技術 認証システム、認証サーバ、認証方法、認証プログラム

0001

本発明は、認証サーバが、端末装置をネットワークを介して認証するシステムに関し、特に認証に位置情報を用いる認証システム、認証サーバ、認証方法、認証プログラムに関する。

0002

従来、サーバが、携帯情報端末から受信した位置情報に基づいて携帯情報端末を認証し、認証結果が正であることを条件として、携帯情報端末に対してオンライン商取引サービスを提供する認証システムが開示されている。携帯情報端末の所有者は、認証結果が正となるエリアとして例えば自宅や勤務先などを登録しておくことによって、パスワード入力といった煩雑な操作をすることなく、オンライン商取引サービスを利用することができる。一方、携帯情報端末を紛失したり或いは第三者によって携帯情報端末が盗難されたりした場合であっても、認証結果が否となるエリアに携帯情報端末が位置している限りは、サーバから携帯情報端末に対してパスワードの送信を要求するため、オンライン商取引サービスが悪用されてしまうことを回避することができる。（例えば、特許文献１参照）

0003

特開２００２−２３２９５５号公報

0004

しかしながら特許文献１に開示された技術では、携帯情報端末が、位置情報を例えばＧＰＳ（Global Positioning System）衛星から取得している場合、ＧＰＳ衛星の電波の届きにくい屋内や地下室にあるときは、位置情報が取得できず、サーバは、位置情報に基づいた認証を行うことができない。このため、ユーザの利便性が損なわれる場合があった。

0005

本発明はこうした状況に鑑みてなされたものであり、その目的は、端末装置が自身の位置情報を取得できない場合でも、位置情報に基づいた認証を行う技術を提供することにある。

0006

上記課題を解決するために、本発明は下記のシステム、装置、方法及びプログラムを提供するものである。
（１）端末装置と認証サーバとを含んで構成される認証システムであって、
前記端末装置は、
位置情報を取得する位置情報取得部と、
ＩＰパケットのネットワーク通信を行うネットワーク通信部と、
前記位置情報取得部が位置情報を取得した場合は、当該取得した位置情報を含む認証要求を、前記位置情報取得部が位置情報を取得しない場合は、位置情報を含まない認証要求を前記認証サーバに対して前記ネットワーク通信部を介して送信する認証要求部と、
を備え、
前記認証サーバは、
前記端末装置から送信された認証要求を含むＩＰパケットを受信するネットワーク通信部と、
所定のエリア情報を記憶する第１記憶部と、
ＩＰアドレス情報を記憶する第２記憶部と、
前記認証要求に位置情報が含まれる場合、当該位置情報と前記第１記憶部で記憶しているエリア情報とに基づき認証結果を判定し、前記認証要求に位置情報が含まれない場合、前記認証要求を含んだＩＰパケットに記載されている送信元ＩＰアドレス情報及び前記第２記憶部で記憶しているＩＰアドレス情報のそれぞれの所定部分に基づき認証結果を判定する制御部と、
を備え、
前記制御部は、認証要求に含まれる位置情報及び第１記憶部に記憶しているエリア情報とに基づき認証結果を可と判定した場合、当該認証要求を含んだＩＰパケットに記載されている送信元ＩＰアドレス情報を前記第２記憶部に記憶させる、
ことを特徴とする認証システム。
（２）端末装置と認証サーバとを含んで構成される認証システムであって、
前記端末装置は、
位置情報を取得する位置情報取得部と、
ＩＰパケットのネットワーク通信を行うネットワーク通信部と、
前記位置情報取得部が位置情報を取得した場合は、当該取得した位置情報を含む認証要求を、前記位置情報取得部が位置情報を取得しない場合は、位置情報を含まない認証要求を前記認証サーバに対して前記ネットワーク通信部を介して送信する認証要求部と、
を備え、
前記認証サーバは、
前記端末装置から送信された認証要求を含むＩＰパケットを受信するネットワーク通信部と、
所定のエリア情報を記憶する第１記憶部と、
ＩＰアドレス情報と位置情報とを対応付けて記憶する第２記憶部と、
前記認証要求に位置情報が含まれない場合、前記認証要求を含んだＩＰパケットに記載されている送信元ＩＰアドレス情報と所定部分が一致している前記第２記憶部で記憶しているＩＰアドレス情報を特定し、この特定したＩＰアドレス情報に対応付けられた位置情報と前記第１記憶部で記憶しているエリア情報とに基づき認証結果を判定する制御部と、
を備え、
前記制御部は、前記認証要求に位置情報が含まれている場合、当該認証要求を含んだＩＰパケットに記載されている送信元ＩＰアドレス情報と当該位置情報とを対応付けて前記第２記憶部に記憶させる、
ことを特徴とする認証システム。
（３）認証要求を含むＩＰパケットを受信するネットワーク通信部と、
所定のエリア情報を記憶する第１記憶部と、
ＩＰアドレス情報を記憶する第２記憶部と、
前記認証要求に位置情報が含まれる場合、当該位置情報と前記第１記憶部で記憶しているエリア情報とに基づき認証結果を判定し、前記認証要求に位置情報が含まれない場合、前記認証要求を含んだＩＰパケットに記載されている送信元ＩＰアドレス情報及び前記第２記憶部で記憶しているＩＰアドレス情報のそれぞれの所定部分に基づき認証結果を判定する制御部と、
を備え、
前記制御部は、認証要求に含まれる位置情報及び第１記憶部に記憶しているエリア情報とに基づき認証結果を可と判定した場合、当該認証要求を含んだＩＰパケットに記載されている送信元ＩＰアドレス情報を前記第２記憶部に記憶させる、
ことを特徴とする認証サーバ。
（４）認証要求を含むＩＰパケットを受信するネットワーク通信部と、
所定のエリア情報を記憶する第１記憶部と、
ＩＰアドレス情報と位置情報とを対応付けて記憶する第２記憶部と、
前記認証要求に位置情報が含まれない場合、前記認証要求を含んだＩＰパケットに記載されている送信元ＩＰアドレス情報と所定部分が一致している前記第２記憶部で記憶しているＩＰアドレス情報を特定し、この特定したＩＰアドレス情報に対応付けられた位置情報と前記第１記憶部で記憶しているエリア情報とに基づき認証結果を判定する制御部と、
を備え、
前記制御部は、前記認証要求に位置情報が含まれている場合、当該認証要求を含んだＩＰパケットに記載されている送信元ＩＰアドレス情報と当該位置情報とを対応付けて前記第２記憶部に記憶させる、
ことを特徴とする認証サーバ。
（５）端末装置と認証サーバとを含んで構成される認証方法であって、
前記端末装置は、
位置情報を取得する位置情報取得ステップと、
位置情報を取得した場合は、当該取得した位置情報を含む認証要求を、位置情報を取得しない場合は、位置情報を含まない認証要求を前記認証サーバに対してＩＰパケットのネットワーク通信で送信する認証要求ステップと、
を備え、
前記認証サーバは、
前記端末装置から送信された認証要求を含むＩＰパケットを受信するネットワーク通信ステップと、
前記認証要求に位置情報が含まれる場合、当該位置情報と記憶している所定のエリア情報とに基づき認証結果を判定し、前記認証要求に位置情報が含まれない場合、前記認証要求を含んだＩＰパケットに記載されている送信元ＩＰアドレス情報及び記憶しているＩＰアドレス情報のそれぞれの所定部分に基づき認証結果を判定する制御ステップと、
を備え、
前記制御ステップは、認証要求に含まれる位置情報及び記憶している所定のエリア情報とに基づき認証結果を可と判定した場合、当該認証要求を含んだＩＰパケットに記載されている送信元ＩＰアドレス情報を記憶する、
ことを特徴とする認証方法。
（６）端末装置と認証サーバとを含んで構成される認証方法であって、
前記端末装置は、
位置情報を取得する位置情報取得ステップと、
位置情報を取得した場合は、当該取得した位置情報を含む認証要求を、位置情報を取得しない場合は、位置情報を含まない認証要求を前記認証サーバに対してＩＰパケットのネットワーク通信で送信する認証要求ステップと、
を備え、
前記認証サーバは、
前記端末装置から送信された認証要求を含むＩＰパケットを受信するネットワーク通信ステップと、
前記認証要求に位置情報が含まれない場合、前記認証要求を含んだＩＰパケットに記載されている送信元ＩＰアドレス情報と所定部分が一致している記憶しているＩＰアドレス情報を特定し、この特定したＩＰアドレス情報に対応付けられた位置情報と記憶している所定のエリア情報とに基づき認証結果を判定する制御ステップと、
を備え、
前記制御ステップは、前記認証要求に位置情報が含まれている場合、当該認証要求を含んだＩＰパケットに記載されている送信元ＩＰアドレス情報と当該位置情報とを対応付けて記憶する、
ことを特徴とする認証方法。
（７）認証要求を含むＩＰパケットを受信するネットワーク通信ステップと、
前記認証要求に位置情報が含まれる場合、当該位置情報と記憶している所定のエリア情報とに基づき認証結果を判定し、前記認証要求に位置情報が含まれない場合、前記認証要求を含んだＩＰパケットに記載されている送信元ＩＰアドレス情報及び記憶しているＩＰアドレス情報のそれぞれの所定部分に基づき認証結果を判定する制御ステップと、
を備え、
前記制御ステップは、認証要求に含まれる位置情報及び記憶しているエリア情報とに基づき認証結果を可と判定した場合、当該認証要求を含んだＩＰパケットに記載されている送信元ＩＰアドレス情報を記憶する、
ことを特徴とする認証方法。
（８）認証要求を含むＩＰパケットを受信するネットワーク通信ステップと、
前記認証要求に位置情報が含まれない場合、前記認証要求を含んだＩＰパケットに記載されている送信元ＩＰアドレス情報と所定部分が一致している記憶しているＩＰアドレス情報を特定し、この特定したＩＰアドレス情報に対応付けられた位置情報と記憶しているエリア情報とに基づき認証結果を判定する制御ステップと、
を備え、
前記制御ステップは、前記認証要求に位置情報が含まれている場合、当該認証要求を含んだＩＰパケットに記載されている送信元ＩＰアドレス情報と当該位置情報とを対応付けて記憶する、
ことを特徴とする認証方法。
（９）前記（７）又は（８）に記載された認証方法をコンピュータに実行させる認証プログラム。

0007

本発明は、端末装置が自身の位置情報を取得できない場合でも、位置情報に基づいた認証を行うことができる。

0008

本発明の実施例１に係る、認証システムの構成例である。
本発明の実施例に係る、端末装置の構成を示した図である。
本発明の実施例１に係る、処理の流れを示した図である。
本発明の実施例に係る、認証サーバの構成を示した図である。
本発明の実施例２に係る、認証システムの構成例である。
本発明の実施例２に係る、処理の流れを示した図である。
本発明の実施例２に係る、シーケンスを示した図である。
本発明の実施例２の変形例に係る、処理の流れを示した図である。

0009

（実施例１）
本発明を具体的に説明する前に、まず概要を述べる。

0010

図１は、本発明の実施例１に係る認証システムの構成を示した図である。本発明の実施例に係る認証システムは、認証サーバ１０、端末装置２０、ＧＰＳ機能付装置３０及びルータ４０を含んで構成される。

0011

端末装置２０は、ＧＰＳ機能付き装置３０と同一のＬＡＮ（Local Area Network）５０に接続されている。またこのＬＡＮ５０はルータ４０を介してInternetと接続されている。端末装置２０は、ＧＰＳ衛星の電波を受信することで自身の現在位置情報を取得し、この位置情報を含めた認証要求をＬＡＮ５０を介してInternetに接続された認証サーバ１０に送信する。また、端末装置２０は、ＧＰＳ衛星の電波を受信できず自身の現在位置情報を取得できないときは、ＬＡＮ５０に接続されている他の装置に対して当該装置の現在位置情報の送信の要求を行う。ＧＰＳ機能付き装置３０は、この現在位置情報の送信の要求を受信した場合、ＧＰＳ衛星の電波を受信すること等で自身の現在位置情報を取得できるときは、端末装置２０へ自身の現在位置情報を送信する。端末装置２０は、他の装置から現在位置情報を受信したときは、受信した位置情報を含めた認証要求をＬＡＮ５０を介して認証サーバ１０に送信する。

0012

認証サーバ１０は、端末装置２０からの認証要求を受付けると、認証サーバ１０が予め記憶している認証結果を可とするエリア内に、認証要求に含まれる位置情報に基づく位置が入っている否かを判定し、入っている場合は認証結果を可とする。

0013

端末装置２０が接続されているＬＡＮ５０と同一のＬＡＮ５０に接続されているその他の装置は、異なるネットワークに接続されている装置と比較すると、端末装置２０と物理的に近い位置に存在する蓋然性が高い。またＬＡＮは、一般的に同一の構内（同一の建物内等）で使用されるため、同一ＬＡＮ内に接続される各装置間の位置は、一般的に建物等の構内の範囲に限定される。従って、認証サーバ１０が予め記憶している認証結果を可とするエリアの大きさを、この構内の範囲を想定したエリアとしておけば、端末装置２０がＧＰＳ機能付き装置３０から取得した位置情報を含めた認証要求は、認証サーバ１０に於いて認証結果が可となる。なお、認証サーバ１０は、認証結果を可とした端末装置２０に対して、それ以降、所定のサービスの提供を行うことを許可する。

0014

以上より、端末装置２０がＧＰＳ衛星の電波を自身で受信できず現在位置情報を取得できない場合でも、位置情報に基づいた認証を行うことができる。

0015

なお、ＧＰＳ機能付き装置３０として、端末装置２０を用いることもできる。例えば、ＬＡＮ５０に複数の端末装置２０が接続されており、一の端末装置２０が他の端末装置２０から現在位置情報を取得するように構成してもよい。

0016

図２は、本発明の実施例１に係る端末装置２０の構成を示す。端末装置２０は、ＧＰＳ電波受信部２１、第１位置情報取得部２２、ネットワーク通信部２３、第２位置情報取得部２４、認証要求部２５、制御部２６を含んで構成される。端末装置２０は、例えば、スマートフォン、携帯電話、ノート型コンピュータ、デスクトップ型コンピュータなどであるが、これらに限定される訳ではなく、その形状や大きさは問わない。

0017

ＧＰＳ電波受信部２１は、ＧＰＳ衛星アンテナと接続され、ＧＰＳ衛星アンテナで受信したＧＰＳ衛星信号を出力する。

0018

第１位置情報取得部２２は、制御部２６からの現在位置情報の要求を契機として、ＧＰＳ電波受信部２１から入力したＧＰＳ衛星信号に基づき自身の現在位置情報（緯度、経度等）を取得する。また、この取得した現在位置情報を、制御部２６に出力する。なお、ＧＰＳ衛星信号とは異なる情報を用いて、端末装置２０の現在位置情報を取得してもよい。例えば、無線ＬＡＮのアクセスポイントに関する情報を用いて現在位置情報を取得してもよいし、携帯電話や業務用無線システムの基地局に関する情報を用いて現在位置情報を取得してもよい。そのような場合には、ＧＰＳ電波受信部２１を省略することも可能である。同様に、ＧＰＳ機能付き装置３０は、ＧＰＳ以外の情報を用いて、位置情報を取得してもよい。

0019

ネットワーク通信部２３は、ＬＡＮ５０と接続され、端末装置２０とＬＡＮ５０に接続された他の装置とのＩＰネットワーク通信を可能とする。なお、認証サーバ１０との通信を行う際は、ネットワーク通信部２３を用いてもよいし、別の通信手段（図示せず）を用いてもよい。

0020

第２位置情報取得部２４は、制御部２６からの現在位置情報の要求を契機として、ネットワーク通信部２３を介し、ＬＡＮ５０に接続された他の装置全てに対して、当該装置の現在位置情報の送信の要求を行う。ＬＡＮ５０に接続された他の装置全てに対する要求は、公知の技術、例えばブロードキャスト通信技術等を使用すればよい。なおこの際に、ローカルブロードキャスト（リミテッドブロードキャスト）等を用いて送信範囲を端末装置２０が接続されているネットワークセグメントに限定することが望ましいが、場合によっては、ディレクティッドブロードキャスト等を用いて、別のセットワークセグメントを送信対象にしてもよい。また、別のネットワークセグメントを送信対象に含める場合に、ホップ数が所定数以下に相当するネットワークセグメントのみを対象にしてもよい。また、端末装置２０が、あらかじめＬＡＮ５０に接続されたＧＰＳ機能付装置３０のＩＰアドレス等の情報を保有している場合は、ブロードキャストを用いずに、個別に（ユニキャストで）ＧＰＳ機能付装置３０に対して、現在位置情報の送信の要求を行ってもよい。この現在位置情報の送信の要求に対応した他の装置から送信された現在位置情報は、ネットワーク通信部２３を介し、第２位置情報取得部２４が取得する。また、第２位置情報取得部２４は、この取得した現在位置情報を、制御部２６に出力する。

0021

認証要求部２５は、制御部２６から現在位置情報を入力する。また、認証要求部２５は、現在位置情報を入力すると、ネットワーク通信部２３を介し、認証サーバ１０に対して、この現在位置情報を含めた認証要求を行う。

0022

制御部２６は、ユーザからの認証要求を図示しない操作部から受付ける。制御部２６は、ユーザからの認証要求を受付けると、第１情報取得部２２に対して、現在位置情報を要求する。第１情報取得部２２から現在位置情報が取得できなかったときは、第２情報取得部２４に対して、現在位置情報を要求する。制御部２６は、第１情報取得部２２または第２情報取得部２４から取得した現在位置情報を認証要求部２５に出力する。

0023

なお、認証要求部２５と制御部２６とを一体的に構成して認証要求部２５とし、前述及び後述する認証要求部２５と制御部２６の動作を、認証要求部２５として実施するようにしてもよい。

0024

以上の構成による端末装置２０の動作を説明する。

0025

図３は、本実施例に係る端末装置２０による、処理の流れを示すフローチャートである。

0026

制御部２６は、ユーザから認証要求の指示を受付ける（Ｓ１０）。制御部２６は認証要求を受付けると、第１情報取得部２２に対して、現在位置情報を要求する（Ｓ１１）。第１情報取得部２２は、現在位置情報を要求されると、ＧＰＳ電波受信部２１から入力したＧＰＳ衛星信号に基づき自身の現在位置情報を取得できた場合は、取得した位置情報を制御部２６に出力する（Ｓ１２のＹｅｓ）。屋内等でＧＰＳ電波が受信できない等により、現在位置情報を取得できない場合は、位置情報を制御部２６に出力しない（Ｓ１２のＮｏ）。

0027

ステップＳ１２でＹｅｓの場合、制御部２６は、認証要求部２５及びネットワーク通信部２３を介し、ステップＳ１２で取得した現在位置情報を認証要求に含め、認証要求を認証サーバ１０に送信する（Ｓ１７）。

0028

ステップＳ１２でＮｏの場合、制御部２６は、第２情報取得部２４に対して、現在位置情報を要求する（Ｓ１３）。第２情報取得部２４は、現在位置情報を要求されると、ネットワーク通信部２３を介し、ＬＡＮ５０に接続された他の装置に対して、当該装置の現在位置情報の送信の要求を行う。要求を受けたＧＰＳ機能付き装置３０（他の装置）から現在位置情報を受信した場合は、取得した位置情報を制御部２６に出力する（Ｓ１４のＹｅｓ）。ＬＡＮ５０に接続された装置が存在しなかったり、ＬＡＮ５０に接続された他の装置全てが、現在位置情報の送信の要求に対応していない等により、現在位置情報を受信できなかった場合は、現在位置情報を制御部２６に出力しない（Ｓ１４のＮｏ）。

0029

ステップＳ１４でＹｅｓの場合、制御部２６は、認証要求部２５及びネットワーク通信部２３を介し、ステップＳ１４で取得した現在位置情報を認証要求に含め、認証要求を認証サーバ１０に送信する（Ｓ１６）。

0030

ステップＳ１４でＮｏの場合、制御部２６は、位置情報を含めない認証要求を認証サーバ１０に送信する（Ｓ１５）。この場合、位置情報が不明であることを示す何らかの情報を位置情報に含めてもよいし、位置情報に関する情報を全く認証要求に含めなくてもよい。

0031

なお、第２情報取得部２４は、ＬＡＮ５０に接続された他の装置に対して、当該装置の現在位置情報の送信の要求を行ってから、所定の時間が経過する前に、他の装置から現在位置情報を受信した場合のみ、取得した位置情報を制御部２６に出力する（Ｓ１４のＹｅｓ）ようにしてもよい。これは、他の装置との送受信の所要時間が、端末装置２０と他の装置との物理的な距離と対応関係があると想定し、所定の時間を経過した場合は、端末装置２０と他の装置との物理的な距離が所定距離以上離れていると仮定して、その位置情報を使用しないためである。また、端末装置２０から、位置情報を送信した他の装置までのホップ数を計測し、ホップ数が所定数以下の場合にのみ、取得した位置情報を制御部２６に出力する（Ｓ１４のＹｅｓ）ようにしてもよい。また、複数の他の装置から現在位置情報を受信した場合は、最初に受信した現在位置情報のみを制御部２６に出力する（Ｓ１４のＹｅｓ）。あるいは、複数の他の装置から現在位置情報を受信した場合は、受信した複数の現在位置情報の代表値（平均値、中央値、最頻値、四分位値など）を算出する等、複数の現在位置情報に基づいて一の現在位置情報を導出して、制御部２６に出力するようにしてもよい。更に、複数の他の装置から現在位置情報を受信した場合に、他の装置との送受信の所要時間や、他の装置とのホップ数を用いて、各々の現在位置情報を重み付けし、一の現在位置情報を導出してもよい。例えば、送受信の所要時間やホップ数が小さいほど、対応する現在位置情報の重み係数を大きくして加重平均し、一の現在位置情報を導出してもよい。

0032

図４は、本発明の実施例１に係る認証サーバ１０の構成を示す。認証サーバ１０は、ネットワーク通信部１１、記憶部１２、制御部１３を含んで構成される。

0033

ネットワーク通信部１１は、通信回線と接続され、認証サーバ１０と通信回線に接続された他の装置とのＩＰネットワーク通信を可能とする。

0034

記憶部１２は、認証要求の可否を判定する際に使用するエリア情報を予め記憶する。なお、このエリア情報の内容は、認証サーバの管理者等により、認証対象としている端末装置が正規に使用される場合のエリアを想定して設定される。

0035

制御部１３は、ネットワーク通信部１１を介して位置情報を含んだ認証要求を受付ける。制御部１３は、位置情報を含んだ認証要求を受付けると、記憶部１２に記憶されているエリア内に、この位置情報に基づく位置が含まれているかを判定し、含まれている場合は認証結果を可とし、含まれていない場合は認証結果を不可とする。また、認証要求の位置情報が不明の場合や認証要求に位置情報が含まれていない場合には、認証結果を不可とする。位置情報による認証結果が不可となった場合には、パスワード認証、生体認証などの別の認証手段を用いて、認証するようにしてもよい。

0036

なお、端末装置２０が認証要求を認証サーバ１０に送信する際に、認証要求に含まれる現在位置情報が、端末装置２０自身の位置情報であるか（Ｓ１７に相当）、あるいは他の装置の位置情報であるか（Ｓ１６に相当）を区別可能な情報（位置種別情報）を認証要求に含めてもよい。また、認証サーバ１０は、認証要求に位置種別情報が含まれている場合には、更に位置種別情報を用いて認証処理を行うようにしてもよい。例えば、端末装置２０自身の位置情報である場合には、端末装置２０を利用するユーザが、全種類のサービスを利用できるようにし、他の装置の位置情報である場合には、一部のサービスのみ利用できる等の利用制限をかけてもよい。また、位置種別情報が、端末装置２０自身の位置情報である場合には、システム管理者権限の必要なサービスを含めて提供し、他の装置の位置情報である場合には、システム管理者権限の必要なサービスを除外し、エンドユーザ権限で実行可能なサービスのみ提供するようにしてもよい。すなわち、認証結果を３段階以上に細分化して、複数種類（複数段階）の「可」と「不可」を設定し、位置種別情報に応じて、複数種類の「可」の中のいずれかを選択し、認証結果とするようにしてもよい。さらに、他の装置から位置情報を取得する際に要した時間情報を認証要求に含めた上で、それに応じて認証サーバ１０の動作を変えるようにしてもよい。

0037

また、端末装置２０の構成において、第１位置情報取得部２２を省略してもよい。その場合、図３のフローチャートにおいて、ステップＳ１１、Ｓ１２、Ｓ１７の各処理を省略し、ステップＳ１０の後にステップＳ１３を実行すればよい。そのような構成にすることで、より多様な装置を端末装置２０として用いることができる。
（実施例２）
次に実施例２について説明する。実施例２も実施例１と同様に位置情報を用いた認証システムに関する。以下、実施例１と異なる部分を中心に説明する。

0038

図５は、本発明の実施例２に係る認証システムの構成を示した図である。ルータ４０は、ルーティング機能の他、プロキシサーバ（中継装置）としての機能も提供している。ＬＡＮ５０に接続された端末装置２０ａ及び２０ｂから、認証サーバ１０へ認証要求を送信するとき、この認証要求はルータ４０を介して送信される。ルータ４０からこの認証要求を認証サーバ１０へ送信するとき、ルータ４０はこの認証要求が含まれるＩＰパケットのヘッダの送信元ＩＰアドレスを、ルータ４０のＩＰアドレスに書き換える。従って、ＬＡＮ５０に接続された、どの端末装置２０からの認証要求でも、認証サーバ１０がこの認証要求を受信するときは、その送信元ＩＰアドレスはルータ４０のＩＰアドレスとなる。前述した通り、ＬＡＮ５０に接続されている各装置は物理的に近い位置に存在する蓋然性が高い。この特性に基づき、送信元ＩＰアドレスが同一の認証要求は、物理的に近い位置に存在する端末装置２０のいずれかから送信されたものと認証サーバ１０は判定する。

0039

認証サーバ１０は、実施例１と同様に、認証要求に含まれる位置情報に基づき認証を行う。但し、認証結果を可とした場合は、その送信元ＩＰアドレスを記憶する。その後、認証要求を受付けた際は、認証要求に含まれる位置情報が不明の場合、及び認証要求に位置情報が含まれていない場合に、その送信元ＩＰアドレスが、以前に記憶した送信元ＩＰアドレスと同一のときは、認証結果を可とする。これは、認証要求を送信した端末装置２０が、自身の現在位置情報を何らかの理由で取得できなかった場合を想定した対応である。

0040

以上より、端末装置２０がＧＰＳの電波を自身で受信できず現在位置情報を取得できない場合でも、位置情報に基づいた認証を行うことができる。

0041

本発明の実施例２に係る端末装置２０の構成及びその手順は、実施例１と同様なものを用いることができる。なお、第２情報取得部２４を省略することも可能である。この場合、図３に於けるステップＳ１３、Ｓ１４、Ｓ１６の各処理は行なわず、ステップＳ１２においてＮｏとなった場合はステップＳ１５に進めばよい。また、前述した通り、認証要求部２５と制御部２６とを一体的に構成し、例えば、認証要求部２５が、ステップＳ１０、Ｓ１２、Ｓ１５、Ｓ１７の各処理を行うように構成してもよい。

0042

本発明の実施例２に係る認証サーバ１０の構成は、実施例１と同様で、図４に示す通りである。記憶部１２は実施例１での記載内容に加え、エリア情報の他、送信元ＩＰアドレス情報を記憶する。記憶部１２をエリア情報を記憶する第１記憶部と、送信元ＩＰアドレス情報を記憶する第２記憶部とに分けて構成してもよい。制御部１３は、実施例１で説明した位置情報に加え、受付けた認証要求を含むＩＰパケットのヘッダに記載されている送信元ＩＰアドレス（以下、認証要求の送信元ＩＰアドレス）を、記憶部１２に記憶させる。また制御部１３は、記憶部１２に記憶されている送信元ＩＰアドレスの読出しを行なう。さらに、制御部１３は、計時機能を持ち、送信元ＩＰアドレスを記憶部１２に記憶させてから、所定の時間（例えば８時間）経過したときは、記憶部１２が記憶している送信元ＩＰアドレスを削除するようにしてもよい。

0043

図６は、認証サーバ１０による処理手順を示すフローチャートである。本フローチャートの開始の時点では、記憶部１２には、認証済みＩＰアドレスは記憶されていない。また、制御部１３は、前述した所定の時間経過のための計時も行なっていない。

0044

制御部１３は、ネットワーク通信部１１を介して認証要求を受付ける（Ｓ２０）。制御部１３は、認証要求に位置情報が含まれるか否かを判定する（Ｓ２１）。ステップＳ２１でＹｅｓの場合はステップＳ２２に進み、Ｎｏの場合はステップＳ２５に進む。制御部１３は、記憶部１２に記憶されているエリア内に、認証要求に含まれる位置情報に基づく位置が含まれているかを判定する（Ｓ２２）。ステップＳ２２でＹｅｓの場合、制御部１３は、受付けた認証要求の送信元ＩＰアドレスを認証済みＩＰアドレス（登録ＩＰアドレス）として記憶部１２に記憶させると共に、認証済みＩＰアドレスごとに計時を開始する（Ｓ２３）。ステップ２３の後、制御部１３は、受付けた認証要求の結果を可とする（Ｓ２４）。ステップＳ２２でＮｏの場合、受付けた認証要求の結果を不可とする（Ｓ２８）。また制御部１３は、計時した時間（記憶部１２に登録された時点からの経過時間）が所定時間（例えば８時間）以上となった認証済みＩＰアドレスが存在するかを判定する（Ｓ２５）。ステップＳ２５でＹｅｓの場合、制御部１３は、経過時間が所定時間以上になった認証済みＩＰアドレスを記憶部１２から削除する（Ｓ２６）。ステップＳ２６の後及びステップＳ２５でＮｏの場合、受付けた認証要求の送信元ＩＰアドレスと、記憶部１２が記憶している認証済みＩＰアドレスが一致するか判定する（Ｓ２７）。Ｓ２７でＹｅｓの場合、制御部１３は、受付けた認証要求の結果を可とする（Ｓ２４）。Ｓ２７でＮｏの場合、制御部１３は、受付けた認証要求の結果を不可とする（Ｓ２８）。ステップ２４及び２８の後は、ステップＳ２０に戻る。

0045

なお、ステップＳ２３において、認証済みＩＰアドレスごとに計時を開始する代わりに、認証済みＩＰアドレスと、それが記憶部１２に登録される時点を示す情報（登録日時）とを対応付けて記憶部１２に記憶させてもよい。その場合、ステップＳ２５において、現在日時と、記憶部１２に記憶されている各々の登録日時との差（経過時間）を計算し、経過時間が所定時間以上となった認証済みＩＰアドレスが存在するか否かを判定すればよい。

0046

また、認証要求の結果を可または不可と２値的に判定するだけでなく、３段階以上の認証結果を出力するようにしてもよい。例えば、ステップＳ２７において、２つのＩＰアドレスの一致を判定する際に、認証済みＩＰアドレスの経過時間を用いて、経過時間が短いほど、より広範囲なサービスに対する認証を可とする判定をしてもよい。例えば、経過時間が１時間未満である場合には、管理者権限の必要なサービスを含めて全サービスを利用許可し、経過時間が１時間以上かつ４時間未満である場合は、管理者権限が必要なサービスを除外した一般ユーザ権限で利用可能なサービスのみ利用許可し、経過時間が４時間以上かつ８時間未満である場合は、一般ユーザ権限よりも更に限定されたゲストユーザ権限で利用可能なサービスのみ利用許可する、といった処理を行ってもよい。

0047

また、本実施例においても、端末装置２０が認証要求を認証サーバ１０に送信する際に、認証要求に含まれる現在位置情報が、端末装置２０自身の位置情報であるか、あるいは他の装置の位置情報であるかを区別可能な情報（位置種別情報）を認証要求に含めてもよい。そして、認証サーバ１０が、更に位置種別情報を用いて認証処理を行うようにしてもよい。具体的には、まず認証結果を３段階以上に細分化して、複数種類（複数段階）の「可」と「不可」を設定する。ステップＳ２２において、位置情報がエリア内である場合に、位置種別情報に応じて、複数種類の「可」のうちのいずれかを選択し、認証結果とする。ステップＳ２３において、認証済みＩＰアドレスと、当該認証要求に含まれる位置種別情報とを対応させて記憶部１２に記憶させる。そしてステップＳ２７において、受付けた認証要求の送信元ＩＰアドレスに一致する認証済みＩＰアドレスを特定し、その特定したＩＰアドレスに対応する位置種別情報を取得し、それに応じて認証結果を判定する。すなわち、受付けた認証要求の送信元ＩＰアドレスに一致する認証済みＩＰアドレスが存在する場合、その認証済みＩＰアドレスに対応する位置種別情報に応じて、複数種類の「可」の中のいずれかを選択し、認証結果とする。

0048

図５の様に、ＬＡＮ５０に、ＧＰＳ衛星の電波を受信できている端末装置２０aと、受信環境が悪くＧＰＳ衛星の電波を受信できていない端末装置２０ｂが接続されている場合の、実施例２に於けるシーケンスの一例を以下説明する。

0049

図７は、端末装置２０a及び２０ｂから認証要求が認証サーバ１０に送信された際のシーケンス図の一例である。

0050

端末装置２０ａは、ＧＰＳ衛星の電波を受信することで自身の現在位置情報を取得し、その位置情報を認証要求に含めて、認証要求を認証サーバ１０に送信する。この認証要求の送信元ＩＰアドレスには、端末装置２０ａのＩＰアドレス（例えば、192.168.1.1）が設定される。なお、端末装置２０ａから認証サーバ１０へ送信された認証要求は、一旦、ルータ４０で受信される（Ｓ７１）。ルータ４０では、この認証要求を受信すると、この認証要求の送信元ＩＰアドレスをルータ４０のＩＰアドレス（例えば、123.4.5.6）に設定し、この認証要求を認証サーバ１０に送信する（Ｓ７２）。認証サーバ１０では、この認証要求を受信すると、前述した通り、記憶部１２に記憶されているエリア内に、認証要求に含まれる位置情報に基づく位置が含まれているかを判定し、含まれている場合、認証要求の送信元ＩＰアドレスを認証済みＩＰアドレスとして記憶部１２に記憶させ（Ｓ７３）、認証結果を可とする（Ｓ７４）。

0051

端末装置２０ｂは、端末装置２０ａが認証要求を送信した後に、認証要求を認証サーバ１０に送信する。端末装置２０ｂは、ＧＰＳ衛星の電波を受信できず自身の現在位置情報を取得できないため、位置情報を含めない（参照：図３のＳ１５）認証要求を送信する（Ｓ７５）。この認証要求の送信元ＩＰアドレスには、端末装置２０ｂのＩＰアドレス（例えば、192.168.1.2）が設定される。Ｓ７２と同様、ルータ４０では、この認証要求を受信すると、この認証要求の送信元ＩＰアドレスをルータ４０のＩＰアドレス（例えば、123.4.5.6）に設定し、この認証要求を認証サーバ１０に送信する（Ｓ７６）。認証サーバ１０では、この認証要求を受信すると、認証要求に含まれる位置情報が無いため、位置情報に基づいては認証結果を可とせず、送信元ＩＰアドレスと記憶部１２が記憶している認証済みＩＰアドレスが一致するか判定し（Ｓ７７）、一致する場合は認証結果を可とする（Ｓ７８）。なお、上記説明では、図６のステップＳ２２に於ける、計時した時間が所定時間（例えば８時間）以上となったかの判定は、Ｙｅｓとなるものとして、説明を省略した。

0052

なお、上述の説明においては、ルータ４０がプロキシサーバとしての機能を持つとしたが、ルータ４０がプロキシサーバ機能を持たないように構成することも可能である。その場合は、サーバ１０が受信する認証要求に対応するＩＰパケットの送信元ＩＰアドレスは、端末装置２０のＩＰアドレスになる。従って、図７に示した例において、端末装置２０a及び２０ｂに対応する送信元ＩＰアドレスは、各々異なるものになる。これに対応するため、制御部１３は、ステップＳ２７において、受付けた認証要求の送信元ＩＰアドレスと、記憶部１２が記憶している認証済みＩＰアドレスが一致するかを判定する代わりに、両者のＩＰアドレスの所定部分が一致するかを判定する。例えば、ＩＰｖ４の３２ビットアドレスのうち、上位２４ビットを所定部分とし、その部分が一致するか否かを判定すればよい。物理的に近い位置に存在する端末装置それぞれのＩＰアドレスは、上位ビットが一致する蓋然性が高いと仮定したことに基づく処理である。所定部分をＩＰアドレス全体（ＩＰｖ４の３２ビット）とすれば、上述した完全一致の処理と同じになる。

0053

また、上述の所定部分を、記憶部１２に記憶されている登録ＩＰアドレスと受付けた認証要求の送信元ＩＰアドレスに応じて変更してもよい。具体的には、初期設定では、ＩＰｖ４アドレスの上位Ｎ１ビット（例えばＮ１＝２４）をこの所定部分とする。記憶部１２に記憶されている登録ＩＰアドレスの中に、受付けた認証要求の送信元ＩＰアドレスと、上位Ｎ２ビット（Ｎ２＞Ｎ１）が一致するＩＰアドレスが存在すると確認された時点で、この所定部分を上位Ｎ２ビットに変更してもよい。例えば、受付けた認証要求の送信元ＩＰアドレスと完全に一致する（Ｎ２＝３２である）登録ＩＰアドレスが存在すると確認された場合、所定部分を上位３２ビットに設定変更してもよい。このような処理をすることにより、端末装置２０がプロキシサーバ経由で認証サーバ１０に接続するか否かが不明であっても、より適切な認証処理を柔軟に行うことができる。

0054

また、実施例２の変形例として、以下が考えれる。

0055

記憶部１２は、エリア情報、送信元ＩＰアドレスに加え、送信元ＩＰアドレスと対応付けた位置情報を記憶する。

0056

図８は、この変形例に於ける、認証サーバ１０による処理手順を示すフローチャートである。図６に含まれるステップ番号と同じステップ番号のステップは、内容が同じであるので説明を省略する。

0057

ステップＳ２１でＹｅｓの場合、制御部１３は、受付けた認証要求の送信元ＩＰアドレスと、認証要求に含まれる位置情報を対応付けて記憶部１２に記憶する（Ｓ３１）。ステップＳ２１でＮｏの場合、制御部１３は、受付けた認証要求の送信元ＩＰアドレスと一致するＩＰアドレスが記憶部１２に記憶されているか否か判定する（Ｓ３２）。ステップＳ３２でＮｏの場合、ステップＳ２８に進む。ステップＳ３２でＹｅｓの場合、受付けた認証要求の送信元ＩＰアドレスと一致するＩＰアドレスに対応付けられている位置情報を、受付けた認証要求の位置情報として代用する（Ｓ３３）。この場合、ステップＳ２２では、ステップ３３で代用された位置情報に基づき、記憶部１２に記憶されているエリア内に含まれるか否か判定されることとなる。

0058

本変形例は、ステップＳ３１の処理が１回以上行なわれた後、記憶部１２に記憶されているエリア情報が、外部から変更を加えられた場合に効果がある。例えば、（１）記憶部１２に記憶されているエリア内に含まれない位置情報を含む認証要求を認証サーバが受付け、当該ＩＰアドレスと位置情報が記憶部１２に記憶され（Ｓ３１）、認証結果が不可となる。次に、（２）記憶部１２に記憶されているエリア情報が外部から変更され、上記（１）の位置情報が、エリア内に含まれるようになる。次に、（３）認証要求の送信元ＩＰアドレスが上記（１）のＩＰアドレスと同一であり、認証要求に位置情報が含まれない認証要求を受け付けた場合、本変形例のステップＳ３２，Ｓ３３、Ｓ２２により、認証結果が可（Ｓ２４）となる。一方、実施例２の図６のフローチャートによる処理の場合、上記（１）の認証要求では、記憶部１２にＩＰアドレスが記憶されないため、上記（３）の認証要求は、ステップＳ２７でＮｏとなり、認証結果が不可（Ｓ２８）となる。なお、本変形例においても、上述したように、認証済みＩＰアドレスを記憶部１２に登録した時点を示す情報（登録日時）を記憶部１２に記憶させてもよい。具体的にはステップＳ３１において、制御部１３が、受付けた認証要求の送信元ＩＰアドレスと、認証要求に含まれる位置情報と、登録日時とを対応付けて記憶部１２に記憶させればよい。

0059

また、本変形例においても、上述したのと同様に、端末装置２０から送信される認証要求に位置種別情報を含めた上で、認証サーバ１０が、更に位置種別情報を用いて認証処理を行うようにしてもよい。具体的には、ステップＳ３１において、ＩＰアドレスと位置情報と位置種別情報とを対応付けて記憶部１２に記憶させる。そして、ステップＳ３３において、記憶部１２を参照しながら、受付けた認証要求の送信元ＩＰアドレスと一致するＩＰアドレスに対応付けられている位置情報及び位置種別情報を取得する。そして、ステップＳ２２において、位置情報がエリア内である場合に、更に位置種別情報を用いて、複数種類の「可」の中のいずれかを選択し、認証結果とすればよい。

0060

また、本変形例のステップＳ３２において、受付けた認証要求の送信元ＩＰアドレスと、記憶部１２が記憶している認証済みＩＰアドレスが一致するかを判定する代わりに、両者のＩＰアドレスの所定部分が一致するかを判定してもよい。例えば、ＩＰｖ４の３２ビットアドレスのうち、上位２４ビットを所定部分とし、その部分が一致するか否かを判定するようにしてもよい。また、本変形例においても、上述したように、上述の所定部分を、記憶部１２に記憶されている登録ＩＰアドレスと受付けた認証要求の送信元ＩＰアドレスに応じて変更してもよい。

0061

また、所定部分が一致するＩＰアドレスが複数存在する場合は、それぞれのＩＰアドレスに対応する複数の位置情報がエリア内に入っている個数に応じて認証結果を判定するようにしてもよい。例えば、所定部分が一致するＩＰアドレスが５個存在する場合、それらに対応する５個の位置情報のうち、所定数（例えば３個）以上の位置情報がエリア内であれば、認証結果を可とする。あるいは、１個でもエリア外のものがあれば、認証結果を不可とするようにしてもよい。更に、所定部分が一致するＩＰアドレスが複数存在する場合に、それらに対応する複数の位置情報の代表値（緯度、経度等の平均値、中央値、最頻値、四分位値など）を算出し、その代表値がエリア内にあるか否かを判定してもよい。

0062

また、上述したように、認証済みＩＰアドレスが記憶部１２に登録された時点からの経過時間を算出し、所定部分が一致するＩＰアドレスが複数存在する場合に、その経過時間が最も短いＩＰアドレスに対応する位置情報を用いるようにしてもよい。

0063

以上、本発明の実施例をもとに説明した。この実施例は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者には理解されるところである。

0064

なお、図２及び図４を用いて説明した構成は、ハードウェア的には、任意のコンピュータのＣＰＵ，メモリ、その他のＬＳＩで実現でき、ソフトウェア的にはメモリにロードされたプログラムなどによって実現されるが、ここではそれらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックがハードウェアのみ、ソフトウェアのみ、またはそれらの組合せによっていろいろな形で実現されることは、当業者には理解されるところである。

0065

１０認証サーバ
１１ネットワーク通信部
１２ 記憶部
１３ 制御部
２０端末装置
２１ＧＰＳ電波受信部
２２ 第１位置情報取得部
２３ ネットワーク通信部
２４ 第２位置情報取得部
２５認証要求部
２６ 制御部
３０ＧＰＳ機能付き装置
４０ルータ
５０ ＬＡＮ