以下、本発明の実施の形態について、図面を参照しながら説明する。
伝送制御プロトコル(TCP)を利用する情報処理端末(ユーザ端末(UE))から接続され、ユーザ認証を行う情報処理サーバ(認証サーバ)は、その通信経路によって異なるユーザ認証を行いうる。例えば、UEのユーザが、認証サーバのオペレータが運用するネットワーク(第一の通信網)の加入者であり、UEが当該ネットワークを介して通信を行う場合、認証サーバは接続要求に含まれるアドレス情報からユーザ情報を取得できる。そのため、認証サーバはユーザにユーザ情報の入力を要求することなく自動認証を行える。しかしながら、UEのユーザが、認証サーバのオペレータが運用するネットワークの加入者であっても、UEが当該ネットワークとは異なるネットワーク(第二の通信網)を介して接続要求を送信する場合、認証サーバはユーザ情報を取得できない。そのため、認証サーバは、ユーザにユーザ情報の入力を要求しうる。
本実施形態は、UEがマルチパス伝送制御プロトコル(MPTCP)を利用して認証サーバに接続し、ユーザの自動認証を行う通信システムを提供する。具体的には、本実施形態は、ユーザ識別子を特定可能な通信経路を利用可能な場合には当該通信経路を利用させる認証サーバに関する。
<第一の実施形態>
図1を参照して、本実施形態に係る認証サーバを含む通信システムを説明する。
通信システム100は、ユーザ端末(UE)101、認証サーバ102、第一の通信網103、第二の通信網104を含む。
UE101は、スマートフォン、タブレットPC、パーソナルコンピュータ、またはスマートウォッチを含み、MPTCPを利用する通信装置を含む。本実施形態では、UE101のユーザは、第一の通信網103の加入者であり、第一の通信網103を介して認証サーバ102と通信可能である。このような場合、UE101は、加入者(ユーザ)を識別するユーザ識別子またはユーザ識別子を特定可能な情報を認証サーバ102に送信することで、自動認証を受けうる。また、一例では、第一の通信網103と第二の通信網104とのそれぞれは、無線ネットワークまたは有線ネットワークの少なくとも何れかを含みうる。
認証サーバ102は、ユーザ識別子を含む、ユーザの情報(登録情報)を保持または取得でき、UE101から送信された情報(ユーザ情報)と登録情報とを照合することでユーザ認証を行うことができる。認証サーバ102は、第一の通信網103または第二の通信網104を介してアクセスされることができる。一例では、登録情報とは、認証サーバ102の運用者または当該運用者と提携する事業者によって提供されるサービスの加入者に関する情報であり、例えば第一の通信網103の加入者の情報であってもよい。なお、本実施形態では、認証サーバ102は、第一の通信網103内に位置し、第一の通信網103に接続したユーザ端末101からの通信と、第二の通信網104に接続したユーザ端末101からの通信とを識別可能であるものとする。
一例では、認証サーバ102は、Webサーバとしての機能も有し、接続を確立したUE101に、ユーザ情報の入力フォームを含むWebページを送信し、入力されたユーザ情報をUE101から受信してユーザ認証を行うことができる。また、一例では、認証サーバ102は、接続要求の受信、接続確立、ユーザ情報の要求等によって、UE101から記憶部212に格納したユーザ情報を受信し、ユーザ入力を要求しないユーザ認証(自動認証)を行うことができる。なお、一例では、第一の通信網103の加入者の情報が登録情報であり、加入者情報を記憶部222に格納し、UE101から送信されたユーザ情報と、加入者情報とを比較し、ユーザが第一の通信網103の加入者であるか判断することでユーザ認証を行いうる。
第一の通信網103は、一例ではCDMA2000、W−CDMA、HSPA、LTE、またはLTE−Aといった規格に準拠した移動通信ネットワークであり、本実施形態ではUE101のユーザが加入するネットワークである。別の例では、第一の通信網103は、FTTHなどであってもよい。第二の通信網104はIEEE802.11 a、b、g、n、ac等の何れかの規格に準拠した無線ローカルエリアネットワーク(WLAN)またはEthernet等の有線LANでありうる。なお、第二の通信網104はUE101のユーザが加入する第一の通信網103とは異なる移動通信ネットワークを含んでもよい。一例では、第一の通信網103はイントラネットであり、第二の通信網104はインターネットであってもよい。
次に、図2を参照して、認証サーバ102およびユーザ端末101のブロック図を説明する。ユーザ端末101は、経路管理部および接続確立部を含む制御部211、記憶部212、通信部213、および入出力部214を含む。制御部211、記憶部212、通信部213、および入出力部214は、バスによって相互に通信可能に接続される。
制御部211は、たとえばCPUなどのプロセッサであり、記憶部212に格納された処理を実行することでユーザ端末101全体の動作を制御する。この処理は、通信部213を介して認証サーバ102と通信を行うためにMPTCPを用いて接続を確立する接続確立部および経路管理部の処理を含む。
記憶部212は、ROM、HDD等の記憶装置である。記憶部212には、制御部211が実行するプログラムのほか、各種のデータが格納されうる。一例では、記憶部212に格納されたプログラムを制御部211がRAM(不図示)に展開し、実行することで制御部211の機能を実現することができる。また、記憶部212は、移動通信ネットワークの加入者を特定するための固有番号(IMSI)を格納するSIM(subscriber identity module)カードも含む。
通信部213は、第一の通信網103を介した通信と、第二の通信網104を介した通信とが可能な通信インタフェース(I/F)である。一例では、通信部213は、Bluetooth(登録商標)に準拠した通信I/Fも有してもよい。入出力部214は、ユーザがユーザ端末101を操作するためのタッチパネル、キーボード、マウス、マイク、またはボタンを含む入力装置と、ユーザ端末101からユーザに通知を行うためのディスプレイまたはスピーカを含む出力装置とを有しうる。
認証サーバ102は、制御部221、記憶部222、および通信部223を含む。制御部221、記憶部222、および通信部223は、バスによって相互に通信可能に接続される。
制御部221は、1つ以上のCPUなどのプロセッサであり、記憶部222に格納された処理を実行することで認証サーバ102全体の動作を制御する。この処理は、ユーザ端末101から受信したパケットが第一の通信網103と第二の通信網104とのいずれかを介して送信されたものであるかを判断する回線識別部の機能を含みうる。また、ユーザ端末101から受信した接続要求に応じてMPTCP接続またはTCP接続を確立する接続確立部の機能を含みうる。また、ユーザ端末101からユーザ情報を受信して、認証サーバ102が保有する加入者情報と照合することでユーザ認証を実行する認証実行部の機能を含みうる。
記憶部222は、ROM、HDD等の記憶装置である。記憶部222には、制御部221が実行するプログラムのほか、各種のデータが格納されうる。一例では、記憶部222に格納されたプログラムを制御部221がRAM(不図示)に展開し、実行することで制御部221の機能を実現することができる。なお、登録情報は、本実施形態では記憶部222に格納されるものとするが、認証サーバ102と通信可能な別個のデータベースサーバ等に格納されてもよい。その場合は、認証サーバ102はユーザ端末101から受信したユーザ情報を、データベースに送信し、ユーザ情報に合致する登録情報を取得することでユーザ認証を行ってもよい。
通信部223は、第一の通信網103および第二の通信網104を介した有線通信または無線通信が可能な通信I/Fである。一例では、通信部223は、片方は第一の通信網103に、他方は第二の通信網104に接続するための2つの有線ネットワークI/Fを備えてもよい。
ここで、図3を参照し、認証サーバ102がユーザ認証に使用する登録情報の一例として、認証サーバ102がユーザ認証を行うために用いる第一の通信網103の加入者情報のデータ構造を説明する。UID情報301は、加入者に紐づけられたユーザ識別子であり、一例ではUID情報301はIMSIに対応する。MSISDN情報302は、第一の通信網103の加入者に割り当てられる電話番号であり、加入者に対する課金にも用いられうるユーザ識別子としても機能する。一例では、UID情報301およびMSISDN情報302は、携帯端末101のSIMカードに格納されうる。名前情報303は、ユーザの氏名またはユーザによって決定されるユーザ名である。メールアドレス304は、ユーザが電子メールの送受信に用いる電子メールサーバのアカウントである。電子メールサーバは、第一の通信網103のオペレータによって運用されてもよく、他の電子メールサービスを提供する事業者によって運用されてもよい。パスワード情報305は、ユーザまたは認証サーバ102によって決定されるパスワードに対応し、一例では、パスワードをハッシュ化したものなど、認証サーバ102がパスワードを生成可能なデータである。割り当てアドレス306は、UE101が第一の通信網103でTCP/IPプロトコル規格に準拠した通信を行うために利用するIPv4アドレスまたはIPv6アドレスである。割り当てアドレス306は、第一の通信網103内のネットワーク装置によって割り当てられる可変アドレスであってもよいし、UE101が専有する固定アドレスであってもよい。また、割り当てアドレス306は、プライベートIPアドレスであってもよく、グローバルIPアドレスであってもよい。
なお、必ずしも全ての登録情報を認証サーバ102がユーザ認証に利用しなければならないわけではない。例えば、認証サーバ102は、ユーザがユーザ端末101に入力したユーザのメールアドレスとパスワードとを受信し、これらの情報を認証サーバ102が保有するメールアドレス情報304とパスワード情報305と照合することで、ユーザを認証できる。あるいは、認証サーバ102はUE101から送信される接続要求の送信元アドレスと一致する割り当てアドレス306を有するユーザを特定することで、ユーザ認証を行うことができる。すなわち、1つ以上のユーザ情報と1つ以上の登録情報とを照合してユーザ認証を行うことができる。
次に、図4を参照し、認証サーバ102がUE101との間で、接続を確立してユーザ認証を行うまでのやり取りを示す処理シーケンスの例を説明する。なお、図4では、いずれの通信経路を介して接続要求が送信されるかが容易に理解できるように、第一の通信網103と第二の通信網104とが処理を行っているように示されるが、いずれの処理もユーザ端末101の制御部211が行っている。すなわち、第一の通信網103と第二の通信網104とは、制御部211が認証サーバ102との通信のために用いる通信経路を示しているに過ぎず、ユーザ端末101の処理を行っているのは制御部211である。
図4(A)のS401で、ユーザ端末101はMPTCPを用いた通信を行うための接続要求(SYN)パケットを第二の通信網104を介して認証サーバ102に送信する。MPTCPを用いた通信を行うためのSYNパケットでは、パケットヘッダのSubtypeフィールドがMP_CAPABLEに設定される。認証サーバ102は、S402で、パケットヘッダに基づき接続要求を受信したと判断し、受信した接続要求の通信経路を識別する。一例では、認証サーバ102は、パケットの送信元アドレスが第一の通信網103に割り当てられたIPアドレス帯域であるか、それ以外のアドレスであるかなど、IPアドレスに基づいて接続要求が送信された通信経路を識別することができる。別の例では、認証サーバ102は、第二の通信網104への通信I/Fと第一の通信網103への通信I/Fとを有し、接続要求を何れのI/Fで受信したかを判別するなど、宛先MACアドレスに基づいて接続要求が送信された通信経路を識別することができる。あるいは、認証サーバ102は、接続要求を受信したTCPポート(宛先ネットワークポート)に基づいて接続要求が送信された通信経路を識別することができる。すなわち、トランスポート層、ネットワーク層、またはデータリンク層に関する何れかの情報を用いて通信経路を識別することができる。
第二の通信網104を介したSYNパケットを受信した場合には、認証サーバ102は、接続要求に含まれる情報に基づいて図3に示す登録情報との一致を判断できなくてもよい。そのため、認証サーバ102は、SYNパケットに対する応答(SYN/ACK)を送信せず、ユーザ端末101は、接続が確立されなかったと判断し、接続失敗を通知するメッセージを入出力部214を介してユーザに通知しうる。あるいは、ユーザ端末101は接続要求を再度第二の通信網104を介して認証サーバ102に送信しうる。あるいは、ユーザ端末101は、入出力部214を介して、ユーザに対して通信経路の切り替えを依頼してもよい。ユーザから通信経路の切り替えの指示があると、UE101の経路管理部は、通信経路を第二の通信網104から第一の通信網103に切り替えて接続要求を送信することができる。これによって、ユーザは、認証サーバ102がユーザ識別子を特定可能な情報を含む接続要求をユーザ端末に送信させることができ、自動認証を行うことができる。
一方、図4(B)のS404で示すように、ユーザ端末101は、第一の通信網103を介して接続要求を送信しうる。続いて、認証サーバ102は、S405で、接続要求の送信元アドレスは第一の通信網103のIPアドレス帯域内にあるため、割り当てアドレス306と照合することで、MSISDN情報302などのユーザ識別子を特定可能であると判断する。そのため、認証サーバ102は、続いてS406でUE101に応答(SYN/ACK)を送信する。認証サーバ102から応答を受信したユーザ端末101は、S407でSYN/ACKパケットに対する応答(ACK)を送信し、接続を確立する。接続を確立した後、認証サーバ102はS408で、接続要求に含まれる情報に基づいて自動認証を実行する。一例では、接続の確立後に、IMSI情報301やMSISDN情報302等の、認証に必要な付加的な情報をユーザ端末101から受信してもよい。
なお、説明を容易にするために、認証サーバ102は接続確立後に認証処理を実行するように示しているが、認証処理S408は接続要求の識別S405と同時に行ってもよい。すなわち、接続要求に含まれる情報を用いて、自動認証を行い、自動認証が成功した場合にユーザ識別子を特定可能な情報を含んでいたと判断してもよい。
図4(B)の例では、ユーザ端末101は、第一の通信網103を介して接続を確立した後、S409でSubtypeフィールドをMP_JOINに設定したSYNパケットを第二の通信網104を介して認証サーバ102に送信する。本実施形態では、第二の通信網104を介したSYNパケットは、確立された接続への参加要求を示すものであり、接続要求ではないため、認証サーバ102はS410で応答(SYN/ACK)を送信する。次に、S411でUE101はSYN/ACKに対する応答(ACK)を送信して接続を確立する。その後、UE101は第一の通信網103と第二の通信網104とを介して、認証サーバ102と通信を行ってもよい。
なお、ユーザ端末101は、送信した接続要求に対する応答が一定時間内に得られない場合、接続要求を再送してもよい。これによって、パケットロスなどの一時的な通信障害によって認証サーバ102との接続を確立できない状況を改善しうる。この場合、一定回数以上再送を行っても接続が確立できない場合に、UE101は接続要求が失敗したと判断しうる。
次に、図5を参照し、認証サーバ102が、ユーザ端末101から接続要求を受信し、ユーザ認証を実行するまでの処理について説明する。この処理は、認証サーバ102の制御部221が記憶部222または通信部223と協働して実行する。
S501で、制御部221は通信部223から接続要求を受信する。一例では、TCPパケットのうち、ヘッダのSubtypeフィールドがMP_CAPABLEであるパケットを受信した際に、認証サーバ102は接続要求を受信したと判断するものとする。しかしながら、一例では、TCPパケットのうち、SYNフラグが設定されたパケットを受信した際に、認証サーバ102は接続要求を受信したと判断してもよい。続いて、S502で、制御部221は接続要求が送信された経路を、TCPポート、IPアドレス、またはMACアドレスの少なくとも何れかに基づいて識別しうる。
続いて、S503で、制御部221は接続要求がユーザ識別子を特定可能な情報を含む場合にはS504に処理を進め、ユーザ識別子を特定可能な情報を含まない場合にはS506に処理を進める。本実施形態では、第一の通信網103を介して送信された接続要求はユーザ識別子を特定可能な情報を含み、第二の通信網104を介して送信された接続要求はユーザ識別子を特定可能な情報を含まない。S504で、制御部221はユーザ端末101に応答し、接続確立処理を行う。
続いて、S505で、認証サーバ102は、ユーザ識別子を取得する。なお、上述したように、ユーザ識別子の取得は、S503の処理と同時に行われてもよい。あるいは、上述したように、S505の処理を行うために、UE101と通信を行って付加的な情報を取得してもよい。続いて認証処理は、接続要求に含まれる情報に基づいて行われてもよく、認証処理を行うためにユーザ端末101と送受信を行ってもよい。
以上説明したように、本実施形態では、MPTCPを利用するユーザ端末が送信した接続要求が、ユーザ識別子を特定可能な情報を含む場合には応答を返し、ユーザ識別子を特定可能な情報を含まない場合には応答を返さない。これによって、MPTCPを利用するユーザ端末がユーザ識別子を特定可能な通信経路を利用可能な場合には、ユーザ端末の設定に関わらず、当該通信経路を利用させ、自動認証を行うことが可能になる。
<第二の実施形態>
第一の実施形態では、認証サーバは、ユーザ識別子を特定可能な情報を含まない接続要求に対しては応答を返さず、ユーザ識別子を特定可能な情報を含む接続要求に対しては応答を返す。しかしながら、認証サーバがユーザ識別子を特定できない接続要求であっても、その性質に応じて処理を変えることが求められうる。例えば、ユーザ端末がユーザ識別子を特定可能な情報を含まない接続要求しか送信できない場合には、ユーザ入力によってユーザ認証を行うことが求められうる。
本実施形態では、ユーザ識別子を特定可能な情報を含まない接続要求を受信した場合であっても、接続要求に含まれる情報によって応答を返し、接続確立を行う認証サーバの処理を説明する。なお、第一の実施形態と同様の構成または処理については説明を省略する。
図6は、本実施形態に係る認証サーバ102が実行する処理のフローチャートを示す。本実施形態に係る認証サーバ102は、S501で、SYNフラグが1に設定されているパケットを受信した際に、接続要求を受信したと判断しうる。続いて、S502で接続要求の識別を行い、図6のS503でユーザ識別子を特定可能ではない場合、S601の処理に進む。S601では、認証サーバ102は、接続要求のSubtypeフィールドがMP_CAPABLEであるかどうかを判断する。すなわち、S601でMPTCPを利用した接続要求である場合(S601でYES)、認証サーバ102は接続要求に対して応答せず、処理を終了する。一方。S601でMPTCPではなくTCPを利用した接続要求である場合(S601でNO)、認証サーバ102は処理をS602に進める。S602で、認証サーバ102は、第二の通信網104を介した接続要求に応答し、接続を確立し、処理をS603に進める。S603で、認証サーバ102はユーザ端末にユーザ情報の入力を要求する。一例では、認証サーバ102がWebサーバとして動作する場合、認証サーバ102は接続確立後に、ユーザがユーザ情報を入力するためのWebページをユーザ端末101に送信してもよい。
以上説明したように、ユーザ識別子を特定できない通信経路を介した接続要求であっても、通信経路の切り替えができないことが明らかである場合には、認証サーバ102は応答を返す。これによって、ユーザ識別子を特定可能な通信経路しか利用できない可能性が高い場合には、応答してユーザ情報の入力を要求することができる。
なお、S601において、SYNフラグが1に設定され、MPTCPを利用した通信であっても、接続要求ではない場合には、別途処理が行われてもよい。例えば、図4のS409で送信される、通信経路の追加要求は、接続要求ではないものの、SYNフラグが1に設定され、MPTCPを利用した通信である。この通信経路の追加を許可するために、S601でSubtypeフィールドがMP_CAPABLEである場合は応答せず、MP_JOINである場合は応答して通信経路の追加、などの分岐処理を行ってもよい。
以上説明したように、本実施形態では、認証サーバは、受信した接続要求がマルチパス伝送制御プロトコルを利用せず、ユーザ識別子を特定可能な情報を含まない場合、応答を返し、通信を確立する。これによって、ユーザ識別子を特定できない通信経路しか利用可能ではないユーザ端末のユーザに情報の入力を要求することができる。
<第三の実施形態>
第一または第二の実施形態では、認証サーバは、ユーザ識別子を特定可能な情報を含む接続要求に対しては応答を返しうる。しかしながら、認証サーバが、ユーザ識別子を特定可能な情報を含む接続要求であると判断できるが、ユーザ識別子を特定できない場合、認証サーバは自動認証を行うことができない。そのため、認証サーバは、ユーザにユーザ識別子の入力を要求する等、自動認証とは異なるユーザ認証を行うことが求められうる。本実施形態では、ユーザ識別子を特定可能な情報を含む接続要求であって、認証サーバには取得できないユーザ識別子であることを示す接続要求を受信した場合は、応答を返して接続確立を行うが、自動認証を行わない認証サーバの処理を説明する。なお、第一または第二の実施形態と同様の構成または処理については説明を省略する。
図7を参照して、認証サーバ102がユーザ識別子を特定できない接続要求であっても、別の認証サーバがユーザ識別子を特定可能な接続要求には応答を返す認証サーバ102の処理の一例について説明する。ここで、別の認証サーバとは、第一の通信網103とは異なるネットワークのオペレータが運用する認証サーバであってもよく、第一の通信網103内のイントラネット上で動作する認証サーバであってもよい。認証サーバ102が、別の接続要求に含まれる情報に基づき、別の認証サーバであればユーザ識別子を特定可能であると判断できればよい。
まず、S501で接続要求を受信した認証サーバ102は、S502に処理を進め、接続要求が送信された通信経路を識別する。例えば、認証サーバ102は、記憶部222に、複数の移動通信ネットワークのネットワークオペレータが管理するIPアドレス帯域を格納しており、受信した接続要求の送信元IPアドレスに基づき、UE101が属するネットワークのオペレータを判断しうる。S702で、接続要求に含まれる情報からUE101のネットワークオペレータの情報が取得できた場合(S701でYES)、認証サーバ102は処理をS503に進める。S701で、認証サーバ102がUE101のネットワークオペレータの情報が取得できなかった場合(S701でNO)、処理を終了する。
S503で、受信した接続要求が、ユーザ識別子を特定可能な情報を含み、当該ユーザ識別子を認証サーバ102が取得可能であると判断した場合(S503でYES)、認証サーバは、S504に処理を進める。S504で接続を確立すると、認証サーバはS505に処理を進めてユーザ識別子を取得し、次にS506に処理を進めて自動認証を実行する。例えば、接続要求の送信元IPアドレスが、認証サーバ102のオペレータが運用するネットワークのIPアドレス帯域内にある場合、認証サーバ102はユーザ識別子が特定可能な接続要求である(S503でYES)と判断しうる。S503でユーザ識別子を認証サーバ102が取得できない場合(S503でNO)、すなわち認証サーバ102がUE101のネットワークオペレータは特定できるがユーザ識別子は特定できない場合、認証サーバ102は処理をS702に進める。S702で、認証サーバ102は接続要求に対する応答(SYN/ACK)を送信し、接続を確立する。続いて、S703で認証サーバ102はユーザ情報の入力を要求する。あるいは、当該他のネットワークオペレータの認証サーバのアドレス情報を有する場合は、当該他のネットワークオペレータの認証サーバに転送するか、アドレス情報をUE101に送信してもよい。
また、以上説明したように、本実施形態では、認証サーバは、受信した接続要求がユーザ識別子を特定可能な情報を含むが、当該ユーザ識別子を当該認証サーバが特定可能ではない場合、応答を返し、通信を確立する。これによって、他のネットワークオペレータの加入者のユーザ端末から送信された接続要求に対する利便性を向上することができる。
<第四の実施形態>
第一乃至第三の実施形態では、ユーザ端末は設定に応じて、接続要求を送信する通信経路を判断する。第三の実施形態では、ユーザ端末は適応的に接続要求を送信する通信経路を判断するユーザ端末について説明する。なお、第一乃至第三の実施形態と同様の構成または処理については説明を省略する。
一例では、UE101は、図4(A)のS401で第二の通信網104を介して認証サーバ102に接続要求を送信し、所定時間、認証サーバ102から応答がなかった場合、経路管理部は、自動的に通信経路を切り替えてもよい。これによって、ユーザからの通信経路の切り替え指示を待たずに、通信経路を切り替えることができ、ユーザの利便性を向上させることができる。
また、一例では、UE101は、認証サーバ102のアドレス情報と、認証サーバ102がユーザ識別子を特定可能な接続要求に関する情報とを含む通信経路情報を記憶する経路記憶部を有する。この場合、UE101は、認証サーバ102に接続要求を送信する場合に、当該認証サーバ102のアドレス情報に対応する通信経路を経路記憶部から読み出し、当該通信経路を介して接続要求を送信するよう制御部211が動作する。通信経路情報は、入出力部214を介してユーザによって入力されてもよく、認証サーバ102と接続を確立する度に制御部211によって保存されてもよく、認証サーバ102からUE101に送信されてもよい。あるいは、認証サーバ102とは異なるサーバやネットワーク装置(外部装置)から、UE101に送信されてもよい。
以上説明したように、本実施形態では、ユーザ端末は、所定の時間内に通信要求に対する応答がなかった場合、通信経路を切り替える経路管理部を有する。これによって、ユーザ端末が、ユーザから通信経路の切り替え指示を待たずに、認証サーバがユーザ識別子を特定できる通信経路に切り替えることができ、ユーザの利便性を向上させることができる。
また、以上説明したように、本実施形態では、ユーザ端末は、認証サーバのアドレス情報と、認証サーバがユーザ識別子を特定可能な接続要求に関する情報とを含む通信経路情報を記憶する経路記憶部に格納する。これによって、認証サーバが応答を返さない通信経路を用いることがなくなるため、接続要求を確立するまでにかかる時間を短縮することができる。
<その他の実施形態>
上記第一から第四の実施形態は随意に組み合わせることができる。例えば、認証サーバ102は、第二の通信網を介した接続要求は、MPTCPである場合には応答を返さず、TCPである場合には応答を返し、第一の通信網を介した接続要求は応答を返し、そのオペレータによって認証処理を変えてもよい。
また、本実施形態では、ユーザ端末と認証サーバは2つの通信経路を介して通信可能であるが、一例では3つ以上の通信経路を介して接続可能であってもよい。
また、一例では、認証サーバは、TCPポート単位で本実施形態に係る処理を行ってもよい。例えば、認証サーバが多機能である場合、ポート100はユーザ認証のための接続要求を受信するTCPポートであり、ポート200は例えばユーザ認証以外のWebサーバなどのサービスに関する接続要求を受信するTCPポートでありうる。このような場合、認証サーバは、ポート100のみに本実施形態に係る応答を送信するか否かを判断する処理を行い、ポート200を介して受信した接続要求に対しては、通信経路によらずに応答を行ってもよい。また、ポート100および200以外のポートへの接続要求に対しては応答を返さなくてもよい。すなわち、本実施形態に係る認証サーバは、MPTCPを利用した接続要求がユーザ識別子を特定可能な情報を含まないと判断した場合には応答を返さず、ユーザ識別子を特定可能な情報を含むと判断した場合には応答を返す1以上のポートを有すればよい。当該ポート以外のポートでは、認証サーバは任意の処理を行ってよく、例えば、当該異なるポートを介して接続要求を受信した場合には、ユーザ識別子を特定可能な情報を含むか否かに関わらず応答を返してもよいし、全ての接続要求に応答を返さなくてもよい。
また、一例では、ユーザ認証後に、UE101または認証サーバ102は接続を切断してもよい。例えば、UE101は、図4(B)に示すように、ユーザ認証が完了し、第二の通信網を介した通信をMPTCP接続に参加させた後、両方の接続を切断しうる。続いて、UE101は第二の通信網104を介して接続要求を送信する。認証サーバ102は、当該接続要求を送信したユーザ端末すでにユーザ認証が完了しており、ユーザ識別子を取得可能であるため、接続要求に対する応答を返しうる。これによって、第一の通信網103を介した通信の通信量を抑えることができ、第一の通信網103の通信料が第二の通信網の通信料より高い場合に、UE101と認証サーバ102との間の通信に係る通信料を低コスト化することができる。