JP4551369B2 - Service system and service system control method - Google Patents

Service system and service system control method Download PDF

Info

Publication number
JP4551369B2
JP4551369B2 JP2006188493A JP2006188493A JP4551369B2 JP 4551369 B2 JP4551369 B2 JP 4551369B2 JP 2006188493 A JP2006188493 A JP 2006188493A JP 2006188493 A JP2006188493 A JP 2006188493A JP 4551369 B2 JP4551369 B2 JP 4551369B2
Authority
JP
Japan
Prior art keywords
user
service provider
user authentication
information
line
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006188493A
Other languages
Japanese (ja)
Other versions
JP2008015936A (en
Inventor
健一 大戸
哲志 八木
裕彦 黒川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006188493A priority Critical patent/JP4551369B2/en
Publication of JP2008015936A publication Critical patent/JP2008015936A/en
Application granted granted Critical
Publication of JP4551369B2 publication Critical patent/JP4551369B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムおよびサービスシステム制御方法に関する。   The present invention relates to a service system and a service system control method in which a network operator device for controlling network connection by a user device and a service operator device for controlling site access by the user device are connected via a network. About.

従来より、インターネットの普及や回線速度の高速化に伴い、サービス提供事業者(SP:Service Provider)は、各種アプリケーションサービス(電子メール、音楽コンテンツ、映像コンテンツ、ショッピング、オークションなど)を利用者に提供している。このような各種アプリケーションサービスを、サービス提供事業者が利用者に提供するためには、まず、ネットワーク事業者が、利用者の利用者登録を行うことが前提となる。ここで、ネットワーク事業者とは、例えば、xDSL(x Digital Subscriber Line)や光ファイバーなどの固定ネットワークによるアクセスサービスを提供する事業者、無線LAN(Local Area Network)によるアクセスサービスを提供する事業者、その他インターネットへのアクセスサービスを提供する事業者(ISP:Internet Services Provider)などのことである。   Service providers (SP: Service Provider) have provided various application services (e-mail, music content, video content, shopping, auctions, etc.) to users with the spread of the Internet and higher line speeds. is doing. In order for the service provider to provide such various application services to the user, it is premised that the network operator first performs user registration of the user. Here, the network operator is, for example, an operator that provides an access service using a fixed network such as xDSL (x Digital Subscriber Line) or an optical fiber, an operator that provides an access service using a wireless local area network (LAN), or the like. An ISP (Internet Services Provider) that provides an access service to the Internet.

ネットワーク事業者が行う利用者登録について具体的に説明すると、ネットワーク事業者は、運転免許証などの身分証明書とともに利用者によってオフラインで提示された利用者情報(例えば、利用者の氏名、住所、クレジットカード番号など)を取得し、身分証明書による利用者の本人確認を行った上で利用者登録し、利用者のアカウントおよびパスワードの払い出しを行うのが通常である。こうして利用者登録を完了すると、ネットワーク事業者は、利用者から送信されたアカウントとパスワードとを利用者認証することによって、利用者によるインターネットなどのネットワーク利用を可能にする。   Specifically describing the user registration performed by the network operator, the network operator can provide user information (eg, user name, address, It is usual to obtain a credit card number, etc., verify the identity of the user by identification card, register the user, and pay out the user account and password. When the user registration is completed in this manner, the network operator enables the user to use a network such as the Internet by performing user authentication of the account and password transmitted from the user.

次に、各種アプリケーションサービスを、サービス提供事業者が利用者に提供するためには、上記したようなネットワーク事業者による利用者登録が完了し、利用者によるインターネットなどのネットワーク利用が可能になった上で、サービス提供事業者が、利用者の利用者登録(もしくは利用者認証)を行わなければならない。サービス提供事業者が行う利用者登録について具体的に説明すると、サービス提供事業者は、利用者情報(例えば、利用者の氏名、住所、クレジットカード番号など)を、利用者からオンラインで送信されることで取得し、取得した利用者情報に基づいて利用者登録を行う。   Next, in order for the service provider to provide users with various application services, user registration by the network operator as described above has been completed, and the user can use the network such as the Internet. The service provider must perform user registration (or user authentication) for the user. Specifically describing user registration performed by the service provider, the service provider transmits user information (for example, the user's name, address, credit card number, etc.) online from the user. The user registration is performed based on the acquired user information.

例えば、特許文献1では、サービス提供事業者とは異なる第三者認証機関としての役割を持つ認証サーバが利用者登録(もしくは、利用者認証)を行い、その結果をサービス提供事業者に提供することで、サービス提供事業者が各種アプリケーションサービスを利用者に提供する手法が開示されている。   For example, in Patent Document 1, an authentication server having a role as a third party certification organization different from a service provider performs user registration (or user authentication) and provides the result to the service provider. Thus, a method in which a service provider provides various application services to users is disclosed.

特開2004−355073号公報JP 2004-355073 A

ところで、上記した従来技術では、以下に説明するように、サービス事業者装置において、信用性の高いサイトアクセス制御(例えば、利用者登録、利用者認証など)を実現することができないという課題がある。すなわち、サイトアクセス制御のひとつであるサービス事業者における利用者登録についていえば、サービス提供事業者は、サービス提供事業者装置または第三者認証機関としての役割を持つ認証サーバにおいて、運転免許証などの身分証明書とともに利用者によってオフラインで提示された利用者情報に基づいて、利用者の本人確認を行った上で利用者登録を行うわけではないことから、サービス事業者装置において、信用性の高い利用者登録を実現することができない。   By the way, as described below, the above-described conventional technology has a problem that it is impossible to realize highly reliable site access control (for example, user registration, user authentication, etc.) in the service provider apparatus. . In other words, regarding user registration in a service provider, which is one of the site access controls, a service provider can use a driver's license, etc. on an authentication server that serves as a service provider device or a third-party certification body. Since the user registration is not performed after verifying the identity of the user based on the user information presented offline by the user together with the ID of the High user registration cannot be realized.

そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することが可能なサービスシステムおよびサービスシステム制御方法を提供することを目的とする。   Accordingly, the present invention has been made to solve the above-described problems of the prior art, and a service system and a service system control method capable of realizing highly reliable site access control in a service provider apparatus. The purpose is to provide.

上述した課題を解決し、目的を達成するため、発明は利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムであって、前記ネットワーク事業者装置は、前記ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶する利用者情報記憶手段と、前記サービス事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得する回線情報取得手段と、前記回線情報取得手段によって取得された回線情報に対応付けられた利用者情報を前記利用者情報記憶手段から取得し、当該利用者情報を用いて前記利用者認証を行って得られる利用者認証結果を、前記利用者装置を経由するリダイレクト通信によって前記サービス事業者装置に送信する利用者認証結果送信手段と、前記サービス事業者装置は、前記利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求を前記ネットワーク事業者装置に送信する利用者認証要求送信手段と、前記ネットワーク事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いて前記サイトアクセスを制御するアクセス制御手段と、を備えたことを特徴とする。 In order to solve the above-described problems and achieve the object, the present invention provides a network provider device that controls network connection by a user device and a service provider device that controls site access by the user device. The network operator device corresponds to the user information related to the user of the user device permitted to connect to the network with the line information related to the line to which the user device is connected. The user information storage means for storing the user information, and when the user authentication request for requesting the user authentication of the user device is received from the service provider device through the redirect communication via the user device, Line information acquisition means for acquiring line information relating to the line to which the user device is connected; The user information associated with the line information acquired by the means is acquired from the user information storage means, and the user authentication result obtained by performing the user authentication using the user information is used as the user information. User authentication result transmitting means for transmitting to the service provider device by redirect communication via the user device, and when the service provider device accepts a site access request from the user device, the user device User authentication request transmitting means for transmitting a user authentication request for requesting user authentication of the user device to the network operator device by redirect communication via the network device, and the user device from the network operator device. When the user authentication result of the user device is received through the redirected communication, the user authentication result is used. Characterized by comprising a an access control means for controlling the site access Te.

また、発明は、上記の発明において、前記利用者認証結果送信手段は、前記利用者情報に加えて、前記回線情報を用いて前記利用者認証を行って得られる利用者認証結果を前記サービス事業者装置に送信することを特徴とする。 Further, the present invention is the above invention, wherein the user authentication result transmitting means sends the user authentication result obtained by performing the user authentication using the line information in addition to the user information to the service. It transmits to a provider apparatus.

また、発明は、上記の発明において、前記利用者認証要求送信手段は、前記利用者装置の利用者認証を要求する利用者認証要求とともに、前記利用者装置と前記サービス事業者装置との間における契約管理を要求する契約管理要求をさらに送信し、前記利用者情報記憶手段は、前記サービス事業者装置から前記契約管理要求を受信した場合には、前記利用者情報に対応付けて、前記利用者装置と前記サービス事業者装置との間における契約に関する契約情報を記憶することを特徴とする。 Further, the present invention is the above invention, wherein the user authentication request transmission means is configured to provide a user authentication request for requesting user authentication of the user device, and between the user device and the service provider device. When the contract information request is received from the service provider device, the user information storage means associates the user information with the user information and transmits the contract management request. The contract information regarding the contract between the service provider device and the service provider device is stored.

また、発明は、上記の発明において、前記利用者認証結果送信手段は、前記利用者認証結果に加えて、当該利用者認証結果の有効期限を示す有効期限情報を前記サービス事業者装置に送信し、前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者認証結果に加えて前記有効期限情報を受信した場合に、当該有効期限情報に示される有効期限を満たすことを条件に、前記利用者認証結果を用いて前記サイトアクセスを制御することを特徴とする。 Also, in the present invention according to the above invention, the user authentication result transmitting unit transmits, to the service provider apparatus, expiration date information indicating an expiration date of the user authentication result in addition to the user authentication result. When the access control means receives the expiration date information in addition to the user authentication result from the network operator device, the access control means satisfies the expiration date indicated in the expiration date information, on the condition The site access is controlled using a user authentication result.

また、発明は、上記の発明において、前記利用者認証結果送信手段は、前記利用者認証結果に加えて、前記ネットワーク事業者装置が署名する電子署名を前記サービス事業者装置に送信し、前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者認証結果に加えて前記電子署名を受信した場合に、当該電子署名が正当であることを条件に、前記利用者認証結果を用いて前記サイトアクセスを制御することを特徴とする。 Further, the present invention is the above invention, wherein the user authentication result transmitting means transmits an electronic signature signed by the network operator device to the service operator device in addition to the user authentication result, When the access control means receives the electronic signature in addition to the user authentication result from the network operator device, the access control means uses the user authentication result on the condition that the electronic signature is valid. It is characterized by controlling access.

また、発明は、上記の発明において、前記利用者認証結果送信手段は、前記サービス事業者装置から前記利用者認証要求に加えて、当該サービス事業者装置が署名する電子署名を受信した場合に、当該電子署名が正当であることを条件に、前記利用者認証結果を当該サービス事業者装置に送信し、前記利用者認証要求送信手段は、前記利用者認証要求に加えて、前記電子署名を前記ネットワーク事業者装置に送信することを特徴とする。 Further, the present invention is the above invention, wherein the user authentication result transmitting unit receives an electronic signature signed by the service provider device in addition to the user authentication request from the service provider device. The user authentication result is transmitted to the service provider device on the condition that the electronic signature is valid, and the user authentication request transmitting means transmits the electronic signature in addition to the user authentication request. It transmits to the said network provider apparatus, It is characterized by the above-mentioned.

また、発明は、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムを制御するサービスシステム制御方法であって、前記ネットワーク事業者装置は、前記ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶する利用者情報記憶工程と、前記サービス事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得する回線情報取得工程と、前記回線情報取得工程によって取得された回線情報に対応付けられた利用者情報を前記利用者情報記憶工程から取得し、当該利用者情報を用いて前記利用者認証を行って得られる利用者認証結果を、前記利用者装置を経由するリダイレクト通信によって前記サービス事業者装置に送信する利用者認証結果送信工程と、前記サービス事業者装置は、前記利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求を前記ネットワーク事業者装置に送信する利用者認証要求送信工程と、前記ネットワーク事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いて前記サイトアクセスを制御するアクセス制御工程と、を含んだことを特徴とする。 The present invention also controls a service system in which a network operator device that controls network connection by a user device and a service operator device that controls site access by the user device are connected via a network. In the service system control method, the network operator apparatus stores user information related to a user of the user apparatus permitted to connect to the network in association with line information related to a line to which the user apparatus is connected. The user information storage step, and when receiving a user authentication request for requesting user authentication of the user device from the service provider device by redirect communication via the user device, A line information acquisition step for acquiring line information relating to a connected line; User information associated with the line information acquired in the step is acquired from the user information storage step, and the user authentication result obtained by performing the user authentication using the user information is used as the user information. A user authentication result transmitting step of transmitting to the service provider device by redirect communication via the user device, and when the service provider device accepts a site access request from the user device, the user device A user authentication request transmission step for transmitting a user authentication request for requesting user authentication of the user device to the network operator device by redirect communication via the network device, and the user device from the network operator device. When the user authentication result of the user device is received through the redirected communication, the user authentication result is used. Characterized in that it contains, and the access controlling process of controlling the site access Te.

発明によれば、ネットワーク事業者装置は、ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶し、サービス事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得し、取得された回線情報に対応付けられた利用者情報を取得し、当該利用者情報を用いて利用者認証を行って得られる利用者認証結果を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信し、サービス事業者装置は、利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求をネットワーク事業者装置に送信し、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いてサイトアクセスを制御するので、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することが可能である。 According to the present invention, the network operator device stores the user information related to the user of the user device permitted to connect to the network in association with the line information related to the line to which the user device is connected. When a user authentication request for requesting user authentication of the user device is received from the user device by redirect communication via the user device, line information relating to the line to which the user device is connected is acquired, The service provider obtains user information associated with the acquired line information, performs user authentication using the user information, and transmits the user authentication result by redirect communication via the user device. When a service provider device receives a request for site access from a user device, the service provider device transmits a redirect request via the user device. The user authentication request for requesting user authentication of the user device is transmitted to the network operator device by the target communication, and the user authentication of the user device is performed by the redirect communication from the network operator device via the user device. When the result is received, the site access is controlled using the user authentication result, so that it is possible to realize highly reliable site access control in the service provider apparatus.

また、ネットワーク事業者にて認証処理を行う結果、サービス事業者装置で認証処理を行う必要がなく、サービス事業者装置の処理負荷を軽減することが可能である。さらに、サービス事業者装置で利用者情報(例えば、契約情報など)を管理する必要がないので、サービス事業者装置における利用者情報管理に関するコストや処理負荷を削減することが可能である。   Further, as a result of performing the authentication process by the network operator, it is not necessary to perform the authentication process by the service provider device, and the processing load on the service provider device can be reduced. Furthermore, since it is not necessary to manage user information (for example, contract information) in the service provider device, it is possible to reduce costs and processing load related to user information management in the service provider device.

また、発明によれば、利用者認証情報に加えて、回線情報を用いて利用者認証を行って得られる利用者認証結果をサービス事業者装置に送信するので、利用者情報のみを用いてサイトアクセスを制御する手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を高度に実現することが可能になる。 Further, according to the present invention, in addition to the user authentication information, the user authentication result obtained by performing user authentication using the line information is transmitted to the service provider apparatus, so only the user information is used. Compared to the technique for controlling site access, highly reliable site access control can be realized in the service provider device.

すなわち、利用者装置が接続する回線に関する回線情報を用いて、利用者装置が接続する場所や回線速度などを特定できることから、例えば、利用者装置が接続する場所や回線速度によってはサイトアクセスを許可/拒否を決定し、あるいは、場所や回線速度に応じて提供するサービスを選択することなど、サービス事業者装置において、信用性の高いサイトアクセス制御を高度に実現することが可能になる。具体的に例を挙げて説明すると、回線情報によって特定されるネットワークへの接続場所が、「自宅」以外の場所の場合には、オークションサービスの提供を許可しないことや、回線情報によって特定される回線速度が高速な場合には、高解像度の映像コンテンツサービスを提供することなどが可能になる。   In other words, the location and line speed to which the user device is connected can be specified using line information related to the line to which the user device is connected. For example, site access is permitted depending on the location and line speed to which the user device is connected It is possible to realize highly reliable site access control in the service provider apparatus such as determining / rejection or selecting a service to be provided according to the location and the line speed. Specifically, when the connection location to the network specified by the line information is a place other than “home”, the provision of the auction service is not permitted, or the connection information is specified by the line information. When the line speed is high, it is possible to provide a high-resolution video content service.

また、発明によれば、利用者装置の利用者認証を要求する利用者認証要求とともに、利用者装置とサービス事業者装置との間における契約管理を要求する契約管理要求をさらに送信し、サービス事業者装置から契約管理要求を受信した場合には、利用者情報に対応付けて、利用者装置とサービス事業者装置との間における契約に関する契約情報を記憶するので、サービス事業者装置における処理負荷をさらに軽減することが可能であるとともに、サービス事業者装置における利用者情報管理に関するコストや処理負荷をさらに削減することが可能である。 In addition, according to the present invention, a user authentication request for requesting user authentication of the user device is transmitted together with a contract management request for requesting contract management between the user device and the service provider device, When the contract management request is received from the provider device, the contract information related to the contract between the user device and the service provider device is stored in association with the user information, so the processing load on the service provider device Can be further reduced, and the cost and processing load related to user information management in the service provider apparatus can be further reduced.

また、発明によれば、利用者認証結果に加えて、当該利用者認証結果の有効期限を示す有効期限情報をサービス事業者装置に送信し、ネットワーク事業者装置から利用者認証結果に加えて有効期限情報を受信した場合に、当該有効期限情報に示される有効期限を満たすことを条件に、利用者認証結果を用いてサイトアクセスを制御するので、利用者情報をサービス事業者装置に送信する際に有効期限情報を送信しない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。 According to the present invention, in addition to the user authentication result, the expiration date information indicating the expiration date of the user authentication result is transmitted to the service provider device, and the network operator device adds the user authentication result to the user authentication result. When the expiration date information is received, the site access is controlled using the user authentication result on the condition that the expiration date indicated in the expiration date information is satisfied, so the user information is transmitted to the service provider device. In comparison with a method that does not transmit the expiration date information, it is possible to safely implement highly reliable site access control in the service provider apparatus.

すなわち、利用者情報をサービス事業者装置に送信する際に有効期限情報を送信しない手法では、例えば、利用者装置を経由するリダイレクト通信において、利用者装置が利用者情報その他の制御情報などを不正に取得し、不正に情報を取得した利用者装置が不正にサイトアクセスするおそれなどがあるが、有効期限情報(例えば、有効期限は、数秒、数十秒といったオーダーで設定される)を送信することで、これらのおそれを回避できることから、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。   That is, when the user information is transmitted to the service provider device, the method in which the expiration date information is not transmitted is used. For example, in redirect communication via the user device, the user device illegally uses the user information or other control information. There is a possibility that the user device that has obtained the information and illegally obtained the information may illegally access the site, but transmits the expiration date information (for example, the expiration date is set in the order of several seconds or several tens of seconds). Thus, since these fears can be avoided, highly reliable site access control can be safely realized in the service provider apparatus.

また、発明によれば、利用者認証結果に加えて、ネットワーク事業者が署名する電子署名をサービス事業者装置に送信し、ネットワーク事業者装置から利用者認証結果に加えて電子署名を受信した場合に、当該電子署名が正当であることを条件に、利用者認証結果を用いてサイトアクセスを制御するので、ネットワーク事業者装置が利用者認証要求とともに電子署名を送信しない場合に比べて、サービス事業者装置において、信用性の高いサイトアクセス制御をより安全に実現することが可能になる。例えば、電子署名を送信しない場合、本当に正当なネットワーク事業者装置が送信した利用者認証要求であるか否かを判定することができないが、電子署名を送信した場合では、正当なサービス事業者が送信した利用者認証要求であるか否かを判定することができる。 Further, according to the present invention, in addition to the user authentication result, an electronic signature signed by the network operator is transmitted to the service provider device, and the electronic signature is received from the network operator device in addition to the user authentication result. In this case, since the site access is controlled using the user authentication result on the condition that the electronic signature is valid, the service is compared with the case where the network operator device does not transmit the electronic signature together with the user authentication request. It is possible to more securely realize highly reliable site access control in the provider device. For example, if an electronic signature is not transmitted, it cannot be determined whether or not the request is a user authentication request transmitted by a truly valid network operator device. It can be determined whether or not it is a transmitted user authentication request.

また、発明によれば、サービス事業者装置から利用者認証要求に加えて、当該サービス事業者装置が署名する電子署名を受信した場合に、当該電子署名が正当であることを条件に、利用者認証結果を当該サービス事業者装置に送信し、利用者認証要求に加えて、電子署名をネットワーク事業者装置に送信するので、サービス事業者装置が利用者認証要求とともに電子署名を送信しない場合に比べて、サービス事業者装置において、信用性の高いサイトアクセス制御をより安全に実現することが可能になる。例えば、電子署名を送信しない場合、本当に正当なサービス事業者装置が送信した利用者認証要求であるか否かを判定することができないが、電子署名を送信した場合では、正当なサービス事業者が送信した利用者認証要求であるか否かを判定することができる。 Further, according to the present invention, when an electronic signature signed by the service provider device is received in addition to a user authentication request from the service provider device, it is used on condition that the electronic signature is valid. When the service provider device does not transmit the electronic signature together with the user authentication request, the user authentication result is transmitted to the service provider device and the electronic signature is transmitted to the network provider device in addition to the user authentication request. In comparison, it is possible to more securely realize highly reliable site access control in the service provider device. For example, if an electronic signature is not transmitted, it cannot be determined whether or not the request is a user authentication request transmitted by a truly valid service provider device. However, if an electronic signature is transmitted, It can be determined whether or not it is a transmitted user authentication request.

以下に添付図面を参照して、この発明に係るサービスシステムの実施例を詳細に説明する。なお、以下の実施例で用いる主要な用語、実施例1に係るサービスシステムの概要および特徴、実施例1に係るサービスシステムの構成および処理の手順、実施例1の効果を順に説明し、続いて、他の実施例について説明する。   Embodiments of a service system according to the present invention will be described below in detail with reference to the accompanying drawings. The main terms used in the following embodiments, the outline and features of the service system according to the first embodiment, the configuration and processing procedure of the service system according to the first embodiment, and the effects of the first embodiment will be described in order. Another embodiment will be described.

[用語の説明]
まず最初に、以下の実施例で用いる主要な用語を説明する。「利用者装置」とは、パーソナルコンピュータや携帯電話などで構成され、利用者によって操作される装置のことである。具体的には、「利用者装置」は、インターネットなどのネットワークに接続し、ネットワーク上で公開されている各種アプリケーションサービス(例えば、電子メール、音楽コンテンツ、映像コンテンツ、ショッピング、オークションなど)の情報を、ネットワーク上の他のコンピュータから受信してモニタやスピーカーなどに出力したり、利用者によって入力された情報を、ネットワーク上の他のコンピュータに送信したりすることで、各種アプリケーションサービスを利用者に提供する。
[Explanation of terms]
First, main terms used in the following examples will be described. A “user device” is a device configured by a personal computer, a mobile phone, or the like and operated by a user. Specifically, the “user device” is connected to a network such as the Internet and receives information on various application services (for example, e-mail, music content, video content, shopping, auction, etc.) published on the network. By receiving from other computers on the network and outputting to a monitor or speaker, etc., or sending information input by the user to other computers on the network, various application services can be provided to the user. provide.

ところで、この「利用者装置」が、ネットワーク上の各種アプリケーションサービスの情報を他のコンピュータと送受信するためには、「ネットワーク事業者装置」によって、ネットワーク接続を制御されることと、「サービス事業者装置」によって、サイトアクセスを制御されることとが必要になる。   By the way, in order for this “user device” to send and receive information on various application services on the network to and from other computers, the “network operator device” controls the network connection and the “service operator” It is necessary that the site access be controlled by the “device”.

具体的に説明すると、「ネットワーク事業者装置」とは、汎用的なコンピュータなどで構成され、ネットワーク事業者によって運営される装置のことである。また、ネットワーク事業者とは、利用者登録した利用者によって操作される「利用者装置」に対して、インターネットなどのネットワークに接続するための回線を提供する事業者のことである。例えば、ネットワーク事業者とは、xDSL(x Digital Subscriber Line)や光ファイバーなどの固定ネットワークによるアクセスサービスを提供する事業者、無線LAN(Local Area Network)によるアクセスサービスを提供する事業者、その他インターネットへのアクセスサービスを提供する事業者(ISP:Internet Services Provider)などのことであり、「利用者装置」は、まず、ネットワーク事業者によって運営される「ネットワーク事業者装置」に利用者登録されて、ネットワーク接続を制御されることで(インターネットなどのネットワークに接続するための回線への接続を許可されることで)、インターネットなどのネットワークに接続できるようになる。なお、ネットワーク上には、多数のネットワーク事業者が存在し、多数の「ネットワーク事業者装置」が存在するが、「利用者装置」は、任意の「ネットワーク事業者装置」によってネットワーク接続を制御されることで、インターネットなどのネットワークに接続する。   More specifically, the “network operator device” is a device configured by a general-purpose computer or the like and operated by the network operator. A network operator is an operator that provides a line for connecting to a network such as the Internet for a “user device” operated by a registered user. For example, a network operator is an operator that provides an access service using a fixed network such as xDSL (x Digital Subscriber Line) or optical fiber, an operator that provides an access service using a wireless local area network (LAN), or other Internet access. It is a provider (ISP: Internet Services Provider) etc. that provides an access service, and a “user device” is first registered as a user in a “network operator device” operated by a network operator, and then the network By controlling the connection (by allowing connection to a line for connecting to a network such as the Internet), it becomes possible to connect to a network such as the Internet. There are a large number of network operators on the network, and there are a large number of “network operator devices”. However, the “user device” has a network connection controlled by an arbitrary “network operator device”. To connect to a network such as the Internet.

こうして、「ネットワーク事業者装置」にネットワーク接続を制御されることで、インターネットなどのネットワークに接続できるようになった「利用者装置」は、次に、各種アプリケーションサービスの提供を受けるために、「サービス事業者装置」に利用者登録(もしくは利用者認証)されなければならない。「サービス事業者装置」とは、汎用的なコンピュータなどで構成され、サービス提供事業者によって運営される装置のことである。また、サービス提供事業者とは、利用者登録(もしくは利用者認証)した利用者によって操作される「利用者装置」に対して、各種アプリケーションサービスを提供する事業者のことである。例えば、サービス提供事業者とは、ネットワーク上で各種アプリケーションサービス(例えば、電子メール、音楽コンテンツ、映像コンテンツ、ショッピング、オークションなど)を提供する事業者などのことであり、「利用者装置」は、サービス提供事業者によって運営される「サービス事業者装置」に利用者登録(もしくは利用者認証)されて、サイトアクセスを制御されることで、各種アプリケーションサービスの提供を受けることができるようになる。なお、「ネットワーク事業者装置」同様、ネットワーク上には、多数のサービス提供事業者が存在し、多数の「サービス事業者装置」が存在するが、「利用者装置」は、任意の「サービス事業者装置」によってサイトアクセスを制御されることで、任意のアプリケーションサービスの提供を受ける。   In this way, the “user device” that can be connected to the network such as the Internet by controlling the network connection by the “network provider device” next receives the provision of various application services. User registration (or user authentication) must be performed on the “service provider device”. The “service provider device” is a device configured by a general-purpose computer or the like and operated by a service provider. A service provider is a provider that provides various application services to a “user device” operated by a user who has registered (or authenticated) a user. For example, a service provider is a provider that provides various application services (for example, e-mail, music content, video content, shopping, auctions, etc.) on a network. By registering a user (or user authentication) in a “service provider device” operated by a service provider and controlling site access, it is possible to receive various application services. As with “Network operator equipment”, there are many service providers on the network, and there are many “Service provider equipment”. However, “User equipment” is an arbitrary “Service business equipment”. The site access is controlled by the “user device” to receive provision of an arbitrary application service.

ここで、「サイトアクセス」とは、例えば、利用者登録していない利用者によって操作される「利用者装置」が「サービス事業者装置」に接続した際に、「サービス事業者装置」において利用者登録を行うことや、利用者登録した利用者によって操作される「利用者装置」が接続した際に、利用者認証を行うことで「利用者装置」にアプリケーションサービスを提供することや、利用者登録していない利用者によって操作される「利用者装置」が接続した際に、利用者登録を行わずにワンタイムで利用者認証を行うことで「利用者装置」にアプリケーションサービスを提供することなどを総称したものである。「サービス事業者装置」が提供するアプリケーションサービスの種類や利用局面などに応じて、「サイトアクセス」を制御する制御内容は異なってくる。   Here, “site access” is, for example, used in a “service provider device” when a “user device” operated by a user who is not registered as a user is connected to a “service provider device”. User registration, providing application services to the "user device" by using user authentication when a "user device" operated by the registered user connects, When a “user device” operated by a user who is not registered is connected, application authentication is provided to the “user device” by performing user authentication in one time without performing user registration. This is a general term. The content of control for controlling “site access” varies depending on the type of application service provided by the “service provider device” and the usage situation.

このように、「ネットワーク事業者装置」が「利用者装置」によるネットワーク接続を制御し、「サービス事業者装置」が「利用者装置」によるサイトアクセスを制御するシステムを、「サービスシステム」というが、「サービスシステム」においては、なりすましやクレジットカード番号の悪用など、さまざまな脅威が存在する。このため、「サービスシステム」においては、信用性の高いサイトアクセス制御をいかにして実現するかが、特に重要な点になる。   In this way, a system in which the “network provider device” controls network connection by the “user device” and the “service provider device” controls site access by the “user device” is referred to as a “service system”. In the “service system”, there are various threats such as impersonation and misuse of credit card numbers. For this reason, in the “service system”, how to achieve highly reliable site access control is particularly important.

[実施例1に係るサービスシステムの概要および特徴]
続いて、図1を用いて、実施例1に係るサービスシステムの概要および特徴を説明する。図1は、実施例1に係るサービスシステムの概要および特徴を説明するための図である。なお、以下の実施例では、ひとつの「利用者装置」によるネットワーク接続を、ひとつの「ネットワーク事業者装置」が制御し、ひとつの「利用者装置」によるサイトアクセスを、ひとつの「サービス事業者装置」が制御する構成を説明するが、この発明はこれに限られるものではなく、ひとつまたは複数の「利用者装置」によるネットワーク接続を、ひとつまたは複数の「ネットワーク事業者装置」が制御し、ひとつまたは複数の「利用者装置」によるサイトアクセスを、ひとつまたは複数の「サービス事業者装置」が制御する構成にも、この発明を同様に適用することができる。なお、実施例1に係るサービス事業者装置は、一つのアプリケーションサービスを提供するものとする。
[Outline and Features of Service System According to Embodiment 1]
Next, the outline and features of the service system according to the first embodiment will be described with reference to FIG. FIG. 1 is a diagram for explaining the outline and features of the service system according to the first embodiment. In the following embodiment, network connection by one “user device” is controlled by one “network operator device”, and site access by one “user device” is controlled by one “service provider”. The configuration controlled by the “device” will be described, but the present invention is not limited to this, and one or a plurality of “network provider devices” control network connection by one or a plurality of “user devices”. The present invention can be similarly applied to a configuration in which one or a plurality of “service provider devices” controls site access by one or a plurality of “user devices”. It is assumed that the service provider device according to the first embodiment provides one application service.

実施例1に係るサービスシステムは、上記したように、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されることを概要とし、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することを主たる特徴とする。   As described above, the service system according to the first embodiment connects the network operator device that controls the network connection by the user device and the service operator device that controls the site access by the user device via the network. The main feature is to realize highly reliable site access control in the service provider device.

この主たる特徴について簡単に説明すると、実施例1におけるネットワーク事業者装置は、利用者装置の利用者について、あらかじめ利用者登録しており、利用者装置のネットワーク接続を許可しているものとする。すなわち、ネットワーク事業者装置は、図1に示すように、ネットワーク接続が許可される利用者装置の利用者に関する利用者情報(例えば、契約者名、住所、クレジットカード番号など)を、利用者装置が接続する回線に関する回線情報(例えば、回線の識別子、回線の収容位置、回線種別、回線速度など)と対応づけて、利用者管理データベース部(利用者管理DB)に記憶している。例えば、図1においては、利用者アカウントAAAに関する利用者情報(「AAAの利用者情報」)を、回線情報(「AAAの回線情報」)と対応づけて、利用者管理DBに記憶している。   Briefly describing this main feature, it is assumed that the network operator device in the first embodiment has previously registered the user of the user device and has permitted the network connection of the user device. That is, as shown in FIG. 1, the network operator device receives user information (for example, a contractor name, an address, a credit card number, etc.) regarding the user of the user device that is permitted to connect to the network. Is stored in the user management database unit (user management DB) in association with the line information (for example, line identifier, line accommodation position, line type, line speed, etc.) related to the line to which is connected. For example, in FIG. 1, user information relating to the user account AAA (“AAA user information”) is stored in the user management DB in association with the line information (“AAA line information”). .

一方、実施例1におけるサービス事業者装置は、利用者装置の利用者について、利用者登録していないものとする。すなわち、利用者装置は、サービス事業者装置が提供するアプリケーションサービスの提供を受けることができない状態にある。なお、実施例1において、サービス事業者装置が提供するアプリケーションサービスは、利用者アカウントを作成することなく一時的な利用を許可する『シングルサインオン』で提供できるタイプのアプリケーションサービスであるとするが、この発明はこれに限られるものではなく、利用者登録を行うことで永続的に利用できるタイプのアプリケーションサービスにも、適用することができる。   On the other hand, it is assumed that the service provider device according to the first embodiment does not register the user of the user device. That is, the user device cannot receive the application service provided by the service provider device. In the first embodiment, the application service provided by the service provider apparatus is a type of application service that can be provided by “single sign-on” that allows temporary use without creating a user account. The present invention is not limited to this, and can also be applied to a type of application service that can be used permanently by performing user registration.

また、実施例1におけるネットワーク事業者装置とサービス事業者装置との間では、『ネットワーク事業者装置がサービス事業者装置に代わって利用者認証を行うこと』について、あらかじめ取り決めがなされているものとする。さらに、ネットワーク事業者装置とサービス事業者装置との間では、あらかじめ信頼関係が成立しているものとする。すなわち、ネットワーク事業者装置においては、サービス事業者装置が署名する電子署名が正当であることを検証するための公開鍵情報(サービス事業者装置の電子証明書など)を管理し、サービス事業者装置においては、ネットワーク事業者装置が署名する電子署名が正当であることを検証するための公開鍵情報(ネットワーク事業者装置の電子証明書など)を管理しているものとする。なお、実施例1においては、ネットワーク事業者装置およびサービス事業者装置において、互いの公開鍵情報を管理する手法を説明するが、この発明はこれに限られるものではなく、信頼される第三者機関によって発行される公開鍵情報を用いて電子署名が正当であることを検証する手法など、電子署名が正当であることを検証する手法はいずれでもよい。また、必ずしも電子署名を送信する必要はない。   Further, between the network operator apparatus and the service provider apparatus in the first embodiment, an agreement has been made in advance about “the network operator apparatus performs user authentication on behalf of the service provider apparatus”. To do. Furthermore, it is assumed that a trust relationship is established in advance between the network operator device and the service operator device. That is, the network operator apparatus manages public key information (such as an electronic certificate of the service provider apparatus) for verifying that the electronic signature signed by the service provider apparatus is valid, and the service provider apparatus It is assumed that public key information (such as an electronic certificate of a network operator device) for verifying that an electronic signature signed by the network operator device is valid is managed. In the first embodiment, a technique for managing each other's public key information in the network operator device and the service operator device will be described. However, the present invention is not limited to this, and a trusted third party. Any method for verifying that an electronic signature is valid, such as a method for verifying that an electronic signature is valid using public key information issued by an institution, may be used. Further, it is not always necessary to transmit an electronic signature.

このような構成のもと、実施例1におけるネットワーク事業者装置は、まず、利用者装置から、ネットワーク接続要求を受信する(図1の(1)を参照)。具体的には、ネットワーク事業者装置は、利用者装置から、ネットワーク接続要求として、回線認証情報(例えば、利用者アカウント、パスワードなど)を受信する。例えば、図1においては、利用者アカウントAAAとパスワードとを受信する。なお、回線認証情報として、利用者装置から、電子署名等を受信してもよい。   Under such a configuration, the network operator apparatus according to the first embodiment first receives a network connection request from the user apparatus (see (1) in FIG. 1). Specifically, the network operator device receives line authentication information (for example, a user account, a password, etc.) as a network connection request from the user device. For example, in FIG. 1, a user account AAA and a password are received. An electronic signature or the like may be received from the user device as the line authentication information.

次に、ネットワーク事業者装置は、ネットワーク事業者装置において、認証処理を行う(図1の(2)を参照)。具体的には、ネットワーク事業者装置は、利用者装置から受信した回線認証情報と、利用者管理DBに管理する回線認証情報(例えば、利用者アカウント、パスワードなど)とを照合し、利用者装置を認証する。例えば、図1においては、利用者管理DBに管理する利用者アカウントAAAと図示しないパスワードとを照合し、利用者装置を認証する。   Next, the network operator device performs an authentication process in the network operator device (see (2) in FIG. 1). Specifically, the network operator device collates the line authentication information received from the user device with the line authentication information (eg, user account, password, etc.) managed in the user management DB, and the user device Authenticate. For example, in FIG. 1, the user account AAA managed in the user management DB is compared with a password (not shown) to authenticate the user device.

そして、ネットワーク事業者装置は、利用者装置に、ネットワーク接続応答を送信する(図1の(3)を参照)。具体的には、ネットワーク事業者装置は、利用者装置に対して、インターネットなどのネットワークに接続するための回線(アクセスネットワーク)へのアクセスパスをPPPoE(Point to Point Protocol over Ethernet(登録商標))などで設定し、IPアドレスを払い出し、利用者装置に送信する。また、ネットワーク事業者装置は、利用者装置に対して払い出したIPアドレスを、利用者管理DBに格納する。   Then, the network operator device transmits a network connection response to the user device (see (3) in FIG. 1). Specifically, the network operator device provides the user device with an access path to a line (access network) for connecting to a network such as the Internet by PPPoE (Point to Point Protocol over Ethernet (registered trademark)). The IP address is issued and sent to the user device. The network operator device stores the IP address assigned to the user device in the user management DB.

その結果、利用者装置は、インターネットなどのネットワークに接続し、続いて、サービス事業者装置は、利用者装置から、SPサイトアクセス要求を受信する(図1の(4)を参照)。具体的には、サービス事業者装置は、利用者装置から、SPサイトアクセス要求として、サービス事業者装置が提供するアプリケーションサービスが公開されているSPサイトのURL(Uniform Resource Locator)などを受信する。   As a result, the user device is connected to a network such as the Internet, and then the service provider device receives an SP site access request from the user device (see (4) in FIG. 1). Specifically, the service provider device receives, from the user device, an SP site URL (Uniform Resource Locator) or the like of an application service provided by the service provider device as an SP site access request.

すると、サービス事業者装置は、利用者装置に対して、SPサイトアクセス応答を送信する(図1の(5)を参照)。具体的には、サービス事業者装置は、Webページを取得し、SPサイトアクセス応答として、Webページを送信する。ここで、実施例1におけるサービス事業者装置から送信されるWebページは、利用者装置の利用者について、アプリケーションサービスをシングルサインオンで使用するためにシングルサインオン要求を促すWebページである。   Then, the service provider device transmits an SP site access response to the user device (see (5) in FIG. 1). Specifically, the service provider device acquires a Web page and transmits the Web page as an SP site access response. Here, the Web page transmitted from the service provider apparatus according to the first embodiment is a Web page that prompts a single sign-on request for the user of the user apparatus to use the application service with single sign-on.

次に、サービス事業者装置は、利用者装置から、シングルサインオン要求を受信する(図1の(6)を参照)。具体的には、利用者装置において、シングルサインオン要求を促すWebページのアイコン(「シングルサインオン要求」など)がワンクリックされることなどによって、シングルサインオン要求を受信する。   Next, the service provider device receives a single sign-on request from the user device (see (6) in FIG. 1). Specifically, the user apparatus receives the single sign-on request by one-clicking on a web page icon (such as “single sign-on request”) that prompts the single sign-on request.

続いて、サービス事業者装置は、利用者装置からサイトアクセスの要求(シングルサインオン要求)を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求をネットワーク事業者装置に送信する(図1の(7)および(8)を参照)。   Subsequently, when the service provider device receives a site access request (single sign-on request) from the user device, the service provider device requests user authentication of the user device by redirect communication via the user device. A user authentication request is transmitted to the network operator device (see (7) and (8) in FIG. 1).

すると、実施例1におけるネットワーク事業者装置は、利用者装置が接続されている回線に関する回線情報を取得する(図1の(9)を参照)。具体的には、ネットワーク事業者装置は、サービス事業者装置から、利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、利用者装置が接続する回線を特定することで、回線情報を取得する。   Then, the network operator apparatus according to the first embodiment acquires line information regarding the line to which the user apparatus is connected (see (9) in FIG. 1). Specifically, when the network operator apparatus receives a user authentication request for requesting user authentication of the user apparatus from the service provider apparatus by redirect communication via the user apparatus, the user apparatus The line information is acquired by specifying the line to which is connected.

続いて、ネットワーク事業者装置は、取得された回線情報に対応付けられた利用者情報を取得し、当該利用者情報を用いて利用者認証を行って得られる利用者認証結果を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信する(図1の(10)および(11)参照)。上記した例で具体的に説明すると、ネットワーク事業者装置は、取得された回線情報「回線識別子(123)」に対応付けられた利用者情報(「tarou、123、#A500、光、・・・)を取得し、当該利用者情報がネットワーク事業者装置により登録されている利用者装置であることを根拠に、利用者認証結果として「認証通過」を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信する。   Subsequently, the network operator device acquires user information associated with the acquired line information, and performs user authentication using the user information, and obtains the user authentication result as the user device. Is transmitted to the service provider device by redirect communication via (see (10) and (11) in FIG. 1). More specifically, in the above example, the network operator device uses user information (“tarou, 123, # A500, light,...) Associated with the acquired line information“ line identifier (123) ”. ) And “pass authentication” as a user authentication result based on the fact that the user information is a user device registered by the network operator device, and redirected communication via the user device. Sent to the operator device.

つまり、ここで、ネットワーク事業者装置は、取得した回線情報がネットワーク事業者装置に記憶される利用者情報であるか否かによって、利用者認証を行い、判定した認証結果(例えば、認証通過や認証失敗)を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信する。   That is, here, the network operator device performs user authentication depending on whether or not the acquired line information is user information stored in the network operator device, and determines the authentication result (for example, authentication pass or Authentication failure) is transmitted to the service provider device by redirect communication via the user device.

そして、サービス事業者装置は、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いてサイトアクセスを制御する(図1の(12)参照)。具体的に説明すると、サービス事業者装置は、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって「認証通過」を受信した場合には、シングルサインオンによるサイトアクセスを許可し、アプリケーションサービスの提供を開始するWebページを送信する。「認証拒否」を受信した場合には、シングルサインオンによるサイトアクセスを拒否する。   Then, when the service provider device receives the user authentication result of the user device from the network provider device by the redirect communication via the user device, the service provider device controls the site access using the user authentication result. (Refer to (12) in FIG. 1). More specifically, when the service provider device receives “authentication pass” from the network provider device by redirect communication via the user device, the service provider device permits site access by single sign-on and A Web page to start providing is transmitted. When “authentication reject” is received, site access by single sign-on is rejected.

このようなことから、上記した主たる特徴のごとく、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することが可能である。また、ネットワーク事業者にて認証処理を行う結果、サービス事業者装置で認証処理を行う必要がなく、サービス事業者装置の処理負荷を軽減することが可能である。さらに、サービス事業者装置で利用者認証のために利用者情報(例えば、契約情報など)を管理する必要がないので、サービス事業者装置における利用者情報管理に関するコストや処理負荷を削減することが可能である。   For this reason, it is possible to realize highly reliable site access control in the service provider device as described above. Further, as a result of performing the authentication process by the network operator, it is not necessary to perform the authentication process by the service provider device, and the processing load on the service provider device can be reduced. Furthermore, since it is not necessary to manage user information (for example, contract information) for user authentication in the service provider device, it is possible to reduce costs and processing load related to user information management in the service provider device. Is possible.

[実施例1に係るサービスシステムの構成]
次に、図2〜図9を用いて、実施例1に係るサービスシステムの構成を説明する。図2は、実施例1に係るサービスシステムの構成を示すブロック図であり、図3と図4は、サービス事業者装置が利用者装置に送信するWebページを説明するための図であり、図5〜図9は、ネットワーク事業者装置における利用者管理データベース部を説明するための図である。
[Configuration of Service System According to Embodiment 1]
Next, the configuration of the service system according to the first embodiment will be described with reference to FIGS. FIG. 2 is a block diagram illustrating the configuration of the service system according to the first embodiment, and FIGS. 3 and 4 are diagrams for explaining Web pages transmitted from the service provider device to the user device. 5 to 9 are diagrams for explaining the user management database unit in the network operator apparatus.

図2に示すように、実施例1に係るサービスシステムは、利用者装置300によるネットワーク接続を制御するネットワーク事業者装置100と、利用者装置300によるサイトアクセスを制御するサービス事業者装置200とから構成される。以下では、ネットワーク事業者装置100とサービス事業者装置200とを順に説明する。   As illustrated in FIG. 2, the service system according to the first embodiment includes a network operator device 100 that controls network connection by the user device 300 and a service operator device 200 that controls site access by the user device 300. Composed. Below, the network provider apparatus 100 and the service provider apparatus 200 are demonstrated in order.

[ネットワーク事業者装置100]
実施例1におけるネットワーク事業者装置100は、汎用的なコンピュータなどで構成され、特にこの発明に密接に関連するものとしては、図2に示すように、通信制御I/F部110と、記憶部120と、制御部130とを備える。
[Network operator apparatus 100]
The network operator device 100 according to the first embodiment is configured by a general-purpose computer or the like, and as particularly closely related to the present invention, as shown in FIG. 2, a communication control I / F unit 110, a storage unit, 120 and a control unit 130.

通信制御I/F部110は、利用者装置300やサービス事業者装置200との間でやり取りする各種情報に関する通信を制御する。具体的には、利用者装置300からネットワーク接続要求を受信したり、サービス事業者装置200から利用者装置300を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信したりする。   The communication control I / F unit 110 controls communication related to various types of information exchanged with the user device 300 and the service provider device 200. Specifically, a user authentication request for receiving a network connection request from the user device 300 or requesting user authentication of the user device by redirect communication from the service provider device 200 via the user device 300 is issued. To receive.

記憶部120は、制御部130における各種制御に用いられるデータを記憶し、特にこの発明に密接に関連するものとしては、図2に示すように、利用者管理データベース部121と、サービス事業者管理データベース部122とを備える。なお、利用者管理データベース部121は、特許請求の範囲に記載の「利用者情報記憶手段」に対応する。   The storage unit 120 stores data used for various controls in the control unit 130, and particularly as closely related to the present invention, as shown in FIG. 2, a user management database unit 121, service provider management, and the like. A database unit 122. The user management database unit 121 corresponds to “user information storage unit” recited in the claims.

利用者管理データベース部121は、ネットワーク接続が許可される利用者装置300の利用者に関する利用者情報を記憶する。具体的には、利用者管理データベース部121は、ネットワーク接続が許可される利用者装置300の利用者に関する利用者情報を、利用者装置300が接続する回線に関する回線情報と対応付けて記憶し、記憶する利用者情報および回線情報は、後述する認証処理部131、回線情報取得部132、および利用者認証結果部133による処理に利用される。なお、実施例1において、利用者管理データベース部121は、以下に説明するように、利用者アカウントとIPアドレスとを対応づけて記憶し、利用者アカウントと利用者情報とを対応づけて記憶し、利用者アカウントと回線情報とを対応づけて記憶し、利用者アカウントとSP IDとを対応づけて記憶し、RDBMS(Relational DataBase Management System)プログラムなどを稼動させることで、利用者装置300の利用者に関する利用者情報を回線情報と対応付けて記憶するが、この発明はこれに限られるものではなく、利用者情報を回線情報と対応付けて記憶するものであれば、データベースの構築手法はいずれでもよい。   The user management database unit 121 stores user information related to the user of the user device 300 that is permitted to connect to the network. Specifically, the user management database unit 121 stores user information related to the user of the user device 300 that is permitted to connect to the network in association with line information related to the line to which the user device 300 is connected, The stored user information and line information are used for processing by an authentication processing unit 131, a line information acquisition unit 132, and a user authentication result unit 133, which will be described later. In the first embodiment, the user management database unit 121 stores user accounts and IP addresses in association with each other, and stores user accounts and user information in association with each other as described below. The user account and the line information are stored in association with each other, the user account and the SP ID are stored in association with each other, and an RDBMS (Relational DataBase Management System) program or the like is operated to use the user device 300. However, the present invention is not limited to this, and any database construction method can be used as long as the user information is stored in association with the line information. But you can.

例えば、実施例1における利用者管理データベース部121は、図5に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)とIPアドレス(『IPアドレス』の列を参照)とを対応づけて記憶する。ここで、利用者アカウントと対応付けて記憶されるIPアドレスとは、ネットワーク事業者装置100が、後述する認証処理部131において利用者装置300にネットワーク接続応答を送信する際に、利用者装置300に対して、インターネットなどのネットワークに接続するための回線(アクセスネットワーク)へのアクセスパスをPPPoE(Point to Point Protocol over Ethernet(登録商標))などで設定し、利用者装置300に対して払い出したIPアドレスである。利用者管理データベース部121は、認証処理部131において払い出されたIPアドレスを記憶する。   For example, as shown in FIG. 5, the user management database unit 121 according to the first embodiment includes a user account (see “NW user account” column) and an IP address (see “IP address” column). Are stored in association with each other. Here, the IP address stored in association with the user account refers to the user device 300 when the network operator device 100 transmits a network connection response to the user device 300 in the authentication processing unit 131 described later. In response to this, an access path to a line (access network) for connecting to a network such as the Internet is set by PPPoE (Point to Point Protocol over Ethernet (registered trademark)) and paid out to the user device 300. IP address. The user management database unit 121 stores the IP address issued by the authentication processing unit 131.

図5の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と「192.168.x.x」とを対応づけて記憶する。なお、実施例においては、説明の便宜上からIPアドレスを「192.168.x.x」のように特定の数字とアルファベットとを組合せた表記をするが、実際は、ネットワーク事業者装置から払いだされる一般的なIPアドレスであって、特定の数字とアルファベットとの組合せや選択に何ら特別の意味があるものではない。   As shown in the first line of FIG. 5, for example, the user management database unit 121 stores the user accounts “tarou” and “192.168.x.x” in association with each other. In the embodiment, for convenience of explanation, the IP address is described by combining a specific number and alphabet such as “192.168.xx”. It is an IP address, and there is no special meaning to the combination or selection of specific numbers and alphabets.

また、例えば、実施例1における利用者管理データベース部121は、図6に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)と、利用者情報(『契約者名』、『住所(請求書の送付先)』、『クレジットカード番号』、および『通信料の支払い有無』の列を参照)とを対応づけて記憶する。ここで、利用者アカウントと対応付けて記憶される利用者情報とは、ネットワーク事業者装置100が、オフラインで提示された利用者情報を利用者登録したものである。すなわち、実施例1におけるネットワーク事業者装置100は、利用者装置300の利用者についてあらかじめ利用者登録を行っていることを前提としているが、この利用者登録は、運転免許証などの身分証明書とともに利用者によってオフラインで提示された利用者情報を、ネットワーク事業者が身分証明書による利用者の本人確認を行った上で利用者登録した信用性の高い情報である。利用者管理データベース部121は、ネットワーク事業者装置100を操作する操作者などによってネットワーク事業者装置100に入力された利用者情報を、あらかじめ記憶している。   Further, for example, as shown in FIG. 6, the user management database unit 121 according to the first embodiment includes a user account (see the column “NW user account”) and user information (“contractor name”, “Address (Billing address)”, “Credit card number” and “Payment / non-payment of communication charges” columns are stored in association with each other. Here, the user information stored in association with the user account is obtained by registering the user information presented offline by the network operator apparatus 100 as a user. In other words, the network operator device 100 according to the first embodiment is premised on performing user registration in advance for the user of the user device 300. This user registration is performed using an identification card such as a driver's license. At the same time, the user information presented offline by the user is highly reliable information registered by the network operator after confirming the identity of the user by the identification card. The user management database unit 121 stores in advance user information input to the network operator device 100 by an operator who operates the network operator device 100 or the like.

図6の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と、契約者名「特許 太郎」と、住所「東京都・・・・」と、クレジットカード番号「1111-1111-1111-1111」と、通信料の支払い有無「有」とを対応づけて記憶する。なお、実施例においては、利用者情報として、契約者名、住所、クレジットカード番号、および通信料の支払い有無を記憶する場合を説明したが、この発明はこれに限られるものではなく、性別や年齢などの情報をさらに記憶する場合や、通信料の支払い有無を記憶しない場合など、ネットワーク事業者装置およびサービス事業者装置において必要な利用者情報を含む場合であれば、いずれでもよい。   As shown in the first line of FIG. 6, for example, the user management database unit 121 includes a user account “tarou”, a contractor name “patent Taro”, an address “Tokyo,. The card number “1111-1111-1111-1111” and the presence / absence of “payment” of communication fee are stored in association with each other. In the embodiment, the case where the contractor name, the address, the credit card number, and the presence / absence of payment of the communication fee are stored as the user information has been described, but the present invention is not limited to this, Any information may be used as long as it includes user information necessary for the network operator device and the service operator device, such as when information such as age is further stored, or when the payment of communication charges is not stored.

また、例えば、実施例1における利用者管理データベース部121は、図7に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)と、回線情報(『回線の識別子』、『回線の収容位置』、『回線種別』、『回線速度』、および『回線認証情報(パスワードなど)』の列を参照)とを対応づけて記憶する。ここで、利用者アカウントと対応付けて記憶される回線情報とは、ネットワーク事業者装置100が、利用者情報を利用者登録するとともに、ネットワーク事業者において収集された回線情報を登録したものである。すなわち、実施例1におけるネットワーク事業者装置100は、利用者装置300の利用者についてあらかじめ利用者登録を行っていることを前提としているが、この利用者登録の際に(もしくは利用者登録の前後に)、利用者登録された利用者によって操作される利用者装置300の回線情報を、併せて登録している。この回線情報は、ネットワーク事業者装置100を運営するネットワーク事業者によって収集される情報であることから、信用性の高い情報である。利用者管理データベース部121は、ネットワーク事業者装置100を操作する操作者などによってネットワーク事業者装置100に入力された回線情報を、あらかじめ記憶している。   Further, for example, as shown in FIG. 7, the user management database unit 121 according to the first embodiment includes a user account (see the column “NW user account”) and line information (“line identifier”, “line identifier”, “ “Line accommodation position”, “line type”, “line speed”, and “line authentication information (password etc.)” column) are stored in association with each other. Here, the line information stored in association with the user account is information obtained by the network operator apparatus 100 registering the user information and the line information collected by the network operator. . That is, the network operator apparatus 100 according to the first embodiment is premised on performing user registration in advance for the user of the user apparatus 300, but at the time of this user registration (or before and after user registration). In addition, the line information of the user device 300 operated by the registered user is also registered. Since the line information is information collected by the network operator that operates the network operator device 100, the line information is highly reliable information. The user management database unit 121 stores in advance line information input to the network operator device 100 by an operator who operates the network operator device 100 or the like.

図7の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と、回線の識別子「123」と、回線の収容位置「#A500」と、回線種別「光」と、回線速度「100Mbps/100Mbps」と、回線認証情報「******」とを対応づけて記憶する。なお、実施例においては、回線情報として、回線の識別子、回線の収容位置、回線種別、回線速度、および回線認証情報を記憶する場合を説明したが、この発明はこれに限られるものではなく、回線の収容位置を記憶しない場合など、ネットワーク事業者装置およびサービス事業者において必要な回線情報を含む場合であれば、いずれでもよい。また、実施例においては、回線の識別子や回線の収容位置など、説明の便宜上から特定の数字や記号を組み合わせた表記をするが、実際は、ネットワーク事業者装置において規定される情報であり、特定の数字や記号に何ら特別の意味があるものではない。   As shown in the first line of FIG. 7, for example, the user management database unit 121 includes a user account “tarou”, a line identifier “123”, a line accommodation position “# A500”, and a line type “ “Light”, line speed “100 Mbps / 100 Mbps”, and line authentication information “******” are stored in association with each other. In the embodiment, the case where the line identifier, the line accommodation position, the line type, the line speed, and the line authentication information are stored as the line information has been described, but the present invention is not limited to this, Any case may be used as long as it includes the line information necessary for the network provider apparatus and the service provider, such as when the accommodation position of the line is not stored. Also, in the embodiment, notation is combined with specific numbers and symbols for convenience of explanation, such as line identifiers and line accommodation positions, but in actuality, it is information prescribed in the network operator device, Numbers and symbols have no special meaning.

また、例えば、実施例1における利用者管理データベース部121は、図8に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)と、SP ID(『SP ID』の列を参照)とを対応づけて記憶する。ここで、SP IDとは、ネットワーク事業者装置100において、サービス事業者装置200を識別するための識別子のことである。図8の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と、SP ID「1」および「3」とを対応づけて記憶する。ここで、利用者管理データベース部121が、利用者アカウント「tarou」と複数のSP IDとを対応づけて記憶するのは、ひとつの利用者アカウントについて、複数のサービス事業者装置200との間で、アカウントの対応づけを保持することが可能であることを示している。したがって、利用者管理データベース部121が、ひとつの利用者アカウントについて、ひとつのSP IDを対応づけて記憶する場合や、ひとつの利用者アカウントについて、3つ以上の複数のSP IDを対応づけて記憶する場合にも、この発明を同様に適用することができる。   Further, for example, as shown in FIG. 8, the user management database unit 121 according to the first embodiment includes a user account (see “NW user account” column) and an SP ID (“SP ID” column). Reference) is stored in association with each other. Here, the SP ID is an identifier for identifying the service provider apparatus 200 in the network provider apparatus 100. As shown in the first line of FIG. 8, for example, the user management database unit 121 stores a user account “tarou” and SP IDs “1” and “3” in association with each other. Here, the user management database unit 121 stores the user account “tarou” and a plurality of SP IDs in association with each other with respect to a plurality of service provider apparatuses 200 for one user account. , It shows that it is possible to maintain account correspondence. Therefore, when the user management database unit 121 stores one SP ID in association with one user account, or stores three or more SP IDs in association with one user account. In this case, the present invention can be similarly applied.

また、図8の4行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「ichiro」と、SP ID「2」とを対応づけて記憶する。この場合、利用者アカウント「ichiro」によって操作される利用者装置300がサイトアクセスを制御されるサービス事業者装置200は、SP ID「2」で識別されるサービス事業者装置200であることを示している。   Further, as illustrated in the fourth line of FIG. 8, for example, the user management database unit 121 stores the user account “ichiro” and the SP ID “2” in association with each other. In this case, it is indicated that the service provider device 200 whose site access is controlled by the user device 300 operated by the user account “ichiro” is the service provider device 200 identified by the SP ID “2”. ing.

サービス事業者管理データベース部122は、サービス事業者装置200に関する情報を記憶する。具体的には、サービス事業者管理データベース部122は、サービス事業者装置200に関する情報として、SP IDと公開鍵情報(サービス事業者装置200の電子証明書など)とを対応づけて記憶し、記憶するSP IDおよび公開鍵情報は、後述する回線情報取得部132による処理に利用される。ここで、公開鍵情報とは、実施例1においては、ネットワーク事業者装置100とサービス事業者装置200との間で、あらかじめ信頼関係が成立しているものとするので、ネットワーク事業者装置100において、サービス事業者装置200が署名する電子署名が正当であることを検証するための公開鍵情報である。   The service provider management database unit 122 stores information regarding the service provider device 200. Specifically, the service provider management database unit 122 stores SP ID and public key information (such as an electronic certificate of the service provider device 200) in association with each other as information related to the service provider device 200. The SP ID and public key information to be used are used for processing by the line information acquisition unit 132 described later. Here, in the first embodiment, the public key information means that a trust relationship is established in advance between the network operator device 100 and the service operator device 200. This is public key information for verifying that the electronic signature signed by the service provider apparatus 200 is valid.

なお、実施例1においては、図9に示すように、サービス事業者管理データベース部122が公開鍵情報を記憶する場合を説明したが、この発明はこれに限られるものではなく、例えば、信頼される第三者機関によって発行される公開鍵情報を用いて電子署名が正当であることを検証する手法では、サービス事業者管理データベース部122が公開鍵情報を記憶する必要はない。また、実施例1において、サービス事業者管理データベース部122は、RDBMSプログラムなどを稼動させることで、SP IDと公開鍵情報とを対応づけて記憶するが、この発明はこれに限られるものではなく、サービス事業者装置200を識別する識別子を記憶するものであれば、データベースの構築手法はいずれでもよい。   In the first embodiment, as shown in FIG. 9, the case where the service provider management database unit 122 stores public key information has been described. However, the present invention is not limited to this, and for example, trusted. In the method of verifying that the electronic signature is valid using the public key information issued by the third party organization, the service provider management database unit 122 does not need to store the public key information. In the first embodiment, the service provider management database unit 122 stores the SP ID and the public key information in association with each other by operating the RDBMS program. However, the present invention is not limited to this. As long as an identifier for identifying the service provider device 200 is stored, any database construction method may be used.

制御部130は、ネットワーク事業者装置100における各種制御を行い、特にこの発明に密接に関連するものとしては、図2に示すように、認証処理部131と、回線情報取得部132と、利用者認証結果送信部133とを備える。なお、回線情報取得部132は、特許請求の範囲に記載の「回線情報取得手段」に対応し、利用者認証結果送信部133は、特許請求の範囲に記載の「利用者認証結果送信手段」に対応する。   The control unit 130 performs various controls in the network operator apparatus 100, and particularly those closely related to the present invention include an authentication processing unit 131, a line information acquisition unit 132, and a user as shown in FIG. An authentication result transmission unit 133. The line information acquisition unit 132 corresponds to the “line information acquisition unit” described in the claims, and the user authentication result transmission unit 133 corresponds to the “user authentication result transmission unit” described in the claims. Corresponding to

認証処理部131は、利用者装置300の認証処理を行い、利用者装置300によるネットワーク接続を制御する。具体的には、認証処理部131は、利用者装置300からネットワーク接続要求を回線認証情報とともに受信し、受信した回線認証情報と利用者管理データベース部121に記憶される回線認証情報(例えば、利用者アカウント、パスワードなど)とを照合することで利用者装置を認証し、認証結果に応じてネットワーク接続応答を利用者装置300に送信するなどする。   The authentication processing unit 131 performs authentication processing of the user device 300 and controls network connection by the user device 300. Specifically, the authentication processing unit 131 receives a network connection request from the user device 300 together with the line authentication information, and receives the line authentication information received and the line authentication information stored in the user management database unit 121 (for example, use The user device is authenticated by checking the user account, password, etc., and a network connection response is transmitted to the user device 300 according to the authentication result.

また、認証処理部131は、利用者装置300にネットワーク接続応答を送信する際に、利用者装置300に対して、インターネットに接続するための回線へのアクセスパスをPPPoEなどで設定し、利用者装置300に対してIPアドレスを払い出し、払い出したIPアドレスを、利用者装置300に送信するとともに、利用者管理データベース部121に記憶させる。例えば、認証処理部131は、利用者装置300の利用者アカウント「tarou」にネットワーク接続応答を送信する際に、利用者装置300に対してIPアドレス「192.168.x.x」を払い出す。   Further, when transmitting a network connection response to the user apparatus 300, the authentication processing unit 131 sets an access path to a line for connecting to the Internet to the user apparatus 300 using PPPoE or the like. An IP address is issued to the device 300, and the issued IP address is transmitted to the user device 300 and stored in the user management database unit 121. For example, the authentication processing unit 131 pays out the IP address “192.168.x.x” to the user device 300 when transmitting a network connection response to the user account “tarou” of the user device 300.

回線情報取得部132は、利用者装置300が接続されている回線に関する回線情報を取得する。具体的には、回線情報取得部132は、サービス事業者装置200から利用者装置300を経由するリダイレクト通信によって利用者装置300の利用者情報の取得を要求する利用者情報取得要求を受信した場合に、利用者装置300が接続されている回線に関する回線情報を取得し、取得した回線情報を、利用者認証結果送信部133に送信する。   The line information acquisition unit 132 acquires line information regarding the line to which the user device 300 is connected. Specifically, when the line information acquisition unit 132 receives a user information acquisition request for requesting acquisition of user information of the user device 300 from the service provider device 200 through redirect communication via the user device 300. In addition, line information related to the line to which the user apparatus 300 is connected is acquired, and the acquired line information is transmitted to the user authentication result transmission unit 133.

例えば、回線情報取得部132は、利用者装置300が接続する回線を特定することで取得された回線情報に対応づけられた回線情報を、利用者管理データベース部121から取得する。すなわち、回線情報取得部132は、利用者装置300が接続する回線を特定した結果、利用者装置300が接続する回線の識別子が「123」であることが特定された場合に、利用者管理データベース部121から、回線情報として、例えば、回線の識別子「123」、回線の収容位置「#A500」、回線種別「光」、回線速度「100Mbps/100Mbps」などを取得する。なお、実施例1においては、利用者管理データベース部121から取得した回線情報をサービス事業者装置200に送信する手法を説明したが、この発明はこれに限られるものではなく、利用者装置300が接続する回線を特定することで取得された回線情報をサービス事業者装置200に送信する手法にも、この発明を同様に適用することができる。   For example, the line information acquisition unit 132 acquires line information associated with the line information acquired by specifying the line to which the user device 300 is connected from the user management database unit 121. That is, when the line information acquisition unit 132 specifies the line to which the user device 300 is connected, and the identifier of the line to which the user device 300 is connected is “123”, the user management database As the line information, for example, the line identifier “123”, the line accommodation position “# A500”, the line type “light”, the line speed “100 Mbps / 100 Mbps”, and the like are acquired from the unit 121. In the first embodiment, the method of transmitting the line information acquired from the user management database unit 121 to the service provider apparatus 200 has been described, but the present invention is not limited to this, and the user apparatus 300 The present invention can be similarly applied to a method of transmitting line information acquired by specifying a line to be connected to the service provider apparatus 200.

利用者認証結果送信部133は、回線情報取得部132によって取得された回線情報に対応付けられた利用者情報を利用者管理データベース部121から取得し、当該利用者情報を用いて利用者認証を行って得られる利用者認証結果を、利用者装置300を経由するリダイレクト通信によってサービス事業者装置200に送信する。具体的に例を挙げれば、回線情報取得部132により回線識別子「123」が取得され、当該回線識別子「123」に対応する回線情報「tarou、123、#A500、光、100Mbps/100Mbps、******」が利用者管理データベース部121から取得されると、利用者認証結果送信部133は、回線情報取得部132によって取得された回線情報(回線識別子:123)と、当該回線情報に対応付けられた利用者情報(tarou、123、#A500、光、100Mbps/100Mbps、******)が利用者管理データベース部121に記憶されていることを根拠にし、正当な利用者装置300であるという認証結果(認証通過)を、利用者装置300を経由するリダイレクト通信によってサービス事業者装置200に送信する。   The user authentication result transmission unit 133 acquires user information associated with the line information acquired by the line information acquisition unit 132 from the user management database unit 121, and performs user authentication using the user information. The user authentication result obtained is transmitted to the service provider apparatus 200 by redirect communication via the user apparatus 300. As a specific example, the line information “123” is acquired by the line information acquisition unit 132, and the line information “tarou, 123, # A500, optical, 100 Mbps / 100 Mbps, ** corresponding to the line identifier“ 123 ”. **** "is acquired from the user management database unit 121, the user authentication result transmission unit 133 includes the line information (line identifier: 123) acquired by the line information acquisition unit 132 and the line information. Based on the fact that the associated user information (tarou, 123, # A500, light, 100 Mbps / 100 Mbps, ******) is stored in the user management database unit 121, a valid user device The authentication result (authentication pass) of 300 is transmitted to the service provider apparatus 200 by redirect communication via the user apparatus 300.

一方、回線情報取得部132により回線識別子「123」が取得され、当該回線識別子「123」に対応する回線情報「tarou、123、#A500、光、100Mbps/100Mbps、******」が利用者管理データベース部121から取得できない場合、利用者認証結果送信部133は、当該回線情報に対応付けられた利用者情報が利用者管理データベース部121に記憶されていないことを根拠にし、不正な利用者装置300であるという認証結果(認証拒否)を、利用者装置300を経由するリダイレクト通信によってサービス事業者装置200に送信する。   On the other hand, the line identifier “123” is acquired by the line information acquisition unit 132, and the line information “tarou, 123, # A500, optical, 100 Mbps / 100 Mbps, ******” corresponding to the line identifier “123” is obtained. If the user authentication database cannot be obtained from the user management database unit 121, the user authentication result transmission unit 133 is illegal based on the fact that the user information associated with the line information is not stored in the user management database unit 121. An authentication result (authentication refusal) indicating that the device is the user device 300 is transmitted to the service provider device 200 by redirect communication via the user device 300.

[サービス事業者装置200]
実施例1におけるサービス事業者装置200は、汎用的なコンピュータなどで構成され、特にこの発明に密接に関連するものとしては、図2に示すように、通信制御I/F部210と、記憶部220と、制御部230とを備える。
[Service provider device 200]
The service provider apparatus 200 according to the first embodiment is configured by a general-purpose computer or the like, and as particularly closely related to the present invention, as shown in FIG. 2, a communication control I / F unit 210, a storage unit, 220 and a control unit 230.

記憶部220は、制御部230による各種処理に必要なデータおよびプログラムを格納する。具体的に例を挙げれば、通信制御I/F部31により受信された利用者認証結果やサイトアクセス要求を一時的に記憶したり、SPサイトアクセス応答部231により送信されるサービス事業者装置200が提供するWeb画面などを記憶する。   The storage unit 220 stores data and programs necessary for various processes performed by the control unit 230. To give a specific example, the service provider apparatus 200 that temporarily stores the user authentication result and site access request received by the communication control I / F unit 31 or is transmitted by the SP site access response unit 231. Stores the web screen provided by.

制御部230は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、特に本発明に密接に関連するものとして、利用者認証要求送信部232と、アクセス制御部233とを備え、利用者によって種々の処理を実行する。なお、利用者認証要求送信部232は、特許請求の範囲に記載の「利用者認証要求送信手段」に対応し、アクセス制御部233は、同様に、「アクセス制御手段」に対応する。   The control unit 230 has a control program such as an OS (Operating System), a program that defines various processing procedures, and an internal memory for storing necessary data, and is particularly used as closely related to the present invention. A user authentication request transmission unit 232 and an access control unit 233 are provided, and various processes are executed by the user. The user authentication request transmission unit 232 corresponds to “user authentication request transmission unit” described in the claims, and the access control unit 233 similarly corresponds to “access control unit”.

利用者認証要求送信部232は、利用者装置300からシングルサインオンによるサイトアクセスの要求を受け付けた場合に、当該利用者装置300を経由するリダイレクト通信によって、当該利用者装置300の利用者認証を要求する利用者認証要求をネットワーク事業者装置100に送信する。具体的に例を挙げれば、図3に示したように、利用者装置において、シングルサインオン要求を促すWebページのアイコン(「シングルサインオン要求」など)がワンクリックされることによって、シングルサインオン要求を受信すると、利用者認証要求送信部232は、当該利用者装置300を経由するリダイレクト通信によって、当該利用者装置300の利用者認証を要求する利用者認証要求をネットワーク事業者装置100に送信する。   When receiving a request for site access by single sign-on from the user device 300, the user authentication request transmission unit 232 performs user authentication of the user device 300 by redirect communication via the user device 300. The requested user authentication request is transmitted to the network operator apparatus 100. As a specific example, as shown in FIG. 3, a single sign can be obtained by one-clicking a web page icon (such as “single sign on request”) that prompts a single sign on request on the user device. When receiving the ON request, the user authentication request transmission unit 232 sends a user authentication request for requesting user authentication of the user device 300 to the network operator device 100 by redirect communication via the user device 300. Send.

アクセス制御部233は、ネットワーク事業者装置100から利用者装置300を経由するリダイレクト通信によって当該利用者装置300の利用者認証結果を受信した場合に、当該利用者認証結果を用いてサイトアクセスを制御する。具体的に例を挙げると、ネットワーク事業者装置100から利用者装置300を経由するリダイレクト通信によって、認証通過(認証許可)を受信すると、アクセス制御部233は、図4に示すような、当該サイトアクセスに対応するアプリケーションサービスの利用を利用者装置300に対して許可する。一方、認証拒否を受信すると、アクセス制御部233は、当該サイトアクセスに対応するアプリケーションサービスの利用を利用者装置300に対して拒否する。   When the access control unit 233 receives the user authentication result of the user device 300 from the network operator device 100 by the redirect communication via the user device 300, the access control unit 233 controls the site access using the user authentication result. To do. To give a specific example, when the authentication pass (authentication permission) is received from the network operator device 100 by the redirect communication via the user device 300, the access control unit 233 displays the site as shown in FIG. The user apparatus 300 is permitted to use the application service corresponding to the access. On the other hand, when receiving the authentication rejection, the access control unit 233 rejects the user device 300 from using the application service corresponding to the site access.

[実施例1に係るサービスシステムによる処理の手順]
次に、図10を用いて、実施例1に係るサービスシステムによる処理の手順を説明する。図10は、実施例1に係るサービスシステムによる処理の手順を示すシーケンス図である。ここで、実施例1におけるネットワーク事業者装置100は、利用者装置300の利用者について、あらかじめ利用者登録しており、利用者装置300のネットワーク接続を許可しているものとする。一方、実施例1におけるサービス事業者装置200は、利用者装置300の利用者について、利用者登録をしていないものとする。すなわち、利用者装置300は、サービス事業者装置200が提供するアプリケーションサービスの提供を受けることができない状態にある。以下では、利用者装置300がネットワークへの接続を行う処理(図10の(1)を参照)と、利用者装置300がSPサイトへアクセスする処理(図10の(2)を参照)と、ネットワーク事業者装置100が利用者装置300を認証する利用者認証処理(図10の(3)を参照)とについて、順に説明する。
[Procedure for Processing by Service System According to First Embodiment]
Next, a processing procedure by the service system according to the first embodiment will be described with reference to FIG. FIG. 10 is a sequence diagram illustrating a processing procedure performed by the service system according to the first embodiment. Here, it is assumed that the network operator device 100 according to the first embodiment has previously registered the user of the user device 300 and permits the network connection of the user device 300. On the other hand, it is assumed that the service provider device 200 according to the first embodiment does not perform user registration for the user of the user device 300. That is, the user device 300 is in a state where it cannot receive the application service provided by the service provider device 200. In the following, a process in which the user device 300 connects to the network (see (1) in FIG. 10), a process in which the user device 300 accesses the SP site (see (2) in FIG. 10), User authentication processing (see (3) in FIG. 10) in which the network operator device 100 authenticates the user device 300 will be described in order.

[(1)ネットワークへの接続]
まず、ネットワーク事業者装置100における認証処理部131は、利用者装置300から、ネットワーク接続要求を受信する(ステップS1)。具体的には、ネットワーク事業者装置100における認証処理部131は、利用者装置300から、ネットワーク接続要求として、回線認証情報(例えば、利用者アカウント、パスワードなど)を受信する。
[(1) Network connection]
First, the authentication processing unit 131 in the network operator device 100 receives a network connection request from the user device 300 (step S1). Specifically, the authentication processing unit 131 in the network operator device 100 receives line authentication information (for example, a user account, a password, etc.) from the user device 300 as a network connection request.

次に、ネットワーク事業者装置100における認証処理部131は、利用者装置300の認証処理を行う(ステップS2)。具体的には、ネットワーク事業者装置100における認証処理部131は、利用者装置300から受信した回線認証情報と、利用者管理データベース部121に管理する回線認証情報(例えば、利用者アカウント、パスワードなど)とを照合し、利用者装置300を認証する。   Next, the authentication processing unit 131 in the network operator device 100 performs authentication processing of the user device 300 (step S2). Specifically, the authentication processing unit 131 in the network operator device 100 receives the line authentication information received from the user device 300 and the line authentication information managed by the user management database unit 121 (for example, user account, password, etc.). ) And the user device 300 is authenticated.

そして、ネットワーク事業者装置100における認証処理部131は、利用者装置300に、ネットワーク接続応答を送信する(ステップS3)。具体的には、ネットワーク事業者装置100における認証処理部131は、利用者装置300に対して、インターネットに接続するための回線(アクセスネットワーク)へのアクセスパスをPPPoE(Point to Point Protocol over Ethernet(登録商標))などで設定し、IPアドレスを払い出し、利用者装置300に送信する。また、ネットワーク事業者装置100における認証処理部131は、利用者装置300に対して払いだしたIPアドレスを、利用者管理データベース部121に格納する。   Then, the authentication processing unit 131 in the network operator device 100 transmits a network connection response to the user device 300 (step S3). Specifically, the authentication processing unit 131 in the network operator device 100 gives the user device 300 an access path to a line (access network) for connecting to the Internet using PPPoE (Point to Point Protocol over Ethernet). Registered IP)), the IP address is paid out, and transmitted to the user apparatus 300. Further, the authentication processing unit 131 in the network operator device 100 stores the IP address paid out to the user device 300 in the user management database unit 121.

[(2)SPサイトへアクセス]
続いて、利用者装置300は、インターネットに接続し、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300から、SPサイトアクセス要求を受信する(ステップS4)。具体的には、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300から、SPサイトアクセス要求として、SPサイトのURL(Uniform Resource Locator)などを受信する。
[(2) Access to SP site]
Subsequently, the user device 300 connects to the Internet, and the SP site access response unit 231 in the service provider device 200 receives an SP site access request from the user device 300 (step S4). Specifically, the SP site access response unit 231 in the service provider device 200 receives an SP site URL (Uniform Resource Locator) or the like from the user device 300 as an SP site access request.

すると、サービス事業者装置200におけるSPサイトアクセス応答部231は、Webページを取得する(ステップS5)。具体的には、サービス事業者装置200におけるSPサイトアクセス応答部231は、受信したURLにより、利用者装置300に対してシングルサインオン要求を促すWebページを取得する。   Then, the SP site access response unit 231 in the service provider device 200 acquires a Web page (step S5). Specifically, the SP site access response unit 231 in the service provider device 200 acquires a Web page that prompts the user device 300 for a single sign-on request based on the received URL.

そして、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300に対して、SPサイトアクセス応答を送信する(ステップS6)。具体的には、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300に対して、シングルサインオン要求を促すWebページを送信する。   Then, the SP site access response unit 231 in the service provider device 200 transmits an SP site access response to the user device 300 (step S6). Specifically, the SP site access response unit 231 in the service provider device 200 transmits a Web page that prompts the user device 300 to request a single sign-on.

[(3)利用者認証]
次に、利用者装置300は、サービス事業者装置200に対してNW機能を利用したシングルサインオン要求を送信する(ステップS7)。そして、サービス事業者装置200における利用者認証要求送信部232は、当該利用者装置300の利用者認証を要求する利用者認証要求をネットワーク事業者装置100に送信する(ステップS8)。具体的には、サービス事業者装置200における利用者認証要求送信部232は、利用者装置300を経由するリダイレクト通信によって、利用者認証要求を、SP IDと電子署名とともに、ネットワーク事業者装置100に送信する。
[(3) User authentication]
Next, the user apparatus 300 transmits a single sign-on request using the NW function to the service provider apparatus 200 (step S7). Then, the user authentication request transmission unit 232 in the service provider apparatus 200 transmits a user authentication request for requesting user authentication of the user apparatus 300 to the network provider apparatus 100 (step S8). Specifically, the user authentication request transmission unit 232 in the service provider device 200 sends the user authentication request to the network operator device 100 together with the SP ID and the electronic signature by redirect communication via the user device 300. Send.

すると、ネットワーク事業者装置100における回線情報取得部132は、利用者装置300が接続されている回線を特定し、回線情報を取得する(ステップS9)。   Then, the line information acquisition unit 132 in the network operator apparatus 100 identifies the line to which the user apparatus 300 is connected, and acquires line information (step S9).

次に、ネットワーク事業者装置100における利用者認証結果送信部133は、回線を特定することで取得された回線情報に対応づけられた利用者情報を利用者管理データベース部121から取得し、利用者認証を行い(ステップS10)、認証結果をサービス事業者装置200へ送信する(ステップS11)。具体的には、ネットワーク事業者装置100における利用者認証結果送信部133は、当該回線情報に対応付けられた利用者情報が利用者管理データベース部121に記憶されていることを根拠に、当該利用者装置300を正当な利用者装置と判定し、認証結果として「認証通過(許可)」をサービス事業者装置200に送信する。   Next, the user authentication result transmission unit 133 in the network operator device 100 acquires user information associated with the line information acquired by specifying the line from the user management database unit 121, and the user Authentication is performed (step S10), and the authentication result is transmitted to the service provider apparatus 200 (step S11). Specifically, the user authentication result transmission unit 133 in the network operator device 100 uses the user information associated with the line information in the user management database unit 121 based on the use. The user device 300 is determined to be a valid user device, and “authentication passed (permitted)” is transmitted to the service provider device 200 as an authentication result.

そして、サービス事業者装置200におけるアクセス制御部233は、受信した認証結果に基づいて、サイトアクセスを制御する(ステップS12)。具体的には、サービス事業者装置200におけるアクセス制御部233は、認証通過(許可)を受信すると、利用者装置300のサイトアクセスを許可し、認証拒否を受信すると、サイトアクセスを拒否する。   And the access control part 233 in the service provider apparatus 200 controls site access based on the received authentication result (step S12). Specifically, the access control unit 233 in the service provider device 200 permits the site access of the user device 300 when receiving the authentication pass (permission), and rejects the site access when receiving the authentication rejection.

なお、実施例1においては、サービス事業者装置200における利用者認証要求送信部232は、利用者装置300を経由するリダイレクト通信によって、利用者認証要求を、SP IDと電子署名とともに、ネットワーク事業者装置100に送信する場合について説明したが、本発明はこれに限定されるわけではなく、利用者認証要求とSP IDのみを送信してもよい。   In the first embodiment, the user authentication request transmission unit 232 in the service provider device 200 sends a user authentication request to the network operator along with the SP ID and the electronic signature by redirect communication via the user device 300. Although the case of transmitting to the apparatus 100 has been described, the present invention is not limited to this, and only the user authentication request and the SP ID may be transmitted.

[実施例1の効果]
上述したように、実施例1によれば、ネットワーク事業者装置は、ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶し、サービス事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証得要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得し、取得された回線情報に対応付けられた利用者情報を取得し、当該利用者情報を用いて利用者認証を行って得られる利用者認証結果を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信し、サービス事業者装置は、利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求をネットワーク事業者装置に送信し、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いてサイトアクセスを制御するので、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することが可能である。
[Effect of Example 1]
As described above, according to the first embodiment, the network operator device associates the user information related to the user of the user device permitted to connect to the network with the line information related to the line to which the user device is connected. And when the user authentication acquisition request for requesting user authentication of the user device is received from the service provider device by redirect communication via the user device, the line to which the user device is connected The user information associated with the acquired line information, and the user authentication result obtained by performing user authentication using the user information via the user device To the service provider device through the redirect communication, and when the service provider device accepts a site access request from the user device, the user A user authentication request for requesting user authentication of the user device is transmitted to the network operator device by redirect communication via a device, and the user device is transmitted from the network operator device by redirect communication via the user device. When the user authentication result is received, the site access is controlled using the user authentication result, so that it is possible to realize highly reliable site access control in the service provider apparatus.

また、実施例1によれば、ネットワーク事業者にて認証処理を行う結果、サービス事業者装置で認証処理を行う必要がなく、サービス事業者装置の処理負荷を軽減することが可能である。さらに、サービス事業者装置で利用者認証のために利用者情報(例えば、契約情報など)を管理する必要がないので、サービス事業者装置における利用者情報管理に関するコストや処理負荷を削減することが可能である。   Further, according to the first embodiment, as a result of performing the authentication process by the network operator, it is not necessary to perform the authentication process by the service provider device, and the processing load on the service provider device can be reduced. Furthermore, since it is not necessary to manage user information (for example, contract information) for user authentication in the service provider device, it is possible to reduce costs and processing load related to user information management in the service provider device. Is possible.

また、実施例1によれば、サービス事業者装置から利用者認証要求に加えて、当該サービス事業者装置が署名する電子署名を受信した場合に、当該電子署名が正当であることを条件に、利用者認証結果を当該サービス事業者装置に送信し、利用者認証要求に加えて、電子署名をネットワーク事業者装置に送信するので、サービス事業者装置が利用者認証要求とともに電子署名を送信しない場合に比べて、サービス事業者装置において、信用性の高いサイトアクセス制御をより安全に実現することが可能になる。例えば、電子署名を送信しない場合、本当に正当なサービス事業者が送信した利用者認証要求であるか否かを判定することができないが、電子署名を送信した場合では、正当なサービス事業者が送信した利用者認証要求であるか否かを判定することができる。   Further, according to the first embodiment, in addition to the user authentication request from the service provider device, when the electronic signature signed by the service provider device is received, on condition that the electronic signature is valid, When the user authentication result is transmitted to the service provider device and the electronic signature is transmitted to the network operator device in addition to the user authentication request, the service provider device does not transmit the electronic signature together with the user authentication request. Compared to the above, in the service provider apparatus, it is possible to more securely realize highly reliable site access control. For example, if an electronic signature is not sent, it cannot be determined whether or not the user authentication request is actually sent by a legitimate service provider. However, if an electronic signature is sent, the legitimate service provider sends it. It can be determined whether or not the user authentication request has been made.

ところで、実施例1では、利用者装置が、サービス事業者装置が提供するサービスを利用する場合についてのみ説明したが、本発明はこれに限定されるものではなく、サービス事業者装置が複数のサービスを提供するものであって、各サービスの新規契約や追加契約をする場合にも、本発明を適用してもよい。   By the way, in the first embodiment, only the case where the user apparatus uses the service provided by the service provider apparatus has been described. However, the present invention is not limited to this, and the service provider apparatus includes a plurality of services. The present invention may also be applied when a new contract or an additional contract is made for each service.

そこで、実施例2では、利用者装置が、サービス事業者装置が提供するサービスについて新規契約や追加契約をする場合について、図11と図12を用いて説明する。図11は、実施例2に係るサービスシステムの概要および特徴を説明するための図であり、図12は、実施例2に係るネットワーク事業者装置における利用者管理データベース部を説明するための図である。   Therefore, in the second embodiment, a case where the user device makes a new contract or an additional contract for the service provided by the service provider device will be described with reference to FIGS. 11 and 12. FIG. 11 is a diagram for explaining the outline and features of the service system according to the second embodiment, and FIG. 12 is a diagram for explaining the user management database unit in the network operator device according to the second embodiment. is there.

図11に示すように、実施例2におけるサービスシステムは、実施例1と同様、ネットワーク事業者装置と、サービス事業者装置と、利用者装置とから構成され、また、利用者装置とネットワーク事業者装置とは、アクセスネットワークを介して接続され、ネットワーク事業者装置とサービス事業者装置とは、インターネットなどのネットワークを介して接続される。   As shown in FIG. 11, the service system according to the second embodiment includes a network operator device, a service operator device, and a user device, as in the first embodiment, and the user device and the network operator. The device is connected via an access network, and the network operator device and the service operator device are connected via a network such as the Internet.

そして、実施例2におけるネットワーク事業者装置は、実施例1と同様に、利用者情報を回線情報と対応づけて、利用者管理データベース部(利用者管理DB)に記憶しており、さらに、図12に示すように、契約管理情報を『利用者装置を一意に識別する「NW利用者アカウント」と、サービス事業者装置を一意に識別する「SP ID」と、契約しているサービス名を示す「サービス名」』として「tarou、3、メール・音楽・映像」や「hana、3、メール」などを記憶する点が実施例1とは異なる。   The network operator apparatus in the second embodiment stores the user information in association with the line information in the user management database unit (user management DB) as in the first embodiment. 12, the contract management information includes “NW user account that uniquely identifies the user device”, “SP ID” that uniquely identifies the service provider device, and the name of the contracted service. It differs from the first embodiment in that “tarou, 3, mail / music / video”, “hana, 3, mail”, etc. are stored as “service name”.

このような構成において、実施例1と同様に、利用者装置は、ネットワーク事業者装置に認証されてインターネットに接続し、サービス事業者装置は、利用者装置からSPサイトアクセス要求を受信すると(図11の(1)〜(4)参照)、SPサイトアクセス応答を送信し、利用者装置は、SPのWebページを取得する(図11の(5)参照)。   In such a configuration, as in the first embodiment, the user device is authenticated by the network operator device and connected to the Internet, and the service operator device receives the SP site access request from the user device (FIG. 11 (1) to (4)), the SP site access response is transmitted, and the user apparatus acquires the SP Web page (see (5) in FIG. 11).

次に、サービス事業者装置は、利用者装置からサービス追加要求を受信する(図11の(6)を参照)。具体的には、利用者装置において、サービス追加要求を促すWebページのアイコン(「サービス追加要求」など)がワンクリックされることなどによって、サービス追加要求を受信する。   Next, the service provider device receives a service addition request from the user device (see (6) in FIG. 11). Specifically, the user device receives the service addition request by one-clicking on a web page icon (such as “service addition request”) prompting the service addition request.

そして、サービス事業者装置は、利用者装置の利用者認証を要求する利用者認証要求とともに、利用者装置とサービス事業者装置との間における契約管理を要求する契約管理要求を、利用者装置を経由するリダイレクト通信によって、ネットワーク事業者装置に送信する(図11の(7)および(8)参照)。具体的に例を挙げれば、サービス事業者装置は、利用者認証要求とともに、契約管理要求として『契約の処理を示す「処理種別」と処理対象となる「サービス名」をネットワーク事業者装置に送信する。契約管理要求の例を挙げれば、「契約追加、地図検索サービス」などである。   Then, the service provider device sends a contract management request for requesting contract management between the user device and the service provider device together with a user authentication request for requesting user authentication of the user device to the user device. The data is transmitted to the network operator device by the redirect communication that passes (see (7) and (8) in FIG. 11). To give a specific example, the service provider device sends a “process type” indicating contract processing and a “service name” to be processed to the network provider device as a contract management request together with a user authentication request. To do. An example of a contract management request is “contract addition, map search service”.

続いて、利用者認証要求とともに、契約管理要求を受信したネットワーク事業者装置は、実施例1と同様に、利用者装置が接続されている回線に関する回線情報を取得して(図11の(9)参照)、利用者認証を行い(図11の(10)参照)、認証結果が認証通過の場合に、受信した契約管理要求に基づいて利用者管理DBを更新するとともに(図11の(11)参照)、認証結果(認証通過)をサービス事業者装置に送信する(図11の(12)参照)。   Subsequently, the network operator apparatus that has received the contract management request together with the user authentication request acquires line information related to the line to which the user apparatus is connected ((9 in FIG. 11). )), User authentication is performed (see (10) in FIG. 11), and when the authentication result is passed, the user management DB is updated based on the received contract management request ((11 in FIG. 11). )) And the authentication result (authentication pass) is transmitted to the service provider device (see (12) in FIG. 11).

具体的に説明すると、利用者認証の結果が「認証通過(成功)」の場合に、受信した契約管理要求が「処理種別=追加、サービス名=地図検索サービス」だとすると、取得した回線情報に対応する利用者管理DBに「地図検索サービス」を追加するとともに、認証結果(認証通過)をサービス事業者装置に送信する。一方、利用者認証の結果が「認証拒否(失敗)」の場合に、受信した契約管理要求が「処理種別=追加、サービス名=地図検索サービス」だとすると、利用者管理DBへの追加を行わず、認証結果(認証拒否)をサービス事業者装置に送信する。   Specifically, if the result of user authentication is “passed authentication (success)” and the received contract management request is “processing type = add, service name = map search service”, it corresponds to the acquired line information. The “map search service” is added to the user management DB, and the authentication result (authentication pass) is transmitted to the service provider device. On the other hand, if the result of user authentication is “authentication refusal (failure)” and the received contract management request is “processing type = add, service name = map search service”, no addition to the user management DB is performed. The authentication result (authentication refusal) is transmitted to the service provider apparatus.

そして、実施例1と同様に、サービス事業者装置は、受信した認証結果に基づいて、アクセス制御を行う(図11の(13)参照)。具体的には、認証通過(認証許可)を受信すると、サービス事業者装置は、当該サイトアクセスに対応するアプリケーションサービスの利用を利用者装置に対して許可する。一方、認証拒否を受信すると、サービス事業者装置は、当該サイトアクセスに対応するアプリケーションサービスの利用を利用者装置に対して拒否する。   Then, as in the first embodiment, the service provider device performs access control based on the received authentication result (see (13) in FIG. 11). Specifically, when the authentication pass (authentication permission) is received, the service provider device permits the user device to use the application service corresponding to the site access. On the other hand, when receiving the authentication refusal, the service provider device rejects the user device from using the application service corresponding to the site access.

このように、実施例2によれば、利用者装置の利用者認証を要求する利用者認証要求とともに、利用者装置とサービス事業者装置との間における契約管理を要求する契約管理要求をさらに送信し、サービス事業者装置から契約管理要求を受信した場合には、利用者情報に対応付けて、利用者装置とサービス事業者装置との間における契約に関する契約情報を記憶するので、新規契約や追加契約を行うために、別の機能や記憶部を用意する必要なく、利用者認証とともに実施することができる結果、サービス事業者装置における処理負荷をさらに軽減することが可能であるとともに、サービス事業者装置における利用者情報管理に関するコストや処理負荷をさらに削減することが可能である。   Thus, according to the second embodiment, a contract management request for requesting contract management between the user device and the service provider device is further transmitted together with a user authentication request for requesting user authentication of the user device. When a contract management request is received from the service provider device, the contract information related to the contract between the user device and the service provider device is stored in association with the user information. As a result of being able to implement it together with user authentication without having to prepare another function or storage unit for making a contract, it is possible to further reduce the processing load on the service provider device, and to It is possible to further reduce the cost and processing load related to user information management in the apparatus.

さて、これまで本発明の実施例1〜2では、利用者認証について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に示すように、(1)回線情報も用いた利用者認証、(2)有効期限付きで利用者認証結果を取得、(3)電子署名付きで利用者認証結果を取得、にそれぞれ区分けして異なる実施例を説明する。   In the first and second embodiments of the present invention, user authentication has been described so far. However, the present invention may be implemented in various different forms other than the above-described embodiments. Therefore, as shown below, (1) user authentication using line information, (2) obtaining a user authentication result with an expiration date, and (3) obtaining a user authentication result with an electronic signature, respectively. Different embodiments will be described.

(1)回線情報も用いた利用者認証
例えば、実施例1と2では、取得された回線情報に対応付けられた利用者情報を用いて利用者認証を行う場合について説明したが、本発明はこれに限定されるものではなく、利用者認証情報に加えて、回線情報を用いて利用者認証を行ってもよい。
(1) User Authentication Using Line Information For example, in the first and second embodiments, the case where user authentication is performed using user information associated with acquired line information has been described. The present invention is not limited to this, and user authentication may be performed using line information in addition to user authentication information.

具体的に図2を用いて説明すると、具体的に例を挙げれば、回線情報取得部132により回線識別子「123」が取得され、当該回線識別子「123」に対応する回線情報「tarou、123、#A500、光、100Mbps/100Mbps、******」が利用者管理データベース部121から取得されると、利用者認証結果送信部133は、回線情報取得部132によって取得された回線情報(回線識別子:123)と、当該回線情報に対応付けられた利用者情報(tarou、123、#A500、光、100Mbps/100Mbps、******)が利用者管理データベース部121に記憶されていることを根拠にし、正当な利用者装置300であるという利用者認証を行ったが、さらに、取得した回線情報「tarou、123、#A500、光、100Mbps/100Mbps、******」を用いることで、特定できる利用者装置が接続する場所や回線速度などを利用者認証に用いてもよい。   Specifically, referring to FIG. 2, for example, the line information “123” is acquired by the line information acquisition unit 132, and the line information “tarou, 123, When “# A500, HIKARI, 100 Mbps / 100 Mbps, ******” is acquired from the user management database unit 121, the user authentication result transmission unit 133 transmits the line information acquired by the line information acquisition unit 132 ( Line identifier: 123) and user information (tarou, 123, # A500, light, 100Mbps / 100Mbps, ******) associated with the line information are stored in the user management database unit 121. Based on the fact that the user is authenticated as a legitimate user device 300, the acquired line information “tarou, 123, # A500, Hikari, 100Mbps / 100Mbps, ******” Using the location and line speed of the user device that can be identified It may be used for authentication.

これにより、例えば、利用者装置が接続する場所や回線速度によってはサイトアクセスを許可/拒否を決定し、あるいは、場所や回線速度に応じて提供するサービスを選択することなど、サービス事業者装置において、信用性の高いサイトアクセス制御を高度に実現することが可能になる。具体的に例を挙げて説明すると、回線情報によって特定されるネットワークへの接続場所が、「自宅」以外の場所の場合には、オークションサービスの提供を許可しないことや、回線情報によって特定される回線速度が高速な場合には、高解像度の映像コンテンツサービスを提供することなどが可能になる。また、このように利用者情報と回線情報の両方を用いて、利用者認証を行うことで、さらに利用者に対してアクセス制限を行うことが可能である。例えば、「子供」の利用者には「深夜サイト」「アダルトサイト」「高額ショッピングサイト」の閲覧を禁止したりすることが可能である。   Thus, for example, in service provider devices such as determining whether to allow or deny site access depending on the location and line speed to which the user device is connected, or selecting a service to be provided according to the location and line speed. Highly reliable site access control can be realized. Specifically, when the connection location to the network specified by the line information is a place other than “home”, the provision of the auction service is not permitted, or the connection information is specified by the line information. When the line speed is high, it is possible to provide a high-resolution video content service. In addition, by performing user authentication using both user information and line information in this way, it is possible to further restrict access to the user. For example, users of “children” can be prohibited from browsing “midnight sites”, “adult sites”, and “high-priced shopping sites”.

なお、ネットワーク事業者装置では、利用者管理DBに管理される回線情報のうち、どの情報を利用者認証に用いるか具体的な項目について、サービス事業者装置から利用者認証要求とともに受信してもよく、あらかじめ取り決めがなされていてもよい。   Note that the network operator apparatus may receive a specific item indicating which information is used for user authentication among the line information managed in the user management DB together with the user authentication request from the service provider apparatus. Well, an arrangement may be made in advance.

(2)有効期限付きで利用者認証結果を取得
また、実施例1と2では、利用者情報を用いて利用者認証を行って得られる利用者認証結果をサービス事業者装置に送信する場合について説明したが、本発明はこれに限定されるものではなく、利用者認証結果に加えて、当該利用者認証結果の有効期限を示す有効期限情報をサービス事業者装置に送信してもよい。
(2) Acquire user authentication result with expiration date In the first and second embodiments, the user authentication result obtained by performing user authentication using user information is transmitted to the service provider device. Although described, the present invention is not limited to this, and in addition to the user authentication result, expiration date information indicating the expiration date of the user authentication result may be transmitted to the service provider apparatus.

具体的には、ネットワーク事業者装置は、利用者認証結果に加え、有効期限情報(例えば、有効期限は、数日、数秒、数十秒といったオーダーで設定される)をサービス事業者装置に送信し、サービス事業者装置は、ネットワーク事業者装置から利用者認証結果に加えて有効期限情報を受信した場合に、当該有効期限情報に示される有効期限を満たすことを条件に、利用者認証結果を用いてサイトアクセスを制御する。例を挙げると、利用者情報をサービス事業者装置に送信する際に有効期限情報を送信しない手法では、利用者装置を経由するリダイレクト通信において、利用者装置が利用者情報その他の制御情報などを不正に取得し、不正に情報を取得した利用者装置が不正にサイトアクセスするおそれなどがあるが、有効期限情報(例えば、有効期限は、数日、数秒、数十秒といったオーダーで設定される)を送信することで、これらのおそれを回避できることから、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。   Specifically, the network operator device transmits the expiration date information (for example, the expiration date is set in the order of several days, seconds, tens of seconds) to the service operator device in addition to the user authentication result. When the service provider device receives the expiration date information in addition to the user authentication result from the network operator device, the service provider device sets the user authentication result on condition that the expiration date indicated in the expiration date information is satisfied. To control site access. For example, in the method of not transmitting expiration date information when transmitting user information to a service provider device, the user device transmits user information and other control information in redirect communication via the user device. There is a possibility that a user device that has illegally acquired information and illegally obtained information may illegally access the site, but the expiration date information (for example, the expiration date is set in the order of several days, several seconds, several tens of seconds) ) Can be avoided, so that it is possible to safely implement highly reliable site access control in the service provider apparatus.

(3)電子署名付きで利用者認証結果を取得
また、実施例1では、サービス事業者装置は、利用者認証要求と電子署名をネットワーク事業者装置に送信し、ネットワーク事業者装置は、利用者認証結果をサービス事業者装置に送信する場合について説明したが、本発明はこれに限定されるものではなく、ネットワーク事業者装置も、利用者認証結果と電子署名をサービス事業者装置に送信するようにしてもよい。
(3) Obtaining a User Authentication Result with an Electronic Signature In the first embodiment, the service provider device transmits a user authentication request and an electronic signature to the network operator device, and the network operator device is the user. Although the case where the authentication result is transmitted to the service provider apparatus has been described, the present invention is not limited to this, and the network provider apparatus also transmits the user authentication result and the electronic signature to the service provider apparatus. It may be.

具体的には、ネットワーク事業者装置が利用者認証要求とともに電子署名を送信しない場合に比べて、サービス事業者装置において、信用性の高いサイトアクセス制御をより安全に実現することが可能になる。例えば、電子署名を送信しない場合、本当に正当なネットワーク事業者装置が送信した利用者認証要求であるか否かを判定することができないが、電子署名を送信した場合では、正当なサービス事業者が送信した利用者認証要求であるか否かを判定することができる。   Specifically, compared to a case where the network operator device does not transmit an electronic signature together with a user authentication request, it is possible to more securely realize highly reliable site access control in the service operator device. For example, if an electronic signature is not transmitted, it cannot be determined whether or not the request is a user authentication request transmitted by a truly valid network operator device. It can be determined whether or not it is a transmitted user authentication request.

さて、これまで本発明の実施例1〜3では、利用者アカウントを作成せず、シングルサインオンを行うことを説明してきたが、本発明はこれに限定されるものではなく、サービス事業者装置で利用者アカウントを作成して利用者管理するようにしてもよい。   Now, in the first to third embodiments of the present invention, it has been described that single sign-on is performed without creating a user account. However, the present invention is not limited to this, and a service provider apparatus. The user account may be created and managed by the user.

そこで、以下では、図13〜図15を用いて、ネットワーク事業者装置がサービス事業者装置に代わって利用者認証を行うとともに、サービス事業者装置で利用者アカウントを作成して記憶する場合を実施例4として説明する。図13は、実施例4に係るサービスシステムの概要および特徴を説明するための図であり、図14と図15は、実施例4に係るネットワーク事業者装置における利用者管理データベース部を説明するための図である。   Therefore, in the following, with reference to FIGS. 13 to 15, the network operator apparatus performs user authentication on behalf of the service provider apparatus, and creates and stores a user account in the service provider apparatus. This will be described as Example 4. FIG. 13 is a diagram for explaining the outline and features of the service system according to the fourth embodiment. FIGS. 14 and 15 are diagrams for explaining the user management database unit in the network operator device according to the fourth embodiment. FIG.

図13に示すように、実施例4におけるネットワーク事業者装置は、実施例1と同様に、利用者情報を回線情報と対応づけて、利用者管理データベース部(利用者管理DB)に記憶している。そして、実施例4におけるサービス事業者装置は、自身が提供するサービスを利用する利用者装置の利用者アカウントを利用者管理DBに記憶している点が実施例1とは異なる。   As shown in FIG. 13, the network operator device in the fourth embodiment stores user information in the user management database unit (user management DB) in association with the line information, as in the first embodiment. Yes. The service provider apparatus according to the fourth embodiment is different from the first embodiment in that the user account of the user apparatus that uses the service provided by the service provider apparatus is stored in the user management DB.

また、実施例4では、実施例1で説明した、各サービス事業者装置が一つのアプリケーションサービスを提供している場合と異なり、各サービス事業者装置は、複数のサービスを提供しており、各サービスごとに利用者管理を行っている。   Further, in the fourth embodiment, unlike the case where each service provider apparatus provides one application service described in the first embodiment, each service provider apparatus provides a plurality of services. User management is performed for each service.

一方、実施例4におけるサービス事業者装置は、利用者装置の利用者について、利用者登録していないものとする。すなわち、利用者装置は、サービス事業者装置が提供するアプリケーションサービスの提供を受けることができない状態にある。なお、実施例4において、サービス事業者装置が提供するアプリケーションサービスは、利用者登録を行うことで永続的に(もしくは、一時的に)利用できるタイプのアプリケーションサービスである。   On the other hand, it is assumed that the service provider device according to the fourth embodiment does not register the user of the user device. That is, the user device cannot receive the application service provided by the service provider device. In the fourth embodiment, the application service provided by the service provider device is a type of application service that can be used permanently (or temporarily) by performing user registration.

このような構成のもと、実施例1と同様に、実施例4におけるネットワーク事業者装置は、まず、利用者装置から、ネットワーク接続要求を受信して認証処理を行い、そして、利用者装置は、インターネットに接続し、サービス事業者装置は、利用者装置からSPサイトアクセス要求を受信すると(図13の(1)〜(4)参照)、SPサイトアクセス応答を送信し、利用者装置は、SPのWebページを取得する(図13の(5)参照)。   Under such a configuration, as in the first embodiment, the network operator device in the fourth embodiment first receives a network connection request from the user device and performs authentication processing. When the service provider device receives the SP site access request from the user device (see (1) to (4) in FIG. 13), the service provider device transmits an SP site access response. An SP Web page is acquired (see (5) in FIG. 13).

次に、サービス事業者装置は、利用者装置から、利用者登録要求を受信する(図13の(6)参照)。具体的には、利用者装置において、利用者登録要求を促すWebページのアイコン(「利用者登録要求」など)がワンクリックされることなどによって、利用者登録要求を受信する。   Next, the service provider device receives a user registration request from the user device (see (6) in FIG. 13). Specifically, the user registration request is received by, for example, one-clicking on a web page icon (such as “user registration request”) that prompts the user registration request in the user device.

そして、利用者登録要求を受信すると、サービス事業者装置は、利用者アカウントを作成する(図13の(7)参照)。例えば、図13において、サービス事業者装置は、利用者アカウントBBBを作成する。なお、利用者アカウントBBBは、永続的な(もしくは、一時的な)利用者アカウントである。   When receiving the user registration request, the service provider device creates a user account (see (7) in FIG. 13). For example, in FIG. 13, the service provider device creates a user account BBB. The user account BBB is a permanent (or temporary) user account.

続いて、サービス事業者装置は、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求をネットワーク事業者装置に送信する(図13の(8)参照)。   Subsequently, the service provider device transmits a user authentication request for requesting user authentication of the user device to the network operator device by redirect communication via the user device ((8) in FIG. 13). reference).

すると、実施例4におけるネットワーク事業者装置は、利用者装置が接続されている回線に関する回線情報を取得し(図13の(9)参照)、取得された回線情報に対応付けられた利用者情報を取得し、当該利用者情報を用いて利用者認証を行い(図13の(10)参照)、得られた利用者認証結果を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信する(図13の(11)参照)。具体的には、実施例1と同様に、ネットワーク事業者装置が当該回線情報に対応付けられた利用者情報を記憶していることを根拠に、当該利用者装置を正当な利用者装置と判定し、認証結果として「認証通過(許可)」をサービス事業者装置に送信する。   Then, the network operator apparatus according to the fourth embodiment acquires line information regarding the line to which the user apparatus is connected (see (9) in FIG. 13), and user information associated with the acquired line information. Is obtained, user authentication is performed using the user information (see (10) in FIG. 13), and the obtained user authentication result is transmitted to the service provider device by redirect communication via the user device. (Refer to (11) in FIG. 13). Specifically, as in the first embodiment, the user device is determined to be a valid user device based on the fact that the network operator device stores the user information associated with the line information. Then, “authentication passed (permitted)” is transmitted to the service provider apparatus as the authentication result.

そして、サービス事業者装置は、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いてサイトアクセスを制御する(図13の(12)参照)。具体的には、サービス事業者装置は、認証結果として「認証通過」を受信した場合、当該利用者アカウントBBBを自身の利用者管理DBに登録し、当該サービスの利用を許可する。一方、認証結果として「認証拒否」を受信した場合、当該利用者アカウントBBBを自身の利用者管理DBに登録せず、当該サービスの利用を拒否する。   Then, when the service provider device receives the user authentication result of the user device from the network provider device by the redirect communication via the user device, the service provider device controls the site access using the user authentication result. (See (12) in FIG. 13). Specifically, when “authentication passed” is received as an authentication result, the service provider device registers the user account BBB in its own user management DB and permits the use of the service. On the other hand, when “authentication refusal” is received as an authentication result, the user account BBB is not registered in the user management DB of itself and the use of the service is rejected.

ところで、実施例4では、サービス事業者装置は、利用者管理DBに作成した利用者アカウントのみを管理する場合を説明したが、本発明はこれに限定されるわけではなく、例えば、利用者アカウントの回線情報および利用者情報を管理してもよい。この場合、ネットワーク事業者装置は、利用者認証結果とともに、利用者情報や回線情報を送信する。なお、ネットワーク事業者装置は、サービス事業者装置に送信する具体的な送信項目について、サービス事業者装置によって指定された送信項目を送信してもよく、サービス事業者装置に送信する具体的な送信項目の取り決めや指定のタイミングは、いずれでもよい。   Incidentally, in the fourth embodiment, the case has been described in which the service provider device manages only the user account created in the user management DB. However, the present invention is not limited to this, for example, the user account The line information and user information may be managed. In this case, the network operator device transmits user information and line information together with the user authentication result. The network operator apparatus may transmit a transmission item specified by the service provider apparatus for a specific transmission item to be transmitted to the service provider apparatus, or a specific transmission to be transmitted to the service provider apparatus. Any item arrangement or designation timing may be used.

そして、ネットワーク事業者装置が、利用者認証結果とともに、利用者情報や回線情報を送信した場合、サービス事業者装置において、サービス事業者装置の利用者管理DBは、図14に示すように、利用者情報として『利用者を一意に識別する「利用者アカウント」、利用者名を示す「契約者」、利用者の住所を示す「住所」、利用料金を払う「クレジットカード番号」、通信料の支払い有無を示す「通信料支払いの有無」』として「tarou、特許太郎、東京都・・・、1111-1111-1111-1111、有」などを記憶したり、また、図15に示すように、回線情報として『利用者を一意に識別する「利用者アカウント」、回線を一意に識別する「回線識別子」、回線の収容位置を示す「回線収容位置」、契約回線の種別を示す「回線種別」、契約回線の回線速度を示す「回線速度」、回線の認証情報を示す「回線認証情報」』として「natsu、798、#C900、xDSL、47Mbps〜5Mbps、*********」などを記憶する。   Then, when the network operator device transmits user information and line information together with the user authentication result, in the service operator device, the user management DB of the service operator device is used as shown in FIG. As user information, “User account that uniquely identifies the user”, “Contractor” that indicates the user name, “Address” that indicates the user's address, “Credit card number” that pays the usage fee, and communication charges “Tarou, patent Taro, Tokyo ..., 1111-1111-1111-1111, yes” etc. are stored as “communication fee payment presence / absence” indicating the presence / absence of payment, as shown in FIG. Line information includes “user account that uniquely identifies the user”, “line identifier” that uniquely identifies the line, “line accommodation position” that indicates the location of the line, and “line type” that indicates the type of the contracted line. , Contracted line Indicating the degree "line speed", "natsu, 798 as" line authentication information "," indicating the authentication information of the line, # C900, xDSL, stores 47Mbps~5Mbps, ********* "and the like.

このように、実施例4によれば、サービス事業者装置で利用者アカウントを管理することで、サービス事業者装置における利用者認証による処理負荷を軽減したまま、利用者アカウントを管理することが可能である。   As described above, according to the fourth embodiment, the user account can be managed while reducing the processing load caused by the user authentication in the service provider device by managing the user account in the service provider device. It is.

さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に異なる実施例を説明する。   Although the embodiments of the present invention have been described so far, the present invention may be implemented in various different forms other than the embodiments described above. Therefore, different embodiments will be described below.

[回線情報]
例えば、上記した実施例1〜実施例3においては、回線情報として、回線の識別子、回線の収容位置、回線種別、回線速度、および回線認証情報を用いる手法を説明したが、この発明はこれに限られるものではなく、回線情報として、回線に付与された論理的な番号(電話番号、IPアドレスなど)を用いる手法や、回線の設置場所(住所、緯度経度など)を用いる手法など、回線に関する情報を用いる手法であれば、いずれでもよい。
[Line information]
For example, in the first to third embodiments described above, the method using the line identifier, the line accommodation position, the line type, the line speed, and the line authentication information as the line information has been described. It is not limited, and it is related to the line such as a method using a logical number (telephone number, IP address, etc.) given to the line as a line information, a method using a line installation location (address, latitude / longitude, etc.) Any method using information may be used.

[システム構成等]
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部(例えば、電子署名の送信など)を手動的におこなう(例えば、電子署名を送信するか否かの確認画面をモニタなどに出力し、操作する者に確認同意を入力させてから、電子署名を送信するなど)こともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報(例えば、利用者管理データベース部121とサービス事業者管理データベース部122など)については、特記する場合を除いて任意に変更することができる。
[System configuration, etc.]
In addition, among the processes described in the present embodiment, all or a part of the processes described as being automatically performed (for example, transmission of an electronic signature) is manually performed (for example, an electronic signature is transmitted). For example, a confirmation screen of whether or not it is output to a monitor or the like, a confirmation consent is input by the operator, and an electronic signature is transmitted). In addition, the processing procedure, control procedure, specific name, and information including various data and parameters shown in the document and drawings (for example, the user management database unit 121 and the service provider management database unit 122) Can be arbitrarily changed unless otherwise specified.

また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示(例えば、図2など)のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる(例えば、利用者管理データベース部121とサービス事業者管理データベース部122とをひとつのデータベースで構築するなど)。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。   Each component of each illustrated device is functionally conceptual and does not necessarily need to be physically configured as illustrated. That is, the specific form of distribution / integration of each device is not limited to the one shown in the figure (for example, FIG. 2), and all or a part thereof can function in arbitrary units according to various loads and usage conditions. (For example, the user management database unit 121 and the service provider management database unit 122 are constructed with a single database). Further, all or any part of each processing function performed in each device may be realized by a CPU and a program analyzed and executed by the CPU, or may be realized as hardware by wired logic.

なお、本実施例で説明した各機能部の処理(例えば、図10に示した処理など)は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。   The processing of each functional unit described in the present embodiment (for example, the processing shown in FIG. 10) can be realized by executing a program prepared in advance on a computer such as a personal computer or a workstation. . This program can be distributed via a network such as the Internet. The program can also be executed by being recorded on a computer-readable recording medium such as a hard disk, a flexible disk (FD), a CD-ROM, an MO, and a DVD and being read from the recording medium by the computer.

以上のように、本発明に係るサービスシステムおよびサービスシステム制御方法は、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されることに有用であり、特に、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することに適する。   As described above, the service system and the service system control method according to the present invention include a network operator device that controls network connection by a user device, and a service operator device that controls site access by the user device. It is useful for being connected via a network, and is particularly suitable for realizing highly reliable site access control in a service provider apparatus.

実施例1に係るサービスシステムの概要および特徴を説明するための図である。BRIEF DESCRIPTION OF THE DRAWINGS FIG. 1 is a diagram for explaining an overview and features of a service system according to a first embodiment. 実施例1に係るサービスシステムの構成を示すブロック図である。1 is a block diagram illustrating a configuration of a service system according to Embodiment 1. FIG. サービス事業者装置が利用者装置に送信するWebページを説明するための図である。It is a figure for demonstrating the web page which a service provider apparatus transmits to a user apparatus. サービス事業者装置が利用者装置に送信するWebページを説明するための図である。It is a figure for demonstrating the web page which a service provider apparatus transmits to a user apparatus. ネットワーク事業者装置における利用者管理データベース部を説明するための図である。It is a figure for demonstrating the user management database part in a network provider apparatus. ネットワーク事業者装置における利用者管理データベース部を説明するための図である。It is a figure for demonstrating the user management database part in a network provider apparatus. ネットワーク事業者装置における利用者管理データベース部を説明するための図である。It is a figure for demonstrating the user management database part in a network provider apparatus. ネットワーク事業者装置における利用者管理データベース部を説明するための図である。It is a figure for demonstrating the user management database part in a network provider apparatus. ネットワーク事業者装置における利用者管理データベース部を説明するための図である。It is a figure for demonstrating the user management database part in a network provider apparatus. 実施例1に係るサービスシステムによる処理の手順を示すシーケンス図である。It is a sequence diagram which shows the procedure of the process by the service system which concerns on Example 1. FIG. 実施例2に係るサービスシステムの概要および特徴を説明するための図である。It is a figure for demonstrating the outline | summary and the characteristic of the service system which concerns on Example 2. FIG. 実施例2に係るネットワーク事業者装置における利用者管理データベース部を説明するための図である。It is a figure for demonstrating the user management database part in the network provider apparatus which concerns on Example 2. FIG. 実施例4に係るサービスシステムの概要および特徴を説明するための図である。It is a figure for demonstrating the outline | summary and characteristic of the service system which concerns on Example 4. FIG. 実施例4に係るネットワーク事業者装置における利用者管理データベース部を説明するための図である。It is a figure for demonstrating the user management database part in the network provider apparatus which concerns on Example 4. FIG. 実施例4に係るネットワーク事業者装置における利用者管理データベース部を説明するための図である。It is a figure for demonstrating the user management database part in the network provider apparatus which concerns on Example 4. FIG.

符号の説明Explanation of symbols

100 ネットワーク事業者装置
110 通信制御I/F部
120 記憶部
121 利用者管理データベース部
122 サービス事業者管理データベース部
130 制御部
131 認証処理部
132 回線情報取得部
133 利用者認証結果送信部
200 サービス事業者装置
210 通信制御I/F部
220 記憶部
230 制御部
231 SPサイトアクセス応答部
232 利用者認証要求送信部
233 アクセス制御部
300 利用者装置
DESCRIPTION OF SYMBOLS 100 Network provider apparatus 110 Communication control I / F part 120 Storage part 121 User management database part 122 Service provider management database part 130 Control part 131 Authentication processing part 132 Line information acquisition part 133 User authentication result transmission part 200 Service business User device 210 Communication control I / F unit 220 Storage unit 230 Control unit 231 SP site access response unit 232 User authentication request transmission unit 233 Access control unit 300 User device

Claims (7)

利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムであって、
前記ネットワーク事業者装置は、
利用者登録を行った上で前記ネットワーク接続を許可した利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶する利用者情報記憶手段と、
前記サービス事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得する回線情報取得手段と、
前記回線情報取得手段によって取得された回線情報に対応付けられた利用者情報を前記利用者情報記憶手段から取得し、当該利用者情報を用いて前記利用者認証を行って得られる利用者認証結果を、前記利用者装置を経由するリダイレクト通信によって前記サービス事業者装置に送信する利用者認証結果送信手段と、
前記サービス事業者装置は、
前記利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置のネットワーク接続を許可して前記利用者情報と回線情報とを対応付けて記憶する前記ネットワーク事業者装置を経由する当該利用者装置を介したリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求を前記ネットワーク事業者装置に送信する利用者認証要求送信手段と、
前記ネットワーク事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いて前記サイトアクセスを制御するアクセス制御手段と、
を備えたことを特徴とするサービスシステム。
A service system in which a network operator device that controls network connection by a user device and a service operator device that controls site access by the user device are connected via a network,
The network operator device is:
User information storage means for storing user information related to a user of a user device that has permitted network connection after performing user registration in association with line information related to a line to which the user device is connected;
Line information related to the line to which the user device is connected when a user authentication request for requesting user authentication of the user device is received from the service provider device by redirect communication via the user device. Line information acquisition means for acquiring
User authentication result obtained by acquiring user information associated with the line information acquired by the line information acquisition means from the user information storage means and performing the user authentication using the user information A user authentication result transmitting means for transmitting to the service provider device by redirect communication via the user device;
The service provider device is:
When the site access request is received from the user device, the use via the network operator device that allows the user device to connect to the network and stores the user information and the line information in association with each other. User authentication request transmitting means for transmitting a user authentication request for requesting user authentication of the user device to the network operator device by redirect communication via the user device;
An access control means for controlling the site access using the user authentication result when the user authentication result of the user device is received from the network operator device by redirect communication via the user device;
A service system characterized by comprising:
前記利用者認証結果送信手段は、前記利用者情報に加えて、前記回線情報を用いて前記利用者認証を行って得られる利用者認証結果を前記サービス事業者装置に送信することを特徴とする請求項1に記載のサービスシステム。   The user authentication result transmission means transmits a user authentication result obtained by performing the user authentication using the line information to the service provider device in addition to the user information. The service system according to claim 1. 前記利用者認証要求送信手段は、前記利用者装置の利用者認証を要求する利用者認証要求とともに、前記利用者装置と前記サービス事業者装置との間における契約管理を要求する契約管理要求をさらに送信し、
前記利用者情報記憶手段は、前記サービス事業者装置から前記契約管理要求を受信した場合には、前記利用者情報に対応付けて、前記利用者装置と前記サービス事業者装置との間における契約に関する契約情報を記憶することを特徴とする請求項1に記載のサービスシステム。
The user authentication request transmission means further includes a contract management request for requesting contract management between the user device and the service provider device together with a user authentication request for requesting user authentication of the user device. Send
When receiving the contract management request from the service provider device, the user information storage means relates to a contract between the user device and the service provider device in association with the user information. The service system according to claim 1, wherein contract information is stored.
前記利用者認証結果送信手段は、前記利用者認証結果に加えて、当該利用者認証結果の有効期限を示す有効期限情報を前記サービス事業者装置に送信し、
前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者認証結果に加えて前記有効期限情報を受信した場合に、当該有効期限情報に示される有効期限を満たすことを条件に、前記利用者認証結果を用いて前記サイトアクセスを制御することを特徴とする請求項1に記載のサービスシステム。
The user authentication result transmitting means transmits, in addition to the user authentication result, expiration date information indicating an expiration date of the user authentication result to the service provider device,
When the access control means receives the expiration date information in addition to the user authentication result from the network operator device, the access control means satisfies the expiration date indicated in the expiration date information and satisfies the expiration date. The service system according to claim 1, wherein the site access is controlled using a result.
前記利用者認証結果送信手段は、前記利用者認証結果に加えて、前記ネットワーク事業者装置が署名する電子署名を前記サービス事業者装置に送信し、
前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者認証結果に加えて前記電子署名を受信した場合に、当該電子署名が正当であることを条件に、前記利用者認証結果を用いて前記サイトアクセスを制御することを特徴とする請求項1に記載のサービスシステム。
The user authentication result transmitting means transmits, in addition to the user authentication result, an electronic signature signed by the network operator device to the service operator device,
When the electronic control is received from the network operator device in addition to the user authentication result, the access control means uses the user authentication result on the condition that the electronic signature is valid. The service system according to claim 1, wherein site access is controlled.
前記利用者認証結果送信手段は、前記サービス事業者装置から前記利用者認証要求に加えて、当該サービス事業者装置が署名する電子署名を受信した場合に、当該電子署名が正当であることを条件に、前記利用者認証結果を当該サービス事業者装置に送信し、
前記利用者認証要求送信手段は、前記利用者認証要求に加えて、前記電子署名を前記ネットワーク事業者装置に送信することを特徴とする請求項1に記載のサービスシステム。
The user authentication result transmitting means is provided that, in addition to the user authentication request from the service provider device, when the electronic signature signed by the service provider device is received, the electronic signature is valid. And sending the user authentication result to the service provider device,
The service system according to claim 1, wherein the user authentication request transmission unit transmits the electronic signature to the network operator device in addition to the user authentication request.
利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムを制御するサービスシステム制御方法であって、
前記ネットワーク事業者装置は、
利用者登録を行った上で前記ネットワーク接続を許可した利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶する利用者情報記憶工程と、
前記サービス事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得する回線情報取得工程と、
前記回線情報取得工程によって取得された回線情報に対応付けられた利用者情報を前記利用者情報記憶工程から取得し、当該利用者情報を用いて前記利用者認証を行って得られる利用者認証結果を、前記利用者装置を経由するリダイレクト通信によって前記サービス事業者装置に送信する利用者認証結果送信工程と、
前記サービス事業者装置は、
前記利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置のネットワーク接続を許可して前記利用者情報と回線情報とを対応付けて記憶する前記ネットワーク事業者装置を経由する当該利用者装置を介したリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求を前記ネットワーク事業者装置に送信する利用者認証要求送信工程と、
前記ネットワーク事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いて前記サイトアクセスを制御するアクセス制御工程と、
を含んだことを特徴とするサービスシステム制御方法。
A service system control method for controlling a service system in which a network operator device that controls network connection by a user device and a service operator device that controls site access by the user device are connected via a network. And
The network operator device is:
A user information storage step of storing user information related to a user of a user device permitted to connect to the network after performing user registration in association with line information related to a line to which the user device is connected;
Line information related to the line to which the user device is connected when a user authentication request for requesting user authentication of the user device is received from the service provider device by redirect communication via the user device. Line information acquisition process to acquire,
User authentication result obtained by acquiring user information associated with the line information acquired by the line information acquisition step from the user information storage step, and performing the user authentication using the user information A user authentication result transmission step for transmitting to the service provider device by redirect communication via the user device;
The service provider device is:
When the site access request is received from the user device, the use via the network operator device that allows the user device to connect to the network and stores the user information and the line information in association with each other. A user authentication request transmitting step of transmitting a user authentication request for requesting user authentication of the user device to the network operator device by redirect communication via the user device;
An access control step of controlling the site access using the user authentication result when the user authentication result of the user device is received from the network operator device by redirect communication via the user device;
A service system control method comprising:
JP2006188493A 2006-07-07 2006-07-07 Service system and service system control method Active JP4551369B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006188493A JP4551369B2 (en) 2006-07-07 2006-07-07 Service system and service system control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006188493A JP4551369B2 (en) 2006-07-07 2006-07-07 Service system and service system control method

Publications (2)

Publication Number Publication Date
JP2008015936A JP2008015936A (en) 2008-01-24
JP4551369B2 true JP4551369B2 (en) 2010-09-29

Family

ID=39072859

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006188493A Active JP4551369B2 (en) 2006-07-07 2006-07-07 Service system and service system control method

Country Status (1)

Country Link
JP (1) JP4551369B2 (en)

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8713623B2 (en) 2001-09-20 2014-04-29 Time Warner Cable Enterprises, LLC Technique for effectively providing program material in a cable television system
US8266429B2 (en) 2004-07-20 2012-09-11 Time Warner Cable, Inc. Technique for securely communicating and storing programming material in a trusted domain
US8312267B2 (en) 2004-07-20 2012-11-13 Time Warner Cable Inc. Technique for securely communicating programming content
US9723267B2 (en) 2004-12-15 2017-08-01 Time Warner Cable Enterprises Llc Method and apparatus for wideband distribution of content
US20070022459A1 (en) 2005-07-20 2007-01-25 Gaebel Thomas M Jr Method and apparatus for boundary-based network operation
US8520850B2 (en) 2006-10-20 2013-08-27 Time Warner Cable Enterprises Llc Downloadable security and protection methods and apparatus
US8732854B2 (en) 2006-11-01 2014-05-20 Time Warner Cable Enterprises Llc Methods and apparatus for premises content distribution
US8621540B2 (en) 2007-01-24 2013-12-31 Time Warner Cable Enterprises Llc Apparatus and methods for provisioning in a download-enabled system
US9357247B2 (en) 2008-11-24 2016-05-31 Time Warner Cable Enterprises Llc Apparatus and methods for content delivery and message exchange across multiple content delivery networks
US9215423B2 (en) 2009-03-30 2015-12-15 Time Warner Cable Enterprises Llc Recommendation engine apparatus and methods
US11076189B2 (en) 2009-03-30 2021-07-27 Time Warner Cable Enterprises Llc Personal media channel apparatus and methods
JP5192439B2 (en) * 2009-05-12 2013-05-08 日本電信電話株式会社 User authentication system, proxy device, user authentication method and program
US9866609B2 (en) 2009-06-08 2018-01-09 Time Warner Cable Enterprises Llc Methods and apparatus for premises content distribution
US9602864B2 (en) 2009-06-08 2017-03-21 Time Warner Cable Enterprises Llc Media bridge apparatus and methods
US9237381B2 (en) 2009-08-06 2016-01-12 Time Warner Cable Enterprises Llc Methods and apparatus for local channel insertion in an all-digital content distribution network
US8396055B2 (en) 2009-10-20 2013-03-12 Time Warner Cable Inc. Methods and apparatus for enabling media functionality in a content-based network
US10264029B2 (en) 2009-10-30 2019-04-16 Time Warner Cable Enterprises Llc Methods and apparatus for packetized content delivery over a content delivery network
US9635421B2 (en) 2009-11-11 2017-04-25 Time Warner Cable Enterprises Llc Methods and apparatus for audience data collection and analysis in a content delivery network
US9519728B2 (en) 2009-12-04 2016-12-13 Time Warner Cable Enterprises Llc Apparatus and methods for monitoring and optimizing delivery of content in a network
US9342661B2 (en) 2010-03-02 2016-05-17 Time Warner Cable Enterprises Llc Apparatus and methods for rights-managed content and data delivery
JP5521736B2 (en) * 2010-04-23 2014-06-18 富士ゼロックス株式会社 COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL PROGRAM, AND COMMUNICATION CONTROL SYSTEM
US9300445B2 (en) 2010-05-27 2016-03-29 Time Warner Cable Enterprise LLC Digital domain content processing and distribution apparatus and methods
US9906838B2 (en) 2010-07-12 2018-02-27 Time Warner Cable Enterprises Llc Apparatus and methods for content delivery and message exchange across multiple content delivery networks
US8997136B2 (en) 2010-07-22 2015-03-31 Time Warner Cable Enterprises Llc Apparatus and methods for packetized content delivery over a bandwidth-efficient network
US9185341B2 (en) 2010-09-03 2015-11-10 Time Warner Cable Enterprises Llc Digital domain content processing and distribution apparatus and methods
US8930979B2 (en) 2010-11-11 2015-01-06 Time Warner Cable Enterprises Llc Apparatus and methods for identifying and characterizing latency in a content delivery network
US10148623B2 (en) 2010-11-12 2018-12-04 Time Warner Cable Enterprises Llc Apparatus and methods ensuring data privacy in a content distribution network
US9467723B2 (en) 2012-04-04 2016-10-11 Time Warner Cable Enterprises Llc Apparatus and methods for automated highlight reel creation in a content delivery network
US20140082645A1 (en) 2012-09-14 2014-03-20 Peter Stern Apparatus and methods for providing enhanced or interactive features
US9565472B2 (en) 2012-12-10 2017-02-07 Time Warner Cable Enterprises Llc Apparatus and methods for content transfer protection
US20140282786A1 (en) 2013-03-12 2014-09-18 Time Warner Cable Enterprises Llc Methods and apparatus for providing and uploading content to personalized network storage
US10368255B2 (en) 2017-07-25 2019-07-30 Time Warner Cable Enterprises Llc Methods and apparatus for client-based dynamic control of connections to co-existing radio access networks
US9066153B2 (en) 2013-03-15 2015-06-23 Time Warner Cable Enterprises Llc Apparatus and methods for multicast delivery of content in a content delivery network
US9313568B2 (en) 2013-07-23 2016-04-12 Chicago Custom Acoustics, Inc. Custom earphone with dome in the canal
US9621940B2 (en) 2014-05-29 2017-04-11 Time Warner Cable Enterprises Llc Apparatus and methods for recording, accessing, and delivering packetized content
US11540148B2 (en) 2014-06-11 2022-12-27 Time Warner Cable Enterprises Llc Methods and apparatus for access point location
US9935833B2 (en) 2014-11-05 2018-04-03 Time Warner Cable Enterprises Llc Methods and apparatus for determining an optimized wireless interface installation configuration
US10116676B2 (en) 2015-02-13 2018-10-30 Time Warner Cable Enterprises Llc Apparatus and methods for data collection, analysis and service modification based on online activity
US9986578B2 (en) 2015-12-04 2018-05-29 Time Warner Cable Enterprises Llc Apparatus and methods for selective data network access
US9918345B2 (en) 2016-01-20 2018-03-13 Time Warner Cable Enterprises Llc Apparatus and method for wireless network services in moving vehicles
US10404758B2 (en) 2016-02-26 2019-09-03 Time Warner Cable Enterprises Llc Apparatus and methods for centralized message exchange in a user premises device
US10492034B2 (en) 2016-03-07 2019-11-26 Time Warner Cable Enterprises Llc Apparatus and methods for dynamic open-access networks
US10164858B2 (en) 2016-06-15 2018-12-25 Time Warner Cable Enterprises Llc Apparatus and methods for monitoring and diagnosing a wireless network
US10645547B2 (en) 2017-06-02 2020-05-05 Charter Communications Operating, Llc Apparatus and methods for providing wireless service in a venue
US10638361B2 (en) 2017-06-06 2020-04-28 Charter Communications Operating, Llc Methods and apparatus for dynamic control of connections to co-existing radio access networks

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005339093A (en) * 2004-05-26 2005-12-08 Nippon Telegr & Teleph Corp <Ntt> Authentication method, authentication system, authentication proxy server, network access authenticating server, program, and storage medium

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005339093A (en) * 2004-05-26 2005-12-08 Nippon Telegr & Teleph Corp <Ntt> Authentication method, authentication system, authentication proxy server, network access authenticating server, program, and storage medium

Also Published As

Publication number Publication date
JP2008015936A (en) 2008-01-24

Similar Documents

Publication Publication Date Title
JP4551369B2 (en) Service system and service system control method
JP4579546B2 (en) Method and apparatus for handling user identifier in single sign-on service
US9800586B2 (en) Secure identity federation for non-federated systems
JP5458888B2 (en) Certificate generation / distribution system, certificate generation / distribution method, and program
JP5197843B1 (en) Authentication linkage system and ID provider device
RU2308755C2 (en) System and method for providing access to protected services with one-time inputting of password
JP4301482B2 (en) Server, information processing apparatus, access control system and method thereof
CN101331731B (en) Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider
JP5614340B2 (en) System, authentication information management method, and program
US7587491B2 (en) Method and system for enroll-thru operations and reprioritization operations in a federated environment
US10116628B2 (en) Server-paid internet access service
JP4895190B2 (en) System for identification management related to authentication of electronic devices
WO2012053135A1 (en) Communication control apparatus, system, method, and non-transitory computer readable medium storing program thereon
JP2005538434A (en) Method and system for user-based authentication in a federated environment
JP2002032216A (en) Hosting device for application
JP2006277715A (en) Service providing device and program
JP4551367B2 (en) Service system and service system control method
JP2006031064A (en) Session management system and management method
JP2005529392A (en) Hierarchical distributed identity management
KR20070009490A (en) System and method for authenticating a user based on the internet protocol address
JP2004362189A (en) User information circulation system
JP3914152B2 (en) Authentication server, authentication system, and authentication program
EP2395450A1 (en) Information management system
JP4551368B2 (en) Service system and service system control method
KR101259574B1 (en) System and Method of User and Device Integrated Authentication

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100427

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100621

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100706

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100709

R150 Certificate of patent or registration of utility model

Ref document number: 4551369

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130716

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350