JP2008250446A - 通信端末および通信プログラム - Google Patents

通信端末および通信プログラム Download PDF

Info

Publication number
JP2008250446A
JP2008250446A JP2007088249A JP2007088249A JP2008250446A JP 2008250446 A JP2008250446 A JP 2008250446A JP 2007088249 A JP2007088249 A JP 2007088249A JP 2007088249 A JP2007088249 A JP 2007088249A JP 2008250446 A JP2008250446 A JP 2008250446A
Authority
JP
Japan
Prior art keywords
authentication
service
control unit
scenario
apl
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007088249A
Other languages
English (en)
Inventor
Masaya Matsumoto
眞哉 松本
Takeshi Kaji
武志 鍛治
Shuichi Karasawa
秀一 唐澤
Hiroaki Isaka
広明 伊坂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007088249A priority Critical patent/JP2008250446A/ja
Publication of JP2008250446A publication Critical patent/JP2008250446A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】プロファイルを用いて種々のサービスを利用する際のセキュリティを高めることができる通信端末を提供すること。
【解決手段】サービスを利用する際に必要な利用情報および必要な認証に関わる条件や手続きを表す認証シナリオによって構成されたプロファイルを管理するプロファイル管理部14と、プロファイルに基づいてサービスの制御を行うサービス制御部13と、プロファイルを構成する1つ以上の認証シナリオのうち特定のサービスと対応する認証シナリオに従って認証の制御を行う認証制御部12とを備え、認証制御部12は、認証シナリオの条件に従った認証が行われていると判定した場合、サービス制御部13は、特定のサービスと対応する利用情報を用いてサービスを制御するように構成する。
【選択図】図2

Description

本発明は、通信端末を用いて種々のサービスを利用する際のそれぞれの認証を統合的に行う認証技術に関する。
従来の通信端末としては、通信端末を所有するユーザが所属している企業またはサービスプロバイダーから提供されたプロファイルに従ってネットワークの接続を行うものが知られている。プロファイルは、所望のネットワークと接続するための接続情報や接続に必要な認証情報を組み合わせて構成されたデータである。
また、プロファイルには、認証サーバに対して認証を行い、かつ検疫サーバに対して検疫を受けなければ、特定のネットワーク接続できないように制限するための情報が含まれているものや、プロファイルが暗号化されているものもある(例えば、特許文献1参照)。
上述した従来の通信端末では、プロファイルがあれば自動的に所望のネットワークと接続するので、所望のネットワークと接続するために必要な情報をユーザが意識する必要がなくなり、ユーザに対する利便性を高めることができる。また、プロファイルは、暗号化されているため、プロファイルにある接続情報や認証情報を復号可能な通信端末だけが利用できる。また、プロファイルにある接続情報や認証情報は、ユーザには公開されないため、接続情報や認証情報の秘匿性を実現している。
また、従来の通信端末としては、プロファイルを用いてネットワークの接続に失敗した場合、所望のネットワークに接続可能な次のプロファイルを選択し、ネットワーク接続を再試行し、所望のネットワークとの接続に成功するまで、全てのプロファイルを選択するものもある(例えば、特許文献2参照)。
特開2006−324980号公報 特開2006−196987号公報
しかしながら、上述した通信端末に係る技術では、プロファイルを用いて特定のサーバやネットワークにログオンする際、ログオンする端末やユーザを制限することができないため、適切でない端末やユーザで特定のサーバやネットワークにログオンできてしまうという課題が残されていた。また、無線や有線などの接続手段を制限することもできないため、無線接続などのセキュリティの低い接続手段でもログオンできてしまう。
本発明は、従来の課題を解決するためになされたもので、プロファイルを用いて種々のサービスを利用する際のセキュリティを高めることができる通信端末および通信プログラムを提供することを目的とする。
第1の本発明に係る通信端末は、ユーザがサービスを利用する際に必要な利用情報および必要な認証に関わる条件や手続きを表す認証シナリオによって構成されたプロファイルを管理するプロファイル管理部と、前記プロファイルに基づいてサービスの制御を行うサービス制御部と、前記プロファイルを構成する1つ以上の認証シナリオのうち特定のサービスと対応する認証シナリオに従って認証の制御を行う認証制御部とを備え、前記認証制御部は、前記特定のサービスと対応する認証シナリオの前記条件に従った認証が行われていると判定した場合、前記サービス制御部は、前記特定のサービスと対応する前記利用情報を用いてサービスを制御する構成を備えている。
この構成により、特定のサービスと対応する認証シナリオの条件に従った認証が行われていると判定した場合、特定のサービスと対応する利用情報を用いてサービスを制御するため、プロファイルを用いて種々のサービスを利用する際のセキュリティを高めることができる。
上記通信端末は、前記認証制御部は、指定された前記サービスと対応する認証の制御を行う際、前記手続きの通りに前記認証シナリオの条件に従った認証を行い、前記サービス制御部は、指定された前記サービスと対応する前記利用情報を用いてサービスを制御する構成を備えている。
この構成により、認証状態を待たずに簡易に認証処理を行うことができる。
上記通信端末は、前記認証制御部が認証を行ったときの結果を認証状態として管理する認証状態管理部を備え、前記認証制御部は、指定された前記サービスと対応する認証の制御を行う際、前記認証状態を参照して、指定された前記サービスと対応する認証シナリオの前記条件に従っているか否かを判定した場合、前記サービス制御部は、指定された前記サービスと対応する前記利用情報を用いてサービスを制御する構成を備えている。
この構成により、認証状態を参照して、指定されたサービスと対応する認証シナリオの条件に従っているか否かを判定するため、効率的に認証処理を行うことができ、認証シナリオの条件に従った認証が既に正常終了している場合にこの認証を省略して認証を行うことができる。
上記通信端末は、前記認証制御部は、指定された前記サービスと対応する認証シナリオの条件に従った認証が行われていると判定した場合、前記サービス制御部は、指定された前記サービスと対応する前記利用情報の入力を前記ユーザに要求し、前記ユーザによって入力された前記利用情報を用いてサービスを制御する構成を備えている。
この構成により、ユーザによって入力された利用情報を用いてサービスを制御するため、プロファイルを用いてサービスを利用する際のセキュリティを高めることができる。
上記通信端末は、前記認証シナリオには、アプリケーション毎に対応した認証に関わる条件や手続きの組み合わせを表すアプリケーション認証シナリオがあり、前記認証制御部は、指定された前記アプリケーションと対応した前記アプリケーション認証シナリオの条件に従った認証が行われていると判定した場合、前記サービス制御部は、指定された前記アプリケーションと対応する前記利用情報を用いてアプリケーションのサービスを制御する構成を備えている。
この構成により、特定のアプリケーションのサービスと対応する認証シナリオの条件に従った認証が行われていると判定した場合、特定のアプリケーションのサービスと対応する利用情報を用いてサービスを制御するため、プロファイルを用いてアプリケーションのサービスを利用する際のセキュリティを高めることができる。
上記通信端末は、前記認証シナリオには、ネットワークの接続手段毎に対応した認証に関わる条件や手続きの組み合わせを表すネットワーク接続シナリオがあり、前記認証制御部は、指定された前記接続手段と対応した前記ネットワーク接続シナリオの条件に従った認証が行われていると判定した場合、前記サービス制御部は、指定された前記接続手段と対応する前記利用情報を用いてネットワーク接続のサービスを制御する構成を備えている。
この構成により、特定のネットワーク接続のサービスと対応する認証シナリオの条件に従った認証が行われていると判定した場合、特定のネットワーク接続のサービスと対応する利用情報を用いてサービスを制御するため、プロファイルを用いてネットワーク接続のサービスを利用する際のセキュリティを高めることができる。
上記通信端末は、前記認証シナリオは、認証に関わる条件を表す認証サブシナリオによって構成され、さらに複数の前記認証サブシナリオを有する場合互いに種類の異なる前記認証サブシナリオの組み合わせであり、前記認証制御部は、前記認証サブシナリオの条件に従ったそれぞれの認証結果を、論理和論理積の組み合わせからなる論理演算したものが真であると判定した場合、前記サービス制御部は、指定された前記サービスと対応する前記利用情報を用いてサービスを制御する構成を備えている。
この構成により、ネットワーク構成やサービスの利用構成に合わせて柔軟に認証シナリオを構築することができる。
上記通信端末は、前記認証サブシナリオは、前記ユーザを認証するための条件や手続きを表す本人認証サブシナリオであり、前記認証制御部は、前記本人認証サブシナリオの条件に従った認証が行われているか否かを判定する構成を備えている。
上記通信端末は、前記認証サブシナリオは、前記通信端末自身を認証するための条件や手続きを表す端末認証サブシナリオであり、前記認証制御部は、前記端末認証サブシナリオの条件に従った認証が行われているか否かを判定する構成を備えている。
上記通信端末は、前記認証サブシナリオは、ネットワークの接続手段に対応した認証に関わる条件や手続きを表すネットワーク認証サブシナリオであり、前記認証制御部は、指定された前記接続手段と対応した前記ネットワーク認証サブシナリオの条件に従った認証が行われているか否かを判定する構成を備えている。
上記通信端末は、前記認証シナリオは、前記通信端末の環境を認証するための条件や手続きを表す環境認証サブシナリオであり、前記認証制御部は、前記環境認証サブシナリオの条件に従った認証が行われているか否かを判定する構成を備えている。
上記通信端末は、前記認証サブシナリオは、アプリケーションのサービスに対応した認証に関わる条件や手続きを表すアプリケーション認証サブシナリオであり、前記認証制御部は、指定された前記アプリケーションと対応した前記アプリケーション認証サブシナリオの条件に従った認証が行われているか否かを判定する構成を備えている。
上記通信端末は、前記認証サブシナリオの条件が複数存在する場合、前記認証制御部は、それぞれの条件が全てを満たしているときに前記認証サブシナリオの条件に従った認証が行われていると判定する構成を備えている。
この構成により、条件が全て満たしているときには認証が行われていると判定するため、サービスに対するセキュリティを高めることができる。
上記通信端末は、前記認証サブシナリオの条件が複数存在する場合、前記認証制御部は、それぞれの条件が何れか1つを満たしているときに前記認証サブシナリオの条件に従った認証が行われていると判定する構成を備えている。
この構成により、条件が何れか1つを満たしているときに認証が行われていると判定するため、サービスに対して自由度を高めることができる。
上記通信端末は、前記認証制御部は、前記ユーザから入力されたまたは予め設定された認証情報が正当な場合に起動する場合において、前記サービス制御部が、指定された前記サービスと対応する前記利用情報を用いてサービスを制御する際に使用する認証情報と、前記ユーザから入力されたまたは予め設定された認証情報とが異なる構成を備えている。
この構成により、ユーザから入力されたまたは予め設定された認証情報とサービスを制御する際に使用する認証情報とが異なれば、セキュリティが高くなり、ユーザから入力されたまたは予め設定された認証情報が変更になった場合でも、サービスを制御する際に使用する認証情報を変更する必要は無い。
上記通信端末は、前記サービスを利用している際に再認証を要求された場合、前記認証制御部は、前記認証状態管理部が管理している認証状態に基づいて再認証を行う構成を備えている。
この構成により、通信端末が自動で再認証を行うため、認証にかかるユーザの負担を軽減しユーザの利便性を図ることができる。
上記通信端末は、前記サービスを利用している際に再認証を要求された場合、前記認証制御部は、前記認証シナリオに従って再認証を行う構成を備えている。
この構成により、シナリオの条件に従って再認証を行うため、サービスを利用する際のセキュリティを高めることができる。
第2の本発明に係る通信プログラムは、ユーザがサービスを利用する際に必要な利用情報および必要な認証に関わる条件や手続きを表す認証シナリオによって構成されたプロファイルを用いて、1つ以上の前記認証シナリオのうち特定のサービスと対応する認証シナリオに従って認証の判定を行うステップと、前記ステップで、前記特定のサービスと対応する認証シナリオの条件に従った認証が行われていると判定した場合、前記特定のサービスと対応する前記利用情報を用いてサービスを制御するステップと、をコンピュータに実行させる。
このプログラムにより、特定のサービスと対応する認証シナリオの条件に従った認証が行われていると判定した場合、特定のサービスと対応する利用情報を用いてサービスを制御するため、プロファイルを用いて種々のサービスを利用する際のセキュリティを高めることができる。
以上のように本発明は、プロファイルを用いて、プロトコル上は相互に関係がなく、端末やネットワーク上の様々なレベルに独立分散していた各種認証処理やネットワーク接続処理の間に関係を定義し、サービスを利用する際に許される認証方式とネットワーク接続方式の組み合わせを限定することを可能とすることにより、セキュリティを高めることができる通信端末を提供するものである。
以下、図面を参照して本発明の実施の形態について詳細に説明する。
(本発明の第1の実施の形態)
図1は、本発明の第1の実施の形態に係る通信システムのシステム構成図である。図1に示す通信システムは、通信端末10およびネットワーク30、加えてネットワーク30に接続されたネットワーク接続機器31(図中ではNW機器とした)、認証サーバ32、検疫サーバ33、およびAPLサーバ34を備えた構成を有している。
通信端末10は、ユーザによって使用され、ネットワーク30と接続し、接続したネットワーク30を介してアプリケーションのサービスを提供するAPLサーバ34を利用できるように構成されている。また、通信端末10は、ユーザの認証や通信端末10自身を認証することが可能である。通信端末10の詳細な構成については後述する。
ネットワーク接続機器31は、例えば、ファイアウォール、ゲートウエイや無線通信のためのアクセスポイントなどであり、通信端末10をネットワーク30に接続するための機器である。ネットワーク接続機器31が通信端末10に提供する接続手段は、有線、無線を問わず、VPNアクセス接続、ダイヤルアップ接続、社内有線LAN接続、または社内無線LAN接続など、ネットワーク30に接続可能な手段であれば如何なるものでもよい。
認証サーバ32は、ネットワーク30に接続するときにユーザや通信端末10を認証するものであり、認証が成功した場合に、ネットワーク30との接続を許可するようになっている。
検疫サーバ33は、通信端末10に対してウィルスの有無を確認したり、オペレーティングシステム(OS)や通信端末10にインストールされているソフトウェアのバージョンの確認などを行う。なお、認証サーバ32の認証結果や検疫サーバ33の検疫結果が正常である場合、通信端末10は、APLサーバ34と接続できるようになる。
その他、検疫サーバ33は、OSのパッチのバージョンやウィルス定義ファイルのバージョン、さらに使用を禁止するアプリケーションソフトウエア(Winny等)のインストールの有無などをチェックしてもよい。
APLサーバ34は、ネットワーク30を介してアプリケーションのサービスを提供するサーバである。例えば、アプリケーションには、インスタントメッセージ(IM)サービス、電子メールサービス、IP電話サービス、WWW(World Wide Web)サービスなどが含まれる。
なお、通信端末10は、パソコン、携帯電話機、またはPDA(Personal Digital Assistant)でもよく、ネットワークを介してサーバと通信可能ばものであれば如何なるものでもよい。ネットワーク30は、LANでもよく、ISP(Internet Service Provider)が管理するネットワークでもよく、企業が管理するイントラネットでもよく、インターネットでもよい。
図2は、本発明の第1の実施の形態に係る通信端末のブロック構成図である。図2に示すように、通信端末10は、統合制御部11、認証制御部12、およびサービス制御部13によって構成される。また、通信端末10は、図示していないが、CPU(Central Processing Unit)、メモリ、ネットワークインタフェース、画面、キー操作等をさせる入力部、USBインタフェース等のハードウエアを有している。なお、統合制御部11、認証制御部12、およびサービス制御部13は、CPUによって実行されるプログラムのモジュール等でもよい。また、通信端末10には、図示しないBIOSやOSが実装されている。
統合制御部11は、プロファイル管理部14、認証状態管理部15、およびGUI制御部16によって構成される。
プロファイル管理部14は、サービスを利用する際に必要な利用情報および必要な認証に関わる条件や手続きを表す認証シナリオによって構成されたプロファイルを管理するようになっている。また、認証状態管理部15は、通信端末10が認証を行ったときの結果を認証状態として管理するようになっている。なお、GUI制御部16は、GUI(Graphical User Interface)を提供するためのものであり、ユーザに対する情報の入出力を制御するようになっている。
プロファイルは、ネットワーク管理者などによって作成、提供されたデータである。ここで、プロファイルの一例を図3に示す。
図3に示したプロファイルの利用情報としては、通信端末10を利用するユーザを認証するための本人認証用の情報、通信端末10自身を認証するための端末認証用の情報、ネットワークに接続するためのネットワーク(NW)認証用の情報、検疫や更新を受けるための環境認証用の情報、およびAPLサーバ34に接続するためのAPL認証用の情報がある。
プロファイルには、ネットワークに接続するための条件や手続きを表すネットワーク(NW)認証シナリオ、APLサーバ34を利用するための条件や手続きを表すアプリケーション(APL)認証シナリオなどの認証シナリオがある。これら認証シナリオは、ユーザを認証するための条件や手続きを表す本人認証サブシナリオ、通信端末10を認証するための条件や手続きを表す端末認証サブシナリオ、通信端末10の環境を認証するための条件や手続きを表す環境認証サブシナリオ、ネットワークの接続手段に対応した認証に関わる条件や手続きを表すNW認証サブシナリオ、アプリケーションに対応した認証に関わる条件や手続きを表すアプリケーション認証サブシナリオによって構成される。また、認証シナリオは、本人認証サブシナリオ、端末認証サブシナリオ、環境認証サブシナリオ、NW認証サブシナリオ及びアプリケーション認証サブシナリオによって構成されるものとしたが、これに限定されるものではなく、認証シナリオは、上記以外の認証のための条件や手続きを表す別のサブシナリオを含んだ構成であってもよい。
以下、認証シナリオについて、図3に示したプロファイルのNW認証シナリオおよびAPL認証シナリオを例にとって説明する。例えば、NW認証シナリオは、本人認証サブシナリオ、端末認証サブシナリオ、環境認証サブシナリオの組み合わせで構成されている。このように、認証シナリオは、互いに種類の異なる複数の認証サブシナリオに組み合わせた構成でもよい。例えば、複数の認証サブシナリオの組み合わせ方法は、ネットワーク構成やサービスの利用構成に合わせて決定される。
なお、プロファイルの内容は、ユーザの権限に応じて接続手段や起動APLを制限するため、ユーザ毎に異なる内容に設定可能である。
認証制御部12は、本人認証制御部17、端末認証制御部18、NW認証制御部19、環境認証制御部20、およびAPL認証制御部21によって構成される。
認証制御部12は、特定のサービスと対応する認証シナリオに従って認証の制御を行うようになっている。例えば、特定のサービスとは、有線LANや無線LANなどのネットワークに接続するためのネットワーク接続サービスでもよいし、電子メールやIP電話などのアプリケーションサービスなどユーザが所望するサービスなどである。また、特定のサービスは、1つのサービスに限定されず、電子メールとIP電話とを共に実施するように、複数のサービスでもよい。
本人認証制御部17は、プロファイルの本人認証用の情報および条件を表す本人認証サブシナリオに従って通信端末10を利用するユーザを認証するようになっている。例えば、本人認証用の情報には、図3に示すように、ユーザIDおよびパスワードがあって、本人認証制御部17は、プロファイル内部のユーザIDおよびパスワードとユーザがGUIを介して入力したユーザIDおよびパスワードとが一致するか否かを確認するようにしてもよい。
また、本人認証用の情報には、ICカードで認証するためのユーザ用の公開鍵があって、本人認証制御部17は、ユーザ用の秘密鍵を格納しているICカードが接続されたとき、ICカード内の秘密鍵を使用した署名を要求し、プロファイル内の公開鍵で署名検証することによって認証するようにしてもよい。
また、本人認証用の情報には、指紋や虹彩などの生体認証で認証するための生体情報があって、本人認証制御部17は、通信端末10に接続された生体情報リーダーから生体情報を取得し、取得した生体情報とプロファイル内部の生体情報とが一致するか否かを確認するようにしてもよい。
なお、上述した説明では、プロファイル内部の本人認証用の情報は、パスワードや生体認証情報など、他の機器などから介して取得した情報との比較対象となる情報としていたが、本人認証用の情報は、比較対象となる情報である必要はなく、他の機器で本人認証させた結果が正常であることを確認するための情報でもよい。
端末認証制御部18は、プロファイルの端末認証用の情報および条件を表す端末認証サブシナリオに従って通信端末10自身を認証するようになっている。例えば、端末認証用の情報には、図3に示すように、BIOSの情報があって、端末認証制御部18は、プロファイル内部のBIOSの情報と、通信端末10に実装されているBIOSの情報とが一致するか否かを確認するようにしてもよい。
また、端末認証用の情報には、図3に示すように、MACアドレスの情報があって、端末認証制御部18は、プロファイル内部のMACアドレスの情報と、通信端末10に実装されているMACアドレスの情報とが一致するか否かを確認するようにしてもよい。
NW認証制御部19は、有線LANや無線LANなどのネットワークに接続するためのネットワーク接続サービスのうち特定のサービスと対応するNW認証シナリオの条件を満たしているか否かを確認し、確認したときのNW認証シナリオの手続きに従って実行するようになっている。
例えば、ネットワーク接続サービスには、図3に示すように、VPN接続、ダイヤルアップ接続、社内有線LAN、および社内無線LANに接続するためのものがある。社内無線LANのネットワーク接続サービスを利用する場合を例示すれば、NW認証シナリオの条件として、図3に示したプロファイルのNW認証シナリオのうち社内無線LANに対応する項目の認証、すなわち本人認証、端末認証、および環境認証がなされていることが必要であり、さらに、本人認証としては、ユーザIDとパスワード、ICカードでの認証であり、また、端末認証としては、BIOSおよびMACアドレスでの認証である。すなわち、図3に示したプロファイルの認証サブシナリオの条件については、「◎」となっているそれぞれの条件が全てを満たすことが必要である。
環境認証制御部20は、プロファイルの環境認証用の情報および条件を表す環境認証サブシナリオの条件を満たすとき、検疫や更新を実行するようになっている。
APL認証制御部21は、電子メールやIP電話などのアプリケーションサービスのうち特定のサービスと対応するAPL認証シナリオの条件を満たしているか否かを確認し、確認したときのAPL認証シナリオの手続きに従って実行するようになっている。
例えば、アプリケーションサービスには、図3に示すように、IM(インスタントメッセージ)、電子メール、IP電話、業務用アプリケーションなどがある。APL認証シナリオを構成するNW認証サブシナリオの条件として、ネットワークに対する接続手段があり、IP電話のサービスを利用する場合を例示すれば、図3に示したプロファイルのNW認証サブシナリオのIP電話に対応する項目の接続手段の条件としては、すなわち社内有線LANまたは社内無線LANを利用していることが必要である。すなわち、図3に示したプロファイルのAPL認証シナリオを構成するNW認証サブシナリオの条件については、アプリケーションサービス毎に対応する「○」となっているそれぞれの条件が少なくとも1つ以上満たせばよい。また、APL認証シナリオを構成するAPL認証サブシナリオの条件として、アプリケーションサービス毎に対応する「◎」となっているユーザIDおよびパスワードや、ワンタームパスワードの認証項目を満たしていればよい。なお、APL認証情報の提供について、「ユーザ入力」とは、ユーザが手動でAPL認証情報を入力し、「可」とは、プロファイルにあるAPL認証情報が自動で入力されることを意味する。
サービス制御部13は、NW接続制御部22、検疫エージェント23、およびAPLエージェント24によって構成される。
NW接続制御部22は、NW認証制御部19の指示により、特定のネットワーク接続サービスと対応する利用情報を用いて特定のネットワークに接続するようになっている。
図3において、例えば社内無線LANに接続するためのNW認証用の情報としては、プロトコル毎などに対応した接続部品1〜4まであり、接続部品1として無線LANに接続するための情報、接続部品2としてIEEE802.1Xで用いる情報、接続部品3としてEAP−TTLS(Extensible Authentication Protocol-Tunneled Transport Layer Security)で用いる情報、接続部品4としてIPアドレス関連の設定で用いる情報である。
検疫エージェント23は、環境認証制御部20の指示により、検疫や更新を受けるようになっている。図3において、検疫や更新を受けるための環境認証用の情報としては、検疫サーバ33や更新サーバなどのIPアドレスがある。
APLエージェント24は、APL認証制御部21の指示により、特定のアプリケーションサービスと対応するAPL認証用の情報を用いて特定のサービスを受けるようになっている。APL認証用の情報は、アプリケーションの内容、APLサーバ34のIPアドレス、ログオンするときのユーザIDとパスワードがある。
以上のように構成された本発明の第1の実施の形態に係る通信端末のプログラムの処理について、図面を参照して説明する。本発明の第1の実施の形態では、本人認証シナリオに関わる手続きとして「ID/PW認証」、「ICカード認証」、および「生体認証」を実行し、端末認証サブシナリオに関わる手続きとして「BIOS認証」および「MAC認証」を実行する。なお、本発明の第1の実施の形態に係る通信端末が有するプロファイルの認証シナリオの手続きに関わる情報の内容の一例を図4に示す。
図4に示した手続きに関わる情報は、ユーザが任意に設定することが可能であり、図4に設定されている内容では、ネットワークの自動接続設定が有効であり、この情報が有効であると、ユーザの指示によることなく自動でネットワーク接続サービスが実行される。
ネットワーク接続サービスの接続手段については、優先順位が決められており、優先順位が1位のものから優先してネットワーク接続が実行される。また、アプリケーションサービスの自動起動に関わる設定では、ネットワーク接続の実行後、アプリケーションサービスを自動で起動するものについて有効が設定される。
図5は、本発明の第1の実施の形態に係る通信端末のプログラムの処理のうち検疫を行うまでの流れを示すシーケンス図である。
図5に示したシーケンス図では、OSを起動する際にOSがユーザIDやパスワードなどの本人情報をユーザに要求し、ユーザが本人情報を入力するなどして認証を済ませOSにログオンする。
その後、認証制御部12の本人認証制御部17は、本人認証として「ID/PW認証」、「ICカード認証」、および「生体認証」を実行する。その際、本人認証制御部17は、本人情報をユーザに要求し、それぞれの認証毎にユーザによって入力された本人情報と、プロファイルの本人認証用の情報とを比較して本人認証の成功、失敗を判断する。このとき、「ID/PW認証」が成功、「ICカード認証」が成功、および「生体認証」が失敗であった場合、認証状態管理部15が管理する認証状態のうち本人認証の認証状態は、図6に示す通りである。
次に、認証制御部12の端末認証制御部18は、認証端末として「BIOS認証」および「MAC認証」を実行する。その際、端末認証制御部18は、端末情報やOSやBIOSに要求し、OSやBIOSが有する端末情報と、プロファイルの端末認証用の情報とを比較して端末認証の成功、失敗を判断する。このとき、「BIOS認証」および「MAC認証」が共に成功であった場合、認証状態管理部15が管理する認証状態のうち端末認証の認証状態は、図6に示す通りである。
ここで、図4に示したようにネットワークの自動接続設定が有効であるため、自動でネットワーク接続サービスが実行される。ネットワーク接続サービスの接続状態の優先順位が1位のものは、無線LANであり、図6に示した本人認証および端末認証の認証状態が、図3に示したNW認証シナリオのうち無線LANの条件を満たすため、無線LAN接続サービスが選択され、NW認証制御部19は、NW接続制御部22を介して無線LAN接続をNW接続機器31に対し実行する。すると、NW接続機器31は、NW接続制御部22から送信されたNW駆動用の情報を用いて認証し、認証の結果をNW接続制御部22に返却し、NW認証制御部19は、認証の結果を判断する。
なお、認証の結果が成功した場合には、認証状態管理部15が管理する認証状態のうちNW認証の認証状態は、図6に示す通りであり、社内無線LANが接続中となる。また、図6に示した本人認証および端末認証の認証状態が、図3に示したNW認証シナリオのうち有線LANにおいても条件を満たすため、端末認証の認証状態における接続の可否については、図6に示す通り、社内無線LANおよび社内有線LANが「接続可」となる。
NW認証の結果が成功であった場合、引き続き、認証制御部12の環境認証制御部20は、検疫や更新を受けるために検疫エージェント23を起動し、検疫エージェント23は、インストールされているOSやソフトウェアのバージョンを環境情報として取得して検疫サーバ33に送信する。すると、検疫サーバ33は、検疫エージェント23から送信された環境情報を用いて検疫の成否を判断し、検疫の成否の判断結果を検疫エージェント23に返却し、環境認証制御部20は、検疫の成否の判断結果を判断する。このとき、検疫成否の判断結果が成否であった場合、認証状態管理部15が管理する認証状態のうち環境認証の認証状態は、図6に示す通りである。
なお、図5のシーケンス図で説明した処理に替えて図7に示すように、本人認証制御部17は、本人認証を行う際にOSが本人認証を行った本人認証結果をOSに対して要求し、その結果に基づいて本人認証の成功、失敗を判断するようにしてもよい。
図5および図7で説明したネットワーク接続および検疫を実行した後の処理について次に説明する。図8は、本発明の第1の実施の形態に係る通信端末のプログラムの処理のうちアプリケーションサービスを受けるための処理の流れを示すシーケンス図である。
認証制御部12のAPL認証制御部21は、図4に示した手続きに関わる情報のうちアプリケーションサービスの自動起動に関わる設定を参照し、アプリケーションサービスの自動起動の可否を判断してAPL認証シナリオの条件を満たすか否かを判断する。
例えば、図4ではIMおよび電子メールが有効に設定されているため、APL認証制御部21は、これら有効に設定されているアプリケーションサービスを受ける際、図3に示したAPL認証シナリオを構成するNW認証サブシナリオの条件を満たすか否か判断する。図3に示したNW認証サブシナリオの条件では、IMおよび電子メールは全ての接続手段を許容しているため、アプリケーションサービスを受けるための処理を実行する。
その際、APL認証制御部21は、APLエージェント24を介し、自動起動が有効に設定されているアプリケーションサービスと対応するAPL認証用の情報を用いてAPLサーバ34の認証を受けることになる。例えば、IMおよび電子メールに対応する図3に示したAPL認証シナリオのAPL認証情報の提供は、「可」であるため、ユーザの入力を伴うことなく自動でAPL認証情報がAPLサーバ34に提供される。
すると、APLサーバ34は、APLエージェント24から送信されたAPL認証情報を用いて認証し、認証の結果をAPLエージェント24に返却し、APL認証制御部21は、認証の結果を判断する。
例えば、IMおよび電子メールに対応するAPLサーバ34の認証の結果が成功であった場合、図9に示すように、認証状態管理部15が管理する認証状態のうちAPL認証ステータスは、それぞれ起動中となる。また、IM、電子メール、IP電話、業務用アプリケーションについては、無線LAN接続が完了していれば図3に示したAPL認証シナリオを構成するNW認証サブシナリオの条件を満たすため、アプリケーションサービスの起動状態としては、起動可能となっている。
なお、図8のアプリケーションサービスを受けるための処理では、APL認証情報の提供は、自動でAPL認証情報がAPLサーバ34に提供される例について説明したが、図3に示したAPL認証シナリオのAPL認証情報の提供は、「ユーザ入力」に設定されている業務用アプリケーションのようなアプリケーションサービスもある。この場合には、図8のシーケンス図で説明した処理に替えて図10に示すように、APLエージェント24は、APL認証情報をユーザに対して要求し、ユーザによって入力されたAPL認証情報をAPLサーバ34に送信する。
また、図4においてアプリケーションサービスの自動起動に関わる設定が無効となっているアプリケーションサービスの場合には、図8のシーケンス図で説明した処理に替えて図11に示すように、ユーザが指定したアプリケーションサービスの起動がAPLエージェント24に要求される。次に、APLエージェント24は、APL認証情報をAPL認証制御部21に要求することで、APL認証制御部21は、アプリケーションサービスを受ける際、図3に示したAPL認証シナリオを構成するNW認証サブシナリオの条件を満たすか否か判断する。
NW認証サブシナリオの条件を満たす場合、APLエージェント24は、APL認証制御部21からAPL認証情報を取得し、ユーザが指定したアプリケーションサービスを受けるための処理を実行する。その後、APLサーバ34は、APLエージェント24から送信されたAPL認証情報を用いて認証し、認証の結果をAPLエージェント24に返却し、APLエージェント24は、認証の結果をユーザに返却する。
また、図3に示したAPL認証シナリオのAPL認証情報の提供が「ユーザ入力」に設定されており、かつ、図4においてアプリケーションサービスの自動起動に関わる設定が無効となっているアプリケーションサービスの場合には、図11のシーケンス図で説明した処理に替えて図12に示すように、ユーザが指定したアプリケーションサービスの起動がAPLエージェント24に要求される。次に、APLエージェント24は、APL認証情報をAPL認証制御部21に要求することで、APL認証制御部21は、アプリケーションサービスを受ける際、図3に示したAPL認証シナリオを構成するNW認証サブシナリオの条件を満たすか否か判断する。
NW認証サブシナリオの条件を満たす場合、APL認証制御部21は、APL認証情報をユーザに対して要求し、ユーザによって入力されたAPL認証情報をAPLエージェント24に出力する。APLエージェント24は、APL認証制御部21からAPL認証情報を取得する。後の処理については、図11のシーケンス図で説明したものと同様である。
以上、本発明の第1の実施の形態に係る通信端末のプログラムの処理をシーケンス図を用いて説明したが、以下にフローチャートを用いて説明する。
図13は、認証制御部12の全体的な処理概要の流れを表すフローチャートである。まず、本人認証制御部17は、本人認証処理を実行し(S01)、入力された本人情報と、プロファイルの本人認証用の情報とを比較するなどして本人認証の成功、失敗を判断する(S02)。
本人認証が失敗した場合には、本人認証制御部17は、エラー処理を行い(S03)、本人認証が成功した場合、本人認証に関わる条件を満たすNW認証シナリオが存在すれば、端末認証制御部18は、端末認証処理を実行する(S04)。端末認証制御部18は、通信端末10に実装されている情報とプロファイル内部の情報とを比較するなどして端末認証の成功、失敗を判断する(S05)。
端末認証が失敗した場合には、端末認証制御部18は、エラー処理を行い(S06)、端末認証が成功した場合、端末認証に関わる条件を満たすNW認証シナリオが存在すれば、NW認証制御部19は、NW認証シナリオの手続きに従ってネットワーク認証処理を実行する(S07)。
NW認証制御部19は、ネットワーク認証処理の成功、失敗を判断し(S08)、ネットワーク認証処理が失敗した場合には、エラー処理を行い(S09)、ネットワーク認証処理が成功した場合には、環境認証制御部20は、検疫や更新などの環境認証処理を実行する(S10)。
環境認証制御部20は、環境認証サブシナリオに従って環境認証処理の成功、失敗を判断し(S11)、環境認証処理が失敗した場合には、エラー処理を行い(S12)、環境認証処理が成功した場合には、APL認証制御部21は、アプリケーションサービスのうち特定のサービスと対応するAPL認証シナリオのNW認証サブシナリオの条件を満たしているか否かを確認し、確認したときのAPL認証サブシナリオの手続きに従ってAPL認証処理を実行する(S13)。APL認証制御部21は、APL認証処理の成功、失敗を判断し(S14)、APL認証処理が失敗した場合には、エラー処理を行う(S15)。
図14は、ステップS01からS03までの本人認証シナリオに関わる処理を詳細に説明するためのフローチャートである。
本人認証制御部17は、プロファイル管理部14から、本人認証の方法(ユーザIDおよびパスワード入力による認証や生体認証など)と対応するプロファイルの本人認証用の情報を取得する(S21)。また、本人認証制御部17は、ユーザから、ユーザIDおよびパスワード入力や生体認証などの本人情報を取得し(S22)、ユーザから取得した本人情報とプロファイルの本人認証用の情報とを比較するなどして本人認証の成功、失敗を判断する(S02)。
本人認証が失敗した場合には、本人認証制御部17は、エラー処理を行い(S03)、本人認証が成功した場合には、端末認証制御部18は、成功した本人認証の方法を認証状態管理部15に通知する(S23)。なお、複数の方法で本人認証を行う必要がある場合には、本人認証の方法毎にステップS21からステップS23までの処理が繰返される。
また、図7で説明したようにユーザがOSにログオンする際、既に認証が済んでいる場合において、図14で説明した処理の変形例のフローチャートを図15に示す。
本人認証制御部17は、本人認証を行う際に、OSからログオン中のユーザに関する情報を取得する(S24)。次に、本人認証制御部17は、ログオン中のユーザに関する情報から、そのユーザに該当するプロファイルが存在するか否かを確認し(S25)、ユーザに該当するプロファイルが存在する場合、OSにログオンしたときの本人認証の方法を認証状態管理部15に通知する(S26)。
図16は、ステップS4からS6までの端末認証サブシナリオに関わる処理を詳細に説明するためのフローチャートである。
端末認証制御部18は、プロファイル管理部14から、端末認証の方法(MACアドレスやBIOSの情報による認証など)と対応するプロファイルの端末認証用の情報を取得する(S31)。また、端末認証制御部18は、OSなどから、MACアドレスの情報やBIOSの情報を取得し(S32)、OSなどから取得した端末認証用の情報とプロファイルの端末認証用の情報とを比較するなどして端末認証の成功、失敗を判断する(S05)。
端末認証が失敗した場合には、端末認証制御部18は、エラー処理を行い(S06)、端末認証が成功した場合には、端末認証制御部18は、成功した端末認証の方法を認証状態管理部15に通知する(S33)。なお、複数の方法で端末認証を行う必要がある場合には、端末認証の方法毎にステップS31からステップS33までの処理が繰返される。
図17は、ステップS7からS9までのNW認証シナリオに関わる処理を詳細に説明するためのフローチャートである。
NW認証制御部19は、認証状態管理部15からステータスの情報を取得し(S41)、プロファイル管理部14のNW認証シナリオの条件から現在のステータスで接続可能な接続手段に対応するNW認証情報を取得する(S42)。次に、NW認証制御部19は、図4に設定されているネットワークの自動接続設定が有効か無効かを確認し(S43)、有効である場合、図4に設定されている接続手段の優先順位のように優先順位の高い接続手段でネットワーク接続が実行される(S44)。
また、ネットワークの自動接続設定が無効である場合、NW認証制御部19は、NW認証シナリオの条件から接続可能な接続手段のリストなどをGUI制御部16を介して通信端末10の画面に表示させる(S45)。そして、GUI制御部16は、表示された接続手段のリストからユーザが選択した接続手段を入力し、ユーザが選択した接続手段でネットワーク接続が実行される(S46)。
次に、NW認証制御部19は、ネットワーク認証処理の成功、失敗を判断し(S08)、ネットワーク認証処理が失敗した場合には、エラー処理を行い(S09)、ネットワーク認証処理が成功した場合には、NW認証制御部19は、成功した接続手段を認証状態管理部15に通知する(S47)。
図18は、ステップS10からS12までの環境認証サブシナリオに関わる処理を詳細に説明するためのフローチャートである。
環境認証制御部20は、プロファイル管理部14から環境認証用の情報を取得し(S51)、検疫エージェント23を起動する(S52)。次に、環境認証制御部20は、検疫エージェント23による検疫などの環境認証処理の成功、失敗を判断し(S11)、環境認証処理が失敗した場合には、エラー処理を行い(S12)、環境認証処理が成功した場合には、環境認証制御部20は、検疫成功などを認証状態管理部15に通知する(S53)。
図19は、ステップS13からS15までのAPL認証シナリオに関わる処理を詳細に説明するためのフローチャートである。なお、図19では、図3のAPL認証シナリオのAPL認証情報の提供は「可」であることが前提である。また、図19のフローチャートは、図8で説明した処理に対応する。
APL認証制御部21は、認証状態管理部15からステータスの情報を取得し(S61)、プロファイル管理部14のAPL認証シナリオのNW認証サブシナリオの条件から現在のステータスで利用可能なアプリケーションサービスおよびAPL認証用の情報を取得し(S62)、取得したアプリケーションサービスのうち、図4に設定されている自動起動が可能なアプリケーションサービスを受けるため、APLエージェント24を起動する(S63)。APLエージェント24の認証処理が成功した場合には、APL認証制御部21は、成功したアプリケーションサービスを認証状態管理部15に通知する(S64)。
また、図4に設定されている自動起動ができないアプリケーションサービスがある場合、APL認証制御部21は、プロファイル管理部14のAPL認証シナリオのNW認証サブシナリオの条件から現在のステータスで利用可能なアプリケーションサービスのリストなどをGUI制御部16を介して通信端末10の画面に表示させる(S65)。
そして、GUI制御部16は、アプリケーションサービスのリストからユーザが選択しているか否かを確認し(S66)、ユーザが選択している場合、APL認証制御部21は、ユーザが選択したアプリケーションサービスを受けるため、APLエージェント24を起動する(S67)。APLエージェント24の認証処理が成功した場合には、APL認証制御部21は、成功したアプリケーションサービスを認証状態管理部15に通知する(S68)。
図20は、図19で説明した処理の変形例のフローチャートである。なお、図20では、図3のAPL認証シナリオのAPL認証情報の提供は「ユーザ入力」であることが前提である。図19と同じステップには同じ符号を付している。また、図20のフローチャートは、図10で説明した処理に対応する。
ステップ61〜63については、図19で説明した処理と同じであるため、省略する。APLエージェント24起動後、APL認証制御部21は、APLエージェント24からAPL認証情報を要求され(S71)、APL認証情報の入力を促すイメージをGUI制御部16を介して通信端末10の入力画面に表示させる(S72)。
その後、APL認証制御部21は、ユーザから入力されたAPL認証情報を受付け(S73)、APL認証情報をAPLエージェント24に送付し、APLエージェント24がAPL認証処理を実行する(S74)。ステップS64で、APLエージェント24の認証処理が成功した場合には、APL認証制御部21は、成功したアプリケーションサービスを認証状態管理部15に通知し、図19で説明した処理と同じS65〜S67、およびS71以降のステップが実行される。
図21は、図19で説明した処理の変形例のフローチャートである。なお、図21では、図3のAPL認証シナリオのAPL認証情報の提供は「可」であることが前提である。また、図21のフローチャートは、図11で説明した処理に対応する。
ユーザからアプリケーションサービスの提供が要求された後、APL認証制御部21は、APLエージェント24からAPL認証情報を要求され(S81)、認証状態管理部15からステータスの情報を取得し(S82)、プロファイル管理部14のAPL認証シナリオのNW認証サブシナリオの条件から現在のステータスで当該アプリケーションサービスが提供可能か否かを確認する(S83)。
当該アプリケーションサービスが提供できない場合には、APL認証制御部21は、エラー処理を行い(S15)、提供できる場合には、プロファイル管理部14からAPL認証用の情報を取得し(S84)、APL認証情報をAPLエージェント24に送付し、APLエージェント24がAPL認証処理を実行する(S85)。
図22は、図19で説明した処理の変形例のフローチャートである。なお、図22では、図3のAPL認証シナリオのAPL認証情報の提供は「ユーザ入力」であることが前提である。図20および図21と同じステップには同じ符号を付しており、それぞれの処理を省略している。また、図22のフローチャートは、図12で説明した処理に対応する。
なお、図5のシーケンス図で説明した処理に替えて図23に示すように、NW認証制御部19は、端末認証およびNW認証を同時に行うようにしてもよい。端末認証およびNW認証を同時に行う場合、図13で説明した認証制御部12の全体的な処理概要の流れを表すフローチャートは図24に示すような処理に替わる。
図25は、図24のステップS04からS06までの処理を詳細に説明するためのフローチャートである。なお、図25のフローチャートは、図16および図17のフローチャートに対応する。
端末認証制御部18は、OSなどからMACアドレスの情報やBIOSの情報などの端末情報を取得し(S90)、NW認証制御部19は、認証状態管理部15からステータスの情報を取得し(S91)、プロファイル管理部14のNW認証シナリオの条件から現在のステータスで接続可能な接続手段に対応するNW認証情報を取得するS(S92)。
次に、NW認証制御部19は、図4に設定されているネットワークの自動接続設定が有効か無効かを確認し(S93)、有効である場合、端末情報を用いて、図4に設定されている接続手段の優先順位のように優先順位の高い接続手段でネットワーク接続が実行される(S94)。以降の処理については、図17のフローチャートと同様である。
ところで、図3にプロファイルの認証シナリオについて説明したが、APL認証シナリオには、図26に示すように、NW認証シナリオにある本人認証サブシナリオ、端末認証サブシナリオ、環境認証サブシナリオの項目が追加されて存在してもよい。なお、APL認証サブシナリオについては省略している。図26に示したAPL認証シナリオの構成の場合について説明する。
認証制御部12は、本人認証として「ID/PW認証」、「ICカード認証」、および「生体認証」を実行し、端末認証として「BIOS認証」および「MAC認証」を実行し、環境認証を実行する。このとき、「ID/PW認証」が成功、「ICカード認証」が成功、および「生体認証」が失敗で「BIOS認証」「MAC認証」、環境認証が成功であったとする。その状態としては、図27に示すようになる。
ここで、図4に示したようにネットワークの自動接続設定が有効であるため、自動でネットワーク接続サービスが実行される。ネットワーク接続サービスの接続手段の優先順位が1位のものは、無線LANであり、図27に示した本人認証および端末認証の認証状態が、図26に示したNW認証シナリオのうち無線LANの条件を満たすため、無線LAN接続サービスが選択され、実行される。
さらに、図4に示した手続きに関わる情報のうちアプリケーションサービスの自動起動に関わる設定であれば、IMおよび電子メールが有効に設定されているため、APL認証制御部21は、これら有効に設定されているアプリケーションサービスを受ける際、図26に示したAPL認証シナリオの条件を満たすか否か判断する。図26に示したAPL認証シナリオのNW認証サブシナリオの条件では、IMおよび電子メールは全ての接続手段を許容しているため、アプリケーションサービスを受けるための処理を実行する。
なお、IMおよび電子メールに対応するAPLサーバ34の認証の結果が成功であった場合、図27に示すように、認証状態管理部15が管理する認証状態のうちAPL認証ステータスは、それぞれ起動中となる。また、無線LAN接続が完了していれば、IM、電子メール、IP電話については、図26に示したAPL認証シナリオの条件を満たすため、アプリケーションサービスの起動状態としては、起動可能となる。
業務用アプリケーションについては、図26に示したAPL認証シナリオの条件を満たさないため、起動不可となる。業務用アプリケーションの提供を受けたい場合には、生体認証を成功させることが必要となり、生体認証が通信端末10から要求され、APL認証情報の提供については「ユーザ入力」であるため、APL認証情報の入力が要求される。
以上説明したように、本発明の第1の実施の形態に係る通信端末は、特定のサービスと対応する認証シナリオの条件に従った認証が行われていると判定した場合、特定のサービスと対応する利用情報を用いてサービスを制御するため、プロファイルを用いて種々のサービスを利用する際のセキュリティを高めることができる。
(本発明の第2の実施の形態)
本発明の第1の実施の形態に係る通信端末では、認証状態の管理を行う構成をとっていたが、本発明の第2の実施の形態では、認証状態を管理しない構成をもつ通信端末について説明する。なお、本発明の第2の実施の形態に係る通信システムについては、通信端末を除き本発明の第1の実施の形態に係る通信システムと同様である。
図28は、本発明の第2の実施の形態に係る通信端末のブロック構成図である。なお、本発明の第2の実施の形態に係る通信端末を構成する構成要素のうち、本発明の第1の実施の形態に係る通信端末を構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
図28に示すように、通信端末40は、統合制御部41、認証制御部42、およびサービス制御部13によって構成される。また、通信端末40は、図示していないが、CPU(Central Processing Unit)、メモリ、ネットワークインタフェース、画面、キー操作等をさせる入力部、USBインタフェース等のハードウエアを有している。なお、統合制御部41、認証制御部42、およびサービス制御部13は、CPUによって実行されるプログラムのモジュール等でもよい。また、通信端末40には、図示しないBIOSやOSが実装されている。
統合制御部41は、プロファイル管理部14およびGUI制御部16によって構成され、認証状態管理部15を有していない。また、プロファイル管理部14が管理するプロファイルの一例を図29に示す。図29に示したプロファイルは、図3に示したプロファイルと、認証シナリオの部分を除き同じである。
図29に示したプロファイルの認証シナリオについて説明すれば、例えば、ユーザがIMのサービスの提供を受けたい場合、認証制御部42が、図29の認証シナリオに従い、本人認証としてユーザIDとパスワードを実行し、次に端末認証としてBIOSでの認証を実行し、次に社内無線LANでの認証を実行し、次に環境認証を実行し、完全に社内無線LANへの接続が完了した後、IMのサービスの提供を受ける。
このように、アプリケーションサービスの提供を受けたい場合、認証制御部42が、アプリケーションサービスに必要な本人認証、端末認証、環境認証などを順次行うため、認証状態を管理することがない。なお、提供を受けるサービスについては、アプリケーションサービスには限定されず、ネットワーク接続サービスでもよい。
以上説明したように、本発明の第2の実施の形態に係る通信端末は、認証状態を待たずに簡易に認証処理を行うことができる。
以上、本発明の実施の形態では、NW認証シナリオおよびAPL認証シナリオを例にとってネットワークの接続やネットワークを介したアプリケーションの利用について説明したが、通信端末にインストールされたアプリケーションのソフトウェアなどもプロファイルの使用により利用可能とすることができる。
なお、認証制御部12、42が判定する図3などに示したプロファイルの各認証サブシナリオの条件については、「◎」となっているそれぞれの条件が全てを満たすことが必要であるとし、「○」となっているそれぞれの条件が少なくとも1つ以上満たせばよいとしたが、本発明では、それぞれの条件に従ったそれぞれの認証結果を、論理和、論理積の組み合わせからなる論理演算したものが真であればよい。また、認証制御部は、各認証サブシナリオの条件に従ったそれぞれの認証結果を、論理和論理積の組み合わせからなる論理演算したものが真であると判定した場合、サービス制御部は、指定されたサービスと対応する利用情報を用いてサービスを制御するようにしてもよい。
認証制御部12、42は、ユーザから入力されたまたは予め設定された認証情報(この認証情報を認証情報Aとする)が正当な場合に起動するようにしてもよい。この場合において、サービス制御部が、指定されたサービスと対応する利用情報を用いてサービスを制御する際に使用する認証情報(この認証情報を認証情報Bとする)があったとき、認証情報Aと認証情報Bとが異なるようにしておく。認証情報Aと認証情報Bとが異なれば、セキュリティが高くなり、認証情報Aが変更になった場合でも認証情報Bを変更する必要は無い。認証情報Aと認証情報Bとが同じでもよいが、セキュリティが低くなり、認証情報Aが変更になった場合に、認証情報Bも変更する必要がある。
また、本発明の実施の形態において、サービスを利用している際に、サービスを利用してから一定時間が経過した後にAPLサーバ34から再認証を要求される場合がある。このような場合において、認証制御部12は、認証状態管理部15が管理している前回の認証したときの認証状態に基づいて再認証を行うようにしてもよい。また、認証制御部12、42は、そのときに使用した認証シナリオに従って再認証を行うようにしてもよい。
以上のように、本発明に係る通信端末および通信プログラムは、プロファイルを用いて種々のサービスを利用する際のセキュリティを高めることができるという効果を有し、ネットワークを介して所望のネットワークまたはサーバと通信するためのパソコン、携帯電話、またはPDA等として有用である。
本発明の第1の実施の形態に係る通信システムのシステム構成図。 本発明の第1の実施の形態に係る通信端末のブロック構成図。 本発明の第1の実施の形態に係るプロファイルの一例を示す図。 プロファイルの認証シナリオの手続きに関わる情報の内容の一例を示す図。 本発明の第1の実施の形態に係る通信端末のプログラムの処理のうち検疫を行うまでの流れを示すシーケンス図。 認証状態のうち本人認証の認証状態を示す図。 本発明の第1の実施の形態に係る通信端末のプログラムの処理のうち検疫を行うまでの流れを示すシーケンス図。 本発明の第1の実施の形態に係る通信端末のプログラムの処理のうちアプリケーションサービスを受けるための処理の流れを示すシーケンス図(アプリケーションサービスの自動起動かつAPL認証情報の自動入力する場合)。 認証状態のうちAPL認証ステータスを示す図。 本発明の第1の実施の形態に係る通信端末のプログラムの処理のうちアプリケーションサービスを受けるための処理の流れを示すシーケンス図(アプリケーションサービスの自動起動かつAPL認証情報の手動入力の場合)。 本発明の第1の実施の形態に係る通信端末のプログラムの処理のうちアプリケーションサービスを受けるための処理の流れを示すシーケンス図(アプリケーションサービスの手動起動かつAPL認証情報の自動入力の場合)。 本発明の第1の実施の形態に係る通信端末のプログラムの処理のうちアプリケーションサービスを受けるための処理の流れを示すシーケンス図(アプリケーションサービスの手動起動かつAPL認証情報の手動入力の場合)。 認証制御部の全体的な処理概要の流れを表すフローチャート。 本人認証の処理を詳細に説明するためのフローチャート。 本人認証の処理を詳細に説明するためのフローチャート(変形例)。 端末認証の処理を詳細に説明するためのフローチャート。 NW認証の処理を詳細に説明するためのフローチャート。 環境認証の処理を詳細に説明するためのフローチャート。 APL認証の処理を詳細に説明するためのフローチャート(アプリケーションサービスの自動起動かつAPL認証情報の自動入力の場合)。 図19で説明した処理の変形例のフローチャート。 図19で説明した処理の変形例のフローチャート。 図19で説明した処理の変形例のフローチャート。 本発明の第1の実施の形態に係る通信端末のプログラムの処理のうち検疫を行うまでの流れを示すシーケンス図(端末認証およびNW認証が同時)。 認証制御部の全体的な処理概要の流れを表すフローチャート(端末認証およびNW認証が同時)。 端末認証およびNW認証の同時処理を詳細に説明するためのフローチャート。 本発明の実施の形態に係るプロファイルの一例を示す図(APL認証シナリオの変形例)。 図26のAPL認証シナリオで実行されたときの認証状態を示す図。 本発明の第2の実施の形態に係る通信端末のブロック構成図。 本発明の第2の実施の形態に係るプロファイルの一例を示す図。
符号の説明
10、40 通信端末
11、41 統合制御部
12、42 認証制御部
13 サービス制御部
14 プロファイル管理部
15 認証状態管理部
16 GUI制御部
17 本人認証制御部
18 端末認証制御部
19 NW認証制御部
20 環境認証制御部
21 APL認証制御部
22 NW接続制御部
23 検疫エージェント
24 APLエージェント
30 ネットワーク
31 ネットワーク接続機器
32 認証サーバ
33 検疫サーバ
34 APLサーバ

Claims (8)

  1. ユーザがサービスを利用する際に必要な利用情報および必要な認証に関わる条件や手続きを表す認証シナリオによって構成されたプロファイルを管理するプロファイル管理部と、
    前記プロファイルに基づいてサービスの制御を行うサービス制御部と、
    前記プロファイルを構成する1つ以上の認証シナリオのうち特定のサービスと対応する認証シナリオに従って認証の制御を行う認証制御部とを備え、
    前記認証制御部は、指定された前記サービスと対応する認証シナリオの条件に従った認証が行われていると判定した場合、前記サービス制御部は、指定された前記サービスと対応する前記利用情報を用いてサービスを制御することを特徴とする通信端末。
  2. 前記認証制御部が認証を行ったときの結果を認証状態として管理する認証状態管理部を更に備え、
    前記認証制御部は、指定された前記サービスと対応する認証の制御を行う際、前記認証状態を参照して、指定された前記サービスと対応する認証シナリオの条件に従っているか否かを判定した場合、前記サービス制御部は、指定された前記サービスと対応する前記利用情報を用いてサービスを制御することを特徴とする請求項1に記載の通信端末。
  3. 前記認証制御部は、指定された前記サービスと対応する認証シナリオの条件に従った認証が行われていると判定した場合、前記サービス制御部は、指定された前記サービスと対応する前記利用情報の入力を前記ユーザに要求し、前記ユーザによって入力された前記利用情報を用いてサービスを制御することを特徴とする請求項1又は請求項2に記載の通信端末。
  4. 前記認証シナリオは、認証サブシナリオによって構成され、さらに複数の前記認証サブシナリオを有する場合互いに種類の異なる前記認証サブシナリオの組み合わせであり、
    前記認証制御部は、前記認証サブシナリオの条件に従ったそれぞれの認証結果を、論理和論理積の組み合わせからなる論理演算したものが真であると判定した場合、前記サービス制御部は、指定された前記サービスと対応する前記利用情報を用いてサービスを制御することを特徴とする請求項1乃至請求項3の何れかに記載の通信端末。
  5. 前記認証制御部は、前記ユーザから入力されたまたは予め設定された認証情報が正当な場合に起動する場合において、
    前記サービス制御部が、指定された前記サービスと対応する前記利用情報を用いてサービスを制御する際に使用する認証情報と、前記ユーザから入力されたまたは予め設定された認証情報とが異なることを特徴とする請求項1乃至請求項4の何れかに記載の通信端末。
  6. 前記サービスを利用している際に再認証を要求された場合、前記認証制御部は、前記認証状態管理部が管理している認証状態に基づいて再認証を行うことを特徴とする請求項2乃至請求項5の何れかに記載の通信端末。
  7. 前記サービスを利用している際に再認証を要求された場合、前記認証制御部は、前記認証シナリオに従って再認証を行うことを特徴とする請求項1乃至請求項6の何れかに記載の通信端末。
  8. ユーザがサービスを利用する際に必要な利用情報および必要な認証に関わる条件や手続きを表す認証シナリオによって構成されたプロファイルを用いて、1つ以上の前記認証シナリオのうち特定のサービスと対応する認証シナリオに従って認証の判定を行うステップと、
    前記ステップで、指定された前記サービスと対応する認証シナリオの条件に従った認証が行われていると判定した場合、指定された前記サービスと対応する前記利用情報を用いてサービスを制御するステップと、
    をコンピュータに実行させることを特徴とする通信プログラム。
JP2007088249A 2007-03-29 2007-03-29 通信端末および通信プログラム Pending JP2008250446A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007088249A JP2008250446A (ja) 2007-03-29 2007-03-29 通信端末および通信プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007088249A JP2008250446A (ja) 2007-03-29 2007-03-29 通信端末および通信プログラム

Publications (1)

Publication Number Publication Date
JP2008250446A true JP2008250446A (ja) 2008-10-16

Family

ID=39975359

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007088249A Pending JP2008250446A (ja) 2007-03-29 2007-03-29 通信端末および通信プログラム

Country Status (1)

Country Link
JP (1) JP2008250446A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010287932A (ja) * 2009-06-09 2010-12-24 Nec Corp 検疫ネットワークシステム、アクセス管理装置、アクセス管理方法、及びアクセス管理プログラム
JP2013048399A (ja) * 2011-02-17 2013-03-07 Panasonic Corp ネットワーク接続装置および方法
WO2016117500A1 (ja) * 2015-01-19 2016-07-28 日本電気株式会社 認証装置、方法、システムとプログラム並びにサーバ装置
WO2016158734A1 (ja) * 2015-04-02 2016-10-06 シャープ株式会社 通信方法、認証方法、端末装置、通信システムおよび認証装置
CN111985906A (zh) * 2020-09-02 2020-11-24 中国银行股份有限公司 一种远程办公系统、方法、装置及存储介质

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010287932A (ja) * 2009-06-09 2010-12-24 Nec Corp 検疫ネットワークシステム、アクセス管理装置、アクセス管理方法、及びアクセス管理プログラム
JP2013048399A (ja) * 2011-02-17 2013-03-07 Panasonic Corp ネットワーク接続装置および方法
JP2013048398A (ja) * 2011-02-17 2013-03-07 Panasonic Corp ネットワーク接続装置および方法
US8904491B2 (en) 2011-02-17 2014-12-02 Panasonic Corporation Network connecting device and method
US9276770B2 (en) 2011-02-17 2016-03-01 Panasonic Intellectual Property Management Co., Ltd. Network connecting device and method
WO2016117500A1 (ja) * 2015-01-19 2016-07-28 日本電気株式会社 認証装置、方法、システムとプログラム並びにサーバ装置
JPWO2016117500A1 (ja) * 2015-01-19 2017-11-24 日本電気株式会社 認証装置、方法、システムとプログラム並びにサーバ装置
US10579781B2 (en) 2015-01-19 2020-03-03 Nec Corporation Authentication apparatus, method, system and program, and server apparatus
US11030286B2 (en) 2015-01-19 2021-06-08 Nec Corporation Authentication apparatus, method, system and program, and server apparatus
WO2016158734A1 (ja) * 2015-04-02 2016-10-06 シャープ株式会社 通信方法、認証方法、端末装置、通信システムおよび認証装置
CN111985906A (zh) * 2020-09-02 2020-11-24 中国银行股份有限公司 一种远程办公系统、方法、装置及存储介质

Similar Documents

Publication Publication Date Title
US11716324B2 (en) Systems and methods for location-based authentication
CN102047262B (zh) 用于分布式安全内容管理系统的认证
US8799441B2 (en) Remote computer management when a proxy server is present at the site of a managed computer
US10432594B2 (en) Primitive functions for use in remote computer management
US11184360B2 (en) Systems and methods for controlling email access
US8510811B2 (en) Network transaction verification and authentication
US8645520B2 (en) Remote computer management using network communications protocol that enables communication through a firewall and/or gateway
JP6337642B2 (ja) パーソナルデバイスからネットワークに安全にアクセスする方法、パーソナルデバイス、ネットワークサーバ、およびアクセスポイント
US20110078676A1 (en) Use of a dynamicaly loaded library to update remote computer management capability
US20050132229A1 (en) Virtual private network based on root-trust module computing platforms
CN109995792B (zh) 一种存储设备的安全管理系统
US20060185001A1 (en) Methods and apparatus to configure a network device via an authentication protocol
US10455025B2 (en) Multi-factor authentication
KR20000016949A (ko) 이동성장치의국소서비스에대한액세스제어를제공하기위한방법및장치
US8151338B2 (en) Method and system for continuously serving authentication requests
US10873497B2 (en) Systems and methods for maintaining communication links
JP2008250446A (ja) 通信端末および通信プログラム
JP4031489B2 (ja) 通信端末および通信端末制御方法
EP1927254B1 (en) Method and a device to suspend the access to a service
US20230084993A1 (en) Mobile terminal, control method, and storage medium
US9143510B2 (en) Secure identification of intranet network
US8504665B1 (en) Management of a device connected to a remote computer using the remote computer to effect management actions
JP2023095286A (ja) ネットワークシステムおよびアクセス制御方法
KR101654249B1 (ko) 컴퓨터의 통신 인터페이스 보안 시스템