JP2004133824A - Service provision system based on remote access authentication - Google Patents

Service provision system based on remote access authentication Download PDF

Info

Publication number
JP2004133824A
JP2004133824A JP2002299747A JP2002299747A JP2004133824A JP 2004133824 A JP2004133824 A JP 2004133824A JP 2002299747 A JP2002299747 A JP 2002299747A JP 2002299747 A JP2002299747 A JP 2002299747A JP 2004133824 A JP2004133824 A JP 2004133824A
Authority
JP
Japan
Prior art keywords
server
service
authentication
user terminal
remote access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002299747A
Other languages
Japanese (ja)
Other versions
JP4377120B2 (en
Inventor
Kazuhiko Osada
長田 和彦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2002299747A priority Critical patent/JP4377120B2/en
Publication of JP2004133824A publication Critical patent/JP2004133824A/en
Application granted granted Critical
Publication of JP4377120B2 publication Critical patent/JP4377120B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To enable single sign-on by remote access authentication at the time of server accommodation network connection. <P>SOLUTION: A gateway 7 is located in a connection point between a server accommodation network 8 and the Internet 1, and performs a process for the remote access authentication 51 for the connection of a user terminal 2 to the server accommodation network 8. When confirming success in the authentication, the gateway 7 transfers a remote access authentication result 52 to an authentication confirmation server 3. The user terminal 2 sends a service request 55 to a service server 4. When the service server 4 receives the service request 55, the service server 4 transmits authentication confirmation 56 to the authentication confirmation server 3, and the authentication confirmation server 3 sends a notification 57 of authentication completion back to the service server 4. When the service server 4 can obtain the confirmation of the authentication completion, the service server 4 sends requested service information to the user terminal 2. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
この発明は、インタネットに接続する際に必須となるインタネット接続用の認証を行えば、ユーザは各種サービスサーバへの接続に対し、認証を省略可能とするシングルサインオンサービス、システムに関する。
【0002】
【従来の技術】
従来技術に基づくサービス提供システムを図2に示す。ゲートウェイ7は、サーバ収容ネットワーク8とインタネット1の接続点に置かれ、ユーザ端末2がサーバ収容ネットワーク8に接続するためのリモートアクセス認証51の処理を行う。ゲートウェイ7は、認証が成功すれば、以後、ユーザ端末2から送出されるパケットをサーバ収容ネットワーク8に転送し、また、サーバ収容ネットワーク8につながるサービスサーバ4、5および6からユーザ端末2に送られるパケットをインタネット1に転送する。サーバ収容ネットワーク8に収容されるサービスサーバ4、5および6は、さまざまなサービス情報を蓄積しており、ユーザはユーザ端末2を通じて、各サービスサーバから欲しいサービス情報を取得する。ユーザ端末2がサービスサーバからサービス情報を取得するには、まずゲートウェイ7に対しリモートアクセス認証を行い、サーバ収容ネットワーク8へのアクセス権限を得た上で、次にユーザは認証確認サーバ103にて認証を行い、認証が成功したことを踏まえ、該サービス情報を取得可能となる。このときユーザは本来ならば、サービスサーバ4、5および6毎に認証を行う必要があるが、近年、シングルサインオンという技術により、認証確認サーバ103に一度認証を行えば、サービスサーバ4、5および6毎の認証を省略することが可能となった。これによりユーザは、サービスサーバ毎の複数の認証パスワードを記憶する必要がなくなるとともに、サービス情報の取得の度に必要であったパスワード入力が1度で済むようになった。
【0003】
以下に、従来のシングルサインオン技術の動作概要を説明する。ユーザ端末2は、まず初めにゲートウェイ7に対しリモートアクセス認証51を行う。ゲートウェイ7は、認証が成功すれば、以後、ユーザ端末2から送出されるパケットをサーバ収容ネットワーク8に転送し、また、サーバ収容ネットワーク8につながるサービスサーバからユーザ端末2に送られるパケットをインタネット1に転送する。
【0004】
ユーザ端末2は例えばサービスサーバ4に対しサービス情報を享受したい場合、その前にまず認証確認サーバ103に対し認証153を行う。認証とは例えばユーザのアカウント名およびパスワードの照合が上げられ、認証確認サーバ103は、ユーザ端末2からアカウント名およびパスワードとを受信すると、登録されているアカウント名およびパスワードとの比較を行う。認証が成功した場合、認証確認サーバ103は認証応答154をユーザ端末2に返送する。この後、ユーザ端末2はサービスサーバ4にサービス要求155を送る。サービスサーバ4はサービス要求155を受信すると、認証確認サーバ103に対し認証確認156を送信する。認証確認156の意味は、認証確認サーバ103は該ユーザが認証済みか否かを一元管理しており、各サービスサーバは認証確認サーバ103に行うことにより、認証済みか否かを知ることができるためである。認証確認156を受信すると、認証確認サーバ103は、ユーザ端末2は既に認証済みであるため、認証済みの通知157をサービスサーバ4に返送する。サービスサーバ4は認証済みであることの確認がとれると、要求されたサービス情報をユーザ端末2に対し送付する。さらにこの後、ユーザ端末2がサービスサーバ5に対しサービス情報を享受したい場合も、前述のようにユーザ端末2とサービスサーバ5との間でサービス要求155とサービス情報158のやりとりが、認証確認サーバ103とサービスサーバ5との間で認証確認156と認証済みの通知157のやりとりが行われる。
【0005】
なお、ユーザ端末2が認証確認サーバ103に対して認証153を行わずに、サービスサーバ4に対しサービス要求155を送出した場合は、認証確認サーバ103は認証確認156の応答として、認証未処理の通知157をサービスサーバ4に返送する。この結果、サービスサーバ4はユーザ端末2に対してサービス情報の送付は実施しない。
【0006】
従来のシングルサインオン技術に関する記載がある文献としては例えば非特許文献1がある。
【0007】
【非特許文献1】
Liberty Alliance Project, ”Liberty Bindings and Profiles Specification, Version 1.0”, 11 July 2002、[平成14年10月3日検索]、インターネット<http://www.projectliberty.org/specs/liberty−architecture−bindings−and−profiles−v1.0.pdf>
【0008】
【発明が解決しようとする課題】
リモートアクセス認証51後の、認証153からサービス情報158までの動作シーケンスは全て、従来の技術では例えばHTTPを用い行われる。HTTPはIP(Internet Protocol)やTCP(Transmission Control Protocol)の上位レイヤに位置する。すなわち、上記認証もIPより上位レイヤで行う処理であり、IPSec等のトンネリングプロトコルを用い、サーバ収容ネットワークへのリモートアクセスを行う際に必要となるリモートアクセス認証とは区別される。これによってユーザ端末2は、リモートアクセス認証と従来のシングルサインオンの認証の2種類の認証を行う必要がある。
【0009】
【課題を解決するための手段】
本出願は、前記2種類の認証を1つの認証に統一する、すなわち、サーバ収容ネットワーク接続時のリモートアクセス認証によりシングルサインオンを実現することを目的とするものである。本解決手段を図1を用い、以下に説明する。
【0010】
ゲートウェイ7は、サーバ収容ネットワーク8とインタネット1の接続点に置かれ、ユーザ端末2がサーバ収容ネットワーク8に接続するためのリモートアクセス認証51の処理を行う。ゲートウェイ7は、認証が成功すれば、以後、ユーザ端末2から送出されるパケットをサーバ収容ネットワーク8に転送し、また、サーバ収容ネットワーク8につながるサービスサーバからユーザ端末2に送られるパケットをインタネット1に転送する。
【0011】
ユーザ端末2からリモートアクセス認証51を受け、認証が成功であることを確認すると、ゲートウェイ7は、リモートアクセス認証51における認証結果であるリモートアクセス認証結果52を、認証確認サーバ3に転送する。リモートアクセス認証結果52が成功である場合、認証確認サーバ3は、ユーザ端末2を通じて認証を行ったユーザが認証済みであることを一元管理する。
【0012】
この後、ユーザ端末2は例えばサービスサーバ4に対しサービス情報を享受したい場合に、サービスサーバ4にサービス要求55を送る。サービスサーバ4はサービス要求55を受信すると、認証確認サーバ3に対し認証確認56を送信する。認証確認56を受信すると、認証確認サーバ3は、ユーザ端末2は既に認証済みであるため、認証済みの通知57をサービスサーバ4に返送する。サービスサーバ4は認証済みであることの確認がとれると、要求されたサービス情報をユーザ端末2に対し送付する。
【0013】
さらにこの後、ユーザ端末2がサービスサーバ5に対しサービス情報を享受したい場合も、前述のようにユーザ端末2とサービスサーバ5との間でサービス要求55とサービス情報58のやりとりが、認証確認サーバ3とサービスサーバ5との間で認証確認56と認証済みの通知57のやりとりが行われる。
【0014】
すなわち本手段は、サービスサーバにとって従来技術と全く同じ動作を維持しつつ、リモートアクセス認証51の1回の認証のみでシングルサインオンを実現する。
【0015】
【発明の実施の形態】
本発明の実施形態に基づくサービス提供システムを図1に示す。
【0016】
ゲートウェイ7は、サーバ収容ネットワーク8とインタネット1の接続点に置かれ、ユーザ端末2がサーバ収容ネットワーク8に接続するためのリモートアクセス認証51の処理を行う。ゲートウェイ7は、認証が成功すれば、以後、ユーザ端末2から送出されるパケットをサーバ収容ネットワーク8に転送し、また、サーバ収容ネットワーク8につながるサービスサーバからユーザ端末2に送られるパケットをインタネット1に転送する。
【0017】
ユーザ端末2からリモートアクセス認証51を受け、認証が成功であることを確認すると、ゲートウェイ7は、リモートアクセス認証51における認証結果であるリモートアクセス認証結果52を、認証確認サーバ3に転送する。リモートアクセス認証結果52が成功である場合、認証確認サーバ3は、ユーザ端末2を通じて認証を行ったユーザが認証済みであることを一元管理する。
【0018】
ここで、リモートアクセス認証結果52は、認証成功の場合にのみゲートウェイ7から認証確認サーバ3に転送され、これによって認証確認サーバ3は、ユーザ端末2を通じて認証を行ったユーザが認証済みであることを一元管理する方法を用いてもよい。
【0019】
この後、ユーザ端末2は例えばサービスサーバ4に対しサービス情報を享受したい場合に、サービスサーバ4にサービス要求55を送る。サービスサーバ4はサービス要求55を受信すると、認証確認サーバ3に対し認証確認56を送信する。認証確認56を受信すると、認証確認サーバ3は、ユーザ端末2は既に認証済みであるため、認証済みの通知57をサービスサーバ4に返送する。サービスサーバ4は認証済みであることの確認がとれると、要求されたサービス情報をユーザ端末2に対し送付する。
【0020】
さらにこの後、ユーザ端末2がサービスサーバ5に対しサービス情報を享受したい場合も、前述のようにユーザ端末2とサービスサーバ5との間でサービス要求55とサービス情報58のやりとりが、認証確認サーバ103とサービスサーバ5との間で認証確認56と認証済みの通知57のやりとりが行われる。
【0021】
ここでユーザ端末2が元々サービスサーバ6との接続が許可されていない場合に、ユーザ端末2がサービスサーバ6からサービス要求を行ったときの動作について言及する。認証確認サーバ3は、ユーザ端末2が接続してよいサービスサーバとしてサービスサーバ4および5を管理している。ユーザ端末2からのサービス要求に伴い、サービスサーバ6から送られる認証確認を認証確認サーバ3が受信すると、ユーザ端末2はサービスサーバ6への接続が許可されていないため、認証確認サーバ3はサービスサーバ6に認証未処理であることを通知する。これによって契約外のユーザ端末2がサービスサーバ6からサービス情報を不当に取得することを防ぐことができる。
【0022】
次に、ユーザ端末2が取得した各サービス情報が有料であり、この課金管理を認証確認サーバ3が行う場合の処理について図3を用い説明する。前述のサービスサーバ4からユーザ端末2にサービス情報58が送付された後、サービスサーバ4は認証確認サーバ3に対し、サービス情報取得の履歴情報61を送信する。これを受けると認証確認サーバ3は、図4に示す内部の履歴情報管理部12にてユーザ端末2を利用するユーザがサービス情報58を取得したことを管理する。さらに課金情報管理部13にて、該ユーザがサービス情報取得したことにより課せられる料金情報を管理する。また、認証確認サーバ3は、サービス情報取得の履歴情報61を受け取ったことを通知するために、履歴情報受信通知62をサービスサーバ4に返送する。
【0023】
なお、認証確認サーバ3は、前記料金情報に基づき、サービスサーバあるいはサービス情報を保有するサービス事業者の代わりに、該ユーザに対し料金徴収を行う課金代行サーバを備えてもよい。
【0024】
また、認証確認サーバ3とゲートウェイ7は一体化した場合や、認証確認サーバ3とサービスサーバ4ないし6のうちいずれか1つと一体化した場合も、本実施形態を逸脱しないことを追記する。
【0025】
また、本実施形態は、ユーザ端末2とゲートウェイ7間の通信がIPSecであり、リモートアクセス認証51がIPSec通信確立時に行われる認証とし、サービス要求55、認証確認56、認証済みあるいは認証未処理の通知57、サービス情報58、サービス情報取得の履歴情報61および履歴情報受信通知62をHTTPにより転送する場合にも適用することができ、現在実用化されている技術にも応用することが可能である。
【0026】
また、前述の動作シーケンスに追加し、図5に示すように、従来技術ではユーザ端末2と認証確認サーバ3との間で確認53および確認応答54がやりとりされる場合もある。この場合においてもリモートアクセス認証52の位置づけ、動作概要は前述と同様であり、確認53および確認応答54の有無に関わらず、本発明が適用できる。
【0027】
また、以上の説明では、リモートアクセス認証51は、ユーザ端末2を利用しているユーザを特定するための認証として説明したが、ユーザ端末2自身を特定するための認証としても、動作概要は基本的に変わらないことを追記する。
【0028】
さらに本発明は、
(1)認証確認サーバを所有するサービス事業者と、サービスサーバを所有するサービス事業者とが異なる形態、また、
(2)ゲートウェイを所有するサービス事業者と、サービスサーバを所有するサービス事業者とが異なる形態、また、
(3)認証確認サーバおよびゲートウェイを所有するサービス事業者と、サービスサーバを所有するサービス事業者とが異なる形態、また、
(4)認証確認サーバ、サーバ収容ネットワーク、およびゲートウェイを所有するサービス事業者と、サービスサーバを所有するサービス事業者とが異なる形態、また、
(5)認証確認サーバを所有するサービス事業者と、ゲートウェイを所有するサービス事業者とが異なる形態、
などにも適用されうることは言うまでもない。
【0029】
以上、本発明者によってなされた発明を、前記実施の形態に基づき具体的に説明したが、本発明は、前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【0030】
【発明の効果】
本発明のサービス提供システムは、リモートアクセス認証51の1回の認証のみでシングルサインオンを実現する。また、本発明のサービスサーバと認証確認サーバ間のシーケンスおよびサービスサーバとユーザ端末間のシーケンスは従来技術と同様であるため、従来技術から本発明技術に移行する場合に、サービスサーバの変更が伴わない利点がある。
【図面の簡単な説明】
【図1】本発明の実施形態のサービス提供システムを示す図である。
【図2】従来技術に基づくサービス提供システムを示す図である。
【図3】本発明の実施形態の課金管理処理を示す図である。
【図4】本発明の実施形態の認証確認サーバの内部構造を示す図である。
【図5】本発明の実施形態のユーザ端末と認証確認サーバとの間で通信が行われる場合のサービス提供システムを示す図である。
【符号の説明】
1…インタネット、2…ユーザ端末、3、103…認証確認サーバ、4〜6…サービスサーバ、7…ゲートウェイ、8…サーバ収容ネットワーク、11…認証状況管理部、12…履歴情報管理部、13…課金情報管理部、51…リモートアクセス認証、52…リモートアクセス認証結果、53…確認、54…確認応答、55…サービス要求、56、156…認証確認、57、157…認証済みあるいは認証未処理の通知、58、158…サービス情報、61…サービス情報取得の履歴情報、62…履歴情報受信通知。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a single sign-on service and a system that enable a user to omit authentication for connection to various service servers by performing authentication for Internet connection that is essential when connecting to the Internet.
[0002]
[Prior art]
FIG. 2 shows a service providing system based on the conventional technology. The gateway 7 is located at a connection point between the server accommodation network 8 and the Internet 1, and performs a process of remote access authentication 51 for connecting the user terminal 2 to the server accommodation network 8. If the authentication is successful, the gateway 7 forwards the packet sent from the user terminal 2 to the server accommodation network 8 and sends the packet to the user terminal 2 from the service servers 4, 5, and 6 connected to the server accommodation network 8. Is transferred to the Internet 1. The service servers 4, 5 and 6 accommodated in the server accommodation network 8 store various service information, and the user acquires desired service information from each service server through the user terminal 2. In order for the user terminal 2 to obtain service information from the service server, first, the remote access authentication is performed for the gateway 7 and the access authority to the server accommodation network 8 is obtained. Authentication is performed, and the service information can be obtained based on the success of the authentication. At this time, the user should originally perform authentication for each of the service servers 4, 5, and 6. However, in recent years, once authentication has been performed to the authentication confirmation server 103 by a single sign-on technique, In addition, it is possible to omit the authentication for each of the six. This eliminates the need for the user to store a plurality of authentication passwords for each service server, and allows the user to input the password once each time the service information is acquired.
[0003]
Hereinafter, an operation outline of the conventional single sign-on technology will be described. First, the user terminal 2 performs a remote access authentication 51 to the gateway 7. If the authentication is successful, the gateway 7 forwards the packet sent from the user terminal 2 to the server accommodation network 8 and also sends the packet sent from the service server connected to the server accommodation network 8 to the user terminal 2 to the Internet 1 Transfer to
[0004]
For example, when the user terminal 2 wants to enjoy the service information with the service server 4, the user terminal 2 first performs authentication 153 with the authentication confirmation server 103. Authentication refers to, for example, checking the account name and password of a user. Upon receiving the account name and password from the user terminal 2, the authentication check server 103 compares the account name and password with the registered account name and password. If the authentication is successful, the authentication confirmation server 103 returns an authentication response 154 to the user terminal 2. Thereafter, the user terminal 2 sends a service request 155 to the service server 4. Upon receiving the service request 155, the service server 4 sends an authentication confirmation 156 to the authentication confirmation server 103. The meaning of the authentication confirmation 156 means that the authentication confirmation server 103 centrally manages whether or not the user has been authenticated, and each service server can know whether or not the user has been authenticated by performing authentication to the authentication confirmation server 103. That's why. Upon receiving the authentication confirmation 156, the authentication confirmation server 103 returns an authenticated notification 157 to the service server 4 because the user terminal 2 has already been authenticated. When the service server 4 confirms that the user has been authenticated, the service server 4 sends the requested service information to the user terminal 2. Further, thereafter, when the user terminal 2 wants to enjoy the service information with respect to the service server 5, the exchange of the service request 155 and the service information 158 between the user terminal 2 and the service server 5 is performed as described above. An exchange of an authentication confirmation 156 and a notification 157 of authentication between the server 103 and the service server 5 are performed.
[0005]
When the user terminal 2 sends the service request 155 to the service server 4 without performing the authentication 153 to the authentication confirmation server 103, the authentication confirmation server 103 sends the unprocessed authentication The notification 157 is returned to the service server 4. As a result, the service server 4 does not send service information to the user terminal 2.
[0006]
For example, Non-Patent Literature 1 is a document that describes a conventional single sign-on technology.
[0007]
[Non-patent document 1]
Liberty Alliance Project, "Liberty Bindings and Profiles Specification, Version 1.0", 11 July 2002, [Search October 3, 2002], Internet <http: // www. projectliberty. org / specs / liberty-architecture-bindings-and-profiles-v1.0. pdf>
[0008]
[Problems to be solved by the invention]
All the operation sequences from the authentication 153 to the service information 158 after the remote access authentication 51 are performed using, for example, HTTP in the related art. HTTP is located in an upper layer of IP (Internet Protocol) or TCP (Transmission Control Protocol). That is, the above authentication is also a process performed at a layer higher than IP, and is distinguished from remote access authentication required when remote access to a server accommodation network is performed using a tunneling protocol such as IPSec. As a result, the user terminal 2 needs to perform two types of authentication: remote access authentication and conventional single sign-on authentication.
[0009]
[Means for Solving the Problems]
An object of the present application is to unify the above two types of authentication into one authentication, that is, to realize single sign-on by remote access authentication when connecting to a server accommodation network. This solution will be described below with reference to FIG.
[0010]
The gateway 7 is located at a connection point between the server accommodation network 8 and the Internet 1, and performs a process of remote access authentication 51 for connecting the user terminal 2 to the server accommodation network 8. If the authentication is successful, the gateway 7 forwards the packet sent from the user terminal 2 to the server accommodation network 8 and also sends the packet sent from the service server connected to the server accommodation network 8 to the user terminal 2 to the Internet 1 Transfer to
[0011]
Upon receiving the remote access authentication 51 from the user terminal 2 and confirming that the authentication is successful, the gateway 7 transfers the remote access authentication result 52 that is the authentication result of the remote access authentication 51 to the authentication confirmation server 3. If the remote access authentication result 52 is successful, the authentication confirmation server 3 centrally manages that the user who has authenticated through the user terminal 2 has been authenticated.
[0012]
Thereafter, the user terminal 2 sends a service request 55 to the service server 4, for example, when the user terminal 2 wants to enjoy the service information. Upon receiving the service request 55, the service server 4 sends an authentication confirmation 56 to the authentication confirmation server 3. Upon receiving the authentication confirmation 56, the authentication confirmation server 3 returns an authenticated notification 57 to the service server 4 because the user terminal 2 has already been authenticated. When the service server 4 confirms that the user has been authenticated, the service server 4 sends the requested service information to the user terminal 2.
[0013]
Further, thereafter, when the user terminal 2 wants to enjoy the service information with respect to the service server 5, as described above, the exchange of the service request 55 and the service information 58 between the user terminal 2 and the service server 5 is performed by the authentication confirmation server. An authentication confirmation 56 and an authenticated notification 57 are exchanged between the service server 3 and the service server 5.
[0014]
That is, this means realizes single sign-on only by one authentication of the remote access authentication 51 while maintaining the same operation as the conventional technology for the service server.
[0015]
BEST MODE FOR CARRYING OUT THE INVENTION
FIG. 1 shows a service providing system according to an embodiment of the present invention.
[0016]
The gateway 7 is located at a connection point between the server accommodation network 8 and the Internet 1, and performs a process of remote access authentication 51 for connecting the user terminal 2 to the server accommodation network 8. If the authentication is successful, the gateway 7 forwards the packet sent from the user terminal 2 to the server accommodation network 8 and also sends the packet sent from the service server connected to the server accommodation network 8 to the user terminal 2 to the Internet 1 Transfer to
[0017]
Upon receiving the remote access authentication 51 from the user terminal 2 and confirming that the authentication is successful, the gateway 7 transfers the remote access authentication result 52 that is the authentication result of the remote access authentication 51 to the authentication confirmation server 3. If the remote access authentication result 52 is successful, the authentication confirmation server 3 centrally manages that the user who has authenticated through the user terminal 2 has been authenticated.
[0018]
Here, the remote access authentication result 52 is transferred from the gateway 7 to the authentication confirmation server 3 only when the authentication is successful, whereby the authentication confirmation server 3 confirms that the user who has authenticated through the user terminal 2 has been authenticated. May be used in a unified manner.
[0019]
Thereafter, the user terminal 2 sends a service request 55 to the service server 4, for example, when the user terminal 2 wants to enjoy the service information. Upon receiving the service request 55, the service server 4 sends an authentication confirmation 56 to the authentication confirmation server 3. Upon receiving the authentication confirmation 56, the authentication confirmation server 3 returns an authenticated notification 57 to the service server 4 because the user terminal 2 has already been authenticated. When the service server 4 confirms that the user has been authenticated, the service server 4 sends the requested service information to the user terminal 2.
[0020]
Further, thereafter, when the user terminal 2 wants to enjoy the service information with respect to the service server 5, as described above, the exchange of the service request 55 and the service information 58 between the user terminal 2 and the service server 5 is performed by the authentication confirmation server. An authentication confirmation 56 and an authenticated notification 57 are exchanged between 103 and the service server 5.
[0021]
Here, the operation when the user terminal 2 makes a service request from the service server 6 when the connection of the user terminal 2 to the service server 6 is not originally permitted will be described. The authentication confirmation server 3 manages the service servers 4 and 5 as service servers to which the user terminal 2 may connect. When the authentication confirmation server 3 receives the authentication confirmation transmitted from the service server 6 in response to the service request from the user terminal 2, the user terminal 2 is not permitted to connect to the service server 6, and the authentication confirmation server 3 The server 6 is notified that authentication has not been performed. Thus, it is possible to prevent an uncontracted user terminal 2 from unduly acquiring service information from the service server 6.
[0022]
Next, a process in the case where each service information acquired by the user terminal 2 is charged and the authentication management server 3 performs this accounting management will be described with reference to FIG. After the service information 58 is sent from the service server 4 to the user terminal 2, the service server 4 transmits the service information acquisition history information 61 to the authentication confirmation server 3. Upon receipt of this, the authentication confirmation server 3 manages that the user using the user terminal 2 has acquired the service information 58 in the internal history information management unit 12 shown in FIG. Further, the charge information management unit 13 manages charge information imposed when the user obtains service information. In addition, the authentication confirmation server 3 returns a history information reception notification 62 to the service server 4 to notify that the history information 61 of the service information acquisition has been received.
[0023]
It should be noted that the authentication confirmation server 3 may include a billing proxy server that collects a fee for the user, instead of the service server or the service provider holding the service information, based on the fee information.
[0024]
In addition, it is added that the authentication confirmation server 3 and the gateway 7 do not deviate from the present embodiment even when they are integrated, or when the authentication confirmation server 3 and any one of the service servers 4 to 6 are integrated.
[0025]
Further, in the present embodiment, the communication between the user terminal 2 and the gateway 7 is IPSec, and the remote access authentication 51 is authentication performed when IPSec communication is established, and the service request 55, the authentication confirmation 56, the authenticated or unauthenticated The notification 57, the service information 58, the history information 61 of the service information acquisition, and the history information reception notification 62 can be applied to a case where the information is transferred by HTTP, and can also be applied to a technology currently in practical use. .
[0026]
In addition, in addition to the above-described operation sequence, as shown in FIG. 5, in the related art, a confirmation 53 and a confirmation response 54 may be exchanged between the user terminal 2 and the authentication confirmation server 3 in some cases. Also in this case, the positioning and the outline of the operation of the remote access authentication 52 are the same as those described above, and the present invention can be applied regardless of the presence or absence of the confirmation 53 and the confirmation response 54.
[0027]
Further, in the above description, the remote access authentication 51 has been described as authentication for specifying the user using the user terminal 2, but the operation outline is basically the same as authentication for specifying the user terminal 2 itself. Add that things do not change.
[0028]
Furthermore, the present invention
(1) A service provider who owns the authentication confirmation server is different from a service provider who owns the service server.
(2) A service provider who owns a gateway is different from a service provider who owns a service server.
(3) A service provider that owns the authentication confirmation server and the gateway is different from a service provider that owns the service server.
(4) A service provider that owns the authentication confirmation server, the server accommodation network, and the gateway is different from a service provider that owns the service server.
(5) A form in which the service provider owning the authentication confirmation server is different from the service provider owning the gateway,
It is needless to say that the present invention can be applied to such a case.
[0029]
As described above, the invention made by the inventor has been specifically described based on the embodiment. However, the present invention is not limited to the embodiment, and can be variously modified without departing from the gist of the invention. Needless to say,
[0030]
【The invention's effect】
The service providing system of the present invention realizes single sign-on with only one authentication of the remote access authentication 51. In addition, since the sequence between the service server and the authentication confirmation server and the sequence between the service server and the user terminal according to the present invention are the same as those in the related art, when changing from the conventional technology to the present invention, the service server is changed. There are no benefits.
[Brief description of the drawings]
FIG. 1 is a diagram showing a service providing system according to an embodiment of the present invention.
FIG. 2 is a diagram showing a service providing system based on a conventional technology.
FIG. 3 is a diagram showing a billing management process according to the embodiment of the present invention.
FIG. 4 is a diagram showing an internal structure of an authentication confirmation server according to the embodiment of the present invention.
FIG. 5 is a diagram illustrating a service providing system when communication is performed between a user terminal and an authentication confirmation server according to an embodiment of the present invention.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 ... Internet, 2 ... User terminal, 3 and 103 ... Authentication confirmation server, 4-6 ... Service server, 7 ... Gateway, 8 ... Server accommodation network, 11 ... Authentication status management part, 12 ... History information management part, 13 ... Accounting information management unit, 51: remote access authentication, 52: remote access authentication result, 53: confirmation, 54: confirmation response, 55: service request, 56, 156: authentication confirmation, 57, 157: authenticated or unprocessed Notification, 58, 158: Service information, 61: History information of service information acquisition, 62: History information reception notification.

Claims (14)

ユーザ端末がサーバ収容ネットワークに接続するためのリモートアクセス認証を行う手段と、該ユーザ端末のリモートアクセス認証が成功した場合に該ユーザ端末から送出されるパケットをサーバ収容ネットワークに転送することを許可する手段とを具備するゲートウェイと、
前記ユーザ端末からのサービス要求パケットを受信し、その応答として前記ユーザ端末にサービス情報を載せたサービス情報パケットを返送する手段を具備する1つまたは複数のサービスサーバを有するサービス提供システムにおいて、
前記ゲートウェイから前記リモートアクセス認証結果を受信する手段と、
前記サービスサーバから、該ユーザ端末が既に認証済みであるかを確認する認証確認を受信し、その応答として、前記リモートアクセス認証結果が成功の場合は、前記サービスサーバに認証済みであることを通知し、前記リモートアクセス認証結果が不成功の場合は、前記サービスサーバに認証未処理であることを通知する手段を具備する認証確認サーバを伴うサービス提供システム。Means for performing remote access authentication for connecting the user terminal to the network accommodating the server, and permitting the packet transmitted from the user terminal to be transferred to the network accommodating the server when the remote access authentication of the user terminal is successful; A gateway comprising means;
In a service providing system having one or more service servers including a unit that receives a service request packet from the user terminal and returns a service information packet including service information to the user terminal as a response,
Means for receiving the remote access authentication result from the gateway;
An authentication confirmation is received from the service server to confirm whether the user terminal has already been authenticated. If the remote access authentication result is successful, the service server notifies the service server that the user terminal has been authenticated. If the result of the remote access authentication is unsuccessful, the service providing system includes an authentication confirmation server including means for notifying the service server that authentication has not been performed. 前記リモートアクセス認証結果は、認証成功の場合にのみ前記ゲートウェイから転送され、前記認証確認サーバがこれを受信することを特徴とする請求項1記載のサービス提供システム。The service providing system according to claim 1, wherein the remote access authentication result is transferred from the gateway only when the authentication is successful, and the authentication confirmation server receives the result. 前記認証確認サーバは、
各ユーザまたは各ユーザ端末が接続してよいサービスサーバ、または各ユーザまたは各ユーザ端末が取得してよいサービス情報を管理し、
前記サービスサーバから該ユーザ端末が既に認証済みであるかを確認する認証確認を受信し、前記リモートアクセス認証結果が成功の場合において、該ユーザ端末が該サービスサーバに接続してよいまたはサービス情報を取得してよい場合には、前記サービスサーバに認証済みであることを通知し、該ユーザ端末が該サービスサーバヘの接続が許可されていないまたはサービス情報の取得が許可されていない場合には、前記サービスサーバに認証未処理であることを通知する手段を具備することを特徴とする請求項1または2記載のサービス提供システム。The authentication confirmation server,
Manages a service server to which each user or each user terminal may connect, or service information which each user or each user terminal may obtain,
An authentication confirmation is received from the service server to confirm whether the user terminal has already been authenticated. If the remote access authentication result is successful, the user terminal may connect to the service server or send service information. If it can be obtained, it notifies the service server that it has been authenticated, and if the user terminal is not permitted to connect to the service server or obtain service information, 3. The service providing system according to claim 1, further comprising means for notifying the service server that authentication has not been performed. 前記サービスサーバは、前記認証確認サーバより認証済みであることを通知された場合、前記ユーザ端末に対しサービス情報パケットを返送し、前記認証確認サーバより認証未処理であることを通知された場合、前記ユーザ端末に対しサービス情報パケットの転送を拒否することを特徴とする請求項1、2または3記載のサービス提供システム。When the service server is notified that the authentication has been authenticated from the authentication confirmation server, returns a service information packet to the user terminal, and when notified that the authentication has not been processed by the authentication confirmation server, 4. The service providing system according to claim 1, wherein transfer of a service information packet to the user terminal is rejected. 前記ユーザ端末がサーバ収容ネットワークに接続するためのリモートアクセス認証は、前記ユーザ端末を利用するユーザを特定するための認証であることを特徴とする請求項1、2、3または4記載のサービス提供システム。5. The service provision according to claim 1, wherein the remote access authentication for connecting the user terminal to the server accommodation network is an authentication for specifying a user who uses the user terminal. system. 前記ユーザ端末がサーバ収容ネットワークに接続するためのリモートアクセス認証は、前記ユーザ端末を特定するための認証であることを特徴とする請求項1、2、3または4記載のサービス提供システム。5. The service providing system according to claim 1, wherein the remote access authentication for connecting the user terminal to the server accommodation network is an authentication for specifying the user terminal. 前記サービスサーバは前記サービス情報パケットを前記ユーザ端末に返送したときに、該サービス情報を該ユーザ端末に転送したことを前記認証確認サーバに通知する手段を具備し、
前記認証確認サーバは、前記サービスサーバより受信する該サービス情報を該ユーザ端末に転送したことの通知に基づき、該ユーザまたは該ユーザ端末のサービス情報取得履歴を管理する手段を具備することを特徴とする請求項1ないし6のいずれか1項記載のサービス提供システム。When the service server returns the service information packet to the user terminal, the service server includes means for notifying the authentication confirmation server that the service information has been transferred to the user terminal,
The authentication confirmation server includes means for managing a service information acquisition history of the user or the user terminal based on a notification that the service information received from the service server has been transferred to the user terminal. The service providing system according to claim 1, wherein: 前記認証確認サーバは、前記該ユーザまたは該ユーザ端末のサービス情報取得履歴を管理する手段に基づき、該ユーザまたは該ユーザ端末がサービス情報取得したことにより課せられる料金情報を管理する手段を具備することを特徴とする請求項7記載のサービス提供システム。The authentication confirmation server includes means for managing fee information imposed by the user or the user terminal acquiring service information, based on the means for managing the service information acquisition history of the user or the user terminal. The service providing system according to claim 7, wherein: 前記認証確認サーバが管理する前記料金情報に基づき、サービスサーバまたはサービス情報を保有するサービス事業者の代わりに、該ユーザまたは該ユーザ端末所有者に対し料金徴収を行う課金代行サーバを備える請求項8記載のサービス提供システム。9. An accounting server for collecting a fee for the user or the owner of the user terminal, instead of a service server or a service provider having the service information, based on the fee information managed by the authentication confirmation server. The service providing system described. 前記ユーザ端末がサーバ収容ネットワークに接続するためのリモートアクセスはIPSecであり、前記サービスサーバからの該ユーザ端末が既に認証済みであるかを確認する認証確認、およびその応答はHTTP(Hypertext Transfer Protocol)であることを特徴とする請求項1ないし9のいずれか1項記載のサービス提供システム。The remote access for connecting the user terminal to the server accommodating network is IPSec, the authentication confirmation from the service server for confirming whether the user terminal has already been authenticated, and the response is HTTP (Hypertext @ Transfer @ Protocol). The service providing system according to any one of claims 1 to 9, wherein: 請求項1ないし10のいずれか1項記載のサービス提供システムにおける認証確認サーバ。An authentication confirmation server in the service providing system according to any one of claims 1 to 10. 請求項1ないし10のいずれか1項記載のサービス提供システムにおけるゲートウェイ。A gateway in the service providing system according to claim 1. 請求項1ないし10のいずれか1項記載のサービス提供システムにおける、前記サービスサーバ、前記認証確認サーバ、前記サーバ収容ネットワーク、前記ゲートウェイのうち、少なくとも前記認証確認サーバおよび前記ゲートウェイからなるシステム。The system according to any one of claims 1 to 10, comprising at least the authentication server and the gateway among the service server, the authentication server, the server accommodation network, and the gateway. 請求項1ないし10のいずれか1項記載のサービス提供システムにおける、前記サービスサーバ、前記認証確認サーバ、前記サーバ収容ネットワーク、前記ゲートウェイのうち、少なくとも前記認証確認サーバ、前記サーバ収容ネットワーク、および前記ゲートウェイからなるシステム。The service providing system according to any one of claims 1 to 10, wherein at least the authentication server, the server accommodation network, and the gateway among the service server, the authentication confirmation server, the server accommodation network, and the gateway. System consisting of
JP2002299747A 2002-10-15 2002-10-15 Service provision system based on remote access authentication Expired - Lifetime JP4377120B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002299747A JP4377120B2 (en) 2002-10-15 2002-10-15 Service provision system based on remote access authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002299747A JP4377120B2 (en) 2002-10-15 2002-10-15 Service provision system based on remote access authentication

Publications (2)

Publication Number Publication Date
JP2004133824A true JP2004133824A (en) 2004-04-30
JP4377120B2 JP4377120B2 (en) 2009-12-02

Family

ID=32288798

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002299747A Expired - Lifetime JP4377120B2 (en) 2002-10-15 2002-10-15 Service provision system based on remote access authentication

Country Status (1)

Country Link
JP (1) JP4377120B2 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007293811A (en) * 2006-03-31 2007-11-08 Nippon Telegr & Teleph Corp <Ntt> Proxy authentication system and method and authentication apparatus using therewith
JP2009163546A (en) * 2008-01-08 2009-07-23 Nec Corp Gateway, repeating method and program
JP2009211374A (en) * 2008-03-04 2009-09-17 Nippon Telegr & Teleph Corp <Ntt> Vpn multi-attribution system and authentication control method
JP2011114396A (en) * 2009-11-24 2011-06-09 Fujitsu Fip Corp Method, program and system of charging for content use
WO2012063724A1 (en) * 2010-11-12 2012-05-18 日立オートモティブシステムズ株式会社 In-car network system
GB2499363A (en) * 2011-11-30 2013-08-21 Metaswitch Networks Ltd Providing access and transmitting notifications
WO2014141518A1 (en) * 2013-03-11 2014-09-18 日立オートモティブシステムズ株式会社 Gateway device, and service providing system
JP2016045794A (en) * 2014-08-25 2016-04-04 日本電信電話株式会社 Network system and terminal registration method thereof

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007293811A (en) * 2006-03-31 2007-11-08 Nippon Telegr & Teleph Corp <Ntt> Proxy authentication system and method and authentication apparatus using therewith
JP2009163546A (en) * 2008-01-08 2009-07-23 Nec Corp Gateway, repeating method and program
JP2009211374A (en) * 2008-03-04 2009-09-17 Nippon Telegr & Teleph Corp <Ntt> Vpn multi-attribution system and authentication control method
JP2011114396A (en) * 2009-11-24 2011-06-09 Fujitsu Fip Corp Method, program and system of charging for content use
WO2012063724A1 (en) * 2010-11-12 2012-05-18 日立オートモティブシステムズ株式会社 In-car network system
JP2012104049A (en) * 2010-11-12 2012-05-31 Hitachi Automotive Systems Ltd In-vehicle network system
GB2499363A (en) * 2011-11-30 2013-08-21 Metaswitch Networks Ltd Providing access and transmitting notifications
GB2499363B (en) * 2011-11-30 2018-06-27 Metaswitch Networks Ltd Providing access and transmitting notifications
WO2014141518A1 (en) * 2013-03-11 2014-09-18 日立オートモティブシステムズ株式会社 Gateway device, and service providing system
US9906492B2 (en) 2013-03-11 2018-02-27 Hitachi Automotive Systems, Ltd. Gateway device, and service providing system
JP2016045794A (en) * 2014-08-25 2016-04-04 日本電信電話株式会社 Network system and terminal registration method thereof

Also Published As

Publication number Publication date
JP4377120B2 (en) 2009-12-02

Similar Documents

Publication Publication Date Title
CN103460674B (en) For supplying/realize the method for sending out notice session and pushing provision entity
JP4291213B2 (en) Authentication method, authentication system, authentication proxy server, network access authentication server, program, and recording medium
US20070186273A1 (en) Method and system for managing access authorization for a user in a local administrative domain when the user connects to an ip network
JP5813790B2 (en) Method and system for providing distributed wireless network services
EP2053779B1 (en) A system and method for authenticating the accessing request for the home network
JP4713338B2 (en) Method and apparatus for enabling re-authentication in a cellular communication system
EP1705869B1 (en) Method and apparatus for locating mobile device users within a wireless computer network
CN108496380B (en) Server and storage medium
CN105830414A (en) Secure network access using credentials
CN108028829A (en) For obtaining the method being initially accessed and relevant wireless device and network node to network
US20120246226A1 (en) System and method for sharing data from a local network to a remote device
JP5239341B2 (en) Gateway, relay method and program
CN103503408A (en) System and method for providing access credentials
JP3973961B2 (en) Wireless network connection system, terminal device, remote access server, and authentication function device
US10637850B2 (en) Method and system for accessing service/data of a first network from a second network for service/data access via the second network
JP2006217196A (en) Method and system for authenticating radio lan
AU2006235867A1 (en) Network system, proxy server, session management method, and program
JP5565408B2 (en) ID authentication system, ID authentication method, authentication server, terminal device, authentication method of authentication server, communication method of terminal device, and program
JP2021522757A (en) Non-3GPP device access to core network
CN105722072A (en) Business authorization method, device, system and router
JP2004133824A (en) Service provision system based on remote access authentication
JP5260467B2 (en) Access control system and access control method
JP2009217722A (en) Authentication processing system, authentication device, management device, authentication processing method, authentication processing program and management processing program
WO2015100874A1 (en) Home gateway access management method and system
JP2006270431A (en) Call controller, terminal, their programs, and communication channel establishment method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050422

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080620

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080701

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080828

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090908

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090910

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120918

Year of fee payment: 3