述の第1の実施形態に係る認証システムとの相違点に着目して説明する。 (Authentication system according to the third embodiment of the present invention)
With reference to FIGS. 8 to 10, an authentication system according to the third embodiment according to the present embodiment will be described by focusing on differences from the authentication system according to the first embodiment described above.

図8に示すように、通信事業者のネットワーク3内に、複数の認証サーバ300A乃至300Cに加えて、認証プロキシサーバ400Aが設けられている。   As shown in FIG. 8, an authentication proxy server 400A is provided in the network 3 of the communication carrier in addition to the plurality of authentication servers 300A to 300C.

認証プロキシサーバ400Aは、認証機器200Aに対して、複数の認証サーバ300A乃至300Cの代表としての役割を果たすプロキシサーバである。認証プロキシサーバ400Aは、認証機器200Aと複数の認証サーバ300A乃至300Cと接続されている。   The authentication proxy server 400A is a proxy server that serves as a representative of the plurality of authentication servers 300A to 300C with respect to the authentication device 200A. The authentication proxy server 400A is connected to the authentication device 200A and a plurality of authentication servers 300A to 300C.

具体的には、図9に示すように、認証プロキシサーバ400Aは、認証情報受信部401と、ユーザIDテーブル記憶部402と、認証サーバIDテーブル記憶部403と、認証情報転送部404と、認証結果受信部405と、認証結果転送部406とを具備している。なお、本実施形態では、認証プロキシサーバ400Aは、端末装置100から送信された認証情報を、認証サーバ300A乃至300Cのいずれかに転送する中継装置としての役割を果たすように構成されている。   Specifically, as illustrated in FIG. 9, the authentication proxy server 400A includes an authentication information receiving unit 401, a user ID table storage unit 402, an authentication server ID table storage unit 403, an authentication information transfer unit 404, an authentication A result receiving unit 405 and an authentication result transfer unit 406 are provided. In this embodiment, the authentication proxy server 400A is configured to serve as a relay device that transfers authentication information transmitted from the terminal device 100 to any of the authentication servers 300A to 300C.

ここで、認証プロキシサーバ400Aの各機能401乃至406は、図3に示す認証機器200Aの各機能201乃至206と同一である。   Here, the functions 401 to 406 of the authentication proxy server 400A are the same as the functions 201 to 206 of the authentication device 200A shown in FIG.

次に、図10を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。   Next, a user authentication process in the authentication system according to the present embodiment will be described with reference to FIG.

図10に示すように、ステップS301において、初回のユーザ認証処理を希望する端末装置100は、未だテンポラリIDが割り当てられていないため、ユーザIDを含む第1の認証情報を認証機器200Aに送信する。   As shown in FIG. 10, in step S301, the terminal device 100 that desires the first user authentication process has not yet been assigned a temporary ID, and therefore transmits first authentication information including the user ID to the authentication device 200A. .

ステップS302において、認証機器200Aは、自身が接続されている認証プロキシサーバ400Aに対して、受信した第1の認証情報を転送する。なお、認証機器200Aは、複数の認証プロキシサーバ400に接続されている場合、所定の方式で選択した認証プロキシサーバ400に対して、受信した第1の認証情報を転送するように構成されていてもよい。   In step S302, the authentication device 200A transfers the received first authentication information to the authentication proxy server 400A to which the authentication device 200A is connected. The authentication device 200A is configured to transfer the received first authentication information to the authentication proxy server 400 selected by a predetermined method when connected to a plurality of authentication proxy servers 400. Also good.

ステップS303において、認証プロキシサーバ400Aは、ユーザIDテーブル及び認証サーバIDテーブル2を参照して、受信した第1の認証情報に含まれるユーザIDに対応する認証サーバ300Aに対して、当該第1の認証情報を転送する。   In step S303, the authentication proxy server 400A refers to the user ID table and the authentication server ID table 2, and performs the first authentication server 300A corresponding to the user ID included in the received first authentication information. Transfer authentication information.

ステップS304において、認証サーバ300Aは、受信した第1の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用のテンポラリIDをランダムに生成する。   In step S304, the authentication server 300A performs user authentication processing for the user of the terminal device 100 based on the received first authentication information. Then, the authentication server 300A randomly generates a temporary ID for the user of the terminal device 100.

ステップS305において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証プロキシサーバ400Aに送信する。   In step S305, the authentication server 300A displays the generated temporary ID and an authentication server ID for identifying the authentication server 300A together with the authentication result indicating that the user authentication process for the user of the terminal device 100 is successful. Transmit to server 400A.

ステップS306において、認証プロキシサーバ400Aは、受信した認証結果とテンポラリIDと認証サーバIDとを認証機器200Aに通知し、ステップS307において、認証機器200Aは、受信した認証結果とテンポラリIDと認証サーバIDとを端末装置100に通知する。   In step S306, the authentication proxy server 400A notifies the received authentication result, temporary ID, and authentication server ID to the authentication device 200A. In step S307, the authentication device 200A receives the received authentication result, temporary ID, and authentication server ID. To the terminal device 100.

ステップS308において、2回目以降のユーザ認証処理を希望する端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Aに送信する。   In step S308, the terminal device 100 that desires the second and subsequent user authentication processes transmits second authentication information including the temporary ID and the authentication server ID to the authentication device 200A.

ステップS309において、認証機器200Aは、自身が接続されている認証プロキシサーバ400Aに対して、受信した第2の認証情報を転送する。   In step S309, the authentication device 200A transfers the received second authentication information to the authentication proxy server 400A to which the authentication device 200A is connected.

ステップS310において、認証プロキシサーバ400Aは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。   In step S310, the authentication proxy server 400A refers to the authentication server ID table 2 and determines the third authentication information including the temporary ID based on the authentication server ID included in the received second authentication information as the authentication server. Send to 300A.

ステップS311において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。   In step S311, the authentication server 300A performs user authentication processing for the user of the terminal device 100 based on the received third authentication information. Then, the authentication server 300A randomly generates a new temporary ID for the user of the terminal device 100.

ステップS312において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証プロキシサーバ400Aに送信する。   In step S312, the authentication server 300A displays the generated temporary ID and an authentication server ID for identifying the authentication server 300A together with the authentication result indicating that the user authentication process for the user of the terminal device 100 has been successful. Transmit to server 400A.

ステップS313において、認証プロキシサーバ400Aは、受信した認証結果とテンポラリIDと認証サーバIDとを認証機器200Aに通知し、ステップS314において、認証機器200Aは、受信した認証結果とテンポラリIDと認証サーバIDとを端末装置100に通知する。   In step S313, the authentication proxy server 400A notifies the received authentication result, temporary ID, and authentication server ID to the authentication device 200A. In step S314, the authentication device 200A receives the received authentication result, temporary ID, and authentication server ID. To the terminal device 100.

(本発明の第4の実施形態に係る認証システム)
図11及び図12を参照して、本実施形態に係る第4の実施形態に係る認証システムについて、上述の第3の実施形態に係る認証システムとの相違点に着目して説明する。 (Authentication system according to the fourth embodiment of the present invention)
With reference to FIGS. 11 and 12, an authentication system according to the fourth embodiment of the present embodiment will be described by focusing on the differences from the authentication system according to the third embodiment described above.

図11に示すように、本実施形態では、端末装置100の移動によって、当該端末装置100が、認証機器200Aと通信している状態から、認証機器200Bと通信する状態に移行する場合の例について説明する。   As shown in FIG. 11, in the present embodiment, an example of a case where the terminal device 100 shifts from a state in communication with the authentication device 200 </ b> A to a state in communication with the authentication device 200 </ b> B due to the movement of the terminal device 100. explain.

なお、本実施形態では、通信事業者のネットワーク3内に、認証機器200Aに接続されている認証プロキシサーバ400Aに加えて、認証機器200Bに接続されている認証プロキシサーバ400Bが設けられている。そして、認証プロキシサーバ400A及び400Bの両者が、通信事業者のネットワーク3内の全ての認証サーバ300A乃至300Cに接続されているものとする。   In the present embodiment, an authentication proxy server 400B connected to the authentication device 200B is provided in the network 3 of the communication carrier in addition to the authentication proxy server 400A connected to the authentication device 200A. Both authentication proxy servers 400A and 400B are connected to all authentication servers 300A to 300C in the network 3 of the communication carrier.

また、本実施形態において、認証プロキシサーバ400A及び400Bの両者は、互いに、認証サーバIDテーブル2の更新内容について、定期的に交換し合っているものとする。   Further, in the present embodiment, it is assumed that both of the authentication proxy servers 400A and 400B regularly exchange the updated contents of the authentication server ID table 2 with each other.

次に、図12を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。   Next, a user authentication process in the authentication system according to the present embodiment will be described with reference to FIG.

図12に示すように、ステップS401において、認証機器200Aとの間で通信状態にある端末装置100が、ステップS402において、移動することによって、ステップS403において、認証機器200Bとの間で通信を確立する。   As shown in FIG. 12, the terminal device 100 in communication with the authentication device 200A in step S401 moves in step S402, thereby establishing communication with the authentication device 200B in step S403. To do.

なお、端末装置100は、認証機器200Aを介して、初回のユーザ認証処理を行っており、認証サーバ300Aによって、端末装置100のユーザ用のテンポラリIDが既に発行されているものとする。   It is assumed that the terminal device 100 performs initial user authentication processing via the authentication device 200A, and a temporary ID for the user of the terminal device 100 has already been issued by the authentication server 300A.

ステップS404において、認証機器200Bとの間で通信状態にある端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Bに送信する。   In step S404, the terminal device 100 in communication with the authentication device 200B transmits second authentication information including the temporary ID and the authentication server ID to the authentication device 200B.

ステップS405において、認証機器200Bは、自身が接続されている認証プロキシサーバ400Bに対して、受信した第2の認証情報を転送する。なお、認証機器200Bは、複数の認証プロキシサーバ400に接続されている場合、所定の方式で選択した認証プロキシサーバ400に対して、受信した第2の認証情報を転送するように構成されていてもよい。   In step S405, the authentication device 200B transfers the received second authentication information to the authentication proxy server 400B to which it is connected. The authentication device 200B is configured to transfer the received second authentication information to the authentication proxy server 400 selected by a predetermined method when connected to the plurality of authentication proxy servers 400. Also good.

ステップS406において、認証プロキシサーバ400Bは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。   In step S406, the authentication proxy server 400B refers to the authentication server ID table 2 and uses the authentication server ID included in the received second authentication information to determine the third authentication information including the temporary ID as the authentication server. Send to 300A.

ステップS407において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。   In step S407, the authentication server 300A performs a user authentication process for the user of the terminal device 100 based on the received third authentication information. Then, the authentication server 300A randomly generates a new temporary ID for the user of the terminal device 100.

ステップS408において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証プロキシサーバ400Bに送信する。   In step S408, the authentication server 300A displays the generated temporary ID and the authentication server ID for identifying the authentication server 300A together with the authentication result indicating that the user authentication process for the user of the terminal device 100 is successful. Transmit to server 400B.

ステップS409において、認証プロキシサーバ400Bは、受信した認証結果とテンポラリIDと認証サーバIDとを認証機器200Bに通知し、ステップS410において、認証機器200Bは、受信した認証結果とテンポラリIDと認証サーバIDとを端末装置100に通知する。   In step S409, the authentication proxy server 400B notifies the received authentication result, temporary ID, and authentication server ID to the authentication device 200B. In step S410, the authentication device 200B receives the received authentication result, temporary ID, and authentication server ID. To the terminal device 100.

(本発明の第5の実施形態に係る認証システム)
図13及び図14を参照して、本実施形態に係る第5の実施形態に係る認証システムについて、上述の第4の実施形態に係る認証システムとの相違点に着目して説明する。 (Authentication system according to the fifth embodiment of the present invention)
With reference to FIG. 13 and FIG. 14, an authentication system according to the fifth embodiment according to the present embodiment will be described focusing on differences from the authentication system according to the fourth embodiment described above.

図13に示すように、本実施形態では、端末装置100の移動によって、当該端末装置100が、認証機器200Aと通信している状態から、認証機器200Cと通信する状態に移行する場合の例について説明する。なお、本実施形態に係る認証システムは、複数の通信事業者A及びBによって実現されているものとする。   As illustrated in FIG. 13, in the present embodiment, an example in which the terminal device 100 shifts from a state in communication with the authentication device 200 </ b> A to a state in communication with the authentication device 200 </ b> C due to the movement of the terminal device 100. explain. Note that the authentication system according to the present embodiment is realized by a plurality of communication carriers A and B.

具体的には、通信事業者Aのネットワーク3Aは、複数の認証サーバ300A乃至300Cと、認証プロキシサーバ400Aとを具備し、通信事業者Bのネットワーク3Bは、複数の認証サーバ300D等と、認証プロキシサーバ400Cとを具備するように構成されている。   Specifically, the network 3A of the communication carrier A includes a plurality of authentication servers 300A to 300C and an authentication proxy server 400A, and the network 3B of the communication carrier B authenticates with the plurality of authentication servers 300D and the like. The proxy server 400C is configured.

ここで、通信事業者Aのネットワーク3A及び通信事業者Bのネットワーク3Bは、互いのゲートウェイを介して接続されており、相互にローンミングサービスを提供することができる。   Here, the network 3A of the telecommunications carrier A and the network 3B of the telecommunications carrier B are connected via each other's gateway, and can provide a loaning service to each other.

また、本実施形態において、認証プロキシサーバ400A及び400Cの両者は、互いに、認証サーバIDテーブル2の更新内容について、定期的に交換し合っているものとする。   In the present embodiment, it is assumed that the authentication proxy servers 400A and 400C regularly exchange the updated contents of the authentication server ID table 2 with each other.

次に、図14を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。   Next, a user authentication process in the authentication system according to the present embodiment will be described with reference to FIG.

図14に示すように、ステップS501において、通信事業者Aのネットワーク3A内の認証プロキシサーバ400Aに接続されている認証機器200Aとの間で通信状態にある端末装置100が、ステップS502において、移動することによって、ステップS503において、通信事業者Bのネットワーク3B内の認証プロキシサーバ400Cに接続されている認証機器200Cとの間で通信を確立する。   As shown in FIG. 14, in step S501, the terminal device 100 in communication with the authentication device 200A connected to the authentication proxy server 400A in the network 3A of the communication carrier A moves in step S502. Thus, in step S503, communication is established with the authentication device 200C connected to the authentication proxy server 400C in the network 3B of the communication carrier B.

なお、端末装置100は、認証機器200Aを介して、初回のユーザ認証処理を行っており、認証サーバ300Aによって、端末装置100のユーザ用のテンポラリIDが既に発行されているものとする。   It is assumed that the terminal device 100 performs initial user authentication processing via the authentication device 200A, and a temporary ID for the user of the terminal device 100 has already been issued by the authentication server 300A.

ステップS504において、認証機器200Cとの間で通信状態にある端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Cに送信する。   In step S504, the terminal device 100 in communication with the authentication device 200C transmits the second authentication information including the temporary ID and the authentication server ID to the authentication device 200C.

ステップS505において、認証機器200Cは、自身が接続されている認証プロキシサーバ400Cに対して、受信した第2の認証情報を転送する。なお、認証機器200Cは、通信事業者Bのネットワーク3B内の複数の認証プロキシサーバ400に接続されている場合、所定の方式で選択した認証プロキシサーバ400に対して、受信した第2の認証情報を転送するように構成されていてもよい。   In step S505, the authentication device 200C transfers the received second authentication information to the authentication proxy server 400C to which the authentication device 200C is connected. When the authentication device 200C is connected to a plurality of authentication proxy servers 400 in the network 3B of the carrier B, the authentication device 200C receives the second authentication information received from the authentication proxy server 400 selected by a predetermined method. May be configured to forward.

ステップS506において、認証プロキシサーバ400Cは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。   In step S506, the authentication proxy server 400C refers to the authentication server ID table 2 and uses the authentication server ID included in the received second authentication information to obtain the third authentication information including the temporary ID as the authentication server. Send to 300A.

具体的には、認証プロキシサーバ400Cは、通信事業者Aのネットワーク3A内のゲートウェイに対して、認証サーバ300A宛ての第3の認証情報を転送する、すなわち、ローミングサービスを利用することによって、第3の認証情報を認証サーバ300Aに転送するように構成されている。   Specifically, the authentication proxy server 400C transfers the third authentication information addressed to the authentication server 300A to the gateway in the network 3A of the communication carrier A, that is, by using the roaming service, 3 is transferred to the authentication server 300A.

ステップS507において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。   In step S507, the authentication server 300A performs a user authentication process for the user of the terminal device 100 based on the received third authentication information. Then, the authentication server 300A randomly generates a new temporary ID for the user of the terminal device 100.

ステップS508において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証プロキシサーバ400Cに送信する。   In step S508, the authentication server 300A displays the generated temporary ID and the authentication server ID for identifying the authentication server 300A together with the authentication result indicating that the user authentication process for the user of the terminal device 100 is successful. Transmit to server 400C.

具体的には、認証サーバ300Aは、通信事業者Bのネットワーク3B内のゲートウェイに対して、認証プロキシサーバ400C宛ての情報(認証結果、テンポラリID及び認証サーバID)を転送する、すなわち、ローミングサービスを利用することによって、情報(認証結果、テンポラリID及び認証サーバID)を認証プロキシサーバ400Cに転送するように構成されている。   Specifically, the authentication server 300A transfers information (authentication result, temporary ID and authentication server ID) addressed to the authentication proxy server 400C to the gateway in the network 3B of the communication carrier B, that is, a roaming service Is used to transfer information (authentication result, temporary ID and authentication server ID) to the authentication proxy server 400C.

ステップS509において、認証プロキシサーバ400Cは、受信した認証結果とテンポラリIDと認証サーバIDとを認証機器200Cに通知し、ステップS510において、認証機器200Cは、受信した認証結果とテンポラリIDと認証サーバIDとを端末装置100に通知する。   In step S509, the authentication proxy server 400C notifies the received authentication result, temporary ID, and authentication server ID to the authentication device 200C. In step S510, the authentication device 200C receives the received authentication result, temporary ID, and authentication server ID. To the terminal device 100.

100…端末装置
101…ユーザID記憶部
102…テンポラリIDテーブル記憶部
103…認証情報送信部
104、205、405…認証結果受信部
200A、200B、200C…認証機器
201、301、401…認証情報受信部
202、402…ユーザIDテーブル記憶部
203、403…認証サーバIDテーブル記憶部
204、404…認証情報転送部
206、406…認証結果転送部
300A、300B、300C…認証サーバ
302…認証処理部
303…テンポラリID生成部
304…認証結果送信部
400A、400B、400C…認証プロキシサーバ DESCRIPTION OF SYMBOLS 100 ... Terminal device 101 ... User ID memory | storage part 102 ... Temporary ID table memory | storage part 103 ... Authentication information transmission part 104,205,405 ... Authentication result receiving part 200A, 200B, 200C ... Authentication apparatus 201,301,401 ... Authentication information reception Units 202, 402 ... user ID table storage unit 203, 403 ... authentication server ID table storage unit 204, 404 ... authentication information transfer unit 206, 406 ... authentication result transfer unit 300A, 300B, 300C ... authentication server 302 ... authentication processing unit 303 ... Temporary ID generator 304 ... Authentication result transmitters 400A, 400B, 400C ... Authentication proxy server

Claims (1)

複数の認証サーバによってユーザ認証処理が行われるネットワークにおいて、端末装置のユーザについてのユーザ認証処理を行う認証方法であって、
前記端末装置が、ユーザIDを含む第1の認証情報を中継装置に送信する工程と、
前記中継装置が、前記第1の認証情報を、前記ユーザIDに対応する認証サーバに転送する工程と、
前記認証サーバが、前記第1の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程と、
前記認証サーバが、前記端末装置のユーザ用のテンポラリIDを発行して、該認証サーバを識別するための認証サーバID及び該テンポラリIDを前記中継装置に送信する工程と、
前記中継装置が、前記テンポラリID及び前記認証サーバIDを、前記端末装置に通知する工程と、
前記端末装置が、前記テンポラリID及び前記認証サーバIDを含む第2の認証情報を前記中継装置に送信する工程と、
前記中継装置が、前記第2の認証情報に含まれる前記認証サーバIDに基づいて、前記テンポラリIDを含む第3の認証情報を、該認証サーバに送信する工程と、
前記認証サーバが、前記第3の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程とを有し、
前記転送する工程では、前記中継装置が、前記第1の認証情報を前記端末装置から受信する前において前記中継装置に予め記憶されたユーザIDテーブルを用いて、前記ユーザIDに対応する前記認証サーバを判定し、
前記ユーザIDテーブルは、前記ユーザIDと前記認証サーバIDとを対応付け、
前記端末装置は、2回目以降の前記ユーザ認証処理時に前記第2の認証情報を前記中継装置に送信し、
前記認証サーバは、2回目以降の前記ユーザ認証処理時に前記第3の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行うことを特徴とする認証方法。 An authentication method for performing user authentication processing for a user of a terminal device in a network in which user authentication processing is performed by a plurality of authentication servers,
The terminal device transmits first authentication information including a user ID to the relay device;
The relay device transferring the first authentication information to an authentication server corresponding to the user ID;
The authentication server performing a user authentication process for the user of the terminal device based on the first authentication information;
The authentication server issuing a temporary ID for the user of the terminal device, and transmitting the authentication server ID for identifying the authentication server and the temporary ID to the relay device;
The relay device notifying the terminal device of the temporary ID and the authentication server ID;
The terminal device transmitting second authentication information including the temporary ID and the authentication server ID to the relay device;
The relay device transmitting third authentication information including the temporary ID to the authentication server based on the authentication server ID included in the second authentication information;
The authentication server has a step of performing user authentication processing for a user of the terminal device based on the third authentication information;
In the transferring step, the authentication server corresponding to the user ID using the user ID table stored in the relay device in advance before the relay device receives the first authentication information from the terminal device. Determine
The user ID table associates the user ID with the authentication server ID,
The terminal device transmits the second authentication information to the relay device during the second and subsequent user authentication processes,
The authentication server performs a user authentication process for a user of the terminal device based on the third authentication information during the second and subsequent user authentication processes.
JP2011000729A 2011-01-05 2011-01-05 Authentication method and relay device Expired - Fee Related JP4785992B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011000729A JP4785992B2 (en) 2011-01-05 2011-01-05 Authentication method and relay device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011000729A JP4785992B2 (en) 2011-01-05 2011-01-05 Authentication method and relay device

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2004190442A Division JP2006011989A (en) 2004-06-28 2004-06-28 Authentication method, terminal device, repeater, and authentication server

Publications (2)

Publication Number Publication Date
JP2011076635A JP2011076635A (en) 2011-04-14
JP4785992B2 true JP4785992B2 (en) 2011-10-05

Family

ID=44020484

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011000729A Expired - Fee Related JP4785992B2 (en) 2011-01-05 2011-01-05 Authentication method and relay device

Country Status (1)

Country Link
JP (1) JP4785992B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5319575B2 (en) * 2010-02-23 2013-10-16 日本電信電話株式会社 Communication method and communication system
JP7000771B2 (en) 2017-09-27 2022-02-10 株式会社リコー Network equipment, input / output devices, authentication methods and programs

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8972582B2 (en) * 2002-10-03 2015-03-03 Nokia Corporation Method and apparatus enabling reauthentication in a cellular communication system

Also Published As

Publication number Publication date
JP2011076635A (en) 2011-04-14

Similar Documents

Publication Publication Date Title
JP2006011989A (en) Authentication method, terminal device, repeater, and authentication server
CN104767715B (en) Access control method and equipment
CN101123811B (en) Apparatus and method for managing stations associated with WPA-PSK wireless network
JP6555258B2 (en) Mobile communication system, ProSe Function, UE and method
US10530573B2 (en) System and method for wireless network access protection and security architecture
CN101006682B (en) Fast network attchment
JP2014526841A (en) Wireless communication with parallel re-authentication and connection setup
CN107071771A (en) The system and method for performing link establishment and certification
WO2009152749A1 (en) A binding authentication method, system and apparatus
KR20200003082A (en) Method and device and communication system for obtaining a key
EP2856789B1 (en) Method for tracking a mobile device onto a remote displaying unit via a mobile switching center and a head-end
EP2561696B1 (en) Method and apparatus for machine communication
CN108683690A (en) Method for authenticating, user equipment, authentication device, authentication server and storage medium
CN108781110A (en) For the system and method by relay in telecommunication network data
JP2023052288A (en) Method, system, and program for relay
JP4785992B2 (en) Authentication method and relay device
JP2019153922A (en) LTE communication system and communication control method
JP2006229265A (en) Gateway system
CN106888447A (en) The processing method and system of secondary USIM application messages
JP6546846B2 (en) Authentication server, access point and program
JP6088607B1 (en) Setting information server, access point, communication setting system, information providing method, communication setting method, information providing program, and communication setting program
JP2005333350A (en) Communication system
JPWO2018105043A1 (en) Terminal device, program, and communication system
JP7027835B2 (en) Network system and its management method
JP6684242B2 (en) Position information providing device, program and method

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110412

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110610

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110705

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110712

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140722

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees