WO2005111826A1 - 通信システム - Google Patents

Abstract

　第二の利用者の通信の利用が制限されることなく、また、莫大な設備投資が必要とされることなく、インターネット等の通信が普遍的に利用することができる通信システム。この通信システムでは、端末（１０４）が、ネットワーク利用端末（１０１）と通信が可能となり、ネットワーク利用端末（１０１）を介してインターネットを利用しようとする時には、端末（１０４）は、端末（１０４）の利用者Ｂの認証情報を送信し、ネットワーク利用端末（１０１）は、ネットワーク利用端末（１０１）の所持者Ａの認証情報と受信した利用者Ｂの認証情報とを認証サーバ（１０５）へ送信する。認証結果がＯＫであれば、ネットワーク利用端末（１０１）は、端末（１０４）の通信をインターネット（１０３）へ中継し、端末（１０４）にインターネットの利用を許可するようにする。    

Description

明 細 書

通信システム

技術分野

[0001] 本発明は、通信システムに関し、特に、インターネットなどのための通信回線を通信 の利用者の間で相互に利用し合うことにより通信回線の利用効率を上げる通信シス テムに関する。

背景技術

[0002] 近年、インターネット回線のブロードバンドィ匕が進んでいる。例えば、各家庭に光フ アイバーなどを引き込むことにより、 100Mbpsの通信が常時可能となっている。しか し、その一方で、ブロードバンドの利用を促進するようなコンテンツの整備などが遅れ ており、常時、 100Mbpsの帯域を利用しているわけではなぐ回線帯域に余剰が発 生している。この余剰を利用する技術として、例えば、特許文献 1に示されるように、 第一の利用者が利用している帯域以外を第二のユーザに貸与する技術がある。 特許文献 1：特開 2004 - 23312号公報

発明の開示

発明が解決しょうとする課題

[0003] 特許文献 1で示された技術では、その段落 0034、その図 3により説明されているよ うに、第二の利用者の認証が行なわれる力 その認証は、インターネットサービスプロ バイダなどのサービス提供者 (ISP)の基地局 3の中の帯域管理装置 32で行なわれ る。このため、第一の利用者が契約している ISPと第二の利用者が契約している ISP とは、同一、もしくは提携している必要がある。このため、いかなる第一の利用者の利 用している回線であっても第二の利用者が利用できるとは限らないこととなり、第二の 利用者の通信の利用が制限されるという課題がある。

[0004] また、近年無線 LANが普及し、駅などの公共の場所で無線 LANが利用可能とな つているが、無線 LANが利用可能なエリアをこれ以上広げるには、莫大な設備投資 が必要であると 、う課題がある。

[0005] 本発明の目的は、第二の利用者の通信の利用が制限されることなぐまた、莫大な 設備投資が必要とされることなぐインターネット等の通信が普遍的に利用できる通信 システムを提供することである。

課題を解決するための手段

[0006] 上記目的を達成するために、本発明では、認証サーバと通信が可能な第 1のネット ワークと各家庭などに設置されるネットワーク利用端末とを回線により接続し、二次端 末が第 2のネットワークを利用してネットワーク利用端末と通信が可能となり、二次端 末がネットワーク利用端末を介して第 1のネットワークを利用しょうとする際に、認証サ ーバにより、ネットワーク利用端末と二次端末との両方を認証するようにした。

[0007] このようにネットワーク利用端末と二次端末との両方が認証されることにより、どの回 線の帯域をどの二次端末が利用する力を明確に把握することができ、二次端末に対 する課金、また、回線の帯域を提供するネットワーク利用端末への恩典などのポイン ト加算をスムーズに行なうことができるようになる。また、二次端末の利用者が占有す るネットワーク利用端末の回線の帯域を、他の二次端末に利用させることにより、恩典 などを受けることができ、一方的に課金されることを防ぐことができ、ネットワークの利 用を促進することができる。さらに、各家庭に本発明に係るネットワーク利用端末であ つて無線 LANが使用可能な端末を設置することにより、安価に無線 LANの利用が 可能なエリアを広げることができる。

[0008] また、本発明にお 、て、第 1のネットワークを介してサービスを提供するサービス提 供サーバがある場合、ネットワーク利用端末と二次端末との認証に加えて、サービス 提供サーバの認証も行なってもよ 、。

[0009] これにより、二次端末が、悪意などを有する管理者が管理するサーバと接続を行な い、ネットワーク利用端末の存在をその管理者に知られてしまい、 DoS (Denial of Service)攻撃などを受けることを避けるなどの効果が生ずる。

[0010] また、二次端末がさらに三次端末と通信が可能となっており、三次端末が第 1のネ ットワークを利用しょうとするときには、ネットワーク利用端末と二次端末と三次端末と を認証サーバにより認証するようになっていてもよい。同様に、三次端末が四次端末 と通信が可能となっており、ネットワーク利用端末と二次端末と三次端末と四次端末と が認証されるようになって 、てもよ 、。 [0011] これにより、端末が第 1のネットワークを利用可能となるエリアをさらに広げることが可 能となる。

発明の効果

[0012] 本発明に係る通信システムなどによれば、回線の余剰帯域の利用を促進すること ができ、また、回線の帯域を提供した者と利用した者とに対する課金管理などを円滑 に行なうことができる。

図面の簡単な説明

[0013] [図 1]本発明の概要図

[図 2]本発明の概要のシーケンス図

[図 3]課金などの管理の処理を例示する図

[図 4]認証のステップを説明するシーケンス図

[図 5]本発明の実施の形態 1に係る通信システムの全体の構成図

[図 6]二次端末の機能ブロック図

[図 7]二次端末の処理の流れ図

[図 8]ネットワーク利用端末の機能ブロック図

[図 9]ネットワーク利用端末の処理の流れ図

[図 10]認証サーバの機能ブロック図

[図 11]認証サーバの処理の流れ図

[図 12]通信システムの全体の処理のシーケンス図

[図 13]利用条件の合意を取る処理を例示する図

[図 14]本発明の実施の形態 2に係る通信システムの全体の構成図

[図 15]二次端末の機能ブロック図

[図 16]本発明の実施の形態 3に係る通信システムの全体の構成図

[図 17]三次端末の機能ブロック図

[図 18]二次端末の機能ブロック図

[図 19]二次端末の処理の流れ図

[図 20]本発明の実施の形態 3を発展させた形態の構成図

発明を実施するための最良の形態 [0014] 図 1は、本発明の概要を例示する。利用者 Aの家にネットワーク利用端末 101が設 置され、回線 102によってインターネット 103に接続されている。ネットワーク利用端 末 101は例えば、ルータ、特に無線 LAN機能を有したルータであることが好ましい。 また、ネットワーク利用端末 101は、直接的に回線 102に接続されている必要はなく 、メディアコンバータ、スプリッタ、他のネットワーク機器（例えば、ルータゃハブなど） を介して回線 102に接続されて 、る無線アクセスポイントであってもよ 、。回線 102は 、物理的には電話回線のメタル回線や光ファイバ一による光回線である。電話回線 である場合には、例えば、 ADSLなどのブロードバンド通信が常時可能であるのが好 ましい。

[0015] ネットワーク利用端末 101が無線 LAN機能を有しているとする。例えば、 IEEE802 . 11規格に準拠したものであるとすると、数十メートルは通信が可能となるので、利用 者 Aの家の近くに居る利用者 Bの無線機能を有する端末 104とネットワーク利用端末 101との通信が可能となる場合がある。通常であれば、ネットワーク利用端末 101に はパスワード (例えば、「WEPキー」などと呼ばれる。）が設定され、特定の端末のみ がネットワーク利用端末 101と通信が可能であるが、本発明では、端末 104が、ネット ワーク利用端末 101と通信が可能な領域に存在すれば、端末 104とネットワーク利用 端末 101とはリンクが確立され、通信が可能となるようにする。ただし、この状態では、 少なくとも、端末 104は回線 102を介してインターネット 103は利用ができないように、 ネットワーク利用端末 101が制御を行なう。

[0016] もし、端末 104にインターネット 103を利用する必要が生じた場合には、まず、（1) 端末 104は、ネットワーク利用端末 101へ利用者 B (または端末 104)の認証情報を 送信する。次に、（2)ネットワーク利用端末 101は、回線 102とインターネット 103を介 して、認証サーバ 105へ利用者 A (またはネットワーク利用端末)の認証情報と利用 者 B (または端末 104)の認証情報の両方を送信する。すると、（3)認証サーバ 105 は、利用者 Aと利用者 Bとの認証を行ない、認証の結果をネットワーク利用端末 101 へ返信する。もし、認証が OKであれば、（4)インターネット利用端末 101は、端末 10 4に対して、回線 102を介してインターネット 103の利用を許可する。なお、括弧書き を行なったように、以後においては、利用者 Bの認証情報を端末 104の認証情報の 意味で使用し、また、利用者 Aの認証情報をネットワーク利用端末 101の認証情報の 意味で使用する。

[0017] 図 2は、上述のイベントをシーケンス図にして表わしたものである。ステップ S 201に おいて、利用者 Aのネットワーク利用端末 101と利用者 Aの ISPとの間でコネクション が確立し、すくなくともネットワーク利用端末 101が回線 102を介してインターネット 10 3の利用が可能となる。

[0018] ステップ S202において、利用者 Bの端末 104がネットワーク利用端末 101と通信可 能な領域に入ると、無線リンクが端末 104とネットワーク利用端末 101との間で確立 する。ただし、無線リンクが確立しただけでは、端末 104は、ネットワーク利用端末 10 1を介してインターネット 103を利用することはできないとする。ここで、端末 104にィ ンターネット 103を利用する必要が生じたとすると、ステップ S203において、端末 10 4からネットワーク利用端末 101へ、利用者 Bの認証情報が送信される。ネットワーク 利用端末 101が利用者 Bの認証情報を受信すると、ステップ S204において、利用者 Aの認証情報と受信された利用者 Bの認証情報とが、ネットワーク利用端末 101より 認証サーバ 105へ送信される。認証サーバ 105において、利用者 Aと利用者 Bとが 認証されると、ステップ S205として、課金等の管理が行なわれる。

[0019] 図 3は、課金などの管理を例示する。認証サーバ 105の中に、「利用者識別子」、「 利用ポイント」、「提供ポイント」という列があり、それぞれ、利用者を識別するための情 報、回線の帯域を利用したことを示すポイント、回線の帯域を他人に利用させたこと を示すポイントが格納される。図 1、図 2の場合には、利用者 Bが利用者 Aの回線の帯 域を利用することになるので、例えば、利用者 Aには提供ポイントとして 5ポイントが加 算され、利用者 Bには、利用ポイントとして 6ポイントが加算される。 6ポイントと 5ポイン トの差は、例えば、認証サーバなどの管理会社の利益を示す。

[0020] ステップ S206にお 、て、利用者 Aと利用者 Bとが認証された結果、認証が OKであ ることがネットワーク利用端末へ伝えられ、ステップ S207において、ネットワーク利用 端末 101は、端末 104による通信を、回線 102を介してインターネット 103へ中継す ることを行なう。これにより、端末 104と利用者 Bの ISPとの通信可能となる。例えば、 端末 104と利用者 Bの ISPのサーバとの間で VPN (Virtual Private Network)な どを用いた通信が可能となる（例えば、利用者 Bの ISPのメールサーバやプロキシ一 サーバと VPNによる通信路を張る)。

[0021] その後、ステップ S208において、端末 104とネットワーク利用端末 101との間の無 線リンクが切断すると、ステップ S209において、利用者 Bの ISPへの通信が切断され る。そして、ステップ S210において、端末 104の回線 102の利用状況、例えば、回 線 102を利用した時間、回線 102を介した通信のパケット数、利用させた帯域の幅な どが認証サーバに送信され、課金等管理がステップ S211で行なわれる。

[0022] 図 4は、利用者 Bと利用者 Aとの認証のステップをより詳しく説明するシーケンス図を 例示する。このシーケンス図では、公開鍵暗号の利用を前提としており、利用者 Bと 利用者 Aとは、秘密鍵と公開鍵を有しており、それぞれの公開鍵 (または公開鍵証明 書）は、例えば、ディレクトリサーバに登録されているとする。なお、ディレクトリサーバ は、認証サーバ 105と同じであってもよいし、異なっていてもよい。

[0023] ステップ S401において、利用者 Bの端末 104が利用者 Aの家のネットワーク利用 端末 101へ、回線 102を介した通信の要求を送信する。すると、ステップ S402にお いて、ネットワーク利用端末 101が認証サーバへ認証開始を要求する情報を送信し 、ステップ S403において、認証サーバは乱数などを生成して、チャレンジとしてそれ をネットワーク利用端末 101へ送信する。ステップ S404において、ネットワーク利用 端末 101は、端末 104へチャレンジを送信する。端末 104は、利用者 Bの秘密鍵によ るチャレンジへの署名（これを sBとする。）を行ない、ステップ S405にネットワーク禾 IJ 用端末 101へ送信する。 sBを受信したネットワーク利用端末 101は、利用者 Aの秘 密鍵によるチャレンジへの署名（これを sAとする。）を行ない、ステップ S406におい て、 sAと sBとを認証サーバ 105へ送信する。認証サーバ 105は、ステップ S407にお いて、ディレクトリサーバに対して利用者 Aと利用者 Bとの公開鍵を要求し、ステップ S 408において、利用者 Aと利用者 Bとの返信を受ける。そして、ステップ S409におい て、 sAと sBとの検証、すなわち、公開鍵で sAと sBを復号ィ匕し、ステップ S403で送信 したチャレンジが得られるかを検証する。ステップ S410において、検証の結果をネッ トワーク利用端末 101へ送信する。

[0024] なお、以上の説明において、ネットワーク利用端末 101は、回線 102を介してインタ 一ネットに接続されていると説明したが、インターネットに限定されるものではなぐ一 般の通信網であってもよい。また、ネットワーク利用端末 101と端末 104とは無線 LA Nを用いて通信を行なうとした力 有線による通信を行なうようになって!/、てもよ 、し、 赤外線を使用した通信を行なうようになっていてもよい。また、ステップ S402に先立 つて、ネットワーク利用端末が、認証サーバの公開鍵証明書などを用いて、認証サー バを認証するようになって 、てもよ 、。

[0025] 以下、本発明を実施するための最良の形態について、図を用いて実施の形態に分 けて説明する。なお、本発明はこれら実施の形態に何ら限定されるものではなぐそ の要旨を逸脱しな 、範囲にぉ 、て、種々なる態様で実施し得る。

[0026] (実施の形態 1)

[0027] (実施の形態 1：全体構成）

図 5は、本発明の実施の形態 1に係る通信システムの全体の構成を例示する。本実 施の形態に係る通信システムは、回線 501と、ネットワーク利用端末 502と、二次端 末 503と、認証サーバ 504と、力もなる。なお、ネットワーク利用端末 502は、第 1のネ ットワークを利用する。また、二次端末 503は、第 2のネットワークを用いてネットワーク 利用端末 502と通信が可能である。

[0028] 第 1のネットワークの例としては、インターネットなどに代表される広域通信ネットヮー クがあるが、それに限定されることはない。また、第 2のネットワークの例としては、無 線 LANにより構築される通信網がある力 それに限定されることはない。なお、第 1の ネットワークと第 2のネットワークは同じであってもよい。また、認証サーバ 504は、第 1 のネットワークに接続されて 、るように図示されて 、るが、このような構成である必要 はなぐ例えば、ネットワーク利用端末 502と直接通信が可能なようになつていてもよ い。

[0029] なお、図 5では、二次端末は 1台しか図示されていないが、複数台存在してもよい。

[0030] (実施の形態 1 :回線の構成）

回線 501は、ネットワーク利用端末 502を第 1のネットワークに接続する。回線の例 としては、光ファイバ一を用いた光回線がある。

[0031] (実施の形態 1：二次端末の構成） 図 6は、二次端末の機能ブロック図を例示する。二次端末 503は、二次端末認証情 報送信部 601を有する。

[0032] 「二次端末認証情報送信部」 601は、二次端末認証情報を、第 2のネットワークを用 いてネットワーク利用端末 502に対して送信する。ここに、「二次端末認証情報」とは 、自身を認証させるための情報を含む情報である。「自身」とは、二次端末を意味す る。したがって、二次端末認証情報は、例えば、二次端末を識別する識別子とパスヮ ードを含む。あるいは、二次端末を認識する識別子と、所定のデータに対して二次端 末の秘密鍵で署名を行なった結果であってもよ 、。

[0033] なお、本実施の形態に係る二次端末の二次端末認証情報送信部 601は、ハードウ エア、ソフトウェア、ハードウェアとソフトウェア（プログラム）の両者、のいずれかによつ て構成することが可能である。たとえば、これらを実現する一例として、計算機を利用 する場合には、 CPU、メモリ、バス、インターフェース、周辺装置など力も構成される ハードウェアと、これらのハードウェア上にて実行可能なソフトウェアを挙げることがで きる。したがって、図示はしていないが、第 2のネットワークと通信を行なうためのネット ワークインターフェースなどが二次端末に備えられている。また、二次端末がその所 持者が操作するための端末であれば、ユーザーインターフェースも備えられて 、る。

[0034] (実施の形態 1：二次端末の処理）

図 7は、二次端末の処理の流れ図を例示する。二次端末は、例えば、第 1のネットヮ ークを利用した通信を行なう場合に、この流れ図の処理を行なう。

[0035] まず、ステップ S 701にお 、て、二次端末認証情報が送信済みであるかどうかを判 断する。この判断は、例えば、二次端末の内部にフラグを設けて、そのフラグの値を チェックすることにより判定ができる。もし、送信済みであれば、何もせず、第 1のネット ワークを利用した通信を行なう。もし、送信済みでなければ、ステップ S702へ処理を 移行させ、二次端末認証情報を送信する。もし、上述のフラグが設けられていれば、 そのフラグの値を「送信済み」を示すものとする。

[0036] (実施の形態 1：ネットワーク利用端末）

図 8は、ネットワーク利用端末の機能ブロック図を例示する。ネットワーク利用端末 5 02は、二次端末認証情報受信部 801と、複合認証情報送信部 802と、認証結果情 報受信部 803と、中継部 804と、を有する。

[0037] 「二次端末認証情報受信部」 801は、二次端末 503から送信された二次端末認証 情報を受信する。すなわち、第 2のネットワークを介して、二次端末認証情報を受信 する。

[0038] 「複合認証情報送信部」 802は、二次端末認証情報受信部 801で複合認証情報を 送信する。「複合認証情報」とは、二次端末認証情報受信部 801で受信された二次 端末認証情報と、利用端末認証情報と、を含む情報である。「利用端末認証情報」と は、自身を認証させるための情報であり、「自身」とは、ネットワーク利用端末 502を意 味する。利用端末認証情報の例としては、ネットワーク利用端末 502を識別する識別 子とパスワードがある。あるいは、ネットワーク利用端末 502を識別する識別子と、所 定のデータに対してネットワーク利用端末 502の所持者の秘密鍵で署名を行なった 結果と、を含むものであってもよい。後の説明から明らかになるように、複合認証情報 は、認証サーバ 504へ向けて送信される情報である。したがって、認証サーバ 504が 接続されているネットワークに対して複合認証情報が送信される。

[0039] 「認証結果情報受信部」 803は、認証結果情報を受信する。「認証結果情報」とは、 複合認証情報の送信に応じて返信される情報であって、前記複合認証情報に基づく 認証の結果を示す情報である。すなわち、二次端末認証情報による認証の結果と、 利用端末認証情報による認証の結果と、を含む情報である。後の説明力 わ力るよう に、認証結果情報は、認証サーバ 504が送信される。したがって、認証サーバ 504 が接続されているネットワークから認証結果情報が受信される。

[0040] 「中継部」 804は、認証結果情報受信部 803で受信された認証結果情報に基づ 、 て、二次端末 503の通信を第 1のネットワークに中継することで、第 1のネットワークの 利用を二次端末 503に対して許可する。「認証結果情報に基づいて」とは、認証結果 情報の示す内容と許可との間になんらかの因果関係が存在することを意味する。例 えば、認証結果情報が、二次端末認証情報により二次端末 503の認証がされ、かつ 、利用端末認証情報によりネットワーク利用端末 502の認証がされた場合に、許可を 行なう。「許可を行なう」とは、二次端末 503から送信されたパケットが第 1のネットヮー クを行き先としていれば、そのパケットを、回線 501を介して第 1のネットワークへ送信 し、また、第 1のネットワーク力も受信したパケットが二次端末 503を行き先としていれ ば、そのパケットを第 2のネットワークを介して二次端末 503へ送信すると 、う中継を 行なうことである。

[0041] なお、本実施の形態に係るネットワーク利用端末の各部は、ハードウェア、ソフトゥェ ァ、ハードウェアとソフトウェア（プログラム）の両者、のいずれかによつて構成すること が可能である。たとえば、これらを実現する一例として、計算機を利用する場合には、 CPU、メモリ、バス、インターフェース、周辺装置などから構成されるハードウェアと、 これらのハードウェア上にて実行可能なソフトウェアを挙げることができる。したがって 、図示はしていないが、第 1のネットワーク、第 2のネットワークと通信を行なうためのネ ットワークインターフェースなどがネットワーク利用端末 502に備えられている。

[0042] (実施の形態 1：ネットワーク利用端末の処理）

図 9は、ネットワーク利用端末が行なう処理の流れ図を例示する。ネットワーク利用 端末は、例えば、二次端末より二次端末認証情報を受信するたびに、この流れ図の 処理を行なう。ステップ S901において、二次端末認証情報を二次端末認証情報受 信部 801により受信する。ステップ S902において、利用端末認証情報を取得する。 利用端末認証情報が識別子とパスワードであれば、メモリなどに蓄積されているパス ワードを読み取る。署名などを行なう場合には、秘密鍵を読み取り、署名を生成する 。この意味で、本明細書においては、取得の概念には生成の概念も含まれるものと する。また、ステップ S902は、例えば、複合認証情報送信部 802により行なわれる。 ステップ S903にお 、て、複合認証情報を複合認証情報送信部 802により送信する 。ステップ S904において、認証結果情報を認証結果情報受信部 803により受信す る。ステップ S905において、認証が OKかどう力、すなわち、二次端末 503とネットヮ ーク利用端末 502とが認証がされたかどうかを判断する。この判断は、例えば中継部 804で行なう。もし、認証が OKであれば、中継部 804により、二次端末の通信を第 1 のネットワークに中継する。すなわち、第 1のネットワークと二次端末との間でのバケツ トの交換を可能とする。

[0043] (実施の形態 1：認証サーバの構成）

図 10は、認証サーバの機能ブロック図を例示する。認証サーバ 504は、複合認証 情報受信部 1001と、認証部 1002と、認証結果返信部 1003と、を有する。

[0044] 「複合認証情報受信部」 1001は、ネットワーク利用端末 502から送信される複合認 証情報を受信する。

[0045] 「認証部」 1002は、複合認証情報受信部 1001で受信した複合認証情報に基づ ヽ て、二次端末 503とネットワーク利用端末 502とを認証する。例えば、端末の識別子 とパスワードとを保持したテーブルが認証サーバ内に設けられ、複合認証情報受信 部に含まれる二次端末の識別子とパスワードと、ネットワーク利用端末の識別子とパ スワードが、そのテーブルに保持された識別子とパスワードとに適合するかどうかを判 断する。あるいは、複合認証情報に所定のデータに対する署名が含まれていれば、 その署名が正 、かどうかを判定する。

[0046] なお、認証部での認証は、二次端末とネットワーク利用端末とを個別に認証しても よい。あるいは、二次端末とネットワーク利用端末とが特定の組合せになっていること が条件とされて認証がされてもょ 、。

[0047] 「認証結果返信部」 1003は、認証部 1002での認証の結果を認証結果情報として 返信する。

[0048] なお、本実施の形態に係る認証サーバの各部は、ハードウェア、ソフトウェア、ハー ドウエアとソフトウェア（プログラム）の両者、のいずれかによつて構成することが可能で ある。たとえば、これらを実現する一例として、計算機を利用する場合には、 CPU,メ モリ、バス、インターフェース、周辺装置などから構成されるハードウェアと、これらの ハードウェア上にて実行可能なソフトウェアを挙げることができる。したがって、図示は していないが、ネットワーク利用端末や、必要ならば、公開鍵などを得るためのディレ クトリサーバなどと通信を行なうためのネットワークインターフェースなどが認証サーバ に備えられている。

[0049] (実施の形態 1 :認証サーバの処理）

図 11は、認証サーバの処理を説明する流れ図を例示する。認証サーバは、複合認 証情報を受信するたびに、図 11の流れ図の処理を実行する。ステップ S1101にお いて、複合認証情報を、複合認証情報受信部により受信する。ステップ S1002にお いて、二次端末とネットワーク利用端末とを認証部により認証する。ステップ S 1003に おいて、認証結果返信部により、認証結果情報を返信する。

[0050] (実施の形態 1：全体の処理）

図 12は、本実施の形態に係る通信システムの全体の処理のシーケンス図を例示す る。ステップ S1201において、二次端末よりネットワーク利用端末へ二次端末認証情 報が送信される。ステップ S1202において、ネットワーク利用端末力も認証サーバへ 複合認証情報、すなわち二次端末認証情報と利用端末認証情報とを含む情報、が 送信される。ステップ S 1203において、認証サーノくからネットワーク利用端末へ、認 証結果情報が送信される。その後、認証結果情報に基づいて、二次端末による第 1 のネットワークの利用が許可される。

[0051] (実施の形態 1：その他の形態）

以上説明したのは、本発明の実施の形態 1の最低限の構成と処理である。このほか に、例えば、認証サーバにより複合認証情報に基づいて二次端末とネットワーク利用 端末とが認証されれば、課金等管理が認証サーバにより行なわれてもよい。課金等 管理は、認証サーバ以外のサーバにより行なわれてもよい。また、二次端末とネットヮ ーク利用端末との通信が切断された場合には、二次端末による第 1のネットワークの 利用の量などを示す情報を、ネットワーク利用端末が認証サーバなどへ送信し、課金 等管理が行なわれるようになって 、てもよ 、。

[0052] なお、ネットワーク利用端末が認証サーバなどへ、第 1のネットワークの利用の量な どについて虚偽の申請を行なうことが考えられる。この対策として、例えば、ネットヮー ク利用端末は、定期的に二次端末に対して、第 1のネットワークの利用の量 (例えば、 利用時間、利用した帯域幅、パケット量など)などを示す通信量情報を報告する通信 量報告部を有してもよい。このようにすることにより、後日、二次端末から認証サーバ などに記録された通信量情報と、ネットワーク利用端末の通信料報告部力 伝えられ た通信量情報とを比較可能とする解決策がある。あるいは、二次端末がネットワーク 利用端末との通信を切断する直前に、二次端末力 認証サーバなどへ、二次端末が 測定などをして得られた、あるいは、ネットワーク利用端末から送信されて得られた、 通信量情報を送信するようにしてもよい。認証サーバなどは、二次端末から送信され る通信量情報と、ネットワーク利用端末力 送信される通信量情報と、を比較し、二つ の通信量情報の違 、が許容できな 、場合には、ネットワーク利用端末や二次端末に 対して監査を行なうべき情報を管理者に表示等してもよい。

[0053] また、ネットワーク利用端末力 二次端末に対して回線 501などの利用条件を提示 し、二次端末と利用条件についてネゴシエーションを取るようになつていてもよい。利 用条件とは、例えば、二次端末が利用する回線 501の帯域であったり、回線 501の 利用時間の長さであったりなどする。

[0054] 図 13は、利用条件のネゴシエーションを取る処理を例示する。まず、（1)認証サー バによりネットワーク利用端末と二次端末との認証が行なわれる。次に、（2)利用条 件の提示がネットワーク利用端末力 二次端末に対して行なわれる。（3)その利用条 件が二次端末で審査される。例えば、利用条件が二次端末の利用の目的に適うかど うかを判断する。審査の結果力 SOKであれば、その結果がネットワーク利用端末へ送 信され、（4)課金などの申請がネットワーク利用端末力 認証サーバや課金サーバ へ対して行なわれる。認証サーバが課金の処理も行なうとすると、（5)課金等の実行 を行なう。二次端末が第 1のネットワークを利用可能となる。本発明には必須ではない 力 (6)二次端末は VPNと特定のホストとの安全な通信路を確立して通信を行なう。

[0055] 図 13では、認証サーバによる認証の後に利用条件の提示が行なわれるが、二次 端末認証情報の送信時に利用条件の提示が行なわれるようになって!/、てもよ ヽ。ま た、二次端末による第 1のネットワークの利用が許可されている間に、ネットワーク利 用端末の所持者が回線 501を利用する必要が発生した場合には、二次端末の使用 する回線 501の帯域などを制限してよいかどうかのネゴシエーションをネットワーク端 末と二次端末との間で行ない、ネゴシエーションができれば、ネットワーク利用端末は 二次端末の使用する回線 501の帯域の制限を行なう。あるいは、複数の二次端末が 存在し、二次端末の台数が増加し、ネットワーク利用端末がそれぞれの二次端末に 対して提供すべき帯域を保障できなくなつてきた場合などにも、ネゴシエーションを行 なうようになっていてもよい。また、ネゴシエーションの結果に応じて、課金のレートな どを変更する申請をネットワーク利用端末より行なうようにしてもよい。

[0056] また、二次端末において、新たな帯域が必要となった場合には、二次端末の側力も ネットワーク利用端末に対してネゴシエーションを行なうようになって 、てもよ 、。 [0057] また、ネゴシエーションの対象については、種々のものがあり得る。例えば、帯域に ついてネットワーク利用端末の使用可能帯域の比率、あるいはネットワーク利用端末 の所持者が使用する分を差し引いてからの残量内での比率をネゴシエーションの対 象としてもよい。このようにすることにより、通信の状況が変化した場合に、再びネゴシ エーシヨンを行なう必要が生じる回数を減らすことができ、ネゴシエーションを行なうこ とにより発生するオーバーヘッドを減らすことができる。

[0058] また、通信の内容ごと (例えば、 TCP/IPの通信の場合には、通信に使用するポ ート番号に基づいて決定されるサービス）、課金、品質の条件をネゴシエーションする こともあり得る。例えば、動画データに関しては優先して大きな帯域を割り当てる一方 、それに応じて高い課金レートを課するようにしてもよい。

[0059] なお、これらは全てネゴシエーションにおいて、どのような内容についてネゴシエー シヨンするかによるものであり、ネゴシエーションを行なうという機能には何ら制限が課 せられるものではない。

[0060] また、都市部などでは、二次端末が同時に複数のネットワーク利用端末と通信が可 能となる場合があるが、二次端末は、最も有利な利用条件を提示したネットワーク利 用端末を利用するようにネットワーク利用端末の選択を行なってもよ 、。

[0061] (実施の形態 1：主な効果）

本実施の形態により、回線 501の余剰帯域の利用を促進することができ、また、複 合認証情報による認証が行なわれることにより、回線 501の帯域を提供した者と利用 した者とに対する課金管理などをスムーズに行なうことができる。また、複合認証情報 による認証が行なわれることにより、ネットワーク利用端末の利用する ISPと二次端末 の所持者が契約している ISPとが同じであったり提携をしていたりする必要はなぐ IS Pと独立して設置することが可能な認証サーバに登録されていればよいことになる。

[0062] (実施の形態 2)

[0063] (実施の形態 2：全体構成）

図 14は、本発明の実施の形態 2に係る通信システムの全体の構成を例示する。本 実施の形態に係る通信システムは、回線 501と、ネットワーク利用端末 502と、二次 端末 503と、認証サーバ 504と、サービス提供サーバ 1401と、力らなる。したがって、 本実施の形態に係る通信システムは、実施の形態 1に係る通信システムにサービス 提供サーバ 1401が追加された構成となっている。

[0064] サービス提供サーバ 1401は、第 1のネットワークを介してサービスを提供するサー バである。

[0065] (実施の形態 2：二次端末認証情報の構造）

本実施の形態にぉ ヽては、二次端末 503の二次端末認証情報送信部 601が送信 する二次端末認証情報には、サービス提供サーバ識別情報が含まれる。「サービス 提供サーバ」とは、自身が第 1のネットワークを利用して通信を行なうサービス提供サ ーバを識別するための情報である。例えば、サービス提供サーバの IPアドレスや FQ DN (Full Qualified Domain Name)などである。

[0066] 図 15は、二次端末が送信する二次端末認証情報にサービス提供サーバ識別情報 が含まれて 、ることを例示して 、る。

[0067] (実施の形態 2 :中継部の処理）

本実施の形態においては、ネットワーク利用端末の中継部は、認証結果情報受信 部で受信された認証の結果に基づ 、て、二次端末の通信を第 1のネットワークを介し てサービス提供サーバに中継することで第 1のネットワークの利用を二次端末につい て許可する。例えば、二次端末力 のパケットがサービス提供サーバを行き先として いれば、そのパケットを回線 501へ送信し、そうでなければ、パケットを破棄する。ま た、第 1のネットワークから受信したパケットが二次端末を行き先とする場合、その送 信元がサービス提供サーバでなければ、そのようなパケットを破棄する。

[0068] (実施の形態 2 :認証部の処理）

本実施の形態においては、認証サーバの認証部は、複合認証情報受信部で受信 した複合認証情報に基づ ヽてサービス提供サーバを認証する。このサービス提供サ ーバの認証は、そのサービス提供サーバと二次端末との通信を認証することを目的 とする。すなわち、サービス提供サーバと二次端末との通信が可能となる前提として、 本実施の形態においては、サービス提供サーバが認証されなければならない。サー ビス提供サーバを認証する方法としては、複合認証情報に含まれる二次端末認証情 報を取得し、その二次端末認証情報に含まれるサービス提供サーバ識別情報に基 づいて、サービス提供サーバを認証する方法がある。例えば、認証サーバは、サービ ス提供サーバ識別情報に基づいて、サービス提供サーバへ乱数としてチャレンジを 送信し、サービス提供サーバは受信したチャレンジを自分の有する秘密鍵でチヤレ ンジを暗号ィ匕して返信（レスポンス)する。返信を受信した認証サーバは、サービス提 供サーバの公開鍵を取得し、返信を復号化し、元のチャレンジが得られるかどうかを 判断する。なお、このようなチャレンジ レスポンスによる認証の後や前に、サービス 提供サーバ識別情報が、有害なサーバの識別子を集めたリストなどに存在しないか どうか、あるいは、優良なサーバの識別子を集めたリストなどに存在することを確認し てもよい。

[0069] このように認証サーバがサービス提供サーバを認証することにより、本実施の形態 に係る通信システムにおいて、二次端末が通信できるサービス提供サーバを特定す ることができる。これにより、サービス提供料などの徴収が可能となる。また、サービス 提供サーバの管理者が悪意等を有して 、る場合、二次端末がネットワーク利用端末 を経由してサービス提供サーバを利用すると、ネットワーク利用端末の存在が悪意等 を有している管理者に判明してしまい、 DoS攻撃などを受ける場合がある力 そのよ うなサービス提供サーバが認証されないようにすることにより、 DoS攻撃を避けること ができる。

[0070] また、サービス提供サーバの認証の後に、二次端末とサービス提供サーバとの組 合せが適切なものであるかどうかを判断してもよい。例えば、二次端末の識別子と、 その二次端末が利用可能なサービス提供サーバを識別するためのサービス提供サ ーバ識別情報と、を関連付けてテーブルに蓄積してもよい。このようなテーブルを用 いて認証を行なうことにより、二次端末は所定のサービス提供サーバしか使用ができ なくなる。例えば、勤務中に外出している二次端末の所持者は、勤務先のサーバに しか接続できな 、ようにすることができる。

[0071] あるいは、ネットワーク利用端末の識別子と、その二次端末が利用可能なサービス 提供サーバを識別するためのサービス提供サーバ識別情報と、を関連付けてテープ ルに蓄積してもよい。このようなテーブルを用いて認証を行なうことにより、所定のネッ トワーク利用端末の周辺に居るときにだけ利用可能なサービスを提供することができ 、例えば、商店街や行楽地などの人寄せに役立つ。

[0072] (実施の形態 2 :主な効果）

上記に述べたように、本実施の形態により、二次端末が通信できるサービス提供サ ーバを指定することができ、サービス提供料の徴収が可能などとなる。

[0073] (実施の形態 3)

[0074] (実施の形態 3：全体構成）

図 16は、本発明の実施の形態 3に係る通信システムの全体の構成を例示する。本 実施の形態に係る通信システムは、回線 501と、ネットワーク利用端末 502と、二次 端末 503と、認証サーバ 504と、三次端末 1601と、力もなる。また、サービス提供サ ーバが存在していてもよい。したがって、本実施の形態に係る通信システムは、実施 の形態 1または 2に係る通信システムが三次端末 1601を有する構成となっている。

[0075] (実施の形態 3：三次端末の構成）

三次端末 1601は、第 3のネットワークを用いて二次端末 503と通信が可能な端末 である。「第 3のネットワーク」は、例えば無線 LANなどにより構成される通信網である

[0076] 図 17は、三次端末の機能ブロック図を例示する。三次端末 1601は、三次端末認 証情報送信部 1701を有する。

[0077] 「三次端末認証情報送信部」 1701は、三次端末認証情報を第 3のネットワークを利 用して二次端末 503に送信する。ここに、「三次端末認証情報」とは、自身を認証さ せるための情報であり、「自身」とは三次端末を意味する。したがって、三次端末認証 情報は、例えば、実施の形態 1における二次端末認証情報と同じ構造であってもよ い。

[0078] なお、本実施の形態に係る三次端末の部は、ハードウェア、ソフトウェア、ハードウ エアとソフトウェア（プログラム）の両者、の 、ずれかによつて構成することが可能であ る。たとえば、これらを実現する一例として、計算機を利用する場合には、 CPU,メモ リ、バス、インターフェース、周辺装置などから構成されるハードウエアと、これらのハ 一ドウエア上にて実行可能なソフトウェアを挙げることができる。したがって、図示はし ていないが、第 3のネットワークと通信を行なうためのネットワークインターフェースな どが三次端末に備えられている。また、三次端末がその所持者により操作されるもの であれば、ユーザーインターフェースなども備えられて!/、る。

[0079] (実施の形態 3：二次端末の構成）

図 18は、本実施の形態に係る通信システムの二次端末の機能ブロック図を例示す る。本実施の形態において、二次端末 503は、三次端末認証情報受信部 1801と、 二次端末認証情報送信部 601と、二次端末認証結果情報受信部 1802と、二次端 末中継部 1803と、を有する。

[0080] 「三次端末認証情報受信部」 1801は、三次端末 1601から送信される三次端末認 証情報を受信する。したがって、本実施の形態に係る二次端末は、実施の形態 1ま たは 2に係る二次端末が第 3のネットワークと通信するためのネットワークインターフエ ースを備えている。

[0081] 「二次端末認証情報送信部」 601は、実施の形態 1または 2におけるものと同様であ るが、本実施の形態においては、二次端末認証情報に、三次端末認証情報受信部 で受信された三次端末認証情報を含ませて送信する。

[0082] 「二次端末認証結果情報受信部」 1802は、二次端末認証情報の送信に応じて返 信される認証結果情報を受信する。認証結果情報は、後に説明されるようにネットヮ ーク利用端末 502を介して受信される。

[0083] 「二次端末中継部」 1803は、二次端末認証結果情報受信部 1802で受信された認 証結果情報に基づいて、三次端末 1601の通信を第 2のネットワークに中継すること で、第 1のネットワークの利用を三次端末 1601に対して許可する。もし、認証結果情 報力 認証が OKであることを示せば、二次端末 503の通信が第 1のネットワークに中 継されるので、二次端末が、三次端末の通信を第 2のネットワークに中継することによ り、三次端末は、第 1のネットワークの通信を行なうことが可能となる。

[0084] (実施の形態 3：ネットワーク利用端末の構成）

本実施の形態において、ネットワーク利用端末 502は、さらに、認証結果送信部を 有する。

[0085] 「認証結果送信部」は、認証結果情報受信部 803で受信した認証結果情報を二次 端末 503に対して送信する。 [0086] (実施の形態 3：認証サーバの構成）

本実施の形態において、認証サーバ 504の認証部 1002は、複合認証情報受信部 1001で受信した複合認証情報に基づ ヽてさらに三次端末 1601を認証する。認証 の方法は、二次端末やネットワーク利用端末の認証の方法と同じであっても構わな！/、 。あるいは、異なる方法であっても構わない。

[0087] (実施の形態 3：二次端末の処理）

図 19は、本実施の形態における二次端末の処理の流れ図を例示する。二次端末 は、三次端末認証情報を受信するたびに、図 19の流れ図の処理を実行する。ステツ プ S1901において、三次端末認証情報を、三次端末認証情報受信部 1801により 受信する。ステップ S1902において、二次端末認証情報を取得する。この取得は、 例えば、二次端末認証情報送信部 601で行なわれる。ステップ S1903において、二 次端末認証情報を、二次端末認証情報送信部 601により送信する。ステップ S 1904 において、返信される認証結果情報を、二次端末認証結果情報受信部 1802により 受信する。ステップ S 1905において、認証が OKであるかどうかを判断する。もし、認 証が OKであれば、二次端末中継部 1803により、三次端末の通信を第 2のネットヮ ークに中継する。

[0088] (実施の形態 3 :主な効果）

本実施の形態によれば、二次端末と通信が可能な三次端末が第 1のネットワークを 利用することができ、本発明に係る通信システムの通信可能なエリアを広げることが できる。なお、このような考えを推し進めると、図 20に例示されるように、三次端末がさ らに四次端末と通信が可能であり、四次端末が第 1のネットワークを利用可能となるよ うにすることもでき、更に、四次端末が五次端末と通信が可能とすることもできる。これ により、例えば、道路を走る自動車などの連続して並ぶ移動体に端末を搭載すること により、移動体からのネットワークの利用が可能となる。

[0089] (実施の形態 4)

[0090] 本発明の実施の形態 4は、実施の形態 1に係る通信システムのネットワーク利用端 末に相当する。実施の形態 1においては、通信システム全体の中でネットワーク利用 端末が位置づけられていた力 実施の形態 4においては、ネットワーク利用端末単体 について説明がされる。

[0091] すなわち、本実施の形態に係るネットワーク端末は、回線によって第 1のネットヮー クに接続され、第 2のネットワークを用いて二次端末と通信が可能なネットワーク利用 端末である。

[0092] ネットワーク利用端末は、二次端末認証情報受信部と、複合認証情報送信部と、認 証結果情報受信部と、中継部と、を有する。

[0093] 「二次端末認証情報受信部」は、前記二次端末から送信された前記二次端末を認 証させるための情報である二次端末認証情報を受信する。

[0094] 「複合認証情報送信部」は、前記二次端末認証情報受信部で受信された二次端末 認証情報と、自身を認証させるための情報である利用端末認証情報と、を含む情報 である複合認証情報を送信する。

[0095] 「認証結果情報受信部」は、前記複合認証情報の送信に応じて返信される情報で あって前記複合認証情報に基づく認証の結果を示す情報である認証結果情報を受 信する。

[0096] 「中継部」は、前記認証結果情報受信部で受信された認証結果情報に基づ!、て、 前記二次端末の通信を前記第 1のネットワークに中継することで前記第 1のネットヮー クの利用を前記二次端末に対して許可する。

[0097] ネットワーク利用端末の処理については、図 9を用いて既に説明したので省略する

[0098] (実施の形態 5)

[0099] 本発明の実施の形態 5は、実施の形態 1に係る通信システムの認証サーバに相当 する。

[0100] すなわち、本実施の形態に係る認証サーバは、二次端末と通信が可能なネットヮー ク利用端末と通信を行なう認証サーバである。二次端末は、上で説明したような端末 装置である。

[0101] 認証サーバは、複合認証情報受信部と、認証部と、認証結果返信部と、を有する。

[0102] 「複合認証情報受信部」は、前記二次端末を認証させるための情報である二次端 末認証情報と前記ネットワーク利用端末を認証させるための情報である利用端末認 証情報と、を含む情報である複合認証情報を前記ネットワーク利用端末より受信する

[0103] 「認証部」は、前記複合認証情報受信部で受信した複合認証情報に基づ 、て、前 記二次端末と前記ネットワーク利用端末とを認証する。

[0104] 「認証結果返信部」は、前記認証部での認証の結果を認証結果情報として返信す る。

[0105] 認証サーバの処理については、図 11を用いて説明したので省略する。

[0106] (実施の形態 6)

[0107] 本発明の実施の形態 6は、実施の形態 2に係る通信システムの二次端末に相当す る。

[0108] すなわち、本実施の形態に係る二次端末は、サービスを提供するサービス提供サ ーバと通信が可能な第 1のネットワークに回線を介して接続されたネットワーク利用端 末と第 2のネットワークを用いて通信が可能な端末である。

[0109] 二次端末は、二次端末認証情報送信部を有する。

[0110] 「二次端末認証情報送信部」は、自身を認証させるための情報である二次端末認 証情報に、前記第 1のネットワークを利用して通信を行なう前記サービス提供サーバ を識別するための情報であるサービス提供サーバ識別情報を含ませて、第 2のネット ワークを用いて前記ネットワーク利用端末に対して送信する。ここに「自身」とは、二次 端末を意味する。

[0111] (実施の形態 7)

[0112] 本発明の実施の形態 7は、実施の形態 2に係る通信システムのネットワーク利用端 末に相当する。したがって、本実施の形態に係るネットワーク利用端末は、実施の形 態 4に係るネットワーク利用端末において、第 1のネットワークは、サービスを提供する サービス提供サーバとの通信が可能であり、前記二次端末認証情報には、二次端末 が前記第 1のネットワークを利用して通信を行なう前記サービス提供サーバを識別す るための情報であるサービス提供サーバ識別情報が含まれ、前記中継部は、前記認 証結果情報受信部で受信された認証の結果に基づ!/、て、前記二次端末の通信を前 記第 1のネットワークを介して前記サービス提供サーバに中継することで前記第 1の ネットワークの利用を前記二次端末に対して許可する。

[0113] (実施の形態 8)

[0114] 本発明の実施の形態 8は、実施の形態 2に係る通信システムの認証サーバに相当 する。したがって、本実施の形態に係る認証サーバは、実施の形態 5に係る認証サ ーバにおいて、前記ネットワーク利用端末は、第 1のネットワークを利用して、サービ スを提供するサービス提供サーバとの通信が可能であり、前記二次端末認証情報に は、二次端末が前記第 1のネットワークを利用して通信を行なう前記サービス提供サ ーバを識別するための情報であるサービス提供サーバ識別情報が含まれ、前記認 証部は前記複合認証情報受信部で受信した複合認証情報に基づいて前記サービ ス提供サーバを認証する。

[0115] (実施の形態 9)

[0116] 本発明の実施の形態 9は、実施の形態 3に係る通信システムのネットワーク利用端 末に相当する。したがって、本実施の形態に係るネットワーク利用端末は、実施の形 態 4または 7のネットワーク利用端末が、認証結果情報受信部で受信した認証結果情 報を前記二次端末に対して送信する認証結果情報送信部を有する構成となってい る。

[0117] (実施の形態 10)

[0118] 本発明の実施の形態 10は、実施の形態 3に係る通信システムの認証サーバに相 当する。したがって、本実施の形態に係る認証サーバは、実施の形態 5または 8に係 る認証サーバにおいて、前記二次端末は、第 3のネットワークを利用して、自身を認 証させるための情報である三次端末認証情報を送信する三次端末と通信が可能で あり、前記二次端末は、二次端末認証情報に前記三次端末認証情報を含ませて送 信し、前記認証部は、前記複合認証情報受信部で受信した複合認証情報に基づい てさらに前記三次端末を認証する。

[0119] (実施の形態 11)

[0120] 本発明に係る実施の形態 11は、例えば、実施の形態 1の通信システムが動作する ように、ネットワーク利用端末と、二次端末と、認証サーバと、を通信させる方法である [0121] すなわち、本実施の形態に係る方法は、回線により第 1のネットワークに接続される ネットワーク利用端末と、第 2のネットワークを用いて前記ネットワーク利用端末と通信 が可能な二次端末と、認証サーバと、を通信させる方法であり、二次端末認証情報 送信ステップと、二次端末認証情報受信ステップと、複合認証情報送信ステップと、 認証結果情報受信ステップと、中継ステップと、複合認証情報受信ステップと、認証 ステップと、認証結果返信ステップと、を含む。

[0122] 「二次端末認証情報送信ステップ」は、二次端末が、自身を認証させるための情報 である二次端末認証情報を、前記第 2のネットワークを用いて前記ネットワーク利用 端末に対して送信するステップである。例えば、図 12のステップ S 1201に相当する。

[0123] 「二次端末認証情報受信ステップ」は、ネットワーク利用端末が、前記二次端末認 証情報送信ステップにて送信された二次端末認証情報を受信するステップである。 例えば、図 12のステップ S 1201に相当する。

[0124] 「複合認証情報送信ステップ」は、ネットワーク利用端末が、前記二次端末認証情 報受信ステップで受信された二次端末認証情報と、自身を認証させるための情報で ある利用端末認証情報と、を含む情報である複合認証情報を送信するステップであ る。例えば、図 12のステップ S1202に相当する。

[0125] 「認証結果情報受信ステップ」は、ネットワーク利用端末力 前記複合認証情報の 送信に応じて返信される認証結果情報を受信するステップである。例えば、図 12の ステップ S 1202に相当する。

[0126] 「中継ステップ」は、ネットワーク利用端末力 前記認証結果情報受信ステップで受 信された認証結果情報に基づ 、て、前記二次端末の通信を前記第 1のネットワーク に中継することで前記第 1のネットワークの利用を前記二次端末に対して許可するス テツプである。 f列えば、図 9のステップ S905、 S906にネ目当する。

[0127] 「複合認証情報受信ステップ」は、認証サーバが、前記ネットワーク利用端末力も送 信される複合認証情報を受信するステップである。例えば、図 12のステップ S1202 に相当する。

[0128] 「認証ステップ」は、認証サーバが、前記複合認証情報受信ステップで受信した複 合認証情報に基づ ヽて、前記二次端末と前記ネットワーク利用端末とを認証するス テツプである。例えば、図 11のステップ S1102に相当する。

[0129] 「認証結果返信ステップ」は、認証サーバ力 前記認証ステップでの認証の結果を 返信するステップである。例えば、図 12のステップ S 1203に相当する。

[0130] 本明細書は、 2004年 5月 19日出願の特願 2004— 149126に基づく。この内容は すべてここに含めておく。

産業上の利用可能性

[0131] 本発明に係る通信システムは、回線の余剰帯域の利用を促進することができ、また 、回線の帯域を提供した者と利用した者とに対する課金管理などをスムーズに行なう ことができ、産業上有用である。

Claims

請求の範囲

[1] 第 1のネットワークに接続するネットワーク利用端末と、第 2のネットワークを通じて前 記ネットワーク利用端末と通信が可能な二次端末と、前記第 1のネットワークを通じて 前記ネットワーク利用端末と通信が可能な認証サーバと、力 なる通信システムであ つて、

前記二次端末は、自身を認証させる情報を含む二次端末認証情報を前記ネットヮ ーク利用端末に送信する二次端末認証情報送信部を有し、

前記ネットワーク利用端末は、前記二次端末から送信された前記二次端末認証情 報と自身を認証させる情報である利用端末認証情報とを含む情報である複合認証情 報を前記認証サーバに送信する複合認証情報送信部と、前記複合認証情報に基づ く認証の結果である認証結果情報を前記認証サーバから受信する認証結果情報受 信部と、前記認証結果情報に基づ!、て前記二次端末の通信を前記第 1のネットヮー クに中継することで前記第 1のネットワークの利用を前記二次端末に許可する中継部 と、を有し、

前記認証サーバは、前記ネットワーク利用端末から送信された前記複合認証情報 を受信する複合認証情報受信部と、前記複合認証情報に基づ 、て前記二次端末と 前記ネットワーク利用端末とを認証する認証部と、認証の結果を前記認証結果情報 として前記ネットワーク利用端末に返信する認証結果返信部と、を有する通信システ ム。

[2] 前記第 1のネットワークを介してサービスを提供するサービス提供サーバをさらに有 し、

前記二次端末の二次端末認証情報送信部が送信する二次端末認証情報には、自 身が前記第 1のネットワークを利用して通信を行なう前記サービス提供サーバを識別 するための情報であるサービス提供サーバ識別情報が含まれ、

前記ネットワーク利用端末の前記中継部は、前記認証結果情報に基づいて、前記 二次端末の通信を前記第 1のネットワークを介して前記サービス提供サーバに中継 することで前記第 1のネットワークの利用を前記二次端末に許可し、

前記認証サーバの認証部は、前記複合認証情報受信部で受信した複合認証情報 に基づいて前記サービス提供サーバを認証する請求項 1記載の通信システム。

[3] 第 3のネットワークを通じて前記二次端末と通信が可能な三次端末をさらに有し、 前記三次端末は、自身を認証させるための情報である三次端末認証情報を前記 二次端末に送信する三次端末認証情報送信部を有し、

前記二次端末は、前記三次端末から送信された三次端末認証情報を受信する三 次端末認証情報受信部と、前記二次端末認証情報の送信に応じて返信される認証 結果情報を受信する二次端末認証結果情報受信部と、前記二次端末認証結果情 報受信部で受信された認証結果情報に基づいて前記三次端末の通信を中継するこ とで前記第 1のネットワークの利用を前記三次端末に許可する二次端末中継部と、を 有し、

前記二次端末認証情報送信部は、前記二次端末認証情報に、前記三次端末認証 情報受信部で受信された三次端末認証情報を含ませて送信し、

前記ネットワーク利用端末は、前記認証結果情報受信部で受信した認証結果情報 を前記二次端末に送信する認証結果情報送信部を有し、

前記認証サーバの前記認証部は、前記複合認証情報受信部で受信した複合認証 情報に基づいてさらに前記三次端末を認証する請求項 1記載の通信システム。

[4] 第 1のネットワークに接続可能であり、第 2のネットワークを通じて二次端末と通信が 可能であり、前記第 1のネットワークを通じて認証サーバと通信が可能なネットワーク 利用端末であって、

前記二次端末から送信された前記二次端末を認証させるための情報である二次端 末認証情報を受信する二次端末認証情報受信部と、

前記二次端末認証情報受信部で受信された二次端末認証情報と自身を認証させ るための情報である利用端末認証情報とを含む情報である複合認証情報を前記認 証サーバに送信する複合認証情報送信部と、

前記複合認証情報の送信に応じて返信される情報であって前記複合認証情報に 基づく認証の結果を示す情報である認証結果情報を前記認証サーバに力 受信す る認証結果情報受信部と、

前記認証結果情報受信部で受信された認証結果情報に基づ!、て、前記二次端末 の通信を前記第 1のネットワークに中継することで前記第 1のネットワークの利用を前 記二次端末に許可する中継部と、

を有するネットワーク利用端末。

[5] 第 2のネットワークを通じて二次端末と通信が可能なネットワーク利用端末と第 1の ネットワークを通じて通信を行なう認証サーバであって、

前記二次端末を認証させるための情報である二次端末認証情報と前記ネットヮー ク利用端末を認証させるための情報である利用端末認証情報とを含む情報である複 合認証情報を前記ネットワーク利用端末より受信する複合認証情報受信部と、 前記複合認証情報受信部で受信した複合認証情報に基づ!ヽて、前記二次端末と 前記ネットワーク利用端末とを認証する認証部と、

前記認証部での認証の結果を認証結果情報として前記ネットワーク利用端末に返 信する認証結果返信部と、

を有する認証サーバ。

[6] 前記第 1のネットワークを介してサービスを提供するサービス提供サーバとの通信 が可能であり、

前記二次端末認証情報には、二次端末が前記第 1のネットワークを利用して通信を 行なう前記サービス提供サーバを識別するための情報であるサービス提供サーバ識 別情報が含まれ、

前記中継部は、前記認証結果情報受信部で受信された認証の結果に基づ!、て、 前記二次端末の通信を前記第 1のネットワークを介して前記サービス提供サーバに 中継することで前記第 1のネットワークの利用を前記二次端末に許可する請求項 4に 記載のネットワーク利用端末。

[7] 前記二次端末認証情報には、前記第 1のネットワークを介してサービスを提供する サービス提供サーバを識別するための情報であるサービス提供サーバ識別情報が 含まれ、

前記認証部は、前記複合認証情報受信部で受信した複合認証情報に基づ!、て前 記サービス提供サーバを認証し、前記二次端末と前記サービス提供サーバとの通信 を認証する請求項 5に記載の認証サーバ。

[8] 前記二次端末認証情報には、前記二次端末が第 3のネットワークを利用して通信を 行なう三次端末を認証させるための情報である三次端末認証情報が含まれ、 前記認証部は、前記複合認証情報受信部で受信した複合認証情報に基づ!、て前 記三次端末を認証する請求項 5に記載の認証サーバ。

[9] 第 1のネットワークに接続されるネットワーク利用端末と、第 2のネットワークを通じて 前記ネットワーク利用端末と通信が可能な二次端末と、前記第 1のネットワークを通じ て前記ネットワーク利用端末と通信が可能な認証サーバと、を通信させる方法であつ て、

前記二次端末が、自身を認証させるための情報である二次端末認証情報を前記ネ ットワーク利用端末に送信する二次端末認証情報送信ステップと、

前記ネットワーク利用端末が、前記二次端末認証情報送信ステップにて送信され た二次端末認証情報を受信する二次端末認証情報受信ステップと、

前記ネットワーク利用端末が、前記二次端末認証情報受信ステップで受信された 二次端末認証情報と自身を認証させるための情報である利用端末認証情報とを含 む情報である複合認証情報を送信する複合認証情報送信ステップと、

前記認証サーバが、前記ネットワーク利用端末から送信される複合認証情報を受 信する複合認証情報受信ステップと、

前記認証サーバが、前記複合認証情報受信ステップで受信した複合認証情報に 基づ 、て、前記二次端末と前記ネットワーク利用端末とを認証する認証ステップと、 前記認証サーバが、前記認証ステップでの認証の結果を認証結果情報として前記 ネットワーク利用端末に返信する認証結果返信ステップと、

前記ネットワーク利用端末が、前記認証結果情報を受信する認証結果情報受信ス テツプと、

前記ネットワーク利用端末が、前記認証結果情報に基づいて、前記二次端末の通 信を前記第 1のネットワークに中継することで前記第 1のネットワークの利用を前記二 次端末に許可する中継ステップと、

を含む通信方法。

ZLL OO/SOOZdT/lJd 63 9Z8lll/S00Z OAV