認証方法、端末装置、中継装置及び認証サーバ
【課題】 複数の認証サーバによってユーザ認証処理が行われるネットワークにおいて、端末装置が複数のテンポラリIDを入手して使い分けなくても、安全なユーザ認証処理を実現する。
【解決手段】 本発明に係る端末装置は、中継装置200Aに対して、ユーザIDを含む第1の認証情報を送信する第1の認証情報送信部103と、中継装置200Aを介して第1の認証情報を受信した認証サーバ300Aによって発行されたテンポラリIDを記憶するテンポラリID記憶部102と、中継装置200Aに対して、テンポラリID及び認証サーバを識別するための認証サーバIDを含む第2の認証情報を送信する第2の認証情報送信部103とを具備する。
【解決手段】 本発明に係る端末装置は、中継装置200Aに対して、ユーザIDを含む第1の認証情報を送信する第1の認証情報送信部103と、中継装置200Aを介して第1の認証情報を受信した認証サーバ300Aによって発行されたテンポラリIDを記憶するテンポラリID記憶部102と、中継装置200Aに対して、テンポラリID及び認証サーバを識別するための認証サーバIDを含む第2の認証情報を送信する第2の認証情報送信部103とを具備する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、端末装置のユーザについてのユーザ認証処理を行う認証方法、かかる方法に用いられる端末装置、中継装置及び認証サーバに関する。
【背景技術】
【0002】
従来、WLANにおいてユーザIDを隠蔽しながらユーザ認証処理を行う認証方法として、EAP-TTLS方式が知られている。
【0003】
EAP-TTLS方式では、端末装置と認証サーバとの間でセキュアトンネルが構築され、当該端末装置が、構築されたセキュアトンネルを介して、当該認証サーバにユーザIDを送信するように構成されている。
【0004】
しかしながら、EAP-TTLS方式には、セキュアトンネルを構築するステップが冗長であるという問題点があった。
【0005】
かかる問題点を解決するために、セキュアトンネルを構築することなくユーザ認証処理を行う方式として、EAP-AKA方式が考えられていた。図15を参照して、かかるEAP-AKA方式について簡単に説明する。
【0006】
図15に示すように、初回のユーザ認証処理では、ステップS1001において、端末装置100が、ユーザIDを含む認証情報を認証機器(中継装置)200Aに送信し、ステップS1002において、認証機器200Aが、当該認証情報を認証サーバ300Aに転送する。
【0007】
ステップS1003において、認証サーバ300Aが、受信した認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行い、その後、当該端末装置100のユーザ用のテンポラリID(一時的なユーザID)を生成する。
【0008】
ステップS1004において、認証サーバ300Aが、当該テンポラリIDを認証機器200Aに通知し、ステップS1005において、認証機器200Aが、当該テンポラリIDを端末装置100に通知する。
【0009】
そして、2回目以降のユーザ認証処理は、認証サーバ300Aにおいて、端末装置100によって送信されるテンポラリIDを含む認証情報に基づいて行われる。
【発明の開示】
【発明が解決しようとする課題】
【0010】
しかしながら、従来のEAP-AKA方式を用いてユーザ認証処理は、複数の認証サーバによって実現される場合、各認証サーバが、全ての認証サーバによって発行されたユーザIDとテンポラリIDとの対応付けを把握していないため、うまく機能しないという問題点があった。
【0011】
図15を参照して、かかる問題点について、具体的に説明する。
【0012】
ステップS1006において、端末装置100が、認証サーバ300Aによって発行されたテンポラリIDを含む認証情報を認証機器200Aに送信し、ステップS1007において、認証機器200Aが、当該認証情報を認証サーバ300Bに転送するものとする。
【0013】
かかる場合、ステップS1008において、認証サーバ300Bは、受信した認証情報に含まれているテンポラリIDとユーザIDとの対応付けを管理していないため、かかる認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行うことができない。
【0014】
したがって、ステップS1009において、認証サーバ300Bは、その旨を示す認証結果(NG)を認証機器200Aに通知し、ステップS1010において、認証機器200Aが、かかる認証結果(NG)を端末装置100に通知することになる。
【0015】
その結果、ステップS1011乃至S1015において、端末装置100は、再度、初回のユーザ認証処理を行うことによって、認証サーバ300Bによって発行されるテンポラリIDを入手しなければならない。
【0016】
なお、他にも認証サーバ300が複数存在する場合、端末装置100は、全ての認証サーバ300によって発行されるテンポラリIDを入手して、ユーザ認証処理を行う認証サーバごとにテンポラリIDを使い分ける必要がある。
【0017】
そこで、本発明は、以上の点に鑑みてなされたもので、複数の認証サーバによってユーザ認証処理が行われるネットワークにおいて、端末装置が複数のテンポラリIDを入手して使い分けなくても、安全なユーザ認証処理を実現することができる認証方法、かかる方法に用いられる端末装置、中継装置及び認証サーバを提供することを目的とする。
【課題を解決するための手段】
【0018】
本発明の第1の特徴は、端末装置のユーザについてのユーザ認証処理を行う認証方法であって、前記端末装置が、ユーザIDを含む第1の認証情報を中継装置に送信する工程と、前記中継装置が、前記第1の認証情報を、前記ユーザIDに対応する認証サーバに転送する工程と、前記認証サーバが、前記第1の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程と、前記認証サーバが、前記端末装置のユーザ用のテンポラリIDを発行して、該認証サーバを識別するための認証サーバID及び該テンポラリIDを前記中継装置に送信する工程と、前記中継装置が、前記テンポラリID及び前記認証サーバIDを、前記端末装置に通知する工程と、前記端末装置が、前記テンポラリID及び前記認証サーバIDを含む第2の認証情報を前記中継装置に送信する工程と、前記中継装置が、前記第2の認証情報に含まれる前記認証サーバIDに基づいて、前記テンポラリIDを含む第3の認証情報を、該認証サーバに送信する工程と、前記認証サーバが、前記第3の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程とを有することを要旨とする。
【0019】
本発明の第2の特徴は、認証サーバによってユーザ認証処理が行われるユーザによって利用される端末装置であって、中継装置に対して、ユーザIDを含む第1の認証情報を送信する第1の認証情報送信部と、前記中継装置を介して前記第1の認証情報を受信した前記認証サーバによって発行されたテンポラリIDを記憶するテンポラリID記憶部と、前記中継装置に対して、前記テンポラリID及び前記認証サーバを識別するための認証サーバIDを含む第2の認証情報を送信する第2の認証情報送信部とを具備することを要旨とする。
【0020】
本発明の第3の特徴は、端末装置から送信された認証情報を認証サーバに転送する中継装置であって、ユーザIDを含む第1の認証情報を前記端末装置から受信した場合、該ユーザIDに対応する前記認証サーバに対して該第1の認証情報を転送する第1の認証情報送信部と、前記テンポラリID及び前記認証サーバIDを含む第2の認証情報を受信した場合、前記認証サーバIDによって識別される認証サーバに対して、該テンポラリIDを含む第3の認証情報を送信する第3の認証情報送信部とを具備することを要旨とする。
【0021】
本発明の第4の特徴は、端末装置のユーザについてのユーザ認証処理を行う認証サーバであって、前記端末装置から送信されたユーザIDを含む第1の認証情報を受信した場合、前記第1の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う第1の認証情報処理部と、前記端末装置のユーザ用のテンポラリIDを生成して前記端末装置に通知するテンポラリID生成部と、前記端末装置から送信された前記テンポラリIDを含む第3の認証情報を受信した場合、前記第3の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う第3の認証情報処理部とを具備することを要旨とする。
【発明の効果】
【0022】
以上説明したように、本発明によれば、複数の認証サーバによってユーザ認証処理が行われるネットワークにおいて、端末装置が複数のテンポラリIDを入手して使い分けなくても、安全なユーザ認証処理を実現することができる認証方法、かかる方法に用いられる端末装置、中継装置及び認証サーバを提供することができる。
【0023】
本発明によれば、例えば、負荷分散等を考慮して複数の認証サーバが設置されるネットワークや、複数の通信事業者を跨って構成されるネットワーク等の、ユーザ認証処理が分散して行われるネットワークにおいて、ユーザIDを露出することなく、安全にユーザ認証処理を行うことができ、ユーザのロケーションプライバシー侵害を防ぐことが可能となる。
【発明を実施するための最良の形態】
【0024】
(本発明の第1の実施形態に係る認証システム)
図1乃至図5を参照して、本実施形態に係る第1の実施形態に係る認証システムについて説明する。
【0025】
図1に示すように、本実施形態に係る認証システムは、端末装置100と、認証機器200Aと、複数の認証サーバ300A乃至300Cによって構成されている通信事業者のネットワーク3とを具備している。
【0026】
本実施形態に係る認証システムでは、通信事業者のネットワーク3を構成する複数の認証サーバ300A乃至300Cのいずれかが、端末装置100のユーザについてのユーザ認証処理を行うように構成されている。
【0027】
また、本実施形態に係る認証システムでは、端末装置100は、無線LANを介して認証機器200Aに接続するように構成されており、認証機器200Aは、通信事業者のネットワーク3内の全ての認証サーバ300A乃至300Cに接続されている。
【0028】
図2に示すように、端末装置100は、ユーザID記憶部101と、テンポラリIDテーブル記憶部102と、認証情報送信部103と、認証結果受信部104とを具備している。本実施形態では、端末装置100として、携帯通信端末が用いられている。
【0029】
ユーザID記憶部101は、端末装置100のユーザを識別するためのユーザIDを記憶するものである。例えば、ユーザIDとして、携帯電話番号等が用いられ得る。
【0030】
テンポラリIDテーブル記憶部102は、認証機器200Aを介して第1の認証情報(後述)を受信した認証サーバ300によって発行されたテンポラリIDを記憶するものである。
【0031】
具体的には、テンポラリIDテーブル記憶部102は、「テンポラリID」と「認証サーバID」とを対応付けるテンポラリIDテーブルを記憶するように構成されている。
【0032】
ここで、「テンポラリID」は、ユーザIDを隠蔽するために、端末装置100のユーザについての初回のユーザ認証処理を行った認証サーバによって発行された一時的なユーザIDである。
【0033】
また、「認証サーバID」は、当該テンポラリIDを発行した認証サーバを識別するための識別情報である。例えば、認証サーバIDとして、認証サーバのURL等が用いられ得る。
【0034】
認証情報送信部103は、初回のユーザ認証処理時に、認証機器200Aに対して、ユーザIDを含む第1の認証情報を送信するものである。
【0035】
また、認証情報送信部103は、2回目以降のユーザ認証処理時に、認証機器200Aに対して、テンポラリIDテーブル記憶部102を参照して、該当するテンポラリID及び認証サーバIDを含む第2の認証情報を送信するものである。
【0036】
ここで、2回目以降のユーザ認証処理時には、例えば、鍵更新時や位置登録時等の周期的なユーザ認証処理時や、サービス接続時や発信時の不定期なユーザ認証処理時等が含まれる。
【0037】
認証結果受信部104は、認証機器200Aを介して、認証サーバ300から受信した認証結果を受信するものである。認証結果受信部104は、受信した認証結果に含まれるテンポラリIDに基づいて、テンポラリIDテーブル記憶部102内のテンポラリIDテーブルを更新するように構成されていてもよい。
【0038】
図3に示すように、認証機器200Aは、認証情報受信部201と、ユーザIDテーブル記憶部202と、認証サーバIDテーブル記憶部203と、認証情報転送部204と、認証結果受信部205と、認証結果転送部206とを具備している。なお、本実施形態では、認証機器200Aは、端末装置100から送信された認証情報を、認証サーバ300A乃至300Cのいずれかに転送する中継装置としての役割を果たすように構成されている。
【0039】
認証情報受信部201は、ユーザIDを含む第1の認証情報、又は、テンポラリID及び認証サーバIDを含む第2の認証情報を、端末装置100から受信するものである。
【0040】
ユーザIDテーブル記憶部202は、「ユーザID」と「認証サーバID」とを対応付けるユーザIDテーブルを記憶するものである。すなわち、ユーザIDテーブル記憶部202は、ユーザIDテーブルによって、各ユーザについての初回のユーザ認証処理を行う認証サーバ300A乃至300Cを管理する。
【0041】
認証サーバIDテーブル記憶部203は、図1に示すように、「認証サーバID」と「アドレス」とを対応付ける認証サーバIDテーブル2を記憶するものである。「アドレス」は、認証サーバのアドレスを示すものであって、例えば、認証サーバのIPアドレスを示す。
【0042】
なお、認証サーバIDテーブル2内に記憶されていない認証サーバIDによって識別される認証サーバ300のアドレスは、「default」ゲートウェイのアドレス(図1の例では、「aaa.aaa.aaa.aaa」)として設定されている。
【0043】
認証情報転送部204は、ユーザIDを含む第1の認証情報を端末装置100から受信した場合、当該ユーザIDに対応する認証サーバ300に対して当該第1の認証情報を転送するものである。
【0044】
具体的には、認証情報転送部204は、ユーザIDを含む第1の認証情報を受信した場合、ユーザIDテーブル及び認証サーバIDテーブル2を参照して、当該ユーザIDに対応する認証サーバ300のアドレス宛てに当該第1の認証情報を転送するように構成されている。
【0045】
また、認証情報転送部204は、テンポラリID及び認証サーバIDを含む第2の認証情報を受信した場合、認証サーバIDテーブル2を参照して、当該認証サーバIDによって識別される認証サーバ300に対して、当該テンポラリIDを含む第3の認証情報を送信するものである。
【0046】
具体的には、認証情報転送部204は、テンポラリID及び認証サーバIDを含む第2の認証情報を受信した場合、認証サーバIDテーブル2を参照して、当該認証サーバIDに対応するアドレス宛てに、受信した第2の認証情報を第3の認証情報としてそのまま転送するように構成されていてもよいし、少なくとも当該テンポラリIDを含む新たな第3の認証情報を生成して転送するように構成されていてもよい。
【0047】
また、認証情報転送部204は、受信した第1の認証情報に含まれるユーザIDに対応する認証サーバ300のアドレス、又は、受信した第2の認証情報に含まれる認証サーバIDに対応するアドレスを見つけられない場合、第1の認証情報又は第3の認証情報をdefaultゲートウェイに送信するように構成されていてもよい。
【0048】
認証結果受信部205は、端末装置100のユーザについてのユーザ認証処理の結果を示す認証結果、及び、新たに生成されたテンポラリIDを、認証サーバ300から受信するものである。
【0049】
認証結果転送部206は、認証サーバ300から受信した認証結果及びテンポラリIDを、端末装置100に通知するものである。
【0050】
図4に示すように、認証サーバ300は、認証情報受信部301と、認証処理部302と、テンポラリID生成部303と、認証結果送信部304とを具備している。
【0051】
認証情報受信部301は、認証機器200Aを介して、端末装置から送信された第1の認証情報及び第3の認証情報を受信するものである。
【0052】
認証処理部302は、認証情報受信部301によって受信された第1の認証情報又は第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行うものである。
【0053】
具体的には、認証処理部302は、第1の認証情報に含まれるユーザIDによって識別されるユーザが正規のユーザであるか否かについて認証し、また、第3の認証情報に含まれるテンポラリIDによって識別されるユーザが正規のユーザであるか否かについて認証するように構成されている。
【0054】
テンポラリID生成部303は、端末装置100のユーザ用のテンポラリIDを生成するものである。具体的には、テンポラリID生成部303は、初回のユーザ認証処理の完了時に、端末装置100のユーザ用のテンポラリIDをランダムに生成するように構成されている。また、テンポラリID生成部303は、2回目以降のユーザ認証処理の完了時に、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成するように構成されている。
【0055】
認証結果送信部304は、認証処理部302によるユーザ認証処理の結果を示す認証結果と共に、テンポラリID生成部303によって生成されたテンポラリID及び当該認証サーバ300を識別するための認証サーバIDを、認証機器200Aを介して、端末装置100に通知するものである。
【0056】
次に、図5を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。
【0057】
図5に示すように、ステップS101において、初回のユーザ認証処理を希望する端末装置100は、未だテンポラリIDが割り当てられていないため、ユーザIDを含む第1の認証情報を認証機器200Aに送信する。
【0058】
ステップS102において、認証機器200Aは、ユーザIDテーブル及び認証サーバIDテーブル2を参照して、受信した第1の認証情報に含まれるユーザIDに対応する認証サーバ300Aに対して、当該第1の認証情報を転送する。
【0059】
ステップS103において、認証サーバ300Aは、受信した第1の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用のテンポラリIDをランダムに生成する。
【0060】
ステップS104において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証機器200Aに送信する。
【0061】
ステップS105において、認証機器200Aは、受信した認証結果とテンポラリIDと認証サーバIDとを、端末装置100に通知する。
【0062】
ステップS106において、2回目以降のユーザ認証処理を希望する端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Aに送信する。
【0063】
ステップS107において、認証機器200Aは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。
【0064】
ステップS108において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。
【0065】
ステップS109において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証機器200Aに送信する。
【0066】
ステップS110において、認証機器200Aは、受信した認証結果とテンポラリIDと認証サーバIDとを、端末装置100に通知する。
【0067】
本実施形態に係る認証システムによれば、負荷分散等を考慮して複数の認証サーバ300A乃至300Cによって端末装置100のユーザについてのユーザ認証処理を行うネットワークにおいても、テンポラリIDを用いる方式で、ユーザIDを隠蔽することが可能となる。
【0068】
(本発明の第2の実施形態に係る認証システム)
図6及び図7を参照して、本実施形態に係る第2の実施形態に係る認証システムについて、上述の第1の実施形態に係る認証システムとの相違点に着目して説明する。
【0069】
図6に示すように、本実施形態では、端末装置100の移動によって、当該端末装置100が、認証機器200Aと通信している状態から、認証機器200Bと通信する状態に移行する場合の例について説明する。
【0070】
なお、本実施形態では、認証機器200A及び200Bの両者が、通信事業者のネットワーク3内の全ての認証サーバ300A乃至300Cに接続されているものとする。
【0071】
また、本実施形態において、認証機器200A及び200Bの両者は、互いに、認証サーバIDテーブル2の更新内容について、定期的に交換し合っているものとする。
【0072】
次に、図7を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。
【0073】
図7に示すように、ステップS201において、認証機器200Aとの間で通信状態にある端末装置100が、ステップS202において、移動することによって、ステップS203において、認証機器200Bとの間で通信を確立する。
【0074】
なお、端末装置100は、認証機器200Aを介して、初回のユーザ認証処理を行っており、認証サーバ300Aによって、端末装置100のユーザ用のテンポラリIDが既に発行されているものとする。
【0075】
ステップS204において、認証機器200Bとの間で通信状態にある端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Bに送信する。
【0076】
ステップS205において、認証機器200Bは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。
【0077】
ステップS206において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。
【0078】
ステップS207において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証機器200Bに送信する。
【0079】
ステップS208において、認証機器200Bは、受信した認証結果とテンポラリIDと認証サーバIDとを、端末装置100に通知する。
【0080】
本実施形態に係る認証システムによれば、異なる認証機器200Bへの新規接続時においても、ユーザIDを通知することなく、テンポラリIDを通知することによって、ユーザ認証処置を行うことができる。
【0081】
(本発明の第3の実施形態に係る認証システム)
図8乃至図10を参照して、本実施形態に係る第3の実施形態に係る認証システムについて、上述の第1の実施形態に係る認証システムとの相違点に着目して説明する。
【0082】
図8に示すように、通信事業者のネットワーク3内に、複数の認証サーバ300A乃至300Cに加えて、認証プロキシサーバ400Aが設けられている。
【0083】
認証プロキシサーバ400Aは、認証機器200Aに対して、複数の認証サーバ300A乃至300Cの代表としての役割を果たすプロキシサーバである。認証プロキシサーバ400Aは、認証機器200Aと複数の認証サーバ300A乃至300Cと接続されている。
【0084】
具体的には、図9に示すように、認証プロキシサーバ400Aは、認証情報受信部401と、ユーザIDテーブル記憶部402と、認証サーバIDテーブル記憶部403と、認証情報転送部404と、認証結果受信部405と、認証結果転送部406とを具備している。なお、本実施形態では、認証プロキシサーバ400Aは、端末装置100から送信された認証情報を、認証サーバ300A乃至300Cのいずれかに転送する中継装置としての役割を果たすように構成されている。
【0085】
ここで、認証プロキシサーバ400Aの各機能401乃至406は、図3に示す認証機器200Aの各機能201乃至206と同一である。
【0086】
次に、図10を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。
【0087】
図10に示すように、ステップS301において、初回のユーザ認証処理を希望する端末装置100は、未だテンポラリIDが割り当てられていないため、ユーザIDを含む第1の認証情報を認証機器200Aに送信する。
【0088】
ステップS302において、認証機器200Aは、自身が接続されている認証プロキシサーバ400Aに対して、受信した第1の認証情報を転送する。なお、認証機器200Aは、複数の認証プロキシサーバ400に接続されている場合、所定の方式で選択した認証プロキシサーバ400に対して、受信した第1の認証情報を転送するように構成されていてもよい。
【0089】
ステップS303において、認証プロキシサーバ400Aは、ユーザIDテーブル及び認証サーバIDテーブル2を参照して、受信した第1の認証情報に含まれるユーザIDに対応する認証サーバ300Aに対して、当該第1の認証情報を転送する。
【0090】
ステップS304において、認証サーバ300Aは、受信した第1の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用のテンポラリIDをランダムに生成する。
【0091】
ステップS305において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証プロキシサーバ400Aに送信する。
【0092】
ステップS306において、認証プロキシサーバ400Aは、受信した認証結果とテンポラリIDと認証サーバIDとを認証機器200Aに通知し、ステップS307において、認証機器200Aは、受信した認証結果とテンポラリIDと認証サーバIDとを端末装置100に通知する。
【0093】
ステップS308において、2回目以降のユーザ認証処理を希望する端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Aに送信する。
【0094】
ステップS309において、認証機器200Aは、自身が接続されている認証プロキシサーバ400Aに対して、受信した第2の認証情報を転送する。
【0095】
ステップS310において、認証プロキシサーバ400Aは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。
【0096】
ステップS311において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。
【0097】
ステップS312において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証プロキシサーバ400Aに送信する。
【0098】
ステップS313において、認証プロキシサーバ400Aは、受信した認証結果とテンポラリIDと認証サーバIDとを認証機器200Aに通知し、ステップS314において、認証機器200Aは、受信した認証結果とテンポラリIDと認証サーバIDとを端末装置100に通知する。
【0099】
(本発明の第4の実施形態に係る認証システム)
図11及び図12を参照して、本実施形態に係る第4の実施形態に係る認証システムについて、上述の第3の実施形態に係る認証システムとの相違点に着目して説明する。
【0100】
図11に示すように、本実施形態では、端末装置100の移動によって、当該端末装置100が、認証機器200Aと通信している状態から、認証機器200Bと通信する状態に移行する場合の例について説明する。
【0101】
なお、本実施形態では、通信事業者のネットワーク3内に、認証機器200Aに接続されている認証プロキシサーバ400Aに加えて、認証機器200Bに接続されている認証プロキシサーバ400Bが設けられている。そして、認証プロキシサーバ400A及び400Bの両者が、通信事業者のネットワーク3内の全ての認証サーバ300A乃至300Cに接続されているものとする。
【0102】
また、本実施形態において、認証プロキシサーバ400A及び400Bの両者は、互いに、認証サーバIDテーブル2の更新内容について、定期的に交換し合っているものとする。
【0103】
次に、図12を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。
【0104】
図12に示すように、ステップS401において、認証機器200Aとの間で通信状態にある端末装置100が、ステップS402において、移動することによって、ステップS403において、認証機器200Bとの間で通信を確立する。
【0105】
なお、端末装置100は、認証機器200Aを介して、初回のユーザ認証処理を行っており、認証サーバ300Aによって、端末装置100のユーザ用のテンポラリIDが既に発行されているものとする。
【0106】
ステップS404において、認証機器200Bとの間で通信状態にある端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Bに送信する。
【0107】
ステップS405において、認証機器200Bは、自身が接続されている認証プロキシサーバ400Bに対して、受信した第2の認証情報を転送する。なお、認証機器200Bは、複数の認証プロキシサーバ400に接続されている場合、所定の方式で選択した認証プロキシサーバ400に対して、受信した第2の認証情報を転送するように構成されていてもよい。
【0108】
ステップS406において、認証プロキシサーバ400Bは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。
【0109】
ステップS407において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。
【0110】
ステップS408において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証プロキシサーバ400Bに送信する。
【0111】
ステップS409において、認証プロキシサーバ400Bは、受信した認証結果とテンポラリIDと認証サーバIDとを認証機器200Bに通知し、ステップS410において、認証機器200Bは、受信した認証結果とテンポラリIDと認証サーバIDとを端末装置100に通知する。
【0112】
(本発明の第5の実施形態に係る認証システム)
図13及び図14を参照して、本実施形態に係る第5の実施形態に係る認証システムについて、上述の第4の実施形態に係る認証システムとの相違点に着目して説明する。
【0113】
図13に示すように、本実施形態では、端末装置100の移動によって、当該端末装置100が、認証機器200Aと通信している状態から、認証機器200Cと通信する状態に移行する場合の例について説明する。なお、本実施形態に係る認証システムは、複数の通信事業者A及びBによって実現されているものとする。
【0114】
具体的には、通信事業者Aのネットワーク3Aは、複数の認証サーバ300A乃至300Cと、認証プロキシサーバ400Aとを具備し、通信事業者Bのネットワーク3Bは、複数の認証サーバ300D等と、認証プロキシサーバ400Cとを具備するように構成されている。
【0115】
ここで、通信事業者Aのネットワーク3A及び通信事業者Bのネットワーク3Bは、互いのゲートウェイを介して接続されており、相互にローンミングサービスを提供することができる。
【0116】
また、本実施形態において、認証プロキシサーバ400A及び400Cの両者は、互いに、認証サーバIDテーブル2の更新内容について、定期的に交換し合っているものとする。
【0117】
次に、図14を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。
【0118】
図14に示すように、ステップS501において、通信事業者Aのネットワーク3A内の認証プロキシサーバ400Aに接続されている認証機器200Aとの間で通信状態にある端末装置100が、ステップS502において、移動することによって、ステップS503において、通信事業者Bのネットワーク3B内の認証プロキシサーバ400Cに接続されている認証機器200Cとの間で通信を確立する。
【0119】
なお、端末装置100は、認証機器200Aを介して、初回のユーザ認証処理を行っており、認証サーバ300Aによって、端末装置100のユーザ用のテンポラリIDが既に発行されているものとする。
【0120】
ステップS504において、認証機器200Cとの間で通信状態にある端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Cに送信する。
【0121】
ステップS505において、認証機器200Cは、自身が接続されている認証プロキシサーバ400Cに対して、受信した第2の認証情報を転送する。なお、認証機器200Cは、通信事業者Bのネットワーク3B内の複数の認証プロキシサーバ400に接続されている場合、所定の方式で選択した認証プロキシサーバ400に対して、受信した第2の認証情報を転送するように構成されていてもよい。
【0122】
ステップS506において、認証プロキシサーバ400Cは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。
【0123】
具体的には、認証プロキシサーバ400Cは、通信事業者Aのネットワーク3A内のゲートウェイに対して、認証サーバ300A宛ての第3の認証情報を転送する、すなわち、ローミングサービスを利用することによって、第3の認証情報を認証サーバ300Aに転送するように構成されている。
【0124】
ステップS507において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。
【0125】
ステップS508において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証プロキシサーバ400Cに送信する。
【0126】
具体的には、認証サーバ300Aは、通信事業者Bのネットワーク3B内のゲートウェイに対して、認証プロキシサーバ400C宛ての情報(認証結果、テンポラリID及び認証サーバID)を転送する、すなわち、ローミングサービスを利用することによって、情報(認証結果、テンポラリID及び認証サーバID)を認証プロキシサーバ400Cに転送するように構成されている。
【0127】
ステップS509において、認証プロキシサーバ400Cは、受信した認証結果とテンポラリIDと認証サーバIDとを認証機器200Cに通知し、ステップS510において、認証機器200Cは、受信した認証結果とテンポラリIDと認証サーバIDとを端末装置100に通知する。
【図面の簡単な説明】
【0128】
【図1】本発明の第1の実施形態に係る認証システムの全体構成図である。
【図2】本発明の第1の実施形態に係る認証システムにおける端末装置の機能ブロック図である。
【図3】本発明の第1の実施形態に係る認証システムにおける認証機器の機能ブロック図である。
【図4】本発明の第1の実施形態に係る認証システムにおける認証サーバの機能ブロック図である。
【図5】本発明の第1の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。
【図6】本発明の第2の実施形態に係る認証システムの全体構成図である。
【図7】本発明の第2の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。
【図8】本発明の第3の実施形態に係る認証システムの全体構成図である。
【図9】本発明の第3の実施形態に係る認証システムにおける認証プロキシサーバの機能ブロック図である。
【図10】本発明の第3の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。
【図11】本発明の第4の実施形態に係る認証システムの全体構成図である。
【図12】本発明の第4の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。
【図13】本発明の第5の実施形態に係る認証システムの全体構成図である。
【図14】本発明の第5の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。
【図15】従来技術に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。
【符号の説明】
【0129】
100…端末装置
101…ユーザID記憶部
102…テンポラリIDテーブル記憶部
103…認証情報送信部
104、205、405…認証結果受信部
200A、200B、200C…認証機器
201、301、401…認証情報受信部
202、402…ユーザIDテーブル記憶部
203、403…認証サーバIDテーブル記憶部
204、404…認証情報転送部
206、406…認証結果転送部
300A、300B、300C…認証サーバ
302…認証処理部
303…テンポラリID生成部
304…認証結果送信部
400A、400B、400C…認証プロキシサーバ
【技術分野】
【0001】
本発明は、端末装置のユーザについてのユーザ認証処理を行う認証方法、かかる方法に用いられる端末装置、中継装置及び認証サーバに関する。
【背景技術】
【0002】
従来、WLANにおいてユーザIDを隠蔽しながらユーザ認証処理を行う認証方法として、EAP-TTLS方式が知られている。
【0003】
EAP-TTLS方式では、端末装置と認証サーバとの間でセキュアトンネルが構築され、当該端末装置が、構築されたセキュアトンネルを介して、当該認証サーバにユーザIDを送信するように構成されている。
【0004】
しかしながら、EAP-TTLS方式には、セキュアトンネルを構築するステップが冗長であるという問題点があった。
【0005】
かかる問題点を解決するために、セキュアトンネルを構築することなくユーザ認証処理を行う方式として、EAP-AKA方式が考えられていた。図15を参照して、かかるEAP-AKA方式について簡単に説明する。
【0006】
図15に示すように、初回のユーザ認証処理では、ステップS1001において、端末装置100が、ユーザIDを含む認証情報を認証機器(中継装置)200Aに送信し、ステップS1002において、認証機器200Aが、当該認証情報を認証サーバ300Aに転送する。
【0007】
ステップS1003において、認証サーバ300Aが、受信した認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行い、その後、当該端末装置100のユーザ用のテンポラリID(一時的なユーザID)を生成する。
【0008】
ステップS1004において、認証サーバ300Aが、当該テンポラリIDを認証機器200Aに通知し、ステップS1005において、認証機器200Aが、当該テンポラリIDを端末装置100に通知する。
【0009】
そして、2回目以降のユーザ認証処理は、認証サーバ300Aにおいて、端末装置100によって送信されるテンポラリIDを含む認証情報に基づいて行われる。
【発明の開示】
【発明が解決しようとする課題】
【0010】
しかしながら、従来のEAP-AKA方式を用いてユーザ認証処理は、複数の認証サーバによって実現される場合、各認証サーバが、全ての認証サーバによって発行されたユーザIDとテンポラリIDとの対応付けを把握していないため、うまく機能しないという問題点があった。
【0011】
図15を参照して、かかる問題点について、具体的に説明する。
【0012】
ステップS1006において、端末装置100が、認証サーバ300Aによって発行されたテンポラリIDを含む認証情報を認証機器200Aに送信し、ステップS1007において、認証機器200Aが、当該認証情報を認証サーバ300Bに転送するものとする。
【0013】
かかる場合、ステップS1008において、認証サーバ300Bは、受信した認証情報に含まれているテンポラリIDとユーザIDとの対応付けを管理していないため、かかる認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行うことができない。
【0014】
したがって、ステップS1009において、認証サーバ300Bは、その旨を示す認証結果(NG)を認証機器200Aに通知し、ステップS1010において、認証機器200Aが、かかる認証結果(NG)を端末装置100に通知することになる。
【0015】
その結果、ステップS1011乃至S1015において、端末装置100は、再度、初回のユーザ認証処理を行うことによって、認証サーバ300Bによって発行されるテンポラリIDを入手しなければならない。
【0016】
なお、他にも認証サーバ300が複数存在する場合、端末装置100は、全ての認証サーバ300によって発行されるテンポラリIDを入手して、ユーザ認証処理を行う認証サーバごとにテンポラリIDを使い分ける必要がある。
【0017】
そこで、本発明は、以上の点に鑑みてなされたもので、複数の認証サーバによってユーザ認証処理が行われるネットワークにおいて、端末装置が複数のテンポラリIDを入手して使い分けなくても、安全なユーザ認証処理を実現することができる認証方法、かかる方法に用いられる端末装置、中継装置及び認証サーバを提供することを目的とする。
【課題を解決するための手段】
【0018】
本発明の第1の特徴は、端末装置のユーザについてのユーザ認証処理を行う認証方法であって、前記端末装置が、ユーザIDを含む第1の認証情報を中継装置に送信する工程と、前記中継装置が、前記第1の認証情報を、前記ユーザIDに対応する認証サーバに転送する工程と、前記認証サーバが、前記第1の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程と、前記認証サーバが、前記端末装置のユーザ用のテンポラリIDを発行して、該認証サーバを識別するための認証サーバID及び該テンポラリIDを前記中継装置に送信する工程と、前記中継装置が、前記テンポラリID及び前記認証サーバIDを、前記端末装置に通知する工程と、前記端末装置が、前記テンポラリID及び前記認証サーバIDを含む第2の認証情報を前記中継装置に送信する工程と、前記中継装置が、前記第2の認証情報に含まれる前記認証サーバIDに基づいて、前記テンポラリIDを含む第3の認証情報を、該認証サーバに送信する工程と、前記認証サーバが、前記第3の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程とを有することを要旨とする。
【0019】
本発明の第2の特徴は、認証サーバによってユーザ認証処理が行われるユーザによって利用される端末装置であって、中継装置に対して、ユーザIDを含む第1の認証情報を送信する第1の認証情報送信部と、前記中継装置を介して前記第1の認証情報を受信した前記認証サーバによって発行されたテンポラリIDを記憶するテンポラリID記憶部と、前記中継装置に対して、前記テンポラリID及び前記認証サーバを識別するための認証サーバIDを含む第2の認証情報を送信する第2の認証情報送信部とを具備することを要旨とする。
【0020】
本発明の第3の特徴は、端末装置から送信された認証情報を認証サーバに転送する中継装置であって、ユーザIDを含む第1の認証情報を前記端末装置から受信した場合、該ユーザIDに対応する前記認証サーバに対して該第1の認証情報を転送する第1の認証情報送信部と、前記テンポラリID及び前記認証サーバIDを含む第2の認証情報を受信した場合、前記認証サーバIDによって識別される認証サーバに対して、該テンポラリIDを含む第3の認証情報を送信する第3の認証情報送信部とを具備することを要旨とする。
【0021】
本発明の第4の特徴は、端末装置のユーザについてのユーザ認証処理を行う認証サーバであって、前記端末装置から送信されたユーザIDを含む第1の認証情報を受信した場合、前記第1の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う第1の認証情報処理部と、前記端末装置のユーザ用のテンポラリIDを生成して前記端末装置に通知するテンポラリID生成部と、前記端末装置から送信された前記テンポラリIDを含む第3の認証情報を受信した場合、前記第3の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う第3の認証情報処理部とを具備することを要旨とする。
【発明の効果】
【0022】
以上説明したように、本発明によれば、複数の認証サーバによってユーザ認証処理が行われるネットワークにおいて、端末装置が複数のテンポラリIDを入手して使い分けなくても、安全なユーザ認証処理を実現することができる認証方法、かかる方法に用いられる端末装置、中継装置及び認証サーバを提供することができる。
【0023】
本発明によれば、例えば、負荷分散等を考慮して複数の認証サーバが設置されるネットワークや、複数の通信事業者を跨って構成されるネットワーク等の、ユーザ認証処理が分散して行われるネットワークにおいて、ユーザIDを露出することなく、安全にユーザ認証処理を行うことができ、ユーザのロケーションプライバシー侵害を防ぐことが可能となる。
【発明を実施するための最良の形態】
【0024】
(本発明の第1の実施形態に係る認証システム)
図1乃至図5を参照して、本実施形態に係る第1の実施形態に係る認証システムについて説明する。
【0025】
図1に示すように、本実施形態に係る認証システムは、端末装置100と、認証機器200Aと、複数の認証サーバ300A乃至300Cによって構成されている通信事業者のネットワーク3とを具備している。
【0026】
本実施形態に係る認証システムでは、通信事業者のネットワーク3を構成する複数の認証サーバ300A乃至300Cのいずれかが、端末装置100のユーザについてのユーザ認証処理を行うように構成されている。
【0027】
また、本実施形態に係る認証システムでは、端末装置100は、無線LANを介して認証機器200Aに接続するように構成されており、認証機器200Aは、通信事業者のネットワーク3内の全ての認証サーバ300A乃至300Cに接続されている。
【0028】
図2に示すように、端末装置100は、ユーザID記憶部101と、テンポラリIDテーブル記憶部102と、認証情報送信部103と、認証結果受信部104とを具備している。本実施形態では、端末装置100として、携帯通信端末が用いられている。
【0029】
ユーザID記憶部101は、端末装置100のユーザを識別するためのユーザIDを記憶するものである。例えば、ユーザIDとして、携帯電話番号等が用いられ得る。
【0030】
テンポラリIDテーブル記憶部102は、認証機器200Aを介して第1の認証情報(後述)を受信した認証サーバ300によって発行されたテンポラリIDを記憶するものである。
【0031】
具体的には、テンポラリIDテーブル記憶部102は、「テンポラリID」と「認証サーバID」とを対応付けるテンポラリIDテーブルを記憶するように構成されている。
【0032】
ここで、「テンポラリID」は、ユーザIDを隠蔽するために、端末装置100のユーザについての初回のユーザ認証処理を行った認証サーバによって発行された一時的なユーザIDである。
【0033】
また、「認証サーバID」は、当該テンポラリIDを発行した認証サーバを識別するための識別情報である。例えば、認証サーバIDとして、認証サーバのURL等が用いられ得る。
【0034】
認証情報送信部103は、初回のユーザ認証処理時に、認証機器200Aに対して、ユーザIDを含む第1の認証情報を送信するものである。
【0035】
また、認証情報送信部103は、2回目以降のユーザ認証処理時に、認証機器200Aに対して、テンポラリIDテーブル記憶部102を参照して、該当するテンポラリID及び認証サーバIDを含む第2の認証情報を送信するものである。
【0036】
ここで、2回目以降のユーザ認証処理時には、例えば、鍵更新時や位置登録時等の周期的なユーザ認証処理時や、サービス接続時や発信時の不定期なユーザ認証処理時等が含まれる。
【0037】
認証結果受信部104は、認証機器200Aを介して、認証サーバ300から受信した認証結果を受信するものである。認証結果受信部104は、受信した認証結果に含まれるテンポラリIDに基づいて、テンポラリIDテーブル記憶部102内のテンポラリIDテーブルを更新するように構成されていてもよい。
【0038】
図3に示すように、認証機器200Aは、認証情報受信部201と、ユーザIDテーブル記憶部202と、認証サーバIDテーブル記憶部203と、認証情報転送部204と、認証結果受信部205と、認証結果転送部206とを具備している。なお、本実施形態では、認証機器200Aは、端末装置100から送信された認証情報を、認証サーバ300A乃至300Cのいずれかに転送する中継装置としての役割を果たすように構成されている。
【0039】
認証情報受信部201は、ユーザIDを含む第1の認証情報、又は、テンポラリID及び認証サーバIDを含む第2の認証情報を、端末装置100から受信するものである。
【0040】
ユーザIDテーブル記憶部202は、「ユーザID」と「認証サーバID」とを対応付けるユーザIDテーブルを記憶するものである。すなわち、ユーザIDテーブル記憶部202は、ユーザIDテーブルによって、各ユーザについての初回のユーザ認証処理を行う認証サーバ300A乃至300Cを管理する。
【0041】
認証サーバIDテーブル記憶部203は、図1に示すように、「認証サーバID」と「アドレス」とを対応付ける認証サーバIDテーブル2を記憶するものである。「アドレス」は、認証サーバのアドレスを示すものであって、例えば、認証サーバのIPアドレスを示す。
【0042】
なお、認証サーバIDテーブル2内に記憶されていない認証サーバIDによって識別される認証サーバ300のアドレスは、「default」ゲートウェイのアドレス(図1の例では、「aaa.aaa.aaa.aaa」)として設定されている。
【0043】
認証情報転送部204は、ユーザIDを含む第1の認証情報を端末装置100から受信した場合、当該ユーザIDに対応する認証サーバ300に対して当該第1の認証情報を転送するものである。
【0044】
具体的には、認証情報転送部204は、ユーザIDを含む第1の認証情報を受信した場合、ユーザIDテーブル及び認証サーバIDテーブル2を参照して、当該ユーザIDに対応する認証サーバ300のアドレス宛てに当該第1の認証情報を転送するように構成されている。
【0045】
また、認証情報転送部204は、テンポラリID及び認証サーバIDを含む第2の認証情報を受信した場合、認証サーバIDテーブル2を参照して、当該認証サーバIDによって識別される認証サーバ300に対して、当該テンポラリIDを含む第3の認証情報を送信するものである。
【0046】
具体的には、認証情報転送部204は、テンポラリID及び認証サーバIDを含む第2の認証情報を受信した場合、認証サーバIDテーブル2を参照して、当該認証サーバIDに対応するアドレス宛てに、受信した第2の認証情報を第3の認証情報としてそのまま転送するように構成されていてもよいし、少なくとも当該テンポラリIDを含む新たな第3の認証情報を生成して転送するように構成されていてもよい。
【0047】
また、認証情報転送部204は、受信した第1の認証情報に含まれるユーザIDに対応する認証サーバ300のアドレス、又は、受信した第2の認証情報に含まれる認証サーバIDに対応するアドレスを見つけられない場合、第1の認証情報又は第3の認証情報をdefaultゲートウェイに送信するように構成されていてもよい。
【0048】
認証結果受信部205は、端末装置100のユーザについてのユーザ認証処理の結果を示す認証結果、及び、新たに生成されたテンポラリIDを、認証サーバ300から受信するものである。
【0049】
認証結果転送部206は、認証サーバ300から受信した認証結果及びテンポラリIDを、端末装置100に通知するものである。
【0050】
図4に示すように、認証サーバ300は、認証情報受信部301と、認証処理部302と、テンポラリID生成部303と、認証結果送信部304とを具備している。
【0051】
認証情報受信部301は、認証機器200Aを介して、端末装置から送信された第1の認証情報及び第3の認証情報を受信するものである。
【0052】
認証処理部302は、認証情報受信部301によって受信された第1の認証情報又は第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行うものである。
【0053】
具体的には、認証処理部302は、第1の認証情報に含まれるユーザIDによって識別されるユーザが正規のユーザであるか否かについて認証し、また、第3の認証情報に含まれるテンポラリIDによって識別されるユーザが正規のユーザであるか否かについて認証するように構成されている。
【0054】
テンポラリID生成部303は、端末装置100のユーザ用のテンポラリIDを生成するものである。具体的には、テンポラリID生成部303は、初回のユーザ認証処理の完了時に、端末装置100のユーザ用のテンポラリIDをランダムに生成するように構成されている。また、テンポラリID生成部303は、2回目以降のユーザ認証処理の完了時に、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成するように構成されている。
【0055】
認証結果送信部304は、認証処理部302によるユーザ認証処理の結果を示す認証結果と共に、テンポラリID生成部303によって生成されたテンポラリID及び当該認証サーバ300を識別するための認証サーバIDを、認証機器200Aを介して、端末装置100に通知するものである。
【0056】
次に、図5を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。
【0057】
図5に示すように、ステップS101において、初回のユーザ認証処理を希望する端末装置100は、未だテンポラリIDが割り当てられていないため、ユーザIDを含む第1の認証情報を認証機器200Aに送信する。
【0058】
ステップS102において、認証機器200Aは、ユーザIDテーブル及び認証サーバIDテーブル2を参照して、受信した第1の認証情報に含まれるユーザIDに対応する認証サーバ300Aに対して、当該第1の認証情報を転送する。
【0059】
ステップS103において、認証サーバ300Aは、受信した第1の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用のテンポラリIDをランダムに生成する。
【0060】
ステップS104において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証機器200Aに送信する。
【0061】
ステップS105において、認証機器200Aは、受信した認証結果とテンポラリIDと認証サーバIDとを、端末装置100に通知する。
【0062】
ステップS106において、2回目以降のユーザ認証処理を希望する端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Aに送信する。
【0063】
ステップS107において、認証機器200Aは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。
【0064】
ステップS108において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。
【0065】
ステップS109において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証機器200Aに送信する。
【0066】
ステップS110において、認証機器200Aは、受信した認証結果とテンポラリIDと認証サーバIDとを、端末装置100に通知する。
【0067】
本実施形態に係る認証システムによれば、負荷分散等を考慮して複数の認証サーバ300A乃至300Cによって端末装置100のユーザについてのユーザ認証処理を行うネットワークにおいても、テンポラリIDを用いる方式で、ユーザIDを隠蔽することが可能となる。
【0068】
(本発明の第2の実施形態に係る認証システム)
図6及び図7を参照して、本実施形態に係る第2の実施形態に係る認証システムについて、上述の第1の実施形態に係る認証システムとの相違点に着目して説明する。
【0069】
図6に示すように、本実施形態では、端末装置100の移動によって、当該端末装置100が、認証機器200Aと通信している状態から、認証機器200Bと通信する状態に移行する場合の例について説明する。
【0070】
なお、本実施形態では、認証機器200A及び200Bの両者が、通信事業者のネットワーク3内の全ての認証サーバ300A乃至300Cに接続されているものとする。
【0071】
また、本実施形態において、認証機器200A及び200Bの両者は、互いに、認証サーバIDテーブル2の更新内容について、定期的に交換し合っているものとする。
【0072】
次に、図7を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。
【0073】
図7に示すように、ステップS201において、認証機器200Aとの間で通信状態にある端末装置100が、ステップS202において、移動することによって、ステップS203において、認証機器200Bとの間で通信を確立する。
【0074】
なお、端末装置100は、認証機器200Aを介して、初回のユーザ認証処理を行っており、認証サーバ300Aによって、端末装置100のユーザ用のテンポラリIDが既に発行されているものとする。
【0075】
ステップS204において、認証機器200Bとの間で通信状態にある端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Bに送信する。
【0076】
ステップS205において、認証機器200Bは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。
【0077】
ステップS206において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。
【0078】
ステップS207において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証機器200Bに送信する。
【0079】
ステップS208において、認証機器200Bは、受信した認証結果とテンポラリIDと認証サーバIDとを、端末装置100に通知する。
【0080】
本実施形態に係る認証システムによれば、異なる認証機器200Bへの新規接続時においても、ユーザIDを通知することなく、テンポラリIDを通知することによって、ユーザ認証処置を行うことができる。
【0081】
(本発明の第3の実施形態に係る認証システム)
図8乃至図10を参照して、本実施形態に係る第3の実施形態に係る認証システムについて、上述の第1の実施形態に係る認証システムとの相違点に着目して説明する。
【0082】
図8に示すように、通信事業者のネットワーク3内に、複数の認証サーバ300A乃至300Cに加えて、認証プロキシサーバ400Aが設けられている。
【0083】
認証プロキシサーバ400Aは、認証機器200Aに対して、複数の認証サーバ300A乃至300Cの代表としての役割を果たすプロキシサーバである。認証プロキシサーバ400Aは、認証機器200Aと複数の認証サーバ300A乃至300Cと接続されている。
【0084】
具体的には、図9に示すように、認証プロキシサーバ400Aは、認証情報受信部401と、ユーザIDテーブル記憶部402と、認証サーバIDテーブル記憶部403と、認証情報転送部404と、認証結果受信部405と、認証結果転送部406とを具備している。なお、本実施形態では、認証プロキシサーバ400Aは、端末装置100から送信された認証情報を、認証サーバ300A乃至300Cのいずれかに転送する中継装置としての役割を果たすように構成されている。
【0085】
ここで、認証プロキシサーバ400Aの各機能401乃至406は、図3に示す認証機器200Aの各機能201乃至206と同一である。
【0086】
次に、図10を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。
【0087】
図10に示すように、ステップS301において、初回のユーザ認証処理を希望する端末装置100は、未だテンポラリIDが割り当てられていないため、ユーザIDを含む第1の認証情報を認証機器200Aに送信する。
【0088】
ステップS302において、認証機器200Aは、自身が接続されている認証プロキシサーバ400Aに対して、受信した第1の認証情報を転送する。なお、認証機器200Aは、複数の認証プロキシサーバ400に接続されている場合、所定の方式で選択した認証プロキシサーバ400に対して、受信した第1の認証情報を転送するように構成されていてもよい。
【0089】
ステップS303において、認証プロキシサーバ400Aは、ユーザIDテーブル及び認証サーバIDテーブル2を参照して、受信した第1の認証情報に含まれるユーザIDに対応する認証サーバ300Aに対して、当該第1の認証情報を転送する。
【0090】
ステップS304において、認証サーバ300Aは、受信した第1の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用のテンポラリIDをランダムに生成する。
【0091】
ステップS305において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証プロキシサーバ400Aに送信する。
【0092】
ステップS306において、認証プロキシサーバ400Aは、受信した認証結果とテンポラリIDと認証サーバIDとを認証機器200Aに通知し、ステップS307において、認証機器200Aは、受信した認証結果とテンポラリIDと認証サーバIDとを端末装置100に通知する。
【0093】
ステップS308において、2回目以降のユーザ認証処理を希望する端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Aに送信する。
【0094】
ステップS309において、認証機器200Aは、自身が接続されている認証プロキシサーバ400Aに対して、受信した第2の認証情報を転送する。
【0095】
ステップS310において、認証プロキシサーバ400Aは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。
【0096】
ステップS311において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。
【0097】
ステップS312において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証プロキシサーバ400Aに送信する。
【0098】
ステップS313において、認証プロキシサーバ400Aは、受信した認証結果とテンポラリIDと認証サーバIDとを認証機器200Aに通知し、ステップS314において、認証機器200Aは、受信した認証結果とテンポラリIDと認証サーバIDとを端末装置100に通知する。
【0099】
(本発明の第4の実施形態に係る認証システム)
図11及び図12を参照して、本実施形態に係る第4の実施形態に係る認証システムについて、上述の第3の実施形態に係る認証システムとの相違点に着目して説明する。
【0100】
図11に示すように、本実施形態では、端末装置100の移動によって、当該端末装置100が、認証機器200Aと通信している状態から、認証機器200Bと通信する状態に移行する場合の例について説明する。
【0101】
なお、本実施形態では、通信事業者のネットワーク3内に、認証機器200Aに接続されている認証プロキシサーバ400Aに加えて、認証機器200Bに接続されている認証プロキシサーバ400Bが設けられている。そして、認証プロキシサーバ400A及び400Bの両者が、通信事業者のネットワーク3内の全ての認証サーバ300A乃至300Cに接続されているものとする。
【0102】
また、本実施形態において、認証プロキシサーバ400A及び400Bの両者は、互いに、認証サーバIDテーブル2の更新内容について、定期的に交換し合っているものとする。
【0103】
次に、図12を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。
【0104】
図12に示すように、ステップS401において、認証機器200Aとの間で通信状態にある端末装置100が、ステップS402において、移動することによって、ステップS403において、認証機器200Bとの間で通信を確立する。
【0105】
なお、端末装置100は、認証機器200Aを介して、初回のユーザ認証処理を行っており、認証サーバ300Aによって、端末装置100のユーザ用のテンポラリIDが既に発行されているものとする。
【0106】
ステップS404において、認証機器200Bとの間で通信状態にある端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Bに送信する。
【0107】
ステップS405において、認証機器200Bは、自身が接続されている認証プロキシサーバ400Bに対して、受信した第2の認証情報を転送する。なお、認証機器200Bは、複数の認証プロキシサーバ400に接続されている場合、所定の方式で選択した認証プロキシサーバ400に対して、受信した第2の認証情報を転送するように構成されていてもよい。
【0108】
ステップS406において、認証プロキシサーバ400Bは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。
【0109】
ステップS407において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。
【0110】
ステップS408において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証プロキシサーバ400Bに送信する。
【0111】
ステップS409において、認証プロキシサーバ400Bは、受信した認証結果とテンポラリIDと認証サーバIDとを認証機器200Bに通知し、ステップS410において、認証機器200Bは、受信した認証結果とテンポラリIDと認証サーバIDとを端末装置100に通知する。
【0112】
(本発明の第5の実施形態に係る認証システム)
図13及び図14を参照して、本実施形態に係る第5の実施形態に係る認証システムについて、上述の第4の実施形態に係る認証システムとの相違点に着目して説明する。
【0113】
図13に示すように、本実施形態では、端末装置100の移動によって、当該端末装置100が、認証機器200Aと通信している状態から、認証機器200Cと通信する状態に移行する場合の例について説明する。なお、本実施形態に係る認証システムは、複数の通信事業者A及びBによって実現されているものとする。
【0114】
具体的には、通信事業者Aのネットワーク3Aは、複数の認証サーバ300A乃至300Cと、認証プロキシサーバ400Aとを具備し、通信事業者Bのネットワーク3Bは、複数の認証サーバ300D等と、認証プロキシサーバ400Cとを具備するように構成されている。
【0115】
ここで、通信事業者Aのネットワーク3A及び通信事業者Bのネットワーク3Bは、互いのゲートウェイを介して接続されており、相互にローンミングサービスを提供することができる。
【0116】
また、本実施形態において、認証プロキシサーバ400A及び400Cの両者は、互いに、認証サーバIDテーブル2の更新内容について、定期的に交換し合っているものとする。
【0117】
次に、図14を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。
【0118】
図14に示すように、ステップS501において、通信事業者Aのネットワーク3A内の認証プロキシサーバ400Aに接続されている認証機器200Aとの間で通信状態にある端末装置100が、ステップS502において、移動することによって、ステップS503において、通信事業者Bのネットワーク3B内の認証プロキシサーバ400Cに接続されている認証機器200Cとの間で通信を確立する。
【0119】
なお、端末装置100は、認証機器200Aを介して、初回のユーザ認証処理を行っており、認証サーバ300Aによって、端末装置100のユーザ用のテンポラリIDが既に発行されているものとする。
【0120】
ステップS504において、認証機器200Cとの間で通信状態にある端末装置100は、テンポラリID及び認証サーバIDを含む第2の認証情報を、認証機器200Cに送信する。
【0121】
ステップS505において、認証機器200Cは、自身が接続されている認証プロキシサーバ400Cに対して、受信した第2の認証情報を転送する。なお、認証機器200Cは、通信事業者Bのネットワーク3B内の複数の認証プロキシサーバ400に接続されている場合、所定の方式で選択した認証プロキシサーバ400に対して、受信した第2の認証情報を転送するように構成されていてもよい。
【0122】
ステップS506において、認証プロキシサーバ400Cは、認証サーバIDテーブル2を参照して、受信した第2の認証情報に含まれる認証サーバIDに基づいて、当該テンポラリIDを含む第3の認証情報を認証サーバ300Aに送信する。
【0123】
具体的には、認証プロキシサーバ400Cは、通信事業者Aのネットワーク3A内のゲートウェイに対して、認証サーバ300A宛ての第3の認証情報を転送する、すなわち、ローミングサービスを利用することによって、第3の認証情報を認証サーバ300Aに転送するように構成されている。
【0124】
ステップS507において、認証サーバ300Aは、受信した第3の認証情報に基づいて、端末装置100のユーザについてのユーザ認証処理を行う。そして、認証サーバ300Aは、端末装置100のユーザ用の新たなテンポラリIDをランダムに生成する。
【0125】
ステップS508において、認証サーバ300Aは、端末装置100のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリID及び当該認証サーバ300Aを識別するための認証サーバIDを、認証プロキシサーバ400Cに送信する。
【0126】
具体的には、認証サーバ300Aは、通信事業者Bのネットワーク3B内のゲートウェイに対して、認証プロキシサーバ400C宛ての情報(認証結果、テンポラリID及び認証サーバID)を転送する、すなわち、ローミングサービスを利用することによって、情報(認証結果、テンポラリID及び認証サーバID)を認証プロキシサーバ400Cに転送するように構成されている。
【0127】
ステップS509において、認証プロキシサーバ400Cは、受信した認証結果とテンポラリIDと認証サーバIDとを認証機器200Cに通知し、ステップS510において、認証機器200Cは、受信した認証結果とテンポラリIDと認証サーバIDとを端末装置100に通知する。
【図面の簡単な説明】
【0128】
【図1】本発明の第1の実施形態に係る認証システムの全体構成図である。
【図2】本発明の第1の実施形態に係る認証システムにおける端末装置の機能ブロック図である。
【図3】本発明の第1の実施形態に係る認証システムにおける認証機器の機能ブロック図である。
【図4】本発明の第1の実施形態に係る認証システムにおける認証サーバの機能ブロック図である。
【図5】本発明の第1の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。
【図6】本発明の第2の実施形態に係る認証システムの全体構成図である。
【図7】本発明の第2の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。
【図8】本発明の第3の実施形態に係る認証システムの全体構成図である。
【図9】本発明の第3の実施形態に係る認証システムにおける認証プロキシサーバの機能ブロック図である。
【図10】本発明の第3の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。
【図11】本発明の第4の実施形態に係る認証システムの全体構成図である。
【図12】本発明の第4の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。
【図13】本発明の第5の実施形態に係る認証システムの全体構成図である。
【図14】本発明の第5の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。
【図15】従来技術に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。
【符号の説明】
【0129】
100…端末装置
101…ユーザID記憶部
102…テンポラリIDテーブル記憶部
103…認証情報送信部
104、205、405…認証結果受信部
200A、200B、200C…認証機器
201、301、401…認証情報受信部
202、402…ユーザIDテーブル記憶部
203、403…認証サーバIDテーブル記憶部
204、404…認証情報転送部
206、406…認証結果転送部
300A、300B、300C…認証サーバ
302…認証処理部
303…テンポラリID生成部
304…認証結果送信部
400A、400B、400C…認証プロキシサーバ
【特許請求の範囲】
【請求項1】
端末装置のユーザについてのユーザ認証処理を行う認証方法であって、
前記端末装置が、ユーザIDを含む第1の認証情報を中継装置に送信する工程と、
前記中継装置が、前記第1の認証情報を、前記ユーザIDに対応する認証サーバに転送する工程と、
前記認証サーバが、前記第1の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程と、
前記認証サーバが、前記端末装置のユーザ用のテンポラリIDを発行して、該認証サーバを識別するための認証サーバID及び該テンポラリIDを前記中継装置に送信する工程と、
前記中継装置が、前記テンポラリID及び前記認証サーバIDを、前記端末装置に通知する工程と、
前記端末装置が、前記テンポラリID及び前記認証サーバIDを含む第2の認証情報を前記中継装置に送信する工程と、
前記中継装置が、前記第2の認証情報に含まれる前記認証サーバIDに基づいて、前記テンポラリIDを含む第3の認証情報を、該認証サーバに送信する工程と、
前記認証サーバが、前記第3の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程とを有することを特徴とする認証方法。
【請求項2】
認証サーバによってユーザ認証処理が行われるユーザによって利用される端末装置であって、
中継装置に対して、ユーザIDを含む第1の認証情報を送信する第1の認証情報送信部と、
前記中継装置を介して前記第1の認証情報を受信した前記認証サーバによって発行されたテンポラリIDを記憶するテンポラリID記憶部と、
前記中継装置に対して、前記テンポラリID及び前記認証サーバを識別するための認証サーバIDを含む第2の認証情報を送信する第2の認証情報送信部とを具備することを特徴とする端末装置。
【請求項3】
端末装置から送信された認証情報を認証サーバに転送する中継装置であって、
ユーザIDを含む第1の認証情報を前記端末装置から受信した場合、該ユーザIDに対応する前記認証サーバに対して該第1の認証情報を転送する第1の認証情報送信部と、
前記テンポラリID及び前記認証サーバIDを含む第2の認証情報を受信した場合、前記認証サーバIDによって識別される認証サーバに対して、該テンポラリIDを含む第3の認証情報を送信する第3の認証情報送信部とを具備することを特徴とする中継装置。
【請求項4】
端末装置のユーザについてのユーザ認証処理を行う認証サーバであって、
前記端末装置から送信されたユーザIDを含む第1の認証情報を受信した場合、前記第1の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う第1の認証情報処理部と、
前記端末装置のユーザ用のテンポラリIDを生成して前記端末装置に通知するテンポラリID生成部と、
前記端末装置から送信された前記テンポラリIDを含む第3の認証情報を受信した場合、前記第3の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う第3の認証情報処理部とを具備することを特徴とする認証サーバ。
【請求項1】
端末装置のユーザについてのユーザ認証処理を行う認証方法であって、
前記端末装置が、ユーザIDを含む第1の認証情報を中継装置に送信する工程と、
前記中継装置が、前記第1の認証情報を、前記ユーザIDに対応する認証サーバに転送する工程と、
前記認証サーバが、前記第1の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程と、
前記認証サーバが、前記端末装置のユーザ用のテンポラリIDを発行して、該認証サーバを識別するための認証サーバID及び該テンポラリIDを前記中継装置に送信する工程と、
前記中継装置が、前記テンポラリID及び前記認証サーバIDを、前記端末装置に通知する工程と、
前記端末装置が、前記テンポラリID及び前記認証サーバIDを含む第2の認証情報を前記中継装置に送信する工程と、
前記中継装置が、前記第2の認証情報に含まれる前記認証サーバIDに基づいて、前記テンポラリIDを含む第3の認証情報を、該認証サーバに送信する工程と、
前記認証サーバが、前記第3の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程とを有することを特徴とする認証方法。
【請求項2】
認証サーバによってユーザ認証処理が行われるユーザによって利用される端末装置であって、
中継装置に対して、ユーザIDを含む第1の認証情報を送信する第1の認証情報送信部と、
前記中継装置を介して前記第1の認証情報を受信した前記認証サーバによって発行されたテンポラリIDを記憶するテンポラリID記憶部と、
前記中継装置に対して、前記テンポラリID及び前記認証サーバを識別するための認証サーバIDを含む第2の認証情報を送信する第2の認証情報送信部とを具備することを特徴とする端末装置。
【請求項3】
端末装置から送信された認証情報を認証サーバに転送する中継装置であって、
ユーザIDを含む第1の認証情報を前記端末装置から受信した場合、該ユーザIDに対応する前記認証サーバに対して該第1の認証情報を転送する第1の認証情報送信部と、
前記テンポラリID及び前記認証サーバIDを含む第2の認証情報を受信した場合、前記認証サーバIDによって識別される認証サーバに対して、該テンポラリIDを含む第3の認証情報を送信する第3の認証情報送信部とを具備することを特徴とする中継装置。
【請求項4】
端末装置のユーザについてのユーザ認証処理を行う認証サーバであって、
前記端末装置から送信されたユーザIDを含む第1の認証情報を受信した場合、前記第1の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う第1の認証情報処理部と、
前記端末装置のユーザ用のテンポラリIDを生成して前記端末装置に通知するテンポラリID生成部と、
前記端末装置から送信された前記テンポラリIDを含む第3の認証情報を受信した場合、前記第3の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う第3の認証情報処理部とを具備することを特徴とする認証サーバ。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2006−11989(P2006−11989A)
【公開日】平成18年1月12日(2006.1.12)
【国際特許分類】
【出願番号】特願2004−190442(P2004−190442)
【出願日】平成16年6月28日(2004.6.28)
【出願人】(392026693)株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Fターム(参考)】
【公開日】平成18年1月12日(2006.1.12)
【国際特許分類】
【出願日】平成16年6月28日(2004.6.28)
【出願人】(392026693)株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Fターム(参考)】
[ Back to top ]