KR100744213B1 - 자동 접속시스템 - Google Patents

Abstract

디렉토리(10)와, 온라인 서비스 시스템용의 자동 정보 중앙집중화 및 관리를 하도록 된 APS를 구비하고, 인프라스트럭쳐를 이루는 다수의 구성요소들을 포함하는 컴퓨터 시스템.

정보 관리

Description

자동 접속시스템{AUTOMATED PROVISIONING SYSTEM}

본 발명은 온라인 서비스용 정보 관리를 중앙집중화하고 자동 관리하도록 된 자동 접속시스템(ASP system)에 관한 것이다.

신규의 개인 혹은 사용자가, 원격 통신 회사(Telecos), 예를 들면, 자기 자신의 내부의 온라인·서비스를 가지는 사업소 혹은 사무소와 같은 회사 혹은 기업과 같은 공급자에 의해 제공되는 온라인·서비스에 최초로 액세스 할 수 있도록 할 때, 그 신규의 개인 혹은 사용자는, 등록 수속을 밟아, 온라인·서비스를 이용할 수 있도록 해야 한다. 이러한 등록에 있어서는, 상기 신규의 사용자는, ID코드와 같은 정보를 본부에 제공해, 사용자가 서비스에 로깅 할 때에, 사용자는 상세한 사항을 인증받고, 적합한 ID코드로, 미리 설정된 서비스의 부분에 액세스 할 수 있다. 등록되어 있는 사용자에게는, 사용자가 요구하는 액세스의 레벨에 따라, 온라인·시스템의 일정한 부분에 액세스가 허가된다. 서비스·공급자의 고객에 대해서는, 온라인 등록 양식을 기입하는 것으로 부여된 서비스에 의해 액세스의 레벨이 결정된다. 예를 들면, 고객은, 서비스·공급자에 의해 배포된 광고 자료에 대답하는 형식에서, 인터넷을 경유해 온라인·서비스에 등록한다. 회사의 종업원에 대해서는, 액세스의 레벨은, 회사안의 자신의 지위와 종업원이 실시해야 하는 업무에 따라 결정된다. 예를 들면, 회사의 전무이사는, 많은 경우, 경리로부터 인사와 또 회사의 전략에 걸치는 모든 서비스에 액세스 할 수 있다. 반대로, 사무직의 사람은, 자신의 직무에 필요한 서비스 혹은 정보 밖에 액세스 하지 못하고, 온라인·서비스의 다른 부분에의 액세스는 거부된다.
더욱이, 복수의 떨어져 있는 장소에 있는 사업소들을 가지는 조직에서는, 예를 들면, 종업원이 특정의 장소에 있는 특정의 컴퓨터 단말을 사용하도록 등록되어 잇기 때문에, 종업원의 직장이 A 혹은 B에 있는 지에 대하여, 등록시 조직내의 직원의 정확한 장소를 특정하는 것이 필요하다. 그러나, 종업원이, 조직에서 배치전환되어 다른 장소로 이동했을 경우에는, 다른 직장과 단말기에의 배치전환에 대응하는 재등록 수속을 실시하지 않으면 안 된다. 이러한 수속은, 당사자가 위치이전한 다음에 컴퓨터의 네트워크를 사용할 수 있도록 하기 위한 재등록 수속을 필요로 하는 결과, 작업의 재개의 지연을 의미한다. 이러한 지연은, 당사자의 효율을 내려 그 결과 조직 전체의 생산성을 저하시킨다. 더욱이, 이러한 시스템에서는, 조직안의, 컴퓨터·네트워크를 이용하는 조직원의 업무장소에 관한 데이터의 수동 입력을 실시하는 전문 부서를 마련해야 한다. 또한, 시스템은 조직원을 추적해 모니터 하도록 셋업 되지 않으면 안되어, 상기한 전문 부서와 추적 시스템을 위해서 필요한 인원의 증가에 수반하는 비용으로 조직의 컴퓨터·네트워크의 운영 비용을 상승시킨다.
따라서, 예를들어 방화벽, 운영 시스템 및 메일 서버와 같은 소프트웨어와, 예를들어 스위치, 웍스테이션과 같은 네트웍 하드웨어와 같은 인프라스트럭쳐(infrastructure) 부분 또는 개인일 수 있는 온라인 서비스상에 새로운 실체(entity)들의 신속한 전개를 용이하게 하는 APS 시스템에 대한 필요성이 요구되었다. 더욱이, 등록과 트랙킹 과정의 수동 양도의 제거에 의해 효율 향상 및 비용 감소가 필요하였다. 관련 인프라스트럭쳐로 현존하는 시스템을 확장하고 일체화할 수 있음과 함께 인프라스트럭쳐로의 신속하고 신뢰성있는 전환이 필요하였다. 또한, 조직의 합병후 조직에 의해 다른 네트웍의 획득에 따라 지역 네트웍들을 용이하게 통합하는 것이 필요하였다. 또한, 하나의 인터넷 프로토콜 어드레스로부터 다른 것으로의 사용자 실체의 트랙킹 및 등록을 자동화하고, 모든 정보에 대해 단일의 논리적 저장실에 의해 제어될 수 있도록 하여 온라인 서비스를 사용자에게 보다 친숙하고 신속하며 사용하기에 보다 유연성이 있게 할 필요가 요구되었다.

또한, 다른 조직들을 대신하여 온라인 서비스들을 운영하는 서비스 공급업자 들에게는, 단일의 정보 저장실의 개별 논리적 파티션으로 각각의 조직들의 정보를 관리하고, 각 조직들에게 특화된 승인 및 등록 인터페이스들로 특정할 필요성이 요구되었다. 또한, 온라인 서비스를 사용하도록 사용자가 신청하고 승인할 때 단일의 저장실내에서 사용될 논리적 파티션을 결정할 필요성이 온라인서비스를 공급하는 시스템에 필요하였다.

본 발명에 따라, 정보저장이 가능하게 된 LDAP 또는 X.5OO 호환성을 갖는 디렉토리를 사용하도록 된 자동 접속 시스템이 제공되며, 상기 자동 접속 시스템은 정보 저장소와 분산 전자 시스템의 요소들과 인터페이스하도록 된 서비스 매니저를 포함하며, 상기 정보 저장소는 측정할 수 있는 데이터 모델을 포함하고, 서비스 매니저가 디렉토리에 로그온하고 정보 저장소내의 정보를 생성, 삭제, 보정 및/또는 조사하는 기능을 하며, 상기 서비스 매니저는 분산 전자 시스템의 요소들을 구동하는 서비스를 사용하도록 승인 및 인가할 수 있도록 분산 전자 시스템의 요소들과 작용하도록 구성된다.
바람직한 구체예에 있어서, 핵심 요소는 서비스와 사용자 도메인의 생성 및 보고를 위한 관리 인터페이스, 온라인 서비스의 사용자 등록과 관리자로부터의 온라인 서비스 사용에 관련한 정보 수집 및 제공을 위한 인터페이스 매니저(Story Processor 등록상표)를 포함한다. 또한, 서비스 매니저와 함께, 승인 툴(tool)과 인터페이스 매니저는 승인, 등록 및 시스템의 기능 보고를 제어하며, 메일 서버와 뉴스 서버들과 같은 이용 서버들과 방화벽을 포함하도록 제어를 확대할 수 있게 한다. 인프라스트럭쳐로 할 수 없는 비디렉토리라도 중개 기능을 이용하여 지원될 수 있다.

본 발명의 APS 시스템은 다이얼 인 인터넷 사용자를 지원하는 인프라스트럭쳐에 사용될 수 있다. 이것은 모뎀, 네트웍 액세스 서버 및 증명 승인 회계(Authentication Authorisation Accounting : AAA) RADIUS 서버들의 풀제를 포함한다. 인터넷 서비스 공급자(ISPs), 네트웍 서비스 공급자 및 어플리케이션 서비스 공급자(ASPs)들은 존재하는 PSTN 및 ISDN에 의존하여 다이얼 인 사용자가 가정 과 사무실에서 그들의 NAS 장치에 접속하는 것을 허용한다. 본 발명의 APS 시스템은 승인/도움창과 함께 주문가능한 신청자 등록용 인터페이스를 제공하고 시스템을 사용하기 위한 증명 및 승인 서비스를 제공하는 것이다.

관리 인터페이스는 서비스 공급자가 인터넷에 신속한 다이얼 업 액세스를 제공함과 아울러 그들이 공급하는 서비스를 생성, 변경 또는 삭제할 수 있게 한다. APS 시스템은 또한 웹 브라우저 인터페이스를 통해 자동화된 온라인 신청자 자동 등록 시스템을 제공하고자 하는 것이다. 더욱이, 본 발명의 APS 시스템은 서비스 공급자로 등록된 현존하는 신청자가 새로운 서비스를 신청할 수 있거나 서비스들을 신청하지 않을 수 있는 액세스 레벨에 따라 새로운 또는 변경된 신청자 설정으로 신청자가 요구하는 인프라스트럭쳐의 구성 및 재구성할 수 있게 허용한다. 인터넷 프로토콜 어드레스 할당은 신청자 그룹 또는 신청자의 상태와 신청자가 요구하는 액세스 레벨에 따라 제한된 거주 계층, 비즈니스 계층 및 회사 계층으로 될 수 있는 여러 종류의 신청자들에게 차별화된 품질의 서비스를 전달하는데 사용될 수 있다. RADIUS 서버는 신청자가 네트웍에 액세스할 수 있게 할 수 있도록 APS 시스템을 사용하여 디렉토리에 입력되어진 정보를 사용하여 증명과 승인 서비스를 제공하며, 또한 서비스 공급자에게 예를들어 신청 기간의 만료후와 같이 미리 정해진 기간이 지난후 서비스 자동 철회를 할 수 있을 수도 있다. APS는 또한 다중 사용자 관리부에 가상 사설 네트웍(VPN), 가상 포털 및 가상의 사설 디렉토리(VPD) 생성을 지원하고 도움창을 간편하게 사용할 수 있게 지원한다. 각각의 VPN, 가상의 포탈 및 VPD에 대하여, APS는 또한 관리 및 등록 사용자 인터페이스에 특정 규정을 적용 한다.

본 발명의 APS 시스템은 또한 케이블 TV 회사들에 의해 사용될 수도 있다. 케이블 회사들은 가정과 사무실 또는 기관들에 고 밴드폭 통신 연결을 제공하는 하이브리드 화이버 코엑셜(Hybrid Fiber COaxial : HFC) 인프라스트럭쳐를 보유하고 그 케이블은 예를들어 셋톱 박스 전화등과 같은 다중 장치들에 의해 분할된 액세스를 위한 스플리터에 연결한다. 케이블 회사는 예를들어 홈소핑 서비스, 채팅 서비스, 의견 투표 서비스, 뉴스 영화 및 스포츠 채널 서비스, 콜 웨이팅, 분산 및 콜 배링 서비스등과 같이 수요자가 신청할 수 있는 수많은 여러 서비스들을 제공할 수 있다.

본 발명의 APS 시스템은 서비스 공급자가 케이블 모뎀 IP 어드레스를 디렉토리가능하게 된 DHCP 또는 디렉토리 가능한 브트스트랩 프로토콜(Bootstrap Protocol:BOOTP)을 사용하여 간편하게 할당하고 케이블 모뎀 부트 파일과 적당한 TFTP 서버들을 모뎀에 배정하여 부트 구성 파일들을 회복하도록 한다. 또한 케이블 모뎀, 웍스테이션 및 신청자들 사이에 동적 링크를 제공하여 신청자가 추적될 수 있는 서비스로부터 도난 방지를 지원한다. 더욱이, APS 특징은 디레토리 저장실의 조사 및 검색을 허용하고 APS 시스템용으로서 그리고 모든 MCNS 적응 케이블 모뎀을 지원한다.

본 발명의 APS 시스템은 ISP용 RADIUS 서버 구성요소와 같은 외부 디렉토리를 가능하게 하는 서버 구성요소를 포함하는 것에서 부터 현존 또는 유산 시스템 또는 작업 흐름 및 결제 시스템들의 지원에 이르기까지 광범위한 특정 비즈니스 조 건들을 충족시키도록 충분히 확장가능하다. 또한, 본 발명의 APS 시스템은 새로운 형태의 네트웍 인프라스트럭쳐가 부가될 때와 같이 새로운 대상 유형들을 LDAP/X.500 디렉토리에 부가하는 확장가능한 설계를 지원한다.

또한, 본 발명의 APS는 회사와 사무실과 같이 기업내에서 또는 인트라넷, 엑스트라넷 및 원격 액세스 서비스들을 그들의 작업 인력들 또는 사용자들에게 제공하는 사용자의 네트웍내에서 사용될 수도 있다. 기업내에서의 여러 역할들은 참모진과 관리를 위하여 여러가지의 서비스 레벨들을 필요로 한다. 따라서, 기업용 APS 시스템은 상술한 시스템에 더하여, 새로운 고용자의 등록과/발전 및 DHCP를 통한 IP 어드레스들의 배분을 포함해야 하며, 그러한 IP 어드레스는 차별화한 여러 실체들에게 차별화된 서비스 의무를 전달할 수 있으며, 예를들어 가정의 사용자 실체 또는 원격지 사무실 계층들을 제공할 수 잇다. 예를들어 계야직 작업자들과 같이 기업에서 고용상태로 고용자가 남아 있는 한 제한된 정책에 기초한 IP 어드레스와 같은 서비스의 자동 철회를 가능하게 한다. APS 특징은 또한 인터페이스 매니저를 사용하고 서브넷에 의해 사용중인 어드레스와, 어드레스당 사용 시간, 성명에 대한 어드레스 배정, 어드레스 및 인력당 창조적인 정보 및 사용자와 관련 IP 어드레스의 철회등을 포함하는 정보에 대한 액세스를 위한 웹 브라우저 인터페이스를 포함할 수 있다.

본 발명의 APS 시스템은 또한 인터넷 서비스용으로 회사에 의해 사용될 수 있다. 회사는 그들이 습득한 제품과 서비스들에 관련하여 사용자로부터 인터넷 습득 정보에 의하여 제품 또는 서비스를 판매하고 사용자가 이용하기 원하는 지불 방 법을 제공한다. 이러한 정보는 온라인 결제 시스템 또는 선택된 신용 카드 회사로부터 자금 지원을 받는 시스템에 전달될 수 있다. 그 정보는 또한 작업 흐름 시스템에 제품을 개인에게 송달할 것을 지시하거나 또는 습득된 서비스를 제공하기 위한 온라인 서버에게 지시하는데 사용될 수도 있다.

도 1은 본 발명에 따른 APS 시스템의 인터페이스, 인터페이스 매니저, 웹 서버 서비스 매니저 및 디렉토리들 사이의 관계를 보여주고 있다.

도 2는 정보가 어떻게 APS 시스템내에서 모델화되고 저장되는지를 보여주고 있다.

도 3은 본 발명의 APS 시스템의 구성 요소들 사이의 관계를 보여주고 있다.

도 4는 베이스 프로파일들과 프로파일 확장자들을 개략적으로 보여주고 있다.

도 5는 본 발명의 A시스템을 사용한 랜 유저 가입 등록 프로세스를 설명하는 플로우 챠트이다.

도 6은 본 발명의 A시스템을 사용한 자동화된 ISP 가입자 자동 등록 프로세스를 설명하는 플로우 챠트이다.

도 7은 본 발명의 A시스템을 사용한 자동화된 케이블 가입자 자동 등록 프로세스를 설명하는 플로우 챠트이다.

도 8은 다중 서비스 기업 기반시설에 사용되는 본 발명 실시예의 A시스템을 보여준다.

도 9는 다중 서비스 인터넷 서비스 공급자 기반시설에 사용되는 본 발명의 실시예의 A시스템을 보여준다.

본 발명의 A시스템은 아래와 같은 구성 요소를 포함한다.

a. 서비스 매니저

b. 정보 결합 GUI 구성요소

c. 예를들어, 개방 디렉토리 DX 서버들을 포함하는 X.500 디렉토리와, 넷스케이프 디렉토리 서버들과 같은 LDAP 서버 및 마이크로소프트 액티브 디렉토리와 같은 독점 디렉토리와 같은 정보 저장 구성요소들

d. 인터페이스 매니저

e. 트리거 서버

f. 리포트 서버

g. 쿠키 서버

h. DHCP 서버들, DNS 서버들, RADIUS/AAA 서버들, 케이블 모뎀 헤드 엔드, 케이블 TV 헤드 엔드, 메일 서버나 뉴스 서버들과 같은 어플리케이션 서버들, 라우터, 트래픽 세이필 디바이스, 방화벽, PABX, 인증부등을 포함하는 기반시설 구성요소

이하, 본 발명의 실시예를 통하여 본 발명을 상세히 설명하기로 한다.

핵심 ARNTJDDYTHSMS 도 1에 도시된 서비스 매니저로서 다른 구성요소들ㅇ르 관리하고 조정한다. 서비스 매니저(5)는 여러 소프트 웨어 인터페이스 구성요소(7a)와 하드웨어 구성요소(7b)가 서비스 매니저와 교통할 수 있게 접속되는 것을 허용한다. 서비스 매니저는 제한된 어플리케이션 프로그램 인터페이스(APE)를 가지며, 그 API는 주문화된 클라이언트 어플리케이션이 접속되는 것을 허용한다. 서비스 매니저(5)는 인터페이스 매니저(3) 또는 관리 인터페이스(1)와 접속할 수 있고, 상기 인터페이스 매니저와 관리 인터페이스는 다시 웹 서버(2)와 접속할 수 있다. 스탠다드 CORBA 인터페이스(4)는 종합 내부통신구조 및 안전 시스템과 함께 산업 표준 분배 시스템에 적합하게 한다. 서비스 매니저(5)는 디렉토리 통신층을 포함하며, 그 디렉토리 통신층은 서비스 매니저가 멀티 디렉토리들과 작업할 수 있게 하여 요청에 대한 부하의 분배 및 부족시에 여러 문제를 처리한다. 상기 서비스 매니저는 다시 디렉토리(10)와 접속될 수 있다. 서비스 매니저는 디렉토리(10)와 통신하기 위하여 경량 디렉토리 액서스 프로토콜(LDAP:7)을 사용한다.

서비스 매니저(5), 승인 이터페이스(1), 인터페이스 매니저(3)와 디레토리(10)는 APS에 의해 지원되는 네트웍 오퍼레이팅 시스템을 구동하는 독립된 장치에 존재할 수 있다. 고유의 어플리케이션들은 서비스 매니저(5)와 직접 통신하는 장치에서 구동될 수 있다. 디렉토리(10)는 별도의 서버에서 존재할 수도 있고 서비스 매니저(5)와 같은 지역적인 장소에 배치되지 않을 수도 있다.

관리 인터페이스(1)는 컴퓨터에서 구동되는 독립형 프로그램이다. 본 발명의 APS는 어플리케이션 인터페이스는 인터페이스 매니저(3)를 우회하여 서비스 매니저(5)에 직접 연결된다. APS는 인터페이스 매카니즘의 범위를 지원하여 서비스 매니저(5)에 직접 액서스하는 것을 허용하며, 여기서 인터페이스 매니저의 용량내에서 특정 사항들을 요약한다. 이러한 유연성은, 요구되는 인터페이스 장치가 서비스 매니저(5)에 직접 교통할 수 없을 때, APS가 HTML 브라우저(11)와 같은 새로운 계층 프로세서나 애플릿 인터페이스에 플러그인(plug in)함으로써 용이하게 새로운 인터페이스 장치에 접속할 수 있게 한다.

APS는 트리거 서버(9)를 포함하며, 그 트리거 서버는 시스템에 등록하는 행위가 있을 때 업무 규칙과 작업흐름과 같은 동작을 발생시는데, 그것은 예를들어 디렉토리 서버에 정보를 기입과 함께 수요자에게 인쇄된 청구서를 발송하고 수집하는데 사용되는 유산 청구 시스템에의 접속을 포함할 수 있다.

또한, APS는 시스템에서 복잡한 검색을 수행할 수 있으며, 그 정보를 요구하는 개인의 요건에 따라 특정 방법으로 정보를 보고할 수도 있다.

또한, 쿠키 서버(6)는 인터페이스 매니저(3)가 구동중일 때, 웹 서버(2)에 의해 브라우저(11)에 기입되는 값을 보유한다. 상기 쿠키 서버는 사용자가 시스템에서의 작업을 되찾으려고 할 때 참고할 수 있는 참조로서 예를들어 페이지 수와 같은 정보를 보유한다. 상기 쿠키 서버는 24시간까지 짧은 기간 계속 저장하는 기능을 한다.

또한, 시스템은 여러 가지 종류의 소프트웨어가 서로 통신할 수 있게 하는 미들웨어를 포함할 수 있다. 이것은 다른 제조업자로부터의 하드웨어가 다른 소프트웨어 시스템을 사용할 때 특히 유용하다. 이러한 시스템의 잇점은 범용적인 하드웨어 부품들로 시스템을 구성하기 보다 여러 하드웨어 부품들을 조립하는 것을 허 용하는 점이다.

APS는 사용자 브라우저들과 관련된 멀티 웹 서버(2)들과, 멀티 서비스 매니저(5)들에 충분하게 확장가능하며 이들을 지원할 수 있다. 브라우저들은 흔히 네트웍 시스템용의 프라이머리 정보 관리 인터페이스들이다.

수평적 규모의 확장은 사용자 베이스의 크기의 증가를 초래하고, 이러한 증가에 따라 웹 서버들이 증가된 부하를 처리하는데 적합한 부하를 갖도록 서비스 매니저들이 부가될 수 있다. 변형적으로, 단일의 서비스 매니저가 사용될 수 있으며, 이것은 멀티 디렉토리 시스템 에이전트들에 요청하기 위한 로드 밸런싱을 사용한다.

서비스 매니저는 예를들어 하루당 10000건 등록 이상의 높은 사용자 부하의 상황에서 피크 네트웍 시간대에 사용자 활동의 높은 처리를 가능하도록 고성능 구조로 이루어질 수 있다. 상기 서비스 매니저(5)는 각각의 개인 요청이 개별적인 실행을 발생시키는 서브렛 기술(servlet technology)을 사용한다. 이것은 경량 스레딩 모델(light weight threading model)의 사용을 통해 그리고 보다 빠른 내부 처리 실행을 이용하여 서버 효율을 향상시킨다. 인터페이스(3)는 서비스 매니저(5)에 대한 등록 요청을 대기 시킴으로써 요청 건의 피크 부하를 처리하며, 등록 요청이 서버에 들어오면, 그 등록 요청건들은 서버상에서 순차화된 포맷으로 먼저 저장된다. 그런다음 대기 상태의 등록 요청건들은 남아 있지 않을 때까지 버퍼로서 작용하는 서비스 매니저에 의해 처리된다.

서비스 매니저는 MD5, SHA, DES와 같은 패스워드 엔코드 체계를 지원할 수 있으며, X.509 인증을 한 지원을 제공한다. 관리부는 서비스-기반설비 시스템과 유저-서비스에 필요한 2층 구조로 될 수 있다. 이에 대한 장점은 관리가 서비스 레벨에서 관리될 수 있다는 것이다. 서비스 매니저는 시스템 전체에 안전 소켓들을 지원함으로써 네트웍 안전을 보장한다. 이로써 CORBA 실행 지원 IIOP에 대한 SSL은 서비스 매니저(5)와 CORBA4 사이의 안전을 보장한다. 선도 브라우저들은 모두 SSL 능력을 지원한다.

서비스 매니저(5)는 서비스 매니저는 디렉토리/DSA 손상의 경우에 회복시킬 수 있는, 과도한 DSA에 대한 손상의 문제를 지원할 수 있다. 서비스 매니저는 단일의 서비스 매니저와 통신하는 다중 인터페이스 매니저들을 지원할 수 있어서 웹 서버(2) 또는 인터페이스 매니저(3)가 손상되어도 시스템은 사용가능하다. 이에 의해 다중 서비스 매니저들 각각은 하나 이상의 DSA와 교신한다. 서비스 매니저가 손상될 경우에도, 전체 시스템은 손상되지 않은 서비스 매니저를 사용하여 작동하게 된다. 만일 서버가 부하, 하드웨어 또는 소프트웨어의 문제로 인하여 손상되는 경우에, 계층화된 프로세서에 존재하는 서버상에서 계속적인 형태로 등록 요청 건들이 저장되기 때문에 등록 요청 건들의 손실은 없게 된다. 서비스 매니저가 손상으로부터 회복되거나 재기동되는 경우에, 어떠한 계류중인 등록 요청이 있는지를 체크하고 필요하면 그 요청 건들을 처리한다.

APS가 LDAP/X.500 디렉토리와 같은 디렉토리의 존재를 필요로 하지만 그러한 시스템은 공급자의 태도에 따르며, 이것은 여러 상이한 제조업자들로부터의 특정 구성요소들이 사용될 수 있다는 것을 의미한다. 예를들어 방화벽, 어플리케이션 서 버, DHCP BootP, DDNS 및 RADIUS와 같은 소프트웨어 인프라스트럭쳐(7a), 또는 랜 스위치, 라우터 또는 게이트웨이와 같은 하드웨어 인프라스트럭쳐(7b)들과 같은 인프라스트럭쳐에 부가적인 부품이 도입되면, 구성요소들은 현존하는 구성요소의 관리에 통합될 수 있는 효과에 APS가 확장될 수 있다.

디렉토리(10)는 서비스에 접근을 요구하는 인프라스트럭쳐 또는 사람으로 한정될 수 있는 실체에 대한 정보와 같은 정보에 대한 정보 저장소로서의 기능을 하며, 이러한 정보에 대한 실체의 접근은 프로파일에의 확장자와 그 등록 베이스 프로파일에 의해 한정된다. 더욱이, 디렉토리(10)에 저장된 정보는 네트웍, 인프라스트럭쳐 구성요소들에 및 가상 사설 디렉토리(VPDs)에 대한 정보에 의해 공급될 수 있는 서비스로 한정되는 프로파일 정책에 대한 정보이다. 가상 사설 디렉토리들은 로직 파티션, 또는 단일의 물리적인 LDAP/X.500 디렉토리의 서브-트리로서, 원격의 기구가 그에 대한 관리부를 갖는다. 예를들어 다국적 은행과 같은 회사 기구는 그 기구의 모든 관리를 통제하는 고유의 VPD를 가질 수 있다. 텔코는 인프라스트럭쳐의 자신이 소유하는 물리적인 다이얼을 관리하기를 원하지 않은 기구를 위한 서비스로 자신의 다이얼을 제공한다. 사용자의 다이얼을 위임받고 확인하기 위하여 텔코는 사용자에 대하여 VPD에 저장된 사항들에 대하여 사용자의 사용이름, 패스워드, 전화번호와 같은 사용자 로그인 사항들을 확인한다. APS가 사용자에 대한 VPDs를 주관리자로서 관리하는데 책임이 있지만, VPD의 관리는 사용자가 원하면 사용자에 맏겨질 수 있으며, 이것은 발전된 VPD의 관리라고 부른다.

도 2는 APS 시스템에 의해 정보가 어떻게 저장되는지를 보여준다. 사용자(14)들에게는 시스템 사용을 위하여 그들이 갖고 있는 조건에 따라 특정의 프로파일(13)들이 주어진다. 사용자에 대하여 기록된 프로파일(13)에 근거하여, 사용자는 시스템의 하드웨어(7a)와 소프트웨어(7b)와 같은 인프라스트럭쳐에 연결되는 서비스(12)에 접근하게 된다. 서비스(12)와, 사용자(14), 프로파일(13) 및 인프라스트럭쳐(7a,7b)들은 서비스 구조 대상 X에 대한 사용자, 서비스 구조 대상 Z와 인프라스트럭쳐 구조 대상 Y에 대한 프로파일과 같은 구조 대상들의 방식을 서로 교신한다. 서비스 구조 대상에 대한 사용자는, RADIUS 사용자 이름, RADIUS 패스워드, 메일 어드레스와 속성과 같은 POP 사용자 이름과 패스워드, 인터넷에의 접근을 허용하는 웹 속성들과 같은 서비스에 대한 사용자 액세스를 허용하는 사용자의 특정 변수를 나타내는 사용자 프로파일의 서브 클래스 확장에 의해 제공되는 사용자 서비스 속성들을 비교한다. 서비스 속성에 대한 프로파일은 마켓팅과 같은 기능을 하는데 사용될 수 있는 특정 서비스 변수에 대한 사용자 액세스를 허용하는 사용자 프로파일들로부터 설정된다. 제품에 대한 정보와 같은 정보를 사용자가 보낼 수 있는 클라이언트의 메일 박스의 수들과 리스트와 같은 정보에의 액세스를 허용하는 RADIUS, Mail 및 WEB 패스워드들이 있다. 인프라스트럭쳐 구조 대상에 대한 서비스는 서브 클래스 확장자에 의해 제공된 서비스 속성을 갖고 서비스 변수들을 교체하여 RADIUS, Mail, WEB 속성들 사이의 기여를 허용하게 한다. 이것은 사용자에 대하여 주어진 프로파일들에 근거한 사용자에 의해 요구되는 서비스를 인프라스트럭쳐가 찾는 것을 허용한다.

사용자 실체 대상은 적어도 사용자 이름, 패스워드, 실체의 위치, 접촉 정 보, 실체용 프로파일 설정 및 위임 만료등을 포함한다. 실체용 프로파일 속성은 실체에 대한 베이스 프로파일과 함께, 필요하면 하나 이상의 확장자들을 참고 자료로 포함하고 있다. 각각의 실체는 적어도 하나, 가능하면 그 이상의 프로파일들을 가질 수 있다.

실체의 프로파일 세트의 제 1 프로파일은 베이스 프로파일이며, 부가적인 프로파일들은 프로파일 확장자로서 알려져 있다. 제 1 프로파일은 한 실체에 대한 베이스 프로파일로 될 수 있지만, 상기 제 1 프로파일은 또한 다른 실체용 프로파일 확장자로 될 수 있다. 베이스 프로파일에 의해 기재되는 것은 실체의 핵심 특성이다. 프로파일 확장자는 실체에 대해 이용가능하게 될 수 있는 서비스들에 대한 세부 사항들을 나타낸다. 프로파일 확장자들은 실체에 대한 전체적으로 새로운 프로파일을 생성할 필요없이 특정 없체가 받는 서비스에 대한 주문을 허용하며 기본 서비스 수준에 대한 정밀 조정을 위해 가장 개념적으로 될 수 있다.

실체들은 실체 프로파일들과의 관련에 의해 서비스를 사용할 것을 위임받았다. 서비스들은 실체들에 바로 할당되지 않았지만, 프로파일들은 실체들에 할당되어 있다. 실체 프로파일은 인프라스트럭쳐에의 액세스 레벨을 집합적으로 한정하는 하나 이상의 서비스들의 리스트이다. 이들 서비스들은 각각의 프로파일이 할당된 실체들에 이용될 수 있다. 서비스에의 액세스가 거절되는 경우 서비스 레벨은 0이다.

프로파일을 이용하는 주 잇점은 실체들의 수 보다 통상 훨씬 작은 프로파일들이 있으며, 실체에 서비스들을 할당하는 유지 기능을 단순화하는 것이다. 실체 프로파일 조직의 예는 다음과 같다.

예비 제공된 실체 프로파일 - 오직 등록 도메인들에의 액세스를 허용하는 제공되지 않거나 예비 제공된 실체들에게 제공 IP에 제공하는 등록되지 않은 실체 서비스들을 포함한다.

사용자 베이스 프로파일 - 베이스 사용자 서비스, 예를들어 메일 서비스들을 포함한다.

관리 프로파일 - APS 시스템에 대한 관리권을 제공하는 관리 서비스와 사용자의 베이스 서비스를 포함한다.

유동 프로파일 - 베이스 사용자 서비스와 다이얼-인 사용자 서비스들을 포함한다.

도움 프로파일 - 베이스 사용자 서비스와 질문 서비스들을 포함한다.

인력 자원 프로파일 - 베이스 사용자 서비스와 관리 서비스를 포함한다.

도 4는 두 개의 구성 프로파일들의 집합인 단일의 가상 프로파일을 생성하기 위하여 확장 프로파일을 갖는 베이스 프로파일의 논리합을 나타내고 있다. 그러나, 이 시스템에 대한 하나의 주요 예외가 있는데, 그것은 두 개의 다른 프로파일들이 서로에 대해 반대쪽에 있을 때 그러한 상황에서 프로파일 세트에서 제 1 존재는 선행권을 갖는 프로파일이다. 통상적으로, 이것은 사용자에게 제공될 서비스 레벨의 핵심 특징을 형성하는 것이다. 네트웍 관리자 의도가 베이스 프로파일을 확장하려는 것이 아니라 무시하려는 것이면, 실체에 대한 베이스 프로파일을 프로파일 확장으로 교체하는 수정 행위가 있게 될 것이다. 실체가 다수의 프로파일들을 갖는 사 실은 동일한 서비스들의 중복이 발생될 수 있음을 의미한다. 이것은 도 4에서 볼 수 있으며, 여기서 두 개의 프로파일(C, A)들은 서비스(1,4)들을 포함한다. 이들 프로파일들이 동일한 경우, 이들 프로파일들은 두 개의 프로파일들의 논리합에서만 발생된다.

주어진 실체에 대한 개별적인 프로파일들의 논리합은 디렉토리 저장수단에 저장되지 않지만, 동적 구조는 서비스 매니저에서 유지된다. 실체가 서비스를 요청하면, 서비스 매니저는 실체가 특정 서비스에 대해 액세스가능하게 승인되는지 여부를 설정하도록 실체의 회가가 개시될 때 생성되는 논리적인 서비스 세트를 조사한다.

사용자 프로파일 확장은 유지기능을 상승시켜서 네트웍 관리자가 네트웍에서 제공되는 다른 서비스들에 사용자가 액세스할 수 있게 하는, 주어진 베이스 프로파일을 향상시키기 위하여 어떤 프로파일 확장자의 사용 패턴을 주기적으로 검사할 수 있다. 특정 베이스 프로파일과 결합되는 특정 프로파일 확장자의 높은 사용 빈도는 네트웍 관리자에게 베이스 프로파일의 실체를 위한 새로운 베이스 프로파일을 예전의 베이스 프로파일과 사용되어 온 프로파일 확장 서비스에 병합할 것인가를 제시한다. 그에 따라 관리자는 새로운 베이스 프로파일을 생성하고 적합한 실체에게 그것을 적용할 것이다.

서비스들은 특정 실체의 요건을 제공하도록 협동하는, 논리적으로 연관된 여러 인프라스트럭쳐 및/또는 이미 존재하는 서비스들이다. 인프라스트럭쳐는 라우터, 스위치, 웍스테이션 또는 APS가 관리하는 다른 종류의 하드웨어와 같은 네트웍 하드웨어일 수 있다. 인프라스트럭쳐는 또한, 방화벽, 메일 서버, 운영 시스템 또는 APS 시스템이 관리하는 다른 종류의 소프트웨어와 같은 응용부분일 수 있다.

서비스들은 덜 복잡한 시스템을 갖는 장점을 제공하는 물리적인 인프라스트럭쳐로부터 요약될 수 있으며, 이 시스템에서 실체의 액세스를 고려하기 위하여 APS는 시스템으로 하여금 각각의 개인적인 요소들의 의미 보다 더 넓은 의미로 인프라스트럭쳐를 고려하게 한다. 또한, APS는 시스템이 실체들의 계층을 인식하여 인프라스트럭쳐의 요건들의 패턴을 인식하게 한다. 더욱이, APS는 인프라스트럭쳐 유지 기능으로부터 실체 유지 기능의 분리를 허용한다. 서비스 계승의 사용은 새로운 서비스의 생성 임무가 단순화되는 것을 의미하며, 그것은 네트웍 관리자가 옛 서비스에 새로운 서비스를 부가하고 네트웍 관리자에 의해 주목된 예 서비스의 결함들을 보상하도록 다른 인프라스트럭쳐를 부가함으로써 새로운 서비스를 업그레이드할 수 있기 때문이다. 서비스 계승으로, 베이스 서비스는 삭제되지 않고 그로부터 게승되는 특징이 있다. 본 발명의 시스템은 현존하는 서비스를 조사하여 계승되지 않는 서비스가 없도록 함으로써 돌발적으로 파일이 삭제되지 않도록 보장한다. APS 시스템은 또한 기업이 "사용자 서비스"라 불리우는 단일 서비스를 생성함으로써 모든 고용자들이 이용가능한 인프라스트럭쳐를 생성할 수 있다. 더욱이, 단일 레벨의 서비스가 단일의 다이얼-인 서비스에 의해 액세스되는 모든 고용자들에게 제공될 수 있다. 더욱이, 조직은 공공의 영역으로 액세스가능한 라우터를 구비하면, 인프라스트럭쳐의 선택된 항목들 또는 단일의 항목에만 관련되는 "게이트웨이 서비스"와 같은 서비스를 생성할 수 있다. 다른 모든 항목들은 "일반 사용자 서비 스"를 통해 개별적으로 액세스가능하다. 또한, 조직이 갖고 있는 네트웍 관리자가 실체에 대한 네트웍 자원의 할당에 쉽게 접근하고자 하면 서비스들에서 보다 인프라스트럭쳐의 의미로 생각하기를 선호하여 개별적인 서비스가 각각의 인프라스트럭쳐에 대하여 생성될 수 있다.

APS는 전개된 승인에 대하여 디렉토리를 제공함으로서 단일의 디렉토리가 다수의 조직 또는 하부 조직들용의 정보 서브 트리(sub-tree)를 저장할 수 있어서, 상기 조직들에게는 서비스 공급자와 독립된, 자신들의 사적인 물리적 디렉토리 트리의 논리적 부분을 승인하기 쉽게 된다. APS는 가상의 사설 디렉토리(VPD) 관리 툴을 제공한다. APS는 디렉토리 소유자용의 관리 인터페이스가 단일의 물리적 디렉토리로부터 노리적 VPDs를 생성, 변경 또는 삭제하는 것을 허용한다. 또한, APS는 관리 인터페이스를 제공하여 개별적인 VPD 조직 또는 하부조직이 그들 자신의 VPDs를 관리할 수 있다. 이것은 시스템으로부터의 보고를 위하여 또는 시스템의 사용자를 부가, 변경 또는 삭제하기 위한 인터페이스를 포함한다. 더욱이, 주어진 VPS 조직 또는 하부조직의 사용자들은 그들 자신의 사적인 활용, 서비스 레벨의 변경 및 그들의 사용을 검토하며 세부사항을 활용하는 것을 관리할 수 있다.

APS 시스템은 자원들과 관련된 실체에 의해 사용 자원의 준비 또는 배정을 허락한다. 이와 관련하여 두가지 유형이 있는데, 서비스와 관련된 실체를 먼저 관련시키고 인프라스트럭쳐와 관련된 서비스를 그 다음으로 관련시키는 것이다.

"중간 관련"으로 알려진 서비스에 대한 실체의 관련은, 주어진 실체의 베이스 프로파일(및 그 프로파일의 확장자)에 특정된 서비스가 실체에 이용가능하게 되 는 과정이다. 이거은 실체가 특정 프로파일과 관련된 서비스를 요구하면 그 서비스들은 그 서비스들을 요청하기 위해 액세스된다. 서비스에 대한 실체의 관련은 등록단계들을 포함하며, 등록단계는 실체의 확인 및 승인과, 실체가 서비스를 사용하는데 대한 승인을 포함한다.

등록은 정상적으로 실체가 APS 시스템에 소개되는 과정이다. 이 과정에서, 실체의 세부 사항들은 취합되어 디렉토리 저장실에 저장되며, 여기서 단일의 실체가 디렉토리에 생성된다. 이러한 저장 정보는 APS 구성요소에 의해 신속하게 복귀될 수 있다. 예를들어, RADIUS 서버는 회사의 랜에 접속요청하기 위하여 통신 시스템 사용자가 전화하는 원격 액세스 서버(RAS)로부터 수신된 사용자 성명/패스워드 조랍을 확인할 수 있다. RADIUS 서버는 디렉토리 저장실에서 사용자에 대한 세부 사항을 회복시키며, 이것은 등록과정에서 사용자에 의해 지정된 패스워드를 포함한다.

도 5에 도시된 바와같이, 통상적으로 랜 사용자가 그 웍스테이션을 기동할때마다 사용자는 사용자 이름과, 패스워드들을 기입하여 그들의 랜에 등록할 수 있게 한다. 여러 운영 시스템들은 시스템에 등록을 위해 다른 안전 시스템을 갖는다. APS는 한번의 등록과정으로 족하며, 이로써 사용자가 APS에 그들 자신을 재확인받을 필요없이 시스템에 등록할 수 있다. 예를들어 일정기간 고용된 상태로 조직에 남아 있는 고용자는 그들의 서비스 조건을 변경시킬 필요없이 그들의 고용을 통해 APS 등록을 유지할 수 있다. 그러나, 승진된 고용자는 다른 서비스 레벨로의 구성을 변경시킬 필요가 있으며 그것은 본 발명의 APS 시스템을 사용하여 할 수 있다.

등록은 서비스 제공의 전제조건이며 미등록된 실체가 등록 과정에 DNS 액세스하는 것만을 허용함으로써 승인받지 않은 사용자가 네트웍에 액세스하는 것을 거부한다. 등록은 상술한 바와같이 서비스에 대한 어떤 후속적인 신청을 하지 않고도 수행되며, 동일 웍스테이션을 사용하고 그 사용자 실체가 유한하게 설정된 사용자 또는 개인이 오직 한번만 등록하면 된다. 또한, 등록은 도 6에 도시된 바와같은 다이얼 인 ISP 사용자 또는 도 7에 도시된 바와같은 자동화된 케이블 모뎀 신청자들의 경우에서와 같이 진행중인 과정으로 될 수도 있다. 등록과정에서 실체에 대하여 저장된 정보는 실체의 서비스 요청을 허락할 것인가를 결정하기 위한 승인 과정에서 사용된다.

도 5에 도시된 바와같은 랜 사용자 등록과정의 경우에, 서비스를 신청한 실체는 부호 20의 단계에서 볼 수 있는 실체 확인 과정을 개시한다. 확인 과정은 그 실체가 누구이며 어떤 존재인지를 판단하는데 서비스 신청시의 정보를 LDAP/X.500 디렉토리와 같은 디렉토리에 저장된 정보와 비교하고, 신청시의 실체에 대한 세부 사항이 유지되는지를 체크하게 된다.

과거에 전혀 액세스하지 않고 그 실체에 대한 세부 정보가 전혀 없는 실체가 시스템에 들어오면, 시스템에 대한 액세스가 거절된다. 이경우의 실체는 익명의 실체로서 기재될 것이다. 이러한 상황은 새로운 사용자가 네트웍에 들어올 때 또는 새로운 네트웍 인프라스트럭쳐의 부품이 네트웍에 설치되거나, 또는 새로운 웍스테이션이 네트웍에 설치될 때 발생된다. 새로운 웍스테이션이 네트웍에 ㅅ러치되는 경우를 예로들면, 미디어 액세스 컨트롤(MAC) 어드레스가 단계 21에서 DHCP 서버에 의해 인식되지 못하여 임시의 IP 어드레스가 단계 22에서 웍스테이션에 배정된다. 임시 IP 어드레스를 받는다는 것은 어떠한 네트웍 서비스들에 액세스하기 위하여 그 웍스테이션이 제공되지 않은 것이고 그 웍스테이션은 등록 인터페이스를 통해 네트웍 관리자에 의해 등록되어야 하는 것을 의미한다.

실체가 예전에 시스템에 액세스한 적이 없지만, 시스템은 그 실체가 시스템에 액세스하려고 할 때 그 실체를 네트웍 관리자가 인식하도록 미리 구성될 수도 있다. 예를들어, 새로운 고용자가 정식 출근하기전에 수일간 업무를 개시해야 하는 경우에 관리자는 그 고용자에 대하여 사용자성명/패스워드를 설정할 수 있다. 고용자가 시스템에 로그인하면, 단계 23에서 보이는 예비 제공된 실체로서 확인된다.

실체가 서비스를 신청하면, 그 실체는 그에 대한 구성 사항을 이미 갖고 있는 시스템에 의해 인식된다. 만일, 실체가 예비 제공된 것으로 성공적으로 확인된 다음 정식으로 제공된 것이라면, 단계 24에서 서비스 매니저를 사용하여 증명 과정으로 등록이 진행된다. 그 실체가 아직 익명으로 기록되어 있다면, 네트웍에의 액세스가 거절되거나 도 25에 도시된 바와같이 등록 인터페이스로 되돌아간다.

사용자가 시스템에 액세스하는 것을 허용받으면, 단계 27에서와 같이 사용자 프로파일에 따라 웍스테이션에 유효한 IP 어드레스가 부여된다. 디렉토리와 DNS는 단계 26에서와 같이 계속하여 신규 사용자 실체/장치 사항들로 업데이트되고, 단게 27에서의 유효 IP 어드레스가 사용자의 조건에 따라 업데이트된다.

도 6에서, 유사한 과정이 이루어지는데, 사용자는 모뎀을 통해 ISP에 전화를 걸 수 있다(단계 28). NAS 서버는 단계 29에서 RADIUS 서버에 확인 정보를 제공하 며, RADIUS 서버는 디렉토리를 조사하여 단계 30에서 사용자에 대한 확인 사항을 증명한다. 사용자가 제공된 경우라면, RADIUS 서버는 단계 31에서 디렉토리에서 유지되는 사용자 프로파일에 의해 사용자에게 지정된 서비스 레벨을 제공하는 IP 어드레스를 반환한다. 만일 사용자가 제공되지 않은 경우에는, 임시 IP가 사용자에게 부여되어 사용자가 단계 32에서 등록 스크린을 개략적으로 볼 수 있게 허용한다. 사용자가 요청한 서비스의 사용에 대하여 어떻게 지불할 것인지에 대한 사항을 포함한 등록사항을 기입할 수 있으며, 그때 사용자 등록사항은 유효성을 확인하기 위해 디렉토리에서 체크된다. 사용자 사항이 디렉토리에 저장된 경우에, 사용자는 새로운 번호 또는 패스워드를 사용하여 시스템에 다시 전화하여 사용자가 지정된 서비스 레벨로 시스템에 액세스하는 것을 허용한다(단계 35). 만일 등록 사항이 유효하지 않으면, 시스템은 사용자 액세스를 허용하지 않고 등록 실패로 기억된다(단계 36).

도 7에서와 같이 케이블 모뎀 신청자의 경우에, 사용자는 셋톱 박스를 통해 시스템에 연결한다(단계 37). 그 셋톱박스는 DHCP에 신청하여 DHCP 서버가 MAC 어드레스가 제공된 사용자에게 배정되었는지를 호가인하도록 디렉토리를 조사한다(단계 38). 만일, 사용자의 MAC 어드레스/시리얼 ID가 단계 3에서 확인되면, DHCP 서버는 셋톱박스에 대한 TFTP 파일 포함 셋톱 박스 구성 설정들에 대한 IP 어드레스와 성명을 반환하고(단계 40), TFTP 서버로부터 회수한다. 셋톱박스가 TFTP 파일을 이용하여 자신을 구성하여 사용자에게 사용자 프로파일을 사용하여 요청한 서비스 레벨을 제공한다(단계 42). MAC 어드레스/시리얼 ID가 확인되지 않으면, 임시 IP가 셋톱박스 케이블 모뎀에 부여되고 사용자에게 등록 스크린이 제공된다(단계 43). 사용자는 등록 사항들을 기입하고 그것이 유효하면, 사용자 사항응 디렉토리에 저장되고, 셋톱박스 MAC 어드레스/시리얼 넘버가 사용자에게 부여된다(단계 45). 사용자는 셋톱박스를 재기동하여 배정된 MAC 어드레스/시리얼 ID를 사용하여 시스템에 로그온한다. 등록 사항들이 유효한 것으로 밝혀지지 않으면 등록 실패로 기억된다.

증명 과정은 네트웍상에 들어오려는 실체를 증명하기 위한 것이다. 두개 레벨의 증명이, 예를들어 사용자 성명과 패스워드가 검사된 "약한 증명" 또는 핑거 프린트 스캔 또는 스마트 카드에 대해 디지탈 인증 신청이 이루어진 경우의 "강한 증명"이 있다. 증명의 레벨은 액세스 방법, 신청된 서비스 또는 사용자의 지역등에 따라 요구될 수 있다. 실체가 증명되면, 시스템은 입증된 실체로 인정하여 요청된 서비스를 사용하도록 승인 여부를 결정한다.

승인은 서비스를 사용하기 위해 승인을 처리하는 진행 과정이다. 요청된 서비스를 전달하기전에, 어플리케이션은 그 실체에 대하여 필수적인 허가를 받아야 한다. 응답하기 위한 결정을 하기 위하여, 어플리케이션은 실체의 베이스 프로파일과 프로파일 확장자, 및 실체의 네트웍 액세스 방법, 예를들어 전화로 ISP 신청, 전화로 RAS에 직접 신청, 랜 신청, 액세스한 시간의 실체의 지리적 위치등과 같은 변수들을 평가한다. 주요 변수는 실체의 프로파일과 프로파일 확장자이다. 승인은 실체가 특정 서비스를 사용하도록 명백히 배제되는지 만을 제공한다. 어플리케이션에 대하여 서비스 신청을 허악하는 승인이 주어지면, 어플리케이션은 실체에 대한 서비스의 실제 전달로 진행된다. 실체-서비스 관련성은 상술한 바와같다.

서비스-인프라스트럭쳐의 연관은 요구하는 실체에 서비스를 제공하는 방식으로 서비스에 의해 지정된 인프라스트럭쳐의 항목 구성을 포함하여 형성된다. (DHCP 서버와 같은) 상기 항목은 대상에 특정되는 방식으로 자신을 구성한다. 두가지 방식의 인프라스트럭쳐의 구성이 있는데, 첫째는 실체에 의해 사용이 허용된 것과, 실체에 대하여 허락되지 않은 둘째 구성이 있다.

APS는 등록, 보고/질문, 승인, IP 구성, DNS 관리, VPD 관리 및 안전 관리와 같은 기능적 영역들의 범위를 위한 사용자/승인 인터페이스들을 제공한다. APS는 브라우저 인터페이스, 어플리케이션 인터페이스 및 사용자 제한 인터페이스등과 같은 기술들을 사용하여 사용자 인터페이스들의 생성을 지원한다. 브라우저에 의한 디스플레이용 HTML은 웹브라우저상에서 생성 및 저장되며 HTTP 프로토콜을 통해 사용자에게 제공된다. HTML은 독립된 플랫폼이며, HTTP 포트들은 방화벽을 통해 일반적으로 이용가능하다. HTML 지원 APS는 웹 서버에서 운영되는 저장 프로세스내에 수용된 HTML 어댑터를 사용하여 얻어진다. 저장 프로세서 HTML 어댑터는 HTML 인터페이스를 통해 제공된 데이타를 처리하고 그 HTML 인터페이스로 전달한다. 저장 프로세서는 서비스 신청을 인터페이스 지정 포맷으로부터 서비스 매니저층으로 전달되는 일반 포맷으로 전환한다.

APS 시스템은 표준 인터페이스를 사용하도록 제공되지만, 또한 조직들에서 그들 자신의 인터페이스를 설정하거나 조직이 이미 사용하여 본 발명의 APS 시스템에 의해 채용된 인터페이스를 사용하는 것도 가능하다. 상용화될 수 있는 APS 인터 페이스들은 IP 구성, 안전 관리 및 VPD 또는 도메인 관리들이다. 표준의 APS 인터페이스에 회사의 특정 로고 또는 배경 이미지의 사용과 같은 부분적인 주문 사항을 지원하는 APS 인터페이스들은

HTML 베이스 VPD 인터페이스

HTML 베이스 등록 인터페이스

HTML 베이스 보고/질문 인터페이스

HTML 베이스 승인 인터페이스 들이 있다.

부분적인 인터페이스 주문화는 인터페이스 브랜딩으로 부른다. 인터페이스 브랜딩은 회사의 브랜드/로고 정보를 헤드와 끝부분의 HTML 프레임 세트로 삽입하는 것을 포함한다. 실질적인 ISP는 본 발명의 APS 시스템을 사용하는 대형 ISP로부터 ISP로부터 ISP 서비스를 구매할 수 있다. 모 ISP 인프라스트럭쳐를 사용하여 모든 사용자 사항이 저장 및 승인되며, 세부사항의 확인 검사를 원하는 실제의 ISP 신청자 어카운트 유지 인터페이스를 사용한다. 시스템을 사용하는 사실을 감추기 위하여 실제 ISP 사용자가 그들의 실제 ISP 구성의 일부로서 자신의 로고를 제공하여 사용하여 HTML 인터페이스를 주문하도록 한다.

상용화된 인터페이스에 의해 완전히 대체되는 것을 허용하는 APS 인터페이스는 등록 인터페이스들과 HTML 베이스 보고/질문 인터페이스들이다. 조직들이 자신의 인터페이스들을 설정하도록 허용하는 매카니즘은 표준 APS 사용자 인터페이스들로 상기될 수 있는 동일한 프로그래밍 어플리케이션 프로그래밍 인터페이스(API's)들이며, 이들은 서비스 매니저 API's와 저장 프로세서 어댑터 API's를 포함한다. 예를들어, 조직은 HTML 또는 다수의 HTML 페이지들을 사용하여 자신의 등로 인터페이스를 공개하여 등록사항을 수집할 수 있다. 사용자가 HTML 페이지(저장)들을 지나가면 데이타는 HTML 어댑터로 전달되어 서비스 매니저에게 전달하기 위한 대상으로 데이타가 변환된다.

APS 인터페이스들은 공공의 네트웍이나 불안전한 사설망과 같은 매체에 대한 인터페이스 안전성을 제공할 수 있다. APS 시스템은 방화벽과 같은 표준 안전수단들과 안전도를 얻기 위해 자신의 안전 모델을 실행하는 것으로 충분히 안전하다고 생각지 않는다. 얻어질 수 있는 안전도는 데이타 신뢰성, 데이타 일체성, 승인 및 비거부성등이 있다.

APS는 사용자와 서버 사이의 안전 소켓 연결을 형성하고 네트웍에 대하여 전송을 안전하게 하는 안전 소켓 층(Secure Sockets Layers:SSL)을 사용하여 안전도를 실행한다. SSL은 예를들어, 40-바이트 키를 갖는 RC2 또는 RC4 암호, 128-바이트 키를 갖는 RC4 암호와 MD5 MAC, 168-바이트 키를 갖는 3중 DES 암호와 SHA-1 MAC, 40-바이트 키를 갖는 RC2 와 RC4 암호와 MD5MAC, 및 암호없는 MD5MAC와 같은 다중 암호화기술들을 지원한다.

APS는 관리자가, 예를들어 신용카드 사항이 사용자에 대해 얻어진 것인지 또는ㅇ 데이타의 일체성이 중요한지에 대한 정보 교환에 적합한 종류의 안전을 선책하도록 한다. 더욱이, 여러 레벨의 안전도가 실체의 종류, 신청된 서비스, 액세스 방법 또는 사용자의 지역에 따라 제공될 수 있다. 예를들어, 해외에서 랜에 연결하는 이동 고용자가 랜에 직접 연결하는 내부의 고용자들 보다 더 높은 정도의 네트 웍 사용 승인을 얻을 수 있다. 안전도 종류의 선택은 CPU 처리, 공개 키 암호의 항목으로 시스템 수행능을 갖는다. 예를들어 3-웨이 CHAP 승인은 2-웨이 PAP 보다 많은 네트웍 트래픽을 포함한다. APS 시스템은 APS 관리자에게 시스템의 수행능력에 적합한 안전 기술을 선택하는 유연성을 제공한다.

도 8은 APS 시스템이 메일 서버, 인터넷 서버 및 어플리케이션 서버를 포함하는 다수의 서버들에 차례로 링크된 DHCP 구조로 된 다수의 웍스테이션들을 링크시키기 위하여 디렉토리를 사용하는 멀티 서비스 기업 구조의 개략도를 보여준다.

도 9는 도 8에 도시된 것과 비슷한 도면으로서, 멀티 서비스 ISP 인프라스트럭쳐를 보여준다. 도 8에 도시된 다수의 DHCP 구성 웍스테이션들을 갖기 보다, 도 9에는 개인들이 모뎀, 케이블 모뎀, 셋톱박스를 통해, 방화벽 또는 VPN과 협동하여 APS 컨트롤된 시스템에 액세스할 수 있는 시스템을 보여준다.

Claims (17)

1. 정보 저장소와 분산 전자 시스템의 요소들과 인터페이스하도록 된 서비스 매니저를 포함하며, 상기 정보 저장소는 측정할 수 있는 데이터 모델을 포함하고, 서비스 매니저가 디렉토리에 로그온하고 정보 저장소내의 정보를 생성, 삭제, 보정 및/또는 조사하는 기능을 하며, 상기 서비스 매니저는 분산 전자 시스템의 요소들을 구동하는 서비스를 사용하도록 승인 및 인가할 수 있도록 분산 전자 시스템의 요소들과 작용하도록 구성된, 정보저장이 가능하게 된 LDAP 또는 X.5OO 호환성을 갖는 디렉토리를 사용하도록 된 자동 접속 시스템.
2. 제 1항에 있어서, 상기 데이터 모델은 도메인, 사용자, 서비스, 프로파일, 및 인프라스트럭쳐를 포함하는 것을 특징으로 하는 자동 접속 시스템.
3. 정보 저장소와 분산 전자 시스템의 요소들과 인터페이스하도록 된 서비스 매니저를 포함하며, 상기 정보 저장소는 측정할 수 있는 데이터 모델을 포함하고, 서비스 매니저가 디렉토리에 로그온하고 정보 저장소내의 정보를 생성, 삭제, 보정 및/또는 조사하는 기능을 하며, 상기 데이터 모델은 사용자, 서비스, 프로파일 및 인프라스트럭쳐의 대상 유형들을 포함하는 도메인을 포함하며, 상기 데이터 모델은 사용자에게 인프라스트럭쳐에서 구동되는 복수의 서비스들에 액세스하도록 된 프로파일을 할당하도록 프로파일 서비스 구성물(configuration objects)과, 사용자 서비스 구성물 및 서비스 인프라스트럭쳐 구성물을 포함하는 구성물들을 포함하는, 정보저장이 가능하게 된 LDAP 또는 X.5OO 호환성을 갖는 디렉토리를 사용하도록 된 자동 접속 시스템.
4. 제 3항에 있어서, 상기 사용자 서비스 구성물은 특정 사용자와 관련된 서비스의 사용을 구성하며, 프로파일 서비스 구성물은 특정 프로파일과 관련된 서비스들을 구성하고, 서비스 인프라스트럭쳐 구성물은 특정 인프라스트럭쳐와 관련된 서비스들을 구성하는 것을 특징으로 하는 자동 접속 시스템.
5. 제 4항에 있어서, 상기 사용자에게 복수의 서비스들을 포함하는 복수의 프로파일들이 할당되는 것을 특징으로 하는 자동 접속 시스템.
6. 제 3항에 있어서, 상기 도메인은 서브-도메인을 포함하는 것을 특징으로 하는 자동 접속 시스템.
7. 제 1항에 있어서, 기명자는 서비스 메니저와 작용하는 사용자 인터페이스를 통해 새로운 서비스에 기명하거나, 기존의 서비스들을 변경하거나, 기명하지 않도록 자동화된 온라인 기명 자가등록 시스템을 사용하는 것을 특징으로 하는 자동 접속 시스템.
8. 제 1항에 있어서, 다중 서비스에의 기명을 허용하도록 된, 케이블 텔레비전 시스템용의 자동 접속 시스템.
9. 제 2항에 있어서, 사용자가 이용가능한 서비스와 시스템 요소들을 한정하는 프로파일들이 사용자에게 제공되며, 각각의 사용자는 적어도 하나의 프로파일을 갖도록 된 것을 특징으로 하는 자동 접속 시스템.
10. 제 9항에 있어서, 상기 프로파일은 사용자의 핵심 특징을 기술하는 베이스 프로파일을 포함하는 것을 특징으로 하는 자동 접속 시스템.
11. 제 10항에 있어서, 상기 프로파일은 사용자가 이용가능한 서비스와 제한을 나타내는 확장 프로파일을 더 포함하는 것을 특징으로 하는 자동 접속 시스템.
12. 제 11항에 있어서, 상기 프로파일은 베이스 프로파일과 확장 프로파일이 결합된 것을 포함하는 것을 특징으로 하는 자동 접속 시스템.
13. 제 1항에 있어서, 정보를 회계시스템, 데이터베이스 및 작업관리를 가능하도록 디렉토리 서버 외부에서 정보를 생성, 삭제 또는 변경하기 위한 트리거 기구가 제공되는 것을 특징으로 하는 자동 접속 시스템.
14. 제 1항에 있어서, 상기 복수의 서버들에 의해 사용자 인터페이스를 통해 서비스 매니저에게 신청하도록 된 것을 특징으로 하는 자동 접속 시스템.
15. 제 14항에 있어서, 복수의 서비스 매니저와 보수의 대상물 신청 브로커를 포함하는 것을 특징으로 하는 자동 접속 시스템.
16. 제 1항에 있어서, 웹 인터페이스는 각각의 개인 신청용의 개별 실행을 하도록 서브렛(servlets)을 사용하는 것을 특징으로 하는 자동 접속 시스템.
17. 제 1항에 있어서, 서비스 매니저가 복수의 디렉토리와 작업할 수 있게 된 디렉토리 통신부가 제공된 것을 특징으로 하는 자동 접속 시스템.

Images