JP2012073892A - Authentication server, authentication system, authentication method and authentication program - Google Patents
Authentication server, authentication system, authentication method and authentication program Download PDFInfo
- Publication number
- JP2012073892A JP2012073892A JP2010219261A JP2010219261A JP2012073892A JP 2012073892 A JP2012073892 A JP 2012073892A JP 2010219261 A JP2010219261 A JP 2010219261A JP 2010219261 A JP2010219261 A JP 2010219261A JP 2012073892 A JP2012073892 A JP 2012073892A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- network
- additional function
- information terminal
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証サーバ、認証システム、認証方法及び認証プログラムの技術に関する。 The present invention relates to a technology of an authentication server, an authentication system, an authentication method, and an authentication program for performing user authentication on an information terminal that makes a connection request to a network.
近年、ISP(Internet Service Provider)は、インターネットへの接続サービスに
様々な機能を付加したサービスを提供している。例えば、この付加される機能を実現する技術の一つとして、DPI(Deep Packet Inspection)と呼ばれる技術が存在する。DPIとは、インターネットでやりとりされるデータ(パケット)を収集して、解析する技術である。このDPIにより、インターネットでやりとりされるデータの傾向を調べることができ、例えば、傾向に合う広告データをユーザに提供することができる。
In recent years, ISPs (Internet Service Providers) provide services in which various functions are added to Internet connection services. For example, there is a technique called DPI (Deep Packet Inspection) as one of the techniques for realizing this added function. DPI is a technique for collecting and analyzing data (packets) exchanged over the Internet. With this DPI, the tendency of data exchanged over the Internet can be examined, and for example, advertisement data matching the tendency can be provided to the user.
図9は、従来のDPIが用いられるネットワークの構成例を示す。図9に示されるとおり、従来のDPIが用いられるネットワーク構成は、例えば、ユーザ端末2、ブロードバンドルータ3、BAS(Broadband Access Server)4、認証サーバ10、ISP網5、
ISP網終端装置51、インターネット6、DPI装置70及びDPIサーバ80を含む。
FIG. 9 shows a configuration example of a network in which a conventional DPI is used. As shown in FIG. 9, the network configuration in which the conventional DPI is used includes, for example, a
An ISP
従来のDPIが用いられるネットワークの構成では、DPI機能を望むユーザa及びDPI機能を望まないユーザbのユーザ端末2とインターネット6との間でやりとりされるデータは一度DPI装置70を通過する。DPI装置70は、ユーザがDPI機能を望む、望まないに関わらず、全てのデータのコピーをDPIサーバ80に送信する。そして、DPIサーバ80は、これらのデータを収集及び解析を行い、例えば、データの傾向に合う広告データを、DPI機能を望むユーザaのユーザ端末2に提供していた。
In the network configuration using the conventional DPI, data exchanged between the
このような技術に関して、例えば、特許文献1及び特許文献2に挙げられる技術が存在する。
With regard to such a technique, for example, there are techniques listed in
特許文献1では、ある広告ページ(Webページ)を経由したクライアントにクッキーを仕込み、クッキーが仕込まれたクライアントからのパケットを閲覧し、クライアントの閲覧しているWebページの傾向を調べる技術が開示されている。 Japanese Patent Application Laid-Open No. 2004-151867 discloses a technique for preparing a cookie in a client via a certain advertisement page (Web page), browsing a packet from the client in which the cookie is stored, and checking a tendency of the Web page being browsed by the client. ing.
特許文献2では、課金されたコンテンツへアクセスにおいて、認証が済んだ端末したアクセスできないようにするために、全てのパケットを閲覧し、認証が済んでいるかどうかを調べる技術が開示されている。
上記のようにインターネットへの接続サービスに様々な機能を付加したサービスを提供する従来の技術では、ユーザが望む(許可する)、望まない(許可しない)に関わらず、全て一度データ解析のためにデータが収集されていた。このため、ネットワークに接続されるユーザ端末の数に応じて、大規模で処理が高速な装置(例えば、DPI装置及びDP
Iサーバ)が必要であった。また、全てのデータを一度収集してしまうため、データ収集を許可しないユーザの要望に対応することができなかった。
As described above, in the conventional technology that provides a service with various functions added to the Internet connection service, regardless of whether the user wants (permits) or does not want (not permit), the data can be analyzed once. Data was being collected. Therefore, depending on the number of user terminals connected to the network, a large-scale and high-speed device (for example, a DPI device and a DP)
I server) was required. In addition, since all data is collected once, it has not been possible to meet the demands of users who do not allow data collection.
本発明は、このような点を考慮してなされたものであり、ネットワーク上において提供される機能を適切なユーザに提供することができる認証サーバ、認証システム、認証方法及び認証プログラムを提供することを目的とする。 The present invention has been made in consideration of such points, and provides an authentication server, an authentication system, an authentication method, and an authentication program capable of providing a function provided on a network to an appropriate user. With the goal.
本発明は、上述した課題を解決するために、以下の構成を採用する。 The present invention employs the following configuration in order to solve the above-described problems.
すなわち、ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う本発明の認証サーバは、記憶部と、情報端末からの接続要求に応じて、情報端末のユーザ認証を行う認証部と、認証部のユーザ認証の後に、情報端末に対して、情報端末側から送信された、又は、記憶部に格納された情報により示される情報端末が要求する付加機能を提供可能なネットワークへの接続を許可する応答部と、を備える。 That is, an authentication server of the present invention that performs user authentication for an information terminal that makes a connection request to a network includes a storage unit, an authentication unit that performs user authentication of the information terminal in response to a connection request from the information terminal, After user authentication of the authentication unit, the information terminal is connected to a network that can provide an additional function requested by the information terminal transmitted from the information terminal side or indicated by the information stored in the storage unit. A response unit to be permitted.
上記構成によれば、付加機能を要求する情報端末は、当該付加機能を提供可能なネットワークへ接続が許可される。このため、ネットワーク上において提供される付加機能を適切なユーザに提供することができる。また、従来とは異なり、全てのユーザに対して機能を提供する必要はなくなり、適切なユーザに対して付加機能を提供することができるネットワークを用意すればよいため、小規模で安価な装置により、機能の提供を実施することができる。 According to the above configuration, an information terminal that requests an additional function is permitted to connect to a network that can provide the additional function. For this reason, the additional function provided on a network can be provided to an appropriate user. Also, unlike conventional systems, it is not necessary to provide functions to all users, and it is only necessary to prepare a network that can provide additional functions to appropriate users. , Providing functionality.
また、上記情報端末側から送信された情報は、上記情報端末が要求する付加機能を示す文字列を含むドメイン名であってもよい。 Further, the information transmitted from the information terminal may be a domain name including a character string indicating an additional function requested by the information terminal.
上記構成によれば、情報端末が要求する付加機能は、ドメイン名によって指定される。このため、情報端末の要求する付加機能を切り替えはドメイン名の切り替えによって達成することができる。 According to the above configuration, the additional function requested by the information terminal is specified by the domain name. For this reason, switching of the additional function required by the information terminal can be achieved by switching the domain name.
また、本発明の認証システムは、本発明の認証サーバと、前記情報端末からの前記付加機能の切り替えの申込により、上記情報端末側から送信される、又は、上記記憶部に格納される情報が示す付加機能を切り替える申込サーバと、を備える。 Further, the authentication system of the present invention is configured such that the information transmitted from the information terminal side or stored in the storage unit by the application for switching the additional function from the authentication server of the present invention and the information terminal is stored. And an application server for switching the additional function shown.
上記構成によれば、情報端末の申込により、情報端末が要求する付加機能が切り替えられる。このため、ユーザは、任意に所望の付加機能を切り替えることができる。また、情報端末が要求する付加機能はユーザの任意により切り替えられるため、付加機能を提供する側は、提供する付加機能をユーザに告知することができる。 According to the above configuration, the additional function requested by the information terminal is switched by applying for the information terminal. For this reason, the user can arbitrarily switch a desired additional function. Further, since the additional function requested by the information terminal can be arbitrarily switched by the user, the side providing the additional function can notify the user of the additional function to be provided.
なお、本発明の別態様としては、以上の何れかの構成を実現する方法であってもよいし、システムであってもよいし、プログラムであってもよいし、このようなプログラムを記録したコンピュータが読み取り可能な記憶媒体であってもよい。 As another aspect of the present invention, a method for realizing any of the above configurations, a system, a program, or such a program may be recorded. It may be a computer-readable storage medium.
本発明によれば、ネットワーク上において提供される機能を適切なユーザに提供することができる認証サーバ、認証システム、認証方法及び認証プログラムを提供することができる。 According to the present invention, it is possible to provide an authentication server, an authentication system, an authentication method, and an authentication program that can provide functions provided on a network to an appropriate user.
以下、本発明の一側面に係る認証サーバ及び認証システムを、実施の形態(以下、「本実施形態」とも表記する)として説明する。ただし、以下に挙げる実施形態は例示であり、本発明は以下の実施形態の構成に限定されない。 Hereinafter, an authentication server and an authentication system according to an aspect of the present invention will be described as an embodiment (hereinafter also referred to as “this embodiment”). However, the following embodiments are merely examples, and the present invention is not limited to the configurations of the following embodiments.
なお、以下に挙げる実施形態において、例えば、図7及び図8においてパケット構成例の属性名や属性値を自然言語(日本語等)等で例示しているが、より具体的には、コンピュータが認識可能な疑似言語、コマンド、パラメタ、マシン語等で指定される。 In the following embodiments, for example, in FIG. 7 and FIG. 8, the attribute names and attribute values of the packet configuration examples are illustrated in natural language (Japanese etc.), but more specifically, the computer It is specified in a recognizable pseudo language, command, parameter, machine language, etc.
§1 ネットワーク構成例
まず、本実施形態に係るネットワークの構成例について説明する。図1は、本実施形態に係るネットワークの構成例を示す。図1に示されるとおり、本実施形態に係るネットワークは、認証サーバ1、ユーザ端末2、ブロードバンドルータ3、BAS4、ISP網5及びISP網終端装置51、インターネット6及び申込サーバ60、並びに付加機能網7及び付加機能網終端装置71を含んだ構成となっている。
§1 Network configuration example First, a network configuration example according to the present embodiment will be described. FIG. 1 shows a configuration example of a network according to the present embodiment. As shown in FIG. 1, the network according to the present embodiment includes an
認証サーバ1は、ネットワークを介してBAS4、ISP網終端装置51(ISP網5)及び付加機能網終端装置71(付加機能網7)と通信可能となっている。ユーザ端末2は、ネットワークを介してブロードバンドルータ3と通信可能となっている。ブロードバンドルータ3は、ネットワークを介してユーザ端末2及びBAS4と通信可能となっている。BAS4は、ネットワークを介して認証サーバ1、ブロードバンドルータ3、ISP網終端装置51(ISP網5)及び付加機能網終端装置71(付加機能網7)と通信可能となっている。
The
ユーザ端末2は、ブロードバンドルータ3、BAS4並びにISP網5及びISP網終端装置51又は付加機能網7及び付加機能網終端装置71を介して、インターネット6に接続することができる。
The
ISP網5は、従来のISP網であり、ユーザ端末2に対して、付加機能を提供せず、インターネット6への接続を提供するネットワークである。他方、付加機能網7は、ユーザ端末2に対して、付加機能を提供するとともに、インターネット6への接続を提供するネットワークである。
The
§2 装置構成例
次に、本実施形態に係るネットワークの各ノードについて説明する。
§2 Device configuration example Next, each node of the network according to the present embodiment will be described.
§2−1 ユーザ端末2
ユーザ端末2は、例えば、PC(Personal Computer)として周知のハードウェア構成
及び機能構成を有している。例えば、ユーザ端末2は、そのハードウェア構成として、それぞれバスを介して接続された、各種データ及びプログラムを格納するための記憶部、記憶部に格納されたプログラムを実行する制御部、ネットワークと通信を行うための通信部、マウスやキーボード等に対するユーザの操作を入力するための入力部等を有している。ユーザ端末2は、このようなハードウェア構成により、ネットワークを介してインターネット6へ接続するための一般的な通信機能、提供されたデータに基づく画面を表示及び操作することができる一般的なユーザインタフェース機能等を実現する。
§2-1
The
本実施形態では、ユーザ端末2は、ISP網5又は付加機能網7を介してインターネット6上に存在するサーバ(Webサーバやメールサーバ等)へアクセスする。この時、ブロードバンドルータ3とISP網5又は付加機能網7との間で通信経路が確立されていない場合、認証サーバ1によりユーザ端末2のユーザ認証が行われる。後述するとおり、ユーザ認証が成立すると、認証サーバ1は、ユーザ端末2側(本実施形態ではブロードバンドルータ3)から送信される情報であって、ユーザ端末2が要求する付加機能を示す情報に基づいて、接続許可を行う対象のネットワークを決定する。これにより、ブロードバンドルータ3とISP網5又は付加機能網7との間で通信経路が確立され、ユーザ端末2は、インターネット6上に存在するサーバにアクセスすることができるようになる。
In the present embodiment, the
また、本実施形態では、インターネット6上に存在する申込サーバ60にユーザ端末2がアクセスすることにより取得されるWebページが操作されることにより、ユーザ端末2が要求する付加機能が切り替えられる。図2は、当該Webページの表示画面例を示す。
Further, in the present embodiment, an additional function requested by the
ユーザ端末2上において、図2に示されるWebページが操作される。ユーザは、ユーザ端末2を操作し、付加機能の選択画面(20)から、所望の付加機能を選択する(21)。そして、選択した付加機能が設定操作される(22)ことにより、ユーザ端末2からブロードバンドルータ3に対して、ユーザ端末2が要求する付加機能を示す情報の切り替えが要求される。ブロードバンドルータ3は、当該要求に応じて、ユーザ端末2が要求する付加機能を示す情報の切り替えを行う。
On the
なお、本実施形態の別方法として、申込サーバ60に代えて、ユーザ端末2上で実行されるプログラムにより、上記付加機能の切り替えが実現されてもよい。
As another method of the present embodiment, the switching of the additional function may be realized by a program executed on the
§2−2 ブロードバンドルータ3
ブロードバンドルータ3は、周知のブロードバンドルータとして一般的なハードウェア構成及び機能構成を有している。例えば、ブロードバンドルータ3は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。ブロードバンドルータ3は、このようなハードウェア構成により、ブロードバンドルータ3とISP網5または付加機能網7との間で通信経路を確立する一般的なルーティング機能等を実現する。
§2-2
The
本実施形態では、ブロードバンドルータ3は、ユーザ端末2からのインターネット6上へのサーバに対するアクセス要求に応じて、ISP網5又は付加機能網7との間に通信経路を確立するために、BAS4に対して接続要求を行う。接続要求に際して、ブロードバンドルータ3からBAS4へ、ユーザ認証に用いる情報(例えば、ユーザのID及びパスワード)と共に、ユーザ端末2が要求する付加機能を示す情報が送信される。詳細については後述する。
In this embodiment, the
この接続要求に応じて、認証サーバ1によりユーザ端末2のユーザ認証が行われる。そ
して、ユーザ認証の結果に応じて、本実施形態では、ブロードバンドルータ3は、BAS4から送信される接続許可の情報に基づいて、ISP網5又は付加機能網7との間に通信経路を確立する。この通信経路の確立のため、ブロードバンドルータ3は、BAS4と通信経路確立のための通信を行う。
In response to this connection request, user authentication of the
また、本実施形態では、ブロードバンドルータ3は、ユーザ端末2からの要求に応じて、ユーザ端末2が要求する付加機能を示す情報を切り替える。ユーザ端末2が要求する付加機能を示す情報の具体例については、後述する。
In the present embodiment, the
§2−3 BAS4
BAS4は、周知のアクセスサーバとして一般的なハードウェア構成及び機能構成を有している。例えば、BAS4は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。BAS4は、このようなハードウェア構成により、一般的な認証クライアントの機能等を実現する。
§2-3 BAS4
The
本実施形態では、BAS4は、ブロードバンドルータ3からのISP5又は付加機能網7への接続要求に応じて、認証サーバ1にユーザ認証の問合せを行う。
In this embodiment, the
また、本実施形態では、認証サーバ1から返信される接続許可(例えば、接続許可の情報を含むパケットデータの通知)に応じて、BAS4は、ISP網終端装置51又は付加機能網終端装置71に対して接続要求を行う。当該接続要求は、ブロードバンドルータ3とISP網5又は付加機能網7との間で通信経路を確立するためのものである。この接続要求に応じて、ISP網終端装置51又は付加機能網終端装置71から接続許可の応答が返される。BAS4は、当該接続許可の応答に応じて、ブロードバンドルータ3にISP網5又は付加機能網7への接続許可を返信する。
In the present embodiment, the
§2−4 認証サーバ1
図3は、本実施形態における認証サーバ1の構成例を示す。
§2-4
FIG. 3 shows a configuration example of the
認証サーバ1は、図3に示されるように、そのハードウェア構成として、バス13で接続される、記憶部11、制御部12、通信部14等の既存のハードウェアを有している。記憶部11は、例えばハードディスクであり、制御部12で実行される処理で利用される各種データ及びプログラムを記憶する。制御部12は、CPU(Central Processing Unit)等の1又は複数のプロセッサであり、このプロセッサの処理に利用される周辺回路(
ROM(Read Only Memory)、RAM(Random Access Memory)、インタフェース回路等)を有する。通信部14は、ネットワークを介して、BAS4、ISP網終端装置51及び付加機能網終端装置71等とIP(Internet Protocol)パケット等の送受信を行う。
なお、認証サーバ1は、PC等のような汎用コンピュータで構成されてもよいし、ネットワーク接続ストレージのような専用コンピュータで構築されてもよい。
As shown in FIG. 3, the
ROM (Read Only Memory), RAM (Random Access Memory), interface circuit, and the like. The
The
図3に示されるとおり、認証サーバ1は、ユーザ認証を行う情報を格納するためのユーザ認証情報データベース15を記憶部11に有している。
As shown in FIG. 3, the
ユーザ認証情報データベース15には、後述する認証部16がユーザ認証を行うための情報が格納されている。ユーザ認証を行うための情報は、上述のブロードバンドルータ3からBAS4に送信されるユーザ認証に用いる情報に対応した情報であり、例えば、ユーザのIDとパスワードとを一組にした情報である。
The user
また、図3に示されるとおり、認証サーバ1は、ユーザ認証情報データベース15の情
報を用いてユーザ認証を行う認証部16、及び認証部16のユーザ認証の結果に応じた応答(ネットワークへの接続許可)を行う応答部17を制御部11に有している。
As shown in FIG. 3, the
認証部16は、BAS4からのユーザ認証の問合せに応じて、当該問合せの対象であるユーザ端末2のユーザ認証を行う。認証部16は、このユーザ認証を、ユーザ認証情報データベース15に格納された情報と、BAS4からのユーザ認証の問合せに含まれる上述のブロードバンドルータ3からBAS4に送信されるユーザ認証に用いる情報とを用いることにより実施する。
In response to the user authentication inquiry from the
例えば、ユーザ認証情報データベース15にはユーザのIDとパスワードとを一組にした情報が格納されており、上述のブロードバンドルータ3からBAS4に送信されるユーザ認証に用いる情報がユーザのIDとパスワードであるとする。この場合、認証部16は、BAS4からのユーザ認証の問合せに含まれたユーザのID及びパスワードが、ユーザ認証情報データベース15に格納されているユーザのID及びパスワードと一致するか否かを判定することにより、ユーザ認証を実施する。
For example, the user
例えば、認証部16は、BAS4の問合せに含まれたID及びパスワードとユーザ認証情報データベース15に格納されているID及びパスワードが一致した場合、ユーザ認証は成立すると判定する。他方、認証部16は、BAS4の問合せに含まれたID及びパスワードとユーザ認証情報データベース15に格納されているID及びパスワードが一致しない場合、ユーザ認証は成立しないと判定する。
For example, the
本実施形態では、応答部17は、ユーザ認証は成立すると認証部16が判定した場合、ネットワークへの接続許可をBAS4に対して行う。この接続許可の対象となるネットワークは、本実施形態では、ISP網5または付加機能網7である。認証部16がこれらのネットワークに対する接続許可をBAS4に対して行うことで、ブロードバンドルータ3とこれらのネットワークとの間に通信経路が形成される。
In the present embodiment, the
この接続許可において、応答部17は、BAS4からのユーザ認証の問合せに含まれるブロードバンドルータ3から送信されたユーザ端末2が要求する付加機能を示す情報に基づいて、BAS4に対して行う接続許可の接続先を決定する。本実施形態では、ユーザ端末2が要求する付加機能を示す情報はドメイン名である。
In this connection permission, the
例えば、ドメイン名が「ccc.com」である場合、応答部17は、ユーザ端末2が要求す
る付加機能はなしと判定し、ISP網5への接続許可をBAS4に対して行う。
For example, when the domain name is “ccc.com”, the
また、例えば、ドメイン名が「dpi.ccc.com」である場合、応答部17は、ユーザ端末
2が要求する付加機能は後述するDPI機能であると判定し、DPI機能を提供する付加機能網7(後述するDPI専用ネットワーク7a)への接続許可をBAS4に対して行う。
For example, when the domain name is “dpi.ccc.com”, the
また、例えば、ドメイン名が「tctrl.ccc.com」である場合、応答部17は、ユーザ端
末2が要求する付加機能は後述する帯域規制機能であると判定し、帯域規制機能を提供する付加機能網7(後述する帯域規制専用ネットワーク7b)への接続許可をBAS4に対して行う。
For example, when the domain name is “tctrl.ccc.com”, the
また、例えば、ドメイン名が「sec.ccc.com」である場合、応答部17は、ユーザ端末
2が要求する付加機能は後述するセキュリティ強化機能であると判定し、セキュリティ強化機能を提供する付加機能網7(後述するセキュリティ強化ネットワーク7c)への接続許可をBAS4に対して行う。
Further, for example, when the domain name is “sec.ccc.com”, the
また、例えば、ドメイン名が「prem.ccc.com」である場合、応答部17は、ユーザ端末2が要求する付加機能は後述するプレミアム機能であると判定し、プレミアム機能を提供する付加機能網7(後述するプレミアムネットワーク7d)への接続許可をBAS4に対して行う。
For example, when the domain name is “prem.ccc.com”, the
なお、本実施形態の別形態として、ユーザ端末2が要求する付加機能を示す情報はユーザのIDであってもよい。この場合、例えば、ユーザ認証情報データベース15には、ユーザ認証に用いる一組のIDとパスワードに対応付けられた接続先の情報(例えば、ISP網5又は上記各サービスを提供する付加機能網7の終端装置のIPアドレス)が格納されている。そして、ユーザ認証は成立すると認証部16が判定した場合、応答部17は、当該ユーザ認証に用いられた一組のIDとパスワードに対応付けられた接続先の情報をユーザ認証情報データベース15より取得する。また、応答部17は、取得した接続先の情報を用いて、BAS4に対して接続許可を行う。
As another form of the present embodiment, the information indicating the additional function requested by the
また、本実施形態の別形態として、ユーザ端末2が要求する付加機能を示す情報は、例えば、予め認証サーバ1の記憶部11に格納されていてもよい。この場合、例えば、ユーザ認証情報データベース15には、ユーザ認証に用いる一組のIDとパスワードに対応付けられた接続先の情報(例えば、ISP網5又は上記各サービスを提供する付加機能網7の終端装置のIPアドレス)が格納されている。そして、ユーザ認証は成立すると認証部16が判定した場合、応答部17は、当該ユーザ認証に用いられた一組のIDとパスワードに対応付けられた接続先の情報をユーザ認証情報データベース15より取得する。また、応答部17は、取得した接続先の情報を用いて、BAS4に対して接続許可を行う。
Moreover, as another form of this embodiment, the information which shows the additional function which the
なお、本実施形態では、応答部17が、ISP網5又は付加機能網7への接続許可をBAS4に対して行った場合、ISP網終端装置51又は付加機能網終端装置71より当該接続許可の接続確認が行われる。この時、応答部17は自己が行ったBAS4に対する接続許可に対応する接続許可の通知をISP網終端装置51又は付加機能網終端装置71に対して行う。ISP網終端装置51又は付加機能網終端装置71は、この接続許可の通知により、ブロードバンドルータ3と自身との間で通信経路を確立することに対する接続許可を認証サーバ1(応答部17)が行ったことを認識する。
In the present embodiment, when the
他方、ユーザ認証は成立しないと認証部16が判定した場合、応答部17は、任意の情報をBAS4に対して返信する。例えば、応答部17は、従来のインターネットへの接続方法と同様に、各ネットワークへの接続拒否をBAS4に対して行う。
On the other hand, when the
§2−5 付加機能網7
<付加機能網7>
付加機能網7は、本実施形態では、ユーザ端末2に対して、付加機能を提供するとともに、インターネット6への接続を提供するネットワークである。付加機能網7について、図4及び図5を用いて説明する。
§2-5
<
In the present embodiment, the
図4は、本実施形態における付加機能網7を例示している。付加機能網7は、図4に示されるとおり、ユーザが許可する又は所望する付加機能に応じて独立したネットワークを構成している。本実施形態では、付加機能が実現されたネットワークとして、DPI機能が実現されたDPI専用ネットワーク7a、帯域規制が実現された帯域規制専用ネットワーク7b、セキュリティ強化機能が実現されたセキュリティ強化ネットワーク7c、及び、通信帯域の確保等の通信品質の高いサービスを提供する機能が実現されたプレミアムネットワーク7dが例示されている。そして各ネットワークは、その終端装置(DPI専用ネットワーク終端装置71a、帯域規制専用ネットワーク終端装置71b、セキュリティ
強化ネットワーク終端装置71c、プレミアムネットワーク終端装置71d)を介してBAS4に接続されている。
FIG. 4 illustrates the
図5は、本実施形態における付加機能網7の構成例を示す。上記各付加機能が実現された付加機能網7はそれぞれ、付加機能を実現するための付加機能装置72及び付加機能サーバ81を有する。
FIG. 5 shows a configuration example of the
付加機能装置72及び付加機能サーバ81はそれぞれ、そのハードウェア構成として、それぞれバスを介して接続された、各種データ及びプログラムを格納するための記憶部、記憶部に格納されたプログラムを実行する制御部、ネットワークと通信を行うための通信部等を有している。付加機能装置72及び付加機能サーバ81はそれぞれ、このようなハードウェア構成により、上記各付加機能等を実現する。
Each of the
例えば、DPI専用ネットワーク7aは、ユーザ端末2がインターネット6に接続する際に、DPI機能を実現する。DPI機能は、上述のとおりである。例えば、図5に示される付加機能装置72は上述のDPI装置であり、付加機能サーバ81は上述のDPIサーバである。これにより、DPI専用ネットワーク7aは、ユーザ端末2がインターネット6に接続する際に、DPI機能を実現する。そして、例えば、DPIサーバは、当該DPI機能によりユーザの嗜好に合う広告情報を取得し、当該機能を許可しているユーザ端末2に対して、広告情報の送信を行う。
For example, the DPI
また、例えば、帯域規制専用ネットワーク7bは、ユーザ端末2がインターネット6に接続する際に、帯域規制機能を実現する。帯域規制機能は、ユーザ端末2がインターネット6上のサーバにアクセスする際の通信帯域量を規制する機能である。例えば、図5に示される付加機能装置72は通信量を計測するための装置であり、付加機能サーバ81は計測された通信量に基づいて帯域規制を実現するためのサーバである。これにより、帯域規制専用ネットワーク7bは、ユーザ端末2がインターネット6に接続する際に、帯域規制機能を実現する。そして、例えば、帯域規制を実現するためのサーバは、当該帯域規制機能を許可しているユーザのユーザ端末2が帯域規制を超える通信を実行している場合、当該ユーザ端末2に対して、ネットワーク利用量の警告情報を送信する。
In addition, for example, the band regulation dedicated
また、例えば、セキュリティ強化ネットワーク7cは、ユーザ端末2がインターネット6に接続する際に、セキュリティ強化機能を実現する。セキュリティ強化機能は、例えば、ネットワーク上に流通するパケットを解析することによりウイルスチェックや既存のフィルタリングを行う機能である。例えば、図5に示される付加機能装置72は、セキュリティ強化ネットワーク7c上を通過するパケットを収集するための装置である。また、例えば、図5に示される付加機能サーバ81は、収集されたパケットを解析し、ウイルスチェックや既存のフィルタリング等を実行し、セキュリティ強化を行うためのサーバである。これにより、セキュリティ強化ネットワーク7cは、ユーザ端末2がインターネット6に接続する際に、セキュリティ強化機能を実現する。そして、例えば、セキュリティ強化を行うためのサーバは、ウイルスチェック等の実行結果(例えば、abuseやattackの警告
)を、セキュリティ強化を所望するユーザのユーザ端末2に対して送信する。
Further, for example, the
また、例えば、プレミアムネットワーク7dは、ユーザ端末2がインターネット6に接続する際に、通信帯域の確保等の通信品質の高いサービスを提供する機能を実現する。例えば、図5に示される付加機能装置72は、QoS(Quality of Service)を確認するための装置である。また、例えば、図5に示される付加機能サーバ81は、QoSを実現するためのサーバである。これにより、プレミアムネットワーク7dは、ユーザ端末2がインターネット6に接続する際に、通信帯域の確保等の通信品質の高いサービスを提供する機能を実現する。
For example, the
なお、このような付加機能を提供するISPは、これらのネットワークを利用するユーザ毎に課金システムを変更してもよい。この場合、例えば、課金システムを実施する不図示の課金サーバがBAS4に接続されている。そして、上述のユーザ端末2の申込により、ユーザ端末2が要求する付加機能が切り替えられたときに、この課金サーバの情報も切り替えられる。課金サーバは、当該切り替えられた情報を元に、各ユーザの課金を行う。課金サーバは、例えば、帯域規制機能を許可するユーザには安い課金を行い、セキュリティ強化機能を許可するユーザには高い課金を行う。
An ISP that provides such an additional function may change the billing system for each user who uses these networks. In this case, for example, a charging server (not shown) that implements the charging system is connected to the
<付加機能網終端装置71>
付加機能網終端装置71(DPI専用ネットワーク終端装置71a、帯域規制専用ネットワーク終端装置71b、セキュリティ強化ネットワーク終端装置71c、プレミアムネットワーク終端装置71d)は、各付加機能ネットワークの終端装置として、周知のハードウェア構成及び機能構成を有している。例えば、付加機能網終端装置71は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。付加機能網終端装置71は、このようなハードウェア構成により、付加機能網7のインタフェースとしての機能等を実現する。
<Additional function
Additional function network termination device 71 (DPI dedicated
本実施形態では、上述のとおり、付加機能網終端装置71は、認証サーバ1から返信される接続許可に応じて、BAS4からブロードバンドルータ3と各付加機能網7との間で通信経路を確立することに対する接続要求がなされる。これに応じて、付加機能網終端装置71は、認証サーバ1が行った接続許可の確認のための通信(接続確認)を認証サーバ1に対して行う。
In the present embodiment, as described above, the additional function
また、本実施形態では、上述のとおり、付加機能網終端装置71は、上記接続確認に応じて認証サーバ1から接続許可の通知を受け取る。これに応じて、付加機能網終端装置71は、上記BAS4の接続要求に対する接続許可をBAS4に対して行う。
In the present embodiment, as described above, the additional function
また、本実施形態では、上記接続許可の後、ブロードバンドルータ3と各付加機能網7との間で通信経路が確立される。この時、BAS4から付加機能網終端装置71に対して上記通信経路確立の要求がなされ、付加機能網終端装置71が当該要求に応答することで、上記通信経路の確立が実現される。
In the present embodiment, a communication path is established between the
§2−6 その他
図1に示されるとおり、本実施形態におけるネットワークの構成例には、ISP網5、ISP網終端装置51、インターネット6及び申込サーバ60が存在する。
§2-6 Others As shown in FIG. 1, the network configuration example in the present embodiment includes an
ISP網5は、本実施形態では、従来のISP網であり、ユーザ端末2に対して、付加機能を提供せず、インターネット6への接続を提供するネットワークである。
In this embodiment, the
ISP網終端装置51は、ネットワークの終端装置として、周知のハードウェア構成及び機能構成を有している。例えば、ISP網終端装置51は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。ISP網終端装置51は、このようなハードウェア構成により、ISP網5のインタフェースとしての機能等を実現する。
The ISP
本実施形態では、上述のとおり、認証サーバ1におけるユーザ認証が成立した場合、ブロードバンドルータ3とISP網5との間で通信経路が確立される。この時の動作は、付
加機能網終端装置71と同様であるため、省略する。
In the present embodiment, as described above, when user authentication is established in the
インターネット6は、ユーザ端末2から見てISP網5から先に存在するネットワーク(インターネット)である。
The
申込サーバ60は、周知のサーバとして一般的なハードウェア構成及び機能構成を有している。例えば、申込サーバ60は、それぞれバスを介して接続された、各種データ及びプログラムを格納するための記憶部、記憶部に格納されたプログラムを実行する制御部、及び、ネットワークと通信を行うための通信部等を有している。申込サーバ60は、このようなハードウェア構成により、上述のWebページを提供する機能を実現する。
The
なお、通信経路の確立に際して行われるブロードバンドルータ3に対するIPアドレスの割り当て等、通信プロトコルについてはIP等の既存のプロトコルが用いられる。また、認証サーバにおいて行われるユーザ認証についても既存のプロトコル(例えば、RADIUSプロトコル)が用いられる。
Note that an existing protocol such as IP is used as a communication protocol such as assignment of an IP address to the
§3 動作例
次に、本実施形態におけるユーザ端末2のインターネット6への接続方法について、図6〜8を用いてその処理手順を説明する。なお、本実施形態では、認証サーバ1においてユーザ認証が成立しない場合の処理手順は従来のインターネットへの接続方法の処理手順と同様であるため、説明は省略する。
§3 Operation example Next, the processing procedure of the method for connecting the
図6は、本実施形態に係るインターネット6への接続時(ユーザ認証成立)における処理手順の一例を示す。図7は、当該処理手順においてBAS4と認証サーバ1との間で行われるユーザ認証の問合せ及び接続許可のパケット構成例である。
FIG. 6 shows an example of a processing procedure when connected to the Internet 6 (user authentication is established) according to the present embodiment. FIG. 7 is a packet configuration example of a user authentication inquiry and connection permission performed between the
図8は、当該処理手順においてISP網5又は付加機能網7(ISP網終端装置51又は付加機能終端装置71)と認証サーバ1との間で行われる接続確認及び接続許可のパケット構成例である。なお、図7及び図8のパケット構成例は、RADIUSプロトコルに準拠しているため、属性個々の説明は省略する。
FIG. 8 is a packet configuration example of connection confirmation and connection permission performed between the
なお、図7及び図8のパケット構成例は、それぞれ属性名フィールド、タイプフィールド、属性値フィールドを有する。属性名フィールドは、RADIUSプロトコルに準拠した属性名を格納している。タイプフィールドは、属性名フィールドに格納された属性に対応するIDを格納している。属性値フィールドは、属性名フィールドに格納された属性の属性値を格納している。 Note that the packet configuration examples in FIGS. 7 and 8 each have an attribute name field, a type field, and an attribute value field. The attribute name field stores an attribute name conforming to the RADIUS protocol. The type field stores an ID corresponding to the attribute stored in the attribute name field. The attribute value field stores the attribute value of the attribute stored in the attribute name field.
まず、図6に示されるとおり、ブロードバンドルータ3は、自身とISP網5又は付加機能網7との間で通信経路が確立されていない場合、ユーザ端末2からのインターネット6へのアクセス要求に応じて、BAS4に対してISP網5又は付加機能網7への接続要求を行う(S101)。なお、当該接続要求には、ユーザ認証に用いられるID及びパスワードと、ユーザ端末2が要求する付加機能を示す情報としてのドメイン名が含まれている。
First, as shown in FIG. 6, the
ブロードバンドルータ3からの接続要求に応じて、BAS4は、認証サーバ1にユーザ端末2のユーザ認証の問合せを行う(S102)。
In response to the connection request from the
図7(a)は、この問合せを構成するパケットの構成例を示す。「User-Name」に格納
される属性値は、ユーザのIDとドメイン名を組み合わせたものであり、例えば、「ID@ドメイン名」という文字列が格納される。具体的な例として、図1に示されるとおり、
DPI機能を望むユーザaの場合、当該属性値は「a@dpi.ccc.com」である。また、付加
機能を望まないユーザbの場合、当該属性値は「b@ccc.com」である。
FIG. 7A shows a configuration example of a packet constituting this inquiry. The attribute value stored in “User-Name” is a combination of a user ID and a domain name. For example, a character string “ID @ domain name” is stored. As a specific example, as shown in FIG.
For the user a who desires the DPI function, the attribute value is “a@dpi.ccc.com”. In the case of the user b who does not want the additional function, the attribute value is “b@ccc.com”.
「User-Password」「CHAP-Password」に格納される属性値は、上記接続要求に含まれるパスワードであり、認証サーバ1のユーザ認証に用いられる。なお、「User-Password」
及び「CHAP-Password」はBAS4と認証サーバ1との間で用いられる認証プロトコル(
PAP(Password Authentication Protocol)、又はCHAP(Challenge Handshake Authentication Protocol))により、どちらか一方が選択される。また、他の属性に格納
された属性値は、BAS4と認証サーバ1との通信に用いられる。
The attribute value stored in “User-Password” and “CHAP-Password” is a password included in the connection request, and is used for user authentication of the
And “CHAP-Password” is an authentication protocol used between the
Either one is selected by PAP (Password Authentication Protocol) or CHAP (Challenge Handshake Authentication Protocol). In addition, the attribute values stored in other attributes are used for communication between the
図6に戻り、BAS4からのユーザ認証の問合せに応じて、認証サーバ1はユーザ端末2のユーザ認証を行う。ユーザ認証は、認証部16によって行われる。例えば、認証部16は、BAS4からのユーザ認証の問合せに含まれるID及びパスワードと、ユーザ認証情報データベース15に格納されている一組のID及びパスワードとが一致するか否か判定する。そして、BAS4からのユーザ認証の問合せに含まれるID及びパスワードと、ユーザ認証情報データベース15に格納されている一組のID及びパスワードとが一致していると、当該ユーザ認証は成立すると認証部16は判定する(S103)。
Returning to FIG. 6, the
ユーザ認証は成立すると認証部16が判定すると、応答部17は、上記ドメイン名に基づいて、ISP網5又は付加機能網7への接続許可を行う(S104)。例えば、上記ユーザaの場合、応答部17は、付加機能網7(DPI専用ネットワーク7a)への接続許可を行う。また、例えば、上記ユーザbの場合、応答部17は、ISP網5への接続許可を行う。
When the
図7(b)は、この接続許可を構成するパケットの構成例を示す。「Service-Type」及び「Framed-Protocol」の属性値は、上記のとおり、BAS4と認証サーバ1との通信に
用いられる。また、「Framed-IP-Address」及び「Framed-IP-Netmask」の属性値は、ブロードバンドルータ3に割り当てられるIPアドレス及びそのサブネットマスクである。
FIG. 7B shows a configuration example of a packet constituting this connection permission. The attribute values of “Service-Type” and “Framed-Protocol” are used for communication between the
また、「Ascend-Primary-Home-Agent」の属性値は、後述するS105において、BA
S4がISP網終端装置51(ISP網5)又は付加機能終端装置71(付加機能網7)にアクセスするために用いられる。例えば、上記ユーザaの場合、当該属性値は、付加機能終端装置71(DPI専用ネットワーク終端装置71a)のIPアドレスである。また、例えば、上記ユーザbの場合、当該属性値は、ISP網終端装置51のIPアドレスである。
In addition, the attribute value of “Ascend-Primary-Home-Agent” is set to BA in S105 described later.
S4 is used to access the ISP network termination device 51 (ISP network 5) or the additional function termination device 71 (additional function network 7). For example, in the case of the user a, the attribute value is the IP address of the additional function termination device 71 (DPI dedicated
図6に戻り、認証サーバ1からのISP網5又は付加機能網7への接続許可に応じて、BAS4は、当該接続許可に基づいた接続要求を、各ネットワークの終端装置であるISP網終端装置51又は付加機能網終端装置71に対して行う(S105)。当該接続要求に際して、BAS4は、上述のとおり、「Ascend-Primary-Home-Agent」の属性値を用い
てISP網終端装置51又は付加機能網終端装置71にアクセスし、接続要求を行う。例えば、上記ユーザaの場合、BAS4は、付加機能網終端装置71(DPI専用ネットワーク終端装置71a)にアクセスし、接続要求を行う。また、例えば、上記ユーザbの場合、BAS4は、ISP網終端装置51にアクセスし、接続要求を行う。
Returning to FIG. 6, in response to the connection permission from the
BAS4からの接続要求に応じて、ISP網終端装置51又は付加機能網終端装置71は、認証サーバ1が行った当該接続要求に係る接続許可(S104)に対する接続確認を認証サーバ1に対して行う(S106)。
In response to the connection request from the
図8(a)は、この接続確認を構成するパケットの構成例を示す。「User-Name」から
「NAS-Port-Id」までの属性値は、認証サーバ1が行った接続許可の特定に用いられる。
また、「Tunnel-Type」、「Tunnel-Medium-Type」及び「Tunnel-Server-Endpoint」の属
性値は、ブロードバンドルータ3とISP網5又は付加機能網7との間で確立する通信経路(トンネル)の種別を、認証サーバ1に確認するために用いられる。後述するS110及びS111においては、これらの属性値に基づいて通信経路が確立される。
FIG. 8A shows a configuration example of a packet constituting this connection confirmation. The attribute values from “User-Name” to “NAS-Port-Id” are used for specifying the connection permission performed by the
The attribute values of “Tunnel-Type”, “Tunnel-Medium-Type”, and “Tunnel-Server-Endpoint” are communication paths (tunnels) established between the
図6に戻り、ISP網終端装置51又は付加機能網終端装置71からの接続確認に応じて、認証サーバ1(応答部17)は、S104で行った接続許可に対応する接続許可をISP網終端装置51又は付加機能網終端装置71に対して行う(S107)。
Returning to FIG. 6, in response to the connection confirmation from the ISP
図8(b)は、この接続許可を構成するパケットの構成例を示す。「Framed-IP-Address」及び「Framed-IP-Netmask」の属性値は、上述のとおり、ブロードバンドルータ3に割り当てられるIPアドレス及びそのサブネットマスクである。付加機能網終端装置71は、付加機能網7と通信経路を確立するブロードバンドルータ3を特定するためにこれらの値を用いる。
FIG. 8B shows a configuration example of a packet constituting this connection permission. As described above, the attribute values of “Framed-IP-Address” and “Framed-IP-Netmask” are the IP address assigned to the
図6に戻り、認証サーバ1からの上記接続許可に応じて、ISP網終端装置51又は付加機能網終端装置71は、BAS4からの接続要求に対する接続許可をBAS4に対して行う(S108)。
Returning to FIG. 6, in response to the connection permission from the
ISP網終端装置51又は付加機能網終端装置71からの接続許可に応じて、BAS4は、ブロードバンドルータ3に対して、ISP網5又は付加機能網7への接続許可を返信する(S109)。当該接続許可には、上記ブロードバンドルータ3に割り当てられるIPアドレス及びそのサブネットマスクが含まれる。
In response to the connection permission from the ISP
BAS4からのISP網5又は付加機能網7への接続許可に応じて、ブロードバンドルータ3からBAS4に対して、ブロードバンドルータ3とISP網5又は付加機能網7との間の通信経路の確立のための通信が行われる(S110)。またこれに応じて、BAS4からISP網終端装置51又は付加機能網終端装置71に対して、ブロードバンドルータ3とISP網5又は付加機能網7との間の通信経路の確立のための通信が行われる(S111)。なお、この際に確立される通信経路の種別は、上記において説明したように、「Tunnel-Type」、「Tunnel-Medium-Type」及び「Tunnel-Server-Endpoint」の属性値に
基づいている。
For establishing a communication path between the
以上までの処理により、BAS4とISP網5又は付加機能網7との間において通信経路が確立される。これにより、例えば、上記ユーザaの場合、ユーザ端末2は、付加機能網7(DPI専用ネットワーク7a)を経由して、インターネット6上に存在するサーバにアクセスすることができるようになる。また、例えば、上記ユーザbの場合、ユーザ端末2は、ISP網5を経由して、インターネット6上に存在するサーバにアクセスすることができるようになる。
Through the above processing, a communication path is established between the
なお、BAS4の上記動作を実現するプログラム等の設定において、ISP網5への接続がデフォルトとして設定されている場合がある。この場合、BAS4は、認証サーバ1より接続許可を受けた後(S104)、S105〜S108の処理を省略して、ブロードバンドルータ3へISP網5への接続許可を行う(S109)。更にこの場合、S105〜S108の処理が省略されるため、ISP網終端装置51と認証サーバ1とはネットワークを介して直接通信可能となっている図1の状態である必要はない。
In the setting of a program or the like that realizes the above operation of the
§4 実施の形態に係る作用及び効果
以上によれば、本実施形態に係る認証サーバ及び認証システムでは、ユーザ端末2が要
求する付加機能を示す情報に基づいて、認証サーバ1は、ユーザ端末2がインターネット6に接続する際に経由するネットワーク(ISP網5又は付加機能網7)を決定する。このため、認証サーバ1により当該ネットワークに対する接続許可が行われることで、ユーザ端末2は、自身が要求する付加機能を提供することができるネットワークを経由して、インターネット6に接続できるようになる。したがって、本実施形態では、ネットワーク上において提供される付加機能を適切なユーザに提供することができる。また、従来とは異なり、全てのユーザに対して機能を提供する必要はなくなり、適切なユーザに対して付加機能を提供することができるネットワークを用意すればよいため、小規模で安価な装置により、機能の提供を実施することができる。
§4 Operation and effect according to embodiment As described above, in the authentication server and the authentication system according to the present embodiment, the
また、本実施形態では、認証サーバ1は、ドメイン名により接続先のネットワークを決定する。これによって、ユーザは、ユーザが許可する又は所望する付加機能の切り替えを、ドメイン名を切り替えることによって達成することができる。
In the present embodiment, the
また、本実施形態では、ユーザ端末2は、Webページの操作により付加機能を切り替える。このため、ユーザは、任意に所望の付加機能を切り替えることができる。また、ユーザ端末2が要求する付加機能はユーザの任意により切り替えられるため、付加機能を提供する側(例えば、ISP)は、提供する付加機能をユーザに告知することができる。
Moreover, in this embodiment, the
§5 補足
以上、本発明の実施の形態を詳細に説明してきたが、前述までの説明はあらゆる点において本発明の例示に過ぎず、その範囲を限定しようとするものではない。本発明の範囲を逸脱することなく種々の改良や変形を行うことができることは言うまでもない。本発明は、特許請求の範囲によってのみその範囲が解釈される。また、当業者は、上記本実施形態の記載から、特許請求の範囲の記載および技術常識に基づいて等価な範囲を実施することができる。また、本明細書において使用される用語は、特に言及しない限り、当該分野で通常用いられる意味で用いられる。したがって、他に定義されない限り、本明細書中で使用される全ての専門用語および技術用語は、本発明の属する分野の当業者によって一般的に理解される意味と同じ意味を有する。両者が矛盾する場合、本明細書において使用される用語は、本明細書(定義を含めて)に記載された意味において理解される。
§5 Supplement Although the embodiment of the present invention has been described in detail above, the above description is merely an example of the present invention in all respects and is not intended to limit the scope thereof. It goes without saying that various improvements and modifications can be made without departing from the scope of the present invention. The scope of the present invention is construed only by the claims. Moreover, those skilled in the art can implement an equivalent range from the description of the present embodiment based on the description of the claims and the common general technical knowledge. Moreover, the term used in this specification is used by the meaning normally used in the said field unless there is particular mention. Thus, unless defined otherwise, all technical and technical terms used herein have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. In the event of a conflict, terms used herein will be understood in the meaning set forth herein (including definitions).
なお、以上までの説明において、本発明に係る認証サーバ及び認証システムの一実施形態について説明したが、本発明に係る認証方法及び認証プログラムの一実施形態についても同様に説明することができる。つまり、上記認証サーバの各処理を各ステップとする手順が本発明に係る認証方法の一実施形態であり、上記認証サーバの各処理を実行させるために用いられるプログラムが本発明に係る認証プログラムの一実施形態である。 In the above description, an embodiment of the authentication server and authentication system according to the present invention has been described. However, the embodiment of the authentication method and authentication program according to the present invention can also be described in the same manner. That is, a procedure in which each process of the authentication server is a step is an embodiment of an authentication method according to the present invention, and a program used to execute each process of the authentication server is an authentication program according to the present invention. It is one embodiment.
1 認証サーバ
11 記憶部
12 制御部
13 バス
14 通信部
15 ユーザ認証情報データベース
16 認証部
17 応答部
2 ユーザ端末
3 ブロードバンドルータ
4 BAS
5 ISP網
51 ISP網終端装置
6 インターネット
7 付加機能網
7a DPI専用ネットワーク
7b 帯域規制専用ネットワーク
7c セキュリティ強化ネットワーク
7d プレミアムネットワーク
71 付加機能網終端装置
71a DPI専用ネットワーク終端装置
71b 帯域規制専用ネットワーク終端装置
71c セキュリティ強化ネットワーク終端装置
71d プレミアムネットワーク終端装置
72 付加機能装置
81 付加機能サーバ
1
5
Claims (5)
記憶部と、
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行う認証部と、
前記認証部のユーザ認証の後に、前記情報端末に対して、前記情報端末側から送信された、又は、前記記憶部に格納された情報により示される前記情報端末が要求する付加機能を提供可能なネットワークへの接続を許可する応答部と、
を備えたことを特徴とする認証サーバ。 In an authentication server that performs user authentication for an information terminal that makes a connection request to the network,
A storage unit;
An authentication unit that performs user authentication of the information terminal in response to a connection request from the information terminal;
After the user authentication of the authentication unit, it is possible to provide the information terminal with an additional function requested by the information terminal transmitted from the information terminal side or indicated by information stored in the storage unit A response unit that permits connection to the network;
An authentication server comprising:
前記認証サーバは、
記憶部と、
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行う認証部と、
前記認証部のユーザ認証の後に、前記情報端末に対して、前記情報端末側から送信された、又は、前記記憶部に格納された情報により示される前記情報端末が要求する付加機能を提供可能なネットワークへの接続を許可する応答部と、
を備え、
前記申込サーバは、前記情報端末からの前記付加機能の切り替えの申込により、前記情報端末側から送信される、又は、前記記憶部に格納される情報が示す付加機能を切り替えることを特徴とする認証システム。 In an authentication system comprising an authentication server that performs user authentication for an information terminal that makes a connection request to a network, and an application server,
The authentication server is
A storage unit;
An authentication unit that performs user authentication of the information terminal in response to a connection request from the information terminal;
After the user authentication of the authentication unit, it is possible to provide the information terminal with an additional function requested by the information terminal transmitted from the information terminal side or indicated by information stored in the storage unit A response unit that permits connection to the network;
With
The application server switches an additional function indicated by information transmitted from the information terminal side or stored in the storage unit in response to an application for switching the additional function from the information terminal. system.
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行うステップと、
前記認証部のユーザ認証を行うステップの後に、前記情報端末に対して、前記情報端末側から送信された、又は、記憶部に格納された情報により示される前記情報端末が要求する付加機能を提供可能なネットワークへの接続を許可するステップと、
を含むことを特徴とする認証方法。 An authentication method for performing user authentication on an information terminal that makes a connection request to a network,
Performing a user authentication of the information terminal in response to a connection request from the information terminal;
After the step of performing user authentication of the authentication unit, an additional function requested by the information terminal indicated by the information transmitted from the information terminal side or stored in the storage unit is provided to the information terminal Allowing connections to possible networks;
An authentication method comprising:
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行うステップと、
前記認証部のユーザ認証を行うステップの後に、前記情報端末に対して、前記情報端末側から送信された、又は、記憶部に格納された情報により示される前記情報端末が要求する付加機能を提供可能なネットワークへの接続を許可するステップと、
を前記認証サーバに実行させるための認証プログラム。 An authentication program used in an authentication server that performs user authentication for an information terminal that makes a connection request to a network,
Performing a user authentication of the information terminal in response to a connection request from the information terminal;
After the step of performing user authentication of the authentication unit, an additional function requested by the information terminal indicated by the information transmitted from the information terminal side or stored in the storage unit is provided to the information terminal Allowing connections to possible networks;
An authentication program for causing the authentication server to execute.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010219261A JP2012073892A (en) | 2010-09-29 | 2010-09-29 | Authentication server, authentication system, authentication method and authentication program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010219261A JP2012073892A (en) | 2010-09-29 | 2010-09-29 | Authentication server, authentication system, authentication method and authentication program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012073892A true JP2012073892A (en) | 2012-04-12 |
Family
ID=46169983
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010219261A Pending JP2012073892A (en) | 2010-09-29 | 2010-09-29 | Authentication server, authentication system, authentication method and authentication program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2012073892A (en) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001285518A (en) * | 2000-03-31 | 2001-10-12 | Ricoh Co Ltd | Communication terminal equipment, its access point selection method, and communication system provided with the equipment |
| JP2002135316A (en) * | 2000-10-26 | 2002-05-10 | Oki Electric Ind Co Ltd | Integrated service network |
| JP2003134151A (en) * | 2001-08-16 | 2003-05-09 | Nippon Telegr & Teleph Corp <Ntt> | Device for selecting communication network for ip network connection, system for selecting communication network, method thereof and processing program thereof |
| JP2003348114A (en) * | 2002-05-22 | 2003-12-05 | Nec Corp | Layer 2 authentication system and method |
| JP2005197815A (en) * | 2003-12-26 | 2005-07-21 | Japan Telecom Co Ltd | Network system and network control method |
| JP2009193326A (en) * | 2008-02-14 | 2009-08-27 | Oki Electric Ind Co Ltd | Authentication system, authentication method and server |
| JP2009301476A (en) * | 2008-06-17 | 2009-12-24 | Kyocera Mita Corp | Key management server device |
-
2010
- 2010-09-29 JP JP2010219261A patent/JP2012073892A/en active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001285518A (en) * | 2000-03-31 | 2001-10-12 | Ricoh Co Ltd | Communication terminal equipment, its access point selection method, and communication system provided with the equipment |
| JP2002135316A (en) * | 2000-10-26 | 2002-05-10 | Oki Electric Ind Co Ltd | Integrated service network |
| JP2003134151A (en) * | 2001-08-16 | 2003-05-09 | Nippon Telegr & Teleph Corp <Ntt> | Device for selecting communication network for ip network connection, system for selecting communication network, method thereof and processing program thereof |
| JP2003348114A (en) * | 2002-05-22 | 2003-12-05 | Nec Corp | Layer 2 authentication system and method |
| JP2005197815A (en) * | 2003-12-26 | 2005-07-21 | Japan Telecom Co Ltd | Network system and network control method |
| JP2009193326A (en) * | 2008-02-14 | 2009-08-27 | Oki Electric Ind Co Ltd | Authentication system, authentication method and server |
| JP2009301476A (en) * | 2008-06-17 | 2009-12-24 | Kyocera Mita Corp | Key management server device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10135827B2 (en) | Secure access to remote resources over a network | |
| CN108616490B (en) | Network access control method, device and system | |
| JP4541848B2 (en) | User terminal connection control method and apparatus | |
| EP2338262B1 (en) | Service provider access | |
| JP5370592B2 (en) | Terminal, control apparatus, communication method, communication system, communication module, program, and information processing apparatus | |
| EP1998506B1 (en) | Method for controlling the connection of a virtual network | |
| JP6028736B2 (en) | Terminal, control apparatus, communication method, communication system, communication module, program, and information processing apparatus | |
| US20090070863A1 (en) | Access server and connection restriction method | |
| WO2022022253A1 (en) | Service authentication method, apparatus, device and system, and storage medium | |
| JP5112806B2 (en) | Wireless LAN communication method and communication system | |
| WO2022247751A1 (en) | Method, system and apparatus for remotely accessing application, device, and storage medium | |
| CN106169963B (en) | The access method and system of service page, proxy server | |
| Yiakoumis et al. | Neutral net neutrality | |
| CN108200039B (en) | Non-perception authentication and authorization system and method based on dynamic establishment of temporary account password | |
| US20070147357A1 (en) | Method and apparatus for generating IP traffic in an internet protocol (IP) based network | |
| CN101227477A (en) | Method for implementing subscriber terminal access authentication | |
| CN109379339A (en) | A kind of portal authentication method and device | |
| US20050160160A1 (en) | Method and system for unified session control of multiple management servers on network appliances | |
| KR20120044381A (en) | Method and system for subscriber to log in internet content provider(icp) website in identity/location separation network and login device thereof | |
| Spyropoulos et al. | Future internet: fundamentals and measurement | |
| CN113852697B (en) | SDP terminal flow proxy method, device, equipment and storage medium | |
| JP5589034B2 (en) | Information distribution system, authentication linkage method, apparatus, and program thereof | |
| JP7383145B2 (en) | Network service processing methods, systems and gateway devices | |
| JP2012073892A (en) | Authentication server, authentication system, authentication method and authentication program | |
| WO2017219891A1 (en) | Access control method and apparatus in service restriction |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130911 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140530 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140610 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20141014 |