JP2008067104A - Access relay apparatus, access relay system and access relaying method - Google Patents

Access relay apparatus, access relay system and access relaying method Download PDF

Info

Publication number
JP2008067104A
JP2008067104A JP2006243369A JP2006243369A JP2008067104A JP 2008067104 A JP2008067104 A JP 2008067104A JP 2006243369 A JP2006243369 A JP 2006243369A JP 2006243369 A JP2006243369 A JP 2006243369A JP 2008067104 A JP2008067104 A JP 2008067104A
Authority
JP
Japan
Prior art keywords
session
connection
terminal device
access relay
session information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006243369A
Other languages
Japanese (ja)
Other versions
JP4683655B2 (en
Inventor
Masayoshi Fukazawa
真義 深澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
MUFG Bank Ltd
Original Assignee
Bank of Tokyo Mitsubishi UFJ Trust Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bank of Tokyo Mitsubishi UFJ Trust Co filed Critical Bank of Tokyo Mitsubishi UFJ Trust Co
Priority to JP2006243369A priority Critical patent/JP4683655B2/en
Publication of JP2008067104A publication Critical patent/JP2008067104A/en
Application granted granted Critical
Publication of JP4683655B2 publication Critical patent/JP4683655B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an access relay apparatus or the like which eliminates the need of reauthentication even if communication paths are switched during using one and the same terminal when using a service needing authentication and can adopt an authentication method with high security strength using an electronic certificate even when a cellular phone or the like is used as a terminal. <P>SOLUTION: The access relay apparatus is provided between a portable terminal and a service providing device for providing a service such as Internet banking, and the access relay apparatus is configured so as to take over a session even when a communication path from the portable terminal is switched to thereby be able to continuously use a service without requiring reauthentication. Further, the access relay apparatus is configured so as to store the electronic certificate of each user to thereby be able to adopt authentication using the electronic certificate even in access from the portable terminal. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、携帯電話網と無線LANなどの2以上の通信経路を介して接続可能な端末装置からのアクセスを受け付けて、インターネットバンキングシステムなどのサービス提供装置との接続を中継するためのアクセス中継装置、アクセス中継システム、及びアクセス中継方法に関するものである。   The present invention accepts an access from a terminal device that can be connected to a mobile phone network via two or more communication paths such as a wireless LAN, and relays the connection with a service providing device such as an Internet banking system. The present invention relates to an apparatus, an access relay system, and an access relay method.

インターネットを利用したネットバンキングサービスでは、携帯電話やPHS端末などの携帯端末を用いて取引を行うことが可能となっていることが一般的である。携帯端末からインターネットに接続するための通信経路としては、携帯電話網やPHS網を利用し、パケット通信によって通信を行うことが主流となっているが、近年は無線LAN通信の機能を備えた携帯端末も普及するようになっている。   In the net banking service using the Internet, it is generally possible to conduct transactions using a mobile terminal such as a mobile phone or a PHS terminal. As a communication path for connecting a mobile terminal to the Internet, communication by packet communication using a mobile phone network or a PHS network has become the mainstream, but in recent years, a mobile phone having a wireless LAN communication function has been used. Terminals are also becoming popular.

携帯電話網やPHS網を利用したパケット通信機能と無線LANを利用した無線LAN通信機能の双方を備えた携帯端末では、携帯端末を使用する場所において利用可能な通信経路を選択し、通信経路を自動的に切り替える機能を備えるものが一般的となっている。このような携帯端末を用いて、サービスの提供を受けるのに本人認証が必要なネットバンキングサービスを利用すると、複数の通信経路から同一セッションにおけるアクセスを受け付けることはセッションIDが盗まれるリスクが高まるなどセキュリティ上の理由から好ましくないため、通信経路が切り替わるたびにインターネットバンキングシステムとのセッションが切断され、その都度ユーザの本人認証が要求され、認証情報を入力する手間がかかるという問題が生じることが多い。   In a portable terminal having both a packet communication function using a mobile phone network and a PHS network and a wireless LAN communication function using a wireless LAN, a communication path that can be used in a place where the mobile terminal is used is selected, and a communication path is selected. What has the function to switch automatically is common. When using such a mobile terminal and using a net banking service that requires personal authentication to receive service provision, accepting access in the same session from multiple communication paths increases the risk of session ID being stolen, etc. This is not desirable for security reasons, and each time the communication path is switched, the session with the Internet banking system is disconnected, and each time a user authentication is required, it often takes time to input authentication information. .

同一のユーザからのアクセスについて、異なる通信経路や端末からのアクセスを同一のセッションとして管理することによって認証情報入力の手間を省き、ユーザの利便性を高める方法として、例えば、異なる端末からの異なる通信経路からのアクセスについて、認証の一致を前提に同一セッションによる通信を維持する発明(特許文献1参照)や、シリアル番号のような端末固有のID情報に基づいて通信を確立する発明(特許文献2参照)が開示されている。   For access from the same user, management of access from different communication paths and terminals as the same session eliminates the trouble of inputting authentication information and improves user convenience, for example, different communication from different terminals. An invention that maintains communication through the same session on the premise of matching authentication for access from a route (see Patent Document 1), or an invention that establishes communication based on terminal-specific ID information such as a serial number (Patent Document 2) Reference).

特開2004−157973号公報JP 2004-157773 A 再公表04−21086号公報No. 04-21086

特許文献1記載の発明は、異なる端末からのアクセスを同一セッションとして管理するものであり、上記のように認証の必要なサービスを利用している際に、同一の端末を使用しながら通信経路が切り替わるようなケースには適用することができない。また、特許文献2記載の発明も、異なるIDを保有する端末間でのセッションを管理するものなので、同一の端末の使用を継続していることが前提となる上記のようなケースには適用することができない。   The invention described in Patent Document 1 manages accesses from different terminals as the same session, and when using a service that requires authentication as described above, a communication path is used while using the same terminal. It cannot be applied to cases that switch. In addition, the invention described in Patent Document 2 also manages sessions between terminals having different IDs, and thus is applied to the above-described case where it is assumed that the use of the same terminal is continued. I can't.

その他にも、携帯端末を利用して本人認証の必要なサービスを利用する際には、端末の機能の制約等によって、ユーザIDとパスワード入力による認証のような比較的セキュリティ強度の低い認証方法が採用されていることが一般的であるが、携帯端末を利用する際にもよりセキュリティ強度の高い認証方法の採用が求められる場合がある。   In addition, when using a service that requires personal authentication using a mobile terminal, an authentication method with a relatively low security strength such as authentication by entering a user ID and a password is available due to restrictions on the function of the terminal. Although it is generally adopted, there is a case where an authentication method with higher security strength is required even when a mobile terminal is used.

例えば、PC等を端末として利用する場合に、電子証明書による端末の特定を要求することがセキュリティポリシーとして定められているようなケースでは、携帯端末を利用する場合にも同程度の認証方法を採用することが好ましい。しかしながら、携帯端末では端末の機能の制約から電子証明書方式を採用することは難しく、携帯端末によって可能な取引が照会系等のみに制約されてしまうという問題が生じる。   For example, when a PC is used as a terminal and the security policy requires that the terminal be specified by an electronic certificate, a similar authentication method can be used when using a portable terminal. It is preferable to adopt. However, it is difficult for a mobile terminal to adopt an electronic certificate method due to restrictions on the function of the terminal, and there is a problem that transactions that can be performed by the mobile terminal are limited only to the inquiry system.

本発明は、このような課題に対応するためになされたものであり、認証の必要なサービスの利用時に同一の端末を使用しながら通信経路が切り替わるようなケースにおいて、通信経路の切り替わりの際の再認証を不要とするとともに、携帯電話等を端末として利用する場合にも、電子証明書を用いたセキュリティ強度の高い認証方法を採用することが可能な、携帯電話網と無線LANなどの2以上の通信経路を介して接続可能な端末装置からのアクセスを受け付けて、インターネットバンキングシステムなどのサービス提供装置との接続を中継するアクセス中継装置、アクセス中継システム、及びアクセス中継方法を提供することを目的とするものである。   The present invention has been made to cope with such a problem, and in the case where the communication path is switched while using the same terminal when using a service requiring authentication, the communication path is switched. 2 or more, such as a mobile phone network and a wireless LAN, which can employ a high security strength authentication method using an electronic certificate even when a re-authentication is unnecessary and a mobile phone or the like is used as a terminal. It is an object to provide an access relay device, an access relay system, and an access relay method that accept access from a terminal device that can be connected via a communication path and relay the connection with a service providing device such as an Internet banking system. It is what.

このような課題を解決する本発明は、2以上の通信経路を介して接続可能な端末装置からのアクセスを受け付けて、前記端末装置が接続を要求したサービス提供装置との接続を中継するアクセス中継装置であって、前記端末装置から、第1の通信経路を介して接続要求を受信して、前記端末装置との接続を確立する接続手段と、前記接続手段が接続を確立すると、前記接続により開始されるセッションを識別するための第1のセッション情報を、接続が継続しているセッションとしてセッション情報記憶部に記憶させる手段と、前記セッションにおいて、前記第1のセッション情報を前記端末装置に送信する送信手段と、第2の通信経路の接続局に接続した前記端末装置から、前記第1の通信経路を介してセッション情報の切替要求を受信する受信手段と、前記切替要求を受信すると、前記切替要求に前記第1のセッション情報が付されている場合には、前記第2の通信経路を介した前記端末装置との第2の接続により開始されるセッションを識別するための第2のセッション情報を、接続が継続しているセッションとして前記セッション情報記憶部に記憶させる手段と、前記第2のセッション情報を、前記第1の通信経路を介して前記端末装置に送信する送信手段と、前記端末装置から、セッション情報が付された前記サービス提供装置に対するリクエストを受信すると、前記セッション情報が接続が継続しているセッションとして前記セッション情報記憶部に記憶されているかを照合する照合手段と、前記照合手段により前記セッション情報が接続が継続しているセッションとして記憶されていることが確認されると、前記サービス提供装置との中継モジュールを呼び出す呼出手段と、を備えることを特徴とするアクセス中継装置である。   The present invention that solves such a problem is an access relay that accepts access from a terminal device that can be connected via two or more communication paths and relays the connection with the service providing device that the terminal device has requested to connect to. A connection means for receiving a connection request from the terminal device via a first communication path and establishing a connection with the terminal device; and when the connection means establishes a connection, Means for storing first session information for identifying a session to be started in a session information storage unit as a session in which connection is continued; and transmitting the first session information to the terminal device in the session A session information switching request is received via the first communication path from the transmitting means for transmitting and the terminal device connected to the connection station of the second communication path. When receiving the switching request and receiving means, and the first session information is attached to the switching request, start by a second connection with the terminal device via the second communication path Means for storing second session information for identifying a session to be stored in the session information storage unit as a session in which connection is continued, and the second session information via the first communication path. When receiving a request from the terminal device to the service providing device to which session information is attached, the session information is stored in the session information storage unit as a session in which connection is continued. Collating means for collating whether stored, and a session in which the session information is continuously connected by the collating means; If it is determined that the stored Te, an access relay apparatus characterized by comprising: a calling means for calling the relay module of the service providing device.

本発明では、携帯電話等の端末装置とインターネットバンキング等のサービスを提供するサービス提供装置との間にアクセス中継装置を設け、アクセス中継装置において端末装置からの通信経路が切り替わった際にもセッションが引き継がれるよう構成することによって、連続してサービスを利用することが可能となっている。   In the present invention, an access relay device is provided between a terminal device such as a mobile phone and a service providing device that provides services such as Internet banking, and a session is also generated when a communication path from the terminal device is switched in the access relay device. By configuring so that it can be taken over, it is possible to use the service continuously.

本発明において、端末装置には携帯電話やPHS端末のように、2以上の通信経路を介してインターネット等のネットワークに接続可能な端末装置が用いられる。アクセス中継装置への通信経路には、携帯電話網やPHS網と、無線LAN等が用いられる。サービス提供装置には、端末装置からのリクエストに応じて情報の配信処理や取引の受付処理を行う、インターネットバンキング等のサービスに用いられる、Webサーバやアプリケーションサーバ等が該当する。   In the present invention, a terminal device that can be connected to a network such as the Internet via two or more communication paths is used as the terminal device, such as a mobile phone or a PHS terminal. For the communication path to the access relay device, a cellular phone network, a PHS network, a wireless LAN, or the like is used. The service providing apparatus corresponds to a Web server, an application server, or the like used for services such as Internet banking that performs information distribution processing and transaction reception processing in response to a request from a terminal device.

また、本発明は、前記第2のセッション情報を送信手段によって前記端末装置に送信すると、前記セッション情報記憶部に接続が継続しているセッションとして記憶された第1のセッション情報を、接続が無効となったセッションにステータスを更新する更新手段を備えることを特徴とすることもできる。   Further, according to the present invention, when the second session information is transmitted to the terminal device by a transmission unit, the first session information stored as a session in which connection is continued in the session information storage unit is invalidated. It is also possible to provide an update means for updating the status of the session that has become.

このように構成すると、第1のセッション情報が第三者に盗用されて不正アクセスが行われるリスクを軽減することができる。   With this configuration, it is possible to reduce the risk that the first session information is stolen by a third party and unauthorized access is performed.

また、本発明は、端末装置を操作するユーザの認証情報を格納する第1の格納手段と、端末装置からの前記サービス提供装置に対するリクエストを受信すると、前記端末装置に認証情報の入力を要求する要求手段と、前記端末装置に入力された認証情報を受信すると、前記認証情報を前記第1の格納手段に格納された認証情報と照合して、操作権限を有する正規のユーザからのリクエストであるかを判定する判定手段と、を備えていて、前記接続手段は、前記判定手段によって正規のユーザからのリクエストであると判定された場合に前記端末装置との接続を確立することを特徴とすることもできる。   In addition, the present invention requests the terminal device to input authentication information when receiving a request for the service providing device from the terminal device and first storage means for storing authentication information of a user who operates the terminal device. Upon receipt of the authentication information input to the request means and the terminal device, the authentication information is compared with the authentication information stored in the first storage means, and is a request from a legitimate user having operation authority. Determining means for determining whether or not the connection means establishes a connection with the terminal device when the determination means determines that the request is from a legitimate user. You can also

このように構成すると、第1の通信経路を介した接続要求によって接続を確立する際に行われた認証結果を、第2の通信経路を介した接続に切り替える際にもそのまま引き継ぐことが可能になる。   If comprised in this way, it will become possible to take over the authentication result performed when establishing the connection by the connection request via the first communication path as it is when switching to the connection via the second communication path. Become.

また、本発明は、端末装置を操作するユーザが前記サービス提供装置との接続に用いる電子証明書を格納する第2の格納手段と、前記サービス提供装置と交信するためのアプリケーションプログラムを実行する実行手段と、を備えていて、前記実行手段が実行するアプリケーションプログラムは、前記呼出手段によって呼び出された中継モジュールにより起動され、前記アプリケーションプログラムは、前記第2の格納手段から読み出した電子証明書を用いて前記サービス提供装置との接続を確立することを特徴とすることもできる。   In addition, the present invention provides a second storage means for storing an electronic certificate used by a user operating a terminal device for connection to the service providing device, and an execution of executing an application program for communicating with the service providing device And an application program executed by the execution unit is activated by a relay module called by the calling unit, and the application program uses an electronic certificate read from the second storage unit It is also possible to establish a connection with the service providing apparatus.

このように構成すると、携帯電話等の機能に制約がある端末装置を用いたアクセスにおいても、電子証明書を用いたセキュリティ強度の高い認証方法を採用することが可能になる。   With this configuration, it is possible to adopt an authentication method with a high security strength using an electronic certificate even in access using a terminal device with limited functions such as a mobile phone.

さらに、本発明は、前述の各々の構成にかかるアクセス中継装置と端末装置に格納されるプログラムとからなるアクセス中継システムとして構成することもできる。   Furthermore, the present invention can also be configured as an access relay system including an access relay device according to each of the above-described configurations and a program stored in the terminal device.

つまり、本発明にかかるアクセス中継システムは、ネットワークに接続可能な端末装置に格納されるプログラムと、前記端末装置から2以上の通信経路を介してアクセスを受け付けることが可能であり、前記端末装置が接続を要求したサービス提供装置との接続を中継するアクセス中継装置からなるアクセス中継システムであって、前記アクセス中継装置は、前記端末装置から、第1の通信経路を介して接続要求を受信して、前記端末装置との接続を確立する接続手段と、前記接続手段が接続を確立すると、前記接続により開始されるセッションを識別するための第1のセッション情報を、接続が継続しているセッションとしてセッション情報記憶部に記憶させる手段と、前記セッションにおいて、前記第1のセッション情報を前記端末装置に送信する送信手段と、第2の通信経路の接続局に接続した前記端末装置から、前記第1の通信経路を介してセッション情報の切替要求を受信する受信手段と、前記切替要求を受信すると、前記切替要求に前記第1のセッション情報が付されている場合には、前記第2の通信経路を介した前記端末装置との第2の接続により開始されるセッションを識別するための第2のセッション情報を、接続が継続しているセッションとして前記セッション情報記憶部に記憶させる手段と、前記第2のセッション情報を、前記第1の通信経路を介して前記端末装置に送信する送信手段と、前記端末装置から、セッション情報が付された前記サービス提供装置に対するリクエストを受信すると、前記セッション情報が接続が継続しているセッションとして前記セッション情報記憶部に記憶されているかを照合する照合手段と、前記照合手段により前記セッション情報が接続が継続しているセッションとして記憶されていることが確認されると、前記サービス提供装置との中継モジュールを呼び出す呼出手段と、を備えていて、前記プログラムは、前記端末装置に、前記第2の通信経路の接続局に接続されたことを検出するステップと、前記第2の通信経路の接続局に接続されたことが検出されると、前記第1の通信経路を介した前記アクセス中継装置との接続が継続している場合には、前記第1の通信経路を介して前記アクセス中継装置に前記第1のセッション情報を付した前記切替要求を送信するステップと、前記アクセス中継装置から、前記第2のセッション情報を受信するステップと、前記第2のセッション情報を受信すると、前記サービス提供装置に対するリクエストを、前記第2の通信経路を介して前記第2のセッション情報を付して前記アクセス中継装置に送信するステップと、を実行させることを特徴とするアクセス中継システムである。   In other words, the access relay system according to the present invention can accept a program stored in a terminal device connectable to a network and two or more communication paths from the terminal device. An access relay system comprising an access relay device that relays a connection with a service providing device that has requested a connection, wherein the access relay device receives a connection request from the terminal device via a first communication path. A connection means for establishing a connection with the terminal device; and when the connection means establishes a connection, first session information for identifying a session started by the connection is set as a session in which the connection is continued. Means for storing in a session information storage unit; and in the session, the first session information is stored in the terminal device. When receiving the switching request, transmitting means for transmitting, receiving means for receiving a session information switching request via the first communication path from the terminal device connected to the connection station of the second communication path, When the first session information is attached to the switching request, a second for identifying a session started by a second connection with the terminal device via the second communication path Means for storing session information in the session information storage unit as a session in which connection is continued; and transmission means for transmitting the second session information to the terminal device via the first communication path; When a request for the service providing apparatus with the session information attached is received from the terminal device, the session information is pre-determined as a session in which connection is continued. A collation unit that collates whether the session information is stored in the session information storage unit; and when the collation unit confirms that the session information is stored as a session in which connection is continued, relay to the service providing apparatus Calling means for calling a module, wherein the program detects that the terminal device is connected to the connection station of the second communication path, and the connection station of the second communication path. When the connection to the access relay apparatus via the first communication path is continued, the access relay apparatus is connected to the access relay apparatus via the first communication path. Transmitting the switching request with the first session information, receiving the second session information from the access relay device, Receiving the second session information, transmitting the request to the service providing apparatus to the access relay apparatus with the second session information via the second communication path. This is an access relay system that is characterized.

本発明にかかるアクセス中継システムにおいて、前記アクセス中継装置は、前記第2のセッション情報を送信手段によって前記端末装置に送信すると、前記セッション情報記憶部に接続が継続しているセッションとして記憶された第1のセッション情報を、接続が無効となったセッションにステータスを更新する更新手段を備えることを特徴とすることもできる。   In the access relay system according to the present invention, when the access relay device transmits the second session information to the terminal device by a transmission unit, the access relay device stores the second session information stored in the session information storage unit as a session that is continuously connected. It is also possible to provide update means for updating the status of one session information to a session whose connection is invalidated.

本発明にかかるアクセス中継システムにおいて、前記アクセス中継装置は、端末装置を操作するユーザの認証情報を格納する第1の格納手段と、端末装置からの前記サービス提供装置に対するリクエストを受信すると、前記端末装置に認証情報の入力を要求する要求手段と、前記端末装置に入力された認証情報を受信すると、前記認証情報を前記第1の格納手段に格納された認証情報と照合して、操作権限を有する正規のユーザからのリクエストであるかを判定する判定手段と、を備えていて、前記接続手段は、前記判定手段によって正規のユーザからのリクエストであると判定された場合に前記端末装置との接続を確立することを特徴とすることもできる。   In the access relay system according to the present invention, the access relay device receives the request for the service providing device from the first storage means for storing authentication information of a user who operates the terminal device, and the terminal device. When the request means for requesting the apparatus to input authentication information and the authentication information input to the terminal apparatus are received, the authentication information is collated with the authentication information stored in the first storage means, and the operation authority is obtained. Determining means for determining whether the request is from a legitimate user, and when the determination means determines that the request is from a legitimate user by the determination means, It can also be characterized by establishing a connection.

本発明にかかるアクセス中継システムにおいて、前記アクセス中継装置は、端末装置を操作するユーザが前記サービス提供装置との接続に用いる電子証明書を格納する第2の格納手段と、前記サービス提供装置と交信するためのアプリケーションプログラムを実行する実行手段と、を備えていて、前記実行手段が実行するアプリケーションプログラムは、前記呼出手段によって呼び出された中継モジュールにより起動され、前記アプリケーションプログラムは、前記第2の格納手段から読み出した電子証明書を用いて前記サービス提供装置との接続を確立することを特徴とすることもできる。   In the access relay system according to the present invention, the access relay device communicates with the service providing device, second storage means for storing an electronic certificate used by the user operating the terminal device to connect to the service providing device. Execution means for executing an application program for executing, the application program executed by the execution means is started by a relay module called by the calling means, and the application program is stored in the second storage A connection with the service providing apparatus may be established using an electronic certificate read from the means.

さらに、本発明は、前述の各々の構成にかかるアクセス中継装置と端末装置とによって実行されるアクセス中継方法として特定することもできる。   Furthermore, the present invention can also be specified as an access relay method executed by the access relay device and the terminal device according to each of the above-described configurations.

つまり、本発明にかかるアクセス中継方法は、ネットワークに接続可能な端末装置と、前記端末装置から2以上の通信経路を介してアクセスを受け付けることが可能であり、前記端末装置が接続を要求したサービス提供装置との接続を中継するアクセス中継装置と、によって実行されるアクセス中継方法であって、前記アクセス中継装置が、前記端末装置から第1の通信経路を介して接続要求を受信して、前記端末装置との接続を確立するステップと、前記アクセス中継装置が、前記ステップで接続を確立すると、前記接続により開始されるセッションを識別するための第1のセッション情報を、接続が継続しているセッションとしてセッション情報記憶部に記憶させるステップと、前記アクセス中継装置が、前記セッションにおいて、前記第1のセッション情報を前記端末装置に送信するステップと、前記端末装置が、第2の通信経路の接続局に接続されたことを検出するステップと、前記端末装置が、前記第2の通信経路の接続局に接続されたことを検出すると、前記第1の通信経路を介した前記アクセス中継装置との接続が継続している場合には、前記第1の通信経路を介して前記アクセス中継装置に前記第1のセッション情報を付したセッション情報の切替要求を送信するステップと、前記アクセス中継装置が、前記端末装置から、前記第1の通信経路を介して前記切替要求を受信するステップと、前記アクセス中継装置が、前記切替要求を受信すると、前記切替要求に前記第1のセッション情報が付されている場合には、前記第2の通信経路を介した前記端末装置との第2の接続により開始されるセッションを識別するための第2のセッション情報を、接続が継続しているセッションとして前記セッション情報記憶部に記憶させるステップと、前記アクセス中継装置が、前記第2のセッション情報を前記第1の通信経路を介して前記端末装置に送信するステップと、前記端末装置が、前記アクセス中継装置から前記第2のセッション情報を受信するステップと、前記端末装置が、前記第2のセッション情報を受信すると、前記サービス提供装置に対するリクエストを、前記第2の通信経路を介して前記第2のセッション情報を付して前記アクセス中継装置に送信するステップと前記アクセス中継装置が、前記端末装置から、セッション情報が付された前記サービス提供装置に対するリクエストを受信すると、前記セッション情報が接続が継続しているセッションとして前記セッション情報記憶部に記憶されているかを照合するステップと、前記アクセス中継装置が、前記ステップで前記セッション情報が接続が継続しているセッションとして記憶されていることを確認すると、前記サービス提供装置との中継モジュールを呼び出すステップと、を有することを特徴とするアクセス中継方法である。   In other words, the access relay method according to the present invention is capable of accepting access from a terminal device connectable to a network and two or more communication paths from the terminal device, and the service requested by the terminal device to be connected. An access relay method performed by an access relay device that relays a connection with a providing device, wherein the access relay device receives a connection request from the terminal device via a first communication path, and A step of establishing a connection with the terminal device, and when the access relay device establishes the connection in the step, the connection continues with first session information for identifying a session started by the connection Storing in the session information storage unit as a session, and the access relay device in the session, the 1 session information is transmitted to the terminal device, the terminal device is detected to be connected to a connection station of a second communication path, and the terminal device is connected to the second communication path. When it is detected that the access station is connected to the access station, if the connection with the access relay apparatus via the first communication path is continued, the access relay apparatus is connected via the first communication path. Transmitting a session information switching request with the first session information, the access relay device receiving the switching request from the terminal device via the first communication path; When the access relay apparatus receives the switching request, if the first session information is attached to the switching request, the access relay apparatus communicates with the terminal apparatus via the second communication path. Storing the second session information for identifying a session started by the connection in the session information storage unit as a session in which the connection is continued, and the access relay device includes the second session information. Is transmitted to the terminal device via the first communication path, the terminal device receives the second session information from the access relay device, and the terminal device When receiving the session information, a step of transmitting a request to the service providing apparatus to the access relay apparatus with the second session information via the second communication path, and the access relay apparatus includes the terminal When receiving a request for the service providing apparatus with the session information from the apparatus, Checking whether session information is stored in the session information storage unit as a session in which connection is continued, and the access relay device stores the session information as a session in which connection is continued in the step If it is confirmed, the access relay method includes a step of calling a relay module with the service providing apparatus.

本発明にかかるアクセス中継方法において、前記アクセス中継装置が、前記第2のセッション情報を前記端末装置に送信すると、前記セッション情報記憶部に接続が継続しているセッションとして記憶された第1のセッション情報を、接続が無効となったセッションにステータスを更新するステップを有することを特徴とすることもできる。   In the access relay method according to the present invention, when the access relay device transmits the second session information to the terminal device, the first session stored as a session in which connection is continued in the session information storage unit The information can also be characterized as having a step of updating the status to a session whose connection has become invalid.

本発明にかかるアクセス中継方法において、前記アクセス中継装置には、端末装置を操作するユーザの認証情報を格納する第1の格納部が備えられ、前記アクセス中継装置が、端末装置からの前記サービス提供装置に対するリクエストを受信すると、前記端末装置に認証情報の入力を要求するステップと、前記端末装置が、前記端末装置に入力された認証情報を前記アクセス中継装置に送信するステップと、前記アクセス中継装置が、前記端末装置から前記認証情報を受信すると、前記認証情報を前記第1の格納部に格納された認証情報と照合して、操作権限を有する正規のユーザからのリクエストであるかを判定するステップと、を有していて、前記端末装置との接続を確立するステップでは、前記認証情報の照合によって正規のユーザからのリクエストであると判定された場合に前記端末装置との接続を確立することを特徴とすることもできる。   In the access relay method according to the present invention, the access relay device includes a first storage unit that stores authentication information of a user who operates the terminal device, and the access relay device provides the service from the terminal device. Receiving a request for the device, requesting the terminal device to input authentication information, transmitting the authentication information input to the terminal device to the access relay device, and the access relay device When the authentication information is received from the terminal device, the authentication information is compared with the authentication information stored in the first storage unit to determine whether the request is from a legitimate user having an operation authority. And the step of establishing a connection with the terminal device is a legitimate user based on the verification of the authentication information. It may also be characterized to establish a connection with the terminal device when it is determined that the request.

本発明にかかるアクセス中継方法において、前記アクセス中継装置には、端末装置を操作するユーザが前記サービス提供装置との接続に用いる電子証明書を格納する第2の格納部が備えられ、前記アクセス中継装置が、前記サービス提供装置と交信するためのアプリケーションプログラムを実行するステップと、を有していて、前記アプリケーションプログラムは、前記中継モジュールを呼び出すステップにおいて呼び出された中継モジュールにより起動され、前記アプリケーションプログラムは、前記第2の格納部から読み出した電子証明書を用いて前記サービス提供装置との接続を確立することを特徴とすることもできる。   In the access relay method according to the present invention, the access relay device includes a second storage unit that stores an electronic certificate used by a user operating a terminal device to connect to the service providing device, and the access relay device A device executing an application program for communicating with the service providing device, wherein the application program is activated by the relay module called in the step of calling the relay module, and the application program May establish a connection with the service providing apparatus using an electronic certificate read from the second storage unit.

本発明によって、本人認証の必要なインターネットバンキング等のサービスを利用する際に、携帯電話等の端末装置を用いて携帯電話網と無線LANなどの2以上の通信経路が切り替わるようなケースにおいて、通信経路の切り替わりの際に再認証を不要とすることが可能になる。また、携帯電話等の機能に制約のある端末装置を利用する場合においても、電子証明書を用いたセキュリティ強度の高い認証方法を採用することが可能になる。   In the case where two or more communication paths such as a mobile phone network and a wireless LAN are switched using a terminal device such as a mobile phone when using a service such as Internet banking that requires personal authentication according to the present invention, communication is performed. It becomes possible to eliminate the need for re-authentication when the route is switched. In addition, even when a terminal device with limited functions such as a mobile phone is used, it is possible to adopt an authentication method with high security using an electronic certificate.

本発明を実施するための最良の形態について、図面を用いて以下に詳細に説明する。以下の説明では、本発明にかかるアクセス中継装置を、携帯電話網と無線LANを介してインターネットへの接続が可能な携帯電話機からのアクセスに適用する実施例について説明するが、かかる実施例は本発明を実施する一例であって、本発明は以下の実施形態に限定されるものではない。   The best mode for carrying out the present invention will be described below in detail with reference to the drawings. In the following description, an embodiment in which the access relay device according to the present invention is applied to access from a mobile phone that can be connected to the Internet via a mobile phone network and a wireless LAN will be described. It is an example for carrying out the invention, and the present invention is not limited to the following embodiment.

図1は、本発明にかかるアクセス中継装置の実施形態の一例を示す図である。図2は、本発明にかかるアクセス中継装置の構成を示すブロック図である。図3〜図9は、本発明にかかるアクセス中継装置による通信経路の切り替わりの際のセッションの引継ぎフローの一例を示す、それぞれ第1〜第7の図である。図10は、本発明にかかるアクセス中継システムの端末側の処理フローを示すフローチャートである。図11は、本発明にかかるアクセス中継システムのアクセス中継装置側の処理フローを示すフローチャートである。   FIG. 1 is a diagram showing an example of an embodiment of an access relay apparatus according to the present invention. FIG. 2 is a block diagram showing the configuration of the access relay apparatus according to the present invention. 3 to 9 are first to seventh diagrams showing examples of session takeover flow when the communication path is switched by the access relay apparatus according to the present invention, respectively. FIG. 10 is a flowchart showing a processing flow on the terminal side of the access relay system according to the present invention. FIG. 11 is a flowchart showing a processing flow on the access relay device side of the access relay system according to the present invention.

図1を用いて、本発明にかかるアクセス中継装置の概要について説明する。携帯電話機のユーザは、携帯電話網からインターネットに接続し、インターネットバンキングやインターネットショッピングなどのサービスを提供するサービス提供装置にアクセスすることによって、これらのサービスを利用することができる。本発明においては、携帯電話機は携帯電話網を利用したパケット通信のみでなく、無線LAN通信によってインターネットに接続することが可能な機能を備えているとともに、携帯電話機とサービス提供装置との通信は、アクセス中継装置によって中継される構成となっている。尚、携帯電話機に代えてPHS端末を用いる場合であれば、PHS端末はPHS網を利用したパケット通信のみでなく、無線LAN通信によってインターネットに接続することが可能な機能を備えることになる。   The outline of the access relay apparatus according to the present invention will be described with reference to FIG. A user of a mobile phone can use these services by connecting to the Internet from a mobile phone network and accessing a service providing apparatus that provides services such as Internet banking and Internet shopping. In the present invention, the mobile phone has not only packet communication using the mobile phone network but also a function capable of connecting to the Internet by wireless LAN communication, and communication between the mobile phone and the service providing device is as follows. It is configured to be relayed by an access relay device. If a PHS terminal is used instead of the mobile phone, the PHS terminal has a function capable of connecting to the Internet through wireless LAN communication as well as packet communication using the PHS network.

携帯電話機からのインターネットへの接続は、通常はカバーするエリアの広い携帯電話網を介して行われるが、無線LANへの接続が可能なエリアで携帯電話機を使用する場合は、無線LANを通じて接続が行われる。従って、無線LANへの接続が不可能なエリアから可能なエリアに移動した場合、逆に可能なエリアから不可能なエリアに移動した場合には、インターネットに接続する通信経路が自動的に切り替わることになる。   Connection from the mobile phone to the Internet is usually made through a mobile phone network with a wide coverage area. However, when a mobile phone is used in an area where connection to a wireless LAN is possible, the connection is made through the wireless LAN. Done. Therefore, when moving from an area where connection to a wireless LAN is impossible to an area where possible, or when moving from an area where connection to the wireless LAN is impossible, the communication path for connecting to the Internet is automatically switched. become.

サービス提供装置において、認証を行ったユーザがログインした後に情報提供や取引の受け付けなどのサービスをいっている場合には、ログインを行った携帯電話機との間でセッション管理が行われることになる。セッションが維持された状態で携帯電話機とサービス提供装置との間で通信が行われている際に、上記のような通信経路の切り替えが発生すると、セキュリティ上の理由から該セッションが切断される場合があり、このような場合に新たな通信経路からのアクセスは、認証を受けていない新たなアクセスとして受け付けられることになる。そのため、ユーザの本人認証を条件にサービス提供装置とのセッションが確立される場合であれば、通信経路の切り替えに伴って、ユーザはIDとパスワードの入力などの認証操作を再度行わなければならないことになってしまう。   In the service providing apparatus, when a user who has performed authentication performs a service such as providing information or accepting a transaction after logging in, session management is performed with the mobile phone that has performed the login. When the communication is switched between the mobile phone and the service providing apparatus while the session is maintained, if the communication path is switched as described above, the session is disconnected for security reasons. In such a case, access from a new communication path is accepted as new access that has not been authenticated. Therefore, if a session with the service providing apparatus is established on the condition of user authentication, the user must perform authentication operation such as input of ID and password again when the communication path is switched. Become.

そこで、本発明においては、携帯電話機とサービス提供装置の間の通信をアクセス中継装置において中継し、携帯電話機からの通信経路が切り替わった際にはアクセス中継装置においてセッションを引き継ぐように管理することによって、再認証を行うことなくサービスの利用を継続することを可能にしている。また、アクセス中継装置において携帯電話機を用いてアクセスしたユーザの本人認証を行い、ユーザがサービス提供装置にアクセスする際の本人認証に用いる電子証明書をアクセス中継装置に格納しておくことによって、携帯電話機を利用してサービス提供装置にアクセスする場合であっても、電子証明書を用いたセキュリティ強度の高い認証方法を採用することが可能になる。   Therefore, in the present invention, the communication between the mobile phone and the service providing device is relayed by the access relay device, and when the communication path from the mobile phone is switched, the access relay device manages to take over the session. This makes it possible to continue using the service without re-authentication. Further, the access relay device authenticates the user who accessed using the mobile phone, and stores the electronic certificate used for the user authentication when the user accesses the service providing device in the access relay device, thereby Even when the service providing apparatus is accessed using a telephone, it is possible to adopt an authentication method with high security using an electronic certificate.

アクセス中継装置とサービス提供装置の通信経路については特に限定されるものではなく、アクセス中継装置が特定のサービス提供装置のみに用いられるものであれば、専用回線で接続してもよいし、物理的に併設されているものであってもよい。一方、アクセス中継装置が幅広いサービス提供装置を対象に共用できるように構成する場合は、インターネットによって接続されるのが通常である。   The communication path between the access relay device and the service providing device is not particularly limited. If the access relay device is used only for a specific service providing device, it may be connected by a dedicated line or physically. It may be attached to. On the other hand, when the access relay apparatus is configured to be shared by a wide range of service providing apparatuses, it is usually connected via the Internet.

図2を用いて、本発明にかかるアクセス中継装置と、携帯電話機及びサービス提供装置の構成について説明する。本発明において用いられる携帯電話機10には、電文送受信部11、通信電文制御部12、操作情報入出力部13、セッション管理部14、認証情報管理部15を含んで構成されている。尚、これらの各部は機能的に特定されるものであり、物理的な構成は特に限定されるものではない。例えば、各部の機能を実行するプログラムを携帯電話機のメインメモリに読み出して、CPUで演算処理を実行するものであってもよいし、各々の機能を実行するためのチップやボードなどを設けるものであってもよい。   The configuration of the access relay apparatus according to the present invention, the mobile phone, and the service providing apparatus will be described with reference to FIG. The cellular phone 10 used in the present invention includes a message transmission / reception unit 11, a communication message control unit 12, an operation information input / output unit 13, a session management unit 14, and an authentication information management unit 15. Each of these units is functionally specified, and the physical configuration is not particularly limited. For example, a program for executing the function of each unit may be read out to the main memory of the mobile phone and the CPU may execute arithmetic processing, or a chip or a board for executing each function may be provided. There may be.

電文送受信部11は、携帯電話基地局20や無線LAN接続局30との間のパケット通信を制御する機能を有していて、接続可能な通信経路を電波状況から検出し、無線LAN接続局30への接続が可能な場合は無線LANを、接続が不可能な場合には携帯電話網を介して、電文の送受信を行う。通信電文制御部12は、電文送受信部11が受信した電文を解釈して様々な処理を実行するとともに、サービス提供装置50に送信する電文を電文送受信部11に引き渡す機能等を有している。   The message transmission / reception unit 11 has a function of controlling packet communication with the mobile phone base station 20 and the wireless LAN connection station 30, detects a connectable communication path from a radio wave condition, and wireless LAN connection station 30. When connection to the network is possible, a wireless LAN is transmitted, and when connection is impossible, a message is transmitted / received via the cellular phone network. The communication message control unit 12 interprets a message received by the message transmission / reception unit 11 and executes various processes, and has a function of delivering a message to be transmitted to the service providing apparatus 50 to the message transmission / reception unit 11.

操作情報入出力部13は、受信した電文から生成した画面を携帯電話機10のディスプレイに表示したり、携帯電話機10のキーボードを操作して入力されたIDやパスワードなどの情報を受け付けたりする機能等を有している。セッション管理部14は、本発明に固有のものであって、アクセス中継装置から送信されたセッションIDの記憶、通信経路が切り替わった際の新たなセッションIDの送信要求、アクセス中継装置を介してサービス提供装置にリクエストを送信する際のセッションIDの付与などの機能を有している。認証情報管理部15は、ユーザの利便性を高めるために設けられるもので、サービス提供装置へのアクセスに必要な認証情報を記憶して、入力時に参照したり、自動的に認証情報を入力したりする機能等を有している。   The operation information input / output unit 13 has a function of displaying a screen generated from the received electronic message on the display of the mobile phone 10, receiving information such as an ID and a password input by operating the keyboard of the mobile phone 10, etc. have. The session management unit 14 is unique to the present invention and stores the session ID transmitted from the access relay device, a new session ID transmission request when the communication path is switched, and the service via the access relay device. It has a function of giving a session ID when transmitting a request to the providing apparatus. The authentication information management unit 15 is provided to improve the convenience of the user, stores authentication information necessary for accessing the service providing apparatus, and refers to it when inputting it or automatically inputs the authentication information. It has a function etc.

本発明において用いられるアクセス中継装置40には、インターネットを介したデータ通信機能を備えたコンピュータシステムが用いられ、電文送受信部41、通信電文制御部42、認証管理部43、セッション管理部44、中継モジュール管理部45、セッション情報記憶部46、クライアントアプリケーション実行部47、認証管理部48、電子証明書記憶部49を含んで構成されている。尚、これらの各部も携帯電話機10と同様に機能的に特定されるものであり、物理的な構成は特に限定されるものではない。例えば、各部の機能を実行するプログラムをアクセス中継装置40のメインメモリに読み出して、CPUで演算処理を実行するものであってもよいし、各々の機能を実行するためのチップやボードなどを設けるものであってもよい。   As the access relay device 40 used in the present invention, a computer system having a data communication function via the Internet is used, and a message transmission / reception unit 41, a communication message control unit 42, an authentication management unit 43, a session management unit 44, a relay The module management unit 45 includes a session information storage unit 46, a client application execution unit 47, an authentication management unit 48, and an electronic certificate storage unit 49. These units are also functionally specified in the same manner as the mobile phone 10, and the physical configuration is not particularly limited. For example, the program for executing the function of each unit may be read into the main memory of the access relay device 40 and the CPU may execute the arithmetic processing, or a chip or board for executing each function may be provided. It may be a thing.

電文送受信部41は、インターネットを介したデータ通信を制御して、電文の送受信を行う機能を有している。通信電文制御部42は、電文送受信部41が受信した電文を解釈して様々な処理を実行するとともに、携帯電話機10に返信する処理結果を電文送受信部11に引き渡す機能等を有している。   The message transmission / reception unit 41 has a function of transmitting and receiving messages by controlling data communication via the Internet. The communication message control unit 42 interprets the message received by the message transmission / reception unit 41 and executes various processes, and also has a function of delivering the processing result returned to the mobile phone 10 to the message transmission / reception unit 11.

認証管理部43は、携帯電話機10を操作するユーザの本人認証のための処理を実行する機能を有している。ここで用いられる認証方式は特に限定されるものではないが、例えば、ユーザIDとパスワードによって本人認証を行う場合は、正規のユーザのユーザIDとパスワードが認証管理部43に記憶されていて、携帯電話機10から受信したユーザIDとパスワードが予め記憶されているものと一致するか否かによって、認証処理を実行する。   The authentication management unit 43 has a function of executing processing for user authentication of the user who operates the mobile phone 10. The authentication method used here is not particularly limited. For example, in the case where user authentication is performed using a user ID and a password, the user ID and password of a legitimate user are stored in the authentication management unit 43, and the mobile Authentication processing is executed depending on whether the user ID and password received from the telephone 10 match those stored in advance.

セッション管理部44は、携帯電話機10との間で確立したセッションを管理する機能を有している。認証管理部43によって本人認証が行われると、携帯電話機10とアクセス中継装置40の間のセッションが確立される。該セッションを識別するためのセッションIDが発行され、該セッションIDを接続が継続している有効なセッションとしてセッション情報記憶部46に記憶させる。また、該セッションIDは携帯電話機10に引き渡され、携帯電話機10からアクセス提供装置を介したサービス提供装置に対するリクエストを送信する際には、該セッションIDが付されることになる。   The session management unit 44 has a function of managing a session established with the mobile phone 10. When the authentication management unit 43 authenticates the user, a session between the mobile phone 10 and the access relay device 40 is established. A session ID for identifying the session is issued, and the session ID is stored in the session information storage unit 46 as a valid session in which connection is continued. Further, the session ID is delivered to the mobile phone 10, and the session ID is attached when the mobile phone 10 transmits a request to the service providing device via the access providing device.

尚、携帯電話機10にセッションIDを引き渡し、携帯電話機10からのリクエスト送信時にこれを付与させる方法は特に限定されるものではない。ユーザの操作する端末のブラウザでcookieの利用が可能である場合は、セッション管理にcookieが用いられることが一般的であるが、携帯電話機のブラウザはcookieが利用できないことが通常であるため、URLrewriting(URLの後にリクエスト・パラメータの形でセッションIDを埋め込む方法)等の技術を用いて、cookieに代替することとすればよい。   The method for delivering the session ID to the mobile phone 10 and assigning it when the request is sent from the mobile phone 10 is not particularly limited. When cookie can be used in the browser of the terminal operated by the user, cookie is generally used for session management. However, since cookie is usually not available for a mobile phone browser, URL rewriting Using a technique such as (a method of embedding a session ID in the form of a request parameter after the URL) or the like may be used instead of cookie.

携帯電話機10において、通信経路が切り替わった際には、そのまま異なる通信経路からアクセス中継装置40へのアクセスが行われると、2つの通信経路において同じセッションIDが送受信されることとなるため、セッションIDを第三者に盗用され、不正なアクセスが行われるリスクが高まることになる。そこで、セキュリティ上の理由から通信経路が切り替わった際に該セッションを切断することが好ましいが、本発明においては、セッションが切断されることによって再度認証の手間が生じることを回避することができるように、携帯電話機10において通信経路の切り替えが可能となったことが検出された際に、元の通信経路を介して新たなセッションID発行のリクエストをアクセス中継装置40に送信する。セッション管理部44では新たなセッションIDを発行し、該セッションIDを接続が継続している有効なセッションとしてセッション情報記憶部46に記憶させ、元の通信経路を介して該セッションIDが携帯電話機10に引き渡される。この際に、元の通信経路で用いられていたセッションIDについては、セッション情報記憶部46に接続が継続していると記憶された該セッションIDのステータスが、接続が無効となったものとして更新される。以降、携帯電話機10からアクセス提供装置を介したサービス提供装置に対するリクエストは新たな通信経路を介して送信され、リクエストには新たなセッションIDが付されることになる。   In the mobile phone 10, when the communication path is switched, if the access relay device 40 is accessed from a different communication path as it is, the same session ID is transmitted and received through the two communication paths. Will be stolen by a third party, increasing the risk of unauthorized access. Therefore, for security reasons, it is preferable to disconnect the session when the communication path is switched. However, in the present invention, it is possible to avoid the trouble of authentication again due to disconnection of the session. In addition, when it is detected that the communication path can be switched in the mobile phone 10, a request for issuing a new session ID is transmitted to the access relay device 40 via the original communication path. The session management unit 44 issues a new session ID, stores the session ID in the session information storage unit 46 as a valid session in which connection is continued, and the session ID is stored in the mobile phone 10 via the original communication path. To be handed over. At this time, for the session ID used in the original communication path, the status of the session ID stored when the connection is continued in the session information storage unit 46 is updated as the connection is invalidated. Is done. Thereafter, a request from the mobile phone 10 to the service providing device via the access providing device is transmitted via a new communication path, and a new session ID is attached to the request.

通信電文制御部42で携帯電話機10からのリクエストを受け付けると、リクエストにセッションIDが付されている場合には、該セッションIDを接続が継続している有効なセッションとしてセッション情報記憶部46に記憶されているかを、セッション管理部44に問い合わせる。セッションIDが有効なものである場合は、そのまま認証を要求することなくリクエストに従った処理を実行するために、中継モジュール管理部45において中継モジュールが呼び出される。   When the communication telegram control unit 42 receives a request from the mobile phone 10, if a session ID is attached to the request, the session ID is stored in the session information storage unit 46 as a valid session in which the connection is continued. The session management unit 44 is inquired as to whether or not If the session ID is valid, the relay module management unit 45 calls the relay module in order to execute processing according to the request without requesting authentication as it is.

中継モジュール管理部45において呼び出される中継モジュールにより実行される動作は特に限定されるものではないが、アクセス中継装置40を介してサービス提供装置50に情報提供や取引執行などのリクエストを行うためには、サービス提供装置50のサーバアプリケーション実行部51において実行されるサーバアプリケーションと交信するための通常はユーザの端末において実行されるクライアントアプリケーションを、アクセス中継装置40に備えることが必要になる。クライアントアプリケーション実行部47は、該クライアントアプリケーションを実行する機能を有するものであるが、アクセス中継装置40で携帯電話機10から受け付けたリクエストをクライアントアプリケーション実行部47に引き渡す処理を行うプログラムが中継モジュールとして用いられる。中継モジュールは、一般に中間サーバにおいて用いられるものであればよく、特に限定されるものではない。尚、携帯電話機10から受け付けたリクエストを対応する中継モジュールに引き渡せるように、セッション情報記憶部46に接続が継続している有効なセッションとして記憶されているセッションIDには、対応する中継モジュールを特定するための情報が関連付けて記憶されている。   The operation executed by the relay module called in the relay module management unit 45 is not particularly limited, but in order to make a request for information provision or transaction execution to the service providing device 50 via the access relay device 40 It is necessary to provide the access relay device 40 with a client application that is normally executed in a user terminal for communicating with a server application executed in the server application execution unit 51 of the service providing device 50. The client application execution unit 47 has a function of executing the client application, but a program for performing a process of delivering a request received from the mobile phone 10 by the access relay device 40 to the client application execution unit 47 is used as a relay module. It is done. The relay module is not particularly limited as long as it is generally used in an intermediate server. The session ID stored in the session information storage unit 46 as a valid session is connected to the corresponding relay module so that the request received from the mobile phone 10 can be delivered to the corresponding relay module. Information for specifying is associated and stored.

認証管理部48は、サービス提供装置50へのアクセスの際に必要な認証のための処理を実行する機能を有している。電子証明書記憶部49に、アクセス中継装置40のユーザが使用する電子証明書を予め記憶させておくことによって、サービス提供装置50において電子証明書を用いた認証が要求される場合には、リクエストを行うユーザの電子証明書を電子証明書記憶部49から読み出して、サービス提供装置50に送信する。電子証明書は、アクセス中継装置40の認証管理部43において認証済である場合にのみ使用されるので、ユーザの手元にある端末装置に電子証明書が記憶されている場合と同様の安全性を確保することが可能となっている。   The authentication management unit 48 has a function of executing processing for authentication required when accessing the service providing apparatus 50. By storing the electronic certificate used by the user of the access relay device 40 in the electronic certificate storage unit 49 in advance, when authentication using the electronic certificate is requested in the service providing device 50, the request The user's electronic certificate is read from the electronic certificate storage unit 49 and transmitted to the service providing apparatus 50. Since the electronic certificate is used only when the authentication management unit 43 of the access relay device 40 has already been authenticated, the same security as when the electronic certificate is stored in the terminal device at hand of the user is obtained. It is possible to secure.

サービス提供装置50には、インターネットを介して電子商取引や情報配信などのサービスを提供するWebサーバやアプリケーションサーバが用いられ、サーバアプリケーション実行部51、認証管理部52、電子証明書記憶部53を含んで構成されている。尚、これらの各部も機能的に特定されるものであり、物理的な構成は特に限定されるものではない。例えば、各部の機能を実行するプログラムをサービス提供装置50のメインメモリに読み出して、CPUで演算処理を実行するものであってもよいし、各々の機能を実行するためのチップやボードなどを設けるものであってもよい。   The service providing device 50 is a Web server or application server that provides services such as electronic commerce and information distribution via the Internet, and includes a server application execution unit 51, an authentication management unit 52, and an electronic certificate storage unit 53. It consists of Each of these units is also functionally specified, and the physical configuration is not particularly limited. For example, the program for executing the function of each unit may be read into the main memory of the service providing apparatus 50 and the CPU may execute arithmetic processing, or a chip or board for executing each function may be provided. It may be a thing.

サーバアプリケーション実行部51は、アクセス中継装置40のクライアントアプリケーション実行部47からのリクエストを受け付けて、サービスの提供に必要な様々なアプリケーションプログラムによる処理を実行する機能を有している。認証管理部52、電子証明書記憶部53は、電子証明書を用いたユーザの認証処理等に用いられる。   The server application execution unit 51 has a function of accepting a request from the client application execution unit 47 of the access relay device 40 and executing processing by various application programs necessary for providing the service. The authentication management unit 52 and the electronic certificate storage unit 53 are used for user authentication processing using an electronic certificate.

図3〜図9を用いて、本発明にかかるアクセス中継装置による通信経路の切り替わりの際のセッションの引継ぎフローについて説明する。この例では、携帯電話機からは、携帯電話網と無線LANを用いてインターネットに接続可能となっていて、無線LANへの接続が可能な場合には無線LANへの接続が優先され、無線LANに接続できない場合は携帯電話網からインターネットに接続されるものとする。   The session takeover flow when the communication path is switched by the access relay apparatus according to the present invention will be described with reference to FIGS. In this example, a mobile phone can be connected to the Internet using a mobile phone network and a wireless LAN. When connection to the wireless LAN is possible, priority is given to the connection to the wireless LAN. If the connection cannot be established, the mobile phone network shall be connected to the Internet.

まず、無線LANへの接続ができないエリアにおいて、サービス提供装置にログインのリクエストを送信する。携帯電話機に表示されるメニューリストからログインのボタンを選択すると、このボタンにはアクセス中継装置にアクセスするためのURLが埋め込まれていて、アクセス中継装置にリクエストが送信される。リクエストを受信したアクセス中継装置からログインに必要なユーザIDとパスワードの入力画面が送信され、図3に示したように、ユーザは携帯電話機に入力したユーザIDとパスワードをアクセス中継装置に送信する。   First, a login request is transmitted to the service providing apparatus in an area where connection to the wireless LAN is not possible. When a login button is selected from a menu list displayed on the mobile phone, a URL for accessing the access relay device is embedded in this button, and a request is transmitted to the access relay device. The access relay apparatus that has received the request transmits a user ID and password input screen required for login, and as shown in FIG. 3, the user transmits the user ID and password input to the mobile phone to the access relay apparatus.

尚、アクセス中継装置に予め登録されるパスワードには、認証操作を一度で済ませてユーザの負担を軽減するためには、中継するサービス提供装置毎にユーザが登録したパスワードを用いることが好ましい。そのように構成すると、アクセス中継装置でパスワードによる認証を行うことによって、サービス提供装置でのパスワードによる認証処理が不要になる。ユーザが複数のサービス提供装置をアクセス中継装置の中継によって利用する場合には、一のユーザについてサービス提供装置毎にユーザIDとパスワードが登録されることになる。   Note that, as a password registered in advance in the access relay apparatus, it is preferable to use a password registered by the user for each service providing apparatus to be relayed in order to reduce the burden on the user by performing the authentication operation once. With such a configuration, authentication by a password at the service providing apparatus becomes unnecessary by performing authentication by a password at the access relay apparatus. When a user uses a plurality of service providing apparatuses by relaying an access relay apparatus, a user ID and a password are registered for each service providing apparatus for one user.

アクセス中継装置でユーザIDとパスワードを受信すると、アクセス中継装置に予め登録された該ユーザIDに対応するパスワードと照合し、一致した場合にはセッションを確立する。確立したセッションには、セッションを識別するためのセッションID(001)が発行され、図4に示したように、セッションID(001)は接続が継続している有効なセッションIDとしてアクセス中継装置に記憶される。   When the access relay apparatus receives the user ID and password, the access relay apparatus checks the password corresponding to the user ID registered in advance in the access relay apparatus, and establishes a session if they match. For the established session, a session ID (001) for identifying the session is issued. As shown in FIG. 4, the session ID (001) is given to the access relay apparatus as a valid session ID for which connection is continued. Remembered.

このセッションにおいてサービス提供装置へのアクセスが行われる場合には、該セッションにおけるアクセス中継装置とサービス提供装置の間の交信を行うために、中継モジュール(101)が用いられる。この交信において呼び出される中継モジュール(101)を特定する情報が、図5に示したように、セッションID(001)と関連付けて記憶される。このセッションにおいて携帯電話機から送信されるリクエストにはセッションID(001)が付されるため、アクセス中継装置ではセッションID(001)が有効なセッションであることを確認し、セッションID(001)と関連付けられた中継モジュール(101)を呼び出して、該リクエストをサービス提供装置に引き渡す。   When access to the service providing apparatus is performed in this session, the relay module (101) is used to perform communication between the access relay apparatus and the service providing apparatus in the session. Information specifying the relay module (101) called in this communication is stored in association with the session ID (001) as shown in FIG. Since a session ID (001) is attached to a request transmitted from the mobile phone in this session, the access relay apparatus confirms that the session ID (001) is a valid session and associates it with the session ID (001). The relay module (101) is called, and the request is delivered to the service providing apparatus.

ここで、図6に示したように、携帯電話機のユーザが無線LANの接続が可能なエリアに移動したとする。携帯電話機では電波状況を監視して、無線LANへの接続が可能となったことを検出すると、図7に示したように、自動的に新たなセッションIDへの切替要求を、携帯電話網を介したセッションID(001)で特定されるセッションにおいて送信する。   Here, as shown in FIG. 6, it is assumed that the user of the mobile phone moves to an area where wireless LAN connection is possible. When the mobile phone monitors the radio wave condition and detects that the connection to the wireless LAN is possible, the mobile phone automatically issues a request to switch to a new session ID as shown in FIG. And transmitted in the session specified by the session ID (001).

新たなセッションIDへの切替要求を受信したアクセス中継装置では、図8に示したように、無線LANを経由したセッションを識別するための新たなセッションIDを発行して、新たなセッションID(002)を接続が継続している有効なセッションIDとして記憶する。セッションID(002)は、セッションID(001)に対応する中継モジュール(101)と関連付けて記憶することによって、セッションID(002)で特定されるセッションにおいて受信したリクエストも、セッションID(001)と連続したものとしてサービス提供装置に引き渡すことができる。   The access relay apparatus that has received the request for switching to a new session ID issues a new session ID for identifying a session via the wireless LAN, as shown in FIG. ) As a valid session ID for which the connection is continuing. The session ID (002) is stored in association with the relay module (101) corresponding to the session ID (001), so that the request received in the session specified by the session ID (002) is also the session ID (001). It can be delivered to the service providing device as a continuous one.

新たに発行したセッションID(002)は、セッションID(001)で特定されるセッションにおいて、携帯電話機に引き渡される。ここで、アクセス中継装置に接続が継続している有効なセッションIDとして記憶されていたセッションID(001)のステータスが、無効なセッションIDに更新される。以降、図9に示したように、携帯電話機からのリクエストの送信は無線LANを介して行われ、リクエストにはセッションID(002)が付されることになる。アクセス中継装置では、セッションID(002)が有効なセッションであることを確認し、セッションID(002)と関連付けられた中継モジュール(101)を呼び出して、該リクエストをサービス提供装置に引き渡す。   The newly issued session ID (002) is delivered to the mobile phone in the session specified by the session ID (001). Here, the status of the session ID (001) stored as a valid session ID that is continuously connected to the access relay apparatus is updated to an invalid session ID. Thereafter, as shown in FIG. 9, the transmission of the request from the mobile phone is performed via the wireless LAN, and the session ID (002) is attached to the request. The access relay apparatus confirms that the session ID (002) is a valid session, calls the relay module (101) associated with the session ID (002), and delivers the request to the service providing apparatus.

以上、図3〜図9を用いて説明したように、携帯電話機からの通信経路が切り替わった場合であっても、アクセス中継装置によってセッションIDの引継ぎを行うため、ユーザが新たに認証操作を行わなくても、セッションIDの盗用に対する安全性を確保しながらログイン後の操作をそのまま継続することができる。   As described above with reference to FIGS. 3 to 9, even when the communication path from the mobile phone is switched, the session ID is taken over by the access relay device, so the user newly performs an authentication operation. Even if it is not, the operation after login can be continued as it is while ensuring the safety against theft of the session ID.

図10のフローチャートを用いて、本発明にかかるアクセス中継システムにおけるユーザが操作する端末側の、通信経路の切り替えの処理フローについて説明する。携帯電話機等のインターネットに接続可能な携帯端末は、電波状況を監視して(S01)、利用可能な無線LAN接続サービスが近くに存在していて、接続が可能な状態であるかを確認する(S02)。   With reference to the flowchart of FIG. 10, the processing flow for switching the communication path on the terminal side operated by the user in the access relay system according to the present invention will be described. A portable terminal that can be connected to the Internet, such as a mobile phone, monitors the radio wave condition (S01), and confirms whether a usable wireless LAN connection service exists nearby and can be connected ( S02).

無線LAN接続サービスに接続できる状態である場合は、既に無線LAN接続サービスに接続中であれば(S03)、引続き電波状況の監視を継続するが(S01)、無線LAN接続サービスに接続中でない場合は(S03)、無線LAN接続サービスを利用してインターネットに接続する(S04)。無線LAN接続サービスに接続できる状態ではない場合には、携帯電話網の利用可能であるかを確認して(S05)、利用が可能でない場合は、利用可能な通信サービスが存在しないことを画面表示等によって利用者に通知する(S12)。携帯電話網の利用が可能である場合は、携帯電話網を利用してインターネットに接続する(S06)。   When it is possible to connect to the wireless LAN connection service, if it is already connected to the wireless LAN connection service (S03), the radio wave status is continuously monitored (S01), but not connected to the wireless LAN connection service. (S03), the wireless LAN connection service is used to connect to the Internet (S04). If it is not possible to connect to the wireless LAN connection service, the mobile phone network is checked to see if it can be used (S05), and if it cannot be used, a screen is displayed indicating that there is no available communication service. The user is notified by such as (S12). If the mobile phone network can be used, the mobile phone network is used to connect to the Internet (S06).

無線LAN接続サービス、又は携帯電話網を利用してインターネットに接続され、無線LANの接続局や携帯電話の基地局とのセッションが確立すると(S07)、確立したセッション以外に端末において既存のセッションが存在しているかを確認する(S08)。既存のセッションが存在していない場合には、確立したセッションによって、アクセス中継装置を介したサービス提供装置との交信が行われる。   When a wireless LAN connection service or a mobile phone network is used to connect to the Internet and a session is established with a wireless LAN connection station or a mobile phone base station (S07), in addition to the established session, an existing session is established at the terminal. It is confirmed whether it exists (S08). If there is no existing session, communication with the service providing apparatus is performed via the access relay apparatus by the established session.

既存のセッションが存在する場合は、既存のセッションを経由して、アクセス中継装置に新たに確立したセッションに対応するセッションIDへの切替要求を送信する(S09)。アクセス中継装置から新たなセッションIDを受信すると(S10)、以降の通信は新たなセッションを経由して行うこととなり、既存のセッションを切断する(S11)。   If there is an existing session, a request for switching to a session ID corresponding to the newly established session is transmitted to the access relay apparatus via the existing session (S09). When a new session ID is received from the access relay device (S10), the subsequent communication is performed via the new session, and the existing session is disconnected (S11).

図11のフローチャートを用いて、本発明にかかるアクセス中継システムのアクセス中継装置側のセッション管理の処理フローについて説明する。アクセス中継装置は、インターネットを介して携帯端末から受信した電文を解釈して(S21)、受信した電文の中にユーザIDやパスワード等の認証情報が含まれているかを確認する(S22)。   The process flow of session management on the access relay apparatus side of the access relay system according to the present invention will be described using the flowchart of FIG. The access relay apparatus interprets a message received from the mobile terminal via the Internet (S21), and checks whether authentication information such as a user ID or a password is included in the received message (S22).

認証情報が含まれている場合には、受信した認証情報が予めアクセス中継装置に登録された認証情報と一致するかを確認し(S23)、一致しない場合はエラーとなって処理を終了する。認証情報が含まれていない場合、或いは認証情報が含まれていて登録された認証情報と一致することが確認された場合には、受信した電文に付されたセッションIDを抽出する(S24)。   If the authentication information is included, it is confirmed whether the received authentication information matches the authentication information registered in advance in the access relay apparatus (S23). If the authentication information does not match, an error occurs and the process ends. When the authentication information is not included, or when it is confirmed that the authentication information is included and matches the registered authentication information, the session ID attached to the received message is extracted (S24).

セッションIDが存在する場合は(S25)、受信した電文がセッションIDの切り替え要求ではないかを確認する(S26)。セッションIDの切り替え要求である場合は、新たな通信経路からのセッションを識別するための新たなセッションIDを生成して、元のセッションIDと紐付けて格納する(S27)。新たなセッションIDに対応するセッションを生成するとともに(S28)、元のセッションIDに対応する中継モジュールを呼び出して、この中継モジュールを新たなセッションIDに紐付けることによって接続する(S29)。携帯端末には、処理結果として新たなセッションIDを含む情報が返信される(S30)。   If the session ID exists (S25), it is checked whether the received message is a session ID switching request (S26). If it is a session ID switching request, a new session ID for identifying a session from a new communication path is generated and stored in association with the original session ID (S27). A session corresponding to the new session ID is generated (S28), and the relay module corresponding to the original session ID is called, and the relay module is connected to the new session ID by connection (S29). Information including a new session ID is returned to the portable terminal as a processing result (S30).

セッションIDの切り替え要求でない場合は、セッションIDをキーに接続が継続している有効なセッションを検索し(S31)、該セッションIDにより特定される有効なセッションが存在しているかを確認する(S32)。セッションが存在している場合は、該セッションに対応する中継モジュールを呼び出して(S33)、サービス提供装置に対するリクエストの送信等の処理を実行し、携帯端末にはサービス提供装置からのレスポンスを処理結果として返信する(S30)。有効なセッションが存在していない場合は、該セッションIDに対応するセッションを生成し(S39)、サービス提供装置と交信するための中継モジュールを呼び出して(S40)、サービス提供装置に対するリクエストの送信等の処理を実行し、携帯端末にはサービス提供装置からのレスポンスを処理結果として返信する(S30)。   If it is not a session ID switching request, a valid session that is continuously connected is searched using the session ID as a key (S31), and it is confirmed whether there is a valid session specified by the session ID (S32). ). If a session exists, the relay module corresponding to the session is called (S33), processing such as transmission of a request to the service providing device is executed, and a response from the service providing device is processed in the portable terminal. As a reply (S30). If there is no valid session, a session corresponding to the session ID is generated (S39), a relay module for communicating with the service providing apparatus is called (S40), a request is transmitted to the service providing apparatus, etc. This process is executed, and a response from the service providing apparatus is returned as a processing result to the portable terminal (S30).

受信した電文にセッションIDが存在していない場合は(S25)、必要な認証処理が行われていない可能性があるので、携帯端末に認証情報の入力を要求する(S34)。携帯端末から受信した認証情報が予めアクセス中継装置に登録された認証情報と一致するかを確認し(S35)、一致しない場合はエラーとなって処理を終了する。   If the received message does not have a session ID (S25), the authentication process may not be performed, so the mobile terminal is requested to input authentication information (S34). It is confirmed whether the authentication information received from the portable terminal matches the authentication information registered in advance in the access relay device (S35). If they do not match, an error occurs and the process ends.

認証情報が予め登録された認証情報と一致することが確認された場合には、認証されたユーザのユーザID等の認証情報をキーに、紐付けて記憶されているセッションIDを検索し(S36)、セッションIDが存在しているかを確認する(S37)。セッションIDが存在している場合は、セッションIDをキーに接続が継続している有効なセッションを検索し(S31)、以降は、先に説明したのと同様に、S32〜S33、S30の処理を実行する。   When it is confirmed that the authentication information matches the pre-registered authentication information, the session ID stored in association with the authentication information such as the user ID of the authenticated user as a key is searched (S36). ), It is confirmed whether the session ID exists (S37). If the session ID exists, a valid session that is continuously connected is searched using the session ID as a key (S31), and thereafter, the processing of S32 to S33 and S30 is performed in the same manner as described above. Execute.

セッションIDが存在していない場合は、新たなセッションIDを生成して、ユーザID等の認証情報とともに格納する(S38)。さらに、該セッションIDに対応するセッションを生成し(S39)、サービス提供装置と交信するための中継モジュールを呼び出して(S40)、サービス提供装置に対するリクエストの送信等の処理を実行し、携帯端末にはサービス提供装置からのレスポンスを処理結果として返信する(S30)。   If the session ID does not exist, a new session ID is generated and stored together with authentication information such as a user ID (S38). Further, a session corresponding to the session ID is generated (S39), a relay module for communicating with the service providing apparatus is called (S40), processing such as transmission of a request to the service providing apparatus is executed, and the portable terminal Returns a response from the service providing apparatus as a processing result (S30).

本発明にかかるアクセス中継装置の実施形態の一例を示す図である。It is a figure which shows an example of embodiment of the access relay apparatus concerning this invention. 本発明にかかるアクセス中継装置の構成を示すブロック図である。It is a block diagram which shows the structure of the access relay apparatus concerning this invention. 本発明にかかるアクセス中継装置による通信経路の切り替わりの際のセッションの引継ぎフローの一例を示す第1の図である。It is a 1st figure which shows an example of the takeover flow of the session at the time of the switching of the communication path by the access relay apparatus concerning this invention. 本発明にかかるアクセス中継装置による通信経路の切り替わりの際のセッションの引継ぎフローの一例を示す第2の図である。It is a 2nd figure which shows an example of the takeover flow of the session at the time of the switching of the communication path by the access relay apparatus concerning this invention. 本発明にかかるアクセス中継装置による通信経路の切り替わりの際のセッションの引継ぎフローの一例を示す第3の図である。It is a 3rd figure which shows an example of the session takeover flow at the time of the switching of the communication path by the access relay apparatus concerning this invention. 本発明にかかるアクセス中継装置による通信経路の切り替わりの際のセッションの引継ぎフローの一例を示す第4の図である。It is a 4th figure which shows an example of the takeover flow of the session at the time of the switching of the communication path by the access relay apparatus concerning this invention. 本発明にかかるアクセス中継装置による通信経路の切り替わりの際のセッションの引継ぎフローの一例を示す第5の図である。It is a 5th figure which shows an example of the takeover flow of the session at the time of the switching of the communication path by the access relay apparatus concerning this invention. 本発明にかかるアクセス中継装置による通信経路の切り替わりの際のセッションの引継ぎフローの一例を示す第6の図である。It is a 6th figure which shows an example of the takeover flow of the session at the time of the switching of a communication path by the access relay apparatus concerning this invention. 本発明にかかるアクセス中継装置による通信経路の切り替わりの際のセッションの引継ぎフローの一例を示す第7の図である。It is a 7th figure which shows an example of the takeover flow of the session at the time of the switching of the communication path by the access relay apparatus concerning this invention. 本発明にかかるアクセス中継システムの端末側の処理フローを示すフローチャートである。It is a flowchart which shows the processing flow by the side of the terminal of the access relay system concerning this invention. 本発明にかかるアクセス中継システムのアクセス中継装置側の処理フローを示すフローチャートである。It is a flowchart which shows the processing flow by the side of the access relay apparatus of the access relay system concerning this invention.

符号の説明Explanation of symbols

10 携帯電話機
11 電文送受信部
12 通信電文制御部
13 操作情報入力部
14 セッション管理部
15 認証情報管理部
20 携帯電話基地局
30 無線LAN接続局
40 アクセス中継装置
41 電文送受信部
42 通信電文制御部
43 認証管理部
44 セッション管理部
45 中継モジュール管理部
46 セッション情報記憶部
47 クライアントアプリケーション実行部
48 認証管理部
49 電子証明書記憶部
50 サービス提供装置
51 サーバアプリケーション実行部
52 認証管理部
53 電子証明書記憶部
DESCRIPTION OF SYMBOLS 10 Cellular phone 11 Message transmission / reception unit 12 Communication message control unit 13 Operation information input unit 14 Session management unit 15 Authentication information management unit 20 Mobile phone base station 30 Wireless LAN connection station 40 Access relay device 41 Message transmission / reception unit 42 Communication message control unit 43 Authentication management unit 44 Session management unit 45 Relay module management unit 46 Session information storage unit 47 Client application execution unit 48 Authentication management unit 49 Electronic certificate storage unit 50 Service providing device 51 Server application execution unit 52 Authentication management unit 53 Electronic certificate storage Part

Claims (12)

2以上の通信経路を介して接続可能な端末装置からのアクセスを受け付けて、前記端末装置が接続を要求したサービス提供装置との接続を中継するアクセス中継装置であって、
前記端末装置から、第1の通信経路を介して接続要求を受信して、前記端末装置との接続を確立する接続手段と、
前記接続手段が接続を確立すると、前記接続により開始されるセッションを識別するための第1のセッション情報を、接続が継続しているセッションとしてセッション情報記憶部に記憶させる手段と、
前記セッションにおいて、前記第1のセッション情報を前記端末装置に送信する送信手段と、
第2の通信経路の接続局に接続した前記端末装置から、前記第1の通信経路を介してセッション情報の切替要求を受信する受信手段と、
前記切替要求を受信すると、前記切替要求に前記第1のセッション情報が付されている場合には、前記第2の通信経路を介した前記端末装置との第2の接続により開始されるセッションを識別するための第2のセッション情報を、接続が継続しているセッションとして前記セッション情報記憶部に記憶させる手段と、
前記第2のセッション情報を、前記第1の通信経路を介して前記端末装置に送信する送信手段と、
前記端末装置から、セッション情報が付された前記サービス提供装置に対するリクエストを受信すると、前記セッション情報が接続が継続しているセッションとして前記セッション情報記憶部に記憶されているかを照合する照合手段と、
前記照合手段により前記セッション情報が接続が継続しているセッションとして記憶されていることが確認されると、前記サービス提供装置との中継モジュールを呼び出す呼出手段と、
を備えることを特徴とするアクセス中継装置。
An access relay device that accepts access from a terminal device connectable via two or more communication paths and relays the connection with the service providing device that the terminal device requested to connect,
A connection means for receiving a connection request from the terminal device via a first communication path and establishing a connection with the terminal device;
Means for storing, in the session information storage unit, first session information for identifying a session started by the connection as a session in which the connection is continued when the connection means establishes a connection;
In the session, transmission means for transmitting the first session information to the terminal device;
Receiving means for receiving a session information switching request via the first communication path from the terminal device connected to the connection station of the second communication path;
When the switching request is received, if the first session information is attached to the switching request, a session started by a second connection with the terminal device via the second communication path is selected. Means for storing, in the session information storage unit, second session information for identification as a session in which connection is continued;
Transmitting means for transmitting the second session information to the terminal device via the first communication path;
When receiving a request from the terminal device for the service providing apparatus with session information attached thereto, a verification unit for verifying whether the session information is stored in the session information storage unit as a session for which connection is continued;
When it is confirmed that the session information is stored as a session in which the connection is continued by the verification unit, a calling unit that calls a relay module with the service providing device;
An access relay device comprising:
前記第2のセッション情報を送信手段によって前記端末装置に送信すると、前記セッション情報記憶部に接続が継続しているセッションとして記憶された第1のセッション情報を、接続が無効となったセッションにステータスを更新する更新手段を備えること
を特徴とする請求項1記載のアクセス中継装置。
When the second session information is transmitted to the terminal device by the transmission unit, the first session information stored as a session in which the connection is continued in the session information storage unit is changed to a session in which the connection is invalidated. The access relay apparatus according to claim 1, further comprising update means for updating the password.
端末装置を操作するユーザの認証情報を格納する第1の格納手段と、
端末装置からの前記サービス提供装置に対するリクエストを受信すると、前記端末装置に認証情報の入力を要求する要求手段と、
前記端末装置に入力された認証情報を受信すると、前記認証情報を前記第1の格納手段に格納された認証情報と照合して、操作権限を有する正規のユーザからのリクエストであるかを判定する判定手段と、を備えていて、
前記接続手段は、前記判定手段によって正規のユーザからのリクエストであると判定された場合に前記端末装置との接続を確立すること
を特徴とする請求項1又は2記載のアクセス中継装置。
First storage means for storing authentication information of a user who operates the terminal device;
Upon receiving a request for the service providing device from the terminal device, request means for requesting the terminal device to input authentication information;
When the authentication information input to the terminal device is received, the authentication information is collated with the authentication information stored in the first storage means to determine whether the request is from a legitimate user having operation authority. Determination means, and
The access relay apparatus according to claim 1, wherein the connection unit establishes a connection with the terminal device when the determination unit determines that the request is from a legitimate user.
端末装置を操作するユーザが前記サービス提供装置との接続に用いる電子証明書を格納する第2の格納手段と、
前記サービス提供装置と交信するためのアプリケーションプログラムを実行する実行手段と、を備えていて、
前記実行手段が実行するアプリケーションプログラムは、前記呼出手段によって呼び出された中継モジュールにより起動され、
前記アプリケーションプログラムは、前記第2の格納手段から読み出した電子証明書を用いて前記サービス提供装置との接続を確立すること
を特徴とする請求項1乃至3いずれかに記載のアクセス中継装置。
A second storage means for storing an electronic certificate used by the user operating the terminal device to connect to the service providing device;
Execution means for executing an application program for communicating with the service providing device,
The application program executed by the execution means is activated by the relay module called by the calling means,
4. The access relay apparatus according to claim 1, wherein the application program establishes a connection with the service providing apparatus using an electronic certificate read from the second storage unit.
ネットワークに接続可能な端末装置に格納されるプログラムと、前記端末装置から2以上の通信経路を介してアクセスを受け付けることが可能であり、前記端末装置が接続を要求したサービス提供装置との接続を中継するアクセス中継装置と、からなるアクセス中継システムであって、
前記アクセス中継装置は、
前記端末装置から、第1の通信経路を介して接続要求を受信して、前記端末装置との接続を確立する接続手段と、
前記接続手段が接続を確立すると、前記接続により開始されるセッションを識別するための第1のセッション情報を、接続が継続しているセッションとしてセッション情報記憶部に記憶させる手段と、
前記セッションにおいて、前記第1のセッション情報を前記端末装置に送信する送信手段と、
第2の通信経路の接続局に接続した前記端末装置から、前記第1の通信経路を介してセッション情報の切替要求を受信する受信手段と、
前記切替要求を受信すると、前記切替要求に前記第1のセッション情報が付されている場合には、前記第2の通信経路を介した前記端末装置との第2の接続により開始されるセッションを識別するための第2のセッション情報を、接続が継続しているセッションとして前記セッション情報記憶部に記憶させる手段と、
前記第2のセッション情報を、前記第1の通信経路を介して前記端末装置に送信する送信手段と、
前記端末装置から、セッション情報が付された前記サービス提供装置に対するリクエストを受信すると、前記セッション情報が接続が継続しているセッションとして前記セッション情報記憶部に記憶されているかを照合する照合手段と、
前記照合手段により前記セッション情報が接続が継続しているセッションとして記憶されていることが確認されると、前記サービス提供装置との中継モジュールを呼び出す呼出手段と、を備えていて、
前記プログラムは、前記端末装置に、
前記第2の通信経路の接続局に接続されたことを検出するステップと、
前記第2の通信経路の接続局に接続されたことが検出されると、前記第1の通信経路を介した前記アクセス中継装置との接続が継続している場合には、前記第1の通信経路を介して前記アクセス中継装置に前記第1のセッション情報を付した前記切替要求を送信するステップと、
前記アクセス中継装置から、前記第2のセッション情報を受信するステップと、
前記第2のセッション情報を受信すると、前記サービス提供装置に対するリクエストを、前記第2の通信経路を介して前記第2のセッション情報を付して前記アクセス中継装置に送信するステップと、を実行させること
を特徴とするアクセス中継システム。
A program stored in a terminal device connectable to a network and access from the terminal device via two or more communication paths can be received, and a connection between the terminal device and a service providing device requested for connection is established. An access relay system comprising an access relay device for relaying,
The access relay device
A connection means for receiving a connection request from the terminal device via a first communication path and establishing a connection with the terminal device;
Means for storing, in the session information storage unit, first session information for identifying a session started by the connection as a session in which the connection is continued when the connection means establishes a connection;
In the session, transmission means for transmitting the first session information to the terminal device;
Receiving means for receiving a session information switching request via the first communication path from the terminal device connected to the connection station of the second communication path;
When the switching request is received, if the first session information is attached to the switching request, a session started by a second connection with the terminal device via the second communication path is selected. Means for storing, in the session information storage unit, second session information for identification as a session in which connection is continued;
Transmitting means for transmitting the second session information to the terminal device via the first communication path;
When receiving a request from the terminal device for the service providing apparatus with session information attached thereto, a verification unit for verifying whether the session information is stored in the session information storage unit as a session for which connection is continued;
When it is confirmed by the verification means that the session information is stored as a session in which connection is continued, a calling means for calling a relay module with the service providing device is provided,
The program is stored in the terminal device.
Detecting that the connection station of the second communication path is connected;
When it is detected that the connection station is connected to the connection station of the second communication path, the first communication is performed when the connection with the access relay apparatus is continued through the first communication path. Transmitting the switching request with the first session information to the access relay apparatus via a route;
Receiving the second session information from the access relay device;
Receiving the second session information, transmitting a request to the service providing apparatus with the second session information to the access relay apparatus via the second communication path; An access relay system characterized by that.
前記アクセス中継装置は、
前記第2のセッション情報を送信手段によって前記端末装置に送信すると、前記セッション情報記憶部に接続が継続しているセッションとして記憶された第1のセッション情報を、接続が無効となったセッションにステータスを更新する更新手段を備えること
を特徴とする請求項5記載のアクセス中継システム。
The access relay device
When the second session information is transmitted to the terminal device by the transmission unit, the first session information stored as a session in which the connection is continued in the session information storage unit is changed to a session in which the connection is invalidated. 6. The access relay system according to claim 5, further comprising update means for updating.
前記アクセス中継装置は、
端末装置を操作するユーザの認証情報を格納する第1の格納手段と、
端末装置からの前記サービス提供装置に対するリクエストを受信すると、前記端末装置に認証情報の入力を要求する要求手段と、
前記端末装置に入力された認証情報を受信すると、前記認証情報を前記第1の格納手段に格納された認証情報と照合して、操作権限を有する正規のユーザからのリクエストであるかを判定する判定手段と、を備えていて、
前記接続手段は、前記判定手段によって正規のユーザからのリクエストであると判定された場合に前記端末装置との接続を確立すること
を特徴とする請求項5又は6記載のアクセス中継システム。
The access relay device
First storage means for storing authentication information of a user who operates the terminal device;
Upon receiving a request for the service providing device from the terminal device, request means for requesting the terminal device to input authentication information;
When the authentication information input to the terminal device is received, the authentication information is collated with the authentication information stored in the first storage means to determine whether the request is from a legitimate user having operation authority. Determination means, and
7. The access relay system according to claim 5, wherein the connection unit establishes a connection with the terminal device when the determination unit determines that the request is from a legitimate user.
前記アクセス中継装置は、
端末装置を操作するユーザが前記サービス提供装置との接続に用いる電子証明書を格納する第2の格納手段と、
前記サービス提供装置と交信するためのアプリケーションプログラムを実行する実行手段と、を備えていて、
前記実行手段が実行するアプリケーションプログラムは、前記呼出手段によって呼び出された中継モジュールにより起動され、
前記アプリケーションプログラムは、前記第2の格納手段から読み出した電子証明書を用いて前記サービス提供装置との接続を確立すること
を特徴とする請求項5乃至7いずれかに記載のアクセス中継システム。
The access relay device
A second storage means for storing an electronic certificate used by the user operating the terminal device to connect to the service providing device;
Execution means for executing an application program for communicating with the service providing device,
The application program executed by the execution means is activated by the relay module called by the calling means,
8. The access relay system according to claim 5, wherein the application program establishes a connection with the service providing apparatus using an electronic certificate read from the second storage unit.
ネットワークに接続可能な端末装置と、前記端末装置から2以上の通信経路を介してアクセスを受け付けることが可能であり、前記端末装置が接続を要求したサービス提供装置との接続を中継するアクセス中継装置と、によって実行されるアクセス中継方法であって、
前記アクセス中継装置が、前記端末装置から第1の通信経路を介して接続要求を受信して、前記端末装置との接続を確立するステップと、
前記アクセス中継装置が、前記ステップで接続を確立すると、前記接続により開始されるセッションを識別するための第1のセッション情報を、接続が継続しているセッションとしてセッション情報記憶部に記憶させるステップと、
前記アクセス中継装置が、前記セッションにおいて、前記第1のセッション情報を前記端末装置に送信するステップと、
前記端末装置が、第2の通信経路の接続局に接続されたことを検出するステップと、
前記端末装置が、前記第2の通信経路の接続局に接続されたことを検出すると、前記第1の通信経路を介した前記アクセス中継装置との接続が継続している場合には、前記第1の通信経路を介して前記アクセス中継装置に前記第1のセッション情報を付したセッション情報の切替要求を送信するステップと、
前記アクセス中継装置が、前記端末装置から、前記第1の通信経路を介して前記切替要求を受信するステップと、
前記アクセス中継装置が、前記切替要求を受信すると、前記切替要求に前記第1のセッション情報が付されている場合には、前記第2の通信経路を介した前記端末装置との第2の接続により開始されるセッションを識別するための第2のセッション情報を、接続が継続しているセッションとして前記セッション情報記憶部に記憶させるステップと、
前記アクセス中継装置が、前記第2のセッション情報を前記第1の通信経路を介して前記端末装置に送信するステップと、
前記端末装置が、前記アクセス中継装置から前記第2のセッション情報を受信するステップと、
前記端末装置が、前記第2のセッション情報を受信すると、前記サービス提供装置に対するリクエストを、前記第2の通信経路を介して前記第2のセッション情報を付して前記アクセス中継装置に送信するステップと、
前記アクセス中継装置が、前記端末装置から、セッション情報が付された前記サービス提供装置に対するリクエストを受信すると、前記セッション情報が接続が継続しているセッションとして前記セッション情報記憶部に記憶されているかを照合するステップと、
前記アクセス中継装置が、前記ステップで前記セッション情報が接続が継続しているセッションとして記憶されていることを確認すると、前記サービス提供装置との中継モジュールを呼び出すステップと、
を有することを特徴とするアクセス中継方法。
A terminal device connectable to a network and an access relay device capable of accepting access from the terminal device via two or more communication paths and relaying the connection between the terminal device and a service providing device requested to connect And an access relay method executed by
The access relay device receiving a connection request from the terminal device via a first communication path and establishing a connection with the terminal device;
When the access relay apparatus establishes a connection in the step, the first session information for identifying a session started by the connection is stored in a session information storage unit as a session in which the connection is continued; ,
The access relay device transmitting the first session information to the terminal device in the session;
Detecting that the terminal device is connected to a connection station of a second communication path;
When it is detected that the terminal device is connected to the connection station on the second communication path, the connection with the access relay device via the first communication path is continued. Transmitting a session information switching request with the first session information to the access relay device via one communication path;
The access relay device receiving the switching request from the terminal device via the first communication path;
When the access relay apparatus receives the switching request, if the first session information is attached to the switching request, a second connection with the terminal apparatus via the second communication path Storing second session information for identifying a session started by the session information storage unit as a session in which connection is continued;
The access relay device transmitting the second session information to the terminal device via the first communication path;
The terminal device receiving the second session information from the access relay device;
When the terminal device receives the second session information, a step of transmitting a request to the service providing device to the access relay device with the second session information via the second communication path. When,
When the access relay apparatus receives a request for the service providing apparatus to which session information is attached from the terminal apparatus, whether the session information is stored in the session information storage unit as a session in which connection is continued. A matching step;
When the access relay device confirms that the session information is stored as a session in which connection is continued in the step, a step of calling a relay module with the service providing device;
An access relay method comprising:
前記アクセス中継装置が、前記第2のセッション情報を前記端末装置に送信すると、前記セッション情報記憶部に接続が継続しているセッションとして記憶された第1のセッション情報を、接続が無効となったセッションにステータスを更新するステップを有すること
を特徴とする請求項9記載のアクセス中継方法。
When the access relay device transmits the second session information to the terminal device, the connection becomes invalid for the first session information stored as a session in which connection is continued in the session information storage unit. The access relay method according to claim 9, further comprising a step of updating a status in the session.
前記アクセス中継装置には、端末装置を操作するユーザの認証情報を格納する第1の格納部が備えられ、
前記アクセス中継装置が、端末装置からの前記サービス提供装置に対するリクエストを受信すると、前記端末装置に認証情報の入力を要求するステップと、
前記端末装置が、前記端末装置に入力された認証情報を前記アクセス中継装置に送信するステップと、
前記アクセス中継装置が、前記端末装置から前記認証情報を受信すると、前記認証情報を前記第1の格納部に格納された認証情報と照合して、操作権限を有する正規のユーザからのリクエストであるかを判定するステップと、を有していて、
前記端末装置との接続を確立するステップでは、前記認証情報の照合によって正規のユーザからのリクエストであると判定された場合に前記端末装置との接続を確立すること
を特徴とする請求項9又は10記載のアクセス中継方法。
The access relay device includes a first storage unit that stores authentication information of a user who operates the terminal device,
When the access relay apparatus receives a request for the service providing apparatus from a terminal apparatus, the terminal apparatus requests input of authentication information to the terminal apparatus;
The terminal device transmitting authentication information input to the terminal device to the access relay device;
When the access relay apparatus receives the authentication information from the terminal apparatus, the access relay apparatus checks the authentication information against the authentication information stored in the first storage unit, and is a request from a legitimate user having an operation authority. Determining whether or not
10. The step of establishing a connection with the terminal device establishes a connection with the terminal device when it is determined that the request is from a legitimate user by the verification of the authentication information. 10. The access relay method according to 10.
前記アクセス中継装置には、端末装置を操作するユーザが前記サービス提供装置との接続に用いる電子証明書を格納する第2の格納部が備えられ、
前記アクセス中継装置が、前記サービス提供装置と交信するためのアプリケーションプログラムを実行するステップと、を有していて、
前記アプリケーションプログラムは、前記中継モジュールを呼び出すステップにおいて呼び出された中継モジュールにより起動され、
前記アプリケーションプログラムは、前記第2の格納部から読み出した電子証明書を用いて前記サービス提供装置との接続を確立すること
を特徴とする請求項9乃至11いずれかに記載のアクセス中継方法。
The access relay device includes a second storage unit that stores an electronic certificate used by the user operating the terminal device to connect to the service providing device,
The access relay device has a step of executing an application program for communicating with the service providing device;
The application program is started by the relay module called in the step of calling the relay module,
The access relay method according to claim 9, wherein the application program establishes a connection with the service providing apparatus using an electronic certificate read from the second storage unit.
JP2006243369A 2006-09-07 2006-09-07 Access relay device, access relay system, and access relay method Expired - Fee Related JP4683655B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006243369A JP4683655B2 (en) 2006-09-07 2006-09-07 Access relay device, access relay system, and access relay method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006243369A JP4683655B2 (en) 2006-09-07 2006-09-07 Access relay device, access relay system, and access relay method

Publications (2)

Publication Number Publication Date
JP2008067104A true JP2008067104A (en) 2008-03-21
JP4683655B2 JP4683655B2 (en) 2011-05-18

Family

ID=39289399

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006243369A Expired - Fee Related JP4683655B2 (en) 2006-09-07 2006-09-07 Access relay device, access relay system, and access relay method

Country Status (1)

Country Link
JP (1) JP4683655B2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011522449A (en) * 2008-04-02 2011-07-28 アルカテル−ルーセント Method for establishing communication from a mobile terminal in dual mode
JP2012235447A (en) * 2011-04-28 2012-11-29 Intel Corp Device, system, and method for providing content by radio
JP2020506591A (en) * 2017-01-19 2020-02-27 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited Application-based data interaction method and apparatus
JP2020174396A (en) * 2015-05-05 2020-10-22 アイピーアライブ エービー Method for establishing media path in real time communication

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000083060A (en) * 1998-04-30 2000-03-21 Nippon Telegr & Teleph Corp <Ntt> L2 integrated access system
JP2004157973A (en) * 2002-11-07 2004-06-03 Korea Electronics Telecommun Method for holding session between different terminals
JP2005321970A (en) * 2004-05-07 2005-11-17 Hitachi Ltd Computer system
JP2006229831A (en) * 2005-02-21 2006-08-31 Matsushita Electric Ind Co Ltd Inter-heterogeneous network connection switching method and inter-heterogeneous network connection system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000083060A (en) * 1998-04-30 2000-03-21 Nippon Telegr & Teleph Corp <Ntt> L2 integrated access system
JP2004157973A (en) * 2002-11-07 2004-06-03 Korea Electronics Telecommun Method for holding session between different terminals
JP2005321970A (en) * 2004-05-07 2005-11-17 Hitachi Ltd Computer system
JP2006229831A (en) * 2005-02-21 2006-08-31 Matsushita Electric Ind Co Ltd Inter-heterogeneous network connection switching method and inter-heterogeneous network connection system

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011522449A (en) * 2008-04-02 2011-07-28 アルカテル−ルーセント Method for establishing communication from a mobile terminal in dual mode
JP2012235447A (en) * 2011-04-28 2012-11-29 Intel Corp Device, system, and method for providing content by radio
US9384331B2 (en) 2011-04-28 2016-07-05 Intel Corporation Device, system and method of wirelessly delivering content
JP2020174396A (en) * 2015-05-05 2020-10-22 アイピーアライブ エービー Method for establishing media path in real time communication
JP7100786B2 (en) 2015-05-05 2022-07-14 アイピーアライブ エービー How to establish a media path with real-time communication
JP2020506591A (en) * 2017-01-19 2020-02-27 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited Application-based data interaction method and apparatus
US10897521B2 (en) 2017-01-19 2021-01-19 Advanced New Technologies Co., Ltd. Application-based data interaction method and apparatus

Also Published As

Publication number Publication date
JP4683655B2 (en) 2011-05-18

Similar Documents

Publication Publication Date Title
JP4301997B2 (en) Authentication method for information appliances using mobile phones
JP4755866B2 (en) Authentication system, authentication server, authentication method, and authentication program
US9680841B2 (en) Network authentication method for secure user identity verification using user positioning information
JP2005527909A (en) User authentication method and system using e-mail address and hardware information
CA2914426C (en) Method for authenticating a user, corresponding server, communications terminal and programs
KR20000016949A (en) Method and apparatus for providing access control to local services of mobile devices
JP2007310512A (en) Communication system, service providing server, and user authentication server
JP2007264835A (en) Authentication method and system
US9444815B2 (en) Method and system for accessing a service
JP6430689B2 (en) Authentication method, terminal and program
JP4683655B2 (en) Access relay device, access relay system, and access relay method
US8751673B2 (en) Authentication apparatus, authentication method, and data using method
KR101133167B1 (en) Method and apparatus for user verifing process with enhanced security
EP2916510B1 (en) Network authentication method for secure user identity verification using user positioning information
JP4630187B2 (en) Authentication method
JP3851781B2 (en) Wireless communication apparatus, wireless communication system, and connection authentication method
JP2001298774A (en) Method for authenticating use of wireless phone
KR101576039B1 (en) Network authentication method for secure user identity verification using user positioning information
JP2013257806A (en) Authentication system, authentication method, proxy authentication processing device, terminal device, proxy authentication processing method, control method of terminal device, and program
KR20130118550A (en) System and method for user authentification
JP4629024B2 (en) Authentication server and authentication method
KR101256675B1 (en) System for preventing id theft, service method thereof, single sign on system using the same and service method thereof
JP6273737B2 (en) Device registration system, device management device, wireless communication device, registration device, and device management program
JP2007081598A (en) Connection device and authentication system
JP3715191B2 (en) Data communication method and authentication processing apparatus

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090818

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110114

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110204

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110207

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140218

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees