[用語の説明]
まず最初に、以下の実施例で用いる主要な用語を説明する。「利用者装置」とは、パーソナルコンピュータや携帯電話などで構成され、利用者によって操作される装置のことである。具体的には、「利用者装置」は、インターネットなどのネットワークに接続し、ネットワーク上で公開されている各種アプリケーションサービス(例えば、電子メール、音楽コンテンツ、映像コンテンツ、ショッピング、オークションなど)の情報を、ネットワーク上の他のコンピュータから受信してモニタやスピーカーなどに出力したり、利用者によって入力された情報を、ネットワーク上の他のコンピュータに送信したりすることで、各種アプリケーションサービスを利用者に提供する。
ところで、この「利用者装置」が、ネットワーク上の各種アプリケーションサービスの情報を他のコンピュータと送受信するためには、「ネットワーク事業者装置」によって、ネットワーク接続を制御されることと、「サービス事業者装置」によって、サイトアクセスを制御されることとが必要になる。
具体的に説明すると、「ネットワーク事業者装置」とは、汎用的なコンピュータなどで構成され、ネットワーク事業者によって運営される装置のことである。また、ネットワーク事業者とは、利用者登録した利用者によって操作される「利用者装置」に対して、インターネットなどのネットワークに接続するための回線を提供する事業者のことである。例えば、ネットワーク事業者とは、xDSL(x Digital Subscriber Line)や光ファイバーなどの固定ネットワークによるアクセスサービスを提供する事業者、無線LAN(Local Area Network)によるアクセスサービスを提供する事業者、その他インターネットへのアクセスサービスを提供する事業者(ISP:Internet Services Provider)などのことであり、「利用者装置」は、まず、ネットワーク事業者によって運営される「ネットワーク事業者装置」に利用者登録されて、ネットワーク接続を制御されることで(インターネットなどのネットワークに接続するための回線への接続を許可されることで)、インターネットなどのネットワークに接続できるようになる。なお、ネットワーク上には、多数のネットワーク事業者が存在し、多数の「ネットワーク事業者装置」が存在するが、「利用者装置」は、任意の「ネットワーク事業者装置」によってネットワーク接続を制御されることで、インターネットなどのネットワークに接続する。
こうして、「ネットワーク事業者装置」にネットワーク接続を制御されることで、インターネットなどのネットワークに接続できるようになった「利用者装置」は、次に、各種アプリケーションサービスの提供を受けるために、「サービス事業者装置」に利用者登録(もしくは利用者認証)されなければならない。「サービス事業者装置」とは、汎用的なコンピュータなどで構成され、サービス提供事業者によって運営される装置のことである。また、サービス提供事業者とは、利用者登録(もしくは利用者認証)した利用者によって操作される「利用者装置」に対して、各種アプリケーションサービスを提供する事業者のことである。例えば、サービス提供事業者とは、ネットワーク上で各種アプリケーションサービス(例えば、電子メール、音楽コンテンツ、映像コンテンツ、ショッピング、オークションなど)を提供する事業者などのことであり、「利用者装置」は、サービス提供事業者によって運営される「サービス事業者装置」に利用者登録(もしくは利用者認証)されて、サイトアクセスを制御されることで、各種アプリケーションサービスの提供を受けることができるようになる。なお、「ネットワーク事業者装置」同様、ネットワーク上には、多数のサービス提供事業者が存在し、多数の「サービス事業者装置」が存在するが、「利用者装置」は、任意の「サービス事業者装置」によってサイトアクセスを制御されることで、任意のアプリケーションサービスの提供を受ける。
ここで、「サイトアクセス」とは、例えば、利用者登録していない利用者によって操作される「利用者装置」が「サービス事業者装置」に接続した際に、「サービス事業者装置」において利用者登録を行うことや、利用者登録した利用者によって操作される「利用者装置」が接続した際に、利用者認証を行うことで「利用者装置」にアプリケーションサービスを提供することや、利用者登録していない利用者によって操作される「利用者装置」が接続した際に、利用者登録を行わずにワンタイムで利用者認証を行うことで「利用者装置」にアプリケーションサービスを提供することなどを総称したものである。「サービス事業者装置」が提供するアプリケーションサービスの種類や利用局面などに応じて、「サイトアクセス」を制御する制御内容は異なってくる。
このように、「ネットワーク事業者装置」が「利用者装置」によるネットワーク接続を制御し、「サービス事業者装置」が「利用者装置」によるサイトアクセスを制御するシステムを、「サービスシステム」というが、「サービスシステム」においては、なりすましやクレジットカード番号の悪用など、さまざまな脅威が存在する。このため、「サービスシステム」においては、信用性の高いサイトアクセス制御をいかにして実現するかが、特に重要な点になる。
[実施例1に係るサービスシステムの概要および特徴]
続いて、図1を用いて、実施例1に係るサービスシステムの概要および特徴を説明する。図1は、実施例1に係るサービスシステムの概要および特徴を説明するための図である。なお、以下の実施例では、ひとつの「利用者装置」によるネットワーク接続を、ひとつの「ネットワーク事業者装置」が制御し、ひとつの「利用者装置」によるサイトアクセスを、ひとつの「サービス事業者装置」が制御する構成を説明するが、この発明はこれに限られるものではなく、ひとつまたは複数の「利用者装置」によるネットワーク接続を、ひとつまたは複数の「ネットワーク事業者装置」が制御し、ひとつまたは複数の「利用者装置」によるサイトアクセスを、ひとつまたは複数の「サービス事業者装置」が制御する構成にも、この発明を同様に適用することができる。
実施例1に係るサービスシステムは、上記したように、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されることを概要とし、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することを主たる特徴とする。
この主たる特徴について簡単に説明すると、実施例1におけるネットワーク事業者装置は、利用者装置の利用者について、あらかじめ利用者登録しており、利用者装置のネットワーク接続を許可しているものとする。すなわち、ネットワーク事業者装置は、図1に示すように、ネットワーク接続が許可される利用者装置の利用者に関する利用者情報(例えば、契約者名、住所、クレジットカード番号など)を、利用者装置が接続する回線に関する回線情報(例えば、回線の識別子、回線の収容位置、回線種別、回線速度など)と対応づけて、利用者管理データベース部(利用者管理DB)に記憶している。例えば、図1においては、利用者アカウントAAAに関する利用者情報(「AAAの利用者情報」)を、回線情報(「AAAの回線情報」)と対応づけて、利用者管理DBに記憶している。
一方、実施例1におけるサービス事業者装置は、利用者装置の利用者について、利用者登録していないものとする。すなわち、利用者装置は、サービス事業者装置が提供するアプリケーションサービスの提供を受けることができない状態にある。なお、実施例1において、サービス事業者装置が提供するアプリケーションサービスは、永続的な利用者登録を行うことで提供できるタイプのアプリケーションサービス(永続的な利用者アカウントを払い出し、永続的にアプリケーションサービスを提供)としたが、この発明はこれに限られるものではなく、例えば、ワンタイムの利用者認証を行うことで提供できるタイプのアプリケーションサービス(利用者アカウントを払い出さず、接続中のみアプリケーションサービスを提供)や、有効期限付きの利用者登録を行うことで提供できるタイプのアプリケーションサービス(有効期限付きの利用者アカウントを払い出し、有効期限付きでアプリケーションサービスを提供)にも、この発明を同様に適用することができる。
また、実施例1におけるネットワーク事業者装置とサービス事業者装置との間では、ネットワーク事業者装置が利用者管理DBに管理する利用者情報および回線情報を、サービス事業者装置に送信すること(および具体的な送信項目)について、あらかじめ取り決めがなされているものとする。さらに、ネットワーク事業者装置とサービス事業者装置との間では、あらかじめ信頼関係が成立しているものとする。すなわち、ネットワーク事業者装置においては、サービス事業者装置が署名する電子署名が正当であることを検証するための公開鍵情報(サービス事業者装置の電子証明書など)を管理し、サービス事業者装置においては、ネットワーク事業者装置が署名する電子署名が正当であることを検証するための公開鍵情報(ネットワーク事業者装置の電子証明書など)を管理しているものとする。なお、実施例1においては、ネットワーク事業者装置およびサービス事業者装置において、互いの公開鍵情報を管理する手法を説明するが、この発明はこれに限られるものではなく、信頼される第三者機関によって発行される公開鍵情報を用いて電子署名が正当であることを検証する手法など、電子署名が正当であることを検証する手法はいずれでもよい。
このような構成のもと、実施例1におけるネットワーク事業者装置は、まず、利用者装置から、ネットワーク接続要求を受信する(図1の(1)を参照)。具体的には、ネットワーク事業者装置は、利用者装置から、ネットワーク接続要求として、回線認証情報(例えば、利用者アカウント、パスワードなど)を受信する。例えば、図1においては、利用者アカウントAAAとパスワードとを受信する。なお、回線認証情報として、利用者装置から、電子署名等を受信してもよい。
次に、ネットワーク事業者装置は、ネットワーク事業者装置において、認証処理を行う(図1の(2)を参照)。具体的には、ネットワーク事業者装置は、利用者装置から受信した回線認証情報と、利用者管理DBに管理する回線認証情報(例えば、利用者アカウント、パスワードなど)とを照合し、利用者装置を認証する。例えば、図1においては、利用者管理DBに管理する利用者アカウントAAAと図示しないパスワードとを照合し、利用者装置を認証する。
そして、ネットワーク事業者装置は、利用者装置に、ネットワーク接続応答を送信する(図1の(3)を参照)。具体的には、ネットワーク事業者装置は、利用者装置に対して、インターネットなどのネットワークに接続するための回線(アクセスネットワーク)へのアクセスパスをPPPoE(Point to Point Protocol over Ethernet(登録商標))などで設定し、IPアドレスを払い出し、利用者装置に送信する。また、ネットワーク事業者装置は、利用者装置に対して払い出したIPアドレスを、利用者管理DBに格納する。
その結果、利用者装置は、インターネットなどのネットワークに接続し、続いて、ネットワーク事業者装置は、利用者装置から、SPサービス一覧要求を受信する(図1の(4)を参照)。具体的には、ネットワーク事業者装置は、利用者装置から、SPサービス一覧要求として、SPサービス一覧(複数のサービス事業者装置によって公開されるアプリケーションサービスのURL(Uniform Resource Locator)を列挙したもの)のURLなどを受信する。
すると、ネットワーク事業者装置は、利用者装置に対して、SPサービス一覧応答を送信する(図1の(5)を参照)。具体的には、ネットワーク事業者装置は、SPサービス一覧のWebページを取得し、SPサービス一覧応答として、SPサービス一覧のWebページを送信する。ここで、実施例1におけるサービス事業者装置は、利用者装置の利用者について、利用者登録していないので、利用者装置に対して送信するSPサービス一覧のWebページは、利用者登録要求を促すWebページである。
次に、ネットワーク事業者装置は、利用者装置から、利用者登録要求を受信する(図1の(6)を参照)。具体的には、利用者装置において、利用者登録要求を促すWebページのアイコン(「利用者登録」など)がワンクリックされることなどによって、利用者登録要求を受信する。
すると、実施例1におけるネットワーク事業者装置は、利用者装置が接続されている回線に関する回線情報を取得する(図1の(7)を参照)。具体的には、ネットワーク事業者装置は、利用者装置からサービス事業者装置に対する利用者登録要求を受信した場合に、利用者装置が接続する回線を特定することで、回線情報を取得する。
次に、ネットワーク事業者装置は、サービス事業者装置に対して、回線情報に対応づけられた利用者情報および回線情報を送信する(図1の(8)および(9)を参照)。具体的には、ネットワーク事業者装置は、回線を特定することで取得された回線情報に対応付けられた利用者情報および回線情報を利用者管理DBから取得し、利用者装置を経由するリダイレクト通信によって、利用者情報および回線情報をサービス事業者装置に送信する。例えば、図1においては、ネットワーク事業者装置は、利用者情報(「AAAの利用者情報」)および回線情報(「AAAの回線情報」)を、利用者アカウントAAAとともにサービス事業者装置に送信する。
なお、実施例1においては、利用者管理DBから取得した回線情報をサービス事業者装置に送信する手法を説明したが、この発明はこれに限られるものではなく、利用者装置が接続する回線を特定することで取得された回線情報をサービス事業者装置に送信する手法にも、この発明を同様に適用することができる。また、実施例1においては、ネットワーク事業者装置が、利用者情報を識別するための識別子として利用者アカウントAAAを送信する手法を説明したが、この発明はこれに限られるものではなく、ネットワーク事業者装置とサービス事業者装置とにおいて、利用者アカウントの対応づけを保持し、利用者情報を識別するための何らかの識別子を送信する手法であれば、具体的な識別子の選択手法はいずれでもよい。
続いて、サービス事業者装置は、利用者情報および回線情報を用いてサイトアクセスを制御する(図1の(10)〜(12)を参照)。具体的には、サービス事業者装置は、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報を受信した場合に、利用者情報および回線情報を用いてサイトアクセスを制御する。例えば、図1においては、サービス事業者装置は、利用者アカウントAAAを作成し、利用者アカウントAAAの回線情報(「AAAの回線情報」)および利用者情報(「AAAの利用者情報」)を管理し、ネットワーク事業者装置に、処理結果(例えば、利用者アカウントAAAに対するアプリケーションサービスの提供開始を決定したことなど)を送信する。
すると、ネットワーク事業者装置は、利用者装置に利用者登録応答として、アプリケーションサービスの提供を開始するWebページを送信する(図1の(13)を参照)。なお、実施例1においては、サービス事業者装置において、ネットワーク事業者装置における利用者アカウントAAAと同一の利用者アカウントAAAを管理する手法を説明したが、この発明はこれに限られるものではなく、サービス事業者装置において、利用者アカウントAAAとサービス事業者装置における独自の利用者アカウントとの対応づけを保持する手法など、いずれでもよい。
このようにして、実施例1に係るサービスシステムは、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することが可能になる。
ところで、実施例1に係るサービスシステムは、上記した主たる特徴の他に、ネットワーク事業者装置が、利用者情報および回線情報に加えて、利用者情報の有効期限を示す有効期限情報をサービス事業者装置に送信することにも特徴があり、また、サービス事業者装置が、ネットワーク事業者装置から利用者情報および回線情報に加えて有効期限情報を受信した場合に、有効期限情報に示される有効期限を満たすことを条件に、利用者情報を用いてサイトアクセスを制御することにも特徴がある。
[実施例1に係るサービスシステムの構成]
次に、図2〜図14を用いて、実施例1に係るサービスシステムの構成を説明する。図2は、実施例1に係るサービスシステムの構成を示すブロック図であり、図3〜図6は、ネットワーク事業者装置における利用者管理データベース部を説明するための図であり、図7は、サービス事業者管理データベース部を説明するための図であり、図8〜図10は、ネットワーク事業者装置が利用者装置に送信するWebページを説明するための図であり、図11〜図13は、サービス事業者装置における利用者管理データベース部を説明するための図であり、図14は、ネットワーク事業者管理データベース部を説明するための図である。
図2に示すように、実施例1に係るサービスシステムは、利用者装置300によるネットワーク接続を制御するネットワーク事業者装置100と、利用者装置300によるサイトアクセスを制御するサービス事業者装置200とから構成される。以下では、ネットワーク事業者装置100とサービス事業者装置200とを順に説明する。
[ネットワーク事業者装置100]
実施例1におけるネットワーク事業者装置100は、汎用的なコンピュータなどで構成され、特にこの発明に密接に関連するものとしては、図2に示すように、通信制御I/F部110と、記憶部120と、制御部130とを備える。
通信制御I/F部110は、サービス事業者装置200および利用者装置300とデータを送受信する。具体的には、通信制御I/F部110は、利用者装置300から送信されたネットワーク接続要求、SPサービス一覧要求、および利用者登録要求を受信し、ネットワーク接続要求応答、SPサービス一覧応答、および利用者登録応答を利用者装置300に送信し、また、サービス事業者装置200にアカウント登録要求を送信し、アカウント登録応答をサービス事業者装置200から受信するなどする。例えば、通信制御I/F部110は、IP(Internet Protocol)通信用の一般的なインタフェースおよびライブラリを備え、接続に関する制御メッセージを送受信する機能を備える。
記憶部120は、制御部130における各種制御に用いられるデータを記憶し、特にこの発明に密接に関連するものとしては、図2に示すように、利用者管理データベース部121と、サービス事業者管理データベース部122とを備える。なお、利用者管理データベース部121は、特許請求の範囲に記載の「利用者情報記憶手段」に対応する。
利用者管理データベース部121は、ネットワーク接続が許可される利用者装置300の利用者に関する利用者情報を記憶する。具体的には、利用者管理データベース部121は、ネットワーク接続が許可される利用者装置300の利用者に関する利用者情報を、利用者装置300が接続する回線に関する回線情報と対応付けて記憶し、記憶する利用者情報および回線情報は、後述する認証処理部131、回線情報取得部133、および利用者情報送信部134による処理に利用される。なお、実施例1において、利用者管理データベース部121は、以下に説明するように、利用者アカウントとIPアドレスとを対応づけて記憶し、利用者アカウントと利用者情報とを対応づけて記憶し、利用者アカウントと回線情報とを対応づけて記憶し、利用者アカウントとSP IDとを対応づけて記憶し、RDBMS(Relational DataBase Management System)プログラムなどを稼動させることで、利用者装置300の利用者に関する利用者情報を回線情報と対応付けて記憶するが、この発明はこれに限られるものではなく、利用者情報を回線情報と対応付けて記憶するものであれば、データベースの構築手法はいずれでもよい。
例えば、実施例1における利用者管理データベース部121は、図3に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)とIPアドレス(『IPアドレス』の列を参照)とを対応づけて記憶する。ここで、利用者アカウントと対応付けて記憶されるIPアドレスとは、ネットワーク事業者装置100が、後述する認証処理部131において利用者装置300にネットワーク接続応答を送信する際に、利用者装置300に対して、インターネットなどのネットワークに接続するための回線(アクセスネットワーク)へのアクセスパスをPPPoE(Point to Point Protocol over Ethernet(登録商標))などで設定し、利用者装置300に対して払い出したIPアドレスである。利用者管理データベース部121は、認証処理部131において払い出されたIPアドレスを記憶する。
図3の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と「192.168.x.x」とを対応づけて記憶する。なお、実施例においては、説明の便宜上からIPアドレスを「192.168.x.x」のように特定の数字とアルファベットとを組合せた表記をするが、実際は、ネットワーク事業者装置から払い出される一般的なIPアドレスであって、特定の数字とアルファベットとの組合せや選択に何ら特別の意味があるものではない。
また、例えば、実施例1における利用者管理データベース部121は、図4に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)と、利用者情報(『契約者名』、『住所(請求書の送付先)』、『クレジットカード番号』、および『通信料の支払い有無』の列を参照)とを対応づけて記憶する。ここで、利用者アカウントと対応付けて記憶される利用者情報とは、ネットワーク事業者装置100が、オフラインで提示された利用者情報を利用者登録したものである。すなわち、実施例1におけるネットワーク事業者装置100は、利用者装置300の利用者についてあらかじめ利用者登録を行っていることを前提としているが、この利用者登録は、運転免許証などの身分証明書とともに利用者によってオフラインで提示された利用者情報を、ネットワーク事業者が身分証明書による利用者の本人確認を行った上で利用者登録した信用性の高い情報である。利用者管理データベース部121は、ネットワーク事業者装置100を操作する操作者などによってネットワーク事業者装置100に入力された利用者情報を、あらかじめ記憶している。
図4の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と、契約者名「特許 太郎」と、住所「東京都・・・・」と、クレジットカード番号「1111-1111-1111-1111」と、通信料の支払い有無「有」とを対応づけて記憶する。なお、実施例においては、利用者情報として、契約者名、住所、クレジットカード番号、および通信料の支払い有無を記憶する場合を説明したが、この発明はこれに限られるものではなく、性別や年齢などの情報をさらに記憶する場合や、通信料の支払い有無を記憶しない場合など、ネットワーク事業者装置およびサービス事業者装置において必要な利用者情報を含む場合であれば、いずれでもよい。
また、例えば、実施例1における利用者管理データベース部121は、図5に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)と、回線情報(『回線の識別子』、『回線の収容位置』、『回線種別』、『回線速度』、および『回線認証情報(パスワードなど)』)とを対応づけて記憶する。ここで、利用者アカウントと対応付けて記憶される回線情報とは、ネットワーク事業者装置100が、利用者情報を利用者登録するとともに、ネットワーク事業者において収集された回線情報を登録したものである。すなわち、実施例1におけるネットワーク事業者装置100は、利用者装置300の利用者についてあらかじめ利用者登録を行っていることを前提としているが、この利用者登録の際に(もしくは利用者登録の前後に)、利用者登録された利用者によって操作される利用者装置300の回線情報を、併せて登録している。この回線情報は、ネットワーク事業者装置100を運営するネットワーク事業者によって収集される情報であることから、信用性の高い情報である。利用者管理データベース部121は、ネットワーク事業者装置100を操作する操作者などによってネットワーク事業者装置100に入力された回線情報を、あらかじめ記憶している。
図5の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と、回線の識別子「123」と、回線の収容位置「#A500」と、回線種別「光」と、回線速度「100Mbps/100Mbps」と、回線認証情報「******」とを対応づけて記憶する。なお、実施例においては、回線情報として、回線の識別子、回線の収容位置、回線種別、回線速度、および回線認証情報を記憶する場合を説明したが、この発明はこれに限られるものではなく、回線の収容位置を記憶しない場合など、ネットワーク事業者装置およびサービス事業者において必要な回線情報を含む場合であれば、いずれでもよい。また、実施例においては、回線の識別子や回線の収容位置など、説明の便宜上から特定の数字や記号を組み合わせた表記をするが、実際は、ネットワーク事業者装置において規定される情報であり、特定の数字や記号に何ら特別の意味があるものではない。
また、例えば、実施例1における利用者管理データベース部121は、図6に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)と、SP ID(『SP ID』の列を参照)とを対応づけて記憶する。ここで、SP IDとは、ネットワーク事業者装置100において、サービス事業者装置200を識別するための識別子のことである。図6の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と、SP ID「1」および「3」とを対応づけて記憶する。ここで、利用者管理データベース部121が、利用者アカウント「tarou」と複数のSP IDとを対応づけて記憶するのは、ひとつの利用者アカウントについて、複数のサービス事業者装置200との間で、アカウントの対応づけを保持することが可能であることを示している。したがって、利用者管理データベース部121が、ひとつの利用者アカウントについて、ひとつのSP IDを対応づけて記憶する場合や、ひとつの利用者アカウントについて、3つ以上の複数のSP IDを対応づけて記憶する場合にも、この発明を同様に適用することができる。
また、図6の4行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「ichiro」と、SP ID「2」とを対応づけて記憶する。この場合、利用者アカウント「ichiro」によって操作される利用者装置300がサイトアクセスを制御されるサービス制御装置200は、SP ID「2」で識別されるサービス事業者装置200であることを示している。
サービス事業者管理データベース部122は、サービス事業者装置200に関する情報を記憶する。具体的には、サービス事業者管理データベース部122は、図7に示すように、サービス事業者装置200に関する情報として、SP IDと公開鍵情報(サービス事業者装置200の電子証明書など)とを対応づけて記憶し、記憶するSP IDおよび公開鍵情報は、後述するSPサイトアクセス応答部132による処理など(例えば、サービス事業者装置200から送信された処理結果が、確かにサービス事業者装置200から送信されたものであることを検証する場合など)に利用される。ここで、公開鍵情報とは、実施例1においては、ネットワーク事業者装置100とサービス事業者装置200との間で、あらかじめ信頼関係が成立しているものとするので、ネットワーク事業者装置100において、サービス事業者装置200が署名する電子署名が正当であることを検証するための公開鍵情報である。
なお、実施例1においては、サービス事業者管理データベース部122が公開鍵情報を記憶する場合を説明したが、この発明はこれに限られるものではなく、例えば、信頼される第三者機関によって発行される公開鍵情報を用いて電子署名が正当であることを検証する手法では、サービス事業者管理データベース部122が公開鍵情報を記憶する必要はない。また、実施例1において、サービス事業者管理データベース部122は、RDBMSプログラムなどを稼動させることで、SP IDと公開鍵情報とを対応づけて記憶するが、この発明はこれに限られるものではなく、サービス事業者装置200を一意に識別する識別子を記憶するものであれば、データベースの構築手法はいずれでもよい。
制御部130は、ネットワーク事業者装置100における各種制御を行い、特にこの発明に密接に関連するものとしては、図2に示すように、認証処理部131と、SPサイトアクセス応答部132と、回線情報取得部133と、利用者情報送信部134とを備える。なお、回線情報取得部133は、特許請求の範囲に記載の「回線情報取得手段」に対応し、利用者情報送信部134は、特許請求の範囲に記載の「利用者情報送信手段」に対応する。
認証処理部131は、利用者装置300の認証処理を行い、利用者装置300によるネットワーク接続を制御する。具体的には、認証処理部131は、利用者装置300からネットワーク接続要求を回線認証情報とともに受信し、受信した回線認証情報と利用者管理データベース部121に記憶される回線認証情報(例えば、利用者アカウント、パスワードなど)とを照合することで利用者装置300を認証し、認証結果に応じてネットワーク接続応答を利用者装置300に送信するなどする。
また、認証処理部131は、利用者装置300にネットワーク接続応答を送信する際に、利用者装置300に対して、インターネットなどのネットワークに接続するための回線へのアクセスパスをPPPoEなどで設定し、利用者装置300に対してIPアドレスを払い出し、払い出したIPアドレスを、利用者装置300に送信するとともに、利用者管理データベース部121に記憶させる。例えば、認証処理部131は、利用者装置300の利用者アカウント「tarou」にネットワーク接続応答を送信する際に、利用者装置300に対してIPアドレス「192.168.x.x」を払い出す。
SPサイトアクセス応答部132は、利用者装置300から送信されたSPサイトアクセス要求に応答する。具体的には、SPサイトアクセス応答部132は、利用者装置300から、SPサイトアクセス要求として、SPサービス一覧(複数のサービス事業者装置によって公開されるアプリケーションサービスのURLを列挙したもの)のURLなどを受信すると、SPサービス一覧のWebページを取得し、SPサイトアクセス応答として、SPサービス一覧のWebページを利用者装置300に送信する。
例えば、SPサイトアクセス応答部132は、サービス事業者装置200において、利用者装置300の利用者について利用者登録していない場合には、利用者装置300に対して送信するWebページとして、図8に示すような、利用者登録要求を促すWebページを送信する。図8に示すWebページについて説明すると、例えば、SPサイトアクセス応答部132は、複数のサービス事業者装置によって公開されるアプリケーションサービスのURLおよび「利用者登録」のアイコンなどを表示したWebページを取得し、利用者装置300の利用者によって特定のサービス事業者装置に関する「利用者登録」のアイコンがクリックされた場合には、後述する回線情報取得部133に、利用者装置300から利用者登録要求があったことを示す情報を送信する。
また、利用者によって特定のサービス事業者装置に関する「利用者登録」のアイコンがクリックされた場合には、回線情報取得部133による処理が開始するが、SPサイトアクセス応答部132は、必要に応じて、例えば、サービス事業者装置200が提供するアプリケーションサービスの契約約款をWebページ上に表示したり、図9に示すような、利用者情報をネットワーク事業者装置100からサービス事業者装置200に送信してもよいか否かの確認を表示したWebページを、利用者装置300に送信するなどする。また、SPサイトアクセス応答部132は、サービス事業者装置200から、処理結果(例えば、利用者アカウントに対するアプリケーションサービスの提供開始を決定したことなど)を受信した場合に、利用者装置300に、利用者登録応答として、図10の「C社」に示すような、アプリケーションサービスの提供を開始するWebページを送信する。
回線情報取得部133は、利用者装置300が接続されている回線に関する回線情報を取得する。具体的には、回線情報取得部133は、利用者装置300からサービス事業者装置200に対するサイトアクセスの要求(利用者登録要求など)を受け付けた場合に、利用者装置300が接続されている回線に関する回線情報を取得し、取得した回線情報を、利用者情報送信部134に送信する。
例えば、回線情報取得部133は、利用者装置300が接続する回線を特定することで取得された回線情報に対応づけられた回線情報を、利用者管理データベース部121から取得する。すなわち、回線情報取得部133は、利用者装置300が接続する回線を特定した結果、利用者装置300が接続する回線の識別子が「123」であることが特定された場合に、利用者管理データベース部121から、回線情報として、例えば、回線の識別子「123」、回線の収容位置「#A500」、回線種別「光」、回線速度「100Mbps/100Mbps」などを取得する。なお、実施例1においては、利用者管理データベース部121から取得した回線情報をサービス事業者装置200に送信する手法を説明したが、この発明はこれに限られるものではなく、利用者装置300が接続する回線を特定することで取得された回線情報をサービス事業者装置200に送信する手法にも、この発明を同様に適用することができる。
利用者情報送信部134は、利用者情報および回線情報をサービス事業者装置200に送信する。具体的には、利用者情報送信部134は、回線情報取得部133によって取得され、回線情報取得部133から送信された回線情報に対応付けられた利用者情報および回線情報を、利用者管理データベース部121から取得し、利用者装置300を経由するリダイレクト通信によってサービス事業者装置200に送信する。
例えば、利用者情報送信部134は、回線情報取得部133によって取得され、回線情報取得部133から送信された回線情報のうち、例えば、利用者装置300が接続する回線の識別子が「123」であることが特定された場合に、回線の識別子「123」に対応づけられた利用者アカウント「tarou」の利用者情報として、例えば、契約者名「特許 太郎」、住所「東京都・・・・」、クレジットカード番号「1111-1111-1111-1111」、通信料の支払い有無「有」などを取得し、サービス事業者装置200に送信する。また、利用者情報送信部134は、回線の識別子「123」に対応づけられた利用者アカウント「tarou」の回線情報として、例えば、回線の識別子「123」、回線の収容位置「#A500」、回線種別「光」、回線速度「100Mbps/100Mbps」などを取得し、サービス事業者装置200に送信する。
また、実施例1における利用者情報送信部134は、利用者情報および回線情報に加えて、利用者情報の有効期限を示す有効期限情報を、サービス事業者装置200に送信する。例えば、利用者情報送信部134は、有効期限情報として、数秒、数十秒のオーダーで設定された有効期限情報を送信する。
なお、実施例1においては、ネットワーク事業者装置100とサービス事業者装置200との間で、ネットワーク事業者装置100が利用者管理データベース部121に管理する利用者情報および回線情報のうち、サービス事業者装置200に送信する具体的な送信項目について、あらかじめ取り決めがなされているものとするので、利用者情報送信部134は、あらかじめ取り決められた送信項目について、サービス事業者装置200に送信するものとする。
[サービス事業者装置200]
実施例1におけるサービス事業者装置200は、汎用的なコンピュータなどで構成され、特にこの発明に密接に関連するものとしては、図2に示すように、通信制御I/F部210と、記憶部220と、制御部230とを備える。
通信制御I/F部210は、ネットワーク事業者装置100および利用者装置300とデータを送受信する。具体的には、通信制御I/F部210は、ネットワーク事業者装置100から利用者情報(アカウント登録要求など)を受信し、処理結果(アカウント登録応答など)をネットワーク事業者装置100に送信するなどする。例えば、通信制御I/F部210は、IP通信用の一般的なインタフェースおよびライブラリを備え、接続に関する制御メッセージを送受信する機能を備える。
記憶部220は、制御部230における各種制御に用いられるデータを記憶し、特にこの発明に密接に関連するものとしては、図2に示すように、利用者管理データベース部221と、ネットワーク事業者管理データベース部222とを備える。
利用者管理データベース部221は、サービス事業者装置200が提供するアプリケーションサービスの利用が許可される利用者装置300の利用者に関する利用者情報を記憶する。具体的には、利用者管理データベース部221は、アプリケーションサービスの利用が許可される利用者装置300の利用者に関する利用者情報および回線情報を、サービス事業者装置200がネットワーク事業者装置100から受信すると、受信した利用者情報と回線情報とを対応づけて記憶し、記憶した利用者情報および回線情報は、後述する利用者登録/認証部232による処理に利用される。なお、実施例1において、利用者管理データベース部221は、以下に説明するように、利用者アカウントと利用者情報とを対応づけて記憶し、利用者アカウントと回線情報とを対応づけて記憶し、利用者アカウントとNW IDとを対応づけて記憶し、RDBMSプログラムなどを稼動させることで、利用者装置300の利用者に関する利用者情報を回線情報とを対応づけて記憶するが、この発明はこれに限られるものではなく、利用者情報を回線情報と対応付けて記憶するものであれば、データベースの構築手法はいずれでもよい。
例えば、実施例1における利用者管理データベース部221は、図11に示すように、利用者アカウント(『SP利用者アカウント』の列を参照)と、利用者情報(『契約者名』、『住所(請求書の送付先)』、『クレジットカード番号』、および『通信料の支払い有無』の列を参照)とを対応づけて記憶する。ここで、利用者アカウントとは、実施例1においては、ネットワーク事業者装置100から受信したネットワーク事業者装置100における利用者アカウントである。なお、この発明はこれに限られるものではなく、利用者アカウント作成部231によって作成された利用者アカウントとネットワーク事業者装置100における利用者アカウントとを対応づけて記憶する場合など、いずれでもよい。また、利用者情報とは、サービス事業者装置200が、ネットワーク事業者装置100から利用者情報を受信した際に、必要に応じて記憶された情報である。
図11の1行目に示すように、例えば、利用者管理データベース部221は、利用者装置300の利用者に関する利用者情報として、利用者アカウント「tarou」に関する利用者情報をサービス事業者装置200がネットワーク事業者装置100から受信すると、ネットワーク事業者装置100における利用者管理データベース部121と同様の情報を対応づけて記憶する。なお、ネットワーク事業者装置100とサービス事業者装置200との間であらかじめ取り決められた具体的な送信項目によっては、ネットワーク事業者装置100における利用者管理データベース部121とサービス事業者装置200における利用者管理データベース部221とで管理するデータの項目は異なることになる。
また、図11の4行目に示すように、例えば、利用者管理データベース部221は、利用者アカウント「kazu」に関する利用者情報を記憶するが、これは、図4に示した利用者管理データベース部121を備えるネットワーク事業者装置100とは異なるネットワーク事業者装置100から受信した利用者情報を示すものである。
また、例えば、実施例1における利用者管理データベース部221は、図12に示すように、利用者アカウント(『SP利用者アカウント』の列を参照)と、回線情報(『回線の識別子』、『回線の収容位置』、『回線種別』、『回線速度』、および『回線認証情報(パスワードなど)』)とを対応づけて記憶する。ここで、回線情報とは、サービス事業者装置200が、ネットワーク事業者装置100から回線情報を受信した際に、必要に応じて記憶された情報である。
図12の1行目に示すように、例えば、利用者管理データベース部221は、利用者装置300の利用者に関する回線情報として、利用者アカウント「tarou」に関する回線情報をサービス事業者装置200がネットワーク事業者装置100から受信すると、ネットワーク事業者装置100における利用者管理データベース部121と同様の情報を対応づけて記憶する。なお、利用者情報と同様、ネットワーク事業者装置100とサービス事業者装置200との間であらかじめ取り決められた具体的な送信項目によっては、ネットワーク事業者装置100における利用者管理データベース部121とサービス事業者装置200における利用者管理データベース部221とで管理するデータの項目は異なることになる。
また、図12の4行目に示すように、例えば、利用者管理データベース部221は、利用者アカウント「kazu」に関する回線情報を記憶するが、これは、利用者情報と同様、図5に示した利用者管理データベース部121を備えるネットワーク事業者装置100とは異なるネットワーク事業者装置100から受信した回線情報を示すものである。
また、例えば、実施例1における利用者管理データベース部221は、図13に示すように、利用者アカウント(『SP利用者アカウント』の列を参照)と、NW ID(『NW ID』の列を参照)とを対応づけて記憶する。ここで、NW IDとは、サービス事業者装置200において、ネットワーク事業者装置100を識別するための識別子のことである。
図13の1行目に示すように、例えば、利用者管理データベース部221は、利用者アカウント「tarou」と、NW ID「100」とを対応づけて記憶する。なお、図13の4行目に示すように、利用者アカウント「kazu」と対応づけられたNW IDは「400」であり、これは、利用者アカウント「kazu」に関する利用者情報および回線情報は、図4および図5に示した利用者管理データベース部121を備えるネットワーク事業者装置100とは異なるネットワーク事業者装置100から受信した利用者情報および回線情報であることを示すものである。
また、サービス事業者装置200における利用者管理データベース部221は、図13に示すように、ネットワーク事業者装置100における利用者アカウントを対応づけて記憶している。これは、実施例1においては、ネットワーク事業者装置100とサービス事業者装置200との間において、ネットワーク事業者装置100における利用者アカウントを識別子として共有する手法を用いることに起因するが、この発明はこれに限られるものではなく、サービス事業者装置200における独自の利用者アカウントを対応づけて記憶するなど、いずれでもよい。
ネットワーク事業者管理データベース部222は、ネットワーク事業者装置100に関する情報を記憶する。具体的には、ネットワーク事業者管理データベース部222は、図14に示すように、ネットワーク事業者装置100に関する情報として、NW IDと公開鍵情報(ネットワーク事業者装置100の電子証明書など)とを対応づけて記憶し、記憶するNW IDおよび公開鍵情報は、後述する利用者登録/認証部232による処理に利用される。ここで、公開鍵情報とは、実施例1においては、ネットワーク事業者装置100とサービス事業者装置200との間で、あらかじめ信頼関係が成立しているものとするので、サービス事業者装置200において、ネットワーク事業者装置100が署名する電子署名が正当であることを検証するための公開鍵情報である。
なお、実施例1においては、ネットワーク事業者管理データベース部222が公開鍵情報を記憶する場合を説明したが、この発明はこれに限られるものではなく、例えば、信頼される第三者機関によって発行される公開鍵情報を用いて電子署名が正当であることを検証する手法では、ネットワーク事業者管理データベース部222が公開鍵情報を記憶する必要はない。また、実施例1において、ネットワーク事業者管理データベース部222は、RDBMSプログラムなどを稼動させることで、NW IDと公開鍵情報とを対応づけて記憶するが、この発明はこれに限られるものではなく、ネットワーク事業者装置100を識別する識別子を記憶するものであれば、データベースの構築手法はいずれでもよい。
制御部230は、サービス事業者装置200における各種制御を行い、特にこの発明に密接に関連するものとしては、図2に示すように、利用者アカウント作成部231と、利用者登録/認証部232とを備える。なお、利用者登録/認証部232は、特許請求の範囲に記載の「アクセス制御手段」に対応する。
利用者アカウント作成部231は、利用者装置300の利用者の利用者アカウントを作成する。ここで、実施例1においては、ネットワーク事業者装置100とサービス事業者装置200との間において、ネットワーク事業者装置100における利用者アカウントを識別子として共有する手法を用いる。このため、実施例1における利用者アカウント作成部231は、ネットワーク事業者装置100における利用者アカウントを、サービス事業者装置200における利用者アカウントとして作成する。なお、この発明はこれに限られるものではなく、例えば、サービス事業者装置200における利用者アカウントを別途作成し、ネットワーク事業者装置100における利用者アカウントとの対応づけを保持するなど、いずれでもよい。
利用者登録/認証部232は、利用者情報および回線情報を用いて、サイトアクセスを制御する。具体的には、利用者登録/認証部232は、ネットワーク事業者装置100から利用者装置300を経由するリダイレクト通信によって利用者装置300の利用者情報および回線情報を受信した場合に、利用者情報および回線情報を用いてサイトアクセスを制御する。例えば、実施例1における利用者登録/認証部232は、サイトアクセス制御として、ネットワーク事業者装置100における利用者アカウントと、利用者情報および回線情報とを管理し、ネットワーク事業者装置にアカウント登録応答として、処理結果(例えば、利用者アカウントに対するアプリケーションサービスの提供開始を決定したことなど)を送信する。
また、実施例1における利用者登録/認証部232は、ネットワーク事業者装置100から利用者情報および回線情報に加えて、有効期限情報を受信した場合に、有効期限情報に示される有効期限を満たすことを条件に、利用者情報および回線情報を用いてサイトアクセスを制御する。すなわち、例えば、利用者登録/認証部232は、有効期限情報として、数秒、数十秒のオーダーで設定された有効期限情報を受信した場合に、数秒、数十秒で示される有効期限を満たすことを条件に、利用者情報および回線情報を用いてサイトアクセスを制御する。
なお、実施例1においては、利用者登録/認証部232が、利用者装置300の利用者情報および回線情報を受信した場合に、利用者情報および回線情報を管理し、無条件で、利用者装置300に対するアプリケーションサービスの提供開始を決定する処理結果をネットワーク事業者装置100に送信する場合を説明したが、この発明はこれに限られるものではなく、例えば、利用者登録/認証部232が、利用者装置300の利用者情報および回線情報を受信した場合に、利用者情報および回線情報に基づいて、アプリケーションサービスの提供可否を判断した処理結果を送信したり(例えば、20歳以上の利用者にのみアプリケーションサービスを提供する、自宅から接続している場合にのみアプリケーションサービスを提供する、など)、また、利用者登録/認証部232が、利用者情報および回線情報に応じて、提供するアプリケーションサービスを個別に選択した処理結果を送信したり(例えば、回線速度が高速の場合には高解像度の映像コンテンツを選択して提供するなど)する場合にも、この発明を同様に適用することができる。
[実施例1に係るサービスシステムによる処理の手順]
次に、図15を用いて、実施例1に係るサービスシステムによる処理の手順を説明する。図15は、実施例1に係るサービスシステムによる処理の手順を示すシーケンス図である。ここで、実施例1におけるネットワーク事業者装置100は、利用者装置300の利用者について、あらかじめ利用者登録しており、利用者装置300のネットワーク接続を許可しているものとする。一方、実施例1におけるサービス事業者装置200は、利用者装置300の利用者について、利用者登録をしていないものとする。すなわち、利用者装置300は、サービス事業者装置200が提供するアプリケーションサービスの提供を受けることができない状態にある。以下では、利用者装置300がネットワークへの接続を行う処理(図15の(1)を参照)と、利用者装置300が契約可能なSPサービス一覧を取得する処理(図15の(2)を参照)と、利用者装置300が利用者登録を行う処理(図15の(3)を参照)とについて、順に説明する。
[(1)ネットワークへの接続]
まず、ネットワーク事業者装置100における認証処理部131は、利用者装置300から、ネットワーク接続要求を受信する(ステップS1)。具体的には、ネットワーク事業者装置100における認証処理部131は、利用者装置300から、ネットワーク接続要求として、回線認証情報(例えば、利用者アカウント、パスワードなど)を受信する。
次に、ネットワーク事業者装置100における認証処理部131は、利用者装置300の認証処理を行う(ステップS2)。具体的には、ネットワーク事業者装置100における認証処理部131は、利用者装置300から受信した回線認証情報と、利用者管理データベース部121に管理する回線認証情報(例えば、利用者アカウント、パスワードなど)とを照合し、利用者装置300を認証する。
そして、ネットワーク事業者装置100における認証処理部131は、利用者装置300に、ネットワーク接続応答を送信する(ステップS3)。具体的には、ネットワーク事業者装置100における認証処理部131は、利用者装置300に対して、インターネットなどのネットワークに接続するための回線(アクセスネットワーク)へのアクセスパスをPPPoE(Point to Point Protocol over Ethernet(登録商標))などで設定し、IPアドレスを払い出し、利用者装置300に送信する。また、ネットワーク事業者装置100における認証処理部131は、利用者装置300に対して払い出したIPアドレスを、利用者管理データベース部121に格納する。
[(2)SPサービス一覧の取得]
続いて、利用者装置300は、インターネットなどのネットワークに接続し、ネットワーク事業者装置100におけるSPサイトアクセス応答部132は、利用者装置300から、SPサービス一覧要求を受信する(ステップS4)。具体的には、ネットワーク事業者装置100におけるSPサイトアクセス応答部132は、利用者装置300から、SPサービス一覧要求として、SPサービス一覧(サービス事業者装置の一覧)のURL(Uniform Resource Locator)などを受信する。
すると、ネットワーク事業者装置100におけるSPサイトアクセス応答部132は、Webページを取得する(ステップS5)。具体的には、ネットワーク事業者装置100におけるSPサイトアクセス応答部132は、SPサービス一覧のWebページを取得する。ここで、実施例1におけるサービス事業者装置200は、利用者装置300の利用者について、利用者登録していないので、取得するSPサービス一覧のWebページは、利用者登録要求を促すWebページである。
そして、ネットワーク事業者装置100におけるSPサイトアクセス応答部132は、利用者装置300に対して、SPサービス一覧応答を送信する(ステップS6)。具体的には、ネットワーク事業者装置100におけるSPサイトアクセス応答部132は、利用者装置300に対して、利用者登録要求を促すWebページを送信する。
[(3)利用者登録]
続いて、ネットワーク事業者装置100におけるSPサイトアクセス応答部132は、利用者装置300から、利用者登録要求を受信する(ステップS7)。具体的には、利用者装置300において、利用者登録要求を促すWebページのアイコン(「利用者登録」など)がワンクリックされることなどによって、利用者登録要求を受信する。
すると、ネットワーク事業者装置100における回線情報取得部133は、利用者装置300が接続されている回線を特定し(ステップS8)、回線情報を取得する(ステップS9)。
次に、ネットワーク事業者装置100における利用者情報送信部134は、回線を特定することで取得された回線情報に対応づけられた利用者情報および回線情報を利用者管理データベース部121から取得し(ステップS10)、利用者装置300を経由するリダイレクト通信によって、利用者情報および回線情報をサービス事業者装置200に送信する(ステップS11)。具体的には、ネットワーク事業者装置100における利用者情報送信部134は、アカウント登録要求を、ネットワーク事業者ID、ネットワーク事業者装置100における利用者アカウント、応答先URL、回線情報、利用者情報、有効期限、および電子署名とともに、サービス事業者装置200に送信する。
そして、サービス事業者装置200における利用者登録/認証部232は、利用者情報および回線情報を用いて、サイトアクセスを制御する(ステップS12およびステップS13)。具体的には、サービス事業者装置200における利用者登録/認証部232は、ネットワーク事業者100における利用者アカウントをサービス事業者装置200における利用者アカウントとし、利用者アカウントの利用者情報および回線情報を管理する。
続いて、サービス事業者装置200における利用者登録/認証部232は、ネットワーク事業者装置100に、アカウント登録応答を送信する(ステップS14)。具体的には、サービス事業者装置200における利用者登録/認証部232は、アカウント登録応答として、ネットワーク事業者装置100に、処理結果(例えば、利用者アカウントに対するアプリケーションサービスの提供開始を決定したことなど)を送信する。
すると、ネットワーク事業者装置100は、利用者装置300に利用者登録応答として、アプリケーションサービスの提供を開始するWebページを送信する(ステップS15)。
このようにして、実施例1に係るサービスシステムは、サービス事業者装置200において、信用性の高いサイトアクセス制御を実現することが可能になる。
[実施例1の効果]
上記してきたように、実施例1によれば、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムであって、ネットワーク事業者装置は、ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、利用者装置が接続する回線に関する回線情報と対応付けて記憶し、利用者装置からサービス事業者装置に対するサイトアクセスの要求を受け付けた場合に、利用者装置が接続されている回線に関する回線情報を取得し、取得された回線情報に対応付けられた利用者情報を取得し、利用者情報をサービス事業者装置に送信し、サービス事業者装置は、ネットワーク事業者装置から利用者装置の利用者情報を受信した場合に、利用者情報を用いてサイトアクセスを制御するので、ネットワーク事業者装置において記憶される利用者情報は、運転免許証などの身分証明書とともに利用者によってオフラインで提示され、利用者の本人確認が行われた上で利用者登録が行われた際の利用者情報であることから、利用者によって入力された利用者情報がオンラインでサービス事業者装置に送信される従来の手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することが可能になる。
すなわち、例えば、サービス事業者装置において、ネットワーク事業者装置から受信した信用性の高い利用者情報を用いて利用者登録を行ったり、利用者登録した利用者が操作する利用者装置からのサイトアクセスを許可したり、利用者登録を行わずにワンタイムで利用者装置からのサイトアクセスを許可したり(ネットワーク事業者装置から受信した信用性の高い利用者情報を用いて各種アプリケーションサービスの提供許否を判断したり)することが可能になる。
また、利用者装置の利用者によってワンクリックされるだけで、サイトアクセス(例えば、利用者登録など)を完了させることができ、また、サービス事業者装置用の利用者アカウントやパスワードなどの情報が利用者によって管理される必要がなくなり、さらに、ネットワーク事業者装置で利用者とサービス事業者との間の利用者登録情報などを管理すると、場合によっては、サービス事業者装置で利用者登録情報などを管理する必要がなくなることから、信用性かつ利便性の高いサイトアクセス制御をすることが可能になる。
なお、この発明に係るサービスシステムによって、ネットワーク事業者装置を運営するネットワーク事業者においては、利用者の利便性が向上することに伴う利用者獲得を期待することが可能になり、また、利用者とサービス提供事業者との間の利用者登録や利用者認証をサポートすることに伴い(利用者情報、回線情報、回線認証の結果などの提供に伴い)、サービス提供事業者からの手数料収入を期待することが可能になる。また、サービス事業者装置を運営するサービス事業者においては、ネットワーク事業者が提供する回線認証の結果を、必要に応じて自らが実施する利用者認証(認可)の処理と組み合わせて利用することに伴い、利用者認証(認可)の強度を向上させることが可能になり、また、ネットワーク事業者が提供する回線情報を取得することに伴い、回線速度や位置に応じたアプリケーションサービスを提供することが可能になる。また、利用者においては、サービス提供事業者との間の利用者登録や利用者認証の手続きなどを、ワンクリックで実施することが可能になる。
また、実施例1によれば、利用者情報を、利用者装置を経由するリダイレクト通信によって前記サービス事業者装置に送信するので、利用者装置から送信されたサイトアクセスの要求に応じ、一連の処理を保持(例えば、セッションを管理するなど)しながらサイトアクセスを制御することから、利用者情報を、利用者装置を経由するリダイレクト通信によらずにサービス事業者装置に送信する手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を単純に実現することが可能になる。
また、実施例1によれば、ネットワーク事業者装置は、利用者情報に加えて、回線情報をサービス事業者装置に送信し、サービス事業者装置は、ネットワーク事業者装置から利用者情報に加えて回線情報を受信した場合に、利用者情報および回線情報を用いてサイトアクセスを制御するので、利用者情報のみを用いてサイトアクセスを制御する手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を高度に実現することが可能になる。
すなわち、利用者装置が接続する回線に関する回線情報を用いて、利用者装置が接続する場所や回線速度などを特定できることから、例えば、利用者装置が接続する場所によってはサイトアクセスを許可しないことや、利用者装置が接続する回線速度に応じてサイトアクセスを許可しないこと、あるいは、利用者装置が接続する場所によって提供するサービスを選択することや、利用者装置が接続する回線速度に応じて提供するサービスを選択することなど、サービス事業者装置において、信用性の高いサイトアクセス制御を高度に実現することが可能になる。具体的に例を挙げて説明すると、回線情報によって特定されるネットワークへの接続場所が、「自宅」以外の場所の場合には、オークションサービスの提供を許可しないことや、回線情報によって特定される回線速度が高速な場合には、高解像度の映像コンテンツサービスを提供することなどが可能になる。
また、実施例1によれば、ネットワーク事業者装置は、利用者情報に加えて、利用者情報の有効期限を示す有効期限情報をサービス事業者装置に送信し、サービス事業者装置は、ネットワーク事業者装置から利用者情報に加えて有効期限情報を受信した場合に、有効期限情報に示される有効期限を満たすことを条件に、利用者情報を用いてサイトアクセスを制御するので、利用者情報をサービス事業者装置に送信する際に有効期限情報を送信しない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。
すなわち、利用者情報をサービス事業者装置に送信する際に有効期限情報を送信しない手法では、例えば、利用者装置を経由するリダイレクト通信において、利用者装置が利用者情報その他の制御情報などを不正に取得し、不正に情報を取得した利用者装置が不正にサイトアクセスするおそれなどがあるが、有効期限情報(例えば、有効期限は、数秒、数十秒といったオーダーで設定される)を送信することで、これらのおそれを回避できることから、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。
また、実施例1によれば、ネットワーク事業者装置は、利用者情報に加えて、ネットワーク事業者装置が署名する電子署名をサービス事業者装置に送信し、ネットワーク事業者装置から利用者情報に加えて電子署名を受信した場合に、電子署名が正当であることを条件に、利用者情報を用いてサイトアクセスを制御するので、利用者情報をサービス事業者装置に送信する際に電子署名を送信しない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。
すなわち、利用者情報をサービス事業者装置に送信する際に電子署名を送信しない手法では、例えば、送信された利用者情報が正しいネットワーク事業者装置から送信された利用者情報であるか否かを判断できないが、電子署名を送信し、電子署名が正当であることを条件に(すなわち、正しいネットワーク事業者装置から送信された利用者情報であることを判断し、利用者情報に改竄が行われていないことを判断し、ネットワーク事業者装置が送信した事実を否認するおそれを回避した上で)サイトアクセスを制御することから、信用性の高いサイトアクセス制御を安全に実現することが可能になる。
ところで、これまで実施例1として、ネットワーク事業者装置とサービス事業者装置との間において、ネットワーク事業者装置における利用者アカウントを識別子として共有する手法を説明したが、この発明はこれに限られるものではなく、ネットワーク事業者装置からサービス事業者装置に対する利用者情報の送信を一意に識別する仮識別情報(利用者アカウントそのものではない)を共有する手法にも、この発明を同様に適用することができる。そこで、以下では、実施例2として、利用者情報の送信を一意に識別する仮識別情報を共有する手法について、図16〜図19を用いて説明する。なお、利用者登録の局面で仮識別情報を共有した場合に、SPサービス利用の局面でサービス事業者装置において仮識別情報を用いてサイトアクセスを制御する手法については、実施例3で説明する。
[実施例2に係るサービスシステムの概要および特徴]
実施例2に係るサービスシステムは、上記したように、ネットワーク事業者装置とサービス事業者装置との間において、ネットワーク事業者における利用者アカウントを識別子として共有するのではなく、ネットワーク事業者装置からサービス事業者装置に対する利用者情報の送信を一意に識別する仮識別情報を共有する点が、実施例1と異なるものである。したがって、以下では、まず、図16を用いて、実施例2に係るサービスシステムの概要および特徴が、実施例1に係るサービスシステムの概要および特徴と異なる点について説明する。図16は、実施例2に係るサービスシステムの概要および特徴を説明するための図である。
実施例2に係るサービスシステムは、実施例1と同様、まず、ネットワーク事業者装置において、ネットワーク接続要求を受信し、認証処理を行い、ネットワーク接続応答を送信し、次に、SPサービス一覧要求を受信し、SPサービス一覧応答を送信する(図16の(1)〜(5)を参照)。そして、実施例2におけるネットワーク事業者装置は、利用者装置から、サービス事業者装置に対するサイトアクセスの要求(利用者登録要求)を受け付けた場合に(図16の(6)を参照)、実施例1と同様、利用者装置が接続する回線を特定することで、回線情報を取得し、取得された回線情報に対応付けられた利用者情報および回線情報を利用者管理DBから取得するが(図16の(7)および(8)を参照)、実施例1と異なり、利用者情報の送信を一意に識別する仮識別情報として、仮名IDを払い出す(図16の(9)を参照)。
そして、実施例2におけるネットワーク事業者装置は、実施例1と同様、利用者装置を経由するリダイレクト通信によって、利用者情報および回線情報をサービス事業者装置に送信するが、実施例1と異なり、利用者情報および回線情報に加えて、仮識別情報(仮名ID)をサービス事業者装置に送信するとともに(図16の(10)を参照)、サービス事業者装置を一意に識別するサービス識別情報(SP ID)および仮識別情報(仮名ID)を、利用者情報に対応づけて利用者管理DBに格納する。
すると、実施例2におけるサービス事業者装置は、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報および回線情報を受信した場合に、実施例1と同様、利用者情報および回線情報を管理するが、実施例1と異なり、利用者情報および回線情報を、仮識別情報(仮名ID)と対応づけて管理する(図16の(11)および(12)を参照)。
その後、サービス事業者装置は、ネットワーク事業者装置に、処理結果(例えば、仮名ID(XXX)に対するアプリケーションサービスの提供開始を決定したことなど)を送信し(図16の(13)を参照)、ネットワーク事業者装置は、実施例1と同様、利用者装置に利用者登録応答として、アプリケーションサービスの提供を開始するWebページを送信する(図16の(14)を参照)。
このようにして、実施例2に係るサービスシステムは、同一の利用者に対応づけられた仮識別情報(例えば、仮名ID、匿名IDなど)が、ネットワーク事業者装置とサービス事業者装置との間で共有されることから、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有されない手法に比較して、信用性の高いサイトアクセス制御を安全かつ効率的に実現することが可能になる。
[実施例2に係るサービスシステムの構成]
次に、図17および図18を用いて、実施例2に係るサービスシステムの構成を説明する。実施例2に係るサービスシステムは、実施例1に係るサービスシステムとほぼ同様に構成されるが、ネットワーク事業者装置100における利用者管理データベース部121、利用者情報送信部134、サービス事業者装置200における利用者管理データベース部221、および利用者登録/認証部232が、実施例1と異なる。以下では、ネットワーク事業者装置100における利用者管理データベース部121、利用者情報送信部134、サービス事業者装置200における利用者管理データベース部221、および利用者登録/認証部232について、図17および図18を用いて説明する。図17は、ネットワーク事業者装置における利用者管理データベース部を説明するための図であり、図18は、サービス事業者装置における利用者管理データベース部を説明するための図である。
ネットワーク事業者装置100における利用者情報送信部134は、実施例1と同様、利用者情報および回線情報をサービス事業者装置200に送信するが、実施例1と異なり、利用者情報および回線情報に加えて、利用者情報の送信を一意に識別する仮識別情報(仮名ID)をサービス事業者装置200に送信する。また、利用者情報送信部134は、実施例1と異なり、サービス事業者装置200を一意に識別するサービス識別情報(SP ID)および仮識別情報(仮名ID)を、利用者情報に対応づけて利用者管理データベース部121に格納する。
ネットワーク事業者装置100における利用者管理データベース部121は、図17に示すように、実施例1と同様、利用者アカウント(『NW利用者アカウント』の列を参照)と、サービス事業者装置200を一意に識別するサービス識別情報であるSP ID(『SP ID』の列を参照)とを対応づけて記憶するが、実施例1と異なり、仮識別情報である仮名ID(『仮名ID』の列を参照)をさらに対応づけて記憶する。例えば、図17の1行目に示すように、利用者管理データベース部121は、利用者アカウント「tarou」と、SP ID「3」と、仮名ID「xxxx」とを対応づけて記憶する。なお、実施例においては、説明の便宜上から仮名IDをアルファベット4桁などで表記するが、実際は、ネットワーク事業者装置またはサービス事業者装置において規定される任意の仮名IDであり、特定のアルファベットやその組合せに何ら特別の意味があるものではない。
サービス事業者装置200における利用者登録/認証部232は、実施例1と同様、利用者情報および回線情報を用いてサイトアクセスを制御(例えば、利用者登録など)するが、実施例1と異なり、ネットワーク事業者装置100から、利用者情報および回線情報に加えて仮識別情報(仮名ID)を受信した場合には、サイトアクセスを要求している利用者を一意に識別する利用者識別情報(例えば、利用者情報、回線情報など)に対応づけて、仮識別情報(仮名ID)を利用者管理データベース部221に格納する。
サービス事業者装置200における利用者管理データベース部221は、図18に示すように、実施例1と同様、ネットワーク事業者装置100を一意に識別するNW ID(『NW ID』の列を参照)を記憶するが、実施例1と異なり、ネットワーク事業者装置100における利用者アカウントとNW IDとを対応づけて記憶せず、仮識別情報である仮名ID(『仮名 ID』の列を参照)とNW IDとを対応づけて記憶する。また、図示してはいないが、利用者管理データベース部221は、RDBMSプログラムなどを稼動させることで、利用者装置300の利用者に関する利用者情報および回線情報を対応づけて記憶するので、仮識別情報(仮名ID)は、NW IDと対応づけて記憶されるのみならず、利用者を一意に識別する利用者識別情報(例えば、利用者情報、回線情報など)に対応づけて記憶される。
[実施例2に係るサービスシステムによる処理の手順]
次に、図19を用いて、実施例2に係るサービスシステムによる処理の手順を説明する。図19は、実施例2に係るサービスシステムによる処理の手順を示すシーケンス図である。図19に示すように、実施例2に係るサービスシステムによる処理の手順は、実施例1に係るサービスシステムによる処理の手順とほぼ同様である(図15を参照)が、仮識別情報(仮名ID)の払い出し(ステップS11)、アカウント登録要求(ステップS12)、および利用者情報、回線情報の管理(ステップS14)が、実施例1に係るサービスシステムによる処理の手順と異なる。以下では、主に、上記のステップS11〜S14について説明する。
まず、ステップS11において、ネットワーク事業者装置100における利用者情報送信部134は、実施例1と異なり、利用者情報の送信を一意に識別する仮識別情報を払い出し、サービス事業者装置を一意に識別するサービス識別情報(SP ID)および仮識別情報(仮名ID)を、利用者情報に対応づけて利用者管理データベース部121に格納する。
次に、ネットワーク事業者装置100における利用者情報送信部134は、実施例1と同様、アカウント登録要求を送信するが(ステップS12)、実施例1と異なり、ネットワーク事業者ID、回線情報、利用者情報、有効期限、および電子署名の他に、仮識別情報(仮名ID)をサービス事業者装置200に送信し、ネットワーク事業者装置100における利用者アカウントを送信しない。
そして、サービス事業者装置200における利用者登録/認証部232は、実施例1と同様、利用者情報および回線情報を用いて、サイトアクセスを制御する(ステップS13およびステップS14)が、実施例1と異なり、ネットワーク事業者100における利用者アカウントをサービス事業者装置200における利用者アカウントとせず、仮識別情報(仮名ID)をサービス事業者装置200における利用者アカウントとし、利用者アカウントの利用者情報および回線情報を管理する。なお、この発明はこれに限られるものではなく、サービス事業者装置200における利用者アカウントと仮識別情報とを対応づけて管理するなど、いずれでもよい。
このようにして、実施例2に係るサービスシステムは、同一の利用者に対応づけられた仮識別情報(例えば、仮名ID、匿名IDなど)が、ネットワーク事業者装置とサービス事業者装置との間で共有されることから、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有されない手法に比較して、信用性の高いサイトアクセス制御を安全かつ効率的に実現することが可能になる。
[実施例2の効果]
上記してきたように、実施例2によれば、実施例1の効果と異なり、ネットワーク事業者装置は、利用者情報に加えて、利用者情報の送信を一意に識別する仮識別情報をサービス事業者装置に送信するとともに、サービス事業者装置を一意に識別するサービス識別情報および仮識別情報を、利用者情報に対応付けて格納し、サービス事業者装置は、ネットワーク事業者装置から利用者情報に加えて仮識別情報を受信した場合には、サイトアクセスを要求している利用者を一意に識別する利用者識別情報に対応付けて仮識別情報を所定の記憶手段に格納し、ネットワーク事業者装置は、利用者装置からサービス事業者装置に対する利用者登録後におけるサイトアクセスの要求を受け付けた場合に、利用者装置が接続されている回線に関する回線情報を取得し、取得された回線情報に対応付けられた仮識別情報を取得し、仮識別情報をサービス事業者装置に送信し、サービス事業者装置は、ネットワーク事業者装置から仮識別情報を受信した場合に、仮識別情報に対応する利用者識別情報を所定の記憶手段から取得してサイトアクセスを制御するので、同一の利用者に対応づけられた仮識別情報(例えば、仮名ID、匿名IDなど)が、ネットワーク事業者装置とサービス事業者装置との間で共有されることから、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有されない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全かつ効率的に実現することが可能になる。
すなわち、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有される結果、他のサービス提供事業者によるいわゆる名寄せの対象にされるおそれを回避できることから、例えば、利用者本人の名前の一部を用いた利用者アカウントが共有される手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。
その上、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有される結果、サービス事業者装置は、利用者登録後におけるサイトアクセスの要求を利用者装置から受け付けた場合に、再び利用者登録することなく安全な仮識別情報でサイトアクセス制御できることから、サービス事業者装置において、信用性の高いサイトアクセス制御を安全かつ効率的に実現することが可能になる。
ところで、これまで実施例2として、利用者登録の局面で、ネットワーク事業者装置とサービス事業者装置との間において、ネットワーク事業者装置からサービス事業者装置に対する利用者情報の送信を一意に識別する仮識別情報(利用者アカウントそのものではない)を共有する手法を説明したが、次に、実施例3として、利用者登録の局面で仮識別情報を共有した場合に、SPサービス利用の局面でサービス事業者装置において仮識別情報を用いてサイトアクセスを制御する手法について、図20および図21を用いて説明する。
[実施例3に係るサービスシステムの概要および特徴]
実施例3に係るサービスシステムは、上記したように、利用者登録の局面ではなく、SPサービス利用の局面である点が、実施例2と異なるものである。以下では、図20を用いて、実施例3に係るサービスシステムの概要および特徴を説明する。なお、実施例2(利用者登録の局面)と同様の処理については、簡易に説明する。図20は、実施例3に係るサービスシステムの概要および特徴を説明するための図である。
ここで、実施例3におけるネットワーク事業者装置は、利用者装置の利用者について、あらかじめ利用者登録しており、利用者装置のネットワーク接続を許可しているものとする。また、実施例3におけるサービス事業者装置は、利用者装置の利用者について、利用者登録をしているものとする。すなわち、利用者装置は、サービス事業者装置によって利用者認証などされることで、サービス事業者装置が提供するアプリケーションサービスの提供を受けることができる状態にある。
実施例3におけるネットワーク事業者装置は、まず、利用者装置から、ネットワーク接続要求を受信する(図20の(1)を参照)。次に、ネットワーク事業者装置は、ネットワーク事業者装置において、認証処理を行う(図20の(2)を参照)。そして、ネットワーク事業者装置は、利用者装置に、ネットワーク接続応答を送信する(図20の(3)を参照)。
その結果、利用者装置は、インターネットなどのネットワークに接続し、続いて、ネットワーク事業者装置は、利用者装置から、SPサービス一覧要求を受信する(図20の(4)を参照)。すると、ネットワーク事業者装置は、利用者装置に対して、SPサービス一覧応答を送信する(図20の(5)を参照)。具体的には、ネットワーク事業者装置は、SPサービス一覧のWebページを取得し、SPサービス一覧応答として、SPサービス一覧のWebページを送信する。ここで、実施例3におけるサービス事業者装置は、利用者装置の利用者について、利用者登録しているので、ネットワーク事業者装置が利用者装置に対して送信するSPサービス一覧のWebページは、SPサービス利用を促すWebページである。
すると、ネットワーク事業者装置は、利用者装置から、SPサービス利用要求を受信する(図20の(6)を参照)。具体的には、利用者装置において、SPサービス利用を促すWebページがクリックされることなどによって、SPサービス利用要求を受信する。
続いて、ネットワーク事業者装置は、利用者装置が接続されている回線に関する回線情報を取得し、取得された回線情報に対応づけられた仮識別情報(仮名ID)を利用者管理DBから取得する(図20の(7)を参照)。具体的には、ネットワーク事業者装置は、利用者装置から、サービス事業者装置に対する利用者登録後におけるサイトアクセスの要求(SPサービス利用など)を受け付けた場合に、利用者装置が接続されている回線を特定することで、回線情報を取得し、回線情報に対応づけられた仮識別情報(仮名ID)を取得する。
次に、ネットワーク事業者装置は、サービス事業者装置に対して、回線情報に対応づけられた仮識別情報を送信する(図20の(8)を参照)。具体的には、ネットワーク事業者装置は、回線を特定することで取得された回線情報に対応づけられた仮識別情報を利用者管理DBから取得し、利用者装置を経由するリダイレクト通信によって、仮識別情報をサービス事業者装置に送信する。例えば、図20においては、ネットワーク事業者装置は、仮名ID(XXX)をサービス事業者装置に送信する。
続いて、サービス事業者装置は、仮名IDに対応する利用者識別情報を利用者管理DBから取得して、サイトアクセスを制御する(図20の(9)を参照)。具体的には、サービス事業者装置は、ネットワーク事業者装置から、利用者装置を経由するリダイレクト通信によって利用者装置の利用者情報に対応する仮名IDを受信した場合に、仮名IDに対応する利用者識別情報を利用者管理DBから取得して、利用者情報および回線情報を用いて利用者認証を行ったり、ネットワーク事業者装置に、処理結果(例えば、仮名ID(XXX)に対するアプリケーションサービスの提供開始を決定したことなど)を送信するなどする。
このようにして、実施例3に係るサービスシステムは、同一の利用者に対応づけられた仮識別情報(例えば、仮名ID、匿名IDなど)が、ネットワーク事業者装置とサービス事業者装置との間で共有されることから、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有されない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全かつ効率的に実現することが可能になる。
[実施例3に係るサービスシステムの構成]
次に、実施例3に係るサービスシステムの構成を説明する。実施例3に係るサービスシステムは、実施例2に係るサービスシステムとほぼ同様に構成されるが、SPサービス利用の局面において必要となる機能が、ネットワーク事業者装置100における回線情報取得部133、利用者情報送信部134、サービス事業者装置200における利用者登録/認証部232に追加される点が、実施例2と異なる。以下では、ネットワーク事業者装置100における回線情報取得部133、利用者情報送信部134、サービス事業者装置200における利用者登録/認証部232について説明する。
なお、回線情報取得部133は、特許請求の範囲に記載の「回線情報取得手段」および「登録後回線情報取得手段」に対応し、利用者情報送信部134は、特許請求の範囲に記載の「利用者情報送信手段」および「仮識別情報送信手段」に対応し、利用者登録/認証部232は、特許請求の範囲に記載の「アクセス制御手段」および「登録後アクセス制御手段」に対応する。
ネットワーク事業者装置100における回線情報取得部133は、実施例2と同様、利用者装置300が接続されている回線に関する回線情報を取得するが、実施例2と異なり、利用者装置300からサービス事業者装置200に対する利用者登録後におけるサイトアクセスの要求を受け付けた場合にも、利用者装置300が接続されている回線に関する回線情報を取得する。
利用者情報送信部134は、実施例2と同様、利用者情報および回線情報に加えて、利用者情報の送信を一意に識別する仮識別情報(仮名ID)をサービス事業者装置200に送信するとともに、サービス事業者装置200を一意に識別するサービス識別情報および仮識別情報(仮ID)を、利用者情報に対応付けて利用者管理データベース部121に格納するが、実施例2と異なり、回線情報取得部133において、利用者装置300からサービス事業者装置200に対する利用者登録後におけるサイトアクセスの要求を受け付けられ、利用者装置300が接続されている回線に関する回線情報が取得された場合には、回線情報に対応づけられた仮識別情報(仮名ID)を利用者管理DBから取得し、取得した仮識別情報(仮名ID)をサービス事業者装置200に送信する。
サービス事業者装置200における利用者登録/認証部232は、実施例2と同様、利用者情報および回線情報を用いて、サイトアクセスを制御するが、実施例2と異なり、ネットワーク事業者装置100から仮識別情報(仮名ID)を受信した場合には、仮識別情報(仮名ID)に対応する利用者識別情報を利用者管理データベース部221から取得して、サイトアクセスを制御する。
[実施例3に係るサービスシステムによる処理の手順]
次に、図21を用いて、実施例3に係るサービスシステムによる処理の手順を説明する。図21は、実施例3に係るサービスシステムによる処理の手順を示すシーケンス図である。ここで、実施例3におけるネットワーク事業者装置100は、利用者装置300の利用者について、あらかじめ利用者登録しており、利用者装置300のネットワーク接続を許可しているものとする。また、実施例3におけるサービス事業者装置200は、利用者装置300の利用者について、利用者登録をしているものとする。すなわち、利用者装置300は、サービス事業者装置200によって利用者認証などされることで、サービス事業者装置200が提供するアプリケーションサービスの提供を受けることができる状態にある。以下では、利用者装置300がネットワークへの接続を行う処理(図21の(1)を参照)と、利用者装置300がSPサービス一覧を取得する処理(図21の(2)を参照)と、利用者装置300がSPのサービス利用を行う処理(図21の(3)を参照)とについて、順に説明する。
[(1)ネットワークへの接続]
まず、ネットワーク事業者装置100における認証処理部131は、実施例2と同様、利用者装置300から、ネットワーク接続要求を受信する(ステップS1)。次に、ネットワーク事業者装置100における認証処理部131は、実施例2と同様、利用者装置300の認証処理を行う(ステップS2)。そして、ネットワーク事業者装置100における認証処理部131は、実施例2と同様、利用者装置300に、ネットワーク接続応答を送信する(ステップS3)。
[(2)SPサービス一覧の取得]
続いて、利用者装置300は、実施例2と同様、インターネットなどのネットワークに接続し、ネットワーク事業者装置100におけるSPサイトアクセス応答部132は、利用者装置300から、SPサービス一覧要求を受信する(ステップS4)。すると、ネットワーク事業者装置100におけるSPサイトアクセス応答部132は、実施例2と同様、SPサービス一覧のWebページを取得するが(ステップS5)、実施例2と異なり、利用者装置300に対してSPサービス利用を促すWebページを取得する。
そして、ネットワーク事業者装置100におけるSPサイトアクセス応答部132は、実施例2と同様、利用者装置300に対して、SPサービス一覧応答を送信するが(ステップS6)、実施例2と異なり、利用者装置300に対してSPサービス利用を促すWebページを送信する。
[(3)SPのサービス利用]
続いて、ネットワーク事業者装置100におけるSPサイトアクセス応答部132は、実施例2と異なり、利用者装置300から、SPサービス利用要求を受信する(ステップS7)。具体的には、利用者装置300において、SPサービス利用要求を促すWebページのアイコンがワンクリックされることなどによって、SPサービス利用要求を受信する。
すると、ネットワーク事業者装置100における回線情報取得部133は、実施例2と同様、利用者装置300が接続されている回線を特定し(ステップS8)、回線情報を取得する(ステップS9)。具体的には、ネットワーク事業者装置100における回線情報取得部133は、利用者装置300からサービス事業者装置200に対する利用者登録後におけるサイトアクセスの要求(SPサービス利用)を受け付けた場合に、利用者装置300が接続されている回線に関する回線情報を取得する。
次に、ネットワーク事業者装置100における利用者情報送信部134は、回線を特定することで取得された回線情報に対応づけられた仮識別情報(仮名ID)を利用者管理データベース部121から取得し(ステップS10)、利用者装置300を経由するリダイレクト通信によって、仮識別情報(仮名ID)をサービス事業者装置200に送信する(ステップS11)。具体的には、ネットワーク事業者装置100における利用者情報送信部134は、アカウント認証要求を、ネットワーク事業者ID、仮識別情報(仮名ID)、および電子署名とともに、サービス事業者装置200に送信する。
そして、サービス事業者装置200における利用者登録/認証部232は、仮識別情報(仮名ID)に対応する利用者識別情報を利用者管理データベース部221から取得して、サイトアクセスを制御する(ステップS12〜S14)。具体的には、サービス事業者装置200における利用者登録/認証部232は、ネットワーク事業者装置100から利用者装置300を経由するリダイレクト通信によって利用者装置300の利用者情報に対応する仮識別情報(仮名ID)を受信した場合に、仮名IDに対応する利用者識別情報を利用者管理DBから取得して、利用者情報および回線情報を用いて利用者アカウント認証を行ったり、アカウント認証応答として、ネットワーク事業者装置100に、処理結果(例えば、仮名IDに対するアプリケーションサービスの提供開始を決定したことなど)を送信するなどする。
続いて、ネットワーク事業者装置100におけるSPサイトアクセス応答部132は、利用者装置300に、SPサービス利用応答を送信する(ステップS15)。具体的には、ネットワーク事業者装置100におけるSPサイトアクセス応答部132は、SPサービス利用応答として、アプリケーションサービスの提供を開始するWebページを、利用者装置300に送信する。
このようにして、実施例3に係るサービスシステムは、同一の利用者に対応づけられた仮識別情報(例えば、仮名ID、匿名IDなど)が、ネットワーク事業者装置とサービス事業者装置との間で共有されることから、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有されない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全かつ効率的に実現することが可能になる。
[実施例3の効果]
上記してきたように、実施例3によれば、実施例2の効果と同様、ネットワーク事業者装置は、利用者情報に加えて、利用者情報の送信を一意に識別する仮識別情報をサービス事業者装置に送信するとともに、サービス事業者装置を一意に識別するサービス識別情報および仮識別情報を、利用者情報に対応付けて格納し、サービス事業者装置は、ネットワーク事業者装置から利用者情報に加えて仮識別情報を受信した場合には、サイトアクセスを要求している利用者を一意に識別する利用者識別情報に対応付けて仮識別情報を所定の記憶手段に格納し、ネットワーク事業者装置は、利用者装置からサービス事業者装置に対する利用者登録後におけるサイトアクセスの要求を受け付けた場合に、利用者装置が接続されている回線に関する回線情報を取得し、取得された回線情報に対応付けられた仮識別情報を取得し、仮識別情報をサービス事業者装置に送信し、サービス事業者装置は、ネットワーク事業者装置から仮識別情報を受信した場合に、仮識別情報に対応する利用者識別情報を所定の記憶手段から取得してサイトアクセスを制御するので、同一の利用者に対応づけられた仮識別情報(例えば、仮名ID、匿名IDなど)が、ネットワーク事業者装置とサービス事業者装置との間で共有されることから、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有されない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全かつ効率的に実現することが可能になる。
すなわち、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有される結果、他のサービス提供事業者によるいわゆる名寄せの対象にされるおそれを回避できることから、例えば、利用者本人の名前の一部を用いた利用者アカウントが共有される手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。
その上、仮識別情報がネットワーク事業者装置とサービス事業者装置との間で共有される結果、サービス事業者装置は、利用者登録後におけるサイトアクセスの要求を利用者装置から受け付けた場合に、再び利用者登録することなく安全な仮識別情報でサイトアクセス制御できることから、サービス事業者装置において、信用性の高いサイトアクセス制御を安全かつ効率的に実現することが可能になる。