特開 2019-20902 認証サーバ、認証コアシステム、認証システム及び認証方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公開特許公報(A)

(11)【公開番号】特開2019-20902(P2019-20902A)

(43)【公開日】2019年2月7日

(54)【発明の名称】認証サーバ、認証コアシステム、認証システム及び認証方法

(51)【国際特許分類】

   G06F 21/33 20130101AFI20190111BHJP

   H04L 9/32 20060101ALI20190111BHJP

   G06F 21/44 20130101ALI20190111BHJP

   H04W 12/06 20090101ALI20190111BHJP

   H04W 8/20 20090101ALI20190111BHJP

【ＦＩ】

   G06F21/33

   H04L9/00 673A

   G06F21/44

   H04W12/06

   H04W8/20

【審査請求】未請求

【請求項の数】7

【出願形態】ＯＬ

【全頁数】9

(21)【出願番号】特願2017-137094(P2017-137094)

(22)【出願日】2017年7月13日

(71)【出願人】

【識別番号】516290748

【氏名又は名称】株式会社ＬＴＥ−Ｘ

(74)【代理人】

【識別番号】110002000

【氏名又は名称】特許業務法人栄光特許事務所

(72)【発明者】

【氏名】江副 浩

(72)【発明者】

【氏名】伊藤 可久

【テーマコード（参考）】

5J104

5K067

【Ｆターム（参考）】

5J104AA07

5J104AA16

5J104EA20

5J104KA01

5J104KA21

5J104NA05

5J104NA38

5J104PA02

5K067AA30

5K067BB21

5K067EE02

5K067HH22

(57)【要約】

【課題】平易な操作ながらも、安全性が高く通信処理の負担を抑制し得る認証技術を提供する。
【解決手段】認証サーバは、アプリケーションサーバへのアクセスを要求する第１の端末に第１のトークンを送信し、ＬＴＥ通信が可能な第２の端末から発信され、ＥＰＣを経由して送信された第２のトークンを受信し、第１のトークンと第２のトークンが一致するか否かを判定し、第１のトークンと第２のトークンが一致する場合に、ＥＰＣから第２の端末に関するＬＴＥ通信の利用者を特定するＬＴＥ利用者情報を取得し、ＬＴＥ利用者情報が、アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている情報か否かを判定し、ＬＴＥ利用者情報が、アプリケーション利用者情報のデータベースへのログインが許可されている場合、アプリケーションサーバに対し、第１の端末からのアクセス要求を許可するログイン許可を送信する。
【選択図】図２

【特許請求の範囲】

【請求項1】

認証サーバであって、
アプリケーションサーバへのアクセスを要求する第１の端末に第１のトークンを送信し、
ＬＴＥ通信が可能な第２の端末から発信され、ＥＰＣを経由して送信された第２のトークンを受信し、
前記第１のトークンと前記第２のトークンが一致するか否かを判定し、
前記第１のトークンと前記第２のトークンが一致する場合に、前記ＥＰＣから前記第２の端末に関するＬＴＥ通信の利用者を特定するＬＴＥ利用者情報を取得し、
前記ＬＴＥ利用者情報が、前記アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている情報か否かを判定し、
前記ＬＴＥ利用者情報が、前記アプリケーション利用者情報のデータベースへのログインが許可されている情報である場合、前記アプリケーションサーバに対し、前記第１の端末からのアクセス要求を許可するログイン許可を送信する、
認証サーバ。

【請求項2】

請求項１に記載の認証サーバと、前記ＥＰＣとを含む認証コアシステム。

【請求項3】

請求項２に記載の認証コアシステムであって、
前記認証サーバは、前記第２の端末のＩＰアドレスを前記ＥＰＣに送信し、
前記ＥＰＣは、前記ＩＰアドレスに対応した前記ＬＴＥ利用者情報が、当該ＬＴＥ利用者情報のデータベースに登録されているか否かを判定し、
前記ＬＴＥ利用者情報が、前記ＬＴＥ利用者情報のデータベースに登録されている場合、前記ＥＰＣは、前記ＩＰアドレスに対応した前記ＬＴＥ利用者情報を前記認証サーバに送信する、
認証コアシステム。

【請求項4】

請求項３に記載の認証コアシステムであって、
前記ＬＴＥ利用者情報のデータベースが少なくとも前記第２の端末のＩＰアドレスを保持するＡＡＡサーバを含む、認証コアシステム。

【請求項5】

請求項４に記載の認証コアシステムであって、
前記ＬＴＥ利用者情報のデータベースがＨＳＳを更に含む、認証コアシステム。

【請求項6】

請求項２から５のいずれか１項に記載の認証コアシステムと、前記第１の端末と、前記第２の端末と、前記アプリケーションサーバと、を含み、
前記第２の端末は、前記第１の端末が表示する前記第１のトークンを撮影可能であって、撮影した前記第１のトークンに基づき、前記第２のトークンを前記ＥＰＣに送信する、認証システム。

【請求項7】

認証サーバが実施する認証方法であって、
アプリケーションサーバへのアクセスを要求する第１の端末に第１のトークンを送信し、
ＬＴＥ通信が可能な第２の端末から発信され、ＥＰＣを経由して送信された第２のトークンを受信し、
前記第１のトークンと前記第２のトークンが一致するか否かを判定し、
前記第１のトークンと前記第２のトークンが一致する場合に、前記ＥＰＣから前記第２の端末に関するＬＴＥ通信の利用者を特定するＬＴＥ利用者情報を取得し、
前記ＬＴＥ利用者情報が、前記アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている情報か否かを判定し、
前記ＬＴＥ利用者情報が、前記アプリケーション利用者情報のデータベースへのログインが許可されている場合、前記アプリケーションサーバに対し、前記第１の端末からのアクセス要求を許可するログイン許可を送信する、
認証方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、認証サーバ、認証コアシステム、認証システム及び認証方法に関する。

【背景技術】

【0002】

不正なアクセス等の防止のため、セキュリティの強固な認証方法が求められている。その一方で、一般に用いられている認証方法においては、パスワードや生体認証情報等の入力が必要であり、煩雑な操作が必要になることも多い。

【0003】

特許文献１は、少なくとも２台の端末を組み合わせたプッシュ認証を採用した認証システムを開示している。これにより、セキュリティを高めつつ平易な操作による認証の実現を目指している。

【先行技術文献】

【特許文献】

【0004】

【特許文献1】特許第６１０４４３９号公報

【発明の概要】

【発明が解決しようとする課題】

【0005】

特許文献１に開示された様な認証システムは、その認証の信頼性が、端末の固有の識別情報である端末ＩＤに依存している。このような端末ＩＤは偽装の防止に限界があり、偽装がされてしまうとセキュリティが低下するおそれがある。

【0006】

本発明は、平易な認証操作と高度なセキュリティを両立し得る認証技術を提供する。

【課題を解決するための手段】

【0007】

本発明の認証サーバは、アプリケーションサーバへのアクセスを要求する第１の端末に第１のトークンを送信し、ＬＴＥ通信が可能な第２の端末から発信され、ＥＰＣを経由して送信された第２のトークンを受信し、前記第１のトークンと前記第２のトークンが一致するか否かを判定し、前記第１のトークンと前記第２のトークンが一致する場合に、前記ＥＰＣから前記第２の端末に関するＬＴＥ通信の利用者を特定するＬＴＥ利用者情報を取得し、前記ＬＴＥ利用者情報が、前記アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている情報か否かを判定し、前記ＬＴＥ利用者情報が、前記アプリケーション利用者情報のデータベースへのログインが許可されている情報である場合、前記アプリケーションサーバに対し、前記第１の端末からのアクセス要求を許可するログイン許可を送信する。

【0008】

本発明の認証サーバが実施する認証方法は、アプリケーションサーバへのアクセスを要求する第１の端末に第１のトークンを送信し、ＬＴＥ通信が可能な第２の端末から発信され、ＥＰＣを経由して送信された第２のトークンを受信し、前記第１のトークンと前記第２のトークンが一致するか否かを判定し、前記第１のトークンと前記第２のトークンが一致する場合に、前記ＥＰＣから前記第２の端末に関するＬＴＥ通信の利用者を特定するＬＴＥ利用者情報を取得し、前記ＬＴＥ利用者情報が、前記アプリケーションサーバへのアクセスを許可された利用者を特定するアプリケーション利用者情報のデータベースへのログインが許可されている情報か否かを判定し、前記ＬＴＥ利用者情報が、前記アプリケーション利用者情報のデータベースへのログインが許可されている情報である場合、前記アプリケーションサーバに対し、前記第１の端末からのアクセス要求を許可するログイン許可を送信する。

【発明の効果】

【0009】

本発明の認証技術は、ユーザ操作の負担を抑制しつつも、より安全性を高めるとともに、通信処理の負担を抑制することが可能となる。

【図面の簡単な説明】

【0010】

【図1】本発明の一実施形態である認証システムの概要図。

【図2】実施形態の認証システムが実行するシーケンスを示すシーケンス図。

【発明を実施するための形態】

【0011】

以下、図面を用いて、本発明に係る通信方法の具体的な実施の形態について詳述する。特許文献１に記載された従来技術は、認証時に、例えばユーザＩＤやカードＩＤといった識別情報以外の知識認証情報、所有物認証情報、及び生体認証情報の入力を必要としない簡便な認証方法を実現することを目的としている。また、プッシュ認証が要求されると、プッシュＩＤを生成し、第１の端末及び第２の端末に送信し、第１の端末経由のプッシュＩＤと第２の端末経由のプッシュＩＤを照合することにより、セキュリティの強固な認証方法を実現することを目的としている。

【0012】

ところが、上記従来技術は、その認証の信頼性が、第２の端末４の固有の識別情報である端末ＩＤに依存している。このような端末ＩＤは、偽装（例えば他人の端末のＭＡＣアドレスの複製など）に対する防衛策に限界があり、ある程度の偽装の可能性が否定できないという意味から、依然として安全性に懸念が残る。

【0013】

また、第１の端末３の操作を契機とする第２の端末４へのプッシュ通知が、任意のタイミングで発生する可能性があるため、第２の端末４に対して、常時ログインの許可がなされている状態を維持するための通信が必要となる。これにより、通信シーケンス、通信コストの増加といった通信負担の増加を招くおそれがある。

【0014】

図１は、本発明の一実施形態の認証システム１００の概要図であり、上述した様な課題の解消を実現するものである。図示した認証システム１００はあくまで一実施形態であり、本発明が適用される認証システムはこのような形態に限定されるものではない。実施形態の認証システム１００は、第１の端末１０と、第２の端末２０と、アプリケーションサーバ（ＡＰサーバ）３０と、認証サーバ４０と、ＥＰＣ（Evolved Packet Core）５０と、を含む。また、認証サーバ４０とＥＰＣ５０は、認証コアシステム６０を構成する。尚、本明細書において、「サーバ」は、１つのサーバのみならず、複数のサーバにより構成されるものも含む。

【0015】

第１の端末１０及び第２の端末２０は、ＰＣ、スマートフォン、タブレット端末、ＩＣカードリーダライタを備える端末、携帯端末と通信可能な端末等の任意の適切な端末を用いることができる。ここで、少なくとも第２の端末２０はＬＴＥ（Long Term Evolution）通信が可能であり、通信プロトコルとしてＬＴＥプロトコルのデータ（具体的にはパケットデータ）を通信対象としたＬＴＥ通信システム下で通信を行う端末である。ＬＴＥは、３ＧＰＰ（Third Generation Partnership Project）により制定された、第３世代移動体通信規格（３Ｇ）を更に高速化させたものであり、３．９Ｇまたは４Ｇと呼ばれる。

【0016】

また、第２の端末２０は撮影機能を持つ撮影装置（カメラ）を有している。撮影装置は、第２の端末２０の内部に組み込まれるものであっても、第２の端末２０とは別体で、第２の端末２０に接続されるものであってもよい。

【0017】

アプリケーションサーバ（ＡＰサーバ）３０は、ユーザが第１の端末１０を用いてアクセスを要求するアプリケーション（サイト等）を記憶するサーバであり、アプリケーションによるサービスを提供する事業者等が設置する。本実施形態による認証後に、第１の端末１０は、アプリケーションサーバ３０に実質的にアクセス可能となる。

【0018】

認証サーバ４０は、認証の実行主体となるサーバであり、本実施形態ではアプリケーションサーバ３０にログインを試みる端末がアクセスを許可されたものか否かを判定（認証）し、ひいては不正なアクセスを防止するためのものである。アプリケーションサーバ３０は、上述したサービスの事業者等が設置することが多い。アプリケーションサーバ３０と認証サーバ４０は一体になって提供されてもよい。

【0019】

認証サーバ４０は、認証処理部４１と、利用者情報管理部４２とを含む。認証処理部４１は認証サーバ４０による認証処理の主要部分を担う制御部である。利用者情報管理部４２は、個々の端末固有のＩＤ（例えば端末のＭＡＣアドレスの様な物理アドレス）ではなく、認証システム１００の利用者、特にアプリケーションサーバ３０が提供するアプリケーションを利用するため、アプリケーションサーバ３０へのアクセスが予め許可された利用者を特定する情報（アプリケーション利用者情報）を記憶し、管理する。すなわち、利用者情報管理部４２は、アプリケーション利用者情報のデータベースとして機能する。ここでの利用者情報には、例えば、ＩＭＳＩ（International Mobile Subscriber Identity）、電話番号、他の契約者情報（認証システム用に独自に付与された独自ＩＤ等）があり、例えば通信会社が顧客毎に提供する回線ＩＤ（顧客ＩＤ）を含む。

【0020】

ＥＰＣ５０は、３ＧＰＰのRelease8で標準化されたコアネットワークであり、３ＧＰＰにより制定されたＬＴＥと同時期に制定され、多様な無線アクセスを収容することができる。ＥＰＣ５０は、Ｓ−ＧＷ（Serving Gateway）５１と、Ｐ−ＧＷ（Packet Data Network-Gateway）５２と、ＡＰＩ（Application Programming Interface）提供部５３と、ＡＡＡサーバ（トリプルエーサーバ）５４と、ＨＳＳ（Home Subscriber Server）５５と、ＭＭＥ（Mobility Management Entity）５６とを含む。ただし、ＥＰＣ５０はこのような構成には限定されず、他の付随的な要素を含むことができる。

【0021】

Ｓ−ＧＷ５１、Ｐ−ＧＷ５２は、例えばユーザデータであるＵプレーンデータの伝送を処理するＥＳＰＧＷ（EPC Serving and PDN Gateway）を構成する。Ｓ−ＧＷ５１は３ＧＰＰアクセスシステムを収容し、データを伝送するパケットゲートウェイである。Ｐ−ＧＷ５２は外部ネットワーク（ＰＤＮ）との接続点でＩＰアドレスの割り当てや、パケット転送等を行うゲートウェイである。

【0022】

ＭＭＥ５６はＳ−ＧＷ５１に接続され、ＥＰＣ５０に接続されたアクセスポイントを収容し、移動制御などを提供する論理ノードであって、位置登録、ページング、ハンドオーバー等の移動制御およびベアラ（データの伝送経路）の確立または削除を行う。

【0023】

ＨＳＳ５５は、ＬＴＥにおける加入者管理データベースあって、ＬＴＥ通信のサービスに加入し、ＬＴＥ通信を利用する利用者を特定するＬＴＥ利用者情報を登録するデータベースである。ＨＳＳ５５は、ＬＴＥ利用者情報として、回線ＩＤ等など共に、利用者の契約情報、認証情報、位置情報等の管理をも行う。ＭＭＥ５６は、ＨＳＳ５５から通知される認証情報に基づき、ユーザ認証を実施する。このようなＬＴＥ利用者情報は、一般的に第２の端末２０等に装着されるＳＩＭ（Subscriber Identity Module）にも記憶されＬＴＥ通信システムを利用する利用者を特定する。

【0024】

ＡＡＡサーバ５４はＰ−ＧＷ５２に接続され、認証に基づき、データベースなどのリソースに対するアクセス制御を行うものであり、ＲＡＤＩＵＳ（Remote Authentication Dial In User Service）等が含まれる。また、ＡＡＡサーバ５４は、各端末に対するＩＰアドレスの払い出し（付与）を行うＩＰアドレス払出部として機能するとともに、各端末の電話番号および／又はＩＭＳＩとＩＰアドレスを対応付けて記憶している。特にＡＡＡサーバ５４は、ＬＴＥ通信の利用者が用いる第２の端末２０のＩＰアドレスを少なくとも予め保持しており（例えば利用者のＬＴＥ通信サービスへの加入時に登録）、ＩＰアドレスを保持していないＨＳＳ５５とは異なる。ＡＡＡサーバ５４はＨＳＳ５５と同様にＬＴＥ利用者情報のデータベースとして機能する。後述するように、ＡＡＡサーバ５４、ＨＳＳ５５を含むＬＴＥ利用者情報のデータベースに登録されたＬＴＥ利用者情報は、認証サーバ４０の利用者情報管理部（アプリケーション利用者情報のデータベース）４２に登録されたアプリケーション利用者情報と、共通する情報の形式（種々の回線ＩＤ等）を有しており、両者は対比可能である。

【0025】

ＡＰＩ提供部５３は、認証サーバ４０の認証処理部４１と、ＥＰＣ５０のＡＡＡサーバ５４及びＨＳＳ５５との間の情報のやり取りに関するインターフェースの役割を担う。特にＡＰＩ提供部５３は、認証サーバ４０から受信した第２の端末２０のＩＰアドレスを、最初にＡＡＡサーバ５４に問い合わせる。

【0026】

図２は、実施形態の認証システム１００が実行するシーケンスを示すシーケンス図である。まず、ユーザがＰＣの如き第１の端末１０を利用して、アプリケーションサーバ３０に対し、提供するアプリケーションのサイトにアクセスするため、ログインの要求を試みる（ステップＳ１０１）。この要求を受けたアプリケーションサーバ３０は、認証サーバ４０に対し、このログイン要求を通知して問い合わせる（ステップＳ１０２）。認証サーバ４０の認証処理部４１は、ログインのための第１のトークンを生成し、ログイン要求元の第１の端末１０に対し送信する（ステップＳ１０３）。ここでのトークンは、認証サーバ４０等の装置が生成する、一度の認証処理のみに利用可能なワンタイムパスワードに相当し、認証に必要な情報を意味する。

【0027】

第１のトークンを受信した第１の端末１０は、トークンをＱＲコード（登録商標）等のような、外部の撮影装置等が読み取り可能な表示形式に変換し、その表示画面に表示する（ステップＳ１０４）。ユーザは、スマートフォンの如き第２の端末２０の撮影装置を用いて、表示されたＱＲコード等を読取り、撮影し、第１のトークンを第２の端末２０に収納する（ステップＳ１０５）。第２の端末２０は、撮影した第１のトークンに基づき、実質的に同一の第２のトークンをＥＰＣ５０に送信する（ステップＳ１０６）。

【0028】

ＥＰＣ５０のＳ−ＧＷ５１及びＰ−ＧＷ５２は、受信した第２のトークンを、第２の端末２０のＩＰアドレスと共に認証サーバ４０に送信する（ステップＳ１０７）。認証サーバ４０の認証処理部４１は、第２の端末２０から発信され、ＥＰＣ５０を経由して（ステップＳ１０６参照）送信された第２のトークンと、自らが生成し、第１の端末１０に送信した第１のトークン（ステップＳ１０３参照）とが一致するか否かを判定する（ステップＳ１０８）。第１のトークンと第２のトークンが一致する場合、認証処理部４１は、ステップＳ１０６において第２のトークンを送信した送信元の第２の端末２０の利用者情報、特にＬＴＥ利用者情報を要求する問い合わせを、第２の端末２０のＩＰアドレスと共にＥＰＣ５０に送信する（ステップＳ１０９）。

【0029】

問い合わせを受信したＥＰＣ５０のＡＰＩ提供部５３は、ＬＴＥ利用者情報のデータベースであるＡＡＡサーバ５４及びＨＳＳ５５に対し、受信した第２の端末２０のＩＰアドレスに対応するＬＴＥ利用者情報が登録されているか否かについて問い合わせる（ステップＳ１１０）。ここでＡＰＩ提供部５３は、認証サーバ４０から受信したＩＰアドレスを、まずはＩＰアドレスを保持しているＡＡＡサーバ５４に問い合わせる（ＨＳＳ５５はＩＰアドレスを保持していない）。ここで、認証サーバ４０の利用者情報管理部４２には、アプリケーション利用者情報として電話番号が登録されており、ＡＡＡサーバ５４にはＩＰアドレスに対応したＬＴＥ利用者情報として、１）電話番号、または、２）ＩＭＳＩ、が登録されているケースを想定する。

【0030】

１）のケースにおいて、ＡＰＩ提供部５３は、ＩＰアドレスに基づき電話番号を取得することができる。ＡＰＩ提供部５３がこの取得した電話番号を、後述するステップＳ１１１で認証サーバ４０に送信することにより、認証サーバ４０は利用者情報管理部４２に登録された電話番号を参照してログイン許可の確認が可能となるため（後述するステップＳ１１２）、ステップＳ１１０はここで終了する。

【0031】

一方、２）のケースにおいて、ＡＰＩ提供部５３は、ＡＡＡサーバ５４への問い合わせのみでは、ＩＭＳＩを取得できても電話番号を取得することはできず、後述するステップＳ１１２が不可能となる。

【0032】

そこで２）のケースにおいては、ＡＡＡサーバ５４への問い合わせから、まずＡＰＩ提供部５３はＩＰアドレスに対応するＩＭＳＩを取得し、次に当該ＩＭＳＩから、ＨＳＳ５５に登録されているＬＴＥ利用者情報としての電話番号を取得する。この取得した電話番号により、後に説明する様にステップＳ１１１以降の処理が可能となる。

【0033】

尚、利用者情報管理部４２のアプリケーション利用者情報の種別と、ＡＡＡサーバ５４のＬＴＥ利用者情報の種別には、それぞれ以下のようなものが挙げられる。

【0034】

・利用者情報管理部４２のアプリケーション利用者情報・・・（Ａ）電話番号、（Ｂ）ＩＭＳＩ、（Ｃ）他の契約者情報
・ＡＡＡサーバ５４のＬＴＥ利用者情報・・・（１）電話番号、（２）ＩＭＳＩ

【0035】

上記のような想定において、（Ａ）及び（１）の組み合わせ、又は、（Ｂ）及び（２）の組み合わせが認証コアシステム６０に存在している場合、ＡＰＩ提供部５３は、ＨＳＳ５５を参照せずに、取得した電話番号又はＩＭＳＩを認証サーバ４０に送信すればよい。利用者情報管理部４２のアプリケーション利用者情報の種別と、ＡＡＡサーバ５４のＬＴＥ利用者情報の種別の組み合わせは任意であり、両者に共通の種別（電話番号又はＩＭＳＩ）があれば、ＡＰＩ提供部５３は、ＡＡＡサーバ５４のみを参照して取得した電話番号又はＩＭＳＩを認証サーバ４０に送信すればよい。この部分の処理は、利用者情報管理部４２、ＡＡＡサーバ５４への利用者情報の登録の実装に依存し、必要に応じてＡＰＩ提供部５３の処理方法を変更すればよい。

【0036】

上述した様に、ＬＴＥ利用者情報のデータベース（ＡＡＡサーバ５４及びＨＳＳ５５）から第２の端末２０のＩＰアドレスに対応するＬＴＥ利用者情報（電話番号又はＩＭＳＩ）を取得すると、ＡＰＩ提供部５３は、当該ＬＴＥ利用者情報を認証サーバ４０に送信（ステップＳ１０９への応答）する（ステップＳ１１１）。ＬＴＥ利用者情報を受信した認証サーバ４０の認証処理部４１は、利用者情報管理部（アプリケーション利用者情報のデータベース）４２に対し、ＬＴＥ利用者情報を問い合わせて、少なくとも当該ＬＴＥ利用者情報が、利用者情報管理部４２へのログインを許可されている情報か否か（または利用者情報管理部４２への登録そのもの）を確認する（ステップＳ１１２）。利用者情報管理部４２において、問い合わせたＬＴＥ利用者情報のログイン許可（または利用者情報管理部４２における当該ＬＴＥ利用者情報の登録）が確認されたら（ステップＳ１１３）、認証処理部４１は、アプリケーションサーバ３０に対し、第１の端末１０からのアクセス要求（ログイン要求）を許可するログイン許可を送信する（ステップＳ１１４）。ログイン許可を受信したアプリケーションサーバ３０は、ログイン後の画面を表示、すなわち第１の端末１０をログイン後の画面にリダイレクトする（ステップＳ１１５）。これにより、ユーザは、第１の端末１０を用いてアプリケーションサーバ３０にアクセス可能となる。

【0037】

本発明においては、ＥＰＣがトークンを送信する第２の端末の利用者情報（ＬＴＥ利用者情報）を管理しており、認証はこのＬＴＥ利用者情報とアプリケーション利用者情報に基づいて実行される。よって、本発明によれば、端末固有の端末ＩＤ、特に第２の端末の固有ＩＤに依存した認証処理を排除することができ、より安全に認証を行うことが可能となる。

【0038】

本発明においては、認証サーバが第２の端末から送信されるトークンの受信を契機として認証を開始するため、第２の端末に対するプッシュ通知を削除することが可能となり、通信シーケンス、通信コストを削減することが可能となる。

【0039】

よって、本発明によれば、二つの端末を通じたトークンによる認証により、ユーザ操作の負担を抑制しつつも、より安全性を高め、通信処理の負担を抑制することが可能となる。

【0040】

尚、本発明は、上述した実施形態に限定されるものではなく、適宜、変形、改良、等が可能である。その他、上述した実施形態における各構成要素の材質、形状、寸法、数値、形態、数、配置箇所、等は本発明を達成できるものであれば任意であり、限定されない。

【産業上の利用可能性】

【0041】

本発明によれば、平易な操作ながらも、安全性が高く通信処理の負担を抑制し得る認証技術が提供され得る。

【符号の説明】

【0042】

１０ 第１の端末
２０ 第２の端末
３０ アプリケーションサーバ（ＡＰサーバ）
４０ 認証サーバ
４１ 認証処理部
４２ 利用者情報管理部（アプリケーション利用者情報のデータベース）
５０ ＥＰＣ
５１ Ｓ−ＧＷ
５２ Ｐ−ＧＷ
５３ ＡＰＩ提供部
５４ ＡＡＡサーバ（ＬＴＥ利用者情報のデータベース）
５５ ＨＳＳ（ＬＴＥ利用者情報のデータベース）
５６ ＭＭＥ
６０ 認証コアシステム
１００ 認証システム

【図1】

【図2】