JP4477619B2 - 認証システムおよび認証方法 - Google Patents

認証システムおよび認証方法 Download PDF

Info

Publication number
JP4477619B2
JP4477619B2 JP2006314497A JP2006314497A JP4477619B2 JP 4477619 B2 JP4477619 B2 JP 4477619B2 JP 2006314497 A JP2006314497 A JP 2006314497A JP 2006314497 A JP2006314497 A JP 2006314497A JP 4477619 B2 JP4477619 B2 JP 4477619B2
Authority
JP
Japan
Prior art keywords
authentication
terminal
terminal device
connection
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006314497A
Other languages
English (en)
Other versions
JP2008129865A (ja
Inventor
嘉人 大嶋
正久 川島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006314497A priority Critical patent/JP4477619B2/ja
Publication of JP2008129865A publication Critical patent/JP2008129865A/ja
Application granted granted Critical
Publication of JP4477619B2 publication Critical patent/JP4477619B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Small-Scale Networks (AREA)

Description

この発明は、ネットワーク上の配置された各装置間の通信接続を接続制御装置によって制御するとともに、当該接続制御装置によって通信が確立された端末装置からサービス提供装置に対してサービスの要求があった場合に、当該端末装置を認証する認証システムおよび認証方法に関する。
従来より、ネットワーク(インターネットや公衆電話網など)を介した電子商取引やその他のサービスを提供するに際して、サービスの不正な利用を防止することを目的として、サービスの要求を行って利用する端末装置(あるいはそのユーザ)を認証する技術が存在する。認証技術の周知なものとして、例えば、パスワードなどユーザの知識を用いた方法やユーザが保持するICカードなどの物理的な装置を用いた方法がある。
しかし、これらの方法には、ユーザのパスワード亡失時の対応を含めたパスワードの管理や、ICカードなどの物理的な装置の管理にかかるサービス提供者側のコスト負担の他、パスワードの記憶やICカードなどの物理的な装置の携帯などユーザ側の利便性の問題が存在する。
そこで、例えば、特許文献1では、サービスの要求を行って利用する端末装置がネットワークへの接続に利用する電話回線に割り当てられている電話番号に基づいて、端末装置(あるいはそのユーザ)が正規のサービス利用者であるか否か認証する技術が開示されている。
特開2002−41476号公報
ところで、特許文献1に開示されているような上記した従来の技術は、コスト負担の増加を招くという問題点があった。すなわち、上記した従来の技術は、認証のための専用機能としてダイヤルアップ接続装置に端末装置の発信電話番号と通信アドレスとを対応付けて管理するとともに他の装置に通知する機能、あるいは、他の装置から受け付けた問い合わせに含まれる通信アドレスに対応する電話番号を検索して応答する機能等を、認証対象となる全ユーザが接続しうる全ダイヤルアップ接続装置に追加して具備する必要があり、機能追加を行う範囲が通信基盤(インフラ)の全体に及ぶことから、コスト負担の増加を招くという問題点があった。
また、近年のブロードバンド化の進展に伴うダイヤルアップ以外の接続形態の普及により、従来の技術のように、端末装置のネットワークに対する接続形態がダイヤルアップに限定されると、サービス利用者にサービス利用に対する障害を与えたり、サービス提供者に対してサービス提供の機会喪失を発生させたりするという問題点があった。
そこで、本発明は、上述した従来技術の課題を解決するためになされたものであり、ネットワーク上で提供されるサービスを利用する端末装置、あるいはその利用者の認証について、既存のインフラに手を加えることなく、容易かつ低コストに実現することが可能な認証システムおよび認証方法を提供することを目的とする。
上述した課題を解決し、目的を達成するため、請求項1に係る発明は、ネットワーク上の配置された各装置間の通信接続を接続制御装置によって制御するとともに、サービス提供装置に対して端末装置からサービスの要求があった場合に、当該端末装置を認証する認証システムであって、前記接続制御装置は、前記端末装置ごとに一意に割り当てられた端末識別子と前記ネットワークを介した通信に利用する通信アドレスとを対応付けてそれぞれ記憶する管理端末情報記憶手段と、前記端末装置を認証する認証装置から当該端末装置を宛先とする接続要求信号を受信した場合に、当該接続要求信号に含まれた端末識別子に対応する端末装置を宛先として当該接続要求信号を転送する接続要求転送手段と、前記端末装置から前記接続要求信号に対する応答信号を受信した場合に、前記管理端末情報記憶手段により記憶されている前記通信アドレスの中から、当該応答信号に含まれる端末識別子に対応する通信アドレスを検索して、当該応答信号に含まれる通信アドレスと一致するか否か検証する検証手段と、前記検証手段により前記各通信アドレスが互いに一致するものと検証された場合には、当該応答信号を前記認証装置に転送する接続要求応答転送手段と、を備え、前記認証装置は、前記サービス提供装置から認証要求を受信する認証要求受信手段と、前記認証要求受信手段により受信された認証要求の対象となる端末装置を宛先として、前記接続制御装置に接続要求信号を送信する端末接続要求送信手段と、前記接続制御装置から転送された前記応答信号を受信した場合に、当該応答信号に含まれている端末識別子および通信アドレスに基づいて、前記端末装置を認証する認証手段と、前記認証手段により前記端末装置が認証された場合には、認証結果を前記サービス提供装置に送信する認証結果送信手段と、を備えたことを特徴とする。
また、請求項2に係る発明は、上記の発明において、前記端末装置は、前記認証装置に対して一意に割り当てられた装置識別子を記憶する装置情報記憶手段と、自己の端末識別子および通信アドレスを記憶する自己情報記憶手段と、前記装置情報記憶手段により記憶されている前記装置識別子に対応する前記認証装置を宛先として、前記自己情報記憶手段により記憶されている端末識別子および通信アドレスを含ませた接続要求信号を前記接続制御装置に送信する装置接続要求送信手段と、前記接続制御装置から転送された前記認証装置の応答信号を受信する応答信号受信手段と、を備え、前記接続制御装置の検証手段は、前記端末装置から前記認証装置を宛先とする接続要求信号を受信した場合に、前記管理端末情報記憶手段により記憶されている前記通信アドレスの中から、当該接続要求信号に含まれる端末識別子に対応する通信アドレスを検索して、当該接続要求信号に含まれる通信アドレスと一致するか否か検証し、前記接続制御装置の接続要求転送手段は、前記検証手段により前記各通信アドレスが互いに一致するものと検証された場合には、当該接続要求信号を前記認証装置に転送し、前記接続制御装置の接続要求応答転送手段は、前記接続要求信号に対して接続確立に応じる意向を示す応答信号を前記認証装置から受信した場合に、当該応答信号に含まれた端末識別子に対応する端末装置を宛先として当該応答信号を転送し、前記認証装置は、前記接続制御装置から転送された前記端末装置の接続要求信号を受信する信号受信手段と、記信号受信手段により受信された前記接続要求信号に含まれている端末識別子および通信アドレスを端末装置ごとに記憶する端末情報記憶手段と、前記信号受信手段により受信された当該接続要求信号に含まれる端末識別子に対応する端末装置を宛先として、接続確立に応じる意向を示す応答信号を前記接続制御装置に送信する応答信号送信手段と、前記認証要求受信手段により前記サービス提供装置から前記端末装置の通信アドレスを含んだ認証要求を受信した場合に、前記端末情報記憶手段により記憶されている端末識別子の中から、当該通信アドレスに対応する端末識別子を特定する端末識別子特定手段と、をさらに備え、前記認証手段は、前記端末識別子特定手段により前記通信アドレスに対応する端末識別子が特定されるか否かに基づいて当該端末装置を認証し、前記認証結果送信手段は、前記認証手段により前記端末装置が認証された場合には、前記端末識別子特定手段により特定された前記端末識別子を含んだ認証結果を前記サービス提供装置に送信することを特徴とする。
また、請求項3に係る発明は、上記の発明において、前記端末装置は、前記接続制御装置から転送された前記認証装置の確認メッセージを受信した場合に、当該確認メッセージが自己宛であるか否かについて、当該認証装置との事前の接続確立に係る情報に基づいて検証するメッセージ検証手段と、前記メッセージ検証手段による前記確認メッセージの検証結果に応じて、当該検証結果を含んだ応答メッセージを生成して返信する応答メッセージ返信手段と、をさらに備え、前記接続制御装置は、前記認証装置から端末識別子を含んだ確認メッセージを受信した場合に、当該端末識別子に対応する端末装置を宛先として当該確認メッセージを転送する確認メッセージ転送手段をさらに備え、前記認証装置は、前記端末装置との事前の接続確立に係る情報に基づいて確認メッセージを生成する確認メッセージ生成手段と、前記端末識別子特定手段により特定された前記端末識別子に対応する端末装置を宛先として、前記確認メッセージ生成手段により生成された前記確認メッセージを前記接続制御装置に送信する確認メッセージ送信手段と、をさらに備え、前記認証装置の前記認証手段は、前記端末装置から応答メッセージを受信した場合に、当該応答メッセージに含まれる検証結果に基づいて当該端末装置を認証することを特徴とする。
また、請求項4に係る発明は、上記の発明において、前記端末装置は、前記認証装置との間の事前の接続確立に係る情報に基づいて、前記確認メッセージに対する応答メッセージを生成して返信する応答メッセージ処理手段をさらに備え、前記認証装置の前記認証手段は、前記端末装置から応答メッセージを受信した場合に、前記端末装置との間の事前の接続確立に係る情報に基づいて、当該応答メッセージの送信元である端末装置が事前に接続確立した端末装置と同一であるか否か判定して、当該応答メッセージの送信元である端末装置を認証することを特徴とする。
また、請求項5に係る発明は、上記の発明において、前記認証装置は、前記サービス提供装置が提供するサービスを利用する端末装置ごとに割り当てるサービス利用者識別情報と前記端末識別子とを対応付けてそれぞれ記憶するサービス利用者情報記憶手段と、前記サービス利用者情報記憶手段により記憶されているサービス利用者識別情報の中から、前記端末識別子特定手段により検索された前記端末識別子に対応するサービス利用者識別情報を検索するサービス利用者識別情報検索手段と、をさらに備え、前記認証結果送信手段は、前記認証手段により前記端末装置が認証された場合には、前記サービス利用者識別情報検索手段により検索された前記サービス利用者識別情報を含んだ認証結果を前記サービス提供装置に送信することを特徴とする。
また、請求項6に係る発明は、ネットワーク上の配置された各装置間の通信接続を接続制御装置によって制御するとともに、サービス提供装置に対して端末装置からサービスの要求があった場合に、当該端末装置を認証する認証方法であって、前記接続制御装置は、前記端末装置ごとに一意に割り当てられた端末識別子と前記ネットワークを介した通信に利用する通信アドレスとを対応付けて、記憶部にそれぞれ記憶する管理端末情報記憶工程と、前記端末装置を認証する認証装置から当該端末装置を宛先とする接続要求信号を受信した場合に、当該接続要求信号に含まれた端末識別子に対応する端末装置を宛先として当該接続要求信号を転送する接続要求転送工程と、前記端末装置から前記接続要求信号に対する応答信号を受信した場合に、前記管理端末情報記憶工程により記憶部に記憶されている前記通信アドレスの中から、当該応答信号に含まれる端末識別子に対応する通信アドレスを検索して、当該応答信号に含まれる通信アドレスと一致するか否か検証する検証工程と、前記検証工程により前記各通信アドレスが互いに一致するものと検証された場合には、当該応答信号を前記認証装置に転送する接続要求応答転送工程と、を含み、前記認証装置は、前記サービス提供装置から認証要求を受信する認証要求受信工程と、前記認証要求受信工程により受信された認証要求の対象となる端末装置を宛先として、前記接続制御装置に接続要求信号を送信する端末接続要求送信工程と、前記接続制御装置から転送された前記応答信号を受信した場合に、当該応答信号に含まれている端末識別子および通信アドレスに基づいて、前記端末装置を認証する認証工程と、前記認証工程により前記端末装置が認証された場合には、認証結果を前記サービス提供装置に送信する認証結果送信工程と、を含んだことを特徴とする。
また、請求項7に係る発明は、上記の発明において、前記端末装置は、前記認証装置に対して一意に割り当てられた装置識別子を記憶部に記憶する装置情報記憶工程と、自己の端末識別子および通信アドレスを記憶部に記憶する自己情報記憶工程と、前記装置情報記憶工程により記憶部に記憶されている前記装置識別子に対応する前記認証装置を宛先として、自己情報記憶工程により記憶部に記憶されている端末識別子および通信アドレスを含ませた接続要求信号を前記接続制御装置に送信する装置接続要求送信工程と、前記接続制御装置から転送された前記認証装置の応答信号を受信する応答信号受信工程と、を含み、前記接続制御装置の検証工程は、前記端末装置から前記認証装置を宛先とする接続要求信号を受信した場合に、前記管理端末情報記憶工程により記憶部に記憶されている前記通信アドレスの中から、当該接続要求信号に含まれる端末識別子に対応する通信アドレスを検索して、当該接続要求信号に含まれる通信アドレスと一致するか否か検証し、前記接続制御装置の接続要求転送工程は、前記検証工程により前記各通信アドレスが互いに一致するものと検証された場合には、当該接続要求信号を前記認証装置に転送し、前記接続制御装置の接続要求応答転送工程は、前記接続要求信号に対して接続確立に応じる意向を示す応答信号を前記認証装置から受信した場合に、当該応答信号に含まれた端末識別子に対応する端末装置を宛先として当該応答信号を転送し、前記認証装置は、前記接続制御装置から転送された前記端末装置の接続要求信号を受信する信号受信工程と、前記信号受信工程により受信された前記接続要求信号に含まれている端末識別子および通信アドレスを端末装置ごとに記憶部に記憶する端末情報記憶工程と、前記信号受信工程により受信された当該接続要求信号に含まれる端末識別子に対応する端末装置を宛先として、接続確立に応じる意向を示す応答信号を前記接続制御装置に送信する応答信号送信工程と、前記認証要求受信工程により前記サービス提供装置から前記端末装置の通信アドレスを含んだ認証要求を受信した場合に、前記端末情報記憶工程により記憶部に記憶されている端末識別子の中から、当該通信アドレスに対応する端末識別子を特定する端末識別子特定工程と、をさらに含み、前記認証工程は、前記端末識別子特定工程により前記通信アドレスに対応する端末識別子が特定されるか否かに基づいて当該端末装置を認証し、前記認証結果送信工程は、前記認証工程により前記端末装置が認証された場合には、前記端末識別子特定工程により特定された前記端末識別子を含んだ認証結果を前記サービス提供装置に送信することを特徴とする。
また、請求項8に係る発明は、上記の発明において、前記端末装置は、前記接続制御装置から転送された前記認証装置の確認メッセージを受信した場合に、当該確認メッセージが自己宛であるか否かについて、当該認証装置との事前の接続確立に係る情報に基づいて検証するメッセージ検証工程と、前記メッセージ検証工程による前記確認メッセージの検証結果に応じて、当該検証結果を含んだ応答メッセージを生成して返信する応答メッセージ返信工程と、をさらに含み、前記接続制御装置は、前記認証装置から端末識別子を含んだ確認メッセージを受信した場合に、当該端末識別子に対応する端末装置を宛先として当該確認メッセージを転送する確認メッセージ転送工程をさらに含み、前記認証装置は、前記端末装置との事前の接続確立に係る情報に基づいて確認メッセージを生成する確認メッセージ生成工程と、前記端末識別子特定工程により特定された前記端末識別子に対応する端末装置を宛先として、前記確認メッセージ生成工程により生成された前記確認メッセージを前記接続制御装置に送信する確認メッセージ送信工程と、をさらに含み、前記認証装置の認証工程は、前記端末装置から応答メッセージを受信した場合に、当該応答メッセージに含まれる検証結果に基づいて当該端末装置を認証することを特徴とする。
また、請求項9に係る発明は、上記の発明において、前記端末装置は、前記認証装置との間の事前の接続確立に係る情報に基づいて、前記確認メッセージに対する応答メッセージを生成して返信する応答メッセージ処理工程をさらに備え、前記認証装置の前記認証工程は、前記端末装置から応答メッセージを受信した場合に、前記端末装置との間の事前の接続確立に係る情報に基づいて、当該応答メッセージの送信元である端末装置が事前に接続確立した端末装置と同一であるか否か判定して、当該応答メッセージの送信元である端末装置を認証することを特徴とする。
また、請求項10に係る発明は、上記の発明において、前記認証装置は、前記サービス提供装置が提供するサービスを利用する端末装置ごとに割り当てるサービス利用者識別情報と前記端末識別子とを対応付けて、記憶部にそれぞれ記憶するサービス利用者情報記憶工程と、前記サービス利用者情報記憶工程により記憶部に記憶されているサービス利用者識別情報の中から、前記端末識別子特定工程により特定された前記端末識別子に対応するサービス利用者識別情報を検索するサービス利用者識別情報検索工程と、をさらに含み、前記認証結果送信工程は、前記認証工程により前記端末装置が認証された場合には、前記サービス利用者識別情報検索工程により検索された前記サービス利用者識別情報を含んだ認証結果を前記サービス提供装置に送信することを特徴とする。
請求項1または6の発明によれば、ネットワーク上の配置された各装置間で接続確立型の通信を行う際に、その通信接続の確立および破棄を制御する接続制御装置は、端末装置ごとに一意に割り当てられた端末識別子とネットワークを介した通信に利用する通信アドレスとを対応付けてそれぞれ記憶し、端末装置を認証する認証装置から端末装置を宛先とする接続要求信号を受信すると、接続要求信号に含まれた端末識別子に対応する端末装置を宛先として接続要求信号を転送し、また、端末装置から接続要求信号に対する応答信号を受信すると、記憶されている通信アドレスの中から、応答信号に含まれる端末識別子に対応する通信アドレスを検索して、応答信号に含まれる通信アドレスと一致するか否か検証するとともに、各通信アドレスが互いに一致するものと検証された場合には応答信号を認証装置に転送し、認証装置は、例えば、サービス提供装置から端末装置の端末識別子および通信アドレスを含んだ認証要求を受信すると、受信された端末識別子に対応する端末装置を宛先として接続制御装置に接続要求信号を送信し、また、接続制御装置から転送された端末装置の応答信号を受信すると、応答信号に含まれている端末識別子および通信アドレスと、認証要求時に受信された端末識別子および通信アドレスとがそれぞれ一致するか否か判定して端末装置を認証するとともに、端末装置が認証された場合には認証結果をサービス提供装置に送信するので、ネットワーク上で提供されるサービスを利用する端末装置、あるいはその利用者の認証について、既存のインフラに手を加えることなく、容易かつ低コストに実現することが可能である。すなわち、IP電話サービス等の接続確立型の通信サービスを実施するために設置されている接続制御装置の外部に認証装置を追加設置するだけで、接続制御装置に対して機能の変更やインターフェースの追加等を行う必要がなく、接続制御装置が元から有する認証機能をそのまま活用した端末装置等の認証を行うことができる。また、サービス提供装置が端末装置の認証に必要なパスワードやICカード等の配布管理をする必要もない。さらに、端末装置の通信ネットワークへの接続形態について、ダイヤルアップ接続などの特定の形態に限定しないため、サービス利用者にサービス利用に対する障害を与えたり、サービス提供者に対してサービス提供の機会喪失を発生させたりすることもない。
また、請求項2または7の発明によれば、端末装置は、認証装置に対して一意に割り当てられた装置識別子を記憶し、記憶されている装置識別子に対応する認証装置を宛先として、自己の端末識別子および通信アドレスを含ませた接続要求信号を接続制御装置に送信するとともに、接続制御装置から転送された認証装置の応答信号を受信し、接続制御装置は、端末装置から認証装置を宛先とする接続要求信号を受信すると、記憶されている通信アドレスの中から接続要求信号に含まれる端末識別子に対応する通信アドレスを検索して、接続要求信号に含まれる通信アドレスと一致するか否か検証し、各通信アドレスが互いに一致するものと検証された場合には接続要求信号を認証装置に転送するとともに、接続要求信号に対して、接続確立に応じる意向を示す応答信号を認証装置から受信すると、応答信号に含まれた端末識別子に対応する端末装置を宛先として応答信号を転送し、認証装置は、接続制御装置から転送された端末装置の接続要求信号を受信すると、接続要求信号に含まれている端末識別子および通信アドレスを端末装置ごとに記憶し、サービス提供装置から端末装置の通信アドレスを含んだ認証要求を受信すると、記憶されている端末識別子の中から受信された端末装置の通信アドレスに対応する端末識別子の特定を試み、端末識別子が特定されるか否かに基づいて端末装置を認証するとともに、端末装置が認証された場合には、特定された端末識別子を含んだ認証結果をサービス提供装置に送信する、すなわち、端末装置からサービス提供装置にサービス要求が送信された場合のサービス要求に関する処理と、認証装置と端末装置との間の接続確立に関する処理とを分離して非同期的に行えるようにするので、例えば、サービス要求に関する処理について各装置に必要とされる処理量および情報量を少なくすることができ、システム全体の処理量および情報量を削減することが可能である。
また、請求項3または8の発明によれば、端末装置は、接続制御装置から転送された認証装置の確認メッセージを受信した場合に、確認メッセージが自己宛であるか否かについて、認証装置との事前の接続確立に係る情報に基づいて検証する(例えば、確認メッセージに含まれる通信アドレスと自己の通信アドレスが一致するか否か検証する、接続確立時に事前に交わした秘密情報に基づいて検証するなど)とともに、認証装置に対して応答メッセージを返信し、接続制御装置は、認証装置から端末識別子を含んだ確認メッセージを受信した場合に、端末識別子に対応する端末装置を宛先として確認メッセージを転送し、認証装置は、端末装置との事前の接続確立に係る情報(例えば、サービス提供装置から受信した認証要求に含まれる端末装置の通信アドレス、および自己を宛て先とする返信先情報からなる情報)に基づいて確認メッセージを生成して、サービス提供装置の認証要求から特定された端末識別子に対応する端末装置を宛先として確認メッセージを接続制御装置に送信するとともに、端末装置から応答メッセージを受信した場合に、応答メッセージに含まれる検証結果(通信アドレスが一致するか否かの検証結果)に基づいて端末装置を認証する、すなわち、端末装置のサービス提供装置に対するサービス要求時においても、認証装置との接続確立時と同一の通信アドレスを使用しているか否か(通信アドレスが変更されているか否か)を確認するので、端末装置について十分な認証を行うことが可能である。
また、請求項4または9の発明によれば、端末装置は、認証装置との間の事前の接続確立に係る情報に基づいて、確認メッセージに対する応答メッセージを生成し、認証装置は、端末装置から応答メッセージを受信した場合に、端末装置との間の事前の接続確立に係る情報に基づいて、応答メッセージの送信元である端末装置が事前に接続確立した端末装置と同一であるか否か判定して(例えば、メッセージの送信前と受信後で通信アドレスが一致するか否か検証する、接続確立に事前に交わした秘密情報に基づいて判定するなど)、応答メッセージの送信元である端末装置を認証する、すなわち、サービス提供装置に対するサービス要求時においても、認証装置との接続確立時と同一の端末装置であるか否かを確認するので、端末装置の成りすましや誤動作に対して頑強な認証が可能である。
また、請求項5または10の発明によれば、認証装置は、サービス提供装置が提供するサービスを利用する端末装置ごとに割り当てるサービス利用者識別情報と端末識別子とを対応付けてそれぞれ記憶するとともに、記憶されているサービス利用者識別情報の中から、認証処理において特定された端末識別子に対応するサービス利用者識別情報を検索し、サービス利用者識別情報を含んだ認証結果をサービス提供装置に送信するので、サービス提供装置に対して端末識別子を通知する必要がなく、端末装置に関する情報の漏洩を防止する(すなわち、端末装置利用者のプライバシを保護する)ことが可能である。
以下に添付図面を参照して、本発明に係る認証システムおよび認証方法の実施例を詳細に説明する。なお、以下では、本実施例で用いる主要な用語(用語の説明)、本発明に係る認証システムを実施例1として説明した後に、本発明に含まれる他の実施例を説明する。
[用語の説明]
まず、本実施例で用いる主要な用語を説明する。
本実施例で用いる「SIP(Session Initiation Protocol)」とは、通信制御プロトコルであり、例えば、IP電話などを利用してインターネット上でやり取りされる音声データや、画像データなどのマルチメディアデータを取り扱ったリアルタイムインターネットコミュニケーションを可能とする。なお、「SIPURI(Universal Resource Identifier)」とは、SIP上で付与される識別子である。
以下の実施例1では、実施例1に係る認証システムの概要および特徴、認証システムの構成および処理を順に説明し、最後に実施例1による効果を説明する。
[認証システムの概要および特徴(実施例1)]
まず、図1を用いて、実施例1に係る認証システムの概要および特徴を説明する。図1は、実施例1に係る認証システムの概要および特徴を説明するための図である。
実施例1に係る認証システムは、IP(Internet Protocol)ネットワーク上の配置された各装置間の通信接続を接続制御装置によって制御するとともに、接続制御装置によって通信が確立された端末装置からサービス提供装置に対してサービスの要求があった場合に、端末装置を認証することを概要とするが、IPネットワーク上で提供されるサービスを利用する端末装置、あるいはその利用者の認証について、既存のインフラに手を加えることなく、容易かつ低コストに実現することが可能である点に主たる特徴がある。
同図に示すように、実施例1に係る認証システムは、端末装置と、接続制御装置と、認証装置と、サービス提供装置とをIPネットワークを介して通信可能に接続して構成される。また、各装置は、IPアドレスと呼ばれる通信上の識別子を用いて通信相手を指定あるいは特定して通信を行う。
端末装置は、サービス提供装置からIPネットワークを介して各種サービスを受けるために使用されるパーソナルコンピュータなどの装置である。接続制御装置は、IPネットワーク上に配置された各装置間で接続確立型の通信を実施する場合に、その接続の確立や破棄をSIPに基づいて制御するサーバなどの装置であり、例えば、端末装置にSIPURIを付与して、接続制御する対象の装置として管理している。認証装置は、サービス提供装置からの要求を受け付けて、端末装置の認証を代行するサーバなどの装置である。サービス提供装置は、ニュースなどの情報配信や電子商取引などの情報サービスを端末装置に提供するサーバなどの装置であり、正規のサービス利用者を示すサービス利用者IDとしてSIPURIを登録して管理している。
まず、接続制御装置は、SIPに基づく接続確立が可能である旨の通知を端末装置から受け付けて、端末装置を登録状態として管理する。具体的に説明すると、SIPURIを含んだ登録要求信号を端末装置から受信すると、このSIPURIが登録状態にあるか否か確認して、登録状態でない場合には、端末装置を認証するためのチャレンジデータを含んだ応答信号を返信する。
そして、接続制御装置は、チャレンジデータと予め保持されているパスワードとから生成されたレスポンスデータ、およびSIPURIを含んだ登録要求信号を端末装置から受信すると、このSIPURIと対応付けて予め管理しているパスワードと、端末装置に先ほど送信したチャレンジデータとから検証データを生成して、レスポンスデータと一致するか否か照合する。
照合結果、レスポンスデータと検証データとが一致する場合には、接続制御装置は、登録要求信号に含まれるSIPを送信した端末装置が、このSIPURIを有する正規の端末装置であると認証する。そして、このSIPURIと、登録要求信号の送信元である端末装置のIPアドレスとを対応付けて管理端末装置情報として記憶することで、端末装置を登録状態に遷移させる。
端末装置を登録状態に遷移させた後、接続制御装置は、接続制御する対象の装置として登録したことを示す応答信号を端末装置に返信する。
このようにして、接続制御装置によりSIPによる接続確立が可能な状態に登録された端末装置が、サービス利用者IDとして使用するSIPURIを含んだサービス要求をサービス提供装置に送信すると(図1の(1)参照)、サービス要求を受信したサービス提供装置は、サービス要求に含まれていたSIPURIと、サービス要求送信元のIPアドレスとを含んだ認証要求を認証装置に送信する(図1の(2)参照)。
認証装置は、サービス提供装置から認証要求を受信すると、認証要求に含まれているSIPURIを接続確立相手として指定した接続要求信号を接続制御装置に送信する(図1の(3)参照)。なお、認証装置は、サービス提供装置から受信した認証要求に含まれるサービス利用者IDであるSIPURIとIPアドレスとを対応付けて保持する。
接続制御装置は、認証装置から接続要求信号を受信すると、接続要求信号において接続確立相手として指定されたSIPURIに対応する端末装置に接続要求信号を転送する(図1の(4)参照)。具体的には、接続要求信号において接続確立相手として指定されたSIPURIに対応する端末装置のIPアドレスを管理端末装置情報から読み出して、読み出したIPアドレスに基づいて接続要求信号を転送する。
端末装置は、接続制御装置から転送された接続要求信号を受信すると、接続確立に応じる応答信号を接続制御装置に返信する(図1の(5)参照)。なお、この応答信号には、送信元である自己のSIPURIおよびIPアドレスが書き込まれている。
接続制御装置は、端末装置から接続確立に応じる応答信号を受信すると、応答信号から送信元のSIPURIを特定するとともに、送信元のIPアドレスが正規のものであるか否か(すなわち、応答信号の送信元のSIPURIに正しく対応したIPアドレスであるか否か)検証する(図1の(6)参照)。具体的には、管理端末装置情報の中から、応答信号の送信元のSIPURIに対応するIPアドレスを読み出して、応答信号に書き込まれているIPアドレスと一致するか否か検証する。検証の結果、各通信アドレスが互いに一致する場合には、検証合格として、接続要求信号の送信元である認証装置に応答信号を転送する(図1の(7)参照)。
認証装置は、接続制御装置から転送された接続確立に応じる応答信号を受信すると、この応答信号に基づいて端末装置の認証を実施するが、その前に、この応答信号の受信をもって確立された接続を切断する必要があるため、この応答信号の送信元のSIPURIを接続切断相手として指定した切断要求信号を接続制御装置に送信する。接続制御装置は、切断要求信号において接続切断相手として指定されたSIPURIに対応する端末装置に接続要求信号を転送する。端末装置は、接続制御装置から転送された切断要求信号を受信すると、接続切断に応じる意向を示す応答信号を接続制御装置に返信する。接続制御装置は、端末装置から接続切断に応じる応答信号を受信すると、切断要求信号の送信元である認証装置に応答信号を転送する。
このようにして、接続制御装置から転送された接続切断に応じる応答信号を受信すると、認証装置は、接続を切断する前に受信していた接続確立に応じる応答信号に基づいて、端末装置の認証を実施する(図1の(8)参照)。具体的には、応答信号から抽出した送信元のSIPURIおよびIPアドレスと、サービス提供装置から認証要求を受信した際に保持していたサービス利用者IDであるSIPURIおよびIPアドレスとがそれぞれ一致するか否か判定して、端末装置を認証する。判定の結果、例えば、SIPURIおよびIPアドレスが互いに一致するものと判定された場合には、サービスを利用できる正規の端末装置であるとする認証結果をサービス提供装置に送信する(図1の(9)参照)。
サービス提供装置は、認証装置から端末装置の認証結果を受信すると、認証結果に基づいてサービス提供の可否を判断し、端末装置にサービスを提供する(図1の(10)参照)。
このようなことから、実施例1に係る認証システムは、上述した主たる特徴のごとく、
IPネットワーク上で提供されるサービスを利用する端末装置、あるいはその利用者の認証について、例えば、接続制御装置などの既存のインフラに手を加えることなく、認証装置を接続制御装置の外部に追加設置するだけで、容易かつ低コストに実現することが可能である。
[認証システムの構成(実施例1)]
次に、図2を用いて、実施例1に係る認証システムの構成を説明する。図2は、実施例1に係る認証システムの構成を示すブロック図である。なお、同図においては、実施例1に係る認証システムを実現する上で必要となる各装置の処理機能部のみを記載し、その他の処理部については記載を省略する。
同図に示すように、実施例1に係る認証システムは、接続制御装置10と、端末装置20と、認証装置30と、サービス提供装置40とをIPネットワーク1を介して通信可能に接続して構成される。また、接続制御装置10、端末装置20、認証装置30およびサービス提供装置40は、IPアドレスと呼ばれる通信上の識別子を用いて通信相手を指定あるいは特定して通信を行う。
また、各装置とIPネットワーク1の接続形態としては、電話回線やISDN回線を通じたダイヤルアップによる接続や、いわゆるブロードバンド回線を通じたPPP(Point to Point Protocol)による接続など、種々の接続形態が適用される。なお、IPネットワークは、各装置がIPアドレスを詐称することを防止する機能を備えており、例えば、ある装置がIPネットワークへの接続開始時に自身に割り当てられているものとは異なるアドレスを発信元のアドレスとして通信を試みた場合には、その通信は破棄される。
接続制御装置10は、IPネットワーク1上に配置された各装置間で接続確立型の通信を実施する場合に、その接続の確立や破棄をSIPに基づいて制御するサーバなどの既知の装置であり、特に本発明に密接に関連するものとして、所定の制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する接続信号処理部11および端末装置認証部12を備える。
接続信号処理部11は、端末装置20と認証装置30との間でやり取されるSIPに基づいた接続信号の送受信を仲介することで、両者間の接続の確立や破棄を制御する処理部であり、SIPに基づいた接続信号としては、登録要求信号(REGISTER)、接続要求信号(INVITE)や切断要求信号(BYE)、またはこれら要求信号に対する応答信号などが該当する。なお、やり取りされる信号の種別は問わない。
端末装置認証部12は、端末装置20を認証する処理部であり、例えば、端末装置20を認証するための情報として、端末装置20に付与したSIPURIと、端末装置20に発行したパスワードとを対応付けて予め管理するとともに、認証に成功した端末装置を登録状態に遷移する。
具体的に説明すると、端末装置認証部12は、SIPURIを含んだ登録要求信号を端末装置20から受信すると、このSIPURIが登録状態にあるか否か確認して、登録状態でない場合には、端末装置20を認証するためのチャレンジデータを含んだ応答信号を接続信号処理部11から返信する。
そして、端末装置認証部12は、チャレンジデータと予め保持されているパスワードから生成されたレスポンスデータおよびSIPURIを含んだ登録要求信号を端末装置20から再受信すると、このSIPURIと対応付けて予め管理しているパスワードと、端末装置20に先ほど送信したチャレンジデータとから検証データを生成して、レスポンスデータと一致するか否か照合する。
照合結果、レスポンスデータと検証データとが一致する場合には、端末装置認証部12は、登録要求信号に含まれるSIPを送信した端末装置20が、このSIPURIを有する正規の端末装置20であると認証する。そして、図4に例示するように、このSIPURI(例えば、ID001“999@EXP.COM”)と、登録要求信号の送信元である端末装置のIPアドレスとを対応付けて管理端末装置情報として記憶することで、端末装置20を登録状態に遷移させる。
また、端末装置認証部12は、端末装置20から接続確立に応じる応答信号を受信すると、応答信号から送信元のSIPURIを特定するとともに、送信元のIPアドレスが正規のものであるか否か(すなわち、応答信号の送信元のSIPURIに正しく対応したIPアドレスであるか否か)検証する。具体的には、管理端末装置情報の中から、応答信号の送信元のSIPURIに対応するIPアドレスを読み出して、応答信号に書き込まれているIPアドレスと一致するか否か検証する。検証の結果、各通信アドレスが互いに一致する場合には、検証合格として、接続要求信号の送信元である認証装置30に応答信号を転送する。
なお、端末装置認証部12は、端末装置20の認証方式として、HTTP(Hyper Text Transfer Protocol)ダイジェスト認証と呼ばれるパスワードを用いた方式を採用する場合に限られるものではなく、PKI(Public Key Infrastructure)に基づく認証方式など、他の認証方式も同様に適用することができる。
端末装置20は、サービス提供装置40からIPネットワーク1を介して各種サービスを受けるために使用されるパーソナルコンピュータなどの既知の装置であり、各種サービスを受けるためのWEBブラウザ機能などを有するとともに、特に本発明に密接に関連するものとして、所定の制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する接続確立部21を備える。
接続確立部21は、接続制御装置10を介してSIPの接続信号を相手装置との間で送受信し、接続の確立に必要なパラメータ(例えば、IPアドレスやポート番号など)の交換を行う処理部である。
具体的に説明すると、接続確立部21は、接続制御装置から付与されたSIPURI(図4参照)に基づいて、接続の相手装置を指定、あるいは特定して、ヘッダ部に送信元である自己のSIPURIを書き込むとともに、SDP(Session Description Protocol)部に送信元である自己のIPアドレスを書き込んだ接続信号の送信を行う。
なお、端末装置20は、PDA、情報家電、電話、あるいはこれらの機器とホームゲートウェイとの組み合わせによっても実現することができる。
認証装置30は、サービス提供装置40からの要求を受け付けて、端末装置20の認証を代行するサーバなどの既知の装置であり、特に本発明に密接に関連するものとして、所定の制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する接続確立部31、接続情報抽出部32および認証部33を備える。
接続確立部31は、上述した端末装置20の接続確立部21と同様に、接続制御装置10を介してSIPの接続信号を相手装置との間で送受信し、接続の確立に必要なパラメータの交換を行う処理部である。接続情報抽出部32は、接続確立部31によって受信された端末装置20の接続信号からSIPURIおよびIPアドレスを抽出する処理部である。
認証部33は、接続情報抽出部32により抽出されたSIPURIおよびIPアドレスを用いて、サービス提供装置40から受け付けた認証要求に対応する端末装置20の認証を行う処理部である。
具体的に説明すると、認証部33は、サービス提供装置40から受信した認証要求に含まれるサービス利用者IDであるSIPURIとIPアドレスとを対応付けて保持するとともに、接続情報抽出部32により抽出された送信元のSIPURIおよびIPアドレスと、サービス提供装置40から認証要求を受信した際に保持していたサービス利用者IDであるSIPURIおよびIPアドレスとがそれぞれ一致するか否か判定して、端末装置を認証する。判定の結果、例えば、SIPURIおよびIPアドレスが互いに一致するものと判定された場合には、サービスを利用できる正規の端末装置20であるとした認証結果をサービス提供装置に送信する。
サービス提供装置40は、ニュースなどの情報配信や電子商取引などの情報サービスを端末装置に提供するサーバなどの既知の装置であり、特に本発明に密接に関連するものとして、所定の制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する認証要求部41を備える。
認証要求部41は、図3に例示するように、正規のサービス利用者を示すサービス利用者IDとしてSIPURI(例えば、ID001“999@EXP.COM”)を登録して管理するとともに、HTTPなどに基づいて端末装置20から送信されたサービス要求を受信すると、その端末装置20の認証要求を認証装置30へ送信する処理部である。具体的には、サービス要求にサービス利用者IDとして含まれていたSIPURIと、サービス要求送信元のIPアドレスとを含んだ認証要求を認証装置に送信する。
なお、接続制御装置10、認証装置30およびサービス提供装置40は、既知のパーソナルコンピュータ、ワークステーションなどの情報処理装置に、上記した各機能を搭載することによって実現することもできる。
[認証システムの処理(実施例1)]
続いて、図5を用いて、実施例1に係る認証システムの処理を説明する。図5は、実施例1に係る認証システムの処理の流れを示すシーケンスである。
まず、接続制御装置10は、SIPに基づく接続確立が可能である旨の通知を端末装置20から受け付けて、端末装置20を登録状態として管理する。具体的には、図5に示すように、端末装置10は、自己のSIPURIを含んだ登録要求信号(REGISTER)を接続制御装置10へ送信する(ステップS501)。
接続制御装置10は、SIPURIを含んだ登録要求信号を端末装置20から受信すると、このSIPURIが登録状態にあるか否か確認して、登録状態でない場合には、端末装置20を認証するためのチャレンジデータを含んだ応答信号を返信する(ステップS502)。
端末装置20は、接続制御装置10からチャレンジデータを含んだ応答信号を受信すると、このチャレンジデータと接続制御装置10から付与されて予め保持するパスワードとからレスポンスデータを生成し、このレスポンスデータを含んだ新たな登録要求信号(REGISTER:レスポンス)を接続制御装置10に送信する(ステップS503)。
接続制御装置10は、レスポンスデータおよびSIPURIを含んだ登録要求信号を端末装置20から受信すると、このSIPURIと対応付けて予め管理しているパスワードと、端末装置20に先ほど送信したチャレンジデータとから検証データを生成して、レスポンスデータと一致するか否か照合する。
照合結果、レスポンスデータと検証データとが一致する場合には、接続制御装置10は、登録要求信号に含まれるSIPを送信した端末装置20が、このSIPURIを有する正規の端末装置20であると認証する。そして、このSIPURIと、登録要求信号の送信元である端末装置20のIPアドレスとを対応付けて管理端末装置情報(図4参照)として記憶することで、端末装置20を登録状態に遷移させる。端末装置20を登録状態に遷移させた後、接続制御する対象の装置として登録したことを示す応答信号を端末装置に返信する(ステップS504)。
接続制御装置10によりSIPによる接続確立が可能な状態に登録された端末装置20は、サービス利用者IDとして使用するSIPURIを含んだサービス要求をサービス提供装置40に送信する(ステップS505)。
サービス要求を受信したサービス提供装置40は、サービス要求に含まれていたSIPURIと、サービス要求送信元のIPアドレスとを含んだ認証要求を認証装置30に送信する(ステップS506)。
認証装置30は、サービス提供装置40から認証要求を受信すると、認証要求に含まれているSIPURIを接続確立相手として指定した接続要求信号(INVITE)を接続制御装置10に送信する(ステップS507)。なお、認証装置30は、サービス提供装置40から受信した認証要求に含まれるサービス利用者IDであるSIPURIとIPアドレスとを対応付けて保持する。
接続制御装置10は、認証装置30から接続要求信号を受信すると、接続要求信号において接続確立相手として指定されたSIPURIに対応する端末装置20に接続要求信号を転送する(ステップS508)。具体的には、接続要求信号において接続確立相手として指定されたSIPURIに対応する端末装置20のIPアドレスを管理端末装置情報(図4参照)から読み出して、読み出したIPアドレスに基づいて接続要求信号を転送する。
端末装置20は、接続制御装置10から転送された接続要求信号を受信すると、接続確立に応じる応答信号を接続制御装置10に返信する(ステップS509)。なお、この応答信号には、送信元である自己のSIPURIおよびIPアドレスが書き込まれている。
接続制御装置10は、端末装置20から接続確立に応じる応答信号を受信すると、応答信号から送信元のSIPURIを特定するとともに、送信元のIPアドレスが正規のものであるか否か(すなわち、応答信号の送信元のSIPURIに正しく対応したIPアドレスであるか否か)検証する。具体的には、管理端末装置情報の中から、応答信号の送信元のSIPURIに対応するIPアドレスを読み出して、応答信号に書き込まれているIPアドレスと一致するか否か検証する。検証の結果、各通信アドレスが互いに一致する場合には、検証合格として、接続要求信号の送信元である認証装置30に応答信号を転送する(ステップS510)。
認証装置30は、接続制御装置10から転送された接続確立に応じる応答信号を受信すると、この応答信号に基づいて端末装置20の認証を実施するが、その前に、この応答信号の受信をもって確立された接続を切断する必要があるため、この応答信号の送信元である端末装置20のSIPURIを接続切断相手として指定した切断要求信号(BYE)を接続制御装置10に送信する(ステップS511)。接続制御装置10は、切断要求信号において接続切断相手として指定されたSIPURIに対応する端末装置20に接続要求信号を転送する(ステップS512)。端末装置20は、接続制御装置10から転送された切断要求信号を受信すると、接続切断に応じる意向を示す応答信号を接続制御装置10に返信する(ステップS513)。接続制御装置10は、端末装置20から接続切断に応じる応答信号を受信すると、切断要求信号の送信元である認証装置30に応答信号を転送する(ステップS514)。
このようにして、接続制御装置10から転送された接続切断に応じる応答信号を受信すると、認証装置30は、接続を切断する前に受信していた接続確立に応じる応答信号に基づいて、端末装置20の認証を実施する。具体的には、応答信号から抽出した送信元のSIPURIおよびIPアドレスと、サービス提供装置40から認証要求を受信した際に保持していたサービス利用者IDであるSIPURIおよびIPアドレスとがそれぞれ一致するか否か判定して、端末装置20を認証する。判定の結果、例えば、SIPURIおよびIPアドレスが互いに一致するものと判定された場合には、サービスを利用できる正規の端末装置20であるとする認証結果をサービス提供装置40に送信する(ステップS515)。
サービス提供装置40は、認証装置30から端末装置20の認証結果を受信すると、認証結果に基づいてサービス提供の可否を判断し、端末装置20にサービスを提供する(ステップS516)。
なお、認証装置30は、端末装置20との間に確立された接続を切断する前に、端末装置20の認証が行われていることを示すメッセージの交換を行うようなステップを追加するようにしてもよい。
[実施例1の効果]
上述してきたように、実施例1によれば、ネットワーク上の配置された各装置間で接続確立型の通信を行う際に、その通信接続の確立および破棄を制御する接続制御装置10は、端末装置20ごとに一意に割り当てられた端末識別子(SIPURI)とネットワークを介した通信に利用する通信アドレス(IPアドレス)とを対応付けてそれぞれ記憶し、端末装置20を認証する認証装置30から端末装置20を宛先とする接続要求信号を受信すると、接続要求信号に含まれた端末識別子(SIPURI)に対応する端末装置20を宛先として接続要求信号を転送し、また、端末装置20から接続要求信号に対する応答信号を受信すると、記憶されている通信アドレス(IPアドレス)の中から、応答信号に含まれる端末識別子(SIPURI)に対応する通信アドレスを検索して、応答信号に含まれる通信アドレス(IPアドレス)と一致するか否か検証するとともに、各通信アドレス(IPアドレス)が互いに一致するものと検証された場合には応答信号を認証装置30に転送し、認証装置30は、サービス提供装置40から端末装置の端末識別子(SIPURI)および通信アドレス(IPアドレス)を含んだ認証要求を受信すると、受信された端末識別子(SIPURI)に対応する端末装置20を宛先として接続制御装置10に接続要求信号を送信し、また、接続制御装置10から転送された端末装置20の応答信号を受信すると、応答信号に含まれている端末識別子(SIPURI)および通信アドレス(IPアドレス)と、認証要求時に受信された端末識別子(SIPURI)および通信アドレス(IPアドレス)とがそれぞれ一致するか否か判定して端末装置20を認証するとともに、端末装置20が認証された場合には認証結果をサービス提供装置40に送信するので、ネットワーク上で提供されるサービスを利用する端末装置20、あるいはその利用者の認証について、既存のインフラに手を加えることなく、容易かつ低コストに実現することが可能である。すなわち、IP電話サービス等の接続確立型の通信サービスを実施するために設置されている接続制御装置10の外部に認証装置30を追加設置するだけで、接続制御装置10に対して機能の変更やインターフェースの追加等を行う必要がなく、接続制御装置10が元から有する認証機能をそのまま活用した端末装置等の認証を行うことができる。また、サービス提供装置40が端末装置20の認証に必要なパスワードやICカード等の配布管理をする必要もない。さらに、端末装置20の通信ネットワークへの接続形態について、ダイヤルアップ接続などの特定の形態に限定しないため、サービス利用者にサービス利用に対する障害を与えたり、サービス提供者に対してサービス提供の機会喪失を発生させたりすることもない。
また、上記の実施例1では、接続制御装置10が1台のみ存在するシステム構成を説明したが、本発明はこれに限定されるものではなく、上述した接続制御装置10と同様の機能や役割を持つ装置が複数設置され、端末装置20と認証装置30との接続信号が複数の装置によって多段に中継、転送されるシステム構成とするようにしてもよい。
また、上記の実施例1では、サービス提供装置40から認証装置30へ送信される認証要求の中に、認証対象の端末装置20(あるいは、利用者)を指定するための情報として、接続制御装置10が端末装置20に付与して管理するSIPURIを用いる場合を説明したが、本発明はこれに限定されるものではなく、SIPURIとは別のサービス利用者を識別するための情報を用いてもよい。
また、上記の実施例1では、サービス提供装置40から認証装置30へ送信される認証要求の中に、認証対象の端末装置20(あるいは、利用者)を指定するための情報としたSIPURIと、端末装置20のIPアドレスを含める場合を説明したが、本発明はこれに限定されるものではなく、IPアドレスを含めないようにしてもよい。この場合には、認証装置30は、端末装置20の応答信号から抽出したIPアドレスを認証結果としてサービス提供装置40へ送信し、サービス提供装置40が、認証装置から認証結果として受信したIPアドレスと認証要求に含まれていたIPアドレスとを比較して端末装置20を認証する。
また、上記の実施例1において、各装置が使用するIPアドレスとしてIPv4およびIPv6のどちらを適用してもよい。
また、上記の実施例1において、接続制御装置10は、端末装置20の成りすましやセッションハイジャックを防止するため、端末装置20から送信された応答信号が、応答信号内で送信元として示されるSIPURIを有する端末装置から真に送信されたものか否か確認するようにしてもよい。例えば、接続制御装置10は、端末装置20を登録状態に遷移させる段階で、端末装置20と何らかの秘密情報を共有しておき、その後、端末装置20は接続信号を送信する際に、秘密情報を用いたメッセージダイジェストを添付するようにして、接続制御装置10は、接続信号とともに受信したメッセージダイジェストを秘密情報に基づいて検証するなどにより実現することができる。
上記の実施例1において、認証装置30は、接続制御装置10から転送された端末装置20の接続要求信号を受信すると、接続要求信号に含まれている端末識別子および通信アドレスを端末装置ごとに記憶するようにしてもよい。そこで、以下の実施例2では、実施例2に係る認証システムの構成および処理を順に説明し、最後に実施例2による効果を説明する。
[認証システムの構成(実施例2)]
まず、図6を用いて、実施例2に係る認証システムの構成を説明する。図6は、実施例2に係る認証システムの構成を示すブロック図である。なお、同図においては、実施例2に係る認証システムを実現する上で必要となる各装置の処理機能部のみを記載し、その他の処理部については記載を省略する。
実施例2に係る認証システムは、実施例1に係る認証システムと以下に説明する点が異なる。
サービス提供装置40の認証要求部41は、端末装置20にサービス利用者を識別するための情報としてサービス利用者ID(例えば、“A1”や“A2”など)を付与するとともに予め管理する。また、認証要求部41は、サービス利用者IDを含んだサービス要求を端末装置20から受信すると、サービス要求の送信元のIPアドレスを含んだ認証要求を認証装置30に送信するとともに、認証装置30の認証部33から認証結果として受信したサービス利用者IDがサービス要求に含まれるものと一致するか否か判定して、判定の結果、サービス利用者IDが互いに一致する場合には、サービスを利用できる正規の端末装置20であるとしてサービスを提供する。なお、上記の実施例1で説明したように、サービス利用者IDとしてSIPURIを利用するようにしてもよい。
端末装置20の接続確立部21は、図7に例示するように、接続要求信号において認証装置30を接続確立相手として指定するためのSIPURIである認証装置ID(例えば、“NID001”)を予め保持するとともに、接続確立相手として認証装置30のSIPURIを指定した接続要求信号を接続制御装置10へ送信する。また、図9に例示するように、サービス提供装置40から付与されたサービス利用者ID(例えば、“A1”)を予め保持する。
接続制御装置10の接続信号処理部11は、端末装置20から接続要求信号を受信すると、接続要求信号から送信元のSIPURIを特定するとともに、送信元のIPアドレスが正規のものであるか否か(すなわち、応答信号の送信元のSIPURIに正しく対応したIPアドレスであるか否か)検証する。具体的な検証方法は、上記の実施例1で説明したのと同様である。検証の結果、各通信アドレスが互いに一致する場合には、検証合格として、接続確立相手として指定された認証装置30に接続要求信号を転送する。また、認証装置30から接続要求信号に対する応答信号を受信すると、接続要求信号の送信元である端末装置20に応答信号を転送する。
認証装置30の接続情報抽出部32は、接続制御装置10から転送された端末装置20の接続要求信号が接続確立部31によって受信されると、端末装置20の接続要求信号からSIPURIおよびIPアドレスを抽出して、図8に例示するように、認証装置30が新たに備える認証情報管理部34に端末装置情報として格納する。そして、認証情報管理部34は、接続情報抽出部32によって格納されたSIPURIおよびIPアドレスを端末装置20ごとに記憶管理する(図8参照)。また、認証装置30の接続確立部31は、接続確立に応じる意向を示す応答信号を接続制御装置10に送信する。
認証装置30の認証部33は、図10に例示するように、サービス利用者IDとSIPURIとを対応付けて予め管理する。そして、サービス提供装置40から認証要求を受信すると、認証情報管理部34により端末装置情報として管理されているSIPURIの中から、認証要求に含まれるIPアドレスに対応したSIPURIを特定する。そして、予め管理するサービス利用者IDに基づいて、特定したSIPURIを対応するサービス利用者IDに変換し、認証結果としてサービス提供装置40に送信する。
[認証システムによる処理(実施例2)]
次に、図11を用いて、実施例2に係る認証システムの処理を説明する。図11は、実施例2に係る認証システムの処理の流れを示すシーケンスである。なお、実施例2に係る認証システムの処理のうち、図11に示すステップS1101〜1104までの処理が、上記の実施例1で図5を用いて説明したステップS501〜ステップS504までの処理と同様であるが、以下に説明するステップS1105〜ステップS1116までの処理が異なる。
すなわち、接続制御装置10によりSIPによる接続確立が可能な状態に登録された端末装置20は、接続要求信号において認証装置30を接続確立相手として指定するためのSIPURIである認証装置ID(例えば、“NID001”)を予め保持するとともに(図7参照)、接続確立相手として認証装置30のSIPURIを指定した接続要求信号を接続制御装置10へ送信する(ステップS1105)。
接続制御装置10は、端末装置20から接続要求信号を受信すると、接続要求信号から送信元のSIPURIを特定するとともに、送信元のIPアドレスが正規のものであるか否か(すなわち、応答信号の送信元のSIPURIに正しく対応したIPアドレスであるか否か)検証する。具体的な検証方法は、上記の実施例1で説明したのと同様である。検証の結果、各通信アドレスが互いに一致する場合には、検証合格として、接続確立相手として指定された認証装置30に接続要求信号を転送する(ステップS1106)。
認証装置30は、接続制御装置10から転送された端末装置20の接続要求信号を受信すると、端末装置20の接続要求信号からSIPURIおよびIPアドレスを抽出して、端末装置情報として格納するとともに、端末装置20ごとに記憶管理する(図8参照)。そして、接続確立に応じる意向を示す応答信号を接続制御装置10に送信する(ステップS1107)。
接続制御装置10は、認証装置30から接続要求信号に対する応答信号を受信すると、接続要求信号の送信元である端末装置20に応答信号を転送する(ステップS1108)。
端末装置20は、接続制御装置10から転送された認証装置30の応答信号を受信すると、認証装置30において登録が完了したことを把握して、この応答信号の送信元である認証装置30のSIPURIを接続切断相手として指定した切断要求信号を接続制御装置10に送信する(ステップS1109)。接続制御装置10は、切断要求信号において接続切断相手として指定されたSIPURIに対応する認証装置30に接続要求信号を転送する(ステップS1110)。認証装置30は、接続制御装置10から転送された切断要求信号を受信すると、接続切断に応じる意向を示す応答信号を接続制御装置10に返信する(ステップS1111)。接続制御装置10は、認証装置30から接続切断に応じる応答信号を受信すると、切断要求信号の送信元である端末装置20に応答信号を転送する(ステップS1112)。
続いて、端末装置20は、接続制御装置10から送信された接続切断の意向に応じる認証装置30の応答信号を受信すると、サービス利用者IDを含んだサービス要求をサービス提供装置40に送信する(ステップS1113)。
サービス提供装置40は、端末装置20からサービス要求を受信すると、サービス要求の送信元のIPアドレスを含んだ認証要求を認証装置30に送信する(ステップS1114)。
認証装置30は、サービス提供装置40から認証要求を受信すると、端末装置情報(図8参照)として予め管理されているSIPURIの中から、認証要求に含まれるIPアドレスに対応したSIPURIを特定する。そして、予め管理するサービス利用者ID(図10参照)に基づいて、特定したSIPURIを対応するサービス利用者IDに変換し、認証結果としてサービス提供装置40に送信する(ステップS1115)。
サービス提供装置40は、認証装置30から認証結果としてサービス利用者IDを受信すると、認証結果として受信したサービス利用者IDがサービス要求に含まれるものと一致するか否か判定して、判定の結果、サービス利用者IDが互いに一致する場合には、サービスを利用できる正規の端末装置20であるとしてサービスを提供する(ステップS1116)。
[実施例2の効果]
上述してきたように、実施例2によれば、端末装置20は、認証装置30に対して一意に割り当てられた認証装置IDとしてのSIPURIを記憶し、記憶されている認証装置IDとしてのSIPURIに対応する認証装置30を宛先として、自己のSIPURIおよびIPアドレスを含ませた接続要求信号を接続制御装置10に送信するとともに、接続制御装置10から転送された認証装置30の応答信号を受信し、接続制御装置10は、端末装置20から認証装置30を宛先とする接続要求信号を受信すると、記憶されているIPアドレスの中から接続要求信号に含まれるSIPURIに対応するIPアドレスを検索して、接続要求信号に含まれるIPアドレスと一致するか否か検証し、各IPアドレスが互いに一致するものと検証された場合には接続要求信号を認証装置30に転送するとともに、接続要求信号に対して、接続確立に応じる意向を示す応答信号を認証装置30から受信すると、応答信号に含まれたSIPURIに対応する端末装置20を宛先として応答信号を転送し、認証装置30は、接続制御装置10から転送された端末装置の接続要求信号を受信すると、接続要求信号に含まれているSIPURIおよびIPアドレスを端末装置ごとに記憶し、サービス提供装置40から端末装置20のIPアドレスを含んだ認証要求を受信すると、記憶されているSIPURIの中から受信された端末装置20のIPアドレスに対応するSIPURIの特定を試み、SIPURIが特定されるか否かに基づいて端末装置20を認証するとともに、端末装置20が認証された場合には、特定されたSIPURIを含んだ認証結果をサービス提供装置40に送信する、すなわち、端末装置20からサービス提供装置40にサービス要求が送信された場合のサービス要求に関する処理と、認証装置30と端末装置20との間の接続確立に関する処理とを分離して非同期的に行えるようにするので、例えば、サービス要求に関する処理について各装置に必要とされる処理量および情報量を実施例1に比較して少なくすることができ、システム全体の処理量および情報量を削減することが可能である。
また、実施例2によれば、認証装置30は、サービス提供装置40が提供するサービスを利用する端末装置20ごとに割り当てるサービス利用者IDとSIPURIとを対応付けてそれぞれ記憶するとともに、記憶されているサービス利用者IDの中から、認証処理において特定されたSIPURIに対応するサービス利用者IDを検索し、サービス利用者IDを含んだ認証結果をサービス提供装置40に送信するので、サービス提供装置40に対して端末識別子を通知する必要がなく、端末装置に関する情報の漏洩を防止することが可能である。
また、サービス提供装置40から送信される認証要求にサービス利用者IDも含めるようにして、認証装置30は、認証要求に含まれるサービス利用者IDおよびIPアドレスと、予め管理するサービス利用者IDおよびIPアドレスとが互いに一致するか否か判定して、端末装置20を認証するようにしてもよい。
上記の実施例2において、サービス要求に関する処理において、端末装置20と認証装置30との間でメッセージを送受信するようにしてもよい。そこで、以下の実施例3では、実施例3に係る認証システムの構成および処理を順に説明し、最後に実施例3による効果を説明する。
[認証システムの構成(実施例3)]
まず、図12を用いて、実施例3に係る認証システムの構成を説明する。図12は、実施例3に係る認証システムの構成を示すブロック図である。なお、同図においては、実施例3に係る認証システムを実現する上で必要となる各装置の処理機能部のみを記載し、その他の処理部については記載を省略する。
実施例3に係る認証システムは、実施例2に係る認証システムと以下に説明する点が異なる。
接続制御装置10は、新たにメッセージ中継部13を備え、メッセージ中継部13は、端末装置20と認証装置30との間でやり取りされるメッセージ(SIPに基づく信号の一種)の送受信を中継する。ここで、メッセージ中継部13は、端末装置認証部12により登録状態にある端末装置20からのメッセージのみを転送する。なお、メッセージは、送受信相手を特定する識別子としてSIPURIを使用し、メッセージの送受信によって接続が確立されることはない。
認証装置30は、新たにメッセージ送受信部35およびメッセージ処理部36を備える。メッセージ処理部36は、端末装置20との接続確立の際に交わしたSIPURIやIPアドレスなどの情報に基づいて、端末装置20の認証を行うための確認メッセージを生成する。なお、メッセージ処理部36は、確認メッセージに対する応答メッセージをHTTPなどで直接受信するためのURLを生成して確認メッセージに関連付けるとともに、サービス提供装置40から受信した認証要求に含まれるIPアドレスを含ませる。
メッセージ送受信部35は、メッセージ処理部36により生成された確認メッセージを接続制御装置10に中継させることにより端末装置20に送信するとともに、確認メッセージに関連付けられたURLに基づいて、確認メッセージに対する応答メッセージを端末装置20からHTTPなどにより直接受信する。
端末装置20は、新たにメッセージ送受信部22およびメッセージ処理部23を備える。メッセージ処理部36は、メッセージ送受信部22により認証装置30から受信した確認メッセージを検証するが自己宛であるか否か判定するとともに、その検証結果を含んだ応答メッセージを生成する。検証の具体的な方法としては、確認メッセージに含まれるIPアドレスと自己のIPアドレスとが一致するか否か判定する。
メッセージ送受信部22は、接続制御装置10から転送された認証装置30の確認メッセージを受信するとともに、メッセージ処理部23により生成された応答メッセージをHTTPなどで認証装置30に直接送信する。
[認証システムによる処理(実施例3)]
次に、図13を用いて、実施例3に係る認証システムの処理を説明する。図13は、実施例3に係る認証システムの処理の流れを示すシーケンスである。なお、実施例3に係る認証システムの処理のうち、図13に示すステップS1301〜1314、およびステップS1321の処理が、上記の実施例2で図11を用いて説明したステップS1101〜ステップS1114、およびステップS1116の処理と同様であるが、以下に説明するステップS1315〜ステップS1320までの処理が異なる。
すなわち、認証装置30は、サービス提供装置40から認証要求を受信すると、端末装置情報(図8参照)として予め管理されているSIPURIの中から、認証要求に含まれるIPアドレスに対応したSIPURIを特定する。そして、応答メッセージを直接受信するためのURLを生成して関連付け、認証要求に含まれるIPアドレスを含ませた確認メッセージを生成するとともに、特定したSIPURIを宛先として指定した確認メッセージを接続制御装置10に送信する(ステップS1315)。
接続制御装置10は、認証装置30から確認メッセージを受信すると、確認メッセージの宛先として指定されている端末装置20に確認メッセージを転送する(ステップS1316)。
端末装置20は、確認メッセージを受領した旨を示す応答信号を接続制御装置10に返信する(ステップS1317)。
接続制御装置10は、端末装置20から応答信号を受信すると、応答信号を認証装置30に転送する(ステップS1318)。
また、応答信号を返信した後、端末装置20は、確認メッセージの内容を検証する。検証の具体的な方法としては、確認メッセージに含まれるIPアドレスと自己のIPアドレスとが互いに一致するか否か判定する。そして、端末装置20は、確認メッセージに関連付けられた応答メッセージの返信先のURLに対して、確認メッセージの検証結果を含んだ応答メッセージを返信する(ステップS1319)。
認証装置30は、端末装置20から応答メッセージを受信すると、応答メッセージに含まれる検証結果が合格である場合(IPアドレスが互いに一致するという検証結果である場合)には、予め管理するサービス利用者ID(図10参照)に基づいて、確認メッセージの送信先として指定したSIPURIを対応するサービス利用者IDに変換し、認証結果としてサービス提供装置40に送信する(ステップS1320)。
なお、サービス提供装置40は、上記の実施例2と同様に、認証装置30から認証結果としてサービス利用者IDを受信すると、認証結果として受信したサービス利用者IDがサービス要求に含まれるものと一致するか否か判定して、判定の結果、サービス利用者IDが互いに一致する場合には、サービスを利用できる正規の端末装置20であるとしてサービスを提供する(ステップS1321)。
[実施例3の効果]
上述してきたように、実施例3によれば、端末装置20は、接続制御装置10から転送された認証装置の確認メッセージを受信した場合に、確認メッセージに含まれるIPアドレスと自己のIPアドレスとが一致するか否か検証するとともに、確認メッセージに含まれる返信先情報(例えば、URL)に基づいて検証結果を含んだ応答メッセージを返信し、接続制御装置10は、認証装置30からSIPURIを含んだ確認メッセージを受信した場合に、SIPURIに対応する端末装置20を宛先として確認メッセージを転送し、認証装置30は、サービス提供装置40から受信した認証要求に含まれる端末装置20のIPアドレスと、自己を宛て先とする返信先情報とを含んだ確認メッセージを生成し、サービス提供装置40の認証要求から特定されたSIPURIに対応する端末装置20を宛先として確認メッセージを接続制御装置10に送信するとともに、端末装置20から応答メッセージを受信した場合に、応答メッセージに含まれる検証結果に基づいて端末装置20を認証する、すなわち、端末装置20のサービス提供装置40に対するサービス要求時においても、認証装置30との接続確立時と同一のIPアドレスを使用しているか否か(IPアドレスが変更されているか否か)を確認するので、端末装置20について十分な認証を行うことが可能である。
なお、上記の実施例3では、端末装置20と認証装置30との間で応答メッセージをHTTPなどにより直接送受信する場合を説明したが、本発明はこれに限定されるものではなく、接続制御装置10を介したSIPに基づくメッセージとして送受信するようにしてもよい。これにより、端末装置20および認証装置30において、単一プロトコルとしてSIPのみを実装しておけばよく、応答メッセージの返信先情報として、URLを確認メッセージに関連付ける必要もない。
上記の実施例2において、上記の実施例3と同様に、サービス要求に関する処理において、端末装置20と認証装置30との間でメッセージを送受信するとともに、端末装置20と認証装置30との間で秘密情報を共有するようにしてもよい。そこで、以下の実施例4では、実施例4に係る認証システムの構成および処理を順に説明し、最後に実施例4による効果を説明する。
[認証システムの構成(実施例4)]
まず、図14を用いて、実施例4に係る認証システムの構成を説明する。図14は、実施例4に係る認証システムの構成を示すブロック図である。なお、同図においては、実施例4に係る認証システムを実現する上で必要となる各装置の処理機能部のみを記載し、その他の処理部については記載を省略する。
実施例4に係る認証システムは、実施例2に係る認証システムと基本的には同様の構成であるが、以下に説明する点が異なる。
認証装置30の接続確立部31は、接続制御装置10から転送された端末装置20の接続要求信号を受信して、接続要求信号に対する応答信号を返信する場合に、秘密情報を生成して応答信号に添付するとともに、図15に例示するように、認証情報管理部34に管理されているSIPURIやIPアドレスに対応付けて、生成した秘密情報を格納する。
また、認証装置30のメッセージ処理部37は、端末装置20から受信した応答メッセージに含まれる秘密情報と、認証情報管理部34により管理されている秘密情報の中から検索した確認メッセージの送信先であるSIPURIに対応した秘密情報とが一致するか否か判定する。判定結果、各秘密情報が互いに一致する場合には、応答メッセージの送信元である端末装置20の認証成功として、予め管理するサービス利用者ID(図10参照)に基づいて、特定したSIPURIを対応するサービス利用者IDに変換し、認証結果としてサービス提供装置40に送信する。
端末装置20のメッセージ処理部24は、接続制御装置10から転送された認証装置30の応答信号を受信すると、接続確立部21によって、認証装置30のSIPURIを接続切断相手として指定した切断要求信号を接続制御装置10に送信する前に、認証装置30の応答信号に添付されていた秘密情報を内部的に記憶する。また、メッセージ処理部24は、内部的に記憶していた秘密情報を含む応答メッセージを生成する。
[認証システムによる処理(実施例4)]
次に、図16を用いて、実施例4に係る認証システムの処理を説明する。図16は、実施例3に係る認証システムの処理の流れを示すシーケンスである。なお、実施例4に係る認証システムの処理のうち、図16に示すステップS1601〜1606、ステップS1609〜ステップS1614、およびステップS1621の処理が、上記の実施例3で図13を用いて説明したステップS1301〜1306、ステップS1309〜ステップS1314、およびステップS1321の処理と同様であるが、以下に説明する処理が異なる。
すなわち、認証装置30は、接続制御装置10から転送された端末装置20の接続要求信号を受信すると、生成した秘密情報を添付した応答信号を接続制御装置10に返信する(ステップS1607)。
接続制御装置10は、認証装置30から秘密情報が添付された応答信号を受信すると、端末装置20に転送する(ステップS1608)。
端末装置20は、接続制御装置10から転送された認証装置30の応答信号を受信すると、認証装置30のSIPURIを接続切断相手として指定した切断要求信号を接続制御装置10に送信する前に、認証装置30の応答信号に添付されていた秘密情報を内部的に記憶する。
続いて、便宜上ステップS1615から説明すると、認証装置30は、サービス提供装置40から認証要求を受信すると、端末装置情報(図8参照)として予め管理されているSIPURIの中から、認証要求に含まれるIPアドレスに対応したSIPURIを特定する。そして、応答メッセージを直接受信するためのURLを生成して関連付け、認証要求に含まれるIPアドレスを含ませた確認メッセージを生成するとともに、特定したSIPURIを宛先として指定した確認メッセージを接続制御装置10に送信する(ステップS1615)。
接続制御装置10は、認証装置30から確認メッセージを受信すると、確認メッセージの宛先として指定されている端末装置20に確認メッセージを転送する(ステップS1616)。
端末装置20は、確認メッセージを受領した旨を示す応答信号を接続制御装置10に返信する(ステップS1617)。
接続制御装置10は、端末装置20から応答信号を受信すると、応答信号を認証装置30に転送する(ステップS1618)。
また、応答信号を返信した後、端末装置20は、内部的に記憶していた秘密情報を含む応答メッセージを生成して、確認メッセージに関連付けられた応答メッセージの返信先のURLに対して、応答メッセージを返信する(ステップS1619)。
認証装置30は、端末装置20から受信した応答メッセージに含まれる秘密情報と、認証情報管理部34により管理されている秘密情報の中から検索した確認メッセージの送信先であるSIPURIに対応した秘密情報とが一致するか否か判定する。判定結果、各秘密情報が互いに一致する場合には、応答メッセージの送信元である端末装置20の認証成功として、予め管理するサービス利用者ID(図10参照)に基づいて、特定したSIPURIを対応するサービス利用者IDに変換し、認証結果としてサービス提供装置40に送信する(ステップS1620)。
[実施例4の効果]
上述してきたように、実施例4によれば、端末装置20は、接続制御装置10から転送された認証装置30の応答信号を受信した場合に、応答信号に含まれる秘密情報を記憶し、記憶されている秘密情報を含ませて、確認メッセージに対する応答メッセージを生成するとともに返信し、認証装置30は、端末装置20の接続要求信号を受信した場合に、接続要求信号に対する応答信号に含ませるための秘密情報を生成し、接続要求信号に含まれるSIPURIおよびIPアドレスに対応付けて秘密情報を記憶して、秘密情報を含ませた応答信号を接続制御装置10に送信するとともに、端末装置20から応答メッセージを受信した場合に、記憶されている秘密情報の中から確認メッセージの宛先としたSIPURIに対応する秘密情報を検索するとともに、検索した秘密情報と応答メッセージに含まれる秘密情報とを一致するか否か判定して端末装置20を認証する、すなわち、サービス提供装置に対するサービス要求時においても、認証装置30との接続確立時と同一の端末装置20であるか否かを確認するので、端末装置20の成りすましや誤動作に対して頑強な認証が可能である。
なお、上記の実施例4では、事前に共有した秘密情報を応答メッセージに付加する場合を説明したが、本発明はこれに限定されるものではなく、秘密情報を用いてダイジェストメッセージを生成した応答メッセージに付加させるようにしてもよい。このようにすれば、通信経路上にある通信機器による盗み見などの攻撃を防止あるいは検出することができ、さらに頑強な認証が可能となる。
また、認証装置30から端末装置20に秘密情報を渡して共有するのではなく、DH(Diffie Helman)等の方式を用いて共有するようにしてもよい。このようにすれば、中間者による攻撃に対する耐性を向上させることができる。
また、認証装置において端末装置の認証を行う前に、端末装置において、上記の実施例3で説明したように、確認メッセージが自己宛であるか否か検証する(例えば、確認メッセージに含まれるIPアドレスと自己のIPアドレスとが一致するか否か検証する、あるいは事前に交わした秘密情報に基づいて検証する)するようにしてもよい。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施例を説明する。
(1)装置構成等
上記の実施例において、文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、任意に変更することができる。
また、図2、図6、図12および図14に示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、図2に示す接続制御装置10の接続信号処理部11と端末装置認証部12とを統合し、図6に示す認証装置30の認証部33と認証情報管理部34とを統合し、図12に示す端末装置20のメッセージ送受信部22とメッセージ処理部23とを統合し、図14に示す認証装置30のメッセージ送受信部35とメッセージ処理部37とを統合するなど、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能(図5、図11、図13および図16参照)は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(2)認証処理プログラム
ところで、上記の実施例で説明した認証処理システムの認証処理方法(図5、図11、図13および図16参照)にかかる各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することができる。そこで、以下では、その一例として、図17および図18を用いて、上記の実施例1と同様の機能を有するデータ提供プログラムを実行するコンピュータを説明する。図17および図18は、認証処理プログラムを実行するコンピュータを示す図である。
まず、図17に示すように、接続制御装置としてのコンピュータ50は、通信制御I/F部51、HDD52、RAM53、ROM54およびCPU55をバス60で接続して構成される。
そして、ROM54には、上記の実施例1に示した接続制御装置10と同様の機能を発揮する認証処理プログラム、つまり、図17に示すように、接続信号処理プログラム54aおよび端末装置認証プログラム54bがあらかじめ記憶されている。なお、これらのプログラム54aおよび54bについては、図2に示した接続制御装置10の各構成要素と同様、適宜統合または分散してもよい。なお、ROM54は、不揮発性の「RAM」でもよい。
そして、CPU55が、これらのプログラム54aおよび54bをROM54から読み出して実行することで、図17に示すように、各プログラム54aおよび54bは、接続信号処理プロセス55aおよび端末認証処理プロセス55bとして機能するようになる。なお、各プロセス55aおよび55bは、図2に示した接続信号処理部11および端末装置認証部12にそれぞれ対応する。
また、HDD52には、図17に示すように、管理端末装置情報テーブル52aが設けられる。この管理端末装置情報テーブル52aは、図2に示した端末装置認証部12において予め管理される管理端末装置情報に対応する。そして、CPU55は、管理端末装置情報テーブル52aから管理端末装置情報データ53aを読み出してRAM53に格納し、RAM53に格納された管理端末装置情報データ53aに基づいて認証処理を実行する。
なお、上記した各プログラム54aおよび54bについては、必ずしも最初からROM54に記憶させておく必要はなく、例えば、コンピュータ50に挿入されるフレキシブルディスク(FD)、CD−ROM、MOディスク、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」、または、コンピュータ50の内外に備えられるHDDなどの「固定用の物理媒体」、さらには、公衆回線、インターネット、LAN、WANなどを介してコンピュータ50に接続される「他のコンピュータ(またはサーバ)」などに各プログラムを記憶させておき、コンピュータ50がこれらから各プログラムを読み出して実行するようにしてもよい。
また、図18に示すように、認証装置としてのコンピュータ70は、通信制御I/F部71、HDD72、RAM73、ROM74およびCPU75をバス80で接続して構成される。
そして、ROM74には、上記の実施例1に示した認証装置30と同様の機能を発揮する認証処理プログラム、つまり、図18に示すように、接続確立プログラム74a、接続情報抽出プログラム74bおよび認証プログラム74cがあらかじめ記憶されている。なお、これらのプログラム74a、74bおよび74cについては、図2に示した認証装置30の各構成要素と同様、適宜統合または分散してもよい。なお、ROM74は、不揮発性の「RAM」でもよい。
そして、CPU75が、これらのプログラム74a、74bおよび74cをROM74から読み出して実行することで、図18に示すように、各プログラム74a、74bおよび74cは、接続確立プロセス75a、接続情報抽出プロセス75bおよび認証プロセス75cとして機能するようになる。なお、各プロセス75a、75bおよび75cは、図2に示した接続確立部31、接続情報抽出部32および認証部33にそれぞれ対応する。
また、HDD72には、図18に示すように、認証要求情報テーブル72aが設けられる。この認証要求情報テーブル72aは、図2に示した認証部33において、サービス提供装置40から受信して予め保持される認証要求に関する情報が対応する。そして、CPU75は、認証要求情報テーブル72aから認証要求情報データ73aを読み出してRAM73に格納し、RAM73に格納された認証要求情報データ73aに基づいて認証処理を実行する。
なお、上記した各プログラム74a、74bおよび74cについては、必ずしも最初からROM74に記憶させておく必要はなく、例えば、コンピュータ70に挿入されるフレキシブルディスク(FD)、CD−ROM、MOディスク、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」、または、コンピュータ70の内外に備えられるHDDなどの「固定用の物理媒体」、さらには、公衆回線、インターネット、LAN、WANなどを介してコンピュータ70に接続される「他のコンピュータ(またはサーバ)」などに各プログラムを記憶させておき、コンピュータ70がこれらから各プログラムを読み出して実行するようにしてもよい。
以上のように、本発明に係る認証システムおよび認証方法は、ネットワーク上の配置された各装置間の通信接続を接続制御装置によって制御するとともに、当該接続制御装置によって通信が確立された端末装置からサービス提供装置に対してサービスの要求があった場合に、当該端末装置を認証する場合に有用であり、特に、ネットワーク上で提供されるサービスを利用する端末装置、あるいはその利用者の認証について、既存のインフラに手を加えることなく、容易かつ低コストに実現することに適する。
実施例1に係る認証システムの概要および特徴を説明するための図である。 実施例1に係る認証システムの構成を示すブロック図である。 サービス利用者IDの記憶構成例を示す図である。 管理端末装置情報の構成例を示す図である。 実施例1に係る認証システムの処理の流れを示すシーケンスである。 実施例2に係る認証システムの構成を示すブロック図である。 認証装置に関する情報の記憶構成例を示す図である。 端末装置情報の記憶構成例を示す図である。 サービス利用者IDの記憶構成例を示す図である。 サービス利用者情報の記憶構成例を示す図である。 実施例2に係る認証システムの処理の流れを示すシーケンスである。 実施例3に係る認証システムの構成を示すブロック図である。 実施例3に係る認証システムの処理の流れを示すシーケンスである。 実施例4に係る認証システムの構成を示すブロック図である。 端末装置情報の記憶構成例を示す図である。 実施例4に係る認証システムの処理の流れを示すシーケンスである。 認証処理プログラムを実行するコンピュータを示す図である。 認証処理プログラムを実行するコンピュータを示す図である。
符号の説明
1 IPネットワーク
10 接続制御装置
11 接続信号処理部
12 端末装置認証部
13 メッセージ中継部
20 端末装置
21 接続確立部
22 メッセージ送受信部
23 メッセージ処理部
30 認証装置
31 接続確立部
32 接続情報抽出部
33 認証部
34 認証情報管理部
35 メッセージ送受信部
36、37 メッセージ処理部
40 サービス提供装置
41 認証要求部
50、70 コンピュータ
51、71 通信制御I/F部
52、72 HDD(Hard Disk Drive)
53、73 RAM(Random Access Memory)
54、74 ROM(Read Only Memory)
55、75 CPU(Central Processing Unit)
60、80 バス

Claims (10)

  1. ネットワーク上の配置された各装置間の通信接続を接続制御装置によって制御するとともに、サービス提供装置に対して端末装置からサービスの要求があった場合に、当該端末装置を認証する認証システムであって、
    前記接続制御装置は、
    前記端末装置ごとに一意に割り当てられた端末識別子と前記ネットワークを介した通信に利用する通信アドレスとを対応付けてそれぞれ記憶する管理端末情報記憶手段と、
    前記端末装置を認証する認証装置から当該端末装置を宛先とする接続要求信号を受信した場合に、当該接続要求信号に含まれた端末識別子に対応する端末装置を宛先として当該接続要求信号を転送する接続要求転送手段と、
    前記端末装置から前記接続要求信号に対する応答信号を受信した場合に、前記管理端末情報記憶手段により記憶されている前記通信アドレスの中から、当該応答信号に含まれる端末識別子に対応する通信アドレスを検索して、当該応答信号に含まれる通信アドレスと一致するか否か検証する検証手段と、
    前記検証手段により前記各通信アドレスが互いに一致するものと検証された場合には、当該応答信号を前記認証装置に転送する接続要求応答転送手段と、
    を備え、
    前記認証装置は、
    前記サービス提供装置から認証要求を受信する認証要求受信手段と、
    前記認証要求受信手段により受信された認証要求の対象となる端末装置を宛先として、前記接続制御装置に接続要求信号を送信する端末接続要求送信手段と、
    前記接続制御装置から転送された前記応答信号を受信した場合に、当該応答信号に含まれている端末識別子および通信アドレスに基づいて、前記端末装置を認証する認証手段と、
    前記認証手段により前記端末装置が認証された場合には、認証結果を前記サービス提供装置に送信する認証結果送信手段と、
    を備えたことを特徴とする認証システム。
  2. 前記端末装置は、
    前記認証装置に対して一意に割り当てられた装置識別子を記憶する装置情報記憶手段と、
    自己の端末識別子および通信アドレスを記憶する自己情報記憶手段と、
    前記装置情報記憶手段により記憶されている前記装置識別子に対応する前記認証装置を宛先として、前記自己情報記憶手段により記憶されている端末識別子および通信アドレスを含ませた接続要求信号を前記接続制御装置に送信する装置接続要求送信手段と、
    前記接続制御装置から転送された前記認証装置の応答信号を受信する応答信号受信手段と、
    を備え、
    前記接続制御装置の検証手段は、前記端末装置から前記認証装置を宛先とする接続要求信号を受信した場合に、前記管理端末情報記憶手段により記憶されている前記通信アドレスの中から、当該接続要求信号に含まれる端末識別子に対応する通信アドレスを検索して、当該接続要求信号に含まれる通信アドレスと一致するか否か検証し、
    前記接続制御装置の接続要求転送手段は、前記検証手段により前記各通信アドレスが互いに一致するものと検証された場合には、当該接続要求信号を前記認証装置に転送し、
    前記接続制御装置の接続要求応答転送手段は、前記接続要求信号に対して接続確立に応じる意向を示す応答信号を前記認証装置から受信した場合に、当該応答信号に含まれた端末識別子に対応する端末装置を宛先として当該応答信号を転送し、
    前記認証装置は、
    前記接続制御装置から転送された前記端末装置の接続要求信号を受信する信号受信手段と、
    前記信号受信手段により受信された前記接続要求信号に含まれている端末識別子および通信アドレスを端末装置ごとに記憶する端末情報記憶手段と、
    前記信号受信手段により受信された当該接続要求信号に含まれる端末識別子に対応する端末装置を宛先として、接続確立に応じる意向を示す応答信号を前記接続制御装置に送信する応答信号送信手段と、
    前記認証要求受信手段により前記サービス提供装置から前記端末装置の通信アドレスを含んだ認証要求を受信した場合に、前記端末情報記憶手段により記憶されている端末識別子の中から、当該通信アドレスに対応する端末識別子を特定する端末識別子特定手段と、
    をさらに備え、
    前記認証手段は、前記端末識別子特定手段により前記通信アドレスに対応する端末識別子が特定されるか否かに基づいて当該端末装置を認証し、
    前記認証結果送信手段は、前記認証手段により前記端末装置が認証された場合には、前記端末識別子特定手段により特定された前記端末識別子を含んだ認証結果を前記サービス提供装置に送信することを特徴とする請求項1に記載の認証システム。
  3. 前記端末装置は、
    前記接続制御装置から転送された前記認証装置の確認メッセージを受信した場合に、当該確認メッセージが自己宛であるか否かについて、当該認証装置との事前の接続確立に係る情報に基づいて検証するメッセージ検証手段と、
    前記メッセージ検証手段による前記確認メッセージの検証結果に応じて、当該検証結果を含んだ応答メッセージを生成して返信する応答メッセージ返信手段と、
    をさらに備え、
    前記接続制御装置は、
    前記認証装置から端末識別子を含んだ確認メッセージを受信した場合に、当該端末識別子に対応する端末装置を宛先として当該確認メッセージを転送する確認メッセージ転送手段をさらに備え、
    前記認証装置は、
    前記端末装置との事前の接続確立に係る情報に基づいて確認メッセージを生成する確認メッセージ生成手段と、
    前記端末識別子特定手段により特定された前記端末識別子に対応する端末装置を宛先として、前記確認メッセージ生成手段により生成された前記確認メッセージを前記接続制御装置に送信する確認メッセージ送信手段と、
    をさらに備え、
    前記認証装置の前記認証手段は、前記端末装置から応答メッセージを受信した場合に、当該応答メッセージに含まれる検証結果に基づいて当該端末装置を認証することを特徴とする請求項2に記載の認証システム。
  4. 前記端末装置は、前記認証装置との間の事前の接続確立に係る情報に基づいて、前記確認メッセージに対する応答メッセージを生成して返信する応答メッセージ処理手段をさらに備え、
    前記認証装置の前記認証手段は、前記端末装置から応答メッセージを受信した場合に、前記端末装置との間の事前の接続確立に係る情報に基づいて、当該応答メッセージの送信元である端末装置が事前に接続確立した端末装置と同一であるか否か判定して、当該応答メッセージの送信元である端末装置を認証することを特徴とする請求項2に記載の認証システム。
  5. 前記認証装置は、
    前記サービス提供装置が提供するサービスを利用する端末装置ごとに割り当てるサービス利用者識別情報と前記端末識別子とを対応付けてそれぞれ記憶するサービス利用者情報記憶手段と、
    前記サービス利用者情報記憶手段により記憶されているサービス利用者識別情報の中から、前記端末識別子特定手段により検索された前記端末識別子に対応するサービス利用者識別情報を検索するサービス利用者識別情報検索手段と、
    をさらに備え、
    前記認証結果送信手段は、前記認証手段により前記端末装置が認証された場合には、前記サービス利用者識別情報検索手段により検索された前記サービス利用者識別情報を含んだ認証結果を前記サービス提供装置に送信することを特徴とする請求項1〜4に記載の認証システム。
  6. ネットワーク上の配置された各装置間の通信接続を接続制御装置によって制御するとともに、サービス提供装置に対して端末装置からサービスの要求があった場合に、当該端末装置を認証する認証方法であって、
    前記接続制御装置は、
    前記端末装置ごとに一意に割り当てられた端末識別子と前記ネットワークを介した通信に利用する通信アドレスとを対応付けて、記憶部にそれぞれ記憶する管理端末情報記憶工程と、
    前記端末装置を認証する認証装置から当該端末装置を宛先とする接続要求信号を受信した場合に、当該接続要求信号に含まれた端末識別子に対応する端末装置を宛先として当該接続要求信号を転送する接続要求転送工程と、
    前記端末装置から前記接続要求信号に対する応答信号を受信した場合に、前記管理端末情報記憶工程により記憶部に記憶されている前記通信アドレスの中から、当該応答信号に含まれる端末識別子に対応する通信アドレスを検索して、当該応答信号に含まれる通信アドレスと一致するか否か検証する検証工程と、
    前記検証工程により前記各通信アドレスが互いに一致するものと検証された場合には、当該応答信号を前記認証装置に転送する接続要求応答転送工程と、
    を含み、
    前記認証装置は、
    前記サービス提供装置から認証要求を受信する認証要求受信工程と、
    前記認証要求受信工程により受信された認証要求の対象となる端末装置を宛先として、前記接続制御装置に接続要求信号を送信する端末接続要求送信工程と、
    前記接続制御装置から転送された前記応答信号を受信した場合に、当該応答信号に含まれている端末識別子および通信アドレスに基づいて、前記端末装置を認証する認証工程と、
    前記認証工程により前記端末装置が認証された場合には、認証結果を前記サービス提供装置に送信する認証結果送信工程と、
    を含んだことを特徴とする認証方法。
  7. 前記端末装置は、
    前記認証装置に対して一意に割り当てられた装置識別子を記憶部に記憶する装置情報記憶工程と、
    自己の端末識別子および通信アドレスを記憶部に記憶する自己情報記憶工程と、
    前記装置情報記憶工程により記憶部に記憶されている前記装置識別子に対応する前記認証装置を宛先として、前記自己情報記憶工程により記憶部に記憶されている端末識別子および通信アドレスを含ませた接続要求信号を前記接続制御装置に送信する装置接続要求送信工程と、
    前記接続制御装置から転送された前記認証装置の応答信号を受信する応答信号受信工程と、
    を含み、
    前記接続制御装置の検証工程は、前記端末装置から前記認証装置を宛先とする接続要求信号を受信した場合に、前記管理端末情報記憶工程により記憶部に記憶されている前記通信アドレスの中から、当該接続要求信号に含まれる端末識別子に対応する通信アドレスを検索して、当該接続要求信号に含まれる通信アドレスと一致するか否か検証し、
    前記接続制御装置の接続要求転送工程は、前記検証工程により前記各通信アドレスが互いに一致するものと検証された場合には、当該接続要求信号を前記認証装置に転送し、
    前記接続制御装置の接続要求応答転送工程は、前記接続要求信号に対して接続確立に応じる意向を示す応答信号を前記認証装置から受信した場合に、当該応答信号に含まれた端末識別子に対応する端末装置を宛先として当該応答信号を転送し、
    前記認証装置は、
    前記接続制御装置から転送された前記端末装置の接続要求信号を受信する信号受信工程と、
    前記信号受信工程により受信された前記接続要求信号に含まれている端末識別子および通信アドレスを端末装置ごとに記憶部に記憶する端末情報記憶工程と、
    前記信号受信工程により受信された当該接続要求信号に含まれる端末識別子に対応する端末装置を宛先として、接続確立に応じる意向を示す応答信号を前記接続制御装置に送信する応答信号送信工程と、
    前記認証要求受信工程により前記サービス提供装置から前記端末装置の通信アドレスを含んだ認証要求を受信した場合に、前記端末情報記憶工程により記憶部に記憶されている端末識別子の中から、当該通信アドレスに対応する端末識別子を特定する端末識別子特定工程と、
    をさらに含み、
    前記認証工程は、前記端末識別子特定工程により前記通信アドレスに対応する端末識別子が特定されるか否かに基づいて当該端末装置を認証し、
    前記認証結果送信工程は、前記認証工程により前記端末装置が認証された場合には、前記端末識別子特定工程により特定された前記端末識別子を含んだ認証結果を前記サービス提供装置に送信することを特徴とする請求項6に記載の認証方法。
  8. 前記端末装置は、
    前記接続制御装置から転送された前記認証装置の確認メッセージを受信した場合に、当該確認メッセージが自己宛であるか否かについて、当該認証装置との事前の接続確立に係る情報に基づいて検証するメッセージ検証工程と、
    前記メッセージ検証工程による前記確認メッセージの検証結果に応じて、当該検証結果を含んだ応答メッセージを生成して返信する応答メッセージ返信工程と、
    をさらに含み、
    前記接続制御装置は、
    前記認証装置から端末識別子を含んだ確認メッセージを受信した場合に、当該端末識別子に対応する端末装置を宛先として当該確認メッセージを転送する確認メッセージ転送工程をさらに含み、
    前記認証装置は、
    前記端末装置との事前の接続確立に係る情報に基づいて確認メッセージを生成する確認メッセージ生成工程と、
    前記端末識別子特定工程により特定された前記端末識別子に対応する端末装置を宛先として、前記確認メッセージ生成工程により生成された前記確認メッセージを前記接続制御装置に送信する確認メッセージ送信工程と、
    をさらに含み、
    前記認証装置の認証工程は、前記端末装置から応答メッセージを受信した場合に、当該応答メッセージに含まれる検証結果に基づいて当該端末装置を認証することを特徴とする請求項7に記載の認証方法。
  9. 前記端末装置は、前記認証装置との間の事前の接続確立に係る情報に基づいて、前記確認メッセージに対する応答メッセージを生成して返信する応答メッセージ処理工程をさらに備え、
    前記認証装置の前記認証工程は、前記端末装置から応答メッセージを受信した場合に、当該端末装置との間の事前の接続確立に係る情報に基づいて、当該応答メッセージの送信元である端末装置が事前に接続確立した端末装置と同一であるか否か判定して、当該応答メッセージの送信元である端末装置を認証することを特徴とする請求項7に記載の認証方法。
  10. 前記認証装置は、
    前記サービス提供装置が提供するサービスを利用する端末装置ごとに割り当てるサービス利用者識別情報と前記端末識別子とを対応付けて、記憶部にそれぞれ記憶するサービス利用者情報記憶工程と、
    前記サービス利用者情報記憶工程により記憶部に記憶されているサービス利用者識別情報の中から、前記端末識別子特定工程により特定された前記端末識別子に対応するサービス利用者識別情報を検索するサービス利用者識別情報検索工程と、
    をさらに含み、
    前記認証結果送信工程は、前記認証工程により前記端末装置が認証された場合には、前記サービス利用者識別情報検索工程により検索された前記サービス利用者識別情報を含んだ認証結果を前記サービス提供装置に送信することを特徴とする請求項6〜9に記載の認証方法。
JP2006314497A 2006-11-21 2006-11-21 認証システムおよび認証方法 Active JP4477619B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006314497A JP4477619B2 (ja) 2006-11-21 2006-11-21 認証システムおよび認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006314497A JP4477619B2 (ja) 2006-11-21 2006-11-21 認証システムおよび認証方法

Publications (2)

Publication Number Publication Date
JP2008129865A JP2008129865A (ja) 2008-06-05
JP4477619B2 true JP4477619B2 (ja) 2010-06-09

Family

ID=39555611

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006314497A Active JP4477619B2 (ja) 2006-11-21 2006-11-21 認証システムおよび認証方法

Country Status (1)

Country Link
JP (1) JP4477619B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6064337B2 (ja) 2011-08-10 2017-01-25 ソニー株式会社 給電システム、給電装置および電子機器
US8904528B2 (en) * 2013-03-15 2014-12-02 Elemica, Inc. Method and apparatus for translation of business messages

Also Published As

Publication number Publication date
JP2008129865A (ja) 2008-06-05

Similar Documents

Publication Publication Date Title
JP5143125B2 (ja) ドメイン間情報通信のための認証方法、システム、およびその装置
CN101399813B (zh) 身份联合方法
JP4983797B2 (ja) 通信装置、通信中継プログラム及び通信中継方法
JP5309496B2 (ja) 認証システムおよび認証方法
JP5239341B2 (ja) ゲートウェイ、中継方法及びプログラム
JP6345816B2 (ja) ネットワーク通信システムおよび方法
JP5180048B2 (ja) サービス提供システム、サービス提供方法およびサービス提供プログラム
JP4698751B2 (ja) アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム
JP4299621B2 (ja) サービス提供方法、サービス提供プログラム、ホスト装置、および、サービス提供装置
WO2010119626A1 (ja) Id認証システム、方法及びプログラムが格納された非一時的なコンピュータ可読媒体
JP4778282B2 (ja) 通信接続方法及びシステム並びにプログラム
JP4477619B2 (ja) 認証システムおよび認証方法
JP4886712B2 (ja) アクセス制御システム、アクセス制御方法、アクセス制御装置およびアクセス制御プログラム
JP4800332B2 (ja) サービス提供システム、サービス提供方法およびサービス提供プログラム
JP4950095B2 (ja) サービス提供システム、サービス提供方法およびサービス提供プログラム
JP2006128873A (ja) Url認証システム及びurl認証方法
JP2009043043A (ja) Sipを用いた認証システムおよび認証方法
JP2006270431A (ja) 呼制御装置、端末、これらのプログラム、及び通信チャネル確立方法
JP2009211529A (ja) 認証処理装置、認証処理方法および認証処理プログラム
JP2006229265A (ja) ゲートウェイシステム
JP4750808B2 (ja) 接続制御システム、接続制御方法および接続制御プログラム
US20080141343A1 (en) Method, system and apparatus for access control
JP2004220075A (ja) ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム
JP5184572B2 (ja) サービス提供装置、サービス提供方法およびサービス提供プログラム
JP4832941B2 (ja) 通信状態保障システム、通信状態保障方法および通信状態保障プログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100309

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100311

R150 Certificate of patent or registration of utility model

Ref document number: 4477619

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130319

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350