認証システム、認証装置、および認証方法
【課題】ユーザーIDとパスワード認証方式によるサービス提供者に成りすましたフィッシング行為を防止し、サービス利用者とサービス提供者の利便性と安全性を向上することを課題とする。
【解決手段】ネットワーク1は、インターネット等の通信回線であり、利用者端末、サービス提供装置10、サービス登録装置7、認証装置8、ログサーバ装置9、エッジルータ2およびオペレータ端末11が接続されている。認証装置8は、回線情報データベース301、契約登録確認依頼部302、利用者情報照合部303、契約ID生成部304、契約登録受付部305、認証データベース306、認証部307、回線移設受付部308から構成されている。
【解決手段】ネットワーク1は、インターネット等の通信回線であり、利用者端末、サービス提供装置10、サービス登録装置7、認証装置8、ログサーバ装置9、エッジルータ2およびオペレータ端末11が接続されている。認証装置8は、回線情報データベース301、契約登録確認依頼部302、利用者情報照合部303、契約ID生成部304、契約登録受付部305、認証データベース306、認証部307、回線移設受付部308から構成されている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークを介して複数のサービスに接続可能な利用者端末からサービスへの接続を利用する際の認証システム、認証装置および認証方法に関する。
【背景技術】
【0002】
従来、インターネットなどのネットワークを利用して複数のサービスを利用する場合に、サービス提供者側が提供するサービス毎に利用者情報の認証を行うのではなく、管理者側が利用者情報を一元管理することで、利用者が一度の認証で複数のサービスを利用できるようにしたシングルサインオン方式がある(例えば、特許文献1参照)。
【0003】
また、他の従来技術として、管理者が利用者の使用している回線情報とサービス情報を関連付けて証明書によるサービス提供者が管理を行い、当該証明書により特定された回線でのみサービスの提供をするように制御する方法がある(例えば、特許文献2参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開平10−269184号公報
【特許文献2】特開2008−42819号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1の従来技術では、認証に用いる利用者情報は利用者IDとパスワードであり、管理者がこの利用者IDとパスワードを一元管理することでシングルサインオン方式を実現している。
このため、管理者またはサービス提供者に成りすましたフィッシング行為や、フィッシングされた利用者IDとパスワードを用いてのサービス利用者の成りすまし行為を防止できないという課題があった。
【0006】
また、特許文献2の従来技術では、サービス提供者の増減毎に、または、サービス利用者の増減毎に、さらには、利用者が利用するサービスを登録または登録を解除する毎に、利用者の回線情報と各サービスを関連付けた証明書の発行または廃止が必要になるという課題があった。
【0007】
このため、本発明は、上述した従来技術の課題を解決するためになされたものであり、利用者IDとパスワードの入力や、利用者毎あるいはサービス毎の証明書の発行をすることなく利用者へサービスを提供できる認証システム、認証装置および認証方法を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するため、本発明では、サービスを識別するサービス識別子を含む契約依頼をサービス利用者の利用者端末から受け取る契約依頼受付手段と、
前記契約依頼に基づき利用者端末を識別する端末識別子を取得する端末識別子取得手段と、
前記サービス識別子と前記端末識別子を含む契約登録依頼を前記認証装置に発行する契約登録依頼手段と、
を備えるサービス登録装置と、
前記利用者端末から前記サービス識別子を含む接続依頼を受け取る接続受付手段と、
前記接続依頼に基づき前記端末識別子を取得する端末識別子取得手段と、
前記サービス識別子と前記端末識別子を含む認証依頼を前記認証装置に発行し、前記認証装置から前記利用者識別子を受け取る認証依頼手段と、
前記利用者識別子を含む接続依頼を、前記利用者端末にサービスを提供するサービス提供装置に発行する接続依頼手段と、
を備える相互接続装置と、
前記端末識別子を記憶する回線情報記憶手段と、
前記契約登録依頼を前記サービス登録装置から受け取る契約登録依頼受付手段と、
前記受け取った契約登録依頼に含まれる前記端末識別子が、前記回線情報記憶手段に記憶されているか照合し、前記回線情報記憶手段に記憶されていると判断された場合に、利用者識別子を生成する利用者識別子生成手段と、
前記利用者識別子と前記サービス識別子および前記端末識別子を関連付けて記憶する認証記憶手段と、
前記サービス識別子と前記端末識別子を含む前記認証依頼を前記相互接続装置から受け取る認証依頼受取手段と、
前記認証記憶手段に記憶された前記サービス識別子と前記端末識別子と、前記認証依頼に含まれる前記サービス識別子と前記端末識別子とを比較する認証情報比較手段と、
前記比較の結果が一致する場合に、前記サービス識別子と前記端末識別子に関連付けて記憶されている利用者識別子を前記認証記憶手段から読み出し前記相互接続装置に発行する認証手段と、
を備える認証装置と
を備えることを特徴としている。
【0009】
また、上記目的を達成するため、本発明では、前記サービス識別子と前記利用者識別子を含む契約登録確認を前記認証装置から受け取る契約登録確認受付手段と、
前記約登録確認受付手段が前記認証装置から受け取った前記利用者識別子を記憶する利用者識別子記憶手段と、
前記相互接続装置から前記利用者識別子を含む接続要求を受け取り、前記利用者識別子記憶手段に前記利用者識別子がすでに登録されているか照合し、すでに登録されていると判断された場合に、前記利用者端末との接続確立を行う接続依頼受付手段と
を備えるサービス提供装置
を備えることを特徴としている。
【0010】
さらにまた、上記目的を達成するため、本発明では、前記相互接続装置が前記認証装置から受け取った利用者識別子と、前記相互接続装置が前記利用者端末から受け取った前記サービス識別子と、前記相互接続装置の前記端末識別子取得手段により取得された前記端末識別子とを関連付けてログ情報を生成するログ生成手段を備える前記相互接続装置と、
前記相互接続装置の前記ログ生成手段により生成されたログ情報を受け取り記憶するログ情報記憶手段と、
前記サービス提供装置から、前記サービス識別子を含む前記ログ情報収集依頼を受け取るログ情報収集受付手段と、
前記ログ情報収集依頼により、前記ログ記憶手段から前記サービス識別子と一致するログ情報を抽出するログ情報抽出手段と、
前記抽出されたログ情報を、前記サービス提供装置に発行するログ情報発行手段と、
を備えるログサーバ装置と
を備えることを特徴としている。
【0011】
さらにまた、上記目的を達成するため、本発明では、前記認証装置の前記回線情報記憶手段は、
前記端末識別子と前記利用者端末の一意の回線情報を関連付けて記憶する
ことを特徴としている。
【0012】
さらにまた、上記目的を達成するため、本発明では、前記認証装置は、前記端末識別子を記憶する回線情報記憶手段と、
前記サービス登録装置が、サービスを識別するサービス識別子を含む契約依頼をサービス利用者の利用者端末から受け取る契約依頼受付工程と、
前記サービス登録装置が、前記契約依頼に基づき利用者端末を識別する端末識別子を取得する端末識別子取得工程と、
前記サービス登録装置が、前記サービス識別子と前記端末識別子を含む契約登録依頼を前記認証装置に発行する契約登録依頼工程と、
前記認証装置は、前記契約登録依頼を前記サービス登録装置から受け取る契約登録依頼受付工程と、
前記認証装置は、前記受け取った契約登録依頼に含まれる前記端末識別子が、前記回線情報記憶工程で記憶された情報に記憶されているか照合し、前記回線情報記憶工程で記憶された情報に記憶されていると判断された場合に、利用者識別子を生成する利用者識別子生成工程と、
前記認証装置は、前記利用者識別子と前記サービス識別子および前記端末識別子を関連付けて記憶する認証記憶工程と、
前記相互接続装置は、前記利用者端末から前記サービス識別子を含む接続依頼を受け取る接続受付工程と、
前記相互接続装置は、前記接続依頼に基づき前記端末識別子を取得する端末識別子取得工程と、
前記相互接続装置は、前記サービス識別子と前記端末識別子を含む認証依頼を前記認証装置に発行する認証依頼工程と、
前記認証装置は、前記サービス識別子と前記端末識別子を含む前記認証依頼を前記相互接続装置から受け取る認証依頼受取工程と、
前記認証装置は、前記認証記憶手段に記憶された前記サービス識別子と前記端末識別子と、前記認証依頼に含まれる前記サービス識別子と前記端末識別子とを比較する認証情報比較工程と、
前記認証装置は、前記比較の結果が一致する場合に、前記サービス識別子と前記端末識別子に関連付けて記憶されている利用者識別子を前記認証記憶工程が記憶した情報から読み出し前記相互接続装置に発行する認証工程と、
前記相互接続装置は、前記認証装置から前記利用者識別子を受け取る認証依頼工程と、
前記相互接続装置は、前記利用者識別子を含む接続依頼を、前記サービス提供装置に発行する接続依頼工程と、
を備えることを特徴としている。
【0013】
さらにまた、上記目的を達成するため、本発明では、サービスを識別するサービス識別子を含む契約依頼をサービス利用者の利用者端末から受け取る契約依頼受付手段と、
前記契約依頼に基づき利用者端末を識別する端末識別子を取得する端末識別子取得手段と、
前記サービス識別子と前記端末識別子を含む契約登録依頼を前記認証装置に発行する契約登録依頼手段と、
前記利用者端末から前記サービス識別子を含む接続依頼を受け取る接続受付手段と、
前記接続依頼に基づき前記端末識別子を取得する端末識別子取得手段と、
前記サービス識別子と前記端末識別子を含む認証依頼を前記認証装置に発行し、前記認証装置から前記利用者識別子を受け取る認証依頼手段と、
前記利用者識別子を含む接続依頼を、前記利用者端末にサービスを提供するサービス提供装置に発行する接続依頼手段と、
前記端末識別子を記憶する回線情報記憶手段と、
前記契約登録依頼を前記サービス登録装置から受け取る契約登録依頼受付手段と、
前記受け取った契約登録依頼に含まれる前記端末識別子が、前記回線情報記憶手段に記憶されているか照合し、前記回線情報記憶手段に記憶されていると判断された場合に、利用者識別子を生成する利用者識別子生成手段と、
前記利用者識別子と前記サービス識別子および前記端末識別子を関連付けて記憶する認証記憶手段と、
前記サービス識別子と前記端末識別子を含む前記認証依頼を前記相互接続装置から受け取る認証依頼受取手段と、
前記認証記憶手段に記憶された前記サービス識別子と前記端末識別子と、前記認証依頼に含まれる前記サービス識別子と前記端末識別子とを比較する認証情報比較手段と、
前記比較の結果が一致する場合に、前記サービス識別子と前記端末識別子に関連付けて記憶されている利用者識別子を前記認証記憶手段から読み出し前記相互接続装置に発行する認証手段と
を備えることを特徴としている。
【発明の効果】
【0014】
本発明によれば、認証装置が利用者端末から契約依頼を受けて利用者識別子を生成し、サービス利用時に利用者端末からの接続依頼に基づいて認証ができた場合に、利用者識別子を用いてサービス提供装置に接続するようにしたので、利用者IDとパスワードの入力や、利用者毎あるいはサービス毎の証明書の発行をすることなく利用者へサービスを提供できる認証システム、認証装置および認証方法を構成することができる。
【図面の簡単な説明】
【0015】
【図1】同実施形態に係る認証システムの各装置のブロック図である。
【図2】同実施形態に係るサービス契約時の処理手順を示す図である。
【図3】同実施形態に係るサービス利用時の処理手順を示す図である。
【図4】同実施形態に係るログを取得する処理手順を示す図である。
【図5】同実施形態に係る回線移設の処理手順を示す図である。
【図6】同実施形態に係る回線情報データベースに記憶されるデータ例を示す図である。
【図7】同実施形態に係る認証データベースに記憶されるデータ例を示す図である。
【図8】同実施形態に係るログ・データベースに記憶されるデータ例を示す図である。
【発明を実施するための形態】
【0016】
[第1実施形態]
以下、図1〜図8を用いて本発明の実施形態について詳細に説明する。なお、本発明は係る実施形態に限定されず、その技術思想の範囲内で種々の変更が可能である。
【0017】
図1は、本発明の実施形態における認証システムの各装置のブロック図の一例を示す概略図である。
ネットワーク1は、閉域網であり、利用者が使用する利用者端末4、サービス提供者が使用するサービス提供装置10、サービス提供者により提供される各サービスの登録を行うサービス登録装置7、利用者がサービスを使用する際の認証を行う認証装置8、利用者がサービスを使用した履歴を保存するログサーバ装置9および各装置との相互接続を行うエッジルータ2、回線移設手続き等を行う際にオペレータが使用するオペレータ端末11が接続されている。
また、ネットワークを管理する回線事業者の管理範囲3は、ネットワーク1、エッジルータ2、サービス登録装置7、認証装置8、ログサーバ装置9、オペレータ端末11である。
【0018】
利用者端末4は、利用者が本認証システムを管理する回線事業者との契約、および、サービス提供者から提供されているサービスの利用をするための端末であり、契約依頼部101と、接続依頼部102から構成されている。
【0019】
利用者は利用者端末4から、どのようなサービスが提供されているか、ネットワークを管理している回線事業者が提供しているサービス閲覧手段で確認する。
次に、利用者端末4が使用したいサービスを選ぶことで、サービス登録装置7のサービスDB203に記憶されているサービス識別子が埋め込まれたサービスを選択する。
契約依頼部101は、上記の操作により利用者がサービスの使用を開始する初回時に、サービス登録装置7の契約受付部201にネットワーク1を介して、利用者が希望するサービスのサービス識別子と利用者の回線情報を含む情報を契約依頼として発行し、また、サービス登録装置7の契約受付部201からの契約依頼に対する応答を受け取る。
なお、サービス識別子は、サービス提供者の名前等、固有の識別子を含む情報である。
【0020】
接続依頼部102は、利用者が契約依頼により契約を行ったサービスを利用する時に、エッジルータ2の接続受付部402にネットワーク1を介して、利用したいサービス識別子を含む接続依頼を発行する。
【0021】
サービス登録装置7は、本認証システムを管理する回線事業者が管理運営する装置であり、利用者端末からのサービスの利用を開始する初回時の契約処理を行う。
サービス登録装置7は、契約受付部201、契約登録依頼部202、サービス・データベース(以下、サービスDBと略す)203から構成されている。
【0022】
契約受付部201は、利用者端末4が発行した契約依頼を受け付け、利用者端末4へ契約依頼の登録可否に対する応答を行う。
また、契約受付部201は、受け取った契約依頼に基づき利用者端末の端末IDを意味するアドレスである端末ソースアドレスを取得する。
さらにまた、契約受付部201は、契約登録依頼部202にサービス識別子と回線情報と取得した端末ソースアドレスを受け渡す。
【0023】
契約登録依頼部202は、契約受付部201からサービス識別子と回線情報と取得した端末ソースアドレス受け取る。
また、契約登録依頼部202は、認証装置8にサービス識別子と回線情報および端末ソースアドレスを含む契約登録依頼を発行し、さらに認証装置8から契約登録依頼に対する登録の可否の応答を受け取る。
【0024】
サービスDB203は、ネットワーク1上でサービスを提供する各サービス提供装置の各サービス識別子を、サービスDB203内のサービス記憶部204に記憶する機能を有している。
【0025】
認証装置8は、本認証システムを管理する回線事業者が管理運営する装置であり、サービス登録装置7と利用者のサービス利用開始時の契約処理と、エッジルータ2と利用者のサービス利用毎の認証処理と、オペレータ端末11と回線移設手続を行う。
認証装置8は、回線情報データベース(以下、回線情報DBと略す)301、契約登録受付部302、利用者情報照合部303、契約ID生成部304、契約登録確認依頼部305、認証データベース(以下、認証DBと略す)306、認証部307、回線移設受付部308から構成されている。
【0026】
利用者が本認証システムを管理する回線事業者とネットワーク利用を契約する時、利用者端末4が使用している回線情報を、例えば郵送等で回線事業者に登録する。
次に、本認証システムを管理する回線事業者が、オペレータ端末11の端末ソースアドレス割当部701が利用者端末4に割り当てた端末ソースアドレスを、オペレータ端末11からネットワーク1を介して認証装置8に発行する。
回線情報DB301は、上記操作により得られた回線情報と端末ソースアドレスを関連付けて記憶する。
【0027】
図6は、回線情報DB301に保存されるデータの一例である。
回線情報DB301には、利用者端末毎の回線情報と端末ソースアドレスが関連付けられて保存されている。
【0028】
契約登録受付部302は、サービス登録装置7の契約登録依頼部202から、サービス識別子と、利用者端末4の回線情報およびの端末ソースアドレスを含む契約登録依頼を受け取り、受け取ったサービス識別子を含む契約登録確認依頼を契約登録確認依頼部305に受け渡す。
また、契約登録受付部302は、受け取った契約登録確認依頼から回線情報を抽出し、端末ソースアドレスを取得し、抽出・取得された回線情報と端末ソースアドレスを利用者情報照合部303に受け渡す。
さらにまた、契約登録受付部302は、契約ID生成部304から受け取った契約IDとサービス識別子を含む契約登録確認を、契約登録確認依頼部305に受け渡す。
さらにまた、契約登録受付部302は、受け取った契約IDと端末ソースアドレスとサービス識別子を関連付けて認証DB306に記憶する。
さらにまた、契約登録受付部302は、契約登録確認依頼部305から契約登録確認依頼に対するサービス提供者装置10への接続のための契約登録の可否の応答を受け取り、サービス登録装置7の契約登録依頼部202へ契約登録依頼に対する契約可否の応答を発行する。
さらにまた、契約登録受付部302は、契約登録確認依頼部305から受け取った契約登録確認依頼に対する応答が、登録結果NGの場合は、認証DB306から契約IDと端末ソースアドレスとサービス識別子を関連付けられて記憶されている情報を削除する。
【0029】
利用者情報照合部303は、契約登録受付部302から受け取った利用者端末4の回線情報と端末ソースアドレスが登録済みのものであるかを、回線情報DB301に照合する。
また、利用者情報照合部303は、回線情報DB301からの照合結果に基づき、正しい利用者端末4からの回線情報とソースアドレスであると判断した場合、契約ID生成部304に契約IDの生成を指示する。
また、利用者情報照合部303は、契約ID生成部304から生成された契約IDを受け取る。
【0030】
契約ID生成部304は、利用者情報照合部303から契約IDの生成指示を受け取り、利用者端末4がサービスに接続する場合に認証部307で行う認証に用いられる契約IDを生成する。
また、契約ID生成部304は、生成された契約IDを契約登録受付部302と契約登録確認依頼部305に受け渡す。
【0031】
契約登録確認依頼部305は、契約ID生成部304から受け取った契約IDと、契約登録受付部302から受け取ったサービス識別子を含む契約登録確認依頼を、サービス提供装置10の契約登録確認受付部601に受け渡す。
また、契約登録確認依頼部305は、サービス提供装置10の契約登録確認受付部601から契約登録確認依頼に対する応答を受け取り、契約登録受付部302と利用者情報照合部303に受け渡す。
【0032】
認証DB306は、契約登録確認依頼部305により契約IDと端末ソースアドレスとサービス識別子を関連付けて記憶されている。
【0033】
図7は、認証DB306に保存されるデータの一例である。
認証DB306には、契約IDとサービス識別子と利用者端末4のソースアドレスが関連付けられて保存されている。
【0034】
認証部307は、利用者端末4からの接続依頼を受けて、エッジルータ2の認証依頼部403から、サービス識別子と利用者端末4の端末ソースアドレスを含む認証依頼を受け取り、受け取った認証依頼からサービス識別子と端末ソースアドレスを抽出する。
また、認証部307は、抽出されたサービス識別子と利用者端末4のサービスアドレスの組み合わせが登録されているか否かを認証DB306に照合する。
また、認証部307は、照合により登録されていると判断された場合、認証OKと判断する。
また、認証部307は、照合により登録されていないと判断された場合、認証NGと判断する。
また、認証部307は、抽出されたサービス識別子と利用者端末4のサービスアドレスの組み合わせと関連付けて認証DB306に登録されている契約IDを取得する。
さらにまた、認証部307は、エッジルータ2の認証依頼部403へ認証依頼に対する応答として、認証結果と認証DB306から取得した契約IDと合わせてエッジルータ2へ受け渡す。
【0035】
回線移設受付部308は、利用者端末4が回線移設を行った場合、オペレータ端末11から新たに割り振られた端末ソースアドレスと新たな回線情報を受け取る。
回線移設受付部308は、回線情報DB301と認証DB306に記憶されている情報を、利用者端末4に割り振られていた以前の端末ソースアドレスと回線情報から、受け取った新しい回線情報と端末ソースアドレスに更新する。
また、回線移設受付部308は、回線情報DB301と認証DB306の更新が完了した場合に、ネットワーク1を介してオペレータ端末11に更新が完了したことをオペレータ端末11に通知する。
【0036】
オペレータ端末11は、本認証システムを管理する回線事業者が管理運営する装置であり、利用者端末4の使用者が回線を移転した場合に、端末ソースアドレスの割り振りを行い、移設手続きをオペレータが行う。
オペレータ端末11は、端末ソースアドレス割当部701、回線移設部702から構成されている。
【0037】
端末ソースアドレス割当部701は、利用者から電話回線等で本認証システムを管理している回線事業者のオペレータに移設手続きが申請された場合、新たな端末ソースアドレスを割り当て、割り当てた端末ソースアドレスを回線移設部702に受け渡す。
【0038】
回線移設部702は、受け取った新たな端末ソースアドレスと、利用者が移設した新たな回線情報を、ネットワーク1を介して認証装置8の回線移設受付部308に発行する。
【0039】
エッジルータ2は、ネットワーク1の提供者が管理運営する装置であり、相互接続部401、接続受付部402、認証依頼部403、ログ出力部404、接続依頼部405から構成されている。
【0040】
相互接続部401は、ネットワーク1を介して、利用者端末4、サービス登録装置7、認証装置8、ログサーバ装置9、サービス提供装置10とやり取りを行う。
【0041】
接続受付部402は、利用者が契約済みのサービスを利用する時に利用者端末4の接続依頼部102から発行されるサービス識別子を含む接続依頼を受け取る。
また、接続受付部402は、接続依頼に基づき利用者端末4の端末ソースアドレスを取得し、受け取った接続依頼に含まれるサービス識別子と合わせて認証依頼部403に受け渡す。
【0042】
認証依頼部403は、接続受付部402から受け取った利用者端末4のソースアドレスとサービス識別子を含む認証依頼を認証装置8の認証部307に発行する。
また、認証依頼部403は、認証装置8の認証部307から認証結果と契約IDを受け取る。
また、認証依頼部403は、接続依頼部405に認証装置8の認証部307から受け取った契約IDを受け渡し、接続依頼部402から受け取ったサービス識別子と認証部307から受け取った認証結果および契約IDをログ出力部404に受け渡す。
【0043】
ログ出力部404は、認証依頼部403から受け取ったサービス識別子と認証結果および契約IDを、ログサーバ装置9のログ収集受付部501に受け渡す。
【0044】
接続依頼部405は、認証依頼部403から契約IDを受け取り、サービス提供装置10の接続依頼受付部604に契約IDを含む接続依頼を発行する。
【0045】
ログサーバ装置9は、ネットワーク1の提供者が管理運営する装置であり、ログ収集受付部501、ログ登録部502、ログ・データベース(以下、ログDBと略す)503、ログ情報抽出部504から構成されている。
【0046】
ログ収集受付部501は、エッジルータ2のログ出力部404からサービス識別子と認証結果および契約IDを含むログ出力を受け取り、ログ出力に基づきエッジルータ2のサーバアドレスを取得する。
また、ログ収集受付部501は、抽出・取得したサーバアドレス、サービス識別子と認証結果および契約IDをログ登録部502に受け渡す。
【0047】
ログ登録部502は、ログ収集受付部501からサーバアドレス、サービス識別子と認証結果および契約IDを受け取った時刻をサービス利用の開始時刻として取得する。
また、ログ登録部502は、サービス識別子と認証結果と契約ID、および取得されたサービス開始時刻を関連付けてログDB503に登録する。
【0048】
ログDB503は、ログ登録部502の登録操作に従って、サービス識別子と認証結果と契約ID、およびサービス開始時間が記憶される。
【0049】
図8は、ログDB503に保存されるデータの一例である。
ログDB503には、サービス識別子と認証結果と契約ID、および取得されたサービス開始時刻が関連付けられて記憶されている。
【0050】
ログ情報抽出部504は、サービス提供装置10のログ収集依頼部605からサービス識別子を含むログ収集依頼を受け取り、サービス識別子の一致するログ情報である認証結果と契約ID、および抽出されたサービス開始時刻をログDB503から抽出する。
また、ログ情報抽出部504は抽出したログ情報を、サービス提供装置10のログ収集依頼部605に発行する。
【0051】
サービス提供装置10は、ネットワーク1を利用して利用者端末4にサービスを提供するサービス提供者が使用する端末であり、契約登録確認受付部601、契約者データベース(以下、契約者DBと略す)602、ログ収集依頼部602から構成されている。
【0052】
契約登録確認受付部601は、利用者がサービスの契約を行う時に認証装置8の契約登録確認依頼部305が発行する、サービス識別子と契約IDを含む契約登録確認を受け取る。
また、契約登録確認受付部601は、受け取った契約IDを契約DB602内の契約ID記憶部603に登録する。
さらにまた、契約登録確認受付部601は、契約DB602に契約IDの登録が完了した後に、認証装置8の契約登録確認依頼部305に登録完了として登録結果OKを受け渡す。
【0053】
契約者DB602は、内部に契約ID記憶部603を備え、契約登録確認受付部601により契約IDを記憶される。
【0054】
接続依頼受付部604は、エッジルータ2の接続依頼部405から契約IDを含む接続依頼を受け取る。
また、接続依頼受付部604は、契約者DB602に受け取った契約IDが登録されているか否かを確認し、登録されている契約IDの場合は、利用者端末4との接続を許可し確立し、登録されていない契約IDの場合は、接続を許可しない。
【0055】
ログ収集依頼部605は、サービス提供者が、利用者のサービス利用状況を確認したい場合等に、ログサーバ装置10のログ収集受付部501にサービス識別子を含むログ情報収集依頼を発行する。
また、ログ収集依頼部605は、ログサーバ10のログ収集受付部501から、サービス識別子の一致するログ情報である認証結果と契約ID、および抽出されたサービス開始時刻を含むログ情報を受け取る。
【0056】
次に、利用者がサービスの使用を開始する初回時に行う契約について、図2の処理手順図を用いて説明する。
利用者は利用者端末4がから、どのようなサービスが提供されているか等を、ネットワークを管理している回線事業者が提供しているサービス閲覧手段で確認する。
次に、利用者端末4が使用したいサービスを選ぶことで、サービス登録装置7のサービスDB203に記憶されているサービス識別子が埋め込まれたサービスを選択する。
利用者端末4の契約依頼部101は、サービス登録装置7の契約受付部201に、上記手順で選択した利用者が希望するサービスのサービス識別子と利用者端末4の回線情報を含む契約依頼を発行する(S101)。
【0057】
サービス登録装置7の契約受付部201は、利用者端末4が発行した契約依頼を受け付け、受け取った契約依頼に基づき利用者端末4の端末ソースアドレスを取得する。
また、サービス登録装置7の契約受付部201は、受け取ったサービスの識別子と回線情報と取得した端末ソースアドレスを契約登録依頼部202に受け渡す。
【0058】
サービス登録装置7の契約登録依頼部202は、契約受付部201から受け取ったサービス識別子と回線情報と端末ソースアドレスを含む契約登録依頼を、認証装置8の契約登録受付部302に発行する(S102)。
【0059】
認証装置8の契約登録受付部302は、サービス登録装置7の契約登録依頼部202から受け取った契約登録依頼から、回線情報端末ソースアドレスを抽出する。
続けて、認証装置8の契約登録受付部302は、抽出された回線情報と端末ソースアドレスが回線情報DB301にすでに登録されているか否かを照合する(S103)。
【0060】
照合の結果、サービス登録装置7の契約登録依頼部202から受け取った契約登録依頼の回線情報と端末ソースアドレスが、回線情報DB301に記憶されている回線情報と端末ソースアドレスと一致する場合、認証装置8の契約登録受付部302は、契約IDを生成し、生成された契約IDとサービス識別子と端末ソースアドレスを関連付けて認証DB306に記憶する(S104)。
【0061】
次に、認証装置8の契約登録受付部302は、生成された契約IDとサービス識別子を契約登録確認依頼部305に受け渡す。
認証装置8の契約登録確認依頼部305は、受け取った契約IDとサービス識別子を含む契約登録確認を、サービス提供装置10の契約登録確認受付部601に発行する(S105)。
【0062】
サービス提供装置10の契約登録確認受付部601は、認証装置8の契約登録確認依頼部305から受け取った契約登録確認に含まれる契約IDを契約者DB602に照合する。
照合の結果、契約者DB602に未登録の場合、サービス提供装置10の契約登録確認受付部601は、契約者DB602に契約IDを登録する。
また、サービス提供装置10の契約登録確認受付部601は、契約者DB602への登録が完了したら、登録が完了したことを示す登録結果OKを認証装置8の契約登録受付部302に発行する(S106)。
一方、サービス提供装置10の契約登録確認受付部601の契約者DB602への照合の結果、サービス提供者側の事情により登録が許可されない場合(例えば、何らかの問題があるとして登録されている契約IDの利用者端末)は、登録結果NGを認証装置8の契約登録受付部302に発行し(S106)、認証装置8の認証DB306への契約IDの登録を取り消す。
【0063】
次に、認証装置8の契約登録受付部302は、サービス提供装置10の契約登録確認受付部601から受け取った登録結果OKを、サービス登録装置7の契約登録依頼部202に発行する(S107)。
【0064】
サービス登録装置7の契約登録依頼部202は、認証装置8の契約登録受付部302から受け取った登録結果OKを、利用者端末4の契約依頼部101に発行し(S108)、一連のサービスの契約処理を終了する。
【0065】
利用者が利用を希望するサービス接続時に行う処理について、図3の処理手順図を用いて説明する。
利用者端末4の接続依頼部102は、エッジルータ2の接続受付部402に、接続を行うサービスのサービス識別子を含む接続依頼を発行する(S201)。
【0066】
エッジルータ2の接続受付部402は、利用者端末4の接続依頼部102から発行されるサービス識別子を含む接続依頼を受け取り、接続依頼に基づき利用者端末4の端末ソースアドレスを取得する。
また、エッジルータ2の接続受付部402は、取得された利用者端末4の端末ソースアドレスと受け取ったサービス識別子を認証依頼部403に受け渡す。
【0067】
エッジルータ2の認証依頼部403は、受け取った利用者端末4の端末ソースアドレスと利用者端末4の接続依頼部102からサービス識別子を含む認証要求を、認証装置8の認証部307に発行する(S202)。
【0068】
認証装置8の認証部307は、エッジルータ2の認証依頼部403から受け取った認証要求に含まれる端末ソースアドレスとサービス識別子が関連付けられたデータが、認証DB306に登録されているか照合する(S203)。
【0069】
照合の結果、エッジルータ2の認証依頼部403から受け取った認証要求に含まれる端末ソースアドレスとサービス識別子が関連付けられたデータが認証DB306に登録されている場合、認証装置8の認証部307は認証結果OKと判断する。
また、認証部307は、照合により登録されていないと判断された場合、認証結果NGと判断する。
また、認証部307は、認証DBからサービス識別子と関連付けて登録されている契約IDを取得する。
認証結果OKの場合、認証装置8の認証部307は、認証結果OKと取得した契約IDを含む認証依頼に対する応答を、エッジルータ2の認証依頼部403に発行する(S204)。
認証結果NGの場合、認証装置8の認証部307は、認証結果NGの認証依頼に対する応答を、エッジルータ2の認証依頼部403に発行する(S204)。
【0070】
エッジルータ2の認証依頼部403は、認証装置8の認証部307から受け取った認証結果と契約IDとサービス識別子が関連付けられたログ情報をログ出力部404に受け渡す。
エッジルータ2のログ出力部404は、認証依頼部403から受け取ったログ情報をログサーバ装置9のログ収集受付部501に発行する(S205)。
【0071】
続けて、エッジルータ2の接続受付部402は、認証装置8の認証部307から受け取った認証結果OKの場合、利用者端末4のサービス提供装置10への接続に際しての認証が完了したと判断し、認証装置3の契約登録受付部302から受け取った認証依頼に対する応答に含まれる契約IDを抽出する。
また、エッジルータ2の接続受付部402は、抽出された契約IDを含む接続要求をサービス装置13に発行する(S206)。
【0072】
サービス提供装置10の接続依頼受付部604は、エッジルータ2の接続受付部402から受け取った契約IDがすでに契約者DB602に登録されているか照合し、登録されている場合は利用者端末4との接続確立を行い、登録されていない場合は利用者端末4との接続確立を行わない。
【0073】
以上の処理により、利用者端末4とサービス提供装置10の接続が確立する。
この際、すでに契約したサービスについて利用する場合は、利用者は利用者端末4から、サービス識別子を指定した接続依頼を行うだけで、ユーザー名やパスワード等の入力や認証を行わずに接続を行える。
この場合、すでに利用者端末4は、サービスを提供している回線事業者との契約時に回線情報を登録し、さらに回線事業者から割り振られている端末ソースアドレスと回線情報が関連付けられて、認証装置8の回線情報DBに登録されている。このため、利用者端末4の正当性は、この登録されている端末ソースアドレスと回線情報に基づいて行われている。
【0074】
次に、サービス提供装置10がログサーバ装置9からログ情報を取得する処理手順を、図4の処理手順図を用いて説明する。
サービス提供装置10のログ収集依頼部605は、ログサーバ装置9のログ収集受付部501に、自サービス提供装置10のサービス識別子を含むログ出力依頼を発行する(S301)。
【0075】
ログサーバ装置9のログ収集受付部501は、サービス提供装置10のログ収集依頼部605から受け取ったログ出力依頼に含まれるサービス識別子を抽出する。
また、ログサーバ装置9のログ収集受付部501は、抽出されたサービス識別子に関連付けられて記憶されている情報をログDB306に照合し、受け取ったサービス識別子に関連付けて記憶されている情報を抽出する(S302)。
【0076】
ログサーバ装置9のログ収集受付部501は、抽出された受け取ったサービス識別子に関連付けて記憶されている利用開始時刻と認証結果と契約IDを、サービス提供装置10のログ収集依頼部605に発行する(S303)。
【0077】
次に、利用者が回線を移設する場合の処理手順を、図6の処理手順図を用いて説明する。
まず、利用者は契約している本認証システムを管理する回線事業者のオペレータに対して、回線の移設手続きを電話等で行う(S401)。
【0078】
回線事業者のオペレータは、オペレータ端末11の端末ソースアドレス割当部701により、利用者端末4に対して新たな端末ソースアドレスを割り振る(S402)。
【0079】
また、オペレータ端末11の端末ソースアドレス割当部701は、新たに割り振った端末ソースアドレスを回線移設部702に受け渡す。
続けて、回線事業者のオペレータは、オペレータ端末11から受け取った新たな端末ソースアドレスと新たな回線情報を、ネットワーク1を介して認証装置8の回線移設受付部308に発行する。(S403)。
【0080】
認証装置3の回線移設受付部308は、ネットワーク1を介してオペレータ端末1から新たな端末ソースアドレスと回線情報を含む回線移設依頼を受け取る。
また、認証装置3の回線移設受付部308は、回線情報DB301と認証DB306に記憶されている情報を、利用者端末4に割り振られていた以前の端末ソースアドレスと回線情報から、受け取った新しい回線情報と端末ソースアドレスに更新する(S404)。
【0081】
認証装置3の回線移設受付部308は、回線情報DB301と認証DB306の更新が完了した場合に、回線移設受付部308に更新完了の登録結果OKを受け渡し、さらにネットワーク1を介してオペレータ端末11に発行する(S405)。
【0082】
オペレータ端末11の回線移設部701は、ネットワーク1を介して認証装置8の回線移設受付部308から、回線移設依頼に対する応答を受け取り、受け取った回線移設依頼に対する応答から登録結果を抽出する。
また、回線事業者のオペレータは、オペレータ端末11の回線移設部701が抽出した登録結果OKにより、利用者に回線移設手続きが完了したことを電話等で伝える(S406)。
【0083】
以上、本実施形態によれば、ネットワークを提供する回線事業者から割り振られた端末ソースアドレスにより、利用者が意識せずに回線事業者側で認証が行われることでサービスが提供される。
このため、ネットワーク上のサービス利用者は、利用者にユーザーIDとパスワードを用いた認証を使用毎に行う必要が無い、すなわちゼロサインオンが実現でき、また、サービスごとの証明書の入手が不要になるため、サービス利用者に有益である。
さらにまた、ネットワークを提供する回線事業者側が認証装置を備えているため、サービスを提供する側は、認証装置を保有しなくていいため、サービス提供者にも有益である。
【0084】
また、本実施形態では、認証装置8の回線情報DB301に、回線情報と端末ソースアドレスを関連付けて記憶し、利用者がサービスの利用を開始する初回時の認証で、この回線情報と端末ソースアドレスを用いて認証を行う例について説明したが、端末ソースアドレスは回線事業者から割り振られた一意のものであるため、認証装置3の認証部307で行われるS203の認証において、端末ソースアドレスのみによる認証を行っても良い。
【0085】
さらにまた、本実施形態では、ログサーバ装置9のログ収集受付部501がエッジルータ2のログ出力部404からログ情報を受け取り、ログサーバ装置9がログ情報を受け取った時間を利用開始時間として取得する例について説明したが、エッジルータ2のログ出力部404がログ情報を生成する際に合わせて使用されている時刻情報を抽出しログ情報を取得し、ログ出力部404からログ情報として出力し、ログサーバ装置9のログ収集受付部501でこの情報を受け取りログDBに登録しても良い。
【0086】
さらにまた、本実施形態では、サービス提供装置10のログ収集依頼部605が、サービス使用の実績等を確認するために、ログ情報収集依頼をログサーバ9に行う例について説明したが、例えば回線事業者がネットワーク上にサービス提供者専用のログ情報が見られるサイトのアドレス等を用意し、サービス提供者が適時ログ情報を確認するようにしても良い。
【0087】
さらにまた、本実施形態では、サービス登録装置7のサービス記憶部204は、ネットワーク1上でサービスを提供する各サービス提供装置の各サービス識別子を記憶する例について説明したが、利用者への利便性を図るために、各サービス提供端末が提供するサービスの概要等も合わせて記憶し、利用者が各サービスの契約時に閲覧等できるようにしても良い。
【0088】
さらにまた、本実施形態では、サービスへの接続時に、サービス提供装置10の契約登録確認受付部601は、認証装置8の契約登録確認依頼部305から受け取った契約登録確認に含まれる契約IDを契約者DB602に照合して、利用可否の確認を行う例について説明したが、照合せずに利用制限を行わないサービスを提供することも可能である。
【0089】
さらにまた、本実施形態では、サービス提供者がサービス提供装置10からネットワーク1を介してログサーバ装置9から、利用者の利用状況であるログを取得する例について説明した。サービス提供者のコンテンツ提供形態が有料の場合、サービス提供者がログサーバ装置9からサービス提供装置10が取得したログデータに基づき、サービス提供者が利用者から利用代金の回収を行うようにしても良い。
また、コンテンツの利用代金の回収をサービス提供者が直接行わずに、ネットワークを提供する回線事業者に委託して回収するようにしても良い。この場合、ネットワークを提供する回線事業者は、契約IDごとの利用状況を、ログサーバ装置9のログDB503から収集し、予めサービス提供者から提示されている利用料金表等から利用料金を算出する。
さらに、認証装置8の回線情報DB301に記憶されている回線情報に基づき、回線利用料金と合わせて回収するようにしても良い。
【産業上の利用可能性】
【0090】
以上のように、本発明によれば、ネットワークの管理者が、サービスの利用者が使用する端末に一意のソースアドレスを割り振り、サービス利用時にこのソースアドレスで認証を行うようにしたので、利用者とサービス提供者に対して成りすますによるフィッシング行為を防止することに有効である。
また、本発明によれば、サービス利用者の認証をネットワークを提供する回線事業者で行うようにしたので、サービス提供者は認証装置を保有する必要が無く、さらに、利用者からの通信をエッジルータと認証装置で認証するようにしたので、非登録者からのネットワーク利用による無効なトラフィックを削減することができるため、廉価に品質を担保したサービスが提供でき、サービス提供者とネットワークを提供する回線事業者に有効である。
【符号の説明】
【0091】
1・・・ネットワーク
2・・・エッジルータ
3・・・ネットワークを管理する回線事業者の管理範囲(認証システム)
4・・・利用者端末
7・・・サービス登録装置
8・・・認証装置
9・・・ログサーバ装置
10・・・サービス提供装置
11・・・オペレータ端末
101・・・契約依頼部
102・・・接続依頼部
201・・・契約受付部
202・・・契約登録依頼部
203・・・サービス・データベース
204・・・サービス記憶部
301・・・回線情報データベース
302・・・契約登録受付部
303・・・利用者情報照合部
304・・・契約ID生成部
305・・・契約登録確認依頼部
306・・・認証データベース
307・・・認証部
308・・・回線移設受付部
401・・・相互接続部
402・・・接続受付部
403・・・認証依頼部
404・・・ログ出力部
405・・・接続依頼部
501・・・ログ収集受付部
502・・・ログ登録部
503・・・ログ・データベース
504・・・ログ情報抽出部
601・・・契約登録確認受付部
602・・・契約者データベース
603・・・契約ID記憶部
604・・・接続依頼受付部
605・・・ログ収集依頼部
701・・・端末ソースアドレス割当部
702・・・回線移設部
【技術分野】
【0001】
本発明は、ネットワークを介して複数のサービスに接続可能な利用者端末からサービスへの接続を利用する際の認証システム、認証装置および認証方法に関する。
【背景技術】
【0002】
従来、インターネットなどのネットワークを利用して複数のサービスを利用する場合に、サービス提供者側が提供するサービス毎に利用者情報の認証を行うのではなく、管理者側が利用者情報を一元管理することで、利用者が一度の認証で複数のサービスを利用できるようにしたシングルサインオン方式がある(例えば、特許文献1参照)。
【0003】
また、他の従来技術として、管理者が利用者の使用している回線情報とサービス情報を関連付けて証明書によるサービス提供者が管理を行い、当該証明書により特定された回線でのみサービスの提供をするように制御する方法がある(例えば、特許文献2参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開平10−269184号公報
【特許文献2】特開2008−42819号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1の従来技術では、認証に用いる利用者情報は利用者IDとパスワードであり、管理者がこの利用者IDとパスワードを一元管理することでシングルサインオン方式を実現している。
このため、管理者またはサービス提供者に成りすましたフィッシング行為や、フィッシングされた利用者IDとパスワードを用いてのサービス利用者の成りすまし行為を防止できないという課題があった。
【0006】
また、特許文献2の従来技術では、サービス提供者の増減毎に、または、サービス利用者の増減毎に、さらには、利用者が利用するサービスを登録または登録を解除する毎に、利用者の回線情報と各サービスを関連付けた証明書の発行または廃止が必要になるという課題があった。
【0007】
このため、本発明は、上述した従来技術の課題を解決するためになされたものであり、利用者IDとパスワードの入力や、利用者毎あるいはサービス毎の証明書の発行をすることなく利用者へサービスを提供できる認証システム、認証装置および認証方法を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するため、本発明では、サービスを識別するサービス識別子を含む契約依頼をサービス利用者の利用者端末から受け取る契約依頼受付手段と、
前記契約依頼に基づき利用者端末を識別する端末識別子を取得する端末識別子取得手段と、
前記サービス識別子と前記端末識別子を含む契約登録依頼を前記認証装置に発行する契約登録依頼手段と、
を備えるサービス登録装置と、
前記利用者端末から前記サービス識別子を含む接続依頼を受け取る接続受付手段と、
前記接続依頼に基づき前記端末識別子を取得する端末識別子取得手段と、
前記サービス識別子と前記端末識別子を含む認証依頼を前記認証装置に発行し、前記認証装置から前記利用者識別子を受け取る認証依頼手段と、
前記利用者識別子を含む接続依頼を、前記利用者端末にサービスを提供するサービス提供装置に発行する接続依頼手段と、
を備える相互接続装置と、
前記端末識別子を記憶する回線情報記憶手段と、
前記契約登録依頼を前記サービス登録装置から受け取る契約登録依頼受付手段と、
前記受け取った契約登録依頼に含まれる前記端末識別子が、前記回線情報記憶手段に記憶されているか照合し、前記回線情報記憶手段に記憶されていると判断された場合に、利用者識別子を生成する利用者識別子生成手段と、
前記利用者識別子と前記サービス識別子および前記端末識別子を関連付けて記憶する認証記憶手段と、
前記サービス識別子と前記端末識別子を含む前記認証依頼を前記相互接続装置から受け取る認証依頼受取手段と、
前記認証記憶手段に記憶された前記サービス識別子と前記端末識別子と、前記認証依頼に含まれる前記サービス識別子と前記端末識別子とを比較する認証情報比較手段と、
前記比較の結果が一致する場合に、前記サービス識別子と前記端末識別子に関連付けて記憶されている利用者識別子を前記認証記憶手段から読み出し前記相互接続装置に発行する認証手段と、
を備える認証装置と
を備えることを特徴としている。
【0009】
また、上記目的を達成するため、本発明では、前記サービス識別子と前記利用者識別子を含む契約登録確認を前記認証装置から受け取る契約登録確認受付手段と、
前記約登録確認受付手段が前記認証装置から受け取った前記利用者識別子を記憶する利用者識別子記憶手段と、
前記相互接続装置から前記利用者識別子を含む接続要求を受け取り、前記利用者識別子記憶手段に前記利用者識別子がすでに登録されているか照合し、すでに登録されていると判断された場合に、前記利用者端末との接続確立を行う接続依頼受付手段と
を備えるサービス提供装置
を備えることを特徴としている。
【0010】
さらにまた、上記目的を達成するため、本発明では、前記相互接続装置が前記認証装置から受け取った利用者識別子と、前記相互接続装置が前記利用者端末から受け取った前記サービス識別子と、前記相互接続装置の前記端末識別子取得手段により取得された前記端末識別子とを関連付けてログ情報を生成するログ生成手段を備える前記相互接続装置と、
前記相互接続装置の前記ログ生成手段により生成されたログ情報を受け取り記憶するログ情報記憶手段と、
前記サービス提供装置から、前記サービス識別子を含む前記ログ情報収集依頼を受け取るログ情報収集受付手段と、
前記ログ情報収集依頼により、前記ログ記憶手段から前記サービス識別子と一致するログ情報を抽出するログ情報抽出手段と、
前記抽出されたログ情報を、前記サービス提供装置に発行するログ情報発行手段と、
を備えるログサーバ装置と
を備えることを特徴としている。
【0011】
さらにまた、上記目的を達成するため、本発明では、前記認証装置の前記回線情報記憶手段は、
前記端末識別子と前記利用者端末の一意の回線情報を関連付けて記憶する
ことを特徴としている。
【0012】
さらにまた、上記目的を達成するため、本発明では、前記認証装置は、前記端末識別子を記憶する回線情報記憶手段と、
前記サービス登録装置が、サービスを識別するサービス識別子を含む契約依頼をサービス利用者の利用者端末から受け取る契約依頼受付工程と、
前記サービス登録装置が、前記契約依頼に基づき利用者端末を識別する端末識別子を取得する端末識別子取得工程と、
前記サービス登録装置が、前記サービス識別子と前記端末識別子を含む契約登録依頼を前記認証装置に発行する契約登録依頼工程と、
前記認証装置は、前記契約登録依頼を前記サービス登録装置から受け取る契約登録依頼受付工程と、
前記認証装置は、前記受け取った契約登録依頼に含まれる前記端末識別子が、前記回線情報記憶工程で記憶された情報に記憶されているか照合し、前記回線情報記憶工程で記憶された情報に記憶されていると判断された場合に、利用者識別子を生成する利用者識別子生成工程と、
前記認証装置は、前記利用者識別子と前記サービス識別子および前記端末識別子を関連付けて記憶する認証記憶工程と、
前記相互接続装置は、前記利用者端末から前記サービス識別子を含む接続依頼を受け取る接続受付工程と、
前記相互接続装置は、前記接続依頼に基づき前記端末識別子を取得する端末識別子取得工程と、
前記相互接続装置は、前記サービス識別子と前記端末識別子を含む認証依頼を前記認証装置に発行する認証依頼工程と、
前記認証装置は、前記サービス識別子と前記端末識別子を含む前記認証依頼を前記相互接続装置から受け取る認証依頼受取工程と、
前記認証装置は、前記認証記憶手段に記憶された前記サービス識別子と前記端末識別子と、前記認証依頼に含まれる前記サービス識別子と前記端末識別子とを比較する認証情報比較工程と、
前記認証装置は、前記比較の結果が一致する場合に、前記サービス識別子と前記端末識別子に関連付けて記憶されている利用者識別子を前記認証記憶工程が記憶した情報から読み出し前記相互接続装置に発行する認証工程と、
前記相互接続装置は、前記認証装置から前記利用者識別子を受け取る認証依頼工程と、
前記相互接続装置は、前記利用者識別子を含む接続依頼を、前記サービス提供装置に発行する接続依頼工程と、
を備えることを特徴としている。
【0013】
さらにまた、上記目的を達成するため、本発明では、サービスを識別するサービス識別子を含む契約依頼をサービス利用者の利用者端末から受け取る契約依頼受付手段と、
前記契約依頼に基づき利用者端末を識別する端末識別子を取得する端末識別子取得手段と、
前記サービス識別子と前記端末識別子を含む契約登録依頼を前記認証装置に発行する契約登録依頼手段と、
前記利用者端末から前記サービス識別子を含む接続依頼を受け取る接続受付手段と、
前記接続依頼に基づき前記端末識別子を取得する端末識別子取得手段と、
前記サービス識別子と前記端末識別子を含む認証依頼を前記認証装置に発行し、前記認証装置から前記利用者識別子を受け取る認証依頼手段と、
前記利用者識別子を含む接続依頼を、前記利用者端末にサービスを提供するサービス提供装置に発行する接続依頼手段と、
前記端末識別子を記憶する回線情報記憶手段と、
前記契約登録依頼を前記サービス登録装置から受け取る契約登録依頼受付手段と、
前記受け取った契約登録依頼に含まれる前記端末識別子が、前記回線情報記憶手段に記憶されているか照合し、前記回線情報記憶手段に記憶されていると判断された場合に、利用者識別子を生成する利用者識別子生成手段と、
前記利用者識別子と前記サービス識別子および前記端末識別子を関連付けて記憶する認証記憶手段と、
前記サービス識別子と前記端末識別子を含む前記認証依頼を前記相互接続装置から受け取る認証依頼受取手段と、
前記認証記憶手段に記憶された前記サービス識別子と前記端末識別子と、前記認証依頼に含まれる前記サービス識別子と前記端末識別子とを比較する認証情報比較手段と、
前記比較の結果が一致する場合に、前記サービス識別子と前記端末識別子に関連付けて記憶されている利用者識別子を前記認証記憶手段から読み出し前記相互接続装置に発行する認証手段と
を備えることを特徴としている。
【発明の効果】
【0014】
本発明によれば、認証装置が利用者端末から契約依頼を受けて利用者識別子を生成し、サービス利用時に利用者端末からの接続依頼に基づいて認証ができた場合に、利用者識別子を用いてサービス提供装置に接続するようにしたので、利用者IDとパスワードの入力や、利用者毎あるいはサービス毎の証明書の発行をすることなく利用者へサービスを提供できる認証システム、認証装置および認証方法を構成することができる。
【図面の簡単な説明】
【0015】
【図1】同実施形態に係る認証システムの各装置のブロック図である。
【図2】同実施形態に係るサービス契約時の処理手順を示す図である。
【図3】同実施形態に係るサービス利用時の処理手順を示す図である。
【図4】同実施形態に係るログを取得する処理手順を示す図である。
【図5】同実施形態に係る回線移設の処理手順を示す図である。
【図6】同実施形態に係る回線情報データベースに記憶されるデータ例を示す図である。
【図7】同実施形態に係る認証データベースに記憶されるデータ例を示す図である。
【図8】同実施形態に係るログ・データベースに記憶されるデータ例を示す図である。
【発明を実施するための形態】
【0016】
[第1実施形態]
以下、図1〜図8を用いて本発明の実施形態について詳細に説明する。なお、本発明は係る実施形態に限定されず、その技術思想の範囲内で種々の変更が可能である。
【0017】
図1は、本発明の実施形態における認証システムの各装置のブロック図の一例を示す概略図である。
ネットワーク1は、閉域網であり、利用者が使用する利用者端末4、サービス提供者が使用するサービス提供装置10、サービス提供者により提供される各サービスの登録を行うサービス登録装置7、利用者がサービスを使用する際の認証を行う認証装置8、利用者がサービスを使用した履歴を保存するログサーバ装置9および各装置との相互接続を行うエッジルータ2、回線移設手続き等を行う際にオペレータが使用するオペレータ端末11が接続されている。
また、ネットワークを管理する回線事業者の管理範囲3は、ネットワーク1、エッジルータ2、サービス登録装置7、認証装置8、ログサーバ装置9、オペレータ端末11である。
【0018】
利用者端末4は、利用者が本認証システムを管理する回線事業者との契約、および、サービス提供者から提供されているサービスの利用をするための端末であり、契約依頼部101と、接続依頼部102から構成されている。
【0019】
利用者は利用者端末4から、どのようなサービスが提供されているか、ネットワークを管理している回線事業者が提供しているサービス閲覧手段で確認する。
次に、利用者端末4が使用したいサービスを選ぶことで、サービス登録装置7のサービスDB203に記憶されているサービス識別子が埋め込まれたサービスを選択する。
契約依頼部101は、上記の操作により利用者がサービスの使用を開始する初回時に、サービス登録装置7の契約受付部201にネットワーク1を介して、利用者が希望するサービスのサービス識別子と利用者の回線情報を含む情報を契約依頼として発行し、また、サービス登録装置7の契約受付部201からの契約依頼に対する応答を受け取る。
なお、サービス識別子は、サービス提供者の名前等、固有の識別子を含む情報である。
【0020】
接続依頼部102は、利用者が契約依頼により契約を行ったサービスを利用する時に、エッジルータ2の接続受付部402にネットワーク1を介して、利用したいサービス識別子を含む接続依頼を発行する。
【0021】
サービス登録装置7は、本認証システムを管理する回線事業者が管理運営する装置であり、利用者端末からのサービスの利用を開始する初回時の契約処理を行う。
サービス登録装置7は、契約受付部201、契約登録依頼部202、サービス・データベース(以下、サービスDBと略す)203から構成されている。
【0022】
契約受付部201は、利用者端末4が発行した契約依頼を受け付け、利用者端末4へ契約依頼の登録可否に対する応答を行う。
また、契約受付部201は、受け取った契約依頼に基づき利用者端末の端末IDを意味するアドレスである端末ソースアドレスを取得する。
さらにまた、契約受付部201は、契約登録依頼部202にサービス識別子と回線情報と取得した端末ソースアドレスを受け渡す。
【0023】
契約登録依頼部202は、契約受付部201からサービス識別子と回線情報と取得した端末ソースアドレス受け取る。
また、契約登録依頼部202は、認証装置8にサービス識別子と回線情報および端末ソースアドレスを含む契約登録依頼を発行し、さらに認証装置8から契約登録依頼に対する登録の可否の応答を受け取る。
【0024】
サービスDB203は、ネットワーク1上でサービスを提供する各サービス提供装置の各サービス識別子を、サービスDB203内のサービス記憶部204に記憶する機能を有している。
【0025】
認証装置8は、本認証システムを管理する回線事業者が管理運営する装置であり、サービス登録装置7と利用者のサービス利用開始時の契約処理と、エッジルータ2と利用者のサービス利用毎の認証処理と、オペレータ端末11と回線移設手続を行う。
認証装置8は、回線情報データベース(以下、回線情報DBと略す)301、契約登録受付部302、利用者情報照合部303、契約ID生成部304、契約登録確認依頼部305、認証データベース(以下、認証DBと略す)306、認証部307、回線移設受付部308から構成されている。
【0026】
利用者が本認証システムを管理する回線事業者とネットワーク利用を契約する時、利用者端末4が使用している回線情報を、例えば郵送等で回線事業者に登録する。
次に、本認証システムを管理する回線事業者が、オペレータ端末11の端末ソースアドレス割当部701が利用者端末4に割り当てた端末ソースアドレスを、オペレータ端末11からネットワーク1を介して認証装置8に発行する。
回線情報DB301は、上記操作により得られた回線情報と端末ソースアドレスを関連付けて記憶する。
【0027】
図6は、回線情報DB301に保存されるデータの一例である。
回線情報DB301には、利用者端末毎の回線情報と端末ソースアドレスが関連付けられて保存されている。
【0028】
契約登録受付部302は、サービス登録装置7の契約登録依頼部202から、サービス識別子と、利用者端末4の回線情報およびの端末ソースアドレスを含む契約登録依頼を受け取り、受け取ったサービス識別子を含む契約登録確認依頼を契約登録確認依頼部305に受け渡す。
また、契約登録受付部302は、受け取った契約登録確認依頼から回線情報を抽出し、端末ソースアドレスを取得し、抽出・取得された回線情報と端末ソースアドレスを利用者情報照合部303に受け渡す。
さらにまた、契約登録受付部302は、契約ID生成部304から受け取った契約IDとサービス識別子を含む契約登録確認を、契約登録確認依頼部305に受け渡す。
さらにまた、契約登録受付部302は、受け取った契約IDと端末ソースアドレスとサービス識別子を関連付けて認証DB306に記憶する。
さらにまた、契約登録受付部302は、契約登録確認依頼部305から契約登録確認依頼に対するサービス提供者装置10への接続のための契約登録の可否の応答を受け取り、サービス登録装置7の契約登録依頼部202へ契約登録依頼に対する契約可否の応答を発行する。
さらにまた、契約登録受付部302は、契約登録確認依頼部305から受け取った契約登録確認依頼に対する応答が、登録結果NGの場合は、認証DB306から契約IDと端末ソースアドレスとサービス識別子を関連付けられて記憶されている情報を削除する。
【0029】
利用者情報照合部303は、契約登録受付部302から受け取った利用者端末4の回線情報と端末ソースアドレスが登録済みのものであるかを、回線情報DB301に照合する。
また、利用者情報照合部303は、回線情報DB301からの照合結果に基づき、正しい利用者端末4からの回線情報とソースアドレスであると判断した場合、契約ID生成部304に契約IDの生成を指示する。
また、利用者情報照合部303は、契約ID生成部304から生成された契約IDを受け取る。
【0030】
契約ID生成部304は、利用者情報照合部303から契約IDの生成指示を受け取り、利用者端末4がサービスに接続する場合に認証部307で行う認証に用いられる契約IDを生成する。
また、契約ID生成部304は、生成された契約IDを契約登録受付部302と契約登録確認依頼部305に受け渡す。
【0031】
契約登録確認依頼部305は、契約ID生成部304から受け取った契約IDと、契約登録受付部302から受け取ったサービス識別子を含む契約登録確認依頼を、サービス提供装置10の契約登録確認受付部601に受け渡す。
また、契約登録確認依頼部305は、サービス提供装置10の契約登録確認受付部601から契約登録確認依頼に対する応答を受け取り、契約登録受付部302と利用者情報照合部303に受け渡す。
【0032】
認証DB306は、契約登録確認依頼部305により契約IDと端末ソースアドレスとサービス識別子を関連付けて記憶されている。
【0033】
図7は、認証DB306に保存されるデータの一例である。
認証DB306には、契約IDとサービス識別子と利用者端末4のソースアドレスが関連付けられて保存されている。
【0034】
認証部307は、利用者端末4からの接続依頼を受けて、エッジルータ2の認証依頼部403から、サービス識別子と利用者端末4の端末ソースアドレスを含む認証依頼を受け取り、受け取った認証依頼からサービス識別子と端末ソースアドレスを抽出する。
また、認証部307は、抽出されたサービス識別子と利用者端末4のサービスアドレスの組み合わせが登録されているか否かを認証DB306に照合する。
また、認証部307は、照合により登録されていると判断された場合、認証OKと判断する。
また、認証部307は、照合により登録されていないと判断された場合、認証NGと判断する。
また、認証部307は、抽出されたサービス識別子と利用者端末4のサービスアドレスの組み合わせと関連付けて認証DB306に登録されている契約IDを取得する。
さらにまた、認証部307は、エッジルータ2の認証依頼部403へ認証依頼に対する応答として、認証結果と認証DB306から取得した契約IDと合わせてエッジルータ2へ受け渡す。
【0035】
回線移設受付部308は、利用者端末4が回線移設を行った場合、オペレータ端末11から新たに割り振られた端末ソースアドレスと新たな回線情報を受け取る。
回線移設受付部308は、回線情報DB301と認証DB306に記憶されている情報を、利用者端末4に割り振られていた以前の端末ソースアドレスと回線情報から、受け取った新しい回線情報と端末ソースアドレスに更新する。
また、回線移設受付部308は、回線情報DB301と認証DB306の更新が完了した場合に、ネットワーク1を介してオペレータ端末11に更新が完了したことをオペレータ端末11に通知する。
【0036】
オペレータ端末11は、本認証システムを管理する回線事業者が管理運営する装置であり、利用者端末4の使用者が回線を移転した場合に、端末ソースアドレスの割り振りを行い、移設手続きをオペレータが行う。
オペレータ端末11は、端末ソースアドレス割当部701、回線移設部702から構成されている。
【0037】
端末ソースアドレス割当部701は、利用者から電話回線等で本認証システムを管理している回線事業者のオペレータに移設手続きが申請された場合、新たな端末ソースアドレスを割り当て、割り当てた端末ソースアドレスを回線移設部702に受け渡す。
【0038】
回線移設部702は、受け取った新たな端末ソースアドレスと、利用者が移設した新たな回線情報を、ネットワーク1を介して認証装置8の回線移設受付部308に発行する。
【0039】
エッジルータ2は、ネットワーク1の提供者が管理運営する装置であり、相互接続部401、接続受付部402、認証依頼部403、ログ出力部404、接続依頼部405から構成されている。
【0040】
相互接続部401は、ネットワーク1を介して、利用者端末4、サービス登録装置7、認証装置8、ログサーバ装置9、サービス提供装置10とやり取りを行う。
【0041】
接続受付部402は、利用者が契約済みのサービスを利用する時に利用者端末4の接続依頼部102から発行されるサービス識別子を含む接続依頼を受け取る。
また、接続受付部402は、接続依頼に基づき利用者端末4の端末ソースアドレスを取得し、受け取った接続依頼に含まれるサービス識別子と合わせて認証依頼部403に受け渡す。
【0042】
認証依頼部403は、接続受付部402から受け取った利用者端末4のソースアドレスとサービス識別子を含む認証依頼を認証装置8の認証部307に発行する。
また、認証依頼部403は、認証装置8の認証部307から認証結果と契約IDを受け取る。
また、認証依頼部403は、接続依頼部405に認証装置8の認証部307から受け取った契約IDを受け渡し、接続依頼部402から受け取ったサービス識別子と認証部307から受け取った認証結果および契約IDをログ出力部404に受け渡す。
【0043】
ログ出力部404は、認証依頼部403から受け取ったサービス識別子と認証結果および契約IDを、ログサーバ装置9のログ収集受付部501に受け渡す。
【0044】
接続依頼部405は、認証依頼部403から契約IDを受け取り、サービス提供装置10の接続依頼受付部604に契約IDを含む接続依頼を発行する。
【0045】
ログサーバ装置9は、ネットワーク1の提供者が管理運営する装置であり、ログ収集受付部501、ログ登録部502、ログ・データベース(以下、ログDBと略す)503、ログ情報抽出部504から構成されている。
【0046】
ログ収集受付部501は、エッジルータ2のログ出力部404からサービス識別子と認証結果および契約IDを含むログ出力を受け取り、ログ出力に基づきエッジルータ2のサーバアドレスを取得する。
また、ログ収集受付部501は、抽出・取得したサーバアドレス、サービス識別子と認証結果および契約IDをログ登録部502に受け渡す。
【0047】
ログ登録部502は、ログ収集受付部501からサーバアドレス、サービス識別子と認証結果および契約IDを受け取った時刻をサービス利用の開始時刻として取得する。
また、ログ登録部502は、サービス識別子と認証結果と契約ID、および取得されたサービス開始時刻を関連付けてログDB503に登録する。
【0048】
ログDB503は、ログ登録部502の登録操作に従って、サービス識別子と認証結果と契約ID、およびサービス開始時間が記憶される。
【0049】
図8は、ログDB503に保存されるデータの一例である。
ログDB503には、サービス識別子と認証結果と契約ID、および取得されたサービス開始時刻が関連付けられて記憶されている。
【0050】
ログ情報抽出部504は、サービス提供装置10のログ収集依頼部605からサービス識別子を含むログ収集依頼を受け取り、サービス識別子の一致するログ情報である認証結果と契約ID、および抽出されたサービス開始時刻をログDB503から抽出する。
また、ログ情報抽出部504は抽出したログ情報を、サービス提供装置10のログ収集依頼部605に発行する。
【0051】
サービス提供装置10は、ネットワーク1を利用して利用者端末4にサービスを提供するサービス提供者が使用する端末であり、契約登録確認受付部601、契約者データベース(以下、契約者DBと略す)602、ログ収集依頼部602から構成されている。
【0052】
契約登録確認受付部601は、利用者がサービスの契約を行う時に認証装置8の契約登録確認依頼部305が発行する、サービス識別子と契約IDを含む契約登録確認を受け取る。
また、契約登録確認受付部601は、受け取った契約IDを契約DB602内の契約ID記憶部603に登録する。
さらにまた、契約登録確認受付部601は、契約DB602に契約IDの登録が完了した後に、認証装置8の契約登録確認依頼部305に登録完了として登録結果OKを受け渡す。
【0053】
契約者DB602は、内部に契約ID記憶部603を備え、契約登録確認受付部601により契約IDを記憶される。
【0054】
接続依頼受付部604は、エッジルータ2の接続依頼部405から契約IDを含む接続依頼を受け取る。
また、接続依頼受付部604は、契約者DB602に受け取った契約IDが登録されているか否かを確認し、登録されている契約IDの場合は、利用者端末4との接続を許可し確立し、登録されていない契約IDの場合は、接続を許可しない。
【0055】
ログ収集依頼部605は、サービス提供者が、利用者のサービス利用状況を確認したい場合等に、ログサーバ装置10のログ収集受付部501にサービス識別子を含むログ情報収集依頼を発行する。
また、ログ収集依頼部605は、ログサーバ10のログ収集受付部501から、サービス識別子の一致するログ情報である認証結果と契約ID、および抽出されたサービス開始時刻を含むログ情報を受け取る。
【0056】
次に、利用者がサービスの使用を開始する初回時に行う契約について、図2の処理手順図を用いて説明する。
利用者は利用者端末4がから、どのようなサービスが提供されているか等を、ネットワークを管理している回線事業者が提供しているサービス閲覧手段で確認する。
次に、利用者端末4が使用したいサービスを選ぶことで、サービス登録装置7のサービスDB203に記憶されているサービス識別子が埋め込まれたサービスを選択する。
利用者端末4の契約依頼部101は、サービス登録装置7の契約受付部201に、上記手順で選択した利用者が希望するサービスのサービス識別子と利用者端末4の回線情報を含む契約依頼を発行する(S101)。
【0057】
サービス登録装置7の契約受付部201は、利用者端末4が発行した契約依頼を受け付け、受け取った契約依頼に基づき利用者端末4の端末ソースアドレスを取得する。
また、サービス登録装置7の契約受付部201は、受け取ったサービスの識別子と回線情報と取得した端末ソースアドレスを契約登録依頼部202に受け渡す。
【0058】
サービス登録装置7の契約登録依頼部202は、契約受付部201から受け取ったサービス識別子と回線情報と端末ソースアドレスを含む契約登録依頼を、認証装置8の契約登録受付部302に発行する(S102)。
【0059】
認証装置8の契約登録受付部302は、サービス登録装置7の契約登録依頼部202から受け取った契約登録依頼から、回線情報端末ソースアドレスを抽出する。
続けて、認証装置8の契約登録受付部302は、抽出された回線情報と端末ソースアドレスが回線情報DB301にすでに登録されているか否かを照合する(S103)。
【0060】
照合の結果、サービス登録装置7の契約登録依頼部202から受け取った契約登録依頼の回線情報と端末ソースアドレスが、回線情報DB301に記憶されている回線情報と端末ソースアドレスと一致する場合、認証装置8の契約登録受付部302は、契約IDを生成し、生成された契約IDとサービス識別子と端末ソースアドレスを関連付けて認証DB306に記憶する(S104)。
【0061】
次に、認証装置8の契約登録受付部302は、生成された契約IDとサービス識別子を契約登録確認依頼部305に受け渡す。
認証装置8の契約登録確認依頼部305は、受け取った契約IDとサービス識別子を含む契約登録確認を、サービス提供装置10の契約登録確認受付部601に発行する(S105)。
【0062】
サービス提供装置10の契約登録確認受付部601は、認証装置8の契約登録確認依頼部305から受け取った契約登録確認に含まれる契約IDを契約者DB602に照合する。
照合の結果、契約者DB602に未登録の場合、サービス提供装置10の契約登録確認受付部601は、契約者DB602に契約IDを登録する。
また、サービス提供装置10の契約登録確認受付部601は、契約者DB602への登録が完了したら、登録が完了したことを示す登録結果OKを認証装置8の契約登録受付部302に発行する(S106)。
一方、サービス提供装置10の契約登録確認受付部601の契約者DB602への照合の結果、サービス提供者側の事情により登録が許可されない場合(例えば、何らかの問題があるとして登録されている契約IDの利用者端末)は、登録結果NGを認証装置8の契約登録受付部302に発行し(S106)、認証装置8の認証DB306への契約IDの登録を取り消す。
【0063】
次に、認証装置8の契約登録受付部302は、サービス提供装置10の契約登録確認受付部601から受け取った登録結果OKを、サービス登録装置7の契約登録依頼部202に発行する(S107)。
【0064】
サービス登録装置7の契約登録依頼部202は、認証装置8の契約登録受付部302から受け取った登録結果OKを、利用者端末4の契約依頼部101に発行し(S108)、一連のサービスの契約処理を終了する。
【0065】
利用者が利用を希望するサービス接続時に行う処理について、図3の処理手順図を用いて説明する。
利用者端末4の接続依頼部102は、エッジルータ2の接続受付部402に、接続を行うサービスのサービス識別子を含む接続依頼を発行する(S201)。
【0066】
エッジルータ2の接続受付部402は、利用者端末4の接続依頼部102から発行されるサービス識別子を含む接続依頼を受け取り、接続依頼に基づき利用者端末4の端末ソースアドレスを取得する。
また、エッジルータ2の接続受付部402は、取得された利用者端末4の端末ソースアドレスと受け取ったサービス識別子を認証依頼部403に受け渡す。
【0067】
エッジルータ2の認証依頼部403は、受け取った利用者端末4の端末ソースアドレスと利用者端末4の接続依頼部102からサービス識別子を含む認証要求を、認証装置8の認証部307に発行する(S202)。
【0068】
認証装置8の認証部307は、エッジルータ2の認証依頼部403から受け取った認証要求に含まれる端末ソースアドレスとサービス識別子が関連付けられたデータが、認証DB306に登録されているか照合する(S203)。
【0069】
照合の結果、エッジルータ2の認証依頼部403から受け取った認証要求に含まれる端末ソースアドレスとサービス識別子が関連付けられたデータが認証DB306に登録されている場合、認証装置8の認証部307は認証結果OKと判断する。
また、認証部307は、照合により登録されていないと判断された場合、認証結果NGと判断する。
また、認証部307は、認証DBからサービス識別子と関連付けて登録されている契約IDを取得する。
認証結果OKの場合、認証装置8の認証部307は、認証結果OKと取得した契約IDを含む認証依頼に対する応答を、エッジルータ2の認証依頼部403に発行する(S204)。
認証結果NGの場合、認証装置8の認証部307は、認証結果NGの認証依頼に対する応答を、エッジルータ2の認証依頼部403に発行する(S204)。
【0070】
エッジルータ2の認証依頼部403は、認証装置8の認証部307から受け取った認証結果と契約IDとサービス識別子が関連付けられたログ情報をログ出力部404に受け渡す。
エッジルータ2のログ出力部404は、認証依頼部403から受け取ったログ情報をログサーバ装置9のログ収集受付部501に発行する(S205)。
【0071】
続けて、エッジルータ2の接続受付部402は、認証装置8の認証部307から受け取った認証結果OKの場合、利用者端末4のサービス提供装置10への接続に際しての認証が完了したと判断し、認証装置3の契約登録受付部302から受け取った認証依頼に対する応答に含まれる契約IDを抽出する。
また、エッジルータ2の接続受付部402は、抽出された契約IDを含む接続要求をサービス装置13に発行する(S206)。
【0072】
サービス提供装置10の接続依頼受付部604は、エッジルータ2の接続受付部402から受け取った契約IDがすでに契約者DB602に登録されているか照合し、登録されている場合は利用者端末4との接続確立を行い、登録されていない場合は利用者端末4との接続確立を行わない。
【0073】
以上の処理により、利用者端末4とサービス提供装置10の接続が確立する。
この際、すでに契約したサービスについて利用する場合は、利用者は利用者端末4から、サービス識別子を指定した接続依頼を行うだけで、ユーザー名やパスワード等の入力や認証を行わずに接続を行える。
この場合、すでに利用者端末4は、サービスを提供している回線事業者との契約時に回線情報を登録し、さらに回線事業者から割り振られている端末ソースアドレスと回線情報が関連付けられて、認証装置8の回線情報DBに登録されている。このため、利用者端末4の正当性は、この登録されている端末ソースアドレスと回線情報に基づいて行われている。
【0074】
次に、サービス提供装置10がログサーバ装置9からログ情報を取得する処理手順を、図4の処理手順図を用いて説明する。
サービス提供装置10のログ収集依頼部605は、ログサーバ装置9のログ収集受付部501に、自サービス提供装置10のサービス識別子を含むログ出力依頼を発行する(S301)。
【0075】
ログサーバ装置9のログ収集受付部501は、サービス提供装置10のログ収集依頼部605から受け取ったログ出力依頼に含まれるサービス識別子を抽出する。
また、ログサーバ装置9のログ収集受付部501は、抽出されたサービス識別子に関連付けられて記憶されている情報をログDB306に照合し、受け取ったサービス識別子に関連付けて記憶されている情報を抽出する(S302)。
【0076】
ログサーバ装置9のログ収集受付部501は、抽出された受け取ったサービス識別子に関連付けて記憶されている利用開始時刻と認証結果と契約IDを、サービス提供装置10のログ収集依頼部605に発行する(S303)。
【0077】
次に、利用者が回線を移設する場合の処理手順を、図6の処理手順図を用いて説明する。
まず、利用者は契約している本認証システムを管理する回線事業者のオペレータに対して、回線の移設手続きを電話等で行う(S401)。
【0078】
回線事業者のオペレータは、オペレータ端末11の端末ソースアドレス割当部701により、利用者端末4に対して新たな端末ソースアドレスを割り振る(S402)。
【0079】
また、オペレータ端末11の端末ソースアドレス割当部701は、新たに割り振った端末ソースアドレスを回線移設部702に受け渡す。
続けて、回線事業者のオペレータは、オペレータ端末11から受け取った新たな端末ソースアドレスと新たな回線情報を、ネットワーク1を介して認証装置8の回線移設受付部308に発行する。(S403)。
【0080】
認証装置3の回線移設受付部308は、ネットワーク1を介してオペレータ端末1から新たな端末ソースアドレスと回線情報を含む回線移設依頼を受け取る。
また、認証装置3の回線移設受付部308は、回線情報DB301と認証DB306に記憶されている情報を、利用者端末4に割り振られていた以前の端末ソースアドレスと回線情報から、受け取った新しい回線情報と端末ソースアドレスに更新する(S404)。
【0081】
認証装置3の回線移設受付部308は、回線情報DB301と認証DB306の更新が完了した場合に、回線移設受付部308に更新完了の登録結果OKを受け渡し、さらにネットワーク1を介してオペレータ端末11に発行する(S405)。
【0082】
オペレータ端末11の回線移設部701は、ネットワーク1を介して認証装置8の回線移設受付部308から、回線移設依頼に対する応答を受け取り、受け取った回線移設依頼に対する応答から登録結果を抽出する。
また、回線事業者のオペレータは、オペレータ端末11の回線移設部701が抽出した登録結果OKにより、利用者に回線移設手続きが完了したことを電話等で伝える(S406)。
【0083】
以上、本実施形態によれば、ネットワークを提供する回線事業者から割り振られた端末ソースアドレスにより、利用者が意識せずに回線事業者側で認証が行われることでサービスが提供される。
このため、ネットワーク上のサービス利用者は、利用者にユーザーIDとパスワードを用いた認証を使用毎に行う必要が無い、すなわちゼロサインオンが実現でき、また、サービスごとの証明書の入手が不要になるため、サービス利用者に有益である。
さらにまた、ネットワークを提供する回線事業者側が認証装置を備えているため、サービスを提供する側は、認証装置を保有しなくていいため、サービス提供者にも有益である。
【0084】
また、本実施形態では、認証装置8の回線情報DB301に、回線情報と端末ソースアドレスを関連付けて記憶し、利用者がサービスの利用を開始する初回時の認証で、この回線情報と端末ソースアドレスを用いて認証を行う例について説明したが、端末ソースアドレスは回線事業者から割り振られた一意のものであるため、認証装置3の認証部307で行われるS203の認証において、端末ソースアドレスのみによる認証を行っても良い。
【0085】
さらにまた、本実施形態では、ログサーバ装置9のログ収集受付部501がエッジルータ2のログ出力部404からログ情報を受け取り、ログサーバ装置9がログ情報を受け取った時間を利用開始時間として取得する例について説明したが、エッジルータ2のログ出力部404がログ情報を生成する際に合わせて使用されている時刻情報を抽出しログ情報を取得し、ログ出力部404からログ情報として出力し、ログサーバ装置9のログ収集受付部501でこの情報を受け取りログDBに登録しても良い。
【0086】
さらにまた、本実施形態では、サービス提供装置10のログ収集依頼部605が、サービス使用の実績等を確認するために、ログ情報収集依頼をログサーバ9に行う例について説明したが、例えば回線事業者がネットワーク上にサービス提供者専用のログ情報が見られるサイトのアドレス等を用意し、サービス提供者が適時ログ情報を確認するようにしても良い。
【0087】
さらにまた、本実施形態では、サービス登録装置7のサービス記憶部204は、ネットワーク1上でサービスを提供する各サービス提供装置の各サービス識別子を記憶する例について説明したが、利用者への利便性を図るために、各サービス提供端末が提供するサービスの概要等も合わせて記憶し、利用者が各サービスの契約時に閲覧等できるようにしても良い。
【0088】
さらにまた、本実施形態では、サービスへの接続時に、サービス提供装置10の契約登録確認受付部601は、認証装置8の契約登録確認依頼部305から受け取った契約登録確認に含まれる契約IDを契約者DB602に照合して、利用可否の確認を行う例について説明したが、照合せずに利用制限を行わないサービスを提供することも可能である。
【0089】
さらにまた、本実施形態では、サービス提供者がサービス提供装置10からネットワーク1を介してログサーバ装置9から、利用者の利用状況であるログを取得する例について説明した。サービス提供者のコンテンツ提供形態が有料の場合、サービス提供者がログサーバ装置9からサービス提供装置10が取得したログデータに基づき、サービス提供者が利用者から利用代金の回収を行うようにしても良い。
また、コンテンツの利用代金の回収をサービス提供者が直接行わずに、ネットワークを提供する回線事業者に委託して回収するようにしても良い。この場合、ネットワークを提供する回線事業者は、契約IDごとの利用状況を、ログサーバ装置9のログDB503から収集し、予めサービス提供者から提示されている利用料金表等から利用料金を算出する。
さらに、認証装置8の回線情報DB301に記憶されている回線情報に基づき、回線利用料金と合わせて回収するようにしても良い。
【産業上の利用可能性】
【0090】
以上のように、本発明によれば、ネットワークの管理者が、サービスの利用者が使用する端末に一意のソースアドレスを割り振り、サービス利用時にこのソースアドレスで認証を行うようにしたので、利用者とサービス提供者に対して成りすますによるフィッシング行為を防止することに有効である。
また、本発明によれば、サービス利用者の認証をネットワークを提供する回線事業者で行うようにしたので、サービス提供者は認証装置を保有する必要が無く、さらに、利用者からの通信をエッジルータと認証装置で認証するようにしたので、非登録者からのネットワーク利用による無効なトラフィックを削減することができるため、廉価に品質を担保したサービスが提供でき、サービス提供者とネットワークを提供する回線事業者に有効である。
【符号の説明】
【0091】
1・・・ネットワーク
2・・・エッジルータ
3・・・ネットワークを管理する回線事業者の管理範囲(認証システム)
4・・・利用者端末
7・・・サービス登録装置
8・・・認証装置
9・・・ログサーバ装置
10・・・サービス提供装置
11・・・オペレータ端末
101・・・契約依頼部
102・・・接続依頼部
201・・・契約受付部
202・・・契約登録依頼部
203・・・サービス・データベース
204・・・サービス記憶部
301・・・回線情報データベース
302・・・契約登録受付部
303・・・利用者情報照合部
304・・・契約ID生成部
305・・・契約登録確認依頼部
306・・・認証データベース
307・・・認証部
308・・・回線移設受付部
401・・・相互接続部
402・・・接続受付部
403・・・認証依頼部
404・・・ログ出力部
405・・・接続依頼部
501・・・ログ収集受付部
502・・・ログ登録部
503・・・ログ・データベース
504・・・ログ情報抽出部
601・・・契約登録確認受付部
602・・・契約者データベース
603・・・契約ID記憶部
604・・・接続依頼受付部
605・・・ログ収集依頼部
701・・・端末ソースアドレス割当部
702・・・回線移設部
【特許請求の範囲】
【請求項1】
サービスを識別するサービス識別子を含む契約依頼をサービス利用者の利用者端末から受け取る契約依頼受付手段と、
前記契約依頼に基づき利用者端末を識別する端末識別子を取得する端末識別子取得手段と、
前記サービス識別子と前記端末識別子を含む契約登録依頼を前記認証装置に発行する契約登録依頼手段と、
を備えるサービス登録装置と、
前記利用者端末から前記サービス識別子を含む接続依頼を受け取る接続受付手段と、
前記接続依頼に基づき前記端末識別子を取得する端末識別子取得手段と、
前記サービス識別子と前記端末識別子を含む認証依頼を前記認証装置に発行し、前記認証装置から前記利用者識別子を受け取る認証依頼手段と、
前記利用者識別子を含む接続依頼を、前記利用者端末にサービスを提供するサービス提供装置に発行する接続依頼手段と、
を備える相互接続装置と、
前記端末識別子を記憶する回線情報記憶手段と、
前記契約登録依頼を前記サービス登録装置から受け取る契約登録依頼受付手段と、
前記受け取った契約登録依頼に含まれる前記端末識別子が、前記回線情報記憶手段に記憶されているか照合し、前記回線情報記憶手段に記憶されていると判断された場合に、利用者識別子を生成する利用者識別子生成手段と、
前記利用者識別子と前記サービス識別子および前記端末識別子を関連付けて記憶する認証記憶手段と、
前記サービス識別子と前記端末識別子を含む前記認証依頼を前記相互接続装置から受け取る認証依頼受取手段と、
前記認証記憶手段に記憶された前記サービス識別子と前記端末識別子と、前記認証依頼に含まれる前記サービス識別子と前記端末識別子とを比較する認証情報比較手段と、
前記比較の結果が一致する場合に、前記サービス識別子と前記端末識別子に関連付けて記憶されている利用者識別子を前記認証記憶手段から読み出し前記相互接続装置に発行する認証手段と、
を備える認証装置と、
を備えることを特徴とする認証システム。
【請求項2】
前記サービス識別子と前記利用者識別子を含む契約登録確認を前記認証装置から受け取る契約登録確認受付手段と、
前記約登録確認受付手段が前記認証装置から受け取った前記利用者識別子を記憶する利用者識別子記憶手段と、
前記相互接続装置から前記利用者識別子を含む接続要求を受け取り、前記利用者識別子記憶手段に前記利用者識別子がすでに登録されているか照合し、すでに登録されていると判断された場合に、前記利用者端末との接続確立を行う接続依頼受付手段と
を備えるサービス提供装置と、
を備えることを特徴とする請求項1に記載の認証システム。
【請求項3】
前記相互接続装置が前記認証装置から受け取った利用者識別子と、前記相互接続装置が前記利用者端末から受け取った前記サービス識別子と、前記相互接続装置の前記端末識別子取得手段により取得された前記端末識別子とを関連付けてログ情報を生成するログ生成手段を備える前記相互接続装置と、
前記相互接続装置の前記ログ生成手段により生成されたログ情報を受け取り記憶するログ情報記憶手段と、
前記サービス提供装置から、前記サービス識別子を含む前記ログ情報収集依頼を受け取るログ情報収集受付手段と、
前記ログ情報収集依頼により、前記ログ記憶手段から前記サービス識別子と一致するログ情報を抽出するログ情報抽出手段と、
前記抽出されたログ情報を、前記サービス提供装置に発行するログ情報発行手段と、
を備えるログサーバ装置と、
を備えることを特徴とする請求項1または2に記載の認証システム。
【請求項4】
前記認証装置の前記回線情報記憶手段は、
前記端末識別子と前記利用者端末の一意の回線情報を関連付けて記憶する
ことを特徴とする請求項1または2に記載の認証システム。
【請求項5】
前記認証装置は、前記端末識別子を記憶する回線情報記憶手段と、
前記サービス登録装置が、サービスを識別するサービス識別子を含む契約依頼をサービス利用者の利用者端末から受け取る契約依頼受付工程と、
前記サービス登録装置が、前記契約依頼に基づき利用者端末を識別する端末識別子を取得する端末識別子取得工程と、
前記サービス登録装置が、前記サービス識別子と前記端末識別子を含む契約登録依頼を前記認証装置に発行する契約登録依頼工程と、
前記認証装置は、前記契約登録依頼を前記サービス登録装置から受け取る契約登録依頼受付工程と、
前記認証装置は、前記受け取った契約登録依頼に含まれる前記端末識別子が、前記回線情報記憶工程で記憶された情報に記憶されているか照合し、前記回線情報記憶工程で記憶された情報に記憶されていると判断された場合に、利用者識別子を生成する利用者識別子生成工程と、
前記認証装置は、前記利用者識別子と前記サービス識別子および前記端末識別子を関連付けて記憶する認証記憶工程と、
前記相互接続装置は、前記利用者端末から前記サービス識別子を含む接続依頼を受け取る接続受付工程と、
前記相互接続装置は、前記接続依頼に基づき前記端末識別子を取得する端末識別子取得工程と、
前記相互接続装置は、前記サービス識別子と前記端末識別子を含む認証依頼を前記認証装置に発行する認証依頼工程と、
前記認証装置は、前記サービス識別子と前記端末識別子を含む前記認証依頼を前記相互接続装置から受け取る認証依頼受取工程と、
前記認証装置は、前記認証記憶手段に記憶された前記サービス識別子と前記端末識別子と、前記認証依頼に含まれる前記サービス識別子と前記端末識別子とを比較する認証情報比較工程と、
前記認証装置は、前記比較の結果が一致する場合に、前記サービス識別子と前記端末識別子に関連付けて記憶されている利用者識別子を前記認証記憶工程が記憶した情報から読み出し前記相互接続装置に発行する認証工程と、
前記相互接続装置は、前記認証装置から前記利用者識別子を受け取る認証依頼工程と、
前記相互接続装置は、前記利用者識別子を含む接続依頼を、前記サービス提供装置に発行する接続依頼工程と、
を備えることを特徴とする認証方法。
【請求項6】
サービスを識別するサービス識別子を含む契約依頼をサービス利用者の利用者端末から受け取る契約依頼受付手段と、
前記契約依頼に基づき利用者端末を識別する端末識別子を取得する端末識別子取得手段と、
前記サービス識別子と前記端末識別子を含む契約登録依頼を前記認証装置に発行する契約登録依頼手段と、
前記利用者端末から前記サービス識別子を含む接続依頼を受け取る接続受付手段と、
前記接続依頼に基づき前記端末識別子を取得する端末識別子取得手段と、
前記サービス識別子と前記端末識別子を含む認証依頼を前記認証装置に発行し、前記認証装置から前記利用者識別子を受け取る認証依頼手段と、
前記利用者識別子を含む接続依頼を、前記利用者端末にサービスを提供するサービス提供装置に発行する接続依頼手段と、
前記端末識別子を記憶する回線情報記憶手段と、
前記契約登録依頼を前記サービス登録装置から受け取る契約登録依頼受付手段と、
前記受け取った契約登録依頼に含まれる前記端末識別子が、前記回線情報記憶手段に記憶されているか照合し、前記回線情報記憶手段に記憶されていると判断された場合に、利用者識別子を生成する利用者識別子生成手段と、
前記利用者識別子と前記サービス識別子および前記端末識別子を関連付けて記憶する認証記憶手段と、
前記サービス識別子と前記端末識別子を含む前記認証依頼を前記相互接続装置から受け取る認証依頼受取手段と、
前記認証記憶手段に記憶された前記サービス識別子と前記端末識別子と、前記認証依頼に含まれる前記サービス識別子と前記端末識別子とを比較する認証情報比較手段と、
前記比較の結果が一致する場合に、前記サービス識別子と前記端末識別子に関連付けて記憶されている利用者識別子を前記認証記憶手段から読み出し前記相互接続装置に発行する認証手段と、
を備えることを特徴とする認証装置。
【請求項1】
サービスを識別するサービス識別子を含む契約依頼をサービス利用者の利用者端末から受け取る契約依頼受付手段と、
前記契約依頼に基づき利用者端末を識別する端末識別子を取得する端末識別子取得手段と、
前記サービス識別子と前記端末識別子を含む契約登録依頼を前記認証装置に発行する契約登録依頼手段と、
を備えるサービス登録装置と、
前記利用者端末から前記サービス識別子を含む接続依頼を受け取る接続受付手段と、
前記接続依頼に基づき前記端末識別子を取得する端末識別子取得手段と、
前記サービス識別子と前記端末識別子を含む認証依頼を前記認証装置に発行し、前記認証装置から前記利用者識別子を受け取る認証依頼手段と、
前記利用者識別子を含む接続依頼を、前記利用者端末にサービスを提供するサービス提供装置に発行する接続依頼手段と、
を備える相互接続装置と、
前記端末識別子を記憶する回線情報記憶手段と、
前記契約登録依頼を前記サービス登録装置から受け取る契約登録依頼受付手段と、
前記受け取った契約登録依頼に含まれる前記端末識別子が、前記回線情報記憶手段に記憶されているか照合し、前記回線情報記憶手段に記憶されていると判断された場合に、利用者識別子を生成する利用者識別子生成手段と、
前記利用者識別子と前記サービス識別子および前記端末識別子を関連付けて記憶する認証記憶手段と、
前記サービス識別子と前記端末識別子を含む前記認証依頼を前記相互接続装置から受け取る認証依頼受取手段と、
前記認証記憶手段に記憶された前記サービス識別子と前記端末識別子と、前記認証依頼に含まれる前記サービス識別子と前記端末識別子とを比較する認証情報比較手段と、
前記比較の結果が一致する場合に、前記サービス識別子と前記端末識別子に関連付けて記憶されている利用者識別子を前記認証記憶手段から読み出し前記相互接続装置に発行する認証手段と、
を備える認証装置と、
を備えることを特徴とする認証システム。
【請求項2】
前記サービス識別子と前記利用者識別子を含む契約登録確認を前記認証装置から受け取る契約登録確認受付手段と、
前記約登録確認受付手段が前記認証装置から受け取った前記利用者識別子を記憶する利用者識別子記憶手段と、
前記相互接続装置から前記利用者識別子を含む接続要求を受け取り、前記利用者識別子記憶手段に前記利用者識別子がすでに登録されているか照合し、すでに登録されていると判断された場合に、前記利用者端末との接続確立を行う接続依頼受付手段と
を備えるサービス提供装置と、
を備えることを特徴とする請求項1に記載の認証システム。
【請求項3】
前記相互接続装置が前記認証装置から受け取った利用者識別子と、前記相互接続装置が前記利用者端末から受け取った前記サービス識別子と、前記相互接続装置の前記端末識別子取得手段により取得された前記端末識別子とを関連付けてログ情報を生成するログ生成手段を備える前記相互接続装置と、
前記相互接続装置の前記ログ生成手段により生成されたログ情報を受け取り記憶するログ情報記憶手段と、
前記サービス提供装置から、前記サービス識別子を含む前記ログ情報収集依頼を受け取るログ情報収集受付手段と、
前記ログ情報収集依頼により、前記ログ記憶手段から前記サービス識別子と一致するログ情報を抽出するログ情報抽出手段と、
前記抽出されたログ情報を、前記サービス提供装置に発行するログ情報発行手段と、
を備えるログサーバ装置と、
を備えることを特徴とする請求項1または2に記載の認証システム。
【請求項4】
前記認証装置の前記回線情報記憶手段は、
前記端末識別子と前記利用者端末の一意の回線情報を関連付けて記憶する
ことを特徴とする請求項1または2に記載の認証システム。
【請求項5】
前記認証装置は、前記端末識別子を記憶する回線情報記憶手段と、
前記サービス登録装置が、サービスを識別するサービス識別子を含む契約依頼をサービス利用者の利用者端末から受け取る契約依頼受付工程と、
前記サービス登録装置が、前記契約依頼に基づき利用者端末を識別する端末識別子を取得する端末識別子取得工程と、
前記サービス登録装置が、前記サービス識別子と前記端末識別子を含む契約登録依頼を前記認証装置に発行する契約登録依頼工程と、
前記認証装置は、前記契約登録依頼を前記サービス登録装置から受け取る契約登録依頼受付工程と、
前記認証装置は、前記受け取った契約登録依頼に含まれる前記端末識別子が、前記回線情報記憶工程で記憶された情報に記憶されているか照合し、前記回線情報記憶工程で記憶された情報に記憶されていると判断された場合に、利用者識別子を生成する利用者識別子生成工程と、
前記認証装置は、前記利用者識別子と前記サービス識別子および前記端末識別子を関連付けて記憶する認証記憶工程と、
前記相互接続装置は、前記利用者端末から前記サービス識別子を含む接続依頼を受け取る接続受付工程と、
前記相互接続装置は、前記接続依頼に基づき前記端末識別子を取得する端末識別子取得工程と、
前記相互接続装置は、前記サービス識別子と前記端末識別子を含む認証依頼を前記認証装置に発行する認証依頼工程と、
前記認証装置は、前記サービス識別子と前記端末識別子を含む前記認証依頼を前記相互接続装置から受け取る認証依頼受取工程と、
前記認証装置は、前記認証記憶手段に記憶された前記サービス識別子と前記端末識別子と、前記認証依頼に含まれる前記サービス識別子と前記端末識別子とを比較する認証情報比較工程と、
前記認証装置は、前記比較の結果が一致する場合に、前記サービス識別子と前記端末識別子に関連付けて記憶されている利用者識別子を前記認証記憶工程が記憶した情報から読み出し前記相互接続装置に発行する認証工程と、
前記相互接続装置は、前記認証装置から前記利用者識別子を受け取る認証依頼工程と、
前記相互接続装置は、前記利用者識別子を含む接続依頼を、前記サービス提供装置に発行する接続依頼工程と、
を備えることを特徴とする認証方法。
【請求項6】
サービスを識別するサービス識別子を含む契約依頼をサービス利用者の利用者端末から受け取る契約依頼受付手段と、
前記契約依頼に基づき利用者端末を識別する端末識別子を取得する端末識別子取得手段と、
前記サービス識別子と前記端末識別子を含む契約登録依頼を前記認証装置に発行する契約登録依頼手段と、
前記利用者端末から前記サービス識別子を含む接続依頼を受け取る接続受付手段と、
前記接続依頼に基づき前記端末識別子を取得する端末識別子取得手段と、
前記サービス識別子と前記端末識別子を含む認証依頼を前記認証装置に発行し、前記認証装置から前記利用者識別子を受け取る認証依頼手段と、
前記利用者識別子を含む接続依頼を、前記利用者端末にサービスを提供するサービス提供装置に発行する接続依頼手段と、
前記端末識別子を記憶する回線情報記憶手段と、
前記契約登録依頼を前記サービス登録装置から受け取る契約登録依頼受付手段と、
前記受け取った契約登録依頼に含まれる前記端末識別子が、前記回線情報記憶手段に記憶されているか照合し、前記回線情報記憶手段に記憶されていると判断された場合に、利用者識別子を生成する利用者識別子生成手段と、
前記利用者識別子と前記サービス識別子および前記端末識別子を関連付けて記憶する認証記憶手段と、
前記サービス識別子と前記端末識別子を含む前記認証依頼を前記相互接続装置から受け取る認証依頼受取手段と、
前記認証記憶手段に記憶された前記サービス識別子と前記端末識別子と、前記認証依頼に含まれる前記サービス識別子と前記端末識別子とを比較する認証情報比較手段と、
前記比較の結果が一致する場合に、前記サービス識別子と前記端末識別子に関連付けて記憶されている利用者識別子を前記認証記憶手段から読み出し前記相互接続装置に発行する認証手段と、
を備えることを特徴とする認証装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2011−3101(P2011−3101A)
【公開日】平成23年1月6日(2011.1.6)
【国際特許分類】
【出願番号】特願2009−147032(P2009−147032)
【出願日】平成21年6月19日(2009.6.19)
【出願人】(399041158)西日本電信電話株式会社 (215)
【Fターム(参考)】
【公開日】平成23年1月6日(2011.1.6)
【国際特許分類】
【出願日】平成21年6月19日(2009.6.19)
【出願人】(399041158)西日本電信電話株式会社 (215)
【Fターム(参考)】
[ Back to top ]