JP5192439B2 - ユーザ認証システム、プロキシ装置、ユーザ認証方法およびプログラム - Google Patents

ユーザ認証システム、プロキシ装置、ユーザ認証方法およびプログラム Download PDF

Info

Publication number
JP5192439B2
JP5192439B2 JP2009115995A JP2009115995A JP5192439B2 JP 5192439 B2 JP5192439 B2 JP 5192439B2 JP 2009115995 A JP2009115995 A JP 2009115995A JP 2009115995 A JP2009115995 A JP 2009115995A JP 5192439 B2 JP5192439 B2 JP 5192439B2
Authority
JP
Japan
Prior art keywords
line
service
user
user terminal
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009115995A
Other languages
English (en)
Other versions
JP2010268084A (ja
Inventor
広和 北見
弘之 栗田
圭 唐澤
健一 松井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009115995A priority Critical patent/JP5192439B2/ja
Publication of JP2010268084A publication Critical patent/JP2010268084A/ja
Application granted granted Critical
Publication of JP5192439B2 publication Critical patent/JP5192439B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、サービス提供装置のサービスを受けようとする無線端末等のユーザ端末を認証するユーザ認証システム、およびユーザ端末からのサービス利用要求を中継するプロキシ装置に関するものである。
ネットワーク上に配置されたサーバにおけるセキュリティの課題の1つとして、アクセスしてきたユーザの正しさをどのように確認するかという課題があり、ユーザアクセス認証方法が多数提案されている。
図36は従来のユーザアクセス認証方法の1例を説明するシーケンス図である。ネットワークプレフィックスは、IPv6(Internet Protocol version 6)ルータが収容する回線ごとに割り当てられている。そこで、図36に示すユーザアクセス認証方法では、回線から受信するパケットに正しいIPv6アドレスが設定されているかを確認する回線認証を行い、このIPv6ネットワークの回線認証を利用して、IPv4(Internet Protocol version 4)ネットワークにおけるサービス提供制御を可能としている(例えば特許文献1参照)。特許文献1に開示されたユーザアクセス認証方法を図36を参照して説明する。
サービス提供を希望するユーザ端末1000は、ネットワークを介してIPv6ルータ1001にアクセスする(ステップS1000)。IPv6ルータ1001は、ユーザ端末1000に対してネットワークプレフィックスを割り当てる(ステップS1001)。次に、ユーザ端末1000は、ネットワーク上の回線認証局1002に対して証明書発行要求を行う(ステップS1002)。回線認証局1002は、ユーザ端末1000から送られた証明書発行要求パケットに正しいネットワークプレフィックスが設定されているかを確認する回線認証を行い、認証に成功した場合には回線証明書を発行し(ステップS1003)、発行した回線証明書を要求元のユーザ端末1000に送付する(ステップS1004)。
ユーザ端末1000は、回線認証局1002から発行された回線証明書を添付したサービス要求パケットをサービス提供装置1003に送る(ステップS1005)。サービス提供装置1003は、サービス要求パケットに添付された回線証明書を基に回線認証を行い(ステップS1006)、認証に成功した場合にはユーザ端末1000に対してサービスを提供する(ステップS1007)。
特許文献1に開示されたユーザアクセス認証方法では、ユーザ端末が使用する回線を一意に識別するための情報である回線識別子が回線証明書(アサーション)に含まれているため、例えば複数のサービス提供者が結託して各サービス利用者の名寄せを行ってサービス利用者の情報を集積することができるなど、個人情報などのプライバシーの保護が不十分という問題点があった。
そこで、個人情報などのプライバシーの保護を十分に図ることができ、サービス利用者による回線証明書の使いまわし行為や正規のサービス提供者に成りすまして行われるフィッシング行為を防止することが可能なユーザアクセス認証方法が提案されている(特許文献2参照)。図37はこのユーザアクセス認証方法を説明するシーケンス図である。
このユーザアクセス認証方法では、ユーザ端末2000が利用中のIPアドレスと利用中の回線IDの組み合わせをネットワーク管理装置2001にて保持する。サービス要求を行ったユーザ端末2000は、サービス提供装置2003から取得したリンクIDと自身の利用中IPアドレスとを用いて、サービス管理装置2002にアサーション発行要求を送信する。サービス管理装置2002は、ユーザ端末2000から受け取ったIPアドレスを基に、ネットワーク管理装置2001から利用中の回線IDを取得し、取得した回線IDが登録されていれば、この回線IDをリンクIDと組にして管理するとともに、アサーション(回線証明書)を発行する。
特許文献2に開示されたユーザアクセス認証方法を図37を参照してより詳細に説明する。回線事業者とサービス提供者との間では、ユーザを一意に識別するためのユーザIDと、サービス提供者と回線との対応関係を一意に識別するためのリンクIDとが事前に共有されている(ステップS2000)。
サービス提供を希望するユーザ端末2000は、ネットワーク管理装置2001にアクセスする(ステップS2001)。ネットワーク管理装置2001は、ユーザ端末2000に対してIPアドレスを割り当て、このIPアドレスと利用中の回線IDとの組み合わせを記憶し(ステップS2002)、ユーザ端末2000に対してIPアドレスを払い出す(ステップS2003)。
続いて、ユーザ端末2000は、ユーザIDを含む接続要求パケットをサービス提供装置2003に送信する(ステップS2004)。サービス提供装置2003は、受信した接続要求パケットからユーザIDを取り出し、このユーザIDに対応する既知のリンクIDを特定し(ステップS2005)、このリンクIDとユーザ端末2000のIPアドレスとを含むアサーション発行要求パケットをユーザ端末2000に送信する(ステップS2006)。
ユーザ端末2000は、受信したアサーション発行要求パケットをリダイレクト通信によりサービス管理装置2002に転送する(ステップS2007)。
サービス管理装置2002は、受信したアサーション発行要求パケットからユーザ端末2000のIPアドレスを取り出し、この端末IPアドレスを含む利用回線ID要求パケットをネットワーク管理装置2001に送信する(ステップS2008)。
ネットワーク管理装置2001は、受信した利用回線ID要求パケットから端末IPアドレスを取り出し、この端末IPアドレスに対応する利用回線IDを検索する(ステップS2009)。そして、ネットワーク管理装置2001は、検索した利用回線IDを含む利用回線ID応答パケットをサービス管理装置2002に送信する(ステップS2010)。なお、端末IPアドレスに対応する利用回線IDが複数存在する場合には、最新の利用回線IDを取得する。
サービス管理装置2002は、アサーション発行要求パケットに含まれるリンクIDに基づいて登録回線IDを特定し、ネットワーク管理装置2001から受け取った利用回線IDと、リンクIDに基づいて特定した登録回線IDとを比較し、両者が一致する場合には、アサーション発行要求に含まれるリンクIDと最新チャレンジと、リンクIDおよび最新チャレンジを含む署名対象について予め保持する署名生成鍵により生成した電子署名とを含んだアサーション(回線証明書)を発行し(ステップS2011)、このアサーションをユーザ端末2000に送付する(ステップS2012)。
ユーザ端末2000は、受信したアサーションをリダイレクト通信によりサービス提供装置2003に転送する(ステップS2013)。
サービス提供装置2003は、受信したアサーションを予め所持する署名検証鍵により検証し(ステップS2014)、検証の結果が正当である場合には、アサーションに含まれる最新チャレンジおよびリンクIDに基づいて、利用者IDをそれぞれ特定し、特定した利用者IDを互いに比較して両者が一致することを条件に、所定のサービスを提供するか否かを決定する(ステップS2015)。そして、サービス提供装置2003は、サービス提供の決定後に、ユーザ端末2000に対してサービスを提供する(ステップS2016)。
特開2006−025010号公報 特開2008−042819号公報
以上のように、特許文献1に開示されたユーザアクセス認証方法では、個人情報などのプライバシーの保護が不十分という問題点があった。
一方、特許文献2に開示されたユーザアクセス認証方法では、サービス提供者が管理するユーザIDや、回線事業者が管理する登録回線IDとは別に、サービス提供者と回線との対応関係を識別するためのリンクIDを利用者回線認証に際して用いることで、回線事業者自らが管理するユーザに関する情報である回線ID等をサービス提供者に明かす必要がなくなるので、個人情報などのプライバシーの保護を図ることができるとしている。しかしながら、特許文献2に開示されたユーザアクセス認証方法では、以下のような問題点があった。
ユーザ端末が無線端末の場合、無線状況の悪化やユーザの移動に伴い、ユーザ端末へのIPアドレスの再割り当てが発生する場合がある。特許文献2に開示されたユーザアクセス認証方法では、ユーザ端末へのIPアドレスの再割り当てが発生した場合、サービス提供装置は既に認証済みのユーザ端末であっても、認証を再度行う必要があるという問題点があった。
また、特許文献2に開示されたユーザアクセス認証方法では、サービス提供装置がアサーション発行要求をするために、ユーザ端末を介したリダイレクト通信を行う必要があり、リダイレクト機能を備えたユーザ端末に適用範囲が限定されるという問題点があった。
本発明は、上記課題を解決するためになされたもので、ユーザ端末へのIPアドレスの再割り当てが発生した場合のユーザの再認証手続きを簡略化することができ、ユーザ端末のリダイレクト機能を不要にすることができるユーザ認証システム、プロキシ装置、ユーザ認証方法およびプログラムを提供することを目的とする。
本発明のユーザ認証システムは、サービス利用要求を行うユーザ端末と、ネットワークを管理するネットワーク管理装置と、前記ユーザ端末からのサービス利用要求を中継するプロキシ装置と、このプロキシ装置によって中継されたサービス利用要求に応じて、前記ネットワークを介して前記ユーザ端末にサービスを提供するサービス提供装置とを備え、前記ネットワーク管理装置は、前記ユーザ端末が利用する回線のIDをユーザ端末毎に記憶する第1の記憶手段を有し、前記プロキシ装置は、前記ユーザ端末からサービス利用要求を受けたときに、このユーザ端末が利用する回線のIDを前記ネットワーク管理装置から取得する回線ID取得手段と、前記ユーザ端末からのサービス利用要求に前記回線ID取得手段が取得した回線IDを付加して前記サービス提供装置に送るサービス要求中継手段とを有し、前記サービス提供装置は、前回のサービス利用時にユーザ端末が利用していた回線のIDをサービス提供装置が管理するユーザ毎に記憶する第2の記憶手段と、前記ユーザ端末から前記プロキシ装置を介してサービス利用要求を受けたときに、このサービス利用要求に付加された回線IDと前記第2の記憶手段に記憶されている当該ユーザ端末の回線IDとを比較する回線ID認証手段と、前記回線IDが一致したときに、前記サービス利用要求を送信したユーザ端末にサービスを提供するサービス提供手段とを有することを特徴とするものである。
また、本発明のユーザ認証システムの1構成例において、前記プロキシ装置は、さらに、回線IDをユーザ端末毎に記憶する第3の記憶手段と、前記ユーザ端末からサービス利用要求を受けたときに前記回線ID取得手段が取得した回線IDと前記第3の記憶手段に記憶されている当該ユーザ端末の前回の接続時の回線IDとを比較して、前回の接続と今回の接続とが同一のセッションかどうかを確認するセッション同一性確認手段とを有し、前記プロキシ装置の回線ID取得手段は、前回の接続と今回の接続とが同一のセッションであると判断された場合のみ、前記ネットワーク管理装置から取得した回線IDを前記第3の記憶手段に記憶させ、前記プロキシ装置のサービス要求中継手段は、前回の接続と今回の接続とが同一のセッションであると判断された場合のみ、前記ユーザ端末からのサービス利用要求に前記回線ID取得手段が取得した回線IDを付加して前記サービス提供装置に送ることを特徴とするものである。
また、本発明のユーザ認証システムの1構成例において、前記プロキシ装置は、さらに、回線IDと、ネットワーク管理装置が管理するユーザを一意に識別するNWユーザIDとを対応付けて記憶する第3の記憶手段と、前記ユーザ端末からサービス利用要求を受けたときに前記回線ID取得手段が取得した回線IDとNWユーザIDの組と前記第3の記憶手段に記憶されている当該ユーザ端末の前回の接続時の回線IDとNWユーザIDの組とを比較して、前回の接続と今回の接続とが同一のセッションかどうかを確認するセッション同一性確認手段とを有し、前記ネットワーク管理装置の第1の記憶手段は、前記ユーザ端末が利用する回線のIDをユーザのNWユーザIDと共に記憶し、前記プロキシ装置の回線ID取得手段は、前記ユーザ端末からサービス利用要求を受けたときに、このユーザ端末が利用する回線のIDとユーザのNWユーザIDとを前記ネットワーク管理装置から取得し、前記セッション同一性確認手段によって前回の接続と今回の接続とが同一のセッションであると判断された場合のみ、前記ネットワーク管理装置から取得した回線IDとNWユーザIDとを前記第3の記憶手段に記憶させ、前記プロキシ装置のサービス要求中継手段は、前回の接続と今回の接続とが同一のセッションであると判断された場合のみ、前記ユーザ端末からのサービス利用要求に前記回線ID取得手段が取得した回線IDを付加して前記サービス提供装置に送ることを特徴とするものである。
また、本発明のユーザ認証システムの1構成例において、前記プロキシ装置は、さらに、前記回線ID取得手段が取得した回線IDからハッシュ演算で開示回線IDを生成する開示回線ID生成手段を有し、前記プロキシ装置のサービス要求中継手段は、前記回線ID取得手段が取得した回線IDの代わりに、前記開示回線ID生成手段が生成した開示回線IDを前記ユーザ端末からのサービス利用要求に付加して前記サービス提供装置に送信し、前記サービス提供装置の第2の記憶手段は、前回のサービス利用時にユーザ端末が利用していた回線の開示回線IDをサービス提供装置が管理するユーザ毎に記憶し、前記サービス提供装置の回線ID認証手段は、前記サービス利用要求に付加された開示回線IDと前記第2の記憶手段に記憶されている当該ユーザ端末の開示回線IDとを比較することを特徴とするものである。
また、本発明のユーザ認証システムの1構成例において、前記プロキシ装置は、さらに、ユーザの接続履歴情報に関するトークンを発行するトークン発行手段と、前記トークンをネットワーク管理装置が管理するユーザ毎に記憶する第3の記憶手段とを有し、前記プロキシ装置のサービス要求中継手段は、前記ユーザ端末からのサービス利用要求に前記トークン発行手段が生成したトークンを付加して前記サービス提供装置に送信し、前記サービス提供装置の第2の記憶手段は、前回の接続時に前記プロキシ装置が発行したトークンをサービス提供装置が管理するユーザ毎に記憶し、前記サービス提供装置は、さらに、前記ユーザ端末から前記プロキシ装置を介してサービス利用要求を受けたときに、このサービス利用要求に付加されたトークンの認証を行うトークン認証手段と、前回の接続時に前記第2の記憶手段に登録されたトークンに含まれるトークン識別子と前記サービス利用要求に付加されたトークンに含まれる前回の接続時のトークン識別子とを比較して、前回の接続と今回の接続とが同一のセッションかどうかを確認するセッション同一性検証手段とを有することを特徴とするものである。
また、本発明のユーザ認証システムの1構成例において、前記プロキシ装置は、さらに、ユーザの接続履歴情報に関するトークンを発行するトークン発行手段を有し、前記プロキシ装置の第3の記憶手段は、さらに前記トークンをネットワーク管理装置が管理するユーザ毎に記憶し、前記プロキシ装置のサービス要求中継手段は、前記ユーザ端末からのサービス利用要求に前記トークン発行手段が生成したトークンを付加して前記サービス提供装置に送信し、前記サービス提供装置の第2の記憶手段は、前回の接続時に前記プロキシ装置が発行したトークンをサービス提供装置が管理するユーザ毎に記憶し、前記サービス提供装置は、さらに、前記ユーザ端末から前記プロキシ装置を介してサービス利用要求を受けたときに、このサービス利用要求に付加されたトークンの認証を行うトークン認証手段と、前回の接続時に前記第2の記憶手段に登録されたトークンに含まれるトークン識別子と前記サービス利用要求に付加されたトークンに含まれる前回の接続時のトークン識別子とを比較して、前回の接続と今回の接続とが同一のセッションかどうかを確認するセッション同一性検証手段とを有することを特徴とするものである。
また、本発明は、サービス利用要求を行うユーザ端末と、ネットワークを管理するネットワーク管理装置と、前記ユーザ端末からのサービス利用要求を中継するプロキシ装置と、このプロキシ装置によって中継されたサービス利用要求に応じて、前記ネットワークを介して前記ユーザ端末にサービスを提供するサービス提供装置とから構成されるユーザ認証システムにおける前記プロキシ装置であって、前記ユーザ端末からサービス利用要求を受けたときに、このユーザ端末が利用する回線のIDを前記ネットワーク管理装置から取得する回線ID取得手段と、前記ユーザ端末からのサービス利用要求に前記回線ID取得手段が取得した回線IDを付加して前記サービス提供装置に送るサービス要求中継手段とを有することを特徴とするものである。
また、本発明のプロキシ装置の1構成例は、さらに、回線IDをユーザ端末毎に記憶する記憶手段と、前記ユーザ端末からサービス利用要求を受けたときに前記回線ID取得手段が取得した回線IDと前記記憶手段に記憶されている当該ユーザ端末の前回の接続時の回線IDとを比較して、前回の接続と今回の接続とが同一のセッションかどうかを確認するセッション同一性確認手段とを有し、前記回線ID取得手段は、前回の接続と今回の接続とが同一のセッションであると判断された場合のみ、前記ネットワーク管理装置から取得した回線IDを前記記憶手段に記憶させ、前記サービス要求中継手段は、前回の接続と今回の接続とが同一のセッションであると判断された場合のみ、前記ユーザ端末からのサービス利用要求に前記回線ID取得手段が取得した回線IDを付加して前記サービス提供装置に送ることを特徴とするものである。
また、本発明のプロキシ装置の1構成例は、さらに、回線IDと、ネットワーク管理装置が管理するユーザを一意に識別するNWユーザIDとを対応付けて記憶する記憶手段と、前記ユーザ端末からサービス利用要求を受けたときに前記回線ID取得手段が取得した回線IDとNWユーザIDの組と前記記憶手段に記憶されている当該ユーザ端末の前回の接続時の回線IDとNWユーザIDの組とを比較して、前回の接続と今回の接続とが同一のセッションかどうかを確認するセッション同一性確認手段とを有し、前記回線ID取得手段は、前記ユーザ端末からサービス利用要求を受けたときに、このユーザ端末が利用する回線のIDとユーザのNWユーザIDとを前記ネットワーク管理装置から取得し、前記セッション同一性確認手段によって前回の接続と今回の接続とが同一のセッションであると判断された場合のみ、前記ネットワーク管理装置から取得した回線IDとNWユーザIDとを前記記憶手段に記憶させ、前記サービス要求中継手段は、前回の接続と今回の接続とが同一のセッションであると判断された場合のみ、前記ユーザ端末からのサービス利用要求に前記回線ID取得手段が取得した回線IDを付加して前記サービス提供装置に送ることを特徴とするものである。
また、本発明のプロキシ装置の1構成例は、さらに、前記回線ID取得手段が取得した回線IDからハッシュ演算で開示回線IDを生成する開示回線ID生成手段を有し、前記サービス要求中継手段は、前記回線ID取得手段が取得した回線IDの代わりに、前記開示回線ID生成手段が生成した開示回線IDを前記ユーザ端末からのサービス利用要求に付加して前記サービス提供装置に送信することを特徴とするものである。
また、本発明のプロキシ装置の1構成例は、さらに、ユーザの接続履歴情報に関するトークンを発行するトークン発行手段と、前記トークンをネットワーク管理装置が管理するユーザ毎に記憶する記憶手段とを有し、前記サービス要求中継手段は、前記ユーザ端末からのサービス利用要求に前記トークン発行手段が生成したトークンを付加して前記サービス提供装置に送信することを特徴とするものである。
また、本発明のプロキシ装置の1構成例は、さらに、ユーザの接続履歴情報に関するトークンを発行するトークン発行手段を有し、前記記憶手段は、さらに前記トークンをネットワーク管理装置が管理するユーザ毎に記憶し、前記サービス要求中継手段は、前記ユーザ端末からのサービス利用要求に前記トークン発行手段が生成したトークンを付加して前記サービス提供装置に送信することを特徴とするものである。
また、本発明のユーザ認証方法は、ユーザ端末からのサービス利用要求を中継するプロキシ装置が、前記ユーザ端末からサービス利用要求を受けたときに、このユーザ端末が利用する回線のIDをネットワーク管理装置から取得する回線ID取得手順と、前記プロキシ装置が、前記ユーザ端末からのサービス利用要求に前記回線ID取得手順で取得した回線IDを付加してサービス提供装置に送るサービス要求中継手順と、前記サービス提供装置が、前記ユーザ端末から前記プロキシ装置を介してサービス利用要求を受けたときに、当該ユーザ端末が前回のサービス利用時に利用していた回線のIDを前記サービス提供装置の記憶手段から取得し、前記サービス利用要求に付加された回線IDと前記取得した回線IDとを比較する回線ID認証手順と、前記サービス提供装置が、前記回線IDが一致したときに、前記サービス利用要求を送信したユーザ端末にサービスを提供するサービス提供手順とを備えることを特徴とするものである。
また、本発明のユーザ認証方法は、ユーザ端末からのサービス利用要求を中継するプロキシ装置が、前記ユーザ端末からサービス利用要求を受けたときに、このユーザ端末が利用する回線のIDをネットワーク管理装置から取得する回線ID取得手順と、前記プロキシ装置が、前記ユーザ端末からのサービス利用要求に前記回線ID取得手順で取得した回線IDを付加してサービス提供装置に送るサービス要求中継手順とを備えることを特徴とするものである。
また、本発明のプロキシ装置プログラムは、プロキシ装置としてコンピュータを機能させることを特徴とするものである。
本発明によれば、ユーザ端末とサービス提供装置との接続断が発生したときに、ユーザ端末からのサービス利用要求を中継するプロキシ装置がネットワーク管理装置から取得した回線IDをサービス利用要求に付加してサービス提供装置に送信することで、サービス提供装置が既に接続中であった回線からのサービス利用要求であることを認識することができるので、再接続時にユーザ端末のユーザがパスワード等を入力する必要がなくなり、サービス利用のためのユーザの再認証手続きを簡略化することができる。また、本発明では、プロキシ装置がユーザ端末からのサービス利用要求に利用回線IDを付加してサービス提供装置に転送するため、従来のようにリダイレクト機能を備えたユーザ端末に適用範囲が限定されることがなくなる。
また、本発明では、プロキシ装置にセッション同一性確認手段を設け、セッションが同一かどうか、すなわち同一ユーザが同一回線IDを使って接続を試みているかどうかを確認し、同一ユーザが同一回線IDを使って接続を試みていると判断した場合のみ、プロキシ装置がサービス提供装置にサービス利用要求を行うようにしたので、ユーザ確認の確実性をさらに向上させることができる。
また、本発明では、回線IDに加えてNWユーザIDもセッションの同一性確認に用いることにより、ユーザと回線IDとが多対1の関係の場合にも適用することができ、ユーザ確認の確実性をさらに向上させることができる。
また、本発明では、プロキシ装置の回線ID取得手段が取得した回線IDをそのままサービス提供装置に通知せずに、回線IDからハッシュ演算で開示回線IDを生成してサービス提供装置に通知するようにしたので、名寄せを防止することができ、より確実なプライバシー保護を実現することができる。
また、本発明では、プロキシ装置においてトークンを管理することにより、前回接続履歴を確実に確認することができ、無駄なトークン発行や長期有効なトークンの発行を抑止することができる。また、本発明では、サービス提供装置において前回セッション確立時のトークンを管理することにより、サービス提供装置はセッションの同一性を確認することができる。さらに、本発明では、プロキシ装置において前回接続時のトークンを管理することにより、ネットワーク事業者によってセッションの同一性が保証されるため、より厳密なセッションの確認を行うことができる。
本発明の第1の実施の形態に係るユーザ認証システムの構成を示すブロック図である。 本発明の第1の実施の形態に係るユーザ認証システムの動作を示すシーケンス図である。 本発明の第1の実施の形態に係るユーザ認証システムの1回目接続時の動作を示すシーケンス図である。 本発明の第2の実施の形態に係るユーザ認証システムの構成を示すブロック図である。 本発明の第2の実施の形態に係るユーザ認証システムの詳細な構成を示すブロック図である。 本発明の第2の実施の形態に係るユーザ認証システムにおいてネットワーク管理装置の記憶部に記憶される情報を示す図である。 本発明の第2の実施の形態に係るユーザ認証システムにおいてサービス提供装置の記憶部に記憶される情報を示す図である。 本発明の第2の実施の形態に係るユーザ認証システムの動作を示すシーケンス図である。 本発明の第2の実施の形態に係るユーザ認証システムの1回目接続時の動作を示すシーケンス図である。 本発明の第3の実施の形態に係るユーザ認証システムの詳細な構成を示すブロック図である。 本発明の第3の実施の形態に係るユーザ認証システムの動作を示すシーケンス図である。 本発明の第3の実施の形態に係るユーザ認証システムの1回目接続時の動作を示すシーケンス図である。 本発明の第4の実施の形態に係るユーザ認証システムの詳細な構成を示すブロック図である。 本発明の第4の実施の形態に係るユーザ認証システムにおいてプロキシ装置の記憶部に記憶される情報を示す図である。 本発明の第4の実施の形態に係るユーザ認証システムの動作を示すシーケンス図である。 本発明の第5の実施の形態に係るユーザ認証システムの詳細な構成を示すブロック図である。 本発明の第5の実施の形態に係るユーザ認証システムにおいてサービス提供装置の記憶部に記憶される情報を示す図である。 本発明の第5の実施の形態に係るユーザ認証システムの動作を示すシーケンス図である。 本発明の第5の実施の形態に係るユーザ認証システムの1回目接続時の動作を示すシーケンス図である。 本発明の第6の実施の形態に係るユーザ認証システムの詳細な構成を示すブロック図である。 本発明の第6の実施の形態に係るユーザ認証システムにおいてプロキシ装置の記憶部に記憶される情報を示す図である。 本発明の第6の実施の形態に係るユーザ認証システムの動作を示すシーケンス図である。 本発明の第6の実施の形態に係るユーザ認証システムの1回目接続時の動作を示すシーケンス図である。 本発明の第7の実施の形態に係るユーザ認証システムの詳細な構成を示すブロック図である。 本発明の第7の実施の形態に係るユーザ認証システムにおいてネットワーク管理装置の記憶部に記憶される情報を示す図である。 本発明の第7の実施の形態に係るユーザ認証システムにおいてプロキシ装置の記憶部に記憶される情報を示す図である。 本発明の第7の実施の形態に係るユーザ認証システムにおいてサービス提供装置の記憶部に記憶される情報を示す図である。 本発明の第7の実施の形態に係るユーザ認証システムの動作を示すシーケンス図である。 本発明の第8の実施の形態に係るユーザ認証システムの詳細な構成を示すブロック図である。 本発明の第8の実施の形態に係るユーザ認証システムにおいてプロキシ装置の記憶部に記憶される情報を示す図である。 本発明の第8の実施の形態に係るユーザ認証システムの動作を示すシーケンス図である。 本発明の第9の実施の形態に係るユーザ認証システムの詳細な構成を示すブロック図である。 本発明の第9の実施の形態に係るユーザ認証システムにおいてサービス提供装置の記憶部に記憶される情報を示す図である。 本発明の第9の実施の形態に係るユーザ認証システムにおいてネットワーク管理装置の記憶部に記憶される情報を示す図である。 本発明の第9の実施の形態に係るユーザ認証システムの動作を示すシーケンス図である。 従来のユーザアクセス認証方法の1例を説明するシーケンス図である。 従来のユーザアクセス認証方法の別の例を説明するシーケンス図である。
[第1の実施の形態]
以下、本発明の実施の形態について図面を参照して説明する。図1は本発明の第1の実施の形態に係るユーザ認証システムの構成を示すブロック図である。
ユーザ認証システムは、サービス利用要求を行うユーザ端末1と、ネットワークを管理するネットワーク管理装置2と、ユーザ端末1からのサービス利用要求を中継するプロキシ装置3と、プロキシ装置3によって中継されたサービス利用要求に応じて、ネットワークを介してユーザ端末1にサービスを提供するサービス提供装置4とから構成される。なお、図1では、ユーザ端末1とネットワーク管理装置2とプロキシ装置3とサービス提供装置4とを相互に接続するネットワークの記載を省略している。
ユーザ端末1は、サービス利用要求を行うサービス要求部10を有する。ネットワーク管理装置2は、ユーザ端末1が利用する回線のIDをユーザ端末毎に記憶する記憶部20を有する。
プロキシ装置3は、ユーザ端末1からサービス利用要求を受けたときに、このユーザ端末1が利用する回線のIDをネットワーク管理装置2から取得する回線ID取得部30と、ユーザ端末1からのサービス利用要求に回線ID取得部30が取得した回線IDを付加してサービス提供装置4に送るサービス要求中継部31とを有する。
サービス提供装置4は、前回のサービス利用時にユーザ端末1のユーザが利用していた回線のIDをサービス提供装置4が管理するユーザ毎に記憶する記憶部40と、ユーザ端末1からプロキシ装置3を介してサービス利用要求を受けたときに、このサービス利用要求に付加された回線IDと記憶部40に記憶されている当該ユーザ端末1のユーザの回線IDとを比較する回線ID認証部41と、回線IDが一致したときに、サービス利用要求を送信したユーザ端末1にサービスを提供するサービス提供部42とを有する。
次に、図2を参照して本実施の形態のユーザ認証システムの動作について説明する。本実施の形態では、ユーザ端末1とサービス提供装置4との間で、既に1回目の接続が行われているものとする(ステップS1)。この1回目の接続では、例えばパスワード認証などによりユーザ認証が実施されたものとする。このようなユーザ認証に成功すると、サービス提供装置4の回線ID認証部41は、サービス提供装置4が管理するユーザを一意に識別するためにサービス提供者が発行したユーザID(以下、SrvユーザIDとする)とユーザ端末100が利用する回線を一意に識別するための利用回線IDとの組を記憶部40に登録する。
ここで、例えば無線状況の悪化等に伴い接続断が発生したものとする。ただし、この接続断はユーザの大幅な場所移動によるものではなく、利用回線IDには変化がないものとする。
ユーザ端末1のサービス要求部10は、接続断が発生すると、ネットワーク管理装置2が管理するユーザを一意に識別するためにネットワーク事業者が発行したユーザID(以下、NWユーザIDとする)を含むNW接続要求パケットを送信する(ステップS2)。
ネットワーク管理装置2は、NW接続要求パケットを受信すると、このNW接続要求パケットを送信したユーザ端末1が利用している回線を識別するための利用回線IDと、このユーザ端末1のIPアドレスとを対応付けて記憶部20に格納する(ステップS3)。なお、NWユーザIDは、格納しなくてもよい。こうして、NW接続要求をしたユーザ端末1のレコードが記憶部20に新たに作成されたことになる。そして、ネットワーク管理装置2は、NW接続応答パケットをユーザ端末1に送信する(ステップS4)。
NW接続応答パケットの受信後、ユーザ端末1のサービス要求部10は、SrvユーザIDを含むサービス利用要求パケットをプロキシ装置3に対して送信する(ステップS5)。
プロキシ装置3のサービス要求中継部31は、ユーザ端末1からのサービス利用要求パケットを受信すると、このサービス利用要求パケットから送信元IPアドレス、すなわち端末IPアドレスを取り出して回線ID取得部30に渡す。回線ID取得部30は、この端末IPアドレスに対応する利用回線IDをネットワーク管理装置2の記憶部20から取得する(ステップS6,S7)。
プロキシ装置3の回線ID取得部30は、取得した利用回線IDをサービス要求中継部31に渡す。サービス要求中継部31は、ステップS5で送信されたサービス利用要求パケットから取り出したSrvユーザIDと回線ID取得部30から受け取った利用回線IDとを含むサービス利用要求パケットを、サービス提供装置4に対して送信する(ステップS8)。
サービス提供装置4のサービス提供部42は、プロキシ装置3からのサービス利用要求パケットを受信すると、このサービス利用要求パケットからSrvユーザIDと利用回線IDとを取り出して回線ID認証部41に渡し、ユーザ認証を要求する。回線ID認証部41は、サービス提供部42から渡されたSrvユーザIDを基に記憶部40を参照し、SrvユーザIDに対応する利用回線IDを記憶部40から取得する。このとき、SrvユーザIDに対応する利用回線IDが複数存在する場合には最新の利用回線IDを取得する。そして、回線ID認証部41は、記憶部40から取得した利用回線IDとサービス提供部42から渡された利用回線IDとを比較する(ステップS9)。
回線ID認証部41は、記憶部40から取得した利用回線ID、すなわち前回の接続時に登録された利用回線IDとサービス提供部42から渡された今回の利用回線IDとが一致すれば、SrvユーザIDとサービス提供部42から渡された今回の利用回線IDとを対応付けて記憶部40に登録する。また、回線ID認証部41は、前回の接続時に登録された利用回線IDとサービス提供部42から渡された今回の利用回線IDとが一致すれば、サービス提供可能と判断する(ステップS10)。
サービス提供部42は、回線ID認証部41がサービス提供可能と判断した場合、プロキシ装置3のサービス要求中継部31を介してユーザ端末1にサービスを提供する(ステップS11,S12)。
以上のように、本実施の形態では、ユーザ端末1とサービス提供装置4との接続断が発生したときに、ユーザ端末1からのサービス利用要求を中継するプロキシ装置3がネットワーク管理装置2から取得した利用回線IDをサービス利用要求に付加してサービス提供装置4に送信することで、サービス提供装置4が既に接続中であった回線からのサービス利用要求であることを認識することができるので、再接続時にユーザ端末1のユーザがパスワード等を入力する必要がなくなり、サービス利用のためのユーザの再認証手続きを簡略化することができる。また、本実施の形態では、プロキシ装置がユーザ端末1からのサービス利用要求に利用回線IDを付加してサービス提供装置4に転送するため、従来のようにリダイレクト機能を備えたユーザ端末に適用範囲が限定されることがなくなる。
なお、本発明はユーザ端末1とサービス提供装置4との間の2回目の接続に関するものなので、図2では1回目の接続(ステップS1)について詳細に記載していないが、1回目の接続時の動作は図3のようになる。
図3のステップS20,S21,S22の処理は、それぞれ図2のステップS2,S3,S4と同様であるので、説明は省略する。
NW接続応答パケットの受信後、ユーザ端末1のサービス要求部10は、SrvユーザIDとユーザが入力したパスワードとを含むサービス利用要求パケットをプロキシ装置3に対して送信する(ステップS23)。
図3のステップS24,S25の処理は、それぞれ図2のS6,S7と同様である。
プロキシ装置3の回線ID取得部30は、ネットワーク管理装置2から取得した利用回線IDをサービス要求中継部31に渡す。サービス要求中継部31は、ステップS23で送信されたサービス利用要求パケットから取り出したSrvユーザIDとパスワードと回線ID取得部30から受け取った利用回線IDとを含むサービス利用要求パケットを、サービス提供装置4に対して送信する(ステップS26)。
サービス提供装置4のサービス提供部42は、プロキシ装置3からのサービス利用要求パケットを受信すると、このサービス利用要求パケットからSrvユーザIDとパスワードと利用回線IDとを取り出して回線ID認証部41に渡し、ユーザ認証を要求する。回線ID認証部41は、サービス提供部42から渡されたSrvユーザIDを基に記憶部40を参照し、SrvユーザIDに対応するパスワードを記憶部40から取得する。そして、回線ID認証部41は、記憶部40から取得したパスワードとサービス提供部42から渡されたパスワードとを比較する(ステップS27)。
回線ID認証部41は、パスワードが一致すれば、SrvユーザIDとサービス提供部42から渡された今回の利用回線IDとを対応付けて記憶部40に登録する(ステップS28)。また、回線ID認証部41は、パスワードが一致すれば、サービス提供可能と判断する(ステップS29)。
図3のステップS30,S31の処理は、それぞれ図2のステップS12,S13と同様である。
以上で、ユーザ端末1とサービス提供装置4との間の1回目の接続が完了する。
なお、本実施の形態および以降の実施の形態において、サービス提供装置が管理するユーザとは、例えば、ネットワーク管理装置に登録されているユーザ、またはサービス提供者と契約しているユーザであってもよい。また、ネットワーク管理装置が管理するユーザとは、例えば、ネットワーク管理装置に登録されているユーザ、またはネットワーク事業者と契約したユーザであってもよい。
[第2の実施の形態]
次に、本発明の第2の実施の形態について説明する。図4は本発明の第2の実施の形態に係るユーザ認証システムの構成を示すブロック図である。本実施の形態は、第1の実施の形態をより具体的に説明するものである。ユーザ認証システムは、無線LAN接続インタフェースを備える汎用的なコンピュータであるユーザ端末100と、NWユーザIDの確認とIPアドレスの払い出しと利用回線IDの特定とを行う認証サーバであるネットワーク管理装置200と、ユーザ端末100からのサービス利用要求を受け、ユーザ端末100の接続中の利用回線IDを当該サービス利用要求に付与して転送するプロキシ装置300と、プロキシ装置300から転送されてきたサービス利用要求を受け、利用回線IDを用いて、当該サービス利用者認証を行い、適切なサービスを提供するサービス提供装置400と、ユーザ端末100を収容する無線LANアクセスポイント500と、ネットワーク管理装置200とプロキシ装置300とサービス提供装置400とを相互に接続すると共に、これらの装置とユーザ端末100とを無線LANアクセスポイント500を介して接続するネットワーク600とから構成される。
図5は図4に示したユーザ認証システムの詳細な構成を示すブロック図である。なお、図5では、無線LANアクセスポイント500およびネットワーク600を省略している。
ユーザ端末100は、サービス要求部101と、記憶部102とを有する。
ネットワーク管理装置200は、NWユーザID取得部201と、IPアドレス割当部202と、利用回線ID登録部203と、利用回線ID応答部204と、記憶部205とを有する。
プロキシ装置300は、サービス要求中継部301と、回線ID取得手段となる利用回線ID通知部302とを有する。
サービス提供装置400は、回線ID認証部401と、サービス提供部402と、記憶部403とを有する。
図6はネットワーク管理装置200の記憶部205に記憶される情報を示す図、図7はサービス提供装置400の記憶部403に記憶される情報を示す図である。
ユーザ端末100の記憶部102は、ネットワーク管理装置200が管理するユーザを一意に識別するためにネットワーク事業者が発行したNWユーザIDと、サービス提供装置400が管理するユーザを一意に識別するためにサービス提供者が発行したSrvユーザIDとを予め記憶している。
無線LANアクセスポイント500は、ユーザ端末100が利用可能な各回線を一意に識別するための回線IDを予め記憶している。
図6に示すように、ネットワーク管理装置200の記憶部205には、ネットワーク600に接続したユーザ端末100が利用する回線を一意に識別するための利用回線IDと、ユーザ端末100に割り当てられたIPアドレスと、NWユーザIDとが対応付けられてユーザ毎に登録される。IPアドレスは、ユーザ端末100の再起動や無線リンク切れ後のネットワーク再接続等によりユーザ端末100がネットワーク600に接続する度に変更される。ネットワーク管理装置200は、ユーザ端末100がネットワーク600に接続する度にNWユーザIDとIPアドレスとの最新の対応を管理しているので、IPアドレスが付け替っても、同一ユーザが利用している回線の利用回線IDを特定することができる。なお、ユーザ端末100がネットワーク600からの切断処理をした場合には、該当するユーザのレコードは記憶部205から削除される。
図7に示すように、サービス提供装置400の記憶部403には、SrvユーザIDと、サービスを利用中のユーザ端末100が利用している回線を一意に識別するための利用回線IDとが対応付けられてサービス提供装置400が管理するユーザ毎に登録される。
次に、図8を参照して本実施の形態のユーザ認証システムの動作について説明する。本実施の形態では、ユーザ端末100とサービス提供装置400との間で、既に1回目の接続が行われているものとする(ステップS100)。この1回目の接続では、例えばパスワード認証などによりユーザ認証が実施されたものとする。このようなユーザ認証に成功すると、サービス提供装置400の回線ID認証部401は、SrvユーザIDと利用回線IDとの組を記憶部403に登録する。
ここで、例えば無線状況の悪化等に伴い接続断が発生したものとする。ただし、この接続断はユーザの大幅な場所移動によるものではなく、利用回線IDには変化がないものとする。
ユーザ端末100のサービス要求部101は、接続断が発生すると、記憶部102からNWユーザIDを読み出し、このNWユーザIDを含むNW接続要求パケットを送信する(ステップS101)。
無線LANアクセスポイント500は、ユーザ端末100からのNW接続要求パケットを受信すると、ユーザ端末100が利用している回線を識別するための利用回線IDをNW接続要求パケットに付加して、このID付加後のNW接続要求パケットをネットワーク管理装置200に送信する(ステップS102)。
ネットワーク管理装置200のNWユーザID取得部201は、NW接続要求パケットを受信すると、IPアドレス割当部202に対してIPアドレス要求を行う。この要求に応じてIPアドレス割当部202は、ユーザ端末100にIPアドレスを割り当てる(ステップS103)。
NWユーザID取得部201は、IPアドレス割当部202が割り当てたIPアドレスと、受信したNW接続要求パケットから取り出したNWユーザIDとを利用回線ID登録部203に渡す。利用回線ID登録部203は、NW接続要求パケットを送信したユーザ端末100が利用している回線を識別するための利用回線IDと、NWユーザID取得部201から受け取ったIPアドレスとNWユーザIDとを対応付けて記憶部403に格納する(ステップS104)。なお、NWユーザIDの格納は必須ではない。こうして、NW接続要求をしたユーザ端末100のレコードが記憶部403に新たに作成されたことになる。
NWユーザID取得部201は、IPアドレス割当部202が割り当てたIPアドレスを含むNW接続応答パケットを無線LANアクセスポイント500に送信する(ステップS105)。無線LANアクセスポイント500は、このNW接続応答パケットをユーザ端末100に転送する(ステップS106)。
NW接続応答パケットの受信後、ユーザ端末100のサービス要求部101は、記憶部102からSrvユーザIDを読み出し、このSrvユーザIDを含むサービス利用要求パケットをプロキシ装置300に対して送信する(ステップS107)。
プロキシ装置300のサービス要求中継部301は、ユーザ端末100からのサービス利用要求パケットを受信すると、このサービス利用要求パケットから送信元IPアドレス、すなわち端末IPアドレスを取り出して利用回線ID通知部302に渡す。利用回線ID通知部302は、端末IPアドレスを含む利用回線ID要求パケットをネットワーク管理装置200に送信する(ステップS108)。
ネットワーク管理装置200の利用回線ID応答部204は、プロキシ装置300からの利用回線ID要求パケットを受信すると、この利用回線ID要求パケットから端末IPアドレスを取り出して記憶部205を参照し、端末IPアドレスに対応する利用回線IDを検索する(ステップS109)。そして、利用回線ID応答部204は、検索した利用回線IDを含む応答パケットを要求元のプロキシ装置300に返送する(ステップS110)。なお、端末IPアドレスに対応する利用回線IDが複数存在する場合には、最新の利用回線IDを取得する。
プロキシ装置300の利用回線ID通知部302は、ネットワーク管理装置200からの応答パケットを受信すると、この応答パケットから利用回線IDを取り出してサービス要求中継部301に渡す。サービス要求中継部301は、ステップS107で送信されたサービス利用要求パケットから取り出したSrvユーザIDと利用回線ID通知部302から受け取った利用回線IDとを含むサービス利用要求パケットを、サービス提供装置400に対して送信する(ステップS111)。
サービス提供装置400のサービス提供部402は、プロキシ装置300からのサービス利用要求パケットを受信すると、このサービス利用要求パケットからSrvユーザIDと利用回線IDとを取り出して回線ID認証部401に渡し、ユーザ認証を要求する。回線ID認証部401は、サービス提供部402から渡されたSrvユーザIDを基に記憶部403を参照し、SrvユーザIDに対応する利用回線IDを記憶部403から取得する。このとき、SrvユーザIDに対応する利用回線IDが複数存在する場合には最新の利用回線IDを取得する。そして、回線ID認証部401は、記憶部403から取得した利用回線IDとサービス提供部402から渡された利用回線IDとを比較する(ステップS112)。
回線ID認証部401は、記憶部403から取得した利用回線ID、すなわち前回の接続時に登録された利用回線IDとサービス提供部402から渡された今回の利用回線IDとが一致すれば、SrvユーザIDとサービス提供部402から渡された今回の利用回線IDとを対応付けて記憶部403に登録する。また、サービス提供装置400は、前回の接続時に登録された利用回線IDとサービス提供部402から渡された今回の利用回線IDとが一致すれば、サービス提供可能と判断する(ステップS113)。
サービス提供部402は、回線ID認証部401がサービス提供可能と判断した場合、プロキシ装置300のサービス要求中継部301を介してユーザ端末100にサービスを提供する(ステップS114,S115)。
以上のように、本実施の形態では、ユーザ端末100とサービス提供装置400との接続断が発生したときに、ユーザ端末100からのサービス利用要求を中継するプロキシ装置300がネットワーク管理装置200から取得した利用回線IDをサービス利用要求に付加してサービス提供装置400に送信することで、サービス提供装置400が既に接続中であった回線からのサービス利用要求であることを認識することができるので、再接続時にユーザ端末100のユーザがパスワード等を入力する必要がなくなり、サービス利用のためのユーザの再認証手続きを簡略化することができる。また、本実施の形態では、プロキシ装置がユーザ端末100からのサービス利用要求に利用回線IDを付加してサービス提供装置400に転送するため、従来のようにリダイレクト機能を備えたユーザ端末に適用範囲が限定されることがなくなる。
なお、本発明はユーザ端末100とサービス提供装置400との間の2回目の接続に関するものなので、図8では1回目の接続(ステップS100)について詳細に記載していないが、1回目の接続時の動作は図9のようになる。
図9のステップS120,S121,S122,S123,S124,S125の処理は、それぞれ図8のステップS101,S102,S103,S104,S105,S106と同様であるので、説明は省略する。
NW接続応答パケットの受信後、ユーザ端末100のサービス要求部101は、記憶部102からSrvユーザIDを読み出し、このSrvユーザIDとユーザが入力したパスワードとを含むサービス利用要求パケットをプロキシ装置300に対して送信する(ステップS126)。
図9のステップS127,S128,S129の処理は、それぞれ図8のS108,S109,S110と同様である。
プロキシ装置300の利用回線ID通知部302は、ネットワーク管理装置200からの応答パケットを受信すると、この応答パケットから利用回線IDを取り出してサービス要求中継部301に渡す。サービス要求中継部301は、ステップS126で送信されたサービス利用要求パケットから取り出したSrvユーザIDとパスワードと利用回線ID通知部302から受け取った利用回線IDとを含むサービス利用要求パケットを、サービス提供装置400に対して送信する(ステップS130)。
サービス提供装置400のサービス提供部402は、プロキシ装置300からのサービス利用要求パケットを受信すると、このサービス利用要求パケットからSrvユーザIDとパスワードと利用回線IDとを取り出して回線ID認証部401に渡し、ユーザ認証を要求する。回線ID認証部401は、サービス提供部402から渡されたSrvユーザIDを基に記憶部403を参照し、SrvユーザIDに対応するパスワードを記憶部403から取得する。そして、回線ID認証部401は、記憶部403から取得したパスワードとサービス提供部402から渡されたパスワードとを比較する(ステップS131)。
回線ID認証部401は、パスワードが一致すれば、SrvユーザIDとサービス提供部402から渡された今回の利用回線IDとを対応付けて記憶部403に登録する(ステップS132)。また、サービス提供装置400は、パスワードが一致すれば、サービス提供可能と判断する(ステップS133)。
図9のステップS134,S135の処理は、それぞれ図8のステップS114,S115と同様である。
以上で、ユーザ端末100とサービス提供装置400との間の1回目の接続が完了する。
[第3の実施の形態]
次に、本発明の第3の実施の形態について説明する。図10は本発明の第3の実施の形態に係るユーザ認証システムの詳細な構成を示すブロック図である。なお、図10では、図4に示した無線LANアクセスポイント500およびネットワーク600を省略している。本実施の形態は、第1の実施の形態の別の具体例を説明するものである。第1の実施の形態では、ネットワーク管理装置はユーザ端末から送信されるNWユーザIDを申告されるままに受け入れるが、本実施の形態では、ユーザ端末を利用しているユーザの正当性確認を行うために、ユーザ端末から送信されるNWユーザIDに対応する秘密情報でユーザ認証を行い、正当性が確認できたらNWユーザIDを受け入れるようにする。
第2の実施の形態と同様に、ユーザ端末100は、サービス要求部101と、記憶部102とを有する。
ネットワーク管理装置200は、IPアドレス割当部202と、利用回線ID登録部203aと、利用回線ID応答部204aと、記憶部205と、NW接続ユーザ認証部206とを有する。
プロキシ装置300は、サービス要求中継部301と、回線ID取得手段となる利用回線ID要求部303とを有する。
サービス提供装置400は、回線ID認証部401と、サービス提供部402と、記憶部403とを有する。
ユーザ端末100の記憶部102、無線LANアクセスポイント500、ネットワーク管理装置200の記憶部205、サービス提供装置400の記憶部403に記憶される情報は、第2の実施の形態で説明したとおりである。
次に、図11を参照して本実施の形態のユーザ認証システムの動作について説明する。第2の実施の形態と同様に、ユーザ端末100とサービス提供装置400との間で、既に1回目の接続が行われているものとする(ステップS201)。
ここで、無線状況の悪化等に伴い接続断が発生したものとする。第2の実施の形態で説明したとおり、この接続断が発生しても、利用回線IDには変化がないものとする。
ユーザ端末100のサービス要求部101は、接続断が発生すると、記憶部102からNWユーザIDを読み出し、このNWユーザIDを含むNW接続要求パケットを送信する(ステップS202)。
本実施の形態では、ネットワーク接続時の利用回線IDの取得のためにラディウス(RADIUS:Remote Authentication Dial-In User Service:RADIUS)プロトコルを利用する。すなわち、ラディウスクライアントとなる無線LANアクセスポイント500は、ユーザ端末100からのNW接続要求パケットを受信すると、NAS-IdentifierやNAS-IP-Addressなどのアトリビュート(Attribute)情報を含むアクセスリクエスト(Access-Request)メッセージをネットワーク管理装置200に送信する(ステップS203)。
ラディウスサーバとなるネットワーク管理装置200のNW接続ユーザ認証部206は、無線LANアクセスポイント500からのアクセスリクエストメッセージを受信すると、このアクセスリクエストメッセージからNWユーザIDを取り出し、このNWユーザIDに対応する秘密情報でユーザ認証を行う(ステップS204)。ユーザ認証の方法としては、例えばEAP−TLS(Extensible Authentication Protocol-Transport Layer Security)がある。また、他のユーザ認証方法として、PAP(Password Authentication Protocol)、CHAP(Challenge Handshake Authentication)、EAP−AKA(Extensible Authentication Protocol-Authentication and Key Agreement)などが考えられるが、それ以外のユーザ認証方法を用いてもよい。
ユーザ認証に成功した後、NW接続ユーザ認証部206は、IPアドレス割当部202に対してIPアドレス要求を行う。この要求に応じてIPアドレス割当部202は、ユーザ端末100にIPアドレスを割り当てる(ステップS205)。
NW接続ユーザ認証部206は、IPアドレス割当部202が割り当てたIPアドレスと、受信したアクセスリクエストメッセージから取り出したNWユーザIDとを利用回線ID登録部203aに渡す。利用回線ID登録部203は、アクセスリクエストメッセージに含まれるアトリビュート情報により、ユーザ端末100が利用している回線を識別するための利用回線IDを取得し、この利用回線IDとNW接続ユーザ認証部206から受け取ったIPアドレスとNWユーザIDとを対応付けて記憶部205に格納する(ステップS206)。
NW接続ユーザ認証部206は、IPアドレス割当部202が割り当てたIPアドレスを含むアクセスアクセプト(Access-Accept)メッセージを無線LANアクセスポイント500に送信する(ステップS207)。無線LANアクセスポイント500は、受信したアクセスアクセプトメッセージから、ユーザ端末100に割り当てられたIPアドレスを取り出し、このIPアドレスを含むNW接続応答パケットをユーザ端末100に送信する(ステップS208)。
NW接続応答パケットの受信後、ユーザ端末100のサービス要求部101は、記憶部102からSrvユーザIDを読み出し、このSrvユーザIDを含むサービス利用要求パケットをプロキシ装置300に対して送信する(ステップS209)。
プロキシ装置300のサービス要求中継部301は、ユーザ端末100からのサービス利用要求パケットを受信すると、このサービス利用要求パケットから送信元IPアドレス、すなわち端末IPアドレスを取り出して利用回線ID要求部303に渡す。利用回線ID要求部303は、端末IPアドレスを含む利用回線ID要求パケットをネットワーク管理装置200に送信する(ステップS210)。
ネットワーク管理装置200の利用回線ID応答部204aは、プロキシ装置300からの利用回線ID要求パケットを受信すると、この利用回線ID要求パケットから端末IPアドレスを取り出して記憶部205を参照し、端末IPアドレスに対応するNWユーザIDと利用回線IDとを検索する(ステップS211)。そして、利用回線ID応答部204aは、検索したNWユーザIDと利用回線IDの組を含む応答パケットを要求元のプロキシ装置300に返送する(ステップS212)。なお、端末IPアドレスに対応するNWユーザIDと利用回線IDとが複数組存在する場合には、最新のNWユーザIDと利用回線IDの組を取得する。
プロキシ装置300の利用回線ID要求部303は、応答パケットから取り出した利用回線IDをサービス要求中継部301に渡す。
サービス要求中継部301は、ステップS209で送信されたサービス利用要求パケットから取り出したSrvユーザIDと利用回線ID要求部303から受け取った利用回線IDとを含むサービス利用要求パケットを、サービス提供装置400に対して送信する(ステップS214)。
サービス提供装置400のサービス提供部402は、プロキシ装置300からのサービス利用要求パケットを受信すると、このサービス利用要求パケットからSrvユーザIDと利用回線IDとを取り出して回線ID認証部401に渡し、ユーザ認証を要求する。回線ID認証部401は、サービス提供部402から渡されたSrvユーザIDを基に記憶部403を参照し、SrvユーザIDに対応する利用回線IDを記憶部403から取得する。このとき、SrvユーザIDに対応する利用回線IDが複数存在する場合には、最新の利用回線IDを取得する。そして、回線ID認証部401は、記憶部403から取得した利用回線IDとサービス提供部402から渡された利用回線IDとを比較する(ステップS215)。
回線ID認証部401は、記憶部403から取得した利用回線ID、すなわち前回の接続時に登録された利用回線IDとサービス提供部402から渡された今回の利用回線IDとが一致すれば、SrvユーザIDとサービス提供部402から渡された今回の利用回線IDとを対応付けて記憶部403に登録する(ステップS216)。また、サービス提供装置400は、前回の接続時に登録された利用回線IDとサービス提供部402から渡された今回の利用回線IDとが一致すれば、サービス提供可能と判断する(ステップS217)。
サービス提供部402は、サービス提供可能と判断した場合、プロキシ装置300のサービス要求中継部301を介してユーザ端末100にサービスを提供する(ステップS218,S219)。
第2の実施の形態では、ユーザ端末100とサービス提供装置400との間の1回目の接続と2回目の接続が同一ユーザであることを誰も保証していないが、サービス提供者はユーザの申告するユーザIDを信頼するということがサービス提供者の認可ポリシーとなる。すなわち、ネットワーク事業者は、1回目の接続と接続断後の2回目の接続が同一回線を利用していることをサービス提供者に通知することだけにとどまる。
これに対して、本実施の形態では、ネットワーク管理装置200がNWユーザIDに基づきユーザ認証を行うようにしたので、1回目の接続と2回目の接続が同一ユーザによる行為であることを担保することができる。したがって、「1回目の接続と接続断後の2回目の接続が同一ユーザからの接続である」というネットワーク事業者の担保を信頼することが、サービス提供者の認可ポリシーとなる。こうして、本実施の形態では、第2の実施の形態と同様の効果を得ることができ、さらにネットワーク管理装置200によるユーザ認証によってユーザ確認の確実性を向上させることができる。
なお、本実施の形態では、ネットワーク接続時の利用回線IDの取得のためにラディウスプロトコルを利用しているが、バーチャルLANID(VLANID)を利用してもよい。無線LANアクセスポイント500とネットワーク管理装置200との経路途中にあるルータ装置(不図示)と、無線LANアクセスポイント500との間には、VLANIDが付与されている。この場合、ネットワーク管理装置200の記憶部205には、予め利用回線IDとVLANIDとの対応関係が保持されている。
そこで、ネットワーク管理装置200の利用回線ID登録部203は、ユーザ端末100から無線LANアクセスポイント500を介したNW接続要求を受信した際に、記憶部205を参照して、VLANIDに対応する利用回線IDを取得し、この利用回線IDとNW接続ユーザ認証部206から受け取ったIPアドレスとNWユーザIDとを対応付けて記憶部205に格納すればよい(ステップS206)。
なお、本発明はユーザ端末100とサービス提供装置400との間の2回目の接続に関するものなので、図11では1回目の接続(ステップS201)について詳細に記載していないが、1回目の接続時の動作は図12のようになる。
図12のステップS230,S231,S232,S233,S234,S235,S236の処理は、それぞれ図11のステップS202,S203,S204,S205,S206,S207,S208と同様であるので、説明は省略する。
NW接続応答パケットの受信後、ユーザ端末100のサービス要求部101は、記憶部102からSrvユーザIDを読み出し、このSrvユーザIDとユーザが入力したパスワードとを含むサービス利用要求パケットをプロキシ装置300に対して送信する(ステップS237)。
図12のステップS238,S239,S240の処理は、それぞれ図11のS210,S211,S212と同様である。
プロキシ装置300の利用回線ID要求部303は、応答パケットから取り出した利用回線IDをサービス要求中継部301に渡す。サービス要求中継部301は、ステップS237で送信されたサービス利用要求パケットから取り出したSrvユーザIDとパスワードと利用回線ID要求部303から受け取った利用回線IDとを含むサービス利用要求パケットを、サービス提供装置400に対して送信する(ステップS241)。
図12のステップS242,S243,S244,S245,S246の処理は、それぞれ図9のステップS131,S132,S133,S134,S135と同様である。
以上で、ユーザ端末100とサービス提供装置400との間の1回目の接続が完了する。
[第4の実施の形態]
次に、本発明の第4の実施の形態について説明する。図13は本発明の第4の実施の形態に係るユーザ認証システムの詳細な構成を示すブロック図である。なお、図13では、図4に示した無線LANアクセスポイント500およびネットワーク600を省略している。
本実施の形態は、第3の実施の形態のプロキシ装置300に記憶部304とセッション同一性確認部305を追加したものである。
図14はプロキシ装置300の記憶部304に記憶される情報を示す図である。プロキシ装置300の記憶部304には、ネットワーク600に接続したユーザ端末100が利用する回線を一意に識別するための利用回線IDと、NWユーザIDとが対応付けられてユーザ毎に登録される。
図15は本実施の形態のユーザ認証システムの動作を示すシーケンス図である。上記で説明したとおり、プロキシ装置300の記憶部304には、ネットワーク600に接続したユーザ端末100が利用する回線を識別するための利用回線IDと、このユーザ端末100を利用するユーザのNWユーザIDとの組が登録されている(ステップS200)。
本実施の形態のプロキシ装置300の利用回線ID要求部303は、ステップS212においてネットワーク管理装置200から送信された応答パケットを受信すると、この応答パケットからNWユーザIDと利用回線IDとを取り出し、このNWユーザIDと利用回線IDとをセッション同一性確認部305に渡して、セッションの同一性確認を要求する。
セッション同一性確認部305は、利用回線ID要求部303から渡されたNWユーザIDを基に記憶部304を参照して、記憶部304からNWユーザIDに対応する利用回線IDを取得し、取得した利用回線IDと利用回線ID要求部303から渡された利用回線IDとを比較する(ステップS220)。なお、NWユーザIDに対応する利用回線IDが複数存在する場合には、最新の利用回線IDを取得する。そして、セッション同一性確認部305は、利用回線IDが一致する場合、1回目のセッションと接続断後の2回目のセッションとが同一であると判断する。ここで、NWユーザIDと利用回線IDの少なくともいずれか一方が不一致の場合、セッションが同一ではないと判断し、プロキシ装置は、ユーザ端末へエラーを送信するか、無応答として終了する。
プロキシ装置300の利用回線ID要求部303は、セッションが同一であると判断された場合のみ、ネットワーク管理装置200からの応答パケットから取り出したNWユーザIDと利用回線IDとを対応付けて記憶部304に格納する(ステップS213)。
さらに、プロキシ装置300は、セッションが同一であると判断された場合のみ、ステップS214以降の処理を実施する。その他の処理は、第3の実施の形態で説明したとおりである。
以上のように、本実施の形態では、ネットワーク管理装置200が取得した接続情報(NWユーザID、利用回線ID)をプロキシ装置300にて履歴情報として管理し、接続断後の2回目の接続時には、プロキシ装置300にて最新の接続情報と履歴情報とを比較し、セッションが同一かどうか、すなわち同一ユーザが同一利用回線IDを使って接続を試みているかどうかを確認し、同一ユーザが同一利用回線IDを使って接続を試みていると判断した場合のみ、プロキシ装置300がサービス提供装置400にサービス利用要求を行うようにしたので、サービス提供者が自らユーザ確認することなく、ユーザ確認の確実性をさらに向上させることができる。また、本実施の形態では、最新の接続情報と履歴情報とを比較し、セッション(利用回線)が同一である場合のみ、プロキシ装置300がサービス利用要求の中継を行うため、不要なサービス利用要求がサービス提供装置400に配信されるのを防ぐことができるので、サービス提供装置400の負荷を軽減することができ、プロキシ装置300とサービス提供装置400間の通信トラフィック量を削減することができる。
なお、本実施の形態では、利用回線IDを用いてセッションの同一性を確認している。この確認方法は、ユーザと利用回線IDとが1対1の関係の場合に有効である。このような場合としては、ユーザ端末100が携帯電話の場合がある。
別の確認方法として、セッション同一性確認部305は、利用回線ID要求部303から渡された利用回線IDとNWユーザIDとの組が記憶部304に登録されているか否かを確認するようにしてもよい(ステップS220)。セッション同一性確認部305は、利用回線ID要求部303から渡された利用回線IDとNWユーザIDとの組が記憶部304に登録されている場合、1回目のセッションと接続断後の2回目のセッションとが同一であると判断する。この確認方法は、ユーザと利用回線IDとが多対1の関係の場合に有効である。このような場合としては、1つの利用回線IDを複数人で利用する場合、例えば、ユーザ端末100が無線LANのホットスポットなどで利用されるPCの場合がある。
また、本実施の形態では、利用回線IDをユーザ毎にプロキシ装置300の記憶部304に登録しており、ユーザに関するセッション同一性を確認することができる。
これに対して、利用回線IDをユーザ端末毎、すなわちユーザ端末のIPアドレス毎にプロキシ装置300の記憶部304に登録するようしてもよい。この場合、セッション同一性確認部305は、ユーザ端末100から送信されたサービス利用要求パケットから取り出された端末IPアドレスを基に記憶部304を参照して、記憶部304から端末IPアドレスに対応する利用回線IDを取得して、上記と同様にセッションの同一性を確認することになる。これにより、ユーザ端末100に関するセッション同一性を確認することができる。この場合、ユーザ端末100は、特にネットワーク管理装置200に管理されているものである必要はない。
[第5の実施の形態]
次に、本発明の第5の実施の形態について説明する。図16は本発明の第5の実施の形態に係るユーザ認証システムの詳細な構成を示すブロック図である。なお、図16では、図4に示した無線LANアクセスポイント500およびネットワーク600を省略している。本実施の形態は、第1の実施の形態の別の具体例を説明するものである。
ユーザ端末100は、サービス要求部101aと、記憶部102とを有する。ネットワーク管理装置200は、IPアドレス割当部202と、利用回線ID登録部203aと、利用回線ID応答部204と、記憶部205と、NW接続ユーザ認証部206とを有する。
プロキシ装置300は、サービス要求中継部301aと、利用回線ID通知部302aと、開示回線ID生成部306とを有する。
サービス提供装置400は、回線ID認証部401と、サービス提供部402と、記憶部403aとを有する。
図17はサービス提供装置400の記憶部403aに記憶される情報を示す図である。図17に示すように、サービス提供装置400の記憶部403aには、SrvユーザIDと、サービスを利用中のユーザ端末100が利用している回線を一意に識別するための開示回線IDとが対応付けられてユーザ毎に登録される。開示回線IDは、第2〜第4の実施の形態の利用回線IDの代わりに、プロキシ装置300から通知されるものである。
ユーザ端末100の記憶部102、無線LANアクセスポイント500、ネットワーク管理装置200の記憶部205に記憶される情報は、第2の実施の形態で説明したとおりである。
次に、図18を参照して本実施の形態のユーザ認証システムの動作について説明する。第2の実施の形態と同様に、ユーザ端末100とサービス提供装置400との間で、既に1回目の接続が行われているものとする(ステップS300)。
ここで、無線状況の悪化等に伴い接続断が発生したものとする。第2の実施の形態で説明したとおり、この接続断が発生しても、利用回線IDには変化がないものとする。
図18のステップS301,S302,S303,S304,S305,S306,S307の処理は、それぞれ図11のステップS202,S203,S204,S205,S206,S207,S208と同様であるので、説明は省略する。
無線LANアクセスポイント500からのNW接続応答パケットの受信後、ユーザ端末100のサービス要求部101aは、記憶部102からSrvユーザIDを読み出し、このSrvユーザIDと1回目の接続で利用中であったサービスのFQDN(Fully Qualified Domain Name)とを含むサービス利用要求パケットをプロキシ装置300に対して送信する(ステップS308)。
プロキシ装置300のサービス要求中継部301aは、ユーザ端末100からのサービス利用要求パケットを受信すると、このサービス利用要求パケットから送信元IPアドレス、すなわち端末IPアドレスを取り出すと共にサービスのFQDNを取り出して利用回線ID通知部302aに渡す。利用回線ID通知部302aは、端末IPアドレスを含む利用回線ID要求パケットをネットワーク管理装置200に送信する(ステップS309)。
ネットワーク管理装置200の利用回線ID応答部204は、プロキシ装置300からの利用回線ID要求パケットを受信すると、この利用回線ID要求パケットから端末IPアドレスを取り出して記憶部205を参照し、端末IPアドレスに対応する利用回線IDを検索する(ステップS310)。そして、利用回線ID応答部204は、検索した利用回線IDを含む応答パケットを要求元のプロキシ装置300に返送する(ステップS311)。なお、端末IPアドレスに対応する利用回線IDが複数存在する場合には、最新の利用回線IDを取得する。
プロキシ装置300の利用回線ID通知部302aは、ネットワーク管理装置200からの応答パケットを受信すると、この応答パケットから利用回線IDを取り出し、この利用回線IDとサービス要求中継部301aから受け取ったサービスのFQDNとを開示回線ID生成部306に渡す。開示回線ID生成部306は、利用回線IDとサービスのFQDNとを基にサービス提供装置400への開示用の開示回線IDを生成し、生成した開示回線IDを利用回線ID通知部302aに渡す(ステップS312)。回線IDの算出方法としては、利用回線IDとサービスのFQDNとを用いたハッシュ演算がある。
利用回線ID通知部302aは、開示回線ID生成部306から受け取った開示回線IDをサービス要求中継部301aに渡す。サービス要求中継部301aは、ステップS308で送信されたサービス利用要求パケットから取り出したSrvユーザIDと利用回線ID通知部302aから受け取った開示回線IDとを含むサービス利用要求パケットを、サービス提供装置400に対して送信する(ステップS313)。
サービス提供装置400のサービス提供部402は、プロキシ装置300からのサービス利用要求パケットを受信すると、このサービス利用要求パケットからSrvユーザIDと開示回線IDとを取り出して回線ID認証部401に渡し、ユーザ認証を要求する。回線ID認証部401は、サービス提供部402から渡されたSrvユーザIDを基に記憶部403aを参照し、SrvユーザIDに対応する開示回線IDを記憶部403aから取得する。SrvユーザIDに対応する開示回線IDが複数存在する場合には、最新の開示回線IDを取得する。そして、回線ID認証部401は、記憶部403aから取得した開示回線IDとサービス提供部402から渡された開示回線IDとを比較する(ステップS314)。
回線ID認証部401は、記憶部403aから取得した開示回線ID、すなわち前回の接続時に登録された開示回線IDとサービス提供部402から渡された今回の開示回線IDとが一致すれば、SrvユーザIDとサービス提供部402から渡された今回の開示回線IDとを対応付けて記憶部403aに登録する(ステップS315)。また、回線ID認証部401は、前回の接続時に登録された開示回線IDとサービス提供部402から渡された今回の開示回線IDとが一致すれば、サービス提供可能と判断する(ステップS316)。
サービス提供部402は、回線ID認証部401がサービス提供可能と判断した場合、プロキシ装置300のサービス要求中継部301を介してユーザ端末100にサービスを提供する(ステップS317,S318)。
第2〜第4の実施の形態では、ネットワーク管理装置200が管理する利用回線IDをそのままサービス提供装置400に通知しているため、複数のサービス提供者が結託してしまうと、ユーザの名寄せができてしまう可能性がある。
これに対して、本実施の形態では、利用回線IDをそのままサービス提供装置400に通知せずに、利用回線IDからハッシュ演算で開示回線IDを生成してサービス提供装置400に通知するようにしたので、名寄せを防止することができ、第2〜第4の実施の形態に比べてより確実なプライバシー保護を実現することができる。なお、本実施の形態は、第2〜第4の実施の形態のいずれにも適用可能である。
なお、本発明はユーザ端末100とサービス提供装置400との間の2回目の接続に関するものなので、図18では1回目の接続(ステップS300)について詳細に記載していないが、1回目の接続時の動作は図19のようになる。
図19のステップS320,S321,S322,S323,S324,S325,S326の処理は、それぞれ図18のステップS301,S302,S303,S304,S305,S306,S307と同様であるので、説明は省略する。
NW接続応答パケットの受信後、ユーザ端末100のサービス要求部101aは、記憶部102からSrvユーザIDを読み出し、このSrvユーザIDとユーザが入力したパスワードとを含むサービス利用要求パケットをプロキシ装置300に対して送信する(ステップS327)。
図19のステップS328,S329,S330,S331の処理は、それぞれ図18のS309,S310,S311,S312と同様である。
プロキシ装置300の利用回線ID通知部302aは、開示回線ID生成部306から受け取った開示回線IDをサービス要求中継部301aに渡す。サービス要求中継部301aは、ステップS327で送信されたサービス利用要求パケットから取り出したSrvユーザIDとパスワードと利用回線ID通知部302aから受け取った開示回線IDとを含むサービス利用要求パケットを、サービス提供装置400に対して送信する(ステップS332)。
サービス提供装置400のサービス提供部402は、プロキシ装置300からのサービス利用要求パケットを受信すると、このサービス利用要求パケットからSrvユーザIDとパスワードと開示回線IDとを取り出して回線ID認証部401に渡し、ユーザ認証を要求する。回線ID認証部401は、サービス提供部402から渡されたSrvユーザIDを基に記憶部403aを参照し、SrvユーザIDに対応するパスワードを記憶部403aから取得する。そして、回線ID認証部401は、記憶部403aから取得したパスワードとサービス提供部402から渡されたパスワードとを比較する(ステップS333)。
回線ID認証部401は、パスワードが一致すれば、SrvユーザIDとサービス提供部402から渡された今回の開示回線IDとを対応付けて記憶部403aに登録する(ステップS334)。また、回線ID認証部401は、パスワードが一致すれば、サービス提供可能と判断する(ステップS335)。
図19のステップS336,S337の処理は、それぞれ図18のステップS317,S318と同様である。
以上で、ユーザ端末100とサービス提供装置400との間の1回目の接続が完了する。
[第6の実施の形態]
次に、本発明の第6の実施の形態について説明する。図20は本発明の第6の実施の形態に係るユーザ認証システムの詳細な構成を示すブロック図である。なお、図20では、図4に示した無線LANアクセスポイント500およびネットワーク600を省略している。本実施の形態は、第1の実施の形態の別の具体例を説明するものである。
ユーザ端末100は、サービス要求部101bと、記憶部102とを有する。ネットワーク管理装置200は、IPアドレス割当部202と、利用回線ID登録部203aと、利用回線ID応答部204bと、記憶部205と、NW接続ユーザ認証部206とを有する。
プロキシ装置300は、サービス要求中継部301bと、利用回線ID通知部302bと、開示回線ID生成部306と、対応関係取得部307と、記憶部308とを有する。
サービス提供装置400は、回線ID認証部401と、サービス提供部402bと、記憶部403aとを有する。
図21はプロキシ装置300の記憶部308に記憶される情報を示す図である。図21に示すように、プロキシ装置300の記憶部308には、SrvユーザIDとNWユーザIDとが対応付けられてユーザ毎に登録される。
サービス提供装置400の記憶部403aに記憶される情報は、第5の実施の形態で説明したとおりであり、ユーザ端末100の記憶部102、無線LANアクセスポイント500、ネットワーク管理装置200の記憶部205に記憶される情報は、第2の実施の形態で説明したとおりである。
次に、図22を参照して本実施の形態のユーザ認証システムの動作について説明する。第2の実施の形態と同様に、ユーザ端末100とサービス提供装置400との間で、既に1回目の接続が行われているものとする(ステップS400)。
ここで、無線状況の悪化等に伴い接続断が発生したものとする。第2の実施の形態で説明したとおり、この接続断が発生しても、利用回線IDには変化がないものとする。
図22のステップS401,S402,S403,S404,S405,S406,S407の処理は、それぞれ図11のステップS202,S203,S204,S205,S206,S207,S208と同様であるので、説明は省略する。
無線LANアクセスポイント500からのNW接続応答パケットの受信後、ユーザ端末100のサービス要求部101bは、記憶部102からSrvユーザIDとNWユーザIDとを読み出し、このSrvユーザIDとNWユーザIDと1回目の接続で利用中であったサービスのFQDNとを含むサービス利用要求パケットをプロキシ装置300に対して送信する(ステップS408)。
プロキシ装置300のサービス要求中継部301bは、ユーザ端末100からのサービス利用要求パケットを受信すると、このサービス利用要求パケットからSrvユーザIDとNWユーザIDとを取り出して対応関係取得部307に渡す。対応関係取得部307は、サービス要求中継部301aから受け取ったSrvユーザIDとNWユーザIDとを対応付けて記憶部308に登録する(ステップS409)。
続いて、サービス要求中継部301bは、受信したサービス利用要求パケットから取り出したSrvユーザIDを含むサービス利用要求パケットを、サービス提供装置400に対して送信する(ステップS410)。
サービス提供装置400のサービス提供部402bは、プロキシ装置300からのサービス利用要求パケットを受信すると、このサービス利用要求パケットからSrvユーザIDを取り出し、このSrvユーザIDが自装置にとって有効なSrvユーザIDであるか否かを確認する(ステップS411)。サービス提供部402bは、サービス利用要求パケットから取り出したSrvユーザIDが既に記憶部403aに登録されている場合、SrvユーザIDが有効、すなわちSrvユーザIDのユーザが既にサービス提供者と契約していると判断する。ここで、SrvユーザIDが記憶部403aに登録されていない場合、SrvユーザIDは無効であり、プロキシ装置300は、ユーザ端末100へエラーを送信するか、無応答とする。
サービス提供部402bは、SrvユーザIDが有効であると判断した場合、このSrvユーザIDを含む回線ID要求パケットをプロキシ装置300に送信する(ステップS412)。
プロキシ装置300のサービス要求中継部301bは、サービス提供装置400からの回線ID要求パケットを受信した場合、この回線ID要求パケットからSrvユーザIDを取り出して記憶部308を参照し、SrvユーザIDに対応するNWユーザIDを検索する(ステップS413)。なお、SrvユーザIDに対応するNWユーザIDが複数存在する場合には、最新のNWユーザIDを取得する。
サービス要求中継部301bは、ステップS408においてユーザ端末100から送信されたサービス利用要求パケットからサービスのFQDNを取り出し、このFQDNとステップS413で検索したNWユーザIDとを利用回線ID通知部302bに渡す。利用回線ID通知部302bは、サービス要求中継部301bから受け取ったNWユーザIDを含む利用回線ID要求パケットをネットワーク管理装置200に送信する(ステップS414)。
ネットワーク管理装置200の利用回線ID応答部204bは、プロキシ装置300からの利用回線ID要求パケットを受信すると、この利用回線ID要求パケットからNWユーザIDを取り出して記憶部205を参照し、NWユーザIDに対応する利用回線IDを検索する(ステップS415)。そして、利用回線ID応答部204bは、検索した利用回線IDを含む応答パケットを要求元のプロキシ装置300に返送する(ステップS416)。なお、NWユーザIDに対応する利用回線IDが複数存在する場合には、最新の利用回線IDを取得する。
プロキシ装置300の利用回線ID通知部302bは、ネットワーク管理装置200からの応答パケットを受信すると、この応答パケットから利用回線IDを取り出し、この利用回線IDとサービス要求中継部301bから受け取ったサービスのFQDNとを開示回線ID生成部306に渡す。開示回線ID生成部306は、利用回線IDとサービスのFQDNとを基に開示回線IDを生成し、生成した開示回線IDを利用回線ID通知部302bに渡す(ステップS417)。
ステップS418,S419,S420,S421,S422,S423の処理は、それぞれ図18のステップS313,S314,S315,S316,S317,S318と同様であるので、説明は省略する。
第5の実施の形態では、 ユーザ端末100からのサービス利用要求をプロキシ装置300が受信し、サービス利用要求に開示回線IDを付与してサービス提供装置400に送信することで、サービス提供装置400が開示回線IDを取得するようになっている。
これに対して、本実施の形態では、ユーザ端末100からのサービス利用要求に開示回線IDを付加せずにサービス提供装置400に送り、このサービス利用要求を受けたサービス提供装置400がプロキシ装置300に開示回線IDを要求することで、サービス提供装置400が開示回線IDを取得するようになっている。本実施の形態の効果は、第5の実施の形と同様である。さらに、本実施の形態では、ステップS410〜S412の処理において、サービス提供装置400に対して、SrvユーザIDの確認を行い、当該SrvユーザIDが登録されている場合のみネットワーク管理装置200における利用回線ID検索が実施されるため、未登録のユーザからのサービス利用要求を排除することができ、ネットワーク管理装置200およびサービス提供装置400の負荷を軽減することができる。本実施の形態は、第2〜第4の実施の形態のいずれにも適用可能である。
なお、第5、第6の実施の形態では、回線IDの算出方法として、利用回線IDとサービスのFQDNとを用いたハッシュ演算を用いているが、これに限るものではなく、FQDNの代わりにサービスを特定可能な別の情報を用いてもよい。すなわち、サービス提供装置400のIPアドレスが一意に固定であれば、利用回線IDとサービス提供装置400のIPアドレスとを用いたハッシュ演算を行ってもよい。また、サービス提供装置400のIPアドレスが変化する可能性がある場合には、第5、第6の実施の形態のように利用回線IDとサービスのFQDNとを用いたハッシュ演算を行ってもよいし、利用回線IDとサービスのFQDNとセッション情報とを用いたハッシュ演算を行ってもよい。
なお、本発明はユーザ端末100とサービス提供装置400との間の2回目の接続に関するものなので、図22では1回目の接続(ステップS400)について詳細に記載していないが、1回目の接続時の動作は図23のようになる。
図23のステップS430、S431、S432、S433、S435、S436の処理は、それぞれ図22のステップS401,S402,S403,S404,S405,S406,S407と同様であるので、説明は省略する。
NW接続応答パケットの受信後、ユーザ端末100のサービス要求部101bは、記憶部102からSrvユーザIDを読み出し、このSrvユーザIDとユーザが入力したパスワードとを含むサービス利用要求パケットをプロキシ装置300に対して送信する(ステップS437)。
図23のステップS438,S439,S440,S441,S442,S443,S444,S445,S446の処理は、それぞれ図22のステップS409,S410,S411,S412,S413,S414,S415,S416,S417と同様である。
プロキシ装置300の利用回線ID通知部302aは、開示回線ID生成部306から受け取った開示回線IDをサービス要求中継部301aに渡す。サービス要求中継部301aは、ステップS437で送信されたサービス利用要求パケットから取り出したSrvユーザIDとパスワードと利用回線ID通知部302aから受け取った開示回線IDとを含むサービス利用要求パケットを、サービス提供装置400に対して送信する(ステップS447)。
サービス提供装置400のサービス提供部402は、プロキシ装置300からのサービス利用要求パケットを受信すると、このサービス利用要求パケットからSrvユーザIDとパスワードと開示回線IDとを取り出して回線ID認証部401に渡し、ユーザ認証を要求する。回線ID認証部401は、サービス提供部402から渡されたSrvユーザIDを基に記憶部403aを参照し、SrvユーザIDに対応するパスワードを記憶部403aから取得する。そして、回線ID認証部401は、記憶部403aから取得したパスワードとサービス提供部402から渡されたパスワードとを比較する(ステップS333)。
図23のステップS448,S449,S450,S451,S452の処理は、それぞれ図19のステップS333,S334,S335,S336,S337と同様である。
以上で、ユーザ端末100とサービス提供装置400との間の1回目の接続が完了する。
[第7の実施の形態]
次に、本発明の第7の実施の形態について説明する。図24は本発明の第7の実施の形態に係るユーザ認証システムの詳細な構成を示すブロック図である。なお、図24では、図4に示した無線LANアクセスポイント500およびネットワーク600を省略している。本実施の形態は、第1の実施の形態の別の具体例を説明するものである。
ユーザ端末100は、サービス要求部101aと、記憶部102とを有する。ネットワーク管理装置200は、IPアドレス割当部202と、利用回線ID登録部203aと、利用回線ID応答部204cと、記憶部205cと、NW接続ユーザ認証部206とを有する。
プロキシ装置300は、サービス要求中継部301cと、開示回線ID生成部306と、トークン発行部309と、セッション同一性確認部311と、記憶部312とを有する。トークン発行部309は、回線ID取得手段を構成している。
サービス提供装置400は、サービス提供部402cと、記憶部403cと、トークン認証部404と、セッション同一性検証部405とを有する。
図25はネットワーク管理装置200の記憶部205cに記憶される情報を示す図、図26はプロキシ装置300の記憶部312に記憶される情報を示す図、図27はサービス提供装置400の記憶部403cに記憶される情報を示す図である。
図25に示すように、ネットワーク管理装置200の記憶部205cには、利用回線IDと、ユーザ端末100に割り当てられたIPアドレスと、NWユーザIDと、前回切断時刻とが対応付けられてユーザ毎に登録される。
図26に示すように、プロキシ装置300の記憶部312には、NWユーザIDと、開示回線IDと、ユーザ端末100に割り当てられたIPアドレスと、最新の接続時にプロキシ装置300が発行したトークンと、前回の接続時にプロキシ装置300が発行したトークンであるリンク先トークンと、前回切断時刻と、今回切断時刻とが対応付けられてユーザ毎に登録される。
図27に示すように、サービス提供装置400の記憶部403cには、SrvユーザIDと、トークンと、開示回線IDとが対応付けられてユーザ毎に登録される。
トークンおよびリンク先トークンには、それぞれ開示回線IDと、トークンを一意に識別するためのトークン識別子(例えば「Token001」)と、前回セッション確立時のトークン識別子(リンク先トークン識別子)と、時間情報(今回の接続確立時刻情報、前回の切断時刻情報)とが含まれる。トークンについて、最低限の要求は情報の連結である。ただし、後述のようにセキュリティを高めるためのトークンの検証をサービス提供装置400で行うためには、トークンにプロキシ装置300の秘密鍵による署名等の情報を付加しておくことが必要である。
次に、図28を参照して本実施の形態のユーザ認証システムの動作について説明する。上記で説明したとおり、プロキシ装置300の記憶部312には、ネットワーク600に接続したユーザ端末100を利用するユーザのNWユーザIDと、ユーザ端末100が利用する回線を識別するための開示回線IDとの組が登録されている(ステップS500)。ユーザ端末100とサービス提供装置400との間では、既にトークンによる1回目の接続が行われているものとする(ステップS501)。
ここで、無線状況の悪化等に伴い接続断が発生したものとする。第2の実施の形態で説明したとおり、この接続断が発生しても、利用回線IDには変化がないものとする。
図28のステップS502,S503,S504,S505,S506,S507,S508の処理は、それぞれ図11のステップS202,S203,S204,S205,S206,S207,S208と同様であるので、説明は省略する。
無線LANアクセスポイント500からのNW接続応答パケットの受信後、ユーザ端末100のサービス要求部101aは、記憶部102からSrvユーザIDを読み出し、このSrvユーザIDと1回目の接続で利用中であったサービスのFQDNとを含むサービス利用要求パケットをプロキシ装置300に対して送信する(ステップS509)。
プロキシ装置300のサービス要求中継部301cは、ユーザ端末100からのサービス利用要求パケットを受信すると、このサービス利用要求パケットから送信元IPアドレス、すなわち端末IPアドレスを取り出すと共にサービスのFQDNを取り出してトークン発行部309に渡す。トークン発行部309は、端末IPアドレスを含む利用回線ID要求パケットをネットワーク管理装置200に送信する(ステップS510)。
ネットワーク管理装置200の利用回線ID応答部204cは、プロキシ装置300からの利用回線ID要求パケットを受信すると、この利用回線ID要求パケットから端末IPアドレスを取り出して記憶部205cを参照し、端末IPアドレスに対応するNWユーザIDと利用回線IDと前回切断時刻とを検索する(ステップS511)。そして、利用回線ID応答部204cは、検索したNWユーザIDと利用回線IDと前回切断時刻とを含む応答パケットを要求元のプロキシ装置300に返送する(ステップS512)。なお、端末IPアドレスに対応するNWユーザIDと利用回線IDと前回切断時刻とが複数組存在する場合には、最新のNWユーザIDと利用回線IDと前回切断時刻との組を取得する。
プロキシ装置300のトークン発行部309は、ネットワーク管理装置200からの応答パケットを受信すると、この応答パケットから利用回線IDを取り出し、この利用回線IDとサービス要求中継部301cから受け取ったサービスのFQDNとを開示回線ID生成部306に渡す。開示回線ID生成部306は、利用回線IDとサービスのFQDNとを基にサービス提供装置400への開示用の開示回線IDを生成し、生成した開示回線IDをトークン発行部309に渡す(ステップS513)。第5の実施の形で説明したとおり、回線IDの算出方法としては、利用回線IDとサービスのFQDNとを用いたハッシュ演算がある。
トークン発行部309は、ネットワーク管理装置200からの応答パケットから取り出したNWユーザIDと開示回線ID生成部306から受け取った開示回線IDとをセッション同一性確認部311に渡して、セッションの同一性確認を要求する。セッション同一性確認部311は、トークン発行部309から渡されたNWユーザIDと開示回線IDとを基に記憶部312を参照して、記憶部312からNWユーザIDと開示回線IDとに対応するトークンを取得する(ステップS514)。対応するトークンが複数存在する場合には、最新のトークンを取得する。
セッション同一性確認部311は、取得したトークンに含まれる開示回線IDとトークン発行部309から渡された開示回線IDとを比較する(ステップS515)。そして、セッション同一性確認部311は、開示回線IDが一致する場合、1回目のセッションと接続断後の2回目のセッションとが同一であると判断する。
トークン発行部309は、セッションが同一であると判断された場合、トークンを生成し(ステップS516)、ネットワーク管理装置200からの応答パケットから取り出したNWユーザIDと前回切断時刻と、開示回線ID生成部306から受け取った開示回線IDと、サービス要求中継部301cから受け取った端末IPアドレスと、生成したトークンとを対応付けて記憶部312に格納すると同時に、これらの情報に対応するリンク先トークンとしてセッション同一性確認部311が取得したトークンを記憶部312に格納する(ステップS517)。このとき、格納しようとするNWユーザIDと開示回線IDと端末IPアドレスに関して、既に同一のレコードが記憶部312に格納されている場合にはこのレコードに対して上書きを実施してもよいし、レコードを新たに追記してもよい。ただし、追記の場合には履歴情報が増加していってしまうため、定期的に古いレコードの削除等の処理を行う。
トークン発行部309は、発行したトークンと開示回線ID生成部306から受け取った開示回線IDとをサービス要求中継部301cに渡す。サービス要求中継部301cは、この開示回線IDを含むトークンとステップS509で送信されたサービス利用要求パケットから取り出したSrvユーザIDとを含むサービス利用要求パケットをサービス提供装置400に対して送信する(ステップS518)。
サービス提供装置400のサービス提供部402cは、プロキシ装置300からのサービス利用要求パケットを受信すると、このサービス利用要求パケットからトークンと開示回線IDとSrvユーザIDとを取り出してトークン認証部404に渡し、トークン認証を要求する。トークン認証部404は、サービス提供部402cから受け取ったトークンが信頼できるプロキシ装置が発行したトークンか否かを検証、すなわちトークンの署名をプロキシ装置の公開鍵で検証する(ステップS519)。
トークン認証部404は、サービス提供部402cから受け取ったトークンが信頼できるプロキシ装置が発行したトークンであると判断した場合、サービス提供部402cから受け取ったSrvユーザIDを基に記憶部403cを参照し、記憶部403cからSrvユーザIDに対応するトークンを取得して、このトークンとサービス提供部402cから受け取ったトークンとをセッション同一性検証部405に渡して、セッションの同一性確認を要求する。なお、SrvユーザIDに対応するトークンが複数存在する場合には、最新のトークンを取得する。
セッション同一性検証部405は、記憶部403cから取得されたトークン、すなわち前回の接続時に登録されたトークンに含まれるトークン識別子と、プロキシ装置300からのサービス利用要求パケットから取り出されたトークンに含まれるリンク先トークン識別子とを比較する(ステップS520)。そして、セッション同一性検証部405は、トークン識別子が一致する場合、1回目のセッションと接続断後の2回目のセッションとが同一であると判断する。
トークン認証部404は、セッションが同一であると判断された場合、サービス提供部402cから受け取ったSrvユーザIDとトークンと開示回線IDとを対応付けて記憶部403cに登録する(ステップS521)。また、サービス提供装置400は、サービス提供部402cから受け取ったトークンが信頼できるプロキシ装置が発行したトークンであり、1回目のセッションと接続断後の2回目のセッションとが同一であれば、サービス提供可能と判断する(ステップS522)。
サービス提供部402cは、トークン認証部404がサービス提供可能と判断した場合、プロキシ装置300のサービス要求中継部301cを介してユーザ端末100にサービスを提供する(ステップS523,S524)。
以上のように、プロキシ装置300において開示回線IDやトークンに加え、ユーザの接続履歴(NWユーザIDとリンク先トークン)も管理することにより、プロキシ装置300は前回接続履歴を確実に確認することができ、無駄なトークン発行や長期有効なトークンの発行を抑止することができる。また、本実施の形態では、サービス提供装置400において前回セッション確立時のトークンを管理することにより、サービス提供装置400はセッションの同一性を確認することができる。さらに、本実施の形態では、プロキシ装置300において前回接続時のトークン(リンク先トークン)を管理することにより、ネットワーク事業者によってセッションの同一性が保証されるため、より厳密なセッションの確認を行うことができる。
なお、ネットワーク管理装置200の記憶部205cに記憶される前回切断時刻と、プロキシ装置300の記憶部312に記憶される前回切断時刻と今回切断時刻とは、必須の要件ではない。
[第8の実施の形態]
次に、本発明の第8の実施の形態について説明する。図29は本発明の第8の実施の形態に係るユーザ認証システムの詳細な構成を示すブロック図である。なお、図29では、図4に示した無線LANアクセスポイント500およびネットワーク600を省略している。本実施の形態は、第1の実施の形態の別の具体例を説明するものである。
ユーザ端末100は、サービス要求部101aと、記憶部102とを有する。ネットワーク管理装置200は、IPアドレス割当部202と、利用回線ID登録部203aと、利用回線ID応答部204bと、記憶部205cと、NW接続ユーザ認証部206とを有する。
プロキシ装置300は、サービス要求中継部301dと、開示回線ID生成部306と、対応関係取得部307と、記憶部308と、トークン発行部309dと、セッション同一性確認部311と、記憶部312dとを有する。
サービス提供装置400は、サービス提供部402dと、記憶部403cと、トークン認証部404と、セッション同一性検証部405とを有する。
図30はプロキシ装置300の記憶部312dに記憶される情報を示す図である。図30に示すように、プロキシ装置300の記憶部312dには、NWユーザIDと、開示回線IDと、ユーザ端末100に割り当てられたIPアドレスと、最新の接続時にプロキシ装置300が発行したトークンと、前回の接続時にプロキシ装置300が発行したトークンであるリンク先トークンと、前回前回切断時刻と、今回切断時刻とが対応付けられてユーザ毎に登録される。
サービス提供装置400の記憶部403cに記憶される情報は、第7の実施の形態で説明したとおりであり、ユーザ端末100の記憶部102、無線LANアクセスポイント500、ネットワーク管理装置200の記憶部205cに記憶される情報は、第7の実施の形態で説明したとおりである。
次に、図31を参照して本実施の形態のユーザ認証システムの動作について説明する。上記で説明したとおり、プロキシ装置300の記憶部312dには、ネットワーク600に接続したユーザ端末100を利用するユーザのNWユーザIDと、ユーザ端末100が利用する回線を識別するための開示回線IDとの組が登録されている(ステップS600)。ユーザ端末100とサービス提供装置400との間では、既にトークンによる1回目の接続が行われているものとする(ステップS601)。
ここで、無線状況の悪化等に伴い接続断が発生したものとする。第2の実施の形態で説明したとおり、この接続断が発生しても、利用回線IDには変化がないものとする。
図28のステップS602,S603,S604,S605,S606,S607,S608の処理は、それぞれ図11のステップS202,S203,S204,S205,S206,S207,S208と同様であるので、説明は省略する。
無線LANアクセスポイント500からのNW接続応答パケットの受信後、ユーザ端末100のサービス要求部101bは、記憶部102からSrvユーザIDとNWユーザIDとを読み出し、このSrvユーザIDとNWユーザIDと1回目の接続で利用中であったサービスのFQDNとを含むサービス利用要求パケットをプロキシ装置300に対して送信する(ステップS609)。
プロキシ装置300のサービス要求中継部301dは、ユーザ端末100からのサービス利用要求パケットを受信すると、このサービス利用要求パケットからSrvユーザIDとNWユーザIDとを取り出して対応関係取得部307に渡す。対応関係取得部307は、サービス要求中継部301dから受け取ったSrvユーザIDとNWユーザIDとを対応付けて記憶部308に登録する(ステップS610)。
続いて、サービス要求中継部301dは、受信したサービス利用要求パケットから取り出したSrvユーザIDを含むサービス利用要求パケットを、サービス提供装置400に対して送信する(ステップS611)。
サービス提供装置400のサービス提供部402dは、プロキシ装置300からのサービス利用要求パケットを受信すると、このサービス利用要求パケットからSrvユーザIDを取り出し、このSrvユーザIDが自装置にとって有効なSrvユーザIDであるか否かを確認する(ステップS612)。サービス提供部402dは、サービス利用要求パケットから取り出したSrvユーザIDが既に記憶部403cに登録されている場合、SrvユーザIDが有効、すなわちSrvユーザIDのユーザが既にサービス提供者と契約していると判断する。
サービス提供部402dは、SrvユーザIDが有効であると判断した場合、このSrvユーザIDを含む回線ID要求パケットをプロキシ装置300に送信する(ステップS613)。
プロキシ装置300のサービス要求中継部301dは、サービス提供装置400からの回線ID要求パケットを受信した場合、この回線ID要求パケットからSrvユーザIDを取り出して記憶部308を参照し、SrvユーザIDに対応するNWユーザIDを検索する(ステップS614)。なお、SrvユーザIDに対応するNWユーザIDが複数存在する場合には、最新のNWユーザIDを取得する。
サービス要求中継部301dは、ステップS609においてユーザ端末100から送信されたサービス利用要求パケットからサービスのFQDNを取り出し、このFQDNとステップS614で検索したNWユーザIDとをトークン発行部309dに渡す。トークン発行部309dは、サービス要求中継部301dから受け取ったNWユーザIDを含む利用回線ID要求パケットをネットワーク管理装置200に送信する(ステップS615)。
ネットワーク管理装置200の利用回線ID応答部204bは、プロキシ装置300からの利用回線ID要求パケットを受信すると、この利用回線ID要求パケットからNWユーザIDを取り出して記憶部205cを参照し、NWユーザIDに対応する利用回線IDを検索する(ステップS616)。そして、利用回線ID応答部204bは、検索した利用回線IDを含む応答パケットを要求元のプロキシ装置300に返送する(ステップS617)。なお、NWユーザIDに対応する利用回線IDが複数存在する場合には、最新の利用回線IDを取得する。
図31のステップS618,S619,S620,S621の処理は、図28のステップS513,S514,S515,S516と同様であるので、説明は省略する。
トークン発行部309dは、トークン生成後、ネットワーク管理装置200からの応答パケットから取り出したNWユーザIDと、開示回線ID生成部306から受け取った開示回線IDと、サービス要求中継部301dから受け取った端末IPアドレスと、生成したトークンと、セッション同一性確認部311から渡されたリンク先トークンと、現在時刻とを対応付けて記憶部312dに格納する(ステップS622)。このとき、格納しようとするNWユーザIDと開示回線IDと端末IPアドレスに関して、既に同一のレコードが記憶部312に格納されている場合にはこのレコードに対して上書きを実施してもよいし、レコードを新たに追記してもよい。
図31のステップS623,S624,S625,S626,S627,S628,S629の処理は、それぞれ図28のステップS518,S519,S520,S521,S522,S523,S524と同様であるので、説明は省略する。
本実施の形態は、第6、第7の実施の形態を組み合わせたものであり、第6、第7の実施の形態と同様の効果を有する。
なお、ネットワーク管理装置200の記憶部205cに記憶される前回切断時刻と、プロキシ装置300の記憶部312dに記憶される前回切断時刻と今回切断時刻とは、必須の要件ではない。
[第9の実施の形態]
次に、本発明の第9の実施の形態について説明する。図32は本発明の第9の実施の形態に係るユーザ認証システムの詳細な構成を示すブロック図である。なお、図32では、図4に示した無線LANアクセスポイント500およびネットワーク600を省略している。本実施の形態は、第1の実施の形態の別の具体例を説明するものである。
ユーザ端末100は、サービス要求部101aと、記憶部102とを有する。ネットワーク管理装置200は、IPアドレス割当部202と、利用回線ID登録部203eと、利用回線ID応答部204eと、記憶部205eと、NW接続ユーザ認証部206eとを有する。
プロキシ装置300は、サービス要求中継部301eと、開示回線ID生成部306と、トークン発行部309eと、セッション同一性確認部311と、記憶部312とを有する。トークン発行部309eは、回線ID取得手段と接続形態情報取得手段とを構成している。
サービス提供装置400は、サービス提供部402eと、記憶部403eと、トークン認証部404eと、セッション同一性検証部405と、サービス決定部406とを有する。
図33はサービス提供装置400の記憶部403eに記憶される情報を示す図、図34はネットワーク管理装置200の記憶部205eに記憶される情報を示す図である。
図33に示すように、サービス提供装置400の記憶部403eには、SrvユーザIDと、トークンと、開示回線IDと、ユーザ端末100の接続形態情報とが対応付けられてユーザ毎に登録される。ユーザ端末100の接続形態情報としては、通信速度情報(Connect-Info)、接続方式情報(NAS-Port-Type)、ユーザの課金情報(Vender-Specific)などがある。さらに、接続方式の例としては、Ethernet(登録商標),Wireless802.11,ADSL,ISDNなどがある。なお、上記では、Connect-Info,NAS-Port-Type,Vender-Specificを用いる場合について記載したが、用いる属性情報(RADIUS Attribute)はこれらに限定されることはなく、他の属性情報(RADIUS Attribute)を用いてもよい。
図34に示すように、ネットワーク管理装置200の記憶部205eには、ネットワーク600に接続したユーザ端末100が利用する回線を識別するための利用回線IDと、ユーザ端末100に割り当てられたIPアドレスと、NWユーザIDと、接続形態情報とが対応付けられてユーザ毎に登録される。
ユーザ端末100の記憶部102、無線LANアクセスポイント500に記憶される情報は、第2の実施の形態で説明したとおりであり、プロキシ装置300の記憶部312に記憶される情報は、第7の実施の形態で説明したとおりである。
次に、図35を参照して本実施の形態のユーザ認証システムの動作について説明する。上記で説明したとおり、プロキシ装置300の記憶部312には、ネットワーク600に接続したユーザ端末100を利用するユーザのNWユーザIDと、ユーザ端末100が利用する回線を識別するための開示回線IDと利用回線IDとの組が登録されている(ステップS700)。ユーザ端末100とサービス提供装置400との間では、既にトークンによる1回目の接続が行われているものとする(ステップS701)。ここでは、例えば11Mbpsの通信速度でサービス提供装置400からユーザ端末100へ動画が配信されていたものとする。
ここで、無線状況の悪化等に伴い接続断が発生したものとする。第2の実施の形態で説明したとおり、この接続断が発生しても、利用回線IDには変化がないものとする。
ユーザ端末100のサービス要求部101bは、接続断が発生すると、記憶部102からNWユーザIDを読み出し、このNWユーザIDを含むNW接続要求パケットを送信する(ステップS702)。
本実施の形態では、ネットワーク接続時の利用回線IDと接続形態情報の取得のためにラディウスプロトコルを利用する。すなわち、ラディウスクライアントとなる無線LANアクセスポイント500は、ユーザ端末100からのNW接続要求パケットを受信すると、接続形態情報を含むアクセスリクエストメッセージをネットワーク管理装置200に送信する(ステップS703)。接続形態情報は、アクセスリクエストメッセージのAVP(Attribute Value Pair)に格納される。
図35のステップS704,S705の処理は、それぞれ図11のステップS204,S205と同様であるので、説明は省略する。
NW接続ユーザ認証部206eは、IPアドレス割当部202が割り当てたIPアドレスと、受信したアクセスリクエストメッセージから取り出したNWユーザIDと接続形態情報とを利用回線ID登録部203eに渡す。利用回線ID登録部203eは、アクセスリクエストメッセージに含まれるアトリビュート情報により、ユーザ端末100が利用している回線を識別するための利用回線IDを取得し、この利用回線IDとNW接続ユーザ認証部206eから受け取ったIPアドレスとNWユーザIDと接続形態情報とを対応付けて記憶部205eに格納する(ステップS706)。
図35のステップS707,S708の処理は、それぞれ図11のS207,S208と同様であるので、説明は省略する。
無線LANアクセスポイント500からのNW接続応答パケットの受信後、ユーザ端末100のサービス要求部101aは、記憶部102からSrvユーザIDを読み出し、このSrvユーザIDと1回目の接続で利用中であったサービスのFQDNとを含むサービス利用要求パケットをプロキシ装置300に対して送信する(ステップS709)。
プロキシ装置300のサービス要求中継部301eは、ユーザ端末100からのサービス利用要求パケットを受信すると、このサービス利用要求パケットから送信元IPアドレス、すなわち端末IPアドレスを取り出すと共にサービスのFQDNを取り出してトークン発行部309eに渡す。トークン発行部309eは、端末IPアドレスを含む利用回線ID要求パケットをネットワーク管理装置200に送信する(ステップS710)。
ネットワーク管理装置200の利用回線ID応答部204eは、プロキシ装置300からの利用回線ID要求パケットを受信すると、この利用回線ID要求パケットから端末IPアドレスを取り出して記憶部205eを参照し、端末IPアドレスに対応するNWユーザIDと利用回線IDと接続形態情報とを検索する(ステップS711,S712)。そして、利用回線ID応答部204eは、検索したNWユーザIDと利用回線IDと接続形態情報とを含む応答パケットを要求元のプロキシ装置300に返送する(ステップS713)。なお、端末IPアドレスに対応するNWユーザIDと利用回線IDと接続形態情報とが複数組存在する場合には、最新のNWユーザIDと利用回線IDと接続形態情報との組を取得する。
図35のステップS714,S715,S716,S717の処理は、図28のステップS513,S514,S515,S516と同様であるので、説明は省略する。
トークン発行部309eは、トークン生成後、ネットワーク管理装置200からの応答パケットから取り出したNWユーザIDと利用回線IDと接続形態情報と、開示回線ID生成部306から受け取った開示回線IDと、サービス要求中継部301eから受け取った端末IPアドレスと、生成したトークンと、セッション同一性確認部311から渡されたリンク先トークンと、現在時刻とを対応付けて記憶部312に格納する(ステップS718)。このとき、格納しようとするNWユーザIDと開示回線IDと端末IPアドレスに関して、既に同一のレコードが記憶部312に格納されている場合にはこのレコードに対して上書きを実施してもよいし、レコードを新たに追記してもよい。
トークン発行部309eは、発行したトークンと開示回線ID生成部306から受け取った開示回線IDとネットワーク管理装置200からの応答パケットから取り出した接続形態情報とをサービス要求中継部301eに渡す。サービス要求中継部301eは、このトークンと開示回線IDと接続形態情報とステップS709で送信されたサービス利用要求パケットから取り出したSrvユーザIDとを含むサービス利用要求パケットをサービス提供装置400に対して送信する(ステップS719)。
サービス提供装置400のサービス提供部402eは、プロキシ装置300からのサービス利用要求パケットを受信すると、このサービス利用要求パケットからトークンと開示回線IDとSrvユーザIDと接続形態情報とを取り出してトークン認証部404eに渡し、トークン認証を要求する。
図35のステップS720,S721の処理は、それぞれ図28のS519,S520と同様であるので、説明は省略する。
トークン認証部404eは、ステップS721においてセッションが同一であると判断された場合、サービス提供部402eから受け取ったトークンと開示回線IDとSrvユーザIDと接続形態情報とを対応付けて記憶部403eに登録する(ステップS722)。また、サービス提供装置400は、サービス提供部402eから受け取ったトークンが信頼できるプロキシ装置が発行したトークンであり、1回目のセッションと接続断後の2回目のセッションとが同一であれば、サービス提供可能と判断する(ステップS723)。
サービス提供部402eは、トークン認証部404eがサービス提供可能と判断した場合、プロキシ装置300からのサービス利用要求パケットから取り出したSrvユーザIDをサービス決定部406に渡し、ユーザ端末100に提供するサービスを決定するよう要求する。この要求に応じて、サービス決定部406は、サービス提供部402eから渡されたSrvユーザIDを基に記憶部403eを参照して、SrvユーザIDに対応する接続形態情報を取得する。そして、サービス決定部406は、取得した接続形態情報に応じて、ユーザ端末100に提供するサービスを決定する(ステップS724)。
このとき、サービス決定部406は、1回目の接続の通信速度が例えば11Mbpsで新たに取得した最新の接続形態情報に基づく通信速度が1Gbpsである場合、より高画質な動画配信が可能であるので、ユーザ端末100に提供する動画の画質を1Gbpsに対応する高画質な動画へと切り換えることを決定する。
サービス提供部402eは、サービス決定部406の決定に応じたサービスを、プロキシ装置300のサービス要求中継部301eを介してユーザ端末100に提供する(ステップS725,S726)。
以上のように、本実施の形態では、トークンに加えて接続形態情報をサービス提供装置400に送ることにより、サービス提供装置400は例えば通信速度が速いときには高ビットレートの動画配信を行い、通信速度が低いときには低ビットレートの動画配信を行うといったようにサービスを切り換えることができ、ユーザの状況に合わせたサービスを提供することができる。本実施の形態の例では、最初はユーザ端末100と無線LANで接続していたので通信速度が11Mbpsであったが、有線LANに切り替えたことによって通信速度が1Gbpsに向上した。サービス提供装置400では、1回目の接続と接続断後の2回目のセッションとが同一であることを確認できるので、ユーザ端末100が同一サービスを継続利用しようとしていることを確認できる。この場合、本実施の形態では、サービスの継続利用が可能であるだけでなく、帯域幅の増加に見合ったサービス(より高画質動画の配信など)にサービスを切り替えることが可能となる。
なお、本実施の形態では、接続形態情報の取得にラディウスプロトコルを利用したが、ダイアミタ(DIAMETER)プロトコルやその他のプロトコルを利用してもかまわない。
また、プロキシ装置300の記憶部312に記憶される前回切断時刻と今回切断時刻とは、必須の要件ではない。
第1〜第9の実施の形態のユーザ端末、ネットワーク管理装置、プロキシ装置、サービス提供装置の各々は、それぞれCPU、記憶装置および外部とのインタフェースを備えたコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。このようなコンピュータにおいて、本発明のユーザ認証方法を実現させるためのプログラムは、フレキシブルディスク、CD−ROM、DVD−ROM、メモリカードなどの記録媒体に記録された状態で提供される。各々の装置のCPUは、記録媒体から読み込んだプログラムを記憶装置に書き込み、プログラムに従って第1〜第9の実施の形態で説明した処理を実行する。
本発明は、サービス提供装置のサービスを受けようとする無線端末等のユーザ端末を認証する技術に適用することができる。
1,100…ユーザ端末、2,200…ネットワーク管理装置、3,300…プロキシ装置、4,400…サービス提供装置、10,101,101b…サービス要求部、20,40,102,205,205c,205e,308,312,312d,403,403a,403c,403e…記憶部、30…回線ID取得部、31,301,301a,301b,301c,301d,301e…サービス要求中継部、40…記憶部、41,401…回線ID認証部、42,402,402b,402c,402d,402e…サービス提供部、101,101a…サービス要求部、201…NWユーザID取得部、202…IPアドレス割当部、203,203a,203e…利用回線ID登録部、204,204a,204b,204c,204e…利用回線ID応答部、206,206e…NW接続ユーザ認証部、302,302a,302b…利用回線ID通知部、303…利用回線ID要求部、305…セッション同一性確認部、306…開示回線ID生成部、307…対応関係取得部、309,309d,309e…トークン発行部、311…セッション同一性確認部、404…トークン認証部、405…セッション同一性検証部。

Claims (17)

  1. サービス利用要求を行うユーザ端末と、
    ネットワークを管理するネットワーク管理装置と、
    前記ユーザ端末からのサービス利用要求を中継するプロキシ装置と、
    このプロキシ装置によって中継されたサービス利用要求に応じて、前記ネットワークを介して前記ユーザ端末にサービスを提供するサービス提供装置とを備え、
    前記ネットワーク管理装置は、
    前記ユーザ端末が利用する回線のIDをユーザ端末毎に記憶する第1の記憶手段を有し、
    前記プロキシ装置は、
    前記ユーザ端末からサービス利用要求を受けたときに、このユーザ端末が利用する回線のIDを前記ネットワーク管理装置から取得する回線ID取得手段と、
    前記ユーザ端末からのサービス利用要求に前記回線ID取得手段が取得した回線IDを付加して前記サービス提供装置に送るサービス要求中継手段とを有し、
    前記サービス提供装置は、
    前回のサービス利用時にユーザ端末が利用していた回線のIDをサービス提供装置が管理するユーザ毎に記憶する第2の記憶手段と、
    前記ユーザ端末から前記プロキシ装置を介してサービス利用要求を受けたときに、このサービス利用要求に付加された回線IDと前記第2の記憶手段に記憶されている当該ユーザ端末の回線IDとを比較する回線ID認証手段と、
    前記回線IDが一致したときに、前記サービス利用要求を送信したユーザ端末にサービスを提供するサービス提供手段とを有することを特徴とするユーザ認証システム。
  2. 請求項1記載のユーザ認証システムにおいて、
    前記プロキシ装置は、さらに、回線IDをユーザ端末毎に記憶する第3の記憶手段と、
    前記ユーザ端末からサービス利用要求を受けたときに前記回線ID取得手段が取得した回線IDと前記第3の記憶手段に記憶されている当該ユーザ端末の前回の接続時の回線IDとを比較して、前回の接続と今回の接続とが同一のセッションかどうかを確認するセッション同一性確認手段とを有し、
    前記プロキシ装置の回線ID取得手段は、前回の接続と今回の接続とが同一のセッションであると判断された場合のみ、前記ネットワーク管理装置から取得した回線IDを前記第3の記憶手段に記憶させ、
    前記プロキシ装置のサービス要求中継手段は、前回の接続と今回の接続とが同一のセッションであると判断された場合のみ、前記ユーザ端末からのサービス利用要求に前記回線ID取得手段が取得した回線IDを付加して前記サービス提供装置に送ることを特徴とするユーザ認証システム。
  3. 請求項記載のユーザ認証システムにおいて、
    前記プロキシ装置は、さらに、回線IDと、ネットワーク管理装置が管理するユーザを一意に識別するNWユーザIDとを対応付けて記憶する第3の記憶手段と、
    前記ユーザ端末からサービス利用要求を受けたときに前記回線ID取得手段が取得した回線IDとNWユーザIDの組と前記第3の記憶手段に記憶されている当該ユーザ端末の前回の接続時の回線IDとNWユーザIDの組とを比較して、前回の接続と今回の接続とが同一のセッションかどうかを確認するセッション同一性確認手段とを有し、
    前記ネットワーク管理装置の第1の記憶手段は、前記ユーザ端末が利用する回線のIDをユーザのNWユーザIDと共に記憶し、
    前記プロキシ装置の回線ID取得手段は、前記ユーザ端末からサービス利用要求を受けたときに、このユーザ端末が利用する回線のIDとユーザのNWユーザIDとを前記ネットワーク管理装置から取得し、前記セッション同一性確認手段によって前回の接続と今回の接続とが同一のセッションであると判断された場合のみ、前記ネットワーク管理装置から取得した回線IDとNWユーザIDとを前記第3の記憶手段に記憶させ、
    前記プロキシ装置のサービス要求中継手段は、前回の接続と今回の接続とが同一のセッションであると判断された場合のみ、前記ユーザ端末からのサービス利用要求に前記回線ID取得手段が取得した回線IDを付加して前記サービス提供装置に送ることを特徴とするユーザ認証システム。
  4. 請求項記載のユーザ認証システムにおいて、
    前記プロキシ装置は、さらに、前記回線ID取得手段が取得した回線IDからハッシュ演算で開示回線IDを生成する開示回線ID生成手段を有し、
    前記プロキシ装置のサービス要求中継手段は、前記回線ID取得手段が取得した回線IDの代わりに、前記開示回線ID生成手段が生成した開示回線IDを前記ユーザ端末からのサービス利用要求に付加して前記サービス提供装置に送信し、
    前記サービス提供装置の第2の記憶手段は、前回のサービス利用時にユーザ端末が利用していた回線の開示回線IDをサービス提供装置が管理するユーザ毎に記憶し、
    前記サービス提供装置の回線ID認証手段は、前記サービス利用要求に付加された開示回線IDと前記第2の記憶手段に記憶されている当該ユーザ端末の開示回線IDとを比較することを特徴とするユーザ認証システム。
  5. 請求項2または3記載のユーザ認証システムにおいて、
    前記プロキシ装置は、さらに、前記回線ID取得手段が取得した回線IDからハッシュ演算で開示回線IDを生成する開示回線ID生成手段を有し、
    前記プロキシ装置のサービス要求中継手段は、前記回線ID取得手段が取得した回線IDの代わりに、前記開示回線ID生成手段が生成した開示回線IDを前記ユーザ端末からのサービス利用要求に付加して前記サービス提供装置に送信し、
    前記サービス提供装置の第2の記憶手段は、前回のサービス利用時にユーザ端末が利用していた回線の開示回線IDをサービス提供装置が管理するユーザ毎に記憶し、
    前記サービス提供装置の回線ID認証手段は、前記サービス利用要求に付加された開示回線IDと前記第2の記憶手段に記憶されている当該ユーザ端末の開示回線IDとを比較することを特徴とするユーザ認証システム。
  6. 請求項1または4記載のユーザ認証システムにおいて、
    前記プロキシ装置は、さらに、ユーザの接続履歴情報に関するトークンを発行するトークン発行手段と、
    前記トークンをネットワーク管理装置が管理するユーザ毎に記憶する第3の記憶手段とを有し、
    前記プロキシ装置のサービス要求中継手段は、前記ユーザ端末からのサービス利用要求に前記トークン発行手段が生成したトークンを付加して前記サービス提供装置に送信し、
    前記サービス提供装置の第2の記憶手段は、前回の接続時に前記プロキシ装置が発行したトークンをサービス提供装置が管理するユーザ毎に記憶し、
    前記サービス提供装置は、さらに、前記ユーザ端末から前記プロキシ装置を介してサービス利用要求を受けたときに、このサービス利用要求に付加されたトークンの認証を行うトークン認証手段と、
    前回の接続時に前記第2の記憶手段に登録されたトークンに含まれるトークン識別子と前記サービス利用要求に付加されたトークンに含まれる前回の接続時のトークン識別子とを比較して、前回の接続と今回の接続とが同一のセッションかどうかを確認するセッション同一性検証手段とを有することを特徴とするユーザ認証システム。
  7. 請求項2、3、5のいずれか1項に記載のユーザ認証システムにおいて、
    前記プロキシ装置は、さらに、ユーザの接続履歴情報に関するトークンを発行するトークン発行手段を有し、
    前記プロキシ装置の第3の記憶手段は、さらに前記トークンをネットワーク管理装置が管理するユーザ毎に記憶し、
    前記プロキシ装置のサービス要求中継手段は、前記ユーザ端末からのサービス利用要求に前記トークン発行手段が生成したトークンを付加して前記サービス提供装置に送信し、
    前記サービス提供装置の第2の記憶手段は、前回の接続時に前記プロキシ装置が発行したトークンをサービス提供装置が管理するユーザ毎に記憶し、
    前記サービス提供装置は、さらに、前記ユーザ端末から前記プロキシ装置を介してサービス利用要求を受けたときに、このサービス利用要求に付加されたトークンの認証を行うトークン認証手段と、
    前回の接続時に前記第2の記憶手段に登録されたトークンに含まれるトークン識別子と前記サービス利用要求に付加されたトークンに含まれる前回の接続時のトークン識別子とを比較して、前回の接続と今回の接続とが同一のセッションかどうかを確認するセッション同一性検証手段とを有することを特徴とするユーザ認証システム。
  8. サービス利用要求を行うユーザ端末と、ネットワークを管理するネットワーク管理装置と、前記ユーザ端末からのサービス利用要求を中継するプロキシ装置と、このプロキシ装置によって中継されたサービス利用要求に応じて、前記ネットワークを介して前記ユーザ端末にサービスを提供するサービス提供装置とから構成されるユーザ認証システムにおける前記プロキシ装置であって、
    前記ユーザ端末からサービス利用要求を受けたときに、このユーザ端末が利用する回線のIDを前記ネットワーク管理装置から取得する回線ID取得手段と、
    前記ユーザ端末からのサービス利用要求に前記回線ID取得手段が取得した回線IDを付加して前記サービス提供装置に送るサービス要求中継手段とを有することを特徴とするプロキシ装置。
  9. 請求項記載のプロキシ装置において、
    さらに、回線IDをユーザ端末毎に記憶する記憶手段と、
    前記ユーザ端末からサービス利用要求を受けたときに前記回線ID取得手段が取得した回線IDと前記記憶手段に記憶されている当該ユーザ端末の前回の接続時の回線IDとを比較して、前回の接続と今回の接続とが同一のセッションかどうかを確認するセッション同一性確認手段とを有し、
    前記回線ID取得手段は、前回の接続と今回の接続とが同一のセッションであると判断された場合のみ、前記ネットワーク管理装置から取得した回線IDを前記記憶手段に記憶させ、
    前記サービス要求中継手段は、前回の接続と今回の接続とが同一のセッションであると判断された場合のみ、前記ユーザ端末からのサービス利用要求に前記回線ID取得手段が取得した回線IDを付加して前記サービス提供装置に送ることを特徴とするプロキシ装置。
  10. 請求項記載のプロキシ装置において、
    さらに、回線IDと、ネットワーク管理装置が管理するユーザを一意に識別するNWユーザIDとを対応付けて記憶する記憶手段と、
    前記ユーザ端末からサービス利用要求を受けたときに前記回線ID取得手段が取得した回線IDとNWユーザIDの組と前記記憶手段に記憶されている当該ユーザ端末の前回の接続時の回線IDとNWユーザIDの組とを比較して、前回の接続と今回の接続とが同一のセッションかどうかを確認するセッション同一性確認手段とを有し、
    前記回線ID取得手段は、前記ユーザ端末からサービス利用要求を受けたときに、このユーザ端末が利用する回線のIDとユーザのNWユーザIDとを前記ネットワーク管理装置から取得し、前記セッション同一性確認手段によって前回の接続と今回の接続とが同一のセッションであると判断された場合のみ、前記ネットワーク管理装置から取得した回線IDとNWユーザIDとを前記記憶手段に記憶させ、
    前記サービス要求中継手段は、前回の接続と今回の接続とが同一のセッションであると判断された場合のみ、前記ユーザ端末からのサービス利用要求に前記回線ID取得手段が取得した回線IDを付加して前記サービス提供装置に送ることを特徴とするプロキシ装置。
  11. 請求項記載のプロキシ装置において、
    さらに、前記回線ID取得手段が取得した回線IDからハッシュ演算で開示回線IDを生成する開示回線ID生成手段を有し、
    前記サービス要求中継手段は、前記回線ID取得手段が取得した回線IDの代わりに、前記開示回線ID生成手段が生成した開示回線IDを前記ユーザ端末からのサービス利用要求に付加して前記サービス提供装置に送信することを特徴とするプロキシ装置。
  12. 請求項9または10記載のプロキシ装置において、
    さらに、前記回線ID取得手段が取得した回線IDからハッシュ演算で開示回線IDを生成する開示回線ID生成手段を有し、
    前記サービス要求中継手段は、前記回線ID取得手段が取得した回線IDの代わりに、前記開示回線ID生成手段が生成した開示回線IDを前記ユーザ端末からのサービス利用要求に付加して前記サービス提供装置に送信することを特徴とするプロキシ装置。
  13. 請求項8または11記載のプロキシ装置において、
    さらに、ユーザの接続履歴情報に関するトークンを発行するトークン発行手段と、
    前記トークンをネットワーク管理装置が管理するユーザ毎に記憶する記憶手段とを有し、
    前記サービス要求中継手段は、前記ユーザ端末からのサービス利用要求に前記トークン発行手段が生成したトークンを付加して前記サービス提供装置に送信することを特徴とするプロキシ装置。
  14. 請求項9、10、12のいずれか1項に記載のプロキシ装置において、
    さらに、ユーザの接続履歴情報に関するトークンを発行するトークン発行手段を有し、
    前記記憶手段は、さらに前記トークンをネットワーク管理装置が管理するユーザ毎に記憶し、
    前記サービス要求中継手段は、前記ユーザ端末からのサービス利用要求に前記トークン発行手段が生成したトークンを付加して前記サービス提供装置に送信することを特徴とするプロキシ装置。
  15. ユーザ端末からのサービス利用要求を中継するプロキシ装置が、前記ユーザ端末からサービス利用要求を受けたときに、このユーザ端末が利用する回線のIDをネットワーク管理装置から取得する回線ID取得手順と、
    前記プロキシ装置が、前記ユーザ端末からのサービス利用要求に前記回線ID取得手順で取得した回線IDを付加してサービス提供装置に送るサービス要求中継手順と、
    前記サービス提供装置が、前記ユーザ端末から前記プロキシ装置を介してサービス利用要求を受けたときに、当該ユーザ端末が前回のサービス利用時に利用していた回線のIDを前記サービス提供装置の記憶手段から取得し、前記サービス利用要求に付加された回線IDと前記取得した回線IDとを比較する回線ID認証手順と、
    前記サービス提供装置が、前記回線IDが一致したときに、前記サービス利用要求を送信したユーザ端末にサービスを提供するサービス提供手順とを備えることを特徴とするユーザ認証方法。
  16. サービス利用要求を行うユーザ端末と、ネットワークを管理するネットワーク管理装置と、前記ユーザ端末からのサービス利用要求を中継するプロキシ装置と、このプロキシ装置によって中継されたサービス利用要求に応じて、前記ネットワークを介して前記ユーザ端末にサービスを提供するサービス提供装置とから構成されるユーザ認証システムにおけるユーザ認証方法であって、
    前記ユーザ端末からのサービス利用要求を中継するプロキシ装置が、前記ユーザ端末からサービス利用要求を受けたときに、このユーザ端末が利用する回線のIDを前記ネットワーク管理装置から取得する回線ID取得手順と、
    前記プロキシ装置が、前記ユーザ端末からのサービス利用要求に前記回線ID取得手順で取得した回線IDを付加して前記サービス提供装置に送るサービス要求中継手順とを備えることを特徴とするユーザ認証方法。
  17. 請求項乃至14のいずれか1項に記載のプロキシ装置としてコンピュータを機能させることを特徴とするプロキシ装置プログラム。
JP2009115995A 2009-05-12 2009-05-12 ユーザ認証システム、プロキシ装置、ユーザ認証方法およびプログラム Expired - Fee Related JP5192439B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009115995A JP5192439B2 (ja) 2009-05-12 2009-05-12 ユーザ認証システム、プロキシ装置、ユーザ認証方法およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009115995A JP5192439B2 (ja) 2009-05-12 2009-05-12 ユーザ認証システム、プロキシ装置、ユーザ認証方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2010268084A JP2010268084A (ja) 2010-11-25
JP5192439B2 true JP5192439B2 (ja) 2013-05-08

Family

ID=43364735

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009115995A Expired - Fee Related JP5192439B2 (ja) 2009-05-12 2009-05-12 ユーザ認証システム、プロキシ装置、ユーザ認証方法およびプログラム

Country Status (1)

Country Link
JP (1) JP5192439B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5595333B2 (ja) * 2011-06-03 2014-09-24 日本電信電話株式会社 利用者識別子の変換システム及び変換方法
JP5715030B2 (ja) * 2011-11-11 2015-05-07 Kddi株式会社 アクセス回線特定・認証システム
JP5724017B1 (ja) * 2014-05-29 2015-05-27 周 志偉Zhou Zhi Wei 複数コンピュータシステムの認証連携システム

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002132729A (ja) * 2000-10-25 2002-05-10 Nippon Telegraph & Telephone East Corp 端末認証接続方法およびそのシステム
JP2005276122A (ja) * 2004-03-26 2005-10-06 Fujitsu Ltd アクセス元認証方法及びシステム
JP4409377B2 (ja) * 2004-07-06 2010-02-03 東日本電信電話株式会社 通信システム及びサービス提供方法
JP2006331204A (ja) * 2005-05-27 2006-12-07 Ntt Resonant Inc 認証方法及び認証システム
JP4785501B2 (ja) * 2005-11-16 2011-10-05 東日本電信電話株式会社 端末機器の接続設定システム、顧客認証装置、端末機器の接続設定方法、顧客認証方法、顧客認証プログラム。
JP4551369B2 (ja) * 2006-07-07 2010-09-29 日本電信電話株式会社 サービスシステムおよびサービスシステム制御方法
JP4611946B2 (ja) * 2006-08-10 2011-01-12 日本電信電話株式会社 利用者回線認証システム、利用者回線認証方法および利用者回線認証プログラム
JP5309496B2 (ja) * 2007-08-09 2013-10-09 日本電気株式会社 認証システムおよび認証方法
US8595816B2 (en) * 2007-10-19 2013-11-26 Nippon Telegraph And Telephone Corporation User authentication system and method for the same
JP4862803B2 (ja) * 2007-11-09 2012-01-25 日本電気株式会社 アプリケーションサービスシステム、サーバシステム、セッション管理方法、及びプログラム
JP5076955B2 (ja) * 2008-02-20 2012-11-21 日本電気株式会社 通信システム、通信装置、通信方法
JP2010250672A (ja) * 2009-04-17 2010-11-04 Billing System Corp 認証サーバ装置、認証方法、および、認証システム

Also Published As

Publication number Publication date
JP2010268084A (ja) 2010-11-25

Similar Documents

Publication Publication Date Title
JP3912609B2 (ja) リモートアクセスvpn仲介方法及び仲介装置
US7437145B2 (en) Wireless control apparatus, system, control method, and program
JP5507462B2 (ja) 異なる組織に属する複数のユーザのためのクレデンシャルの複製を行わない認証方法
JP5370592B2 (ja) 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置
JP4034729B2 (ja) モバイルインターネット通信装置及び方法
EP2506491B1 (en) Encryption information transmission terminal
JP5078422B2 (ja) サーバ装置、情報処理装置、プログラムおよび記録媒体
US20050208926A1 (en) Access point and method for controlling connection among plural networks
KR20050054970A (ko) 가정용 단말을 제어하는 장치, 방법 및 컴퓨터 소프트웨어제품
WO2011081104A1 (ja) 通信システム、認証装置、制御サーバ、通信方法およびプログラム
JP2004164576A (ja) 公衆無線lanサービスシステムにおけるユーザ認証方法およびユーザ認証システム、ならびに記録媒体
JP6573717B2 (ja) サービスフロー処理ポリシーのための処理方法、装置、およびシステム
JP2009111859A (ja) 利用者のアドレス情報を登録する装置、方法およびプログラム
JP5536628B2 (ja) 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント
JP2007004605A (ja) 通信システム、クライアント、サーバおよびプログラム
JP2018531550A6 (ja) サービスフロー処理ポリシーのための処理方法、装置、およびシステム
US20080155678A1 (en) Computer system for controlling communication to/from terminal
JP2008066907A (ja) パケット通信装置
JP2003218954A (ja) 安全なネットワークアクセス方法
JP5192439B2 (ja) ユーザ認証システム、プロキシ装置、ユーザ認証方法およびプログラム
WO2015127736A1 (zh) 一种用户隐私保护的方法、设备和系统
RU2447603C2 (ru) Способ передачи сообщений dhcp
JP4253520B2 (ja) ネットワーク認証装置及びネットワーク認証システム
KR101628534B1 (ko) 가상 802.1x 기반 네트워크 접근 제어 장치 및 네트워크 접근 제어 방법
JP2011217174A (ja) 通信システム、パケット転送方法、ネットワーク交換装置、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110824

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20111111

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20111111

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121004

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121023

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130129

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130131

R151 Written notification of patent or utility model registration

Ref document number: 5192439

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160208

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees