JP2006331204A - Authentication method and authentication system - Google Patents

Authentication method and authentication system Download PDF

Info

Publication number
JP2006331204A
JP2006331204A JP2005155920A JP2005155920A JP2006331204A JP 2006331204 A JP2006331204 A JP 2006331204A JP 2005155920 A JP2005155920 A JP 2005155920A JP 2005155920 A JP2005155920 A JP 2005155920A JP 2006331204 A JP2006331204 A JP 2006331204A
Authority
JP
Japan
Prior art keywords
user
authentication
identification information
user terminal
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005155920A
Other languages
Japanese (ja)
Inventor
Takeshi Ojiri
健 尾尻
Osamu Okino
修 沖野
Michio Shimomura
道夫 下村
Kuniaki Naoi
邦彰 直井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Resonant Inc
Original Assignee
NTT Resonant Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Resonant Inc filed Critical NTT Resonant Inc
Priority to JP2005155920A priority Critical patent/JP2006331204A/en
Publication of JP2006331204A publication Critical patent/JP2006331204A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To prevent a provided service from being received through spoofing. <P>SOLUTION: If the authentication state of a user to be authenticated is an unauthenticated one, an authentication proxy server requests user identification information about the user from a user terminal, and the user terminal notifies user identification information about the user including line identification information to the authentication proxy server. The authentication proxy server identifies the user and a subscriber line by the user identification information, verifies whether or not the user may use the subscriber line, and if it may be used, sets an authenticated state and notifies authentication result information indicating the successful authentication to a service server. If failing to identify the user or subscriber line by the user identification information or if finding that the user may not use the subscriber line, the authentication proxy server sends authentication result information indicating the failed authentication to the service server. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、利用者がサービスサーバから通信網を介してサービス提供を受ける通信網構成におけるシングルサインオン認証技術に関し、特に正当な利用者へのなりすまし防止を強化した認証方法及び認証システムに関する。   The present invention relates to a single sign-on authentication technique in a communication network configuration in which a user is provided with a service from a service server via a communication network, and more particularly to an authentication method and an authentication system with enhanced prevention of impersonation of a legitimate user.

従来から一度の認証手続きを行うことにより、通信網上の複数のWebサーバに対して、アクセスを可能とするシングルサインオン技術が知られている。このシングルサインオン技術にはリバース・プロキシ型とエージェント・モジュール型がある。リバース・プロキシ型はWebサーバ宛のサービス要求を全て専用のシングルサインオンサーバで受け付け、利用者毎に規定されたアクセスリストに照らし合わせてサービス要求の転送可否を取捨選択する方法である。一方エージェント・モジュール型は、各Webサーバで利用者認証の認証状態を判断し、未認証の場合には利用者のアクセス要求をシングルサインオンサーバヘ転送して認証を受けさせるものである。認証が成功すると証明書が発行され、各Webサーバはシングルサインオンサーバが発行した証明書を検証することにより、この利用者のアクセス可否を判断する。   Conventionally, a single sign-on technique that enables access to a plurality of Web servers on a communication network by performing a single authentication procedure is known. This single sign-on technology includes a reverse proxy type and an agent module type. The reverse proxy type is a method in which all service requests addressed to a Web server are received by a dedicated single sign-on server, and whether or not the service request can be transferred is selected according to an access list defined for each user. On the other hand, in the agent module type, the authentication status of user authentication is determined in each Web server, and if it is not authenticated, the user's access request is transferred to the single sign-on server for authentication. If the authentication is successful, a certificate is issued, and each Web server determines whether the user can access by verifying the certificate issued by the single sign-on server.

上記に述べた動作をするシングルサインオンシステムは既に各社から販売されており、一般消費者向けの商用サービスでも利用されている。また、Liberty Allianceプロジェクト(http://www.projectliberty.org,http://www.projectliberty.org/jp/)ではID−FF(Identity Federation Framework)仕様においてID連携型シングルサインオンに関するオープンな標準仕様を規定している。   Single sign-on systems that perform the operations described above have already been sold by various companies, and are also used in commercial services for general consumers. The Liberty Alliance project (http://www.projectliberty.org, http://www.projectliberty.org/jp/) is an open standard for ID federated single sign-on in the ID-FF (Identity Federation Framework) specification. Defines specifications.

一方、通信網において、近年インターネットプロトコル・バージョン6(IPv6)を実装した装置類の普及が進んでいる。これと並行して、加入者回線毎に固定のIPv6アドレスブロック(プレフィックス)を通信網側で割り当てるIPv6接続サービスが広く提供されており、このサービスを享受する利用者側の機器ではそのIPv6アドレスブロック内の1つを自らのアドレスとしてIPv6による通信を行う。通信網側で割り当てたプレフィックスを利用者側の機器へ通知する方式としては、インターネット・エンジニアリング・タスクフォース(IETF)において規定された仕様であるRFC2461(http://www.ietf.org/rfc/rfc2461.txt)が一般的である。   On the other hand, in a communication network, devices equipped with Internet Protocol Version 6 (IPv6) have been spreading in recent years. In parallel with this, an IPv6 connection service in which a fixed IPv6 address block (prefix) is assigned on the communication network side for each subscriber line is widely provided, and a user side device that enjoys this service uses the IPv6 address block. One of these addresses is used as its own address to perform communication using IPv6. RFC 2461 (http://www.ietf.org/rfc/), which is a specification prescribed in the Internet Engineering Task Force (IETF), is used as a method for notifying a user-side device of a prefix assigned on the communication network side. rfc2461.txt) is common.

また、近年の通信網においては、加入者回線にも光ファイバが広く適用されつつあり、通信網の加入者回線区間における盗聴や情報改ざんを防止することが可能となってきている。   Further, in recent communication networks, optical fibers are being widely applied to subscriber lines, and it has become possible to prevent wiretapping and information alteration in the subscriber line section of the communication network.

なお、ネットワークを介してサービスを提供する上で、サービス提供時のパフォーマンスへの影響が少ないシングルサインオンを実現することができる認証システムが知られている(例えば、特許文献1参照)。
特開2005−062556号公報 Note that there is known an authentication system capable of realizing single sign-on that has little influence on performance when providing a service via a network (see, for example, Patent Document 1).
Japanese Patent Laying-Open No. 2005-062556

ところで、従来の技術においては、利用者を認証するための情報(例えばパスワード等)が第三者に漏洩した場合に、第三者が通信網上の別の接続点に利用者端末を接続し、不正に取得した認証情報を使用して認証を成功させることにより、第三者によって正当な利用者へのなりすましがなされる危険性があるという問題がある。特にシングルサインオンシステムにおいては、正当な利用者ヘのなりすましが一度なされると多数のWebサーバにおいてもなりすましが有効になるため、なりすましの被害が拡大しやすく、なりすまし防止が極めて大きな技術課題である。   By the way, in the conventional technology, when information (for example, password) for authenticating the user is leaked to a third party, the third party connects the user terminal to another connection point on the communication network. There is a problem in that there is a risk of impersonation of a legitimate user by a third party by successfully authenticating using authentication information obtained illegally. Especially in the single sign-on system, once impersonation of a legitimate user is performed, impersonation is effective for a large number of Web servers. Therefore, impersonation damage is easy to spread, and prevention of impersonation is a very big technical issue. .

本発明は、このような事情に鑑みてなされたもので、通信網へ接続する加入者回線と利用者との関連づけを行い、この情報を活用して利用者毎に特定された加入者回線以外からは当該利用者になりすましてのシングルサインオンシステムの利用ができないようにすることができる認証方法及び認証システムを提供することを目的とする。   The present invention has been made in view of such circumstances, and associates a subscriber line connected to a communication network with a user, and utilizes this information other than the subscriber line specified for each user. An object of the present invention is to provide an authentication method and an authentication system that can prevent the use of a single sign-on system impersonating the user.

本発明は、サービスの提供を受ける利用者端末と、前記利用者端末を加入者回線を介して通信網と接続する回線接続装置と、前記通信網に接続され、前記利用者へサービスを提供するサービスサーバと、前記通信網に接続され、前記サービスサーバのサービス提供のために前記利用者の認証を代行する認証代行サーバとを備えたシステムにおける認証方法であって、前記利用者端末が前記回線接続装置に対して当該利用者端末が接続された加入者回線の回線識別情報を要求し、前記回線接続装置が前記利用者端末に対して当該利用者端末が接続された加入者回線の回線識別情報を通知するステップと、前記サービスサーバが前記利用者端末からサービス提供要求を受けた場合に、前記利用者の認証状態を確認し、未認証の場合には前記認証代行サーバへ前記利用者の認証代行を要求するステップと、前記認証代行サーバが前記利用者端末に対して当該利用者の利用者識別情報を要求し、前記利用者端末が前記回線識別情報を含む当該利用者の利用者識別情報を前記認証代行サーバに通知するステップと、前記認証代行サーバが前記利用者識別情報に基づいて利用者と加入者回線の識別を行い、当該利用者が当該加入者回線を利用可能か否かを検証し、利用可能であれば認証済みの状態とした後に、認証済みであることを示す認証結果情報を前記サービスサーバヘ通知するステップと、前記認証代行サーバが前記利用者識別情報に基づいて利用者や加入者回線の識別が行えなかった場合、もしくは当該利用者が当該加入者回線を利用可能ではない場合に、認証が無効であることを示す認証結果情報を前記サービスサーバヘ送るステップとを有することを特徴とする。   The present invention provides a user terminal receiving service provision, a line connection device for connecting the user terminal to a communication network via a subscriber line, and providing the service to the user connected to the communication network. An authentication method in a system comprising: a service server; and an authentication proxy server that is connected to the communication network and performs authentication of the user for providing the service of the service server, wherein the user terminal is connected to the line Requesting line identification information of the subscriber line to which the user terminal is connected to the connection device, and the line connection device to identify the line of the subscriber line to which the user terminal is connected to the user terminal A step of notifying information, and when the service server receives a service provision request from the user terminal, the authentication status of the user is confirmed. Requesting authentication authorization of the user to a server, the authorization agency server requesting user identification information of the user to the user terminal, and the user terminal including the line identification information Notifying the authentication agent server of the user identification information of the user, the authentication agent server identifying the user and the subscriber line based on the user identification information, and the user Verifying whether or not the service can be used, and if the service can be used, the authentication result information indicating that the service has been authenticated is sent to the service server. Indicates that the authentication is invalid if the user or subscriber line cannot be identified based on the subscriber identification information, or if the user is unable to use the subscriber line. It characterized by having a sending a testimony result information said service server f.

本発明は、サービスの提供を受ける利用者端末と、前記利用者端末を加入者回線を介して通信網と接続する回線接続装置と、前記通信網に接続され、前記利用者へサービスを提供するサービスサーバと、前記通信網に接続され、前記サービスサーバのサービス提供のために前記利用者の認証を代行する認証代行サーバとを備えた認証システムであって、前記回線接続装置は、前記利用者端末から当該利用者端末を接続する加入者回線の回線識別情報の通知要求を受信し、前記利用者端末に対して回線識別情報を送信する手段を備え、前記利用者端末は、前記回線接続装置に当該利用者端末を接続する加入者回線の回線識別情報通知の要求を送信し、前記回線接続装置から通知される回線識別情報を受信する手段と、前記回線識別情報を含む利用者識別情報を前記認証代行サーバに送信する手段とを備え、前記認証代行サーバは、前記サービスサーバから認証代行要求を受信する手段と、
前記利用者の認証状態を保持し確認する手段と、前記利用者が認証済みの場合に、認証済みであることを示す認証結果情報を前記サービスサーバに通知する手段と、前記利用者が未認証の場合に、前記利用者端末に利用者識別情報通知の要求を送信し、前記利用者端末から通知される前記利用者識別情報を受信する手段と、前記利用者識別情報から利用者と加入者回線を識別する手段と、前記利用者識別情報から識別された利用者が、前記利用者識別情報から識別された加入者回線を利用可能か確認する手段と、前記利用者が前記加入者回線を利用可能である場合に、当該利用者の認証状態を認証済みに変更し、認証済みであることを示す認証結果情報を前記サービスサーバに送信する手段と、前記利用者識別情報から利用者や加入者回線を識別できない場合、もしくは前記利用者識別情報から識別された利用者が前記利用者識別情報から識別された加入者回線を利用可能ではない場合に、認証が無効であることを示す認証結果情報を前記サービスサーバに送信する手段とを備え、前記サービスサーバは、前記認証結果情報を検証して、前記認証結果情報が有効である場合に、前記利用者端末ヘサービスを提供し、前記認証結果情報が無効である場合に、前記利用者端末ヘサービス提供が不可であることを通知する手段を備えることを特徴とする。 The present invention provides a user terminal receiving service provision, a line connection device for connecting the user terminal to a communication network via a subscriber line, and providing the service to the user connected to the communication network. An authentication system comprising: a service server; and an authentication proxy server connected to the communication network and acting as a proxy for the user to provide the service of the service server, wherein the line connection device includes the user A means for receiving a notification request for line identification information of a subscriber line connecting the user terminal from the terminal, and transmitting the line identification information to the user terminal, wherein the user terminal includes the line connection device; A line identification information notification request for a subscriber line connected to the user terminal and receiving the line identification information notified from the line connection device; 'S identification information and means for transmitting to the authentication proxy server, wherein the authentication agent server includes means for receiving an authentication proxy request from the service server,
Means for holding and confirming the authentication status of the user, means for notifying the service server of authentication result information indicating that the user has been authenticated when the user has been authenticated, and the user being unauthenticated In this case, means for transmitting a user identification information notification request to the user terminal and receiving the user identification information notified from the user terminal, and a user and a subscriber from the user identification information Means for identifying a line; means for confirming whether the user identified from the user identification information can use the subscriber line identified from the user identification information; and If it can be used, the authentication status of the user is changed to authenticated, and authentication result information indicating that the user has been authenticated is transmitted to the service server, and the user or subscription is determined from the user identification information. Person line Authentication result information indicating that the authentication is invalid when the user identified by the user identification information cannot use the subscriber line identified by the user identification information. Means for transmitting to the service server, the service server verifies the authentication result information, and provides the service to the user terminal when the authentication result information is valid, and the authentication result information A means for notifying the user terminal that it is impossible to provide a service when invalid is provided.

本発明によれば、利用者毎に特定された加入者回線以外からは当該利用者になりすましてのシングルサインオンシステムの利用ができないようにすることが可能となり、正当な利用者へのなりすまし防止を強化することができるという効果が得られる。   According to the present invention, it is possible to prevent the use of the single sign-on system pretending to be a user other than the subscriber line specified for each user, and to prevent impersonation of a legitimate user. The effect that can be strengthened is obtained.

以下、本発明の一実施形態による認証システムを図面を参照して説明する。図1は同実施形態の構成を示すブロック図である。この図において、符号1は、通信網であり、回線接続装置11、サービスサーバ12及び認証代行サーバ13が接続される。符号2は、サービスサーバ12が提供するサービスを受ける利用者端末である。符号3は、回線接続装置11を介して利用者端末2を通信網1に接続する加入者回線である。   Hereinafter, an authentication system according to an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing the configuration of the embodiment. In this figure, reference numeral 1 denotes a communication network, to which a line connection device 11, a service server 12, and an authentication proxy server 13 are connected. Reference numeral 2 denotes a user terminal that receives a service provided by the service server 12. Reference numeral 3 denotes a subscriber line that connects the user terminal 2 to the communication network 1 via the line connection device 11.

図1を参照して、通信網1、利用者端末2、加入者回線3、回線接続装置11、サービスサーバ12及び認証代行サーバ13により構成されるシステムにおいて、認証代行サーバ13において回線識別情報を利用した利用者認証を実施する場合の処理手順を簡単に説明する。図1においては、サービスサーバ12が認証代行サーバ13に認証の代行を要求し、かつ、認証代行サーバ13における当該利用者の認証状態が未認証であり、かつ、利用者が加入者回線3を利用可能である場合を例にして説明する。   Referring to FIG. 1, in a system constituted by a communication network 1, a user terminal 2, a subscriber line 3, a line connection device 11, a service server 12 and an authentication proxy server 13, line identification information is stored in the authentication proxy server 13. A processing procedure for performing the user authentication used will be briefly described. In FIG. 1, the service server 12 requests the authentication proxy server 13 to perform authentication proxy, the authentication status of the user in the authentication proxy server 13 is unauthenticated, and the user connects the subscriber line 3. The case where it can be used will be described as an example.

まず、利用者端末2は、回線接続装置11に対して利用者端末2が接続された加入者回線3の回線識別情報を通知するように要求する(ステップS101)。これを受けて、回線接続装置11は、利用者端末2へ利用者端末2が接続された加入者回線3の回線識別情報を通知する(ステップS102)。続いて、利用者は、利用者端末2を操作してサービスサーバ12に対してサービス提供を要求する(ステップS103)。これを受けて、サービスサーバ12は、利用者の認証状態を確認し、利用者の認証状態が未認証であれば、認証代行サーバ13に対して利用者の認証の代行を要求する(ステップS104)。   First, the user terminal 2 requests the line connection device 11 to notify the line identification information of the subscriber line 3 to which the user terminal 2 is connected (step S101). In response, the line connection device 11 notifies the user terminal 2 of the line identification information of the subscriber line 3 to which the user terminal 2 is connected (step S102). Subsequently, the user operates the user terminal 2 to request service provision from the service server 12 (step S103). In response to this, the service server 12 confirms the user authentication status. If the user authentication status is unauthenticated, the service server 12 requests the authentication proxy server 13 to perform user authentication proxy (step S104). ).

認証代行サーバ13は、この認証要求を受け付け、利用者の認証状態を確認し、利用者の認証状態が未認証であれば、利用者端末2へ利用者識別情報の通知するように要求する(ステップS105)。これを受けて、利用者端末2は、回線接続装置11から通知された回線識別情報を含む利用者識別情報を認証代行サーバ13に対して通知する(ステップS106)。この利用者識別情報の通知を受けると認証代行サーバ13は、利用者と加入者回線の識別を行い、当該利用者が当該加入者回線を利用可能か否かを検証し、利用可能であれば認証済みの状態とし、認証済みであることを示す認証結果情報を生成し、サービスサーバ12に対して通知する(ステップS107)。サービスサーバ12は、認証結果情報を検証し、有効であれば利用者端末2に対してサービスを提供する(ステップS108)。   The authentication proxy server 13 accepts this authentication request, confirms the user authentication status, and if the user authentication status is unauthenticated, requests the user terminal 2 to notify the user identification information ( Step S105). In response to this, the user terminal 2 notifies the authentication proxy server 13 of user identification information including the line identification information notified from the line connection device 11 (step S106). Upon receiving the notification of the user identification information, the authentication agent server 13 identifies the user and the subscriber line, verifies whether or not the user can use the subscriber line, and if it is available. Authentication result information indicating that authentication has been made is generated and notified to the service server 12 (step S107). The service server 12 verifies the authentication result information, and if valid, provides the service to the user terminal 2 (step S108).

なお、他のサービスサーバが同一の利用者に関する認証代行を認証代行サーバ13へ要求済みで、既に認証代行サーバ13における当該利用者の認証状態が「認証済み」となっている場合は、認証代行サーバ13における認証処理は実施せずに有効な認証結果情報をサービスサーバ12へ通知する。この場合、利用者は認証操作を行う必要はなく、いわゆるシングルサインオンによるサービス享受が可能となる。   If another service server has already requested the authentication agent server 13 for an authentication agent related to the same user and the authentication state of the user in the authentication agent server 13 is already “authenticated”, the authentication agent The server 13 notifies the service server 12 of valid authentication result information without performing the authentication process. In this case, the user does not need to perform an authentication operation and can enjoy a service by so-called single sign-on.

前述の説明において、回線識別情報とは、例えば、加入者回線毎に通信網側で固定的に割り当てられRFC2461に準拠したプロトコルにより利用者端末へ通知されるIPv6アドレスブロック(プレフィックス)であってもよく、加入者回線毎にDHCP(Dynamic Host Configuration Protocol;RFC1541にて規定)を用いて動的に割り当てられるIPv4アドレスであってもよく、その他の加入者回線を識別できる何らかの識別子であってもよい。   In the above description, the line identification information may be, for example, an IPv6 address block (prefix) that is fixedly assigned on the communication network side for each subscriber line and is notified to the user terminal by a protocol based on RFC 2461. It may be an IPv4 address dynamically assigned using DHCP (Dynamic Host Configuration Protocol; defined in RFC1541) for each subscriber line, or any identifier that can identify other subscriber lines. .

また、利用者識別情報は、利用者を一意に特定するための情報と、上記の回線識別情報を含んでいる必要があるが、これらの他に、例えば、利用者の本人性を確認するためのパスワードや公開鍵証明書等の情報が含まれていてもよい。さらに、認証結果情報は、認証代行サーバ13における認証の結果と、利用者の識別子を含んでいる必要があるが、詐称やなりすましや改竄等を防止する適切な処置(電子署名等)が施されていてもよく、認証代行サーバ13における認証の方法や実施日時が含まれていてもよく、認証結果の有効期間の情報が含まれていてもよい。   Further, the user identification information needs to include information for uniquely identifying the user and the above-described line identification information. In addition to these, for example, to confirm the identity of the user. Information such as passwords and public key certificates may be included. Furthermore, the authentication result information needs to include the result of authentication in the authentication proxy server 13 and the user identifier, but appropriate measures (such as electronic signatures) to prevent misrepresentation, impersonation, and falsification are applied. The authentication proxy server 13 may include an authentication method and an implementation date, and may include information on the validity period of the authentication result.

また、各情報を送受信する際のプロトコルは任意であり、例えばHTTP(HTTPS)を使用することが可能である。HTTP(HTTPS)を利用した場合は、図1におけるステップS104、S107はHTTPリダイレクトにより利用者端末2経由で情報を転送するようにしてもよい。   Further, the protocol for transmitting and receiving each information is arbitrary, and for example, HTTP (HTTPS) can be used. When HTTP (HTTPS) is used, steps S104 and S107 in FIG. 1 may transfer information via the user terminal 2 by HTTP redirection.

次に、サービスサーバ12が認証代行サーバ13に認証の代行を要求し、かつ、認証代行サーバ13における当該利用者の認証状態が未認証であり、かつ、利用者が加入者回線3を利用可能である場合の動作を、図2に示すシーケンス図を参照して説明する。まず、利用者端末2が回線接続装置11へ利用者端末2が接続された加入者回線3の回線識別情報の通知を要求する(ステップS201)。これを受けて、回線接続装置11は、利用者端末2に対して、利用者端末2が接続された加入者回線3の回線識別情報を通知する(ステップS202)。そして、利用者が利用者端末2を操作してサービスサーバ12に対してサービス提供を要求する(ステップS203)。これに対して、サービスサーバ12は、利用者端末2の認証状態を確認する(ステップS204)。サービスサーバ12はステップS204において、利用者端末2の認証状態が未認証であれば、認証代行サーバ13へ利用者端末2の認証の代行を要求する(ステップS205)。   Next, the service server 12 requests the authentication proxy server 13 for authentication, the authentication status of the user in the authentication proxy server 13 is unauthenticated, and the user can use the subscriber line 3. The operation in the case of is described with reference to the sequence diagram shown in FIG. First, the user terminal 2 requests the line connection device 11 to notify the line identification information of the subscriber line 3 to which the user terminal 2 is connected (step S201). In response, the line connection device 11 notifies the user terminal 2 of the line identification information of the subscriber line 3 to which the user terminal 2 is connected (step S202). Then, the user operates the user terminal 2 to request service provision from the service server 12 (step S203). On the other hand, the service server 12 confirms the authentication state of the user terminal 2 (step S204). If the authentication status of the user terminal 2 is unauthenticated in step S204, the service server 12 requests the authentication proxy server 13 to perform authentication of the user terminal 2 (step S205).

認証代行サーバ13が認証要求を受けると、利用者端末2の認証状態を確認する(ステップS206)。認証代行サーバ13は、ステップS206において、利用者端末2の認証状態が未認証であれば、利用者端末2へ利用者識別情報を要求する(ステップS207)。これを受けて、利用者端末2が回線接続装置11から通知された回線識別情報を含む利用者識別情報を認証代行サーバ13に通知する(ステップS208)。認証代行サーバ13は、この利用者識別情報を受け取ると、利用者と加入者回線の識別を行い、当該利用者が当該加入者回線を利用可能か否かを検証する(ステップS209)。   When the authentication proxy server 13 receives the authentication request, the authentication state of the user terminal 2 is confirmed (step S206). If the authentication status of the user terminal 2 is unauthenticated in step S206, the authentication proxy server 13 requests user identification information from the user terminal 2 (step S207). In response to this, the user terminal 2 notifies the authentication proxy server 13 of the user identification information including the line identification information notified from the line connection device 11 (step S208). Upon receiving this user identification information, the authentication proxy server 13 identifies the user and the subscriber line, and verifies whether or not the user can use the subscriber line (step S209).

そして、認証代行サーバ13は、ステップS209において、利用者が加入者回線を利用可能であれば認証済みの状態とし(ステップS210)、認証済みであることを示す認証結果情報を生成し、サービスサーバ12に対して通知する(ステップS211)。サービスサーバ12は、通知された認証結果情報を検証し(ステップS212)、認証結果情報が有効であれば認証済みの状態に変更する(ステップS213)。そして、サービスサーバ12は、利用者端末2に対してヘサービスを提供する(ステップS214)。   Then, in step S209, the authentication proxy server 13 sets an authenticated state if the user can use the subscriber line (step S210), generates authentication result information indicating that the user has been authenticated, and generates a service server. 12 is notified (step S211). The service server 12 verifies the notified authentication result information (step S212). If the authentication result information is valid, the service server 12 changes to an authenticated state (step S213). Then, the service server 12 provides a service to the user terminal 2 (step S214).

次に、図3、図4を参照して、サービスサーバ12及び認証代行サーバ13の処理動作の詳細を説明する。図3は、図1に示すサービスサーバ12の動作を示すフローチャートである。図4は、図1に示す認証代行サーバ13の動作を示すフローチャートである。   Next, details of processing operations of the service server 12 and the authentication proxy server 13 will be described with reference to FIGS. 3 and 4. FIG. 3 is a flowchart showing the operation of the service server 12 shown in FIG. FIG. 4 is a flowchart showing the operation of the authentication proxy server 13 shown in FIG.

まず、サービスサーバ12は、利用者端末2からのサービス要求を受けると(ステップS301)、この利用者の認証状態を確認し(ステップS302)、認証済みであればステップS307の処理へ移行する。一方、未認証であれば、サービスサーバ12は、認証代行サーバ13に対して利用者の認証の代行を要求する(ステップS303)。   First, when the service server 12 receives a service request from the user terminal 2 (step S301), the service server 12 confirms the authentication status of the user (step S302). If authenticated, the service server 12 proceeds to the process of step S307. On the other hand, if unauthenticated, the service server 12 requests the authentication proxy server 13 to perform user authentication proxy (step S303).

認証代行サーバ13は、サービスサーバ12からの認証代行要求を受信すると(ステップS401)、利用者の認証状態を確認し(ステップS402)、認証済みであればステップS408の処理へ移行する。一方、未認証であれば、認証代行サーバ13は、利用者端末2に対して利用者識別情報の通知を要求する(ステップS403)。続いて、認証代行サーバ13は、この要求に対して返答するために利用者端末2が送信した利用者識別情報を受信する(ステップS404)。そして、認証代行サーバ13は、受信した利用者識別情報から利用者と加入者回線3を識別する(ステップS405)。この結果、識別が失敗した場合はステップS409の処理へ移行する。   Upon receiving the authentication proxy request from the service server 12 (step S401), the authentication proxy server 13 confirms the user authentication status (step S402). If authenticated, the process proceeds to step S408. On the other hand, if unauthenticated, the authentication agent server 13 requests the user terminal 2 to notify the user identification information (step S403). Subsequently, the authentication agent server 13 receives the user identification information transmitted by the user terminal 2 in order to respond to this request (step S404). Then, the authentication agent server 13 identifies the user and the subscriber line 3 from the received user identification information (step S405). As a result, if the identification fails, the process proceeds to step S409.

一方、識別が成功した場合、認証代行サーバ13は、利用者識別情報から識別された利用者が、利用者識別情報から識別された加入者回線を利用可能か否かを確認する(ステップS406)。この確認の結果、利用不可である場合はステップS409の処理へ移行する。一方、利用可能であることが確認できた場合、認証代行サーバ13における利用者の認証状態を認証済みに変更し(ステップS407)、サービスサーバ12に対して当該利用者が認証済みであることを示す認証結果情報を通知する(ステップS408)。   On the other hand, if the identification is successful, the authentication agent server 13 confirms whether or not the user identified from the user identification information can use the subscriber line identified from the user identification information (step S406). . As a result of the confirmation, if it cannot be used, the process proceeds to step S409. On the other hand, if it can be confirmed that the user is available, the authentication state of the user in the authentication proxy server 13 is changed to authenticated (step S407), and the user is authenticated to the service server 12. The authentication result information shown is notified (step S408).

また、認証代行サーバ13は、受信した利用者識別情報から利用者と加入者回線3を識別した結果、識別が失敗した場合(ステップS405において識別失敗)と、利用者識別情報から識別された利用者が、利用者識別情報から識別された加入者回線を利用可能か否かを確認した結果、利用不可であった場合(ステップS406において利用不可)には、サービスサーバ12に対して当該利用者の認証が無効であることを示す認証結果情報を通知する(ステップS409)。   Further, the authentication proxy server 13 identifies the user and the subscriber line 3 from the received user identification information, and if the identification fails (identification failed in step S405), the use identified from the user identification information. If the user confirms whether or not the subscriber line identified from the user identification information can be used, if the user is not available (cannot be used in step S406), the service server 12 is notified of the user. Authentication result information indicating that the authentication is invalid is notified (step S409).

次に、サービスサーバ12は、認証代行サーバ13が送信した認証結果情報を受信し(ステップS304)、認証結果情報を検証する(ステップS305)。そして、受信した認証結果情報が認証無効であることを示す情報である場合は、利用者端末2に対して認証が失敗した旨を通知する(ステップS308)。一方、受信した認証結果情報が認証済みであることを示す情報である場合は、サービスサーバ12における利用者の認証状態を認証済みに変更し(ステップS306)、利用者端末2に対してサービスを提供する(ステップS307)。   Next, the service server 12 receives the authentication result information transmitted from the authentication proxy server 13 (step S304), and verifies the authentication result information (step S305). If the received authentication result information is information indicating that the authentication is invalid, the user terminal 2 is notified that the authentication has failed (step S308). On the other hand, if the received authentication result information is information indicating that authentication has been completed, the user authentication state in the service server 12 is changed to authenticated (step S306), and the service is provided to the user terminal 2. Provide (step S307).

なお、図1における処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより認証処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。   1 is recorded on a computer-readable recording medium, and the program recorded on the recording medium is read into a computer system and executed to perform an authentication process. May be. Here, the “computer system” includes an OS and hardware such as peripheral devices. The “computer system” includes a WWW system provided with a homepage providing environment (or display environment). The “computer-readable recording medium” refers to a portable medium such as a flexible disk, a magneto-optical disk, a ROM, and a CD-ROM, and a storage device such as a hard disk built in the computer system. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.

また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。   The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.

本発明の一実施形態の構成を示すブロック図である。It is a block diagram which shows the structure of one Embodiment of this invention. 図1に示すシステムの動作を示すシーケンス図である。It is a sequence diagram which shows operation | movement of the system shown in FIG. 図1に示すサービスサーバ12の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the service server 12 shown in FIG. 図1に示す認証代行サーバ13の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the authentication proxy server 13 shown in FIG.

符号の説明Explanation of symbols

1・・・通信網
2・・・利用者端末
3・‥加入者回線
11‥・回線接続装置
12・・・サービスサーバ
13・・・認証代行サーバ
DESCRIPTION OF SYMBOLS 1 ... Communication network 2 ... User terminal 3 ... Subscriber line 11 ... Line connection apparatus 12 ... Service server 13 ... Authentication agent server

Claims (2)

サービスの提供を受ける利用者端末と、前記利用者端末を加入者回線を介して通信網と接続する回線接続装置と、前記通信網に接続され、前記利用者へサービスを提供するサービスサーバと、前記通信網に接続され、前記サービスサーバのサービス提供のために前記利用者の認証を代行する認証代行サーバとを備えたシステムにおける認証方法であって、
前記利用者端末が前記回線接続装置に対して当該利用者端末が接続された加入者回線の回線識別情報を要求し、前記回線接続装置が前記利用者端末に対して当該利用者端末が接続された加入者回線の回線識別情報を通知するステップと、
前記サービスサーバが前記利用者端末からサービス提供要求を受けた場合に、前記利用者の認証状態を確認し、未認証の場合には前記認証代行サーバへ前記利用者の認証代行を要求するステップと、
前記認証代行サーバが前記利用者端末に対して当該利用者の利用者識別情報を要求し、前記利用者端末が前記回線識別情報を含む当該利用者の利用者識別情報を前記認証代行サーバに通知するステップと、
前記認証代行サーバが前記利用者識別情報に基づいて利用者と加入者回線の識別を行い、当該利用者が当該加入者回線を利用可能か否かを検証し、利用可能であれば認証済みの状態とした後に、認証済みであることを示す認証結果情報を前記サービスサーバヘ通知するステップと、
前記認証代行サーバが前記利用者識別情報に基づいて利用者や加入者回線の識別が行えなかった場合、もしくは当該利用者が当該加入者回線を利用可能ではない場合に、認証が無効であることを示す認証結果情報を前記サービスサーバヘ送るステップと、
を有することを特徴とする認証方法。 A user terminal that receives service provision, a line connection device that connects the user terminal to a communication network via a subscriber line, a service server that is connected to the communication network and provides a service to the user; An authentication method in a system comprising an authentication proxy server connected to the communication network and proxying the user for providing the service of the service server,
The user terminal requests line identification information of a subscriber line to which the user terminal is connected to the line connection device, and the line connection device is connected to the user terminal. Notifying the line identification information of the subscriber line,
Confirming the authentication status of the user when the service server receives a service provision request from the user terminal, and requesting the authentication proxy of the user to the authentication proxy server when not authenticated. ,
The authentication proxy server requests the user identification information of the user from the user terminal, and the user terminal notifies the authentication proxy server of the user identification information of the user including the line identification information. And steps to
The authentication agent server identifies the user and the subscriber line based on the user identification information, verifies whether or not the user can use the subscriber line, and if it is available, it is authenticated. A step of notifying the service server of authentication result information indicating that it has been authenticated after entering the state;
The authentication is invalid when the authentication proxy server cannot identify the user or the subscriber line based on the user identification information, or when the user cannot use the subscriber line. Sending authentication result information indicating to the service server;
An authentication method characterized by comprising: サービスの提供を受ける利用者端末と、前記利用者端末を加入者回線を介して通信網と接続する回線接続装置と、前記通信網に接続され、前記利用者へサービスを提供するサービスサーバと、前記通信網に接続され、前記サービスサーバのサービス提供のために前記利用者の認証を代行する認証代行サーバとを備えた認証システムであって、
前記回線接続装置は、
前記利用者端末から当該利用者端末を接続する加入者回線の回線識別情報の通知要求を受信し、前記利用者端末に対して回線識別情報を送信する手段を備え、
前記利用者端末は、
前記回線接続装置に当該利用者端末を接続する加入者回線の回線識別情報通知の要求を送信し、前記回線接続装置から通知される回線識別情報を受信する手段と、
前記回線識別情報を含む利用者識別情報を前記認証代行サーバに送信する手段と
を備え、
前記認証代行サーバは、
前記サービスサーバから認証代行要求を受信する手段と、
前記利用者の認証状態を保持し確認する手段と、
前記利用者が認証済みの場合に、認証済みであることを示す認証結果情報を前記サービスサーバに通知する手段と、
前記利用者が未認証の場合に、前記利用者端末に利用者識別情報通知の要求を送信し、前記利用者端末から通知される前記利用者識別情報を受信する手段と、
前記利用者識別情報から利用者と加入者回線を識別する手段と、
前記利用者識別情報から識別された利用者が、前記利用者識別情報から識別された加入者回線を利用可能か確認する手段と、
前記利用者が前記加入者回線を利用可能である場合に、当該利用者の認証状態を認証済みに変更し、認証済みであることを示す認証結果情報を前記サービスサーバに送信する手段と、
前記利用者識別情報から利用者や加入者回線を識別できない場合、もしくは前記利用者識別情報から識別された利用者が前記利用者識別情報から識別された加入者回線を利用可能ではない場合に、認証が無効であることを示す認証結果情報を前記サービスサーバに送信する手段と
を備え、
前記サービスサーバは、
前記認証結果情報を検証して、前記認証結果情報が有効である場合に、前記利用者端末ヘサービスを提供し、前記認証結果情報が無効である場合に、前記利用者端末ヘサービス提供が不可であることを通知する手段
を備えることを特徴とする認証システム。
A user terminal that receives service provision, a line connection device that connects the user terminal to a communication network via a subscriber line, a service server that is connected to the communication network and provides a service to the user; An authentication system comprising an authentication proxy server connected to the communication network and proxying the user for providing the service of the service server,
The line connection device is:
A means for receiving a request for notification of line identification information of a subscriber line connecting the user terminal from the user terminal, and means for transmitting the line identification information to the user terminal;
The user terminal is
Means for transmitting a line identification information notification request for a subscriber line connecting the user terminal to the line connection device, and receiving the line identification information notified from the line connection device;
Means for transmitting user identification information including the line identification information to the authentication proxy server,
The authentication proxy server is:
Means for receiving an authentication proxy request from the service server;
Means for maintaining and checking the user's authentication status;
Means for notifying the service server of authentication result information indicating that the user is authenticated when the user has been authenticated;
Means for transmitting a user identification information notification request to the user terminal when the user is unauthenticated and receiving the user identification information notified from the user terminal;
Means for identifying a user and a subscriber line from the user identification information;
Means for confirming whether the user identified from the user identification information can use the subscriber line identified from the user identification information;
Means for changing the authentication state of the user to authenticated when the user can use the subscriber line, and transmitting authentication result information indicating that the user has been authenticated to the service server;
When the user or subscriber line cannot be identified from the user identification information, or when the user identified from the user identification information cannot use the subscriber line identified from the user identification information, Means for transmitting authentication result information indicating that the authentication is invalid to the service server,
The service server
The authentication result information is verified, and when the authentication result information is valid, the service is provided to the user terminal, and when the authentication result information is invalid, the service is not provided to the user terminal. An authentication system comprising: means for notifying that.
JP2005155920A 2005-05-27 2005-05-27 Authentication method and authentication system Pending JP2006331204A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005155920A JP2006331204A (en) 2005-05-27 2005-05-27 Authentication method and authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005155920A JP2006331204A (en) 2005-05-27 2005-05-27 Authentication method and authentication system

Publications (1)

Publication Number Publication Date
JP2006331204A true JP2006331204A (en) 2006-12-07

Family

ID=37552812

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005155920A Pending JP2006331204A (en) 2005-05-27 2005-05-27 Authentication method and authentication system

Country Status (1)

Country Link
JP (1) JP2006331204A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009230517A (en) * 2008-03-24 2009-10-08 Nippon Telegr & Teleph Corp <Ntt> Payment method, payment system and payment program
JP2010212922A (en) * 2009-03-10 2010-09-24 Fujitsu Fip Corp Information processing system, information processing method, and information processing program
JP2010268084A (en) * 2009-05-12 2010-11-25 Nippon Telegr & Teleph Corp <Ntt> User authentication system, proxy device, user authentication method, and program
JP2011215753A (en) * 2010-03-31 2011-10-27 Nomura Research Institute Ltd Authentication system and authentication method
JP2012073754A (en) * 2010-09-28 2012-04-12 Nippon Telegr & Teleph Corp <Ntt> Authentication system and authentication method
JP2012203781A (en) * 2011-03-28 2012-10-22 Nippon Telegraph & Telephone West Corp Authentication system, authentication linkage device, and authentication method

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009230517A (en) * 2008-03-24 2009-10-08 Nippon Telegr & Teleph Corp <Ntt> Payment method, payment system and payment program
JP2010212922A (en) * 2009-03-10 2010-09-24 Fujitsu Fip Corp Information processing system, information processing method, and information processing program
JP2010268084A (en) * 2009-05-12 2010-11-25 Nippon Telegr & Teleph Corp <Ntt> User authentication system, proxy device, user authentication method, and program
JP2011215753A (en) * 2010-03-31 2011-10-27 Nomura Research Institute Ltd Authentication system and authentication method
JP2012073754A (en) * 2010-09-28 2012-04-12 Nippon Telegr & Teleph Corp <Ntt> Authentication system and authentication method
JP2012203781A (en) * 2011-03-28 2012-10-22 Nippon Telegraph & Telephone West Corp Authentication system, authentication linkage device, and authentication method

Similar Documents

Publication Publication Date Title
Barnes et al. Automatic certificate management environment (acme)
JP5599910B2 (en) Authentication delegation based on re-verification of cryptographic evidence
CN109561066B (en) Data processing method and device, terminal and access point computer
JP5688087B2 (en) Method and apparatus for reliable authentication and logon
US7240362B2 (en) Providing identity-related information and preventing man-in-the-middle attacks
US9736150B2 (en) Authentication system and method
JP2017521934A (en) Method of mutual verification between client and server
RU2008114665A (en) PROTECTED PROCESSING THE MANDATE OF THE CUSTOMER SYSTEM FOR ACCESS TO RESOURCES BASED ON WEB
CN101567878B (en) Method for improving safety of network ID authentication
JP2007267120A (en) Radio terminal, authentication apparatus and program
Bicakci et al. Mobile authentication secure against man-in-the-middle attacks
JP2009110522A (en) Proxy authentication server
JP2008306418A (en) Network load reducing system, network load reducing method, and program
CN107786515B (en) Certificate authentication method and equipment
US20130219474A1 (en) Method and system for providing service access to a user
JP2006331204A (en) Authentication method and authentication system
JP4870427B2 (en) Digital certificate exchange method, terminal device, and program
CN111935123B (en) Method, equipment and storage medium for detecting DNS spoofing attack
JP2011070513A (en) Access control system, authentication server system, and access control program
JP2009118110A (en) Method and system for provisioning meta data of authentication system, its program and recording medium
US20170230416A1 (en) System and methods for preventing phishing attack using dynamic identifier
JP6056970B2 (en) Information processing apparatus, terminal, information processing system, and information processing method
Barnes et al. RFC 8555: Automatic certificate management environment (ACME)
JP4601979B2 (en) Certificate mutual authentication system and certificate mutual authentication method
JP2017139026A (en) Method and apparatus for reliable authentication and logon