以下、本発明の実施形態について図面を参照して説明する。なお、各図面において同じ機能を有するものには同じ符号を付け、その説明を省略する場合がある。
(第1の実施形態)
図1は、本発明の第1の実施形態の通信システムを示す図である。図1に示す通信システムは、モバイル端末1と、ユーザ情報記憶装置2と、接続情報記憶装置3と、セッション情報記憶装置4と、ネットワーク接続装置5と、メッセージ送信装置6と、第1認証サーバ7と、第2認証サーバ8と、サービスサーバ9とを有する。
モバイル端末1は、アクセスネットワーク11、基地局12およびプロバイダネットワーク13を介して、プロバイダネットワーク13上の各装置と接続可能である。プロバイダネットワーク13上の装置は、本実施形態では、ネットワーク接続装置5、メッセージ送信装置6、第1認証サーバ7および第2認証サーバ8を含む。プロバイダネットワーク13上の装置には、本実施形態では、ユーザ情報記憶装置2、接続情報記憶装置3およびセッション情報記憶装置4は含まれない。また、モバイル端末1は、アクセスネットワーク11、基地局12、プロバイダネットワーク13およびインターネット14を介して、インターネット14上の装置であるサービスサーバ9と接続可能である。また、ネットワーク接続装置5、メッセージ送信装置6、第1認証サーバ7および第2認証サーバ8のそれぞれは、ユーザ情報記憶装置2、接続情報記憶装置3およびセッション情報記憶装置4と接続可能である。
なお、アクセスネットワーク11は、図1の例では、3G網、LTE(Long Term Evolution)網および無線LAN(Local Area Network)などの無線ネットワークである。また、サービスサーバ9は、プロバイダネットワーク13上に設けられてもよい。また、ネットワーク接続装置5、メッセージ送信装置6、第1認証サーバ7および第2認証サーバ8のそれぞれは、ユーザ情報記憶装置2、接続情報記憶装置3およびセッション情報記憶装置4とプロバイダネットワーク13を介さずに接続されているが、プロバイダネットワーク13を介して接続されてもよい。
モバイル端末1は、プロバイダネットワーク13やインターネット14上の装置に接続するためのネットワーク接続サービスや、それらの装置が提供するネットワーク提供サービスを受けるための情報処理装置である。ネットワーク提供サービスは、本実施形態では、インターネット14上のサービスサーバ9にて提供されるものとする。ネットワーク提供サービスは、例えば、コンテンツを配信するコンテンツ配信サービス、メッセージを交換するメッセージ交換サービスまたは会員情報を変更する変更サービスなどである。また、モバイル端末1は、例えば、スマートフォン、タブレット型コンピュータ、ポータブルゲーム機またはモバイルPC(Personal Computer)などである。
図2は、モバイル端末1の構成例を示すブロック図である。図2に示すモバイル端末1は、表示部101と、操作部102と、端末記憶部103と、端末通信部104と、端末制御部105とを有する。
表示部101は、種々の情報を表示する。操作部102は、ユーザにて種々の操作が行われる。端末記憶部103は、モバイル端末1に固有の固有情報である端末固有情報を記憶する。端末固有情報は、例えば、MSISDN(Mobile Station International Subscriber Directory Number)または電話番号などである。以下では、端末固有情報は電話番号であるとする。端末記憶部103は、ハードディスクのようなモバイル端末1に内蔵された記録媒体でもよいし、SIM(Subscriber Identity Module)カードのようなモバイル端末1と着脱可能な記録媒体でもよい。
端末通信部104は、プロバイダネットワーク13上およびインターネット14上の各装置と通信を行う。例えば、端末通信部104は、ネットワーク接続装置5から、ネットワーク接続サービスを受けるための認証処理である接続認証処理の認証結果を示す接続応答を受信し、メッセージ送信装置6から、ネットワーク提供サービスを受けるための認証処理である第1サービス認証処理が実行可能である旨のメッセージを受信し、第1認証サーバ7および第2認証サーバ8から、第1サービス認証処理に用いる認証情報の送信を要求する認証情報要求と、第1サービス認証処理の認証結果である第1認証応答を受信する。接続応答は、接続認証処理の成功を示す場合、モバイル端末1に割り当てられたIPアドレスを含む。また、第1認証応答は、認証の成功を示す場合、モバイル端末1とサービスサーバ9との通信を管理するためのセッション情報を含む。
第1サービス認証処理には、IPアドレスを用いた認証処理であるアドレス認証処理と、IPアドレスとは異なる認証情報を用いた認証処理である非アドレス認証処理とがあり、後述するように第1認証サーバ7がアドレス認証処理を行い、第2認証サーバ8が非アドレス認証処理を行う。アドレス認証処理は、認証情報としてIPアドレスだけを用いてもよいが、本実施形態では、IPアドレスと端末固有情報とを用いる。また、非アドレス認証処理は、本実施形態では、認証情報としてモバイル端末1のユーザを識別する識別情報であるユーザIDとパスワードを用いる。このため、第1認証サーバ7からの認証情報要求は、認証情報としてIPアドレスおよび端末固有情報の送信を要求するアドレス要求であり、第2認証サーバ8からの認証情報要求は、ユーザIDおよびパスワードの送信を要求するパスワード要求である。
また、上記のメッセージは、具体的には、アドレス認証処理が実行可能である旨の情報であり、アドレス認証処理を行う第1認証サーバ7のネットワーク上の位置を示す位置情報を含む。また、メッセージは、サービスサーバ9のネットワーク上の位置を示す位置情報を含んでもよい。以下、位置情報はURL(Uniform Resource Locator)であるとする。
端末制御部105は、接続認証処理の実行を要求する接続認証要求をネットワーク接続装置5に送信する。接続認証要求は、端末記憶部103に記憶された端末固有情報を含む。
端末通信部104が接続応答を受信した場合、端末制御部105は、その接続応答に応じた接続応答処理を実行する。例えば、接続応答が認証の成功を示す場合、端末制御部105は、その接続応答内のIPアドレスを端末記憶部103に記憶する。
端末通信部104がメッセージを受信した場合、端末制御部105は、そのメッセージを表示部101に表示する。その後、操作部102に対してメッセージ内の第1認証サーバのURLを選択する選択操作が行われると、端末制御部105は、そのURLに基づいて、第1サービス認証処理の実行を要求する第1サービス認証要求を第1認証サーバ7に送信する。
なお、操作部102に対して第1サービス認証要求の送信を指示する操作が行われた場合に、端末制御部105は、第1サービス認証要求を送信してもよい。この場合、第1サービス認証要求の送信先は、第1認証サーバ7でも良いし、第2認証サーバ8でもよく、例えば、操作部102に入力されたURLに応じて決定される。
端末通信部104が認証情報要求を受信した場合、端末制御部105は、その認証情報要求がアドレス要求であれば、端末記憶部103に記憶されたIPアドレスおよび端末固有情報を第1認証サーバ7に送信し、その認証要求がパスワード要求であれば、ユーザIDおよびパスワードを第2認証サーバ8に送信する。なお、ユーザIDおよびパスワードは、操作部102を用いてユーザが入力してもよいし、端末記憶部103に予め記憶されていてもよい。
端末通信部104が第1認証応答を受信した場合、端末制御部105は、その第1認証応答に応じた第1応答処理を行う。具体的には、端末制御部105は、第1認証応答が認証の成功を示す場合、第1認証応答内のセッション情報を端末記憶部103に記憶する。その後、端末制御部105は、Webブラウザのような所定のアプリケーションプログラムを用いて、ネットワーク提供サービスの提供を要求するサービス要求をサービスサーバ9に送信する。サービス要求は、端末記憶部103に記憶されたセッション情報が含まれる。なお、上記のメッセージにサービスサーバ9のURLが含まれる場合、端末制御部105は、そのURLを用いてサービス要求をサービスサーバ9に送信する。また、サービスサーバ9のURLは、操作部102を用いてユーザにて入力されてもよい。
なお、端末制御部105は、セッション情報を記憶する際には、Webブラウザ用に一時的に記憶されるクッキーのような、ネットワーク提供サービスを受けるアプリケーションプログラムに応じた形式で記憶する。また、端末制御部105は、所定の削除タイミングで端末記憶部103に記憶したセッション情報を削除してもよい。削除タイミングは、ネットワーク提供サービスを受けるアプリケーションプログラムが閉じられたタイミング、そのアプリケーションプログラムが閉じられてからそのアプリケーションプログラムが再実行されずに所定の時間が経過したタイミング、セッション情報を記憶してから所定時間(例えば、24時間など)が経過したタイミングなどである。
ユーザ情報記憶装置2、接続情報記憶装置3、セッション情報記憶装置4、ネットワーク接続装置5、メッセージ送信装置6、第1認証サーバ7および第2認証サーバ8は、モバイル端末1を認証する認証システムを構成する。
ユーザ情報記憶装置2は、ネットワーク接続サービスおよびネットワーク提供サービスを利用するユーザに関するユーザ情報を記憶する。ユーザ情報は、ユーザを識別する識別情報であるユーザIDごとに、パスワードと、ユーザとのネットワーク接続サービスに関する契約情報と、ユーザが利用するモバイル端末1の端末固有情報とを対応付けた情報である。また、契約情報には、ユーザとのネットワーク提供サービスに関する契約情報などが含まれてもよい。
契約情報は、具体的には、ネットワーク接続サービスの利用を許可しているか否かを示す。また、契約情報は、ネットワーク接続サービスを利用するための回線の種類ごとに、ネットワーク接続サービスの利用を許可しているか否かを示してもよい。回線の種類としては、例えば、光回線やモバイル回線などが挙げられる。本実施形態では、モバイル端末1は、モバイル回線を用いて、ネットワーク接続サービスを利用する。また、契約情報は、上記の情報に加えて、もしくは、上記の情報に代えて、モバイル端末1に対するメッセージの送信を許可しているか否かや、モバイル端末1に対してIPアドレスを用いた第1サービス認証処理であるアドレス認証処理を許可するか否か、そしてネットワーク提供サービスの利用を許可しているか否かなどを示してもよい。また、契約情報は、ネットワーク接続サービスの利用を許可した契約日や、ネットワーク接続サービスを最初に利用した利用開始日などをさらに示してもよい。
図3は、ユーザ情報の一例を示す図である。図3に示すユーザ情報200は、ユーザID201と、パスワード202と、契約情報203と、電話番号204とを含む。契約情報203は、光回線およびモバイル回線のそれぞれについて、ネットワーク接続サービスの利用を許可しているか否かを示す。図3の例では、「有」がネットワーク接続サービスの利用を許可していることを示し、「無」がネットワーク接続サービスの利用を許可していないことを示す。電話番号204は、モバイル端末1を特定する端末固有情報である。なお、「−」は電話番号204が登録されていないことを示す。また、端末固有情報である電話番号は、光回線等の電話番号を含んでもよく、その場合、回線の種類ごとに電話番号が対応付けられて記憶されることが好ましい。
接続情報記憶装置3は、モバイル端末1のネットワークへの接続に関する接続情報を記憶する記憶部である。接続情報は、IPアドレスを用いた第1サービス認証処理であるアドレス認証処理の可否を示す判定情報と、モバイル端末のネットワークへの接続の履歴を示す接続ログとを含む。判定情報は、ユーザIDごとに、ユーザが利用するモバイル端末1の端末固有情報と、そのモバイル端末1に割り当てられたIPアドレスと、そのモバイル端末1のネットワークへの接続状況を示す状況情報と対応付けた情報である。
図4Aは、判定情報の一例を示す図である。図4に示す判定情報300は、ユーザID301と、電話番号302と、IPアドレス情報303と、状況304とを含む。電話番号302は、モバイル端末1を特定する端末固有情報である。IPアドレス情報303は、モバイル端末1に割り当てられたIPドレスか、モバイル端末1にIPアドレスが割り当てられていないことを示す。図4Aの例では、IPアドレスが割り当てられていないことが「―」で示されている。状況304は、状況情報であり、図4Aの例では、モバイル端末1がインターネット14に接続している場合、「接続」を示し、モバイル端末1がインターネット14に接続していない場合、「切断」を示す。ここで、判定情報として記憶されるユーザID301は、ユーザ情報記憶装置2に記憶されたユーザ情報における契約情報に基づいて決定されても良い。例えば、契約情報が、モバイル回線の利用を許可し、かつ、ネットワーク提供サービスの利用を許可している場合や、アドレス認証処理を許可している場合など、IPアドレスを用いた第1サービス認証処理であるアドレス認証処理の利用が可能であることを示す場合、その契約情報に対応するユーザIDが判定情報として記憶される。
接続ログは、ユーザIDと、ユーザが利用するモバイル端末1に割り当てられたIPアドレスと、モバイル端末1がネットワークに接続した接続開始日時を示す開始日時情報とを対応付けたレコードを、モバイル端末1がネットワークに接続するたびに蓄積した情報である。なお、接続ログのレコードは、モバイル端末1がネットワークとの接続を切断した日時などの接続開始日時とは異なる日時を示す情報を含んでもよい。また、接続ログは、モバイル端末1以外のデスクトップ型PCのような家庭などに設置される情報処理装置が、光回線などの固定回線を用いて、ネットワーク接続サービスを利用した際のログも含むことがある。このため、接続ログのレコードには、ネットワーク接続サービスを利用したモバイル端末1または情報処理装置が接続したネットワーク回線の種類を示す接続回線情報を含んでもよい。
図4Bは、接続ログの一例を示す図である。図4Bに示す接続ログ310は、ユーザID311と、IPアドレス312と、開始日時313と、接続回線314とを含む。開始日時313は、開始日時情報である。接続回線314は、接続回線情報である。
セッション情報記憶装置4は、モバイル端末1のセッション情報に関するセッションDB(database;データベース)を記憶するセッション情報記憶部である。セッションDBは、ユーザIDごとに、ユーザ利用するモバイル端末1のセッション情報と、セッション情報が生成された生成日時を示す生成日時情報とを対応付けた情報である。また、セッションDBでは、セッション情報に、そのセッション情報が有効か否かを示す有効判定情報が対応づけられていてもよい。以下、有効を示す有効判定情報が対応付けられているセッション情報を有効なセッション情報と呼ぶこともある。
図5は、セッションDBの一例を示す図である。図5に示すセッションDB400は、ユーザID401と、セッション情報402と、生成日時403とを含む。生成日時403は、生成日時情報である。
ネットワーク接続装置5は、モバイル端末1に対してネットワーク接続サービスを提供する装置である。ネットワーク接続装置5は、例えば、ネットワークアクセスサーバ、ゲートウェイサーバおよびRADIUS(Remote Authentication Dial-in User Service)サーバの少なくとも一つから構成される。図6は、ネットワーク接続装置5の構成例を示すブロック図である。図6に示すネットワーク接続装置5は、接続通信部501と、接続記憶部502と、接続制御部503とを有する。
接続通信部501は、モバイル端末1などの装置と通信する。例えば、接続通信部501は、モバイル端末1から接続認証要求を受信する。接続記憶部502は、モバイル端末1に割り当てることが可能なIPアドレスごとに、そのIPアドレスが割り当て済みか否かを示すプール情報を記憶する。
接続通信部501が接続認証要求を受信した場合、接続制御部503は、その接続認証要求内の端末固有情報と、ユーザ情報記憶装置2に記憶されているユーザ情報とを用いて、接続認証要求の送信元であるモバイル端末1に対する接続認証処理を行う。例えば、接続制御部503は、ユーザ情報記憶装置2に記憶されたユーザ情報において、接続認証要求内の端末固有情報に対応する契約情報がネットワーク接続サービスの利用を許可しているか否かを確認する。接続制御部503は、契約情報がネットワーク接続サービスの利用を許可している場合、認証を成功と判断し、契約情報がネットワーク接続サービスの利用を許可していない場合、認証を失敗と判断する。また、接続制御部503は、ユーザ情報記憶装置2に記憶されたユーザ情報に、接続認証要求内の端末固有情報が含まれているか否かを判断してもよい。この場合、接続制御部503は、端末固有情報が含まれていると、認証を成功と判断し、端末固有情報が含まれていないと、認証を失敗と判断する。
接続制御部503は、接続認証処理を行うと、その接続認証処理の認証結果である接続応答をモバイル端末1に送信する。このとき、認証が成功の場合、接続制御部503は、接続記憶部502に記憶されたプール情報に基づいて、未だ割り当てていないIPアドレスのいずれかをモバイル端末1に対して割り当て、その割り当てたIPアドレスを接続応答に含める。そして、接続制御部503は、モバイル端末1に割り当てたIPアドレスが割り当て済みとなるようにプール情報を更新する。
さらに、接続制御部503は、モバイル端末1に割り当てたIPアドレスに基づいて、接続情報記憶装置3に記憶された接続情報を更新する。具体的には、接続制御部503は、接続認証要求内の端末固有情報に対応するユーザIDをユーザ情報記憶装置2から取得し、そのユーザIDに対応する契約情報がIPアドレスを用いた第1サービス認証処理であるアドレス認証処理が利用可能を示す場合、そのユーザIDおよび端末固有情報と、割り当てたIPアドレスと、接続を示す状況情報とを対応付けて、判定情報として接続情報記憶装置3に記憶する。これにより、接続情報記憶装置3は、所定のネットワーク接続装置であるネットワーク接続装置5にて割り当て済みのIPアドレスを記憶することになる。また、接続制御部503は、取得したユーザIDと、割り当てたIPアドレスと、現在の日時を接続開始日時として示す開始日時情報とを対応付けて接続ログとして接続情報記憶装置3に記憶する。
メッセージ送信装置6は、モバイル端末1に対してメッセージを送信する装置である。図7は、メッセージ送信装置6の構成例を示す図である。図7に示すメッセージ送信装置6は、メッセージ通信部601と、メッセージ記憶部602と、メッセージ制御部603とを有する。メッセージ通信部601は、モバイル端末1などの装置と通信する。メッセージ記憶部602は、第1認証サーバ7のネットワーク上の位置を示す位置情報として第1認証サーバ7のURLを記憶する。また、メッセージ記憶部602は、サービスサーバ9のネットワーク上の位置を示す位置情報としてサービスサーバ9のURLを記憶してもよい。
メッセージ制御部603は、メッセージを送信する送信処理を行う。具体的には、メッセージ制御部603は、接続情報記憶装置3に記憶された接続情報を監視して、ネットワーク接続装置5がIPアドレスをモバイル端末1に対して新たに割り当てたか否かを判断する。例えば、メッセージ制御部603は、接続情報のうち判定情報または接続ログを監視し、ユーザIDが判定情報または接続ログに新たに追加された場合、ネットワーク接続装置5がIPアドレスをモバイル端末1に対して新たに割り当てたと判断する。
ネットワーク接続装置5がIPアドレスをモバイル端末1に対して新たに割り当てた場合、メッセージ制御部603は、そのモバイル端末1に対して、メッセージ記憶部602に記憶された第1認証サーバ7のURLを含むメッセージを送信する。メッセージは、ユーザ情報記憶装置2に記憶されたユーザ情報において、上記の新たに追加されたユーザIDに対応する端末固有情報である電話番号宛てのSMS(short message service)メッセージが望ましいが、電子メールなどの他のメッセージでもよい。また、メッセージは、第1認証サーバのURLだけでなく、サービスサーバ9のURLや、サービスサーバ9によるネットワーク提供サービスを受けるためには、第1認証サーバに接続することを推奨する旨の情報などを含んでもよい。
また、ネットワーク接続装置5がIPアドレスをモバイル端末1に対して新たに割り当てた場合、メッセージ制御部603は、そのモバイル端末1に対するアドレス認証処理の可否を判断し、アドレス認証処理が可能であると、メッセージを送信してもよい。この場合、メッセージ制御部603は、ユーザ情報記憶装置2に記憶されたユーザ情報において、その追加されたユーザIDに対応する契約情報に基づいて、モバイル端末1に対するアドレス認証処理の可否を判断する。例えば、契約情報がネットワーク接続サービスの利用を許可していることを示す場合、メッセージ制御部603は、モバイル端末1に対するアドレス認証処理を可能と判断する。また、契約情報がネットワーク接続サービスの利用を許可していることに加えて、ネットワーク提供サービスの利用を許可していること、モバイル端末1に対するメッセージの送信を許可していること、または、モバイル端末1に対してアドレス認証処理を許可すること、または、それらの2つ、もしくは、全てが許可されている場合など、契約情報がIPアドレスを用いた第1サービス認証処理であるアドレス認証処理が利用可能を示す場合、モバイル端末1に対するアドレス認証処理を可能と判断してもよい。
また、メッセージ制御部603は、ネットワーク接続装置5が今までにアドレス認証処理が行われたことがないモバイル端末1である新規のモバイル端末にIPアドレスを新たに割り当てた場合にメッセージを送信してもよい。この場合、メッセージ制御部603は、例えば、判定情報または接続ログに新たに追加されたユーザIDを接続ログから検索して、新規のモバイル端末にIPアドレスを割り当てたか否かを判断する。また、メッセージ制御部603は、ユーザ情報記憶装置2に記憶されたユーザ情報において、ユーザID(または端末固有情報)に、アドレス認証を行ったことを示す接続フラグが対応付けられているか否かを判断して、新規のモバイル端末にIPアドレスを割り当てたか否かを判断してもよい。このとき、メッセージ制御部603は、接続フラグが対応付けられていない場合、新規のモバイル端末にIPアドレスを割り当てたと判断してメッセージを送信し、かつ、ユーザ情報において、ユーザID(または端末固有情報)に接続フラグを対応付ける。また、メッセージ制御部603は、接続フラグが対応付けられている場合、新規ではないモバイル端末にIPアドレスを割り当てたと判断して、処理を終了する。
なお、メッセージ制御部603は、新規のモバイル端末にIPアドレスを割り当てたと判断した場合、現在の日時を利用開始日として、ユーザ情報記憶装置2に記憶されたユーザ情報における、新たに追加されたユーザIDに対応する契約情報に追加してもよい。また、メッセージ制御部603は、新規のモバイル端末にIPアドレスを割り当てたと判断した場合、メッセージに第1認証サーバ7のURLを含め、新規ではないモバイル端末にIPアドレスを割り当てたと判断した場合、メッセージに第1認証サーバ7のURLを含めなくてもよい。
第1認証サーバ7は、モバイル端末1に対するネットワーク提供サービスを受けるための認証処理である第1サービス認証処理および第2サービス認証処理を行う。第1認証サーバ7が行う第1サービス認証処理は、上述したようにアドレス認証処理である。図8は、第1認証サーバ7の構成例を示すブロック図である。図8に示す第1認証サーバ7は、第1認証通信部701と、第1認証部702とを有する。
第1認証通信部701は、モバイル端末1から第1サービス認証要求と、IPアドレスおよび端末固有情報とを受信する受信部である。また、第1認証通信部701は、サービスサーバ9から、モバイル端末1に対する第2サービス認証処理の実行を要求する第2サービス認証要求を受信する。第2サービス認証要求は、第2サービス認証処理の対象となるモバイル端末1とサービスサーバ9との通信を管理するためのセッション情報を含む。第2サービス認証処理はセッション認証処理と呼ばれることもある。
第1認証通信部701が第1サービス認証要求を受信した場合、第1認証部702は、第1サービス認証要求の送信元のモバイル端末1に認証情報要求を送信する。そして、第1認証通信部がIPアドレスおよび端末固有情報を受信した場合、第1認証部702は、受信した端末固有情報およびIPアドレスの組と同じ組が接続情報記憶装置3内の判定情報(または、接続情報)として記憶されているか否かを確認することで、モバイル端末1に対するアドレス認証処理を行う。このとき、第1認証部702は、同じ組が記憶されている場合、認証を成功と判断し、同じ組が記憶されていない場合、認証を失敗と判断する。また、第1認証通信部がIPアドレスのみを受信した場合、第1認証部702は、受信したIPアドレスと同じIPアドレスが接続情報記憶装置3内の判定情報(または、接続情報)として記憶されているか否かを確認することで、モバイル端末1に対するアドレス認証処理を行ってもよい。このとき、第1認証部702は、同じIPアドレスが記憶されている場合、認証を成功と判断し、同じIPアドレスが記憶されていない場合、認証を失敗と判断する。
第1認証部702は、第1サービス認証処理を行うと、第1サービス認証処理の認証結果である第1認証応答をモバイル端末1に送信する。このとき、認証が成功の場合、第1認証部702は、既定の方法を用いて、モバイル端末1とサービスサーバ9との通信を管理するための固有のセッション情報を生成し、そのセッション情報を第1認証応答に含める。そして、第1認証部702は、受信した端末固有情報と対応するユーザIDをユーザ情報記憶装置2から取得し、その取得したユーザIDと、生成したセッション情報と、現在の日時をセッション情報の生成日時として示す生成日時情報とを対応付けてセッション情報記憶装置4に記憶されたセッションDBに追加する。なお、モバイル端末1に記憶されたセッション情報は所定の削除タイミングで削除されるため、第1認証部702も、所定の無効タイミングで、セッション情報記憶装置4に記憶されたセッション情報を削除または無効化してもよい。例えば、第1認証部702は、セッション情報を記憶してから所定の時間(例えば、24時間など)が経過したタイミングや、同じモバイル端末1にセッション情報を送信したタイミングなどで、セッション情報を削除または無効化する。
第1認証通信部701が第2サービス認証要求を受信した場合、第1認証部702は、第1認証通信部701が受信した第2サービス認証要求内のセッション情報を用いて、モバイル端末1に対する第2サービス認証処理を行う。具体的には、第1認証部702は、第2サービス認証要求内のセッション情報と同じセッション情報がセッション情報記憶装置4に記憶されているか否かを確認することで、モバイル端末1に対する第2サービス認証処理を行う。このとき、第1認証部702は、同じセッション情報が記憶されている場合、第2サービス認証処理を成功と判断し、同じセッション情報が記憶されていない場合、第2サービス認証処理を失敗と判断する。なお、セッション情報に有効判定情報が対応づけられている場合、第1認証部702は、同じセッション情報が記憶され、かつ、そのセッション情報に対応付けられた有効判定情報が有効を示すと、第2サービス認証処理を成功と判断する。
第1認証部702は、第2サービス認証処理を行うと、その第2サービス認証処理の認証結果である第2認証応答をサービスサーバ9に送信する。
第2認証サーバ8は、モバイル端末1に対する第1サービス認証処理を行う。第2認証サーバ8が行う第1サービス認証処理は、上述したように非アドレス認証処理である。図9は、第2認証サーバ8の構成例を示すブロック図である。図9に示す第2認証サーバ8は、第2認証通信部801と、第2認証部802とを有する。第2認証通信部801は、モバイル端末1から第1サービス認証要求と、ユーザIDおよびパスワードとを受信する。
第2認証部802は、第1サービス認証処理として非アドレス認証処理を行う非アドレス認証部である。具体的には、第2認証通信部801が第1サービス認証要求を受信した場合、第2認証部802は、第1サービス認証要求の送信元のモバイル端末1に認証情報要求を送信する。そして、第1認証通信部がユーザIDよびパスワードを受信した場合、第2認証部802は、受信したユーザIDおよびパスワードの組と同じ組がユーザ情報記憶装置2に記憶されているか否かを確認することで、モバイル端末1に対する非アドレス認証処理を行う。このとき、第2認証部802は、同じ組が記憶されている場合、認証を成功と判断し、同じ組が記憶されていない場合、認証を失敗と判断する。
第2認証部802は、第1サービス認証処理を行うと、第1サービス認証処理の認証結果である第1認証応答をモバイル端末1に送信する。このとき、認証が成功の場合、第2認証部802は、既定の方法を用いて、モバイル端末1とサービスサーバ9との通信を管理するための固有のセッション情報を生成し、そのセッション情報を第1認証応答に含める。そして、第2認証部802は、受信したユーザIDと、生成したセッション情報と、現在の日時をセッション情報の生成日時として示す生成日時情報とを対応付けてセッション情報記憶装置4に記憶されたセッションDBに追加する。
サービスサーバ9は、モバイル端末1に対してネットワーク提供サービスを提供するサービス提供装置である。図10は、サービスサーバ9の構成例を示すブロック図である。図10に示すサービスサーバ9は、サーバ通信部901と、サービス提供部902とを有する。サーバ通信部901は、モバイル端末1からサービス要求を受信し、第1認証サーバ7から第2認証応答を受信する。
サーバ通信部901がサービス要求を受信した場合、サービス提供部902は、そのサービス要求内のセッション情報を含む第2サービス認証要求を第1認証サーバ7に送信する。
サーバ通信部901が第2認証応答を受信した場合、サービス提供部902は、その第2認証応答に応じた第2応答処理を行う。具体的には、第2認証応答が認証の成功を示す場合、サービス提供部902は、ネットワーク提供サービスをモバイル端末1に提供する。第2認証応答が認証の失敗を示す場合、サービス提供部902は、第2サービス認証処理による認証が失敗した旨のエラー情報をモバイル端末1に送信する。また、第2認証応答が認証の失敗を示す場合、サービス提供部902は、モバイル端末1の接続先を、非アドレス認証を行う第2認証サーバ8に切り替えてもよいし、モバイル端末1に対してユーザIDおよびパスワードによる第1サービス認証の実行を要求するパスワード認証要求を送信してもよい。また、サービス提供部902は、パスワード認証要求に、第2認証サーバ8のURLを含めてもよい。
次に動作を説明する。
図11は、本実施形態の通信システムの動作を説明するためのシーケンス図である。なお、以下の動作では、説明の簡略化のため、モバイル端末1によるアクセスネットワーク11および基地局12へ接続や、その接続のための認証などに係る処理の説明は省略する。
先ず、モバイル端末1の端末制御部105は、端末記憶部103から端末固有情報を取得し、その端末固有情報を含む接続認証要求を、端末通信部104、アクセスネットワーク11、基地局12およびプロバイダネットワーク13を介して、ネットワーク接続装置5に送信する(ステップS111)。
接続認証要求を送信するタイミングは、特に限定されないが、例えば、接続認証要求は、以下のようなタイミングで送信される。先ず、モバイル端末1にSIMカードが挿入され、モバイル端末1に電源が投入されると、端末制御部105は、インターネットの接続を要求する接続要求をネットワーク接続装置5に送信する。ネットワーク接続装置5の接続通信部501が接続要求を受信すると、接続制御部503は、端末固有情報を要求する識別情報要求をモバイル端末1に送信する。モバイル端末1の端末通信部104が識別情報要求を受信すると、端末制御部105は接続認証要求を送信する。
ネットワーク接続装置5の接続通信部501は、接続認証要求を受信すると、その接続認証要求を接続制御部503に送信する。接続制御部503は、接続認証要求を受信すると、接続通信部501を介してユーザ情報記憶装置2に接続する。接続制御部503は、接続認証要求内の端末固有情報と、ユーザ情報記憶装置2に記憶されているユーザ情報とに基づいて、モバイル端末1に対する接続認証処理を行う(ステップ112)。
接続制御部503は、接続認証処理の認証結果を接続応答として生成し、その接続応答を、接続通信部501、プロバイダネットワーク13、基地局12およびアクセスネットワーク11を介してモバイル端末1に送信する(ステップS113)。
このとき、接続認証処理が成功の場合、接続制御部503は、接続記憶部502に記憶されたプール情報に基づいて、モバイル端末1に対して未使用のIPアドレスのいずれかを割り当て、その割り当てたIPアドレスを接続応答に含め、さらに、モバイル端末1に割り当てたIPアドレスが割り当て済みとなるようにプール情報を更新する。また、接続制御部503は、ユーザ情報記憶装置2から接続認証要求内の端末固有情報に対応するユーザIDを取得し、そのユーザIDに対応する契約情報がIPアドレスを用いた第1サービス認証処理であるアドレス認証処理が利用可能を示す場合、そのユーザIDおよび端末固有情報と、割り当てたIPアドレスと、接続を示す状況情報とを対応付けて判定情報として接続情報記憶装置3に記憶する。さらに、接続制御部503は、取得したユーザIDと、割り当てたIPアドレスと、現在の日時を接続開始日時として示す開始日時情報とを対応付けて接続ログとして接続情報記憶装置3に記憶する。
モバイル端末1の端末通信部104は、接続応答を受信し、その接続応答を端末制御部105に送信する。端末制御部105は、接続応答を受信すると、その接続応答に応じた接続応答処理を行う(ステップS114)。例えば、接続応答が接続認証処理の失敗を示す場合、端末制御部105は、インターネット14に接続できなかった旨のエラー情報を表示部101に表示する。また、接続応答が接続認証処理の成功を示す場合、端末制御部105は、接続応答に含まれるIPアドレスを端末記憶部103に記憶する。
一方、メッセージ送信装置6のメッセージ制御部603は、メッセージ通信部601を介して接続情報記憶装置3に記憶された判定情報または接続ログを監視し、ユーザIDが新たに判定情報または接続ログに追加された場合、ネットワーク接続装置5がIPアドレスをモバイル端末1に対して新たに割り当てたと判断する。そして、メッセージ制御部603は、ユーザ情報記憶装置2にメッセージ通信部601を介して接続し、ユーザ情報記憶装置2から新たに追加されたユーザIDに対応する端末固有情報である電話番号を取得する。その後、メッセージ制御部603は、メッセージ記憶部602から第1認証サーバ7のURLを取得し、取得したURLを含むメッセージを、取得した電話番号のモバイル端末1に対して、メッセージ通信部601、プロバイダネットワーク13、基地局12およびアクセスネットワーク11を介して送信する(ステップS115)。
なお、メッセージ制御部603がメッセージを送信するタイミングは、特に限定されないが、新しいユーザIDが追加されたタイミングが望ましい。この場合、例えば、接続認証要求が上述したようにモバイル端末1に電源が投入された際に送信されると、メッセージも、モバイル端末1に電源が投入されたタイミングで送信されることになる。
モバイル端末1の端末通信部104は、メッセージを受信すると、そのメッセージを端末制御部105に送信する。端末制御部105は、メッセージを受信すると、そのメッセージを表示部101に表示する。その後、操作部102に対してメッセージ内の第1認証サーバのURLを選択する選択操作が行われると、第1サービス認証要求を、そのURLが示す第1認証サーバ7に対して、端末記憶部103内の端末通信部104、アクセスネットワーク11、基地局12およびプロバイダネットワーク13を介して送信する(ステップS116)。
第1認証サーバ7の第1認証通信部701は、第1サービス認証要求を受信すると、その第1サービス認証要求を第1認証部702に送信する。第1認証部702は、第1サービス認証要求を受信すると、IPアドレスおよび端末固有情報を認証情報として要求する認証情報要求を、第1認証通信部701、プロバイダネットワーク13、基地局12およびアクセスネットワーク11を介してモバイル端末1に送信する(ステップS117)。
モバイル端末1の端末通信部104は、認証情報要求を受信すると、その認証情報要求を端末制御部105に送信する。端末制御部105は、認証情報要求を受信すると、端末記憶部103からIPアドレスおよび端末固有情報を取得し、そのIPアドレスおよび端末固有情報を、端末通信部104、アクセスネットワーク11、基地局12およびプロバイダネットワーク13を介して、第1認証サーバ7に送信する(ステップS118)。
第1認証サーバ7の第1認証通信部701は、IPアドレスおよび端末固有情報を受信すると、そのIPアドレスおよび端末固有情報を第1認証部702に送信する。第1認証部702は、IPアドレスおよび端末固有情報を受信すると、第1認証通信部701を介して接続情報記憶装置3に接続する。そして、第1認証部702は、受信したIPアドレスおよび端末固有情報の組と同じ組が接続情報記憶装置3に判定情報(または、接続ログ)として記憶されているか否かを確認して、モバイル端末1に対する第1サービス認証処理を行う(ステップS119)。ここで、第1認証部702は、IPアドレスおよび端末固有情報を受信した際に、更に、第1認証通信部701を介してユーザ情報記憶装置2に接続し、ユーザ情報記憶装置2の契約情報にて、受信したIPアドレスおよび端末固有情報に対応するユーザIDの契約情報がIPアドレスを用いた第1サービス認証処理であるアドレス認証処理が利用可能を示すか否かも確認して、モバイル端末1に対する第1サービス認証処理を行ってもよい。
第1認証部702は、第1サービス認証処理の認証結果である第1認証応答を、第1認証通信部701、プロバイダネットワーク13、基地局12およびアクセスネットワーク11を介してモバイル端末1に送信する(ステップS120)。このとき、第1サービス認証処理が成功の場合、第1認証部702は、既定の方法にて固有のセッション情報を生成し、そのセッション情報を第1認証応答に含める。また、第1認証部702は、第1認証通信部701を介してユーザ情報記憶装置2に接続し、ユーザ情報記憶装置2から第1サービス認証要求内の端末固有情報と対応するユーザIDを取得する。そして、第1認証部702は、第1認証通信部701を介してセッション情報記憶装置4に接続し、取得したユーザIDと、生成したセッション情報と、現在の日時をセッション情報の生成日時として示す生成日時情報とを対応付けてセッション情報記憶装置4に記憶する。
モバイル端末1の端末通信部104は、第1認証応答を受信すると、その第1認証応答を端末制御部105に送信する。端末制御部105は、第1認証応答を受信すると、その第1認証応答に応じた第1応答処理を行う(ステップS121)。例えば、第1認証応答が認証の失敗を示す場合、端末制御部105は、認証が失敗した旨のエラー情報を表示部101に表示する。また、第1認証応答が認証の成功を示す場合、端末制御部105は、第1認証応答内のセッション情報を端末記憶部103に記憶する。
その後、端末制御部105は、所定のアプリケーションプログラムを用いて、端末記憶部103に記憶したセッション情報を含むサービス要求を、端末通信部104、アクセスネットワーク11、基地局12およびプロバイダネットワーク13を介して、サービスサーバ9に送信する(ステップS122)。なお、サービス要求にセッション情報が含まれていなくてもよい。この場合、サービスサーバ9のサーバ通信部901がサービス要求を受信すると、サービス提供部902は、セッション情報を要求するセッション情報要求をモバイル端末1に送信する。モバイル端末1の端末通信部104がセッション情報要求を受信すると、サービス提供部902は、セッション情報をサービスサーバ9に送信する。
サービスサーバ9のサーバ通信部901は、サービス要求を受信すると、そのサービス要求をサービス提供部902に送信する。サービス提供部902は、サービス要求を受信すると、そのサービス要求内のセッション情報を含む第2サービス認証要求を、サーバ通信部901、インターネット14およびプロバイダネットワーク13を介して第1認証サーバ7に送信する(ステップS123)
第1認証サーバ7の第1認証通信部701は、第2サービス認証要求を受信すると、その第2サービス認証要求を第1認証部702に送信する。第1認証部702は、第2サービス要求を受信すると、第1認証通信部701を介してセッション情報記憶装置4と接続する。そして、第1認証部702は、第2サービス要求内のセッション情報と同じセッション情報が有効なセッション情報としてセッション情報記憶装置4に記憶されているか否かを確認して、モバイル端末1に対する第2サービス認証処理を行う(ステップS124)。
第1認証部702は、第1サービス認証処理の認証結果である第2認証応答を、第1認証通信部701、プロバイダネットワーク13およびインターネット14を介してサービスサーバ9に送信する(ステップS125)。
サービスサーバ9のサーバ通信部901は、第2認証応答を受信すると、その第2認証応答をサービス提供部902に送信する。サービス提供部902は、第2認証応答を受信すると、その第2認証応答を確認し、その確認結果に応じた第2応答処理を行う(ステップS126)。例えば、第2サービス認証処理が成功の場合、サービス提供部902は、サービスをモバイル端末1に対して提供する(ステップS127)。一方、第2サービス認証処理が失敗の場合、サービス提供部902は、認証が失敗した旨のエラー情報をモバイル端末1に送信する。
なお、上記動作において、ユーザが第1サービス認証処理を行わずにモバイル端末1からサービスサーバ9へサービス要求を送信した場合、セッション情報記憶装置4には、そのモバイル端末1に対応するセッション情報が記憶されていないので、第2サービス認証処理は失敗する。このため、ユーザはサービスサーバ9が提供するネットワーク提供サービスを受けることはできない。そこで、エラー情報に、ユーザIDおよびパスワードによる第1サービス認証処理を行う第2認証サーバのURLを含んでもよい。また、サービス提供部902は、モバイル端末1の接続先を、第2認証サーバ8に切り替えてもよい。
以上説明した本実施形態によれば、接続情報記憶装置3は、ネットワーク接続装置5にて割り当て済みのIPアドレスを記憶する。第1認証通信部701は、モバイル端末1からそのモバイル端末に割り当てられたIPアドレスを受信する。第1認証部702は、第1認証通信部701が受信したIPアドレスと接続情報記憶装置3に記憶されたIPアドレスとを用いてモバイル端末を認証するアドレス認証処理を行う。このため、ネットワークの接続時に割り当てられるIPアドレスを用いた認証が可能となるため、利用者はIDとパスワードが付与されたことを認識していなくても、認証を行い、ネットワーク提供サービスを利用することが可能になる。したがって、認証の利便性を向上させることが可能になる。
(第2の実施形態)
本実施形態では、第1認証サーバ7の第1認証部702は、IPアドレスを用いたアドレス認証処理を所定の無効タイミングで無効化し、その後は、第1サービス認証処理として、第2認証サーバ8の第2認証部802が行う非アドレス認証処理のみが有効となる。
無効タイミングは、例えば、契約日や利用開始日などの所定の時点から所定の期間(例えば、30日間)が経過したタイミングである。この場合、例えば、第1認証サーバ7では、第1認証通信部701が第1サービス認証要求を受信すると、第1認証部702が以下のようにアドレス認証処理が無効か否かを判断する。つまり、第1認証部702は、ユーザ情報記憶装置2に記憶されたユーザ情報において、モバイル端末1から受信した端末固有情報に対応する契約情報が示す契約日または利用開始日を確認し、その日から所定の期間が経過したか否かを判断する。第1認証サーバ7は、所定の期間が経過していない場合、アドレス認証処理が有効とし、所定の期間が経過した場合、アドレス認証処理が無効とする。
また、契約情報はアドレス認証処理が有効か否かをさらに示してもよい。この場合、第1認証部702は、第1認証通信部701が第1サービス認証要求を受信すると、契約情報がアドレス認証処理の有効を示すか否かを確認し、アドレス認証処理が有効な場合、上記のように契約情報が示す契約日または利用開始日を確認してアドレス認証処理が有効か否かを判断し、アドレス認証処理が無効であると判断すると、契約情報をアドレス認証処理の無効を示すように更新する。また、ユーザ情報記憶装置2に記憶されたユーザ情報において、契約情報とは別に、アドレス認証処理が有効か否かを示す情報が、ユーザIDと対応付けられていてもよい。
また、無効タイミングは、上記の例に限らない。例えば、無効タイミングは、第1認証サーバ7やサービスサーバ9などの管理者などがアドレス認証処理の無効を設定したタイミングでもよい。管理者などがアドレス認証処理の無効を設定するタイミングとしては、管理者がユーザからモバイル端末1の紛失の連絡を受けたタイミング、会員証をユーザに郵送したタイミング、アドレス認証処理に関する契約が解約または終了したタイミングなどが挙げられる。
アドレス認証処理を無効にした場合、第1認証部702は、例えば、ユーザIDおよびパスワードによる第1サービス認証処理の実行を要求するパスワード認証要求をモバイル端末1に送信する。パスワード認証要求は、ユーザIDおよびパスワードによる第1サービス認証処理を行う第2認証サーバのURLを含んでもよい。また、第1認証部702は、モバイル端末1の接続先を、第2認証サーバ8に切り替えてもよい。
本実施形態によれば、必要な期間だけアドレス認証処理を行うことが可能になるため、認証の利便性をさらに向上させることが可能になる。
以上説明した各実施形態において、図示した構成は単なる一例であって、本発明はその構成に限定されるものではない。
例えば、各実施形態で説明した通信システム内の各装置の機能は、その機能を実現するためのプログラムを、コンピュータにて読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ実行させることで、実現されてもよい。
また、モバイル端末1の代わりに、デスクトップ型PCのような家庭などに設置される情報処理装置が使用されてもよいし、アクセスネットワーク11および基地局12の代わりに、ADSL(Asymmetric Digital Subscriber Line)網や光回線網などの有線ネットワークが使用されてもよい。
また、ユーザ情報記憶装置2、接続情報記憶装置3、セッション情報記憶装置4、ネットワーク接続装置5、メッセージ送信装置6、第1認証サーバ7、第2認証サーバ8およびサービスサーバ9のそれぞれの一部または全てが一体化されていてもよい。例えば、ネットワーク接続装置5およびメッセージ送信装置6が一体化されてもよいし、第1認証サーバ7および第2認証サーバ7が一体化されてもよいし、接続情報記憶装置3およびセッション情報記憶装置4が一体化されてもよい。このとき、判定情報およびセッションDBは同じデータテーブルで構成されてもよい。