JP4377120B2 - リモートアクセス認証に基づくサービス提供システム - Google Patents
リモートアクセス認証に基づくサービス提供システム Download PDFInfo
- Publication number
- JP4377120B2 JP4377120B2 JP2002299747A JP2002299747A JP4377120B2 JP 4377120 B2 JP4377120 B2 JP 4377120B2 JP 2002299747 A JP2002299747 A JP 2002299747A JP 2002299747 A JP2002299747 A JP 2002299747A JP 4377120 B2 JP4377120 B2 JP 4377120B2
- Authority
- JP
- Japan
- Prior art keywords
- server
- service
- user terminal
- authentication
- remote access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Description
【0001】
【発明の属する技術分野】
この発明は、インタネットに接続する際に必須となるインタネット接続用の認証を行えば、ユーザは各種サービスサーバへの接続に対し、認証を省略可能とするシングルサインオンサービス、システムに関する。
【0002】
【従来の技術】
従来技術に基づくサービス提供システムを図2に示す。ゲートウェイ7は、サーバ収容ネットワーク8とインタネット1の接続点に置かれ、ユーザ端末2がサーバ収容ネットワーク8に接続するためのリモートアクセス認証51の処理を行う。ゲートウェイ7は、認証が成功すれば、以後、ユーザ端末2から送出されるパケットをサーバ収容ネットワーク8に転送し、また、サーバ収容ネットワーク8につながるサービスサーバ4、5および6からユーザ端末2に送られるパケットをインタネット1に転送する。サーバ収容ネットワーク8に収容されるサービスサーバ4、5および6は、さまざまなサービス情報を蓄積しており、ユーザはユーザ端末2を通じて、各サービスサーバから欲しいサービス情報を取得する。ユーザ端末2がサービスサーバからサービス情報を取得するには、まずゲートウェイ7に対しリモートアクセス認証を行い、サーバ収容ネットワーク8へのアクセス権限を得た上で、次にユーザは認証確認サーバ103にて認証を行い、認証が成功したことを踏まえ、該サービス情報を取得可能となる。このときユーザは本来ならば、サービスサーバ4、5および6毎に認証を行う必要があるが、近年、シングルサインオンという技術により、認証確認サーバ103に一度認証を行えば、サービスサーバ4、5および6毎の認証を省略することが可能となった。これによりユーザは、サービスサーバ毎の複数の認証パスワードを記憶する必要がなくなるとともに、サービス情報の取得の度に必要であったパスワード入力が1度で済むようになった。
【0003】
以下に、従来のシングルサインオン技術の動作概要を説明する。ユーザ端末2は、まず初めにゲートウェイ7に対しリモートアクセス認証51を行う。ゲートウェイ7は、認証が成功すれば、以後、ユーザ端末2から送出されるパケットをサーバ収容ネットワーク8に転送し、また、サーバ収容ネットワーク8につながるサービスサーバからユーザ端末2に送られるパケットをインタネット1に転送する。
【0004】
ユーザ端末2は例えばサービスサーバ4に対しサービス情報を享受したい場合、その前にまず認証確認サーバ103に対し認証153を行う。認証とは例えばユーザのアカウント名およびパスワードの照合が上げられ、認証確認サーバ103は、ユーザ端末2からアカウント名およびパスワードとを受信すると、登録されているアカウント名およびパスワードとの比較を行う。認証が成功した場合、認証確認サーバ103は認証応答154をユーザ端末2に返送する。この後、ユーザ端末2はサービスサーバ4にサービス要求155を送る。サービスサーバ4はサービス要求155を受信すると、認証確認サーバ103に対し認証確認156を送信する。認証確認156の意味は、認証確認サーバ103は該ユーザが認証済みか否かを一元管理しており、各サービスサーバは認証確認サーバ103に行うことにより、認証済みか否かを知ることができるためである。認証確認156を受信すると、認証確認サーバ103は、ユーザ端末2は既に認証済みであるため、認証済みの通知157をサービスサーバ4に返送する。サービスサーバ4は認証済みであることの確認がとれると、要求されたサービス情報をユーザ端末2に対し送付する。さらにこの後、ユーザ端末2がサービスサーバ5に対しサービス情報を享受したい場合も、前述のようにユーザ端末2とサービスサーバ5との間でサービス要求155とサービス情報158のやりとりが、認証確認サーバ103とサービスサーバ5との間で認証確認156と認証済みの通知157のやりとりが行われる。
【0005】
なお、ユーザ端末2が認証確認サーバ103に対して認証153を行わずに、サービスサーバ4に対しサービス要求155を送出した場合は、認証確認サーバ103は認証確認156の応答として、認証未処理の通知157をサービスサーバ4に返送する。この結果、サービスサーバ4はユーザ端末2に対してサービス情報の送付は実施しない。
【0006】
従来のシングルサインオン技術に関する記載がある文献としては例えば非特許文献1がある。
【0007】
【非特許文献1】
Liberty Alliance Project, "Liberty Bindings and Profiles Specification, Version 1.0", 11 July 2002、[平成14年10月3日検索]、インターネット<http://www.projectliberty.org/specs/liberty-architecture-bindings-and-profiles-v1.0.pdf>
【0008】
【発明が解決しようとする課題】
リモートアクセス認証51後の、認証153からサービス情報158までの動作シーケンスは全て、従来の技術では例えばHTTPを用い行われる。HTTPはIP(Internet Protocol)やTCP(Transmission Control Protocol)の上位レイヤに位置する。すなわち、上記認証もIPより上位レイヤで行う処理であり、IPSec等のトンネリングプロトコルを用い、サーバ収容ネットワークへのリモートアクセスを行う際に必要となるリモートアクセス認証とは区別される。これによってユーザ端末2は、リモートアクセス認証と従来のシングルサインオンの認証の2種類の認証を行う必要がある。
【0009】
【課題を解決するための手段】
本出願は、前記2種類の認証を1つの認証に統一する、すなわち、サーバ収容ネットワーク接続時のリモートアクセス認証によりシングルサインオンを実現することを目的とするものである。本解決手段を図1を用い、以下に説明する。
【0010】
ゲートウェイ7は、サーバ収容ネットワーク8とインタネット1の接続点に置かれ、ユーザ端末2がサーバ収容ネットワーク8に接続するためのリモートアクセス認証51の処理を行う。ゲートウェイ7は、認証が成功すれば、以後、ユーザ端末2から送出されるパケットをサーバ収容ネットワーク8に転送し、また、サーバ収容ネットワーク8につながるサービスサーバからユーザ端末2に送られるパケットをインタネット1に転送する。
【0011】
ユーザ端末2からリモートアクセス認証51を受け、認証が成功であることを確認すると、ゲートウェイ7は、リモートアクセス認証51における認証結果であるリモートアクセス認証結果52を、認証確認サーバ3に転送する。リモートアクセス認証結果52が成功である場合、認証確認サーバ3は、ユーザ端末2を通じて認証を行ったユーザが認証済みであることを一元管理する。
【0012】
この後、ユーザ端末2は例えばサービスサーバ4に対しサービス情報を享受したい場合に、サービスサーバ4にサービス要求55を送る。サービスサーバ4はサービス要求55を受信すると、認証確認サーバ3に対し認証確認56を送信する。認証確認56を受信すると、認証確認サーバ3は、ユーザ端末2は既に認証済みであるため、認証済みの通知57をサービスサーバ4に返送する。サービスサーバ4は認証済みであることの確認がとれると、要求されたサービス情報をユーザ端末2に対し送付する。
【0013】
さらにこの後、ユーザ端末2がサービスサーバ5に対しサービス情報を享受したい場合も、前述のようにユーザ端末2とサービスサーバ5との間でサービス要求55とサービス情報58のやりとりが、認証確認サーバ3とサービスサーバ5との間で認証確認56と認証済みの通知57のやりとりが行われる。
【0014】
すなわち本手段は、サービスサーバにとって従来技術と全く同じ動作を維持しつつ、リモートアクセス認証51の1回の認証のみでシングルサインオンを実現する。
【0015】
【発明の実施の形態】
本発明の実施形態に基づくサービス提供システムを図1に示す。
【0016】
ゲートウェイ7は、サーバ収容ネットワーク8とインタネット1の接続点に置かれ、ユーザ端末2がサーバ収容ネットワーク8に接続するためのリモートアクセス認証51の処理を行う。ゲートウェイ7は、認証が成功すれば、以後、ユーザ端末2から送出されるパケットをサーバ収容ネットワーク8に転送し、また、サーバ収容ネットワーク8につながるサービスサーバからユーザ端末2に送られるパケットをインタネット1に転送する。
【0017】
ユーザ端末2からリモートアクセス認証51を受け、認証が成功であることを確認すると、ゲートウェイ7は、リモートアクセス認証51における認証結果であるリモートアクセス認証結果52を、認証確認サーバ3に転送する。リモートアクセス認証結果52が成功である場合、認証確認サーバ3は、ユーザ端末2を通じて認証を行ったユーザが認証済みであることを一元管理する。
【0018】
ここで、リモートアクセス認証結果52は、認証成功の場合にのみゲートウェイ7から認証確認サーバ3に転送され、これによって認証確認サーバ3は、ユーザ端末2を通じて認証を行ったユーザが認証済みであることを一元管理する方法を用いてもよい。
【0019】
この後、ユーザ端末2は例えばサービスサーバ4に対しサービス情報を享受したい場合に、サービスサーバ4にサービス要求55を送る。サービスサーバ4はサービス要求55を受信すると、認証確認サーバ3に対し認証確認56を送信する。認証確認56を受信すると、認証確認サーバ3は、ユーザ端末2は既に認証済みであるため、認証済みの通知57をサービスサーバ4に返送する。サービスサーバ4は認証済みであることの確認がとれると、要求されたサービス情報をユーザ端末2に対し送付する。
【0020】
さらにこの後、ユーザ端末2がサービスサーバ5に対しサービス情報を享受したい場合も、前述のようにユーザ端末2とサービスサーバ5との間でサービス要求55とサービス情報58のやりとりが、認証確認サーバ103とサービスサーバ5との間で認証確認56と認証済みの通知57のやりとりが行われる。
【0021】
ここでユーザ端末2が元々サービスサーバ6との接続が許可されていない場合に、ユーザ端末2がサービスサーバ6からサービス要求を行ったときの動作について言及する。認証確認サーバ3は、ユーザ端末2が接続してよいサービスサーバとしてサービスサーバ4および5を管理している。ユーザ端末2からのサービス要求に伴い、サービスサーバ6から送られる認証確認を認証確認サーバ3が受信すると、ユーザ端末2はサービスサーバ6への接続が許可されていないため、認証確認サーバ3はサービスサーバ6に認証未処理であることを通知する。これによって契約外のユーザ端末2がサービスサーバ6からサービス情報を不当に取得することを防ぐことができる。
【0022】
次に、ユーザ端末2が取得した各サービス情報が有料であり、この課金管理を認証確認サーバ3が行う場合の処理について図3を用い説明する。前述のサービスサーバ4からユーザ端末2にサービス情報58が送付された後、サービスサーバ4は認証確認サーバ3に対し、サービス情報取得の履歴情報61を送信する。これを受けると認証確認サーバ3は、図4に示す内部の履歴情報管理部12にてユーザ端末2を利用するユーザがサービス情報58を取得したことを管理する。さらに課金情報管理部13にて、該ユーザがサービス情報取得したことにより課せられる料金情報を管理する。また、認証確認サーバ3は、サービス情報取得の履歴情報61を受け取ったことを通知するために、履歴情報受信通知62をサービスサーバ4に返送する。
【0023】
なお、認証確認サーバ3は、前記料金情報に基づき、サービスサーバあるいはサービス情報を保有するサービス事業者の代わりに、該ユーザに対し料金徴収を行う課金代行サーバを備えてもよい。
【0024】
また、認証確認サーバ3とゲートウェイ7は一体化した場合や、認証確認サーバ3とサービスサーバ4ないし6のうちいずれか1つと一体化した場合も、本実施形態を逸脱しないことを追記する。
【0025】
また、本実施形態は、ユーザ端末2とゲートウェイ7間の通信がIPSecであり、リモートアクセス認証51がIPSec通信確立時に行われる認証とし、サービス要求55、認証確認56、認証済みあるいは認証未処理の通知57、サービス情報58、サービス情報取得の履歴情報61および履歴情報受信通知62をHTTPにより転送する場合にも適用することができ、現在実用化されている技術にも応用することが可能である。
【0026】
また、前述の動作シーケンスに追加し、図5に示すように、従来技術ではユーザ端末2と認証確認サーバ3との間で確認53および確認応答54がやりとりされる場合もある。この場合においてもリモートアクセス認証52の位置づけ、動作概要は前述と同様であり、確認53および確認応答54の有無に関わらず、本発明が適用できる。
【0027】
また、以上の説明では、リモートアクセス認証51は、ユーザ端末2を利用しているユーザを特定するための認証として説明したが、ユーザ端末2自身を特定するための認証としても、動作概要は基本的に変わらないことを追記する。
【0028】
さらに本発明は、
(1)認証確認サーバを所有するサービス事業者と、サービスサーバを所有するサービス事業者とが異なる形態、また、
(2)ゲートウェイを所有するサービス事業者と、サービスサーバを所有するサービス事業者とが異なる形態、また、
(3)認証確認サーバおよびゲートウェイを所有するサービス事業者と、サービスサーバを所有するサービス事業者とが異なる形態、また、
(4)認証確認サーバ、サーバ収容ネットワーク、およびゲートウェイを所有するサービス事業者と、サービスサーバを所有するサービス事業者とが異なる形態、また、
(5)認証確認サーバを所有するサービス事業者と、ゲートウェイを所有するサービス事業者とが異なる形態、
などにも適用されうることは言うまでもない。
【0029】
以上、本発明者によってなされた発明を、前記実施の形態に基づき具体的に説明したが、本発明は、前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【0030】
【発明の効果】
本発明のサービス提供システムは、リモートアクセス認証51の1回の認証のみでシングルサインオンを実現する。また、本発明のサービスサーバと認証確認サーバ間のシーケンスおよびサービスサーバとユーザ端末間のシーケンスは従来技術と同様であるため、従来技術から本発明技術に移行する場合に、サービスサーバの変更が伴わない利点がある。
【図面の簡単な説明】
【図1】本発明の実施形態のサービス提供システムを示す図である。
【図2】従来技術に基づくサービス提供システムを示す図である。
【図3】本発明の実施形態の課金管理処理を示す図である。
【図4】本発明の実施形態の認証確認サーバの内部構造を示す図である。
【図5】本発明の実施形態のユーザ端末と認証確認サーバとの間で通信が行われる場合のサービス提供システムを示す図である。
【符号の説明】
1…インタネット、2…ユーザ端末、3、103…認証確認サーバ、4〜6…サービスサーバ、7…ゲートウェイ、8…サーバ収容ネットワーク、11…認証状況管理部、12…履歴情報管理部、13…課金情報管理部、51…リモートアクセス認証、52…リモートアクセス認証結果、53…確認、54…確認応答、55…サービス要求、56、156…認証確認、57、157…認証済みあるいは認証未処理の通知、58、158…サービス情報、61…サービス情報取得の履歴情報、62…履歴情報受信通知。
【発明の属する技術分野】
この発明は、インタネットに接続する際に必須となるインタネット接続用の認証を行えば、ユーザは各種サービスサーバへの接続に対し、認証を省略可能とするシングルサインオンサービス、システムに関する。
【0002】
【従来の技術】
従来技術に基づくサービス提供システムを図2に示す。ゲートウェイ7は、サーバ収容ネットワーク8とインタネット1の接続点に置かれ、ユーザ端末2がサーバ収容ネットワーク8に接続するためのリモートアクセス認証51の処理を行う。ゲートウェイ7は、認証が成功すれば、以後、ユーザ端末2から送出されるパケットをサーバ収容ネットワーク8に転送し、また、サーバ収容ネットワーク8につながるサービスサーバ4、5および6からユーザ端末2に送られるパケットをインタネット1に転送する。サーバ収容ネットワーク8に収容されるサービスサーバ4、5および6は、さまざまなサービス情報を蓄積しており、ユーザはユーザ端末2を通じて、各サービスサーバから欲しいサービス情報を取得する。ユーザ端末2がサービスサーバからサービス情報を取得するには、まずゲートウェイ7に対しリモートアクセス認証を行い、サーバ収容ネットワーク8へのアクセス権限を得た上で、次にユーザは認証確認サーバ103にて認証を行い、認証が成功したことを踏まえ、該サービス情報を取得可能となる。このときユーザは本来ならば、サービスサーバ4、5および6毎に認証を行う必要があるが、近年、シングルサインオンという技術により、認証確認サーバ103に一度認証を行えば、サービスサーバ4、5および6毎の認証を省略することが可能となった。これによりユーザは、サービスサーバ毎の複数の認証パスワードを記憶する必要がなくなるとともに、サービス情報の取得の度に必要であったパスワード入力が1度で済むようになった。
【0003】
以下に、従来のシングルサインオン技術の動作概要を説明する。ユーザ端末2は、まず初めにゲートウェイ7に対しリモートアクセス認証51を行う。ゲートウェイ7は、認証が成功すれば、以後、ユーザ端末2から送出されるパケットをサーバ収容ネットワーク8に転送し、また、サーバ収容ネットワーク8につながるサービスサーバからユーザ端末2に送られるパケットをインタネット1に転送する。
【0004】
ユーザ端末2は例えばサービスサーバ4に対しサービス情報を享受したい場合、その前にまず認証確認サーバ103に対し認証153を行う。認証とは例えばユーザのアカウント名およびパスワードの照合が上げられ、認証確認サーバ103は、ユーザ端末2からアカウント名およびパスワードとを受信すると、登録されているアカウント名およびパスワードとの比較を行う。認証が成功した場合、認証確認サーバ103は認証応答154をユーザ端末2に返送する。この後、ユーザ端末2はサービスサーバ4にサービス要求155を送る。サービスサーバ4はサービス要求155を受信すると、認証確認サーバ103に対し認証確認156を送信する。認証確認156の意味は、認証確認サーバ103は該ユーザが認証済みか否かを一元管理しており、各サービスサーバは認証確認サーバ103に行うことにより、認証済みか否かを知ることができるためである。認証確認156を受信すると、認証確認サーバ103は、ユーザ端末2は既に認証済みであるため、認証済みの通知157をサービスサーバ4に返送する。サービスサーバ4は認証済みであることの確認がとれると、要求されたサービス情報をユーザ端末2に対し送付する。さらにこの後、ユーザ端末2がサービスサーバ5に対しサービス情報を享受したい場合も、前述のようにユーザ端末2とサービスサーバ5との間でサービス要求155とサービス情報158のやりとりが、認証確認サーバ103とサービスサーバ5との間で認証確認156と認証済みの通知157のやりとりが行われる。
【0005】
なお、ユーザ端末2が認証確認サーバ103に対して認証153を行わずに、サービスサーバ4に対しサービス要求155を送出した場合は、認証確認サーバ103は認証確認156の応答として、認証未処理の通知157をサービスサーバ4に返送する。この結果、サービスサーバ4はユーザ端末2に対してサービス情報の送付は実施しない。
【0006】
従来のシングルサインオン技術に関する記載がある文献としては例えば非特許文献1がある。
【0007】
【非特許文献1】
Liberty Alliance Project, "Liberty Bindings and Profiles Specification, Version 1.0", 11 July 2002、[平成14年10月3日検索]、インターネット<http://www.projectliberty.org/specs/liberty-architecture-bindings-and-profiles-v1.0.pdf>
【0008】
【発明が解決しようとする課題】
リモートアクセス認証51後の、認証153からサービス情報158までの動作シーケンスは全て、従来の技術では例えばHTTPを用い行われる。HTTPはIP(Internet Protocol)やTCP(Transmission Control Protocol)の上位レイヤに位置する。すなわち、上記認証もIPより上位レイヤで行う処理であり、IPSec等のトンネリングプロトコルを用い、サーバ収容ネットワークへのリモートアクセスを行う際に必要となるリモートアクセス認証とは区別される。これによってユーザ端末2は、リモートアクセス認証と従来のシングルサインオンの認証の2種類の認証を行う必要がある。
【0009】
【課題を解決するための手段】
本出願は、前記2種類の認証を1つの認証に統一する、すなわち、サーバ収容ネットワーク接続時のリモートアクセス認証によりシングルサインオンを実現することを目的とするものである。本解決手段を図1を用い、以下に説明する。
【0010】
ゲートウェイ7は、サーバ収容ネットワーク8とインタネット1の接続点に置かれ、ユーザ端末2がサーバ収容ネットワーク8に接続するためのリモートアクセス認証51の処理を行う。ゲートウェイ7は、認証が成功すれば、以後、ユーザ端末2から送出されるパケットをサーバ収容ネットワーク8に転送し、また、サーバ収容ネットワーク8につながるサービスサーバからユーザ端末2に送られるパケットをインタネット1に転送する。
【0011】
ユーザ端末2からリモートアクセス認証51を受け、認証が成功であることを確認すると、ゲートウェイ7は、リモートアクセス認証51における認証結果であるリモートアクセス認証結果52を、認証確認サーバ3に転送する。リモートアクセス認証結果52が成功である場合、認証確認サーバ3は、ユーザ端末2を通じて認証を行ったユーザが認証済みであることを一元管理する。
【0012】
この後、ユーザ端末2は例えばサービスサーバ4に対しサービス情報を享受したい場合に、サービスサーバ4にサービス要求55を送る。サービスサーバ4はサービス要求55を受信すると、認証確認サーバ3に対し認証確認56を送信する。認証確認56を受信すると、認証確認サーバ3は、ユーザ端末2は既に認証済みであるため、認証済みの通知57をサービスサーバ4に返送する。サービスサーバ4は認証済みであることの確認がとれると、要求されたサービス情報をユーザ端末2に対し送付する。
【0013】
さらにこの後、ユーザ端末2がサービスサーバ5に対しサービス情報を享受したい場合も、前述のようにユーザ端末2とサービスサーバ5との間でサービス要求55とサービス情報58のやりとりが、認証確認サーバ3とサービスサーバ5との間で認証確認56と認証済みの通知57のやりとりが行われる。
【0014】
すなわち本手段は、サービスサーバにとって従来技術と全く同じ動作を維持しつつ、リモートアクセス認証51の1回の認証のみでシングルサインオンを実現する。
【0015】
【発明の実施の形態】
本発明の実施形態に基づくサービス提供システムを図1に示す。
【0016】
ゲートウェイ7は、サーバ収容ネットワーク8とインタネット1の接続点に置かれ、ユーザ端末2がサーバ収容ネットワーク8に接続するためのリモートアクセス認証51の処理を行う。ゲートウェイ7は、認証が成功すれば、以後、ユーザ端末2から送出されるパケットをサーバ収容ネットワーク8に転送し、また、サーバ収容ネットワーク8につながるサービスサーバからユーザ端末2に送られるパケットをインタネット1に転送する。
【0017】
ユーザ端末2からリモートアクセス認証51を受け、認証が成功であることを確認すると、ゲートウェイ7は、リモートアクセス認証51における認証結果であるリモートアクセス認証結果52を、認証確認サーバ3に転送する。リモートアクセス認証結果52が成功である場合、認証確認サーバ3は、ユーザ端末2を通じて認証を行ったユーザが認証済みであることを一元管理する。
【0018】
ここで、リモートアクセス認証結果52は、認証成功の場合にのみゲートウェイ7から認証確認サーバ3に転送され、これによって認証確認サーバ3は、ユーザ端末2を通じて認証を行ったユーザが認証済みであることを一元管理する方法を用いてもよい。
【0019】
この後、ユーザ端末2は例えばサービスサーバ4に対しサービス情報を享受したい場合に、サービスサーバ4にサービス要求55を送る。サービスサーバ4はサービス要求55を受信すると、認証確認サーバ3に対し認証確認56を送信する。認証確認56を受信すると、認証確認サーバ3は、ユーザ端末2は既に認証済みであるため、認証済みの通知57をサービスサーバ4に返送する。サービスサーバ4は認証済みであることの確認がとれると、要求されたサービス情報をユーザ端末2に対し送付する。
【0020】
さらにこの後、ユーザ端末2がサービスサーバ5に対しサービス情報を享受したい場合も、前述のようにユーザ端末2とサービスサーバ5との間でサービス要求55とサービス情報58のやりとりが、認証確認サーバ103とサービスサーバ5との間で認証確認56と認証済みの通知57のやりとりが行われる。
【0021】
ここでユーザ端末2が元々サービスサーバ6との接続が許可されていない場合に、ユーザ端末2がサービスサーバ6からサービス要求を行ったときの動作について言及する。認証確認サーバ3は、ユーザ端末2が接続してよいサービスサーバとしてサービスサーバ4および5を管理している。ユーザ端末2からのサービス要求に伴い、サービスサーバ6から送られる認証確認を認証確認サーバ3が受信すると、ユーザ端末2はサービスサーバ6への接続が許可されていないため、認証確認サーバ3はサービスサーバ6に認証未処理であることを通知する。これによって契約外のユーザ端末2がサービスサーバ6からサービス情報を不当に取得することを防ぐことができる。
【0022】
次に、ユーザ端末2が取得した各サービス情報が有料であり、この課金管理を認証確認サーバ3が行う場合の処理について図3を用い説明する。前述のサービスサーバ4からユーザ端末2にサービス情報58が送付された後、サービスサーバ4は認証確認サーバ3に対し、サービス情報取得の履歴情報61を送信する。これを受けると認証確認サーバ3は、図4に示す内部の履歴情報管理部12にてユーザ端末2を利用するユーザがサービス情報58を取得したことを管理する。さらに課金情報管理部13にて、該ユーザがサービス情報取得したことにより課せられる料金情報を管理する。また、認証確認サーバ3は、サービス情報取得の履歴情報61を受け取ったことを通知するために、履歴情報受信通知62をサービスサーバ4に返送する。
【0023】
なお、認証確認サーバ3は、前記料金情報に基づき、サービスサーバあるいはサービス情報を保有するサービス事業者の代わりに、該ユーザに対し料金徴収を行う課金代行サーバを備えてもよい。
【0024】
また、認証確認サーバ3とゲートウェイ7は一体化した場合や、認証確認サーバ3とサービスサーバ4ないし6のうちいずれか1つと一体化した場合も、本実施形態を逸脱しないことを追記する。
【0025】
また、本実施形態は、ユーザ端末2とゲートウェイ7間の通信がIPSecであり、リモートアクセス認証51がIPSec通信確立時に行われる認証とし、サービス要求55、認証確認56、認証済みあるいは認証未処理の通知57、サービス情報58、サービス情報取得の履歴情報61および履歴情報受信通知62をHTTPにより転送する場合にも適用することができ、現在実用化されている技術にも応用することが可能である。
【0026】
また、前述の動作シーケンスに追加し、図5に示すように、従来技術ではユーザ端末2と認証確認サーバ3との間で確認53および確認応答54がやりとりされる場合もある。この場合においてもリモートアクセス認証52の位置づけ、動作概要は前述と同様であり、確認53および確認応答54の有無に関わらず、本発明が適用できる。
【0027】
また、以上の説明では、リモートアクセス認証51は、ユーザ端末2を利用しているユーザを特定するための認証として説明したが、ユーザ端末2自身を特定するための認証としても、動作概要は基本的に変わらないことを追記する。
【0028】
さらに本発明は、
(1)認証確認サーバを所有するサービス事業者と、サービスサーバを所有するサービス事業者とが異なる形態、また、
(2)ゲートウェイを所有するサービス事業者と、サービスサーバを所有するサービス事業者とが異なる形態、また、
(3)認証確認サーバおよびゲートウェイを所有するサービス事業者と、サービスサーバを所有するサービス事業者とが異なる形態、また、
(4)認証確認サーバ、サーバ収容ネットワーク、およびゲートウェイを所有するサービス事業者と、サービスサーバを所有するサービス事業者とが異なる形態、また、
(5)認証確認サーバを所有するサービス事業者と、ゲートウェイを所有するサービス事業者とが異なる形態、
などにも適用されうることは言うまでもない。
【0029】
以上、本発明者によってなされた発明を、前記実施の形態に基づき具体的に説明したが、本発明は、前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【0030】
【発明の効果】
本発明のサービス提供システムは、リモートアクセス認証51の1回の認証のみでシングルサインオンを実現する。また、本発明のサービスサーバと認証確認サーバ間のシーケンスおよびサービスサーバとユーザ端末間のシーケンスは従来技術と同様であるため、従来技術から本発明技術に移行する場合に、サービスサーバの変更が伴わない利点がある。
【図面の簡単な説明】
【図1】本発明の実施形態のサービス提供システムを示す図である。
【図2】従来技術に基づくサービス提供システムを示す図である。
【図3】本発明の実施形態の課金管理処理を示す図である。
【図4】本発明の実施形態の認証確認サーバの内部構造を示す図である。
【図5】本発明の実施形態のユーザ端末と認証確認サーバとの間で通信が行われる場合のサービス提供システムを示す図である。
【符号の説明】
1…インタネット、2…ユーザ端末、3、103…認証確認サーバ、4〜6…サービスサーバ、7…ゲートウェイ、8…サーバ収容ネットワーク、11…認証状況管理部、12…履歴情報管理部、13…課金情報管理部、51…リモートアクセス認証、52…リモートアクセス認証結果、53…確認、54…確認応答、55…サービス要求、56、156…認証確認、57、157…認証済みあるいは認証未処理の通知、58、158…サービス情報、61…サービス情報取得の履歴情報、62…履歴情報受信通知。
Claims (11)
- ユーザ端末がサーバ収容ネットワークに接続するためのリモートアクセス認証を行う手段と、
該ユーザ端末のリモートアクセス認証が成功した場合に該ユーザ端末から送出されるパケットをサーバ収容ネットワークに転送することを許可する手段と、
を具備するゲートウェイと、
前記ユーザ端末からのサービス要求パケットを受信し、その応答として前記ユーザ端末にサービス情報を載せたサービス情報パケットを返送する手段を具備する1つまたは複数のサービスサーバと、
前記ゲートウェイから前記リモートアクセス認証結果を受信する手段と、
前記サービスサーバから、該ユーザ端末が既にリモートアクセス認証済みであるかを確認する認証確認を受信し、その応答として、前記リモートアクセス認証結果が成功の場合は、該サービスサーバに認証済みであることを通知し、前記リモートアクセス認証結果が不成功の場合は、該サービスサーバに認証未処理であることを通知する手段と、
を具備する認証確認サーバと、
を備え、
前記サービスサーバからの前記ユーザ端末が既に認証済みであるかを確認する認証確認、およびその応答はHTTP(Hypertext Transfer Protocol)であることを特徴とするサービス提供システム。 - 前記リモートアクセス認証結果は、認証成功の場合にのみ前記ゲートウェイから転送され、前記認証確認サーバがこれを受信することを特徴とする請求項1記載のサービス提供システム。
- 前記認証確認サーバは、
各ユーザまたは各ユーザ端末が接続してよいサービスサーバ、または各ユーザまたは各ユーザ端末が取得してよいサービス情報を管理し、
前記サービスサーバから該ユーザ端末が既に認証済みであるかを確認する認証確認を受信し、前記リモートアクセス認証結果が成功の場合において、該ユーザ端末が該サービスサーバに接続してよいまたはサービス情報を取得してよい場合には、前記サービスサーバに認証済みであることを通知し、該ユーザ端末が該サービスサーバヘの接続が許可されていないまたはサービス情報の取得が許可されていない場合には、前記サービスサーバに認証未処理であることを通知する手段を具備することを特徴とする請求項1または2記載のサービス提供システム。 - 前記サービスサーバは、前記認証確認サーバより認証済みであることを通知された場合、前記ユーザ端末に対しサービス情報パケットを返送し、前記認証確認サーバより認証未処理であることを通知された場合、前記ユーザ端末に対しサービス情報パケットの転送を拒否することを特徴とする請求項1、2または3記載のサービス提供システム。
- 前記ユーザ端末がサーバ収容ネットワークに接続するためのリモートアクセス認証は、前記ユーザ端末を利用するユーザを特定するための認証であることを特徴とする請求項1、2、3または4記載のサービス提供システム。
- 前記ユーザ端末がサーバ収容ネットワークに接続するためのリモートアクセス認証は、前記ユーザ端末を特定するための認証であることを特徴とする請求項1、2、3または4記載のサービス提供システム。
- 前記サービスサーバは前記サービス情報パケットを前記ユーザ端末に返送したときに、該サービス情報を該ユーザ端末に転送したことを前記認証確認サーバに通知する手段を具備し、
前記認証確認サーバは、前記サービスサーバより受信する該サービス情報を該ユーザ端末に転送したことの通知に基づき、該ユーザまたは該ユーザ端末のサービス情報取得履歴を管理する手段を具備することを特徴とする請求項1ないし6のいずれか1項記載のサービス提供システム。 - 前記認証確認サーバは、前記該ユーザまたは該ユーザ端末のサービス情報取得履歴を管理する手段に基づき、該ユーザまたは該ユーザ端末がサービス情報取得したことにより課せられる料金情報を管理する手段を具備することを特徴とする請求項7記載のサービス提供システム。
- 前記認証確認サーバが管理する前記料金情報に基づき、サービスサーバまたはサービス情報を保有するサービス事業者の代わりに、該ユーザまたは該ユーザ端末所有者に対し料金徴収を行う課金代行サーバを備える請求項8記載のサービス提供システム。
- ユーザ端末がサーバ収容ネットワークに接続するためのリモートアクセス認証を行う手段と、
該ユーザ端末のリモートアクセス認証が成功した場合に該ユーザ端末から送出されるパケットをサーバ収容ネットワークに転送することを許可する手段と、
を具備するゲートウェイと、
前記ゲートウェイから前記リモートアクセス認証結果を受信する手段と、
前記ユーザ端末からのサービス要求パケットを受信しその応答として該ユーザ端末にサービス情報を載せたサービス情報パケットを返送する手段を具備する1つまたは複数のサービスサーバから、該ユーザ端末が既にリモートアクセス認証済みであるかを確認する認証確認を受信し、その応答として、前記リモートアクセス認証結果が成功の場合は、該サービスサーバに認証済みであることを通知し、前記リモートアクセス認証結果が不成功の場合は、該サービスサーバに認証未処理であることを通知する手段を具備する認証確認サーバと、
を備え、
前記サービスサーバからの前記ユーザ端末が既に認証済みであるかを確認する認証確認、およびその応答はHTTP(Hypertext Transfer Protocol)であることを特徴とするゲートウェイおよび認証確認サーバからなるシステム。 - サーバ収容ネットワークと、
ユーザ端末がサーバ収容ネットワークに接続するためのリモートアクセス認証を行う手段と、
該ユーザ端末のリモートアクセス認証が成功した場合に該ユーザ端末から送出されるパケットを前記サーバ収容ネットワークに転送することを許可する手段と、
を具備するゲートウェイと、
前記ゲートウェイから前記リモートアクセス認証結果を受信する手段と、
前記ユーザ端末からのサービス要求パケットを受信しその応答として該ユーザ端末にサービス情報を載せたサービス情報パケットを返送する手段を具備する1つまたは複数のサービスサーバから、該ユーザ端末が既にリモートアクセス認証済みであるかを確認する認証確認を受信し、その応答として、前記リモートアクセス認証結果が成功の場合は、該サービスサーバに認証済みであることを通知し、前記リモートアクセス認証結果が不成功の場合は、該サービスサーバに認証未処理であることを通知する手段を具備する認証確認サーバと、
を備え、
前記サービスサーバからの前記ユーザ端末が既に認証済みであるかを確認する認証確認、およびその応答はHTTP(Hypertext Transfer Protocol)であることを特徴とするサーバ収容ネットワーク、ゲートウェイ、および認証確認サーバからなるシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002299747A JP4377120B2 (ja) | 2002-10-15 | 2002-10-15 | リモートアクセス認証に基づくサービス提供システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002299747A JP4377120B2 (ja) | 2002-10-15 | 2002-10-15 | リモートアクセス認証に基づくサービス提供システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004133824A JP2004133824A (ja) | 2004-04-30 |
| JP4377120B2 true JP4377120B2 (ja) | 2009-12-02 |
Family
ID=32288798
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002299747A Expired - Lifetime JP4377120B2 (ja) | 2002-10-15 | 2002-10-15 | リモートアクセス認証に基づくサービス提供システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4377120B2 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007293811A (ja) * | 2006-03-31 | 2007-11-08 | Nippon Telegr & Teleph Corp <Ntt> | 代理認証システム、代理認証方法及びそれに用いる認証装置 |
| JP5239341B2 (ja) * | 2008-01-08 | 2013-07-17 | 日本電気株式会社 | ゲートウェイ、中継方法及びプログラム |
| JP5273770B2 (ja) * | 2008-03-04 | 2013-08-28 | 日本電信電話株式会社 | Vpn多重帰属システムおよび認証制御方法 |
| JP5427005B2 (ja) * | 2009-11-24 | 2014-02-26 | 富士通エフ・アイ・ピー株式会社 | コンテンツ利用・課金方法、コンテンツ利用・課金プログラム、コンテンツ利用・課金システム |
| JP5395036B2 (ja) * | 2010-11-12 | 2014-01-22 | 日立オートモティブシステムズ株式会社 | 車載ネットワークシステム |
| GB2499363B (en) * | 2011-11-30 | 2018-06-27 | Metaswitch Networks Ltd | Providing access and transmitting notifications |
| JP6069039B2 (ja) | 2013-03-11 | 2017-01-25 | 日立オートモティブシステムズ株式会社 | ゲートウェイ装置及びサービス提供システム |
| JP6155237B2 (ja) * | 2014-08-25 | 2017-06-28 | 日本電信電話株式会社 | ネットワークシステムとその端末登録方法 |
-
2002
- 2002-10-15 JP JP2002299747A patent/JP4377120B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004133824A (ja) | 2004-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4291213B2 (ja) | 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体 | |
| US9113332B2 (en) | Method and device for managing authentication of a user | |
| AU2017344388B2 (en) | Improvements in and relating to network communication | |
| EP1705869B1 (en) | Method and apparatus for locating mobile device users within a wireless computer network | |
| CN105830414A (zh) | 使用凭证的安全的网络接入 | |
| US20060183463A1 (en) | Method for authenticated connection setup | |
| EP2355439A1 (en) | Accessing restricted services | |
| AU2006235867A1 (en) | Network system, proxy server, session management method, and program | |
| WO2018045798A1 (zh) | 网络认证方法、相关装置 | |
| CN102905263A (zh) | 实现3g用户安全接入网络的方法和设备 | |
| JP2021522757A (ja) | コアネットワ−クへの非3gpp装置アクセス | |
| JP4377120B2 (ja) | リモートアクセス認証に基づくサービス提供システム | |
| CN112219417A (zh) | 服务访问之后撤销凭证 | |
| JP4987820B2 (ja) | 認証システム、接続制御装置、認証装置および転送装置 | |
| CN102045398B (zh) | 一种基于Portal的分布式控制方法和设备 | |
| JP6155237B2 (ja) | ネットワークシステムとその端末登録方法 | |
| CN112311766B (zh) | 一种用户证书的获取方法及装置、终端设备 | |
| JP4357165B2 (ja) | ネットワーク接続認証に基づくサービス提供システム | |
| JP2009217722A (ja) | 認証処理システム、認証装置、管理装置、認証処理方法、認証処理プログラムおよび管理処理プログラム | |
| WO2015100874A1 (zh) | 家庭网关接入管理方法和系统 | |
| WO2005111826A1 (ja) | 通信システム | |
| WO2011017921A1 (zh) | 一种访问拜访地服务提供商的系统及方法 | |
| CN110784447B (zh) | 跨协议实现无感知认证的方法 | |
| CN108271152B (zh) | 无线局域网wlan认证方法、认证平台和门户服务器 | |
| CN101742507B (zh) | 一种WAPI终端访问Web应用站点的系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050422 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080620 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080701 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080828 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090908 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090910 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120918 Year of fee payment: 3 |