認証サーバ、認証システム、認証方法及び認証プログラム
【課題】ユーザ認証が成立しなかったユーザ端末に対してネットワークを介したサポート情報を提供することができる認証サーバ、認証システム、認証方法及び認証プログラムを提供する。
【解決手段】本発明の認証サーバは、情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行う認証部(16)と、認証部のユーザ認証の結果に基づいて、ユーザ認証が成立した場合は情報端末による前記ネットワークへの接続を許可し、ユーザ認証が成立しなかった場合はサポート情報を提供可能なネットワークへの前記情報端末による接続を許可する応答部(17)と、を備える。
【解決手段】本発明の認証サーバは、情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行う認証部(16)と、認証部のユーザ認証の結果に基づいて、ユーザ認証が成立した場合は情報端末による前記ネットワークへの接続を許可し、ユーザ認証が成立しなかった場合はサポート情報を提供可能なネットワークへの前記情報端末による接続を許可する応答部(17)と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証サーバ、認証システム、認証方法及び認証プログラムの技術に関する。
【背景技術】
【0002】
近年、インターネットへ接続可能な通信機器(ユーザ端末)が数多く普及している。これらの通信機器を用いてインターネットへ接続する場合、ユーザは、通常、インターネットへの接続サービスを提供しているISP(Internet Service Provider)との契約が必
要となる。そして、ISPは、例えば、RADIUS(Remote Authentication Dial In User Service)プロトコル等によりユーザ認証を行って、契約したユーザの通信機器に対してインターネットへの接続を提供する。
【0003】
この従来のインターネットへの接続方法ついて、図7〜9を用いて説明する。図7は、従来のネットワークの構成の一例を示す。図8は、従来のインターネットへの接続方法において、ユーザ認証が成立した時の処理手順の一例を示す。図9は、従来のインターネットへの接続方法において、ユーザ認証が成立しなかった時の処理手順の一例を示す。
【0004】
図7に示されるとおり、従来のネットワークは、ユーザ端末2、ブロードバンドルータ3、BAS(Broadband Access Server)4、認証サーバ10、ISP網5、ISP網終
端装置51、インターネット6を含んだ構成となっている。
【0005】
従来のインターネットへの接続方法において、ユーザ認証が成立した時の処理手順について、図8を用いて説明する。
【0006】
まず、図8に示されるとおり、ユーザ端末2は、ブロードバンドルータ3を介して、BAS4に対してISP網5への接続要求をする。当該接続要求に際して、例えば、IDやパスワード等を含む情報がブロードバンドルータ3からBAS4へ送信される(S201)。
【0007】
BAS4は、ブロードバンドルータ3から当該情報を受信すると、当該情報に含まれるIDやパスワード等を含む情報を認証サーバ10に送信し、認証サーバ10に対してユーザ端末2のユーザ認証を問合せる(S202)。
【0008】
認証サーバ10は、当該BAS4からの問合せに応じ、BAS4から送信される情報に含まれるIDやパスワード等に基づいてユーザ認証を行い、ユーザ端末2に対してISP網5への接続を許可するか否かを判定する。例えば、BAS4から送信される情報に含まれるIDやパスワード等が認証サーバ10において登録されているユーザ情報と一致する場合、ユーザ認証は成立する(S203)。
【0009】
ユーザ認証が成立すると、認証サーバ10は、BAS4に対して、ユーザ認証の結果(接続許可)と共に接続先のISP網5の終端装置であるISP網終端装置51のIPアドレスを含む情報を返信する(S204)。
【0010】
BAS4は、認証サーバ10から当該情報を受信すると、ブロードバンドルータ3に対して、接続先のISP網5の終端装置であるISP網終端装置51のIPアドレスを含む接続許可に関する情報を返信する(S205)。
【0011】
ブロードバンドルータ3は、BAS4から当該接続許可に関する情報を受信すると、BAS4に対して通信経路確立のための通信を行い(S206)、それに伴って、BAS4はISP網5(ISP網終端装置51)に対して通信経路確立のための通信を行う(S207)。
【0012】
以上により、ユーザ端末2は、認証サーバ10によりユーザ認証がなされ、ブロードバンドルータ3からISP網5までの通信経路が確立し、ISP網5を介してインターネット6への接続が可能となる。
【0013】
他方、例えば、ブロードバンドルータ3から送信されるID又はパスワード等が誤っていた場合等、上記ユーザ認証は成立しない場合がある。従来のインターネットへの接続方法において、ユーザ認証が成立しなかった時の処理手順について、図9を用いて説明する。
【0014】
図9に示されるとおり、ユーザ端末2が、ブロードバンドルータ3を介して、BAS4に対してISP網5への接続要求し(S301)、BAS4は、認証サーバ10に対してユーザ端末2のユーザ認証を問い合わせる(S302)。この点は、図8における処理手順のS201とS202と同様である。
【0015】
そして、例えば、ブロードバンドルータ3から送信されるID又はパスワード等が誤っていた場合、ユーザ認証は成立しない(S303)。
【0016】
ユーザ認証が成立しなかった場合、認証サーバ10は、BAS4に対して、ユーザ認証の結果(ユーザ端末2のISP網5への接続拒否)を返信する(S304)。
【0017】
BAS4は、認証サーバ10からの当該結果に基づいて、ブロードバンドルータ3に対して、ISP網5への接続拒否を示す情報を返信する(S305)。
【0018】
以上により、ユーザ端末2は、認証サーバ10においてユーザ認証が成立せず、ブロードバンドルータ3からISP網5までの通信経路は確立せず、インターネット6に接続ができない。
【0019】
このような従来のインターネットへの接続方法に関する技術として、例えば、特許文献1が挙げられる。特許文献1では、従来のネットワークへの接続方法において、不正利用者による不正侵入を防止する技術が開示されている。
【先行技術文献】
【特許文献】
【0020】
【特許文献1】特開2002−149606号公報
【発明の概要】
【発明が解決しようとする課題】
【0021】
上記のように従来のインターネットへの接続方法では、ユーザ認証が成立しなかった場合、ユーザ端末2はどのネットワークにも接続することができなかった。このため、ユーザは、ユーザ端末2がネットワークに接続できない原因を、ネットワークを利用せず、オフライン上のマニュアルを参照して調べるか、ISPのサポート専用電話に電話することで調べることしかできなかった。つまり、ユーザは、ユーザ端末2がネットワークに接続できない原因に関する情報を、インターネット等のネットワークから取得することはできなかった。
【0022】
本発明は、このような点を考慮してなされたものであり、ユーザ認証が成立しなかったユーザ端末に対してネットワークを介したサポート情報を提供することができる認証サーバ、認証システム、認証方法及び認証プログラムを提供することを目的とする。
【課題を解決するための手段】
【0023】
本発明は、上述した課題を解決するために、以下の構成を採用する。
【0024】
すなわち、ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う本発明の認証サーバは、情報端末からの接続要求に応じて、情報端末のユーザ認証を行う認証部と、認証部のユーザ認証の結果に基づいて、ユーザ認証が成立した場合は情報端末による前記ネットワークへの接続を許可し、ユーザ認証が成立しなかった場合はサポート情報を提供可能なネットワークへの情報端末による接続を許可する応答部と、を備える。
【0025】
上記構成によれば、ユーザ認証が成立しなかった情報端末は、サポート情報を提供可能なネットワークへ接続が許可される。このため、ユーザは、ユーザ認証が成立しなかった場合であっても、ネットワークを介してサポート情報の提供を受けることができる。
【0026】
また、上記サポート情報は、ネットワークへの接続要求に際して情報端末が要求するサービスの種別に対応していてもよい。
【0027】
上記構成によれば、ユーザは、ネットワークへの接続要求に際して要求したサービスに応じたサポート情報の提供を受けることができる。
【0028】
なお、本発明の別態様としては、以上の何れかの構成を実現する方法であってもよいし、システムであってもよいし、プログラムであってもよいし、このようなプログラムを記録したコンピュータが読み取り可能な記憶媒体であってもよい。
【発明の効果】
【0029】
本発明によれば、ユーザ認証が成立しなかったユーザ端末に対してネットワークを介したサポート情報を提供することができる認証サーバ、認証システム、認証方法及び認証プログラムを提供することができる。
【図面の簡単な説明】
【0030】
【図1】実施の形態に係るネットワーク構成を例示する図。
【図2】実施の形態に係る認証サーバの構成を例示する図。
【図3】実施の形態に係るサポート専用ネットワークの構成を例示する図。
【図4】実施の形態に係るネットワーク(インターネット)への接続方法において、ユーザ認証が成立しなかった時の処理手順の一例を示したシーケンスチャート。
【図5】BASと認証サーバとの間のユーザ認証に関するパケットが含む属性例及び属性値例。
【図6】サポート専用ネットワーク終端装置と認証サーバとの間の接続要求に関するパケットが含む属性例及び属性値例。
【図7】従来のネットワーク構成を例示する図。
【図8】従来のインターネットへの接続方法において、ユーザ認証が成立した時の処理手順の一例を示したシーケンスチャート。
【図9】従来のインターネットへの接続方法において、ユーザ認証が成立しなかった時の処理手順の一例を示したシーケンスチャート。
【発明を実施するための形態】
【0031】
以下、本発明の一側面に係る認証サーバ及び認証システムを、実施の形態(以下、「本
実施形態」とも表記する)として説明する。ただし、以下に挙げる実施形態は例示であり、本発明は以下の実施形態の構成に限定されない。
【0032】
なお、以下に挙げる実施形態において、例えば、図5及び図6においてパケット構成例の属性名や属性値を自然言語(日本語等)等で例示しているが、より具体的には、コンピュータが認識可能な疑似言語、コマンド、パラメタ、マシン語等で指定される。
【0033】
§1 ネットワーク構成例
まず、本実施形態に係るネットワークの構成例について説明する。図1は、本実施形態に係るネットワークの構成例を示す。図1に示されるとおり、本実施形態に係るネットワークは、認証サーバ1、ユーザ端末2、ブロードバンドルータ3、BAS4、ISP網5及びISP網終端装置51、インターネット6並びにサポート専用ネットワーク7及びサポート専用ネットワーク終端装置71を含んだ構成となっている。
【0034】
認証サーバ1は、ネットワークを介してBAS4及びサポート専用ネットワーク終端装置71(サポート専用ネットワーク7)と通信可能となっている。ユーザ端末2は、ネットワークを介してブロードバンドルータ3と通信可能となっている。ブロードバンドルータ3は、ネットワークを介してユーザ端末2及びBAS4と通信可能となっている。BAS4は、ネットワークを介して認証サーバ1、ブロードバンドルータ3、ISP網終端装置51(ISP網5)及びサポート専用ネットワーク終端装置71(サポート専用ネットワーク7)と通信可能となっている。
【0035】
ユーザ端末2は、ブロードバンドルータ3、BAS4並びにISP網5及びISP網終端装置51を介して、インターネット6に接続することができる。
【0036】
§2 装置構成例
次に、本実施形態に係るネットワークの各ノードについて説明する。
【0037】
§2−1 ユーザ端末2
ユーザ端末2は、例えば、PC(Personal Computer)として周知のハードウェア構成
及び機能構成を有している。例えば、ユーザ端末2は、そのハードウェア構成として、それぞれバスを介して接続された、各種データ及びプログラムを格納するための記憶部、記憶部に格納されたプログラムを実行する制御部、及び、ネットワークと通信を行うための通信部等を有している。ユーザ端末2は、このようなハードウェア構成により、ネットワークを介してインターネット6へ接続するための一般的な通信機能、提供されたデータに基づく画面を表示及び操作することができる一般的なユーザインタフェース機能等を実現する。
【0038】
本実施形態では、ユーザ端末2は、ISP網5を介してインターネット6上に存在するサーバ(WEBサーバやメールサーバ等)へアクセスする。この時、後述するとおり、ブロードバンドルータ3とISP網5との間で通信経路が確立されていない場合、認証サーバ1によりユーザ端末2のユーザ認証が行われる。そして、ユーザ認証の結果、本実施形態では、ブロードバンドルータ3とISP網5またはサービス専用ネットワーク7との間で通信経路が確立する。ブロードバンドルータ3とISP網5との間で通信経路が確立した場合、ユーザ端末2は、上記アクセスしようとしたサーバにアクセスすることができるようになる。他方、ブロードバンドルータ3とサービス専用ネットワーク7との間で通信経路が確立した場合、ユーザ端末2が行ったアクセスは、後述する振り分け装置72により、上記アクセスしようとしたサーバが提供するサービス種別に対応するサーバに振り分けられる。詳細については、後述する。
【0039】
§2−2 ブロードバンドルータ3
ブロードバンドルータ3は、周知のブロードバンドルータとして一般的なハードウェア構成及び機能構成を有している。例えば、ブロードバンドルータ3は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。ブロードバンドルータ3は、このようなハードウェア構成により、ブロードバンドルータ3とISP網5またはサービス専用ネットワーク7との間で通信経路を確立する一般的なルーティング機能等を実現する。
【0040】
本実施形態では、ブロードバンドルータ3は、ユーザ端末2からのインターネット6上へのサーバに対するアクセス要求に応じて、ISP網5との間に通信経路を確立するために、BAS4に対して、ISP網5への接続要求を行う。接続要求に際して、ブロードバンドルータ3からBAS4へ、ユーザ認証に用いる情報(例えば、ユーザのID及びパスワード)を含んだ情報が送信される。
【0041】
この接続要求に応じて、認証サーバ1によりユーザ端末2のユーザ認証が行われる。そして、ユーザ認証の結果に応じて、本実施形態では、ブロードバンドルータ3は、BAS4から送信される接続許可の情報に基づいて、ISP網5又はサービス専用ネットワーク7との間に通信経路を確立する。この通信経路の確立のため、ブロードバンドルータ3は、BAS4と通信経路確立のための通信を行う。
【0042】
§2−3 BAS4
BAS4は、周知のアクセスサーバとして一般的なハードウェア構成及び機能構成を有している。例えば、BAS4は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。BAS4は、このようなハードウェア構成により、一般的な認証クライアントの機能等を実現する。なお、本実施形態では、BAS4の制御部において実行されるプログラム等の設定において、ISP網5への接続が予め設定されている。
【0043】
本実施形態では、BAS4は、ブロードバンドルータ3からのISP網5への接続要求に応じて、認証サーバ1にユーザ認証の問合せを行う。
【0044】
また、本実施形態では、BAS4は、予め設定されている接続先であるISP網5への接続許可(例えば、接続許可の情報を含むパケットデータの通知)を認証サーバ1から受ける。この時、BAS4は、ブロードバンドルータ3にISP網5への接続許可を返信する。
【0045】
更に、本実施形態では、BAS4は、予め設定されている接続先ではないサポート専用ネットワーク7への接続許可を認証サーバ1から受ける場合がある。この場合、BAS4は、サポート専用ネットワーク7の終端装置であるサポート専用ネットワーク終端装置71に対して、ブロードバンドルータ3とサポート専用ネットワーク7との間で通信経路を確立することに対する接続要求を行う。この接続要求に応じて、サポート専用ネットワーク終端装置71から接続許可の応答が返される。BAS4は、当該接続許可の応答に応じて、ブロードバンドルータ3にサポート専用ネットワークへの接続許可を返信する。
【0046】
§2−4 認証サーバ1
図2は、本実施形態における認証サーバ1の構成例を示す。
【0047】
認証サーバ1は、図2に示されるように、そのハードウェア構成として、バス13で接
続される、記憶部11、制御部12、通信部14等の既存のハードウェアを有している。記憶部11は、例えばハードディスクであり、制御部12で実行される処理で利用される各種データ及びプログラムを記憶する。制御部12は、CPU(Central Processing Unit)等の1又は複数のプロセッサであり、このプロセッサの処理に利用される周辺回路(
ROM(Read Only Memory)、RAM(Random Access Memory)、インタフェース回路等)を有する。通信部14は、ネットワークを介して、BAS4及びサポート専用ネットワーク終端装置71等とIP(Internet Protocol)パケット等の送受信を行う。なお、認
証サーバ1は、PC等のような汎用コンピュータで構成されてもよいし、ネットワーク接続ストレージのような専用コンピュータで構築されてもよい。
【0048】
図2に示されるとおり、認証サーバ1は、ユーザ認証を行う情報を格納するためのユーザ認証情報データベース15を記憶部11に有している。
【0049】
ユーザ認証情報データベース15には、後述する認証部16がユーザ認証を行うための情報が格納されている。ユーザ認証を行うための情報は、上述のブロードバンドルータ3からBAS4に送信されるユーザ認証に用いる情報に対応した情報であり、例えば、ユーザのIDとパスワードとを一組にした情報である。
【0050】
また、図2に示されるとおり、認証サーバ1は、ユーザ認証情報データベース15の情報を用いてユーザ認証を行う認証部16、及び認証部16のユーザ認証の結果に応じた応答(ネットワークへの接続許可)を行う応答部17を制御部11に有している。
【0051】
認証部16は、BAS4からのユーザ認証の問合せに応じて、当該問合せの対象であるユーザ端末2のユーザ認証を行う。認証部16は、このユーザ認証を、ユーザ認証情報データベース15に格納された情報と、BAS4からのユーザ認証の問合せに含まれる上述のブロードバンドルータ3からBAS4に送信されるユーザ認証に用いる情報とを用いることにより実施する。
【0052】
例えば、ユーザ認証情報データベース15にはユーザのIDとパスワードとを一組にした情報が格納されており、上述のブロードバンドルータ3からBAS4に送信されるユーザ認証に用いる情報がユーザのIDとパスワードであるとする。この場合、認証部16は、BAS4からのユーザ認証の問合せに含まれたユーザのID及びパスワードが、ユーザ認証情報データベース15に格納されているユーザのID及びパスワードと一致するか否かを判定することにより、ユーザ認証を実施する。
【0053】
例えば、認証部16は、BAS4の問合せに含まれたID及びパスワードとユーザ認証情報データベース15に格納されているID及びパスワードが一致した場合、ユーザ認証は成立すると判定する。他方、認証部16は、BAS4の問合せに含まれたID及びパスワードとユーザ認証情報データベース15に格納されているID及びパスワードが一致しない場合、ユーザ認証は成立しないと判定する。
【0054】
応答部17は、認証部16のユーザ認証の判定の結果に応じて、ネットワークへの接続許可をBAS4に対して行う。この接続許可の対象となるネットワークは、本実施形態では、ISP網5またはサポート専用ネットワーク7である。認証部16がこれらのネットワークに対する接続許可をBAS4に対して行うことで、ブロードバンドルータ3とこれらのネットワークとの間に通信経路が形成される。
【0055】
本実施形態では、応答部17は、認証部16がユーザ認証は成立すると判定した場合、ISP網5への接続許可をBAS4に対して行う。他方、認証部16がユーザ認証は成立しないと判定した場合、応答部17は、サポート専用ネットワーク7への接続許可をBA
S4に対して行う。
【0056】
なお、本実施形態では、応答部17が、サポート専用ネットワーク7への接続許可をBAS4に対して行った場合、後述するサポート専用ネットワーク終端装置71より当該接続許可の接続確認が行われる。この時、応答部17は自己が行ったBAS4に対する接続許可に対応する接続許可の通知をサポート専用ネットワーク終端装置71に対して行う。サポート専用ネットワーク終端装置71は、この接続許可の通知により、ブロードバンドルータ3と自身との間で通信経路を確立することに対する接続許可を認証サーバ1(応答部17)が行ったことを認識する。
【0057】
§2−5 サポート専用ネットワーク7
図3は、本実施形態におけるサポート専用ネットワーク7の構成例を示す。
【0058】
図3に示されるとおり、サポート専用ネットワーク7は、その構成として、サポート専用ネットワーク終端装置71、振り分け装置72、DNSサーバ73、Webサーバ74、POPサーバ75等を含む。サポート専用ネットワーク7は、例えば、上記ID又はパスワードを誤ったことにより、認証サーバ1でユーザ認証が不成立であった場合に、ユーザ端末2がアクセスする先となるネットワークである。本実施形態では、ユーザ端末2は、このサポート専用ネットワーク7に存在するサーバから、上記ユーザ認証不成立を解消するためのサポート情報を得ることができる。
【0059】
<サポート専用ネットワーク終端装置71>
サポート専用ネットワーク終端装置71は、ネットワークの終端装置として、周知のハードウェア構成及び機能構成を有している。例えば、サポート専用ネットワーク終端装置71は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。サポート専用ネットワーク終端装置71は、このようなハードウェア構成により、サポート専用ネットワーク7のインタフェースとしての機能等を実現する。
【0060】
本実施形態では、上述のとおり、サポート専用ネットワーク終端装置71は、認証サーバ1から返信される接続許可に応じて、BAS4からブロードバンドルータ3とサポート専用ネットワーク7との間で通信経路を確立することに対する接続要求がなされる。これに応じて、サポート専用ネットワーク終端装置71は、認証サーバ1が行った接続許可の確認のための通信(接続確認)を認証サーバ1に対して行う。
【0061】
また、本実施形態では、上述のとおり、サポート専用ネットワーク終端装置71は、上記接続確認に応じて認証サーバ1から接続許可の通知を受け取る。これに応じて、サポート専用ネットワーク終端装置71は、上記BAS4の接続要求に対する接続許可をBAS4に対して行う。
【0062】
また、本実施形態では、上記接続許可の後、ブロードバンドルータ3とサポート専用ネットワーク7との間で通信経路が確立される。この時、BAS4からサポート専用ネットワーク終端装置71に対して上記通信経路確立の要求がなされ、サポート専用ネットワーク終端装置71が当該要求に応答することで、上記通信経路の確立が実現される。
【0063】
また、本実施形態では、上記通信経路の確立後、ユーザ端末2からサポート専用ネットワーク7上に存在するサーバへのアクセスがなされる。このアクセスは、認証サーバ1におけるユーザ認証が不成立であったことにより発生するものであり、ユーザ端末2が行ったアクセス要求は、インターネット6上に存在するサーバに対して行われたものである。
つまり、本実施形態では、ユーザ認証が不成立であった場合、ユーザ端末2が行ったアクセス要求の対象であるサーバとは異なるサーバにユーザ端末はアクセスする。サポート専用ネットワーク終端装置71は、このアクセス要求(例えば、アクセス要求のためのパケット)を全て振り分け装置72に転送する。この転送は、例えば、上記通信経路の確立において、振り分け装置72が当該通信経路に含まれるように設定されることで実現される。
【0064】
<振り分け装置72>
振り分け装置72は、例えば、パケットの振り分け機能を有する周知のルータとして一般的なハードウェア構成及び機能構成を有している。例えば、振り分け装置72は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。振り分け装置72は、このようなハードウェア構成により、ユーザ端末2からのアクセス要求をサービス専用ネットワーク7内に存在する各サーバ(例えば、Webサーバ74)に振り分ける機能等を実現する。
【0065】
本実施形態では、振り分け装置72は、ユーザ端末2からのアクセス要求に含まれるサービス種別(例えば、ポート番号)に応じて振り分け先のサーバを決定する。
【0066】
上述したとおり、本実施形態では、認証サーバ1におけるユーザ認証が不成立であった場合、インターネット6上のサーバに対するアクセス要求に基づいて、ユーザ端末2はサービス専用ネットワーク7にアクセスする。つまり、ユーザ端末2からのアクセス要求に含まれるアクセス先の情報(例えば、IPアドレス)は、ユーザ端末2がアクセスしようとしたインターネット6上に存在するサーバのアクセスに用いられる情報である。振り分け装置72は、このアクセス先の情報に基づいて振り分け先のサーバを決定する。
【0067】
本実施形態では、振り分け装置72は、上記アクセス先の情報に基づいて振り分け先のサーバを決定するために、DNSサーバ73に対して問合せを行う。この問合せに対して、DNSサーバ73は、ユーザ端末2からのアクセス要求に含まれるサービス種別に対応する振り分け先のサーバのアクセスに用いる情報(例えば、IPアドレス)を振り分け装置72に返信する。
【0068】
例えば、インターネット6上に存在するサーバのWebページの取得のためにユーザ端末2がアクセス要求を行った場合、ユーザ端末2のアクセス要求にはWebページの取得に対応するサービス種別(例えば、ポート番号「80」)の情報が含まれている。この情報に従い、DNSサーバ73は、Webサーバ74のアクセスに用いる情報(例えば、IPアドレス)を振り分け装置72に返信する。
【0069】
また、例えば、インターネット6上に存在するメールサーバに対して電子メールの受信を行うためにユーザ端末2がアクセス要求を行った場合、ユーザ端末2のアクセス要求には電子メールの受信に対応するサービス種別(例えば、ポート番号「110」)の情報が含まれている。この情報に従い、DNSサーバ73は、POPサーバ75のアクセスに用いる情報を振り分け装置72に返信する。
【0070】
なお、本実施形態においては、サービス種別に対応した振り分け先のサーバを決定するために、DNSサーバ73が用いられる。本実施形態の別形態として、例えば、振り分け装置72は、各サービスの種別に応じた振り分け先のサーバのアクセスに用いる情報を記憶部に格納してもよい。これにより、振り分け装置72は、各サービスの種別に応じた振り分け先のサーバを決定してもよい。
【0071】
<その他サーバ>
図3に示されるとおり、サポート専用ネットワーク7には、上記構成の他に、DNSサーバ73、Webサーバ74、POPサーバ75及びその他サービスのサーバが存在する。
【0072】
これらの各サーバは、周知のサーバとして一般的なハードウェア構成及び機能構成を有している。例えば、各サーバは、それぞれバスを介して接続された、各種データ及びプログラムを格納するための記憶部、記憶部に格納されたプログラムを実行する制御部、及び、ネットワークと通信を行うための通信部等を有している。各サーバは、このようなハードウェア構成により、各サーバに対応するサービスを提供する一般的なサーバとしての機能を実現する。
【0073】
DNSサーバ73は、周知のDNS(Domain Name System)の機能を実施するサーバである。本実施形態では、DNSサーバ73は、上述のとおり、振り分け装置72からの問合せに応じて、ユーザ端末2のアクセス要求に含まれるサービス種別に対応する振り分け先のサーバのアクセスに用いる情報を振り分け装置72に返信する。つまり、本実施形態では、DNSサーバ73は、振り分け装置72の振り分け先を決定するサーバである。なお、上述したとおり、本実施形態の別形態として、DNSサーバ73に代えて、振り分け装置72は、自身の記憶部に格納した各サービスの種別に応じた振り分け先のサーバのアクセスに用いる情報を用いてもよい。
【0074】
Webサーバ74は、周知のWebサーバとしての機能を有するサーバである。本実施形態では、Webサーバ74は、認証サーバ1においてユーザ認証が不成立であって、インターネット6上のWebサーバへのアクセスのためにユーザ端末2がアクセス要求を行っていた場合に、当該ユーザ端末2のアクセス先となるサーバである。Webサーバ74は、例えば、Webページとして、サポート情報をユーザ端末2に提供する。
【0075】
サポート情報は、ユーザの用いる端末がインターネットにアクセスできない等の諸問題を解決するための情報であり、本実施形態では、例えば、ユーザ端末2を利用するユーザが、認証サーバ1におけるユーザ認証不成立を解消するための情報である。このサポート情報には、例えば、インターネットへの接続マニュアル、ヘルプ情報及び質疑応答集等の情報も含まれる。このサポート情報は、ISPにより任意に用意されるコンテンツデータである。
【0076】
POPサーバ75は、周知のメール受信プロトコルであるPOP(Post Office Protocol)に対応している電子メールの受信サーバとしての機能を実現する。本実施形態では、POPサーバ75は、認証サーバ1においてユーザ認証が不成立であって、インターネット6上のPOPサーバへのアクセスのためにユーザ端末2がアクセス要求を行っていた場合に、当該ユーザ端末2のアクセス先となるサーバである。POPサーバ75は、例えば、電子メールとして、サポート情報をユーザ端末2に提供する。
【0077】
なお、図3においてサポート情報を提供するサーバとして、Webサーバ74及びPOPサーバ75を具体的に明記したが、サポート専用ネットワーク7には、これらのサーバが存在しなくてもよいし、その他サービスに対応するサーバが存在してもよい。サポート専用ネットワーク7に存在するサーバは、任意に決定される。また、各サーバにおけるサポート情報を提供する方法は、各サーバの周知の動作(例えば、上記Webサーバ74及びPOPサーバ75の動作を参照)により定まる。
【0078】
§2−6 その他
図1に示されるとおり、本実施形態におけるネットワークの構成例には、ISP網5、
ISP網終端装置51、インターネット6が存在する。
【0079】
ISP網5は、契約者(ユーザ)のユーザ端末をインターネットに接続のためにISPによって用意されるネットワークである。本実施形態では、ISP網5は、ユーザ端末2がインターネット6に接続するために用意されるネットワークである。
【0080】
ISP網終端装置51は、ネットワークの終端装置として、周知のハードウェア構成及び機能構成を有している。例えば、ISP網終端装置51は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。ISP網終端装置51は、このようなハードウェア構成により、ISP網5のインタフェースとしての機能等を実現する。
【0081】
本実施形態では、上述のとおり、認証サーバ1におけるユーザ認証が成立した場合、ブロードバンドルータ3とISP網5との間で通信経路が確立される。この時、ISP網終端装置51は、BAS4から上記通信経路確立の要求がなされ、ISP網終端装置51が当該要求に応答することで、上記通信経路の確立が実現される。
【0082】
インターネット6は、ユーザ端末2から見てISP網5から先に存在するネットワーク(インターネット)である。
【0083】
なお、通信経路の確立に際して行われるブロードバンドルータ3に対するIPアドレスの割り当て等、通信プロトコルについてはIP等の既存のプロトコルが用いられる。また、認証サーバにおいて行われるユーザ認証についても既存のプロトコル(例えば、RADIUSプロトコル)が用いられる。
【0084】
§3 動作例
次に、本実施形態におけるユーザ端末2のインターネットへの接続方法について、図4〜6を用いてその処理手順を説明する。なお、本実施形態では、認証サーバ1においてユーザ認証が成立する場合の処理手順は従来のインターネットへの接続方法(図8)の処理手順と同様であるため、説明は省略する。
【0085】
図4は、本実施形態に係るインターネット6への接続方法において、認証サーバ1におけるユーザ認証が成立しなかった時の処理手順の一例を示す。図5は、当該処理手順においてBAS4と認証サーバ1との間で行われる認証の問合せ及び接続許可のパケット構成例である。図6は、当該処理手順においてサポート専用ネットワーク7(サポート専用ネットワーク終端装置71)と認証サーバ1との間で行われる接続確認及び接続許可のパケット構成例である。なお、図5及び図6のパケット構成例は、RADIUSプロトコルに準拠しているため、属性個々の説明は省略する。
【0086】
なお、図5及び図6のパケット構成例は、それぞれ属性名フィールド、タイプフィールド、属性値フィールドを有する。属性名フィールドは、RADIUSプロトコルに準拠した属性名を格納している。タイプフィールドは、属性名フィールドに格納された属性に対応するIDを格納している。属性値フィールドは、属性名フィールドに格納された属性の属性値を格納している。
【0087】
まず、図4に示されるとおり、ブロードバンドルータ3は、自身とISP網5との間で通信経路が確立されていない場合、ユーザ端末2からのインターネット6へのアクセス要求に応じて、BAS4に対してISP網5への接続要求を行う(S101)。なお、当該接続要求には、ユーザ認証に用いられるIDやパスワード等の情報が含まれている。
【0088】
ブロードバンドルータ3からの接続要求に応じて、BAS4は、認証サーバ1にユーザ端末2のユーザ認証の問合せを行う(S102)。
【0089】
図5(a)は、この問合せを構成するパケットの構成例を示す。「User-Name」「User-Password」「CHAP-Password」に格納される属性値は、上記接続要求に含まれるID及び
パスワードであり、認証サーバ1のユーザ認証に用いられる。なお、「User-Password」
及び「CHAP-Password」はBAS4と認証サーバ1との間で用いられる認証プロトコル(
PAP(Password Authentication Protocol)、又はCHAP(Challenge Handshake Authentication Protocol))により、どちらか一方が選択される。また、他の属性に格納
された属性値は、BAS4と認証サーバ1との通信に用いられる。
【0090】
図4に戻り、BAS4からのユーザ認証の問合せに応じて、認証サーバ1はユーザ端末2のユーザ認証を行う。ユーザ認証は、認証部16によって行われる。例えば、認証部16は、BAS4からのユーザ認証の問合せに含まれるID及びパスワードと、ユーザ認証情報データベース15に格納されている一組のID及びパスワードとが一致するか否か判定する。そして、例えば、ID又はパスワードが誤っていた場合、BAS4からのユーザ認証の問合せに含まれるID及びパスワードと、ユーザ認証情報データベース15に格納されている一組のID及びパスワードとは一致せず、当該ユーザ認証は成立しない(S103)。
【0091】
ユーザ認証が成立しない場合、応答部17は、BAS4に対して、サポート専用ネットワーク7への接続許可を行う(S104)。
【0092】
図5(b)は、この接続許可を構成するパケットの構成例を示す。「Service-Type」及び「Framed-Protocol」の属性値は、上記のとおり、BAS4と認証サーバ1との通信に
用いられる。また、「Framed-IP-Address」及び「Framed-IP-Netmask」の属性値は、ブロードバンドルータ3に割り当てられるIPアドレス及びそのサブネットマスクである。また、「Ascend-Primary-Home-Agent」の属性値は、後述するS105において、BAS4
がサポート専用ネットワーク終端装置71(サポート専用ネットワーク7)にアクセスするために用いられる。
【0093】
図4に戻り、認証サーバ1からのサポート専用ネットワーク7への接続許可に応じて、BAS4は、当該接続許可に基づいた接続要求を、サポート専用ネットワーク7の終端装置であるサポート専用ネットワーク終端装置71に対して行う(S105)。当該接続要求に際して、BAS4は、上述のとおり、「Ascend-Primary-Home-Agent」の属性値を用
いてサポート専用ネットワーク終端装置71にアクセスし、接続要求を行う。
【0094】
BAS4からの接続要求に応じて、サポート専用ネットワーク終端装置71は、認証サーバ1が行った当該接続要求に係る接続許可(S104)に対する接続確認を認証サーバ1に対して行う(S106)。
【0095】
図6(a)は、この接続確認を構成するパケットの構成例を示す。「User-Name」から
「NAS-Port-Id」までの属性値は、認証サーバ1が行った接続許可の特定に用いられる。
また、「Tunnel-Type」、「Tunnel-Medium-Type」及び「Tunnel-Server-Endpoint」の属
性値は、ブロードバンドルータ3とサポート専用ネットワーク7との間で確立する通信経路(トンネル)の種別を、認証サーバ1に確認するために用いられる。後述するS110及びS111においては、これらの属性値に基づいて通信経路が確立される。
【0096】
図4に戻り、サポート専用ネットワーク終端装置71からの接続確認に応じて、認証サ
ーバ1(応答部17)は、S104で行った接続許可に対応する接続許可をサポート専用ネットワーク終端装置71に対して行う(S107)。
【0097】
図6(b)は、この接続許可を構成するパケットの構成例を示す。「Framed-IP-Address」及び「Framed-IP-Netmask」の属性値は、上述のとおり、ブロードバンドルータ3に割り当てられるIPアドレス及びそのサブネットマスクである。サポート専用ネットワーク終端装置71は、サポート専用ネットワーク7と通信経路を確立するブロードバンドルータ3を特定するためにこれらの値を用いる。
【0098】
図4に戻り、認証サーバ1からの上記接続許可に応じて、サポート専用ネットワーク終端装置71は、BAS4からの接続要求に対する接続許可をBAS4に対して行う(S108)。
【0099】
サポート専用ネットワーク終端装置71からの接続許可に応じて、BAS4は、ブロードバンドルータ3に対して、サポート専用ネットワーク7への接続許可を返信する(S109)。当該接続許可には、上記ブロードバンドルータ3に割り当てられるIPアドレス及びそのサブネットマスクが含まれる。
【0100】
BAS4からのサポート専用ネットワーク7への接続許可に応じて、ブロードバンドルータ3からBAS4に対して、ブロードバンドルータ3とサポート専用ネットワーク7との間の通信経路の確立のための通信が行われる(S110)。またこれに応じて、BAS4からサポート専用ネットワーク終端装置71に対して、ブロードバンドルータ3とサポート専用ネットワーク7との間の通信経路の確立のための通信が行われる(S111)。なお、この際に確立される通信経路の種別は、上記において説明したように、「Tunnel-Type」、「Tunnel-Medium-Type」及び「Tunnel-Server-Endpoint」の属性値に基づいてい
る。
【0101】
以上までの処理により、BAS4とサポート専用ネットワーク7との間において通信経路が確立される。これにより、ユーザ端末2は、サポート専用ネットワーク7上に存在するサーバにアクセスすることができるようになる。
【0102】
§4 実施の形態に係る作用及び効果
以上によれば、本実施形態に係る認証サーバ及び認証システムでは、認証サーバ1においてユーザ認証が成立しなかったユーザ端末2は、サポート用ネットワーク7に接続される。これによって、本実施形態では、ユーザ端末2は、認証サーバ1においてユーザ認証が成立しなかった場合であっても、サポート用ネットワーク7を介してサポート情報を取得することができる。
【0103】
また、本実施形態では、ユーザ端末2が取得するサポート情報は、例えば、ユーザ認証が成立しなかった(インターネット6に接続できない)問題を解消するための情報である。これによって、ユーザは、オフライン上のマニュアルを参照したり、ISPのサポート専用電話に電話したりしなくとも、このサポート情報に基づいて、インターネット6に接続できない問題を解決することができる。
【0104】
また、本実施形態では、ユーザ端末2は、ユーザ端末2が行ったインターネット6へのアクセス要求に含まれるサービス種別に対応したサーバからサポート情報を取得する。これによって、ユーザは、インターネット6へのアクセス要求に際して要求したサービスに応じたサポート情報の提供を受けることができる。
【0105】
§5 補足
以上、本発明の実施の形態を詳細に説明してきたが、前述までの説明はあらゆる点において本発明の例示に過ぎず、その範囲を限定しようとするものではない。本発明の範囲を逸脱することなく種々の改良や変形を行うことができることは言うまでもない。本発明は、特許請求の範囲によってのみその範囲が解釈される。また、当業者は、上記本実施形態の記載から、特許請求の範囲の記載および技術常識に基づいて等価な範囲を実施することができる。また、本明細書において使用される用語は、特に言及しない限り、当該分野で通常用いられる意味で用いられる。したがって、他に定義されない限り、本明細書中で使用される全ての専門用語および技術用語は、本発明の属する分野の当業者によって一般的に理解される意味と同じ意味を有する。両者が矛盾する場合、本明細書において使用される用語は、本明細書(定義を含めて)に記載された意味において理解される。
【0106】
なお、以上までの説明において、本発明に係る認証サーバ及び認証システムの一実施形態について説明したが、本発明に係る認証方法及び認証プログラムの一実施形態についても同様に説明することができる。つまり、上記認証サーバの各処理を各ステップとする手順が本発明に係る認証方法の一実施形態であり、上記認証サーバの各処理を実行させるために用いられるプログラムが本発明に係る認証プログラムの一実施形態である。
【符号の説明】
【0107】
1 認証サーバ
11 記憶部
12 制御部
13 バス
14 通信部
15 ユーザ認証情報データベース
16 認証部
17 応答部
2 ユーザ端末
3 ブロードバンドルータ
4 BAS
5 ISP網
51 ISP網終端装置
6 インターネット
7 サポート専用ネットワーク
71 サポート専用ネットワーク終端装置
72 振り分け装置
73 DNSサーバ
74 Webサーバ
75 POPサーバ
【技術分野】
【0001】
本発明は、ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証サーバ、認証システム、認証方法及び認証プログラムの技術に関する。
【背景技術】
【0002】
近年、インターネットへ接続可能な通信機器(ユーザ端末)が数多く普及している。これらの通信機器を用いてインターネットへ接続する場合、ユーザは、通常、インターネットへの接続サービスを提供しているISP(Internet Service Provider)との契約が必
要となる。そして、ISPは、例えば、RADIUS(Remote Authentication Dial In User Service)プロトコル等によりユーザ認証を行って、契約したユーザの通信機器に対してインターネットへの接続を提供する。
【0003】
この従来のインターネットへの接続方法ついて、図7〜9を用いて説明する。図7は、従来のネットワークの構成の一例を示す。図8は、従来のインターネットへの接続方法において、ユーザ認証が成立した時の処理手順の一例を示す。図9は、従来のインターネットへの接続方法において、ユーザ認証が成立しなかった時の処理手順の一例を示す。
【0004】
図7に示されるとおり、従来のネットワークは、ユーザ端末2、ブロードバンドルータ3、BAS(Broadband Access Server)4、認証サーバ10、ISP網5、ISP網終
端装置51、インターネット6を含んだ構成となっている。
【0005】
従来のインターネットへの接続方法において、ユーザ認証が成立した時の処理手順について、図8を用いて説明する。
【0006】
まず、図8に示されるとおり、ユーザ端末2は、ブロードバンドルータ3を介して、BAS4に対してISP網5への接続要求をする。当該接続要求に際して、例えば、IDやパスワード等を含む情報がブロードバンドルータ3からBAS4へ送信される(S201)。
【0007】
BAS4は、ブロードバンドルータ3から当該情報を受信すると、当該情報に含まれるIDやパスワード等を含む情報を認証サーバ10に送信し、認証サーバ10に対してユーザ端末2のユーザ認証を問合せる(S202)。
【0008】
認証サーバ10は、当該BAS4からの問合せに応じ、BAS4から送信される情報に含まれるIDやパスワード等に基づいてユーザ認証を行い、ユーザ端末2に対してISP網5への接続を許可するか否かを判定する。例えば、BAS4から送信される情報に含まれるIDやパスワード等が認証サーバ10において登録されているユーザ情報と一致する場合、ユーザ認証は成立する(S203)。
【0009】
ユーザ認証が成立すると、認証サーバ10は、BAS4に対して、ユーザ認証の結果(接続許可)と共に接続先のISP網5の終端装置であるISP網終端装置51のIPアドレスを含む情報を返信する(S204)。
【0010】
BAS4は、認証サーバ10から当該情報を受信すると、ブロードバンドルータ3に対して、接続先のISP網5の終端装置であるISP網終端装置51のIPアドレスを含む接続許可に関する情報を返信する(S205)。
【0011】
ブロードバンドルータ3は、BAS4から当該接続許可に関する情報を受信すると、BAS4に対して通信経路確立のための通信を行い(S206)、それに伴って、BAS4はISP網5(ISP網終端装置51)に対して通信経路確立のための通信を行う(S207)。
【0012】
以上により、ユーザ端末2は、認証サーバ10によりユーザ認証がなされ、ブロードバンドルータ3からISP網5までの通信経路が確立し、ISP網5を介してインターネット6への接続が可能となる。
【0013】
他方、例えば、ブロードバンドルータ3から送信されるID又はパスワード等が誤っていた場合等、上記ユーザ認証は成立しない場合がある。従来のインターネットへの接続方法において、ユーザ認証が成立しなかった時の処理手順について、図9を用いて説明する。
【0014】
図9に示されるとおり、ユーザ端末2が、ブロードバンドルータ3を介して、BAS4に対してISP網5への接続要求し(S301)、BAS4は、認証サーバ10に対してユーザ端末2のユーザ認証を問い合わせる(S302)。この点は、図8における処理手順のS201とS202と同様である。
【0015】
そして、例えば、ブロードバンドルータ3から送信されるID又はパスワード等が誤っていた場合、ユーザ認証は成立しない(S303)。
【0016】
ユーザ認証が成立しなかった場合、認証サーバ10は、BAS4に対して、ユーザ認証の結果(ユーザ端末2のISP網5への接続拒否)を返信する(S304)。
【0017】
BAS4は、認証サーバ10からの当該結果に基づいて、ブロードバンドルータ3に対して、ISP網5への接続拒否を示す情報を返信する(S305)。
【0018】
以上により、ユーザ端末2は、認証サーバ10においてユーザ認証が成立せず、ブロードバンドルータ3からISP網5までの通信経路は確立せず、インターネット6に接続ができない。
【0019】
このような従来のインターネットへの接続方法に関する技術として、例えば、特許文献1が挙げられる。特許文献1では、従来のネットワークへの接続方法において、不正利用者による不正侵入を防止する技術が開示されている。
【先行技術文献】
【特許文献】
【0020】
【特許文献1】特開2002−149606号公報
【発明の概要】
【発明が解決しようとする課題】
【0021】
上記のように従来のインターネットへの接続方法では、ユーザ認証が成立しなかった場合、ユーザ端末2はどのネットワークにも接続することができなかった。このため、ユーザは、ユーザ端末2がネットワークに接続できない原因を、ネットワークを利用せず、オフライン上のマニュアルを参照して調べるか、ISPのサポート専用電話に電話することで調べることしかできなかった。つまり、ユーザは、ユーザ端末2がネットワークに接続できない原因に関する情報を、インターネット等のネットワークから取得することはできなかった。
【0022】
本発明は、このような点を考慮してなされたものであり、ユーザ認証が成立しなかったユーザ端末に対してネットワークを介したサポート情報を提供することができる認証サーバ、認証システム、認証方法及び認証プログラムを提供することを目的とする。
【課題を解決するための手段】
【0023】
本発明は、上述した課題を解決するために、以下の構成を採用する。
【0024】
すなわち、ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う本発明の認証サーバは、情報端末からの接続要求に応じて、情報端末のユーザ認証を行う認証部と、認証部のユーザ認証の結果に基づいて、ユーザ認証が成立した場合は情報端末による前記ネットワークへの接続を許可し、ユーザ認証が成立しなかった場合はサポート情報を提供可能なネットワークへの情報端末による接続を許可する応答部と、を備える。
【0025】
上記構成によれば、ユーザ認証が成立しなかった情報端末は、サポート情報を提供可能なネットワークへ接続が許可される。このため、ユーザは、ユーザ認証が成立しなかった場合であっても、ネットワークを介してサポート情報の提供を受けることができる。
【0026】
また、上記サポート情報は、ネットワークへの接続要求に際して情報端末が要求するサービスの種別に対応していてもよい。
【0027】
上記構成によれば、ユーザは、ネットワークへの接続要求に際して要求したサービスに応じたサポート情報の提供を受けることができる。
【0028】
なお、本発明の別態様としては、以上の何れかの構成を実現する方法であってもよいし、システムであってもよいし、プログラムであってもよいし、このようなプログラムを記録したコンピュータが読み取り可能な記憶媒体であってもよい。
【発明の効果】
【0029】
本発明によれば、ユーザ認証が成立しなかったユーザ端末に対してネットワークを介したサポート情報を提供することができる認証サーバ、認証システム、認証方法及び認証プログラムを提供することができる。
【図面の簡単な説明】
【0030】
【図1】実施の形態に係るネットワーク構成を例示する図。
【図2】実施の形態に係る認証サーバの構成を例示する図。
【図3】実施の形態に係るサポート専用ネットワークの構成を例示する図。
【図4】実施の形態に係るネットワーク(インターネット)への接続方法において、ユーザ認証が成立しなかった時の処理手順の一例を示したシーケンスチャート。
【図5】BASと認証サーバとの間のユーザ認証に関するパケットが含む属性例及び属性値例。
【図6】サポート専用ネットワーク終端装置と認証サーバとの間の接続要求に関するパケットが含む属性例及び属性値例。
【図7】従来のネットワーク構成を例示する図。
【図8】従来のインターネットへの接続方法において、ユーザ認証が成立した時の処理手順の一例を示したシーケンスチャート。
【図9】従来のインターネットへの接続方法において、ユーザ認証が成立しなかった時の処理手順の一例を示したシーケンスチャート。
【発明を実施するための形態】
【0031】
以下、本発明の一側面に係る認証サーバ及び認証システムを、実施の形態(以下、「本
実施形態」とも表記する)として説明する。ただし、以下に挙げる実施形態は例示であり、本発明は以下の実施形態の構成に限定されない。
【0032】
なお、以下に挙げる実施形態において、例えば、図5及び図6においてパケット構成例の属性名や属性値を自然言語(日本語等)等で例示しているが、より具体的には、コンピュータが認識可能な疑似言語、コマンド、パラメタ、マシン語等で指定される。
【0033】
§1 ネットワーク構成例
まず、本実施形態に係るネットワークの構成例について説明する。図1は、本実施形態に係るネットワークの構成例を示す。図1に示されるとおり、本実施形態に係るネットワークは、認証サーバ1、ユーザ端末2、ブロードバンドルータ3、BAS4、ISP網5及びISP網終端装置51、インターネット6並びにサポート専用ネットワーク7及びサポート専用ネットワーク終端装置71を含んだ構成となっている。
【0034】
認証サーバ1は、ネットワークを介してBAS4及びサポート専用ネットワーク終端装置71(サポート専用ネットワーク7)と通信可能となっている。ユーザ端末2は、ネットワークを介してブロードバンドルータ3と通信可能となっている。ブロードバンドルータ3は、ネットワークを介してユーザ端末2及びBAS4と通信可能となっている。BAS4は、ネットワークを介して認証サーバ1、ブロードバンドルータ3、ISP網終端装置51(ISP網5)及びサポート専用ネットワーク終端装置71(サポート専用ネットワーク7)と通信可能となっている。
【0035】
ユーザ端末2は、ブロードバンドルータ3、BAS4並びにISP網5及びISP網終端装置51を介して、インターネット6に接続することができる。
【0036】
§2 装置構成例
次に、本実施形態に係るネットワークの各ノードについて説明する。
【0037】
§2−1 ユーザ端末2
ユーザ端末2は、例えば、PC(Personal Computer)として周知のハードウェア構成
及び機能構成を有している。例えば、ユーザ端末2は、そのハードウェア構成として、それぞれバスを介して接続された、各種データ及びプログラムを格納するための記憶部、記憶部に格納されたプログラムを実行する制御部、及び、ネットワークと通信を行うための通信部等を有している。ユーザ端末2は、このようなハードウェア構成により、ネットワークを介してインターネット6へ接続するための一般的な通信機能、提供されたデータに基づく画面を表示及び操作することができる一般的なユーザインタフェース機能等を実現する。
【0038】
本実施形態では、ユーザ端末2は、ISP網5を介してインターネット6上に存在するサーバ(WEBサーバやメールサーバ等)へアクセスする。この時、後述するとおり、ブロードバンドルータ3とISP網5との間で通信経路が確立されていない場合、認証サーバ1によりユーザ端末2のユーザ認証が行われる。そして、ユーザ認証の結果、本実施形態では、ブロードバンドルータ3とISP網5またはサービス専用ネットワーク7との間で通信経路が確立する。ブロードバンドルータ3とISP網5との間で通信経路が確立した場合、ユーザ端末2は、上記アクセスしようとしたサーバにアクセスすることができるようになる。他方、ブロードバンドルータ3とサービス専用ネットワーク7との間で通信経路が確立した場合、ユーザ端末2が行ったアクセスは、後述する振り分け装置72により、上記アクセスしようとしたサーバが提供するサービス種別に対応するサーバに振り分けられる。詳細については、後述する。
【0039】
§2−2 ブロードバンドルータ3
ブロードバンドルータ3は、周知のブロードバンドルータとして一般的なハードウェア構成及び機能構成を有している。例えば、ブロードバンドルータ3は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。ブロードバンドルータ3は、このようなハードウェア構成により、ブロードバンドルータ3とISP網5またはサービス専用ネットワーク7との間で通信経路を確立する一般的なルーティング機能等を実現する。
【0040】
本実施形態では、ブロードバンドルータ3は、ユーザ端末2からのインターネット6上へのサーバに対するアクセス要求に応じて、ISP網5との間に通信経路を確立するために、BAS4に対して、ISP網5への接続要求を行う。接続要求に際して、ブロードバンドルータ3からBAS4へ、ユーザ認証に用いる情報(例えば、ユーザのID及びパスワード)を含んだ情報が送信される。
【0041】
この接続要求に応じて、認証サーバ1によりユーザ端末2のユーザ認証が行われる。そして、ユーザ認証の結果に応じて、本実施形態では、ブロードバンドルータ3は、BAS4から送信される接続許可の情報に基づいて、ISP網5又はサービス専用ネットワーク7との間に通信経路を確立する。この通信経路の確立のため、ブロードバンドルータ3は、BAS4と通信経路確立のための通信を行う。
【0042】
§2−3 BAS4
BAS4は、周知のアクセスサーバとして一般的なハードウェア構成及び機能構成を有している。例えば、BAS4は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。BAS4は、このようなハードウェア構成により、一般的な認証クライアントの機能等を実現する。なお、本実施形態では、BAS4の制御部において実行されるプログラム等の設定において、ISP網5への接続が予め設定されている。
【0043】
本実施形態では、BAS4は、ブロードバンドルータ3からのISP網5への接続要求に応じて、認証サーバ1にユーザ認証の問合せを行う。
【0044】
また、本実施形態では、BAS4は、予め設定されている接続先であるISP網5への接続許可(例えば、接続許可の情報を含むパケットデータの通知)を認証サーバ1から受ける。この時、BAS4は、ブロードバンドルータ3にISP網5への接続許可を返信する。
【0045】
更に、本実施形態では、BAS4は、予め設定されている接続先ではないサポート専用ネットワーク7への接続許可を認証サーバ1から受ける場合がある。この場合、BAS4は、サポート専用ネットワーク7の終端装置であるサポート専用ネットワーク終端装置71に対して、ブロードバンドルータ3とサポート専用ネットワーク7との間で通信経路を確立することに対する接続要求を行う。この接続要求に応じて、サポート専用ネットワーク終端装置71から接続許可の応答が返される。BAS4は、当該接続許可の応答に応じて、ブロードバンドルータ3にサポート専用ネットワークへの接続許可を返信する。
【0046】
§2−4 認証サーバ1
図2は、本実施形態における認証サーバ1の構成例を示す。
【0047】
認証サーバ1は、図2に示されるように、そのハードウェア構成として、バス13で接
続される、記憶部11、制御部12、通信部14等の既存のハードウェアを有している。記憶部11は、例えばハードディスクであり、制御部12で実行される処理で利用される各種データ及びプログラムを記憶する。制御部12は、CPU(Central Processing Unit)等の1又は複数のプロセッサであり、このプロセッサの処理に利用される周辺回路(
ROM(Read Only Memory)、RAM(Random Access Memory)、インタフェース回路等)を有する。通信部14は、ネットワークを介して、BAS4及びサポート専用ネットワーク終端装置71等とIP(Internet Protocol)パケット等の送受信を行う。なお、認
証サーバ1は、PC等のような汎用コンピュータで構成されてもよいし、ネットワーク接続ストレージのような専用コンピュータで構築されてもよい。
【0048】
図2に示されるとおり、認証サーバ1は、ユーザ認証を行う情報を格納するためのユーザ認証情報データベース15を記憶部11に有している。
【0049】
ユーザ認証情報データベース15には、後述する認証部16がユーザ認証を行うための情報が格納されている。ユーザ認証を行うための情報は、上述のブロードバンドルータ3からBAS4に送信されるユーザ認証に用いる情報に対応した情報であり、例えば、ユーザのIDとパスワードとを一組にした情報である。
【0050】
また、図2に示されるとおり、認証サーバ1は、ユーザ認証情報データベース15の情報を用いてユーザ認証を行う認証部16、及び認証部16のユーザ認証の結果に応じた応答(ネットワークへの接続許可)を行う応答部17を制御部11に有している。
【0051】
認証部16は、BAS4からのユーザ認証の問合せに応じて、当該問合せの対象であるユーザ端末2のユーザ認証を行う。認証部16は、このユーザ認証を、ユーザ認証情報データベース15に格納された情報と、BAS4からのユーザ認証の問合せに含まれる上述のブロードバンドルータ3からBAS4に送信されるユーザ認証に用いる情報とを用いることにより実施する。
【0052】
例えば、ユーザ認証情報データベース15にはユーザのIDとパスワードとを一組にした情報が格納されており、上述のブロードバンドルータ3からBAS4に送信されるユーザ認証に用いる情報がユーザのIDとパスワードであるとする。この場合、認証部16は、BAS4からのユーザ認証の問合せに含まれたユーザのID及びパスワードが、ユーザ認証情報データベース15に格納されているユーザのID及びパスワードと一致するか否かを判定することにより、ユーザ認証を実施する。
【0053】
例えば、認証部16は、BAS4の問合せに含まれたID及びパスワードとユーザ認証情報データベース15に格納されているID及びパスワードが一致した場合、ユーザ認証は成立すると判定する。他方、認証部16は、BAS4の問合せに含まれたID及びパスワードとユーザ認証情報データベース15に格納されているID及びパスワードが一致しない場合、ユーザ認証は成立しないと判定する。
【0054】
応答部17は、認証部16のユーザ認証の判定の結果に応じて、ネットワークへの接続許可をBAS4に対して行う。この接続許可の対象となるネットワークは、本実施形態では、ISP網5またはサポート専用ネットワーク7である。認証部16がこれらのネットワークに対する接続許可をBAS4に対して行うことで、ブロードバンドルータ3とこれらのネットワークとの間に通信経路が形成される。
【0055】
本実施形態では、応答部17は、認証部16がユーザ認証は成立すると判定した場合、ISP網5への接続許可をBAS4に対して行う。他方、認証部16がユーザ認証は成立しないと判定した場合、応答部17は、サポート専用ネットワーク7への接続許可をBA
S4に対して行う。
【0056】
なお、本実施形態では、応答部17が、サポート専用ネットワーク7への接続許可をBAS4に対して行った場合、後述するサポート専用ネットワーク終端装置71より当該接続許可の接続確認が行われる。この時、応答部17は自己が行ったBAS4に対する接続許可に対応する接続許可の通知をサポート専用ネットワーク終端装置71に対して行う。サポート専用ネットワーク終端装置71は、この接続許可の通知により、ブロードバンドルータ3と自身との間で通信経路を確立することに対する接続許可を認証サーバ1(応答部17)が行ったことを認識する。
【0057】
§2−5 サポート専用ネットワーク7
図3は、本実施形態におけるサポート専用ネットワーク7の構成例を示す。
【0058】
図3に示されるとおり、サポート専用ネットワーク7は、その構成として、サポート専用ネットワーク終端装置71、振り分け装置72、DNSサーバ73、Webサーバ74、POPサーバ75等を含む。サポート専用ネットワーク7は、例えば、上記ID又はパスワードを誤ったことにより、認証サーバ1でユーザ認証が不成立であった場合に、ユーザ端末2がアクセスする先となるネットワークである。本実施形態では、ユーザ端末2は、このサポート専用ネットワーク7に存在するサーバから、上記ユーザ認証不成立を解消するためのサポート情報を得ることができる。
【0059】
<サポート専用ネットワーク終端装置71>
サポート専用ネットワーク終端装置71は、ネットワークの終端装置として、周知のハードウェア構成及び機能構成を有している。例えば、サポート専用ネットワーク終端装置71は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。サポート専用ネットワーク終端装置71は、このようなハードウェア構成により、サポート専用ネットワーク7のインタフェースとしての機能等を実現する。
【0060】
本実施形態では、上述のとおり、サポート専用ネットワーク終端装置71は、認証サーバ1から返信される接続許可に応じて、BAS4からブロードバンドルータ3とサポート専用ネットワーク7との間で通信経路を確立することに対する接続要求がなされる。これに応じて、サポート専用ネットワーク終端装置71は、認証サーバ1が行った接続許可の確認のための通信(接続確認)を認証サーバ1に対して行う。
【0061】
また、本実施形態では、上述のとおり、サポート専用ネットワーク終端装置71は、上記接続確認に応じて認証サーバ1から接続許可の通知を受け取る。これに応じて、サポート専用ネットワーク終端装置71は、上記BAS4の接続要求に対する接続許可をBAS4に対して行う。
【0062】
また、本実施形態では、上記接続許可の後、ブロードバンドルータ3とサポート専用ネットワーク7との間で通信経路が確立される。この時、BAS4からサポート専用ネットワーク終端装置71に対して上記通信経路確立の要求がなされ、サポート専用ネットワーク終端装置71が当該要求に応答することで、上記通信経路の確立が実現される。
【0063】
また、本実施形態では、上記通信経路の確立後、ユーザ端末2からサポート専用ネットワーク7上に存在するサーバへのアクセスがなされる。このアクセスは、認証サーバ1におけるユーザ認証が不成立であったことにより発生するものであり、ユーザ端末2が行ったアクセス要求は、インターネット6上に存在するサーバに対して行われたものである。
つまり、本実施形態では、ユーザ認証が不成立であった場合、ユーザ端末2が行ったアクセス要求の対象であるサーバとは異なるサーバにユーザ端末はアクセスする。サポート専用ネットワーク終端装置71は、このアクセス要求(例えば、アクセス要求のためのパケット)を全て振り分け装置72に転送する。この転送は、例えば、上記通信経路の確立において、振り分け装置72が当該通信経路に含まれるように設定されることで実現される。
【0064】
<振り分け装置72>
振り分け装置72は、例えば、パケットの振り分け機能を有する周知のルータとして一般的なハードウェア構成及び機能構成を有している。例えば、振り分け装置72は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。振り分け装置72は、このようなハードウェア構成により、ユーザ端末2からのアクセス要求をサービス専用ネットワーク7内に存在する各サーバ(例えば、Webサーバ74)に振り分ける機能等を実現する。
【0065】
本実施形態では、振り分け装置72は、ユーザ端末2からのアクセス要求に含まれるサービス種別(例えば、ポート番号)に応じて振り分け先のサーバを決定する。
【0066】
上述したとおり、本実施形態では、認証サーバ1におけるユーザ認証が不成立であった場合、インターネット6上のサーバに対するアクセス要求に基づいて、ユーザ端末2はサービス専用ネットワーク7にアクセスする。つまり、ユーザ端末2からのアクセス要求に含まれるアクセス先の情報(例えば、IPアドレス)は、ユーザ端末2がアクセスしようとしたインターネット6上に存在するサーバのアクセスに用いられる情報である。振り分け装置72は、このアクセス先の情報に基づいて振り分け先のサーバを決定する。
【0067】
本実施形態では、振り分け装置72は、上記アクセス先の情報に基づいて振り分け先のサーバを決定するために、DNSサーバ73に対して問合せを行う。この問合せに対して、DNSサーバ73は、ユーザ端末2からのアクセス要求に含まれるサービス種別に対応する振り分け先のサーバのアクセスに用いる情報(例えば、IPアドレス)を振り分け装置72に返信する。
【0068】
例えば、インターネット6上に存在するサーバのWebページの取得のためにユーザ端末2がアクセス要求を行った場合、ユーザ端末2のアクセス要求にはWebページの取得に対応するサービス種別(例えば、ポート番号「80」)の情報が含まれている。この情報に従い、DNSサーバ73は、Webサーバ74のアクセスに用いる情報(例えば、IPアドレス)を振り分け装置72に返信する。
【0069】
また、例えば、インターネット6上に存在するメールサーバに対して電子メールの受信を行うためにユーザ端末2がアクセス要求を行った場合、ユーザ端末2のアクセス要求には電子メールの受信に対応するサービス種別(例えば、ポート番号「110」)の情報が含まれている。この情報に従い、DNSサーバ73は、POPサーバ75のアクセスに用いる情報を振り分け装置72に返信する。
【0070】
なお、本実施形態においては、サービス種別に対応した振り分け先のサーバを決定するために、DNSサーバ73が用いられる。本実施形態の別形態として、例えば、振り分け装置72は、各サービスの種別に応じた振り分け先のサーバのアクセスに用いる情報を記憶部に格納してもよい。これにより、振り分け装置72は、各サービスの種別に応じた振り分け先のサーバを決定してもよい。
【0071】
<その他サーバ>
図3に示されるとおり、サポート専用ネットワーク7には、上記構成の他に、DNSサーバ73、Webサーバ74、POPサーバ75及びその他サービスのサーバが存在する。
【0072】
これらの各サーバは、周知のサーバとして一般的なハードウェア構成及び機能構成を有している。例えば、各サーバは、それぞれバスを介して接続された、各種データ及びプログラムを格納するための記憶部、記憶部に格納されたプログラムを実行する制御部、及び、ネットワークと通信を行うための通信部等を有している。各サーバは、このようなハードウェア構成により、各サーバに対応するサービスを提供する一般的なサーバとしての機能を実現する。
【0073】
DNSサーバ73は、周知のDNS(Domain Name System)の機能を実施するサーバである。本実施形態では、DNSサーバ73は、上述のとおり、振り分け装置72からの問合せに応じて、ユーザ端末2のアクセス要求に含まれるサービス種別に対応する振り分け先のサーバのアクセスに用いる情報を振り分け装置72に返信する。つまり、本実施形態では、DNSサーバ73は、振り分け装置72の振り分け先を決定するサーバである。なお、上述したとおり、本実施形態の別形態として、DNSサーバ73に代えて、振り分け装置72は、自身の記憶部に格納した各サービスの種別に応じた振り分け先のサーバのアクセスに用いる情報を用いてもよい。
【0074】
Webサーバ74は、周知のWebサーバとしての機能を有するサーバである。本実施形態では、Webサーバ74は、認証サーバ1においてユーザ認証が不成立であって、インターネット6上のWebサーバへのアクセスのためにユーザ端末2がアクセス要求を行っていた場合に、当該ユーザ端末2のアクセス先となるサーバである。Webサーバ74は、例えば、Webページとして、サポート情報をユーザ端末2に提供する。
【0075】
サポート情報は、ユーザの用いる端末がインターネットにアクセスできない等の諸問題を解決するための情報であり、本実施形態では、例えば、ユーザ端末2を利用するユーザが、認証サーバ1におけるユーザ認証不成立を解消するための情報である。このサポート情報には、例えば、インターネットへの接続マニュアル、ヘルプ情報及び質疑応答集等の情報も含まれる。このサポート情報は、ISPにより任意に用意されるコンテンツデータである。
【0076】
POPサーバ75は、周知のメール受信プロトコルであるPOP(Post Office Protocol)に対応している電子メールの受信サーバとしての機能を実現する。本実施形態では、POPサーバ75は、認証サーバ1においてユーザ認証が不成立であって、インターネット6上のPOPサーバへのアクセスのためにユーザ端末2がアクセス要求を行っていた場合に、当該ユーザ端末2のアクセス先となるサーバである。POPサーバ75は、例えば、電子メールとして、サポート情報をユーザ端末2に提供する。
【0077】
なお、図3においてサポート情報を提供するサーバとして、Webサーバ74及びPOPサーバ75を具体的に明記したが、サポート専用ネットワーク7には、これらのサーバが存在しなくてもよいし、その他サービスに対応するサーバが存在してもよい。サポート専用ネットワーク7に存在するサーバは、任意に決定される。また、各サーバにおけるサポート情報を提供する方法は、各サーバの周知の動作(例えば、上記Webサーバ74及びPOPサーバ75の動作を参照)により定まる。
【0078】
§2−6 その他
図1に示されるとおり、本実施形態におけるネットワークの構成例には、ISP網5、
ISP網終端装置51、インターネット6が存在する。
【0079】
ISP網5は、契約者(ユーザ)のユーザ端末をインターネットに接続のためにISPによって用意されるネットワークである。本実施形態では、ISP網5は、ユーザ端末2がインターネット6に接続するために用意されるネットワークである。
【0080】
ISP網終端装置51は、ネットワークの終端装置として、周知のハードウェア構成及び機能構成を有している。例えば、ISP網終端装置51は、各種データ及びプログラムを格納するための記憶部と、記憶部に格納されたプログラムを実行する制御部、及び、制御部により制御されて他の通信装置と通信するための複数の物理インタフェースを備えている。ISP網終端装置51は、このようなハードウェア構成により、ISP網5のインタフェースとしての機能等を実現する。
【0081】
本実施形態では、上述のとおり、認証サーバ1におけるユーザ認証が成立した場合、ブロードバンドルータ3とISP網5との間で通信経路が確立される。この時、ISP網終端装置51は、BAS4から上記通信経路確立の要求がなされ、ISP網終端装置51が当該要求に応答することで、上記通信経路の確立が実現される。
【0082】
インターネット6は、ユーザ端末2から見てISP網5から先に存在するネットワーク(インターネット)である。
【0083】
なお、通信経路の確立に際して行われるブロードバンドルータ3に対するIPアドレスの割り当て等、通信プロトコルについてはIP等の既存のプロトコルが用いられる。また、認証サーバにおいて行われるユーザ認証についても既存のプロトコル(例えば、RADIUSプロトコル)が用いられる。
【0084】
§3 動作例
次に、本実施形態におけるユーザ端末2のインターネットへの接続方法について、図4〜6を用いてその処理手順を説明する。なお、本実施形態では、認証サーバ1においてユーザ認証が成立する場合の処理手順は従来のインターネットへの接続方法(図8)の処理手順と同様であるため、説明は省略する。
【0085】
図4は、本実施形態に係るインターネット6への接続方法において、認証サーバ1におけるユーザ認証が成立しなかった時の処理手順の一例を示す。図5は、当該処理手順においてBAS4と認証サーバ1との間で行われる認証の問合せ及び接続許可のパケット構成例である。図6は、当該処理手順においてサポート専用ネットワーク7(サポート専用ネットワーク終端装置71)と認証サーバ1との間で行われる接続確認及び接続許可のパケット構成例である。なお、図5及び図6のパケット構成例は、RADIUSプロトコルに準拠しているため、属性個々の説明は省略する。
【0086】
なお、図5及び図6のパケット構成例は、それぞれ属性名フィールド、タイプフィールド、属性値フィールドを有する。属性名フィールドは、RADIUSプロトコルに準拠した属性名を格納している。タイプフィールドは、属性名フィールドに格納された属性に対応するIDを格納している。属性値フィールドは、属性名フィールドに格納された属性の属性値を格納している。
【0087】
まず、図4に示されるとおり、ブロードバンドルータ3は、自身とISP網5との間で通信経路が確立されていない場合、ユーザ端末2からのインターネット6へのアクセス要求に応じて、BAS4に対してISP網5への接続要求を行う(S101)。なお、当該接続要求には、ユーザ認証に用いられるIDやパスワード等の情報が含まれている。
【0088】
ブロードバンドルータ3からの接続要求に応じて、BAS4は、認証サーバ1にユーザ端末2のユーザ認証の問合せを行う(S102)。
【0089】
図5(a)は、この問合せを構成するパケットの構成例を示す。「User-Name」「User-Password」「CHAP-Password」に格納される属性値は、上記接続要求に含まれるID及び
パスワードであり、認証サーバ1のユーザ認証に用いられる。なお、「User-Password」
及び「CHAP-Password」はBAS4と認証サーバ1との間で用いられる認証プロトコル(
PAP(Password Authentication Protocol)、又はCHAP(Challenge Handshake Authentication Protocol))により、どちらか一方が選択される。また、他の属性に格納
された属性値は、BAS4と認証サーバ1との通信に用いられる。
【0090】
図4に戻り、BAS4からのユーザ認証の問合せに応じて、認証サーバ1はユーザ端末2のユーザ認証を行う。ユーザ認証は、認証部16によって行われる。例えば、認証部16は、BAS4からのユーザ認証の問合せに含まれるID及びパスワードと、ユーザ認証情報データベース15に格納されている一組のID及びパスワードとが一致するか否か判定する。そして、例えば、ID又はパスワードが誤っていた場合、BAS4からのユーザ認証の問合せに含まれるID及びパスワードと、ユーザ認証情報データベース15に格納されている一組のID及びパスワードとは一致せず、当該ユーザ認証は成立しない(S103)。
【0091】
ユーザ認証が成立しない場合、応答部17は、BAS4に対して、サポート専用ネットワーク7への接続許可を行う(S104)。
【0092】
図5(b)は、この接続許可を構成するパケットの構成例を示す。「Service-Type」及び「Framed-Protocol」の属性値は、上記のとおり、BAS4と認証サーバ1との通信に
用いられる。また、「Framed-IP-Address」及び「Framed-IP-Netmask」の属性値は、ブロードバンドルータ3に割り当てられるIPアドレス及びそのサブネットマスクである。また、「Ascend-Primary-Home-Agent」の属性値は、後述するS105において、BAS4
がサポート専用ネットワーク終端装置71(サポート専用ネットワーク7)にアクセスするために用いられる。
【0093】
図4に戻り、認証サーバ1からのサポート専用ネットワーク7への接続許可に応じて、BAS4は、当該接続許可に基づいた接続要求を、サポート専用ネットワーク7の終端装置であるサポート専用ネットワーク終端装置71に対して行う(S105)。当該接続要求に際して、BAS4は、上述のとおり、「Ascend-Primary-Home-Agent」の属性値を用
いてサポート専用ネットワーク終端装置71にアクセスし、接続要求を行う。
【0094】
BAS4からの接続要求に応じて、サポート専用ネットワーク終端装置71は、認証サーバ1が行った当該接続要求に係る接続許可(S104)に対する接続確認を認証サーバ1に対して行う(S106)。
【0095】
図6(a)は、この接続確認を構成するパケットの構成例を示す。「User-Name」から
「NAS-Port-Id」までの属性値は、認証サーバ1が行った接続許可の特定に用いられる。
また、「Tunnel-Type」、「Tunnel-Medium-Type」及び「Tunnel-Server-Endpoint」の属
性値は、ブロードバンドルータ3とサポート専用ネットワーク7との間で確立する通信経路(トンネル)の種別を、認証サーバ1に確認するために用いられる。後述するS110及びS111においては、これらの属性値に基づいて通信経路が確立される。
【0096】
図4に戻り、サポート専用ネットワーク終端装置71からの接続確認に応じて、認証サ
ーバ1(応答部17)は、S104で行った接続許可に対応する接続許可をサポート専用ネットワーク終端装置71に対して行う(S107)。
【0097】
図6(b)は、この接続許可を構成するパケットの構成例を示す。「Framed-IP-Address」及び「Framed-IP-Netmask」の属性値は、上述のとおり、ブロードバンドルータ3に割り当てられるIPアドレス及びそのサブネットマスクである。サポート専用ネットワーク終端装置71は、サポート専用ネットワーク7と通信経路を確立するブロードバンドルータ3を特定するためにこれらの値を用いる。
【0098】
図4に戻り、認証サーバ1からの上記接続許可に応じて、サポート専用ネットワーク終端装置71は、BAS4からの接続要求に対する接続許可をBAS4に対して行う(S108)。
【0099】
サポート専用ネットワーク終端装置71からの接続許可に応じて、BAS4は、ブロードバンドルータ3に対して、サポート専用ネットワーク7への接続許可を返信する(S109)。当該接続許可には、上記ブロードバンドルータ3に割り当てられるIPアドレス及びそのサブネットマスクが含まれる。
【0100】
BAS4からのサポート専用ネットワーク7への接続許可に応じて、ブロードバンドルータ3からBAS4に対して、ブロードバンドルータ3とサポート専用ネットワーク7との間の通信経路の確立のための通信が行われる(S110)。またこれに応じて、BAS4からサポート専用ネットワーク終端装置71に対して、ブロードバンドルータ3とサポート専用ネットワーク7との間の通信経路の確立のための通信が行われる(S111)。なお、この際に確立される通信経路の種別は、上記において説明したように、「Tunnel-Type」、「Tunnel-Medium-Type」及び「Tunnel-Server-Endpoint」の属性値に基づいてい
る。
【0101】
以上までの処理により、BAS4とサポート専用ネットワーク7との間において通信経路が確立される。これにより、ユーザ端末2は、サポート専用ネットワーク7上に存在するサーバにアクセスすることができるようになる。
【0102】
§4 実施の形態に係る作用及び効果
以上によれば、本実施形態に係る認証サーバ及び認証システムでは、認証サーバ1においてユーザ認証が成立しなかったユーザ端末2は、サポート用ネットワーク7に接続される。これによって、本実施形態では、ユーザ端末2は、認証サーバ1においてユーザ認証が成立しなかった場合であっても、サポート用ネットワーク7を介してサポート情報を取得することができる。
【0103】
また、本実施形態では、ユーザ端末2が取得するサポート情報は、例えば、ユーザ認証が成立しなかった(インターネット6に接続できない)問題を解消するための情報である。これによって、ユーザは、オフライン上のマニュアルを参照したり、ISPのサポート専用電話に電話したりしなくとも、このサポート情報に基づいて、インターネット6に接続できない問題を解決することができる。
【0104】
また、本実施形態では、ユーザ端末2は、ユーザ端末2が行ったインターネット6へのアクセス要求に含まれるサービス種別に対応したサーバからサポート情報を取得する。これによって、ユーザは、インターネット6へのアクセス要求に際して要求したサービスに応じたサポート情報の提供を受けることができる。
【0105】
§5 補足
以上、本発明の実施の形態を詳細に説明してきたが、前述までの説明はあらゆる点において本発明の例示に過ぎず、その範囲を限定しようとするものではない。本発明の範囲を逸脱することなく種々の改良や変形を行うことができることは言うまでもない。本発明は、特許請求の範囲によってのみその範囲が解釈される。また、当業者は、上記本実施形態の記載から、特許請求の範囲の記載および技術常識に基づいて等価な範囲を実施することができる。また、本明細書において使用される用語は、特に言及しない限り、当該分野で通常用いられる意味で用いられる。したがって、他に定義されない限り、本明細書中で使用される全ての専門用語および技術用語は、本発明の属する分野の当業者によって一般的に理解される意味と同じ意味を有する。両者が矛盾する場合、本明細書において使用される用語は、本明細書(定義を含めて)に記載された意味において理解される。
【0106】
なお、以上までの説明において、本発明に係る認証サーバ及び認証システムの一実施形態について説明したが、本発明に係る認証方法及び認証プログラムの一実施形態についても同様に説明することができる。つまり、上記認証サーバの各処理を各ステップとする手順が本発明に係る認証方法の一実施形態であり、上記認証サーバの各処理を実行させるために用いられるプログラムが本発明に係る認証プログラムの一実施形態である。
【符号の説明】
【0107】
1 認証サーバ
11 記憶部
12 制御部
13 バス
14 通信部
15 ユーザ認証情報データベース
16 認証部
17 応答部
2 ユーザ端末
3 ブロードバンドルータ
4 BAS
5 ISP網
51 ISP網終端装置
6 インターネット
7 サポート専用ネットワーク
71 サポート専用ネットワーク終端装置
72 振り分け装置
73 DNSサーバ
74 Webサーバ
75 POPサーバ
【特許請求の範囲】
【請求項1】
ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証サーバにおいて、
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行う認証部と、
前記認証部のユーザ認証の結果に基づいて、ユーザ認証が成立した場合は前記情報端末による前記ネットワークへの接続を許可し、ユーザ認証が成立しなかった場合はサポート情報を提供可能なネットワークへの前記情報端末による接続を許可する応答部と、
を備えたことを特徴とする認証サーバ。
【請求項2】
前記サポート情報は、前記ネットワークへの接続要求に際して前記情報端末が要求するサービスの種別に対応していることを特徴とする請求項1に記載の認証サーバ。
【請求項3】
ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証サーバと、前記情報端末にサポート情報を提供可能なネットワークに含まれる振り分け装置と、を備えた認証システムにおいて、
前記認証サーバは、
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行う認証部と、
前記認証部のユーザ認証の結果に基づいて、ユーザ認証が成立した場合は前記情報端末による前記ネットワークへの接続を許可し、ユーザ認証が成立しなかった場合はサポート情報を提供可能なネットワークへの前記情報端末による接続を許可する応答部と、
を備え、
前記振り分け装置は、前記ユーザ認証が成立しなかった場合における接続許可に対応して、前記サポート情報を提供するサーバに前記情報端末からの接続要求を振り分けることを特徴とする認証システム。
【請求項4】
前記振り分け装置は、前記ネットワークへの接続要求に際して前記情報端末が要求するサービスの種別に対応したサポート情報を提供するサーバに前記情報端末からの接続要求を振り分けることを特徴とする請求項3に記載の認証システム。
【請求項5】
ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証方法であって、
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行うステップと、
前記認証部のユーザ認証の結果に基づいて、ユーザ認証が成立した場合は前記情報端末による前記ネットワークへの接続を許可し、ユーザ認証が成立しなかった場合はサポート情報を提供可能なネットワークへの前記情報端末による接続を許可するステップと、
を含むことを特徴とする認証方法。
【請求項6】
ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証サーバに用いられる認証プログラムであって、
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行うステップと、
前記認証部のユーザ認証の結果に基づいて、ユーザ認証が成立した場合は前記情報端末による前記ネットワークへの接続を許可し、ユーザ認証が成立しなかった場合はサポート情報を提供可能なネットワークへの前記情報端末による接続を許可するステップと、
を前記認証サーバに実行させるための認証プログラム。
【請求項1】
ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証サーバにおいて、
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行う認証部と、
前記認証部のユーザ認証の結果に基づいて、ユーザ認証が成立した場合は前記情報端末による前記ネットワークへの接続を許可し、ユーザ認証が成立しなかった場合はサポート情報を提供可能なネットワークへの前記情報端末による接続を許可する応答部と、
を備えたことを特徴とする認証サーバ。
【請求項2】
前記サポート情報は、前記ネットワークへの接続要求に際して前記情報端末が要求するサービスの種別に対応していることを特徴とする請求項1に記載の認証サーバ。
【請求項3】
ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証サーバと、前記情報端末にサポート情報を提供可能なネットワークに含まれる振り分け装置と、を備えた認証システムにおいて、
前記認証サーバは、
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行う認証部と、
前記認証部のユーザ認証の結果に基づいて、ユーザ認証が成立した場合は前記情報端末による前記ネットワークへの接続を許可し、ユーザ認証が成立しなかった場合はサポート情報を提供可能なネットワークへの前記情報端末による接続を許可する応答部と、
を備え、
前記振り分け装置は、前記ユーザ認証が成立しなかった場合における接続許可に対応して、前記サポート情報を提供するサーバに前記情報端末からの接続要求を振り分けることを特徴とする認証システム。
【請求項4】
前記振り分け装置は、前記ネットワークへの接続要求に際して前記情報端末が要求するサービスの種別に対応したサポート情報を提供するサーバに前記情報端末からの接続要求を振り分けることを特徴とする請求項3に記載の認証システム。
【請求項5】
ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証方法であって、
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行うステップと、
前記認証部のユーザ認証の結果に基づいて、ユーザ認証が成立した場合は前記情報端末による前記ネットワークへの接続を許可し、ユーザ認証が成立しなかった場合はサポート情報を提供可能なネットワークへの前記情報端末による接続を許可するステップと、
を含むことを特徴とする認証方法。
【請求項6】
ネットワークへの接続要求を行う情報端末に対してユーザ認証を行う認証サーバに用いられる認証プログラムであって、
前記情報端末からの接続要求に応じて、前記情報端末のユーザ認証を行うステップと、
前記認証部のユーザ認証の結果に基づいて、ユーザ認証が成立した場合は前記情報端末による前記ネットワークへの接続を許可し、ユーザ認証が成立しなかった場合はサポート情報を提供可能なネットワークへの前記情報端末による接続を許可するステップと、
を前記認証サーバに実行させるための認証プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2012−73893(P2012−73893A)
【公開日】平成24年4月12日(2012.4.12)
【国際特許分類】
【出願番号】特願2010−219262(P2010−219262)
【出願日】平成22年9月29日(2010.9.29)
【出願人】(591117192)ニフティ株式会社 (144)
【Fターム(参考)】
【公開日】平成24年4月12日(2012.4.12)
【国際特許分類】
【出願日】平成22年9月29日(2010.9.29)
【出願人】(591117192)ニフティ株式会社 (144)
【Fターム(参考)】
[ Back to top ]