認証サーバ、ネットワーク利用端末、二次端末および通信方法
【課題】インターネットの利用が進み、ブロード化が進んだが、回線の帯域に余剰が生じており、その余剰帯域を有効に利用する。
【解決手段】端末104が、ネットワーク利用端末101と通信が可能となり、ネットワーク利用端末101を介してインターネットを利用しようとする時には、端末104は、端末104の利用者Bの認証情報を送信し、ネットワーク利用端末101は、ネットワーク利用端末101の所持者Aの認証情報と受信した利用者Bの認証情報とを認証サーバ105へ送信する。認証結果がOKであれば、ネットワーク利用端末101は、端末104の通信をインターネット103へ中継し、端末104にインターネットの利用を許可するようにする。
【解決手段】端末104が、ネットワーク利用端末101と通信が可能となり、ネットワーク利用端末101を介してインターネットを利用しようとする時には、端末104は、端末104の利用者Bの認証情報を送信し、ネットワーク利用端末101は、ネットワーク利用端末101の所持者Aの認証情報と受信した利用者Bの認証情報とを認証サーバ105へ送信する。認証結果がOKであれば、ネットワーク利用端末101は、端末104の通信をインターネット103へ中継し、端末104にインターネットの利用を許可するようにする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネットなどのための通信回線を通信の利用者の間で相互に利用し合うことにより通信回線の利用効率を上げる認証サーバ、ネットワーク利用端末、二次端末および通信方法に関する。
【背景技術】
【0002】
近年、インターネット回線のブロードバンド化が進んでいる。例えば、各家庭に光ファイバーなどを引き込むことにより、100Mbpsの通信が常時可能となっている。しかし、その一方で、ブロードバンドの利用を促進するようなコンテンツの整備などが遅れており、常時、100Mbpsの帯域を利用しているわけではなく、回線帯域に余剰が発生している。この余剰を利用する技術として、例えば、特許文献1に示されるように、第一の利用者が利用している帯域以外を第二のユーザに貸与する技術がある。
【特許文献1】特開2004−23312号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
特許文献1で示された技術では、その段落0034、その図3により説明されているように、第二の利用者の認証が行なわれるが、その認証は、インターネットサービスプロバイダなどのサービス提供者(ISP)の基地局3の中の帯域管理装置32で行なわれる。このため、第一の利用者が契約しているISPと第二の利用者が契約しているISPとは、同一、もしくは提携している必要がある。このため、いかなる第一の利用者の利用している回線であっても第二の利用者が利用できるとは限らないこととなり、第二の利用者の通信の利用が制限されるという課題がある。
【0004】
また、近年無線LANが普及し、駅などの公共の場所で無線LANが利用可能となっているが、無線LANが利用可能なエリアをこれ以上広げるには、莫大な設備投資が必要であるという課題がある。
【0005】
そこで、本発明は、第二の利用者の通信の利用が制限されることなく、また、莫大な設備投資が必要とされることなく、インターネット等の通信が普遍的に利用できる認証サーバ、ネットワーク利用端末、二次端末および通信方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するために、本発明では、認証サーバと通信が可能な第1のネットワークと各家庭などに設置されるネットワーク利用端末とを回線により接続し、二次端末が第2のネットワークを利用してネットワーク利用端末と通信が可能となり、二次端末がネットワーク利用端末を介して第1のネットワークを利用しようとする際に、認証サーバにより、ネットワーク利用端末と二次端末との両方を認証するようにした。
【0007】
このようにネットワーク利用端末と二次端末との両方が認証されることにより、どの回線の帯域をどの二次端末が利用するかを明確に把握することができ、二次端末に対する課金、また、回線の帯域を提供するネットワーク利用端末への恩典などのポイント加算をスムーズに行なうことができるようになる。また、二次端末の利用者が占有するネットワーク利用端末の回線の帯域を、他の二次端末に利用させることにより、恩典などを受けることができ、一方的に課金されることを防ぐことができ、ネットワークの利用を促進することができる。さらに、各家庭に本発明に係るネットワーク利用端末であって無線LANが使用可能な端末を設置することにより、安価に無線LANの利用が可能なエリアを広げることができる。
【0008】
また、本発明において、第1のネットワークを介してサービスを提供するサービス提供サーバがある場合、ネットワーク利用端末と二次端末との認証に加えて、サービス提供サーバの認証も行なってもよい。
【0009】
これにより、二次端末が、悪意などを有する管理者が管理するサーバと接続を行ない、ネットワーク利用端末の存在をその管理者に知られてしまい、DoS(Denial of Service)攻撃などを受けることを避けるなどの効果が生ずる。
【0010】
また、二次端末がさらに三次端末と通信が可能となっており、三次端末が第1のネットワークを利用しようとするときには、ネットワーク利用端末と二次端末と三次端末とを認証サーバにより認証するようになっていてもよい。同様に、三次端末が四次端末と通信が可能となっており、ネットワーク利用端末と二次端末と三次端末と四次端末とが認証されるようになっていてもよい。
【0011】
これにより、端末が第1のネットワークを利用可能となるエリアをさらに広げることが可能となる。
【発明の効果】
【0012】
本発明によれば、回線の余剰帯域の利用を促進することができ、また、回線の帯域を提供した者と利用した者とに対する課金管理などを円滑に行うことができる。
【発明を実施するための最良の形態】
【0013】
図1は、本発明の概要を例示する。利用者Aの家にネットワーク利用端末101が設置され、回線102によってインターネット103に接続されている。ネットワーク利用端末101は例えば、ルータ、特に無線LAN機能を有したルータであることが好ましい。また、ネットワーク利用端末101は、直接的に回線102に接続されている必要はなく、メディアコンバータ、スプリッタ、他のネットワーク機器(例えば、ルータやハブなど)を介して回線102に接続されている無線アクセスポイントであってもよい。回線102は、物理的には電話回線のメタル回線や光ファイバーによる光回線である。電話回線である場合には、例えば、ADSLなどのブロードバンド通信が常時可能であるのが好ましい。
【0014】
ネットワーク利用端末101が無線LAN機能を有しているとする。例えば、IEEE802.11規格に準拠したものであるとすると、数十メートルは通信が可能となるので、利用者Aの家の近くに居る利用者Bの無線機能を有する端末104とネットワーク利用端末101との通信が可能となる場合がある。通常であれば、ネットワーク利用端末101にはパスワード(例えば、「WEPキー」などと呼ばれる。)が設定され、特定の端末のみがネットワーク利用端末101と通信が可能であるが、本発明では、端末104が、ネットワーク利用端末101と通信が可能な領域に存在すれば、端末104とネットワーク利用端末101とはリンクが確立され、通信が可能となるようにする。ただし、この状態では、少なくとも、端末104は回線102を介してインターネット103は利用ができないように、ネットワーク利用端末101が制御を行なう。
【0015】
もし、端末104にインターネット103を利用する必要が生じた場合には、まず、(1)端末104は、ネットワーク利用端末101へ利用者B(または端末104)の認証情報を送信する。次に、(2)ネットワーク利用端末101は、回線102とインターネット103を介して、認証サーバ105へ利用者A(またはネットワーク利用端末)の認証情報と利用者B(または端末104)の認証情報の両方を送信する。すると、(3)認証サーバ105は、利用者Aと利用者Bとの認証を行ない、認証の結果をネットワーク利用端末101へ返信する。もし、認証がOKであれば、(4)インターネット利用端末101は、端末104に対して、回線102を介してインターネット103の利用を許可する。なお、括弧書きを行なったように、以後においては、利用者Bの認証情報を端末104の認証情報の意味で使用し、また、利用者Aの認証情報をネットワーク利用端末101の認証情報の意味で使用する。
【0016】
図2は、上述のイベントをシーケンス図にして表わしたものである。ステップS201において、利用者Aのネットワーク利用端末101と利用者AのISPとの間でコネクションが確立し、すくなくともネットワーク利用端末101が回線102を介してインターネット103の利用が可能となる。
【0017】
ステップS202において、利用者Bの端末104がネットワーク利用端末101と通信可能な領域に入ると、無線リンクが端末104とネットワーク利用端末101との間で確立する。ただし、無線リンクが確立しただけでは、端末104は、ネットワーク利用端末101を介してインターネット103を利用することはできないとする。ここで、端末104にインターネット103を利用する必要が生じたとすると、ステップS203において、端末104からネットワーク利用端末101へ、利用者Bの認証情報が送信される。ネットワーク利用端末101が利用者Bの認証情報を受信すると、ステップS204において、利用者Aの認証情報と受信された利用者Bの認証情報とが、ネットワーク利用端末101より認証サーバ105へ送信される。認証サーバ105において、利用者Aと利用者Bとが認証されると、ステップS205として、課金等の管理が行なわれる。
【0018】
図3は、課金などの管理を例示する。認証サーバ105の中に、「利用者識別子」、「利用ポイント」、「提供ポイント」という列があり、それぞれ、利用者を識別するための情報、回線の帯域を利用したことを示すポイント、回線の帯域を他人に利用させたことを示すポイントが格納される。図1、図2の場合には、利用者Bが利用者Aの回線の帯域を利用することになるので、例えば、利用者Aには提供ポイントとして5ポイントが加算され、利用者Bには、利用ポイントとして6ポイントが加算される。6ポイントと5ポイントの差は、例えば、認証サーバなどの管理会社の利益を示す。
【0019】
ステップS206において、利用者Aと利用者Bとが認証された結果、認証がOKであることがネットワーク利用端末へ伝えられ、ステップS207において、ネットワーク利用端末101は、端末104による通信を、回線102を介してインターネット103へ中継することを行なう。これにより、端末104と利用者BのISPとの通信可能となる。例えば、端末104と利用者BのISPのサーバとの間でVPN(Virtual Private Network)などを用いた通信が可能となる(例えば、利用者BのISPのメールサーバやプロキシーサーバとVPNによる通信路を張る)。
【0020】
その後、ステップS208において、端末104とネットワーク利用端末101との間の無線リンクが切断すると、ステップS209において、利用者BのISPへの通信が切断される。そして、ステップS210において、端末104の回線102の利用状況、例えば、回線102を利用した時間、回線102を介した通信のパケット数、利用させた帯域の幅などが認証サーバに送信され、課金等管理がステップS211で行なわれる。
【0021】
図4は、利用者Bと利用者Aとの認証のステップをより詳しく説明するシーケンス図を例示する。このシーケンス図では、公開鍵暗号の利用を前提としており、利用者Bと利用者Aとは、秘密鍵と公開鍵を有しており、それぞれの公開鍵(または公開鍵証明書)は、例えば、ディレクトリサーバに登録されているとする。なお、ディレクトリサーバは、認証サーバ105と同じであってもよいし、異なっていてもよい。
【0022】
ステップS401において、利用者Bの端末104が利用者Aの家のネットワーク利用端末101へ、回線102を介した通信の要求を送信する。すると、ステップS402において、ネットワーク利用端末101が認証サーバへ認証開始を要求する情報を送信し、ステップS403において、認証サーバは乱数などを生成して、チャレンジとしてそれをネットワーク利用端末101へ送信する。ステップS404において、ネットワーク利用端末101は、端末104へチャレンジを送信する。端末104は、利用者Bの秘密鍵によるチャレンジへの署名(これをsBとする。)を行ない、ステップS405にネットワーク利用端末101へ送信する。sBを受信したネットワーク利用端末101は、利用者Aの秘密鍵によるチャレンジへの署名(これをsAとする。)を行ない、ステップS406において、sAとsBとを認証サーバ105へ送信する。認証サーバ105は、ステップS407において、ディレクトリサーバに対して利用者Aと利用者Bとの公開鍵を要求し、ステップS408において、利用者Aと利用者Bとの返信を受ける。そして、ステップS409において、sAとsBとの検証、すなわち、公開鍵でsAとsBを復号化し、ステップS403で送信したチャレンジが得られるかを検証する。ステップS410において、検証の結果をネットワーク利用端末101へ送信する。
【0023】
なお、以上の説明において、ネットワーク利用端末101は、回線102を介してインターネットに接続されていると説明したが、インターネットに限定されるものではなく、一般の通信網であってもよい。また、ネットワーク利用端末101と端末104とは無線LANを用いて通信を行なうとしたが、有線による通信を行なうようになっていてもよいし、赤外線を使用した通信を行なうようになっていてもよい。また、ステップS402に先立って、ネットワーク利用端末が、認証サーバの公開鍵証明書などを用いて、認証サーバを認証するようになっていてもよい。
【0024】
以下、本発明を実施するための最良の形態について、図を用いて実施の形態に分けて説明する。なお、本発明はこれら実施の形態に何ら限定されるものではなく、その要旨を逸脱しない範囲において、種々なる態様で実施し得る。
【0025】
(実施の形態1)
(実施の形態1:全体構成)
図5は、本発明の実施の形態1に係る通信システムの全体の構成を例示する。本実施の形態に係る通信システムは、回線501と、ネットワーク利用端末502と、二次端末503と、認証サーバ504と、からなる。なお、ネットワーク利用端末502は、第1のネットワークを利用する。また、二次端末503は、第2のネットワークを用いてネットワーク利用端末502と通信が可能である。
【0026】
第1のネットワークの例としては、インターネットなどに代表される広域通信ネットワークがあるが、それに限定されることはない。また、第2のネットワークの例としては、無線LANにより構築される通信網があるが、それに限定されることはない。なお、第1のネットワークと第2のネットワークは同じであってもよい。また、認証サーバ504は、第1のネットワークに接続されているように図示されているが、このような構成である必要はなく、例えば、ネットワーク利用端末502と直接通信が可能なようになっていてもよい。
【0027】
なお、図5では、二次端末は1台しか図示されていないが、複数台存在してもよい。
【0028】
(実施の形態1:回線の構成)
回線501は、ネットワーク利用端末502を第1のネットワークに接続する。回線の例としては、光ファイバーを用いた光回線がある。
【0029】
(実施の形態1:二次端末の構成)
図6は、二次端末の機能ブロック図を例示する。二次端末503は、二次端末認証情報送信部601を有する。
【0030】
「二次端末認証情報送信部」601は、二次端末認証情報を、第2のネットワークを用いてネットワーク利用端末502に対して送信する。ここに、「二次端末認証情報」とは、自身を認証させるための情報を含む情報である。「自身」とは、二次端末を意味する。したがって、二次端末認証情報は、例えば、二次端末を識別する識別子とパスワードを含む。あるいは、二次端末を認識する識別子と、所定のデータに対して二次端末の秘密鍵で署名を行なった結果であってもよい。
【0031】
なお、本実施の形態に係る二次端末の二次端末認証情報送信部601は、ハードウェア、ソフトウェア、ハードウェアとソフトウェア(プログラム)の両者、のいずれかによって構成することが可能である。たとえば、これらを実現する一例として、計算機を利用する場合には、CPU、メモリ、バス、インターフェース、周辺装置などから構成されるハードウェアと、これらのハードウェア上にて実行可能なソフトウェアを挙げることができる。したがって、図示はしていないが、第2のネットワークと通信を行なうためのネットワークインターフェースなどが二次端末に備えられている。また、二次端末がその所持者が操作するための端末であれば、ユーザーインターフェースも備えられている。
【0032】
(実施の形態1:二次端末の処理)
図7は、二次端末の処理の流れ図を例示する。二次端末は、例えば、第1のネットワークを利用した通信を行なう場合に、この流れ図の処理を行なう。
【0033】
まず、ステップS701において、二次端末認証情報が送信済みであるかどうかを判断する。この判断は、例えば、二次端末の内部にフラグを設けて、そのフラグの値をチェックすることにより判定ができる。もし、送信済みであれば、何もせず、第1のネットワークを利用した通信を行なう。もし、送信済みでなければ、ステップS702へ処理を移行させ、二次端末認証情報を送信する。もし、上述のフラグが設けられていれば、そのフラグの値を「送信済み」を示すものとする。
【0034】
(実施の形態1:ネットワーク利用端末)
図8は、ネットワーク利用端末の機能ブロック図を例示する。ネットワーク利用端末502は、二次端末認証情報受信部801と、複合認証情報送信部802と、認証結果情報受信部803と、中継部804と、を有する。
【0035】
「二次端末認証情報受信部」801は、二次端末503から送信された二次端末認証情報を受信する。すなわち、第2のネットワークを介して、二次端末認証情報を受信する。
【0036】
「複合認証情報送信部」802は、二次端末認証情報受信部801で複合認証情報を送信する。「複合認証情報」とは、二次端末認証情報受信部801で受信された二次端末認証情報と、利用端末認証情報と、を含む情報である。「利用端末認証情報」とは、自身を認証させるための情報であり、「自身」とは、ネットワーク利用端末502を意味する。利用端末認証情報の例としては、ネットワーク利用端末502を識別する識別子とパスワードがある。あるいは、ネットワーク利用端末502を識別する識別子と、所定のデータに対してネットワーク利用端末502の所持者の秘密鍵で署名を行なった結果と、を含むものであってもよい。後の説明から明らかになるように、複合認証情報は、認証サーバ504へ向けて送信される情報である。したがって、認証サーバ504が接続されているネットワークに対して複合認証情報が送信される。
【0037】
「認証結果情報受信部」803は、認証結果情報を受信する。「認証結果情報」とは、複合認証情報の送信に応じて返信される情報であって、前記複合認証情報に基づく認証の結果を示す情報である。すなわち、二次端末認証情報による認証の結果と、利用端末認証情報による認証の結果と、を含む情報である。後の説明からわかるように、認証結果情報は、認証サーバ504が送信される。したがって、認証サーバ504が接続されているネットワークから認証結果情報が受信される。
【0038】
「中継部」804は、認証結果情報受信部803で受信された認証結果情報に基づいて、二次端末503の通信を第1のネットワークに中継することで、第1のネットワークの利用を二次端末503に対して許可する。「認証結果情報に基づいて」とは、認証結果情報の示す内容と許可との間になんらかの因果関係が存在することを意味する。例えば、認証結果情報が、二次端末認証情報により二次端末503の認証がされ、かつ、利用端末認証情報によりネットワーク利用端末502の認証がされた場合に、許可を行なう。「許可を行なう」とは、二次端末503から送信されたパケットが第1のネットワークを行き先としていれば、そのパケットを、回線501を介して第1のネットワークへ送信し、また、第1のネットワークから受信したパケットが二次端末503を行き先としていれば、そのパケットを第2のネットワークを介して二次端末503へ送信するという中継を行なうことである。
【0039】
なお、本実施の形態に係るネットワーク利用端末の各部は、ハードウェア、ソフトウェア、ハードウェアとソフトウェア(プログラム)の両者、のいずれかによって構成することが可能である。たとえば、これらを実現する一例として、計算機を利用する場合には、CPU、メモリ、バス、インターフェース、周辺装置などから構成されるハードウェアと、これらのハードウェア上にて実行可能なソフトウェアを挙げることができる。したがって、図示はしていないが、第1のネットワーク、第2のネットワークと通信を行なうためのネットワークインターフェースなどがネットワーク利用端末502に備えられている。
【0040】
(実施の形態1:ネットワーク利用端末の処理)
図9は、ネットワーク利用端末が行なう処理の流れ図を例示する。ネットワーク利用端末は、例えば、二次端末より二次端末認証情報を受信するたびに、この流れ図の処理を行なう。ステップS901において、二次端末認証情報を二次端末認証情報受信部801により受信する。ステップS902において、利用端末認証情報を取得する。利用端末認証情報が識別子とパスワードであれば、メモリなどに蓄積されているパスワードを読み取る。署名などを行なう場合には、秘密鍵を読み取り、署名を生成する。この意味で、本明細書においては、取得の概念には生成の概念も含まれるものとする。また、ステップS902は、例えば、複合認証情報送信部802により行なわれる。ステップS903において、複合認証情報を複合認証情報送信部802により送信する。ステップS904において、認証結果情報を認証結果情報受信部803により受信する。ステップS905において、認証がOKかどうか、すなわち、二次端末503とネットワーク利用端末502とが認証がされたかどうかを判断する。この判断は、例えば中継部804で行なう。もし、認証がOKであれば、中継部804により、二次端末の通信を第1のネットワークに中継する。すなわち、第1のネットワークと二次端末との間でのパケットの交換を可能とする。
【0041】
(実施の形態1:認証サーバの構成)
図10は、認証サーバの機能ブロック図を例示する。認証サーバ504は、複合認証情報受信部1001と、認証部1002と、認証結果返信部1003と、を有する。
【0042】
「複合認証情報受信部」1001は、ネットワーク利用端末502から送信される複合認証情報を受信する。
【0043】
「認証部」1002は、複合認証情報受信部1001で受信した複合認証情報に基づいて、二次端末503とネットワーク利用端末502とを認証する。例えば、端末の識別子とパスワードとを保持したテーブルが認証サーバ内に設けられ、複合認証情報受信部に含まれる二次端末の識別子とパスワードと、ネットワーク利用端末の識別子とパスワードが、そのテーブルに保持された識別子とパスワードとに適合するかどうかを判断する。あるいは、複合認証情報に所定のデータに対する署名が含まれていれば、その署名が正しいかどうかを判定する。
【0044】
なお、認証部での認証は、二次端末とネットワーク利用端末とを個別に認証してもよい。あるいは、二次端末とネットワーク利用端末とが特定の組合せになっていることが条件とされて認証がされてもよい。
【0045】
「認証結果返信部」1003は、認証部1002での認証の結果を認証結果情報として返信する。
【0046】
なお、本実施の形態に係る認証サーバの各部は、ハードウェア、ソフトウェア、ハードウェアとソフトウェア(プログラム)の両者、のいずれかによって構成することが可能である。たとえば、これらを実現する一例として、計算機を利用する場合には、CPU、メモリ、バス、インターフェース、周辺装置などから構成されるハードウェアと、これらのハードウェア上にて実行可能なソフトウェアを挙げることができる。したがって、図示はしていないが、ネットワーク利用端末や、必要ならば、公開鍵などを得るためのディレクトリサーバなどと通信を行なうためのネットワークインターフェースなどが認証サーバに備えられている。
【0047】
(実施の形態1:認証サーバの処理)
図11は、認証サーバの処理を説明する流れ図を例示する。認証サーバは、複合認証情報を受信するたびに、図11の流れ図の処理を実行する。ステップS1101において、複合認証情報を、複合認証情報受信部により受信する。ステップS1002において、二次端末とネットワーク利用端末とを認証部により認証する。ステップS1003において、認証結果返信部により、認証結果情報を返信する。
【0048】
(実施の形態1:全体の処理)
図12は、本実施の形態に係る通信システムの全体の処理のシーケンス図を例示する。ステップS1201において、二次端末よりネットワーク利用端末へ二次端末認証情報が送信される。ステップS1202において、ネットワーク利用端末から認証サーバへ複合認証情報、すなわち二次端末認証情報と利用端末認証情報とを含む情報、が送信される。ステップS1203において、認証サーバからネットワーク利用端末へ、認証結果情報が送信される。その後、認証結果情報に基づいて、二次端末による第1のネットワークの利用が許可される。
【0049】
(実施の形態1:その他の形態)
以上説明したのは、本発明の実施の形態1の最低限の構成と処理である。このほかに、例えば、認証サーバにより複合認証情報に基づいて二次端末とネットワーク利用端末とが認証されれば、課金等管理が認証サーバにより行なわれてもよい。課金等管理は、認証サーバ以外のサーバにより行なわれてもよい。また、二次端末とネットワーク利用端末との通信が切断された場合には、二次端末による第1のネットワークの利用の量などを示す情報を、ネットワーク利用端末が認証サーバなどへ送信し、課金等管理が行なわれるようになっていてもよい。
【0050】
なお、ネットワーク利用端末が認証サーバなどへ、第1のネットワークの利用の量などについて虚偽の申請を行なうことが考えられる。この対策として、例えば、ネットワーク利用端末は、定期的に二次端末に対して、第1のネットワークの利用の量(例えば、利用時間、利用した帯域幅、パケット量など)などを示す通信量情報を報告する通信量報告部を有してもよい。このようにすることにより、後日、二次端末から認証サーバなどに記録された通信量情報と、ネットワーク利用端末の通信料報告部から伝えられた通信量情報とを比較可能とする解決策がある。あるいは、二次端末がネットワーク利用端末との通信を切断する直前に、二次端末から認証サーバなどへ、二次端末が測定などをして得られた、あるいは、ネットワーク利用端末から送信されて得られた、通信量情報を送信するようにしてもよい。認証サーバなどは、二次端末から送信される通信量情報と、ネットワーク利用端末から送信される通信量情報と、を比較し、二つの通信量情報の違いが許容できない場合には、ネットワーク利用端末や二次端末に対して監査を行なうべき情報を管理者に表示等してもよい。
【0051】
また、ネットワーク利用端末が、二次端末に対して回線501などの利用条件を提示し、二次端末と利用条件についてネゴシエーションを取るようになっていてもよい。利用条件とは、例えば、二次端末が利用する回線501の帯域であったり、回線501の利用時間の長さであったりなどする。
【0052】
図13は、利用条件のネゴシエーションを取る処理を例示する。まず、(1)認証サーバによりネットワーク利用端末と二次端末との認証が行なわれる。次に、(2)利用条件の提示がネットワーク利用端末から二次端末に対して行なわれる。(3)その利用条件が二次端末で審査される。例えば、利用条件が二次端末の利用の目的に適うかどうかを判断する。審査の結果がOKであれば、その結果がネットワーク利用端末へ送信され、(4)課金などの申請がネットワーク利用端末から認証サーバや課金サーバへ対して行なわれる。認証サーバが課金の処理も行なうとすると、(5)課金等の実行を行なう。二次端末が第1のネットワークを利用可能となる。本発明には必須ではないが、(6)二次端末はVPNと特定のホストとの安全な通信路を確立して通信を行なう。
【0053】
図13では、認証サーバによる認証の後に利用条件の提示が行なわれるが、二次端末認証情報の送信時に利用条件の提示が行なわれるようになっていてもよい。また、二次端末による第1のネットワークの利用が許可されている間に、ネットワーク利用端末の所持者が回線501を利用する必要が発生した場合には、二次端末の使用する回線501の帯域などを制限してよいかどうかのネゴシエーションをネットワーク端末と二次端末との間で行ない、ネゴシエーションができれば、ネットワーク利用端末は二次端末の使用する回線501の帯域の制限を行なう。あるいは、複数の二次端末が存在し、二次端末の台数が増加し、ネットワーク利用端末がそれぞれの二次端末に対して提供すべき帯域を保障できなくなってきた場合などにも、ネゴシエーションを行なうようになっていてもよい。また、ネゴシエーションの結果に応じて、課金のレートなどを変更する申請をネットワーク利用端末より行なうようにしてもよい。
【0054】
また、二次端末において、新たな帯域が必要となった場合には、二次端末の側からネットワーク利用端末に対してネゴシエーションを行なうようになっていてもよい。
【0055】
また、ネゴシエーションの対象については、種々のものがあり得る。例えば、帯域についてネットワーク利用端末の使用可能帯域の比率、あるいはネットワーク利用端末の所持者が使用する分を差し引いてからの残量内での比率をネゴシエーションの対象としてもよい。このようにすることにより、通信の状況が変化した場合に、再びネゴシエーションを
行なう必要が生じる回数を減らすことができ、ネゴシエーションを行なうことにより発生するオーバーヘッドを減らすことができる。
【0056】
また、通信の内容ごと(例えば、TCP/IPの通信の場合には、通信に使用するポート番号に基づいて決定されるサービス)、課金、品質の条件をネゴシエーションすることもあり得る。例えば、動画データに関しては優先して大きな帯域を割り当てる一方、それに応じて高い課金レートを課するようにしてもよい。
【0057】
なお、これらは全てネゴシエーションにおいて、どのような内容についてネゴシエーションするかによるものであり、ネゴシエーションを行なうという機能には何ら制限が課せられるものではない。
【0058】
また、都市部などでは、二次端末が同時に複数のネットワーク利用端末と通信が可能となる場合があるが、二次端末は、最も有利な利用条件を提示したネットワーク利用端末を利用するようにネットワーク利用端末の選択を行なってもよい。
【0059】
(実施の形態1:主な効果)
本実施の形態により、回線501の余剰帯域の利用を促進することができ、また、複合認証情報による認証が行なわれることにより、回線501の帯域を提供した者と利用した者とに対する課金管理などをスムーズに行なうことができる。また、複合認証情報による認証が行なわれることにより、ネットワーク利用端末の利用するISPと二次端末の所持者が契約しているISPとが同じであったり提携をしていたりする必要はなく、ISPと独立して設置することが可能な認証サーバに登録されていればよいことになる。
【0060】
(実施の形態2)
(実施の形態2:全体構成)
図14は、本発明の実施の形態2に係る通信システムの全体の構成を例示する。本実施の形態に係る通信システムは、回線501と、ネットワーク利用端末502と、二次端末503と、認証サーバ504と、サービス提供サーバ1401と、からなる。したがって、本実施の形態に係る通信システムは、実施の形態1に係る通信システムにサービス提供サーバ1401が追加された構成となっている。
【0061】
サービス提供サーバ1401は、第1のネットワークを介してサービスを提供するサーバである。
【0062】
(実施の形態2:二次端末認証情報の構造)
本実施の形態においては、二次端末503の二次端末認証情報送信部601が送信する二次端末認証情報には、サービス提供サーバ識別情報が含まれる。「サービス提供サーバ」とは、自身が第1のネットワークを利用して通信を行なうサービス提供サーバを識別するための情報である。例えば、サービス提供サーバのIPアドレスやFQDN(Full Qualified Domain Name)などである。
【0063】
図15は、二次端末が送信する二次端末認証情報にサービス提供サーバ識別情報が含まれていることを例示している。
【0064】
(実施の形態2:中継部の処理)
本実施の形態においては、ネットワーク利用端末の中継部は、認証結果情報受信部で受信された認証の結果に基づいて、二次端末の通信を第1のネットワークを介してサービス提供サーバに中継することで第1のネットワークの利用を二次端末について許可する。例えば、二次端末からのパケットがサービス提供サーバを行き先としていれば、そのパケットを回線501へ送信し、そうでなければ、パケットを破棄する。また、第1のネットワークから受信したパケットが二次端末を行き先とする場合、その送信元がサービス提供サーバでなければ、そのようなパケットを破棄する。
【0065】
(実施の形態2:認証部の処理)
本実施の形態においては、認証サーバの認証部は、複合認証情報受信部で受信した複合認証情報に基づいてサービス提供サーバを認証する。このサービス提供サーバの認証は、そのサービス提供サーバと二次端末との通信を認証することを目的とする。すなわち、サービス提供サーバと二次端末との通信が可能となる前提として、本実施の形態においては、サービス提供サーバが認証されなければならない。サービス提供サーバを認証する方法としては、複合認証情報に含まれる二次端末認証情報を取得し、その二次端末認証情報に含まれるサービス提供サーバ識別情報に基づいて、サービス提供サーバを認証する方法がある。例えば、認証サーバは、サービス提供サーバ識別情報に基づいて、サービス提供サーバへ乱数としてチャレンジを送信し、サービス提供サーバは受信したチャレンジを自分の有する秘密鍵でチャレンジを暗号化して返信(レスポンス)する。返信を受信した認証サーバは、サービス提供サーバの公開鍵を取得し、返信を復号化し、元のチャレンジが得られるかどうかを判断する。なお、このようなチャレンジ−レスポンスによる認証の後や前に、サービス提供サーバ識別情報が、有害なサーバの識別子を集めたリストなどに存在しないかどうか、あるいは、優良なサーバの識別子を集めたリストなどに存在することを確認してもよい。
【0066】
このように認証サーバがサービス提供サーバを認証することにより、本実施の形態に係る通信システムにおいて、二次端末が通信できるサービス提供サーバを特定することができる。これにより、サービス提供料などの徴収が可能となる。また、サービス提供サーバの管理者が悪意等を有している場合、二次端末がネットワーク利用端末を経由してサービス提供サーバを利用すると、ネットワーク利用端末の存在が悪意等を有している管理者に判明してしまい、DoS攻撃などを受ける場合があるが、そのようなサービス提供サーバが認証されないようにすることにより、DoS攻撃を避けることができる。
【0067】
また、サービス提供サーバの認証の後に、二次端末とサービス提供サーバとの組合せが適切なものであるかどうかを判断してもよい。例えば、二次端末の識別子と、その二次端末が利用可能なサービス提供サーバを識別するためのサービス提供サーバ識別情報と、を関連付けてテーブルに蓄積してもよい。このようなテーブルを用いて認証を行なうことにより、二次端末は所定のサービス提供サーバしか使用ができなくなる。例えば、勤務中に外出している二次端末の所持者は、勤務先のサーバにしか接続できないようにすることができる。
【0068】
あるいは、ネットワーク利用端末の識別子と、その二次端末が利用可能なサービス提供サーバを識別するためのサービス提供サーバ識別情報と、を関連付けてテーブルに蓄積してもよい。このようなテーブルを用いて認証を行なうことにより、所定のネットワーク利用端末の周辺に居るときにだけ利用可能なサービスを提供することができ、例えば、商店街や行楽地などの人寄せに役立つ。
【0069】
(実施の形態2:主な効果)
上記に述べたように、本実施の形態により、二次端末が通信できるサービス提供サーバを指定することができ、サービス提供料の徴収が可能などとなる。
【0070】
(実施の形態3)
(実施の形態3:全体構成)
図16は、本発明の実施の形態3に係る通信システムの全体の構成を例示する。本実施の形態に係る通信システムは、回線501と、ネットワーク利用端末502と、二次端末503と、認証サーバ504と、三次端末1601と、からなる。また、サービス提供サーバが存在していてもよい。したがって、本実施の形態に係る通信システムは、実施の形態1または2に係る通信システムが三次端末1601を有する構成となっている。
【0071】
(実施の形態3:三次端末の構成)
三次端末1601は、第3のネットワークを用いて二次端末503と通信が可能な端末である。「第3のネットワーク」は、例えば無線LANなどにより構成される通信網である。
【0072】
図17は、三次端末の機能ブロック図を例示する。三次端末1601は、三次端末認証情報送信部1701を有する。
【0073】
「三次端末認証情報送信部」1701は、三次端末認証情報を第3のネットワークを利用して二次端末503に送信する。ここに、「三次端末認証情報」とは、自身を認証させるための情報であり、「自身」とは三次端末を意味する。したがって、三次端末認証情報は、例えば、実施の形態1における二次端末認証情報と同じ構造であってもよい。
【0074】
なお、本実施の形態に係る三次端末の部は、ハードウェア、ソフトウェア、ハードウェアとソフトウェア(プログラム)の両者、のいずれかによって構成することが可能である。たとえば、これらを実現する一例として、計算機を利用する場合には、CPU、メモリ、バス、インターフェース、周辺装置などから構成されるハードウェアと、これらのハードウェア上にて実行可能なソフトウェアを挙げることができる。したがって、図示はしていないが、第3のネットワークと通信を行なうためのネットワークインターフェースなどが三次端末に備えられている。また、三次端末がその所持者により操作されるものであれば、ユーザーインターフェースなども備えられている。
【0075】
(実施の形態3:二次端末の構成)
図18は、本実施の形態に係る通信システムの二次端末の機能ブロック図を例示する。本実施の形態において、二次端末503は、三次端末認証情報受信部1801と、二次端末認証情報送信部601と、二次端末認証結果情報受信部1802と、二次端末中継部1803と、を有する。
【0076】
「三次端末認証情報受信部」1801は、三次端末1601から送信される三次端末認証情報を受信する。したがって、本実施の形態に係る二次端末は、実施の形態1または2に係る二次端末が第3のネットワークと通信するためのネットワークインターフェースを備えている。
【0077】
「二次端末認証情報送信部」601は、実施の形態1または2におけるものと同様であるが、本実施の形態においては、二次端末認証情報に、三次端末認証情報受信部で受信された三次端末認証情報を含ませて送信する。
【0078】
「二次端末認証結果情報受信部」1802は、二次端末認証情報の送信に応じて返信される認証結果情報を受信する。認証結果情報は、後に説明されるようにネットワーク利用端末502を介して受信される。
【0079】
「二次端末中継部」1803は、二次端末認証結果情報受信部1802で受信された認証結果情報に基づいて、三次端末1601の通信を第2のネットワークに中継することで、第1のネットワークの利用を三次端末1601に対して許可する。もし、認証結果情報が、認証がOKであることを示せば、二次端末503の通信が第1のネットワークに中継されるので、二次端末が、三次端末の通信を第2のネットワークに中継することにより、三次端末は、第1のネットワークの通信を行なうことが可能となる。
【0080】
(実施の形態3:ネットワーク利用端末の構成)
本実施の形態において、ネットワーク利用端末502は、さらに、認証結果送信部を有する。
【0081】
「認証結果送信部」は、認証結果情報受信部803で受信した認証結果情報を二次端末503に対して送信する。
【0082】
(実施の形態3:認証サーバの構成)
本実施の形態において、認証サーバ504の認証部1002は、複合認証情報受信部1001で受信した複合認証情報に基づいてさらに三次端末1601を認証する。認証の方法は、二次端末やネットワーク利用端末の認証の方法と同じであっても構わない。あるいは、異なる方法であっても構わない。
【0083】
(実施の形態3:二次端末の処理)
図19は、本実施の形態における二次端末の処理の流れ図を例示する。二次端末は、三次端末認証情報を受信するたびに、図19の流れ図の処理を実行する。ステップS1901において、三次端末認証情報を、三次端末認証情報受信部1801により受信する。ステップS1902において、二次端末認証情報を取得する。この取得は、例えば、二次端末認証情報送信部601で行なわれる。ステップS1903において、二次端末認証情報を、二次端末認証情報送信部601により送信する。ステップS1904において、返信される認証結果情報を、二次端末認証結果情報受信部1802により受信する。ステップS1905において、認証がOKであるかどうかを判断する。もし、認証がOKであれば、二次端末中継部1803により、三次端末の通信を第2のネットワークに中継する。
【0084】
(実施の形態3:主な効果)
本実施の形態によれば、二次端末と通信が可能な三次端末が第1のネットワークを利用することができ、本発明に係る通信システムの通信可能なエリアを広げることができる。なお、このような考えを推し進めると、図20に例示されるように、三次端末がさらに四次端末と通信が可能であり、四次端末が第1のネットワークを利用可能となるようにすることもでき、更に、四次端末が五次端末と通信が可能とすることもできる。これにより、例えば、道路を走る自動車などの連続して並ぶ移動体に端末を搭載することにより、移動体からのネットワークの利用が可能となる。
【0085】
(実施の形態4)
本発明の実施の形態4は、実施の形態1に係る通信システムのネットワーク利用端末に相当する。実施の形態1においては、通信システム全体の中でネットワーク利用端末が位置づけられていたが、実施の形態4においては、ネットワーク利用端末単体について説明がされる。
【0086】
すなわち、本実施の形態に係るネットワーク端末は、回線によって第1のネットワークに接続され、第2のネットワークを用いて二次端末と通信が可能なネットワーク利用端末である。
【0087】
ネットワーク利用端末は、二次端末認証情報受信部と、複合認証情報送信部と、認証結果情報受信部と、中継部と、を有する。
【0088】
「二次端末認証情報受信部」は、前記二次端末から送信された前記二次端末を認証させるための情報である二次端末認証情報を受信する。
【0089】
「複合認証情報送信部」は、前記二次端末認証情報受信部で受信された二次端末認証情報と、自身を認証させるための情報である利用端末認証情報と、を含む情報である複合認証情報を送信する。
【0090】
「認証結果情報受信部」は、前記複合認証情報の送信に応じて返信される情報であって前記複合認証情報に基づく認証の結果を示す情報である認証結果情報を受信する。
【0091】
「中継部」は、前記認証結果情報受信部で受信された認証結果情報に基づいて、前記二次端末の通信を前記第1のネットワークに中継することで前記第1のネットワークの利用を前記二次端末に対して許可する。
【0092】
ネットワーク利用端末の処理については、図9を用いて既に説明したので省略する。
【0093】
(実施の形態5)
本発明の実施の形態5は、実施の形態1に係る通信システムの認証サーバに相当する。
【0094】
すなわち、本実施の形態に係る認証サーバは、二次端末と通信が可能なネットワーク利用端末と通信を行なう認証サーバである。二次端末は、上で説明したような端末装置である。
【0095】
認証サーバは、複合認証情報受信部と、認証部と、認証結果返信部と、を有する。
【0096】
「複合認証情報受信部」は、前記二次端末を認証させるための情報である二次端末認証情報と前記ネットワーク利用端末を認証させるための情報である利用端末認証情報と、を含む情報である複合認証情報を前記ネットワーク利用端末より受信する。
【0097】
「認証部」は、前記複合認証情報受信部で受信した複合認証情報に基づいて、前記二次端末と前記ネットワーク利用端末とを認証する。
【0098】
「認証結果返信部」は、前記認証部での認証の結果を認証結果情報として返信する。
【0099】
認証サーバの処理については、図11を用いて説明したので省略する。
【0100】
(実施の形態6)
本発明の実施の形態6は、実施の形態2に係る通信システムの二次端末に相当する。
【0101】
すなわち、本実施の形態に係る二次端末は、サービスを提供するサービス提供サーバと通信が可能な第1のネットワークに回線を介して接続されたネットワーク利用端末と第2のネットワークを用いて通信が可能な端末である。
【0102】
二次端末は、二次端末認証情報送信部を有する。
【0103】
「二次端末認証情報送信部」は、自身を認証させるための情報である二次端末認証情報に、前記第1のネットワークを利用して通信を行なう前記サービス提供サーバを識別するための情報であるサービス提供サーバ識別情報を含ませて、第2のネットワークを用いて前記ネットワーク利用端末に対して送信する。ここに「自身」とは、二次端末を意味する。
【0104】
(実施の形態7)
本発明の実施の形態7は、実施の形態2に係る通信システムのネットワーク利用端末に相当する。したがって、本実施の形態に係るネットワーク利用端末は、実施の形態4に係るネットワーク利用端末において、第1のネットワークは、サービスを提供するサービス提供サーバとの通信が可能であり、前記二次端末認証情報には、二次端末が前記第1のネットワークを利用して通信を行なう前記サービス提供サーバを識別するための情報であるサービス提供サーバ識別情報が含まれ、前記中継部は、前記認証結果情報受信部で受信された認証の結果に基づいて、前記二次端末の通信を前記第1のネットワークを介して前記サービス提供サーバに中継することで前記第1のネットワークの利用を前記二次端末に対して許可する。
【0105】
(実施の形態8)
本発明の実施の形態8は、実施の形態2に係る通信システムの認証サーバに相当する。したがって、本実施の形態に係る認証サーバは、実施の形態5に係る認証サーバにおいて、前記ネットワーク利用端末は、第1のネットワークを利用して、サービスを提供するサービス提供サーバとの通信が可能であり、前記二次端末認証情報には、二次端末が前記第1のネットワークを利用して通信を行なう前記サービス提供サーバを識別するための情報であるサービス提供サーバ識別情報が含まれ、前記認証部は前記複合認証情報受信部で受信した複合認証情報に基づいて前記サービス提供サーバを認証する。
【0106】
(実施の形態9)
本発明の実施の形態9は、実施の形態3に係る通信システムのネットワーク利用端末に相当する。したがって、本実施の形態に係るネットワーク利用端末は、実施の形態4または7のネットワーク利用端末が、認証結果情報受信部で受信した認証結果情報を前記二次端末に対して送信する認証結果情報送信部を有する構成となっている。
【0107】
(実施の形態10)
本発明の実施の形態10は、実施の形態3に係る通信システムの認証サーバに相当する。したがって、本実施の形態に係る認証サーバは、実施の形態5または8に係る認証サーバにおいて、前記二次端末は、第3のネットワークを利用して、自身を認証させるための情報である三次端末認証情報を送信する三次端末と通信が可能であり、前記二次端末は、二次端末認証情報に前記三次端末認証情報を含ませて送信し、前記認証部は、前記複合認証情報受信部で受信した複合認証情報に基づいてさらに前記三次端末を認証する。
【0108】
(実施の形態11)
本発明に係る実施の形態11は、例えば、実施の形態1の通信システムが動作するように、ネットワーク利用端末と、二次端末と、認証サーバと、を通信させる方法である。
【0109】
すなわち、本実施の形態に係る方法は、回線により第1のネットワークに接続されるネットワーク利用端末と、第2のネットワークを用いて前記ネットワーク利用端末と通信が可能な二次端末と、認証サーバと、を通信させる方法であり、二次端末認証情報送信ステップと、二次端末認証情報受信ステップと、複合認証情報送信ステップと、認証結果情報受信ステップと、中継ステップと、複合認証情報受信ステップと、認証ステップと、認証結果返信ステップと、を含む。
【0110】
「二次端末認証情報送信ステップ」は、二次端末が、自身を認証させるための情報である二次端末認証情報を、前記第2のネットワークを用いて前記ネットワーク利用端末に対して送信するステップである。例えば、図12のステップS1201に相当する。
【0111】
「二次端末認証情報受信ステップ」は、ネットワーク利用端末が、前記二次端末認証情報送信ステップにて送信された二次端末認証情報を受信するステップである。例えば、図12のステップS1201に相当する。
【0112】
「複合認証情報送信ステップ」は、ネットワーク利用端末が、前記二次端末認証情報受信ステップで受信された二次端末認証情報と、自身を認証させるための情報である利用端末認証情報と、を含む情報である複合認証情報を送信するステップである。例えば、図12のステップS1202に相当する。
【0113】
「認証結果情報受信ステップ」は、ネットワーク利用端末が、前記複合認証情報の送信に応じて返信される認証結果情報を受信するステップである。例えば、図12のステップS1202に相当する。
【0114】
「中継ステップ」は、ネットワーク利用端末が、前記認証結果情報受信ステップで受信された認証結果情報に基づいて、前記二次端末の通信を前記第1のネットワークに中継することで前記第1のネットワークの利用を前記二次端末に対して許可するステップである。例えば、図9のステップS905、S906に相当する。
【0115】
「複合認証情報受信ステップ」は、認証サーバが、前記ネットワーク利用端末から送信される複合認証情報を受信するステップである。例えば、図12のステップS1202に相当する。
【0116】
「認証ステップ」は、認証サーバが、前記複合認証情報受信ステップで受信した複合認証情報に基づいて、前記二次端末と前記ネットワーク利用端末とを認証するステップである。例えば、図11のステップS1102に相当する。
【0117】
「認証結果返信ステップ」は、認証サーバが、前記認証ステップでの認証の結果を返信するステップである。例えば、図12のステップS1203に相当する。
【産業上の利用可能性】
【0118】
本発明に係る認証サーバ、ネットワーク利用端末、二次端末および通信方法は、回線の余剰帯域の利用を促進することができ、また、回線の帯域を提供した者と利用した者とに対する課金管理などを円滑に行うことができ、産業上有用である。
【図面の簡単な説明】
【0119】
【図1】本発明の概要図
【図2】本発明の概要のシーケンス図
【図3】課金などの管理の処理を例示する図
【図4】認証のステップを説明するシーケンス図
【図5】本発明の実施の形態1に係る通信システムの全体の構成図
【図6】二次端末の機能ブロック図
【図7】二次端末の処理の流れ図
【図8】ネットワーク利用端末の機能ブロック図
【図9】ネットワーク利用端末の処理の流れ図
【図10】認証サーバの機能ブロック図
【図11】認証サーバの処理の流れ図
【図12】通信システムの全体の処理のシーケンス図
【図13】利用条件の合意を取る処理を例示する図
【図14】本発明の実施の形態2に係る通信システムの全体の構成図
【図15】二次端末の機能ブロック図
【図16】本発明の実施の形態3に係る通信システムの全体の構成図
【図17】三次端末の機能ブロック図
【図18】二次端末の機能ブロック図
【図19】二次端末の処理の流れ図
【図20】本発明の実施の形態3を発展させた形態の構成図
【符号の説明】
【0120】
101 ネットワーク利用端末
102 回線
103 インターネット
104 端末
105 認証サーバ
【技術分野】
【0001】
本発明は、インターネットなどのための通信回線を通信の利用者の間で相互に利用し合うことにより通信回線の利用効率を上げる認証サーバ、ネットワーク利用端末、二次端末および通信方法に関する。
【背景技術】
【0002】
近年、インターネット回線のブロードバンド化が進んでいる。例えば、各家庭に光ファイバーなどを引き込むことにより、100Mbpsの通信が常時可能となっている。しかし、その一方で、ブロードバンドの利用を促進するようなコンテンツの整備などが遅れており、常時、100Mbpsの帯域を利用しているわけではなく、回線帯域に余剰が発生している。この余剰を利用する技術として、例えば、特許文献1に示されるように、第一の利用者が利用している帯域以外を第二のユーザに貸与する技術がある。
【特許文献1】特開2004−23312号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
特許文献1で示された技術では、その段落0034、その図3により説明されているように、第二の利用者の認証が行なわれるが、その認証は、インターネットサービスプロバイダなどのサービス提供者(ISP)の基地局3の中の帯域管理装置32で行なわれる。このため、第一の利用者が契約しているISPと第二の利用者が契約しているISPとは、同一、もしくは提携している必要がある。このため、いかなる第一の利用者の利用している回線であっても第二の利用者が利用できるとは限らないこととなり、第二の利用者の通信の利用が制限されるという課題がある。
【0004】
また、近年無線LANが普及し、駅などの公共の場所で無線LANが利用可能となっているが、無線LANが利用可能なエリアをこれ以上広げるには、莫大な設備投資が必要であるという課題がある。
【0005】
そこで、本発明は、第二の利用者の通信の利用が制限されることなく、また、莫大な設備投資が必要とされることなく、インターネット等の通信が普遍的に利用できる認証サーバ、ネットワーク利用端末、二次端末および通信方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するために、本発明では、認証サーバと通信が可能な第1のネットワークと各家庭などに設置されるネットワーク利用端末とを回線により接続し、二次端末が第2のネットワークを利用してネットワーク利用端末と通信が可能となり、二次端末がネットワーク利用端末を介して第1のネットワークを利用しようとする際に、認証サーバにより、ネットワーク利用端末と二次端末との両方を認証するようにした。
【0007】
このようにネットワーク利用端末と二次端末との両方が認証されることにより、どの回線の帯域をどの二次端末が利用するかを明確に把握することができ、二次端末に対する課金、また、回線の帯域を提供するネットワーク利用端末への恩典などのポイント加算をスムーズに行なうことができるようになる。また、二次端末の利用者が占有するネットワーク利用端末の回線の帯域を、他の二次端末に利用させることにより、恩典などを受けることができ、一方的に課金されることを防ぐことができ、ネットワークの利用を促進することができる。さらに、各家庭に本発明に係るネットワーク利用端末であって無線LANが使用可能な端末を設置することにより、安価に無線LANの利用が可能なエリアを広げることができる。
【0008】
また、本発明において、第1のネットワークを介してサービスを提供するサービス提供サーバがある場合、ネットワーク利用端末と二次端末との認証に加えて、サービス提供サーバの認証も行なってもよい。
【0009】
これにより、二次端末が、悪意などを有する管理者が管理するサーバと接続を行ない、ネットワーク利用端末の存在をその管理者に知られてしまい、DoS(Denial of Service)攻撃などを受けることを避けるなどの効果が生ずる。
【0010】
また、二次端末がさらに三次端末と通信が可能となっており、三次端末が第1のネットワークを利用しようとするときには、ネットワーク利用端末と二次端末と三次端末とを認証サーバにより認証するようになっていてもよい。同様に、三次端末が四次端末と通信が可能となっており、ネットワーク利用端末と二次端末と三次端末と四次端末とが認証されるようになっていてもよい。
【0011】
これにより、端末が第1のネットワークを利用可能となるエリアをさらに広げることが可能となる。
【発明の効果】
【0012】
本発明によれば、回線の余剰帯域の利用を促進することができ、また、回線の帯域を提供した者と利用した者とに対する課金管理などを円滑に行うことができる。
【発明を実施するための最良の形態】
【0013】
図1は、本発明の概要を例示する。利用者Aの家にネットワーク利用端末101が設置され、回線102によってインターネット103に接続されている。ネットワーク利用端末101は例えば、ルータ、特に無線LAN機能を有したルータであることが好ましい。また、ネットワーク利用端末101は、直接的に回線102に接続されている必要はなく、メディアコンバータ、スプリッタ、他のネットワーク機器(例えば、ルータやハブなど)を介して回線102に接続されている無線アクセスポイントであってもよい。回線102は、物理的には電話回線のメタル回線や光ファイバーによる光回線である。電話回線である場合には、例えば、ADSLなどのブロードバンド通信が常時可能であるのが好ましい。
【0014】
ネットワーク利用端末101が無線LAN機能を有しているとする。例えば、IEEE802.11規格に準拠したものであるとすると、数十メートルは通信が可能となるので、利用者Aの家の近くに居る利用者Bの無線機能を有する端末104とネットワーク利用端末101との通信が可能となる場合がある。通常であれば、ネットワーク利用端末101にはパスワード(例えば、「WEPキー」などと呼ばれる。)が設定され、特定の端末のみがネットワーク利用端末101と通信が可能であるが、本発明では、端末104が、ネットワーク利用端末101と通信が可能な領域に存在すれば、端末104とネットワーク利用端末101とはリンクが確立され、通信が可能となるようにする。ただし、この状態では、少なくとも、端末104は回線102を介してインターネット103は利用ができないように、ネットワーク利用端末101が制御を行なう。
【0015】
もし、端末104にインターネット103を利用する必要が生じた場合には、まず、(1)端末104は、ネットワーク利用端末101へ利用者B(または端末104)の認証情報を送信する。次に、(2)ネットワーク利用端末101は、回線102とインターネット103を介して、認証サーバ105へ利用者A(またはネットワーク利用端末)の認証情報と利用者B(または端末104)の認証情報の両方を送信する。すると、(3)認証サーバ105は、利用者Aと利用者Bとの認証を行ない、認証の結果をネットワーク利用端末101へ返信する。もし、認証がOKであれば、(4)インターネット利用端末101は、端末104に対して、回線102を介してインターネット103の利用を許可する。なお、括弧書きを行なったように、以後においては、利用者Bの認証情報を端末104の認証情報の意味で使用し、また、利用者Aの認証情報をネットワーク利用端末101の認証情報の意味で使用する。
【0016】
図2は、上述のイベントをシーケンス図にして表わしたものである。ステップS201において、利用者Aのネットワーク利用端末101と利用者AのISPとの間でコネクションが確立し、すくなくともネットワーク利用端末101が回線102を介してインターネット103の利用が可能となる。
【0017】
ステップS202において、利用者Bの端末104がネットワーク利用端末101と通信可能な領域に入ると、無線リンクが端末104とネットワーク利用端末101との間で確立する。ただし、無線リンクが確立しただけでは、端末104は、ネットワーク利用端末101を介してインターネット103を利用することはできないとする。ここで、端末104にインターネット103を利用する必要が生じたとすると、ステップS203において、端末104からネットワーク利用端末101へ、利用者Bの認証情報が送信される。ネットワーク利用端末101が利用者Bの認証情報を受信すると、ステップS204において、利用者Aの認証情報と受信された利用者Bの認証情報とが、ネットワーク利用端末101より認証サーバ105へ送信される。認証サーバ105において、利用者Aと利用者Bとが認証されると、ステップS205として、課金等の管理が行なわれる。
【0018】
図3は、課金などの管理を例示する。認証サーバ105の中に、「利用者識別子」、「利用ポイント」、「提供ポイント」という列があり、それぞれ、利用者を識別するための情報、回線の帯域を利用したことを示すポイント、回線の帯域を他人に利用させたことを示すポイントが格納される。図1、図2の場合には、利用者Bが利用者Aの回線の帯域を利用することになるので、例えば、利用者Aには提供ポイントとして5ポイントが加算され、利用者Bには、利用ポイントとして6ポイントが加算される。6ポイントと5ポイントの差は、例えば、認証サーバなどの管理会社の利益を示す。
【0019】
ステップS206において、利用者Aと利用者Bとが認証された結果、認証がOKであることがネットワーク利用端末へ伝えられ、ステップS207において、ネットワーク利用端末101は、端末104による通信を、回線102を介してインターネット103へ中継することを行なう。これにより、端末104と利用者BのISPとの通信可能となる。例えば、端末104と利用者BのISPのサーバとの間でVPN(Virtual Private Network)などを用いた通信が可能となる(例えば、利用者BのISPのメールサーバやプロキシーサーバとVPNによる通信路を張る)。
【0020】
その後、ステップS208において、端末104とネットワーク利用端末101との間の無線リンクが切断すると、ステップS209において、利用者BのISPへの通信が切断される。そして、ステップS210において、端末104の回線102の利用状況、例えば、回線102を利用した時間、回線102を介した通信のパケット数、利用させた帯域の幅などが認証サーバに送信され、課金等管理がステップS211で行なわれる。
【0021】
図4は、利用者Bと利用者Aとの認証のステップをより詳しく説明するシーケンス図を例示する。このシーケンス図では、公開鍵暗号の利用を前提としており、利用者Bと利用者Aとは、秘密鍵と公開鍵を有しており、それぞれの公開鍵(または公開鍵証明書)は、例えば、ディレクトリサーバに登録されているとする。なお、ディレクトリサーバは、認証サーバ105と同じであってもよいし、異なっていてもよい。
【0022】
ステップS401において、利用者Bの端末104が利用者Aの家のネットワーク利用端末101へ、回線102を介した通信の要求を送信する。すると、ステップS402において、ネットワーク利用端末101が認証サーバへ認証開始を要求する情報を送信し、ステップS403において、認証サーバは乱数などを生成して、チャレンジとしてそれをネットワーク利用端末101へ送信する。ステップS404において、ネットワーク利用端末101は、端末104へチャレンジを送信する。端末104は、利用者Bの秘密鍵によるチャレンジへの署名(これをsBとする。)を行ない、ステップS405にネットワーク利用端末101へ送信する。sBを受信したネットワーク利用端末101は、利用者Aの秘密鍵によるチャレンジへの署名(これをsAとする。)を行ない、ステップS406において、sAとsBとを認証サーバ105へ送信する。認証サーバ105は、ステップS407において、ディレクトリサーバに対して利用者Aと利用者Bとの公開鍵を要求し、ステップS408において、利用者Aと利用者Bとの返信を受ける。そして、ステップS409において、sAとsBとの検証、すなわち、公開鍵でsAとsBを復号化し、ステップS403で送信したチャレンジが得られるかを検証する。ステップS410において、検証の結果をネットワーク利用端末101へ送信する。
【0023】
なお、以上の説明において、ネットワーク利用端末101は、回線102を介してインターネットに接続されていると説明したが、インターネットに限定されるものではなく、一般の通信網であってもよい。また、ネットワーク利用端末101と端末104とは無線LANを用いて通信を行なうとしたが、有線による通信を行なうようになっていてもよいし、赤外線を使用した通信を行なうようになっていてもよい。また、ステップS402に先立って、ネットワーク利用端末が、認証サーバの公開鍵証明書などを用いて、認証サーバを認証するようになっていてもよい。
【0024】
以下、本発明を実施するための最良の形態について、図を用いて実施の形態に分けて説明する。なお、本発明はこれら実施の形態に何ら限定されるものではなく、その要旨を逸脱しない範囲において、種々なる態様で実施し得る。
【0025】
(実施の形態1)
(実施の形態1:全体構成)
図5は、本発明の実施の形態1に係る通信システムの全体の構成を例示する。本実施の形態に係る通信システムは、回線501と、ネットワーク利用端末502と、二次端末503と、認証サーバ504と、からなる。なお、ネットワーク利用端末502は、第1のネットワークを利用する。また、二次端末503は、第2のネットワークを用いてネットワーク利用端末502と通信が可能である。
【0026】
第1のネットワークの例としては、インターネットなどに代表される広域通信ネットワークがあるが、それに限定されることはない。また、第2のネットワークの例としては、無線LANにより構築される通信網があるが、それに限定されることはない。なお、第1のネットワークと第2のネットワークは同じであってもよい。また、認証サーバ504は、第1のネットワークに接続されているように図示されているが、このような構成である必要はなく、例えば、ネットワーク利用端末502と直接通信が可能なようになっていてもよい。
【0027】
なお、図5では、二次端末は1台しか図示されていないが、複数台存在してもよい。
【0028】
(実施の形態1:回線の構成)
回線501は、ネットワーク利用端末502を第1のネットワークに接続する。回線の例としては、光ファイバーを用いた光回線がある。
【0029】
(実施の形態1:二次端末の構成)
図6は、二次端末の機能ブロック図を例示する。二次端末503は、二次端末認証情報送信部601を有する。
【0030】
「二次端末認証情報送信部」601は、二次端末認証情報を、第2のネットワークを用いてネットワーク利用端末502に対して送信する。ここに、「二次端末認証情報」とは、自身を認証させるための情報を含む情報である。「自身」とは、二次端末を意味する。したがって、二次端末認証情報は、例えば、二次端末を識別する識別子とパスワードを含む。あるいは、二次端末を認識する識別子と、所定のデータに対して二次端末の秘密鍵で署名を行なった結果であってもよい。
【0031】
なお、本実施の形態に係る二次端末の二次端末認証情報送信部601は、ハードウェア、ソフトウェア、ハードウェアとソフトウェア(プログラム)の両者、のいずれかによって構成することが可能である。たとえば、これらを実現する一例として、計算機を利用する場合には、CPU、メモリ、バス、インターフェース、周辺装置などから構成されるハードウェアと、これらのハードウェア上にて実行可能なソフトウェアを挙げることができる。したがって、図示はしていないが、第2のネットワークと通信を行なうためのネットワークインターフェースなどが二次端末に備えられている。また、二次端末がその所持者が操作するための端末であれば、ユーザーインターフェースも備えられている。
【0032】
(実施の形態1:二次端末の処理)
図7は、二次端末の処理の流れ図を例示する。二次端末は、例えば、第1のネットワークを利用した通信を行なう場合に、この流れ図の処理を行なう。
【0033】
まず、ステップS701において、二次端末認証情報が送信済みであるかどうかを判断する。この判断は、例えば、二次端末の内部にフラグを設けて、そのフラグの値をチェックすることにより判定ができる。もし、送信済みであれば、何もせず、第1のネットワークを利用した通信を行なう。もし、送信済みでなければ、ステップS702へ処理を移行させ、二次端末認証情報を送信する。もし、上述のフラグが設けられていれば、そのフラグの値を「送信済み」を示すものとする。
【0034】
(実施の形態1:ネットワーク利用端末)
図8は、ネットワーク利用端末の機能ブロック図を例示する。ネットワーク利用端末502は、二次端末認証情報受信部801と、複合認証情報送信部802と、認証結果情報受信部803と、中継部804と、を有する。
【0035】
「二次端末認証情報受信部」801は、二次端末503から送信された二次端末認証情報を受信する。すなわち、第2のネットワークを介して、二次端末認証情報を受信する。
【0036】
「複合認証情報送信部」802は、二次端末認証情報受信部801で複合認証情報を送信する。「複合認証情報」とは、二次端末認証情報受信部801で受信された二次端末認証情報と、利用端末認証情報と、を含む情報である。「利用端末認証情報」とは、自身を認証させるための情報であり、「自身」とは、ネットワーク利用端末502を意味する。利用端末認証情報の例としては、ネットワーク利用端末502を識別する識別子とパスワードがある。あるいは、ネットワーク利用端末502を識別する識別子と、所定のデータに対してネットワーク利用端末502の所持者の秘密鍵で署名を行なった結果と、を含むものであってもよい。後の説明から明らかになるように、複合認証情報は、認証サーバ504へ向けて送信される情報である。したがって、認証サーバ504が接続されているネットワークに対して複合認証情報が送信される。
【0037】
「認証結果情報受信部」803は、認証結果情報を受信する。「認証結果情報」とは、複合認証情報の送信に応じて返信される情報であって、前記複合認証情報に基づく認証の結果を示す情報である。すなわち、二次端末認証情報による認証の結果と、利用端末認証情報による認証の結果と、を含む情報である。後の説明からわかるように、認証結果情報は、認証サーバ504が送信される。したがって、認証サーバ504が接続されているネットワークから認証結果情報が受信される。
【0038】
「中継部」804は、認証結果情報受信部803で受信された認証結果情報に基づいて、二次端末503の通信を第1のネットワークに中継することで、第1のネットワークの利用を二次端末503に対して許可する。「認証結果情報に基づいて」とは、認証結果情報の示す内容と許可との間になんらかの因果関係が存在することを意味する。例えば、認証結果情報が、二次端末認証情報により二次端末503の認証がされ、かつ、利用端末認証情報によりネットワーク利用端末502の認証がされた場合に、許可を行なう。「許可を行なう」とは、二次端末503から送信されたパケットが第1のネットワークを行き先としていれば、そのパケットを、回線501を介して第1のネットワークへ送信し、また、第1のネットワークから受信したパケットが二次端末503を行き先としていれば、そのパケットを第2のネットワークを介して二次端末503へ送信するという中継を行なうことである。
【0039】
なお、本実施の形態に係るネットワーク利用端末の各部は、ハードウェア、ソフトウェア、ハードウェアとソフトウェア(プログラム)の両者、のいずれかによって構成することが可能である。たとえば、これらを実現する一例として、計算機を利用する場合には、CPU、メモリ、バス、インターフェース、周辺装置などから構成されるハードウェアと、これらのハードウェア上にて実行可能なソフトウェアを挙げることができる。したがって、図示はしていないが、第1のネットワーク、第2のネットワークと通信を行なうためのネットワークインターフェースなどがネットワーク利用端末502に備えられている。
【0040】
(実施の形態1:ネットワーク利用端末の処理)
図9は、ネットワーク利用端末が行なう処理の流れ図を例示する。ネットワーク利用端末は、例えば、二次端末より二次端末認証情報を受信するたびに、この流れ図の処理を行なう。ステップS901において、二次端末認証情報を二次端末認証情報受信部801により受信する。ステップS902において、利用端末認証情報を取得する。利用端末認証情報が識別子とパスワードであれば、メモリなどに蓄積されているパスワードを読み取る。署名などを行なう場合には、秘密鍵を読み取り、署名を生成する。この意味で、本明細書においては、取得の概念には生成の概念も含まれるものとする。また、ステップS902は、例えば、複合認証情報送信部802により行なわれる。ステップS903において、複合認証情報を複合認証情報送信部802により送信する。ステップS904において、認証結果情報を認証結果情報受信部803により受信する。ステップS905において、認証がOKかどうか、すなわち、二次端末503とネットワーク利用端末502とが認証がされたかどうかを判断する。この判断は、例えば中継部804で行なう。もし、認証がOKであれば、中継部804により、二次端末の通信を第1のネットワークに中継する。すなわち、第1のネットワークと二次端末との間でのパケットの交換を可能とする。
【0041】
(実施の形態1:認証サーバの構成)
図10は、認証サーバの機能ブロック図を例示する。認証サーバ504は、複合認証情報受信部1001と、認証部1002と、認証結果返信部1003と、を有する。
【0042】
「複合認証情報受信部」1001は、ネットワーク利用端末502から送信される複合認証情報を受信する。
【0043】
「認証部」1002は、複合認証情報受信部1001で受信した複合認証情報に基づいて、二次端末503とネットワーク利用端末502とを認証する。例えば、端末の識別子とパスワードとを保持したテーブルが認証サーバ内に設けられ、複合認証情報受信部に含まれる二次端末の識別子とパスワードと、ネットワーク利用端末の識別子とパスワードが、そのテーブルに保持された識別子とパスワードとに適合するかどうかを判断する。あるいは、複合認証情報に所定のデータに対する署名が含まれていれば、その署名が正しいかどうかを判定する。
【0044】
なお、認証部での認証は、二次端末とネットワーク利用端末とを個別に認証してもよい。あるいは、二次端末とネットワーク利用端末とが特定の組合せになっていることが条件とされて認証がされてもよい。
【0045】
「認証結果返信部」1003は、認証部1002での認証の結果を認証結果情報として返信する。
【0046】
なお、本実施の形態に係る認証サーバの各部は、ハードウェア、ソフトウェア、ハードウェアとソフトウェア(プログラム)の両者、のいずれかによって構成することが可能である。たとえば、これらを実現する一例として、計算機を利用する場合には、CPU、メモリ、バス、インターフェース、周辺装置などから構成されるハードウェアと、これらのハードウェア上にて実行可能なソフトウェアを挙げることができる。したがって、図示はしていないが、ネットワーク利用端末や、必要ならば、公開鍵などを得るためのディレクトリサーバなどと通信を行なうためのネットワークインターフェースなどが認証サーバに備えられている。
【0047】
(実施の形態1:認証サーバの処理)
図11は、認証サーバの処理を説明する流れ図を例示する。認証サーバは、複合認証情報を受信するたびに、図11の流れ図の処理を実行する。ステップS1101において、複合認証情報を、複合認証情報受信部により受信する。ステップS1002において、二次端末とネットワーク利用端末とを認証部により認証する。ステップS1003において、認証結果返信部により、認証結果情報を返信する。
【0048】
(実施の形態1:全体の処理)
図12は、本実施の形態に係る通信システムの全体の処理のシーケンス図を例示する。ステップS1201において、二次端末よりネットワーク利用端末へ二次端末認証情報が送信される。ステップS1202において、ネットワーク利用端末から認証サーバへ複合認証情報、すなわち二次端末認証情報と利用端末認証情報とを含む情報、が送信される。ステップS1203において、認証サーバからネットワーク利用端末へ、認証結果情報が送信される。その後、認証結果情報に基づいて、二次端末による第1のネットワークの利用が許可される。
【0049】
(実施の形態1:その他の形態)
以上説明したのは、本発明の実施の形態1の最低限の構成と処理である。このほかに、例えば、認証サーバにより複合認証情報に基づいて二次端末とネットワーク利用端末とが認証されれば、課金等管理が認証サーバにより行なわれてもよい。課金等管理は、認証サーバ以外のサーバにより行なわれてもよい。また、二次端末とネットワーク利用端末との通信が切断された場合には、二次端末による第1のネットワークの利用の量などを示す情報を、ネットワーク利用端末が認証サーバなどへ送信し、課金等管理が行なわれるようになっていてもよい。
【0050】
なお、ネットワーク利用端末が認証サーバなどへ、第1のネットワークの利用の量などについて虚偽の申請を行なうことが考えられる。この対策として、例えば、ネットワーク利用端末は、定期的に二次端末に対して、第1のネットワークの利用の量(例えば、利用時間、利用した帯域幅、パケット量など)などを示す通信量情報を報告する通信量報告部を有してもよい。このようにすることにより、後日、二次端末から認証サーバなどに記録された通信量情報と、ネットワーク利用端末の通信料報告部から伝えられた通信量情報とを比較可能とする解決策がある。あるいは、二次端末がネットワーク利用端末との通信を切断する直前に、二次端末から認証サーバなどへ、二次端末が測定などをして得られた、あるいは、ネットワーク利用端末から送信されて得られた、通信量情報を送信するようにしてもよい。認証サーバなどは、二次端末から送信される通信量情報と、ネットワーク利用端末から送信される通信量情報と、を比較し、二つの通信量情報の違いが許容できない場合には、ネットワーク利用端末や二次端末に対して監査を行なうべき情報を管理者に表示等してもよい。
【0051】
また、ネットワーク利用端末が、二次端末に対して回線501などの利用条件を提示し、二次端末と利用条件についてネゴシエーションを取るようになっていてもよい。利用条件とは、例えば、二次端末が利用する回線501の帯域であったり、回線501の利用時間の長さであったりなどする。
【0052】
図13は、利用条件のネゴシエーションを取る処理を例示する。まず、(1)認証サーバによりネットワーク利用端末と二次端末との認証が行なわれる。次に、(2)利用条件の提示がネットワーク利用端末から二次端末に対して行なわれる。(3)その利用条件が二次端末で審査される。例えば、利用条件が二次端末の利用の目的に適うかどうかを判断する。審査の結果がOKであれば、その結果がネットワーク利用端末へ送信され、(4)課金などの申請がネットワーク利用端末から認証サーバや課金サーバへ対して行なわれる。認証サーバが課金の処理も行なうとすると、(5)課金等の実行を行なう。二次端末が第1のネットワークを利用可能となる。本発明には必須ではないが、(6)二次端末はVPNと特定のホストとの安全な通信路を確立して通信を行なう。
【0053】
図13では、認証サーバによる認証の後に利用条件の提示が行なわれるが、二次端末認証情報の送信時に利用条件の提示が行なわれるようになっていてもよい。また、二次端末による第1のネットワークの利用が許可されている間に、ネットワーク利用端末の所持者が回線501を利用する必要が発生した場合には、二次端末の使用する回線501の帯域などを制限してよいかどうかのネゴシエーションをネットワーク端末と二次端末との間で行ない、ネゴシエーションができれば、ネットワーク利用端末は二次端末の使用する回線501の帯域の制限を行なう。あるいは、複数の二次端末が存在し、二次端末の台数が増加し、ネットワーク利用端末がそれぞれの二次端末に対して提供すべき帯域を保障できなくなってきた場合などにも、ネゴシエーションを行なうようになっていてもよい。また、ネゴシエーションの結果に応じて、課金のレートなどを変更する申請をネットワーク利用端末より行なうようにしてもよい。
【0054】
また、二次端末において、新たな帯域が必要となった場合には、二次端末の側からネットワーク利用端末に対してネゴシエーションを行なうようになっていてもよい。
【0055】
また、ネゴシエーションの対象については、種々のものがあり得る。例えば、帯域についてネットワーク利用端末の使用可能帯域の比率、あるいはネットワーク利用端末の所持者が使用する分を差し引いてからの残量内での比率をネゴシエーションの対象としてもよい。このようにすることにより、通信の状況が変化した場合に、再びネゴシエーションを
行なう必要が生じる回数を減らすことができ、ネゴシエーションを行なうことにより発生するオーバーヘッドを減らすことができる。
【0056】
また、通信の内容ごと(例えば、TCP/IPの通信の場合には、通信に使用するポート番号に基づいて決定されるサービス)、課金、品質の条件をネゴシエーションすることもあり得る。例えば、動画データに関しては優先して大きな帯域を割り当てる一方、それに応じて高い課金レートを課するようにしてもよい。
【0057】
なお、これらは全てネゴシエーションにおいて、どのような内容についてネゴシエーションするかによるものであり、ネゴシエーションを行なうという機能には何ら制限が課せられるものではない。
【0058】
また、都市部などでは、二次端末が同時に複数のネットワーク利用端末と通信が可能となる場合があるが、二次端末は、最も有利な利用条件を提示したネットワーク利用端末を利用するようにネットワーク利用端末の選択を行なってもよい。
【0059】
(実施の形態1:主な効果)
本実施の形態により、回線501の余剰帯域の利用を促進することができ、また、複合認証情報による認証が行なわれることにより、回線501の帯域を提供した者と利用した者とに対する課金管理などをスムーズに行なうことができる。また、複合認証情報による認証が行なわれることにより、ネットワーク利用端末の利用するISPと二次端末の所持者が契約しているISPとが同じであったり提携をしていたりする必要はなく、ISPと独立して設置することが可能な認証サーバに登録されていればよいことになる。
【0060】
(実施の形態2)
(実施の形態2:全体構成)
図14は、本発明の実施の形態2に係る通信システムの全体の構成を例示する。本実施の形態に係る通信システムは、回線501と、ネットワーク利用端末502と、二次端末503と、認証サーバ504と、サービス提供サーバ1401と、からなる。したがって、本実施の形態に係る通信システムは、実施の形態1に係る通信システムにサービス提供サーバ1401が追加された構成となっている。
【0061】
サービス提供サーバ1401は、第1のネットワークを介してサービスを提供するサーバである。
【0062】
(実施の形態2:二次端末認証情報の構造)
本実施の形態においては、二次端末503の二次端末認証情報送信部601が送信する二次端末認証情報には、サービス提供サーバ識別情報が含まれる。「サービス提供サーバ」とは、自身が第1のネットワークを利用して通信を行なうサービス提供サーバを識別するための情報である。例えば、サービス提供サーバのIPアドレスやFQDN(Full Qualified Domain Name)などである。
【0063】
図15は、二次端末が送信する二次端末認証情報にサービス提供サーバ識別情報が含まれていることを例示している。
【0064】
(実施の形態2:中継部の処理)
本実施の形態においては、ネットワーク利用端末の中継部は、認証結果情報受信部で受信された認証の結果に基づいて、二次端末の通信を第1のネットワークを介してサービス提供サーバに中継することで第1のネットワークの利用を二次端末について許可する。例えば、二次端末からのパケットがサービス提供サーバを行き先としていれば、そのパケットを回線501へ送信し、そうでなければ、パケットを破棄する。また、第1のネットワークから受信したパケットが二次端末を行き先とする場合、その送信元がサービス提供サーバでなければ、そのようなパケットを破棄する。
【0065】
(実施の形態2:認証部の処理)
本実施の形態においては、認証サーバの認証部は、複合認証情報受信部で受信した複合認証情報に基づいてサービス提供サーバを認証する。このサービス提供サーバの認証は、そのサービス提供サーバと二次端末との通信を認証することを目的とする。すなわち、サービス提供サーバと二次端末との通信が可能となる前提として、本実施の形態においては、サービス提供サーバが認証されなければならない。サービス提供サーバを認証する方法としては、複合認証情報に含まれる二次端末認証情報を取得し、その二次端末認証情報に含まれるサービス提供サーバ識別情報に基づいて、サービス提供サーバを認証する方法がある。例えば、認証サーバは、サービス提供サーバ識別情報に基づいて、サービス提供サーバへ乱数としてチャレンジを送信し、サービス提供サーバは受信したチャレンジを自分の有する秘密鍵でチャレンジを暗号化して返信(レスポンス)する。返信を受信した認証サーバは、サービス提供サーバの公開鍵を取得し、返信を復号化し、元のチャレンジが得られるかどうかを判断する。なお、このようなチャレンジ−レスポンスによる認証の後や前に、サービス提供サーバ識別情報が、有害なサーバの識別子を集めたリストなどに存在しないかどうか、あるいは、優良なサーバの識別子を集めたリストなどに存在することを確認してもよい。
【0066】
このように認証サーバがサービス提供サーバを認証することにより、本実施の形態に係る通信システムにおいて、二次端末が通信できるサービス提供サーバを特定することができる。これにより、サービス提供料などの徴収が可能となる。また、サービス提供サーバの管理者が悪意等を有している場合、二次端末がネットワーク利用端末を経由してサービス提供サーバを利用すると、ネットワーク利用端末の存在が悪意等を有している管理者に判明してしまい、DoS攻撃などを受ける場合があるが、そのようなサービス提供サーバが認証されないようにすることにより、DoS攻撃を避けることができる。
【0067】
また、サービス提供サーバの認証の後に、二次端末とサービス提供サーバとの組合せが適切なものであるかどうかを判断してもよい。例えば、二次端末の識別子と、その二次端末が利用可能なサービス提供サーバを識別するためのサービス提供サーバ識別情報と、を関連付けてテーブルに蓄積してもよい。このようなテーブルを用いて認証を行なうことにより、二次端末は所定のサービス提供サーバしか使用ができなくなる。例えば、勤務中に外出している二次端末の所持者は、勤務先のサーバにしか接続できないようにすることができる。
【0068】
あるいは、ネットワーク利用端末の識別子と、その二次端末が利用可能なサービス提供サーバを識別するためのサービス提供サーバ識別情報と、を関連付けてテーブルに蓄積してもよい。このようなテーブルを用いて認証を行なうことにより、所定のネットワーク利用端末の周辺に居るときにだけ利用可能なサービスを提供することができ、例えば、商店街や行楽地などの人寄せに役立つ。
【0069】
(実施の形態2:主な効果)
上記に述べたように、本実施の形態により、二次端末が通信できるサービス提供サーバを指定することができ、サービス提供料の徴収が可能などとなる。
【0070】
(実施の形態3)
(実施の形態3:全体構成)
図16は、本発明の実施の形態3に係る通信システムの全体の構成を例示する。本実施の形態に係る通信システムは、回線501と、ネットワーク利用端末502と、二次端末503と、認証サーバ504と、三次端末1601と、からなる。また、サービス提供サーバが存在していてもよい。したがって、本実施の形態に係る通信システムは、実施の形態1または2に係る通信システムが三次端末1601を有する構成となっている。
【0071】
(実施の形態3:三次端末の構成)
三次端末1601は、第3のネットワークを用いて二次端末503と通信が可能な端末である。「第3のネットワーク」は、例えば無線LANなどにより構成される通信網である。
【0072】
図17は、三次端末の機能ブロック図を例示する。三次端末1601は、三次端末認証情報送信部1701を有する。
【0073】
「三次端末認証情報送信部」1701は、三次端末認証情報を第3のネットワークを利用して二次端末503に送信する。ここに、「三次端末認証情報」とは、自身を認証させるための情報であり、「自身」とは三次端末を意味する。したがって、三次端末認証情報は、例えば、実施の形態1における二次端末認証情報と同じ構造であってもよい。
【0074】
なお、本実施の形態に係る三次端末の部は、ハードウェア、ソフトウェア、ハードウェアとソフトウェア(プログラム)の両者、のいずれかによって構成することが可能である。たとえば、これらを実現する一例として、計算機を利用する場合には、CPU、メモリ、バス、インターフェース、周辺装置などから構成されるハードウェアと、これらのハードウェア上にて実行可能なソフトウェアを挙げることができる。したがって、図示はしていないが、第3のネットワークと通信を行なうためのネットワークインターフェースなどが三次端末に備えられている。また、三次端末がその所持者により操作されるものであれば、ユーザーインターフェースなども備えられている。
【0075】
(実施の形態3:二次端末の構成)
図18は、本実施の形態に係る通信システムの二次端末の機能ブロック図を例示する。本実施の形態において、二次端末503は、三次端末認証情報受信部1801と、二次端末認証情報送信部601と、二次端末認証結果情報受信部1802と、二次端末中継部1803と、を有する。
【0076】
「三次端末認証情報受信部」1801は、三次端末1601から送信される三次端末認証情報を受信する。したがって、本実施の形態に係る二次端末は、実施の形態1または2に係る二次端末が第3のネットワークと通信するためのネットワークインターフェースを備えている。
【0077】
「二次端末認証情報送信部」601は、実施の形態1または2におけるものと同様であるが、本実施の形態においては、二次端末認証情報に、三次端末認証情報受信部で受信された三次端末認証情報を含ませて送信する。
【0078】
「二次端末認証結果情報受信部」1802は、二次端末認証情報の送信に応じて返信される認証結果情報を受信する。認証結果情報は、後に説明されるようにネットワーク利用端末502を介して受信される。
【0079】
「二次端末中継部」1803は、二次端末認証結果情報受信部1802で受信された認証結果情報に基づいて、三次端末1601の通信を第2のネットワークに中継することで、第1のネットワークの利用を三次端末1601に対して許可する。もし、認証結果情報が、認証がOKであることを示せば、二次端末503の通信が第1のネットワークに中継されるので、二次端末が、三次端末の通信を第2のネットワークに中継することにより、三次端末は、第1のネットワークの通信を行なうことが可能となる。
【0080】
(実施の形態3:ネットワーク利用端末の構成)
本実施の形態において、ネットワーク利用端末502は、さらに、認証結果送信部を有する。
【0081】
「認証結果送信部」は、認証結果情報受信部803で受信した認証結果情報を二次端末503に対して送信する。
【0082】
(実施の形態3:認証サーバの構成)
本実施の形態において、認証サーバ504の認証部1002は、複合認証情報受信部1001で受信した複合認証情報に基づいてさらに三次端末1601を認証する。認証の方法は、二次端末やネットワーク利用端末の認証の方法と同じであっても構わない。あるいは、異なる方法であっても構わない。
【0083】
(実施の形態3:二次端末の処理)
図19は、本実施の形態における二次端末の処理の流れ図を例示する。二次端末は、三次端末認証情報を受信するたびに、図19の流れ図の処理を実行する。ステップS1901において、三次端末認証情報を、三次端末認証情報受信部1801により受信する。ステップS1902において、二次端末認証情報を取得する。この取得は、例えば、二次端末認証情報送信部601で行なわれる。ステップS1903において、二次端末認証情報を、二次端末認証情報送信部601により送信する。ステップS1904において、返信される認証結果情報を、二次端末認証結果情報受信部1802により受信する。ステップS1905において、認証がOKであるかどうかを判断する。もし、認証がOKであれば、二次端末中継部1803により、三次端末の通信を第2のネットワークに中継する。
【0084】
(実施の形態3:主な効果)
本実施の形態によれば、二次端末と通信が可能な三次端末が第1のネットワークを利用することができ、本発明に係る通信システムの通信可能なエリアを広げることができる。なお、このような考えを推し進めると、図20に例示されるように、三次端末がさらに四次端末と通信が可能であり、四次端末が第1のネットワークを利用可能となるようにすることもでき、更に、四次端末が五次端末と通信が可能とすることもできる。これにより、例えば、道路を走る自動車などの連続して並ぶ移動体に端末を搭載することにより、移動体からのネットワークの利用が可能となる。
【0085】
(実施の形態4)
本発明の実施の形態4は、実施の形態1に係る通信システムのネットワーク利用端末に相当する。実施の形態1においては、通信システム全体の中でネットワーク利用端末が位置づけられていたが、実施の形態4においては、ネットワーク利用端末単体について説明がされる。
【0086】
すなわち、本実施の形態に係るネットワーク端末は、回線によって第1のネットワークに接続され、第2のネットワークを用いて二次端末と通信が可能なネットワーク利用端末である。
【0087】
ネットワーク利用端末は、二次端末認証情報受信部と、複合認証情報送信部と、認証結果情報受信部と、中継部と、を有する。
【0088】
「二次端末認証情報受信部」は、前記二次端末から送信された前記二次端末を認証させるための情報である二次端末認証情報を受信する。
【0089】
「複合認証情報送信部」は、前記二次端末認証情報受信部で受信された二次端末認証情報と、自身を認証させるための情報である利用端末認証情報と、を含む情報である複合認証情報を送信する。
【0090】
「認証結果情報受信部」は、前記複合認証情報の送信に応じて返信される情報であって前記複合認証情報に基づく認証の結果を示す情報である認証結果情報を受信する。
【0091】
「中継部」は、前記認証結果情報受信部で受信された認証結果情報に基づいて、前記二次端末の通信を前記第1のネットワークに中継することで前記第1のネットワークの利用を前記二次端末に対して許可する。
【0092】
ネットワーク利用端末の処理については、図9を用いて既に説明したので省略する。
【0093】
(実施の形態5)
本発明の実施の形態5は、実施の形態1に係る通信システムの認証サーバに相当する。
【0094】
すなわち、本実施の形態に係る認証サーバは、二次端末と通信が可能なネットワーク利用端末と通信を行なう認証サーバである。二次端末は、上で説明したような端末装置である。
【0095】
認証サーバは、複合認証情報受信部と、認証部と、認証結果返信部と、を有する。
【0096】
「複合認証情報受信部」は、前記二次端末を認証させるための情報である二次端末認証情報と前記ネットワーク利用端末を認証させるための情報である利用端末認証情報と、を含む情報である複合認証情報を前記ネットワーク利用端末より受信する。
【0097】
「認証部」は、前記複合認証情報受信部で受信した複合認証情報に基づいて、前記二次端末と前記ネットワーク利用端末とを認証する。
【0098】
「認証結果返信部」は、前記認証部での認証の結果を認証結果情報として返信する。
【0099】
認証サーバの処理については、図11を用いて説明したので省略する。
【0100】
(実施の形態6)
本発明の実施の形態6は、実施の形態2に係る通信システムの二次端末に相当する。
【0101】
すなわち、本実施の形態に係る二次端末は、サービスを提供するサービス提供サーバと通信が可能な第1のネットワークに回線を介して接続されたネットワーク利用端末と第2のネットワークを用いて通信が可能な端末である。
【0102】
二次端末は、二次端末認証情報送信部を有する。
【0103】
「二次端末認証情報送信部」は、自身を認証させるための情報である二次端末認証情報に、前記第1のネットワークを利用して通信を行なう前記サービス提供サーバを識別するための情報であるサービス提供サーバ識別情報を含ませて、第2のネットワークを用いて前記ネットワーク利用端末に対して送信する。ここに「自身」とは、二次端末を意味する。
【0104】
(実施の形態7)
本発明の実施の形態7は、実施の形態2に係る通信システムのネットワーク利用端末に相当する。したがって、本実施の形態に係るネットワーク利用端末は、実施の形態4に係るネットワーク利用端末において、第1のネットワークは、サービスを提供するサービス提供サーバとの通信が可能であり、前記二次端末認証情報には、二次端末が前記第1のネットワークを利用して通信を行なう前記サービス提供サーバを識別するための情報であるサービス提供サーバ識別情報が含まれ、前記中継部は、前記認証結果情報受信部で受信された認証の結果に基づいて、前記二次端末の通信を前記第1のネットワークを介して前記サービス提供サーバに中継することで前記第1のネットワークの利用を前記二次端末に対して許可する。
【0105】
(実施の形態8)
本発明の実施の形態8は、実施の形態2に係る通信システムの認証サーバに相当する。したがって、本実施の形態に係る認証サーバは、実施の形態5に係る認証サーバにおいて、前記ネットワーク利用端末は、第1のネットワークを利用して、サービスを提供するサービス提供サーバとの通信が可能であり、前記二次端末認証情報には、二次端末が前記第1のネットワークを利用して通信を行なう前記サービス提供サーバを識別するための情報であるサービス提供サーバ識別情報が含まれ、前記認証部は前記複合認証情報受信部で受信した複合認証情報に基づいて前記サービス提供サーバを認証する。
【0106】
(実施の形態9)
本発明の実施の形態9は、実施の形態3に係る通信システムのネットワーク利用端末に相当する。したがって、本実施の形態に係るネットワーク利用端末は、実施の形態4または7のネットワーク利用端末が、認証結果情報受信部で受信した認証結果情報を前記二次端末に対して送信する認証結果情報送信部を有する構成となっている。
【0107】
(実施の形態10)
本発明の実施の形態10は、実施の形態3に係る通信システムの認証サーバに相当する。したがって、本実施の形態に係る認証サーバは、実施の形態5または8に係る認証サーバにおいて、前記二次端末は、第3のネットワークを利用して、自身を認証させるための情報である三次端末認証情報を送信する三次端末と通信が可能であり、前記二次端末は、二次端末認証情報に前記三次端末認証情報を含ませて送信し、前記認証部は、前記複合認証情報受信部で受信した複合認証情報に基づいてさらに前記三次端末を認証する。
【0108】
(実施の形態11)
本発明に係る実施の形態11は、例えば、実施の形態1の通信システムが動作するように、ネットワーク利用端末と、二次端末と、認証サーバと、を通信させる方法である。
【0109】
すなわち、本実施の形態に係る方法は、回線により第1のネットワークに接続されるネットワーク利用端末と、第2のネットワークを用いて前記ネットワーク利用端末と通信が可能な二次端末と、認証サーバと、を通信させる方法であり、二次端末認証情報送信ステップと、二次端末認証情報受信ステップと、複合認証情報送信ステップと、認証結果情報受信ステップと、中継ステップと、複合認証情報受信ステップと、認証ステップと、認証結果返信ステップと、を含む。
【0110】
「二次端末認証情報送信ステップ」は、二次端末が、自身を認証させるための情報である二次端末認証情報を、前記第2のネットワークを用いて前記ネットワーク利用端末に対して送信するステップである。例えば、図12のステップS1201に相当する。
【0111】
「二次端末認証情報受信ステップ」は、ネットワーク利用端末が、前記二次端末認証情報送信ステップにて送信された二次端末認証情報を受信するステップである。例えば、図12のステップS1201に相当する。
【0112】
「複合認証情報送信ステップ」は、ネットワーク利用端末が、前記二次端末認証情報受信ステップで受信された二次端末認証情報と、自身を認証させるための情報である利用端末認証情報と、を含む情報である複合認証情報を送信するステップである。例えば、図12のステップS1202に相当する。
【0113】
「認証結果情報受信ステップ」は、ネットワーク利用端末が、前記複合認証情報の送信に応じて返信される認証結果情報を受信するステップである。例えば、図12のステップS1202に相当する。
【0114】
「中継ステップ」は、ネットワーク利用端末が、前記認証結果情報受信ステップで受信された認証結果情報に基づいて、前記二次端末の通信を前記第1のネットワークに中継することで前記第1のネットワークの利用を前記二次端末に対して許可するステップである。例えば、図9のステップS905、S906に相当する。
【0115】
「複合認証情報受信ステップ」は、認証サーバが、前記ネットワーク利用端末から送信される複合認証情報を受信するステップである。例えば、図12のステップS1202に相当する。
【0116】
「認証ステップ」は、認証サーバが、前記複合認証情報受信ステップで受信した複合認証情報に基づいて、前記二次端末と前記ネットワーク利用端末とを認証するステップである。例えば、図11のステップS1102に相当する。
【0117】
「認証結果返信ステップ」は、認証サーバが、前記認証ステップでの認証の結果を返信するステップである。例えば、図12のステップS1203に相当する。
【産業上の利用可能性】
【0118】
本発明に係る認証サーバ、ネットワーク利用端末、二次端末および通信方法は、回線の余剰帯域の利用を促進することができ、また、回線の帯域を提供した者と利用した者とに対する課金管理などを円滑に行うことができ、産業上有用である。
【図面の簡単な説明】
【0119】
【図1】本発明の概要図
【図2】本発明の概要のシーケンス図
【図3】課金などの管理の処理を例示する図
【図4】認証のステップを説明するシーケンス図
【図5】本発明の実施の形態1に係る通信システムの全体の構成図
【図6】二次端末の機能ブロック図
【図7】二次端末の処理の流れ図
【図8】ネットワーク利用端末の機能ブロック図
【図9】ネットワーク利用端末の処理の流れ図
【図10】認証サーバの機能ブロック図
【図11】認証サーバの処理の流れ図
【図12】通信システムの全体の処理のシーケンス図
【図13】利用条件の合意を取る処理を例示する図
【図14】本発明の実施の形態2に係る通信システムの全体の構成図
【図15】二次端末の機能ブロック図
【図16】本発明の実施の形態3に係る通信システムの全体の構成図
【図17】三次端末の機能ブロック図
【図18】二次端末の機能ブロック図
【図19】二次端末の処理の流れ図
【図20】本発明の実施の形態3を発展させた形態の構成図
【符号の説明】
【0120】
101 ネットワーク利用端末
102 回線
103 インターネット
104 端末
105 認証サーバ
【特許請求の範囲】
【請求項1】
二次端末と通信が可能なネットワーク利用端末と通信を行なう認証サーバであって、
前記二次端末を認証させるための情報である二次端末認証情報と前記ネットワーク利用端末を認証させるための情報である利用端末認証情報と、を含む情報である複合認証情報を前記ネットワーク利用端末より受信する複合認証情報受信部と、
前記複合認証情報受信部で受信した複合認証情報に基づいて、前記二次端末と前記ネットワーク利用端末とを認証する認証部と、
前記認証部での認証の結果を認証結果情報として返信する認証結果返信部と、
前記認証結果情報受信部が前記複合認証情報を受信すると、前記二次端末認証情報および前記利用端末認証情報から前記二次端末および前記ネットワーク利用端末の両利用者を認識し、課金の管理制御を行なう手段と、を有する認証サーバ。
【請求項2】
前記課金の管理制御は、前記ネットワークの回線の帯域を利用または提供した者に利益を与える請求項1に記載の認証サーバ。
【請求項3】
前記ネットワーク利用端末は、第1のネットワークを利用して、サービスを提供するサービス提供サーバとの通信が可能であり、
前記二次端末認証情報には、前記二次端末が前記第1のネットワークを利用して通信を行なう前記サービス提供サーバを識別するための情報であるサービス提供サーバ識別情報が含まれ、
前記認証部は前記複合認証情報受信部で受信した複合認証情報に基づいて前記サービス提供サーバを認証し、前記二次端末と前記サービス提供サーバとの通信を認証する請求項1または請求項2に記載の認証サーバ。
【請求項4】
前記二次端末は、第3のネットワークを利用して、自身を認証させるための情報である三次端末認証情報を送信する三次端末と通信が可能であり、
前記二次端末は、二次端末認証情報に前記三次端末認証情報を含ませて送信し、
前記認証部は、前記複合認証情報受信部で受信した複合認証情報に基づいてさらに前記三次端末を認証する請求項1から請求項3のいずれかに記載の認証サーバ。
【請求項5】
回線によって第1のネットワークに接続され、第2のネットワークを用いて二次端末と通信が可能なネットワーク利用端末であって、
前記二次端末から送信された前記二次端末を認証させるための情報である二次端末認証情報を受信する二次端末認証情報受信部と、
前記二次端末認証情報受信部で受信された二次端末認証情報と、自身を認証させるための情報である利用端末認証情報と、を含む情報である複合認証情報を請求項1から請求項4のいずれかに記載の認証サーバに送信する複合認証情報送信部と、
前記複合認証情報の送信に応じて返信される情報であって前記複合認証情報に基づく認証の結果を示す情報である認証結果情報を前記認証サーバから受信する認証結果情報受信部と、
前記認証結果情報受信部で受信された認証結果情報に基づいて、前記二次端末の通信を前記第1のネットワークに中継することで前記第1のネットワークの利用を前記二次端末に対して許可する中継部と、
を有するネットワーク利用端末。
【請求項6】
前記第1のネットワークは、サービスを提供するサービス提供サーバとの通信が可能であり、
前記二次端末認証情報には、二次端末が前記第1のネットワークを利用して通信を行なう前記サービス提供サーバを識別するための情報であるサービス提供サーバ識別情報が含まれ、
前記中継部は、前記認証結果情報受信部で受信された認証の結果に基づいて、前記二次端末の通信を前記第1のネットワークを介して前記サービス提供サーバに中継することで前記第1のネットワークの利用を前記二次端末に対して許可する請求項5に記載のネットワーク利用端末。
【請求項7】
前記認証結果情報受信部で受信した認証結果情報を前記二次端末に対して送信する認証結果情報送信部を有する請求項5または請求項6に記載のネットワーク利用端末。
【請求項8】
請求項5から請求項7のいずれかに記載のネットワーク利用端末と前記第2のネットワークを用いて通信が可能な二次端末であって、
自身を認証させるための情報である二次端末認証情報に、前記第1のネットワークを利用して通信を行うサービス提供サーバを識別するための情報であるサービス提供サーバ識別情報を含ませて、前記第2のネットワークを用いて前記ネットワーク利用端末に対して送信する二次端末認証情報送信部を有する二次端末。
【請求項9】
回線により第1のネットワークに接続されるネットワーク利用端末と、第2のネットワークを用いて前記ネットワーク利用端末と通信が可能な二次端末と、認証サーバと、を通信させる方法であって、
前記二次端末が、自身を認証させるための情報である二次端末認証情報を、前記第2のネットワークを用いて前記ネットワーク利用端末に対して送信する二次端末認証情報送信ステップと、
前記ネットワーク利用端末が、前記二次端末認証情報送信ステップにて送信された二次端末認証情報を受信する二次端末認証情報受信ステップと、
前記ネットワーク利用端末が、前記二次端末認証情報受信ステップで受信された二次端末認証情報と、自身を認証させるための情報である利用端末認証情報と、を含む情報である複合認証情報を送信する複合認証情報送信ステップと、
前記ネットワーク利用端末が、前記複合認証情報の送信に応じて返信される認証結果情報を受信する認証結果情報受信ステップと、
前記ネットワーク利用端末が、前記認証結果情報受信ステップで受信された認証結果情報に基づいて、前記二次端末の通信を前記第1のネットワークに中継することで前記第1のネットワークの利用を前記二次端末に対して許可する中継ステップと、
前記認証サーバが、前記ネットワーク利用端末から送信される複合認証情報を受信する複合認証情報受信ステップと、
前記認証サーバが、前記複合認証情報受信ステップで受信した複合認証情報に基づいて、前記二次端末と前記ネットワーク利用端末とを認証する認証ステップと、
前記認証サーバが、前記認証ステップでの認証の結果を返信する認証結果返信ステップと、
前記認証サーバが、前記複合認証情報を受信すると、前記二次端末認証情報および前記利用端末認証情報から前記二次端末および前記ネットワーク利用端末の両利用者を認識し、課金の管理制御を行う課金管理制御ステップと、
を含む通信方法。
【請求項1】
二次端末と通信が可能なネットワーク利用端末と通信を行なう認証サーバであって、
前記二次端末を認証させるための情報である二次端末認証情報と前記ネットワーク利用端末を認証させるための情報である利用端末認証情報と、を含む情報である複合認証情報を前記ネットワーク利用端末より受信する複合認証情報受信部と、
前記複合認証情報受信部で受信した複合認証情報に基づいて、前記二次端末と前記ネットワーク利用端末とを認証する認証部と、
前記認証部での認証の結果を認証結果情報として返信する認証結果返信部と、
前記認証結果情報受信部が前記複合認証情報を受信すると、前記二次端末認証情報および前記利用端末認証情報から前記二次端末および前記ネットワーク利用端末の両利用者を認識し、課金の管理制御を行なう手段と、を有する認証サーバ。
【請求項2】
前記課金の管理制御は、前記ネットワークの回線の帯域を利用または提供した者に利益を与える請求項1に記載の認証サーバ。
【請求項3】
前記ネットワーク利用端末は、第1のネットワークを利用して、サービスを提供するサービス提供サーバとの通信が可能であり、
前記二次端末認証情報には、前記二次端末が前記第1のネットワークを利用して通信を行なう前記サービス提供サーバを識別するための情報であるサービス提供サーバ識別情報が含まれ、
前記認証部は前記複合認証情報受信部で受信した複合認証情報に基づいて前記サービス提供サーバを認証し、前記二次端末と前記サービス提供サーバとの通信を認証する請求項1または請求項2に記載の認証サーバ。
【請求項4】
前記二次端末は、第3のネットワークを利用して、自身を認証させるための情報である三次端末認証情報を送信する三次端末と通信が可能であり、
前記二次端末は、二次端末認証情報に前記三次端末認証情報を含ませて送信し、
前記認証部は、前記複合認証情報受信部で受信した複合認証情報に基づいてさらに前記三次端末を認証する請求項1から請求項3のいずれかに記載の認証サーバ。
【請求項5】
回線によって第1のネットワークに接続され、第2のネットワークを用いて二次端末と通信が可能なネットワーク利用端末であって、
前記二次端末から送信された前記二次端末を認証させるための情報である二次端末認証情報を受信する二次端末認証情報受信部と、
前記二次端末認証情報受信部で受信された二次端末認証情報と、自身を認証させるための情報である利用端末認証情報と、を含む情報である複合認証情報を請求項1から請求項4のいずれかに記載の認証サーバに送信する複合認証情報送信部と、
前記複合認証情報の送信に応じて返信される情報であって前記複合認証情報に基づく認証の結果を示す情報である認証結果情報を前記認証サーバから受信する認証結果情報受信部と、
前記認証結果情報受信部で受信された認証結果情報に基づいて、前記二次端末の通信を前記第1のネットワークに中継することで前記第1のネットワークの利用を前記二次端末に対して許可する中継部と、
を有するネットワーク利用端末。
【請求項6】
前記第1のネットワークは、サービスを提供するサービス提供サーバとの通信が可能であり、
前記二次端末認証情報には、二次端末が前記第1のネットワークを利用して通信を行なう前記サービス提供サーバを識別するための情報であるサービス提供サーバ識別情報が含まれ、
前記中継部は、前記認証結果情報受信部で受信された認証の結果に基づいて、前記二次端末の通信を前記第1のネットワークを介して前記サービス提供サーバに中継することで前記第1のネットワークの利用を前記二次端末に対して許可する請求項5に記載のネットワーク利用端末。
【請求項7】
前記認証結果情報受信部で受信した認証結果情報を前記二次端末に対して送信する認証結果情報送信部を有する請求項5または請求項6に記載のネットワーク利用端末。
【請求項8】
請求項5から請求項7のいずれかに記載のネットワーク利用端末と前記第2のネットワークを用いて通信が可能な二次端末であって、
自身を認証させるための情報である二次端末認証情報に、前記第1のネットワークを利用して通信を行うサービス提供サーバを識別するための情報であるサービス提供サーバ識別情報を含ませて、前記第2のネットワークを用いて前記ネットワーク利用端末に対して送信する二次端末認証情報送信部を有する二次端末。
【請求項9】
回線により第1のネットワークに接続されるネットワーク利用端末と、第2のネットワークを用いて前記ネットワーク利用端末と通信が可能な二次端末と、認証サーバと、を通信させる方法であって、
前記二次端末が、自身を認証させるための情報である二次端末認証情報を、前記第2のネットワークを用いて前記ネットワーク利用端末に対して送信する二次端末認証情報送信ステップと、
前記ネットワーク利用端末が、前記二次端末認証情報送信ステップにて送信された二次端末認証情報を受信する二次端末認証情報受信ステップと、
前記ネットワーク利用端末が、前記二次端末認証情報受信ステップで受信された二次端末認証情報と、自身を認証させるための情報である利用端末認証情報と、を含む情報である複合認証情報を送信する複合認証情報送信ステップと、
前記ネットワーク利用端末が、前記複合認証情報の送信に応じて返信される認証結果情報を受信する認証結果情報受信ステップと、
前記ネットワーク利用端末が、前記認証結果情報受信ステップで受信された認証結果情報に基づいて、前記二次端末の通信を前記第1のネットワークに中継することで前記第1のネットワークの利用を前記二次端末に対して許可する中継ステップと、
前記認証サーバが、前記ネットワーク利用端末から送信される複合認証情報を受信する複合認証情報受信ステップと、
前記認証サーバが、前記複合認証情報受信ステップで受信した複合認証情報に基づいて、前記二次端末と前記ネットワーク利用端末とを認証する認証ステップと、
前記認証サーバが、前記認証ステップでの認証の結果を返信する認証結果返信ステップと、
前記認証サーバが、前記複合認証情報を受信すると、前記二次端末認証情報および前記利用端末認証情報から前記二次端末および前記ネットワーク利用端末の両利用者を認識し、課金の管理制御を行う課金管理制御ステップと、
を含む通信方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【公開番号】特開2007−329951(P2007−329951A)
【公開日】平成19年12月20日(2007.12.20)
【国際特許分類】
【出願番号】特願2007−186275(P2007−186275)
【出願日】平成19年7月17日(2007.7.17)
【分割の表示】特願2004−149126(P2004−149126)の分割
【原出願日】平成16年5月19日(2004.5.19)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
【公開日】平成19年12月20日(2007.12.20)
【国際特許分類】
【出願日】平成19年7月17日(2007.7.17)
【分割の表示】特願2004−149126(P2004−149126)の分割
【原出願日】平成16年5月19日(2004.5.19)
【出願人】(000005821)松下電器産業株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]