サービスシステムおよびサービスシステム制御方法
【課題】サービス事業者装置において、信用性の高いサイトアクセス制御を実現することを課題とする。
【解決手段】ネットワーク事業者装置は、利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶し、サービス事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報に対応付けられた利用者情報を用いて利用者認証を行って得られる利用者認証結果を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信し、サービス事業者装置は、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いてサイトアクセスを制御する。
【解決手段】ネットワーク事業者装置は、利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶し、サービス事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報に対応付けられた利用者情報を用いて利用者認証を行って得られる利用者認証結果を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信し、サービス事業者装置は、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いてサイトアクセスを制御する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムおよびサービスシステム制御方法に関する。
【背景技術】
【0002】
従来より、インターネットの普及や回線速度の高速化に伴い、サービス提供事業者(SP:Service Provider)は、各種アプリケーションサービス(電子メール、音楽コンテンツ、映像コンテンツ、ショッピング、オークションなど)を利用者に提供している。このような各種アプリケーションサービスを、サービス提供事業者が利用者に提供するためには、まず、ネットワーク事業者が、利用者の利用者登録を行うことが前提となる。ここで、ネットワーク事業者とは、例えば、xDSL(x Digital Subscriber Line)や光ファイバーなどの固定ネットワークによるアクセスサービスを提供する事業者、無線LAN(Local Area Network)によるアクセスサービスを提供する事業者、その他インターネットへのアクセスサービスを提供する事業者(ISP:Internet Services Provider)などのことである。
【0003】
ネットワーク事業者が行う利用者登録について具体的に説明すると、ネットワーク事業者は、運転免許証などの身分証明書とともに利用者によってオフラインで提示された利用者情報(例えば、利用者の氏名、住所、クレジットカード番号など)を取得し、身分証明書による利用者の本人確認を行った上で利用者登録し、利用者のアカウントおよびパスワードの払い出しを行うのが通常である。こうして利用者登録を完了すると、ネットワーク事業者は、利用者から送信されたアカウントとパスワードとを利用者認証することによって、利用者によるインターネットなどのネットワーク利用を可能にする。
【0004】
次に、各種アプリケーションサービスを、サービス提供事業者が利用者に提供するためには、上記したようなネットワーク事業者による利用者登録が完了し、利用者によるインターネットなどのネットワーク利用が可能になった上で、サービス提供事業者が、利用者の利用者登録(もしくは利用者認証)を行わなければならない。サービス提供事業者が行う利用者登録について具体的に説明すると、サービス提供事業者は、利用者情報(例えば、利用者の氏名、住所、クレジットカード番号など)を、利用者からオンラインで送信されることで取得し、取得した利用者情報に基づいて利用者登録を行う。
【0005】
例えば、特許文献1では、サービス提供事業者とは異なる第三者認証機関としての役割を持つ認証サーバが利用者登録(もしくは、利用者認証)を行い、その結果をサービス提供事業者に提供することで、サービス提供事業者が各種アプリケーションサービスを利用者に提供する手法が開示されている。
【0006】
【特許文献1】特開2004−355073号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
ところで、上記した従来技術では、以下に説明するように、サービス事業者装置において、信用性の高いサイトアクセス制御(例えば、利用者登録、利用者認証など)を実現することができないという課題がある。すなわち、サイトアクセス制御のひとつであるサービス事業者における利用者登録についていえば、サービス提供事業者は、サービス提供事業者装置または第三者認証機関としての役割を持つ認証サーバにおいて、運転免許証などの身分証明書とともに利用者によってオフラインで提示された利用者情報に基づいて、利用者の本人確認を行った上で利用者登録を行うわけではないことから、サービス事業者装置において、信用性の高い利用者登録を実現することができない。
【0008】
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することが可能なサービスシステムおよびサービスシステム制御方法を提供することを目的とする。
【課題を解決するための手段】
【0009】
上述した課題を解決し、目的を達成するため、請求項1に係る発明は利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムであって、前記ネットワーク事業者装置は、前記ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶する利用者情報記憶手段と、前記サービス事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得する回線情報取得手段と、前記回線情報取得手段によって取得された回線情報に対応付けられた利用者情報を前記利用者情報記憶手段から取得し、当該利用者情報を用いて前記利用者認証を行って得られる利用者認証結果を、前記利用者装置を経由するリダイレクト通信によって前記サービス事業者装置に送信する利用者認証結果送信手段と、前記サービス事業者装置は、前記利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求を前記ネットワーク事業者装置に送信する利用者認証要求送信手段と、前記ネットワーク事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いて前記サイトアクセスを制御するアクセス制御手段と、を備えたことを特徴とする。
【0010】
また、請求項2に係る発明は、上記の発明において、前記利用者認証結果送信手段は、前記利用者情報に加えて、前記回線情報を用いて前記利用者認証を行って得られる利用者認証結果を前記サービス事業者装置に送信することを特徴とする。
【0011】
また、請求項3に係る発明は、上記の発明において、前記利用者認証要求送信手段は、前記利用者装置の利用者認証を要求する利用者認証要求とともに、前記利用者装置と前記サービス事業者装置との間における契約管理を要求する契約管理要求をさらに送信し、前記利用者情報記憶手段は、前記サービス事業者装置から前記契約管理要求を受信した場合には、前記利用者情報に対応付けて、前記利用者装置と前記サービス事業者装置との間における契約に関する契約情報を記憶することを特徴とする。
【0012】
また、請求項4に係る発明は、上記の発明において、前記利用者認証結果送信手段は、前記利用者認証結果に加えて、当該利用者認証結果の有効期限を示す有効期限情報を前記サービス事業者装置に送信し、前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者認証結果に加えて前記有効期限情報を受信した場合に、当該有効期限情報に示される有効期限を満たすことを条件に、前記利用者認証結果を用いて前記サイトアクセスを制御することを特徴とする。
【0013】
また、請求項5に係る発明は、上記の発明において、前記利用者認証結果送信手段は、前記利用者認証結果に加えて、前記ネットワーク事業者装置が署名する電子署名を前記サービス事業者装置に送信し、前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者認証結果に加えて前記電子署名を受信した場合に、当該電子署名が正当であることを条件に、前記利用者認証結果を用いて前記サイトアクセスを制御することを特徴とする。
【0014】
また、請求項6に係る発明は、上記の発明において、前記利用者認証結果送信手段は、前記サービス事業者装置から前記利用者認証要求に加えて、当該サービス事業者装置が署名する電子署名を受信した場合に、当該電子署名が正当であることを条件に、前記利用者認証結果を当該サービス事業者装置に送信し、前記利用者認証要求送信手段は、前記利用者認証要求に加えて、前記電子署名を前記ネットワーク事業者装置に送信することを特徴とする。
【0015】
また、請求項7に係る発明は、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムを制御するサービスシステム制御方法であって、前記ネットワーク事業者装置は、前記ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶する利用者情報記憶工程と、前記サービス事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得する回線情報取得工程と、前記回線情報取得工程によって取得された回線情報に対応付けられた利用者情報を前記利用者情報記憶工程から取得し、当該利用者情報を用いて前記利用者認証を行って得られる利用者認証結果を、前記利用者装置を経由するリダイレクト通信によって前記サービス事業者装置に送信する利用者認証結果送信工程と、前記サービス事業者装置は、前記利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求を前記ネットワーク事業者装置に送信する利用者認証要求送信工程と、前記ネットワーク事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いて前記サイトアクセスを制御するアクセス制御工程と、を含んだことを特徴とする。
【発明の効果】
【0016】
請求項1または7の発明によれば、ネットワーク事業者装置は、ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶し、サービス事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得し、取得された回線情報に対応付けられた利用者情報を取得し、当該利用者情報を用いて利用者認証を行って得られる利用者認証結果を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信し、サービス事業者装置は、利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求をネットワーク事業者装置に送信し、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いてサイトアクセスを制御するので、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することが可能である。
【0017】
また、ネットワーク事業者にて認証処理を行う結果、サービス事業者装置で認証処理を行う必要がなく、サービス事業者装置の処理負荷を軽減することが可能である。さらに、サービス事業者装置で利用者情報(例えば、契約情報など)を管理する必要がないので、サービス事業者装置における利用者情報管理に関するコストや処理負荷を削減することが可能である。
【0018】
また、請求項2の発明によれば、利用者認証情報に加えて、回線情報を用いて利用者認証を行って得られる利用者認証結果をサービス事業者装置に送信するので、利用者情報のみを用いてサイトアクセスを制御する手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を高度に実現することが可能になる。
【0019】
すなわち、利用者装置が接続する回線に関する回線情報を用いて、利用者装置が接続する場所や回線速度などを特定できることから、例えば、利用者装置が接続する場所や回線速度によってはサイトアクセスを許可/拒否を決定し、あるいは、場所や回線速度に応じて提供するサービスを選択することなど、サービス事業者装置において、信用性の高いサイトアクセス制御を高度に実現することが可能になる。具体的に例を挙げて説明すると、回線情報によって特定されるネットワークへの接続場所が、「自宅」以外の場所の場合には、オークションサービスの提供を許可しないことや、回線情報によって特定される回線速度が高速な場合には、高解像度の映像コンテンツサービスを提供することなどが可能になる。
【0020】
また、請求項3の発明によれば、利用者装置の利用者認証を要求する利用者認証要求とともに、利用者装置とサービス事業者装置との間における契約管理を要求する契約管理要求をさらに送信し、サービス事業者装置から契約管理要求を受信した場合には、利用者情報に対応付けて、利用者装置とサービス事業者装置との間における契約に関する契約情報を記憶するので、サービス事業者装置における処理負荷をさらに軽減することが可能であるとともに、サービス事業者装置における利用者情報管理に関するコストや処理負荷をさらに削減することが可能である。
【0021】
また、請求項4の発明によれば、利用者認証結果に加えて、当該利用者認証結果の有効期限を示す有効期限情報をサービス事業者装置に送信し、ネットワーク事業者装置から利用者認証結果に加えて有効期限情報を受信した場合に、当該有効期限情報に示される有効期限を満たすことを条件に、利用者認証結果を用いてサイトアクセスを制御するので、利用者情報をサービス事業者装置に送信する際に有効期限情報を送信しない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。
【0022】
すなわち、利用者情報をサービス事業者装置に送信する際に有効期限情報を送信しない手法では、例えば、利用者装置を経由するリダイレクト通信において、利用者装置が利用者情報その他の制御情報などを不正に取得し、不正に情報を取得した利用者装置が不正にサイトアクセスするおそれなどがあるが、有効期限情報(例えば、有効期限は、数秒、数十秒といったオーダーで設定される)を送信することで、これらのおそれを回避できることから、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。
【0023】
また、請求項5の発明によれば、利用者認証結果に加えて、ネットワーク事業者が署名する電子署名をサービス事業者装置に送信し、ネットワーク事業者装置から利用者認証結果に加えて電子署名を受信した場合に、当該電子署名が正当であることを条件に、利用者認証結果を用いてサイトアクセスを制御するので、ネットワーク事業者装置が利用者認証要求とともに電子署名を送信しない場合に比べて、サービス事業者装置において、信用性の高いサイトアクセス制御をより安全に実現することが可能になる。例えば、電子署名を送信しない場合、本当に正当なネットワーク事業者装置が送信した利用者認証要求であるか否かを判定することができないが、電子署名を送信した場合では、正当なサービス事業者が送信した利用者認証要求であるか否かを判定することができる。
【0024】
また、請求項6の発明によれば、サービス事業者装置から利用者認証要求に加えて、当該サービス事業者装置が署名する電子署名を受信した場合に、当該電子署名が正当であることを条件に、利用者認証結果を当該サービス事業者装置に送信し、利用者認証要求に加えて、電子署名をネットワーク事業者装置に送信するので、サービス事業者装置が利用者認証要求とともに電子署名を送信しない場合に比べて、サービス事業者装置において、信用性の高いサイトアクセス制御をより安全に実現することが可能になる。例えば、電子署名を送信しない場合、本当に正当なサービス事業者装置が送信した利用者認証要求であるか否かを判定することができないが、電子署名を送信した場合では、正当なサービス事業者が送信した利用者認証要求であるか否かを判定することができる。
【発明を実施するための最良の形態】
【0025】
以下に添付図面を参照して、この発明に係るサービスシステムの実施例を詳細に説明する。なお、以下の実施例で用いる主要な用語、実施例1に係るサービスシステムの概要および特徴、実施例1に係るサービスシステムの構成および処理の手順、実施例1の効果を順に説明し、続いて、他の実施例について説明する。
【実施例1】
【0026】
[用語の説明]
まず最初に、以下の実施例で用いる主要な用語を説明する。「利用者装置」とは、パーソナルコンピュータや携帯電話などで構成され、利用者によって操作される装置のことである。具体的には、「利用者装置」は、インターネットなどのネットワークに接続し、ネットワーク上で公開されている各種アプリケーションサービス(例えば、電子メール、音楽コンテンツ、映像コンテンツ、ショッピング、オークションなど)の情報を、ネットワーク上の他のコンピュータから受信してモニタやスピーカーなどに出力したり、利用者によって入力された情報を、ネットワーク上の他のコンピュータに送信したりすることで、各種アプリケーションサービスを利用者に提供する。
【0027】
ところで、この「利用者装置」が、ネットワーク上の各種アプリケーションサービスの情報を他のコンピュータと送受信するためには、「ネットワーク事業者装置」によって、ネットワーク接続を制御されることと、「サービス事業者装置」によって、サイトアクセスを制御されることとが必要になる。
【0028】
具体的に説明すると、「ネットワーク事業者装置」とは、汎用的なコンピュータなどで構成され、ネットワーク事業者によって運営される装置のことである。また、ネットワーク事業者とは、利用者登録した利用者によって操作される「利用者装置」に対して、インターネットなどのネットワークに接続するための回線を提供する事業者のことである。例えば、ネットワーク事業者とは、xDSL(x Digital Subscriber Line)や光ファイバーなどの固定ネットワークによるアクセスサービスを提供する事業者、無線LAN(Local Area Network)によるアクセスサービスを提供する事業者、その他インターネットへのアクセスサービスを提供する事業者(ISP:Internet Services Provider)などのことであり、「利用者装置」は、まず、ネットワーク事業者によって運営される「ネットワーク事業者装置」に利用者登録されて、ネットワーク接続を制御されることで(インターネットなどのネットワークに接続するための回線への接続を許可されることで)、インターネットなどのネットワークに接続できるようになる。なお、ネットワーク上には、多数のネットワーク事業者が存在し、多数の「ネットワーク事業者装置」が存在するが、「利用者装置」は、任意の「ネットワーク事業者装置」によってネットワーク接続を制御されることで、インターネットなどのネットワークに接続する。
【0029】
こうして、「ネットワーク事業者装置」にネットワーク接続を制御されることで、インターネットなどのネットワークに接続できるようになった「利用者装置」は、次に、各種アプリケーションサービスの提供を受けるために、「サービス事業者装置」に利用者登録(もしくは利用者認証)されなければならない。「サービス事業者装置」とは、汎用的なコンピュータなどで構成され、サービス提供事業者によって運営される装置のことである。また、サービス提供事業者とは、利用者登録(もしくは利用者認証)した利用者によって操作される「利用者装置」に対して、各種アプリケーションサービスを提供する事業者のことである。例えば、サービス提供事業者とは、ネットワーク上で各種アプリケーションサービス(例えば、電子メール、音楽コンテンツ、映像コンテンツ、ショッピング、オークションなど)を提供する事業者などのことであり、「利用者装置」は、サービス提供事業者によって運営される「サービス事業者装置」に利用者登録(もしくは利用者認証)されて、サイトアクセスを制御されることで、各種アプリケーションサービスの提供を受けることができるようになる。なお、「ネットワーク事業者装置」同様、ネットワーク上には、多数のサービス提供事業者が存在し、多数の「サービス事業者装置」が存在するが、「利用者装置」は、任意の「サービス事業者装置」によってサイトアクセスを制御されることで、任意のアプリケーションサービスの提供を受ける。
【0030】
ここで、「サイトアクセス」とは、例えば、利用者登録していない利用者によって操作される「利用者装置」が「サービス事業者装置」に接続した際に、「サービス事業者装置」において利用者登録を行うことや、利用者登録した利用者によって操作される「利用者装置」が接続した際に、利用者認証を行うことで「利用者装置」にアプリケーションサービスを提供することや、利用者登録していない利用者によって操作される「利用者装置」が接続した際に、利用者登録を行わずにワンタイムで利用者認証を行うことで「利用者装置」にアプリケーションサービスを提供することなどを総称したものである。「サービス事業者装置」が提供するアプリケーションサービスの種類や利用局面などに応じて、「サイトアクセス」を制御する制御内容は異なってくる。
【0031】
このように、「ネットワーク事業者装置」が「利用者装置」によるネットワーク接続を制御し、「サービス事業者装置」が「利用者装置」によるサイトアクセスを制御するシステムを、「サービスシステム」というが、「サービスシステム」においては、なりすましやクレジットカード番号の悪用など、さまざまな脅威が存在する。このため、「サービスシステム」においては、信用性の高いサイトアクセス制御をいかにして実現するかが、特に重要な点になる。
【0032】
[実施例1に係るサービスシステムの概要および特徴]
続いて、図1を用いて、実施例1に係るサービスシステムの概要および特徴を説明する。図1は、実施例1に係るサービスシステムの概要および特徴を説明するための図である。なお、以下の実施例では、ひとつの「利用者装置」によるネットワーク接続を、ひとつの「ネットワーク事業者装置」が制御し、ひとつの「利用者装置」によるサイトアクセスを、ひとつの「サービス事業者装置」が制御する構成を説明するが、この発明はこれに限られるものではなく、ひとつまたは複数の「利用者装置」によるネットワーク接続を、ひとつまたは複数の「ネットワーク事業者装置」が制御し、ひとつまたは複数の「利用者装置」によるサイトアクセスを、ひとつまたは複数の「サービス事業者装置」が制御する構成にも、この発明を同様に適用することができる。なお、実施例1に係るサービス事業者装置は、一つのアプリケーションサービスを提供するものとする。
【0033】
実施例1に係るサービスシステムは、上記したように、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されることを概要とし、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することを主たる特徴とする。
【0034】
この主たる特徴について簡単に説明すると、実施例1におけるネットワーク事業者装置は、利用者装置の利用者について、あらかじめ利用者登録しており、利用者装置のネットワーク接続を許可しているものとする。すなわち、ネットワーク事業者装置は、図1に示すように、ネットワーク接続が許可される利用者装置の利用者に関する利用者情報(例えば、契約者名、住所、クレジットカード番号など)を、利用者装置が接続する回線に関する回線情報(例えば、回線の識別子、回線の収容位置、回線種別、回線速度など)と対応づけて、利用者管理データベース部(利用者管理DB)に記憶している。例えば、図1においては、利用者アカウントAAAに関する利用者情報(「AAAの利用者情報」)を、回線情報(「AAAの回線情報」)と対応づけて、利用者管理DBに記憶している。
【0035】
一方、実施例1におけるサービス事業者装置は、利用者装置の利用者について、利用者登録していないものとする。すなわち、利用者装置は、サービス事業者装置が提供するアプリケーションサービスの提供を受けることができない状態にある。なお、実施例1において、サービス事業者装置が提供するアプリケーションサービスは、利用者アカウントを作成することなく一時的な利用を許可する『シングルサインオン』で提供できるタイプのアプリケーションサービスであるとするが、この発明はこれに限られるものではなく、利用者登録を行うことで永続的に利用できるタイプのアプリケーションサービスにも、適用することができる。
【0036】
また、実施例1におけるネットワーク事業者装置とサービス事業者装置との間では、『ネットワーク事業者装置がサービス事業者装置に代わって利用者認証を行うこと』について、あらかじめ取り決めがなされているものとする。さらに、ネットワーク事業者装置とサービス事業者装置との間では、あらかじめ信頼関係が成立しているものとする。すなわち、ネットワーク事業者装置においては、サービス事業者装置が署名する電子署名が正当であることを検証するための公開鍵情報(サービス事業者装置の電子証明書など)を管理し、サービス事業者装置においては、ネットワーク事業者装置が署名する電子署名が正当であることを検証するための公開鍵情報(ネットワーク事業者装置の電子証明書など)を管理しているものとする。なお、実施例1においては、ネットワーク事業者装置およびサービス事業者装置において、互いの公開鍵情報を管理する手法を説明するが、この発明はこれに限られるものではなく、信頼される第三者機関によって発行される公開鍵情報を用いて電子署名が正当であることを検証する手法など、電子署名が正当であることを検証する手法はいずれでもよい。また、必ずしも電子署名を送信する必要はない。
【0037】
このような構成のもと、実施例1におけるネットワーク事業者装置は、まず、利用者装置から、ネットワーク接続要求を受信する(図1の(1)を参照)。具体的には、ネットワーク事業者装置は、利用者装置から、ネットワーク接続要求として、回線認証情報(例えば、利用者アカウント、パスワードなど)を受信する。例えば、図1においては、利用者アカウントAAAとパスワードとを受信する。なお、回線認証情報として、利用者装置から、電子署名等を受信してもよい。
【0038】
次に、ネットワーク事業者装置は、ネットワーク事業者装置において、認証処理を行う(図1の(2)を参照)。具体的には、ネットワーク事業者装置は、利用者装置から受信した回線認証情報と、利用者管理DBに管理する回線認証情報(例えば、利用者アカウント、パスワードなど)とを照合し、利用者装置を認証する。例えば、図1においては、利用者管理DBに管理する利用者アカウントAAAと図示しないパスワードとを照合し、利用者装置を認証する。
【0039】
そして、ネットワーク事業者装置は、利用者装置に、ネットワーク接続応答を送信する(図1の(3)を参照)。具体的には、ネットワーク事業者装置は、利用者装置に対して、インターネットなどのネットワークに接続するための回線(アクセスネットワーク)へのアクセスパスをPPPoE(Point to Point Protocol over Ethernet(登録商標))などで設定し、IPアドレスを払い出し、利用者装置に送信する。また、ネットワーク事業者装置は、利用者装置に対して払い出したIPアドレスを、利用者管理DBに格納する。
【0040】
その結果、利用者装置は、インターネットなどのネットワークに接続し、続いて、サービス事業者装置は、利用者装置から、SPサイトアクセス要求を受信する(図1の(4)を参照)。具体的には、サービス事業者装置は、利用者装置から、SPサイトアクセス要求として、サービス事業者装置が提供するアプリケーションサービスが公開されているSPサイトのURL(Uniform Resource Locator)などを受信する。
【0041】
すると、サービス事業者装置は、利用者装置に対して、SPサイトアクセス応答を送信する(図1の(5)を参照)。具体的には、サービス事業者装置は、Webページを取得し、SPサイトアクセス応答として、Webページを送信する。ここで、実施例1におけるサービス事業者装置から送信されるWebページは、利用者装置の利用者について、アプリケーションサービスをシングルサインオンで使用するためにシングルサインオン要求を促すWebページである。
【0042】
次に、サービス事業者装置は、利用者装置から、シングルサインオン要求を受信する(図1の(6)を参照)。具体的には、利用者装置において、シングルサインオン要求を促すWebページのアイコン(「シングルサインオン要求」など)がワンクリックされることなどによって、シングルサインオン要求を受信する。
【0043】
続いて、サービス事業者装置は、利用者装置からサイトアクセスの要求(シングルサインオン要求)を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求をネットワーク事業者装置に送信する(図1の(7)および(8)を参照)。
【0044】
すると、実施例1におけるネットワーク事業者装置は、利用者装置が接続されている回線に関する回線情報を取得する(図1の(9)を参照)。具体的には、ネットワーク事業者装置は、サービス事業者装置から、利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、利用者装置が接続する回線を特定することで、回線情報を取得する。
【0045】
続いて、ネットワーク事業者装置は、取得された回線情報に対応付けられた利用者情報を取得し、当該利用者情報を用いて利用者認証を行って得られる利用者認証結果を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信する(図1の(10)および(11)参照)。上記した例で具体的に説明すると、ネットワーク事業者装置は、取得された回線情報「回線識別子(123)」に対応付けられた利用者情報(「tarou、123、#A500、光、・・・)を取得し、当該利用者情報がネットワーク事業者装置により登録されている利用者装置であることを根拠に、利用者認証結果として「認証通過」を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信する。
【0046】
つまり、ここで、ネットワーク事業者装置は、取得した回線情報がネットワーク事業者装置に記憶される利用者情報であるか否かによって、利用者認証を行い、判定した認証結果(例えば、認証通過や認証失敗)を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信する。
【0047】
そして、サービス事業者装置は、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いてサイトアクセスを制御する(図1の(12)参照)。具体的に説明すると、サービス事業者装置は、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって「認証通過」を受信した場合には、シングルサインオンによるサイトアクセスを許可し、アプリケーションサービスの提供を開始するWebページを送信する。「認証拒否」を受信した場合には、シングルサインオンによるサイトアクセスを拒否する。
【0048】
このようなことから、上記した主たる特徴のごとく、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することが可能である。また、ネットワーク事業者にて認証処理を行う結果、サービス事業者装置で認証処理を行う必要がなく、サービス事業者装置の処理負荷を軽減することが可能である。さらに、サービス事業者装置で利用者認証のために利用者情報(例えば、契約情報など)を管理する必要がないので、サービス事業者装置における利用者情報管理に関するコストや処理負荷を削減することが可能である。
【0049】
[実施例1に係るサービスシステムの構成]
次に、図2〜図9を用いて、実施例1に係るサービスシステムの構成を説明する。図2は、実施例1に係るサービスシステムの構成を示すブロック図であり、図3と図4は、サービス事業者装置が利用者装置に送信するWebページを説明するための図であり、図5〜図9は、ネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【0050】
図2に示すように、実施例1に係るサービスシステムは、利用者装置300によるネットワーク接続を制御するネットワーク事業者装置100と、利用者装置300によるサイトアクセスを制御するサービス事業者装置200とから構成される。以下では、ネットワーク事業者装置100とサービス事業者装置200とを順に説明する。
【0051】
[ネットワーク事業者装置100]
実施例1におけるネットワーク事業者装置100は、汎用的なコンピュータなどで構成され、特にこの発明に密接に関連するものとしては、図2に示すように、通信制御I/F部110と、記憶部120と、制御部130とを備える。
【0052】
通信制御I/F部110は、利用者装置300やサービス事業者装置200との間でやり取りする各種情報に関する通信を制御する。具体的には、利用者装置300からネットワーク接続要求を受信したり、サービス事業者装置200から利用者装置300を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信したりする。
【0053】
記憶部120は、制御部130における各種制御に用いられるデータを記憶し、特にこの発明に密接に関連するものとしては、図2に示すように、利用者管理データベース部121と、サービス事業者管理データベース部122とを備える。なお、利用者管理データベース部121は、特許請求の範囲に記載の「利用者情報記憶手段」に対応する。
【0054】
利用者管理データベース部121は、ネットワーク接続が許可される利用者装置300の利用者に関する利用者情報を記憶する。具体的には、利用者管理データベース部121は、ネットワーク接続が許可される利用者装置300の利用者に関する利用者情報を、利用者装置300が接続する回線に関する回線情報と対応付けて記憶し、記憶する利用者情報および回線情報は、後述する認証処理部131、回線情報取得部132、および利用者認証結果部133による処理に利用される。なお、実施例1において、利用者管理データベース部121は、以下に説明するように、利用者アカウントとIPアドレスとを対応づけて記憶し、利用者アカウントと利用者情報とを対応づけて記憶し、利用者アカウントと回線情報とを対応づけて記憶し、利用者アカウントとSP IDとを対応づけて記憶し、RDBMS(Relational DataBase Management System)プログラムなどを稼動させることで、利用者装置300の利用者に関する利用者情報を回線情報と対応付けて記憶するが、この発明はこれに限られるものではなく、利用者情報を回線情報と対応付けて記憶するものであれば、データベースの構築手法はいずれでもよい。
【0055】
例えば、実施例1における利用者管理データベース部121は、図5に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)とIPアドレス(『IPアドレス』の列を参照)とを対応づけて記憶する。ここで、利用者アカウントと対応付けて記憶されるIPアドレスとは、ネットワーク事業者装置100が、後述する認証処理部131において利用者装置300にネットワーク接続応答を送信する際に、利用者装置300に対して、インターネットなどのネットワークに接続するための回線(アクセスネットワーク)へのアクセスパスをPPPoE(Point to Point Protocol over Ethernet(登録商標))などで設定し、利用者装置300に対して払い出したIPアドレスである。利用者管理データベース部121は、認証処理部131において払い出されたIPアドレスを記憶する。
【0056】
図5の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と「192.168.x.x」とを対応づけて記憶する。なお、実施例においては、説明の便宜上からIPアドレスを「192.168.x.x」のように特定の数字とアルファベットとを組合せた表記をするが、実際は、ネットワーク事業者装置から払いだされる一般的なIPアドレスであって、特定の数字とアルファベットとの組合せや選択に何ら特別の意味があるものではない。
【0057】
また、例えば、実施例1における利用者管理データベース部121は、図6に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)と、利用者情報(『契約者名』、『住所(請求書の送付先)』、『クレジットカード番号』、および『通信料の支払い有無』の列を参照)とを対応づけて記憶する。ここで、利用者アカウントと対応付けて記憶される利用者情報とは、ネットワーク事業者装置100が、オフラインで提示された利用者情報を利用者登録したものである。すなわち、実施例1におけるネットワーク事業者装置100は、利用者装置300の利用者についてあらかじめ利用者登録を行っていることを前提としているが、この利用者登録は、運転免許証などの身分証明書とともに利用者によってオフラインで提示された利用者情報を、ネットワーク事業者が身分証明書による利用者の本人確認を行った上で利用者登録した信用性の高い情報である。利用者管理データベース部121は、ネットワーク事業者装置100を操作する操作者などによってネットワーク事業者装置100に入力された利用者情報を、あらかじめ記憶している。
【0058】
図6の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と、契約者名「特許 太郎」と、住所「東京都・・・・」と、クレジットカード番号「1111-1111-1111-1111」と、通信料の支払い有無「有」とを対応づけて記憶する。なお、実施例においては、利用者情報として、契約者名、住所、クレジットカード番号、および通信料の支払い有無を記憶する場合を説明したが、この発明はこれに限られるものではなく、性別や年齢などの情報をさらに記憶する場合や、通信料の支払い有無を記憶しない場合など、ネットワーク事業者装置およびサービス事業者装置において必要な利用者情報を含む場合であれば、いずれでもよい。
【0059】
また、例えば、実施例1における利用者管理データベース部121は、図7に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)と、回線情報(『回線の識別子』、『回線の収容位置』、『回線種別』、『回線速度』、および『回線認証情報(パスワードなど)』の列を参照)とを対応づけて記憶する。ここで、利用者アカウントと対応付けて記憶される回線情報とは、ネットワーク事業者装置100が、利用者情報を利用者登録するとともに、ネットワーク事業者において収集された回線情報を登録したものである。すなわち、実施例1におけるネットワーク事業者装置100は、利用者装置300の利用者についてあらかじめ利用者登録を行っていることを前提としているが、この利用者登録の際に(もしくは利用者登録の前後に)、利用者登録された利用者によって操作される利用者装置300の回線情報を、併せて登録している。この回線情報は、ネットワーク事業者装置100を運営するネットワーク事業者によって収集される情報であることから、信用性の高い情報である。利用者管理データベース部121は、ネットワーク事業者装置100を操作する操作者などによってネットワーク事業者装置100に入力された回線情報を、あらかじめ記憶している。
【0060】
図7の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と、回線の識別子「123」と、回線の収容位置「#A500」と、回線種別「光」と、回線速度「100Mbps/100Mbps」と、回線認証情報「******」とを対応づけて記憶する。なお、実施例においては、回線情報として、回線の識別子、回線の収容位置、回線種別、回線速度、および回線認証情報を記憶する場合を説明したが、この発明はこれに限られるものではなく、回線の収容位置を記憶しない場合など、ネットワーク事業者装置およびサービス事業者において必要な回線情報を含む場合であれば、いずれでもよい。また、実施例においては、回線の識別子や回線の収容位置など、説明の便宜上から特定の数字や記号を組み合わせた表記をするが、実際は、ネットワーク事業者装置において規定される情報であり、特定の数字や記号に何ら特別の意味があるものではない。
【0061】
また、例えば、実施例1における利用者管理データベース部121は、図8に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)と、SP ID(『SP ID』の列を参照)とを対応づけて記憶する。ここで、SP IDとは、ネットワーク事業者装置100において、サービス事業者装置200を識別するための識別子のことである。図8の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と、SP ID「1」および「3」とを対応づけて記憶する。ここで、利用者管理データベース部121が、利用者アカウント「tarou」と複数のSP IDとを対応づけて記憶するのは、ひとつの利用者アカウントについて、複数のサービス事業者装置200との間で、アカウントの対応づけを保持することが可能であることを示している。したがって、利用者管理データベース部121が、ひとつの利用者アカウントについて、ひとつのSP IDを対応づけて記憶する場合や、ひとつの利用者アカウントについて、3つ以上の複数のSP IDを対応づけて記憶する場合にも、この発明を同様に適用することができる。
【0062】
また、図8の4行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「ichiro」と、SP ID「2」とを対応づけて記憶する。この場合、利用者アカウント「ichiro」によって操作される利用者装置300がサイトアクセスを制御されるサービス事業者装置200は、SP ID「2」で識別されるサービス事業者装置200であることを示している。
【0063】
サービス事業者管理データベース部122は、サービス事業者装置200に関する情報を記憶する。具体的には、サービス事業者管理データベース部122は、サービス事業者装置200に関する情報として、SP IDと公開鍵情報(サービス事業者装置200の電子証明書など)とを対応づけて記憶し、記憶するSP IDおよび公開鍵情報は、後述する回線情報取得部132による処理に利用される。ここで、公開鍵情報とは、実施例1においては、ネットワーク事業者装置100とサービス事業者装置200との間で、あらかじめ信頼関係が成立しているものとするので、ネットワーク事業者装置100において、サービス事業者装置200が署名する電子署名が正当であることを検証するための公開鍵情報である。
【0064】
なお、実施例1においては、図9に示すように、サービス事業者管理データベース部122が公開鍵情報を記憶する場合を説明したが、この発明はこれに限られるものではなく、例えば、信頼される第三者機関によって発行される公開鍵情報を用いて電子署名が正当であることを検証する手法では、サービス事業者管理データベース部122が公開鍵情報を記憶する必要はない。また、実施例1において、サービス事業者管理データベース部122は、RDBMSプログラムなどを稼動させることで、SP IDと公開鍵情報とを対応づけて記憶するが、この発明はこれに限られるものではなく、サービス事業者装置200を識別する識別子を記憶するものであれば、データベースの構築手法はいずれでもよい。
【0065】
制御部130は、ネットワーク事業者装置100における各種制御を行い、特にこの発明に密接に関連するものとしては、図2に示すように、認証処理部131と、回線情報取得部132と、利用者認証結果送信部133とを備える。なお、回線情報取得部132は、特許請求の範囲に記載の「回線情報取得手段」に対応し、利用者認証結果送信部133は、特許請求の範囲に記載の「利用者認証結果送信手段」に対応する。
【0066】
認証処理部131は、利用者装置300の認証処理を行い、利用者装置300によるネットワーク接続を制御する。具体的には、認証処理部131は、利用者装置300からネットワーク接続要求を回線認証情報とともに受信し、受信した回線認証情報と利用者管理データベース部121に記憶される回線認証情報(例えば、利用者アカウント、パスワードなど)とを照合することで利用者装置を認証し、認証結果に応じてネットワーク接続応答を利用者装置300に送信するなどする。
【0067】
また、認証処理部131は、利用者装置300にネットワーク接続応答を送信する際に、利用者装置300に対して、インターネットに接続するための回線へのアクセスパスをPPPoEなどで設定し、利用者装置300に対してIPアドレスを払い出し、払い出したIPアドレスを、利用者装置300に送信するとともに、利用者管理データベース部121に記憶させる。例えば、認証処理部131は、利用者装置300の利用者アカウント「tarou」にネットワーク接続応答を送信する際に、利用者装置300に対してIPアドレス「192.168.x.x」を払い出す。
【0068】
回線情報取得部132は、利用者装置300が接続されている回線に関する回線情報を取得する。具体的には、回線情報取得部132は、サービス事業者装置200から利用者装置300を経由するリダイレクト通信によって利用者装置300の利用者情報の取得を要求する利用者情報取得要求を受信した場合に、利用者装置300が接続されている回線に関する回線情報を取得し、取得した回線情報を、利用者認証結果送信部133に送信する。
【0069】
例えば、回線情報取得部132は、利用者装置300が接続する回線を特定することで取得された回線情報に対応づけられた回線情報を、利用者管理データベース部121から取得する。すなわち、回線情報取得部132は、利用者装置300が接続する回線を特定した結果、利用者装置300が接続する回線の識別子が「123」であることが特定された場合に、利用者管理データベース部121から、回線情報として、例えば、回線の識別子「123」、回線の収容位置「#A500」、回線種別「光」、回線速度「100Mbps/100Mbps」などを取得する。なお、実施例1においては、利用者管理データベース部121から取得した回線情報をサービス事業者装置200に送信する手法を説明したが、この発明はこれに限られるものではなく、利用者装置300が接続する回線を特定することで取得された回線情報をサービス事業者装置200に送信する手法にも、この発明を同様に適用することができる。
【0070】
利用者認証結果送信部133は、回線情報取得部132によって取得された回線情報に対応付けられた利用者情報を利用者管理データベース部121から取得し、当該利用者情報を用いて利用者認証を行って得られる利用者認証結果を、利用者装置300を経由するリダイレクト通信によってサービス事業者装置200に送信する。具体的に例を挙げれば、回線情報取得部132により回線識別子「123」が取得され、当該回線識別子「123」に対応する回線情報「tarou、123、#A500、光、100Mbps/100Mbps、******」が利用者管理データベース部121から取得されると、利用者認証結果送信部133は、回線情報取得部132によって取得された回線情報(回線識別子:123)と、当該回線情報に対応付けられた利用者情報(tarou、123、#A500、光、100Mbps/100Mbps、******)が利用者管理データベース部121に記憶されていることを根拠にし、正当な利用者装置300であるという認証結果(認証通過)を、利用者装置300を経由するリダイレクト通信によってサービス事業者装置200に送信する。
【0071】
一方、回線情報取得部132により回線識別子「123」が取得され、当該回線識別子「123」に対応する回線情報「tarou、123、#A500、光、100Mbps/100Mbps、******」が利用者管理データベース部121から取得できない場合、利用者認証結果送信部133は、当該回線情報に対応付けられた利用者情報が利用者管理データベース部121に記憶されていないことを根拠にし、不正な利用者装置300であるという認証結果(認証拒否)を、利用者装置300を経由するリダイレクト通信によってサービス事業者装置200に送信する。
【0072】
[サービス事業者装置200]
実施例1におけるサービス事業者装置200は、汎用的なコンピュータなどで構成され、特にこの発明に密接に関連するものとしては、図2に示すように、通信制御I/F部210と、記憶部220と、制御部230とを備える。
【0073】
記憶部220は、制御部230による各種処理に必要なデータおよびプログラムを格納する。具体的に例を挙げれば、通信制御I/F部31により受信された利用者認証結果やサイトアクセス要求を一時的に記憶したり、SPサイトアクセス応答部231により送信されるサービス事業者装置200が提供するWeb画面などを記憶する。
【0074】
制御部230は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、特に本発明に密接に関連するものとして、利用者認証要求送信部232と、アクセス制御部233とを備え、利用者によって種々の処理を実行する。なお、利用者認証要求送信部232は、特許請求の範囲に記載の「利用者認証要求送信手段」に対応し、アクセス制御部233は、同様に、「アクセス制御手段」に対応する。
【0075】
利用者認証要求送信部232は、利用者装置300からシングルサインオンによるサイトアクセスの要求を受け付けた場合に、当該利用者装置300を経由するリダイレクト通信によって、当該利用者装置300の利用者認証を要求する利用者認証要求をネットワーク事業者装置100に送信する。具体的に例を挙げれば、図3に示したように、利用者装置において、シングルサインオン要求を促すWebページのアイコン(「シングルサインオン要求」など)がワンクリックされることによって、シングルサインオン要求を受信すると、利用者認証要求送信部232は、当該利用者装置300を経由するリダイレクト通信によって、当該利用者装置300の利用者認証を要求する利用者認証要求をネットワーク事業者装置100に送信する。
【0076】
アクセス制御部233は、ネットワーク事業者装置100から利用者装置300を経由するリダイレクト通信によって当該利用者装置300の利用者認証結果を受信した場合に、当該利用者認証結果を用いてサイトアクセスを制御する。具体的に例を挙げると、ネットワーク事業者装置100から利用者装置300を経由するリダイレクト通信によって、認証通過(認証許可)を受信すると、アクセス制御部233は、図4に示すような、当該サイトアクセスに対応するアプリケーションサービスの利用を利用者装置300に対して許可する。一方、認証拒否を受信すると、アクセス制御部233は、当該サイトアクセスに対応するアプリケーションサービスの利用を利用者装置300に対して拒否する。
【0077】
[実施例1に係るサービスシステムによる処理の手順]
次に、図10を用いて、実施例1に係るサービスシステムによる処理の手順を説明する。図10は、実施例1に係るサービスシステムによる処理の手順を示すシーケンス図である。ここで、実施例1におけるネットワーク事業者装置100は、利用者装置300の利用者について、あらかじめ利用者登録しており、利用者装置300のネットワーク接続を許可しているものとする。一方、実施例1におけるサービス事業者装置200は、利用者装置300の利用者について、利用者登録をしていないものとする。すなわち、利用者装置300は、サービス事業者装置200が提供するアプリケーションサービスの提供を受けることができない状態にある。以下では、利用者装置300がネットワークへの接続を行う処理(図10の(1)を参照)と、利用者装置300がSPサイトへアクセスする処理(図10の(2)を参照)と、ネットワーク事業者装置100が利用者装置300を認証する利用者認証処理(図10の(3)を参照)とについて、順に説明する。
【0078】
[(1)ネットワークへの接続]
まず、ネットワーク事業者装置100における認証処理部131は、利用者装置300から、ネットワーク接続要求を受信する(ステップS1)。具体的には、ネットワーク事業者装置100における認証処理部131は、利用者装置300から、ネットワーク接続要求として、回線認証情報(例えば、利用者アカウント、パスワードなど)を受信する。
【0079】
次に、ネットワーク事業者装置100における認証処理部131は、利用者装置300の認証処理を行う(ステップS2)。具体的には、ネットワーク事業者装置100における認証処理部131は、利用者装置300から受信した回線認証情報と、利用者管理データベース部121に管理する回線認証情報(例えば、利用者アカウント、パスワードなど)とを照合し、利用者装置300を認証する。
【0080】
そして、ネットワーク事業者装置100における認証処理部131は、利用者装置300に、ネットワーク接続応答を送信する(ステップS3)。具体的には、ネットワーク事業者装置100における認証処理部131は、利用者装置300に対して、インターネットに接続するための回線(アクセスネットワーク)へのアクセスパスをPPPoE(Point to Point Protocol over Ethernet(登録商標))などで設定し、IPアドレスを払い出し、利用者装置300に送信する。また、ネットワーク事業者装置100における認証処理部131は、利用者装置300に対して払いだしたIPアドレスを、利用者管理データベース部121に格納する。
【0081】
[(2)SPサイトへアクセス]
続いて、利用者装置300は、インターネットに接続し、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300から、SPサイトアクセス要求を受信する(ステップS4)。具体的には、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300から、SPサイトアクセス要求として、SPサイトのURL(Uniform Resource Locator)などを受信する。
【0082】
すると、サービス事業者装置200におけるSPサイトアクセス応答部231は、Webページを取得する(ステップS5)。具体的には、サービス事業者装置200におけるSPサイトアクセス応答部231は、受信したURLにより、利用者装置300に対してシングルサインオン要求を促すWebページを取得する。
【0083】
そして、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300に対して、SPサイトアクセス応答を送信する(ステップS6)。具体的には、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300に対して、シングルサインオン要求を促すWebページを送信する。
【0084】
[(3)利用者認証]
次に、利用者装置300は、サービス事業者装置200に対してNW機能を利用したシングルサインオン要求を送信する(ステップS7)。そして、サービス事業者装置200における利用者認証要求送信部232は、当該利用者装置300の利用者認証を要求する利用者認証要求をネットワーク事業者装置100に送信する(ステップS8)。具体的には、サービス事業者装置200における利用者認証要求送信部232は、利用者装置300を経由するリダイレクト通信によって、利用者認証要求を、SP IDと電子署名とともに、ネットワーク事業者装置100に送信する。
【0085】
すると、ネットワーク事業者装置100における回線情報取得部132は、利用者装置300が接続されている回線を特定し、回線情報を取得する(ステップS9)。
【0086】
次に、ネットワーク事業者装置100における利用者認証結果送信部133は、回線を特定することで取得された回線情報に対応づけられた利用者情報を利用者管理データベース部121から取得し、利用者認証を行い(ステップS10)、認証結果をサービス事業者装置200へ送信する(ステップS11)。具体的には、ネットワーク事業者装置100における利用者認証結果送信部133は、当該回線情報に対応付けられた利用者情報が利用者管理データベース部121に記憶されていることを根拠に、当該利用者装置300を正当な利用者装置と判定し、認証結果として「認証通過(許可)」をサービス事業者装置200に送信する。
【0087】
そして、サービス事業者装置200におけるアクセス制御部233は、受信した認証結果に基づいて、サイトアクセスを制御する(ステップS12)。具体的には、サービス事業者装置200におけるアクセス制御部233は、認証通過(許可)を受信すると、利用者装置300のサイトアクセスを許可し、認証拒否を受信すると、サイトアクセスを拒否する。
【0088】
なお、実施例1においては、サービス事業者装置200における利用者認証要求送信部232は、利用者装置300を経由するリダイレクト通信によって、利用者認証要求を、SP IDと電子署名とともに、ネットワーク事業者装置100に送信する場合について説明したが、本発明はこれに限定されるわけではなく、利用者認証要求とSP IDのみを送信してもよい。
【0089】
[実施例1の効果]
上述したように、実施例1によれば、ネットワーク事業者装置は、ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶し、サービス事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証得要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得し、取得された回線情報に対応付けられた利用者情報を取得し、当該利用者情報を用いて利用者認証を行って得られる利用者認証結果を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信し、サービス事業者装置は、利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求をネットワーク事業者装置に送信し、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いてサイトアクセスを制御するので、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することが可能である。
【0090】
また、実施例1によれば、ネットワーク事業者にて認証処理を行う結果、サービス事業者装置で認証処理を行う必要がなく、サービス事業者装置の処理負荷を軽減することが可能である。さらに、サービス事業者装置で利用者認証のために利用者情報(例えば、契約情報など)を管理する必要がないので、サービス事業者装置における利用者情報管理に関するコストや処理負荷を削減することが可能である。
【0091】
また、実施例1によれば、サービス事業者装置から利用者認証要求に加えて、当該サービス事業者装置が署名する電子署名を受信した場合に、当該電子署名が正当であることを条件に、利用者認証結果を当該サービス事業者装置に送信し、利用者認証要求に加えて、電子署名をネットワーク事業者装置に送信するので、サービス事業者装置が利用者認証要求とともに電子署名を送信しない場合に比べて、サービス事業者装置において、信用性の高いサイトアクセス制御をより安全に実現することが可能になる。例えば、電子署名を送信しない場合、本当に正当なサービス事業者が送信した利用者認証要求であるか否かを判定することができないが、電子署名を送信した場合では、正当なサービス事業者が送信した利用者認証要求であるか否かを判定することができる。
【実施例2】
【0092】
ところで、実施例1では、利用者装置が、サービス事業者装置が提供するサービスを利用する場合についてのみ説明したが、本発明はこれに限定されるものではなく、サービス事業者装置が複数のサービスを提供するものであって、各サービスの新規契約や追加契約をする場合にも、本発明を適用してもよい。
【0093】
そこで、実施例2では、利用者装置が、サービス事業者装置が提供するサービスについて新規契約や追加契約をする場合について、図11と図12を用いて説明する。図11は、実施例2に係るサービスシステムの概要および特徴を説明するための図であり、図12は、実施例2に係るネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【0094】
図11に示すように、実施例2におけるサービスシステムは、実施例1と同様、ネットワーク事業者装置と、サービス事業者装置と、利用者装置とから構成され、また、利用者装置とネットワーク事業者装置とは、アクセスネットワークを介して接続され、ネットワーク事業者装置とサービス事業者装置とは、インターネットなどのネットワークを介して接続される。
【0095】
そして、実施例2におけるネットワーク事業者装置は、実施例1と同様に、利用者情報を回線情報と対応づけて、利用者管理データベース部(利用者管理DB)に記憶しており、さらに、図12に示すように、契約管理情報を『利用者装置を一意に識別する「NW利用者アカウント」と、サービス事業者装置を一意に識別する「SP ID」と、契約しているサービス名を示す「サービス名」』として「tarou、3、メール・音楽・映像」や「hana、3、メール」などを記憶する点が実施例1とは異なる。
【0096】
このような構成において、実施例1と同様に、利用者装置は、ネットワーク事業者装置に認証されてインターネットに接続し、サービス事業者装置は、利用者装置からSPサイトアクセス要求を受信すると(図11の(1)〜(4)参照)、SPサイトアクセス応答を送信し、利用者装置は、SPのWebページを取得する(図11の(5)参照)。
【0097】
次に、サービス事業者装置は、利用者装置からサービス追加要求を受信する(図11の(6)を参照)。具体的には、利用者装置において、サービス追加要求を促すWebページのアイコン(「サービス追加要求」など)がワンクリックされることなどによって、サービス追加要求を受信する。
【0098】
そして、サービス事業者装置は、利用者装置の利用者認証を要求する利用者認証要求とともに、利用者装置とサービス事業者装置との間における契約管理を要求する契約管理要求を、利用者装置を経由するリダイレクト通信によって、ネットワーク事業者装置に送信する(図11の(7)および(8)参照)。具体的に例を挙げれば、サービス事業者装置は、利用者認証要求とともに、契約管理要求として『契約の処理を示す「処理種別」と処理対象となる「サービス名」をネットワーク事業者装置に送信する。契約管理要求の例を挙げれば、「契約追加、地図検索サービス」などである。
【0099】
続いて、利用者認証要求とともに、契約管理要求を受信したネットワーク事業者装置は、実施例1と同様に、利用者装置が接続されている回線に関する回線情報を取得して(図11の(9)参照)、利用者認証を行い(図11の(10)参照)、認証結果が認証通過の場合に、受信した契約管理要求に基づいて利用者管理DBを更新するとともに(図11の(11)参照)、認証結果(認証通過)をサービス事業者装置に送信する(図11の(12)参照)。
【0100】
具体的に説明すると、利用者認証の結果が「認証通過(成功)」の場合に、受信した契約管理要求が「処理種別=追加、サービス名=地図検索サービス」だとすると、取得した回線情報に対応する利用者管理DBに「地図検索サービス」を追加するとともに、認証結果(認証通過)をサービス事業者装置に送信する。一方、利用者認証の結果が「認証拒否(失敗)」の場合に、受信した契約管理要求が「処理種別=追加、サービス名=地図検索サービス」だとすると、利用者管理DBへの追加を行わず、認証結果(認証拒否)をサービス事業者装置に送信する。
【0101】
そして、実施例1と同様に、サービス事業者装置は、受信した認証結果に基づいて、アクセス制御を行う(図11の(13)参照)。具体的には、認証通過(認証許可)を受信すると、サービス事業者装置は、当該サイトアクセスに対応するアプリケーションサービスの利用を利用者装置に対して許可する。一方、認証拒否を受信すると、サービス事業者装置は、当該サイトアクセスに対応するアプリケーションサービスの利用を利用者装置に対して拒否する。
【0102】
このように、実施例2によれば、利用者装置の利用者認証を要求する利用者認証要求とともに、利用者装置とサービス事業者装置との間における契約管理を要求する契約管理要求をさらに送信し、サービス事業者装置から契約管理要求を受信した場合には、利用者情報に対応付けて、利用者装置とサービス事業者装置との間における契約に関する契約情報を記憶するので、新規契約や追加契約を行うために、別の機能や記憶部を用意する必要なく、利用者認証とともに実施することができる結果、サービス事業者装置における処理負荷をさらに軽減することが可能であるとともに、サービス事業者装置における利用者情報管理に関するコストや処理負荷をさらに削減することが可能である。
【実施例3】
【0103】
さて、これまで本発明の実施例1〜2では、利用者認証について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に示すように、(1)回線情報も用いた利用者認証、(2)有効期限付きで利用者認証結果を取得、(3)電子署名付きで利用者認証結果を取得、にそれぞれ区分けして異なる実施例を説明する。
【0104】
(1)回線情報も用いた利用者認証
例えば、実施例1と2では、取得された回線情報に対応付けられた利用者情報を用いて利用者認証を行う場合について説明したが、本発明はこれに限定されるものではなく、利用者認証情報に加えて、回線情報を用いて利用者認証を行ってもよい。
【0105】
具体的に図2を用いて説明すると、具体的に例を挙げれば、回線情報取得部132により回線識別子「123」が取得され、当該回線識別子「123」に対応する回線情報「tarou、123、#A500、光、100Mbps/100Mbps、******」が利用者管理データベース部121から取得されると、利用者認証結果送信部133は、回線情報取得部132によって取得された回線情報(回線識別子:123)と、当該回線情報に対応付けられた利用者情報(tarou、123、#A500、光、100Mbps/100Mbps、******)が利用者管理データベース部121に記憶されていることを根拠にし、正当な利用者装置300であるという利用者認証を行ったが、さらに、取得した回線情報「tarou、123、#A500、光、100Mbps/100Mbps、******」を用いることで、特定できる利用者装置が接続する場所や回線速度などを利用者認証に用いてもよい。
【0106】
これにより、例えば、利用者装置が接続する場所や回線速度によってはサイトアクセスを許可/拒否を決定し、あるいは、場所や回線速度に応じて提供するサービスを選択することなど、サービス事業者装置において、信用性の高いサイトアクセス制御を高度に実現することが可能になる。具体的に例を挙げて説明すると、回線情報によって特定されるネットワークへの接続場所が、「自宅」以外の場所の場合には、オークションサービスの提供を許可しないことや、回線情報によって特定される回線速度が高速な場合には、高解像度の映像コンテンツサービスを提供することなどが可能になる。また、このように利用者情報と回線情報の両方を用いて、利用者認証を行うことで、さらに利用者に対してアクセス制限を行うことが可能である。例えば、「子供」の利用者には「深夜サイト」「アダルトサイト」「高額ショッピングサイト」の閲覧を禁止したりすることが可能である。
【0107】
なお、ネットワーク事業者装置では、利用者管理DBに管理される回線情報のうち、どの情報を利用者認証に用いるか具体的な項目について、サービス事業者装置から利用者認証要求とともに受信してもよく、あらかじめ取り決めがなされていてもよい。
【0108】
(2)有効期限付きで利用者認証結果を取得
また、実施例1と2では、利用者情報を用いて利用者認証を行って得られる利用者認証結果をサービス事業者装置に送信する場合について説明したが、本発明はこれに限定されるものではなく、利用者認証結果に加えて、当該利用者認証結果の有効期限を示す有効期限情報をサービス事業者装置に送信してもよい。
【0109】
具体的には、ネットワーク事業者装置は、利用者認証結果に加え、有効期限情報(例えば、有効期限は、数日、数秒、数十秒といったオーダーで設定される)をサービス事業者装置に送信し、サービス事業者装置は、ネットワーク事業者装置から利用者認証結果に加えて有効期限情報を受信した場合に、当該有効期限情報に示される有効期限を満たすことを条件に、利用者認証結果を用いてサイトアクセスを制御する。例を挙げると、利用者情報をサービス事業者装置に送信する際に有効期限情報を送信しない手法では、利用者装置を経由するリダイレクト通信において、利用者装置が利用者情報その他の制御情報などを不正に取得し、不正に情報を取得した利用者装置が不正にサイトアクセスするおそれなどがあるが、有効期限情報(例えば、有効期限は、数日、数秒、数十秒といったオーダーで設定される)を送信することで、これらのおそれを回避できることから、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。
【0110】
(3)電子署名付きで利用者認証結果を取得
また、実施例1では、サービス事業者装置は、利用者認証要求と電子署名をネットワーク事業者装置に送信し、ネットワーク事業者装置は、利用者認証結果をサービス事業者装置に送信する場合について説明したが、本発明はこれに限定されるものではなく、ネットワーク事業者装置も、利用者認証結果と電子署名をサービス事業者装置に送信するようにしてもよい。
【0111】
具体的には、ネットワーク事業者装置が利用者認証要求とともに電子署名を送信しない場合に比べて、サービス事業者装置において、信用性の高いサイトアクセス制御をより安全に実現することが可能になる。例えば、電子署名を送信しない場合、本当に正当なネットワーク事業者装置が送信した利用者認証要求であるか否かを判定することができないが、電子署名を送信した場合では、正当なサービス事業者が送信した利用者認証要求であるか否かを判定することができる。
【実施例4】
【0112】
さて、これまで本発明の実施例1〜3では、利用者アカウントを作成せず、シングルサインオンを行うことを説明してきたが、本発明はこれに限定されるものではなく、サービス事業者装置で利用者アカウントを作成して利用者管理するようにしてもよい。
【0113】
そこで、以下では、図13〜図15を用いて、ネットワーク事業者装置がサービス事業者装置に代わって利用者認証を行うとともに、サービス事業者装置で利用者アカウントを作成して記憶する場合を実施例4として説明する。図13は、実施例4に係るサービスシステムの概要および特徴を説明するための図であり、図14と図15は、実施例4に係るネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【0114】
図13に示すように、実施例4におけるネットワーク事業者装置は、実施例1と同様に、利用者情報を回線情報と対応づけて、利用者管理データベース部(利用者管理DB)に記憶している。そして、実施例4におけるサービス事業者装置は、自身が提供するサービスを利用する利用者装置の利用者アカウントを利用者管理DBに記憶している点が実施例1とは異なる。
【0115】
また、実施例4では、実施例1で説明した、各サービス事業者装置が一つのアプリケーションサービスを提供している場合と異なり、各サービス事業者装置は、複数のサービスを提供しており、各サービスごとに利用者管理を行っている。
【0116】
一方、実施例4におけるサービス事業者装置は、利用者装置の利用者について、利用者登録していないものとする。すなわち、利用者装置は、サービス事業者装置が提供するアプリケーションサービスの提供を受けることができない状態にある。なお、実施例4において、サービス事業者装置が提供するアプリケーションサービスは、利用者登録を行うことで永続的に(もしくは、一時的に)利用できるタイプのアプリケーションサービスである。
【0117】
このような構成のもと、実施例1と同様に、実施例4におけるネットワーク事業者装置は、まず、利用者装置から、ネットワーク接続要求を受信して認証処理を行い、そして、利用者装置は、インターネットに接続し、サービス事業者装置は、利用者装置からSPサイトアクセス要求を受信すると(図13の(1)〜(4)参照)、SPサイトアクセス応答を送信し、利用者装置は、SPのWebページを取得する(図13の(5)参照)。
【0118】
次に、サービス事業者装置は、利用者装置から、利用者登録要求を受信する(図13の(6)参照)。具体的には、利用者装置において、利用者登録要求を促すWebページのアイコン(「利用者登録要求」など)がワンクリックされることなどによって、利用者登録要求を受信する。
【0119】
そして、利用者登録要求を受信すると、サービス事業者装置は、利用者アカウントを作成する(図13の(7)参照)。例えば、図13において、サービス事業者装置は、利用者アカウントBBBを作成する。なお、利用者アカウントBBBは、永続的な(もしくは、一時的な)利用者アカウントである。
【0120】
続いて、サービス事業者装置は、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求をネットワーク事業者装置に送信する(図13の(8)参照)。
【0121】
すると、実施例4におけるネットワーク事業者装置は、利用者装置が接続されている回線に関する回線情報を取得し(図13の(9)参照)、取得された回線情報に対応付けられた利用者情報を取得し、当該利用者情報を用いて利用者認証を行い(図13の(10)参照)、得られた利用者認証結果を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信する(図13の(11)参照)。具体的には、実施例1と同様に、ネットワーク事業者装置が当該回線情報に対応付けられた利用者情報を記憶していることを根拠に、当該利用者装置を正当な利用者装置と判定し、認証結果として「認証通過(許可)」をサービス事業者装置に送信する。
【0122】
そして、サービス事業者装置は、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いてサイトアクセスを制御する(図13の(12)参照)。具体的には、サービス事業者装置は、認証結果として「認証通過」を受信した場合、当該利用者アカウントBBBを自身の利用者管理DBに登録し、当該サービスの利用を許可する。一方、認証結果として「認証拒否」を受信した場合、当該利用者アカウントBBBを自身の利用者管理DBに登録せず、当該サービスの利用を拒否する。
【0123】
ところで、実施例4では、サービス事業者装置は、利用者管理DBに作成した利用者アカウントのみを管理する場合を説明したが、本発明はこれに限定されるわけではなく、例えば、利用者アカウントの回線情報および利用者情報を管理してもよい。この場合、ネットワーク事業者装置は、利用者認証結果とともに、利用者情報や回線情報を送信する。なお、ネットワーク事業者装置は、サービス事業者装置に送信する具体的な送信項目について、サービス事業者装置によって指定された送信項目を送信してもよく、サービス事業者装置に送信する具体的な送信項目の取り決めや指定のタイミングは、いずれでもよい。
【0124】
そして、ネットワーク事業者装置が、利用者認証結果とともに、利用者情報や回線情報を送信した場合、サービス事業者装置において、サービス事業者装置の利用者管理DBは、図14に示すように、利用者情報として『利用者を一意に識別する「利用者アカウント」、利用者名を示す「契約者」、利用者の住所を示す「住所」、利用料金を払う「クレジットカード番号」、通信料の支払い有無を示す「通信料支払いの有無」』として「tarou、特許太郎、東京都・・・、1111-1111-1111-1111、有」などを記憶したり、また、図15に示すように、回線情報として『利用者を一意に識別する「利用者アカウント」、回線を一意に識別する「回線識別子」、回線の収容位置を示す「回線収容位置」、契約回線の種別を示す「回線種別」、契約回線の回線速度を示す「回線速度」、回線の認証情報を示す「回線認証情報」』として「natsu、798、#C900、xDSL、47Mbps〜5Mbps、*********」などを記憶する。
【0125】
このように、実施例4によれば、サービス事業者装置で利用者アカウントを管理することで、サービス事業者装置における利用者認証による処理負荷を軽減したまま、利用者アカウントを管理することが可能である。
【実施例5】
【0126】
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に異なる実施例を説明する。
【0127】
[回線情報]
例えば、上記した実施例1〜実施例3においては、回線情報として、回線の識別子、回線の収容位置、回線種別、回線速度、および回線認証情報を用いる手法を説明したが、この発明はこれに限られるものではなく、回線情報として、回線に付与された論理的な番号(電話番号、IPアドレスなど)を用いる手法や、回線の設置場所(住所、緯度経度など)を用いる手法など、回線に関する情報を用いる手法であれば、いずれでもよい。
【0128】
[システム構成等]
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部(例えば、電子署名の送信など)を手動的におこなう(例えば、電子署名を送信するか否かの確認画面をモニタなどに出力し、操作する者に確認同意を入力させてから、電子署名を送信するなど)こともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報(例えば、利用者管理データベース部121とサービス事業者管理データベース部122など)については、特記する場合を除いて任意に変更することができる。
【0129】
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示(例えば、図2など)のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる(例えば、利用者管理データベース部121とサービス事業者管理データベース部122とをひとつのデータベースで構築するなど)。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
【0130】
なお、本実施例で説明した各機能部の処理(例えば、図10に示した処理など)は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
【産業上の利用可能性】
【0131】
以上のように、本発明に係るサービスシステムおよびサービスシステム制御方法は、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されることに有用であり、特に、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することに適する。
【図面の簡単な説明】
【0132】
【図1】実施例1に係るサービスシステムの概要および特徴を説明するための図である。
【図2】実施例1に係るサービスシステムの構成を示すブロック図である。
【図3】サービス事業者装置が利用者装置に送信するWebページを説明するための図である。
【図4】サービス事業者装置が利用者装置に送信するWebページを説明するための図である。
【図5】ネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【図6】ネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【図7】ネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【図8】ネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【図9】ネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【図10】実施例1に係るサービスシステムによる処理の手順を示すシーケンス図である。
【図11】実施例2に係るサービスシステムの概要および特徴を説明するための図である。
【図12】実施例2に係るネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【図13】実施例4に係るサービスシステムの概要および特徴を説明するための図である。
【図14】実施例4に係るネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【図15】実施例4に係るネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【符号の説明】
【0133】
100 ネットワーク事業者装置
110 通信制御I/F部
120 記憶部
121 利用者管理データベース部
122 サービス事業者管理データベース部
130 制御部
131 認証処理部
132 回線情報取得部
133 利用者認証結果送信部
200 サービス事業者装置
210 通信制御I/F部
220 記憶部
230 制御部
231 SPサイトアクセス応答部
232 利用者認証要求送信部
233 アクセス制御部
300 利用者装置
【技術分野】
【0001】
この発明は、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムおよびサービスシステム制御方法に関する。
【背景技術】
【0002】
従来より、インターネットの普及や回線速度の高速化に伴い、サービス提供事業者(SP:Service Provider)は、各種アプリケーションサービス(電子メール、音楽コンテンツ、映像コンテンツ、ショッピング、オークションなど)を利用者に提供している。このような各種アプリケーションサービスを、サービス提供事業者が利用者に提供するためには、まず、ネットワーク事業者が、利用者の利用者登録を行うことが前提となる。ここで、ネットワーク事業者とは、例えば、xDSL(x Digital Subscriber Line)や光ファイバーなどの固定ネットワークによるアクセスサービスを提供する事業者、無線LAN(Local Area Network)によるアクセスサービスを提供する事業者、その他インターネットへのアクセスサービスを提供する事業者(ISP:Internet Services Provider)などのことである。
【0003】
ネットワーク事業者が行う利用者登録について具体的に説明すると、ネットワーク事業者は、運転免許証などの身分証明書とともに利用者によってオフラインで提示された利用者情報(例えば、利用者の氏名、住所、クレジットカード番号など)を取得し、身分証明書による利用者の本人確認を行った上で利用者登録し、利用者のアカウントおよびパスワードの払い出しを行うのが通常である。こうして利用者登録を完了すると、ネットワーク事業者は、利用者から送信されたアカウントとパスワードとを利用者認証することによって、利用者によるインターネットなどのネットワーク利用を可能にする。
【0004】
次に、各種アプリケーションサービスを、サービス提供事業者が利用者に提供するためには、上記したようなネットワーク事業者による利用者登録が完了し、利用者によるインターネットなどのネットワーク利用が可能になった上で、サービス提供事業者が、利用者の利用者登録(もしくは利用者認証)を行わなければならない。サービス提供事業者が行う利用者登録について具体的に説明すると、サービス提供事業者は、利用者情報(例えば、利用者の氏名、住所、クレジットカード番号など)を、利用者からオンラインで送信されることで取得し、取得した利用者情報に基づいて利用者登録を行う。
【0005】
例えば、特許文献1では、サービス提供事業者とは異なる第三者認証機関としての役割を持つ認証サーバが利用者登録(もしくは、利用者認証)を行い、その結果をサービス提供事業者に提供することで、サービス提供事業者が各種アプリケーションサービスを利用者に提供する手法が開示されている。
【0006】
【特許文献1】特開2004−355073号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
ところで、上記した従来技術では、以下に説明するように、サービス事業者装置において、信用性の高いサイトアクセス制御(例えば、利用者登録、利用者認証など)を実現することができないという課題がある。すなわち、サイトアクセス制御のひとつであるサービス事業者における利用者登録についていえば、サービス提供事業者は、サービス提供事業者装置または第三者認証機関としての役割を持つ認証サーバにおいて、運転免許証などの身分証明書とともに利用者によってオフラインで提示された利用者情報に基づいて、利用者の本人確認を行った上で利用者登録を行うわけではないことから、サービス事業者装置において、信用性の高い利用者登録を実現することができない。
【0008】
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することが可能なサービスシステムおよびサービスシステム制御方法を提供することを目的とする。
【課題を解決するための手段】
【0009】
上述した課題を解決し、目的を達成するため、請求項1に係る発明は利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムであって、前記ネットワーク事業者装置は、前記ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶する利用者情報記憶手段と、前記サービス事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得する回線情報取得手段と、前記回線情報取得手段によって取得された回線情報に対応付けられた利用者情報を前記利用者情報記憶手段から取得し、当該利用者情報を用いて前記利用者認証を行って得られる利用者認証結果を、前記利用者装置を経由するリダイレクト通信によって前記サービス事業者装置に送信する利用者認証結果送信手段と、前記サービス事業者装置は、前記利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求を前記ネットワーク事業者装置に送信する利用者認証要求送信手段と、前記ネットワーク事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いて前記サイトアクセスを制御するアクセス制御手段と、を備えたことを特徴とする。
【0010】
また、請求項2に係る発明は、上記の発明において、前記利用者認証結果送信手段は、前記利用者情報に加えて、前記回線情報を用いて前記利用者認証を行って得られる利用者認証結果を前記サービス事業者装置に送信することを特徴とする。
【0011】
また、請求項3に係る発明は、上記の発明において、前記利用者認証要求送信手段は、前記利用者装置の利用者認証を要求する利用者認証要求とともに、前記利用者装置と前記サービス事業者装置との間における契約管理を要求する契約管理要求をさらに送信し、前記利用者情報記憶手段は、前記サービス事業者装置から前記契約管理要求を受信した場合には、前記利用者情報に対応付けて、前記利用者装置と前記サービス事業者装置との間における契約に関する契約情報を記憶することを特徴とする。
【0012】
また、請求項4に係る発明は、上記の発明において、前記利用者認証結果送信手段は、前記利用者認証結果に加えて、当該利用者認証結果の有効期限を示す有効期限情報を前記サービス事業者装置に送信し、前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者認証結果に加えて前記有効期限情報を受信した場合に、当該有効期限情報に示される有効期限を満たすことを条件に、前記利用者認証結果を用いて前記サイトアクセスを制御することを特徴とする。
【0013】
また、請求項5に係る発明は、上記の発明において、前記利用者認証結果送信手段は、前記利用者認証結果に加えて、前記ネットワーク事業者装置が署名する電子署名を前記サービス事業者装置に送信し、前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者認証結果に加えて前記電子署名を受信した場合に、当該電子署名が正当であることを条件に、前記利用者認証結果を用いて前記サイトアクセスを制御することを特徴とする。
【0014】
また、請求項6に係る発明は、上記の発明において、前記利用者認証結果送信手段は、前記サービス事業者装置から前記利用者認証要求に加えて、当該サービス事業者装置が署名する電子署名を受信した場合に、当該電子署名が正当であることを条件に、前記利用者認証結果を当該サービス事業者装置に送信し、前記利用者認証要求送信手段は、前記利用者認証要求に加えて、前記電子署名を前記ネットワーク事業者装置に送信することを特徴とする。
【0015】
また、請求項7に係る発明は、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムを制御するサービスシステム制御方法であって、前記ネットワーク事業者装置は、前記ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶する利用者情報記憶工程と、前記サービス事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得する回線情報取得工程と、前記回線情報取得工程によって取得された回線情報に対応付けられた利用者情報を前記利用者情報記憶工程から取得し、当該利用者情報を用いて前記利用者認証を行って得られる利用者認証結果を、前記利用者装置を経由するリダイレクト通信によって前記サービス事業者装置に送信する利用者認証結果送信工程と、前記サービス事業者装置は、前記利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求を前記ネットワーク事業者装置に送信する利用者認証要求送信工程と、前記ネットワーク事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いて前記サイトアクセスを制御するアクセス制御工程と、を含んだことを特徴とする。
【発明の効果】
【0016】
請求項1または7の発明によれば、ネットワーク事業者装置は、ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶し、サービス事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得し、取得された回線情報に対応付けられた利用者情報を取得し、当該利用者情報を用いて利用者認証を行って得られる利用者認証結果を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信し、サービス事業者装置は、利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求をネットワーク事業者装置に送信し、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いてサイトアクセスを制御するので、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することが可能である。
【0017】
また、ネットワーク事業者にて認証処理を行う結果、サービス事業者装置で認証処理を行う必要がなく、サービス事業者装置の処理負荷を軽減することが可能である。さらに、サービス事業者装置で利用者情報(例えば、契約情報など)を管理する必要がないので、サービス事業者装置における利用者情報管理に関するコストや処理負荷を削減することが可能である。
【0018】
また、請求項2の発明によれば、利用者認証情報に加えて、回線情報を用いて利用者認証を行って得られる利用者認証結果をサービス事業者装置に送信するので、利用者情報のみを用いてサイトアクセスを制御する手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を高度に実現することが可能になる。
【0019】
すなわち、利用者装置が接続する回線に関する回線情報を用いて、利用者装置が接続する場所や回線速度などを特定できることから、例えば、利用者装置が接続する場所や回線速度によってはサイトアクセスを許可/拒否を決定し、あるいは、場所や回線速度に応じて提供するサービスを選択することなど、サービス事業者装置において、信用性の高いサイトアクセス制御を高度に実現することが可能になる。具体的に例を挙げて説明すると、回線情報によって特定されるネットワークへの接続場所が、「自宅」以外の場所の場合には、オークションサービスの提供を許可しないことや、回線情報によって特定される回線速度が高速な場合には、高解像度の映像コンテンツサービスを提供することなどが可能になる。
【0020】
また、請求項3の発明によれば、利用者装置の利用者認証を要求する利用者認証要求とともに、利用者装置とサービス事業者装置との間における契約管理を要求する契約管理要求をさらに送信し、サービス事業者装置から契約管理要求を受信した場合には、利用者情報に対応付けて、利用者装置とサービス事業者装置との間における契約に関する契約情報を記憶するので、サービス事業者装置における処理負荷をさらに軽減することが可能であるとともに、サービス事業者装置における利用者情報管理に関するコストや処理負荷をさらに削減することが可能である。
【0021】
また、請求項4の発明によれば、利用者認証結果に加えて、当該利用者認証結果の有効期限を示す有効期限情報をサービス事業者装置に送信し、ネットワーク事業者装置から利用者認証結果に加えて有効期限情報を受信した場合に、当該有効期限情報に示される有効期限を満たすことを条件に、利用者認証結果を用いてサイトアクセスを制御するので、利用者情報をサービス事業者装置に送信する際に有効期限情報を送信しない手法に比較して、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。
【0022】
すなわち、利用者情報をサービス事業者装置に送信する際に有効期限情報を送信しない手法では、例えば、利用者装置を経由するリダイレクト通信において、利用者装置が利用者情報その他の制御情報などを不正に取得し、不正に情報を取得した利用者装置が不正にサイトアクセスするおそれなどがあるが、有効期限情報(例えば、有効期限は、数秒、数十秒といったオーダーで設定される)を送信することで、これらのおそれを回避できることから、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。
【0023】
また、請求項5の発明によれば、利用者認証結果に加えて、ネットワーク事業者が署名する電子署名をサービス事業者装置に送信し、ネットワーク事業者装置から利用者認証結果に加えて電子署名を受信した場合に、当該電子署名が正当であることを条件に、利用者認証結果を用いてサイトアクセスを制御するので、ネットワーク事業者装置が利用者認証要求とともに電子署名を送信しない場合に比べて、サービス事業者装置において、信用性の高いサイトアクセス制御をより安全に実現することが可能になる。例えば、電子署名を送信しない場合、本当に正当なネットワーク事業者装置が送信した利用者認証要求であるか否かを判定することができないが、電子署名を送信した場合では、正当なサービス事業者が送信した利用者認証要求であるか否かを判定することができる。
【0024】
また、請求項6の発明によれば、サービス事業者装置から利用者認証要求に加えて、当該サービス事業者装置が署名する電子署名を受信した場合に、当該電子署名が正当であることを条件に、利用者認証結果を当該サービス事業者装置に送信し、利用者認証要求に加えて、電子署名をネットワーク事業者装置に送信するので、サービス事業者装置が利用者認証要求とともに電子署名を送信しない場合に比べて、サービス事業者装置において、信用性の高いサイトアクセス制御をより安全に実現することが可能になる。例えば、電子署名を送信しない場合、本当に正当なサービス事業者装置が送信した利用者認証要求であるか否かを判定することができないが、電子署名を送信した場合では、正当なサービス事業者が送信した利用者認証要求であるか否かを判定することができる。
【発明を実施するための最良の形態】
【0025】
以下に添付図面を参照して、この発明に係るサービスシステムの実施例を詳細に説明する。なお、以下の実施例で用いる主要な用語、実施例1に係るサービスシステムの概要および特徴、実施例1に係るサービスシステムの構成および処理の手順、実施例1の効果を順に説明し、続いて、他の実施例について説明する。
【実施例1】
【0026】
[用語の説明]
まず最初に、以下の実施例で用いる主要な用語を説明する。「利用者装置」とは、パーソナルコンピュータや携帯電話などで構成され、利用者によって操作される装置のことである。具体的には、「利用者装置」は、インターネットなどのネットワークに接続し、ネットワーク上で公開されている各種アプリケーションサービス(例えば、電子メール、音楽コンテンツ、映像コンテンツ、ショッピング、オークションなど)の情報を、ネットワーク上の他のコンピュータから受信してモニタやスピーカーなどに出力したり、利用者によって入力された情報を、ネットワーク上の他のコンピュータに送信したりすることで、各種アプリケーションサービスを利用者に提供する。
【0027】
ところで、この「利用者装置」が、ネットワーク上の各種アプリケーションサービスの情報を他のコンピュータと送受信するためには、「ネットワーク事業者装置」によって、ネットワーク接続を制御されることと、「サービス事業者装置」によって、サイトアクセスを制御されることとが必要になる。
【0028】
具体的に説明すると、「ネットワーク事業者装置」とは、汎用的なコンピュータなどで構成され、ネットワーク事業者によって運営される装置のことである。また、ネットワーク事業者とは、利用者登録した利用者によって操作される「利用者装置」に対して、インターネットなどのネットワークに接続するための回線を提供する事業者のことである。例えば、ネットワーク事業者とは、xDSL(x Digital Subscriber Line)や光ファイバーなどの固定ネットワークによるアクセスサービスを提供する事業者、無線LAN(Local Area Network)によるアクセスサービスを提供する事業者、その他インターネットへのアクセスサービスを提供する事業者(ISP:Internet Services Provider)などのことであり、「利用者装置」は、まず、ネットワーク事業者によって運営される「ネットワーク事業者装置」に利用者登録されて、ネットワーク接続を制御されることで(インターネットなどのネットワークに接続するための回線への接続を許可されることで)、インターネットなどのネットワークに接続できるようになる。なお、ネットワーク上には、多数のネットワーク事業者が存在し、多数の「ネットワーク事業者装置」が存在するが、「利用者装置」は、任意の「ネットワーク事業者装置」によってネットワーク接続を制御されることで、インターネットなどのネットワークに接続する。
【0029】
こうして、「ネットワーク事業者装置」にネットワーク接続を制御されることで、インターネットなどのネットワークに接続できるようになった「利用者装置」は、次に、各種アプリケーションサービスの提供を受けるために、「サービス事業者装置」に利用者登録(もしくは利用者認証)されなければならない。「サービス事業者装置」とは、汎用的なコンピュータなどで構成され、サービス提供事業者によって運営される装置のことである。また、サービス提供事業者とは、利用者登録(もしくは利用者認証)した利用者によって操作される「利用者装置」に対して、各種アプリケーションサービスを提供する事業者のことである。例えば、サービス提供事業者とは、ネットワーク上で各種アプリケーションサービス(例えば、電子メール、音楽コンテンツ、映像コンテンツ、ショッピング、オークションなど)を提供する事業者などのことであり、「利用者装置」は、サービス提供事業者によって運営される「サービス事業者装置」に利用者登録(もしくは利用者認証)されて、サイトアクセスを制御されることで、各種アプリケーションサービスの提供を受けることができるようになる。なお、「ネットワーク事業者装置」同様、ネットワーク上には、多数のサービス提供事業者が存在し、多数の「サービス事業者装置」が存在するが、「利用者装置」は、任意の「サービス事業者装置」によってサイトアクセスを制御されることで、任意のアプリケーションサービスの提供を受ける。
【0030】
ここで、「サイトアクセス」とは、例えば、利用者登録していない利用者によって操作される「利用者装置」が「サービス事業者装置」に接続した際に、「サービス事業者装置」において利用者登録を行うことや、利用者登録した利用者によって操作される「利用者装置」が接続した際に、利用者認証を行うことで「利用者装置」にアプリケーションサービスを提供することや、利用者登録していない利用者によって操作される「利用者装置」が接続した際に、利用者登録を行わずにワンタイムで利用者認証を行うことで「利用者装置」にアプリケーションサービスを提供することなどを総称したものである。「サービス事業者装置」が提供するアプリケーションサービスの種類や利用局面などに応じて、「サイトアクセス」を制御する制御内容は異なってくる。
【0031】
このように、「ネットワーク事業者装置」が「利用者装置」によるネットワーク接続を制御し、「サービス事業者装置」が「利用者装置」によるサイトアクセスを制御するシステムを、「サービスシステム」というが、「サービスシステム」においては、なりすましやクレジットカード番号の悪用など、さまざまな脅威が存在する。このため、「サービスシステム」においては、信用性の高いサイトアクセス制御をいかにして実現するかが、特に重要な点になる。
【0032】
[実施例1に係るサービスシステムの概要および特徴]
続いて、図1を用いて、実施例1に係るサービスシステムの概要および特徴を説明する。図1は、実施例1に係るサービスシステムの概要および特徴を説明するための図である。なお、以下の実施例では、ひとつの「利用者装置」によるネットワーク接続を、ひとつの「ネットワーク事業者装置」が制御し、ひとつの「利用者装置」によるサイトアクセスを、ひとつの「サービス事業者装置」が制御する構成を説明するが、この発明はこれに限られるものではなく、ひとつまたは複数の「利用者装置」によるネットワーク接続を、ひとつまたは複数の「ネットワーク事業者装置」が制御し、ひとつまたは複数の「利用者装置」によるサイトアクセスを、ひとつまたは複数の「サービス事業者装置」が制御する構成にも、この発明を同様に適用することができる。なお、実施例1に係るサービス事業者装置は、一つのアプリケーションサービスを提供するものとする。
【0033】
実施例1に係るサービスシステムは、上記したように、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されることを概要とし、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することを主たる特徴とする。
【0034】
この主たる特徴について簡単に説明すると、実施例1におけるネットワーク事業者装置は、利用者装置の利用者について、あらかじめ利用者登録しており、利用者装置のネットワーク接続を許可しているものとする。すなわち、ネットワーク事業者装置は、図1に示すように、ネットワーク接続が許可される利用者装置の利用者に関する利用者情報(例えば、契約者名、住所、クレジットカード番号など)を、利用者装置が接続する回線に関する回線情報(例えば、回線の識別子、回線の収容位置、回線種別、回線速度など)と対応づけて、利用者管理データベース部(利用者管理DB)に記憶している。例えば、図1においては、利用者アカウントAAAに関する利用者情報(「AAAの利用者情報」)を、回線情報(「AAAの回線情報」)と対応づけて、利用者管理DBに記憶している。
【0035】
一方、実施例1におけるサービス事業者装置は、利用者装置の利用者について、利用者登録していないものとする。すなわち、利用者装置は、サービス事業者装置が提供するアプリケーションサービスの提供を受けることができない状態にある。なお、実施例1において、サービス事業者装置が提供するアプリケーションサービスは、利用者アカウントを作成することなく一時的な利用を許可する『シングルサインオン』で提供できるタイプのアプリケーションサービスであるとするが、この発明はこれに限られるものではなく、利用者登録を行うことで永続的に利用できるタイプのアプリケーションサービスにも、適用することができる。
【0036】
また、実施例1におけるネットワーク事業者装置とサービス事業者装置との間では、『ネットワーク事業者装置がサービス事業者装置に代わって利用者認証を行うこと』について、あらかじめ取り決めがなされているものとする。さらに、ネットワーク事業者装置とサービス事業者装置との間では、あらかじめ信頼関係が成立しているものとする。すなわち、ネットワーク事業者装置においては、サービス事業者装置が署名する電子署名が正当であることを検証するための公開鍵情報(サービス事業者装置の電子証明書など)を管理し、サービス事業者装置においては、ネットワーク事業者装置が署名する電子署名が正当であることを検証するための公開鍵情報(ネットワーク事業者装置の電子証明書など)を管理しているものとする。なお、実施例1においては、ネットワーク事業者装置およびサービス事業者装置において、互いの公開鍵情報を管理する手法を説明するが、この発明はこれに限られるものではなく、信頼される第三者機関によって発行される公開鍵情報を用いて電子署名が正当であることを検証する手法など、電子署名が正当であることを検証する手法はいずれでもよい。また、必ずしも電子署名を送信する必要はない。
【0037】
このような構成のもと、実施例1におけるネットワーク事業者装置は、まず、利用者装置から、ネットワーク接続要求を受信する(図1の(1)を参照)。具体的には、ネットワーク事業者装置は、利用者装置から、ネットワーク接続要求として、回線認証情報(例えば、利用者アカウント、パスワードなど)を受信する。例えば、図1においては、利用者アカウントAAAとパスワードとを受信する。なお、回線認証情報として、利用者装置から、電子署名等を受信してもよい。
【0038】
次に、ネットワーク事業者装置は、ネットワーク事業者装置において、認証処理を行う(図1の(2)を参照)。具体的には、ネットワーク事業者装置は、利用者装置から受信した回線認証情報と、利用者管理DBに管理する回線認証情報(例えば、利用者アカウント、パスワードなど)とを照合し、利用者装置を認証する。例えば、図1においては、利用者管理DBに管理する利用者アカウントAAAと図示しないパスワードとを照合し、利用者装置を認証する。
【0039】
そして、ネットワーク事業者装置は、利用者装置に、ネットワーク接続応答を送信する(図1の(3)を参照)。具体的には、ネットワーク事業者装置は、利用者装置に対して、インターネットなどのネットワークに接続するための回線(アクセスネットワーク)へのアクセスパスをPPPoE(Point to Point Protocol over Ethernet(登録商標))などで設定し、IPアドレスを払い出し、利用者装置に送信する。また、ネットワーク事業者装置は、利用者装置に対して払い出したIPアドレスを、利用者管理DBに格納する。
【0040】
その結果、利用者装置は、インターネットなどのネットワークに接続し、続いて、サービス事業者装置は、利用者装置から、SPサイトアクセス要求を受信する(図1の(4)を参照)。具体的には、サービス事業者装置は、利用者装置から、SPサイトアクセス要求として、サービス事業者装置が提供するアプリケーションサービスが公開されているSPサイトのURL(Uniform Resource Locator)などを受信する。
【0041】
すると、サービス事業者装置は、利用者装置に対して、SPサイトアクセス応答を送信する(図1の(5)を参照)。具体的には、サービス事業者装置は、Webページを取得し、SPサイトアクセス応答として、Webページを送信する。ここで、実施例1におけるサービス事業者装置から送信されるWebページは、利用者装置の利用者について、アプリケーションサービスをシングルサインオンで使用するためにシングルサインオン要求を促すWebページである。
【0042】
次に、サービス事業者装置は、利用者装置から、シングルサインオン要求を受信する(図1の(6)を参照)。具体的には、利用者装置において、シングルサインオン要求を促すWebページのアイコン(「シングルサインオン要求」など)がワンクリックされることなどによって、シングルサインオン要求を受信する。
【0043】
続いて、サービス事業者装置は、利用者装置からサイトアクセスの要求(シングルサインオン要求)を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求をネットワーク事業者装置に送信する(図1の(7)および(8)を参照)。
【0044】
すると、実施例1におけるネットワーク事業者装置は、利用者装置が接続されている回線に関する回線情報を取得する(図1の(9)を参照)。具体的には、ネットワーク事業者装置は、サービス事業者装置から、利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、利用者装置が接続する回線を特定することで、回線情報を取得する。
【0045】
続いて、ネットワーク事業者装置は、取得された回線情報に対応付けられた利用者情報を取得し、当該利用者情報を用いて利用者認証を行って得られる利用者認証結果を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信する(図1の(10)および(11)参照)。上記した例で具体的に説明すると、ネットワーク事業者装置は、取得された回線情報「回線識別子(123)」に対応付けられた利用者情報(「tarou、123、#A500、光、・・・)を取得し、当該利用者情報がネットワーク事業者装置により登録されている利用者装置であることを根拠に、利用者認証結果として「認証通過」を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信する。
【0046】
つまり、ここで、ネットワーク事業者装置は、取得した回線情報がネットワーク事業者装置に記憶される利用者情報であるか否かによって、利用者認証を行い、判定した認証結果(例えば、認証通過や認証失敗)を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信する。
【0047】
そして、サービス事業者装置は、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いてサイトアクセスを制御する(図1の(12)参照)。具体的に説明すると、サービス事業者装置は、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって「認証通過」を受信した場合には、シングルサインオンによるサイトアクセスを許可し、アプリケーションサービスの提供を開始するWebページを送信する。「認証拒否」を受信した場合には、シングルサインオンによるサイトアクセスを拒否する。
【0048】
このようなことから、上記した主たる特徴のごとく、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することが可能である。また、ネットワーク事業者にて認証処理を行う結果、サービス事業者装置で認証処理を行う必要がなく、サービス事業者装置の処理負荷を軽減することが可能である。さらに、サービス事業者装置で利用者認証のために利用者情報(例えば、契約情報など)を管理する必要がないので、サービス事業者装置における利用者情報管理に関するコストや処理負荷を削減することが可能である。
【0049】
[実施例1に係るサービスシステムの構成]
次に、図2〜図9を用いて、実施例1に係るサービスシステムの構成を説明する。図2は、実施例1に係るサービスシステムの構成を示すブロック図であり、図3と図4は、サービス事業者装置が利用者装置に送信するWebページを説明するための図であり、図5〜図9は、ネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【0050】
図2に示すように、実施例1に係るサービスシステムは、利用者装置300によるネットワーク接続を制御するネットワーク事業者装置100と、利用者装置300によるサイトアクセスを制御するサービス事業者装置200とから構成される。以下では、ネットワーク事業者装置100とサービス事業者装置200とを順に説明する。
【0051】
[ネットワーク事業者装置100]
実施例1におけるネットワーク事業者装置100は、汎用的なコンピュータなどで構成され、特にこの発明に密接に関連するものとしては、図2に示すように、通信制御I/F部110と、記憶部120と、制御部130とを備える。
【0052】
通信制御I/F部110は、利用者装置300やサービス事業者装置200との間でやり取りする各種情報に関する通信を制御する。具体的には、利用者装置300からネットワーク接続要求を受信したり、サービス事業者装置200から利用者装置300を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信したりする。
【0053】
記憶部120は、制御部130における各種制御に用いられるデータを記憶し、特にこの発明に密接に関連するものとしては、図2に示すように、利用者管理データベース部121と、サービス事業者管理データベース部122とを備える。なお、利用者管理データベース部121は、特許請求の範囲に記載の「利用者情報記憶手段」に対応する。
【0054】
利用者管理データベース部121は、ネットワーク接続が許可される利用者装置300の利用者に関する利用者情報を記憶する。具体的には、利用者管理データベース部121は、ネットワーク接続が許可される利用者装置300の利用者に関する利用者情報を、利用者装置300が接続する回線に関する回線情報と対応付けて記憶し、記憶する利用者情報および回線情報は、後述する認証処理部131、回線情報取得部132、および利用者認証結果部133による処理に利用される。なお、実施例1において、利用者管理データベース部121は、以下に説明するように、利用者アカウントとIPアドレスとを対応づけて記憶し、利用者アカウントと利用者情報とを対応づけて記憶し、利用者アカウントと回線情報とを対応づけて記憶し、利用者アカウントとSP IDとを対応づけて記憶し、RDBMS(Relational DataBase Management System)プログラムなどを稼動させることで、利用者装置300の利用者に関する利用者情報を回線情報と対応付けて記憶するが、この発明はこれに限られるものではなく、利用者情報を回線情報と対応付けて記憶するものであれば、データベースの構築手法はいずれでもよい。
【0055】
例えば、実施例1における利用者管理データベース部121は、図5に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)とIPアドレス(『IPアドレス』の列を参照)とを対応づけて記憶する。ここで、利用者アカウントと対応付けて記憶されるIPアドレスとは、ネットワーク事業者装置100が、後述する認証処理部131において利用者装置300にネットワーク接続応答を送信する際に、利用者装置300に対して、インターネットなどのネットワークに接続するための回線(アクセスネットワーク)へのアクセスパスをPPPoE(Point to Point Protocol over Ethernet(登録商標))などで設定し、利用者装置300に対して払い出したIPアドレスである。利用者管理データベース部121は、認証処理部131において払い出されたIPアドレスを記憶する。
【0056】
図5の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と「192.168.x.x」とを対応づけて記憶する。なお、実施例においては、説明の便宜上からIPアドレスを「192.168.x.x」のように特定の数字とアルファベットとを組合せた表記をするが、実際は、ネットワーク事業者装置から払いだされる一般的なIPアドレスであって、特定の数字とアルファベットとの組合せや選択に何ら特別の意味があるものではない。
【0057】
また、例えば、実施例1における利用者管理データベース部121は、図6に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)と、利用者情報(『契約者名』、『住所(請求書の送付先)』、『クレジットカード番号』、および『通信料の支払い有無』の列を参照)とを対応づけて記憶する。ここで、利用者アカウントと対応付けて記憶される利用者情報とは、ネットワーク事業者装置100が、オフラインで提示された利用者情報を利用者登録したものである。すなわち、実施例1におけるネットワーク事業者装置100は、利用者装置300の利用者についてあらかじめ利用者登録を行っていることを前提としているが、この利用者登録は、運転免許証などの身分証明書とともに利用者によってオフラインで提示された利用者情報を、ネットワーク事業者が身分証明書による利用者の本人確認を行った上で利用者登録した信用性の高い情報である。利用者管理データベース部121は、ネットワーク事業者装置100を操作する操作者などによってネットワーク事業者装置100に入力された利用者情報を、あらかじめ記憶している。
【0058】
図6の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と、契約者名「特許 太郎」と、住所「東京都・・・・」と、クレジットカード番号「1111-1111-1111-1111」と、通信料の支払い有無「有」とを対応づけて記憶する。なお、実施例においては、利用者情報として、契約者名、住所、クレジットカード番号、および通信料の支払い有無を記憶する場合を説明したが、この発明はこれに限られるものではなく、性別や年齢などの情報をさらに記憶する場合や、通信料の支払い有無を記憶しない場合など、ネットワーク事業者装置およびサービス事業者装置において必要な利用者情報を含む場合であれば、いずれでもよい。
【0059】
また、例えば、実施例1における利用者管理データベース部121は、図7に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)と、回線情報(『回線の識別子』、『回線の収容位置』、『回線種別』、『回線速度』、および『回線認証情報(パスワードなど)』の列を参照)とを対応づけて記憶する。ここで、利用者アカウントと対応付けて記憶される回線情報とは、ネットワーク事業者装置100が、利用者情報を利用者登録するとともに、ネットワーク事業者において収集された回線情報を登録したものである。すなわち、実施例1におけるネットワーク事業者装置100は、利用者装置300の利用者についてあらかじめ利用者登録を行っていることを前提としているが、この利用者登録の際に(もしくは利用者登録の前後に)、利用者登録された利用者によって操作される利用者装置300の回線情報を、併せて登録している。この回線情報は、ネットワーク事業者装置100を運営するネットワーク事業者によって収集される情報であることから、信用性の高い情報である。利用者管理データベース部121は、ネットワーク事業者装置100を操作する操作者などによってネットワーク事業者装置100に入力された回線情報を、あらかじめ記憶している。
【0060】
図7の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と、回線の識別子「123」と、回線の収容位置「#A500」と、回線種別「光」と、回線速度「100Mbps/100Mbps」と、回線認証情報「******」とを対応づけて記憶する。なお、実施例においては、回線情報として、回線の識別子、回線の収容位置、回線種別、回線速度、および回線認証情報を記憶する場合を説明したが、この発明はこれに限られるものではなく、回線の収容位置を記憶しない場合など、ネットワーク事業者装置およびサービス事業者において必要な回線情報を含む場合であれば、いずれでもよい。また、実施例においては、回線の識別子や回線の収容位置など、説明の便宜上から特定の数字や記号を組み合わせた表記をするが、実際は、ネットワーク事業者装置において規定される情報であり、特定の数字や記号に何ら特別の意味があるものではない。
【0061】
また、例えば、実施例1における利用者管理データベース部121は、図8に示すように、利用者アカウント(『NW利用者アカウント』の列を参照)と、SP ID(『SP ID』の列を参照)とを対応づけて記憶する。ここで、SP IDとは、ネットワーク事業者装置100において、サービス事業者装置200を識別するための識別子のことである。図8の1行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「tarou」と、SP ID「1」および「3」とを対応づけて記憶する。ここで、利用者管理データベース部121が、利用者アカウント「tarou」と複数のSP IDとを対応づけて記憶するのは、ひとつの利用者アカウントについて、複数のサービス事業者装置200との間で、アカウントの対応づけを保持することが可能であることを示している。したがって、利用者管理データベース部121が、ひとつの利用者アカウントについて、ひとつのSP IDを対応づけて記憶する場合や、ひとつの利用者アカウントについて、3つ以上の複数のSP IDを対応づけて記憶する場合にも、この発明を同様に適用することができる。
【0062】
また、図8の4行目に示すように、例えば、利用者管理データベース部121は、利用者アカウント「ichiro」と、SP ID「2」とを対応づけて記憶する。この場合、利用者アカウント「ichiro」によって操作される利用者装置300がサイトアクセスを制御されるサービス事業者装置200は、SP ID「2」で識別されるサービス事業者装置200であることを示している。
【0063】
サービス事業者管理データベース部122は、サービス事業者装置200に関する情報を記憶する。具体的には、サービス事業者管理データベース部122は、サービス事業者装置200に関する情報として、SP IDと公開鍵情報(サービス事業者装置200の電子証明書など)とを対応づけて記憶し、記憶するSP IDおよび公開鍵情報は、後述する回線情報取得部132による処理に利用される。ここで、公開鍵情報とは、実施例1においては、ネットワーク事業者装置100とサービス事業者装置200との間で、あらかじめ信頼関係が成立しているものとするので、ネットワーク事業者装置100において、サービス事業者装置200が署名する電子署名が正当であることを検証するための公開鍵情報である。
【0064】
なお、実施例1においては、図9に示すように、サービス事業者管理データベース部122が公開鍵情報を記憶する場合を説明したが、この発明はこれに限られるものではなく、例えば、信頼される第三者機関によって発行される公開鍵情報を用いて電子署名が正当であることを検証する手法では、サービス事業者管理データベース部122が公開鍵情報を記憶する必要はない。また、実施例1において、サービス事業者管理データベース部122は、RDBMSプログラムなどを稼動させることで、SP IDと公開鍵情報とを対応づけて記憶するが、この発明はこれに限られるものではなく、サービス事業者装置200を識別する識別子を記憶するものであれば、データベースの構築手法はいずれでもよい。
【0065】
制御部130は、ネットワーク事業者装置100における各種制御を行い、特にこの発明に密接に関連するものとしては、図2に示すように、認証処理部131と、回線情報取得部132と、利用者認証結果送信部133とを備える。なお、回線情報取得部132は、特許請求の範囲に記載の「回線情報取得手段」に対応し、利用者認証結果送信部133は、特許請求の範囲に記載の「利用者認証結果送信手段」に対応する。
【0066】
認証処理部131は、利用者装置300の認証処理を行い、利用者装置300によるネットワーク接続を制御する。具体的には、認証処理部131は、利用者装置300からネットワーク接続要求を回線認証情報とともに受信し、受信した回線認証情報と利用者管理データベース部121に記憶される回線認証情報(例えば、利用者アカウント、パスワードなど)とを照合することで利用者装置を認証し、認証結果に応じてネットワーク接続応答を利用者装置300に送信するなどする。
【0067】
また、認証処理部131は、利用者装置300にネットワーク接続応答を送信する際に、利用者装置300に対して、インターネットに接続するための回線へのアクセスパスをPPPoEなどで設定し、利用者装置300に対してIPアドレスを払い出し、払い出したIPアドレスを、利用者装置300に送信するとともに、利用者管理データベース部121に記憶させる。例えば、認証処理部131は、利用者装置300の利用者アカウント「tarou」にネットワーク接続応答を送信する際に、利用者装置300に対してIPアドレス「192.168.x.x」を払い出す。
【0068】
回線情報取得部132は、利用者装置300が接続されている回線に関する回線情報を取得する。具体的には、回線情報取得部132は、サービス事業者装置200から利用者装置300を経由するリダイレクト通信によって利用者装置300の利用者情報の取得を要求する利用者情報取得要求を受信した場合に、利用者装置300が接続されている回線に関する回線情報を取得し、取得した回線情報を、利用者認証結果送信部133に送信する。
【0069】
例えば、回線情報取得部132は、利用者装置300が接続する回線を特定することで取得された回線情報に対応づけられた回線情報を、利用者管理データベース部121から取得する。すなわち、回線情報取得部132は、利用者装置300が接続する回線を特定した結果、利用者装置300が接続する回線の識別子が「123」であることが特定された場合に、利用者管理データベース部121から、回線情報として、例えば、回線の識別子「123」、回線の収容位置「#A500」、回線種別「光」、回線速度「100Mbps/100Mbps」などを取得する。なお、実施例1においては、利用者管理データベース部121から取得した回線情報をサービス事業者装置200に送信する手法を説明したが、この発明はこれに限られるものではなく、利用者装置300が接続する回線を特定することで取得された回線情報をサービス事業者装置200に送信する手法にも、この発明を同様に適用することができる。
【0070】
利用者認証結果送信部133は、回線情報取得部132によって取得された回線情報に対応付けられた利用者情報を利用者管理データベース部121から取得し、当該利用者情報を用いて利用者認証を行って得られる利用者認証結果を、利用者装置300を経由するリダイレクト通信によってサービス事業者装置200に送信する。具体的に例を挙げれば、回線情報取得部132により回線識別子「123」が取得され、当該回線識別子「123」に対応する回線情報「tarou、123、#A500、光、100Mbps/100Mbps、******」が利用者管理データベース部121から取得されると、利用者認証結果送信部133は、回線情報取得部132によって取得された回線情報(回線識別子:123)と、当該回線情報に対応付けられた利用者情報(tarou、123、#A500、光、100Mbps/100Mbps、******)が利用者管理データベース部121に記憶されていることを根拠にし、正当な利用者装置300であるという認証結果(認証通過)を、利用者装置300を経由するリダイレクト通信によってサービス事業者装置200に送信する。
【0071】
一方、回線情報取得部132により回線識別子「123」が取得され、当該回線識別子「123」に対応する回線情報「tarou、123、#A500、光、100Mbps/100Mbps、******」が利用者管理データベース部121から取得できない場合、利用者認証結果送信部133は、当該回線情報に対応付けられた利用者情報が利用者管理データベース部121に記憶されていないことを根拠にし、不正な利用者装置300であるという認証結果(認証拒否)を、利用者装置300を経由するリダイレクト通信によってサービス事業者装置200に送信する。
【0072】
[サービス事業者装置200]
実施例1におけるサービス事業者装置200は、汎用的なコンピュータなどで構成され、特にこの発明に密接に関連するものとしては、図2に示すように、通信制御I/F部210と、記憶部220と、制御部230とを備える。
【0073】
記憶部220は、制御部230による各種処理に必要なデータおよびプログラムを格納する。具体的に例を挙げれば、通信制御I/F部31により受信された利用者認証結果やサイトアクセス要求を一時的に記憶したり、SPサイトアクセス応答部231により送信されるサービス事業者装置200が提供するWeb画面などを記憶する。
【0074】
制御部230は、OS(Operating System)などの制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有するとともに、特に本発明に密接に関連するものとして、利用者認証要求送信部232と、アクセス制御部233とを備え、利用者によって種々の処理を実行する。なお、利用者認証要求送信部232は、特許請求の範囲に記載の「利用者認証要求送信手段」に対応し、アクセス制御部233は、同様に、「アクセス制御手段」に対応する。
【0075】
利用者認証要求送信部232は、利用者装置300からシングルサインオンによるサイトアクセスの要求を受け付けた場合に、当該利用者装置300を経由するリダイレクト通信によって、当該利用者装置300の利用者認証を要求する利用者認証要求をネットワーク事業者装置100に送信する。具体的に例を挙げれば、図3に示したように、利用者装置において、シングルサインオン要求を促すWebページのアイコン(「シングルサインオン要求」など)がワンクリックされることによって、シングルサインオン要求を受信すると、利用者認証要求送信部232は、当該利用者装置300を経由するリダイレクト通信によって、当該利用者装置300の利用者認証を要求する利用者認証要求をネットワーク事業者装置100に送信する。
【0076】
アクセス制御部233は、ネットワーク事業者装置100から利用者装置300を経由するリダイレクト通信によって当該利用者装置300の利用者認証結果を受信した場合に、当該利用者認証結果を用いてサイトアクセスを制御する。具体的に例を挙げると、ネットワーク事業者装置100から利用者装置300を経由するリダイレクト通信によって、認証通過(認証許可)を受信すると、アクセス制御部233は、図4に示すような、当該サイトアクセスに対応するアプリケーションサービスの利用を利用者装置300に対して許可する。一方、認証拒否を受信すると、アクセス制御部233は、当該サイトアクセスに対応するアプリケーションサービスの利用を利用者装置300に対して拒否する。
【0077】
[実施例1に係るサービスシステムによる処理の手順]
次に、図10を用いて、実施例1に係るサービスシステムによる処理の手順を説明する。図10は、実施例1に係るサービスシステムによる処理の手順を示すシーケンス図である。ここで、実施例1におけるネットワーク事業者装置100は、利用者装置300の利用者について、あらかじめ利用者登録しており、利用者装置300のネットワーク接続を許可しているものとする。一方、実施例1におけるサービス事業者装置200は、利用者装置300の利用者について、利用者登録をしていないものとする。すなわち、利用者装置300は、サービス事業者装置200が提供するアプリケーションサービスの提供を受けることができない状態にある。以下では、利用者装置300がネットワークへの接続を行う処理(図10の(1)を参照)と、利用者装置300がSPサイトへアクセスする処理(図10の(2)を参照)と、ネットワーク事業者装置100が利用者装置300を認証する利用者認証処理(図10の(3)を参照)とについて、順に説明する。
【0078】
[(1)ネットワークへの接続]
まず、ネットワーク事業者装置100における認証処理部131は、利用者装置300から、ネットワーク接続要求を受信する(ステップS1)。具体的には、ネットワーク事業者装置100における認証処理部131は、利用者装置300から、ネットワーク接続要求として、回線認証情報(例えば、利用者アカウント、パスワードなど)を受信する。
【0079】
次に、ネットワーク事業者装置100における認証処理部131は、利用者装置300の認証処理を行う(ステップS2)。具体的には、ネットワーク事業者装置100における認証処理部131は、利用者装置300から受信した回線認証情報と、利用者管理データベース部121に管理する回線認証情報(例えば、利用者アカウント、パスワードなど)とを照合し、利用者装置300を認証する。
【0080】
そして、ネットワーク事業者装置100における認証処理部131は、利用者装置300に、ネットワーク接続応答を送信する(ステップS3)。具体的には、ネットワーク事業者装置100における認証処理部131は、利用者装置300に対して、インターネットに接続するための回線(アクセスネットワーク)へのアクセスパスをPPPoE(Point to Point Protocol over Ethernet(登録商標))などで設定し、IPアドレスを払い出し、利用者装置300に送信する。また、ネットワーク事業者装置100における認証処理部131は、利用者装置300に対して払いだしたIPアドレスを、利用者管理データベース部121に格納する。
【0081】
[(2)SPサイトへアクセス]
続いて、利用者装置300は、インターネットに接続し、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300から、SPサイトアクセス要求を受信する(ステップS4)。具体的には、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300から、SPサイトアクセス要求として、SPサイトのURL(Uniform Resource Locator)などを受信する。
【0082】
すると、サービス事業者装置200におけるSPサイトアクセス応答部231は、Webページを取得する(ステップS5)。具体的には、サービス事業者装置200におけるSPサイトアクセス応答部231は、受信したURLにより、利用者装置300に対してシングルサインオン要求を促すWebページを取得する。
【0083】
そして、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300に対して、SPサイトアクセス応答を送信する(ステップS6)。具体的には、サービス事業者装置200におけるSPサイトアクセス応答部231は、利用者装置300に対して、シングルサインオン要求を促すWebページを送信する。
【0084】
[(3)利用者認証]
次に、利用者装置300は、サービス事業者装置200に対してNW機能を利用したシングルサインオン要求を送信する(ステップS7)。そして、サービス事業者装置200における利用者認証要求送信部232は、当該利用者装置300の利用者認証を要求する利用者認証要求をネットワーク事業者装置100に送信する(ステップS8)。具体的には、サービス事業者装置200における利用者認証要求送信部232は、利用者装置300を経由するリダイレクト通信によって、利用者認証要求を、SP IDと電子署名とともに、ネットワーク事業者装置100に送信する。
【0085】
すると、ネットワーク事業者装置100における回線情報取得部132は、利用者装置300が接続されている回線を特定し、回線情報を取得する(ステップS9)。
【0086】
次に、ネットワーク事業者装置100における利用者認証結果送信部133は、回線を特定することで取得された回線情報に対応づけられた利用者情報を利用者管理データベース部121から取得し、利用者認証を行い(ステップS10)、認証結果をサービス事業者装置200へ送信する(ステップS11)。具体的には、ネットワーク事業者装置100における利用者認証結果送信部133は、当該回線情報に対応付けられた利用者情報が利用者管理データベース部121に記憶されていることを根拠に、当該利用者装置300を正当な利用者装置と判定し、認証結果として「認証通過(許可)」をサービス事業者装置200に送信する。
【0087】
そして、サービス事業者装置200におけるアクセス制御部233は、受信した認証結果に基づいて、サイトアクセスを制御する(ステップS12)。具体的には、サービス事業者装置200におけるアクセス制御部233は、認証通過(許可)を受信すると、利用者装置300のサイトアクセスを許可し、認証拒否を受信すると、サイトアクセスを拒否する。
【0088】
なお、実施例1においては、サービス事業者装置200における利用者認証要求送信部232は、利用者装置300を経由するリダイレクト通信によって、利用者認証要求を、SP IDと電子署名とともに、ネットワーク事業者装置100に送信する場合について説明したが、本発明はこれに限定されるわけではなく、利用者認証要求とSP IDのみを送信してもよい。
【0089】
[実施例1の効果]
上述したように、実施例1によれば、ネットワーク事業者装置は、ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶し、サービス事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証得要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得し、取得された回線情報に対応付けられた利用者情報を取得し、当該利用者情報を用いて利用者認証を行って得られる利用者認証結果を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信し、サービス事業者装置は、利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求をネットワーク事業者装置に送信し、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いてサイトアクセスを制御するので、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することが可能である。
【0090】
また、実施例1によれば、ネットワーク事業者にて認証処理を行う結果、サービス事業者装置で認証処理を行う必要がなく、サービス事業者装置の処理負荷を軽減することが可能である。さらに、サービス事業者装置で利用者認証のために利用者情報(例えば、契約情報など)を管理する必要がないので、サービス事業者装置における利用者情報管理に関するコストや処理負荷を削減することが可能である。
【0091】
また、実施例1によれば、サービス事業者装置から利用者認証要求に加えて、当該サービス事業者装置が署名する電子署名を受信した場合に、当該電子署名が正当であることを条件に、利用者認証結果を当該サービス事業者装置に送信し、利用者認証要求に加えて、電子署名をネットワーク事業者装置に送信するので、サービス事業者装置が利用者認証要求とともに電子署名を送信しない場合に比べて、サービス事業者装置において、信用性の高いサイトアクセス制御をより安全に実現することが可能になる。例えば、電子署名を送信しない場合、本当に正当なサービス事業者が送信した利用者認証要求であるか否かを判定することができないが、電子署名を送信した場合では、正当なサービス事業者が送信した利用者認証要求であるか否かを判定することができる。
【実施例2】
【0092】
ところで、実施例1では、利用者装置が、サービス事業者装置が提供するサービスを利用する場合についてのみ説明したが、本発明はこれに限定されるものではなく、サービス事業者装置が複数のサービスを提供するものであって、各サービスの新規契約や追加契約をする場合にも、本発明を適用してもよい。
【0093】
そこで、実施例2では、利用者装置が、サービス事業者装置が提供するサービスについて新規契約や追加契約をする場合について、図11と図12を用いて説明する。図11は、実施例2に係るサービスシステムの概要および特徴を説明するための図であり、図12は、実施例2に係るネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【0094】
図11に示すように、実施例2におけるサービスシステムは、実施例1と同様、ネットワーク事業者装置と、サービス事業者装置と、利用者装置とから構成され、また、利用者装置とネットワーク事業者装置とは、アクセスネットワークを介して接続され、ネットワーク事業者装置とサービス事業者装置とは、インターネットなどのネットワークを介して接続される。
【0095】
そして、実施例2におけるネットワーク事業者装置は、実施例1と同様に、利用者情報を回線情報と対応づけて、利用者管理データベース部(利用者管理DB)に記憶しており、さらに、図12に示すように、契約管理情報を『利用者装置を一意に識別する「NW利用者アカウント」と、サービス事業者装置を一意に識別する「SP ID」と、契約しているサービス名を示す「サービス名」』として「tarou、3、メール・音楽・映像」や「hana、3、メール」などを記憶する点が実施例1とは異なる。
【0096】
このような構成において、実施例1と同様に、利用者装置は、ネットワーク事業者装置に認証されてインターネットに接続し、サービス事業者装置は、利用者装置からSPサイトアクセス要求を受信すると(図11の(1)〜(4)参照)、SPサイトアクセス応答を送信し、利用者装置は、SPのWebページを取得する(図11の(5)参照)。
【0097】
次に、サービス事業者装置は、利用者装置からサービス追加要求を受信する(図11の(6)を参照)。具体的には、利用者装置において、サービス追加要求を促すWebページのアイコン(「サービス追加要求」など)がワンクリックされることなどによって、サービス追加要求を受信する。
【0098】
そして、サービス事業者装置は、利用者装置の利用者認証を要求する利用者認証要求とともに、利用者装置とサービス事業者装置との間における契約管理を要求する契約管理要求を、利用者装置を経由するリダイレクト通信によって、ネットワーク事業者装置に送信する(図11の(7)および(8)参照)。具体的に例を挙げれば、サービス事業者装置は、利用者認証要求とともに、契約管理要求として『契約の処理を示す「処理種別」と処理対象となる「サービス名」をネットワーク事業者装置に送信する。契約管理要求の例を挙げれば、「契約追加、地図検索サービス」などである。
【0099】
続いて、利用者認証要求とともに、契約管理要求を受信したネットワーク事業者装置は、実施例1と同様に、利用者装置が接続されている回線に関する回線情報を取得して(図11の(9)参照)、利用者認証を行い(図11の(10)参照)、認証結果が認証通過の場合に、受信した契約管理要求に基づいて利用者管理DBを更新するとともに(図11の(11)参照)、認証結果(認証通過)をサービス事業者装置に送信する(図11の(12)参照)。
【0100】
具体的に説明すると、利用者認証の結果が「認証通過(成功)」の場合に、受信した契約管理要求が「処理種別=追加、サービス名=地図検索サービス」だとすると、取得した回線情報に対応する利用者管理DBに「地図検索サービス」を追加するとともに、認証結果(認証通過)をサービス事業者装置に送信する。一方、利用者認証の結果が「認証拒否(失敗)」の場合に、受信した契約管理要求が「処理種別=追加、サービス名=地図検索サービス」だとすると、利用者管理DBへの追加を行わず、認証結果(認証拒否)をサービス事業者装置に送信する。
【0101】
そして、実施例1と同様に、サービス事業者装置は、受信した認証結果に基づいて、アクセス制御を行う(図11の(13)参照)。具体的には、認証通過(認証許可)を受信すると、サービス事業者装置は、当該サイトアクセスに対応するアプリケーションサービスの利用を利用者装置に対して許可する。一方、認証拒否を受信すると、サービス事業者装置は、当該サイトアクセスに対応するアプリケーションサービスの利用を利用者装置に対して拒否する。
【0102】
このように、実施例2によれば、利用者装置の利用者認証を要求する利用者認証要求とともに、利用者装置とサービス事業者装置との間における契約管理を要求する契約管理要求をさらに送信し、サービス事業者装置から契約管理要求を受信した場合には、利用者情報に対応付けて、利用者装置とサービス事業者装置との間における契約に関する契約情報を記憶するので、新規契約や追加契約を行うために、別の機能や記憶部を用意する必要なく、利用者認証とともに実施することができる結果、サービス事業者装置における処理負荷をさらに軽減することが可能であるとともに、サービス事業者装置における利用者情報管理に関するコストや処理負荷をさらに削減することが可能である。
【実施例3】
【0103】
さて、これまで本発明の実施例1〜2では、利用者認証について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に示すように、(1)回線情報も用いた利用者認証、(2)有効期限付きで利用者認証結果を取得、(3)電子署名付きで利用者認証結果を取得、にそれぞれ区分けして異なる実施例を説明する。
【0104】
(1)回線情報も用いた利用者認証
例えば、実施例1と2では、取得された回線情報に対応付けられた利用者情報を用いて利用者認証を行う場合について説明したが、本発明はこれに限定されるものではなく、利用者認証情報に加えて、回線情報を用いて利用者認証を行ってもよい。
【0105】
具体的に図2を用いて説明すると、具体的に例を挙げれば、回線情報取得部132により回線識別子「123」が取得され、当該回線識別子「123」に対応する回線情報「tarou、123、#A500、光、100Mbps/100Mbps、******」が利用者管理データベース部121から取得されると、利用者認証結果送信部133は、回線情報取得部132によって取得された回線情報(回線識別子:123)と、当該回線情報に対応付けられた利用者情報(tarou、123、#A500、光、100Mbps/100Mbps、******)が利用者管理データベース部121に記憶されていることを根拠にし、正当な利用者装置300であるという利用者認証を行ったが、さらに、取得した回線情報「tarou、123、#A500、光、100Mbps/100Mbps、******」を用いることで、特定できる利用者装置が接続する場所や回線速度などを利用者認証に用いてもよい。
【0106】
これにより、例えば、利用者装置が接続する場所や回線速度によってはサイトアクセスを許可/拒否を決定し、あるいは、場所や回線速度に応じて提供するサービスを選択することなど、サービス事業者装置において、信用性の高いサイトアクセス制御を高度に実現することが可能になる。具体的に例を挙げて説明すると、回線情報によって特定されるネットワークへの接続場所が、「自宅」以外の場所の場合には、オークションサービスの提供を許可しないことや、回線情報によって特定される回線速度が高速な場合には、高解像度の映像コンテンツサービスを提供することなどが可能になる。また、このように利用者情報と回線情報の両方を用いて、利用者認証を行うことで、さらに利用者に対してアクセス制限を行うことが可能である。例えば、「子供」の利用者には「深夜サイト」「アダルトサイト」「高額ショッピングサイト」の閲覧を禁止したりすることが可能である。
【0107】
なお、ネットワーク事業者装置では、利用者管理DBに管理される回線情報のうち、どの情報を利用者認証に用いるか具体的な項目について、サービス事業者装置から利用者認証要求とともに受信してもよく、あらかじめ取り決めがなされていてもよい。
【0108】
(2)有効期限付きで利用者認証結果を取得
また、実施例1と2では、利用者情報を用いて利用者認証を行って得られる利用者認証結果をサービス事業者装置に送信する場合について説明したが、本発明はこれに限定されるものではなく、利用者認証結果に加えて、当該利用者認証結果の有効期限を示す有効期限情報をサービス事業者装置に送信してもよい。
【0109】
具体的には、ネットワーク事業者装置は、利用者認証結果に加え、有効期限情報(例えば、有効期限は、数日、数秒、数十秒といったオーダーで設定される)をサービス事業者装置に送信し、サービス事業者装置は、ネットワーク事業者装置から利用者認証結果に加えて有効期限情報を受信した場合に、当該有効期限情報に示される有効期限を満たすことを条件に、利用者認証結果を用いてサイトアクセスを制御する。例を挙げると、利用者情報をサービス事業者装置に送信する際に有効期限情報を送信しない手法では、利用者装置を経由するリダイレクト通信において、利用者装置が利用者情報その他の制御情報などを不正に取得し、不正に情報を取得した利用者装置が不正にサイトアクセスするおそれなどがあるが、有効期限情報(例えば、有効期限は、数日、数秒、数十秒といったオーダーで設定される)を送信することで、これらのおそれを回避できることから、サービス事業者装置において、信用性の高いサイトアクセス制御を安全に実現することが可能になる。
【0110】
(3)電子署名付きで利用者認証結果を取得
また、実施例1では、サービス事業者装置は、利用者認証要求と電子署名をネットワーク事業者装置に送信し、ネットワーク事業者装置は、利用者認証結果をサービス事業者装置に送信する場合について説明したが、本発明はこれに限定されるものではなく、ネットワーク事業者装置も、利用者認証結果と電子署名をサービス事業者装置に送信するようにしてもよい。
【0111】
具体的には、ネットワーク事業者装置が利用者認証要求とともに電子署名を送信しない場合に比べて、サービス事業者装置において、信用性の高いサイトアクセス制御をより安全に実現することが可能になる。例えば、電子署名を送信しない場合、本当に正当なネットワーク事業者装置が送信した利用者認証要求であるか否かを判定することができないが、電子署名を送信した場合では、正当なサービス事業者が送信した利用者認証要求であるか否かを判定することができる。
【実施例4】
【0112】
さて、これまで本発明の実施例1〜3では、利用者アカウントを作成せず、シングルサインオンを行うことを説明してきたが、本発明はこれに限定されるものではなく、サービス事業者装置で利用者アカウントを作成して利用者管理するようにしてもよい。
【0113】
そこで、以下では、図13〜図15を用いて、ネットワーク事業者装置がサービス事業者装置に代わって利用者認証を行うとともに、サービス事業者装置で利用者アカウントを作成して記憶する場合を実施例4として説明する。図13は、実施例4に係るサービスシステムの概要および特徴を説明するための図であり、図14と図15は、実施例4に係るネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【0114】
図13に示すように、実施例4におけるネットワーク事業者装置は、実施例1と同様に、利用者情報を回線情報と対応づけて、利用者管理データベース部(利用者管理DB)に記憶している。そして、実施例4におけるサービス事業者装置は、自身が提供するサービスを利用する利用者装置の利用者アカウントを利用者管理DBに記憶している点が実施例1とは異なる。
【0115】
また、実施例4では、実施例1で説明した、各サービス事業者装置が一つのアプリケーションサービスを提供している場合と異なり、各サービス事業者装置は、複数のサービスを提供しており、各サービスごとに利用者管理を行っている。
【0116】
一方、実施例4におけるサービス事業者装置は、利用者装置の利用者について、利用者登録していないものとする。すなわち、利用者装置は、サービス事業者装置が提供するアプリケーションサービスの提供を受けることができない状態にある。なお、実施例4において、サービス事業者装置が提供するアプリケーションサービスは、利用者登録を行うことで永続的に(もしくは、一時的に)利用できるタイプのアプリケーションサービスである。
【0117】
このような構成のもと、実施例1と同様に、実施例4におけるネットワーク事業者装置は、まず、利用者装置から、ネットワーク接続要求を受信して認証処理を行い、そして、利用者装置は、インターネットに接続し、サービス事業者装置は、利用者装置からSPサイトアクセス要求を受信すると(図13の(1)〜(4)参照)、SPサイトアクセス応答を送信し、利用者装置は、SPのWebページを取得する(図13の(5)参照)。
【0118】
次に、サービス事業者装置は、利用者装置から、利用者登録要求を受信する(図13の(6)参照)。具体的には、利用者装置において、利用者登録要求を促すWebページのアイコン(「利用者登録要求」など)がワンクリックされることなどによって、利用者登録要求を受信する。
【0119】
そして、利用者登録要求を受信すると、サービス事業者装置は、利用者アカウントを作成する(図13の(7)参照)。例えば、図13において、サービス事業者装置は、利用者アカウントBBBを作成する。なお、利用者アカウントBBBは、永続的な(もしくは、一時的な)利用者アカウントである。
【0120】
続いて、サービス事業者装置は、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求をネットワーク事業者装置に送信する(図13の(8)参照)。
【0121】
すると、実施例4におけるネットワーク事業者装置は、利用者装置が接続されている回線に関する回線情報を取得し(図13の(9)参照)、取得された回線情報に対応付けられた利用者情報を取得し、当該利用者情報を用いて利用者認証を行い(図13の(10)参照)、得られた利用者認証結果を、利用者装置を経由するリダイレクト通信によってサービス事業者装置に送信する(図13の(11)参照)。具体的には、実施例1と同様に、ネットワーク事業者装置が当該回線情報に対応付けられた利用者情報を記憶していることを根拠に、当該利用者装置を正当な利用者装置と判定し、認証結果として「認証通過(許可)」をサービス事業者装置に送信する。
【0122】
そして、サービス事業者装置は、ネットワーク事業者装置から利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いてサイトアクセスを制御する(図13の(12)参照)。具体的には、サービス事業者装置は、認証結果として「認証通過」を受信した場合、当該利用者アカウントBBBを自身の利用者管理DBに登録し、当該サービスの利用を許可する。一方、認証結果として「認証拒否」を受信した場合、当該利用者アカウントBBBを自身の利用者管理DBに登録せず、当該サービスの利用を拒否する。
【0123】
ところで、実施例4では、サービス事業者装置は、利用者管理DBに作成した利用者アカウントのみを管理する場合を説明したが、本発明はこれに限定されるわけではなく、例えば、利用者アカウントの回線情報および利用者情報を管理してもよい。この場合、ネットワーク事業者装置は、利用者認証結果とともに、利用者情報や回線情報を送信する。なお、ネットワーク事業者装置は、サービス事業者装置に送信する具体的な送信項目について、サービス事業者装置によって指定された送信項目を送信してもよく、サービス事業者装置に送信する具体的な送信項目の取り決めや指定のタイミングは、いずれでもよい。
【0124】
そして、ネットワーク事業者装置が、利用者認証結果とともに、利用者情報や回線情報を送信した場合、サービス事業者装置において、サービス事業者装置の利用者管理DBは、図14に示すように、利用者情報として『利用者を一意に識別する「利用者アカウント」、利用者名を示す「契約者」、利用者の住所を示す「住所」、利用料金を払う「クレジットカード番号」、通信料の支払い有無を示す「通信料支払いの有無」』として「tarou、特許太郎、東京都・・・、1111-1111-1111-1111、有」などを記憶したり、また、図15に示すように、回線情報として『利用者を一意に識別する「利用者アカウント」、回線を一意に識別する「回線識別子」、回線の収容位置を示す「回線収容位置」、契約回線の種別を示す「回線種別」、契約回線の回線速度を示す「回線速度」、回線の認証情報を示す「回線認証情報」』として「natsu、798、#C900、xDSL、47Mbps〜5Mbps、*********」などを記憶する。
【0125】
このように、実施例4によれば、サービス事業者装置で利用者アカウントを管理することで、サービス事業者装置における利用者認証による処理負荷を軽減したまま、利用者アカウントを管理することが可能である。
【実施例5】
【0126】
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に異なる実施例を説明する。
【0127】
[回線情報]
例えば、上記した実施例1〜実施例3においては、回線情報として、回線の識別子、回線の収容位置、回線種別、回線速度、および回線認証情報を用いる手法を説明したが、この発明はこれに限られるものではなく、回線情報として、回線に付与された論理的な番号(電話番号、IPアドレスなど)を用いる手法や、回線の設置場所(住所、緯度経度など)を用いる手法など、回線に関する情報を用いる手法であれば、いずれでもよい。
【0128】
[システム構成等]
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部(例えば、電子署名の送信など)を手動的におこなう(例えば、電子署名を送信するか否かの確認画面をモニタなどに出力し、操作する者に確認同意を入力させてから、電子署名を送信するなど)こともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報(例えば、利用者管理データベース部121とサービス事業者管理データベース部122など)については、特記する場合を除いて任意に変更することができる。
【0129】
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示(例えば、図2など)のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる(例えば、利用者管理データベース部121とサービス事業者管理データベース部122とをひとつのデータベースで構築するなど)。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
【0130】
なお、本実施例で説明した各機能部の処理(例えば、図10に示した処理など)は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
【産業上の利用可能性】
【0131】
以上のように、本発明に係るサービスシステムおよびサービスシステム制御方法は、利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されることに有用であり、特に、サービス事業者装置において、信用性の高いサイトアクセス制御を実現することに適する。
【図面の簡単な説明】
【0132】
【図1】実施例1に係るサービスシステムの概要および特徴を説明するための図である。
【図2】実施例1に係るサービスシステムの構成を示すブロック図である。
【図3】サービス事業者装置が利用者装置に送信するWebページを説明するための図である。
【図4】サービス事業者装置が利用者装置に送信するWebページを説明するための図である。
【図5】ネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【図6】ネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【図7】ネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【図8】ネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【図9】ネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【図10】実施例1に係るサービスシステムによる処理の手順を示すシーケンス図である。
【図11】実施例2に係るサービスシステムの概要および特徴を説明するための図である。
【図12】実施例2に係るネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【図13】実施例4に係るサービスシステムの概要および特徴を説明するための図である。
【図14】実施例4に係るネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【図15】実施例4に係るネットワーク事業者装置における利用者管理データベース部を説明するための図である。
【符号の説明】
【0133】
100 ネットワーク事業者装置
110 通信制御I/F部
120 記憶部
121 利用者管理データベース部
122 サービス事業者管理データベース部
130 制御部
131 認証処理部
132 回線情報取得部
133 利用者認証結果送信部
200 サービス事業者装置
210 通信制御I/F部
220 記憶部
230 制御部
231 SPサイトアクセス応答部
232 利用者認証要求送信部
233 アクセス制御部
300 利用者装置
【特許請求の範囲】
【請求項1】
利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムであって、
前記ネットワーク事業者装置は、
前記ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶する利用者情報記憶手段と、
前記サービス事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得する回線情報取得手段と、
前記回線情報取得手段によって取得された回線情報に対応付けられた利用者情報を前記利用者情報記憶手段から取得し、当該利用者情報を用いて前記利用者認証を行って得られる利用者認証結果を、前記利用者装置を経由するリダイレクト通信によって前記サービス事業者装置に送信する利用者認証結果送信手段と、
前記サービス事業者装置は、
前記利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求を前記ネットワーク事業者装置に送信する利用者認証要求送信手段と、
前記ネットワーク事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いて前記サイトアクセスを制御するアクセス制御手段と、
を備えたことを特徴とするサービスシステム。
【請求項2】
前記利用者認証結果送信手段は、前記利用者情報に加えて、前記回線情報を用いて前記利用者認証を行って得られる利用者認証結果を前記サービス事業者装置に送信することを特徴とする請求項1に記載のサービスシステム。
【請求項3】
前記利用者認証要求送信手段は、前記利用者装置の利用者認証を要求する利用者認証要求とともに、前記利用者装置と前記サービス事業者装置との間における契約管理を要求する契約管理要求をさらに送信し、
前記利用者情報記憶手段は、前記サービス事業者装置から前記契約管理要求を受信した場合には、前記利用者情報に対応付けて、前記利用者装置と前記サービス事業者装置との間における契約に関する契約情報を記憶することを特徴とする請求項1に記載のサービスシステム。
【請求項4】
前記利用者認証結果送信手段は、前記利用者認証結果に加えて、当該利用者認証結果の有効期限を示す有効期限情報を前記サービス事業者装置に送信し、
前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者認証結果に加えて前記有効期限情報を受信した場合に、当該有効期限情報に示される有効期限を満たすことを条件に、前記利用者認証結果を用いて前記サイトアクセスを制御することを特徴とする請求項1に記載のサービスシステム。
【請求項5】
前記利用者認証結果送信手段は、前記利用者認証結果に加えて、前記ネットワーク事業者装置が署名する電子署名を前記サービス事業者装置に送信し、
前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者認証結果に加えて前記電子署名を受信した場合に、当該電子署名が正当であることを条件に、前記利用者認証結果を用いて前記サイトアクセスを制御することを特徴とする請求項1に記載のサービスシステム。
【請求項6】
前記利用者認証結果送信手段は、前記サービス事業者装置から前記利用者認証要求に加えて、当該サービス事業者装置が署名する電子署名を受信した場合に、当該電子署名が正当であることを条件に、前記利用者認証結果を当該サービス事業者装置に送信し、
前記利用者認証要求送信手段は、前記利用者認証要求に加えて、前記電子署名を前記ネットワーク事業者装置に送信することを特徴とする請求項1に記載のサービスシステム。
【請求項7】
利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムを制御するサービスシステム制御方法であって、
前記ネットワーク事業者装置は、
前記ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶する利用者情報記憶工程と、
前記サービス事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得する回線情報取得工程と、
前記回線情報取得工程によって取得された回線情報に対応付けられた利用者情報を前記利用者情報記憶工程から取得し、当該利用者情報を用いて前記利用者認証を行って得られる利用者認証結果を、前記利用者装置を経由するリダイレクト通信によって前記サービス事業者装置に送信する利用者認証結果送信工程と、
前記サービス事業者装置は、
前記利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求を前記ネットワーク事業者装置に送信する利用者認証要求送信工程と、
前記ネットワーク事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いて前記サイトアクセスを制御するアクセス制御工程と、
を含んだことを特徴とするサービスシステム制御方法。
【請求項1】
利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムであって、
前記ネットワーク事業者装置は、
前記ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶する利用者情報記憶手段と、
前記サービス事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得する回線情報取得手段と、
前記回線情報取得手段によって取得された回線情報に対応付けられた利用者情報を前記利用者情報記憶手段から取得し、当該利用者情報を用いて前記利用者認証を行って得られる利用者認証結果を、前記利用者装置を経由するリダイレクト通信によって前記サービス事業者装置に送信する利用者認証結果送信手段と、
前記サービス事業者装置は、
前記利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求を前記ネットワーク事業者装置に送信する利用者認証要求送信手段と、
前記ネットワーク事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いて前記サイトアクセスを制御するアクセス制御手段と、
を備えたことを特徴とするサービスシステム。
【請求項2】
前記利用者認証結果送信手段は、前記利用者情報に加えて、前記回線情報を用いて前記利用者認証を行って得られる利用者認証結果を前記サービス事業者装置に送信することを特徴とする請求項1に記載のサービスシステム。
【請求項3】
前記利用者認証要求送信手段は、前記利用者装置の利用者認証を要求する利用者認証要求とともに、前記利用者装置と前記サービス事業者装置との間における契約管理を要求する契約管理要求をさらに送信し、
前記利用者情報記憶手段は、前記サービス事業者装置から前記契約管理要求を受信した場合には、前記利用者情報に対応付けて、前記利用者装置と前記サービス事業者装置との間における契約に関する契約情報を記憶することを特徴とする請求項1に記載のサービスシステム。
【請求項4】
前記利用者認証結果送信手段は、前記利用者認証結果に加えて、当該利用者認証結果の有効期限を示す有効期限情報を前記サービス事業者装置に送信し、
前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者認証結果に加えて前記有効期限情報を受信した場合に、当該有効期限情報に示される有効期限を満たすことを条件に、前記利用者認証結果を用いて前記サイトアクセスを制御することを特徴とする請求項1に記載のサービスシステム。
【請求項5】
前記利用者認証結果送信手段は、前記利用者認証結果に加えて、前記ネットワーク事業者装置が署名する電子署名を前記サービス事業者装置に送信し、
前記アクセス制御手段は、前記ネットワーク事業者装置から前記利用者認証結果に加えて前記電子署名を受信した場合に、当該電子署名が正当であることを条件に、前記利用者認証結果を用いて前記サイトアクセスを制御することを特徴とする請求項1に記載のサービスシステム。
【請求項6】
前記利用者認証結果送信手段は、前記サービス事業者装置から前記利用者認証要求に加えて、当該サービス事業者装置が署名する電子署名を受信した場合に、当該電子署名が正当であることを条件に、前記利用者認証結果を当該サービス事業者装置に送信し、
前記利用者認証要求送信手段は、前記利用者認証要求に加えて、前記電子署名を前記ネットワーク事業者装置に送信することを特徴とする請求項1に記載のサービスシステム。
【請求項7】
利用者装置によるネットワーク接続を制御するネットワーク事業者装置と、前記利用者装置によるサイトアクセスを制御するサービス事業者装置とを、ネットワークを介して接続されるサービスシステムを制御するサービスシステム制御方法であって、
前記ネットワーク事業者装置は、
前記ネットワーク接続が許可される利用者装置の利用者に関する利用者情報を、当該利用者装置が接続する回線に関する回線情報と対応付けて記憶する利用者情報記憶工程と、
前記サービス事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証を要求する利用者認証要求を受信した場合に、当該利用者装置が接続されている回線に関する回線情報を取得する回線情報取得工程と、
前記回線情報取得工程によって取得された回線情報に対応付けられた利用者情報を前記利用者情報記憶工程から取得し、当該利用者情報を用いて前記利用者認証を行って得られる利用者認証結果を、前記利用者装置を経由するリダイレクト通信によって前記サービス事業者装置に送信する利用者認証結果送信工程と、
前記サービス事業者装置は、
前記利用者装置からサイトアクセスの要求を受け付けた場合に、当該利用者装置を経由するリダイレクト通信によって、当該利用者装置の利用者認証を要求する利用者認証要求を前記ネットワーク事業者装置に送信する利用者認証要求送信工程と、
前記ネットワーク事業者装置から前記利用者装置を経由するリダイレクト通信によって当該利用者装置の利用者認証結果を受信した場合に、当該利用者認証結果を用いて前記サイトアクセスを制御するアクセス制御工程と、
を含んだことを特徴とするサービスシステム制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2008−15936(P2008−15936A)
【公開日】平成20年1月24日(2008.1.24)
【国際特許分類】
【出願番号】特願2006−188493(P2006−188493)
【出願日】平成18年7月7日(2006.7.7)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成20年1月24日(2008.1.24)
【国際特許分類】
【出願日】平成18年7月7日(2006.7.7)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]