認証委譲システム及び認証委譲方法並びに端末装置及び認証サーバ
【課題】複数の認証サーバによる異なる複数の認証プロトコルが用いられ、また、クライアント,クライアントのユーザ,あるいはアプリケーションによって認証条件が異なる環境下においても、サービスの利用に必要な認証が柔軟に対応でき、また、迅速に認証処理をすることができる認証システム及び認証方法を提供する。
【解決手段】要求受付部202は、これまでに認証サーバにおける認証が行われているか否かを判定する。この判定で可の場合、エージェント制御部204は、要求受付部202からの要求を受け、対応するエージェントを起動する。エージェント制御部204により起動されたエージェントは、アクセス管理情報を基に、あらかじめ設定された認証処理を行う。
【解決手段】要求受付部202は、これまでに認証サーバにおける認証が行われているか否かを判定する。この判定で可の場合、エージェント制御部204は、要求受付部202からの要求を受け、対応するエージェントを起動する。エージェント制御部204により起動されたエージェントは、アクセス管理情報を基に、あらかじめ設定された認証処理を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証委譲システム及び認証委譲方法に関し、特にダウンロードしたアプリケーションに適用することができる認証委譲システム及び認証委譲方法並びに端末装置及び認証サーバに関する。
【背景技術】
【0002】
従来より、サーバ・クライアント型の認証方式が使用されている。ユーザあるいはアプリケーションが特定の機能を使用する際に、クライアントはネットワーク上のサーバ(以下、認証サーバ)に伺いをたて、決められた制限内で機能を使用するという方式である。しかしながら、この方式では、特定の機能を使用するたびに認証サーバに接続しなければならず、このための時間及び料金が必要となり、また、ネットワークに接続していない場合は機能を使用することができないという問題点があった。
【0003】
このような従来の問題を解決するための技術(方法)が提案されている(特許文献1参照)。この方法では、認証情報をクライアント(クライアントマシン)に保存しておき、認証処理時にネットワークに接続できない場合は、クライアント内で認証処理を行うことで、上述した問題を解消している。
【0004】
図12は、上述した特許文献1の方法を実現するためのクライアントマシンにおけるアプリケーション管理クライアント41の構成を示す構成図である。この動作について説明すると、クライアント内で認証処理を行う際、まず、クライアント側認証部51が、ログインフォーム59を表示デバイス42に表示し、クライアントのユーザにユーザ認証に必要な情報の入力を求める。この結果、ユーザの操作により所定の情報が入力されると、クライアント側認証部51が、ログインフォーム59に入力デバイス43を通じてクライアントのユーザが入力した入力情報と、認証情報52を比較してユーザ認証を行う。
【0005】
また、クライアント端末からのサービス認証要求を受け付け認証処理を経てエージェント認証証明書を発行し、クライアント端末からのサービス利用要求を受け付け、当該サービス利用要求に添付された認証証明書が正当なものであれば、クライアント端末又はユーザが指定した第一サーバの第一サーバ認証証明書を内部保持する認証情報を用いて第一サーバSから取得するか、又は、前に取得済みであれば以前取得した第一サーバ認証証明書を必要に応じて取り出し、当該取得した又は当該取り出したサーバ認証証明書を提示してサービス利用要求を第一サーバに行い、第一サーバからの送信結果をクライアント端末に返却する技術も提案されている(特許文献2参照)。この技術によれば、クライアント端末による複数のサーバへの処理依頼時に、二回以上の認証作業が不要となり、クライアント端末自体が、複数サーバへアクセスする為に必要な情報を保持する必要が無くなる。
【0006】
【特許文献1】特開2005−141427号公報
【特許文献2】特開2002−324049号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、従来の技術においては、次に示すような問題があった。まず、第1の問題点は、サービスを利用するための認証処理が固定であり、柔軟性がないということである。この理由は、従来の技術では、ユーザの操作により入力されるIDとパスワードによる認証処理が前提となっているためである(例えば特許文献1、段落0042又は0159など参照)。
【0008】
一般的に、認証処理は認証サーバによって認証プロトコルが異なるため、クライアントは複数の認証サーバに対応する必要があり、上述のような認証処理が前提となっていると、複数の認証サーバや認証処理に対応することが困難である。例えば、ある認証サーバでは、IDとパスワード以外に名前などの情報を求める場合があり、他の認証サーバでは、IDとパスワードは必要ないが機能を使用許可する回数や期間のみを設定する場合もある。また、クライアント,クライアントのユーザ,あるいはアプリケーションごとにより、認証処理や認証の条件が異なるため、これらの諸条件も考慮したシステムにする必要がある。
【0009】
次に、第2の問題点は、認証のための時間がかかるということである。この理由は、従来の技術では、認証時にネットワークに接続できない場合に、クライアント内での認証処理が行われるためである(特許文献1、段落0157など参照)。このため、ネットワークに接続できないと判断するまでの時間を要する。また、従来の技術(特許文献2)では、サービスの利用のためには利用の都度サーバに接続することになり、サービスを利用するために時間を要する。
【0010】
本発明は、以上のような問題点を解消するためになされたものであり、その目的は、複数の認証サーバによる異なる複数の認証プロトコルが用いられ、また、クライアント,クライアントのユーザ,あるいはアプリケーションによって認証条件が異なる環境下においても、サービスの利用に必要な認証が柔軟に対応でき、また、迅速に認証処理をすることができる認証システム及び認証方法を提供することにある。
【課題を解決するための手段】
【0011】
本発明に係る認証委譲システムは、ネットワークを介して接続された端末装置,認証サーバ,及びアプリケーション配信サーバを備え、端末装置は、アプリケーション配信サーバよりアプリケーション及びアプリケーションが実行するときに使用するサービスの情報からなる属性ファイルをダウンロードする端末装置通信制御手段と、アプリケーションの実行動作を制御するアプリケーション制御部と、認証サーバより受け付けた、アプリケーションが実行されるときに要求されるサービスの認証を行うエージェントに対応するアクセス管理情報を記憶する端末装置記憶部と、通信制御手段がダウンロードしたアプリケーションをアプリケーション制御部が実行したときに要求されるサービスの認証が既にされていることを判定する認証判定手段と、認証サーバより受け付けたエージェントを格納するとともに、認証判定手段による認証がすでにされていることの判定で、アプリケーション制御部が実行したアプリケーションが要求するサービスの認証を行うエージェントを起動するエージェント制御手段とを少なくとも備え、認証サーバは、端末装置からのサービスに対する認証の要求を受け付けて、予め備えられているアクセス管理情報をもとに、端末装置において認証を行うエージェントを生成するエージェント生成手段と、エージェント生成手段が生成したエージェント及びこのエージェントを生成するために用いたアクセス管理情報を端末装置に送出するサーバ通信制御手段とを少なくとも備え、エージェント生成手段は、端末装置より受け付けた認証の要求に対応するアクセス管理情報をもとにエージェントを生成し、端末装置において、エージェントは、端末装置記憶部に記憶されている対応するアクセス管理情報をもとに認証を行うようにしたものである。
【0012】
上記認証委譲システムにおいて、端末装置は、認証判定手段による、通信制御手段がダウンロードしたアプリケーションをアプリケーション制御部が実行したときに要求されるサービスの認証がまだされていないことの判定により、認証サーバに対してサービスに対する認証の要求を行う認証要求手段を備える。また、エージェントは、対応するアクセス管理情報が備える使用制限情報をもとに、認証サーバに対して認証を要求し、この要求の結果、認証サーバより受け付けた新たなアクセス管理情報を、自身に対応するアクセス管理情報として更新する。この場合、認証サーバは、エージェントからの認証の要求により、エージェントに対応する新たなアクセス管理情報を端末装置に送出する。
【0013】
また、本発明に係る認証委譲方法は、ネットワークを介して接続されたアプリケーション配信サーバよりアプリケーション及びアプリケーションが実行するときに使用するサービスの情報からなる属性ファイルをダウンロードし、ネットワークを介して接続された認証サーバより受け付けた、アプリケーションが実行されるときに要求されるサービスの認証を行うエージェントに対応するアクセス管理情報を記憶し、アプリケーション配信サーバよりダウンロードしたアプリケーションを実行したときに要求されるサービスの認証が既にされていることの判定で、実行されたアプリケーションが要求するサービスの認証を行うエージェントを起動し、起動したエージェントに対応するアクセス管理情報をもとにしたエージェントの動作により認証を行うようにしたものである。
【0014】
上記認証委譲方法において、通信制御手段がダウンロードしたアプリケーションをアプリケーション制御部が実行したときに要求されるサービスの認証がまだされていないことの判定により、認証サーバに対してサービスに対する認証の要求を行う。また、起動したエージェントに対応するアクセス管理情報が備える使用制限情報をもとにしたエージェントの動作により、認証サーバに対して認証を要求し、この要求の結果、認証サーバより受け付けた新たなアクセス管理情報を、自身に対応するアクセス管理情報として更新するようにしてもよい。
【0015】
また、本発明に係る端末装置は、ネットワークを介して接続するアプリケーション配信サーバよりアプリケーション及びアプリケーションが実行するときに使用するサービスの情報からなる属性ファイルをダウンロードする端末装置通信制御手段と、アプリケーションの実行動作を制御するアプリケーション制御部と、ネットワークを介して接続された認証サーバより受け付けた、アプリケーションが実行されるときに要求されるサービスの認証を行うエージェントに対応するアクセス管理情報を記憶する端末装置記憶部と、通信制御手段がダウンロードしたアプリケーションをアプリケーション制御部が実行したときに要求されるサービスの認証が既にされていることを判定する認証判定手段と、認証サーバより受け付けたエージェントを格納するとともに、認証判定手段による認証がすでにされていることの判定で、アプリケーション制御部が実行したアプリケーションが要求するサービスの認証を行うエージェントを起動するエージェント制御手段とを少なくとも備え、エージェントは、予め備えられているアクセス管理情報をもとに生成されたものであり、エージェントは、端末装置記憶部に記憶されている対応するアクセス管理情報をもとに認証を行うものである。
【0016】
上記端末装置において、認証判定手段による、通信制御手段がダウンロードしたアプリケーションをアプリケーション制御部が実行したときに要求されるサービスの認証がまだされていないことの判定により、認証サーバに対してサービスに対する認証の要求を行う認証要求手段を備える。また、エージェントは、対応するアクセス管理情報が備える使用制限情報をもとに、認証サーバに対して認証を要求し、この要求の結果、認証サーバより受け付けた新たなアクセス管理情報を、自身に対応するアクセス管理情報として更新する。
【0017】
また、本発明に係る認証サーバは、ネットワークを介して接続された端末装置からのサービスに対する認証の要求を受け付けて、予め備えられているアクセス管理情報をもとに、端末装置において認証を行うエージェントを生成するエージェント生成手段と、エージェント生成手段が生成したエージェント及びこのエージェントを生成するために用いたアクセス管理情報を端末装置に送出するサーバ通信制御手段とを少なくとも備え、エージェント生成手段は、端末装置より受け付けた認証の要求に対応するアクセス管理情報をもとにエージェントを生成するようにしたものである。
【発明の効果】
【0018】
以上説明したように、本発明によれば、対応するアクセス管理情報をもとにしたエージェントの動作により、アプリケーションが実行されるときに要求されるサービスの認証を行うようにし、この認証が既に行われていることが判定された場合は、端末装置が備えるエージェントを起動させることで認証を行うようにしたので、複数の認証サーバによる異なる複数の認証プロトコルが用いられ、また、クライアント,クライアントのユーザ,あるいはアプリケーションによって認証条件が異なる環境下においても、サービスの利用に必要な認証が柔軟に対応でき、また、迅速に認証処理をすることができるようになるという優れた効果が得られる。
【発明を実施するための最良の形態】
【0019】
以下、本発明の実施の形態について図を参照して説明する。図1は、本発明の実施の形態における認証委譲システムの構成例を示す構成図であり、本システムは、複数の認証サーバ100と、携帯端末(端末装置)200と、アプリケーションサーバ(アプリケーション配信サーバ)300とから構成される。例えば、各認証サーバ100は、各々異なる認証プロトコルが用いられている。これらは、例えばインターネットなどのネットワークにより接続されている。
【0020】
認証サーバ100は、通信制御部101と、記憶装置(サーバ記憶部)102と、アクセス制御部103と、エージェント生成部104とから構成される。通信制御部101は、携帯端末200からの要求を受け付ける機能を備える。また、エージェント生成部104が生成したエージェント、及びアクセス制御部103が取得したアクセス管理情報を携帯端末200へ送信する機能を備える。記憶装置102は、携帯端末200の情報及びサービスの情報を含む管理テーブルを格納する。アクセス制御部103は、記憶装置102が格納している管理テーブルを参照し、携帯端末200から送信されてくる要求に対応したアクセス管理情報を取得する機能を備える。エージェント生成部104は、アクセス制御部103が取得したアクセス管理情報を基に、所定の処理を実行するプログラム及びデータで構成されるエージェントを生成する機能を備える。従って、エージェントは、アクセス制御情報もとに、認証処理の実行処理を行う。
【0021】
携帯端末200は、通信制御部201と、要求受付部202と、アプリケーション制御部203と、エージェント制御部204と、記憶装置(端末記憶部)205と、サービス群206とから構成される。通信制御部201は、要求受付部202からの情報を基に認証サーバ100と通信する機能を備える。また、認証サーバ100から送信されてくるエージェント及びアクセス管理情報を受信する機能を備える。さらに、アプリケーションサーバ300からアプリケーション及び属性ファイルをダウンロードする機能を備える。要求受付部202は、アプリケーション制御部203からの要求を受け、記憶装置205内のアクセス要求情報を基に、受け付けた要求を通信制御部201又はエージェント制御部204へ渡す機能を備える。また、記憶装置205内のアクセス要求情報を作成・更新する機能を備える。
【0022】
アプリケーション制御部203は、アプリケーションの起動及び終了などのライフサイクル(実行動作)を管理する機能を備える。また、アプリケーションからのサービス要求を受けて、これを要求受付部202へと渡す機能を備える。さらに、サービス群206を管理し、アプリケーションにサービスを提供する機能を備える。エージェント制御部204は、認証サーバ100から送信されて受信されたエージェントを格納し、また、要求受付部202からの要求を受け、対応するエージェントを起動する機能を備える。
【0023】
記憶装置205は、認証サーバ100から送信されてくるアクセス管理情報、アプリケーションサーバ300からダウンロードしたアプリケーション及び属性ファイル、さらに要求受付部202によって作成されるアクセス要求情報を格納する装置である。また、サービス群206は、ファイルシステムやストレージなどのハードウェアリソース又はイメージファイルや動画ファイルなどのデータを含むサービスを管理する。
【0024】
次に、図1及び図2、図3、図4のフローチャートを参照して本実施の形態の全体の動作について詳細に説明する。
【0025】
はじめに、携帯端末200内におけるサービス要求処理について、図2のフローチャートを用いて説明する。まず、ユーザによる携帯端末200の操作で起動したアプリケーションは、実行時にファイルシステムなどのサービスへのアクセスを要求する(ステップS21)。この要求の際、アプリケーション制御部203は、要求元のアプリケーション名と要求するサービス名を要求受付部202へと渡す。ここで、アプリケーション名及びサービス名は、名前でなくてもよく、アプリケーション及びサービスが特定できる情報であればよい。
【0026】
このようにして要求元のアプリケーション名と要求するサービス名を受け付けた要求受付部202は、アプリケーション制御部203から渡された上記情報をキーとして記憶装置205に記憶されている情報の中でアクセス要求情報を検索し、これまでに認証サーバ100における認証が行われているか否かを判定する(ステップS22)。本例では、要求受け付け部202が、認証判定手段となる。ここで、認証が行われていない場合、通信制御部201を通してアプリケーションに対応した認証の認証サーバ100への要求処理を行う(ステップS23)。
【0027】
通信制御部201は、端末IDを取得し、要求受付部202から渡されたサービス名とともに認証サーバ100へ送信する。認証サーバ100への接続は、予め携帯端末200内に格納(記憶)されているURLなどにより行う方法や、アプリケーションの属性に記載されている(含まれている)認証サーバ100のURLなどにより行う方法が考えられるがここでは特に規定しない。アプリケーションに対応付けられた認証サーバ100にアクセスできればよい。この認証処理に関しては後述する。
【0028】
一方、ステップS22においてすでに認証が行われており、1回目の要求ではない場合、ステップS24に移行し、携帯端末200における認証処理に遷移する。ステップS24において、要求受付部202は、アプリケーション制御部203から渡されたアプリケーション名を基に、アプリケーションに対応したエージェントの起動をエージェント制御部204に要求する。この結果、エージェント制御部204は、対応するエージェントを起動する。エージェントは、認証サーバ100によって生成されたプログラム又はデータである。次に、起動されたエージェントは、アクセス管理情報を基に、予め設定された認証処理を行う(ステップS25)。この認証処理は、ID及びパスワードの入力を促すダイアログを、ユーザに視認可能に表示して認証を行う処理や、期間・回数制限などによりアクセスを制御する処理などが考えられるが、ここでは特に規定しない。
【0029】
上述したエージェントによる認証処理が完了し、この認証処理の結果により認証が確認された場合は(ステップS26)、アプリケーションはサービスを実行する(ステップS27)。これに対し、ステップS26の認証で、認証がとれない場合は、サービス要求を中断する(ステップS28)。
【0030】
次に、図2のS23以降の認証サーバ100における認証処理について、図3のフローチャートを用いて説明する。通信制御部101は、携帯端末200からのサービス要求を受け、送信されてきた情報(端末ID及びサービス名)をアクセス制御部103へと渡す(ステップS31)。ここで、認証サーバ100と携帯端末200間の通信制御部101と201による通信は、HTTP(Hyper Text Transport Protocol)通信や電子メールなどの既存の通信手段を使用してもよいし、独自の通信手段を設けてこれを使用してもよい。
【0031】
次に、アクセス制御部103は、端末ID及びサービス名をキーとして記憶装置102内の管理テーブルを参照し、要求の可否を判定する(ステップS32)。要求がNGである場合、その旨を通信制御部101から携帯端末200へ通知する(ステップS33)。一方、要求がOKである場合、管理テーブルからアクセス管理情報を取得する(ステップS34)。このアクセス管理情報には、アプリケーションが、アプリケションにより提供されるサービスにアクセス可能な回数や期間などが設定されている。
【0032】
次に、エージェント生成部104は、上述したアクセス管理情報及び端末IDを基に、所定の処理を行うためのエージェントを生成する(ステップS35)。本処理によって生成されるエージェントは、携帯端末200内で認証を行うものであり、認証サーバ100が認証処理を委譲するための役割を担う。認証サーバ100は、例えば認証のためのパスワードを入力させるようなプログラムなど、自身が行う認証処理に対応した処理をエージェントに埋め込む。これらの処理により、取得したアクセス管理情報、及び生成したエージェントは、通信制御部101を通して携帯端末200へと送信される(ステップS36)。
【0033】
次に、携帯端末200のエージェント制御部204における記憶装置205内のアクセス管理情報の更新処理について、図4のフローチャートを用いて説明する。エージェント制御部204内のエージェントは、自身に対応するアクセス管理情報を監視している(ステップS41)。監視するタイミングや周期は、適宜設定すればよく、ここでは特に規定しない。例えば、認証サーバ100が、エージェント生成時に設定したタイミングや周期でもよく、アプリケーションごとに決められたものでもよい。また、携帯端末ごとに決められたタイミングや周期でもよい。
【0034】
エージェントは、記憶装置205に記憶(格納)されているアクセス管理情報が備える回数や期間(期限)など、アクセス管理情報が備える使用制限情報をもとに現在格納されているアクセス管理情報が有効であるか否かを監視し、アクセス管理情報の更新が必要かを判定する(ステップS42)。更新が必要な場合、対応する認証サーバ100へ認証要求を行う(ステップS43)。アクセス管理情報には、対応する認証サーバの情報(URL)などが備えられている。ここで、携帯端末200がネットワークに繋がれていないなどの理由で認証サーバ100に接続できない場合は、次回の監視タイミングにて再度接続を試みる。又は、携帯端末200がネットワークに接続したタイミングで接続を試みてもよい。
【0035】
上記の認証処理が必要である場合、要求元の端末ID及びサービス名、さらに要求元エージェント名を認証サーバ100へ送信し、認証処理を依頼する(ステップS44)。この認証処理は、アクセス管理情報の更新を含む再認証の処理になる。ここで、エージェント名は、名前でなくてもよい。すなわち、エージェントが特定できる情報であればよい。
【0036】
次に、依頼を受けた認証サーバ100は、認証処理を行う(ステップS45)。認証サーバ100は、送信されてきた情報の中にエージェント名が含まれている場合、エージェントの生成は行わず、図3のステップS32及びステップS34で示した認証処理及びアクセス管理情報の取得のみを行う。ステップS46における認証がOKである場合、携帯端末200にアクセス管理情報を送信する。また、エージェント制御部204内のエージェントは、記憶装置205内のアクセス管理情報を更新する(ステップS47)。
【0037】
ステップS46における認証がNGである場合、携帯端末200にその旨を通知する。また、エージェント制御部204内のエージェントは、記憶装置205内のアクセス要求情報内のエントリを削除する(ステップS48)。これにより、次回のサービス要求時、図2のステップS22で示した処理において認証されていないと判定され、再び認証サーバ100へ認証処理を依頼することとなる。以上に説明したように、エージェントは、対応するアクセス管理情報をもとに認証動作を行う。
【0038】
なお、認証サーバ100及び端末装置は、例えば、CPUと主記憶装置と外部記憶装置とネットワーク接続装置となどを備えたコンピュータ機器であり、主記憶装置に展開されたプログラムによりCPUが動作することで、上述した各機能が実現される。また、各機能は、複数のコンピュータ機器に分散させるようにしてもよい。また、端末装置は、これらと同等の機能を備えた携帯電話であっても良い。
【0039】
次に、上述した本実施の形態における認証委譲システム及び認証委譲方法の効果について説明する。
【0040】
本システム及び方法によると、アプリケーションと認証サーバ100、及びエージェントが紐付けされている。このため、認証サーバ100は、自身に対応した認証処理を行うエージェントを作成し、携帯端末200において動作させることが可能である。この結果、複数の異なる認証サーバ100による認証処理の違い(認証プロトコルなど)をエージェントによって吸収することが可能である。従って、本システム及び方法によれば、異なる認証プロトコルの複数の認証サーバが用いられている環境など、様々な条件下においても柔軟に対応できるようになる。
【0041】
また、本実施の形態における認証委譲システム及び認証委譲方法によれば、認証サーバ100が行う認証処理は、エージェントに行わせる(委譲する)ようにしているので、認証処理のたびに認証サーバ100に接続する必要がなくなる。この結果、本実施の形態におけるシステム及び方法によれば、より迅速な認証処理が実現可能となり、認証のための時間や料金が削減できるようになる。
【0042】
ところで、上述した実施の形態においては、図3のステップS31において、端末ID及びサービス名を送信しているがこれに限るものではない。例えば、SIM(Subscriber Identification Module)のIDを送信してもよい。この場合、認証サーバ100側では、「契約者によるサービス可否」という認証が可能となる。このように、認証サーバ100では、携帯端末200から送信されてくる情報が何であっても、送信された情報を基に、サービスへのアクセス可否を判断するための条件を制御又は管理することが可能である。
【0043】
さらに、上述では、図4のステップS48において、認証処理がNGとなった際はアクセス要求情報のエントリのみを削除することとした。この場合、認証処理がNGとなったにもかかわらず、エージェントがアクセス管理情報を参照するたびに再び認証処理を行ってしまう。このため、認証処理にNGとなった場合は、アクセス要求情報のエントリの削除のほか、エージェント及びエージェントに対応するアクセス管理情報を削除するようにしてもよい。また、上述では、アプリケーションを配信するアプリケーションサーバは1つであったが、複数のアプリケーションサーバが存在してもよい。さらに、上述した実施の形態では、クライアントとして携帯端末を例としたが、パーソナルコンピュータや家電などの通信機能を備えた機器(固定端末)でもよい。
【0044】
さらにまた、上述では、データの暗号化を行うようにはしていないが、セキュリティの観点上、送受信するデータを暗号化してもよい。例えば、アプリケーションサーバ300から配信されるアプリケーション及び属性ファイル、携帯端末200から認証サーバ100へ送信される端末ID及びサービス名、認証サーバ100から携帯端末200に送信されるアクセス管理情報及びエージェント、携帯端末200内のアクセス管理情報、アクセス要求情報は、暗号化され、閲覧や改ざんができない仕組みになっていてもよい。
【実施例】
【0045】
次に、具体的な実施例を用いてより詳細に説明する。まず、図1を用いて、アプリケーションのダウンロード処理について説明する。携帯端末200のユーザは、携帯端末200の図示しない入力装置を操作することで、所望とするアプリケーションのダウンロードを選択する指示入力を行う。この操作指示により、携帯端末200の通信制御部201は、指定されたアプリケーション及びこの属性ファイルをアプリケーションサーバ300よりダウンロードし、記憶装置205内に格納する。上記属性ファイルには、アプリケーション名のほか、当該アプリケーションが使用するサービス及び認証サーバ100のURLなどが含まれている。本実施例では、図5で示す属性が含まれているものとする。なお、その他の属性が含まれていてもよいがここでは特に規定しない。
【0046】
次に、アプリケーション実行時のサービス要求処理について説明する。携帯端末200のユーザは、図示しない入力装置を操作することで所望とするアプリケーションの選択を指示する。ここでは、叙述したことによってダウンロードしたアプリケーション(アプリA)を選択することとする。この指示入力により、アプリケーション制御部203は、記憶装置205内のアプリAを起動する。
【0047】
次に、起動したアプリAは、実行時にサービスを要求する。例として、アプリAを構成しているプログラム内で「getSDCardInfo()」などの関数を呼び出すことで、自身の属性ファイルで示されているSDカードへのアクセスを試みる。この際、アプリケーション制御部203が上記関数の発行を検知し、アプリAがSDカードへアクセスしてよいかの認証が行われる。
【0048】
この後、要求受付部202は、図2のステップS22で示したようにアプリケーション制御部203から渡されたアプリケーション名及びサービス名をキーとして記憶装置205内のアクセス要求情報を検索する。これを図6に示す。本例では、アクセス要求情報内に対応するエントリが存在しないため、これまでに認証処理を行っていないと判定し、認証サーバ100への要求処理へと遷移する。ここでは、認証サーバ100への要求時、端末ID及びサービス名を送信することとする。通信制御部101は、要求受付部102から渡された端末ID及びサービス名を認証サーバ100へと送信する。接続先は、前述した記憶装置205内の属性ファイルの認証サーバ100のURLを参照する。
【0049】
次に、認証サーバ100における認証処理について説明する。図3のステップS31に示したように、通信制御部101は、携帯端末200から送信されてきた情報をアクセス制御部103へと渡す。アクセス制御部103は、渡された情報をキーとして記憶装置102内の管理テーブルを参照し、要求の可否を判定する。この動作について図7を用いて説明する。図7に示すように、アクセス制御部103は、端末ID「000A」に対応するテーブルである「1」を参照することになる。
【0050】
このID「1」のテーブルについて、一例を示すと、図8に示すように、「SDカード」へのアクセスの条件として、「パスワード入力」及び「アクセス回数制限」が設定されている。このため、アプリAは上記条件の範囲内でSDカードへのアクセスが可能であることがわかる。アクセス制御部103は、管理テーブルより、「SDカード」に関するエントリを切り出す。切り出した情報は図3のステップS34で示したアクセス管理情報である。アクセス制御部103は、上記テーブル内にサービス名に対応したエントリが存在しない場合は、要求はNGとなり、この旨を携帯端末200へと通知する。通知手段は、ここでは特に規定しない。
【0051】
次に、エージェント生成部104によるエージェント生成処理について説明する。エージェント生成部104は、携帯端末200の端末ID及びアクセス制御部103が取得したアクセス管理情報を基にエージェントを生成する。エージェント生成部104は、端末IDよりこれまでにエージェントを生成したかの判定を行う。生成している場合は、今回のアクセス管理情報に対応した処理を行う部分のみを生成する(以下、これを差分エージェントという)。 本例では、これまでエージェントを生成していないこととする。
【0052】
上記アクセス管理情報を参照すると、エージェントは「パスワード照会」及び「アクセス回数管理」が少なくとも含まれることになる。「パスワード照会」に関しては、(1)パスワード入力のためのダイアログを表示し、(2)入力されたパスワードが正しいかを検証する処理、を少なくとも含む。また、「アクセス回数管理」に関しては、(1)アクセス回数を管理する処理、(2)アクセス回数が制限を超えた場合にエラーを通知する処理、(3)残回数を通知する処理、などを含む。これらのことによって取得したアクセス管理情報、及び生成したエージェントは、携帯端末200へと送信される。取得したアクセス情報及び生成されたエージェントの一例を、図9に示す。
【0053】
次に携帯端末200における処理(動作)について説明する。通信制御部201は、図9に示した情報を受信し、アクセス管理情報を記憶装置205に格納する。また、エージェントをエージェント制御部204に格納する。ここで、いずれかの認証サーバ100より送信されてきたエージェントが差分エージェントである場合、アクセス管理情報を更新し、対応するエージェントに差分処理の追加を行う。
【0054】
通信制御部201は、上記受信した情報内に情報が含まれている場合は、アプリAからの要求が許可されたと判定し、この旨を要求受付部202へと通知する。通知を受けた要求受付部202は、図10に示すように、アクセス要求情報を更新する。
要求受付部202は、許可の通知を受け、アプリケーションマネージャ203にその旨を通知する。アプリケーションマネージャは、アプリAにSDカードへのアクセスを許可する。すなわち、アプリAが発行した関数である「getSDCardInfo()」に対し、成功の戻り値を返す。アプリAは、SDカードへアクセスする。
以上がサービスへの初回アクセス時のサービス要求処理である。
【0055】
次に、上記以降(2回目以降)のサービス要求処理について説明する。
上記認証処理後に再びアプリAを起動し、アプリAは関数「getSDCardInfo()」を呼び出したものとする。前述したように、アプリケーション制御部203が上記関数の発行を検知し、要求受付部202がアプリケーション名及びサービス名をキーとして記憶装置205内のアクセス要求情報を検索する。ここで、図10に示すようにアクセス要求情報内には該当するエントリが存在するため、認証サーバ100への接続は行わず、携帯端末200内での認証処理に遷移する。
【0056】
要求受付部202は、アプリケーション制御部203から渡されたアプリケーション名及びサービス名を基に、アプリケーションに対応したエージェントを起動する。これを図11に示す。要求を受けたエージェント制御部204内のエージェントマネージャは対応テーブルを参照し、エージェントを起動する。本例では、アプリAに対応するエージェントである「Agent01.prog」が起動する。
【0057】
起動したエージェントは、エージェントマネージャより渡されたサービス名を基に、所定の認証処理を行う。本例では、前述したように、「パスワード照会」及び「アクセス回数管理」を行うこととする。「パスワード照会」では、ダイアログを表示し、図示しない携帯端末200のユーザの入力を待つ。入力されたパスワードと、アクセス管理情報内のパスワードが一致するかを判定する。一致しない場合は図示しない出力装置によってエラーを通知する。本例では、一致したこととする。また、「アクセス回数管理」では、累計アクセス回数を記憶してもよいし、アクセス管理情報内のアクセス回数制限の数値を1回減らしてもよい。本例では、後者のように数値を書き換えることとする。
【0058】
認証処理が完了し、エージェント制御部204は、要求受付部202に成功した旨を通知する。要求受付部202は、許可の通知を受け、アプリケーションマネージャ203にその旨を通知する。アプリケーションマネージャは、アプリAにSDカードへのアクセスを許可し、アプリAが発行した関数である「getSDCardInfo()」に対し、成功の戻り値を返す。この結果、アプリAは、SDカードへアクセスする。
【0059】
以上がサービスへの2回目以降のサービス要求処理である。携帯端末200内で認証処理を行うことが可能であるため、認証サーバ100に接続できない場合であっても許可された範囲内でサービスを使用することが可能である。
【0060】
次に、携帯端末200のエージェント制御部204における記憶装置205内のアクセス管理情報の更新処理について説明する。図4のステップS41に示したように、エージェント制御部204内のエージェントは対応するアクセス管理情報を監視している。本例では、監視するタイミングを週に1回と予め決まっていることとする。
【0061】
アプリAのエージェントである「Agent01.prog」は、対応するアクセス管理情報内のアクセス回数制限を監視している。ここで、アクセス回数制限が「0」となっていたとする。この場合、エージェントは、認証処理が必要であると判定し、認証サーバ100へ接続する。この際、端末ID、サービス名、及び要求元エージェント名を送信する。以後の処理については、前述した更新処理と同じである。上記更新処理において、認証OKである場合、エージェントはアクセス管理情報内のアクセス回数制限を更新する(例えば「10」に)。認証NGである場合、エージェントはアクセス要求情報内のエントリを削除する。
【0062】
上記のような更新処理を行うことで、本発明では、一度認証されたとしても、携帯端末200内のアプリケーションによるサービスの使用を認証サーバ100側で制限することが可能である。
【産業上の利用可能性】
【0063】
本発明によれば、サービスを使用する際に認証を行う認証システムや、認証処理を実現するための方法といった用途に適用できる。
【図面の簡単な説明】
【0064】
【図1】本発明の実施の形態における認証委譲システムの構成例を示す構成図である。
【図2】本発明の実施の形態における認証委譲システムによる認証委譲方法を説明するためのフローチャートである。
【図3】本発明の実施の形態における認証委譲システムによる認証委譲方法を説明するためのフローチャートである。
【図4】本発明の実施の形態における認証委譲システムによる認証委譲方法を説明するためのフローチャートである。
【図5】属性ファイルの1例を示す説明図である。
【図6】要求受付部202及びアプリケーション制御部203の動作を説明するための説明図である。
【図7】通信制御部101及びアクセス制御部103の動作を説明するための説明図である。
【図8】記憶装置102が記憶する管理テーブルの構成例を示す構成図である。
【図9】アクセス情報及び生成されたエージェントの構成例を示す構成図である。
【図10】要求受付部202の動作を説明するための説明図である。
【図11】エージェント制御部204の動作を説明するための説明図である。
【図12】従来よりある認証システムの構成を示す構成図である。
【符号の説明】
【0065】
100…認証サーバ、101…通信制御部、102…記憶装置、103…アクセス制御部、104…エージェント生成部、200…携帯端末(端末装置)、201…通信制御部、202…要求受付部、203…アプリケーション制御部、204…エージェント制御部、205…記憶装置(端末記憶部)、206…サービス群、300…アプリケーションサーバ(アプリケーション配信サーバ)。
【技術分野】
【0001】
本発明は、認証委譲システム及び認証委譲方法に関し、特にダウンロードしたアプリケーションに適用することができる認証委譲システム及び認証委譲方法並びに端末装置及び認証サーバに関する。
【背景技術】
【0002】
従来より、サーバ・クライアント型の認証方式が使用されている。ユーザあるいはアプリケーションが特定の機能を使用する際に、クライアントはネットワーク上のサーバ(以下、認証サーバ)に伺いをたて、決められた制限内で機能を使用するという方式である。しかしながら、この方式では、特定の機能を使用するたびに認証サーバに接続しなければならず、このための時間及び料金が必要となり、また、ネットワークに接続していない場合は機能を使用することができないという問題点があった。
【0003】
このような従来の問題を解決するための技術(方法)が提案されている(特許文献1参照)。この方法では、認証情報をクライアント(クライアントマシン)に保存しておき、認証処理時にネットワークに接続できない場合は、クライアント内で認証処理を行うことで、上述した問題を解消している。
【0004】
図12は、上述した特許文献1の方法を実現するためのクライアントマシンにおけるアプリケーション管理クライアント41の構成を示す構成図である。この動作について説明すると、クライアント内で認証処理を行う際、まず、クライアント側認証部51が、ログインフォーム59を表示デバイス42に表示し、クライアントのユーザにユーザ認証に必要な情報の入力を求める。この結果、ユーザの操作により所定の情報が入力されると、クライアント側認証部51が、ログインフォーム59に入力デバイス43を通じてクライアントのユーザが入力した入力情報と、認証情報52を比較してユーザ認証を行う。
【0005】
また、クライアント端末からのサービス認証要求を受け付け認証処理を経てエージェント認証証明書を発行し、クライアント端末からのサービス利用要求を受け付け、当該サービス利用要求に添付された認証証明書が正当なものであれば、クライアント端末又はユーザが指定した第一サーバの第一サーバ認証証明書を内部保持する認証情報を用いて第一サーバSから取得するか、又は、前に取得済みであれば以前取得した第一サーバ認証証明書を必要に応じて取り出し、当該取得した又は当該取り出したサーバ認証証明書を提示してサービス利用要求を第一サーバに行い、第一サーバからの送信結果をクライアント端末に返却する技術も提案されている(特許文献2参照)。この技術によれば、クライアント端末による複数のサーバへの処理依頼時に、二回以上の認証作業が不要となり、クライアント端末自体が、複数サーバへアクセスする為に必要な情報を保持する必要が無くなる。
【0006】
【特許文献1】特開2005−141427号公報
【特許文献2】特開2002−324049号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、従来の技術においては、次に示すような問題があった。まず、第1の問題点は、サービスを利用するための認証処理が固定であり、柔軟性がないということである。この理由は、従来の技術では、ユーザの操作により入力されるIDとパスワードによる認証処理が前提となっているためである(例えば特許文献1、段落0042又は0159など参照)。
【0008】
一般的に、認証処理は認証サーバによって認証プロトコルが異なるため、クライアントは複数の認証サーバに対応する必要があり、上述のような認証処理が前提となっていると、複数の認証サーバや認証処理に対応することが困難である。例えば、ある認証サーバでは、IDとパスワード以外に名前などの情報を求める場合があり、他の認証サーバでは、IDとパスワードは必要ないが機能を使用許可する回数や期間のみを設定する場合もある。また、クライアント,クライアントのユーザ,あるいはアプリケーションごとにより、認証処理や認証の条件が異なるため、これらの諸条件も考慮したシステムにする必要がある。
【0009】
次に、第2の問題点は、認証のための時間がかかるということである。この理由は、従来の技術では、認証時にネットワークに接続できない場合に、クライアント内での認証処理が行われるためである(特許文献1、段落0157など参照)。このため、ネットワークに接続できないと判断するまでの時間を要する。また、従来の技術(特許文献2)では、サービスの利用のためには利用の都度サーバに接続することになり、サービスを利用するために時間を要する。
【0010】
本発明は、以上のような問題点を解消するためになされたものであり、その目的は、複数の認証サーバによる異なる複数の認証プロトコルが用いられ、また、クライアント,クライアントのユーザ,あるいはアプリケーションによって認証条件が異なる環境下においても、サービスの利用に必要な認証が柔軟に対応でき、また、迅速に認証処理をすることができる認証システム及び認証方法を提供することにある。
【課題を解決するための手段】
【0011】
本発明に係る認証委譲システムは、ネットワークを介して接続された端末装置,認証サーバ,及びアプリケーション配信サーバを備え、端末装置は、アプリケーション配信サーバよりアプリケーション及びアプリケーションが実行するときに使用するサービスの情報からなる属性ファイルをダウンロードする端末装置通信制御手段と、アプリケーションの実行動作を制御するアプリケーション制御部と、認証サーバより受け付けた、アプリケーションが実行されるときに要求されるサービスの認証を行うエージェントに対応するアクセス管理情報を記憶する端末装置記憶部と、通信制御手段がダウンロードしたアプリケーションをアプリケーション制御部が実行したときに要求されるサービスの認証が既にされていることを判定する認証判定手段と、認証サーバより受け付けたエージェントを格納するとともに、認証判定手段による認証がすでにされていることの判定で、アプリケーション制御部が実行したアプリケーションが要求するサービスの認証を行うエージェントを起動するエージェント制御手段とを少なくとも備え、認証サーバは、端末装置からのサービスに対する認証の要求を受け付けて、予め備えられているアクセス管理情報をもとに、端末装置において認証を行うエージェントを生成するエージェント生成手段と、エージェント生成手段が生成したエージェント及びこのエージェントを生成するために用いたアクセス管理情報を端末装置に送出するサーバ通信制御手段とを少なくとも備え、エージェント生成手段は、端末装置より受け付けた認証の要求に対応するアクセス管理情報をもとにエージェントを生成し、端末装置において、エージェントは、端末装置記憶部に記憶されている対応するアクセス管理情報をもとに認証を行うようにしたものである。
【0012】
上記認証委譲システムにおいて、端末装置は、認証判定手段による、通信制御手段がダウンロードしたアプリケーションをアプリケーション制御部が実行したときに要求されるサービスの認証がまだされていないことの判定により、認証サーバに対してサービスに対する認証の要求を行う認証要求手段を備える。また、エージェントは、対応するアクセス管理情報が備える使用制限情報をもとに、認証サーバに対して認証を要求し、この要求の結果、認証サーバより受け付けた新たなアクセス管理情報を、自身に対応するアクセス管理情報として更新する。この場合、認証サーバは、エージェントからの認証の要求により、エージェントに対応する新たなアクセス管理情報を端末装置に送出する。
【0013】
また、本発明に係る認証委譲方法は、ネットワークを介して接続されたアプリケーション配信サーバよりアプリケーション及びアプリケーションが実行するときに使用するサービスの情報からなる属性ファイルをダウンロードし、ネットワークを介して接続された認証サーバより受け付けた、アプリケーションが実行されるときに要求されるサービスの認証を行うエージェントに対応するアクセス管理情報を記憶し、アプリケーション配信サーバよりダウンロードしたアプリケーションを実行したときに要求されるサービスの認証が既にされていることの判定で、実行されたアプリケーションが要求するサービスの認証を行うエージェントを起動し、起動したエージェントに対応するアクセス管理情報をもとにしたエージェントの動作により認証を行うようにしたものである。
【0014】
上記認証委譲方法において、通信制御手段がダウンロードしたアプリケーションをアプリケーション制御部が実行したときに要求されるサービスの認証がまだされていないことの判定により、認証サーバに対してサービスに対する認証の要求を行う。また、起動したエージェントに対応するアクセス管理情報が備える使用制限情報をもとにしたエージェントの動作により、認証サーバに対して認証を要求し、この要求の結果、認証サーバより受け付けた新たなアクセス管理情報を、自身に対応するアクセス管理情報として更新するようにしてもよい。
【0015】
また、本発明に係る端末装置は、ネットワークを介して接続するアプリケーション配信サーバよりアプリケーション及びアプリケーションが実行するときに使用するサービスの情報からなる属性ファイルをダウンロードする端末装置通信制御手段と、アプリケーションの実行動作を制御するアプリケーション制御部と、ネットワークを介して接続された認証サーバより受け付けた、アプリケーションが実行されるときに要求されるサービスの認証を行うエージェントに対応するアクセス管理情報を記憶する端末装置記憶部と、通信制御手段がダウンロードしたアプリケーションをアプリケーション制御部が実行したときに要求されるサービスの認証が既にされていることを判定する認証判定手段と、認証サーバより受け付けたエージェントを格納するとともに、認証判定手段による認証がすでにされていることの判定で、アプリケーション制御部が実行したアプリケーションが要求するサービスの認証を行うエージェントを起動するエージェント制御手段とを少なくとも備え、エージェントは、予め備えられているアクセス管理情報をもとに生成されたものであり、エージェントは、端末装置記憶部に記憶されている対応するアクセス管理情報をもとに認証を行うものである。
【0016】
上記端末装置において、認証判定手段による、通信制御手段がダウンロードしたアプリケーションをアプリケーション制御部が実行したときに要求されるサービスの認証がまだされていないことの判定により、認証サーバに対してサービスに対する認証の要求を行う認証要求手段を備える。また、エージェントは、対応するアクセス管理情報が備える使用制限情報をもとに、認証サーバに対して認証を要求し、この要求の結果、認証サーバより受け付けた新たなアクセス管理情報を、自身に対応するアクセス管理情報として更新する。
【0017】
また、本発明に係る認証サーバは、ネットワークを介して接続された端末装置からのサービスに対する認証の要求を受け付けて、予め備えられているアクセス管理情報をもとに、端末装置において認証を行うエージェントを生成するエージェント生成手段と、エージェント生成手段が生成したエージェント及びこのエージェントを生成するために用いたアクセス管理情報を端末装置に送出するサーバ通信制御手段とを少なくとも備え、エージェント生成手段は、端末装置より受け付けた認証の要求に対応するアクセス管理情報をもとにエージェントを生成するようにしたものである。
【発明の効果】
【0018】
以上説明したように、本発明によれば、対応するアクセス管理情報をもとにしたエージェントの動作により、アプリケーションが実行されるときに要求されるサービスの認証を行うようにし、この認証が既に行われていることが判定された場合は、端末装置が備えるエージェントを起動させることで認証を行うようにしたので、複数の認証サーバによる異なる複数の認証プロトコルが用いられ、また、クライアント,クライアントのユーザ,あるいはアプリケーションによって認証条件が異なる環境下においても、サービスの利用に必要な認証が柔軟に対応でき、また、迅速に認証処理をすることができるようになるという優れた効果が得られる。
【発明を実施するための最良の形態】
【0019】
以下、本発明の実施の形態について図を参照して説明する。図1は、本発明の実施の形態における認証委譲システムの構成例を示す構成図であり、本システムは、複数の認証サーバ100と、携帯端末(端末装置)200と、アプリケーションサーバ(アプリケーション配信サーバ)300とから構成される。例えば、各認証サーバ100は、各々異なる認証プロトコルが用いられている。これらは、例えばインターネットなどのネットワークにより接続されている。
【0020】
認証サーバ100は、通信制御部101と、記憶装置(サーバ記憶部)102と、アクセス制御部103と、エージェント生成部104とから構成される。通信制御部101は、携帯端末200からの要求を受け付ける機能を備える。また、エージェント生成部104が生成したエージェント、及びアクセス制御部103が取得したアクセス管理情報を携帯端末200へ送信する機能を備える。記憶装置102は、携帯端末200の情報及びサービスの情報を含む管理テーブルを格納する。アクセス制御部103は、記憶装置102が格納している管理テーブルを参照し、携帯端末200から送信されてくる要求に対応したアクセス管理情報を取得する機能を備える。エージェント生成部104は、アクセス制御部103が取得したアクセス管理情報を基に、所定の処理を実行するプログラム及びデータで構成されるエージェントを生成する機能を備える。従って、エージェントは、アクセス制御情報もとに、認証処理の実行処理を行う。
【0021】
携帯端末200は、通信制御部201と、要求受付部202と、アプリケーション制御部203と、エージェント制御部204と、記憶装置(端末記憶部)205と、サービス群206とから構成される。通信制御部201は、要求受付部202からの情報を基に認証サーバ100と通信する機能を備える。また、認証サーバ100から送信されてくるエージェント及びアクセス管理情報を受信する機能を備える。さらに、アプリケーションサーバ300からアプリケーション及び属性ファイルをダウンロードする機能を備える。要求受付部202は、アプリケーション制御部203からの要求を受け、記憶装置205内のアクセス要求情報を基に、受け付けた要求を通信制御部201又はエージェント制御部204へ渡す機能を備える。また、記憶装置205内のアクセス要求情報を作成・更新する機能を備える。
【0022】
アプリケーション制御部203は、アプリケーションの起動及び終了などのライフサイクル(実行動作)を管理する機能を備える。また、アプリケーションからのサービス要求を受けて、これを要求受付部202へと渡す機能を備える。さらに、サービス群206を管理し、アプリケーションにサービスを提供する機能を備える。エージェント制御部204は、認証サーバ100から送信されて受信されたエージェントを格納し、また、要求受付部202からの要求を受け、対応するエージェントを起動する機能を備える。
【0023】
記憶装置205は、認証サーバ100から送信されてくるアクセス管理情報、アプリケーションサーバ300からダウンロードしたアプリケーション及び属性ファイル、さらに要求受付部202によって作成されるアクセス要求情報を格納する装置である。また、サービス群206は、ファイルシステムやストレージなどのハードウェアリソース又はイメージファイルや動画ファイルなどのデータを含むサービスを管理する。
【0024】
次に、図1及び図2、図3、図4のフローチャートを参照して本実施の形態の全体の動作について詳細に説明する。
【0025】
はじめに、携帯端末200内におけるサービス要求処理について、図2のフローチャートを用いて説明する。まず、ユーザによる携帯端末200の操作で起動したアプリケーションは、実行時にファイルシステムなどのサービスへのアクセスを要求する(ステップS21)。この要求の際、アプリケーション制御部203は、要求元のアプリケーション名と要求するサービス名を要求受付部202へと渡す。ここで、アプリケーション名及びサービス名は、名前でなくてもよく、アプリケーション及びサービスが特定できる情報であればよい。
【0026】
このようにして要求元のアプリケーション名と要求するサービス名を受け付けた要求受付部202は、アプリケーション制御部203から渡された上記情報をキーとして記憶装置205に記憶されている情報の中でアクセス要求情報を検索し、これまでに認証サーバ100における認証が行われているか否かを判定する(ステップS22)。本例では、要求受け付け部202が、認証判定手段となる。ここで、認証が行われていない場合、通信制御部201を通してアプリケーションに対応した認証の認証サーバ100への要求処理を行う(ステップS23)。
【0027】
通信制御部201は、端末IDを取得し、要求受付部202から渡されたサービス名とともに認証サーバ100へ送信する。認証サーバ100への接続は、予め携帯端末200内に格納(記憶)されているURLなどにより行う方法や、アプリケーションの属性に記載されている(含まれている)認証サーバ100のURLなどにより行う方法が考えられるがここでは特に規定しない。アプリケーションに対応付けられた認証サーバ100にアクセスできればよい。この認証処理に関しては後述する。
【0028】
一方、ステップS22においてすでに認証が行われており、1回目の要求ではない場合、ステップS24に移行し、携帯端末200における認証処理に遷移する。ステップS24において、要求受付部202は、アプリケーション制御部203から渡されたアプリケーション名を基に、アプリケーションに対応したエージェントの起動をエージェント制御部204に要求する。この結果、エージェント制御部204は、対応するエージェントを起動する。エージェントは、認証サーバ100によって生成されたプログラム又はデータである。次に、起動されたエージェントは、アクセス管理情報を基に、予め設定された認証処理を行う(ステップS25)。この認証処理は、ID及びパスワードの入力を促すダイアログを、ユーザに視認可能に表示して認証を行う処理や、期間・回数制限などによりアクセスを制御する処理などが考えられるが、ここでは特に規定しない。
【0029】
上述したエージェントによる認証処理が完了し、この認証処理の結果により認証が確認された場合は(ステップS26)、アプリケーションはサービスを実行する(ステップS27)。これに対し、ステップS26の認証で、認証がとれない場合は、サービス要求を中断する(ステップS28)。
【0030】
次に、図2のS23以降の認証サーバ100における認証処理について、図3のフローチャートを用いて説明する。通信制御部101は、携帯端末200からのサービス要求を受け、送信されてきた情報(端末ID及びサービス名)をアクセス制御部103へと渡す(ステップS31)。ここで、認証サーバ100と携帯端末200間の通信制御部101と201による通信は、HTTP(Hyper Text Transport Protocol)通信や電子メールなどの既存の通信手段を使用してもよいし、独自の通信手段を設けてこれを使用してもよい。
【0031】
次に、アクセス制御部103は、端末ID及びサービス名をキーとして記憶装置102内の管理テーブルを参照し、要求の可否を判定する(ステップS32)。要求がNGである場合、その旨を通信制御部101から携帯端末200へ通知する(ステップS33)。一方、要求がOKである場合、管理テーブルからアクセス管理情報を取得する(ステップS34)。このアクセス管理情報には、アプリケーションが、アプリケションにより提供されるサービスにアクセス可能な回数や期間などが設定されている。
【0032】
次に、エージェント生成部104は、上述したアクセス管理情報及び端末IDを基に、所定の処理を行うためのエージェントを生成する(ステップS35)。本処理によって生成されるエージェントは、携帯端末200内で認証を行うものであり、認証サーバ100が認証処理を委譲するための役割を担う。認証サーバ100は、例えば認証のためのパスワードを入力させるようなプログラムなど、自身が行う認証処理に対応した処理をエージェントに埋め込む。これらの処理により、取得したアクセス管理情報、及び生成したエージェントは、通信制御部101を通して携帯端末200へと送信される(ステップS36)。
【0033】
次に、携帯端末200のエージェント制御部204における記憶装置205内のアクセス管理情報の更新処理について、図4のフローチャートを用いて説明する。エージェント制御部204内のエージェントは、自身に対応するアクセス管理情報を監視している(ステップS41)。監視するタイミングや周期は、適宜設定すればよく、ここでは特に規定しない。例えば、認証サーバ100が、エージェント生成時に設定したタイミングや周期でもよく、アプリケーションごとに決められたものでもよい。また、携帯端末ごとに決められたタイミングや周期でもよい。
【0034】
エージェントは、記憶装置205に記憶(格納)されているアクセス管理情報が備える回数や期間(期限)など、アクセス管理情報が備える使用制限情報をもとに現在格納されているアクセス管理情報が有効であるか否かを監視し、アクセス管理情報の更新が必要かを判定する(ステップS42)。更新が必要な場合、対応する認証サーバ100へ認証要求を行う(ステップS43)。アクセス管理情報には、対応する認証サーバの情報(URL)などが備えられている。ここで、携帯端末200がネットワークに繋がれていないなどの理由で認証サーバ100に接続できない場合は、次回の監視タイミングにて再度接続を試みる。又は、携帯端末200がネットワークに接続したタイミングで接続を試みてもよい。
【0035】
上記の認証処理が必要である場合、要求元の端末ID及びサービス名、さらに要求元エージェント名を認証サーバ100へ送信し、認証処理を依頼する(ステップS44)。この認証処理は、アクセス管理情報の更新を含む再認証の処理になる。ここで、エージェント名は、名前でなくてもよい。すなわち、エージェントが特定できる情報であればよい。
【0036】
次に、依頼を受けた認証サーバ100は、認証処理を行う(ステップS45)。認証サーバ100は、送信されてきた情報の中にエージェント名が含まれている場合、エージェントの生成は行わず、図3のステップS32及びステップS34で示した認証処理及びアクセス管理情報の取得のみを行う。ステップS46における認証がOKである場合、携帯端末200にアクセス管理情報を送信する。また、エージェント制御部204内のエージェントは、記憶装置205内のアクセス管理情報を更新する(ステップS47)。
【0037】
ステップS46における認証がNGである場合、携帯端末200にその旨を通知する。また、エージェント制御部204内のエージェントは、記憶装置205内のアクセス要求情報内のエントリを削除する(ステップS48)。これにより、次回のサービス要求時、図2のステップS22で示した処理において認証されていないと判定され、再び認証サーバ100へ認証処理を依頼することとなる。以上に説明したように、エージェントは、対応するアクセス管理情報をもとに認証動作を行う。
【0038】
なお、認証サーバ100及び端末装置は、例えば、CPUと主記憶装置と外部記憶装置とネットワーク接続装置となどを備えたコンピュータ機器であり、主記憶装置に展開されたプログラムによりCPUが動作することで、上述した各機能が実現される。また、各機能は、複数のコンピュータ機器に分散させるようにしてもよい。また、端末装置は、これらと同等の機能を備えた携帯電話であっても良い。
【0039】
次に、上述した本実施の形態における認証委譲システム及び認証委譲方法の効果について説明する。
【0040】
本システム及び方法によると、アプリケーションと認証サーバ100、及びエージェントが紐付けされている。このため、認証サーバ100は、自身に対応した認証処理を行うエージェントを作成し、携帯端末200において動作させることが可能である。この結果、複数の異なる認証サーバ100による認証処理の違い(認証プロトコルなど)をエージェントによって吸収することが可能である。従って、本システム及び方法によれば、異なる認証プロトコルの複数の認証サーバが用いられている環境など、様々な条件下においても柔軟に対応できるようになる。
【0041】
また、本実施の形態における認証委譲システム及び認証委譲方法によれば、認証サーバ100が行う認証処理は、エージェントに行わせる(委譲する)ようにしているので、認証処理のたびに認証サーバ100に接続する必要がなくなる。この結果、本実施の形態におけるシステム及び方法によれば、より迅速な認証処理が実現可能となり、認証のための時間や料金が削減できるようになる。
【0042】
ところで、上述した実施の形態においては、図3のステップS31において、端末ID及びサービス名を送信しているがこれに限るものではない。例えば、SIM(Subscriber Identification Module)のIDを送信してもよい。この場合、認証サーバ100側では、「契約者によるサービス可否」という認証が可能となる。このように、認証サーバ100では、携帯端末200から送信されてくる情報が何であっても、送信された情報を基に、サービスへのアクセス可否を判断するための条件を制御又は管理することが可能である。
【0043】
さらに、上述では、図4のステップS48において、認証処理がNGとなった際はアクセス要求情報のエントリのみを削除することとした。この場合、認証処理がNGとなったにもかかわらず、エージェントがアクセス管理情報を参照するたびに再び認証処理を行ってしまう。このため、認証処理にNGとなった場合は、アクセス要求情報のエントリの削除のほか、エージェント及びエージェントに対応するアクセス管理情報を削除するようにしてもよい。また、上述では、アプリケーションを配信するアプリケーションサーバは1つであったが、複数のアプリケーションサーバが存在してもよい。さらに、上述した実施の形態では、クライアントとして携帯端末を例としたが、パーソナルコンピュータや家電などの通信機能を備えた機器(固定端末)でもよい。
【0044】
さらにまた、上述では、データの暗号化を行うようにはしていないが、セキュリティの観点上、送受信するデータを暗号化してもよい。例えば、アプリケーションサーバ300から配信されるアプリケーション及び属性ファイル、携帯端末200から認証サーバ100へ送信される端末ID及びサービス名、認証サーバ100から携帯端末200に送信されるアクセス管理情報及びエージェント、携帯端末200内のアクセス管理情報、アクセス要求情報は、暗号化され、閲覧や改ざんができない仕組みになっていてもよい。
【実施例】
【0045】
次に、具体的な実施例を用いてより詳細に説明する。まず、図1を用いて、アプリケーションのダウンロード処理について説明する。携帯端末200のユーザは、携帯端末200の図示しない入力装置を操作することで、所望とするアプリケーションのダウンロードを選択する指示入力を行う。この操作指示により、携帯端末200の通信制御部201は、指定されたアプリケーション及びこの属性ファイルをアプリケーションサーバ300よりダウンロードし、記憶装置205内に格納する。上記属性ファイルには、アプリケーション名のほか、当該アプリケーションが使用するサービス及び認証サーバ100のURLなどが含まれている。本実施例では、図5で示す属性が含まれているものとする。なお、その他の属性が含まれていてもよいがここでは特に規定しない。
【0046】
次に、アプリケーション実行時のサービス要求処理について説明する。携帯端末200のユーザは、図示しない入力装置を操作することで所望とするアプリケーションの選択を指示する。ここでは、叙述したことによってダウンロードしたアプリケーション(アプリA)を選択することとする。この指示入力により、アプリケーション制御部203は、記憶装置205内のアプリAを起動する。
【0047】
次に、起動したアプリAは、実行時にサービスを要求する。例として、アプリAを構成しているプログラム内で「getSDCardInfo()」などの関数を呼び出すことで、自身の属性ファイルで示されているSDカードへのアクセスを試みる。この際、アプリケーション制御部203が上記関数の発行を検知し、アプリAがSDカードへアクセスしてよいかの認証が行われる。
【0048】
この後、要求受付部202は、図2のステップS22で示したようにアプリケーション制御部203から渡されたアプリケーション名及びサービス名をキーとして記憶装置205内のアクセス要求情報を検索する。これを図6に示す。本例では、アクセス要求情報内に対応するエントリが存在しないため、これまでに認証処理を行っていないと判定し、認証サーバ100への要求処理へと遷移する。ここでは、認証サーバ100への要求時、端末ID及びサービス名を送信することとする。通信制御部101は、要求受付部102から渡された端末ID及びサービス名を認証サーバ100へと送信する。接続先は、前述した記憶装置205内の属性ファイルの認証サーバ100のURLを参照する。
【0049】
次に、認証サーバ100における認証処理について説明する。図3のステップS31に示したように、通信制御部101は、携帯端末200から送信されてきた情報をアクセス制御部103へと渡す。アクセス制御部103は、渡された情報をキーとして記憶装置102内の管理テーブルを参照し、要求の可否を判定する。この動作について図7を用いて説明する。図7に示すように、アクセス制御部103は、端末ID「000A」に対応するテーブルである「1」を参照することになる。
【0050】
このID「1」のテーブルについて、一例を示すと、図8に示すように、「SDカード」へのアクセスの条件として、「パスワード入力」及び「アクセス回数制限」が設定されている。このため、アプリAは上記条件の範囲内でSDカードへのアクセスが可能であることがわかる。アクセス制御部103は、管理テーブルより、「SDカード」に関するエントリを切り出す。切り出した情報は図3のステップS34で示したアクセス管理情報である。アクセス制御部103は、上記テーブル内にサービス名に対応したエントリが存在しない場合は、要求はNGとなり、この旨を携帯端末200へと通知する。通知手段は、ここでは特に規定しない。
【0051】
次に、エージェント生成部104によるエージェント生成処理について説明する。エージェント生成部104は、携帯端末200の端末ID及びアクセス制御部103が取得したアクセス管理情報を基にエージェントを生成する。エージェント生成部104は、端末IDよりこれまでにエージェントを生成したかの判定を行う。生成している場合は、今回のアクセス管理情報に対応した処理を行う部分のみを生成する(以下、これを差分エージェントという)。 本例では、これまでエージェントを生成していないこととする。
【0052】
上記アクセス管理情報を参照すると、エージェントは「パスワード照会」及び「アクセス回数管理」が少なくとも含まれることになる。「パスワード照会」に関しては、(1)パスワード入力のためのダイアログを表示し、(2)入力されたパスワードが正しいかを検証する処理、を少なくとも含む。また、「アクセス回数管理」に関しては、(1)アクセス回数を管理する処理、(2)アクセス回数が制限を超えた場合にエラーを通知する処理、(3)残回数を通知する処理、などを含む。これらのことによって取得したアクセス管理情報、及び生成したエージェントは、携帯端末200へと送信される。取得したアクセス情報及び生成されたエージェントの一例を、図9に示す。
【0053】
次に携帯端末200における処理(動作)について説明する。通信制御部201は、図9に示した情報を受信し、アクセス管理情報を記憶装置205に格納する。また、エージェントをエージェント制御部204に格納する。ここで、いずれかの認証サーバ100より送信されてきたエージェントが差分エージェントである場合、アクセス管理情報を更新し、対応するエージェントに差分処理の追加を行う。
【0054】
通信制御部201は、上記受信した情報内に情報が含まれている場合は、アプリAからの要求が許可されたと判定し、この旨を要求受付部202へと通知する。通知を受けた要求受付部202は、図10に示すように、アクセス要求情報を更新する。
要求受付部202は、許可の通知を受け、アプリケーションマネージャ203にその旨を通知する。アプリケーションマネージャは、アプリAにSDカードへのアクセスを許可する。すなわち、アプリAが発行した関数である「getSDCardInfo()」に対し、成功の戻り値を返す。アプリAは、SDカードへアクセスする。
以上がサービスへの初回アクセス時のサービス要求処理である。
【0055】
次に、上記以降(2回目以降)のサービス要求処理について説明する。
上記認証処理後に再びアプリAを起動し、アプリAは関数「getSDCardInfo()」を呼び出したものとする。前述したように、アプリケーション制御部203が上記関数の発行を検知し、要求受付部202がアプリケーション名及びサービス名をキーとして記憶装置205内のアクセス要求情報を検索する。ここで、図10に示すようにアクセス要求情報内には該当するエントリが存在するため、認証サーバ100への接続は行わず、携帯端末200内での認証処理に遷移する。
【0056】
要求受付部202は、アプリケーション制御部203から渡されたアプリケーション名及びサービス名を基に、アプリケーションに対応したエージェントを起動する。これを図11に示す。要求を受けたエージェント制御部204内のエージェントマネージャは対応テーブルを参照し、エージェントを起動する。本例では、アプリAに対応するエージェントである「Agent01.prog」が起動する。
【0057】
起動したエージェントは、エージェントマネージャより渡されたサービス名を基に、所定の認証処理を行う。本例では、前述したように、「パスワード照会」及び「アクセス回数管理」を行うこととする。「パスワード照会」では、ダイアログを表示し、図示しない携帯端末200のユーザの入力を待つ。入力されたパスワードと、アクセス管理情報内のパスワードが一致するかを判定する。一致しない場合は図示しない出力装置によってエラーを通知する。本例では、一致したこととする。また、「アクセス回数管理」では、累計アクセス回数を記憶してもよいし、アクセス管理情報内のアクセス回数制限の数値を1回減らしてもよい。本例では、後者のように数値を書き換えることとする。
【0058】
認証処理が完了し、エージェント制御部204は、要求受付部202に成功した旨を通知する。要求受付部202は、許可の通知を受け、アプリケーションマネージャ203にその旨を通知する。アプリケーションマネージャは、アプリAにSDカードへのアクセスを許可し、アプリAが発行した関数である「getSDCardInfo()」に対し、成功の戻り値を返す。この結果、アプリAは、SDカードへアクセスする。
【0059】
以上がサービスへの2回目以降のサービス要求処理である。携帯端末200内で認証処理を行うことが可能であるため、認証サーバ100に接続できない場合であっても許可された範囲内でサービスを使用することが可能である。
【0060】
次に、携帯端末200のエージェント制御部204における記憶装置205内のアクセス管理情報の更新処理について説明する。図4のステップS41に示したように、エージェント制御部204内のエージェントは対応するアクセス管理情報を監視している。本例では、監視するタイミングを週に1回と予め決まっていることとする。
【0061】
アプリAのエージェントである「Agent01.prog」は、対応するアクセス管理情報内のアクセス回数制限を監視している。ここで、アクセス回数制限が「0」となっていたとする。この場合、エージェントは、認証処理が必要であると判定し、認証サーバ100へ接続する。この際、端末ID、サービス名、及び要求元エージェント名を送信する。以後の処理については、前述した更新処理と同じである。上記更新処理において、認証OKである場合、エージェントはアクセス管理情報内のアクセス回数制限を更新する(例えば「10」に)。認証NGである場合、エージェントはアクセス要求情報内のエントリを削除する。
【0062】
上記のような更新処理を行うことで、本発明では、一度認証されたとしても、携帯端末200内のアプリケーションによるサービスの使用を認証サーバ100側で制限することが可能である。
【産業上の利用可能性】
【0063】
本発明によれば、サービスを使用する際に認証を行う認証システムや、認証処理を実現するための方法といった用途に適用できる。
【図面の簡単な説明】
【0064】
【図1】本発明の実施の形態における認証委譲システムの構成例を示す構成図である。
【図2】本発明の実施の形態における認証委譲システムによる認証委譲方法を説明するためのフローチャートである。
【図3】本発明の実施の形態における認証委譲システムによる認証委譲方法を説明するためのフローチャートである。
【図4】本発明の実施の形態における認証委譲システムによる認証委譲方法を説明するためのフローチャートである。
【図5】属性ファイルの1例を示す説明図である。
【図6】要求受付部202及びアプリケーション制御部203の動作を説明するための説明図である。
【図7】通信制御部101及びアクセス制御部103の動作を説明するための説明図である。
【図8】記憶装置102が記憶する管理テーブルの構成例を示す構成図である。
【図9】アクセス情報及び生成されたエージェントの構成例を示す構成図である。
【図10】要求受付部202の動作を説明するための説明図である。
【図11】エージェント制御部204の動作を説明するための説明図である。
【図12】従来よりある認証システムの構成を示す構成図である。
【符号の説明】
【0065】
100…認証サーバ、101…通信制御部、102…記憶装置、103…アクセス制御部、104…エージェント生成部、200…携帯端末(端末装置)、201…通信制御部、202…要求受付部、203…アプリケーション制御部、204…エージェント制御部、205…記憶装置(端末記憶部)、206…サービス群、300…アプリケーションサーバ(アプリケーション配信サーバ)。
【特許請求の範囲】
【請求項1】
ネットワークを介して接続された端末装置,認証サーバ,及びアプリケーション配信サーバを備え、
前記端末装置は、
前記アプリケーション配信サーバよりアプリケーション及び前記アプリケーションが実行するときに使用するサービスの情報からなる属性ファイルをダウンロードする端末装置通信制御手段と、
前記アプリケーションの実行動作を制御するアプリケーション制御部と、
前記認証サーバより受け付けた、前記アプリケーションが実行されるときに要求される前記サービスの認証を行うエージェントに対応するアクセス管理情報を記憶する端末装置記憶部と、
前記通信制御手段がダウンロードしたアプリケーションを前記アプリケーション制御部が実行したときに要求されるサービスの認証が既にされていることを判定する認証判定手段と、
前記認証サーバより受け付けた前記エージェントを格納するとともに、前記認証判定手段による前記認証がすでにされていることの判定で、前記アプリケーション制御部が実行したアプリケーションが要求するサービスの認証を行うエージェントを起動するエージェント制御手段と
を少なくとも備え、
前記認証サーバは、
前記端末装置からの前記サービスに対する認証の要求を受け付けて、予め備えられているアクセス管理情報をもとに、前記端末装置において前記認証を行うエージェントを生成するエージェント生成手段と、
前記エージェント生成手段が生成したエージェント及びこのエージェントを生成するために用いたアクセス管理情報を前記端末装置に送出するサーバ通信制御手段と
を少なくとも備え、
前記エージェント生成手段は、前記端末装置より受け付けた認証の要求に対応するアクセス管理情報をもとに前記エージェントを生成し、
前記端末装置において、前記エージェントは、前記端末装置記憶部に記憶されている対応するアクセス管理情報をもとに前記認証を行う
ことを特徴とする認証委譲システム。
【請求項2】
請求項1記載の認証委譲システムにおいて、
前記端末装置は、
前記認証判定手段による、前記通信制御手段がダウンロードしたアプリケーションを前記アプリケーション制御部が実行したときに要求されるサービスの認証がまだされていないことの判定により、前記認証サーバに対して前記サービスに対する認証の要求を行う認証要求手段を備える
ことを特徴とする認証委譲システム。
【請求項3】
請求項1又は2記載の認証委譲システムにおいて、
前記エージェントは、
対応するアクセス管理情報が備える使用制限情報をもとに、前記認証サーバに対して認証を要求し、この要求の結果、前記認証サーバより受け付けた新たなアクセス管理情報を、自身に対応するアクセス管理情報として更新する
ことを特徴とする認証委譲システム。
【請求項4】
請求項3記載の認証委譲システムにおいて、
前記認証サーバは、前記エージェントからの認証の要求により、前記エージェントに対応する新たなアクセス管理情報を前記端末装置に送出する
ことを特徴とする認証委譲システム。
【請求項5】
ネットワークを介して接続されたアプリケーション配信サーバよりアプリケーション及び前記アプリケーションが実行するときに使用するサービスの情報からなる属性ファイルをダウンロードし、
ネットワークを介して接続された認証サーバより受け付けた、前記アプリケーションが実行されるときに要求される前記サービスの認証を行うエージェントに対応するアクセス管理情報を記憶し、
前記アプリケーション配信サーバよりダウンロードしたアプリケーションを実行したときに要求されるサービスの認証が既にされていることの判定で、実行されたアプリケーションが要求するサービスの認証を行うエージェントを起動し、
起動した前記エージェントに対応するアクセス管理情報をもとにした前記エージェントの動作により前記認証を行う
ことを特徴とする認証委譲方法。
【請求項6】
請求項5記載の認証委譲方法において、
前記通信制御手段がダウンロードしたアプリケーションを前記アプリケーション制御部が実行したときに要求されるサービスの認証がまだされていないことの判定により、前記認証サーバに対して前記サービスに対する認証の要求を行う
ことを特徴とする認証委譲方法。
【請求項7】
請求項5又は6記載の認証委譲方法において、
起動した前記エージェントに対応するアクセス管理情報が備える使用制限情報をもとにした前記エージェントの動作により、前記認証サーバに対して認証を要求し、この要求の結果、前記認証サーバより受け付けた新たなアクセス管理情報を、自身に対応するアクセス管理情報として更新する
ことを特徴とする認証委譲方法。
【請求項8】
ネットワークを介して接続するアプリケーション配信サーバよりアプリケーション及び前記アプリケーションが実行するときに使用するサービスの情報からなる属性ファイルをダウンロードする端末装置通信制御手段と、
前記アプリケーションの実行動作を制御するアプリケーション制御部と、
ネットワークを介して接続された認証サーバより受け付けた、前記アプリケーションが実行されるときに要求される前記サービスの認証を行うエージェントに対応するアクセス管理情報を記憶する端末装置記憶部と、
前記通信制御手段がダウンロードしたアプリケーションを前記アプリケーション制御部が実行したときに要求されるサービスの認証が既にされていることを判定する認証判定手段と、
前記認証サーバより受け付けた前記エージェントを格納するとともに、前記認証判定手段による前記認証がすでにされていることの判定で、前記アプリケーション制御部が実行したアプリケーションが要求するサービスの認証を行うエージェントを起動するエージェント制御手段と
を少なくとも備え、
前記エージェントは、予め備えられているアクセス管理情報をもとに生成されたものであり、
前記エージェントは、前記端末装置記憶部に記憶されている対応するアクセス管理情報をもとに前記認証を行う
ことを特徴とする端末装置。
【請求項9】
請求項8記載の端末装置において、
前記認証判定手段による、前記通信制御手段がダウンロードしたアプリケーションを前記アプリケーション制御部が実行したときに要求されるサービスの認証がまだされていないことの判定により、前記認証サーバに対して前記サービスに対する認証の要求を行う認証要求手段を備える
ことを特徴とする端末装置。
【請求項10】
請求項8又は9記載の端末において、
前記エージェントは、
対応するアクセス管理情報が備える使用制限情報をもとに、前記認証サーバに対して認証を要求し、この要求の結果、前記認証サーバより受け付けた新たなアクセス管理情報を、自身に対応するアクセス管理情報として更新する
ことを特徴とする端末装置。
【請求項11】
ネットワークを介して接続された端末装置からのサービスに対する認証の要求を受け付けて、予め備えられているアクセス管理情報をもとに、前記端末装置において前記認証を行うエージェントを生成するエージェント生成手段と、
前記エージェント生成手段が生成したエージェント及びこのエージェントを生成するために用いたアクセス管理情報を前記端末装置に送出するサーバ通信制御手段と
を少なくとも備え、
前記エージェント生成手段は、前記端末装置より受け付けた認証の要求に対応するアクセス管理情報をもとに前記エージェントを生成する
ことを特徴とする認証サーバ。
【請求項1】
ネットワークを介して接続された端末装置,認証サーバ,及びアプリケーション配信サーバを備え、
前記端末装置は、
前記アプリケーション配信サーバよりアプリケーション及び前記アプリケーションが実行するときに使用するサービスの情報からなる属性ファイルをダウンロードする端末装置通信制御手段と、
前記アプリケーションの実行動作を制御するアプリケーション制御部と、
前記認証サーバより受け付けた、前記アプリケーションが実行されるときに要求される前記サービスの認証を行うエージェントに対応するアクセス管理情報を記憶する端末装置記憶部と、
前記通信制御手段がダウンロードしたアプリケーションを前記アプリケーション制御部が実行したときに要求されるサービスの認証が既にされていることを判定する認証判定手段と、
前記認証サーバより受け付けた前記エージェントを格納するとともに、前記認証判定手段による前記認証がすでにされていることの判定で、前記アプリケーション制御部が実行したアプリケーションが要求するサービスの認証を行うエージェントを起動するエージェント制御手段と
を少なくとも備え、
前記認証サーバは、
前記端末装置からの前記サービスに対する認証の要求を受け付けて、予め備えられているアクセス管理情報をもとに、前記端末装置において前記認証を行うエージェントを生成するエージェント生成手段と、
前記エージェント生成手段が生成したエージェント及びこのエージェントを生成するために用いたアクセス管理情報を前記端末装置に送出するサーバ通信制御手段と
を少なくとも備え、
前記エージェント生成手段は、前記端末装置より受け付けた認証の要求に対応するアクセス管理情報をもとに前記エージェントを生成し、
前記端末装置において、前記エージェントは、前記端末装置記憶部に記憶されている対応するアクセス管理情報をもとに前記認証を行う
ことを特徴とする認証委譲システム。
【請求項2】
請求項1記載の認証委譲システムにおいて、
前記端末装置は、
前記認証判定手段による、前記通信制御手段がダウンロードしたアプリケーションを前記アプリケーション制御部が実行したときに要求されるサービスの認証がまだされていないことの判定により、前記認証サーバに対して前記サービスに対する認証の要求を行う認証要求手段を備える
ことを特徴とする認証委譲システム。
【請求項3】
請求項1又は2記載の認証委譲システムにおいて、
前記エージェントは、
対応するアクセス管理情報が備える使用制限情報をもとに、前記認証サーバに対して認証を要求し、この要求の結果、前記認証サーバより受け付けた新たなアクセス管理情報を、自身に対応するアクセス管理情報として更新する
ことを特徴とする認証委譲システム。
【請求項4】
請求項3記載の認証委譲システムにおいて、
前記認証サーバは、前記エージェントからの認証の要求により、前記エージェントに対応する新たなアクセス管理情報を前記端末装置に送出する
ことを特徴とする認証委譲システム。
【請求項5】
ネットワークを介して接続されたアプリケーション配信サーバよりアプリケーション及び前記アプリケーションが実行するときに使用するサービスの情報からなる属性ファイルをダウンロードし、
ネットワークを介して接続された認証サーバより受け付けた、前記アプリケーションが実行されるときに要求される前記サービスの認証を行うエージェントに対応するアクセス管理情報を記憶し、
前記アプリケーション配信サーバよりダウンロードしたアプリケーションを実行したときに要求されるサービスの認証が既にされていることの判定で、実行されたアプリケーションが要求するサービスの認証を行うエージェントを起動し、
起動した前記エージェントに対応するアクセス管理情報をもとにした前記エージェントの動作により前記認証を行う
ことを特徴とする認証委譲方法。
【請求項6】
請求項5記載の認証委譲方法において、
前記通信制御手段がダウンロードしたアプリケーションを前記アプリケーション制御部が実行したときに要求されるサービスの認証がまだされていないことの判定により、前記認証サーバに対して前記サービスに対する認証の要求を行う
ことを特徴とする認証委譲方法。
【請求項7】
請求項5又は6記載の認証委譲方法において、
起動した前記エージェントに対応するアクセス管理情報が備える使用制限情報をもとにした前記エージェントの動作により、前記認証サーバに対して認証を要求し、この要求の結果、前記認証サーバより受け付けた新たなアクセス管理情報を、自身に対応するアクセス管理情報として更新する
ことを特徴とする認証委譲方法。
【請求項8】
ネットワークを介して接続するアプリケーション配信サーバよりアプリケーション及び前記アプリケーションが実行するときに使用するサービスの情報からなる属性ファイルをダウンロードする端末装置通信制御手段と、
前記アプリケーションの実行動作を制御するアプリケーション制御部と、
ネットワークを介して接続された認証サーバより受け付けた、前記アプリケーションが実行されるときに要求される前記サービスの認証を行うエージェントに対応するアクセス管理情報を記憶する端末装置記憶部と、
前記通信制御手段がダウンロードしたアプリケーションを前記アプリケーション制御部が実行したときに要求されるサービスの認証が既にされていることを判定する認証判定手段と、
前記認証サーバより受け付けた前記エージェントを格納するとともに、前記認証判定手段による前記認証がすでにされていることの判定で、前記アプリケーション制御部が実行したアプリケーションが要求するサービスの認証を行うエージェントを起動するエージェント制御手段と
を少なくとも備え、
前記エージェントは、予め備えられているアクセス管理情報をもとに生成されたものであり、
前記エージェントは、前記端末装置記憶部に記憶されている対応するアクセス管理情報をもとに前記認証を行う
ことを特徴とする端末装置。
【請求項9】
請求項8記載の端末装置において、
前記認証判定手段による、前記通信制御手段がダウンロードしたアプリケーションを前記アプリケーション制御部が実行したときに要求されるサービスの認証がまだされていないことの判定により、前記認証サーバに対して前記サービスに対する認証の要求を行う認証要求手段を備える
ことを特徴とする端末装置。
【請求項10】
請求項8又は9記載の端末において、
前記エージェントは、
対応するアクセス管理情報が備える使用制限情報をもとに、前記認証サーバに対して認証を要求し、この要求の結果、前記認証サーバより受け付けた新たなアクセス管理情報を、自身に対応するアクセス管理情報として更新する
ことを特徴とする端末装置。
【請求項11】
ネットワークを介して接続された端末装置からのサービスに対する認証の要求を受け付けて、予め備えられているアクセス管理情報をもとに、前記端末装置において前記認証を行うエージェントを生成するエージェント生成手段と、
前記エージェント生成手段が生成したエージェント及びこのエージェントを生成するために用いたアクセス管理情報を前記端末装置に送出するサーバ通信制御手段と
を少なくとも備え、
前記エージェント生成手段は、前記端末装置より受け付けた認証の要求に対応するアクセス管理情報をもとに前記エージェントを生成する
ことを特徴とする認証サーバ。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2008−269220(P2008−269220A)
【公開日】平成20年11月6日(2008.11.6)
【国際特許分類】
【出願番号】特願2007−110430(P2007−110430)
【出願日】平成19年4月19日(2007.4.19)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成20年11月6日(2008.11.6)
【国際特許分類】
【出願日】平成19年4月19日(2007.4.19)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]