【課題】認証を必要とするサービスを利用する際のユーザの負担を軽減する。
【解決手段】ＬＡＮ（第１のネットワーク）とインターネット（第２のネットワーク）４０とを接続するゲートウェイ（認証装置）１０とインターネット４０上の認証サーバ２０とによって構成され、ゲートウェイ１０は認証に必要なユーザ認証情報を記憶し、そのユーザ認証情報をもとに第１の認証情報を生成する機能を有し、認証サーバ２０はサービス提供サーバ３０からの認証要求により、ゲートウェイ１０における第１の認証情報の生成を要求し、かつその生成された第１の認証情報を検証して正当であれば第２の認証情報を生成する機能を有するものとされ、サービス提供サーバ３０は第２の認証情報を受けて検証し、正当であればユーザ端末５０にサービスを提供する。

【発明の詳細な説明】
【技術分野】
【０００１】
この発明は例えばインターネット上で認証を必要とするサービスを利用する際の認証手続きに関し、特にユーザ端末に代わって認証手続きを行う代理認証システム及びその方法に関する。
【背景技術】
【０００２】
サーバがユーザ認証を行うにあたり、ユーザＩＤとパスワードの組み合わせに代わる、ユーザが簡単かつ確実に実施できる認証手段が必要とされ、このような手段の一つとして、認証を行おうとするサーバに対し、ユーザ端末が予め蓄積されていたユーザ認証情報を提示し、サーバがそのユーザ認証情報を参照してユーザ認証（クライアント認証）することが有効とされている。
この場合、例えばユーザが多数のユーザ端末を有している場合にはユーザ認証情報をユーザ端末毎に設定する必要があり、さらにそのユーザ認証情報が更新された場合にはユーザ端末毎に更新する必要があり、これらの点でユーザの負担が大きいといった問題がある。
【０００３】
一方、ユーザ認証情報をユーザ端末毎に設定する場合、そのユーザ認証情報を各ユーザ端末は蓄積できなければならず、これは例えばデジタルテレビやデジタルビデオレコーダ等の情報家電では製造コストを押し上げる要因となる。また、ユーザ端末がユーザ認証情報の蓄積、設定機能を具備しておらず、ユーザ端末のソフトウェアのアップデートも行えない場合、ユーザ認証情報に基づく認証を実施することができないものとなる。
このような問題に対し、ユーザやユーザ端末の認証手続きの負担を軽減するため、認証手続きを代行するシステムが例えば特許文献１に提案されている。
【０００４】
特許文献１ではエージェント認証部とサーバ毎のエージェントサービス処理部とを有するアクセス制御システムがユーザ端末及びサーバと接続され、エージェント認証部はユーザ端末からのエージェント認証要求を受け、エージェント認証証明書を発行し、各エージェントサービス処理部はユーザ端末からのサービス利用要求を受け、その利用要求に添付されるエージェント認証証明書が正当であれば、サーバからサーバ認証証明書を取得し、あるいは以前に取得済みの場合はサーバ認証証明書を取り出し、そのサーバ認証証明書と共にサーバに対してサービス利用要求を行うものとなっており、ユーザ端末の複数のサーバへの認証手続きを代行するものとなっている。
【特許文献１】特開２００２−３２４０４９号公報
【発明の開示】
【発明が解決しようとする課題】
【０００５】
しかるに、上述した特許文献１に記載されているアクセス制御システムではシステム内に各サーバ毎のエージェントサービス処理部を有するものとなっており、よって例えばサーバが追加された場合にはそのサーバに対応したエージェントサービス処理部を設定しなければならず、またサーバが変更になった場合にはそれに対応してエージェントサービス処理部の設定を変更しなければならず、これらの点でユーザには負担がかかり、煩雑な作業をしいるものとなっていた。
この発明の目的はある閉域ネットワーク内のユーザ端末から例えばインターネット上で認証を必要とするサービスを利用する際のユーザの負担を大幅に軽減できるようにした代理認証システム及び方法を提供することにある。
【課題を解決するための手段】
【０００６】
この発明の第１の構成によれば、第１のネットワーク内のユーザ端末から第２のネットワーク上のサービス提供サーバが提供する認証を必要とするサービスを利用する際の認証手続きをユーザ端末に代わって行う代理認証システムは、第１のネットワークと第２のネットワークとを接続する認証装置と、第２のネットワーク上の認証サーバとによって構成され、認証装置は認証に必要なユーザ認証情報を記憶し、そのユーザ認証情報をもとに第１の認証情報を生成する機能を有し、認証サーバはサービス提供サーバからの認証要求により認証装置における第１の認証情報の生成を要求し、かつその生成された第１の認証情報を検証して正当であれば第２の認証情報を生成する機能を有するものとされ、サービス提供サーバは第２の認証情報を受けて検証し、正当であればユーザ端末にサービスを提供する構成とされる。
【０００７】
この発明の第２の構成によれば、第１のネットワーク内のユーザ端末から第２のネットワーク上のサービス提供サーバが提供する認証を必要とするサービスを利用する際の認証手続きをユーザ端末に代わって行う代理認証システムは、第１のネットワークと第２のネットワークとを接続する認証装置と、第２のネットワーク上の認証サーバとによって構成され、認証装置はユーザ端末との接続状態情報をもとに第１の認証情報を生成する機能を有し、認証サーバはサービス提供サーバからの認証要求により認証装置における第１の認証情報の生成を要求し、かつその生成された第１の認証情報を検証して正当であれば第２の認証情報を生成する機能を有するものとされ、サービス提供サーバは第２の認証情報を受けて検証し、正当であればユーザ端末にサービスを提供する構成とされる。
【０００８】
また、この発明による第１の代理認証方法は、第１のネットワークと第２のネットワークとを接続する認証装置と第２のネットワーク上の認証サーバとを備え、第１のネットワーク内のユーザ端末から第２のネットワーク上のサービス提供サーバが提供する認証を必要とするサービスを利用する際の認証手続きをユーザ端末に代わって行う方法であって、サービス提供サーバはユーザ端末からのサービス提供要求を受信すると、認証サーバに認証要求を送信し、認証サーバは認証要求を受信すると、認証装置に第１の認証情報生成要求を送信し、認証装置は第１の認証情報生成要求を受信すると、予め記憶しているユーザ認証情報をもとに第１の認証情報を生成して、その生成した第１の認証情報を認証サーバに送信し、認証サーバは第１の認証情報を受信すると、その第１の認証情報を検証し、正当であれば第２の認証情報を生成して、その生成した第２の認証情報をサービス提供サーバに送信し、サービス提供サーバは第２の認証情報を受信すると、その第２の認証情報を検証し、正当であればユーザ端末にサービスを提供する。
【０００９】
さらに、この発明による第２の代理認証方法は、第１のネットワークと第２のネットワークとを接続する認証装置と第２のネットワーク上の認証サーバとを備え、第１のネットワーク内のユーザ端末から第２のネットワーク上のサービス提供サーバが提供する認証を必要とするサービスを利用する際の認証手続きをユーザ端末に代わって行う方法であって、サービス提供サーバはユーザ端末からのサービス提供要求を受信すると、認証サーバに認証要求を送信し、認証サーバは認証要求を受信すると、認証装置に第１の認証情報生成要求を送信し、認証装置は第１の認証情報生成要求を受信すると、ユーザ端末との接続状態情報をもとに第１の認証情報を生成して、その生成した第１の認証情報を認証サーバに送信し、認証サーバは第１の認証情報を受信すると、その第１の認証情報を検証し、正当であれば第２の認証情報を生成して、その生成した第２の認証情報をサービス提供サーバに送信し、サービス提供サーバは第２の認証情報を受信すると、その第２の認証情報を検証し、正当であればユーザ端末にサービスを提供する。
【発明の効果】
【００１０】
この発明によれば、ユーザ端末のユーザ認証情報を一括して認証装置内に格納するため、ユーザは個々のユーザ端末でユーザ認証情報を管理する必要がなくなり、ユーザの操作性の向上、ユーザ認証情報更新時のメンテナンス性の向上が図れ、ユーザの負担を大幅に軽減することができる。特に、デジタルテレビやデジタルビデオレコーダ等の情報家電では入力インタフェイスが十分でなく、ユーザメリットが大きい。
また、ユーザ認証情報をユーザ端末で管理する必要がなくなることから、各ユーザ端末は高いセキュリティ仕様を必要としないため、その点でユーザ端末のコスト低減に寄与することができる。
さらに、認証装置がユーザ認証情報を記憶し、そのユーザ認証情報をもとに認証サーバに有効な第１の認証情報を生成する構成に代え、ユーザ端末との接続状態情報をもとに第１の認証情報を生成する構成とすれば、ユーザの、ユーザ端末からユーザ名やパスワードといった個人情報の入力作業を不要とすることができる。
【発明を実施するための最良の形態】
【００１１】
以下、この発明の実施形態を図面を参照して説明する。
〈実施形態１〉
図１はこの発明による代理認証システムの実施形態１の構成を示したものであり、この形態では第１のネットワークはＬＡＮ（図示せず）とされ、第２のネットワークはインターネット４０とされ、これら第１のネットワーク（ＬＡＮ）と第２のネットワーク（インターネット４０）とを接続する認証装置としてゲートウェイ（ホームゲートウェイ）１０が用いられる。インターネット４０上には認証サーバ２０とサービス提供サーバ（認証を必要とするサービスを提供するサーバ）３０とが存在している。ＬＡＮは例えば家庭内ＬＡＮであって、複数のユーザ端末５０−１，５０−２，５０−３，…がＬＡＮに接続されている。これらユーザ端末５０は例えば情報家電やＰＣ（パーソナルコンピュータ）等とされる。認証サーバ２０はシングルサインオンサービスを提供する認証プロバイダが保有するサーバであり、サービス提供サーバ３０はユーザ端末５０からのサービス提供要求を受けてサービスを提供するサービス事業者のサーバである。この発明におけるシングルサインオンサービスでは、ユーザはサービス提供サーバ３０のサービス利用時に常に認証サーバ２０からユーザ認証を受ける。サービス提供サーバ３０は認証サーバ２０から受信したユーザ認証結果に基づいてユーザにサービスを提供する。さらに、サービス提供サーバ３０が複数存在する場合（サービス提供サーバ３０−１，３０−２，３０−３，…がインターネット４０に接続している場合）であっても、ユーザは常に認証サーバ２０にて認証を受けることで各々のサービス提供サーバを利用できる。認証プロバイダは例えばインターネットサービスプロバイダ（ＩＳＰ）が兼ねるものとされる。なお、図１中、１２はゲートウェイ１０内の演算部を示し、１３は記憶部を示す。
【００１２】
図２は図１に示した代理認証システムによって実行される代理認証手続きの手順を示すシーケンス図であり、以下、図２を参照して手順を説明する。
（１）ユーザはユーザ端末５０を用いてサービス提供サーバ３０に対し、サービス提供を要求する。サービス提供要求はユーザ端末５０からサービス提供サーバ３０に送信される（Ｓ１０１）。
（２）サービス提供要求を受信したサービス提供サーバ３０はサービス提供を要求したユーザ端末５０を特定する識別子５１を生成する（Ｓ１０２）。識別子５１はユーザ端末５０を特定できる付加的な情報（例えばＩＰアドレス）をもとに生成される。
（３）サービス提供サーバ３０はサービス提供に必要なユーザ認証を認証サーバ２０にて行うよう、認証要求を認証サーバ２０に送信する（Ｓ１０３）。この時、識別子５１も送信され、認証サーバ２０に通知される。
（４）認証要求を受信した認証サーバ２０は認証要求をしたサービス提供サーバ３０を特定する識別子３１を生成する（Ｓ１０４）。識別子３１はサービス提供サーバ３０を特定できる付加的な情報（例えばＩＰアドレス）をもとに生成される。
（５）認証サーバ２０はユーザ認証に必要な第１の認証情報をゲートウェイ１０にて生成するよう、第１の認証情報生成要求をゲートウェイ１０に送信する（Ｓ１０５）。この時、識別子３１，５１も送信され、ゲートウェイ１０に通知される。
【００１３】
（６）第１の認証情報生成要求を受信したゲートウェイ１０は第１の認証情報生成要求をした認証サーバ２０を特定する識別子２１を生成する（Ｓ１０６）。識別子２１は認証サーバ２０を特定できる付加的な情報（例えばＩＰアドレス）をもとに生成される。
（７）ゲートウェイ１０は予め記憶部１３に記憶しているユーザ認証情報をもとに、認証サーバ２０に有効なユーザの第１の認証情報を演算部１２において生成し（Ｓ１０７）、その生成した第１の認証情報を識別子２１をもとに認証サーバ２０に送信する（Ｓ１０８）。この時、識別子３１，５１も送信される。
（８）第１の認証情報を受信した認証サーバ２０は第１の認証情報を検証する（Ｓ１０９）。そして、第１の認証情報の正当性が確認できた場合、認証サーバ２０はサービス提供サーバ３０に有効な第２の認証情報を生成し（Ｓ１１０）、その生成した第２の認証情報を識別子３１をもとにサービス提供サーバ３０に送信する（Ｓ１１１）。この時、識別子５１も送信される。
（９）第２の認証情報を受信したサービス提供サーバ３０は第２の認証情報を検証し（Ｓ１１２）、正当性を確認できた場合、識別子５１をもとにユーザ端末５０に対し、サービスを提供する（Ｓ１１３）。
【００１４】
〈実施形態２〉
図３はこの発明による代理認証システムの実施形態２の構成を示したものであり、この形態では実施形態１のゲートウェイ１０がユーザ認証情報を記憶するための専用のユーザ認証情報記憶手段１４を具備するものとされ、ユーザ認証情報はゲートウェイ１０の記憶部１３ではなく、この独立した機能のユーザ認証情報記憶手段１４に格納される。ユーザ認証情報記憶手段１４は例えばＩＣチップ等とされる。
図４はこの実施形態２の代理認証手続きの手順を示したものであり、図２に示した実施形態１の手順に対し、ゲートウェイ１０における識別子２１生成（Ｓ１０６）の後に、ユーザ認証情報記憶手段１４からユーザ認証情報を読出すステップ（Ｓ１２１）が加わる。
【００１５】
〈実施形態３〉
図５はこの発明による代理認証システムの実施形態３の構成を示したものであり、この形態では図３に示した実施形態２におけるユーザ認証情報記憶手段１４が演算部１５を有し、つまり演算機能を備えるものとされ、この演算部１５で第１の認証情報が生成されるものとされる。このユーザ認証情報記憶手段１４は例えばＣＰＵを内蔵したＩＣチップ等とされる。
図６はこの実施形態３の代理認証手続きの手順を示したものであり、この形態ではゲートウェイ１０は識別子２１生成（Ｓ１０６）の後に、ユーザ認証情報記憶手段１４に対し、第１の認証情報を生成するよう要求する（Ｓ１３１）。ユーザ認証情報記憶手段１４は予め記憶しているユーザ認証情報をもとに第１の認証情報を演算部１５において生成し（Ｓ１３２）、さらにこの例では電子署名を生成して第１の認証情報に付加する（Ｓ１３３）。
【００１６】
ユーザ認証情報記憶手段１４は生成した第１の認証情報及び電子署名をゲートウェイ１０に送信し（Ｓ１３４）、ゲートウェイ１０は受信した第１の認証情報及び電子署名を識別子２１をもとに認証サーバ２０に送信する。認証サーバ２０は電子署名及び第１の認証情報を検証し（Ｓ１３６）、正当性を確認できた場合、第２の認証情報を生成する（Ｓ１１０）。
この形態では以上説明したステップＳ１３１〜１３６が図２に示した実施形態１におけるステップＳ１０７〜１０９に代わって実行される。
【００１７】
〈実施形態４〉
実施形態４は実施形態１の構成において、ユーザ端末５０とサービス提供サーバ３０、認証サーバ２０間の要求、応答の情報流通に、ユーザ端末（クライアント端末）の要求情報とサーバの応答情報とが組になって用いられるリクエスト・レスポンスプロトコルを用いるもので、図７はその代理認証手続きの手順を示したものであり、以下、図７を参照して手順を説明する。
【００１８】
（１）ユーザはユーザ端末５０を用いてサービス提供サーバ３０に対し、サービス提供を要求する。サービス提供要求はユーザ端末５０からサービス提供サーバ３０に送信される（Ｓ１０１）。
（２）サービス提供要求を受信したサービス提供サーバ３０はサービス提供に必要なユーザ認証を認証サーバ２０にて行うよう応答する（Ｓ１４１）。この時、サービス提供サーバ３０はサービス提供サーバ３０を特定する識別子３１と、認証サーバ２０を特定する識別子２１をユーザ端末５０に送信する。
（３）ユーザ端末５０は識別子２１を用いて認証サーバ２０にアクセスし、認証要求を送信する。この時、ユーザ端末５０は認証サーバ２０に識別子３１を送信する。
（４）認証要求を受信した認証サーバ２０はユーザ認証に必要な第１の認証情報をゲートウェイ１０にて生成するよう応答する（Ｓ１４２）。この時、認証サーバ２０は識別子２１，３１とゲートウェイ１０を特定する識別子１１をユーザ端末５０に送信する。
（５）ユーザ端末５０は識別子１１を用いてゲートウェイ１０にアクセスし、第１の認証情報生成要求を送信する。この時、ユーザ端末５０はゲートウェイ１０に識別子２１と３１を送信する。
【００１９】
（６）第１の認証情報生成要求を受信したゲートウェイ１０は予め記憶部１３に記憶しているユーザ認証情報をもとに演算部１２において第１の認証情報を生成し（Ｓ１０７）、ユーザ端末５０に対し、第１の認証情報を認証サーバ２０に送信するよう応答する（Ｓ１４３）。この時、ゲートウェイ１０は識別子２１，３１をユーザ端末５０に送信する。
（７）ユーザ端末５０は識別子２１を用いて認証サーバ２０にアクセスし、第１の認証情報を送信する。この時、ユーザ端末５０は認証サーバ２０に識別子３１を送信する。
（８）第１の認証情報を受信した認証サーバ２０は第１の認証情報を検証し（Ｓ１０９）、その正当性が確認できた場合、第２の認証情報を生成し（Ｓ１１０）、ユーザ端末５０に対し、第２の認証情報をサービス提供サーバ３０に送信するよう応答する（Ｓ１４４）。この時、認証サーバ２０はユーザ端末５０に識別子３１を送信する。
（９）ユーザ端末５０は識別子３１を用いてサービス提供サーバ３０にアクセスし、第
２の認証情報を送信する。
（１０）第２の認証情報を受信したサービス提供サーバ３０は第２の認証情報を検証し（Ｓ１１２）、正当性を確認できた場合、ユーザ端末５０に対し、サービスを提供する（Ｓ１１３）。
【００２０】
なお、この形態では認証サーバ２０のアドレス情報はサービス提供サーバ３０に事前登録され、またゲートウェイ１０のアドレス情報は認証サーバ２０に事前登録されており、よってサービス提供サーバ３０は認証要求（Ｓ１４１）に際してユーザ端末５０に識別子２１を与えることができ、認証サーバ２０は第１の認証情報生成要求（Ｓ１４２）に際してユーザ端末５０に識別子１１を与えることができる。
【００２１】
〈実施形態５〉
実施形態５は実施形態１に対する実施形態４と同様、実施形態２の構成において、リクエスト・レスポンスプロトコルを用いるもので、その代理認証手続きの手順を図８に示す。
図８に示したようにこの形態では図７に示した実施形態４の手順に対し、第１の認証情報生成要求（Ｓ１４２）の後に、ユーザ認証情報記憶手段１４からユーザ認証情報を読出すステップ（Ｓ１２１）が加わる。
【００２２】
〈実施形態６〉
実施形態６は実施形態１に対する実施形態４と同様、実施形態３の構成において、リクエスト・レスポンスプロトコルを用いるもので、その代理認証手続きの手順を図９に示す。
図９に示したようにこの形態では図７に示した実施形態４の手順における第１の認証情報生成（Ｓ１０７）、第１の認証情報送信（Ｓ１４３）及び第１の認証情報検証（Ｓ１０９）に代わり、ステップＳ１３１〜１３４，Ｓ１４５，Ｓ１３６が実行される。即ち、第１の認証情報生成要求（Ｓ１４２）を受信したゲートウェイ１０はユーザ認証情報記憶手段１４に対し、第１の認証情報を生成するよう要求し（Ｓ１３１）、ユーザ認証情報記憶手段１４は予め記憶しているユーザ認証情報をもとに第１の認証情報を演算部１５において生成し（Ｓ１３２）、さらに電子署名を生成して第１の認証情報に付加する（Ｓ１３３）。
【００２３】
ユーザ認証情報記憶手段１４は生成した第１の認証情報及び電子署名をゲートウェイ１０に送信し（Ｓ１３４）、ゲートウェイ１０はユーザ端末５０に対し、第１の認証情報及び電子署名を認証サーバ２０に送信するよう応答する（Ｓ１４５）。この時、ゲートウェイ１０は識別子２１，３１をユーザ端末５０に送信する。
ユーザ端末５０は識別子２１を用いて認証サーバ２０にアクセスし、第１の認証情報及び電子署名を送信する。この時、ユーザ端末５０は認証サーバ２０に識別子３１を送信する。認証サーバ２０は電子署名及び第１の認証情報を検証する（Ｓ１３６）。
【００２４】
〈実施形態７〉
実施形態７はゲートウェイ１０が第１の認証情報を生成するにあたり、ユーザ端末５０を通してユーザに対し、第１の認証情報の生成の可否を尋ねるようにしたものであり、図１０はその手順を示したものである。なお、図１０は図２に示した実施形態１の手順に適用した場合の要部のみを示したものである。
この形態では認証サーバ２０から第１の認証情報生成要求（Ｓ１０５）を受信したゲートウェイ１０はユーザ端末５０に対し、第１の認証情報生成可否を尋ね（Ｓ１５１）、ユーザ端末５０はユーザ６０に対し、第１の認証情報生成可否を、即ちゲートウェイ１０が持つユーザ認証情報を用いてサービス提供サーバ３０に対するユーザ認証の可否を尋ねる（Ｓ１５２）。ユーザ６０がユーザ端末５０を介し、認証を承認した（Ｓ１５３，Ｓ１５４）場合のみ、ゲートウェイ１０は第１の認証情報を生成し（Ｓ１０７）、認証サーバ２０に対し、送信する（Ｓ１０８）。
【００２５】
〈実施形態８〉
実施形態８はゲートウェイ１０がその記憶部１３からユーザ認証情報を読出す際に、ＰＩＮ（Personal Identification Number）の入力をユーザ６０に要求するようにしたものであり、図１１はその手順を示したものである。なお、図１１は図２に示した実施形態１の手順に適用した場合の要部のみを示したものである。
この形態では認証サーバ２０から第１の認証情報生成要求（Ｓ１０５）を受信したゲートウェイ１０は第１の認証情報生成のためのユーザ認証情報を記憶部１３から読出すにあたり、ユーザ端末５０に対し、ＰＩＮの入力を要求する（Ｓ１６１）。ユーザ端末５０はユーザ６０に対し、ゲートウェイ１０が持つユーザ認証情報を用いてサービス提供サーバ３０に対するユーザ認証を行うにはＰＩＮ入力が必要であることを通知し、ユーザ６０にＰＩＮ入力を要求する（Ｓ１６２）。ユーザ６０がユーザ端末５０よりＰＩＮを入力し（Ｓ１６３）、そのＰＩＮがゲートウェイ１０に送信されると（Ｓ１６４）、ゲートウェイ１０はそのＰＩＮの照合を行い（Ｓ１６５）、照合後、ユーザ認証情報の読出しを実行して第１の認証情報を生成する（Ｓ１０７）。
【００２６】
〈実施形態９〉
実施形態９はゲートウェイ１０がユーザ認証情報記憶手段１４からユーザ認証情報を読出す際に、ＰＩＮの入力を実施形態８と同様、ユーザ６０に要求するようにしたものであり、図１２はその手順を示したものである。なお、図１２は図４に示した実施形態２の手順に適用した場合の要部のみを示したものである。
この形態ではゲートウェイ１０が第１の認証情報を生成するためのユーザ認証情報をユーザ認証情報記憶手段１４から読出すにあたり、前述した実施形態８の場合と同様、ステップＳ１６１〜１６５が実行される。
【００２７】
〈実施形態１０〉
実施形態１０は演算機能を有するユーザ認証情報記憶手段１４がゲートウェイ１０から第１の認証情報生成要求を受けた際に、ＰＩＮの入力をユーザ６０に要求するようにしたものであり、図１３はその手順を示したものである。なお、図１３は図６に示した実施形態３の手順に適用した場合の要部のみを示したものである。
この形態ではゲートウェイ１０がユーザ認証情報記憶手段１４に第１の認証情報生成要求をすると（Ｓ１３１）、ユーザ認証情報記憶手段１４はゲートウェイ１０に対し、ＰＩＮの入力を要求する（Ｓ１７１）。これにより、図１１に示した実施形態８の場合と同様、ステップＳ１６１〜１６４が実行され、ＰＩＮを受信したゲートウェイ１０はそのＰＩＮをユーザ認証情報記憶手段１４に送信する（Ｓ１７２）。ユーザ認証情報記憶手段１４はＰＩＮの照合を行い（Ｓ１７３）、照合後、ユーザ認証情報を読出して第１の認証情報を生成する（Ｓ１３２）。
【００２８】
なお、例えばユーザ認証情報記憶手段１４を構成するＩＣチップにｈｔｔｐｓサーバが実装されるなどして、ユーザ端末５０とセキュアに通信できる状況とされ、つまりユーザ認証情報記憶手段１４がサーバ機能を有する場合の手順は以下となる。
この場合、ゲートウェイ１０はユーザ認証情報記憶手段１４に第１の認証情報生成要求を行うと共にユーザ端末５０の識別子５１を送信すると（Ｓ１３１’）、ユーザ認証情報記憶手段１４はユーザ端末５０に対し、ＰＩＮの入力を要求する（Ｓ１７１’）。これにより、図１１に示した実施形態８の場合と同様、ステップＳ１６２〜Ｓ１６３が実行され、さらにユーザ端末５０からユーザ認証情報記憶手段１４へのＰＩＮの送信が実行される（Ｓ１６４’）。ＰＩＮを受信したユーザ認証情報記憶手段１４はＰＩＮの照合を行い（Ｓ１７３）、照合後、ユーザ認証情報を読出して第１の認証情報を生成する（Ｓ１３２）。
以上、第１のネットワークがＬＡＮとされ、第２のネットワークがインターネット４０とされ、それら第１のネットワークと第２のネットワークとを接続する認証装置としてゲートウェイ１０を用いる各種実施形態について説明したが、この形態ではゲートウェイ１０の記憶部１３に、あるいはゲートウェイ１０が有する専用のユーザ認証情報記憶手段１４に認証に必要なユーザ認証情報を格納し、一括して管理させるものとなっており、個々のユーザ端末５０にユーザ認証情報を蓄積させることなく、簡単かつ確実なユーザ認証が実現し、よってユーザの負担を大幅に軽減することができる。
【００２９】
実施形態２で示したように、ゲートウェイ１０にユーザ認証情報を記憶する専用のユーザ認証情報記憶手段１４を設け、このユーザ認証情報記憶手段１４を耐タンパ性に優れたＩＣチップ等で構成すれば、ユーザ認証情報の、第三者の不用意な閲覧を防止することができる。
同様に、実施形態３で示したように、ゲートウェイ１０に演算機能を有するユーザ認証
情報記憶手段１４を設け、このユーザ認証情報記憶手段１４を耐タンパ性に優れたＣＰＵ内蔵ＩＣチップ等で構成すれば、ユーザ認証情報や電子署名用の鍵情報の、第三者の不用意な閲覧や改ざんを防止することができ、また外部から複製されることを防止することができる。
【００３０】
一方、実施形態２や３のユーザ認証情報記憶手段１４をゲートウェイ１０から取り外し可能とすることもできる。この場合、ゲートウェイ１０はユーザ認証情報記憶手段１４用のインタフェイスを備え、ユーザ認証情報記憶手段１４はそのインタフェイスに対応したインタフェイスを備えるものとされる。
このような取り外し可能のユーザ認証情報記憶手段１４は例えばＩＣカードやＣＰＵ内蔵ＩＣカードとされ、ユーザはサービス提供サーバ３０のサービス利用を開始するにあたって事前にＩＣカードを差し込む、あるいは非接触式ＩＣカードをかざす等して、ユーザ認証情報記憶手段（ＩＣカード）１４とゲートウェイ１０とをリンクさせる。
なお、ユーザがユーザ認証情報記憶手段１４をゲートウェイ１０とリンクさせずにサービス提供サーバ３０のサービス利用を開始しようとした場合、「ユーザ認証情報記憶手段がリンクされていません」等の警告をゲートウェイ１０は直接、あるいはユーザ端末５０を通じてユーザに通知するようにしてもよい。この通知のタイミングは例えば図４に示した実施形態２の手順ではユーザ認証情報読出し（Ｓ１２１）時とされ、図６に示した実施形態３の手順では第１の認証情報生成（Ｓ１３２）時とされる。
【００３１】
取り外し可能のユーザ認証情報記憶手段１４としてはＩＣカードに限らず、例えばＩＣチップ内蔵携帯電話機等を用いることもでき、携帯電話機をゲートウェイ１０に接続する、あるいは置く、かざすことによってゲートウェイ１０とリンクさせる。
実施形態７で示したように、ゲートウェイ１０が第１の認証情報を生成するにあたり、ユーザに対し、生成の可否を尋ねるようにすれば、ゲートウェイ１０はユーザの意志を確認した上で第１の認証情報を生成することができる。なお、実施形態７における第１の認証情報の生成の可否を尋ねる手順は実施形態１に限らず、実施形態２〜６の手順にも適用することができる。
【００３２】
実施形態８〜１０に示したように、ユーザ認証情報を読出す際に、ユーザにＰＩＮ入力を要求するようにすれば、ユーザ認証情報の第三者による目的外利用を防止することができる。これら実施形態８〜１０のＰＩＮ入力を要求する手順はそれぞれ実施形態４〜６の手順にも適用することができ、さらに実施形態７で示したようなユーザに第１の認証情報の生成の可否を尋ねる手順の後に、このＰＩＮ入力を要求する手順を実行するようにしてもよい。なお、ユーザに対し、ＰＩＮ入力を要求する代わりに、ユーザ名とパスワードの入力を要求するようにしてもよい。
【００３３】
ところで、ユーザ端末５０を複数のユーザが使う場合にはゲートウェイ１０の記憶部１３に、あるいは専用のユーザ認証情報記憶手段１４がある場合にはそのユーザ認証情報記憶手段１４に複数の記憶領域を設け、複数のユーザのユーザ認証情報を格納するようにする。ユーザはサービス提供サーバ３０のサービス利用を開始するにあたって、事前に利用するユーザ認証情報を選択する。あるいは、以下のようにユーザ認証情報の選択を行うようにしてもよい。
実施形態１と４では、第１の認証情報生成（Ｓ１０７）時に、ゲートウェイ１０がユーザ端末５０を介して使用するユーザ認証情報をユーザに尋ねる。
実施形態２と５ではユーザ認証情報読出し（Ｓ１２１）時に、ゲートウェイ１０がユーザ端末５０を介して使用するユーザ認証情報をユーザに尋ねる。
実施形態３と６では第１の認証情報生成（Ｓ１３２）時に、ユーザ認証情報記憶手段１４がゲートウェイ１０及びユーザ端末５０を通じて使用するユーザ認証情報をユーザに尋ねる。この場合、例えばユーザ認証情報記憶手段１４がゲートウェイ１０を通じてユーザに尋ねる、あるいはユーザ認証情報記憶手段１４がユーザに尋ねるといったようにすることもできる。
【００３４】
なお、ユーザ認証情報の選択は例えば下記のような方法で行われる。
・ユーザを選択する、あるいはユーザ名を入力する。
・ＰＩＮを入力する。
・ユーザ名とパスワードを入力する。
上述したように、複数のユーザ端末５０を複数のユーザで使う場合であっても、認証に必要なユーザ認証情報をゲートウェイ１０に集約することで、認証手続きは簡易となり、ユーザの利便性向上が図られる。
【００３５】
ところで、ユーザ端末５０がサービス提供サーバ３０や認証サーバ２０に対し、アクセスする際に各々に示すＩＰアドレスは、ゲートウェイ１０がＮＡＴ（Network Address Translation）機能を有しているものとすれば、ゲートウェイ１０のＩＰアドレスである。
このため、例えば実施形態１〜３においては認証サーバ２０はユーザ端末５０の識別子５１を用いて第１の認証情報生成要求（Ｓ１０５）を行うべき、ゲートウェイ１０のＩＰアドレスを得ることができ、実施形態４〜６においては認証サーバ２０は認証サーバ２０に認証要求（Ｓ１４１）を行ったユーザ端末５０のＩＰアドレスをもとにゲートウェイ１０に対する第１の認証情報生成要求（Ｓ１４２）を行うことができる。つまり、ユーザ端末５０の提供する情報により認証サーバ２０はゲートウェイ１０を発見することができるため、ゲートウェイ１０のアドレス情報の事前登録は特に必要としない。
なお、実施形態４〜６において、リクエスト・レスポンスプロトコルとしてＨＴＴＰ（HyperText Transfer Protocol）を用いれば、ユーザ端末５０はウェブブラウザを用いてサービス提供サーバ３０のユーザ認証が必要なサービスを要求した際に、代理認証手続きを受けることができ、ユーザ端末５０に専用のアプリケーションや機能等を実装する必要がなくなる。
【００３６】
第１のネットワークと第２のネットワークとを接続し、認証サーバ２０に有効な第１の認証情報を生成する認証装置としては上述したゲートウェイ１０に限らず、例えば携帯電話機やネットワーク接続サーバ等を用いることもできる。以下、認証装置として携帯電話機やネットワーク接続サーバを用いる形態さらには第１のネットワーク上に認証のみ（第１の認証情報生成のみ）を目的として認証端末を配置する形態について説明する。
【００３７】
〈実施形態１１〉
図１４は認証装置として携帯電話機を用いるこの発明による代理認証システムの実施形態１１の構成を示したものであり、この形態では第１のネットワークは閉域網（図示せず）とされ、第２のネットワークは移動通信網７０及びインターネット４０として定義され、これら第１のネットワークと第２のネットワークとを接続する認証装置として携帯電話機１０’が用いられる。なお、移動通信網７０とインターネット４０とはゲートウェイ７５によって接続されており、移動通信網７０上もしくはインターネット４０上に認証サーバ２０とサービス提供サーバ３０が存在している。
この形態では携帯電話機１０’はユーザ端末５０とＵＳＢやBluetoothで接続され、ユーザ端末５０が移動通信網７０経由でインターネット４０上のサービス提供サーバ３０のサービスを受ける際に、携帯電話機１０’が認証装置として機能する。つまり、この形態では携帯電話機１０’はユーザ端末５０がインターネット４０上もしくは移動通信網７０上の各サーバとＩＰ通信するためのルータまたはゲートウェイとして振舞うと共に、認証装置として機能するサーバプログラムが例えばJava（登録商標）２ Micro Edition MIDP2.0を用いて実装され、インストールされているものとされる。図１４中、１２’は携帯電話機１０’内の演算部を示し、１３’は記憶部を示す。
この図１４に示した代理認証システムによって実行される代理認証手続きの手順は例えばリクエスト・レスポンスプロトコルを用いるものとすれば、図７に示した実施形態４の手順において、ゲートウェイ１０を携帯電話機１０’に置き換えたものとなる。
【００３８】
〈実施形態１２〉
図１５は認証装置としてネットワーク接続サーバを用いるこの発明による代理認証システムの実施形態１２の構成を示したものであり、この形態では図１に示した実施形態１の構成のゲートウェイ１０に代わってネットワーク接続サーバ１０'’が用いられる。図１５中、１２'’はネットワーク接続サーバ１０'’内の演算部を示し、１３'’は記憶部を示す。
ネットワーク接続サーバ１０'’はインターネット接続事業者が提供する固定電話回線、移動電話回線、光ケーブルネットワーク、公衆無線ＬＡＮ回線等のユーザ接続ネットワーク（図示せず）と、インターネット４０とを接続するサーバであって例えばＲＡＤＩＵＳサーバとされ、ユーザ接続ネットワークを介して各家庭、事業所等の複数のユーザ端末５０−１，５０−２，５０−３，…が接続されている。
この図１５に示した代理認証システムによって実行される代理認証手続きの手順は例えばリクエスト・レスポンスプロトコルを用いるものとすれば、上述した実施形態１１の場合と同様に、図７に示した実施形態４の手順において、ゲートウェイ１０をネットワーク接続サーバ１０'’に置き換えたものとなる。
【００３９】
なお、実施形態１１や１２に示したように、認証装置として携帯電話機１０’やネットワーク接続サーバ１０'’を用いる場合、ユーザ端末５０との接続状態情報をもとに第１の認証情報を生成することができ、つまりこれら携帯電話機１０’やネットワーク接続サーバ１０'’がユーザ端末５０との接続状態情報をもとに第１の認証情報を生成する機能を備える場合、第１の認証情報を生成するためのユーザ認証情報の記憶、管理はそれら携帯電話機１０’、ネットワーク接続サーバ１０'’において不要となる。この場合、ユーザ端末５０からユーザ名やパスワードといったユーザによる個人情報の入力作業を不要とすることができる。接続状態情報は例えばＩＰアドレス（グローバルＩＰアドレス）、携帯電話機１０’やネットワーク接続サーバ１０'’がユーザ端末５０の認証に際し、必要に応じて発行したセッションＩＤとされる。
【００４０】
〈実施形態１３〉
図１６はこの発明による代理認証システムの実施形態１３の構成を示したものであり、この形態ではＬＡＮ（第１のネットワーク）上に認証端末９０が存在し、認証端末９０はブロードバンドルータ８０を介してインターネット（第２のネットワーク）４０上の認証サーバ２０及びサービス提供サーバ３０と接続されている。認証端末９０は例えば無線ＬＡＮ接続機能を有した携帯電話機とされる。図１６中、９１は認証端末９０内の演算部を示し、９２は記憶部を示す。
この図１６に示した代理認証システムによって実行される代理認証手続きの手順は例えばリクエスト・レスポンスプロトコルを用いるものとすれば、図７に示した実施形態４の手順において、ゲートウェイ１０を認証端末９０に置き換えたものとなる。
認証端末９０として無線ＬＡＮ対応携帯電話機を用いる場合、携帯電話機には無線ＬＡＮ経由でＨＴＴＰアクセス可能な、認証装置として機能するプログラムを、例えばJava（登録商標）２ Micro Edition MIDP2.0を用いて実装し、インストールしておく。
【００４１】
認証端末９０をＬＡＮに接続すると、ＬＡＮ内で各端末を識別するためのプライベートＩＰアドレスがブロードバンドルータ８０から割り当てられる。認証端末９０上で認証装置として機能するプログラムを起動すると、まず初めにインターネット４０上の認証サーバ２０に対し、認証端末９０に割り当てられたプライベートＩＰアドレスを通知する。認証サーバ２０のＩＰアドレスは予め認証端末９０に記憶しておく。
認証サーバ２０は認証端末９０からのアドレス通知をＬＡＮ、ブロードバンドルータ８０、インターネット４０を経由して受け取る。一般的にブロードバンドルータ経由でインターネットに接続されているＬＡＮ内の端末機器からインターネット上のサーバ等へアクセスする場合には、ソースＩＰアドレスはブロードバンドルータに割り当てられたグローバルＩＰアドレスとなる。そこで、認証サーバ２０はソースＩＰアドレスに用いられているブロードバンドルータ８０のグローバルＩＰアドレスと、認証端末９０から通知された認証端末９０のプライベートＩＰアドレスの組を関連付けて記憶する。
【００４２】
ここで、この形態では認証サーバ２０がステップＳ１４２（図７参照）で認証端末９０に第１の認証情報生成要求を送信する際、ソースＩＰアドレス（グローバルＩＰアドレス）と関連付けて記憶されている認証端末９０のプライベートＩＰアドレスにＨＴＴＰアクセスがリダイレクトされるようにする。
【図面の簡単な説明】
【００４３】
【図１】この発明による代理認証システムの実施形態１の構成を示す図。
【図２】この発明による代理認証方法の実施形態１のシーケンスを示す図。
【図３】この発明による代理認証システムの実施形態２の構成を示す図。
【図４】この発明による代理認証方法の実施形態２のシーケンスを示す図。
【図５】この発明による代理認証システムの実施形態３の構成を示す図。
【図６】この発明による代理認証方法の実施形態３のシーケンスを示す図。
【図７】この発明による代理認証方法の実施形態４のシーケンスを示す図。
【図８】この発明による代理認証方法の実施形態５のシーケンスを示す図。
【図９】この発明による代理認証方法の実施形態６のシーケンスを示す図。
【図１０】この発明による代理認証方法の実施形態７の要部シーケンスを示す図。
【図１１】この発明による代理認証方法の実施形態８の要部シーケンスを示す図。
【図１２】この発明による代理認証方法の実施形態９の要部シーケンスを示す図。
【図１３】この発明による代理認証方法の実施形態１０の要部シーケンスを示す図。
【図１４】この発明による代理認証システムの実施形態１１の構成を示す図。
【図１５】この発明による代理認証システムの実施形態１２の構成を示す図。
【図１６】この発明による代理認証システムの実施形態１３の構成を示す図。

【特許請求の範囲】
【請求項１】
第１のネットワーク内のユーザ端末から第２のネットワーク上のサービス提供サーバが提供する認証を必要とするサービスを利用する際の認証手続きをユーザ端末に代わって行うシステムであって、
上記第１のネットワークと第２のネットワークとを接続する認証装置と、上記第２のネットワーク上の認証サーバとによって構成され、
上記認証装置は上記認証に必要なユーザ認証情報を記憶し、そのユーザ認証情報をもとに第１の認証情報を生成する機能を有し、
上記認証サーバは上記サービス提供サーバからの認証要求により上記認証装置における上記第１の認証情報の生成を要求し、かつその生成された第１の認証情報を検証して正当であれば第２の認証情報を生成する機能を有するものとされ、
上記サービス提供サーバは上記第２の認証情報を受けて検証し、正当であれば上記ユーザ端末にサービスを提供する構成とされていることを特徴とする代理認証システム。
【請求項２】
請求項１記載の代理認証システムにおいて、
上記認証装置は上記ユーザ認証情報を記憶するための専用のユーザ認証情報記憶手段を有することを特徴とする代理認証システム。
【請求項３】
請求項２記載の代理認証システムにおいて、
上記ユーザ認証情報記憶手段は上記第１の認証情報を生成し、かつ電子署名を生成してその第１の認証情報に付加する演算機能を具備することを特徴とする代理認証システム。
【請求項４】
請求項２または３記載の代理認証システムにおいて、
上記ユーザ認証情報記憶手段が上記認証装置から取り外し可能とされていることを特徴とする代理認証システム。
【請求項５】
第１のネットワーク内のユーザ端末から第２のネットワーク上のサービス提供サーバが提供する認証を必要とするサービスを利用する際の認証手続きをユーザ端末に代わって行うシステムであって、
上記第１のネットワークと第２のネットワークとを接続する認証装置と、上記第２のネットワーク上の認証サーバとによって構成され、
上記認証装置は上記ユーザ端末との接続状態情報をもとに第１の認証情報を生成する機能を有し、
上記認証サーバは上記サービス提供サーバからの認証要求により上記認証装置における上記第１の認証情報の生成を要求し、かつその生成された第１の認証情報を検証して正当であれば第２の認証情報を生成する機能を有するものとされ、
上記サービス提供サーバは上記第２の認証情報を受けて検証し、正当であれば上記ユーザ端末にサービスを提供する構成とされていることを特徴とする代理認証システム。
【請求項６】
第１のネットワーク内のユーザ端末から第２のネットワーク上のサービス提供サーバが提供する認証を必要とするサービスを利用する際の認証手続きをユーザ端末に代わって行うシステムであって、
上記第１のネットワーク上の認証端末と、上記第２のネットワーク上の認証サーバと、それら第１のネットワークと第２のネットワークとを接続するネットワーク接続装置とによって構成され、
上記認証端末は上記認証に必要なユーザ認証情報を記憶し、そのユーザ認証情報をもとに第１の認証情報を生成する機能を有し、
上記認証サーバは上記サービス提供サーバからの認証要求により上記認証端末における上記第１の認証情報の生成を要求し、かつその生成された第１の認証情報を検証して正当であれば第２の認証情報を生成する機能を有するものとされ、
上記サービス提供サーバは上記第２の認証情報を受けて検証し、正当であれば上記ユーザ端末にサービスを提供する構成とされていることを特徴とする代理認証システム。
【請求項７】
第１のネットワークと第２のネットワークとを接続する認証装置と第２のネットワーク上の認証サーバとを備え、第１のネットワーク内のユーザ端末から第２のネットワーク上のサービス提供サーバが提供する認証を必要とするサービスを利用する際の認証手続きをユーザ端末に代わって行う方法であって、
上記サービス提供サーバは上記ユーザ端末からのサービス提供要求を受信すると、上記認証サーバに認証要求を送信し、
上記認証サーバは認証要求を受信すると、上記認証装置に第１の認証情報生成要求を送信し、
上記認証装置は第１の認証情報生成要求を受信すると、予め記憶しているユーザ認証情報をもとに第１の認証情報を生成して、その生成した第１の認証情報を上記認証サーバに送信し、
上記認証サーバは第１の認証情報を受信すると、その第１の認証情報を検証し、正当であれば第２の認証情報を生成して、その生成した第２の認証情報を上記サービス提供サーバに送信し、
上記サービス提供サーバは第２の認証情報を受信すると、その第２の認証情報を検証し、正当であれば上記ユーザ端末にサービスを提供することを特徴とする代理認証方法。
【請求項８】
請求項７記載の代理認証方法において、
上記認証装置はユーザ認証情報記憶手段を備え、そのユーザ認証情報記憶手段から上記ユーザ認証情報を読出して上記第１の認証情報を生成することを特徴とする代理認証方法。
【請求項９】
請求項７記載の代理認証方法において、
上記認証装置は演算機能を具備するユーザ認証情報記憶手段を備え、そのユーザ認証情報記憶手段に上記第１の認証情報の生成を要求することを特徴とする代理認証方法。
【請求項１０】
第１のネットワークと第２のネットワークとを接続する認証装置と第２のネットワーク上の認証サーバとを備え、第１のネットワーク内のユーザ端末から第２のネットワーク上のサービス提供サーバが提供する認証を必要とするサービスを利用する際の認証手続きをユーザ端末に代わって行う方法であって、
上記サービス提供サーバは上記ユーザ端末からのサービス提供要求を受信すると、上記認証サーバに認証要求を送信し、
上記認証サーバは認証要求を受信すると、上記認証装置に第１の認証情報生成要求を送信し、
上記認証装置は第１の認証情報生成要求を受信すると、上記ユーザ端末との接続状態情報をもとに第１の認証情報を生成して、その生成した第１の認証情報を上記認証サーバに送信し、
上記認証サーバは第１の認証情報を受信すると、その第１の認証情報を検証し、正当であれば第２の認証情報を生成して、その生成した第２の認証情報を上記サービス提供サーバに送信し、
上記サービス提供サーバは第２の認証情報を受信すると、その第２の認証情報を検証し、正当であれば上記ユーザ端末にサービスを提供することを特徴とする代理認証方法。
【請求項１１】
請求項７又は１０記載の代理認証方法において、
上記認証装置は上記第１の認証情報生成要求を受信すると、その生成可否を上記ユーザ端末を介してユーザに尋ね、ユーザの承認を受けて上記第１の認証情報を生成することを特徴とする代理認証方法。
【請求項１２】
請求項７又は１０記載の代理認証方法において、
上記認証装置は上記第１の認証情報生成要求を受信すると、ＰＩＮ入力もしくはユーザ名とパスワードの入力を上記ユーザ端末を介してユーザに要求し、入力されたＰＩＮもしくはユーザ名とパスワードを照合して上記第１の認証情報を生成することを特徴とする代理認証方法。
【請求項１３】
請求項９記載の代理認証方法において、
上記ユーザ認証情報記憶手段は上記第１の認証情報の生成の要求を上記認証装置から受けると、ＰＩＮ入力もしくはユーザ名とパスワードの入力を上記認証装置及びユーザ端末を介してユーザに要求し、入力されたＰＩＮもしくはユーザ名とパスワードを照合して上記第１の認証情報を生成することを特徴とする代理認証方法。
【請求項１４】
第１のネットワークと第２のネットワークとを接続するネットワーク接続装置と第１のネットワーク上の認証端末と第２のネットワーク上の認証サーバとを備え、第１のネットワーク内のユーザ端末から第２のネットワーク上のサービス提供サーバが提供する認証を必要とするサービスを利用する際の認証手続きをユーザ端末に代わって行う方法であって、
上記サービス提供サーバは上記ユーザ端末からのサービス提供要求を受信すると、上記認証サーバに認証要求を送信し、
上記認証サーバは認証要求を受信すると、上記認証端末に第１の認証情報生成要求を送信し、
上記認証端末は第１の認証情報生成要求を受信すると、予め記憶しているユーザ認証情報をもとに第１の認証情報を生成して、その生成した第１の認証情報を上記認証サーバに送信し、
上記認証サーバは第１の認証情報を受信すると、その第１の認証情報を検証し、正当であれば第２の認証情報を生成して、その生成した第２の認証情報を上記サービス提供サーバに送信し、
上記サービス提供サーバは第２の認証情報を受信すると、その第２の認証情報を検証し、正当であれば上記ユーザ端末にサービスを提供することを特徴とする代理認証方法。
【請求項１５】
第１のネットワークと第２のネットワークとを接続する認証装置であって、
上記第１のネットワーク内のユーザ端末のユーザ認証に必要なユーザ認証情報を記憶する手段と、
上記ユーザ端末が上記第２のネットワーク上の認証サーバでユーザ認証を受けるために必要な認証情報を上記ユーザ認証情報をもとに生成する手段とを具備することを特徴とする認証装置。
【請求項１６】
第１のネットワークと第２のネットワークとを接続する認証装置であって、
上記第１のネットワーク内のユーザ端末との接続状態情報をもとに、上記ユーザ端末が上記第２のネットワーク上の認証サーバでユーザ認証を受けるために必要な認証情報を生成する手段を具備することを特徴とする認証装置。
【請求項１７】
請求項１５記載の認証装置において、
上記第１のネットワークがＬＡＮとされ、上記第２のネットワークがインターネットとされ、上記認証装置がゲートウェイによって構成されていることを特徴とする認証装置。
【請求項１８】
請求項１５又は１６記載の認証装置において、
上記第１のネットワークが閉域網とされ、上記第２のネットワークが移動通信網及びインターネットとされ、上記認証装置が携帯電話機によって構成されていることを特徴とする認証装置。
【請求項１９】
請求項１５又は１６記載の認証装置において、
上記第１のネットワークがユーザ接続ネットワークとされ、上記第２のネットワークがインターネットとされ、上記認証装置がネットワーク接続サーバによって構成されていることを特徴とする認証装置。

【図１】

【図２】

【図３】

【図４】

【図５】

【図６】

【図７】

【図８】

【図９】

【図１０】

【図１１】

【図１２】

【図１３】

【図１４】

【図１５】

【図１６】

【公開番号】特開２００７−２９３８１１（Ｐ２００７−２９３８１１Ａ）
【公開日】平成１９年１１月８日（２００７．１１．８）
【国際特許分類】
【出願番号】特願２００７−１３７８２（Ｐ２００７−１３７８２）
【出願日】平成１９年１月２４日（２００７．１．２４）
【公序良俗違反の表示】
（特許庁注：以下のものは登録商標）
１．Ｂｌｕｅｔｏｏｔｈ
【出願人】（０００００４２２６）日本電信電話株式会社 (13,992)
【Ｆターム（参考）】