JP5309496B2 - Authentication system and authentication method - Google Patents
Authentication system and authentication method Download PDFInfo
- Publication number
- JP5309496B2 JP5309496B2 JP2007207484A JP2007207484A JP5309496B2 JP 5309496 B2 JP5309496 B2 JP 5309496B2 JP 2007207484 A JP2007207484 A JP 2007207484A JP 2007207484 A JP2007207484 A JP 2007207484A JP 5309496 B2 JP5309496 B2 JP 5309496B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- service
- user terminal
- service providing
- providing server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
Description
本発明は認証システムおよび認証方法に関し、特に利用者が通信網を介してサービス提供サーバからサービスの提供を受ける際の認証技術に関する。 The present invention relates to an authentication system and an authentication method, and more particularly to an authentication technology when a user receives a service provided from a service providing server via a communication network.
パーソナルコンピュータ(PC)などの利用者端末から通信網経由でサービス提供サーバをアクセスし、サービスの提供を受ける際の利用者認証は、利用者端末とサービス提供サーバとの間で直接に行われるのが基本である。通信セッションを確立するためのシグナリングプロトコルであるSIP(Session Initiation Protocol)においても、サーバ側でリクエストの送信者が誰かということを確認する手段として、ユーザ−ユーザ間HTTPダイジェスト認証方式の利用が規定されている。 User authentication is performed directly between the user terminal and the service providing server when the service providing server is accessed via a communication network from a user terminal such as a personal computer (PC) and the service is provided. Is the basic. In SIP (Session Initiation Protocol), which is a signaling protocol for establishing a communication session, the use of a user-user HTTP digest authentication method is specified as a means for confirming who the request sender is on the server side. ing.
図26を参照すると、SIPで規定されたユーザ−ユーザ間HTTPダイジェスト認証方式では、まずUAC(User Agent Client)として動作する利用者端末がUAS(User Agent Server)として動作するサービス提供サーバに対して、AuthorizationヘッダのないINVITEを送信する。このINVITEは、UACとUASの間にあってSIPメッセージの中継を担うSIPサーバ(プロキシサーバ)によって中継されて、サービス提供サーバに届けられる。 Referring to FIG. 26, in the user-user HTTP digest authentication method defined by SIP, first, a user terminal that operates as a UAC (User Agent Client) is provided to a service providing server that operates as a UAS (User Agent Server). , INVITE without Authorization header is transmitted. This INVITE is relayed by a SIP server (proxy server) between UAC and UAS and responsible for relaying SIP messages, and is delivered to the service providing server.
サービス提供サーバは、受信したINVITE中のAuthorizationヘッダの有無を確認する。そして、当該ヘッダが無いため、図27に例示するようにチャレンジ値として必要なパラメータを記述したWWW−Authenticateヘッダを含む401 Authenticateを応答として返す。このWWW−AuthenticateはSIPサーバで中継されて、利用者端末へ届けられる。 The service providing server confirms whether or not there is an Authorization header in the received INVITE. Since there is no such header, a 401 Authenticate including a WWW-Authenticate header describing parameters necessary as a challenge value is returned as a response as illustrated in FIG. This WWW-Authenticate is relayed by the SIP server and delivered to the user terminal.
利用者端末は、401 Authenticateを受信すると、図28に例示するようにレスポンス値に必要なパラメータを記述したAuthorizationヘッダとその他必要な情報を記述したINVITEを作成して送信する。このINVITEはSIPサーバで中継されて、サービス提供サーバへ届けられる。 Upon receiving 401 Authenticate, the user terminal creates and sends an Authorization header describing parameters necessary for the response value and INVITE describing other necessary information as illustrated in FIG. This INVITE is relayed by the SIP server and delivered to the service providing server.
サービス提供サーバは、受信したINVITE中のAuthorizationヘッダの有無を確認する。そして、当該ヘッダが有るため、記述されている情報を元に認証を行う。その結果、認証が成功すれば、200 OKを応答として返し、ACKの受信後、サービスの提供を行う。 The service providing server confirms whether or not there is an Authorization header in the received INVITE. Since the header is present, authentication is performed based on the described information. As a result, if the authentication is successful, 200 OK is returned as a response, and the service is provided after receiving the ACK.
他方、サービス提供サーバの負荷を軽減するために、通信網に認証管理サーバを接続し、サービス提供サーバのサービス提供のために認証管理サーバが利用者の認証を代行するシステムが提案されている(例えば特許文献1参照)。 On the other hand, in order to reduce the load of the service providing server, a system has been proposed in which an authentication management server is connected to a communication network, and the authentication management server performs user authentication for service provision of the service providing server ( For example, see Patent Document 1).
利用者の認証には、利用者IDとパスワードによる認証方法、指紋などの生体特徴による認証方法など、利用者の本人性を確認するための認証情報を用いる方法が種々提案ないし実用化されている。また、通信網へ接続する加入者回線と利用者との関連付けを行い、加入者回線の回線識別情報と利用者を一意に識別する情報とによる認証を行うことによって、利用者毎に特定された加入者回線以外からサービスを利用できないようにした認証方法が提案されている(例えば特許文献1参照)。 For user authentication, various methods using authentication information for confirming the identity of the user, such as an authentication method using a user ID and password and an authentication method using biometric features such as fingerprints, have been proposed or put into practical use. . Also, it is specified for each user by associating the subscriber line connected to the communication network with the user, and performing authentication based on the line identification information of the subscriber line and information uniquely identifying the user. An authentication method has been proposed in which services cannot be used from other than subscriber lines (see, for example, Patent Document 1).
さらに、高いセキュリティレベルを必要とするサービス、それほど高いセキュリティレベルを必要としないサービスなど、セキュリティレベルの異なる複数のサービスを提供するサービス提供サーバにおいて、提供するサービスに応じた認証レベルで認証を行う方法が提案されている(例えば特許文献2、特許文献3参照)。ここで、認証レベルは、そのレベルが高いほど、確保できるセキュリティレベルが高いことを意味する。例えば、指紋による認証はパスワードによる認証に比べて認証レベルが高いと言える。
Further, in a service providing server that provides a plurality of services with different security levels, such as a service that requires a high security level and a service that does not require a very high security level, authentication is performed at an authentication level according to the service provided Has been proposed (see, for example,
提供するサービスに応じた認証レベルで利用者の認証を行う認証方法が提案されているが、その場合に複数の認証レベルの認証方法としてどのような認証方法を用いるのが良いのかという技術上の課題がある。 An authentication method that authenticates users at an authentication level according to the service to be provided has been proposed. In that case, the technical method of what authentication method should be used as an authentication method of multiple authentication levels There are challenges.
また、提供するサービスに応じた認証レベルで認証を行うサービス提供サーバでは、単一の認証レベルで認証を行う場合に比べて負荷が増加するため、その負荷を軽減することも重要な課題の一つである。 In addition, a service providing server that performs authentication at an authentication level according to the service to be provided increases the load compared to the case where authentication is performed at a single authentication level. Therefore, reducing the load is also an important issue. One.
本発明の目的は、最低の認証レベルであっても充分なセキュリティレベルを確保することができ、しかも提供するサービスに応じた認証レベルでの認証を必要とするサービス提供サーバの認証に伴う負荷を軽減することができる認証システムおよび認証方法を提供することにある。 An object of the present invention is to ensure a sufficient security level even at the lowest authentication level, and to reduce the load associated with authentication of a service providing server that requires authentication at an authentication level according to the service to be provided. An object is to provide an authentication system and an authentication method that can be reduced.
本発明の第1の認証システムは、回線を通じて通信網に接続された利用者端末と、前記通信網に接続され、前記利用者端末からサービス要求を受信し、前記利用者端末にサービスを提供するサービス提供サーバと、前記通信網に接続され、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行する認証管理サーバとを備える。 A first authentication system according to the present invention is a user terminal connected to a communication network through a line, and is connected to the communication network, receives a service request from the user terminal, and provides a service to the user terminal. Of a plurality of authentication level authentication methods that combine service providing server and authentication by line identification information of the line and authentication by one or more other authentication information connected to the communication network, the service providing server An authentication management server that performs authentication of the user of the user terminal using an authentication method of an authentication level corresponding to a service provided to the user terminal.
本発明の第2の認証システムは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に利用者端末とサービス提供サーバとSIPサーバとが接続され、前記SIPサーバに認証管理サーバが接続された認証システムであって、前記認証管理サーバは、前記利用者端末が前記サービス提供サーバに送信したINVITEリクエストをSIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段とを備え、前記サービス提供サーバは、前記利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルのうち、要求されたサービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段とを備え、前記利用者端末は、前記認証管理サーバが前記SIPサーバを通じて送信した前記401 Unauthorizedレスポンスを受信して解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段とを備える。 According to a second authentication system of the present invention, a user terminal, a service providing server, and a SIP server are connected to a communication network using SIP as a signaling protocol for establishing a communication session, and an authentication management server is connected to the SIP server. In the connected authentication system, the authentication management server receives and analyzes an INVITE request transmitted from the user terminal to the service providing server from a SIP server, and an authentication header is included in the received INVITE request. Authentication determination means for performing an authentication process based on authentication information described in the authentication header and transferring an INVITE request describing an authentication result to the service providing server through the SIP server, and the service providing server Authenticates with the INVITE request received by In response to a 401 Unauthorized response including a WWW-Authenticate header that describes the name of a specific authentication scheme for requesting authentication at the authentication level according to the service. , Receiving the 401 Unauthorized response from the SIP server and analyzing the service, out of a plurality of authentication level authentication methods combining authentication by line identification information of the line and authentication by one or more other authentication information A 401 Unauthorized response including a WWW-Authenticate header that describes an authentication method of an authentication level according to a service provided by the providing server to the user terminal and a specific authentication scheme name is transmitted through the SIP server. Authentication request means for transferring to the user terminal, the service providing server receives and analyzes the INVITE request transmitted from the user terminal, and when the received INVITE request does not include an authentication result, Name of a specific authentication scheme for requesting an authentication at the authentication level corresponding to the requested service among a plurality of authentication levels combining authentication by line identification information of the line and authentication by one or more other authentication information And an authentication proxy request means for responding to the user terminal with a 401 Unauthorized response including a WWW-Authenticate header describing the service, and if the authentication result is included in the received INVITE request, a service is provided according to the success or failure of the authentication result. Service providing means for determining whether to provide The user terminal receives and analyzes the 401 Unauthorized response transmitted by the authentication management server through the SIP server, and sends an INVITE request including an authentication header describing authentication information necessary for authentication of the requested authentication method. Authentication request response means for transmitting to the service providing server.
本発明の第1の認証方法は、回線を通じて通信網に接続された利用者端末と、前記通信網に接続され、前記利用者端末からサービス要求を受信し、前記利用者端末にサービスを提供するサービス提供サーバとを備えたシステムにおける認証方法であって、前記通信網に接続された認証管理サーバが、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行する。 The first authentication method of the present invention is a user terminal connected to a communication network through a line, and connected to the communication network, receives a service request from the user terminal, and provides a service to the user terminal. An authentication method in a system comprising a service providing server, wherein an authentication management server connected to the communication network combines authentication using line identification information of the line and authentication using one or more other authentication information The authentication of the user of the user terminal is performed using the authentication method of the authentication level corresponding to the service provided to the user terminal by the service providing server.
本発明の第2の認証方法は、a)通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末が、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するステップと、b)SIPサーバが、前記INVITEリクエストを前記サービス提供サーバへ転送するステップと、c)前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答するステップと、d)前記SIPサーバが、前記401 Unauthorizedレスポンスを前記認証管理サーバへ転送するステップと、e)前記認証管理サーバが、受信した前記401 Unauthorizedレスポンスを解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送するステップと、f)前記利用者端末が、受信した前記401 Unauthorizedレスポンスを解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信するステップと、g)前記SIPサーバが、前記INVITEリクエストを認証管理サーバへ転送するステップと、h)前記認証管理サーバが、受信した前記INVITEリクエストに認証ヘッダが含まれていることを判定し、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送するステップと、i)前記サービス提供サーバが、受信した前記INVITEリクエストに認証結果が含まれていることを判定し、認証結果の成否に応じてサービスの提供可否を判断するステップとを含む。 According to the second authentication method of the present invention, a) a user terminal connected through a line to a communication network using SIP as a signaling protocol for establishing a communication session is provided to a service providing server connected to the communication network. Transmitting an INVITE request; b) a SIP server forwarding the INVITE request to the service providing server; and c) the service providing server not receiving an authentication result in the received INVITE request. Determining and responding to the user terminal with a 401 Unauthorized response including a WWW-Authenticate header that describes the name of a specific authentication scheme for requesting authentication at the authentication level corresponding to the service; and d) the SIP server , 401 Un a step of transferring an authorized response to the authentication management server; and e) the authentication management server analyzes the received 401 Unauthorized response, authenticating with line identification information of the line, and authenticating with one or more other authentication information. WWW-Authenticate header describing an authentication method of an authentication level according to a service provided to the user terminal by the service providing server and a specific authentication scheme name among the authentication methods of a plurality of authentication levels combining A step of transferring a 401 Unauthorized response to the user terminal through the SIP server; and f) an authentication necessary for the user terminal to analyze the received 401 Unauthorized response and to authenticate the requested authentication method. Sending an INVITE request including an authentication header describing information to the service providing server; g) transferring the INVITE request to the authentication management server; and h) receiving the authentication management server. It is determined that an authentication header is included in the INVITE request, an authentication process based on authentication information described in the authentication header is performed, and an INVITE request describing an authentication result is transmitted to the service providing server through the SIP server. And i) the service providing server determining that the received INVITE request includes an authentication result, and determining whether or not the service can be provided according to the success or failure of the authentication result.
本発明の第1の認証管理サーバは、利用者端末と該利用者端末からのサービス要求に従ってサービスを提供するサービス提供サーバとが接続された通信網に接続され、前記利用者端末を前記通信網に接続する回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行する。 The first authentication management server of the present invention is connected to a communication network to which a user terminal and a service providing server that provides a service according to a service request from the user terminal are connected, and the user terminal is connected to the communication network. Among the authentication methods of a plurality of authentication levels that combine authentication by line identification information of a line connected to the terminal and authentication by one or more other authentication information, the service providing server provides a service provided to the user terminal The user authentication of the user terminal is performed by using an authentication method of the corresponding authentication level.
本発明の第2の認証管理サーバは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストをSIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段とを備える。 According to the second authentication management server of the present invention, a user terminal connected through a line to a communication network using SIP as a signaling protocol for establishing a communication session is transmitted to a service providing server connected to the communication network. An INVITE request is received from a SIP server and analyzed. When the received INVITE request includes an authentication header, an authentication process based on the authentication information described in the authentication header is performed, and an authentication result is described. Authentication determination means for transferring an INVITE request to the service providing server through the SIP server, and determining that an authentication result is not included in the INVITE request received by the service providing server, and performing authentication level authentication according to the service. Describes the name of the specific authentication scheme that requires delegation When a 401 Unauthorized response including a WWW-Authenticate header is responded to the user terminal, the 401 Unauthorized response is received from the SIP server and analyzed, and authentication based on the line identification information of the line and one or more other authentications are performed. Out of a plurality of authentication level authentication methods combined with information authentication, an authentication method according to the service provided by the service providing server to the user terminal and a WWW describing a specific authentication scheme name -An authentication requesting means for transferring a 401 Unauthorized response including the Authenticate header to the user terminal through the SIP server.
本発明の第1のサービス提供サーバは、利用者端末と該利用者端末の利用者の認証を代行する認証管理サーバとが接続された通信網に接続され、前記利用者端末からのサービス要求に従ってサービスを提供するサービス提供サーバであって、前記認証管理サーバに前記利用者端末に対して提供するサービスに応じた認証レベルの認証の代行を要求し、前記認証管理サーバが、前記利用者端末を前記通信網に接続する回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行した認証結果を前記認証管理サーバから受け取り、認証に成功した場合に前記サービスを提供する。 The first service providing server of the present invention is connected to a communication network to which a user terminal and an authentication management server acting as a user authentication of the user terminal are connected, and according to a service request from the user terminal. A service providing server for providing a service, requesting the authentication management server to perform authentication at an authentication level corresponding to a service provided to the user terminal, wherein the authentication management server sends the user terminal The service providing server provides the user terminal with an authentication method of a plurality of authentication levels combining authentication by line identification information of a line connected to the communication network and authentication by one or more other authentication information Using the authentication method of the authentication level corresponding to the service to be received, receiving the authentication result on behalf of the user authentication of the user terminal from the authentication management server, and authenticating Providing the service in case of success.
本発明の第2のサービス提供サーバは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルのうち、要求されたサービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段とを備える。 The second service providing server of the present invention receives, analyzes and receives an INVITE request transmitted from a user terminal connected through a line to a communication network using SIP as a signaling protocol for establishing a communication session. If the authentication result is not included in the received INVITE request, a request corresponding to the requested service is selected from among a plurality of authentication levels obtained by combining authentication by the line identification information of the line and authentication by one or more other authentication information. An authentication proxy request means for responding to the user terminal with a 401 Unauthorized response including a WWW-Authenticate header that describes the name of a specific authentication scheme that requests an authentication level authentication proxy, and an authentication result is included in the received INVITE request Authentication result And a service providing means for determining the provision adequacy of the service in response to success or failure.
本発明の第1の利用者端末は、回線を通じて通信網に接続された利用者端末からのサービス要求に従ってサービスを提供するサービス提供サーバと、前記利用者端末を前記通信網に接続する回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行する認証管理サーバとが接続された前記通信網に接続された利用者端末であって、前記認証管理サーバから受信した認証方法の認証に必要な認証情報を必要に応じて利用者から入力し、認証要求に対する応答を前記認証管理サーバ送信する手段を備える。 A first user terminal according to the present invention includes a service providing server that provides a service according to a service request from a user terminal connected to a communication network through a line, and a line for connecting the user terminal to the communication network. Among a plurality of authentication level authentication methods combining authentication by identification information and authentication by one or more other authentication information, authentication level authentication according to a service provided to the user terminal by the service providing server A user terminal connected to the communication network to which an authentication management server acting as a proxy for the user authentication of the user terminal is connected, and authentication method authentication received from the authentication management server And a means for inputting authentication information necessary for the user as necessary and transmitting a response to the authentication request to the authentication management server.
本発明の第2の利用者端末は、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末であって、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するサービス処理手段と、該送信されたINVITEリクエストに認証結果が含まれていないことを判定した前記サービス提供サーバが、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に送信し、該送信された401 UnauthorizedレスポンスがSIPサーバにより認証管理サーバへ転送され、前記認証管理サーバが受信した前記401 Unauthorizedレスポンスを解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて転送してきた場合に、該401 Unauthorizedレスポンスを解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段とを備える。 The second user terminal of the present invention is a user terminal connected through a line to a communication network that uses SIP as a signaling protocol for establishing a communication session, and is a service providing server connected to the communication network A service processing means for transmitting an INVITE request to the server, and the service providing server that has determined that the authentication result is not included in the transmitted INVITE request. A 401 Unauthorized response including a WWW-Authenticate header describing an authentication scheme name is transmitted to the user terminal, and the transmitted 401 Unauthorized response is transferred to an authentication management server by a SIP server, and received by the authentication management server. 401. Among the authentication methods having a plurality of authentication levels, which are obtained by analyzing an unauthenticated response and combining authentication by line identification information of the line and authentication by one or more other authentication information, the service providing server When the 401 Unauthorized response including the WWW-Authenticate header describing the authentication method and the specific authentication scheme name according to the service to be provided is transferred through the SIP server, the 401 Unauthorized response is analyzed and the request Authentication request response means for transmitting an INVITE request including an authentication header describing authentication information necessary for authentication of the authenticated authentication method to the service providing server.
本発明の第1のSIPサーバは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストを受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれていない場合には、前記INVITEリクエストを前記サービス提供サーバへ転送し、認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを受信して解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末へ転送する認証要求手段とを備える。 The first SIP server of the present invention transmits an INVITE transmitted from a user terminal connected to a communication network using SIP as a signaling protocol for establishing a communication session to a service providing server connected to the communication network. The request is received and analyzed, and if the received INVITE request does not include an authentication header, the INVITE request is transferred to the service providing server, and if the received authentication header is included, the authentication Authentication determination means for performing an authentication process based on the authentication information described in the header and transferring the INVITE request describing the authentication result to the service providing server, and the authentication result is included in the INVITE request received by the service providing server The authentication level corresponding to the service. When a 401 Unauthorized response including a WWW-Authenticate header that describes the name of a specific authentication scheme that requests proxy authentication is returned to the user terminal, the 401 Unauthorized response is received and analyzed. Among a plurality of authentication level authentication methods combining authentication by line identification information and authentication by one or more other authentication information, an authentication level corresponding to a service provided by the service providing server to the user terminal Authentication request means for transferring a 401 Unauthorized response including an authentication method and a WWW-Authenticate header describing a specific authentication scheme name to the user terminal.
本発明の第1のプログラムは、利用者端末と該利用者端末からのサービス要求に従ってサービスを提供するサービス提供サーバとが接続された通信網に接続された認証管理サーバを構成するコンピュータを、前記利用者端末を前記通信網に接続する回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行する手段として機能させる。 The first program of the present invention includes: a computer constituting an authentication management server connected to a communication network to which a user terminal and a service providing server that provides a service according to a service request from the user terminal are connected; Among a plurality of authentication levels of authentication methods that combine authentication using line identification information of a line connecting a user terminal to the communication network and authentication using one or more other authentication information, the service providing server includes the user terminal Using the authentication method of the authentication level according to the service provided for the user terminal, the user terminal is made to function as a proxy unit.
本発明の第2のプログラムは、認証管理サーバを構成するコンピュータを、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストをSIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段として機能させる。 According to a second program of the present invention, a user terminal is connected to a communication network using SIP as a signaling protocol for establishing a communication session. The INVITE request transmitted to the service providing server is received and analyzed from the SIP server. If the received INVITE request includes an authentication header, authentication processing based on the authentication information described in the authentication header is performed. Authentication determination means for transferring the INVITE request describing the authentication result to the service providing server through the SIP server, and determining that the authentication result is not included in the INVITE request received by the service providing server. Acting for authentication at the appropriate authentication level When a 401 Unauthorized response including a WWW-Authenticate header describing the name of a specific authentication scheme to be requested is responded to the user terminal, the 401 Unauthorized response is received from the SIP server and analyzed to identify the line of the line Among a plurality of authentication level authentication methods combining authentication by information and authentication by one or more other authentication information, an authentication level authentication method according to a service provided to the user terminal by the service providing server And a 401 Unauthorized response including a WWW-Authenticate header describing a specific authentication scheme name is made to function as an authentication request means for transferring to the user terminal through the SIP server.
本発明の第3のプログラムは、利用者端末と該利用者端末の利用者の認証を代行する認証管理サーバとが接続された通信網に接続され、前記利用者端末からのサービス要求に従ってサービスを提供するサービス提供サーバを構成するコンピュータを、前記認証管理サーバに前記利用者端末に対して提供するサービスに応じた認証レベルの認証の代行を要求する認証代行要求手段と、前記認証管理サーバが、前記利用者端末を前記通信網に接続する回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行した認証結果を前記認証管理サーバから受け取り、認証に成功した場合に前記サービスを提供するサービス提供手段として機能させる。 A third program of the present invention is connected to a communication network to which a user terminal and an authentication management server acting as a user authentication of the user terminal are connected, and provides a service according to a service request from the user terminal. An authentication agent requesting means for requesting an authentication agent for an authentication level corresponding to a service provided to the user terminal from the computer constituting the service providing server to be provided, and the authentication management server, Among a plurality of authentication levels of authentication methods that combine authentication by line identification information of a line connecting the user terminal to the communication network and authentication by one or more other authentication information, the service providing server includes the user Using the authentication method of the authentication level corresponding to the service provided to the terminal, the authentication result representing the authentication of the user of the user terminal is authenticated. Receiving from the management server to function as a service providing means for providing said in case of successful authentication service.
本発明の第4のプログラムは、サービス提供サーバを構成するコンピュータを、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルのうち、要求されたサービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供を行うサービス提供手段として機能させる。 According to a fourth program of the present invention, an INVITE request transmitted from a user terminal connected via a line to a communication network using SIP as a signaling protocol for establishing a communication session is sent to a computer constituting a service providing server. When an authentication result is not included in the received INVITE request, the received INVITE request includes, among a plurality of authentication levels, a combination of authentication by the line identification information of the line and authentication by one or more other authentication information, An authentication proxy requesting means for responding to the user terminal with a 401 Unauthorized response including a WWW-Authenticate header that describes a name of a specific authentication scheme for requesting an authentication proxy with an authentication level corresponding to the requested service; Approved for INVITE request If the results are included to function as the service providing means to provide services in accordance with the success or failure of the authentication result.
本発明の第5のプログラムは、回線を通じて通信網に接続された利用者端末からのサービス要求に従ってサービスを提供するサービス提供サーバと、前記利用者端末を前記通信網に接続する回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、前記利用者端末の利用者の認証を代行する認証管理サーバとが接続された前記通信網に接続された利用者端末を構成するコンピュータを、前記認証管理サーバから受信した認証方法の認証に必要な認証情報を利用者から入力する手段と、認証要求に対する応答を前記認証管理サーバへ送信する手段として機能させる。 The fifth program of the present invention includes a service providing server that provides a service in accordance with a service request from a user terminal connected to a communication network through a line, and line identification information of a line that connects the user terminal to the communication network. Among a plurality of authentication level authentication methods combining authentication by authentication with authentication by one or more other authentication information, an authentication level authentication method according to the service provided to the user terminal by the service providing server. Authentication of the authentication method received from the authentication management server using a computer constituting the user terminal connected to the communication network connected to an authentication management server acting as a proxy for user authentication of the user terminal And a means for inputting authentication information necessary for the user and a means for transmitting a response to the authentication request to the authentication management server.
本発明の第6のプログラムは、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末を構成するコンピュータを、前記通信網に接続されたサービス提供サーバにINVITEリクエストを送信するサービス処理手段と、該送信されたINVITEリクエストに認証結果が含まれていないことを判定した前記サービス提供サーバが、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に送信し、該送信された401 UnauthorizedレスポンスがSIPサーバにより認証管理サーバへ転送され、前記認証管理サーバが受信した前記401 Unauthorizedレスポンスを解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて転送してきた場合に、該401 Unauthorizedレスポンスを解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段として機能させる。 A sixth program according to the present invention provides a service providing server connected to a communication network using a computer constituting a user terminal connected through a line to a communication network using SIP as a signaling protocol for establishing a communication session. A service processing means for transmitting an INVITE request to the server, and the service providing server that has determined that the authentication result is not included in the transmitted INVITE request. A 401 Unauthorized response including a WWW-Authenticate header describing the authentication scheme name is transmitted to the user terminal, and the transmitted 401 Unauthorized response is transferred to the authentication management server by the SIP server, and the authentication management server Among the plurality of authentication level authentication methods combining the authentication by the line identification information of the line and the authentication by one or more other authentication information, the service providing server is configured to analyze the 401 Unauthorized response received by the server. When a 401 Unauthorized response including a WWW-Authenticate header describing an authentication method of an authentication level according to a service provided to a user terminal and a specific authentication scheme name is transferred through the SIP server, the 401 Unauthorized response And an authentication request response means for transmitting an INVITE request including an authentication header describing authentication information necessary for authentication of the requested authentication method to the service providing server.
本発明の第7のプログラムは、SIPサーバを構成するコンピュータを、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用する通信網に回線を通じて接続された利用者端末が前記通信網に接続されたサービス提供サーバに送信したINVITEリクエストを受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれていない場合には、前記INVITEリクエストを前記サービス提供サーバへ転送し、認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを受信して解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末へ転送する認証要求手段として機能させる。 According to a seventh program of the present invention, a user terminal is connected to a communication network that uses SIP as a signaling protocol for establishing a communication session. The INVITE request transmitted to the service providing server is received and analyzed. When the received INVITE request does not include an authentication header, the INVITE request is transferred to the service providing server, and the authentication header is included. Authentication determination means for performing an authentication process based on the authentication information described in the authentication header and transferring an INVITE request describing the authentication result to the service providing server, and an INVITE request received by the service providing server. Does not contain authentication result When a 401 Unauthorized response including a WWW-Authenticate header describing a name of a specific authentication scheme that requests a proxy for authentication at an authentication level according to the service is returned to the user terminal, the 401 Unauthorized response Among the plurality of authentication level authentication methods that combine authentication by line identification information of the line and authentication by one or more other authentication information, the service providing server provides the user terminal with And an authentication request means for transferring a 401 Unauthorized response including a WWW-Authenticate header describing an authentication method of an authentication level corresponding to the service to be provided and a specific authentication scheme name to the user terminal.
本発明によれば、最低の認証レベルであっても充分なセキュリティレベルを確保することができる。その理由は、最低の認証レベルでも、事前に登録された回線以外からはサービスの提供を受けることができないためである。 According to the present invention, a sufficient security level can be ensured even at the lowest authentication level. The reason is that, even at the lowest authentication level, it is not possible to receive service provision from lines other than pre-registered lines.
また本発明によれば、サービスに応じた認証レベルでの認証を必要とするサービス提供サーバの認証に伴う負荷を軽減することができる。その理由は、認証管理サーバが、複数の認証レベルの認証方法のうち、サービス提供サーバが利用者端末に対して提供するサービスに応じた認証レベルの認証方法を用いて、利用者端末の利用者の認証を代行するためである。 Further, according to the present invention, it is possible to reduce a load associated with authentication of a service providing server that requires authentication at an authentication level corresponding to a service. The reason is that the authentication management server uses the authentication method of the authentication level corresponding to the service provided by the service providing server to the user terminal among the authentication methods of the plurality of authentication levels, and the user of the user terminal. This is to act as a proxy for authentication.
『第1の実施の形態』
図1を参照すると、本発明の第1の実施の形態は、利用者設備100とサービス提供サーバ200と認証管理サーバ300とがネットワーク400を通じて相互に通信可能に接続されている。
“First Embodiment”
Referring to FIG. 1, in the first embodiment of the present invention, a user equipment 100, a
利用者設備100は、例えば各家庭毎に設けられる電子設備であり、利用者端末101とホームゲートウェイ102とで構成される。利用者端末101は、パーソナルコンピュータ等の情報処理機器で構成され、利用者はこの利用者端末101を通じてサービス提供サーバ200へアクセスし、サービスの提供を受ける。ホームゲートウェイ102は、1台以上の利用者端末101を回線103を通じてネットワーク400に接続するための通信機器であり、例えばネットワーク400を管理運営する通信事業者から各家庭にレンタルされる。
The user facility 100 is an electronic facility provided for each home, for example, and includes a
サービス提供サーバ200は、ビデオオンデマンドやオンラインショッピングなどの各種サービスを利用者端末101へ提供するコンピュータである。サービス提供サーバ200は、利用者端末101からサービス要求を受信すると、提供するサービスに応じた認証レベルの認証が得られることを条件にサービスの提供を行う。
The
認証管理サーバ300は、サービス提供サーバ200のサービス提供のために利用者の認証を代行するコンピュータである。認証管理サーバ300は、複数の認証レベルのうち、サービス提供サーバ200が利用者端末101に対して提供するサービスに応じた認証レベルの認証方法を用いて、利用者端末101の利用者の認証を代行する。
The
複数の認証レベルの認証方法としては、利用者端末101が接続されている回線103の回線識別情報と、それぞれ異なる他の1以上の認証情報とによる認証を使用する。回線103の回線識別情報としては、ホームゲートウェイ102に対してネットワーク400から払い出されたIPアドレスが使用される。また、他の1以上の認証情報としては、例えば利用者端末の端末情報、パスワード、指紋などの生体特徴などが使用される。利用者端末の端末情報としては、利用者端末のMACアドレスや、TPM(Trusted Platform Module)から取得できる情報など、端末の認証に使用できる情報であれば良い。
As an authentication method of a plurality of authentication levels, authentication based on the line identification information of the
本実施の形態では、図2の認証方法情報テーブルT3に記載した以下の3つの認証レベルの認証方法を使用する。勿論、認証レベルは2つでも良いし、4つ以上あっても良い。
認証レベル1:回線識別情報と利用者端末の端末情報による認証
認証レベル2:回線識別情報と利用者端末の端末情報とパスワードによる認証
認証レベル3:回線識別情報と利用者端末の端末情報とパスワードと指紋による認証
In the present embodiment, the following three authentication level authentication methods described in the authentication method information table T3 in FIG. 2 are used. Of course, there may be two authentication levels or four or more authentication levels.
Authentication level 1: Authentication by line identification information and terminal information of user terminal Authentication level 2: Authentication by line identification information, terminal information of user terminal and password Authentication level 3: Line identification information, terminal information of user terminal and password And fingerprint authentication
認証レベル1の認証方法では、利用者端末101毎に特定された回線103からサービス要求が送信されているかどうかを確認する。認証レベル2では、認証レベル1による認証に加えてさらに、パスワードによる認証によって利用者の本人性を確認する。認証レベル3では、認証レベル2による認証に加えてさらに、指紋による認証によって利用者の本人性をより厳密に確認する。従って、認証レベル3、認証レベル2、認証レベル1の順にセキュリティレベルが高くなる。
In the authentication method of
以上のような認証方法を実現するために、実際の認証処理に先立ち、認証管理サーバ300に図2に示される回線認証テーブルT1と端末・個人認証テーブルT2とが登録される。
In order to realize the authentication method as described above, the line authentication table T1 and the terminal / personal authentication table T2 shown in FIG. 2 are registered in the
回線認証テーブルT1は、回線103を一意に識別するための回線IDに対応付けて、その回線103に接続されたホームゲートウェイ102のIPアドレスを保持する。回線IDとしては、回線103を一意に識別するためにネットワーク400で付された識別番号、回線103の電話番号、あるいはホームゲートウェイ102のMACアドレスのうちの何れか1つ或いは複数が使用される。回線認証テーブルT1へのホームゲートウェイ102のIPアドレスの登録は、ホームゲートウェイ102へ新たなIPアドレスが払い出される毎に行われる。具体的には、ホームゲートウェイ102の電源がオンされ、ホームゲートウェイ102からネットワーク400にDHCPパケットが送信されると、ネットワーク400は、このDHCPパケットを送信したホームゲートウェイ102のMACアドレスが当該回線103に対してレンタルしたホームゲートウェイのMACアドレスと一致するかどうかを確認し、一致した場合に限ってIPアドレスをホームゲートウェイ102に払い出す。この払い出したタイミングで回線認証テーブルT1が更新される。また、IPv6を用いるケースでは、前記の手順で毎回新たなIPアドレスを払い出しても良いし、あらかじめ回線IDに対応付けたIPアドレスを決めておき、毎回その回線に対応した同じIPアドレスを払い出しても良い。
The line authentication table T1 holds the IP address of the
端末・個人認証テーブルT2は、回線103の回線IDに対応付けて、その回線103にホームゲートウェイ102を通じて接続された利用者端末101の端末情報、当該利用者端末101の利用者のパスワード、指紋情報を保持する。端末・個人認証テーブルT2へのこれらの情報の登録は、オンラインまたはオフラインで行われる。
The terminal / personal authentication table T2 is associated with the line ID of the
次に本実施の形態における認証の処理手順について、図3のシーケンス図を参照して説明する。 Next, the authentication processing procedure in the present embodiment will be described with reference to the sequence diagram of FIG.
まず、利用者端末101は、サービス提供サーバ200に対してサービス要求を送信する(S101)。サービス要求には、利用しようとするサービスを特定する情報が含まれている。
First, the
サービス提供サーバ200は、サービス要求を受信すると(S201)、要求されたサービスに応じた認証レベルを判定し(S202)、認証管理サーバ300に対して当該認証レベルの認証の代行を要求する(S203)。
When the
認証管理サーバ300は、認証の代行要求を受信すると(S301)、代行要求された認証レベルの認証を実現する認証方法を図2の認証方法情報テーブルT3を参照して決定し(S302)、決定した認証方法に必要な認証情報を利用者端末101に要求する(S303)。
When the
利用者端末101は、認証要求を受信すると(S102)、要求された認証方法の認証に必要な認証情報を必要に応じて利用者から入力し(S103)、認証要求に対する応答を認証管理サーバ300へ送信する(S104)。ここで、認証に必要な認証情報は、レベル3に対応する認証方法の場合は、回線識別情報、利用者の端末情報、パスワード、指紋情報の合計4つであり、レベル2に対応する認証方法の場合は、回線識別情報、利用者の端末情報、パスワードの合計3つであり、レベル1に対応する認証方法の場合は、回線識別情報、利用者の端末情報の合計2つである。しかし、回線識別情報であるホームゲートウェイ102のIPアドレスは、利用者端末101からのパケットがホームゲートウェイ102経由で送信される際にIPパケットのヘッダ中に自動的に挿入されるため、認識要求に対する応答中で明示的に要求する認証情報は、利用者端末の端末情報、パスワード、指紋情報の3つである。また、一般に利用者端末の端末情報(MACアドレス等)は利用者端末自体から読み出せるので、実際に利用者から入力する必要がある認証情報は、パスワードと指紋情報の2つである。
Upon receiving the authentication request (S102), the
認証管理サーバ300は、認証要求に対する応答を受信すると(S304)、応答によって通知されてきた認証情報と図2に示した回線認証テーブルT1と端末・個人認証テーブルT2とに基づいて認証を行う(S305)。具体的には、認証レベル1の認証方法の場合、応答パケットのIPヘッダ中に送信元IPアドレスとして挿入されているホームゲートウェイ102のIPアドレスをキーに図2の回線認証テーブルT1を検索して対応する回線IDを取得し、この取得した回線IDに対応する端末・個人認証テーブルT2中に、応答で通知された利用者端末101の端末情報(MACアドレス等)と同じ端末情報が登録されているかどうかを確かめる。また、認証レベル2の認証方法では、認証レベル1による処理に加えてさらに、対応する端末・個人認証テーブルT2中に、応答で通知されたパスワードと同じパスワードが登録されているかどうかを確かめる。さらに、認証レベル3の認証方法では、認証レベル2による処理に加えてさらに、対応する端末・個人認証テーブルT2中に、応答で通知された指紋情報と同じ指紋情報が登録されているかどうかを確かめる。認証管理サーバ300は、以上のような認証処理の結果をサービス提供サーバ200へ送信する(S306)。
Upon receiving a response to the authentication request (S304), the
サービス提供サーバ200は、認証結果を受信すると(S204)、認証結果を検証し(S205)、認証が成功すれば利用者端末101に対して要求されたサービスを提供する(S206)。
Upon receiving the authentication result (S204), the
利用者端末101は、サービス提供サーバ200から提供されるサービスを受信する(S105)。
The
次に本実施の形態の効果を説明する。 Next, the effect of this embodiment will be described.
本実施の形態によれば、最低の認証レベルでも事前に登録された回線以外からはサービスの提供を受けることができないため、最低の認証レベルでも、高いセキュリティレベルを確保することができる。 According to the present embodiment, since a service cannot be received from a line other than a pre-registered line even at the lowest authentication level, a high security level can be ensured even at the lowest authentication level.
また本実施の形態によれば、複数の認証レベルの認証方法のうち、サービス提供サーバ200が利用者端末101に対して提供するサービスに応じた認証レベルの認証方法を用いて、利用者端末101の利用者の認証を代行する認証管理サーバ300を備えているため、サービスに応じた認証レベルでの認証を必要とするサービス提供サーバ200の認証に伴う負荷を軽減することができる。
Further, according to the present embodiment, the
また本実施の形態によれば、サービス提供サーバ200の認証に係る負荷をより軽減することができる。その理由は、サービスに応じた認証レベルを決定してその認証の代行を要求すれば、その認証レベルを実現する具体的な認証方法の決定などその他の処理は認証管理サーバ300で行われるためである。
Moreover, according to this Embodiment, the load concerning the authentication of the
また本実施の形態によれば、最低の認証レベルのサービスを享受する利用者の負担を軽減することができる。その理由は、最低の認証レベルである認証レベル1で必要な認証情報は、回線識別情報であるホームゲートウェイ102のIPアドレスと利用者端末の端末情報の合計2つであり、前者の回線識別情報はホームゲートウェイ102で自動的にIPヘッダに付加され、後者の利用者端末の端末情報は端末自体から読み出せるため、利用者は何もしなくて済むためである。
Moreover, according to this Embodiment, the burden of the user who enjoys the service of the lowest authentication level can be reduced. The reason is that the authentication information required at the
『第1の実施の形態の実施例』
次に、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用したネットワークに対して本実施の形態を適用した実施例について詳細に説明する。
"Example of the first embodiment"
Next, an example in which the present embodiment is applied to a network using SIP as a signaling protocol for establishing a communication session will be described in detail.
図4を参照すると、本実施例においては、認証管理サーバ300はSIPサーバ500を介してネットワーク400に接続される。
Referring to FIG. 4, in this embodiment, the
SIPサーバ500は、実際に通信を行う利用者端末101とサービス提供サーバ200の間にあってSIPメッセージの中継を担うプロキシサーバである。SIPサーバ500は、中継するSIPメッセージのうち特定の条件を満たすものだけを認証管理サーバ300に転送するよう構成されている。認証管理サーバ300は転送されてきたSIPメッセージに基づいて認証の代行処理などの所定の処理を実施する。認証管理サーバ300から出力されたSIPメッセージは、SIPサーバ500において再びルーティングされ、利用者端末101やサービス提供サーバ200へ転送される。ここで、SIPサーバ500において、中継するSIPメッセージが特定の条件を満たすかどうかを判定する具体的な方法としては、例えば、特定の条件をiFC(Initial Filter Criteria)に記述しておき、中継するSIPメッセージを受信する毎にiFCを参照し、特定の条件を満たすかどうかを判定する方法がある。
The
SIPサーバ500のiFCに記述された特定の条件の例を図4に示す。図4のiFC中の記述は、メソッド名がINVITEであれば特定の条件を満たすことを示す。この条件により、利用者端末101からサービス提供サーバ200へ送信されるINVITEのリクエストが、SIPサーバ500による中継の際に認証管理サーバ300に取り込まれる。また、基本的にSIPの応答はリクエストが通ってきたルートをそのまま遡るため、INVITEの応答である401 Unauthorizedも、SIPサーバ500による中継の際に認証管理サーバ300に取り込まれることになる。本実施の形態では図4に例示した特定の条件を使用するが、SIPサーバ500のiFCに記述する特定の条件は上記の例に限定されず、例えば、以下のような例も考えられる。
1:メソッド名=”INVITE” & ヘッダ名=”Authorization”
2:ステータスコード=”401” & ヘッダ名=”WWW−Authenticate” & 認証スキーム名=”IntegratedAuth”
1番目の記述は、メソッド名がINVITEであり、且つ、ヘッダ名がAuthorizationであれば、特定の条件を満たすことを示す。この条件により、利用者端末101からサービス提供サーバ200へ送信されるINVITEのリクエストのうち、認証ヘッダの有るINVITEだけが、SIPサーバ500による中継の際に認証管理サーバ300に取り込まれる。
2番目の記述は、ステータスコードが401、且つ、ヘッダ名がWWW−Authenticate、且つ、認証スキーム名がIntegratedAuthであれば特定の条件を満たすことを示す。この条件により、サービス提供サーバ200から利用者端末101へ送信される401 Unauthorizedのうち、サービス提供サーバ200が認証の代行を要求している401 Unauthorizedが、SIPサーバ500による中継の際に認証管理サーバ300に取り込まれる。なお、この場合サービス提供サーバ200からの応答に対しても、SIPサーバ500でiFCを参照して条件判定を行い、条件を満たす場合は認証管理サーバ300へ転送され、その後の利用者端末101への転送が正しく行われるものとする。
An example of specific conditions described in the iFC of the
1: Method name = “INVITE” & Header name = “Authorization”
2: Status code = “401” & Header name = “WWW-Authenticate” & Authentication scheme name = “IntegratedAuth”
The first description indicates that a specific condition is satisfied if the method name is INVITE and the header name is Authorization. Under this condition, only the INVITE having an authentication header among the INVITE requests transmitted from the
The second description indicates that a specific condition is satisfied if the status code is 401, the header name is WWW-Authenticate, and the authentication scheme name is IntegratedAuth. With this condition, out of 401 Unauthorized transmitted from the
図4では、SIPサーバ500と認証管理サーバ300とを別々のブロックで図示しているが、これはSIPサーバ500と認証管理サーバ300とが物理的に別々のコンピュータに実装されていることを限定しているものではなく、SIPサーバ500と認証管理サーバ300は同じコンピュータに実装することも可能である。また、認証管理サーバ300は、SIPサーバ500の拡張機能(付加機能)として実現することも可能である。なお、認証管理サーバ300の具体的な実現手法は任意であり、中継サーバのような構成で実現しても良いし、内部的に2つのSIP UAを背中合わせに実装したB2BUA(Back to Back User Agent)で実現しても良い。
In FIG. 4, the
次に、本実施例における認証の処理手順について、図5のシーケンス図を参照して説明する。 Next, the authentication processing procedure in the present embodiment will be described with reference to the sequence diagram of FIG.
まず、利用者端末101は、サービス提供サーバ200に対して、図6に例示するような認証ヘッダを含まないINVITEをサービス要求として送信する(S111)。図6に示されるINVITEにおいて、To:<sipuser1@xx.xx.xx.xx>はリクエストの着信者のSIP URLであるが、利用しようとするサービスを特定する情報としての役割も果たしている。
First, the
利用者端末101から送信されたINVITEは、特定の条件を満たすことによりSIPサーバ500から認証管理サーバ300へ転送され、受信される(S311)。認証管理サーバ300は、INVITE中に認証情報を記述したヘッダが含まれているかどうかを確認し(S312)、今の場合は含まれていないので、SIPサーバ500を通じて当該INVITEをサービス提供サーバ200へ転送する(S313)。
The INVITE transmitted from the
サービス提供サーバ200は、INVITEを受信すると(S211)、INVITEに認証結果が含まれているかどうかを確認し(S212)、今の場合は含まれていないので、認証を要求する手順を実行する。まず、要求されたサービスに応じた認証レベルを判定する(S213)。次に、図7に例示するようなWWW−Authenticateヘッダを含む401 Unauthorizedを利用者端末101に応答する(S214)。WWW−Authenticateヘッダ中のIntegratedAuthは、SIPで規定されたHTTPダイジェスト認証と区別するために付けられた認証スキーム名である。また、authlevelは認証レベルを意味するパラメータ名、2はそのパラメータ値であり、この例では認証レベルが2であることを示している。
When receiving the INVITE (S211), the
401 Unauthorizedは、リクエストに認証情報がないか不適切な認証情報が含まれる場合に、UASがHTTPダイジェスト認証を要求する場合に使用するものとしてSIPで規定されている。その場合、WWW−Authenticateヘッダの認証スキーム名はDigestと記述され、続けて、<チャレンジ値>が記述される。本実施例では、認証スキーム名としてIntegratedAuthを使用することにより、当該401 Unauthorizedを、認証の代行を認証管理サーバ300に要求するレスポンスとして利用している。また、authlevel=2という記述を入れることで、認証レベル2の認証の代行を認証管理サーバ300に要求するレスポンスとして利用している。
401 Unauthorized is defined in SIP as used when the UAS requests HTTP digest authentication when the request has no authentication information or includes inappropriate authentication information. In that case, the authentication scheme name of the WWW-Authenticate header is described as Digest, and then <Challenge value> is described. In the present embodiment, by using IntegratedAuth as the authentication scheme name, the 401 Unauthorized is used as a response for requesting the
サービス提供サーバ200から送信された上記の401 Unauthorizedは、SIPサーバ500から認証管理サーバ300へ転送され、受信される(S314)。認証管理サーバ300は、受信した401 UnauthorizedのWWW−Authenticateヘッダを解析して認証レベルを認識し、その認証レベルの認証を実現する認証方法を決定する(S315)。そして、WWW−Authenticateヘッダ中のパラメータ名authlevelの記述部分を、その認証レベルの認証を実現する認証方法の記述に書き換え、SIPサーバ500を通じて利用者端末101へ転送する(S316)。
The 401 Unauthorized transmitted from the
具体的には、図7に例示したように「authlevel=2」となっていれば、認証管理サーバ300は、図8に例示するように「authmethod=”MINFO&PW”」に書き換えて転送する。ここで、authmethodは認証方法を意味するパラメータ名、”MINFO&PW”はそのパラメータ値で、MINFOは利用者端末の端末情報による認証を、PWはパスワードによる認証をそれぞれ示す。また、認証管理サーバ300は、例えば「authlevel=1」となっていれば「authmethod=”MINFO”」に書き換えて転送し、「authlevel=3」となっていれば「authmethod=”MINFO&PW&FINGERPRINT”」に書き換えて転送する。ここで、FINGERPRINTは指紋認証を示す。
Specifically, if “authlevel = 2” as illustrated in FIG. 7, the
利用者端末101は、上記の401 Unauthorizedを受信すると(S112)、そのWWW−Authenticateヘッダを解析し、要求された認証方法の認証に必要な認証情報を必要に応じて利用者から入力する(S113)。そして、認証情報を記述した認証ヘッダを含む図9に例示するようなINVITEを作成し、サービス提供サーバ200へ送信する(S114)。図9において、「Authorization:IntegratedAuth MINFO=”AA−BB−CC−DD”、PW=”password”」が認証情報を記述した認証ヘッダであり、”AA−BB−CC−DD”は利用者端末のMACアドレスを、”password”はパスワードをそれぞれ示す。
Upon receiving the above 401 Unauthorized (S112), the
利用者端末101から再び送信されたINVITEは、特定の条件を満たすことによりSIPサーバ500から認証管理サーバ300へ転送され、受信される(S317)。認証管理サーバ300は、INVITEに認証情報を記述したヘッダが含まれているかどうかを確認し(S318)、含まれているので、その認証情報と図2に示した回線認証テーブルT1と端末・個人認証テーブルT2とに基づいて認証を行う(S319)。そして、認証の結果を認証ヘッダに記述した図10に例示するようなINVITEをSIPサーバ500を通じてサービス提供サーバ200へ転送する(S320)。図10において、「Authorization:IntegratedAuth authresult=”OK”」が認証結果を記述した認証ヘッダであり、authresultは認証結果を意味するパラメータ名、”OK”は認証が成功したことを示すパラメータ値である。なお、認証が失敗した場合、パラメータ値は”NG”になる。
The INVITE transmitted again from the
サービス提供サーバ200は、INVITEを受信すると(S215)、INVITEに認証結果が含まれているかどうかを確認し(S216)、含まれているので、認証成功かどうかを確認する(S217)。そして、認証が成功していれば、利用者端末101に対して要求されたサービスを提供する(S218)。
When receiving the INVITE (S215), the
利用者端末101は、サービス提供サーバ200から提供されるサービスを受信する(S115)。
The
本実施例によれば、本実施の形態で述べた効果に加えてさらに、サービス提供サーバ200のサービス提供のために認証管理サーバが利用者の認証を代行する仕組みをSIPシグナリングオペレーションのメッセージフローに組み込んだことにより、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用したネットワークを通じてサービスを提供するサービス提供システムにおいて、サービスに応じた認証レベルの認証を認証管理サーバが代行する処理をSIPのフレームワークを変更することなしに実現することができる効果がある。
According to the present embodiment, in addition to the effects described in the present embodiment, a mechanism in which the authentication management server performs user authentication in order to provide the service of the
次に本実施例を構成する利用者端末101、サービス提供サーバ200および認証管理サーバ300の詳細について説明する。
Next, details of the
図11を参照すると、認証管理サーバ300の一例は、回線認証情報データベース311、端末・個人認証情報データベース312および認証方法情報データベース313といったハードウェア資源と、データベース管理部314、認証判定部315、認証要求部316、パケット解析部317およびパケット送受信部318といった機能手段とを含んで構成される。認証管理サーバ300がワークステーション等のコンピュータで構成される場合、回線認証情報データベース311、端末・個人認証情報データベース312および認証方法情報データベース313は、主記憶装置や補助記憶装置で実現され、データベース管理部314、認証判定部315、認証要求部316、パケット解析部317およびパケット送受信部318は、プログラムで実現することができる。プログラムは、ハードディスクなどのコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られ、そのコンピュータの動作を制御することにより、そのコンピュータ上に上述した各機能手段を実現し、所定の処理を行わせる。
Referring to FIG. 11, an example of the
回線認証情報データベース311には、図2で例示した回線認証テーブルT1が記憶される。
The line
端末・個人認証情報データベース312には、図2で例示した端末・個人認証テーブルT2が記憶される。
The terminal / personal
認証方法情報データベース313には、図2で例示した各認証レベルに対応する認証方法の情報を記述した認証方法情報テーブルT3が記憶される。
The authentication
データベース管理部314は、各データベース311〜313に対する検索や更新を管理する。
The
認証要求部316は、サービス提供サーバ200の代わりに利用者端末101に対して各認証レベルの認証を要求する。
The
認証判定部315は、サービス提供サーバ200の代わりに利用者端末101から送信された認証情報に基づいて各認証レベルの認証を行う。
The
パケット解析部317は、SIPサーバ500から転送されてきたSIPのパケットを解析し、認証要求部316による処理、認証判定部315による処理に切り分ける。また、認証要求部316および認証判定部315から伝達されたSIPのパケットをパケット送受信部318へ出力する。
The
パケット送受信部318は、認証管理サーバ300とSIPサーバ500との間でSIPのパケットの送受信を行う。
The packet transmission /
次に図5のシーケンス図と図11のブロック図を参照して、認証管理サーバ300の動作を説明する。
Next, the operation of the
図5のステップS111において利用者端末101から送信されたINVITEがSIPサーバ500から転送されてくると、パケット送受信部318で受信され(S311)、パケット解析部317に伝達される。パケット解析部317は、INVITEに認証情報を記述したヘッダが含まれているかどうかを確認し(S312)、含まれていないので、パケット送受信部318を通じて当該INVITEをSIPサーバ500に送信する。SIPサーバ500はこのINVITEをサービス提供サーバ200へ転送する(S313)。
When the INVITE transmitted from the
また、図5のステップS214においてサービス提供サーバ200から送信された図7に例示した401 UnauthorizedがSIPサーバ500から転送されてくると、パケット送受信部318で受信され(S314)、パケット解析部317に伝達される。パケット解析部317は、受信したパケットが、IntegratedAuthが記述されたWWW−Authenticateヘッダを含む401 Unauthorizedであることを解析し、認証要求部316へ当該パケットを伝達する。
When the 401 Unauthorized illustrated in FIG. 7 transmitted from the
認証要求部316は、受信した401 UnauthorizedのWWW−Authenticateヘッダを解析して認証レベルを認識し、データベース管理部314を通じて認証方法情報データベース313を検索し、認識した認証レベルの認証を実現する認証方法を決定する(S315)。そして認証要求部316は、この決定した認証方法に基づいて図8に例示したように401 UnauthorizedのWWW−Authenticateヘッダを書き換えて、パケット解析部317およびパケット送受信部318を通じてSIPサーバ500へ送信する。SIPサーバ500は、これを利用者端末101へ転送する(S316)。
The
また、図5のステップS114において利用者端末101から再び送信されたINVITEがSIPサーバ500から転送されてくると、パケット送受信部318で受信され(S317)、パケット解析部317へ伝達される。パケット解析部317は、INVITEに認証情報を記述したヘッダが含まれているかどうかを確認し(S318)、含まれているので、当該INVITEを認証判定部315へ伝達する。
In addition, when the INVITE transmitted again from the
認証判定部315は、受け取ったINVITE中の認証情報と、データベース管理部314を通じて回線認証情報データベース311の回線認証テーブルT1および端末・個人認証情報データベース312の端末・個人認証テーブルT2から検索した情報とに基づいて認証を行う(S319)。そして、認証判定部315は、認証の結果を認証ヘッダに記述した図10に例示するようなINVITEをパケット解析部317およびパケット送受信部318を通じてSIPサーバ500へ送信する。SIPサーバ500は、これをサービス提供サーバ200へ転送する(S320)。
The
図12を参照すると、サービス提供サーバ200の一例は、提供サービス情報記憶部211、認証レベル情報記憶部212といったハードウェア資源と、サービス提供部213、認証レベル判定部214、認証代行要求部215、パケット解析部216およびパケット送受信部217といった機能手段とを含んで構成される。サービス提供サーバ200がワークステーション等のコンピュータで構成される場合、提供サービス情報記憶部211および認証レベル情報記憶部212は、主記憶装置や補助記憶装置で実現され、サービス提供部213、認証レベル判定部214、認証代行要求部215、パケット解析部216およびパケット送受信部217は、プログラムで実現することができる。プログラムは、ハードディスクなどのコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られ、そのコンピュータの動作を制御することにより、そのコンピュータ上に上述した各機能手段を実現し、後述した処理を行わせる。
Referring to FIG. 12, an example of the
提供サービス情報記憶部211には、サービス提供サーバ200が利用者端末101に提供する画像や音声などのコンテンツ、オンラインショッピングサービスを提供するWebページなどの情報が記憶される。
The provided service
認証レベル情報記憶部212には、サービス提供サーバ200が提供するサービス毎にその認証レベルの情報が記憶される。例えば、サービス提供サーバ200が3つのサービスA、B、Cを提供し、サービスAの認証レベルは1、サービスBの認証レベルは2、サービスCの認証レベルは3のとき、認証レベル情報記憶部212には、図13に例示するような認証レベル情報が記憶される。
The authentication level
サービス提供部213は、提供サービス情報記憶部211に記憶された情報を用いて、利用者端末101にサービスを提供する。
The
認証レベル判定部214は、利用者端末101が要求するサービスの認証レベルを認証レベル情報記憶部212を参照して判定する処理を行う。
The authentication
認証代行要求部215は、サービスの提供を要求する利用者端末101の利用者の認証の代行を認証管理サーバ300に要求する処理を行う。
The authentication
パケット解析部216は、SIPサーバ500から転送されてきたSIPのパケットを解析し、認証代行要求部215による処理、サービス提供部213による処理といった処理に切り分ける。
The
パケット送受信部217は、ネットワーク400を通じて利用者端末101およびSIPサーバ500との間でSIPのパケットや他の通信プロトコル(たとえばHTTPプロトコル)のパケットの送受信を行う。
The packet transmission /
次に図5のシーケンス図と図12のブロック図を参照して、サービス提供サーバ200の動作を説明する。
Next, the operation of the
図5のステップS313において認証管理サーバ300から送信された認証ヘッダなしのINVITEがSIPサーバ500から転送されてくると、パケット送受信部217で受信され(S211)、パケット解析部216に伝達される。パケット解析部216は、INVITEに認証結果が含まれているかどうかを確認し(S212)、含まれていないので、受信したINVITEを認証代行要求部215へ伝達する。
When the INVITE without the authentication header transmitted from the
認証代行要求部215は、要求されたサービスに応じた認証レベルを判定する(S213)。具体的には、INVITE中のToヘッダに記述された論理的なリクエスト送信先に基づいてサービス名を決定し、この決定したサービス名を通知して認証レベル判定部214に認証レベルを要求する。認証レベル判定部214は、通知されたサービス名で認証レベル情報記憶部212を検索して、対応する認証レベルを認証代行要求部215に返却する。次に、認証代行要求部215は、図7に例示するような認証レベルを記述したWWW−Authenticateヘッダを含む401 Unauthorizedを作成し、パケット解析部216およびパケット送受信部217を通じてネットワーク400経由で利用者端末101に応答する(S214)。
The authentication
また、図5のステップS320において認証管理サーバ300から送信された認証ヘッダありのINVITEがSIPサーバ500から転送されてくると、パケット送受信部217が受信し(S215)、パケット解析部216に伝達される。パケット解析部216は、受け取ったINVITEに認証結果が含まれているかどうかを確認し(S216)、含まれていれば、さらに、認証が成功したかどうかを確認する(S217)。そして、認証が成功していれば、パケット解析部216は、受け取ったINVITEをサービス提供部213へ伝達する。サービス提供部213は、このINVITEに従って、利用者端末101に対して要求されたサービスを提供する(S218)。
In addition, when the INVITE with the authentication header transmitted from the
図14を参照すると、利用者端末101の一例は、キーボード111、液晶ディスプレイ等の表示装置112、指紋入力装置113、利用者端末情報記憶部114といったハードウェア資源と、指紋入力部115、パスワード入力部116、利用者端末情報入力部117、認証要求応答部118、パケット解析部119、パケット送受信部120、サービス処理部121といった機能手段とを含んで構成される。利用者端末101がパーソナルコンピュータ等のコンピュータで構成される場合、利用者端末情報記憶部114は、主記憶装置や補助記憶装置で実現され、指紋入力部115、パスワード入力部116、利用者端末情報入力部117、認証要求応答部118、パケット解析部119、パケット送受信部120、サービス処理部121は、プログラムで実現することができる。プログラムは、ハードディスクなどのコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られ、そのコンピュータの動作を制御することにより、そのコンピュータ上に上述した各機能手段を実現し、後述した処理を行わせる。
Referring to FIG. 14, an example of a
利用者端末情報記憶部114には、当該利用者端末101の端末情報として、例えばMACアドレスが記憶される。
For example, a MAC address is stored in the user terminal
利用者端末情報入力部117は、認証要求応答部118からの指示に従って利用者端末情報記憶部114から利用者端末のMACアドレスを読み出し、認証要求応答部118に伝達する。
The user terminal
パスワード入力部116は、認証要求応答部118からの指示に従って、利用者端末101の利用者からパスワードを入力し、認証要求応答部118に伝達する。具体的には、表示装置112の画面にパスワード入力画面を表示し、利用者がキーボード111を操作してパスワード入力画面にパスワードを入力すると、この入力されたパスワードを取り込んで認証要求応答部118へ出力する。
The
指紋入力部115は、認証要求応答部118からの指示に従って、指紋入力装置113から利用者の指紋情報を入力し、認証要求応答部118に伝達する。
The
認証要求応答部118は、パケット解析部119から受信した401 UnauthorizedのWWW−Authenticateヘッダを解析し、要求された認証情報を利用者端末情報入力部117、パスワード入力部116、指紋入力部115から入力し、この入力した認証情報を記述したINVITEを作成して、パケット解析部119へ送信する。
The authentication
サービス処理部121は、キーボード111から入力される指示に従ってサービス提供サーバ200へサービスを要求し、それに応じて提供されるサービスを表示装置112に表示する等の処理を行う。
The
パケット解析部119は、SIPサーバ500やサービス提供サーバ200から転送されてきたパケットをパケット送受信部120から受信し、認証要求応答部118およびサービス処理部121へパケットを伝達する。また、その逆に認証要求応答部118およびサービス処理部121から伝達されるパケットをパケット送受信部120へ伝達する。
The
パケット送受信部120は、ホームゲートウェイ102およびネットワーク400を通じて利用者端末101およびSIPサーバ500との間でSIPのパケットや他の通信プロトコル(たとえばHTTPプロトコル)のパケットの送受信を行う。
The packet transmitting / receiving
次に図5のシーケンス図と図14のブロック図を参照して、利用者端末101の動作を説明する。
Next, the operation of the
利用者端末101において、サービス提供サーバ200のサービスを受けるためにサービス提供サーバ200をアクセスする際、サービス処理部121はINVITEを作成し、パケット解析部119、パケット送受信部120およびホームゲートウェイ102を通じてネットワーク400経由でサービス提供サーバへ送信する(S114)。
When the
また図5のステップS316において認証管理サーバ300からSIPサーバ500を通じて送信された図8に例示するような401 Unauthorizedがホームゲートウェイ102から転送されてくると、パケット送受信部120で受信され(S112)、パケット解析部119に伝達される。パケット解析部119は、受信したパケットが401 Unauthorizedであり、そのWWW−Authenticateヘッダ中に「WWW−Authenticate:IntegratedAuth authmethod=”MINFO&PW”」に例示するような認証情報を要求する記述があるため、当該401 Unauthorizedを認証要求応答部118へ伝達する。
Further, when 401 Unauthorized as illustrated in FIG. 8 transmitted from the
認証要求応答部118は、受け取った401 UnauthorizedのWWW−Authenticateヘッダで要求されている認証情報を判定し、要求された認証情報を利用者端末情報入力部117、パスワード入力部116、指紋入力部115から入力する(S113)。そして、この入力した認証情報を認証ヘッダに記述したINVITEを作成し、パケット解析部119、パケット送受信部120およびホームゲートウェイ102を通じてネットワーク400経由でサービス提供サーバへ送信する(S114)。
The authentication
また、図5のステップS218においてサービス提供サーバ200から送信されたサービス情報にかかるパケットがホームゲートウェイ102で受信されて転送されてくると、パケット送受信部120が受信し(S115)、パケット解析部119に伝達される。パケット解析部119は、受け取ったサービス情報にかかるパケットをサービス処理部121へ伝達し、サービス処理部121は受信した情報を表示装置112へ表示するといった処理を実行する。
When the packet related to the service information transmitted from the
以上の説明では、サービスに応じた認証レベルの認証方法は事前に唯一つだけ定められていたが、同一の認証レベルに対して複数の認証方法を定めておいて、その内の任意の認証方法を選択して使用するようにしても良い。また、図2に示した認証方法情報テーブルT3の代わりに、図15に例示するように、基本となる複数の認証方法と、その選択条件(必須か任意か)とそれを使用した際の認証レベルの増加ポイントとを定義した認証方法情報テーブルT4を使用し、幾つかの認証方法を動的に組み合わせてサービスに応じた認証レベルの認証方法を決定するようにしても良い。図15に例示した認証方法情報テーブルT4によると、認証レベル1の認証方法は、回線識別情報と利用者端末情報による認証として決定され、認証レベル2の認証方法は、回線識別情報と利用者端末情報による認証とパスワードによる認証との組み合わせとして決定され、認証レベル3の認証方法は、回線識別情報と利用者端末情報による認証と指紋による認証との組み合わせとして決定され、認証レベル4の認証方法は、回線識別情報と利用者端末情報による認証とパスワードによる認証と指紋による認証との組み合わせとして決定される。
In the above description, only one authentication method of the authentication level corresponding to the service has been defined in advance. However, a plurality of authentication methods are defined for the same authentication level, and any authentication method among them is defined. You may make it select and use. Further, instead of the authentication method information table T3 shown in FIG. 2, as shown in FIG. 15, a plurality of basic authentication methods, their selection conditions (mandatory or optional), and authentication when using them An authentication method information table T4 that defines level increase points may be used, and an authentication method of an authentication level corresponding to a service may be determined by dynamically combining several authentication methods. According to the authentication method information table T4 illustrated in FIG. 15, the authentication method at the
また以上の説明では、利用者端末101が接続されている回線103の回線識別情報と異なる他の認証情報として、利用者端末101の端末情報、パスワード、指紋を使用したが、利用者の本人性を確認する情報であれば、他の種類の情報を使用することができる。また、利用者の本人性を確認するには効果が少ないと考えられる利用者の性別や年齢などの属性情報を認証情報として利用し、図16の認証方法情報テーブルT5に例示するように認証レベルを利用者の属性に応じて更に細分化しても良い。この場合、利用者に属性情報を入力させると利用者に負担がかかるので、図17の端末・個人認証テーブルT6に例示するように、他の認証情報と同様に認証管理サーバ300の端末・個人認証情報データベース312に登録しておき、他の認証情報によって利用者が特定された後、その利用者の属性情報を確認するようにするのが望ましい。
In the above description, the terminal information, password, and fingerprint of the
また以上の説明では、利用者端末101が接続されている回線103の回線識別情報として、ホームゲートウェイ102のIPアドレスを使用したが、それに代えて、あるいはそれに加えて回線103に対してネットワーク400から割り当てられている電話番号を回線識別情報として使用しても良い。この場合、回線認証テーブルT1は図18に例示するような構成となる。利用者端末101側では、電話番号は記憶部に予め記憶しておいても良いし、キーボードからその都度入力するようにしても良い。電話番号は、端末情報などの他の認証情報と同様にINVITEの認証ヘッダに記述されて送信される。
In the above description, the IP address of the
電話番号を回線識別情報として使用する場合、以下の2通りの認証方法が考えられる。第1の方法は、認証ヘッダに電話番号が含まれている場合、ホームゲートウェイ102のIPアドレスの代わりに、その電話番号を使って認証を行う方法である。具体的には、認証管理サーバ300は、認証ヘッダに記述された電話番号をキーに図18の回線認証テーブルT1を検索し、一致する電話番号に対応する回線IDを取得する。次に、この取得した回線IDをキーに図2の端末・個人認証テーブルT2を検索して、端末情報などのその他の認証情報を取得して認証ヘッダ中の端末情報と比較する方法である。
When a telephone number is used as line identification information, the following two authentication methods are conceivable. The first method is a method of performing authentication using the telephone number instead of the IP address of the
第2の方法は、前述した実施の形態および実施例と同様にホームゲートウェイ102のIPアドレスをキーに図18の回線認証テーブルT1を検索し、一致するIPアドレスに対応する回線IDを取得し、次に、この取得した回線IDをキーに端末・個人認証テーブルT2を検索して、端末情報を取得して認証ヘッダ中の端末情報と比較した時点で一致しなかった場合、電話番号を使用した前記第1の方法に切り替える方法である。この場合、利用者端末101に一旦認証失敗を通知して、電話番号の入力を要求しても良いし、既に認証ヘッダに電話番号が記述されていれば、それを利用しても良い。
The second method searches the line authentication table T1 of FIG. 18 using the IP address of the
電話番号を回線識別情報として使用する構成は、たとえば他人の家を訪れた際、自分の利用者端末を使ってその家の回線を借りてサービスを受けたい場合に有効である。回線に結び付いた認証という意味では、その回線の正規(登録)利用者という識別は行っていないが、電話番号をもとに、どこの回線に登録されている(どこの回線の正規ユーザなのか)ということがわかるので、外出先でサービスを利用する場合の認証方法として有効である。 The configuration using the telephone number as the line identification information is effective, for example, when visiting another person's house and wanting to receive a service by borrowing the line of the house using his / her user terminal. In the sense of authentication associated with a line, the line is not identified as a regular (registered) user, but it is registered on which line based on the telephone number (which line is a legitimate user). It is effective as an authentication method when using the service on the go.
『第2の実施の形態』
図19を参照すると、本発明の第2の実施の形態は、図1に示した第1の実施の形態と比較して、サービス提供サーバ200および認証管理サーバ300に代えてサービス提供サーバ201および認証管理サーバ301を備えている点で相違する。
“Second Embodiment”
Referring to FIG. 19, the second embodiment of the present invention is different from the first embodiment shown in FIG. 1 in that the
サービス提供サーバ201は、第1の実施の形態のサービス提供サーバ200と比較して、認証管理サーバ301に対してサービスに応じた認証レベルの認証の代行を要求する際に認証レベルを指定しない点で相違する。
Compared to the
認証管理サーバ301は、第1の実施の形態の認証管理サーバ300と比較して、サービス提供サーバ201から認証の代行を要求された際、サービス提供サーバ201が利用者端末101に対して提供するサービスの認証レベルを判定し、この判定した認証レベルの認証の代行を行う点で相違する。
Compared to the
本実施の形態における認証の処理手順について、図20のシーケンス図を参照して説明する。 The authentication processing procedure in the present embodiment will be described with reference to the sequence diagram of FIG.
まず、利用者端末101は、サービス提供サーバ201に対してサービス要求を送信する(S101)。サービス要求には、利用しようとするサービスを特定する情報が含まれている。
First, the
サービス提供サーバ201は、サービス要求を受信すると(S201)、認証管理サーバ301に対して認証の代行を要求する(S221)。この要求には、利用者端末101から要求されたサービスを特定する情報が含まれている。
Upon receiving the service request (S201), the
認証管理サーバ301は、認証の代行要求を受信すると(S301)、まず、サービス提供サーバ201が利用者端末101から要求されたサービスに応じた認証レベルを判定する(S321)。次に、この認証レベルの認証を実現する認証方法を図2の認証方法情報テーブルT3を参照して決定し(S302)、決定した認証方法に必要な認証情報を利用者端末101に要求する(S303)。
When the
以下、第1の実施の形態と同様の手順が実行される(ステップS102〜S105、S304〜S306、S204〜S206)。 Thereafter, the same procedure as in the first embodiment is executed (steps S102 to S105, S304 to S306, and S204 to S206).
このように本実施の形態によれば、サービス提供サーバ201はサービスに応じた認証レベルを自ら決定する必要がないため、認証に係るサービス提供サーバ201の負荷をより一層軽減することができる。
As described above, according to the present embodiment, since the
『第2の実施の形態の実施例』
次に、通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用したネットワークに対して本実施の形態を適用した実施例について説明する。
"Example of the second embodiment"
Next, an example in which the present embodiment is applied to a network using SIP as a signaling protocol for establishing a communication session will be described.
図21を参照すると、本実施例においても第1の実施の形態の実施例と同様に、認証管理サーバ301はSIPサーバ500を介してネットワーク400に接続され、特定の条件を満たすSIPメッセージだけをSIPサーバ500から受け取って処理するように構成されている。
Referring to FIG. 21, also in the present example, as in the example of the first embodiment, the
本実施例における認証の処理手順について、図22のシーケンス図を参照して説明する。 The authentication processing procedure in the present embodiment will be described with reference to the sequence diagram of FIG.
まず、利用者端末101は、サービス提供サーバ201に対して、図6に例示するような認証ヘッダを含まないINVITEをサービス要求として送信する(S111)。図6に示されるINVITEにおいて、To:<sipuser1@xx.xx.xx.xx>はリクエストの着信者のSIP URLであるが、利用しようとするサービスを特定する情報としての役割も果たしている。
First, the
利用者端末101から送信されたINVITEは、特定の条件を満たすことによりSIPサーバ500から認証管理サーバ301へ転送され、受信される(S311)。認証管理サーバ301は、INVITE中に認証情報を記述したヘッダが含まれているかどうかを確認し(S312)、今の場合は含まれていないので、SIPサーバ500を通じて当該INVITEをサービス提供サーバ201へ転送する(S313)。
The INVITE transmitted from the
サービス提供サーバ201は、INVITEを受信すると(S211)、INVITEに認証結果が含まれているかどうかを確認し(S212)、今の場合は含まれていないので、図23に例示するようなWWW−Authenticateヘッダを含む401 Unauthorizedを利用者端末101に応答する(S222)。WWW−Authenticateヘッダ中のIntegratedAuthは、SIPで規定されたHTTPダイジェスト認証と区別するために付けられた認証スキーム名である。また、authreqは認証要求を意味するパラメータ名、””はそのパラメータ値であり、サービスに応じた認証レベルの認証を要求していることを示している。
When receiving the INVITE (S211), the
401 Unauthorizedは、リクエストに認証情報がないか不適切な認証情報が含まれる場合に、UASがHTTPダイジェスト認証を要求する場合に使用するものとしてSIPで規定されている。その場合、WWW−Authenticateヘッダの認証スキーム名はDigestと記述され、続けて、<チャレンジ値>が記述される。本実施例では、認証スキーム名としてIntegratedAuthを使用することにより、当該401 Unauthorizedが、認証の代行を認証管理サーバ301に要求するレスポンスとして利用している。また、authreq=””という記述を入れることで、サービスに応じた認証レベルの認証の代行を認証管理サーバ301に要求するレスポンスとして利用している。
401 Unauthorized is defined in SIP as used when the UAS requests HTTP digest authentication when the request has no authentication information or includes inappropriate authentication information. In that case, the authentication scheme name of the WWW-Authenticate header is described as Digest, and then <Challenge value> is described. In this embodiment, by using IntegratedAuth as the authentication scheme name, the 401 Unauthorized is used as a response for requesting the
サービス提供サーバ201から送信された上記の401 Unauthorizedは、SIPサーバ500から認証管理サーバ301へ転送され、受信される(S322)。認証管理サーバ301は、受信した401 UnauthorizedのWWW−Authenticateヘッダを解析し、サービスに応じた認証レベルの認証の代行が要求されていることから、まず、要求されたサービスに応じた認証レベルを判定する(S323)。次に、この認証レベルの認証を実現する認証方法を決定する(S315)。そして、WWW−Authenticateヘッダ中のパラメータ名authreqの記述部分を、その認証レベルの認証を実現する認証方法の記述に書き換え、SIPサーバ500を通じて利用者端末101へ転送する(S316)。
The 401 Unauthorized transmitted from the
具体的には、認証レベル2の場合、認証管理サーバ301は、図8に例示するように「authmethod=”MINFO&PW”」に書き換えて転送する。ここで、authmethodは認証方法を意味するパラメータ名、”MINFO&PW”はそのパラメータ値で、MINFOは利用者端末の端末情報による認証を、PWはパスワードによる認証をそれぞれ示す。また、認証管理サーバ301は、認証レベル1の場合、「authmethod=”MINFO”」に書き換えて転送し、認証レベル3の場合、「authmethod=”MINFO&PW&FINGERPRINT”」に書き換えて転送する。ここで、FINGERPRINTは指紋認証を示す。
Specifically, in the case of the
以下、第1の実施の形態の実施例と同様の手順が実行される(S112〜S115、S317〜S320、S215〜S218)。 Thereafter, the same procedure as in the example of the first embodiment is executed (S112 to S115, S317 to S320, S215 to S218).
次に本実施例を構成するサービス提供サーバ201および認証管理サーバ301の詳細について説明する。なお、利用者端末101は第1の実施の形態の実施例と同じである。
Next, details of the
図24を参照すると、本実施例で使用する認証管理サーバ301は、図11で示した第1の実施の形態の実施例で使用する認証管理サーバ300と比較して、認証レベル情報記憶部321を新たに備えている点、認証要求部316の代わりに認証要求部322を備えている点で相違する。
Referring to FIG. 24, the
認証レベル情報記憶部321には、図13で例示したようなサービス名と認証レベルとの対応関係を示す認証レベル情報が記憶される。
The authentication level
認証要求部322は、認証要求部316の機能に加えてさらに、サービスに応じた認証レベルを判定する機能を有する。
The
次に図22のシーケンス図と図24のブロック図を参照して、本実施例の認証管理サーバ301の動作を説明する。
Next, the operation of the
図22のステップS222においてサービス提供サーバ201から送信された図23に例示した401 UnauthorizedがSIPサーバ500から転送されてくると、パケット送受信部318で受信され(S322)、パケット解析部317に伝達される。パケット解析部317は、受信したパケットが、IntegratedAuthが記述されたWWW−Authenticateヘッダを含む401 Unauthorizedであることを解析し、認証要求部322へ当該パケットを伝達する。
When the 401 Unauthorized illustrated in FIG. 23 transmitted from the
認証要求部322は、受信した401 UnauthorizedのWWW−Authenticateヘッダを解析し、Toヘッダに記述された論理的なリクエスト送信先に基づいてサービス名を決定し、この決定したサービス名をキーにデータベース管理部314を通じて認証レベル情報記憶部321を検索し、対応する認証レベルを取得する(S323)。次に、この認証レベルをキーにデータベース管理部314を通じて認証方法情報データベース313を検索し、認識した認証レベルの認証を実現する認証方法を決定する(S315)。そして認証要求部322は、この決定した認証方法に基づいて図8に例示したように401 UnauthorizedのWWW−Authenticateヘッダを書き換えて、パケット解析部317およびパケット送受信部318を通じてSIPサーバ500へ送信する。SIPサーバ500は、これを利用者端末101へ転送する(S316)。
The
その他の動作は第1の実施の形態の実施例における認証管理サーバ300と同じである。
Other operations are the same as those of the
図25を参照すると、本実施例で使用するサービス提供サーバ201の一例は、図12に示した第1の実施の形態の実施例のサービス提供サーバ200と比較して、認証レベル情報記憶部212および認証レベル判定部214が省略されている点と、認証代行要求部215の代わりに認証代行要求部221を備えている点で相違する。
Referring to FIG. 25, an example of the
認証代行要求部221は、サービスに応じて認証レベルを判定する処理を行わない点で認証代行要求部215より機能が簡素化されている。
The authentication
次に図22のシーケンス図と図25のブロック図を参照して、本実施例のサービス提供サーバ201の動作を説明する。
Next, the operation of the
図22のステップS313において認証管理サーバ301から送信された認証ヘッダなしのINVITEがSIPサーバ500から転送されてくると、パケット送受信部217で受信され(S211)、パケット解析部216に伝達される。パケット解析部216は、INVITEに認証結果が含まれているかどうかを確認し(S212)、含まれていないので、受信したINVITEを認証代行要求部221へ伝達する。
When INVITE without an authentication header transmitted from the
認証代行要求部221は、図23に例示するようなWWW−Authenticateヘッダを含む401 Unauthorizedを作成し、パケット解析部216およびパケット送受信部217を通じてネットワーク400経由で利用者端末101に応答する(S222)。
The authentication
その他の動作は、第1の実施の形態の実施例で使用するサーバ提供サーバ200と同じである。
Other operations are the same as those of the
本発明は、利用者が通信網を介してサービス提供サーバからサービスの提供を受ける際の認証技術に有効であり、特に通信セッションを確立するためのシグナリングプロトコルとしてSIPを使用したネットワークにおける利用者認証に用いるのに適している。 The present invention is effective for an authentication technique when a user receives provision of a service from a service providing server via a communication network, and in particular, user authentication in a network using SIP as a signaling protocol for establishing a communication session. Suitable for use in.
100…利用者設備
101…利用者端末
102…ホームゲートウェイ
103…回線
200、201…サービス提供サーバ
300、301…認証管理サーバ
400…ネットワーク
500…SIPサーバ
DESCRIPTION OF SYMBOLS 100 ...
Claims (42)
前記サービス提供サーバが、提供するサービスに応じた認証レベルを判定して前記認証管理サーバへ通知し、前記認証管理サーバが、前記複数の認証レベルの認証方法の内から前記通知された認証レベルの認証方法を選択する
認証システム。 A user terminal connected to a communication network through a line, a service providing server connected to the communication network, receiving a service request from the user terminal, and providing a service to the user terminal; and connecting to the communication network Of the plurality of authentication level authentication methods that combine authentication based on line identification information of the line and authentication based on one or more other authentication information, the service providing server provides a service provided to the user terminal. An authentication management server that performs authentication of the user of the user terminal by using an authentication method of the corresponding authentication level,
The service providing server determines an authentication level according to a service to be provided and notifies the authentication management server, and the authentication management server has the authentication level notified from the authentication methods of the plurality of authentication levels. An authentication system that selects an authentication method.
前記サービス提供サーバが、前記利用者端末に対して提供するサービスを特定する情報を前記認証管理サーバへ通知し、前記認証管理サーバが、前記通知された情報で特定されるサービスに応じた認証レベルを判定し、前記複数の認証レベルの認証方法の中から前記判定した認証レベルの認証方法を選択する認証システム。 A user terminal connected to a communication network through a line, a service providing server connected to the communication network, receiving a service request from the user terminal, and providing a service to the user terminal; and connecting to the communication network Of the plurality of authentication level authentication methods that combine authentication based on line identification information of the line and authentication based on one or more other authentication information, the service providing server provides a service provided to the user terminal. An authentication management server that performs authentication of the user of the user terminal by using an authentication method of the corresponding authentication level,
The service providing server notifies the authentication management server of information for specifying a service to be provided to the user terminal, and the authentication management server determines an authentication level corresponding to the service specified by the notified information. And an authentication system that selects the authentication method of the determined authentication level from among the authentication methods of the plurality of authentication levels.
前記認証管理サーバは、前記利用者端末が前記サービス提供サーバに送信したINVITEリクエストをSIPサーバから受信して解析し、受信した前記INVITEリクエストに認証ヘッダが含まれている場合には、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送する認証判定手段と、前記サービス提供サーバが受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答した場合に、前記401 Unauthorizedレスポンスを前記SIPサーバから受信して解析し、回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送する認証要求手段とを備え、
前記サービス提供サーバは、前記利用者端末から送信されたINVITEリクエストを受信して解析し、受信したINVITEリクエストに認証結果が含まれていない場合に、回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルのうち、要求されたサービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答する認証代行要求手段と、前記受信したINVITEリクエストに認証結果が含まれている場合に、認証結果の成否に応じてサービスの提供可否を判断するサービス提供手段とを備え、
前記利用者端末は、前記認証管理サーバが前記SIPサーバを通じて送信した前記401 Unauthorizedレスポンスを受信して解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信する認証要求応答手段とを備えることを特徴とする認証システム。 An authentication system in which a user terminal, a service providing server, and a SIP server are connected to a communication network that uses SIP as a signaling protocol for establishing a communication session, and an authentication management server is connected to the SIP server,
The authentication management server receives and analyzes an INVITE request transmitted from the user terminal to the service providing server from a SIP server, and if the received INVITE request includes an authentication header, the authentication header Authentication determination means for performing an authentication process based on the authentication information described in FIG. 5 and transferring an INVITE request describing the authentication result to the service providing server through the SIP server, and an authentication result in the INVITE request received by the service providing server. When it is determined that it is not included, and a 401 Unauthorized response including a WWW-Authenticate header that describes the name of a specific authentication scheme for requesting an authentication at the authentication level according to the service is returned to the user terminal, 40 1 Unauthorized response analyzes received from the SIP server, among the plurality of authentication level authentication method that combines authentication by authentication and one or more other authentication information by the line identification information of the times lines, the service providing server Authentication that forwards a 401 Unauthorized response including the WWW-Authenticate header describing the authentication method of the authentication level according to the service provided to the user terminal and a specific authentication scheme name to the user terminal through the SIP server A request means,
The service providing server, the analyzes by receiving the INVITE request sent from the user terminal, if the INVITE request received does not contain the authentication result, times line 1 by the line identification information authentication and other A 401 Unauthorized response including a WWW-Authenticate header that describes the name of a specific authentication scheme for requesting authentication of an authentication level corresponding to a requested service among a plurality of authentication levels combined with authentication based on the above authentication information. Authentication proxy request means for responding to the user terminal, and service providing means for determining whether or not to provide a service according to success or failure of the authentication result when the received INVITE request includes an authentication result. ,
The user terminal receives and analyzes the 401 Unauthorized response transmitted by the authentication management server through the SIP server, and receives an INVITE request including an authentication header describing authentication information necessary for authentication of the requested authentication method. An authentication system comprising authentication request response means for transmitting to the service providing server.
前記サービス提供サーバが、提供するサービスに応じた認証レベルを判定して前記認証管理サーバへ通知し、前記認証管理サーバが、前記複数の認証レベルの認証方法の中から前記通知された認証レベルの認証方法を選択する
認証方法。 Authentication in a system comprising: a user terminal connected to a communication network through a line; and a service providing server connected to the communication network, receiving a service request from the user terminal and providing a service to the user terminal An authentication management server connected to the communication network, wherein the authentication management server connected to the communication network combines the authentication by the line identification information of the line and the authentication by one or more other authentication information. Using the authentication method of the authentication level corresponding to the service provided to the user terminal by the service providing server, the user authentication of the user terminal is performed on behalf of the user terminal, and
The service providing server determines an authentication level according to a service to be provided and notifies the authentication management server, and the authentication management server has the authentication level notified from the authentication methods of the plurality of authentication levels. Authentication method that selects the authentication method.
前記サービス提供サーバが、前記利用者端末に対して提供するサービスを特定する情報を前記認証管理サーバへ通知し、前記認証管理サーバが、前記通知された情報で特定されるサービスに応じた認証レベルを判定し、前記複数の認証レベルの認証方法の中から前記判定した認証レベルの認証方法を選択する
認証方法。 Authentication in a system comprising: a user terminal connected to a communication network through a line; and a service providing server connected to the communication network, receiving a service request from the user terminal and providing a service to the user terminal An authentication management server connected to the communication network, wherein the authentication management server connected to the communication network combines the authentication by the line identification information of the line and the authentication by one or more other authentication information. Using the authentication method of the authentication level corresponding to the service provided to the user terminal by the service providing server, the user authentication of the user terminal is performed on behalf of the user terminal, and
The service providing server notifies the authentication management server of information for specifying a service to be provided to the user terminal, and the authentication management server determines an authentication level corresponding to the service specified by the notified information. And determining an authentication method of the determined authentication level from among the authentication methods of the plurality of authentication levels.
b)SIPサーバが、前記INVITEリクエストを前記サービス提供サーバへ転送するステップと、
c)前記サービス提供サーバが、受信したINVITEリクエストに認証結果が含まれていないことを判定し、サービスに応じた認証レベルの認証の代行を要求する特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記利用者端末に応答するステップと、
d)前記SIPサーバが、前記401 Unauthorizedレスポンスを認証管理サーバへ転送するステップと、
e)前記認証管理サーバが、受信した前記401 Unauthorizedレスポンスを解析し、前記回線の回線識別情報による認証と他の1以上の認証情報による認証とを組み合わせた複数の認証レベルの認証方法のうち、前記サービス提供サーバが前記利用者端末に対して提供するサービスに応じた認証レベルの認証方法と特定の認証スキーム名を記述したWWW−Authenticateヘッダを含む401 Unauthorizedレスポンスを前記SIPサーバを通じて前記利用者端末へ転送するステップと、
f)前記利用者端末が、受信した前記401 Unauthorizedレスポンスを解析し、要求された認証方法の認証に必要な認証情報を記述した認証ヘッダを含むINVITEリクエストを前記サービス提供サーバへ送信するステップと、
g)前記SIPサーバが、前記INVITEリクエストを前記認証管理サーバへ転送するステップと、
h)前記認証管理サーバが、受信した前記INVITEリクエストに認証ヘッダが含まれていることを判定し、前記認証ヘッダに記述された認証情報に基づく認証処理を行い、認証結果を記述したINVITEリクエストを前記SIPサーバを通じて前記サービス提供サーバへ転送するステップと、
i)前記サービス提供サーバが、受信した前記INVITEリクエストに認証結果が含まれていることを判定し、認証結果の成否に応じてサービスの提供可否を判断するステップとを含むことを特徴とする認証方法。 a) a user terminal connected through a line to a communication network that uses SIP as a signaling protocol for establishing a communication session, transmits an INVITE request to a service providing server connected to the communication network;
b) the SIP server forwarding the INVITE request to the service providing server;
c) The WWW-Authenticate header that describes the specific authentication scheme name that determines that the service providing server does not include an authentication result in the received INVITE request and requests the authentication at the authentication level according to the service. Responding to the user terminal with a 401 Unauthorized response including:
d) the SIP server forwarding the 401 Unauthorized response to the authentication management server;
e) The authentication management server analyzes the received 401 Unauthorized response, and includes an authentication method of a plurality of authentication levels combining authentication by line identification information of the line and authentication by one or more other authentication information, A 401 Unauthorized response including a WWW-Authenticate header describing an authentication method of an authentication level corresponding to a service provided to the user terminal by the service providing server and a specific authentication scheme name is transmitted through the SIP server through the user terminal. Transferring to
f) the user terminal analyzing the received 401 Unauthorized response and sending an INVITE request including an authentication header describing authentication information necessary for authentication of the requested authentication method to the service providing server;
g) the SIP server forwarding the INVITE request to the authentication management server;
h) The authentication management server determines that the received INVITE request includes an authentication header, performs authentication processing based on the authentication information described in the authentication header, and outputs an INVITE request describing the authentication result. Transferring to the service providing server through the SIP server;
i) a step of determining that the service providing server includes an authentication result in the received INVITE request and determining whether or not the service can be provided according to the success or failure of the authentication result. Method.
前記サービス提供サーバから提供するサービスに応じた認証レベルの通知を受信し、前記複数の認証レベルの認証方法の中から前記通知された認証レベルの認証方法を選択する
認証管理サーバ。 Authentication by line identification information of a line connected to a communication network to which a user terminal and a service providing server for providing a service according to a service request from the user terminal are connected, and connecting the user terminal to the communication network; Among a plurality of authentication level authentication methods combined with authentication using one or more other authentication information, an authentication level authentication method corresponding to a service provided to the user terminal by the service providing server is used. Acting on behalf of the user of the user terminal, and
An authentication management server that receives an authentication level notification according to a service provided from the service providing server and selects the authentication method with the notified authentication level from among the plurality of authentication level authentication methods.
前記サービス提供サーバから提供するサービスを特定する情報の通知を受信し、前記通知された情報で特定されるサービスに応じた認証レベルを判定し、前記複数の認証レベルの認証方法の中から前記判定した認証レベルの認証方法を選択する
認証管理サーバ。 Authentication by line identification information of a line connected to a communication network to which a user terminal and a service providing server for providing a service according to a service request from the user terminal are connected, and connecting the user terminal to the communication network; Among a plurality of authentication level authentication methods combined with authentication using one or more other authentication information, an authentication level authentication method corresponding to a service provided to the user terminal by the service providing server is used. Acting on behalf of the user of the user terminal, and
Receiving a notification of information specifying a service to be provided from the service providing server, determining an authentication level according to a service specified by the notified information, and determining the determination from among an authentication method of the plurality of authentication levels Authentication management server that selects the authentication method with the specified authentication level.
サービス提供サーバ。 A service providing server that is connected to a communication network connected to a user terminal and an authentication management server that performs authentication of the user of the user terminal, and that provides a service according to a service request from the user terminal; Requesting the authentication management server to perform authentication at an authentication level according to the service provided to the user terminal, and the authentication management server connects the line identification information of the line connecting the user terminal to the communication network Among a plurality of authentication level authentication methods combining authentication by authentication with authentication by one or more other authentication information, an authentication level authentication method according to the service provided to the user terminal by the service providing server. Using the authentication management server to receive an authentication result on behalf of the user authentication of the user terminal, and providing the service when the authentication is successful. And the service providing server for notifying the authentication management server determines an authentication level corresponding to the services provided.
サービス提供サーバ。 A service providing server that is connected to a communication network connected to a user terminal and an authentication management server that performs authentication of the user of the user terminal, and that provides a service according to a service request from the user terminal; Requesting the authentication management server to perform authentication at an authentication level according to the service provided to the user terminal, and the authentication management server connects the line identification information of the line connecting the user terminal to the communication network Among a plurality of authentication level authentication methods combining authentication by authentication with authentication by one or more other authentication information, an authentication level authentication method according to the service provided to the user terminal by the service providing server. Using the authentication management server to receive an authentication result on behalf of the user authentication of the user terminal, and providing the service when the authentication is successful. And the service providing server notifies information specifying the service to be provided to the authentication server.
前記認証代行要求手段は、提供するサービスに応じた認証レベルを判定して前記認証管理サーバへ通知する
プログラム。 A computer constituting a service providing server that is connected to a communication network to which a user terminal and an authentication management server acting on behalf of the user of the user terminal are connected, and that provides a service according to a service request from the user terminal Authentication proxy request means for requesting the authentication management server to perform authentication at an authentication level corresponding to the service provided to the user terminal, and the authentication management server sends the user terminal to the communication network. Of a plurality of authentication level authentication methods combining authentication by line identification information of a line to be connected and authentication by one or more other authentication information, according to the service provided by the service providing server to the user terminal Using the authentication method of the authentication level, receiving the authentication result on behalf of the user authentication of the user terminal from the authentication management server, A program for the cause service function as the service providing means for providing the success,
The authentication agency requesting means is a program for determining an authentication level according to a service to be provided and notifying the authentication management server.
前記認証代行要求手段は、提供するサービスを特定する情報を前記認証管理サーバへ通知する
プログラム。 A computer constituting a service providing server that is connected to a communication network to which a user terminal and an authentication management server acting on behalf of the user of the user terminal are connected, and that provides a service according to a service request from the user terminal Authentication proxy request means for requesting the authentication management server to perform authentication at an authentication level corresponding to the service provided to the user terminal, and the authentication management server sends the user terminal to the communication network. Of a plurality of authentication level authentication methods combining authentication by line identification information of a line to be connected and authentication by one or more other authentication information, according to the service provided by the service providing server to the user terminal Using the authentication method of the authentication level, receiving the authentication result on behalf of the user authentication of the user terminal from the authentication management server, A program for the cause service function as the service providing means for providing the success,
The authentication proxy requesting unit notifies the authentication management server of information specifying a service to be provided.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007207484A JP5309496B2 (en) | 2007-08-09 | 2007-08-09 | Authentication system and authentication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007207484A JP5309496B2 (en) | 2007-08-09 | 2007-08-09 | Authentication system and authentication method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009043042A JP2009043042A (en) | 2009-02-26 |
JP5309496B2 true JP5309496B2 (en) | 2013-10-09 |
Family
ID=40443724
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007207484A Active JP5309496B2 (en) | 2007-08-09 | 2007-08-09 | Authentication system and authentication method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5309496B2 (en) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5339970B2 (en) * | 2009-03-10 | 2013-11-13 | 富士通エフ・アイ・ピー株式会社 | Information processing system, information processing method, and information processing program |
JP5320561B2 (en) | 2009-03-19 | 2013-10-23 | 株式会社日立製作所 | Terminal system for guaranteeing authenticity, terminal and terminal management server |
JP5192439B2 (en) * | 2009-05-12 | 2013-05-08 | 日本電信電話株式会社 | User authentication system, proxy device, user authentication method and program |
US8745699B2 (en) * | 2010-05-14 | 2014-06-03 | Authentify Inc. | Flexible quasi out of band authentication architecture |
JP2011215753A (en) * | 2010-03-31 | 2011-10-27 | Nomura Research Institute Ltd | Authentication system and authentication method |
JP5345585B2 (en) * | 2010-04-23 | 2013-11-20 | 日本電信電話株式会社 | Authentication system, authentication method and program |
KR101874081B1 (en) * | 2012-06-07 | 2018-07-03 | 에스케이테크엑스 주식회사 | Cloud Service Supporting Method And System based on a Enhanced Security |
JP2013257625A (en) * | 2012-06-11 | 2013-12-26 | Nippon Telegr & Teleph Corp <Ntt> | Authentication request conversion device and authentication request conversion method |
JP2014215652A (en) * | 2013-04-23 | 2014-11-17 | 富士通株式会社 | Information processing device, information processing system, and authentication processing method |
JP6271897B2 (en) * | 2013-07-29 | 2018-01-31 | 株式会社日立製作所 | How to manage authentication information for transactions |
KR101724401B1 (en) * | 2015-05-29 | 2017-04-07 | 한국정보인증주식회사 | Certification System for Using Biometrics and Certification Method for Using Key Sharing and Recording medium Storing a Program to Implement the Method |
KR101680525B1 (en) * | 2016-07-12 | 2016-12-06 | 김주한 | app forgery detection, 2-channel certification agency system and method thereof |
JP6717108B2 (en) * | 2016-08-10 | 2020-07-01 | 富士通株式会社 | Information processing apparatus, information processing system, program, and information processing method |
JP7239974B2 (en) * | 2018-12-27 | 2023-03-15 | ベーステクノロジー株式会社 | Terminal authentication management system, its method, and its program |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2221506A1 (en) * | 1995-06-07 | 1996-12-27 | Thomas Mark Levergood | Internet server access control and monitoring system |
JPH10320357A (en) * | 1997-05-16 | 1998-12-04 | Pfu Ltd | Certification server in user certification system, method for certifying the same and recording medium for the method |
JP2003248661A (en) * | 2002-02-25 | 2003-09-05 | Sony Corp | Authentication processor, authentication processing method, information processor, information processing method, authentication processing system, recording medium and program |
JP2006031478A (en) * | 2004-07-16 | 2006-02-02 | Yamaha Corp | Content reproduction terminal and content distribution system |
JP4813167B2 (en) * | 2005-12-07 | 2011-11-09 | シャープ株式会社 | Service management apparatus, service management system, program, and recording medium |
-
2007
- 2007-08-09 JP JP2007207484A patent/JP5309496B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2009043042A (en) | 2009-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5309496B2 (en) | Authentication system and authentication method | |
US9053306B2 (en) | Authentication system, authentication server, service providing server, authentication method, and computer-readable recording medium | |
US20100138899A1 (en) | Authentication intermediary server, program, authentication system and selection method | |
JP5296726B2 (en) | Web content providing system, web server, content providing method, and programs thereof | |
US8769262B2 (en) | VPN connection system and VPN connection method | |
RU2008114665A (en) | PROTECTED PROCESSING THE MANDATE OF THE CUSTOMER SYSTEM FOR ACCESS TO RESOURCES BASED ON WEB | |
JP5326974B2 (en) | Relay device, service continuation method between different terminal devices, and relay program | |
JP2005323070A (en) | Authentication method for home information appliance by portable telephone | |
EP1909430A1 (en) | Access authorization system of communication network and method thereof | |
CN101014958A (en) | System and method for managing user authentication and service authorization to achieve single-sign-on to access multiple network interfaces | |
CN101779413A (en) | Method and apparatus for communication, and method and apparatus for controlling communication | |
JP2007310512A (en) | Communication system, service providing server, and user authentication server | |
WO2006073008A1 (en) | Login-to-network-camera authentication system | |
JP4960738B2 (en) | Authentication system, authentication method, and authentication program | |
JP2007264835A (en) | Authentication method and system | |
US20180324169A1 (en) | Method of access by a telecommunications terminal to a database hosted by a service platform that is accessible via a telecommunications network | |
WO2008026288A1 (en) | Network connected terminal device authenticating method, network connected terminal device authenticating program and network connected terminal device authenticating apparatus | |
CN101540757A (en) | Method and system for identifying network and identification equipment | |
US20120131206A1 (en) | System, method, and program for communication connection by polling | |
JP5211579B2 (en) | Authentication system and authentication method using SIP | |
JP5589034B2 (en) | Information distribution system, authentication linkage method, apparatus, and program thereof | |
JP2006119769A (en) | Content providing system | |
JP2009211529A (en) | Authentication processing device, authentication processing method and authentication processing program | |
JP2007323235A (en) | Attribute use approval system | |
JP2004013377A (en) | Code authentication system and method of verification by code |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20091007 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20091007 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100713 |
|
RD07 | Notification of extinguishment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7427 Effective date: 20120711 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121127 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130107 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130129 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130321 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130409 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130514 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130604 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130617 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5309496 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |