認証サーバ、プログラム、認証システム及び認証方法
【課題】 ユーザ側の装置の使用状況に応じた認証を行うことのできる技術を提供すること。
【解決手段】
ユーザが通信装置10でサービス提供サーバ16にサービスの提供を要求すると、認証サーバ17は、サービスの提供を要求したユーザが有する無線端末装置11、ソフトフォン搭載装置13、メッセンジャ搭載装置15のプレゼンス情報をプレゼンスサーバ19より取得して、取得したプレゼンス情報に対応した認証方式を選択して、音声再生サーバ21又はIM送信サーバ22からワンタイムパスワードを、無線端末装置11、ソフトフォン搭載装置13又はメッセンジャ搭載装置15に送信する。
【解決手段】
ユーザが通信装置10でサービス提供サーバ16にサービスの提供を要求すると、認証サーバ17は、サービスの提供を要求したユーザが有する無線端末装置11、ソフトフォン搭載装置13、メッセンジャ搭載装置15のプレゼンス情報をプレゼンスサーバ19より取得して、取得したプレゼンス情報に対応した認証方式を選択して、音声再生サーバ21又はIM送信サーバ22からワンタイムパスワードを、無線端末装置11、ソフトフォン搭載装置13又はメッセンジャ搭載装置15に送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サービスの提供を受けるユーザの認証を行う技術に関する。
【背景技術】
【0002】
インターネットの普及により、動画又は音声の配信、Webアプリケーション又はWebサイトの公開等、多種多様なサービスがネットワークを介してユーザに提供されている。そして、サービスの提供者がサービスのユーザを限定する必要がある場合には、サービスの提供に先立って、サービスを要求するユーザの正当性の確認、すなわち、ユーザ認証が行われる。
【0003】
最も一般的なユーザ認証方式として、ID(識別子:ユーザを一意に識別するための文字列)とパスワードを利用した方式が存在するが、ID及びパスワードを利用したユーザ認証方式の安全性を補強するために、例えば、特許文献1に記載されているような技術が知られている。
【0004】
特許文献1に記載の技術は、サービスの提供者側の認証計算機が、ユーザの端末1からある回線1を介してユーザまたはデータ入力装置のIDを受信した場合に、一時的に利用するパスワード(ワンタイムパスワード)を生成し、回線1とは異なる回線2を用いて、端末1とは異なる端末2(メールボックス、FAX受信装置、無線受信機、携帯電話等)へ送信する。このようなパスワードを受信したユーザは、回線1を介してパスワードを端末1から認証計算機へ送信する。
【0005】
そして、認証計算機は、自ら生成したワンタイムパスワードと、ユーザから受信したワンタイムパスワードと、が一致した場合にユーザの正当性を認める。
【0006】
【特許文献1】特開平10−341224号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
特許文献1に記載の技術は、二つの回線を用いることで、悪意を持った第三者による成りすましが行われる可能性を軽減している。
【0008】
しかしながら、特許文献1で示される技術は、回線2を介して通信する端末2の使用状況によって、ユーザ認証方式の実行を断念せざるを得ない場合がある。
【0009】
例えば、回線2として移動体通信網を利用し、端末2として携帯電話を利用した場合を考えると、この携帯電話が地下にある等の理由で、電波の受信が困難または不可能であるときには、ユーザはこの携帯電話を用いてワンタイムパスワードを受信することができず、認証を実行することができない。
【0010】
そこで、本発明は、ユーザ側の装置の使用状況に応じた認証を行うことのできる技術を提供することを目的とする。
【課題を解決するための手段】
【0011】
以上の課題を解決するために、本発明は、ユーザが認証する際に使用する装置のプレゼンス情報を取得して、取得したプレゼンス情報に応じて認証方式を選択する。
【0012】
例えば、本発明は、サービスの提供を受けるユーザの認証を行う認証サーバであって、前記ユーザが使用する装置の状況を特定するプレゼンス情報に対応する認証方式を特定する認証ポリシー情報を記憶する記憶部と、制御部と、を備え、前記制御部は、前記ユーザが使用する装置の状況を特定するプレゼンス情報を取得する処理と、取得したプレゼンス情報に対応する認証方式を前記認証ポリシー情報から特定する処理と、特定した認証方式により認証を実行する処理と、を行うこと、を特徴とする。
【発明の効果】
【0013】
以上のように、本発明によれば、ユーザ側の装置の使用状況に応じた認証を行うことができる技術を提供することができる。
【発明を実施するための最良の形態】
【0014】
図1は、本発明の一実施形態である認証システム100の概略図である。
【0015】
図示するように、認証システム100は、通信装置10と、無線端末装置11と、ソフトフォン搭載装置13と、メッセンジャ搭載装置15と、サービス提供サーバ16と、認証サーバ17と、プレゼンスサーバ19と、ユーザ情報管理サーバ20と、音声再生サーバ21と、IM送信サーバ22と、を備える。
【0016】
そして、通信装置10及びサービス提供サーバ16は、第一のネットワーク30を介して相互に情報を送受信することができるようにされており、無線端末装置11、ソフトフォン搭載装置13、メッセンジャ搭載装置15、サービス提供サーバ16、認証サーバ17、プレゼンスサーバ19、ユーザ情報管理サーバ20、音声再生サーバ21及びIM送信サーバ22は、第二のネットワーク31を介して相互に情報を送受信することができるようにされている。
【0017】
ここで、第一のネットワーク30と、第二のネットワーク31と、は、必ずしも物理的に異なるネットワークである必要性はないが、通信装置10及びサービス提供サーバ16の間で送受信する情報の通信経路と、無線端末装置11、ソフトフォン搭載装置13、メッセンジャ搭載装置15、サービス提供サーバ16、認証サーバ17、プレゼンスサーバ19、ユーザ情報管理サーバ20、音声再生サーバ21及びIM送信サーバ22の間で送受信する情報の通信経路と、は、プロトコルや伝送媒体等により異なる経路となるようにする。さらに、通信装置に近接した範囲を除いて一部も重なりが無く、悪意を持った者が同時に両ネットワーク上を流れる情報を手に入れることができない構成となっていることが望ましい。
【0018】
また、第一のネットワーク30よりも第二のネットワーク31の方が信頼性の高いネットワークであることが望ましい。
【0019】
例えば、本実施形態においては、第一のネットワーク30は、不特定多数のユーザがアクセス可能なネットワークであるインターネットであり、第二のネットワーク31は、回線認証機能を備え、通信データの改ざん、ユーザ又はサーバの成りすまし、等の不正行為が困難で、第一のネットワーク30よりも信頼性の高いネットワークであるNGN(Next Generation Network)であるが、このような態様に限定されるわけではない。
【0020】
なお、第二のネットワーク31は、NGNにおけるP−CSCF(Proxy-Call Session Control Function)、I−CSCF(Interrogating-Call Session Control Function)、S−CSCF(Serving-Call Session Control Function)のような複数のサーバにより通信が中継されているが、これらのサーバでの処理は公知のSIP(Session Initiation Protocol)およびIMS(IP Multimedia Subsystem)に従ったものであり、詳細な説明は省略する。
【0021】
図2は、通信装置10の概略図である。
【0022】
図示するように、通信装置10は、記憶部101と、制御部102と、入力部106と、出力部107と、送受信部108と、を備える。
【0023】
記憶部101には、通信装置10で処理を行うために必要な情報が記憶される。
【0024】
制御部102は、サービス利用部103と、サービス要求生成部104と、サービス通信部105と、を有する。
【0025】
サービス利用部103は、出力部107を介してユーザに対してサービスを利用するための入出力インタフェースを提供する処理を行う。
【0026】
サービス要求生成部104は、サービス提供サーバ16に対して、サービスを要求するためのメッセージを生成する処理を行う。
【0027】
サービス通信部105は、送受信部108及び第一のネットワーク30を介した情報の送受信処理を制御する。例えば、サービス通信部105としては、WebサイトやWebサービスを利用するためのHTTP(Hyper Text Transfer Protocol)通信を可能とするプロトコルスタックなどが考えられる。
【0028】
入力部106は、情報の入力を受け付ける。
【0029】
出力部107は、情報を出力する。
【0030】
送受信部108は、第一のネットワーク30を介した情報の送受信を行う。
【0031】
以上に記載した通信装置10は、例えば、図3(コンピュータ40の概略図)に示すような、CPU(Central Processing Unit)401と、メモリ402と、HDD(Hard Disk Drive)等の外部記憶装置403と、CD−ROM(Compact Disk Read Only Memory)やDVD−ROM(Digital Versatile Disk Read Only Memory)等の可搬性を有する記憶媒体404から情報を読み出す読取装置405と、キーボードやマウスなどの入力装置406と、ディスプレイなどの出力装置407と、通信ネットワークに接続するためのNIC(Network Interface Card)等の送受信装置408と、を備えた一般的なコンピュータ40で実現できる。
【0032】
例えば、記憶部101は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部102は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部106は、CPU401が入力装置406を利用することで実現可能であり、出力部107は、CPU401が出力装置407を利用することで実現可能であり、送受信部108は、CPU401が送受信装置408を利用することで実現可能である。
【0033】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0034】
図4は、無線端末装置11の概略図である。
【0035】
図示するように、無線端末装置11は、記憶部111と、制御部112と、入力部117と、出力部118と、送受信部119と、マイク120と、スピーカ121と、を備える。
【0036】
記憶部111には、無線端末装置11で処理を行うために必要な情報が記憶される。
【0037】
制御部112は、音声入出力部113と、セッション利用部114と、プレゼンス情報処理部115と、SIP通信部116と、を有する。
【0038】
音声入出力部113は、マイク120を介して、無線端末装置11のユーザからの音声の入力を受け付け、音声データを生成して後述するセッション利用部114に出力する。また、音声入出力部113は、セッション利用部114より入力された音声データを音声としてスピーカ121から出力する処理を行う。
【0039】
セッション利用部114は、SIP通信部116を介してSIPにより確立した通信セッション上で、音声データの入出力処理を行う。
【0040】
プレゼンス情報処理部115は、無線端末装置11の状況(例えば、オンライン又はオフライン等の通信状況)を監視し、当該状況に変化が生じた場合、所定の期間が経過した場合、または、入力部117を介してユーザより指示の入力を受け付けた場合に、予め定められたプレゼンス情報を生成し、SIP通信部116を介してプレゼンスサーバ19に生成したプレゼンス情報を送信する処理を行う。
【0041】
SIP通信部116は、SIPに従って、送受信部119及び第二のネットワーク31を介して、SIPメッセージを送受信する処理を行う。
【0042】
入力部117は、情報の入力を受け付ける。
【0043】
出力部118は、情報を出力する。
【0044】
送受信部119は、無線(電磁波)を介してアクセスポイント(図示せず)に接続することで、第二のネットワーク31を介した情報の送受信を行う。
【0045】
マイク120は、音声の入力を受け付ける。
【0046】
スピーカ121は、音声を出力する。
【0047】
以上に記載した無線端末装置11は、例えば、図3に示すようなコンピュータ40に、マイク(図示せず)及びスピーカ(図示せず)を接続することにより実現可能であるが、ここでの送受信装置408は、アンテナ及び無線処理装置(RF部、MAC処理部及びベースバンド処理部等)を備える無線LAN装置を用いればよい。
【0048】
例えば、記憶部111は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部112は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部117は、CPU401が入力装置406を利用することで実現可能であり、出力部118は、CPU401が出力装置407を利用することで実現可能であり、送受信部119は、CPU401が送受信装置408を利用することで実現可能である。
【0049】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0050】
図5は、ソフトフォン搭載装置13の概略図である。
【0051】
図示するように、ソフトフォン搭載装置13は、記憶部131と、制御部132と、入力部137と、出力部138と、送受信部139と、マイク140と、スピーカ141と、を備える。
【0052】
記憶部131には、ソフトフォン搭載装置13で処理を行うために必要な情報が記憶される。
【0053】
制御部132は、音声入出力部133と、セッション利用部134と、プレゼンス情報処理部135と、SIP通信部136と、を有する。
【0054】
音声入出力部133は、マイク140を介して、ソフトフォン搭載装置13のユーザからの音声の入力を受け付け、音声データを生成して後述するセッション利用部134に出力する。また、音声入出力部133は、セッション利用部134より入力された音声データを音声としてスピーカ141から出力する処理を行う。
【0055】
セッション利用部134は、SIP通信部136を介してSIPにより確立した通信セッション上で、音声データの入出力処理を行う。
【0056】
プレゼンス情報処理部135は、ソフトフォン搭載装置13の状況(例えば、オンライン又はオフライン等の通信状況)を監視し、当該状況に変化が生じた場合、所定の期間が経過した場合、または、入力部137を介してユーザより指示の入力を受け付けた場合に、予め定められたプレゼンス情報を生成し、SIP通信部136を介してプレゼンスサーバ18に生成したプレゼンス情報を送信する処理を行う。
【0057】
SIP通信部136は、SIPに従って、送受信部139及び第二のネットワーク31を介して、SIPメッセージを送受信する処理を行う。
【0058】
入力部137は、情報の入力を受け付ける。
【0059】
出力部138は、情報を出力する。
【0060】
送受信部139は、第二のネットワーク31を介した情報の送受信を行う。
【0061】
マイク140は、音声の入力を受け付ける。
【0062】
スピーカ141は、音声を出力する。
【0063】
以上に記載したソフトフォン搭載装置13は、例えば、図3に示すようなコンピュータ40に、マイク(図示せず)及びスピーカ(図示せず)を接続することにより実現できる。
【0064】
例えば、記憶部131は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部132は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部137は、CPU401が入力装置406を利用することで実現可能であり、出力部138は、CPU401が出力装置407を利用することで実現可能であり、送受信部139は、CPU401が送受信装置408を利用することで実現可能である。
【0065】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0066】
図6は、メッセンジャ搭載装置15の概略図である。
【0067】
メッセンジャ搭載装置15は、記憶部151と、制御部152と、入力部156と、出力部157と、送受信部158と、を備える。
【0068】
記憶部151には、メッセンジャ搭載装置15で処理を行うために必要な情報が記憶される。
【0069】
制御部152は、メッセージ入出力部153と、プレゼンス情報処理部154と、SIP通信部155と、を有する。
【0070】
メッセージ入出力部153は、メッセンジャ搭載装置15のユーザから入力部156を介してテキストデータの入力を受け付け、入力されたテキストデータをSIPのMESSAGEリクエストとしてSIP通信部155へ出力する処理を行う。また、メッセージ入出力部153は、SIP通信部155より入力されたMESSAGEリクエストからテキストデータを抽出して、出力部157に出力する処理を行う。
【0071】
プレゼンス情報処理部154は、メッセンジャ搭載装置15の状況(例えば、オンライン又はオフライン)を監視し、当該状況に変化が生じた場合、所定の期間が経過した場合、または、入力部156を介してユーザより指示の入力を受け付けた場合に、予め定められたプレゼンス情報を生成し、SIP通信部155を介してプレゼンスサーバ18に生成したプレゼンス情報を送信する処理を行う。
【0072】
SIP通信部155は、SIPに従って、送受信部158及び第二のネットワーク31を介して、SIPメッセージを送受信する処理を行う。
【0073】
入力部156は、情報の入力を受け付ける。
【0074】
出力部157は、情報を出力する。
【0075】
送受信部158は、第二のネットワーク31を介した情報の送受信を行う。
【0076】
以上に記載したメッセンジャ搭載装置15は、例えば、図3に示すようなコンピュータ40により実現できる。
【0077】
例えば、記憶部151は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部152は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部156は、CPU401が入力装置406を利用することで実現可能であり、出力部157は、CPU401が出力装置407を利用することで実現可能であり、送受信部158は、CPU401が送受信装置408を利用することで実現可能である。
【0078】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0079】
図7は、サービス提供サーバ16の概略図である。
【0080】
サービス提供サーバ16は、記憶部161と、制御部162と、入力部166と、出力部167と、第一の送受信部168と、第二の送受信部169と、を備える。
【0081】
記憶部161には、サービス提供サーバ16で処理を行うために必要な情報が記憶される。
【0082】
制御部162は、サービス提供部163と、認証要求送信部164と、サービス通信部165と、を有する。
【0083】
サービス提供部163は、通信装置10に対して要求されたサービスを提供する処理を行う。
【0084】
認証要求送信部164は、通信装置10から特定のサービスの提供を要求された際に、第二の送受信部169及び第二のネットワーク31を介して、認証サーバ17に予め定められた認証要求メッセージを送信する処理を行う。
【0085】
サービス通信部165は、第一の送受信部168及び第一のネットワーク30を介して、通信装置10に対してサービスを提供するのに必要な情報を送受信する処理を行う。例えば、サービス通信部165としては、WebサイトやWebサービスを提供するためのHTTP通信を可能とするプロトコルスタック等として構成することができる。
【0086】
入力部166は、情報の入力を受け付ける。
【0087】
出力部167は、情報を出力する。
【0088】
第一の送受信部168は、第一のネットワーク30を介した情報の送受信を行う。
【0089】
第二の送受信部169は、第二のネットワーク31を介した情報の送受信を行う。
【0090】
以上に記載したサービス提供サーバ16は、例えば、図3に示すようなコンピュータ40により実現できる。
【0091】
例えば、記憶部161は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部162は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部166は、CPU401が入力装置406を利用することで実現可能であり、出力部167は、CPU401が出力装置407を利用することで実現可能であり、第一の送受信部168及び第二の送受信部169は、CPU401が送受信装置408を利用することで実現可能である。
【0092】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0093】
図8は、認証サーバ17の概略図である。
【0094】
認証サーバ17は、記憶部171と、制御部173と、入力部181と、出力部182と、送受信部183と、を備える。
【0095】
記憶部171は、認証ポリシー情報記憶領域172を有する。
【0096】
認証ポリシー情報記憶領域172には、サービス提供サーバ16毎に、当該サービス提供サーバ16からの認証要求に対する認証条件と、当該認証条件における認証方式と、当該認証条件における認証レベルと、を特定する情報が格納される。
【0097】
例えば、本実施形態においては、図9(認証ポリシーテーブル172aの概略図)に示すような認証ポリシーテーブル172aが認証ポリシー情報記憶領域172に記憶される。
【0098】
認証ポリシーテーブル172aは、サービス提供サーバID欄172bと、無線端末装置欄172cと、ソフトフォン欄172dと、メッセンジャ欄172eと、実行スクリプト欄172fと、認証レベル欄172gと、を有する。
【0099】
サービス提供サーバID欄172bには、サービス提供サーバを一意に識別するための識別情報(ここでは、サービス提供サーバID)が格納される。
【0100】
一つのサービス提供サーバIDには一つ以上の認証方式がレコード(テーブルの行)の形で関連付けられる。認証方式は、当該認証方式が選択される場合の条件と、実際に実行される手順を表す実行スクリプトと、実行に成功した場合にサービス提供サーバに通知される認証レベル、の組で構成される。
【0101】
無線端末装置欄172c、ソフトフォン欄172d及びメッセンジャ欄172eには、当該レコードに対応する認証方式が選択されるための条件(それぞれの装置のプレゼンス情報に関する条件)を定義するための値が格納される。
【0102】
具体的には、無線端末装置欄172cには、無線端末装置11の状況を特定する情報(プレゼンス情報)が格納される。なお、「*」の記号が格納されている場合には、任意の状況を示すもの(全ての状況に該当するもの)とする。
【0103】
ソフトフォン欄172dには、ソフトフォン搭載装置13の状況を特定する情報(プレゼンス情報)が格納される。なお、「*」の記号が格納されている場合には、任意の状況を示すもの(全ての状況に該当するもの)とする。
【0104】
メッセンジャ欄172eには、メッセンジャ搭載装置15の状況を特定する情報(プレゼンス情報)が格納される。なお、「*」の記号が格納されている場合には、任意の状況を示すもの(全ての状況に該当するもの)とする。
【0105】
実行スクリプト欄172fには、サービス提供サーバID欄172bで特定されるサービス提供サーバ16からの認証要求に対して、認証を行うユーザが備える各々の装置の状況が、無線端末装置欄172c、ソフトフォン欄172d及びメッセンジャ欄172eで特定されるプレゼンス条件を満たす場合に、認証方式を実行するための手順が格納されている。例えば、本実施形態においては、実行スクリプト欄172fには、実行スクリプトの名称と、認証方式として具体的に実行するスクリプトを特定する情報と、が格納される。
【0106】
ここで、図10(スクリプト40の概略図)は、実行スクリプト欄172fにおいて、「schemeA」の名称で識別されるスクリプト40である。図11(スクリプト41の概略図)は、実行スクリプト欄172fにおいて、「schemeB」の名称で識別されるスクリプト41である。図12(スクリプト42の概略図)は、実行スクリプト欄172fにおいて、「schemeC」の名称で識別されるスクリプト42である。これらのスクリプトが、実行スクリプト欄172fの対応するレコードに格納される。
【0107】
図9に戻り、認証レベル欄172gには、サービス提供サーバID欄172bで特定されるサービス提供サーバ16からの認証要求に対して、認証を行うユーザが備える各々の装置の状況が、無線端末装置欄172c、ソフトフォン欄172d及びメッセンジャ欄172eで特定されるプレゼンス条件を満して、実行スクリプト欄172fで特定される認証が行われた場合の、認証レベル(認証の強度)を特定する情報が格納される。
【0108】
ここで、本実施形態においては、認証レベル欄172gに格納される認証レベルの値が大きいほど、同じレコードで特定される認証方式の認証強度が高いことを示している。本実施形態においては、認証方式「schemeA」が最も認証強度の高い方式であり、認証方式「schemeC」が最も認証強度の低い方式として定義されている。
【0109】
なお、認証ポリシーテーブル172aに格納される認証ポリシーは、各々のサービス提供サーバ16において定義され、ユーザの認証に先立って当該認証ポリシーテーブル172aに格納されるものとする。認証ポリシーを登録する方法としては、認証サーバ17がサービス提供サーバ16へ公開するWebアプリケーションやWebサービス等を利用する、または、サービス提供サーバ16から認証サーバ17へ、書面やメール等による通知を元に、認証サーバ17の側で登録処理を行う、等の方法があるが、これらに限定されるわけではない。
【0110】
制御部173は、認証実行部174と、認証要求処理部175と、プレゼンス情報取得部176と、ユーザ情報取得部177と、第三者呼制御部178と、IM制御部179と、パスワード処理部180と、を有する。
【0111】
認証実行部174は、認証ポリシーテーブル172aから認証方式を選択して、選択した認証方式に対応する実行スクリプトに従い認証を実行する。
【0112】
認証要求処理部175は、サービス提供サーバ16から認証要求メッセージを受信する処理を行う。
【0113】
プレゼンス情報取得部176は、プレゼンスサーバ19より、無線端末装置11、ソフトフォン搭載装置13及びメッセンジャ搭載装置15の少なくとも一つ以上の装置のプレゼンス情報を取得する処理を行う。
【0114】
ユーザ情報取得部177は、ユーザ情報管理サーバ20より、認証を行うユーザの無線端末装置11、ソフトフォン搭載装置13及びメッセンジャ搭載装置104の少なくとも一つ以上の装置の通信ID(電話番号やIPアドレス、SIP−URI等、通信を行うために必要な識別子)を取得する処理を行う。
【0115】
第三者呼制御部178は、無線端末装置11又はソフトフォン搭載装置13と音声再生サーバ21との間でSIPによる通信セッションを確立する処理を行う。
【0116】
IM制御部179は、IM送信サーバ22に対して、認証を行うユーザが使用するメッセンジャ搭載装置15に対してインスタントメッセージを送信するよう指示する処理を行う。
【0117】
パスワード処理部180は、擬似乱数生成等の方法を用いてワンタイムパスワードを生成し、音声再生サーバ21又はIM送信サーバへ送信する処理を行う。
【0118】
入力部181は、情報の入力を受け付ける。
【0119】
出力部182は、情報を出力する。
【0120】
送受信部183は、第二のネットワーク31を介した情報の送受信を行う。
【0121】
以上に記載した認証サーバ17は、例えば、図3に示すようなコンピュータ40により実現できる。
【0122】
例えば、記憶部171は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部173は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部181は、CPU401が入力装置406を利用することで実現可能であり、出力部182は、CPU401が出力装置407を利用することで実現可能であり、送受信部183は、CPU401が送受信装置408を利用することで実現可能である。
【0123】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0124】
図13は、プレゼンスサーバ19の概略図である。
【0125】
プレゼンスサーバ19は、記憶部191と、制御部193と、入力部196と、出力部197と、送受信部198と、を備える。
【0126】
記憶部191は、プレゼンス情報記憶領域192を有する。
【0127】
プレゼンス情報記憶領域192には、認証を受けるユーザ側の装置から送信されてくる状況を特定する情報(プレゼンス情報)を特定する情報が記憶される。
【0128】
例えば、本実施形態においては、図14(プレゼンス情報テーブル192aの概略図)に示すようなプレゼンス情報テーブル192aがプレゼンス情報記憶領域192に記憶される。
【0129】
プレゼンス情報テーブル192aは、通信ID欄192bと、プレゼンス情報欄192cと、を有する。
【0130】
通信ID欄192bには、無線端末装置11、ソフトフォン搭載装置13、メッセンジャ搭載装置15等といった、ユーザにより使用される装置の通信IDを特定する情報が格納される。
【0131】
プレゼンス情報欄192には、通信ID欄192bで特定される装置の状況を特定する情報(プレゼンス情報)が格納される。
【0132】
図13に戻り、制御部193は、プレゼンス情報管理部194と、プレゼンス情報通信部195と、を有する。
【0133】
プレゼンス情報管理部194は、送受信部198を介して、無線端末装置11、ソフトフォン搭載装置13又はメッセンジャ搭載装置15からプレゼンス情報を受信し、受信したプレゼンス情報をプレゼンス情報テーブル192aに格納する処理を行う。
【0134】
プレゼンス情報通信部195は、認証サーバ17からの要請に応じて、無線端末装置11、ソフトフォン搭載装置13又はメッセンジャ搭載装置15のプレゼンス情報を、送受信部198を介して、認証サーバ17に送信する処理を行う。
【0135】
入力部196は、情報の入力を受け付ける。
【0136】
出力部197は、情報を出力する。
【0137】
送受信部198は、第二のネットワーク31を介した情報の送受信を行う。
【0138】
以上に記載したプレゼンスサーバ19は、例えば、図3に示すようなコンピュータ40により実現できる。
【0139】
例えば、記憶部191は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部193は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部196は、CPU401が入力装置406を利用することで実現可能であり、出力部197は、CPU401が出力装置407を利用することで実現可能であり、送受信部198は、CPU401が送受信装置408を利用することで実現可能である。
【0140】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0141】
図15は、ユーザ情報管理サーバ20の概略図である。
【0142】
ユーザ情報管理サーバ20は、記憶部201と、制御部203と、入力部206と、出力部207と、送受信部208と、を備える。
【0143】
記憶部201は、ユーザ情報記憶領域202を有する。
【0144】
ユーザ情報記憶領域202には、認証を行うユーザ毎に、当該ユーザが使用する装置の通信IDを特定する情報が記憶される。
【0145】
例えば、本実施形態においては、図16(ユーザ情報テーブル202aの概略図)に示すようなユーザ情報テーブル202aがユーザ情報記憶領域202に記憶される。
【0146】
ユーザ情報テーブル202aは、ユーザID欄202bと、無線端末装置欄202cと、ソフトフォン欄202dと、メッセンジャ欄202eと、を有する。
【0147】
ユーザID欄202bには、認証システム100においてユーザを一意に識別するための識別情報(ここでは、ユーザID)が格納される。
【0148】
無線端末装置欄202cには、ユーザID欄202bで特定されるユーザが使用する無線端末装置11の通信IDを特定する情報が格納される。
【0149】
ソフトフォン欄202dには、ユーザID欄202bで特定されるユーザが使用するソフトフォン搭載装置13の通信IDを特定する情報が格納される。
【0150】
メッセンジャ欄202eには、ユーザID欄202bで特定されるユーザが使用するメッセンジャ搭載装置15の通信IDを特定する情報が格納される。
【0151】
図15に戻り、制御部203は、ユーザ情報管理部204と、ユーザ情報通信部205と、を有する。
【0152】
ユーザ情報管理部204は、無線端末装置11、ソフトフォン搭載装置13及びメッセンジャ搭載装置15の通信IDをユーザ情報テーブル202aに格納、変更、削除等する処理と、ユーザ情報通信部205からの指示に応じて、特定のユーザが使用する装置の通信IDをユーザ情報テーブル202aから取得してユーザ情報通信部205に出力する処理と、を行う。
【0153】
ユーザ情報通信部205は、認証サーバ17からの要請に応じて、特定のユーザが使用する装置の通信IDを、送受信部208を介して認証サーバ17に送信する処理を行う。
【0154】
入力部206は、情報の入力を受け付ける。
【0155】
出力部207は、情報を出力する。
【0156】
送受信部208は、第二のネットワーク31を介した情報の送受信を行う。
【0157】
以上に記載したユーザ情報管理サーバ20は、例えば、図3に示すようなコンピュータ40により実現できる。
【0158】
例えば、記憶部201は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部203は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部206は、CPU401が入力装置406を利用することで実現可能であり、出力部207は、CPU401が出力装置407を利用することで実現可能であり、送受信部208は、CPU401が送受信装置408を利用することで実現可能である。
【0159】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0160】
図17は、音声再生サーバ21の概略図である。
【0161】
音声再生サーバ21は、記憶部211と、制御部212と、入力部217と、出力部218と、送受信部219と、を備える。
【0162】
記憶部211には、音声再生サーバ21で処理を行うために必要な情報が格納される。
【0163】
制御部212は、音声処理部213と、セッション利用部214と、送信データ受付部215と、SIP通信部216と、を有する。
【0164】
音声処理部213は、送信データ受付部215が送受信部219を介して受信したワンタイムパスワードを音声データにして記憶部211に記憶し、セッション利用部214に出力する処理を行う。
【0165】
セッション利用部214は、送受信部219を介して、無線端末装置11又はソフトフォン搭載装置13との間で、SIPにより確立した通信セッション上で、音声データを送受信する処理を行う。
【0166】
送信データ受付部215は、認証サーバ17よりワンタイムパスワードを受信する処理を行う。
【0167】
SIP通信部216は、無線端末装置11又はソフトフォン搭載装置13との間で、第二のネットワーク31を介して、SIPメッセージを送受信する処理を行う。
【0168】
入力部217は、情報の入力を受け付ける。
【0169】
出力部218は、情報を出力する。
【0170】
送受信部219は、第二のネットワーク31を介した情報の送受信を行う。
【0171】
以上に記載した音声再生サーバ21は、例えば、図3に示すようなコンピュータ40により実現できる。
【0172】
例えば、記憶部211は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部212は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部217は、CPU401が入力装置406を利用することで実現可能であり、出力部218は、CPU401が出力装置407を利用することで実現可能であり、送受信部219は、CPU401が送受信装置408を利用することで実現可能である。
【0173】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0174】
図18は、IM送信サーバ22の概略図である。
【0175】
IM送信サーバ22は、記憶部221と、制御部222と、入力部226と、出力部227と、送受信部228と、を備える。
【0176】
記憶部221には、IM送信サーバ22で処理を行うために必要な情報が格納される。
【0177】
制御部222は、メッセージ処理部223と、送信データ受付部224と、SIP通信部225と、を有する。
【0178】
メッセージ処理部223は、送信データ受付部224で受信したワンタイムパスワードをボディ部に含むSIPのMESSAGEリクエストを生成する処理を行う。
【0179】
送信データ受付部224は、送受信部228を介して、認証サーバ17よりワンタイムパスワードを受信する処理を行う。
【0180】
SIP通信部225は、無線端末装置11又はソフトフォン搭載装置13との間で、第二のネットワーク31を介して、SIPメッセージを送受信する処理を行う。
【0181】
入力部226は、情報の入力を受け付ける。
【0182】
出力部227は、情報を出力する。
【0183】
送受信部228は、第二のネットワーク31を介した情報の送受信を行う。
【0184】
以上に記載したIM送信サーバ22は、例えば、図3に示すようなコンピュータ40により実現できる。
【0185】
例えば、記憶部221は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部222は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部226は、CPU401が入力装置406を利用することで実現可能であり、出力部227は、CPU401が出力装置407を利用することで実現可能であり、送受信部228は、CPU401が送受信装置408を利用することで実現可能である。
【0186】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0187】
図19及び図20は、認証サーバ17の処理を示すフローチャートである。
【0188】
まず、認証サーバ17の認証要求処理部175が、送受信部183を介して、ユーザ認証要求メッセージを受信すると(S500でYes)、受信したメッセージに含まれるユーザID及びサーバIDを取得する(S501)。
【0189】
ここで、ユーザ認証要求メッセージは、認証を要求する対象となるユーザのユーザIDと、認証を要求するサービス提供サーバ16のサーバIDと、当該メッセージがユーザ認証を要求するメッセージであることを意味するメッセージ識別子と、を含む。
【0190】
例えば、本実施形態においては、図21(ユーザ認証要求メッセージのボディ部50の概略図)に示すようなXML表現をボディ部50に含むSOAP(Simple Object Access Protocol)メッセージを用いているが、このような態様に限定されるわけではない。なお、図21の左端の数字は行数を特定するためのメモリであって、ボディ部50の一部を構成するものではない。
【0191】
ここで、ユーザ認証要求メッセージのボディ部50は、authenticateRequestタグが、ユーザ認証を要求するメッセージであることを意味しており、user要素のuserid属性の値である「user0001」が、認証の対象となるユーザのユーザIDを示しており、serviceid属性の値である「service0001」が、認証を要求するサービス提供サーバ16のサーバIDを示している。
【0192】
図19に戻り、次に、認証サーバ17のユーザ情報取得部177が、ステップS500で取得したユーザIDで特定されるユーザについて、使用端末の種類と通信IDの組を取得するためのユーザ情報要求メッセージを生成し、生成したメッセージをユーザ情報管理サーバ20へ送信する(S502)。
【0193】
ここで、ユーザ情報要求メッセージは、ユーザ情報を取得する対象となるユーザのユーザIDと、当該メッセージがユーザ情報の取得を要求するメッセージであることを意味するメッセージ識別子と、を含む。
【0194】
例えば、本実施形態においては、図22(ユーザ情報要求メッセージのボディ部51の概略図)に示すようなXML表現をボディ部51に含むSOAPメッセージを用いているが、このような態様に限定されるわけではない。なお、図22の左端の数字は行数を特定するためのメモリであって、ボディ部51の一部を構成するものではない。
【0195】
ユーザ情報要求メッセージのボディ部51は、getUserInfoRequestタグが、ユーザ情報を要求するメッセージであることを意味しており、user要素のuserid属性の値である「user0001」が、ユーザ情報を取得する対象となるユーザのユーザIDを示している。
【0196】
図19に戻り、ユーザ情報取得部177は、ステップS502で送信したユーザ情報要求メッセージの応答メッセージの受信を待ち受けており(S503)、ユーザ情報要求メッセージに対するユーザ情報管理サーバ20からの応答が、予め定められた時間が経過しても得られない場合には(S503でNo)、認証実行部174は、認証処理が失敗したことを示すエラーメッセージを生成し、サービス提供サーバ16に送信して(S504)、処理を終了する。
【0197】
一方、予め定められた時間内に、ユーザ情報取得部177が、送受信部183を介して、ユーザ情報管理サーバ20からユーザ情報応答メッセージを受信した場合は(S503でYes)、ユーザ情報取得部177は、受信した応答メッセージに含まれるユーザの装置の種類と通信IDの組を、記憶部171に記憶する(S505)。
【0198】
ここで、ユーザ情報応答メッセージは、ユーザの端末の種類及び通信IDの組と、当該メッセージがユーザ情報要求に対する応答メッセージであることを意味するメッセージ識別子と、を含む。
【0199】
例えば、本実施形態においては、図23(ユーザ情報応答メッセージのボディ部52の概略図)に示すようなXML表現をボディ部52に含むSOAPメッセージを用いているが、このような態様に限定されるわけではない。なお、図23の左端の数字は行数を特定するためのメモリであって、ボディ部52の一部を構成するものではない。
【0200】
ユーザ情報応答メッセージのボディ部52は、getUserInfoResponseタグが、ユーザ情報要求に対する応答メッセージであることを意味しており、user要素のuserid属性の値である「user0001」が、ユーザ情報の主体であるユーザのユーザIDを示している。また、各device要素のdeviceid属性の値(「mobile」、「phone」、「im」)は、そのdevice要素が示す通信IDがどの端末に対応するものかを示し、各device要素の値は、端末に割り当てられた通信IDを示す。例えば、図23の例では、ユーザ「user0001」は端末種別「mobile」に対応する無線端末装置11と、「phone」に対応するソフトフォン搭載装置13と、「im」に対応するメッセンジャ搭載装置15を保有しており、それぞれの装置の通信IDは「sip:0001_mobile@hitachi.com」、「sip:0001_phone@hitachi.com」、「sip:0001_im@hitachi.com」であること、を示している。
【0201】
図19に戻り、次に、認証サーバ17のプレゼンス情報取得部176は、ステップS505で取得された通信IDで特定される全ての装置のプレゼンス情報を要求するプレゼンス情報要求メッセージを生成して、生成したメッセージをプレゼンスサーバ19に送信する(S506)。
【0202】
ここで、プレゼンス情報要求メッセージは、ユーザが使用する装置の通信IDと、当該メッセージがプレゼンス情報の取得を要求するメッセージであることを意味するメッセージ識別子と、を含んだメッセージである。
【0203】
例えば、本実施形態においては、プレゼンスサーバ19がSIP/SIMPLE(SIP Instant Messaging and Presence Language Extensions)に準拠しており、プレゼンス情報要求メッセージは、図24(プレゼンス情報要求メッセージ53の概略図)に示すようにSIPメッセージの「SUBSCRIBEリクエスト」を用いているが、このような態様に限定されるわけではない。なお、図24の左端の数字は行数を特定するためのメモリであって、メッセージの一部を構成するものではない。
【0204】
プレゼンス情報要求メッセージ53は、5行目のToタグに、ユーザ「user0001」のソフトフォン搭載装置13の通信IDである「sip:0001_phone@hitachi.com」を含んでおり、当該メッセージが当該通信IDを持つ通信装置のプレゼンス情報を要求することを示している。
【0205】
SIPのSUBSCRIBEリクエストの詳細についてはRFC3265の規定に従うため、詳細な説明は省略する。
【0206】
なお、本実施形態においては、一つの装置に対してプレゼンス情報要求メッセージ53を生成するようにしているため、無線端末装置11及びメッセンジャ搭載装置15のプレゼンス情報を要求するためのプレゼンス要求メッセージについても、それぞれ同様のSIPメッセージとして生成することができる。
【0207】
また、本発明におけるプレゼンス情報要求メッセージは、SIPのSUBSCRIBEリクエストに限定されるものではなく、各種の標準で規定されたメッセージ、あるいは独自に規定したメッセージを使用してもよい。例えば、プレゼンスサーバ19がParlay XのPresenceConsumerインタフェースを備えるWebサービスとして実装されていた場合には、当該メッセージとしてParlay Xの仕様に準拠したSOAPメッセージ等を利用することができる。
【0208】
図19に戻り、プレゼンス情報取得部176は、ステップS506で送信したプレゼンス情報要求メッセージの応答メッセージの受信を待ち受けており(S507)、プレゼンス情報要求メッセージに対するプレゼンスサーバ19からの応答が、予め定められた時間が経過しても得られない場合には(S507でNo)、認証実行部174は、認証処理が失敗したことを示すエラーメッセージを生成し、サービス提供サーバ16に送信して(S504)、処理を終了する。
【0209】
一方、予め定められた時間内に、プレゼンス情報取得部176が、送受信部183を介して、ユーザ情報管理サーバ20からユーザ情報応答メッセージを受信した場合は(S507でYes)、プレゼンス情報取得部176は、プレゼンス情報通知メッセージから通信IDとプレゼンス情報の組を取得して、ステップS505で記憶した、装置と通信IDの組を利用して、取得したプレゼンス情報がどの装置のプレゼンス情報であるかを特定して、記憶部171に記憶して(S508)、ステップS509に進む。
【0210】
ここで、プレゼンス情報通知メッセージは、ユーザが使用する装置の通信IDと、当該メッセージがプレゼンス情報の応答メッセージであることを意味するメッセージ識別子と、ユーザが使用する装置の状況を特定する情報(プレゼンス情報)と、を含む。
【0211】
例えば、本実施形態においては、プレゼンスサーバ19が、SIP/SIMPLEに準拠しており、プレゼンス情報通知メッセージは、図25(プレゼンス情報通知メッセージ54の概略図)に示すようなSIPのNOTIFYリクエストを用いているが、このような態様に限定されるわけではない。なお、図25の左端の数字は行数を特定するためのメモリであって、メッセージの一部を構成するものではない。
【0212】
プレゼンス情報通知メッセージ54は、4行目のFromタグに、ユーザ「user0001」が使用するソフトフォン搭載装置13の通信IDである「sip:0001_phone@hitachi.com」を含んでおり、当該メッセージが当該通信IDを持つ装置のプレゼンス情報を含むことを示している。更に、16行目のstatus要素内のbasic要素の値である「open」は、ソフトフォン搭載装置13が通話可能な状態であることを示しており、17行目のrpid:place−type要素内のlt:office要素は、ソフトフォン搭載装置13の設置場所がオフィス内であることを示している。
【0213】
なお、本実施形態においては、一つの装置に対して一つのプレゼンス情報通知メッセージ54を生成するようにしているため、無線端末装置11及びメッセンジャ搭載装置15のプレゼンス情報を通知するためのプレゼンス情報通知メッセージについても、それぞれ同様のSIPメッセージとして生成することができる。
【0214】
ここで、SIPのNOTIFYリクエストの詳細についてはRFC3265の規定に従うため、詳細な説明を省略する。
【0215】
なお、本発明のプレゼンス情報通知メッセージは、SIPのNOTIFYリクエストに限定されるものではなく、各種の標準で規定されたメッセージ、あるいは独自に規定したメッセージを使用してもよい。例えば、プレゼンスサーバ19がParlay XのPresenceConsumerインタフェースを実装しており、かつ認証サーバ17がParlay XのPresenceNotificationインタフェースを実装している場合には、当該メッセージとしてParlay Xの仕様に準拠したSOAPメッセージ等を利用することができる。
【0216】
図19に戻り、例えば、プレゼンス情報取得部176は、ステップS508において、図26(取得プレゼンス情報テーブル43の概略図)に示すような取得プレゼンス情報テーブル43に新たなレコードを追加し、取得したプレゼンス情報を格納する。
【0217】
取得プレゼンス情報テーブル43は、ユーザID欄43aと、無線端末装置欄43bと、ソフトフォン欄43cと、メッセンジャ欄43dと、を有する。
【0218】
ユーザID欄43aには、プレゼンス情報通知メッセージに含まれているユーザIDを特定する情報が格納される。
【0219】
無線端末装置欄43bには、プレゼンス情報通知メッセージに含まれている通信IDにより特定される無線端末装置11のプレゼンス情報が格納される。
【0220】
ソフトフォン欄43cには、プレゼンス情報通知メッセージに含まれている通信IDにより特定されるソフトフォン搭載装置13のプレゼンス情報が格納される。
【0221】
メッセンジャ欄43dには、プレゼンス情報通知メッセージに含まれている通信IDにより特定されるメッセンジャ搭載装置15のプレゼンス情報が格納される。
【0222】
図20に進み、ステップS509では、認証サーバ17の認証実行部174が、認証ポリシーテーブル172aから、ステップS501で取得したサーバIDがサービス提供サーバID欄172bに格納されているレコード群を取得し、取得したレコード群を「候補レコード群」として記憶部171に記憶する。
【0223】
次に、認証実行部174は、ステップS509で記憶した候補レコード群にレコードが含まれているか否かを確認し(S510)、含まれていない場合には(S510でNo)、ステップS511に進み、含まれている場合には(ステップS510でYes)、ステップS512に進む。
【0224】
ステップS512では、認証実行部174は、ステップS509で取得された候補レコード群の中で、最も認証レベルの高いもの(最も値の大きなもの)を選択する。
【0225】
そして、認証実行部174は、ステップS512で選択されたレコードを「候補レコード」として、記憶部171に記憶するとともに、当該候補レコードを候補レコード群から削除する(S513)。
【0226】
次に、認証実行部174は、図19のステップS508で記憶したプレゼンス情報が、ステップS514で選択された候補レコード内の無線端末装置172c、ソフトフォン欄172d及びメッセンジャ欄172eで特定されるプレゼンス条件を満足するか否かを確認する(S514)。そして、当該プレゼンス情報が当該候補レコード内のプレゼンス条件を満足する場合には(S514でYes)、ステップS515に進み、満足しない場合には(S514でNo)、ステップS510に戻り処理を繰り返す。
【0227】
ステップS515では、認証実行部174は、候補レコード内の実行スクリプト欄172fで特定される実行スクリプトを実行することで認証を行う。
【0228】
例えば、認証実行部174は、特定された認証方式の実行スクリプトが、図10に示すスクリプト40である場合には、まずパスワード処理部180が擬似乱数生成等の処理を行い、第三者による推測が困難なワンタイムパスワードを生成する。次に、認証実行部174が、音声再生サーバ21へ、生成したワンタイムパスワードを送信し、音声通信の準備を要求する。次に、第三者呼制御部178が、無線端末装置11と音声再生サーバ21の間で音声通話用の通信セッションを確立する。ここで、第三者呼制御部178による通信セッション確立の詳細については、RFC3725の規程に従うため、詳細な説明を省略する。音声再生サーバ21から無線端末装置11に対して音声化されたワンタイムパスワードが送信された後、パスワード処理部180が、サービス提供サーバ16を経由してユーザが入力したパスワードを受信すると、生成したワンタイムパスワードと比較を行う。一致した場合には、認証実行部174に対し、認証が成功した旨を通知し、一方、一致しなかった場合には、認証が失敗した旨を通知する。
【0229】
そして、認証実行部174は、ステップS515での認証結果を確認し(S516)、認証に成功した場合には(ステップS516でYes)、ステップS517に進み、認証に失敗した場合には、ステップS510に戻り処理を繰り返す。
【0230】
ステップ517では、認証要求処理部175が、ユーザ認証の結果を伝えるため、ユーザ認証応答メッセージを生成し、送受信部183を介して、サービス提供サーバ16に送信し処理を終了する。
【0231】
ここで、ステップS517で送信するユーザ認証応答メッセージは、ユーザ認証の対象であるユーザのユーザIDと、認証を要求したサービス提供サーバ16のサーバIDと、ユーザ認証の実行結果と、実行した認証方式の認証レベルと、当該メッセージがユーザ認証要求に対する応答メッセージであることを意味するメッセージ識別子と、を含む。
【0232】
例えば、本実施形態においては、図27(ユーザ認証応答メッセージのボディ部55の概略図)に示すようなXML表現をボディ部55に含むSOAPメッセージを用いているが、このような態様に限定されるわけではない。
【0233】
ユーザ認証応答メッセージのボディ部55は、authenticateResponseタグが、ユーザ認証要求に対する応答メッセージであることを意味しており、user要素のuserid属性の値である「user0001」が、認証の対象となるユーザのユーザIDを示しており、serviceid属性の値である「service0001」が、認証を要求したサービス提供サーバ16のサーバIDを示している。また、user要素内において、result要素の値「ok」は、ユーザ認証の実行が成功したことを示しており、authlevel要素の値「4」は、実行された認証方式に対して定義された認証レベル(認証レベル欄172gで特定)を示している。
【0234】
一方、ステップS512からステップS516までの処理を繰り返し実行した後、候補レコード群に含まれるレコードが存在しなくなった場合には(ステップS510でNo)、ステップS511に進み、ステップS511では、認証要求処理部175は、ユーザ認証が失敗したことを伝えるため、ユーザ認証応答メッセージを生成し、サービス提供サーバ16へ送信し処理を終了する。
【0235】
ここで、ステップS511で送信するユーザ認証応答メッセージは、ユーザ認証の対象であるユーザのユーザIDと、認証を要求したサービス提供サーバ16のサーバIDと、ユーザ認証の実行結果と、当該メッセージがユーザ認証要求に対する応答メッセージであることを意味するメッセージ識別子と、を含む。
【0236】
例えば、本実施形態においては、図28(ユーザ認証応答メッセージのボディ部56の概略図)に示すようなXML表現をボディ部56に含むSOAPメッセージを用いているが、このような態様に限定されるわけではない。
【0237】
ユーザ認証応答メッセージのボディ部56は、authenticateResponseタグが、ユーザ認証要求に対する応答メッセージであることを意味しており、user要素のuserid属性の値である「user0001」が、認証の対象となるユーザのユーザIDを示しており、serviceid属性の値である「service0001」が、認証を要求したサービス提供サーバ16のIDを示している。また、user要素内において、result要素の値「failed」は、ユーザ認証の実行が失敗したことを示している。
【0238】
図29は、認証システム100で認証を行う際の処理を示すシーケンスである。
【0239】
本シーケンスにおいては、ユーザID「user0001」により識別されるユーザが、サービス提供サーバ16に対してサービス提供を要求した場合における、各装置における処理を示す。
【0240】
まず、通信装置10のユーザが、通信装置10の入力部106を介して、サービス提供サーバ16からサービスの提供を受けるためのサービス要求操作を実行すると(S520)。サービス要求生成部104が、サービス提供サーバ16に対してサービスの提供を要求するためのサービス要求メッセージを生成し、サービス通信部105が、送受信部108を介して、生成したサービス要求メッセージをサービス提供サーバ16に送信する(S521)。ここで、本実施形態においては、サービス要求メッセージは、HTTPのGETリクエストやPOSTリクエスト等を用いて記述されるが、このような態様に限定されるわけではない。
【0241】
サービス提供サーバ16では、第一の送受信部168を介して、サービス通信部105がサービス要求メッセージを受信すると、通信装置10へユーザIDの入力を求めるメッセージを送付する等の方法により、ユーザに対してユーザIDの入力を促し、ユーザを識別するためのユーザID「user0001」を取得する。続いて、認証要求送信部164が、ユーザの認証を要求するためのユーザ認証要求メッセージを生成して、第二の送受信部169を介して、生成したユーザ認証要求メッセージを認証サーバ17へ送信する(S522)。
【0242】
ここで、ユーザ認証要求メッセージは、ユーザのユーザID「user0001」と、サービス提供サーバ16の識別子「service0001」と、を含み、図21に示すユーザ認証要求メッセージのボディ部50に示すようなXML表現を含むSOAPメッセージ等として生成される。
【0243】
認証サーバ17は、送受信部183を介して、認証要求処理部175が認証要求メッセージを受信すると、受信した認証要求メッセージに含まれる識別子「user0001」で識別されるユーザが使用する装置の識別情報(ここでは、通信ID)を取得するために、ユーザ情報取得部177がユーザ情報要求メッセージを生成し、送受信部183を介してユーザ情報管理サーバ20へ送信する(S523)。
【0244】
ここで、ユーザ情報要求メッセージは、ユーザのユーザID「user0001」を含み、図22に示すユーザ情報要求メッセージのボディ部51に示すようなXML表現を含むSOAPメッセージ等として生成される。
【0245】
ユーザ情報管理サーバ20は、ユーザ情報通信部205が送受信部208を介してユーザ情報要求メッセージを受信すると、ユーザ情報管理部204が、受信したユーザ情報要求メッセージに含まれる識別子「user0001」をキーとしてユーザ情報テーブル202aのユーザID欄202bを検索して、このような識別子を格納しているレコードを特定する。そして、ユーザ情報管理部204は、特定したレコードから、無線端末装置11、ソフトフォン搭載装置13及びメッセンジャ搭載装置15の通信IDを取得する。例えば、図16の例では、無線端末装置11の通信IDとして「sip:0001_mobile@hitachi.com」を取得し、ソフトフォン搭載装置13の通信IDとして「sip:0001_phone@hitachi.com」を取得し、メッセンジャ搭載装置15の通信IDとして「sip:0001_im@hitachi.com」を取得する。そして、ユーザ情報管理部204は、取得した装置の通信IDと装置の種別とを特定する情報の組を含むユーザ情報応答メッセージを生成し、送受信部208を介して、ユーザ情報通信部205が生成したユーザ情報応答メッセージを認証サーバ17に送信する(S524)。
【0246】
ここで、ユーザ情報応答メッセージは、図23に示すユーザ情報応答メッセージのボディ部52に示すようなXML表現を含むSOAPメッセージ等として生成される。
【0247】
認証サーバ17は、送受信部183を介して、ユーザ情報取得部177がユーザ情報応答メッセージを受信すると、受信したユーザ情報応答メッセージに含まれる端末の種類と通信IDの組を、記憶部171に記憶し、記憶した各々の通信IDを有する装置のプレゼンス情報を取得するため、プレゼンス情報取得部176がプレゼンス情報要求メッセージを生成し、送受信部183を介してプレゼンスサーバ19へ送信する(S525)。
【0248】
ここで、プレゼンス情報要求メッセージは、図24のプレゼンス情報要求メッセージ53に示すようなSIPメッセージ等として生成される。図24に示すプレゼンス情報要求メッセージ53は、ソフトフォン搭載装置13のプレゼンス情報を要求するメッセージであるが、プレゼンス情報の取得を要求する各々の装置(無線端末装置11、メッセンジャ搭載装置15)についても同様にプレゼンス情報要求メッセージを生成して、各々プレゼンス情報管理サーバ20に送信する。
【0249】
プレゼンスサーバ19は、送受信部198を介して、プレゼンス情報通信部195がプレゼンス情報要求メッセージを受信すると、プレゼンス情報管理部194が、受信したプレゼンス情報要求メッセージに含まれる通信IDをキーとしてプレゼンス情報テーブル192aの通信ID欄192bを検索し、当該通信IDを持つ装置のプレゼンス情報をプレゼンス情報欄192cから取得する。
【0250】
例えば、プレゼンス情報管理部194は、図24に示すようなプレゼンス情報要求メッセージ53を受信した場合には、プレゼンス情報要求メッセージ53に含まれる通信ID「sip:0001_phone@hitachi.com」をキーとしてプレゼンス情報テーブル192aを検索して、対応するレコードのプレゼンス情報欄192cからプレゼンス情報として「通話可能/オフィス内」を取得する。
【0251】
そして、プレゼンスサーバ19は、プレゼンス情報通信部1071が、上記検索の結果得られたプレゼンス情報を含むプレゼンス情報通知メッセージを生成し、送受信部198を介して、認証サーバ17に送信する(S526)。
【0252】
ここで、プレゼンス情報通知メッセージは、図25のプレゼンス情報通知メッセージ54に示すようなSIPメッセージ(NOTIFYリクエスト)等として生成する。なお、図25に示すプレゼンス情報通知メッセージ54はソフトフォン搭載装置13のプレゼンス情報を通知するメッセージであるが、無線端末装置11、メッセンジャ搭載装置15のプレゼンス情報を通知するプレゼンス情報通知メッセージについても同様に生成すればよい。
【0253】
認証サーバ17は、送受信部183を介して、プレゼンス情報取得部176がプレゼンス情報通知メッセージを受信すると、受信したプレゼンス情報通知メッセージに含まれるユーザの装置のプレゼンス情報を取得し、図26に示すような取得プレゼンス情報テーブル43に格納する。
【0254】
続いて、認証サーバ17は、認証実行部174が、取得したプレゼンス情報が満足する認証方式を、認証ポリシーテーブル172aから選択する(S527)。例えば、取得したプレゼンス情報が、図26に示される取得プレゼンス情報テーブル43の二行目のレコードのように構成される場合、認証ポリシーテーブル172aの二行目のレコードのプレゼンス条件が満足されるため、認証方式欄172fから認証方式の実行スクリプトとして「schemeA」が選択される。
【0255】
そして、認証実行部174は、選択された認証方式のスクリプトに従い、パスワード処理部180がワンタイムパスワードの生成を行い(S528)、認証実行部174が送受信部183を介して音声再生サーバ21へ生成したワンタイムパスワードを予め定められたメッセージに含めて送信する(S529)。音声再生サーバ21は、送信データ受付部215が、送受信部219を介してワンタイムパスワードを含むメッセージを受信すると、音声処理部213が受信したワンタイムパスワードを音声化し、記憶部211に記憶する。
【0256】
続いて、認証サーバ17は、第三者呼制御部178が、無線端末装置11と音声再生サーバ21の間で音声通話用の通信セッションを確立する(S530)。なお、この処理についてはSIPに従うため、詳細な説明は省略する。
【0257】
そして、音声再生サーバ21は、セッション利用部214が、音声化したワンタイムパスワードを記憶部211から取得して、認証サーバ17の第三者呼制御部178により確立された通信セッションを用いて、ユーザの無線端末装置11に送信する(S531)。
【0258】
無線端末装置11は、送受信部119を介して音声化されたワンタイムパスワードを受信すると、当該ワンタイムパスワードを再生して、スピーカ121から出力する(S532)。
【0259】
ワンタイムパスワードの出力を受けたユーザは、通信装置10の入力部106を介してワンタイムパスワードを入力する(S533)。
【0260】
このようなワンタイムパスワードの入力を受け付けた通信装置10は、サービス通信部105が、ユーザにより入力されたワンタイムパスワードを、サービス提供サーバ16に送信する(S534)。
【0261】
サービス提供サーバ16は、第一の送受信部168を介してサービス通信部165が、ワンタイムパスワードを受信すると、サービス通信部1051が、受信したワンタイムパスワードを認証サーバ17へ転送する(S535)。
【0262】
認証サーバ17は、送受信部183を介してワンタイムパスワードを受信すると、パスワード処理部180がステップS528で生成したワンタイムパスワードと比較を行う(S536)。これらが一致する場合には、認証要求処理部175が、ユーザ認証の結果を伝えるため、ユーザ認証応答メッセージを生成して、送受信部183を介して、サービス提供サーバ16に送信する(S537)。
【0263】
ここで、ユーザ認証応答メッセージは、図27に示すユーザ認証応答メッセージのボディ部55に示すようなXML表現を含むSOAPメッセージ等により生成される。
【0264】
サービス提供サーバ16は、サービス通信部1051が、第二の送受信部169を介してユーザ認証応答メッセージを受信すると、認証要求送信部164が、受信したユーザ認証応答メッセージに含まれる認証結果および実行された認証方式の認証レベルを確認する。そして、認証要求送信部164が、認証結果が成功であることを示す「ok」を示す情報が含まれていることを確認すると、サービス提供部163が、確認した認証レベル(ここでは、レベル4)に対応するサービスを、通信装置10へ提供する(S538)。
【0265】
ここで、認証サーバ17から受信した認証レベルに応じてどのようなサービスが提供されるかは、サービス提供サーバ16において予め設定しておけばよい。
【0266】
即ち、サービス提供サーバ16が提供するサービスにおいて、特定のページ(画面)へのアクセスの許可を認証レベルで判断したり、特定の認証レベルをクリアした場合にのみ特定のサービスを提供したり、することが可能となる。例えば、サービス提供サーバ16がインターネットバンキングを提供するサーバであるとすると、認証レベルに応じて、取引できる内容を異なるものにすること(認証レベルに応じて取引できる範囲(残高照会、振り込み、引き出し等)を異なるものとしたり、認証レベルに応じて取引できる金額を異なるものとしたり)が可能となる。
【0267】
なお、図29に示すシーケンスでは、音声再生サーバ21より、無線端末装置11にワンタイムパスワードを送信する際の処理を示したが、例えば、音声再生サーバ21より、ソフトフォン搭載装置13にワンタイムパスワードを送信する際も同様の処理となる。
【0268】
図30は、認証システム100で認証を行う際の処理を示すシーケンスである。
【0269】
本シーケンスにおいては、ユーザID「user0002」により識別されるユーザが、サービス提供サーバ16に対してサービス提供を要求した場合における、各装置における処理を示す。
【0270】
まず、通信装置10のユーザが、通信装置10の入力部106を介して、サービス提供サーバ16からサービスの提供を受けるためのサービス要求操作を実行すると(S540)。サービス要求生成部104が、サービス提供サーバ16に対してサービスの提供を要求するためのサービス要求メッセージを生成し、サービス通信部105が、送受信部108を介して、生成したサービス要求メッセージをサービス提供サーバ16に送信する(S541)。ここで、本実施形態においては、サービス要求メッセージは、HTTPのGETリクエストやPOSTリクエスト等を用いて記述されるが、このような態様に限定されるわけではない。
【0271】
サービス提供サーバ16では、第一の送受信部168を介して、サービス通信部105がサービス要求メッセージを受信すると、通信装置10へユーザIDの入力を求めるメッセージを送付する等の方法により、ユーザに対してユーザIDの入力を促し、ユーザを識別するためのユーザID「user0002」を取得する。続いて、認証要求送信部164が、ユーザの認証を要求するためのユーザ認証要求メッセージを生成して、第二の送受信部169を介して、生成したユーザ認証要求メッセージを認証サーバ17へ送信する(S542)。
【0272】
ここで、ユーザ認証要求メッセージは、ユーザのユーザID「user0002」と、サービス提供サーバ16の識別子「service0001」を含む。
【0273】
認証サーバ17は、送受信部183を介して、認証要求処理部175が認証要求メッセージを受信すると、受信した認証要求メッセージに含まれる識別子「user0002」で識別されるユーザが使用する装置の識別情報を取得するために、ユーザ情報取得部177がユーザ情報要求メッセージを生成し、送受信部183を介してユーザ情報管理サーバ20へ送信する(S543)。
【0274】
ここで、ユーザ情報要求メッセージは、ユーザのユーザID「user0002」を含む。
【0275】
ユーザ情報管理サーバ20は、送受信部208を介して、ユーザ情報通信部205がユーザ情報要求メッセージを受信すると、ユーザ情報管理部204が、受信したユーザ情報要求メッセージに含まれる識別子「user0002」をキーとしてユーザ情報テーブル202aのユーザID欄202bを検索して、このような識別子を格納しているレコードを特定する。そして、ユーザ情報管理部204は、特定したレコードから、無線端末装置11、ソフトフォン搭載装置13及びメッセンジャ搭載装置15の通信IDを取得する。
【0276】
そして、ユーザ情報管理部204は、取得した通信IDと装置の種別とを特定する情報の組を含むユーザ情報応答メッセージを生成し、送受信部208を介して、ユーザ情報通信部205が生成したユーザ情報応答メッセージを認証サーバ17に送信する(S544)。
【0277】
認証サーバ17は、送受信部183を介して、ユーザ情報取得部177がユーザ情報応答メッセージを受信すると、受信したユーザ情報応答メッセージに含まれる端末の種類と通信IDの組を、記憶部171に記憶し、記憶した各々の通信IDを有する装置のプレゼンス情報を取得するため、プレゼンス情報取得部176がプレゼンス情報要求メッセージを生成し、送受信部183を介してプレゼンスサーバ19へ送信する(S545)。
【0278】
プレゼンスサーバ19は、送受信部198を介して、プレゼンス情報通信部195がプレゼンス情報要求メッセージを受信すると、プレゼンス情報管理部194が、受信したプレゼンス情報要求メッセージに含まれる通信IDをキーとしてプレゼンス情報テーブル192aの通信ID欄192bを検索し、当該通信IDを持つ装置のプレゼンス情報をプレゼンス情報欄192cから取得する。
【0279】
そして、プレゼンスサーバ19は、プレゼンス情報通信部1071が、上記検索の結果得られたプレゼンス情報を含むプレゼンス情報通知メッセージを生成し、送受信部198を介して、認証サーバ17に送信する(S546)。
【0280】
認証サーバ17は、送受信部183を介して、プレゼンス情報取得部176がプレゼンス情報通知メッセージを受信すると、受信したプレゼンス情報通知メッセージに含まれるユーザの装置のプレゼンス情報を取得し、図26に示すような取得プレゼンス情報テーブル43に格納する。
【0281】
続いて、認証サーバ17は、認証実行部174が、取得したプレゼンス情報が満足する認証方式を、認証ポリシーテーブル172aから選択する(S547)。例えば、ユーザID「user0002」により識別されるユーザが使用する装置については、無線端末装置11のプレゼンス情報が「通話不可能」で、ソフトフォン搭載装置13のプレゼンス情報が「通話不可能」で、メッセンジャ搭載装置15のプレゼンス情報が「オンライン」であるとすると、認証実行部174は、図9に示される認証ポリシーテーブル172aの五行目のレコードのプレゼンス条件が満足されるため、実行スクリプト欄172fから認証方式の実行スクリプトとして「schemeC」が選択される。
【0282】
次に、認証サーバ17のパスワード処理部180がワンタイムパスワードの生成を行い(S548)、認証実行部174がIM送信サーバ22へ生成したワンタイムパスワードを含むメッセージを送信する(S549)。
【0283】
IM送信サーバ22では、送信データ受付部224が、送受信部228を介してワンタイムパスワードを含むメッセージを受信すると、メッセージ処理部223が受信したワンタイムパスワードをテキストデータにして、記憶部221に記憶する。
【0284】
次に、IM送信サーバ22のSIP通信部225が、記憶部221に記憶したワンタイムパスワードをSIPのMESSAGEリクエストのボディ部へ含め、メッセンジャ搭載装置15へ送信する(S550)。
【0285】
メッセンジャ搭載装置15は、送受信部158を介してテキストデータ化されたワンタイムパスワードを受信すると、出力部157に受信したワンタイムパスワードを出力することで、ユーザに対して当該ワンタイムパスワードを表示する(S551)。
【0286】
ワンタイムパスワードの出力を受けたユーザは、通信装置10の入力部106を介してワンタイムパスワードを入力する(S552)。
【0287】
このようなワンタイムパスワードの入力を受け付けた通信装置10は、サービス通信部105が、ユーザにより入力されたワンタイムパスワードを、サービス提供サーバ16に送信する(S553)。
【0288】
サービス提供サーバ16は、第一の送受信部168を介してサービス通信部165がワンタイムパスワードを受信すると、サービス通信部1051が、受信したワンタイムパスワードを認証サーバ17へ転送する(S554)。
【0289】
認証サーバ17は、送受信部183を介してワンタイムパスワードを受信すると、パスワード処理部180がステップS548で生成したワンタイムパスワードと比較を行う(S555)。これらが一致する場合には、認証要求処理部175が、ユーザ認証の結果を伝えるため、ユーザ認証応答メッセージを生成して、送受信部183を介して、サービス提供サーバ16に送信する(S556)。
【0290】
サービス提供サーバ16は、サービス通信部1051が、第二の送受信部169を介してユーザ認証応答メッセージを受信すると、認証要求送信部164が、受信したユーザ認証応答メッセージに含まれる認証結果および実行された認証方式の認証レベルを確認する。そして、認証要求送信部164が、認証結果が成功であることを示す「ok」を示す情報が含まれていることを確認すると、サービス提供部163が、確認した認証レベル(ここでは、レベル1)に対応するサービスを、通信装置10へ提供する(S557)。ここで、認証サーバ17から受信した認証レベルに応じてどのようなサービスが提供されるかは、サービス提供サーバ16において予め設定しておけばよい。
【0291】
以上に記載した実施形態においては、認証用の装置として、無線端末装置11、ソフトフォン搭載装置13及びメッセンジャ搭載装置15を使用しているが、このような態様に限定されず、その他の装置を使用することも可能である。このようにその他の装置を使用する場合でも、認証用の装置は第二のネットワーク31を介してワンタイムパスワードを取得することができるものであることが必要である。なお、このような他の装置を用いる場合には、他の装置のユーザIDと通信IDをユーザ情報管理サーバ20に記憶しておき、他の装置のプレゼンス情報をプレゼンスサーバ19に記憶しておき、他の装置のプレゼンス情報に対応する認証ポリシーを認証サーバ17に記憶しておけばよい。また、このような他の装置にワンタイムパスワードを送信するために、音声再生サーバ21及びIM送信サーバ22以外のサーバを第二のネットワーク31に接続することも可能である。
【0292】
さらに、本実施形態においては、通信装置10以外の装置においてワンタイムパスワードを取得するようにしているが、このような態様に限定されず、通信装置10に第二のネットワーク31に接続することのできる送受信部を備えておくことで、通信装置10においてワンタイムパスワードを取得することも可能である。なお、通信装置10においてワンタイムパスワードを取得する場合には、通信装置10のユーザIDと通信IDをユーザ情報管理サーバ20に記憶しておき、通信装置10のプレゼンス情報をプレゼンスサーバ19に記憶しておき、通信装置10のプレゼンス情報に対応する認証ポリシーを認証サーバ17に記憶しておけばよい。
【0293】
以上に記載した実施形態においては、図19のステップS507及びステップS504に示すように、プレゼンス情報の要求に対して特定の期間が経過してもプレゼンスサーバ19からプレゼンス情報通知メッセージを受信できなかった場合には、ユーザ認証をエラーにしているが、このような態様に限定されず、例えば、プレゼンス情報通知メッセージを受信できなかった装置のプレゼンス情報を「不明」としてステップS508に進むようにしてもよい。また、認証を受けるユーザが使用する全ての装置のプレゼンス情報が特定の時間を経過しても取得できない場合には、ステップS504に進み認証エラーとし、一部の装置のプレゼンス情報が取得できない場合には、プレゼンス情報を取得できない装置のプレゼンス情報を「不明」として、ステップS508に進むようにしてもよい。
【0294】
また、以上に記載した実施形態においては、図20のステップS515で実行した認証方式において認証が成功しなかった場合には(S516でNo)、ステップS510に戻り他の認証方式を選択するようにされているが、このような態様に限定されず、例えば、認証が失敗した場合には、再び、ステップS515の認証処理を繰り返し行うようにすることも可能である。この場合には、ステップS515の認証処理を繰り返す回数を予め定めておき、このような回数を超えた場合には、ステップS510に戻るようにすることも可能であり、また、繰り返し行った回数に応じて、認証レベルが下がるようにすることも可能である。
【0295】
以上に記載した実施形態においては、認証処理を行うサーバとして、サービス提供サーバ16、認証サーバ17、プレゼンスサーバ19、ユーザ情報管理サーバ20、音声再生サーバ21及びIM送信サーバ22を用いたが、このような態様に限定されず、それぞれのサーバで行っている処理を他のサーバが行うことで、サーバの構成を変更することも可能である。例えば、認証サーバ17が、他の全てのサーバ又は他の一部のサーバの処理も行うことにより、サーバの数を減らすことも可能である。
【0296】
以上に記載した実施形態において、ユーザ側においてワンタイムパスワードを取得する装置として、携帯電話端末を使用することもできる。このような場合には、携帯電話端末の電話番号又はメールアドレスを通信IDとしてプレゼンス情報テーブル192a、ユーザ情報テーブル202aにおいて管理すればよく、音声再生サーバ21からは携帯電話端末の電話番号に発呼を行い、音声データを再生すればよく、また、IM送信サーバ22からは、携帯電話端末にワンタイムパスワードを含むメールを発信するようにすればよい。
【図面の簡単な説明】
【0297】
【図1】認証システムの概略図。
【図2】通信装置の概略図。
【図3】コンピュータの概略図。
【図4】無線端末装置の概略図。
【図5】ソフトフォン搭載装置の概略図。
【図6】メッセンジャ搭載装置の概略図。
【図7】サービス提供サーバの概略図。
【図8】認証サーバの概略図。
【図9】認証ポリシーテーブルの概略図。
【図10】スクリプトの概略図。
【図11】スクリプトの概略図。
【図12】スクリプトの概略図。
【図13】プレゼンスサーバの概略図。
【図14】プレゼンス情報テーブルの概略図。
【図15】ユーザ情報管理サーバの概略図。
【図16】ユーザ情報テーブルの概略図。
【図17】音声再生サーバの概略図。
【図18】IM送信サーバの概略図。
【図19】認証サーバの処理を示すフローチャート。
【図20】認証サーバの処理を示すフローチャート。
【図21】ユーザ認証要求メッセージのボディ部の概略図。
【図22】ユーザ情報要求メッセージのボディ部の概略図。
【図23】ユーザ情報応答メッセージのボディ部の概略図。
【図24】プレゼンス情報要求メッセージの概略図。
【図25】プレゼンス情報通知メッセージの概略図。
【図26】取得プレゼンス情報テーブルの概略図。
【図27】ユーザ認証応答メッセージのボディ部の概略図。
【図28】ユーザ認証応答メッセージのボディ部の概略図。
【図29】認証システムで認証を行う際の処理を示すシーケンス。
【図30】認証システムで認証を行う際の処理を示すシーケンス。
【符号の説明】
【0298】
100 認証システム
10 通信装置
101 記憶部
102 制御部
11 無線端末
111 記憶部
112 制御部
13 ソフトフォン搭載装置
131 記憶部
132 制御部
15 メッセンジャ搭載装置
151 記憶部
152 制御部
16 サービス提供サーバ
161 記憶部
162 制御部
17 認証サーバ
171 記憶部
173 制御部
19 プレゼンスサーバ
191 記憶部
193 制御部
20 ユーザ情報管理サーバ
201 記憶部
203 制御部
21 音声再生サーバ
211 記憶部
212 制御部
22 IM送信サーバ
221 記憶部
222 制御部
【技術分野】
【0001】
本発明は、サービスの提供を受けるユーザの認証を行う技術に関する。
【背景技術】
【0002】
インターネットの普及により、動画又は音声の配信、Webアプリケーション又はWebサイトの公開等、多種多様なサービスがネットワークを介してユーザに提供されている。そして、サービスの提供者がサービスのユーザを限定する必要がある場合には、サービスの提供に先立って、サービスを要求するユーザの正当性の確認、すなわち、ユーザ認証が行われる。
【0003】
最も一般的なユーザ認証方式として、ID(識別子:ユーザを一意に識別するための文字列)とパスワードを利用した方式が存在するが、ID及びパスワードを利用したユーザ認証方式の安全性を補強するために、例えば、特許文献1に記載されているような技術が知られている。
【0004】
特許文献1に記載の技術は、サービスの提供者側の認証計算機が、ユーザの端末1からある回線1を介してユーザまたはデータ入力装置のIDを受信した場合に、一時的に利用するパスワード(ワンタイムパスワード)を生成し、回線1とは異なる回線2を用いて、端末1とは異なる端末2(メールボックス、FAX受信装置、無線受信機、携帯電話等)へ送信する。このようなパスワードを受信したユーザは、回線1を介してパスワードを端末1から認証計算機へ送信する。
【0005】
そして、認証計算機は、自ら生成したワンタイムパスワードと、ユーザから受信したワンタイムパスワードと、が一致した場合にユーザの正当性を認める。
【0006】
【特許文献1】特開平10−341224号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
特許文献1に記載の技術は、二つの回線を用いることで、悪意を持った第三者による成りすましが行われる可能性を軽減している。
【0008】
しかしながら、特許文献1で示される技術は、回線2を介して通信する端末2の使用状況によって、ユーザ認証方式の実行を断念せざるを得ない場合がある。
【0009】
例えば、回線2として移動体通信網を利用し、端末2として携帯電話を利用した場合を考えると、この携帯電話が地下にある等の理由で、電波の受信が困難または不可能であるときには、ユーザはこの携帯電話を用いてワンタイムパスワードを受信することができず、認証を実行することができない。
【0010】
そこで、本発明は、ユーザ側の装置の使用状況に応じた認証を行うことのできる技術を提供することを目的とする。
【課題を解決するための手段】
【0011】
以上の課題を解決するために、本発明は、ユーザが認証する際に使用する装置のプレゼンス情報を取得して、取得したプレゼンス情報に応じて認証方式を選択する。
【0012】
例えば、本発明は、サービスの提供を受けるユーザの認証を行う認証サーバであって、前記ユーザが使用する装置の状況を特定するプレゼンス情報に対応する認証方式を特定する認証ポリシー情報を記憶する記憶部と、制御部と、を備え、前記制御部は、前記ユーザが使用する装置の状況を特定するプレゼンス情報を取得する処理と、取得したプレゼンス情報に対応する認証方式を前記認証ポリシー情報から特定する処理と、特定した認証方式により認証を実行する処理と、を行うこと、を特徴とする。
【発明の効果】
【0013】
以上のように、本発明によれば、ユーザ側の装置の使用状況に応じた認証を行うことができる技術を提供することができる。
【発明を実施するための最良の形態】
【0014】
図1は、本発明の一実施形態である認証システム100の概略図である。
【0015】
図示するように、認証システム100は、通信装置10と、無線端末装置11と、ソフトフォン搭載装置13と、メッセンジャ搭載装置15と、サービス提供サーバ16と、認証サーバ17と、プレゼンスサーバ19と、ユーザ情報管理サーバ20と、音声再生サーバ21と、IM送信サーバ22と、を備える。
【0016】
そして、通信装置10及びサービス提供サーバ16は、第一のネットワーク30を介して相互に情報を送受信することができるようにされており、無線端末装置11、ソフトフォン搭載装置13、メッセンジャ搭載装置15、サービス提供サーバ16、認証サーバ17、プレゼンスサーバ19、ユーザ情報管理サーバ20、音声再生サーバ21及びIM送信サーバ22は、第二のネットワーク31を介して相互に情報を送受信することができるようにされている。
【0017】
ここで、第一のネットワーク30と、第二のネットワーク31と、は、必ずしも物理的に異なるネットワークである必要性はないが、通信装置10及びサービス提供サーバ16の間で送受信する情報の通信経路と、無線端末装置11、ソフトフォン搭載装置13、メッセンジャ搭載装置15、サービス提供サーバ16、認証サーバ17、プレゼンスサーバ19、ユーザ情報管理サーバ20、音声再生サーバ21及びIM送信サーバ22の間で送受信する情報の通信経路と、は、プロトコルや伝送媒体等により異なる経路となるようにする。さらに、通信装置に近接した範囲を除いて一部も重なりが無く、悪意を持った者が同時に両ネットワーク上を流れる情報を手に入れることができない構成となっていることが望ましい。
【0018】
また、第一のネットワーク30よりも第二のネットワーク31の方が信頼性の高いネットワークであることが望ましい。
【0019】
例えば、本実施形態においては、第一のネットワーク30は、不特定多数のユーザがアクセス可能なネットワークであるインターネットであり、第二のネットワーク31は、回線認証機能を備え、通信データの改ざん、ユーザ又はサーバの成りすまし、等の不正行為が困難で、第一のネットワーク30よりも信頼性の高いネットワークであるNGN(Next Generation Network)であるが、このような態様に限定されるわけではない。
【0020】
なお、第二のネットワーク31は、NGNにおけるP−CSCF(Proxy-Call Session Control Function)、I−CSCF(Interrogating-Call Session Control Function)、S−CSCF(Serving-Call Session Control Function)のような複数のサーバにより通信が中継されているが、これらのサーバでの処理は公知のSIP(Session Initiation Protocol)およびIMS(IP Multimedia Subsystem)に従ったものであり、詳細な説明は省略する。
【0021】
図2は、通信装置10の概略図である。
【0022】
図示するように、通信装置10は、記憶部101と、制御部102と、入力部106と、出力部107と、送受信部108と、を備える。
【0023】
記憶部101には、通信装置10で処理を行うために必要な情報が記憶される。
【0024】
制御部102は、サービス利用部103と、サービス要求生成部104と、サービス通信部105と、を有する。
【0025】
サービス利用部103は、出力部107を介してユーザに対してサービスを利用するための入出力インタフェースを提供する処理を行う。
【0026】
サービス要求生成部104は、サービス提供サーバ16に対して、サービスを要求するためのメッセージを生成する処理を行う。
【0027】
サービス通信部105は、送受信部108及び第一のネットワーク30を介した情報の送受信処理を制御する。例えば、サービス通信部105としては、WebサイトやWebサービスを利用するためのHTTP(Hyper Text Transfer Protocol)通信を可能とするプロトコルスタックなどが考えられる。
【0028】
入力部106は、情報の入力を受け付ける。
【0029】
出力部107は、情報を出力する。
【0030】
送受信部108は、第一のネットワーク30を介した情報の送受信を行う。
【0031】
以上に記載した通信装置10は、例えば、図3(コンピュータ40の概略図)に示すような、CPU(Central Processing Unit)401と、メモリ402と、HDD(Hard Disk Drive)等の外部記憶装置403と、CD−ROM(Compact Disk Read Only Memory)やDVD−ROM(Digital Versatile Disk Read Only Memory)等の可搬性を有する記憶媒体404から情報を読み出す読取装置405と、キーボードやマウスなどの入力装置406と、ディスプレイなどの出力装置407と、通信ネットワークに接続するためのNIC(Network Interface Card)等の送受信装置408と、を備えた一般的なコンピュータ40で実現できる。
【0032】
例えば、記憶部101は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部102は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部106は、CPU401が入力装置406を利用することで実現可能であり、出力部107は、CPU401が出力装置407を利用することで実現可能であり、送受信部108は、CPU401が送受信装置408を利用することで実現可能である。
【0033】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0034】
図4は、無線端末装置11の概略図である。
【0035】
図示するように、無線端末装置11は、記憶部111と、制御部112と、入力部117と、出力部118と、送受信部119と、マイク120と、スピーカ121と、を備える。
【0036】
記憶部111には、無線端末装置11で処理を行うために必要な情報が記憶される。
【0037】
制御部112は、音声入出力部113と、セッション利用部114と、プレゼンス情報処理部115と、SIP通信部116と、を有する。
【0038】
音声入出力部113は、マイク120を介して、無線端末装置11のユーザからの音声の入力を受け付け、音声データを生成して後述するセッション利用部114に出力する。また、音声入出力部113は、セッション利用部114より入力された音声データを音声としてスピーカ121から出力する処理を行う。
【0039】
セッション利用部114は、SIP通信部116を介してSIPにより確立した通信セッション上で、音声データの入出力処理を行う。
【0040】
プレゼンス情報処理部115は、無線端末装置11の状況(例えば、オンライン又はオフライン等の通信状況)を監視し、当該状況に変化が生じた場合、所定の期間が経過した場合、または、入力部117を介してユーザより指示の入力を受け付けた場合に、予め定められたプレゼンス情報を生成し、SIP通信部116を介してプレゼンスサーバ19に生成したプレゼンス情報を送信する処理を行う。
【0041】
SIP通信部116は、SIPに従って、送受信部119及び第二のネットワーク31を介して、SIPメッセージを送受信する処理を行う。
【0042】
入力部117は、情報の入力を受け付ける。
【0043】
出力部118は、情報を出力する。
【0044】
送受信部119は、無線(電磁波)を介してアクセスポイント(図示せず)に接続することで、第二のネットワーク31を介した情報の送受信を行う。
【0045】
マイク120は、音声の入力を受け付ける。
【0046】
スピーカ121は、音声を出力する。
【0047】
以上に記載した無線端末装置11は、例えば、図3に示すようなコンピュータ40に、マイク(図示せず)及びスピーカ(図示せず)を接続することにより実現可能であるが、ここでの送受信装置408は、アンテナ及び無線処理装置(RF部、MAC処理部及びベースバンド処理部等)を備える無線LAN装置を用いればよい。
【0048】
例えば、記憶部111は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部112は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部117は、CPU401が入力装置406を利用することで実現可能であり、出力部118は、CPU401が出力装置407を利用することで実現可能であり、送受信部119は、CPU401が送受信装置408を利用することで実現可能である。
【0049】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0050】
図5は、ソフトフォン搭載装置13の概略図である。
【0051】
図示するように、ソフトフォン搭載装置13は、記憶部131と、制御部132と、入力部137と、出力部138と、送受信部139と、マイク140と、スピーカ141と、を備える。
【0052】
記憶部131には、ソフトフォン搭載装置13で処理を行うために必要な情報が記憶される。
【0053】
制御部132は、音声入出力部133と、セッション利用部134と、プレゼンス情報処理部135と、SIP通信部136と、を有する。
【0054】
音声入出力部133は、マイク140を介して、ソフトフォン搭載装置13のユーザからの音声の入力を受け付け、音声データを生成して後述するセッション利用部134に出力する。また、音声入出力部133は、セッション利用部134より入力された音声データを音声としてスピーカ141から出力する処理を行う。
【0055】
セッション利用部134は、SIP通信部136を介してSIPにより確立した通信セッション上で、音声データの入出力処理を行う。
【0056】
プレゼンス情報処理部135は、ソフトフォン搭載装置13の状況(例えば、オンライン又はオフライン等の通信状況)を監視し、当該状況に変化が生じた場合、所定の期間が経過した場合、または、入力部137を介してユーザより指示の入力を受け付けた場合に、予め定められたプレゼンス情報を生成し、SIP通信部136を介してプレゼンスサーバ18に生成したプレゼンス情報を送信する処理を行う。
【0057】
SIP通信部136は、SIPに従って、送受信部139及び第二のネットワーク31を介して、SIPメッセージを送受信する処理を行う。
【0058】
入力部137は、情報の入力を受け付ける。
【0059】
出力部138は、情報を出力する。
【0060】
送受信部139は、第二のネットワーク31を介した情報の送受信を行う。
【0061】
マイク140は、音声の入力を受け付ける。
【0062】
スピーカ141は、音声を出力する。
【0063】
以上に記載したソフトフォン搭載装置13は、例えば、図3に示すようなコンピュータ40に、マイク(図示せず)及びスピーカ(図示せず)を接続することにより実現できる。
【0064】
例えば、記憶部131は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部132は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部137は、CPU401が入力装置406を利用することで実現可能であり、出力部138は、CPU401が出力装置407を利用することで実現可能であり、送受信部139は、CPU401が送受信装置408を利用することで実現可能である。
【0065】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0066】
図6は、メッセンジャ搭載装置15の概略図である。
【0067】
メッセンジャ搭載装置15は、記憶部151と、制御部152と、入力部156と、出力部157と、送受信部158と、を備える。
【0068】
記憶部151には、メッセンジャ搭載装置15で処理を行うために必要な情報が記憶される。
【0069】
制御部152は、メッセージ入出力部153と、プレゼンス情報処理部154と、SIP通信部155と、を有する。
【0070】
メッセージ入出力部153は、メッセンジャ搭載装置15のユーザから入力部156を介してテキストデータの入力を受け付け、入力されたテキストデータをSIPのMESSAGEリクエストとしてSIP通信部155へ出力する処理を行う。また、メッセージ入出力部153は、SIP通信部155より入力されたMESSAGEリクエストからテキストデータを抽出して、出力部157に出力する処理を行う。
【0071】
プレゼンス情報処理部154は、メッセンジャ搭載装置15の状況(例えば、オンライン又はオフライン)を監視し、当該状況に変化が生じた場合、所定の期間が経過した場合、または、入力部156を介してユーザより指示の入力を受け付けた場合に、予め定められたプレゼンス情報を生成し、SIP通信部155を介してプレゼンスサーバ18に生成したプレゼンス情報を送信する処理を行う。
【0072】
SIP通信部155は、SIPに従って、送受信部158及び第二のネットワーク31を介して、SIPメッセージを送受信する処理を行う。
【0073】
入力部156は、情報の入力を受け付ける。
【0074】
出力部157は、情報を出力する。
【0075】
送受信部158は、第二のネットワーク31を介した情報の送受信を行う。
【0076】
以上に記載したメッセンジャ搭載装置15は、例えば、図3に示すようなコンピュータ40により実現できる。
【0077】
例えば、記憶部151は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部152は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部156は、CPU401が入力装置406を利用することで実現可能であり、出力部157は、CPU401が出力装置407を利用することで実現可能であり、送受信部158は、CPU401が送受信装置408を利用することで実現可能である。
【0078】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0079】
図7は、サービス提供サーバ16の概略図である。
【0080】
サービス提供サーバ16は、記憶部161と、制御部162と、入力部166と、出力部167と、第一の送受信部168と、第二の送受信部169と、を備える。
【0081】
記憶部161には、サービス提供サーバ16で処理を行うために必要な情報が記憶される。
【0082】
制御部162は、サービス提供部163と、認証要求送信部164と、サービス通信部165と、を有する。
【0083】
サービス提供部163は、通信装置10に対して要求されたサービスを提供する処理を行う。
【0084】
認証要求送信部164は、通信装置10から特定のサービスの提供を要求された際に、第二の送受信部169及び第二のネットワーク31を介して、認証サーバ17に予め定められた認証要求メッセージを送信する処理を行う。
【0085】
サービス通信部165は、第一の送受信部168及び第一のネットワーク30を介して、通信装置10に対してサービスを提供するのに必要な情報を送受信する処理を行う。例えば、サービス通信部165としては、WebサイトやWebサービスを提供するためのHTTP通信を可能とするプロトコルスタック等として構成することができる。
【0086】
入力部166は、情報の入力を受け付ける。
【0087】
出力部167は、情報を出力する。
【0088】
第一の送受信部168は、第一のネットワーク30を介した情報の送受信を行う。
【0089】
第二の送受信部169は、第二のネットワーク31を介した情報の送受信を行う。
【0090】
以上に記載したサービス提供サーバ16は、例えば、図3に示すようなコンピュータ40により実現できる。
【0091】
例えば、記憶部161は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部162は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部166は、CPU401が入力装置406を利用することで実現可能であり、出力部167は、CPU401が出力装置407を利用することで実現可能であり、第一の送受信部168及び第二の送受信部169は、CPU401が送受信装置408を利用することで実現可能である。
【0092】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0093】
図8は、認証サーバ17の概略図である。
【0094】
認証サーバ17は、記憶部171と、制御部173と、入力部181と、出力部182と、送受信部183と、を備える。
【0095】
記憶部171は、認証ポリシー情報記憶領域172を有する。
【0096】
認証ポリシー情報記憶領域172には、サービス提供サーバ16毎に、当該サービス提供サーバ16からの認証要求に対する認証条件と、当該認証条件における認証方式と、当該認証条件における認証レベルと、を特定する情報が格納される。
【0097】
例えば、本実施形態においては、図9(認証ポリシーテーブル172aの概略図)に示すような認証ポリシーテーブル172aが認証ポリシー情報記憶領域172に記憶される。
【0098】
認証ポリシーテーブル172aは、サービス提供サーバID欄172bと、無線端末装置欄172cと、ソフトフォン欄172dと、メッセンジャ欄172eと、実行スクリプト欄172fと、認証レベル欄172gと、を有する。
【0099】
サービス提供サーバID欄172bには、サービス提供サーバを一意に識別するための識別情報(ここでは、サービス提供サーバID)が格納される。
【0100】
一つのサービス提供サーバIDには一つ以上の認証方式がレコード(テーブルの行)の形で関連付けられる。認証方式は、当該認証方式が選択される場合の条件と、実際に実行される手順を表す実行スクリプトと、実行に成功した場合にサービス提供サーバに通知される認証レベル、の組で構成される。
【0101】
無線端末装置欄172c、ソフトフォン欄172d及びメッセンジャ欄172eには、当該レコードに対応する認証方式が選択されるための条件(それぞれの装置のプレゼンス情報に関する条件)を定義するための値が格納される。
【0102】
具体的には、無線端末装置欄172cには、無線端末装置11の状況を特定する情報(プレゼンス情報)が格納される。なお、「*」の記号が格納されている場合には、任意の状況を示すもの(全ての状況に該当するもの)とする。
【0103】
ソフトフォン欄172dには、ソフトフォン搭載装置13の状況を特定する情報(プレゼンス情報)が格納される。なお、「*」の記号が格納されている場合には、任意の状況を示すもの(全ての状況に該当するもの)とする。
【0104】
メッセンジャ欄172eには、メッセンジャ搭載装置15の状況を特定する情報(プレゼンス情報)が格納される。なお、「*」の記号が格納されている場合には、任意の状況を示すもの(全ての状況に該当するもの)とする。
【0105】
実行スクリプト欄172fには、サービス提供サーバID欄172bで特定されるサービス提供サーバ16からの認証要求に対して、認証を行うユーザが備える各々の装置の状況が、無線端末装置欄172c、ソフトフォン欄172d及びメッセンジャ欄172eで特定されるプレゼンス条件を満たす場合に、認証方式を実行するための手順が格納されている。例えば、本実施形態においては、実行スクリプト欄172fには、実行スクリプトの名称と、認証方式として具体的に実行するスクリプトを特定する情報と、が格納される。
【0106】
ここで、図10(スクリプト40の概略図)は、実行スクリプト欄172fにおいて、「schemeA」の名称で識別されるスクリプト40である。図11(スクリプト41の概略図)は、実行スクリプト欄172fにおいて、「schemeB」の名称で識別されるスクリプト41である。図12(スクリプト42の概略図)は、実行スクリプト欄172fにおいて、「schemeC」の名称で識別されるスクリプト42である。これらのスクリプトが、実行スクリプト欄172fの対応するレコードに格納される。
【0107】
図9に戻り、認証レベル欄172gには、サービス提供サーバID欄172bで特定されるサービス提供サーバ16からの認証要求に対して、認証を行うユーザが備える各々の装置の状況が、無線端末装置欄172c、ソフトフォン欄172d及びメッセンジャ欄172eで特定されるプレゼンス条件を満して、実行スクリプト欄172fで特定される認証が行われた場合の、認証レベル(認証の強度)を特定する情報が格納される。
【0108】
ここで、本実施形態においては、認証レベル欄172gに格納される認証レベルの値が大きいほど、同じレコードで特定される認証方式の認証強度が高いことを示している。本実施形態においては、認証方式「schemeA」が最も認証強度の高い方式であり、認証方式「schemeC」が最も認証強度の低い方式として定義されている。
【0109】
なお、認証ポリシーテーブル172aに格納される認証ポリシーは、各々のサービス提供サーバ16において定義され、ユーザの認証に先立って当該認証ポリシーテーブル172aに格納されるものとする。認証ポリシーを登録する方法としては、認証サーバ17がサービス提供サーバ16へ公開するWebアプリケーションやWebサービス等を利用する、または、サービス提供サーバ16から認証サーバ17へ、書面やメール等による通知を元に、認証サーバ17の側で登録処理を行う、等の方法があるが、これらに限定されるわけではない。
【0110】
制御部173は、認証実行部174と、認証要求処理部175と、プレゼンス情報取得部176と、ユーザ情報取得部177と、第三者呼制御部178と、IM制御部179と、パスワード処理部180と、を有する。
【0111】
認証実行部174は、認証ポリシーテーブル172aから認証方式を選択して、選択した認証方式に対応する実行スクリプトに従い認証を実行する。
【0112】
認証要求処理部175は、サービス提供サーバ16から認証要求メッセージを受信する処理を行う。
【0113】
プレゼンス情報取得部176は、プレゼンスサーバ19より、無線端末装置11、ソフトフォン搭載装置13及びメッセンジャ搭載装置15の少なくとも一つ以上の装置のプレゼンス情報を取得する処理を行う。
【0114】
ユーザ情報取得部177は、ユーザ情報管理サーバ20より、認証を行うユーザの無線端末装置11、ソフトフォン搭載装置13及びメッセンジャ搭載装置104の少なくとも一つ以上の装置の通信ID(電話番号やIPアドレス、SIP−URI等、通信を行うために必要な識別子)を取得する処理を行う。
【0115】
第三者呼制御部178は、無線端末装置11又はソフトフォン搭載装置13と音声再生サーバ21との間でSIPによる通信セッションを確立する処理を行う。
【0116】
IM制御部179は、IM送信サーバ22に対して、認証を行うユーザが使用するメッセンジャ搭載装置15に対してインスタントメッセージを送信するよう指示する処理を行う。
【0117】
パスワード処理部180は、擬似乱数生成等の方法を用いてワンタイムパスワードを生成し、音声再生サーバ21又はIM送信サーバへ送信する処理を行う。
【0118】
入力部181は、情報の入力を受け付ける。
【0119】
出力部182は、情報を出力する。
【0120】
送受信部183は、第二のネットワーク31を介した情報の送受信を行う。
【0121】
以上に記載した認証サーバ17は、例えば、図3に示すようなコンピュータ40により実現できる。
【0122】
例えば、記憶部171は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部173は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部181は、CPU401が入力装置406を利用することで実現可能であり、出力部182は、CPU401が出力装置407を利用することで実現可能であり、送受信部183は、CPU401が送受信装置408を利用することで実現可能である。
【0123】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0124】
図13は、プレゼンスサーバ19の概略図である。
【0125】
プレゼンスサーバ19は、記憶部191と、制御部193と、入力部196と、出力部197と、送受信部198と、を備える。
【0126】
記憶部191は、プレゼンス情報記憶領域192を有する。
【0127】
プレゼンス情報記憶領域192には、認証を受けるユーザ側の装置から送信されてくる状況を特定する情報(プレゼンス情報)を特定する情報が記憶される。
【0128】
例えば、本実施形態においては、図14(プレゼンス情報テーブル192aの概略図)に示すようなプレゼンス情報テーブル192aがプレゼンス情報記憶領域192に記憶される。
【0129】
プレゼンス情報テーブル192aは、通信ID欄192bと、プレゼンス情報欄192cと、を有する。
【0130】
通信ID欄192bには、無線端末装置11、ソフトフォン搭載装置13、メッセンジャ搭載装置15等といった、ユーザにより使用される装置の通信IDを特定する情報が格納される。
【0131】
プレゼンス情報欄192には、通信ID欄192bで特定される装置の状況を特定する情報(プレゼンス情報)が格納される。
【0132】
図13に戻り、制御部193は、プレゼンス情報管理部194と、プレゼンス情報通信部195と、を有する。
【0133】
プレゼンス情報管理部194は、送受信部198を介して、無線端末装置11、ソフトフォン搭載装置13又はメッセンジャ搭載装置15からプレゼンス情報を受信し、受信したプレゼンス情報をプレゼンス情報テーブル192aに格納する処理を行う。
【0134】
プレゼンス情報通信部195は、認証サーバ17からの要請に応じて、無線端末装置11、ソフトフォン搭載装置13又はメッセンジャ搭載装置15のプレゼンス情報を、送受信部198を介して、認証サーバ17に送信する処理を行う。
【0135】
入力部196は、情報の入力を受け付ける。
【0136】
出力部197は、情報を出力する。
【0137】
送受信部198は、第二のネットワーク31を介した情報の送受信を行う。
【0138】
以上に記載したプレゼンスサーバ19は、例えば、図3に示すようなコンピュータ40により実現できる。
【0139】
例えば、記憶部191は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部193は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部196は、CPU401が入力装置406を利用することで実現可能であり、出力部197は、CPU401が出力装置407を利用することで実現可能であり、送受信部198は、CPU401が送受信装置408を利用することで実現可能である。
【0140】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0141】
図15は、ユーザ情報管理サーバ20の概略図である。
【0142】
ユーザ情報管理サーバ20は、記憶部201と、制御部203と、入力部206と、出力部207と、送受信部208と、を備える。
【0143】
記憶部201は、ユーザ情報記憶領域202を有する。
【0144】
ユーザ情報記憶領域202には、認証を行うユーザ毎に、当該ユーザが使用する装置の通信IDを特定する情報が記憶される。
【0145】
例えば、本実施形態においては、図16(ユーザ情報テーブル202aの概略図)に示すようなユーザ情報テーブル202aがユーザ情報記憶領域202に記憶される。
【0146】
ユーザ情報テーブル202aは、ユーザID欄202bと、無線端末装置欄202cと、ソフトフォン欄202dと、メッセンジャ欄202eと、を有する。
【0147】
ユーザID欄202bには、認証システム100においてユーザを一意に識別するための識別情報(ここでは、ユーザID)が格納される。
【0148】
無線端末装置欄202cには、ユーザID欄202bで特定されるユーザが使用する無線端末装置11の通信IDを特定する情報が格納される。
【0149】
ソフトフォン欄202dには、ユーザID欄202bで特定されるユーザが使用するソフトフォン搭載装置13の通信IDを特定する情報が格納される。
【0150】
メッセンジャ欄202eには、ユーザID欄202bで特定されるユーザが使用するメッセンジャ搭載装置15の通信IDを特定する情報が格納される。
【0151】
図15に戻り、制御部203は、ユーザ情報管理部204と、ユーザ情報通信部205と、を有する。
【0152】
ユーザ情報管理部204は、無線端末装置11、ソフトフォン搭載装置13及びメッセンジャ搭載装置15の通信IDをユーザ情報テーブル202aに格納、変更、削除等する処理と、ユーザ情報通信部205からの指示に応じて、特定のユーザが使用する装置の通信IDをユーザ情報テーブル202aから取得してユーザ情報通信部205に出力する処理と、を行う。
【0153】
ユーザ情報通信部205は、認証サーバ17からの要請に応じて、特定のユーザが使用する装置の通信IDを、送受信部208を介して認証サーバ17に送信する処理を行う。
【0154】
入力部206は、情報の入力を受け付ける。
【0155】
出力部207は、情報を出力する。
【0156】
送受信部208は、第二のネットワーク31を介した情報の送受信を行う。
【0157】
以上に記載したユーザ情報管理サーバ20は、例えば、図3に示すようなコンピュータ40により実現できる。
【0158】
例えば、記憶部201は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部203は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部206は、CPU401が入力装置406を利用することで実現可能であり、出力部207は、CPU401が出力装置407を利用することで実現可能であり、送受信部208は、CPU401が送受信装置408を利用することで実現可能である。
【0159】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0160】
図17は、音声再生サーバ21の概略図である。
【0161】
音声再生サーバ21は、記憶部211と、制御部212と、入力部217と、出力部218と、送受信部219と、を備える。
【0162】
記憶部211には、音声再生サーバ21で処理を行うために必要な情報が格納される。
【0163】
制御部212は、音声処理部213と、セッション利用部214と、送信データ受付部215と、SIP通信部216と、を有する。
【0164】
音声処理部213は、送信データ受付部215が送受信部219を介して受信したワンタイムパスワードを音声データにして記憶部211に記憶し、セッション利用部214に出力する処理を行う。
【0165】
セッション利用部214は、送受信部219を介して、無線端末装置11又はソフトフォン搭載装置13との間で、SIPにより確立した通信セッション上で、音声データを送受信する処理を行う。
【0166】
送信データ受付部215は、認証サーバ17よりワンタイムパスワードを受信する処理を行う。
【0167】
SIP通信部216は、無線端末装置11又はソフトフォン搭載装置13との間で、第二のネットワーク31を介して、SIPメッセージを送受信する処理を行う。
【0168】
入力部217は、情報の入力を受け付ける。
【0169】
出力部218は、情報を出力する。
【0170】
送受信部219は、第二のネットワーク31を介した情報の送受信を行う。
【0171】
以上に記載した音声再生サーバ21は、例えば、図3に示すようなコンピュータ40により実現できる。
【0172】
例えば、記憶部211は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部212は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部217は、CPU401が入力装置406を利用することで実現可能であり、出力部218は、CPU401が出力装置407を利用することで実現可能であり、送受信部219は、CPU401が送受信装置408を利用することで実現可能である。
【0173】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0174】
図18は、IM送信サーバ22の概略図である。
【0175】
IM送信サーバ22は、記憶部221と、制御部222と、入力部226と、出力部227と、送受信部228と、を備える。
【0176】
記憶部221には、IM送信サーバ22で処理を行うために必要な情報が格納される。
【0177】
制御部222は、メッセージ処理部223と、送信データ受付部224と、SIP通信部225と、を有する。
【0178】
メッセージ処理部223は、送信データ受付部224で受信したワンタイムパスワードをボディ部に含むSIPのMESSAGEリクエストを生成する処理を行う。
【0179】
送信データ受付部224は、送受信部228を介して、認証サーバ17よりワンタイムパスワードを受信する処理を行う。
【0180】
SIP通信部225は、無線端末装置11又はソフトフォン搭載装置13との間で、第二のネットワーク31を介して、SIPメッセージを送受信する処理を行う。
【0181】
入力部226は、情報の入力を受け付ける。
【0182】
出力部227は、情報を出力する。
【0183】
送受信部228は、第二のネットワーク31を介した情報の送受信を行う。
【0184】
以上に記載したIM送信サーバ22は、例えば、図3に示すようなコンピュータ40により実現できる。
【0185】
例えば、記憶部221は、CPU401がメモリ402又は外部記憶装置403を利用することにより実現可能であり、制御部222は、外部記憶装置403に記憶されている所定のプログラムをメモリ402にロードしてCPU401で実行することで実現可能であり、入力部226は、CPU401が入力装置406を利用することで実現可能であり、出力部227は、CPU401が出力装置407を利用することで実現可能であり、送受信部228は、CPU401が送受信装置408を利用することで実現可能である。
【0186】
この所定のプログラムは、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、外部記憶装置403にダウンロードされ、それから、メモリ402上にロードされてCPU401により実行されるようにしてもよい。また、読取装置405を介して記憶媒体404から、あるいは、送受信装置408を介してネットワークから、メモリ402上に直接ロードされ、CPU401により実行されるようにしてもよい。
【0187】
図19及び図20は、認証サーバ17の処理を示すフローチャートである。
【0188】
まず、認証サーバ17の認証要求処理部175が、送受信部183を介して、ユーザ認証要求メッセージを受信すると(S500でYes)、受信したメッセージに含まれるユーザID及びサーバIDを取得する(S501)。
【0189】
ここで、ユーザ認証要求メッセージは、認証を要求する対象となるユーザのユーザIDと、認証を要求するサービス提供サーバ16のサーバIDと、当該メッセージがユーザ認証を要求するメッセージであることを意味するメッセージ識別子と、を含む。
【0190】
例えば、本実施形態においては、図21(ユーザ認証要求メッセージのボディ部50の概略図)に示すようなXML表現をボディ部50に含むSOAP(Simple Object Access Protocol)メッセージを用いているが、このような態様に限定されるわけではない。なお、図21の左端の数字は行数を特定するためのメモリであって、ボディ部50の一部を構成するものではない。
【0191】
ここで、ユーザ認証要求メッセージのボディ部50は、authenticateRequestタグが、ユーザ認証を要求するメッセージであることを意味しており、user要素のuserid属性の値である「user0001」が、認証の対象となるユーザのユーザIDを示しており、serviceid属性の値である「service0001」が、認証を要求するサービス提供サーバ16のサーバIDを示している。
【0192】
図19に戻り、次に、認証サーバ17のユーザ情報取得部177が、ステップS500で取得したユーザIDで特定されるユーザについて、使用端末の種類と通信IDの組を取得するためのユーザ情報要求メッセージを生成し、生成したメッセージをユーザ情報管理サーバ20へ送信する(S502)。
【0193】
ここで、ユーザ情報要求メッセージは、ユーザ情報を取得する対象となるユーザのユーザIDと、当該メッセージがユーザ情報の取得を要求するメッセージであることを意味するメッセージ識別子と、を含む。
【0194】
例えば、本実施形態においては、図22(ユーザ情報要求メッセージのボディ部51の概略図)に示すようなXML表現をボディ部51に含むSOAPメッセージを用いているが、このような態様に限定されるわけではない。なお、図22の左端の数字は行数を特定するためのメモリであって、ボディ部51の一部を構成するものではない。
【0195】
ユーザ情報要求メッセージのボディ部51は、getUserInfoRequestタグが、ユーザ情報を要求するメッセージであることを意味しており、user要素のuserid属性の値である「user0001」が、ユーザ情報を取得する対象となるユーザのユーザIDを示している。
【0196】
図19に戻り、ユーザ情報取得部177は、ステップS502で送信したユーザ情報要求メッセージの応答メッセージの受信を待ち受けており(S503)、ユーザ情報要求メッセージに対するユーザ情報管理サーバ20からの応答が、予め定められた時間が経過しても得られない場合には(S503でNo)、認証実行部174は、認証処理が失敗したことを示すエラーメッセージを生成し、サービス提供サーバ16に送信して(S504)、処理を終了する。
【0197】
一方、予め定められた時間内に、ユーザ情報取得部177が、送受信部183を介して、ユーザ情報管理サーバ20からユーザ情報応答メッセージを受信した場合は(S503でYes)、ユーザ情報取得部177は、受信した応答メッセージに含まれるユーザの装置の種類と通信IDの組を、記憶部171に記憶する(S505)。
【0198】
ここで、ユーザ情報応答メッセージは、ユーザの端末の種類及び通信IDの組と、当該メッセージがユーザ情報要求に対する応答メッセージであることを意味するメッセージ識別子と、を含む。
【0199】
例えば、本実施形態においては、図23(ユーザ情報応答メッセージのボディ部52の概略図)に示すようなXML表現をボディ部52に含むSOAPメッセージを用いているが、このような態様に限定されるわけではない。なお、図23の左端の数字は行数を特定するためのメモリであって、ボディ部52の一部を構成するものではない。
【0200】
ユーザ情報応答メッセージのボディ部52は、getUserInfoResponseタグが、ユーザ情報要求に対する応答メッセージであることを意味しており、user要素のuserid属性の値である「user0001」が、ユーザ情報の主体であるユーザのユーザIDを示している。また、各device要素のdeviceid属性の値(「mobile」、「phone」、「im」)は、そのdevice要素が示す通信IDがどの端末に対応するものかを示し、各device要素の値は、端末に割り当てられた通信IDを示す。例えば、図23の例では、ユーザ「user0001」は端末種別「mobile」に対応する無線端末装置11と、「phone」に対応するソフトフォン搭載装置13と、「im」に対応するメッセンジャ搭載装置15を保有しており、それぞれの装置の通信IDは「sip:0001_mobile@hitachi.com」、「sip:0001_phone@hitachi.com」、「sip:0001_im@hitachi.com」であること、を示している。
【0201】
図19に戻り、次に、認証サーバ17のプレゼンス情報取得部176は、ステップS505で取得された通信IDで特定される全ての装置のプレゼンス情報を要求するプレゼンス情報要求メッセージを生成して、生成したメッセージをプレゼンスサーバ19に送信する(S506)。
【0202】
ここで、プレゼンス情報要求メッセージは、ユーザが使用する装置の通信IDと、当該メッセージがプレゼンス情報の取得を要求するメッセージであることを意味するメッセージ識別子と、を含んだメッセージである。
【0203】
例えば、本実施形態においては、プレゼンスサーバ19がSIP/SIMPLE(SIP Instant Messaging and Presence Language Extensions)に準拠しており、プレゼンス情報要求メッセージは、図24(プレゼンス情報要求メッセージ53の概略図)に示すようにSIPメッセージの「SUBSCRIBEリクエスト」を用いているが、このような態様に限定されるわけではない。なお、図24の左端の数字は行数を特定するためのメモリであって、メッセージの一部を構成するものではない。
【0204】
プレゼンス情報要求メッセージ53は、5行目のToタグに、ユーザ「user0001」のソフトフォン搭載装置13の通信IDである「sip:0001_phone@hitachi.com」を含んでおり、当該メッセージが当該通信IDを持つ通信装置のプレゼンス情報を要求することを示している。
【0205】
SIPのSUBSCRIBEリクエストの詳細についてはRFC3265の規定に従うため、詳細な説明は省略する。
【0206】
なお、本実施形態においては、一つの装置に対してプレゼンス情報要求メッセージ53を生成するようにしているため、無線端末装置11及びメッセンジャ搭載装置15のプレゼンス情報を要求するためのプレゼンス要求メッセージについても、それぞれ同様のSIPメッセージとして生成することができる。
【0207】
また、本発明におけるプレゼンス情報要求メッセージは、SIPのSUBSCRIBEリクエストに限定されるものではなく、各種の標準で規定されたメッセージ、あるいは独自に規定したメッセージを使用してもよい。例えば、プレゼンスサーバ19がParlay XのPresenceConsumerインタフェースを備えるWebサービスとして実装されていた場合には、当該メッセージとしてParlay Xの仕様に準拠したSOAPメッセージ等を利用することができる。
【0208】
図19に戻り、プレゼンス情報取得部176は、ステップS506で送信したプレゼンス情報要求メッセージの応答メッセージの受信を待ち受けており(S507)、プレゼンス情報要求メッセージに対するプレゼンスサーバ19からの応答が、予め定められた時間が経過しても得られない場合には(S507でNo)、認証実行部174は、認証処理が失敗したことを示すエラーメッセージを生成し、サービス提供サーバ16に送信して(S504)、処理を終了する。
【0209】
一方、予め定められた時間内に、プレゼンス情報取得部176が、送受信部183を介して、ユーザ情報管理サーバ20からユーザ情報応答メッセージを受信した場合は(S507でYes)、プレゼンス情報取得部176は、プレゼンス情報通知メッセージから通信IDとプレゼンス情報の組を取得して、ステップS505で記憶した、装置と通信IDの組を利用して、取得したプレゼンス情報がどの装置のプレゼンス情報であるかを特定して、記憶部171に記憶して(S508)、ステップS509に進む。
【0210】
ここで、プレゼンス情報通知メッセージは、ユーザが使用する装置の通信IDと、当該メッセージがプレゼンス情報の応答メッセージであることを意味するメッセージ識別子と、ユーザが使用する装置の状況を特定する情報(プレゼンス情報)と、を含む。
【0211】
例えば、本実施形態においては、プレゼンスサーバ19が、SIP/SIMPLEに準拠しており、プレゼンス情報通知メッセージは、図25(プレゼンス情報通知メッセージ54の概略図)に示すようなSIPのNOTIFYリクエストを用いているが、このような態様に限定されるわけではない。なお、図25の左端の数字は行数を特定するためのメモリであって、メッセージの一部を構成するものではない。
【0212】
プレゼンス情報通知メッセージ54は、4行目のFromタグに、ユーザ「user0001」が使用するソフトフォン搭載装置13の通信IDである「sip:0001_phone@hitachi.com」を含んでおり、当該メッセージが当該通信IDを持つ装置のプレゼンス情報を含むことを示している。更に、16行目のstatus要素内のbasic要素の値である「open」は、ソフトフォン搭載装置13が通話可能な状態であることを示しており、17行目のrpid:place−type要素内のlt:office要素は、ソフトフォン搭載装置13の設置場所がオフィス内であることを示している。
【0213】
なお、本実施形態においては、一つの装置に対して一つのプレゼンス情報通知メッセージ54を生成するようにしているため、無線端末装置11及びメッセンジャ搭載装置15のプレゼンス情報を通知するためのプレゼンス情報通知メッセージについても、それぞれ同様のSIPメッセージとして生成することができる。
【0214】
ここで、SIPのNOTIFYリクエストの詳細についてはRFC3265の規定に従うため、詳細な説明を省略する。
【0215】
なお、本発明のプレゼンス情報通知メッセージは、SIPのNOTIFYリクエストに限定されるものではなく、各種の標準で規定されたメッセージ、あるいは独自に規定したメッセージを使用してもよい。例えば、プレゼンスサーバ19がParlay XのPresenceConsumerインタフェースを実装しており、かつ認証サーバ17がParlay XのPresenceNotificationインタフェースを実装している場合には、当該メッセージとしてParlay Xの仕様に準拠したSOAPメッセージ等を利用することができる。
【0216】
図19に戻り、例えば、プレゼンス情報取得部176は、ステップS508において、図26(取得プレゼンス情報テーブル43の概略図)に示すような取得プレゼンス情報テーブル43に新たなレコードを追加し、取得したプレゼンス情報を格納する。
【0217】
取得プレゼンス情報テーブル43は、ユーザID欄43aと、無線端末装置欄43bと、ソフトフォン欄43cと、メッセンジャ欄43dと、を有する。
【0218】
ユーザID欄43aには、プレゼンス情報通知メッセージに含まれているユーザIDを特定する情報が格納される。
【0219】
無線端末装置欄43bには、プレゼンス情報通知メッセージに含まれている通信IDにより特定される無線端末装置11のプレゼンス情報が格納される。
【0220】
ソフトフォン欄43cには、プレゼンス情報通知メッセージに含まれている通信IDにより特定されるソフトフォン搭載装置13のプレゼンス情報が格納される。
【0221】
メッセンジャ欄43dには、プレゼンス情報通知メッセージに含まれている通信IDにより特定されるメッセンジャ搭載装置15のプレゼンス情報が格納される。
【0222】
図20に進み、ステップS509では、認証サーバ17の認証実行部174が、認証ポリシーテーブル172aから、ステップS501で取得したサーバIDがサービス提供サーバID欄172bに格納されているレコード群を取得し、取得したレコード群を「候補レコード群」として記憶部171に記憶する。
【0223】
次に、認証実行部174は、ステップS509で記憶した候補レコード群にレコードが含まれているか否かを確認し(S510)、含まれていない場合には(S510でNo)、ステップS511に進み、含まれている場合には(ステップS510でYes)、ステップS512に進む。
【0224】
ステップS512では、認証実行部174は、ステップS509で取得された候補レコード群の中で、最も認証レベルの高いもの(最も値の大きなもの)を選択する。
【0225】
そして、認証実行部174は、ステップS512で選択されたレコードを「候補レコード」として、記憶部171に記憶するとともに、当該候補レコードを候補レコード群から削除する(S513)。
【0226】
次に、認証実行部174は、図19のステップS508で記憶したプレゼンス情報が、ステップS514で選択された候補レコード内の無線端末装置172c、ソフトフォン欄172d及びメッセンジャ欄172eで特定されるプレゼンス条件を満足するか否かを確認する(S514)。そして、当該プレゼンス情報が当該候補レコード内のプレゼンス条件を満足する場合には(S514でYes)、ステップS515に進み、満足しない場合には(S514でNo)、ステップS510に戻り処理を繰り返す。
【0227】
ステップS515では、認証実行部174は、候補レコード内の実行スクリプト欄172fで特定される実行スクリプトを実行することで認証を行う。
【0228】
例えば、認証実行部174は、特定された認証方式の実行スクリプトが、図10に示すスクリプト40である場合には、まずパスワード処理部180が擬似乱数生成等の処理を行い、第三者による推測が困難なワンタイムパスワードを生成する。次に、認証実行部174が、音声再生サーバ21へ、生成したワンタイムパスワードを送信し、音声通信の準備を要求する。次に、第三者呼制御部178が、無線端末装置11と音声再生サーバ21の間で音声通話用の通信セッションを確立する。ここで、第三者呼制御部178による通信セッション確立の詳細については、RFC3725の規程に従うため、詳細な説明を省略する。音声再生サーバ21から無線端末装置11に対して音声化されたワンタイムパスワードが送信された後、パスワード処理部180が、サービス提供サーバ16を経由してユーザが入力したパスワードを受信すると、生成したワンタイムパスワードと比較を行う。一致した場合には、認証実行部174に対し、認証が成功した旨を通知し、一方、一致しなかった場合には、認証が失敗した旨を通知する。
【0229】
そして、認証実行部174は、ステップS515での認証結果を確認し(S516)、認証に成功した場合には(ステップS516でYes)、ステップS517に進み、認証に失敗した場合には、ステップS510に戻り処理を繰り返す。
【0230】
ステップ517では、認証要求処理部175が、ユーザ認証の結果を伝えるため、ユーザ認証応答メッセージを生成し、送受信部183を介して、サービス提供サーバ16に送信し処理を終了する。
【0231】
ここで、ステップS517で送信するユーザ認証応答メッセージは、ユーザ認証の対象であるユーザのユーザIDと、認証を要求したサービス提供サーバ16のサーバIDと、ユーザ認証の実行結果と、実行した認証方式の認証レベルと、当該メッセージがユーザ認証要求に対する応答メッセージであることを意味するメッセージ識別子と、を含む。
【0232】
例えば、本実施形態においては、図27(ユーザ認証応答メッセージのボディ部55の概略図)に示すようなXML表現をボディ部55に含むSOAPメッセージを用いているが、このような態様に限定されるわけではない。
【0233】
ユーザ認証応答メッセージのボディ部55は、authenticateResponseタグが、ユーザ認証要求に対する応答メッセージであることを意味しており、user要素のuserid属性の値である「user0001」が、認証の対象となるユーザのユーザIDを示しており、serviceid属性の値である「service0001」が、認証を要求したサービス提供サーバ16のサーバIDを示している。また、user要素内において、result要素の値「ok」は、ユーザ認証の実行が成功したことを示しており、authlevel要素の値「4」は、実行された認証方式に対して定義された認証レベル(認証レベル欄172gで特定)を示している。
【0234】
一方、ステップS512からステップS516までの処理を繰り返し実行した後、候補レコード群に含まれるレコードが存在しなくなった場合には(ステップS510でNo)、ステップS511に進み、ステップS511では、認証要求処理部175は、ユーザ認証が失敗したことを伝えるため、ユーザ認証応答メッセージを生成し、サービス提供サーバ16へ送信し処理を終了する。
【0235】
ここで、ステップS511で送信するユーザ認証応答メッセージは、ユーザ認証の対象であるユーザのユーザIDと、認証を要求したサービス提供サーバ16のサーバIDと、ユーザ認証の実行結果と、当該メッセージがユーザ認証要求に対する応答メッセージであることを意味するメッセージ識別子と、を含む。
【0236】
例えば、本実施形態においては、図28(ユーザ認証応答メッセージのボディ部56の概略図)に示すようなXML表現をボディ部56に含むSOAPメッセージを用いているが、このような態様に限定されるわけではない。
【0237】
ユーザ認証応答メッセージのボディ部56は、authenticateResponseタグが、ユーザ認証要求に対する応答メッセージであることを意味しており、user要素のuserid属性の値である「user0001」が、認証の対象となるユーザのユーザIDを示しており、serviceid属性の値である「service0001」が、認証を要求したサービス提供サーバ16のIDを示している。また、user要素内において、result要素の値「failed」は、ユーザ認証の実行が失敗したことを示している。
【0238】
図29は、認証システム100で認証を行う際の処理を示すシーケンスである。
【0239】
本シーケンスにおいては、ユーザID「user0001」により識別されるユーザが、サービス提供サーバ16に対してサービス提供を要求した場合における、各装置における処理を示す。
【0240】
まず、通信装置10のユーザが、通信装置10の入力部106を介して、サービス提供サーバ16からサービスの提供を受けるためのサービス要求操作を実行すると(S520)。サービス要求生成部104が、サービス提供サーバ16に対してサービスの提供を要求するためのサービス要求メッセージを生成し、サービス通信部105が、送受信部108を介して、生成したサービス要求メッセージをサービス提供サーバ16に送信する(S521)。ここで、本実施形態においては、サービス要求メッセージは、HTTPのGETリクエストやPOSTリクエスト等を用いて記述されるが、このような態様に限定されるわけではない。
【0241】
サービス提供サーバ16では、第一の送受信部168を介して、サービス通信部105がサービス要求メッセージを受信すると、通信装置10へユーザIDの入力を求めるメッセージを送付する等の方法により、ユーザに対してユーザIDの入力を促し、ユーザを識別するためのユーザID「user0001」を取得する。続いて、認証要求送信部164が、ユーザの認証を要求するためのユーザ認証要求メッセージを生成して、第二の送受信部169を介して、生成したユーザ認証要求メッセージを認証サーバ17へ送信する(S522)。
【0242】
ここで、ユーザ認証要求メッセージは、ユーザのユーザID「user0001」と、サービス提供サーバ16の識別子「service0001」と、を含み、図21に示すユーザ認証要求メッセージのボディ部50に示すようなXML表現を含むSOAPメッセージ等として生成される。
【0243】
認証サーバ17は、送受信部183を介して、認証要求処理部175が認証要求メッセージを受信すると、受信した認証要求メッセージに含まれる識別子「user0001」で識別されるユーザが使用する装置の識別情報(ここでは、通信ID)を取得するために、ユーザ情報取得部177がユーザ情報要求メッセージを生成し、送受信部183を介してユーザ情報管理サーバ20へ送信する(S523)。
【0244】
ここで、ユーザ情報要求メッセージは、ユーザのユーザID「user0001」を含み、図22に示すユーザ情報要求メッセージのボディ部51に示すようなXML表現を含むSOAPメッセージ等として生成される。
【0245】
ユーザ情報管理サーバ20は、ユーザ情報通信部205が送受信部208を介してユーザ情報要求メッセージを受信すると、ユーザ情報管理部204が、受信したユーザ情報要求メッセージに含まれる識別子「user0001」をキーとしてユーザ情報テーブル202aのユーザID欄202bを検索して、このような識別子を格納しているレコードを特定する。そして、ユーザ情報管理部204は、特定したレコードから、無線端末装置11、ソフトフォン搭載装置13及びメッセンジャ搭載装置15の通信IDを取得する。例えば、図16の例では、無線端末装置11の通信IDとして「sip:0001_mobile@hitachi.com」を取得し、ソフトフォン搭載装置13の通信IDとして「sip:0001_phone@hitachi.com」を取得し、メッセンジャ搭載装置15の通信IDとして「sip:0001_im@hitachi.com」を取得する。そして、ユーザ情報管理部204は、取得した装置の通信IDと装置の種別とを特定する情報の組を含むユーザ情報応答メッセージを生成し、送受信部208を介して、ユーザ情報通信部205が生成したユーザ情報応答メッセージを認証サーバ17に送信する(S524)。
【0246】
ここで、ユーザ情報応答メッセージは、図23に示すユーザ情報応答メッセージのボディ部52に示すようなXML表現を含むSOAPメッセージ等として生成される。
【0247】
認証サーバ17は、送受信部183を介して、ユーザ情報取得部177がユーザ情報応答メッセージを受信すると、受信したユーザ情報応答メッセージに含まれる端末の種類と通信IDの組を、記憶部171に記憶し、記憶した各々の通信IDを有する装置のプレゼンス情報を取得するため、プレゼンス情報取得部176がプレゼンス情報要求メッセージを生成し、送受信部183を介してプレゼンスサーバ19へ送信する(S525)。
【0248】
ここで、プレゼンス情報要求メッセージは、図24のプレゼンス情報要求メッセージ53に示すようなSIPメッセージ等として生成される。図24に示すプレゼンス情報要求メッセージ53は、ソフトフォン搭載装置13のプレゼンス情報を要求するメッセージであるが、プレゼンス情報の取得を要求する各々の装置(無線端末装置11、メッセンジャ搭載装置15)についても同様にプレゼンス情報要求メッセージを生成して、各々プレゼンス情報管理サーバ20に送信する。
【0249】
プレゼンスサーバ19は、送受信部198を介して、プレゼンス情報通信部195がプレゼンス情報要求メッセージを受信すると、プレゼンス情報管理部194が、受信したプレゼンス情報要求メッセージに含まれる通信IDをキーとしてプレゼンス情報テーブル192aの通信ID欄192bを検索し、当該通信IDを持つ装置のプレゼンス情報をプレゼンス情報欄192cから取得する。
【0250】
例えば、プレゼンス情報管理部194は、図24に示すようなプレゼンス情報要求メッセージ53を受信した場合には、プレゼンス情報要求メッセージ53に含まれる通信ID「sip:0001_phone@hitachi.com」をキーとしてプレゼンス情報テーブル192aを検索して、対応するレコードのプレゼンス情報欄192cからプレゼンス情報として「通話可能/オフィス内」を取得する。
【0251】
そして、プレゼンスサーバ19は、プレゼンス情報通信部1071が、上記検索の結果得られたプレゼンス情報を含むプレゼンス情報通知メッセージを生成し、送受信部198を介して、認証サーバ17に送信する(S526)。
【0252】
ここで、プレゼンス情報通知メッセージは、図25のプレゼンス情報通知メッセージ54に示すようなSIPメッセージ(NOTIFYリクエスト)等として生成する。なお、図25に示すプレゼンス情報通知メッセージ54はソフトフォン搭載装置13のプレゼンス情報を通知するメッセージであるが、無線端末装置11、メッセンジャ搭載装置15のプレゼンス情報を通知するプレゼンス情報通知メッセージについても同様に生成すればよい。
【0253】
認証サーバ17は、送受信部183を介して、プレゼンス情報取得部176がプレゼンス情報通知メッセージを受信すると、受信したプレゼンス情報通知メッセージに含まれるユーザの装置のプレゼンス情報を取得し、図26に示すような取得プレゼンス情報テーブル43に格納する。
【0254】
続いて、認証サーバ17は、認証実行部174が、取得したプレゼンス情報が満足する認証方式を、認証ポリシーテーブル172aから選択する(S527)。例えば、取得したプレゼンス情報が、図26に示される取得プレゼンス情報テーブル43の二行目のレコードのように構成される場合、認証ポリシーテーブル172aの二行目のレコードのプレゼンス条件が満足されるため、認証方式欄172fから認証方式の実行スクリプトとして「schemeA」が選択される。
【0255】
そして、認証実行部174は、選択された認証方式のスクリプトに従い、パスワード処理部180がワンタイムパスワードの生成を行い(S528)、認証実行部174が送受信部183を介して音声再生サーバ21へ生成したワンタイムパスワードを予め定められたメッセージに含めて送信する(S529)。音声再生サーバ21は、送信データ受付部215が、送受信部219を介してワンタイムパスワードを含むメッセージを受信すると、音声処理部213が受信したワンタイムパスワードを音声化し、記憶部211に記憶する。
【0256】
続いて、認証サーバ17は、第三者呼制御部178が、無線端末装置11と音声再生サーバ21の間で音声通話用の通信セッションを確立する(S530)。なお、この処理についてはSIPに従うため、詳細な説明は省略する。
【0257】
そして、音声再生サーバ21は、セッション利用部214が、音声化したワンタイムパスワードを記憶部211から取得して、認証サーバ17の第三者呼制御部178により確立された通信セッションを用いて、ユーザの無線端末装置11に送信する(S531)。
【0258】
無線端末装置11は、送受信部119を介して音声化されたワンタイムパスワードを受信すると、当該ワンタイムパスワードを再生して、スピーカ121から出力する(S532)。
【0259】
ワンタイムパスワードの出力を受けたユーザは、通信装置10の入力部106を介してワンタイムパスワードを入力する(S533)。
【0260】
このようなワンタイムパスワードの入力を受け付けた通信装置10は、サービス通信部105が、ユーザにより入力されたワンタイムパスワードを、サービス提供サーバ16に送信する(S534)。
【0261】
サービス提供サーバ16は、第一の送受信部168を介してサービス通信部165が、ワンタイムパスワードを受信すると、サービス通信部1051が、受信したワンタイムパスワードを認証サーバ17へ転送する(S535)。
【0262】
認証サーバ17は、送受信部183を介してワンタイムパスワードを受信すると、パスワード処理部180がステップS528で生成したワンタイムパスワードと比較を行う(S536)。これらが一致する場合には、認証要求処理部175が、ユーザ認証の結果を伝えるため、ユーザ認証応答メッセージを生成して、送受信部183を介して、サービス提供サーバ16に送信する(S537)。
【0263】
ここで、ユーザ認証応答メッセージは、図27に示すユーザ認証応答メッセージのボディ部55に示すようなXML表現を含むSOAPメッセージ等により生成される。
【0264】
サービス提供サーバ16は、サービス通信部1051が、第二の送受信部169を介してユーザ認証応答メッセージを受信すると、認証要求送信部164が、受信したユーザ認証応答メッセージに含まれる認証結果および実行された認証方式の認証レベルを確認する。そして、認証要求送信部164が、認証結果が成功であることを示す「ok」を示す情報が含まれていることを確認すると、サービス提供部163が、確認した認証レベル(ここでは、レベル4)に対応するサービスを、通信装置10へ提供する(S538)。
【0265】
ここで、認証サーバ17から受信した認証レベルに応じてどのようなサービスが提供されるかは、サービス提供サーバ16において予め設定しておけばよい。
【0266】
即ち、サービス提供サーバ16が提供するサービスにおいて、特定のページ(画面)へのアクセスの許可を認証レベルで判断したり、特定の認証レベルをクリアした場合にのみ特定のサービスを提供したり、することが可能となる。例えば、サービス提供サーバ16がインターネットバンキングを提供するサーバであるとすると、認証レベルに応じて、取引できる内容を異なるものにすること(認証レベルに応じて取引できる範囲(残高照会、振り込み、引き出し等)を異なるものとしたり、認証レベルに応じて取引できる金額を異なるものとしたり)が可能となる。
【0267】
なお、図29に示すシーケンスでは、音声再生サーバ21より、無線端末装置11にワンタイムパスワードを送信する際の処理を示したが、例えば、音声再生サーバ21より、ソフトフォン搭載装置13にワンタイムパスワードを送信する際も同様の処理となる。
【0268】
図30は、認証システム100で認証を行う際の処理を示すシーケンスである。
【0269】
本シーケンスにおいては、ユーザID「user0002」により識別されるユーザが、サービス提供サーバ16に対してサービス提供を要求した場合における、各装置における処理を示す。
【0270】
まず、通信装置10のユーザが、通信装置10の入力部106を介して、サービス提供サーバ16からサービスの提供を受けるためのサービス要求操作を実行すると(S540)。サービス要求生成部104が、サービス提供サーバ16に対してサービスの提供を要求するためのサービス要求メッセージを生成し、サービス通信部105が、送受信部108を介して、生成したサービス要求メッセージをサービス提供サーバ16に送信する(S541)。ここで、本実施形態においては、サービス要求メッセージは、HTTPのGETリクエストやPOSTリクエスト等を用いて記述されるが、このような態様に限定されるわけではない。
【0271】
サービス提供サーバ16では、第一の送受信部168を介して、サービス通信部105がサービス要求メッセージを受信すると、通信装置10へユーザIDの入力を求めるメッセージを送付する等の方法により、ユーザに対してユーザIDの入力を促し、ユーザを識別するためのユーザID「user0002」を取得する。続いて、認証要求送信部164が、ユーザの認証を要求するためのユーザ認証要求メッセージを生成して、第二の送受信部169を介して、生成したユーザ認証要求メッセージを認証サーバ17へ送信する(S542)。
【0272】
ここで、ユーザ認証要求メッセージは、ユーザのユーザID「user0002」と、サービス提供サーバ16の識別子「service0001」を含む。
【0273】
認証サーバ17は、送受信部183を介して、認証要求処理部175が認証要求メッセージを受信すると、受信した認証要求メッセージに含まれる識別子「user0002」で識別されるユーザが使用する装置の識別情報を取得するために、ユーザ情報取得部177がユーザ情報要求メッセージを生成し、送受信部183を介してユーザ情報管理サーバ20へ送信する(S543)。
【0274】
ここで、ユーザ情報要求メッセージは、ユーザのユーザID「user0002」を含む。
【0275】
ユーザ情報管理サーバ20は、送受信部208を介して、ユーザ情報通信部205がユーザ情報要求メッセージを受信すると、ユーザ情報管理部204が、受信したユーザ情報要求メッセージに含まれる識別子「user0002」をキーとしてユーザ情報テーブル202aのユーザID欄202bを検索して、このような識別子を格納しているレコードを特定する。そして、ユーザ情報管理部204は、特定したレコードから、無線端末装置11、ソフトフォン搭載装置13及びメッセンジャ搭載装置15の通信IDを取得する。
【0276】
そして、ユーザ情報管理部204は、取得した通信IDと装置の種別とを特定する情報の組を含むユーザ情報応答メッセージを生成し、送受信部208を介して、ユーザ情報通信部205が生成したユーザ情報応答メッセージを認証サーバ17に送信する(S544)。
【0277】
認証サーバ17は、送受信部183を介して、ユーザ情報取得部177がユーザ情報応答メッセージを受信すると、受信したユーザ情報応答メッセージに含まれる端末の種類と通信IDの組を、記憶部171に記憶し、記憶した各々の通信IDを有する装置のプレゼンス情報を取得するため、プレゼンス情報取得部176がプレゼンス情報要求メッセージを生成し、送受信部183を介してプレゼンスサーバ19へ送信する(S545)。
【0278】
プレゼンスサーバ19は、送受信部198を介して、プレゼンス情報通信部195がプレゼンス情報要求メッセージを受信すると、プレゼンス情報管理部194が、受信したプレゼンス情報要求メッセージに含まれる通信IDをキーとしてプレゼンス情報テーブル192aの通信ID欄192bを検索し、当該通信IDを持つ装置のプレゼンス情報をプレゼンス情報欄192cから取得する。
【0279】
そして、プレゼンスサーバ19は、プレゼンス情報通信部1071が、上記検索の結果得られたプレゼンス情報を含むプレゼンス情報通知メッセージを生成し、送受信部198を介して、認証サーバ17に送信する(S546)。
【0280】
認証サーバ17は、送受信部183を介して、プレゼンス情報取得部176がプレゼンス情報通知メッセージを受信すると、受信したプレゼンス情報通知メッセージに含まれるユーザの装置のプレゼンス情報を取得し、図26に示すような取得プレゼンス情報テーブル43に格納する。
【0281】
続いて、認証サーバ17は、認証実行部174が、取得したプレゼンス情報が満足する認証方式を、認証ポリシーテーブル172aから選択する(S547)。例えば、ユーザID「user0002」により識別されるユーザが使用する装置については、無線端末装置11のプレゼンス情報が「通話不可能」で、ソフトフォン搭載装置13のプレゼンス情報が「通話不可能」で、メッセンジャ搭載装置15のプレゼンス情報が「オンライン」であるとすると、認証実行部174は、図9に示される認証ポリシーテーブル172aの五行目のレコードのプレゼンス条件が満足されるため、実行スクリプト欄172fから認証方式の実行スクリプトとして「schemeC」が選択される。
【0282】
次に、認証サーバ17のパスワード処理部180がワンタイムパスワードの生成を行い(S548)、認証実行部174がIM送信サーバ22へ生成したワンタイムパスワードを含むメッセージを送信する(S549)。
【0283】
IM送信サーバ22では、送信データ受付部224が、送受信部228を介してワンタイムパスワードを含むメッセージを受信すると、メッセージ処理部223が受信したワンタイムパスワードをテキストデータにして、記憶部221に記憶する。
【0284】
次に、IM送信サーバ22のSIP通信部225が、記憶部221に記憶したワンタイムパスワードをSIPのMESSAGEリクエストのボディ部へ含め、メッセンジャ搭載装置15へ送信する(S550)。
【0285】
メッセンジャ搭載装置15は、送受信部158を介してテキストデータ化されたワンタイムパスワードを受信すると、出力部157に受信したワンタイムパスワードを出力することで、ユーザに対して当該ワンタイムパスワードを表示する(S551)。
【0286】
ワンタイムパスワードの出力を受けたユーザは、通信装置10の入力部106を介してワンタイムパスワードを入力する(S552)。
【0287】
このようなワンタイムパスワードの入力を受け付けた通信装置10は、サービス通信部105が、ユーザにより入力されたワンタイムパスワードを、サービス提供サーバ16に送信する(S553)。
【0288】
サービス提供サーバ16は、第一の送受信部168を介してサービス通信部165がワンタイムパスワードを受信すると、サービス通信部1051が、受信したワンタイムパスワードを認証サーバ17へ転送する(S554)。
【0289】
認証サーバ17は、送受信部183を介してワンタイムパスワードを受信すると、パスワード処理部180がステップS548で生成したワンタイムパスワードと比較を行う(S555)。これらが一致する場合には、認証要求処理部175が、ユーザ認証の結果を伝えるため、ユーザ認証応答メッセージを生成して、送受信部183を介して、サービス提供サーバ16に送信する(S556)。
【0290】
サービス提供サーバ16は、サービス通信部1051が、第二の送受信部169を介してユーザ認証応答メッセージを受信すると、認証要求送信部164が、受信したユーザ認証応答メッセージに含まれる認証結果および実行された認証方式の認証レベルを確認する。そして、認証要求送信部164が、認証結果が成功であることを示す「ok」を示す情報が含まれていることを確認すると、サービス提供部163が、確認した認証レベル(ここでは、レベル1)に対応するサービスを、通信装置10へ提供する(S557)。ここで、認証サーバ17から受信した認証レベルに応じてどのようなサービスが提供されるかは、サービス提供サーバ16において予め設定しておけばよい。
【0291】
以上に記載した実施形態においては、認証用の装置として、無線端末装置11、ソフトフォン搭載装置13及びメッセンジャ搭載装置15を使用しているが、このような態様に限定されず、その他の装置を使用することも可能である。このようにその他の装置を使用する場合でも、認証用の装置は第二のネットワーク31を介してワンタイムパスワードを取得することができるものであることが必要である。なお、このような他の装置を用いる場合には、他の装置のユーザIDと通信IDをユーザ情報管理サーバ20に記憶しておき、他の装置のプレゼンス情報をプレゼンスサーバ19に記憶しておき、他の装置のプレゼンス情報に対応する認証ポリシーを認証サーバ17に記憶しておけばよい。また、このような他の装置にワンタイムパスワードを送信するために、音声再生サーバ21及びIM送信サーバ22以外のサーバを第二のネットワーク31に接続することも可能である。
【0292】
さらに、本実施形態においては、通信装置10以外の装置においてワンタイムパスワードを取得するようにしているが、このような態様に限定されず、通信装置10に第二のネットワーク31に接続することのできる送受信部を備えておくことで、通信装置10においてワンタイムパスワードを取得することも可能である。なお、通信装置10においてワンタイムパスワードを取得する場合には、通信装置10のユーザIDと通信IDをユーザ情報管理サーバ20に記憶しておき、通信装置10のプレゼンス情報をプレゼンスサーバ19に記憶しておき、通信装置10のプレゼンス情報に対応する認証ポリシーを認証サーバ17に記憶しておけばよい。
【0293】
以上に記載した実施形態においては、図19のステップS507及びステップS504に示すように、プレゼンス情報の要求に対して特定の期間が経過してもプレゼンスサーバ19からプレゼンス情報通知メッセージを受信できなかった場合には、ユーザ認証をエラーにしているが、このような態様に限定されず、例えば、プレゼンス情報通知メッセージを受信できなかった装置のプレゼンス情報を「不明」としてステップS508に進むようにしてもよい。また、認証を受けるユーザが使用する全ての装置のプレゼンス情報が特定の時間を経過しても取得できない場合には、ステップS504に進み認証エラーとし、一部の装置のプレゼンス情報が取得できない場合には、プレゼンス情報を取得できない装置のプレゼンス情報を「不明」として、ステップS508に進むようにしてもよい。
【0294】
また、以上に記載した実施形態においては、図20のステップS515で実行した認証方式において認証が成功しなかった場合には(S516でNo)、ステップS510に戻り他の認証方式を選択するようにされているが、このような態様に限定されず、例えば、認証が失敗した場合には、再び、ステップS515の認証処理を繰り返し行うようにすることも可能である。この場合には、ステップS515の認証処理を繰り返す回数を予め定めておき、このような回数を超えた場合には、ステップS510に戻るようにすることも可能であり、また、繰り返し行った回数に応じて、認証レベルが下がるようにすることも可能である。
【0295】
以上に記載した実施形態においては、認証処理を行うサーバとして、サービス提供サーバ16、認証サーバ17、プレゼンスサーバ19、ユーザ情報管理サーバ20、音声再生サーバ21及びIM送信サーバ22を用いたが、このような態様に限定されず、それぞれのサーバで行っている処理を他のサーバが行うことで、サーバの構成を変更することも可能である。例えば、認証サーバ17が、他の全てのサーバ又は他の一部のサーバの処理も行うことにより、サーバの数を減らすことも可能である。
【0296】
以上に記載した実施形態において、ユーザ側においてワンタイムパスワードを取得する装置として、携帯電話端末を使用することもできる。このような場合には、携帯電話端末の電話番号又はメールアドレスを通信IDとしてプレゼンス情報テーブル192a、ユーザ情報テーブル202aにおいて管理すればよく、音声再生サーバ21からは携帯電話端末の電話番号に発呼を行い、音声データを再生すればよく、また、IM送信サーバ22からは、携帯電話端末にワンタイムパスワードを含むメールを発信するようにすればよい。
【図面の簡単な説明】
【0297】
【図1】認証システムの概略図。
【図2】通信装置の概略図。
【図3】コンピュータの概略図。
【図4】無線端末装置の概略図。
【図5】ソフトフォン搭載装置の概略図。
【図6】メッセンジャ搭載装置の概略図。
【図7】サービス提供サーバの概略図。
【図8】認証サーバの概略図。
【図9】認証ポリシーテーブルの概略図。
【図10】スクリプトの概略図。
【図11】スクリプトの概略図。
【図12】スクリプトの概略図。
【図13】プレゼンスサーバの概略図。
【図14】プレゼンス情報テーブルの概略図。
【図15】ユーザ情報管理サーバの概略図。
【図16】ユーザ情報テーブルの概略図。
【図17】音声再生サーバの概略図。
【図18】IM送信サーバの概略図。
【図19】認証サーバの処理を示すフローチャート。
【図20】認証サーバの処理を示すフローチャート。
【図21】ユーザ認証要求メッセージのボディ部の概略図。
【図22】ユーザ情報要求メッセージのボディ部の概略図。
【図23】ユーザ情報応答メッセージのボディ部の概略図。
【図24】プレゼンス情報要求メッセージの概略図。
【図25】プレゼンス情報通知メッセージの概略図。
【図26】取得プレゼンス情報テーブルの概略図。
【図27】ユーザ認証応答メッセージのボディ部の概略図。
【図28】ユーザ認証応答メッセージのボディ部の概略図。
【図29】認証システムで認証を行う際の処理を示すシーケンス。
【図30】認証システムで認証を行う際の処理を示すシーケンス。
【符号の説明】
【0298】
100 認証システム
10 通信装置
101 記憶部
102 制御部
11 無線端末
111 記憶部
112 制御部
13 ソフトフォン搭載装置
131 記憶部
132 制御部
15 メッセンジャ搭載装置
151 記憶部
152 制御部
16 サービス提供サーバ
161 記憶部
162 制御部
17 認証サーバ
171 記憶部
173 制御部
19 プレゼンスサーバ
191 記憶部
193 制御部
20 ユーザ情報管理サーバ
201 記憶部
203 制御部
21 音声再生サーバ
211 記憶部
212 制御部
22 IM送信サーバ
221 記憶部
222 制御部
【特許請求の範囲】
【請求項1】
サービスの提供を受けるユーザの認証を行う認証サーバであって、
前記ユーザが使用する装置の状況を特定するプレゼンス情報に対応する認証方式を特定する認証ポリシー情報を記憶する記憶部と、制御部と、を備え、
前記制御部は、
前記ユーザが使用する装置の状況を特定するプレゼンス情報を取得する処理と、
取得したプレゼンス情報に対応する認証方式を前記認証ポリシー情報から特定する処理と、
特定した認証方式により認証を実行する処理と、を行うこと、
を特徴とする認証サーバ。
【請求項2】
請求項1に記載の認証サーバであって、
前記認証ポリシー情報は、前記認証方式毎に、前記認証方式の認証レベルを特定する情報をさらに有し、
前記制御部は、
前記認証に成功した場合には、実行した認証方式に対応する認証レベルを前記認証ポリシー情報から取得して、取得した認証レベルを含む認証通知を、前記ユーザがサービスの提供を受けるサービス提供サーバに送信する処理を行うこと、
を特徴とする認証サーバ。
【請求項3】
請求項2に記載の認証サーバであって、
前記制御部は、
取得したプレゼンス情報に対応する認証方式のうち、最も認証レベルの高いものを特定すること、
を特徴とする認証サーバ。
【請求項4】
請求項1に記載の認証サーバであって、
前記認証ポリシー情報は、前記ユーザが使用する複数の装置の状況を特定するプレゼンス情報の組み合わせに対応して認証方式を特定するものであり、
前記制御部は、前記ユーザが使用する複数の装置の状況を特定するプレゼンス情報の組み合わせに対応する認証方式を前記認証ポリシー情報から特定すること、
を特徴とする認証サーバ。
【請求項5】
コンピュータを、サービスの提供を受けるユーザの認証を行う認証サーバとして機能させるプログラムであって、
前記コンピュータを、
前記ユーザが使用する装置の状況を特定するプレゼンス情報に対応する認証方式を特定する認証ポリシー情報を記憶する記憶手段、制御手段、として機能させ、
前記制御手段に、
前記ユーザが使用する装置の状況を特定するプレゼンス情報を取得する処理と、
取得したプレゼンス情報に対応する認証方式を前記認証ポリシー情報から特定する処理と、
特定した認証方式により認証を実行する処理と、を行わせること、
を特徴とするプログラム。
【請求項6】
請求項5に記載のプログラムであって、
前記認証ポリシー情報は、前記認証方式毎に、前記認証方式の認証レベルを特定する情報をさらに有し、
前記制御手段に、
前記認証に成功した場合には、実行した認証方式に対応する認証レベルを前記認証ポリシー情報から取得して、取得した認証レベルを含む認証通知を、前記ユーザがサービスの提供を受けるサービス提供サーバに送信する処理を行わせること、
を特徴とするプログラム。
【請求項7】
請求項6に記載のプログラムであって、
前記制御手段に、
取得したプレゼンス情報に対応する認証方式のうち、最も認証レベルの高いものを特定させること、
を特徴とするプログラム。
【請求項8】
請求項5に記載のプログラムであって、
前記認証ポリシー情報は、前記ユーザが使用する複数の装置の状況を特定するプレゼンス情報の組み合わせに対応して認証方式を特定するものであり、
前記制御手段に、前記ユーザが使用する複数の装置の状況を特定するプレゼンス情報の組み合わせに対応する認証方式を前記認証ポリシー情報から特定させること、
を特徴とするプログラム。
【請求項9】
ネットワークを介してサービスの提供を受けるユーザが使用する装置と、前記ユーザの認証を行う認証サーバと、を有する認証システムであって、
前記認証サーバは、
前記装置の状況を特定するプレゼンス情報に対応する認証方式を特定する認証ポリシー情報を記憶する記憶部と、制御部と、を備え、
前記制御部は、
前記装置の状況を特定するプレゼンス情報を取得する処理と、
取得したプレゼンス情報に対応する認証方式を前記認証ポリシー情報から特定する処理と、
特定した認証方式により認証を実行する処理と、を行うこと、
を特徴とする認証システム。
【請求項10】
請求項9に記載の認証システムであって、
前記制御部は、
特定した認証方式により定められる装置に対して、ワンタイムパスワードを送信することで、前記ユーザに当該ワンタイムパスワードを通知し、前記ユーザから送信された前記ワンタイムパスワードを検証することで、認証を実行すること、
を特徴とする認証システム。
【請求項11】
請求項10に記載の認証システムであって、
前記ワンタイムパスワードを送信するネットワークは、前記ユーザがサービスの提供を受けるネットワークとは異なるネットワークであること、
を特徴とする認証システム。
【請求項12】
請求項9に記載の認証システムであって、
前記認証ポリシー情報は、前記認証方式毎に、前記認証方式の認証レベルを特定する情報をさらに有し、
前記制御部は、
前記認証に成功した場合には、実行した認証方式に対応する認証レベルを前記認証ポリシー情報から取得して、取得した認証レベルを含む認証通知を、前記ユーザがサービスの提供を受けるサービス提供サーバに送信する処理を行うこと、
を特徴とする認証システム。
【請求項13】
請求項10に記載の認証システムであって、
前記サービス提供サーバが、前記ユーザに対して提供するサービスは、前記認証レベルに応じて異なるものであること、
と特徴とする認証システム。
【請求項14】
請求項10に記載の認証システムであって、
前記制御部は、
取得したプレゼンス情報に対応する認証方式のうち、最も認証レベルの高いものを特定すること、
を特徴とする認証システム。
【請求項15】
請求項9に記載の認証システムであって、
前記認証ポリシー情報は、前記ユーザが使用する複数の装置の状況を特定するプレゼンス情報の組み合わせに対応して認証方式を特定するものであり、
前記制御部は、前記ユーザが使用する複数の装置の状況を特定するプレゼンス情報の組み合わせに対応する認証方式を前記認証ポリシー情報から特定すること、
を特徴とする認証システム。
【請求項16】
ネットワークを介してサービスの提供を受けるユーザが使用する装置と、前記ユーザの認証を行う認証サーバと、を有する認証システムで行われる認証方法であって、
前記認証サーバは、
前記装置の状況を特定するプレゼンス情報に対応する認証方式を特定する認証ポリシー情報を記憶する記憶部と、制御部と、を備え、
前記制御部が、前記装置の状況を特定するプレゼンス情報を取得する処理を行う過程と、
取得したプレゼンス情報に対応する認証方式を前記認証ポリシー情報から特定する処理を行う過程と、
特定した認証方式により認証を実行する処理を行う過程と、を備えること、
を特徴とする認証方法。
【請求項1】
サービスの提供を受けるユーザの認証を行う認証サーバであって、
前記ユーザが使用する装置の状況を特定するプレゼンス情報に対応する認証方式を特定する認証ポリシー情報を記憶する記憶部と、制御部と、を備え、
前記制御部は、
前記ユーザが使用する装置の状況を特定するプレゼンス情報を取得する処理と、
取得したプレゼンス情報に対応する認証方式を前記認証ポリシー情報から特定する処理と、
特定した認証方式により認証を実行する処理と、を行うこと、
を特徴とする認証サーバ。
【請求項2】
請求項1に記載の認証サーバであって、
前記認証ポリシー情報は、前記認証方式毎に、前記認証方式の認証レベルを特定する情報をさらに有し、
前記制御部は、
前記認証に成功した場合には、実行した認証方式に対応する認証レベルを前記認証ポリシー情報から取得して、取得した認証レベルを含む認証通知を、前記ユーザがサービスの提供を受けるサービス提供サーバに送信する処理を行うこと、
を特徴とする認証サーバ。
【請求項3】
請求項2に記載の認証サーバであって、
前記制御部は、
取得したプレゼンス情報に対応する認証方式のうち、最も認証レベルの高いものを特定すること、
を特徴とする認証サーバ。
【請求項4】
請求項1に記載の認証サーバであって、
前記認証ポリシー情報は、前記ユーザが使用する複数の装置の状況を特定するプレゼンス情報の組み合わせに対応して認証方式を特定するものであり、
前記制御部は、前記ユーザが使用する複数の装置の状況を特定するプレゼンス情報の組み合わせに対応する認証方式を前記認証ポリシー情報から特定すること、
を特徴とする認証サーバ。
【請求項5】
コンピュータを、サービスの提供を受けるユーザの認証を行う認証サーバとして機能させるプログラムであって、
前記コンピュータを、
前記ユーザが使用する装置の状況を特定するプレゼンス情報に対応する認証方式を特定する認証ポリシー情報を記憶する記憶手段、制御手段、として機能させ、
前記制御手段に、
前記ユーザが使用する装置の状況を特定するプレゼンス情報を取得する処理と、
取得したプレゼンス情報に対応する認証方式を前記認証ポリシー情報から特定する処理と、
特定した認証方式により認証を実行する処理と、を行わせること、
を特徴とするプログラム。
【請求項6】
請求項5に記載のプログラムであって、
前記認証ポリシー情報は、前記認証方式毎に、前記認証方式の認証レベルを特定する情報をさらに有し、
前記制御手段に、
前記認証に成功した場合には、実行した認証方式に対応する認証レベルを前記認証ポリシー情報から取得して、取得した認証レベルを含む認証通知を、前記ユーザがサービスの提供を受けるサービス提供サーバに送信する処理を行わせること、
を特徴とするプログラム。
【請求項7】
請求項6に記載のプログラムであって、
前記制御手段に、
取得したプレゼンス情報に対応する認証方式のうち、最も認証レベルの高いものを特定させること、
を特徴とするプログラム。
【請求項8】
請求項5に記載のプログラムであって、
前記認証ポリシー情報は、前記ユーザが使用する複数の装置の状況を特定するプレゼンス情報の組み合わせに対応して認証方式を特定するものであり、
前記制御手段に、前記ユーザが使用する複数の装置の状況を特定するプレゼンス情報の組み合わせに対応する認証方式を前記認証ポリシー情報から特定させること、
を特徴とするプログラム。
【請求項9】
ネットワークを介してサービスの提供を受けるユーザが使用する装置と、前記ユーザの認証を行う認証サーバと、を有する認証システムであって、
前記認証サーバは、
前記装置の状況を特定するプレゼンス情報に対応する認証方式を特定する認証ポリシー情報を記憶する記憶部と、制御部と、を備え、
前記制御部は、
前記装置の状況を特定するプレゼンス情報を取得する処理と、
取得したプレゼンス情報に対応する認証方式を前記認証ポリシー情報から特定する処理と、
特定した認証方式により認証を実行する処理と、を行うこと、
を特徴とする認証システム。
【請求項10】
請求項9に記載の認証システムであって、
前記制御部は、
特定した認証方式により定められる装置に対して、ワンタイムパスワードを送信することで、前記ユーザに当該ワンタイムパスワードを通知し、前記ユーザから送信された前記ワンタイムパスワードを検証することで、認証を実行すること、
を特徴とする認証システム。
【請求項11】
請求項10に記載の認証システムであって、
前記ワンタイムパスワードを送信するネットワークは、前記ユーザがサービスの提供を受けるネットワークとは異なるネットワークであること、
を特徴とする認証システム。
【請求項12】
請求項9に記載の認証システムであって、
前記認証ポリシー情報は、前記認証方式毎に、前記認証方式の認証レベルを特定する情報をさらに有し、
前記制御部は、
前記認証に成功した場合には、実行した認証方式に対応する認証レベルを前記認証ポリシー情報から取得して、取得した認証レベルを含む認証通知を、前記ユーザがサービスの提供を受けるサービス提供サーバに送信する処理を行うこと、
を特徴とする認証システム。
【請求項13】
請求項10に記載の認証システムであって、
前記サービス提供サーバが、前記ユーザに対して提供するサービスは、前記認証レベルに応じて異なるものであること、
と特徴とする認証システム。
【請求項14】
請求項10に記載の認証システムであって、
前記制御部は、
取得したプレゼンス情報に対応する認証方式のうち、最も認証レベルの高いものを特定すること、
を特徴とする認証システム。
【請求項15】
請求項9に記載の認証システムであって、
前記認証ポリシー情報は、前記ユーザが使用する複数の装置の状況を特定するプレゼンス情報の組み合わせに対応して認証方式を特定するものであり、
前記制御部は、前記ユーザが使用する複数の装置の状況を特定するプレゼンス情報の組み合わせに対応する認証方式を前記認証ポリシー情報から特定すること、
を特徴とする認証システム。
【請求項16】
ネットワークを介してサービスの提供を受けるユーザが使用する装置と、前記ユーザの認証を行う認証サーバと、を有する認証システムで行われる認証方法であって、
前記認証サーバは、
前記装置の状況を特定するプレゼンス情報に対応する認証方式を特定する認証ポリシー情報を記憶する記憶部と、制御部と、を備え、
前記制御部が、前記装置の状況を特定するプレゼンス情報を取得する処理を行う過程と、
取得したプレゼンス情報に対応する認証方式を前記認証ポリシー情報から特定する処理を行う過程と、
特定した認証方式により認証を実行する処理を行う過程と、を備えること、
を特徴とする認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【公開番号】特開2009−246417(P2009−246417A)
【公開日】平成21年10月22日(2009.10.22)
【国際特許分類】
【出願番号】特願2008−87139(P2008−87139)
【出願日】平成20年3月28日(2008.3.28)
【国等の委託研究の成果に係る記載事項】(出願人による申告)国等の委託研究の成果に係る特許出願(平成19年度 独立行政法人情報通信研究機構 「次世代ネットワーク(NGN)基板技術の研究開発」委託研究、産業技術力強化法第19条の適用を受ける特許出願)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成21年10月22日(2009.10.22)
【国際特許分類】
【出願日】平成20年3月28日(2008.3.28)
【国等の委託研究の成果に係る記載事項】(出願人による申告)国等の委託研究の成果に係る特許出願(平成19年度 独立行政法人情報通信研究機構 「次世代ネットワーク(NGN)基板技術の研究開発」委託研究、産業技術力強化法第19条の適用を受ける特許出願)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]