認証サーバ、認証システム、認証方法及び認証プログラム
【課題】ネットワーク上において提供される機能を適切なユーザに提供することができる認証サーバ、認証システム、認証方法及び認証プログラムを提供する。
【解決手段】本発明の認証サーバは、記憶部(11)と、情報端末からの接続要求に応じて、情報端末のユーザ認証を行う認証部(16)と、認証部のユーザ認証の後に、情報端末に対して、情報端末側から送信された、又は、記憶部に格納された情報により示される情報端末が要求する付加機能を提供可能なネットワークへの接続を許可する応答部(17)と、を備える。
【解決手段】本発明の認証サーバは、記憶部(11)と、情報端末からの接続要求に応じて、情報端末のユーザ認証を行う認証部(16)と、認証部のユーザ認証の後に、情報端末に対して、情報端末側から送信された、又は、記憶部に格納された情報により示される情報端末が要求する付加機能を提供可能なネットワークへの接続を許可する応答部(17)と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証サーバ、認証システム、認証方法及び認証プログラムの技術に関する。
【背景技術】
【0002】
近年、ISP(Internet Service Provider)は、インターネットへの接続サービスに
様々な機能を付加したサービスを提供している。例えば、この付加される機能を実現する技術の一つとして、DPI(Deep Packet Inspection)と呼ばれる技術が存在する。DPIとは、インターネットでやりとりされるデータ(パケット)を収集して、解析する技術である。このDPIにより、インターネットでやりとりされるデータの傾向を調べることができ、例えば、傾向に合う広告データをユーザに提供することができる。
【0003】
図9は、従来のDPIが用いられるネットワークの構成例を示す。図9に示されるとおり、従来のDPIが用いられるネットワーク構成は、例えば、ユーザ端末2、ブロードバンドルータ3、BAS(Broadband Access Server)4、認証サーバ10、ISP網5、
ISP網終端装置51、インターネット6、DPI装置70及びDPIサーバ80を含む。
【0004】
従来のDPIが用いられるネットワークの構成では、DPI機能を望むユーザa及びDPI機能を望まないユーザbのユーザ端末2とインターネット6との間でやりとりされるデータは一度DPI装置70を通過する。DPI装置70は、ユーザがDPI機能を望む、望まないに関わらず、全てのデータのコピーをDPIサーバ80に送信する。そして、DPIサーバ80は、これらのデータを収集及び解析を行い、例えば、データの傾向に合う広告データを、DPI機能を望むユーザaのユーザ端末2に提供していた。
【0005】
このような技術に関して、例えば、特許文献1及び特許文献2に挙げられる技術が存在する。
【0006】
特許文献1では、ある広告ページ(Webページ)を経由したクライアントにクッキーを仕込み、クッキーが仕込まれたクライアントからのパケットを閲覧し、クライアントの閲覧しているWebページの傾向を調べる技術が開示されている。
【0007】
特許文献2では、課金されたコンテンツへアクセスにおいて、認証が済んだ端末したアクセスできないようにするために、全てのパケットを閲覧し、認証が済んでいるかどうかを調べる技術が開示されている。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特表2010−514061号公報
【特許文献2】特開2010−050775号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
上記のようにインターネットへの接続サービスに様々な機能を付加したサービスを提供する従来の技術では、ユーザが望む(許可する)、望まない(許可しない)に関わらず、全て一度データ解析のためにデータが収集されていた。このため、ネットワークに接続されるユーザ端末の数に応じて、大規模で処理が高速な装置(例えば、DPI装置及びDP
Iサーバ)が必要であった。また、全てのデータを一度収集してしまうため、データ収集を許可しないユーザの要望に対応することができなかった。
【0010】
本発明は、このような点を考慮してなされたものであり、ネットワーク上において提供される機能を適切なユーザに提供することができる認証サーバ、認証システム、認証方法及び認証プログラムを提供することを目的とする。
【課題を解決するための手段】
【0011】
本発明は、上述した課題を解決するために、以下の構成を採用する。
【0012】
すなわち、ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う本発明の認証サーバは、記憶部と、情報端末からの接続要求に応じて、情報端末のユーザ認証を行う認証部と、認証部のユーザ認証の後に、情報端末に対して、情報端末側から送信された、又は、記憶部に格納された情報により示される情報端末が要求する付加機能を提供可能なネットワークへの接続を許可する応答部と、を備える。
【0013】
上記構成によれば、付加機能を要求する情報端末は、当該付加機能を提供可能なネットワークへ接続が許可される。このため、ネットワーク上において提供される付加機能を適切なユーザに提供することができる。また、従来とは異なり、全てのユーザに対して機能を提供する必要はなくなり、適切なユーザに対して付加機能を提供することができるネットワークを用意すればよいため、小規模で安価な装置により、機能の提供を実施することができる。
【0014】
また、上記情報端末側から送信された情報は、上記情報端末が要求する付加機能を示す文字列を含むドメイン名であってもよい。
【0015】
上記構成によれば、情報端末が要求する付加機能は、ドメイン名によって指定される。このため、情報端末の要求する付加機能を切り替えはドメイン名の切り替えによって達成することができる。
【0016】
また、本発明の認証システムは、本発明の認証サーバと、前記情報端末からの前記付加機能の切り替えの申込により、上記情報端末側から送信される、又は、上記記憶部に格納される情報が示す付加機能を切り替える申込サーバと、を備える。
【0017】
上記構成によれば、情報端末の申込により、情報端末が要求する付加機能が切り替えられる。このため、ユーザは、任意に所望の付加機能を切り替えることができる。また、情報端末が要求する付加機能はユーザの任意により切り替えられるため、付加機能を提供する側は、提供する付加機能をユーザに告知することができる。
【0018】
なお、本発明の別態様としては、以上の何れかの構成を実現する方法であってもよいし、システムであってもよいし、プログラムであってもよいし、このようなプログラムを記録したコンピュータが読み取り可能な記憶媒体であってもよい。
【発明の効果】
【0019】
本発明によれば、ネットワーク上において提供される機能を適切なユーザに提供することができる認証サーバ、認証システム、認証方法及び認証プログラムを提供することができる。
【図面の簡単な説明】
【0020】
【図1】実施の形態に係るネットワーク構成を例示する図。
【図2】実施の形態に係る付加機能を選択する画面を例示する図。
【図3】実施の形態に係る認証サーバの構成を例示する図。
【図4】実施の形態に係る付加機能網を例示する図。
【図5】実施の形態に係る付加機能網の構成例を例示する図。
【図6】実施の形態に係るネットワーク(インターネット)への接続時における処理手順の一例を示したシーケンスチャート。
【図7】BASと認証サーバとの間のユーザ認証に関するパケットが含む属性例及び属性値例。
【図8】付加機能網終端装置と認証サーバとの間の接続要求に関するパケットが含む属性例及び属性値例。
【図9】従来のネットワーク構成を例示する図。
【発明を実施するための形態】
【0021】
以下、本発明の一側面に係る認証サーバ及び認証システムを、実施の形態(以下、「本実施形態」とも表記する)として説明する。ただし、以下に挙げる実施形態は例示であり、本発明は以下の実施形態の構成に限定されない。
【0022】
なお、以下に挙げる実施形態において、例えば、図7及び図8においてパケット構成例の属性名や属性値を自然言語(日本語等)等で例示しているが、より具体的には、コンピュータが認識可能な疑似言語、コマンド、パラメタ、マシン語等で指定される。
【0023】
§1 ネットワーク構成例
まず、本実施形態に係るネットワークの構成例について説明する。図1は、本実施形態に係るネットワークの構成例を示す。図1に示されるとおり、本実施形態に係るネットワークは、認証サーバ1、ユーザ端末2、ブロードバンドルータ3、BAS4、ISP網5及びISP網終端装置51、インターネット6及び申込サーバ60、並びに付加機能網7及び付加機能網終端装置71を含んだ構成となっている。
【0024】
認証サーバ1は、ネットワークを介してBAS4、ISP網終端装置51(ISP網5)及び付加機能網終端装置71(付加機能網7)と通信可能となっている。ユーザ端末2は、ネットワークを介してブロードバンドルータ3と通信可能となっている。ブロードバンドルータ3は、ネットワークを介してユーザ端末2及びBAS4と通信可能となっている。BAS4は、ネットワークを介して認証サーバ1、ブロードバンドルータ3、ISP網終端装置51(ISP網5)及び付加機能網終端装置71(付加機能網7)と通信可能となっている。
【0025】
ユーザ端末2は、ブロードバンドルータ3、BAS4並びにISP網5及びISP網終端装置51又は付加機能網7及び付加機能網終端装置71を介して、インターネット6に接続することができる。
【0026】
ISP網5は、従来のISP網であり、ユーザ端末2に対して、付加機能を提供せず、インターネット6への接続を提供するネットワークである。他方、付加機能網7は、ユーザ端末2に対して、付加機能を提供するとともに、インターネット6への接続を提供するネットワークである。
【0027】
§2 装置構成例
次に、本実施形態に係るネットワークの各ノードについて説明する。
【0028】
§2−1 ユーザ端末2
ユーザ端末2は、例えば、PC(Personal Computer)として周知のハードウェア構成
及び機能構成を有している。例えば、ユーザ端末2は、そのハードウェア構成として、それぞれバスを介して接続された、各種データ及びプログラムを格納するための記憶部、記憶部に格納されたプログラムを実行する制御部、ネットワークと通信を行うための通信部、マウスやキーボード等に対するユーザの操作を入力するための入力部等を有している。ユーザ端末2は、このようなハードウェア構成により、ネットワークを介してインターネット6へ接続するための一般的な通信機能、提供されたデータに基づく画面を表示及び操作することができる一般的なユーザインタフェース機能等を実現する。
【0029】
本実施形態では、ユーザ端末2は、ISP網5又は付加機能網7を介してインターネット6上に存在するサーバ(Webサーバやメールサーバ等)へアクセスする。この時、ブロードバンドルータ3とISP網5又は付加機能網7との間で通信経路が確立されていない場合、認証サーバ1によりユーザ端末2のユーザ認証が行われる。後述するとおり、ユーザ認証が成立すると、認証サーバ1は、ユーザ端末2側(本実施形態ではブロードバンドルータ3)から送信される情報であって、ユーザ端末2が要求する付加機能を示す情報に基づいて、接続許可を行う対象のネットワークを決定する。これにより、ブロードバンドルータ3とISP網5又は付加機能網7との間で通信経路が確立され、ユーザ端末2は、インターネット6上に存在するサーバにアクセスすることができるようになる。
【0030】
また、本実施形態では、インターネット6上に存在する申込サーバ60にユーザ端末2がアクセスすることにより取得されるWebページが操作されることにより、ユーザ端末2が要求する付加機能が切り替えられる。図2は、当該Webページの表示画面例を示す。
【0031】
ユーザ端末2上において、図2に示されるWebページが操作される。ユーザは、ユーザ端末2を操作し、付加機能の選択画面(20)から、所望の付加機能を選択する(21)。そして、選択した付加機能が設定操作される(22)ことにより、ユーザ端末2からブロードバンドルータ3に対して、ユーザ端末2が要求する付加機能を示す情報の切り替えが要求される。ブロードバンドルータ3は、当該要求に応じて、ユーザ端末2が要求する付加機能を示す情報の切り替えを行う。
【0032】
なお、本実施形態の別方法として、申込サーバ60に代えて、ユーザ端末2上で実行されるプログラムにより、上記付加機能の切り替えが実現されてもよい。
【0033】
§2−2 ブロードバンドルータ3
ブロードバンドルータ3は、周知のブロードバンドルータとして一般的なハードウェア構成及び機能構成を有している。例えば、ブロードバンドルータ3は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。ブロードバンドルータ3は、このようなハードウェア構成により、ブロードバンドルータ3とISP網5または付加機能網7との間で通信経路を確立する一般的なルーティング機能等を実現する。
【0034】
本実施形態では、ブロードバンドルータ3は、ユーザ端末2からのインターネット6上へのサーバに対するアクセス要求に応じて、ISP網5又は付加機能網7との間に通信経路を確立するために、BAS4に対して接続要求を行う。接続要求に際して、ブロードバンドルータ3からBAS4へ、ユーザ認証に用いる情報(例えば、ユーザのID及びパスワード)と共に、ユーザ端末2が要求する付加機能を示す情報が送信される。詳細については後述する。
【0035】
この接続要求に応じて、認証サーバ1によりユーザ端末2のユーザ認証が行われる。そ
して、ユーザ認証の結果に応じて、本実施形態では、ブロードバンドルータ3は、BAS4から送信される接続許可の情報に基づいて、ISP網5又は付加機能網7との間に通信経路を確立する。この通信経路の確立のため、ブロードバンドルータ3は、BAS4と通信経路確立のための通信を行う。
【0036】
また、本実施形態では、ブロードバンドルータ3は、ユーザ端末2からの要求に応じて、ユーザ端末2が要求する付加機能を示す情報を切り替える。ユーザ端末2が要求する付加機能を示す情報の具体例については、後述する。
【0037】
§2−3 BAS4
BAS4は、周知のアクセスサーバとして一般的なハードウェア構成及び機能構成を有している。例えば、BAS4は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。BAS4は、このようなハードウェア構成により、一般的な認証クライアントの機能等を実現する。
【0038】
本実施形態では、BAS4は、ブロードバンドルータ3からのISP5又は付加機能網7への接続要求に応じて、認証サーバ1にユーザ認証の問合せを行う。
【0039】
また、本実施形態では、認証サーバ1から返信される接続許可(例えば、接続許可の情報を含むパケットデータの通知)に応じて、BAS4は、ISP網終端装置51又は付加機能網終端装置71に対して接続要求を行う。当該接続要求は、ブロードバンドルータ3とISP網5又は付加機能網7との間で通信経路を確立するためのものである。この接続要求に応じて、ISP網終端装置51又は付加機能網終端装置71から接続許可の応答が返される。BAS4は、当該接続許可の応答に応じて、ブロードバンドルータ3にISP網5又は付加機能網7への接続許可を返信する。
【0040】
§2−4 認証サーバ1
図3は、本実施形態における認証サーバ1の構成例を示す。
【0041】
認証サーバ1は、図3に示されるように、そのハードウェア構成として、バス13で接続される、記憶部11、制御部12、通信部14等の既存のハードウェアを有している。記憶部11は、例えばハードディスクであり、制御部12で実行される処理で利用される各種データ及びプログラムを記憶する。制御部12は、CPU(Central Processing Unit)等の1又は複数のプロセッサであり、このプロセッサの処理に利用される周辺回路(
ROM(Read Only Memory)、RAM(Random Access Memory)、インタフェース回路等)を有する。通信部14は、ネットワークを介して、BAS4、ISP網終端装置51及び付加機能網終端装置71等とIP(Internet Protocol)パケット等の送受信を行う。
なお、認証サーバ1は、PC等のような汎用コンピュータで構成されてもよいし、ネットワーク接続ストレージのような専用コンピュータで構築されてもよい。
【0042】
図3に示されるとおり、認証サーバ1は、ユーザ認証を行う情報を格納するためのユーザ認証情報データベース15を記憶部11に有している。
【0043】
ユーザ認証情報データベース15には、後述する認証部16がユーザ認証を行うための情報が格納されている。ユーザ認証を行うための情報は、上述のブロードバンドルータ3からBAS4に送信されるユーザ認証に用いる情報に対応した情報であり、例えば、ユーザのIDとパスワードとを一組にした情報である。
【0044】
また、図3に示されるとおり、認証サーバ1は、ユーザ認証情報データベース15の情
報を用いてユーザ認証を行う認証部16、及び認証部16のユーザ認証の結果に応じた応答(ネットワークへの接続許可)を行う応答部17を制御部11に有している。
【0045】
認証部16は、BAS4からのユーザ認証の問合せに応じて、当該問合せの対象であるユーザ端末2のユーザ認証を行う。認証部16は、このユーザ認証を、ユーザ認証情報データベース15に格納された情報と、BAS4からのユーザ認証の問合せに含まれる上述のブロードバンドルータ3からBAS4に送信されるユーザ認証に用いる情報とを用いることにより実施する。
【0046】
例えば、ユーザ認証情報データベース15にはユーザのIDとパスワードとを一組にした情報が格納されており、上述のブロードバンドルータ3からBAS4に送信されるユーザ認証に用いる情報がユーザのIDとパスワードであるとする。この場合、認証部16は、BAS4からのユーザ認証の問合せに含まれたユーザのID及びパスワードが、ユーザ認証情報データベース15に格納されているユーザのID及びパスワードと一致するか否かを判定することにより、ユーザ認証を実施する。
【0047】
例えば、認証部16は、BAS4の問合せに含まれたID及びパスワードとユーザ認証情報データベース15に格納されているID及びパスワードが一致した場合、ユーザ認証は成立すると判定する。他方、認証部16は、BAS4の問合せに含まれたID及びパスワードとユーザ認証情報データベース15に格納されているID及びパスワードが一致しない場合、ユーザ認証は成立しないと判定する。
【0048】
本実施形態では、応答部17は、ユーザ認証は成立すると認証部16が判定した場合、ネットワークへの接続許可をBAS4に対して行う。この接続許可の対象となるネットワークは、本実施形態では、ISP網5または付加機能網7である。認証部16がこれらのネットワークに対する接続許可をBAS4に対して行うことで、ブロードバンドルータ3とこれらのネットワークとの間に通信経路が形成される。
【0049】
この接続許可において、応答部17は、BAS4からのユーザ認証の問合せに含まれるブロードバンドルータ3から送信されたユーザ端末2が要求する付加機能を示す情報に基づいて、BAS4に対して行う接続許可の接続先を決定する。本実施形態では、ユーザ端末2が要求する付加機能を示す情報はドメイン名である。
【0050】
例えば、ドメイン名が「ccc.com」である場合、応答部17は、ユーザ端末2が要求す
る付加機能はなしと判定し、ISP網5への接続許可をBAS4に対して行う。
【0051】
また、例えば、ドメイン名が「dpi.ccc.com」である場合、応答部17は、ユーザ端末
2が要求する付加機能は後述するDPI機能であると判定し、DPI機能を提供する付加機能網7(後述するDPI専用ネットワーク7a)への接続許可をBAS4に対して行う。
【0052】
また、例えば、ドメイン名が「tctrl.ccc.com」である場合、応答部17は、ユーザ端
末2が要求する付加機能は後述する帯域規制機能であると判定し、帯域規制機能を提供する付加機能網7(後述する帯域規制専用ネットワーク7b)への接続許可をBAS4に対して行う。
【0053】
また、例えば、ドメイン名が「sec.ccc.com」である場合、応答部17は、ユーザ端末
2が要求する付加機能は後述するセキュリティ強化機能であると判定し、セキュリティ強化機能を提供する付加機能網7(後述するセキュリティ強化ネットワーク7c)への接続許可をBAS4に対して行う。
【0054】
また、例えば、ドメイン名が「prem.ccc.com」である場合、応答部17は、ユーザ端末2が要求する付加機能は後述するプレミアム機能であると判定し、プレミアム機能を提供する付加機能網7(後述するプレミアムネットワーク7d)への接続許可をBAS4に対して行う。
【0055】
なお、本実施形態の別形態として、ユーザ端末2が要求する付加機能を示す情報はユーザのIDであってもよい。この場合、例えば、ユーザ認証情報データベース15には、ユーザ認証に用いる一組のIDとパスワードに対応付けられた接続先の情報(例えば、ISP網5又は上記各サービスを提供する付加機能網7の終端装置のIPアドレス)が格納されている。そして、ユーザ認証は成立すると認証部16が判定した場合、応答部17は、当該ユーザ認証に用いられた一組のIDとパスワードに対応付けられた接続先の情報をユーザ認証情報データベース15より取得する。また、応答部17は、取得した接続先の情報を用いて、BAS4に対して接続許可を行う。
【0056】
また、本実施形態の別形態として、ユーザ端末2が要求する付加機能を示す情報は、例えば、予め認証サーバ1の記憶部11に格納されていてもよい。この場合、例えば、ユーザ認証情報データベース15には、ユーザ認証に用いる一組のIDとパスワードに対応付けられた接続先の情報(例えば、ISP網5又は上記各サービスを提供する付加機能網7の終端装置のIPアドレス)が格納されている。そして、ユーザ認証は成立すると認証部16が判定した場合、応答部17は、当該ユーザ認証に用いられた一組のIDとパスワードに対応付けられた接続先の情報をユーザ認証情報データベース15より取得する。また、応答部17は、取得した接続先の情報を用いて、BAS4に対して接続許可を行う。
【0057】
なお、本実施形態では、応答部17が、ISP網5又は付加機能網7への接続許可をBAS4に対して行った場合、ISP網終端装置51又は付加機能網終端装置71より当該接続許可の接続確認が行われる。この時、応答部17は自己が行ったBAS4に対する接続許可に対応する接続許可の通知をISP網終端装置51又は付加機能網終端装置71に対して行う。ISP網終端装置51又は付加機能網終端装置71は、この接続許可の通知により、ブロードバンドルータ3と自身との間で通信経路を確立することに対する接続許可を認証サーバ1(応答部17)が行ったことを認識する。
【0058】
他方、ユーザ認証は成立しないと認証部16が判定した場合、応答部17は、任意の情報をBAS4に対して返信する。例えば、応答部17は、従来のインターネットへの接続方法と同様に、各ネットワークへの接続拒否をBAS4に対して行う。
【0059】
§2−5 付加機能網7
<付加機能網7>
付加機能網7は、本実施形態では、ユーザ端末2に対して、付加機能を提供するとともに、インターネット6への接続を提供するネットワークである。付加機能網7について、図4及び図5を用いて説明する。
【0060】
図4は、本実施形態における付加機能網7を例示している。付加機能網7は、図4に示されるとおり、ユーザが許可する又は所望する付加機能に応じて独立したネットワークを構成している。本実施形態では、付加機能が実現されたネットワークとして、DPI機能が実現されたDPI専用ネットワーク7a、帯域規制が実現された帯域規制専用ネットワーク7b、セキュリティ強化機能が実現されたセキュリティ強化ネットワーク7c、及び、通信帯域の確保等の通信品質の高いサービスを提供する機能が実現されたプレミアムネットワーク7dが例示されている。そして各ネットワークは、その終端装置(DPI専用ネットワーク終端装置71a、帯域規制専用ネットワーク終端装置71b、セキュリティ
強化ネットワーク終端装置71c、プレミアムネットワーク終端装置71d)を介してBAS4に接続されている。
【0061】
図5は、本実施形態における付加機能網7の構成例を示す。上記各付加機能が実現された付加機能網7はそれぞれ、付加機能を実現するための付加機能装置72及び付加機能サーバ81を有する。
【0062】
付加機能装置72及び付加機能サーバ81はそれぞれ、そのハードウェア構成として、それぞれバスを介して接続された、各種データ及びプログラムを格納するための記憶部、記憶部に格納されたプログラムを実行する制御部、ネットワークと通信を行うための通信部等を有している。付加機能装置72及び付加機能サーバ81はそれぞれ、このようなハードウェア構成により、上記各付加機能等を実現する。
【0063】
例えば、DPI専用ネットワーク7aは、ユーザ端末2がインターネット6に接続する際に、DPI機能を実現する。DPI機能は、上述のとおりである。例えば、図5に示される付加機能装置72は上述のDPI装置であり、付加機能サーバ81は上述のDPIサーバである。これにより、DPI専用ネットワーク7aは、ユーザ端末2がインターネット6に接続する際に、DPI機能を実現する。そして、例えば、DPIサーバは、当該DPI機能によりユーザの嗜好に合う広告情報を取得し、当該機能を許可しているユーザ端末2に対して、広告情報の送信を行う。
【0064】
また、例えば、帯域規制専用ネットワーク7bは、ユーザ端末2がインターネット6に接続する際に、帯域規制機能を実現する。帯域規制機能は、ユーザ端末2がインターネット6上のサーバにアクセスする際の通信帯域量を規制する機能である。例えば、図5に示される付加機能装置72は通信量を計測するための装置であり、付加機能サーバ81は計測された通信量に基づいて帯域規制を実現するためのサーバである。これにより、帯域規制専用ネットワーク7bは、ユーザ端末2がインターネット6に接続する際に、帯域規制機能を実現する。そして、例えば、帯域規制を実現するためのサーバは、当該帯域規制機能を許可しているユーザのユーザ端末2が帯域規制を超える通信を実行している場合、当該ユーザ端末2に対して、ネットワーク利用量の警告情報を送信する。
【0065】
また、例えば、セキュリティ強化ネットワーク7cは、ユーザ端末2がインターネット6に接続する際に、セキュリティ強化機能を実現する。セキュリティ強化機能は、例えば、ネットワーク上に流通するパケットを解析することによりウイルスチェックや既存のフィルタリングを行う機能である。例えば、図5に示される付加機能装置72は、セキュリティ強化ネットワーク7c上を通過するパケットを収集するための装置である。また、例えば、図5に示される付加機能サーバ81は、収集されたパケットを解析し、ウイルスチェックや既存のフィルタリング等を実行し、セキュリティ強化を行うためのサーバである。これにより、セキュリティ強化ネットワーク7cは、ユーザ端末2がインターネット6に接続する際に、セキュリティ強化機能を実現する。そして、例えば、セキュリティ強化を行うためのサーバは、ウイルスチェック等の実行結果(例えば、abuseやattackの警告
)を、セキュリティ強化を所望するユーザのユーザ端末2に対して送信する。
【0066】
また、例えば、プレミアムネットワーク7dは、ユーザ端末2がインターネット6に接続する際に、通信帯域の確保等の通信品質の高いサービスを提供する機能を実現する。例えば、図5に示される付加機能装置72は、QoS(Quality of Service)を確認するための装置である。また、例えば、図5に示される付加機能サーバ81は、QoSを実現するためのサーバである。これにより、プレミアムネットワーク7dは、ユーザ端末2がインターネット6に接続する際に、通信帯域の確保等の通信品質の高いサービスを提供する機能を実現する。
【0067】
なお、このような付加機能を提供するISPは、これらのネットワークを利用するユーザ毎に課金システムを変更してもよい。この場合、例えば、課金システムを実施する不図示の課金サーバがBAS4に接続されている。そして、上述のユーザ端末2の申込により、ユーザ端末2が要求する付加機能が切り替えられたときに、この課金サーバの情報も切り替えられる。課金サーバは、当該切り替えられた情報を元に、各ユーザの課金を行う。課金サーバは、例えば、帯域規制機能を許可するユーザには安い課金を行い、セキュリティ強化機能を許可するユーザには高い課金を行う。
【0068】
<付加機能網終端装置71>
付加機能網終端装置71(DPI専用ネットワーク終端装置71a、帯域規制専用ネットワーク終端装置71b、セキュリティ強化ネットワーク終端装置71c、プレミアムネットワーク終端装置71d)は、各付加機能ネットワークの終端装置として、周知のハードウェア構成及び機能構成を有している。例えば、付加機能網終端装置71は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。付加機能網終端装置71は、このようなハードウェア構成により、付加機能網7のインタフェースとしての機能等を実現する。
【0069】
本実施形態では、上述のとおり、付加機能網終端装置71は、認証サーバ1から返信される接続許可に応じて、BAS4からブロードバンドルータ3と各付加機能網7との間で通信経路を確立することに対する接続要求がなされる。これに応じて、付加機能網終端装置71は、認証サーバ1が行った接続許可の確認のための通信(接続確認)を認証サーバ1に対して行う。
【0070】
また、本実施形態では、上述のとおり、付加機能網終端装置71は、上記接続確認に応じて認証サーバ1から接続許可の通知を受け取る。これに応じて、付加機能網終端装置71は、上記BAS4の接続要求に対する接続許可をBAS4に対して行う。
【0071】
また、本実施形態では、上記接続許可の後、ブロードバンドルータ3と各付加機能網7との間で通信経路が確立される。この時、BAS4から付加機能網終端装置71に対して上記通信経路確立の要求がなされ、付加機能網終端装置71が当該要求に応答することで、上記通信経路の確立が実現される。
【0072】
§2−6 その他
図1に示されるとおり、本実施形態におけるネットワークの構成例には、ISP網5、ISP網終端装置51、インターネット6及び申込サーバ60が存在する。
【0073】
ISP網5は、本実施形態では、従来のISP網であり、ユーザ端末2に対して、付加機能を提供せず、インターネット6への接続を提供するネットワークである。
【0074】
ISP網終端装置51は、ネットワークの終端装置として、周知のハードウェア構成及び機能構成を有している。例えば、ISP網終端装置51は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。ISP網終端装置51は、このようなハードウェア構成により、ISP網5のインタフェースとしての機能等を実現する。
【0075】
本実施形態では、上述のとおり、認証サーバ1におけるユーザ認証が成立した場合、ブロードバンドルータ3とISP網5との間で通信経路が確立される。この時の動作は、付
加機能網終端装置71と同様であるため、省略する。
【0076】
インターネット6は、ユーザ端末2から見てISP網5から先に存在するネットワーク(インターネット)である。
【0077】
申込サーバ60は、周知のサーバとして一般的なハードウェア構成及び機能構成を有している。例えば、申込サーバ60は、それぞれバスを介して接続された、各種データ及びプログラムを格納するための記憶部、記憶部に格納されたプログラムを実行する制御部、及び、ネットワークと通信を行うための通信部等を有している。申込サーバ60は、このようなハードウェア構成により、上述のWebページを提供する機能を実現する。
【0078】
なお、通信経路の確立に際して行われるブロードバンドルータ3に対するIPアドレスの割り当て等、通信プロトコルについてはIP等の既存のプロトコルが用いられる。また、認証サーバにおいて行われるユーザ認証についても既存のプロトコル(例えば、RADIUSプロトコル)が用いられる。
【0079】
§3 動作例
次に、本実施形態におけるユーザ端末2のインターネット6への接続方法について、図6〜8を用いてその処理手順を説明する。なお、本実施形態では、認証サーバ1においてユーザ認証が成立しない場合の処理手順は従来のインターネットへの接続方法の処理手順と同様であるため、説明は省略する。
【0080】
図6は、本実施形態に係るインターネット6への接続時(ユーザ認証成立)における処理手順の一例を示す。図7は、当該処理手順においてBAS4と認証サーバ1との間で行われるユーザ認証の問合せ及び接続許可のパケット構成例である。
【0081】
図8は、当該処理手順においてISP網5又は付加機能網7(ISP網終端装置51又は付加機能終端装置71)と認証サーバ1との間で行われる接続確認及び接続許可のパケット構成例である。なお、図7及び図8のパケット構成例は、RADIUSプロトコルに準拠しているため、属性個々の説明は省略する。
【0082】
なお、図7及び図8のパケット構成例は、それぞれ属性名フィールド、タイプフィールド、属性値フィールドを有する。属性名フィールドは、RADIUSプロトコルに準拠した属性名を格納している。タイプフィールドは、属性名フィールドに格納された属性に対応するIDを格納している。属性値フィールドは、属性名フィールドに格納された属性の属性値を格納している。
【0083】
まず、図6に示されるとおり、ブロードバンドルータ3は、自身とISP網5又は付加機能網7との間で通信経路が確立されていない場合、ユーザ端末2からのインターネット6へのアクセス要求に応じて、BAS4に対してISP網5又は付加機能網7への接続要求を行う(S101)。なお、当該接続要求には、ユーザ認証に用いられるID及びパスワードと、ユーザ端末2が要求する付加機能を示す情報としてのドメイン名が含まれている。
【0084】
ブロードバンドルータ3からの接続要求に応じて、BAS4は、認証サーバ1にユーザ端末2のユーザ認証の問合せを行う(S102)。
【0085】
図7(a)は、この問合せを構成するパケットの構成例を示す。「User-Name」に格納
される属性値は、ユーザのIDとドメイン名を組み合わせたものであり、例えば、「ID@ドメイン名」という文字列が格納される。具体的な例として、図1に示されるとおり、
DPI機能を望むユーザaの場合、当該属性値は「a@dpi.ccc.com」である。また、付加
機能を望まないユーザbの場合、当該属性値は「b@ccc.com」である。
【0086】
「User-Password」「CHAP-Password」に格納される属性値は、上記接続要求に含まれるパスワードであり、認証サーバ1のユーザ認証に用いられる。なお、「User-Password」
及び「CHAP-Password」はBAS4と認証サーバ1との間で用いられる認証プロトコル(
PAP(Password Authentication Protocol)、又はCHAP(Challenge Handshake Authentication Protocol))により、どちらか一方が選択される。また、他の属性に格納
された属性値は、BAS4と認証サーバ1との通信に用いられる。
【0087】
図6に戻り、BAS4からのユーザ認証の問合せに応じて、認証サーバ1はユーザ端末2のユーザ認証を行う。ユーザ認証は、認証部16によって行われる。例えば、認証部16は、BAS4からのユーザ認証の問合せに含まれるID及びパスワードと、ユーザ認証情報データベース15に格納されている一組のID及びパスワードとが一致するか否か判定する。そして、BAS4からのユーザ認証の問合せに含まれるID及びパスワードと、ユーザ認証情報データベース15に格納されている一組のID及びパスワードとが一致していると、当該ユーザ認証は成立すると認証部16は判定する(S103)。
【0088】
ユーザ認証は成立すると認証部16が判定すると、応答部17は、上記ドメイン名に基づいて、ISP網5又は付加機能網7への接続許可を行う(S104)。例えば、上記ユーザaの場合、応答部17は、付加機能網7(DPI専用ネットワーク7a)への接続許可を行う。また、例えば、上記ユーザbの場合、応答部17は、ISP網5への接続許可を行う。
【0089】
図7(b)は、この接続許可を構成するパケットの構成例を示す。「Service-Type」及び「Framed-Protocol」の属性値は、上記のとおり、BAS4と認証サーバ1との通信に
用いられる。また、「Framed-IP-Address」及び「Framed-IP-Netmask」の属性値は、ブロードバンドルータ3に割り当てられるIPアドレス及びそのサブネットマスクである。
【0090】
また、「Ascend-Primary-Home-Agent」の属性値は、後述するS105において、BA
S4がISP網終端装置51(ISP網5)又は付加機能終端装置71(付加機能網7)にアクセスするために用いられる。例えば、上記ユーザaの場合、当該属性値は、付加機能終端装置71(DPI専用ネットワーク終端装置71a)のIPアドレスである。また、例えば、上記ユーザbの場合、当該属性値は、ISP網終端装置51のIPアドレスである。
【0091】
図6に戻り、認証サーバ1からのISP網5又は付加機能網7への接続許可に応じて、BAS4は、当該接続許可に基づいた接続要求を、各ネットワークの終端装置であるISP網終端装置51又は付加機能網終端装置71に対して行う(S105)。当該接続要求に際して、BAS4は、上述のとおり、「Ascend-Primary-Home-Agent」の属性値を用い
てISP網終端装置51又は付加機能網終端装置71にアクセスし、接続要求を行う。例えば、上記ユーザaの場合、BAS4は、付加機能網終端装置71(DPI専用ネットワーク終端装置71a)にアクセスし、接続要求を行う。また、例えば、上記ユーザbの場合、BAS4は、ISP網終端装置51にアクセスし、接続要求を行う。
【0092】
BAS4からの接続要求に応じて、ISP網終端装置51又は付加機能網終端装置71は、認証サーバ1が行った当該接続要求に係る接続許可(S104)に対する接続確認を認証サーバ1に対して行う(S106)。
【0093】
図8(a)は、この接続確認を構成するパケットの構成例を示す。「User-Name」から
「NAS-Port-Id」までの属性値は、認証サーバ1が行った接続許可の特定に用いられる。
また、「Tunnel-Type」、「Tunnel-Medium-Type」及び「Tunnel-Server-Endpoint」の属
性値は、ブロードバンドルータ3とISP網5又は付加機能網7との間で確立する通信経路(トンネル)の種別を、認証サーバ1に確認するために用いられる。後述するS110及びS111においては、これらの属性値に基づいて通信経路が確立される。
【0094】
図6に戻り、ISP網終端装置51又は付加機能網終端装置71からの接続確認に応じて、認証サーバ1(応答部17)は、S104で行った接続許可に対応する接続許可をISP網終端装置51又は付加機能網終端装置71に対して行う(S107)。
【0095】
図8(b)は、この接続許可を構成するパケットの構成例を示す。「Framed-IP-Address」及び「Framed-IP-Netmask」の属性値は、上述のとおり、ブロードバンドルータ3に割り当てられるIPアドレス及びそのサブネットマスクである。付加機能網終端装置71は、付加機能網7と通信経路を確立するブロードバンドルータ3を特定するためにこれらの値を用いる。
【0096】
図6に戻り、認証サーバ1からの上記接続許可に応じて、ISP網終端装置51又は付加機能網終端装置71は、BAS4からの接続要求に対する接続許可をBAS4に対して行う(S108)。
【0097】
ISP網終端装置51又は付加機能網終端装置71からの接続許可に応じて、BAS4は、ブロードバンドルータ3に対して、ISP網5又は付加機能網7への接続許可を返信する(S109)。当該接続許可には、上記ブロードバンドルータ3に割り当てられるIPアドレス及びそのサブネットマスクが含まれる。
【0098】
BAS4からのISP網5又は付加機能網7への接続許可に応じて、ブロードバンドルータ3からBAS4に対して、ブロードバンドルータ3とISP網5又は付加機能網7との間の通信経路の確立のための通信が行われる(S110)。またこれに応じて、BAS4からISP網終端装置51又は付加機能網終端装置71に対して、ブロードバンドルータ3とISP網5又は付加機能網7との間の通信経路の確立のための通信が行われる(S111)。なお、この際に確立される通信経路の種別は、上記において説明したように、「Tunnel-Type」、「Tunnel-Medium-Type」及び「Tunnel-Server-Endpoint」の属性値に
基づいている。
【0099】
以上までの処理により、BAS4とISP網5又は付加機能網7との間において通信経路が確立される。これにより、例えば、上記ユーザaの場合、ユーザ端末2は、付加機能網7(DPI専用ネットワーク7a)を経由して、インターネット6上に存在するサーバにアクセスすることができるようになる。また、例えば、上記ユーザbの場合、ユーザ端末2は、ISP網5を経由して、インターネット6上に存在するサーバにアクセスすることができるようになる。
【0100】
なお、BAS4の上記動作を実現するプログラム等の設定において、ISP網5への接続がデフォルトとして設定されている場合がある。この場合、BAS4は、認証サーバ1より接続許可を受けた後(S104)、S105〜S108の処理を省略して、ブロードバンドルータ3へISP網5への接続許可を行う(S109)。更にこの場合、S105〜S108の処理が省略されるため、ISP網終端装置51と認証サーバ1とはネットワークを介して直接通信可能となっている図1の状態である必要はない。
【0101】
§4 実施の形態に係る作用及び効果
以上によれば、本実施形態に係る認証サーバ及び認証システムでは、ユーザ端末2が要
求する付加機能を示す情報に基づいて、認証サーバ1は、ユーザ端末2がインターネット6に接続する際に経由するネットワーク(ISP網5又は付加機能網7)を決定する。このため、認証サーバ1により当該ネットワークに対する接続許可が行われることで、ユーザ端末2は、自身が要求する付加機能を提供することができるネットワークを経由して、インターネット6に接続できるようになる。したがって、本実施形態では、ネットワーク上において提供される付加機能を適切なユーザに提供することができる。また、従来とは異なり、全てのユーザに対して機能を提供する必要はなくなり、適切なユーザに対して付加機能を提供することができるネットワークを用意すればよいため、小規模で安価な装置により、機能の提供を実施することができる。
【0102】
また、本実施形態では、認証サーバ1は、ドメイン名により接続先のネットワークを決定する。これによって、ユーザは、ユーザが許可する又は所望する付加機能の切り替えを、ドメイン名を切り替えることによって達成することができる。
【0103】
また、本実施形態では、ユーザ端末2は、Webページの操作により付加機能を切り替える。このため、ユーザは、任意に所望の付加機能を切り替えることができる。また、ユーザ端末2が要求する付加機能はユーザの任意により切り替えられるため、付加機能を提供する側(例えば、ISP)は、提供する付加機能をユーザに告知することができる。
【0104】
§5 補足
以上、本発明の実施の形態を詳細に説明してきたが、前述までの説明はあらゆる点において本発明の例示に過ぎず、その範囲を限定しようとするものではない。本発明の範囲を逸脱することなく種々の改良や変形を行うことができることは言うまでもない。本発明は、特許請求の範囲によってのみその範囲が解釈される。また、当業者は、上記本実施形態の記載から、特許請求の範囲の記載および技術常識に基づいて等価な範囲を実施することができる。また、本明細書において使用される用語は、特に言及しない限り、当該分野で通常用いられる意味で用いられる。したがって、他に定義されない限り、本明細書中で使用される全ての専門用語および技術用語は、本発明の属する分野の当業者によって一般的に理解される意味と同じ意味を有する。両者が矛盾する場合、本明細書において使用される用語は、本明細書(定義を含めて)に記載された意味において理解される。
【0105】
なお、以上までの説明において、本発明に係る認証サーバ及び認証システムの一実施形態について説明したが、本発明に係る認証方法及び認証プログラムの一実施形態についても同様に説明することができる。つまり、上記認証サーバの各処理を各ステップとする手順が本発明に係る認証方法の一実施形態であり、上記認証サーバの各処理を実行させるために用いられるプログラムが本発明に係る認証プログラムの一実施形態である。
【符号の説明】
【0106】
1 認証サーバ
11 記憶部
12 制御部
13 バス
14 通信部
15 ユーザ認証情報データベース
16 認証部
17 応答部
2 ユーザ端末
3 ブロードバンドルータ
4 BAS
5 ISP網
51 ISP網終端装置
6 インターネット
7 付加機能網
7a DPI専用ネットワーク
7b 帯域規制専用ネットワーク
7c セキュリティ強化ネットワーク
7d プレミアムネットワーク
71 付加機能網終端装置
71a DPI専用ネットワーク終端装置
71b 帯域規制専用ネットワーク終端装置
71c セキュリティ強化ネットワーク終端装置
71d プレミアムネットワーク終端装置
72 付加機能装置
81 付加機能サーバ
【技術分野】
【0001】
本発明は、ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証サーバ、認証システム、認証方法及び認証プログラムの技術に関する。
【背景技術】
【0002】
近年、ISP(Internet Service Provider)は、インターネットへの接続サービスに
様々な機能を付加したサービスを提供している。例えば、この付加される機能を実現する技術の一つとして、DPI(Deep Packet Inspection)と呼ばれる技術が存在する。DPIとは、インターネットでやりとりされるデータ(パケット)を収集して、解析する技術である。このDPIにより、インターネットでやりとりされるデータの傾向を調べることができ、例えば、傾向に合う広告データをユーザに提供することができる。
【0003】
図9は、従来のDPIが用いられるネットワークの構成例を示す。図9に示されるとおり、従来のDPIが用いられるネットワーク構成は、例えば、ユーザ端末2、ブロードバンドルータ3、BAS(Broadband Access Server)4、認証サーバ10、ISP網5、
ISP網終端装置51、インターネット6、DPI装置70及びDPIサーバ80を含む。
【0004】
従来のDPIが用いられるネットワークの構成では、DPI機能を望むユーザa及びDPI機能を望まないユーザbのユーザ端末2とインターネット6との間でやりとりされるデータは一度DPI装置70を通過する。DPI装置70は、ユーザがDPI機能を望む、望まないに関わらず、全てのデータのコピーをDPIサーバ80に送信する。そして、DPIサーバ80は、これらのデータを収集及び解析を行い、例えば、データの傾向に合う広告データを、DPI機能を望むユーザaのユーザ端末2に提供していた。
【0005】
このような技術に関して、例えば、特許文献1及び特許文献2に挙げられる技術が存在する。
【0006】
特許文献1では、ある広告ページ(Webページ)を経由したクライアントにクッキーを仕込み、クッキーが仕込まれたクライアントからのパケットを閲覧し、クライアントの閲覧しているWebページの傾向を調べる技術が開示されている。
【0007】
特許文献2では、課金されたコンテンツへアクセスにおいて、認証が済んだ端末したアクセスできないようにするために、全てのパケットを閲覧し、認証が済んでいるかどうかを調べる技術が開示されている。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特表2010−514061号公報
【特許文献2】特開2010−050775号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
上記のようにインターネットへの接続サービスに様々な機能を付加したサービスを提供する従来の技術では、ユーザが望む(許可する)、望まない(許可しない)に関わらず、全て一度データ解析のためにデータが収集されていた。このため、ネットワークに接続されるユーザ端末の数に応じて、大規模で処理が高速な装置(例えば、DPI装置及びDP
Iサーバ)が必要であった。また、全てのデータを一度収集してしまうため、データ収集を許可しないユーザの要望に対応することができなかった。
【0010】
本発明は、このような点を考慮してなされたものであり、ネットワーク上において提供される機能を適切なユーザに提供することができる認証サーバ、認証システム、認証方法及び認証プログラムを提供することを目的とする。
【課題を解決するための手段】
【0011】
本発明は、上述した課題を解決するために、以下の構成を採用する。
【0012】
すなわち、ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う本発明の認証サーバは、記憶部と、情報端末からの接続要求に応じて、情報端末のユーザ認証を行う認証部と、認証部のユーザ認証の後に、情報端末に対して、情報端末側から送信された、又は、記憶部に格納された情報により示される情報端末が要求する付加機能を提供可能なネットワークへの接続を許可する応答部と、を備える。
【0013】
上記構成によれば、付加機能を要求する情報端末は、当該付加機能を提供可能なネットワークへ接続が許可される。このため、ネットワーク上において提供される付加機能を適切なユーザに提供することができる。また、従来とは異なり、全てのユーザに対して機能を提供する必要はなくなり、適切なユーザに対して付加機能を提供することができるネットワークを用意すればよいため、小規模で安価な装置により、機能の提供を実施することができる。
【0014】
また、上記情報端末側から送信された情報は、上記情報端末が要求する付加機能を示す文字列を含むドメイン名であってもよい。
【0015】
上記構成によれば、情報端末が要求する付加機能は、ドメイン名によって指定される。このため、情報端末の要求する付加機能を切り替えはドメイン名の切り替えによって達成することができる。
【0016】
また、本発明の認証システムは、本発明の認証サーバと、前記情報端末からの前記付加機能の切り替えの申込により、上記情報端末側から送信される、又は、上記記憶部に格納される情報が示す付加機能を切り替える申込サーバと、を備える。
【0017】
上記構成によれば、情報端末の申込により、情報端末が要求する付加機能が切り替えられる。このため、ユーザは、任意に所望の付加機能を切り替えることができる。また、情報端末が要求する付加機能はユーザの任意により切り替えられるため、付加機能を提供する側は、提供する付加機能をユーザに告知することができる。
【0018】
なお、本発明の別態様としては、以上の何れかの構成を実現する方法であってもよいし、システムであってもよいし、プログラムであってもよいし、このようなプログラムを記録したコンピュータが読み取り可能な記憶媒体であってもよい。
【発明の効果】
【0019】
本発明によれば、ネットワーク上において提供される機能を適切なユーザに提供することができる認証サーバ、認証システム、認証方法及び認証プログラムを提供することができる。
【図面の簡単な説明】
【0020】
【図1】実施の形態に係るネットワーク構成を例示する図。
【図2】実施の形態に係る付加機能を選択する画面を例示する図。
【図3】実施の形態に係る認証サーバの構成を例示する図。
【図4】実施の形態に係る付加機能網を例示する図。
【図5】実施の形態に係る付加機能網の構成例を例示する図。
【図6】実施の形態に係るネットワーク(インターネット)への接続時における処理手順の一例を示したシーケンスチャート。
【図7】BASと認証サーバとの間のユーザ認証に関するパケットが含む属性例及び属性値例。
【図8】付加機能網終端装置と認証サーバとの間の接続要求に関するパケットが含む属性例及び属性値例。
【図9】従来のネットワーク構成を例示する図。
【発明を実施するための形態】
【0021】
以下、本発明の一側面に係る認証サーバ及び認証システムを、実施の形態(以下、「本実施形態」とも表記する)として説明する。ただし、以下に挙げる実施形態は例示であり、本発明は以下の実施形態の構成に限定されない。
【0022】
なお、以下に挙げる実施形態において、例えば、図7及び図8においてパケット構成例の属性名や属性値を自然言語(日本語等)等で例示しているが、より具体的には、コンピュータが認識可能な疑似言語、コマンド、パラメタ、マシン語等で指定される。
【0023】
§1 ネットワーク構成例
まず、本実施形態に係るネットワークの構成例について説明する。図1は、本実施形態に係るネットワークの構成例を示す。図1に示されるとおり、本実施形態に係るネットワークは、認証サーバ1、ユーザ端末2、ブロードバンドルータ3、BAS4、ISP網5及びISP網終端装置51、インターネット6及び申込サーバ60、並びに付加機能網7及び付加機能網終端装置71を含んだ構成となっている。
【0024】
認証サーバ1は、ネットワークを介してBAS4、ISP網終端装置51(ISP網5)及び付加機能網終端装置71(付加機能網7)と通信可能となっている。ユーザ端末2は、ネットワークを介してブロードバンドルータ3と通信可能となっている。ブロードバンドルータ3は、ネットワークを介してユーザ端末2及びBAS4と通信可能となっている。BAS4は、ネットワークを介して認証サーバ1、ブロードバンドルータ3、ISP網終端装置51(ISP網5)及び付加機能網終端装置71(付加機能網7)と通信可能となっている。
【0025】
ユーザ端末2は、ブロードバンドルータ3、BAS4並びにISP網5及びISP網終端装置51又は付加機能網7及び付加機能網終端装置71を介して、インターネット6に接続することができる。
【0026】
ISP網5は、従来のISP網であり、ユーザ端末2に対して、付加機能を提供せず、インターネット6への接続を提供するネットワークである。他方、付加機能網7は、ユーザ端末2に対して、付加機能を提供するとともに、インターネット6への接続を提供するネットワークである。
【0027】
§2 装置構成例
次に、本実施形態に係るネットワークの各ノードについて説明する。
【0028】
§2−1 ユーザ端末2
ユーザ端末2は、例えば、PC(Personal Computer)として周知のハードウェア構成
及び機能構成を有している。例えば、ユーザ端末2は、そのハードウェア構成として、それぞれバスを介して接続された、各種データ及びプログラムを格納するための記憶部、記憶部に格納されたプログラムを実行する制御部、ネットワークと通信を行うための通信部、マウスやキーボード等に対するユーザの操作を入力するための入力部等を有している。ユーザ端末2は、このようなハードウェア構成により、ネットワークを介してインターネット6へ接続するための一般的な通信機能、提供されたデータに基づく画面を表示及び操作することができる一般的なユーザインタフェース機能等を実現する。
【0029】
本実施形態では、ユーザ端末2は、ISP網5又は付加機能網7を介してインターネット6上に存在するサーバ(Webサーバやメールサーバ等)へアクセスする。この時、ブロードバンドルータ3とISP網5又は付加機能網7との間で通信経路が確立されていない場合、認証サーバ1によりユーザ端末2のユーザ認証が行われる。後述するとおり、ユーザ認証が成立すると、認証サーバ1は、ユーザ端末2側(本実施形態ではブロードバンドルータ3)から送信される情報であって、ユーザ端末2が要求する付加機能を示す情報に基づいて、接続許可を行う対象のネットワークを決定する。これにより、ブロードバンドルータ3とISP網5又は付加機能網7との間で通信経路が確立され、ユーザ端末2は、インターネット6上に存在するサーバにアクセスすることができるようになる。
【0030】
また、本実施形態では、インターネット6上に存在する申込サーバ60にユーザ端末2がアクセスすることにより取得されるWebページが操作されることにより、ユーザ端末2が要求する付加機能が切り替えられる。図2は、当該Webページの表示画面例を示す。
【0031】
ユーザ端末2上において、図2に示されるWebページが操作される。ユーザは、ユーザ端末2を操作し、付加機能の選択画面(20)から、所望の付加機能を選択する(21)。そして、選択した付加機能が設定操作される(22)ことにより、ユーザ端末2からブロードバンドルータ3に対して、ユーザ端末2が要求する付加機能を示す情報の切り替えが要求される。ブロードバンドルータ3は、当該要求に応じて、ユーザ端末2が要求する付加機能を示す情報の切り替えを行う。
【0032】
なお、本実施形態の別方法として、申込サーバ60に代えて、ユーザ端末2上で実行されるプログラムにより、上記付加機能の切り替えが実現されてもよい。
【0033】
§2−2 ブロードバンドルータ3
ブロードバンドルータ3は、周知のブロードバンドルータとして一般的なハードウェア構成及び機能構成を有している。例えば、ブロードバンドルータ3は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。ブロードバンドルータ3は、このようなハードウェア構成により、ブロードバンドルータ3とISP網5または付加機能網7との間で通信経路を確立する一般的なルーティング機能等を実現する。
【0034】
本実施形態では、ブロードバンドルータ3は、ユーザ端末2からのインターネット6上へのサーバに対するアクセス要求に応じて、ISP網5又は付加機能網7との間に通信経路を確立するために、BAS4に対して接続要求を行う。接続要求に際して、ブロードバンドルータ3からBAS4へ、ユーザ認証に用いる情報(例えば、ユーザのID及びパスワード)と共に、ユーザ端末2が要求する付加機能を示す情報が送信される。詳細については後述する。
【0035】
この接続要求に応じて、認証サーバ1によりユーザ端末2のユーザ認証が行われる。そ
して、ユーザ認証の結果に応じて、本実施形態では、ブロードバンドルータ3は、BAS4から送信される接続許可の情報に基づいて、ISP網5又は付加機能網7との間に通信経路を確立する。この通信経路の確立のため、ブロードバンドルータ3は、BAS4と通信経路確立のための通信を行う。
【0036】
また、本実施形態では、ブロードバンドルータ3は、ユーザ端末2からの要求に応じて、ユーザ端末2が要求する付加機能を示す情報を切り替える。ユーザ端末2が要求する付加機能を示す情報の具体例については、後述する。
【0037】
§2−3 BAS4
BAS4は、周知のアクセスサーバとして一般的なハードウェア構成及び機能構成を有している。例えば、BAS4は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。BAS4は、このようなハードウェア構成により、一般的な認証クライアントの機能等を実現する。
【0038】
本実施形態では、BAS4は、ブロードバンドルータ3からのISP5又は付加機能網7への接続要求に応じて、認証サーバ1にユーザ認証の問合せを行う。
【0039】
また、本実施形態では、認証サーバ1から返信される接続許可(例えば、接続許可の情報を含むパケットデータの通知)に応じて、BAS4は、ISP網終端装置51又は付加機能網終端装置71に対して接続要求を行う。当該接続要求は、ブロードバンドルータ3とISP網5又は付加機能網7との間で通信経路を確立するためのものである。この接続要求に応じて、ISP網終端装置51又は付加機能網終端装置71から接続許可の応答が返される。BAS4は、当該接続許可の応答に応じて、ブロードバンドルータ3にISP網5又は付加機能網7への接続許可を返信する。
【0040】
§2−4 認証サーバ1
図3は、本実施形態における認証サーバ1の構成例を示す。
【0041】
認証サーバ1は、図3に示されるように、そのハードウェア構成として、バス13で接続される、記憶部11、制御部12、通信部14等の既存のハードウェアを有している。記憶部11は、例えばハードディスクであり、制御部12で実行される処理で利用される各種データ及びプログラムを記憶する。制御部12は、CPU(Central Processing Unit)等の1又は複数のプロセッサであり、このプロセッサの処理に利用される周辺回路(
ROM(Read Only Memory)、RAM(Random Access Memory)、インタフェース回路等)を有する。通信部14は、ネットワークを介して、BAS4、ISP網終端装置51及び付加機能網終端装置71等とIP(Internet Protocol)パケット等の送受信を行う。
なお、認証サーバ1は、PC等のような汎用コンピュータで構成されてもよいし、ネットワーク接続ストレージのような専用コンピュータで構築されてもよい。
【0042】
図3に示されるとおり、認証サーバ1は、ユーザ認証を行う情報を格納するためのユーザ認証情報データベース15を記憶部11に有している。
【0043】
ユーザ認証情報データベース15には、後述する認証部16がユーザ認証を行うための情報が格納されている。ユーザ認証を行うための情報は、上述のブロードバンドルータ3からBAS4に送信されるユーザ認証に用いる情報に対応した情報であり、例えば、ユーザのIDとパスワードとを一組にした情報である。
【0044】
また、図3に示されるとおり、認証サーバ1は、ユーザ認証情報データベース15の情
報を用いてユーザ認証を行う認証部16、及び認証部16のユーザ認証の結果に応じた応答(ネットワークへの接続許可)を行う応答部17を制御部11に有している。
【0045】
認証部16は、BAS4からのユーザ認証の問合せに応じて、当該問合せの対象であるユーザ端末2のユーザ認証を行う。認証部16は、このユーザ認証を、ユーザ認証情報データベース15に格納された情報と、BAS4からのユーザ認証の問合せに含まれる上述のブロードバンドルータ3からBAS4に送信されるユーザ認証に用いる情報とを用いることにより実施する。
【0046】
例えば、ユーザ認証情報データベース15にはユーザのIDとパスワードとを一組にした情報が格納されており、上述のブロードバンドルータ3からBAS4に送信されるユーザ認証に用いる情報がユーザのIDとパスワードであるとする。この場合、認証部16は、BAS4からのユーザ認証の問合せに含まれたユーザのID及びパスワードが、ユーザ認証情報データベース15に格納されているユーザのID及びパスワードと一致するか否かを判定することにより、ユーザ認証を実施する。
【0047】
例えば、認証部16は、BAS4の問合せに含まれたID及びパスワードとユーザ認証情報データベース15に格納されているID及びパスワードが一致した場合、ユーザ認証は成立すると判定する。他方、認証部16は、BAS4の問合せに含まれたID及びパスワードとユーザ認証情報データベース15に格納されているID及びパスワードが一致しない場合、ユーザ認証は成立しないと判定する。
【0048】
本実施形態では、応答部17は、ユーザ認証は成立すると認証部16が判定した場合、ネットワークへの接続許可をBAS4に対して行う。この接続許可の対象となるネットワークは、本実施形態では、ISP網5または付加機能網7である。認証部16がこれらのネットワークに対する接続許可をBAS4に対して行うことで、ブロードバンドルータ3とこれらのネットワークとの間に通信経路が形成される。
【0049】
この接続許可において、応答部17は、BAS4からのユーザ認証の問合せに含まれるブロードバンドルータ3から送信されたユーザ端末2が要求する付加機能を示す情報に基づいて、BAS4に対して行う接続許可の接続先を決定する。本実施形態では、ユーザ端末2が要求する付加機能を示す情報はドメイン名である。
【0050】
例えば、ドメイン名が「ccc.com」である場合、応答部17は、ユーザ端末2が要求す
る付加機能はなしと判定し、ISP網5への接続許可をBAS4に対して行う。
【0051】
また、例えば、ドメイン名が「dpi.ccc.com」である場合、応答部17は、ユーザ端末
2が要求する付加機能は後述するDPI機能であると判定し、DPI機能を提供する付加機能網7(後述するDPI専用ネットワーク7a)への接続許可をBAS4に対して行う。
【0052】
また、例えば、ドメイン名が「tctrl.ccc.com」である場合、応答部17は、ユーザ端
末2が要求する付加機能は後述する帯域規制機能であると判定し、帯域規制機能を提供する付加機能網7(後述する帯域規制専用ネットワーク7b)への接続許可をBAS4に対して行う。
【0053】
また、例えば、ドメイン名が「sec.ccc.com」である場合、応答部17は、ユーザ端末
2が要求する付加機能は後述するセキュリティ強化機能であると判定し、セキュリティ強化機能を提供する付加機能網7(後述するセキュリティ強化ネットワーク7c)への接続許可をBAS4に対して行う。
【0054】
また、例えば、ドメイン名が「prem.ccc.com」である場合、応答部17は、ユーザ端末2が要求する付加機能は後述するプレミアム機能であると判定し、プレミアム機能を提供する付加機能網7(後述するプレミアムネットワーク7d)への接続許可をBAS4に対して行う。
【0055】
なお、本実施形態の別形態として、ユーザ端末2が要求する付加機能を示す情報はユーザのIDであってもよい。この場合、例えば、ユーザ認証情報データベース15には、ユーザ認証に用いる一組のIDとパスワードに対応付けられた接続先の情報(例えば、ISP網5又は上記各サービスを提供する付加機能網7の終端装置のIPアドレス)が格納されている。そして、ユーザ認証は成立すると認証部16が判定した場合、応答部17は、当該ユーザ認証に用いられた一組のIDとパスワードに対応付けられた接続先の情報をユーザ認証情報データベース15より取得する。また、応答部17は、取得した接続先の情報を用いて、BAS4に対して接続許可を行う。
【0056】
また、本実施形態の別形態として、ユーザ端末2が要求する付加機能を示す情報は、例えば、予め認証サーバ1の記憶部11に格納されていてもよい。この場合、例えば、ユーザ認証情報データベース15には、ユーザ認証に用いる一組のIDとパスワードに対応付けられた接続先の情報(例えば、ISP網5又は上記各サービスを提供する付加機能網7の終端装置のIPアドレス)が格納されている。そして、ユーザ認証は成立すると認証部16が判定した場合、応答部17は、当該ユーザ認証に用いられた一組のIDとパスワードに対応付けられた接続先の情報をユーザ認証情報データベース15より取得する。また、応答部17は、取得した接続先の情報を用いて、BAS4に対して接続許可を行う。
【0057】
なお、本実施形態では、応答部17が、ISP網5又は付加機能網7への接続許可をBAS4に対して行った場合、ISP網終端装置51又は付加機能網終端装置71より当該接続許可の接続確認が行われる。この時、応答部17は自己が行ったBAS4に対する接続許可に対応する接続許可の通知をISP網終端装置51又は付加機能網終端装置71に対して行う。ISP網終端装置51又は付加機能網終端装置71は、この接続許可の通知により、ブロードバンドルータ3と自身との間で通信経路を確立することに対する接続許可を認証サーバ1(応答部17)が行ったことを認識する。
【0058】
他方、ユーザ認証は成立しないと認証部16が判定した場合、応答部17は、任意の情報をBAS4に対して返信する。例えば、応答部17は、従来のインターネットへの接続方法と同様に、各ネットワークへの接続拒否をBAS4に対して行う。
【0059】
§2−5 付加機能網7
<付加機能網7>
付加機能網7は、本実施形態では、ユーザ端末2に対して、付加機能を提供するとともに、インターネット6への接続を提供するネットワークである。付加機能網7について、図4及び図5を用いて説明する。
【0060】
図4は、本実施形態における付加機能網7を例示している。付加機能網7は、図4に示されるとおり、ユーザが許可する又は所望する付加機能に応じて独立したネットワークを構成している。本実施形態では、付加機能が実現されたネットワークとして、DPI機能が実現されたDPI専用ネットワーク7a、帯域規制が実現された帯域規制専用ネットワーク7b、セキュリティ強化機能が実現されたセキュリティ強化ネットワーク7c、及び、通信帯域の確保等の通信品質の高いサービスを提供する機能が実現されたプレミアムネットワーク7dが例示されている。そして各ネットワークは、その終端装置(DPI専用ネットワーク終端装置71a、帯域規制専用ネットワーク終端装置71b、セキュリティ
強化ネットワーク終端装置71c、プレミアムネットワーク終端装置71d)を介してBAS4に接続されている。
【0061】
図5は、本実施形態における付加機能網7の構成例を示す。上記各付加機能が実現された付加機能網7はそれぞれ、付加機能を実現するための付加機能装置72及び付加機能サーバ81を有する。
【0062】
付加機能装置72及び付加機能サーバ81はそれぞれ、そのハードウェア構成として、それぞれバスを介して接続された、各種データ及びプログラムを格納するための記憶部、記憶部に格納されたプログラムを実行する制御部、ネットワークと通信を行うための通信部等を有している。付加機能装置72及び付加機能サーバ81はそれぞれ、このようなハードウェア構成により、上記各付加機能等を実現する。
【0063】
例えば、DPI専用ネットワーク7aは、ユーザ端末2がインターネット6に接続する際に、DPI機能を実現する。DPI機能は、上述のとおりである。例えば、図5に示される付加機能装置72は上述のDPI装置であり、付加機能サーバ81は上述のDPIサーバである。これにより、DPI専用ネットワーク7aは、ユーザ端末2がインターネット6に接続する際に、DPI機能を実現する。そして、例えば、DPIサーバは、当該DPI機能によりユーザの嗜好に合う広告情報を取得し、当該機能を許可しているユーザ端末2に対して、広告情報の送信を行う。
【0064】
また、例えば、帯域規制専用ネットワーク7bは、ユーザ端末2がインターネット6に接続する際に、帯域規制機能を実現する。帯域規制機能は、ユーザ端末2がインターネット6上のサーバにアクセスする際の通信帯域量を規制する機能である。例えば、図5に示される付加機能装置72は通信量を計測するための装置であり、付加機能サーバ81は計測された通信量に基づいて帯域規制を実現するためのサーバである。これにより、帯域規制専用ネットワーク7bは、ユーザ端末2がインターネット6に接続する際に、帯域規制機能を実現する。そして、例えば、帯域規制を実現するためのサーバは、当該帯域規制機能を許可しているユーザのユーザ端末2が帯域規制を超える通信を実行している場合、当該ユーザ端末2に対して、ネットワーク利用量の警告情報を送信する。
【0065】
また、例えば、セキュリティ強化ネットワーク7cは、ユーザ端末2がインターネット6に接続する際に、セキュリティ強化機能を実現する。セキュリティ強化機能は、例えば、ネットワーク上に流通するパケットを解析することによりウイルスチェックや既存のフィルタリングを行う機能である。例えば、図5に示される付加機能装置72は、セキュリティ強化ネットワーク7c上を通過するパケットを収集するための装置である。また、例えば、図5に示される付加機能サーバ81は、収集されたパケットを解析し、ウイルスチェックや既存のフィルタリング等を実行し、セキュリティ強化を行うためのサーバである。これにより、セキュリティ強化ネットワーク7cは、ユーザ端末2がインターネット6に接続する際に、セキュリティ強化機能を実現する。そして、例えば、セキュリティ強化を行うためのサーバは、ウイルスチェック等の実行結果(例えば、abuseやattackの警告
)を、セキュリティ強化を所望するユーザのユーザ端末2に対して送信する。
【0066】
また、例えば、プレミアムネットワーク7dは、ユーザ端末2がインターネット6に接続する際に、通信帯域の確保等の通信品質の高いサービスを提供する機能を実現する。例えば、図5に示される付加機能装置72は、QoS(Quality of Service)を確認するための装置である。また、例えば、図5に示される付加機能サーバ81は、QoSを実現するためのサーバである。これにより、プレミアムネットワーク7dは、ユーザ端末2がインターネット6に接続する際に、通信帯域の確保等の通信品質の高いサービスを提供する機能を実現する。
【0067】
なお、このような付加機能を提供するISPは、これらのネットワークを利用するユーザ毎に課金システムを変更してもよい。この場合、例えば、課金システムを実施する不図示の課金サーバがBAS4に接続されている。そして、上述のユーザ端末2の申込により、ユーザ端末2が要求する付加機能が切り替えられたときに、この課金サーバの情報も切り替えられる。課金サーバは、当該切り替えられた情報を元に、各ユーザの課金を行う。課金サーバは、例えば、帯域規制機能を許可するユーザには安い課金を行い、セキュリティ強化機能を許可するユーザには高い課金を行う。
【0068】
<付加機能網終端装置71>
付加機能網終端装置71(DPI専用ネットワーク終端装置71a、帯域規制専用ネットワーク終端装置71b、セキュリティ強化ネットワーク終端装置71c、プレミアムネットワーク終端装置71d)は、各付加機能ネットワークの終端装置として、周知のハードウェア構成及び機能構成を有している。例えば、付加機能網終端装置71は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。付加機能網終端装置71は、このようなハードウェア構成により、付加機能網7のインタフェースとしての機能等を実現する。
【0069】
本実施形態では、上述のとおり、付加機能網終端装置71は、認証サーバ1から返信される接続許可に応じて、BAS4からブロードバンドルータ3と各付加機能網7との間で通信経路を確立することに対する接続要求がなされる。これに応じて、付加機能網終端装置71は、認証サーバ1が行った接続許可の確認のための通信(接続確認)を認証サーバ1に対して行う。
【0070】
また、本実施形態では、上述のとおり、付加機能網終端装置71は、上記接続確認に応じて認証サーバ1から接続許可の通知を受け取る。これに応じて、付加機能網終端装置71は、上記BAS4の接続要求に対する接続許可をBAS4に対して行う。
【0071】
また、本実施形態では、上記接続許可の後、ブロードバンドルータ3と各付加機能網7との間で通信経路が確立される。この時、BAS4から付加機能網終端装置71に対して上記通信経路確立の要求がなされ、付加機能網終端装置71が当該要求に応答することで、上記通信経路の確立が実現される。
【0072】
§2−6 その他
図1に示されるとおり、本実施形態におけるネットワークの構成例には、ISP網5、ISP網終端装置51、インターネット6及び申込サーバ60が存在する。
【0073】
ISP網5は、本実施形態では、従来のISP網であり、ユーザ端末2に対して、付加機能を提供せず、インターネット6への接続を提供するネットワークである。
【0074】
ISP網終端装置51は、ネットワークの終端装置として、周知のハードウェア構成及び機能構成を有している。例えば、ISP網終端装置51は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。ISP網終端装置51は、このようなハードウェア構成により、ISP網5のインタフェースとしての機能等を実現する。
【0075】
本実施形態では、上述のとおり、認証サーバ1におけるユーザ認証が成立した場合、ブロードバンドルータ3とISP網5との間で通信経路が確立される。この時の動作は、付
加機能網終端装置71と同様であるため、省略する。
【0076】
インターネット6は、ユーザ端末2から見てISP網5から先に存在するネットワーク(インターネット)である。
【0077】
申込サーバ60は、周知のサーバとして一般的なハードウェア構成及び機能構成を有している。例えば、申込サーバ60は、それぞれバスを介して接続された、各種データ及びプログラムを格納するための記憶部、記憶部に格納されたプログラムを実行する制御部、及び、ネットワークと通信を行うための通信部等を有している。申込サーバ60は、このようなハードウェア構成により、上述のWebページを提供する機能を実現する。
【0078】
なお、通信経路の確立に際して行われるブロードバンドルータ3に対するIPアドレスの割り当て等、通信プロトコルについてはIP等の既存のプロトコルが用いられる。また、認証サーバにおいて行われるユーザ認証についても既存のプロトコル(例えば、RADIUSプロトコル)が用いられる。
【0079】
§3 動作例
次に、本実施形態におけるユーザ端末2のインターネット6への接続方法について、図6〜8を用いてその処理手順を説明する。なお、本実施形態では、認証サーバ1においてユーザ認証が成立しない場合の処理手順は従来のインターネットへの接続方法の処理手順と同様であるため、説明は省略する。
【0080】
図6は、本実施形態に係るインターネット6への接続時(ユーザ認証成立)における処理手順の一例を示す。図7は、当該処理手順においてBAS4と認証サーバ1との間で行われるユーザ認証の問合せ及び接続許可のパケット構成例である。
【0081】
図8は、当該処理手順においてISP網5又は付加機能網7(ISP網終端装置51又は付加機能終端装置71)と認証サーバ1との間で行われる接続確認及び接続許可のパケット構成例である。なお、図7及び図8のパケット構成例は、RADIUSプロトコルに準拠しているため、属性個々の説明は省略する。
【0082】
なお、図7及び図8のパケット構成例は、それぞれ属性名フィールド、タイプフィールド、属性値フィールドを有する。属性名フィールドは、RADIUSプロトコルに準拠した属性名を格納している。タイプフィールドは、属性名フィールドに格納された属性に対応するIDを格納している。属性値フィールドは、属性名フィールドに格納された属性の属性値を格納している。
【0083】
まず、図6に示されるとおり、ブロードバンドルータ3は、自身とISP網5又は付加機能網7との間で通信経路が確立されていない場合、ユーザ端末2からのインターネット6へのアクセス要求に応じて、BAS4に対してISP網5又は付加機能網7への接続要求を行う(S101)。なお、当該接続要求には、ユーザ認証に用いられるID及びパスワードと、ユーザ端末2が要求する付加機能を示す情報としてのドメイン名が含まれている。
【0084】
ブロードバンドルータ3からの接続要求に応じて、BAS4は、認証サーバ1にユーザ端末2のユーザ認証の問合せを行う(S102)。
【0085】
図7(a)は、この問合せを構成するパケットの構成例を示す。「User-Name」に格納
される属性値は、ユーザのIDとドメイン名を組み合わせたものであり、例えば、「ID@ドメイン名」という文字列が格納される。具体的な例として、図1に示されるとおり、
DPI機能を望むユーザaの場合、当該属性値は「a@dpi.ccc.com」である。また、付加
機能を望まないユーザbの場合、当該属性値は「b@ccc.com」である。
【0086】
「User-Password」「CHAP-Password」に格納される属性値は、上記接続要求に含まれるパスワードであり、認証サーバ1のユーザ認証に用いられる。なお、「User-Password」
及び「CHAP-Password」はBAS4と認証サーバ1との間で用いられる認証プロトコル(
PAP(Password Authentication Protocol)、又はCHAP(Challenge Handshake Authentication Protocol))により、どちらか一方が選択される。また、他の属性に格納
された属性値は、BAS4と認証サーバ1との通信に用いられる。
【0087】
図6に戻り、BAS4からのユーザ認証の問合せに応じて、認証サーバ1はユーザ端末2のユーザ認証を行う。ユーザ認証は、認証部16によって行われる。例えば、認証部16は、BAS4からのユーザ認証の問合せに含まれるID及びパスワードと、ユーザ認証情報データベース15に格納されている一組のID及びパスワードとが一致するか否か判定する。そして、BAS4からのユーザ認証の問合せに含まれるID及びパスワードと、ユーザ認証情報データベース15に格納されている一組のID及びパスワードとが一致していると、当該ユーザ認証は成立すると認証部16は判定する(S103)。
【0088】
ユーザ認証は成立すると認証部16が判定すると、応答部17は、上記ドメイン名に基づいて、ISP網5又は付加機能網7への接続許可を行う(S104)。例えば、上記ユーザaの場合、応答部17は、付加機能網7(DPI専用ネットワーク7a)への接続許可を行う。また、例えば、上記ユーザbの場合、応答部17は、ISP網5への接続許可を行う。
【0089】
図7(b)は、この接続許可を構成するパケットの構成例を示す。「Service-Type」及び「Framed-Protocol」の属性値は、上記のとおり、BAS4と認証サーバ1との通信に
用いられる。また、「Framed-IP-Address」及び「Framed-IP-Netmask」の属性値は、ブロードバンドルータ3に割り当てられるIPアドレス及びそのサブネットマスクである。
【0090】
また、「Ascend-Primary-Home-Agent」の属性値は、後述するS105において、BA
S4がISP網終端装置51(ISP網5)又は付加機能終端装置71(付加機能網7)にアクセスするために用いられる。例えば、上記ユーザaの場合、当該属性値は、付加機能終端装置71(DPI専用ネットワーク終端装置71a)のIPアドレスである。また、例えば、上記ユーザbの場合、当該属性値は、ISP網終端装置51のIPアドレスである。
【0091】
図6に戻り、認証サーバ1からのISP網5又は付加機能網7への接続許可に応じて、BAS4は、当該接続許可に基づいた接続要求を、各ネットワークの終端装置であるISP網終端装置51又は付加機能網終端装置71に対して行う(S105)。当該接続要求に際して、BAS4は、上述のとおり、「Ascend-Primary-Home-Agent」の属性値を用い
てISP網終端装置51又は付加機能網終端装置71にアクセスし、接続要求を行う。例えば、上記ユーザaの場合、BAS4は、付加機能網終端装置71(DPI専用ネットワーク終端装置71a)にアクセスし、接続要求を行う。また、例えば、上記ユーザbの場合、BAS4は、ISP網終端装置51にアクセスし、接続要求を行う。
【0092】
BAS4からの接続要求に応じて、ISP網終端装置51又は付加機能網終端装置71は、認証サーバ1が行った当該接続要求に係る接続許可(S104)に対する接続確認を認証サーバ1に対して行う(S106)。
【0093】
図8(a)は、この接続確認を構成するパケットの構成例を示す。「User-Name」から
「NAS-Port-Id」までの属性値は、認証サーバ1が行った接続許可の特定に用いられる。
また、「Tunnel-Type」、「Tunnel-Medium-Type」及び「Tunnel-Server-Endpoint」の属
性値は、ブロードバンドルータ3とISP網5又は付加機能網7との間で確立する通信経路(トンネル)の種別を、認証サーバ1に確認するために用いられる。後述するS110及びS111においては、これらの属性値に基づいて通信経路が確立される。
【0094】
図6に戻り、ISP網終端装置51又は付加機能網終端装置71からの接続確認に応じて、認証サーバ1(応答部17)は、S104で行った接続許可に対応する接続許可をISP網終端装置51又は付加機能網終端装置71に対して行う(S107)。
【0095】
図8(b)は、この接続許可を構成するパケットの構成例を示す。「Framed-IP-Address」及び「Framed-IP-Netmask」の属性値は、上述のとおり、ブロードバンドルータ3に割り当てられるIPアドレス及びそのサブネットマスクである。付加機能網終端装置71は、付加機能網7と通信経路を確立するブロードバンドルータ3を特定するためにこれらの値を用いる。
【0096】
図6に戻り、認証サーバ1からの上記接続許可に応じて、ISP網終端装置51又は付加機能網終端装置71は、BAS4からの接続要求に対する接続許可をBAS4に対して行う(S108)。
【0097】
ISP網終端装置51又は付加機能網終端装置71からの接続許可に応じて、BAS4は、ブロードバンドルータ3に対して、ISP網5又は付加機能網7への接続許可を返信する(S109)。当該接続許可には、上記ブロードバンドルータ3に割り当てられるIPアドレス及びそのサブネットマスクが含まれる。
【0098】
BAS4からのISP網5又は付加機能網7への接続許可に応じて、ブロードバンドルータ3からBAS4に対して、ブロードバンドルータ3とISP網5又は付加機能網7との間の通信経路の確立のための通信が行われる(S110)。またこれに応じて、BAS4からISP網終端装置51又は付加機能網終端装置71に対して、ブロードバンドルータ3とISP網5又は付加機能網7との間の通信経路の確立のための通信が行われる(S111)。なお、この際に確立される通信経路の種別は、上記において説明したように、「Tunnel-Type」、「Tunnel-Medium-Type」及び「Tunnel-Server-Endpoint」の属性値に
基づいている。
【0099】
以上までの処理により、BAS4とISP網5又は付加機能網7との間において通信経路が確立される。これにより、例えば、上記ユーザaの場合、ユーザ端末2は、付加機能網7(DPI専用ネットワーク7a)を経由して、インターネット6上に存在するサーバにアクセスすることができるようになる。また、例えば、上記ユーザbの場合、ユーザ端末2は、ISP網5を経由して、インターネット6上に存在するサーバにアクセスすることができるようになる。
【0100】
なお、BAS4の上記動作を実現するプログラム等の設定において、ISP網5への接続がデフォルトとして設定されている場合がある。この場合、BAS4は、認証サーバ1より接続許可を受けた後(S104)、S105〜S108の処理を省略して、ブロードバンドルータ3へISP網5への接続許可を行う(S109)。更にこの場合、S105〜S108の処理が省略されるため、ISP網終端装置51と認証サーバ1とはネットワークを介して直接通信可能となっている図1の状態である必要はない。
【0101】
§4 実施の形態に係る作用及び効果
以上によれば、本実施形態に係る認証サーバ及び認証システムでは、ユーザ端末2が要
求する付加機能を示す情報に基づいて、認証サーバ1は、ユーザ端末2がインターネット6に接続する際に経由するネットワーク(ISP網5又は付加機能網7)を決定する。このため、認証サーバ1により当該ネットワークに対する接続許可が行われることで、ユーザ端末2は、自身が要求する付加機能を提供することができるネットワークを経由して、インターネット6に接続できるようになる。したがって、本実施形態では、ネットワーク上において提供される付加機能を適切なユーザに提供することができる。また、従来とは異なり、全てのユーザに対して機能を提供する必要はなくなり、適切なユーザに対して付加機能を提供することができるネットワークを用意すればよいため、小規模で安価な装置により、機能の提供を実施することができる。
【0102】
また、本実施形態では、認証サーバ1は、ドメイン名により接続先のネットワークを決定する。これによって、ユーザは、ユーザが許可する又は所望する付加機能の切り替えを、ドメイン名を切り替えることによって達成することができる。
【0103】
また、本実施形態では、ユーザ端末2は、Webページの操作により付加機能を切り替える。このため、ユーザは、任意に所望の付加機能を切り替えることができる。また、ユーザ端末2が要求する付加機能はユーザの任意により切り替えられるため、付加機能を提供する側(例えば、ISP)は、提供する付加機能をユーザに告知することができる。
【0104】
§5 補足
以上、本発明の実施の形態を詳細に説明してきたが、前述までの説明はあらゆる点において本発明の例示に過ぎず、その範囲を限定しようとするものではない。本発明の範囲を逸脱することなく種々の改良や変形を行うことができることは言うまでもない。本発明は、特許請求の範囲によってのみその範囲が解釈される。また、当業者は、上記本実施形態の記載から、特許請求の範囲の記載および技術常識に基づいて等価な範囲を実施することができる。また、本明細書において使用される用語は、特に言及しない限り、当該分野で通常用いられる意味で用いられる。したがって、他に定義されない限り、本明細書中で使用される全ての専門用語および技術用語は、本発明の属する分野の当業者によって一般的に理解される意味と同じ意味を有する。両者が矛盾する場合、本明細書において使用される用語は、本明細書(定義を含めて)に記載された意味において理解される。
【0105】
なお、以上までの説明において、本発明に係る認証サーバ及び認証システムの一実施形態について説明したが、本発明に係る認証方法及び認証プログラムの一実施形態についても同様に説明することができる。つまり、上記認証サーバの各処理を各ステップとする手順が本発明に係る認証方法の一実施形態であり、上記認証サーバの各処理を実行させるために用いられるプログラムが本発明に係る認証プログラムの一実施形態である。
【符号の説明】
【0106】
1 認証サーバ
11 記憶部
12 制御部
13 バス
14 通信部
15 ユーザ認証情報データベース
16 認証部
17 応答部
2 ユーザ端末
3 ブロードバンドルータ
4 BAS
5 ISP網
51 ISP網終端装置
6 インターネット
7 付加機能網
7a DPI専用ネットワーク
7b 帯域規制専用ネットワーク
7c セキュリティ強化ネットワーク
7d プレミアムネットワーク
71 付加機能網終端装置
71a DPI専用ネットワーク終端装置
71b 帯域規制専用ネットワーク終端装置
71c セキュリティ強化ネットワーク終端装置
71d プレミアムネットワーク終端装置
72 付加機能装置
81 付加機能サーバ
【特許請求の範囲】
【請求項1】
ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証サーバにおいて、
記憶部と、
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行う認証部と、
前記認証部のユーザ認証の後に、前記情報端末に対して、前記情報端末側から送信された、又は、前記記憶部に格納された情報により示される前記情報端末が要求する付加機能を提供可能なネットワークへの接続を許可する応答部と、
を備えたことを特徴とする認証サーバ。
【請求項2】
前記情報端末側から送信された情報は、前記情報端末が要求する付加機能を示す文字列を含むドメイン名であることを特徴とする請求項1に記載の認証サーバ。
【請求項3】
ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証サーバと、申込サーバと、を備えた認証システムにおいて、
前記認証サーバは、
記憶部と、
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行う認証部と、
前記認証部のユーザ認証の後に、前記情報端末に対して、前記情報端末側から送信された、又は、前記記憶部に格納された情報により示される前記情報端末が要求する付加機能を提供可能なネットワークへの接続を許可する応答部と、
を備え、
前記申込サーバは、前記情報端末からの前記付加機能の切り替えの申込により、前記情報端末側から送信される、又は、前記記憶部に格納される情報が示す付加機能を切り替えることを特徴とする認証システム。
【請求項4】
ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証方法であって、
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行うステップと、
前記認証部のユーザ認証を行うステップの後に、前記情報端末に対して、前記情報端末側から送信された、又は、記憶部に格納された情報により示される前記情報端末が要求する付加機能を提供可能なネットワークへの接続を許可するステップと、
を含むことを特徴とする認証方法。
【請求項5】
ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証サーバに用いられる認証プログラムであって、
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行うステップと、
前記認証部のユーザ認証を行うステップの後に、前記情報端末に対して、前記情報端末側から送信された、又は、記憶部に格納された情報により示される前記情報端末が要求する付加機能を提供可能なネットワークへの接続を許可するステップと、
を前記認証サーバに実行させるための認証プログラム。
【請求項1】
ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証サーバにおいて、
記憶部と、
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行う認証部と、
前記認証部のユーザ認証の後に、前記情報端末に対して、前記情報端末側から送信された、又は、前記記憶部に格納された情報により示される前記情報端末が要求する付加機能を提供可能なネットワークへの接続を許可する応答部と、
を備えたことを特徴とする認証サーバ。
【請求項2】
前記情報端末側から送信された情報は、前記情報端末が要求する付加機能を示す文字列を含むドメイン名であることを特徴とする請求項1に記載の認証サーバ。
【請求項3】
ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証サーバと、申込サーバと、を備えた認証システムにおいて、
前記認証サーバは、
記憶部と、
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行う認証部と、
前記認証部のユーザ認証の後に、前記情報端末に対して、前記情報端末側から送信された、又は、前記記憶部に格納された情報により示される前記情報端末が要求する付加機能を提供可能なネットワークへの接続を許可する応答部と、
を備え、
前記申込サーバは、前記情報端末からの前記付加機能の切り替えの申込により、前記情報端末側から送信される、又は、前記記憶部に格納される情報が示す付加機能を切り替えることを特徴とする認証システム。
【請求項4】
ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証方法であって、
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行うステップと、
前記認証部のユーザ認証を行うステップの後に、前記情報端末に対して、前記情報端末側から送信された、又は、記憶部に格納された情報により示される前記情報端末が要求する付加機能を提供可能なネットワークへの接続を許可するステップと、
を含むことを特徴とする認証方法。
【請求項5】
ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証サーバに用いられる認証プログラムであって、
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行うステップと、
前記認証部のユーザ認証を行うステップの後に、前記情報端末に対して、前記情報端末側から送信された、又は、記憶部に格納された情報により示される前記情報端末が要求する付加機能を提供可能なネットワークへの接続を許可するステップと、
を前記認証サーバに実行させるための認証プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2012−73892(P2012−73892A)
【公開日】平成24年4月12日(2012.4.12)
【国際特許分類】
【出願番号】特願2010−219261(P2010−219261)
【出願日】平成22年9月29日(2010.9.29)
【出願人】(591117192)ニフティ株式会社 (144)
【Fターム(参考)】
【公開日】平成24年4月12日(2012.4.12)
【国際特許分類】
【出願日】平成22年9月29日(2010.9.29)
【出願人】(591117192)ニフティ株式会社 (144)
【Fターム(参考)】
[ Back to top ]