WO2007094369A1 - 分散認証システム及び分散認証方法 - Google Patents

Abstract

【課題】分散認証管理を行う分散システムにおいて、複数の通信手段を有する端末がサービス利用中に通信手段を変更した場合であっても、利用中のサービスを継続的に利用できるようにするとともに、利用者の認証処理の実行回数を削減できるようにする。 【解決手段】認証情報管理装置５は、各認証装置４が認証した利用者の認証情報を登録し、認証情報を共有化する。サービス提供装置２のセッション情報管理手段２４は、端末装置３との間で確立するセッションのセッション識別子を含むセッション情報を管理する。すなわち、サービス提供装置２は、端末装置３との間で確立するセッションを個別管理する。そして、セッション情報管理手段２４は、個別管理するセッション情報に基づいて端末装置３に対するサービス提供の認可を行うことによって、サービス利用中に通信手段が変更された場合であっても、サービスの継続的な提供を実現する。

Description

明 細 書

分散認証システム及び分散認証方法

技術分野

[0001] 本発明は、利用者の認証を分散して行う分散認証システム及び分散認証方法に関 し、特に複数の通信方式を有する端末からアクセスされる場合のユーザ認証の実行 回数を削減し、サービスの継続的な利用を可能とする分散認証システム及び分散認 証方法に関する。また、本発明は、分散認証システムが含むサービス提供装置及び 認証情報管理装置に関する。さらに、本発明は、分散認証システムで用レ、られるサ 一ビス提供装置用プログラム、端末装置用プログラム、認証装置用プログラム及び認 証情報管理装置用プログラムに関する。

背景技術

[0002] 近年、パーソナルコンピュータ（PC)や、携帯電話機、 PDA,ネットワーク対応型家 電等、高度な処理機能や通信機能を有する機器が登場し、有線及び無線ネットヮー クを経由して、様々な通信方式を用いて、各種サービスを受けることが可能となって いる。これに伴い、ネットワークを介してサービス提供を行うサービス事業者にとって、 ネットワークを介してアクセスされる端末の利用者を認証すること力 _s、セキュリティ上重 要になってきている。

[0003] 端末の利用者を認証する場合、個々のサービス事業者は、それぞれ異なる特定の 認証方式を用いて、利用者を認証することが多レ、。そのため、上記に示したように利 用者が受けるサービスが多様である場合、利用者は、サービスを受けようとする毎に 個別の認証を求められることになり、認証操作に手間力 Sかかり不便である。

[0004] サービス毎に認証が必要になるという問題を解決するための従来技術として、 SA ML (Security Assertion Markup Language)等のマークアップ言語を用いて、インター ネット上で各事業者間の認証情報を連携させる方法が技術仕様化されている。例え ば、 Assertions and Protocols for tne OASIS ecunty Assertion Markup Language(S AML) V2.0 "、 [online]、 2005年 3月 15日、 OASIS、 [平成 17年 9月 20日検索]、インタ ~~ネット、 URL： HYPERLINK http://docs.oasis-open.org/ security/ saml/ v2.0/ sa mmトト ccoorree--22..00__ooss..ppddff ((非非特特許許文文献献））にに記記載載さされれたた SSAAMMLLをを利利用用ししてて分分散散認認証証シシスステテ ムムをを実実現現すするるここととがが考考ええらられれるる。。

[[00000055]] 図図 2266はは、、非非特特許許文文献献にに記記載載さされれたた SSAAMMLLをを用用いいたた従従来来のの分分散散認認証証シシスステテムムににおお いいてて、、シシンンググノノレレササイインンオオンンをを実実現現すするるメメッッセセーージジのの流流れれをを示示すす説説明明図図ででああるる。。非非特特許許 文文献献にに記記載載さされれたた SSAAMMLLをを用用いいたた分分散散認認証証シシスステテムムでではは、、 IIddPP ((アアイイデデンンテティィテティィププ ロロババイイダダ）） 990000とと、、 SSPP ((ササーービビススププロロババイイダダ）） 990011とと、、ユユーーザザエエーージジェェンントト（（ユユーーザザ端端末末 ののソソフフトトウウェェアア）） 990022とと力力 イインンタターーネネッットトをを介介ししてて接接続続さされれるる。。ななおお、、 MMPP990000とと SSPP990011 ととはは、、具具体体的的ににはは、、各各ププロロババイイダダがが運運営営すするるササーーババややデデーータタベベーースス装装置置にによよっってて実実 現現さされれるる。。ままたた、、以以下下、、ユユーーザザエエーージジェェンントト 990022ががロロググイインンすするる等等のの表表現現をを用用いいるるがが、、 具具体体的的ににはは、、ユユーーザザ端端末末がが、、ソソフフトトウウェェアアででああるるユユーーザザエエーージジェェンントト 990022にに従従っってて処処理理 をを実実行行すするる。。

[[00000066]] 図図 2266にに示示すす構構成成をを有有すするる非非特特許許文文献献にに記記載載のの SSAAMMLLをを用用いいたた分分散散認認証証シシスステテムム のの典典型型的的なな動動作作ととししてて、、 WWeebbSSSSOOププロロトトココルルののアアーーテティィフファァククトトププロロフファァイイルルをを用用いいたた 場場合合ののシシンンググルルササイインンオオンン時時ののメメッッセセーージジのの交交換換手手順順をを説説明明すするる。。ななおお、、図図 2266にに示示 すす例例でではは、、前前提提ととししてて、、ユユーーザザエエーージジェェンントト 990022のの利利用用者者ののアアカカウウンントトはは、、 IIddPP990000力力 SS 管管理理すするるデデーータタベベーーススのの利利用用者者情情報報 990033とと、、 SSPP990011がが管管理理すするるデデーータタベベーーススのの利利 用用者者情情報報 990044ととにに、、そそれれぞぞれれ予予めめ登登録録さされれてていいるる。。ままたた、、 IIddPP990000とと SSPP990011ととはは、、相相 互互にに事事前前にに連連携携ししてて、、利利用用者者情情報報 990033とと利利用用者者情情報報 990044ととにに登登録録すするる両両アアカカウウンントト をを管管理理ししてていいるる。。

[[00000077]] 図図 2266にに示示すすよよううにに、、ユユーーザザエエーージジェェンントト 990022はは、、利利用用者者のの操操作作にに従従っってて、、 IIddPP990000 のの認認証証をを受受けけ、、 IIddPP990000ににロロググイインンすするる（（スステテッッププ（（11)) ))。。ままたた、、ユユーーザザエエーージジェェンントト 990022 はは、、利利用用者者のの操操作作にに従従っってて、、 SSPP990011がが利利用用をを制制限限ししてていいるるササーービビススをを利利用用すするるたためめ

[0008] SP901は、利用者を認証するために、ユーザエージェント 902を介して、 WP900 に対して認証要求メッセージを送信する（ステップ（3 _ a) )。また、ユーザエージヱン ト 902は、 SP901からの認証要求メッセージを WP900にリダイレクト（転送）する（ス テツプ（3_b) )。すると、 WP900は、既にステップ（1)において利用者を認証してい ることを確認し、利用者が認証済みであることを証明する XML記述文書 (認証アサ一 シヨン）を作成する（ステップ (4) )。

[0009] さらに、 IdP900は、認証アサーシヨンに対応するチケットの役割を果たすアーティ ファクトを作成し、ユーザエージェント 902に返信する（ステップ（5— a) )。また、ユー ザエージェント 902は、アーティファクトを SP901に対してリダイレクト（転送）する（ス テツプ（5_b) )。 SP901は、アーティファクトを受信すると、 WP900に送信し、対応 する認証アサーシヨンを要求する（ステップ（6) )。

[0010] WP900は、 SP901から受け取ったアーティファクトを確認し、対応する認証アサ一 シヨンを SP901に対して返信する（ステップ（7) )。 SP901は、 IdP900力、ら受信した 認証アサーシヨンの正当性を確認する。また、 SP901は、利用者のユーザエージヱ ント 902からのサービスへのアクセス要求に対して許可を与えるか否かを、 SP901の セキュリティポリシを用いて検証する。そして、許可を与える場合には、 SP901は、ュ 一ザエージェント 902に対してサービスの提供を開始する（ステップ（8) )。

[0011] 以上のように、非特許文献に記載された SAMLを用いた分散認証システムでは、 S P901は、 自ら利用者を認証するのではなぐ認証機能を MP900に委託する。また、 SP901は、 IdP900から入手した利用者の認証情報に基づいて、サービス提供の可 否を判定する。そのため、利用者が IdP900に対する認証手続きだけ行えば、 SP90 1のサービスを利用可能となるシングルサインオンを実現することができる。そのように することにより、複数のサービスを利用する際の利用者に対する認証処理回数を削 減することができ、利用者が各種サービスを利用する利便性が向上する。

[0012] また、非特許文献に記載された SAMLでは、上記に示したシングノレサインオンの 手法に加え、 SPが認証に利用すべき IdPを特定するための IdPの探索方式が規定さ れている。以下、 SAMLによる IdP探索方式を、図 27を用いて説明する。

[0013] 図 27は、非特許文献に記載された SAMLを用いて IdPを探索する流れを示す説 明図である。図 27に示すように、 IdP911と SP915とは、共通のドメイン 912に属する 共通ドメインのサーバ（本例では、共通ドメインサーバ WP913及び共通ドメインサー バ SP914)をそれぞれ管理している。また、 Webブラウザであるユーザエージェント 9 10は、利用者の操作に従って、 IdP911によって認証されると（図 27のステップ（1) ) 、共通ドメインサーバ IdP913にリダイレクト（URLを自動転送）される（ステップ（2 _ a ) , (2— b) )。そして、ユーザエージェント 910は、 IdP913力ら、認証済み IdPのリスト を所定の形式で記述した共通ドメイン用のクッキーを取得 (受信）する（ステップ（3) )

[0014] 次に、ユーザエージェント 910が SP915にサービスへのアクセス要求をした場合（ ステップ（4) )、 SP915は、ユーザエージェント 910を共通ドメインサーバ SP914にリ ダイレクト（URLを自動転送)する（ステップ（5 _ a) , (5 -b) ) ₀そして、共通ドメイン サーノ SP914は、クッキー情報から認証済み IdPの一覧を取得 (抽出）する。そして 、共通ドメインサーバ 914は、この抽出した IdPの一覧情報を格納したメッセージを作 成し、ユーザエージェント 910を SP915にリダイレクト（URLを自動転送）する（ステツ プ（6— a) , (6— b) )。

[0015] SP915は、共通ドメインサーバ SP914力もメッセージを受信すると、認証済み IdP の一覧の中力、ら IdP911を発見（特定）し、 IdP911で認証されたことを確認する。禾 IJ 用者がユーザエージェント 910を用いて IdP911以外の第 2の IdPに認証された場合 も同様に、共通ドメインクッキーに第 2の IdP情報が書き込まれることになる。そのため 、 SP915は、利用者を認証済みである IdPの一覧を取得することができる。

[0016] 以上に説明したように、 SAMLによる IdP探索方式では、 SPが複数の IdPと連携し 、各 IdPに対して等価にアクセス可能な際に、 HTTPを基礎とした共通ドメインクッキ 一を用いる。そのようにすることにより、 SPは、利用者を既に認証済みである IdPの一 覧情報を入手可能となる。また、入手した IdPの一覧情報は、シングルサインオンを 行うために認証要求を送付すべき IdPを決定するのに役立つ。

[0017] また、特開 2004— 362189号公報には、利用者に対してサービスを提供するサー ビス提供事業者の端末がネットワークに接続され、ユーザに係る情報を相互に伝達 するユーザ情報流通システムが記載されている。特開 2004— 362189号公報に記 載されたシステムでは、利用者を認証した第 1のサービス提供事業者の端末は、認 証情報を含む利用者情報をユーザ情報流通システムに登録する。また、ユーザ情報 流通システムは、利用者が第 2のサービス提供事業者の端末にアクセスした際に、ュ 一ザの公開制御ポリシ及び情報要求ポリシに加えて、さらにアクセスした際の環境情 報に基づレ、て、ユーザ情報流通システムに登録済みの利用者情報を提供する。 [0018] 上記に示すように、特開 2004— 362189号公報に記載されたシステムでは、利用 者の認証情報をユーザ情報流通システムを介して複数のサービス提供事業者間で 共有することにより、サービス提供事業者が利用者を認証する認証処理の回数を削 減すること力 S可肯 となる。

[0019] また、特許第 3569122号明細書には、複数のサーバに跨がった通信を、同一のセ ッシヨンとして管理するセッション管理システムが記載されている。特許第 3569122 号明細書に記載されたセッション管理システムでは、ユーザ認証済のユーザからの U RLにセッション管理識別子が付与されており、これを受取った表示データ作成プロ グラム制御装置は、セッション管理識別子管理装置に通知する。また、識別子管理 装置は、受取った URLにセッション管理識別子が組込まれていることを確認すると、 セッション管理識別子管理テーブル内を参照して、このセッションが認証済であるか を調べる。そして、認証済であれば、表示データ作成プログラム制御装置は、サービ スを提供する。

[0020] しかし、非特許文献に記載された SAMLを用いた従来の分散認証システムや、特 開 2004— 362189号公報に記載されたシステムでは、同一の端末が複数の通信方 式を用いて同一のサービスにアクセスすることを考慮していない。そのため、利用者 がサービスを利用している最中に端末の通信方式が変更された場合、改めて認証が 求められることになる。よって、サービスが途中で中断したり、通信方式変更前のサー ビス利用状態が通信方式変更後にも弓 [き継がれなレ、ためにサービスを継続的に利 用できなくなってしまう。従って、利用者がサービスを利用している最中に、サービス にアクセスする端末の通信方式が変更された場合に、サービス利用時に確立したセ ッシヨン状態を継続することができないという第 1の問題点がある。

[0021] また、非特許文献に記載された SAMLを用いた分散認証システムでは、複数の認 証事業者間の利用者を管理する場合、それらの認証事業者間で利用者の認証情報 を共有する手段がない。一方、従来技術 1に記載されたシステムでは、複数の認証 事業者が存在する状況にぉレ、て、共通ドメインクッキーを利用して認証事業者を紹 介する照会方式が採用されてレ、る。

[0022] しかし、共通ドメインクッキーを用いる場合、通信方式として HTTPプロトコルを用い ることが前提となり、利用者の端末が Webブラウザを利用し、認証事業者とサービス 提供者とが HTTPプロトコルを利用することが課される。そのため、従来技術 1に記載 されたシステムを用いたとしても、 HTTP以外の他の通信プロトコルを用いた場合に は、認証情報を交換することはできない。

[0023] さらに、サービス提供者が上記探索方式 (共通ドメインクッキーを利用した認証事業 者の探索方式)を利用する複数の認証事業者と連携している場合、共通ドメインタツ キーを用いて認証済みの認証事業者の一覧を取得し、認証先を選択することができ る。しかし、サービス提供者が固定的に特定の認証事業者を利用したり選択したりす る必要がある場合には、上記の認証事業者の探索方式を利用しても意味を成さず、 認証事業者の認証情報が交換されることがない。

[0024] また、特開 2004— 362189号公報に記載された分散認証システムでは、シングノレ サインオンを実現するために複数のサービス提供者間で、個人を識別可能な情報を 共有しており、プライバシ漏洩につながるおそれがある。

[0025] 具体的には、特開 2004— 362189号公報に記載されたシステムでは、個人情報 力 S名前やメールアドレス等のような本人を識別可能な情報を含むことが明記されてい る。なお、実際には、例え個人を識別可能な情報でなくても、固定的に利用者本人と 関連付けられた情報をサービス提供者間で共有すれば、利用者からのアクセスがあ る度に利用者と関連付ることが可能となる。そのため、利用者のアクセス履歴を追跡 可能となり、プライバシの侵害を生じるおそれがある。

[0026] 従って、認証事業者が複数存在する場合に、利用者のプライバシ情報の漏洩を防 止しながら、複数のサービスに対して、通信方式や通信プロトコルに依存せずに、利 用者の認証手続きを一度に一括して行うことができないという第 2の問題点がある。

[0027] また、非特許文献に記載された SAMLを用いた従来の分散認証システムや、特開 2004— 362189号公報に記載されたシステムでは、利用者が利用する端末力 複 数の通信方式を用い、その中から通信方式を選択して通信する状況を考慮に入れ ていない。そのため、利用者が複数の通信方式を利用可能な場合に、利用者にとつ て最適な通信方式を選択することができないという第 3の問題点がある。

[0028] また、特許第 3569122号明細書に記載されたセッション管理システムでは、第 2の サーバが発行したセッション情報を第 1のサーバが共有するので、ある第 1のサーバ がユーザのセッション情報を一度保有すると、その情報が別の第 1のサーバにおいて も利用可能となる。そのため、特許第 3569122号明細書に記載されたセッション管 理システムをヘテロジニアスな環境 (すなわち、複数の第 1のサーバをそれぞれ異な る事業者が管理するような環境）において適用すると、異なる事業者間でセッションの 乗っ取り（セッションハイジャック）が可能となってしまう。

発明の開示

[0029] そこで、本発明は、複数の通信方式を有する端末を用いたサービスの利用中に異 なる通信方式でアクセスした場合に、サービスを中断することなくセッション情報を移 行することができる分散認証システム、サービス提供装置、認証情報管理装置、分散 認証方法、サービス提供装置用プログラム、端末装置用プログラム、認証装置用プロ グラム及び認証情報管理装置用プログラムを提供することを目的とする。

[0030] また、本発明は、利用者のプライバシ情報を保護しながら、複数のサービスに対し て、通信方式に依存せずに、利用者の認証手続きの実行回数を削減することができ る分散認証システム、サービス提供装置、認証情報管理装置、分散認証方法、サー ビス提供装置用プログラム、端末装置用プログラム、認証装置用プログラム及び認証 情報管理装置用プログラムを提供することを目的とする。

[0031] さらに、本発明は、利用者と利用者の端末とが置かれている環境の中で、利用者に とって最も適した通信手段を用いてサービスを提供することができる分散認証システ ム、サービス提供装置、認証情報管理装置、分散認証方法、サービス提供装置用プ ログラム、端末装置用プログラム、認証装置用プログラム及び認証情報管理装置用 プログラムを提供することを目的とする。

[0032] 本発明は、利用者の認証を分散して行う分散認証システムであって、端末装置 (例 えば、端末装置 3)と、端末装置に所定のサービスを提供するサービス提供装置 (例 えば、サービス提供装置 2)と、端末装置の利用者の認証に成功した旨を示す認証 情報を管理する認証情報管理装置 (例えば、認証情報管理装置 5)とを備え、端末装 置は、複数の通信手段と、サービスの提供を要求する旨のサービス要求 (例えば、サ 一ビス要求メッセージ）を、複数の通信手段のうちのいずれかを選択して、通信ネット ワークを介してサービス提供装置に送信する通信手段選択手段 (例えば、通信手段 選択手段 31によって実現される）とを含み、サービス提供装置は、端末装置と当該サ 一ビス提供装置との間でセッションを確立するときに、端末装置と当該サービス提供 装置との間で確立されるセッションを示すセッション情報 (例えば、セッション情報や セッション識別子）を記憶するセッション情報記憶手段（例えば、セッション情報格納 部 27によって実現される）と、セッション情報記憶手段が記憶するセッション情報を管 理するセッション情報管理手段 (例えば、セッション情報管理手段 24によって実現さ れる）と、端末装置がセッションを確立したときに用いた通信手段と異なる通信手段に 切り替えたときに、セッション情報管理手段が管理するセッション情報に基づいて、端 末装置に対してサービスの提供を許可するか否力 ^判定するサービス認可手段 (例 えば、セッション情報管理手段 24によって実現される）とを含むことを特徴とする分散 認証システムに向けられる。

なお、「認証情報を管理する」とは、例えば、認証情報を所定の格納部に格納したり 、格納する認証情報を検索したりすることである。また、「セッション情報を管理する」と は、例えば、格納するセッション情報を検索したり更新したりすることである。

本発明は、また、利用者の認証を分散して行う分散認証システムであって、相互に ネットワークを介して接続されたサービス提供装置 (例えば、サービス提供装置 2)と、 端末装置 (例えば、端末装置 3)と、認証装置 (例えば、認証装置 4)と、認証情報管 理装置 (例えば、認証情報管理装置 5)とを備え、サービス提供装置は、ネットワーク を介して所定のサービスを提供するサービス提供手段 (例えば、サービス提供手段 2 1によって実現される）と、端末装置又は認証装置と、所定の通信方式を用いて通信 する通信手段 (例えば、通信部 20によって実現される）と、通信対象の端末装置又は 認証装置に応じて、通信手段を選択する通信手段選択手段 (例えば、通信手段選 択手段 22によって実現される）と、サービスを利用する端末装置の利用者に対する 認証を要求する認証装置を選択する認証先選択手段 (例えば、認証先選択手段 23 によって実現される）と、利用者の認証に成功した旨を示す認証情報に基づいて、利 用者に対してサービスを提供するためのセッション情報を管理するセッション情報管 理手段 (例えば、セッション情報管理手段 24によって実現される）と、利用者に対して サービスの提供を行うための利用者情報 (例えば、利用者識別子情報)を管理する 利用者情報管理手段 (例えば、利用者情報管理手段 25によって実現される）とを含 み、端末装置は、サービス提供装置又は認証装置と、所定の通信方式を用いて通信 する通信手段 (例えば、通信部 30によって実現される）と、通信対象のサービス提供 装置又は端末装置に応じて、通信手段を選択する通信手段選択手段 (例えば、通 信手段選択手段 31によって実現される）と、認証装置からの認証処理要求に応じて 、所定の証明情報 (例えば、クレデンシャル情報）を送信することによって、利用者が 本人であることを証明する認証処理手段（例えば、認証処理手段 32によって実現さ れる）と、サービス提供装置又は認証装置が発行する、当該端末装置とサービス提 供装置との間で確立されるセッションを識別するためのセッション識別子を管理する セッション識別子管理手段 (例えば、セッション識別子管理手段 33によって実現され る）と、認証情報管理装置が発行する、当該端末装置を識別するための端末識別子 を管理する端末識別子管理手段 (例えば、端末識別子管理手段 34によって実現さ れる）とを含み、認証装置は、サービス提供装置、端末装置、又は認証情報管理装 置と通信する通信手段と、管理対象の利用者の個人情報に基づいて、利用者を認 証する利用者情報管理手段 (例えば、利用者情報管理手段 43によって実現される） と、利用者情報管理手段による利用者の認証結果に基づいて認証情報を作成し、作 成した認証情報を認証情報管理装置に登録し、認証情報管理装置が発行した端末 識別子に基づレ、て、認証情報管理装置に検索要求を行って認証情報を取得する認 証情報管理手段 (例えば、認証情報管理手段 42によって実現される）と、認証を行つ た利用者の端末装置に対してセッション識別子を発行し、発行したセッション識別子 を管理するセッション情報管理手段 (例えば、セッション情報管理手段 44によって実 現される）とを含み、認証情報管理装置は、認証装置と通信する通信手段 (例えば、 通信部 51によって実現される）と、認証装置が発行する、利用者の認証に成功した 旨を示す認証情報を登録する認証情報登録手段 (例えば、認証情報登録手段 52に よって実現される）と、端末識別子に基づいて、利用者に対応する認証情報を検索し て取得する認証情報検索手段 (例えば、認証情報検索手段 53によって実現される） と、認証情報登録手段が認証情報を登録する際に、利用者が利用する端末装置に 対して端末識別子を発行する端末識別子管理手段 (例えば、端末識別子管理手段 54によって実現される）とを含む分散認証システムに向けられる。

[0034] 本発明は、また、端末装置の利用者の認証に成功した旨を示す認証情報を管理す る認証情報管理装置を備え、利用者の認証を分散して行う分散認証システムにおけ る、端末装置に所定のサービスを提供するサービス提供装置であって、端末装置と 当該サービス提供装置との間でセッションを確立するときに、端末装置と当該サービ ス提供装置との間で確立されるセッションを示すセッション情報を記憶するセッション 情報記憶手段と、セッション情報記憶手段が記憶したセッション情報を管理するセッ シヨン情報管理手段と、端末装置がセッションを確立したときに用いた通信手段と異 なる通信手段に切り替えたときに、セッション情報管理手段が管理するセッション情 報に基づいて、端末装置に対してサービスの提供を許可するか否力、を判定するサー ビス認可手段とを備えたことを特徴とするサービス提供装置に向けられる。

[0035] 本発明は、また、利用者の認証を分散して行う分散認証システムにおける、端末装 置の利用者を認証する認証装置が端末装置の利用者の認証に成功した旨を示す認 証情報を管理する認証情報管理装置であって、認証情報を記憶する認証情報記憶 手段と、認証情報の検索を依頼する旨の検索要求を、通信ネットワークを介して認証 装置から受信する検索要求受信手段と、検索要求受信手段が検索要求を受信する と、認証情報記憶手段が記憶する認証情報を検索する認証情報検索手段とを備え たことを特徴とする認証情報管理装置に向けられる。

[0036] 本発明は、利用者の認証を分散して行う分散認証方法であって、認証情報管理装 置が、端末装置の利用者の認証に成功した旨を示す認証情報を管理するステップと 、端末装置が、サービスの提供を要求する旨のサービス要求を、複数の通信手段の うちのいずれかを用いて、通信ネットワークを介してサービス提供装置に送信するス テツプと、サービス提供装置が、端末装置と当該サービス提供装置との間でセッショ ンを確立するときに、端末装置と当該サービス提供装置との間で確立されるセッショ ンを示すセッション情報を生成し記憶するステップと、サービス提供装置が、生成した セッション情報を管理するステップと、サービス提供装置が、端末装置がセッションを 確立したときに用いた通信手段と異なる通信手段に切り替えたときに、管理するセッ シヨン情報に基づいて、端末装置に対してサービスの提供を許可するか否力を判定 するステップとを含むことを特徴とする分散認証方法に向けられる。

本発明は、相互にネットワークを介して接続されたサービス提供装置と、端末装置と 、認証装置と、認証情報管理装置とを備えた分散認証システムにおける、利用者の 認証を分散して行う分散認証方法であって、サービス提供装置が、ネットワークを介 して所定のサービスを提供するステップと、サービス提供装置が、端末装置又は認証 装置と、所定の通信方式を用いて通信するステップと、サービス提供装置が、通信対 象の端末装置又は認証装置に応じて、通信手段を選択するステップと、サービス提 供装置が、サービスを利用する端末装置の利用者に対する認証を要求する認証装 置を選択するステップと、サービス提供装置が、利用者の認証に成功した旨を示す 認証情報に基づレ、て、利用者に対してサービスを提供するためのセッション情報を 管理するステップと、サービス提供装置が、利用者に対してサービスの提供を行うた めの利用者情報を管理するするステップと、端末装置が、サービス提供装置又は認 証装置と、所定の通信方式を用いて通信するステップと、端末装置が、通信対象の サービス提供装置又は端末装置に応じて、通信手段を選択するステップと、端末装 置が、認証装置からの認証処理要求に応じて、所定の証明情報を送信することによ つて、利用者が本人であることを証明するステップと、端末装置が、サービス提供装 置又は認証装置が発行する、当該端末装置とサービス提供装置との間で確立される セッションを識別するためのセッション識別子を管理するステップと、端末装置が、認 証情報管理装置が発行する、当該端末装置を識別するための端末識別子を管理す るステップと、認証装置が、サービス提供装置、端末装置、又は認証情報管理装置と 通信するステップと、認証装置が、管理対象の利用者の個人情報に基づいて、利用 者を認証するステップと、認証装置が、利用者の認証結果に基づレ、て認証情報を作 成し、作成した認証情報を認証情報管理装置に登録し、認証情報管理装置が発行 した端末識別子に基づレ、て、認証情報管理装置に検索要求を行って認証情報を取 得するステップと、認証装置が、認証を行った利用者の端末装置に対してセッション 識別子を発行し、発行したセッション識別子を管理するステップと、認証情報管理装 置が、認証装置と通信するステップと、認証情報管理装置が、認証装置が発行する、 利用者の認証に成功した旨を示す認証情報を登録するステップと、認証情報管理装 置が、端末識別子に基づいて、利用者に対応する認証情報を検索して取得するステ ップと、認証情報管理装置が、認証情報を登録する際に、利用者が利用する端末装 置に対して端末識別子を発行するステップとを含む分散認証方法に向けられる。

[0038] 本発明は、また、端末装置の利用者の認証に成功した旨を示す認証情報を管理す る認証情報管理装置を備え、利用者の認証を分散して行う分散認証システムにおけ る、端末装置に所定のサービスを提供するサービス提供装置を構成するコンビユー タ上で作動するプログラムであって、コンピュータに、端末装置と当該サービス提供 装置との間でセッションを確立するときに、端末装置と当該サービス提供装置との間 で確立されるセッションを示すセッション情報を生成し記憶する処理と、生成したセッ シヨン情報を管理する処理と、端末装置がセッションを確立したときに用いた通信手 段と異なる通信手段に切り替えたときに、管理するセッション情報に基づいて、端末 装置に対してサービスの提供を許可するか否かを判定する処理とを規定するプログ ラムに向けられる。

[0039] 本発明は、また、端末装置の利用者の認証に成功した旨を示す認証情報を管理す る認証情報管理装置を備え、利用者の認証を分散して行う分散認証システムにおけ る、端末装置に所定のサービスを提供するサービス提供装置を構成するコンビユー タ上で作動するプログラムであって、コンピュータに、ネットワークを介して所定のサー ビスを提供するサービス提供処理と、端末装置、又は端末装置の利用者を認証する 認証装置と、所定の通信方式を用いて通信する通信処理と、通信対象の端末装置 又は認証装置端末に応じて、通信手段を選択する通信手段選択処理と、サービスを 利用する端末装置の利用者に対する認証を要求する認証装置を選択する認証先選 択処理と、利用者の認証に成功した旨を示す認証情報に基づいて、利用者に対して サービスを提供するためのセッション情報を管理するセッション情報管理処理と、禾 IJ 用者に対してサービスの提供を行うための利用者情報を管理する利用者情報管理 処理とを規定するプログラムに向けられる。

[0040] 本発明は、また、サービス提供装置を構成するコンピュータ上で作動するプロダラ ムであって、端末装置を使用する利用者の嗜好、又は端末装置が置かれている環境 を示す端末環境情報を解析する端末環境情報解析処理と、通信手段選択処理で、 端末環境情報を解析した結果に基づレ、て通信手段を選択する処理と、認証先選択 処理で、端末環境情報を解析した結果に基づレ、て認証装置を選択する処理とを規 定するプログラムに向けられる。

[0041] 本発明は、また、端末装置の利用者の認証に成功した旨を示す認証情報を管理す る認証情報管理装置を備え、利用者の認証を分散して行う分散認証システムにおけ る端末装置を構成するコンピュータ上で作動するプログラムであって、コンピュータに 、端末装置に所定のサービスを提供するサービス提供装置、又は端末装置の利用 者を認証する認証装置と、所定の通信方式を用いて通信する通信処理と、通信対象 のサービス提供装置又は端末装置に応じて、通信手段を選択する通信手段選択処 理と、認証装置からの認証処理要求に応じて、所定の証明情報を送信することによつ て、利用者が本人であることを証明する認証処理と、サービス提供装置又は認証装 置が発行する、端末装置とサービス提供装置との間で確立されるセッションを識別す るためのセッション識別子を管理するセッション識別子管理処理と、認証情報管理装 置が発行する、端末装置を識別するための端末識別子を管理する端末識別子管理 処理とを規定するプログラムに向けられる。

[0042] 本発明は、また、端末装置の利用者の認証に成功した旨を示す認証情報を管理す る認証情報管理装置を備え、利用者の認証を分散して行う分散認証システムにおけ る、端末装置の利用者を認証する認証装置を構成するコンピュータ上で作動するプ ログラムであって、コンピュータに、端末装置に所定のサービスを提供するサービス 提供装置、端末装置、又は認証情報管理装置と通信する通信処理と、管理対象の 利用者の個人情報に基づいて、利用者を認証する利用者情報管理処理と、利用者 の認証結果に基づレ、て認証情報を作成し、作成した認証情報を認証情報管理装置 に登録し、認証情報管理装置が発行した端末識別子に基づいて、認証情報管理装 置に検索要求を行って認証情報を取得する認証情報管理処理と、認証を行った利 用者の端末装置に対してセッション識別子を発行し、発行したセッション識別子を管 理するセッション情報管理処理とを規定するプログラムに向けられる。

[0043] 本発明は、また、利用者の認証を分散して行う分散認証システムにおける、端末装 置の利用者を認証する認証装置が端末装置の利用者の認証に成功した旨を示す認 証情報を管理する認証情報管理用装置を構成するコンピュータ上で作動するプログ ラムであって、コンピュータに、認証情報を記憶する処理と、認証情報の検索を依頼 する旨の検索要求を、通信ネットワークを介して認証装置から受信する処理と、検索 要求を受信すると、記憶する認証情報を検索する処理とを規定するプログラムに向け られる。

[0044] 本発明は、また、利用者の認証を分散して行う分散認証システムにおける、端末装 置の利用者を認証する認証装置が端末装置の利用者の認証に成功した旨を示す認 証情報を管理する認証情報管理装置を構成するコンピュータ上で作動するプロダラ ムであって、コンピュータに、認証装置と通信する通信処理と、認証装置が発行する 、利用者の認証に成功した旨を示す認証情報を登録する認証情報登録処理と、端 末識別子に基づレ、て、利用者に対応する認証情報を検索して取得する認証情報検 索処理と、認証情報を登録する際に、利用者が利用する端末装置に対して端末識 別子を発行する端末識別子管理処理とを規定するプログラムに向けられる。

[0045] 本発明の前記目的及び他の目的は、添付図面を参照した以下の実施形態の説明 により明らかになる。

図面の簡単な説明

[0046] [図 1]本発明による分散認証システムの構成の一例を示すブロック図である。

[図 2]サービス提供装置の構成の一例を示すブロック図である。

[図 3]端末装置の構成の一例を示すブロック図である。

[図 4]認証装置の構成の一例を示すブロック図である。

[図 5]認証情報管理装置の構成の一例を示すブロック図である。

[図 6]サービス提供装置が実行する処理の一例を示す流れ図である。

[図 7]サービス提供装置が実行する処理の一例を示す流れ図である。

[図 8]端末装置が実行する処理の一例を示す流れ図である。

[図 9]端末装置が実行する処理の一例を示す流れ図である。

[図 10]認証装置が利用者を認証する認証処理の一例を示す流れ図である。

[図 11]認証装置が利用者を認証する認証処理の一例を示す流れ図である。 [図 12]認証情報管理装置が認証情報を管理する認証情報管理処理の一例を示す 流れ図である。

[図 13]サービス提供装置の他の構成例を示すブロック図である。

[図 14]端末装置の他の構成例を示すブロック図である。

[図 15]サービス提供装置が実行する処理の他の例を示す流れ図である。

[図 16]端末装置が実行する処理の他の例を示す流れ図である。

[図 17]分散認証システムの他の構成例を示すブロック図である。

[図 18]分散認証システムの具体例を示す説明図である。

[図 19]認証情報管理装置が管理する情報の例を示す説明図である。

[図 20]認証装置が管理する管理情報の例を示す説明図である。

[図 21]サービス提供装置が管理する管理情報の例を示す説明図である。

[図 22]端末装置が管理する管理情報の例を示す説明図である。

[図 23]サービスの利用中に端末装置が移動した際に、通信手段を変更する場合の 具体例を示す説明図である。

[図 24]認証装置が管理する管理情報の例を示す説明図である。

[図 25]セッションの移行に伴い更新された表 212の例を示す説明図である。

[図 26]SAMLを用いた従来の分散認証システムにおいて、シングルサインオンを実 現するメッセージの流れを示す説明図である。

[図 27]SAMLを用いて IdPを探索する流れを示す説明図である。

発明を実施するための最良の形態

[0047] 実施の形態 1.

以下、本発明の第 1の実施の形態について図面を参照して説明する。図 1は、本発 明による分散認証システムの構成の一例を示すブロック図である。図 1に示すように、 分散認証システムは、複数のサービス提供装置 2— :!〜 2— Iと、複数の端末装置 3— 1〜3— Jと、複数の認証装置 4一:!〜 4 Kと、認証情報管理装置 5とを含む。

[0048] なお、本実施の形態では、以下、サービス提供装置 2—：!〜 2 Iを包括的に表現 する場合、または、いずれかを指す場合に単にサービス提供装置 2とも表現する。ま た、端末装置 3— :!〜 3— Jを包括的に表現する場合、または、いずれかを指す場合 に単に端末装置 3とも表現する。また、認証装置 4—1〜認証装置 4—Kを包括的に 表現する場合、または、いずれかを指す場合に単に認証装置 4とも表現する。

[0049] また、図 1に示すように、サービス提供装置 2、端末装置 3、認証装置 4及び認証情 報管理装置 5は、インターネット等のネットワーク 1に接続される。また、サービス提供 装置 2、端末装置 3及び認証装置 4は、ネットワーク 1を介して相互に通信を行う。また 、認証装置 4と認証情報管理装置 5とは、ネットワーク 1を介して相互に通信を行う。

[0050] サービス提供装置 2は、図 2に示す構成を備え、利用者に対してネットワーク 1を介 した各種サービス (例えば、電話サービスやメールサービス、情報検索サービス、課 金サービス等）を提供する。また、端末装置 3は、サービス提供装置 2が提供するサ 一ビスを受けるために、利用者が操作する端末であり、図 3に示す構成を備える。さら に、認証装置 4は、図 4に示す構成を備え、サービス提供装置 2が利用者の認証を必 要とする場合に、所定の認証手段を用いて利用者の認証を行う。

[0051] サービス提供装置 2は、具体的には、ワークステーションやパーソナルコンピュータ 等の情報処理装置によって実現される。サービス提供装置 2は、例えば、ネットワーク 1を介して各種サービスを提供するサービス事業者が運営するサーバである。例えば 、サービス提供装置 2は、端末装置 3からの要求に応じて、ネットワーク 1を介して、電 話サービス (例えば、 IP電話サービス）や電子メールサービスを提供する。また、例え ば、サービス提供装置 2は、端末装置 3からの要求に応じて情報検索を行レ、、ネット ワーク 1を介して、検索情報を端末装置 3に配信する情報検索サービスを提供する。 なお、図 1では、分散認証システムが複数のサービス提供装置 2を含む場合を示して いる力 分散認証システムは、 1つのサービス提供装置 2を含んでもよい。

[0052] 図 2は、サービス提供装置の構成の一例を示すブロック図である。図 2に示すように 、サービス提供装置 2は、通信部 20と、サービス提供手段 21と、通信手段選択手段 22と、認証先選択手段 23と、セッション情報管理手段 24と、利用者情報管理手段 2 5と、認証装置情報格納部 26と、セッション情報格納部 27と、利用者情報格納部 28 とを含む。

[0053] 通信部 20は、具体的には、プログラムに従って動作する情報処理装置の CPU及 びネットワークインタフェース部によって実現される。通信部 20は、複数の通信手段 2 0— :!〜 20— Mを含む。なお、通信部 20は、 1つの通信手段のみを含むものであつ てもよレ、。各通信手段 20—：！〜 20— M (Mは 1以上の自然数）は、所定の通信方法 により端末装置 3及び認証装置 4と通信するための手段である。本実施の形態では、 通信部 20は、通信手段選択手段 22の指示に従って、いずれかの通信手段 20— 1 〜20_Mを選択して通信を行う機能を備える。具体的には、通信部 20は、通信速度 や通信方式が異なる複数の通信プロトコルのいずれかを選択して通信を行う。

[0054] サービス提供手段 21は、具体的には、プログラムに従って動作する情報処理装置 の CPUによって実現される。サービス提供手段 21は、所定のサービスを公開してお り、通信部 20を用いて、ネットワーク 1を介して、端末装置 3に対して各種サービスを 提供する機能を備える。具体的には、サービス提供手段 21は、通信部 20を用いて、 ネットワーク 1を介して、端末装置 3と各種情報を送受信することによって、各種サー ビスを提供する。なお、本実施の形態では、サービス提供手段 21は、セッション情報 管理手段 24が提供するセッション識別子を有する端末装置 3を保有する利用者であ つて、利用者情報管理手段 25で管理され、サービスを受けるための適切な権限を有 する利用者に対してサービスを提供する。

[0055] 通信手段選択手段 22は、具体的には、プログラムに従って動作する情報処理装置 の CPUによって実現される。通信手段選択手段 22は、サービス提供手段 21が提供 するサービスに基づいて、端末装置 3と通信するために用いる通信手段を選択する 機能を備える。具体的には、通信手段選択手段 22は、提供するサービスに基づいて 、通信速度や通信方式が異なる複数の通信プロトコルのいずれ力を選択する。さらに 、通信手段選択手段 22は、認証装置 4と通信するための所定の通信手段を選択す る機能を備える。なお、具体的には、通信手段選択手段 22は、通信速度や通信方 式が異なる複数の通信プロトコルのいずれかを選択する。

[0056] 認証先選択手段 23は、具体的には、プログラムに従って動作する情報処理装置の CPUによって実現される。認証先選択手段 23は、認証装置情報格納部 26に格納さ れる認証装置の一覧情報から、利用者を認証するために用いる適切な認証装置を 選択する機能を備える。また、認証先選択手段 23は、認証装置情報格納部 26を管 理し、認証装置情報格納部 26が記憶する認証装置情報を検索したり更新したりする 機能を備える。

[0057] 認証装置情報格納部 26は、具体的には、磁気ディスク装置や光ディスク装置等の 記憶装置によって実現される。認証装置情報格納装置 26は、サービス提供装置 2が 連携して認証要求を行うことができる認証装置 (例えば、サービス事業者が予め契約 を締結している認証事業者の認証装置 4のアドレス）と、その認証装置が認証した認 証情報へのアクセス先と、認証装置と通信するために用いる通信手段 20— :!〜 20— Mとを対応づけた一覧情報を格納してレ、る。

[0058] セッション情報管理手段 24は、具体的には、プログラムに従って動作する情報処理 装置の CPUによって実現される。セッション情報管理手段 24は、サービス提供手段 21が提供するサービスを利用者が受ける際のセッション情報を管理する機能を備え る。本実施の形態では、セッション情報管理手段 24は、セッション情報格納部 27が 格納するセッション情報を管理する。具体的には、セッション情報管理手段 24は、セ ッシヨン情報格納部 27が記憶するセッション情報を検索したり更新したりすることによ つて、セッション情報を管理する。

[0059] ここで、セッション情報とは、端末装置 3とサービス提供装置 2との間に確立されるセ ッシヨンを示す情報である。セッション情報は、利用者の端末装置 3に対して与えるセ ッシヨン識別子と、認証装置 4が発行した利用者に関する認証情報とを含む。セッショ ン識別子は、端末装置 3とサービス提供装置 2との間に確立されるセッションを識別 するための識別子である。また、認証情報は、認証装置 4が利用者の認証に成功し た旨を示す情報である。

[0060] セッション情報管理手段 24は、セッション識別子と、利用者情報管理手段 25が管 理する利用者識別子と、認証装置 4が発行した利用者に関する認証情報を識別する ための識別子とを互いに対応づけた管理テーブルを管理する機能を備える。例えば 、管理テーブルは、セッション情報格納部 27に格納されている。また、セッション情報 管理手段 24は、いずれかの識別子情報をキーにして、対応づけられた情報を検索し て管理テーブルから取得 (抽出）したり、管理テーブルに含まれる情報を更新したり すること力 Sできる。

[0061] また、セッション情報管理手段 24は、セッション識別子を生成する機能を備える。本 実施の形態では、セッション情報管理手段 24は、端末装置 3との間のセッションを確 立する際に、新たにセッション識別子を生成する。また、セッション情報管理手段 24 は、管理するセッション情報に基づいて、端末装置 3に対してサービスの提供を許可 するか否かを判定する機能を備える。

[0062] なお、本実施の形態では、サービス提供装置 2のセッション情報管理手段 24がセッ シヨン識別子を生成するとともに、認証装置 4のセッション情報管理手段 44でもセッシ ヨン識別子が生成される。以下、サービス提供装置 2が生成するセッション識別子を、 サービス提供側セッション識別子ともいレ、、認証装置 4が生成するセッション識別子を 認証側セッション識別子ともレ、う。なお、サービス提供側セッション識別子と認証側セ ッシヨン識別子とは、サービス提供装置 2及び認証装置 4において、それぞれ独立に 管理される。

[0063] セッション情報格納部 27は、具体的には、磁気ディスク装置や光ディスク装置等の 記憶装置によって実現される。セッション情報格納部 27は、セッション識別子と認証 情報とを含むセッション情報を格納する。

[0064] 利用者情報管理手段 25は、具体的には、プログラムに従って動作する情報処理装 置の CPUによって実現される。利用者情報管理手段 25は、利用者情報格納部 28を 用いて、利用者識別子情報と、利用者がサービス提供手段 21を利用する際のァクシ ヨンを制御するためのセキュリティポリシやアクセス制御ポリシとを管理する機能を備 える。本実施の形態では、利用者情報管理手段 25は、利用者情報格納部 28が格納 する利用者識別子情報や、セキュリティポリシ、アクセス制御ポリシを管理する。具体 的には、利用者情報管理手段 25は、利用者情報格納部 28が格納する利用者識別 子情報や、セキュリティポリシ、アクセス制御ポリシを検索したり更新したりすることによ つて、利用者識別子情報や、セキュリティポリシ、アクセス制御ポリシを管理する。

[0065] また、利用者情報管理手段 25は、利用者からのサービスへのアクセスに対する認 可情報をサービス提供手段 21に提供 (出力）する機能を備える。

[0066] なお、「利用者識別子情報」とは、端末装置 3の利用者を識別するための識別子で ある。また、「認可情報」とは、端末装置 3の利用者にサービスの提供を許可する旨を 示す情報である。 [0067] 利用者情報格納部 28は、具体的には、磁気ディスク装置や光ディスク装置等の記 憶装置によって実現される。利用者情報格納部 28は、利用者識別子情報や、セキュ リティポリシ、アクセス制御ポリシを格納する。

[0068] 端末装置 3は、ユーザが使用する装置であり、具体的には、パーソナルコンピュー タゃ携帯電話機等の情報処理端末によって実現される。なお、図 1では、分散認証 システムが複数の端末装置 3を含む場合を示しているが、分散認証システムは、 1つ の端末装置 3を含んでもよい。

[0069] 図 3は、端末装置の構成の一例を示すブロック図である。図 3に示すように、端末装 置 3は、通信部 30と、通信手段選択手段 31と、認証処理手段 32と、セッション識別 子管理手段 33と、端末識別子管理手段 34と、セッション識別子格納部 35と、端末識 別子格納部 36とを含む。

[0070] 通信部 30は、具体的には、プログラムに従って動作する情報処理端末の CPU及 びネットワークインタフェース部によって実現される。通信部 30は、複数の通信手段 3 0—：!〜 30— Nを含む。なお、通信部 30は、 1つの通信手段のみを含むものであって もよレ、。各通信手段 30— :!〜 30— N (Nは 1以上の自然数）は、所定の通信方法によ りサービス提供装置 2及び認証装置 4と通信するための手段である。本実施の形態 では、通信部 30は、通信手段選択手段 31の指示に従って、いずれかの通信手段 3 0—：!〜 30— Nを選択して通信を行う機能を備える。具体的には、通信部 30は、通 信速度や通信方式が異なる複数の通信プロトコルのいずれかを選択して通信を行う

[0071] また、通信部 30は、各通信手段 30—：!〜 30— Nに従って、通信の宛先となる装置 に応じて、セッション識別子管理手段 33が管理するセッション識別子、及び端末識 別子管理手段 34が管理する端末識別子を、送信対象のメッセージに含める機能を 備える。なお、「端末識別子」とは、端末装置 3を識別するための識別子である。

[0072] 通信手段選択手段 31は、具体的には、プログラムに従って動作する情報処理端末 の CPUによって実現される。通信手段選択手段 31は、サービス提供装置 2が提供 するサービスや認証装置 4が課す認証方式に応じた通信手段を選択する機能を備 る。 [0073] 認証処理手段 32は、具体的には、プログラムに従って動作する情報処理端末の C PUによって実現される。認証処理手段 32は、認証装置 4が課す認証方式に応じて、 利用者の認証に必要なクレデンシャル情報を送信する手段である。具体的には、認 証処理手段 32は、通信部 30を用いて、ネットワーク 1を介して、クレデンシャル情報 を認証装置 4に送信する。

[0074] 「クレデンシャル情報」とは、端末装置 3の利用者を証明するための情報である。ク レデンシャル情報として、認証方式に基づいて、利用者からの情報インプットによる 情報や、端末装置 3が格納する情報等の様々な情報を用レ、ることができる。例えば、 認証処理手段 32は、クレデンシャル情報として、ユーザ IDやパスワードを送信する。

[0075] セッション識別子管理手段 33は、具体的には、プログラムに従って動作する情報処 理端末の CPUによって実現される。セッション識別子管理手段 33は、セッション識別 子格納部 35を用いて、サービス提供装置 2向けに発行されたセッション識別子や、 認証装置 4から端末装置 3向けに発行されたセッション識別子を管理する機能を備え る。本実施の形態では、セッション識別子管理手段 33は、セッション識別子格納部 3 5が格納するセッション識別子を管理する。具体的には、セッション識別子管理手段 3 3は、セッション識別子格納部 35が格納するセッション識別子を検索したり更新したり することによって、セッション識別子を管理する。

[0076] セッション識別子格納部 35は、具体的には、磁気ディスク装置や光ディスク装置等 の記憶装置によって実現される。セッション識別子格納部 35は、サービス提供装置 2 向けに発行されたセッション識別子や、端末装置 3向けに発行されたセッション識別 子を格納する。なお、本実施の形態では、セッション識別子格納部 35は、セッション 識別子を端末識別子に対応づけて記憶する。

[0077] 端末識別子管理手段 34は、具体的には、プログラムに従って動作する情報処理端 末の CPUによって実現される。端末識別子管理手段 34は、端末識別子格納部 36を 用いて、端末装置 3に与えられる端末識別子を管理する機能を備える。端末識別子 は、端末装置 3を用いた利用者の認証を完了し確立したセッションに対応する認証 装置情報と関連付けられている。なお、「認証装置情報」とは、セッションを確立した 際に端末装置 3を認証した認証装置 4を示す情報 (例えば、認証装置 4の ID)である [0078] 端末識別子管理手段 34は、認証装置情報に基づいて、端末識別子格納部 36から 登録済みの端末識別子を取得 (抽出）したり、端末識別子格納部 36が記憶する端末 識別子を更新したりすることによって、端末識別子を管理する。

[0079] なお、端末識別子は、例えば、認証情報管理装置 5の端末識別子管理手段 54に よって、予め端末装置 3に与えられるようにすればよい。この場合、端末識別子管理 手段 54は、予め各端末装置 3に対して端末識別子を発行する。また、端末識別子管 理手段 54は、通信部 51を用いて、ネットワーク 1を介して端末識別子を各端末装置 3 に送信する。そして、各端末装置 3の端末識別子管理手段 34は、受信した端末識別 子を端末識別子格納部 36に記憶させる。

[0080] また、例えば、端末識別子は、利用者の認証情報を認証情報管理装置 5に登録す る際に、端末識別子管理手段 54が発行してもよい。この場合、端末識別子管理手段 54は、認証情報を登録する際に、登録対象の認証情報に対応する端末装置 3に対 して端末識別子を発行する。また、端末識別子管理手段 54は、通信部 51を用いて、 ネットワーク 1を介して端末識別子を端末装置 3に送信する。そして、端末装置 3の端 末識別子管理手段 34は、受信した端末識別子を端末識別子格納部 36に記憶させ る。

[0081] 端末識別子格納部 36は、具体的には、磁気ディスク装置や光ディスク装置等の記 憶装置によって実現される。端末識別子格納部 36は、端末識別子と認証装置情報 とを対応づけて格納する。

[0082] 認証装置 4は、具体的には、ワークステーションやパーソナルコンピュータ等の情報 処理装置によって実現される。認証装置 4は、例えば、端末装置 3の利用者を認証す る認証事業者が運営するサーバである。なお、図 1では、分散認証システムが複数の 認証装置 4を含む場合を示しているが、分散認証システムは、 1つの認証装置 4を含 んでもよい。

[0083] 図 4は、認証装置の構成の一例を示すブロック図である。図 4に示すように、認証装 置 4は、通信部 41と、認証情報管理手段 42と、利用者情報管理手段 43と、セッショ ン情報管理手段 44と、利用者情報格納部 45と、セッション情報格納部 46とを含む。 [0084] 通信部 41は、具体的には、プログラムに従って動作する情報処理装置の CPU及 びネットワークインタフェース部によって実現される。通信部 41は、サービス提供装置 2、端末装置 3及び認証情報管理装置 5と通信するための所定の通信手段を備える 。具体的には、通信部 41は、所定の通信プロトコルに従って、サービス提供装置 2や 端末装置 3、認証情報管理装置 5と通信を行う。

[0085] 認証情報管理手段 42は、具体的には、プログラムに従って動作する情報処理装置 の CPUによって実現される。認証情報管理手段 42は、利用者情報管理手段 43が 認証した利用者の認証情報を管理する手段である。具体的には、認証情報管理手 段 42は、通信部 41を用いて、ネットワーク 1を介して、認証済みの利用者の認証情 報を認証情報管理装置 5に送信し、認証情報管理装置 5に登録する。また、認証情 報管理手段 42は、ネットワーク 1を介して、認証情報管理装置 5に登録済みの利用 者の認証情報を、認証情報管理装置 5から取得 (受信)する。

[0086] 利用者情報管理手段 43は、具体的には、プログラムに従って動作する情報処理装 置の CPUによって実現される。利用者情報管理手段 43は、利用者の個人情報 (例 えば、アドレス情報)を管理する手段である。具体的には、利用者情報管理手段 43 は、利用者を適切な認証方式を用いて認証する機能を備える。また、利用者情報管 理手段 43は、利用者の個人情報を利用者情報格納部 45に登録したり、利用者情報 格納部 45に登録済みの利用者の個人情報を取得 (抽出）したりする機能を備える。

[0087] また、利用者情報管理手段 43は、所定の認証手段を備え、利用者情報格納部 45 に予め格納された利用者のクレデンシャル情報（以下、登録クレデンシャル情報とも いう）と照合することにより、利用者を認証する機能を備える。本実施の形態では、利 用者情報管理手段 43は、通信部 41を用いて、ネットワーク 1を介して、ネットワーク 1 力 クレデンシャル情報（例えば、ユーザ IDやパスワード）を受信する。そして、利用 者情報管理手段 43は、受信したクレデンシャル情報が、利用者情報格納部 45に格 納する登録クレデンシャル情報に合致すると判断すると、利用者の認証に成功したと 判定する。

[0088] 利用者情報格納部 45は、具体的には、磁気ディスク装置や光ディスク装置等の記 憶装置によって実現される。利用者情報格納部 45は、予め各端末装置 3の利用者 の個人情報を格納する。また、利用者情報格納部 45は、予め各端末装置 3の利用 者を認証するための登録クレデンシャル情報を格納する。

[0089] セッション情報管理手段 44は、具体的には、プログラムに従って動作する情報処理 装置の CPUによって実現される。セッション情報管理手段 44は、利用者情報管理手 段 43が認証した利用者が利用する端末装置 3に対してセッション識別子 (認証側セ ッシヨン識別子）を発行する機能を備える。また、セッション情報管理手段 44は、発行 したセッション識別子をセッション情報格納部 46に登録して管理する機能を備える。

[0090] また、セッション情報管理手段 44は、認証情報管理装置 5から与えられる端末識別 子情報 (利用者が使用する端末装置 3を識別するための端末識別子)もセッション情 報格納部 46を用いて管理する機能を備える。セッション情報管理手段 44は、利用者 の端末装置 3について確立されているセッションを識別するセッション識別子と、端末 装置 3に対応する端末識別子情報とを、互いに関連付けてセッション端末情報格納 部 46に記録し管理する。具体的には、セッション情報管理手段 44は、セッション情報 格納部 46が格納するセッション識別子や端末識別子を検索したり更新したりすること によって、セッション識別子や端末識別子を管理する。

[0091] セッション情報格納部 46は、具体的には、磁気ディスク装置や光ディスク装置等の 記憶装置によって実現される。セッション情報格納部 46は、セッション識別子と端末 識別子とを対応づけて格納する。

[0092] 認証情報管理装置 5は、具体的には、ワークステーションやパーソナルコンピュータ 等の情報処理装置によって実現される。図 5は、認証情報管理装置の構成の一例を 示すブロック図である。認証情報管理装置 5は、認証装置 4で認証された利用者の認 証情報を管理する装置である。すなわち、分散認証システムにおいて、各認証装置 4 が認証した利用者の認証情報は、認証情報管理装置 5を用いて共有される。なお、「 認証情報を管理する」とは、認証装置 4からの要求に応じて、新たに認証情報を認証 情報格納部 55に格納したり、認証情報格納部 55が格納する認証情報を検索したり することである。

[0093] 図 5に示すように、認証情報管理装置 5は、通信部 51と、認証情報登録手段 52と、 認証情報検索手段 53と、端末識別子管理手段 54と、認証情報格納部 55と、端末識 別子格納部 56とを含む。

[0094] 通信部 51は、具体的には、プログラムに従って動作する情報処理装置の CPU及 びネットワークインタフェース部によって実現される。通信部 51は、認証装置 4と通信 するための手段である。具体的には、通信部 51は、所定の通信プロトコルに従って、 認証装置 4と通信を行う。

[0095] 認証情報登録手段 52は、具体的には、プログラムに従って動作する情報処理装置 の CPUによって実現される。認証情報登録手段 52は、通信部 51を用いて、ネットヮ ーク 1を介して、認証装置 4から送信された認証情報の登録要求 (すなわち、認証装 置 4で認証された利用者の認証情報の登録要求）を受信する機能を備える。また、認 証情報登録手段 52は、登録要求を受信すると、端末識別子管理手段 54が発行する 端末識別子をキーとして、利用者の認証情報を認証情報格納部 55に記録する機能 を備える。

[0096] 認証情報格納部 55は、具体的には、磁気ディスク装置や光ディスク装置等の記憶 装置によって実現される。認証情報格納部 55は、認証装置 4によって端末装置 3の 利用者が認証された旨を示す認証情報を、端末識別情報に対応づけて格納する。

[0097] 認証情報検索手段 53は、具体的には、プログラムに従って動作する情報処理装置 の CPUによって実現される。認証情報検索手段 53は、通信部 51を用いて、ネットヮ ーク 1を介して、認証装置 4から送信された認証情報の検索要求 (例えば、端末識別 子を含む認証情報検索要求)を受信する機能を備える。また、認証情報検索手段 53 は、認証情報の検索要求に含まれる端末識別子をキーとして、認証情報格納部 56 に格納されてレ、る利用者の認証情報を検索して取得 (抽出）する機能を備える。また 、認証情報検索手段 53は、抽出した認証情報を、通信部 51を用いて、ネットワーク 1 を介して認証装置 4に返信 (送信)する機能を備える。

[0098] 端末識別子管理手段 54は、具体的には、プログラムに従って動作する情報処理装 置の CPUによって実現される。端末識別子管理手段 54は、端末識別子格納部 56を 用いて、利用者が利用する端末装置 3を識別するための端末識別子情報を管理す る機能を備える。また、端末識別子管理手段 54は、利用者の認証情報登録がされた 際に、必要な場合に端末装置 3に対して端末識別子を新しく発行する機能を備える 。また、端末識別子管理手段 54は、発行した端末識別子を端末識別子格納部 56に 格納させる機能を備える。

[0099] 本実施の形態では、端末識別子管理手段 54は、端末識別子を、認証情報格納部 56に格納されている利用者の認証情報と関連付けて (対応づけて）、端末識別子格 納部 56に記憶させる。また、端末識別子管理手段 54は、端末識別子をキーとして、 利用者の認証情報の取得 (抽出）や登録を行う。

[0100] 端末識別子格納部 56は、具体的には、磁気ディスク装置や光ディスク装置等の記 憶装置によって実現される。端末識別子格納部 56は、端末識別子を格納する。

[0101] なお、以上に説明したサービス提供装置 2、端末装置 3、認証装置 4及び認証情報 管理装置 5における各通信部 Z通信手段は、互いに通信する場合に、送受信するメ ッセージを第三者力 傍受されることを防止する機構を備えている。例えば、各通信 き!^ 通信牛段 f 、 ^SL (Secure sockets Layer)や TL ransport Layer security) 等、又は SSLや TLSに相当するプロトコルに従って通信を行うことによって、メッセ一 ジが傍受されることを防止する。

[0102] また、各通信部/通信手段は、互いに送受信するメッセージの内容を所定の通信 相手にのみ通知（送信）し、意図した通信相手にメッセージの内容が露呈することを 防止するための暗号化機能を備える。また、各通信部/通信手段は、その暗号化情 報を受け取った場合に解読するための復号化機能を備える。さらに、各通信部/通 信手段は、互いに送受信するメッセージの内容が適切な装置によって作成され、改 竄されていないことを証明するための署名機能を備える。また、各通信部/通信手 段は、その署名内容を検証する検証機能を備える。

[0103] 次に、動作について説明する。まず、サービス提供装置 2の動作について説明する 。図 6及び図 7は、サービス提供装置が実行する処理の一例を示す流れ図である。 本実施の形態では、サービス提供装置 2のサービス提供手段 21は、所定のサービス を公開しており、利用者の端末装置 3からのアクセスを受信可能な状態にあるとする

[0104] サービス提供装置 2は、端末装置 3からサービスへのアクセス要求を、通信部 20の 複数通信手段のうちの適切な通信手段 20_ml (1≤ml≤M)を用いて受信する（ ステップ S101)。具体的には、サービス提供装置 2は、端末装置 3が用いる通信プロ トコルと同じ通信プロトコルに従って、端末装置 3から、ネットワーク 1を介してアクセス 要求を受信する。なお、既に端末装置 3とサービス提供装置 2との間でセッションが 確立されている場合には、サービス提供装置 2は、セッション識別子を含むアクセス 要求を、端末装置 3から受信することになる。

[0105] セッション情報管理手段 24は、端末装置から受信したサービスへのアクセス要求メ ッセージに、既に端末装置 3がサービス提供装置 2とセッションを確立したことを示す セッション識別子が含まれるか否力、を調べる（判断する）（ステップ S102)。アクセス要 求メッセージがセッション識別子を保有している（アクセス要求にセッション識別子が 含まれる）と判断すると、サービス提供装置 2は、ステップ S113 (図 7参照）に移行す る。

[0106] 一方、アクセス要求メッセージがセッション識別子を保有していなレ、（アクセス要求 にセッション識別子が含まれない）と判断すると、認証先選択手段 23は、利用者の認 証処理の要求を行うために、サービス提供装置 2が連携しているとともに、端末装置 3 に適切な認証手段を提供可能な認証装置 4を選択する (ステップ S103)。サービス 提供装置 2が連携している認証装置 4とは、例えば、サービス提供装置 2を運営する サービス事業者が予め契約を締結している認証事業者が運営する認証装置 4のこと である。そして、認証先選択手段 23は、認証装置情報格納部 26から認証装置 4のネ ットワーク上のアドレス及び認証要求に必要な通信手段情報を取得 (抽出）する。

[0107] 例えば、サービス提供装置 2は、認証装置 4の選択基準や指標を定めたセキユリテ ィポリシを予め設定し、認証装置情報格納部 26に記憶している。この場合、サービス 提供装置 2は、例えば、認証装置 4毎のセキュリティレベルや認証強度（IDZパスヮ ードを用いた認証方法であるカ IDカードや生体認証を用いる力、、又はそれらの組 み合わせ）を含むセキュリティポリシを記憶している。また、サービス提供装置 2は、例 えば、認証装置 4との間の通信路のセキュリティ状況や、認証装置 4の信頼性 (社会 的な評価や、過去の実績）、ユーザの認証に対する嗜好を含むセキュリティポリシを 記憶している。そして、認証先選択手段 23は、セキュリティポリシに示される選択基準 や指標に従って、適切な認証手段を選択する。 [0108] 具体的には、予めサービス事業者と認証事業者とが事前に提携し、サービス提供 装置 2と認証装置 4とが連携して、サービス提供装置 2は、認証装置 4が保有する認 証手段や、認証手段の強度、認証方法、認証装置 4へのアクセス先（URL)等の情 報を、認証装置 4から予め取得 (受信)し、認証装置情報格納部 26に保管 (記憶)し ている。そして、サービス提供装置 2は、提供対象のサービスの性質とセキュリティポ リシとに基づいて、例えば、強固な認証強度が要求されるサービスの場合には、 IC力 ードを用いた認証等の複数の認証が課せられる認証手段を選択する。

[0109] 次に、通信手段選択手段 22は、ステップ S103で選択した認証装置 4を示す情報 に基づいて、認証要求を行うために用いる通信手段を選択する。この場合、通信手 段選択手段 22は、通信部 20が含む複数の通信手段のうち適切な通信手段 20— m 2 (l≤m2≤M)を選択する (ステップ S104)。この場合、例えば、通信手段選択手段 22は、認証装置情報に示される通信プロトコル (例えば、選択した認証装置 4が用い る通信速度や通信方式）に合致した通信手段を選択する。

[0110] 通信手段 20— m2は、ステップ S103で認証選択手段 23が選択した認証装置 4の ネットワーク上でのアドレス情報をに基づいて、認証装置 4に認証要求を行う旨のメッ セージ (以下、認証要求メッセージともいう）を作成する。そして、通信手段 20— m2 は、作成した認証要求メッセージを、ネットワーク 1を介して端末装置 3に対して送信 する（ステップ S 105)。

[0111] なお、認証要求メッセージは、サービス提供装置 2が、端末装置 3を経由して、認証 装置 4に対して利用者の認証情報の送信要求を行うためのメッセージである。認証要 求メッセージは、認証装置 4のネットワーク上でのアドレス情報を含み、端末装置 3に 対して、認証装置 4にリダイレクト（転送)することを指示するために用いられる。すな わち、認証要求メッセージを受信した端末装置 3は、受信した認証要求メッセージを 、ネットワーク 1を介してそのまま認証装置 4に転送する。そして、認証装置 4は、端末 装置 3から転送された認証要求メッセージに基づレ、て、端末装置 3の利用者を認証 することになる。

[0112] 次いで、通信手段 20_m2は、端末装置 3から、ネットワーク 1を介して、認証要求メ ッセージに対する返信メッセージを受信する（ステップ S106)。返信メッセージは、認 証装置 4から端末装置 3に送信され、端末装置 3がサービス提供装置 2にリダイレクト (転送）される。すなわち、認証装置 4は、利用者を認証すると、認証処理の結果を示 す返信メッセージを、ネットワーク 1を介して端末装置 3に送信する。そして、端末装 置 3は、受信した返信メッセージを、ネットワーク 1を介してそのままサービス提供装置 2に転送することになる。

[0113] 返信メッセージを受信すると、セッション情報管理手段 24は、受信した返信メッセ一 ジに基づいて、利用者の認証情報を取得する (ステップ S 107)。

[0114] サービス提供装置 2が認証情報を取得する認証情報の取得方法は、シングルサイ ンオンを実現するプロトコル及びプロファイルによって異なる。本実施の形態では、シ ングルサインオンを実現するプロトコル及びプロファイルは、特定のプロトコル及びプ 口ファイルに限定されなレ、。例えば、 SAMLの WebSSOプロトコルのポストプロフアイ ルを用いる場合、ステップ S106で受信した返信メッセージに、認証アサーシヨンと呼 ばれる利用者の認証情報の XML文書が含まれている。この場合、セッション情報管 理手段 24は、返信メッセージに含まれる認証アサーシヨンを抽出することによって、 認証情報を取得できる。

[0115] 一方、 SAMLの WebSSOプロトコルのアーティファクトプロファイルを利用すること もできる。この場合、セッション情報管理手段 24は、ステップ S107でアーティファクト と呼ばれる認証アサーシヨンと対応付けられたチケットを、アーティファクトプロフアイ ノレから取得 (抽出）する。そして、サービス提供装置 2は、抽出したアーティファクトに 基づいて認証装置 4に対して認証アサーシヨンの送信要求を行うことによって、認証 アサーシヨンを取得 (認証装置 4から受信)すること力 Sできる (非特許文献参照)。

[0116] 上記に示したように、プロトコルやプロファイルによってメッセージ交換の手順が異 なるが、サービス提供装置 2は、認証装置 4が発行した利用者に関する認証情報を、 最終的に取得することができる。そして、セッション情報管理手段 24は、取得した認 証情報をセッション情報格納部 27に記憶させて管理する。

[0117] セッション情報管理手段 24は、利用者の認証情報を解析し、取得した認証情報が 認証装置 4によって発行されたものであり、改竄がなされていない正当な文書である か否かを確認 (判断)する。 [0118] 一般に、インターネット等のネットワーク 1を介した通信においては、通信路上に多く の仲介事業者が介在し、通信内容が傍受されることがありうる。また、通信内容が傍 受されると、通信対象の情報が改竄され、恰も元の文書であるかのように送信される 可能性がある。そのため、例えば、認証装置 4は、作成した認証情報に電子署名を 付加する。そして、セッション情報管理手段 24は、取得した認証情報に含まれる電子 署名を検証することによって、認証情報が改竄されていない正当な文書であるか否 力、を判断する。

[0119] さらに、セッション情報管理手段 24は、利用者情報管理手段 25に対して利用者の アクセス権限の確認要求を行うことによって、認証情報に記載される利用者情報に対 応する利用者がアクセス権限を有するか否かを判断する。この場合、セッション情報 管理手段 24は、対応する利用者の利用者情報が利用者情報格納部 28に記録され 、且つ利用者がサービス提供手段 21によって提供されるサービスを受けるための適 切な権限を有しているか否かを確認する（ステップ S 108)。

[0120] 例えば、利用者情報格納部 28は、利用者識別子とアクセス制限ポリシとを対応づ けて記憶している。この場合、セッション情報管理手段 24は、対応する利用者の利用 者識別子が利用者情報格納部 28に格納されているか否力を判断する。また、セッシ ヨン情報管理手段 24は、利用者識別子に対応するアクセス制限ポリシに従って、利 用者がアクセス権限を有するか否力を判定する。

[0121] ステップ S108で認証情報が正当な文書でないと判断した場合、又は利用者が適 切な権限を有していないと判断した場合、サービス提供装置 2は、そのまま処理を終 了する。すなわち、サービス提供手段 21は、利用者へのサービス提供を行わず、ス テツプ S 101で受信したサービスアクセス要求を拒否する。

[0122] 一方、ステップ S108で認証情報が正当な文書であると判断し、且つサービスを提 供するために利用者が適切な権限を有していると判断した場合、セッション情報管理 手段 24は、ステップ S109以降の処理を実行し、端末装置 3のセッション識別子と利 用者の認証情報との管理処理を行う。

[0123] セッション情報管理手段 24は、セッション情報格納部 27に格納されたセッション情 報を検索し、利用者の認証情報に対応付けられているセッション情報が存在するか 否かを調べる（判断する）（ステップ S109)。

[0124] セッション情報格納部 27にセッション情報が存在しなレヽ (認証情報に対応するセッ シヨン情報が記憶されていない）と判断すると、セッション情報管理手段 24は、利用 者の認証情報に基づいて、提供対象のサービスを提供するために確立する端末装 置 3向けのセッションを識別するためのセッション識別子（サービス提供側セッション 識別子)を新規作成する。そして、セッション情報管理手段 24は、新規作成したセッ シヨン識別子を、セッション情報格納部 27に登録し (ステップ S112)、ステップ S113 に移行する。

[0125] 一方、ステップ S109で利用者のセッション情報が存在する（認証情報に対応する セッション情報が記憶されている）と判断すると、セッション情報管理手段 24は、利用 者の認証情報に基づいて、提供対象のサービスを提供するために確立する端末装 置 3向けのセッションを識別するためのセッション識別子（サービス提供側セッション 識別子）を新規作成する。また、セッション情報管理手段 24は、新規作成したセッショ ン識別子を、セッション情報格納部 27に登録し (ステップ S110)、既に存在していた (既にセッション情報格納部 27に記憶されていた）セッション識別子情報を削除する

[0126] そして、セッション情報管理手段 24は、新規作成したセッション識別子を用いたセッ シヨンを端末装置 3と確立することによって、セッションの移行を実現する (ステップ S1 11)。すなわち、セッション情報管理手段 24は、端末装置 3に対してサービスの提供 を許可すると判定し、セッションの移行を実現する。

[0127] さらに、セッション情報管理手段 24は、セッション情報格納部 27を用いて管理して レ、る管理テーブル (セッション情報を管理するための管理テーブル）から、古いセッシ ヨン識別子情報を削除して管理テーブル更新する。すなわち、セッション情報管理手 段 24は、セッション情報格納部 27が格納する管理テーブルから古いセッション識別 子を削除する。そして、サービス提供装置 2は、ステップ S113に移行する。

[0128] サービス提供手段 21は、ステップ S101で受信したサービスアクセス要求に対する 返信メッセージ (サービスの提供を許可する旨のメッセージ）を作成する。この場合、 サービス提供手段 21は、セッション情報管理手段 24から取得 (入力）した新規セッシ ヨン識別子を含む返信メッセージを作成する。そして、サービス提供手段 21は、生成 した返信メッセージを通信部 20に出力する。通信部 20は、サービス提供手段 21の 指示に従って、通信手段 20— m2を用いて、ネットワーク 1を介して端末装置 3に返 信メッセージを返信（送信）する。そして、サービス提供手段 21は、返信メッセージを 送信することによって、端末装置 3に対するサービスの提供を開始する (ステップ S11 3)。

[0129] 次に、端末装置 3の動作について説明する。図 8及び図 9は、端末装置が実行する 処理の一例を示す流れ図である。まず、端末装置 3の通信手段選択手段 31は、利 用者が利用を希望するサービスを提供するサービス提供装置 2に基づいて、通信部 30の複数通信手段のうちのの適切な通信手段 30_nl (1≤nl≤N)を選択する（ス テツプ S201)。例えば、通信手段選択手段 31は、ユーザによってサービスへのァク セス要求が入力指示されると、いずれかの通信手段 30_nlを選択する。

[0130] セッション情報管理手段 33は、要求対象のサービスに対応するセッション識別子情 報を検索し、セッション識別子格納部 35から取得 (抽出）する (ステップ S202)。通信 手段 30— nlは、ステップ S202でセッション識別子情報を抽出した場合 (セッション 識別子格納部 35が、対応するセッション識別子を格納していた場合）、抽出したセッ シヨン識別子を含むサービス要求メッセージ（サービスにアクセス要求するためのメッ セージ)を作成する（ステップ S203)。そして、通信手段 30— は、作成したサービ ス要求メッセージを、ネットワーク 1を介してサービス提供装置 2に送信する（ステップ S204)。

[0131] 次いで、通信手段 30— nlは、サービス提供装置 2から、ネットワーク 1を介して返信 メッセージを受信し (ステップ S205)、受信した返信メッセージを解析する。この場合 、通信手段 30_nlは、受信した返信メッセージが、サービス提供装置 2から認証装 置 4に対する認証要求であるか否かを調べる（判断する）（ステップ S206)。受信した 返信メッセージが認証要求でないと判断すると、サービス提供装置 2は、ステップ S2 14に移行する。すなわち、既に、端末装置 3は、利用者がサービスの提供を受けるた めのセッションをサービス提供装置 2と確立しているので、継続的にサービスが利用 可能な状態であり、そのままステップ S214に移行する。 [0132] 一方、受信した返信メッセージがサービス提供装置 2から認証装置 4への認証要求 であると判断すると、通信手段選択手段 31は、認証装置 4と通信するための適切な 通信手段 30— n2 (l≤n2≤N)を選択する（ステップ S207)。例えば、通信手段選 択手段 31は、認証装置 4が用いる通信プロトコルに合致する通信手段 30— n2を選 択する。

[0133] 通信手段 30_n2は、認証装置 4を宛先として、受信した返信メッセージに基づい て、認証要求を行う旨のメッセージ (認証要求メッセージ）を作成する。さらに、通信手 段 30_n2は、セッション識別子管理手段 33に対して、認証装置 4向けに格納してい るセッション識別子及び端末識別子の検索要求を行う。すると、セッション識別子管 理手段 33は、通信手段 30— n2からの要求に従ってセッション識別子及び端末識別 子を検索し、セッション識別子格納部 35からセッション識別子及び端末識別子を抽 出する。

[0134] セッション識別子と端末識別子とがあった場合 (セッション識別子管理手段 33によ つて抽出された場合）、通信手段 30— n2は、抽出したセッション識別子及び端末識 別子を、作成した認証要求メッセージに付加する。そして、通信手段 30— n2は、作 成した認証要求メッセージを、ネットワーク 1を介して認証装置 4に送信し (ステップ S 2 08)、ステップ S209に移行する。

[0135] 次いで、通信手段 30— n2は、認証装置 4から、利用者側の認証処理を求めるメッ セージが送信されたか否かを検出する（ステップ S209)。本実施の形態では、認証 装置 4が既に利用者を認証済みであり認証情報が認証情報管理装置 5で共有され ている場合には、認証装置 4は、再度認証処理を実行することなぐそのまま利用者 の認証に成功したと判定する。まだ認証情報が共有されていない場合には、認証装 置 4は、利用者側の認証処理 (例えば、クレデンシャル情報の送信）を要求するメッセ ージを生成し、端末装置 3に送信する。

[0136] ステップ S209で認証処理が必要である（認証処理を要求するメッセージを受信し た）と判断すると、認証処理手段 32は、認証装置 4が課す適切な認証処理を行う（ス テツプ S210)。この場合、例えば、認証処理手段 32は、利用者の操作に従って、ク レデンシャル情報（例えば、ユーザ IDやパスワード）を入力し、入力したクレデンシャ ル情報を、通信部 30を用いて、ネットワーク 1を介して認証装置 4に送信する。一方、 認証処理が必要でなレ、 (認証処理を要求するメッセージを受信してレ、なレ、）と判断す ると、端末装置 3は、そのままステップ S211に移行する。

[0137] 認証処理が完了すると、通信手段 30_n2は、ステップ S208の認証要求メッセ一 ジに対する返信メッセージを、ネットワーク 1を介して認証装置 4から受信する（ステツ プ S211)。セッション識別子管理手段 33は、返信メッセージから取得 (抽出）したセッ シヨン識別子に基づレ、て、セッション識別子格納部 35が記憶するセッション識別子を 更新する。すなわち、セッション識別子管理手段 33は、認証装置 4が発行したセッシ ヨン識別子 (認証側セッション識別子）を更新する。また、端末識別子管理手段 34は 、返信メッセージ力も取得 (抽出）した端末識別子に基づいて、端末識別子格納部 3 6が記憶する端末識別子を更新する（ステップ S 212)。

[0138] また、通信手段 30_nlは、ステップ S205でサービス提供装置 2から受信した認証 要求に対する返信メッセージを作成する。そして、通信手段 30— nlは、作成した返 信メッセージを、ネットワーク 1を介してサービス提供装置 2に対して送信する（ステツ プ S213)。

[0139] 次に、通信手段 30— nlは、サービス提供装置 2から、ネットワーク 1を介してメッセ ージを受信する。また、セッション識別子管理手段 33は、受信したメッセージから取 得 (抽出）したセッション識別子情報に基づレ、て、セッション識別子格納部 35が記憶 する登録情報を更新する (ステップ S214)。すなわち、セッション識別子管理手段 33 は、サービス提供装置 2が発行したセッション識別子（サービス提供側セッション識別 子)を更新する。

[0140] そして、サービス提供装置 2によって、ステップ S204における端末装置 3からのァク セス要求が許可されると、端末装置 3は、サービスの利用を開始する (ステップ S215 )。例えば、認証装置 4は、利用者の操作に従って、ネットワーク 1を介して各種情報 を送受信することによって、サービス提供装置 2が提供するサービスを利用する。

[0141] 次に、認証装置 4の動作について説明する。図 10及び図 11は、認証装置が利用 者を認証する認証処理の一例を示す流れ図である。まず、認証装置 4の通信部 41 は、通常、利用者の端末装置 3から認証要求を受信可能な状態にあり、ネットワーク 1 を介して、端末装置 3から認証要求メッセージを受信する（ステップ S301)。認証要 求メッセージを受信すると、セッション情報管理手段 44は、受信した認証要求メッセ ージのセッション識別子を確認し (ステップ S302)、認証要求メッセージにセッション 識別子が含まれるか否かを判断する (ステップ S303)。

[0142] 端末装置 3が認証装置 4に対するセッション識別子を既に保有している場合 (すな わち、認証要求メッセージにセッション識別子が含まれている場合）、セッション情報 管理手段 ₄₄は、利用者が認証装置によって既に認証済みであると判断する。そして 、認証装置 4は、ステップ S304移行の認証処理を実行することなぐそのままステツ プ S313に移行する。

[0143] 一方、端末装置 3が認証装置 4に対するセッション識別子をまだ保有していない場 合 (すなわち、認証要求メッセージにセッション識別子が含まれていない場合）、セッ シヨン情報管理手段 44は、認証要求メッセージに端末装置 3を識別するための端末 識別子が含まれているか否力を確認 (判断)する (ステップ S304)。

[0144] 端末装置 3を識別するための端末識別子が含まれていないと判断した場合、認証 装置 4は、利用者を認証するためにステップ S307に移行する。一方、利用装置 3を 識別するための端末識別子が含まれていると判断した場合、認証情報管理手段 42 は、認証要求メッセージ力も端末識別子を取得 (抽出）する。また、通信部 41は、端 末識別子をキーとした利用者の認証情報の検索を認証情報管理装置 5に要求する 旨の検索要求メッセージを作成する。そして、通信部 41は、作成した検索要求メッセ ージを、ネットワーク 1を介して認証情報管理装置 5に送信する（ステップ S305)。す なわち、認証装置 4は、利用者の認証情報の検索を認証情報管理装置 5に依頼する

[0145] なお、認証情報管理装置 5は、検索要求メッセージを受信すると、検索要求メッセ ージに含まれる端末識別子をキーとして、既に利用者の認証情報を記憶してレ、るか 否かを検索することになる。そして、認証情報管理装置 5は、検索結果を示す返信メ ッセージを、ネットワーク 1を介して認証装置 4に送信する。

[0146] 通信部 41は、検索要求に対する認証管理装置 5の返信メッセージを、ネットワーク 1を介して認証情報管理装置 5から受信する。また、通信部 41は、受信した返信メッ セージの内容に基づいて、端末装置 3の認証情報が存在するか否力 (認証情報管理 装置 5が認証情報を既に記憶してレ、るか否か）を確認 (判断)する（ステップ S306)。

[0147] 認証管理装置 5が端末装置 4を利用する利用者の認証情報を保有していないと判 断した場合、利用者情報管理手段 43は、利用者を認証する処理を行う（ステップ S3 07)。例えば、利用者情報管理手段 43は、通信部 41を用いて、クレデンシャル情報 (ユーザ IDやパスワード）の入力要求を、ネットワーク 1を介して端末装置 3に送信す る。そして、利用者情報管理手段 43は、端末装置 3から受信したクレデンシャル情報 力 利用者情報格納部 45に予め格納する登録クレデンシャル情報と合致するか否 かを判断することによって、利用者を認証する。

[0148] 一方、認証管理装置 5が利用者の認証情報を保有していると判断すると、認証装 置 4は、認証対象の利用者の認証情報を取得する。この場合、例えば、認証装置 4 は、受信した返信メッセージに含まれる認証情報を抽出することによって、認証情報 を取得する。また、例えば、認証装置 4は、認証対象の利用者の認証情報の送信要 求を認証情報管理装置 5に送信し、認証情報管理装置 5から、ネットワーク 1を介して 認証情報を受信する。

[0149] 認証装置 4は、取得した認証情報と、利用者の認証要求を送信したサービス提供 装置 2が要求する認証強度とを照合し、認証情報に示される証明強度が十分である か否かを判断する（ステップ S308)。例えば、認証装置 4が、利用者をユーザ IDとパ スワードとを用いて認証した旨を示す認証情報を、認証情報管理装置 5から取得した 場合を考える。この場合、ステップ S 301で受信した認証要求メッセージに、認証強 度としてユーザ IDとパスワードとを用いた認証を指定する旨の情報が含まれる場合 には、認証装置 4は、認証強度が十分であると判断する。また、認証要求メッセージ に、認証強度として IDカードや PIN (Personal Identifier Number)を用いた認証を指 定する旨の情報が含まれる場合には、認証装置 4は、認証強度が十分でないと判断 する。

[0150] 認証情報で示される認証強度が、サービス提供装置 2が要求する認証強度と比較 して十分の強度であると判断した場合、認証装置 4は、利用者の認証処理を行わず にそのままステップ S 313に移行する。 [0151] 一方、認証情報で示される認証強度が、サービス提供装置 2が要求する認証強度 と比較して十分の強度でないと判断した場合、適切な認証手段を用いて利用者を認 証すること力 S必要となる。この場合、ステップ S307に移行し、利用者情報管理手段 4 3は、端末装置 3から受信したクレデンシャル情報を、利用者情報格納部 45を用いて 管理する利用者のクレデンシャル情報 (登録クレデンシャル情報）と照合することによ つて、利用者を認証する。

[0152] 次に、セッション情報管理手段 44は、新たにセッション識別子 (認証側セッション識 別子）を端末装置 3向けに発行する。また、認証情報管理手段 42は、端末装置 3の 端末識別子と、ステップ S307で利用者の認証に成功した旨を示す認証情報とを通 信部 41に出力する。すると、通信部 41は、認証情報の登録を要求する旨の認証情 報登録要求メッセージを作成して、生成した登録要求メッセージを、ネットワーク 1を 介して認証情報管理装置 5に対して送信する（ステップ S309)。なお、通信部 41は、 端末識別子と認証情報とを含む認証情報登録要求メッセージを作成する。そのよう にすることにより、認証情報管理装置 5に、端末識別子及び認証情報が新たに登録 される。

[0153] 認証情報が登録されると、認証管理装置 5の認証情報格納部 54に新たに認証情 報が格納されることになる。そして、認証情報管理装置 5は、認証情報を登録した旨 の返信メッセージを、ネットワーク 1を介して認証装置 4に送信する。

[0154] 通信部 41は、認証管理装置 5から、ネットワーク 1を介して、認証情報登録要求メッ セージに対する返信メッセージを受信する。また、セッション情報管理手段 44は、受 信した返信メッセージに含まれる端末識別子を取得 (返信メッセージ力 抽出）する（ ステップ S310)。

[0155] セッション情報管理手段 44は、ステップ S310で取得した端末識別子と、既に保持 している端末装置 3の端末識別子と照合する。そして、セッション情報管理手段 44は 、端末識別子が更新されているか否力、 (すなわち、新たに取得した端末識別子と利 用者情報格納部 45に格納される端末識別子とが合致しなレ、か否か)を判断する (ス テツプ S311)。

[0156] 端末識別子が更新されていないと判断した場合 (新たに取得した端末識別子と利 用者情報格納部 45に格納される端末識別子とが合致する場合）、認証装置 4は、そ のままステップ S313に移行する。一方、ステップ S310で取得した端末識別子力 既 に保持してレ、る端末装置 3の端末識別子と異なる場合 (端末識別子が更新されてレヽ ると判断した場合）、セッション情報管理手段 44は、セッション情報格納部 46に格納 されている端末装置 3の端末識別子を削除する。そして、セッション情報管理手段 44 は、新しく取得した新規端末識別子をキーとして利用者の認証情報を登録しなおす ( ステップ S312)。すなわち、セッション情報管理手段 44は、端末識別子を更新し、端 末装置 3の認証情報を、新たな端末識別子に対応づけてセッション情報格納部 46に 記憶させる。

[0157] 通信部 41は、ステップ S301で受信した認証要求に対する返信メッセージを作成す る。この場合、通信部 41は、ステップ S310で取得した端末識別子、セッション識別子 及び認証情報を含む返信メッセージを作成する。そして、通信部 41は、作成した返 信メッセージを、ネットワーク 1を介して端末装置 3に対して返信（送信）する (ステップ S313)。

[0158] 次に、認証情報管理装置 5の動作について説明する。図 12は、認証情報管理装 置が認証情報を管理する認証情報管理処理の一例を示す流れ図である。まず、認 証情報管理装置 5の通信部 51は、認証装置 4の通信部 41から、ネットワーク 1を介し てメッセージ (検索要求メッセージ又は認証情報登録要求メッセージ）を受信する（ス テツプ S401)。すると、通信部 51は、受信したメッセージが、認証情報の登録要求（ 認証情報登録要求メッセージ)であるか、認証情報の検索要求（検索要求メッセージ )であるかを確認 (判断)する (ステップ S402)。

[0159] 認証情報の登録要求 (認証情報登録要求メッセージ)であると判断すると、端末識 別子管理手段 54は、端末識別子を発行する (ステップ S403)。そして、端末識別子 管理手段 54は、発行した端末識別子を端末識別子格納部 56に格納させる。また、 認証情報登録手段 52は、発行した端末識別子をキーとして、受信メッセージに含ま れる利用者の認証情報を認証情報格納部 55に登録する (ステップ S404)。すなわち 、認証情報登録手段 52は、登録対象の認証情報を、発行した端末識別子に対応づ けて認証情報格納部 55に記憶させる。 [0160] さらに、通信部 51は、認証情報登録要求メッセージに対する返信メッセージを作成 し、端末識別子の情報を返信メッセージに設定する (ステップ S405)。すなわち、通 信部 51は、発行した端末識別子を含む返信メッセージを作成する。そして、通信部 5 1は、作成した返信メッセージを、ネットワーク 1を介して、認証装置 4の通信部 41に 返信（送信）する（ステップ S406)。

[0161] 一方、ステップ S402で、通信部 51が検索要求を受け取った（すなわち、検索要求 メッセージを受信した）と判断した場合、認証情報検索手段 53は、受信した検索要求 メッセージに含まれる端末識別子に基づいて、利用者の認証情報が存在するか否か を検索する (ステップ S407)。すなわち、認証情報検索手段 53は、端末識別子に対 応する認証情報が認証情報格納部 55に記憶されているか否力、を判断する。

[0162] なお、ステップ S407において、端末識別子管理手段 54は、必要に応じて、利用者 の端末装置 3向けに新たな端末識別子を発行し、端末識別子格納部 56に格納され る端末識別子を更新してもよレ、。

[0163] 次いで、通信部 51は、受信した検索要求メッセージに対する返信メッセージを作成 する。また、通信部 51は、利用者の認証情報の検索結果情報 (例えば、認証情報の 有無や、認証情報検索手段 53が認証情報格納部 55から抽出した認証情報）と、端 末識別子 (例えば、端末識別子管理手段 54が新たに発行した端末識別子）とを返信 メッセージに設定する (ステップ S408)。すなわち、通信部 51は、検索結果情報と端 末識別子とを含む返信メッセージを作成する。そして、通信部 51は、ステップ S406 に移行し、作成した返信メッセージを、ネットワーク 1を介して、認証装置 4の通信部 4 1に返信 (送信)する。

[0164] 以上のように、本実施の形態によれば、認証情報管理装置 5は、各認証装置 4が認 証した利用者の認証情報を管理し、認証情報を共有化する。また、サービス提供装 置 2は、同一のサービスに対して複数の通信手段 20—：！〜 20— Mを提供できる。ま た、サービス提供装置 2は、端末装置 3と、通信手段に依存しないセッション情報との 管理を行う。すなわち、本実施の形態では、認証情報が共有化された分散認証シス テムにおいて、サービス提供装置 2は、端末装置 3との間に確立したセッションを個別 に管理する。 [0165] 上記のように構成することによって、本実施の形態では、サービス提供装置 2は、利 用者が端末装置 3を操作して利用中のサービスに対して異なる通信手段を用いてァ クセスしたとしても、既に確立しているセッションのセッション情報を適切に移行するこ とができる。そのため、利用者にとって再認証を求められる回数が削減され、サービ スを継続的に利用でき、利用者の利便性が向上する。

[0166] 従って、複数の通信方式を有する端末を用いたサービスの利用中に異なる通信方 式でアクセスした場合に、サービスを中断することなくセッション情報を移行すること ができる。また、サービス提供装置 2が端末装置 3との間に確立したセッションを個別 管理できるので、利用者のプライバシ情報を保護しながら、複数のサービスに対して 、通信方式に依存せずに、利用者の認証手続きの実行回数を削減することができる 。特に、認証情報を共有化する分散認証システムでは、一般に異なる事業者間でセ ッシヨンハイジャックが可能となってしまうおそれがある力 S、セッションを個別管理でき るので、異なる業者間でのセッションノヽィジャックを防止することができる。

[0167] また、本実施の形態では、認証装置 4によって認証された利用者の認証情報を、認 証情報管理装置 5を用いて共有する。そのようにすることによって、セッション情報の 移行に伴うシングルサインオンを実現でき、利用者の認証処理の実行回数を削減で きる。また、認証装置 4は、認証情報管理装置 5に対して認証情報の検索要求を行う だけで、既に登録されている認証情報を取得できる。そのため、非特許文献に記載さ れた SAMLを用いた従来の分散認証システムで発生する認証装置を探索するため の通信遅延を防止することができる。そのため、利用者が複数のサービスを効率的に 利用することができる。

[0168] また、本実施の形態では、認証情報管理装置 5の端末識別子管理手段 54は、禾 IJ 用者の端末装置 3に対して端末識別子を発行する。この端末識別子は、特定の認証 装置 4からアクセスする際にだけ有効な識別子であり、サービス提供装置 2には通知 されなレ、。そのため、端末識別子と、利用者のサービス提供装置 2に対するアクセス 履歴とを対応付けることによって、利用者の個人情報を追跡可能となってしまう事態 を防止できる。従って、利用者の個人情報を狙った攻撃に強ぐ利用者のプライバシ 情報漏洩を防止することができる。 [0169] 実施の形態 2.

次に、本発明の第 2の実施の形態について図面を参照して説明する。本実施の形 態において、分散認証システムの基本的な構成は、図 1に示した構成と同様である。 本実施の形態では、サービス提供装置及び端末装置の構成が、第 1の実施の形態 で示したそれらの構成と異なる。

[0170] 図 13は、サービス提供装置の他の構成例を示すブロック図である。また、図 14は、 端末装置の他の構成例を示すブロック図である。図 13に示すように、本実施の形態 では、サービス提供装置 6が、図 2に示したサービス提供装置 2の構成に加えて、端 末環境解析手段 60及び端末環境情報格納部 61を含む点で、第 1の実施の形態と 異なる。また、図 14に示すように、端末装置 7が、図 3に示した端末装置 3の構成に カロえて、端末環境管理手段 70及び端末環境情報格納部 71を含む点で、第 1の実 施の形態と異なる。

[0171] 図 14に示す端末装置 7において、端末環境管理手段 70は、具体的には、プロダラ ムに従って動作する情報処理端末の CPUによって実現される。端末環境管理手段 7 0は、端末装置 7及び利用者が置かれている環境に関する情報を取得し、端末環境 情報格納部 71を用いて管理する機能を備える。

[0172] 「環境に関する端末装置 7及び利用者が置かれている環境に関する情報」とは、例 えば、端末装置 7固有の構成 (例えば、端末装置 7が利用可能なサービス提供装置 6 や認証装置 4 (プロバイダ） )やアプリケーションに依存する情報 (例えば、どのアプリ ケーシヨンを利用するか）である。また、例えば、端末装置 7の利用者のポリシや好み に関する情報 (例えば、どのサービスを好む力）である。さらに、端末装置 7が置かれ ている物理的環境 (例えば、端末装置 7の現在位置)や、ネットワーク上の論理的な 環境等の情報 (例えば、端末装置 7が利用可能な通信プロトコル)である。

[0173] 本実施の形態では、端末環境管理手段 70は、通信手段 30を用いて、ネットワーク

1を介して、ネットワーク 1上の各種情報提供サーバから端末環境情報を取得 (受信） する。また、端末環境管理手段 70は、例えば、利用者の操作に従って、利用者のポ リシや嗜好情報を入力することによって、端末環境情報を取得する。そして、端末環 境管理手段 70は、必要に応じて、取得した端末環境情報を、端末環境情報格納部 71に保存させたり更新したりする。

[0174] 端末環境情報格納部 71は、具体的には、磁気ディスク装置や光ディスク装置等の 記憶装置によって実現される。端末環境情報格納部 71は、端末環境管理手段 70が 取得した端末環境情報を記憶する。また、端末環境情報格納部 71は、例えば、端末 装置 7固有の構成を示す情報を、端末環境情報として予め記憶してもよい。

[0175] 図 13に示すサービス提供装置 6において、端末環境解析手段 60は、具体的には 、プログラムに従って動作する CPUによって実現される。端末環境解析手段 60は、 通信部 20が受信した端末環境情報 (すなわち、端末装置 7から送信された端末環境 情報)を解析する機能を備える。また、端末環境解析手段 60は、端末環境情報の解 析結果を通信手段選択手段 22又は認証先選択手段 23に出力する機能を備える。 そのようにすることにより、端末環境解析手段 60は、通信手段選択手段 22が利用者 にとつて最適の通信手段を選択したり、認証先選択手段 23が最適の認証装置を選 択したりすることを支援する。

[0176] また、端末環境解析手段 60は、端末装置 7から受信した端末環境情報を、端末環 境情報格納部 61に格納して管理する機能を備える。例えば、端末環境解析手段 60 は、受信した端末環境情報に基づいて、端末環境情報格納部 61に新たに端末環境 情報を記憶させたり、端末環境情報格納部 61が記憶する端末環境情報を更新した りすることによって、端末環境情報を管理する。

[0177] 端末環境情報格納部 61は、具体的には、磁気ディスク装置や光ディスク装置等の 記憶装置によって実現される。端末環境情報格納部 61は、端末環境情報を記憶す る。

[0178] 次に、動作について説明する。なお、本実施の形態において、認証装置 4及び認 証情報管理装置 5が実行する処理は、第 1の実施の形態で示したそれらが実行する 処理と同様であるため、記載を省略する。

[0179] まず、サービス提供装置 6の動作について説明する。図 15は、サービス提供装置 が実行する処理の他の例を示す流れ図である。本実施の形態では、端末装置 7から のサービスアクセス要求の際に、通信部 20は、端末装置 3から、ネットワーク 1を介し て、サービスへのアクセス要求とともに端末環境情報も合わせて受信する（ステップ S 101)。

[0180] 第 1の実施の形態では、端末装置 3がセッション識別子を保有しているか否かだけ を判断することによって、認証装置 4の選択と通信手段の選択とを行っていた。本実 施の形態では、まず、ステップ S101で端末環境情報を受信すると、端末環境解析手 段 60は、受信した端末環境情報を解析する (ステップ S 101 A)。例えば、端末環境 解析手段 60は、端末環境情報に基づいて、端末装置 7の現在の位置情報 (例えば、 緯度及び経度)や、端末装置 7が利用可能なサービス提供装置 6、端末装置 7が利 用可能な認証装置 4、端末装置 7が利用可能な通信プロトコルを特定する。

[0181] 次いで、セッション情報管理手段 24は、端末装置 7のセッション識別子情報を確認

(受信したアクセス要求メッセージにセッション識別子が含まれるか否かを判断)する（ ステップ S102)。セッション識別子が含まれないと判断すると、サービス提供装置 6は 、ステップ S103の処理に移行する。すなわち、認証先選択手段 23は、端末装置 7に 適切な認証装置 4を選択する（ステップ S 103)。

[0182] 本実施の形態では、認証先選択手段 23は、ステップ S101 Aで端末環境解析手段 60が行った解析結果に基づいて、認証先の認証装置 4を決定する。この場合、認証 先選択手段 23は、セキュリティ、コスト及び性能の面から指定された所定の判断基準 に従って、認証先の認証装置 4を決定する。例えば、認証先選択手段 23は、端末装 置 7の現在位置や、端末装置 7が利用可能な認証装置 4、通信プロトコルに従って、 認証先の認証装置 4を決定する。

[0183] さらに、通信手段選択手段 22は、通信部 20が複数の通信手段のうち適切な通信 手段 20— m2を選択する。本実施の形態では、通信手段選択手段 22は、端末環境 解析手段 60が行った解析結果に基づいて、適切な通信部 20の通信手段を決定す る（ステップ S104)。この場合、通信手段選択手段 22は、セキュリティ、コスト及び性 能の面から指定された所定の判断基準に従って、通信手段を決定する。例えば、通 信手段選択手段 22は、端末装置 7の現在位置や、端末装置 7が利用可能な認証装 置 4、通信プロトコルに従って、通信手段を決定する。

[0184] また、端末環境解析手段 60は、解析した端末環境情報を、端末環境情報格納部 6 1に格納させる。 [0185] 一方、ステップ S102でセッション識別子が含まれると判断した場合も、端末環境解 析手段 60は、端末環境情報格納部 61に既に格納されている端末装置 6の端末環 境情報を参照して、ステップ S101Aで行った解析結果に基づいて、セッションを移 行するか否かを判断する (ステップ S102A)。この場合、端末環境解析手段 60は、 現在保持しているセッションを継続利用するカ 新たに異なる通信手段を用いたセッ シヨンを確立するかを解析 (判断)する。

[0186] 例えば、端末環境解析手段 60は、解析結果で特定された通信プロトコルが現在の セッションのプロトコルと合致すると判断すると、現在のセッションを継続利用する（セ ッシヨンを移行しない）と決定する。また、例えば、通信プロトコルが合致しないと判断 すると、端末環境解析手段 60は、新たに異なる通信手段を用いたセッションを確立 する（セッションを移行する）と決定する。

[0187] セッションを移行しないと決定した場合、サービス提供装置 6は、そのままステップ S 113に移行する。一方、セッションを移行すると決定した場合、サービス提供装置 6は 、ステップ S103の処理に移行する。ステップ S103では、上述に示したように、認証 先選択手段 23は、ステップ S101Aで端末環境解析手段 60が行った解析結果に基 づいて、適切な認証装置 4を決定する。また、ステップ S 104では、通信手段選択手 段 22は、端末環境解析手段 60の解析結果に基づいて、適切な通信部 20の通信手 段を決定する。そして、端末環境解析手段 60は、解析した端末環境情報を用いて、 端末環境情報格納部 61が記憶する端末環境情報を更新する。

[0188] なお、ステップ S105移行の処理は、第 1実施の形態で示したそれらの処理と同様 である。

[0189] 次に、端末装置 7の動作について説明する。図 16は、端末装置が実行する処理の 他の例を示す流れ図である。本実施の形態では、端末装置 7は、第 1の実施の形態 で示したステップ S201と同様の処理に従って、通信手段 30_nlを選択する。また、 端末装置 7は、ステップ S202と同様の処理に従って、セッション識別子を取得する。

[0190] 第 1の実施の形態では、端末装置 3は、サービス提供装置 2に対するサービス要求 メッセージを作成する際に、サービス提供装置 2に対応するセッション識別子がある 場合 (セッション識別子格納部 35に既に格納されている場合）、対応するセッション 識別子を含むメッセージを作成した。本実施の形態では、まず、端末環境管理手段 7 0は、端末環境情報を取得する (ステップ S202A)。この場合、例えば、端末環境管 理手段 70は、端末環境情報格納部 71に予め格納されてレ、る端末環境情報を抽出 する。また、例えば、端末環境管理手段 70は、通信部 30を用いて、ネットワーク 1を 介して各種情報提供サーバから受信することによって、端末環境情報を取得する。

[0191] そして、端末装置 7は、セッション識別子に加えて、取得した端末環境情報を含む サービス要求メッセージを作成する（ステップ S203)。なお、ステップ S204以降の処 理は、第 1の実施の形態で示したそれらの処理と同様である。

[0192] 以上のように、本実施の形態によれば、利用者の嗜好や端末装置 3が置かれてい る環境を示す端末環境情報を、端末装置 3からサービス利用装置 2に送信する。そし て、サービス利用装置 2は、端末環境情報に基づいて、通信手段 20—：！〜 20— Mと 、認証先となる認証装置 4とを選択することが可能となる。そのようにすることにより、 利用者の嗜好や端末装置 3が置かれてレ、る環境を考慮して、最も安価又は最も通信 遅延が少なく効率的な通信手段を利用することができる。従って、利用者と利用者の 端末とが置かれている環境の中で、利用者にとって最も適した通信手段を用いてサ 一ビスを提供することができる。

[0193] 実施の形態 3.

次に、本発明の第 3の実施の形態について図面を参照して説明する。図 17は、分 散認証システムの他の構成例を示すブロック図である。図 17に示すように、本実施の 形態では、分散認証システムは、第 1の実施の形態及び第 2の実施の形態と同様に 、サービス提供装置 80、端末装置 81、認証装置 82及び認証情報管理装置 83を含 む。

[0194] なお、図 17では、 1つのサービス提供装置 80を示している力 分散認証システムは 、複数のサービス提供装置 80を含んでもよい。また、 1つの端末装置 81を示している が、分散認証システムは、複数の端末装置 81を含んでもよい。さらに、 1つの認証装 置 82を示している力 分散認証システムは、複数の認証装置 82を含んでもよい。

[0195] 本実施の形態において、サービス提供装置 80の記憶装置（図示せず）は、端末装 置 81にサービスを提供したり、端末装置 81とのセッションを確立したりするための各 種プログラムを記憶している。例えば、サービス提供装置 80の記憶装置は、コンビュ ータに、端末装置と当該サービス提供装置との間でセッションを確立するときに、端 末装置と当該サービス提供装置との間で確立されるセッションを示すセッション情報 を生成し記憶する処理と、生成したセッション情報を管理する処理と、端末装置がセ ッシヨンを確立したときに用いた通信手段と異なる通信手段に切り替えたときに、管理 するセッション情報に基づいて、端末装置に対してサービスの提供を許可するか否 力、を判定する処理とを実行させるためのサービス提供装置用プログラム 84を記憶し ている。

[0196] サービス提供装置用プログラム 84は、サービス提供装置 80に読み込まれ、サービ ス提供装置 80の動作を制御し、端末装置 81及び認証装置 82と通信するためのプロ グラムである。サービス提供装置 80は、サービス提供装置用プログラム 84に従って 処理を実行することによって、第 1の実施の形態又は第 2の実施の形態で示したサー ビス提供装置 2又はサービス提供装置 6の処理と同様の処理を実行する。

[0197] また、端末装置 81の記憶装置（図示せず）は、サービス提供装置 80が提供するサ 一ビスを利用したり、認証装置 82に認証要求を行ったりするための各種プログラムを 記憶している。例えば、端末装置 81の記憶装置は、コンピュータに、端末装置に所 定のサービスを提供するサービス提供装置、又は端末装置の利用者を認証する認 証装置と、所定の通信方式を用いて通信する通信処理と、通信対象のサービス提供 装置又は端末装置に応じて、通信手段を選択する通信手段選択処理と、認証装置 力 の認証処理要求に応じて、所定の証明情報を送信することによって、利用者が 本人であることを証明する認証処理と、サービス提供装置又は認証装置が発行する 、端末装置とサービス提供装置との間で確立されるセッションを識別するためのセッ シヨン識別子を管理するセッション識別子管理処理と、認証情報管理装置が発行す る、端末装置を識別するための端末識別子を管理する端末識別子管理処理とを実 行させるための端末装置用プログラム 85を記憶している。

[0198] 端末装置用プログラム 85は、端末装置 81に読み込まれ、端末装置 81の動作を制 御し、サービス提供装置 80及び認証装置 82と通信するためのプログラムである。端 末装置 81は、端末装置用プログラム 85に従って処理を実行することによって、第 1の 実施の形態又は第 2の実施の形態で示した端末装置 3又は端末装置 7の処理と同様 の処理を実行する。

[0199] また、認証装置 82の記憶装置（図示せず）は、端末装置 81の利用者を認証するた めの各種プログラムを記憶している。例えば、認証装置 82の記憶装置は、コンピュー タに、端末装置に所定のサービスを提供するサービス提供装置、端末装置、又は認 証情報管理装置と通信する通信処理と、管理対象の利用者の個人情報に基づいて 、利用者を認証する利用者情報管理処理と、利用者の認証結果に基づいて認証情 報を作成し、作成した認証情報を認証情報管理装置に登録し、認証情報管理装置 が発行した端末識別子に基づいて、認証情報管理装置に検索要求を行って認証情 報を取得する認証情報管理処理と、認証を行った利用者の端末装置に対してセッシ ヨン識別子を発行し、発行したセッション識別子を管理するセッション情報管理処理と を実行させるための認証装置用プログラム 86を記憶している。

[0200] 認証装置用プログラム 86は、認証装置 82に読み込まれ、認証装置 82の動作を制 御し、サービス提供装置 80、端末装置 81及び認証情報管理装置 83と通信するため のプログラムである。認証装置 82は、認証装置用プログラム 86に従って処理を実行 することによって、第 1の実施の形態又は第 2の実施の形態で示した認証装置 4の処 理と同様の処理を実行する。

[0201] また、認証情報管理装置 83の記憶装置（図示せず）は、認証装置 82が認証した利 用者の認証情報を共有化するための各種プログラムを記憶している。例えば、認証 情報管理装置 83の記憶装置は、コンピュータに、認証情報を記憶する処理と、認証 情報の検索を依頼する旨の検索要求を、通信ネットワークを介して認証装置カも受 信する処理と、検索要求を受信すると、記憶する認証情報を検索する処理とを実行さ せるための認証情報管理装置用プログラム 87を記憶している。

[0202] 認証情報管理装置用プログラム 87は、認証情報管理装置 83に読み込まれ、認証 情報管理装置 83の動作を制御し、認証装置 82と通信するためのプログラムである。 認証情報管理装置 83は、認証情報管理装置用プログラム 87に従って処理を実行す ることによって、第 1の実施の形態又は第 2の実施の形態で示した認証情報管理装 置 5の処理と同様の処理を実行する。 [0203] 実施例 1

次に、本発明の第 1の実施例を図面を参照して説明する。なお、本実施例で示す 分散認証システムは、第 1の実施の形態で示した分散認証システムに対応するもの である。

[0204] 図 18は、分散認証システムの具体例を示す説明図である。本実施形態では、図 18 に示すように、端末装置 200は、無線 LANを経由してインターネットに接続可能な通 信手段と、携帯電話サービス事業者が運営する携帯電話ネットワークに接続可能な 通信手段とを備える。また、分散認証システムは、認証装置として、インターネットを 介してアクセス可能な認証装置 202と、携帯電話ネットワークを介してアクセス可能な 認証装置 202とを備える。

[0205] また、分散認証システムは、サービス提供装置として、インターネットを介した通信を 行うための通信手段と、携帯電話ネットワークを介した通信を行うための通信手段と の両方の通信手段を用いてサービスを提供するサービス提供装置 201を備える。

[0206] 端末装置 200の利用者（本例では、 John Smithとする）は、サービス提供装置 201と 認証装置 202とに対して、利用者識別子「 1111」と「3111¾11」で識別されるアカウントとを 保有している。端末装置 200は、サービス提供装置 201と認証装置 202とに連携さ れている (例えば、利用者と、サービス提供装置 201のサービス事業者及び認証装 置 202の認証事業者とは予め契約を締結している）。まず、端末装置 200は、サービ ス提供装置 201や認証装置 202に対してサインオンを行っておらず、サービス提供 装置 201と認証装置 202とのいずれともセッションを確立していないとする。

[0207] 端末装置 200は、利用者「John Smithjの操作に従って、サービス提供装置 201に 対して、無線 LANを経由して、サービスへのアクセスを要求する（図 8のステップ S20 4)。本例では、端末装置 200は、サービス提供装置 201の端末識別子を保有してお らず、送信したアクセス要求メッセージに端末識別子が含まれない。そのため、サー ビス提供装置 201は、端末装置 200に対して、認証装置 202への認証要求メッセ一 ジを送信する（図 6のステップ S 105)。

[0208] 端末装置 200は、認証要求メッセージを受信し、認証装置 202に認証要求メッセ一 ジをリダイレクトする（図 8のステップ 208)。なお、このメッセージには、認証装置 202 のセッション情報及び端末識別子は含まれない。

[0209] 認証装置 202は、端末装置 200がセッション識別子を含むメッセージを送信してい ないので、端末装置 200に利用者側の認証処理を要求する。すると、端末装置 200 は、適切な認証処理 (例えば、利用者の入力操作に従ったクレデンシャル情報の送 信）を行う（図 10のステップ S307、図 9のステップ S210)。

[0210] 認証装置 202は、認証処理を完了し、認証情報を発行する。また、認証装置 202 は、発行した認証情報を、認証情報管理装置 203に登録する（図 10のステップ S30 6、図 11のステップ S310)。この際、認証情報管理装置 203は、認証情報と対応づ ける端末識別子を新規発行する。

[0211] 図 19は、認証情報管理装置 203が管理する情報の例を示す説明図である。図 19 に示すように、認証情報管理装置 203は、表 210 (テーブル)を記憶する。図 19に示 すように、認証情報管理装置 203は、認証装置 202から送信された認証情報に記載 されている識別子「Assertion-001」と、新規発行した端末識別子「ABCD_1000」とを 対応づけて記憶する。

[0212] 認証装置 202は、認証情報管理装置 203に対する認証情報の登録を完了し、端 末装置 200に対する新規セッション識別子を発行する。図 20は、認証装置 202が管 理する管理情報の例を示す説明図である。図 20に示すように、認証装置 202は、表 211 (テーブル）を記憶する。図 20に示すように、認証装置 202は、認証装置 202の 利用者「smith」と、認証情報管理装置 203から取得した端末識別子「ABCD-1000」 と、端末装置 200に対して新規発行したセッション識別子「IdP202-0001」とを対応づ けて記憶する。

[0213] 認証装置 202は、新規発行したセッション識別子「IdP202_0001」を含む認証情報 を、端末装置 200に対して返信する（図 11のステップ S313)。端末装置 200は、認 証装置 202から受信した認証情報を、サービス提供装置 201に送信する（図 9のステ ップ S213)。

[0214] サービス提供装置 201は、端末装置 200から受信した認証情報に基づいて、利用 者「john」に対してサービスの利用を認可し、端末装置 200向けに新規セッションを発 行する。 [0215] 図 21は、サービス提供装置 201が管理する管理情報の例を示す説明図である。図 21に示すように、サービス提供装置 201は、表 212 (テーブル)を記憶する。図 21に 示すように、サービス提供装置 201は、サービス提供装置 201の利用者識別子「john 」と、端末装置 200から受信した認証情報の識別子「Assertion_001」と、新規セッショ ン識別子「SP201-0001」とを対応づけて記憶する。

[0216] サービス提供装置 201は、「john」のサービス利用を認可することを意味するメッセ ージ (サービス要求に対する返信メッセージ）を、端末装置 200に送信する（図 7のス テツプの S 113)。なお、このメッセージには、新規セッション識別子「SP201_0001」が 含まれている。

[0217] この時点で、利用者「John Smith]は、サービス提供装置 201が提供するサービスを 利用可能となる。端末装置 200は、ステップ S313における認証装置 202からのセッ シヨン識別子と、ステップ S113におけるサービス提供装置 201からのセッション識別 子とを管理する。

[0218] 図 22は、端末装置 200が管理する管理情報の例を示す説明図である。図 22に示 すように、端末装置 200は、表 213 (テーブル）を記憶する。図 22に示すように、端末 装置 200は、認証装置 202と、サービス提供装置 201から配布されたセッション識別 子「IdP202-0001」と、認証装置 202から配布された端末識別子「ABCD-1000」とを 対応づけて管理 (記憶)してレ、る。

[0219] 以上のように、認証装置 202が利用者の認証情報を認証情報管理装置 203に登 録する時に、端末識別子が新規発行される場合を説明した。なお、分散認証システ ムの環境によって、認証情報管理装置 203が、端末装置 200に対して端末識別子を 事前に発行すいるようにしてもよレ、。そのようにすれば、ステップ S208で認証装置 20 2に送信するメッセージに端末識別子を含めることもできる。

[0220] 次に、上記で説明したようにステップ S113でサービスの提供を開始した状態から、 利用者「John Smith]は、端末装置 200を保持したまま、無線 LANの電波が届かない 地域に移動したとする。但し、利用者「John Smith]は、携帯電話サービス事業者の携 帯電話ネットワークが利用可能な地域に移動したとする。この場合、利用者「John Smi thjは、利用していたサービス提供装置 201のサービスを継続的に利用しょうとしてァ クセスを試みる力 S、通信手段の変更が必要となる。

[0221] 図 23は、サービスの利用中に端末装置 200が移動した際に、通信手段を変更する 場合の具体例を示す説明図である。図 23に示すように、端末装置 200は、携帯電話 ネットワークで規定される通信手段を用いて、サービス提供装置 201に対して、利用 中サービスへのアクセスを行う（図 8のステップ S204)。この場合、携帯電話ネットヮ ークを用いたセッションはまだ確立していないので、端末装置 200は、セッション識別 子情報を何も送信しない。

[0222] サービス提供装置 201は、端末装置 200が認証 (すなわち、携帯電話ネットワーク を利用するための認証)を行うために、携帯電話ネットワークの認証装置 204に対す る認証要求メッセージを、端末装置 200に送信する（図 6のステップ S105)。端末装 置 200は、認証要求メッセージを受信し、認証装置 204に認証要求メッセージをリダ ィレクトする（図 8のステップ S208)。なお、このメッセージは、端末識別子「ABCD_10 00」を含む。

[0223] 認証装置 204は、端末識別子を受信し、受信した端末識別子をキーとして、認証情 報管理装置 203に対して、利用者の認証情報の検索要求を行う（図 10のステップ S3 05)。認証情報管理装置 203は、図 19に示すように、端末識別子に対応づけられた 認証情報 (認証装置 202で認証した認証情報）を保有している。従って、認証情報管 理装置 203は、保有する認証情報を認証装置 204に返信する（図 10のステップ S30 6で Yesの場合）。

[0224] 認証装置 204は、受信した認証情報に基づレ、て、利用者の付加的な認証を必要と しない場合、新たに認証情報を作成する。そして、認証装置 204は、端末装置 200 に認証情報、端末識別子、及び新規発行したセッション識別子を送信する（図 11の ステップ S313)。

[0225] 図 24は、認証装置 204が管理する管理情報の例を示す説明図である。図 24に示 すように、認証装置 204は、表 214 (テーブル）を記憶する。図 24に示すように、認証 装置 204は、認証装置 204における利用者「John Smith]の利用者識別子「smith2」と 、端末識別子「ABCD-1000」と、端末装置 200に対して新規発行したセッション識別 子「IdP204-0010」とを対応づけて記憶する。 [0226] 端末装置 200は、認証装置 204から受信した認証情報を、サービス提供装置 201 に返信する（図 9のステップ S213)。

[0227] サービス提供装置 201は、認証装置 204が発行した認証情報と、図 21の表 212の 管理情報とに基づいて、端末装置 200との間で、セッション識別子「SP201-0001」で 識別されるセッションを確立していたことを確認し、セッションの移行を行う（図 7のステ ップ S110, Sl l l)。

[0228] 図 25は、セッションの移行に伴い更新された表 212の例を示す説明図である。図 2 5に示すように、セッションが移行されると、サービス提供装置 201は、表 212を、表 2 15に示すように更新する。表 215に示すように、サービス提供装置 201は、新たなセ ッシヨン識別子「SP201-0002」を端末装置 200に対して発行する。また、サービス提 供装置 201は、新規セッション識別子を含み、サービスの継続的利用を認可する旨 の返信メッセージを、端末装置 200に送信する（図 7のステップの S113)。

[0229] 実施例 2

次に、本発明の第 2の実施例を図面を参照して説明する。なお、本実施例で示す 分散認証システムは、第 2の実施の形態で示した分散認証システムに対応するもの である。

[0230] 本実施形態では、第 1の実施形態と同様に、端末装置は、無線 LANを経由してィ ンターネットに接続可能な通信手段と、携帯電話サービス事業者が運営する携帯電 話ネットワークに接続可能な通信手段とを備える。また、分散認証システムは、認証 装置として、インターネットを介してアクセス可能な認証装置と、携帯電話ネットワーク を介してアクセス可能な認証装置とを備える。

[0231] また、分散認証システムは、サービス提供装置として、インターネットを介した通信を 行うための通信手段と、携帯電話ネットワークを介した通信を行うための通信手段と の両方の通信手段を用いてサービスを提供するサービス提供装置を備える。また、 端末装置は、端末環境管理手段として、端末装置の地理的位置情報 (例えば、緯度 及び経度）を取得できる GPS機能を備える。

[0232] 端末装置は、サービス利用装置が提供するサービスを利用しょうとする際に、 GPS 機能を用いて、現在の端末装置の位置情報を取得する。例えば、端末装置は、受信 した GPS信号に基づいて、端末装置の位置情報を算出する。また、端末装置は、取 得した位置情報を端末環境情報として含むサービス利用要求メッセージを、サービス 提供装置に送信する。

[0233] サービス提供装置は、端末装置からサービス要求メッセージを受信して、受信した サービス要求メッセージに含まれる位置情報を取得 (抽出）する。サービス提供装置 の端末環境解析手段は、位置情報に基づいて、端末装置が無線 LANと携帯電話ネ ットワークとの両方を利用可能な場合、両者のうち安価なアクセスネットワークと通信 手段とを算出する。この解析結果情報を用いて、サービス提供装置は、利用者にとつ て安価なネットワークの通信事業者から認証を受けるために、認証要求メッセージを 作成する。そして、サービス提供装置は、作成した認証要求メッセージを端末装置に 送信する。

[0234] 以上、説明したように、本発明の好適な態様によれば、認証情報管理装置は、利用 者の認証に成功した旨を示す認証情報を管理し、認証情報を共有化する。また、サ 一ビス提供装置は、セッション情報を個別に管理することによって、端末装置との間 に確立したセッションを個別に管理する。セッションを個別管理できるので、複数の通 信方式を有する端末を用いたサービスの利用中に異なる通信方式でアクセスした場 合に、サービスを中断することなくセッション情報を移行することができる。

[0235] 本発明の好適な態様によれば、セッションを個別管理できるので、サービス利用中 に異なる通信方式を用いてサービスにアクセスしたとしても、端末装置がサービス提 供装置と既に確立しているセッションのセッション情報を適切に移行できる。そのため 、利用者が再認証を求められず、サービスの利用が途切れることがなレ、。従って、利 用者にとってサービス利用時の利便性を向上することができる。

[0236] 本発明の好適な態様によれば、認証情報管理装置を用レ、て認証情報を共有化す ることによって、セッション情報の移行に伴うシングルサインオンを実現でき、利用者 の認証処理の実行回数を削減できる。従って、サービス利用に伴う通信回数の低減 と通信遅延の防止を図ることができ、サービス提供の効率化を図ることができる。

[0237] 本発明の好適な態様によれば、特定の認証装置からアクセスする際にだけ有効に 更新可能で、個々のサービスを提供するサービス提供装置には通知されない端末識 別子を用いて、認証情報の管理を行う。そのため、該識別子と利用者の関連付けを 行うことが困難となるからである。さらに、端末識別子と、利用者のサービスへのァク セス履歴とを対応付けることによって、利用者の個人情報を追跡可能となってしまう 事態を防止できる。従って、利用者の個人情報を狙った攻撃に強ぐプライバシ情報 の漏洩を防止することができ、情報の秘匿性を高めることができる。

[0238] 本発明の好適な態様によれば、利用者の嗜好や端末装置が置かれている環境を 示す端末環境情報を、端末装置からサービス利用装置に送信する。そして、サービ ス利用装置は、端末環境情報に基づいて、通信手段と、認証先となる認証装置とを 選択すること力 S可能となる。そのようにすることによって、利用者にとって、最も安価で あったり、又は通信遅延が少ない通信手段を選択できる。そのため、複数の通信手 段から、利用者にとって効率的な通信手段を選択して通信を行うことができる。従つ て、利用者と利用者の端末とが置かれている環境の中で、利用者にとって最も適した 通信手段を用いてサービスを提供することができる。

[0239] 分散認証システムは、端末装置の利用者を認証する認証装置 (例えば、認証装置 4)を備え、認証装置は、端末装置の利用者を認証して認証情報を生成する認証手 段 (例えば、利用者情報管理手段 43によって実現される）を含み、認証情報管理装 置は、認証装置が生成した認証情報を記憶する認証情報記憶手段（例えば、認証 情報格納部 55によって実現される）を含むものであってもよい。

[0240] 分散認証システムにおいて、サービス提供装置は、サービス認可手段が端末装置 に対してサービスの提供を許可すると判定すると、サービスの提供を許可する旨の許 可情報 (例えば、返信メッセージ）を、通信ネットワークを介して端末装置に送信する 許可情報送信手段 (例えば、通信部 20によって実現される）を含み、許可情報送信 手段は、セッション情報記憶手段が記憶するセッション情報を含む許可情報を送信し てもよい。

[0241] 分散認証システムにおいて、端末装置は、サービス提供装置から受信した許可情 報に含まれるセッション情報を記憶するセッション情報記憶手段 (例えば、セッション 識別子格納部 35によって実現される）を含み、通信手段選択手段は、端末装置とサ 一ビス提供装置との間でセッションが確立された後に通信手段を変更するときに、セ ッシヨン情報記憶手段が記憶するセッション情報を含むサービス要求を、通信ネットヮ ークを介してサービス提供装置に送信し、サービス認可手段は、端末装置から受信 したサービス要求に含まれるセッション情報に基づレ、て、端末装置に対してサービス の提供を許可するか否力、を判定してもよレ、。

[0242] 分散認証システムにおいて、サービス提供装置は、端末装置から受信したサービス 要求にセッション情報が含まれるか否かを判定するセッション情報判定手段 (例えば 、セッション情報管理手段 24によって実現される）を含み、サービス認可手段は、セッ シヨン情報判定手段がサービス要求にセッション情報が含まれると判定すると、端末 装置に対してサービスの提供を許可すると判定してもよい。

[0243] 分散認証システムにおいて、サービス提供装置は、セッション情報判定手段がサー ビス要求にセッション情報が含まれないと判断すると、認証装置に対して認証処理の 実行を要求する旨の認証要求（例えば、認証要求メッセージ)を送信する認証要求 手段 (例えば、通信部 20によって実現される）を含み、サービス認可手段は、認証装 置によって端末装置の利用者が認証されたことに基づいて、端末装置に対してサー ビスの提供を許可し、認証手段は、サービス提供装置力 の認証要求に基づいて、 端末装置の利用者を認証してもよレ、。

[0244] 分散認証システムにおいて、認証要求手段は、認証要求を、通信ネットワークを介 して端末装置に送信し、端末装置は、サービス提供装置から認証要求を受信すると 、セッション情報を含む端末側認証要求 (例えば、セッション識別子及び端末識別子 を付加した認証要求メッセージ)を、通信ネットワークを介して認証装置に送信する端 末側認証要求手段 (例えば、通信部 30によって実現される）を含み、認証装置は、 端末装置から受信した端末側認証要求にセッション情報が含まれるか否力、を判定す る認証側セッション情報判定手段（例えば、セッション情報管理手段 44によって実現 される）を含み、認証手段は、認証側セッション判定手段が端末側認証要求にセッシ ヨン情報が含まれると判定すると、端末装置の利用者の認証に成功したと判定しても よい。

[0245] 分散認証システムにおレ、て、認証装置は、認証側セッション判定手段が端末側認 証要求にセッション情報が含まれないと判定すると、認証情報の検索を依頼する旨 の検索要求（例えば、検索要求メッセージ)を、通信ネットワークを介して認証情報管 理装置に送信する検索要求手段 (例えば、通信部 41によって実現される）を含み、 認証情報管理装置は、認証装置から検索要求を受信すると、認証情報記憶手段が 記憶する認証情報を検索する認証情報検索手段 (例えば、認証情報検索手段 53に よって実現される）を含み、認証手段は、認証情報検索手段の検索結果に基づいて 、端末装置の利用者を認証してもよい。

[0246] 分散認証システムにおレ、て、認証手段は、認証情報検索手段によって認証情報記 憶手段に既に認証情報が記憶されていると判定されると、端末装置の利用者の認証 に成功したと判定してもよい。

[0247] 分散認証システムにおレ、て、認証手段は、認証情報検索手段によって認証情報記 憶手段に既に認証情報が記憶されていると判定されると、認証情報記憶手段が記憶 する認証情報の認証強度が所定の基準 (例えば、ユーザ IDとパスワードを用いた認 証方法が指定されているかや、 IDカードや PINを用いた認証方法が指定されている か、に合致するか否力を判定し、認証情報の認証強度が所定の基準に合致すると判 定すると、端末装置の利用者の認証に成功したと判定し、認証情報の認証強度が所 定の基準に合致しないと判定すると、端末装置の利用者の認証処理を新たに実行し てもよい。

[0248] 分散認証システムにおいて、端末装置は、当該端末装置を使用する利用者の嗜好 、又は当該端末装置が置かれている環境を示す端末環境情報を取得し管理する端 末環境情報管理手段 (例えば、端末環境管理手段 70によって実現される）を含み、 サービス提供装置は、端末環境情報を解析する端末環境情報解析手段 (例えば、 端末環境解析手段 60によって実現される）を含み、通信手段選択手段は、端末環境 情報解析手段が端末環境情報を解析した結果に基づレ、て通信手段を選択し、認証 先選択手段は、端末環境情報解析手段が端末環境情報を解析した結果に基づレ、て 認証装置を選択してもよい。なお、「端末環境情報を管理する」とは、例えば、端末装 置から受信した端末環境情報を所定の格納部に登録したり更新したりすることである

[0249] 分散認証方法は、端末装置が、当該端末装置を使用する利用者の嗜好、又は当 該端末装置が置かれている環境を示す端末環境情報を取得し管理するステップと、 サービス提供装置が、端末環境情報を解析するステップと、サービス提供装置が、端 末環境情報を解析した結果に基づいて通信手段を選択するステップと、サービス提 供装置が、端末環境情報を解析した結果に基づいて認証装置を選択するステップと を含むものであってもよレ、。

[0250] 端末装置用プログラムは、コンピュータに、端末装置を使用する利用者の嗜好、又 は端末装置が置かれている環境を示す端末環境情報を取得し管理する端末環境情 報管理処理を実行させるためのものであってもよい。

産業上の利用可能性

[0251] 本発明は、インターネットや携帯電話網、固定電話網、無線 LAN、 WAN等のネッ トワーク上で構築される分散システムにおける分散認証システムに適用できる。本発 明は、分散認証システムをコンピュータを用いて実現するためのプログラムの用途に 適用できる。

Claims

請求の範囲

[1] 利用者の認証を分散して行う分散認証システムであって、

端末装置 (3)と、

前記端末装置に所定のサービスを提供するサービス提供装置 (2)と、 前記端末装置の利用者の認証に成功した旨を示す認証情報を管理する認証情報 管理装置 (5)とを備え、

前記端末装置は、

複数の通信手段（30)と、

サービスの提供を要求する旨のサービス要求を、前記複数の通信手段のうちのい ずれ力を選択して、通信ネットワークを介して前記サービス提供装置に送信する通信 手段選択手段（31)とを含み、

前記サービス提供装置は、

前記端末装置と当該サービス提供装置との間でセッションを確立するときに、前記 端末装置と当該サービス提供装置との間で確立されるセッションを示すセッション情 報を記憶するセッション情報記憶手段（27)と、

前記セッション情報記憶手段が記憶するセッション情報を管理するセッション情報 管理手段と、

前記端末装置が前記セッションを確立したときに用いた通信手段と異なる通信手段 に切り替えたときに、前記セッション情報管理手段が管理するセッション情報に基づ いて、前記端末装置に対してサービスの提供を許可するか否力 ^判定するサービス 認可手段（24)とを含む

ことを特徴とする分散認証システム。

[2] 端末装置（3)の利用者を認証する認証装置 (4)を備え、

前記認証装置は、前記端末装置の利用者を認証して前記認証情報を生成する認 証手段 (43)を含み、

認証情報管理装置（5)は、前記認証装置が生成した認証情報を記憶する認証情 報記憶手段（55)を含む

請求項 1記載の分散認証システム。 [3] サービス提供装置 (2)は、サービス認可手段（24)が前記端末装置に対してサービ スの提供を許可すると判定すると、サービスの提供を許可する旨の許可情報を、通 信ネットワーク（1)を介して前記端末装置（3)に送信する許可情報送信手段（20)を 含み、

前記許可情報送信手段は、セッション情報記憶手段（27)が記憶するセッション情 報を含む許可情報を送信する

請求項 1又は請求項 2記載の分散認証システム。

[4] 端末装置（3)は、サービス提供装置（2)から受信した許可情報に含まれるセッショ ン情報をセッション情報記憶手段（35)に記憶し、

通信手段選択手段 (31)は、前記端末装置と前記サービス提供装置との間でセッ シヨンが確立された後に通信手段を変更するときに、前記セッション情報記憶手段（3 5)が記憶するセッション情報を含むサービス要求を、通信ネットワーク（1)を介して前 記サービス提供装置（2)に送信し、

サービス認可手段（24)は、前記端末装置から受信したサービス要求に含まれるセ ッシヨン情報に基づいて、前記端末装置に対してサービスの提供を許可するか否か を判定する

請求項 3記載の分散認証システム。

[5] サービス認可手段（24)は、サービス提供装置（2)は、端末装置（3)から受信した サービス要求にセッション情報が含まれるか否かを判定し、サービス要求にセッション 情報が含まれると判定すると、前記端末装置（3)に対してサービスの提供を許可する と判定する

請求項 4記載の分散認証システム。

[6] サービス提供装置（2)は、サービス認可手段（24)がサービス要求にセッション情報 が含まれないと判断すると、認証装置 (4)に対して認証処理の実行を要求する旨の 認証要求を送信する認証要求手段（20)を含み、

サービス認可手段（24)は、前記認証装置 (4)によって端末装置（3)の利用者が認 証されたことに基づいて、前記端末装置に対してサービスの提供を許可し、

認証手段（5)は、前記サービス提供装置（2)からの認証要求に基づいて、前記端 末装置の利用者を認証する

請求項 5記載の分散認証システム。

[7] 認証要求手段（20)は、認証要求を、通信ネットワーク（1)を介して端末装置（3)に 送信し、

前記端末装置 (3)は、サービス提供装置 (2)から前記認証要求を受信すると、セッ シヨン情報を含む端末側認証要求を、通信ネットワークを介して認証装置に送信する 端末側認証要求手段（30)を含み、

前記認証装置 (4)は、前記端末装置から受信した端末側認証要求にセッション情 報が含まれるか否かを判定する認証側セッション情報判定手段 (44)を含み、 認証手段 (43)は、前記認証側セッション判定手段が端末側認証要求にセッション 情報が含まれると判定すると、前記端末装置の利用者の認証に成功したと判定する 請求項 6記載の分散認証システム。

[8] 認証装置 (4)は、認証側セッション判定手段 (44)が端末側認証要求にセッション 情報が含まれないと判定すると、認証情報の検索を依頼する旨の検索要求を、通信 ネットワークを介して認証情報管理装置に送信する検索要求手段 (41)を含み、 前記認証情報管理装置（5)は、前記認証装置から検索要求を受信すると、認証情 報記憶手段（55)が記憶する認証情報を検索する認証情報検索手段（53)を含み、 認証手段 (43)は、前記認証情報検索手段の検索結果に基づいて、端末装置（3) の利用者を認証する

請求項 7記載の分散認証システム。

[9] 認証手段 (43)は、認証情報検索手段（53)によって認証情報記憶手段（55)に既 に認証情報が記憶されていると判定されると、端末装置（3)の利用者の認証に成功 したと判定する請求項 8記載の分散認証システム。

[10] 認証手段 (43)は、

認証情報検索手段（53)によって認証情報記憶手段（55)に既に認証情報が記憶 されていると判定されると、前記認証情報記憶手段が記憶する認証情報の認証強度 が所定の基準に合致するか否かを判定し、

前記認証情報の認証強度が所定の基準に合致すると判定すると、端末装置（3)の 利用者の認証に成功したと判定し、

前記認証情報の認証強度が所定の基準に合致しないと判定すると、前記端末装置 の利用者の認証処理を新たに実行する

請求項 8記載の分散認証システム。

利用者の認証を分散して行う分散認証システムであって、

相互にネットワークを介して接続されたサービス提供装置（6)と、端末装置（7)と、 認証装置 (4)と、認証情報管理装置 (5)とを備え、

前記サービス提供装置 (6)は、

ネットワークを介して所定のサービスを提供するサービス提供手段（21)と、 前記端末装置（7)又は前記認証装置 (4)と、所定の通信方式を用いて通信する通 信手段 (20)と、

通信対象の端末装置又は認証装置に応じて、通信手段を選択する通信手段選択 手段（22)と、

前記サービスを利用する端末装置の利用者に対する認証を要求する認証装置を 選択する認証先選択手段（23)と、

利用者の認証に成功した旨を示す認証情報に基づいて、利用者に対して前記サ 一ビスを提供するためのセッション情報を管理するセッション情報管理手段（24)と、 利用者に対して前記サービスの提供を行うための利用者情報を管理する利用者情 報管理手段（25)とを含み、

前記端末装置（7)は、

前記サービス提供装置（6)又は前記認証装置 (4)と、所定の通信方式を用いて通 信する通信手段 (30)と、

通信対象のサービス提供装置又は端末装置に応じて、通信手段を選択する通信 手段選択手段（31)と、

前記認証装置 (4)からの認証処理要求に応じて、所定の証明情報を送信すること によって、利用者が本人であることを証明する認証処理手段（32)と、

前記サービス提供装置又は前記認証装置が発行する、当該端末装置と前記サー ビス提供装置との間で確立されるセッションを識別するためのセッション識別子を管 理するセッション識別子管理手段（33)と、

前記認証情報管理装置（5)が発行する、当該端末装置を識別するための端末識 別子を管理する端末識別子管理手段（34)とを含み、

前記認証装置 (4)は、

前記サービス提供装置、前記端末装置、又は前記認証情報管理装置と通信する 通信手段 (41)と、

管理対象の利用者の個人情報に基づいて、利用者を認証する利用者情報管理手 段 (43)と、

前記利用者情報管理手段による利用者の認証結果に基づいて認証情報を作成し 、作成した認証情報を前記認証情報管理装置（5)に登録し、前記認証情報管理装 置が発行した端末識別子に基づいて、前記認証情報管理装置に検索要求を行って 認証情報を取得する認証情報管理手段 (42)と、

前記認証を行った利用者の端末装置（7)に対してセッション識別子を発行し、発行 したセッション識別子を管理するセッション情報管理手段 (44)とを含み、

前記認証情報管理装置（5)は、

前記認証装置と通信する通信手段（51)と、

前記認証装置 (4)が発行する、利用者の認証に成功した旨を示す認証情報を登 録する認証情報登録手段（52)と、

前記端末識別子に基づレ、て、利用者に対応する認証情報を検索して取得する認 証情報検索手段（53)と、

前記認証情報登録手段が認証情報を登録する際に、利用者が利用する端末装置 (7)に対して端末識別子を発行する端末識別子管理手段（54)とを含む

ことを特徴とする分散認証システム。

端末装置 (7)は、当該端末装置を使用する利用者の嗜好、又は当該端末装置が 置かれてレ、る環境を示す端末環境情報を取得し管理する端末環境情報管理手段（ 70)を含み、

サービス提供装置 (6)は、前記端末環境情報を解析する端末環境情報解析手段（ 60)を含み、 通信手段選択手段（31)は、前記端末環境情報解析手段が端末環境情報を解析 した結果に基づレ、て通信手段（30)を選択し、

認証先選択手段（23)は、前記端末環境情報解析手段が端末環境情報を解析し た結果に基づレ、て認証装置 (4)を選択する

請求項 11記載の分散認証システム。

[13] 端末装置（7)の利用者の認証に成功した旨を示す認証情報を管理する認証情報 管理装置（5)を備え、利用者の認証を分散して行う分散認証システムにおける、端末 装置に所定のサービスを提供するサービス提供装置 (6)であって、

前記端末装置と当該サービス提供装置との間でセッションを確立するときに、前記 端末装置と当該サービス提供装置との間で確立されるセッションを示すセッション情 報を記憶するセッション情報記憶手段（27)と、

前記セッション情報記憶手段が記憶するセッション情報を管理するセッション情報 管理手段（24)と、

前記端末装置（7)が前記セッションを確立したときに用いた通信手段と異なる通信 手段に切り替えたときに、前記セッション情報管理手段（24)が管理するセッション情 報に基づいて、前記端末装置に対してサービスの提供を許可するか否力を判定する サービス認可手段（24)とを

備えたことを特徴とするサービス提供装置。

[14] 利用者の認証を分散して行う分散認証システムにおける、端末装置（3)の利用者 を認証する認証装置 (4)が前記端末装置の利用者の認証に成功した旨を示す認証 情報を管理する認証情報管理装置（5)であって、

前記認証情報を記憶する認証情報記憶手段（55)と、

認証情報の検索を依頼する旨の検索要求を、通信ネットワーク（1)を介して前記認 証装置 (4)から受信する検索要求受信手段 (51)と、

前記検索要求受信手段が検索要求を受信すると、認証情報記憶手段が記憶する 認証情報を検索する認証情報検索手段（53)とを

備えたことを特徴とする認証情報管理装置。

[15] 利用者の認証を分散して行う分散認証方法であって、 認証情報管理装置（5)で、端末装置（3)の利用者の認証に成功した旨を示す認証 情報を管理するステップと、

前記端末装置（3)で、サービスの提供を要求する旨のサービス要求を、複数の通 信手段のうちのいずれ力を用いて、通信ネットワーク（1)を介してサービス提供装置（ 2)に送信するステップと、

前記サービス提供装置 (2)で、前記端末装置と当該サービス提供装置との間でセ ッシヨンを確立するときに、前記端末装置と当該サービス提供装置との間で確立され るセッションを示すセッション情報を生成し記憶するステップと、

前記サービス提供装置（2)で、生成した前記セッション情報を管理するステップと、 前記サービス提供装置 (2)で、前記端末装置が前記セッションを確立したときに用 いた通信手段と異なる通信手段に切り替えたときに、前記管理するセッション情報に 基づいて、前記端末装置に対してサービスの提供を許可するか否力 ^判定するステ ップとを含む

ことを特徴とする分散認証方法。

相互にネットワークを介して接続されたサービス提供装置と、端末装置と、認証装置 と、認証情報管理装置とを備えた分散認証システムにおける、利用者の認証を分散 して行う分散認証方法であって、

前記サービス提供装置（2)で、ネットワークを介して所定のサービスを提供するステ ップと、

前記サービス提供装置 (2)で、前記端末装置又は前記認証装置と、所定の通信方 式を用いて通信するステップと、

前記サービス提供装置（2)で、通信対象の端末装置又は認証装置に応じて、通信 手段を選択するステップと、

前記サービス提供装置 (2)で、前記サービスを利用する端末装置の利用者に対す る認証を要求する認証装置を選択するステップと、

前記サービス提供装置（2)で、利用者の認証に成功した旨を示す認証情報に基づ いて、利用者に対して前記サービスを提供するためのセッション情報を管理するステ ップと、 前記サービス提供装置（2)で、利用者に対して前記サービスの提供を行うための 利用者情報を管理するするステップと、

前記端末装置（3)と、前記サービス提供装置又は前記認証装置との間で、所定の 通信方式を用いて通信するステップと、

前記端末装置 (3)で、通信対象のサービス提供装置又は端末装置に応じて、通信 手段を選択するステップと、

前記端末装置（3)から、前記認証装置からの認証処理要求に応じて、所定の証明 情報を送信することによって、利用者が本人であることを証明するステップと、 前記端末装置 (3)で、前記サービス提供装置又は前記認証装置が発行する、当該 端末装置と前記サービス提供装置との間で確立されるセッションを識別するためのセ ッシヨン識別子を管理するステップと、

前記端末装置 (3)で、前記認証情報管理装置が発行する、当該端末装置を識別 するための端末識別子を管理するステップと、

前記認証装置 (4)と、前記サービス提供装置、前記端末装置、又は前記認証情報 管理装置との間で通信するステップと、

前記認証装置 (4)で、管理対象の利用者の個人情報に基づいて、利用者を認証 するステップと、

前記認証装置 (4)で、前記利用者の認証結果に基づいて認証情報を作成し、作成 した認証情報を前記認証情報管理装置に登録し、前記認証情報管理装置（5)が発 行した端末識別子に基づレ、て、前記認証情報管理装置に検索要求を行って認証情 報を取得するステップと、

前記認証装置 (4)で、前記認証を行った利用者の端末装置に対してセッション識 別子を発行し、発行したセッション識別子を管理するステップと、

前記認証情報管理装置（5)と、前記認証装置との間で通信するステップと、 前記認証情報管理装置（5)で、前記認証装置が発行する、利用者の認証に成功 した旨を示す認証情報を登録するステップと、

前記認証情報管理装置（5)で、前記端末識別子に基づいて、利用者に対応する 認証情報を検索して取得するステップと、 前記認証情報管理装置（5)で、前記認証情報を登録する際に、利用者が利用する 端末装置に対して端末識別子を発行するステップとを含む

ことを特徴とする分散認証方法。

[17] 端末装置 (7)で、当該端末装置を使用する利用者の嗜好、又は当該端末装置が 置かれている環境を示す端末環境情報を取得し管理するステップと、

サービス提供装置 (6)で、前記端末環境情報を解析するステップと、

前記サービス提供装置 (6)で、前記端末環境情報を解析した結果に基づいて通信 手段を選択するステップと、

前記サービス提供装置 (6)で、前記端末環境情報を解析した結果に基づレ、て認証 装置を選択するステップとを含む

請求項 16記載の分散認証方法。

[18] 端末装置の利用者の認証に成功した旨を示す認証情報を管理する認証情報管理 装置を備え、利用者の認証を分散して行う分散認証システムにおける、端末装置に 所定のサービスを提供するサービス提供装置を構成するコンピュータ上で作動する プログラムであって、

前記端末装置（3)と当該サービス提供装置 (2)との間でセッションを確立するときに 、前記端末装置と当該サービス提供装置との間で確立されるセッションを示すセッシ ヨン情報を生成し記憶する処理と、

記憶した前記セッション情報を管理する処理と、

前記端末装置（3)が前記セッションを確立したときに用いた通信手段と異なる通信 手段に切り替えたときに、前記管理するセッション情報に基づいて、前記端末装置に 対してサービスの提供を許可するか否力、を判定する処理とを

規定するプログラム。

[19] 端末装置の利用者の認証に成功した旨を示す認証情報を管理する認証情報管理 装置を備え、利用者の認証を分散して行う分散認証システムにおける、端末装置に 所定のサービスを提供するサービス提供装置を構成するコンピュータ上で作動する プログラムであって、

ネットワーク（1)を介して所定のサービスを提供するサービス提供処理と、 前記端末装置（3)、又は前記端末装置の利用者を認証する認証装置 (4)と、所定 の通信方式を用いて通信する通信処理と、

通信対象の端末装置又は認証装置端末に応じて、通信手段を選択する通信手段 選択処理と、

前記サービスを利用する端末装置の利用者に対する認証を要求する認証装置を 選択する認証先選択処理と、

利用者の認証に成功した旨を示す認証情報に基づいて、利用者に対して前記サ 一ビスを提供するためのセッション情報を管理するセッション情報管理処理と、 利用者に対して前記サービスの提供を行うための利用者情報を管理する利用者情 報管理処理とを

規定するプログラム。

[20] 端末装置を使用する利用者の嗜好、又は前記端末装置が置かれている環境を示 す端末環境情報を解析する端末環境情報解析処理と、

通信手段選択処理で、前記端末環境情報を解析した結果に基づレ、て通信手段を 選択する処理と、

認証先選択処理で、前記端末環境情報を解析した結果に基づレ、て認証装置を選 択する処理とを

更に規定する請求項 19記載のプログラム。

[21] 端末装置の利用者の認証に成功した旨を示す認証情報を管理する認証情報管理 装置を備え、利用者の認証を分散して行う分散認証システムにおける端末装置を構 成するコンピュータ上で作動するプログラムであって、

前記端末装置に所定のサービスを提供するサービス提供装置、又は前記端末装 置の利用者を認証する認証装置と、所定の通信方式を用いて通信する通信処理と、 通信対象のサービス提供装置又は端末装置に応じて、通信手段を選択する通信 手段選択処理と、

前記認証装置からの認証処理要求に応じて、所定の証明情報を送信することによ つて、利用者が本人であることを証明する認証処理と、

前記サービス提供装置又は前記認証装置が発行する、前記端末装置と前記サー ビス提供装置との間で確立されるセッションを識別するためのセッション識別子を管 理するセッション識別子管理処理と、

前記認証情報管理装置が発行する、前記端末装置を識別するための端末識別子 を管理する端末識別子管理処理とを

規定することを特徴とするプログラム。

[22] 端末装置を使用する利用者の嗜好、又は前記端末装置が置かれている環境を示 す端末環境情報を取得し管理する端末環境情報管理処理を

更に規定する請求項 21記載のプログラム。

[23] 端末装置の利用者の認証に成功した旨を示す認証情報を管理する認証情報管理 装置を備え、利用者の認証を分散して行う分散認証システムにおける、前記端末装 置の利用者を認証する認証装置上で作動するプログラムであって、

前記端末装置に所定のサービスを提供するサービス提供装置、前記端末装置、又 は前記認証情報管理装置と通信する通信処理と、

管理対象の利用者の個人情報に基づいて、利用者を認証する利用者情報管理処 理と、

前記利用者の認証結果に基づレ、て認証情報を作成し、作成した認証情報を前記 認証情報管理装置に登録し、前記認証情報管理装置が発行した端末識別子に基 づいて、前記認証情報管理装置に検索要求を行って認証情報を取得する認証情報 管理処理と、

前記認証を行った利用者の端末装置に対してセッション識別子を発行し、発行した セッション識別子を管理するセッション情報管理処理とを

規定することを特徴とするプログラム。

[24] 利用者の認証を分散して行う分散認証システムにおける、端末装置の利用者を認 証する認証装置が前記端末装置の利用者の認証に成功した旨を示す認証情報を 管理する認証情報管理装置を構成するコンピュータ上で作動するプログラムであつ て、

前記認証情報を記憶する処理と、

認証情報の検索を依頼する旨の検索要求を、通信ネットワークを介して前記認証 装置から受信する処理と、

前記検索要求を受信すると、記憶する認証情報を検索する処理とを

規定することを特徴とするプログラム。

利用者の認証を分散して行う分散認証システムにおける、端末装置の利用者を認 証する認証装置が前記端末装置の利用者の認証に成功した旨を示す認証情報を 管理する認証情報管理装置を構成するコンピュータ上で作動するプログラムであつ て、

前記認証装置と通信する通信処理と、

前記認証装置が発行する、利用者の認証に成功した旨を示す認証情報を登録す る認証情報登録処理と、

前記端末識別子に基づレ、て、利用者に対応する認証情報を検索して取得する認 証情報検索処理と、

前記認証情報を登録する際に、利用者が利用する端末装置に対して端末識別子 を発行する端末識別子管理処理とを

規定することを特徴とする情報管理装置用プログラム。