Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4357165B2 - Service provision system based on network connection authentication - Google Patents
[go: Go Back, main page]

JP4357165B2 - Service provision system based on network connection authentication - Google Patents

Service provision system based on network connection authentication Download PDF

Info

Publication number
JP4357165B2
JP4357165B2 JP2002299745A JP2002299745A JP4357165B2 JP 4357165 B2 JP4357165 B2 JP 4357165B2 JP 2002299745 A JP2002299745 A JP 2002299745A JP 2002299745 A JP2002299745 A JP 2002299745A JP 4357165 B2 JP4357165 B2 JP 4357165B2
Authority
JP
Japan
Prior art keywords
service
user terminal
authentication
server
internet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002299745A
Other languages
Japanese (ja)
Other versions
JP2004133823A (en
Inventor
和彦 長田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2002299745A priority Critical patent/JP4357165B2/en
Publication of JP2004133823A publication Critical patent/JP2004133823A/en
Application granted granted Critical
Publication of JP4357165B2 publication Critical patent/JP4357165B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
この発明は、インタネットに接続する際に必須となるインタネット接続用の認証を行えば、ユーザは各種サービスサーバヘの接続に対し、認証を省略可能とするシングルサインオンサービス、システムに関する。
【0002】
【従来の技術】
従来技術に基づくサービス提供システムを図2に示す。ゲートウェイ7は、ユーザ端末2がインタネット1に接続するための接続点に置かれ、ユーザ端末2からのインタネット接続認証のためのネットワーク認証51に対する処理を行う。ゲートウェイ7は、認証が成功すれば、以後、ユーザ端末2から送出されるパケットをインタネット1に転送し、また、インタネット1につながる他の端末やサーバからユーザ端末2に送られるパケットをユーザ端末2に転送する。サービスサーバ4、5および6はさまざまなサービス情報を蓄積しており、ユーザはユーザ端末2を通じて、各サービスサーバから欲しいサービス情報を取得する。会員のみに提供されるサービス情報については、ユーザは認証確認サーバ103にて認証を行い、認証が成功したことを踏まえ、該サービス情報を取得可能となる。このときユーザは本来ならば、サービスサーバ4、5および6毎に認証を行う必要があるが、近年、シングルサインオンという技術により、認証確認サーバ103に一度認証を行えば、サービスサーバ4、5および6毎の認証を省略することが可能となった。これによりユーザは、サービスサーバ毎の複数の認証パスワードを記憶する必要がなくなるとともに、サービス情報の取得の度に必要であったパスワード入力が1度で済むようになった。
【0003】
以下に、従来のシングルサインオン技術の動作概要を説明する。ユーザ端末2は、前述のネットワーク認証51が成功すると、認証確認サーバ103に対し認証153を行う。認証とは例えばユーザのアカウント名およびパスワードの照合が上げられ、認証確認サーバ103は、ユーザ端末2からアカウント名およびパスワードとを受信すると、登録されているアカウント名およびパスワードとの比較を行う。認証が成功した場合、認証確認サーバ103は認証応答154をユーザ端末2に返送する。この後、ユーザ端末2は例えばサービスサーバ4に対しサービス情報を享受したい場合に、サービスサーバ4にサービス要求155を送る。サービスサーバ4はサービス要求155を受信すると、認証確認サーバ103に対し認証確認156を送信する。認証確認156の意味は、認証確認サーバ103は該ユーザが認証済みか否かを一元管理しており、各サービスサーバは認証確認サーバ103に認証確認156を行うことにより、認証済みか否かを知ることができるためである。認証確認156を受信すると、認証確認サーバ103は、ユーザ端末2は既に認証済みであるため、認証済みの通知157をサービスサーバ4に返送する。サービスサーバ4は認証済みであることの確認がとれると、要求されたサービス情報をユーザ端末2に対し送付する。さらにこの後、ユーザ端末2がサービスサーバ5に対しサービス情報を享受したい場合も、前述のようにユーザ端末2とサービスサーバ5との間でサービス要求155とサービス情報158のやりとりが、認証確認サーバ103とサービスサーバ5との間で認証確認156と認証済みの通知157のやりとりが行われる。
なお、ユーザ端末2が認証確認サーバ103に対して認証153を行わずに、サービスサーバ4に対しサービス要求155を送出した場合は、認証確認サーバ103は認証確認156の応答として、認証未処理の通知157をサービスサーバ4に返送する。この結果、サービスサーバ4はユーザ端末2に対してサービス情報の送付は実施しない。
【0004】
従来のシングルサインオン技術に関する記載がある文献としては例えば非特許文献1がある。
【0005】
【非特許文献1】
Liberty Alliance Project, "Liberty Bindings and Profiles Specification, Version 1.0", 11 July 2002、[平成14年10月3日検索]、インターネット<http://www.projectliberty.org/specs/liberty-architecture-bindings-and-profiles-v1.0.pdf>
【0006】
【発明が解決しようとする課題】
ネットワーク認証51を除く、以上の動作シーケンスは全て、従来の技術では例えばHTTPを用い行われる。HTTPはIP(Internet Protocol)やTCP(Transmission Control Protocol)の上位レイヤに位置する。すなわち、上記認証もIPより上位レイヤで行う処理であり、通常、インタネット接続開始時に必要となるPPP(Point to Point Protocol)の認証のようなネットワーク認証51とは区別される。これによってユーザ端末2は、ネットワーク認証と従来のシングルサインオンの認証の2種類の認証を行う必要がある。
【0007】
【課題を解決するための手段】
本出願は、前記2種類の認証を1つの認証に統一する、すなわち、インタネット接続開始時のネットワーク認証によりシングルサインオンを実現することを目的とするものである。本解決手段を図1を用い、以下に説明する。
【0008】
ゲートウェイ7は、ユーザ端末2がインタネット1に接続するための接続点に置かれ、ユーザ端末2からのインタネット接続認証のためのネットワーク認証51に対する処理を行う。ゲートウェイ7は、認証が成功すれば、以後、ユーザ端末2から送出されるパケットをインタネット1に転送し、また、インタネット1につながる他の端末やサーバからユーザ端末2に送られるパケットをユーザ端末2に転送する。
【0009】
ゲートウェイ7は、ネットワーク認証51における認証結果であるネットワーク認証結果52を、認証確認サーバ3に転送する。ネットワーク認証結果52が成功である場合、認証確認サーバ3は、ユーザ端末2を通じて認証を行ったユーザが認証済みであることを一元管理する。
【0010】
この後、ユーザ端末2は例えばサービスサーバ4に対しサービス情報を享受したい場合に、サービスサーバ4にサービス要求55を送る。サービスサーバ4はサービス要求55を受信すると、認証確認サーバ3に対し認証確認56を送信する。認証確認56を受信すると、認証確認サーバ3は、ユーザ端末2は既に認証済みであるため、認証済みの通知57をサービスサーバ4に返送する。サービスサーバ4は認証済みであることの確認がとれると、要求されたサービス情報をユーザ端末2に対し送付する。
【0011】
さらにこの後、ユーザ端末2がサービスサーバ5に対しサービス情報を享受したい場合も、前述のようにユーザ端末2とサービスサーバ5との間でサービス要求55とサービス情報58のやりとりが、認証確認サーバ3とサービスサーバ5との間で認証確認56と認証済みの通知57のやりとりが行われる。
【0012】
すなわち本手段は、サービスサーバにとって従来技術と全く同じ動作を維持しつつ、ネットワーク認証51の1回の認証のみでシングルサインオンを実現する。
【0013】
【発明の実施の形態】
本発明の実施形態に基づくサービス提供システムを図1に示す。
【0014】
ゲートウェイ7は、ユーザ端末2がインタネット1に接続するための接続点に置かれ、ユーザ端末2からのインタネット接続認証のためのネットワーク認証51に対する処理を行う。ゲートウェイ7は、認証が成功すれば、以後、ユーザ端末2から送出されるパケットをインタネット1に転送し、また、インタネット1につながる他の端末やサーバからユーザ端末2に送られるパケットをユーザ端末2に転送する。
【0015】
ゲートウェイ7は、ネットワーク認証51における認証結果であるネットワーク認証結果52を、認証確認サーバ3に転送する。ネットワーク認証結果52が成功である場合、認証確認サーバ3は、ユーザ端末2を通じて認証を行ったユーザが認証済みであることを一元管理する。
【0016】
ここで、ネットワーク認証結果52は、認証成功の場合にのみゲートウェイ7から認証確認サーバ3に転送され、これによって認証確認サーバ3は、ユーザ端末2を通じて認証を行ったユーザが認証済みであることを一元管理する方法を用いてもよい。
【0017】
この後、ユーザ端末2は例えばサービスサーバ4に対しサービス情報を享受したい場合に、サービスサーバ4にサービス要求55を送る。サービスサーバ4はサービス要求55を受信すると、認証確認サーバ3に対し認証確認56を送信する。認証確認56を受信すると、認証確認サーバ3は、ユーザ端末2は既に認証済みであるため、認証済みの通知57をサービスサーバ4に返送する。サービスサーバ4は認証済みであることの確認がとれると、要求されたサービス情報をユーザ端末2に対し送付する。
【0018】
さらにこの後、ユーザ端末2がサービスサーバ5に対しサービス情報を享受したい場合も、前述のようにユーザ端末2とサービスサーバ5との間でサービス要求55とサービス情報58のやりとりが、認証確認サーバ103とサービスサーバ5との間で認証確認56と認証済みの通知57のやりとりが行われる。
【0019】
ここでユーザ端末2が元々サービスサーバ6との接続が許可されていない場合に、ユーザ端末2がサービスサーバ6からサービス要求を行ったときの動作について言及する。認証確認サーバ3は、ユーザ端末2が接続してよいサービスサーバとしてサービスサーバ4および5を管理している。ユーザ端末2からのサービス要求に伴い、サービスサーバ6から送られる認証確認を認証確認サーバ3が受信すると、ユーザ端末2はサービスサーバ6への接続が許可されていないため、認証確認サーバ3はサービスサーバ6に認証未処理であることを通知する。これによって契約外のユーザ端末2がサービスサーバ6からサービス情報を不当に取得することを防ぐことができる。
【0020】
次に、ユーザ端末2が取得した各サービス情報が有料であり、この課金管理を認証確認サーバ3が行う場合の処理について図3を用い説明する。前述のサービスサーバ4からユーザ端末2にサービス情報58が送付された後、サービスサーバ4は認証確認サーバ3に対し、サービス情報取得の履歴情報61を送信する。これを受けると認証確認サーバ3は、図4に示す内部の履歴情報管理部12にてユーザ端末2を利用するユーザがサービス情報58を取得したことを管理する。さらに課金情報管理部13にて、該ユーザがサービス情報取得したことにより課せられる料金情報を管理する。また、認証確認サーバ3は、サービス情報取得の履歴情報61を受け取ったことを通知するために、履歴情報受信通知62をサービスサーバ4に返送する。
【0021】
なお、認証確認サーバ3は、前記料金情報に基づき、サービスサーバあるいはサービス情報を保有するサービス事業者の代わりに、該ユーザに対し料金徴収を行う課金代行サーバを備えてもよい。
【0022】
また、認証確認サーバ3とゲートウェイ7は一体化した場合や、認証確認サーバ3とサービスサーバ4ないし6のうちいずれか1つと一体化した場合も、本実施形態を逸脱しないことを追記する。
【0023】
また、本実施形態は、ネットワーク認証51をRADIUS認証とし、サービス要求55、認証確認56、認証済みあるいは認証未処理の通知57、サービス情報58、サービス情報取得の履歴情報61および履歴情報受信通知62をHTTPにより転送する場合にも適用することができ、現在実用化されている技術にも応用することが可能である。
【0024】
また、前述の動作シーケンスに追加し、図5に示すように、従来技術ではユーザ端末2と認証確認サーバ3との間で確認53および確認応答54がやりとりされる場合もある。この場合においてもネットワーク認証52の位置づけ、動作概要は前述と同様であり、確認53および確認応答54の有無に関わらず、本発明が適用できる。
【0025】
また、以上の説明では、ネットワーク認証51は、ユーザ端末2を利用しているユーザを特定するための認証として説明したが、ユーザ端末2自身を特定するための認証としても、動作概要は基本的に変わらないことを追記する。
【0026】
さらに本発明は、
(1)認証確認サーバを所有するサービス事業者と、サービスサーバを所有するサービス事業者とが異なる形態、また、
(2)ゲートウェイを所有するサービス事業者と、サービスサーバを所有するサービス事業者とが異なる形態、また、
(3)認証確認サーバおよびゲートウェイを所有するサービス事業者と、サービスサーバを所有するサービス事業者とが異なる形態、また、
(4)認証確認サーバ、ゲートウェイ、およびインタネットを構成するネットワークを所有するサービス事業者と、サービスサーバを所有するサービス事業者とが異なる形態、また、
(5)認証確認サーバを所有するサービス事業者と、ゲートウェイを所有するサービス事業者とが異なる形態、
などにも適用されうることは言うまでもない。
【0027】
以上、本発明者によってなされた発明を、前記実施の形態に基づき具体的に説明したが、本発明は、前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【0028】
【発明の効果】
本発明のサービス提供システムは、ネットワーク認証51の1回の認証のみでシングルサインオンを実現する。また、本発明のサービスサーバと認証確認サーバ間のシーケンスおよびサービスサーバとユーザ端末間のシーケンスは従来技術と同様であるため、従来技術から本発明技術に移行する場合に、サービスサーバの変更が伴わない利点がある。
【図面の簡単な説明】
【図1】本発明の実施形態のサービス提供システムを示す図である。
【図2】従来技術に基づくサービス提供システムを示す図である。
【図3】本発明の実施形態の課金管理処理を示す図である。
【図4】本発明の実施形態の認証確認サーバの内部構造を示す図である。
【図5】本発明の実施形態のユーザ端末と認証確認サーバとの間で通信が行われる場合のサービス提供システムを示す図である。
【符号の説明】
1…インタネット、2…ユーザ端末、3、103…認証確認サーバ、4〜6…サービスサーバ、7…ゲートウェイ、11…認証状況管理部、12…履歴情報管理部、13…課金情報管理部、52…ネットワーク認証結果、53…確認、54…確認応答、55、155…サービス要求、56、156…認証確認、57、157…認証済みあるいは認証未処理の通知、58、158…サービス情報、61…サービス情報取得の履歴情報、62…履歴情報受信通知、153…認証、154…認証応答。
[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a single sign-on service and system that allow a user to omit authentication for connection to various service servers if authentication for Internet connection, which is essential when connecting to the Internet, is performed.
[0002]
[Prior art]
A service providing system based on the prior art is shown in FIG. The gateway 7 is placed at a connection point for the user terminal 2 to connect to the Internet 1 and performs processing for the network authentication 51 for Internet connection authentication from the user terminal 2. If the authentication is successful, the gateway 7 subsequently forwards packets sent from the user terminal 2 to the Internet 1 and sends packets sent to the user terminal 2 from other terminals or servers connected to the Internet 1 to the user terminal 2. Forward to. The service servers 4, 5 and 6 store various service information, and the user acquires desired service information from each service server through the user terminal 2. With respect to service information provided only to members, the user authenticates at the authentication confirmation server 103, and the service information can be acquired based on the successful authentication. At this time, the user originally needs to authenticate each of the service servers 4, 5, and 6. However, in recent years, once the authentication confirmation server 103 is authenticated by the technique of single sign-on, the service servers 4, 5, and 5 are authenticated. And it became possible to omit authentication every 6th. This eliminates the need for the user to memorize a plurality of authentication passwords for each service server, and allows only one password entry that is required every time service information is acquired.
[0003]
Below, the operation | movement outline | summary of the conventional single sign-on technique is demonstrated. When the above-described network authentication 51 is successful, the user terminal 2 performs authentication 153 with respect to the authentication confirmation server 103. Authentication includes, for example, verification of a user's account name and password. When the authentication confirmation server 103 receives the account name and password from the user terminal 2, the authentication confirmation server 103 compares it with the registered account name and password. If the authentication is successful, the authentication confirmation server 103 returns an authentication response 154 to the user terminal 2. Thereafter, the user terminal 2 sends a service request 155 to the service server 4 when the service information is desired to be received by the service server 4, for example. When the service server 4 receives the service request 155, the service server 4 transmits an authentication confirmation 156 to the authentication confirmation server 103. The authentication confirmation 156 means that the authentication confirmation server 103 centrally manages whether or not the user has been authenticated, and each service server performs authentication confirmation 156 on the authentication confirmation server 103 to determine whether or not the user has been authenticated. It is because it can know. Upon receiving the authentication confirmation 156, the authentication confirmation server 103 returns an authenticated notification 157 to the service server 4 because the user terminal 2 has already been authenticated. When it is confirmed that the service server 4 has been authenticated, the service server 4 sends the requested service information to the user terminal 2. Further, when the user terminal 2 wants to receive service information from the service server 5 thereafter, the exchange of the service request 155 and the service information 158 between the user terminal 2 and the service server 5 as described above is performed by the authentication confirmation server. An authentication confirmation 156 and an authenticated notification 157 are exchanged between the server 103 and the service server 5.
If the user terminal 2 sends a service request 155 to the service server 4 without performing the authentication 153 with respect to the authentication confirmation server 103, the authentication confirmation server 103 responds to the authentication confirmation 156 as an unauthenticated process. The notification 157 is returned to the service server 4. As a result, the service server 4 does not send service information to the user terminal 2.
[0004]
Non-patent document 1, for example, is a document that describes the conventional single sign-on technology.
[0005]
[Non-Patent Document 1]
Liberty Alliance Project, "Liberty Bindings and Profiles Specification, Version 1.0", 11 July 2002, [Search October 3, 2002], Internet <http://www.projectliberty.org/specs/liberty-architecture-bindings- and-profiles-v1.0.pdf>
[0006]
[Problems to be solved by the invention]
All the above operation sequences except for the network authentication 51 are performed using, for example, HTTP in the conventional technique. HTTP is located in an upper layer of IP (Internet Protocol) and TCP (Transmission Control Protocol). That is, the above-described authentication is also a process performed at a higher layer than IP, and is usually distinguished from network authentication 51 such as PPP (Point to Point Protocol) authentication that is required at the start of Internet connection. As a result, the user terminal 2 needs to perform two types of authentication: network authentication and conventional single sign-on authentication.
[0007]
[Means for Solving the Problems]
The purpose of this application is to unify the two types of authentication into one authentication, that is, to realize single sign-on by network authentication at the start of Internet connection. This solving means will be described below with reference to FIG.
[0008]
The gateway 7 is placed at a connection point for the user terminal 2 to connect to the Internet 1, and performs processing for the network authentication 51 for Internet connection authentication from the user terminal 2. If the authentication is successful, the gateway 7 subsequently forwards packets sent from the user terminal 2 to the Internet 1 and sends packets sent to the user terminal 2 from other terminals or servers connected to the Internet 1 to the user terminal 2. Forward to.
[0009]
The gateway 7 transfers the network authentication result 52 which is the authentication result in the network authentication 51 to the authentication confirmation server 3. When the network authentication result 52 is successful, the authentication confirmation server 3 centrally manages that the user who has authenticated through the user terminal 2 has been authenticated.
[0010]
Thereafter, the user terminal 2 sends a service request 55 to the service server 4 when the service information is desired to be received by the service server 4, for example. When the service server 4 receives the service request 55, the service server 4 transmits an authentication confirmation 56 to the authentication confirmation server 3. Upon receiving the authentication confirmation 56, the authentication confirmation server 3 returns an authenticated notification 57 to the service server 4 because the user terminal 2 has already been authenticated. When it is confirmed that the service server 4 has been authenticated, the service server 4 sends the requested service information to the user terminal 2.
[0011]
Further, when the user terminal 2 wants to receive service information from the service server 5 thereafter, the exchange of the service request 55 and the service information 58 between the user terminal 2 and the service server 5 as described above is performed by the authentication confirmation server. 3 and the service server 5 exchange authentication confirmation 56 and authenticated notification 57.
[0012]
That is, this means realizes single sign-on with only one authentication of the network authentication 51 while maintaining the same operation as that of the prior art for the service server.
[0013]
DETAILED DESCRIPTION OF THE INVENTION
A service providing system based on an embodiment of the present invention is shown in FIG.
[0014]
The gateway 7 is placed at a connection point for the user terminal 2 to connect to the Internet 1 and performs processing for the network authentication 51 for Internet connection authentication from the user terminal 2. If the authentication is successful, the gateway 7 subsequently forwards packets sent from the user terminal 2 to the Internet 1 and sends packets sent to the user terminal 2 from other terminals or servers connected to the Internet 1 to the user terminal 2. Forward to.
[0015]
The gateway 7 transfers the network authentication result 52 which is the authentication result in the network authentication 51 to the authentication confirmation server 3. When the network authentication result 52 is successful, the authentication confirmation server 3 centrally manages that the user who has authenticated through the user terminal 2 has been authenticated.
[0016]
Here, the network authentication result 52 is transferred from the gateway 7 to the authentication confirmation server 3 only when the authentication is successful, whereby the authentication confirmation server 3 confirms that the user who has authenticated through the user terminal 2 has been authenticated. A centralized management method may be used.
[0017]
Thereafter, the user terminal 2 sends a service request 55 to the service server 4 when the service information is desired to be received by the service server 4, for example. When the service server 4 receives the service request 55, the service server 4 transmits an authentication confirmation 56 to the authentication confirmation server 3. Upon receiving the authentication confirmation 56, the authentication confirmation server 3 returns an authenticated notification 57 to the service server 4 because the user terminal 2 has already been authenticated. When it is confirmed that the service server 4 has been authenticated, the service server 4 sends the requested service information to the user terminal 2.
[0018]
Further, when the user terminal 2 wants to receive service information from the service server 5 thereafter, the exchange of the service request 55 and the service information 58 between the user terminal 2 and the service server 5 as described above is performed by the authentication confirmation server. An authentication confirmation 56 and an authenticated notification 57 are exchanged between the server 103 and the service server 5.
[0019]
Here, the operation when the user terminal 2 makes a service request from the service server 6 when the user terminal 2 is originally not permitted to connect to the service server 6 will be described. The authentication confirmation server 3 manages service servers 4 and 5 as service servers to which the user terminal 2 may connect. When the authentication confirmation server 3 receives an authentication confirmation sent from the service server 6 in response to a service request from the user terminal 2, the user terminal 2 is not permitted to connect to the service server 6, so the authentication confirmation server 3 The server 6 is notified that the authentication has not been processed. As a result, it is possible to prevent the user terminal 2 outside the contract from obtaining service information from the service server 6 illegally.
[0020]
Next, processing when each service information acquired by the user terminal 2 is charged and this authentication management is performed by the authentication confirmation server 3 will be described with reference to FIG. After the service information 58 is sent from the service server 4 to the user terminal 2, the service server 4 transmits service information acquisition history information 61 to the authentication confirmation server 3. Upon receiving this, the authentication confirmation server 3 manages that the user using the user terminal 2 has acquired the service information 58 in the internal history information management unit 12 shown in FIG. Further, the billing information management unit 13 manages fee information imposed when the user acquires service information. Further, the authentication confirmation server 3 returns a history information reception notification 62 to the service server 4 in order to notify that the service information acquisition history information 61 has been received.
[0021]
Note that the authentication confirmation server 3 may include a charging agent server that collects charges for the user based on the fee information, instead of the service server or the service provider holding the service information.
[0022]
Further, it is added that the present embodiment does not depart from the present embodiment even when the authentication confirmation server 3 and the gateway 7 are integrated, or when the authentication confirmation server 3 and the service servers 4 to 6 are integrated.
[0023]
In the present embodiment, the network authentication 51 is RADIUS authentication, the service request 55, the authentication confirmation 56, the authenticated or unauthenticated notification 57, the service information 58, the service information acquisition history information 61, and the history information reception notification 62. Can also be applied to the case of transferring by HTTP, and can also be applied to a technique that is currently in practical use.
[0024]
In addition to the above-described operation sequence, as shown in FIG. 5, in the conventional technique, a confirmation 53 and a confirmation response 54 may be exchanged between the user terminal 2 and the authentication confirmation server 3. Also in this case, the positioning of the network authentication 52 and the outline of the operation are the same as described above, and the present invention can be applied regardless of the presence or absence of the confirmation 53 and the confirmation response 54.
[0025]
In the above description, the network authentication 51 has been described as authentication for specifying the user who uses the user terminal 2, but the operation outline is basically basic for authentication for specifying the user terminal 2 itself. I added that it does not change to.
[0026]
Furthermore, the present invention provides
(1) The service provider that owns the authentication confirmation server is different from the service provider that owns the service server,
(2) A form in which the service provider that owns the gateway and the service provider that owns the service server are different,
(3) The service provider that owns the authentication confirmation server and gateway is different from the service provider that owns the service server, and
(4) A form in which the service provider that owns the authentication confirmation server, the gateway, and the network constituting the Internet is different from the service provider that owns the service server,
(5) A form in which the service provider that owns the authentication confirmation server is different from the service provider that owns the gateway,
Needless to say, the present invention can also be applied.
[0027]
Although the invention made by the present inventor has been specifically described based on the above-described embodiment, the present invention is not limited to the above-described embodiment, and various modifications can be made without departing from the scope of the invention. Of course.
[0028]
【The invention's effect】
The service providing system of the present invention realizes single sign-on with only one authentication of the network authentication 51. In addition, since the sequence between the service server and the authentication confirmation server and the sequence between the service server and the user terminal according to the present invention are the same as those in the prior art, a change of the service server accompanies the transition from the prior art to the present technology. There are no advantages.
[Brief description of the drawings]
FIG. 1 is a diagram showing a service providing system according to an embodiment of the present invention.
FIG. 2 is a diagram showing a service providing system based on a conventional technique.
FIG. 3 is a diagram showing billing management processing according to the embodiment of the present invention.
FIG. 4 is a diagram showing an internal structure of an authentication confirmation server according to the embodiment of this invention.
FIG. 5 is a diagram showing a service providing system when communication is performed between a user terminal and an authentication confirmation server according to an embodiment of the present invention.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 ... Internet, 2 ... User terminal, 3, 103 ... Authentication confirmation server, 4-6 ... Service server, 7 ... Gateway, 11 ... Authentication status management part, 12 ... History information management part, 13 ... Billing information management part, 52 ... network authentication result, 53 ... confirmation, 54 ... confirmation response, 55, 155 ... service request, 56, 156 ... authentication confirmation, 57, 157 ... authenticated or unauthenticated notification, 58, 158 ... service information, 61 ... Service information acquisition history information, 62 ... History information reception notification, 153 ... Authentication, 154 ... Authentication response.

Claims (10)

ユーザ端末がインタネットに接続するための接続点に置かれ、
前記ユーザ端末がインタネットに接続するためのネットワーク認証を行う手段と、
該ユーザ端末のネットワーク認証が成功した場合に該ユーザ端末から送出されるパケットをインタネットに転送することを許可する手段と
を具備するゲートウェイと、
前記ユーザ端末からインタネットを介してサービス要求パケットを受信し、その応答としてユーザ端末にインタネットを介してサービス情報を載せたサービス情報パケットを返送する手段を具備する1つまたは複数のサービスサーバと、
前記ゲートウェイからインタネットを介して前記ネットワーク認証結果を受信する手段と、
前記サービスサーバからインタネットを介して該ユーザ端末が既にネットワーク認証済みであるかを確認する認証確認を受信し、その応答として、前記ネットワーク認証結果が成功の場合は、サービスサーバに認証済みであることをインタネットを介して通知し、前記ネットワーク認証結果が不成功の場合は、サービスサーバに認証未処理であることをインタネットを介して通知する手段と、
を具備する認証確認サーバと、
を備え、
前記サービスサーバからの該ユーザ端末が既に認証済みであるかを確認する認証確認、およびその応答はHTTP(Hypertext Transfer Protocol)であることを特徴とするサービス提供システム。
The user terminal is placed at the connection point for connecting to the Internet,
It means for performing a network authentication for the user terminal is connected to the Internet,
Means for permitting transfer of a packet transmitted from the user terminal to the Internet when network authentication of the user terminal is successful ;
A gateway comprising:
Receiving said service from a user terminal via the Internet request packet, and one or more service servers comprise means for returning the service information packet which carries the service information via the Internet to the user terminal as a response,
Means for receiving the network authentication result from the gateway via the Internet ;
An authentication confirmation for confirming whether the user terminal has already been network- authenticated is received from the service server via the Internet , and if the network authentication result is successful as a response, the service server is authenticated to the service server notified through the Internet that, if the network authentication result is unsuccessful, means for notifying via the Internet as an authentication untreated to the service server,
An authentication confirmation server comprising :
With
An authentication confirmation for confirming whether or not the user terminal has already been authenticated from the service server, and the response is HTTP (Hypertext Transfer Protocol) .
前記ネットワーク認証結果は、認証成功の場合にのみ前記ゲートウェイから転送され、前記認証確認サーバがこれを受信することを特徴とする請求項1記載のサービス提供システム。  The service providing system according to claim 1, wherein the network authentication result is transferred from the gateway only when the authentication is successful, and the authentication confirmation server receives the network authentication result. 前記認証確認サーバは、
各ユーザまたは各ユーザ端末が接続してよいサービスサーバ、または各ユーザまたは各ユーザ端末が取得してよいサービス情報を管理し、
前記サービスサーバから該ユーザ端末が既に認証済みであるかを確認する認証確認を受信し、前記ネットワーク認証結果が成功の場合において、該ユーザ端末が該サービスサーバに接続してよいまたはサービス情報を取得してよい場合には、前記サービスサーバに認証済みであることを通知し、該ユーザ端末が該サービスサーバヘの接続が許可されていないまたはサービス情報の取得が許可されていない場合には、前記サービスサーバに認証未処理であることを通知する手段を具備することを特徴とする請求項1または2記載のサービス提供システム。
The authentication confirmation server
Manage service servers to which each user or each user terminal can connect, or service information that each user or each user terminal can acquire,
An authentication confirmation for confirming whether the user terminal has already been authenticated is received from the service server, and when the network authentication result is successful, the user terminal may connect to the service server or obtain service information If the user terminal is not permitted to connect to the service server or is not permitted to obtain service information, the service server is notified that the service server has been authenticated. 3. The service providing system according to claim 1, further comprising means for notifying the service server that authentication has not been performed.
前記サービスサーバは、前記認証確認サーバより認証済みであることを通知された場合、前記ユーザ端末に対しサービス情報パケットを返送し、前記認証確認サーバより認証未処理であることを通知された場合、前記ユーザ端末に対しサービス情報パケットの転送を拒否することを特徴とする請求項1、2または3記載のサービス提供システム。  When the service server is notified that the authentication is confirmed by the authentication confirmation server, the service server returns a service information packet to the user terminal, and when the authentication confirmation server is notified that the authentication is not processed. 4. The service providing system according to claim 1, wherein the service information packet is refused to be transferred to the user terminal. 前記ユーザ端末がネットワークに接続するためのネットワーク認証は、前記ユーザ端末を利用するユーザを特定するための認証であることを特徴とする請求項1、2、3または4記載のサービス提供システム。  5. The service providing system according to claim 1, wherein the network authentication for connecting the user terminal to the network is authentication for specifying a user who uses the user terminal. 前記ユーザ端末がネットワークに接続するためのネットワーク認証は、前記ユーザ端末を特定するための認証であることを特徴とする請求項1、2、3または4記載のサービス提供システム。  5. The service providing system according to claim 1, wherein the network authentication for connecting the user terminal to a network is authentication for specifying the user terminal. 前記サービスサーバは前記サービス情報パケットを前記ユーザ端末に返送したときに、該サービス情報を該ユーザ端末に転送したことを前記認証確認サーバに通知する手段を具備し、
前記認証確認サーバは、前記サービスサーバより受信する該サービス情報を該ユーザ端末に転送したことの通知に基づき、該ユーザまたは該ユーザ端末のサービス情報取得履歴を管理する手段を具備することを特徴とする請求項1ないし6のいずれか1項記載のサービス提供システム。
The service server comprises means for notifying the authentication confirmation server that the service information has been transferred to the user terminal when the service information packet is returned to the user terminal;
The authentication confirmation server includes means for managing service information acquisition history of the user or the user terminal based on a notification that the service information received from the service server has been transferred to the user terminal. The service providing system according to any one of claims 1 to 6.
前記認証確認サーバは、前記該ユーザまたは該ユーザ端末のサービス情報取得履歴を管理する手段に基づき、該ユーザまたは該ユーザ端末がサービス情報取得したことにより課せられる料金情報を管理する手段を具備することを特徴とする請求項7記載のサービス提供システム。  The authentication confirmation server includes means for managing fee information imposed when the user or the user terminal acquires service information based on means for managing service information acquisition history of the user or the user terminal. The service providing system according to claim 7. 前記認証確認サーバが管理する前記料金情報に基づき、サービスサーバまたはサービス情報を保有するサービス事業者の代わりに、該ユーザまたは該ユーザ端末所有者に対し料金徴収を行う課金代行サーバを備える請求項8記載のサービス提供システム。  9. A charging agent server that collects charges for the user or the user terminal owner instead of a service server or a service provider holding service information based on the fee information managed by the authentication confirmation server. The service provision system described. ユーザ端末がインタネットに接続するための接続点に置かれ、
ユーザ端末がインタネットに接続するためのネットワーク認証を行う手段と、
該ユーザ端末のネットワーク認証が成功した場合に該ユーザ端末から送出されるパケットをインタネットに転送することを許可する手段と、
を具備するゲートウェイと、
前記ゲートウェイからインタネットを介して前記ネットワーク認証結果を受信する手段と、
前記ユーザ端末からインタネットを介してサービス要求パケットを受信しその応答として該ユーザ端末にインタネットを介してサービス情報を載せたサービス情報パケットを返送する手段を具備する1つまたは複数のサービスサーバから、インタネットを介して該ユーザ端末が既にネットワーク認証済みであるかを確認する認証確認を受信し、その応答として、前記ネットワーク認証結果が成功の場合は、該サービスサーバに認証済みであることをインタネットを介して通知し、前記ネットワーク認証結果が不成功の場合は、該サービスサーバに認証未処理であることをインタネットを介して通知する手段と、
を具備する認証確認サーバと、
を備え、
前記サービスサーバからの該ユーザ端末が既に認証済みであるかを確認する認証確認、およびその応答はHTTP(Hypertext Transfer Protocol)であることを特徴とするゲートウェイおよび認証確認サーバからなるシステム。
The user terminal is placed at the connection point for connecting to the Internet,
Means for performing network authentication for the user terminal to connect to the Internet;
Means for permitting transfer of a packet transmitted from the user terminal to the Internet when network authentication of the user terminal is successful;
A gateway comprising:
Means for receiving the network authentication result from the gateway via the Internet;
One or more service servers comprising means for receiving a service request packet from the user terminal via the Internet and returning a service information packet carrying service information to the user terminal via the Internet as a response Via the Internet, an authentication confirmation is received to confirm whether the user terminal has already been network-authenticated, and if the network authentication result is successful as a response, the service server is authenticated via the Internet. And if the network authentication result is unsuccessful, means for notifying the service server that authentication has not been processed via the Internet,
An authentication confirmation server comprising:
With
An authentication confirmation for confirming whether or not the user terminal has already been authenticated from the service server, and the response is HTTP (Hypertext Transfer Protocol), a system comprising a gateway and an authentication confirmation server .
JP2002299745A 2002-10-15 2002-10-15 Service provision system based on network connection authentication Expired - Fee Related JP4357165B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002299745A JP4357165B2 (en) 2002-10-15 2002-10-15 Service provision system based on network connection authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002299745A JP4357165B2 (en) 2002-10-15 2002-10-15 Service provision system based on network connection authentication

Publications (2)

Publication Number Publication Date
JP2004133823A JP2004133823A (en) 2004-04-30
JP4357165B2 true JP4357165B2 (en) 2009-11-04

Family

ID=32288797

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002299745A Expired - Fee Related JP4357165B2 (en) 2002-10-15 2002-10-15 Service provision system based on network connection authentication

Country Status (1)

Country Link
JP (1) JP4357165B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8775586B2 (en) * 2005-09-29 2014-07-08 Avaya Inc. Granting privileges and sharing resources in a telecommunications system
JP2008040960A (en) * 2006-08-09 2008-02-21 Toppan Printing Co Ltd Personal authentication system and personal authentication method
JP6266049B1 (en) * 2016-07-25 2018-01-24 三井情報株式会社 Information processing system, information processing method, information processing apparatus, and program

Also Published As

Publication number Publication date
JP2004133823A (en) 2004-04-30

Similar Documents

Publication Publication Date Title
JP4291213B2 (en) Authentication method, authentication system, authentication proxy server, network access authentication server, program, and recording medium
US7665129B2 (en) Method and system for managing access authorization for a user in a local administrative domain when the user connects to an IP network
JP4713338B2 (en) Method and apparatus for enabling re-authentication in a cellular communication system
US9113332B2 (en) Method and device for managing authentication of a user
EP3526947B1 (en) Improvements in and relating to network communication
US20060195893A1 (en) Apparatus and method for a single sign-on authentication through a non-trusted access network
JP2006148648A5 (en)
CN100517291C (en) On demand session provisioning of IP flows
EP2355439A1 (en) Accessing restricted services
JP3973961B2 (en) Wireless network connection system, terminal device, remote access server, and authentication function device
WO2018045798A1 (en) Network authentication method and related device
EP1705869B1 (en) Method and apparatus for locating mobile device users within a wireless computer network
CA2995394A1 (en) System of device authentication
JP4377120B2 (en) Service provision system based on remote access authentication
CN102905263A (en) Method and device for enabling third generation (3G) user to safely access to network
CN112311766B (en) Method and device for acquiring user certificate and terminal equipment
JP4357165B2 (en) Service provision system based on network connection authentication
JP2009217722A (en) Authentication processing system, authentication device, management device, authentication processing method, authentication processing program and management processing program
JP5260467B2 (en) Access control system and access control method
CN101568116B (en) Method for obtaining certificate state information and certificate state management system
US20090113522A1 (en) Method for Translating an Authentication Protocol
JP6155237B2 (en) Network system and terminal registration method
AU2006235867A1 (en) Network system, proxy server, session management method, and program
CN101742507B (en) System and method for accessing Web application site for WAPI terminal
WO2015100874A1 (en) Home gateway access management method and system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050422

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080620

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080701

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080828

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090804

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090804

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120814

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees