認証処理装置、認証処理方法および認証処理プログラム
【課題】コスト負担の増加や運用の複雑化を抑制しつつ、サービス利用者の認証を実現することを課題とする。
【解決手段】認証処理装置400は、チャレンジ応答に含まれる認証IDとチャレンジ要求に含めた認証IDとが一致するか否かを確認するとともに、チャレンジ応答の送信元を示すIPアドレスと、ネットワークサービス装置200から先に取得していたIPアドレスとが一致するか否かを確認する。確認の結果、認証IDおよびIPアドレスが一致することが確認された場合には、サービス要求時および認証時において、サービス要求の送信元である端末装置100のIPアドレスの同一性が保証されたものとして、ネットワークサービス装置200から先に取得していた電話番号をサービス要求元である端末装置100の電話番号として特定して、端末装置100を認証する。
【解決手段】認証処理装置400は、チャレンジ応答に含まれる認証IDとチャレンジ要求に含めた認証IDとが一致するか否かを確認するとともに、チャレンジ応答の送信元を示すIPアドレスと、ネットワークサービス装置200から先に取得していたIPアドレスとが一致するか否かを確認する。確認の結果、認証IDおよびIPアドレスが一致することが確認された場合には、サービス要求時および認証時において、サービス要求の送信元である端末装置100のIPアドレスの同一性が保証されたものとして、ネットワークサービス装置200から先に取得していた電話番号をサービス要求元である端末装置100の電話番号として特定して、端末装置100を認証する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、サービス提供装置に対して端末装置からのサービス要求があった場合に、当該端末装置の認証を行って認証結果をサービス提供装置に通知する認証処理装置、当該認証処理装置において実行される処理に対応した認証処理方法および認証処理プログラムに関する。
【背景技術】
【0002】
従来、ネットワークを介してサービスの提供を行う際に、サービスの不正な利用を防止し、正規のユーザに対してのみサービスを提供することを目的として、サービス提供者は、ユーザ(あるいは、ユーザが操作する端末)を認証するための仕組みを導入している。
【0003】
例えば、銀行が提供するインターネットバンキングやクレジット会社が提供するポータルサイトにおいて、サービス提供者は、エンドユーザが入力するIDとパスワードを利用してエンドユーザを認証する認証技術が存在する。
【0004】
上述した認証技術には、エンドユーザが入力するIDとパスワードを利用した認証では、IDやパスワードが比較的盗み取られやすいことなどを理由として、認証強度が不十分であるという欠点が存在する。これに対して、例えば、特許文献1では、サービス提供装置から提供されたサービスを利用する端末装置が、サービス利用に先立ってネットワークに接続する際に利用する電話回線に割り当てられた電話番号に基づいて、端末装置(あるいは、そのユーザ)が正規のサービス利用者であるか否かを認証する技術が開示されている。
【0005】
【特許文献1】特開2002−41476号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、上記した特許文献1に開示の技術は、サービス利用者の認証に際してコスト負担の増加や運用の複雑化を招くという問題点があった。すなわち、特許文献1に開示の技術は、認証のための専用機能として、端末装置の発信電話番号と通信アドレスとを対応付けて管理するとともに、他の装置に通知する機能、あるいは、他の装置から受け付けた問い合わせに含まれる通信アドレスに対応した電話番号を検索して応答する機能等を、ダイヤルアップ接続装置に新たに追加して具備させる必要があり、コスト負担の増加や運用の複雑化を招くという問題点があった。
【0007】
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、コスト負担の増加や運用の複雑化を抑制しつつ、サービス利用者の認証を実現することが可能な認証処理装置、認証処理方法および認証処理プログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
上述した課題を解決し、目的を達成するため、本発明は、サービス提供装置に対して端末装置からのサービス要求があった場合に、当該端末装置の認証を行って認証結果をサービス提供装置に通知する認証処理装置であって、前記サービス要求の要求元である端末装置の認証要求を受け付けた場合に、当該サービス要求の要求元である端末装置に一意に割り当てられたIPアドレスを識別して、識別されたIPアドレスを宛先とするチャレンジ要求に、チャレンジ情報を含めて送信するチャレンジ要求送信手段と、前記サービス要求の要求元である端末装置からの接続要求に応じて当該端末装置との間の接続が確立される際に、当該接続要求の要求元である端末装置に一意に付与された端末識別子とIPアドレスとの対応関係を検証して接続の確立を仲介する接続仲介装置から、当該接続要求の要求元である端末装置のIPアドレスおよび端末識別子を取得する端末情報取得手段と、前記チャレンジ要求送信手段により送信されたチャレンジ要求に対するチャレンジ応答を、前記接続仲介装置により確立された接続を介して端末装置から受信した場合に、チャレンジ応答に含まれるチャレンジ情報とチャレンジ要求に含めたチャレンジ情報とが一致するか否かを検証するとともに、チャレンジ応答の送信元を示すIPアドレスと前記端末情報取得手段により取得されたIPアドレスとが一致するか否かを検証する検証手段と、前記検証手段によりチャレンジ情報およびIPアドレスの一致が確認された場合には、前記端末情報取得手段により取得された端末識別子を、前記サービス要求の送信元である端末装置の端末識別子として特定して認証する端末認証手段と、前記端末認証手段による認証結果を前記サービス提供装置に送信する認証結果送信手段と、を備えたことを特徴とする。
【0009】
また、本発明は、上記の発明において、前記認証結果送信手段は、前記端末認証手段による認証結果として、前記端末情報取得手段により取得された端末識別子を前記サービス提供装置に送信することを特徴とする。
【0010】
また、本発明は、上記の発明において、前記端末情報取得手段は、前記接続要求の要求元である端末装置のIPアドレス、および端末装置の端末識別子を取得して、取得されたIPアドレスと端末識別子とを対応付けて記憶し、前記認証結果送信手段は、前記端末認証手段による認証結果として、前記端末情報取得手段により記憶されている端末識別子を前記サービス提供装置に送信し、前記認証結果送信手段により前記サービス提供装置に送信された端末識別子と、当該端末識別子に対応するIPアドレスとからなるレコードを削除する端末情報削除手段をさらに備えたことを特徴とする。
【0011】
また、本発明は、サービス提供装置に対して端末装置からのサービス要求があった場合に、認証処理装置が端末装置の認証を行って、認証結果をサービス提供装置に通知する認証処理方法であって、前記サービス要求の要求元である端末装置の認証要求を受け付けた場合に、当該サービス要求の要求元である端末装置に一意に割り当てられたIPアドレスを識別して、識別されたIPアドレスを宛先とするチャレンジ要求に、チャレンジ情報を含めて送信するチャレンジ要求送信ステップと、前記サービス要求の要求元である端末装置からの接続要求に応じて、当該端末装置と前記認証処理装置との間の接続が確立される際に、当該接続要求の要求元である端末装置に一意に付与された端末識別子とIPアドレスとの対応関係を検証して接続の確立を仲介する接続仲介装置から、当該接続要求の要求元である端末装置のIPアドレスおよび端末識別子を取得する端末情報取得ステップと、前記チャレンジ要求送信ステップにより送信されたチャレンジ要求に対するチャレンジ応答が、前記接続仲介装置により確立された接続を介して端末装置から送信された場合に、チャレンジ応答に含まれるチャレンジ情報とチャレンジ要求に含まれたチャレンジ情報とが一致するか否かを検証するとともに、チャレンジ応答の送信元を示すIPアドレスと前記端末情報取得ステップにより取得されたIPアドレスとが一致するか否かを検証する検証ステップと、前記検証ステップによりチャレンジ情報およびIPアドレスの一致が確認された場合には、前記端末情報取得ステップにより取得された端末識別子を、前記サービス要求の送信元である端末装置の端末識別子として特定して認証する端末認証ステップと、前記端末認証ステップによる認証結果を前記サービス提供装置に送信する認証結果送信ステップと、を含んだことを特徴とする。
【0012】
また、本発明は、サービス提供装置に対して端末装置からのサービス要求があった場合に、当該端末装置の認証を行って認証結果をサービス提供装置に通知する処理をコンピュータに実行させる認証処理プログラムであって、前記サービス要求の要求元である端末装置の認証要求を受け付けた場合に、当該サービス要求の要求元である端末装置に一意に割り当てられたIPアドレスを識別して、識別されたIPアドレスを宛先とするチャレンジ要求に、チャレンジ情報を含めて送信するチャレンジ要求送信手順と、前記サービス要求の要求元である端末装置からの接続要求に応じて当該端末装置との間の接続が確立される際に、当該接続要求の要求元である端末装置に一意に付与された端末識別子とIPアドレスとの対応関係を検証して接続の確立を仲介する接続仲介装置から、当該接続要求の要求元である端末装置のIPアドレスおよび端末識別子を取得する端末情報取得手順と、前記チャレンジ要求送信手順により送信されたチャレンジ要求に対するチャレンジ応答を、前記接続仲介装置により確立された接続を介して端末装置から受信した場合に、チャレンジ応答に含まれるチャレンジ情報とチャレンジ要求に含めたチャレンジ情報とが一致するか否かを検証するとともに、チャレンジ応答の送信元を示すIPアドレスと前記端末情報取得手順により取得されたIPアドレスとが一致するか否かを検証する検証手順と、前記検証手順によりチャレンジ情報およびIPアドレスの一致が確認された場合には、前記端末情報取得手順により取得された端末識別子を、前記サービス要求の送信元である端末装置の端末識別子として特定して認証する端末認証手順と、前記端末認証手順による認証結果を前記サービス提供装置に送信する認証結果送信手順と、をコンピュータに実行させることを特徴とする。
【発明の効果】
【0013】
本発明によれば、サービス要求の要求元である端末装置の認証要求を受け付けた場合に、サービス要求の要求元である端末装置に一意に割り当てられたIPアドレスを識別して、識別されたIPアドレスを宛先とするチャレンジ要求に、チャレンジ情報を含めて送信し、サービス要求の要求元である端末装置からの接続要求に応じて端末装置との間の接続が確立される際に、接続要求の要求元である端末装置に一意に付与された端末識別子とIPアドレスとの対応関係を検証して接続の確立を仲介する接続仲介装置から、接続要求の要求元である端末装置のIPアドレスおよび端末識別子を取得し、チャレンジ要求に対するチャレンジ応答を、接続仲介装置により確立された接続を介して端末装置から受信した場合に、チャレンジ応答に含まれるチャレンジ情報とチャレンジ要求に含めたチャレンジ情報とが一致するか否かを検証するとともに、チャレンジ応答の送信元を示すIPアドレスと接続仲介装置から取得されたIPアドレスとが一致するか否かを検証し、チャレンジ情報およびIPアドレスの一致が確認された場合には、接続仲介装置から取得した端末識別子を、サービス要求の送信元である端末装置の端末識別子として特定して認証し、認証結果をサービス提供装置に送信するので、従来から既存の設備として通信網に配置される接続仲介装置を介して取得した検証済みの情報を用いて、サービス要求時と認証時においてIPアドレスの同一性が保証された端末装置の端末識別子を特定して得られる認証結果をサービス提供装置に提供することができ、コスト負担の増加や運用の複雑化を抑制しつつ、サービス利用者の認証を実現することが可能である。
【0014】
また、本発明によれば、認証結果として端末識別子をサービス提供装置に送信するので、サービス要求時と認証時においてIPアドレスの同一性が保証された端末装置の電話番号を特定して、サービス提供装置に送信する機能を具備するだけで、サービス利用者の認証を実現することができ、コスト負担を低減することが可能である。
【0015】
また、本発明によれば、接続要求の要求元である端末装置のIPアドレス、および端末装置の端末識別子を取得して、取得されたIPアドレスと端末識別子とを対応付けて記憶し、記憶されている端末識別子を認証結果としてサービス提供装置に送信し、サービス提供装置に送信された端末識別子と、端末識別子に対応するIPアドレスとからなるレコードを削除するので、IPアドレスと端末識別子との対応関係に関するレコードを管理、維持していくためのコストの発生を防止することが可能である。
【発明を実施するための最良の形態】
【0016】
以下に添付図面を参照して、この発明に係る認証処理装置、認証処理方法および認証処理プログラムの実施例を詳細に説明する。なお、以下では、本発明に係る認証処理装置について実施例1を説明した後に、本発明に含まれる他の実施例を説明する。
【実施例1】
【0017】
以下の実施例1では、実施例1に係る認証処理装置の概要および特徴、実施例1に係る各装置の構成および各装置間の処理を順に説明し、最後に実施例1に係る効果を説明する。
【0018】
[認証処理装置の概要および特徴(実施例1)]
まず、図1を用いて、実施例1に係る認証処理装置の概要および特徴を説明する。図1は、実施例1に係る認証処理装置の概要および特徴を説明するための図である。
【0019】
実施例1に係る認証処理装置は、サービス提供装置に対して端末装置からのサービス要求があった場合に、この端末装置の認証を行って認証結果をサービス提供装置に通知することを概要とする。そして、実施例1に係る認証処理装置は、コスト負担の増加や運用の複雑化を抑制しつつ、サービス利用者の認証を実現することができる点に主たる特徴がある。
【0020】
この主たる特徴について説明すると、図1に示すように、実施例1に係る認証処理装置400は、網1(公衆電話網やインターネット等によって形成される通信網)を介して、端末装置100、ネットワークサービス装置200、およびサービス提供装置300と通信可能な状態に接続される。また、端末装置100、ネットワークサービス装置200およびサービス提供装置300も、相互に通信可能な状態に接続される。
【0021】
そして、端末装置100からサービス提供装置300にサービス要求が送信される(図1の(1)参照)、サービス提供装置300において、端末装置100に関する一般的なID/パスワード認証が実行された後、追加認証として、認証処理装置400に対する代理認証要求が送信される。
【0022】
端末装置100からリダイレクトされた代理認証要求を受信すると(図1の(2)参照)、認証処理装置400は、チャレンジ情報として認証IDを含んだチャレンジ要求を端末装置100に送信する(図1の(3)参照)。
【0023】
認証処理装置400は、チャレンジ要求を受信した端末装置100からの接続要求に応じて端末装置100との間の接続が確立される際に(図1の(4)参照)、端末装置100に一意に付与された電話番号とIPアドレスとの対応関係を検証して接続の確立を仲介するネットワークサービス装置200から、端末装置100のIPアドレスおよび電話番号を取得する(図1の(5)参照)。
【0024】
端末装置100との間の接続確立後、端末装置100からチャレンジ応答を受信すると(図1の(6)参照)、認証処理装置400は、端末装置100の認証を実行する(図1の(7)参照)。具体的には、認証処理装置400は、チャレンジ応答に含まれる認証IDとチャレンジ要求に含めた認証IDとが一致するか否かを確認するとともに、チャレンジ応答の送信元を示すIPアドレスと、ネットワークサービス装置200から先に取得していたIPアドレスとが一致するか否かを確認する。確認の結果、認証IDおよびIPアドレスが一致することが確認された場合には、認証処理装置400は、サービス要求時および認証時において、サービス要求の送信元である端末装置100のIPアドレスの同一性が保証されたものとして、ネットワークサービス装置200から先に取得していた電話番号をサービス要求元である端末装置100の電話番号として特定して、端末装置100を認証する。
【0025】
そして、認証処理装置400は、サービス要求の送信元である端末装置100の認証結果として、サービス要求元の電話番号として特定された端末装置100の電話番号をサービス提供装置300に対して送信する(図1の(8)参照)。サービス提供装置400は、端末装置100からリダイレクトされた認証結果を認証処理装置400から受け付けると、認証結果として受け付けた電話番号が正規のユーザのものであれば、端末装置100にサービスを提供する(図1の(9)参照)。
【0026】
このようなことから、実施例1に係る認証処置装置は、上述した主たる特徴のように、コスト負担の増加や運用の複雑化を抑制しつつ、サービス利用者の認証を実現することができる。
【0027】
[各装置の構成(実施例1)]
次に、図2〜図5を用いて、実施例1に係る各装置の構成を説明する。図2は、実施例1に係る端末装置の構成を示すブロック図である。図3は、実施例1に係るサービス提供装置300の構成を示すブロック図である。図4は、実施例1に係る認証処理装置の構成を示すブロック図である。図5は、実施例1に係る認証モジュール部の構成を示すブロック図である。
【0028】
図2に示すように、端末装置100は、網1を介して提供されるサービスを利用するユーザ装置であり、IPスタック部110と、SIP部120と、UAアプリケーション部130と、HTTPブラウザ部140とを備えて構成される。
【0029】
IPスタック部110は、網1を介した通信を実行する場合に、ネットワーク層とトランスポート層とをリンクさせるための通信プロトコルである。
【0030】
SIP部120は、認証処理装置400との通信の開始、変更、完了を操作するアプリケーション層のシグナリングプロトコルである。具体的には、後述するUAアプリケーションの制御のもと、認証処理装置400との間で信号のやり取りを行う。
【0031】
UAアプリケーション部130は、上記のSIP部120のシグナリングプロトコルを利用してインターネット電話やインスタントメッセージを行うアプリケーションである。具体的には、UAアプリケーション部130は、認証処理装置400からチャレンジ要求を受信すると、上記のSIP部120を介して、ネットワークサービス装置200に対して「SIP INVITE信号」を送信し、認証処理装置400に対する接続要求を行う。
【0032】
また、UAアプリケーション部130は、「SIP INVITE信号」に対する「ACK」として、ネットワークサービス装置200を介して認証処理装置400から「SIP 200 OK信号」を受信すると、上記のSIP部120によって認証処理装置400との間に確立された接続を介して、TCP信号を用いたチャレンジ応答を認証処理装置400に送信する。
【0033】
また、UAアプリケーション部130は、上記のSIP部120によって認証処理装置400との間に確立された接続を介して、チャレンジ応答に対する「ACK」を認証処理装置400から受信すると、ネットワークサービス装置200に対して「SIP BYE信号」を送信し、認証処理装置400にSIP通信の終了を通知する。
【0034】
また、UAアプリケーション部130は、「SIP BYE信号」に対する「ACK」として、ネットワークサービス装置200を介して認証処理装置400から「SIP 200 OK信号」を受信する。
【0035】
HTTPブラウザ部140は、サービス提供装置300にサービス要求を行うユーザからの操作を受け付けて起動され、HTTP(Hyper Text Transfer Protocol)を用いて、サービス提供装置300にアクセスしてサービス要求を行う。このとき、HTTPブラウザ部140は、サービス要求に必要なIDおよびパスワードの入力をユーザから受け付けて、サービス提供装置300に送信する。
【0036】
また、HTTPブラウザ部140は、認証処理装置400からチャレンジ要求を受信すると、HTTPクライアント信号を含んだ「ACK」を認証処理装置400に送信する。
【0037】
また、HTTPブラウザ部140は、サービス提供装置300から認証処理装置400宛の代理認証要求を受信すると、認証処理装置400に代理認証要求をリダイレクトするとともに、認証処理装置400からサービス提供装置300宛の認証結果を受信すると、サービス提供装置300に認証結果をリダイレクトする。
【0038】
なお、端末装置100は、例えば、パーソナルコンピュータや家庭用ゲーム機、インターネットTV、PDA、あるいは携帯電話やPHSの如き移動体通信端末に、上記した各機能を搭載することにより実現することもできる。
【0039】
ネットワークサービス装置200は、網1を形成する網装置の一つであって、網1によるサービスネットワークを提供する。
【0040】
具体的には、ネットワークサービス装置200は、認証処理装置400に対する接続要求として、端末装置100から「SIP INVITE信号」を受信すると、端末装置100の検証を行った後、認証処理装置400のIPアドレスを特定して認証処理装置400に接続して、端末装置100のIPアドレスおよび電話番号を含んだ「SIP INVITE信号」を中継し、接続要求を認証処理装置400に通知する。なお、ネットワークサービス装置200は、予め認証処理装置400に付与されている電話番号を管理しており、この電話番号を用いて、認証処理装置400のIPアドレスを特定する。
【0041】
また、ネットワークサービス装置200は、「SIP INVITE信号」に対する「ACK」として、「SIP 200 OK信号」を認証処理装置400から受信すると、「SIP 200 OK信号」を端末装置100に中継する。
【0042】
また、ネットワークサービス装置200は、「SIP BYE信号」を端末装置100から受信すると、「SIP BYE信号」を認証処理装置400に中継する。
【0043】
また、ネットワークサービス装置200は、「SIP BYE信号」に対する「ACK」として、「SIP 200 OK信号」を認証処理装置400から受信すると、「SIP 200 OK信号」を端末装置100に中継する。
【0044】
図3に示すように、サービス提供装置300は、網1を介して、端末装置100に所定のサービスを提供する装置であり、IPスタック部310と、HTTPサーバ部320と、ID/PW認証モジュール部330と、コンテンツ部340とを備えて構成される。
【0045】
IPスタック部310は、上述した端末装置100と同様に、網1を介した通信を実行する場合に、ネットワーク層とトランスポート層とをリンクさせるための通信プロトコルである。
【0046】
HTTPサーバ部320は、端末装置100との間でHTTP(Hyper Text Transfer Protocol)用いたデータ通信を行う。例えば、HTTPサーバ部320は、端末装置100からサービス要求を受信する。また、端末装置100によってリダイレクトされた認証処理装置400からの認証結果として、端末装置100の電話番号を受信する。
【0047】
ID/PW認証モジュール部330は、HTTPサーバ部320から端末装置100のIDおよびパスワードを受け付けると、そのIDおよびパスワードについて一般的なID/パスワード認証を実行する。そして、ID/パスワード認証が正常に完了した場合には、追加認証として、認証処理装置400に対する代理認証要求を送信する。
【0048】
コンテンツ部340は、サービス利用者に提供するコンテンツを管理しており、HTTPサーバ部320により端末装置100の認証結果が受信されると、認証結果として受信した端末装置100の電話番号が、サービスの提供が受けられる正規のユーザであるか否かを確認して、管理しているコンテンツをサービスとして端末装置100に提供する。
【0049】
図4に示すように、認証処理装置400は、サービス提供装置300から代理認証要求を受信して端末装置100の認証を行い、IPスタック部410と、SIP部420と、認証モジュール部430と、HTTPサーバ部440とを備えて構成される。
【0050】
IPスタック部410は、上述した端末装置100と同様に、網1を介した通信を実行する場合に、ネットワーク層とトランスポート層とをリンクさせるための通信プロトコルである。
【0051】
SIP部420は、上述した端末装置100と同様に、端末装置100との通信の開始、変更、完了を操作するアプリケーション層のシグナリングプロトコルである。
【0052】
具体的には、SIP部420は、ネットワークサービス装置200を介して端末装置100から「SIP INVITE信号」に基づく接続要求通知を受信すると、「SIP INVITE信号」に対する「ACK」として、「SIP 200 OK信号」をネットワークサービス装置200に送信する。このとき、SIP部420は、ネットワークサービス装置200から受信した接続要求通知に含まれる端末装置100のIPアドレスおよび電話番号を取得して、後述する認証モジュール部430に送出する。
【0053】
また、SIP部420は、端末装置100から受信したチャレンジ応答についての検証が後述する認証モジュール部430により完了すると、TCP信号を用いた「チャレンジ応答」に対する「ACK」を端末装置100に送信する。
【0054】
また、SIP部420は、ネットワークサービス装置200を介して端末装置100から「SIP BYE信号」を受信すると、「SIP BYE信号」に対する「ACK」として、「SIP 200 OK信号」をネットワークサービス装置200に送信する。
【0055】
認証モジュール部430は、端末装置100の認証に関する処理を実行し、図5に示すように、チャレンジ要求処理部431と、チャレンジ応答処理部432と、IPアドレス検証処理部433と、端末識別処理部434と、認証結果送信処理部435とを備えて構成される。
【0056】
なお、認証モジュール部430は、SIP部420から受け付けた端末装置100のIPアドレス(ネットワークサービス装置200から取得したIPアドレス)と、チャレンジ応答に用いられるTCP信号内のIPアドレス(チャレンジ応答の送信元を示すIPアドレス)とを対応付けて、内部的に備えられる記憶媒体等に記憶しておき、サービス提供装置300に対する認証結果の送信後、認証結果に対応するレコードを記憶媒体から削除する。
【0057】
チャレンジ要求処理部431は、端末装置100からリダイレクトされたサービス提供装置からの代理認証要求を受信すると、自動的に起動して、代理認証要求に用いられるHTTPクライアント信号内のIPアドレスを識別し、識別されたIPアドレスを宛先とするHTTPレスポンス信号を含んだチャレンジ要求を送信する。なお、HTTPレスポンス信号には、ランダムに生成した認証IDを含めておく。
【0058】
チャレンジ応答処理部432は、端末装置100との間に確立された接続を介して、TCP信号を用いたチャレンジ応答を端末装置100から受信すると、チャレンジ応答の検証を行う。具体的には、チャレンジ応答処理部432は、チャレンジ要求に用いられるHTTPレスポンス信号内の認証IDと、チャレンジ応答に用いられるTCP信号内の認証IDとが一致するか否かを検証する。
【0059】
IPアドレス検証処理部433は、チャレンジ応答処理部432による検証の結果、チャレンジ要求に用いられるHTTPレスポンス信号内の認証IDと、チャレンジ応答に用いられるTCP信号内の認証IDとが一致する場合には、IPアドレスの検証を行う。具体的には、IPアドレス検証処理部433は、SIP部420から受け付けた端末装置100のIPアドレス(ネットワークサービス装置200から取得したIPアドレス)と、チャレンジ応答に用いられるTCP信号内のIPアドレス(チャレンジ応答の送信元を示すIPアドレス)とが一致するか否かを検証する。
【0060】
端末識別処理部434は、上記のIPアドレス検証処理部433により、認証IDおよびIPアドレスの一致が確認された場合には、SIP420から受け付けた電話番号(ネットワークサービス装置200から取得した電話番号)を、サービス要求元である端末装置100の電話番号として特定する。
【0061】
認証結果送信処理部435は、端末装置100の認証結果として、端末識別処理部434により特定された端末装置100の電話番号をサービス提供装置300に送信するように、HTTPサーバ部440に指示を送る。
【0062】
HTTPサーバ部440は、端末装置100との間でHTTP(Hyper Text Transfer Protocol)用いたデータ通信を行う。例えば、HTTPサーバ部440は、認証結果送信処理部435からの指示を受け付けて、認証結果として、端末装置100の電話番号をサービス提供装置300に対して送信する。
【0063】
なお、サービス提供装置300および認証処理装置400は、既知のパーソナルコンピュータやワークステーションなどの情報処理装置に、上記した各機能を搭載することによって実現することもできる。
【0064】
[実施例1に係る各装置間の処理(実施例1)]
続いて、図6を用いて、実施例1に係る各装置間の処理の流れを説明する。図6は、実施例1に係る各装置間の処理の流れを示す図である。
【0065】
同図に示すように、端末装置100は、HTTP(Hyper Text Transfer Protocol)を用いて、サービス提供装置300にアクセスしてサービス要求を行う(ステップS601)。このとき、端末装置100は、サービス要求に必要なIDおよびパスワードの入力をユーザから受け付けて、サービス要求とともにサービス提供装置300に送信する。
【0066】
サービス提供装置300は、端末装置100のIDおよびパスワードについて、一般的なID/パスワード認証を実行する(ステップS602)。そして、ID/パスワード認証が正常に完了した場合には、追加認証として、認証処理装置400に対する代理認証要求を送信する(ステップS603)。
【0067】
端末装置100は、サービス提供装置300から認証処理装置400宛の代理認証要求を受信すると、認証処理装置400に代理認証要求をリダイレクトする(ステップS604)。
【0068】
認証処理装置400は、端末装置100からリダイレクトされたサービス提供装置からの代理認証要求を受信すると、自動的に起動して、代理認証要求に用いられるHTTPクライアント信号内のIPアドレスを識別し、識別されたIPアドレスを宛先とするHTTPレスポンス信号を含んだチャレンジ要求を送信する(ステップS605)。なお、HTTPレスポンス信号には、ランダムに生成した認証IDを含めておく。
【0069】
端末装置100は、認証処理装置400からチャレンジ要求を受信すると、HTTPクライアント信号を含んだ「ACK」を認証処理装置400に送信する(ステップS606)。
【0070】
さらに、端末装置100は、認証処理装置400からチャレンジ要求を受信すると、ネットワークサービス装置200に対して「SIP INVITE信号」を送信し、認証処理装置400に対する接続要求を行う(ステップS607)。
【0071】
ネットワークサービス装置200は、認証処理装置400に対する接続要求として、端末装置100から「SIP INVITE信号」を受信すると、端末装置100の検証を行った後(ステップS608)、認証処理装置400のIPアドレスを特定して認証処理装置400に接続して、端末装置100のIPアドレスおよび電話番号を含んだ「SIP INVITE信号」を中継し、接続要求を認証処理装置400に通知する(ステップS609)。
【0072】
認証処理装置400は、ネットワークサービス装置200を介して端末装置100から「SIP INVITE信号」に基づく接続要求通知を受信すると、「SIP INVITE信号」に対する「ACK」として、「SIP 200 OK信号」をネットワークサービス装置200に送信する(ステップS610)。このとき、認証処理装置400は、ネットワークサービス装置200から受信した接続要求通知に含まれる端末装置100のIPアドレスおよび電話番号を取得する。
【0073】
端末装置100は、ネットワークサービス装置200を介して認証処理装置400から「SIP 200 OK信号」を受信すると、認証処理装置400との間に確立された接続を介して、TCP信号を用いたチャレンジ応答を認証処理装置400に送信する(ステップS611)。
【0074】
認証処理装置400は、TCP信号を用いたチャレンジ応答を端末装置100から受信すると、チャレンジ応答の検証を行う(ステップS612)。具体的には、チャレンジ応答処理部432は、チャレンジ要求に用いられるHTTPレスポンス信号内の認証IDと、チャレンジ応答に用いられるTCP信号内の認証IDとが一致するか否かを検証する。
【0075】
認証処理装置400は、チャレンジ要求に用いられるHTTPレスポンス信号内の認証IDと、チャレンジ応答に用いられるTCP信号内の認証IDとが一致する場合には、TCP信号を用いた「チャレンジ応答」に対する「ACK」を端末装置100に送信し(ステップS613)、続いて、IPアドレスの検証を行う(ステップS614)。具体的には、ネットワークサービス装置200から取得したIPアドレスと、チャレンジ応答に用いられるTCP信号内のIPアドレス(チャレンジ応答の送信元を示すIPアドレス)とが一致するか否かを検証する。
【0076】
端末装置100は、チャレンジ応答に対する「ACK」を認証処理装置400から受信すると、ネットワークサービス装置200に対して「SIP BYE信号」を送信し、認証処理装置400にSIP通信の終了を通知する(ステップS615)。
【0077】
認証処理装置400は、ネットワークサービス装置200を介して端末装置100から「SIP BYE信号」を受信すると、「SIP BYE信号」に対する「ACK」として、「SIP 200 OK信号」をネットワークサービス装置200に送信する(ステップS616)。
【0078】
そして、認証処理装置400は、認証IDおよびIPアドレスの一致が確認された場合には、SIP部420から受け付けた電話番号(ネットワークサービス装置200から取得した電話番号)を、サービス要求元である端末装置100の電話番号として特定し、端末装置100の認証結果として、端末装置100の電話番号をサービス提供装置300に送信する(ステップS617)。
【0079】
端末装置100は、認証処理装置400からサービス提供装置300宛の認証結果を受信すると、サービス提供装置300に認証結果をリダイレクトする(ステップS618)。
【0080】
サービス提供装置300は、認証結果として受信した端末装置100の電話番号が、サービスの提供が受けられる正規のユーザであるか否かを確認して、管理しているコンテンツをサービスとして端末装置100に提供する(ステップS619)。
【0081】
[実施例1による効果]
上述してきたように、実施例1によれば、認証処理装置400は、サービス要求の要求元である端末装置の認証要求を受け付けた場合に、サービス要求の要求元である端末装置に一意に割り当てられたIPアドレスを識別して、識別されたIPアドレスを宛先とするチャレンジ要求に、チャレンジ情報を含めて送信し、サービス要求の要求元である端末装置からの接続要求に応じて端末装置との間の接続が確立される際に、接続要求の要求元である端末装置に一意に付与された端末識別子とIPアドレスとの対応関係を検証して接続の確立を仲介するネットワークサービス装置から、接続要求の要求元である端末装置のIPアドレスおよび電話番号を取得し、チャレンジ要求に対するチャレンジ応答を、接続仲介装置により確立された接続を介して端末装置から受信した場合に、チャレンジ応答に含まれるチャレンジ情報とチャレンジ要求に含めたチャレンジ情報とが一致するか否かを検証するとともに、チャレンジ応答の送信元を示すIPアドレスと接続仲介装置から取得されたIPアドレスとが一致するか否かを検証し、チャレンジ情報およびIPアドレスの一致が確認された場合には、ネットワークサービス装置から取得した電話番号を、サービス要求の送信元である端末装置の電話番号として特定して認証し、認証結果をサービス提供装置に送信するので、従来から既存の設備として通信網に配置されるネットワークサービス装置を介して取得した検証済みの情報を用いて、サービス要求時と認証時においてIPアドレスの同一性が保証された端末装置の電話番号を特定し、認証結果としてサービス提供装置に提供することができ、コスト負担の増加や運用の複雑化を抑制しつつ、サービス利用者の認証を実現することが可能である。
【0082】
また、実施例1によれば、認証結果として端末識別子をサービス提供装置に送信するので、サービス要求時と認証時においてIPアドレスの同一性が保証された端末装置の電話番号を特定して、サービス提供装置に送信する機能を具備するだけで、サービス利用者の認証を実現することができ、コスト負担を低減することが可能である。
【0083】
また、実施例1によれば、ネットワークサービス装置から取得した端末装置のIPアドレスおよび電話番号を対応付けて記憶し、記憶されている電話番号を認証結果としてサービス提供装置に送信し、サービス提供装置に送信された電話番号と、電話番号に対応するIPアドレスとからなるレコードを削除するので、IPアドレスと端末識別子との対応関係に関するレコードを管理、維持していくためのコストの発生を防止することが可能である。
【0084】
また、上記の実施例1では、端末装置100の端末識別子として電話番号を用いる場合を説明したが、本発明はこれに限定されるものではなく、端末装置100により利用されるアクセス回線を特定する情報であれば、どのような情報でも採用することができる。
【0085】
また、上記の実施例1では、認証処理装置400は、端末装置100の認証結果として、端末装置100の電話番号を送信する場合を説明したが、本発明はこれに限定されるものではない。例えば、認証処理装置400において、サービス提供が受けられるユーザの電話番号リストを参照して、最終的に特定された端末装置100の電話番号を認証し、サービス要求元の端末装置100にサービスの提供を許可するか否かを示す情報をサービス提供装置300に認証結果として送信するようにしてもよい。
【実施例2】
【0086】
さて、これまで本発明に係る認証処理装置について実施例1を説明してきたが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施例を説明する。
【0087】
(1)装置構成等
図2、図3および図5に示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、例えば、図2に示す端末装置100のSIP部120とUAアプリケーション部130とを統合する。また、図3に示すHTTPサーバ部320とID/PW認証モジュール部330とを統合する。また、図5に示す認証モジュール部430のチャレンジ応答処理部432とIPアドレス検証処理部433とを統合する。
【0088】
このようにして、各装置の各構成要素の全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよびCPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
【0089】
(2)認証処理プログラム
また、上記の実施例1で説明した認証処理装置400の各種の処理(例えば、図6等参照)は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することができる。そこで、以下では、図7を用いて、上記の実施例1に示した認証処理装置400と同様の機能を有する認証処理プログラムを実行するコンピュータの一例を説明する。図7は、認証処理プログラムを実行するコンピュータを示す図である。
【0090】
同図に示すように、認証処理装置としてコンピュータ500は、入力部510、出力部520、HDD530、RAM540およびCPU550をバス600で接続して構成される。
【0091】
ここで、入力部510は、ユーザから各種データの入力を受け付ける。出力部520は、各種情報を表示する。HDD530は、CPU550による各種処理の実行に必要な情報を記憶する。RAM540は、各種情報を一時的に記憶する。CPU550は、各種演算処理を実行する。
【0092】
そして、HDD530には、図7に示すように、上記の実施例1に示した認証処理装置400の各処理部と同様の機能を発揮する認証処理プログラム531と、認証処理用データ532とがあらかじめ記憶されている。なお、この認証処理プログラム531を適宜分散させて、ネットワークを介して通信可能に接続された他のコンピュータの記憶部に記憶させておくこともできる。
【0093】
そして、CPU550が、この認証処理プログラム531をHDD530から読み出してRAM540に展開することにより、図7に示すように、認証処理プログラム531は認証処理プロセス541として機能するようになる。そして、認証処理プロセス541は、認証処理用データ532等をHDD530から読み出して、RAM540において自身に割り当てられた領域に展開し、この展開したデータ等に基づいて各種処理を実行する。なお、認証処理プロセス541は、図5に示した認証処理装置400の認証モジュール430(チャレンジ要求処理部431と、チャレンジ応答処理部432と、IPアドレス検証処理部433と、端末識別処理部434と、認証結果送信処理部435)等において実行される処理にそれぞれ対応する。
【0094】
なお、上記した認証処理プログラム531については、必ずしも最初からHDD530に記憶させておく必要はなく、例えば、コンピュータ500に挿入されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」、さらには、公衆回線、インターネット、LAN、WANなどを介してコンピュータ500に接続される「他のコンピュータ(またはサーバ)」などに各プログラムを記憶させておき、コンピュータ500がこれらから各プログラムを読み出して実行するようにしてもよい。
【0095】
(3)認証処理方法
上記の実施例1で説明した認証処理装置400により、以下のような認証処理方法が実現される。
【0096】
すなわち、サービス要求の要求元である端末装置の認証要求を受け付けた場合に、当該サービス要求の要求元である端末装置に一意に割り当てられたIPアドレスを識別して、識別されたIPアドレスを宛先とするチャレンジ要求に、チャレンジ情報を含めて送信するチャレンジ要求送信ステップと(例えば、図6のステップS605参照)、前記サービス要求の要求元である端末装置からの接続要求に応じて、当該端末装置と前記認証処理装置との間の接続が確立される際に、当該接続要求の要求元である端末装置に一意に付与された端末識別子とIPアドレスとの対応関係を検証して接続の確立を仲介するネットワークサービス装置から、当該接続要求の要求元である端末装置のIPアドレスおよび端末識別子を取得する端末情報取得ステップと(例えば、図6のステップS609〜S610参照)、前記チャレンジ要求送信ステップにより送信されたチャレンジ要求に対するチャレンジ応答が、前記ネットワークサービス装置により確立された接続を介して端末装置から送信された場合に、チャレンジ応答に含まれるチャレンジ情報とチャレンジ要求に含まれたチャレンジ情報とが一致するか否かを検証するとともに、チャレンジ応答の送信元を示すIPアドレスと前記端末情報取得ステップにより取得されたIPアドレスとが一致するか否かを検証する検証ステップと、前記検証ステップによりチャレンジ情報およびIPアドレスの一致が確認された場合には、前記端末情報取得ステップにより取得された端末識別子を、前記サービス要求の送信元である端末装置の端末識別子として特定して認証する端末認証ステップと、前記端末認証ステップによる認証結果を前記サービス提供装置に送信する認証結果送信ステップと、を含んだ認証処理方法を実現する。
【産業上の利用可能性】
【0097】
以上のように、本発明に係る認証処理装置、認証処理方法および認証処理プログラムは、サービス提供装置に対して端末装置からのサービス要求があった場合に、当該端末装置の認証を行って認証結果をサービス提供装置に通知する場合に有用であり、特に、コスト負担の増加や運用の複雑化を抑制しつつ、サービス利用者の認証を実現することに適する。
【図面の簡単な説明】
【0098】
【図1】実施例1に係る認証処理装置の概要および特徴を説明するための図である。
【図2】実施例1に係る端末装置の構成を示すブロック図である。
【図3】実施例1に係るサービス提供装置300の構成を示すブロック図である。
【図4】実施例1に係る認証処理装置の構成を示すブロック図である。
【図5】実施例1に係る認証モジュール部の構成を示すブロック図である。
【図6】実施例1に係る各装置間の処理の流れを示す図である。
【図7】認証処理プログラムを実行するコンピュータを示す図である。
【符号の説明】
【0099】
1 網
100 端末装置
110 IPスタック部
120 SIP部
130 UAアプリケーション部
140 HTTPブラウザ部
200 ネットワークサービス装置
300 サービス提供装置
310 IPスタック部
320 HTTPサーバ部
330 ID/PW認証モジュール部
340 コンテンツ部
400 認証処理装置
410 IPスタック部
420 SIP部
430 認証モジュール部
431 チャレンジ要求処理部
432 チャレンジ応答処理部
433 IPアドレス検証処理部
434 端末識別処理部
435 認証結果送信処理部
440 HTTPサーバ部
500 コンピュータ(認証処理装置)
510 入力部
520 出力部
530 HDD(Hard Disk Drive)
531 認証処理プログラム
532 認証処理用データ
540 RAM(Random Access Memory)
541 認証処理プロセス
550 CPU(Central Processing Unit)
600 バス
【技術分野】
【0001】
この発明は、サービス提供装置に対して端末装置からのサービス要求があった場合に、当該端末装置の認証を行って認証結果をサービス提供装置に通知する認証処理装置、当該認証処理装置において実行される処理に対応した認証処理方法および認証処理プログラムに関する。
【背景技術】
【0002】
従来、ネットワークを介してサービスの提供を行う際に、サービスの不正な利用を防止し、正規のユーザに対してのみサービスを提供することを目的として、サービス提供者は、ユーザ(あるいは、ユーザが操作する端末)を認証するための仕組みを導入している。
【0003】
例えば、銀行が提供するインターネットバンキングやクレジット会社が提供するポータルサイトにおいて、サービス提供者は、エンドユーザが入力するIDとパスワードを利用してエンドユーザを認証する認証技術が存在する。
【0004】
上述した認証技術には、エンドユーザが入力するIDとパスワードを利用した認証では、IDやパスワードが比較的盗み取られやすいことなどを理由として、認証強度が不十分であるという欠点が存在する。これに対して、例えば、特許文献1では、サービス提供装置から提供されたサービスを利用する端末装置が、サービス利用に先立ってネットワークに接続する際に利用する電話回線に割り当てられた電話番号に基づいて、端末装置(あるいは、そのユーザ)が正規のサービス利用者であるか否かを認証する技術が開示されている。
【0005】
【特許文献1】特開2002−41476号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、上記した特許文献1に開示の技術は、サービス利用者の認証に際してコスト負担の増加や運用の複雑化を招くという問題点があった。すなわち、特許文献1に開示の技術は、認証のための専用機能として、端末装置の発信電話番号と通信アドレスとを対応付けて管理するとともに、他の装置に通知する機能、あるいは、他の装置から受け付けた問い合わせに含まれる通信アドレスに対応した電話番号を検索して応答する機能等を、ダイヤルアップ接続装置に新たに追加して具備させる必要があり、コスト負担の増加や運用の複雑化を招くという問題点があった。
【0007】
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、コスト負担の増加や運用の複雑化を抑制しつつ、サービス利用者の認証を実現することが可能な認証処理装置、認証処理方法および認証処理プログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
上述した課題を解決し、目的を達成するため、本発明は、サービス提供装置に対して端末装置からのサービス要求があった場合に、当該端末装置の認証を行って認証結果をサービス提供装置に通知する認証処理装置であって、前記サービス要求の要求元である端末装置の認証要求を受け付けた場合に、当該サービス要求の要求元である端末装置に一意に割り当てられたIPアドレスを識別して、識別されたIPアドレスを宛先とするチャレンジ要求に、チャレンジ情報を含めて送信するチャレンジ要求送信手段と、前記サービス要求の要求元である端末装置からの接続要求に応じて当該端末装置との間の接続が確立される際に、当該接続要求の要求元である端末装置に一意に付与された端末識別子とIPアドレスとの対応関係を検証して接続の確立を仲介する接続仲介装置から、当該接続要求の要求元である端末装置のIPアドレスおよび端末識別子を取得する端末情報取得手段と、前記チャレンジ要求送信手段により送信されたチャレンジ要求に対するチャレンジ応答を、前記接続仲介装置により確立された接続を介して端末装置から受信した場合に、チャレンジ応答に含まれるチャレンジ情報とチャレンジ要求に含めたチャレンジ情報とが一致するか否かを検証するとともに、チャレンジ応答の送信元を示すIPアドレスと前記端末情報取得手段により取得されたIPアドレスとが一致するか否かを検証する検証手段と、前記検証手段によりチャレンジ情報およびIPアドレスの一致が確認された場合には、前記端末情報取得手段により取得された端末識別子を、前記サービス要求の送信元である端末装置の端末識別子として特定して認証する端末認証手段と、前記端末認証手段による認証結果を前記サービス提供装置に送信する認証結果送信手段と、を備えたことを特徴とする。
【0009】
また、本発明は、上記の発明において、前記認証結果送信手段は、前記端末認証手段による認証結果として、前記端末情報取得手段により取得された端末識別子を前記サービス提供装置に送信することを特徴とする。
【0010】
また、本発明は、上記の発明において、前記端末情報取得手段は、前記接続要求の要求元である端末装置のIPアドレス、および端末装置の端末識別子を取得して、取得されたIPアドレスと端末識別子とを対応付けて記憶し、前記認証結果送信手段は、前記端末認証手段による認証結果として、前記端末情報取得手段により記憶されている端末識別子を前記サービス提供装置に送信し、前記認証結果送信手段により前記サービス提供装置に送信された端末識別子と、当該端末識別子に対応するIPアドレスとからなるレコードを削除する端末情報削除手段をさらに備えたことを特徴とする。
【0011】
また、本発明は、サービス提供装置に対して端末装置からのサービス要求があった場合に、認証処理装置が端末装置の認証を行って、認証結果をサービス提供装置に通知する認証処理方法であって、前記サービス要求の要求元である端末装置の認証要求を受け付けた場合に、当該サービス要求の要求元である端末装置に一意に割り当てられたIPアドレスを識別して、識別されたIPアドレスを宛先とするチャレンジ要求に、チャレンジ情報を含めて送信するチャレンジ要求送信ステップと、前記サービス要求の要求元である端末装置からの接続要求に応じて、当該端末装置と前記認証処理装置との間の接続が確立される際に、当該接続要求の要求元である端末装置に一意に付与された端末識別子とIPアドレスとの対応関係を検証して接続の確立を仲介する接続仲介装置から、当該接続要求の要求元である端末装置のIPアドレスおよび端末識別子を取得する端末情報取得ステップと、前記チャレンジ要求送信ステップにより送信されたチャレンジ要求に対するチャレンジ応答が、前記接続仲介装置により確立された接続を介して端末装置から送信された場合に、チャレンジ応答に含まれるチャレンジ情報とチャレンジ要求に含まれたチャレンジ情報とが一致するか否かを検証するとともに、チャレンジ応答の送信元を示すIPアドレスと前記端末情報取得ステップにより取得されたIPアドレスとが一致するか否かを検証する検証ステップと、前記検証ステップによりチャレンジ情報およびIPアドレスの一致が確認された場合には、前記端末情報取得ステップにより取得された端末識別子を、前記サービス要求の送信元である端末装置の端末識別子として特定して認証する端末認証ステップと、前記端末認証ステップによる認証結果を前記サービス提供装置に送信する認証結果送信ステップと、を含んだことを特徴とする。
【0012】
また、本発明は、サービス提供装置に対して端末装置からのサービス要求があった場合に、当該端末装置の認証を行って認証結果をサービス提供装置に通知する処理をコンピュータに実行させる認証処理プログラムであって、前記サービス要求の要求元である端末装置の認証要求を受け付けた場合に、当該サービス要求の要求元である端末装置に一意に割り当てられたIPアドレスを識別して、識別されたIPアドレスを宛先とするチャレンジ要求に、チャレンジ情報を含めて送信するチャレンジ要求送信手順と、前記サービス要求の要求元である端末装置からの接続要求に応じて当該端末装置との間の接続が確立される際に、当該接続要求の要求元である端末装置に一意に付与された端末識別子とIPアドレスとの対応関係を検証して接続の確立を仲介する接続仲介装置から、当該接続要求の要求元である端末装置のIPアドレスおよび端末識別子を取得する端末情報取得手順と、前記チャレンジ要求送信手順により送信されたチャレンジ要求に対するチャレンジ応答を、前記接続仲介装置により確立された接続を介して端末装置から受信した場合に、チャレンジ応答に含まれるチャレンジ情報とチャレンジ要求に含めたチャレンジ情報とが一致するか否かを検証するとともに、チャレンジ応答の送信元を示すIPアドレスと前記端末情報取得手順により取得されたIPアドレスとが一致するか否かを検証する検証手順と、前記検証手順によりチャレンジ情報およびIPアドレスの一致が確認された場合には、前記端末情報取得手順により取得された端末識別子を、前記サービス要求の送信元である端末装置の端末識別子として特定して認証する端末認証手順と、前記端末認証手順による認証結果を前記サービス提供装置に送信する認証結果送信手順と、をコンピュータに実行させることを特徴とする。
【発明の効果】
【0013】
本発明によれば、サービス要求の要求元である端末装置の認証要求を受け付けた場合に、サービス要求の要求元である端末装置に一意に割り当てられたIPアドレスを識別して、識別されたIPアドレスを宛先とするチャレンジ要求に、チャレンジ情報を含めて送信し、サービス要求の要求元である端末装置からの接続要求に応じて端末装置との間の接続が確立される際に、接続要求の要求元である端末装置に一意に付与された端末識別子とIPアドレスとの対応関係を検証して接続の確立を仲介する接続仲介装置から、接続要求の要求元である端末装置のIPアドレスおよび端末識別子を取得し、チャレンジ要求に対するチャレンジ応答を、接続仲介装置により確立された接続を介して端末装置から受信した場合に、チャレンジ応答に含まれるチャレンジ情報とチャレンジ要求に含めたチャレンジ情報とが一致するか否かを検証するとともに、チャレンジ応答の送信元を示すIPアドレスと接続仲介装置から取得されたIPアドレスとが一致するか否かを検証し、チャレンジ情報およびIPアドレスの一致が確認された場合には、接続仲介装置から取得した端末識別子を、サービス要求の送信元である端末装置の端末識別子として特定して認証し、認証結果をサービス提供装置に送信するので、従来から既存の設備として通信網に配置される接続仲介装置を介して取得した検証済みの情報を用いて、サービス要求時と認証時においてIPアドレスの同一性が保証された端末装置の端末識別子を特定して得られる認証結果をサービス提供装置に提供することができ、コスト負担の増加や運用の複雑化を抑制しつつ、サービス利用者の認証を実現することが可能である。
【0014】
また、本発明によれば、認証結果として端末識別子をサービス提供装置に送信するので、サービス要求時と認証時においてIPアドレスの同一性が保証された端末装置の電話番号を特定して、サービス提供装置に送信する機能を具備するだけで、サービス利用者の認証を実現することができ、コスト負担を低減することが可能である。
【0015】
また、本発明によれば、接続要求の要求元である端末装置のIPアドレス、および端末装置の端末識別子を取得して、取得されたIPアドレスと端末識別子とを対応付けて記憶し、記憶されている端末識別子を認証結果としてサービス提供装置に送信し、サービス提供装置に送信された端末識別子と、端末識別子に対応するIPアドレスとからなるレコードを削除するので、IPアドレスと端末識別子との対応関係に関するレコードを管理、維持していくためのコストの発生を防止することが可能である。
【発明を実施するための最良の形態】
【0016】
以下に添付図面を参照して、この発明に係る認証処理装置、認証処理方法および認証処理プログラムの実施例を詳細に説明する。なお、以下では、本発明に係る認証処理装置について実施例1を説明した後に、本発明に含まれる他の実施例を説明する。
【実施例1】
【0017】
以下の実施例1では、実施例1に係る認証処理装置の概要および特徴、実施例1に係る各装置の構成および各装置間の処理を順に説明し、最後に実施例1に係る効果を説明する。
【0018】
[認証処理装置の概要および特徴(実施例1)]
まず、図1を用いて、実施例1に係る認証処理装置の概要および特徴を説明する。図1は、実施例1に係る認証処理装置の概要および特徴を説明するための図である。
【0019】
実施例1に係る認証処理装置は、サービス提供装置に対して端末装置からのサービス要求があった場合に、この端末装置の認証を行って認証結果をサービス提供装置に通知することを概要とする。そして、実施例1に係る認証処理装置は、コスト負担の増加や運用の複雑化を抑制しつつ、サービス利用者の認証を実現することができる点に主たる特徴がある。
【0020】
この主たる特徴について説明すると、図1に示すように、実施例1に係る認証処理装置400は、網1(公衆電話網やインターネット等によって形成される通信網)を介して、端末装置100、ネットワークサービス装置200、およびサービス提供装置300と通信可能な状態に接続される。また、端末装置100、ネットワークサービス装置200およびサービス提供装置300も、相互に通信可能な状態に接続される。
【0021】
そして、端末装置100からサービス提供装置300にサービス要求が送信される(図1の(1)参照)、サービス提供装置300において、端末装置100に関する一般的なID/パスワード認証が実行された後、追加認証として、認証処理装置400に対する代理認証要求が送信される。
【0022】
端末装置100からリダイレクトされた代理認証要求を受信すると(図1の(2)参照)、認証処理装置400は、チャレンジ情報として認証IDを含んだチャレンジ要求を端末装置100に送信する(図1の(3)参照)。
【0023】
認証処理装置400は、チャレンジ要求を受信した端末装置100からの接続要求に応じて端末装置100との間の接続が確立される際に(図1の(4)参照)、端末装置100に一意に付与された電話番号とIPアドレスとの対応関係を検証して接続の確立を仲介するネットワークサービス装置200から、端末装置100のIPアドレスおよび電話番号を取得する(図1の(5)参照)。
【0024】
端末装置100との間の接続確立後、端末装置100からチャレンジ応答を受信すると(図1の(6)参照)、認証処理装置400は、端末装置100の認証を実行する(図1の(7)参照)。具体的には、認証処理装置400は、チャレンジ応答に含まれる認証IDとチャレンジ要求に含めた認証IDとが一致するか否かを確認するとともに、チャレンジ応答の送信元を示すIPアドレスと、ネットワークサービス装置200から先に取得していたIPアドレスとが一致するか否かを確認する。確認の結果、認証IDおよびIPアドレスが一致することが確認された場合には、認証処理装置400は、サービス要求時および認証時において、サービス要求の送信元である端末装置100のIPアドレスの同一性が保証されたものとして、ネットワークサービス装置200から先に取得していた電話番号をサービス要求元である端末装置100の電話番号として特定して、端末装置100を認証する。
【0025】
そして、認証処理装置400は、サービス要求の送信元である端末装置100の認証結果として、サービス要求元の電話番号として特定された端末装置100の電話番号をサービス提供装置300に対して送信する(図1の(8)参照)。サービス提供装置400は、端末装置100からリダイレクトされた認証結果を認証処理装置400から受け付けると、認証結果として受け付けた電話番号が正規のユーザのものであれば、端末装置100にサービスを提供する(図1の(9)参照)。
【0026】
このようなことから、実施例1に係る認証処置装置は、上述した主たる特徴のように、コスト負担の増加や運用の複雑化を抑制しつつ、サービス利用者の認証を実現することができる。
【0027】
[各装置の構成(実施例1)]
次に、図2〜図5を用いて、実施例1に係る各装置の構成を説明する。図2は、実施例1に係る端末装置の構成を示すブロック図である。図3は、実施例1に係るサービス提供装置300の構成を示すブロック図である。図4は、実施例1に係る認証処理装置の構成を示すブロック図である。図5は、実施例1に係る認証モジュール部の構成を示すブロック図である。
【0028】
図2に示すように、端末装置100は、網1を介して提供されるサービスを利用するユーザ装置であり、IPスタック部110と、SIP部120と、UAアプリケーション部130と、HTTPブラウザ部140とを備えて構成される。
【0029】
IPスタック部110は、網1を介した通信を実行する場合に、ネットワーク層とトランスポート層とをリンクさせるための通信プロトコルである。
【0030】
SIP部120は、認証処理装置400との通信の開始、変更、完了を操作するアプリケーション層のシグナリングプロトコルである。具体的には、後述するUAアプリケーションの制御のもと、認証処理装置400との間で信号のやり取りを行う。
【0031】
UAアプリケーション部130は、上記のSIP部120のシグナリングプロトコルを利用してインターネット電話やインスタントメッセージを行うアプリケーションである。具体的には、UAアプリケーション部130は、認証処理装置400からチャレンジ要求を受信すると、上記のSIP部120を介して、ネットワークサービス装置200に対して「SIP INVITE信号」を送信し、認証処理装置400に対する接続要求を行う。
【0032】
また、UAアプリケーション部130は、「SIP INVITE信号」に対する「ACK」として、ネットワークサービス装置200を介して認証処理装置400から「SIP 200 OK信号」を受信すると、上記のSIP部120によって認証処理装置400との間に確立された接続を介して、TCP信号を用いたチャレンジ応答を認証処理装置400に送信する。
【0033】
また、UAアプリケーション部130は、上記のSIP部120によって認証処理装置400との間に確立された接続を介して、チャレンジ応答に対する「ACK」を認証処理装置400から受信すると、ネットワークサービス装置200に対して「SIP BYE信号」を送信し、認証処理装置400にSIP通信の終了を通知する。
【0034】
また、UAアプリケーション部130は、「SIP BYE信号」に対する「ACK」として、ネットワークサービス装置200を介して認証処理装置400から「SIP 200 OK信号」を受信する。
【0035】
HTTPブラウザ部140は、サービス提供装置300にサービス要求を行うユーザからの操作を受け付けて起動され、HTTP(Hyper Text Transfer Protocol)を用いて、サービス提供装置300にアクセスしてサービス要求を行う。このとき、HTTPブラウザ部140は、サービス要求に必要なIDおよびパスワードの入力をユーザから受け付けて、サービス提供装置300に送信する。
【0036】
また、HTTPブラウザ部140は、認証処理装置400からチャレンジ要求を受信すると、HTTPクライアント信号を含んだ「ACK」を認証処理装置400に送信する。
【0037】
また、HTTPブラウザ部140は、サービス提供装置300から認証処理装置400宛の代理認証要求を受信すると、認証処理装置400に代理認証要求をリダイレクトするとともに、認証処理装置400からサービス提供装置300宛の認証結果を受信すると、サービス提供装置300に認証結果をリダイレクトする。
【0038】
なお、端末装置100は、例えば、パーソナルコンピュータや家庭用ゲーム機、インターネットTV、PDA、あるいは携帯電話やPHSの如き移動体通信端末に、上記した各機能を搭載することにより実現することもできる。
【0039】
ネットワークサービス装置200は、網1を形成する網装置の一つであって、網1によるサービスネットワークを提供する。
【0040】
具体的には、ネットワークサービス装置200は、認証処理装置400に対する接続要求として、端末装置100から「SIP INVITE信号」を受信すると、端末装置100の検証を行った後、認証処理装置400のIPアドレスを特定して認証処理装置400に接続して、端末装置100のIPアドレスおよび電話番号を含んだ「SIP INVITE信号」を中継し、接続要求を認証処理装置400に通知する。なお、ネットワークサービス装置200は、予め認証処理装置400に付与されている電話番号を管理しており、この電話番号を用いて、認証処理装置400のIPアドレスを特定する。
【0041】
また、ネットワークサービス装置200は、「SIP INVITE信号」に対する「ACK」として、「SIP 200 OK信号」を認証処理装置400から受信すると、「SIP 200 OK信号」を端末装置100に中継する。
【0042】
また、ネットワークサービス装置200は、「SIP BYE信号」を端末装置100から受信すると、「SIP BYE信号」を認証処理装置400に中継する。
【0043】
また、ネットワークサービス装置200は、「SIP BYE信号」に対する「ACK」として、「SIP 200 OK信号」を認証処理装置400から受信すると、「SIP 200 OK信号」を端末装置100に中継する。
【0044】
図3に示すように、サービス提供装置300は、網1を介して、端末装置100に所定のサービスを提供する装置であり、IPスタック部310と、HTTPサーバ部320と、ID/PW認証モジュール部330と、コンテンツ部340とを備えて構成される。
【0045】
IPスタック部310は、上述した端末装置100と同様に、網1を介した通信を実行する場合に、ネットワーク層とトランスポート層とをリンクさせるための通信プロトコルである。
【0046】
HTTPサーバ部320は、端末装置100との間でHTTP(Hyper Text Transfer Protocol)用いたデータ通信を行う。例えば、HTTPサーバ部320は、端末装置100からサービス要求を受信する。また、端末装置100によってリダイレクトされた認証処理装置400からの認証結果として、端末装置100の電話番号を受信する。
【0047】
ID/PW認証モジュール部330は、HTTPサーバ部320から端末装置100のIDおよびパスワードを受け付けると、そのIDおよびパスワードについて一般的なID/パスワード認証を実行する。そして、ID/パスワード認証が正常に完了した場合には、追加認証として、認証処理装置400に対する代理認証要求を送信する。
【0048】
コンテンツ部340は、サービス利用者に提供するコンテンツを管理しており、HTTPサーバ部320により端末装置100の認証結果が受信されると、認証結果として受信した端末装置100の電話番号が、サービスの提供が受けられる正規のユーザであるか否かを確認して、管理しているコンテンツをサービスとして端末装置100に提供する。
【0049】
図4に示すように、認証処理装置400は、サービス提供装置300から代理認証要求を受信して端末装置100の認証を行い、IPスタック部410と、SIP部420と、認証モジュール部430と、HTTPサーバ部440とを備えて構成される。
【0050】
IPスタック部410は、上述した端末装置100と同様に、網1を介した通信を実行する場合に、ネットワーク層とトランスポート層とをリンクさせるための通信プロトコルである。
【0051】
SIP部420は、上述した端末装置100と同様に、端末装置100との通信の開始、変更、完了を操作するアプリケーション層のシグナリングプロトコルである。
【0052】
具体的には、SIP部420は、ネットワークサービス装置200を介して端末装置100から「SIP INVITE信号」に基づく接続要求通知を受信すると、「SIP INVITE信号」に対する「ACK」として、「SIP 200 OK信号」をネットワークサービス装置200に送信する。このとき、SIP部420は、ネットワークサービス装置200から受信した接続要求通知に含まれる端末装置100のIPアドレスおよび電話番号を取得して、後述する認証モジュール部430に送出する。
【0053】
また、SIP部420は、端末装置100から受信したチャレンジ応答についての検証が後述する認証モジュール部430により完了すると、TCP信号を用いた「チャレンジ応答」に対する「ACK」を端末装置100に送信する。
【0054】
また、SIP部420は、ネットワークサービス装置200を介して端末装置100から「SIP BYE信号」を受信すると、「SIP BYE信号」に対する「ACK」として、「SIP 200 OK信号」をネットワークサービス装置200に送信する。
【0055】
認証モジュール部430は、端末装置100の認証に関する処理を実行し、図5に示すように、チャレンジ要求処理部431と、チャレンジ応答処理部432と、IPアドレス検証処理部433と、端末識別処理部434と、認証結果送信処理部435とを備えて構成される。
【0056】
なお、認証モジュール部430は、SIP部420から受け付けた端末装置100のIPアドレス(ネットワークサービス装置200から取得したIPアドレス)と、チャレンジ応答に用いられるTCP信号内のIPアドレス(チャレンジ応答の送信元を示すIPアドレス)とを対応付けて、内部的に備えられる記憶媒体等に記憶しておき、サービス提供装置300に対する認証結果の送信後、認証結果に対応するレコードを記憶媒体から削除する。
【0057】
チャレンジ要求処理部431は、端末装置100からリダイレクトされたサービス提供装置からの代理認証要求を受信すると、自動的に起動して、代理認証要求に用いられるHTTPクライアント信号内のIPアドレスを識別し、識別されたIPアドレスを宛先とするHTTPレスポンス信号を含んだチャレンジ要求を送信する。なお、HTTPレスポンス信号には、ランダムに生成した認証IDを含めておく。
【0058】
チャレンジ応答処理部432は、端末装置100との間に確立された接続を介して、TCP信号を用いたチャレンジ応答を端末装置100から受信すると、チャレンジ応答の検証を行う。具体的には、チャレンジ応答処理部432は、チャレンジ要求に用いられるHTTPレスポンス信号内の認証IDと、チャレンジ応答に用いられるTCP信号内の認証IDとが一致するか否かを検証する。
【0059】
IPアドレス検証処理部433は、チャレンジ応答処理部432による検証の結果、チャレンジ要求に用いられるHTTPレスポンス信号内の認証IDと、チャレンジ応答に用いられるTCP信号内の認証IDとが一致する場合には、IPアドレスの検証を行う。具体的には、IPアドレス検証処理部433は、SIP部420から受け付けた端末装置100のIPアドレス(ネットワークサービス装置200から取得したIPアドレス)と、チャレンジ応答に用いられるTCP信号内のIPアドレス(チャレンジ応答の送信元を示すIPアドレス)とが一致するか否かを検証する。
【0060】
端末識別処理部434は、上記のIPアドレス検証処理部433により、認証IDおよびIPアドレスの一致が確認された場合には、SIP420から受け付けた電話番号(ネットワークサービス装置200から取得した電話番号)を、サービス要求元である端末装置100の電話番号として特定する。
【0061】
認証結果送信処理部435は、端末装置100の認証結果として、端末識別処理部434により特定された端末装置100の電話番号をサービス提供装置300に送信するように、HTTPサーバ部440に指示を送る。
【0062】
HTTPサーバ部440は、端末装置100との間でHTTP(Hyper Text Transfer Protocol)用いたデータ通信を行う。例えば、HTTPサーバ部440は、認証結果送信処理部435からの指示を受け付けて、認証結果として、端末装置100の電話番号をサービス提供装置300に対して送信する。
【0063】
なお、サービス提供装置300および認証処理装置400は、既知のパーソナルコンピュータやワークステーションなどの情報処理装置に、上記した各機能を搭載することによって実現することもできる。
【0064】
[実施例1に係る各装置間の処理(実施例1)]
続いて、図6を用いて、実施例1に係る各装置間の処理の流れを説明する。図6は、実施例1に係る各装置間の処理の流れを示す図である。
【0065】
同図に示すように、端末装置100は、HTTP(Hyper Text Transfer Protocol)を用いて、サービス提供装置300にアクセスしてサービス要求を行う(ステップS601)。このとき、端末装置100は、サービス要求に必要なIDおよびパスワードの入力をユーザから受け付けて、サービス要求とともにサービス提供装置300に送信する。
【0066】
サービス提供装置300は、端末装置100のIDおよびパスワードについて、一般的なID/パスワード認証を実行する(ステップS602)。そして、ID/パスワード認証が正常に完了した場合には、追加認証として、認証処理装置400に対する代理認証要求を送信する(ステップS603)。
【0067】
端末装置100は、サービス提供装置300から認証処理装置400宛の代理認証要求を受信すると、認証処理装置400に代理認証要求をリダイレクトする(ステップS604)。
【0068】
認証処理装置400は、端末装置100からリダイレクトされたサービス提供装置からの代理認証要求を受信すると、自動的に起動して、代理認証要求に用いられるHTTPクライアント信号内のIPアドレスを識別し、識別されたIPアドレスを宛先とするHTTPレスポンス信号を含んだチャレンジ要求を送信する(ステップS605)。なお、HTTPレスポンス信号には、ランダムに生成した認証IDを含めておく。
【0069】
端末装置100は、認証処理装置400からチャレンジ要求を受信すると、HTTPクライアント信号を含んだ「ACK」を認証処理装置400に送信する(ステップS606)。
【0070】
さらに、端末装置100は、認証処理装置400からチャレンジ要求を受信すると、ネットワークサービス装置200に対して「SIP INVITE信号」を送信し、認証処理装置400に対する接続要求を行う(ステップS607)。
【0071】
ネットワークサービス装置200は、認証処理装置400に対する接続要求として、端末装置100から「SIP INVITE信号」を受信すると、端末装置100の検証を行った後(ステップS608)、認証処理装置400のIPアドレスを特定して認証処理装置400に接続して、端末装置100のIPアドレスおよび電話番号を含んだ「SIP INVITE信号」を中継し、接続要求を認証処理装置400に通知する(ステップS609)。
【0072】
認証処理装置400は、ネットワークサービス装置200を介して端末装置100から「SIP INVITE信号」に基づく接続要求通知を受信すると、「SIP INVITE信号」に対する「ACK」として、「SIP 200 OK信号」をネットワークサービス装置200に送信する(ステップS610)。このとき、認証処理装置400は、ネットワークサービス装置200から受信した接続要求通知に含まれる端末装置100のIPアドレスおよび電話番号を取得する。
【0073】
端末装置100は、ネットワークサービス装置200を介して認証処理装置400から「SIP 200 OK信号」を受信すると、認証処理装置400との間に確立された接続を介して、TCP信号を用いたチャレンジ応答を認証処理装置400に送信する(ステップS611)。
【0074】
認証処理装置400は、TCP信号を用いたチャレンジ応答を端末装置100から受信すると、チャレンジ応答の検証を行う(ステップS612)。具体的には、チャレンジ応答処理部432は、チャレンジ要求に用いられるHTTPレスポンス信号内の認証IDと、チャレンジ応答に用いられるTCP信号内の認証IDとが一致するか否かを検証する。
【0075】
認証処理装置400は、チャレンジ要求に用いられるHTTPレスポンス信号内の認証IDと、チャレンジ応答に用いられるTCP信号内の認証IDとが一致する場合には、TCP信号を用いた「チャレンジ応答」に対する「ACK」を端末装置100に送信し(ステップS613)、続いて、IPアドレスの検証を行う(ステップS614)。具体的には、ネットワークサービス装置200から取得したIPアドレスと、チャレンジ応答に用いられるTCP信号内のIPアドレス(チャレンジ応答の送信元を示すIPアドレス)とが一致するか否かを検証する。
【0076】
端末装置100は、チャレンジ応答に対する「ACK」を認証処理装置400から受信すると、ネットワークサービス装置200に対して「SIP BYE信号」を送信し、認証処理装置400にSIP通信の終了を通知する(ステップS615)。
【0077】
認証処理装置400は、ネットワークサービス装置200を介して端末装置100から「SIP BYE信号」を受信すると、「SIP BYE信号」に対する「ACK」として、「SIP 200 OK信号」をネットワークサービス装置200に送信する(ステップS616)。
【0078】
そして、認証処理装置400は、認証IDおよびIPアドレスの一致が確認された場合には、SIP部420から受け付けた電話番号(ネットワークサービス装置200から取得した電話番号)を、サービス要求元である端末装置100の電話番号として特定し、端末装置100の認証結果として、端末装置100の電話番号をサービス提供装置300に送信する(ステップS617)。
【0079】
端末装置100は、認証処理装置400からサービス提供装置300宛の認証結果を受信すると、サービス提供装置300に認証結果をリダイレクトする(ステップS618)。
【0080】
サービス提供装置300は、認証結果として受信した端末装置100の電話番号が、サービスの提供が受けられる正規のユーザであるか否かを確認して、管理しているコンテンツをサービスとして端末装置100に提供する(ステップS619)。
【0081】
[実施例1による効果]
上述してきたように、実施例1によれば、認証処理装置400は、サービス要求の要求元である端末装置の認証要求を受け付けた場合に、サービス要求の要求元である端末装置に一意に割り当てられたIPアドレスを識別して、識別されたIPアドレスを宛先とするチャレンジ要求に、チャレンジ情報を含めて送信し、サービス要求の要求元である端末装置からの接続要求に応じて端末装置との間の接続が確立される際に、接続要求の要求元である端末装置に一意に付与された端末識別子とIPアドレスとの対応関係を検証して接続の確立を仲介するネットワークサービス装置から、接続要求の要求元である端末装置のIPアドレスおよび電話番号を取得し、チャレンジ要求に対するチャレンジ応答を、接続仲介装置により確立された接続を介して端末装置から受信した場合に、チャレンジ応答に含まれるチャレンジ情報とチャレンジ要求に含めたチャレンジ情報とが一致するか否かを検証するとともに、チャレンジ応答の送信元を示すIPアドレスと接続仲介装置から取得されたIPアドレスとが一致するか否かを検証し、チャレンジ情報およびIPアドレスの一致が確認された場合には、ネットワークサービス装置から取得した電話番号を、サービス要求の送信元である端末装置の電話番号として特定して認証し、認証結果をサービス提供装置に送信するので、従来から既存の設備として通信網に配置されるネットワークサービス装置を介して取得した検証済みの情報を用いて、サービス要求時と認証時においてIPアドレスの同一性が保証された端末装置の電話番号を特定し、認証結果としてサービス提供装置に提供することができ、コスト負担の増加や運用の複雑化を抑制しつつ、サービス利用者の認証を実現することが可能である。
【0082】
また、実施例1によれば、認証結果として端末識別子をサービス提供装置に送信するので、サービス要求時と認証時においてIPアドレスの同一性が保証された端末装置の電話番号を特定して、サービス提供装置に送信する機能を具備するだけで、サービス利用者の認証を実現することができ、コスト負担を低減することが可能である。
【0083】
また、実施例1によれば、ネットワークサービス装置から取得した端末装置のIPアドレスおよび電話番号を対応付けて記憶し、記憶されている電話番号を認証結果としてサービス提供装置に送信し、サービス提供装置に送信された電話番号と、電話番号に対応するIPアドレスとからなるレコードを削除するので、IPアドレスと端末識別子との対応関係に関するレコードを管理、維持していくためのコストの発生を防止することが可能である。
【0084】
また、上記の実施例1では、端末装置100の端末識別子として電話番号を用いる場合を説明したが、本発明はこれに限定されるものではなく、端末装置100により利用されるアクセス回線を特定する情報であれば、どのような情報でも採用することができる。
【0085】
また、上記の実施例1では、認証処理装置400は、端末装置100の認証結果として、端末装置100の電話番号を送信する場合を説明したが、本発明はこれに限定されるものではない。例えば、認証処理装置400において、サービス提供が受けられるユーザの電話番号リストを参照して、最終的に特定された端末装置100の電話番号を認証し、サービス要求元の端末装置100にサービスの提供を許可するか否かを示す情報をサービス提供装置300に認証結果として送信するようにしてもよい。
【実施例2】
【0086】
さて、これまで本発明に係る認証処理装置について実施例1を説明してきたが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施例を説明する。
【0087】
(1)装置構成等
図2、図3および図5に示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、例えば、図2に示す端末装置100のSIP部120とUAアプリケーション部130とを統合する。また、図3に示すHTTPサーバ部320とID/PW認証モジュール部330とを統合する。また、図5に示す認証モジュール部430のチャレンジ応答処理部432とIPアドレス検証処理部433とを統合する。
【0088】
このようにして、各装置の各構成要素の全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよびCPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
【0089】
(2)認証処理プログラム
また、上記の実施例1で説明した認証処理装置400の各種の処理(例えば、図6等参照)は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することができる。そこで、以下では、図7を用いて、上記の実施例1に示した認証処理装置400と同様の機能を有する認証処理プログラムを実行するコンピュータの一例を説明する。図7は、認証処理プログラムを実行するコンピュータを示す図である。
【0090】
同図に示すように、認証処理装置としてコンピュータ500は、入力部510、出力部520、HDD530、RAM540およびCPU550をバス600で接続して構成される。
【0091】
ここで、入力部510は、ユーザから各種データの入力を受け付ける。出力部520は、各種情報を表示する。HDD530は、CPU550による各種処理の実行に必要な情報を記憶する。RAM540は、各種情報を一時的に記憶する。CPU550は、各種演算処理を実行する。
【0092】
そして、HDD530には、図7に示すように、上記の実施例1に示した認証処理装置400の各処理部と同様の機能を発揮する認証処理プログラム531と、認証処理用データ532とがあらかじめ記憶されている。なお、この認証処理プログラム531を適宜分散させて、ネットワークを介して通信可能に接続された他のコンピュータの記憶部に記憶させておくこともできる。
【0093】
そして、CPU550が、この認証処理プログラム531をHDD530から読み出してRAM540に展開することにより、図7に示すように、認証処理プログラム531は認証処理プロセス541として機能するようになる。そして、認証処理プロセス541は、認証処理用データ532等をHDD530から読み出して、RAM540において自身に割り当てられた領域に展開し、この展開したデータ等に基づいて各種処理を実行する。なお、認証処理プロセス541は、図5に示した認証処理装置400の認証モジュール430(チャレンジ要求処理部431と、チャレンジ応答処理部432と、IPアドレス検証処理部433と、端末識別処理部434と、認証結果送信処理部435)等において実行される処理にそれぞれ対応する。
【0094】
なお、上記した認証処理プログラム531については、必ずしも最初からHDD530に記憶させておく必要はなく、例えば、コンピュータ500に挿入されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」、さらには、公衆回線、インターネット、LAN、WANなどを介してコンピュータ500に接続される「他のコンピュータ(またはサーバ)」などに各プログラムを記憶させておき、コンピュータ500がこれらから各プログラムを読み出して実行するようにしてもよい。
【0095】
(3)認証処理方法
上記の実施例1で説明した認証処理装置400により、以下のような認証処理方法が実現される。
【0096】
すなわち、サービス要求の要求元である端末装置の認証要求を受け付けた場合に、当該サービス要求の要求元である端末装置に一意に割り当てられたIPアドレスを識別して、識別されたIPアドレスを宛先とするチャレンジ要求に、チャレンジ情報を含めて送信するチャレンジ要求送信ステップと(例えば、図6のステップS605参照)、前記サービス要求の要求元である端末装置からの接続要求に応じて、当該端末装置と前記認証処理装置との間の接続が確立される際に、当該接続要求の要求元である端末装置に一意に付与された端末識別子とIPアドレスとの対応関係を検証して接続の確立を仲介するネットワークサービス装置から、当該接続要求の要求元である端末装置のIPアドレスおよび端末識別子を取得する端末情報取得ステップと(例えば、図6のステップS609〜S610参照)、前記チャレンジ要求送信ステップにより送信されたチャレンジ要求に対するチャレンジ応答が、前記ネットワークサービス装置により確立された接続を介して端末装置から送信された場合に、チャレンジ応答に含まれるチャレンジ情報とチャレンジ要求に含まれたチャレンジ情報とが一致するか否かを検証するとともに、チャレンジ応答の送信元を示すIPアドレスと前記端末情報取得ステップにより取得されたIPアドレスとが一致するか否かを検証する検証ステップと、前記検証ステップによりチャレンジ情報およびIPアドレスの一致が確認された場合には、前記端末情報取得ステップにより取得された端末識別子を、前記サービス要求の送信元である端末装置の端末識別子として特定して認証する端末認証ステップと、前記端末認証ステップによる認証結果を前記サービス提供装置に送信する認証結果送信ステップと、を含んだ認証処理方法を実現する。
【産業上の利用可能性】
【0097】
以上のように、本発明に係る認証処理装置、認証処理方法および認証処理プログラムは、サービス提供装置に対して端末装置からのサービス要求があった場合に、当該端末装置の認証を行って認証結果をサービス提供装置に通知する場合に有用であり、特に、コスト負担の増加や運用の複雑化を抑制しつつ、サービス利用者の認証を実現することに適する。
【図面の簡単な説明】
【0098】
【図1】実施例1に係る認証処理装置の概要および特徴を説明するための図である。
【図2】実施例1に係る端末装置の構成を示すブロック図である。
【図3】実施例1に係るサービス提供装置300の構成を示すブロック図である。
【図4】実施例1に係る認証処理装置の構成を示すブロック図である。
【図5】実施例1に係る認証モジュール部の構成を示すブロック図である。
【図6】実施例1に係る各装置間の処理の流れを示す図である。
【図7】認証処理プログラムを実行するコンピュータを示す図である。
【符号の説明】
【0099】
1 網
100 端末装置
110 IPスタック部
120 SIP部
130 UAアプリケーション部
140 HTTPブラウザ部
200 ネットワークサービス装置
300 サービス提供装置
310 IPスタック部
320 HTTPサーバ部
330 ID/PW認証モジュール部
340 コンテンツ部
400 認証処理装置
410 IPスタック部
420 SIP部
430 認証モジュール部
431 チャレンジ要求処理部
432 チャレンジ応答処理部
433 IPアドレス検証処理部
434 端末識別処理部
435 認証結果送信処理部
440 HTTPサーバ部
500 コンピュータ(認証処理装置)
510 入力部
520 出力部
530 HDD(Hard Disk Drive)
531 認証処理プログラム
532 認証処理用データ
540 RAM(Random Access Memory)
541 認証処理プロセス
550 CPU(Central Processing Unit)
600 バス
【特許請求の範囲】
【請求項1】
サービス提供装置に対して端末装置からのサービス要求があった場合に、当該端末装置の認証を行って認証結果をサービス提供装置に通知する認証処理装置であって、
前記サービス要求の要求元である端末装置の認証要求を受け付けた場合に、当該サービス要求の要求元である端末装置に一意に割り当てられたIPアドレスを識別して、識別されたIPアドレスを宛先とするチャレンジ要求に、チャレンジ情報を含めて送信するチャレンジ要求送信手段と、
前記サービス要求の要求元である端末装置からの接続要求に応じて当該端末装置との間の接続が確立される際に、当該接続要求の要求元である端末装置に一意に付与された端末識別子とIPアドレスとの対応関係を検証して接続の確立を仲介する接続仲介装置から、当該接続要求の要求元である端末装置のIPアドレスおよび端末識別子を取得する端末情報取得手段と、
前記チャレンジ要求送信手段により送信されたチャレンジ要求に対するチャレンジ応答を、前記接続仲介装置により確立された接続を介して端末装置から受信した場合に、チャレンジ応答に含まれるチャレンジ情報とチャレンジ要求に含めたチャレンジ情報とが一致するか否かを検証するとともに、チャレンジ応答の送信元を示すIPアドレスと前記端末情報取得手段により取得されたIPアドレスとが一致するか否かを検証する検証手段と、
前記検証手段によりチャレンジ情報およびIPアドレスの一致が確認された場合には、前記端末情報取得手段により取得された端末識別子を、前記サービス要求の送信元である端末装置の端末識別子として特定して認証する端末認証手段と、
前記端末認証手段による認証結果を前記サービス提供装置に送信する認証結果送信手段と、
を備えたことを特徴とする認証処理装置。
【請求項2】
前記認証結果送信手段は、前記端末認証手段による認証結果として、前記端末情報取得手段により取得された端末識別子を前記サービス提供装置に送信することを特徴とする請求項1に記載の認証処理装置。
【請求項3】
前記端末情報取得手段は、前記接続要求の要求元である端末装置のIPアドレス、および端末装置の端末識別子を取得して、取得されたIPアドレスと端末識別子とを対応付けて記憶し、
前記認証結果送信手段は、前記端末認証手段による認証結果として、前記端末情報取得手段により記憶されている端末識別子を前記サービス提供装置に送信し、
前記認証結果送信手段により前記サービス提供装置に送信された端末識別子と、当該端末識別子に対応するIPアドレスとからなるレコードを削除する端末情報削除手段をさらに備えたことを特徴とする請求項2に記載の認証処理装置。
【請求項4】
サービス提供装置に対して端末装置からのサービス要求があった場合に、認証処理装置が端末装置の認証を行って、認証結果をサービス提供装置に通知する認証処理方法であって、
前記サービス要求の要求元である端末装置の認証要求を受け付けた場合に、当該サービス要求の要求元である端末装置に一意に割り当てられたIPアドレスを識別して、識別されたIPアドレスを宛先とするチャレンジ要求に、チャレンジ情報を含めて送信するチャレンジ要求送信ステップと、
前記サービス要求の要求元である端末装置からの接続要求に応じて、当該端末装置と前記認証処理装置との間の接続が確立される際に、当該接続要求の要求元である端末装置に一意に付与された端末識別子とIPアドレスとの対応関係を検証して接続の確立を仲介する接続仲介装置から、当該接続要求の要求元である端末装置のIPアドレスおよび端末識別子を取得する端末情報取得ステップと、
前記チャレンジ要求送信ステップにより送信されたチャレンジ要求に対するチャレンジ応答が、前記接続仲介装置により確立された接続を介して端末装置から送信された場合に、チャレンジ応答に含まれるチャレンジ情報とチャレンジ要求に含まれたチャレンジ情報とが一致するか否かを検証するとともに、チャレンジ応答の送信元を示すIPアドレスと前記端末情報取得ステップにより取得されたIPアドレスとが一致するか否かを検証する検証ステップと、
前記検証ステップによりチャレンジ情報およびIPアドレスの一致が確認された場合には、前記端末情報取得ステップにより取得された端末識別子を、前記サービス要求の送信元である端末装置の端末識別子として特定して認証する端末認証ステップと、
前記端末認証ステップによる認証結果を前記サービス提供装置に送信する認証結果送信ステップと、
を含んだことを特徴とする認証処理方法。
【請求項5】
サービス提供装置に対して端末装置からのサービス要求があった場合に、当該端末装置の認証を行って認証結果をサービス提供装置に通知する処理をコンピュータに実行させる認証処理プログラムであって、
前記サービス要求の要求元である端末装置の認証要求を受け付けた場合に、当該サービス要求の要求元である端末装置に一意に割り当てられたIPアドレスを識別して、識別されたIPアドレスを宛先とするチャレンジ要求に、チャレンジ情報を含めて送信するチャレンジ要求送信手順と、
前記サービス要求の要求元である端末装置からの接続要求に応じて当該端末装置との間の接続が確立される際に、当該接続要求の要求元である端末装置に一意に付与された端末識別子とIPアドレスとの対応関係を検証して接続の確立を仲介する接続仲介装置から、当該接続要求の要求元である端末装置のIPアドレスおよび端末識別子を取得する端末情報取得手順と、
前記チャレンジ要求送信手順により送信されたチャレンジ要求に対するチャレンジ応答を、前記接続仲介装置により確立された接続を介して端末装置から受信した場合に、チャレンジ応答に含まれるチャレンジ情報とチャレンジ要求に含めたチャレンジ情報とが一致するか否かを検証するとともに、チャレンジ応答の送信元を示すIPアドレスと前記端末情報取得手順により取得されたIPアドレスとが一致するか否かを検証する検証手順と、
前記検証手順によりチャレンジ情報およびIPアドレスの一致が確認された場合には、前記端末情報取得手順により取得された端末識別子を、前記サービス要求の送信元である端末装置の端末識別子として特定して認証する端末認証手順と、
前記端末認証手順による認証結果を前記サービス提供装置に送信する認証結果送信手順と、
をコンピュータに実行させることを特徴とする認証処理プログラム。
【請求項1】
サービス提供装置に対して端末装置からのサービス要求があった場合に、当該端末装置の認証を行って認証結果をサービス提供装置に通知する認証処理装置であって、
前記サービス要求の要求元である端末装置の認証要求を受け付けた場合に、当該サービス要求の要求元である端末装置に一意に割り当てられたIPアドレスを識別して、識別されたIPアドレスを宛先とするチャレンジ要求に、チャレンジ情報を含めて送信するチャレンジ要求送信手段と、
前記サービス要求の要求元である端末装置からの接続要求に応じて当該端末装置との間の接続が確立される際に、当該接続要求の要求元である端末装置に一意に付与された端末識別子とIPアドレスとの対応関係を検証して接続の確立を仲介する接続仲介装置から、当該接続要求の要求元である端末装置のIPアドレスおよび端末識別子を取得する端末情報取得手段と、
前記チャレンジ要求送信手段により送信されたチャレンジ要求に対するチャレンジ応答を、前記接続仲介装置により確立された接続を介して端末装置から受信した場合に、チャレンジ応答に含まれるチャレンジ情報とチャレンジ要求に含めたチャレンジ情報とが一致するか否かを検証するとともに、チャレンジ応答の送信元を示すIPアドレスと前記端末情報取得手段により取得されたIPアドレスとが一致するか否かを検証する検証手段と、
前記検証手段によりチャレンジ情報およびIPアドレスの一致が確認された場合には、前記端末情報取得手段により取得された端末識別子を、前記サービス要求の送信元である端末装置の端末識別子として特定して認証する端末認証手段と、
前記端末認証手段による認証結果を前記サービス提供装置に送信する認証結果送信手段と、
を備えたことを特徴とする認証処理装置。
【請求項2】
前記認証結果送信手段は、前記端末認証手段による認証結果として、前記端末情報取得手段により取得された端末識別子を前記サービス提供装置に送信することを特徴とする請求項1に記載の認証処理装置。
【請求項3】
前記端末情報取得手段は、前記接続要求の要求元である端末装置のIPアドレス、および端末装置の端末識別子を取得して、取得されたIPアドレスと端末識別子とを対応付けて記憶し、
前記認証結果送信手段は、前記端末認証手段による認証結果として、前記端末情報取得手段により記憶されている端末識別子を前記サービス提供装置に送信し、
前記認証結果送信手段により前記サービス提供装置に送信された端末識別子と、当該端末識別子に対応するIPアドレスとからなるレコードを削除する端末情報削除手段をさらに備えたことを特徴とする請求項2に記載の認証処理装置。
【請求項4】
サービス提供装置に対して端末装置からのサービス要求があった場合に、認証処理装置が端末装置の認証を行って、認証結果をサービス提供装置に通知する認証処理方法であって、
前記サービス要求の要求元である端末装置の認証要求を受け付けた場合に、当該サービス要求の要求元である端末装置に一意に割り当てられたIPアドレスを識別して、識別されたIPアドレスを宛先とするチャレンジ要求に、チャレンジ情報を含めて送信するチャレンジ要求送信ステップと、
前記サービス要求の要求元である端末装置からの接続要求に応じて、当該端末装置と前記認証処理装置との間の接続が確立される際に、当該接続要求の要求元である端末装置に一意に付与された端末識別子とIPアドレスとの対応関係を検証して接続の確立を仲介する接続仲介装置から、当該接続要求の要求元である端末装置のIPアドレスおよび端末識別子を取得する端末情報取得ステップと、
前記チャレンジ要求送信ステップにより送信されたチャレンジ要求に対するチャレンジ応答が、前記接続仲介装置により確立された接続を介して端末装置から送信された場合に、チャレンジ応答に含まれるチャレンジ情報とチャレンジ要求に含まれたチャレンジ情報とが一致するか否かを検証するとともに、チャレンジ応答の送信元を示すIPアドレスと前記端末情報取得ステップにより取得されたIPアドレスとが一致するか否かを検証する検証ステップと、
前記検証ステップによりチャレンジ情報およびIPアドレスの一致が確認された場合には、前記端末情報取得ステップにより取得された端末識別子を、前記サービス要求の送信元である端末装置の端末識別子として特定して認証する端末認証ステップと、
前記端末認証ステップによる認証結果を前記サービス提供装置に送信する認証結果送信ステップと、
を含んだことを特徴とする認証処理方法。
【請求項5】
サービス提供装置に対して端末装置からのサービス要求があった場合に、当該端末装置の認証を行って認証結果をサービス提供装置に通知する処理をコンピュータに実行させる認証処理プログラムであって、
前記サービス要求の要求元である端末装置の認証要求を受け付けた場合に、当該サービス要求の要求元である端末装置に一意に割り当てられたIPアドレスを識別して、識別されたIPアドレスを宛先とするチャレンジ要求に、チャレンジ情報を含めて送信するチャレンジ要求送信手順と、
前記サービス要求の要求元である端末装置からの接続要求に応じて当該端末装置との間の接続が確立される際に、当該接続要求の要求元である端末装置に一意に付与された端末識別子とIPアドレスとの対応関係を検証して接続の確立を仲介する接続仲介装置から、当該接続要求の要求元である端末装置のIPアドレスおよび端末識別子を取得する端末情報取得手順と、
前記チャレンジ要求送信手順により送信されたチャレンジ要求に対するチャレンジ応答を、前記接続仲介装置により確立された接続を介して端末装置から受信した場合に、チャレンジ応答に含まれるチャレンジ情報とチャレンジ要求に含めたチャレンジ情報とが一致するか否かを検証するとともに、チャレンジ応答の送信元を示すIPアドレスと前記端末情報取得手順により取得されたIPアドレスとが一致するか否かを検証する検証手順と、
前記検証手順によりチャレンジ情報およびIPアドレスの一致が確認された場合には、前記端末情報取得手順により取得された端末識別子を、前記サービス要求の送信元である端末装置の端末識別子として特定して認証する端末認証手順と、
前記端末認証手順による認証結果を前記サービス提供装置に送信する認証結果送信手順と、
をコンピュータに実行させることを特徴とする認証処理プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2009−211529(P2009−211529A)
【公開日】平成21年9月17日(2009.9.17)
【国際特許分類】
【出願番号】特願2008−55233(P2008−55233)
【出願日】平成20年3月5日(2008.3.5)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成21年9月17日(2009.9.17)
【国際特許分類】
【出願日】平成20年3月5日(2008.3.5)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]