JP2007299259A - 認証情報管理システムおよびアプリケーションサーバ - Google Patents
認証情報管理システムおよびアプリケーションサーバ Download PDFInfo
- Publication number
- JP2007299259A JP2007299259A JP2006127547A JP2006127547A JP2007299259A JP 2007299259 A JP2007299259 A JP 2007299259A JP 2006127547 A JP2006127547 A JP 2006127547A JP 2006127547 A JP2006127547 A JP 2006127547A JP 2007299259 A JP2007299259 A JP 2007299259A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- information
- authentication information
- user
- subscriber
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】複数のASの連携によるサービス提供をユーザーの利便性を損なうことなく実現し、管理が複雑とならないような形式の認証情報を用い、適当な間隔で再認証を実施するような認証システムを実現し、さらに端末が認証機能を備えていない場合でも認証が行える仕組みを有する認証情報管理システムおよびアプリケーションサーバを提供する。
【解決手段】ユーザー端末60がAS101に対してサービス要求情報を送信する。次にAS101は受け取ったサービス要求情報に含まれるユーザーIDからユーザーを識別し、当該ユーザーの認証情報要求情報をHSS201へ送信する。HSS201はAS101から受信した認証情報要求情報に対応する認証情報応答情報を、AS101へ送信する。次にAS101は認証情報応答情報を元に当該ユーザーについて認証の可否を検出する。検出結果が可の場合、次にAS101はユーザー端末60に対してサービスを提供する。
【選択図】図1
【解決手段】ユーザー端末60がAS101に対してサービス要求情報を送信する。次にAS101は受け取ったサービス要求情報に含まれるユーザーIDからユーザーを識別し、当該ユーザーの認証情報要求情報をHSS201へ送信する。HSS201はAS101から受信した認証情報要求情報に対応する認証情報応答情報を、AS101へ送信する。次にAS101は認証情報応答情報を元に当該ユーザーについて認証の可否を検出する。検出結果が可の場合、次にAS101はユーザー端末60に対してサービスを提供する。
【選択図】図1
Description
本発明は、複数のアプリケーションサーバからなるネットワークサービスシステムにおける認証システムに関する。
IMS(IP Multimedia Subsystem)標準のネットワークアーキテクチャのような、複数のアプリケーションサーバからなるネットワークサービスシステムにおいては、アプリケーションサービス機能はアプリケーションサーバ(Application Server、以下ASとする)が保有しており、ユーザーは各種アプリケーションサービスを受けるためにASに対しサービス要求を行う。
一般に、ASごとに提供するサービス内容は異なり、また、複数のAS同士が連携動作してサービスを提供する場合もある。また、ASによってはユーザーがサービスにアクセスする際にユーザーに対して認証処理を要求するものもあり、認証処理を要求する複数のASが連携動作してサービスを提供する場合もある。この場合、ユーザーは複数のASに対して複数回の認証処理を行うことになる。このように複数のASで認証が必要な場合は、ユーザーの認証の手間を軽減する手段としてシングルサインオン(以下、SSO)による認証が用いられる(参照:非特許文献1、特許文献1および特許文献2)。
一般に、ASごとに提供するサービス内容は異なり、また、複数のAS同士が連携動作してサービスを提供する場合もある。また、ASによってはユーザーがサービスにアクセスする際にユーザーに対して認証処理を要求するものもあり、認証処理を要求する複数のASが連携動作してサービスを提供する場合もある。この場合、ユーザーは複数のASに対して複数回の認証処理を行うことになる。このように複数のASで認証が必要な場合は、ユーザーの認証の手間を軽減する手段としてシングルサインオン(以下、SSO)による認証が用いられる(参照:非特許文献1、特許文献1および特許文献2)。
従来のSSOでは、ASにてユーザーの認証情報であるユーザー認証情報を保管しておき、あらかじめ信頼関係を結んでいるAS間でそのユーザー認証情報を共用する。そのため、ユーザーがあるASヘサービスを要求し認証処理が実行された場合に、ユーザーは信頼関係を構築したASの全てにおいて認証されたものとして扱われ、実質ユーザーがサービスヘアクセスするために必要な認証処理を1回のみとすることが出来る。
この技術により、ASごとに独自の認証処理をする必要が無くなり、ユーザーのサービス利便性が向上する。さらにシステム設計者やシステム管理者においては、ユーザー認証情報を一括して管理できることから、システム構築やシステム管理の効率の向上を図ることが出来る。
しかしながら、特に複数の異なるサービスを提供するAS群からなるシステムでは、ASの認証ポリシーはそれぞれ異なる。また一般に要求される認証強度はサービス毎に異なる。そのため、1つのASにおけるユーザー認証情報を、複数のASの認証情報として共有することは、困難となる。また、厳重に管理されなければならないサービスを提供するASにおいては、アクセス時にASがユーザーに再度認証処理を要求する場合もあり、従来のSSOではこのような場合の対応は困難となる。
従って、従来のSSOの方式は、様々な認証ポリシーの存在するシステムにおいては有効ではないという問題がある。
従って、従来のSSOの方式は、様々な認証ポリシーの存在するシステムにおいては有効ではないという問題がある。
従来のSSOによる認証方法において、以下のような問題がある。
まず、異なる認証ポリシーを持った複数のASが連係動作する形態のサービスにおいて、ユーザーの認証処理回数を抑えサービス利便性を向上するためにSSOを適用することが考えられるが、システムの規模が大きくなるとともに異なる認証ポリシーを特つASが混在するようになるため1つの認証情報をAS間で共有することは困難であるという問題がある。
まず、異なる認証ポリシーを持った複数のASが連係動作する形態のサービスにおいて、ユーザーの認証処理回数を抑えサービス利便性を向上するためにSSOを適用することが考えられるが、システムの規模が大きくなるとともに異なる認証ポリシーを特つASが混在するようになるため1つの認証情報をAS間で共有することは困難であるという問題がある。
また、ASごとに認証ポリシーが異なる場合でも認証ポリシーに対応する数の認証情報を保管し、それを共用可能なASだけで共用すればSSOとほぼ同程の利便性を獲得することが出来るが、認証情報の数や種類が増加するため認証情報の管理が煩雑化するという問題がある。
また、サービスには厳重に管理されなければならないものも多数あり、この場合はサービスヘアクセスするごとに、もしくは、適当な時間間隔で、再認証しなければならないという問題がある。
また、ユーザーが小型の無線端末など機能の少ない装置を用いてサービスを利用する場合には、ASの要求する認証強度を有する認証処理装置を端末が備えていない可能性があり、その場合、ASの要求する認証強度による認証処理が無線端末のみでは出来ないため、ユーザーはサービスの利用が出来ないという問題がある。
Miikka Poikselka 他3名 著、"THE IMS IP Multimedia Concepts and Services in the Mobile Domain"、英国、John Wiley & Sons,Ltd、2005年4月、p.105−109およびp.212−216 特開2004−133823号公報
特開2005−339093号公報
また、サービスには厳重に管理されなければならないものも多数あり、この場合はサービスヘアクセスするごとに、もしくは、適当な時間間隔で、再認証しなければならないという問題がある。
また、ユーザーが小型の無線端末など機能の少ない装置を用いてサービスを利用する場合には、ASの要求する認証強度を有する認証処理装置を端末が備えていない可能性があり、その場合、ASの要求する認証強度による認証処理が無線端末のみでは出来ないため、ユーザーはサービスの利用が出来ないという問題がある。
Miikka Poikselka 他3名 著、"THE IMS IP Multimedia Concepts and Services in the Mobile Domain"、英国、John Wiley & Sons,Ltd、2005年4月、p.105−109およびp.212−216
本発明は、このような事情に鑑みてなされたもので、その目的は、複数のASの連携によるサービス提供をユーザーの利便性を損なうことなく実現し、管理が複雑とならないような形式の認証情報を用い、適当な間隔で再認証を実施するような認証システムを実現し、さらに端末が認証機能を備えていない場合でも認証が行える仕組みを有する認証情報管理システムおよびアプリケーションサーバを提供することにある。
この発明は上述した課題を解決するためになされたもので、請求項1に記載の発明は、ユーザー端末にアプリケーションのサービスを提供する複数のアプリケーションサーバと、ユーザーIDと関連付けて加入者認証情報を記憶する複数のデータベースサーバと、前記アプリケーションサーバと前記端末との間および前記アプリケーションサーバと前記データベースサーバとの間がネットワークを介して接続される認証情報管理システムであって、前記アプリケーションサーバは、前記アプリケーションサーバの認証ポリシーを記憶する認証ポリシー記憶部と、ユーザーを識別するユーザーIDを含むサービス要求情報を前記ユーザー端末から受信するサービス要求情報受信手段と、前記サービス要求情報受信手段が受信したサービス要求情報からユーザーIDを抽出し、前記抽出したユーザーIDの加入者認証情報を前記データベースサーバより取得するための認証情報要求情報を前記データベースサーバに送信するサービス要求情報送信手段と、前記データベースサーバから前記認証情報要求情報に応じた前記ユーザーIDの加入者認証情報を含む加入者情報応答情報を受信する加入者認証情報応答受信手段と、前記加入者認証情報応答受信手段の受信した加入者情報応答情報に含まれる加入者認証情報が前記認証ポリシー記憶部に記憶されている認証ポリシーを満たすか否かを検出する認証ポリシー判定手段と、前記認証ポリシー判定手段の検出結果が認証ポリシーを満たす場合には、前記ユーザー端末へアプリケーションサービスを提供するアプリケーションサービス提供手段と、を有し、前記データベースサーバは、前記アプリケーションサーバから認証情報要求情報を受信する認証情報要求情報受信手段と、前記認証情報要求情報受信手段が受信した認証情報要求情報に含まれる前記ユーザーIDの認証情報を検索し、前記検索した認証情報を含む認証情報応答情報を前記アプリケーションサーバヘ送信する認証情報応答情報手段と、を有する、ことを特徴とする特徴とする認証情報管理システムである。
請求項2に記載の発明は、請求項1に記載の認証情報管理システムにおいて、前記前記アプリケーションサーバが、更に、前記認証ポリシー判定手段の検出結果が、認証ポリシーを満たさない場合には、前記抽出したユーザーIDの認証可能手段情報を前記データベースサーバより取得するための前記ユーザーIDを含む認証可能手段取得要求情報を前記データベースサーバに送信する認証可能手段取得要求情報送信手段と、前記認証可能手段取得要求情報送信手段の送信した認証可能手段取得要求情報に応じて前記データベースサーバが送信した認証可能手段取得応答情報を前記データベースサーバから受信し、前記受信した認証可能手段取得応答情報に含まれる認証可能手段情報から前記認証ポリシーを満たす認証可能手段情報を選択し、前記選択した認証可能手段情報のリストを含む認証要求情報を前記ユーザー端末に送信する認証可能手段選択手段と、前記認証可能手段選択手段の送信した認証要求情報に応じて前記ユーザー端末が送信した端末認証情報を受信し、前記受信した端末認証情報が認証可能であるか否かを検出する認証情報受信確認手段と、を有し、前記データベースサーバは、更に、前記ユーザーIDと関連付けてユーザーの認証手段に関する認証手段情報を記憶しており、前記アプリケーションサーバから認証可能手段取得要求情報を受信する認証可能手段取得要求情報受信手段と、前記認証可能手段取得要求情報受信手段の受信した認証可能手段取得要求情報に含まれるユーザーIDの認証手段情報を検索し、前記検索した認証手段情報を含む認証可能手段取得応答情報を前記アプリケーションサーバへ送信する認証可能手段取得応答情報送信手段と、を有し、前記ユーザー端末が、更に、前記アプリケーションサーバより認証要求情報を受信する認証要求情報受信手段と、前記認証要求情報受信手段が受信した認証要求情報に基づいて認証処理を実行し、前記実行した認証処理による認証情報を前記端末認証情報として前記アプリケーションサーバへ送信する端末認証情報送信手段と、を有する、ことを特徴とする認証情報管理システムである。
請求項3に記載の発明は、請求項2に記載の認証情報管理システムにおいて、前記アプリケーションサーバは、更に、前記認証情報受信確認手段の検出結果が認証可能である場合には、前記受信した端末認証情報を前記データベースサーバに登録または更新するための認証情報登録要求情報を前記データベースサーバへ送信する認証情報登録要求情報手段を有し、前記データベースサーバは、更に、前記アプリケーションサーバより認証情報登録要求情報を受信し、前記受信した認証情報登録要求情報に基づいて加入者認証情報を登録または更新する加入者認証情報登録更新手段を有する、ことを特徴とする認証情報管理システムである。
請求項4に記載の発明は、請求項1から請求項3に記載の認証情報管理システムにおいて、前記データベースサーバが記憶する加入者認証情報と前記アプリケーションサーバの認証ポリシー記憶部が記憶する認証ポリシーとは、それぞれ、認証種別情報、認証種別ごとの認証強度情報、認証が行われた時刻情報とASを識別する情報のうちの少なくとも1つを比較認証情報として含み、前記認証ポリシー判定手段は、前記加入者認証情報と前記認証ポリシーとの間で前記比較認証情報同士を比較することにより、前記加入者認証情報応答受信手段の受信した加入者認証情報が前記認証ポリシー記憶部に記憶されている認証ポリシーを満たすか否かを検出する、ことを特徴とする認証情報管理システムである。
請求項5に記載の発明は、請求項1から請求項4に記載の認証情報管理システムにおいて、前記認証ポリシー判定手段が、更に、前記加入者認証情報応答受信手段の受信した加入者情報応答情報が加入者認証情報を含むか否かを検出し、前記検出結果が加入者認証情報を含まない場合には、前記加入者認証情報応答受信手段の受信した加入者認証情報に含まれる加入者認証情報が前記認証ポリシー記憶部に記憶されている認証ポリシーを満たすか否かの検出結果を、認証ポリシーを満たさないとする、ことを特徴とする認証情報管理システムである。
請求項6に記載の発明は、請求項1から請求項4に記載の認証情報管理システムにおいて、前記認証情報応答情報手段は、更に、前記検索した認証情報がない場合には、検索した認証情報がないことを示す認証情報無情報を含む認証情報応答情報を前記アプリケーションサーバヘ送信し、前記認証ポリシー判定手段が、更に、前記加入者認証情報応答受信手段の受信した加入者情報応答情報が認証情報無情報を含むか否かを検出し、前記検出結果が認証情報無情報を含む場合には、前記加入者認証情報応答受信手段の受信した加入者認証情報に含まれる加入者認証情報が前記認証ポリシー記憶部に記憶されている認証ポリシーを満たすか否かの検出結果を、認証ポリシーを満たさないと判定する、ことを特徴とする認証情報管理システムである。
請求項7に記載の発明は、請求項2から請求項6に記載の認証情報管理システムにおいて、前記ユーザー端末が、更に、前記認証要求情報受信手段の受信した認証要求情報に含まれる認証可能手段情報のリストを出力する出力手段と、前記出力手段に応じたユーザーからのリストの選択に応じて、認証処理を実行する認証処理実行手段と、を有することを特徴とする認証情報管理システムである。
請求項8に記載の発明は、請求項7の認証情報管理システムにおいて、前記認証処理実行手段が、前記提示手段に応じたユーザーからのリストの選択が、認証装置を用いる認証処理である場合には、前記選択されたリストの認証処理を認証装置と連携して行うことを特徴とする認証情報管理システムである。
請求項9に記載の発明は、ユーザー端末にアプリケーションのサービスを提供する複数のアプリケーションサーバと、ユーザーIDと関連付けて加入者認証情報を記憶する複数のデータベースサーバと、前記アプリケーションサーバと前記端末との間および前記アプリケーションサーバと前記データベースサーバとの間がネットワークを介して接続される認証情報管理システムに用いられる前記アプリケーションサーバであり、前記アプリケーションサーバの認証ポリシーを記憶する認証ポリシー記憶部と、ユーザーを識別するユーザーIDを含むサービス要求情報を前記ユーザー端末から受信するサービス要求情報受信手段と、前記サービス要求情報受信手段が受信したサービス要求情報からユーザーIDを抽出し、前記抽出したユーザーIDの加入者認証情報を前記データベースサーバより取得するための認証情報要求情報を前記データベースサーバに送信するサービス要求情報送信手段と、前記データベースサーバから前記認証情報要求情報に応じた前記ユーザーIDの加入者認証情報を含む加入者情報応答情報を受信する加入者認証情報応答受信手段と、前記加入者認証情報応答受信手段の受信した加入者情報応答情報に含まれる加入者認証情報が前記認証ポリシー記憶部に記憶されている認証ポリシーを満たすか否かを検出する認証ポリシー判定手段と、前記認証ポリシー判定手段の検出結果が認証ポリシーを満たす場合には、前記ユーザー端末へアプリケーションサービスを提供するアプリケーションサービス提供手段と、を有することを特徴とするアプリケーションサーバである。
本発明は、ユーザーがサービスヘのアクセスを要求したときにHSSにユーザーの認証情報が存在するかを確認し、認証情報が存在しなおかつ認証ポリシーを満足している場合には認証処理を省略し、HSSに認証情報が存在しない場合にはユーザーヘ認証処理実施を指示しその認証情報をHSSへ登録し、また再認証処理を行った場合には認証情報を更新するASである。
ここで本発明のASが特徴とするところは、認証処理において認証情報のうち認証種別から認証の手段を判断し、認証強度から認証処理の厳密さを判断し、認証鮮度から認証した時刻を判断することである。なおHSSに認証情報が登録されていないかもしくは認証ポリシーを満足しない場合には、あらかじめHSSに登録されている認証可能手段からユーザーが実行可能な認証手段を調べ、1つもしくは複数の認証要求情報をリストとしてユーザーヘ返信する。
また本発明のASが特徴とするところは、認証ポリシーにおいて規定された認証手段をユーザー端末が実行できない場合には、認証可能手段を参照しユーザー端末の認証機能不足を補完する認証装置を使用するのに必要となる例えば設置場所や使用方法といった情報をユーザーヘ送信することである。
ここで本発明のASが特徴とするところは、認証処理において認証情報のうち認証種別から認証の手段を判断し、認証強度から認証処理の厳密さを判断し、認証鮮度から認証した時刻を判断することである。なおHSSに認証情報が登録されていないかもしくは認証ポリシーを満足しない場合には、あらかじめHSSに登録されている認証可能手段からユーザーが実行可能な認証手段を調べ、1つもしくは複数の認証要求情報をリストとしてユーザーヘ返信する。
また本発明のASが特徴とするところは、認証ポリシーにおいて規定された認証手段をユーザー端末が実行できない場合には、認証可能手段を参照しユーザー端末の認証機能不足を補完する認証装置を使用するのに必要となる例えば設置場所や使用方法といった情報をユーザーヘ送信することである。
本発明はASが認証を実行した後の認証情報を受信し、格納するHSSである。
ここで本発明のHSSが特徴とするところは、HSSに認証登録を登録、もしくは認証情報の更新がされた場合に、あらかじめ信頼関係を構築している他のHSSに対して当該認証情報を送信し、HSS間で認証情報を共有することである。
ここで本発明のHSSが特徴とするところは、HSSに認証登録を登録、もしくは認証情報の更新がされた場合に、あらかじめ信頼関係を構築している他のHSSに対して当該認証情報を送信し、HSS間で認証情報を共有することである。
本発明はASから認証要求情報を受けた場合に認証手段をユーザー提供するユーザー端末である。
本発明の端末が特徴とするところは、ASからリストとして送られた1つもしくは複数の認証手段をユーザーに提示し、ユーザーはユーザー端末の機能を用いて認証処理を実施し、得られた認証情報をASへ返信することである。
また、本発明の端末が特徴とするところは、ユーザー端末が要求された認証処理の機能を持たない場合には、ASから送信された例えば認証装置の設置場所や使用方法といった情報をユーザーヘ提示し、認証装置と連係動作することでASの要求する認証処理を実施することである。
本発明の端末が特徴とするところは、ASからリストとして送られた1つもしくは複数の認証手段をユーザーに提示し、ユーザーはユーザー端末の機能を用いて認証処理を実施し、得られた認証情報をASへ返信することである。
また、本発明の端末が特徴とするところは、ユーザー端末が要求された認証処理の機能を持たない場合には、ASから送信された例えば認証装置の設置場所や使用方法といった情報をユーザーヘ提示し、認証装置と連係動作することでASの要求する認証処理を実施することである。
本発明はASの要求する認証手段をユーザー端末が備えていない場合にユーザー端末と連係動作することで機能を補完し認証処理を実施するための認証装置である。
ここで本発明の認証装置が特徴とするところは、ユーザー端末との接続機能を有し、ユーザーが認証装置を用いて認証処理を実施した場合にユーザー端末に対して認証情報を送信可能なことである。
ここで本発明の認証装置が特徴とするところは、ユーザー端末との接続機能を有し、ユーザーが認証装置を用いて認証処理を実施した場合にユーザー端末に対して認証情報を送信可能なことである。
この発明によれば、ユーザーごとの認証情報をデータベースサーバ(以下、HSS)にて管理しておき、ASがユーザーを認証する際にHSSに登録されているユーザーの認証情報を参照し、ASが参照したユーザーの認証情報とAS自身の認証ポリシーとを比較し、ユーザーの認証情報がASの認証ポリシーを満たさないことを検出した場合にのみ、ASがユーザーヘ認証処理を要求することで、ユーザーが行う認証処理の回数を減らすことができる効果を奏する。
また、本発明によれば、認証情報がASの要求する認証強度を下回る場合には、ASが必要とするレベルの認証処理をユーザーに求めることで、ユーザーは最低限の認証回数で多くのサービスへのアクセスが可能となるという効果を奏する。
また、本発明によれば、認証が行われた時刻の情報を認証情報に加えることで、認証情報に対して有効期限を与え、有効期限を過ぎた認証情報を使用不可能とすることが可能となり、仮に認証情報が他人に漏れてしまったとしても第三者に不正利用される可能性を低減できるという効果を奏する。
また、本発明によれば、ユーザーの端末がASの要求する認証種別を満足する機能を備えていない場合、ASの要求する認証種別を満足する機能を有する認証装置をASがユーザーに提示し、ユーザーが提示された認証装置を利用することで、ユーザーの端末がASの要求する認証種別を満足する機能を備えていない場合であったとしても、ユーザーはASの要求する認証要求を満たし、ユーザーはASからのサービスの提供を受けることが出来るという効果を奏する。
まず、発明の概要を説明する。
あらかじめユーザーごとの認証情報と利用可能な認証手段とをデータベースサーバ(以下、HSS)に登録し、管理しておく。また、ASはAS毎の認証ポリシーを有し、ASは特定のHSSと関連付けられている。また、ASはユーザーの認証のために用いるパスワードや指紋情報などの情報を、ユーザーと認証手段とに関連付けて予め記憶している。
これらの認証情報、認証ポリシーおよびASとHSSの関連は、予め、ネットワークの管理者などにより登録または設定されているものである。
あらかじめユーザーごとの認証情報と利用可能な認証手段とをデータベースサーバ(以下、HSS)に登録し、管理しておく。また、ASはAS毎の認証ポリシーを有し、ASは特定のHSSと関連付けられている。また、ASはユーザーの認証のために用いるパスワードや指紋情報などの情報を、ユーザーと認証手段とに関連付けて予め記憶している。
これらの認証情報、認証ポリシーおよびASとHSSの関連は、予め、ネットワークの管理者などにより登録または設定されているものである。
まず、ユーザー端末がASにアクセスしてきた時、ASはユーザー端末の認証情報をHSSより取得し、取得した認証情報とASが有する認証ポリシーとを比較することにより、ユーザー端末の認証の可否を検出する。
次に、ASは、検出した認証が可の場合には、ユーザー端末にアプリケーションサービスを提供する。
一方、ASは、検出した認証が不可の場合には、ユーザー端末の利用可能な認証手段をHSSより取得し、取得した認証手段の中からASの認証ポリシーを満たす認証手段を選択し、選択した認証手段をユーザー端末に送信する。
次に、ASは、検出した認証が可の場合には、ユーザー端末にアプリケーションサービスを提供する。
一方、ASは、検出した認証が不可の場合には、ユーザー端末の利用可能な認証手段をHSSより取得し、取得した認証手段の中からASの認証ポリシーを満たす認証手段を選択し、選択した認証手段をユーザー端末に送信する。
次に、ユーザー端末は、受信した認証手段受信に基づいて、パスワードの入力や指紋情報の入力などのユーザーの認証情報の入力処理を行い、入力した認証情報を端末認証情報としてASに送信する。
次に、ASは受信した端末認証情報と、ASが予め記憶しているユーザーの認証のための情報とが一致するか否かを検出する。次にASは、検出した結果が一致の場合には、ユーザー端末にアプリケーションサービスを提供する。一方ASは、検出した結果が一致しない場合には、ユーザー端末にアプリケーションサービスを提供しない。
次に、ASは受信した端末認証情報と、ASが予め記憶しているユーザーの認証のための情報とが一致するか否かを検出する。次にASは、検出した結果が一致の場合には、ユーザー端末にアプリケーションサービスを提供する。一方ASは、検出した結果が一致しない場合には、ユーザー端末にアプリケーションサービスを提供しない。
以下、図面を参照して、本発明の実施の形態の概略を説明する。図1は、この発明の一実施形態による認証情報管理システムの構成を示す概略ブロック図である。
AS101〜104は、それぞれが、AS101〜104が提供するサービスヘアクセスするために、後述のユーザーが用いるユーザー端末60から送信されたサービス要求情報を受信し、受信したサービス要求情報に基づいて、ユーザーのAS101〜104へのアクセスの可否を判定する。また、それぞれのAS101〜104はユニークなアドレス(ASアドレス)を有し、ASアドレスによりそれぞれのAS101〜104は識別される。
AS101〜104は、それぞれが、AS101〜104が提供するサービスヘアクセスするために、後述のユーザーが用いるユーザー端末60から送信されたサービス要求情報を受信し、受信したサービス要求情報に基づいて、ユーザーのAS101〜104へのアクセスの可否を判定する。また、それぞれのAS101〜104はユニークなアドレス(ASアドレス)を有し、ASアドレスによりそれぞれのAS101〜104は識別される。
ここで、サービス要求情報には、ユーザーをユニークに識別するユーザーIDと、ユーザー端末60が要求するアプリケーションを識別する情報と、ASを識別する宛先情報と、ユーザー端末60を識別する端末情報とが含まれる。
ASが行うアクセスの可否の判定は、受信したサービス要求情報に基づいて、ASと関連するHSSに格納された当該ユーザーの認証情報を取得し、取得した認証情報がASの認証ポリシーを満たすか否かを検出することにより行われる。ここで、ASがHSSから認証情報を取得する方法は、HSSへ認証情報要求情報を送信し、HSSから認証情報応答情報を受信することにより行う。
ASは、取得した認証情報がASの認証ポリシーを満たすか否かを検出し、検出した結果が認証ポリシーを満たす場合には当該ユーザーがサービスヘのアクセスすることを許可し、検出した結果が認証ポリシーを満たさない場合にはユーザーが認証可能な手段を取得するための認証可能手段取得要求情報をHSSへ送信し、HSSより認証可能な手段に関する情報である認証可能手段取得応答情報を受信し、受信した認証可能手段取得応答情報に基づいて、ユーザーへ認証要求のための認証要求情報を送信する。
また、AS101〜104は、ユーザーを認証した後に、認証情報の登録もしくは更新を行うための認証情報登録要求情報を、HSSへ送信する。
ASについての機能と処理については、後に詳述する。
ASは、取得した認証情報がASの認証ポリシーを満たすか否かを検出し、検出した結果が認証ポリシーを満たす場合には当該ユーザーがサービスヘのアクセスすることを許可し、検出した結果が認証ポリシーを満たさない場合にはユーザーが認証可能な手段を取得するための認証可能手段取得要求情報をHSSへ送信し、HSSより認証可能な手段に関する情報である認証可能手段取得応答情報を受信し、受信した認証可能手段取得応答情報に基づいて、ユーザーへ認証要求のための認証要求情報を送信する。
また、AS101〜104は、ユーザーを認証した後に、認証情報の登録もしくは更新を行うための認証情報登録要求情報を、HSSへ送信する。
ASについての機能と処理については、後に詳述する。
HSS201〜202は、各ユーザーの認証情報を格納し、ASからユーザーの認証情報を要求する認証情報要求情報を受信し、受信した認証情報要求情報に基づき、該当するユーザーの認証情報を認証情報応答情報として、ASへ送信する。
ここで、受信した認証情報要求情報には、ユーザーIDと認証情報要求情報を送信したASアドレスが含まれている。HSS201〜202は、認証情報要求情報に含まれるユーザーIDより該当するユーザーの認証情報を検索し、認証情報要求情報に含まれるASアドレスへ検索した認証情報を含む認証情報応答情報を送信する。
また、HSS201〜202は、AS101〜104よりユーザーに関する認証手段のための認証可能手段取得要求情報を受信し、受信した認証可能手段取得要求情報に基づき、該当するユーザーの認証手段に関する情報を認証可能手段取得応答情報として、ASへ送信する。
ここで、受信した認証情報要求情報には、ユーザーIDと認証情報要求情報を送信したASアドレスが含まれている。HSS201〜202は、認証情報要求情報に含まれるユーザーIDより該当するユーザーの認証情報を検索し、認証情報要求情報に含まれるASアドレスへ検索した認証情報を含む認証情報応答情報を送信する。
また、HSS201〜202は、AS101〜104よりユーザーに関する認証手段のための認証可能手段取得要求情報を受信し、受信した認証可能手段取得要求情報に基づき、該当するユーザーの認証手段に関する情報を認証可能手段取得応答情報として、ASへ送信する。
また、HSS201〜202は、AS101〜104がユーザーを認証した後に行う認証情報の登録要求もしくは更新要求である認証情報登録要求情報を受信し、受信した認証情報登録要求情報に基づいて格納している認証情報の登録処理もしくは更新処理を行う。
また、認証情報の登録処理もしくは更新処理を行ったHSSは、他のHSSに対しても、認証情報の登録処理もしくは更新処理を行う。
HSSに登録される認証情報については、後に詳述する。
また、認証情報の登録処理もしくは更新処理を行ったHSSは、他のHSSに対しても、認証情報の登録処理もしくは更新処理を行う。
HSSに登録される認証情報については、後に詳述する。
ユーザー端末60は、ユーザーが使用する端末であり、サービス要求情報をAS101〜104へ送信することにより、AS101〜104よりアプリケーションサービスの提供を受ける。
ユーザー端末60は、AS101〜104から認証要求情報を受信した場合には、例えば、パスワードなどの認証のための情報をユーザーの入力により取得し、入力により取得した認証のための情報を端末認証情報としてサービス要求情報とともにAS101〜104に送信することにより、認証処理を実行する。
また、ユーザー端末60は、受信した認証要求情報に含まれる認証可能手段のリストにおいて、複数の認証可能手段がある場合には、ユーザーに認証可能手段のリストを提示し、ユーザーから認証可能手段の選択を入力され、選択された認証可能手段を用いて認証処理を実行する。
ユーザー端末60は、AS101〜104から認証要求情報を受信した場合には、例えば、パスワードなどの認証のための情報をユーザーの入力により取得し、入力により取得した認証のための情報を端末認証情報としてサービス要求情報とともにAS101〜104に送信することにより、認証処理を実行する。
また、ユーザー端末60は、受信した認証要求情報に含まれる認証可能手段のリストにおいて、複数の認証可能手段がある場合には、ユーザーに認証可能手段のリストを提示し、ユーザーから認証可能手段の選択を入力され、選択された認証可能手段を用いて認証処理を実行する。
また、ユーザー端末60は後述の認証装置80と連動して認証処理を実行することが可能である。ユーザー端末60は、AS101〜104から認証装置80を用いる認証要求情報を受信した場合には、受信した認証要求情報に基づいて認証装置80と連携してユーザーの認証のための情報である端末認証情報(例えば、ユーザーの指紋に関する情報など)を取得し、取得した端末認証情報をサービス要求情報とともにAS101〜104に送信することにより、認証処理を実行する。
ユーザー端末60は、例えば、ノート型のパーソナルコンピュータ、携帯電話またはPDA(携帯情報端末)などである。
ユーザー端末60は、例えば、ノート型のパーソナルコンピュータ、携帯電話またはPDA(携帯情報端末)などである。
認証装置80は、ユーザー端末60と連動して認証処理を実行するための装置である。認証装置80は、AS101〜104の要求する認証処理が、ユーザー端末60だけでは実行できない場合に、ユーザー端末60と連動して使用される。認証装置80は、例えば、指紋の読み取り装置、虹彩の読み取り装置などである。
S−CSCF301〜302は、送信されてきた情報を受信し、受信した情報の宛先に基づいて、受信した情報を転送する。
I−CSCF401〜402は、送信されてきた情報を受信し、受信した情報の宛先に基づいて、受信した情報を転送する。
P−CSCF501〜502は、送信されてきた情報を受信し、受信した情報の宛先に基づいて、受信した情報を転送する。
I−CSCF401〜402は、送信されてきた情報を受信し、受信した情報の宛先に基づいて、受信した情報を転送する。
P−CSCF501〜502は、送信されてきた情報を受信し、受信した情報の宛先に基づいて、受信した情報を転送する。
ネットワーク701〜702は、ネットワークごとに異なる運用ポリシーの元に運用される装置類を互いに接続するネットワークである。ここでいう運用ポリシーとは、ネットワークを管理する人により決められた、セキュリティや運用などに基づくネットワーク毎の管理方針である。
ここで、一例としてのユーザー端末60と認証装置80との間の連携する認証処理は、ユーザー端末60が認証装置80へ認証要求情報を送信し、認証要求情報を受信した認証装置80が認証のための情報を端末認証情報としてユーザー端末60へ送信することにより行われる。認証装置80が送信する端末認証情報には、指紋や虹彩などの画像データ、または、指紋認証や虹彩認証などにおいて認証のために必要な特徴量などが含まれる。
図2は、実施の形態におけるHSSに登録される認証情報テーブル90であり、認証情報のデータ構成の一例を示す図である。
認証情報テーブル90には、ユーザーID901、認証種別902、認証強度903、認証鮮度904、ASアドレス905、認証可能手段情報906が登録される。
実施の形態においては、認証情報テーブル90において、1つのユーザーID901に対して、認証種別902、認証強度903、認証鮮度904、ASアドレス905、認証可能手段情報906がそれぞれ登録される。
認証情報テーブル90には、ユーザーID901、認証種別902、認証強度903、認証鮮度904、ASアドレス905、認証可能手段情報906が登録される。
実施の形態においては、認証情報テーブル90において、1つのユーザーID901に対して、認証種別902、認証強度903、認証鮮度904、ASアドレス905、認証可能手段情報906がそれぞれ登録される。
ユーザーID901は、ユーザーを識別するための、ユーザー毎にユニークに与えられる番号(ID)である。
認証種別902は、認証手段を識別するための、認証手段毎にユニークに与えられる識別子である。例えば、ID−パスワード認証、指紋認証、虹彩認証などの認証手段毎に識別子が与えられる。実施の形態においては、例えば、認証番号の左端から3桁をグローバルな識別子とし、製造業者ごとにユニークな値とする。次に、認証番号の左から4桁目以降は、製造業者が独自に規定するローカルな値とする。
認証種別902は、認証手段を識別するための、認証手段毎にユニークに与えられる識別子である。例えば、ID−パスワード認証、指紋認証、虹彩認証などの認証手段毎に識別子が与えられる。実施の形態においては、例えば、認証番号の左端から3桁をグローバルな識別子とし、製造業者ごとにユニークな値とする。次に、認証番号の左から4桁目以降は、製造業者が独自に規定するローカルな値とする。
認証強度903は、認証種別902ごとの認証の厳重さを示す値である。実施の形態では認証強度を00〜05までの6段階とし、数値が大きくなるにつれて厳重であることを示す。例えば、ID−パスワード認証において、認証強度が00である場合には、パスワードの長さが8文字以上であればよいが、認証強度が05である場合には、パスワードの長さが24文字以上として、認証の厳重さが決められる。以上のように、同じ認証種別についても、異なる認証強度を設定するこが可能である。
認証鮮度904は、AS101〜104により認証処理が実行された時刻である。
ASアドレス905は、認証処理を行ったASのアドレス(ASアドレス)である。
認証鮮度904は、AS101〜104により認証処理が実行された時刻である。
ASアドレス905は、認証処理を行ったASのアドレス(ASアドレス)である。
認証可能手段情報906は、ユーザー端末60において実行可能な認証手段をあらわす識別子である。またはユーザー端末60との連係動作を実施するための認証装置80をあらわす識別子である。本実施例では認証種別902と同様に、左端から3桁をグローバルな識別子としており、製造業者ごとにユニークな値を与える。左から4桁目以降は製造業者が独自に規定するローカルな値が設定される。
なお、認証可能手段情報906の識別子の先頭に「+」記号が付加されている場合には、認証装置80を用いて認証を行う場合である。また、識別子の先頭に「+」記号が付加されていない場合には、認証装置80を用いないで、ユーザー端末60のみで認証を行う場合である。
なお、認証可能手段情報906の識別子の先頭に「+」記号が付加されている場合には、認証装置80を用いて認証を行う場合である。また、識別子の先頭に「+」記号が付加されていない場合には、認証装置80を用いないで、ユーザー端末60のみで認証を行う場合である。
次に、図3に示されるASの機能ブロック図を用いて、ASの詳細な機能を説明する。
認証ポリシー記憶部12は、認証ポリシー記憶部12を有するASに関する認証ポリシーの情報(認証ポリシー情報)を記憶している。ASの認証ポリシー情報として、例えば、認証種別、認証強度、認証鮮度がある。また、認証ポリシー記憶部12は、認証ポリシー情報として、信頼関係の構築されたASアドレス情報も保持する。
認証ポリシー記憶部12は、認証ポリシー記憶部12を有するASに関する認証ポリシーの情報(認証ポリシー情報)を記憶している。ASの認証ポリシー情報として、例えば、認証種別、認証強度、認証鮮度がある。また、認証ポリシー記憶部12は、認証ポリシー情報として、信頼関係の構築されたASアドレス情報も保持する。
サービス要求情報受信機能部1は、ユーザー端末60からのサービス要求情報を受信する。また、サービス要求情報受信機能部1が、ユーザー端末60から受信するサービス要求情報には、認証情報が付加されていることもある。
加入者認証情報要求機能部2は、サービス要求情報受信機能部1が受信したサービス要求情報に含まれるユーザーIDに該当する認証情報を、ASと関連するHSSへ要求する。ASと関連するHSSへの要求は、ASが認証情報要求情報をHSSへ送信することにより行う。認証情報要求情報には、ユーザーIDとASを識別する情報(ASアドレス)とが含まれる。
加入者認証情報応答受信機能部3は、HSSより認証情報応答情報を受信する。認証情報応答情報は、加入者認証情報要求機能部2がHSSへ送信した認証情報要求情報に応じて、HSSより送信された情報であり、ユーザーIDに該当する認証情報を含む。認証情報には、認証種別902、認証強度903、認証鮮度904、ASアドレス905が含まれる。
認証ポリシー判定機能部4は、加入者認証情報応答受信機能部3が受信した認証情報応答情報に含まれる認証情報が、認証ポリシー記憶部12に記憶してあるASの認証ポリシー情報を満たすか否かを検出する。
まず、認証ポリシー判定機能部4は、受信した認証情報応答情報に認証情報があるか否かを検出する。
次に、認証ポリシー判定機能部4が、信頼関係の構築されたASアドレス情報に受信した認証情報のASアドレス905が含まれるか否かを検出する。
次に、認証ポリシー判定機能部4は、受信した認証情報が認証ポリシーの、認証種別、認証強度、認証鮮度をそれぞれ満たすか否かを検出する。
まず、認証ポリシー判定機能部4は、受信した認証情報応答情報に認証情報があるか否かを検出する。
次に、認証ポリシー判定機能部4が、信頼関係の構築されたASアドレス情報に受信した認証情報のASアドレス905が含まれるか否かを検出する。
次に、認証ポリシー判定機能部4は、受信した認証情報が認証ポリシーの、認証種別、認証強度、認証鮮度をそれぞれ満たすか否かを検出する。
認証ポリシー判定機能部4の検出の結果が、受信した認証情報応答情報に認証情報があり、かつ、信頼関係の構築されたASアドレス情報に受信した認証情報のASアドレス905が含まれ、かつ、受信した認証情報が認証ポリシーの、認証種別、認証強度、認証鮮度をそれぞれ満たす、場合には、「認証情報は認証ポリシーを満たす」と以下称して説明する。また、「認証情報は認証ポリシーを満たす」場合、ASは「該当するユーザーはASのサービスヘのアクセス権限がある。」と決定する。
アプリケーションサービス提供機能部5は、認証ポリシー判定機能部4による検出結果が、認証情報が認証ポリシー情報を満たす場合に、ユーザー端末60にアプリケーションサービスを提供する。
認証可能手段取得機能部6は、認証ポリシー判定機能部4による検出結果において、認証情報が認証ポリシー情報を満たさない場合に、サービス要求情報受信機能部1が受信したサービス要求情報に含まれるユーザーIDに該当する認証可能な手段の情報を、ASと関連するHSSより取得する。
認証可能手段取得機能部6が認証可能な手段の情報を取得する方法は、認証可能手段取得機能部6が、ユーザー端末が利用可能な認証手段の情報を要求する認証可能手段取得要求情報をASと関連するHSSへ送信することにより行う。
ここで認証可能手段取得要求情報には、ユーザーIDとASを識別する情報(ASアドレス)とが含まれる。
ここで認証可能手段取得要求情報には、ユーザーIDとASを識別する情報(ASアドレス)とが含まれる。
認証方法選択機能部8は、認証可能手段取得機能部6からの認証可能手段取得要求情報を受信したHSSから、認証可能手段取得応答情報を受信する。ここで、受信した認証可能手段取得応答情報は、ユーザーIDに関する認証可能手段情報906の情報のリストを含む。
次に、認証方法選択機能部8は、受信した認証可能手段取得要求情報に含まれる認証可能手段情報906の情報のリストから、ASの認証ポリシーを満足する認証可能手段を選択し、選択した認証可能手段のリストを含む認証要求情報をユーザー端末60に送信する。ここで、認証要求情報は、送信において宛先となるユーザー端末60を識別する情報を含む。また、認証要求情報は、認証要求情報を送信するASを識別するためのASアドレス情報も含む。
次に、認証方法選択機能部8は、受信した認証可能手段取得要求情報に含まれる認証可能手段情報906の情報のリストから、ASの認証ポリシーを満足する認証可能手段を選択し、選択した認証可能手段のリストを含む認証要求情報をユーザー端末60に送信する。ここで、認証要求情報は、送信において宛先となるユーザー端末60を識別する情報を含む。また、認証要求情報は、認証要求情報を送信するASを識別するためのASアドレス情報も含む。
また、認証方法選択機能部8は、認証可能手段情報906の先頭に「+」の記号が付加されているか否かを検出することにより、認証手段が、ユーザー端末60のみで認証処理を実行できるか否かの検出が可能である。検出結果において、ユーザー端末60のみで認証処理を実行できない場合は、認証装置80を用いて認証処理を行うことが可能である。
認証方法選択機能部8は、証可能手段情報906の先頭に「+」の記号が付加されており認証装置80を用いて認証処理を行う場合は、認証要求情報をユーザー端末60に送信するとき、認証装置80の位置情報を認証要求情報に付加して送信する。
ここで、ASの認証ポリシーを満たす同様な機能を有する認証装置80が複数の位置にある場合には、ユーザーの位置を取得し、ユーザーに最も近い位置に設置されている認証装置80の位置情報を付加する。
認証方法選択機能部8は、証可能手段情報906の先頭に「+」の記号が付加されており認証装置80を用いて認証処理を行う場合は、認証要求情報をユーザー端末60に送信するとき、認証装置80の位置情報を認証要求情報に付加して送信する。
ここで、ASの認証ポリシーを満たす同様な機能を有する認証装置80が複数の位置にある場合には、ユーザーの位置を取得し、ユーザーに最も近い位置に設置されている認証装置80の位置情報を付加する。
ここで、ユーザー(ユーザー端末60)の位置情報は、例えば、ユーザー端末60がユーザーの位置を検出する手段を有しており、ユーザー端末60がHSSに定期的に位置情報を送信しており、HSSは受信した位置情報をユーザーIDと関連付けて登録しているとする。認証方法選択機能部8は、ユーザーIDに基づいてHSSよりユーザー(ユーザー端末60)の位置情報を取得する。
なおHSSにユーザー端末60の位置情報が登録されない場合には、認証方法選択機能部8は認証装置80の位置情報を付加しない。
また、認証装置80の位置情報は、例えば、予めASに登録されているものとする。
なおHSSにユーザー端末60の位置情報が登録されない場合には、認証方法選択機能部8は認証装置80の位置情報を付加しない。
また、認証装置80の位置情報は、例えば、予めASに登録されているものとする。
端末認証情報確認機能部9は、サービス要求情報受信機能部1が受信したサービス要求情報に端末認証情報が付加されているか否かを検出する。
端末認証情報確認機能部9は、検出結果で端末認証情報が付加されている場合には、受信した端末認証情報の認証を行う。
端末認証情報確認機能部9は、検出結果で端末認証情報が付加されている場合には、受信した端末認証情報の認証を行う。
端末認証情報確認機能部9が行う受信した端末認証情報を認証する方法は、例えば、端末認証情報確認機能部9は、認証ポリシー記憶部12に予めユーザー毎の認証のための情報(AS側端末認証情報)をユーザーIDに関連して記憶しておき、受信したサービス要求情報に含まれるユーザーIDに基づいて認証ポリシー記憶部12よりAS側端末認証情報を読み出し、読み出したAS側端末認証情報と受信した端末認証情報とが一致するか否かを検出することにより認証を行う。
一方、検出結果でサービス要求情報に端末認証情報が付加されていない場合には、端末認証情報確認機能部9は何も処理を実行せず、受信したサービス要求情報の処理を加入者認証情報要求機能部2が行う。
一方、検出結果でサービス要求情報に端末認証情報が付加されていない場合には、端末認証情報確認機能部9は何も処理を実行せず、受信したサービス要求情報の処理を加入者認証情報要求機能部2が行う。
認証情報登録機能部10は、端末認証情報確認機能部9が端末認証情報の認証を行い、認証の結果が認証可の場合には、受信した端末認証情報を関連するHSSに登録する処理を実行する。
登録する処理の実行は、認証情報登録機能部10がASと関連するHSSへ、登録要求もしくは更新要求をする承認情報登録要求情報を送信することにより行う。
登録する処理の実行は、認証情報登録機能部10がASと関連するHSSへ、登録要求もしくは更新要求をする承認情報登録要求情報を送信することにより行う。
サービス提供不可メッセージ送信機能部11は、端末認証情報確認機能部9が端末認証情報の認証を行い、認証の結果が認証不可の場合に、ユーザー端末60にサービスの提供が不可能であるメッセージを送信する。
次に、図4のASにおいてなされるフローチャート図を用いて、AS101による確認処理の動作を説明する。ここで、AS101は、予め認証ポリシー記憶部12からAS101の認証ポリシー情報を取得しているものとして説明する。
まず、AS101のサービス要求情報受信機能部1が、ユーザー端末60からのサービス要求情報を受信する(ステップS4001)。
次に、加入者認証情報要求機能部2が、受信したサービス要求情報に端末認証情報が付加されているか否かの検出を行う(ステップS4002)。
まず、AS101のサービス要求情報受信機能部1が、ユーザー端末60からのサービス要求情報を受信する(ステップS4001)。
次に、加入者認証情報要求機能部2が、受信したサービス要求情報に端末認証情報が付加されているか否かの検出を行う(ステップS4002)。
ステップS4002の検出において、受信したサービス要求情報に端末認証情報が付加されていない場合には、次に、AS101の加入者認証情報要求機能部2が、サービス要求情報に含まれるユーザーID情報をもとに、HSS201へ認証情報要求情報を送信する。
次に、AS101の加入者認証情報応答受信機能部3が、HSS201から送信された認証情報応答情報を受信する(ステップS4003)。
これにより、AS101は、サービス要求情報のユーザーIDに該当する認証情報をHSS201より取得する。
次に、AS101の加入者認証情報応答受信機能部3が、HSS201から送信された認証情報応答情報を受信する(ステップS4003)。
これにより、AS101は、サービス要求情報のユーザーIDに該当する認証情報をHSS201より取得する。
次に、認証ポリシー判定機能部4が、加入者認証情報応答受信機能部3がHSS201から受信した認証情報が、ASの認証ポリシーを満たすか否かの検出を、以下に説明するステップS4004〜ステップS4009にて実行する。
まず、AS101の認証ポリシー判定機能部4が、加入者認証情報応答受信機能部3が受信した認証情報要求情報に、認証情報があるか否かを検出する(ステップS4004)。
ステップS4004の検出結果が、認証情報がある場合には、次に、AS101の認証ポリシー判定機能部4が、受信した認証情報のASアドレス905がAS101と信頼関係の構築されたASであるか否かの検出を行う(ステップS4005)。具体的には、認証ポリシー判定機能部4が、受信した認証情報のASアドレス905が認証ポリシーの信頼関係の構築されたASアドレス情報に含まれるか否か、の検出を行う。
ステップS4004の検出結果が、認証情報がある場合には、次に、AS101の認証ポリシー判定機能部4が、受信した認証情報のASアドレス905がAS101と信頼関係の構築されたASであるか否かの検出を行う(ステップS4005)。具体的には、認証ポリシー判定機能部4が、受信した認証情報のASアドレス905が認証ポリシーの信頼関係の構築されたASアドレス情報に含まれるか否か、の検出を行う。
ステップS4005の検出結果が、AS101と信頼関係の構築されたASである場合には、次に、AS101の認証ポリシー判定機能部4が、受信した認証情報の認証種別902がAS101の要求するものと合致するか否かの検出を行う(ステップS4006)。具体的には、認証ポリシー判定機能部4が、受信した認証情報の認証種別902が認証ポリシー情報の認証種別に含まれるか否か、を検出する。
ステップS4006の検出結果が、受信した認証種別902がAS101の要求するものと合致する場合には、次に、AS101の認証ポリシー判定機能部4が、受信した認証情報の認証強度903がAS101の要求するもの以上であるか否かの検出を行う(ステップS4007)。具体的には、認証ポリシー判定機能部4が、受信した認証情報の認証強度903が認証ポリシー情報の認証強度以上であるか否か、を検出する。
ステップS4006の検出結果が、受信した認証種別902がAS101の要求するものと合致する場合には、次に、AS101の認証ポリシー判定機能部4が、受信した認証情報の認証強度903がAS101の要求するもの以上であるか否かの検出を行う(ステップS4007)。具体的には、認証ポリシー判定機能部4が、受信した認証情報の認証強度903が認証ポリシー情報の認証強度以上であるか否か、を検出する。
ステップS4007の検出結果が、受信した認証情報の認証強度903がAS101の要求するもの以上である場合には、次に、AS101の認証ポリシー判定機能部4が、受信した認証情報の認証鮮度904がAS101の要求する有効期限内であるか否かの検出を行う(ステップS4008)。具体的には、認証ポリシー判定機能部4が、受信した認証情報の認証鮮度904が認証ポリシー情報の認証鮮度より新しいか否か、を検出する。
ステップS4008の検出結果が、受信した認証情報の認証鮮度904がAS101の要求する有効期限内である場合には、次に、AS101の認証ポリシー判定機能部4が、受信したサービス要求情報のユーザーについて、認証可であると決定する(ステップS4009)。
ステップS4008の検出結果が、受信した認証情報の認証鮮度904がAS101の要求する有効期限内である場合には、次に、AS101の認証ポリシー判定機能部4が、受信したサービス要求情報のユーザーについて、認証可であると決定する(ステップS4009)。
次に、AS101のアプリケーションサービス提供機能部5が、受信したサービス要求情報に含まれるアプリケーションを指定する情報に基づき、当該ユーザーヘのアプリケーションサービスの提供を開始する(ステップS4010)。その後、AS101が行う、サービス要求情報の認証処理は終了する。
ステップS4004の検出結果で認証情報がない場合、ステップS4005の検出結果でAS101と信頼関係の構築されたASである場合、ステップS4006の検出結果で受信した認証種別902がAS101の要求するものと合致する場合、ステップS4007の検出結果で受信した認証情報の認証強度903がAS101の要求するもの以上である場合、または、ステップS4008の検出結果で受信した認証情報の認証鮮度904がAS101の要求する有効期限内である場合には、AS101の認証可能手段取得機能部6が、HSS201へ認証可能手段取得要求情報を送信し、HSS201から認証可能手段取得応答情報を受信することにより、当該ユーザーについての認証可能手段情報906を取得する(ステップS4011)。
次に、AS101の認証方法選択機能部8が、認証可能手段取得機能部6が取得した認証可能手段情報906より、AS101の認証ポリシーを満たす認証可能手段を選択し、選択した認証可能手段に基づいて、ユーザー端末60に認証要求情報を送信する(ステップS4012)。その後、AS101は、ステップS4001からの処理を繰り返す。
ステップS4002の検出において、受信したサービス要求情報に端末認証情報が付加されている場合には、次に、AS101の端末認証情報確認機能部9が、受信した端末認証情報が認証されるか否かの検出を行う(ステップS4013)。
ステップS4013の検出において、端末認証情報の認証がされた場合には、認証情報登録機能部10が、受信した端末認証情報に基づいて、HSS201へ認証情報登録要求を送信し、HSS201より認証要求登録応答情報を受信することにより、HSS201の認証情報を更新または登録する。
認証情報登録機能部10がHSS201より認証要求登録応答情報を受信した後、AS101のアプリケーションサービス提供機能部5が、受信した認証情報に含まれるアプリケーションを指定する情報に基づき、当該ユーザーヘのアプリケーションサービスの提供を開始する(ステップS4010)。その後、AS101が行う、認証情報の確認処理は終了する。
なお、ステップS4013の検出において、端末認証情報の認証がされた場合も、ASは「該当するユーザーはASのサービスヘのアクセス権限がある。」と決定する。
ステップS4013の検出において、端末認証情報の認証がされた場合には、認証情報登録機能部10が、受信した端末認証情報に基づいて、HSS201へ認証情報登録要求を送信し、HSS201より認証要求登録応答情報を受信することにより、HSS201の認証情報を更新または登録する。
認証情報登録機能部10がHSS201より認証要求登録応答情報を受信した後、AS101のアプリケーションサービス提供機能部5が、受信した認証情報に含まれるアプリケーションを指定する情報に基づき、当該ユーザーヘのアプリケーションサービスの提供を開始する(ステップS4010)。その後、AS101が行う、認証情報の確認処理は終了する。
なお、ステップS4013の検出において、端末認証情報の認証がされた場合も、ASは「該当するユーザーはASのサービスヘのアクセス権限がある。」と決定する。
ステップS4013の検出において、端末認証情報の認証がされなかった場合には、サービス提供不可メッセージ送信機能部11が、ユーザー端末60にサービスの提供が不可能であるメッセージを送信する(ステップS4015)。その後、AS101が行う、認証情報の確認処理は終了する。
次に、実施の形態における認証処理システムの第1の動作の例を、図5のシーケンスを用いて説明する。図5のシーケンスは、単一ネットワークにおいて、ユーザー端末60のAS101における認証確認処理が「認証可」のときの場合の一例としてのシーケンスである。
まず、ユーザー端末60がAS101に対してサービス要求情報を送信する(ステップS5001)。ここでサービス要求情報はP−CSCF50、I−CSCF40、S−CSCF30を経由してAS101まで送信される。以降ユーザー端末60からAS101への送信は、認証可となるまでは同じ経路を経由する。またAS101からユーザー端末60ヘの送信経路はこの逆となる。
次に、AS101は受け取ったサービス要求情報に含まれるユーザーIDからユーザーを識別し、当該ユーザーの認証情報を取得するため認証情報要求情報をHSS201へ送信する。HSS201はAS101から受信した認証情報要求情報に対応する認証情報応答情報をAS101へ送信する(ステップS5002)。
次に、AS101は受信した認証情報応答情報に含まれる認証情報に基づいて、当該ユーザーについて認証可であることを決定する(ステップS3003)。
次に、AS101はユーザー端末60に対して、サービスを許可することを通知する応答を送信する(ステップS3004)。
これにより、ユーザー端末60はAS101へアクセスし、AS101からサービスを受けることが可能となる。
次に、AS101はユーザー端末60に対して、サービスを許可することを通知する応答を送信する(ステップS3004)。
これにより、ユーザー端末60はAS101へアクセスし、AS101からサービスを受けることが可能となる。
次に、実施の形態における認証処理システムの第2の動作の例を、図6のシーケンスを用いて説明する。図6のシーケンスは、単一ネットワークにおいて、ユーザー端末60のAS101における認証確認処理が「認証不可」のときであり、ユーザー端末60のみで認証処理を行う場合のシーケンスである。
まず、ユーザー端末60がAS101に対してサービス要求情報を送信する(ステップS6001)。ここでサービス要求情報はP−CSCF50、I−CSCF40、S−CSCF30を経由してAS101まで送信される。以降ユーザー端末60からAS101への送信は、認証可となるまでは同じ経路を経由する。またAS101からユーザー端末60ヘの送信経路はこの逆となる。
次に、AS101は受け取ったサービス要求情報に含まれるユーザーIDからユーザーを識別し、当該ユーザーの認証情報を取得するため認証情報要求情報をHSS201へ送信する。HSS201はAS101から受信した認証情報要求情報に対応する認証情報応答情報をAS101へ送信する(ステップS6002)。
次に、AS101は受信した認証情報応答情報に含まれる認証情報に基づいて、当該ユーザーについて認証不可可であることを決定する(ステップS6003)。
次に、AS101はHSS201に対して認証可能手段取得情報を送信し、認証可能手段取得情報を受信したHSS201はAS101に対して認証可能手段取得応答情報を送信する(ステップS6004)。
次に、AS101はHSS201に対して認証可能手段取得情報を送信し、認証可能手段取得情報を受信したHSS201はAS101に対して認証可能手段取得応答情報を送信する(ステップS6004)。
次に、AS101は受信した認証可能手段取得応答情報より認証可能手段を取得し、ASの認証ポリシーを満たす認証可能手段を選択する(ステップS6005)。
ここで選択された認証手段は、ユーザー端末60のみで実行することが可能であるとして、以下説明を続ける。
次に、AS101はユーザー端末60に対して選択した認証可能手段のリストを含む認証要求情報を送信する(ステップS6006)。
ここで選択された認証手段は、ユーザー端末60のみで実行することが可能であるとして、以下説明を続ける。
次に、AS101はユーザー端末60に対して選択した認証可能手段のリストを含む認証要求情報を送信する(ステップS6006)。
次に、認証要求情報を受信したユーザー端末60を用いて、ユーザーは要求された認証処理を実行する。その後、ユーザー端末60は、認証処理の情報である端末認証情報を付加したサービス要求情報をAS101に送信する(ステップS6007)。
次に、端末認証情報が付加されたサービス要求情報を受信したAS101は、受信した端末認証情報を認証し、認証可と検出する(ステップS6008)。
次に、端末認証情報が付加されたサービス要求情報を受信したAS101は、受信した端末認証情報を認証し、認証可と検出する(ステップS6008)。
次に、AS101はHSS201に対して、端末認証情報を登録するために認証情報登録要求情報を送信する。認証情報登録要求情報を受信したHSS201は、受信した認証情報登録要求情報に基づき認証情報を登録または更新した後に、認証情報登録応答情報をAS101に送信する(ステップS6009)。
次に、認証情報登録応答情報を受信したAS101は、ユーザー端末60に対して、サービスを許可することを通知するための応答を送信する(ステップS6010)。
これにより、ユーザー端末60はAS101へアクセスし、AS101からサービスを受けることが可能となる。
これにより、ユーザー端末60はAS101へアクセスし、AS101からサービスを受けることが可能となる。
次に、実施の形態における認証処理システムの第3の動作の例を、図7のシーケンスを用いて説明する。図7のシーケンスは、単一ネットワークにおいて、ユーザー端末60のAS101における認証確認処理が「認証不可」のときであり、認証装置80用いて認証処理を行う場合のシーケンスである。
実施の形態においては、認証装置80は、特定の位置に設置されているものとして説明を行う。また、認証装置80が設置されている位置は、AS101〜104が予め記憶しているものとして説明を行う。
実施の形態においては、認証装置80は、特定の位置に設置されているものとして説明を行う。また、認証装置80が設置されている位置は、AS101〜104が予め記憶しているものとして説明を行う。
まず、ユーザー端末60がAS101に対してサービス要求情報を送信する(ステップS7001)。ここでサービス要求情報はP−CSCF50、I−CSCF40、S−CSCF30を経由してAS101まで送信される。以降ユーザー端末60からAS101への送信は、認証可となるまでは同じ経路を経由する。またAS101からユーザー端末60ヘの送信経路はこの逆となる。
次に、AS101は受け取ったサービス要求情報に含まれるユーザーIDからユーザーを識別し、当該ユーザーの認証情報を取得するため認証情報要求情報をHSS201へ送信する。HSS201はAS101から受信した認証情報要求情報に対応する認証情報応答情報をAS101へ送信する(ステップS7002)。
次に、AS101は受信した認証情報応答情報に含まれる認証情報に基づいて、当該ユーザーについて認証不可であることを決定する(ステップS7003)。
次に、AS101は受信した認証情報応答情報に含まれる認証情報に基づいて、当該ユーザーについて認証不可であることを決定する(ステップS7003)。
次に、AS101はHSS201に対して認証可能手段取得情報を送信し、認証可能手段取得情報を受信したHSS201はAS101に対して認証可能手段取得応答情報を送信する((ステップS7004)。
次に、AS101は受信した認証可能手段取得応答情報より認証可能手段を取得し、ASの認証ポリシーを満たす認証可能手段を選択する(ステップS7005)。
次に、AS101は受信した認証可能手段取得応答情報より認証可能手段を取得し、ASの認証ポリシーを満たす認証可能手段を選択する(ステップS7005)。
ここでは、選択された認証手段は、認証装置80が必要であるものを含むものとして、以下説明を続ける。
AS101は、選択された認証手段に認証装置80が含まれることより、HSS201よりユーザー端末60の位置情報を取得し、取得したユーザー端末60の位置に最も近い認証装置80を検索し、最も近い認証装置80の位置情報を取得するする。
次に、AS101はユーザー端末60に対して選択した認証可能手段のリストと取得した認証装置80の位置情報とを含む認証要求情報を送信する(ステップS7006)。
AS101は、選択された認証手段に認証装置80が含まれることより、HSS201よりユーザー端末60の位置情報を取得し、取得したユーザー端末60の位置に最も近い認証装置80を検索し、最も近い認証装置80の位置情報を取得するする。
次に、AS101はユーザー端末60に対して選択した認証可能手段のリストと取得した認証装置80の位置情報とを含む認証要求情報を送信する(ステップS7006)。
次に、認証要求情報を受信したユーザー端末60を用いて、ユーザーは要求された認証処理を実行する。ユーザー端末60は、受信した認証要求情報に基づきユーザーに認証手段のリストを提示、ユーザーからの認証手段の選択の入力を受け付ける。
次に、ユーザー端末60は、選択され認証手段が、認証装置80を用いる認証処理であることより、認証処理80の位置情報をユーザーに提示する。
提示を受けたユーザーは、認証処理80の位置に移動し、ユーザー端末60と認証装置80を連携して認証処理を実行する。認証処理は、ユーザー端末60から認証装置80へ認証要求情報を送信し(ステップS7007)、認証要求情報を受信した認証装置80を用いてユーザーが認証処理を行い(ステップS7008)、認証装置80がユーザー端末60へ認証処理を行った認証情報を端末認証情報として送信する。
提示を受けたユーザーは、認証処理80の位置に移動し、ユーザー端末60と認証装置80を連携して認証処理を実行する。認証処理は、ユーザー端末60から認証装置80へ認証要求情報を送信し(ステップS7007)、認証要求情報を受信した認証装置80を用いてユーザーが認証処理を行い(ステップS7008)、認証装置80がユーザー端末60へ認証処理を行った認証情報を端末認証情報として送信する。
認証装置80から認証情報を受信したユーザー端末60は、受信した端末認証情報とともにサービス要求情報をAS101に送信する(ステップS7009)。
次に、端末認証情報が付加されたサービス要求情報を受信したAS101は、端末認証情報を認証し、認証可と検出する(ステップS7010)。
次に、端末認証情報が付加されたサービス要求情報を受信したAS101は、端末認証情報を認証し、認証可と検出する(ステップS7010)。
次に、認証可と検出したAS101は、HSS201に対して受信した端末認証情報の認証情報を登録するための認証情報登録要求情報を送信する。認証情報登録要求情報を受信したHSS201は、認証情報登録要求情報に基づき認証情報を登録または更新した後に、認証情報登録応答をAS101に送信する(ステップS7011)。
次に、HSS201より認証情報登録応答を受信したAS101は、ユーザー端末60に対して、サービスを許可することを通知するための応答を送信する(ステップS7012)。
これにより、ユーザー端末60はAS101へアクセスし、AS101からサービスを受けることが可能となる。
これにより、ユーザー端末60はAS101へアクセスし、AS101からサービスを受けることが可能となる。
なお、第3の実施の形態において、認証装置80は特定の位置に設置されており、また、認証装置80が設置されている位置はAS101〜104が予め記憶しているものとして説明を行った。しかし、これに限られるものではなく、認証装置80の位置に関する位置情報を、例えば認証装置位置管理サーバに記憶しておき、AS101が認証装置80の位置情報を認証装置位置管理サーバより取得できるようにしておいてもよい。
次に、実施の形態における認証処理システムの第4の動作の例を、図8のシーケンスを用いて説明する。図8のシーケンスは、複数ネットワークをまたがる場合において、ユーザー端末60のAS101における認証確認処理が「認証可」のときの場合の一例としてのシーケンスである。
ここで、AS103が有する信頼関係の構築されたASアドレス情報には、AS102のASアドレスが含まれるものとする。AS103における信頼関係の構築されたASアドレス情報の設定は、例えば、ネットワーク702またはAS103の管理者により、AS103の設定が予めされていることによりなされるものである。
また、ネットワーク701とネットワーク702はあらかじめ認証情報を同じとする(同期)ための取り決めを交わしているものとして説明する。
また、ネットワーク701とネットワーク702はあらかじめ認証情報を同じとする(同期)ための取り決めを交わしているものとして説明する。
認証情報の同期は、例えば、以下のようにして行われる。
まず、HSS201は自身に登録されている認証情報が更新されたことを契機に、HSS202に登録されている認証情報を同じにするための認証情報通知情報を送信する。
次に、認証情報通知を受信したHSS202は、HSS202が登録している認証情報を登録または更新し、HSS201に認証情報受信応答情報を送信する。
次に、HSS201は、HSS202から認証情報受信応答を受信することにより、認証情報が同期したことを検出する(ステップS8001)。
まず、HSS201は自身に登録されている認証情報が更新されたことを契機に、HSS202に登録されている認証情報を同じにするための認証情報通知情報を送信する。
次に、認証情報通知を受信したHSS202は、HSS202が登録している認証情報を登録または更新し、HSS201に認証情報受信応答情報を送信する。
次に、HSS201は、HSS202から認証情報受信応答を受信することにより、認証情報が同期したことを検出する(ステップS8001)。
ここで、HSS201は、認証情報通知情報を送信してから一定時間の間に、認証情報受信応答情報を受信しない場合には、再度HSS202に対して認証情報通知情報を送信する。その後、HSS201は、予め決められた回数まで認証情報通知情報を再送信し、認証情報受信応答情報を受信しない場合には、認証情報受信応答情報の送信を終了する。
次に、既にネットワーク701にて認証可となっているユーザー端末60が、異なるネットワーク702に対してサービス要求情報を送信する(ステップS8002)。ここでサービス要求情報はP−CSCF501、I−CSCF401、I−CSCF402、S−CSCF302を経由してAS103へ到達する。以降ユーザー端末60からAS103への送信は、認証可となるまでは同じ経路を経由する。またAS103からユーザー端末60への送信経路はこの逆となる。
次に、ユーザー端末60からサービス要求情報を受信したAS103は、受信したサービス要求情報に基づき、HSS202に対して、当該ユーザーの認証情報を要求する認証情報要求情報を送信する。
認証情報要求情報を受信したHSS202は、AS103に対して認証情報要求情報に基づいた認証情報を認証情報応答情報として送信する(ステップS8003)。
認証情報要求情報を受信したHSS202は、AS103に対して認証情報要求情報に基づいた認証情報を認証情報応答情報として送信する(ステップS8003)。
次に、AS103は受信した認証情報応答情報の認証情報に基づいて、当該ユーザーについての認証を検出し、認証可であることを検出する(ステップS8004)。
次に、認証可であることを検出したAS103は、ユーザー端末60に対して、サービスを許可することを通知するための応答を送信する(ステップS8005)。
これにより、ユーザー端末60はAS103へアクセスし、AS103からサービスを受けることが可能となる。
次に、認証可であることを検出したAS103は、ユーザー端末60に対して、サービスを許可することを通知するための応答を送信する(ステップS8005)。
これにより、ユーザー端末60はAS103へアクセスし、AS103からサービスを受けることが可能となる。
なお、認証ポリシー記憶部12はユーザー毎の認証情報を有しており、端末認証情報確認機能部9は、認証ポリシー記憶部12に予め記憶してあるユーザー毎の確認のための情報をユーザーIDに基づいて取得し、取得した情報と受信した端末認証情報を比較することにより確認を行う、として説明したが、確認の方法はこれに限られるものではない。
例えば、HSSにユーザー端末毎の確認のための情報を予め記憶しておき、端末認証情報確認機能部9がユーザー端末識別情報によりHSSより確認のための情報を取得し、取得した確認のための情報と受信した端末認証情報を比較することにより確認を行ってもよい。
例えば、HSSにユーザー端末毎の確認のための情報を予め記憶しておき、端末認証情報確認機能部9がユーザー端末識別情報によりHSSより確認のための情報を取得し、取得した確認のための情報と受信した端末認証情報を比較することにより確認を行ってもよい。
なお、実施の形態においては、ASにおいて、HSSにユーザー端末60についての認証情報があるか否かの検出を行った。例えば、図4のステップ4004にて、ASはHSSより受信した認証情報応答情報に認証情報が含まれているか否かの検出を行うことにより、HSSにユーザー端末60についての認証情報があるか否かの検出を行った。
しかし、HSSにユーザー端末60についての認証情報があるか否かの検出を行う方法は、これに限られるものではなく、HSSにて検出を行い、検出結果をASに送信してもよい。
しかし、HSSにユーザー端末60についての認証情報があるか否かの検出を行う方法は、これに限られるものではなく、HSSにて検出を行い、検出結果をASに送信してもよい。
例えば、HSSにて検出するようにするために、以下のような方法にて行う。
ASは認証情報要求情報を受信し、認証情報要求情報に含まれるユーザーIDにより認証情報を検索し、検索した結果、認証情報がある場合には、認証情報を含んだ認証情報応答情報をASに送信する。
一方、検索結果、認証情報がない場合には、認証情報がないことを示す認証情報無情報を含む認証情報応答情報をASに送信する。
次に、HSSより認証情報応答情報を受信したASは、先のステップ4004にて、認証情報無情報があるか否かにより、HSSにユーザーの認証情報があるか否かの検出を行う。
ASは認証情報要求情報を受信し、認証情報要求情報に含まれるユーザーIDにより認証情報を検索し、検索した結果、認証情報がある場合には、認証情報を含んだ認証情報応答情報をASに送信する。
一方、検索結果、認証情報がない場合には、認証情報がないことを示す認証情報無情報を含む認証情報応答情報をASに送信する。
次に、HSSより認証情報応答情報を受信したASは、先のステップ4004にて、認証情報無情報があるか否かにより、HSSにユーザーの認証情報があるか否かの検出を行う。
なお、実施の形態においては、認証ポリシーとして、認証種別902、認証種別902ごとの認証強度903、認証鮮度904とASアドレス905を用いて説明したが、認証ポリシーとしては、これらの1つ用いて認証ポリシーとしてもよいし、これらを任意に組み合わせたものを用いて認証ポリシーとしてもよい。
なお、このAS101からAS104は専用のハードウェアにより実現されるものであってもよく、また、このAS101からAS104はメモリおよびCPU(中央演算装置)により構成され、AS101からAS104の機能を実現するためのプログラムをメモリにロードして実行することによりその機能を実現させるものであってもよい。
以上、この発明の実施形態を図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
本発明は、認証情報管理システムに用いて好適である。
101〜104 AS
201〜202 HSS
301〜302 S−CSCF
401〜402 I−CSCF
501〜502 P−CSCF
701〜702 ネットワーク
60 ユーザー端末
80 認証装置
90 認証情報テーブル
901 ユーザーID
902 認証種別
903 認証強度
904 認証鮮度
905 ASアドレス
1 サービス要求受信機能部
2 加入者認証情報要求機能部
3 加入者認証情報応答受信機能部
4 認証ポリシー判定機能部
5 アプリケーションサービス提供機能部
6 認証可能手段取得機能部
8 認証方法選択機能部
9 認証情報受信確認機能部
10 認証情報登録要求機能部
11 サービス提供不可メッセージ送信機能部
12 認証ポリシー記憶部
201〜202 HSS
301〜302 S−CSCF
401〜402 I−CSCF
501〜502 P−CSCF
701〜702 ネットワーク
60 ユーザー端末
80 認証装置
90 認証情報テーブル
901 ユーザーID
902 認証種別
903 認証強度
904 認証鮮度
905 ASアドレス
1 サービス要求受信機能部
2 加入者認証情報要求機能部
3 加入者認証情報応答受信機能部
4 認証ポリシー判定機能部
5 アプリケーションサービス提供機能部
6 認証可能手段取得機能部
8 認証方法選択機能部
9 認証情報受信確認機能部
10 認証情報登録要求機能部
11 サービス提供不可メッセージ送信機能部
12 認証ポリシー記憶部
Claims (9)
- ユーザー端末にアプリケーションのサービスを提供する複数のアプリケーションサーバと、ユーザーIDと関連付けて加入者認証情報を記憶する複数のデータベースサーバと、前記アプリケーションサーバと前記端末との間および前記アプリケーションサーバと前記データベースサーバとの間がネットワークを介して接続される認証情報管理システムであって、
前記アプリケーションサーバは、
前記アプリケーションサーバの認証ポリシーを記憶する認証ポリシー記憶部と、
ユーザーを識別するユーザーIDを含むサービス要求情報を前記ユーザー端末から受信するサービス要求情報受信手段と、
前記サービス要求情報受信手段が受信したサービス要求情報からユーザーIDを抽出し、前記抽出したユーザーIDの加入者認証情報を前記データベースサーバより取得するための認証情報要求情報を前記データベースサーバに送信するサービス要求情報送信手段と、
前記データベースサーバから前記認証情報要求情報に応じた前記ユーザーIDの加入者認証情報を含む加入者情報応答情報を受信する加入者認証情報応答受信手段と、
前記加入者認証情報応答受信手段の受信した加入者情報応答情報に含まれる加入者認証情報が前記認証ポリシー記憶部に記憶されている認証ポリシーを満たすか否かを検出する認証ポリシー判定手段と、
前記認証ポリシー判定手段の検出結果が認証ポリシーを満たす場合には、前記ユーザー端末へアプリケーションサービスを提供するアプリケーションサービス提供手段と、
を有し、
前記データベースサーバは、
前記アプリケーションサーバから認証情報要求情報を受信する認証情報要求情報受信手段と、
前記認証情報要求情報受信手段が受信した認証情報要求情報に含まれる前記ユーザーIDの認証情報を検索し、前記検索した認証情報を含む認証情報応答情報を前記アプリケーションサーバヘ送信する認証情報応答情報手段と、
を有する、
ことを特徴とする特徴とする認証情報管理システム。 - 請求項1に記載の認証情報管理システムにおいて、
前記前記アプリケーションサーバが、更に、
前記認証ポリシー判定手段の検出結果が、認証ポリシーを満たさない場合には、前記抽出したユーザーIDの認証可能手段情報を前記データベースサーバより取得するための前記ユーザーIDを含む認証可能手段取得要求情報を前記データベースサーバに送信する認証可能手段取得要求情報送信手段と、
前記認証可能手段取得要求情報送信手段の送信した認証可能手段取得要求情報に応じて前記データベースサーバが送信した認証可能手段取得応答情報を前記データベースサーバから受信し、前記受信した認証可能手段取得応答情報に含まれる認証可能手段情報から前記認証ポリシーを満たす認証可能手段情報を選択し、前記選択した認証可能手段情報のリストを含む認証要求情報を前記ユーザー端末に送信する認証可能手段選択手段と、
前記認証可能手段選択手段の送信した認証要求情報に応じて前記ユーザー端末が送信した端末認証情報を受信し、前記受信した端末認証情報が認証可能であるか否かを検出する認証情報受信確認手段と、
を有し、
前記データベースサーバは、更に、
前記ユーザーIDと関連付けてユーザーの認証手段に関する認証手段情報を記憶しており、
前記アプリケーションサーバから認証可能手段取得要求情報を受信する認証可能手段取得要求情報受信手段と、
前記認証可能手段取得要求情報受信手段の受信した認証可能手段取得要求情報に含まれるユーザーIDの認証手段情報を検索し、前記検索した認証手段情報を含む認証可能手段取得応答情報を前記アプリケーションサーバへ送信する認証可能手段取得応答情報送信手段と、
を有し、
前記ユーザー端末が、更に、
前記アプリケーションサーバより認証要求情報を受信する認証要求情報受信手段と、
前記認証要求情報受信手段が受信した認証要求情報に基づいて認証処理を実行し、前記実行した認証処理による認証情報を前記端末認証情報として前記アプリケーションサーバへ送信する端末認証情報送信手段と、
を有する、
ことを特徴とする認証情報管理システム。 - 請求項2に記載の認証情報管理システムにおいて、
前記アプリケーションサーバは、更に、
前記認証情報受信確認手段の検出結果が認証可能である場合には、前記受信した端末認証情報を前記データベースサーバに登録または更新するための認証情報登録要求情報を前記データベースサーバへ送信する認証情報登録要求情報手段を有し、
前記データベースサーバは、更に、
前記アプリケーションサーバより認証情報登録要求情報を受信し、前記受信した認証情報登録要求情報に基づいて加入者認証情報を登録または更新する加入者認証情報登録更新手段を有する、
ことを特徴とする認証情報管理システム。 - 請求項1から請求項3に記載の認証情報管理システムにおいて、
前記データベースサーバが記憶する加入者認証情報と前記アプリケーションサーバの認証ポリシー記憶部が記憶する認証ポリシーとは、それぞれ、認証種別情報、認証種別ごとの認証強度情報、認証が行われた時刻情報とASを識別する情報のうちの少なくとも1つを比較認証情報として含み、
前記認証ポリシー判定手段は、前記加入者認証情報と前記認証ポリシーとの間で前記比較認証情報同士を比較することにより、前記加入者認証情報応答受信手段の受信した加入者認証情報が前記認証ポリシー記憶部に記憶されている認証ポリシーを満たすか否かを検出する、
ことを特徴とする認証情報管理システム。 - 請求項1から請求項4に記載の認証情報管理システムにおいて、
前記認証ポリシー判定手段が、更に、
前記加入者認証情報応答受信手段の受信した加入者情報応答情報が加入者認証情報を含むか否かを検出し、前記検出結果が加入者認証情報を含まない場合には、前記加入者認証情報応答受信手段の受信した加入者認証情報に含まれる加入者認証情報が前記認証ポリシー記憶部に記憶されている認証ポリシーを満たすか否かの検出結果を、認証ポリシーを満たさないとする、
ことを特徴とする認証情報管理システム。 - 請求項1から請求項4に記載の認証情報管理システムにおいて、
前記認証情報応答情報手段は、更に、
前記検索した認証情報がない場合には、検索した認証情報がないことを示す認証情報無情報を含む認証情報応答情報を前記アプリケーションサーバヘ送信し、
前記認証ポリシー判定手段が、更に、
前記加入者認証情報応答受信手段の受信した加入者情報応答情報が認証情報無情報を含むか否かを検出し、前記検出結果が認証情報無情報を含む場合には、前記加入者認証情報応答受信手段の受信した加入者認証情報に含まれる加入者認証情報が前記認証ポリシー記憶部に記憶されている認証ポリシーを満たすか否かの検出結果を、認証ポリシーを満たさないと判定する、
ことを特徴とする認証情報管理システム。 - 請求項2から請求項6に記載の認証情報管理システムにおいて、
前記ユーザー端末が、更に、
前記認証要求情報受信手段の受信した認証要求情報に含まれる認証可能手段情報のリストを出力する出力手段と、
前記出力手段に応じたユーザーからのリストの選択に応じて、認証処理を実行する認証処理実行手段と、
を有することを特徴とする認証情報管理システム。 - 請求項7の認証情報管理システムにおいて、
前記認証処理実行手段が、
前記提示手段に応じたユーザーからのリストの選択が、認証装置を用いる認証処理である場合には、前記選択されたリストの認証処理を認証装置と連携して行うことを特徴とする認証情報管理システム。 - ユーザー端末にアプリケーションのサービスを提供する複数のアプリケーションサーバと、ユーザーIDと関連付けて加入者認証情報を記憶する複数のデータベースサーバと、前記アプリケーションサーバと前記端末との間および前記アプリケーションサーバと前記データベースサーバとの間がネットワークを介して接続される認証情報管理システムに用いられる前記アプリケーションサーバであり、
前記アプリケーションサーバの認証ポリシーを記憶する認証ポリシー記憶部と、
ユーザーを識別するユーザーIDを含むサービス要求情報を前記ユーザー端末から受信するサービス要求情報受信手段と、
前記サービス要求情報受信手段が受信したサービス要求情報からユーザーIDを抽出し、前記抽出したユーザーIDの加入者認証情報を前記データベースサーバより取得するための認証情報要求情報を前記データベースサーバに送信するサービス要求情報送信手段と、
前記データベースサーバから前記認証情報要求情報に応じた前記ユーザーIDの加入者認証情報を含む加入者情報応答情報を受信する加入者認証情報応答受信手段と、
前記加入者認証情報応答受信手段の受信した加入者情報応答情報に含まれる加入者認証情報が前記認証ポリシー記憶部に記憶されている認証ポリシーを満たすか否かを検出する認証ポリシー判定手段と、
前記認証ポリシー判定手段の検出結果が認証ポリシーを満たす場合には、前記ユーザー端末へアプリケーションサービスを提供するアプリケーションサービス提供手段と、
を有することを特徴とするアプリケーションサーバ。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006127547A JP2007299259A (ja) | 2006-05-01 | 2006-05-01 | 認証情報管理システムおよびアプリケーションサーバ |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006127547A JP2007299259A (ja) | 2006-05-01 | 2006-05-01 | 認証情報管理システムおよびアプリケーションサーバ |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007299259A true JP2007299259A (ja) | 2007-11-15 |
Family
ID=38768694
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006127547A Pending JP2007299259A (ja) | 2006-05-01 | 2006-05-01 | 認証情報管理システムおよびアプリケーションサーバ |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007299259A (ja) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010531017A (ja) * | 2007-06-22 | 2010-09-16 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ユーザ・データベース・サーバ、サービス・ポリシー・サーバ、及びアプリケーション・サーバを含むipマルチメディア・サブシステム通信ネットワークにおいてユーザ装置を通じてサービスを提供する方法 |
JP2011509002A (ja) * | 2007-12-20 | 2011-03-17 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 継続した認証方法の選定 |
JP2011515898A (ja) * | 2008-02-21 | 2011-05-19 | アルカテル−ルーセント | 異種ネットワークのためのワンパス認証機構およびシステム |
JP2011522326A (ja) * | 2008-05-27 | 2011-07-28 | マイクロソフト コーポレーション | 分散セキュアコンテンツ管理システムに対する認証 |
WO2013099065A1 (ja) * | 2011-12-27 | 2013-07-04 | 株式会社 東芝 | 認証連携システムおよびidプロバイダ装置 |
JP2013196278A (ja) * | 2012-03-19 | 2013-09-30 | Yokogawa Electric Corp | ユーザ情報管理システム |
JP2015130679A (ja) * | 2008-03-25 | 2015-07-16 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | ワイヤレス通信環境におけるウィジェットを管理するための装置および方法 |
US9600261B2 (en) | 2008-03-25 | 2017-03-21 | Qualcomm Incorporated | Apparatus and methods for widget update scheduling |
US10061500B2 (en) | 2008-03-25 | 2018-08-28 | Qualcomm Incorporated | Apparatus and methods for widget-related memory management |
JP2019087281A (ja) * | 2019-02-18 | 2019-06-06 | 富士ゼロックス株式会社 | 情報処理装置及びプログラム |
US10846381B2 (en) | 2015-06-03 | 2020-11-24 | Fuji Xerox Co., Ltd. | Authentication selection for information processing apparatus, information processing method, and non-transitory computer readable medium |
JP2021502749A (ja) * | 2017-11-06 | 2021-01-28 | オラクル・インターナショナル・コーポレイション | 認証有効化期間を使用するための方法、システム、およびコンピュータ読取可能媒体 |
US11991525B2 (en) | 2021-12-02 | 2024-05-21 | T-Mobile Usa, Inc. | Wireless device access and subsidy control |
-
2006
- 2006-05-01 JP JP2006127547A patent/JP2007299259A/ja active Pending
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010531017A (ja) * | 2007-06-22 | 2010-09-16 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ユーザ・データベース・サーバ、サービス・ポリシー・サーバ、及びアプリケーション・サーバを含むipマルチメディア・サブシステム通信ネットワークにおいてユーザ装置を通じてサービスを提供する方法 |
JP2011509002A (ja) * | 2007-12-20 | 2011-03-17 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 継続した認証方法の選定 |
US8949950B2 (en) | 2007-12-20 | 2015-02-03 | Telefonaktiebolaget L M Ericsson (Publ) | Selection of successive authentication methods |
JP2011515898A (ja) * | 2008-02-21 | 2011-05-19 | アルカテル−ルーセント | 異種ネットワークのためのワンパス認証機構およびシステム |
JP2015130679A (ja) * | 2008-03-25 | 2015-07-16 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | ワイヤレス通信環境におけるウィジェットを管理するための装置および方法 |
US10481927B2 (en) | 2008-03-25 | 2019-11-19 | Qualcomm Incorporated | Apparatus and methods for managing widgets in a wireless communication environment |
US10061500B2 (en) | 2008-03-25 | 2018-08-28 | Qualcomm Incorporated | Apparatus and methods for widget-related memory management |
US9600261B2 (en) | 2008-03-25 | 2017-03-21 | Qualcomm Incorporated | Apparatus and methods for widget update scheduling |
JP2011522326A (ja) * | 2008-05-27 | 2011-07-28 | マイクロソフト コーポレーション | 分散セキュアコンテンツ管理システムに対する認証 |
JP2014041652A (ja) * | 2008-05-27 | 2014-03-06 | Microsoft Corp | 分散セキュアコンテンツ管理システムに対する認証 |
US8910255B2 (en) | 2008-05-27 | 2014-12-09 | Microsoft Corporation | Authentication for distributed secure content management system |
JP2013137588A (ja) * | 2011-12-27 | 2013-07-11 | Toshiba Corp | 認証連携システムおよびidプロバイダ装置 |
CN103282909B (zh) * | 2011-12-27 | 2016-03-30 | 株式会社东芝 | 认证联合系统及id提供者装置 |
CN103282909A (zh) * | 2011-12-27 | 2013-09-04 | 株式会社东芝 | 认证联合系统及id提供者装置 |
WO2013099065A1 (ja) * | 2011-12-27 | 2013-07-04 | 株式会社 東芝 | 認証連携システムおよびidプロバイダ装置 |
JP2013196278A (ja) * | 2012-03-19 | 2013-09-30 | Yokogawa Electric Corp | ユーザ情報管理システム |
US10846381B2 (en) | 2015-06-03 | 2020-11-24 | Fuji Xerox Co., Ltd. | Authentication selection for information processing apparatus, information processing method, and non-transitory computer readable medium |
JP2021502749A (ja) * | 2017-11-06 | 2021-01-28 | オラクル・インターナショナル・コーポレイション | 認証有効化期間を使用するための方法、システム、およびコンピュータ読取可能媒体 |
JP7349984B2 (ja) | 2017-11-06 | 2023-09-25 | オラクル・インターナショナル・コーポレイション | 認証有効化期間を使用するための方法、システム、およびコンピュータ読取可能媒体 |
JP2019087281A (ja) * | 2019-02-18 | 2019-06-06 | 富士ゼロックス株式会社 | 情報処理装置及びプログラム |
US11991525B2 (en) | 2021-12-02 | 2024-05-21 | T-Mobile Usa, Inc. | Wireless device access and subsidy control |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2007299259A (ja) | 認証情報管理システムおよびアプリケーションサーバ | |
US8549588B2 (en) | Systems and methods for obtaining network access | |
US8056122B2 (en) | User authentication method and system using user's e-mail address and hardware information | |
US9391961B2 (en) | Information operating device, information output device, and information processing method | |
JP4604253B2 (ja) | ウェブページ安全性判定システム | |
US20110029555A1 (en) | Method, system and apparatus for content identification | |
US8681642B2 (en) | Equipment-information transmitting apparatus, service control apparatus, equipment-information transmitting method, and computer products | |
US9608966B2 (en) | Information handling device, information output device, and recording medium | |
JP2005323070A (ja) | 携帯電話による情報家電向け認証方法 | |
JP4960738B2 (ja) | 認証システム、認証方法および認証プログラム | |
EP2311020A1 (en) | Method and system for securing communication sessions | |
KR20210095093A (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
WO2010151692A1 (en) | Systems and methods for obtaining network credentials | |
EP2062130A2 (en) | Systems and methods for obtaining network access | |
JP6122924B2 (ja) | 提供装置、端末装置、提供方法、提供プログラム及び認証処理システム | |
KR102372503B1 (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
JP2012005037A (ja) | Webサイトログイン方法及びWebサイトログインシステム | |
JP4527491B2 (ja) | コンテンツ提供システム | |
JP2011165193A (ja) | ハイブリッド端末のユーザ認証方法及び装置 | |
JP5161053B2 (ja) | ユーザ認証方法、ユーザ認証システム、サービス提供装置、及び認証制御装置 | |
KR101978898B1 (ko) | 유저 디바이스의 특성값을 이용한 웹 스크래핑 방지 시스템 및 그 방법 | |
KR100687722B1 (ko) | 인증 서버 및 인증 서버를 이용한 사용자 인증 방법 | |
JP2014092891A (ja) | 認証装置、認証方法および認証プログラム | |
CN111541775B (zh) | 一种认证报文的安全转换方法及系统 | |
US20230231848A1 (en) | System and method for authentication of interactive voice response service |