JP2004355073A - ネットワーク認証とシングルサインオンの一括認証方法及びシステム - Google Patents
ネットワーク認証とシングルサインオンの一括認証方法及びシステム Download PDFInfo
- Publication number
- JP2004355073A JP2004355073A JP2003148635A JP2003148635A JP2004355073A JP 2004355073 A JP2004355073 A JP 2004355073A JP 2003148635 A JP2003148635 A JP 2003148635A JP 2003148635 A JP2003148635 A JP 2003148635A JP 2004355073 A JP2004355073 A JP 2004355073A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user terminal
- server
- authenticated
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】ネットワーク接続事業者に対する認証とリバティアライアンスにおけるシングルサインオンに対応しているWEBサービス提供事業者に対する認証を1回で済ますことを可能とするネットワーク認証とシングルサインオンの一括認証方法及びシステムの提供。
【解決手段】ユーザ端末1がWEBサーバ4に接続を試みると、ゲートウェイ2が認証されているか否かにつき判断し、認証されていなければ認証サーバ3にリダイレクション指示を出し、認証サーバ3は当該ユーザ端末1に認証処理を要求し、当該ユーザ端末1が認証処理を実行後WEBサーバ4に接続すると、当該WEBサーバ4がシングルサインオンにより認証サーバ3に対して認証情報を要求して認証判断をする特徴的方法及びシステム。
【選択図】図1
【解決手段】ユーザ端末1がWEBサーバ4に接続を試みると、ゲートウェイ2が認証されているか否かにつき判断し、認証されていなければ認証サーバ3にリダイレクション指示を出し、認証サーバ3は当該ユーザ端末1に認証処理を要求し、当該ユーザ端末1が認証処理を実行後WEBサーバ4に接続すると、当該WEBサーバ4がシングルサインオンにより認証サーバ3に対して認証情報を要求して認証判断をする特徴的方法及びシステム。
【選択図】図1
Description
【0001】
【発明の属する技術分野】
本発明は、ユーザがWEBサービスを利用する際の認証、特にリバティーアライアンスが提供するシングルサインオンに対応しているWEBサービスを利用する場合における認証とネットワークに接続する際の認証を一括して行うネットワーク認証とシングルサインオンの一括認証方法及びシステムに関する。
【0002】
【従来の技術】
従来、ユーザが各種ネットワークサービスの提供を受ける際、ユーザは、先ず、インターネットサービスプロバイダ等のネットワーク事業者の保有する装置に対して認証作業を行い、次に、ユーザが要求しているサービスを提供するWEBサーバの認証を受けなければならなかった。
【0003】
一方で、サービス事業者が提携しあい、ユーザが一度認証すると、各々のサービス事業者がその認証情報を利用し、再度の認証を不要とするシングルサインオンが提案され、実施されている。
【0004】
これは、リバティーアライアンス計画の第1フェーズの技術仕様で、認証に関する情報をアイデンティティとして連携し、各種サービス事業者がこれを利用することにより、ユーザ側から見れば、IDP(Identity Provider )に対して認証を行うと、そのIDPと提携関係にあるサービス事業者に対しては、再度認証を行う必要が無く、何度も認証を行わなければならない煩わしさを回避できるという特徴を有している。
【0005】
ここで、リバティアライアンスにつき参考となる先行技術文献情報を以下に列挙しておく。
【非特許文献】
“リバティアライアンスの標準化動向”NTT技術ジャーナル、p79−80、平成15年3月1日電気通信協会発行
【非特許文献】
“Liberty Alliance Project”[online]、[2003年4月28日検索]、インターネット、<URL:http://www.projectliberty.org/>
【0006】
【発明が解決しようとする課題】
しかしながら、シングルサインオンが実現したとしても、ユーザがWEBサービスの提供を受ける場合には、インターネットサービスプロバイダ等のネットワーク事業者の保有する装置に対してと、シングルサインオンを提供する第三者認証機関(Trusted Third Party)に対しての各1回づつ、計2回認証する必要がある。
【0007】
また、ユーザが公共無線LANサービスや携帯電話等の複数のサービスの提供を受ける際には、ユーザが移動するたび、または利用するネットワークを切り替えるたびに再度ネットワーク事業者に対して認証を行う必要があり、認証作業の煩わしさを完全に回避することはできなかった。
【0008】
ここにおいて、本発明の解決すべき主要な目的は、次の通りである。
即ち、本発明の第1の目的は、ユーザがWEBサービスの提供を受ける際に、ネットワーク接続事業者の保有する装置に対してと、WEBサービスを提供する事業者の保有するWEBサーバに対する認証を1回で行うことを可能にするネットワーク認証とシングルサインオンの一括認証方法及びシステムを提供せんとするものである。
【0009】
本発明の第2の目的は、ユーザが公共無線LANサービスや携帯電話等の複数のサービスの提供を受ける場合において、ユーザが移動したり、ネットワークの切替えを行った際に再度のネットワークの認証を不要とするローミングを可能とするネットワーク認証とシングルサインオンの一括認証方法及びシステムを提供せんとするものである。
【0010】
本発明の他の目的は、明細書、図面、特に特許請求の範囲の各請求項の記載から自ずと明らかとなろう。
【0011】
【課題を解決するための手段】
本発明方法は、上記課題の解決に当たり、ユーザ端末と、リバティーアライアンスにおけるシングルサインオンを実現する第三者認証機関となる認証サーバと、前記ユーザ端末からの接続に対して特定の前記認証サーバへの接続を許可するゲートウェイと、シングルサインオンの提携関係にある各種サービスプロバイダのWEBサービスを提供するWEBサーバとがネットワークを介して接続されている環境において、前記ユーザ端末がWEBサービスの提供を受ける際の認証を行う方法であって、前記ユーザ端末が任意のWEBサーバに接続を試みると、前記ゲートウェイは当該ユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対して前記認証サーバへリダイレクションにより接続するように指示を出し、前記認証サーバは当該リダイレクション指示に従って接続してきたユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対し、認証処理を行うよう要求し、当該ユーザ端末が認証処理を行った結果、認証が成功すれば、前記認証サーバは、前記ゲートウェイに当該ユーザ端末によるネットワークの利用を可能にするように指示を出し、当該認証サーバの接続継続機能が有効であれば、当該ユーザ端末には認証処理が完了したことを通知し、無効であれば最初に当該ユーザ端末が接続を試みた前記WEBサーバにリダイレクションするよう指示を出し、当該ユーザ端末が、ネットワーク利用中に当該ユーザ端末と提携関係にあるWEBサーバに接続すると、当該WEBサーバが当該ユーザ端末を認証した前記認証サーバに対し、リバティアライアンスのシングルサインオン機能により認証情報を要求してその結果によりサービスの可否を判断し、認証を受けていればWEBサービスを提供する特徴的構成手法を講じる。
【0012】
本発明システムは、上記課題の解決に当たり、ユーザ端末と、リバティーアライアンスにおけるシングルサインオンを実現する第三者認証機関となる認証サーバと、前記ユーザ端末からの接続に対して特定の前記認証サーバへの接続を許可するゲートウェイと、シングルサインオンの提携関係にある各種サービスプロバイダのWEBサービスを提供するWEBサーバとがネットワークを介して接続されている環境において、前記ユーザ端末がWEBサービスの提供を受ける際の認証を行うシステムであって、前記ゲートウェイは、前記ユーザ端末が任意のWEBサーバに接続を試みると、当該ユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対して前記認証サーバへリダイレクションにより接続する旨の指示を出すように機能構成され、前記認証サーバは、当該リダイレクションされてきたユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対し、認証処理を行うよう要求するとともに、当該ユーザ端末が認証処理を行った結果、認証が成功すれば、前記ゲートウェイに当該ユーザ端末によるネットワークの利用を可能にするように指示を出す一方、当該認証サーバの接続継続機能が有効であれば、当該ユーザ端末には認証処理が完了したことを通知し、無効であれば、最初に当該ユーザ端末が接続を試みた前記WEBサーバにリダイレクションする旨の指示を出すよう機能構成され、前記WEBサーバは、前記ユーザ端末から接続されると当該ユーザ端末を認証した認証サーバに対し、リバティーアライアンスのシングルサインオン機能により認証情報を要求してその結果によりサービスの可否を判断し、認証を受けていればWEBサービスを提供するよう機能構成される特徴的構成手段を講じる。
【0013】
更に詳説すると、当該課題の解決では、本発明が次に列挙する新規な特徴的構成手法又は手段を採用することにより、上記目的を達成するようになされる。
【0014】
本発明方法の第1の特徴は、ユーザ端末と、リバティーアライアンスにおけるシングルサインオンを実現する第三者認証機関となる認証サーバと、前記ユーザ端末からの接続に対して特定の前記認証サーバへの接続を許可するゲートウェイと、シングルサインオンの提携関係にある各種サービスプロバイダのWEBサービスを提供するWEBサーバとがネットワークを介して接続されている環境において、前記ユーザ端末がWEBサービスの提供を受ける際の認証を行う方法であって、前記ユーザ端末が任意のWEBサーバに接続を試みると、前記ゲートウェイは当該ユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対して前記認証サーバへリダイレクションにより接続するように指示を出し、前記認証サーバは当該リダイレクション指示に従って接続してきたユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対し、認証処理を行うよう要求し、当該ユーザ端末が認証処理を行った結果、認証が成功すれば、前記認証サーバは、前記ゲートウェイに当該ユーザ端末によるネットワークの利用を可能にするように指示を出し、当該認証サーバの接続継続機能が有効であれば、当該ユーザ端末には認証処理が完了したことを通知し、無効であれば最初に当該ユーザ端末が接続を試みた前記WEBサーバにリダイレクションするよう指示を出し、当該ユーザ端末が、ネットワーク利用中に当該ユーザ端末と提携関係にあるWEBサーバに接続すると、当該WEBサーバが当該ユーザ端末を認証した前記認証サーバに対し、リバティアライアンスのシングルサインオン機能により認証情報を要求してその結果によりサービスの可否を判断し、認証を受けていればWEBサービスを提供してなるネットワーク認証とシングルサインオンの一括認証方法の構成採用にある。
【0015】
本発明方法の第2の特徴は、上記本発明方法の第1の特徴における認証サーバは、複数のネットワークインターフェースを有し、イントラネット環境とインターネット環境の両方から接続自在に構成されてなるネットワーク認証とシングルサインオンの一括認証方法の構成採用にある。
【0016】
本発明方法の第3の特徴は、上記本発明方法の第1の特徴におけるゲートウェイは、前記ユーザ端末が前記特定のアプリケーションで接続要求を行わなかった場合には、当該特定のアプリケーションで特定の認証サーバに対して接続するように指示を出し、前記ユーザ端末は、前記ゲートウェイから前記指示が出された場合には、当該指示にある特定のアプリケーションで特定の認証サーバに対して接続を行ってなるネットワーク認証とシングルサインオンの一括認証方法の構成採用にある。
【0017】
本発明方法の第4の特徴は、上記本発明方法の第1、第2又は第3の特徴における認証サーバが、前記リダイレクションされてきたユーザ端末を認証していないと判断した場合には、当該ユーザ端末上のコモンドメインクッキーにより提携関係にある他の認証サーバで認証が既に行われているか否かを判断し、当該他の認証サーバにて既に認証されている場合には、リバティーアライアンスのシングルサインオン機能による認証情報の授受により認証状態を判断し、一方で、前記ユーザ端末の認証をした場合には、自己が認証したことを前記ユーザ端末上のコモンドメインクッキーに記述してなるネットワーク認証とシングルサインオンの一括認証方法の構成採用にある。
【0018】
本発明方法の第5の特徴は、上記本発明方法の第1、第2、第3又は第4の特徴におけるゲートウェイが、前記認証サーバによる認証が成功したことの通知により、当該認証が成功したユーザ端末のMACアドレス又はIPアドレスをリストに登録し、一方、前記ユーザ端末が既に認証を受けているか否かの判断を行う際には、前記ユーザ端末のMACアドレス又はIPアドレスが前記リストに登録されているか否かにより行ってなるネットワーク認証とシングルサインオンの一括認証方法の構成採用にある。
【0019】
本発明システムの第1の特徴は、ユーザ端末と、リバティーアライアンスにおけるシングルサインオンを実現する第三者認証機関となる認証サーバと、前記ユーザ端末からの接続に対して特定の前記認証サーバへの接続を許可するゲートウェイと、シングルサインオンの提携関係にある各種サービスプロバイダのWEBサービスを提供するWEBサーバとがネットワークを介して接続されている環境において、前記ユーザ端末がWEBサービスの提供を受ける際の認証を行うシステムであって、前記ゲートウェイは、前記ユーザ端末が任意のWEBサーバに接続を試みると、当該ユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対して前記認証サーバへリダイレクションにより接続する旨の指示を出すように機能構成され、前記認証サーバは、当該リダイレクションされてきたユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対し、認証処理を行うよう要求するとともに、当該ユーザ端末が認証処理を行った結果、認証が成功すれば、前記ゲートウェイに当該ユーザ端末によるネットワークの利用を可能にするように指示を出す一方、当該認証サーバの接続継続機能が有効であれば、当該ユーザ端末には認証処理が完了したことを通知し、無効であれば、最初に当該ユーザ端末が接続を試みた前記WEBサーバにリダイレクションする旨の指示を出すよう機能構成され、前記WEBサーバは、前記ユーザ端末から接続されると当該ユーザ端末を認証した認証サーバに対し、リバティーアライアンスのシングルサインオン機能により認証情報を要求してその結果によりサービスの可否を判断し、認証を受けていればWEBサービスを提供するよう機能構成されてなるネットワーク認証とシングルサインオンの一括認証システムの構成採用にある。
【0020】
本発明システムの第2の特徴は、上記本発明システムの第1の特徴における認証サーバが、複数のネットワークインターフェースを有し、イントラネット環境とインターネット環境の両方から接続自在に構成されてなるネットワーク認証とシングルサインオンの一括認証システムの構成採用にある。
【0021】
本発明システムの第3の特徴は、上記本発明システムの第1又は第2の特徴におけるゲートウェイが、前記ユーザ端末がHTTP/HTTPSで接続要求を行わなかった場合には、HTTP/HTTPSで特定の認証サーバに対して接続するように指示を出すよう機能構成され、前記ユーザ端末は、前記ゲートウェイから前記指示が出された場合には、HTTP/HTTPSで特定の認証サーバに対して接続自在に機能構成されてなるネットワーク認証とシングルサインオンの一括認証システムの構成採用にある。
【0022】
本発明システムの第4の特徴は、上記本発明システムの第1、第2又は第3の特徴における認証サーバは、前記リダイレクションされてきたユーザ端末が認証されていないと判断された場合には、当該ユーザ端末上のコモンドメインクッキーにより提携関係にある他の認証サーバで認証が既に行われているか否かを判断し、当該他の認証サーバにて既に認証されている場合には、リバティーアライアンスのシングルサインオン機能による認証情報の授受により認証状態を判断し、一方で、前記ユーザ端末の認証をした場合には、自己が認証したことを前記ユーザ端末上のコモンドメインクッキーに記述するよう機能構成されてなるネットワーク認証とシングルサインオンの一括認証システムの構成採用にある。
【0023】
本発明システムの第5の特徴は、上記本発明システムの第1、第2、第3又は第4の特徴におけるゲートウェイが、前記認証サーバによる認証が成功したことの通知により、当該認証が成功したユーザ端末のMACアドレス又はIPアドレスをリストに登録し、一方、接続してきた前記ユーザ端末が既に認証を受けているか否かにつき判断する際には、前記ユーザ端末のMACアドレス又はIPアドレスが前記リストに登録されているか否かで判断するよう機能構成されてなるネットワーク認証とシングルサインオンの一括認証システムの構成採用にある。
【0024】
【発明の実施の形態】
以下、添付図面を参照して、本発明の実施の形態を詳細に説明する。
【0025】
(システム例1)
図1に本発明の実施形態に係るシステム例1のシステム構成図を示す。本図において、ネットワーク認証とシングルサインオンの一括認証システムαは、ゲートウェイ2、認証サーバ3及びサービスプロバイダ4がそれぞれインターネットNでそれぞれ接続され、構築されている。また、ユーザ端末1はインターネットサービスプロバイダ等のネットワーク接続事業者のゲートウェイ2を介してインターネットNに接続される。ここで、本図においては、各構成要素が1台づつ表されているが、便宜上のものであることは当然であり、実際はそれぞれ1以上の構成要素からなる。
【0026】
ユーザ端末1は、たとえば、パーソナルコンピュータ、無線LANに対応している端末、PHS等であり、ゲートウェイ2に指定されるHTTP(HyperText Transfer Protocol )、HTTPS(HyperText Transfer Protocol Security)での通信が可能なWEBブラウザ等のアプリケーションを保有し、またセッション管理情報としてクッキーが利用可能に構築される。
【0027】
一方、各種サービスを提供するサービスプロバイダに設置されるWEBサーバ4は、リバティーアライアンスのシングルサインオン提携のサービス事業者の管理下にあり、後述する認証サーバ3による認証情報を利用可能に機能構成されているものである。また、本願発明においては、当該ユーザ端末1に対して認証サーバ3とシングルサインオンの提携関係にないサービスプロバイダが管理する1以上のWEBサーバ(図示せず)もその構成要素としており、ユーザ端末1がこのようなWEBサーバに接続する際には、認証サーバ3とのシングルサインオンによる認証は行われない。
【0028】
そして、WEBサーバ4は、シングルサインオン機能により取得した認証情報の内容が自己のサイトの認証ポリシーを満たせば、対応するユーザ端末1に対してWEBサービスを提供するように設定されている。
【0029】
ゲートウェイ2は、インターネットサービスプロバイダによって管理され、認証していないユーザ端末1に対しては、上記した特定のホストへの通信のみを受け付ける様に機能構成されている。ここで、もし、認証サーバ3がイントラネット環境に設置されている場合には、特定のホストへの接続のみを許可する通信制御機能は不要とすることも可能である。
【0030】
そして、ユーザ端末1からWEBサービスの提供を受けるためにインターネットNへの接続要求を受けると、ユーザ端末1のMACアドレス又はIPアドレス等のソースアドレスがリストに登録されているか否か(後述する認証サーバ3によるユーザ端末1の認証成功通知により登録する。)を確認することにより、当該ユーザ端末1が認証されているか否かを判断する。
【0031】
上記判断において、当該ユーザ端末1が認証されていれば、インターネットNへの接続を許可し、要求したURI(Uniform Resource Identifier )で特定されるWEBサーバ4への接続を可能とし、認証が未だ為されていなければ、当該ユーザ端末1の接続先を特定の認証サーバ3にリダイレクトするよう機能構成される。
【0032】
認証サーバ3は、インターネットサービスプロバイダ等のネットワークサービス提供者(又は当該者が信頼する第三者でもよい。)によって管理されるものであり、リバティーアライアンスのシングルサインオンを実現するための第三者認証機関(リバティーアライアンスにおけるIdentity Providerに該当)としての役割を持つものである。
【0033】
そして、ユーザ端末1がリダイレクトにより接続されると、クッキーを利用して、当該ユーザ端末1が認証されているか否かを判断し、認証が未だ為されていなければ、ユーザ端末1に対して、SSL(Secure Sockets Layer)やTLS(Transport Layer Security)等のクライアント認証や、ユーザIDやパスワードを用いて行うベーシック認証等の認証処理を要求するよう機能構成されている。
【0034】
上記の認証処理の要求によりユーザ端末1が認証処理を実行すると、認証サーバ3は、ユーザ端末1による認証が成功したか否かを判断し、失敗した場合にあっては、その旨を当該ユーザ端末1に通知し、成功した場合にあっては、ゲートウェイ2にその旨を通知するとともに、ユーザ端末1にもその旨を通知すると同時に、認証が成功したことの証明としてユーザ端末1上のクッキーを用いて、認証済みであるセッションの確立を実施し、さらにコモンドメインクッキーを用いて自身のIDを埋め込む。このコモンドメインクッキーは認証サーバ3と提携する事業者によって閲覧可能となっているものである。
【0035】
また、認証サーバ3は、接続継続機能を有していてもよく、上記判断において認証が成功したならば、ユーザ端末1が最初に接続要求をしていたURIによって特定されるWEBサーバ4にリダイレクトするようにユーザ端末1に指示を送信するよう機能構成されてもよい。
【0036】
以上説明してきた通り、ユーザ端末1は、認証サーバ3による認証命令により認証作業を1回行うだけで、インターネットサービスプロバイダ等のネットワーク接続とWEBサービスへのシングルサインオンが実現可能となる。
【0037】
また、本システム例1では、認証サーバ3は、ゲートウェイ2やWEBサーバ4とは、インターネットNを介して接続されていたが、ゲートウェイ2とイントラネット環境で構築されてもよい。
【0038】
このとき、認証サーバ3は、複数のネットワークインターフェースによりイントラネット環境とインターネットN環境の両方にネットワークのコネクティビティを保有し、イントラネットとインターネットNでは異なる情報がDNS(Domain Name System)に記録されることで、ユーザ端末1、契約関係にあるWEBサーバ4や他の認証サーバから認証サーバ3に接続されるとき、インターネットNからはインターネットN側のインターフェースに、イントラネットからはイントラネット側のインターフェースを通して接続される。これにより、ゲートウェイ2において、認証サーバ3のみ接続を可能にする制御が不要となり、更にインターネット側のインターフェースからの接続に対して可能な処理に制限を加えてセキュリティーの向上を計れる。
【0039】
(方法例1)
次に、システム例1に対応する方法例1を図2、図3、図4を参照しながら説明する。これらの図は、方法例1の動作を示すシーケンス図である。
【0040】
先ず、ユーザは無線LANやPHS等のネットワーク接続用デバイスであるユーザ端末1を用いてインターネットNに接続要求する(ST1)。なお、本方法例1を説明するにあたり、便宜上、この時点で当該ユーザ端末1は認証されていないものとする。このとき、ユーザ端末1は、ゲートウェイ2により指定されている特定のアプリケーション(WEBブラウザ)を用いてサービスプロバイダのWEBサーバ4に接続を要求することになる(ST1)。
【0041】
ゲートウェイ2は、ユーザ端末1による接続要求に対して、当該ユーザ端末1が認証を受けているか否かを判断する(ST2)。このとき、ユーザ端末1のMACアドレス又はIPアドレスがゲートウェイ2の認証リストに登録されているか否かにより、当該ユーザ端末1の認証状態を判断する。上述したように、この時点では、当該ユーザ端末1は認証を受けていないので(図2のST2においてNOと判断された場合)、ユーザ端末1に対して、特定の認証サーバ3に接続するように、リダイレクション指示を出す(ST3)。すると、ユーザ端末1は指示された特定の認証サーバ3に接続を試みる。また、認証が済んでいれば、ユーザ端末1が要求したURIで特定されるWEBサーバ4への接続を許可する。
【0042】
認証サーバ3は、リダイレクションを受けて接続してきたユーザ端末1が既に、認証を受けているか否かにつき判断を行う(ST4)。そして、認証が済んでいない場合には(ST4においてNOと判断)、ユーザ端末1に対して認証処理を行うよう要求を出す(ST5)。一方で、認証が済んでいれば(ST4においてYESと判断)、処理は後述するST12(図3)から実行されることになるが、ここでは、説明を省略する。
【0043】
認証サーバ3から認証要求(ST5)を受けたユーザ端末1は、認証処理を認証サーバ3との間で実行する(ST6)。この際の認証は、SSL若しくはTLS等のクライアント認証、又はベーシック認証である。
【0044】
そして、ユーザ端末1が上記認証処理(ST6)を実行すると、認証サーバ3は、認証が成功したか否かにつき判断する(ST7)。認証が失敗に終わった場合(図3のST7においてNGと判断)には、ユーザ端末1に対して認証失敗通知をし(ST8)、通知を受けたユーザ端末1は処理を終了する(ST9)。ここでは、ユーザ端末1が再度認証サーバ3に対して認証要求するようにしてもよい。一方で、認証サーバ3も処理を終了する(ST10)。
【0045】
上記判断処理(ST7)で認証が成功したと判断されれば(ST7においてOKと判断)、認証サーバ3は、認証が成功した旨をクッキーに、自己が認証した旨をコモンドメインクッキーに書き込む(ST11)。このクッキーに書きこまれた認証情報は、認証サーバ3がユーザ端末1の認証状態を判断するのに利用される。そして、ゲートウェイ2に対して認証成功通知をする(ST12)。
【0046】
ここで、認証サーバ3が接続継続機能が利用可能な状態であったならば(ST13でYESと判断)、図3に示すとおり、ユーザが最初に接続要求していたURIにて特定されるWEBサーバへリダイレクション指示を出し(ST17)、接続継続機能が利用不可の状態であれば、ユーザ端末1に対して認証成功通知をし(ST14)、処理を終了する(ST16)。リダイレクション指示を受けたユーザ端末1は、当初接続を要求していたURIにて特定されるサービスプロバイダのWEBサーバ4へ自動的に接続処理を実行することになる。
【0047】
ユーザ端末1がリダイレクトされてくるとWEBサーバ4は、当該ユーザ端末1が認証されているか否かの判断を行うことになる(ST18)。ここで、認証が済んでいる場合(図4のST18においてYESと判断)にはWEBサーバ4はユーザ端末1に対してサービスを提供することになる(ST20)。
【0048】
また、上記判断において、ユーザ端末1が認証されていないと判断された場合(ST18においてNOと判断)には(すなわち、ユーザが当初接続を要求していたWEBサーバ4とは別のWEBサーバ4に接続を試みた場合)、当該WEBサーバ4がリバティーリライアンスが提供するシングルサインオンの提携関係にあれば、シングルサインオン機能を利用し、認証サーバ3が有する当該ユーザ端末1に関する認証情報を利用することになる(ST19)。
【0049】
上述したとおり、当該WEBサーバ4を有するサービスプロバイダはシングルサインオンの提携関係にあるため、当該ユーザ端末1の認証情報を取得することができ、当該認証情報の内容が自己のサイトの認証ポリシーを満たしていれば、上記と同様、WEBサーバ4はユーザ端末1に対してサービスを提供することになる(ST20)。
【0050】
以上、方法例1について説明してきたが、ユーザ端末1が認証処理を行うのは、ST6の1回のみであり、1度の認証でネットワークサービスとWEBサーバ4が提供するWEBサービスへの認証が可能となる。また、本方法例1を実現するシステム例1で説明したように、本発明実施の形態に係る認証サーバ3は、WEBサービスへのシングルサインオンを提供するものであり、リバティーアライアンスにおけるIDPに相当する機能を有するため、他のWEBサーバにユーザが接続要求を出した際も、当該他のWEBサーバがシングルサインオン提携関係にあれば再度の認証処理が必要となることはない。
【0051】
また、システム例1でも説明したように、本方法例1におけるゲートウェイ2と認証サーバ3はイントラ環境に構築されていてもよい。このとき、認証サーバ3は、複数のネットワークインターフェースによりイントラネット環境とインターネットN環境の両方にネットワークのコネクティビティを保有し、イントラネットとインターネットNでは異なる情報がDNSに記録されることでユーザ端末1、契約関係にあるWEBサーバ4や他の認証サーバから認証サーバ3に接続されるとき、インターネットNからはインターネットN側のインターフェースに、イントラネットからはイントラネット側のインターフェースを通して接続される。
【0052】
これにより、ゲートウェイ2において、認証サーバ3のみ接続を可能にする制御が不要となり、更にインターネット側のインターフェースからの接続に対して可能な処理に制限を加えてセキュリティーの向上を計れる。
【0053】
(システム例2)
図5に本発明の実施形態に係るシステム例2のシステム構成図を示す。本図において、ゲートウェイ2及び認証サーバ3は図1と同じものであり、特にユーザ端末1を利用するユーザと契約関係にあるネットワーク事業者の設備として存在するものである。一方、ゲートウェイ2´及び認証サーバ3´はユーザとは契約関係にないインターネットサービスプロバイダが有するものである。但し、これらゲートウェイ2´及び認証サーバ3´は、ゲートウェイ2及び認証サーバ3の機能構成と何ら異なるものはなく、ユーザとの契約関係のみ異なるものである。なお、ユーザ端末1及びWEBサーバ4は上述したシステム例1と何ら異なるところは無い。
【0054】
本システム例2は、ユーザ端末1が一度自己と契約関係にあるインターネットサービスプロバイダの認証サーバ3で認証されれば、その認証情報をユーザと契約関係にない他の認証サーバ3´も利用することを可能とするローミングを実現するためのものである。以下、本システム例2を実現するための構成要素の機能構成に付き説明する。但し、システム例1で説明した機能構成については、同様である為説明を省略する。
【0055】
認証サーバ3(認証サーバ3´)は、先ず、ユーザ端末1を利用するユーザが自己と契約関係にあるかどうかを判断する機能を有する。自己との契約関係にあれば自己が当該ユーザ端末1を認証する立場にあることになるからである。ここで、ユーザ端末1が契約ユーザであるか否かの判断は、ユーザ端末1のMACアドレス、コモンドメインクッキー上のパーマネントクッキー、又はHTTP HeaderのUser Agent等によって、契約認証サーバ3を判別する。
【0056】
また、認証サーバ3は、ゲートウェイ2からのリダイレクション要求により接続してきたユーザ端末1が既に他の認証サーバにより認証を受けているか否かにつき判断する機能を有する。この判断は、ユーザ端末1の例えばWEBブラウザが利用可能なコモンドメインクッキーのセッションクッキーを利用して行われる。但し、上述した契約ユーザであるか否かの判断で、当該ユーザ端末1が契約ユーザであると判断された場合には、他の認証サーバにより認証を受けているか否かの判断は行わずともよい。
【0057】
すなわち、認証サーバ3(認証サーバ3´)は、ユーザ端末1のWEBブラウザのコモンドメインクッキーから認証を受けているか否かの情報を取得し、認証を受けていれば認証した認証サーバ3に対して、シングルサインオンによる認証情報の授受を要求しユーザ端末1に対して認証処理を要求しないとする機能構成である。このとき、要求する側の認証サーバ3´は、認証情報を利用する立場になり、リバティーアライアンスでいうところのサービスプロバイダとなる。
【0058】
また、認証サーバ3(認証サーバ3´)は、他の認証サーバにより認証を受けていない場合には、認証処理をユーザ端末1に要求し、認証が成功すれば、自己が当該ユーザ端末1を認証したことをユーザ端末1のコモンドメインクッキーに書きこむ機能をも有する。
【0059】
一方、ユーザ端末1は、認証サーバ3(認証サーバ3´)の以上のような判断処理を可能にするため、コモンドメインクッキーを認証サーバ3(認証サーバ3´)が利用可能に構成される。
【0060】
以上説明した、本システム例2を構成する各装置により、ローミングが実現され、ユーザは、認証サーバ3に対する一回の認証でサービスプロバイダのWEBサーバ4の認証に対してだけでなく、自己との契約関係にない他のインターネットサービスプロバイダの認証サーバ3´に対する認証も行うことができ、ユーザに対して再度の認証処理を強要することもなく負担軽減となり得る。
【0061】
(方法例2)
次に、システム例2に対応する方法例2を図6、図7、図8及び図9を参照しながら説明する。これらの図は、方法例2の動作を示すシーケンス図である。本方法例2は、上述したシステム例2におけるローミングを可能とする方法を、方法例1におけるネットワークサービス事業者とWEBサービス事業者の認証を1回で済ます方法をベースとしているものである。したがって、方法例1で説明したステップに付いては、重複する説明を避け、本方法例2を説明するに必要な範囲にとどめることにする。
【0062】
先ず、ユーザ端末1がインターネットNに接続要求すると(ST1)、ゲートウェイ2´は当該ユーザ端末1が認証を受けているか否かにつき判断し(ST2)、認証を未だ受けていなければ(図6のST2においてNOと判断)、認証サーバ3´へリダイレクションするように指示する(ST3)。但し、ここでは、本方法例2の特徴であるローミングにつき説明するため、ユーザ端末1が自己との契約関係にないゲートウェイ2´に接続要求をし、認証を受ける状況を想定している。
【0063】
認証サーバ3´は、リダイレクションされてきたユーザ端末1が認証を受けているか否かにつきユーザ端末1のクッキーにより判断し(ST4)、自己(=認証サーバ3´)が認証をしたものでないと判断すると次の処理を実行する。
【0064】
即ち、契約サーバ3´は、当該ユーザ端末1が自己との契約関係にあるか否かにつき判断処理をする(ST41)。そして、当該ユーザ端末1を利用するユーザが契約ユーザであれば(ST41においてYESと判断)次の判断処理を実行し、そうでなければ(ST41においてNOと判断)シングルサインオンを用いて当該ユーザと契約関係にある認証サーバ3から認証情報の授受を要求する(ST43)。ここで、ユーザ端末1が契約ユーザであるか否かの判断は、ユーザ端末1のMACアドレス、コモンドメインクッキー上のパーマネントクッキー、又はHTTP HeaderのUser Agent等によって、契約認証サーバ3を判別する。
【0065】
上記判断処理において、当該ユーザ端末1が契約ユーザであると判断された場合には、既に他の認証サーバ3で認証を受けているか否かにつき判断する(ST42)。このとき、ユーザ端末1のWEBブラウザが利用可能なコモンドメインクッキーを利用して行われる。但し、このST42の判断処理は必須でなく、当該ユーザ端末1が契約関係にある場合には、常に認証要求するように変更実施しても良い。
【0066】
そして、他の認証サーバ3により既に認証が行われていると判断された場合(ST42においてYESと判断)には、当該認証した認証サーバ3からシングルサインオンによる認証情報の授受を要求し(ST43)、その際に認証が成功しているか否かにつき判断する(ST7)。このとき要求する側の認証サーバ3´は認証情報を利用する立場になり、リバティーアライアンスでいうところのサービスプロバイダとなる。
【0067】
また、他の認証サーバ3によって未だ認証が行われていないと判断されると(ST42においてNOと判断)、認証サーバ3´は、当該ユーザ端末1は自己との契約関係にあるため(ST41で判断されている)、ユーザ端末1に対し認証処理を要求することになる(ST5)。
【0068】
その後、ユーザ端末1は認証処理を認証サーバ3´との間で実行し(ST6)、認証が成功すれば(ST7においてOKと判断)、その旨をユーザ端末1のWEBブラウザが利用可能なセッションクッキーに書き込む(ST11)。そして、シングルサインオンによる認証情報の授受(ST43)を受けていないと判断された場合には(ST111)、自己が認証した旨を他のサービスプロバイダが閲覧可能なユーザ端末1上のコモンドメインクッキーに書き込む(ST112)。ここでは、例えば、URIや認証サーバ3´自身のID等を記述するなどして実現する。
【0069】
一方で、ST43の処理を経由してきた場合には、ユーザ端末1には他の認証サーバ3のID等が記述されているから、コモンドメインクッキーに書き込む処理は行わない。その後、認証サーバ3´は、ゲートウェイ2´に対して認証成功通知をする(ST12)。また、ST7の判断処理において、認証が失敗に終わったと判断された場合(ST7においてNGと判断)には、ユーザ端末1に対して認証失敗通知をし(ST8)、認証サーバ3´は処理を終了する(ST10)。以後の処理は、方法例1と同様である為、説明は省略することとする。
【0070】
このように、認証サーバ3´がユーザ端末1のWEBブラウザのコモンドメインクッキーに認証情報を記述することにより、他の認証サーバから認証を受けているかどうかの確認をすることができ、リバティーアライアンスが提供するシングルサインオンによる認証情報の授受を利用すればローミングが可能となり、ユーザとの契約関係にない認証サーバとの間でもユーザは新たに認証をする必要がなくなり、認証処理の煩わしさを回避することができる。
【0071】
以上、本発明の実施形態であるシステム例、方法例を説明してきたが、本発明の目的を達成し、下記する効果を奏する範囲において適宜変更実施可能である。
【0072】
例えば、ユーザはユーザ端末1として常にHTTP又はHTTPSのプロトコルでインターネットNに接続するとは限らない。そこで、ユーザが特殊なユーザ端末1を利用して任意のプロトコルでゲートウェイ2に接続するという場面を想定し、このときに本発明を適用する点につき説明する。
【0073】
この場合、ユーザ端末1は、ゲートウェイ2からの要求を受け付ける機能を有し、かつ、WEBブラウザに対して認証サーバ3に接続するように指示できるという機能をも有するように構成されていてもよい。そして、ゲートウェイ2から「特定のアプリケーションを用いて指定された認証サーバ3へ接続しなさい」との要求を受け付けることができるように機能構成されているものとする。
【0074】
これに対し、ゲートウェイ2は、認証されていないユーザ端末1から任意のプロトコルで任意のインターネット上のホストに対する接続要求が来た場合において、その接続要求に際し、HTTP/HTTPS等のリバティーアライアンスで認められていないプロトコルで接続要求が来た場合には、当該ユーザ端末1に対し「特定のアプリケーションを用いて指定された認証サーバ3へ接続しなさい」との要求を発することができるように機能構成されているものとする。ただし、上記HTTP/HTTPS等のプロトコルで接続要求が来た場合、通常のリダイレクション機能を用いてもよく、この点は任意である。
【0075】
上記のような特殊なユーザ端末1及び当該特殊なユーザ端末1をサポートするゲートウェイ2を用いて本発明実施形態の方法例1及び2の変更点につき、以下に説明する。この場合には、方法例1及び2におけるST1とST2との間に以下の処理を実行させることになる。
【0076】
先ず、ユーザは当該特殊なユーザ端末1を用いてインターネットへの接続要求をする(ST1)。ここで、当該ユーザ端末1は、未だ認証されていない状態として説明する。この際、ゲートウェイ2が要求している特定のアプリケーション(例えば、WEBブラウザ)を用いて接続の要求がされなかった場合には、「特定のHTTP/HTTPS等のリバティーアライアンスで指定されたプロトコルで認証サーバ3へ接続しなさい」との指示を出す(ST3)。
【0077】
その結果、ユーザ端末1は、この指示に対して、上記条件を満たすWEBブラウザ等の特定のアプリケーションを用いて指定された認証サーバ3へ接続を行う。その後の処理は、上述した方法例1及び2と全く同一の処理手順に従う。
【0078】
この場合において、ゲートウェイ2は自己の認証サーバ3とローミング契約している認証サーバ3´に対しては、自己の認証サーバ3と同様に認証サーバ3´に対しても接続できるようにゲートウェイ2を設定するか、又はゲートウェイ2を通過せずにイントラネットを利用して接続できるように機能構成されている必要がある。
【0079】
以上のような処理を設けることにより、ユーザがネットワークを変更して利用した場合等にも、改めてネットワーク接続事業者に対する認証を行う必要がなくなり、一番最初に行った認証が有効利用されることになる。
【0080】
このような例外処理を方法例2に適用すると、例えば、ユーザが無線LANサービスを受けている場合やPHS又は携帯電話等の移動媒体を用いて複数のサービスを受けている場合に、認証処理のためにユーザがWEBブラウザを起動する手間を排除し、ユーザが他の認証サーバ3´と既に認証関係にある場合、ユーザは何の操作もすることなくインターネットNへの接続を継続して利用できる。
【0081】
さらに、イントラネットシステム上に全ての認証サーバ3が設置されている場合において、ユーザが上記無線端末を利用するときは、認証サーバ3がリバティーアライアンスアーティファクトプロファイルを利用しないように設定されれば、認証サーバ3は直接インターネット上の各種サーバと接続する必要がなくなるため、認証サーバ3にはインターネットNからのインターフェースを必要としなくなる。
【0082】
【発明の効果】
以上説明してきたように、ユーザはインターネットサービスプロバイダ等のネットワーク接続事業者に対する認証とシングルサインオンが利用可能なWEBサービスに対する認証を1回で済ますことができ、ユーザに対し過度に認証作業を強いることが無くなり負担軽減を実現する。
【0083】
また、本発明で実施する認証処理は従来のWEBによるクライアント認証技術を用いることができ、従来のユーザ端末やWEBサーバ等を特段変更することなく実施することができる。
【0084】
また、以上の効果に加え、ユーザ端末として特定のアプリケーションを用いることで、ユーザはHTTPベースでのサービス以外でもシームレスにネットワークの変更に対応でき、ユーザの負担をさらに緩和することができる。
【図面の簡単な説明】
【図1】本発明実施形態のシステム例1に係るネットワーク認証とシングルサインオンの一括認証システムの構成図である。
【図2】本発明実施形態の方法例1に係るネットワーク認証とシングルサインオンの一括認証方法のシーケンス図である。
【図3】図2に示すシーケンス図の続きを示すものである。
【図4】図2、図3に示すシーケンス図の続きを示すものである。
【図5】本発明実施形態のシステム例2に係るネットワーク認証とシングルサインオンの一括認証システムの構成図である。
【図6】本発明実施形態の方法例2に係るネットワーク認証とシングルサインオンの一括認証方法のシーケンス図である。
【図7】図6に示すシーケンス図の続きを示すものである。
【図8】図6、図7に示すシーケンス図の続きを示すものである。
【図9】図6、図7、図8に示すシーケンス図の続きを示すものである。
【符号の説明】
α、α´…ネットワーク認証とシングルサインオンの一括認証システム
N…Internet
1…ユーザ端末
2、2´…ゲートウェイ
3、3´…認証サーバ
4…WEBサーバ
【発明の属する技術分野】
本発明は、ユーザがWEBサービスを利用する際の認証、特にリバティーアライアンスが提供するシングルサインオンに対応しているWEBサービスを利用する場合における認証とネットワークに接続する際の認証を一括して行うネットワーク認証とシングルサインオンの一括認証方法及びシステムに関する。
【0002】
【従来の技術】
従来、ユーザが各種ネットワークサービスの提供を受ける際、ユーザは、先ず、インターネットサービスプロバイダ等のネットワーク事業者の保有する装置に対して認証作業を行い、次に、ユーザが要求しているサービスを提供するWEBサーバの認証を受けなければならなかった。
【0003】
一方で、サービス事業者が提携しあい、ユーザが一度認証すると、各々のサービス事業者がその認証情報を利用し、再度の認証を不要とするシングルサインオンが提案され、実施されている。
【0004】
これは、リバティーアライアンス計画の第1フェーズの技術仕様で、認証に関する情報をアイデンティティとして連携し、各種サービス事業者がこれを利用することにより、ユーザ側から見れば、IDP(Identity Provider )に対して認証を行うと、そのIDPと提携関係にあるサービス事業者に対しては、再度認証を行う必要が無く、何度も認証を行わなければならない煩わしさを回避できるという特徴を有している。
【0005】
ここで、リバティアライアンスにつき参考となる先行技術文献情報を以下に列挙しておく。
【非特許文献】
“リバティアライアンスの標準化動向”NTT技術ジャーナル、p79−80、平成15年3月1日電気通信協会発行
【非特許文献】
“Liberty Alliance Project”[online]、[2003年4月28日検索]、インターネット、<URL:http://www.projectliberty.org/>
【0006】
【発明が解決しようとする課題】
しかしながら、シングルサインオンが実現したとしても、ユーザがWEBサービスの提供を受ける場合には、インターネットサービスプロバイダ等のネットワーク事業者の保有する装置に対してと、シングルサインオンを提供する第三者認証機関(Trusted Third Party)に対しての各1回づつ、計2回認証する必要がある。
【0007】
また、ユーザが公共無線LANサービスや携帯電話等の複数のサービスの提供を受ける際には、ユーザが移動するたび、または利用するネットワークを切り替えるたびに再度ネットワーク事業者に対して認証を行う必要があり、認証作業の煩わしさを完全に回避することはできなかった。
【0008】
ここにおいて、本発明の解決すべき主要な目的は、次の通りである。
即ち、本発明の第1の目的は、ユーザがWEBサービスの提供を受ける際に、ネットワーク接続事業者の保有する装置に対してと、WEBサービスを提供する事業者の保有するWEBサーバに対する認証を1回で行うことを可能にするネットワーク認証とシングルサインオンの一括認証方法及びシステムを提供せんとするものである。
【0009】
本発明の第2の目的は、ユーザが公共無線LANサービスや携帯電話等の複数のサービスの提供を受ける場合において、ユーザが移動したり、ネットワークの切替えを行った際に再度のネットワークの認証を不要とするローミングを可能とするネットワーク認証とシングルサインオンの一括認証方法及びシステムを提供せんとするものである。
【0010】
本発明の他の目的は、明細書、図面、特に特許請求の範囲の各請求項の記載から自ずと明らかとなろう。
【0011】
【課題を解決するための手段】
本発明方法は、上記課題の解決に当たり、ユーザ端末と、リバティーアライアンスにおけるシングルサインオンを実現する第三者認証機関となる認証サーバと、前記ユーザ端末からの接続に対して特定の前記認証サーバへの接続を許可するゲートウェイと、シングルサインオンの提携関係にある各種サービスプロバイダのWEBサービスを提供するWEBサーバとがネットワークを介して接続されている環境において、前記ユーザ端末がWEBサービスの提供を受ける際の認証を行う方法であって、前記ユーザ端末が任意のWEBサーバに接続を試みると、前記ゲートウェイは当該ユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対して前記認証サーバへリダイレクションにより接続するように指示を出し、前記認証サーバは当該リダイレクション指示に従って接続してきたユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対し、認証処理を行うよう要求し、当該ユーザ端末が認証処理を行った結果、認証が成功すれば、前記認証サーバは、前記ゲートウェイに当該ユーザ端末によるネットワークの利用を可能にするように指示を出し、当該認証サーバの接続継続機能が有効であれば、当該ユーザ端末には認証処理が完了したことを通知し、無効であれば最初に当該ユーザ端末が接続を試みた前記WEBサーバにリダイレクションするよう指示を出し、当該ユーザ端末が、ネットワーク利用中に当該ユーザ端末と提携関係にあるWEBサーバに接続すると、当該WEBサーバが当該ユーザ端末を認証した前記認証サーバに対し、リバティアライアンスのシングルサインオン機能により認証情報を要求してその結果によりサービスの可否を判断し、認証を受けていればWEBサービスを提供する特徴的構成手法を講じる。
【0012】
本発明システムは、上記課題の解決に当たり、ユーザ端末と、リバティーアライアンスにおけるシングルサインオンを実現する第三者認証機関となる認証サーバと、前記ユーザ端末からの接続に対して特定の前記認証サーバへの接続を許可するゲートウェイと、シングルサインオンの提携関係にある各種サービスプロバイダのWEBサービスを提供するWEBサーバとがネットワークを介して接続されている環境において、前記ユーザ端末がWEBサービスの提供を受ける際の認証を行うシステムであって、前記ゲートウェイは、前記ユーザ端末が任意のWEBサーバに接続を試みると、当該ユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対して前記認証サーバへリダイレクションにより接続する旨の指示を出すように機能構成され、前記認証サーバは、当該リダイレクションされてきたユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対し、認証処理を行うよう要求するとともに、当該ユーザ端末が認証処理を行った結果、認証が成功すれば、前記ゲートウェイに当該ユーザ端末によるネットワークの利用を可能にするように指示を出す一方、当該認証サーバの接続継続機能が有効であれば、当該ユーザ端末には認証処理が完了したことを通知し、無効であれば、最初に当該ユーザ端末が接続を試みた前記WEBサーバにリダイレクションする旨の指示を出すよう機能構成され、前記WEBサーバは、前記ユーザ端末から接続されると当該ユーザ端末を認証した認証サーバに対し、リバティーアライアンスのシングルサインオン機能により認証情報を要求してその結果によりサービスの可否を判断し、認証を受けていればWEBサービスを提供するよう機能構成される特徴的構成手段を講じる。
【0013】
更に詳説すると、当該課題の解決では、本発明が次に列挙する新規な特徴的構成手法又は手段を採用することにより、上記目的を達成するようになされる。
【0014】
本発明方法の第1の特徴は、ユーザ端末と、リバティーアライアンスにおけるシングルサインオンを実現する第三者認証機関となる認証サーバと、前記ユーザ端末からの接続に対して特定の前記認証サーバへの接続を許可するゲートウェイと、シングルサインオンの提携関係にある各種サービスプロバイダのWEBサービスを提供するWEBサーバとがネットワークを介して接続されている環境において、前記ユーザ端末がWEBサービスの提供を受ける際の認証を行う方法であって、前記ユーザ端末が任意のWEBサーバに接続を試みると、前記ゲートウェイは当該ユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対して前記認証サーバへリダイレクションにより接続するように指示を出し、前記認証サーバは当該リダイレクション指示に従って接続してきたユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対し、認証処理を行うよう要求し、当該ユーザ端末が認証処理を行った結果、認証が成功すれば、前記認証サーバは、前記ゲートウェイに当該ユーザ端末によるネットワークの利用を可能にするように指示を出し、当該認証サーバの接続継続機能が有効であれば、当該ユーザ端末には認証処理が完了したことを通知し、無効であれば最初に当該ユーザ端末が接続を試みた前記WEBサーバにリダイレクションするよう指示を出し、当該ユーザ端末が、ネットワーク利用中に当該ユーザ端末と提携関係にあるWEBサーバに接続すると、当該WEBサーバが当該ユーザ端末を認証した前記認証サーバに対し、リバティアライアンスのシングルサインオン機能により認証情報を要求してその結果によりサービスの可否を判断し、認証を受けていればWEBサービスを提供してなるネットワーク認証とシングルサインオンの一括認証方法の構成採用にある。
【0015】
本発明方法の第2の特徴は、上記本発明方法の第1の特徴における認証サーバは、複数のネットワークインターフェースを有し、イントラネット環境とインターネット環境の両方から接続自在に構成されてなるネットワーク認証とシングルサインオンの一括認証方法の構成採用にある。
【0016】
本発明方法の第3の特徴は、上記本発明方法の第1の特徴におけるゲートウェイは、前記ユーザ端末が前記特定のアプリケーションで接続要求を行わなかった場合には、当該特定のアプリケーションで特定の認証サーバに対して接続するように指示を出し、前記ユーザ端末は、前記ゲートウェイから前記指示が出された場合には、当該指示にある特定のアプリケーションで特定の認証サーバに対して接続を行ってなるネットワーク認証とシングルサインオンの一括認証方法の構成採用にある。
【0017】
本発明方法の第4の特徴は、上記本発明方法の第1、第2又は第3の特徴における認証サーバが、前記リダイレクションされてきたユーザ端末を認証していないと判断した場合には、当該ユーザ端末上のコモンドメインクッキーにより提携関係にある他の認証サーバで認証が既に行われているか否かを判断し、当該他の認証サーバにて既に認証されている場合には、リバティーアライアンスのシングルサインオン機能による認証情報の授受により認証状態を判断し、一方で、前記ユーザ端末の認証をした場合には、自己が認証したことを前記ユーザ端末上のコモンドメインクッキーに記述してなるネットワーク認証とシングルサインオンの一括認証方法の構成採用にある。
【0018】
本発明方法の第5の特徴は、上記本発明方法の第1、第2、第3又は第4の特徴におけるゲートウェイが、前記認証サーバによる認証が成功したことの通知により、当該認証が成功したユーザ端末のMACアドレス又はIPアドレスをリストに登録し、一方、前記ユーザ端末が既に認証を受けているか否かの判断を行う際には、前記ユーザ端末のMACアドレス又はIPアドレスが前記リストに登録されているか否かにより行ってなるネットワーク認証とシングルサインオンの一括認証方法の構成採用にある。
【0019】
本発明システムの第1の特徴は、ユーザ端末と、リバティーアライアンスにおけるシングルサインオンを実現する第三者認証機関となる認証サーバと、前記ユーザ端末からの接続に対して特定の前記認証サーバへの接続を許可するゲートウェイと、シングルサインオンの提携関係にある各種サービスプロバイダのWEBサービスを提供するWEBサーバとがネットワークを介して接続されている環境において、前記ユーザ端末がWEBサービスの提供を受ける際の認証を行うシステムであって、前記ゲートウェイは、前記ユーザ端末が任意のWEBサーバに接続を試みると、当該ユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対して前記認証サーバへリダイレクションにより接続する旨の指示を出すように機能構成され、前記認証サーバは、当該リダイレクションされてきたユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対し、認証処理を行うよう要求するとともに、当該ユーザ端末が認証処理を行った結果、認証が成功すれば、前記ゲートウェイに当該ユーザ端末によるネットワークの利用を可能にするように指示を出す一方、当該認証サーバの接続継続機能が有効であれば、当該ユーザ端末には認証処理が完了したことを通知し、無効であれば、最初に当該ユーザ端末が接続を試みた前記WEBサーバにリダイレクションする旨の指示を出すよう機能構成され、前記WEBサーバは、前記ユーザ端末から接続されると当該ユーザ端末を認証した認証サーバに対し、リバティーアライアンスのシングルサインオン機能により認証情報を要求してその結果によりサービスの可否を判断し、認証を受けていればWEBサービスを提供するよう機能構成されてなるネットワーク認証とシングルサインオンの一括認証システムの構成採用にある。
【0020】
本発明システムの第2の特徴は、上記本発明システムの第1の特徴における認証サーバが、複数のネットワークインターフェースを有し、イントラネット環境とインターネット環境の両方から接続自在に構成されてなるネットワーク認証とシングルサインオンの一括認証システムの構成採用にある。
【0021】
本発明システムの第3の特徴は、上記本発明システムの第1又は第2の特徴におけるゲートウェイが、前記ユーザ端末がHTTP/HTTPSで接続要求を行わなかった場合には、HTTP/HTTPSで特定の認証サーバに対して接続するように指示を出すよう機能構成され、前記ユーザ端末は、前記ゲートウェイから前記指示が出された場合には、HTTP/HTTPSで特定の認証サーバに対して接続自在に機能構成されてなるネットワーク認証とシングルサインオンの一括認証システムの構成採用にある。
【0022】
本発明システムの第4の特徴は、上記本発明システムの第1、第2又は第3の特徴における認証サーバは、前記リダイレクションされてきたユーザ端末が認証されていないと判断された場合には、当該ユーザ端末上のコモンドメインクッキーにより提携関係にある他の認証サーバで認証が既に行われているか否かを判断し、当該他の認証サーバにて既に認証されている場合には、リバティーアライアンスのシングルサインオン機能による認証情報の授受により認証状態を判断し、一方で、前記ユーザ端末の認証をした場合には、自己が認証したことを前記ユーザ端末上のコモンドメインクッキーに記述するよう機能構成されてなるネットワーク認証とシングルサインオンの一括認証システムの構成採用にある。
【0023】
本発明システムの第5の特徴は、上記本発明システムの第1、第2、第3又は第4の特徴におけるゲートウェイが、前記認証サーバによる認証が成功したことの通知により、当該認証が成功したユーザ端末のMACアドレス又はIPアドレスをリストに登録し、一方、接続してきた前記ユーザ端末が既に認証を受けているか否かにつき判断する際には、前記ユーザ端末のMACアドレス又はIPアドレスが前記リストに登録されているか否かで判断するよう機能構成されてなるネットワーク認証とシングルサインオンの一括認証システムの構成採用にある。
【0024】
【発明の実施の形態】
以下、添付図面を参照して、本発明の実施の形態を詳細に説明する。
【0025】
(システム例1)
図1に本発明の実施形態に係るシステム例1のシステム構成図を示す。本図において、ネットワーク認証とシングルサインオンの一括認証システムαは、ゲートウェイ2、認証サーバ3及びサービスプロバイダ4がそれぞれインターネットNでそれぞれ接続され、構築されている。また、ユーザ端末1はインターネットサービスプロバイダ等のネットワーク接続事業者のゲートウェイ2を介してインターネットNに接続される。ここで、本図においては、各構成要素が1台づつ表されているが、便宜上のものであることは当然であり、実際はそれぞれ1以上の構成要素からなる。
【0026】
ユーザ端末1は、たとえば、パーソナルコンピュータ、無線LANに対応している端末、PHS等であり、ゲートウェイ2に指定されるHTTP(HyperText Transfer Protocol )、HTTPS(HyperText Transfer Protocol Security)での通信が可能なWEBブラウザ等のアプリケーションを保有し、またセッション管理情報としてクッキーが利用可能に構築される。
【0027】
一方、各種サービスを提供するサービスプロバイダに設置されるWEBサーバ4は、リバティーアライアンスのシングルサインオン提携のサービス事業者の管理下にあり、後述する認証サーバ3による認証情報を利用可能に機能構成されているものである。また、本願発明においては、当該ユーザ端末1に対して認証サーバ3とシングルサインオンの提携関係にないサービスプロバイダが管理する1以上のWEBサーバ(図示せず)もその構成要素としており、ユーザ端末1がこのようなWEBサーバに接続する際には、認証サーバ3とのシングルサインオンによる認証は行われない。
【0028】
そして、WEBサーバ4は、シングルサインオン機能により取得した認証情報の内容が自己のサイトの認証ポリシーを満たせば、対応するユーザ端末1に対してWEBサービスを提供するように設定されている。
【0029】
ゲートウェイ2は、インターネットサービスプロバイダによって管理され、認証していないユーザ端末1に対しては、上記した特定のホストへの通信のみを受け付ける様に機能構成されている。ここで、もし、認証サーバ3がイントラネット環境に設置されている場合には、特定のホストへの接続のみを許可する通信制御機能は不要とすることも可能である。
【0030】
そして、ユーザ端末1からWEBサービスの提供を受けるためにインターネットNへの接続要求を受けると、ユーザ端末1のMACアドレス又はIPアドレス等のソースアドレスがリストに登録されているか否か(後述する認証サーバ3によるユーザ端末1の認証成功通知により登録する。)を確認することにより、当該ユーザ端末1が認証されているか否かを判断する。
【0031】
上記判断において、当該ユーザ端末1が認証されていれば、インターネットNへの接続を許可し、要求したURI(Uniform Resource Identifier )で特定されるWEBサーバ4への接続を可能とし、認証が未だ為されていなければ、当該ユーザ端末1の接続先を特定の認証サーバ3にリダイレクトするよう機能構成される。
【0032】
認証サーバ3は、インターネットサービスプロバイダ等のネットワークサービス提供者(又は当該者が信頼する第三者でもよい。)によって管理されるものであり、リバティーアライアンスのシングルサインオンを実現するための第三者認証機関(リバティーアライアンスにおけるIdentity Providerに該当)としての役割を持つものである。
【0033】
そして、ユーザ端末1がリダイレクトにより接続されると、クッキーを利用して、当該ユーザ端末1が認証されているか否かを判断し、認証が未だ為されていなければ、ユーザ端末1に対して、SSL(Secure Sockets Layer)やTLS(Transport Layer Security)等のクライアント認証や、ユーザIDやパスワードを用いて行うベーシック認証等の認証処理を要求するよう機能構成されている。
【0034】
上記の認証処理の要求によりユーザ端末1が認証処理を実行すると、認証サーバ3は、ユーザ端末1による認証が成功したか否かを判断し、失敗した場合にあっては、その旨を当該ユーザ端末1に通知し、成功した場合にあっては、ゲートウェイ2にその旨を通知するとともに、ユーザ端末1にもその旨を通知すると同時に、認証が成功したことの証明としてユーザ端末1上のクッキーを用いて、認証済みであるセッションの確立を実施し、さらにコモンドメインクッキーを用いて自身のIDを埋め込む。このコモンドメインクッキーは認証サーバ3と提携する事業者によって閲覧可能となっているものである。
【0035】
また、認証サーバ3は、接続継続機能を有していてもよく、上記判断において認証が成功したならば、ユーザ端末1が最初に接続要求をしていたURIによって特定されるWEBサーバ4にリダイレクトするようにユーザ端末1に指示を送信するよう機能構成されてもよい。
【0036】
以上説明してきた通り、ユーザ端末1は、認証サーバ3による認証命令により認証作業を1回行うだけで、インターネットサービスプロバイダ等のネットワーク接続とWEBサービスへのシングルサインオンが実現可能となる。
【0037】
また、本システム例1では、認証サーバ3は、ゲートウェイ2やWEBサーバ4とは、インターネットNを介して接続されていたが、ゲートウェイ2とイントラネット環境で構築されてもよい。
【0038】
このとき、認証サーバ3は、複数のネットワークインターフェースによりイントラネット環境とインターネットN環境の両方にネットワークのコネクティビティを保有し、イントラネットとインターネットNでは異なる情報がDNS(Domain Name System)に記録されることで、ユーザ端末1、契約関係にあるWEBサーバ4や他の認証サーバから認証サーバ3に接続されるとき、インターネットNからはインターネットN側のインターフェースに、イントラネットからはイントラネット側のインターフェースを通して接続される。これにより、ゲートウェイ2において、認証サーバ3のみ接続を可能にする制御が不要となり、更にインターネット側のインターフェースからの接続に対して可能な処理に制限を加えてセキュリティーの向上を計れる。
【0039】
(方法例1)
次に、システム例1に対応する方法例1を図2、図3、図4を参照しながら説明する。これらの図は、方法例1の動作を示すシーケンス図である。
【0040】
先ず、ユーザは無線LANやPHS等のネットワーク接続用デバイスであるユーザ端末1を用いてインターネットNに接続要求する(ST1)。なお、本方法例1を説明するにあたり、便宜上、この時点で当該ユーザ端末1は認証されていないものとする。このとき、ユーザ端末1は、ゲートウェイ2により指定されている特定のアプリケーション(WEBブラウザ)を用いてサービスプロバイダのWEBサーバ4に接続を要求することになる(ST1)。
【0041】
ゲートウェイ2は、ユーザ端末1による接続要求に対して、当該ユーザ端末1が認証を受けているか否かを判断する(ST2)。このとき、ユーザ端末1のMACアドレス又はIPアドレスがゲートウェイ2の認証リストに登録されているか否かにより、当該ユーザ端末1の認証状態を判断する。上述したように、この時点では、当該ユーザ端末1は認証を受けていないので(図2のST2においてNOと判断された場合)、ユーザ端末1に対して、特定の認証サーバ3に接続するように、リダイレクション指示を出す(ST3)。すると、ユーザ端末1は指示された特定の認証サーバ3に接続を試みる。また、認証が済んでいれば、ユーザ端末1が要求したURIで特定されるWEBサーバ4への接続を許可する。
【0042】
認証サーバ3は、リダイレクションを受けて接続してきたユーザ端末1が既に、認証を受けているか否かにつき判断を行う(ST4)。そして、認証が済んでいない場合には(ST4においてNOと判断)、ユーザ端末1に対して認証処理を行うよう要求を出す(ST5)。一方で、認証が済んでいれば(ST4においてYESと判断)、処理は後述するST12(図3)から実行されることになるが、ここでは、説明を省略する。
【0043】
認証サーバ3から認証要求(ST5)を受けたユーザ端末1は、認証処理を認証サーバ3との間で実行する(ST6)。この際の認証は、SSL若しくはTLS等のクライアント認証、又はベーシック認証である。
【0044】
そして、ユーザ端末1が上記認証処理(ST6)を実行すると、認証サーバ3は、認証が成功したか否かにつき判断する(ST7)。認証が失敗に終わった場合(図3のST7においてNGと判断)には、ユーザ端末1に対して認証失敗通知をし(ST8)、通知を受けたユーザ端末1は処理を終了する(ST9)。ここでは、ユーザ端末1が再度認証サーバ3に対して認証要求するようにしてもよい。一方で、認証サーバ3も処理を終了する(ST10)。
【0045】
上記判断処理(ST7)で認証が成功したと判断されれば(ST7においてOKと判断)、認証サーバ3は、認証が成功した旨をクッキーに、自己が認証した旨をコモンドメインクッキーに書き込む(ST11)。このクッキーに書きこまれた認証情報は、認証サーバ3がユーザ端末1の認証状態を判断するのに利用される。そして、ゲートウェイ2に対して認証成功通知をする(ST12)。
【0046】
ここで、認証サーバ3が接続継続機能が利用可能な状態であったならば(ST13でYESと判断)、図3に示すとおり、ユーザが最初に接続要求していたURIにて特定されるWEBサーバへリダイレクション指示を出し(ST17)、接続継続機能が利用不可の状態であれば、ユーザ端末1に対して認証成功通知をし(ST14)、処理を終了する(ST16)。リダイレクション指示を受けたユーザ端末1は、当初接続を要求していたURIにて特定されるサービスプロバイダのWEBサーバ4へ自動的に接続処理を実行することになる。
【0047】
ユーザ端末1がリダイレクトされてくるとWEBサーバ4は、当該ユーザ端末1が認証されているか否かの判断を行うことになる(ST18)。ここで、認証が済んでいる場合(図4のST18においてYESと判断)にはWEBサーバ4はユーザ端末1に対してサービスを提供することになる(ST20)。
【0048】
また、上記判断において、ユーザ端末1が認証されていないと判断された場合(ST18においてNOと判断)には(すなわち、ユーザが当初接続を要求していたWEBサーバ4とは別のWEBサーバ4に接続を試みた場合)、当該WEBサーバ4がリバティーリライアンスが提供するシングルサインオンの提携関係にあれば、シングルサインオン機能を利用し、認証サーバ3が有する当該ユーザ端末1に関する認証情報を利用することになる(ST19)。
【0049】
上述したとおり、当該WEBサーバ4を有するサービスプロバイダはシングルサインオンの提携関係にあるため、当該ユーザ端末1の認証情報を取得することができ、当該認証情報の内容が自己のサイトの認証ポリシーを満たしていれば、上記と同様、WEBサーバ4はユーザ端末1に対してサービスを提供することになる(ST20)。
【0050】
以上、方法例1について説明してきたが、ユーザ端末1が認証処理を行うのは、ST6の1回のみであり、1度の認証でネットワークサービスとWEBサーバ4が提供するWEBサービスへの認証が可能となる。また、本方法例1を実現するシステム例1で説明したように、本発明実施の形態に係る認証サーバ3は、WEBサービスへのシングルサインオンを提供するものであり、リバティーアライアンスにおけるIDPに相当する機能を有するため、他のWEBサーバにユーザが接続要求を出した際も、当該他のWEBサーバがシングルサインオン提携関係にあれば再度の認証処理が必要となることはない。
【0051】
また、システム例1でも説明したように、本方法例1におけるゲートウェイ2と認証サーバ3はイントラ環境に構築されていてもよい。このとき、認証サーバ3は、複数のネットワークインターフェースによりイントラネット環境とインターネットN環境の両方にネットワークのコネクティビティを保有し、イントラネットとインターネットNでは異なる情報がDNSに記録されることでユーザ端末1、契約関係にあるWEBサーバ4や他の認証サーバから認証サーバ3に接続されるとき、インターネットNからはインターネットN側のインターフェースに、イントラネットからはイントラネット側のインターフェースを通して接続される。
【0052】
これにより、ゲートウェイ2において、認証サーバ3のみ接続を可能にする制御が不要となり、更にインターネット側のインターフェースからの接続に対して可能な処理に制限を加えてセキュリティーの向上を計れる。
【0053】
(システム例2)
図5に本発明の実施形態に係るシステム例2のシステム構成図を示す。本図において、ゲートウェイ2及び認証サーバ3は図1と同じものであり、特にユーザ端末1を利用するユーザと契約関係にあるネットワーク事業者の設備として存在するものである。一方、ゲートウェイ2´及び認証サーバ3´はユーザとは契約関係にないインターネットサービスプロバイダが有するものである。但し、これらゲートウェイ2´及び認証サーバ3´は、ゲートウェイ2及び認証サーバ3の機能構成と何ら異なるものはなく、ユーザとの契約関係のみ異なるものである。なお、ユーザ端末1及びWEBサーバ4は上述したシステム例1と何ら異なるところは無い。
【0054】
本システム例2は、ユーザ端末1が一度自己と契約関係にあるインターネットサービスプロバイダの認証サーバ3で認証されれば、その認証情報をユーザと契約関係にない他の認証サーバ3´も利用することを可能とするローミングを実現するためのものである。以下、本システム例2を実現するための構成要素の機能構成に付き説明する。但し、システム例1で説明した機能構成については、同様である為説明を省略する。
【0055】
認証サーバ3(認証サーバ3´)は、先ず、ユーザ端末1を利用するユーザが自己と契約関係にあるかどうかを判断する機能を有する。自己との契約関係にあれば自己が当該ユーザ端末1を認証する立場にあることになるからである。ここで、ユーザ端末1が契約ユーザであるか否かの判断は、ユーザ端末1のMACアドレス、コモンドメインクッキー上のパーマネントクッキー、又はHTTP HeaderのUser Agent等によって、契約認証サーバ3を判別する。
【0056】
また、認証サーバ3は、ゲートウェイ2からのリダイレクション要求により接続してきたユーザ端末1が既に他の認証サーバにより認証を受けているか否かにつき判断する機能を有する。この判断は、ユーザ端末1の例えばWEBブラウザが利用可能なコモンドメインクッキーのセッションクッキーを利用して行われる。但し、上述した契約ユーザであるか否かの判断で、当該ユーザ端末1が契約ユーザであると判断された場合には、他の認証サーバにより認証を受けているか否かの判断は行わずともよい。
【0057】
すなわち、認証サーバ3(認証サーバ3´)は、ユーザ端末1のWEBブラウザのコモンドメインクッキーから認証を受けているか否かの情報を取得し、認証を受けていれば認証した認証サーバ3に対して、シングルサインオンによる認証情報の授受を要求しユーザ端末1に対して認証処理を要求しないとする機能構成である。このとき、要求する側の認証サーバ3´は、認証情報を利用する立場になり、リバティーアライアンスでいうところのサービスプロバイダとなる。
【0058】
また、認証サーバ3(認証サーバ3´)は、他の認証サーバにより認証を受けていない場合には、認証処理をユーザ端末1に要求し、認証が成功すれば、自己が当該ユーザ端末1を認証したことをユーザ端末1のコモンドメインクッキーに書きこむ機能をも有する。
【0059】
一方、ユーザ端末1は、認証サーバ3(認証サーバ3´)の以上のような判断処理を可能にするため、コモンドメインクッキーを認証サーバ3(認証サーバ3´)が利用可能に構成される。
【0060】
以上説明した、本システム例2を構成する各装置により、ローミングが実現され、ユーザは、認証サーバ3に対する一回の認証でサービスプロバイダのWEBサーバ4の認証に対してだけでなく、自己との契約関係にない他のインターネットサービスプロバイダの認証サーバ3´に対する認証も行うことができ、ユーザに対して再度の認証処理を強要することもなく負担軽減となり得る。
【0061】
(方法例2)
次に、システム例2に対応する方法例2を図6、図7、図8及び図9を参照しながら説明する。これらの図は、方法例2の動作を示すシーケンス図である。本方法例2は、上述したシステム例2におけるローミングを可能とする方法を、方法例1におけるネットワークサービス事業者とWEBサービス事業者の認証を1回で済ます方法をベースとしているものである。したがって、方法例1で説明したステップに付いては、重複する説明を避け、本方法例2を説明するに必要な範囲にとどめることにする。
【0062】
先ず、ユーザ端末1がインターネットNに接続要求すると(ST1)、ゲートウェイ2´は当該ユーザ端末1が認証を受けているか否かにつき判断し(ST2)、認証を未だ受けていなければ(図6のST2においてNOと判断)、認証サーバ3´へリダイレクションするように指示する(ST3)。但し、ここでは、本方法例2の特徴であるローミングにつき説明するため、ユーザ端末1が自己との契約関係にないゲートウェイ2´に接続要求をし、認証を受ける状況を想定している。
【0063】
認証サーバ3´は、リダイレクションされてきたユーザ端末1が認証を受けているか否かにつきユーザ端末1のクッキーにより判断し(ST4)、自己(=認証サーバ3´)が認証をしたものでないと判断すると次の処理を実行する。
【0064】
即ち、契約サーバ3´は、当該ユーザ端末1が自己との契約関係にあるか否かにつき判断処理をする(ST41)。そして、当該ユーザ端末1を利用するユーザが契約ユーザであれば(ST41においてYESと判断)次の判断処理を実行し、そうでなければ(ST41においてNOと判断)シングルサインオンを用いて当該ユーザと契約関係にある認証サーバ3から認証情報の授受を要求する(ST43)。ここで、ユーザ端末1が契約ユーザであるか否かの判断は、ユーザ端末1のMACアドレス、コモンドメインクッキー上のパーマネントクッキー、又はHTTP HeaderのUser Agent等によって、契約認証サーバ3を判別する。
【0065】
上記判断処理において、当該ユーザ端末1が契約ユーザであると判断された場合には、既に他の認証サーバ3で認証を受けているか否かにつき判断する(ST42)。このとき、ユーザ端末1のWEBブラウザが利用可能なコモンドメインクッキーを利用して行われる。但し、このST42の判断処理は必須でなく、当該ユーザ端末1が契約関係にある場合には、常に認証要求するように変更実施しても良い。
【0066】
そして、他の認証サーバ3により既に認証が行われていると判断された場合(ST42においてYESと判断)には、当該認証した認証サーバ3からシングルサインオンによる認証情報の授受を要求し(ST43)、その際に認証が成功しているか否かにつき判断する(ST7)。このとき要求する側の認証サーバ3´は認証情報を利用する立場になり、リバティーアライアンスでいうところのサービスプロバイダとなる。
【0067】
また、他の認証サーバ3によって未だ認証が行われていないと判断されると(ST42においてNOと判断)、認証サーバ3´は、当該ユーザ端末1は自己との契約関係にあるため(ST41で判断されている)、ユーザ端末1に対し認証処理を要求することになる(ST5)。
【0068】
その後、ユーザ端末1は認証処理を認証サーバ3´との間で実行し(ST6)、認証が成功すれば(ST7においてOKと判断)、その旨をユーザ端末1のWEBブラウザが利用可能なセッションクッキーに書き込む(ST11)。そして、シングルサインオンによる認証情報の授受(ST43)を受けていないと判断された場合には(ST111)、自己が認証した旨を他のサービスプロバイダが閲覧可能なユーザ端末1上のコモンドメインクッキーに書き込む(ST112)。ここでは、例えば、URIや認証サーバ3´自身のID等を記述するなどして実現する。
【0069】
一方で、ST43の処理を経由してきた場合には、ユーザ端末1には他の認証サーバ3のID等が記述されているから、コモンドメインクッキーに書き込む処理は行わない。その後、認証サーバ3´は、ゲートウェイ2´に対して認証成功通知をする(ST12)。また、ST7の判断処理において、認証が失敗に終わったと判断された場合(ST7においてNGと判断)には、ユーザ端末1に対して認証失敗通知をし(ST8)、認証サーバ3´は処理を終了する(ST10)。以後の処理は、方法例1と同様である為、説明は省略することとする。
【0070】
このように、認証サーバ3´がユーザ端末1のWEBブラウザのコモンドメインクッキーに認証情報を記述することにより、他の認証サーバから認証を受けているかどうかの確認をすることができ、リバティーアライアンスが提供するシングルサインオンによる認証情報の授受を利用すればローミングが可能となり、ユーザとの契約関係にない認証サーバとの間でもユーザは新たに認証をする必要がなくなり、認証処理の煩わしさを回避することができる。
【0071】
以上、本発明の実施形態であるシステム例、方法例を説明してきたが、本発明の目的を達成し、下記する効果を奏する範囲において適宜変更実施可能である。
【0072】
例えば、ユーザはユーザ端末1として常にHTTP又はHTTPSのプロトコルでインターネットNに接続するとは限らない。そこで、ユーザが特殊なユーザ端末1を利用して任意のプロトコルでゲートウェイ2に接続するという場面を想定し、このときに本発明を適用する点につき説明する。
【0073】
この場合、ユーザ端末1は、ゲートウェイ2からの要求を受け付ける機能を有し、かつ、WEBブラウザに対して認証サーバ3に接続するように指示できるという機能をも有するように構成されていてもよい。そして、ゲートウェイ2から「特定のアプリケーションを用いて指定された認証サーバ3へ接続しなさい」との要求を受け付けることができるように機能構成されているものとする。
【0074】
これに対し、ゲートウェイ2は、認証されていないユーザ端末1から任意のプロトコルで任意のインターネット上のホストに対する接続要求が来た場合において、その接続要求に際し、HTTP/HTTPS等のリバティーアライアンスで認められていないプロトコルで接続要求が来た場合には、当該ユーザ端末1に対し「特定のアプリケーションを用いて指定された認証サーバ3へ接続しなさい」との要求を発することができるように機能構成されているものとする。ただし、上記HTTP/HTTPS等のプロトコルで接続要求が来た場合、通常のリダイレクション機能を用いてもよく、この点は任意である。
【0075】
上記のような特殊なユーザ端末1及び当該特殊なユーザ端末1をサポートするゲートウェイ2を用いて本発明実施形態の方法例1及び2の変更点につき、以下に説明する。この場合には、方法例1及び2におけるST1とST2との間に以下の処理を実行させることになる。
【0076】
先ず、ユーザは当該特殊なユーザ端末1を用いてインターネットへの接続要求をする(ST1)。ここで、当該ユーザ端末1は、未だ認証されていない状態として説明する。この際、ゲートウェイ2が要求している特定のアプリケーション(例えば、WEBブラウザ)を用いて接続の要求がされなかった場合には、「特定のHTTP/HTTPS等のリバティーアライアンスで指定されたプロトコルで認証サーバ3へ接続しなさい」との指示を出す(ST3)。
【0077】
その結果、ユーザ端末1は、この指示に対して、上記条件を満たすWEBブラウザ等の特定のアプリケーションを用いて指定された認証サーバ3へ接続を行う。その後の処理は、上述した方法例1及び2と全く同一の処理手順に従う。
【0078】
この場合において、ゲートウェイ2は自己の認証サーバ3とローミング契約している認証サーバ3´に対しては、自己の認証サーバ3と同様に認証サーバ3´に対しても接続できるようにゲートウェイ2を設定するか、又はゲートウェイ2を通過せずにイントラネットを利用して接続できるように機能構成されている必要がある。
【0079】
以上のような処理を設けることにより、ユーザがネットワークを変更して利用した場合等にも、改めてネットワーク接続事業者に対する認証を行う必要がなくなり、一番最初に行った認証が有効利用されることになる。
【0080】
このような例外処理を方法例2に適用すると、例えば、ユーザが無線LANサービスを受けている場合やPHS又は携帯電話等の移動媒体を用いて複数のサービスを受けている場合に、認証処理のためにユーザがWEBブラウザを起動する手間を排除し、ユーザが他の認証サーバ3´と既に認証関係にある場合、ユーザは何の操作もすることなくインターネットNへの接続を継続して利用できる。
【0081】
さらに、イントラネットシステム上に全ての認証サーバ3が設置されている場合において、ユーザが上記無線端末を利用するときは、認証サーバ3がリバティーアライアンスアーティファクトプロファイルを利用しないように設定されれば、認証サーバ3は直接インターネット上の各種サーバと接続する必要がなくなるため、認証サーバ3にはインターネットNからのインターフェースを必要としなくなる。
【0082】
【発明の効果】
以上説明してきたように、ユーザはインターネットサービスプロバイダ等のネットワーク接続事業者に対する認証とシングルサインオンが利用可能なWEBサービスに対する認証を1回で済ますことができ、ユーザに対し過度に認証作業を強いることが無くなり負担軽減を実現する。
【0083】
また、本発明で実施する認証処理は従来のWEBによるクライアント認証技術を用いることができ、従来のユーザ端末やWEBサーバ等を特段変更することなく実施することができる。
【0084】
また、以上の効果に加え、ユーザ端末として特定のアプリケーションを用いることで、ユーザはHTTPベースでのサービス以外でもシームレスにネットワークの変更に対応でき、ユーザの負担をさらに緩和することができる。
【図面の簡単な説明】
【図1】本発明実施形態のシステム例1に係るネットワーク認証とシングルサインオンの一括認証システムの構成図である。
【図2】本発明実施形態の方法例1に係るネットワーク認証とシングルサインオンの一括認証方法のシーケンス図である。
【図3】図2に示すシーケンス図の続きを示すものである。
【図4】図2、図3に示すシーケンス図の続きを示すものである。
【図5】本発明実施形態のシステム例2に係るネットワーク認証とシングルサインオンの一括認証システムの構成図である。
【図6】本発明実施形態の方法例2に係るネットワーク認証とシングルサインオンの一括認証方法のシーケンス図である。
【図7】図6に示すシーケンス図の続きを示すものである。
【図8】図6、図7に示すシーケンス図の続きを示すものである。
【図9】図6、図7、図8に示すシーケンス図の続きを示すものである。
【符号の説明】
α、α´…ネットワーク認証とシングルサインオンの一括認証システム
N…Internet
1…ユーザ端末
2、2´…ゲートウェイ
3、3´…認証サーバ
4…WEBサーバ
Claims (10)
- ユーザ端末と、リバティーアライアンスにおけるシングルサインオンを実現する第三者認証機関となる認証サーバと、前記ユーザ端末からの接続に対して特定の前記認証サーバへの接続を許可するゲートウェイと、シングルサインオンの提携関係にある各種サービスプロバイダのWEBサービスを提供するWEBサーバとがネットワークを介して接続されている環境において、前記ユーザ端末がWEBサービスの提供を受ける際の認証を行う方法であって、
前記ユーザ端末が任意のWEBサーバに接続を試みると、
前記ゲートウェイは当該ユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対して前記認証サーバへリダイレクションにより接続するように指示を出し、
前記認証サーバは当該リダイレクション指示に従って接続してきたユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対し、認証処理を行うよう要求し、
当該ユーザ端末が認証処理を行った結果、認証が成功すれば、前記認証サーバは、前記ゲートウェイに当該ユーザ端末によるネットワークの利用を可能にするように指示を出し、
当該認証サーバの接続継続機能が有効であれば、当該ユーザ端末には認証処理が完了したことを通知し、無効であれば最初に当該ユーザ端末が接続を試みた前記WEBサーバにリダイレクションするよう指示を出し、
当該ユーザ端末が、ネットワーク利用中に当該ユーザ端末と提携関係にあるWEBサーバに接続すると、当該WEBサーバが当該ユーザ端末を認証した前記認証サーバに対し、リバティアライアンスのシングルサインオン機能により認証情報を要求してその結果によりサービスの可否を判断し、認証を受けていればWEBサービスを提供する、ことを特徴とするネットワーク認証とシングルサインオンの一括認証方法。 - 前記認証サーバは、
複数のネットワークインターフェースを有し、イントラネット環境とインターネット環境の両方から接続自在に構成される、ことを特徴とする請求項1に記載のネットワーク認証とシングルサインオンの一括認証方法。 - 前記ゲートウェイは、
前記ユーザ端末がHTTP/HTTPSで接続要求を行わなかった場合には、HTTP/HTTPSで特定の認証サーバに対して接続するように指示を出し、
前記ユーザ端末は、
前記ゲートウェイから前記指示が出された場合には、HTTP/HTTPSを用いて特定の認証サーバに対して接続を行う、ことを特徴とする請求項1又は2に記載のネットワーク認証とシングルサインオンの一括認証方法。 - 前記認証サーバは、
前記リダイレクションされてきたユーザ端末を認証していないと判断した場合には、当該ユーザ端末上のコモンドメインクッキーにより提携関係にある他の認証サーバで認証が既に行われているか否かを判断し、当該他の認証サーバにて既に認証されている場合には、リバティーアライアンスのシングルサインオン機能による認証情報の授受により認証状態を判断し、
一方で、前記ユーザ端末の認証をした場合には、自己が認証したことを前記ユーザ端末上のコモンドメインクッキーに記述する、ことを特徴とする請求項1、2又は3に記載のネットワーク認証とシングルサインオンの一括認証方法。 - 前記ゲートウェイは、
前記認証サーバによる認証が成功したことの通知により、当該認証が成功したユーザ端末のMACアドレス又はIPアドレスをリストに登録し、
一方、前記ユーザ端末が既に認証を受けているか否かの判断を行う際には、
前記ユーザ端末のMACアドレス又はIPアドレスが前記リストに登録されているか否かにより行う、ことを特徴とする請求項1、2、3又は4に記載のネットワーク認証とシングルサインオンの一括認証方法。 - ユーザ端末と、リバティーアライアンスにおけるシングルサインオンを実現する第三者認証機関となる認証サーバと、前記ユーザ端末からの接続に対して特定の前記認証サーバへの接続を許可するゲートウェイと、シングルサインオンの提携関係にある各種サービスプロバイダのWEBサービスを提供するWEBサーバとがネットワークを介して接続されている環境において、前記ユーザ端末がWEBサービスの提供を受ける際の認証を行うシステムであって、
前記ゲートウェイは、
前記ユーザ端末が任意のWEBサーバに接続を試みると、当該ユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対して前記認証サーバへリダイレクションにより接続する旨の指示を出すように機能構成され、
前記認証サーバは、
当該リダイレクションされてきたユーザ端末が既に認証を受けているか否かにつき判断し、認証を受けていなければ、当該ユーザ端末に対し、認証処理を行うよう要求するとともに、
当該ユーザ端末が認証処理を行った結果、認証が成功すれば、前記ゲートウェイに当該ユーザ端末によるネットワークの利用を可能にするように指示を出す一方、当該認証サーバの接続継続機能が有効であれば、当該ユーザ端末には認証処理が完了したことを通知し、無効であれば、最初に当該ユーザ端末が接続を試みた前記WEBサーバにリダイレクションする旨の指示を出すよう機能構成され、
前記WEBサーバは、
前記ユーザ端末から接続されると当該ユーザ端末を認証した認証サーバに対し、リバティーアライアンスのシングルサインオン機能により認証情報を要求してその結果によりサービスの可否を判断し、認証を受けていればWEBサービスを提供するよう機能構成される、ことを特徴とするネットワーク認証とシングルサインオンの一括認証システム。 - 前記認証サーバは、
複数のネットワークインターフェースを有し、イントラネット環境とインターネット環境の両方から接続自在に構成される、ことを特徴とする請求項6に記載のネットワーク認証とシングルサインオンの一括認証システム。 - 前記ゲートウェイは、
前記ユーザ端末がHTTP/HTTPSで接続要求を行わなかった場合には、HTTP/HTTPSで特定の認証サーバに対して接続するように指示を出すよう機能構成され、
前記ユーザ端末は、
前記ゲートウェイから前記指示が出された場合には、HTTP/HTTPSで特定の認証サーバに対して接続自在に機能構成される、ことを特徴とする請求項6又は7に記載のネットワーク認証とシングルサインオンの一括認証システム。 - 前記認証サーバは、
前記リダイレクションされてきたユーザ端末が認証されていないと判断された場合には、当該ユーザ端末上のコモンドメインクッキーにより提携関係にある他の認証サーバで認証が既に行われているか否かを判断し、当該他の認証サーバにて既に認証されている場合には、リバティーアライアンスのシングルサインオン機能による認証情報の授受により認証状態を判断し、
一方で、前記ユーザ端末の認証をした場合には、自己が認証したことを前記ユーザ端末上のコモンドメインクッキーに記述するよう機能構成される、ことを特徴とする請求項6、7又は8に記載のネットワーク認証とシングルサインオンの一括認証システム。 - 前記ゲートウェイは、
前記認証サーバによる認証が成功したことの通知により、当該認証が成功したユーザ端末のMACアドレス又はIPアドレスをリストに登録し、
一方、接続してきた前記ユーザ端末が既に認証を受けているか否かにつき判断する際には、
前記ユーザ端末のMACアドレス又はIPアドレスが前記リストに登録されているか否かで判断するよう機能構成される、ことを特徴とする請求項6、7、8又は9に記載のネットワーク認証とシングルサインオンの一括認証システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003148635A JP2004355073A (ja) | 2003-05-27 | 2003-05-27 | ネットワーク認証とシングルサインオンの一括認証方法及びシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003148635A JP2004355073A (ja) | 2003-05-27 | 2003-05-27 | ネットワーク認証とシングルサインオンの一括認証方法及びシステム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004355073A true JP2004355073A (ja) | 2004-12-16 |
Family
ID=34044946
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003148635A Pending JP2004355073A (ja) | 2003-05-27 | 2003-05-27 | ネットワーク認証とシングルサインオンの一括認証方法及びシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004355073A (ja) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006260321A (ja) * | 2005-03-18 | 2006-09-28 | Nec Corp | サービス提供システムおよびそのユーザ認証方法 |
JP2007213133A (ja) * | 2006-02-07 | 2007-08-23 | Fujitsu Ltd | 機器認証装置 |
JP2008234606A (ja) * | 2007-03-23 | 2008-10-02 | Nec Corp | 認証連携システム、中継装置、認証連携方法および認証連携プログラム |
JP2008242580A (ja) * | 2007-03-26 | 2008-10-09 | Nec Corp | 入退場認証システム、入退場システム、入退場認証方法、及び入退場認証用プログラム |
JP2011505735A (ja) * | 2007-11-26 | 2011-02-24 | チエッセピ−インノヴァツィオーネ・ネッレ・イチティ・ソシエタ・コーオペラティヴァ・ア・レスポンサビリタ・リミタータ | 異なる組織に属する複数のユーザのためのクレデンシャルの複製を行わない認証方法 |
JP2011076283A (ja) * | 2009-09-30 | 2011-04-14 | Nec Personal Products Co Ltd | クライアント装置、アクセス認証制御方法、および、アクセス認証制御プログラム |
JP2011522326A (ja) * | 2008-05-27 | 2011-07-28 | マイクロソフト コーポレーション | 分散セキュアコンテンツ管理システムに対する認証 |
JP2012509517A (ja) * | 2008-08-29 | 2012-04-19 | エヌイーシー ヨーロッパ リミテッド | ネットワークプロバイダ経由でサービスプロバイダへのネットワークアクセスをユーザに提供するプロセス |
WO2012058896A1 (zh) * | 2010-11-04 | 2012-05-10 | 中兴通讯股份有限公司 | 单点登录方法及系统 |
WO2012170005A1 (en) * | 2011-06-06 | 2012-12-13 | Hewlett-Packard Development Company, L.P. | Device redirection |
CN102469102B (zh) * | 2010-11-04 | 2016-11-30 | 中兴通讯股份有限公司 | 单点登录方法及系统 |
JP2017514220A (ja) * | 2014-04-14 | 2017-06-01 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | ポータル認証 |
US11178130B2 (en) * | 2011-06-30 | 2021-11-16 | Cable Television Laboratories, Inc. | Zero sign-on authentication |
-
2003
- 2003-05-27 JP JP2003148635A patent/JP2004355073A/ja active Pending
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006260321A (ja) * | 2005-03-18 | 2006-09-28 | Nec Corp | サービス提供システムおよびそのユーザ認証方法 |
JP2007213133A (ja) * | 2006-02-07 | 2007-08-23 | Fujitsu Ltd | 機器認証装置 |
JP2008234606A (ja) * | 2007-03-23 | 2008-10-02 | Nec Corp | 認証連携システム、中継装置、認証連携方法および認証連携プログラム |
JP2008242580A (ja) * | 2007-03-26 | 2008-10-09 | Nec Corp | 入退場認証システム、入退場システム、入退場認証方法、及び入退場認証用プログラム |
JP2011505735A (ja) * | 2007-11-26 | 2011-02-24 | チエッセピ−インノヴァツィオーネ・ネッレ・イチティ・ソシエタ・コーオペラティヴァ・ア・レスポンサビリタ・リミタータ | 異なる組織に属する複数のユーザのためのクレデンシャルの複製を行わない認証方法 |
US8910255B2 (en) | 2008-05-27 | 2014-12-09 | Microsoft Corporation | Authentication for distributed secure content management system |
JP2011522326A (ja) * | 2008-05-27 | 2011-07-28 | マイクロソフト コーポレーション | 分散セキュアコンテンツ管理システムに対する認証 |
JP2012509517A (ja) * | 2008-08-29 | 2012-04-19 | エヌイーシー ヨーロッパ リミテッド | ネットワークプロバイダ経由でサービスプロバイダへのネットワークアクセスをユーザに提供するプロセス |
US10313142B2 (en) | 2008-08-29 | 2019-06-04 | Nec Corporation | Process for providing network access for a user via a network provider to a service provider |
JP2011076283A (ja) * | 2009-09-30 | 2011-04-14 | Nec Personal Products Co Ltd | クライアント装置、アクセス認証制御方法、および、アクセス認証制御プログラム |
WO2012058896A1 (zh) * | 2010-11-04 | 2012-05-10 | 中兴通讯股份有限公司 | 单点登录方法及系统 |
US9015819B2 (en) | 2010-11-04 | 2015-04-21 | Zte Corporation | Method and system for single sign-on |
CN102469102B (zh) * | 2010-11-04 | 2016-11-30 | 中兴通讯股份有限公司 | 单点登录方法及系统 |
CN102469102A (zh) * | 2010-11-04 | 2012-05-23 | 中兴通讯股份有限公司 | 单点登录方法及系统 |
WO2012170005A1 (en) * | 2011-06-06 | 2012-12-13 | Hewlett-Packard Development Company, L.P. | Device redirection |
US11178130B2 (en) * | 2011-06-30 | 2021-11-16 | Cable Television Laboratories, Inc. | Zero sign-on authentication |
US20220078179A1 (en) * | 2011-06-30 | 2022-03-10 | Cable Television Laboratories, Inc. | Zero sign-on authentication |
JP2017514220A (ja) * | 2014-04-14 | 2017-06-01 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | ポータル認証 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220225263A1 (en) | Interworking function using untrusted network | |
KR101093902B1 (ko) | 사용자가 ip 망에 접속시 로컬 관리 도메인에서 사용자를 위한 접속 인증을 관리하는 방법 및 시스템 | |
US9877147B2 (en) | Support for WISPr attributes in a TAL/CAR PWLAN environment | |
JP4713338B2 (ja) | セルラ通信システムにおいて再認証を可能にする方法および装置 | |
US9762579B2 (en) | Internetwork authentication | |
JP4615239B2 (ja) | 独立したネットワーク間での共通の認証および認可の方法 | |
JP4701172B2 (ja) | リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法 | |
US8108903B2 (en) | Arrangement and a method relating to IP network access | |
US20060264201A1 (en) | Identity mapping mechanism in wlan access control with public authentication servers | |
US6456603B1 (en) | Method of supporting communications mobility in a telecommunications system | |
US20060173844A1 (en) | Automatic configuration of client terminal in public hot spot | |
JP2004007576A (ja) | 事前認証の方法と関連装置、および異種アクセスネットワークにおいて事前に設定される仮想プライベートネットワーク | |
JP2009514256A (ja) | 非信頼アクセスネットワークを介してシングルサインオン認証を行なう装置及び方法 | |
JP4352048B2 (ja) | ドメイン間ハンドオーバ | |
WO2019041937A1 (zh) | 一种漫游场景下的分流方法及相关设备 | |
EP2355439A1 (en) | Accessing restricted services | |
US9929942B2 (en) | Remote access to a residential multipath entity | |
JP2004355073A (ja) | ネットワーク認証とシングルサインオンの一括認証方法及びシステム | |
US20180077139A1 (en) | Method and system for accessing service/data of a first network from a second network for service/data access via the second network | |
Corici et al. | 5g non-public-networks (npn) roaming architecture | |
WO2011026341A1 (zh) | 一种移动ip业务的接入方法和系统 | |
AU2004214282A1 (en) | Terminating a session in a network | |
JP5920891B2 (ja) | 通信サービス認証・接続システム及びその方法 | |
Eertink et al. | Combining RADIUS with secure DNS for dynamic trust establishment between domains | |
CN116830531A (zh) | 漫游期间经由基于联盟的网络提供安全服务 |