JP4291213B2 - Authentication method, authentication system, the authentication proxy server, a network access authentication server, program, and recording medium - Google Patents

Authentication method, authentication system, the authentication proxy server, a network access authentication server, program, and recording medium Download PDF

Info

Publication number
JP4291213B2
JP4291213B2 JP2004155673A JP2004155673A JP4291213B2 JP 4291213 B2 JP4291213 B2 JP 4291213B2 JP 2004155673 A JP2004155673 A JP 2004155673A JP 2004155673 A JP2004155673 A JP 2004155673A JP 4291213 B2 JP4291213 B2 JP 4291213B2
Authority
JP
Japan
Prior art keywords
authentication
server
user
network access
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2004155673A
Other languages
Japanese (ja)
Other versions
JP2005339093A (en
Inventor
健 尾尻
修 沖野
光 鈴木
Original Assignee
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電信電話株式会社 filed Critical 日本電信電話株式会社
Priority to JP2004155673A priority Critical patent/JP4291213B2/en
Publication of JP2005339093A publication Critical patent/JP2005339093A/en
Application granted granted Critical
Publication of JP4291213B2 publication Critical patent/JP4291213B2/en
Application status is Active legal-status Critical
Anticipated expiration legal-status Critical

Links

Images

Description

本発明はユーザ端末がネットワークを介してサービスサーバからサービス提供を受けるネットワーク構成でのシングルサインオン認証技術に関し、特にセキュリティの強化を目的とした認証技術に関するものである。 The present invention relates to a single sign-on authentication techniques in a network configuration in which the user terminal receives a service provided by the service server via the network, in particular to authentication technology to enhance its security.

仮想閉域網(VPN)内において複数のWebサーバに対して、一度の認証手続きでアクセスを可能とするシングルサインオン技術が存在する。 To multiple Web servers in the virtual private network (VPN), there is a single sign-on technology that enables access at a time of authentication procedure.

(1)このシングルサインオン技術には、リバース・プロキシ型とエージェント・モジュール型があり、前者はWebサーバ宛のアクセストラヒックを全て専用のシングルサインオンサーバで受け、ユーザ毎に規定されたアクセスリストに照らし合わせて、パケット転送の可否を取捨選択する方法であり、シングルサインオンサーバヘの処理負荷の集中の点で、大規模な網への適用には不向きである。 (1) The single sign-on technologies, there is a reverse proxy type and agent module type, the former received by all private single sign-on server access traffic destined Web server, the access list defined for each user in the light of a method for selection whether the packet transfer, in terms of concentration of the processing load of the single sign-on server f, it is not suitable for application to large-scale network. 後者は各Webサーバでユーザ認証の認証状態を判断して、未認証の場合にはユーザからのアクセス要求をシングルサインオンサーバへ転送して、認証を受けさせるものである。 The latter determines the authentication status of the user authentication in each Web server, in the case of unauthorized transfers the access request from the user to the single sign-on server is intended to subject the authentication. 認証が成功すると証明書が発行され、各Webサーバは受信したアクセス要求の中の証明書が添付されていることをもって、そのユーザが認証済みであることを判断してアクセスが許可される。 Authentication certificate is issued to succeed, each Web server with the certificate in the access request received is attached, the user is determined to access is permitted to be authenticated. 以上述べた動作は、Webサーバが設備されているネットワークにユーザ端末が既に接続されていることを前提にしており、VPNに遠隔から接続するときの様に、VPNへの接続自体に認証が求められる場合には、ユーザは2度の手続きが必要となり、パケット管理が複雑化する問題がある。 Mentioned operation is based on the assumption that the user terminal to a network Web server is equipment is already connected, as when connecting remotely to VPN, authentication to connect itself to the VPN calculated above when it is, the user is required twice procedure, there is a problem that packet management is complicated.

(2)リモートアクセスユーザの端末から、電話網、インターネット経由でVPNに接続してVPN内のWebサーバにアクセスする場合のシングルサインオン技術の実施例は、非特許文献1にあるので、それを図13により説明する。 (2) from the terminal of the remote access user, the telephone network, an embodiment of the single sign-on technology for accessing the Web server in the VPN to connect to the VPN through the Internet, because it is in non-patent document 1, it 13 by describing. リモートアクセスユーザの端末からの認証に必要な情報、例えばIDとパスワードは、リモートアクセスサーバ(RAS)あるいはIPsec(Security Architecture for the Internet Protocol)ゲートウェイを経由して、ネットワークアクセス認証サーバに送られる。 Information required for authentication from the terminal of the remote access users, e.g., ID and password, via the remote access server (RAS) or IPsec (Security Architecture for the Internet Protocol) gateway and sent to a network access authentication server. 該ネットワークアクセス認証サーバでは内部に保持するユーザ認証用情報に照らして、ユーザ認証を行い、接続要求を行った端末に対してはVPN接続用のIPアドレスを払い出し、ネットワーク認証状態テーブルで管理する。 In the network access authentication server against the user authentication information held therein, it performs user authentication, payout the IP address for the VPN connection to the terminal which made the connection request, manages the network authentication state table. 次に該ユーザがVPN内のあるWebサーバ(サービスサーバ)にアクセスを試みると、その時点では該端末が証明書を保持していないため、該端末からのアクセス要求はWebサーバ(サービスサーバ)により認証代行サーバにリダイレクトされる。 Next, when the user attempts to access a Web server with the VPN (service server), because the terminal does not hold a certificate at the time, the access request from the terminal by Web server (service server) It is redirected to the authentication proxy server. 該認証代行サーバでは、端末から送信された認証要求パケットから送信元IPアドレスを抽出し、ネットワークアクセス認証サーバに送信する。 The authentication proxy server extracts the source IP address from the authentication request packet transmitted from the terminal, and transmits to the network access authentication server. ネットワークアクセス認証サーバではネットワーク認証状態テーブルを参照し、受信したIPアドレスが先にVPN接続の認証時に払い出したIPアドレスであるかを検索し、結果を認証代行サーバに送る。 In the network access authentication server refers to the network authentication state table, the received IP address to search whether the IP address that was paid out at the time of authentication of previously VPN connection, and sends the results to the authentication proxy server. 認証代行サーバでは、先に送ったIPアドレスが払い出し済のIPアドレスに該当していた場合には、証明書を発行する。 The authentication proxy server, if the IP address that sent previously had been corresponding to the payout completion of the IP address, to issue the certificate. 以上によりユーザは、VPN接続時の一度の認証手続きにより、VPN接続とVPN内Webサーバへのシングルサインオンを実現している。 The user by the above, by the authentication procedure once at the time of VPN connection, realizes the single sign-on to VPN connections and VPN in the Web server.

(3)リモートアクセス拠点にLANを構成してそれに接続されている端末からVPNにリモートアクセスする場合のシングルサインオン技術を以下に説明する。 (3) will be described from a terminal connected to it constitute a LAN remote access based single sign-on technology for remote access VPN below. この場合はユーザルータを介して同時に複数の端末での接続が可能であり、(2)で述べた接続形態を当てはめると、ネットワークアクセス認証サーバから付与されるのはユーザルータの公衆網側アドレスのみとなり、認証代行サーバに届くアクセス要求パケットの送信元アドレスとなる端末のアドレスは、端末毎に1対1に対応されていないため、(2)と同様の手順では認証状態が判別できない。 This case is possible to connect a plurality of terminals simultaneously via a user router, Applying topology described in (2), only the public network address of the user routers being applied from a network access authentication server next, the address of the source address of the access request packets on authentication agent server terminal, because it is not a one-to-one correspondence for each terminal, (2) following the same procedure as can not determine the authentication status. このための実施例は非特許文献1にあるので、それを図14により以下に説明する。 Since embodiments for this lies in Non-Patent Document 1, describes it in the following with reference to FIG. 14. 具体的にはリモートアクセス拠点内にユーザルータとローカル認証サーバを配置し、リモートアクセス拠点内の端末に対するユーザ認証とアドレスの払い出し結果を、ネットワークアクセス認証サーバに通知することで認証状態を管理する。 Specifically arranged user router and a local authentication server in the remote access site, a payout result of the user authentication and address for the terminal in the remote access site, to manage the authentication status by notifying the network access authentication server. ここでユーザルータはLAN内端末へのアドレス払い出しとともに、払い出したアドレスをネットワークアクセス認証サーバに通知する機能を持つ。 Where the user router with address allocation to the LAN in the terminal, has a function of notifying the address paid out to a network access authentication server. またローカル認証サーバはユーザルータからの依頼によりIDとパスワードでユーザを認証する。 The local authentication server to authenticate the user in the ID and password at the request from the user router. 以上により、LAN内の端末に対してもアドレス情報がネットワークアクセス認証サーバに蓄積されることになり、端末からのVPN内Webサーバにアクセス要求が行われた場合には、(2)で示したリモートアクセスユーザの端末から、電話網、インターネット経由でVPNに接続してVPN内のWebサーバにアクセスする場合と同様の処理により、Webサーバにシングルサインオンが可能となる。 By the above, when the even address information to terminals in the LAN is to be stored in the network access authentication server, the access request to the VPN in the Web server from the terminal is performed, as shown in (2) from the terminal of the remote access user, the telephone network, the same processing as when accessing a Web server in the VPN to connect to the VPN through the Internet, single sign-on it is possible to the Web server.

いずれも本発明の目的とする認証連携を記載したものではない。 Not intended to describe any authentication collaboration, which is an object of the present invention.

従来の技術では、ネットワークアクセス認証サーバでの認証(NWアクセス認証)が完了していれば、ユーザの端末からサービスサーバにアクセスを試みたとき、サービスサーバで該当ユーザの認証が済んでいればサービスを開始する。 In the prior art, if the completion of the authentication at the network access authentication server (NW access authentication), when attempting to access from the user terminal to the service server, if done so authenticate the relevant user in the service server service the start. 反対にサービスサーバで認証が未認証の場合には、認証代行サーバがユーザ端末経由での認証要求を受信し、認証代行サーバでの認証(IDP認証)が既に成功あるいは認証が成功すれば、認証代行サーバは認証結果情報(アサーション)を生成してサービスサーバヘ認証結果情報の検証を依頼し、サービスサーバでの認証結果情報の検証が済めば、NWアクセス認証の状況に関わらず、サービス提供可能となる。 If oppose authentication service server unauthorized receives the authentication request of the authentication proxy server via the user terminal, if the authentication of the authentication proxy server (IDP authentication) already success or authentication succeeds, the authentication proxy server will request a verification of the authentication result information (assertion) generated service server f authentication result in the information, if smelling the verification result of the authentication information in the service server, regardless of the circumstances of the NW access authentication, service can be provided to become. いずれの場合でも、NWアクセス認証、IDP認証のいずれかの認証が成功していれば、サービス提供を可能としている。 In any case, NW access authentication, if one of the authentication of the IDP authentication is successful, thereby making it possible to service delivery. なお、NWはネットワークを意味する。 It should be noted, NW refers to the network.

本発明では、インターネット等のオープンなネットワークを対象に、以下の課題の解決並びにセキュリティをより強固にしたシングルサインオンを実現することを目的とする。 In the present invention, the target open network such as the Internet, and to realize single sign-on with the stronger solutions as well as security of the following problems.
(1)課題:NWユーザIDとIDPユーザIDが1:1であるため、ホームゲートウェイ内の個人(端末)まで識別した認証(1:n)ができない。 (1) Issues: NW user ID and IDP user ID 1: 1, the authentication was identified to individual (terminal) in the home gateway (1: n) can not.
(2)課題:NWユーザIDとIDPユーザIDが1:1であるため、1ユーザが複数のNWユーザIDをもつ形態(n:1)に対応できない。 (2) Problems: NW user ID and IDP user ID 1: 1. Therefore, the form in which one user has a plurality of NW user ID (n: 1) can not cope with.
(3)機能向上:IDP認証とNWアクセス認証を併用して、双方の認証を確認した場合のみ証明書を発行することによりセキュリティをより強固にする。 (3) improvements: a combination of IDP authentication and NW access authentication, to further strengthen the security by issuing certificates only if you check the authentication of both parties.

本発明は上記課題を解決するため、ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証方法であって、 The present invention for solving the above problems, a network access authentication server for authenticating network access of the user terminal, and a service server that provides a service to the user terminal, authentication of the user terminal for servicing of the service server an authentication method in an authentication system formed by connecting through a network authentication proxy server on behalf of,
前記認証代行サーバが、前記サービスサーバから前記ユーザ端末を経由して認証要求を受けるステップと、前記認証代行サーバが、前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記ネットワークアクセス認証サーバに対して、前記ユーザ端末のIPアドレスまたは前記ユーザ端末のユーザの前記ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDをキーとしてネットワークアクセス認証状態の確認を依頼するステップと、前記ネットワークアクセス認証サーバが、前記認証代行サーバからの依頼を受けて、ネットワークアクセス認証サーバにおける認証状態を示す認証状態情報と、前記認証代行サーバからの依頼におけるキーである IPアドレスに対応するネットワークユーザIDまたは The authentication proxy server, the steps of receiving an authentication request via the user terminal from the service server, the authentication agent server, after authentication processing is completed between said user terminal the authentication agent server, the network access authentication the server, the steps of requesting a confirmation of the network access authentication state network user ID is a user ID as a key in the network access authentication server of the user's IP address or the user terminal of the user terminal, the network access authentication server receives the request from the authentication agent server, and the authentication state information indicating the authentication status in the network access authentication server, the network user ID corresponding to the IP address is a key in the request from the authentication agent server or 認証代行サーバからの依頼におけるキーであるネットワークユーザIDに対応するI Pアドレスを、前記認証代行サーバに対して送るステップと、前記認証代行サーバが、前記ネットワークアクセス認証サーバから受けた認証状態情報と前記ネットワークアクセス認証サーバにIPアドレスをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたネットワークユーザIDまたは前記ネットワークアクセス認証サーバにネットワークユーザIDをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたネットワーク IPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送るステップと、を有し、前記サービスサーバでの該認 The I P address that corresponds to the network user ID is a key in the request from the serial authentication agent server, and sending to the authentication proxy server, wherein the authentication agent server, authentication state received from the network access authentication server information and the network access authentication server to request a check of network user ID to a network user ID or the network access authentication server received from them confirm the IP address as a key the network access authentication server as a key the network access verifies the network IP address received from the authentication server, if valid, the authentication result inclusive authentication response information has, and sending to the service server through the user terminal, by the service server該認 of 応答の検証終了後にサービスが開始されることを特徴とする。 Service after verification end of the response, characterized in that is started.

また、ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証方法であって、ユーザによる前記ユーザ端末からのサービス要求に対して前記サービスサーバが前記ユーザの認証を確認できた場合には前記ユーザに対してサービスを提供するステップと、前記ユーザの認証が確認できない場合には前記サービスサーバから前記ユーザ端末にリダイレクト先アドレスを含んだ認証要求を送るステップと、前記ユーザ端末から前記認証代行サーバに発IPアドレスを含んだ認証要求を送るステップと、前 The network and the network access authentication server for authenticating network access of the user terminal, and a service server that provides a service to the user terminal, the authentication proxy server to proxy authentication of the user terminal for servicing of the service server an authentication method in an authentication system formed by connecting through, the service to the user when the service server to service requests from the user the user terminal is able to verify the authenticity of the user comprising the steps of providing a step when the authentication of the user can not be confirmed to send an authentication request including the redirect destination address to the user terminal from the service server, the source IP address to the authentication proxy server from the user terminal and sending an authentication request it, before 認証代行サーバが前記ユーザを確認したときには認証結果情報を生成して前記ユーザ端末へ該認証結果情報とリダイヤル先アドレスを含んだ認証応答を送るステップと、前記ユーザ端末から前記サービスサーバへ該認証結果情報を含んだ認証応答を送るステップと、前記サービスサーバで該認証結果情報を検証するステップと、該認証結果情報が無効の場合には前記ユーザヘサービス提供不可を通知するステップと、該認証結果情報が有効の場合には前記サービスサーバが前記ユーザに対してサービスを提供するステップと、前記認証代行サーバが前記ユーザを未確認のときに前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、ネットワークアクセス認証サーバに対して、該IPアドレスをキーとしてネットワークアクセス認 And sending the generated by authentication result information and including the redial address authentication reply to the user terminal authentication result information when the authentication agent server confirms the user, the authentication result from the user terminal to the service server and sending an authentication response including the information, and verifying the in service server authentication result information, and the step in case the authentication result information is invalid notify the user f service unavailable, the authentication result a step of the service server provides service to the user when the information is valid, after the authentication process ends between said user terminal and the authentication agent server when the authentication proxy server is unconfirmed said user , network access certification to the network access authentication server, the IP address as a key 状態の確認を依頼するステップと、前記ネットワークアクセス認証サーバが該IPアドレスに対応する、前記ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDをネットワークアクセスセッション情報管理テーブルより検索するステップと、対応するネットワークユーザIDを取得できたときに、前記ネットワークアクセス認証サーバから前記認証代行サーバへ、ネットワークアクセス認証サーバにおける認証状態を示す認証状態情報と該ネットワークユーザIDとを送るステップと、前記認証代行サーバが、取得した該ネットワークユーザIDに対応する、前記認証代行サーバにおけるユーザIDであるIDPユーザIDをユーザ管理テーブルより検索するステップと、取得した該IDPユーザIDと前記 A step of requesting confirmation of a state, the network access authentication server corresponding to the IP address, the steps of the network user ID is a user ID searches the network access session information management table in the network access authentication server, the corresponding when was acquired network user ID, from said network access authentication server to the authentication proxy server, and sending the authentication state information and the network user ID indicating the authentication status in the network access authentication server, the authentication agent server , corresponding to the acquired the network user ID, wherein the authentication agent retrieving from the user management table IDP user ID is the user ID in the server, the acquired the IDP user ID ユーザ端末と前記認証代行サーバ間での認証時に取得した該IDPユーザIDを比較するステップと、前記比較により、両者が一致したときに、前記ユーザ端末に対して、認証結果情報を含んだ認証応答を送るステップと、前記ユーザ端末から前記サービスサーバに該認証結果情報を含んだ認証応答を送るステップと、を有し、前記サービスサーバでの該認証応答の検証終了後にサービスが開始されることを特徴とする。 Comparing the IDP user ID obtained at the time of authentication between the user terminal the authentication agent server, by the comparison, when they match, to the user terminal, authentication response including the authentication result information and sending the steps of: from the user terminal sends an authentication response including the authentication result information to the service server, has, that the service is started after verifying the completion of authentication response in said service server It shall be the feature.

また、ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証方法であって、ユーザによる前記ユーザ端末からのサービス要求に対して前記サービスサーバが前記ユーザの認証を確認できた場合には前記ユーザに対してサービスを提供するステップと、前記ユーザの認証が確認できない場合には前記サービスサーバから前記ユーザ端末にリダイレクト先アドレスを含んだ認証要求を送るステップと、前記ユーザ端末から前記認証代行サーバに発IPアドレスを含んだ認証要求を送るステップと、前 The network and the network access authentication server for authenticating network access of the user terminal, and a service server that provides a service to the user terminal, the authentication proxy server to proxy authentication of the user terminal for servicing of the service server an authentication method in an authentication system formed by connecting through, the service to the user when the service server to service requests from the user the user terminal is able to verify the authenticity of the user comprising the steps of providing a step when the authentication of the user can not be confirmed to send an authentication request including the redirect destination address to the user terminal from the service server, the source IP address to the authentication proxy server from the user terminal and sending an authentication request it, before 認証代行サーバが前記ユーザを確認したときには認証結果情報を生成して前記ユーザ端末へ該認証結果情報とリダイヤル先アドレスを含んだ認証応答を送るステップと、前記ユーザ端末から前記サービスサーバへ該認証結果情報を含んだ認証応答を送るステップと、前記サービスサーバで該認証結果情報を検証するステップと、該認証結果情報が無効の場合には前記ユーザヘサービス提供不可を通知するステップと、該認証結果情報が有効の場合には前記サービスサーバが前記ユーザに対してサービスを提供するステップと、前記認証代行サーバが前記ユーザを未確認のときに、前記認証代行サーバが認証時に取得したIDPユーザIDに対応するネットワークユーザIDをIDPユーザ管理テーブルより検索するステップと、該ネットワ And sending the generated by authentication result information and including the redial address authentication reply to the user terminal authentication result information when the authentication agent server confirms the user, the authentication result from the user terminal to the service server and sending an authentication response including the information, and verifying the in service server authentication result information, and the step in case the authentication result information is invalid notify the user f service unavailable, the authentication result a step of the service server provides service to the user when the information is valid, the when the authentication agent server is unconfirmed the user, corresponding to the IDP user ID and the authentication proxy server acquired at the time of authentication retrieving from IDP user management table network user ID, the networks クユーザIDを取得したときに、前記ネットワークアクセス認証サーバヘ該ネットワークユーザIDをキーとしてネットワークアクセス認証状態の確認を依頼するステップと、前記ネットワークアクセス認証サーバが該ネットワークユーザIDに対応するIPアドレスをネットワークアクセスセッション情報管理テーブルより検索するステップと、対応するIPアドレスを取得したときに、前記ネットワークアクセス認証サーバから前記認証代行サーバヘ、ネットワークアクセス認証サーバにおける認証状態を示す認証状態情報と該IPアドレスを送るステップと、前記認証代行サーバが、取得したIPアドレスと、認証要求での発IPアドレスを比較するステップと、前記比較により、両者が一致したときに、前記ユーザ端末に対して、認 Upon acquiring the network user ID, the network access authentication document transfer requests the network and the step of requesting confirmation of network access authentication state the user ID as a key, the network access authentication server network access an IP address corresponding to the network user ID retrieving from the session information management table, when obtaining the corresponding IP address, sending the authentication status information and said IP address indicating the network access the authentication agent document transfer requests from the authentication server, the authentication status in the network access authentication server when the authentication agent server, the acquired IP address, comparing the source IP address in the authentication request, by the comparison, when they match, to the user terminal, certification 証結果情報を含んだ認証応答を送るステップと、前記ユーザ端末から前記サービスサーバに該認証結果情報を含んだ認証応答を送るステップと、有し、前記サービスサーバでの該認証応答の検証終了後にサービスが開始されることを特徴とする。 Sending a testimony results containing information authentication response, and sending the authentication response from the user terminal including the authentication result information to the service server, has, after verifying the completion of authentication response in said service server wherein the service is started.

また、前記認証方法において、1つの認証代行サーバの配下に複数のネットワークアクセス認証サーバが接続される認証システムにおける認証方法であって、前記認証代行サーバが、前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記認証代行サーバから前記ネットワークアクセス認証サーバヘネットワークアクセス認証状態を確認するときに、前記認証代行サーバが保有する前記ユーザが属するネットワークアクセス認証サーバを識別する識別子により該当するネットワークアクセス認証サーバを特定するステップと、前記認証代行サーバから前記ネットワークアクセス認証サーバに、ネットワークアクセス認証状態の確認を依頼するステップと、を有することを特徴とする。 Further, in the authentication process, a authentication method in an authentication system in which a plurality of network access authentication server under one authentication agent server is connected, wherein the authentication agent server, between said user terminal the authentication agent server after the authentication process ends, when checking the network access authentication server f network access authentication state from the authentication proxy server, corresponding network by identifying identifier of the network access authentication server the user belongs to the authentication proxy server's identifying an access authentication server, the network access authentication server from the authentication proxy server, and having the steps of requesting a confirmation of the network access authentication state, a.

また、前記認証方法において、前記認証代行サーバから前記ネットワークアクセス認証サーバヘアクセスするとき、前記認証代行サーバが前記ユーザ端末のIPアドレスから該当する認証サーバを引くテーブルを用意するステップと、該テーブルを用いてそのIPアドレスから該当するネットワークアクセス認証サーバを特定するステップと、認証処理において、ネットワークアクセスサーバによる認証と認証代行サーバにおける認証とを連携して行う、または、ネットワークアクセスサーバによる認証と認証代行サーバにおける認証とを連携して行う代わりにネットワークアクセス認証単独の認証のみを行うステップと、を有することを特徴とする。 Further, in the authentication process, when the network access authentication server F accessed from the authentication proxy server, comprising: providing a table to draw an authentication server the authentication proxy server corresponds the IP address of the user terminal, the table identifying a network access authentication server corresponding from its IP address using, in the authentication process is performed in cooperation with the authentication in the authentication with the authentication agent server by the network access server, or authentication agent as authenticated by the network access server and having the steps of: performing a network access authentication alone only authentication instead of performing in cooperation with the authentication in the server.

また、I Pアドレスを回線毎に固定的に割り当てるエッジルータと、ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証方法であって、 前記認証代行サーバが、前記サービスサーバから前記ユーザ端末を経由して認証要求を受けるステップと、前記認証代行サーバが、前記ユーザ端末と認証代行サーバ間でのIDP認証において、 前記ユーザ端末に対して認証を行うと共に、IDPユーザIDのエントリーごとにユーザアカウント情報として前記認証代行サーバ内に格納してある前記エッジルータが回線毎に固定的に割り当てた IPアドレスを利して発IPアドレスの検証を行い The network and edge routers to assign fixedly a I P address for each line, and the service server for providing a service to a user terminal, an authentication proxy server to proxy authentication of the user terminal for servicing of the service server an authentication method in an authentication system formed by connecting through, the authentication proxy server, comprising: receiving an authentication request via the user terminal from the service server, the authentication agent server, and the user terminal in IDP authentication between the authentication agent server, fixed the performs authentication for the user terminal, for each of the edge routers are stored in said authentication agent server as user account information for each entry in the IDP user ID line It verifies the source IP address to the assigned IP address to take advantage 、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送るステップと、を有し、前記サービスサーバでの該認証応答の検証終了後にサービスが開始されることを特徴とする。 , If valid, the authentication result inclusive authentication response information, said via user terminals have a, and sending to the service server, the service is started after verifying the completion of authentication response in said service server characterized in that that.

また、ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムであって、前記認証代行サーバが、前記サービスサーバから前記ユーザ端末を経由して認証要求を受ける手段と、前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記ネットワークアクセス認証サーバに対して、前記ユーザ端末のIPアドレスまたは前記ユーザ端末のユーザの前記ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDをキーとしてネットワークアクセス認証状態の確認を依頼する手段 The network and the network access authentication server for authenticating network access of the user terminal, and a service server that provides a service to the user terminal, the authentication proxy server to proxy authentication of the user terminal for servicing of the service server an authentication system formed by connecting through, the authentication proxy server comprises means for receiving an authentication request via the user terminal from the service server, authentication process between said user terminal the authentication agent server after completion, to the network access authentication server, a request for confirmation of the network access authentication state network user ID is a user ID as a key in the network access authentication server of the user's IP address or the user terminal of the user terminal means 、前記ネットワークアクセス認証サーバから受けた前記認証状態情報と前記ネットワークアクセス認証サーバにIPアドレスをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたネットワークユーザIDまたは前記ネットワークアクセス認証サーバにネットワークユーザIDをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けた IPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送る手段と、を備え、前記ネットワークアクセス認証サーバが、前記認証代行サーバからの依頼を受けて、ネットワークアクセス認証サーバにおける認証状態を示す認証状態情報と、前記認証代行サーバからの依頼におけるキーである , Network users to the network user ID or the network access authentication server has received the on the authentication state information received from the network access authentication server and the network access authentication server to request a check of the IP address as a key from the network access authentication server to request a check the ID as a key to validate an IP address received from the network access authentication server, if enabled, send an authentication result containing the information authentication response, to the service server via the user terminal and means, wherein the network access authentication server, receiving a request from the authentication agent server, and the authentication state information indicating the authentication status in the network access authentication server, a key in the request from the authentication agent server I アドレスに対応するネットワークユーザIDまたは前記前記認証代行サーバからの依頼におけるキーであるネットワークユーザIDに対応するI Pアドレスを、前記認証代行サーバに対して送る手段を、備え、前記サービスサーバでの前記認証応答の検証終了後にサービスが開始されることを特徴とする。 The I P address that corresponds to the network user ID is a key in the request from the network user ID or the said authentication agent server corresponding to the address, means for sending to the authentication proxy server, it comprises, at said service server wherein the service is started after verifying completion of the authentication response.

また、ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証代行サーバであって、前記サービスサーバから前記ユーザ端末を経由して認証要求を受ける手段と、前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記ネットワークアクセス認証サーバに対して、前記ユーザ端末のIPアドレスまたは前記ユーザ端末のユーザの前記ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDをキーとしてネットワークアクセス認証状態の確認を依頼する手段 The network and the network access authentication server for authenticating network access of the user terminal, and a service server that provides a service to the user terminal, the authentication proxy server to proxy authentication of the user terminal for servicing of the service server an authentication proxy server in the authentication system formed by connecting through, and means for receiving an authentication request via the user terminal from the service server, after authentication processing is completed between said user terminal the authentication agent server , to the network access authentication server, means for requesting confirmation of the network access authentication state network user ID is a user ID as a key in the network access authentication server of the user's IP address or the user terminal of the user terminal 、前記ネットワークアクセス認証サーバから受けた前記認証状態情報と前記ネットワークアクセス認証サーバにIPアドレスをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたネットワークユーザIDまたは前記ネットワークアクセス認証サーバにネットワークユーザIDをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けた IPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送る手段と、を備えることを特徴とする。 , Network users to the network user ID or the network access authentication server has received the on the authentication state information received from the network access authentication server and the network access authentication server to request a check of the IP address as a key from the network access authentication server to request a check the ID as a key to validate an IP address received from the network access authentication server, if enabled, send an authentication result containing the information authentication response, to the service server via the user terminal characterized in that it comprises a means.

また、ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証代行サーバであって、認証代行サーバにおけるユーザIDであるIDPユーザID、ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDを含むユーザアカウントを持つ手段と、前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記ネットワークアクセス認証サーバヘ、前記ユーザ端末からの認証要求パケットの中の発IPアドレスをキーとして、該ネットワークアクセス認証状態の確認 The network and the network access authentication server for authenticating network access of the user terminal, and a service server that provides a service to the user terminal, the authentication proxy server to proxy authentication of the user terminal for servicing of the service server an authentication proxy server in the authentication system formed by connecting through, and means having a user account including the network user ID is a user ID IDP user ID, the network access authentication server a user ID in the authentication proxy server, after the authentication process ends between the user terminal and the authentication agent server, the network access authentication document transfer requests, as a key source IP address in the authentication request packet from the user terminal, confirmation of the network access authentication state 依頼する手段と、前記ネットワークアクセス認証サーバより、ネットワークアクセス認証状態を含み認証済みの場合はネットワークユーザIDも含むネットワークアクセス認証状態確認結果を受信する手段と、ネットワークアクセス認証状態が確認できないときにはユーザヘサービス提供不可を通知する手段と、受信により取得したネットワークユーザIDに対応するIDPユーザIDを前記ユーザアカウントを持つ手段より検索する手段と、IDPユーザIDが取得できたか否かの判断を行う手段と、取得できないときは前記ユーザヘサービス提供不可を通知する手段と、取得したIDPユーザIDと、前記ユーザ端末と前記認証代行サーバ間での認証時に取得したIDPユーザIDとを比較する手段と、該IDPユーザIDの比較で一 It means for requesting, from the network access authentication server, and means in the case of network access comprises authentication state authenticated to receive the network access authentication state confirmation result that also includes network the user ID, when the network access authentication state can not be confirmed Yuzahe means for notifying the service unavailable, it means for retrieving from the device with the user account IDP user ID corresponding to the network user ID acquired by the reception, and means for judging whether IDP user ID is acquired and means when you can not get to notify the user f service non, means for comparing the IDP user ID acquired, the IDP user ID obtained at the time of authentication between said user terminal the authentication agent server, the in one comparison of the IDP user ID するか否かの判断を行う手段と、一致しなければユーザヘサービス提供不可を通知する手段と、一致すれば認証結果情報を生成する手段と 、を備えることを特徴とする。 Means for judging whether to be a means for notifying the user f service unavailable If they do not match, and means to generate an authentication result information if they match, characterized in that it comprises a.

また、ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証代行サーバであって、認証代行サーバにおけるユーザIDであるIDPユーザID、ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDを含むユーザアカウントを持つ手段と、前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記認証時に取得したIDPユーザIDに対応するネットワークユーザIDを前記ユーザアカウントを持つ手段より検索する手段と、ネットワークユーザIDが The network and the network access authentication server for authenticating network access of the user terminal, and a service server that provides a service to the user terminal, the authentication proxy server to proxy authentication of the user terminal for servicing of the service server an authentication proxy server in the authentication system formed by connecting through, and means having a user account including the network user ID is a user ID IDP user ID, the network access authentication server a user ID in the authentication proxy server, after the authentication process ends between the user terminal and the authentication agent server, it means for retrieving network user ID corresponding to the IDP user ID obtained at the time of the authentication from the device with the user account, the network user ID 得できたか否かを判断する手段と、取得できなかった場合にはユーザヘサービス提供不可を通知する手段と、取得できたときには前記認証代行サーバは、前記ネットワークアクセス認証サーバヘ、該ネットワークユーザIDをキーとして該ネットワークアクセス認証状態の確認を依頼する手段と、前記認証代行サーバは前記ネットワークアクセス認証サーバより、ネットワーク認証状態を含み認証済みの場合にはIPアドレスも含むネットワークアクセス認証状態確認結果を受信する手段と、ネットワーク認証状態が済みか否かを判断する手段と、未認証の場合にはユーザヘサービス提供不可を通知する手段と、認証済みの場合には、ネットワークアクセス認証サーバより取得したIPアドレスと、認証要求パケットの発IPアドレスとを It means for determining whether or not obtained, and means for notifying a Call provides user f service if it can not obtain, the authentication proxy server when successfully acquired, the network access authentication document transfer requests, the network user ID It means for requesting confirmation of the network access authentication state as a key, the authentication proxy server from the network access authentication server, receiving the network access authentication state confirmation result also includes IP address in the case of authenticated includes a network authentication state It means for, means for determining whether the finished network authentication state, and means for notifying a Call provides user f services in the case of unauthenticated, if authenticated is, IP acquired from the network access authentication server and address, the source IP address of the authentication request packet 較する手段と、IPアドレスの比較で一致するか否かの判断を行う手段と、一致しなければユーザヘサービス提供不可を通知する手段と、一致すれば認証結果情報を生成する手段と、を備えることを特徴とする。 Means for compare, and means for judging whether matches in the comparison of the IP address, and means for notifying the user f service unavailable If they do not match, and means for generating an authentication result information if they match, the characterized in that it comprises.

また、前記認証代行サーバにおいて、ユーザが属するネットワークアクセス認証サーバを識別する識別子を保有する手段と、前記識別子により、確認を依頼するネットワークアクセス認証サーバを決定する手段と、を備えることを特徴とする。 Further, in the authentication proxy server, and means for carrying the identifier identifies a network access authentication server to which the user belongs, by said identifier, characterized in that it comprises means for determining a network access authentication server to request confirmation, the .

また、 IPアドレスを回線毎に固定的に割り当てるエッジルータと、ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証代行サーバであって前記サービスサーバから前記ユーザ端末を経由して認証要求を受ける手段と、前記ユーザ端末との IDP認証において、 前記ユーザ端末に対して認証を行うと共に、IDPユーザIDのエントリーごとにユーザアカウント情報として前記認証代行サーバ内に格納してある前記エッジルータが回線毎に固定的に割り当てた IPアドレスを利して発IPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末 Further, an edge router to assign an IP address fixedly for each line, and the service server for providing a service to a user terminal, a network authentication proxy server to proxy authentication of the user terminal for servicing of the service server an authentication proxy server in the authentication system formed by connecting through, and means for receiving an authentication request via the user terminal from the service server, the IDP authentication with the user terminal, authentication for the user terminal performs, the authentication agent the edge router that is stored in the server is fixedly assigned IP address validation of the origination IP address to take advantage of every line as user account information for each entry in the IDP user ID performed, if valid, the authentication response including the authentication result information, the user terminal を経由して前記サービスサーバに送る手段と、を備えることを特徴とする。 Via, characterized in that it comprises, means for sending to said service server.

また、前記認証代行サーバからIPアドレスまたはネットワークユーザIDをキーとして、ネットワークアクセス認証状態の確認の依頼を受けるネットワークアクセス認証サーバであって、前記認証代行サーバからの依頼を受けて、ネットワークアクセス認証サーバにおける認証状態情報と、前記IPアドレスまたは前記ネットワークユーザIDに対応するネットワークユーザIDまたはIPアドレスを、前記認証代行サーバに対して送る手段と、を備えることを特徴とする。 Further, as a key IP address or network user ID from the authentication proxy server, a network access authentication server for receiving a request for confirmation of the network access authentication state, at the request from the authentication agent server, the network access authentication server and authentication state information in a network user ID or IP address corresponding to the IP address or the network user ID, characterized in that it comprises, means for sending to the authentication proxy server.

また、前記認証代行サーバからIPアドレスをキーとして、ネットワークアクセス認証状態の確認の依頼を受けるネットワークアクセス認証サーバであって、IPアドレスをキーとしたネットワークアクセス認証状態の確認依頼を受信する手段と、該IPアドレスに対応するネットワークユーザIDをネットワークアクセスセッション情報管理テーブルから検索する手段と、対応するネットワークユーザIDが取得できたか否かを判断する手段と、取得できなかった場合には前記認証代行サーバヘネットワークアクセス認証状態結果(認証不成功)を返信する手段と、取得できた場合には前記ネットワークアクセス認証サーバから認証代行サーバヘ、ネットワークアクセス認証状態確認結果(認証状態が認証済み、ネットワークユーザID) Further, as a key IP address from the authentication proxy server, a network access authentication server for receiving a request for confirmation of the network access authentication state, means for receiving a confirmation request of a network access authentication state of the key IP address, means and corresponding means for the network user ID and determines whether or not acquisition of the authentication agent server if it can not get to find the network user ID corresponding to the IP address from the network access session information management table f network access authentication state result and means for returning (authentication failure), the authentication agent document transfer requests from the network access authentication server when acquired, the network access authentication state confirmation result (authentication state authenticated, the network user ID) 送る手段と、を備えることを特徴とする。 Characterized in that it comprises means for sending, a.

また、前記認証代行サーバからネットワークユーザIDをキーとして、ネットワークアクセス認証状態の確認の依頼を受けるネットワークアクセス認証サーバであって、ネットワークユーザIDをキーとしたネットワークアクセス認証状態の確認依頼を受信する手段と、ネットワークユーザIDに対応するIPアドレスをネットワークアクセスセッション情報管理テーブルから検索する手段と、対応するIPアドレスが取得できたか否かを判断する手段と、取得できなかった場合には前記認証代行サーバヘ前記ネットワークアクセス認証状態結果(認証不成功)を返信する手段と、取得できた場合には前記ネットワークアクセス認証サーバから前記認証代行サーバヘ、ネットワークアクセス認証状態確認結果(認証状態が認証済み、IPアド Further, as a key network user ID from the authentication proxy server, a network access authentication server for receiving a request for confirmation of the network access authentication state, means for receiving a confirmation request of a network access authentication state of the network user ID as a key If, means for retrieving the IP address corresponding to the network user ID from the network access session information management table, and means for determining whether the corresponding IP address is acquired, the authentication agent if it can not obtain the document transfer requests the network access authentication state result and means for returning (authentication failure), the authentication proxy document transfer requests when be acquired from the network access authentication server, the network access authentication state confirmation result (authentication state authenticated, IP address ス)を送る手段と、を備えることを特徴とする。 Characterized in that it comprises means for sending a scan), the.

また、前記各ステップをコンピュータに実行させるためのプログラムであり、前記各手段としてコンピュータを機能させるためのプログラムであり、前記プログラムを記録したコンピュータ読取可能な記録媒体である。 Also, the a program for executing the steps on a computer, said a program for causing a computer to function as each means, a computer readable recording medium recording the program.

(1)ユーザ端末からの認証要求によりネットワークアクセス認証サーバで認証を行うだけで、サービスサーバヘのサービス要求時は、ユーザはそれ以降のIDP認証あるいはサービスサーバでの認証処理を意識する必要がなく、一度の認証手続きでサービスを享受可能となる。 (1) only by performing authentication with the network access authentication server by the authentication request from the user terminal, the service server F at the service request, the user need not be aware of the authentication processing in the subsequent IDP authentication or service server , it is possible to enjoy the service in one of the authentication procedure.
(2)IDP認証とNWアクセス認証との併用により、セキュリティの向上と個人まで認識した認証が可能となる。 (2) The combination of the IDP authentication and NW access authentication, authentication is possible that recognition to improve and personal security. すなわち、ホームゲートウェイ内の個々のユーザ(ユーザ端末)まで識別した認証が可能となる。 In other words, it is possible to authenticate identified to individual users in the home gateway (user terminal). また1ユーザが複数のNWユーザIDを持つことが可能となる。 The 1 user is able to have multiple NW user ID.
(3)サービスサーバに対しては然るべきネットワークからアクセスしていることを保証し、特定のネットワークのみに特別なサービスを提供可能となる。 (3) for the service server ensures that they are accessible from the appropriate network, it is possible to provide a special service only to a specific network.
(4)サービスプロバイダにおいて課金情報の取得を不要とすることを目的として、認証代行サーバからの認証結果情報の発行履歴を、発行先サービス(URL)と発行ユーザのIDとを対応付けて、それを課金情報として利用することも可能となる。 (4) for the purpose of eliminating the need for obtaining charging information in the service provider, the issue history of the authentication result information from the authentication proxy server, in association with the ID of the publishing user and issuance destination service (URL), it it is also possible to use as the billing information.
(5)1つの認証代行サーバの配下に複数のネットワークアクセス認証サーバが接続される場合でも、認証代行サーバにおいて、認証サーバの識別子、あるいはIPアドレスから認証サーバを引くテーブルにより、該当ネットワークアクセス認証サーバを特定することが可能である。 Even when (5) is plurality of network access authentication server under one authentication agent server is connected, the authentication proxy server, the authentication server identifier or a table from the IP address catching authentication server, the corresponding network access authentication server it is possible to identify.

以下に本発明の実施の形態を、図面を参照して説明する。 Embodiments of the present invention will now be described with reference to the accompanying drawings.

図1によりユーザ端末100、ホームゲートウェイ110、ネットワークアクセス認証サーバ120、認証代行サーバ130、サービスサーバ140、アクセスサーバ150で構成されるシステムの構成において、認証代行サーバ130によるIDP認証(認証代行サーバでの認証)とネットワークアクセス認証サーバ120によるNWアクセス認証(ネットワークアクセス認証サーバでの認証)とを併用する場合の処理手順を、以下に段階毎に分けて説明する。 The user terminal 100 by 1, the home gateway 110, a network access authentication server 120, authentication agent server 130, the service server 140, in the configuration of the system including the access server 150, the IDP authentication (authentication proxy server by the authentication agent server 130 authentication) and the procedure of Using the NW access authentication by the network access authentication server 120 (authentication of the network access authentication server), will be described separately for each step below. なお、ネットワークをNWと略記する場合がある。 It should be noted, sometimes referred to as the network and NW.

図1に示すように、ホームゲートウェイ110には複数のユーザ端末(図1ではユーザAとユーザBの端末)を接続することができるが、ホームゲートウェイ110を設けずにユーザ端末100が直接アクセスサーバ150に接続するようにしてもよい。 As shown in FIG. 1, but the home gateway 110 may be connected to (the terminal of FIG. 1 users A and B) a plurality of user terminals, the user terminal 100 to directly access the server 150 without providing the home gateway 110 it may be connected to. また、ホームゲートウェイ110は家庭用に用いるものでなくてもよく、一般に、ユーザ端末100とネットワークとを接続するためのゲートウェイであればよい。 The home gateway 110 may not intended for use in household, in general, it may be a gateway for connecting the user terminal 100 and the network. アクセスサーバ150はユーザ端末100/ホームゲートウェイ110にIPアドレスを動的に割り当てる。 Access server 150 dynamically assigns IP addresses to the user terminal 100 / home gateway 110. ネットワークアクセス認証サーバ120は、RADIUS(Remote Authentication Dial-In User Servce)サーバであり、ネットワークアクセス認証サーバにおけるユーザIDであるNWユーザID(図の例ではNW X)とそれに割り当てられた動的割当IPアドレスを含むNWアクセスセッション情報をNWアクセスセッション情報管理テーブル121に格納する。 Network access authentication server 120, RADIUS (Remote Authentication Dial-In User Servce) is a server, dynamic allocation IP which (in the example of FIG NW X) NW user ID is the user ID in the network access authentication server assigned to it and storing NW access session information including address NW access session information management table 121. また、認証代行サーバ130は認証代行サーバにおけるユーザIDであるIDPユーザID(図の例ではユーザA、ユーザB)とそれに対応するパスワード(図の例ではPWD)とネットワークアクセス認証サーバにおけるユーザIDであるNWユーザID(図の例ではNW X)とを含むユーザアカウントをIDPユーザ管理テーブル131に格納し、一つのNWユーザIDに対して複数のIDPユーザIDを管理することができる。 The authentication proxy server 130 is the user ID in the authentication agent server IDP user ID (user A in the example of FIG, user B) with the user ID and the network access authentication server (PWD in the example of FIG.) The password and its corresponding (in the example of FIG NW X) is NW user ID can manage a plurality of IDP user ID and user account stored in the IDP user management table 131, for one NW user ID included therein. したがって、ネットワークアクセス認証サーバ120は同じホームゲートウェイ110に接続されたユーザAとユーザBの端末を識別することはできないが、認証代行サーバ130はユーザAとユーザBの端末を識別できる。 Thus, the network access authentication server 120 is not able to identify the terminal of the user A and user B connected to the same home gateway 110, the authentication agent server 130 can identify the terminal of the user A and user B.

まず、図1を用いて、処理手順の概要を説明する。 First, with reference to FIG. 1, an outline of the processing procedure.
(1):[1]ユーザ端末100はホームゲートウェイ110とアクセスサーバ150を介してネットワークアクセス認証サーバ120に接続し、ネットワークアクセス認証サーバ120はユーザ端末100/ホームゲートウェイ110に対してNWユーザIDとパスワードでNWアクセス認証を行う。 (1): [1] the user terminal 100 is connected to a network access authentication server 120 via the home gateway 110 and the access server 150, the network access authentication server 120 and the NW user ID to the user terminal 100 / home gateway 110 perform NW access authentication with a password. ネットワークアクセス認証サーバ120はNWユーザID(NW X)とアクセスサーバ150が動的に割り当てたIPアドレス(動的割当IPアドレス)をNWアクセスセッション情報管理テーブル121に格納する。 Network access authentication server 120 stores the NW user ID (NW X) and the access server 150 is dynamically allocated IP address (dynamic assigned IP address) to the NW access session information management table 121.
(2):[2]ユーザ端末100はサービスサーバ140に対してシングルサインオンによるサービスを要求する。 (2): [2] the user terminal 100 requests the service by the single sign-on to the service server 140.
(3):[3]サービスサーバ(SP)140はリダイレクト先URL(認証代行サーバ130のURL)を含む認証要求をユーザ端末100送り、ユーザ端末100は認証代行サーバ(IDP)130へ認証要求を返す。 (3): [3] The service server (SP) 140 is the authentication request to the user terminal 100 sends comprising redirect URL (URL of the authentication proxy server 130), the user terminal 100 is an authentication request to the authentication proxy server (IDP) 130 return.
(4):[4]認証代行サーバ130はユーザ端末100に対してHTTPSによる認証(IDPユーザID/パスワードまたは電子証明書による認証)を行い、認証代行サーバ130はユーザ端末100/ホームゲートウェイ110の発IPアドレスも取得する(発IPアドレスは[3]で取得してもよい)。 (4): [4] the authentication agent server 130 performs authentication by HTTPS (IDP user ID / password or authentication with a digital certificate) to the user terminal 100, the authentication agent server 130 of the user terminal 100 / home gateway 110 also obtained source IP address (source IP address may be obtained in [3]).
(5):[5]認証代行サーバ130はネットワークアクセス認証サーバ120に対して、ユーザに対応するNWユーザIDをキーに割り当て中のIPアドレスを問い合わせ、IPアドレスを取得する。 (5): [5] the authentication agent server 130 to the network access authentication server 120 inquires the IP address in the allocation of the NW user ID corresponding to the user key, obtains the IP address. なお、逆に、発IPアドレスをキーにしてNWユーザIDを取得してもよい。 It should be noted that, on the contrary, may acquire the NW user ID to the source IP address as a key.
(6):[6]認証代行サーバ130はIDP認証(パスワード認証等)だけでなく、[4]で取得した発IPアドレスと[5]で取得したIPアドレスを比較し、発IPアドレス検証を行う。 (6): [6] authentication proxy server 130 is not only the IDP authentication (password authentication, etc.), it compares the IP address obtained in [4] source IP address and obtained in [5], the source IP address verification do.
(7):[7]サービスサーバ140は、認証代理サーバ130からの認証結果情報(アサーション)をユーザ端末100/ホームゲートウェイ110経由で取得し、認証結果情報の検証を行い、有効ならば、ユーザ端末100(図1の場合はユーザBの端末)に対してサービスを提供する。 (7): [7] The service server 140 acquires the authentication result information from the authentication proxy server 130 (assertion) via the user terminal 100 / home gateway 110, verifies the authentication result information and, if valid, the user (in the case of Figure 1 the terminal of the user B) terminal 100 provides services to.

これにより、正当なルートでアクセスしていることが確認可能となり、より強固になりすましを防止することが可能となる。 Thereby, it becomes possible to confirm you are accessing legitimate route, it is possible to prevent more firmly spoofing. パスワード(PWD)が漏洩しても発IPアドレス検証でなりすましを検出することが可能である。 Even if password (PWD) has leaked it is possible to detect spoofing in the source IP address verification. また、認証代行サーバ130では個人を識別した認証が可能である。 Further, it is possible to authenticate that identify individuals at the authentication agent server 130. さらに、サービスプロバイダ140は特定のネットワークからアクセスするユーザにのみサービスを提供することが可能である。 Furthermore, the service provider 140 is capable of providing a service only to a user accessing from a particular network.

以下、この処理手順を詳細に説明するが、最初にユーザ端末100/ホームゲートウェイ110からサービスサーバ140にサービス要求を行って、サービスの提供を受けようとするとき、既にサービスサーバ140あるいは認証代行サーバ130で認証状態が確認されている場合の手順を図6によりステップに分けて詳細に説明する。 Hereinafter will be described the processing procedure in detail, first performs a service request from the user terminal 100 / home gateway 110 to the service server 140, which intends to obtain the provision of a service, already the service server 140 or the authentication agent server the Figure 6 the procedure for authentication state is confirmed by the 130 will be described in detail by dividing into the step. なお、ステップ1等を図においてはS1等と略記する。 In FIG Step 1 such abbreviated as S1 and the like. また、図においてはホームゲートウェイをHGWと略記することがある。 Further, in FIG sometimes abbreviated a home gateway and HGW.
(1):ステップ1:ユーザ端末100/ホームゲートウェイ110からサービスサーバ140に対して、サービス提供URLを含んだサービス要求を送る。 (1): Step 1: the user terminal 100 / home gateway 110 the service server 140 from sending a service request including the service providing URL.
(2):ステップ2:サービスサーバ140では該ユーザの認証状態を確認する。 (2): Step 2: Check the authentication status of the user in the service server 140. 認証済みならば、ステップ9に遷移してユーザヘのサービス提供が開始される。 If authenticated, Yuzahe servicing is started the transition to step 9. 認証済みでないならば、ステップ3に遷移する。 If not authenticated, the process proceeds to Step 3.
(3):ステップ3:サービスサーバ140からユーザ端末100/ホームゲートウェイ110に対してリダイレクトURLを含んだ認証要求を送る。 (3): Step 3: Send authentication request including a redirection URL to the user terminal 100 / home gateway 110 from the service server 140.
(4):ステップ4:ユーザ端末100/ホームゲートウェイ110では認証代行サーバ130に対して発IPアドレスを含んだ認証要求を返す。 (4): Step 4: returns an authentication request including the source IP address to the user terminal 100 / home gateway 110 the authentication agent server 130 in.
(5):ステップ5:認証代行サーバ130では、認証要求を受信し、該当ユーザの認証状態を確認する。 (5): Step 5: The authentication agent server 130 receives the authentication request, confirms the authentication status of the relevant user. 該当ユーザの認証状態が認証済みであるので(ここでの説明の条件下において)、認証結果情報(アサーション)を生成して、ステップ6に進む。 Since the authentication status of the corresponding user is authenticated (in conditions described here), and generates authentication result information (assertions), the process proceeds to step 6.
(6):ステップ6:認証代行サーバ130からユーザ端末100/ホームゲートウェイ110に対して、認証応答(認証結果情報、リダイレクト先URL)を送る。 (6): Step 6: the user terminal 100 / home gateway 110 from the authentication proxy server 130 sends an authentication response (authentication result information, redirected URL).
(7):ステップ7:ユーザ端末100/ホームゲートウェイ110はサービスサーバに対して、該認証応答(認証結果情報)を返す。 (7): Step 7: the user terminal 100 / home gateway 110 to the service server, and returns the authentication response (authentication result information).
(8):ステップ8:サービスサーバ140では認証結果情報の検証を行い、有効ならばステップ9へ、有効でないならばユーザへサービス提供不可の通知を行う。 (8): Step 8: verifies the service server 140 in the authentication result information, if effective to step 9, and notifies the service unavailable to users if it is not valid.
(9):ステップ9:サービスサーバはユーザ端末100/ホームゲートウェイ110に対してサービス提供を開始する。 (9): Step 9: The service server initiates a service provided to the user terminal 100 / home gateway 110.

次に同図1によりユーザ端末100、ホームゲートウェイ110、ネットワークアクセス認証サーバ120、認証代行サーバ130、サービスサーバ140、アクセスサーバ150で構成されるシステムの構成において、同図6により説明した前記処理ステップの中で下記の状況下の場合を詳細に説明する。 Then the user terminal 100 by the drawing 1, the home gateway 110, a network access authentication server 120, authentication agent server 130, the service server 140, in the configuration of the system including the access server 150, the process steps described by figure 6 in the case of the context of the following will be described in detail in the. すなわち、サービスサーバ140及び認証代行サーバ130での認証が未認証の場合であり、ステップ5において、認証代行サーバ130で認証代行サーバの認証が未認証である状況以降の手順を以下に説明する(1):ステップ10:ユーザ端末100/ホームゲートウェイ110と認証代行サーバ130間で、ID、パスワード(PWD)等によるIDP認証が行われる。 In other words, the authentication of the service server 140 and the authentication agent server 130 is a case unauthenticated, in step 5, the authentication of the authentication proxy server the authentication proxy server 130 will be described a procedure of subsequent situations where unauthorized below ( 1): step 10: in between the user terminals 100 / home gateway 110 and authentication agent server 130, ID, is IDP authentication by password (PWD) and the like are performed.
(2):ステップ11:認証代行サーバ130において認証が成功の場合は、ネットワーク認証状態を検証するため、認証代行サーバ130からネットワークアクセス認証サーバ120ヘ、認証要求パケットの発IPアドレス(ソースIPアドレス)をキーとしてネットワークアクセス認証状態の確認を依頼する。 (2): Step 11: If the authentication in the authentication agent server 130 is successful, in order to verify the network authentication state, the authentication agent server 130 from a network access authentication server 120 f, source IP address (source IP address of the authentication request packet ) a request for confirmation of the network access authentication state as the key. なお、逆に、NWユーザIDをキーにIPアドレスを取得する方法もある。 Incidentally, conversely, there is also a method of acquiring an IP address NW user ID as a key.
(3):ステップ12:ネットワークアクセス認証サーバ120では、NWアクセスセッション情報管理テーブル121よりIPアドレス(図1の動的割当IPアドレス)に対応するNWユーザID(図1のNW X)を検索する。 (3): Step 12: The network access authentication server 120 retrieves the NW user ID corresponding to the IP address (dynamic assigned IP address in FIG. 1) from the NW access session information management table 121 (NW X in FIG. 1) . 対応するNWユーザIDが取得できた場合には、ステップ13に進む。 If the corresponding NW user ID is acquired, the process proceeds to step 13.
(4):ステップ13:ネットワークアクセス認証サーバ120は認証代行サーバ130に対してネットワーク認証状態の認証済みとNWユーザIDを含んだネットワークアクセス認証状態確認結果を送る。 (4): Step 13: Network access authentication server 120 sends an authentication proxy server 130 network access authentication state confirmation result including the authenticated and NW user ID of the network authentication state with respect.
(5):ステップ14:認証代行サーバ130においては、取得したNWユーザID(図1ではNW X)に対応するIDPユーザIDをIDPユーザ管理テーブル131より検索し、IDPユーザID(図1ではユーザA、ユーザB)を取得できた場合には、その取得したIDPユーザIDと、IDP認証時に取得したIDPユーザIDを比較する。 (5): Step 14: The authentication agent server 130, the IDP user ID corresponding to the acquired NW user ID (in FIG. 1 NW X) searches the IDP user management table 131, the user in the IDP user ID (FIG. 1 a, when to retrieve the user B) compares the IDP user ID acquired its, the IDP user ID obtained at the time of IDP authentication. この比較で、一致するものが存在する場合には、認証結果情報(アサーション)を生成する。 In this comparison, if a match is present, it generates the authentication result information (assertion).
(6):ステップ6:認証代行サーバ130からユーザ端末100/ホームゲートウェイ110に対して、認証応答(認証結果情報、リダイレクト先URL)を送る。 (6): Step 6: the user terminal 100 / home gateway 110 from the authentication proxy server 130 sends an authentication response (authentication result information, redirected URL).
(7):ステップ7:ユーザ端末100/ホームゲートウェイ110はサービスサーバ140に対して、該認証応答(認証結果情報)を返す。 (7): Step 7: the user terminal 100 / home gateway 110 to the service server 140 returns authentication response (authentication result information).
(8):ステップ8:サービスサーバ140では認証結果情報の検証を行い、有効ならばステップ9へ、有効でないならばユーザヘサービス提供不可の通知を行う。 (8): Step 8: verifies the service server 140 in the authentication result information, if effective to step 9, and notifies the user F service unavailable if not valid.
(9):ステップ9:サービスサーバ140はユーザ端末100/ホームゲートウェイ110に対してサービス提供を開始する。 (9): Step 9: service server 140 initiates the service provided to the user terminal 100 / home gateway 110.

以上により、IDP認証とNWアクセス認証とを連携させた認証処理が完了する。 Thus, IDP authentication and NW access authentication and authentication processing by linking is completed.

前記において、図6のステップ5からステップ6に遷移するまでの認証代行サーバ130の処理内容を図7で詳細に説明する。 In the above, it explained in detail in FIG. 7 the processing contents of the authentication proxy server 130 from step 5 in FIG. 6 to transition to step 6.
(1):ステップ21:認証代行サーバ130は、サービスサーバ140よりユーザ端末100を経由してきた認証要求を受信する。 (1): Step 21: the authentication agent server 130 receives the authentication request that has reached through the user terminal 100 from the service server 140.
(2):ステップ22:認証要求の中から送信元IPアドレス(発IPアドレス)を取得する。 (2): Step 22: To obtain the source IP address from the authentication request (source IP address).
(3):ステップ23:セッション情報を参照して、該当ユーザの認証状態を確認する。 (3): Step 23: Referring to the session information, to check the authentication state of the corresponding user. セッション情報とはセッションを管理する情報であり、本実施形態ではサービスサーバ140がユーザが新規アクセスするごとに払い出したCookie情報をキーとして管理する情報であり、セッションIDや認証状態を含む。 The session information is information for managing the session, in the present embodiment is information for managing the Cookie information paid out each time the service server 140 by the user to a new access as a key, including the session ID and the authentication state.
(4):ステップ24:認証状態が確認済みか否かを判断する。 (4): Step 24: determining whether authentication state verified or. 認証済みの場合には、ステップ28に進む。 If authenticated, the process proceeds to step 28. 認証済みでない場合にはステップ25に進む。 If it is not authenticated, the process proceeds to step 25. 以下ステップ25へ進む場合を先に説明する。 The described earlier The operation proceeds to the following step 25.
(5):ステップ25:ID/パスワード、公開鍵証明書、バイオメトリクス、あるいはワンタイムパスワードなどによるIDP認証を実施する。 (5): Step 25: ID / password, public key certificate, to implement the IDP authentication by such as biometrics or one-time password.
(6):ステップ26:IDP認証が成功か否かを判断する。 (6): Step 26: IDP authentication to determine whether successful. 成功の場合はステップ27へ、不成功の場合はステップ30へ進む。 If successful to step 27, in the case of unsuccessful processing proceeds to step 30.
(7):ステップ27:NWアクセス認証状態の検証を行う。 (7): Step 27: carry out the verification of the NW access authentication state. この処理は図8により詳細に説明する。 This process will be described in more detail in Figure 8.
(8):ステップ28:NWアクセス認証状態の検証が正常を受けて、認証結果情報(アサーション)を生成する。 (8): Step 28: receiving the normal validation of NW access authentication state, it generates the authentication result information (assertion).
(9):ステップ29:認証代行サーバ130はユーザ端末100へ、サービスサーバ140ヘの認証結果情報(アサーション)の送出を依頼する。 (9): Step 29: the authentication agent server 130 to the user terminal 100 requests the delivery of the service server 140 f of the authentication result information (assertion).
(10):ステップ30:本ステップはステップ26での認証が不成功の場合に実施するステップで、ユーザヘサービスサーバ提供不可を通知する。 (10): Step 30: This step is a step of authentication at step 26 is carried out in the case of the failure, and notifies the user f service server providing not.

さらに図7のステップ27でのNWアクセス認証状態の検証に関する処理内容を図8(1)、図8(2)により詳細に説明する。 Furthermore, FIG. 8 (1) The NW access process related verification of the authentication state at step 27 of FIG. 7 will be described in more detail in FIG. 8 (2). 前者の図では、IPアドレスをキーとして、認証代行サーバからネットワークアクセス認証サーバヘ認証要求する場合で、後者の図では、NWユーザIDをキーにする場合である。 In the former figure, the IP address as a key, in case of requesting network access authentication document transfer requests authentication from the authentication proxy server, in the latter figure, a case where the NW user ID as a key.

最初に図8(1)によりIPアドレスをキーとした場合の処理方法を詳細に説明する。 First will be described a processing method in detail when the IP address as a key to FIG. 8 (1).
(1):ステップ31:認証代行サーバ130はネットワークアクセス認証サーバ120ヘ、認証要求パケットの中の発IPアドレスをキーとして、ネットワークアクセス認証状態の確認を依頼する。 (1): Step 31: the authentication agent server 130 network access authentication server 120 f, as a source IP address in the authentication request packet key, requests a confirmation of the network access authentication state.
(2):ステップ32:ネットワークアクセス認証サーバ120より、ネットワークアクセス認証状態確認結果(ネットワーク認証状態と、認証済みの場合にはNWユーザIDが含まれる)を受信する。 (2): Step 32: from the network access authentication server 120 receives the network access authentication state confirmation result (the network authentication conditions include NW user ID if authenticated).
(3):ステップ33:ネットワーク認証状態が認証済みの場合には、ステップ34に進み、未認証の場合には、図7のステップ30に進む。 (3): Step 33: If the network authentication status is already authenticated, the process proceeds to step 34, in the case of non-authentication, the process proceeds to step 30 of FIG.
(4):ステップ34:取得したNWユーザIDに対応するIDPユーザIDをIDPユーザ管理テーブル131より検索する。 (4): Step 34: the IDP user ID corresponding to the acquired NW user ID searches the IDP user management table 131.
(5):ステップ35:IDPユーザIDが取得できたか否かの判断を行う。 (5): Step 35: determines whether or not IDP user ID is acquired. 取得できた場合には、ステップ36に進み、取得出来なかった場合には図7のステップ30に進む。 If can be acquired, the process proceeds to step 36, the routine proceeds to step 30 of FIG. 7 in the case can not be acquired.
(6):ステップ36:これにより認証代行サーバ130が取得しIDPユーザIDと、IDP認証時に取得したIDPユーザIDとを比較する。 (6): Step 36: Thus comparing the acquired IDP user ID authentication agent server 130, the IDP user ID obtained at the time of IDP authentication.
(7):ステップ37:IDPユーザIDの比較で一致するものがあるか否かの判断を行う。 (7): Step 37: determines whether there is a match in the comparison of the IDP user ID. 一致するものがあれば図7のステップ28に進む。 If there is a match the process proceeds to step 28 of FIG. 一致しなければ、同図のステップ30に進む。 If they do not match, the process proceeds to step 30 in FIG.

次に、NWアクセス認証状態の検証に関する処理方法でNWユーザIDをキーとする場合の処理を図8(2)により詳細に説明する。 Next, detailed description of the process when the FIG. 8 (2) to the NW user ID as a key in the processing method relating to verification of the NW access authentication state.
(1):ステップ41:認証代行サーバは、IDP認証時に取得したIDPユーザIDに対応するNWユーザIDをIDPユーザ管理テーブルより検索する。 (1): Step 41: the authentication agent server, the NW user ID corresponding to the IDP user ID obtained at the time of IDP authentication searches the IDP user management table.
(2):ステップ42:NWユーザIDが取得できたか否かを判断する。 (2): Step 42: NW user ID to determine whether or not acquired. 取得できた場合には、ステップ43に進み、取得できなかった場合には図7のステップ30に進む。 If can be acquired, the process proceeds to step 43, the routine proceeds to step 30 of FIG. 7 in the case can not be acquired.
(3):ステップ43:認証代行サーバ130は、ネットワークアクセス認証サーバ120ヘ、NWユーザIDをキーとしてNWアクセス認証状態の確認を依頼する。 (3): Step 43: the authentication agent server 130 requests the confirmation of the NW access authentication state network access authentication server 120 f, the NW user ID as a key.
(4):ステップ44:認証代行サーバ130はネットワークアクセス認証サーバ120より、NWアクセス認証状態確認結果(NW認証状態と、認証済みの場合にはIPアドレスが含まれる)を受信する。 (4): Step 44: the authentication agent server 130 from the network access authentication server 120 receives NW access authentication state confirmation result (the NW authentication state, IP address, is included in the case authenticated).
(5):ステップ45:NW認証状態が済みか否かを判断する。 (5): Step 45: determining whether finished the NW authentication state. 済みの場合にはステップ46に進み、未承認の場合には図7のステップ30に進む。 It proceeds to step 46 in the case already, in the case of unauthorized proceeds to step 30 of FIG.
(6):ステップ46:ネットワークアクセス認証サーバ120より取得したIPアドレスと、認証要求パケットの発IPアドレスとを比較する。 (6): Step 46: Compare the IP address obtained from the network access authentication server 120, and a source IP address of the authentication request packet.
(7):ステップ47:IPアドレスの比較で一致するものがあるか否かの判断を行う。 (7): Step 47: determines whether there is a match in the comparison of the IP address. 一致するものがあれば図7のステップ28に遷移し、一致しなければ、同図のステップ30に遷移する。 If there is a match then it proceeds to step 28 in FIG. 7, if they do not match, the process proceeds to a step 30 in FIG.

さらに、前記の図8(1)のIDP処理での、IPアドレスをキーとしたNWアクセス認証状態の検証において、同図のステップ32におけるネットワークアクセス認証サーバ120の処理を図9(1)により詳細に説明する。 Furthermore, in the IDP processing of the FIG. 8 (1), in the verification of the NW access authentication state the IP address as a key, the process of the network access authentication server 120 in step 32 of FIG. To FIG. 9 (1) Details It will be explained. すなわち、 That is,
(1):ステップ51:ネットワークアクセス認証サーバ120は、IPアドレスをキーとしたネットワークアクセス認証状態の確認依頼を受信する。 (1): Step 51: Network access authentication server 120 receives the confirmation request of a network access authentication state of the key IP address.
(2):ステップ52:IPアドレスに対応するNWユーザIDをNWアクセスセッション情報管理テーブル121から検索する(3):ステップ53:対応するNWユーザIDが取得できたか否かを判断する。 (2): Step 52: the NW user ID corresponding to the IP address retrieved from NW access session information management table 121 (3): Step 53: the corresponding NW user ID to determine whether or not acquired. 取得できた場合にはステップ55へ、取得できなかった場合にはステップ54に進む。 To step 55 if it can be acquired, the process proceeds to step 54 if it can not obtain.
(4):ステップ55:ネットワークアクセス認証サーバ120から認証代行サーバ130ヘ、ネットワークアクセス認証状態確認結果(認証状態が認証済み、NWユーザID)を送る。 (4): Step 55: Send the network access authentication agent server 130 F from the authentication server 120, the network access authentication state confirmation result (authentication state authenticated, NW user ID) to.
(5):ステップ54:ネットワークアクセス認証サーバ120から認証代行サーバ130ヘ、ネットワークアクセス認証状態確認結果(認証状態が未認証)を送る。 (5): Step 54: Authentication from a network access authentication server 120 acting server 130 f, the network access authentication state confirmation result (authentication state unauthenticated) Send.

次に、前記の図8(2)のIDP処理での、NWユーザIDをキーとしたNWアクセス認証状態の検証において、同図のステップ44におけるネットワークアクセス認証サーバ120の処理を図9(2)により詳細に説明する。 Then, at the IDP process of the of FIG. 8 (2), in the verification of the NW access authentication state where the key NW user ID, the drawing process of the network access authentication server 120 in step 44 in FIG. 9 (2) by it will be described in detail. すなわち、 That is,
(1):ステップ61:ネットワークアクセス認証サーバ120は、NWユーザIDをキーとしたネットワークアクセス認証状態の確認依頼を受信する。 (1): Step 61: Network access authentication server 120 receives the confirmation request of a network access authentication state where the key NW user ID.
(2):ステップ62:NWユーザIDに対応するIPアドレスをNWアクセスセッション情報管理テーブル121から検索する。 (2): Step 62: Search for IP address corresponding to the NW user ID from the NW access session information management table 121.
(3):ステップ63:対応するIPアドレスが取得できたか否かを判断する。 (3): Step 63: the corresponding IP address to determine whether or not acquired. 取得できた場合にはステップ65へ、取得できなかった場合にはステップ64に進む。 To step 65 if it can be acquired, the process proceeds to step 64 if it can not obtain.
(4):ステップ65:ネットワークアクセス認証サーバ120から認証代行サーバ130へ、ネットワークアクセス認証状態確認結果(認証状態が認証済み、IPアドレス)を送る。 (4): Step 65: Send the network access authentication server 120 to the authentication proxy server 130, the network access authentication state confirmation result (authentication state authenticated, IP address,) a.
(5):ステップ64:ネットワークアクセス認証サーバ120から認証代行サーバ130ヘ、ネットワークアクセス認証状態確認結果(認証状態が未認証)を送る。 (5): Step 64: Authentication from a network access authentication server 120 acting server 130 f, the network access authentication state confirmation result (authentication state unauthenticated) Send.

ユーザ端末100、ホームゲートウェイ110からの、ネットワーク接続並びに認証要求に対するNWアクセス認証の処理は図5により詳細に説明する。 User terminal 100, from the home gateway 110, process the NW access authentication for the network connection and the authentication request will be described in more detail in FIG.
(1):ステップ70:ユーザ端末100/ホームゲートウェイ110はアクセスサーバ150に対して、認証情報としてID、パスワード等によりネットワークヘの接続・認証要求を行う。 (1): Step 70: the user terminal 100 / home gateway 110 to the access server 150 performs connection and authentication request network F ID, the password or the like as the authentication information.
(2):ステップ71:アクセスサーバ150はネットワークアクセス認証サーバ120に対して認証要求を行う。 (2): Step 71: The access server 150 performs an authentication request to the network access authentication server 120.
(3):ステップ72:ネットワークアクセス認証サーバ120では、ユーザ認証を行う。 (3): Step 72: The network access authentication server 120 performs user authentication. 認証成功の場合はステップ73に遷移し、不成功の場合には図12によりアクセスサーバ150ヘ認証不可を返信して、ネットワークアクセス認証サーバ120の処理を終了する。 Transitions to step 73 in the case of successful authentication, in the case of unsuccessful reply to the access server 150 f authentication is not permitted Figure 12, and ends the process of the network access authentication server 120.
(4):ステップ73:ネットワークアクセス認証サーバ120はアクセスサーバ150ヘ認証応答(認証結果)を送る。 (4): Step 73: Network access authentication server 120 sends the access server 150 f authentication response (authentication result).
(5):ステップ74:アクセスサーバ150はユーザ端末100/ホームゲートウェイ110に接続・認証応答(認証結果、IPアドレス)を送る。 (5): Step 74: The access server 150 connected to the user terminal 100 / home gateway 110 and authentication response (authentication result, IP address,) Send.
(6):ステップ75:アクセスサーバ150はネットワークアクセス認証サーバ120に対して払い出したIPアドレスを通知する。 (6): Step 75: The access server 150 notifies the IP address payout to the network access authentication server 120.
(7):ステップ76:ネットワークアクセス認証サーバ120は、前記IPアドレスを受信し、NWアクセスセッション情報管理テーブル121の該当NWユーザID(図1ではNW X)に対してIPアドレス(図1では動的割り当てIPアドレス)を登録する。 (7): Step 76: Network access authentication server 120, receiving said IP address, the corresponding NW user ID IP address (in Fig. 1 moving relative to (NW X in FIG. 1) of the NW access session information management table 121 to register the assignment IP address).

図2により1つの認証代行サーバの配下に複数のネットワークアクセス認証サーバが接続されているシステムの構成における認証の手順を説明する。 A plurality of network access authentication server under one authentication agent server by FIG. 2 illustrating the authentication procedure in the configuration of the system to which it is connected. 図6で示したIDP認証とNWアクセス認証とを連携する処理手順と異なる部分のみを以下で詳細に説明する。 Only IDP authentication and NW access processing procedure different parts which cooperate with the authentication shown in FIG. 6 will be described in detail below.
(1):基本となる事前処理:IDPユーザIDをエントリーする毎に、ネットワークアクセス認証サーバ120X、120Yの識別子を付与する。 (1): the underlying pre-processing: every time the entry of the IDP user ID, to grant network access authentication server 120X, the identifier of the 120Y.
(2):サービスサーバ(図示していない)からユーザ端末100X、100Yを経由して認証代行サーバ130に送られた認証要求を契機に、ユーザ端末100X、100Yと認証代行サーバ130間で、ID、パスワードあるいは電子証明書等によるIDP認証が行われ、成功した場合にはIDPユーザIDを取得する。 (2): the service server (not shown) from the user terminal 100X, in response to the authentication request sent to the authentication proxy server 130 via the 100Y, user terminal 100X, between 100Y and the authentication proxy server 130, ID , IDP authentication by password or digital certificate, etc. is carried out, to get the IDP user ID on success.
(3):認証代行サーバ130は、前記の識別子により該当するネットワークアクセス認証サーバ120X、120Yに、認証要求パケットのソースIPアドレスをキーとしてネットワークアクセス認証状態の検証を依頼する。 (3): the authentication agent server 130, the network access authentication server 120X which corresponds with the identifier, in 120Y, a request for verification of the network access authentication state the source IP address of the authentication request packet as a key.
(4):以降の手順は、図8(1)もしくは図8(2)のステップ31からステップ37と同じとし、さらに図7により認証代行サーバ130が認証結果情報(アサーション)を生成し(ステップ28)、ユーザ端末100X、100Yヘサービスサーバヘの認証結果情報(アサーション)の送出を依頼して(ステップ29)、認証連携の処理を可能にする。 (4): The following procedures, 8 (1) or the authentication agent server 130 by the same city, additionally FIG. 7 from step 31 to step 37 in FIG. 8 (2) generates an authentication result information (assertion) (step 28), the user terminal 100X, and request delivery of 100Y f service server f of the authentication result information (assertion) (step 29), to allow processing of the authentication collaboration.

前記処理において、IDP認証が成功した後に、図7により認証結果情報(アサーション)を生成して(ステップ28)、認証代行サーバはユーザ端末ヘサービスサーバへの認証結果情報(アサーション)の送出を依頼して(ステップ29)、認証処理を行う手順も可能になる。 In the process, after the IDP authentication is successful, it generates the authentication result information (assertions) to FIG. 7 (step 28), the authentication proxy server requests the sending of authentication result information to the user terminal F service server (assertion) to (step 29), it becomes possible procedure for authentication processing.

図2に、1つの認証代行サーバ130の下に複数のネットワークアクセス認証サーバが存在する場合のシステムを示す。 Figure 2 shows the system when a plurality of network access authentication server under one authentication proxy server 130 is present. ユーザAのユーザ端末100X/ホームゲートウェイ110XはISP X経由でインターネット、VPN等に接続する。 User terminal 100X / home gateway 110X user A is connected via ISP X Internet, the VPN like. ISP Xのネットワークアクセス認証サーバ120Xは、RADIUSサーバであり、NWアクセスセッション情報をNWアクセスセッション情報管理テーブル121Xに格納し、NWユーザID(図2ではNW X)とパスワード(図2ではPWD)を含むNWアクセスアカウントをNWアクセスアカウント管理テーブル122Xに格納する。 Network access authentication server 120X of ISP X is the RADIUS server, and stores the NW access session information NW access session information management table 121X, NW user ID (in FIG. 2 NW X) and password (in FIG. 2 PWD) the NW access accounts, including stores in NW access account management table 122X. ネットワークアクセス認証サーバ120XはユーザAのユーザ端末100Xに対してパスワードベースでネットワークアクセス認証を行い、IPアドレスを動的に割り当てる。 Network access authentication server 120X performs network access authentication with a password-based for the user terminal 100X of the user A, dynamically assigns IP addresses. また、ユーザBのユーザ端末100Y/ホームゲートウェイ110YはISP Y経由でインターネット、VPN等に接続する。 The user terminal 100Y / home gateway 110Y user B are connected via the ISP Y Internet, the VPN like. ISP Yのネットワークアクセス認証サーバ120Yは、RADIUSサーバであり、NWアクセスセッション情報をNWアクセスセッション情報管理テーブル121Yに格納し、NWユーザID(図2ではNW Y)とパスワード(図2ではPWD)を含むNWアクセスアカウントをNWアクセスアカウント管理テーブル122Yに格納する。 Network access authentication server 120Y of ISP Y is the RADIUS server, and stores the NW access session information NW access session information management table 121Y, NW user ID (in FIG. 2 NW Y) and password (in FIG. 2 PWD) the NW access accounts, including stores in NW access account management table 122Y. ネットワークアクセス認証サーバ120YはユーザBのユーザ端末100Yに対してパスワードベースでネットワークアクセス認証を行い、IPアドレスを動的に割り当てる。 Network access authentication server 120Y performs network access authentication with a password-based for the user terminal 100Y user B, dynamically assigns IP addresses. 認証代行サーバ130はポータルユーザアカウントをIDPユーザ管理テーブル132に格納する。 Authentication proxy server 130 stores the portal user account to the IDP user management table 132. ポータルユーザアカウントには、各ユーザがどのネットワークアクセス認証サーバ(RADIUSサーバ)に属するかを識別する情報(図2ではRADIUS−X、RADIUS−Y)を含む。 The portal user accounts, including which network access authentication server the user information identifying belongs to (RADIUS server) (in FIG. 2 RADIUS-X, RADIUS-Y). なお、その他の点については図1と同様であり、図2においてもサービスプロバイダ(図示していない)が存在する。 Incidentally, the other points are similar to FIG. 1, the service provider (not shown) also in FIG 2 there is.

図2の実施形態の場合は、一つの認証代行サーバの配下に複数のネットワークアクセス認証サーバが存在する場合に、認証代行サーバにおいて対応するネットワークアクセス認証サーバ(RADIUSサーバ)を識別することができる。 For the embodiment of FIG. 2, when one authentication agent server plurality of network access authentication server under the is present, it is possible to identify the network access authentication server corresponding the authentication proxy server (RADIUS server). したがって、異なるネットワークアクセス認証サーバ上に同名のNWユーザIDの存在が可能とである。 Accordingly, it is a possible presence of the same name NW user ID on the same network access authentication server.

図2により、1つの認証代行サーバ130の配下に複数のネットワークアクセス認証サーバ120X、120Yが接続されているシステムの構成における認証の手順で、サービスサーバからユーザ端末100X、100Yを経由して認証代行サーバ130に送られた認証要求を契機に、以下の手順によっても認証処理、並びにサービス提供が可能である。 The Figure 2, one of the authentication proxy server 130 under a plurality of network access authentication server 120X of, 120Y authentication procedure in the configuration of the system is connected, the authentication agent via user terminals 100X, the 100Y from the service server in response to the authentication request sent to the server 130, authentication process by the following steps, and it is possible to provide services. 以下に手順を詳細に説明する。 It will be described in detail the procedure below. すなわち、 That is,
(1):基本となる事前処理:認証代行サーバ130では、ユーザ端末100X、100Yの発IPアドレスからネットワークアクセス認証サーバ120X、120Yを引くテーブルを用意する。 (1): the underlying pre-processing: The authentication agent server 130, the user terminal 100X, the network access authentication server 120X from the source IP address of 100Y, preparing a table catching 120Y. 図2では、IDPユーザ管理テーブル132のRADIUS−X、RADIUS−YがユーザA、ユーザBがどのネットワークアクセス認証サーバに属するのかを識別する情報である。 In Figure 2, RADIUS-X of IDP user management table 132, RADIUS-Y is information that identifies whether the user A, belongs to which network access authentication server the user B.
(2):ユーザ端末からの発IPアドレスにより前記テーブルを用いて、該当ネットワークアクセス認証サーバを特定し、認証代行サーバ130から該当ネットワークアクセス認証サーバへ認証要求を行う。 (2): using the table by source IP address from the user terminal to identify the appropriate network access authentication server performs an authentication request from the authentication agent server 130 to the appropriate network access authentication server.
(3):これを受けたステップは、図9(1)で説明したネットワークアクセス認証サーバ120でのステップ51からステップ54ないしは55までと同じ処理となる。 (3): step of receiving it, the same process as steps 51 at the network access authentication server 120 described in FIG. 9 (1) to step 54 or 55.
(4):認証代行サーバ130ではNWユーザIDを取得したことにより、認証結果情報(アサーション)を生成する。 (4): by acquiring the NW user ID in the authentication agent server 130 generates an authentication result information (assertion).
(5):これを受けたステップは、図7のステップ29によりIDP認証処理が完結する。 (5): step of receiving it, IDP authentication process is completed by step 29 in FIG.

また、前記処理において、認証代行サーバ130において、ユーザ端末100X、100Yの発IPアドレスからネットワークアクセス認証サーバを引くテーブルを用意して、ユーザ端末からの発IPアドレスにより該当するネットワークアクセス認証サーバヘ認証要求を行う前記の処理手順において、(4)の処理の代わりに、以下のステップを実施してIDP認証と連携させることも可能である。 Further, in the process, the authentication proxy server 130, the user terminal 100X, and preparing a table catching network access authentication server from the source IP address of 100Y, network access authentication document transfer requests authentication request corresponding by source IP address from the user terminal in the above processing procedure for, (4) instead of the processing of, it is possible to following work with to IDP authentication performing the steps. すなわち、 That is,
(1):認証代行サーバ130ではNWユーザIDを取得する。 (1): Get the NW user ID in the authentication agent server 130.
(2):認証代行サーバ130は、ユーザ端末100X、100YからのID、パスワードによりIDP認証を行い、それにより得られたNWユーザIDと、それぞれのユーザに対応するネットワークアクセス認証サーバ120X、120Yからの認証応答のNWユーザIDとを比較して、それが一致した時に、認証結果情報(アサーション)を生成して、図7のステップ29により、NWユーザ認証とIDP認証の連携が可能となる。 (2): the authentication agent server 130, the user terminal 100X, ID from 100Y, performs IDP authentication by password, and NW user ID obtained thereby, the network access authentication server 120X corresponding to each user, from 120Y It compares the NW user ID of the authentication response, when it matches, and generates authentication result information (assertions), the step 29 in FIG. 7, it is possible to cooperate in the NW user authentication and IDP authentication. 本実施形態ではNWユーザ認証とIDP認証を連携して行っているが、NWユーザ認証だけで十分なセキュリティを確保できる場合は、NWユーザ認証単独の認証のみを行うようにしてもよい。 In the present exemplary embodiment, performed in conjunction with NW user authentication and IDP authentication, if it can ensure a just enough security NW user authentication may be performed NW user authentication alone only authentication.

図3に、サービスオーダー時に投入されるIPアドレスを補助的に利用した認証を行う場合のシステムを示す。 Figure 3 illustrates a system for performing authentication using the IP address to be inputted at the time of service order supplementarily. 図3はユーザアカウント情報としてサービスオーダー時に投入されるIPアドレスを補助的に利用したパスワードベースのユーザ認証の例である。 Figure 3 is an example of a supplementary use password-based user authentication and IP address to be inputted at the time of service order as user account information. ホームゲートウェイ110には複数のユーザ端末(図3ではユーザA、ユーザBの端末)が接続されることがある。 The home gateway 110 may be a plurality of user terminals (in FIG. 3 the user A, the terminal of user B) is connected. ユーザ端末100/ホームゲートウェイ110はエッジルータ160を介して認証代行サーバ130に接続する。 User terminal 100 / home gateway 110 is connected to the authentication proxy server 130 via the edge router 160. 図3の実施形態においてはIPアドレスは回線毎に固定的に割り当てられている。 IP address is fixedly assigned to each line in the embodiment of FIG. エッジルータ160に備えられたIPアドレス割当テーブルには、NWユーザID(図3ではNW X)のVLANIDと固定割当IPアドレスが格納される。 The IP address allocation table provided in the edge router 160, VLANID a fixed allocated IP address of the NW user ID (in FIG. 3 NW X) are stored. 認証代行サーバ130に備えられたIDPユーザ管理テーブル133には、割当済IPアドレスが格納される。 The IDP user management table 133 provided in the authentication agent server 130, allocated IP address is stored. 認証代行サーバ130は、ユーザ端末100に対してHTTP上でパスワード認証を行い、また、IDPユーザ管理テーブル133に格納された割当済IPアドレスを用いて発IPアドレスの検証も行う。 Authentication proxy server 130 performs a password authentication over HTTP to the user terminal 100, also performs validation of the origination IP address using the allocated IP address stored in the IDP user management table 133. なお、その他の点については図1と同様であり、図3の実施形態においてもサービスプロバイダ(図示していない)が存在する。 Incidentally, the other points are similar to FIG. 1, the service provider (not shown) also in the embodiment of FIG. 3 is present.

図3により、ユーザ端末100がホームゲートウェイ110、エッジルータ160を介して認証代行サーバ130に接続されるシステムの構成における、シングルサインオンの処理を説明する。 The Figure 3, the user terminal 100 is the home gateway 110, in the configuration of the system connected to the authentication proxy server 130 via the edge router 160, the processing of single sign-on.
(1):サービスオーダー時に投入されるIPアドレスをユーザアカウント情報として登録する。 (1): to register the IP address, which is turned on when the service order as user account information.
(2):エッジルータ160においてIPアドレスは回線毎に固定的に割り当てられる。 (2): IP address in the edge router 160 is fixedly assigned to each line.
(3):ユーザ端末100と認証代行サーバ130間での、ID、パスワード等によるIDP認証においては、発IPアドレスの検証にはユーザアカウント情報のIPアドレスを補助的に利用する。 (3): in between the user terminal 100 and the authentication agent server 130, ID, in the IDP authentication by password, and the like, to use the IP address of the user account information supplementary to the verification of the source IP address. 認証代行サーバ130がIDPユーザIDのエントリー毎にIPアドレスを記憶しているので、ID/パスワード認証と発IPアドレス検証の二重チェックが可能となる。 Since the authentication agent server 130 stores the IP address for each entry of the IDP user ID, it is possible to double check of the ID / password authentication and source IP address verification.

認証結果情報(アサーション)発行履歴を課金に利用する実施例を図4により説明する。 The embodiment utilizing the authentication result information (assertion) issuance history to the billing will be described with reference to FIG.
(1):[1]:ユーザ端末100とネットワークアクセス認証サーバ120間で、ネットワークアクセス認証が行われ、認証が成功すると、ネットワークアクセス認証サーバ120のNWアクセスセッション情報管理テーブル123の該当NWユーザID(図4ではNW A)に対してIPアドレス(図4では動的割当IPアドレス)を登録する。 (1): [1]: between the user terminal 100 and the network access authentication server 120, network access authentication is performed, the authentication is successful, the relevant NW user ID of NW access session information management table 123 of the network access authentication server 120 registering the IP address (in Fig. 4 dynamically assigned IP address) to the (NW a in FIG. 4).
(2):[2]ユーザ端末100からサービスサーバ140ヘサービス要求が送られる。 (2): [2] The service server 140 f service request from the user terminal 100 is sent.
(3):[3]サービスサーバ140では、当該ユーザの認証状態を確認できた場合は[8]に遷移する(サービス提供開始)。 (3): [3] The service server 140, if it can confirm the authentication state of the user shifts to [8] (serving started). 認証確認ができない場合は、サービスサーバ140からユーザ端末100を経由して認証代行サーバ130に認証要求を行う。 If the authentication check can not perform authentication request to the authentication proxy server 130 via the user terminal 100 from the service server 140.
(4):[4]認証代行サーバ130はネットワークアクセス認証サーバ120に対して、認証要求のIPアドレスをキーにNWアクセスユーザIDを問合せる。 (4): [4] the authentication agent server 130 to the network access authentication server 120 inquires the NW access user ID and IP address of the authentication request to the key.
(5):[5]認証代行サーバ130は取得したNWアクセスユーザIDに対応するIDPユーザIDが存在すれば、認証が済みとする。 (5): [5] the authentication agent server 130 if there is IDP user ID corresponding to the NW access user ID acquired, the authentication is completed.
(6):[6]認証代行サーバ130では認証結果情報(アサーション)発行履歴を「発行先サービス(URL)」と「発行ユーザ(IDPユーザID)」とを対応付けて管理(サービスサーバ別かつユーザ別)する。 (6): [6] authentication proxy server 130 in the authentication result information (assertion) issuance history "Publishing destination service (URL)" and "publishing user (IDP user ID)" and managed in association with the (service server by and user-by-user) to. これをサービス提供時の課金に利用すると、サービスプロバイダでは課金情報の取得が不要になる。 When you take advantage of this to the billing of providing the services, the acquisition of the billing information is no longer required in the service provider.
(7):[7]認証代行サーバ130での認証結果情報(アサーション)をユーザ端末100を経由してサービスサーバ140ヘ送る。 (7): [7] Send service server 140 f via the user terminal 100 to the authentication result information in the authentication agent server 130 (assertion).
(8):[8]サービスサーバ140は認証結果情報を受信することにより、ユーザ端末100に対してサービス提供を行う。 (8): [8] The service server 140 by receiving the authentication result information, a service provided to the user terminal 100.

図4の実施形態により、各サービスプロバイダ(SP)は通信回線業者のアクセス網を経由して正規のアクセス認証を経たユーザのアクセスであることを確認した上でサービスを認可することが可能である。 The embodiment of Figure 4, each service provider (SP) is able to authorize the service after confirming that via the access network of the communication line skilled in the user access through the authorized access authentication . したがって、サービスプロバイダにて課金情報の取得が不要となる。 Therefore, the acquisition of billing information in the service provider is not required.

以上の処理は図10の処理フローでも説明でき、前記処理手順において、IDP認証が不成功のとき、NWアクセス認証状態を検証して認証済みでないときは、同図によりユーザヘサービス提供不可を通知する処理となる。 The above processes may be described in the processing flow of FIG. 10, in the processing procedure, when IDP authentication is unsuccessful, when not authenticated to verify the NW access authentication state, notifies the user f service unavailable by drawing the process of. 図10において、ステップ77〜ステップ85はこれまで説明してきたものと同様である。 10, step 77 to step 85 are similar to those described so far. ステップ86において、ユーザ端末へサービスサーバへの認証結果情報(アサーション)の送出を依頼する。 In step 86, a request for transmission of the authentication result information to the service server (assertion) to the user terminal. ステップ87において、アサーション発行履歴テーブルへ履歴を記録する。 In step 87, recording the history to assertion issuance history table.

さらに同図10により認証結果情報(アサーション)発行履歴テーブルヘ履歴を記録する処理に関わるテーブル内容は図11により説明する。 Furthermore table contents related to processing for recording an authentication result information (assertion) issue history Teburuhe history by FIG. 10 will be described with reference to FIG.
(1):認証結果情報(アサーション)発行毎に認証結果情報(アサーション)発行履歴管理テーブルにログを記録する。 (1): to log the authentication result information (assertion) issued every authentication result information (assertion) issuance history management table. アサーション発行履歴テーブルには、IDPユーザID、サービスサーバ識別子、サービス識別子、日時が記録される。 The assertion issuance history table, IDP user ID, service server identifier, service identifier, the date and time are recorded. また、サービス料金管理テーブルには、サービスサーバ識別子、サービス識別子、サービス料金が格納されている。 In addition, the service charge management table, the service server identifier, the service identifier, the service charge is stored.
(2):各ユーザ毎に課金情報を集計する際には、サービス料金管理テーブルから各サービスの料金を取得し、認証結果情報(アサーション)発行履歴管理テーブルを元にユーザ毎のサービス利用料を算出する。 (2): When you aggregate the billing information for each user, to get the price for each service from the service fee management table, the result of the authentication information (assertion) service fee for each user based on the issuance history management table calculate.

なお、アクセス終了に伴う切断処理は従来の動作と変わらないので図示しない。 Incidentally, not shown because the cutting process due to the access end does not change the conventional operation.

また、各実施形態では、NWアクセス認証の具体的方法として、ID・パスワード認証方法を用いたが、その他の後置の方法、例えば、電子証明書を用いた方法、発番号認証(ダイアルアップ接続時におけるユーザ端末の電話番号や、常時接続時におけるアクセスサーバのユーザ端末向け物理ポートなどに基づく認証)などの方法を用いてもよい。 In the embodiments, as a specific method for NW access authentication, was used ID · password authentication method, other location methods after, for example, a method using an electronic certificate, originating number authentication (when dialup connection and telephone number of the user terminal in, may be used methods such as authentication) based on such user terminal for physical ports of the access server in the always-time.

以上のフローチャートに基づいて、コンピュータプログラムを作成することができ、また、そのプログラムを記録媒体に記録することも、ネットワークを通じて提供することも可能である。 Based on the flowchart described above, it is possible to create a computer program, and it also can be provided through a network to record the program on a recording medium.

以上、本発明者によってなされた発明を、前記実施形態に基づき具体的に説明したが、本発明は、前記実施形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。 Although the invention made by the present inventors has been concretely described based on the embodiments, the present invention, the present invention is not limited to the embodiments, and various modifications are possible within a scope not departing from the gist thereof it is a matter of course.

IDP認証とNWアクセス認証の併用による認証処理を示すネットワークの構成 Configuration of the network showing the combination by the authentication processing of the IDP authentication and NW access authentication 1つの認証代行サーバの下に複数のネットワークアクセス認証サーバが存在する場合のシステムの構成 Configuration of the system when a plurality of network access authentication server exists under one authentication agent server サービスオーダー時に投入されるIPアドレスを補助的に利用した認証を説明するネットワークの構成 Configuration of the network describing the authentication of the IP address to be inputted at the time of service order using supplementally 認証結果情報(アサーション)発行履歴を課金に応用する例を説明するシステムの構成 Configuration of a system for explaining an example of applying the authentication result information (assertion) issuance history to the billing NWアクセス認証の認証処理シーケンス Authentication process sequence of NW access authentication 認証処理においてサービス要求からサービス提供までの認証処理シーケンス Authentication processing sequence from service request to service providing in the authentication process サービス要求時の認証代行サーバの処理フロー Processing flow of the authentication agent server at the time of service request サービス要求時の認証処理サーバの処理においてネットワークアクセス認証状態の検証の処理フロー Process flow of the verification of the network access authentication state in the processing of the authentication processing server when the service request サービス要求時のネットワークアクセス認証サーバの認証処理フロー Authentication process flow of network access authentication server at the time of service request 認証結果情報(アサーション)発行・履歴管理処理のフロー Authentication result information (assertion) flow of the issue and history management process 認証結果情報(アサーション)履歴管理とサービス課金への適用のための管理テーブル Management table for the authentication result information (assertion) applied to the history management and service billing NWアクセス認証時のネットワークアクセス認証サーバの処理フロー Processing flow of network access authentication server at the time of NW access authentication 従来技術によるリモートアクセスユーザ端末からのシングルサインオンを実現するシステムの構成(リモートアクセス拠点が端末の場合) Construction of a system for realizing single sign-on from the remote access user terminal according to the prior art (if remote access bases of the terminal) 従来技術によるリモートアクセスユーザ端末からのシングルサインオンを実現するシステムの構成(リモートアクセス拠点がLANの場合) Construction of a system for realizing single sign-on from the remote access user terminal according to the prior art (if remote access site is LAN)

符号の説明 DESCRIPTION OF SYMBOLS

100…ユーザ端末、110…ホームゲートウェイ、120…ネットワークアクセス認証サーバ、130…認証代行サーバ、140…サービスサーバ、150…アクセスサーバ、160…エッジルータ 100 ... user terminal, 110 ... home gateway 120 ... network access authentication server, 130 ... authentication agent server, 140 ... service server, 150 ... access server, 160 ... edge router

Claims (15)

  1. ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証方法であって、 Through a network access authentication server for authenticating network access of the user terminal, and a service server that provides a service to the user terminal, the network authentication proxy server to proxy authentication of the user terminal for servicing of the service server an authentication method in an authentication system formed by connecting Te,
    前記認証代行サーバが、前記サービスサーバから前記ユーザ端末を経由して認証要求を受けるステップと、 The authentication proxy server, the steps of receiving an authentication request via the user terminal from the service server,
    前記認証代行サーバが、前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記ネットワークアクセス認証サーバに対して、前記ユーザ端末のIPアドレスまたは前記ユーザ端末のユーザの前記ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDをキーとしてネットワークアクセス認証状態の確認を依頼するステップと、 The authentication proxy server, after authentication process is completed between the user terminal and the authentication agent server, to the network access authentication server, in the network access authentication server of the user's IP address or the user terminal of the user terminal a step of requesting confirmation of network access authentication state network user ID is a user ID as a key,
    前記ネットワークアクセス認証サーバが、前記認証代行サーバからの依頼を受けて、ネットワークアクセス認証サーバにおける認証状態を示す認証状態情報と、前記認証代行サーバからの依頼におけるキーである IPアドレスに対応するネットワークユーザIDまたは前記認証代行サーバからの依頼におけるキーであるネットワークユーザIDに対応するI Pアドレスを、前記認証代行サーバに対して送るステップと、 Wherein the network access authentication server, receiving a request from the authentication agent server, and the authentication state information indicating the authentication status in the network access authentication server, the network user corresponding to the IP address is a key in the request from the authentication agent server the I P address that corresponds to the network user ID is a key in the request from the ID or the authentication agent server, and sending to the authentication proxy server,
    前記認証代行サーバが、前記ネットワークアクセス認証サーバから受けた認証状態情報と前記ネットワークアクセス認証サーバにIPアドレスをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたネットワークユーザIDまたは前記ネットワークアクセス認証サーバにネットワークユーザIDをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたネットワーク IPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送るステップと、 The authentication proxy server, the network access authentication the received authentication state information from the server network access authentication server to the network user ID or the network access authentication to request a confirmation as a key received from the network access authentication server IP address them confirm the network user ID as a key to the server verifies the network IP address received from the network access authentication server, if valid, the authentication response including the authentication result information, via said user terminal and sending to the service server,
    を有し、前記サービスサーバでの該認証応答の検証終了後にサービスが開始されることを特徴とする認証方法。 The a, authentication method characterized by the service is started after verifying the completion of authentication response in said service server.
  2. ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証方法であって、 Through a network access authentication server for authenticating network access of the user terminal, and a service server that provides a service to the user terminal, the network authentication proxy server to proxy authentication of the user terminal for servicing of the service server an authentication method in an authentication system formed by connecting Te,
    ユーザによる前記ユーザ端末からのサービス要求に対して前記サービスサーバが前記ユーザの認証を確認できた場合には前記ユーザに対してサービスを提供するステップと、 Providing a service to the user when the service server to the service request from the user terminal by the user is able to verify the authenticity of the user,
    前記ユーザの認証が確認できない場合には前記サービスサーバから前記ユーザ端末にリダイレクト先アドレスを含んだ認証要求を送るステップと、 And sending an authentication request including the redirect destination address to the user terminal from the service server when the authentication of the user can not confirm,
    前記ユーザ端末から前記認証代行サーバに発IPアドレスを含んだ認証要求を送るステップと、 And sending an authentication request including the source IP address to the authentication proxy server from the user terminal,
    前記認証代行サーバが前記ユーザを確認したときには認証結果情報を生成して前記ユーザ端末へ該認証結果情報とリダイヤル先アドレスを含んだ認証応答を送るステップと、 And sending the generated by authentication result information and including the redial address authentication reply to the user terminal authentication result information when the authentication agent server confirms the user,
    前記ユーザ端末から前記サービスサーバへ該認証結果情報を含んだ認証応答を送るステップと、 And sending the authentication result containing information authentication response from the user terminal to the service server,
    前記サービスサーバで該認証結果情報を検証するステップと、 And the step of verifying the authentication result information in the service server,
    該認証結果情報が無効の場合には前記ユーザヘサービス提供不可を通知するステップと、 And notifying the user f service unavailable if authentication result information is invalid,
    該認証結果情報が有効の場合には前記サービスサーバが前記ユーザに対してサービスを提供するステップと、 A step of the service server provides service to the user when the authentication result information is valid,
    前記認証代行サーバが前記ユーザを未確認のときに前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、ネットワークアクセス認証サーバに対して、該IPアドレスをキーとしてネットワークアクセス認証状態の確認を依頼するステップと、 After the authentication process ends between said user terminal and the authentication agent server when the authentication proxy server is unconfirmed the user, the network access authentication server, requesting confirmation of the network access authentication state the IP address as a key the method comprising the steps of,
    前記ネットワークアクセス認証サーバが該IPアドレスに対応する、前記ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDをネットワークアクセスセッション情報管理テーブルより検索するステップと、 Wherein the network access authentication server corresponding to the IP address, retrieving from the network access session information management table network user ID is a user ID in the network access authentication server,
    対応するネットワークユーザIDを取得できたときに、前記ネットワークアクセス認証サーバから前記認証代行サーバへ、ネットワークアクセス認証サーバにおける認証状態を示す認証状態情報と該ネットワークユーザIDとを送るステップと、 When to get the corresponding network the user ID, the network access the authentication proxy server from the authentication server, and sending the authentication state information indicating the authentication status in the network access authentication server and the network the user ID,
    前記認証代行サーバが、取得した該ネットワークユーザIDに対応する、前記認証代行サーバにおけるユーザIDであるIDPユーザIDをユーザ管理テーブルより検索するステップと、 A step of said authentication agent server, corresponding to the acquired the network user ID, which searches the user management table IDP user ID is the user ID in the authentication agent server,
    取得した該IDPユーザIDと前記ユーザ端末と前記認証代行サーバ間での認証時に取得した該IDPユーザIDを比較するステップと、 Comparing the IDP user ID obtained at the time of certification obtained with the IDP user ID with the user terminal between the authentication agent server,
    前記比較により、両者が一致したときに、前記ユーザ端末に対して、認証結果情報を含んだ認証応答を送るステップと、 By the comparison, when they match, to the user terminal, and sending the containing authentication result information authentication response,
    前記ユーザ端末から前記サービスサーバに該認証結果情報を含んだ認証応答を送るステップと、 And sending an authentication response including the authentication result information to the service server from the user terminal,
    を有し、前記サービスサーバでの該認証応答の検証終了後にサービスが開始されることを特徴とする認証方法。 The a, authentication method characterized by the service is started after verifying the completion of authentication response in said service server.
  3. ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証方法であって、 Through a network access authentication server for authenticating network access of the user terminal, and a service server that provides a service to the user terminal, the network authentication proxy server to proxy authentication of the user terminal for servicing of the service server an authentication method in an authentication system formed by connecting Te,
    ユーザによる前記ユーザ端末からのサービス要求に対して前記サービスサーバが前記ユーザの認証を確認できた場合には前記ユーザに対してサービスを提供するステップと、 Providing a service to the user when the service server to the service request from the user terminal by the user is able to verify the authenticity of the user,
    前記ユーザの認証が確認できない場合には前記サービスサーバから前記ユーザ端末にリダイレクト先アドレスを含んだ認証要求を送るステップと、 And sending an authentication request including the redirect destination address to the user terminal from the service server when the authentication of the user can not confirm,
    前記ユーザ端末から前記認証代行サーバに発IPアドレスを含んだ認証要求を送るステップと、 And sending an authentication request including the source IP address to the authentication proxy server from the user terminal,
    前記認証代行サーバが前記ユーザを確認したときには認証結果情報を生成して前記ユーザ端末へ該認証結果情報とリダイヤル先アドレスを含んだ認証応答を送るステップと、 And sending the generated by authentication result information and including the redial address authentication reply to the user terminal authentication result information when the authentication agent server confirms the user,
    前記ユーザ端末から前記サービスサーバへ該認証結果情報を含んだ認証応答を送るステップと、 And sending the authentication result containing information authentication response from the user terminal to the service server,
    前記サービスサーバで該認証結果情報を検証するステップと、 And the step of verifying the authentication result information in the service server,
    該認証結果情報が無効の場合には前記ユーザヘサービス提供不可を通知するステップと、 And notifying the user f service unavailable if authentication result information is invalid,
    該認証結果情報が有効の場合には前記サービスサーバが前記ユーザに対してサービスを提供するステップと、 A step of the service server provides service to the user when the authentication result information is valid,
    前記認証代行サーバが前記ユーザを未確認のときに、前記認証代行サーバが認証時に取得したIDPユーザIDに対応するネットワークユーザIDをIDPユーザ管理テーブルより検索するステップと、 Wherein when the authentication agent server is unconfirmed said user; the authentication agent server searches the network user ID the IDP user management table corresponding to the IDP user ID obtained at the time of authentication,
    該ネットワークユーザIDを取得したときに、前記ネットワークアクセス認証サーバヘ該ネットワークユーザIDをキーとしてネットワークアクセス認証状態の確認を依頼するステップと、 When acquired the network user ID, and the step of requesting confirmation of network access authentication state the network access authentication document transfer requests the network user ID as a key,
    前記ネットワークアクセス認証サーバが該ネットワークユーザIDに対応するIPアドレスをネットワークアクセスセッション情報管理テーブルより検索するステップと、 A step in which the network access authentication server searches the network access session information management table the IP address corresponding to the network the user ID,
    対応するIPアドレスを取得したときに、前記ネットワークアクセス認証サーバから前記認証代行サーバヘ、ネットワークアクセス認証サーバにおける認証状態を示す認証状態情報と該IPアドレスを送るステップと、 When obtaining the corresponding IP address, and sending the network access authentication server from the authentication proxy document transfer requests, authentication state information and said IP address indicating the authentication status in the network access authentication server,
    前記認証代行サーバが、取得したIPアドレスと、認証要求での発IPアドレスを比較するステップと、 A step wherein the authentication agent server, which compares the acquired IP address, the source IP address in the authentication request,
    前記比較により、両者が一致したときに、前記ユーザ端末に対して、認証結果情報を含んだ認証応答を送るステップと、 By the comparison, when they match, to the user terminal, and sending the containing authentication result information authentication response,
    前記ユーザ端末から前記サービスサーバに該認証結果情報を含んだ認証応答を送るステップと、 And sending an authentication response including the authentication result information to the service server from the user terminal,
    を有し、前記サービスサーバでの該認証応答の検証終了後にサービスが開始されることを特徴とする認証方法。 The a, authentication method characterized by the service is started after verifying the completion of authentication response in said service server.
  4. 請求項1ないし3のうちいずれか1項に記載の認証方法において、 The authentication method as claimed in any one of claims 1 to 3,
    1つの認証代行サーバの配下に複数のネットワークアクセス認証サーバが接続される認証システムにおける認証方法であって、 An authentication method in an authentication system in which a plurality of network access authentication server under one authentication agent server is connected,
    前記認証代行サーバが、前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記認証代行サーバから前記ネットワークアクセス認証サーバヘネットワークアクセス認証状態を確認するときに、前記認証代行サーバが保有する前記ユーザが属するネットワークアクセス認証サーバを識別する識別子により該当するネットワークアクセス認証サーバを特定するステップと、 The authentication proxy server, after authentication process is completed between the user terminal and the authentication agent server, when checking the network access authentication server F network access authentication state from the authentication proxy server, the authentication proxy server's identifying a network access authentication server corresponding with the identifier for identifying the network access authentication server the user belongs,
    前記認証代行サーバから前記ネットワークアクセス認証サーバに、ネットワークアクセス認証状態の確認を依頼するステップと、 The network access authentication server from the authentication proxy server, a step of requesting confirmation of network access authentication state,
    を有することを特徴とする認証方法。 Authentication method characterized by having a.
  5. 請求項4に記載の認証方法において、 The authentication method according to claim 4,
    前記認証代行サーバから前記ネットワークアクセス認証サーバヘアクセスするとき、前記認証代行サーバが前記ユーザ端末のIPアドレスから該当する認証サーバを引くテーブルを用意するステップと、 When the network access authentication server F accessed from the authentication proxy server, comprising: providing a table to draw an authentication server the authentication proxy server corresponds the IP address of the user terminal,
    該テーブルを用いてそのIPアドレスから該当するネットワークアクセス認証サーバを特定するステップと、 Identifying a network access authentication server corresponding from its IP address by using the table,
    認証処理において、ネットワークアクセスサーバによる認証と認証代行サーバにおける認証とを連携して行う、または、ネットワークアクセスサーバによる認証と認証代行サーバにおける認証とを連携して行う代わりにネットワークアクセス認証単独の認証のみを行うステップと、 In the authentication processing, in cooperation with the authentication in the authentication with the authentication agent server by the network access server, or only authenticated network access authentication alone instead of performing in cooperation with the authentication in the authentication with the authentication agent server by the network access server and the step of performing,
    を有することを特徴とする認証方法。 Authentication method characterized by having a.
  6. Pアドレスを回線毎に固定的に割り当てるエッジルータと、ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証方法であって、 Through the edge router assigns the I P address fixedly for each line, and the service server for providing a service to a user terminal, a network authentication proxy server to proxy authentication of the user terminal for servicing of the service server an authentication method in an authentication system formed by connecting Te,
    前記認証代行サーバが、前記サービスサーバから前記ユーザ端末を経由して認証要求を受けるステップと、 The authentication proxy server, the steps of receiving an authentication request via the user terminal from the service server,
    前記認証代行サーバが、前記ユーザ端末と認証代行サーバ間でのIDP認証において、 前記ユーザ端末に対して認証を行うと共に、IDPユーザIDのエントリーごとにユーザアカウント情報として前記認証代行サーバ内に格納してある前記エッジルータが回線毎に固定的に割り当てた IPアドレスを利して発IPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送るステップと、 The authentication proxy server, in IDP authentication between the user terminal and the authentication proxy server, performs authentication for the user terminal, the stored within the authentication proxy server as user account information for each entry in the IDP user ID verifies the originating IP address the edge routers Te is to take advantage of the IP address fixedly assigned for each line, if valid, the authentication result inclusive authentication response information, via said user terminal and sending to the service server,
    を有し、前記サービスサーバでの該認証応答の検証終了後にサービスが開始されることを特徴とする認証方法。 It has a, authentication method characterized by the service is started after verifying the completion of authentication response in said service server.
  7. ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムであって、 Through a network access authentication server for authenticating network access of the user terminal, and a service server that provides a service to the user terminal, the network authentication proxy server to proxy authentication of the user terminal for servicing of the service server an authentication system formed by connecting Te,
    前記認証代行サーバが、 The authentication proxy server,
    前記サービスサーバから前記ユーザ端末を経由して認証要求を受ける手段と、 It means for receiving an authentication request via the user terminal from the service server,
    前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記ネットワークアクセス認証サーバに対して、前記ユーザ端末のIPアドレスまたは前記ユーザ端末のユーザの前記ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDをキーとしてネットワークアクセス認証状態の確認を依頼する手段と、 After the authentication process ends between the user terminal and the authentication agent server, to the network access authentication server, network users is the user ID in the network access authentication server of the user's IP address or the user terminal of the user terminal and means for requesting confirmation of the network access authentication state as a key ID,
    前記ネットワークアクセス認証サーバから受けた前記認証状態情報と前記ネットワークアクセス認証サーバにIPアドレスをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたネットワークユーザIDまたは前記ネットワークアクセス認証サーバにネットワークユーザIDをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けた IPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送る手段と、 Network User ID to the network user ID or the network access authentication server has received the on the authentication state information received from the network access authentication server and the network access authentication server to request a check of the IP address as a key from the network access authentication server the verifies the IP address received by requesting a confirmation as a key from the network access authentication server, if effective, means for sending an authentication result containing information authentication response, to the service server through the user terminal When,
    を備え、 Equipped with a,
    前記ネットワークアクセス認証サーバが、前記認証代行サーバからの依頼を受けて、ネットワークアクセス認証サーバにおける認証状態を示す認証状態情報と、前記認証代行サーバからの依頼におけるキーである IPアドレスに対応するネットワークユーザIDまたは前記前記認証代行サーバからの依頼におけるキーであるネットワークユーザIDに対応するI Pアドレスを、前記認証代行サーバに対して送る手段を、 Wherein the network access authentication server, receiving a request from the authentication agent server, and the authentication state information indicating the authentication status in the network access authentication server, the network user corresponding to the IP address is a key in the request from the authentication agent server the ID or I P address that corresponds to the network user ID is a key in the request from said authentication agent server, it means for sending to the authentication proxy server,
    備え、前記サービスサーバでの前記認証応答の検証終了後にサービスが開始されることを特徴とする認証システム。 Provided, the authentication system characterized in that the service is started after verifying completion of the authentication response by the service server.
  8. ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証代行サーバであって、 Through a network access authentication server for authenticating network access of the user terminal, and a service server that provides a service to the user terminal, the network authentication proxy server to proxy authentication of the user terminal for servicing of the service server an authentication proxy server in the authentication system formed by connecting Te,
    前記サービスサーバから前記ユーザ端末を経由して認証要求を受ける手段と、 It means for receiving an authentication request via the user terminal from the service server,
    前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記ネットワークアクセス認証サーバに対して、前記ユーザ端末のIPアドレスまたは前記ユーザ端末のユーザの前記ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDをキーとしてネットワークアクセス認証状態の確認を依頼する手段と、 After the authentication process ends between the user terminal and the authentication agent server, to the network access authentication server, network users is the user ID in the network access authentication server of the user's IP address or the user terminal of the user terminal and means for requesting confirmation of the network access authentication state as a key ID,
    前記ネットワークアクセス認証サーバから受けた前記認証状態情報と前記ネットワークアクセス認証サーバにIPアドレスをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けたネットワークユーザIDまたは前記ネットワークアクセス認証サーバにネットワークユーザIDをキーとして確認を依頼して前記ネットワークアクセス認証サーバから受けた IPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送る手段と、 Network User ID to the network user ID or the network access authentication server has received the on the authentication state information received from the network access authentication server and the network access authentication server to request a check of the IP address as a key from the network access authentication server the verifies the IP address received by requesting a confirmation as a key from the network access authentication server, if effective, means for sending an authentication result containing information authentication response, to the service server through the user terminal When,
    を備えることを特徴とする認証代行サーバ。 Authentication proxy server, characterized in that it comprises a.
  9. ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証代行サーバであって、 Through a network access authentication server for authenticating network access of the user terminal, and a service server that provides a service to the user terminal, the network authentication proxy server to proxy authentication of the user terminal for servicing of the service server an authentication proxy server in the authentication system formed by connecting Te,
    認証代行サーバにおけるユーザIDであるIDPユーザID、ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDを含むユーザアカウントを持つ手段と、 And it means having a user account including the network user ID is a user ID IDP user ID is a user ID in the authentication proxy server, in the network access authentication server,
    前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記ネットワークアクセス認証サーバヘ、前記ユーザ端末からの認証要求パケットの中の発IPアドレスをキーとして、該ネットワークアクセス認証状態の確認を依頼する手段と、 After the authentication process ends between the user terminal and the authentication agent server, the network access authentication document transfer requests, as a key source IP address in the authentication request packet from the user terminal to request a confirmation of the network access authentication state and means,
    前記ネットワークアクセス認証サーバより、ネットワークアクセス認証状態を含み認証済みの場合はネットワークユーザIDも含むネットワークアクセス認証状態確認結果を受信する手段と、 From the network access authentication server, if the network access includes authentication state authenticated means for receiving the network access authentication state confirmation result that also includes network the user ID,
    ネットワークアクセス認証状態が確認できないときにはユーザヘサービス提供不可を通知する手段と、 And means for notifying a Call provides user f services when the network access authentication state can not be confirmed,
    受信により取得したネットワークユーザIDに対応するIDPユーザIDを前記ユーザアカウントを持つ手段より検索する手段と、 It means for the IDP user ID corresponding to the network user ID searches the unit with the user account acquired by the reception,
    IDPユーザIDが取得できたか否かの判断を行う手段と、 It means for judging whether IDP user ID is acquired,
    取得できないときは前記ユーザヘサービス提供不可を通知する手段と、 Unable to get means for notifying the user f service unavailable,
    取得したIDPユーザIDと、前記ユーザ端末と前記認証代行サーバ間での認証時に取得したIDPユーザIDとを比較する手段と、 The acquired IDP user ID, and means for comparing the IDP user ID obtained at the time of authentication between said user terminal the authentication agent server,
    該IDPユーザIDの比較で一致するか否かの判断を行う手段と、 Means for judging whether matches in the comparison of the IDP the user ID,
    一致しなければユーザヘサービス提供不可を通知する手段と、 It means for notifying the user f service unavailable if they do not match,
    一致すれば認証結果情報を生成する手段と And it means to generate an authentication result information if they match,
    を備えることを特徴とする認証代行サーバ。 Authentication proxy server, characterized in that it comprises a.
  10. ユーザ端末のネットワークアクセスを認証するネットワークアクセス認証サーバと、前記ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証代行サーバであって、 Through a network access authentication server for authenticating network access of the user terminal, and a service server that provides a service to the user terminal, the network authentication proxy server to proxy authentication of the user terminal for servicing of the service server an authentication proxy server in the authentication system formed by connecting Te,
    認証代行サーバにおけるユーザIDであるIDPユーザID、ネットワークアクセス認証サーバにおけるユーザIDであるネットワークユーザIDを含むユーザアカウントを持つ手段と、 And it means having a user account including the network user ID is a user ID IDP user ID is a user ID in the authentication proxy server, in the network access authentication server,
    前記ユーザ端末と前記認証代行サーバ間での認証処理終了後に、前記認証時に取得したIDPユーザIDに対応するネットワークユーザIDを前記ユーザアカウントを持つ手段より検索する手段と、 After the authentication process ends between the user terminal and the authentication agent server, it means for retrieving from the device with network user ID of the user account corresponding to the IDP user ID obtained at the time of the authentication,
    ネットワークユーザIDが取得できたか否かを判断する手段と、 It means for network user ID and determines whether or not acquired,
    取得できなかった場合にはユーザヘサービス提供不可を通知する手段と、 And means for notifying a Call provides user f service if it can not obtain,
    取得できたときには前記認証代行サーバは、前記ネットワークアクセス認証サーバヘ、該ネットワークユーザIDをキーとして該ネットワークアクセス認証状態の確認を依頼する手段と、 The authentication proxy server when be acquired, means for requesting confirmation of the network access authentication state the network access authentication document transfer requests, the network user ID as a key,
    前記認証代行サーバは前記ネットワークアクセス認証サーバより、ネットワーク認証状態を含み認証済みの場合にはIPアドレスも含むネットワークアクセス認証状態確認結果を受信する手段と、 The authentication proxy server from the network access authentication server, in the case of authenticated includes a network authentication state means for receiving a network access authentication state confirmation result that also includes the IP address,
    ネットワーク認証状態が済みか否かを判断する手段と、 Means for determining whether finished network authentication state,
    未認証の場合にはユーザヘサービス提供不可を通知する手段と、 And means for notifying a Call provides user f services in case of unauthorized,
    認証済みの場合には、ネットワークアクセス認証サーバより取得したIPアドレスと、認証要求パケットの発IPアドレスとを比較する手段と、 If authenticated, the IP address obtained from the network access authentication server, and means for comparing the source IP address of the authentication request packet,
    IPアドレスの比較で一致するか否かの判断を行う手段と、 It means for judging whether matches in the comparison of the IP address,
    一致しなければユーザヘサービス提供不可を通知する手段と、 It means for notifying the user f service unavailable if they do not match,
    一致すれば認証結果情報を生成する手段と、 It means for generating an authentication result information if they match,
    を備えることを特徴とする認証代行サーバ。 Authentication proxy server, characterized in that it comprises a.
  11. 請求項8ないし10のうちいずれか1項に記載の認証代行サーバにおいて、 In the authentication proxy server as claimed in any one of claims 8 to 10,
    ユーザが属するネットワークアクセス認証サーバを識別する識別子を保有する手段と、 Means for carrying the identifier identifies a network access authentication server to which the user belongs,
    前記識別子により、確認を依頼するネットワークアクセス認証サーバを決定する手段と、 By the identifier, means for determining a network access authentication server to request confirmation,
    を備えることを特徴とする認証代行サーバ。 Authentication proxy server, characterized in that it comprises a.
  12. IPアドレスを回線毎に固定的に割り当てるエッジルータと、ユーザ端末にサービスを提供するサービスサーバと、前記サービスサーバのサービス提供のために前記ユーザ端末の認証を代行する認証代行サーバをネットワークを介して接続してなる認証システムにおける認証代行サーバであって Through the edge router assigns the IP address fixedly for each line, and the service server for providing a service to a user terminal, a network authentication proxy server to proxy authentication of the user terminal for servicing of the service server an authentication proxy server in the authentication system formed by connecting,
    前記サービスサーバから前記ユーザ端末を経由して認証要求を受ける手段と、 It means for receiving an authentication request via the user terminal from the service server,
    前記ユーザ端末との IDP認証において、 前記ユーザ端末に対して認証を行うと共に、IDPユーザIDのエントリーごとにユーザアカウント情報として前記認証代行サーバ内に格納してある前記エッジルータが回線毎に固定的に割り当てた IPアドレスを利して発IPアドレスの検証を行い、有効ならば、認証結果情報を含んだ認証応答を、前記ユーザ端末を経由して前記サービスサーバに送る手段と、 In IDP authentication with the user terminal, fixedly performs authentication for the user terminal, to the edge router for each line as user account information are stored in said authentication agent server for each entry in the IDP user ID to take advantage of the IP address assigned to validate the source IP address, if effective, means for sending an authentication result authentication response including the information, to the service server through the user terminal,
    を備えることを特徴とする認証代行サーバ。 Authentication proxy server, characterized in that it comprises a.
  13. 請求項1ないし6のうちいずれか1項に記載の各ステップをコンピュータに実行させるためのプログラム。 Program for executing the steps according to the computer in any one of claims 1 to 6.
  14. 請求項7ないし12のうちのいずれか1項に記載の各手段としてコンピュータを機能させるためのプログラム。 Program for causing a computer to function as each means according to any one of claims 7 to 12.
  15. 請求項13または14に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。 Computer readable recording medium recording the program according to claim 13 or 14.
JP2004155673A 2004-05-26 2004-05-26 Authentication method, authentication system, the authentication proxy server, a network access authentication server, program, and recording medium Active JP4291213B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004155673A JP4291213B2 (en) 2004-05-26 2004-05-26 Authentication method, authentication system, the authentication proxy server, a network access authentication server, program, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004155673A JP4291213B2 (en) 2004-05-26 2004-05-26 Authentication method, authentication system, the authentication proxy server, a network access authentication server, program, and recording medium

Publications (2)

Publication Number Publication Date
JP2005339093A JP2005339093A (en) 2005-12-08
JP4291213B2 true JP4291213B2 (en) 2009-07-08

Family

ID=35492610

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004155673A Active JP4291213B2 (en) 2004-05-26 2004-05-26 Authentication method, authentication system, the authentication proxy server, a network access authentication server, program, and recording medium

Country Status (1)

Country Link
JP (1) JP4291213B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102420836A (en) * 2012-01-12 2012-04-18 中国电子科技集团公司第十五研究所 Sign-on method and sign-on management system for service information system

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8312267B2 (en) 2004-07-20 2012-11-13 Time Warner Cable Inc. Technique for securely communicating programming content
US8266429B2 (en) 2004-07-20 2012-09-11 Time Warner Cable, Inc. Technique for securely communicating and storing programming material in a trusted domain
JP4672593B2 (en) * 2006-05-02 2011-04-20 日本電信電話株式会社 Id Federated authentication systems and id Federated authentication method
US8280982B2 (en) 2006-05-24 2012-10-02 Time Warner Cable Inc. Personal content server apparatus and methods
JP4551367B2 (en) * 2006-07-07 2010-09-29 日本電信電話株式会社 Service system and service system control method
JP4551369B2 (en) * 2006-07-07 2010-09-29 日本電信電話株式会社 Service system and service system control method
JP4551368B2 (en) * 2006-07-07 2010-09-29 日本電信電話株式会社 Service system and service system control method
JP4611946B2 (en) * 2006-08-10 2011-01-12 日本電信電話株式会社 User line authentication system, user access authentication method and the user line authentication program
JP2008097207A (en) * 2006-10-10 2008-04-24 Chugoku Electric Power Co Inc:The Authentication system, authentication method, and program
JP4573820B2 (en) * 2006-10-10 2010-11-04 中国電力株式会社 Authentication system and an authentication method
US8520850B2 (en) 2006-10-20 2013-08-27 Time Warner Cable Enterprises Llc Downloadable security and protection methods and apparatus
US8732854B2 (en) 2006-11-01 2014-05-20 Time Warner Cable Enterprises Llc Methods and apparatus for premises content distribution
JP4643596B2 (en) 2007-01-11 2011-03-02 株式会社東芝 Apparatus for authenticating the terminal apparatus, a method, a program, a terminal device, and a device for relaying communication of the terminal device
US8621540B2 (en) 2007-01-24 2013-12-31 Time Warner Cable Enterprises Llc Apparatus and methods for provisioning in a download-enabled system
US8775796B2 (en) 2007-02-07 2014-07-08 Nippon Telegraph And Telephone Corporation Certificate authenticating method, certificate issuing device, and authentication device
US8181206B2 (en) 2007-02-28 2012-05-15 Time Warner Cable Inc. Personal content server apparatus and methods
JP5016950B2 (en) * 2007-03-05 2012-09-05 アラクサラネットワークス株式会社 Authentication system and the information relay apparatus
JP5239341B2 (en) * 2008-01-08 2013-07-17 日本電気株式会社 Gateway, relay method and a program
US9503691B2 (en) 2008-02-19 2016-11-22 Time Warner Cable Enterprises Llc Methods and apparatus for enhanced advertising and promotional delivery in a network
JP5273770B2 (en) * 2008-03-04 2013-08-28 日本電信電話株式会社 Vpn Multiple Association system and authentication control method
JP2009282561A (en) * 2008-05-19 2009-12-03 Kddi Corp User authentication system, user authentication method and program
JP5081085B2 (en) * 2008-07-15 2012-11-21 エヌ・ティ・ティ・コミュニケーションズ株式会社 Service cooperation method, service providing apparatus, and program
US9357247B2 (en) 2008-11-24 2016-05-31 Time Warner Cable Enterprises Llc Apparatus and methods for content delivery and message exchange across multiple content delivery networks
JP5459583B2 (en) * 2009-03-25 2014-04-02 日本電気株式会社 Authentication method and the authentication system and the authentication processing program thereof
US8370509B2 (en) * 2009-04-09 2013-02-05 Alcatel Lucent Identity management services provided by network operator
US9602864B2 (en) 2009-06-08 2017-03-21 Time Warner Cable Enterprises Llc Media bridge apparatus and methods
US8396055B2 (en) 2009-10-20 2013-03-12 Time Warner Cable Inc. Methods and apparatus for enabling media functionality in a content-based network
US10264029B2 (en) 2009-10-30 2019-04-16 Time Warner Cable Enterprises Llc Methods and apparatus for packetized content delivery over a content delivery network
US9635421B2 (en) 2009-11-11 2017-04-25 Time Warner Cable Enterprises Llc Methods and apparatus for audience data collection and analysis in a content delivery network
US9519728B2 (en) 2009-12-04 2016-12-13 Time Warner Cable Enterprises Llc Apparatus and methods for monitoring and optimizing delivery of content in a network
US9300445B2 (en) 2010-05-27 2016-03-29 Time Warner Cable Enterprise LLC Digital domain content processing and distribution apparatus and methods
US9906838B2 (en) * 2010-07-12 2018-02-27 Time Warner Cable Enterprises Llc Apparatus and methods for content delivery and message exchange across multiple content delivery networks
US8997136B2 (en) 2010-07-22 2015-03-31 Time Warner Cable Enterprises Llc Apparatus and methods for packetized content delivery over a bandwidth-efficient network
JP5485063B2 (en) * 2010-07-30 2014-05-07 セコム株式会社 Authentication system
US9185341B2 (en) 2010-09-03 2015-11-10 Time Warner Cable Enterprises Llc Digital domain content processing and distribution apparatus and methods
US10148623B2 (en) 2010-11-12 2018-12-04 Time Warner Cable Enterprises Llc Apparatus and methods ensuring data privacy in a content distribution network
US9467723B2 (en) 2012-04-04 2016-10-11 Time Warner Cable Enterprises Llc Apparatus and methods for automated highlight reel creation in a content delivery network
JP5645891B2 (en) * 2012-07-30 2014-12-24 ビッグローブ株式会社 Software providing system, a portal server, providing server, authentication method, provides a method and program
US9565472B2 (en) 2012-12-10 2017-02-07 Time Warner Cable Enterprises Llc Apparatus and methods for content transfer protection
US9935833B2 (en) 2014-11-05 2018-04-03 Time Warner Cable Enterprises Llc Methods and apparatus for determining an optimized wireless interface installation configuration
JP6358947B2 (en) * 2014-12-19 2018-07-18 エイチ・シー・ネットワークス株式会社 Authentication system
US10116676B2 (en) 2015-02-13 2018-10-30 Time Warner Cable Enterprises Llc Apparatus and methods for data collection, analysis and service modification based on online activity
JP2017083945A (en) * 2015-10-23 2017-05-18 ビッグローブ株式会社 Authentication system, authentication method, and program
US9986578B2 (en) 2015-12-04 2018-05-29 Time Warner Cable Enterprises Llc Apparatus and methods for selective data network access
US9918345B2 (en) 2016-01-20 2018-03-13 Time Warner Cable Enterprises Llc Apparatus and method for wireless network services in moving vehicles
US10164858B2 (en) 2016-06-15 2018-12-25 Time Warner Cable Enterprises Llc Apparatus and methods for monitoring and diagnosing a wireless network
JP6266049B1 (en) * 2016-07-25 2018-01-24 三井情報株式会社 The information processing system, an information processing method, information processing apparatus and program
JP2018026140A (en) * 2017-08-29 2018-02-15 ビッグローブ株式会社 Authentication system, authentication method, and program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102420836A (en) * 2012-01-12 2012-04-18 中国电子科技集团公司第十五研究所 Sign-on method and sign-on management system for service information system

Also Published As

Publication number Publication date
JP2005339093A (en) 2005-12-08

Similar Documents

Publication Publication Date Title
US6301618B1 (en) Forced sequential access to specified domains in a computer network
US7617317B2 (en) Method and system for allowing multiple service providers to serve users via a common access network
US7788709B1 (en) Mobile host using a virtual single account client and server system for network access and management
US7194761B1 (en) Methods and apparatus providing automatic client authentication
JP3912609B2 (en) Remote access vpn-mediated method and the intermediary device
CA2473793C (en) System, method and apparatus for federated single sign-on services
US6971005B1 (en) Mobile host using a virtual single account client and server system for network access and management
JP4791589B2 (en) Authorization of dynamic network, systems and methods for providing authentication, and accounts
US7296290B2 (en) Method and apparatus for handling user identities under single sign-on services
CN100388739C (en) Method and system for contributing DHCP addresses safely
CN1277434C (en) Secure access method, and associated apparatus, for accessing a private data communication network
KR101158956B1 (en) Method for distributing certificates in a communication system
EP2039110B1 (en) Method and system for controlling access to networks
JP3864312B2 (en) 802.1x protocol-based multicasting control method
US7624437B1 (en) Methods and apparatus for user authentication and interactive unit authentication
US8117639B2 (en) System and method for providing access control
CN101133618B (en) Connecting VPN users in a public network
JP4777729B2 (en) Setting information distribution apparatus, method, program and medium
CA2607001C (en) Preventing fraudulent internet account access
US7010600B1 (en) Method and apparatus for managing network resources for externally authenticated users
CN101369893B (en) Method for local area network access authentication of casual user
US8332919B2 (en) Distributed authentication system and distributed authentication method
EP1370040B1 (en) A method, a network access server, an authentication-authorization-and-accounting server, and a computer software product for proxying user authentication-authorization-and-accounting messages via a network access server
KR101025403B1 (en) A method and a system for authenticating a user at a network access while the user is making a connection to the Internet
US7542468B1 (en) Dynamic host configuration protocol with security

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081029

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081209

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090209

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090331

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090402

R150 Certificate of patent (=grant) or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120410

Year of fee payment: 3

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130410

Year of fee payment: 4

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140410

Year of fee payment: 5

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350