JP2001357017A - 認証処理システム及び課金処理システム - Google Patents

認証処理システム及び課金処理システム

Info

Publication number
JP2001357017A
JP2001357017A JP2000176368A JP2000176368A JP2001357017A JP 2001357017 A JP2001357017 A JP 2001357017A JP 2000176368 A JP2000176368 A JP 2000176368A JP 2000176368 A JP2000176368 A JP 2000176368A JP 2001357017 A JP2001357017 A JP 2001357017A
Authority
JP
Japan
Prior art keywords
user
radius
server
password
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000176368A
Other languages
English (en)
Inventor
Yasuhiro Ito
靖浩 伊藤
Susumu Okada
晋 岡田
Koichi Yamashita
宏一 山下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PFU Ltd
Original Assignee
PFU Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PFU Ltd filed Critical PFU Ltd
Priority to JP2000176368A priority Critical patent/JP2001357017A/ja
Publication of JP2001357017A publication Critical patent/JP2001357017A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 本発明は、認証処理システムに関し、独自の
パスワードを用いることなくセキュリティを向上するこ
とを目的とする。 【解決手段】 認証処理システムは、ユーザからアクセ
スされた場合にRADIUSプロトコルに従ってユーザ
名とパスワードとをRADIUSサーバ5に送るアクセ
スサーバ3と、アクセスサーバ3から受信したユーザ名
とパスワードとを用いてユーザの認証を行うRADIU
Sサーバ5とを備える。アクセスサーバ3は、パスワー
ドとしてRADIUS通信用暗号鍵30をRADIUS
サーバ5に送る。RADIUSサーバ5は、ユーザ名と
パスワードとしてのRADIUS通信用暗号鍵30(5
0)とを用いて、ユーザの認証を行う。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、認証処理システム
及び課金処理システムに関し、特に、独自のパスワード
を用いることなくセキュリティを向上でき、また、ユー
ザ毎に統一的な課金処理が可能な認証処理システム及び
課金処理システムに関する。
【0002】
【従来の技術】ネットワークにおけるユーザの認証処理
システムの1つに、図8に示すRADIUS(Remote A
uthentication Dial-in User Service)システムがあ
る。RADIUSシステムは、ネットワークにダイアル
インにより接続するリモートのユーザ(例えば、携帯電
話)の認証を行うシステムである。
【0003】RADIUSシステムにおいて、ユーザ1
01が、公衆網又はWAN(Wide Area Network )等の
ネットワーク102を介して、アクセスサーバ(又はリ
モートアクセスサーバ;RAS)103にアクセスす
る。これに応じて、アクセスサーバ103は、LAN
(Local Area Network)104を介して、RADIUS
プロトコルに従って、当該ユーザ101のユーザ名及び
パスワードを認証サーバであるRADIUSサーバ10
5に送信する。このユーザ名及びパスワードによりRA
DIUSサーバ105がユーザ101を認証すれば、ユ
ーザ101は、LAN104への接続が許可され(接続
が完了し)、種々のサーバ等にアクセスすることができ
る。
【0004】ユーザ101が認証されLAN104への
接続が許可されると、RADIUSサーバ105が、R
ADIUS課金(アカウンティング)プロトコルに従っ
て、ユーザ101への課金処理を開始する。この課金処
理は、ユーザ名を用いて各々のユーザ101を識別し、
ユーザ101毎にその接続時間を算出することにより行
われる。
【0005】
【発明が解決しようとする課題】RADIUSプロトコ
ルによれば、アクセスサーバ103からRADIUSサ
ーバ105に対して、ユーザ名及びパスワードの双方を
送信しなければならないと規定されている。そこで、I
Dを持たないユーザ101(例えば、携帯電話等)につ
いては、ユーザ名としてIDではなく当該ユーザ101
の「発信者番号(即ち、電話番号)」が使用され、パス
ワードとしてユーザ毎に独自に設定した「発信者番号認
証用パスワード」が使用される。
【0006】しかし、この場合、ユーザ名とパスワード
の双方を用いるので高いセキュリティが得られるが、各
ユーザ101毎にパスワードを設定しなければならな
い。また、アクセスサーバ103及びRADIUSサー
バ105の双方でパスワードを管理しなければならず、
その負担が大きい。即ち、ユーザ101の数に応じたメ
モリ容量が必要であり、パスワードの秘密保持機能も必
要である。
【0007】これに対して、ユーザ名として「発信者番
号」を使用し、パスワードを使用しない認証方法も考え
られる。しかし、この場合、パスワードの管理が不要に
なるが、RADIUSプロトコルの変更が必要となり現
実的でなく、ユーザ名のみを用いるのでセキュリティが
低くなる。また、ユーザ名として「発信者番号」を使用
し、パスワードとしても「発信者番号」を使用する認証
方法も考えられる。しかし、この場合も、パスワードの
管理は不要になるが、秘密にしておくことが難しい「発
信者番号(電話番号)」をパスワードとして使用するの
でセキュリティが低くなり、パスワード使用の意味が事
実上なくなる。即ち、パスワードはプロトコルの遵守の
ためにのみ用いられ、セキュリティ上の意味は殆どなく
なる。
【0008】一方、現在のRADIUSプロトコルに従
えば、ユーザ101を識別できる情報は、ユーザ名の他
には特に規定されていない。このため、RADIUSア
カウンティングプロトコルでは、実際の課金処理の運用
において、ユーザ101をユーザ名で識別している。
【0009】しかし、この場合、複数のユーザ名を持つ
同一の利用者が異なるユーザ名で認証されると、別々の
ユーザ101として認識されてしまい、別々に課金処理
されてしまう。例えば、ある利用者が、IDを持たない
ユーザ101(例えば、携帯電話等)からアクセスして
認証されるとそのユーザ名は「発信者番号」であり、I
Dを持つユーザ101(例えば、パーソナルコンピュー
タ等)からアクセスして認証されるとそのユーザ名は当
該「ID」である。従って、この利用者については2つ
の課金情報が作成され保持されるので、管理の負担やメ
モリ容量の増加の原因となる。また、利用者は別々に料
金を支払うことになり、煩わしい。
【0010】本発明は、独自のパスワードを用いること
なくセキュリティを向上できる認証処理システムを提供
することを目的とする。
【0011】また、本発明は、ユーザ毎に統一的な課金
処理が可能な課金処理システムを提供することを目的と
する。
【0012】
【課題を解決するための手段】本発明による認証処理シ
ステムは、ユーザからアクセスされた場合にRADIU
Sプロトコルに従って当該ユーザ名とパスワードとをR
ADIUSサーバに送るアクセスサーバと、アクセスサ
ーバから受信したユーザ名とパスワードとを用いてユー
ザの認証を行うRADIUSサーバとを備える。アクセ
スサーバは、パスワードとしてRADIUS通信用暗号
鍵をRADIUSサーバに送る。RADIUSサーバ
は、受信したユーザ名及びパスワードとしてのRADI
US通信用暗号鍵とを用いて、ユーザの認証を行う。
【0013】本発明の認証処理システムによれば、パス
ワードとしてRADIUS通信用暗号鍵を用いる。RA
DIUS通信用暗号鍵は、RADIUSプロトコルに従
って、アクセスサーバ及びRADIUSサーバの双方
に、これらの間での通信のための秘密鍵として予め備え
られる。従って、これをパスワードとして利用する。こ
れにより、例えば、IDを持たないユーザについては、
ユーザ名として当該ユーザの「発信者番号(即ち、電話
番号)」が使用され、パスワードとして「RADIUS
通信用暗号鍵(を更に暗号化したもの)」が使用され
る。従って、ユーザ名とパスワードの双方を用いるので
高いセキュリティが得られ、RADIUSプロトコルを
変更する必要もなく、各ユーザ毎にパスワードを設定す
る必要もない。このパスワードは暗号鍵であるので、他
人に知られることもない。また、アクセスサーバ及びR
ADIUSサーバの双方でパスワードを管理する必要が
なく、このために新たにメモリや秘密保持機能を追加す
る必要がない。
【0014】また、本発明による課金処理システムは、
ユーザが認証された場合にRADIUSアカウンティン
グプロトコルに従って課金開始要求をRADIUSサー
バに送るアクセスサーバと、アクセスサーバから受信し
た課金開始要求に基づいてユーザに対する課金を行うR
ADIUSサーバとを備える。アクセスサーバは、当該
ユーザ名とは異なる課金管理IDを課金開始要求に付加
して、RADIUSサーバに送る。RADIUSサーバ
は、課金管理IDを用いて、ユーザに対する課金を行
う。
【0015】本発明の課金処理システムによれば、課金
処理におけるユーザの識別は、ユーザ名ではなく、課金
管理IDにより行われる。ここで、課金管理IDは、R
ADIUSプロトコルにおいて任意に追加することが許
されている所定のアトリビュート(属性情報)である。
従って、所定のアトリビュートを使用してもRADIU
Sプロトコルを遵守している。例えば、ある利用者がI
Dを持たないユーザ及びIDを持つユーザからアクセス
して認証された場合、RADIUSアカウンティングプ
ロトコルは、双方に対して同一の課金管理IDにより課
金する。従って、利用者について2つの課金情報が作成
されることを防止し、管理の負担やメモリ容量の増加を
避けることができ、利用者の負担もない。
【0016】
【発明の実施の形態】図1は、認証処理及び課金処理シ
ステム構成図であり、本発明の認証処理及び課金処理シ
ステムの構成を示す。
【0017】この認証処理及び課金処理システムは、R
ADIUSシステムであり、ネットワーク2にダイアル
インにより接続するリモートのユーザ1の認証を行う。
この認証のために、認証処理システムは、アクセスサー
バ3、RADIUSサーバ5を備える。アクセスサーバ
3はRADIUS通信用暗号鍵(以下、暗号鍵)30を
備え、RADIUSサーバ5はRADIUS通信用暗号
鍵(以下、暗号鍵)50を備える。アクセスサーバ3は
ネットワーク2に接続される。アクセスサーバ3とRA
DIUSサーバ5とは例えばLAN等のネットワーク
(以下、単にLAN)4を介して接続される。ネットワ
ーク2は、例えば公衆網、回線接続網又はWANからな
る。LAN4には、他のサーバ6、例えばメールサーバ
6等が接続される。
【0018】ユーザ1には、IDを持たないユーザ1A
と、IDを持つユーザ1Bとが含まれる。IDを持たな
いユーザ1Aは、例えば携帯電話である。ユーザ1Aの
ユーザ名としては、当該ユーザの「発信者番号(即ち、
電話番号)」が使用される。通常、ユーザ1Aはパスワ
ードも持たない。IDを持つユーザ1Bは、例えば携帯
情報端末、パーソナルコンピュータ等である。ユーザ1
Bのユーザ名としては、当該ユーザの「ID」が使用さ
れる。即ち、この場合には、通常、当該ユーザの「発信
者番号(即ち、電話番号)」ではなく、当該ユーザの
「ID」が優先して使用されるように設定される。ユー
ザ1Bはパスワードも持つ。従って、パスワードとして
も当該パスワードが使用される。
【0019】RADIUSシステムにおいて、ユーザ1
がネットワーク2にアクセスする。即ち、接続要求を送
信する。これを受信したネットワーク2は、図2(A)
に示すように、当該接続要求に当該ユーザの例えば発信
者番号(ユーザ名)を付加した上で、これをアクセスサ
ーバ(又はリモートアクセスサーバ;RAS)3に送信
する。
【0020】ネットワーク2からの接続要求を受信した
アクセスサーバ3は、LAN4を介して、RADIUS
プロトコルに従って、当該ユーザ1のユーザ名及びパス
ワードを、認証サーバであるRADIUSサーバ5に送
信する。即ち、図2(B)に示すように、当該接続要求
の次に当該ユーザのパスワードを付加したものを送信す
る。このユーザ名及びパスワードによりRADIUSサ
ーバ5がユーザ1を認証すれば、ユーザ1は、LAN4
への接続が許可され(接続が完了し)、メールサーバ6
等にアクセスすることができる。
【0021】RADIUSプロトコルは、RADIUS
システムが従うべきプロトコルとして、予め規定されて
いる(公開されている)。アクセスサーバ3とRADI
USサーバ5との間の通信は、RADIUSプロトコル
に従って行われる。RADIUSプロトコルにおいて、
ユーザ名及びパスワードは、各々、図2(B)に示すよ
うに、送信データの第1番及び第2番のアトリビュート
(属性又は属性情報)の位置に格納すると規定されてお
り、これらは必ず格納(記述)しなければならない。
【0022】アクセスサーバ3は、ユーザ1からアクセ
スされた場合に、RADIUSプロトコルに従って、当
該ユーザ名とパスワードとをRADIUSサーバ5に送
る。この時、本発明に従って、アクセスサーバ3が、パ
スワードとして暗号鍵30(実際は、後述するように、
これを更に暗号化したもの)をRADIUSサーバ5に
送る。RADIUSサーバ5は、アクセスサーバ3から
受信したユーザ名とパスワードとを用いて、ユーザ1の
認証を行う。この時、本発明に従って、RADIUSサ
ーバ5が、受信したユーザ名及びパスワードとしての暗
号鍵30と、自己の保持するユーザ名及び(パスワード
としての)暗号鍵50とを用いて、ユーザ1の認証を行
う。
【0023】暗号鍵30及び50は、各々、RADIU
Sプロトコルに従って、アクセスサーバ3及びRADI
USサーバ5に、これらの間での通信のための秘密鍵と
して予め備えられる。これらをパスワードとして利用す
る場合には、実際には、これらを更に暗号化したものを
利用する。
【0024】RADIUSサーバ5のクライアント設定
ファイル53(図3参照)内に、アクセスサーバ(即
ち、RADIUSクライアントである)3とRADIU
Sサーバ5とが設定する暗号鍵30、50をペアにし
て、登録される。クライアント設定ファイルの暗号鍵3
0は、予めアクセスサーバ3に送られる。暗号鍵30、
50は、「Secret」と呼ばれ、同一であり、定め
られた長さとされる。
【0025】RADIUSサーバ5は、認証処理及び課
金処理のために、認証情報テーブル54、課金情報テー
ブル55を備える。認証情報テーブル54は、図2
(C)に示すように、ユーザ1のユーザ名(即ち、ID
又は発信者番号)毎に、当該ユーザ1のパスワード、課
金管理IDを格納する。課金管理IDは、ユーザ名(即
ち、ID又は発信者番号)ではなく、実際の利用者毎に
ユニークに定まる。従って、図2(C)に示すように、
実際の利用者が同一であれば、発信者番号のユーザ名と
IDのユーザ名に対して、同一の課金管理IDが予め与
えられる。課金情報テーブル55は、図2(D)に示す
ように、課金管理ID毎に、当該課金管理IDを持つユ
ーザ1の名前(ユーザ名)、接続時間(の累計)、当該
接続時間に対応する課金(の累計)を格納する。認証情
報テーブル54と課金情報テーブル55とで、データベ
ースを構成する。
【0026】例えば、図3に示すように、発信者がID
を持つユーザ1Bである場合、アクセスサーバ3は、ネ
ットワーク2から受信した当該ユーザ1のIDを、ユー
ザ名とする。また、アクセスサーバ3は、ネットワーク
2から受信した当該ユーザ1のパスワードを暗号化処理
部31において暗号化した上で、パスワード(以下、暗
号化したものをPと言う)とする。即ち、受信したパス
ワードにハッシュ関数hを作用させる(ハッシングす
る)ことにより、結果Pを得る。暗号鍵(Secre
t)30は、ハッシュ関数hの引数である。これがRA
DIUSプロトコルに規定されている暗号鍵(Secr
et)30の使用形態である。アクセスサーバ3は、送
信データの第1番及び第2番のアトリビュートに、各
々、ID及びパスワードPを記述して、RADIUSサ
ーバ5に送る。
【0027】従って、RADIUSサーバ5は、発信者
がIDを持つユーザ1Bである場合、ユーザ名としての
当該ユーザ1のIDと当該暗号化パスワードPとを用い
て、ユーザ1の認証を行う。即ち、RADIUSサーバ
5は、認証情報テーブル54を参照し、当該ユーザ1の
IDが登録されているか否かを調べる。また、RADI
USサーバ5は、認証情報テーブル54を参照し、当該
パスワードが登録されているか否かを調べる。この時、
認証情報テーブル54から読み出した当該パスワードに
暗号化処理部51においてハッシュ関数hを作用させる
ことにより、結果P’を得る。暗号鍵(Secret)
50は、ハッシュ関数hの引数である。これがRADI
USプロトコルに規定されている暗号鍵(Secre
t)50の使用形態である。比較処理部52において、
受信した暗号化パスワードPと結果P’とが一致すれ
ば、暗号化パスワードP(従って、元のパスワード)が
登録されていることになる。IDが登録され、かつ、前
記比較結果が一致すれば、認証成功となる。
【0028】また、例えば、図4に示すように、発信者
がIDを持たないユーザ1Aである場合、アクセスサー
バ3は、ネットワーク2から受信した当該ユーザ1の発
信者番号(即ち、電話番号)を、ユーザ名とする。ま
た、アクセスサーバ3は、自己の持つ暗号鍵30を暗号
化処理部31において暗号化した上で、パスワード(以
下、暗号化したものをSと言う)とする。即ち、当該暗
号鍵(Secret)30自体にハッシュ関数hを作用
させることにより、結果Sを得る。結果Sは「暗号化さ
れたSecret」である。暗号鍵30は、ハッシュ関
数hの引数でもある。アクセスサーバ3は、送信データ
の第1番及び第2番のアトリビュートに、各々、発信者
番号及びパスワードSを記述して、RADIUSサーバ
5に送る。
【0029】従って、RADIUSサーバ5は、発信者
がIDを持たないユーザ1Aである場合、ユーザ名とし
ての当該ユーザ1の発信者番号とパスワードとしての暗
号鍵30(パスワードS)とを用いて、ユーザ1の認証
を行う。即ち、RADIUSサーバ5は、認証情報テー
ブル54を参照し、当該ユーザ1の発信者番号が登録さ
れているか否かを調べる。また、RADIUSサーバ5
は、認証情報テーブル54を参照し、パスワードとして
の暗号鍵50(パスワードS)が登録されているか否か
を調べる。この時、認証情報テーブル54から読み出し
た暗号鍵50に暗号化処理部51においてハッシュ関数
hを作用させることにより、結果S’を得る。暗号鍵
(Secret)50は、ハッシュ関数hの引数でもあ
る。比較処理部52において、受信したパスワードSと
結果S’とが一致すれば、パスワードとしての暗号鍵5
0(パスワードS、従って、元のパスワード=暗号鍵3
0)が登録されていることになる。発信者番号が登録さ
れ、かつ、前記比較結果が一致すれば、認証成功とな
る。
【0030】以上のようにして、ユーザ1が認証されL
AN4への接続が許可されると、RADIUSサーバ5
が、RADIUSアカウンティング(課金)プロトコル
に従って、ユーザ1への課金処理を開始する。この課金
処理は、ユーザ名を用いて各々のユーザ1を識別し、ユ
ーザ1毎にその接続時間を算出することにより行われ
る。
【0031】RADIUSアカウンティングプロトコル
は、RADIUSシステムが課金処理において従うべき
プロトコルとして、予め規定されている(公開されてい
る)。アクセスサーバ3とRADIUSサーバ5との間
の課金処理に関する通信は、RADIUSアカウンティ
ングプロトコルに従って行われる。RADIUSアカウ
ンティングプロトコル(及びRADIUSプロトコル)
において、例えば、送信データの第25番のアトリビュ
ート(クラスアトリビュート)は、これを格納(記述)
してもしなくてもよいと規定され、また、記述された属
性情報の使用についても特に規定されていない。そこ
で、この第25番のアトリビュートが課金管理IDの記
述に用いられる。
【0032】アクセスサーバ3は、ユーザ1が認証され
た場合に、RADIUSアカウンティングプロトコルに
従って、課金開始要求をRADIUSサーバ5に送る。
この時、アクセスサーバ3が、当該ユーザ名とは異なる
課金管理IDを課金開始要求に付加して、RADIUS
サーバ5に送る。
【0033】これに先だって、RADIUSサーバ5
は、認証処理のために受信したユーザ名(ID又は発信
者番号)を用いて、認証情報テーブル54を参照し、対
応する課金管理IDを読出して、これをアクセスサーバ
3に通知する。これは当該認証処理についての認証成功
の通知において行われる。この時、RADIUSプロト
コルに従って、課金管理IDは第25番のアトリビュー
トに記述される。アクセスサーバ3は、これを保持し、
当該ユーザ1についての課金開始要求及び課金終了要求
に付加する。この時、RADIUSアカウンティングプ
ロトコルに従って、課金管理IDは第25番のアトリビ
ュートに記述される。
【0034】課金管理IDは、RADIUSアカウンテ
ィングプロトコルにおいて任意に追加することが許され
ている所定のアトリビュート、即ち、第25番のアトリ
ビュートである。従って、当該アトリビュートを使用し
てもRADIUSアカウンティングプロトコルを変更す
る必要がなく、また、当該アトリビュートを課金管理I
Dとして使用することは当該プロトコルにはかかわりな
いことである。
【0035】RADIUSサーバ5は、アクセスサーバ
3から受信した課金開始要求に基づいて、ユーザ1に対
する課金を行う。実際には、RADIUSサーバ5が、
課金管理IDを用いて、ユーザ1に対する課金を行う。
即ち、課金管理ID毎に接続時間を算出し、これに基づ
いて課金を算出する。算出した接続時間及び課金は、当
該課金管理IDについてのそれまでの課金情報テーブル
55における接続時間及び課金に加算される。
【0036】図5は、本発明のRADIUSシステムが
実行する認証処理及び課金処理を示す。
【0037】ユーザ1が、ネットワーク2に対して、接
続要求を送信する(処理#1)。
【0038】この接続要求を受信したネットワーク2
は、アクセスサーバ3に対して、接続要求を送信する
(処理#2)。この時、図4の場合、接続要求にユーザ
名(発信者番号)が付加される(図2(A)参照)。図
3の場合、接続要求にユーザ名(ID)及びパスワード
が付加される。
【0039】この接続要求を受信したアクセスサーバ3
は、RADIUSサーバ5に対して、認証要求を送信す
る(処理#3)。この時、図4の場合、接続要求にユー
ザ名(発信者番号)及びパスワード(暗号化されたSe
cret)が付加される(図2(B)参照)。図3の場
合、接続要求にユーザ名(ID)及びパスワード(暗号
化された当該パスワード)が付加される。
【0040】この認証要求を受信したRADIUSサー
バ5は、受信した認証情報とデータベースに存在する認
証情報とを比較し、両者が一致すれば、認証成功をアク
セスサーバ3に送信する(処理#4)。この時、認証が
成功したので、認証成功と共に課金管理IDも送信され
る。なお、この処理#4において両者が不一致の場合、
認証が失敗したと判断して、処理を終了する。
【0041】この認証成功(及び課金管理ID)を受信
したアクセスサーバ3は、ネットワーク2に対して、接
続完了通知を送信する(処理#5)。
【0042】この接続完了通知を受信したネットワーク
2は、ユーザ1に対して、接続完了通知を送信する(処
理#6)。
【0043】一方、認証成功を受信したアクセスサーバ
3は、RADIUSサーバ5に対して、課金開始要求を
送信する(処理#7)。この課金開始要求と共に、処理
#4において受信した課金管理IDも送信される。これ
を受信したRADIUSサーバ5は当該課金管理IDに
ついての課金処理を開始し、これをアクセスサーバ3に
通知する。
【0044】接続完了通知を受信したユーザ1は、各所
のサーバ6にアクセスして、所望の処理を行った後(サ
ービスを受けた後)、ネットワーク2に対して、切断要
求を送信する(処理#8)。
【0045】この切断要求を受信したネットワーク2
は、アクセスサーバ3に対して、切断要求を送信する
(処理#9)。
【0046】この切断要求を受信したアクセスサーバ3
は、RADIUSサーバ5に対して、課金終了要求を送
信する(処理#10)。この課金終了要求と共に、処理
#4において受信した課金管理IDも送信される。これ
を受信したRADIUSサーバ5は当該課金管理IDに
ついての課金処理を終了し、これをアクセスサーバ3に
通知する。
【0047】一方、アクセスサーバ3は、ネットワーク
2に対して、切断完了通知を送信する(処理#11)。
【0048】この切断完了通知を受信したネットワーク
2は、ユーザ1に対して、切断完了通知を送信する(処
理#12)。
【0049】図6(A)は、接続要求を受信したアクセ
スサーバ3における認証処理フローを示す。
【0050】当該受信した接続要求から、ユーザ名、例
えば発信者番号を読み取る(ステップS1)。
【0051】RADIUSサーバ5に対して、認証要求
を送信する(ステップS2)。例えば、図4の場合、ユ
ーザ名を「発信者番号」とし、パスワードは「暗号化さ
れたSecret」を用いる。図3の場合、ユーザ名を
「ID」とし、パスワードはその暗号化したものを用い
る。
【0052】RADIUSサーバ5からの応答を調べる
(ステップS3)。
【0053】当該応答が接続許可の場合、ユーザ1に対
して、接続完了を通知する(ステップS4)。
【0054】当該応答が接続拒否の場合、ユーザ1に対
して、接続拒否を通知する(ステップS5)。
【0055】図6(B)は、認証要求を受信したRAD
IUSサーバ5における認証処理フローを示す。
【0056】当該認証要求のユーザ名(即ち、ID又は
発信者番号)がデータベース(認証情報テーブル54、
課金情報テーブル55)に存在するか否かを調べる(ス
テップS11)。
【0057】存在する場合、更に、当該認証要求のパス
ワード(即ち、暗号化された当該パスワード又はSec
ret)がデータベースに存在するか否かを調べる(ス
テップS12)。
【0058】存在する場合、アクセスサーバ3に対し
て、接続許可を通知する(ステップS13)。
【0059】ステップS11において当該認証要求のI
Dがデータベースに存在しない場合、及び、ステップS
12において当該認証要求のパスワードがデータベース
に存在しない場合、アクセスサーバ3に対して、接続拒
否を通知する(ステップS14)。
【0060】図7は、課金開始要求を受信したRADI
USサーバ5における課金処理フローを示す。
【0061】当該課金開始要求から、課金管理IDを取
り出す(ステップS21)。
【0062】当該時刻を、当該課金管理IDについての
課金開始時間として記憶する(ステップS22)。
【0063】アクセスサーバ3に対して、課金開始を通
知する(ステップS23)。
【0064】課金終了要求を受信したか否かを調べる
(ステップS24)。受信しない場合、当該ステップS
24を繰り返す。
【0065】受信した場合、当該課金終了要求から、課
金管理IDを取り出す(ステップS25)。
【0066】ステップS22において記憶した課金開始
時間と現在の時刻とに基づいて、当該課金管理IDにつ
いての接続時間を算出し、これに基づいて、当該課金
(の額)を算出する(ステップS26)。
【0067】当該課金管理IDを用いて課金管理テーブ
ル55を検索して、抽出したエントリの「接続時間」
(及び「課金」)を更新する(ステップS27)。
【0068】
【発明の効果】以上説明したように、本発明によれば、
認証処理システムにおいて、アクセスサーバ及びRAD
IUSサーバの双方に予め備えられるパスワードとして
RADIUS通信用暗号鍵を用いることにより、認証の
ためにユーザ名とパスワードの双方を用いることができ
るので、RADIUSプロトコルを変更することなく、
高いセキュリティを得ることができ、各ユーザ毎にパス
ワードを設定し管理する必要をなくし、認証のためのメ
モリや秘密保持機能を追加する必要をなくすることがで
きる。
【0069】また、本発明によれば、課金処理システム
において、課金処理におけるユーザの識別がユーザ名で
はなく課金管理IDにより行うことにより、RADIU
Sプロトコルを遵守しつつ、利用者がIDを持たないユ
ーザ及びIDを持つユーザからアクセスして認証された
場合でも双方に対して同一の課金管理IDにより課金す
ることができるので、利用者について2つの課金情報が
作成されることを防止し、管理の負担やメモリ容量の増
加を避けることができ、利用者の負担の増加を避けるこ
ともできる。
【図面の簡単な説明】
【図1】認証処理及び課金処理システム構成図である。
【図2】認証処理システム説明図である。
【図3】認証処理システム説明図である。
【図4】認証処理システム説明図である。
【図5】認証処理及び課金処理説明図である。
【図6】認証処理フローである。
【図7】課金処理フローである。
【図8】従来技術説明図である。
【符号の説明】
1 ユーザ 2 ネットワーク 3 アクセスサーバ 4 LAN 5 RADIUSサーバ
───────────────────────────────────────────────────── フロントページの続き (72)発明者 山下 宏一 石川県河北郡宇ノ気町字宇野気ヌ98番地の 2 株式会社ピーエフユー内 Fターム(参考) 5B085 AC04 AE09 AE23 5J104 AA07 AA16 EA03 EA17 KA01 NA02 NA12 NA38 PA07 PA11

Claims (4)

    【特許請求の範囲】
  1. 【請求項1】 ユーザからアクセスされた場合に、RA
    DIUSプロトコルに従って、当該ユーザ名とパスワー
    ドとをRADIUSサーバに送るアクセスサーバと、 前記アクセスサーバから受信した前記ユーザ名とパスワ
    ードとを用いて前記ユーザの認証を行うRADIUSサ
    ーバとを備え、 前記アクセスサーバが、前記パスワードとしてRADI
    US通信用暗号鍵を前記RADIUSサーバに送り、 前記RADIUSサーバが、受信した前記ユーザ名と前
    記パスワードとしてのRADIUS通信用暗号鍵とを用
    いて、前記ユーザの認証を行うことを特徴とする認証処
    理システム。
  2. 【請求項2】 前記アクセスサーバが前記ユーザ名とし
    て当該ユーザの発信者番号を前記RADIUSサーバに
    送り、 前記RADIUSサーバが、前記ユーザ名としての当該
    ユーザの発信者番号と前記パスワードとしてのRADI
    US通信用暗号鍵とを用いて、前記ユーザの認証を行う
    ことを特徴とする請求項1に記載の認証処理システム。
  3. 【請求項3】 ユーザが認証された場合に、RADIU
    Sアカウンティングプロトコルに従って、課金開始要求
    をRADIUSサーバに送るアクセスサーバと、 前記アクセスサーバから受信した前記課金開始要求に基
    づいて、前記ユーザに対する課金を行うRADIUSサ
    ーバとを備え、 前記アクセスサーバが、当該ユーザ名とは異なる課金管
    理IDを前記課金開始要求に付加して、前記RADIU
    Sサーバに送り、 前記RADIUSサーバが、前記課金管理IDを用い
    て、前記ユーザに対する課金を行うことを特徴とする課
    金処理システム。
  4. 【請求項4】 前記課金管理IDは、前記RADIUS
    アカウンティングプロトコルにおける所定のアトリビュ
    ートであることを特徴とする請求項3に記載の課金処理
    システム。
JP2000176368A 2000-06-13 2000-06-13 認証処理システム及び課金処理システム Pending JP2001357017A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000176368A JP2001357017A (ja) 2000-06-13 2000-06-13 認証処理システム及び課金処理システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000176368A JP2001357017A (ja) 2000-06-13 2000-06-13 認証処理システム及び課金処理システム

Publications (1)

Publication Number Publication Date
JP2001357017A true JP2001357017A (ja) 2001-12-26

Family

ID=18678101

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000176368A Pending JP2001357017A (ja) 2000-06-13 2000-06-13 認証処理システム及び課金処理システム

Country Status (1)

Country Link
JP (1) JP2001357017A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004164580A (ja) * 2002-06-28 2004-06-10 Sony United Kingdom Ltd 情報信号へのデータの埋込
JP2006115344A (ja) * 2004-10-15 2006-04-27 Matsushita Electric Ind Co Ltd 無線ネットワークシステム、無線端末収容装置及び通信装置
US9378343B1 (en) * 2006-06-16 2016-06-28 Nokia Corporation Automatic detection of required network key type

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004164580A (ja) * 2002-06-28 2004-06-10 Sony United Kingdom Ltd 情報信号へのデータの埋込
JP4665206B2 (ja) * 2002-06-28 2011-04-06 ソニー ヨーロッパ リミテッド 情報信号へのデータの埋込
JP2006115344A (ja) * 2004-10-15 2006-04-27 Matsushita Electric Ind Co Ltd 無線ネットワークシステム、無線端末収容装置及び通信装置
JP4689225B2 (ja) * 2004-10-15 2011-05-25 パナソニック株式会社 無線ネットワークシステム、無線端末収容装置及び通信装置
US9378343B1 (en) * 2006-06-16 2016-06-28 Nokia Corporation Automatic detection of required network key type

Similar Documents

Publication Publication Date Title
EP1486025B1 (en) System and method for providing key management protocol with client verification of authorization
CN1681238B (zh) 用于加密通信的密钥分配方法及系统
JP3505058B2 (ja) ネットワークシステムのセキュリティ管理方法
US7398551B2 (en) System and method for the secure enrollment of devices with a clearinghouse server for internet telephony and multimedia communications
US20020035685A1 (en) Client-server system with security function intermediary
US7562224B2 (en) System and method for multi-session establishment for a single device
US20080010673A1 (en) System, apparatus, and method for user authentication
JP2003067326A (ja) ネットワーク上の資源流通システム、及び相互認証システム
US20110170696A1 (en) System and method for secure access
CN105556894A (zh) 网络连接自动化
US20070165582A1 (en) System and method for authenticating a wireless computing device
JPH1125048A (ja) ネットワークシステムのセキュリティ管理方法
CN100559752C (zh) 分布式应用环境内验证服务器的方法和系统
US20020095578A1 (en) System, method, and program for ensuring originality
JP2001186122A (ja) 認証システム及び認証方法
JP4013175B2 (ja) ユーザの簡易認証方法、認証サーバ、およびそのためのプログラムを格納した記録媒体
US8751673B2 (en) Authentication apparatus, authentication method, and data using method
CN110610418B (zh) 基于区块链的交易状态查询方法、系统、设备及存储介质
JP2001344205A (ja) サービス提供システムおよびサービス提供方法ならびに記録媒体
WO2002089407A2 (en) Accounting in peer-to-peer data communication networks
JP2009118267A (ja) 通信ネットワークシステム、通信ネットワーク制御方法、通信制御装置、通信制御プログラム、サービス制御装置およびサービス制御プログラム
US8516555B2 (en) Method and system for authenticating pay-per-use service using EAP
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
JP2003244123A (ja) 共通鍵管理システム、共通鍵管理サーバ、共通鍵管理方法、及び共通鍵管理プログラム
JP2005217679A (ja) 通信相手の認証を行う認証サーバ