JP2008015934A - Service system and service system control method - Google Patents
Service system and service system control method Download PDFInfo
- Publication number
- JP2008015934A JP2008015934A JP2006188491A JP2006188491A JP2008015934A JP 2008015934 A JP2008015934 A JP 2008015934A JP 2006188491 A JP2006188491 A JP 2006188491A JP 2006188491 A JP2006188491 A JP 2006188491A JP 2008015934 A JP2008015934 A JP 2008015934A
- Authority
- JP
- Japan
- Prior art keywords
- user
- information
- service provider
- user information
- line
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
この発明は、サービスシステムおよびサービスシステム制御方法に関する。 The present invention relates to a service system and a service system control method.
従来より、インターネットの普及や回線速度の高速化に伴い、サービス提供事業者(SP:Service Provider)は、各種アプリケーションサービス(電子メール、音楽コンテンツ、映像コンテンツ、ショッピング、オークションなど)を利用者に提供している。このような各種アプリケーションサービスを、サービス提供事業者が利用者に提供するためには、まず、ネットワーク事業者が、利用者の利用者登録を行うことが前提となる。ここで、ネットワーク事業者とは、例えば、xDSL(x Digital Subscriber Line)や光ファイバーなどの固定ネットワークによるアクセスサービスを提供する事業者、無線LAN(Local Area Network)によるアクセスサービスを提供する事業者、その他インターネットへのアクセスサービスを提供する事業者(ISP:Internet Services Provider)などのことである。 Service providers (SP: Service Provider) have provided various application services (e-mail, music content, video content, shopping, auctions, etc.) to users with the spread of the Internet and higher line speeds. is doing. In order for the service provider to provide such various application services to the user, it is premised that the network operator first performs user registration of the user. Here, the network operator is, for example, an operator that provides an access service using a fixed network such as xDSL (x Digital Subscriber Line) or an optical fiber, an operator that provides an access service using a wireless local area network (LAN), or the like. An ISP (Internet Services Provider) that provides an access service to the Internet.
ネットワーク事業者が行う利用者登録について具体的に説明すると、ネットワーク事業者は、運転免許証などの身分証明書とともに利用者によってオフラインで提示された利用者情報(例えば、利用者の氏名、住所、クレジットカード番号など)を取得し、身分証明書による利用者の本人確認を行った上で利用者登録し、利用者のアカウントおよびパスワードの払い出しを行うのが通常である。こうして利用者登録を完了すると、ネットワーク事業者は、利用者から送信されたアカウントとパスワードとを利用者認証することによって、利用者によるインターネットなどのネットワーク利用を可能にする。 Specifically describing the user registration performed by the network operator, the network operator can provide user information (eg, user name, address, It is usual to obtain a credit card number, etc., verify the identity of the user by identification card, register the user, and pay out the user account and password. When the user registration is completed in this manner, the network operator enables the user to use a network such as the Internet by performing user authentication of the account and password transmitted from the user.
次に、各種アプリケーションサービスを、サービス提供事業者が利用者に提供するためには、上記したようなネットワーク事業者による利用者登録が完了し、利用者によるインターネットなどのネットワーク利用が可能になった上で、サービス提供事業者が、利用者の利用者登録(もしくは利用者認証)を行わなければならない。サービス提供事業者が行う利用者登録について具体的に説明すると、サービス提供事業者は、利用者情報(例えば、利用者の氏名、住所、クレジットカード番号など)を、利用者からオンラインで送信されることで取得し、取得した利用者情報に基づいて利用者登録を行う。 Next, in order for the service provider to provide users with various application services, user registration by the network operator as described above has been completed, and the user can use the network such as the Internet. The service provider must perform user registration (or user authentication) for the user. Specifically describing user registration performed by the service provider, the service provider transmits user information (for example, the user's name, address, credit card number, etc.) online from the user. The user registration is performed based on the acquired user information.
例えば、特許文献1では、サービス提供事業者とは異なる第三者認証機関としての役割を持つ認証サーバが利用者登録(もしくは利用者認証)を行い、その結果をサービス提供事業者に提供することで、サービス提供事業者が各種アプリケーションサービスを利用者に提供する手法が開示されている。
For example, in
ところで、上記した従来技術では、以下に説明するように、サービス事業者装置において、信用性の高いサイトアクセス制御(例えば、利用者登録、利用者認証など)を実現することができないという課題がある。すなわち、サイトアクセス制御のひとつであるサービス事業者における利用者登録についていえば、サービス提供事業者は、サービス事業者装置または第三者認証機関としての役割を持つ認証サーバにおいて、運転免許証などの身分証明書とともに利用者によってオフラインで提示された利用者情報に基づいて、利用者の本人確認を行った上で利用者登録を行うわけではないことから、サービス事業者装置において、信用性の高い利用者登録を実現することができない。 By the way, as described below, the above-described conventional technology has a problem that it is impossible to realize highly reliable site access control (for example, user registration, user authentication, etc.) in the service provider apparatus. . In other words, as for user registration in a service provider, which is one of the site access controls, the service provider can use a driver's license, etc. The service provider device is highly reliable because user registration is not performed after the user's identity is confirmed based on the user information presented offline by the user together with the identification card. User registration cannot be realized.
そこで、この発明は、上記した従来技術の課題を解決するためになされたものであり、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することが可能なサービスシステムおよびサービスシステム制御方法を提供することを目的とする。 Therefore, the present invention has been made to solve the above-described problems of the prior art, and a service system and a service system control method capable of realizing highly reliable site access control in a service provider apparatus The purpose is to provide.
上記した課題を解決し、目的を達成するため、請求項1に係る発明は、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムであって、前記ネットワーク事業者装置は、前記ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶する利用者情報記憶手段と、前記サービス事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者情報の取得を要求する利用者情報取得要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得する回線情報取得手段と、前記回線情報取得手段によって取得された回線情報に対応付けられた利用者情報を前記利用者情報記憶手段から取得し、前記利用者装置を経由するリダイレクト通信によって当該利用者情報を前記サービス事業者装置に送信する利用者情報送信手段と、前記サービス事業者装置は、前記利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者情報の取得を要求する利用者情報取得要求を前記ネットワーク事業者装置に送信する利用者情報取得要求送信手段と、前記ネットワーク事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者情報を受信した場合に、当該利用者情報を用いて前記サイトアクセスを制御するアクセス制御手段と、を備えたことを特徴とする。
In order to solve the above-described problems and achieve the object, the invention according to
また、請求項2に係る発明は、上記の発明において、前記利用者情報送信手段は、前記利用者情報に加えて、当該利用者情報の送信を一意に識別する仮識別情報を前記サービス事業者装置に送信するとともに、当該サービス事業者装置を一意に識別するサービス識別情報および前記仮識別情報を、前記利用者情報に対応付けて前記利用者情報記憶手段に格納し、前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者情報に加えて前記仮識別情報を受信した場合には、当該サイトアクセスを要求している利用者を一意に識別する利用者識別情報に対応付けて前記仮識別情報を所定の記憶手段に格納し、前記ネットワーク事業者装置は、前記サービス事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者情報に対応する仮識別情報の取得を要求する仮識別情報取得要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得する登録後回線情報取得手段と、前記登録後回線情報取得手段によって取得された回線情報に対応付けられた仮識別情報を前記利用者情報記憶手段から取得し、前記利用者装置を経由するリダイレクト通信によって当該仮識別情報を前記サービス事業者装置に送信する仮識別情報送信手段と、前記サービス事業者装置は、前記利用者装置から利用者登録後におけるサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者情報に対応する仮識別情報の取得を要求する仮識別情報取得要求を前記ネットワーク事業者装置に送信する仮識別情報取得要求送信手段と、前記ネットワーク事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者情報に対応する仮識別情報を受信した場合に、当該仮識別情報に対応する利用者識別情報を前記所定の記憶手段から取得して前記サイトアクセスを制御する登録後アクセス制御手段と、をさらに備えたことを特徴とする。
In the invention according to
また、請求項3に係る発明は、上記の発明において、前記利用者情報送信手段は、前記利用者情報に加えて、前記回線情報を前記サービス事業者装置に送信し、前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者情報に加えて前記回線情報を受信した場合に、当該利用者情報および回線情報を用いて前記サイトアクセスを制御することを特徴とする。
Further, in the invention according to
また、請求項4に係る発明は、上記の発明において、前記利用者情報送信手段は、前記利用者情報に加えて、当該利用者情報の有効期限を示す有効期限情報を前記サービス事業者装置に送信し、前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者情報に加えて前記有効期限情報を受信した場合に、当該有効期限情報に示される有効期限を満たすことを条件に、前記利用者情報を用いて前記サイトアクセスを制御することを特徴とする。 According to a fourth aspect of the present invention, in the above invention, in addition to the user information, the user information transmitting means sends expiration date information indicating an expiration date of the user information to the service provider device. And when the access control means receives the expiration date information in addition to the user information from the network operator device, the access control means fulfills the expiration date indicated in the expiration date information. The site access is controlled using user information.
また、請求項5に係る発明は、上記の発明において、前記利用者情報送信手段は、前記利用者情報に加えて、前記ネットワーク事業者装置が署名する電子署名を前記サービス事業者装置に送信し、前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者情報に加えて前記電子署名を受信した場合に、当該電子署名が正当であることを条件に、前記利用者情報を用いて前記サイトアクセスを制御することを特徴とする。
Further, in the invention according to
また、請求項6に係る発明は、前記利用者情報送信手段は、前記サービス事業者装置から前記利用者情報取得要求に加えて、当該サービス事業者装置が署名する電子署名を受信した場合に、当該電子署名が正当であることを条件に、前記利用者情報を当該サービス事業者装置に送信し、前記利用者情報取得要求送信手段は、前記利用者情報取得要求に加えて、前記電子署名を前記ネットワーク事業者装置に送信することを特徴とする。
Further, in the invention according to
また、請求項7に係る発明は、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムを制御するサービスシステム制御方法であって、前記ネットワーク事業者装置は、前記ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶する利用者情報記憶工程と、前記サービス事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者情報の取得を要求する利用者情報取得要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得する回線情報取得工程と、前記回線情報取得工程によって取得された回線情報に対応付けられた利用者情報を前記利用者情報記憶工程から取得し、前記利用者装置を経由するリダイレクト通信によって当該利用者情報を前記サービス事業者装置に送信する利用者情報送信工程と、前記サービス事業者装置は、前記利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者情報の取得を要求する利用者情報取得要求を前記ネットワーク事業者装置に送信する利用者情報取得要求送信工程と、前記ネットワーク事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者情報を受信した場合に、当該利用者情報を用いて前記サイトアクセスを制御するアクセス制御工程と、を含んだことを特徴とする。 The invention according to claim 7 is a service in which a network operator device that controls network connection by a user device and a service operator device that controls site access by the user device are connected via a network. A service system control method for controlling a system, wherein the network operator device includes user information related to a user of a user device permitted to connect to the network, line information related to a line to which the user device is connected, and When a user information storage step for storing the user information is received, and a user information acquisition request for requesting acquisition of user information of the user device is received from the service provider device by redirect communication via the user device. Line information acquisition to acquire line information about the line to which the user device is connected The user information associated with the line information acquired by the line information acquisition step is acquired from the user information storage step, and the user information is transmitted to the service by redirect communication via the user device. The user information transmission step for transmitting to the provider device, and when the service provider device accepts a site access request from the user device, the user device is transmitted by redirect communication via the user device. User information acquisition request transmission step for transmitting a user information acquisition request for requesting acquisition of user information to the network operator device, and redirect communication from the network operator device via the user device. When the user information of the user device is received, the site access is controlled using the user information. Characterized in that including the access control step.
請求項1または7の発明によれば、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムであって、ネットワーク事業者装置は、ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、利用者装置が接続する回線に関する回線情報と対応付けて記憶し、サービス事業者装置から利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報の取得を要求する利用者情報取得要求を受信した場合に、利用者装置が接続されている回線に関する回線情報を取得し、取得された回線情報に対応付けられた利用者情報を取得し、利用者装置を経由するリダイレクト通信によって利用者情報をサービス事業者装置に送信し、サービス事業者装置は、利用者装置からサイトアクセスの要求を受け付けた場合に、利用者装置を経由するリダイレクト通信によって、利用者装置の利用者情報の取得を要求する利用者情報取得要求をネットワーク事業者装置に送信し、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報を受信した場合に、利用者情報を用いてサイトアクセスを制御するので、ネットワーク事業者装置において記憶される利用者情報は、運転免許証などの身分証明書とともに利用者によってオフラインで提示され、利用者の本人確認が行われた上で利用者登録が行われた際の利用者情報であることから、利用者によって入力された利用者情報がオンラインでサービス事業者装置に送信される従来の手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することが可能になる。
According to the invention of
すなわち、例えば、サービス事業者装置において、ネットワーク事業者装置から受信した信用性の高い利用者情報を用いて利用者登録を行ったり、利用者登録した利用者が操作する利用者装置からのサイトアクセスを許可したり、利用者登録を行わずにワンタイムで利用者装置からのサイトアクセスを許可したり(ネットワーク事業者装置から受信した信用性の高い利用者情報を用いて各種アプリケーションサービスの提供許否を判断したり)することが可能になる。 That is, for example, in a service provider device, user registration is performed using highly reliable user information received from the network provider device, or site access from a user device operated by the user who registered the user is performed. Or allow site access from user devices in one time without user registration (provided whether to provide various application services using highly reliable user information received from network operator devices) Can be judged).
また、利用者装置の利用者によってワンクリックされるだけで、サイトアクセス(例えば、利用者登録など)を完了させることができ、また、サービス事業者装置用の利用者アカウントやパスワードなどの情報が利用者によって管理される必要がなくなり、さらに、ネットワーク事業者装置で利用者とサービス事業者との間の利用者登録情報などを管理すると、場合によっては、サービス事業者装置で利用者登録情報などを管理する必要がなくなることから、信用性かつ利便性の高いサイトアクセス制御をすることが可能になる。 In addition, site access (for example, user registration) can be completed with a single click by the user of the user device, and information such as a user account and password for the service provider device can be obtained. It is no longer necessary to be managed by the user. Furthermore, if the user registration information between the user and the service provider is managed by the network provider device, the user registration information may be stored by the service provider device. Therefore, it is possible to perform site access control with high reliability and convenience.
また、請求項2の発明によれば、ネットワーク事業者装置は、利用者情報に加えて、利用者情報の送信を一意に識別する仮識別情報をサービス事業者装置に送信するとともに、サービス事業者装置を一意に識別するサービス識別情報および仮識別情報を、利用者情報に対応付けて格納し、サービス事業者装置は、ネットワーク事業者装置から利用者情報に加えて仮識別情報を受信した場合には、サイトアクセスを要求している利用者を一意に識別する利用者識別情報に対応付けて仮識別情報を所定の記憶手段に格納し、ネットワーク事業者装置は、サービス事業者装置から利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報に対応する仮識別情報の取得を要求する仮識別情報取得要求を受信した場合に、利用者装置が接続されている回線に関する回線情報を取得し、取得された回線情報に対応付けられた仮識別情報を取得し、利用者装置を経由するリダイレクト通信によって仮識別情報をサービス事業者装置に送信し、サービス事業者装置は、利用者装置から利用者登録後におけるサイトアクセスの要求を受け付けた場合に、利用者装置を経由するリダイレクト通信によって、利用者装置の利用者情報に対応する仮識別情報の取得を要求する仮識別情報取得要求をネットワーク事業者装置に送信し、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報に対応する仮識別情報を受信した場合に、仮識別情報に対応する利用者識別情報を所定の記憶手段から取得してサイトアクセスを制御するので、同一の利用者に対応づけられた仮識別情報(例えば、仮名ID、匿名IDなど)が、ネットワーク事業者装置とサービス事業者装置との間で共有されることから、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有されない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全かつ効率的に実現することが可能になる。
According to the invention of
すなわち、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有される結果、他のサービス事業者によるいわゆる名寄せの対象にされるおそれを回避できることから、例えば、利用者本人の名前の一部を用いた利用者アカウントが共有される手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。 That is, since the temporary identification information is shared between the network provider device and the service provider device, it is possible to avoid the possibility of being subject to so-called name identification by other service providers. Compared with a method in which a user account using a part of the service account is shared, it is possible to safely implement highly reliable site access control in the service provider device.
その上、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有される結果、サービス事業者装置は、利用者登録後におけるサイトアクセスの要求を利用者装置から受け付けた場合に、再び利用者登録することなく安全な仮識別情報でサイトアクセス制御できることから、サービス事業者装置において、信用性の高いサイトアクセス制御を安全かつ効率的に実現することが可能になる。 In addition, as a result of the provisional identification information being shared between the network operator device and the service operator device, the service operator device receives a request for site access after user registration from the user device, Since site access control can be performed with secure temporary identification information without user registration again, it is possible to safely and efficiently implement highly reliable site access control in the service provider apparatus.
また、請求項3の発明によれば、ネットワーク事業者装置は、利用者情報に加えて、回線情報をサービス事業者装置に送信し、サービス事業者装置は、ネットワーク事業者装置から利用者情報に加えて回線情報を受信した場合に、利用者情報および回線情報を用いてサイトアクセスを制御するので、利用者情報のみを用いてサイトアクセスを制御する手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を高度に実現することが可能になる。
According to the invention of
すなわち、利用者装置が接続する回線に関する回線情報を用いて、利用者装置が接続する場所や回線速度などを特定できることから、例えば、利用者装置が接続する場所によってはサイトアクセスを許可しないことや、利用者装置が接続する回線速度に応じてサイトアクセスを許可しないこと、あるいは、利用者装置が接続する場所によって提供するサービスを選択することや、利用者装置が接続する回線速度に応じて提供するサービスを選択することなど、サービス事業者装置において、信用性の高いサイトアクセス制御を高度に実現することが可能になる。具体的に例を挙げて説明すると、回線情報によって特定されるネットワークへの接続場所が、「自宅」以外の場所の場合には、オークションサービスの提供を許可しないことや、回線情報によって特定される回線速度が高速な場合には、高解像度の映像コンテンツサービスを提供することなどが可能になる。 That is, it is possible to specify the location where the user device is connected, the line speed, etc. using the line information related to the line to which the user device is connected. For example, the site access is not permitted depending on the location where the user device is connected, Do not allow site access according to the line speed to which the user device is connected, select the service to be provided depending on the location to which the user device is connected, or provide it according to the line speed to which the user device is connected It is possible to highly implement highly reliable site access control in the service provider device such as selecting a service to be performed. Specifically, when the connection location to the network specified by the line information is a place other than “home”, the provision of the auction service is not permitted, or the connection information is specified by the line information. When the line speed is high, it is possible to provide a high-resolution video content service.
また、請求項4の発明によれば、ネットワーク事業者装置は、利用者情報に加えて、利用者情報の有効期限を示す有効期限情報をサービス事業者装置に送信し、サービス事業者装置は、ネットワーク事業者装置から利用者情報に加えて有効期限情報を受信した場合に、有効期限情報に示される有効期限を満たすことを条件に、利用者情報を用いてサイトアクセスを制御するので、利用者情報をサービス事業者装置に送信する際に有効期限情報を送信しない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。
According to the invention of
すなわち、利用者情報をサービス事業者装置に送信する際に有効期限情報を送信しない手法では、例えば、利用者装置を経由するリダイレクト通信において、利用者装置が利用者情報その他の制御情報などを不正に取得し、不正に情報を取得した利用者装置が不正にサイトアクセスするおそれなどがあるが、有効期限情報(例えば、有効期限は、数秒、数十秒といったオーダーで設定される)を送信することで、これらのおそれを回避できることから、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。 That is, when the user information is transmitted to the service provider device, the method in which the expiration date information is not transmitted is used. For example, in redirect communication via the user device, the user device illegally uses the user information or other control information. There is a possibility that the user device that has obtained the information and illegally obtained the information may illegally access the site, but transmits the expiration date information (for example, the expiration date is set in the order of several seconds or several tens of seconds). Thus, since these fears can be avoided, highly reliable site access control can be safely realized in the service provider apparatus.
また、請求項5の発明によれば、ネットワーク事業者装置は、利用者情報に加えて、ネットワーク事業者装置が署名する電子署名をサービス事業者装置に送信し、サービス事業者装置は、ネットワーク事業者装置から利用者情報に加えて電子署名を受信した場合に、電子署名が正当であることを条件に、利用者情報を用いてサイトアクセスを制御するので、利用者情報をサービス事業者装置に送信する際に電子署名を送信しない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。
According to the invention of
すなわち、利用者情報をサービス事業者装置に送信する際に電子署名を送信しない手法では、例えば、送信された利用者情報が正しいネットワーク事業者装置から送信された利用者情報であるか否かを判断できないが、電子署名を送信し、電子署名が正当であることを条件に(すなわち、正しいネットワーク事業者装置から送信された利用者情報であることを判断し、利用者情報に改竄が行われていないことを判断し、ネットワーク事業者装置が送信した事実を否認するおそれを回避した上で)サイトアクセスを制御することから、信用性の高いサイトアクセス制御を安全に実現することが可能になる。 That is, in the method of not transmitting an electronic signature when transmitting user information to a service provider device, for example, whether the transmitted user information is user information transmitted from the correct network operator device or not. Although it cannot be determined, an electronic signature is transmitted, and on the condition that the electronic signature is valid (that is, it is determined that the user information is transmitted from the correct network operator device, and the user information is altered) Control of site access (after avoiding the possibility of denying the fact transmitted by the network operator device), it becomes possible to safely implement highly reliable site access control. .
また、請求項6の発明によれば、ネットワーク事業者装置は、サービス事業者装置から利用者情報取得要求に加えて、サービス事業者装置が署名する電子署名を受信した場合に、電子署名が正当であることを条件に、利用者情報をサービス事業者装置に送信し、サービス事業者装置は、利用者情報取得要求に加えて、電子署名をネットワーク事業者装置に送信するので、利用者情報取得要求をネットワーク事業者装置に送信する際に電子署名を送信しない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。
According to the invention of
すなわち、利用者情報取得要求をネットワーク事業者装置に送信する際に電子署名を送信しない手法では、例えば、送信された利用者情報取得要求が正しいサービス事業者装置から送信された利用者情報取得要求であるか否かを判断できないが、電子署名を送信し、電子署名が正当であることを条件に(すなわち、正しいサービス事業者装置から送信された利用者情報取得要求であることを判断し、利用者情報取得要求に改竄が行われていないことを判断し、サービス事業者装置が送信した事実を否認するおそれを回避した上で)、利用者情報取得要求を送信することから、信用性の高いサイトアクセス制御を安全に実現することが可能になる。 That is, in the method of not transmitting the electronic signature when transmitting the user information acquisition request to the network operator apparatus, for example, the user information acquisition request transmitted from the correct service provider apparatus is transmitted. It is not possible to determine whether or not the electronic signature is transmitted, and on the condition that the electronic signature is valid (that is, it is determined that the user information acquisition request is transmitted from the correct service provider device, Since it is judged that the user information acquisition request has not been tampered with and avoids the possibility of denying the fact that the service provider device has transmitted) High site access control can be realized safely.
以下に添付図面を参照して、この発明に係るサービスシステムの実施例を詳細に説明する。なお、以下の実施例で用いる主要な用語、実施例1に係るサービスシステムの概要および特徴、実施例1に係るサービスシステムの構成および処理の手順、実施例1の効果を順に説明し、続いて、他の実施例について説明する。 Embodiments of a service system according to the present invention will be described below in detail with reference to the accompanying drawings. The main terms used in the following embodiments, the outline and features of the service system according to the first embodiment, the configuration and processing procedure of the service system according to the first embodiment, and the effects of the first embodiment will be described in order. Another embodiment will be described.
[用語の説明]
まず最初に、以下の実施例で用いる主要な用語を説明する。「利用者装置」とは、パーソナルコンピュータや携帯電話などで構成され、利用者によって操作される装置のことである。具体的には、「利用者装置」は、インターネットなどのネットワークに接続し、ネットワーク上で公開されている各種アプリケーションサービス(例えば、電子メール、音楽コンテンツ、映像コンテンツ、ショッピング、オークションなど)の情報を、ネットワーク上の他のコンピュータから受信してモニタやスピーカーなどに出力したり、利用者によって入力された情報を、ネットワーク上の他のコンピュータに送信したりすることで、各種アプリケーションサービスを利用者に提供する。
[Explanation of terms]
First, main terms used in the following examples will be described. A “user device” is a device configured by a personal computer, a mobile phone, or the like and operated by a user. Specifically, the “user device” is connected to a network such as the Internet and receives information on various application services (for example, e-mail, music content, video content, shopping, auction, etc.) published on the network. By receiving from other computers on the network and outputting to a monitor or speaker, etc., or sending information input by the user to other computers on the network, various application services can be provided to the user. provide.
ところで、この「利用者装置」が、ネットワーク上の各種アプリケーションサービスの情報を他のコンピュータと送受信するためには、「ネットワーク事業者装置」によって、ネットワーク接続を制御されることと、「サービス事業者装置」によって、サイトアクセスを制御されることとが必要になる。 By the way, in order for this “user device” to send and receive information on various application services on the network to and from other computers, the “network operator device” controls the network connection and the “service operator” It is necessary that the site access be controlled by the “device”.
具体的に説明すると、「ネットワーク事業者装置」とは、汎用的なコンピュータなどで構成され、ネットワーク事業者によって運営される装置のことである。また、ネットワーク事業者とは、利用者登録した利用者によって操作される「利用者装置」に対して、インターネットなどのネットワークに接続するための回線を提供する事業者のことである。例えば、ネットワーク事業者とは、xDSL(x Digital Subscriber Line)や光ファイバーなどの固定ネットワークによるアクセスサービスを提供する事業者、無線LAN(Local Area Network)によるアクセスサービスを提供する事業者、その他インターネットへのアクセスサービスを提供する事業者(ISP:Internet Services Provider)などのことであり、「利用者装置」は、まず、ネットワーク事業者によって運営される「ネットワーク事業者装置」に利用者登録されて、ネットワーク接続を制御されることで(インターネットなどのネットワークに接続するための回線への接続を許可されることで)、インターネットなどのネットワークに接続できるようになる。なお、ネットワーク上には、多数のネットワーク事業者が存在し、多数の「ネットワーク事業者装置」が存在するが、「利用者装置」は、任意の「ネットワーク事業者装置」によってネットワーク接続を制御されることで、インターネットなどのネットワークに接続する。 More specifically, the “network operator device” is a device configured by a general-purpose computer or the like and operated by the network operator. A network operator is an operator that provides a line for connecting to a network such as the Internet for a “user device” operated by a registered user. For example, a network operator is an operator that provides an access service using a fixed network such as xDSL (x Digital Subscriber Line) or optical fiber, an operator that provides an access service using a wireless local area network (LAN), or other Internet access. It is a provider (ISP: Internet Services Provider) etc. that provides an access service, and a “user device” is first registered as a user in a “network operator device” operated by a network operator, and then the network By controlling the connection (by allowing connection to a line for connecting to a network such as the Internet), it becomes possible to connect to a network such as the Internet. There are a large number of network operators on the network, and there are a large number of “network operator devices”. However, the “user device” has a network connection controlled by an arbitrary “network operator device”. To connect to a network such as the Internet.
こうして、「ネットワーク事業者装置」にネットワーク接続を制御されることで、インターネットなどのネットワークに接続できるようになった「利用者装置」は、次に、各種アプリケーションサービスの提供を受けるために、「サービス事業者装置」に利用者登録(もしくは利用者認証)されなければならない。「サービス事業者装置」とは、汎用的なコンピュータなどで構成され、サービス提供事業者によって運営される装置のことである。また、サービス提供事業者とは、利用者登録(もしくは利用者認証)した利用者によって操作される「利用者装置」に対して、各種アプリケーションサービスを提供する事業者のことである。例えば、サービス提供事業者とは、ネットワーク上で各種アプリケーションサービス(例えば、電子メール、音楽コンテンツ、映像コンテンツ、ショッピング、オークションなど)を提供する事業者などのことであり、「利用者装置」は、サービス提供事業者によって運営される「サービス事業者装置」に利用者登録(もしくは利用者認証)されて、サイトアクセスを制御されることで、各種アプリケーションサービスの提供を受けることができるようになる。なお、「ネットワーク事業者装置」同様、ネットワーク上には、多数のサービス提供事業者が存在し、多数の「サービス事業者装置」が存在するが、「利用者装置」は、任意の「サービス事業者装置」によってサイトアクセスを制御されることで、任意のアプリケーションサービスの提供を受ける。 In this way, the “user device” that can be connected to the network such as the Internet by controlling the network connection by the “network provider device” next receives the provision of various application services. User registration (or user authentication) must be performed on the “service provider device”. The “service provider device” is a device configured by a general-purpose computer or the like and operated by a service provider. A service provider is a provider that provides various application services to a “user device” operated by a user who has registered (or authenticated) a user. For example, a service provider is a provider that provides various application services (for example, e-mail, music content, video content, shopping, auctions, etc.) on a network. By registering a user (or user authentication) in a “service provider device” operated by a service provider and controlling site access, it is possible to receive various application services. As with “Network operator equipment”, there are many service providers on the network, and there are many “Service provider equipment”. However, “User equipment” is an arbitrary “Service business equipment”. The site access is controlled by the “user device” to receive provision of an arbitrary application service.
ここで、「サイトアクセス」とは、例えば、利用者登録していない利用者によって操作される「利用者装置」が「サービス事業者装置」に接続した際に、「サービス事業者装置」において利用者登録を行うことや、利用者登録した利用者によって操作される「利用者装置」が接続した際に、利用者認証を行うことで「利用者装置」にアプリケーションサービスを提供することや、利用者登録していない利用者によって操作される「利用者装置」が接続した際に、利用者登録を行わずにワンタイムで利用者認証を行うことで「利用者装置」にアプリケーションサービスを提供することなどを総称したものである。「サービス事業者装置」が提供するアプリケーションサービスの種類や利用局面などに応じて、「サイトアクセス」を制御する制御内容は異なってくる。 Here, “site access” is, for example, used in a “service provider device” when a “user device” operated by a user who is not registered as a user is connected to a “service provider device”. User registration, providing application services to the "user device" by using user authentication when a "user device" operated by the registered user connects, When a “user device” operated by a user who is not registered is connected, application authentication is provided to the “user device” by performing user authentication in one time without performing user registration. This is a general term. The content of control for controlling “site access” varies depending on the type of application service provided by the “service provider device” and the usage situation.
このように、「ネットワーク事業者装置」が「利用者装置」によるネットワーク接続を制御し、「サービス事業者装置」が「利用者装置」によるサイトアクセスを制御するシステムを、「サービスシステム」というが、「サービスシステム」においては、なりすましやクレジットカード番号の悪用など、さまざまな脅威が存在する。このため、「サービスシステム」においては、信用性の高いサイトアクセス制御をいかにして実現するかが、特に重要な点になる。 In this way, a system in which the “network provider device” controls the network connection by the “user device” and the “service provider device” controls the site access by the “user device” is called a “service system”. In the “service system”, there are various threats such as impersonation and misuse of credit card numbers. For this reason, in the “service system”, how to achieve highly reliable site access control is particularly important.
[実施例1に係るサービスシステムの概要および特徴]
続いて、図1を用いて、実施例1に係るサービスシステムの概要および特徴を説明する。図1は、実施例1に係るサービスシステムの概要および特徴を説明するための図である。なお、以下の実施例では、ひとつの「利用者装置」によるネットワーク接続を、ひとつの「ネットワーク事業者装置」が制御し、ひとつの「利用者装置」によるサイトアクセスを、ひとつの「サービス事業者装置」が制御する構成を説明するが、この発明はこれに限られるものではなく、ひとつまたは複数の「利用者装置」によるネットワーク接続を、ひとつまたは複数の「ネットワーク事業者装置」が制御し、ひとつまたは複数の「利用者装置」によるサイトアクセスを、ひとつまたは複数の「サービス事業者装置」が制御する構成にも、この発明を同様に適用することができる。
[Outline and Features of Service System According to Embodiment 1]
Next, the outline and features of the service system according to the first embodiment will be described with reference to FIG. FIG. 1 is a diagram for explaining the outline and features of the service system according to the first embodiment. In the following embodiment, network connection by one “user device” is controlled by one “network operator device”, and site access by one “user device” is controlled by one “service provider”. The configuration controlled by the “device” will be described, but the present invention is not limited to this, and one or a plurality of “network provider devices” control network connection by one or a plurality of “user devices”. The present invention can be similarly applied to a configuration in which one or a plurality of “service provider devices” controls site access by one or a plurality of “user devices”.
実施例1に係るサービスシステムは、上記したように、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されることを概要とし、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することを主たる特徴とする。 As described above, the service system according to the first embodiment connects the network operator device that controls the network connection by the user device and the service operator device that controls the site access by the user device via the network. The main feature is to realize highly reliable site access control in the service provider device.
この主たる特徴について簡単に説明すると、実施例1におけるネットワーク事業者装置は、利用者装置の利用者について、あらかじめ利用者登録しており、利用者装置のネットワーク接続を許可しているものとする。すなわち、ネットワーク事業者装置は、図1に示すように、ネットワーク接続が許可される利用者装置の利用者に関する利用者情報(例えば、契約者名、住所、クレジットカード番号など)を、利用者装置が接続する回線に関する回線情報(例えば、回線の識別子、回線の収容位置、回線種別、回線速度など)と対応づけて、利用者管理データベース部(利用者管理DB)に記憶している。例えば、図1においては、利用者アカウントAAAに関する利用者情報(「AAAの利用者情報」)を、回線情報(「AAAの回線情報」)と対応づけて、利用者管理DBに記憶している。 Briefly describing this main feature, it is assumed that the network operator device in the first embodiment has previously registered the user of the user device and has permitted the network connection of the user device. That is, as shown in FIG. 1, the network operator device receives user information (for example, a contractor name, an address, a credit card number, etc.) regarding the user of the user device that is permitted to connect to the network. Is stored in the user management database unit (user management DB) in association with the line information (for example, line identifier, line accommodation position, line type, line speed, etc.) related to the line to which is connected. For example, in FIG. 1, user information relating to the user account AAA (“AAA user information”) is stored in the user management DB in association with the line information (“AAA line information”). .
一方、実施例1におけるサービス事業者装置は、利用者装置の利用者について、利用者登録していないものとする。すなわち、利用者装置は、サービス事業者装置が提供するアプリケーションサービスの提供を受けることができない状態にある。なお、実施例1において、サービス事業者装置が提供するアプリケーションサービスは、永続的な利用者登録を行う(永続的な利用者アカウントを払い出す)ことで提供できるタイプのアプリケーションサービスとするが、この発明はこれに限られるものではなく、一時的な利用者登録を行う(一時的な利用者アカウントを払い出す)ことで提供できるタイプのアプリケーションサービスにも、この発明を同様に適用することができる。 On the other hand, it is assumed that the service provider device according to the first embodiment does not register the user of the user device. That is, the user device cannot receive the application service provided by the service provider device. In the first embodiment, the application service provided by the service provider device is a type of application service that can be provided by performing permanent user registration (paying a permanent user account). The present invention is not limited to this, and the present invention can be similarly applied to a type of application service that can be provided by performing temporary user registration (paying a temporary user account). .
また、実施例1におけるネットワーク事業者装置とサービス事業者装置との間では、ネットワーク事業者装置が利用者管理DBに管理する利用者情報および回線情報を、サービス事業者装置に送信すること(および具体的な送信項目)について、あらかじめ取り決めがなされているものとする。さらに、ネットワーク事業者装置とサービス事業者装置との間では、あらかじめ信頼関係が成立しているものとする。すなわち、ネットワーク事業者装置においては、サービス事業者装置が署名する電子署名が正当であることを検証するための公開鍵情報(サービス事業者装置の電子証明書など)を管理し、サービス事業者装置においては、ネットワーク事業者装置が署名する電子署名が正当であることを検証するための公開鍵情報(ネットワーク事業者装置の電子証明書など)を管理しているものとする。なお、実施例1においては、ネットワーク事業者装置およびサービス事業者装置において、互いの公開鍵情報を管理する手法を説明するが、この発明はこれに限られるものではなく、信頼される第三者機関によって発行される公開鍵情報を用いて電子署名が正当であることを検証する手法など、電子署名が正当であることを検証する手法はいずれでもよい。 In addition, between the network operator device and the service operator device in the first embodiment, the network operator device transmits user information and line information managed by the user management DB to the service operator device (and It is assumed that an agreement has been made in advance for specific transmission items). Furthermore, it is assumed that a trust relationship is established in advance between the network operator device and the service operator device. That is, the network operator apparatus manages public key information (such as an electronic certificate of the service provider apparatus) for verifying that the electronic signature signed by the service provider apparatus is valid, and the service provider apparatus It is assumed that public key information (such as an electronic certificate of a network operator device) for verifying that an electronic signature signed by the network operator device is valid is managed. In the first embodiment, a technique for managing each other's public key information in the network operator device and the service operator device will be described. However, the present invention is not limited to this, and a trusted third party. Any method for verifying that an electronic signature is valid, such as a method for verifying that an electronic signature is valid using public key information issued by an institution, may be used.
このような構成のもと、実施例1におけるネットワーク事業者装置は、まず、利用者装置から、ネットワーク接続要求を受信する(図1の(1)を参照)。具体的には、ネットワーク事業者装置は、利用者装置から、ネットワーク接続要求として、回線認証情報(例えば、利用者アカウント、パスワードなど)を受信する。例えば、図1においては、利用者アカウントAAAとパスワードとを受信する。なお、回線認証情報として、利用者装置から、電子署名等を受信してもよい。 Under such a configuration, the network operator apparatus according to the first embodiment first receives a network connection request from the user apparatus (see (1) in FIG. 1). Specifically, the network operator device receives line authentication information (for example, a user account, a password, etc.) as a network connection request from the user device. For example, in FIG. 1, a user account AAA and a password are received. An electronic signature or the like may be received from the user device as the line authentication information.
次に、ネットワーク事業者装置は、ネットワーク事業者装置において、認証処理を行う(図1の(2)を参照)。具体的には、ネットワーク事業者装置は、利用者装置から受信した回線認証情報と、利用者管理DBに管理する回線認証情報(例えば、利用者アカウント、パスワードなど)とを照合し、利用者装置を認証する。例えば、図1においては、利用者管理DBに管理する利用者アカウントAAAと図示しないパスワードとを照合し、利用者装置を認証する。 Next, the network operator device performs an authentication process in the network operator device (see (2) in FIG. 1). Specifically, the network operator device collates the line authentication information received from the user device with the line authentication information (eg, user account, password, etc.) managed in the user management DB, and the user device Authenticate. For example, in FIG. 1, the user account AAA managed in the user management DB is compared with a password (not shown) to authenticate the user device.
そして、ネットワーク事業者装置は、利用者装置に、ネットワーク接続応答を送信する(図1の(3)を参照)。具体的には、ネットワーク事業者装置は、利用者装置に対して、インターネットなどのネットワークに接続するための回線(アクセスネットワーク)へのアクセスパスをPPPoE(Point to Point Protocol over Ethernet(登録商標))などで設定し、IPアドレスを払い出し、利用者装置に送信する。また、ネットワーク事業者装置は、利用者装置に対して払い出したIPアドレスを、利用者管理DBに格納する。 Then, the network operator device transmits a network connection response to the user device (see (3) in FIG. 1). Specifically, the network operator device provides the user device with an access path to a line (access network) for connecting to a network such as the Internet by PPPoE (Point to Point Protocol over Ethernet (registered trademark)). The IP address is issued and sent to the user device. The network operator device stores the IP address assigned to the user device in the user management DB.
その結果、利用者装置は、インターネットなどのネットワークに接続し、続いて、サービス事業者装置は、利用者装置から、SPサイトアクセス要求を受信する(図1の(4)を参照)。具体的には、サービス事業者装置は、利用者装置から、SPサイトアクセス要求として、サービス事業者装置が提供するアプリケーションサービスが公開されているSPサイトのURL(Uniform Resource Locator)などを受信する。 As a result, the user device is connected to a network such as the Internet, and then the service provider device receives an SP site access request from the user device (see (4) in FIG. 1). Specifically, the service provider device receives, from the user device, an SP site URL (Uniform Resource Locator) or the like of an application service provided by the service provider device as an SP site access request.
すると、サービス事業者装置は、利用者装置に対して、SPサイトアクセス応答を送信する(図1の(5)を参照)。具体的には、サービス事業者装置は、Webページを取得し、SPサイトアクセス応答として、Webページを送信する。ここで、実施例1におけるサービス事業者装置は、利用者装置の利用者について、利用者登録していないので、利用者装置に対して送信するWebページは、利用者登録要求を促すWebページである。 Then, the service provider device transmits an SP site access response to the user device (see (5) in FIG. 1). Specifically, the service provider device acquires a Web page and transmits the Web page as an SP site access response. Here, since the service provider apparatus according to the first embodiment does not register the user of the user apparatus, the Web page transmitted to the user apparatus is a Web page that prompts the user registration request. is there.
次に、サービス事業者装置は、利用者装置から、利用者登録要求を受信する(図1の(6)を参照)。具体的には、利用者装置において、利用者登録要求を促すWebページのアイコン(「利用者登録」など)がワンクリックされることなどによって、利用者登録要求を受信する。 Next, the service provider device receives a user registration request from the user device (see (6) in FIG. 1). Specifically, the user device receives the user registration request by one-clicking on a web page icon (such as “user registration”) that prompts the user registration request in the user device.
そして、サービス事業者装置は、サービス事業者装置において、利用者アカウントを作成する(図1の(7)を参照)。例えば、図1において、サービス事業者装置は、利用者アカウントBBBを作成する。なお、利用者アカウントBBBは、永続的な利用者アカウントである。 Then, the service provider device creates a user account in the service provider device (see (7) in FIG. 1). For example, in FIG. 1, the service provider device creates a user account BBB. The user account BBB is a permanent user account.
続いて、サービス事業者装置は、ネットワーク事業者装置に対して、利用者装置の利用者情報の取得を要求する利用者情報取得要求を、ネットワーク事業者装置に送信する(図1の(8)を参照)。具体的には、サービス事業者装置は、利用者装置を経由するリダイレクト通信によって、利用者情報取得要求をネットワーク事業者装置に送信する。 Subsequently, the service provider apparatus transmits a user information acquisition request for requesting acquisition of user information of the user apparatus to the network provider apparatus ((8) in FIG. 1). See). Specifically, the service provider device transmits a user information acquisition request to the network provider device by redirect communication via the user device.
すると、実施例1におけるネットワーク事業者装置は、利用者装置が接続されている回線に関する回線情報を取得する(図1の(9)を参照)。具体的には、ネットワーク事業者装置は、サービス事業者装置から、利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報の取得を要求する利用者情報取得要求を受信した場合に、利用者装置が接続する回線を特定することで、回線情報を取得する。 Then, the network operator apparatus according to the first embodiment acquires line information regarding the line to which the user apparatus is connected (see (9) in FIG. 1). Specifically, the network operator device is used when receiving a user information acquisition request for requesting acquisition of user information of the user device from the service operator device by redirect communication via the user device. The line information is acquired by specifying the line to which the user device is connected.
次に、ネットワーク事業者装置は、サービス事業者装置に対して、回線情報に対応づけられた利用者情報および回線情報を送信する(図1の(10)および(11)を参照)。具体的には、ネットワーク事業者装置は、回線を特定することで取得された回線情報に対応付けられた利用者情報および回線情報を利用者管理DBから取得し、利用者装置を経由するリダイレクト通信によって、利用者情報および回線情報をサービス事業者装置に送信する。例えば、図1においては、ネットワーク事業者装置は、利用者情報(「AAAの利用者情報」)および回線情報(「AAAの回線情報」)を利用者アカウントAAAとともに、サービス事業者装置に送信する。 Next, the network operator apparatus transmits user information and line information associated with the line information to the service provider apparatus (see (10) and (11) in FIG. 1). Specifically, the network operator apparatus acquires user information and line information associated with the line information acquired by specifying the line from the user management DB, and redirects communication via the user apparatus. Thus, the user information and the line information are transmitted to the service provider apparatus. For example, in FIG. 1, the network operator device transmits user information (“AAA user information”) and line information (“AAA line information”) together with the user account AAA to the service provider device. .
なお、実施例1においては、利用者管理DBから取得した回線情報をサービス事業者装置に送信する手法を説明したが、この発明はこれに限られるものではなく、利用者装置が接続する回線を特定することで取得された回線情報をサービス事業者装置に送信する手法にも、この発明を同様に適用することができる。また、実施例1においては、ネットワーク事業者装置が、利用者情報を識別するための識別子として利用者アカウントAAAを送信する手法を説明したが、この発明はこれに限られるものではなく、ネットワーク事業者装置とサービス事業者装置とにおいて、利用者アカウントAAAと利用者アカウントBBBとの対応づけを保持し、利用者情報を識別するための何らかの識別子を送信する手法であれば、具体的な識別子の選択手法はいずれでもよい。 In the first embodiment, the method of transmitting the line information acquired from the user management DB to the service provider apparatus has been described, but the present invention is not limited to this, and the line to which the user apparatus is connected The present invention can be similarly applied to a method of transmitting line information acquired by specifying to a service provider apparatus. In the first embodiment, the network provider apparatus transmits the user account AAA as an identifier for identifying user information. However, the present invention is not limited to this, and the network business If the user apparatus and the service provider apparatus maintain a correspondence between the user account AAA and the user account BBB and transmit some identifier for identifying user information, a specific identifier Any selection method may be used.
続いて、サービス事業者装置は、利用者情報を用いてサイトアクセスを制御する(図1の(12)および(13)を参照)。具体的には、サービス事業者装置は、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報を受信した場合に、利用者情報を用いてサイトアクセスを制御する。例えば、図1においては、サービス事業者装置は、利用者アカウントBBBを利用者アカウントAAAに置き換え、利用者アカウントAAAの回線情報(「AAAの回線情報」)および利用者情報(「AAAの利用者情報」)を管理し、利用者装置に利用者登録応答として、アプリケーションサービスの提供を開始するWebページを送信する。なお、実施例1においては、利用者アカウントBBBを利用者アカウントAAAに置き換える手法を説明したが、この発明はこれに限られるものではなく、サービス事業者装置において、利用者アカウントAAAと利用者アカウントBBBとの対応づけを保持する手法であれば、いずれでもよい。 Subsequently, the service provider device uses the user information to control site access (see (12) and (13) in FIG. 1). Specifically, the service provider device controls the site access using the user information when the user information of the user device is received from the network provider device by redirect communication via the user device. For example, in FIG. 1, the service provider apparatus replaces the user account BBB with the user account AAA, and the user account AAA line information (“AAA line information”) and user information (“AAA user”). Information ") is managed, and a Web page for starting provision of the application service is transmitted as a user registration response to the user device. In the first embodiment, the method of replacing the user account BBB with the user account AAA has been described. However, the present invention is not limited to this, and the user account AAA and the user account in the service provider apparatus. Any method may be used as long as it maintains the association with the BBB.
このようにして、実施例1に係るサービスシステムは、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することが可能になる。 In this way, the service system according to the first embodiment can realize highly reliable site access control in the service provider apparatus.
ところで、実施例1に係るサービスシステムは、上記した主たる特徴の他に、ネットワーク事業者装置が、利用者情報および回線情報に加えて、利用者情報の有効期限を示す有効期限情報をサービス事業者装置に送信することにも特徴があり、また、サービス事業者装置が、ネットワーク事業者装置から利用者情報および回線情報に加えて有効期限情報を受信した場合に、有効期限情報に示される有効期限を満たすことを条件に、利用者情報を用いてサイトアクセスを制御することにも特徴がある。 By the way, in the service system according to the first embodiment, in addition to the main features described above, the network operator device provides the expiration date information indicating the expiration date of the user information in addition to the user information and the line information. There is also a feature in transmitting to the device, and when the service provider device receives the expiration date information in addition to the user information and the line information from the network operator device, the expiration date indicated in the expiration date information It is also characterized by controlling site access using user information on condition that the above is satisfied.
[実施例1に係るサービスシステムの構成]
次に、図2〜図14を用いて、実施例1に係るサービスシステムの構成を説明する。図2は、実施例1に係るサービスシステムの構成を示すブロック図であり、図3〜図6は、ネットワーク事業者装置における利用者管理データベース部を説明するための図であり、図7は、サービス事業者管理データベース部を説明するための図であり、図8〜図10は、サービス事業者装置における利用者管理データベース部を説明するための図であり、図11は、ネットワーク事業者管理データベース部を説明するための図であり、図12〜図14は、サービス事業者装置が利用者装置に送信するWebページを説明するための図である。
[Configuration of Service System According to Embodiment 1]
Next, the configuration of the service system according to the first embodiment will be described with reference to FIGS. FIG. 2 is a block diagram illustrating a configuration of the service system according to the first embodiment. FIGS. 3 to 6 are diagrams for explaining a user management database unit in the network operator device. FIG. 8 to FIG. 10 are diagrams for explaining a user management database unit in a service provider device, and FIG. 11 is a network provider management database. FIG. 12 to FIG. 14 are diagrams for explaining Web pages transmitted from the service provider device to the user device.
図2に示すように、実施例1に係るサービスシステムは、利用者装置300によるネットワーク接続を制御するネットワーク事業者装置100と、利用者装置300によるサイトアクセスを制御するサービス事業者装置200とから構成される。以下では、ネットワーク事業者装置100とサービス事業者装置200とを順に説明する。
As illustrated in FIG. 2, the service system according to the first embodiment includes a
[ネットワーク事業者装置100]
実施例1におけるネットワーク事業者装置100は、汎用的なコンピュータなどで構成され、特にこの発明に密接に関連するものとしては、図2に示すように、通信制御I/F部110と、記憶部120と、制御部130とを備える。
[Network operator apparatus 100]
The
通信制御I/F部110は、サービス事業者装置200および利用者装置300とデータを送受信する。具体的には、通信制御I/F部110は、利用者装置300から送信されたネットワーク接続要求を受信し、ネットワーク接続要求応答を利用者装置300に送信し、また、サービス事業者装置200から送信された利用者情報取得要求を受信し、利用者情報取得応答をサービス事業者装置200に送信するなどする。例えば、通信制御I/F部110は、IP(Internet Protocol)通信用の一般的なインタフェースおよびライブラリを備え、接続に関する制御メッセージを送受信する機能を備える。
The communication control I /
記憶部120は、制御部130における各種制御に用いられるデータを記憶し、特にこの発明に密接に関連するものとしては、図2に示すように、利用者管理データベース部121と、サービス事業者管理データベース部122とを備える。なお、利用者管理データベース部121は、特許請求の範囲に記載の「利用者情報記憶手段」に対応する。
The
利用者管理データベース部121は、ネットワーク接続が許可される利用者装置300の利用者に関する利用者情報を記憶する。具体的には、利用者管理データベース部121は、ネットワーク接続が許可される利用者装置300の利用者に関する利用者情報を、利用者装置300が接続する回線に関する回線情報と対応付けて記憶し、記憶する利用者情報および回線情報は、後述する認証処理部131、回線情報取得部132、および利用者情報送信部133による処理に利用される。なお、実施例1において、利用者管理データベース部121は、以下に説明するように、利用者アカウントとIPアドレスとを対応づけて記憶し、利用者アカウントと利用者情報とを対応づけて記憶し、利用者アカウントと回線情報とを対応づけて記憶し、利用者アカウントとSP IDとを対応づけて記憶し、RDBMS(Relational DataBase Management System)プログラムなどを稼動させることで、利用者装置300の利用者に関する利用者情報を回線情報と対応付けて記憶するが、この発明はこれに限られるものではなく、利用者情報を回線情報と対応付けて記憶するものであれば、データベースの構築手法はいずれでもよい。
The user
例えば、実施例1における利用者管理データベース部121は、図3に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)とIPアドレス(『IPアドレス』の列を参照)とを対応づけて記憶する。ここで、利用者アカウントと対応付けて記憶されるIPアドレスとは、ネットワーク事業者装置100が、後述する認証処理部131において利用者装置300にネットワーク接続応答を送信する際に、利用者装置300に対して、インターネットなどのネットワークに接続するための回線(アクセスネットワーク)へのアクセスパスをPPPoE(Point to Point Protocol over Ethernet(登録商標))などで設定し、利用者装置300に対して払い出したIPアドレスである。利用者管理データベース部121は、認証処理部131において払い出されたIPアドレスを記憶する。
For example, as shown in FIG. 3, the user
図3の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と「192.168.x.x」とを対応づけて記憶する。なお、実施例においては、説明の便宜上からIPアドレスを「192.168.x.x」のように特定の数字とアルファベットとを組合せた表記をするが、実際は、ネットワーク事業者装置から払い出される一般的なIPアドレスであって、特定の数字とアルファベットとの組合せや選択に何ら特別の意味があるものではない。
As shown in the first line of FIG. 3, for example, the user
また、例えば、実施例1における利用者管理データベース部121は、図4に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)と、利用者情報(『契約者名』、『住所(請求書の送付先)』、『クレジットカード番号』、および『通信料の支払い有無』の列を参照)とを対応づけて記憶する。ここで、利用者アカウントと対応付けて記憶される利用者情報とは、ネットワーク事業者装置100が、オフラインで提示された利用者情報を利用者登録したものである。すなわち、実施例1におけるネットワーク事業者装置100は、利用者装置300の利用者についてあらかじめ利用者登録を行っていることを前提としているが、この利用者登録は、運転免許証などの身分証明書とともに利用者によってオフラインで提示された利用者情報を、ネットワーク事業者が身分証明書による利用者の本人確認を行った上で利用者登録した信用性の高い情報である。利用者管理データベース部121は、ネットワーク事業者装置100を操作する操作者などによってネットワーク事業者装置100に入力された利用者情報を、あらかじめ記憶している。
Further, for example, as shown in FIG. 4, the user
図4の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と、契約者名「特許 太郎」と、住所「東京都・・・・」と、クレジットカード番号「1111-1111-1111-1111」と、通信料の支払い有無「有」とを対応づけて記憶する。なお、実施例においては、利用者情報として、契約者名、住所、クレジットカード番号、および通信料の支払い有無を記憶する場合を説明したが、この発明はこれに限られるものではなく、性別や年齢などの情報をさらに記憶する場合や、通信料の支払い有無を記憶しない場合など、ネットワーク事業者装置およびサービス事業者装置において必要な利用者情報を含む場合であれば、いずれでもよい。
As shown in the first line of FIG. 4, for example, the user
また、例えば、実施例1における利用者管理データベース部121は、図5に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)と、回線情報(『回線の識別子』、『回線の収容位置』、『回線種別』、『回線速度』、および『回線認証情報(パスワードなど)』)とを対応づけて記憶する。ここで、利用者アカウントと対応付けて記憶される回線情報とは、ネットワーク事業者装置100が、利用者情報を利用者登録するとともに、ネットワーク事業者において収集された回線情報を登録したものである。すなわち、実施例1におけるネットワーク事業者装置100は、利用者装置300の利用者についてあらかじめ利用者登録を行っていることを前提としているが、この利用者登録の際に(もしくは利用者登録の前後に)、利用者登録された利用者によって操作される利用者装置300の回線情報を、併せて登録している。この回線情報は、ネットワーク事業者装置100を運営するネットワーク事業者によって収集される情報であることから、信用性の高い情報である。利用者管理データベース部121は、ネットワーク事業者装置100を操作する操作者などによってネットワーク事業者装置100に入力された回線情報を、あらかじめ記憶している。
Further, for example, as shown in FIG. 5, the user
図5の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と、回線の識別子「123」と、回線の収容位置「#A500」と、回線種別「光」と、回線速度「100Mbps/100Mbps」と、回線認証情報「******」とを対応づけて記憶する。なお、実施例においては、回線情報として、回線の識別子、回線の収容位置、回線種別、回線速度、および回線認証情報を記憶する場合を説明したが、この発明はこれに限られるものではなく、回線の収容位置を記憶しない場合など、ネットワーク事業者装置およびサービス事業者において必要な回線情報を含む場合であれば、いずれでもよい。また、実施例においては、回線の識別子や回線の収容位置など、説明の便宜上から特定の数字や記号を組み合わせた表記をするが、実際は、ネットワーク事業者装置において規定される情報であり、特定の数字や記号に何ら特別の意味があるものではない。
As shown in the first line of FIG. 5, for example, the user
また、例えば、実施例1における利用者管理データベース部121は、図6に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)と、SP ID(『SP ID』の列を参照)とを対応づけて記憶する。ここで、SP IDとは、ネットワーク事業者装置100において、サービス事業者装置200を識別するための識別子のことである。図6の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と、SP ID「1」および「3」とを対応づけて記憶する。ここで、利用者管理データベース部121が、利用者アカウント「tarou」と複数のSP IDとを対応づけて記憶するのは、ひとつの利用者アカウントについて、複数のサービス事業者装置200との間で、アカウントの対応づけを保持することが可能であることを示している。したがって、利用者管理データベース部121が、ひとつの利用者アカウントについて、ひとつのSP IDを対応づけて記憶する場合や、ひとつの利用者アカウントについて、3つ以上の複数のSP IDを対応づけて記憶する場合にも、この発明を同様に適用することができる。
Further, for example, as shown in FIG. 6, the user
また、図6の4行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「ichiro」と、SP ID「2」とを対応づけて記憶する。この場合、利用者アカウント「ichiro」によって操作される利用者装置300がサイトアクセスを制御されるサービス制御装置200は、SP ID「2」で識別されるサービス事業者装置200であることを示している。
As illustrated in the fourth line of FIG. 6, for example, the user
サービス事業者管理データベース部122は、サービス事業者装置200に関する情報を記憶する。具体的には、サービス事業者管理データベース部122は、図7に示すように、サービス事業者装置200に関する情報として、SP IDと公開鍵情報(サービス事業者装置200の電子証明書など)とを対応づけて記憶し、記憶するSP IDおよび公開鍵情報は、後述する回線情報取得部132による処理に利用される。ここで、公開鍵情報とは、実施例1においては、ネットワーク事業者装置100とサービス事業者装置200との間で、あらかじめ信頼関係が成立しているものとするので、ネットワーク事業者装置100において、サービス事業者装置200が署名する電子署名が正当であることを検証するための公開鍵情報である。
The service provider
なお、実施例1においては、サービス事業者管理データベース部122が公開鍵情報を記憶する場合を説明したが、この発明はこれに限られるものではなく、例えば、信頼される第三者機関によって発行される公開鍵情報を用いて電子署名が正当であることを検証する手法では、サービス事業者管理データベース部122が公開鍵情報を記憶する必要はない。また、実施例1において、サービス事業者管理データベース部122は、RDBMSプログラムなどを稼動させることで、SP IDと公開鍵情報とを対応づけて記憶するが、この発明はこれに限られるものではなく、サービス事業者装置200を一意に識別する識別子を記憶するものであれば、データベースの構築手法はいずれでもよい。
In the first embodiment, the case where the service provider
制御部130は、ネットワーク事業者装置100における各種制御を行い、特にこの発明に密接に関連するものとしては、図2に示すように、認証処理部131と、回線情報取得部132と、利用者情報送信部133とを備える。なお、回線情報取得部132は、特許請求の範囲に記載の「回線情報取得手段」に対応し、利用者情報送信部133は、特許請求の範囲に記載の「利用者情報送信手段」に対応する。
The
認証処理部131は、利用者装置300の認証処理を行い、利用者装置300によるネットワーク接続を制御する。具体的には、認証処理部131は、利用者装置300からネットワーク接続要求を回線認証情報とともに受信し、受信した回線認証情報と利用者管理データベース部121に記憶される回線認証情報(例えば、利用者アカウント、パスワードなど)とを照合することで利用者装置300を認証し、認証結果に応じてネットワーク接続応答を利用者装置300に送信するなどする。
The
また、認証処理部131は、利用者装置300にネットワーク接続応答を送信する際に、利用者装置300に対して、インターネットなどのネットワークに接続するための回線へのアクセスパスをPPPoEなどで設定し、利用者装置300に対してIPアドレスを払い出し、払い出したIPアドレスを、利用者装置300に送信するとともに、利用者管理データベース部121に記憶させる。例えば、認証処理部131は、利用者装置300の利用者アカウント「tarou」にネットワーク接続応答を送信する際に、利用者装置300に対してIPアドレス「192.168.x.x」を払い出す。
Further, when the
回線情報取得部132は、利用者装置300が接続されている回線に関する回線情報を取得する。具体的には、回線情報取得部132は、サービス事業者装置200から利用者装置300を経由するリダイレクト通信によって利用者装置300の利用者情報の取得を要求する利用者情報取得要求を受信した場合に、利用者装置300が接続されている回線に関する回線情報を取得し、取得した回線情報を、利用者情報送信部133に送信する。
The line
例えば、回線情報取得部132は、利用者装置300が接続する回線を特定することで取得された回線情報に対応づけられた回線情報を、利用者管理データベース部121から取得する。すなわち、回線情報取得部132は、利用者装置300が接続する回線を特定した結果、利用者装置300が接続する回線の識別子が「123」であることが特定された場合に、利用者管理データベース部121から、回線情報として、例えば、回線の識別子「123」、回線の収容位置「#A500」、回線種別「光」、回線速度「100Mbps/100Mbps」などを取得する。なお、実施例1においては、利用者管理データベース部121から取得した回線情報をサービス事業者装置200に送信する手法を説明したが、この発明はこれに限られるものではなく、利用者装置300が接続する回線を特定することで取得された回線情報をサービス事業者装置200に送信する手法にも、この発明を同様に適用することができる。
For example, the line
利用者情報送信部133は、利用者情報および回線情報をサービス事業者装置200に送信する。具体的には、利用者情報送信部133は、回線情報取得部132によって取得され、回線情報取得部132から送信された回線情報に対応付けられた利用者情報および回線情報を、利用者管理データベース部121から取得し、利用者装置300を経由するリダイレクト通信によってサービス事業者装置200に送信する。
The user
例えば、利用者情報送信部133は、回線情報取得部132によって取得され、回線情報取得部132から送信された回線情報のうち、例えば、利用者装置300が接続する回線の識別子が「123」であることが特定された場合に、回線の識別子「123」に対応づけられた利用者アカウント「tarou」の利用者情報として、例えば、契約者名「特許 太郎」、住所「東京都・・・・」、クレジットカード番号「1111-1111-1111-1111」、通信料の支払い有無「有」などを取得し、サービス事業者装置200に送信する。また、利用者情報送信部133は、回線の識別子「123」に対応づけられた利用者アカウント「tarou」の回線情報として、例えば、回線の識別子「123」、回線の収容位置「#A500」、回線種別「光」、回線速度「100Mbps/100Mbps」などを取得し、サービス事業者装置200に送信する。
For example, the user
また、実施例1における利用者情報送信部133は、利用者情報および回線情報に加えて、利用者情報の有効期限を示す有効期限情報を、サービス事業者装置200に送信する。例えば、利用者情報送信部133は、有効期限情報として、数秒、数十秒のオーダーで設定された有効期限情報を送信する。
In addition to the user information and the line information, the user
ここで、実施例1においては、ネットワーク事業者装置100とサービス事業者装置200との間で、ネットワーク事業者装置100が利用者管理データベース部121に管理する利用者情報および回線情報のうち、サービス事業者装置200に送信する具体的な送信項目について、あらかじめ取り決めがなされているものとするので、利用者情報送信部133は、あらかじめ取り決められた送信項目について、サービス事業者装置200に送信するものとする。なお、実施例1においては、サービス事業者装置200に送信する具体的な送信項目について、ネットワーク事業者装置100とサービス事業者装置200との間であらかじめ取り決めがなされているものとしたが、この発明はこれに限られるものではなく、例えば、回線情報取得部132において、サービス事業者装置200から送信された利用者情報取得要求が受信された際に、サービス事業者装置200に送信する具体的な送信項目についてサービス事業者装置200によって指定がなされ、利用者情報送信部133は、サービス事業者装置200によって指定された送信項目について、サービス事業者装置200に送信するなど、サービス事業者装置200に送信する具体的な送信項目の取り決めや指定のタイミングは、いずれでもよい。
Here, in the first embodiment, among the user information and the line information that the
[サービス事業者装置200]
実施例1におけるサービス事業者装置200は、汎用的なコンピュータなどで構成され、特にこの発明に密接に関連するものとしては、図2に示すように、通信制御I/F部210と、記憶部220と、制御部230とを備える。
[Service provider device 200]
The
通信制御I/F部210は、ネットワーク事業者装置100および利用者装置300とデータを送受信する。具体的には、通信制御I/F部210は、利用者装置300から送信されたSPサイトアクセス要求を受信し、SPサイトアクセス応答を利用者装置300に送信し、また、ネットワーク事業者装置100に利用者情報取得要求を送信し、利用者情報取得応答をネットワーク事業者装置100から受信するなどする。例えば、通信制御I/F部210は、IP通信用の一般的なインタフェースおよびライブラリを備え、接続に関する制御メッセージを送受信する機能を備える。
The communication control I /
記憶部220は、制御部230における各種制御に用いられるデータを記憶し、特にこの発明に密接に関連するものとしては、図2に示すように、利用者管理データベース部221と、ネットワーク事業者管理データベース部222とを備える。
The storage unit 220 stores data used for various controls in the
利用者管理データベース部221は、サービス事業者装置200が提供するアプリケーションサービスの利用が許可される利用者装置300の利用者に関する利用者情報を記憶する。具体的には、利用者管理データベース部221は、アプリケーションサービスの利用が許可される利用者装置300の利用者に関する利用者情報および回線情報を、サービス事業者装置200がネットワーク事業者装置100から受信すると、受信した利用者情報と回線情報とを対応づけて記憶し、記憶した利用者情報および回線情報は、後述する利用者登録/認証部234による処理に利用される。なお、実施例1において、利用者管理データベース部221は、以下に説明するように、利用者アカウントと利用者情報とを対応づけて記憶し、利用者アカウントと回線情報とを対応づけて記憶し、ネットワーク事業者装置100における利用者アカウントとNW IDとを対応づけて記憶し、RDBMSプログラムなどを稼動させることで、利用者装置300の利用者に関する利用者情報を回線情報とを対応づけて記憶するが、この発明はこれに限られるものではなく、利用者情報を回線情報と対応付けて記憶するものであれば、データベースの構築手法はいずれでもよい。
The user
例えば、実施例1における利用者管理データベース部221は、図8に示すように、利用者アカウント(『SP利用者アカウント』の列を参照)と、利用者情報(『契約者名』、『住所(請求書の送付先)』、『クレジットカード番号』、および『通信料の支払い有無』の列を参照)とを対応づけて記憶する。
For example, as shown in FIG. 8, the user
ここで、利用者アカウントとは、実施例1においては、利用者アカウント作成部232によって作成された仮の利用者アカウント、もしくは、ネットワーク事業者装置100から受信したネットワーク事業者装置100における利用者アカウントである。すなわち、実施例1において、サービス事業者装置200は、ネットワーク事業者装置100から利用者情報を受信する前に、利用者の仮のアカウントを作成し、利用者情報を受信した後に、仮のアカウントをネットワーク事業者装置100における利用者アカウントに置き換えるので、利用者管理データベース部221は、仮の利用者アカウント、もしくは、ネットワーク事業者装置100における利用者アカウントを記憶する。なお、この発明はこれに限られるものではなく、利用者アカウント作成部232によって作成された利用者アカウントとネットワーク事業者装置100における利用者アカウントとを対応づけて記憶する場合など、いずれでもよい。また、利用者情報とは、サービス事業者装置200が、ネットワーク事業者装置100から利用者情報を受信した際に、必要に応じて記憶された情報である。
Here, in the first embodiment, the user account is a temporary user account created by the user
図8の1行目に示すように、例えば、利用者管理データベース部221は、利用者装置300の利用者に関する利用者情報として、利用者アカウント「tarou」に関する利用者情報をネットワーク事業者装置100から受信し、ネットワーク事業者装置100における利用者管理データベース部121と同様の情報を対応づけて記憶する。なお、ネットワーク事業者装置100とサービス事業者装置200との間であらかじめ取り決められた具体的な送信項目によっては、ネットワーク事業者装置100における利用者管理データベース部121とサービス事業者装置200における利用者管理データベース部221とで管理するデータの項目は異なることになる。
As shown in the first line of FIG. 8, for example, the user
また、図8の4行目に示すように、例えば、利用者管理データベース部221は、利用者アカウント「kazu」に関する利用者情報を記憶するが、これは、図4に示した利用者管理データベース部121を備えるネットワーク事業者装置100とは異なるネットワーク事業者装置100から受信した利用者情報を示すものである。
Further, as shown in the fourth line of FIG. 8, for example, the user
また、例えば、実施例1における利用者管理データベース部221は、図9に示すように、利用者アカウント(『SP利用者アカウント』の列を参照)と、回線情報(『回線の識別子』、『回線の収容位置』、『回線種別』、『回線速度』、および『回線認証情報(パスワードなど)』)とを対応づけて記憶する。ここで、回線情報とは、サービス事業者装置200が、ネットワーク事業者装置100から回線情報を受信した際に、必要に応じて記憶された情報である。
Further, for example, as shown in FIG. 9, the user
図9の1行目に示すように、例えば、利用者管理データベース部221は、利用者装置300の利用者に関する回線情報として、利用者アカウント「tarou」に関する回線情報をネットワーク事業者装置100から受信し、ネットワーク事業者装置100における利用者管理データベース部121と同様の情報を対応づけて記憶する。なお、利用者情報と同様、ネットワーク事業者装置100とサービス事業者装置200との間であらかじめ取り決められた具体的な送信項目によっては、ネットワーク事業者装置100における利用者管理データベース部121とサービス事業者装置200における利用者管理データベース部221とで管理するデータの項目は異なることになる。
As shown in the first line of FIG. 9, for example, the user
また、図9の4行目に示すように、例えば、利用者管理データベース部221は、利用者アカウント「kazu」に関する回線情報を記憶するが、これは、利用者情報と同様、図5に示した利用者管理データベース部121を備えるネットワーク事業者装置100とは異なるネットワーク事業者装置100から受信した回線情報を示すものである。
As shown in the fourth line of FIG. 9, for example, the user
また、例えば、実施例1における利用者管理データベース部221は、図10に示すように、利用者アカウント(『SP利用者アカウント』の列を参照)と、NW ID(『NW ID』の列を参照)とを対応づけて記憶する。ここで、NW IDとは、サービス事業者装置200において、ネットワーク事業者装置100を識別するための識別子のことである。
Further, for example, as shown in FIG. 10, the user
図10の1行目に示すように、例えば、利用者管理データベース部221は、利用者アカウント「tarou」と、NW ID「100」とを対応づけて記憶する。なお、図10の4行目に示すように、利用者アカウント「kazu」と対応づけられたNW IDは「400」であり、これは、利用者アカウント「kazu」に関する利用者情報および回線情報は、図4および図5に示した利用者管理データベース部121を備えるネットワーク事業者装置100とは異なるネットワーク事業者装置100から受信した利用者情報および回線情報であることを示すものである。
As shown in the first line of FIG. 10, for example, the user
また、サービス事業者装置200における利用者管理データベース部221は、図10に示すように、ネットワーク事業者装置100における利用者アカウントを対応づけて記憶している。これは、実施例1においては、ネットワーク事業者装置100とサービス事業者装置200との間において、ネットワーク事業者装置100における利用者アカウントを識別子として共有する手法を用いることに起因するが、この発明はこれに限られるものではなく、サービス事業者装置200における利用者アカウントを識別子として共有する手法を用いる場合には、サービス事業者装置200における利用者アカウントを対応づけて記憶するなど、共有する識別子によって記憶する内容は異なる。
Further, the user
ネットワーク事業者管理データベース部222は、ネットワーク事業者装置100に関する情報を記憶する。具体的には、ネットワーク事業者管理データベース部222は、図11に示すように、ネットワーク事業者装置100に関する情報として、NW ID(『NW ID』の列を参照)と公開鍵情報(ネットワーク事業者装置100の電子証明書など)(『公開鍵情報(電子証明書など)』の列を参照)とを対応づけて記憶し、記憶するNW IDおよび公開鍵情報は、後述する利用者登録/認証部234による処理に利用される。ここで、公開鍵情報とは、実施例1においては、ネットワーク事業者装置100とサービス事業者装置200との間で、あらかじめ信頼関係が成立しているものとするので、サービス事業者装置200において、ネットワーク事業者装置100が署名する電子署名が正当であることを検証するための公開鍵情報である。
The network operator management database unit 222 stores information regarding the
なお、実施例1においては、ネットワーク事業者管理データベース部222が公開鍵情報を記憶する場合を説明したが、この発明はこれに限られるものではなく、例えば、信頼される第三者機関によって発行される公開鍵情報を用いて電子署名が正当であることを検証する手法では、ネットワーク事業者管理データベース部222が公開鍵情報を記憶する必要はない。また、実施例1において、ネットワーク事業者管理データベース部222は、RDBMSプログラムなどを稼動させることで、NW IDと公開鍵情報とを対応づけて記憶するが、この発明はこれに限られるものではなく、ネットワーク事業者装置100を識別する識別子を記憶するものであれば、データベースの構築手法はいずれでもよい。
In the first embodiment, the case where the network operator management database unit 222 stores the public key information has been described. However, the present invention is not limited to this, for example, issued by a trusted third-party organization. In the method of verifying that the electronic signature is valid using the public key information, the network operator management database unit 222 does not need to store the public key information. In the first embodiment, the network operator management database unit 222 stores the NW ID and the public key information in association with each other by operating the RDBMS program. However, the present invention is not limited to this. As long as an identifier for identifying the
制御部230は、サービス事業者装置200における各種制御を行い、特にこの発明に密接に関連するものとしては、図2に示すように、SPサイトアクセス応答部231と、利用者アカウント作成部232と、利用者情報取得要求送信部233と、利用者登録/認証部234とを備える。なお、利用者情報取得要求送信部233は、特許請求の範囲に記載の「利用者情報取得要求送信手段」に対応し、利用者登録/認証部234は、特許請求の範囲に記載の「アクセス制御手段」に対応する。
The
SPサイトアクセス応答部231は、利用者装置300から送信されたSPサイトアクセス要求に応答する。具体的には、SPサイトアクセス応答部231は、利用者装置300から、SPサイトアクセス要求として、サービス事業者装置200が提供するアプリケーションサービスが公開されているSPサイトのURL(Uniform Resource Locator)などを受信すると、Webページを取得し、SPサイトアクセス応答として、Webページを利用者装置300に送信する。
The SP site
例えば、SPサイトアクセス応答部231は、利用者装置300の利用者について利用者登録していない場合には、利用者装置300に対して送信するWebページとして、図12に示すような、利用者登録要求を促すWebページを送信する。図12に示すWebページについて説明すると、例えば、SPサイトアクセス応答部231は、「利用者登録」のアイコンおよび「利用者登録(NW機能を利用)」のアイコンの2つを表示したWebページを取得し、利用者装置300の利用者によって「利用者登録」のアイコンがクリックされた場合には、利用者によって入力された利用者情報がオンラインでサービス事業者装置200に送信される従来の手法による利用者登録を行う処理を開始するが、利用者装置300の利用者によって「利用者登録(NW機能を利用)」のアイコンがクリックされた場合には、ネットワーク事業者装置100から送信される利用者情報および回線情報を用いて利用者登録を行う処理を開始するなどする。
For example, when the user of the
また、SPサイトアクセス応答部231は、利用者によって「利用者登録(NW機能を利用)」のアイコンがクリックされた場合には、ネットワーク事業者装置100から送信される利用者情報および回線情報を用いて利用者登録を行う処理を開始するが、必要に応じて、例えば、サービス事業者装置200が提供するアプリケーションサービスの契約約款をWebページ上に表示したり、図13に示すような、利用者情報をネットワーク事業者装置100からサービス事業者装置200に送信してもよいか否かの確認をWebページ上に表示するなどする。
Further, the SP site
利用者アカウント作成部232は、利用者装置300の利用者の利用者アカウントを作成する。具体的には、利用者アカウント作成部232は、利用者装置300から利用者登録要求を受信すると、仮の利用者アカウントを作成し、作成した仮の利用者アカウントを利用者管理データベース部221に記憶させる。ここで、実施例1においては、ネットワーク事業者装置100とサービス事業者装置200との間において、ネットワーク事業者装置100における利用者アカウントを識別子として共有する手法を用いる。このため、利用者アカウント作成部232が作成した仮の利用者アカウントは、後述する利用者登録/認証部234によって利用者登録がなされる際に、ネットワーク事業者装置100における利用者アカウントに置き換えられる。なお、ネットワーク事業者装置100における利用者アカウントに置き換えずにネットワーク事業者装置100における利用者アカウントと、利用者アカウント作成部232が作成した仮の利用者アカウントとの対応づけを保持する手法など、いずれでもよい。
The user
利用者情報取得要求送信部233は、利用者装置300の利用者情報の取得を要求する利用者情報取得要求をネットワーク事業者装置100に送信する。具体的には、利用者装置300からサイトアクセスの要求を受け付けた場合に、利用者装置300を経由するリダイレクト通信によって、利用者情報取得要求をネットワーク事業者装置100に送信する。
The user information acquisition request transmission unit 233 transmits a user information acquisition request for requesting acquisition of user information of the
ここで、実施例1においては、ネットワーク事業者装置100とサービス事業者装置200との間で、ネットワーク事業者装置100が利用者管理データベース部121に管理する利用者情報および回線情報のうち、サービス事業者装置200に送信する具体的な送信項目について、あらかじめ取り決めがなされているものとするので、利用者情報取得要求送信部233は、あらかじめ取り決められた送信項目について、ネットワーク事業者装置100に要求を送信するものとする。なお、実施例1においては、サービス事業者装置200に送信する具体的な送信項目について、ネットワーク事業者装置100とサービス事業者装置200との間であらかじめ取り決めがなされているものとしたが、この発明はこれに限られるものではなく、例えば、利用者情報取得要求送信部233が利用者情報取得要求を送信する際に、サービス事業者装置200に送信する具体的な送信項目について指定するなど、サービス事業者装置200に送信する具体的な送信項目の取り決めや指定のタイミングは、いずれでもよい。
Here, in the first embodiment, among the user information and the line information that the
利用者登録/認証部234は、利用者情報および回線情報を用いて、サイトアクセスを制御する。具体的には、利用者登録/認証部234は、ネットワーク事業者装置100から利用者装置300を経由するリダイレクト通信によって利用者装置300の利用者情報および回線情報を受信した場合に、利用者情報および回線情報を用いてサイトアクセスを制御する。例えば、実施例1における利用者登録/認証部234は、サイトアクセス制御として、利用者アカウント作成部232によって作成された仮のアカウントを、受信したネットワーク事業者装置100における利用者アカウントに置き換え、利用者アカウントの利用者情報(例えば、契約者名、住所、クレジットカード番号など)および回線情報(例えば、回線の識別子、回線の収容位置、回線速度など)を管理し、利用者装置に利用者登録応答として、アプリケーションサービスの提供を開始するWebページ(図14に示すようなWebページ)を送信するなどする。
The user registration /
また、実施例1における利用者登録/認証部234は、ネットワーク事業者装置100から利用者情報および回線情報に加えて、有効期限情報を受信した場合に、有効期限情報に示される有効期限を満たすことを条件に、利用者情報および回線情報を用いてサイトアクセスを制御する。すなわち、例えば、利用者登録/認証部234は、有効期限情報として、数秒、数十秒のオーダーで設定された有効期限情報を受信した場合に、数秒、数十秒で示される有効期限を満たすことを条件に、利用者情報および回線情報を用いてサイトアクセスを制御する。
The user registration /
なお、実施例1においては、利用者登録/認証部234が、利用者装置300の利用者情報および回線情報を受信した場合に、利用者情報および回線情報を管理し、利用者装置300に利用者登録応答として、無条件でアプリケーションサービスの提供を開始するWebページを送信する場合を説明したが、この発明はこれに限られるものではなく、例えば、利用者登録/認証部234が、利用者装置300の利用者情報および回線情報を受信した場合に、利用者情報および回線情報に基づいて、アプリケーションサービスの提供可否を判断したり(例えば、20歳以上の利用者にのみアプリケーションサービスを提供する、自宅から接続している場合にのみアプリケーションサービスを提供する、など)、また、利用者登録/認証部234が、利用者情報および回線情報に応じて、提供するアプリケーションサービスを個別に選択したり(例えば、回線速度が高速の場合には高解像度の映像コンテンツを選択して提供するなど)する場合にも、この発明を同様に適用することができる。
In the first embodiment, when the user registration /
[実施例1に係るサービスシステムによる処理の手順]
次に、図15を用いて、実施例1に係るサービスシステムによる処理の手順を説明する。図15は、実施例1に係るサービスシステムによる処理の手順を示すシーケンス図である。ここで、実施例1におけるネットワーク事業者装置100は、利用者装置300の利用者について、あらかじめ利用者登録しており、利用者装置300のネットワーク接続を許可しているものとする。一方、実施例1におけるサービス事業者装置200は、利用者装置300の利用者について、利用者登録をしていないものとする。すなわち、利用者装置300は、サービス事業者装置200が提供するアプリケーションサービスの提供を受けることができない状態にある。以下では、利用者装置300がネットワークへの接続を行う処理(図15の(1)を参照)と、利用者装置300がSPサイトへアクセスする処理(図15の(2)を参照)と、利用者装置300が利用者登録を行う処理(図15の(3)を参照)とについて、順に説明する。
[Procedure for Processing by Service System According to First Embodiment]
Next, a processing procedure by the service system according to the first embodiment will be described with reference to FIG. FIG. 15 is a sequence diagram illustrating a processing procedure performed by the service system according to the first embodiment. Here, it is assumed that the
[(1)ネットワークへの接続]
まず、ネットワーク事業者装置100における認証処理部131は、利用者装置300から、ネットワーク接続要求を受信する(ステップS1)。具体的には、ネットワーク事業者装置100における認証処理部131は、利用者装置300から、ネットワーク接続要求として、回線認証情報(例えば、利用者アカウント、パスワードなど)を受信する。
[(1) Network connection]
First, the
次に、ネットワーク事業者装置100における認証処理部131は、利用者装置300の認証処理を行う(ステップS2)。具体的には、ネットワーク事業者装置100における認証処理部131は、利用者装置300から受信した回線認証情報と、利用者管理データベース部121に管理する回線認証情報(例えば、利用者アカウント、パスワードなど)とを照合し、利用者装置300を認証する。
Next, the
そして、ネットワーク事業者装置100における認証処理部131は、利用者装置300に、ネットワーク接続応答を送信する(ステップS3)。具体的には、ネットワーク事業者装置100における認証処理部131は、利用者装置300に対して、インターネットなどのネットワークに接続するための回線(アクセスネットワーク)へのアクセスパスをPPPoE(Point to Point Protocol over Ethernet(登録商標))などで設定し、IPアドレスを払い出し、利用者装置300に送信する。また、ネットワーク事業者装置100における認証処理部131は、利用者装置300に対して払い出したIPアドレスを、利用者管理データベース部121に格納する。
Then, the
[(2)SPサイトへアクセス]
続いて、利用者装置300は、インターネットなどのネットワークに接続し、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300から、SPサイトアクセス要求を受信する(ステップS4)。具体的には、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300から、SPサイトアクセス要求として、SPサイトのURL(Uniform Resource Locator)などを受信する。
[(2) Access to SP site]
Subsequently, the
すると、サービス事業者装置200におけるSPサイトアクセス応答部231は、Webページを取得する(ステップS5)。具体的には、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300に対して利用者登録要求を促すWebページを取得する。
Then, the SP site
そして、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300に対して、SPサイトアクセス応答を送信する(ステップS6)。具体的には、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300に対して、利用者登録要求を促すWebページを送信する。
Then, the SP site
[(3)利用者登録]
続いて、サービス事業者装置200における利用者アカウント作成部232は、利用者装置300から、利用者登録要求を受信する(ステップS7)。具体的には、利用者装置300において、利用者登録要求を促すWebページのアイコン(「利用者登録」など)がワンクリックされることなどによって、利用者登録要求を受信する。
[(3) User registration]
Subsequently, the user
そして、サービス事業者装置200における利用者アカウント作成部232は、仮の利用者アカウントを作成する(ステップS8)。
Then, the user
次に、サービス事業者装置200における利用者情報取得要求送信部233は、ネットワーク事業者装置100に対して、利用者装置300の利用者情報の取得を要求する利用者情報取得要求を、ネットワーク事業者装置100に送信する(ステップS9)。具体的には、サービス事業者装置200における利用者情報取得要求送信部233は、利用者装置300を経由するリダイレクト通信によって、利用者情報取得要求を、SP ID、応答先のURL、および電子署名とともに、ネットワーク事業者装置100に送信する。
Next, the user information acquisition request transmission unit 233 in the
すると、ネットワーク事業者装置100における回線情報取得部132は、利用者装置300が接続されている回線を特定し(ステップS10)、回線情報を取得する(ステップS11)。
Then, the line
次に、ネットワーク事業者装置100における利用者情報送信部133は、回線を特定することで取得された回線情報に対応づけられた利用者情報および回線情報を利用者管理データベース部121から取得し(ステップS12)、利用者装置300を経由するリダイレクト通信によって、利用者情報および回線情報をサービス事業者装置200に送信する(ステップS13)。具体的には、ネットワーク事業者装置100における利用者情報送信部133は、利用者情報取得応答を、ネットワーク事業者ID、ネットワーク事業者装置100における利用者アカウント、回線情報、利用者情報、有効期限、および電子署名とともに、サービス事業者装置200に送信する。
Next, the user
そして、サービス事業者装置200における利用者登録/認証部234は、利用者情報および回線情報を用いて、サイトアクセスを制御する(ステップS14)。具体的には、サービス事業者装置200における利用者登録/認証部234は、仮のアカウントを、ネットワーク事業者100における利用者アカウントに置き換え、利用者アカウントの利用者情報および回線情報を管理する。
Then, the user registration /
続いて、サービス事業者装置200における利用者登録/認証部234は、利用者装置300に、利用者登録応答を送信する(ステップS15)。具体的には、サービス事業者装置200における利用者登録/認証部234は、利用者登録応答として、アプリケーションサービスの提供を開始するWebページを、利用者装置300に送信する。
Subsequently, the user registration /
このようにして、実施例1に係るサービスシステムは、サービス事業者装置200において、信用性の高いサイトアクセス制御を実現することが可能になる。
As described above, the service system according to the first embodiment can realize highly reliable site access control in the
なお、実施例1においては、サービス事業者装置200が、利用者装置300からサイトアクセスの要求(利用者登録要求)を受け付け(ステップS7)、サービス事業者装置200において利用者アカウントを作成してから(ステップS8)、サービス事業者装置200が利用者情報取得要求をネットワーク事業者装置100に送信する(ステップS9)処理の手順を説明したが、この発明はこれに限られるものではなく、例えば、サービス事業者装置200においてネットワーク事業者装置100から利用者情報を受信してから(ステップS13)、サービス事業者装置200において利用者アカウントを作成するなど、サービス事業者装置200における利用者アカウントのタイミングは、いずれでもよい。
In the first embodiment, the
[実施例1の効果]
上記してきたように、実施例1によれば、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムであって、ネットワーク事業者装置は、ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、利用者装置が接続する回線に関する回線情報と対応付けて記憶し、サービス事業者装置から利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報の取得を要求する利用者情報取得要求を受信した場合に、利用者装置が接続されている回線に関する回線情報を取得し、取得された回線情報に対応付けられた利用者情報を取得し、利用者装置を経由するリダイレクト通信によって利用者情報をサービス事業者装置に送信し、サービス事業者装置は、利用者装置からサイトアクセスの要求を受け付けた場合に、利用者装置を経由するリダイレクト通信によって、利用者装置の利用者情報の取得を要求する利用者情報取得要求をネットワーク事業者装置に送信し、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報を受信した場合に、利用者情報を用いてサイトアクセスを制御するので、ネットワーク事業者装置において記憶される利用者情報は、運転免許証などの身分証明書とともに利用者によってオフラインで提示され、利用者の本人確認が行われた上で利用者登録が行われた際の利用者情報であることから、利用者によって入力された利用者情報がオンラインでサービス事業者装置に送信される従来の手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することが可能になる。
[Effect of Example 1]
As described above, according to the first embodiment, the network operator device that controls the network connection by the user device and the service operator device that controls the site access by the user device are connected via the network. The network operator apparatus stores user information related to a user of a user apparatus that is permitted to connect to a network in association with line information related to a line to which the user apparatus is connected. When a user information acquisition request for requesting acquisition of user information of the user device is received from the user device by redirect communication via the user device, line information related to the line to which the user device is connected is acquired. Redirect communication that acquires user information associated with the acquired line information and passes through the user device Therefore, the user information is transmitted to the service provider device, and when the service provider device accepts a site access request from the user device, the user information of the user device is transmitted by redirect communication via the user device. When a user information acquisition request is sent to the network operator device and the user information of the user device is received from the network operator device by redirect communication via the user device, the user information is Since the site access is controlled by using the network, the user information stored in the network operator device is presented offline by the user together with the ID, such as a driver's license, and the identity of the user is confirmed. Since this is the user information at the time of user registration, the user information entered by the user is online. In as compared with the conventional technique that is sent to the service provider apparatus, the service provider apparatus, it is possible to realize a highly credible site access control.
すなわち、例えば、サービス事業者装置において、ネットワーク事業者装置から受信した信用性の高い利用者情報を用いて利用者登録を行ったり、利用者登録した利用者が操作する利用者装置からのサイトアクセスを許可したり、利用者登録を行わずにワンタイムで利用者装置からのサイトアクセスを許可したり(ネットワーク事業者装置から受信した信用性の高い利用者情報を用いて各種アプリケーションサービスの提供許否を判断したり)することが可能になる。 That is, for example, in a service provider device, user registration is performed using highly reliable user information received from the network provider device, or site access from a user device operated by the user who registered the user is performed. Or allow site access from user devices in one time without user registration (provided whether to provide various application services using highly reliable user information received from network operator devices) Can be judged).
また、利用者装置の利用者によってワンクリックされるだけで、サイトアクセス(例えば、利用者登録など)を完了させることができ、また、サービス事業者装置用の利用者アカウントやパスワードなどの情報が利用者によって管理される必要がなくなり、さらに、ネットワーク事業者装置で利用者とサービス事業者との間の利用者登録情報などを管理すると、場合によっては、サービス事業者装置で利用者登録情報などを管理する必要がなくなることから、信用性かつ利便性の高いサイトアクセス制御をすることが可能になる。 In addition, site access (for example, user registration) can be completed with a single click by the user of the user device, and information such as a user account and password for the service provider device can be obtained. It is no longer necessary to be managed by the user. Furthermore, if the user registration information between the user and the service provider is managed by the network provider device, the user registration information may be stored by the service provider device. Therefore, it is possible to perform site access control with high reliability and convenience.
なお、この発明に係るサービスシステムによって、ネットワーク事業者装置を運営するネットワーク事業者においては、利用者の利便性が向上することに伴う利用者獲得を期待することが可能になり、また、利用者とサービス提供事業者との間の利用者登録や利用者認証をサポートすることに伴い(利用者情報、回線情報、回線認証の結果などの提供に伴い)、サービス提供事業者からの手数料収入を期待することが可能になる。また、サービス事業者装置を運営するサービス事業者においては、ネットワーク事業者が提供する回線認証の結果を、必要に応じて自らが実施する利用者認証(認可)の処理と組み合わせて利用することに伴い、利用者認証(認可)の強度を向上させることが可能になり、また、ネットワーク事業者が提供する回線情報を取得することに伴い、回線速度や位置に応じたアプリケーションサービスを提供することが可能になる。また、利用者においては、サービス提供事業者との間の利用者登録や利用者認証の手続きなどを、ワンクリックで実施することが可能になる。 The service system according to the present invention makes it possible for the network operator operating the network operator device to expect user acquisition as the convenience of the user is improved. As a result of supporting user registration and user authentication between service providers and service providers (with provision of user information, line information, line authentication results, etc.) It becomes possible to expect. In addition, the service provider operating the service provider device uses the result of the line authentication provided by the network provider in combination with the user authentication (authorization) process performed by the service provider as necessary. Along with this, it is possible to improve the strength of user authentication (authorization), and to provide application services according to the line speed and location as the line information provided by the network operator is acquired. It becomes possible. In addition, the user can perform user registration and user authentication procedures with the service provider with a single click.
また、実施例1によれば、ネットワーク事業者装置は、利用者情報に加えて、回線情報をサービス事業者装置に送信し、サービス事業者装置は、ネットワーク事業者装置から利用者情報に加えて回線情報を受信した場合に、利用者情報および回線情報を用いてサイトアクセスを制御するので、利用者情報のみを用いてサイトアクセスを制御する手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を高度に実現することが可能になる。 Further, according to the first embodiment, the network operator device transmits line information to the service provider device in addition to the user information, and the service operator device adds the user information from the network operator device. When the line information is received, the site access is controlled using the user information and the line information. Therefore, the reliability of the service provider device is higher than the method of controlling the site access using only the user information. It is possible to realize highly sophisticated site access control.
すなわち、利用者装置が接続する回線に関する回線情報を用いて、利用者装置が接続する場所や回線速度などを特定できることから、例えば、利用者装置が接続する場所によってはサイトアクセスを許可しないことや、利用者装置が接続する回線速度に応じてサイトアクセスを許可しないこと、あるいは、利用者装置が接続する場所によって提供するサービスを選択することや、利用者装置が接続する回線速度に応じて提供するサービスを選択することなど、サービス事業者装置において、信用性の高いサイトアクセス制御を高度に実現することが可能になる。具体的に例を挙げて説明すると、回線情報によって特定されるネットワークへの接続場所が、「自宅」以外の場所の場合には、オークションサービスの提供を許可しないことや、回線情報によって特定される回線速度が高速な場合には、高解像度の映像コンテンツサービスを提供することなどが可能になる。 That is, it is possible to specify the location where the user device is connected, the line speed, etc. using the line information regarding the line to which the user device is connected. For example, depending on the location where the user device is connected, Do not allow site access according to the line speed to which the user device is connected, select the service to be provided depending on the location to which the user device is connected, or provide it according to the line speed to which the user device is connected It is possible to highly implement highly reliable site access control in the service provider device such as selecting a service to be performed. Specifically, when the connection location to the network specified by the line information is a place other than “home”, the provision of the auction service is not permitted, or the connection information is specified by the line information. When the line speed is high, it is possible to provide a high-resolution video content service.
また、実施例1によれば、ネットワーク事業者装置は、利用者情報に加えて、利用者情報の有効期限を示す有効期限情報をサービス事業者装置に送信し、サービス事業者装置は、ネットワーク事業者装置から利用者情報に加えて有効期限情報を受信した場合に、有効期限情報に示される有効期限を満たすことを条件に、利用者情報を用いてサイトアクセスを制御するので、利用者情報をサービス事業者装置に送信する際に有効期限情報を送信しない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。 In addition, according to the first embodiment, the network operator device transmits the expiration date information indicating the expiration date of the user information to the service operator device in addition to the user information. When the expiration date information is received in addition to the user information from the user device, the site access is controlled using the user information on condition that the expiration date indicated in the expiration date information is satisfied. Compared to a technique in which the expiration date information is not transmitted when transmitting to the service provider apparatus, it is possible to safely implement highly reliable site access control in the service provider apparatus.
すなわち、利用者情報をサービス事業者装置に送信する際に有効期限情報を送信しない手法では、例えば、利用者装置を経由するリダイレクト通信において、利用者装置が利用者情報その他の制御情報などを不正に取得し、不正に情報を取得した利用者装置が不正にサイトアクセスするおそれなどがあるが、有効期限情報(例えば、有効期限は、数秒、数十秒といったオーダーで設定される)を送信することで、これらのおそれを回避できることから、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。 That is, when the user information is transmitted to the service provider device, the method in which the expiration date information is not transmitted is used. For example, in redirect communication via the user device, the user device illegally uses the user information or other control information. There is a possibility that the user device that has obtained the information and illegally obtained the information may illegally access the site, but transmits the expiration date information (for example, the expiration date is set in the order of several seconds or several tens of seconds). Thus, since these fears can be avoided, highly reliable site access control can be safely realized in the service provider apparatus.
また、実施例1によれば、ネットワーク事業者装置は、利用者情報に加えて、ネットワーク事業者装置が署名する電子署名をサービス事業者装置に送信し、サービス事業者装置は、ネットワーク事業者装置から利用者情報に加えて電子署名を受信した場合に、電子署名が正当であることを条件に、利用者情報を用いてサイトアクセスを制御するので、利用者情報をサービス事業者装置に送信する際に電子署名を送信しない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。 In addition, according to the first embodiment, the network operator device transmits, in addition to the user information, an electronic signature signed by the network operator device to the service operator device. When receiving an electronic signature in addition to the user information, the site access is controlled using the user information on condition that the electronic signature is valid, so the user information is transmitted to the service provider device. In comparison with a method that does not transmit an electronic signature, highly reliable site access control can be safely realized in a service provider apparatus.
すなわち、利用者情報をサービス事業者装置に送信する際に電子署名を送信しない手法では、例えば、送信された利用者情報が正しいネットワーク事業者装置から送信された利用者情報であるか否かを判断できないが、電子署名を送信し、電子署名が正当であることを条件に(すなわち、正しいネットワーク事業者装置から送信された利用者情報であることを判断し、利用者情報に改竄が行われていないことを判断し、ネットワーク事業者装置が送信した事実を否認するおそれを回避した上で)サイトアクセスを制御することから、信用性の高いサイトアクセス制御を安全に実現することが可能になる。 That is, in the method of not transmitting an electronic signature when transmitting user information to a service provider device, for example, whether the transmitted user information is user information transmitted from a correct network operator device or not. Although it cannot be determined, an electronic signature is transmitted, and on condition that the electronic signature is valid (that is, it is determined that the user information has been transmitted from the correct network operator device, and the user information has been tampered with. Control of site access (after avoiding the possibility of denying the facts sent by network operator devices), it is possible to safely implement highly reliable site access control. .
また、実施例1によれば、ネットワーク事業者装置は、サービス事業者装置から利用者情報取得要求に加えて、サービス事業者装置が署名する電子署名を受信した場合に、電子署名が正当であることを条件に、利用者情報をサービス事業者装置に送信し、サービス事業者装置は、利用者情報取得要求に加えて、電子署名をネットワーク事業者装置に送信するので、利用者情報取得要求をネットワーク事業者装置に送信する際に電子署名を送信しない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。 Further, according to the first embodiment, when the network operator apparatus receives an electronic signature signed by the service provider apparatus in addition to the user information acquisition request from the service provider apparatus, the electronic signature is valid. On the condition that the user information is transmitted to the service provider device, the service provider device transmits an electronic signature to the network provider device in addition to the user information acquisition request. Compared to a technique in which an electronic signature is not transmitted when transmitting to a network operator apparatus, it is possible to safely implement highly reliable site access control in the service provider apparatus.
すなわち、利用者情報取得要求をネットワーク事業者装置に送信する際に電子署名を送信しない手法では、例えば、送信された利用者情報取得要求が正しいサービス事業者装置から送信された利用者情報取得要求であるか否かを判断できないが、電子署名を送信し、電子署名が正当であることを条件に(すなわち、正しいサービス事業者装置から送信された利用者情報取得要求であることを判断し、利用者情報取得要求に改竄が行われていないことを判断し、サービス事業者装置が送信した事実を否認するおそれを回避した上で)、利用者情報取得要求を送信することから、信用性の高いサイトアクセス制御を安全に実現することが可能になる。 That is, in the method of not transmitting the electronic signature when transmitting the user information acquisition request to the network operator apparatus, for example, the user information acquisition request transmitted from the correct service provider apparatus is transmitted. It is not possible to determine whether or not the electronic signature is transmitted, and on the condition that the electronic signature is valid (that is, it is determined that the user information acquisition request is transmitted from the correct service provider device, Since it is judged that the user information acquisition request has not been tampered with and avoids the possibility of denying the fact that the service provider device has transmitted) High site access control can be realized safely.
ところで、これまで実施例1として、ネットワーク事業者装置とサービス事業者装置との間において、ネットワーク事業者装置における利用者アカウントを識別子として共有する手法を説明したが、この発明はこれに限られるものではなく、ネットワーク事業者装置からサービス事業者装置に対する利用者情報の送信を一意に識別する仮識別情報(利用者アカウントそのものではない)を共有する手法にも、この発明を同様に適用することができる。そこで、以下では、実施例2として、利用者情報の送信を一意に識別する仮識別情報を共有する手法について、図16〜図19を用いて説明する。なお、利用者登録の局面で仮識別情報を共有した場合に、SPサービス利用の局面でサービス事業者装置において仮識別情報を用いてサイトアクセスを制御する手法については、実施例3で説明する。 By the way, although the method of sharing the user account in the network operator device as an identifier between the network operator device and the service operator device has been described as the first embodiment, the present invention is not limited to this. Instead, the present invention can be similarly applied to a method of sharing temporary identification information (not a user account itself) that uniquely identifies transmission of user information from the network operator device to the service operator device. it can. Therefore, in the following, as a second embodiment, a technique for sharing temporary identification information that uniquely identifies transmission of user information will be described with reference to FIGS. A method for controlling the site access using the temporary identification information in the service provider apparatus in the SP service usage phase when the temporary identification information is shared in the user registration phase will be described in a third embodiment.
[実施例2に係るサービスシステムの概要および特徴]
実施例2に係るサービスシステムは、上記したように、ネットワーク事業者装置とサービス事業者装置との間において、ネットワーク事業者における利用者アカウントを識別子として共有するのではなく、ネットワーク事業者装置からサービス事業者装置に対する利用者情報の送信を一意に識別する仮識別情報を共有する点が、実施例1と異なるものである。したがって、以下では、まず、図16を用いて、実施例2に係るサービスシステムの概要および特徴が、実施例1に係るサービスシステムの概要および特徴と異なる点について説明する。図16は、実施例2に係るサービスシステムの概要および特徴を説明するための図である。
[Outline and Features of Service System According to Second Embodiment]
As described above, the service system according to the second embodiment does not share the user account in the network operator as an identifier between the network operator device and the service operator device. This is different from the first embodiment in that temporary identification information for uniquely identifying transmission of user information to a provider device is shared. Therefore, in the following, first, differences between the outline and features of the service system according to the second embodiment and the outline and features of the service system according to the first embodiment will be described with reference to FIG. FIG. 16 is a diagram for explaining the outline and features of the service system according to the second embodiment.
実施例2に係るサービスシステムは、実施例1と同様、まず、ネットワーク事業者装置において、ネットワーク接続要求を受信し、認証処理を行い、ネットワーク接続応答を送信し、次に、サービス事業者装置において、SPサイトアクセス要求を受信し、SPサイトアクセス応答を送信し、利用者登録要求を受信し、利用者アカウントを作成する(図16の(1)〜(7)を参照)。そして、実施例2におけるネットワーク事業者装置は、サービス事業者装置から、利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報の取得を要求する利用者情報取得要求を受信した場合に(図16の(8)を参照)、実施例1と同様、利用者装置が接続する回線を特定することで、回線情報を取得し、取得された回線情報に対応付けられた利用者情報および回線情報を利用者管理DBから取得するが(図16の(9)および(10)を参照)、実施例1と異なり、ネットワーク事業者装置からサービス事業者装置に対する利用者情報の送信を一意に識別する仮識別情報として、仮識別情報(仮名ID)を払い出す(図16の(11)を参照)。 As in the first embodiment, the service system according to the second embodiment first receives a network connection request at the network operator device, performs an authentication process, transmits a network connection response, and then at the service operator device. The SP site access request is received, the SP site access response is transmitted, the user registration request is received, and a user account is created (see (1) to (7) in FIG. 16). When the network operator apparatus according to the second embodiment receives a user information acquisition request for requesting acquisition of user information of the user apparatus from the service provider apparatus by redirect communication via the user apparatus ( (See (8) of FIG. 16) As in the first embodiment, the line information is acquired by specifying the line to which the user apparatus is connected, and the user information and the line associated with the acquired line information are obtained. Information is acquired from the user management DB (see (9) and (10) in FIG. 16), but unlike Example 1, transmission of user information from the network operator device to the service operator device is uniquely identified. As temporary identification information, temporary identification information (kana ID) is paid out (see (11) in FIG. 16).
そして、実施例2におけるネットワーク事業者装置は、実施例1と同様、利用者装置を経由するリダイレクト通信によって、利用者情報および回線情報をサービス事業者装置に送信するが、実施例1と異なり、利用者情報および回線情報に加えて、仮識別情報(仮名ID)をサービス事業者装置に送信するとともに、サービス事業者装置を一意に識別するサービス識別情報(SP ID)および仮識別情報(仮名ID)を、利用者情報に対応づけて利用者管理DBに格納する(図16の(12)を参照)。 Then, the network operator device in the second embodiment transmits user information and line information to the service operator device by redirect communication via the user device as in the first embodiment, but unlike the first embodiment, In addition to the user information and the line information, the temporary identification information (kana ID) is transmitted to the service provider apparatus, and the service identification information (SP ID) and temporary identification information (kana ID) that uniquely identifies the service provider apparatus ) Is stored in the user management DB in association with the user information (see (12) in FIG. 16).
すると、実施例2におけるサービス事業者装置は、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報を受信した場合に、実施例1と同様、利用者情報および回線情報を管理するが、実施例1と異なり、利用者情報および回線情報を、仮識別情報(仮名ID)と対応づけて管理する(図16の(13)を参照)。その後、サービス事業者装置は、実施例1と同様、利用者装置に利用者登録応答として、アプリケーションサービスの提供を開始するWebページを送信する(図16の(14)を参照)。 Then, when the service provider apparatus in the second embodiment receives the user information of the user apparatus from the network provider apparatus by redirect communication via the user apparatus, the user information and the line are the same as in the first embodiment. Information is managed, but unlike the first embodiment, user information and line information are managed in association with temporary identification information (kana ID) (see (13) in FIG. 16). Thereafter, the service provider apparatus transmits a Web page for starting the provision of the application service as a user registration response to the user apparatus as in the first embodiment (see (14) in FIG. 16).
このようにして、実施例2に係るサービスシステムは、同一の利用者に対応づけられた仮識別情報(例えば、仮名ID、匿名IDなど)が、ネットワーク事業者装置とサービス事業者装置との間で共有されることから、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有されない手法に比較して、信用性の高いサイトアクセス制御を安全かつ効率的に実現することが可能になる。 In this way, in the service system according to the second embodiment, temporary identification information (for example, pseudonym ID, anonymous ID, etc.) associated with the same user is between the network provider device and the service provider device. It is possible to realize highly reliable site access control safely and efficiently compared to the method in which temporary identification information is not shared between the network provider device and the service provider device. become.
[実施例2に係るサービスシステムの構成]
次に、図17および図18を用いて、実施例2に係るサービスシステムの構成を説明する。実施例2に係るサービスシステムは、実施例1に係るサービスシステムとほぼ同様に構成されるが、ネットワーク事業者装置100における利用者管理データベース部121、利用者情報送信部133、サービス事業者装置200における利用者管理データベース部221、および利用者登録/認証部234が、実施例1と異なる。以下では、ネットワーク事業者装置100における利用者管理データベース部121、利用者情報送信部133、サービス事業者装置200における利用者管理データベース部221、および利用者登録/認証部234ついて、図17および図18を用いて説明する。図17は、ネットワーク事業者装置における利用者管理データベース部を説明するための図であり、図18は、サービス事業者装置における利用者管理データベース部を説明するための図である。
[Configuration of Service System According to Second Embodiment]
Next, the configuration of the service system according to the second embodiment will be described with reference to FIGS. 17 and 18. The service system according to the second embodiment is configured in substantially the same manner as the service system according to the first embodiment, but the user
ネットワーク事業者装置100における利用者情報送信部133は、実施例1と同様、利用者情報および回線情報をサービス事業者装置200に送信するが、実施例1と異なり、利用者情報および回線情報に加えて、利用者情報の送信を一意に識別する仮識別情報(仮名ID)をサービス事業者装置200に送信する。また、利用者情報送信部133は、実施例1と異なり、サービス事業者装置200を一意に識別するサービス識別情報(SP ID)および仮識別情報(仮名ID)を、利用者情報に対応づけて利用者管理データベース部121に格納する。
The user
ネットワーク事業者装置100における利用者管理データベース部121は、図17に示すように、実施例1と同様、利用者アカウント(『NW利用者アカウント』の列を参照)と、サービス事業者装置200を一意に識別するサービス識別情報であるSP ID(『SP ID』の列を参照)とを対応づけて記憶するが、実施例1と異なり、仮識別情報である仮名 ID(『仮名ID』の列を参照)をさらに対応づけて記憶する。例えば、図17の1行目に示すように、利用者管理データベース部121は、利用者アカウント「tarou」と、SP ID「3」と、仮名ID「xxxx」とを対応づけて記憶する。なお、実施例においては、説明の便宜上から仮名IDをアルファベット4文字で表記するが、実際は、ネットワーク事業者装置またはサービス事業者装置において規定される任意の仮名IDであり、特定のアルファベットやその組合せに何ら特別の意味があるものではない。
As shown in FIG. 17, the user
サービス事業者装置200における利用者登録/認証部234は、実施例1と同様、利用者情報および回線情報を用いてサイトアクセスを制御(例えば、利用者登録など)するが、実施例1と異なり、ネットワーク事業者装置100から、利用者情報および回線情報に加えて仮識別情報(仮名ID)を受信した場合には、サイトアクセスを要求している利用者を一意に識別する利用者識別情報(例えば、利用者情報、回線情報など)に対応づけて、仮識別情報(仮名ID)を利用者管理データベース部221に格納する。
The user registration /
サービス事業者装置200における利用者管理データベース部221は、図18に示すように、実施例1と同様、ネットワーク事業者装置100を一意に識別するNW ID(『NW ID』の列を参照)を記憶するが、実施例1と異なり、ネットワーク事業者装置100における利用者アカウントとNW IDとを対応づけて記憶せず、仮識別情報である仮名ID(『仮名ID』の列を参照)とNW IDとを対応づけて記憶する。また、図示してはいないが、利用者管理データベース部221は、RDBMSプログラムなどを稼動させることで、利用者装置300の利用者に関する利用者情報および回線情報を対応づけて記憶するので、仮識別情報(仮名ID)は、NW IDと対応づけて記憶されるのみならず、利用者を一意に識別する利用者識別情報(例えば、利用者情報、回線情報など)に対応づけて記憶される。
As shown in FIG. 18, the user
[実施例2に係るサービスシステムによる処理の手順]
次に、図19を用いて、実施例2に係るサービスシステムによる処理の手順を説明する。図19は、実施例2に係るサービスシステムによる処理の手順を示すシーケンス図である。図19に示すように、実施例2に係るサービスシステムによる処理の手順は、実施例1に係るサービスシステムによる処理の手順とほぼ同様である(図15を参照)が、仮識別情報(仮名ID)の払い出し(ステップS13)、利用者情報取得応答(ステップS14)、および利用者情報、回線情報の管理(ステップS15)が、実施例1に係るサービスシステムによる処理の手順と異なる。以下では、主に、上記のステップS13〜S15について説明する。
[Processing Procedure by Service System According to Second Embodiment]
Next, a processing procedure by the service system according to the second embodiment will be described with reference to FIG. FIG. 19 is a sequence diagram illustrating a processing procedure performed by the service system according to the second embodiment. As shown in FIG. 19, the procedure of the process by the service system according to the second embodiment is almost the same as the procedure of the process by the service system according to the first embodiment (see FIG. 15). ) (Step S13), user information acquisition response (step S14), and management of user information and line information (step S15) are different from the processing procedure by the service system according to the first embodiment. Hereinafter, the above steps S13 to S15 will be mainly described.
まず、ステップS13において、ネットワーク事業者装置100における利用者情報送信部133は、実施例1と異なり、利用者情報の送信を一意に識別する仮識別情報(仮名ID)を払い出し、サービス事業者装置200を一意に識別するサービス識別情報(SP ID)および仮識別情報(仮名ID)を、利用者情報に対応づけて利用者管理データベース部121に格納する。
First, in step S13, unlike the first embodiment, the user
次に、ネットワーク事業者装置100における利用者情報送信部133は、実施例1と同様、利用者情報取得応答を送信するが(ステップS14)、実施例1と異なり、ネットワーク事業者装置を一意に識別するNW事業者ID(NW ID)、回線情報、利用者情報、有効期限、および電子署名の他に、仮識別情報(仮名ID)をサービス事業者装置200に送信し、ネットワーク事業者装置100における利用者アカウントを送信しない。
Next, the user
そして、サービス事業者装置200における利用者登録/認証部234は、実施例1と同様、利用者情報および回線情報を用いて、サイトアクセスを制御する(ステップS15)が、実施例1と異なり、仮の利用者アカウントをネットワーク事業者装置100における利用者アカウントに置き換えず、仮識別情報(仮名ID)に置き換え、利用者装置の利用者の利用者情報および回線情報を管理する。なお、実施例2においては、仮の利用者アカウントを仮識別情報(仮名ID)に置き換える手法を説明したが、この発明はこれに限られるものではなく、例えば、仮のアカウントと仮識別情報(仮名ID)とを対応づけて保持するなど、ネットワーク事業者装置100とサービス事業者装置200との間で、仮識別情報(仮名ID)を共有する手法であれば、いずれでもよい。
Then, the user registration /
このようにして、実施例2に係るサービスシステムは、同一の利用者に対応づけられた仮識別情報(例えば、仮名ID、匿名IDなど)が、ネットワーク事業者装置とサービス事業者装置との間で共有されることから、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有されない手法に比較して、信用性の高いサイトアクセス制御を安全かつ効率的に実現することが可能になる。 In this way, in the service system according to the second embodiment, temporary identification information (for example, pseudonym ID, anonymous ID, etc.) associated with the same user is between the network provider device and the service provider device. It is possible to realize highly reliable site access control safely and efficiently compared to the method in which temporary identification information is not shared between the network provider device and the service provider device. become.
なお、実施例2においては、サービス事業者装置200が、利用者装置300からサイトアクセスの要求(利用者登録要求)を受け付け(ステップS7)、サービス事業者装置200において利用者アカウントを作成してから(ステップS8)、サービス事業者装置200が利用者情報取得要求をネットワーク事業者装置100に送信する(ステップS9)処理の手順を説明したが、この発明はこれに限られるものではなく、例えば、サービス事業者装置200においてネットワーク事業者装置100から利用者情報を受信してから(ステップS14)、サービス事業者装置200において利用者アカウントを作成するなど、サービス事業者装置200における利用者アカウントのタイミングは、いずれでもよい。
In the second embodiment, the
[実施例2の効果]
上記してきたように、実施例2によれば、上記した実施例1の効果の他に、ネットワーク事業者装置は、利用者情報に加えて、利用者情報の送信を一意に識別する仮識別情報をサービス事業者装置に送信するとともに、サービス事業者装置を一意に識別するサービス識別情報および仮識別情報を、利用者情報に対応付けて格納し、サービス事業者装置は、ネットワーク事業者装置から利用者情報に加えて仮識別情報を受信した場合には、サイトアクセスを要求している利用者を一意に識別する利用者識別情報に対応付けて仮識別情報を所定の記憶手段に格納し、ネットワーク事業者装置は、サービス事業者装置から利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報に対応する仮識別情報の取得を要求する仮識別情報取得要求を受信した場合に、利用者装置が接続されている回線に関する回線情報を取得し、取得された回線情報に対応付けられた仮識別情報を取得し、利用者装置を経由するリダイレクト通信によって仮識別情報をサービス事業者装置に送信し、サービス事業者装置は、利用者装置から利用者登録後におけるサイトアクセスの要求を受け付けた場合に、利用者装置を経由するリダイレクト通信によって、利用者装置の利用者情報に対応する仮識別情報の取得を要求する仮識別情報取得要求をネットワーク事業者装置に送信し、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報に対応する仮識別情報を受信した場合に、仮識別情報に対応する利用者識別情報を所定の記憶手段から取得してサイトアクセスを制御するので、同一の利用者に対応づけられた仮識別情報(例えば、仮名ID、匿名IDなど)が、ネットワーク事業者装置とサービス事業者装置との間で共有されることから、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有されない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全かつ効率的に実現することが可能になる。
[Effect of Example 2]
As described above, according to the second embodiment, in addition to the effects of the first embodiment, in addition to the user information, the network operator device also provides temporary identification information that uniquely identifies transmission of user information. Is transmitted to the service provider device, and service identification information and temporary identification information for uniquely identifying the service provider device are stored in association with the user information, and the service provider device is used from the network provider device. When the temporary identification information is received in addition to the user information, the temporary identification information is stored in a predetermined storage means in association with the user identification information for uniquely identifying the user requesting the site access, and the network The provider device receives temporary identification information that requests acquisition of temporary identification information corresponding to the user information of the user device through redirect communication from the service provider device via the user device. When a request is received, line information related to the line to which the user apparatus is connected is acquired, temporary identification information associated with the acquired line information is acquired, and temporary communication is performed by redirect communication via the user apparatus. When the identification information is transmitted to the service provider device, and the service provider device receives a request for site access after user registration from the user device, the service provider device performs redirection communication via the user device to A temporary identification information acquisition request for requesting acquisition of temporary identification information corresponding to the user information is transmitted to the network operator device, and the user information of the user device is transmitted from the network operator device to the user device by redirect communication via the user device. When the corresponding temporary identification information is received, the user identification information corresponding to the temporary identification information is acquired from a predetermined storage means and signed. Since access is controlled, temporary identification information (for example, pseudonym ID, anonymous ID, etc.) associated with the same user is shared between the network operator device and the service operator device. Compared to a method in which the identification information is not shared between the network operator device and the service operator device, it becomes possible to realize highly reliable site access control in the service operator device safely and efficiently. .
すなわち、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有される結果、他のサービス事業者によるいわゆる名寄せの対象にされるおそれを回避できることから、例えば、利用者本人の名前の一部を用いた利用者アカウントが共有される手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。 That is, since the temporary identification information is shared between the network provider device and the service provider device, it is possible to avoid the possibility of being subject to so-called name identification by other service providers. Compared with a method in which a user account using a part of the service account is shared, it is possible to safely implement highly reliable site access control in the service provider device.
その上、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有される結果、サービス事業者装置は、利用者登録後におけるサイトアクセスの要求を利用者装置から受け付けた場合に、再び利用者登録することなく安全な仮識別情報でサイトアクセス制御できることから、サービス事業者装置において、信用性の高いサイトアクセス制御を安全かつ効率的に実現することが可能になる。 In addition, as a result of the provisional identification information being shared between the network operator device and the service operator device, the service operator device receives a request for site access after user registration from the user device, Since site access control can be performed with secure temporary identification information without user registration again, it is possible to safely and efficiently implement highly reliable site access control in the service provider apparatus.
ところで、これまで実施例2として、利用者登録の局面で、ネットワーク事業者装置とサービス事業者装置との間において、ネットワーク事業者装置からサービス事業者装置に対する利用者情報の送信を一意に識別する仮識別情報(利用者アカウントそのものではない)を共有する手法を説明したが、次に、実施例3として、利用者登録の局面で仮識別情報を共有した場合に、SPサービス利用の局面でサービス事業者装置において仮識別情報を用いてサイトアクセスを制御する手法について、図20および図21を用いて説明する。 By the way, as Example 2 so far, transmission of user information from the network operator device to the service operator device is uniquely identified between the network operator device and the service operator device in the user registration phase. The method of sharing temporary identification information (not the user account itself) has been described. Next, as the third embodiment, when temporary identification information is shared in the user registration phase, the service is used in the SP service usage phase. A method of controlling site access using temporary identification information in the business entity apparatus will be described with reference to FIGS. 20 and 21. FIG.
[実施例3に係るサービスシステムの概要および特徴]
実施例3に係るサービスシステムは、上記したように、利用者登録の局面ではなく、SPサービス利用の局面である点が、実施例2と異なるものである。以下では、図20を用いて、実施例3に係るサービスシステムの概要および特徴を説明する。なお、実施例2(利用者登録の局面)と同様の処理については、簡易に説明する。図20は、実施例3に係るサービスシステムの概要および特徴を説明するための図である。
[Outline and Features of Service System According to Embodiment 3]
As described above, the service system according to the third embodiment is different from the second embodiment in that it is not a user registration phase but an SP service usage phase. Hereinafter, the outline and characteristics of the service system according to the third embodiment will be described with reference to FIG. In addition, the process similar to Example 2 (phase of user registration) is demonstrated easily. FIG. 20 is a diagram for explaining the outline and features of the service system according to the third embodiment.
ここで、実施例3におけるネットワーク事業者装置は、利用者装置の利用者について、あらかじめ利用者登録しており、利用者装置のネットワーク接続を許可しているものとする。また、実施例3におけるサービス事業者装置は、利用者装置の利用者について、利用者登録をしているものとする。すなわち、利用者装置は、サービス事業者装置によって利用者認証などされることで、サービス事業者装置が提供するアプリケーションサービスの提供を受けることができる状態にある。 Here, it is assumed that the network operator device in the third embodiment has previously registered the user of the user device and permits the network connection of the user device. In addition, it is assumed that the service provider device according to the third embodiment performs user registration for the user of the user device. That is, the user device is in a state where it can receive the application service provided by the service provider device by performing user authentication or the like by the service provider device.
実施例3におけるネットワーク事業者装置は、まず、利用者装置から、ネットワーク接続要求を受信する(図20の(1)を参照)。次に、ネットワーク事業者装置は、ネットワーク事業者装置において、認証処理を行う(図20の(2)を参照)。そして、ネットワーク事業者装置は、利用者装置に、ネットワーク接続応答を送信する(図20の(3)を参照)。 The network operator apparatus according to the third embodiment first receives a network connection request from the user apparatus (see (1) in FIG. 20). Next, the network operator device performs an authentication process in the network operator device (see (2) in FIG. 20). Then, the network operator device transmits a network connection response to the user device (see (3) in FIG. 20).
その結果、利用者装置は、インターネットなどのネットワークに接続し、続いて、サービス事業者装置は、利用者装置から、SPサイトアクセス要求を受信する(図20の(4)を参照)。すると、サービス事業者装置は、利用者装置に対して、SPサイトアクセス応答を送信する(図20の(5)を参照)。具体的には、サービス事業者装置は、Webページを取得し、SPサイトアクセス応答として、Webページを送信する。ここで、実施例3におけるサービス事業者装置は、利用者装置の利用者について、利用者登録をしているので、利用者装置に対して送信するWebページは、SPサービス利用を促すWebページである。 As a result, the user device connects to a network such as the Internet, and then the service provider device receives an SP site access request from the user device (see (4) in FIG. 20). Then, the service provider device transmits an SP site access response to the user device (see (5) in FIG. 20). Specifically, the service provider device acquires a Web page and transmits the Web page as an SP site access response. Here, since the service provider apparatus in the third embodiment has registered the user of the user apparatus, the Web page transmitted to the user apparatus is a Web page that prompts the user to use the SP service. is there.
すると、サービス事業者装置は、利用者装置から、SPサービス利用要求を受信する(図20の(6)を参照)。具体的には、利用者装置において、SPサービス利用を促すWebページのアイコンがクリックされることなどによって、SPサービス利用要求を受信する。 Then, the service provider device receives the SP service use request from the user device (see (6) in FIG. 20). Specifically, the SP service use request is received by clicking on an icon of a Web page that prompts the user to use the SP service.
続いて、サービス事業者装置は、仮識別情報(仮名ID)取得要求を、ネットワーク事業者装置に送信する(図20の(7)を参照)。具体的には、サービス事業者装置は、利用者装置を経由するリダイレクト通信によって、利用者装置の利用者情報に対応する仮識別情報(仮名ID)の取得を要求する仮識別情報取得要求を、ネットワーク事業者装置に送信する。 Subsequently, the service provider device transmits a provisional identification information (a pseudonym ID) acquisition request to the network provider device (see (7) in FIG. 20). Specifically, the service provider device makes a provisional identification information acquisition request for requesting acquisition of temporary identification information (a pseudonym ID) corresponding to the user information of the user device by redirect communication via the user device. Sent to network operator device.
すると、ネットワーク事業者装置は、利用者装置が接続されている回線に関する回線情報を取得する(図20の(8)を参照)。具体的には、ネットワーク事業者装置は、サービス事業者装置から、利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報に対応する仮識別情報(仮名ID)の取得を要求する仮識別情報取得要求を受信した場合に、利用者装置が接続されている回線を特定することで、回線情報を取得する。 Then, the network operator apparatus acquires line information regarding the line to which the user apparatus is connected (see (8) in FIG. 20). Specifically, the network operator device requests provisional identification requesting acquisition of temporary identification information (a pseudonym ID) corresponding to the user information of the user device from the service operator device by redirect communication via the user device. When the information acquisition request is received, the line information is acquired by specifying the line to which the user apparatus is connected.
次に、ネットワーク事業者装置は、サービス事業者装置に対して、回線情報に対応づけられた仮識別情報を送信する(図20の(9)および(10)を参照)。具体的には、ネットワーク事業者装置は、回線を特定することで取得された回線情報に対応づけられた仮識別情報を利用者管理DBから取得し、利用者装置を経由するリダイレクト通信によって、仮識別情報をサービス事業者装置に送信する。例えば、図20においては、ネットワーク事業者装置は、利用者管理DBから仮名ID(XXX)を取得し、サービス事業者装置に送信する。 Next, the network operator device transmits temporary identification information associated with the line information to the service operator device (see (9) and (10) in FIG. 20). Specifically, the network operator device acquires temporary identification information associated with the line information acquired by specifying the line from the user management DB, and performs temporary communication by redirect communication via the user device. The identification information is transmitted to the service provider device. For example, in FIG. 20, the network operator device acquires the pseudonym ID (XXX) from the user management DB and transmits it to the service operator device.
続いて、サービス事業者装置は、仮識別情報(仮名ID)に対応する利用者識別情報を利用者管理DBから取得して、サイトアクセスを制御する(図20の(11)および(12)を参照)。具体的には、サービス事業者装置は、ネットワーク事業者装置から、利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報に対応する仮識別情報(仮名ID)を受信した場合に、仮識別情報(仮名ID)に対応する利用者識別情報(例えば、利用者情報、回線情報など)を利用者管理DBから取得して、利用者識別情報(例えば、利用者情報、回線情報など)を用いて利用者認証を行ったり、SPサービス利用応答として、利用者装置に、サービス提供のWebページを送信するなどする。 Subsequently, the service provider device acquires user identification information corresponding to the temporary identification information (kana ID) from the user management DB, and controls site access (see (11) and (12) in FIG. 20). reference). Specifically, when the service provider device receives temporary identification information (a pseudonym ID) corresponding to the user information of the user device from the network provider device by redirect communication via the user device, User identification information (for example, user information, line information, etc.) corresponding to the identification information (kana ID) is acquired from the user management DB, and user identification information (for example, user information, line information, etc.) is obtained. User authentication is used, and a service-provided Web page is transmitted to the user device as an SP service use response.
このようにして、実施例3に係るサービスシステムは、同一の利用者に対応づけられた仮識別情報(例えば、仮名ID、匿名IDなど)が、ネットワーク事業者装置とサービス事業者装置との間で共有されることから、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有されない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全かつ効率的に実現することが可能になる。 In this way, in the service system according to the third embodiment, temporary identification information (for example, pseudonym ID, anonymous ID, etc.) associated with the same user is between the network provider device and the service provider device. Therefore, it is safer and more efficient to perform reliable site access control in the service provider device than in the method in which the temporary identification information is not shared between the network provider device and the service provider device. Can be realized.
[実施例3に係るサービスシステムの構成]
次に、実施例3に係るサービスシステムの構成を説明する。実施例3に係るサービスシステムは、実施例2に係るサービスシステムとほぼ同様に構成されるが、SPサービス利用の局面において必要となる機能が、ネットワーク事業者装置100における回線情報取得部132、利用者情報送信部133、サービス事業者装置200における利用者情報取得要求送信部233、および利用者登録/認証部234に追加される点が、実施例2と異なる。以下では、ネットワーク事業者装置100における回線情報取得部132、利用者情報送信部133、サービス事業者装置200における利用者情報取得要求送信部233、および利用者登録/認証部234について説明する。
[Configuration of Service System According to Embodiment 3]
Next, the configuration of the service system according to the third embodiment will be described. The service system according to the third embodiment is configured in substantially the same manner as the service system according to the second embodiment, but the functions necessary in the aspect of using the SP service are the line
なお、回線情報取得部132は、特許請求の範囲に記載の「回線情報取得手段」および「登録後回線情報取得手段」に対応し、利用者情報送信部133は、特許請求の範囲に記載の「利用者情報送信手段」および「仮識別情報送信手段」に対応し、利用者情報取得要求送信部233は、「利用者情報取得要求送信手段」および「仮識別情報取得要求送信手段」に対応し、利用者登録/認証部234は、特許請求の範囲に記載の「アクセス制御手段」および「登録後アクセス制御手段」に対応する。
The line
ネットワーク事業者装置100における回線情報取得部132は、実施例2と同様、利用者装置300が接続されている回線に関する回線情報を取得するが、実施例2と異なり、サービス事業者装置200から、利用者装置300を経由するリダイレクト通信によって利用者装置300の利用者情報に対応する仮識別情報の取得を要求する仮識別情報取得要求を受信した場合にも、利用者装置300が接続されている回線に関する回線情報を取得する。
The line
利用者情報送信部133は、実施例2と同様、利用者情報および回線情報に加えて、利用者情報の送信を一意に識別する仮識別情報(仮名ID)をサービス事業者装置200に送信するとともに、サービス事業者装置200を一意に識別するサービス識別情報および仮識別情報(仮ID)を、利用者情報に対応付けて利用者管理データベース部121に格納するが、実施例2と異なり、回線情報取得部132において、仮識別情報取得要求が受信され、利用者装置300が接続されている回線に関する回線情報が取得された場合には、回線情報に対応づけられた仮識別情報(仮名ID)を利用者管理データベース部121から取得し、利用者装置300を経由するリダイレクト通信によって、仮識別情報(仮名ID)をサービス事業者装置200に送信する。
Similar to the second embodiment, the user
サービス事業者装置200における利用者情報取得要求送信部233は、実施例2と同様、利用者装置300の利用者情報の取得を要求する利用者情報取得要求をネットワーク事業者装置100に送信するが、実施例2と異なり、利用者装置300から利用者登録後におけるサイトアクセスの要求を受け付けた場合には、利用者装置300を経由するリダイレクト通信によって、利用者装置300の利用者情報に対応する仮識別情報(仮名ID)の取得を要求する仮識別情報取得要求を、ネットワーク事業者装置100に送信する。
The user information acquisition request transmission unit 233 in the
利用者登録/認証部234は、実施例2と同様、利用者情報および回線情報を用いて、サイトアクセスを制御するが、実施例2と異なり、ネットワーク事業者装置100から利用者装置300を経由するリダイレクト通信によって利用者装置300の利用者情報に対応する仮識別情報(仮名ID)を受信した場合には、仮識別情報(仮名ID)に対応する利用者識別情報(例えば、利用者情報、回線情報など)を利用者管理データベース部221から取得して、サイトアクセスを制御する。
The user registration /
[実施例3に係るサービスシステムによる処理の手順]
次に、図21を用いて、実施例3に係るサービスシステムによる処理の手順を説明する。図21は、実施例3に係るサービスシステムによる処理の手順を示すシーケンス図である。ここで、実施例3におけるネットワーク事業者装置100は、利用者装置300の利用者について、あらかじめ利用者登録しており、利用者装置300のネットワーク接続を許可しているものとする。また、実施例3におけるサービス事業者装置200は、利用者装置300の利用者について、利用者登録をしているものとする。すなわち、利用者装置300は、サービス事業者装置200によって利用者認証などされることで、サービス事業者装置200が提供するアプリケーションサービスの提供を受けることができる状態にある。以下では、利用者装置300がネットワークへの接続を行う処理(図21の(1)を参照)と、利用者装置300がSPサイトへアクセスする処理(図21の(2)を参照)と、利用者装置300がSPのサービス利用を行う処理(図21の(3)を参照)とについて、順に説明する。
[Processing Procedure by Service System According to Third Embodiment]
Next, a processing procedure by the service system according to the third embodiment will be described with reference to FIG. FIG. 21 is a sequence diagram illustrating a processing procedure performed by the service system according to the third embodiment. Here, it is assumed that the
[(1)ネットワークへの接続]
まず、ネットワーク事業者装置100における認証処理部131は、実施例2と同様、利用者装置300から、ネットワーク接続要求を受信する(ステップS1)。次に、ネットワーク事業者装置100における認証処理部131は、実施例2と同様、利用者装置300の認証処理を行う(ステップS2)。そして、ネットワーク事業者装置100における認証処理部131は、実施例2と同様、利用者装置300に、ネットワーク接続応答を送信する(ステップS3)。
[(1) Network connection]
First, the
[(2)SPサイトへアクセス]
続いて、利用者装置300は、実施例2と同様、インターネットなどのネットワークに接続し、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300から、SPサイトアクセス要求を受信する(ステップS4)。すると、サービス事業者装置200におけるSPサイトアクセス応答部231は、実施例2と同様、Webページを取得するが(ステップS5)、実施例2と異なり、利用者装置300に対してSPサービス利用を促すWebページを取得する。
[(2) Access to SP site]
Subsequently, the
そして、サービス事業者装置200におけるSPサイトアクセス応答部231は、実施例2と同様、利用者装置300に対して、SPサイトアクセス応答を送信するが(ステップS6)、実施例2と異なり、利用者装置300に対してSPサービス利用を促すWebページを送信する。
Then, the SP site
[(3)SPのサービス利用]
続いて、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300から、SPサービス利用要求を受信する(ステップS7)。具体的には、利用者装置300において、SPサービス利用要求を促すWebページのアイコンがワンクリックされることなどによって、SPサービス利用要求を受信する。
[(3) SP service use]
Subsequently, the SP site
次に、サービス事業者装置200における利用者情報取得要求送信部233は、ネットワーク事業者装置100に対して、利用者装置300の利用者情報に対応する仮識別情報(仮名ID)の取得を要求する仮識別情報取得要求を、ネットワーク事業者装置100に送信する(ステップS8)。具体的には、サービス事業者装置200における利用者情報取得要求送信部233は、利用者装置300を経由するリダイレクト通信によって、仮識別情報取得要求を、サービス事業者装置200を一意に識別するサービス識別情報(SP ID)、応答先のURL(Uniform Resource Locator)、および電子署名とともに、ネットワーク事業者装置100に送信する。
Next, the user information acquisition request transmission unit 233 in the
すると、ネットワーク事業者装置100における回線情報取得部132は、利用者装置300が接続されている回線を特定し(ステップS9)、回線情報を取得する(ステップS10)。具体的には、ネットワーク事業者装置100における回線情報取得部132は、サービス事業者装置200から利用者装置300を経由するリダイレクト通信によって利用者装置300の利用者情報に対応する仮識別情報(仮名ID)の取得を要求する仮識別情報取得要求を受信した場合に、利用者装置300が接続されている回線に関する回線情報を取得する。
Then, the line
次に、ネットワーク事業者装置100における利用者情報送信部133は、回線を特定することで取得された回線情報に対応づけられた仮識別情報(仮名ID)を利用者管理データベース部121から取得し(ステップS11)、利用者装置300を経由するリダイレクト通信によって、仮識別情報(仮名ID)をサービス事業者装置200に送信する(ステップS12)。具体的には、ネットワーク事業者装置100における利用者情報送信部133は、仮識別情報取得応答を、ネットワーク事業者装置を一意に識別するネットワーク事業者ID(NW ID)、仮識別情報(仮名ID)、および電子署名とともに、サービス事業者装置200に送信する。
Next, the user
そして、サービス事業者装置200における利用者登録/認証部234は、仮識別情報(仮名ID)に対応する利用者識別情報を利用者管理データベース部221から取得して、サイトアクセスを制御する(ステップS13およびS14)。具体的には、サービス事業者装置200における利用者登録/認証部234は、ネットワーク事業者装置100から利用者装置300を経由するリダイレクト通信によって利用者装置300の利用者情報に対応する仮識別情報(仮名ID)を受信した場合に、仮名IDに対応する利用者識別情報(例えば、利用者情報、回線情報など)を利用者管理データベース部221から取得して、利用者情報および回線情報を用いて利用者認証を行うなどする。
Then, the user registration /
続いて、サービス事業者装置200における利用者登録/認証部234は、利用者装置300に、SPサービス利用応答を送信する(ステップS15)。具体的には、サービス事業者装置200における利用者登録/認証部234は、SPサービス利用応答として、アプリケーションサービスの提供を開始するWebページを、利用者装置300に送信する。
Subsequently, the user registration /
このようにして、実施例3に係るサービスシステムは、同一の利用者に対応づけられた仮識別情報(例えば、仮名ID、匿名IDなど)が、ネットワーク事業者装置とサービス事業者装置との間で共有されることから、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有されない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全かつ効率的に実現することが可能になる。 In this way, in the service system according to the third embodiment, temporary identification information (for example, pseudonym ID, anonymous ID, etc.) associated with the same user is between the network provider device and the service provider device. Therefore, it is safer and more efficient to perform reliable site access control in the service provider device than in the method in which the temporary identification information is not shared between the network provider device and the service provider device. Can be realized.
[実施例3の効果]
上記してきたように、実施例3によれば、上記した実施例2の効果と同様、ネットワーク事業者装置は、利用者情報に加えて、利用者情報の送信を一意に識別する仮識別情報をサービス事業者装置に送信するとともに、サービス事業者装置を一意に識別するサービス識別情報および仮識別情報を、利用者情報に対応付けて格納し、サービス事業者装置は、ネットワーク事業者装置から利用者情報に加えて仮識別情報を受信した場合には、サイトアクセスを要求している利用者を一意に識別する利用者識別情報に対応付けて仮識別情報を所定の記憶手段に格納し、ネットワーク事業者装置は、サービス事業者装置から利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報に対応する仮識別情報の取得を要求する仮識別情報取得要求を受信した場合に、利用者装置が接続されている回線に関する回線情報を取得し、取得された回線情報に対応付けられた仮識別情報を取得し、利用者装置を経由するリダイレクト通信によって仮識別情報をサービス事業者装置に送信し、サービス事業者装置は、利用者装置から利用者登録後におけるサイトアクセスの要求を受け付けた場合に、利用者装置を経由するリダイレクト通信によって、利用者装置の利用者情報に対応する仮識別情報の取得を要求する仮識別情報取得要求をネットワーク事業者装置に送信し、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報に対応する仮識別情報を受信した場合に、仮識別情報に対応する利用者識別情報を所定の記憶手段から取得してサイトアクセスを制御するので、同一の利用者に対応づけられた仮識別情報(例えば、仮名ID、匿名IDなど)が、ネットワーク事業者装置とサービス事業者装置との間で共有されることから、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有されない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全かつ効率的に実現することが可能になる。
[Effect of Example 3]
As described above, according to the third embodiment, in the same manner as the above-described second embodiment, in addition to the user information, the network operator device provides temporary identification information that uniquely identifies transmission of user information. In addition to transmitting to the service provider device, service identification information and provisional identification information for uniquely identifying the service provider device are stored in association with the user information, and the service provider device is transmitted from the network provider device to the user. When temporary identification information is received in addition to the information, the temporary identification information is stored in a predetermined storage means in association with the user identification information that uniquely identifies the user who is requesting site access. The user device receives temporary identification information that requests acquisition of temporary identification information corresponding to the user information of the user device by redirect communication from the service provider device via the user device. When a request is received, line information related to the line to which the user apparatus is connected is acquired, temporary identification information associated with the acquired line information is acquired, and temporary communication is performed by redirect communication via the user apparatus. When the identification information is transmitted to the service provider device, and the service provider device receives a request for site access after user registration from the user device, the service provider device performs redirection communication via the user device to A temporary identification information acquisition request for requesting acquisition of temporary identification information corresponding to the user information is transmitted to the network operator device, and the user information of the user device is transmitted from the network operator device to the user device by redirect communication via the user device. When the corresponding temporary identification information is received, the user identification information corresponding to the temporary identification information is acquired from a predetermined storage means and signed. Since access is controlled, temporary identification information (for example, pseudonym ID, anonymous ID, etc.) associated with the same user is shared between the network operator device and the service operator device. Compared to a method in which the identification information is not shared between the network operator device and the service operator device, it becomes possible to realize highly reliable site access control in the service operator device safely and efficiently. .
すなわち、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有される結果、他のサービス事業者によるいわゆる名寄せの対象にされるおそれを回避できることから、例えば、利用者本人の名前の一部を用いた利用者アカウントが共有される手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。 That is, since the temporary identification information is shared between the network provider device and the service provider device, it is possible to avoid the possibility of being subject to so-called name identification by other service providers. Compared with a method in which a user account using a part of the service account is shared, it is possible to safely implement highly reliable site access control in the service provider device.
その上、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有される結果、サービス事業者装置は、利用者登録後におけるサイトアクセスの要求を利用者装置から受け付けた場合に、再び利用者登録することなく安全な仮識別情報でサイトアクセス制御できることから、サービス事業者装置において、信用性の高いサイトアクセス制御を安全かつ効率的に実現することが可能になる。 In addition, as a result of the provisional identification information being shared between the network operator device and the service operator device, the service operator device receives a request for site access after user registration from the user device, Since site access control can be performed with secure temporary identification information without user registration again, it is possible to safely and efficiently implement highly reliable site access control in the service provider apparatus.
ところで、これまで実施例1〜実施例3におけるサービスシステムについて説明したが、この発明は上記した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、実施例4におけるサービスシステムとして、異なる実施例を説明する。 By the way, although the service system in Example 1- Example 3 was demonstrated so far, this invention may be implemented with a various different form other than an above-described Example. Therefore, different embodiments will be described below as service systems in the fourth embodiment.
[利用者登録]
上記した実施例1〜実施例3においては、サービス事業者装置200が提供するアプリケーションサービスは、永続的な利用者登録を行うことで提供できるタイプのアプリケーションサービス(永続的な利用者アカウントを払い出し、永続的にアプリケーションサービスを提供)としたが、この発明はこれに限られるものではなく、例えば、ワンタイムの利用者認証を行うことで提供できるタイプのアプリケーションサービス(利用者アカウントを払い出さず、接続中のみアプリケーションサービスを提供)や、有効期限付きの利用者登録を行うことで提供できるタイプのアプリケーションサービス(有効期限付きの利用者アカウントを払い出し、有効期限付きでアプリケーションサービスを提供)にも、この発明を同様に適用することができる。例えば、ワンタイムの利用者認証を行うことで提供できるタイプのアプリケーションサービスの場合には、利用者情報および回線情報は、アプリケーションサービス提供の可否や、提供するアプリケーションサービスの選択の際に活用されることになるが、サービス事業者装置において、必ずしも利用者情報および回線情報を管理する必要はない。
[User Registration]
In the above-described first to third embodiments, the application service provided by the
[利用者情報取得]
上記した実施例1〜実施例3においては、ネットワーク事業者装置100における利用者情報送信部133が、利用者情報に加えて回線情報をサービス事業者装置200に送信し、サービス事業者装置200における利用者登録/認証部234が、サービス事業者装置200から利用者情報に加えて回線情報を受信した場合に、利用者情報および回線情報を用いてサイトアクセスを制御する手法を説明したが、この発明はこれに限られるものではなく、ネットワーク事業者装置100における利用者情報送信部133が、利用者情報のみをサービス事業者装置200に送信し、サービス事業者装置200における利用者登録/認証部234が、サービス事業者装置200から利用者情報のみを受信した場合に、利用者情報を用いてサイトアクセスを制御する手法や、ネットワーク事業者装置100における利用者情報送信部133が、利用者情報に加えて回線情報をサービス事業者装置200に送信し、サービス事業者装置200における利用者登録/認証部234が、サービス事業者装置200から利用者情報に加えて回線情報を受信した場合に、利用者情報のみを用いてサイトアクセスを制御する手法などにも、この発明を同様に適用することができる。
[Acquire User Information]
In the above-described first to third embodiments, the user
また、上記した実施例1〜実施例3においては、ネットワーク事業者装置100における利用者情報送信部133が、利用者情報に加えて、利用者情報の有効期限を示す有効期限情報をサービス事業者装置200に送信し、サービス事業者装置200における利用者登録/認証部234が、ネットワーク事業者装置100から利用者情報に加えて有効期限情報を受信した場合に、有効期限情報に示される有効期限を満たすことを条件に、利用者情報を用いてサイトアクセスを制御する手法を説明したが、この発明はこれに限られるものではなく、ネットワーク事業者装置100における利用者情報送信部133が、有効期限情報を送信せず利用者情報のみをサービス事業者装置200に送信し、サービス事業者装置200における利用者登録/認証部234が、有効期限に係らず、利用者情報を用いてサイトアクセスを制御する手法にも、この発明を同様に適用することができる。
In the above-described first to third embodiments, the user
また、上記した実施例1〜実施例3においては、ネットワーク事業者装置100における利用者情報送信部133が、利用者情報に加えて、ネットワーク事業者が署名する電子署名をサービス事業者装置200に送信し、サービス事業者装置200における利用者登録/認証部234が、ネットワーク事業者装置100から利用者情報に加えて電子署名を受信した場合に、電子署名が正当であることを条件に、利用者情報を用いてサイトアクセスを制御する手法を説明したが、この発明はこれに限られるものではなく、ネットワーク事業者装置100における利用者情報送信部133が、電子署名を送信せず利用者情報のみをサービス事業者装置200に送信し、サービス事業者装置200における利用者登録/認証部234が、電子署名に係らず、利用者情報を用いてサイトアクセスを制御する手法にも、この発明を同様に適用することができる。
In the above-described first to third embodiments, the user
また、上記した実施例1〜実施例3においては、ネットワーク事業者装置100における利用者情報送信部133が、サービス事業者装置200から利用者情報取得要求に加えて、サービス事業者が署名する電子署名を受信した場合に、電子署名が正当であることを条件に、利用者情報をサービス事業者装置200に送信し、サービス事業者装置200における利用者情報取得要求部233が、利用者情報取得要求に加えて、電子署名をネットワーク事業者装置100に送信する手法を説明したが、この発明はこれに限られるものではなく、ネットワーク事業者装置100における利用者情報送信部133が、電子署名に係らず、利用者情報をサービス事業者装置200に送信し、サービス事業者装置200における利用者情報取得要求部233が、電子署名を送信せず利用者情報取得要求のみをネットワーク事業者装置100に送信する手法にも、この発明を同様に適用することができる。
In the above-described first to third embodiments, the user
[回線情報]
また、上記した実施例1〜実施例3においては、回線情報として、回線の識別子、回線の収容位置、回線種別、回線速度、および回線認証情報を用いる手法を説明したが、この発明はこれに限られるものではなく、回線情報として、回線に付与された論理的な番号(電話番号、IPアドレスなど)を用いる手法や、回線の設置場所(住所、緯度経度など)を用いる手法など、回線に関する情報を用いる手法であれば、いずれでもよい。
[Line information]
In the first to third embodiments described above, the method using the line identifier, the line accommodation position, the line type, the line speed, and the line authentication information as the line information has been described. It is not limited, and it is related to the line such as a method using a logical number (telephone number, IP address, etc.) given to the line as a line information, a method using a line installation location (address, latitude / longitude, etc.) Any method using information may be used.
[システム構成等]
また、上記した実施例1〜実施例3においては、サービス事業者装置200において、利用者管理データベース部221などを保持し、利用者装置300の利用者に関する利用者情報、回線情報などを管理する場合を説明したが、この発明はこれに限られるものではなく、サービス事業者装置200において、利用者装置300の利用者に関する利用者情報、回線情報などを管理せず、ネットワーク事業者装置100においてのみ管理する場合にも、この発明を同様に適用することができる。
[System configuration, etc.]
In the above-described first to third embodiments, the
また、上記の実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部(例えば、電子署名の送信など)を手動的におこなう(例えば、電子署名を送信するか否かの確認画面をモニタなどに出力し、操作する者に確認同意を入力させてから、電子署名を送信するなど)こともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。 In addition, among the processes described in the above-described embodiments, all or part of the processes described as being automatically performed (for example, transmission of an electronic signature) is manually performed (for example, transmission of an electronic signature is performed). A confirmation screen as to whether or not to do so can be output to a monitor or the like, and after the operator inputs confirmation consent, an electronic signature can be transmitted). In addition, the processing procedure, control procedure, specific name, and information including various data and parameters shown in the above-described document and drawings can be arbitrarily changed unless otherwise specified.
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示(例えば、図2など)のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる(例えば、利用者管理データベース部121とサービス事業者管理データベース部122とをひとつのデータベースで構築するなど)。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
Further, each component of each illustrated apparatus is functionally conceptual, and does not necessarily need to be physically configured as illustrated. That is, the specific form of distribution / integration of each device is not limited to the one shown in the figure (for example, FIG. 2), and all or a part thereof can function in arbitrary units according to various loads and usage conditions. (For example, the user
なお、上記の実施例で説明したサービスシステム制御方法(図15、図19、および図21)は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。 The service system control method (FIGS. 15, 19, and 21) described in the above embodiments can be realized by executing a program prepared in advance on a computer such as a personal computer or a workstation. . This program can be distributed via a network such as the Internet. The program can also be executed by being recorded on a computer-readable recording medium such as a hard disk, a flexible disk (FD), a CD-ROM, an MO, and a DVD and being read from the recording medium by the computer.
以上のように、この発明に係るサービスシステムおよびサービスシステム制御方法は、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されることに有用であり、特に、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することに適する。 As described above, the service system and the service system control method according to the present invention include a network operator device that controls network connection by a user device, and a service operator device that controls site access by the user device. It is useful to be connected via a network, and is particularly suitable for realizing highly reliable site access control in a service provider apparatus.
100 ネットワーク事業者装置
110 通信制御I/F部
120 記憶部
121 利用者管理データベース部
122 サービス事業者管理データベース部
130 制御部
131 認証処理部
132 回線情報取得部
133 利用者情報送信部
200 サービス事業者装置
210 通信制御I/F部
220 記憶部
221 利用者管理データベース部
222 ネットワーク事業者管理データベース部
230 制御部
231 SPサイトアクセス応答部
232 利用者アカウント作成部
233 利用者情報取得要求送信部
234 利用者登録/認証部
300 利用者装置
DESCRIPTION OF
Claims (7)
前記ネットワーク事業者装置は、
前記ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶する利用者情報記憶手段と、
前記サービス事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者情報の取得を要求する利用者情報取得要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得する回線情報取得手段と、
前記回線情報取得手段によって取得された回線情報に対応付けられた利用者情報を前記利用者情報記憶手段から取得し、前記利用者装置を経由するリダイレクト通信によって当該利用者情報を前記サービス事業者装置に送信する利用者情報送信手段と、
前記サービス事業者装置は、
前記利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者情報の取得を要求する利用者情報取得要求を前記ネットワーク事業者装置に送信する利用者情報取得要求送信手段と、
前記ネットワーク事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者情報を受信した場合に、当該利用者情報を用いて前記サイトアクセスを制御するアクセス制御手段と、
を備えたことを特徴とするサービスシステム。 A service system in which a network operator device that controls network connection by a user device and a service operator device that controls site access by the user device are connected via a network,
The network operator device is:
User information storage means for storing user information relating to a user of the user device permitted to connect to the network in association with line information relating to a line to which the user device is connected;
The line to which the user device is connected when a user information acquisition request for requesting acquisition of user information of the user device is received from the service provider device by redirect communication via the user device Line information acquisition means for acquiring line information about,
User information associated with the line information acquired by the line information acquisition unit is acquired from the user information storage unit, and the user information is acquired by the redirect communication via the user device. User information transmitting means for transmitting to,
The service provider device is:
When a site access request is received from the user device, the network operator device issues a user information acquisition request for requesting acquisition of user information of the user device by redirect communication via the user device. A user information acquisition request transmitting means for transmitting to
An access control means for controlling the site access using the user information when the user information of the user device is received from the network operator device by redirect communication via the user device;
A service system characterized by comprising:
前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者情報に加えて前記仮識別情報を受信した場合には、当該サイトアクセスを要求している利用者を一意に識別する利用者識別情報に対応付けて前記仮識別情報を所定の記憶手段に格納し、
前記ネットワーク事業者装置は、
前記サービス事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者情報に対応する仮識別情報の取得を要求する仮識別情報取得要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得する登録後回線情報取得手段と、
前記登録後回線情報取得手段によって取得された回線情報に対応付けられた仮識別情報を前記利用者情報記憶手段から取得し、前記利用者装置を経由するリダイレクト通信によって当該仮識別情報を前記サービス事業者装置に送信する仮識別情報送信手段と、
前記サービス事業者装置は、
前記利用者装置から利用者登録後におけるサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者情報に対応する仮識別情報の取得を要求する仮識別情報取得要求を前記ネットワーク事業者装置に送信する仮識別情報取得要求送信手段と、
前記ネットワーク事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者情報に対応する仮識別情報を受信した場合に、当該仮識別情報に対応する利用者識別情報を前記所定の記憶手段から取得して前記サイトアクセスを制御する登録後アクセス制御手段と、
をさらに備えたことを特徴とする請求項1に記載のサービスシステム。 In addition to the user information, the user information transmitting means transmits temporary identification information for uniquely identifying transmission of the user information to the service provider device, and uniquely identifies the service provider device. Service identification information and temporary identification information to be stored in the user information storage means in association with the user information,
When the access control means receives the temporary identification information in addition to the user information from the network operator device, the access control means uses the user identification information for uniquely identifying the user requesting the site access. Correspondingly storing the temporary identification information in a predetermined storage means,
The network operator device is:
When a temporary identification information acquisition request for requesting acquisition of temporary identification information corresponding to user information of the user device is received from the service provider device by redirect communication via the user device, the user device A post-registration line information acquisition means for acquiring line information about the line to which the
The temporary identification information associated with the line information acquired by the post-registration line information acquisition unit is acquired from the user information storage unit, and the temporary identification information is obtained by the redirect communication via the user device. Temporary identification information transmitting means for transmitting to the person device;
The service provider device is:
When a request for site access after user registration is received from the user device, a request for acquisition of temporary identification information corresponding to the user information of the user device is made by redirect communication via the user device. Temporary identification information acquisition request transmission means for transmitting a temporary identification information acquisition request to the network operator device;
When temporary identification information corresponding to the user information of the user device is received from the network operator device by redirect communication via the user device, the user identification information corresponding to the temporary identification information is set to the predetermined information. A post-registration access control means for controlling the site access obtained from the storage means,
The service system according to claim 1, further comprising:
前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者情報に加えて前記回線情報を受信した場合に、当該利用者情報および回線情報を用いて前記サイトアクセスを制御することを特徴とする請求項1に記載のサービスシステム。 The user information transmitting means transmits the line information to the service provider device in addition to the user information,
The access control means, when receiving the line information in addition to the user information from the network operator device, controls the site access using the user information and the line information. Item 4. The service system according to Item 1.
前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者情報に加えて前記有効期限情報を受信した場合に、当該有効期限情報に示される有効期限を満たすことを条件に、前記利用者情報を用いて前記サイトアクセスを制御することを特徴とする請求項1に記載のサービスシステム。 In addition to the user information, the user information transmitting means transmits expiration date information indicating an expiration date of the user information to the service provider device,
When the access control means receives the expiration date information in addition to the user information from the network operator device, the access control means sets the user information on the condition that the expiration date indicated in the expiration date information is satisfied. The service system according to claim 1, wherein the site access is controlled by using the service system.
前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者情報に加えて前記電子署名を受信した場合に、当該電子署名が正当であることを条件に、前記利用者情報を用いて前記サイトアクセスを制御することを特徴とする請求項1に記載のサービスシステム。 The user information transmission means transmits, in addition to the user information, an electronic signature signed by the network operator device to the service operator device,
The access control means, when receiving the electronic signature in addition to the user information from the network operator device, uses the user information to access the site on the condition that the electronic signature is valid. The service system according to claim 1, wherein the service system is controlled.
前記利用者情報取得要求送信手段は、前記利用者情報取得要求に加えて、前記電子署名を前記ネットワーク事業者装置に送信することを特徴とする請求項1に記載のサービスシステム。 The user information transmission means, on receiving the electronic signature signed by the service provider device in addition to the user information acquisition request from the service provider device, on condition that the electronic signature is valid And transmitting the user information to the service provider device,
The service system according to claim 1, wherein the user information acquisition request transmission unit transmits the electronic signature to the network operator device in addition to the user information acquisition request.
前記ネットワーク事業者装置は、
前記ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶する利用者情報記憶工程と、
前記サービス事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者情報の取得を要求する利用者情報取得要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得する回線情報取得工程と、
前記回線情報取得工程によって取得された回線情報に対応付けられた利用者情報を前記利用者情報記憶工程から取得し、前記利用者装置を経由するリダイレクト通信によって当該利用者情報を前記サービス事業者装置に送信する利用者情報送信工程と、
前記サービス事業者装置は、
前記利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者情報の取得を要求する利用者情報取得要求を前記ネットワーク事業者装置に送信する利用者情報取得要求送信工程と、
前記ネットワーク事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者情報を受信した場合に、当該利用者情報を用いて前記サイトアクセスを制御するアクセス制御工程と、
を含んだことを特徴とするサービスシステム制御方法。 A service system control method for controlling a service system in which a network operator device that controls network connection by a user device and a service operator device that controls site access by the user device are connected via a network. And
The network operator device is:
A user information storage step of storing user information related to a user of a user device permitted to be connected to the network in association with line information related to a line to which the user device is connected;
The line to which the user device is connected when a user information acquisition request for requesting acquisition of user information of the user device is received from the service provider device by redirect communication via the user device Line information acquisition process for acquiring line information about
User information associated with the line information acquired in the line information acquisition step is acquired from the user information storage step, and the user information is obtained by the redirect communication via the user device. A user information transmission process to be transmitted to
The service provider device is:
When a site access request is received from the user device, the network operator device issues a user information acquisition request for requesting acquisition of user information of the user device by redirect communication via the user device. A user information acquisition request transmission step to be transmitted to,
An access control step of controlling the site access using the user information when the user information of the user device is received from the network operator device by redirect communication via the user device;
A service system control method comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006188491A JP4551367B2 (en) | 2006-07-07 | 2006-07-07 | Service system and service system control method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006188491A JP4551367B2 (en) | 2006-07-07 | 2006-07-07 | Service system and service system control method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008015934A true JP2008015934A (en) | 2008-01-24 |
JP4551367B2 JP4551367B2 (en) | 2010-09-29 |
Family
ID=39072857
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006188491A Active JP4551367B2 (en) | 2006-07-07 | 2006-07-07 | Service system and service system control method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4551367B2 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009289175A (en) * | 2008-05-30 | 2009-12-10 | Fuji Xerox Co Ltd | Information processing device, authentication system, and program |
JP4892008B2 (en) * | 2007-02-07 | 2012-03-07 | 日本電信電話株式会社 | Certificate authentication method, certificate issuing device, and authentication device |
JP2012073754A (en) * | 2010-09-28 | 2012-04-12 | Nippon Telegr & Teleph Corp <Ntt> | Authentication system and authentication method |
JP2013105250A (en) * | 2011-11-11 | 2013-05-30 | Kddi Corp | Access line specification/authentication system |
JP2018526718A (en) * | 2015-06-23 | 2018-09-13 | ベリタス テクノロジーズ エルエルシー | System and method for centralized configuration and authentication |
US10757104B1 (en) | 2015-06-29 | 2020-08-25 | Veritas Technologies Llc | System and method for authentication in a computing system |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005339093A (en) * | 2004-05-26 | 2005-12-08 | Nippon Telegr & Teleph Corp <Ntt> | Authentication method, authentication system, authentication proxy server, network access authenticating server, program, and storage medium |
-
2006
- 2006-07-07 JP JP2006188491A patent/JP4551367B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005339093A (en) * | 2004-05-26 | 2005-12-08 | Nippon Telegr & Teleph Corp <Ntt> | Authentication method, authentication system, authentication proxy server, network access authenticating server, program, and storage medium |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4892008B2 (en) * | 2007-02-07 | 2012-03-07 | 日本電信電話株式会社 | Certificate authentication method, certificate issuing device, and authentication device |
US8775796B2 (en) | 2007-02-07 | 2014-07-08 | Nippon Telegraph And Telephone Corporation | Certificate authenticating method, certificate issuing device, and authentication device |
JP2009289175A (en) * | 2008-05-30 | 2009-12-10 | Fuji Xerox Co Ltd | Information processing device, authentication system, and program |
JP4518190B2 (en) * | 2008-05-30 | 2010-08-04 | 富士ゼロックス株式会社 | Information processing apparatus, authentication system, and program |
US8424066B2 (en) | 2008-05-30 | 2013-04-16 | Fuji Xerox Co., Ltd. | Information processing apparatus, authentication system, information processing method and storage medium |
JP2012073754A (en) * | 2010-09-28 | 2012-04-12 | Nippon Telegr & Teleph Corp <Ntt> | Authentication system and authentication method |
JP2013105250A (en) * | 2011-11-11 | 2013-05-30 | Kddi Corp | Access line specification/authentication system |
JP2018526718A (en) * | 2015-06-23 | 2018-09-13 | ベリタス テクノロジーズ エルエルシー | System and method for centralized configuration and authentication |
US10757104B1 (en) | 2015-06-29 | 2020-08-25 | Veritas Technologies Llc | System and method for authentication in a computing system |
Also Published As
Publication number | Publication date |
---|---|
JP4551367B2 (en) | 2010-09-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4551369B2 (en) | Service system and service system control method | |
US9800586B2 (en) | Secure identity federation for non-federated systems | |
US8683565B2 (en) | Authentication | |
JP5614340B2 (en) | System, authentication information management method, and program | |
JP4579546B2 (en) | Method and apparatus for handling user identifier in single sign-on service | |
RU2273107C2 (en) | Method, system and computer device for providing communication services between resources in communication networks and internet to perform transactions | |
JP5458888B2 (en) | Certificate generation / distribution system, certificate generation / distribution method, and program | |
JP4980879B2 (en) | Automatic remote site download on geographic drive | |
CN101350717B (en) | Method and system for logging on third party server through instant communication software | |
CN100339781C (en) | Efficient browser-based identity management providing personal control and anonymity | |
WO2013099065A1 (en) | Authentication coordination system and id provider device | |
JP2003022253A (en) | Server, information processor, its access control system and method | |
US9232338B1 (en) | Server-paid internet access service | |
JP2002032216A (en) | Hosting device for application | |
CN102171984A (en) | Service provider access | |
KR20040069339A (en) | Method and system for secure handling of electronic business transactions on the internet | |
JP4551367B2 (en) | Service system and service system control method | |
CN103220261A (en) | Proxy method, device and system of open authentication application program interface | |
US9894057B2 (en) | Method and system for managing secure custom domains | |
JP4932154B2 (en) | Method and system for providing user authentication to a member site in an identity management network, method for authenticating a user at a home site belonging to the identity management network, computer readable medium, and system for hierarchical distributed identity management | |
CN113922982A (en) | Login method, electronic device and computer-readable storage medium | |
JP2008282212A (en) | Authentication device and authentication system | |
CN113411324B (en) | Method and system for realizing login authentication based on CAS and third-party server | |
JP4551368B2 (en) | Service system and service system control method | |
JP5632429B2 (en) | Service authentication method and system for building a closed communication environment in an open communication environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100427 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100621 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100706 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100709 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4551367 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130716 Year of fee payment: 3 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |