SIPを用いた認証システムおよび認証方法
【課題】認証管理サーバが認証を代行する仕組みをSIPのフレームワークに組み込んだ認証システムおよび認証方法を提供する。
【解決手段】認証管理サーバ300は、サービス提供サーバ200が送信した認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 UnauthorizedをSIPサーバ500から受信すると、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 UnauthorizedをSIPサーバ500を通じて利用者端末101へ転送する。そして、利用者端末101が送信した認証ヘッダを含むINVITEをSIPサーバ500から受信すると、認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEをSIPサーバ500を通じてサービス提供サーバ200へ転送する。
【解決手段】認証管理サーバ300は、サービス提供サーバ200が送信した認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 UnauthorizedをSIPサーバ500から受信すると、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 UnauthorizedをSIPサーバ500を通じて利用者端末101へ転送する。そして、利用者端末101が送信した認証ヘッダを含むINVITEをSIPサーバ500から受信すると、認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEをSIPサーバ500を通じてサービス提供サーバ200へ転送する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は認証システムおよび認証方法に関し、特に通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用した通信網を介して利用者がサービス提供サーバからサービスの提供を受ける際の認証技術に関する。
【背景技術】
【0002】
パーソナルコンピュータ(PC)などの利用者端末から通信網経由でサービス提供サーバをアクセスし、サービスの提供を受ける際の利用者認証は、利用者端末とサービス提供サーバとの間で直接に行われるのが基本である。通信セッションを確立するためのシグナリングプロトコルであるSIP(Session Initiation Protocol)においても、サーバ側でリクエストの送信者が誰かということを確認する手段として、ユーザ−ユーザ間HTTPダイジェスト認証方式の利用が規定されている。
【0003】
図22を参照すると、SIPで規定されたユーザ−ユーザ間HTTPダイジェスト認証方式では、まずUAC(User Agent Client)として動作する利用者端末がUAS(User Agent Server)として動作するサービス提供サーバに対して、AuthorizationヘッダのないINVITEを送信する。このINVITEは、UACとUASの間にあってSIPメッセージの中継を担うSIPサーバ(プロキシサーバ)によって中継されて、サービス提供サーバに届けられる。
【0004】
サービス提供サーバは、受信したINVITE中のAuthorizationヘッダの有無を確認する。そして、当該ヘッダが無いため、図23に例示するようにチャレンジ値として必要なパラメータを記述したWWW−Authenticateヘッダを含む401 Authenticateを応答として返す。このWWW−AuthenticateはSIPサーバで中継されて、利用者端末へ届けられる。
【0005】
利用者端末は、401 Authenticateを受信すると、図24に例示するようにレスポンス値に必要なパラメータを記述したAuthorizationヘッダとその他必要な情報を記述したINVITEを作成して送信する。このINVITEはSIPサーバで中継されて、サービス提供サーバへ届けられる。
【0006】
サービス提供サーバは、受信したINVITE中のAuthorizationヘッダの有無を確認する。そして、当該ヘッダが有るため、記述されている情報を元に認証を行う。その結果、認証が成功すれば、200 OKを応答として返し、ACKの受信後、サービスの提供を行う。
【0007】
他方、サービス提供サーバの負荷を軽減するために、通信網に認証管理サーバを接続し、サービス提供サーバのサービス提供のために認証管理サーバが利用者の認証を代行するシステムが提案されている(例えば特許文献1参照)。
【0008】
利用者の認証には、利用者IDとパスワードによる認証方法、指紋などの生体特徴による認証方法など、利用者の本人性を確認するための認証情報を用いる方法が種々提案ないし実用化されている。また、通信網へ接続する加入者回線と利用者との関連付けを行い、加入者回線の回線識別情報と利用者を一意に識別する情報とによる認証を行うことによって、利用者毎に特定された加入者回線以外からサービスを利用できないようにした認証方法が提案されている(例えば特許文献1参照)。
【0009】
さらに、高いセキュリティレベルを必要とするサービス、それほど高いセキュリティレベルを必要としないサービスなど、セキュリティレベルの異なる複数のサービスを提供するサービス提供サーバにおいて、提供するサービスに応じた認証レベルで認証を行う方法が提案されている(例えば特許文献2、特許文献3参照)。ここで、認証レベルは、そのレベルが高いほど、確保できるセキュリティレベルが高いことを意味する。例えば、指紋による認証はパスワードによる認証に比べて認証レベルが高いと言える。
【0010】
【特許文献1】特開2006−331204号公報
【特許文献2】特開2007−79992号公報
【特許文献3】特開2003−248661号公報
【発明の開示】
【発明が解決しようとする課題】
【0011】
上述したようにSIPにおいては、サービス提供サーバ側で利用者端末の利用者が誰かということを確認するためにユーザ−ユーザ間認証方式が規定されている。しかし、サービス提供サーバが利用者端末との間で直接に認証処理を行わなければならないために、サービス提供サーバの認証に伴う負荷が大きかった。従って、SIPにおいてもサービス提供サーバのために認証管理サーバが利用者の認証を代行できる仕組みが求められている。しかし、認証管理サーバによって認証を代行する仕組みを、SIPシグナリングフレームワークにどのように適用すれば良いのかという技術上の課題がある。
【0012】
本発明の目的は、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用した通信網を通じてサービスを提供するサービス提供サーバの負荷を軽減するために、認証管理サーバが認証を代行する仕組みをSIPのフレームワークに組み込んだ認証システムおよび認証方法を提供することにある。
【課題を解決するための手段】
【0013】
本発明の第1の認証システムは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に利用者端末とサービス提供サーバとSIPサーバとが接続され、前記SIPサーバに認証管理サーバが接続された認証システムであって、前記認証管理サーバは、前記利用者端末が前記サービス提供サーバに送信したINVITEリクエストを前記SIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが送信した認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段とを備え、前記サービス提供サーバは、前記利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに前記認証管理サーバによる認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段とを備え、前記利用者端末は、前記認証管理サーバが前記SIPサーバを通じて送信した前記401 Unauthorizedレスポンスを受信して解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段とを備える。
【0014】
本発明の第1の認証方法は、a)通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末が、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するステップと、b)SIPサーバが、前記INVITEリクエストを前記サービス提供サーバへ転送するステップと、c)前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答するステップと、d)前記SIPサーバが、前記401 Unauthorizedレスポンスを前記認証管理サーバへ転送するステップと、e)前記認証管理サーバが、受信した前記401 Unauthorizedレスポンスを解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送するステップと、f)前記利用者端末が、受信した前記401 Unauthorizedレスポンスを解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信するステップと、g)前記SIPサーバが、前記INVITEリクエストを認証管理サーバへ転送するステップと、h)前記認証管理サーバが、受信した前記INVITEリクエストに認証ヘッダが含まれていることを判定し、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送するステップと、i)前記サービス提供サーバが、受信した前記INVITEリクエストに認証結果が含まれていることを判定し、認証結果の成否に応じてサービスの提供可否を判断するステップとを含む。
【0015】
本発明の第1の認証管理サーバは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストをSIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段とを備える。
【0016】
本発明の第1のサービス提供サーバは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、認証管理サーバによる認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに前記認証管理サーバによる認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段とを備える。
【0017】
本発明の第1の利用者端末は、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末であって、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するサービス処理手段と、該送信されたINVITEリクエストに認証結果が含まれていないことを判定した前記サービス提供サーバが、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に送信し、該送信された401 UnauthorizedレスポンスがSIPサーバにより認証管理サーバへ転送され、前記認証管理サーバが受信した前記401 Unauthorizedレスポンスを解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて転送してきた場合に、該401 Unauthorizedレスポンスを受信して解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段とを備える。
【0018】
本発明の第1のSIPサーバは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続されたSIPサーバであって、利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストを受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれていない場合には、前記INVITEリクエストを前記サービス提供サーバへ転送し、認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末へ転送する認証要求手段とを備える。
【0019】
本発明の第1のプログラムは、認証管理サーバを構成するコンピュータを、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストをSIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段として機能させる。
【0020】
本発明の第2のプログラムは、サービス提供サーバを構成するコンピュータを、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、認証管理サーバによる認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに前記認証管理サーバによる認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段として機能させる。
【0021】
本発明の第3のプログラムは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末を構成するコンピュータを、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するサービス処理手段と、該送信されたINVITEリクエストに認証結果が含まれていないことを判定した前記サービス提供サーバが、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に送信し、該送信された401 UnauthorizedレスポンスがSIPサーバにより認証管理サーバへ転送され、前記認証管理サーバが受信した前記401 Unauthorizedレスポンスを解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて転送してきた場合に、該401 Unauthorizedレスポンスを受信して解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段として機能させる。
【0022】
本発明の第4のプログラムは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続されたSIPサーバを構成するコンピュータを、利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストを受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれていない場合には、前記INVITEリクエストを前記サービス提供サーバへ転送し、認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末へ転送する認証要求手段として機能させる。
【発明の効果】
【0023】
本発明によれば、認証管理サーバが認証を代行する仕組みをSIPのフレームワークに組み込んだ認証システムおよび認証方法を提供することができる。これにより、SIPを使用した通信網を通じてサービスを提供するサービス提供サーバの負荷を軽減することができる。
【発明を実施するための最良の形態】
【0024】
『第1の実施の形態』
図1を参照すると、本発明の第1の実施の形態は、利用者設備100とサービス提供サーバ200とSIPサーバ500とが、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用したネットワーク400を通じて相互に通信可能に接続され、かつ、認証管理サーバ300がSIPサーバ500を介してネットワーク400に接続されている。
【0025】
利用者設備100は、例えば各家庭毎に設けられる電子設備であり、利用者端末101とホームゲートウェイ102とで構成される。利用者端末101は、パーソナルコンピュータ等の情報処理機器で構成され、利用者はこの利用者端末101を通じてサービス提供サーバ200へアクセスし、サービスの提供を受ける。ホームゲートウェイ102は、1台以上の利用者端末101を回線103を通じてネットワーク400に接続するための通信機器であり、例えばネットワーク400を管理運営する通信事業者から各家庭にレンタルされる。
【0026】
サービス提供サーバ200は、ビデオオンデマンドやオンラインショッピングなどの各種サービスを利用者端末101へ提供するコンピュータである。サービス提供サーバ200は、利用者端末101からサービス要求を受信すると、提供するサービスに応じた認証レベルの認証が得られることを条件にサービスの提供を行う。
【0027】
SIPサーバ500は、実際に通信を行う利用者端末101とサービス提供サーバ200の間にあってSIPメッセージの中継を担うプロキシサーバである。SIPサーバ500は、中継するSIPメッセージのうち特定の条件を満たすものだけを認証管理サーバ300に転送するよう構成されている。認証管理サーバ300は転送されてきたSIPメッセージに基づいて認証の代行処理などの所定の処理を実施する。認証管理サーバ300から出力されたSIPメッセージは、SIPサーバ500において再びルーティングされ、利用者端末101やサービス提供サーバ200へ転送される。ここで、SIPサーバ500において、中継するSIPメッセージが特定の条件を満たすかどうかを判定する具体的な方法としては、例えば、特定の条件をiFC(Initial Filter Criteria)に記述しておき、中継するSIPメッセージを受信する毎にiFCを参照し、特定の条件を満たすかどうかを判定する方法がある。
【0028】
SIPサーバ500のiFCに記述された特定の条件の例を図1に示す。図1のiFC中の記述は、メソッド名がINVITEであれば特定の条件を満たすことを示す。この条件により、利用者端末101からサービス提供サーバ200へ送信されるINVITEのリクエストが、SIPサーバ500による中継の際に認証管理サーバ300に取り込まれる。また、基本的にSIPの応答はリクエストが通ってきたルートをそのまま遡るため、INVITEの応答である401 Unauthorizedも、SIPサーバ500による中継の際に認証管理サーバ300に取り込まれることになる。本実施の形態では図1に例示した特定の条件を使用するが、SIPサーバ500のiFCに記述する特定の条件は上記の例に限定されず、例えば、以下のような例も考えられる。
1:メソッド名=”INVITE” & ヘッダ名=”Authorization”
2:ステータスコード=”401” & ヘッダ名=”WWW−Authenticate” & 認証スキーム名=”IntegratedAuth”
1番目の記述は、メソッド名がINVITEであり、且つ、ヘッダ名がAuthorizationであれば、特定の条件を満たすことを示す。この条件により、利用者端末101からサービス提供サーバ200へ送信されるINVITEのリクエストのうち、認証ヘッダの有るINVITEだけが、SIPサーバ500による中継の際に認証管理サーバ300に取り込まれる。
2番目の記述は、ステータスコードが401、且つ、ヘッダ名がWWW−Authenticate、且つ、認証スキーム名がIntegratedAuthであれば特定の条件を満たすことを示す。この条件により、サービス提供サーバ200から利用者端末101へ送信される401 Unauthorizedのうち、サービス提供サーバ200が認証の代行を要求している401 Unauthorizedが、SIPサーバ500による中継の際に認証管理サーバ300に取り込まれる。なお、この場合サービス提供サーバ200からの応答に対しても、SIPサーバ500でiFCを参照して条件判定を行い、条件を満たす場合は認証管理サーバ300へ転送され、その後の利用者端末101への転送が正しく行われるものとする。
【0029】
図1では、SIPサーバ500と認証管理サーバ300とを別々のブロックで図示しているが、これはSIPサーバ500と認証管理サーバ300とが物理的に別々のコンピュータに実装されていることを限定しているものではなく、SIPサーバ500と認証管理サーバ300は同じコンピュータに実装することも可能である。また、認証管理サーバ300は、SIPサーバ500の拡張機能(付加機能)として実現することも可能である。なお、認証管理サーバ300の具体的な実現手法は任意であり、中継サーバのような構成で実現しても良いし、内部的に2つのSIP UAを背中合わせに実装したB2BUA(Back to Back User Agent)で実現しても良い。
【0030】
認証管理サーバ300は、サービス提供サーバ200のサービス提供のために利用者の認証を代行する。認証管理サーバ300は、複数の認証レベルのうち、サービス提供サーバ200が利用者端末101に対して提供するサービスに応じた認証レベルの認証方法を用いて、利用者端末101の利用者の認証を代行する。
【0031】
複数の認証レベルの認証方法としては、利用者端末101が接続されている回線103の回線識別情報と、それぞれ異なる他の1以上の認証情報とによる認証を使用する。回線103の回線識別情報としては、ホームゲートウェイ102に対してネットワーク400から払い出されたIPアドレスが使用される。また、他の1以上の認証情報としては、例えば利用者端末の端末情報、パスワード、指紋などの生体特徴などが使用される。利用者端末の端末情報としては、利用者端末のMACアドレスや、TPM(Trusted Platform Module)から取得できる情報など、端末の認証に使用できる情報であれば良い。
【0032】
本実施の形態では、図2の認証方法情報テーブルT3に記載した以下の3つの認証レベルの認証方法を使用する。勿論、認証レベルは2つでも良いし、4つ以上あっても良い。
認証レベル1:回線識別情報と利用者端末の端末情報による認証
認証レベル2:回線識別情報と利用者端末の端末情報とパスワードによる認証
認証レベル3:回線識別情報と利用者端末の端末情報とパスワードと指紋による認証
【0033】
認証レベル1の認証方法では、利用者端末101毎に特定された回線103からサービス要求が送信されているかどうかを確認する。認証レベル2では、認証レベル1による認証に加えてさらに、パスワードによる認証によって利用者の本人性を確認する。認証レベル3では、認証レベル2による認証に加えてさらに、指紋による認証によって利用者の本人性をより厳密に確認する。従って、認証レベル3、認証レベル2、認証レベル1の順にセキュリティレベルが高くなる。
【0034】
以上のような認証方法を実現するために、実際の認証処理に先立ち、認証管理サーバ300に図2に示される回線認証テーブルT1と端末・個人認証テーブルT2とが登録される。
【0035】
回線認証テーブルT1は、回線103を一意に識別するための回線IDに対応付けて、その回線103に接続されたホームゲートウェイ102のIPアドレスを保持する。回線IDとしては、回線103を一意に識別するためにネットワーク400で付された識別番号、回線103の電話番号、あるいはホームゲートウェイ102のMACアドレスのうちの何れか1つ或いは複数が使用される。回線認証テーブルT1へのホームゲートウェイ102のIPアドレスの登録は、ホームゲートウェイ102へ新たなIPアドレスが払い出される毎に行われる。具体的には、ホームゲートウェイ102の電源がオンされ、ホームゲートウェイ102からネットワーク400にDHCPパケットが送信されると、ネットワーク400は、このDHCPパケットを送信したホームゲートウェイ102のMACアドレスが当該回線103に対してレンタルしたホームゲートウェイのMACアドレスと一致するかどうかを確認し、一致した場合に限ってIPアドレスをホームゲートウェイ102に払い出す。この払い出したタイミングで回線認証テーブルT1が更新される。また、IPv6を用いるケースでは、前記の手順で毎回新たなIPアドレスを払い出しても良いし、あらかじめ回線IDに対応付けたIPアドレスを決めておき、毎回その回線に対応した同じIPアドレスを払い出しても良い。
【0036】
端末・個人認証テーブルT2は、回線103の回線IDに対応付けて、その回線103にホームゲートウェイ102を通じて接続された利用者端末101の端末情報、当該利用者端末101の利用者のパスワード、指紋情報を保持する。端末・個人認証テーブルT2へのこれらの情報の登録は、オンラインまたはオフラインで行われる。
【0037】
次に本実施の形態における認証の処理手順について、図3のシーケンス図を参照して説明する。
【0038】
まず、利用者端末101は、サービス提供サーバ200に対して、図4に例示するような認証ヘッダを含まないINVITEをサービス要求として送信する(S111)。図4に示されるINVITEにおいて、To:<sipuser1@xx.xx.xx.xx>はリクエストの着信者のSIP URLであるが、利用しようとするサービスを特定する情報としての役割も果たしている。
【0039】
利用者端末101から送信されたINVITEは、特定の条件を満たすことによりSIPサーバ500から認証管理サーバ300へ転送され、受信される(S311)。認証管理サーバ300は、INVITE中に認証情報を記述したヘッダが含まれているかどうかを確認し(S312)、今の場合は含まれていないので、SIPサーバ500を通じて当該INVITEをサービス提供サーバ200へ転送する(S313)。
【0040】
サービス提供サーバ200は、INVITEを受信すると(S211)、INVITEに認証結果が含まれているかどうかを確認し(S212)、今の場合は含まれていないので、認証を要求する手順を実行する。まず、要求されたサービスに応じた認証レベルを判定する(S213)。次に、図5に例示するようなWWW−Authenticateヘッダを含む401 Unauthorizedを利用者端末101に応答する(S214)。WWW−Authenticateヘッダ中のIntegratedAuthは、SIPで規定されたHTTPダイジェスト認証と区別するために付けられた認証スキーム名である。また、authlevelは認証レベルを意味するパラメータ名、2はそのパラメータ値であり、この例では認証レベルが2であることを示している。
【0041】
401 Unauthorizedは、リクエストに認証情報がないか不適切な認証情報が含まれる場合に、UASがHTTPダイジェスト認証を要求する場合に使用するものとしてSIPで規定されている。その場合、WWW−Authenticateヘッダの認証スキーム名はDigestと記述され、続けて、<チャレンジ値>が記述される。本実施の形態では、認証スキーム名としてIntegratedAuthを使用することにより、当該401 Unauthorizedを、認証の代行を認証管理サーバ300に要求するレスポンスとして利用している。また、authlevel=2という記述を入れることで、認証レベル2の認証の代行を認証管理サーバ300に要求するレスポンスとして利用している。
【0042】
サービス提供サーバ200から送信された上記の401 Unauthorizedは、SIPサーバ500から認証管理サーバ300へ転送され、受信される(S314)。認証管理サーバ300は、受信した401 UnauthorizedのWWW−Authenticateヘッダを解析して認証レベルを認識し、その認証レベルの認証を実現する認証方法を決定する(S315)。そして、WWW−Authenticateヘッダ中のパラメータ名authlevelの記述部分を、その認証レベルの認証を実現する認証方法の記述に書き換え、SIPサーバ500を通じて利用者端末101へ転送する(S316)。
【0043】
具体的には、図5に例示したように「authlevel=2」となっていれば、認証管理サーバ300は、図6に例示するように「authmethod=”MINFO&PW”」に書き換えて転送する。ここで、authmethodは認証方法を意味するパラメータ名、”MINFO&PW”はそのパラメータ値で、MINFOは利用者端末の端末情報による認証を、PWはパスワードによる認証をそれぞれ示す。また、認証管理サーバ300は、例えば「authlevel=1」となっていれば「authmethod=”MINFO”」に書き換えて転送し、「authlevel=3」となっていれば「authmethod=”MINFO&PW&FINGERPRINT”」に書き換えて転送する。ここで、FINGERPRINTは指紋認証を示す。
【0044】
利用者端末101は、上記の401 Unauthorizedを受信すると(S112)、そのWWW−Authenticateヘッダを解析し、要求された認証方法の認証に必要な認証情報を必要に応じて利用者から入力する(S113)。そして、認証情報を記述した認証ヘッダを含む図7に例示するようなINVITEを作成し、サービス提供サーバ200へ送信する(S114)。図7において、「Authorization:IntegratedAuth MINFO=”AA−BB−CC−DD”、PW=”password”」が認証情報を記述した認証ヘッダであり、”AA−BB−CC−DD”は利用者端末のMACアドレスを、”password”はパスワードをそれぞれ示す。
【0045】
利用者端末101から再び送信されたINVITEは、特定の条件を満たすことによりSIPサーバ500から認証管理サーバ300へ転送され、受信される(S317)。認証管理サーバ300は、INVITEに認証情報を記述したヘッダが含まれているかどうかを確認し(S318)、含まれているので、その認証情報と図2に示した回線認証テーブルT1と端末・個人認証テーブルT2とに基づいて認証を行う(S319)。そして、認証の結果を認証ヘッダに記述した図8に例示するようなINVITEをSIPサーバ500を通じてサービス提供サーバ200へ転送する(S320)。図8において、「Authorization:IntegratedAuth authresult=”OK”」が認証結果を記述した認証ヘッダであり、authresultは認証結果を意味するパラメータ名、”OK”は認証が成功したことを示すパラメータ値である。なお、認証が失敗した場合、パラメータ値は”NG”になる。
【0046】
サービス提供サーバ200は、INVITEを受信すると(S215)、INVITEに認証結果が含まれているかどうかを確認し(S216)、含まれているので、認証成功かどうかを確認する(S217)。そして、認証が成功していれば、利用者端末101に対して要求されたサービスを提供する(S218)。
【0047】
利用者端末101は、サービス提供サーバ200から提供されるサービスを受信する(S115)。
【0048】
次に本実施の形態の効果を説明する。
【0049】
本実施の形態によれば、サービス提供サーバ200のサービス提供のために認証管理サーバ300が利用者の認証を代行する仕組みをSIPシグナリングオペレーションのメッセージフローに組み込んだことにより、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用したネットワーク400を通じてサービスを提供するサービス提供システムにおいて、サービス提供サーバ200が提供するサービスのための利用者の認証を認証管理サーバ300が代行する処理をSIPのフレームワークを変更することなしに実現することができる。
【0050】
また本実施の形態によれば、複数の認証レベルの認証方法のうち、サービス提供サーバ200が利用者端末101に対して提供するサービスに応じた認証レベルの認証方法を用いて、利用者端末101の利用者の認証を代行する認証管理サーバ300を備えているため、サービスに応じた認証レベルでの認証を必要とするサービス提供サーバ200の認証に伴う負荷を軽減することができる。
【0051】
また本実施の形態によれば、サービス提供サーバ200の認証に係る負荷をより軽減することができる。その理由は、サービスに応じた認証レベルを決定してその認証の代行を要求すれば、その認証レベルを実現する具体的な認証方法の決定などその他の処理は認証管理サーバ300で行われるためである。
【0052】
また本実施の形態によれば、最低の認証レベルでも事前に登録された回線以外からはサービスの提供を受けることができないため、最低の認証レベルでも、高いセキュリティレベルを確保することができる。
【0053】
また本実施の形態によれば、最低の認証レベルのサービスを享受する利用者の負担を軽減することができる。その理由は、最低の認証レベルである認証レベル1で必要な認証情報は、回線識別情報であるホームゲートウェイ102のIPアドレスと利用者端末の端末情報の合計2つであり、前者の回線識別情報はホームゲートウェイ102で自動的にIPヘッダに付加され、後者の利用者端末の端末情報は端末自体から読み出せるため、利用者は何もしなくて済むためである。
【0054】
次に本実施の形態を構成する利用者端末101、サービス提供サーバ200および認証管理サーバ300の詳細について説明する。
【0055】
図9を参照すると、認証管理サーバ300の一例は、回線認証情報データベース311、端末・個人認証情報データベース312および認証方法情報データベース313といったハードウェア資源と、データベース管理部314、認証判定部315、認証要求部316、パケット解析部317およびパケット送受信部318といった機能手段とを含んで構成される。認証管理サーバ300がワークステーション等のコンピュータで構成される場合、回線認証情報データベース311、端末・個人認証情報データベース312および認証方法情報データベース313は、主記憶装置や補助記憶装置で実現され、データベース管理部314、認証判定部315、認証要求部316、パケット解析部317およびパケット送受信部318は、プログラムで実現することができる。プログラムは、ハードディスクなどのコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られ、そのコンピュータの動作を制御することにより、そのコンピュータ上に上述した各機能手段を実現し、所定の処理を行わせる。
【0056】
回線認証情報データベース311には、図2で例示した回線認証テーブルT1が記憶される。
【0057】
端末・個人認証情報データベース312には、図2で例示した端末・個人認証テーブルT2が記憶される。
【0058】
認証方法情報データベース313には、図2で例示した各認証レベルに対応する認証方法の情報を記述した認証方法情報テーブルT3が記憶される。
【0059】
データベース管理部314は、各データベース311〜313に対する検索や更新を管理する。
【0060】
認証要求部316は、サービス提供サーバ200の代わりに利用者端末101に対して各認証レベルの認証を要求する。
【0061】
認証判定部315は、サービス提供サーバ200の代わりに利用者端末101から送信された認証情報に基づいて各認証レベルの認証を行う。
【0062】
パケット解析部317は、SIPサーバ500から転送されてきたSIPのパケットを解析し、認証要求部316による処理、認証判定部315による処理に切り分ける。また、認証要求部316および認証判定部315から伝達されたSIPのパケットをパケット送受信部318へ出力する。
【0063】
パケット送受信部318は、認証管理サーバ300とSIPサーバ500との間でSIPのパケットの送受信を行う。
【0064】
次に図3のシーケンス図と図9のブロック図を参照して、認証管理サーバ300の動作を説明する。
【0065】
図3のステップS111において利用者端末101から送信されたINVITEがSIPサーバ500から転送されてくると、パケット送受信部318で受信され(S311)、パケット解析部317に伝達される。パケット解析部317は、INVITEに認証情報を記述したヘッダが含まれているかどうかを確認し(S312)、含まれていないので、パケット送受信部318を通じて当該INVITEをSIPサーバ500に送信する。SIPサーバ500はこのINVITEをサービス提供サーバ200へ転送する(S313)。
【0066】
また、図3のステップS214においてサービス提供サーバ200から送信された図5に例示した401 UnauthorizedがSIPサーバ500から転送されてくると、パケット送受信部318で受信され(S314)、パケット解析部317に伝達される。パケット解析部317は、受信したパケットが、IntegratedAuthが記述されたWWW−Authenticateヘッダを含む401 Unauthorizedであることを解析し、認証要求部316へ当該パケットを伝達する。
【0067】
認証要求部316は、受信した401 UnauthorizedのWWW−Authenticateヘッダを解析して認証レベルを認識し、データベース管理部314を通じて認証方法情報データベース313を検索し、認識した認証レベルの認証を実現する認証方法を決定する(S315)。そして認証要求部316は、この決定した認証方法に基づいて図6に例示したように401 UnauthorizedのWWW−Authenticateヘッダを書き換えて、パケット解析部317およびパケット送受信部318を通じてSIPサーバ500へ送信する。SIPサーバ500は、これを利用者端末101へ転送する(S316)。
【0068】
また、図3のステップS114において利用者端末101から再び送信されたINVITEがSIPサーバ500から転送されてくると、パケット送受信部318で受信され(S317)、パケット解析部317へ伝達される。パケット解析部317は、INVITEに認証情報を記述したヘッダが含まれているかどうかを確認し(S318)、含まれているので、当該INVITEを認証判定部315へ伝達する。
【0069】
認証判定部315は、受け取ったINVITE中の認証情報と、データベース管理部314を通じて回線認証情報データベース311の回線認証テーブルT1および端末・個人認証情報データベース312の端末・個人認証テーブルT2から検索した情報とに基づいて認証を行う(S319)。そして、認証判定部315は、認証の結果を認証ヘッダに記述した図8に例示するようなINVITEをパケット解析部317およびパケット送受信部318を通じてSIPサーバ500へ送信する。SIPサーバ500は、これをサービス提供サーバ200へ転送する(S320)。
【0070】
図10を参照すると、サービス提供サーバ200の一例は、提供サービス情報記憶部211、認証レベル情報記憶部212といったハードウェア資源と、サービス提供部213、認証レベル判定部214、認証代行要求部215、パケット解析部216およびパケット送受信部217といった機能手段とを含んで構成される。サービス提供サーバ200がワークステーション等のコンピュータで構成される場合、提供サービス情報記憶部211および認証レベル情報記憶部212は、主記憶装置や補助記憶装置で実現され、サービス提供部213、認証レベル判定部214、認証代行要求部215、パケット解析部216およびパケット送受信部217は、プログラムで実現することができる。プログラムは、ハードディスクなどのコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られ、そのコンピュータの動作を制御することにより、そのコンピュータ上に上述した各機能手段を実現し、後述した処理を行わせる。
【0071】
提供サービス情報記憶部211には、サービス提供サーバ200が利用者端末101に提供する画像や音声などのコンテンツ、オンラインショッピングサービスを提供するWebページなどの情報が記憶される。
【0072】
認証レベル情報記憶部212には、サービス提供サーバ200が提供するサービス毎にその認証レベルの情報が記憶される。例えば、サービス提供サーバ200が3つのサービスA、B、Cを提供し、サービスAの認証レベルは1、サービスBの認証レベルは2、サービスCの認証レベルは3のとき、認証レベル情報記憶部212には、図11に例示するような認証レベル情報が記憶される。
【0073】
サービス提供部213は、提供サービス情報記憶部211に記憶された情報を用いて、利用者端末101にサービスを提供する。
【0074】
認証レベル判定部214は、利用者端末101が要求するサービスの認証レベルを認証レベル情報記憶部212を参照して判定する処理を行う。
【0075】
認証代行要求部215は、サービスの提供を要求する利用者端末101の利用者の認証の代行を認証管理サーバ300に要求する処理を行う。
【0076】
パケット解析部216は、SIPサーバ500から転送されてきたSIPのパケットを解析し、認証代行要求部215による処理、サービス提供部213による処理といった処理に切り分ける。
【0077】
パケット送受信部217は、ネットワーク400を通じて利用者端末101およびSIPサーバ500との間でSIPのパケットや他の通信プロトコル(たとえばHTTPプロトコル)のパケットの送受信を行う。
【0078】
次に図3のシーケンス図と図10のブロック図を参照して、サービス提供サーバ200の動作を説明する。
【0079】
図3のステップS313において認証管理サーバ300から送信された認証ヘッダなしのINVITEがSIPサーバ500から転送されてくると、パケット送受信部217で受信され(S211)、パケット解析部216に伝達される。パケット解析部216は、INVITEに認証結果が含まれているかどうかを確認し(S212)、含まれていないので、受信したINVITEを認証代行要求部215へ伝達する。
【0080】
認証代行要求部215は、要求されたサービスに応じた認証レベルを判定する(S213)。具体的には、INVITE中のToヘッダに記述された論理的なリクエスト送信先に基づいてサービス名を決定し、この決定したサービス名を通知して認証レベル判定部214に認証レベルを要求する。認証レベル判定部214は、通知されたサービス名で認証レベル情報記憶部212を検索して、対応する認証レベルを認証代行要求部215に返却する。次に、認証代行要求部215は、図5に例示するような認証レベルを記述したWWW−Authenticateヘッダを含む401 Unauthorizedを作成し、パケット解析部216およびパケット送受信部217を通じてネットワーク400経由で利用者端末101に応答する(S214)。
【0081】
また、図3のステップS320において認証管理サーバ300から送信された認証ヘッダありのINVITEがIPサーバ500から転送されてくると、パケット送受信部217が受信し(S215)、パケット解析部216に伝達される。パケット解析部216は、受け取ったINVITEに認証結果が含まれているかどうかを確認し(S216)、含まれていれば、さらに、認証が成功したかどうかを確認する(S217)。そして、認証が成功していれば、パケット解析部216は、受け取ったINVITEをサービス提供部213へ伝達する。サービス提供部213は、このINVITEに従って、利用者端末101に対して要求されたサービスを提供する(S218)。
【0082】
図12を参照すると、利用者端末101の一例は、キーボード111、液晶ディスプレイ等の表示装置112、指紋入力装置113、利用者端末情報記憶部114といったハードウェア資源と、指紋入力部115、パスワード入力部116、利用者端末情報入力部117、認証要求応答部118、パケット解析部119、パケット送受信部120、サービス処理部121といった機能手段とを含んで構成される。利用者端末101がパーソナルコンピュータ等のコンピュータで構成される場合、利用者端末情報記憶部114は、主記憶装置や補助記憶装置で実現され、指紋入力部115、パスワード入力部116、利用者端末情報入力部117、認証要求応答部118、パケット解析部119、パケット送受信部120、サービス処理部121は、プログラムで実現することができる。プログラムは、ハードディスクなどのコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られ、そのコンピュータの動作を制御することにより、そのコンピュータ上に上述した各機能手段を実現し、後述した処理を行わせる。
【0083】
利用者端末情報記憶部114には、当該利用者端末101の端末情報として、例えばMACアドレスが記憶される。
【0084】
利用者端末情報入力部117は、認証要求応答部118からの指示に従って利用者端末情報記憶部114から利用者端末のMACアドレスを読み出し、認証要求応答部118に伝達する。
【0085】
パスワード入力部116は、認証要求応答部118からの指示に従って、利用者端末101の利用者からパスワードを入力し、認証要求応答部118に伝達する。具体的には、表示装置112の画面にパスワード入力画面を表示し、利用者がキーボード111を操作してパスワード入力画面にパスワードを入力すると、この入力されたパスワードを取り込んで認証要求応答部118へ出力する。
【0086】
指紋入力部115は、認証要求応答部118からの指示に従って、指紋入力装置113から利用者の指紋情報を入力し、認証要求応答部118に伝達する。
【0087】
認証要求応答部118は、パケット解析部119から受信した401 UnauthorizedのWWW−Authenticateヘッダを解析し、要求された認証情報を利用者端末情報入力部117、パスワード入力部116、指紋入力部115から入力し、この入力した認証情報を記述したINVITEを作成して、パケット解析部119へ送信する。
【0088】
サービス処理部121は、キーボード111から入力される指示に従ってサービス提供サーバ200へサービスを要求し、それに応じて提供されるサービスを表示装置112に表示する等の処理を行う。
【0089】
パケット解析部119は、SIPサーバ500やサービス提供サーバ200から転送されてきたパケットをパケット送受信部120から受信し、認証要求応答部118およびサービス処理部121へパケットを伝達する。また、その逆に認証要求応答部118およびサービス処理部121から伝達されるパケットをパケット送受信部120へ伝達する。
【0090】
パケット送受信部120は、ホームゲートウェイ102およびネットワーク400を通じて利用者端末101およびSIPサーバ500との間でSIPのパケットや他の通信プロトコル(たとえばHTTPプロトコル)のパケットの送受信を行う。
【0091】
次に図3のシーケンス図と図12のブロック図を参照して、利用者端末101の動作を説明する。
【0092】
利用者端末101において、サービス提供サーバ200のサービスを受けるためにサービス提供サーバ200をアクセスする際、サービス処理部121はINVITEを作成し、パケット解析部119、パケット送受信部120およびホームゲートウェイ102を通じてネットワーク400経由でサービス提供サーバへ送信する(S114)。
【0093】
また図3のステップS316において認証管理サーバ300からSIPサーバ500を通じて送信された図6に例示するような401 Unauthorizedがホームゲートウェイ102から転送されてくると、パケット送受信部120で受信され(S112)、パケット解析部119に伝達される。パケット解析部119は、受信したパケットが401 Unauthorizedであり、そのWWW−Authenticateヘッダ中に「WWW−Authenticate:IntegratedAuth authmethod=”MINFO&PW”」に例示するような認証情報を要求する記述があるため、当該401 Unauthorizedを認証要求応答部118へ伝達する。
【0094】
認証要求応答部118は、受け取った401 UnauthorizedのWWW−Authenticateヘッダで要求されている認証情報を判定し、要求された認証情報を利用者端末情報入力部117、パスワード入力部116、指紋入力部115から入力する(S113)。そして、この入力した認証情報を認証ヘッダに記述したINVITEを作成し、パケット解析部119、パケット送受信部120およびホームゲートウェイ102を通じてネットワーク400経由でサービス提供サーバへ送信する(S114)。
【0095】
また、図3のステップS218においてサービス提供サーバ200から送信されたサービス情報にかかるパケットがホームゲートウェイ102で受信されて転送されてくると、パケット送受信部120が受信し(S115)、パケット解析部119に伝達される。パケット解析部119は、受け取ったサービス情報にかかるパケットをサービス処理部121へ伝達し、サービス処理部121は受信した情報を表示装置112へ表示するといった処理を実行する。
【0096】
以上の説明では、サービスに応じた認証レベルの認証方法は事前に唯一つだけ定められていたが、同一の認証レベルに対して複数の認証方法を定めておいて、その内の任意の認証方法を選択して使用するようにしても良い。また、図2に示した認証方法情報テーブルT3の代わりに、図13に例示するように、基本となる複数の認証方法と、その選択条件(必須か任意か)とそれを使用した際の認証レベルの増加ポイントとを定義した認証方法情報テーブルT4を使用し、幾つかの認証方法を動的に組み合わせてサービスに応じた認証レベルの認証方法を決定するようにしても良い。図13に例示した認証方法情報テーブルT4によると、認証レベル1の認証方法は、回線識別情報と利用者端末情報による認証として決定され、認証レベル2の認証方法は、回線識別情報と利用者端末情報による認証とパスワードによる認証との組み合わせとして決定され、認証レベル3の認証方法は、回線識別情報と利用者端末情報による認証と指紋による認証との組み合わせとして決定され、認証レベル4の認証方法は、回線識別情報と利用者端末情報による認証とパスワードによる認証と指紋による認証との組み合わせとして決定される。
【0097】
また以上の説明では、利用者端末101が接続されている回線103の回線識別情報と異なる他の認証情報として、利用者端末101の端末情報、パスワード、指紋を使用したが、利用者の本人性を確認する情報であれば、他の種類の情報を使用することができる。また、利用者の本人性を確認するには効果が少ないと考えられる利用者の性別や年齢などの属性情報を認証情報として利用し、図14の認証方法情報テーブルT5に例示するように認証レベルを利用者の属性に応じて更に細分化しても良い。この場合、利用者に属性情報を入力させると利用者に負担がかかるので、図15の端末・個人認証テーブルT6に例示するように、他の認証情報と同様に認証管理サーバ300の端末・個人認証情報データベース312に登録しておき、他の認証情報によって利用者が特定された後、その利用者の属性情報を確認するようにするのが望ましい。
【0098】
また以上の説明では、利用者端末101が接続されている回線103の回線識別情報として、ホームゲートウェイ102のIPアドレスを使用したが、それに代えて、あるいはそれに加えて回線103に対してネットワーク400から割り当てられている電話番号を回線識別情報として使用しても良い。この場合、回線認証テーブルT1は図16に例示するような構成となる。利用者端末101側では、電話番号は記憶部に予め記憶しておいても良いし、キーボードからその都度入力するようにしても良い。電話番号は、端末情報などの他の認証情報と同様にINVITEの認証ヘッダに記述されて送信される。
【0099】
電話番号を回線識別情報として使用する場合、以下の2通りの認証方法が考えられる。第1の方法は、認証ヘッダに電話番号が含まれている場合、ホームゲートウェイ102のIPアドレスの代わりに、その電話番号を使って認証を行う方法である。具体的には、認証管理サーバ300は、認証ヘッダに記述された電話番号をキーに図16の回線認証テーブルT1を検索し、一致する電話番号に対応する回線IDを取得する。次に、この取得した回線IDをキーに図2の端末・個人認証テーブルT2を検索して、端末情報などのその他の認証情報を取得して認証ヘッダ中の端末情報と比較する方法である。
【0100】
第2の方法は、前述した実施の形態および実施例と同様にホームゲートウェイ102のIPアドレスをキーに図16の回線認証テーブルT1を検索し、一致するIPアドレスに対応する回線IDを取得し、次に、この取得した回線IDをキーに図2の端末・個人認証テーブルT2を検索して、端末情報を取得して認証ヘッダ中の端末情報と比較した時点で一致しなかった場合、電話番号を使用した前記第1の方法に切り替える方法である。この場合、利用者端末101に一旦認証失敗を通知して、電話番号の入力を要求しても良いし、既に認証ヘッダに電話番号が記述されていれば、それを利用しても良い。
【0101】
電話番号を回線識別情報として使用する構成は、たとえば他人の家を訪れた際、自分の利用者端末を使ってその家の回線を借りてサービスを受けたい場合に有効である。回線に結び付いた認証という意味では、その回線の正規(登録)利用者という識別は行っていないが、電話番号をもとに、どこの回線に登録されている(どこの回線の正規ユーザなのか)ということがわかるので、外出先でサービスを利用する場合の認証方法として有効である。
【0102】
『第2の実施の形態』
図17を参照すると、本発明の第2の実施の形態は、図1に示した第1の実施の形態と比較して、サービス提供サーバ200および認証管理サーバ300に代えてサービス提供サーバ201および認証管理サーバ301を備えている点で相違する。
【0103】
サービス提供サーバ201は、第1の実施の形態のサービス提供サーバ200と比較して、認証管理サーバ301に対してサービスに応じた認証レベルの認証の代行を要求する際に認証レベルを指定しない点で相違する。
【0104】
認証管理サーバ301は、第1の実施の形態の認証管理サーバ300と比較して、サービス提供サーバ201から認証の代行を要求された際、サービス提供サーバ201が利用者端末101に対して提供するサービスの認証レベルを判定し、この判定した認証レベルの認証の代行を行う点で相違する。
【0105】
次に、本実施の形態における認証の処理手順について、図18のシーケンス図を参照して説明する。
【0106】
まず、利用者端末101は、サービス提供サーバ201に対して、図4に例示するような認証ヘッダを含まないINVITEをサービス要求として送信する(S111)。図4に示されるINVITEにおいて、To:<sipuser1@xx.xx.xx.xx>はリクエストの着信者のSIP URLであるが、利用しようとするサービスを特定する情報としての役割も果たしている。
【0107】
利用者端末101から送信されたINVITEは、特定の条件を満たすことによりSIPサーバ500から認証管理サーバ301へ転送され、受信される(S311)。認証管理サーバ301は、INVITE中に認証情報を記述したヘッダが含まれているかどうかを確認し(S312)、今の場合は含まれていないので、SIPサーバ500を通じて当該INVITEをサービス提供サーバ201へ転送する(S313)。
【0108】
サービス提供サーバ201は、INVITEを受信すると(S211)、INVITEに認証結果が含まれているかどうかを確認し(S212)、今の場合は含まれていないので、図19に例示するようなWWW−Authenticateヘッダを含む401 Unauthorizedを利用者端末101に応答する(S222)。WWW−Authenticateヘッダ中のIntegratedAuthは、SIPで規定されたHTTPダイジェスト認証と区別するために付けられた認証スキーム名である。また、authreqは認証要求を意味するパラメータ名、””はそのパラメータ値であり、サービスに応じた認証レベルの認証を要求していることを示している。
【0109】
401 Unauthorizedは、リクエストに認証情報がないか不適切な認証情報が含まれる場合に、UASがHTTPダイジェスト認証を要求する場合に使用するものとしてSIPで規定されている。その場合、WWW−Authenticateヘッダの認証スキーム名はDigestと記述され、続けて、<チャレンジ値>が記述される。本実施の形態では、認証スキーム名としてIntegratedAuthを使用することにより、当該401 Unauthorizedが、認証の代行を認証管理サーバ301に要求するレスポンスとして利用している。また、authreq=””という記述を入れることで、サービスに応じた認証レベルの認証の代行を認証管理サーバ301に要求するレスポンスとして利用している。
【0110】
サービス提供サーバ201から送信された上記の401 Unauthorizedは、SIPサーバ500から認証管理サーバ301へ転送され、受信される(S322)。認証管理サーバ301は、受信した401 UnauthorizedのWWW−Authenticateヘッダを解析し、サービスに応じた認証レベルの認証の代行が要求されていることから、まず、要求されたサービスに応じた認証レベルを判定する(S323)。次に、この認証レベルの認証を実現する認証方法を決定する(S315)。そして、WWW−Authenticateヘッダ中のパラメータ名authreqの記述部分を、その認証レベルの認証を実現する認証方法の記述に書き換え、SIPサーバ500を通じて利用者端末101へ転送する(S316)。
【0111】
具体的には、認証レベル2の場合、認証管理サーバ301は、図6に例示するように「authmethod=”MINFO&PW”」に書き換えて転送する。ここで、authmethodは認証方法を意味するパラメータ名、”MINFO&PW”はそのパラメータ値で、MINFOは利用者端末の端末情報による認証を、PWはパスワードによる認証をそれぞれ示す。また、認証管理サーバ301は、認証レベル1の場合、「authmethod=”MINFO”」に書き換えて転送し、認証レベル3の場合、「authmethod=”MINFO&PW&FINGERPRINT”」に書き換えて転送する。ここで、FINGERPRINTは指紋認証を示す。
【0112】
以下、第1の実施の形態と同様の手順が実行される(S112〜S115、S317〜S320、S215〜S218)。
【0113】
このように本実施の形態によれば、サービス提供サーバ201はサービスに応じた認証レベルを自ら決定する必要がないため、認証に係るサービス提供サーバ201の負荷をより一層軽減することができる。
【0114】
次に本実施の形態を構成するサービス提供サーバ201および認証管理サーバ301の詳細について説明する。なお、利用者端末101は第1の実施の形態と同じである。
【0115】
図20を参照すると、本実施の形態で使用する認証管理サーバ301は、図9で示した第1の実施の形態で使用する認証管理サーバ300と比較して、認証レベル情報記憶部321を新たに備えている点、認証要求部316の代わりに認証要求部322を備えている点で相違する。
【0116】
認証レベル情報記憶部321には、図11で例示したようなサービス名と認証レベルとの対応関係を示す認証レベル情報が記憶される。
【0117】
認証要求部322は、認証要求部316の機能に加えてさらに、サービスに応じた認証レベルを判定する機能を有する。
【0118】
次に図18のシーケンス図と図20のブロック図を参照して、本実施例の認証管理サーバ301の動作を説明する。
【0119】
図18のステップS222においてサービス提供サーバ201から送信された図19に例示した401 UnauthorizedがSIPサーバ500から転送されてくると、パケット送受信部318で受信され(S322)、パケット解析部317に伝達される。パケット解析部317は、受信したパケットが、IntegratedAuthが記述されたWWW−Authenticateヘッダを含む401 Unauthorizedであることを解析し、認証要求部322へ当該パケットを伝達する。
【0120】
認証要求部322は、受信した401 UnauthorizedのWWW−Authenticateヘッダを解析し、Toヘッダに記述された論理的なリクエスト送信先に基づいてサービス名を決定し、この決定したサービス名をキーにデータベース管理部314を通じて認証レベル情報記憶部321を検索し、対応する認証レベルを取得する(S323)。次に、この認証レベルをキーにデータベース管理部314を通じて認証方法情報データベース313を検索し、認識した認証レベルの認証を実現する認証方法を決定する(S315)。そして認証要求部322は、この決定した認証方法に基づいて図6に例示したように401 UnauthorizedのWWW−Authenticateヘッダを書き換えて、パケット解析部317およびパケット送受信部318を通じてSIPサーバ500へ送信する。SIPサーバ500は、これを利用者端末101へ転送する(S316)。
【0121】
その他の動作は第1の実施の形態における認証管理サーバ300と同じである。
【0122】
図21を参照すると、本実施の形態で使用するサービス提供サーバ201の一例は、図10に示した第1の実施の形態のサービス提供サーバ200と比較して、認証レベル情報記憶部212および認証レベル判定部214が省略されている点と、認証代行要求部215の代わりに認証代行要求部221を備えている点で相違する。
【0123】
認証代行要求部221は、サービスに応じて認証レベルを判定する処理を行わない点で認証代行要求部215より機能が簡素化されている。
【0124】
次に図18のシーケンス図と図21のブロック図を参照して、本実施例のサービス提供サーバ201の動作を説明する。
【0125】
図18のステップS313において認証管理サーバ301から送信された認証ヘッダなしのINVITEがSIPサーバ500から転送されてくると、パケット送受信部217で受信され(S211)、パケット解析部216に伝達される。パケット解析部216は、INVITEに認証結果が含まれているかどうかを確認し(S212)、含まれていないので、受信したINVITEを認証代行要求部221へ伝達する。
【0126】
認証代行要求部221は、図19に例示するようなWWW−Authenticateヘッダを含む401 Unauthorizedを作成し、パケット解析部216およびパケット送受信部217を通じてネットワーク400経由で利用者端末101に応答する(S222)。
【0127】
その他の動作は、第1の実施の形態の実施例で使用するサーバ提供サーバ200と同じである。
【0128】
以上本発明の実施の形態について説明したが、本発明は以上の実施の形態にのみ限定されず、その他各種の付加変更が可能である。例えば、前述した実施の形態では、サービスに応じた認証レベルの認証を行ったが、サービスによらず常に同じレベルの認証を行うシステムに対しても本発明は適用可能である。また前述した実施の形態では、利用者端末が接続された回線の回線識別情報による認証を行ったが、そのような認証方法に限定されず、IDとパスワードによる認証など任意の認証方法を使用するシステムに対して本発明は適用可能である。
【産業上の利用可能性】
【0129】
本発明は、利用者が通信網を介してサービス提供サーバからサービスの提供を受ける際の認証技術に有効であり、特に通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用したネットワークにおける利用者認証に用いるのに適している。
【図面の簡単な説明】
【0130】
【図1】本発明の第1の実施の形態のブロック図である。
【図2】本発明の第1の実施の形態で使用する回線認証テーブル、端末・個人認証テーブルおよび認証方法情報テーブルの一例を示す図である。
【図3】本発明の第1の実施の形態の動作を示すシーケンス図である。
【図4】本発明の第1の実施の形態において利用者端末から送信されるINVITE(認証ヘッダなし)の一例を示す図である。
【図5】本発明の第1の実施の形態においてサービス提供サーバから送信される401 Unauthorizedの一例を示す図である。
【図6】本発明の第1の実施の形態において認証管理サーバから利用者端末へ送信される401 Unauthorizedの一例を示す図である。
【図7】本発明の第1の実施の形態において利用者端末から送信されるINVITE(認証ヘッダあり)の一例を示す図である。
【図8】本発明の第1の実施の形態において認証管理サーバからサービス提供サーバに送信されるINVITE(認証結果あり)の一例を示す図である。
【図9】本発明の第1の実施の形態における認証管理サーバのブロック図である。
【図10】本発明の第1の実施の形態におけるサービス提供サーバのブロック図である。
【図11】サービスと認証レベルとの対応を記憶する認証レベル情報の一例を示す図である。
【図12】本発明の第1の実施の形態における利用者端末のブロック図である。
【図13】本発明の第1の実施の形態で使用する認証方法情報テーブルの他の例を示す図である。
【図14】本発明の第1の実施の形態で使用する認証方法情報テーブルの更に別の例を示す図である。
【図15】本発明の第1の実施の形態で使用する端末・個人認証テーブルの別の例を示す図である。
【図16】本発明の第1の実施の形態で使用する回線認証テーブルの別の例を示す図である。
【図17】本発明の第2の実施の形態のブロック図である。
【図18】本発明の第2の実施の形態の動作を示すシーケンス図である。
【図19】本発明の第2の実施の形態においてサービス提供サーバから送信される401 Unauthorizedの一例を示す図である。
【図20】本発明の第2の実施の形態における認証管理サーバのブロック図である。
【図21】本発明の第2の実施の形態におけるサービス提供サーバのブロック図である。
【図22】SIPで規定されたユーザ−ユーザ間HTTPダイジェスト認証方式の動作シーケンス図である。
【図23】SIPで規定されたユーザ−ユーザ間HTTPダイジェスト認証方式における401 UnauthorizedのWWW−Authenticateヘッダの内容例を示す図である。
【図24】SIPで規定されたユーザ−ユーザ間HTTPダイジェスト認証方式におけるINVITEのAuthorizationヘッダの内容例を示す図である。
【符号の説明】
【0131】
100…利用者設備
101…利用者端末
102…ホームゲートウェイ
103…回線
200、201…サービス提供サーバ
300、301…認証管理サーバ
400…ネットワーク
500…SIPサーバ
【技術分野】
【0001】
本発明は認証システムおよび認証方法に関し、特に通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用した通信網を介して利用者がサービス提供サーバからサービスの提供を受ける際の認証技術に関する。
【背景技術】
【0002】
パーソナルコンピュータ(PC)などの利用者端末から通信網経由でサービス提供サーバをアクセスし、サービスの提供を受ける際の利用者認証は、利用者端末とサービス提供サーバとの間で直接に行われるのが基本である。通信セッションを確立するためのシグナリングプロトコルであるSIP(Session Initiation Protocol)においても、サーバ側でリクエストの送信者が誰かということを確認する手段として、ユーザ−ユーザ間HTTPダイジェスト認証方式の利用が規定されている。
【0003】
図22を参照すると、SIPで規定されたユーザ−ユーザ間HTTPダイジェスト認証方式では、まずUAC(User Agent Client)として動作する利用者端末がUAS(User Agent Server)として動作するサービス提供サーバに対して、AuthorizationヘッダのないINVITEを送信する。このINVITEは、UACとUASの間にあってSIPメッセージの中継を担うSIPサーバ(プロキシサーバ)によって中継されて、サービス提供サーバに届けられる。
【0004】
サービス提供サーバは、受信したINVITE中のAuthorizationヘッダの有無を確認する。そして、当該ヘッダが無いため、図23に例示するようにチャレンジ値として必要なパラメータを記述したWWW−Authenticateヘッダを含む401 Authenticateを応答として返す。このWWW−AuthenticateはSIPサーバで中継されて、利用者端末へ届けられる。
【0005】
利用者端末は、401 Authenticateを受信すると、図24に例示するようにレスポンス値に必要なパラメータを記述したAuthorizationヘッダとその他必要な情報を記述したINVITEを作成して送信する。このINVITEはSIPサーバで中継されて、サービス提供サーバへ届けられる。
【0006】
サービス提供サーバは、受信したINVITE中のAuthorizationヘッダの有無を確認する。そして、当該ヘッダが有るため、記述されている情報を元に認証を行う。その結果、認証が成功すれば、200 OKを応答として返し、ACKの受信後、サービスの提供を行う。
【0007】
他方、サービス提供サーバの負荷を軽減するために、通信網に認証管理サーバを接続し、サービス提供サーバのサービス提供のために認証管理サーバが利用者の認証を代行するシステムが提案されている(例えば特許文献1参照)。
【0008】
利用者の認証には、利用者IDとパスワードによる認証方法、指紋などの生体特徴による認証方法など、利用者の本人性を確認するための認証情報を用いる方法が種々提案ないし実用化されている。また、通信網へ接続する加入者回線と利用者との関連付けを行い、加入者回線の回線識別情報と利用者を一意に識別する情報とによる認証を行うことによって、利用者毎に特定された加入者回線以外からサービスを利用できないようにした認証方法が提案されている(例えば特許文献1参照)。
【0009】
さらに、高いセキュリティレベルを必要とするサービス、それほど高いセキュリティレベルを必要としないサービスなど、セキュリティレベルの異なる複数のサービスを提供するサービス提供サーバにおいて、提供するサービスに応じた認証レベルで認証を行う方法が提案されている(例えば特許文献2、特許文献3参照)。ここで、認証レベルは、そのレベルが高いほど、確保できるセキュリティレベルが高いことを意味する。例えば、指紋による認証はパスワードによる認証に比べて認証レベルが高いと言える。
【0010】
【特許文献1】特開2006−331204号公報
【特許文献2】特開2007−79992号公報
【特許文献3】特開2003−248661号公報
【発明の開示】
【発明が解決しようとする課題】
【0011】
上述したようにSIPにおいては、サービス提供サーバ側で利用者端末の利用者が誰かということを確認するためにユーザ−ユーザ間認証方式が規定されている。しかし、サービス提供サーバが利用者端末との間で直接に認証処理を行わなければならないために、サービス提供サーバの認証に伴う負荷が大きかった。従って、SIPにおいてもサービス提供サーバのために認証管理サーバが利用者の認証を代行できる仕組みが求められている。しかし、認証管理サーバによって認証を代行する仕組みを、SIPシグナリングフレームワークにどのように適用すれば良いのかという技術上の課題がある。
【0012】
本発明の目的は、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用した通信網を通じてサービスを提供するサービス提供サーバの負荷を軽減するために、認証管理サーバが認証を代行する仕組みをSIPのフレームワークに組み込んだ認証システムおよび認証方法を提供することにある。
【課題を解決するための手段】
【0013】
本発明の第1の認証システムは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に利用者端末とサービス提供サーバとSIPサーバとが接続され、前記SIPサーバに認証管理サーバが接続された認証システムであって、前記認証管理サーバは、前記利用者端末が前記サービス提供サーバに送信したINVITEリクエストを前記SIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが送信した認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段とを備え、前記サービス提供サーバは、前記利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに前記認証管理サーバによる認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段とを備え、前記利用者端末は、前記認証管理サーバが前記SIPサーバを通じて送信した前記401 Unauthorizedレスポンスを受信して解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段とを備える。
【0014】
本発明の第1の認証方法は、a)通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末が、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するステップと、b)SIPサーバが、前記INVITEリクエストを前記サービス提供サーバへ転送するステップと、c)前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答するステップと、d)前記SIPサーバが、前記401 Unauthorizedレスポンスを前記認証管理サーバへ転送するステップと、e)前記認証管理サーバが、受信した前記401 Unauthorizedレスポンスを解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送するステップと、f)前記利用者端末が、受信した前記401 Unauthorizedレスポンスを解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信するステップと、g)前記SIPサーバが、前記INVITEリクエストを認証管理サーバへ転送するステップと、h)前記認証管理サーバが、受信した前記INVITEリクエストに認証ヘッダが含まれていることを判定し、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送するステップと、i)前記サービス提供サーバが、受信した前記INVITEリクエストに認証結果が含まれていることを判定し、認証結果の成否に応じてサービスの提供可否を判断するステップとを含む。
【0015】
本発明の第1の認証管理サーバは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストをSIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段とを備える。
【0016】
本発明の第1のサービス提供サーバは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、認証管理サーバによる認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに前記認証管理サーバによる認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段とを備える。
【0017】
本発明の第1の利用者端末は、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末であって、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するサービス処理手段と、該送信されたINVITEリクエストに認証結果が含まれていないことを判定した前記サービス提供サーバが、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に送信し、該送信された401 UnauthorizedレスポンスがSIPサーバにより認証管理サーバへ転送され、前記認証管理サーバが受信した前記401 Unauthorizedレスポンスを解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて転送してきた場合に、該401 Unauthorizedレスポンスを受信して解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段とを備える。
【0018】
本発明の第1のSIPサーバは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続されたSIPサーバであって、利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストを受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれていない場合には、前記INVITEリクエストを前記サービス提供サーバへ転送し、認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末へ転送する認証要求手段とを備える。
【0019】
本発明の第1のプログラムは、認証管理サーバを構成するコンピュータを、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストをSIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段として機能させる。
【0020】
本発明の第2のプログラムは、サービス提供サーバを構成するコンピュータを、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、認証管理サーバによる認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに前記認証管理サーバによる認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段として機能させる。
【0021】
本発明の第3のプログラムは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末を構成するコンピュータを、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するサービス処理手段と、該送信されたINVITEリクエストに認証結果が含まれていないことを判定した前記サービス提供サーバが、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に送信し、該送信された401 UnauthorizedレスポンスがSIPサーバにより認証管理サーバへ転送され、前記認証管理サーバが受信した前記401 Unauthorizedレスポンスを解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて転送してきた場合に、該401 Unauthorizedレスポンスを受信して解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段として機能させる。
【0022】
本発明の第4のプログラムは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続されたSIPサーバを構成するコンピュータを、利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストを受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれていない場合には、前記INVITEリクエストを前記サービス提供サーバへ転送し、認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末へ転送する認証要求手段として機能させる。
【発明の効果】
【0023】
本発明によれば、認証管理サーバが認証を代行する仕組みをSIPのフレームワークに組み込んだ認証システムおよび認証方法を提供することができる。これにより、SIPを使用した通信網を通じてサービスを提供するサービス提供サーバの負荷を軽減することができる。
【発明を実施するための最良の形態】
【0024】
『第1の実施の形態』
図1を参照すると、本発明の第1の実施の形態は、利用者設備100とサービス提供サーバ200とSIPサーバ500とが、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用したネットワーク400を通じて相互に通信可能に接続され、かつ、認証管理サーバ300がSIPサーバ500を介してネットワーク400に接続されている。
【0025】
利用者設備100は、例えば各家庭毎に設けられる電子設備であり、利用者端末101とホームゲートウェイ102とで構成される。利用者端末101は、パーソナルコンピュータ等の情報処理機器で構成され、利用者はこの利用者端末101を通じてサービス提供サーバ200へアクセスし、サービスの提供を受ける。ホームゲートウェイ102は、1台以上の利用者端末101を回線103を通じてネットワーク400に接続するための通信機器であり、例えばネットワーク400を管理運営する通信事業者から各家庭にレンタルされる。
【0026】
サービス提供サーバ200は、ビデオオンデマンドやオンラインショッピングなどの各種サービスを利用者端末101へ提供するコンピュータである。サービス提供サーバ200は、利用者端末101からサービス要求を受信すると、提供するサービスに応じた認証レベルの認証が得られることを条件にサービスの提供を行う。
【0027】
SIPサーバ500は、実際に通信を行う利用者端末101とサービス提供サーバ200の間にあってSIPメッセージの中継を担うプロキシサーバである。SIPサーバ500は、中継するSIPメッセージのうち特定の条件を満たすものだけを認証管理サーバ300に転送するよう構成されている。認証管理サーバ300は転送されてきたSIPメッセージに基づいて認証の代行処理などの所定の処理を実施する。認証管理サーバ300から出力されたSIPメッセージは、SIPサーバ500において再びルーティングされ、利用者端末101やサービス提供サーバ200へ転送される。ここで、SIPサーバ500において、中継するSIPメッセージが特定の条件を満たすかどうかを判定する具体的な方法としては、例えば、特定の条件をiFC(Initial Filter Criteria)に記述しておき、中継するSIPメッセージを受信する毎にiFCを参照し、特定の条件を満たすかどうかを判定する方法がある。
【0028】
SIPサーバ500のiFCに記述された特定の条件の例を図1に示す。図1のiFC中の記述は、メソッド名がINVITEであれば特定の条件を満たすことを示す。この条件により、利用者端末101からサービス提供サーバ200へ送信されるINVITEのリクエストが、SIPサーバ500による中継の際に認証管理サーバ300に取り込まれる。また、基本的にSIPの応答はリクエストが通ってきたルートをそのまま遡るため、INVITEの応答である401 Unauthorizedも、SIPサーバ500による中継の際に認証管理サーバ300に取り込まれることになる。本実施の形態では図1に例示した特定の条件を使用するが、SIPサーバ500のiFCに記述する特定の条件は上記の例に限定されず、例えば、以下のような例も考えられる。
1:メソッド名=”INVITE” & ヘッダ名=”Authorization”
2:ステータスコード=”401” & ヘッダ名=”WWW−Authenticate” & 認証スキーム名=”IntegratedAuth”
1番目の記述は、メソッド名がINVITEであり、且つ、ヘッダ名がAuthorizationであれば、特定の条件を満たすことを示す。この条件により、利用者端末101からサービス提供サーバ200へ送信されるINVITEのリクエストのうち、認証ヘッダの有るINVITEだけが、SIPサーバ500による中継の際に認証管理サーバ300に取り込まれる。
2番目の記述は、ステータスコードが401、且つ、ヘッダ名がWWW−Authenticate、且つ、認証スキーム名がIntegratedAuthであれば特定の条件を満たすことを示す。この条件により、サービス提供サーバ200から利用者端末101へ送信される401 Unauthorizedのうち、サービス提供サーバ200が認証の代行を要求している401 Unauthorizedが、SIPサーバ500による中継の際に認証管理サーバ300に取り込まれる。なお、この場合サービス提供サーバ200からの応答に対しても、SIPサーバ500でiFCを参照して条件判定を行い、条件を満たす場合は認証管理サーバ300へ転送され、その後の利用者端末101への転送が正しく行われるものとする。
【0029】
図1では、SIPサーバ500と認証管理サーバ300とを別々のブロックで図示しているが、これはSIPサーバ500と認証管理サーバ300とが物理的に別々のコンピュータに実装されていることを限定しているものではなく、SIPサーバ500と認証管理サーバ300は同じコンピュータに実装することも可能である。また、認証管理サーバ300は、SIPサーバ500の拡張機能(付加機能)として実現することも可能である。なお、認証管理サーバ300の具体的な実現手法は任意であり、中継サーバのような構成で実現しても良いし、内部的に2つのSIP UAを背中合わせに実装したB2BUA(Back to Back User Agent)で実現しても良い。
【0030】
認証管理サーバ300は、サービス提供サーバ200のサービス提供のために利用者の認証を代行する。認証管理サーバ300は、複数の認証レベルのうち、サービス提供サーバ200が利用者端末101に対して提供するサービスに応じた認証レベルの認証方法を用いて、利用者端末101の利用者の認証を代行する。
【0031】
複数の認証レベルの認証方法としては、利用者端末101が接続されている回線103の回線識別情報と、それぞれ異なる他の1以上の認証情報とによる認証を使用する。回線103の回線識別情報としては、ホームゲートウェイ102に対してネットワーク400から払い出されたIPアドレスが使用される。また、他の1以上の認証情報としては、例えば利用者端末の端末情報、パスワード、指紋などの生体特徴などが使用される。利用者端末の端末情報としては、利用者端末のMACアドレスや、TPM(Trusted Platform Module)から取得できる情報など、端末の認証に使用できる情報であれば良い。
【0032】
本実施の形態では、図2の認証方法情報テーブルT3に記載した以下の3つの認証レベルの認証方法を使用する。勿論、認証レベルは2つでも良いし、4つ以上あっても良い。
認証レベル1:回線識別情報と利用者端末の端末情報による認証
認証レベル2:回線識別情報と利用者端末の端末情報とパスワードによる認証
認証レベル3:回線識別情報と利用者端末の端末情報とパスワードと指紋による認証
【0033】
認証レベル1の認証方法では、利用者端末101毎に特定された回線103からサービス要求が送信されているかどうかを確認する。認証レベル2では、認証レベル1による認証に加えてさらに、パスワードによる認証によって利用者の本人性を確認する。認証レベル3では、認証レベル2による認証に加えてさらに、指紋による認証によって利用者の本人性をより厳密に確認する。従って、認証レベル3、認証レベル2、認証レベル1の順にセキュリティレベルが高くなる。
【0034】
以上のような認証方法を実現するために、実際の認証処理に先立ち、認証管理サーバ300に図2に示される回線認証テーブルT1と端末・個人認証テーブルT2とが登録される。
【0035】
回線認証テーブルT1は、回線103を一意に識別するための回線IDに対応付けて、その回線103に接続されたホームゲートウェイ102のIPアドレスを保持する。回線IDとしては、回線103を一意に識別するためにネットワーク400で付された識別番号、回線103の電話番号、あるいはホームゲートウェイ102のMACアドレスのうちの何れか1つ或いは複数が使用される。回線認証テーブルT1へのホームゲートウェイ102のIPアドレスの登録は、ホームゲートウェイ102へ新たなIPアドレスが払い出される毎に行われる。具体的には、ホームゲートウェイ102の電源がオンされ、ホームゲートウェイ102からネットワーク400にDHCPパケットが送信されると、ネットワーク400は、このDHCPパケットを送信したホームゲートウェイ102のMACアドレスが当該回線103に対してレンタルしたホームゲートウェイのMACアドレスと一致するかどうかを確認し、一致した場合に限ってIPアドレスをホームゲートウェイ102に払い出す。この払い出したタイミングで回線認証テーブルT1が更新される。また、IPv6を用いるケースでは、前記の手順で毎回新たなIPアドレスを払い出しても良いし、あらかじめ回線IDに対応付けたIPアドレスを決めておき、毎回その回線に対応した同じIPアドレスを払い出しても良い。
【0036】
端末・個人認証テーブルT2は、回線103の回線IDに対応付けて、その回線103にホームゲートウェイ102を通じて接続された利用者端末101の端末情報、当該利用者端末101の利用者のパスワード、指紋情報を保持する。端末・個人認証テーブルT2へのこれらの情報の登録は、オンラインまたはオフラインで行われる。
【0037】
次に本実施の形態における認証の処理手順について、図3のシーケンス図を参照して説明する。
【0038】
まず、利用者端末101は、サービス提供サーバ200に対して、図4に例示するような認証ヘッダを含まないINVITEをサービス要求として送信する(S111)。図4に示されるINVITEにおいて、To:<sipuser1@xx.xx.xx.xx>はリクエストの着信者のSIP URLであるが、利用しようとするサービスを特定する情報としての役割も果たしている。
【0039】
利用者端末101から送信されたINVITEは、特定の条件を満たすことによりSIPサーバ500から認証管理サーバ300へ転送され、受信される(S311)。認証管理サーバ300は、INVITE中に認証情報を記述したヘッダが含まれているかどうかを確認し(S312)、今の場合は含まれていないので、SIPサーバ500を通じて当該INVITEをサービス提供サーバ200へ転送する(S313)。
【0040】
サービス提供サーバ200は、INVITEを受信すると(S211)、INVITEに認証結果が含まれているかどうかを確認し(S212)、今の場合は含まれていないので、認証を要求する手順を実行する。まず、要求されたサービスに応じた認証レベルを判定する(S213)。次に、図5に例示するようなWWW−Authenticateヘッダを含む401 Unauthorizedを利用者端末101に応答する(S214)。WWW−Authenticateヘッダ中のIntegratedAuthは、SIPで規定されたHTTPダイジェスト認証と区別するために付けられた認証スキーム名である。また、authlevelは認証レベルを意味するパラメータ名、2はそのパラメータ値であり、この例では認証レベルが2であることを示している。
【0041】
401 Unauthorizedは、リクエストに認証情報がないか不適切な認証情報が含まれる場合に、UASがHTTPダイジェスト認証を要求する場合に使用するものとしてSIPで規定されている。その場合、WWW−Authenticateヘッダの認証スキーム名はDigestと記述され、続けて、<チャレンジ値>が記述される。本実施の形態では、認証スキーム名としてIntegratedAuthを使用することにより、当該401 Unauthorizedを、認証の代行を認証管理サーバ300に要求するレスポンスとして利用している。また、authlevel=2という記述を入れることで、認証レベル2の認証の代行を認証管理サーバ300に要求するレスポンスとして利用している。
【0042】
サービス提供サーバ200から送信された上記の401 Unauthorizedは、SIPサーバ500から認証管理サーバ300へ転送され、受信される(S314)。認証管理サーバ300は、受信した401 UnauthorizedのWWW−Authenticateヘッダを解析して認証レベルを認識し、その認証レベルの認証を実現する認証方法を決定する(S315)。そして、WWW−Authenticateヘッダ中のパラメータ名authlevelの記述部分を、その認証レベルの認証を実現する認証方法の記述に書き換え、SIPサーバ500を通じて利用者端末101へ転送する(S316)。
【0043】
具体的には、図5に例示したように「authlevel=2」となっていれば、認証管理サーバ300は、図6に例示するように「authmethod=”MINFO&PW”」に書き換えて転送する。ここで、authmethodは認証方法を意味するパラメータ名、”MINFO&PW”はそのパラメータ値で、MINFOは利用者端末の端末情報による認証を、PWはパスワードによる認証をそれぞれ示す。また、認証管理サーバ300は、例えば「authlevel=1」となっていれば「authmethod=”MINFO”」に書き換えて転送し、「authlevel=3」となっていれば「authmethod=”MINFO&PW&FINGERPRINT”」に書き換えて転送する。ここで、FINGERPRINTは指紋認証を示す。
【0044】
利用者端末101は、上記の401 Unauthorizedを受信すると(S112)、そのWWW−Authenticateヘッダを解析し、要求された認証方法の認証に必要な認証情報を必要に応じて利用者から入力する(S113)。そして、認証情報を記述した認証ヘッダを含む図7に例示するようなINVITEを作成し、サービス提供サーバ200へ送信する(S114)。図7において、「Authorization:IntegratedAuth MINFO=”AA−BB−CC−DD”、PW=”password”」が認証情報を記述した認証ヘッダであり、”AA−BB−CC−DD”は利用者端末のMACアドレスを、”password”はパスワードをそれぞれ示す。
【0045】
利用者端末101から再び送信されたINVITEは、特定の条件を満たすことによりSIPサーバ500から認証管理サーバ300へ転送され、受信される(S317)。認証管理サーバ300は、INVITEに認証情報を記述したヘッダが含まれているかどうかを確認し(S318)、含まれているので、その認証情報と図2に示した回線認証テーブルT1と端末・個人認証テーブルT2とに基づいて認証を行う(S319)。そして、認証の結果を認証ヘッダに記述した図8に例示するようなINVITEをSIPサーバ500を通じてサービス提供サーバ200へ転送する(S320)。図8において、「Authorization:IntegratedAuth authresult=”OK”」が認証結果を記述した認証ヘッダであり、authresultは認証結果を意味するパラメータ名、”OK”は認証が成功したことを示すパラメータ値である。なお、認証が失敗した場合、パラメータ値は”NG”になる。
【0046】
サービス提供サーバ200は、INVITEを受信すると(S215)、INVITEに認証結果が含まれているかどうかを確認し(S216)、含まれているので、認証成功かどうかを確認する(S217)。そして、認証が成功していれば、利用者端末101に対して要求されたサービスを提供する(S218)。
【0047】
利用者端末101は、サービス提供サーバ200から提供されるサービスを受信する(S115)。
【0048】
次に本実施の形態の効果を説明する。
【0049】
本実施の形態によれば、サービス提供サーバ200のサービス提供のために認証管理サーバ300が利用者の認証を代行する仕組みをSIPシグナリングオペレーションのメッセージフローに組み込んだことにより、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用したネットワーク400を通じてサービスを提供するサービス提供システムにおいて、サービス提供サーバ200が提供するサービスのための利用者の認証を認証管理サーバ300が代行する処理をSIPのフレームワークを変更することなしに実現することができる。
【0050】
また本実施の形態によれば、複数の認証レベルの認証方法のうち、サービス提供サーバ200が利用者端末101に対して提供するサービスに応じた認証レベルの認証方法を用いて、利用者端末101の利用者の認証を代行する認証管理サーバ300を備えているため、サービスに応じた認証レベルでの認証を必要とするサービス提供サーバ200の認証に伴う負荷を軽減することができる。
【0051】
また本実施の形態によれば、サービス提供サーバ200の認証に係る負荷をより軽減することができる。その理由は、サービスに応じた認証レベルを決定してその認証の代行を要求すれば、その認証レベルを実現する具体的な認証方法の決定などその他の処理は認証管理サーバ300で行われるためである。
【0052】
また本実施の形態によれば、最低の認証レベルでも事前に登録された回線以外からはサービスの提供を受けることができないため、最低の認証レベルでも、高いセキュリティレベルを確保することができる。
【0053】
また本実施の形態によれば、最低の認証レベルのサービスを享受する利用者の負担を軽減することができる。その理由は、最低の認証レベルである認証レベル1で必要な認証情報は、回線識別情報であるホームゲートウェイ102のIPアドレスと利用者端末の端末情報の合計2つであり、前者の回線識別情報はホームゲートウェイ102で自動的にIPヘッダに付加され、後者の利用者端末の端末情報は端末自体から読み出せるため、利用者は何もしなくて済むためである。
【0054】
次に本実施の形態を構成する利用者端末101、サービス提供サーバ200および認証管理サーバ300の詳細について説明する。
【0055】
図9を参照すると、認証管理サーバ300の一例は、回線認証情報データベース311、端末・個人認証情報データベース312および認証方法情報データベース313といったハードウェア資源と、データベース管理部314、認証判定部315、認証要求部316、パケット解析部317およびパケット送受信部318といった機能手段とを含んで構成される。認証管理サーバ300がワークステーション等のコンピュータで構成される場合、回線認証情報データベース311、端末・個人認証情報データベース312および認証方法情報データベース313は、主記憶装置や補助記憶装置で実現され、データベース管理部314、認証判定部315、認証要求部316、パケット解析部317およびパケット送受信部318は、プログラムで実現することができる。プログラムは、ハードディスクなどのコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られ、そのコンピュータの動作を制御することにより、そのコンピュータ上に上述した各機能手段を実現し、所定の処理を行わせる。
【0056】
回線認証情報データベース311には、図2で例示した回線認証テーブルT1が記憶される。
【0057】
端末・個人認証情報データベース312には、図2で例示した端末・個人認証テーブルT2が記憶される。
【0058】
認証方法情報データベース313には、図2で例示した各認証レベルに対応する認証方法の情報を記述した認証方法情報テーブルT3が記憶される。
【0059】
データベース管理部314は、各データベース311〜313に対する検索や更新を管理する。
【0060】
認証要求部316は、サービス提供サーバ200の代わりに利用者端末101に対して各認証レベルの認証を要求する。
【0061】
認証判定部315は、サービス提供サーバ200の代わりに利用者端末101から送信された認証情報に基づいて各認証レベルの認証を行う。
【0062】
パケット解析部317は、SIPサーバ500から転送されてきたSIPのパケットを解析し、認証要求部316による処理、認証判定部315による処理に切り分ける。また、認証要求部316および認証判定部315から伝達されたSIPのパケットをパケット送受信部318へ出力する。
【0063】
パケット送受信部318は、認証管理サーバ300とSIPサーバ500との間でSIPのパケットの送受信を行う。
【0064】
次に図3のシーケンス図と図9のブロック図を参照して、認証管理サーバ300の動作を説明する。
【0065】
図3のステップS111において利用者端末101から送信されたINVITEがSIPサーバ500から転送されてくると、パケット送受信部318で受信され(S311)、パケット解析部317に伝達される。パケット解析部317は、INVITEに認証情報を記述したヘッダが含まれているかどうかを確認し(S312)、含まれていないので、パケット送受信部318を通じて当該INVITEをSIPサーバ500に送信する。SIPサーバ500はこのINVITEをサービス提供サーバ200へ転送する(S313)。
【0066】
また、図3のステップS214においてサービス提供サーバ200から送信された図5に例示した401 UnauthorizedがSIPサーバ500から転送されてくると、パケット送受信部318で受信され(S314)、パケット解析部317に伝達される。パケット解析部317は、受信したパケットが、IntegratedAuthが記述されたWWW−Authenticateヘッダを含む401 Unauthorizedであることを解析し、認証要求部316へ当該パケットを伝達する。
【0067】
認証要求部316は、受信した401 UnauthorizedのWWW−Authenticateヘッダを解析して認証レベルを認識し、データベース管理部314を通じて認証方法情報データベース313を検索し、認識した認証レベルの認証を実現する認証方法を決定する(S315)。そして認証要求部316は、この決定した認証方法に基づいて図6に例示したように401 UnauthorizedのWWW−Authenticateヘッダを書き換えて、パケット解析部317およびパケット送受信部318を通じてSIPサーバ500へ送信する。SIPサーバ500は、これを利用者端末101へ転送する(S316)。
【0068】
また、図3のステップS114において利用者端末101から再び送信されたINVITEがSIPサーバ500から転送されてくると、パケット送受信部318で受信され(S317)、パケット解析部317へ伝達される。パケット解析部317は、INVITEに認証情報を記述したヘッダが含まれているかどうかを確認し(S318)、含まれているので、当該INVITEを認証判定部315へ伝達する。
【0069】
認証判定部315は、受け取ったINVITE中の認証情報と、データベース管理部314を通じて回線認証情報データベース311の回線認証テーブルT1および端末・個人認証情報データベース312の端末・個人認証テーブルT2から検索した情報とに基づいて認証を行う(S319)。そして、認証判定部315は、認証の結果を認証ヘッダに記述した図8に例示するようなINVITEをパケット解析部317およびパケット送受信部318を通じてSIPサーバ500へ送信する。SIPサーバ500は、これをサービス提供サーバ200へ転送する(S320)。
【0070】
図10を参照すると、サービス提供サーバ200の一例は、提供サービス情報記憶部211、認証レベル情報記憶部212といったハードウェア資源と、サービス提供部213、認証レベル判定部214、認証代行要求部215、パケット解析部216およびパケット送受信部217といった機能手段とを含んで構成される。サービス提供サーバ200がワークステーション等のコンピュータで構成される場合、提供サービス情報記憶部211および認証レベル情報記憶部212は、主記憶装置や補助記憶装置で実現され、サービス提供部213、認証レベル判定部214、認証代行要求部215、パケット解析部216およびパケット送受信部217は、プログラムで実現することができる。プログラムは、ハードディスクなどのコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られ、そのコンピュータの動作を制御することにより、そのコンピュータ上に上述した各機能手段を実現し、後述した処理を行わせる。
【0071】
提供サービス情報記憶部211には、サービス提供サーバ200が利用者端末101に提供する画像や音声などのコンテンツ、オンラインショッピングサービスを提供するWebページなどの情報が記憶される。
【0072】
認証レベル情報記憶部212には、サービス提供サーバ200が提供するサービス毎にその認証レベルの情報が記憶される。例えば、サービス提供サーバ200が3つのサービスA、B、Cを提供し、サービスAの認証レベルは1、サービスBの認証レベルは2、サービスCの認証レベルは3のとき、認証レベル情報記憶部212には、図11に例示するような認証レベル情報が記憶される。
【0073】
サービス提供部213は、提供サービス情報記憶部211に記憶された情報を用いて、利用者端末101にサービスを提供する。
【0074】
認証レベル判定部214は、利用者端末101が要求するサービスの認証レベルを認証レベル情報記憶部212を参照して判定する処理を行う。
【0075】
認証代行要求部215は、サービスの提供を要求する利用者端末101の利用者の認証の代行を認証管理サーバ300に要求する処理を行う。
【0076】
パケット解析部216は、SIPサーバ500から転送されてきたSIPのパケットを解析し、認証代行要求部215による処理、サービス提供部213による処理といった処理に切り分ける。
【0077】
パケット送受信部217は、ネットワーク400を通じて利用者端末101およびSIPサーバ500との間でSIPのパケットや他の通信プロトコル(たとえばHTTPプロトコル)のパケットの送受信を行う。
【0078】
次に図3のシーケンス図と図10のブロック図を参照して、サービス提供サーバ200の動作を説明する。
【0079】
図3のステップS313において認証管理サーバ300から送信された認証ヘッダなしのINVITEがSIPサーバ500から転送されてくると、パケット送受信部217で受信され(S211)、パケット解析部216に伝達される。パケット解析部216は、INVITEに認証結果が含まれているかどうかを確認し(S212)、含まれていないので、受信したINVITEを認証代行要求部215へ伝達する。
【0080】
認証代行要求部215は、要求されたサービスに応じた認証レベルを判定する(S213)。具体的には、INVITE中のToヘッダに記述された論理的なリクエスト送信先に基づいてサービス名を決定し、この決定したサービス名を通知して認証レベル判定部214に認証レベルを要求する。認証レベル判定部214は、通知されたサービス名で認証レベル情報記憶部212を検索して、対応する認証レベルを認証代行要求部215に返却する。次に、認証代行要求部215は、図5に例示するような認証レベルを記述したWWW−Authenticateヘッダを含む401 Unauthorizedを作成し、パケット解析部216およびパケット送受信部217を通じてネットワーク400経由で利用者端末101に応答する(S214)。
【0081】
また、図3のステップS320において認証管理サーバ300から送信された認証ヘッダありのINVITEがIPサーバ500から転送されてくると、パケット送受信部217が受信し(S215)、パケット解析部216に伝達される。パケット解析部216は、受け取ったINVITEに認証結果が含まれているかどうかを確認し(S216)、含まれていれば、さらに、認証が成功したかどうかを確認する(S217)。そして、認証が成功していれば、パケット解析部216は、受け取ったINVITEをサービス提供部213へ伝達する。サービス提供部213は、このINVITEに従って、利用者端末101に対して要求されたサービスを提供する(S218)。
【0082】
図12を参照すると、利用者端末101の一例は、キーボード111、液晶ディスプレイ等の表示装置112、指紋入力装置113、利用者端末情報記憶部114といったハードウェア資源と、指紋入力部115、パスワード入力部116、利用者端末情報入力部117、認証要求応答部118、パケット解析部119、パケット送受信部120、サービス処理部121といった機能手段とを含んで構成される。利用者端末101がパーソナルコンピュータ等のコンピュータで構成される場合、利用者端末情報記憶部114は、主記憶装置や補助記憶装置で実現され、指紋入力部115、パスワード入力部116、利用者端末情報入力部117、認証要求応答部118、パケット解析部119、パケット送受信部120、サービス処理部121は、プログラムで実現することができる。プログラムは、ハードディスクなどのコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られ、そのコンピュータの動作を制御することにより、そのコンピュータ上に上述した各機能手段を実現し、後述した処理を行わせる。
【0083】
利用者端末情報記憶部114には、当該利用者端末101の端末情報として、例えばMACアドレスが記憶される。
【0084】
利用者端末情報入力部117は、認証要求応答部118からの指示に従って利用者端末情報記憶部114から利用者端末のMACアドレスを読み出し、認証要求応答部118に伝達する。
【0085】
パスワード入力部116は、認証要求応答部118からの指示に従って、利用者端末101の利用者からパスワードを入力し、認証要求応答部118に伝達する。具体的には、表示装置112の画面にパスワード入力画面を表示し、利用者がキーボード111を操作してパスワード入力画面にパスワードを入力すると、この入力されたパスワードを取り込んで認証要求応答部118へ出力する。
【0086】
指紋入力部115は、認証要求応答部118からの指示に従って、指紋入力装置113から利用者の指紋情報を入力し、認証要求応答部118に伝達する。
【0087】
認証要求応答部118は、パケット解析部119から受信した401 UnauthorizedのWWW−Authenticateヘッダを解析し、要求された認証情報を利用者端末情報入力部117、パスワード入力部116、指紋入力部115から入力し、この入力した認証情報を記述したINVITEを作成して、パケット解析部119へ送信する。
【0088】
サービス処理部121は、キーボード111から入力される指示に従ってサービス提供サーバ200へサービスを要求し、それに応じて提供されるサービスを表示装置112に表示する等の処理を行う。
【0089】
パケット解析部119は、SIPサーバ500やサービス提供サーバ200から転送されてきたパケットをパケット送受信部120から受信し、認証要求応答部118およびサービス処理部121へパケットを伝達する。また、その逆に認証要求応答部118およびサービス処理部121から伝達されるパケットをパケット送受信部120へ伝達する。
【0090】
パケット送受信部120は、ホームゲートウェイ102およびネットワーク400を通じて利用者端末101およびSIPサーバ500との間でSIPのパケットや他の通信プロトコル(たとえばHTTPプロトコル)のパケットの送受信を行う。
【0091】
次に図3のシーケンス図と図12のブロック図を参照して、利用者端末101の動作を説明する。
【0092】
利用者端末101において、サービス提供サーバ200のサービスを受けるためにサービス提供サーバ200をアクセスする際、サービス処理部121はINVITEを作成し、パケット解析部119、パケット送受信部120およびホームゲートウェイ102を通じてネットワーク400経由でサービス提供サーバへ送信する(S114)。
【0093】
また図3のステップS316において認証管理サーバ300からSIPサーバ500を通じて送信された図6に例示するような401 Unauthorizedがホームゲートウェイ102から転送されてくると、パケット送受信部120で受信され(S112)、パケット解析部119に伝達される。パケット解析部119は、受信したパケットが401 Unauthorizedであり、そのWWW−Authenticateヘッダ中に「WWW−Authenticate:IntegratedAuth authmethod=”MINFO&PW”」に例示するような認証情報を要求する記述があるため、当該401 Unauthorizedを認証要求応答部118へ伝達する。
【0094】
認証要求応答部118は、受け取った401 UnauthorizedのWWW−Authenticateヘッダで要求されている認証情報を判定し、要求された認証情報を利用者端末情報入力部117、パスワード入力部116、指紋入力部115から入力する(S113)。そして、この入力した認証情報を認証ヘッダに記述したINVITEを作成し、パケット解析部119、パケット送受信部120およびホームゲートウェイ102を通じてネットワーク400経由でサービス提供サーバへ送信する(S114)。
【0095】
また、図3のステップS218においてサービス提供サーバ200から送信されたサービス情報にかかるパケットがホームゲートウェイ102で受信されて転送されてくると、パケット送受信部120が受信し(S115)、パケット解析部119に伝達される。パケット解析部119は、受け取ったサービス情報にかかるパケットをサービス処理部121へ伝達し、サービス処理部121は受信した情報を表示装置112へ表示するといった処理を実行する。
【0096】
以上の説明では、サービスに応じた認証レベルの認証方法は事前に唯一つだけ定められていたが、同一の認証レベルに対して複数の認証方法を定めておいて、その内の任意の認証方法を選択して使用するようにしても良い。また、図2に示した認証方法情報テーブルT3の代わりに、図13に例示するように、基本となる複数の認証方法と、その選択条件(必須か任意か)とそれを使用した際の認証レベルの増加ポイントとを定義した認証方法情報テーブルT4を使用し、幾つかの認証方法を動的に組み合わせてサービスに応じた認証レベルの認証方法を決定するようにしても良い。図13に例示した認証方法情報テーブルT4によると、認証レベル1の認証方法は、回線識別情報と利用者端末情報による認証として決定され、認証レベル2の認証方法は、回線識別情報と利用者端末情報による認証とパスワードによる認証との組み合わせとして決定され、認証レベル3の認証方法は、回線識別情報と利用者端末情報による認証と指紋による認証との組み合わせとして決定され、認証レベル4の認証方法は、回線識別情報と利用者端末情報による認証とパスワードによる認証と指紋による認証との組み合わせとして決定される。
【0097】
また以上の説明では、利用者端末101が接続されている回線103の回線識別情報と異なる他の認証情報として、利用者端末101の端末情報、パスワード、指紋を使用したが、利用者の本人性を確認する情報であれば、他の種類の情報を使用することができる。また、利用者の本人性を確認するには効果が少ないと考えられる利用者の性別や年齢などの属性情報を認証情報として利用し、図14の認証方法情報テーブルT5に例示するように認証レベルを利用者の属性に応じて更に細分化しても良い。この場合、利用者に属性情報を入力させると利用者に負担がかかるので、図15の端末・個人認証テーブルT6に例示するように、他の認証情報と同様に認証管理サーバ300の端末・個人認証情報データベース312に登録しておき、他の認証情報によって利用者が特定された後、その利用者の属性情報を確認するようにするのが望ましい。
【0098】
また以上の説明では、利用者端末101が接続されている回線103の回線識別情報として、ホームゲートウェイ102のIPアドレスを使用したが、それに代えて、あるいはそれに加えて回線103に対してネットワーク400から割り当てられている電話番号を回線識別情報として使用しても良い。この場合、回線認証テーブルT1は図16に例示するような構成となる。利用者端末101側では、電話番号は記憶部に予め記憶しておいても良いし、キーボードからその都度入力するようにしても良い。電話番号は、端末情報などの他の認証情報と同様にINVITEの認証ヘッダに記述されて送信される。
【0099】
電話番号を回線識別情報として使用する場合、以下の2通りの認証方法が考えられる。第1の方法は、認証ヘッダに電話番号が含まれている場合、ホームゲートウェイ102のIPアドレスの代わりに、その電話番号を使って認証を行う方法である。具体的には、認証管理サーバ300は、認証ヘッダに記述された電話番号をキーに図16の回線認証テーブルT1を検索し、一致する電話番号に対応する回線IDを取得する。次に、この取得した回線IDをキーに図2の端末・個人認証テーブルT2を検索して、端末情報などのその他の認証情報を取得して認証ヘッダ中の端末情報と比較する方法である。
【0100】
第2の方法は、前述した実施の形態および実施例と同様にホームゲートウェイ102のIPアドレスをキーに図16の回線認証テーブルT1を検索し、一致するIPアドレスに対応する回線IDを取得し、次に、この取得した回線IDをキーに図2の端末・個人認証テーブルT2を検索して、端末情報を取得して認証ヘッダ中の端末情報と比較した時点で一致しなかった場合、電話番号を使用した前記第1の方法に切り替える方法である。この場合、利用者端末101に一旦認証失敗を通知して、電話番号の入力を要求しても良いし、既に認証ヘッダに電話番号が記述されていれば、それを利用しても良い。
【0101】
電話番号を回線識別情報として使用する構成は、たとえば他人の家を訪れた際、自分の利用者端末を使ってその家の回線を借りてサービスを受けたい場合に有効である。回線に結び付いた認証という意味では、その回線の正規(登録)利用者という識別は行っていないが、電話番号をもとに、どこの回線に登録されている(どこの回線の正規ユーザなのか)ということがわかるので、外出先でサービスを利用する場合の認証方法として有効である。
【0102】
『第2の実施の形態』
図17を参照すると、本発明の第2の実施の形態は、図1に示した第1の実施の形態と比較して、サービス提供サーバ200および認証管理サーバ300に代えてサービス提供サーバ201および認証管理サーバ301を備えている点で相違する。
【0103】
サービス提供サーバ201は、第1の実施の形態のサービス提供サーバ200と比較して、認証管理サーバ301に対してサービスに応じた認証レベルの認証の代行を要求する際に認証レベルを指定しない点で相違する。
【0104】
認証管理サーバ301は、第1の実施の形態の認証管理サーバ300と比較して、サービス提供サーバ201から認証の代行を要求された際、サービス提供サーバ201が利用者端末101に対して提供するサービスの認証レベルを判定し、この判定した認証レベルの認証の代行を行う点で相違する。
【0105】
次に、本実施の形態における認証の処理手順について、図18のシーケンス図を参照して説明する。
【0106】
まず、利用者端末101は、サービス提供サーバ201に対して、図4に例示するような認証ヘッダを含まないINVITEをサービス要求として送信する(S111)。図4に示されるINVITEにおいて、To:<sipuser1@xx.xx.xx.xx>はリクエストの着信者のSIP URLであるが、利用しようとするサービスを特定する情報としての役割も果たしている。
【0107】
利用者端末101から送信されたINVITEは、特定の条件を満たすことによりSIPサーバ500から認証管理サーバ301へ転送され、受信される(S311)。認証管理サーバ301は、INVITE中に認証情報を記述したヘッダが含まれているかどうかを確認し(S312)、今の場合は含まれていないので、SIPサーバ500を通じて当該INVITEをサービス提供サーバ201へ転送する(S313)。
【0108】
サービス提供サーバ201は、INVITEを受信すると(S211)、INVITEに認証結果が含まれているかどうかを確認し(S212)、今の場合は含まれていないので、図19に例示するようなWWW−Authenticateヘッダを含む401 Unauthorizedを利用者端末101に応答する(S222)。WWW−Authenticateヘッダ中のIntegratedAuthは、SIPで規定されたHTTPダイジェスト認証と区別するために付けられた認証スキーム名である。また、authreqは認証要求を意味するパラメータ名、””はそのパラメータ値であり、サービスに応じた認証レベルの認証を要求していることを示している。
【0109】
401 Unauthorizedは、リクエストに認証情報がないか不適切な認証情報が含まれる場合に、UASがHTTPダイジェスト認証を要求する場合に使用するものとしてSIPで規定されている。その場合、WWW−Authenticateヘッダの認証スキーム名はDigestと記述され、続けて、<チャレンジ値>が記述される。本実施の形態では、認証スキーム名としてIntegratedAuthを使用することにより、当該401 Unauthorizedが、認証の代行を認証管理サーバ301に要求するレスポンスとして利用している。また、authreq=””という記述を入れることで、サービスに応じた認証レベルの認証の代行を認証管理サーバ301に要求するレスポンスとして利用している。
【0110】
サービス提供サーバ201から送信された上記の401 Unauthorizedは、SIPサーバ500から認証管理サーバ301へ転送され、受信される(S322)。認証管理サーバ301は、受信した401 UnauthorizedのWWW−Authenticateヘッダを解析し、サービスに応じた認証レベルの認証の代行が要求されていることから、まず、要求されたサービスに応じた認証レベルを判定する(S323)。次に、この認証レベルの認証を実現する認証方法を決定する(S315)。そして、WWW−Authenticateヘッダ中のパラメータ名authreqの記述部分を、その認証レベルの認証を実現する認証方法の記述に書き換え、SIPサーバ500を通じて利用者端末101へ転送する(S316)。
【0111】
具体的には、認証レベル2の場合、認証管理サーバ301は、図6に例示するように「authmethod=”MINFO&PW”」に書き換えて転送する。ここで、authmethodは認証方法を意味するパラメータ名、”MINFO&PW”はそのパラメータ値で、MINFOは利用者端末の端末情報による認証を、PWはパスワードによる認証をそれぞれ示す。また、認証管理サーバ301は、認証レベル1の場合、「authmethod=”MINFO”」に書き換えて転送し、認証レベル3の場合、「authmethod=”MINFO&PW&FINGERPRINT”」に書き換えて転送する。ここで、FINGERPRINTは指紋認証を示す。
【0112】
以下、第1の実施の形態と同様の手順が実行される(S112〜S115、S317〜S320、S215〜S218)。
【0113】
このように本実施の形態によれば、サービス提供サーバ201はサービスに応じた認証レベルを自ら決定する必要がないため、認証に係るサービス提供サーバ201の負荷をより一層軽減することができる。
【0114】
次に本実施の形態を構成するサービス提供サーバ201および認証管理サーバ301の詳細について説明する。なお、利用者端末101は第1の実施の形態と同じである。
【0115】
図20を参照すると、本実施の形態で使用する認証管理サーバ301は、図9で示した第1の実施の形態で使用する認証管理サーバ300と比較して、認証レベル情報記憶部321を新たに備えている点、認証要求部316の代わりに認証要求部322を備えている点で相違する。
【0116】
認証レベル情報記憶部321には、図11で例示したようなサービス名と認証レベルとの対応関係を示す認証レベル情報が記憶される。
【0117】
認証要求部322は、認証要求部316の機能に加えてさらに、サービスに応じた認証レベルを判定する機能を有する。
【0118】
次に図18のシーケンス図と図20のブロック図を参照して、本実施例の認証管理サーバ301の動作を説明する。
【0119】
図18のステップS222においてサービス提供サーバ201から送信された図19に例示した401 UnauthorizedがSIPサーバ500から転送されてくると、パケット送受信部318で受信され(S322)、パケット解析部317に伝達される。パケット解析部317は、受信したパケットが、IntegratedAuthが記述されたWWW−Authenticateヘッダを含む401 Unauthorizedであることを解析し、認証要求部322へ当該パケットを伝達する。
【0120】
認証要求部322は、受信した401 UnauthorizedのWWW−Authenticateヘッダを解析し、Toヘッダに記述された論理的なリクエスト送信先に基づいてサービス名を決定し、この決定したサービス名をキーにデータベース管理部314を通じて認証レベル情報記憶部321を検索し、対応する認証レベルを取得する(S323)。次に、この認証レベルをキーにデータベース管理部314を通じて認証方法情報データベース313を検索し、認識した認証レベルの認証を実現する認証方法を決定する(S315)。そして認証要求部322は、この決定した認証方法に基づいて図6に例示したように401 UnauthorizedのWWW−Authenticateヘッダを書き換えて、パケット解析部317およびパケット送受信部318を通じてSIPサーバ500へ送信する。SIPサーバ500は、これを利用者端末101へ転送する(S316)。
【0121】
その他の動作は第1の実施の形態における認証管理サーバ300と同じである。
【0122】
図21を参照すると、本実施の形態で使用するサービス提供サーバ201の一例は、図10に示した第1の実施の形態のサービス提供サーバ200と比較して、認証レベル情報記憶部212および認証レベル判定部214が省略されている点と、認証代行要求部215の代わりに認証代行要求部221を備えている点で相違する。
【0123】
認証代行要求部221は、サービスに応じて認証レベルを判定する処理を行わない点で認証代行要求部215より機能が簡素化されている。
【0124】
次に図18のシーケンス図と図21のブロック図を参照して、本実施例のサービス提供サーバ201の動作を説明する。
【0125】
図18のステップS313において認証管理サーバ301から送信された認証ヘッダなしのINVITEがSIPサーバ500から転送されてくると、パケット送受信部217で受信され(S211)、パケット解析部216に伝達される。パケット解析部216は、INVITEに認証結果が含まれているかどうかを確認し(S212)、含まれていないので、受信したINVITEを認証代行要求部221へ伝達する。
【0126】
認証代行要求部221は、図19に例示するようなWWW−Authenticateヘッダを含む401 Unauthorizedを作成し、パケット解析部216およびパケット送受信部217を通じてネットワーク400経由で利用者端末101に応答する(S222)。
【0127】
その他の動作は、第1の実施の形態の実施例で使用するサーバ提供サーバ200と同じである。
【0128】
以上本発明の実施の形態について説明したが、本発明は以上の実施の形態にのみ限定されず、その他各種の付加変更が可能である。例えば、前述した実施の形態では、サービスに応じた認証レベルの認証を行ったが、サービスによらず常に同じレベルの認証を行うシステムに対しても本発明は適用可能である。また前述した実施の形態では、利用者端末が接続された回線の回線識別情報による認証を行ったが、そのような認証方法に限定されず、IDとパスワードによる認証など任意の認証方法を使用するシステムに対して本発明は適用可能である。
【産業上の利用可能性】
【0129】
本発明は、利用者が通信網を介してサービス提供サーバからサービスの提供を受ける際の認証技術に有効であり、特に通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用したネットワークにおける利用者認証に用いるのに適している。
【図面の簡単な説明】
【0130】
【図1】本発明の第1の実施の形態のブロック図である。
【図2】本発明の第1の実施の形態で使用する回線認証テーブル、端末・個人認証テーブルおよび認証方法情報テーブルの一例を示す図である。
【図3】本発明の第1の実施の形態の動作を示すシーケンス図である。
【図4】本発明の第1の実施の形態において利用者端末から送信されるINVITE(認証ヘッダなし)の一例を示す図である。
【図5】本発明の第1の実施の形態においてサービス提供サーバから送信される401 Unauthorizedの一例を示す図である。
【図6】本発明の第1の実施の形態において認証管理サーバから利用者端末へ送信される401 Unauthorizedの一例を示す図である。
【図7】本発明の第1の実施の形態において利用者端末から送信されるINVITE(認証ヘッダあり)の一例を示す図である。
【図8】本発明の第1の実施の形態において認証管理サーバからサービス提供サーバに送信されるINVITE(認証結果あり)の一例を示す図である。
【図9】本発明の第1の実施の形態における認証管理サーバのブロック図である。
【図10】本発明の第1の実施の形態におけるサービス提供サーバのブロック図である。
【図11】サービスと認証レベルとの対応を記憶する認証レベル情報の一例を示す図である。
【図12】本発明の第1の実施の形態における利用者端末のブロック図である。
【図13】本発明の第1の実施の形態で使用する認証方法情報テーブルの他の例を示す図である。
【図14】本発明の第1の実施の形態で使用する認証方法情報テーブルの更に別の例を示す図である。
【図15】本発明の第1の実施の形態で使用する端末・個人認証テーブルの別の例を示す図である。
【図16】本発明の第1の実施の形態で使用する回線認証テーブルの別の例を示す図である。
【図17】本発明の第2の実施の形態のブロック図である。
【図18】本発明の第2の実施の形態の動作を示すシーケンス図である。
【図19】本発明の第2の実施の形態においてサービス提供サーバから送信される401 Unauthorizedの一例を示す図である。
【図20】本発明の第2の実施の形態における認証管理サーバのブロック図である。
【図21】本発明の第2の実施の形態におけるサービス提供サーバのブロック図である。
【図22】SIPで規定されたユーザ−ユーザ間HTTPダイジェスト認証方式の動作シーケンス図である。
【図23】SIPで規定されたユーザ−ユーザ間HTTPダイジェスト認証方式における401 UnauthorizedのWWW−Authenticateヘッダの内容例を示す図である。
【図24】SIPで規定されたユーザ−ユーザ間HTTPダイジェスト認証方式におけるINVITEのAuthorizationヘッダの内容例を示す図である。
【符号の説明】
【0131】
100…利用者設備
101…利用者端末
102…ホームゲートウェイ
103…回線
200、201…サービス提供サーバ
300、301…認証管理サーバ
400…ネットワーク
500…SIPサーバ
【特許請求の範囲】
【請求項1】
通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に利用者端末とサービス提供サーバとSIPサーバとが接続され、前記SIPサーバに認証管理サーバが接続された認証システムであって、
前記認証管理サーバは、前記利用者端末が前記サービス提供サーバに送信したINVITEリクエストを前記SIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが送信した認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段とを備え、
前記サービス提供サーバは、前記利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに前記認証管理サーバによる認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段とを備え、
前記利用者端末は、前記認証管理サーバが前記SIPサーバを通じて送信した前記401 Unauthorizedレスポンスを受信して解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段とを備えることを特徴とする認証システム。
【請求項2】
前記認証管理サーバの前記認証要求手段は、複数の認証レベルの認証方法のうち前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を選択し、該選択した認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送することを特徴とする請求項1記載の認証システム。
【請求項3】
前記認証管理サーバの前記認証要求手段は、前記サービス提供サーバから送信される前記401 Unauthorizedレスポンスの前記WWW−Authenticateヘッダに記述されたサービスの認証レベルを判定することを特徴とする請求項2記載の認証システム。
【請求項4】
前記認証管理サーバの前記認証要求手段は、前記サービス提供サーバから受信した前記401 UnauthorizedレスポンスのToヘッダに記述された前記サービス提供サーバのSIP URLからサービスを特定し、該特定したサービスに応じた認証レベルを判定することを特徴とする請求項2記載の認証システム。
【請求項5】
a)通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末が、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するステップと、
b)SIPサーバが、前記INVITEリクエストを前記サービス提供サーバへ転送するステップと、
c)前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答するステップと、
d)前記SIPサーバが、前記401 Unauthorizedレスポンスを前記認証管理サーバへ転送するステップと、
e)前記認証管理サーバが、受信した前記401 Unauthorizedレスポンスを解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送するステップと、
f)前記利用者端末が、受信した前記401 Unauthorizedレスポンスを解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信するステップと、
g)前記SIPサーバが、前記INVITEリクエストを認証管理サーバへ転送するステップと、
h)前記認証管理サーバが、受信した前記INVITEリクエストに認証ヘッダが含まれていることを判定し、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送するステップと、
i)前記サービス提供サーバが、受信した前記INVITEリクエストに認証結果が含まれていることを判定し、認証結果の成否に応じてサービスの提供可否を判断するステップとを含むことを特徴とする認証方法。
【請求項6】
前記ステップeにおいて、前記認証管理サーバが、複数の認証レベルの認証方法のうち前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を選択し、該選択した認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送することを特徴とする請求項5記載の認証方法。
【請求項7】
前記サービス提供サーバから送信される前記401 Unauthorizedレスポンスの前記WWW−Authenticateヘッダに、サービスの認証レベルの記述が含まれることを特徴とする請求項6記載の認証方法。
【請求項8】
前記ステップeにおいて、前記サービス提供サーバから受信した前記401 UnauthorizedレスポンスのToヘッダに記述された前記サービス提供サーバのSIP URLからサービスを特定し、該特定したサービスに応じた認証レベルを判定することを特徴とする請求項6記載の認証方法。
【請求項9】
通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストをSIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段とを備えることを特徴とする認証管理サーバ。
【請求項10】
前記認証要求手段は、複数の認証レベルの認証方法のうち前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を選択し、該選択した認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送することを特徴とする請求項9記載の認証管理サーバ。
【請求項11】
前記認証要求手段は、前記サービス提供サーバから送信される前記401 Unauthorizedレスポンスの前記WWW−Authenticateヘッダに記述されたサービスの認証レベルを判定することを特徴とする請求項10記載の認証管理サーバ。
【請求項12】
前記認証要求手段は、前記サービス提供サーバから受信した前記401 UnauthorizedレスポンスのToヘッダに記述された前記サービス提供サーバのSIP URLからサービスを特定し、該特定したサービスに応じた認証レベルを判定することを特徴とする請求項10記載の認証管理サーバ。
【請求項13】
通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、認証管理サーバによる認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに前記認証管理サーバによる認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段とを備えることを特徴とするサービス提供サーバ。
【請求項14】
前記認証代行要求手段は、要求されたサービスに応じた認証レベルを前記WWW−Authenticateヘッダに記述することを特徴とする請求項13記載のサービス提供サーバ。
【請求項15】
通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末であって、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するサービス処理手段と、該送信されたINVITEリクエストに認証結果が含まれていないことを判定した前記サービス提供サーバが、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に送信し、該送信された401 UnauthorizedレスポンスがSIPサーバにより認証管理サーバへ転送され、前記認証管理サーバが受信した前記401 Unauthorizedレスポンスを解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて転送してきた場合に、該401 Unauthorizedレスポンスを受信して解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段とを備えたことを特徴とする利用者端末。
【請求項16】
認証管理サーバを構成するコンピュータを、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストをSIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段として機能させるためのプログラム。
【請求項17】
前記認証要求手段は、複数の認証レベルの認証方法のうち前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を選択し、該選択した認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送することを特徴とする請求項16記載のプログラム。
【請求項18】
前記認証要求手段は、前記サービス提供サーバから送信される前記401 Unauthorizedレスポンスの前記WWW−Authenticateヘッダに記述されたサービスの認証レベルを判定することを特徴とする請求項17記載のプログラム。
【請求項19】
前記認証要求手段は、前記サービス提供サーバから受信した前記401 UnauthorizedレスポンスのToヘッダに記述された前記サービス提供サーバのSIP URLからサービスを特定し、該特定したサービスに応じた認証レベルを判定することを特徴とする請求項17記載のプログラム。
【請求項20】
サービス提供サーバを構成するコンピュータを、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、認証管理サーバによる認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに前記認証管理サーバによる認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段として機能させるためのプログラム。
【請求項21】
前記認証代行要求手段は、要求されたサービスに応じた認証レベルを前記WWW−Authenticateヘッダに記述することを特徴とする請求項20記載のプログラム。
【請求項22】
通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末を構成するコンピュータを、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するサービス処理手段と、該送信されたINVITEリクエストに認証結果が含まれていないことを判定した前記サービス提供サーバが、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に送信し、該送信された401 UnauthorizedレスポンスがSIPサーバにより認証管理サーバへ転送され、前記認証管理サーバが受信した前記401 Unauthorizedレスポンスを解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて転送してきた場合に、該401 Unauthorizedレスポンスを受信して解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段として機能させるためのプログラム。
【請求項23】
通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続されたSIPサーバであって、利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストを受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれていない場合には、前記INVITEリクエストを前記サービス提供サーバへ転送し、認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末へ転送する認証要求手段とを備えることを特徴とするSIPサーバ。
【請求項24】
前記認証要求手段は、複数の認証レベルの認証方法のうち前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を選択し、該選択した認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末へ転送することを特徴とする請求項23記載のSIPサーバ。
【請求項25】
前記認証要求手段は、前記サービス提供サーバから送信される前記401 Unauthorizedレスポンスの前記WWW−Authenticateヘッダに記述されたサービスの認証レベルを判定することを特徴とする請求項24記載のSIPサーバ。
【請求項26】
前記認証要求手段は、前記サービス提供サーバから受信した前記401 UnauthorizedレスポンスのToヘッダに記述された前記サービス提供サーバのSIP URLからサービスを特定し、該特定したサービスに応じた認証レベルを判定することを特徴とする請求項24記載のSIPサーバ。
【請求項27】
通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続されたSIPサーバを構成するコンピュータを、利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストを受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれていない場合には、前記INVITEリクエストを前記サービス提供サーバへ転送し、認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末へ転送する認証要求手段として機能させるためのプログラム。
【請求項28】
前記認証要求手段は、複数の認証レベルの認証方法のうち前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を選択し、該選択した認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末へ転送することを特徴とする請求項27記載のプログラム。
【請求項29】
前記認証要求手段は、前記サービス提供サーバから送信される前記401 Unauthorizedレスポンスの前記WWW−Authenticateヘッダに記述されたサービスの認証レベルを判定することを特徴とする請求項28記載のプログラム。
【請求項30】
前記認証要求手段は、前記サービス提供サーバから受信した前記401 UnauthorizedレスポンスのToヘッダに記述された前記サービス提供サーバのSIP URLからサービスを特定し、該特定したサービスに応じた認証レベルを判定することを特徴とする請求項28記載のプログラム。
【請求項1】
通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に利用者端末とサービス提供サーバとSIPサーバとが接続され、前記SIPサーバに認証管理サーバが接続された認証システムであって、
前記認証管理サーバは、前記利用者端末が前記サービス提供サーバに送信したINVITEリクエストを前記SIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが送信した認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段とを備え、
前記サービス提供サーバは、前記利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに前記認証管理サーバによる認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段とを備え、
前記利用者端末は、前記認証管理サーバが前記SIPサーバを通じて送信した前記401 Unauthorizedレスポンスを受信して解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段とを備えることを特徴とする認証システム。
【請求項2】
前記認証管理サーバの前記認証要求手段は、複数の認証レベルの認証方法のうち前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を選択し、該選択した認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送することを特徴とする請求項1記載の認証システム。
【請求項3】
前記認証管理サーバの前記認証要求手段は、前記サービス提供サーバから送信される前記401 Unauthorizedレスポンスの前記WWW−Authenticateヘッダに記述されたサービスの認証レベルを判定することを特徴とする請求項2記載の認証システム。
【請求項4】
前記認証管理サーバの前記認証要求手段は、前記サービス提供サーバから受信した前記401 UnauthorizedレスポンスのToヘッダに記述された前記サービス提供サーバのSIP URLからサービスを特定し、該特定したサービスに応じた認証レベルを判定することを特徴とする請求項2記載の認証システム。
【請求項5】
a)通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末が、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するステップと、
b)SIPサーバが、前記INVITEリクエストを前記サービス提供サーバへ転送するステップと、
c)前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答するステップと、
d)前記SIPサーバが、前記401 Unauthorizedレスポンスを前記認証管理サーバへ転送するステップと、
e)前記認証管理サーバが、受信した前記401 Unauthorizedレスポンスを解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送するステップと、
f)前記利用者端末が、受信した前記401 Unauthorizedレスポンスを解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信するステップと、
g)前記SIPサーバが、前記INVITEリクエストを認証管理サーバへ転送するステップと、
h)前記認証管理サーバが、受信した前記INVITEリクエストに認証ヘッダが含まれていることを判定し、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送するステップと、
i)前記サービス提供サーバが、受信した前記INVITEリクエストに認証結果が含まれていることを判定し、認証結果の成否に応じてサービスの提供可否を判断するステップとを含むことを特徴とする認証方法。
【請求項6】
前記ステップeにおいて、前記認証管理サーバが、複数の認証レベルの認証方法のうち前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を選択し、該選択した認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送することを特徴とする請求項5記載の認証方法。
【請求項7】
前記サービス提供サーバから送信される前記401 Unauthorizedレスポンスの前記WWW−Authenticateヘッダに、サービスの認証レベルの記述が含まれることを特徴とする請求項6記載の認証方法。
【請求項8】
前記ステップeにおいて、前記サービス提供サーバから受信した前記401 UnauthorizedレスポンスのToヘッダに記述された前記サービス提供サーバのSIP URLからサービスを特定し、該特定したサービスに応じた認証レベルを判定することを特徴とする請求項6記載の認証方法。
【請求項9】
通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストをSIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段とを備えることを特徴とする認証管理サーバ。
【請求項10】
前記認証要求手段は、複数の認証レベルの認証方法のうち前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を選択し、該選択した認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送することを特徴とする請求項9記載の認証管理サーバ。
【請求項11】
前記認証要求手段は、前記サービス提供サーバから送信される前記401 Unauthorizedレスポンスの前記WWW−Authenticateヘッダに記述されたサービスの認証レベルを判定することを特徴とする請求項10記載の認証管理サーバ。
【請求項12】
前記認証要求手段は、前記サービス提供サーバから受信した前記401 UnauthorizedレスポンスのToヘッダに記述された前記サービス提供サーバのSIP URLからサービスを特定し、該特定したサービスに応じた認証レベルを判定することを特徴とする請求項10記載の認証管理サーバ。
【請求項13】
通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、認証管理サーバによる認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに前記認証管理サーバによる認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段とを備えることを特徴とするサービス提供サーバ。
【請求項14】
前記認証代行要求手段は、要求されたサービスに応じた認証レベルを前記WWW−Authenticateヘッダに記述することを特徴とする請求項13記載のサービス提供サーバ。
【請求項15】
通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末であって、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するサービス処理手段と、該送信されたINVITEリクエストに認証結果が含まれていないことを判定した前記サービス提供サーバが、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に送信し、該送信された401 UnauthorizedレスポンスがSIPサーバにより認証管理サーバへ転送され、前記認証管理サーバが受信した前記401 Unauthorizedレスポンスを解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて転送してきた場合に、該401 Unauthorizedレスポンスを受信して解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段とを備えたことを特徴とする利用者端末。
【請求項16】
認証管理サーバを構成するコンピュータを、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストをSIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段として機能させるためのプログラム。
【請求項17】
前記認証要求手段は、複数の認証レベルの認証方法のうち前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を選択し、該選択した認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送することを特徴とする請求項16記載のプログラム。
【請求項18】
前記認証要求手段は、前記サービス提供サーバから送信される前記401 Unauthorizedレスポンスの前記WWW−Authenticateヘッダに記述されたサービスの認証レベルを判定することを特徴とする請求項17記載のプログラム。
【請求項19】
前記認証要求手段は、前記サービス提供サーバから受信した前記401 UnauthorizedレスポンスのToヘッダに記述された前記サービス提供サーバのSIP URLからサービスを特定し、該特定したサービスに応じた認証レベルを判定することを特徴とする請求項17記載のプログラム。
【請求項20】
サービス提供サーバを構成するコンピュータを、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、認証管理サーバによる認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに前記認証管理サーバによる認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段として機能させるためのプログラム。
【請求項21】
前記認証代行要求手段は、要求されたサービスに応じた認証レベルを前記WWW−Authenticateヘッダに記述することを特徴とする請求項20記載のプログラム。
【請求項22】
通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続された利用者端末を構成するコンピュータを、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するサービス処理手段と、該送信されたINVITEリクエストに認証結果が含まれていないことを判定した前記サービス提供サーバが、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に送信し、該送信された401 UnauthorizedレスポンスがSIPサーバにより認証管理サーバへ転送され、前記認証管理サーバが受信した前記401 Unauthorizedレスポンスを解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて転送してきた場合に、該401 Unauthorizedレスポンスを受信して解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段として機能させるためのプログラム。
【請求項23】
通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続されたSIPサーバであって、利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストを受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれていない場合には、前記INVITEリクエストを前記サービス提供サーバへ転送し、認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末へ転送する認証要求手段とを備えることを特徴とするSIPサーバ。
【請求項24】
前記認証要求手段は、複数の認証レベルの認証方法のうち前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を選択し、該選択した認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末へ転送することを特徴とする請求項23記載のSIPサーバ。
【請求項25】
前記認証要求手段は、前記サービス提供サーバから送信される前記401 Unauthorizedレスポンスの前記WWW−Authenticateヘッダに記述されたサービスの認証レベルを判定することを特徴とする請求項24記載のSIPサーバ。
【請求項26】
前記認証要求手段は、前記サービス提供サーバから受信した前記401 UnauthorizedレスポンスのToヘッダに記述された前記サービス提供サーバのSIP URLからサービスを特定し、該特定したサービスに応じた認証レベルを判定することを特徴とする請求項24記載のSIPサーバ。
【請求項27】
通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に接続されたSIPサーバを構成するコンピュータを、利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストを受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれていない場合には、前記INVITEリクエストを前記サービス提供サーバへ転送し、認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを受信して解析し、認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末へ転送する認証要求手段として機能させるためのプログラム。
【請求項28】
前記認証要求手段は、複数の認証レベルの認証方法のうち前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を選択し、該選択した認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末へ転送することを特徴とする請求項27記載のプログラム。
【請求項29】
前記認証要求手段は、前記サービス提供サーバから送信される前記401 Unauthorizedレスポンスの前記WWW−Authenticateヘッダに記述されたサービスの認証レベルを判定することを特徴とする請求項28記載のプログラム。
【請求項30】
前記認証要求手段は、前記サービス提供サーバから受信した前記401 UnauthorizedレスポンスのToヘッダに記述された前記サービス提供サーバのSIP URLからサービスを特定し、該特定したサービスに応じた認証レベルを判定することを特徴とする請求項28記載のプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【公開番号】特開2009−43043(P2009−43043A)
【公開日】平成21年2月26日(2009.2.26)
【国際特許分類】
【出願番号】特願2007−207485(P2007−207485)
【出願日】平成19年8月9日(2007.8.9)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成21年2月26日(2009.2.26)
【国際特許分類】
【出願日】平成19年8月9日(2007.8.9)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]