【課題】 複数の認証サーバによってユーザ認証処理が行われるネットワークにおいて、端末装置が複数のテンポラリＩＤを入手して使い分けなくても、安全なユーザ認証処理を実現する。
【解決手段】 本発明に係る端末装置は、中継装置２００Ａに対して、ユーザＩＤを含む第１の認証情報を送信する第１の認証情報送信部１０３と、中継装置２００Ａを介して第１の認証情報を受信した認証サーバ３００Ａによって発行されたテンポラリＩＤを記憶するテンポラリＩＤ記憶部１０２と、中継装置２００Ａに対して、テンポラリＩＤ及び認証サーバを識別するための認証サーバＩＤを含む第２の認証情報を送信する第２の認証情報送信部１０３とを具備する。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は、端末装置のユーザについてのユーザ認証処理を行う認証方法、かかる方法に用いられる端末装置、中継装置及び認証サーバに関する。
【背景技術】
【０００２】
従来、ＷＬＡＮにおいてユーザＩＤを隠蔽しながらユーザ認証処理を行う認証方法として、ＥＡＰ-ＴＴＬＳ方式が知られている。
【０００３】
ＥＡＰ-ＴＴＬＳ方式では、端末装置と認証サーバとの間でセキュアトンネルが構築され、当該端末装置が、構築されたセキュアトンネルを介して、当該認証サーバにユーザＩＤを送信するように構成されている。
【０００４】
しかしながら、ＥＡＰ-ＴＴＬＳ方式には、セキュアトンネルを構築するステップが冗長であるという問題点があった。
【０００５】
かかる問題点を解決するために、セキュアトンネルを構築することなくユーザ認証処理を行う方式として、ＥＡＰ-ＡＫＡ方式が考えられていた。図１５を参照して、かかるＥＡＰ-ＡＫＡ方式について簡単に説明する。
【０００６】
図１５に示すように、初回のユーザ認証処理では、ステップＳ１００１において、端末装置１００が、ユーザＩＤを含む認証情報を認証機器（中継装置）２００Ａに送信し、ステップＳ１００２において、認証機器２００Ａが、当該認証情報を認証サーバ３００Ａに転送する。
【０００７】
ステップＳ１００３において、認証サーバ３００Ａが、受信した認証情報に基づいて、端末装置１００のユーザについてのユーザ認証処理を行い、その後、当該端末装置１００のユーザ用のテンポラリＩＤ（一時的なユーザＩＤ）を生成する。
【０００８】
ステップＳ１００４において、認証サーバ３００Ａが、当該テンポラリＩＤを認証機器２００Ａに通知し、ステップＳ１００５において、認証機器２００Ａが、当該テンポラリＩＤを端末装置１００に通知する。
【０００９】
そして、２回目以降のユーザ認証処理は、認証サーバ３００Ａにおいて、端末装置１００によって送信されるテンポラリＩＤを含む認証情報に基づいて行われる。
【発明の開示】
【発明が解決しようとする課題】
【００１０】
しかしながら、従来のＥＡＰ-ＡＫＡ方式を用いてユーザ認証処理は、複数の認証サーバによって実現される場合、各認証サーバが、全ての認証サーバによって発行されたユーザＩＤとテンポラリＩＤとの対応付けを把握していないため、うまく機能しないという問題点があった。
【００１１】
図１５を参照して、かかる問題点について、具体的に説明する。
【００１２】
ステップＳ１００６において、端末装置１００が、認証サーバ３００Ａによって発行されたテンポラリＩＤを含む認証情報を認証機器２００Ａに送信し、ステップＳ１００７において、認証機器２００Ａが、当該認証情報を認証サーバ３００Ｂに転送するものとする。
【００１３】
かかる場合、ステップＳ１００８において、認証サーバ３００Ｂは、受信した認証情報に含まれているテンポラリＩＤとユーザＩＤとの対応付けを管理していないため、かかる認証情報に基づいて、端末装置１００のユーザについてのユーザ認証処理を行うことができない。
【００１４】
したがって、ステップＳ１００９において、認証サーバ３００Ｂは、その旨を示す認証結果（ＮＧ）を認証機器２００Ａに通知し、ステップＳ１０１０において、認証機器２００Ａが、かかる認証結果（ＮＧ）を端末装置１００に通知することになる。
【００１５】
その結果、ステップＳ１０１１乃至Ｓ１０１５において、端末装置１００は、再度、初回のユーザ認証処理を行うことによって、認証サーバ３００Ｂによって発行されるテンポラリＩＤを入手しなければならない。
【００１６】
なお、他にも認証サーバ３００が複数存在する場合、端末装置１００は、全ての認証サーバ３００によって発行されるテンポラリＩＤを入手して、ユーザ認証処理を行う認証サーバごとにテンポラリＩＤを使い分ける必要がある。
【００１７】
そこで、本発明は、以上の点に鑑みてなされたもので、複数の認証サーバによってユーザ認証処理が行われるネットワークにおいて、端末装置が複数のテンポラリＩＤを入手して使い分けなくても、安全なユーザ認証処理を実現することができる認証方法、かかる方法に用いられる端末装置、中継装置及び認証サーバを提供することを目的とする。
【課題を解決するための手段】
【００１８】
本発明の第１の特徴は、端末装置のユーザについてのユーザ認証処理を行う認証方法であって、前記端末装置が、ユーザＩＤを含む第１の認証情報を中継装置に送信する工程と、前記中継装置が、前記第１の認証情報を、前記ユーザＩＤに対応する認証サーバに転送する工程と、前記認証サーバが、前記第１の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程と、前記認証サーバが、前記端末装置のユーザ用のテンポラリＩＤを発行して、該認証サーバを識別するための認証サーバＩＤ及び該テンポラリＩＤを前記中継装置に送信する工程と、前記中継装置が、前記テンポラリＩＤ及び前記認証サーバＩＤを、前記端末装置に通知する工程と、前記端末装置が、前記テンポラリＩＤ及び前記認証サーバＩＤを含む第２の認証情報を前記中継装置に送信する工程と、前記中継装置が、前記第２の認証情報に含まれる前記認証サーバＩＤに基づいて、前記テンポラリＩＤを含む第３の認証情報を、該認証サーバに送信する工程と、前記認証サーバが、前記第３の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程とを有することを要旨とする。
【００１９】
本発明の第２の特徴は、認証サーバによってユーザ認証処理が行われるユーザによって利用される端末装置であって、中継装置に対して、ユーザＩＤを含む第１の認証情報を送信する第１の認証情報送信部と、前記中継装置を介して前記第１の認証情報を受信した前記認証サーバによって発行されたテンポラリＩＤを記憶するテンポラリＩＤ記憶部と、前記中継装置に対して、前記テンポラリＩＤ及び前記認証サーバを識別するための認証サーバＩＤを含む第２の認証情報を送信する第２の認証情報送信部とを具備することを要旨とする。
【００２０】
本発明の第３の特徴は、端末装置から送信された認証情報を認証サーバに転送する中継装置であって、ユーザＩＤを含む第１の認証情報を前記端末装置から受信した場合、該ユーザＩＤに対応する前記認証サーバに対して該第１の認証情報を転送する第１の認証情報送信部と、前記テンポラリＩＤ及び前記認証サーバＩＤを含む第２の認証情報を受信した場合、前記認証サーバＩＤによって識別される認証サーバに対して、該テンポラリＩＤを含む第３の認証情報を送信する第３の認証情報送信部とを具備することを要旨とする。
【００２１】
本発明の第４の特徴は、端末装置のユーザについてのユーザ認証処理を行う認証サーバであって、前記端末装置から送信されたユーザＩＤを含む第１の認証情報を受信した場合、前記第１の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う第１の認証情報処理部と、前記端末装置のユーザ用のテンポラリＩＤを生成して前記端末装置に通知するテンポラリＩＤ生成部と、前記端末装置から送信された前記テンポラリＩＤを含む第３の認証情報を受信した場合、前記第３の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う第３の認証情報処理部とを具備することを要旨とする。
【発明の効果】
【００２２】
以上説明したように、本発明によれば、複数の認証サーバによってユーザ認証処理が行われるネットワークにおいて、端末装置が複数のテンポラリＩＤを入手して使い分けなくても、安全なユーザ認証処理を実現することができる認証方法、かかる方法に用いられる端末装置、中継装置及び認証サーバを提供することができる。
【００２３】
本発明によれば、例えば、負荷分散等を考慮して複数の認証サーバが設置されるネットワークや、複数の通信事業者を跨って構成されるネットワーク等の、ユーザ認証処理が分散して行われるネットワークにおいて、ユーザＩＤを露出することなく、安全にユーザ認証処理を行うことができ、ユーザのロケーションプライバシー侵害を防ぐことが可能となる。
【発明を実施するための最良の形態】
【００２４】
（本発明の第１の実施形態に係る認証システム）
図１乃至図５を参照して、本実施形態に係る第１の実施形態に係る認証システムについて説明する。
【００２５】
図１に示すように、本実施形態に係る認証システムは、端末装置１００と、認証機器２００Ａと、複数の認証サーバ３００Ａ乃至３００Ｃによって構成されている通信事業者のネットワーク３とを具備している。
【００２６】
本実施形態に係る認証システムでは、通信事業者のネットワーク３を構成する複数の認証サーバ３００Ａ乃至３００Ｃのいずれかが、端末装置１００のユーザについてのユーザ認証処理を行うように構成されている。
【００２７】
また、本実施形態に係る認証システムでは、端末装置１００は、無線ＬＡＮを介して認証機器２００Ａに接続するように構成されており、認証機器２００Ａは、通信事業者のネットワーク３内の全ての認証サーバ３００Ａ乃至３００Ｃに接続されている。
【００２８】
図２に示すように、端末装置１００は、ユーザＩＤ記憶部１０１と、テンポラリＩＤテーブル記憶部１０２と、認証情報送信部１０３と、認証結果受信部１０４とを具備している。本実施形態では、端末装置１００として、携帯通信端末が用いられている。
【００２９】
ユーザＩＤ記憶部１０１は、端末装置１００のユーザを識別するためのユーザＩＤを記憶するものである。例えば、ユーザＩＤとして、携帯電話番号等が用いられ得る。
【００３０】
テンポラリＩＤテーブル記憶部１０２は、認証機器２００Ａを介して第１の認証情報（後述）を受信した認証サーバ３００によって発行されたテンポラリＩＤを記憶するものである。
【００３１】
具体的には、テンポラリＩＤテーブル記憶部１０２は、「テンポラリＩＤ」と「認証サーバＩＤ」とを対応付けるテンポラリＩＤテーブルを記憶するように構成されている。
【００３２】
ここで、「テンポラリＩＤ」は、ユーザＩＤを隠蔽するために、端末装置１００のユーザについての初回のユーザ認証処理を行った認証サーバによって発行された一時的なユーザＩＤである。
【００３３】
また、「認証サーバＩＤ」は、当該テンポラリＩＤを発行した認証サーバを識別するための識別情報である。例えば、認証サーバＩＤとして、認証サーバのＵＲＬ等が用いられ得る。
【００３４】
認証情報送信部１０３は、初回のユーザ認証処理時に、認証機器２００Ａに対して、ユーザＩＤを含む第１の認証情報を送信するものである。
【００３５】
また、認証情報送信部１０３は、２回目以降のユーザ認証処理時に、認証機器２００Ａに対して、テンポラリＩＤテーブル記憶部１０２を参照して、該当するテンポラリＩＤ及び認証サーバＩＤを含む第２の認証情報を送信するものである。
【００３６】
ここで、２回目以降のユーザ認証処理時には、例えば、鍵更新時や位置登録時等の周期的なユーザ認証処理時や、サービス接続時や発信時の不定期なユーザ認証処理時等が含まれる。
【００３７】
認証結果受信部１０４は、認証機器２００Ａを介して、認証サーバ３００から受信した認証結果を受信するものである。認証結果受信部１０４は、受信した認証結果に含まれるテンポラリＩＤに基づいて、テンポラリＩＤテーブル記憶部１０２内のテンポラリＩＤテーブルを更新するように構成されていてもよい。
【００３８】
図３に示すように、認証機器２００Ａは、認証情報受信部２０１と、ユーザＩＤテーブル記憶部２０２と、認証サーバＩＤテーブル記憶部２０３と、認証情報転送部２０４と、認証結果受信部２０５と、認証結果転送部２０６とを具備している。なお、本実施形態では、認証機器２００Ａは、端末装置１００から送信された認証情報を、認証サーバ３００Ａ乃至３００Ｃのいずれかに転送する中継装置としての役割を果たすように構成されている。
【００３９】
認証情報受信部２０１は、ユーザＩＤを含む第１の認証情報、又は、テンポラリＩＤ及び認証サーバＩＤを含む第２の認証情報を、端末装置１００から受信するものである。
【００４０】
ユーザＩＤテーブル記憶部２０２は、「ユーザＩＤ」と「認証サーバＩＤ」とを対応付けるユーザＩＤテーブルを記憶するものである。すなわち、ユーザＩＤテーブル記憶部２０２は、ユーザＩＤテーブルによって、各ユーザについての初回のユーザ認証処理を行う認証サーバ３００Ａ乃至３００Ｃを管理する。
【００４１】
認証サーバＩＤテーブル記憶部２０３は、図１に示すように、「認証サーバＩＤ」と「アドレス」とを対応付ける認証サーバＩＤテーブル２を記憶するものである。「アドレス」は、認証サーバのアドレスを示すものであって、例えば、認証サーバのＩＰアドレスを示す。
【００４２】
なお、認証サーバＩＤテーブル２内に記憶されていない認証サーバＩＤによって識別される認証サーバ３００のアドレスは、「ｄｅｆａｕｌｔ」ゲートウェイのアドレス（図１の例では、「ａａａ.ａａａ.ａａａ.ａａａ」）として設定されている。
【００４３】
認証情報転送部２０４は、ユーザＩＤを含む第１の認証情報を端末装置１００から受信した場合、当該ユーザＩＤに対応する認証サーバ３００に対して当該第１の認証情報を転送するものである。
【００４４】
具体的には、認証情報転送部２０４は、ユーザＩＤを含む第１の認証情報を受信した場合、ユーザＩＤテーブル及び認証サーバＩＤテーブル２を参照して、当該ユーザＩＤに対応する認証サーバ３００のアドレス宛てに当該第１の認証情報を転送するように構成されている。
【００４５】
また、認証情報転送部２０４は、テンポラリＩＤ及び認証サーバＩＤを含む第２の認証情報を受信した場合、認証サーバＩＤテーブル２を参照して、当該認証サーバＩＤによって識別される認証サーバ３００に対して、当該テンポラリＩＤを含む第３の認証情報を送信するものである。
【００４６】
具体的には、認証情報転送部２０４は、テンポラリＩＤ及び認証サーバＩＤを含む第２の認証情報を受信した場合、認証サーバＩＤテーブル２を参照して、当該認証サーバＩＤに対応するアドレス宛てに、受信した第２の認証情報を第３の認証情報としてそのまま転送するように構成されていてもよいし、少なくとも当該テンポラリＩＤを含む新たな第３の認証情報を生成して転送するように構成されていてもよい。
【００４７】
また、認証情報転送部２０４は、受信した第１の認証情報に含まれるユーザＩＤに対応する認証サーバ３００のアドレス、又は、受信した第２の認証情報に含まれる認証サーバＩＤに対応するアドレスを見つけられない場合、第１の認証情報又は第３の認証情報をｄｅｆａｕｌｔゲートウェイに送信するように構成されていてもよい。
【００４８】
認証結果受信部２０５は、端末装置１００のユーザについてのユーザ認証処理の結果を示す認証結果、及び、新たに生成されたテンポラリＩＤを、認証サーバ３００から受信するものである。
【００４９】
認証結果転送部２０６は、認証サーバ３００から受信した認証結果及びテンポラリＩＤを、端末装置１００に通知するものである。
【００５０】
図４に示すように、認証サーバ３００は、認証情報受信部３０１と、認証処理部３０２と、テンポラリＩＤ生成部３０３と、認証結果送信部３０４とを具備している。
【００５１】
認証情報受信部３０１は、認証機器２００Ａを介して、端末装置から送信された第１の認証情報及び第３の認証情報を受信するものである。
【００５２】
認証処理部３０２は、認証情報受信部３０１によって受信された第１の認証情報又は第３の認証情報に基づいて、端末装置１００のユーザについてのユーザ認証処理を行うものである。
【００５３】
具体的には、認証処理部３０２は、第１の認証情報に含まれるユーザＩＤによって識別されるユーザが正規のユーザであるか否かについて認証し、また、第３の認証情報に含まれるテンポラリＩＤによって識別されるユーザが正規のユーザであるか否かについて認証するように構成されている。
【００５４】
テンポラリＩＤ生成部３０３は、端末装置１００のユーザ用のテンポラリＩＤを生成するものである。具体的には、テンポラリＩＤ生成部３０３は、初回のユーザ認証処理の完了時に、端末装置１００のユーザ用のテンポラリＩＤをランダムに生成するように構成されている。また、テンポラリＩＤ生成部３０３は、２回目以降のユーザ認証処理の完了時に、端末装置１００のユーザ用の新たなテンポラリＩＤをランダムに生成するように構成されている。
【００５５】
認証結果送信部３０４は、認証処理部３０２によるユーザ認証処理の結果を示す認証結果と共に、テンポラリＩＤ生成部３０３によって生成されたテンポラリＩＤ及び当該認証サーバ３００を識別するための認証サーバＩＤを、認証機器２００Ａを介して、端末装置１００に通知するものである。
【００５６】
次に、図５を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。
【００５７】
図５に示すように、ステップＳ１０１において、初回のユーザ認証処理を希望する端末装置１００は、未だテンポラリＩＤが割り当てられていないため、ユーザＩＤを含む第１の認証情報を認証機器２００Ａに送信する。
【００５８】
ステップＳ１０２において、認証機器２００Ａは、ユーザＩＤテーブル及び認証サーバＩＤテーブル２を参照して、受信した第１の認証情報に含まれるユーザＩＤに対応する認証サーバ３００Ａに対して、当該第１の認証情報を転送する。
【００５９】
ステップＳ１０３において、認証サーバ３００Ａは、受信した第１の認証情報に基づいて、端末装置１００のユーザについてのユーザ認証処理を行う。そして、認証サーバ３００Ａは、端末装置１００のユーザ用のテンポラリＩＤをランダムに生成する。
【００６０】
ステップＳ１０４において、認証サーバ３００Ａは、端末装置１００のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリＩＤ及び当該認証サーバ３００Ａを識別するための認証サーバＩＤを、認証機器２００Ａに送信する。
【００６１】
ステップＳ１０５において、認証機器２００Ａは、受信した認証結果とテンポラリＩＤと認証サーバＩＤとを、端末装置１００に通知する。
【００６２】
ステップＳ１０６において、２回目以降のユーザ認証処理を希望する端末装置１００は、テンポラリＩＤ及び認証サーバＩＤを含む第２の認証情報を、認証機器２００Ａに送信する。
【００６３】
ステップＳ１０７において、認証機器２００Ａは、認証サーバＩＤテーブル２を参照して、受信した第２の認証情報に含まれる認証サーバＩＤに基づいて、当該テンポラリＩＤを含む第３の認証情報を認証サーバ３００Ａに送信する。
【００６４】
ステップＳ１０８において、認証サーバ３００Ａは、受信した第３の認証情報に基づいて、端末装置１００のユーザについてのユーザ認証処理を行う。そして、認証サーバ３００Ａは、端末装置１００のユーザ用の新たなテンポラリＩＤをランダムに生成する。
【００６５】
ステップＳ１０９において、認証サーバ３００Ａは、端末装置１００のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリＩＤ及び当該認証サーバ３００Ａを識別するための認証サーバＩＤを、認証機器２００Ａに送信する。
【００６６】
ステップＳ１１０において、認証機器２００Ａは、受信した認証結果とテンポラリＩＤと認証サーバＩＤとを、端末装置１００に通知する。
【００６７】
本実施形態に係る認証システムによれば、負荷分散等を考慮して複数の認証サーバ３００Ａ乃至３００Ｃによって端末装置１００のユーザについてのユーザ認証処理を行うネットワークにおいても、テンポラリＩＤを用いる方式で、ユーザＩＤを隠蔽することが可能となる。
【００６８】
（本発明の第２の実施形態に係る認証システム）
図６及び図７を参照して、本実施形態に係る第２の実施形態に係る認証システムについて、上述の第１の実施形態に係る認証システムとの相違点に着目して説明する。
【００６９】
図６に示すように、本実施形態では、端末装置１００の移動によって、当該端末装置１００が、認証機器２００Ａと通信している状態から、認証機器２００Ｂと通信する状態に移行する場合の例について説明する。
【００７０】
なお、本実施形態では、認証機器２００Ａ及び２００Ｂの両者が、通信事業者のネットワーク３内の全ての認証サーバ３００Ａ乃至３００Ｃに接続されているものとする。
【００７１】
また、本実施形態において、認証機器２００Ａ及び２００Ｂの両者は、互いに、認証サーバＩＤテーブル２の更新内容について、定期的に交換し合っているものとする。
【００７２】
次に、図７を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。
【００７３】
図７に示すように、ステップＳ２０１において、認証機器２００Ａとの間で通信状態にある端末装置１００が、ステップＳ２０２において、移動することによって、ステップＳ２０３において、認証機器２００Ｂとの間で通信を確立する。
【００７４】
なお、端末装置１００は、認証機器２００Ａを介して、初回のユーザ認証処理を行っており、認証サーバ３００Ａによって、端末装置１００のユーザ用のテンポラリＩＤが既に発行されているものとする。
【００７５】
ステップＳ２０４において、認証機器２００Ｂとの間で通信状態にある端末装置１００は、テンポラリＩＤ及び認証サーバＩＤを含む第２の認証情報を、認証機器２００Ｂに送信する。
【００７６】
ステップＳ２０５において、認証機器２００Ｂは、認証サーバＩＤテーブル２を参照して、受信した第２の認証情報に含まれる認証サーバＩＤに基づいて、当該テンポラリＩＤを含む第３の認証情報を認証サーバ３００Ａに送信する。
【００７７】
ステップＳ２０６において、認証サーバ３００Ａは、受信した第３の認証情報に基づいて、端末装置１００のユーザについてのユーザ認証処理を行う。そして、認証サーバ３００Ａは、端末装置１００のユーザ用の新たなテンポラリＩＤをランダムに生成する。
【００７８】
ステップＳ２０７において、認証サーバ３００Ａは、端末装置１００のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリＩＤ及び当該認証サーバ３００Ａを識別するための認証サーバＩＤを、認証機器２００Ｂに送信する。
【００７９】
ステップＳ２０８において、認証機器２００Ｂは、受信した認証結果とテンポラリＩＤと認証サーバＩＤとを、端末装置１００に通知する。
【００８０】
本実施形態に係る認証システムによれば、異なる認証機器２００Ｂへの新規接続時においても、ユーザＩＤを通知することなく、テンポラリＩＤを通知することによって、ユーザ認証処置を行うことができる。
【００８１】
（本発明の第３の実施形態に係る認証システム）
図８乃至図１０を参照して、本実施形態に係る第３の実施形態に係る認証システムについて、上述の第１の実施形態に係る認証システムとの相違点に着目して説明する。
【００８２】
図８に示すように、通信事業者のネットワーク３内に、複数の認証サーバ３００Ａ乃至３００Ｃに加えて、認証プロキシサーバ４００Ａが設けられている。
【００８３】
認証プロキシサーバ４００Ａは、認証機器２００Ａに対して、複数の認証サーバ３００Ａ乃至３００Ｃの代表としての役割を果たすプロキシサーバである。認証プロキシサーバ４００Ａは、認証機器２００Ａと複数の認証サーバ３００Ａ乃至３００Ｃと接続されている。
【００８４】
具体的には、図９に示すように、認証プロキシサーバ４００Ａは、認証情報受信部４０１と、ユーザＩＤテーブル記憶部４０２と、認証サーバＩＤテーブル記憶部４０３と、認証情報転送部４０４と、認証結果受信部４０５と、認証結果転送部４０６とを具備している。なお、本実施形態では、認証プロキシサーバ４００Ａは、端末装置１００から送信された認証情報を、認証サーバ３００Ａ乃至３００Ｃのいずれかに転送する中継装置としての役割を果たすように構成されている。
【００８５】
ここで、認証プロキシサーバ４００Ａの各機能４０１乃至４０６は、図３に示す認証機器２００Ａの各機能２０１乃至２０６と同一である。
【００８６】
次に、図１０を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。
【００８７】
図１０に示すように、ステップＳ３０１において、初回のユーザ認証処理を希望する端末装置１００は、未だテンポラリＩＤが割り当てられていないため、ユーザＩＤを含む第１の認証情報を認証機器２００Ａに送信する。
【００８８】
ステップＳ３０２において、認証機器２００Ａは、自身が接続されている認証プロキシサーバ４００Ａに対して、受信した第１の認証情報を転送する。なお、認証機器２００Ａは、複数の認証プロキシサーバ４００に接続されている場合、所定の方式で選択した認証プロキシサーバ４００に対して、受信した第１の認証情報を転送するように構成されていてもよい。
【００８９】
ステップＳ３０３において、認証プロキシサーバ４００Ａは、ユーザＩＤテーブル及び認証サーバＩＤテーブル２を参照して、受信した第１の認証情報に含まれるユーザＩＤに対応する認証サーバ３００Ａに対して、当該第１の認証情報を転送する。
【００９０】
ステップＳ３０４において、認証サーバ３００Ａは、受信した第１の認証情報に基づいて、端末装置１００のユーザについてのユーザ認証処理を行う。そして、認証サーバ３００Ａは、端末装置１００のユーザ用のテンポラリＩＤをランダムに生成する。
【００９１】
ステップＳ３０５において、認証サーバ３００Ａは、端末装置１００のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリＩＤ及び当該認証サーバ３００Ａを識別するための認証サーバＩＤを、認証プロキシサーバ４００Ａに送信する。
【００９２】
ステップＳ３０６において、認証プロキシサーバ４００Ａは、受信した認証結果とテンポラリＩＤと認証サーバＩＤとを認証機器２００Ａに通知し、ステップＳ３０７において、認証機器２００Ａは、受信した認証結果とテンポラリＩＤと認証サーバＩＤとを端末装置１００に通知する。
【００９３】
ステップＳ３０８において、２回目以降のユーザ認証処理を希望する端末装置１００は、テンポラリＩＤ及び認証サーバＩＤを含む第２の認証情報を、認証機器２００Ａに送信する。
【００９４】
ステップＳ３０９において、認証機器２００Ａは、自身が接続されている認証プロキシサーバ４００Ａに対して、受信した第２の認証情報を転送する。
【００９５】
ステップＳ３１０において、認証プロキシサーバ４００Ａは、認証サーバＩＤテーブル２を参照して、受信した第２の認証情報に含まれる認証サーバＩＤに基づいて、当該テンポラリＩＤを含む第３の認証情報を認証サーバ３００Ａに送信する。
【００９６】
ステップＳ３１１において、認証サーバ３００Ａは、受信した第３の認証情報に基づいて、端末装置１００のユーザについてのユーザ認証処理を行う。そして、認証サーバ３００Ａは、端末装置１００のユーザ用の新たなテンポラリＩＤをランダムに生成する。
【００９７】
ステップＳ３１２において、認証サーバ３００Ａは、端末装置１００のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリＩＤ及び当該認証サーバ３００Ａを識別するための認証サーバＩＤを、認証プロキシサーバ４００Ａに送信する。
【００９８】
ステップＳ３１３において、認証プロキシサーバ４００Ａは、受信した認証結果とテンポラリＩＤと認証サーバＩＤとを認証機器２００Ａに通知し、ステップＳ３１４において、認証機器２００Ａは、受信した認証結果とテンポラリＩＤと認証サーバＩＤとを端末装置１００に通知する。
【００９９】
（本発明の第４の実施形態に係る認証システム）
図１１及び図１２を参照して、本実施形態に係る第４の実施形態に係る認証システムについて、上述の第３の実施形態に係る認証システムとの相違点に着目して説明する。
【０１００】
図１１に示すように、本実施形態では、端末装置１００の移動によって、当該端末装置１００が、認証機器２００Ａと通信している状態から、認証機器２００Ｂと通信する状態に移行する場合の例について説明する。
【０１０１】
なお、本実施形態では、通信事業者のネットワーク３内に、認証機器２００Ａに接続されている認証プロキシサーバ４００Ａに加えて、認証機器２００Ｂに接続されている認証プロキシサーバ４００Ｂが設けられている。そして、認証プロキシサーバ４００Ａ及び４００Ｂの両者が、通信事業者のネットワーク３内の全ての認証サーバ３００Ａ乃至３００Ｃに接続されているものとする。
【０１０２】
また、本実施形態において、認証プロキシサーバ４００Ａ及び４００Ｂの両者は、互いに、認証サーバＩＤテーブル２の更新内容について、定期的に交換し合っているものとする。
【０１０３】
次に、図１２を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。
【０１０４】
図１２に示すように、ステップＳ４０１において、認証機器２００Ａとの間で通信状態にある端末装置１００が、ステップＳ４０２において、移動することによって、ステップＳ４０３において、認証機器２００Ｂとの間で通信を確立する。
【０１０５】
なお、端末装置１００は、認証機器２００Ａを介して、初回のユーザ認証処理を行っており、認証サーバ３００Ａによって、端末装置１００のユーザ用のテンポラリＩＤが既に発行されているものとする。
【０１０６】
ステップＳ４０４において、認証機器２００Ｂとの間で通信状態にある端末装置１００は、テンポラリＩＤ及び認証サーバＩＤを含む第２の認証情報を、認証機器２００Ｂに送信する。
【０１０７】
ステップＳ４０５において、認証機器２００Ｂは、自身が接続されている認証プロキシサーバ４００Ｂに対して、受信した第２の認証情報を転送する。なお、認証機器２００Ｂは、複数の認証プロキシサーバ４００に接続されている場合、所定の方式で選択した認証プロキシサーバ４００に対して、受信した第２の認証情報を転送するように構成されていてもよい。
【０１０８】
ステップＳ４０６において、認証プロキシサーバ４００Ｂは、認証サーバＩＤテーブル２を参照して、受信した第２の認証情報に含まれる認証サーバＩＤに基づいて、当該テンポラリＩＤを含む第３の認証情報を認証サーバ３００Ａに送信する。
【０１０９】
ステップＳ４０７において、認証サーバ３００Ａは、受信した第３の認証情報に基づいて、端末装置１００のユーザについてのユーザ認証処理を行う。そして、認証サーバ３００Ａは、端末装置１００のユーザ用の新たなテンポラリＩＤをランダムに生成する。
【０１１０】
ステップＳ４０８において、認証サーバ３００Ａは、端末装置１００のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリＩＤ及び当該認証サーバ３００Ａを識別するための認証サーバＩＤを、認証プロキシサーバ４００Ｂに送信する。
【０１１１】
ステップＳ４０９において、認証プロキシサーバ４００Ｂは、受信した認証結果とテンポラリＩＤと認証サーバＩＤとを認証機器２００Ｂに通知し、ステップＳ４１０において、認証機器２００Ｂは、受信した認証結果とテンポラリＩＤと認証サーバＩＤとを端末装置１００に通知する。
【０１１２】
（本発明の第５の実施形態に係る認証システム）
図１３及び図１４を参照して、本実施形態に係る第５の実施形態に係る認証システムについて、上述の第４の実施形態に係る認証システムとの相違点に着目して説明する。
【０１１３】
図１３に示すように、本実施形態では、端末装置１００の移動によって、当該端末装置１００が、認証機器２００Ａと通信している状態から、認証機器２００Ｃと通信する状態に移行する場合の例について説明する。なお、本実施形態に係る認証システムは、複数の通信事業者Ａ及びＢによって実現されているものとする。
【０１１４】
具体的には、通信事業者Ａのネットワーク３Ａは、複数の認証サーバ３００Ａ乃至３００Ｃと、認証プロキシサーバ４００Ａとを具備し、通信事業者Ｂのネットワーク３Ｂは、複数の認証サーバ３００Ｄ等と、認証プロキシサーバ４００Ｃとを具備するように構成されている。
【０１１５】
ここで、通信事業者Ａのネットワーク３Ａ及び通信事業者Ｂのネットワーク３Ｂは、互いのゲートウェイを介して接続されており、相互にローンミングサービスを提供することができる。
【０１１６】
また、本実施形態において、認証プロキシサーバ４００Ａ及び４００Ｃの両者は、互いに、認証サーバＩＤテーブル２の更新内容について、定期的に交換し合っているものとする。
【０１１７】
次に、図１４を参照して、本実施形態に係る認証システムにおけるユーザ認証処理について説明する。
【０１１８】
図１４に示すように、ステップＳ５０１において、通信事業者Ａのネットワーク３Ａ内の認証プロキシサーバ４００Ａに接続されている認証機器２００Ａとの間で通信状態にある端末装置１００が、ステップＳ５０２において、移動することによって、ステップＳ５０３において、通信事業者Ｂのネットワーク３Ｂ内の認証プロキシサーバ４００Ｃに接続されている認証機器２００Ｃとの間で通信を確立する。
【０１１９】
なお、端末装置１００は、認証機器２００Ａを介して、初回のユーザ認証処理を行っており、認証サーバ３００Ａによって、端末装置１００のユーザ用のテンポラリＩＤが既に発行されているものとする。
【０１２０】
ステップＳ５０４において、認証機器２００Ｃとの間で通信状態にある端末装置１００は、テンポラリＩＤ及び認証サーバＩＤを含む第２の認証情報を、認証機器２００Ｃに送信する。
【０１２１】
ステップＳ５０５において、認証機器２００Ｃは、自身が接続されている認証プロキシサーバ４００Ｃに対して、受信した第２の認証情報を転送する。なお、認証機器２００Ｃは、通信事業者Ｂのネットワーク３Ｂ内の複数の認証プロキシサーバ４００に接続されている場合、所定の方式で選択した認証プロキシサーバ４００に対して、受信した第２の認証情報を転送するように構成されていてもよい。
【０１２２】
ステップＳ５０６において、認証プロキシサーバ４００Ｃは、認証サーバＩＤテーブル２を参照して、受信した第２の認証情報に含まれる認証サーバＩＤに基づいて、当該テンポラリＩＤを含む第３の認証情報を認証サーバ３００Ａに送信する。
【０１２３】
具体的には、認証プロキシサーバ４００Ｃは、通信事業者Ａのネットワーク３Ａ内のゲートウェイに対して、認証サーバ３００Ａ宛ての第３の認証情報を転送する、すなわち、ローミングサービスを利用することによって、第３の認証情報を認証サーバ３００Ａに転送するように構成されている。
【０１２４】
ステップＳ５０７において、認証サーバ３００Ａは、受信した第３の認証情報に基づいて、端末装置１００のユーザについてのユーザ認証処理を行う。そして、認証サーバ３００Ａは、端末装置１００のユーザ用の新たなテンポラリＩＤをランダムに生成する。
【０１２５】
ステップＳ５０８において、認証サーバ３００Ａは、端末装置１００のユーザについてのユーザ認証処理が成功した旨を示す認証結果と共に、生成したテンポラリＩＤ及び当該認証サーバ３００Ａを識別するための認証サーバＩＤを、認証プロキシサーバ４００Ｃに送信する。
【０１２６】
具体的には、認証サーバ３００Ａは、通信事業者Ｂのネットワーク３Ｂ内のゲートウェイに対して、認証プロキシサーバ４００Ｃ宛ての情報（認証結果、テンポラリＩＤ及び認証サーバＩＤ）を転送する、すなわち、ローミングサービスを利用することによって、情報（認証結果、テンポラリＩＤ及び認証サーバＩＤ）を認証プロキシサーバ４００Ｃに転送するように構成されている。
【０１２７】
ステップＳ５０９において、認証プロキシサーバ４００Ｃは、受信した認証結果とテンポラリＩＤと認証サーバＩＤとを認証機器２００Ｃに通知し、ステップＳ５１０において、認証機器２００Ｃは、受信した認証結果とテンポラリＩＤと認証サーバＩＤとを端末装置１００に通知する。
【図面の簡単な説明】
【０１２８】
【図１】本発明の第１の実施形態に係る認証システムの全体構成図である。
【図２】本発明の第１の実施形態に係る認証システムにおける端末装置の機能ブロック図である。
【図３】本発明の第１の実施形態に係る認証システムにおける認証機器の機能ブロック図である。
【図４】本発明の第１の実施形態に係る認証システムにおける認証サーバの機能ブロック図である。
【図５】本発明の第１の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。
【図６】本発明の第２の実施形態に係る認証システムの全体構成図である。
【図７】本発明の第２の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。
【図８】本発明の第３の実施形態に係る認証システムの全体構成図である。
【図９】本発明の第３の実施形態に係る認証システムにおける認証プロキシサーバの機能ブロック図である。
【図１０】本発明の第３の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。
【図１１】本発明の第４の実施形態に係る認証システムの全体構成図である。
【図１２】本発明の第４の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。
【図１３】本発明の第５の実施形態に係る認証システムの全体構成図である。
【図１４】本発明の第５の実施形態に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。
【図１５】従来技術に係る認証システムにおけるユーザ認証処理を示すシーケンス図である。
【符号の説明】
【０１２９】
１００…端末装置
１０１…ユーザＩＤ記憶部
１０２…テンポラリＩＤテーブル記憶部
１０３…認証情報送信部
１０４、２０５、４０５…認証結果受信部
２００Ａ、２００Ｂ、２００Ｃ…認証機器
２０１、３０１、４０１…認証情報受信部
２０２、４０２…ユーザＩＤテーブル記憶部
２０３、４０３…認証サーバＩＤテーブル記憶部
２０４、４０４…認証情報転送部
２０６、４０６…認証結果転送部
３００Ａ、３００Ｂ、３００Ｃ…認証サーバ
３０２…認証処理部
３０３…テンポラリＩＤ生成部
３０４…認証結果送信部
４００Ａ、４００Ｂ、４００Ｃ…認証プロキシサーバ

【特許請求の範囲】
【請求項１】
端末装置のユーザについてのユーザ認証処理を行う認証方法であって、
前記端末装置が、ユーザＩＤを含む第１の認証情報を中継装置に送信する工程と、
前記中継装置が、前記第１の認証情報を、前記ユーザＩＤに対応する認証サーバに転送する工程と、
前記認証サーバが、前記第１の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程と、
前記認証サーバが、前記端末装置のユーザ用のテンポラリＩＤを発行して、該認証サーバを識別するための認証サーバＩＤ及び該テンポラリＩＤを前記中継装置に送信する工程と、
前記中継装置が、前記テンポラリＩＤ及び前記認証サーバＩＤを、前記端末装置に通知する工程と、
前記端末装置が、前記テンポラリＩＤ及び前記認証サーバＩＤを含む第２の認証情報を前記中継装置に送信する工程と、
前記中継装置が、前記第２の認証情報に含まれる前記認証サーバＩＤに基づいて、前記テンポラリＩＤを含む第３の認証情報を、該認証サーバに送信する工程と、
前記認証サーバが、前記第３の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う工程とを有することを特徴とする認証方法。
【請求項２】
認証サーバによってユーザ認証処理が行われるユーザによって利用される端末装置であって、
中継装置に対して、ユーザＩＤを含む第１の認証情報を送信する第１の認証情報送信部と、
前記中継装置を介して前記第１の認証情報を受信した前記認証サーバによって発行されたテンポラリＩＤを記憶するテンポラリＩＤ記憶部と、
前記中継装置に対して、前記テンポラリＩＤ及び前記認証サーバを識別するための認証サーバＩＤを含む第２の認証情報を送信する第２の認証情報送信部とを具備することを特徴とする端末装置。
【請求項３】
端末装置から送信された認証情報を認証サーバに転送する中継装置であって、
ユーザＩＤを含む第１の認証情報を前記端末装置から受信した場合、該ユーザＩＤに対応する前記認証サーバに対して該第１の認証情報を転送する第１の認証情報送信部と、
前記テンポラリＩＤ及び前記認証サーバＩＤを含む第２の認証情報を受信した場合、前記認証サーバＩＤによって識別される認証サーバに対して、該テンポラリＩＤを含む第３の認証情報を送信する第３の認証情報送信部とを具備することを特徴とする中継装置。
【請求項４】
端末装置のユーザについてのユーザ認証処理を行う認証サーバであって、
前記端末装置から送信されたユーザＩＤを含む第１の認証情報を受信した場合、前記第１の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う第１の認証情報処理部と、
前記端末装置のユーザ用のテンポラリＩＤを生成して前記端末装置に通知するテンポラリＩＤ生成部と、
前記端末装置から送信された前記テンポラリＩＤを含む第３の認証情報を受信した場合、前記第３の認証情報に基づいて、前記端末装置のユーザについてのユーザ認証処理を行う第３の認証情報処理部とを具備することを特徴とする認証サーバ。

【図１】

【図２】

【図３】

【図４】

【図５】

【図６】

【図７】

【図８】

【図９】

【図１０】

【図１１】

【図１２】

【図１３】

【図１４】

【図１５】

【公開番号】特開２００６−１１９８９（Ｐ２００６−１１９８９Ａ）
【公開日】平成１８年１月１２日（２００６．１．１２）
【国際特許分類】
【出願番号】特願２００４−１９０４４２（Ｐ２００４−１９０４４２）
【出願日】平成１６年６月２８日（２００４．６．２８）
【出願人】（３９２０２６６９３）株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Ｆターム（参考）】