专利名称:认证方法、终端装置、中继装置以及认证服务器的制作方法
技术领域:
本发明涉及一种对于终端装置的用户进行用户认证处理的认证方法,在这样的方法中使用的终端装置、中继装置以及认证服务器。
背景技术:
目前,在WLAN中作为隐藏用户ID同时进行用户认证处理的认证方法,公知EAP-TTLS方式。
EAP-TTLS方式中,在终端装置和认证服务器之间构筑安全隧道,该终端装置通过构筑的安全隧道向有关认证服务器发送用户ID。
但是,在EAP-TTLS方式中,存在构筑安全隧道的步骤冗长的问题。
为解决这样的问题,作为不构筑安全隧道进行用户认证处理的方式,考虑EAP-AKA方式。参照图15简单说明这样的EAP-AKA方式。
如图15所示,在初次的用户认证处理中,在步骤S1001,终端装置100向认证设备(中继装置)200A发送包含用户ID的认证信息,在步骤S1002,认证设备200A向认证服务器300A转发该认证信息。
在步骤S1003,认证服务器300A根据接收的认证信息,进行对于终端装置100的用户的用户认证处理,其后,生成该终端装置100的用户用的临时ID(临时用户ID)。
在步骤S1004,认证服务器300A把该临时ID通知认证设备200A,在步骤S1005,认证设备200A向终端装置100通知该临时ID。
并且,在认证服务器300A中,根据包含由终端装置100发送的临时ID的认证信息进行第二次及以后的用户认证处理。
但是,使用现有EAP-AKA方式的用户认证处理,在由多个认证服务器实现的场合,因为各认证服务器不掌握由所有认证服务器发布的用户ID和临时ID的对应关系,所以存在不能很好地发挥功能的问题。
参照图15具体说明这样的问题。
在步骤S1006,终端装置100向认证设备200A发送包含由认证服务器300A发布的临时ID的认证信息,在步骤S1007,认证设备200A向认证服务器300B转发该认证信息。
在这样的情况下,在步骤S1008,认证服务器300B,因为不管理在接收的认证信息中包含的临时ID和用户ID的对应关系,因此根据这样的认证信息,不能对于终端装置100的用户进行用户认证处理。
因此,在步骤S1009,认证服务器300B将表示该意思的认证结果(NG)通知认证设备200A,在步骤S1010,认证设备200A把这样的认证结果(NG)通知终端装置100。
其结果,在步骤S1011直到S1015,终端装置100不得不再次通过进行初次用户认证处理来得到由认证服务器300B发布的临时ID。
此外,在存在多个认证服务器300的场合,终端装置100得到由所有认证服务器300发布的临时ID,需要对每一进行用户认证处理的认证服务器分别使用临时ID。
发明内容
本发明鉴于上述问题提出,其目的是提供在由多个认证服务器进行用户认证处理的网络中,即使终端装置不得到多个临时ID分别使用,也能实现安全的用户认证处理的认证方法、在这样的方法中使用的终端装置、中继装置以及认证服务器。
本发明的第一特征是进行对于终端装置的用户的用户认证处理的方法,其特征在于包括上述终端装置向中继装置发送包含用户ID的第一认证信息的步骤;上述中继装置把上述第一认证信息向与上述用户ID对应的认证服务器转发的步骤;上述认证服务器根据上述第一认证信息进行对于上述终端装置的用户的用户认证处理的步骤;上述认证服务器发布上述终端装置的用户用的临时ID、向上述中继装置发送为识别该认证服务器的认证服务器ID以及该临时ID的步骤;上述中继装置向上述终端装置通知上述临时ID以及上述认证服务器ID的步骤;上述终端装置向上述中继装置发送包含上述临时ID以及上述认证服务器ID的第二认证信息的步骤;上述中继装置根据在上述第二认证信息中包含的上述认证服务器ID向该认证服务器发送包含上述临时ID的第三认证信息的步骤;上述认证服务器根据上述第三认证信息进行对于上述终端装置的用户的用户认证处理的步骤。
本发明的第二特征是由通过认证服务器进行用户认证处理的用户利用的终端装置,其特征在于包括对中继装置发送包含用户ID的第一认证信息的第一认证信息发送部;对由通过上述中继装置接收上述第一认证信息的上述认证服务器发布的临时ID进行存储的临时ID存储部;对上述中继装置发送包含上述临时ID和用于识别上述认证服务器的认证服务器ID的第二认证信息的第二认证信息发送部。
本发明的第三特征是向认证服务器转发从终端装置发送的认证信息的中继装置,其特征在于包括在从上述终端装置接收包含用户ID的第一认证信息的场合,对与该用户ID对应的上述认证服务器转发该第一认证信息的第一认证信息发送部;在接收包含上述临时ID和上述认证服务器ID的第二认证信息的场合,对通过上述认证服务器ID识别的认证服务器发送包含该临时ID的第三认证信息的第三认证信息发送部。
本发明的第四特征是进行对于终端装置的用户的用户认证处理的认证服务器,其特征在于包括在接收包含从上述终端装置发送的用户ID的第一认证信息的场合,根据上述第一认证信息进行对于上述终端装置的用户的用户认证处理的第一认证信息处理部;生成上述终端装置的用户用的临时ID并通知上述终端装置的临时ID生成部;在接收包含从上述终端装置发送的上述临时ID的第三认证信息的场合,根据上述第三认证信息进行对于上述终端装置的用户的用户认证处理的第三认证信息处理部。
如上所述,根据本发明,在通过多个认证服务器进行用户认证处理的网络中,能够提供即使终端装置不得到多个临时ID分别使用,也能实现安全的用户认证处理的认证方法、在这样的方法中使用的终端装置、中继装置以及认证服务器。
根据本发明,例如在考虑负荷分散等设置多个认证服务器的网络或者跨接多个通信运营商构成的网络等的、分散进行用户认证处理的网络中,能够不暴露用户ID,安全地进行用户认证处理,能够防止用户的位置隐私的侵害。
图1是涉及本发明的第一实施方式的认证系统的整体结构图。
图2是涉及本发明的第一实施方式的认证系统中的终端装置的功能框图。
图3是涉及本发明的第一实施方式的认证系统中的认证设备的功能框图。
图4是涉及本发明的第一实施方式的认证系统中的认证服务器的功能框图。
图5是表示涉及本发明的第一实施方式的认证系统中的用户认证处理的序列图。
图6是涉及本发明的第二实施方式的认证系统的整体结构图。
图7是表示涉及本发明的第二实施方式的认证系统中的用户认证处理的序列图。
图8是涉及本发明的第三实施方式的认证系统的整体结构图。
图9是表示涉及本发明的第三实施方式的认证系统中的认证代理服务器的功能框图。
图10是表示涉及本发明的第三实施方式的认证系统中的用户认证处理的序列图。
图11是涉及本发明的第四实施方式的认证系统的整体结构图。
图12是表示涉及本发明的第四实施方式的认证系统中的用户认证处理的序列图。
图13是涉及本发明的第五实施方式的认证系统的整体结构图。
图14是表示涉及本发明的第五实施方式的认证系统中的用户认证处理的序列图。
图15是表示涉及现有技术的认证系统中的用户认证处理的序列图。
具体实施例方式
(涉及本发明的第一实施方式的认证系统)参照图1至图5,说明涉及本实施方式的第一实施方式的认证系统。
如图1所示,涉及本实施方式的认证系统包括终端装置100、认证设备200A、由多个认证服务器300A到300C构成的通信运营商的网络3。
涉及本实施方式的认证系统中,构成通信运营商的网络3的多个认证服务器300A到300C的任何一个进行对终端装置100的用户的用户认证处理。
另外,涉及本实施方式的认证系统中,终端装置100通过无线LAN连接认证设备200A,认证设备200A连接到通信运营商的网络3内的全部认证服务器300A到300C。
如图2所示,终端装置100包括用户ID存储部101、临时ID表存储部102、认证信息发送部103、认证结果接收部104。在本实施方式中,作为终端装置100使用便携通信终端。
用户ID存储部101存储用于识别终端装置100的用户的用户ID。例如,作为用户ID,可以使用便携电话号码等。
临时ID表存储部102存储由通过认证设备200A接收第一认证信息(后述)的认证服务器300发布的临时ID。
具体说,临时ID表存储部102存储将“临时ID”和“认证服务器ID”对应的临时ID表。
这里,“临时ID”是为隐藏用户ID、由进行对终端装置100的用户的初次用户认证处理的认证服务器发布的临时的用户ID。
另外,“认证服务器ID”是用于识别发布该临时ID的认证服务器的识别信息。例如,作为认证服务器ID,可以使用认证服务器的URL等。
认证信息发送部103在初次用户认证处理时对于认证设备200A发送包含用户ID的第一认证信息。
另外,认证信息发送部103,在第二次和以后的用户认证处理时,对于认证设备200A,参照临时ID表存储部102,发送包含有关临时ID以及认证服务器ID的第二认证信息。
这里,第二次和以后的用户认证处理时,例如包含密钥更新时或者位置登录时等周期的用户认证处理时、或者服务连接时或发送时的不定期的用户认证处理时等。
认证结果接收部104,通过认证设备200A接收从认证服务器300接收的认证结果。认证结果接收部104也可以根据在接收的认证结果中包含的临时ID来更新在临时ID表存储部102内的临时ID表。
如图3所示,认证设备200A包括认证信息接收部201、用户ID表存储部202、认证服务器ID表存储部203、认证信息转发部204、认证结果接收部205、和认证结果转发部206。此外,在本实施方式中,认证设备200A起向认证服务器300A到300C中任何一个转发从终端装置100发送的认证信息的中继装置的作用。
认证信息接收部201从终端装置100接收包含用户ID的第一认证信息、或者包含临时ID以及认证服务器ID的第二认证信息。
用户ID表存储部202存储将“用户ID”和“认证服务器ID”对应的用户ID表。亦即用户ID表存储部202根据用户ID表管理进行对于各用户的初次用户认证处理的认证服务器300A到300C。
认证服务器ID表存储部203,如图1所示,存储将“认证服务器ID”和“地址”对应的认证服务器ID表2。“地址”表示认证服务器的地址。例如表示认证服务器的IP地址。
此外,通过未在认证服务器ID表2内存储的认证服务器ID识别的认证服务器300的地址设定为“default(默认)”网关的地址(在图1的例子中、“aaa.aaa.aaa.aaa”)。
认证信息转发部204,在从终端装置100接收包含用户ID的第一认证信息的场合,对与该用户ID对应的认证服务器300转发该第一认证信息。
具体说,认证信息转发部204,在接收包含用户ID的第一认证信息的场合,参照用户ID表以及认证服务器ID表2,将该第一认证信息转发给与该用户ID对应的认证服务器300的地址。
另外,认证信息转发部204,在接收包含临时ID以及认证服务器ID的第二认证信息的场合,参照认证服务器ID表2,对通过该认证服务器ID识别的认证服务器300,发送包含该临时ID的第三认证信息。
具体说,认证信息转发部204,在接收包含临时ID以及认证服务器ID的第二认证信息的场合,参照认证服务器ID表2,把接收的第二认证信息作为第三认证信息原样转发给与该认证服务器ID对应的地址,也可以生成至少包含该临时ID的新的第三认证信息并转发。
另外,认证信息转发部204,在不能发现与在接收的第一认证信息中包含的用户ID对应的认证服务器300的地址、或者与在接收的第二认证信息中包含的认证服务器ID对应的地址的场合,也可以向default网关发送第一认证信息或者第三认证信息。
认证结果接收部205从认证服务器300接收表示对于终端装置100的用户的用户认证处理的结果的认证结果,以及新生成的临时ID。
认证结果转发部206向终端装置100通知从认证服务器300接收的认证结果以及临时ID。
如图4所示,认证服务器300包括认证信息接收部301、认证处理部302、临时ID生成部303、和认证结果发送部304。
认证信息接收部301,通过认证设备200A接收从终端装置发送的第一认证信息以及第三认证信息。
认证处理部302,根据由认证信息接收部301接收的第一认证信息或者第三认证信息,进行对于终端装置100的用户的用户认证处理。
具体说,认证处理部302,认证根据在第一认证信息中包含的用户ID识别的用户是否是正规的用户,另外,认证根据在第三认证信息中包含的临时ID识别的用户是否是正规的用户。
临时ID生成部303生成终端装置100的用户用的临时ID。具体说,临时ID生成部303,在完成初次的用户认证处理时,随机生成终端装置100的用户用的临时ID。另外,临时ID生成部303,在完成第二次或以后的用户认证处理时,随机生成终端装置100的用户用的新的临时ID。
认证结果发送部304,通过认证设备200A向终端装置100通知表示由认证处理部302进行的用户认证处理的结果的认证结果、连同由临时ID生成部303生成的临时ID以及用于识别该认证服务器300的认证服务器ID。
下面,参照图5,对涉及本实施方式的认证系统中的用户认证处理进行说明。
如图5所示,在步骤S101,希望初次用户认证处理的终端装置100,因为尚未分配临时ID,所以向认证设备200A发送包含用户ID的第一认证信息。
在步骤S102,认证设备200A,参照用户ID表以及认证服务器ID表2,向与在接收的第一认证信息中包含的用户ID对应的认证服务器300A转发该第一认证信息。
在步骤S103,认证服务器300A,根据接收的第一认证信息进行对于终端装置100的用户的用户认证处理。然后,认证服务器300A随机生成终端装置100的用户用的临时ID。
在步骤S104,认证服务器300A向认证设备200A发送表示对于终端装置100的用户的用户认证处理成功的意思的认证结果,连同生成的临时ID以及用于识别该认证服务器300A的认证服务器ID。
在步骤S105,认证设备200A向终端装置100通知接收的认证结果和临时ID和认证服务器ID。
在步骤S106,希望第二次和以后的用户认证处理的终端装置100向认证设备200A发送包含临时ID以及认证服务器ID的第二认证信息。
在步骤S107,认证设备200A,参照认证服务器ID表2,根据在接收的第二认证信息中包含的认证服务器ID,向认证服务器300A发送包含该临时ID的第三认证信息。
在步骤S108,认证服务器300A,根据接收的第三认证信息,进行对终端装置100的用户的用户认证处理。然后,认证服务器300A随机生成终端装置100的用户用的新的临时ID。
在步骤S109,认证服务器300A,向认证设备200A发送表示对于终端装置100的用户的用户认证处理成功的意思的认证结果,连同生成的临时ID以及用于识别该认证服务器300A的认证服务器ID。
在步骤S110,认证设备200A向终端装置100通知接收的认证结果和临时ID和认证服务器ID。
根据涉及本实施方式的认证系统,即使在考虑负荷分散通过多个认证服务器300A到300C进行对于终端装置100的用户的用户认证处理的网络中,在使用临时ID的方式中,也可以隐藏用户ID。
(涉及本发明的第二实施方式的认证系统)参照图6以及图7,关于涉及本实施方式的第二实施方式的认证系统,着眼于和上述涉及第一实施方式的认证系统的不同点进行说明。
如图6所示,关于在本实施方式中通过终端装置100的移动、该终端装置100从与认证设备200A通信的状态转移到和认证设备200B通信的状态的情况的例子进行说明。
此外,在本实施方式中,认证设备200A以及200B两者都连接到通信运营商的网络3内的全部认证服务器300A到300C上。
另外,在本实施方式中,认证设备200A以及200B两者互相就认证服务器ID表2的更新内容定期地交换。
下面,参照图7,说明涉及本实施方式的认证系统中的用户认证处理。
如图7所示,在步骤S201处于在和认证设备200A间通信状态的终端装置100在步骤S202通过移动在步骤S203确立和认证设备200B间通信。
此外,终端装置100,通过认证设备200A进行初次的用户认证处理,通过认证服务器300A已经发布终端装置100的用户用的临时ID。
在步骤S204,处于在和认证设备200B间通信状态的终端装置100向认证设备200B发送包含临时ID以及认证服务器ID的第二认证信息。
在步骤S205,认证设备200B参照认证服务器ID表2,根据在接收的第二认证信息中包含的认证服务器ID向认证服务器300A发送包含该临时ID的第三认证信息。
在步骤S206,认证服务器300A根据接收的第三认证信息进行对终端装置100的用户的用户认证处理。然后,认证服务器300A随机生成终端装置100的用户用的新的临时ID。
在步骤S207,认证服务器300A向认证设备200A发送表示对终端装置100的用户的用户认证处理成功的意思的认证结果,连同生成的临时ID以及用于识别该认证服务器300A的认证服务器ID。
在步骤S208,认证设备200B向终端装置100通知接收的认证结果和临时ID和认证服务器ID。
根据涉及本实施方式的认证系统,即使在向不同的认证设备200B的新连接时,也不要通知用户ID而通过通知临时ID,可以进行用户认证处理。
(涉及本发明的第三实施方式的认证系统)参照图8到图10,关于涉及本实施方式的第三实施方式的认证系统,着眼于和上述涉及第一实施方式的认证系统的不同点进行说明。
如图8所示,在通信运营商的网络3内,在多个认证服务器300A到300C之外,设置认证代理服务器400A。
认证代理服务器400A,对于认证设备200A,是起作为多个认证服务器300A到300C的代表的作用的代理服务器。认证代理服务器400A连接认证设备200A和多个认证服务器300A到300C。
具体说,如图9所示,认证代理服务器400A包括认证信息接收部401、用户ID表存储部402、认证服务器ID表存储部403、认证信息转发部404、认证结果接收部405、和认证结果转发部406。此外,本实施方式中,认证代理服务器400A起作为向认证服务器300A到300C中任何一个转发从终端装置100发送的认证信息的中继装置的作用。
这里,认证代理服务器400A的各功能401到406和图3所示的认证设备200A的各功能201到206相同。
下面,参照图10,说明涉及本实施方式的认证系统中的用户认证处理。
如图10所示,在步骤S301,希望初次用户认证处理的终端装置100,因为尚未分配临时ID,所以向认证设备200A发送包含用户ID的第一认证信息。
在步骤S302,认证设备200A,对于连接自身的认证代理服务器400A转发接收的第一认证信息。此外,认证设备200A,在连接多个认证代理服务器400的场合,也可以对于以规定方式选择的认证代理服务器400转发接收的第一认证信息。
在步骤S303,认证代理服务器400A,参照用户ID表以及认证服务器ID表2,向与在接收的第一认证信息中包含的用户ID对应的认证服务器300A,转发该第一认证信息。
在步骤S304,认证服务器300A,根据接收的第一认证信息,进行对于终端装置100的用户的用户认证处理。然后,认证服务器300A随机生成终端装置100的用户用的临时ID。
在步骤S305,认证服务器300A向认证代理服务器400A发送表示对终端装置100的用户的用户认证处理成功的意思的认证结果,连同生成的临时ID以及用于识别该认证服务器300A的认证服务器ID。
在步骤S306,认证代理服务器400A向认证设备200A通知接收的认证结果和临时ID和认证服务器ID,在步骤S307,认证设备200A向终端装置100通知接收的认证结果和临时ID和认证服务器ID。
在步骤S308,希望第二次或以后的用户认证处理的终端装置100向认证设备200A发送包含临时ID以及认证服务器ID的第二认证信息。
在步骤S309,认证设备200A对于连接自身的认证代理服务器400A转发接收的第二认证信息。
在步骤S310,认证代理服务器400A参照认证服务器ID表2,根据在接收的第二认证信息中包含的认证服务器ID,向认证服务器300A发送包含该临时ID的第三认证信息。
在步骤S311,认证服务器300A根据接收的第三认证信息进行对终端装置100的用户的用户认证处理。然后,认证服务器300A随机生成终端装置100的用户用的新的临时ID。
在步骤S312,认证服务器300A向认证代理服务器400A发送表示对终端装置100的用户的用户认证处理成功的意思的认证结果,连同生成的临时ID以及用于识别该认证服务器300A的认证服务器ID。
在步骤S313,认证代理服务器400A向认证设备200A通知接收的认证结果和临时ID和认证服务器ID,在步骤S314,认证设备200A向终端装置100通知接收的认证结果和临时ID和认证服务器ID。
(涉及本发明的第四实施方式的认证系统)参照图11以及图12,关于涉及本实施方式的第四实施方式的认证系统,着眼于和上述涉及第三实施方式的认证系统的不同点进行说明。
如图11所示,说明在本实施方式中,通过终端装置100的移动,该终端装置100从和认证设备200A通信的状态转移到和认证设备200B通信的状态的情况的例子。
此外,在本实施方式中,在通信运营商的网络3内,在连接认证设备200A的认证代理服务器400A之外,设置连接在认证设备200B上的认证代理服务器400B。然后,认证代理服务器400A以及400B两者都连接在通信运营商的网络3内的全部认证服务器300A到300C上。
另外,在本实施方式中,认证代理服务器400A以及400B两者互相就认证服务器表2的更新内容定期地交换。
下面参照图12说明涉及本实施方式的认证系统中的用户认证处理。
如图12所示,在步骤S401,处于和认证设备200A间通信状态的终端装置100在步骤S402通过移动在步骤S403确立和认证设备200B间通信。
此外,终端装置100,通过认证设备200A进行初次用户认证处理,通过认证服务器300A,已经发布终端装置100的用户用的临时ID。
在步骤S404,处于和认证设备200B间的通信状态的终端装置100向认证设备200B发送包含临时ID以及认证服务器ID的第二认证信息。
在步骤S405,认证设备200B对于连接自身的认证代理服务器400B转发接收的第二认证信息。此外,认证设备200B,在连接多个认证代理服务器400的场合,也可以对以规定方式选择的认证代理服务器400转发接收的第二认证信息。
在步骤S406,认证代理服务器400B,参照认证服务器ID表2,根据在接收的第二认证信息中包含的认证服务器ID,向认证服务器300A发送包含该认证服务器ID的第三认证信息。
在步骤S407,认证服务器300A根据接收的第三认证信息进行对终端装置100的用户的用户认证处理。然后,认证服务器300A随机生成终端装置100的用户用的新的临时ID。
在步骤S408,认证服务器300A向认证代理服务器400B发送表示对终端装置100的用户的用户认证处理成功的意思的认证结果,连同生成的临时ID以及用于识别该认证服务器300A的认证服务器ID。
在步骤S409,认证代理服务器400B向认证设备200B通知接收的认证结果和临时ID和认证服务器ID,在步骤S410,认证设备200B向终端装置100通知接收的认证结果和临时ID和认证服务器ID。
(涉及本发明的第五实施方式的认证系统)参照图13以及图14,关于涉及本实施方式的第五实施方式的认证系统,着眼于和上述涉及第四实施方式的认证系统的不同点进行说明。
如图13所示,说明在本实施方式中,通过终端装置100的移动,该终端装置100从和认证设备200A通信的状态转移到和认证设备200C通信的状态的情况的例子。此外,涉及本实施方式的认证系统通过多个通信运营商A以及B实现。
具体说,通信运营商A的网络3A包括多个认证服务器300A到300C、和认证代理服务器400A,通信运营商B的网络3B包括多个认证服务器300D等、和认证代理服务器400C。
这里,通信运营商A的网络3A以及通信运营商B的网络3B通过互相的网关连接,能够互相提供漫游服务。
此外,在本实施方式中,认证代理服务器400A和400C两者互相就认证服务器ID表2的更新内容定期地交换。
下面参照图14,说明涉及本实施方式的认证系统中的用户认证处理。
如图14所示,在步骤S501,处于和连接在通信运营商A的网络3A内的认证代理服务器400A的认证设备200A间通信状态的终端装置100,在步骤S502通过移动,在步骤S503确立和连接在通信运营商B的网络3B内的认证代理服务器400C的认证设备200C间通信。
此外,终端装置100,通过认证设备200A进行初次用户认证处理,通过认证服务器300A,已经发布终端装置100的用户用的临时ID。
在步骤S504,处于和认证设备200C间的通信状态的终端装置100向认证设备200C发送包含临时ID以及认证服务器ID的第二认证信息。
在步骤S505,认证设备200C对于连接自身的认证代理服务器400C转发接收的第二认证信息。此外,认证设备200C,在连接通信运营商B的网络3B内的多个认证代理服务器400的场合,也可以对以规定方式选择的认证代理服务器400转发接收的第二认证信息。
在步骤S506,认证代理服务器400C,参照认证服务器ID表2,根据在接收的第二认证信息中包含的认证服务器ID,向认证服务器300A发送包含该认证服务器ID的第三认证信息。
具体说,认证代理服务器400C,对通信运营商A的网络3A内的网关转发发往认证服务器300A的第三认证信息,亦即通过利用漫游服务,向认证服务器300A转发第三认证信息。
在步骤S507,认证服务器300A根据接收的第三认证信息进行对终端装置100的用户的用户认证处理。然后,认证服务器300A随机生成终端装置100的用户用的新的临时ID。
在步骤S508,认证服务器300A向认证代理服务器400C发送表示对终端装置100的用户的用户认证处理成功的意思的认证结果,连同生成的临时ID以及用于识别该认证服务器300A的认证服务器ID。
具体说,认证服务器300A,对于通信运营商B的网络3B内的网关转发发往认证代理服务器400C的信息(认证结果,临时ID以及认证服务器ID),亦即通过利用漫游服务,向认证代理服务器400C转发信息(认证结果,临时ID以及认证服务器ID)。
在步骤S509,认证代理服务器400C向认证设备200C通知接收的认证结果和临时ID和认证服务器ID,在步骤S510,认证设备200C向终端装置100通知接收的认证结果和临时ID和认证服务器ID。
权利要求
1.一种认证方法,其用于进行对于终端装置的用户的用户认证处理,其特征在于,包括上述终端装置向中继装置发送包含用户ID的第一认证信息的步骤;上述中继装置把上述第一认证信息向与上述用户ID对应的认证服务器转发的步骤;上述认证服务器根据上述第一认证信息进行对于上述终端装置的用户的用户认证处理的步骤;上述认证服务器发布上述终端装置的用户用的临时ID、向上述中继装置发送用于识别该认证服务器的认证服务器ID以及该临时ID的步骤;上述中继装置向上述终端装置通知上述临时ID以及上述认证服务器ID的步骤;上述终端装置向上述中继装置发送包含上述临时ID以及上述认证服务器ID的第二认证信息的步骤;上述中继装置根据在上述第二认证信息中包含的上述认证服务器ID向该认证服务器发送包含上述临时ID的第三认证信息的步骤;和上述认证服务器根据上述第三认证信息进行对于上述终端装置的用户的用户认证处理的步骤。
2.一种终端装置,其由通过认证服务器进行用户认证处理的用户利用,其特征在于,包括第一认证信息发送部,对中继装置发送包含用户ID的第一认证信息;临时ID存储部,对由通过上述中继装置接收上述第一认证信息的上述认证服务器发布的临时ID进行存储;和第二认证信息发送部,对上述中继装置发送包含上述临时ID和用于识别上述认证服务器的认证服务器ID的第二认证信息。
3.一种中继装置,其用于向认证服务器转发从终端装置发送的认证信息,其特征在于,包括第一认证信息发送部,在从上述终端装置接收包含用户ID的第一认证信息的场合,对与该用户ID对应的上述认证服务器转发该第一认证信息;第三认证信息发送部,在接收包含上述临时ID和上述认证服务器ID的第二认证信息的场合,对通过上述认证服务器ID识别的认证服务器发送包含该临时ID的第三认证信息。
4.认证服务器,其用于进行对于终端装置的用户的用户认证处理,其特征在于,包括第一认证信息处理部,在接收包含从上述终端装置发送的用户ID的第一认证信息的场合,根据上述第一认证信息进行对于上述终端装置的用户的用户认证处理;临时ID生成部,生成上述终端装置的用户用的临时ID并通知上述终端装置;第三认证信息处理部,在接收包含从上述终端装置发送的上述临时ID的第三认证信息的场合,根据上述第三认证信息进行对于上述终端装置的用户的用户认证处理。
全文摘要
在通过多个认证服务器进行用户认证处理的网络中,即使终端装置不得到多个临时ID分别使用也能实现安全的用户认证处理。涉及本发明的终端装置包括对于中继装置(200A)发送包含用户ID的第一认证信息的第一认证信息发送部(103);对由通过中继装置(200A)接收第一认证信息的认证服务器(300A)发布的临时ID进行存储的临时ID存储部(102);和对于中继装置(200A)发送包含临时ID以及用于识别认证服务器的认证服务器ID的第二认证信息的第二认证信息发送部(103)。
文档编号H04L9/32GK1716856SQ20051007978
公开日2006年1月4日 申请日期2005年6月28日 优先权日2004年6月28日
发明者佐藤笃, 野口胜广, 青野博, 大附克亘 申请人:株式会社Ntt都科摩