JP2009043042A - 認証システムおよび認証方法 - Google Patents

認証システムおよび認証方法 Download PDF

Info

Publication number
JP2009043042A
JP2009043042A JP2007207484A JP2007207484A JP2009043042A JP 2009043042 A JP2009043042 A JP 2009043042A JP 2007207484 A JP2007207484 A JP 2007207484A JP 2007207484 A JP2007207484 A JP 2007207484A JP 2009043042 A JP2009043042 A JP 2009043042A
Authority
JP
Japan
Prior art keywords
authentication
service
user terminal
service providing
providing server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007207484A
Other languages
English (en)
Other versions
JP5309496B2 (ja
Inventor
Hiroto Kawashiro
弘人 川白
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2007207484A priority Critical patent/JP5309496B2/ja
Publication of JP2009043042A publication Critical patent/JP2009043042A/ja
Application granted granted Critical
Publication of JP5309496B2 publication Critical patent/JP5309496B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】最低の認証レベルであっても充分なセキュリティレベルを確保し、且つ、提供するサービスに応じた認証レベルでの認証を必要とするサービス提供サーバの認証に伴う負荷を軽減する。
【解決手段】回線103を通じて通信網400に接続された利用者端末101と、通信網400に接続され、利用者端末101からサービス要求を受信し、利用者端末101にサービスを提供するサービス提供サーバ200と、通信網400に接続され、回線103の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、サービス提供サーバ200が利用者端末101に対して提供するサービスに応じた認証レベルの認証方法を用いて、利用者端末101の利用者の認証を代行する認証管理サーバ300とを備える。
【選択図】図1

Description

本発明は認証システムおよび認証方法に関し、特に利用者が通信網を介してサービス提供サーバからサービスの提供を受ける際の認証技術に関する。
パーソナルコンピュータ(PC)などの利用者端末から通信網経由でサービス提供サーバをアクセスし、サービスの提供を受ける際の利用者認証は、利用者端末とサービス提供サーバとの間で直接に行われるのが基本である。通信セッションを確立するためのシグナリングプロトコルであるSIP(Session Initiation Protocol)においても、サーバ側でリクエストの送信者が誰かということを確認する手段として、ユーザ−ユーザ間HTTPダイジェスト認証方式の利用が規定されている。
図26を参照すると、SIPで規定されたユーザ−ユーザ間HTTPダイジェスト認証方式では、まずUAC(User Agent Client)として動作する利用者端末がUAS(User Agent Server)として動作するサービス提供サーバに対して、AuthorizationヘッダのないINVITEを送信する。このINVITEは、UACとUASの間にあってSIPメッセージの中継を担うSIPサーバ(プロキシサーバ)によって中継されて、サービス提供サーバに届けられる。
サービス提供サーバは、受信したINVITE中のAuthorizationヘッダの有無を確認する。そして、当該ヘッダが無いため、図27に例示するようにチャレンジ値として必要なパラメータを記述したWWW−Authenticateヘッダを含む401 Authenticateを応答として返す。このWWW−AuthenticateはSIPサーバで中継されて、利用者端末へ届けられる。
利用者端末は、401 Authenticateを受信すると、図28に例示するようにレスポンス値に必要なパラメータを記述したAuthorizationヘッダとその他必要な情報を記述したINVITEを作成して送信する。このINVITEはSIPサーバで中継されて、サービス提供サーバへ届けられる。
サービス提供サーバは、受信したINVITE中のAuthorizationヘッダの有無を確認する。そして、当該ヘッダが有るため、記述されている情報を元に認証を行う。その結果、認証が成功すれば、200 OKを応答として返し、ACKの受信後、サービスの提供を行う。
他方、サービス提供サーバの負荷を軽減するために、通信網に認証管理サーバを接続し、サービス提供サーバのサービス提供のために認証管理サーバが利用者の認証を代行するシステムが提案されている(例えば特許文献1参照)。
利用者の認証には、利用者IDとパスワードによる認証方法、指紋などの生体特徴による認証方法など、利用者の本人性を確認するための認証情報を用いる方法が種々提案ないし実用化されている。また、通信網へ接続する加入者回線と利用者との関連付けを行い、加入者回線の回線識別情報と利用者を一意に識別する情報とによる認証を行うことによって、利用者毎に特定された加入者回線以外からサービスを利用できないようにした認証方法が提案されている(例えば特許文献1参照)。
さらに、高いセキュリティレベルを必要とするサービス、それほど高いセキュリティレベルを必要としないサービスなど、セキュリティレベルの異なる複数のサービスを提供するサービス提供サーバにおいて、提供するサービスに応じた認証レベルで認証を行う方法が提案されている(例えば特許文献2、特許文献3参照)。ここで、認証レベルは、そのレベルが高いほど、確保できるセキュリティレベルが高いことを意味する。例えば、指紋による認証はパスワードによる認証に比べて認証レベルが高いと言える。
特開2006−331204号公報 特開2007−79992号公報 特開2003−248661号公報
提供するサービスに応じた認証レベルで利用者の認証を行う認証方法が提案されているが、その場合に複数の認証レベルの認証方法としてどのような認証方法を用いるのが良いのかという技術上の課題がある。
また、提供するサービスに応じた認証レベルで認証を行うサービス提供サーバでは、単一の認証レベルで認証を行う場合に比べて負荷が増加するため、その負荷を軽減することも重要な課題の一つである。
本発明の目的は、最低の認証レベルであっても充分なセキュリティレベルを確保することができ、しかも提供するサービスに応じた認証レベルでの認証を必要とするサービス提供サーバの認証に伴う負荷を軽減することができる認証システムおよび認証方法を提供することにある。
本発明の第1の認証システムは、回線を通じて通信網に接続された利用者端末と、前記通信網に接続され、前記利用者端末からサービス要求を受信し、前記利用者端末にサービスを提供するサービス提供サーバと、前記通信網に接続され、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行する認証管理サーバとを備える。
本発明の第2の認証システムは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に利用者端末とサービス提供サーバとSIPサーバとが接続され、前記SIPサーバに認証管理サーバが接続された認証システムであって、前記認証管理サーバは、前記利用者端末が前記サービス提供サーバに送信したINVITEリクエストをSIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段とを備え、前記サービス提供サーバは、前記利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルのうち、要求されたサービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段とを備え、前記利用者端末は、前記認証管理サーバが前記SIPサーバを通じて送信した前記401 Unauthorizedレスポンスを受信して解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段とを備える。
本発明の第1の認証方法は、回線を通じて通信網に接続された利用者端末と、前記通信網に接続され、前記利用者端末からサービス要求を受信し、前記利用者端末にサービスを提供するサービス提供サーバとを備えたシステムにおける認証方法であって、前記通信網に接続された認証管理サーバが、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行する。
本発明の第2の認証方法は、a)通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末が、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するステップと、b)SIPサーバが、前記INVITEリクエストを前記サービス提供サーバへ転送するステップと、c)前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答するステップと、d)前記SIPサーバが、前記401 Unauthorizedレスポンスを前記認証管理サーバへ転送するステップと、e)前記認証管理サーバが、受信した前記401 Unauthorizedレスポンスを解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送するステップと、f)前記利用者端末が、受信した前記401 Unauthorizedレスポンスを解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信するステップと、g)前記SIPサーバが、前記INVITEリクエストを認証管理サーバへ転送するステップと、h)前記認証管理サーバが、受信した前記INVITEリクエストに認証ヘッダが含まれていることを判定し、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送するステップと、i)前記サービス提供サーバが、受信した前記INVITEリクエストに認証結果が含まれていることを判定し、認証結果の成否に応じてサービスの提供可否を判断するステップとを含む。
本発明の第1の認証管理サーバは、利用者端末と該利用者端末からのサービス要求に従ってサービスを提供するサービス提供サーバとが接続された通信網に接続され、前記利用者端末を前記通信網に接続する回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行する。
本発明の第2の認証管理サーバは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストをSIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段とを備える。
本発明の第1のサービス提供サーバは、利用者端末と該利用者端末の利用者の認証を代行する認証管理サーバとが接続された通信網に接続され、前記利用者端末からのサービス要求に従ってサービスを提供するサービス提供サーバであって、前記認証管理サーバに前記利用者端末に対して提供するサービスに応じた認証レベルの認証の代行を要求し、前記認証管理サーバが、前記利用者端末を前記通信網に接続する回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行した認証結果を前記認証管理サーバから受け取り、認証に成功した場合に前記サービスを提供する。
本発明の第2のサービス提供サーバは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルのうち、要求されたサービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段とを備える。
本発明の第1の利用者端末は、回線を通じて通信網に接続された利用者端末からのサービス要求に従ってサービスを提供するサービス提供サーバと、前記利用者端末を前記通信網に接続する回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行する認証管理サーバとが接続された前記通信網に接続された利用者端末であって、前記認証管理サーバから受信した認証方法の認証に必要な認証情報を必要に応じて利用者から入力し、認証要求に対する応答を前記認証管理サーバ送信する手段を備える。
本発明の第2の利用者端末は、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末であって、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するサービス処理手段と、該送信されたINVITEリクエストに認証結果が含まれていないことを判定した前記サービス提供サーバが、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に送信し、該送信された401 UnauthorizedレスポンスがSIPサーバにより認証管理サーバへ転送され、前記認証管理サーバが受信した前記401 Unauthorizedレスポンスを解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて転送してきた場合に、該401 Unauthorizedレスポンスを解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段とを備える。
本発明の第1のSIPサーバは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストを受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれていない場合には、前記INVITEリクエストを前記サービス提供サーバへ転送し、認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを受信して解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末へ転送する認証要求手段とを備える。
本発明の第1のプログラムは、利用者端末と該利用者端末からのサービス要求に従ってサービスを提供するサービス提供サーバとが接続された通信網に接続された認証管理サーバを構成するコンピュータを、前記利用者端末を前記通信網に接続する回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行する手段として機能させる。
本発明の第2のプログラムは、認証管理サーバを構成するコンピュータを、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストをSIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段として機能させる。
本発明の第3のプログラムは、利用者端末と該利用者端末の利用者の認証を代行する認証管理サーバとが接続された通信網に接続され、前記利用者端末からのサービス要求に従ってサービスを提供するサービス提供サーバを構成するコンピュータを、前記認証管理サーバに前記利用者端末に対して提供するサービスに応じた認証レベルの認証の代行を要求する認証代行要求手段と、前記認証管理サーバが、前記利用者端末を前記通信網に接続する回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行した認証結果を前記認証管理サーバから受け取り、認証に成功した場合に前記サービスを提供するサービス提供手段として機能させる。
本発明の第4のプログラムは、サービス提供サーバを構成するコンピュータを、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルのうち、要求されたサービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供を行うサービス提供手段として機能させる。
本発明の第5のプログラムは、回線を通じて通信網に接続された利用者端末からのサービス要求に従ってサービスを提供するサービス提供サーバと、前記利用者端末を前記通信網に接続する回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行する認証管理サーバとが接続された前記通信網に接続された利用者端末を構成するコンピュータを、前記認証管理サーバから受信した認証方法の認証に必要な認証情報を利用者から入力する手段と、認証要求に対する応答を前記認証管理サーバへ送信する手段として機能させる。
本発明の第6のプログラムは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末を構成するコンピュータを、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するサービス処理手段と、該送信されたINVITEリクエストに認証結果が含まれていないことを判定した前記サービス提供サーバが、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に送信し、該送信された401 UnauthorizedレスポンスがSIPサーバにより認証管理サーバへ転送され、前記認証管理サーバが受信した前記401 Unauthorizedレスポンスを解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて転送してきた場合に、該401 Unauthorizedレスポンスを解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段として機能させる。
本発明の第7のプログラムは、SIPサーバを構成するコンピュータを、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストを受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれていない場合には、前記INVITEリクエストを前記サービス提供サーバへ転送し、認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを受信して解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末へ転送する認証要求手段として機能させる。
本発明によれば、最低の認証レベルであっても充分なセキュリティレベルを確保することができる。その理由は、最低の認証レベルでも、事前に登録された回線以外からはサービスの提供を受けることができないためである。
また本発明によれば、サービスに応じた認証レベルでの認証を必要とするサービス提供サーバの認証に伴う負荷を軽減することができる。その理由は、認証管理サーバが、複数の認証レベルの認証方法のうち、サービス提供サーバが利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、利用者端末の利用者の認証を代行するためである。
『第1の実施の形態』
図1を参照すると、本発明の第1の実施の形態は、利用者設備100とサービス提供サーバ200と認証管理サーバ300とがネットワーク400を通じて相互に通信可能に接続されている。
利用者設備100は、例えば各家庭毎に設けられる電子設備であり、利用者端末101とホームゲートウェイ102とで構成される。利用者端末101は、パーソナルコンピュータ等の情報処理機器で構成され、利用者はこの利用者端末101を通じてサービス提供サーバ200へアクセスし、サービスの提供を受ける。ホームゲートウェイ102は、1台以上の利用者端末101を回線103を通じてネットワーク400に接続するための通信機器であり、例えばネットワーク400を管理運営する通信事業者から各家庭にレンタルされる。
サービス提供サーバ200は、ビデオオンデマンドやオンラインショッピングなどの各種サービスを利用者端末101へ提供するコンピュータである。サービス提供サーバ200は、利用者端末101からサービス要求を受信すると、提供するサービスに応じた認証レベルの認証が得られることを条件にサービスの提供を行う。
認証管理サーバ300は、サービス提供サーバ200のサービス提供のために利用者の認証を代行するコンピュータである。認証管理サーバ300は、複数の認証レベルのうち、サービス提供サーバ200が利用者端末101に対して提供するサービスに応じた認証レベルの認証方法を用いて、利用者端末101の利用者の認証を代行する。
複数の認証レベルの認証方法としては、利用者端末101が接続されている回線103の回線識別情報と、それぞれ異なる他の1以上の認証情報とによる認証を使用する。回線103の回線識別情報としては、ホームゲートウェイ102に対してネットワーク400から払い出されたIPアドレスが使用される。また、他の1以上の認証情報としては、例えば利用者端末の端末情報、パスワード、指紋などの生体特徴などが使用される。利用者端末の端末情報としては、利用者端末のMACアドレスや、TPM(Trusted Platform Module)から取得できる情報など、端末の認証に使用できる情報であれば良い。
本実施の形態では、図2の認証方法情報テーブルT3に記載した以下の3つの認証レベルの認証方法を使用する。勿論、認証レベルは2つでも良いし、4つ以上あっても良い。
認証レベル1:回線識別情報と利用者端末の端末情報による認証
認証レベル2:回線識別情報と利用者端末の端末情報とパスワードによる認証
認証レベル3:回線識別情報と利用者端末の端末情報とパスワードと指紋による認証
認証レベル1の認証方法では、利用者端末101毎に特定された回線103からサービス要求が送信されているかどうかを確認する。認証レベル2では、認証レベル1による認証に加えてさらに、パスワードによる認証によって利用者の本人性を確認する。認証レベル3では、認証レベル2による認証に加えてさらに、指紋による認証によって利用者の本人性をより厳密に確認する。従って、認証レベル3、認証レベル2、認証レベル1の順にセキュリティレベルが高くなる。
以上のような認証方法を実現するために、実際の認証処理に先立ち、認証管理サーバ300に図2に示される回線認証テーブルT1と端末・個人認証テーブルT2とが登録される。
回線認証テーブルT1は、回線103を一意に識別するための回線IDに対応付けて、その回線103に接続されたホームゲートウェイ102のIPアドレスを保持する。回線IDとしては、回線103を一意に識別するためにネットワーク400で付された識別番号、回線103の電話番号、あるいはホームゲートウェイ102のMACアドレスのうちの何れか1つ或いは複数が使用される。回線認証テーブルT1へのホームゲートウェイ102のIPアドレスの登録は、ホームゲートウェイ102へ新たなIPアドレスが払い出される毎に行われる。具体的には、ホームゲートウェイ102の電源がオンされ、ホームゲートウェイ102からネットワーク400にDHCPパケットが送信されると、ネットワーク400は、このDHCPパケットを送信したホームゲートウェイ102のMACアドレスが当該回線103に対してレンタルしたホームゲートウェイのMACアドレスと一致するかどうかを確認し、一致した場合に限ってIPアドレスをホームゲートウェイ102に払い出す。この払い出したタイミングで回線認証テーブルT1が更新される。また、IPv6を用いるケースでは、前記の手順で毎回新たなIPアドレスを払い出しても良いし、あらかじめ回線IDに対応付けたIPアドレスを決めておき、毎回その回線に対応した同じIPアドレスを払い出しても良い。
端末・個人認証テーブルT2は、回線103の回線IDに対応付けて、その回線103にホームゲートウェイ102を通じて接続された利用者端末101の端末情報、当該利用者端末101の利用者のパスワード、指紋情報を保持する。端末・個人認証テーブルT2へのこれらの情報の登録は、オンラインまたはオフラインで行われる。
次に本実施の形態における認証の処理手順について、図3のシーケンス図を参照して説明する。
まず、利用者端末101は、サービス提供サーバ200に対してサービス要求を送信する(S101)。サービス要求には、利用しようとするサービスを特定する情報が含まれている。
サービス提供サーバ200は、サービス要求を受信すると(S201)、要求されたサービスに応じた認証レベルを判定し(S202)、認証管理サーバ300に対して当該認証レベルの認証の代行を要求する(S203)。
認証管理サーバ300は、認証の代行要求を受信すると(S301)、代行要求された認証レベルの認証を実現する認証方法を図2の認証方法情報テーブルT3を参照して決定し(S302)、決定した認証方法に必要な認証情報を利用者端末101に要求する(S303)。
利用者端末101は、認証要求を受信すると(S102)、要求された認証方法の認証に必要な認証情報を必要に応じて利用者から入力し(S103)、認証要求に対する応答を認証管理サーバ300へ送信する(S104)。ここで、認証に必要な認証情報は、レベル3に対応する認証方法の場合は、回線識別情報、利用者の端末情報、パスワード、指紋情報の合計4つであり、レベル2に対応する認証方法の場合は、回線識別情報、利用者の端末情報、パスワードの合計3つであり、レベル1に対応する認証方法の場合は、回線識別情報、利用者の端末情報の合計2つである。しかし、回線識別情報であるホームゲートウェイ102のIPアドレスは、利用者端末101からのパケットがホームゲートウェイ102経由で送信される際にIPパケットのヘッダ中に自動的に挿入されるため、認識要求に対する応答中で明示的に要求する認証情報は、利用者端末の端末情報、パスワード、指紋情報の3つである。また、一般に利用者端末の端末情報(MACアドレス等)は利用者端末自体から読み出せるので、実際に利用者から入力する必要がある認証情報は、パスワードと指紋情報の2つである。
認証管理サーバ300は、認証要求に対する応答を受信すると(S304)、応答によって通知されてきた認証情報と図2に示した回線認証テーブルT1と端末・個人認証テーブルT2とに基づいて認証を行う(S305)。具体的には、認証レベル1の認証方法の場合、応答パケットのIPヘッダ中に送信元IPアドレスとして挿入されているホームゲートウェイ102のIPアドレスをキーに図2の回線認証テーブルT1を検索して対応する回線IDを取得し、この取得した回線IDに対応する端末・個人認証テーブルT2中に、応答で通知された利用者端末101の端末情報(MACアドレス等)と同じ端末情報が登録されているかどうかを確かめる。また、認証レベル2の認証方法では、認証レベル1による処理に加えてさらに、対応する端末・個人認証テーブルT2中に、応答で通知されたパスワードと同じパスワードが登録されているかどうかを確かめる。さらに、認証レベル3の認証方法では、認証レベル2による処理に加えてさらに、対応する端末・個人認証テーブルT2中に、応答で通知された指紋情報と同じ指紋情報が登録されているかどうかを確かめる。認証管理サーバ300は、以上のような認証処理の結果をサービス提供サーバ200へ送信する(S306)。
サービス提供サーバ200は、認証結果を受信すると(S204)、認証結果を検証し(S205)、認証が成功すれば利用者端末101に対して要求されたサービスを提供する(S206)。
利用者端末101は、サービス提供サーバ200から提供されるサービスを受信する(S105)。
次に本実施の形態の効果を説明する。
本実施の形態によれば、最低の認証レベルでも事前に登録された回線以外からはサービスの提供を受けることができないため、最低の認証レベルでも、高いセキュリティレベルを確保することができる。
また本実施の形態によれば、複数の認証レベルの認証方法のうち、サービス提供サーバ200が利用者端末101に対して提供するサービスに応じた認証レベルの認証方法を用いて、利用者端末101の利用者の認証を代行する認証管理サーバ300を備えているため、サービスに応じた認証レベルでの認証を必要とするサービス提供サーバ200の認証に伴う負荷を軽減することができる。
また本実施の形態によれば、サービス提供サーバ200の認証に係る負荷をより軽減することができる。その理由は、サービスに応じた認証レベルを決定してその認証の代行を要求すれば、その認証レベルを実現する具体的な認証方法の決定などその他の処理は認証管理サーバ300で行われるためである。
また本実施の形態によれば、最低の認証レベルのサービスを享受する利用者の負担を軽減することができる。その理由は、最低の認証レベルである認証レベル1で必要な認証情報は、回線識別情報であるホームゲートウェイ102のIPアドレスと利用者端末の端末情報の合計2つであり、前者の回線識別情報はホームゲートウェイ102で自動的にIPヘッダに付加され、後者の利用者端末の端末情報は端末自体から読み出せるため、利用者は何もしなくて済むためである。
『第1の実施の形態の実施例』
次に、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用したネットワークに対して本実施の形態を適用した実施例について詳細に説明する。
図4を参照すると、本実施例においては、認証管理サーバ300はSIPサーバ500を介してネットワーク400に接続される。
SIPサーバ500は、実際に通信を行う利用者端末101とサービス提供サーバ200の間にあってSIPメッセージの中継を担うプロキシサーバである。SIPサーバ500は、中継するSIPメッセージのうち特定の条件を満たすものだけを認証管理サーバ300に転送するよう構成されている。認証管理サーバ300は転送されてきたSIPメッセージに基づいて認証の代行処理などの所定の処理を実施する。認証管理サーバ300から出力されたSIPメッセージは、SIPサーバ500において再びルーティングされ、利用者端末101やサービス提供サーバ200へ転送される。ここで、SIPサーバ500において、中継するSIPメッセージが特定の条件を満たすかどうかを判定する具体的な方法としては、例えば、特定の条件をiFC(Initial Filter Criteria)に記述しておき、中継するSIPメッセージを受信する毎にiFCを参照し、特定の条件を満たすかどうかを判定する方法がある。
SIPサーバ500のiFCに記述された特定の条件の例を図4に示す。図4のiFC中の記述は、メソッド名がINVITEであれば特定の条件を満たすことを示す。この条件により、利用者端末101からサービス提供サーバ200へ送信されるINVITEのリクエストが、SIPサーバ500による中継の際に認証管理サーバ300に取り込まれる。また、基本的にSIPの応答はリクエストが通ってきたルートをそのまま遡るため、INVITEの応答である401 Unauthorizedも、SIPサーバ500による中継の際に認証管理サーバ300に取り込まれることになる。本実施の形態では図4に例示した特定の条件を使用するが、SIPサーバ500のiFCに記述する特定の条件は上記の例に限定されず、例えば、以下のような例も考えられる。
1:メソッド名=”INVITE” & ヘッダ名=”Authorization”
2:ステータスコード=”401” & ヘッダ名=”WWW−Authenticate” & 認証スキーム名=”IntegratedAuth”
1番目の記述は、メソッド名がINVITEであり、且つ、ヘッダ名がAuthorizationであれば、特定の条件を満たすことを示す。この条件により、利用者端末101からサービス提供サーバ200へ送信されるINVITEのリクエストのうち、認証ヘッダの有るINVITEだけが、SIPサーバ500による中継の際に認証管理サーバ300に取り込まれる。
2番目の記述は、ステータスコードが401、且つ、ヘッダ名がWWW−Authenticate、且つ、認証スキーム名がIntegratedAuthであれば特定の条件を満たすことを示す。この条件により、サービス提供サーバ200から利用者端末101へ送信される401 Unauthorizedのうち、サービス提供サーバ200が認証の代行を要求している401 Unauthorizedが、SIPサーバ500による中継の際に認証管理サーバ300に取り込まれる。なお、この場合サービス提供サーバ200からの応答に対しても、SIPサーバ500でiFCを参照して条件判定を行い、条件を満たす場合は認証管理サーバ300へ転送され、その後の利用者端末101への転送が正しく行われるものとする。
図4では、SIPサーバ500と認証管理サーバ300とを別々のブロックで図示しているが、これはSIPサーバ500と認証管理サーバ300とが物理的に別々のコンピュータに実装されていることを限定しているものではなく、SIPサーバ500と認証管理サーバ300は同じコンピュータに実装することも可能である。また、認証管理サーバ300は、SIPサーバ500の拡張機能(付加機能)として実現することも可能である。なお、認証管理サーバ300の具体的な実現手法は任意であり、中継サーバのような構成で実現しても良いし、内部的に2つのSIP UAを背中合わせに実装したB2BUA(Back to Back User Agent)で実現しても良い。
次に、本実施例における認証の処理手順について、図5のシーケンス図を参照して説明する。
まず、利用者端末101は、サービス提供サーバ200に対して、図6に例示するような認証ヘッダを含まないINVITEをサービス要求として送信する(S111)。図6に示されるINVITEにおいて、To:<sipuser1@xx.xx.xx.xx>はリクエストの着信者のSIP URLであるが、利用しようとするサービスを特定する情報としての役割も果たしている。
利用者端末101から送信されたINVITEは、特定の条件を満たすことによりSIPサーバ500から認証管理サーバ300へ転送され、受信される(S311)。認証管理サーバ300は、INVITE中に認証情報を記述したヘッダが含まれているかどうかを確認し(S312)、今の場合は含まれていないので、SIPサーバ500を通じて当該INVITEをサービス提供サーバ200へ転送する(S313)。
サービス提供サーバ200は、INVITEを受信すると(S211)、INVITEに認証結果が含まれているかどうかを確認し(S212)、今の場合は含まれていないので、認証を要求する手順を実行する。まず、要求されたサービスに応じた認証レベルを判定する(S213)。次に、図7に例示するようなWWW−Authenticateヘッダを含む401 Unauthorizedを利用者端末101に応答する(S214)。WWW−Authenticateヘッダ中のIntegratedAuthは、SIPで規定されたHTTPダイジェスト認証と区別するために付けられた認証スキーム名である。また、authlevelは認証レベルを意味するパラメータ名、2はそのパラメータ値であり、この例では認証レベルが2であることを示している。
401 Unauthorizedは、リクエストに認証情報がないか不適切な認証情報が含まれる場合に、UASがHTTPダイジェスト認証を要求する場合に使用するものとしてSIPで規定されている。その場合、WWW−Authenticateヘッダの認証スキーム名はDigestと記述され、続けて、<チャレンジ値>が記述される。本実施例では、認証スキーム名としてIntegratedAuthを使用することにより、当該401 Unauthorizedを、認証の代行を認証管理サーバ300に要求するレスポンスとして利用している。また、authlevel=2という記述を入れることで、認証レベル2の認証の代行を認証管理サーバ300に要求するレスポンスとして利用している。
サービス提供サーバ200から送信された上記の401 Unauthorizedは、SIPサーバ500から認証管理サーバ300へ転送され、受信される(S314)。認証管理サーバ300は、受信した401 UnauthorizedのWWW−Authenticateヘッダを解析して認証レベルを認識し、その認証レベルの認証を実現する認証方法を決定する(S315)。そして、WWW−Authenticateヘッダ中のパラメータ名authlevelの記述部分を、その認証レベルの認証を実現する認証方法の記述に書き換え、SIPサーバ500を通じて利用者端末101へ転送する(S316)。
具体的には、図7に例示したように「authlevel=2」となっていれば、認証管理サーバ300は、図8に例示するように「authmethod=”MINFO&PW”」に書き換えて転送する。ここで、authmethodは認証方法を意味するパラメータ名、”MINFO&PW”はそのパラメータ値で、MINFOは利用者端末の端末情報による認証を、PWはパスワードによる認証をそれぞれ示す。また、認証管理サーバ300は、例えば「authlevel=1」となっていれば「authmethod=”MINFO”」に書き換えて転送し、「authlevel=3」となっていれば「authmethod=”MINFO&PW&FINGERPRINT”」に書き換えて転送する。ここで、FINGERPRINTは指紋認証を示す。
利用者端末101は、上記の401 Unauthorizedを受信すると(S112)、そのWWW−Authenticateヘッダを解析し、要求された認証方法の認証に必要な認証情報を必要に応じて利用者から入力する(S113)。そして、認証情報を記述した認証ヘッダを含む図9に例示するようなINVITEを作成し、サービス提供サーバ200へ送信する(S114)。図9において、「Authorization:IntegratedAuth MINFO=”AA−BB−CC−DD”、PW=”password”」が認証情報を記述した認証ヘッダであり、”AA−BB−CC−DD”は利用者端末のMACアドレスを、”password”はパスワードをそれぞれ示す。
利用者端末101から再び送信されたINVITEは、特定の条件を満たすことによりSIPサーバ500から認証管理サーバ300へ転送され、受信される(S317)。認証管理サーバ300は、INVITEに認証情報を記述したヘッダが含まれているかどうかを確認し(S318)、含まれているので、その認証情報と図2に示した回線認証テーブルT1と端末・個人認証テーブルT2とに基づいて認証を行う(S319)。そして、認証の結果を認証ヘッダに記述した図10に例示するようなINVITEをSIPサーバ500を通じてサービス提供サーバ200へ転送する(S320)。図10において、「Authorization:IntegratedAuth authresult=”OK”」が認証結果を記述した認証ヘッダであり、authresultは認証結果を意味するパラメータ名、”OK”は認証が成功したことを示すパラメータ値である。なお、認証が失敗した場合、パラメータ値は”NG”になる。
サービス提供サーバ200は、INVITEを受信すると(S215)、INVITEに認証結果が含まれているかどうかを確認し(S216)、含まれているので、認証成功かどうかを確認する(S217)。そして、認証が成功していれば、利用者端末101に対して要求されたサービスを提供する(S218)。
利用者端末101は、サービス提供サーバ200から提供されるサービスを受信する(S115)。
本実施例によれば、本実施の形態で述べた効果に加えてさらに、サービス提供サーバ200のサービス提供のために認証管理サーバが利用者の認証を代行する仕組みをSIPシグナリングオペレーションのメッセージフローに組み込んだことにより、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用したネットワークを通じてサービスを提供するサービス提供システムにおいて、サービスに応じた認証レベルの認証を認証管理サーバが代行する処理をSIPのフレームワークを変更することなしに実現することができる効果がある。
次に本実施例を構成する利用者端末101、サービス提供サーバ200および認証管理サーバ300の詳細について説明する。
図11を参照すると、認証管理サーバ300の一例は、回線認証情報データベース311、端末・個人認証情報データベース312および認証方法情報データベース313といったハードウェア資源と、データベース管理部314、認証判定部315、認証要求部316、パケット解析部317およびパケット送受信部318といった機能手段とを含んで構成される。認証管理サーバ300がワークステーション等のコンピュータで構成される場合、回線認証情報データベース311、端末・個人認証情報データベース312および認証方法情報データベース313は、主記憶装置や補助記憶装置で実現され、データベース管理部314、認証判定部315、認証要求部316、パケット解析部317およびパケット送受信部318は、プログラムで実現することができる。プログラムは、ハードディスクなどのコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られ、そのコンピュータの動作を制御することにより、そのコンピュータ上に上述した各機能手段を実現し、所定の処理を行わせる。
回線認証情報データベース311には、図2で例示した回線認証テーブルT1が記憶される。
端末・個人認証情報データベース312には、図2で例示した端末・個人認証テーブルT2が記憶される。
認証方法情報データベース313には、図2で例示した各認証レベルに対応する認証方法の情報を記述した認証方法情報テーブルT3が記憶される。
データベース管理部314は、各データベース311〜313に対する検索や更新を管理する。
認証要求部316は、サービス提供サーバ200の代わりに利用者端末101に対して各認証レベルの認証を要求する。
認証判定部315は、サービス提供サーバ200の代わりに利用者端末101から送信された認証情報に基づいて各認証レベルの認証を行う。
パケット解析部317は、SIPサーバ500から転送されてきたSIPのパケットを解析し、認証要求部316による処理、認証判定部315による処理に切り分ける。また、認証要求部316および認証判定部315から伝達されたSIPのパケットをパケット送受信部318へ出力する。
パケット送受信部318は、認証管理サーバ300とSIPサーバ500との間でSIPのパケットの送受信を行う。
次に図5のシーケンス図と図11のブロック図を参照して、認証管理サーバ300の動作を説明する。
図5のステップS111において利用者端末101から送信されたINVITEがSIPサーバ500から転送されてくると、パケット送受信部318で受信され(S311)、パケット解析部317に伝達される。パケット解析部317は、INVITEに認証情報を記述したヘッダが含まれているかどうかを確認し(S312)、含まれていないので、パケット送受信部318を通じて当該INVITEをSIPサーバ500に送信する。SIPサーバ500はこのINVITEをサービス提供サーバ200へ転送する(S313)。
また、図5のステップS214においてサービス提供サーバ200から送信された図7に例示した401 UnauthorizedがSIPサーバ500から転送されてくると、パケット送受信部318で受信され(S314)、パケット解析部317に伝達される。パケット解析部317は、受信したパケットが、IntegratedAuthが記述されたWWW−Authenticateヘッダを含む401 Unauthorizedであることを解析し、認証要求部316へ当該パケットを伝達する。
認証要求部316は、受信した401 UnauthorizedのWWW−Authenticateヘッダを解析して認証レベルを認識し、データベース管理部314を通じて認証方法情報データベース313を検索し、認識した認証レベルの認証を実現する認証方法を決定する(S315)。そして認証要求部316は、この決定した認証方法に基づいて図8に例示したように401 UnauthorizedのWWW−Authenticateヘッダを書き換えて、パケット解析部317およびパケット送受信部318を通じてSIPサーバ500へ送信する。SIPサーバ500は、これを利用者端末101へ転送する(S316)。
また、図5のステップS114において利用者端末101から再び送信されたINVITEがSIPサーバ500から転送されてくると、パケット送受信部318で受信され(S317)、パケット解析部317へ伝達される。パケット解析部317は、INVITEに認証情報を記述したヘッダが含まれているかどうかを確認し(S318)、含まれているので、当該INVITEを認証判定部315へ伝達する。
認証判定部315は、受け取ったINVITE中の認証情報と、データベース管理部314を通じて回線認証情報データベース311の回線認証テーブルT1および端末・個人認証情報データベース312の端末・個人認証テーブルT2から検索した情報とに基づいて認証を行う(S319)。そして、認証判定部315は、認証の結果を認証ヘッダに記述した図10に例示するようなINVITEをパケット解析部317およびパケット送受信部318を通じてSIPサーバ500へ送信する。SIPサーバ500は、これをサービス提供サーバ200へ転送する(S320)。
図12を参照すると、サービス提供サーバ200の一例は、提供サービス情報記憶部211、認証レベル情報記憶部212といったハードウェア資源と、サービス提供部213、認証レベル判定部214、認証代行要求部215、パケット解析部216およびパケット送受信部217といった機能手段とを含んで構成される。サービス提供サーバ200がワークステーション等のコンピュータで構成される場合、提供サービス情報記憶部211および認証レベル情報記憶部212は、主記憶装置や補助記憶装置で実現され、サービス提供部213、認証レベル判定部214、認証代行要求部215、パケット解析部216およびパケット送受信部217は、プログラムで実現することができる。プログラムは、ハードディスクなどのコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られ、そのコンピュータの動作を制御することにより、そのコンピュータ上に上述した各機能手段を実現し、後述した処理を行わせる。
提供サービス情報記憶部211には、サービス提供サーバ200が利用者端末101に提供する画像や音声などのコンテンツ、オンラインショッピングサービスを提供するWebページなどの情報が記憶される。
認証レベル情報記憶部212には、サービス提供サーバ200が提供するサービス毎にその認証レベルの情報が記憶される。例えば、サービス提供サーバ200が3つのサービスA、B、Cを提供し、サービスAの認証レベルは1、サービスBの認証レベルは2、サービスCの認証レベルは3のとき、認証レベル情報記憶部212には、図13に例示するような認証レベル情報が記憶される。
サービス提供部213は、提供サービス情報記憶部211に記憶された情報を用いて、利用者端末101にサービスを提供する。
認証レベル判定部214は、利用者端末101が要求するサービスの認証レベルを認証レベル情報記憶部212を参照して判定する処理を行う。
認証代行要求部215は、サービスの提供を要求する利用者端末101の利用者の認証の代行を認証管理サーバ300に要求する処理を行う。
パケット解析部216は、SIPサーバ500から転送されてきたSIPのパケットを解析し、認証代行要求部215による処理、サービス提供部213による処理といった処理に切り分ける。
パケット送受信部217は、ネットワーク400を通じて利用者端末101およびSIPサーバ500との間でSIPのパケットや他の通信プロトコル(たとえばHTTPプロトコル)のパケットの送受信を行う。
次に図5のシーケンス図と図12のブロック図を参照して、サービス提供サーバ200の動作を説明する。
図5のステップS313において認証管理サーバ300から送信された認証ヘッダなしのINVITEがSIPサーバ500から転送されてくると、パケット送受信部217で受信され(S211)、パケット解析部216に伝達される。パケット解析部216は、INVITEに認証結果が含まれているかどうかを確認し(S212)、含まれていないので、受信したINVITEを認証代行要求部215へ伝達する。
認証代行要求部215は、要求されたサービスに応じた認証レベルを判定する(S213)。具体的には、INVITE中のToヘッダに記述された論理的なリクエスト送信先に基づいてサービス名を決定し、この決定したサービス名を通知して認証レベル判定部214に認証レベルを要求する。認証レベル判定部214は、通知されたサービス名で認証レベル情報記憶部212を検索して、対応する認証レベルを認証代行要求部215に返却する。次に、認証代行要求部215は、図7に例示するような認証レベルを記述したWWW−Authenticateヘッダを含む401 Unauthorizedを作成し、パケット解析部216およびパケット送受信部217を通じてネットワーク400経由で利用者端末101に応答する(S214)。
また、図5のステップS320において認証管理サーバ300から送信された認証ヘッダありのINVITEがSIPサーバ500から転送されてくると、パケット送受信部217が受信し(S215)、パケット解析部216に伝達される。パケット解析部216は、受け取ったINVITEに認証結果が含まれているかどうかを確認し(S216)、含まれていれば、さらに、認証が成功したかどうかを確認する(S217)。そして、認証が成功していれば、パケット解析部216は、受け取ったINVITEをサービス提供部213へ伝達する。サービス提供部213は、このINVITEに従って、利用者端末101に対して要求されたサービスを提供する(S218)。
図14を参照すると、利用者端末101の一例は、キーボード111、液晶ディスプレイ等の表示装置112、指紋入力装置113、利用者端末情報記憶部114といったハードウェア資源と、指紋入力部115、パスワード入力部116、利用者端末情報入力部117、認証要求応答部118、パケット解析部119、パケット送受信部120、サービス処理部121といった機能手段とを含んで構成される。利用者端末101がパーソナルコンピュータ等のコンピュータで構成される場合、利用者端末情報記憶部114は、主記憶装置や補助記憶装置で実現され、指紋入力部115、パスワード入力部116、利用者端末情報入力部117、認証要求応答部118、パケット解析部119、パケット送受信部120、サービス処理部121は、プログラムで実現することができる。プログラムは、ハードディスクなどのコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られ、そのコンピュータの動作を制御することにより、そのコンピュータ上に上述した各機能手段を実現し、後述した処理を行わせる。
利用者端末情報記憶部114には、当該利用者端末101の端末情報として、例えばMACアドレスが記憶される。
利用者端末情報入力部117は、認証要求応答部118からの指示に従って利用者端末情報記憶部114から利用者端末のMACアドレスを読み出し、認証要求応答部118に伝達する。
パスワード入力部116は、認証要求応答部118からの指示に従って、利用者端末101の利用者からパスワードを入力し、認証要求応答部118に伝達する。具体的には、表示装置112の画面にパスワード入力画面を表示し、利用者がキーボード111を操作してパスワード入力画面にパスワードを入力すると、この入力されたパスワードを取り込んで認証要求応答部118へ出力する。
指紋入力部115は、認証要求応答部118からの指示に従って、指紋入力装置113から利用者の指紋情報を入力し、認証要求応答部118に伝達する。
認証要求応答部118は、パケット解析部119から受信した401 UnauthorizedのWWW−Authenticateヘッダを解析し、要求された認証情報を利用者端末情報入力部117、パスワード入力部116、指紋入力部115から入力し、この入力した認証情報を記述したINVITEを作成して、パケット解析部119へ送信する。
サービス処理部121は、キーボード111から入力される指示に従ってサービス提供サーバ200へサービスを要求し、それに応じて提供されるサービスを表示装置112に表示する等の処理を行う。
パケット解析部119は、SIPサーバ500やサービス提供サーバ200から転送されてきたパケットをパケット送受信部120から受信し、認証要求応答部118およびサービス処理部121へパケットを伝達する。また、その逆に認証要求応答部118およびサービス処理部121から伝達されるパケットをパケット送受信部120へ伝達する。
パケット送受信部120は、ホームゲートウェイ102およびネットワーク400を通じて利用者端末101およびSIPサーバ500との間でSIPのパケットや他の通信プロトコル(たとえばHTTPプロトコル)のパケットの送受信を行う。
次に図5のシーケンス図と図14のブロック図を参照して、利用者端末101の動作を説明する。
利用者端末101において、サービス提供サーバ200のサービスを受けるためにサービス提供サーバ200をアクセスする際、サービス処理部121はINVITEを作成し、パケット解析部119、パケット送受信部120およびホームゲートウェイ102を通じてネットワーク400経由でサービス提供サーバへ送信する(S114)。
また図5のステップS316において認証管理サーバ300からSIPサーバ500を通じて送信された図8に例示するような401 Unauthorizedがホームゲートウェイ102から転送されてくると、パケット送受信部120で受信され(S112)、パケット解析部119に伝達される。パケット解析部119は、受信したパケットが401 Unauthorizedであり、そのWWW−Authenticateヘッダ中に「WWW−Authenticate:IntegratedAuth authmethod=”MINFO&PW”」に例示するような認証情報を要求する記述があるため、当該401 Unauthorizedを認証要求応答部118へ伝達する。
認証要求応答部118は、受け取った401 UnauthorizedのWWW−Authenticateヘッダで要求されている認証情報を判定し、要求された認証情報を利用者端末情報入力部117、パスワード入力部116、指紋入力部115から入力する(S113)。そして、この入力した認証情報を認証ヘッダに記述したINVITEを作成し、パケット解析部119、パケット送受信部120およびホームゲートウェイ102を通じてネットワーク400経由でサービス提供サーバへ送信する(S114)。
また、図5のステップS218においてサービス提供サーバ200から送信されたサービス情報にかかるパケットがホームゲートウェイ102で受信されて転送されてくると、パケット送受信部120が受信し(S115)、パケット解析部119に伝達される。パケット解析部119は、受け取ったサービス情報にかかるパケットをサービス処理部121へ伝達し、サービス処理部121は受信した情報を表示装置112へ表示するといった処理を実行する。
以上の説明では、サービスに応じた認証レベルの認証方法は事前に唯一つだけ定められていたが、同一の認証レベルに対して複数の認証方法を定めておいて、その内の任意の認証方法を選択して使用するようにしても良い。また、図2に示した認証方法情報テーブルT3の代わりに、図15に例示するように、基本となる複数の認証方法と、その選択条件(必須か任意か)とそれを使用した際の認証レベルの増加ポイントとを定義した認証方法情報テーブルT4を使用し、幾つかの認証方法を動的に組み合わせてサービスに応じた認証レベルの認証方法を決定するようにしても良い。図15に例示した認証方法情報テーブルT4によると、認証レベル1の認証方法は、回線識別情報と利用者端末情報による認証として決定され、認証レベル2の認証方法は、回線識別情報と利用者端末情報による認証とパスワードによる認証との組み合わせとして決定され、認証レベル3の認証方法は、回線識別情報と利用者端末情報による認証と指紋による認証との組み合わせとして決定され、認証レベル4の認証方法は、回線識別情報と利用者端末情報による認証とパスワードによる認証と指紋による認証との組み合わせとして決定される。
また以上の説明では、利用者端末101が接続されている回線103の回線識別情報と異なる他の認証情報として、利用者端末101の端末情報、パスワード、指紋を使用したが、利用者の本人性を確認する情報であれば、他の種類の情報を使用することができる。また、利用者の本人性を確認するには効果が少ないと考えられる利用者の性別や年齢などの属性情報を認証情報として利用し、図16の認証方法情報テーブルT5に例示するように認証レベルを利用者の属性に応じて更に細分化しても良い。この場合、利用者に属性情報を入力させると利用者に負担がかかるので、図17の端末・個人認証テーブルT6に例示するように、他の認証情報と同様に認証管理サーバ300の端末・個人認証情報データベース312に登録しておき、他の認証情報によって利用者が特定された後、その利用者の属性情報を確認するようにするのが望ましい。
また以上の説明では、利用者端末101が接続されている回線103の回線識別情報として、ホームゲートウェイ102のIPアドレスを使用したが、それに代えて、あるいはそれに加えて回線103に対してネットワーク400から割り当てられている電話番号を回線識別情報として使用しても良い。この場合、回線認証テーブルT1は図18に例示するような構成となる。利用者端末101側では、電話番号は記憶部に予め記憶しておいても良いし、キーボードからその都度入力するようにしても良い。電話番号は、端末情報などの他の認証情報と同様にINVITEの認証ヘッダに記述されて送信される。
電話番号を回線識別情報として使用する場合、以下の2通りの認証方法が考えられる。第1の方法は、認証ヘッダに電話番号が含まれている場合、ホームゲートウェイ102のIPアドレスの代わりに、その電話番号を使って認証を行う方法である。具体的には、認証管理サーバ300は、認証ヘッダに記述された電話番号をキーに図18の回線認証テーブルT1を検索し、一致する電話番号に対応する回線IDを取得する。次に、この取得した回線IDをキーに図2の端末・個人認証テーブルT2を検索して、端末情報などのその他の認証情報を取得して認証ヘッダ中の端末情報と比較する方法である。
第2の方法は、前述した実施の形態および実施例と同様にホームゲートウェイ102のIPアドレスをキーに図18の回線認証テーブルT1を検索し、一致するIPアドレスに対応する回線IDを取得し、次に、この取得した回線IDをキーに端末・個人認証テーブルT2を検索して、端末情報を取得して認証ヘッダ中の端末情報と比較した時点で一致しなかった場合、電話番号を使用した前記第1の方法に切り替える方法である。この場合、利用者端末101に一旦認証失敗を通知して、電話番号の入力を要求しても良いし、既に認証ヘッダに電話番号が記述されていれば、それを利用しても良い。
電話番号を回線識別情報として使用する構成は、たとえば他人の家を訪れた際、自分の利用者端末を使ってその家の回線を借りてサービスを受けたい場合に有効である。回線に結び付いた認証という意味では、その回線の正規(登録)利用者という識別は行っていないが、電話番号をもとに、どこの回線に登録されている(どこの回線の正規ユーザなのか)ということがわかるので、外出先でサービスを利用する場合の認証方法として有効である。
『第2の実施の形態』
図19を参照すると、本発明の第2の実施の形態は、図1に示した第1の実施の形態と比較して、サービス提供サーバ200および認証管理サーバ300に代えてサービス提供サーバ201および認証管理サーバ301を備えている点で相違する。
サービス提供サーバ201は、第1の実施の形態のサービス提供サーバ200と比較して、認証管理サーバ301に対してサービスに応じた認証レベルの認証の代行を要求する際に認証レベルを指定しない点で相違する。
認証管理サーバ301は、第1の実施の形態の認証管理サーバ300と比較して、サービス提供サーバ201から認証の代行を要求された際、サービス提供サーバ201が利用者端末101に対して提供するサービスの認証レベルを判定し、この判定した認証レベルの認証の代行を行う点で相違する。
本実施の形態における認証の処理手順について、図20のシーケンス図を参照して説明する。
まず、利用者端末101は、サービス提供サーバ201に対してサービス要求を送信する(S101)。サービス要求には、利用しようとするサービスを特定する情報が含まれている。
サービス提供サーバ201は、サービス要求を受信すると(S201)、認証管理サーバ301に対して認証の代行を要求する(S221)。この要求には、利用者端末101から要求されたサービスを特定する情報が含まれている。
認証管理サーバ301は、認証の代行要求を受信すると(S301)、まず、サービス提供サーバ201が利用者端末101から要求されたサービスに応じた認証レベルを判定する(S321)。次に、この認証レベルの認証を実現する認証方法を図2の認証方法情報テーブルT3を参照して決定し(S302)、決定した認証方法に必要な認証情報を利用者端末101に要求する(S303)。
以下、第1の実施の形態と同様の手順が実行される(ステップS102〜S105、S304〜S306、S204〜S206)。
このように本実施の形態によれば、サービス提供サーバ201はサービスに応じた認証レベルを自ら決定する必要がないため、認証に係るサービス提供サーバ201の負荷をより一層軽減することができる。
『第2の実施の形態の実施例』
次に、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用したネットワークに対して本実施の形態を適用した実施例について説明する。
図21を参照すると、本実施例においても第1の実施の形態の実施例と同様に、認証管理サーバ301はSIPサーバ500を介してネットワーク400に接続され、特定の条件を満たすSIPメッセージだけをSIPサーバ500から受け取って処理するように構成されている。
本実施例における認証の処理手順について、図22のシーケンス図を参照して説明する。
まず、利用者端末101は、サービス提供サーバ201に対して、図6に例示するような認証ヘッダを含まないINVITEをサービス要求として送信する(S111)。図6に示されるINVITEにおいて、To:<sipuser1@xx.xx.xx.xx>はリクエストの着信者のSIP URLであるが、利用しようとするサービスを特定する情報としての役割も果たしている。
利用者端末101から送信されたINVITEは、特定の条件を満たすことによりSIPサーバ500から認証管理サーバ301へ転送され、受信される(S311)。認証管理サーバ301は、INVITE中に認証情報を記述したヘッダが含まれているかどうかを確認し(S312)、今の場合は含まれていないので、SIPサーバ500を通じて当該INVITEをサービス提供サーバ201へ転送する(S313)。
サービス提供サーバ201は、INVITEを受信すると(S211)、INVITEに認証結果が含まれているかどうかを確認し(S212)、今の場合は含まれていないので、図23に例示するようなWWW−Authenticateヘッダを含む401 Unauthorizedを利用者端末101に応答する(S222)。WWW−Authenticateヘッダ中のIntegratedAuthは、SIPで規定されたHTTPダイジェスト認証と区別するために付けられた認証スキーム名である。また、authreqは認証要求を意味するパラメータ名、””はそのパラメータ値であり、サービスに応じた認証レベルの認証を要求していることを示している。
401 Unauthorizedは、リクエストに認証情報がないか不適切な認証情報が含まれる場合に、UASがHTTPダイジェスト認証を要求する場合に使用するものとしてSIPで規定されている。その場合、WWW−Authenticateヘッダの認証スキーム名はDigestと記述され、続けて、<チャレンジ値>が記述される。本実施例では、認証スキーム名としてIntegratedAuthを使用することにより、当該401 Unauthorizedが、認証の代行を認証管理サーバ301に要求するレスポンスとして利用している。また、authreq=””という記述を入れることで、サービスに応じた認証レベルの認証の代行を認証管理サーバ301に要求するレスポンスとして利用している。
サービス提供サーバ201から送信された上記の401 Unauthorizedは、SIPサーバ500から認証管理サーバ301へ転送され、受信される(S322)。認証管理サーバ301は、受信した401 UnauthorizedのWWW−Authenticateヘッダを解析し、サービスに応じた認証レベルの認証の代行が要求されていることから、まず、要求されたサービスに応じた認証レベルを判定する(S323)。次に、この認証レベルの認証を実現する認証方法を決定する(S315)。そして、WWW−Authenticateヘッダ中のパラメータ名authreqの記述部分を、その認証レベルの認証を実現する認証方法の記述に書き換え、SIPサーバ500を通じて利用者端末101へ転送する(S316)。
具体的には、認証レベル2の場合、認証管理サーバ301は、図8に例示するように「authmethod=”MINFO&PW”」に書き換えて転送する。ここで、authmethodは認証方法を意味するパラメータ名、”MINFO&PW”はそのパラメータ値で、MINFOは利用者端末の端末情報による認証を、PWはパスワードによる認証をそれぞれ示す。また、認証管理サーバ301は、認証レベル1の場合、「authmethod=”MINFO”」に書き換えて転送し、認証レベル3の場合、「authmethod=”MINFO&PW&FINGERPRINT”」に書き換えて転送する。ここで、FINGERPRINTは指紋認証を示す。
以下、第1の実施の形態の実施例と同様の手順が実行される(S112〜S115、S317〜S320、S215〜S218)。
次に本実施例を構成するサービス提供サーバ201および認証管理サーバ301の詳細について説明する。なお、利用者端末101は第1の実施の形態の実施例と同じである。
図24を参照すると、本実施例で使用する認証管理サーバ301は、図11で示した第1の実施の形態の実施例で使用する認証管理サーバ300と比較して、認証レベル情報記憶部321を新たに備えている点、認証要求部316の代わりに認証要求部322を備えている点で相違する。
認証レベル情報記憶部321には、図13で例示したようなサービス名と認証レベルとの対応関係を示す認証レベル情報が記憶される。
認証要求部322は、認証要求部316の機能に加えてさらに、サービスに応じた認証レベルを判定する機能を有する。
次に図22のシーケンス図と図24のブロック図を参照して、本実施例の認証管理サーバ301の動作を説明する。
図22のステップS222においてサービス提供サーバ201から送信された図23に例示した401 UnauthorizedがSIPサーバ500から転送されてくると、パケット送受信部318で受信され(S322)、パケット解析部317に伝達される。パケット解析部317は、受信したパケットが、IntegratedAuthが記述されたWWW−Authenticateヘッダを含む401 Unauthorizedであることを解析し、認証要求部322へ当該パケットを伝達する。
認証要求部322は、受信した401 UnauthorizedのWWW−Authenticateヘッダを解析し、Toヘッダに記述された論理的なリクエスト送信先に基づいてサービス名を決定し、この決定したサービス名をキーにデータベース管理部314を通じて認証レベル情報記憶部321を検索し、対応する認証レベルを取得する(S323)。次に、この認証レベルをキーにデータベース管理部314を通じて認証方法情報データベース313を検索し、認識した認証レベルの認証を実現する認証方法を決定する(S315)。そして認証要求部322は、この決定した認証方法に基づいて図8に例示したように401 UnauthorizedのWWW−Authenticateヘッダを書き換えて、パケット解析部317およびパケット送受信部318を通じてSIPサーバ500へ送信する。SIPサーバ500は、これを利用者端末101へ転送する(S316)。
その他の動作は第1の実施の形態の実施例における認証管理サーバ300と同じである。
図25を参照すると、本実施例で使用するサービス提供サーバ201の一例は、図12に示した第1の実施の形態の実施例のサービス提供サーバ200と比較して、認証レベル情報記憶部212および認証レベル判定部214が省略されている点と、認証代行要求部215の代わりに認証代行要求部221を備えている点で相違する。
認証代行要求部221は、サービスに応じて認証レベルを判定する処理を行わない点で認証代行要求部215より機能が簡素化されている。
次に図22のシーケンス図と図25のブロック図を参照して、本実施例のサービス提供サーバ201の動作を説明する。
図22のステップS313において認証管理サーバ301から送信された認証ヘッダなしのINVITEがSIPサーバ500から転送されてくると、パケット送受信部217で受信され(S211)、パケット解析部216に伝達される。パケット解析部216は、INVITEに認証結果が含まれているかどうかを確認し(S212)、含まれていないので、受信したINVITEを認証代行要求部221へ伝達する。
認証代行要求部221は、図23に例示するようなWWW−Authenticateヘッダを含む401 Unauthorizedを作成し、パケット解析部216およびパケット送受信部217を通じてネットワーク400経由で利用者端末101に応答する(S222)。
その他の動作は、第1の実施の形態の実施例で使用するサーバ提供サーバ200と同じである。
本発明は、利用者が通信網を介してサービス提供サーバからサービスの提供を受ける際の認証技術に有効であり、特に通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用したネットワークにおける利用者認証に用いるのに適している。
本発明の第1の実施の形態のブロック図である。 本発明の第1の実施の形態で使用する回線認証テーブル、端末・個人認証テーブルおよび認証方法情報テーブルの一例を示す図である。 本発明の第1の実施の形態の動作を示すシーケンス図である。 本発明の第1の実施の形態の実施例のブロック図である。 本発明の第1の実施の形態の実施例の動作を示すシーケンス図である。 本発明の第1の実施の形態の実施例において利用者端末から送信されるINVITE(認証ヘッダなし)の一例を示す図である。 本発明の第1の実施の形態の実施例においてサービス提供サーバから送信される401 Unauthorizedの一例を示す図である。 本発明の第1の実施の形態の実施例において認証管理サーバから利用者端末へ送信される401 Unauthorizedの一例を示す図である。 本発明の第1の実施の形態の実施例において利用者端末から送信されるINVITE(認証ヘッダあり)の一例を示す図である。 本発明の第1の実施の形態の実施例において認証管理サーバからサービス提供サーバに送信されるINVITE(認証結果あり)の一例を示す図である。 本発明の第1の実施の形態の実施例における認証管理サーバのブロック図である。 本発明の第1の実施の形態の実施例におけるサービス提供サーバのブロック図である。 サービスと認証レベルとの対応を記憶する認証レベル情報の一例を示す図である。 本発明の第1の実施の形態の実施例における利用者端末のブロック図である。 本発明の第1の実施の形態で使用する認証方法情報テーブルの他の例を示す図である。 本発明の第1の実施の形態で使用する認証方法情報テーブルの更に別の例を示す図である。 本発明の第1の実施の形態で使用する端末・個人認証テーブルの別の例を示す図である。 本発明の第1の実施の形態で使用する回線認証テーブルの別の例を示す図である。 本発明の第2の実施の形態のブロック図である。 本発明の第2の実施の形態の動作を示すシーケンス図である。 本発明の第2の実施の形態の実施例のブロック図である。 本発明の第2の実施の形態の実施例の動作を示すシーケンス図である。 本発明の第2の実施の形態の実施例においてサービス提供サーバから送信される401 Unauthorizedの一例を示す図である。 本発明の第2の実施の形態の実施例における認証管理サーバのブロック図である。 本発明の第2の実施の形態の実施例におけるサービス提供サーバのブロック図である。 SIPで規定されたユーザ−ユーザ間HTTPダイジェスト認証方式の動作シーケンス図である。 SIPで規定されたユーザ−ユーザ間HTTPダイジェスト認証方式における401 UnauthorizedのWWW−Authenticateヘッダの内容例を示す図である。 SIPで規定されたユーザ−ユーザ間HTTPダイジェスト認証方式におけるINVITEのAuthorizationヘッダの内容例を示す図である。
符号の説明
100…利用者設備
101…利用者端末
102…ホームゲートウェイ
103…回線
200、201…サービス提供サーバ
300、301…認証管理サーバ
400…ネットワーク
500…SIPサーバ

Claims (50)

  1. 回線を通じて通信網に接続された利用者端末と、前記通信網に接続され、前記利用者端末からサービス要求を受信し、前記利用者端末にサービスを提供するサービス提供サーバと、前記通信網に接続され、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行する認証管理サーバとを備えた認証システム。
  2. 前記サービス提供サーバが、提供するサービスに応じた認証レベルを判定して前記認証管理サーバへ通知し、前記認証管理サーバが、前記複数の認証レベルの認証方法の内から前記通知された認証レベルの認証方法を選択することを特徴とする請求項1記載の認証システム。
  3. 前記サービス提供サーバが、前記利用者端末に対して提供するサービスを特定する情報を前記認証管理サーバへ通知し、前記認証管理サーバが、前記通知された情報で特定されるサービスに応じた認証レベルを判定し、前記複数の認証レベルの認証方法の中から前記判定した認証レベルの認証方法を選択することを特徴とする請求項1記載の認証システム。
  4. サービスに応じた認証レベルの判定は、サービスと認証レベルとの対応を記憶する認証レベル情報テーブルを参照して行われることを特徴とする請求項2または3記載の認証システム。
  5. サービスに応じた認証レベルの認証方法の選択は、認証レベルと認証方法との対応を記憶する認証方法情報テーブルを参照して行われることを特徴とする請求項2乃至4の何れか1項に記載の認証システム。
  6. サービスに応じた認証レベルの認証方法の選択は、前記回線の回線識別情報による認証と他の認証情報による認証とのそれぞれについて認証レベルの増加ポイントを定義した認証方法情報テーブルを参照して、増加ポイントの合計値がサービスに応じた認証レベルの値と一致またはその値以上の認証方法の組み合わせを求めることにより行われることを特徴とする請求項2乃至4の何れか1項に記載の認証システム。
  7. 前記回線の回線識別情報が、前記利用者端末を前記回線に接続するホームゲートウェイに対して前記通信網から払い出されたIPアドレスであることを特徴とする請求項1乃至6の何れか1項に記載の認証システム。
  8. 前記回線の回線識別情報が、前記回線に対して前記通信網から割り当てられた電話番号であることを特徴とする請求項1乃至6の何れか1項に記載の認証システム。
  9. 前記他の1以上の認証情報が、前記利用者端末の端末情報および利用者の本人性を確認するための情報であることを特徴とする請求項1乃至8の何れか1項に記載の認証システム。
  10. 前記利用者端末の端末情報が、前記利用者端末のMACアドレスであることを特徴とする請求項9記載の認証システム。
  11. 前記利用者の本人性を確認するための情報が、パスワードおよび指紋情報の少なくとも一方であることを特徴とする請求項9記載の認証システム。
  12. 前記利用者の本人性を確認するための情報が、利用者の年齢などの属性情報であることを特徴とする請求項9記載の認証システム。
  13. 前記通信網が、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用し、前記認証管理サーバが、SIPメッセージの中継を担うSIPサーバに接続されていることを特徴とする請求項1乃至12の何れか1項に記載の認証システム。
  14. 通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に利用者端末とサービス提供サーバとSIPサーバとが接続され、前記SIPサーバに認証管理サーバが接続された認証システムであって、
    前記認証管理サーバは、前記利用者端末が前記サービス提供サーバに送信したINVITEリクエストをSIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段とを備え、
    前記サービス提供サーバは、前記利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルのうち、要求されたサービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段とを備え、
    前記利用者端末は、前記認証管理サーバが前記SIPサーバを通じて送信した前記401 Unauthorizedレスポンスを受信して解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段とを備えることを特徴とする認証システム。
  15. 前記認証管理サーバの前記認証要求手段は、前記サービス提供サーバから送信される前記401 Unauthorizedレスポンスの前記WWW−Authenticateヘッダに記述されたサービスの認証レベルを判定することを特徴とする請求項14記載の認証システム。
  16. 前記認証管理サーバの前記認証要求手段は、前記サービス提供サーバから受信した前記401 UnauthorizedレスポンスのToヘッダに記述された前記サービス提供サーバのSIP URLからサービスを特定し、該特定したサービスに応じた認証レベルを判定することを特徴とする請求項14記載の認証システム。
  17. 回線を通じて通信網に接続された利用者端末と、前記通信網に接続され、前記利用者端末からサービス要求を受信し、前記利用者端末にサービスを提供するサービス提供サーバとを備えたシステムにおける認証方法であって、前記通信網に接続された認証管理サーバが、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行することを特徴とする認証方法。
  18. 前記サービス提供サーバが、提供するサービスに応じた認証レベルを判定して前記認証管理サーバへ通知し、前記認証管理サーバが、前記複数の認証レベルの認証方法の中から前記通知された認証レベルの認証方法を選択することを特徴とする請求項17記載の認証方法。
  19. 前記サービス提供サーバが、前記利用者端末に対して提供するサービスを特定する情報を前記認証管理サーバへ通知し、前記認証管理サーバが、前記通知された情報で特定されるサービスに応じた認証レベルを判定し、前記複数の認証レベルの認証方法の中から前記判定した認証レベルの認証方法を選択することを特徴とする請求項17記載の認証方法。
  20. a)通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末が、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するステップと、
    b)SIPサーバが、前記INVITEリクエストを前記サービス提供サーバへ転送するステップと、
    c)前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答するステップと、
    d)前記SIPサーバが、前記401 Unauthorizedレスポンスを前記認証管理サーバへ転送するステップと、
    e)前記認証管理サーバが、受信した前記401 Unauthorizedレスポンスを解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送するステップと、
    f)前記利用者端末が、受信した前記401 Unauthorizedレスポンスを解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信するステップと、
    g)前記SIPサーバが、前記INVITEリクエストを認証管理サーバへ転送するステップと、
    h)前記認証管理サーバが、受信した前記INVITEリクエストに認証ヘッダが含まれていることを判定し、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送するステップと、
    i)前記サービス提供サーバが、受信した前記INVITEリクエストに認証結果が含まれていることを判定し、認証結果の成否に応じてサービスの提供可否を判断するステップとを含むことを特徴とする認証方法。
  21. 前記サービス提供サーバから送信される前記401 Unauthorizedレスポンスの前記WWW−Authenticateヘッダに、サービスの認証レベルの記述が含まれることを特徴とする請求項20記載の認証方法。
  22. 前記ステップeにおいて、前記サービス提供サーバから受信した前記401 UnauthorizedレスポンスのToヘッダに記述された前記サービス提供サーバのSIP URLからサービスを特定し、該特定したサービスに応じた認証レベルを判定することを特徴とする請求項20記載の認証方法。
  23. 利用者端末と該利用者端末からのサービス要求に従ってサービスを提供するサービス提供サーバとが接続された通信網に接続され、前記利用者端末を前記通信網に接続する回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行することを特徴とする認証管理サーバ。
  24. 前記サービス提供サーバから提供するサービスに応じた認証レベルの通知を受信し、前記複数の認証レベルの認証方法の中から前記通知された認証レベルの認証方法を選択することを特徴とする請求項23記載の認証管理サーバ。
  25. 前記サービス提供サーバから提供するサービスを特定する情報の通知を受信し、前記通知された情報で特定されるサービスに応じた認証レベルを判定し、前記複数の認証レベルの認証方法の中から前記判定した認証レベルの認証方法を選択することを特徴とする請求項23記載の認証管理サーバ。
  26. 通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストをSIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段とを備えることを特徴とする認証管理サーバ。
  27. 前記認証要求手段は、前記サービス提供サーバから送信される前記401 Unauthorizedレスポンスの前記WWW−Authenticateヘッダに記述されたサービスの認証レベルを判定することを特徴とする請求項26記載の認証管理サーバ。
  28. 前記認証要求手段は、前記サービス提供サーバから受信した前記401 UnauthorizedレスポンスのToヘッダに記述された前記サービス提供サーバのSIP URLからサービスを特定し、該特定したサービスに応じた認証レベルを判定することを特徴とする請求項26記載の認証管理サーバ。
  29. 利用者端末と該利用者端末の利用者の認証を代行する認証管理サーバとが接続された通信網に接続され、前記利用者端末からのサービス要求に従ってサービスを提供するサービス提供サーバであって、前記認証管理サーバに前記利用者端末に対して提供するサービスに応じた認証レベルの認証の代行を要求し、前記認証管理サーバが、前記利用者端末を前記通信網に接続する回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行した認証結果を前記認証管理サーバから受け取り、認証に成功した場合に前記サービスを提供することを特徴とするサービス提供サーバ。
  30. 提供するサービスに応じた認証レベルを判定して前記認証管理サーバへ通知することを特徴とする請求項29記載のサービス提供サーバ。
  31. 提供するサービスを特定する情報を前記認証管理サーバへ通知することを特徴とする請求項29記載のサービス提供サーバ。
  32. 通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルのうち、要求されたサービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段とを備えることを特徴とするサービス提供サーバ。
  33. 回線を通じて通信網に接続された利用者端末からのサービス要求に従ってサービスを提供するサービス提供サーバと、前記利用者端末を前記通信網に接続する回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行する認証管理サーバとが接続された前記通信網に接続された利用者端末であって、前記認証管理サーバから受信した認証方法の認証に必要な認証情報を必要に応じて利用者から入力し、認証要求に対する応答を前記認証管理サーバ送信する手段を備えることを特徴とする利用者端末。
  34. 通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末であって、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するサービス処理手段と、該送信されたINVITEリクエストに認証結果が含まれていないことを判定した前記サービス提供サーバが、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に送信し、該送信された401 UnauthorizedレスポンスがSIPサーバにより認証管理サーバへ転送され、前記認証管理サーバが受信した前記401 Unauthorizedレスポンスを解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて転送してきた場合に、該401 Unauthorizedレスポンスを解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段とを備えたことを特徴とする利用者端末。
  35. 利用者端末と該利用者端末からのサービス要求に従ってサービスを提供するサービス提供サーバとが接続された通信網に接続された認証管理サーバを構成するコンピュータを、前記利用者端末を前記通信網に接続する回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行する手段として機能させるためのプログラム。
  36. 認証管理サーバを構成するコンピュータを、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストをSIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段として機能させるためのプログラム。
  37. 前記認証要求手段は、前記サービス提供サーバから送信される前記401 Unauthorizedレスポンスの前記WWW−Authenticateヘッダに記述されたサービスの認証レベルを判定することを特徴とする請求項36記載のプログラム。
  38. 前記認証要求手段は、前記サービス提供サーバから受信した前記401 UnauthorizedレスポンスのToヘッダに記述された前記サービス提供サーバのSIP URLからサービスを特定し、該特定したサービスに応じた認証レベルを判定することを特徴とする請求項36記載のプログラム。
  39. 利用者端末と該利用者端末の利用者の認証を代行する認証管理サーバとが接続された通信網に接続され、前記利用者端末からのサービス要求に従ってサービスを提供するサービス提供サーバを構成するコンピュータを、前記認証管理サーバに前記利用者端末に対して提供するサービスに応じた認証レベルの認証の代行を要求する認証代行要求手段と、前記認証管理サーバが、前記利用者端末を前記通信網に接続する回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行した認証結果を前記認証管理サーバから受け取り、認証に成功した場合に前記サービスを提供するサービス提供手段として機能させるためのプログラム。
  40. 前記認証代行要求手段は、提供するサービスに応じた認証レベルを判定して前記認証管理サーバへ通知することを特徴とする請求項39記載のプログラム。
  41. 前記認証代行要求手段は、提供するサービスを特定する情報を前記認証管理サーバへ通知することを特徴とする請求項39記載のプログラム。
  42. サービス提供サーバを構成するコンピュータを、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルのうち、要求されたサービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供を行うサービス提供手段として機能させるためのプログラム。
  43. 回線を通じて通信網に接続された利用者端末からのサービス要求に従ってサービスを提供するサービス提供サーバと、前記利用者端末を前記通信網に接続する回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行する認証管理サーバとが接続された前記通信網に接続された利用者端末を構成するコンピュータを、前記認証管理サーバから受信した認証方法の認証に必要な認証情報を利用者から入力する手段と、認証要求に対する応答を前記認証管理サーバへ送信する手段として機能させるためのプログラム。
  44. 通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末を構成するコンピュータを、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するサービス処理手段と、該送信されたINVITEリクエストに認証結果が含まれていないことを判定した前記サービス提供サーバが、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に送信し、該送信された401 UnauthorizedレスポンスがSIPサーバにより認証管理サーバへ転送され、前記認証管理サーバが受信した前記401 Unauthorizedレスポンスを解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて転送してきた場合に、該401 Unauthorizedレスポンスを解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段として機能させるためのプログラム。
  45. 通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストを受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれていない場合には、前記INVITEリクエストを前記サービス提供サーバへ転送し、認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを受信して解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末へ転送する認証要求手段とを備えることを特徴とするSIPサーバ。
  46. 前記認証要求手段は、前記サービス提供サーバから送信される前記401 Unauthorizedレスポンスの前記WWW−Authenticateヘッダに記述されたサービスの認証レベルを判定することを特徴とする請求項45記載のSIPサーバ。
  47. 前記認証要求手段は、前記サービス提供サーバから受信した前記401 UnauthorizedレスポンスのToヘッダに記述された前記サービス提供サーバのSIP URLからサービスを特定し、該特定したサービスに応じた認証レベルを判定することを特徴とする請求項45記載のSIPサーバ。
  48. SIPサーバを構成するコンピュータを、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストを受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれていない場合には、前記INVITEリクエストを前記サービス提供サーバへ転送し、認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを受信して解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末へ転送する認証要求手段として機能させるためのプログラム。
  49. 前記認証要求手段は、前記サービス提供サーバから送信される前記401 Unauthorizedレスポンスの前記WWW−Authenticateヘッダに記述されたサービスの認証レベルを判定することを特徴とする請求項48記載のプログラム。
  50. 前記認証要求手段は、前記サービス提供サーバから受信した前記401 UnauthorizedレスポンスのToヘッダに記述された前記サービス提供サーバのSIP URLからサービスを特定し、該特定したサービスに応じた認証レベルを判定することを特徴とする請求項48記載のプログラム。
JP2007207484A 2007-08-09 2007-08-09 認証システムおよび認証方法 Active JP5309496B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007207484A JP5309496B2 (ja) 2007-08-09 2007-08-09 認証システムおよび認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007207484A JP5309496B2 (ja) 2007-08-09 2007-08-09 認証システムおよび認証方法

Publications (2)

Publication Number Publication Date
JP2009043042A true JP2009043042A (ja) 2009-02-26
JP5309496B2 JP5309496B2 (ja) 2013-10-09

Family

ID=40443724

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007207484A Active JP5309496B2 (ja) 2007-08-09 2007-08-09 認証システムおよび認証方法

Country Status (1)

Country Link
JP (1) JP5309496B2 (ja)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010212922A (ja) * 2009-03-10 2010-09-24 Fujitsu Fip Corp 情報処理システム、情報処理方法及び情報処理プログラム
JP2010224022A (ja) * 2009-03-19 2010-10-07 Hitachi Ltd 真正性を保証する端末システム、端末及び端末管理サーバ
JP2010268084A (ja) * 2009-05-12 2010-11-25 Nippon Telegr & Teleph Corp <Ntt> ユーザ認証システム、プロキシ装置、ユーザ認証方法およびプログラム
JP2011215753A (ja) * 2010-03-31 2011-10-27 Nomura Research Institute Ltd 認証システムおよび認証方法
JP2011227843A (ja) * 2010-04-23 2011-11-10 Nippon Telegr & Teleph Corp <Ntt> 認証システム、認証方法およびプログラム
JP2013527708A (ja) * 2010-05-14 2013-06-27 オーセンティファイ・インク 柔軟な準帯域外認証構造
JP2013257625A (ja) * 2012-06-11 2013-12-26 Nippon Telegr & Teleph Corp <Ntt> 認証要求変換装置および認証要求変換方法
JP2014524091A (ja) * 2012-06-07 2014-09-18 エスケー プラネット カンパニー、リミテッド 改善された保安機能基盤のクラウドサービスシステム及びこれを支援する方法
JP2014215652A (ja) * 2013-04-23 2014-11-17 富士通株式会社 情報処理装置、情報処理システム、および認証処理方法
JP2015026300A (ja) * 2013-07-29 2015-02-05 株式会社日立ソリューションズ 取引に対する認証情報の管理方法
KR101680525B1 (ko) * 2016-07-12 2016-12-06 김주한 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법
KR20160139885A (ko) * 2015-05-29 2016-12-07 한국정보인증주식회사 생체 정보 인식과 키 분할 방식을 이용한 공인인증 시스템 및 그 방법, 그 방법을 수행하는 프로그램이 기록된 기록매체
JP2018026733A (ja) * 2016-08-10 2018-02-15 富士通株式会社 情報処理装置、情報処理システム、プログラム及び情報処理方法
JP2020107078A (ja) * 2018-12-27 2020-07-09 ベーステクノロジー株式会社 端末認証管理システムおよびその方法、およびそのプログラム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10320357A (ja) * 1997-05-16 1998-12-04 Pfu Ltd ユーザ認証システムにおける認証サーバおよびその認証方法およびその記録媒体
JPH11507752A (ja) * 1995-06-07 1999-07-06 オープン・マーケット・インコーポレーテッド インターネットサーバーのアクセス管理およびモニタシステム
JP2003248661A (ja) * 2002-02-25 2003-09-05 Sony Corp 認証処理装置および認証処理方法、情報処理装置および情報処理方法、認証処理システム、記録媒体、並びにプログラム
JP2006031478A (ja) * 2004-07-16 2006-02-02 Yamaha Corp コンテンツ再生端末およびコンテンツ配信システム
JP2007157002A (ja) * 2005-12-07 2007-06-21 Sharp Corp サービス管理装置、サービス管理システム、プログラムおよび記録媒体

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11507752A (ja) * 1995-06-07 1999-07-06 オープン・マーケット・インコーポレーテッド インターネットサーバーのアクセス管理およびモニタシステム
JPH10320357A (ja) * 1997-05-16 1998-12-04 Pfu Ltd ユーザ認証システムにおける認証サーバおよびその認証方法およびその記録媒体
JP2003248661A (ja) * 2002-02-25 2003-09-05 Sony Corp 認証処理装置および認証処理方法、情報処理装置および情報処理方法、認証処理システム、記録媒体、並びにプログラム
JP2006031478A (ja) * 2004-07-16 2006-02-02 Yamaha Corp コンテンツ再生端末およびコンテンツ配信システム
JP2007157002A (ja) * 2005-12-07 2007-06-21 Sharp Corp サービス管理装置、サービス管理システム、プログラムおよび記録媒体

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010212922A (ja) * 2009-03-10 2010-09-24 Fujitsu Fip Corp 情報処理システム、情報処理方法及び情報処理プログラム
JP2010224022A (ja) * 2009-03-19 2010-10-07 Hitachi Ltd 真正性を保証する端末システム、端末及び端末管理サーバ
US8413214B2 (en) 2009-03-19 2013-04-02 Hitachi, Ltd Terminal system for guaranteeing authenticity, terminal, and terminal management server
JP2010268084A (ja) * 2009-05-12 2010-11-25 Nippon Telegr & Teleph Corp <Ntt> ユーザ認証システム、プロキシ装置、ユーザ認証方法およびプログラム
JP2011215753A (ja) * 2010-03-31 2011-10-27 Nomura Research Institute Ltd 認証システムおよび認証方法
JP2011227843A (ja) * 2010-04-23 2011-11-10 Nippon Telegr & Teleph Corp <Ntt> 認証システム、認証方法およびプログラム
JP2013527708A (ja) * 2010-05-14 2013-06-27 オーセンティファイ・インク 柔軟な準帯域外認証構造
US9055060B2 (en) 2012-06-07 2015-06-09 Sk Planet Co., Ltd. Cloud service system based on enhanced security function and method for supporting the same
JP2014524091A (ja) * 2012-06-07 2014-09-18 エスケー プラネット カンパニー、リミテッド 改善された保安機能基盤のクラウドサービスシステム及びこれを支援する方法
JP2013257625A (ja) * 2012-06-11 2013-12-26 Nippon Telegr & Teleph Corp <Ntt> 認証要求変換装置および認証要求変換方法
JP2014215652A (ja) * 2013-04-23 2014-11-17 富士通株式会社 情報処理装置、情報処理システム、および認証処理方法
JP2015026300A (ja) * 2013-07-29 2015-02-05 株式会社日立ソリューションズ 取引に対する認証情報の管理方法
KR20160139885A (ko) * 2015-05-29 2016-12-07 한국정보인증주식회사 생체 정보 인식과 키 분할 방식을 이용한 공인인증 시스템 및 그 방법, 그 방법을 수행하는 프로그램이 기록된 기록매체
KR101724401B1 (ko) 2015-05-29 2017-04-07 한국정보인증주식회사 생체 정보 인식과 키 분할 방식을 이용한 공인인증 시스템 및 그 방법, 그 방법을 수행하는 프로그램이 기록된 기록매체
KR101680525B1 (ko) * 2016-07-12 2016-12-06 김주한 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법
WO2018012747A1 (ko) * 2016-07-12 2018-01-18 김주한 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법
US10305902B2 (en) 2016-07-12 2019-05-28 Juhan Kim Two-channel authentication proxy system capable of detecting application tampering and method therefor
JP2018026733A (ja) * 2016-08-10 2018-02-15 富士通株式会社 情報処理装置、情報処理システム、プログラム及び情報処理方法
JP2020107078A (ja) * 2018-12-27 2020-07-09 ベーステクノロジー株式会社 端末認証管理システムおよびその方法、およびそのプログラム
JP7239974B2 (ja) 2018-12-27 2023-03-15 ベーステクノロジー株式会社 端末認証管理システムおよびその方法、およびそのプログラム

Also Published As

Publication number Publication date
JP5309496B2 (ja) 2013-10-09

Similar Documents

Publication Publication Date Title
JP5309496B2 (ja) 認証システムおよび認証方法
US9053306B2 (en) Authentication system, authentication server, service providing server, authentication method, and computer-readable recording medium
US20100138899A1 (en) Authentication intermediary server, program, authentication system and selection method
JP5296726B2 (ja) Webコンテンツ提供システム、Webサーバ、コンテンツ提供方法、及びこれらのプログラム
US8769262B2 (en) VPN connection system and VPN connection method
US20060264202A1 (en) System and method for authenticating clients in a client-server environment
RU2008114665A (ru) Защищенная обработка мандата клиентской системы для доступа к ресурсам на основе web
JP5326974B2 (ja) 中継装置、異なる端末装置間のサービス継続方法、及び中継プログラム
EP1909430A1 (en) Access authorization system of communication network and method thereof
JP2005323070A (ja) 携帯電話による情報家電向け認証方法
JP2007310512A (ja) 通信システム、サービス提供サーバおよびユーザ認証サーバ
WO2006073008A1 (ja) ネットワークカメラへのログイン認証システム
CN101779413A (zh) 用于通信的方法和设备以及用于控制通信的方法和设备
JP4960738B2 (ja) 認証システム、認証方法および認証プログラム
US20180324169A1 (en) Method of access by a telecommunications terminal to a database hosted by a service platform that is accessible via a telecommunications network
WO2008026288A1 (fr) Procédé d&#39;authentification de dispositif terminal connecté à un réseau, programme d&#39;authentification de dispositif terminal connecté à un réseau et appareil d&#39;authentification de dispositif terminal connecté à un réseau
CN101540757A (zh) 网络认证方法、系统和认证设备
US20120131206A1 (en) System, method, and program for communication connection by polling
JP5211579B2 (ja) Sipを用いた認証システムおよび認証方法
JP4527491B2 (ja) コンテンツ提供システム
JP5589034B2 (ja) 情報流通システム、認証連携方法、装置及びそのプログラム
JP2004013377A (ja) 合言葉認証システムおよび合言葉による認証方法
JP2007323235A (ja) 属性利用承認システム
US11716331B2 (en) Authentication method, an authentication device and a system comprising the authentication device
JP2009211529A (ja) 認証処理装置、認証処理方法および認証処理プログラム

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20091007

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20091007

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100713

RD07 Notification of extinguishment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7427

Effective date: 20120711

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121127

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130107

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130129

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130321

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130409

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130514

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130604

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130617

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5309496

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150