[go: up one dir, main page]

JP2008152666A - Authentication system, authentication control program, and authentication control method - Google Patents

Authentication system, authentication control program, and authentication control method Download PDF

Info

Publication number
JP2008152666A
JP2008152666A JP2006341785A JP2006341785A JP2008152666A JP 2008152666 A JP2008152666 A JP 2008152666A JP 2006341785 A JP2006341785 A JP 2006341785A JP 2006341785 A JP2006341785 A JP 2006341785A JP 2008152666 A JP2008152666 A JP 2008152666A
Authority
JP
Japan
Prior art keywords
authentication
information
parent
information device
child
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006341785A
Other languages
Japanese (ja)
Inventor
Seiji Tajima
誠二 田島
Naoyuki Sawamura
直行 澤村
Manabu Tsuchiya
学 土屋
Kazumasa Takeuchi
一雅 竹内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2006341785A priority Critical patent/JP2008152666A/en
Publication of JP2008152666A publication Critical patent/JP2008152666A/en
Pending legal-status Critical Current

Links

Images

Abstract

【課題】複数の情報機器がネットワーク上のネットワークサービスサイトにアクセスする際における認証を簡易化する。
【解決手段】通信ネットワークに接続された情報機器のネットワークサービス利用可否を判定するために認証を行う認証システムにおいて、情報機器間の親子関係情報を格納した親子関係格納手段と、ある情報機器についての認証が成功した場合に、当該情報機器を親とする子として前記親子関係格納手段に設定されている情報機器に前記親の情報機器についての認証状態を引き継ぎ、前記子の情報機器についての認証を行わずに、当該子の情報機器のネットワークサービス利用を許可する認証制御手段とを備える。
【選択図】図1Authentication is simplified when a plurality of information devices access a network service site on a network.
In an authentication system for performing authentication in order to determine whether or not an information device connected to a communication network can use a network service, a parent-child relationship storage unit that stores parent-child relationship information between information devices, and an information device If the authentication is successful, the information device set in the parent-child relationship storage means as the child having the information device as a parent takes over the authentication state of the parent information device, and the child information device is authenticated. The authentication control means permits the use of the network service of the child information device without performing the operation.
[Selection] Figure 1

Description

本発明は、ネットワークアクセス機能を有する情報機器がネットワークサービスサイトにアクセスしてネットワークサービスを利用する際の利用可否を判定するための認証に関するものであり、特に、複数の情報機器でネットワークサービスサイトにアクセスする際のユーザ認証を簡易化するための技術に関するものである。   The present invention relates to authentication for determining whether or not an information device having a network access function can use a network service by accessing the network service site, and in particular, a plurality of information devices are connected to the network service site. The present invention relates to a technique for simplifying user authentication for access.

インターネット等のネットワークへのアクセス機能を持つ情報家電機器が増加してきている。例えば、ビデオカメラ等の映像を取得する情報家電機器がインターネットに接続することにより、インターネット上で提供されるストレージサービスを利用して映像を保存し、保存した映像を他の情報家電機器を使用して視聴するといったことが可能となり、情報家電機器の利便性が向上する。   An increasing number of information home appliances have a function to access networks such as the Internet. For example, when an information home appliance that acquires video such as a video camera connects to the Internet, the video is stored using a storage service provided on the Internet, and the stored video is used by another information home appliance. And the convenience of information home appliances is improved.

上記のストレージサービスのようなネットワークサービスでは一般に予め登録されたユーザアカウントに基づきサービスの提供がなされることから、サービスの利用に際してパスワード入力等によるユーザ認証が必要になる。また、アクセスしてきた情報家電機器が正当な情報家電機器であるかどうかを確かめる必要がある場合には機器認証処理も必要になる。   In network services such as the above-described storage service, services are generally provided based on user accounts registered in advance, so user authentication by entering a password or the like is required when using the services. In addition, when it is necessary to check whether the accessed information home appliance is a legitimate information home appliance, device authentication processing is also required.

情報家電機器等の認証処理に関する従来技術として特許文献1に記載された技術がある。特許文献1に記載された技術では、情報機器に安全な方法で機器認証情報を組み込んでおき、認証システムが情報機器から送られる機器認証情報を用いて機器認証を行い、更に、ユーザが短い数字を情報機器にパスワードとして入力することにより認証システムでユーザ認証を行っている。
特開2004−355396号公報 特開2005−122651号公報 There is a technique described in Patent Document 1 as a conventional technique related to authentication processing of information home appliances and the like. In the technique described in Patent Document 1, device authentication information is incorporated in an information device in a safe manner, the authentication system performs device authentication using device authentication information sent from the information device, and the user has a short number. The user authentication is performed by the authentication system by inputting the password into the information device.
JP 2004-355396 A JP-A-2005-122651

情報家電機器をインターネットに接続してネットワークサービスを受けることが普及すると、複数の機器が同一時間帯にインターネットにアクセスするケースが増加すると考えられる。例えば、上述したインターネット上で提供されているストレージサービスを、ビデオカメラで撮影した映像のアルバムやライブラリとして利用する場合、撮影した映像をビデオカメラからストレージサービスサイトにアップロードしながらアップロードされた映像をアップロード中にテレビで視聴するケースが考えられる。また、上記ストレージサービスをHDDレコーダで録画した映像の保存に利用する場合、HDDレコーダに記録した映像をアップロードしつつ、過去に保存した他の映像コンテンツをダウンロードしてテレビで視聴するケースも考えられる。   As information appliance devices are connected to the Internet and receive network services, the number of devices accessing the Internet during the same time period will increase. For example, when using the storage service provided on the Internet as an album or library of videos shot with a video camera, upload the uploaded video while uploading the shot video from the video camera to the storage service site. A case of viewing on TV can be considered. In addition, when using the above storage service to save the video recorded by the HDD recorder, it may be possible to upload the video recorded on the HDD recorder and download other video content saved in the past and view it on the TV. .

こにように複数の情報家電機器を同一時間帯にインターネットに接続し、ネットワークサービスサイトにアクセスさせる場合、パスワード入力によるユーザ認証を個々の情報家電機器に対して行うのは煩雑であり、ユーザの利便性を損なう。   In this way, when connecting a plurality of information home appliances to the Internet at the same time and accessing a network service site, it is cumbersome to perform user authentication for each information home appliance by entering a password. Impairs convenience.

また、全ての情報家電機器がパスワード入力を行うための簡易なリモコン等のユーザインタフェースを備えているとは限らず、機器によってはパスワード入力に煩雑な操作を要する場合があり、このような場合は更にユーザの利便性を損なうことになる。   In addition, not all information home appliances have a user interface such as a simple remote controller for password entry, and some devices may require complicated operations for password entry. Furthermore, user convenience is impaired.

更に、サービス提供者側が高いセキュリティを保つためにユーザ認証にICカード認証や生態認証等の認証を要求するケースがあり得るが、このような認証手段を持つ情報家電機器は限られていることから、ユーザが利用したいと考える情報家電機器からはこのサービスを利用できなくなる場合が発生し得る。   Furthermore, in order to maintain high security on the service provider side, there may be cases where authentication such as IC card authentication or biometric authentication is required for user authentication, but information home appliances that have such authentication means are limited. In some cases, the information home appliance that the user wants to use cannot use this service.

複数のユーザ端末の使用に際し、通信先端末とセッションを確立している一方のユーザ端末から他のユーザ端末に使用端末を切り替える場合に、セッション情報を複写することにより他のユーザ端末でセッションを継続させる方法があり(例えば特許文献2)、この方法を複数の情報家電機器のインターネットアクセスに適用することも考えられるが、全ての情報家電機器が上記方法に対応した特別の機能を備える必要があり、装置コスト増、実現性等の面から現実的ではない。   When using multiple user terminals, when switching from one user terminal that has established a session with the communication destination terminal to another user terminal, the session is continued on the other user terminal by copying the session information. There is a method (for example, Patent Document 2), and it is conceivable to apply this method to Internet access of a plurality of information home appliances. However, all information home appliances must have a special function corresponding to the above method. It is not realistic from the viewpoint of increase in apparatus cost, feasibility, and the like.

なお、上記の問題は情報家電機器に限らず、PC等の一般的な情報機器にも該当する問題である。   The above problem is not limited to information home appliances but also applies to general information devices such as PCs.

本発明は上記の点に鑑みてなされたものであり、複数の情報機器がネットワーク上のネットワークサービスサイトにアクセスする際における認証を簡易化するための技術を提供することを目的とする。   The present invention has been made in view of the above points, and an object thereof is to provide a technique for simplifying authentication when a plurality of information devices access a network service site on a network.

上記の課題は、通信ネットワークに接続された情報機器のネットワークサービス利用可否を判定するために認証を行う認証システムであって、情報機器間の親子関係情報を格納した親子関係格納手段と、ある情報機器についての認証が成功した場合に、当該情報機器を親とする子として前記親子関係格納手段に設定されている情報機器に前記親の情報機器についての認証状態を引き継ぎ、前記子の情報機器についての認証を行わずに、当該子の情報機器のネットワークサービス利用を許可する認証制御手段とを備えたことを特徴とする認証システムにより解決される。   The above-described problem is an authentication system that performs authentication to determine whether or not a network service of an information device connected to a communication network can be used, and includes a parent-child relationship storage unit that stores parent-child relationship information between information devices, and certain information When the authentication of the device is successful, the information device set in the parent-child relationship storage means as the child having the information device as a parent takes over the authentication state of the parent information device, and the child information device This is solved by an authentication system comprising authentication control means for permitting the use of the network service of the child information device without performing the authentication.

また、前記認証システムは、情報機器の認証状態を記録した認証状態格納手段を更に備え、前記認証制御手段は、前記親の情報機器についての認証が成功した場合に、前記認証状態格納手段における当該親の情報機器の認証状態を認証済みとし、前記子の情報機器が前記認証システムにアクセスしてきた場合に、前記親子関係情報を参照することにより当該子の情報機器の親となる前記親の情報機器を把握し、当該親の情報機器の前記認証状態格納手段における認証状態が認証済みであることを確認することにより、前記子の情報機器のネットワークサービス利用を許可することとしてもよい。   In addition, the authentication system further includes an authentication state storage unit that records an authentication state of the information device, and the authentication control unit includes the authentication state storage unit when the authentication of the parent information device is successful. When the authentication state of the parent information device is authenticated, and the child information device accesses the authentication system, the parent information that becomes the parent of the child information device is referred to by referring to the parent-child relationship information The use of the network service of the child information device may be permitted by grasping the device and confirming that the authentication state in the authentication state storage unit of the parent information device has been authenticated.

また、前記認証制御手段は、前記親の情報機器についての認証が成功した場合に、前記認証状態格納手段における当該親の情報機器の認証状態を認証済みとするとともに、前記親子関係情報を参照することにより前記親の情報機器の子となる前記子の情報機器を把握し、前記認証状態格納手段における当該子の情報機器の認証状態として認証済みであることを示す情報を記録し、前記子の情報機器が前記認証システムにアクセスしてきた場合に、前記認証状態格納手段における当該子の情報機器の認証状態を確認することにより、当該子の情報機器のネットワークサービス利用を許可することとしてもよい。   In addition, when the authentication of the parent information device is successful, the authentication control unit sets the authentication state of the parent information device in the authentication state storage unit as authenticated and refers to the parent-child relationship information. To grasp the child information device that is a child of the parent information device, record information indicating that the child information device is authenticated as the authentication state of the child information device in the authentication state storage means, When an information device accesses the authentication system, the use of the network service of the child information device may be permitted by checking the authentication state of the child information device in the authentication state storage unit.

本発明によれば、ある情報機器についての認証が成功した場合に、当該情報機器を親とする子として設定されている情報機器に親の情報機器についての認証状態を引き継ぎ、子の情報機器についての認証を行わずに、当該子の情報機器のネットワークサービス利用を許可することとしたので、複数の情報機器がネットワーク上のネットワークサービスサイトにアクセスする際における認証を簡易化することが可能となる。   According to the present invention, when the authentication for a certain information device is successful, the authentication state for the parent information device is taken over by the information device set as a child whose parent is the information device, and the child information device is Since the use of the network service of the child information device is permitted without performing authentication, it is possible to simplify the authentication when a plurality of information devices access the network service site on the network. .

以下、図面を参照して本発明の実施の形態について説明する。   Embodiments of the present invention will be described below with reference to the drawings.

(システム構成及び動作概要)
図1に本発明の実施の形態におけるシステム構成を示す。図1に示すように、本実施の形態におけるシステムは、複数の情報家電機器1、認証システム3、及びサービス提供システム5が通信ネットワーク7に接続されて構成されている。 (System configuration and operation overview)
FIG. 1 shows a system configuration in the embodiment of the present invention. As shown in FIG. 1, the system in the present embodiment is configured by connecting a plurality of information home appliances 1, an authentication system 3, and a service providing system 5 to a communication network 7.

各情報家電機器1は少なくともネットワーク通信機能と自動機器認証機能を備えており、図1に示す複数の情報家電機器は例えばある1つの家庭に備えられるものである。認証システム3は、情報家電機器1の認証を行う機器認証機能、パスワードチェック等によるユーザ認証機能、及び認証に関する設定情報や状態情報を格納した認証データベースを有している。   Each information home appliance 1 has at least a network communication function and an automatic device authentication function, and the plurality of information home appliances shown in FIG. 1 is provided in a certain home, for example. The authentication system 3 has a device authentication function for authenticating the information home appliance 1, a user authentication function by password check or the like, and an authentication database that stores setting information and status information related to authentication.

また、サービス提供システム5は、認証システム3により機器認証及びユーザ認証に成功した情報家電機器に対してネットワークサービスを提供する機能を有している。なお、ネットワークサービスとは、ネットワークを介して提供されるサービス全般を指すものである。また、サービス提供システム5は、ユーザアカウント管理や課金等のための加入者管理データベース、情報家電機器毎のサービス提供条件を格納した情報家電サービス提供条件データベース等を有している。なお、認証システム3もしくはサービス提供システム5がシングルサインオンの機能を備え、1回の認証で複数のサービス提供システムのサービスを利用可能とすることもできる。   Further, the service providing system 5 has a function of providing a network service to information home appliances that have succeeded in device authentication and user authentication by the authentication system 3. The network service refers to all services provided via the network. The service providing system 5 includes a subscriber management database for user account management and billing, an information home appliance service provision condition database storing service provision conditions for each information home appliance. Note that the authentication system 3 or the service providing system 5 may have a single sign-on function, and the services of a plurality of service providing systems can be used with a single authentication.

通信ネットワーク7は、例えばインターネット及び各装置とインターネットとを接続するためのネットワーク等を含むものである。   The communication network 7 includes, for example, the Internet and a network for connecting each device to the Internet.

なお、情報家電機器1でネットワークサービスを利用する場合、ユーザがそのネットワークサービスを提供するサイト(Webサイト等)にアクセスするのが一般的な形態であることから、認証システム3とサービス提供システム5とを総称してネットワークサービスサイトと呼ぶことにする。また、ユーザがネットワークサービスサイトにアクセスする操作を行ったときに最初に実際にアクセスされるのは認証システムとは限らず、サービス提供システム5もしくは図示しない装置であることもあり得、その場合は、情報家電機器1は最初にアクセスした装置から認証システム3にリダイレクトされる。ただし、以下の説明では、ネットワークサービスサイトは認証システム3であるものとする。   When the information home appliance 1 uses a network service, since it is common for a user to access a site (such as a Web site) that provides the network service, the authentication system 3 and the service providing system 5 Are collectively referred to as a network service site. In addition, when the user performs an operation to access the network service site, the authentication system is not actually accessed first, but may be the service providing system 5 or a device (not shown). The information home appliance 1 is redirected to the authentication system 3 from the first accessed device. However, in the following description, it is assumed that the network service site is the authentication system 3.

本実施の形態では、ユーザが家庭内の複数の情報家電機器でサービス提供システム5が提供するネットワークサービスを利用する際に、複数の情報家電機器のうちの1つの情報家電機器でパスワード入力等によるユーザ認証を行い、ユーザ認証が成功すれば、そのユーザ認証結果が上記情報家電機器と連携した他の情報家電機器に引き継がれ、当該他の情報家電機器ではユーザがユーザ認証のための操作を行うことなく最初にユーザ認証に成功したユーザアカウントでネットワークサービスを利用することができる。以下、1つの情報家電機器のユーザ認証により他の情報家電機器のユーザ認証を省略できることを認証の連携と呼ぶことにする。また、認証の連携には方向性があり、ある情報家電機器のユーザ認証が実施された場合に別のある情報家電機器のユーザ認証を省略させるとした場合、前者の情報家電機器を親と呼び、後者の情報家電機器を子と呼ぶことにする。どの情報家電機器の組を認証連携の対象とするかは予め認証システム3の認証データベースに登録しておく。   In the present embodiment, when a user uses a network service provided by the service providing system 5 with a plurality of information home appliances in the home, a password is input on one information home appliance among the plurality of information home appliances. If user authentication is performed and the user authentication is successful, the user authentication result is taken over by another information home appliance linked to the information home appliance, and the user performs an operation for user authentication in the other information home appliance. The network service can be used with a user account that has succeeded in user authentication first. Hereinafter, the fact that the user authentication of another information home appliance can be omitted by the user authentication of one information home appliance will be referred to as authentication cooperation. In addition, there is a direction in the cooperation of authentication, and when the user authentication of a certain information home appliance is executed, if the user authentication of another information home appliance is omitted, the former information home appliance is called a parent. The latter information home appliance is called a child. Which set of information home appliances is subject to authentication cooperation is registered in the authentication database of the authentication system 3 in advance.

(認証処理のシーケンス)
図1に示したシステムにおける認証処理のシーケンスを図2を参照して説明する。なお、図2はシステムの動作シーケンスを示すものであり、認証データベースの詳細及び認証システム3の処理動作の詳細については後に説明する。 (Authentication processing sequence)
The authentication processing sequence in the system shown in FIG. 1 will be described with reference to FIG. FIG. 2 shows an operation sequence of the system, and details of the authentication database and details of the processing operation of the authentication system 3 will be described later.

図2のシーケンスは、最初にユーザ認証の省略を可能とさせる状態にある親の情報家電機器を持たない情報家電機器(情報家電機器(親)と記載する)がネットワークサービスを利用するために認証システム3にアクセスして認証を行い、その次に、情報家電機器(親)の子の情報家電機器(情報家電機器(子)と記載する)がネットワークサービスを利用するために認証システム3にアクセスする場合の例を示している。   The sequence shown in FIG. 2 authenticates an information home appliance (noted as a home information appliance (parent)) that does not have a parent home information appliance in a state that allows user authentication to be omitted in order to use the network service. The system 3 is accessed and authenticated, and then the home information appliance (parent) child information home appliance (referred to as information home appliance (child)) accesses the authentication system 3 to use the network service. An example of doing this is shown.

また、ここでの機器認証方法としてはSSL/TLSにおけるクライアント認証の方式を利用している。つまり、予め情報家電機器が自身のデジタル証明書を安全な方法で取得して保持しており、そのデジタル証明書を認証システムに送信することにより認証システム3
が情報家電機器の認証を行っている。なお、機器認証方法としてはSSL/TLSのクライアント認証の方式に限らず、必要な認証強度が確保できるのであれば、他の認証方式を使用しても構わない。 As a device authentication method here, a client authentication method in SSL / TLS is used. That is, the information home appliance previously acquires and holds its own digital certificate in a secure manner, and transmits the digital certificate to the authentication system 3 to thereby authenticate the authentication system 3.
Certifies information home appliances. The device authentication method is not limited to the SSL / TLS client authentication method, and other authentication methods may be used as long as the required authentication strength can be ensured.

図2において、まず、ユーザが情報家電機器(親)を用いてネットワークサービスサイトにアクセスするための操作を行うことにより、情報家電機器(親)は認証システム3にアクセスする(ステップ1)。情報家電機器(親)からアクセスを受けた認証システム3は機器認証を行って、情報家電機器(親)との間でSSL暗号路を設定する(ステップ2)。具体的には、認証システム3は情報家電機器(親)にデジタル証明書の送信を要求し、情報家電機器(親)から受信したデジタル証明書を用いて情報家電機器(親)に対するクライアント認証を行う。その後、共通鍵を共有することによりSSLの暗号通信路が設定される。   In FIG. 2, first, the information home appliance (parent) accesses the authentication system 3 when the user performs an operation for accessing the network service site using the information home appliance (parent) (step 1). The authentication system 3 that has received access from the information home appliance (parent) performs device authentication and sets up an SSL encryption path with the information home appliance (parent) (step 2). Specifically, the authentication system 3 requests the information home appliance (parent) to transmit a digital certificate, and performs client authentication for the information home appliance (parent) using the digital certificate received from the information home appliance (parent). Do. After that, the SSL encryption communication channel is set by sharing the common key.

認証システム3は、機器認証が完了した情報家電機器(親)を認証データベースに登録する。次に、認証システム3は、情報家電機器(親)を子としてもつ親が存在し、情報家電機器(親)のユーザ認証を省略できるかどうかを判断する処理を行うが、本例ではそのような親は存在しないと判断され次の処理に移る。   The authentication system 3 registers the information home appliance (parent) whose device authentication has been completed in the authentication database. Next, the authentication system 3 performs processing for determining whether or not there is a parent having the information home appliance (parent) as a child, and the user authentication of the information home appliance (parent) can be omitted. It is determined that no parent exists, and the process proceeds to the next process.

なお、PC等の端末とサーバ間での通常のSSLのクライアント認証では、クライアント側であるPC上にデジタル証明書を選択する操作が発生するが、本実施の形態では、情報家電機器(親)はアクセスしたネットワークサービスサイトに対応するデジタル証明書を使うこととする機能を備えており、デジタル証明書を選択する操作は発生しない。   Note that in normal SSL client authentication between a terminal such as a PC and a server, an operation to select a digital certificate occurs on the client-side PC. In this embodiment, the information home appliance (parent) Has a function of using a digital certificate corresponding to the accessed network service site, and an operation for selecting a digital certificate does not occur.

次に、認証システム3は、認証データベースから情報家電機器(親)を使用できるものとして登録されているユーザ名を取得し、それらユーザ名の中から1つのユーザ名を選択させパスワードの入力を実施させるための画面をSSLの暗号通信路を用いて情報家電機器(親)に送信する(ステップ3)。   Next, the authentication system 3 obtains a user name registered as being able to use the information home appliance (parent) from the authentication database, selects one of the user names, and inputs a password. The screen to be transmitted is transmitted to the information home appliance (parent) using the SSL encrypted communication path (step 3).

情報家電機器(親)は、認証システムから受信した画面を表示し、ユーザにユーザ名の選択とパスワードの入力を促す。ユーザは情報家電機器(親)のユーザインタフェース(リモコン等)を用いてユーザ名を選択し、パスワードを入力する。そして、情報家電機器(親)は、選択されたユーザ名及び入力されたパスワードを認証システムに送信する(ステップ4)。   The information home appliance (parent) displays the screen received from the authentication system and prompts the user to select a user name and enter a password. The user selects a user name and inputs a password using a user interface (such as a remote controller) of the information home appliance (parent). Then, the information home appliance (parent) transmits the selected user name and the input password to the authentication system (step 4).

認証システム3は、認証データベースからユーザ名、及び対応するパスワードを読み出し、情報家電機器(親)から受信したユーザ名、及びパスワードとの一致確認を行い、確認できた場合は、そのユーザについて認証が成功したことを認証データベースに登録する。   The authentication system 3 reads the user name and the corresponding password from the authentication database, confirms the match with the user name and password received from the information home appliance (parent), and if it can be confirmed, the user is authenticated. Register success in the authentication database.

そして、認証システム3は、情報家電機器(親)がサービス提供システム5により提供されるネットワークサービスを利用することを許可し、情報家電機器(親)にネットワークサービスが提供される(ステップ5)。ここでは、例えば、特定のユーザの認証がOKであることを示す情報を含むリダイレクト先情報を情報家電機器(親)に送信し、情報家電機器(親)は受信したリダイレクト先情報を用いてサービス提供システム5へのアクセスを行い、サービス提供システム5は当該ユーザの認証がOKであることを確認して情報家電機器(親)のアクセスを受け付け、ネットワークサービスを提供する。   Then, the authentication system 3 permits the information home appliance (parent) to use the network service provided by the service providing system 5, and the network service is provided to the information home appliance (parent) (step 5). Here, for example, redirect destination information including information indicating that the authentication of a specific user is OK is transmitted to the information home appliance (parent), and the information home appliance (parent) uses the received redirect destination information for service. The service providing system 5 performs access to the providing system 5, confirms that the authentication of the user is OK, accepts access from the information home appliance (parent), and provides a network service.

次に、ユーザが情報家電機器(子)を使用してネットワークサービスサイトにアクセスする(ステップ6)。認証システム3は、ステップ2と同様に、情報家電機器(子)の機器認証を行い、SSL暗号通信路の設定を行う(ステップ7)。   Next, the user accesses the network service site using the information home appliance (child) (step 6). As in step 2, the authentication system 3 performs device authentication of the information home appliance (child) and sets the SSL encryption communication path (step 7).

次に、認証システム3は、情報家電機器(子)にユーザ認証済みの親が存在し、情報家電機器(子)のユーザ認証を省略できるかどうかを判断する処理を行う。ここでは、既に、情報家電機器(親)の機器認証及びユーザ認証が終了しているため、情報家電機器(子)のユーザ認証を省略できると判断され、情報家電機器(子)にユーザ認証を要求することなく、ユーザ認証が成功しているものと見なす。つまり、情報家電機器(子)は情報家電機器(親)の認証状態を引き継ぐ。そして、認証システム3は、情報家電機器(子)のユーザ認証が成功していることを示す情報を認証データベースに登録し、ステップ5と同様にして、情報家電機器(子)がサービス提供システム5により提供されるネットワークサービスを利用することを許可する(ステップ8)。   Next, the authentication system 3 performs a process of determining whether or not a user-authenticated parent exists in the information home appliance (child) and the user authentication of the information home appliance (child) can be omitted. Here, since device authentication and user authentication of the information home appliance (parent) have already been completed, it is determined that user authentication of the information home appliance (child) can be omitted, and user authentication is performed on the information home appliance (child). Assume that user authentication is successful without requiring it. That is, the information home appliance (child) takes over the authentication state of the information home appliance (parent). Then, the authentication system 3 registers information indicating that the user authentication of the information home appliance (child) is successful in the authentication database, and the information home appliance (child) is registered in the service providing system 5 in the same manner as in Step 5. Is permitted to use the network service provided by (step 8).

(装置構成)
次に、情報家電機器1と認証システム3の機能構成例について説明する。図3に情報家電機器1の機能構成図を示す。図3に示すように、情報家電機器1は、情報家電本来の機能を提供する本体部11、ネットワークを介してデータ通信を行うためのネットワーク通信部12、本実施の形態における機器認証やユーザ認証のための処理及びネットワークサービス利用のための処理を行う制御部13、パスワード等の入力を受け付ける入力部14、ユーザ選択画面等を表示する表示部15、及びデジタル証明書等を格納するデータ格納部16を備える。なお、図3に示す情報家電機器1は親になり得る機器である。ユーザ認証を要しない子としてのみ機能する場合は、入力部14と表示部15を備えなくてもよい。 (Device configuration)
Next, functional configuration examples of the information home appliance 1 and the authentication system 3 will be described. FIG. 3 shows a functional configuration diagram of the information home appliance 1. As shown in FIG. 3, the information home appliance 1 includes a main body 11 that provides the functions inherent to the information home appliance, a network communication unit 12 for performing data communication via the network, and device authentication and user authentication in the present embodiment. Control unit 13 that performs processing for network processing and processing for network service use, input unit 14 that receives input of a password, a display unit 15 that displays a user selection screen, and a data storage unit that stores a digital certificate and the like 16. Note that the information home appliance 1 shown in FIG. 3 is a device that can be a parent. When functioning only as a child that does not require user authentication, the input unit 14 and the display unit 15 may not be provided.

図4に認証システム3の機能構成図を示す。図4に示すように、認証システム3は、ネットワークを介してデータ通信を行うネットワーク通信部31、機器認証を行うための機器認証部32、ユーザ認証を行うためのユーザ認証部33、認証結果に基づく認証データベース35の更新やユーザ認証を省略できるか否かの判断、及びサービス提供システム5との連携等を行う認証制御部34、及び、ユーザと情報家電機器の認証に関する登録情報及び認証状態情報を格納する認証データベース35を備えている。機器認証部32、ユーザ認証部33、認証制御部34はそれぞれ適宜認証データベース35を参照して処理を行う。   FIG. 4 shows a functional configuration diagram of the authentication system 3. As shown in FIG. 4, the authentication system 3 includes a network communication unit 31 that performs data communication via a network, a device authentication unit 32 that performs device authentication, a user authentication unit 33 that performs user authentication, and an authentication result. The authentication control unit 34 for determining whether or not the update of the authentication database 35 and the user authentication can be omitted, and the cooperation with the service providing system 5, and the registration information and the authentication status information regarding the authentication of the user and the information home appliance The authentication database 35 is stored. The device authentication unit 32, the user authentication unit 33, and the authentication control unit 34 perform processing with reference to the authentication database 35 as appropriate.

認証システム3は、例えば通信機能を持つコンピュータを用いて実現できる。この場合、認証データベース35のデータは当該コンピュータの記憶装置に格納され、機器認証部32、ユーザ認証部33、及び認証制御部34は当該コンピュータにプログラムを実行させることにより実現できる。また、認証システム3を複数台のコンピュータで実現してもよい。例えば、認証データベース35とその他の部分を別々のコンピュータで実現することができる。   The authentication system 3 can be realized using a computer having a communication function, for example. In this case, the data of the authentication database 35 is stored in the storage device of the computer, and the device authentication unit 32, the user authentication unit 33, and the authentication control unit 34 can be realized by causing the computer to execute a program. The authentication system 3 may be realized by a plurality of computers. For example, the authentication database 35 and other parts can be realized by separate computers.

(認証データベースの詳細)
図5に、認証データベース35におけるデータの一例を示す。図5に示すように、認証データベース35は、機器認証情報テーブル(a)、ユーザ認証情報テーブル(b)、機器認証状態テーブル(c)、ユーザ認証状態テーブル(d)、及び認証連携情報テーブル(e)を有している。 (Authentication database details)
FIG. 5 shows an example of data in the authentication database 35. As shown in FIG. 5, the authentication database 35 includes a device authentication information table (a), a user authentication information table (b), a device authentication state table (c), a user authentication state table (d), and an authentication linkage information table ( e).

機器認証情報テーブルは、契約番号、対象、管理番号、機器IDを含み、ユーザ認証情報テーブルは、契約番号、対象、管理番号、ユーザID、ユーザ名、パスワードを含む。機器認証情報テーブル及びユーザ認証情報テーブルのこれらのデータはユーザからの申し込みにより登録されるデータである。なお、契約番号は例えばネットワークサービスの申し込み時に割り当てられる番号であり、多くの場合1家庭に1つの契約番号が割り当てられる。図5は、契約番号が1234567890である1つの家庭に対応する各テーブルを示すものである。   The device authentication information table includes a contract number, a target, a management number, and a device ID, and the user authentication information table includes a contract number, a target, a management number, a user ID, a user name, and a password. These data in the device authentication information table and the user authentication information table are data registered by application from the user. The contract number is, for example, a number assigned at the time of applying for a network service. In many cases, one contract number is assigned to one household. FIG. 5 shows each table corresponding to one household whose contract number is 12345567890.

機器認証状態テーブルは、機器の管理番号毎にその機器が機器認証済みか未認証かを示す情報を格納するテーブルである。図2で示したシーケンスにおいて、ある機器に対してデジタル証明書による機器認証が成功した場合に、当該機器の管理番号に対して"認証済み"が設定される。また、当該機器によるネットワークサービスサイトとの通信のセッションが終了すれば"未認証"になる。   The device authentication status table is a table that stores information indicating whether the device is device-authenticated or unauthenticated for each device management number. In the sequence shown in FIG. 2, when device authentication using a digital certificate is successful for a certain device, “authenticated” is set for the management number of the device. In addition, when the communication session with the network service site by the device is completed, the device becomes “unauthenticated”.

ユーザ認証状態テーブルは、ユーザと機器の管理番号と、認証済みであるかどうかを示す認証状態と、ユーザ認証が成功した時刻を示す認証確認時刻を含む。ユーザと機器の管理番号のデータは、機器認証情報テーブルとユーザ認証情報テーブルとから同一契約番号の機器とユーザの管理番号を抽出して自動的に設定してもよいし、ユーザと機器の組み合わせに関する申し込み内容に基づき設定してもよい。認証状態については、機器認証が成功した後、その機器についてのユーザ認証が成功した場合に、その機器とユーザの組み合わせに対応する認証状態の欄が"認証済み"になる。また、そのときの時刻が認証確認時刻の欄に記録される。また、その時刻から所定時間内に当該機器に対して子の関係にある機器の機器認証が完了すると、親のユーザと当該子の機器とに対応する認証状態の欄が"認証中"になる。これは、当該ユーザに関し、当該子の機器が認証済みであると見なせることを示す情報である。   The user authentication state table includes a management number of the user and the device, an authentication state indicating whether or not authentication has been performed, and an authentication confirmation time indicating a time when the user authentication is successful. The user and device management number data may be automatically set by extracting the device and user management number of the same contract number from the device authentication information table and the user authentication information table, or a combination of the user and the device. You may set based on the contents of application about. As for the authentication status, after the device authentication is successful, when the user authentication for the device is successful, the authentication status column corresponding to the combination of the device and the user becomes “authenticated”. Further, the time at that time is recorded in the column of the authentication confirmation time. When the device authentication of the device having a child relationship with the device is completed within a predetermined time from that time, the authentication status column corresponding to the parent user and the child device becomes “authenticating”. . This is information indicating that the child device can be regarded as authenticated for the user.

認証連携情報テーブルは、親と子の関係を定義するための情報を格納するためのテーブルであり、親である連携元機器、子である連携先機器、ユーザ、連携の有無を含む。例えば、図5に示すデータの第1行目は、"連携"が○(有り)であることから、"01"のユーザに関し、"01"の機器を親とし"02"の機器を子とする連携があることを示している。つまり、"01"の機器の機器認証成功の後に"01"の機器からの"01"のユーザによるユーザ認証が成功し、その時刻から所定の時間内に"02"の機器が接続して機器認証が成功すれば、"02"の機器はユーザ認証をすることなく"01"のユーザによるユーザ認証が成功したものと見なされ、"01"のユーザによる認証が成功した機器としてネットワークサービスを受けることが可能となる。認証連携情報テーブルは、認証連携に関するユーザからの申し込み内容に基づき設定される。   The authentication linkage information table is a table for storing information for defining the relationship between the parent and the child, and includes a parent linkage source device, a child linkage destination device, a user, and presence / absence of linkage. For example, the first line of the data shown in FIG. 5 indicates that “cooperation” is ○ (present), and therefore, regarding the user “01”, the device “01” is the parent and the device “02” is the child. It shows that there is cooperation to do. That is, after the device authentication of the device “01” is successful, the user authentication by the user “01” from the device “01” succeeds, and the device “02” is connected within a predetermined time from that time. If the authentication is successful, the device “02” is considered to have been successfully authenticated by the user “01” without performing user authentication, and receives a network service as a device successfully authenticated by the user “01”. It becomes possible. The authentication cooperation information table is set based on the application contents from the user regarding the authentication cooperation.

認証連携情報テーブルは、連携可能時間も含む。連携可能時間は、親のユーザ認証が完了した時刻から、子の関係にある機器がユーザ認証を省略してネットワークサービスにアクセス可能とする時間である。図5では、連携可能時間を契約番号(各家庭等)毎に設定する例を示しているが、ユーザ毎、もしくは機器毎に設定してもよい。
(認証システム3の動作詳細フローチャート)
<第1の例>
次に、図5に示す認証データベース35を有する認証システム5の動作の第1の例を図6のフローチャートを参照して詳細に説明する。 The authentication linkage information table also includes a linkage possible time. The cooperation possible time is a time from the time when the parent user authentication is completed, to allow a device having a child relationship to access the network service by omitting the user authentication. Although FIG. 5 shows an example in which the cooperation possible time is set for each contract number (each home, etc.), it may be set for each user or for each device.
(Detailed operation flowchart of authentication system 3)
<First example>
Next, a first example of the operation of the authentication system 5 having the authentication database 35 shown in FIG. 5 will be described in detail with reference to the flowchart of FIG.

まず、認証システム3がネットワークを介して情報家電機器1からアクセスを受ける(ステップ11)。認証システム3は、情報家電機器1にデジタル証明書の送信を要求し、送信されてきたデジタル証明書を用いて情報家電機器1の機器認証を行う(ステップ12)。つまり、CA(認証機関(認証システム自体がCAでもよい))の公開鍵を用いてデジタル証明書が正当で改ざんされていないかどうかをチェックする。   First, the authentication system 3 receives access from the information home appliance 1 via the network (step 11). The authentication system 3 requests the information home appliance 1 to transmit a digital certificate, and performs device authentication of the information home appliance 1 using the transmitted digital certificate (step 12). That is, it checks whether the digital certificate is legitimate and has been tampered with using the public key of the CA (the certificate authority (the authentication system itself may be CA)).

ステップ12で機器認証に失敗した場合、認証システム3は、情報家電機器1にアクセス不可を示す情報を送信する等のエラー処理を行う(ステップ13)。ステップ12で機器認証に成功した場合、認証システム3は、情報家電機器1との共通鍵を持つことによりSSL通信路を設定する(ステップ14)。また、認証システム3は、デジタル証明書の情報に基づき、アクセスしてきた機器を識別し、認証データベース35における当該機器の機器認証状態を"認証済み"にする(ステップ15)。   If device authentication fails in step 12, the authentication system 3 performs error processing such as transmitting information indicating that access is not possible to the information home appliance 1 (step 13). If the device authentication is successful in step 12, the authentication system 3 sets the SSL communication path by having a common key with the information home appliance 1 (step 14). Further, the authentication system 3 identifies the accessing device based on the information of the digital certificate, and sets the device authentication state of the device in the authentication database 35 to “authenticated” (step 15).

次に、認証システム3は、認証データベース35の認証連携情報テーブルを参照し、認証済みとなった当該情報家電機器1を連携先機器(子)とした場合における連携元機器(親)が存在し、かつ、その連携先機器と連携元機器が連携関係にあるかどうか("連携"が○かどうか)をチェックする。つまり、当該情報家電機器1に対して親の関係にある機器があるかどうかをチェックする(ステップ16)。親の関係にある機器がある場合、認証システム3は認証連携情報テーブルからその機器の識別情報と、対応するユーザの識別情報とを取得し、ユーザ認証状態テーブルを参照して、その機器とそのユーザとに対応する認証状態が"認証済み"であるかどうかをチェックする。つまり、親の機器がユーザ認証済みであるかどうかをチェックする(ステップ17)。   Next, the authentication system 3 refers to the authentication linkage information table of the authentication database 35, and there is a linkage source device (parent) when the information home appliance 1 that has been authenticated is the linkage destination device (child). In addition, it is checked whether or not the cooperation destination device and the cooperation source device are in a cooperation relationship (“cooperation” is ○). That is, it is checked whether there is a device having a parent relationship with the information home appliance 1 (step 16). If there is a parent device, the authentication system 3 acquires the device identification information and the corresponding user identification information from the authentication linkage information table, refers to the user authentication status table, Check whether the authentication status corresponding to the user is "authenticated". That is, it is checked whether or not the parent device has been user-authenticated (step 17).

ユーザ認証済みである場合、認証システム3は、現在時刻が"認証確認時刻"から認証連携情報テーブルに記録されている"連携可能時間"以内であるかどうかをチェックする(ステップ18)。"連携可能時間"以内であれば、認証システム3は、当該ユーザとアクセスしてきた情報家電機器1(この場合は子である)とに対応する"認証状態"の欄を"認証中"とし(ステップ19)、その情報家電機器1に、認証OKでありサービス提供システム5にアクセスしてよい旨の情報を送信する(ステップ20)。   If the user has been authenticated, the authentication system 3 checks whether or not the current time is within the “cooperation available time” recorded in the authentication cooperation information table from the “authentication confirmation time” (step 18). If it is within the “cooperation possible time”, the authentication system 3 sets the “authentication status” column corresponding to the information home appliance 1 that has accessed the user (in this case, a child) to “authenticating” ( Step 19), information indicating that the authentication is OK and the service providing system 5 may be accessed is transmitted to the information home appliance 1 (Step 20).

ステップ16において、アクセスしてきた情報家電機器1に対して親の関係にある機器がない場合、ステップ17において親の"認証状態"が認証済みでない場合、もしくは、ステップ18において"連携可能時間"以内でない場合には、認証システム3はアクセスしてきた情報家電機器1に対してユーザ認証処理を行う(ステップ21)。ここでは、前述したとおりパスワードにより認証を行う。ユーザ認証に失敗した場合は、ステップ13のエラー処理を行う。ユーザ認証に成功した場合、認証システム3は、ユーザ認証状態テーブルにおける当該情報家電機器1と認証に成功したユーザとに対応する認証状態の欄を"認証済み"にする(ステップ22)。そして、ステップ20の処理を行う。   In step 16, if there is no device having a parent relationship with the accessed information home appliance 1, if the parent “authentication status” has not been authenticated in step 17, or within “cooperation available time” in step 18. If not, the authentication system 3 performs user authentication processing on the accessed information home appliance 1 (step 21). Here, authentication is performed using a password as described above. If the user authentication has failed, error processing in step 13 is performed. If the user authentication is successful, the authentication system 3 sets the authentication status column corresponding to the information home appliance 1 and the user who has been authenticated in the user authentication status table to “authenticated” (step 22). Then, the process of step 20 is performed.

<第2の例>
次に、認証システム3の動作の第2の例を図7のフローチャートを参照して詳細に説明する。ここでは、第1の例と異なる部分について主に説明する。 <Second example>
Next, a second example of the operation of the authentication system 3 will be described in detail with reference to the flowchart of FIG. Here, parts different from the first example will be mainly described.

まず、ステップ37からのユーザ認証を要する場合の処理について説明する。認証システム3は、ステップ37でユーザ認証処理を行い、ユーザ認証処理に失敗した場合はエラー処理を行い、認証に成功した場合は、ユーザ認証状態テーブルにおける当該情報家電機器1と認証に成功したユーザとに対応する認証状態の欄を"認証済み"にし(ステップ38)、ネットワークサービス利用許可の情報を当該情報家電機器1に送信する(ステップ39)。   First, processing when user authentication from step 37 is required will be described. The authentication system 3 performs user authentication processing in step 37, performs error processing if the user authentication processing fails, and if authentication is successful, the information home appliance 1 in the user authentication status table and the user who has been authenticated successfully The authentication status column corresponding to the above is set to “authenticated” (step 38), and network service use permission information is transmitted to the information home appliance 1 (step 39).

そして、認証システム3は認証連携情報テーブルを参照し、認証済みとなった当該情報家電機器1を連携元機器とし、その連携元機器とユーザ認証に成功したユーザとに対応する"連携"が○となっている連携先機器が存在するかどうかをチェックする。つまり、そのユーザに関し、当該情報家電機器1に対して子の関係にある機器が存在するかどうかをチェックする(ステップ40)。   Then, the authentication system 3 refers to the authentication linkage information table, sets the information home appliance 1 that has been authenticated as a linkage source device, and “linkage” corresponding to the linkage source device and the user who has succeeded in user authentication is ○ Check whether there is a linkage destination device. That is, for the user, it is checked whether or not there is a device having a child relationship with the information home appliance 1 (step 40).

子の関係にある機器が存在する場合、認証システム3はユーザ認証状態テーブルにおいて、当該子の機器と、上記ユーザとに対応する認証状態を"認証予約"とする(ステップ41)。   If there is a device having a child relationship, the authentication system 3 sets “authentication reservation” as the authentication state corresponding to the child device and the user in the user authentication state table (step 41).

次に、アクセスしてきた情報家電機器1の機器認証が終了した後のステップ36からの処理について説明する。   Next, the processing from step 36 after the device authentication of the accessed information home appliance 1 is completed will be described.

ステップ36において、認証システム3はユーザ認証状態テーブルを参照し、機器認証が終了した情報家電機器1に対応する認証状態に"認証予約"があるかどうかをチェックする。"認証予約"がなければ上述したステップ37からの処理を行う。   In step 36, the authentication system 3 refers to the user authentication state table and checks whether there is an “authentication reservation” in the authentication state corresponding to the information home appliance 1 for which device authentication has been completed. If there is no “authentication reservation”, the processing from step 37 described above is performed.

ステップ36において"認証予約"がある場合、その情報家電機器1及び対応するユーザに対してネットワークサービス利用可である旨の情報をその情報家電機器1に送信する(ステップ42)。   If there is an “authentication reservation” in step 36, information indicating that the network service is available to the information home appliance 1 and the corresponding user is transmitted to the information home appliance 1 (step 42).

図8は、第2の例における"連携可能時間"のチェックのフローチャートである。ユーザ認証状態テーブルにおける認証状態を"認証予約"とした後(ステップ51)、認証システム3は、現在時刻が、当該子の機器の親である連携元機器とそのユーザとに対応する"認証確認時刻"から"連携可能時間"だけ経過したかどうかを周期的にチェックし(ステップ52)、経過した場合は"認証予約"を"未認証"にする(ステップ53)。   FIG. 8 is a flowchart of the “cooperation available time” check in the second example. After setting the authentication state in the user authentication state table to “authentication reservation” (step 51), the authentication system 3 performs “authentication confirmation” in which the current time corresponds to the cooperation source device that is the parent of the child device and the user. It is periodically checked whether or not “cooperation possible time” has elapsed from “time” (step 52). If it has elapsed, “authentication reservation” is set to “unauthenticated” (step 53).

第2の例の手順では、親の機器が認証済みになったらすぐに連携する子の機器を"認証予約"状態とし、子の機器がアクセスしてきた場合に認証連携情報テーブルを参照することなく、ユーザ認証状態テーブルの"認証予約"を確認するだけで子機器へのサービス利用許可が可能となる。   In the procedure of the second example, as soon as the parent device is authenticated, the child device to be linked is set to the “authentication reservation” state, and when the child device is accessed, the authentication linkage information table is not referred to. By confirming “authentication reservation” in the user authentication status table, it becomes possible to permit service use to the child device.

なお、第1の例と第2の例において、親となっている情報家電機器(例えばテレビ)がネットワークに接続し、映像視聴等をしている間、当該テレビが機器ID、パスワード等を含むクッキー等の情報を定期的に認証システム3に送信し、認証システム3はクッキーに含まれる情報を確認することによりユーザ認証状態テーブルにおける"認証確認時刻"を更新することができる。このような処理により、親機器がネットワークに接続しているにもかかわらず一定時間後に子機器の認証を省略することができなくなることを回避することができる。なお、"認証確認時刻"をどの程度更新できるかは設定により変更できるものとする。   In the first example and the second example, while the parent home information appliance (for example, a television) is connected to the network and watching a video, the television includes a device ID, a password, and the like. Information such as a cookie is periodically transmitted to the authentication system 3, and the authentication system 3 can update the "authentication confirmation time" in the user authentication state table by confirming the information included in the cookie. By such processing, it is possible to avoid that the authentication of the child device cannot be omitted after a certain period of time even though the parent device is connected to the network. It should be noted that how much the “authentication confirmation time” can be updated can be changed by setting.

また、上記に例では機器認証にデジタル証明書を用いているが、デジタル証明書ではなく、例えば機器のパスワードを含む情報を用いることとしてもよい。また、ユーザ認証のみが必要で、機器自体の認証を要しない場合には、上記機器認証処理に代えて、アクセスしてきた機器を識別する処理を行うだけでよい。   In the above example, a digital certificate is used for device authentication. However, instead of a digital certificate, for example, information including a device password may be used. Further, when only user authentication is required and authentication of the device itself is not required, it is only necessary to perform processing for identifying the accessed device instead of the device authentication processing.

(認証連携情報登録について)
次に、認証システム3への認証連携情報の登録について説明する。登録については、ユーザからFAXや郵便等で送付される申し込み書の内容に基づき行うことのほか、次に説明するように情報家電機器1を用いてオンラインで行うことも可能である。 (Registering authentication linkage information)
Next, registration of authentication cooperation information in the authentication system 3 will be described. Registration can be performed on the basis of the contents of an application form sent by a user by FAX or mail, or online using the information home appliance 1 as described below.

オンラインで登録を行う場合のシーケンスを図9に示す。なお、この例は、ユーザが既に親となる情報家電機器1に関しての機器登録及びユーザ登録を済ませており、その後に、認証連携関係の登録/変更を行う場合の例である。また、このユーザは認証連携関係の登録/変更を行うユーザ権限があるものとして認証システム3に登録されているものとする。   FIG. 9 shows a sequence for online registration. In addition, this example is an example in the case where the device registration and the user registration have already been completed for the information home appliance 1 that the user is a parent, and thereafter the authentication linkage relationship is registered / changed. Further, it is assumed that this user is registered in the authentication system 3 as having the user authority to register / change the authentication cooperation relationship.

まず、ある家庭内のユーザが情報家電機器1を使用してネットワークサービスサイトの「機器の自動認証サービス」の申請画面にアクセスする操作を行うことにより、情報家電機器1は認証システム3にアクセスする(ステップ61)。   First, a user in a certain home uses the information home appliance 1 to perform an operation to access an application screen of “automatic device authentication service” on the network service site, whereby the information home appliance 1 accesses the authentication system 3. (Step 61).

認証システム3は、これまでに説明した機器認証処理と同じ手順で機器認証を行って、情報家電機器1との間のSSL暗号通信路を設定する(ステップ62)。また、認証システム3はこれまでに説明したユーザ認証処理と同じ手順でユーザ認証を行う(ステップ63、64)。   The authentication system 3 performs device authentication in the same procedure as the device authentication process described so far, and sets an SSL encryption communication path with the information home appliance 1 (step 62). The authentication system 3 performs user authentication in the same procedure as the user authentication process described so far (steps 63 and 64).

認証システム3は、機器の自動認証サービスの申請画面を情報家電機器1に送信する(ステップ65)。情報家電機器1は認証システム3から送信された画面を表示し、ユーザが画面上で「認証連携の申込」を選択することにより、情報家電機器1は認証システム3に認証連携の申込の要求を送信する(ステップ66)。認証連携の申込の要求を受信した認証システム3は、情報家電機器1に認証連携の申込画面を送信する(ステップ67)。情報家電機器1はその画面を表示し、ユーザは、家庭内のユーザ毎に連携する機器もしくは連携不許可等の入力を行う。そして、情報家電機器1は入力された情報を認証システム3に送信し(ステップ68)、認証システム3ではその情報を認証データベースに登録し、データ転送登録完了通知を情報家電機器1に送信する(ステップ69)。   The authentication system 3 transmits an application screen for automatic device authentication service to the information home appliance 1 (step 65). The information home appliance 1 displays the screen transmitted from the authentication system 3, and the user selects “application for authentication cooperation” on the screen, so that the information home appliance 1 requests the authentication system 3 to apply for authentication cooperation. Transmit (step 66). Upon receiving the request for authentication cooperation application, the authentication system 3 transmits an authentication cooperation application screen to the information home appliance 1 (step 67). The information home appliance 1 displays the screen, and the user inputs a device that cooperates for each user in the home or cooperation disapproval. Then, the information home appliance 1 transmits the input information to the authentication system 3 (step 68), the authentication system 3 registers the information in the authentication database, and transmits a data transfer registration completion notification to the information home appliance 1 ( Step 69).

(具体的な利用例)
「発明が解決しようとする課題」の欄で説明したように、ビデオカメラで撮影した映像をインターネット上で提供されているストレージサービスサイトにアップロードし、すぐに近くのテレビでその画像を確認する場合が考えられる。一般にテレビはリモコン等の入力機能を備えているので、パスワードを容易に入力できる。一方、ビデオカメラからパスワードを入力するのは一般に面倒な操作を要する。このような場合に、最初に親機器としてのテレビを用いてパスワード入力によるユーザ認証を行うことにより有効なユーザのアカウントでストレージサービスのサイトにログインしていれば、その後にビデオカメラでアクセスした場合にパスワードを入力することなく同じアカウントでサービスを利用でき、ユーザにとっての利便性が向上する。 (Specific usage example)
As explained in the section “Problems to be solved by the invention”, when uploading video shot with a video camera to a storage service site provided on the Internet and immediately checking the image on a nearby TV Can be considered. In general, since a television has an input function such as a remote controller, a password can be easily input. On the other hand, inputting a password from a video camera generally requires a troublesome operation. In such a case, if you log in to the storage service site with a valid user account by first performing user authentication by entering a password using the TV as the parent device, and then accessing with a video camera The service can be used with the same account without entering a password, and convenience for the user is improved.

また、医療関係のネットワークサービスサイトを利用する場合、ユーザ認証としてパスワードよりも強固な認証手段である指紋認証を利用することが考えられる。   Also, when using a medical network service site, it is conceivable to use fingerprint authentication, which is an authentication means stronger than a password, as user authentication.

一方、情報家電機器のインターネット利用が高度化し、生体認証が一般的になったとしても、一般に家電は使用期間が長いため、サービスを受けようとする情報家電機器に指紋認証装置がないことが考えられる。例えば、医療関係のネットワークサービスを受けるために利用するテレビには指紋認証装置がなく、テレビの近くに設置している新しいハードディスクレコーダにはネットワーク接続機能とともに指紋認証装置がある場合が考えられる。このような場合に、本実施の形態の認証方式を適用することにより、ハードディスクレコーダで指紋認証によるユーザ認証を行うことにより、テレビでのユーザ認証を行うことなくテレビを用いて医療関係のネットワークサービスを利用することが可能となる。   On the other hand, even though the use of information home appliances has become sophisticated and biometric authentication has become commonplace, home appliances generally have a long period of use, so it is considered that there is no fingerprint authentication device in information home appliances that are to receive services. It is done. For example, there may be a case where a television used for receiving medical network services does not have a fingerprint authentication device, and a new hard disk recorder installed near the television has a fingerprint authentication device together with a network connection function. In such a case, by applying the authentication method of the present embodiment, by performing user authentication by fingerprint authentication with a hard disk recorder, a medical-related network service using the TV without performing user authentication on the TV Can be used.

なお、上述したものは例に過ぎず、様々な状況で本実施の形態のシステムを利用することが可能である。また、本実施の形態の認証方式は情報家電機器以外にもあらゆる情報機器に適用することが可能である。   Note that the above is merely an example, and the system of this embodiment can be used in various situations. Further, the authentication method of the present embodiment can be applied to all information devices other than information home appliances.

なお、本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。   The present invention is not limited to the above-described embodiment, and various modifications and applications can be made within the scope of the claims.

本発明の実施の形態におけるシステム構成図である。It is a system configuration figure in an embodiment of the invention. 認証処理のシーケンスチャートである。It is a sequence chart of an authentication process. 情報家電機器の機能構成図である。It is a functional block diagram of information household appliances. 認証システムの機能構成図である。It is a functional block diagram of an authentication system. 認証データベースにおけるデータの一例を示す図である。It is a figure which shows an example of the data in an authentication database. 認証システムの動作の第1の例を示すフローチャートである。It is a flowchart which shows the 1st example of operation | movement of an authentication system. 認証システムの動作の第2の例を示すフローチャートである。It is a flowchart which shows the 2nd example of operation | movement of an authentication system. 認証システムの動作の第2の例における連携可能時間のチェックのフローチャートである。It is a flowchart of the check of the cooperation possible time in the 2nd example of operation | movement of an authentication system. 認証連携情報の登録処理のシーケンスチャートである。It is a sequence chart of a registration process of authentication cooperation information.

符号の説明Explanation of symbols

1 情報家電機器
3 認証システム
5 サービス提供システム
7 通信ネットワーク
11 本体部
12 ネットワーク通信部
13 制御部
14 入力部
15 表示部
16 データ格納部
31 ネットワーク通信部
32 機器認証部
33 ユーザ認証部
34 認証制御部
35 認証データベース DESCRIPTION OF SYMBOLS 1 Information home appliance 3 Authentication system 5 Service provision system 7 Communication network 11 Main part 12 Network communication part 13 Control part 14 Input part 15 Display part 16 Data storage part 31 Network communication part 32 Device authentication part 33 User authentication part 34 Authentication control part 35 Authentication database

Claims (7)

通信ネットワークに接続された情報機器のネットワークサービス利用可否を判定するために認証を行う認証システムであって、
情報機器間の親子関係情報を格納した親子関係格納手段と、
ある情報機器についての認証が成功した場合に、当該情報機器を親とする子として前記親子関係格納手段に設定されている情報機器に前記親の情報機器についての認証状態を引き継ぎ、前記子の情報機器についての認証を行わずに、当該子の情報機器のネットワークサービス利用を許可する認証制御手段と
を備えたことを特徴とする認証システム。 An authentication system that performs authentication to determine whether a network service of an information device connected to a communication network can be used,
Parent-child relationship storage means for storing parent-child relationship information between information devices;
When the authentication for a certain information device is successful, the information device set in the parent-child relationship storage means as a child having the information device as a parent takes over the authentication state of the parent information device, and the child information An authentication system comprising: an authentication control unit that permits use of a network service of the child information device without performing authentication of the device. 前記認証システムは、情報機器の認証状態を記録した認証状態格納手段を更に備え、
前記認証制御手段は、
前記親の情報機器についての認証が成功した場合に、前記認証状態格納手段における当該親の情報機器の認証状態を認証済みとし、
前記子の情報機器が前記認証システムにアクセスしてきた場合に、前記親子関係情報を参照することにより当該子の情報機器の親となる前記親の情報機器を把握し、当該親の情報機器の前記認証状態格納手段における認証状態が認証済みであることを確認することにより、前記子の情報機器のネットワークサービス利用を許可することを特徴とする請求項1に記載の認証システム。 The authentication system further includes an authentication state storage unit that records an authentication state of the information device,
The authentication control means includes
If the authentication of the parent information device is successful, the authentication state of the parent information device in the authentication state storage means is authenticated,
When the child information device accesses the authentication system, the parent information device that is a parent of the child information device is grasped by referring to the parent-child relationship information, and the parent information device 2. The authentication system according to claim 1, wherein use of a network service of the child information device is permitted by confirming that the authentication state in the authentication state storage means is authenticated. 前記認証システムは、情報機器の認証状態を記録した認証状態格納手段を更に備え、
前記認証制御手段は、
前記親の情報機器についての認証が成功した場合に、前記認証状態格納手段における当該親の情報機器の認証状態を認証済みとするとともに、前記親子関係情報を参照することにより前記親の情報機器の子となる前記子の情報機器を把握し、前記認証状態格納手段における当該子の情報機器の認証状態として認証済みであることを示す情報を記録し、
前記子の情報機器が前記認証システムにアクセスしてきた場合に、前記認証状態格納手段における当該子の情報機器の認証状態を確認することにより、当該子の情報機器のネットワークサービス利用を許可することを特徴とする請求項1に記載の認証システム。 The authentication system further includes an authentication state storage unit that records an authentication state of the information device,
The authentication control means includes
When authentication of the parent information device is successful, the authentication state of the parent information device in the authentication state storage means is authenticated, and the parent information device is referred to by referring to the parent-child relationship information. The child information device as a child is grasped, and information indicating that the child information device has been authenticated in the authentication state storage unit is recorded,
When the child information device accesses the authentication system, by confirming the authentication state of the child information device in the authentication state storage means, permitting use of the network service of the child information device. The authentication system according to claim 1, wherein: 前記認証は、情報機器へのユーザによる情報入力を必要とするユーザ認証であることを特徴とする請求項1ないし3のうちいずれか1項に記載の認証システム。   The authentication system according to any one of claims 1 to 3, wherein the authentication is user authentication that requires information input by a user to an information device. 前記認証システムは、情報機器の認証を行う機器認証手段を更に備え、前記認証制御手段は、前記機器認証手段による機器認証が成功した場合に、当該情報機器についてのユーザ認証を行うことを特徴とする請求項4に記載の認証システム。   The authentication system further includes a device authentication unit that authenticates an information device, and the authentication control unit performs user authentication for the information device when the device authentication by the device authentication unit is successful. The authentication system according to claim 4. 通信ネットワークに接続された情報機器のネットワークサービス利用可否を判定するために認証を行う機能を備えたコンピュータを、
情報機器間の親子関係情報を格納した親子関係格納手段にアクセスする手段、
ある情報機器についての認証が成功した場合に、当該情報機器を親とする子として前記親子関係格納手段に設定されている情報機器に前記親の情報機器についての認証状態を引き継ぎ、前記子の情報機器についての認証を行わずに、当該子の情報機器のネットワークサービス利用を許可する認証制御手段、
として機能させる認証制御プログラム。 A computer having a function of performing authentication in order to determine whether or not a network service of an information device connected to a communication network can be used;
Means for accessing parent-child relationship storage means storing parent-child relationship information between information devices;
When the authentication for a certain information device is successful, the information device set in the parent-child relationship storage means as a child having the information device as a parent takes over the authentication state of the parent information device, and the child information An authentication control means for permitting use of the network service of the child information device without authenticating the device;
Authentication control program to function as. 通信ネットワークに接続された情報機器のネットワークサービス利用可否を判定するために認証を行う手段と、情報機器間の親子関係情報を格納した親子関係格納手段とを備えた認証システムが実行する認証制御方法であって、
ある情報機器についての認証が成功した場合に、当該情報機器を親とする子として前記親子関係格納手段に設定されている情報機器に前記親の情報機器についての認証状態を引き継ぎ、前記子の情報機器についての認証を行わずに、当該子の情報機器のネットワークサービス利用を許可する認証制御ステップを備えたことを特徴とする認証制御方法。 An authentication control method executed by an authentication system comprising authentication means for determining whether or not a network service of an information device connected to a communication network can be used, and parent-child relationship storage means for storing parent-child relationship information between information devices Because
When the authentication for a certain information device is successful, the information device set in the parent-child relationship storage means as a child having the information device as a parent takes over the authentication state of the parent information device, and the child information An authentication control method comprising an authentication control step of permitting use of a network service of the child information device without performing authentication of the device.
JP2006341785A 2006-12-19 2006-12-19 Authentication system, authentication control program, and authentication control method Pending JP2008152666A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006341785A JP2008152666A (en) 2006-12-19 2006-12-19 Authentication system, authentication control program, and authentication control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006341785A JP2008152666A (en) 2006-12-19 2006-12-19 Authentication system, authentication control program, and authentication control method

Publications (1)

Publication Number Publication Date
JP2008152666A true JP2008152666A (en) 2008-07-03

Family

ID=39654755

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006341785A Pending JP2008152666A (en) 2006-12-19 2006-12-19 Authentication system, authentication control program, and authentication control method

Country Status (1)

Country Link
JP (1) JP2008152666A (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010045618A (en) * 2008-08-13 2010-02-25 Hitachi Ltd Authentication coordination system, terminal apparatus, storage medium, authentication coordination method, and authentication coordination program
JP2010122765A (en) * 2008-11-17 2010-06-03 Ricoh Co Ltd Authentication system, authentication method, authentication program, and storage medium
WO2010036538A3 (en) * 2008-09-24 2010-06-10 Microsoft Corporation Providing simplified internet access
JP2011253555A (en) * 2011-08-03 2011-12-15 Toshiba Corp Network access device using account server
JP2012088862A (en) * 2010-10-18 2012-05-10 Fujitsu Ltd Authentication program, authentication device and authentication method
JP2013101716A (en) * 2013-03-04 2013-05-23 Ricoh Co Ltd Authentication system, electronic apparatus, authentication method, authentication program and storage medium
JP2015108866A (en) * 2013-12-03 2015-06-11 株式会社Nttドコモ Authentication apparatus, authentication method, and program
JP2016015048A (en) * 2014-07-02 2016-01-28 株式会社バッファロー Information sharing system, information equipment, and program
WO2016143027A1 (en) * 2015-03-09 2016-09-15 富士通株式会社 Information processing device, cooperative device authentication program, and cooperative device authentication method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003281096A (en) * 2002-03-22 2003-10-03 Yamaha Corp Server device, communication terminal device, distribution system, and distribution program
JP2005135412A (en) * 2003-10-28 2005-05-26 Internatl Business Mach Corp <Ibm> Method and apparatus for supporting auto-logon for a plurality of devices
JP2006031175A (en) * 2004-07-13 2006-02-02 Sony Corp Information processing system, information processing apparatus, and program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003281096A (en) * 2002-03-22 2003-10-03 Yamaha Corp Server device, communication terminal device, distribution system, and distribution program
JP2005135412A (en) * 2003-10-28 2005-05-26 Internatl Business Mach Corp <Ibm> Method and apparatus for supporting auto-logon for a plurality of devices
JP2006031175A (en) * 2004-07-13 2006-02-02 Sony Corp Information processing system, information processing apparatus, and program

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010045618A (en) * 2008-08-13 2010-02-25 Hitachi Ltd Authentication coordination system, terminal apparatus, storage medium, authentication coordination method, and authentication coordination program
WO2010036538A3 (en) * 2008-09-24 2010-06-10 Microsoft Corporation Providing simplified internet access
JP2010122765A (en) * 2008-11-17 2010-06-03 Ricoh Co Ltd Authentication system, authentication method, authentication program, and storage medium
JP2012088862A (en) * 2010-10-18 2012-05-10 Fujitsu Ltd Authentication program, authentication device and authentication method
JP2011253555A (en) * 2011-08-03 2011-12-15 Toshiba Corp Network access device using account server
JP2013101716A (en) * 2013-03-04 2013-05-23 Ricoh Co Ltd Authentication system, electronic apparatus, authentication method, authentication program and storage medium
JP2015108866A (en) * 2013-12-03 2015-06-11 株式会社Nttドコモ Authentication apparatus, authentication method, and program
JP2016015048A (en) * 2014-07-02 2016-01-28 株式会社バッファロー Information sharing system, information equipment, and program
WO2016143027A1 (en) * 2015-03-09 2016-09-15 富士通株式会社 Information processing device, cooperative device authentication program, and cooperative device authentication method
US10491589B2 (en) 2015-03-09 2019-11-26 Fujitsu Client Computing Limited Information processing apparatus and device coordination authentication method

Similar Documents

Publication Publication Date Title
US11190822B2 (en) Digital audio-video content mobile library
US9413762B2 (en) Asynchronous user permission model for applications
US8352743B2 (en) Client device, key device, service providing apparatus, user authentication system, user authentication method, program, and recording medium
US9548975B2 (en) Authentication method, authentication system, and service delivery server
US10397008B2 (en) Management of secret data items used for server authentication
JP5296726B2 (en) Web content providing system, web server, content providing method, and programs thereof
JP4863777B2 (en) Communication processing method and computer system
JP2009130750A (en) Content distribution method, control terminal, and display terminal
JP5727661B2 (en) Authentication method, authentication system, service providing server, and authentication server
JP5687455B2 (en) Server, terminal, program, and service providing method
JP5207776B2 (en) Authentication system, information device, authentication method, and program
JP4302732B2 (en) Login authentication system for network cameras
JP2008152666A (en) Authentication system, authentication control program, and authentication control method
JP6635495B1 (en) Remote control system, remote control method, and program
JP2011221729A (en) Id linking system
JP4778250B2 (en) Content distribution system and method, and program
JP5036500B2 (en) Attribute certificate management method and apparatus
JP7112727B2 (en) Authentication system, its method, and its program
WO2012032628A1 (en) Information processing apparatus
JP5434441B2 (en) Authentication ID management system and authentication ID management method
CN111245803B (en) Method for acquiring MAC address of computer equipment through browser
JP2022087192A (en) Authentication system and its method, and its program
JP6897977B2 (en) Authentication system and its method, and its program
JP7228196B2 (en) terminal program
KR200239486Y1 (en) Equipment for preventing unlawful use of VOD services

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090514

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111020

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111101

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111227

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120124