JP4005596B2 - 認証装置および認証方法 - Google Patents

認証装置および認証方法 Download PDF

Info

Publication number
JP4005596B2
JP4005596B2 JP2004367130A JP2004367130A JP4005596B2 JP 4005596 B2 JP4005596 B2 JP 4005596B2 JP 2004367130 A JP2004367130 A JP 2004367130A JP 2004367130 A JP2004367130 A JP 2004367130A JP 4005596 B2 JP4005596 B2 JP 4005596B2
Authority
JP
Japan
Prior art keywords
authentication
communication terminal
session information
information
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004367130A
Other languages
English (en)
Other versions
JP2006174320A (ja
Inventor
伸太郎 水野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004367130A priority Critical patent/JP4005596B2/ja
Publication of JP2006174320A publication Critical patent/JP2006174320A/ja
Application granted granted Critical
Publication of JP4005596B2 publication Critical patent/JP4005596B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、通信端末を利用する利用者や通信端末の認証を行う認証装置および認証方法に関する。
従来、ネットワーク上のサーバまたはゲートウェイ等の通信装置が、通信端末を利用する利用者や通信端末の認証を行う技術としては、パスワードやセキュアトークン等を利用する技術がある。近年、通信装置におけるセキュリティの意識が高まり、パスワードを用いる認証に代えて、電子証明書を利用したセキュアトークンやICカード、ワンタイムパスワードトークン等を含むハードウェアトークンに格納された認証情報に基づいた認証を行う認証技術を利用してオンラインサービスの提供を行いたいとの要望が、通信装置の管理者から増えてきている。なお、認証情報は、例えば電子証明書であり、利用者等の認証を行うための情報である。
ところが、ハードウェアトークンを用いた認証技術は、ハードウェアトークンを利用者に配布する必要があり、また、トークンを利用するためのソフトウェアを利用者の通信端末、例えばパソコン等にインストールする等の手間がかかり、一部のビジネス用途で限定的にしか利用されていなかった。
また、携帯電話機を利用した従来の認証技術としては、例えばバーコード要求信号を被認証者の通信端末から受信し、受信したバーコード要求信号に応じてバーコードを生成し、生成したバーコードを被認証者の通信端末に送信して、認証を行う認証要求者のバーコード読取装置から読み取った通信端末に記録されたバーコードを認証要求者から受信し、受信したバーコードを検証し、検証が成功したと判定した時の認証信号を認証要求者に送信する認証システムが知られている(例えば、非特許文献1参照。)。この従来の認証装置が送信した認証信号に基づいて認証要求者は、通信端末の利用者へのサービス提供のための認証を行うことができる。
「解説みんな持ってるケータイを使え Part5−カメラを使え(2)QRコードでコーラが買える」目経メカニカル、2003年8月号、56ページ
しかしながら、上述した従来の認証装置では、認証装置にバーコード要求信号を送信した通信端末の利用者の身元確認等の認証を行うことができるが、ハードウェアトークン等に格納されるような認証情報を持たないパソコン等の通信端末の認証はできず、認証を必要とするオンラインサービスの提供を行うことができないという問題があった。
本発明は、従来の問題を解決するためになされたもので、認証情報を持たない通信端末でも他の通信端末が認証情報を持っていれば、認証を必要とするオンラインサービスを利用者に提供することができる認証装置および認証方法を実現することを目的とする。
請求項1に記載の認証装置は、認証を必要とするサービスの要求を行う第1の通信端末および認証情報を保持する第2の通信端末とネットワークを介して通信可能に接続される認証装置であって、第1の通信端末からのサービスの要求を受け付ける要求受付手段と、前記要求受付手段が前記サービスの要求を受け付けた時、当該サービスに関するセッション情報を生成して前記第1の通信端末へ送信するセッション情報送信手段と、前記第1の通信端末が受信した前記セッション情報を当該第1の通信端末より取得した第2の通信端末からの当該セッション情報および認証情報を受信するセッション情報受信手段と、前記セッション情報受信手段が受信した前記認証情報に基づいて前記第2の通信端末の認証を行う認証手段と、前記認証手段による前記第2の通信端末の認証が成功した場合、前記セッション情報受信手段が受信した前記セッション情報に基づいて前記第1の通信端末に対するサービスの提供を許可するサービス提供許可手段とを備えたことを特徴とする。
この構成により、受信した認証情報に基づいて第2の通信端末の認証を行い、認証が成功した場合、受信したセッション情報に基づいて前記第1の通信端末に対するサービスの提供を許可するため、認証情報を持たない通信端末でも他の通信端末が認証情報を持っていれば、認証を必要とするオンラインサービスを利用者に提供することができる。
請求項2に記載の認証装置は、前記第1の通信端末との通信および前記第2の通信端末との通信のうち少なくとも一方を暗号化した通信とすることを特徴とする。
この構成により、機密性の高い情報の送受信を行うことができる。
請求項3に記載の認証装置は、前記に加え、前記セッション情報送信手段が生成したセッション情報を保持するセッション情報保持手段と、前記セッション情報受信手段が受信したセッション情報と前記セッション情報保持手段が保持しているセッション情報とが整合するか否かを判定するセッション情報判定手段とを備え、前記サービス提供許可手段は、前記認証手段による前記第2の通信端末の認証が成功し、かつ、前記セッション情報判定手段が整合すると判定した場合、前記セッション情報に基づいて前記第1の通信端末に対するサービスの提供を許可することを特徴とする。
この構成により、認証が成功し、かつ、受信したセッション情報と保持しているセッション情報とが整合すると判定した場合、第1の通信端末に対するサービスの提供を許可するため、認証装置が生成したセッション情報を改竄して第1の通信端末に成りすました第三者に対するサービスの提供を防止することができる。
請求項4に記載の認証装置は、前記セッション情報送信手段は、前記サービスの要求毎に異なる識別子を含むセッション情報を生成して前記第1の通信端末へ送信し、前記セッション情報判定手段は、前記セッション情報受信手段が受信したセッション情報に含まれる識別子と前記セッション情報保持手段が保持しているセッション情報に含まれる識別子とが整合するか否かを判定することを特徴とする。
この構成により、要求毎に異なる識別子を含むセッション情報との照合を行うため、セッション情報を改竄して第1の通信端末に成りすました第三者に対するサービスの提供を防止することができる。
請求項5に記載の認証装置は、前記に加え、前記セッション情報送信手段がセッション情報を送信した時点を表す時刻情報に基づいて前記送信した時点からの経過時間を算出する経過時間算出手段を備え、前記経過時間算出手段は、前記セッション情報判定手段が整合すると判定した時のセッション情報と対応する前記時刻情報に基づいて経過時間を算出し、前記サービス提供許可手段は、前記算出された経過時間が一定時間以下である時、前記サービスの提供を許可することを特徴とする。
この構成により、経過時間が一定時間を超えている場合、第1の通信端末に対するサービスの提供を許可しないため、不当なセッション情報を用いる第三者に対するサービスの提供を防止することができる。
請求項6に記載の認証装置は、前記に加え、前記セッション情報送信手段がセッション情報を送信した時点を表す時刻情報に基づいて前記送信した時点からの経過時間を算出する経過時間算出手段を備え、前記経過時間算出手段は、前記セッション情報受信手段が受信したセッション情報に含まれる前記時刻情報に基づいて経過時間を算出し、前記サービス提供許可手段は、前記算出された経過時間が一定時間以下である時、前記サービスの提供を許可することを特徴とする。
この構成により、経過時間が一定時間を超えている場合、第1の通信端末に対するサービスの提供を許可しないため、不当なセッション情報を用いる第三者に対するサービスの提供を防止することができる。
請求項7に記載の認証装置は、前記認証情報は、前記第2の通信端末の端末識別子、または前記第2の通信端末を利用する利用者の利用者識別子、もしくは前記端末識別子および前記利用者識別子の組み合わせからなることを特徴とする。
この構成により、通信端末の端末識別子、利用者の識別子を用いて認証を行うことができる。
請求項8に記載の認証装置は、前記認証情報は、電子証明書からなることを特徴とする。
この構成により、電子証明書であるため、信頼性の高い認証を行うことができる。
請求項9に記載の認証装置において、前記セッション情報は、識別コードを表す画像情報からなることを特徴とする。
この構成により、QRコード等によって構成されるセッション情報を識別することができる。
請求項10に記載の認証装置は、前記セッション情報は、文字列を表すテキスト情報からなることを特徴とする。
この構成により、テキスト情報によって構成されるセッション情報を識別することができる。
請求項11に記載の認証装置は、前記セッション情報は、課金を表す課金情報を含むことを特徴とする。
この構成により、セッション情報に含まれる課金情報に基づいて第2の通信端末の利用者に対して課金すれば、第1の通信端末の利用者の代わりに第2の通信端末の利用者に対して課金をすることができる。
請求項12に記載の認証装置は、前記サービス提供許可手段は、前記第1の通信端末を利用する利用者の利用者識別子と前記第2の通信端末を利用する利用者の利用者識別子との対応条件を表すポリシー情報を有し、前記ポリシー情報に基づいて前記サービスの提供を許可することを特徴とする。
この構成により、第1の通信端末を利用する利用者の利用者識別子と第2の通信端末を利用する利用者の利用者識別子との対応条件に応じて、第1の通信端末に対するサービスの提供を許可することができる。
請求項13に記載の認証装置は、前記に加え、第1の通信端末を一時的にネットワークに接続するサービスを提供するための認証ゲートウェイ装置であって、第1の通信端末からのサービスの要求を受け付ける要求受付手段と、前記要求受付手段が前記サービスの要求を受け付けた時、当該認証ゲートウェイ装置のIDを含むセッション情報を生成して前記第1の通信端末へ送信するセッション情報送信手段と、認証装置からの認証結果およびセッション情報を受信するセッション情報受信手段と、前記セッション情報受信手段が受信した認証結果およびセッション情報に基づいて前記第1の通信端末に対するネットワーク接続サービスを提供するサービス提供手段とを少なくとも有する認証ゲートウェイ装置を備え、前記サービス提供許可手段は、前記認証手段による前記第2の通信端末の認証が成功した場合、前記セッション情報受信手段が受信した前記セッション情報に含まれる認証ゲートウェイ装置のIDに基づいて認証結果およびセッション情報を前記認証ゲートウェイ装置へ送信することを特徴とする。
この構成により、受信した認証情報に基づいて第2の通信端末の認証を行い、認証が成功した場合、受信したセッション情報に含まれる認証ゲートウェイ装置のIDに基づいて認証結果およびセッション情報を前記認証ゲートウェイ装置へ送信し、当該セッション中、認証ゲートウェイ装置により第1の通信端末をネットワークに接続するため、認証情報を持たない第1の通信端末でも第2の通信端末が認証情報を持っていれば、第1の通信端末を一時的にネットワークに接続するサービスを利用者に提供することができる。
請求項14に記載の認証装置は、前記に加え、前記要求受付手段が第1の通信端末からの第2の通信端末の登録の要求を受け付けた時、登録のためのユーザ情報を前記第1の通信端末に要求し、取得するユーザ情報取得手段を備え、前記要求受付手段は、前記第1の通信端末からの前記第2の通信端末の登録の要求を受け付け、前記セッション情報送信手段は、前記ユーザ情報取得手段が前記ユーザ情報を取得した時、前記第2の通信端末の登録に関するセッション情報を生成して前記第1の通信端末へ送信し、前記認証手段は、前記ユーザ情報取得手段が取得したユーザ情報を前記セッション情報送信手段が生成したセッション情報とともに保存し、前記セッション情報受信手段が受信した第2の通信端末の認証情報を、前記セッション情報受信手段が受信した前記セッション情報に基づいて前記ユーザ情報とともに保存することを特徴とする。
この構成により、認証情報を持たない第1の通信端末を用いて、オンラインサービスで適用可能な認証情報を保持する第2の通信端末を認証装置に登録するため、当該第2の通信端末を利用した第1の通信端末の認証装置における認証が可能となる。
請求項15に記載の認証方法は、認証を必要とするサービスの要求を行う第1の通信端末と、認証情報を保持する第2の通信端末と、認証装置と、これらを通信可能に接続するネットワークとを少なくとも備えたシステムにおける認証方法であって、前記第1の通信端末は、前記サービスの要求を行い、前記認証装置は、前記第1の通信端末からのサービスの要求を受け付けた時、当該サービスに関するセッション情報を生成して前記第1の通信端末へ送信し、前記第1の通信端末は、前記認証装置によって送信されたセッション情報を受信し、前記第2の通信端末は、前記第1の通信端末が受信したセッション情報を当該第1の通信端末から取得し、取得したセッション情報および認証情報を前記認証装置へ送信し、前記認証装置は、前記第2の通信端末からのセッション情報および認証情報を受信し、受信した前記認証情報に基づいて前記第2の通信端末の認証を行い、前記認証が成功した場合、受信したセッション情報に基づいて前記第1の通信端末に対するサービスの提供を許可することを特徴とする。
この構成により、受信した認証情報に基づいて第2の通信端末の認証を行い、認証が成功した場合、受信したセッション情報に基づいて第1の通信端末に対するサービスの提供を許可するため、セッションを通じてサービスに関する情報を第1の通信端末に提供することにより、認証情報を持たない通信端末でも他の通信端末が認証情報を持っていれば、認証を必要とするオンラインサービスを利用者に提供することができる。
請求項16に記載の認証方法は、前記セッション情報は、前記サービスの提供にかかる課金を表す課金情報を含み、前記認証装置は、前記認証情報に基づいて認証する際に、前記セッション情報に含まれる前記課金情報に基づいて課金を行うことを特徴とする。
この構成により、セッション情報に含まれる課金情報に基づいて第2の通信端末の利用者に対して課金すれば、第1の通信端末の利用者の代わりに第2の通信端末の利用者に対して課金をすることができる。
本発明によれば、認証情報を持たない通信端末でも他の通信端末が認証情報を持っていれば、認証を必要とするオンラインサービスを利用者に提供することができる認証装置および認証方法を実現できる。
以下、本発明の実施の形態に係る認証装置および認証方法について、図面を参照して説明する。
(本発明の第1の実施の形態)
本発明の第1の実施の形態に係る認証装置を含むシステム全体の構成図を図1に示す。図1に示した認証システムは、認証装置100、通信端末10、通信端末20、サービス提供装置30を備えて構成されている。
認証装置100と通信端末10およびサービス提供装置30とはネットワーク9を介して通信可能であり、また、認証装置100と通信端末20とはネットワーク8およびネットワーク9を介して通信可能である。なお、本発明の実施の形態では、通信端末10をパソコン、ネットワーク9をインターネットとし、通信端末20を携帯電話機、ネットワーク8を携帯電話網として説明する。ただし、通信端末10、通信端末20、ネットワーク8およびネットワーク9は、上述したものに限定されることはない。
なお、本発明の第1の実施の形態では、認証情報を用いた認証を必要とするオンラインサービス、例えば電子商取引等のサービスを受けたい時に、オンラインサービスで適用可能な認証情報を保持する通信端末20を利用しながら、電子証明書等の認証情報を持たない通信端末10が、認証装置100によって行われる認証を成功させるような形態について説明している。
例えば、通信端末10は、サービス提供装置30が提供するサービスの要求を認証装置100に対して行い、認証装置100は、この要求を受け付けた時、当該サービスに関するセッション情報を生成して通信端末10に送信するようになっている。なお、サービスの要求としては、例えばHTTP(HyperText Transfer Protocol)等の所定のプロトコルを用いた要求であって、サービス提供装置30にログインするためのページを介してセッションを確立させるための要求でもよい。また、セッションを確立させるための要求である場合、セッション情報には、ログインに関わるセッションIDが含まれる。
また、通信端末10とサービス提供装置30とのセッションにおいて、セッションクッキーを利用する方法や、ページにセッションIDを埋め込む方法などを用い、認証装置100は、これらの方法に従ったセッション情報を処理する。セキュリティを向上させるため、セッション自体はHTTPS(Secure HyperText Transfer Protocol)などで暗号化されていることが望ましい。
セッション情報は、QR(Quick Response)コード等の識別コードを表す画像情報等でもよい。セッション情報がQRコードである場合、認証装置100は、セッションIDを含むQRコードを送信するようにしてもよく、さらに、セッションIDの他に認証装置100を表すURL(Uniform Resource Locator)を含むQRコードを送信するようにしてもよい。
セッション情報がQRコードである場合、利用者は、通信端末10に受信されたQRコードを表す画像を通信端末10の画面に表示させ、通信端末20に備えられたカメラからQRコードを表す画像を撮像し、取得する。その後、利用者の操作によって通信端末20は、セッション情報および認証情報を認証装置100に送信するようになっている。
ここで、認証装置100は、通信端末20から送信されたセッション情報および認証情報を受信し、受信した認証情報に基づいて通信端末20の認証を行い、例えば認証が成功した場合、受信したセッション情報に基づいて通信端末10に対するサービスの提供を許可し、サービスの提供が許可された旨を通信端末20に送信するようになっている。その旨を確認した利用者は、通信端末10を介してサービス提供装置30とのセッションを確立させることにより、オンラインサービスの提供を受けることができる。なお、通信端末10を利用する利用者と通信端末20を利用する利用者とは同一でもよく、また互いに異なっていてもよい。
また、認証装置100が受信したセッション情報にセッションIDが含まれる場合には、通信端末10に送信した時のセッション情報に含まれるセッションIDと同一か否かを判定し、同一でない場合、利用者は、通信端末10を介してオンラインサービスの提供を受けることができない。
また、通信端末10との通信および通信端末20との通信のうち少なくとも一方が、HTTPS等に準拠して暗号化されているものとする。なお、通信端末20に備えられたカメラからQRコードを表す画像を撮像し、取得するとして説明したが、通信端末10と通信端末20との間をブルートゥース(Bluetooth)(登録商標)、赤外線通信(IrDA)、無線LAN等に準拠して通信接続することにより、通信端末20が、セッションIDやURLを含むセッション情報を通信端末10から取得するようにしてもよい。
本発明の第1の実施の形態に係る認証装置の構成図を図2に示す。図2に示した認証装置100は、ネットワーク9との間で通信を行う通信インタフェース110、CPU等のプロセッサ、およびハードディスク等の記憶装置等によって構成され、要求受付手段101、セッション情報送信手段102、セッション情報保持手段103、セッション情報受信手段104、認証手段105、セッション情報判定手段106、サービス提供許可手段107、経過時間算出手段108、通信インタフェース110、および要求処理手段120を有する。
要求受付手段101は、サービス提供装置30に対する通信端末10からのサービスの要求を要求処理手段120を介して受け付けるようになっている。
セッション情報送信手段102は、要求受付手段101がサービスの要求を受け付けた時、当該サービスに関するセッション情報を生成して通信端末10へ要求処理手段120を介して送信するようになっている。
なお、セッション情報は、QRコード等の識別コードを表す画像情報に限定されず、文字列を表すテキスト情報でもよい。また、セッション情報には、例えば数を表す要求識別子、セッション情報送信手段102がセッション情報を通信端末10に送信した時点を表す時刻情報、サービス提供装置30等を表すURL、セッションの識別子などが含まれるようにしてもよい。
また、セッション情報に数を表す要求識別子が含まれる場合、セッション情報送信手段102は、要求毎に要求識別子を変更し、要求毎に異なる要求識別子を含むセッション情報を生成して通信端末10に送信するようになっている。
セッション情報保持手段103は、記憶装置等によって構成され、セッション情報送信手段102が生成したセッション情報を保持するようになっている。また、セッション情報保持手段103は、セッション情報送信手段102が生成したセッション情報と、このセッション情報を送信した時点を表す時刻情報とを対応付けて保持するようにしても良い。
セッション情報受信手段104は、通信端末20からの認証情報およびセッション情報を要求処理手段120を介して受信するようになっている。なお、認証情報は、通信端末20が保持する情報であり、セッション情報は、通信端末10が認証装置100から受信したものを、更に通信端末20が当該通信端末10より取得したものであり、これらは共に通信端末20によって送信される。
認証手段105は、セッション情報受信手段104が受信した認証情報に基づいて通信端末20の認証を行うようになっている。例えば、認証情報の1つである電子証明書を用いてSSL(Secure Socket Layer)に準拠した相互認証を互いに行ってもよい。また、認証情報は、電子証明書に限定されず、通信端末20の端末識別子、または通信端末20を利用する利用者の利用者識別子、もしくは端末識別子および利用者識別子の組み合わせ、の何れでもよく、利用者または通信端末20の認証を行うことができるものであれば如何なる情報でもよく、認証手段105はそれらの情報をやりとりして認証を行ってもよい。
セッション情報判定手段106は、セッション情報受信手段104が受信したセッション情報とセッション情報保持手段103が保持しているセッション情報とが整合するか否かを判定するようになっている。また、セッション情報に数を表す要求識別子が含まれる場合、セッション情報判定手段106は、セッション情報に含まれる要求識別子とセッション情報保持手段103が保持しているセッション情報に含まれる要求識別子とが整合するか否かを判定するようになっている。
サービス提供許可手段107は、認証手段105が行った認証が成功した場合、セッション情報受信手段104が受信したセッション情報に基づいて通信端末10に対するサービスの提供を許可する指示をサービス提供装置30へ送ることにより、サービス提供装置30は、オンラインサービスを利用者に提供するようになっている。また、サービス提供許可手段107は、認証手段105が行った認証が成功し、かつ、セッション情報判定手段106が整合すると判定した場合、通信端末10に対するサービスの提供を許可するようにしてもよい。
さらに、サービス提供許可手段107は、上述した判定に加えて、通信端末10を利用する利用者の利用者識別子と通信端末20を利用する利用者の利用者識別子との対応条件を表すポリシー情報を有し、このポリシー情報に基づいてサービスの提供を許可するか否かを判定するようにしてもよい。例えば、サービス提供許可手段107は、通信端末10を利用する利用者の利用者識別子と通信端末20を利用する利用者の利用者識別子との組み合わせが、ポリシー情報によって表される組み合わせに無い場合、サービスの提供を許可しないと判定する。
経過時間算出手段108は、セッション情報保持手段103がセッション情報と時刻情報とを対応付けて保持している場合、セッション情報判定手段106が整合すると判定した時のセッション情報と対応する時刻情報に基づいて経過時間を算出するようになっている。また、経過時間算出手段108は、セッション情報に時刻情報が含まれる場合、セッション情報に含まれる時刻情報に基づいて経過時間を算出するようになっている。
また、経過時間算出手段108が算出した経過時間が一定時間を超えていた場合、これをサービス提供許可手段107へ通知し、該通知を受けたサービス提供許可手段107は、サービスの提供を許可しない。
要求処理手段120は、セッション情報送信手段102およびサービス提供許可手段107から出力された情報を通信インタフェース110を介してネットワーク9に送信し、ネットワーク9から通信インタフェース110を介して受信した情報を振り分けて要求受付手段101またはセッション情報受信手段104に出力するようになっている。
なお、要求受付手段101、セッション情報送信手段102、セッション情報受信手段104、認証手段105、セッション情報判定手段106、サービス提供許可手段107、経過時間算出手段108、および、要求処理手段120は、CPU等のプロセッサによって処理されるプログラムのモジュールで構成されるようにしてもよい。
以上のように構成された本発明の第1の実施の形態に係る認証装置の動作の一例について、図面を参照して説明する。図3、図4、および図5は、本発明の第1の実施の形態に係る認証装置の動作を示すフローチャートである。
図3は、認証情報を保持しない通信端末10から認証装置100が要求を受け付けた時の動作を示すフローチャートである。まず、サービス提供装置30が提供するサービスの要求を通信端末10から受け付けたか否かを確認する(S1)。
通信端末10が行った要求を受け付けた場合、要求に対するセッション情報の有無を確認する(S2)。セッション情報が無い場合、セッション情報送信手段102は、要求に対するHTTPSに関わる情報やクッキー情報等、通信端末10を識別するための情報に基づいてセッション情報を生成し、生成したセッション情報をセッション情報保持手段103に保持させる(S3)とともに、通信端末10へ送信する(S4)。
その後、例えばセッション情報がQRコードである場合、利用者は、通信端末10に受信されたQRコードを表す画像を通信端末10の画面に表示させ、通信端末20に備えられたカメラからQRコードを表す画像を撮像し、取得する。その後、利用者の操作によって通信端末20は、セッション情報または認証情報のうち少なくとも一方を認証装置100に送信する。
また、S2においてセッション情報がある場合、サービス提供許可手段107は、セッション情報と対応するサービスの提供が既に許可されているか否か確認し(S5)、既に許可されている場合、通信端末10に対するサービス提供をサービス提供装置30へ指示する(S6)。許可されていない場合、処理はS1へ戻る。
図4および図5は、認証情報を保持する通信端末20から認証装置100が情報を受信した時の動作を示すフローチャートである。まず、セッション情報受信手段104は、通僧端末20から情報を受信したか否かを確認する(S11)。
セッション情報受信手段104は、通信端末20が送信した通信端末20からの情報を受信した場合、受信した情報から認証情報の有無を確認する(S12)。認証情報がある場合、認証手段105は、セッション情報受信手段104が受信した認証情報に基づいて通信端末20の認証を行う(S13)。
サービス提供許可手段107は、認証情報に基づいた認証が成功したか否かを確認し(S14)、認証が成功した場合、受信した情報からセッション情報の有無を確認する(S15)。認証が失敗した場合、処理はS11へ戻る。
認証が成功し、受信した情報にセッション情報がある場合、処理はS18へ進む。セッション情報が無い場合、サービス提供許可手段107は、認証情報と対応するセッション情報とセッション情報保持手段103が保持しているセッション情報との整合が、セッション情報判定手段106によって既になされたか否かを確認する(S16)。整合が既に完了している場合、処理はS20へ進み、完了していない場合、処理はS11へ戻る。なお、本発明の実施の形態では、認証情報と受信したセッション情報との対応は、それぞれの情報に含まれる通信端末20の識別子でなされるものとする。
一方、S12において認証情報が無い場合、セッション情報受信手段104は、受信した情報からセッション情報の有無を確認する(S17)。受信した情報からセッション情報が無い場合、処理はS11へ戻り、セッション情報がある場合、セッション情報判定手段106は、受信したセッション情報とセッション情報保持手段103が保持しているセッション情報とが整合するか否かを判定する(S18)。
受信したセッション情報が整合しない場合、処理はS11へ戻り、整合する場合、図5に示すように、サービス提供許可手段107は、受信したセッション情報と対応する認証情報に基づいた認証が既に成功しているか否かを確認する(S19)。認証が成功している場合、処理はS20へ進み、成功していない場合、処理はS11へ戻る。
また、経過時間算出手段108は、セッション情報保持手段103がセッション情報と時刻情報とを対応付けて保持している場合、セッション情報判定手段106が整合すると判定した時のセッション情報と対応する時刻情報に基づいて経過時間を算出する。
サービス提供許可手段107は、経過時間算出手段108が算出した経過時間が一定時間を超えたか否かを確認する(S20)。一定時間を超えていた場合、処理はS11へ戻り、一定時間以下である場合、サービス提供許可手段107は、ポリシー情報に基づいてサービスの提供がポリシー情報の条件を満たすか否かを判定する(S21)。
ポリシー情報の条件を満たさない場合、処理はS11へ戻り、ポリシー情報の条件を満たす場合、サービス提供許可手段107は、通信端末10に対するサービスの提供を許可し、サービスの提供が許可された旨を通信端末20に送信する(S22)。
なお、その旨を確認した利用者は、通信端末10を操作し、通信端末10は、セッション情報を認証装置100に送信してS5およびS6が処理され、オンラインサービスの提供を受けることができる。
以上説明したように、本発明の第1の実施の形態に係る認証装置および認証方法は、受信した認証情報に基づいて通信端末20の認証を行い、認証が成功した場合、受信したセッション情報に基づいて通信端末10に対するサービスの提供を許可し、セッションを通じてサービスに関する情報を通信端末10に提供するため、認証情報を持たない通信端末10でも通信端末20が認証情報を持っていれば、認証を必要とするオンラインサービスを利用者に提供することができる。
(本発明の第2の実施の形態)
本発明の第2の実施の形態に係る認証装置を含むシステム全体の構成図を図6に示す。図6に示した認証システムは、認証装置200、通信端末10、通信端末20、サービス提供装置30を備えて構成されている。
本発明の第2の実施の形態に係るシステムを構成する構成要素のうち、本発明の第1の実施の形態に係るシステムを構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。認証装置200と通信端末10およびサービス提供装置30とはネットワーク9を介して通信可能であり、認証装置200と通信端末20とはネットワーク8およびネットワーク9を介して通信可能である。
なお、本発明の第2の実施の形態では、例えば電子商取引等のサービスを受けたい時に、オンラインサービスで適用可能な認証情報を保持する通信端末20を利用しながら、電子証明書等の認証情報を持たない通信端末10が、認証装置200によって行われる認証を成功させると共に、通信端末10の利用者の代わりに通信端末20の利用者に対して課金をするような形態について説明している。
例えば、通信端末10を利用する利用者が、電子商取引等のサービスが行われるサービス提供装置30を介して、所定の商品を購入しようとしている、または所定のサービスを提供してもらおうとしている場合など、通信端末10は、サービス提供装置30が提供するサービスの要求を認証装置200に対して行う。
認証装置200は、この要求を受け付けた時、サービスにかかる課金を表す課金情報を含むセッション情報を生成して通信端末10に送信するようになっている。なお、課金情報には、種々のサービスのうち、これから利用するサービスを示す情報などが含まれる。
セッション情報がQRコードである場合、利用者は、通信端末10に受信されたQRコードを表す画像を通信端末10の画面に表示させ、通信端末20に備えられたカメラからQRコードを表す画像を撮像し、取得する。その後、利用者の操作によって通信端末20は、セッション情報および認証情報を認証装置200に送信するようになっている。
ここで、認証装置200は、通信端末20から送信されたセッション情報および認証情報を受信し、受信した認証情報に基づいて通信端末20の認証を行い、例えば認証が成功し、受信したセッション情報に基づいて通信端末10に対するサービスの提供を許可した時、セッション情報に含まれる課金情報を自己の課金データベースまたはネットワーク9に接続されている他の課金データベースに記憶させる。なお、認証装置200は、通信端末20の利用者に課金するため、通信端末20を示す情報を含めた課金情報を課金データベースに記憶させるようにしてもよい。
その後、認証装置200は、サービスの提供が許可された旨を通信端末20に送信するようになっている。その旨を確認した利用者は、通信端末10を介してサービス提供装置30とのセッションを確立させることにより、オンラインサービスの提供を受けることができる。なお、通信端末10を利用する利用者と通信端末20を利用する利用者とは同一でもよく、また互いに異なっていてもよい。
本発明の第2の実施の形態に係る認証装置の構成図を図7に示す。図7に示した認証装置200は、ネットワーク9との間で通信を行う通信インタフェース110、CPU等のプロセッサ、およびハードディスク等の記憶装置等によって構成され、要求受付手段101、セッション情報送信手段202、セッション情報保持手段103、セッション情報受信手段104、認証手段105、セッション情報判定手段106、サービス提供許可手段207、経過時間算出手段108、および要求処理手段120を有する。
本発明の第2の実施の形態に係る認証装置を構成する構成要素のうち、本発明の第1の実施の形態に係る認証装置を構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
セッション情報送信手段202は、本発明の第1の実施の形態におけるセッション情報送信手段102の説明に加えて、課金情報を含むセッション情報を生成して通信端末10に送信するようになっている。また、サービス提供許可手段207は、本発明の第1の実施の形態におけるサービス提供許可手段107の説明に加えて、セッション情報に基づいてサービスの提供を許可した時、セッション情報に含まれる課金情報を自己の課金データベースまたはネットワーク9に接続されている他の課金データベースに記憶させることにより課金する。
以上のように構成された本発明の第2の実施の形態に係る認証装置の動作の一例について、図面を参照して説明する。
図3に示したように、S4で、セッション情報送信手段202は、課金情報を含むセッション情報を通信端末10に送信する。また、S5で、サービス提供許可手段207は、セッション情報と対応するサービスの提供が既に許可されているか否かを確認し、既に許可されている場合、S6で、通信端末10に対するサービス提供をサービス提供装置30へ指示するとともに、セッション情報に含まれる課金情報を自己の課金データベースまたはネットワーク9に接続されている他の課金データベースに記憶させる。
以上説明したように、本発明の第2の実施の形態に係る認証装置および認証方法は、セッション情報に含まれる課金情報に基づいてサービスにかかる課金を通信端末20の利用者(契約者)に対して課金すれば、通信端末10の利用者の代わりに通信端末20の利用者に対して課金をするような形態のビジネスモデルを構築できる。
なお、第1および第2の実施の形態において、認証装置100(200)とサービス提供装置20とはネットワーク9を介して通信可能としたが、両者は一体化されてネットワーク9に接続されていてもよい。
(本発明の第3の実施の形態)
本発明の第3の実施の形態に係る認証装置を含むシステム全体の構成図を図8に示す。図8に示した認証システムは、認証装置300、通信端末10、通信端末20、認証ゲートウェイ装置40を備えて構成されている。
本発明の第3の実施の形態に係るシステムを構成する構成要素のうち、本発明の第1の実施の形態に係るシステムを構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。認証装置300と認証ゲートウェイ装置40とはネットワーク9を介して通信可能であり、認証装置300と通信端末20とはネットワーク8およびネットワーク9を介して通信可能である。
なお、本発明の第3の実施の形態では、例えば一時的にインターネット等のネットワークに接続するサービス(ホットスポットサービス)を受けたい時に、オンラインサービスで適用可能な認証情報を保持する通信端末20を利用しながら、電子証明書等の認証情報を持たない通信端末10が、認証装置300によって行われる認証を成功させるような形態について説明している。
認証ゲートウェイ装置40は、前述したホットスポットサービスを提供するためのものであって、通信端末10からの接続要求を受け付けた時に当該認証ゲートウェイ装置40のIDを含むセッション情報を発行し、通信端末10へ送信するとともに、認証装置300からの認証結果およびセッション情報に基づいて通信端末10に対するネットワーク接続サービスを提供する。
例えば、通信端末10を利用する利用者が、前述したホットスポットサービスを提供してもらおうとしている場合など、通信端末10は、ホットスポットサービスの要求を認証ゲートウェイ装置40に対して行う。
認証ゲートウェイ装置40は、この要求を受け付けた時、当該認証ゲートウェイ装置のIDを含むセッション情報を生成して通信端末10に送信するようになっている。
セッション情報がQRコードである場合、利用者は、通信端末10に受信されたQRコードを表す画像を通信端末10の画面に表示させ、通信端末20に備えられたカメラからQRコードを表す画像を撮像し、取得する。その後、利用者の操作によって通信端末20は、セッション情報および認証情報を認証装置300に送信するようになっている。
ここで、認証装置300は、通信端末20から送信されたセッション情報および認証情報を受信し、受信した認証情報に基づいて通信端末20の認証を行い、例えば認証が成功した場合、受信したセッション情報に含まれる認証ゲートウェイ装置40のIDに基づいて当該認証ゲートウェイ装置40との間に相互認証された暗号通信路を生成し(なお、認証装置300および認証ゲートウェイ装置40は、事前に鍵情報を共有しているものとする。)、前記認証結果およびセッション情報を前記認証ゲートウェイ装置40へ送信する。
その後、認証ゲートウェイ装置40は、認証装置300から受信した認証結果およびセッション情報に基づいて前記第1の通信端末に対するネットワーク接続サービスを提供するようになっている。利用者は、通信端末10により認証ゲートウェイ装置40を通じてネットワーク9へ接続することが可能となる。
本発明の第3の実施の形態に係る認証装置の構成図を図9に示す。図9に示した認証装置300は、ネットワーク9との間で通信を行う通信インタフェース110、CPU等のプロセッサ、およびハードディスク等の記憶装置等によって構成され、要求受付手段101、セッション情報送信手段102、セッション情報保持手段103、セッション情報受信手段104、認証手段105、セッション情報判定手段106、サービス提供許可手段307、経過時間算出手段108、および要求処理手段120を有する。
本発明の第3の実施の形態に係る認証装置を構成する構成要素のうち、本発明の第1の実施の形態に係る認証装置を構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
サービス提供許可手段307は、本発明の第1の実施の形態におけるサービス提供許可手段107の説明に加えて、認証が成功した場合、セッション情報に含まれる認証ゲートウェイ装置40のIDに基づいて認証結果およびセッション情報を前記認証ゲートウェイ装置40へ送信する。
本発明の第3の実施の形態に係る認証ゲートウェイ装置の構成図を図10に示す。図10に示した認証ゲートウェイ装置40は、ネットワーク9との間で通信を行う通信インタフェース41、CPU等のプロセッサ、およびハードディスク等の記憶装置等によって構成され、要求受付手段42、セッション情報送信手段43、セッション情報受信手段44、サービス提供手段45、および要求処理手段46を有する。
要求受付手段42は、通信端末10からのサービスの要求を要求処理手段46を介して受け付けるようになっている。セッション情報送信手段43は、要求受付手段42がサービスの要求を受け付けた時、当該認証ゲートウェイ装置40のIDを含むセッション情報を生成して通信端末10へ要求処理手段46を介して送信するようになっている。セッション情報受信手段44は、認証装置300からの認証結果およびセッション情報を要求処理手段46を介して受信するようになっている。
サービス提供手段45は、セッション情報受信手段44が受信した認証結果およびセッション情報に基づいて通信端末10に対するネットワーク接続サービスを提供するようになっている。
以上説明したように、本発明の第3の実施の形態に係る認証装置および認証方法は、受信した認証情報に基づいて通信端末20の認証を行い、認証が成功した場合、受信したセッション情報に含まれる認証ゲートウェイ装置40のIDに基づいて認証結果およびセッション情報を認証ゲートウェイ装置40へ送信し、当該セッション中、認証ゲートウェイ装置40により通信端末10をネットワークに接続するため、認証情報を持たない通信端末10でも通信端末20が認証情報を持っていれば、通信端末10を一時的にネットワークに接続するサービスを利用者に提供することができる。
(本発明の第4の実施の形態)
本発明の第4の実施の形態に係る認証装置を含むシステム全体の構成図を図11に示す。図11に示した認証システムは、認証装置500、通信端末10、通信端末20を備えて構成されている。
本発明の第4の実施の形態に係るシステムを構成する構成要素のうち、本発明の第1の実施の形態に係るシステムを構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。認証装置500と通信端末10とはネットワーク9を介して通信可能であり、認証装置500と通信端末20とはネットワーク8およびネットワーク9を介して通信可能である。
なお、本発明の第4の実施の形態では、オンラインサービスで適用可能な認証情報を保持する通信端末20を利用した認証装置500における認証を可能とするため、当該通信端末20(の認証情報)を認証装置500に登録する形態について説明している。
例えば、通信端末10を利用する利用者が、認証情報を保持する通信端末20を認証装置500に登録しようとしている場合など、通信端末10は、端末登録の要求を認証装置500に対して行う。
認証装置500は、この要求を受け付けた時、端末登録のためのユーザ情報を通信端末10に要求する、例えば当該ユーザ情報の入力画面を通信端末10に送信するようになっている。
利用者は、通信端末10で受信され、表示された画面に対してユーザIDや個人の属性情報等のユーザ情報を入力し、認証装置500へ送信する。
認証装置500は、通信端末10からユーザ情報を取得した時、当該端末登録に関するセッション情報を生成して通信端末10に送信し、また、当該セッション情報を前記ユーザ情報とともに保存する。なお、セッション情報には、登録のためのセッションID、登録のための認証装置のURL等が含まれる。
セッション情報がQRコードである場合、利用者は、通信端末10に受信されたQRコードを表す画像を通信端末10の画面に表示させ、通信端末20に備えられたカメラからQRコードを表す画像を撮像し、取得する。その後、利用者の操作によって通信端末20は、セッション情報に基づいて認証装置500にアクセスする。
ここで、認証装置500は、通信端末20から認証情報を(SSLのネゴシエーションの過程や端末IDの要求などにより)受け取り、当該認証情報を、セッション情報に含まれるセッションIDに基づいて前記ユーザ情報とともに保存する。
その後、認証装置500は、通信端末20の登録が完了した旨を当該通信端末20に送信するようになっている。その旨を確認した利用者が、通信端末10より認証装置500に対してセッション情報を基に登録確認を要求すると、認証装置500は登録完了を返送する。
本発明の第4の実施の形態に係る認証装置の構成図を図12に示す。図12に示した認証装置500は、ネットワーク9との間で通信を行う通信インタフェース110、CPU等のプロセッサ、およびハードディスク等の記憶装置等によって構成され、要求受付手段501、ユーザ情報取得手段510、セッション情報送信手段502、セッション情報保持手段103、セッション情報受信手段104、認証手段505、セッション情報判定手段106、サービス提供許可手段107、経過時間算出手段108、および要求処理手段120を有する。
本発明の第4の実施の形態に係る認証装置を構成する構成要素のうち、本発明の第1の実施の形態に係る認証装置を構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
要求受付手段501は、本発明の第1の実施の形態におけるセッション情報送信手段102の説明に加えて、通信端末10からの通信端末20の登録の要求を受け付ける。また、ユーザ情報取得手段510は、要求受付手段501が通信端末10からの通信端末20の登録の要求を受け付けた時、登録のためのユーザ情報を通信端末10に要求し、取得する。また、セッション情報送信手段502は、本発明の第1の実施の形態におけるセッション情報送信手段102の説明に加えて、ユーザ情報取得手段510がユーザ情報を取得した時、当該通信端末20の登録に関するセッション情報を生成して通信端末10へ送信する。
また、認証手段505は、本発明の第1の実施の形態における認証手段105の説明に加えて、ユーザ情報取得手段510が取得したユーザ情報をセッション情報送信手段502が生成したセッション情報とともに保存し、さらに、セッション情報受信手段104が受信した通信端末20の認証情報を、セッション情報受信手段104が受信した前記セッション情報に基づいてユーザ情報とともに保存する。
以上説明したように、本発明の第4の実施の形態に係る認証装置および認証方法は、認証情報を持たない通信端末10を用いて、オンラインサービスで適用可能な認証情報を保持する通信端末20を認証装置500に登録するため、当該通信端末20を利用した通信端末10の認証装置500における認証が可能となる。
以上のように、本発明に係る認証装置および認証方法は、認証情報を持たない通信端末でも他の通信端末が認証情報を持っていれば、認証を必要とするオンラインサービスを利用者に提供することができるという効果を有し、通信端末を利用する利用者や通信端末の認証を行う認証サーバ、認証サーバを用いるシステム等として有用である。
本発明の第1の実施の形態に係る認証装置を含むシステム全体の構成図 本発明の第1の実施の形態に係る認証装置の構成図 認証情報を保持しない通信端末から認証装置が要求を受け付けた時の動作を示すフローチャート 認証情報を保持する通信端末から認証装置が情報を受信した時の動作を示すフローチャート 認証情報を保持する通信端末から認証装置が情報を受信した時の動作を示すフローチャート 本発明の第2の実施の形態に係る認証装置を含むシステム全体の構成図 本発明の第2の実施の形態に係る認証装置の構成図 本発明の第3の実施の形態に係る認証装置を含むシステム全体の構成図 本発明の第3の実施の形態に係る認証装置の構成図 本発明の第3の実施の形態に係る認証ゲートウェイ装置の構成図 本発明の第4の実施の形態に係る認証装置を含むシステム全体の構成図 本発明の第4の実施の形態に係る認証装置の構成図
符号の説明
8,9:ネットワーク、10,20:通信端末、30:サービス提供装置、40:認証ゲートウェイ装置、100,200,300,500:認証装置、41,110:通信インタフェース、42,101,501:要求受付手段、43,102,202,502:セッション情報送信手段、44,104:セッション情報受信手段、45:サービス提供手段、46,120:要求処理手段、103:セッション情報保持手段、105,505:認証手段、106:セッション情報判定手段、107,207,307:サービス提供許可手段、108:経過時間算出手段、510:ユーザ情報取得手段。

Claims (16)

  1. 認証を必要とするサービスの要求を行う第1の通信端末および認証情報を保持する第2の通信端末とネットワークを介して通信可能に接続される認証装置であって、
    第1の通信端末からのサービスの要求を受け付ける要求受付手段と、
    前記要求受付手段が前記サービスの要求を受け付けた時、当該サービスに関するセッション情報を生成して前記第1の通信端末へ送信するセッション情報送信手段と、
    前記第1の通信端末が受信した前記セッション情報を当該第1の通信端末より取得した第2の通信端末からの当該セッション情報および認証情報を受信するセッション情報受信手段と、
    前記セッション情報受信手段が受信した前記認証情報に基づいて前記第2の通信端末の認証を行う認証手段と、
    前記認証手段による前記第2の通信端末の認証が成功した場合、前記セッション情報受信手段が受信した前記セッション情報に基づいて前記第1の通信端末に対するサービスの提供を許可するサービス提供許可手段とを備えた
    ことを特徴とする認証装置。
  2. 前記第1の通信端末との通信および前記第2の通信端末との通信のうち少なくとも一方を暗号化した通信とすることを特徴とする請求項1に記載の認証装置。
  3. 前記に加え、
    前記セッション情報送信手段が生成したセッション情報を保持するセッション情報保持手段と、
    前記セッション情報受信手段が受信したセッション情報と前記セッション情報保持手段が保持しているセッション情報とが整合するか否かを判定するセッション情報判定手段とを備え、
    前記サービス提供許可手段は、前記認証手段による前記第2の通信端末の認証が成功し、かつ、前記セッション情報判定手段が整合すると判定した場合、前記セッション情報に基づいて前記第1の通信端末に対するサービスの提供を許可する
    ことを特徴とする請求項1または請求項2に記載の認証装置。
  4. 前記セッション情報送信手段は、前記サービスの要求毎に異なる識別子を含むセッション情報を生成して前記第1の通信端末へ送信し、前記セッション情報判定手段は、前記セッション情報受信手段が受信したセッション情報に含まれる識別子と前記セッション情報保持手段が保持しているセッション情報に含まれる識別子とが整合するか否かを判定することを特徴とする請求項3に記載の認証装置。
  5. 前記に加え、
    前記セッション情報送信手段がセッション情報を送信した時点を表す時刻情報に基づいて前記送信した時点からの経過時間を算出する経過時間算出手段を備え、
    前記経過時間算出手段は、前記セッション情報判定手段が整合すると判定した時のセッション情報と対応する前記時刻情報に基づいて経過時間を算出し、前記サービス提供許可手段は、前記算出された経過時間が一定時間以下である時、前記サービスの提供を許可する
    ことを特徴とする請求項3または請求項4に記載の認証装置。
  6. 前記に加え、
    前記セッション情報送信手段がセッション情報を送信した時点を表す時刻情報に基づいて前記送信した時点からの経過時間を算出する経過時間算出手段を備え、
    前記経過時間算出手段は、前記セッション情報受信手段が受信したセッション情報に含まれる前記時刻情報に基づいて経過時間を算出し、前記サービス提供許可手段は、前記算出された経過時間が一定時間以下である時、前記サービスの提供を許可する
    ことを特徴とする請求項3または請求項4に記載の認証装置。
  7. 前記認証情報は、前記第2の通信端末の端末識別子、または前記第2の通信端末を利用する利用者の利用者識別子、もしくは前記端末識別子および前記利用者識別子の組み合わせからなることを特徴とする請求項1乃至6の何れかに記載の認証装置。
  8. 前記認証情報は、電子証明書からなることを特徴とする請求項1乃至7の何れかに記載の認証装置。
  9. 前記セッション情報は、識別コードを表す画像情報からなることを特徴とする請求項1乃至8の何れかに記載の認証装置。
  10. 前記セッション情報は、文字列を表すテキスト情報からなることを特徴とする請求項1乃至8の何れかに記載の認証装置。
  11. 前記セッション情報は、課金を表す課金情報を含むことを特徴とする請求項1乃至10の何れかに記載の認証装置。
  12. 前記サービス提供許可手段は、前記第1の通信端末を利用する利用者の利用者識別子と前記第2の通信端末を利用する利用者の利用者識別子との対応条件を表すポリシー情報を有し、前記ポリシー情報に基づいて前記サービスの提供を許可することを特徴とする請求項1乃至11の何れかに記載の認証装置。
  13. 前記に加え、
    第1の通信端末を一時的にネットワークに接続するサービスを提供するための認証ゲートウェイ装置であって、第1の通信端末からのサービスの要求を受け付ける要求受付手段と、前記要求受付手段が前記サービスの要求を受け付けた時、当該認証ゲートウェイ装置のIDを含むセッション情報を生成して前記第1の通信端末へ送信するセッション情報送信手段と、認証装置からの認証結果およびセッション情報を受信するセッション情報受信手段と、前記セッション情報受信手段が受信した認証結果およびセッション情報に基づいて前記第1の通信端末に対するネットワーク接続サービスを提供するサービス提供手段とを少なくとも有する認証ゲートウェイ装置を備え、
    前記サービス提供許可手段は、前記認証手段による前記第2の通信端末の認証が成功した場合、前記セッション情報受信手段が受信した前記セッション情報に含まれる認証ゲートウェイ装置のIDに基づいて認証結果およびセッション情報を前記認証ゲートウェイ装置へ送信する
    ことを特徴とする請求項1乃至12の何れかに記載の認証装置。
  14. 前記に加え、
    前記要求受付手段が第1の通信端末からの第2の通信端末の登録の要求を受け付けた時、登録のためのユーザ情報を前記第1の通信端末に要求し、取得するユーザ情報取得手段を備え、
    前記要求受付手段は、前記第1の通信端末からの前記第2の通信端末の登録の要求を受け付け、
    前記セッション情報送信手段は、前記ユーザ情報取得手段が前記ユーザ情報を取得した時、前記第2の通信端末の登録に関するセッション情報を生成して前記第1の通信端末へ送信し、
    前記認証手段は、前記ユーザ情報取得手段が取得したユーザ情報を前記セッション情報送信手段が生成したセッション情報とともに保存し、前記セッション情報受信手段が受信した第2の通信端末の認証情報を、前記セッション情報受信手段が受信した前記セッション情報に基づいて前記ユーザ情報とともに保存する
    ことを特徴とする請求項1乃至13の何れかに記載の認証装置。
  15. 認証を必要とするサービスの要求を行う第1の通信端末と、認証情報を保持する第2の通信端末と、認証装置と、これらを通信可能に接続するネットワークとを少なくとも備えたシステムにおける認証方法であって、
    前記第1の通信端末は、前記サービスの要求を行い、
    前記認証装置は、前記第1の通信端末からのサービスの要求を受け付けた時、当該サービスに関するセッション情報を生成して前記第1の通信端末へ送信し、
    前記第1の通信端末は、前記認証装置によって送信されたセッション情報を受信し、
    前記第2の通信端末は、前記第1の通信端末が受信したセッション情報を当該第1の通信端末から取得し、取得したセッション情報および認証情報を前記認証装置へ送信し、
    前記認証装置は、前記第2の通信端末からのセッション情報および認証情報を受信し、受信した前記認証情報に基づいて前記第2の通信端末の認証を行い、前記認証が成功した場合、受信したセッション情報に基づいて前記第1の通信端末に対するサービスの提供を許可する
    ことを特徴とする認証方法。
  16. 前記セッション情報は、前記サービスの提供にかかる課金を表す課金情報を含み、前記認証装置は、前記認証情報に基づいて前記第2の通信端末の認証を行う際に、前記セッション情報に含まれる前記課金情報に基づいて課金を行うことを特徴とする請求項15に記載の認証方法。
JP2004367130A 2004-12-20 2004-12-20 認証装置および認証方法 Expired - Fee Related JP4005596B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004367130A JP4005596B2 (ja) 2004-12-20 2004-12-20 認証装置および認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004367130A JP4005596B2 (ja) 2004-12-20 2004-12-20 認証装置および認証方法

Publications (2)

Publication Number Publication Date
JP2006174320A JP2006174320A (ja) 2006-06-29
JP4005596B2 true JP4005596B2 (ja) 2007-11-07

Family

ID=36674555

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004367130A Expired - Fee Related JP4005596B2 (ja) 2004-12-20 2004-12-20 認証装置および認証方法

Country Status (1)

Country Link
JP (1) JP4005596B2 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4641301B2 (ja) * 2006-10-11 2011-03-02 日本電信電話株式会社 接続制御装置、接続制御方法および接続制御プログラム
JP4740092B2 (ja) * 2006-11-08 2011-08-03 日本電信電話株式会社 通信システムおよび通信方法
JP2008152737A (ja) * 2006-12-20 2008-07-03 Nippon Telegr & Teleph Corp <Ntt> サービス提供サーバ、認証サーバ、および認証システム
JP5080099B2 (ja) * 2007-02-19 2012-11-21 Kddi株式会社 情報コピーシステムおよびサーバ
JP5009012B2 (ja) * 2007-03-16 2012-08-22 Kddi株式会社 認証システム
EP2263361B1 (en) 2008-04-02 2012-11-21 Telefonaktiebolaget L M Ericsson (PUBL) Service delivery to a consumer electronic device using a mobile communication unit for access and service control
JP4864105B2 (ja) * 2009-01-28 2012-02-01 株式会社コナミデジタルエンタテインメント サービス提供システム、サービス提供方法、ならびに、プログラム
JP2011170779A (ja) * 2010-02-22 2011-09-01 Sharp Corp 個人認証装置、個人認証システム、個人認証方法
US9203841B2 (en) * 2012-04-01 2015-12-01 Authentify, Inc. Secure authentication in a multi-party system
JP2014127729A (ja) * 2012-12-25 2014-07-07 Hitachi Ltd ゲートウェイ装置およびペアリング方法
US9148284B2 (en) * 2014-01-14 2015-09-29 Bjoern Pirrwitz Identification and/or authentication method
EP3131032B1 (en) * 2014-04-09 2021-09-22 ICTK Holdings Co., Ltd. Authentication apparatus and method
JP6515526B2 (ja) 2014-12-24 2019-05-22 富士通株式会社 通信管理装置、通信管理方法及び通信管理プログラム

Also Published As

Publication number Publication date
JP2006174320A (ja) 2006-06-29

Similar Documents

Publication Publication Date Title
CN107690788B (zh) 识别和/或认证系统和方法
JP5258422B2 (ja) 相互認証システム、相互認証方法およびプログラム
KR101214839B1 (ko) 인증 방법 및 그 시스템
Mizuno et al. Authentication using multiple communication channels
JP2013524314A (ja) 携帯端末機を用いた認証方法及びシステム
JP4612438B2 (ja) サービス提供システムおよびサービス提供装置
JP4005596B2 (ja) 認証装置および認証方法
WO2002039294A1 (fr) Systeme d&#39;authentification, appareil agent d&#39;authentification, et terminal
JP2007102778A (ja) ユーザ認証システムおよびその方法
JP2005523505A5 (ja)
JP2006244081A (ja) 認証機能付きサーバ及び方法
JP4960738B2 (ja) 認証システム、認証方法および認証プログラム
JP4334515B2 (ja) サービス提供サーバ、認証サーバ、および認証システム
WO2006073008A1 (ja) ネットワークカメラへのログイン認証システム
KR20120034572A (ko) 인증방법 및 인증시스템
JP2007133743A (ja) サービス提供サーバおよび認証システム
CN112912875A (zh) 认证系统、认证方法、应用提供装置、认证装置、认证用程序
JP7484095B2 (ja) 金融取引システム及び金融取引方法
KR100858146B1 (ko) 이동통신 단말기 및 가입자 식별 모듈을 이용한 개인 인증방법 및 장치
US11915507B2 (en) Location- and identity-referenced authentication method and communication system
JP3820477B2 (ja) ブラウザフォンのメールによるユーザ認証方法、ユーザ認証サーバ、認証サーバのユーザ認証方法、及び認証サーバのユーザ認証プログラム並びにそのプログラムを記録した記録媒体
JP5649627B2 (ja) アクセス認可装置及び方法、サービス提供装置及びシステム
JP2007323235A (ja) 属性利用承認システム
US11716331B2 (en) Authentication method, an authentication device and a system comprising the authentication device
JP6532505B2 (ja) 認証サーバ、認証システム及びプログラム

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070821

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070823

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100831

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100831

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110831

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120831

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130831

Year of fee payment: 6

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees