JP2003271560A - 分散ネットワークサービスにおけるアクセス制御装置およびポリシー実施装置 - Google Patents
分散ネットワークサービスにおけるアクセス制御装置およびポリシー実施装置Info
- Publication number
- JP2003271560A JP2003271560A JP2002316290A JP2002316290A JP2003271560A JP 2003271560 A JP2003271560 A JP 2003271560A JP 2002316290 A JP2002316290 A JP 2002316290A JP 2002316290 A JP2002316290 A JP 2002316290A JP 2003271560 A JP2003271560 A JP 2003271560A
- Authority
- JP
- Japan
- Prior art keywords
- access
- resource server
- service
- credentials
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
- H04L2209/603—Digital right managament [DRM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
(57)【要約】
【課題】 分散オブジェクトサービスへの組織間アクセ
スを制御する装置を提供する。 【解決手段】 アクセス制御装置は、リソースサーバを
介してサービスへのアクセスを有する少なくとも1つの
要求組織(RO)を含む。ROは、要求時に1人または
複数のエンドユーザへの認可データまたは1人または複
数のエンドユーザの登録を発行し、前記認可データを前
記エンドユーザそれぞれに電子的に送信するように適合
される。アクセス制御装置は、リソースサーバと通信
し、各組織に関連するエンドユーザによるリソースサー
バを介してのサービスへのアクセスに必要なクレデンシ
ャルを定義する少なくとも1つのサービス提供組織(S
O)を含む。登録のクレデンシャルに対する1つまたは
複数のマッピングが格納されるクリアランスサービス
(CC)が備えられる。
スを制御する装置を提供する。 【解決手段】 アクセス制御装置は、リソースサーバを
介してサービスへのアクセスを有する少なくとも1つの
要求組織(RO)を含む。ROは、要求時に1人または
複数のエンドユーザへの認可データまたは1人または複
数のエンドユーザの登録を発行し、前記認可データを前
記エンドユーザそれぞれに電子的に送信するように適合
される。アクセス制御装置は、リソースサーバと通信
し、各組織に関連するエンドユーザによるリソースサー
バを介してのサービスへのアクセスに必要なクレデンシ
ャルを定義する少なくとも1つのサービス提供組織(S
O)を含む。登録のクレデンシャルに対する1つまたは
複数のマッピングが格納されるクリアランスサービス
(CC)が備えられる。
Description
【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、一般に、高度に分
散しネットワーク化されたサービスのポリシー実施(po
licy enforcement)およびアクセス制御機構に関し、よ
り詳細には、ネットワークプロトコルを超えたメッセー
ジ呼び出しを介してホストにより利用可能とされる個々
の「ウェブサービス」または「eサービス」、またはこ
れらのセットを含む、ネットワーク化された情報リソー
スおよびサービスへのアクセスを制御し保護する方法お
よび装置に関する。 【0002】 【従来の技術】一般に、ウェブサービスまたはeサービ
スは、ドキュメント指向あるいは手続き指向の情報を含
むメッセージに対して動作するネットワークエンドポイ
ントのセットとみなすことができる。ウェブサービス
は、ウェブサービス記述によって明示的に指定される。
その中で、動作およびメッセージが抽象的に記述され、
具体的なネットワークプロトコルおよびメッセージフォ
ーマットに抽象的にバインドされてエンドポイントを定
義する。関係する具体的なエンドポイントは、抽象的な
エンドポイント(またはサービス)に組み合わせること
ができ、特にHTTPおよびSMTPを含む各種メッセ
ージ転送プロトコルが適切である。 【0003】グローバル情報ネットワークは、知的財産
のネットワークである。かかるネットワーク上でアクセ
ス可能にされるすべての情報は、ある種類の知的所有権
(IPR)の文脈内でディセミネート(disseminate:
配布)され、ここでは情報オブジェクトと相手(制作
者、発行者および消費者等)との間の関係は、暗黙的に
あるいは明示的に何らかの特定の方法で定義されてい
る。特定のオブジェクト、相手およびアクションに関す
る関係の表明は、IPRポリシーと考えることができ
る。 【0004】現在、インターネットおよび同様のデジタ
ルネットワーク化環境でのIPRポリシー表現の一貫し
た機構を提供し、および情報消費者(または情報消費者
を代理して動くエージェント)が容易かつ自動的に関心
のある情報についてのかかるポリシーを発見、アクセ
ス、および解釈する方法を提供することに関して、かな
りの研究が行われている。このようなネットワーク化環
境の品質は、ディセミネーション(dissemination:配
布)の前後どちらにおいても、IPRポリシーを情報オ
ブジェクトに永続的に関連付けるためのオープンかつア
クセス可能な方法を持たないことによって損なわれてい
る。 【0005】後述する本発明は、具体的に、だが限定的
でなく、異種の情報オブジェクトをディセミネートする
ウェブサービス、特に異なるコンテンツタイプ(例え
ば、MIMEタイプ)および/または変換(例えば、言
語翻訳)を提供するサービスのためのアクセス制御およ
びポリシー実施の提供に関するものである。しかし、関
心のあるネットワークインタフェースは一般に設計によ
りプログラムに基づくため、後述するように、本発明
は、例えば、分散オブジェクトとしてモデリングされた
可能性もあるビジネス文書の一部等の機密資料および情
報へのアクセスを含む、任意のリモートメソッド呼び出
しに広く適用することができる。 【0006】機関(institution)が、ネットワーク化
環境内の情報リソースの共有および情報リソースへのア
クセスのライセンスを必要とするネットワーク化情報戦
略を実施するにつれて、当分野における発展を阻害する
恐れのある主要な問題として、認証およびアクセス管理
が浮上してきた。機関内で、および近年ではインターネ
ット上の消費者指向の電子商取引を支持して、認証に関
して相当な努力がなされてきており、その結果、組織間
(cross-organisational)の認証およびアクセス管理の
文脈において、一連の新しい技術的および政策的な問題
が浮上してきた。 【0007】組織間アクセス管理問題は、Clifford Lyn
chによる 「A White Paper on Authentication and Acc
ess Management Issues in Cross-Organisational use
of Networked Information Resources」 (Coalition fo
r Networked Information (1998))に定義されている。
この中で、基本的な組織間アクセス管理問題は、今日の
ネットワーク化された情報リソースについての殆どのラ
イセンス契約においてみられ、成果を共有する共同体ま
たは他のリソースの一部として、機関が他の機関とアク
セス制限リソースの共有に同意する状況においても発生
することが述べられている。かかる契約では、大学、学
校、公立図書館、企業等の機関が、何らかのネットワー
クリソースへのアクセスを有するユーザコミュニティを
定義する。このようなコミュニティは通常比較的大き
く、しばしば何千人または何万人という数になり、ある
期間にわたってメンバシップが一時的であることもあ
る。ウェブサイト等であるネットワークリソースのオペ
レータは、リソースへのアクセスを求めるユーザが、ラ
イセンシー機関がライセンス契約の一部として定義した
ユーザコミュニティの実際のメンバであるかどうかを判
断する必要がある。 【0008】ここでの問題は、機関またはリソースオペ
レータがこの点において満足のいく解決に達したと仮定
することができるようにユーザコミュニティを定義する
仕方の問題ではないことに注意することが重要である。
むしろ問題は、予め決められた基準に従い、個人が定義
されたユーザコミュニティの真のメンバであることをテ
ストまたは検証することであり、すなわち、リソースオ
ペレータが理解できる方法で、機関に個人を保証させる
問題とみなすことができる。 【0009】これら問題に対処すべく試みられてきた最
も基本的な方法の1つは、単純なアクセス制御リストを
提供することである。すなわち、リソースオペレータに
は、当該リソースへのアクセスを許可すべきすべての個
人(またはグループ)のリストおよびロールベースの解
決策(1つのレベルの間接参照(indirection)のみ伴
う)が提供され、リソースオペレータはこれを保持す
る。しかし、このような解決策は、クレデンシャル(cr
edential:証明)の集中的な管理に頼る場合、巨大かつ
多様なユーザベースへと拡大することは困難である。 【0010】いずれにしても、組織の境界を越えて拡大
する問題を解決するためには、信頼関係をペア単位で構
築して、信頼性のあるネットワークにおけるクレデンシ
ャルの管理を高度に分散化させる必要があることはLync
hの文献から明らかである。大学、企業、および専門学
会等の機関は、それぞれのメンバを適切に管理できなけ
ればならならず、ウェブサービス(コンテンツまたは他
のリソース)について設けられるサービス契約は、特定
のメンバに対してではなくこれらのグループに対して表
現されるべきである。さらに、ウェブサービス等の供給
者は、契約書に明記され従ってリソースに間接的に「バ
インド」される任意の特定のメンバシップグループから
独立して、リソースについてのアクセスクレデンシャル
を管理できなければならない。最後に、プライバシーの
要件から、リソース要求者個人の身元がリソース供給側
から不透明であることが求められる。 【0011】一般に、サービスに対するセッションベー
スのアクセス制御は、非同期メッセージベースのメソッ
ド(サービス)呼び出しには適さず、個々の要求に「微
小に(atom)」対処する許容可能な解決策が必要とさ
れ、従って、個々の要求のパラメータまたは属性として
クレデンシャルをパッケージすべきである。さらに、解
決策は、高度に並列的である待ち行列メッセージ処理環
境(queued message-handling environments)に拡張可
能でなければならず、これにより微小なアプローチが求
められる。 【0012】Lynchの文献により動機付けられたこれら
アプローチに対する改良は、Henry M. Gladneyによる
「Safe Deals Between Strangers」(IBM Research Rep
ort RJ10155、1999年7月)およびHenry M. Gladne
yおよびArthur Cantu, Jr.による「Safe Deals with St
rangers: Authorization Management for Digital Libr
aries」(Comm. ACM、2001年4月)に記載されてい
る。これらの文献で提案された「安全取引(safe deali
ng)」信頼管理アプローチは、組織間の相互認証および
アクセス制御問題に対処する。上述の文書は、信頼関係
を構築する従来のアプローチは、多くの場合強すぎると
考えられる2つの前提、すなわちa)交渉しているエン
ティティ間の信頼は、相手の身元を互いに知る必要があ
ること、かつb)証明機関(certifying authorities)
の階層において共通の祖先を有すること、に基づいてい
ると述べている。「安全取引」信頼管理アプローチによ
ってなされる貢献は、単にこれらの前提を緩和し周知の
技法を適用して、取引を成立させる必要のある2つのエ
ンティティ間に相互信頼関係を高信頼的に構築すること
である。 【0013】次に、Gladneyが提案する「安全取引」モ
デルについてより詳細に説明する。要求組織(RO:Re
questing Organization)がその母集団のメンバにクレ
デンシャルを発行することを選択し、ROが適切と思う
様式で構造化されたアフィリエーション(affiliatio
n:加入)の種々の程度まで、ベアラ(エンドユーザ
(EU))のメンバシップを証明する。この構造化の例
としては、“EnormousStateU_student”、“EnormousSt
ateU_gradStudent”、“EnormousStateU_EngrStuden
t”、“EnormousStateU_engrFaculty”等を挙げること
ができる。個々のROは、ROが外部プロバイダからラ
イセンスを与えるリソースおよびサービスにアクセスす
るために、コミュニティメンバのベースとしてこれらの
クレデンシャルを使用することを含め、種々の方法でこ
れらのクレデンシャル(登録(enrollment))を適用す
ることができる。 【0014】サービス組織(SO:Service Organizati
on)は、リソースをどのように利用可能にしたいかを個
別に決定する。SOは、パートナーであるリソースサー
バ(RS)上で利用可能としたい個々のリソースまたは
リソースの集合についてアクセス制御ポリシーを定義す
る。これらポリシーは、指定されたクレデンシャル(チ
ケット)を受信したときにRSがとるべきアクションを
指定する。これらのクレデンシャルは、ROによって作
成されるクレデンシャルとは本質的に異なるが、これは
重要な点である。 【0015】ROとSOのペアは、リソースへのアクセ
スを支配するライセンス取引(例えばサービス契約(S
A))を締結する。機能的に、これらサービス契約は、
RO登録とRSチケットとの間のマッピングを含む。決
定されると、これらマッピングにより、RO内の特定の
アフィリエーションを有するユーザは、(RSにより保
持されるポリシーマッピングを通して)チケットが提供
するリソースへのあらゆるアクセス権を得ることができ
る。信頼ペアリング(trust pairing)、すなわちRO
がそのユーザ−登録間マッピングを管理し、RSがチケ
ット−リソース(または特権)間マッピングを管理する
ことに注意されたい。登録−チケット間マッピングは、
安全取引モデルでは「クリアランスセンタ」(CC)と
して知られる、信頼のおける第三者に格納される。 【0016】実際には、登録はEUのリソース要求の一
部として含まれる。登録は、CCによってのみ読み取り
可能であり、分解されてチケットになる。CCは、RS
によってのみ読み取り可能な適切なチケットを送信す
る。最後に、RSは、チケットが、EUが要求したリソ
ース上でのアクションに十分であることを検証する。リ
ソース要求の結果は、EUによってのみ読み取り可能で
あっても良い。 【0017】このように、安全取引モデルは、クレデン
シャルのペア単位のマッピングを提供し、さらなるレベ
ルの間接参照(組織間用途に高度に適する)を提供し、
また、間接参照により最小の情報が各レベルで公表され
るので通謀(collusion)が事実上不可能であるため、
プライバシーが本質的に保護されるというさらなる利点
を提供するという点において、以前に提案された単純な
アクセス制御解決策に対してかなり改善されている。 【0018】Gladneyの安全取引モデルのさらに詳細な
考察は本明細書の範囲を越えるものであるが、提案され
たプロトコルおよび実装についての詳細は上述の文書か
ら得られる。 【0019】 【発明が解決しようとする課題】しかし、Gladneyの安
全取引信頼管理(safe dealing trust management)ア
プローチは、一般に、組織間の認証およびアクセス制御
問題に対処するだけである。例えば、Gladneyのアプロ
ーチでは、インターネット等の情報技術通信ネットワー
クを介した各種アプリケーション相互の対話および/ま
たは他のアプリケーションとの対話に対しての参照を持
たず、すなわちこれらを考慮せず、「リソース」または
「特権(privilege)」を総称的に参照するに過ぎな
い。さらに、デジタルネットワーク化環境では多くの場
合必要とされるきめの細かいポリシー実施がほとんど考
慮されない。従って、本発明は、Gladneyの安全取引モ
デルに対していくつかの改良を提供することを目的とす
る。 【0020】 【課題を解決するための手段】本発明の第1の態様によ
ると、複数の組織に関連するエンドユーザによる、情報
技術通信ネットワークを超えてリソースサーバを経由し
て利用可能な1つまたは複数の分散オブジェクトサービ
スへの組織間アクセスを制御する装置であって、各組織
に関連し、前記リソースサーバを介してサービスへのア
クセスを有する少なくとも1つの認可モジュールであっ
て、要求時に1人または複数のエンドユーザへの認可デ
ータまたは1人または複数のエンドユーザの登録を発行
し、前記認可データを前記エンドユーザそれぞれに電子
的に送信するようにされた少なくとも1つの認可モジュ
ールと、前記リソースサーバと通信し、前記各組織に関
連するエンドユーザによる前記リソースサーバを介して
のサービスへのアクセスに必要なクレデンシャルを定義
する少なくとも1つのサービス提供モジュールと、登録
とクレデンシャルの間の1つまたは複数のマッピングが
格納されるクリアランスモジュールと、を備え、前記エ
ンドユーザは、それぞれの登録に関係するデータと共に
リソースへのアクセス要求を前記リソースサーバに送信
するように適合され、前記リソースサーバは、どの要求
を受信したかに応じて、前記登録に関係する前記データ
を前記クリアランスモジュールに送信するように適合さ
れ、前記クリアランスモジュールは、前記登録を1つま
たは複数のクレデンシャルそれぞれにマッピングし、該
クレデンシャルを表すデータを前記リソースサーバに戻
すように適合され、前記リソースサーバは、前記クレデ
ンシャルを表す前記データを前記元のリソース要求と比
較し、前記要求に従うかまたは従わないようにさらに適
合され、前記認可モジュール、前記リソースサーバおよ
び前記クリアランスモジュールは、情報技術通信ネット
ワークを超えた他のアプリケーションまたはエンドポイ
ントと動的に対話することができるアプリケーションま
たはエンドポイントとして実装される、組織間アクセス
制御装置が提供される。 【0021】また、本発明の第1の態様によると、複数
の組織に関連するエンドユーザによる、情報技術通信ネ
ットワークを超えてリソースサーバを経由して利用可能
な1つまたは複数の分散オブジェクトサービスへの組織
間アクセスを制御する方法であって、各組織に関連し、
前記リソースサーバを介してサービスへのアクセスを有
する少なくとも1つの認可モジュールを設けるステップ
であって、前記認可モジュールは、要求時に1人または
複数のエンドユーザへの認可データまたは1人または複
数のエンドユーザの登録を発行し、前記認可データを前
記エンドユーザそれぞれに電子的に送信するようにされ
るステップと、前記リソースサーバと通信し、前記各組
織に関連するエンドユーザによる前記リソースサーバを
介してのサービスへのアクセスに必要なクレデンシャル
を定義する少なくとも1つのサービス提供モジュールを
設けるステップと、登録とクレデンシャルの間の1つま
たは複数のマッピングが格納されるクリアランスモジュ
ールを設けるステップと、を含み、前記エンドユーザ
は、それぞれの登録に関係するデータと共にリソースへ
のアクセス要求を前記リソースサーバに送信し、前記リ
ソースサーバは、どの要求を受信したかに応じて、前記
登録に関係する前記データを前記クリアランスモジュー
ルに送信し、前記クリアランスモジュールは、前記登録
を1つまたは複数のクレデンシャルそれぞれにマッピン
グし、該クレデンシャルを表すデータを前記リソースサ
ーバに戻すように適合され、前記リソースサーバは、前
記クレデンシャルを表す前記データを前記元のリソース
要求と比較し、前記要求に従うかまたは従わず、前記認
可モジュール、前記リソースサーバ、および前記クリア
ランスモジュールは、情報技術通信ネットワークを超え
た他のアプリケーションまたはエンドポイントと動的に
対話することができるアプリケーションまたはエンドポ
イントとして実装される、アクセス制御方法も提供され
る。 【0022】従って、本発明の第1の態様は、本質的に
は部外者である組織間のエンドユーザに利用可能な特定
の環境下にあるeサービスおよびウェブサービスのアク
セス制御に対して安全取引の原理を適用する。 【0023】本発明の第1の態様の好ましい実施形態で
は、「Webサービス」または「eサービス」(すなわ
ち、情報技術通信ネットワークを超えた他のアプリケー
ションまたはエンドポイントと動的に対話することので
きるアプリケーションまたはエンドポイント)として実
装される認可モジュール、リソースサーバおよびクリア
ランスモジュールは、オブジェクト呼び出しプロトコル
(好ましくはSOAPオブジェクト呼び出しプロトコル
等)を介してアクセスすることができる。 【0024】本発明の第2の態様によると、通信ネット
ワークを超えてアクセス可能な分散オブジェクトサービ
スまたはリソースまたはその両方のポリシーを実施する
装置であって、エンドユーザによる前記オブジェクトサ
ービスまたはリソースまたはその両方へのアクセスを提
供するリソースサーバと、前記サーバへのアクセスまた
はリソースまたはその両方のいずれが前記エンドユーザ
により許可されるかに従って、1つまたは複数のポリシ
ーを定義するポリシーデータ構造を作成するデータ構造
作成手段と、前記ポリシーデータ構造を前記オブジェク
トサービスまたはリソースまたはその両方に結びつける
手段と、を備えるポリシー実施装置が提供される。 【0025】また、本発明の第2の態様によると、通信
ネットワークを超えてアクセス可能な分散オブジェクト
サービスまたはリソースまたはその両方のポリシーを実
施する方法であって、エンドユーザによる前記オブジェ
クトサービスまたはリソースまたはその両方へのアクセ
スを提供するリソースサーバを設けるステップと、前記
サーバへのアクセスまたはリソースまたはその両方のい
ずれが前記エンドユーザにより許可されるかに従って、
1つまたは複数のポリシーを定義するポリシーデータ構
造を作成するステップと、前記ポリシーデータ構造を前
記オブジェクトサービスまたはリソースまたはその両方
に結びつけるステップと、を含むポリシー実施方法も提
供される。 【0026】本発明の第2の態様のポリシーデータ構造
バインディングの概念は、本発明の第1の態様によって
定義される構成に対して有利に適用される。本発明の好
ましい実施形態では、ポリシーデータ構造は、前記サー
ビス提供モジュールによって定義され、前記クリアラン
スモジュールによって格納されるクレデンシャルを、特
定のアクションにバインドする。 【0027】ポリシーデータ構造は、関係データベース
でも、または例えば構造化テキストファイル(XMLフ
ァイル等)でも良い。ポリシーデータ構造は、特定のサ
ービスまたは特定のエンドユーザまたはその両方に関連
する1つまたは複数のポリシーを定義し、前記ポリシー
はそれぞれ、少なくともオブジェクト、サブジェクト、
アクションの3つを定義したデータセットを含む。好ま
しい実施形態では、オブジェクトはエンドユーザにより
要求されるサービスを表す鍵または他のデータを含み、
サブジェクトは、前記エンドユーザに関連する前記1つ
または複数のクレデンシャルを表す鍵または他のデータ
を含み、アクションは、前記オブジェクトおよび前記サ
ブジェクトが一致するイベントにおいて前記リソースサ
ーバがとるべき1つまたは複数のアクションを指定する
ことができる。アクションは、サービスの要求の許容あ
るいは拒絶を含むことができる。別の実施形態では、ア
クションは、許容、拒絶、またはフィルタリングされた
(すなわち条件付きの)許容のうちの1つを含むことが
できる。本発明のさらに別の実施形態では、可能なアク
ションは、別のサービスエンドポイントへの再送(re-d
irection)または元のサービス呼び出しから後続のサー
ビス呼び出しへパラメータを渡すこと、またはその両方
を含むことができる。さらに、本ポリシー実施装置は、
指定された1つまたは複数のアクションの完了が、1つ
または複数のさらなるアクションの要求または完了また
はその両方を生じさせるように構成することができる。 【0028】本発明の第2の態様による装置および方法
は、特にデジタル情報オブジェクトに適用することがで
きる。任意のイベントにおいて、情報またはサービスオ
ブジェクトは、ポリシーデータ構造(またはポリシー表
現)を直接その中に表すデータを含むか、またはデータ
への1つまたは複数のリファレンス含むことのみでき
る。 【0029】 【発明の実施の形態】上述したように、Gladneyの安全
取引モデルの重要な貢献は、プライバシーおよび/また
は信頼性の問題を招くことがある外部からの詳細を伝播
することなく、エンティティペア間に適切に信頼関係を
構築する1つの方法を提供することである。得られる関
係のウェブは、ピアレベルで管理されることになり、自
然に拡張可能な信頼性のあるインフラストラクチャにな
る。 【0030】図1に示す本発明の第1の態様の例示的な
実施形態の土台をなす概念は、安全取引モデルをウェブ
サービス向けに適用することである。各種サービスが図
1に示すモデルにおいて通信する方式は、Gladneyの安
全取引モデルを参照して述べたのとほぼ同じであるが、
重要なサービス(RS、ROおよびCC)のそれぞれ
が、SOAPオブジェクト呼び出しプロトコルを介して
アクセス可能なウェブサービスとして実現されるという
点で異なる。さらに、重要な特徴は、リソース要求(す
なわち、RSに対するウェブサーバ要求)内のパラメー
タとして登録を包含することである。 【0031】従って、図1を参照して、要求組織(R
O)10がそのコミュニティのメンバに登録(E)12
を発行し、ROが適切と思う任意の様式で構造化された
アフィリエーション(affiliation:加入)の種々の程
度まで、ベアラ(エンドユーザ(EU))14のメンバ
シップを証明する。この構造化の例としては、既に述べ
たとおり、“EnormousStateU_student”、“EnormousSt
ateU_gradStudent”、“EnormousStateU_engrStuden
t”、“EnormousStateU_engrFaculty”等を挙げること
ができる。個々のROは、RO10が外部プロバイダか
らライセンスを与えるリソースおよびサービスにアクセ
スするために、コミュニティメンバのベースとしてこれ
らの登録を使用することを含め、適合すると思う任意の
方法で登録を適用することができる。 【0032】サービス組織(SO)16は、リソース
(ウェブサービス26等)をどのように利用可能にした
いかを個別に決定する。SO16は、パートナーである
リソースサーバ(RS)20上で利用可能としたい個々
のリソースまたはリソースの集合についてアクセス制御
ポリシー18を定義する。これらポリシーは、指定され
たクレデンシャル(チケット)を受信したときにRSが
とるべきアクションを指定する。これらのクレデンシャ
ルは、ROによって作成されるクレデンシャルとは本質
的に異なるが、これは重要な点である。 【0033】RO10とSO16のペアは、ROのメン
バシップがどのようにSOのリソースにアクセスするこ
とができるかを支配するサービス契約(SA)、例えば
ライセンス取引を締結する。機能的に、SAは、RO登
録とRSチケットとの間のマッピングを含む。決定され
ると、これらマッピングにより、RO10内の特定のア
フィリエーションを有するユーザは、(RS20により
保持されるポリシーマッピングを通して)チケットが提
供するリソースへのあらゆるアクセス権を得ることがで
きる。信頼ペアリング(trust pairing)、すなわちR
Oがユーザ−登録間マッピングを管理し、RS20がチ
ケット−リソース(または特権)間マッピングを処理す
ることに注意されたい。登録−チケット間マッピング2
2は、信頼のおける第三者(またはクリアランスセンタ
(CC))24に格納される。 【0034】実際には、登録はEUのリソース要求の一
部として含まれる。登録は、CC24によってのみ読み
取り可能である(CC24の公開鍵について暗号化され
る)。登録を受信すると、RS20は、その登録をCC
24に送信し、分解してチケットにする。CC24は、
RS20よってのみ読み取り可能な(RS20の公開鍵
について暗号化される)適切なチケットを送信する。最
後に、RS20は、チケットがEU14の要求したリソ
ース上でのアクションに十分であることを検証する。リ
ソース要求の結果は、EU14によってのみ読み取り可
能であっても良い。 【0035】本発明の第2の態様は、ポリシーの個々の
オブジェクトサービスへのバインディングを提供する。
本発明のこの態様についてより詳細に説明する。Robert
KahnおよびRobert Winlensky による「A Framework fo
r Distributed Digital Object services」(1995)に
は、デジタルオブジェクトの形態で情報を格納し、アク
セスし、ディセミネートしおよび管理するためのオープ
ンシステムのコンポーネントを定義することが提案され
ている。 【0036】上述したように、リソースサーバ(RS)
は、利用可能なサービスのセット(任意の種類のサービ
スで良い。情報オブジェクトのための特定のアプローチ
についてはより詳細に後述される)を作成する。RS
は、安全取引モデルに従って、チケットのリソースに対
する「マッピング」を維持しなければならない。本発明
のこの実施形態では、このマッピングは、チケットを特
定のアクションにバインドするポリシーデータ構造であ
る。このデータ構造は、関係データベース中のテーブル
でも、構造化テキストファイル(例えば、XMLファイ
ル)でも良い。この構造におけるあらゆるポリシーは、
少なくとも、オブジェクト:サブジェクト:アクション
の3つ組(トリプレット)を含む。ここで「オブジェク
ト」は、要求されているサービスをインタプリタに表現
する何らかの鍵であり、「サブジェクト」は、RSがク
レデンシャルとして認識できるチケットを表す鍵であ
り、「アクション」は、オブジェクトとサブジェクトの
間に一致がある場合に、RSがとるべき何らかのアクシ
ョンを指定する。 【0037】一形態では、「アクション」はサービス要
求の単純な承認(または特定の拒絶)であっても良い。
別の形態では、「アクション」は、局所的にまたは遠隔
で供給される別のサービスエンドポイントであり、この
場合認可(authorization)の実施は、フィルタリング
または再送(re-direction)の問題である。アクション
は複雑であっても、連鎖していても良い。最後に、パラ
メータを元々のサービス呼び出しから後続のサービス呼
び出しに渡すような方法で、アクションを記述すること
ができる(クレデンシャルのパラメータ化の利点は、そ
の呼び出しが微小の(atomic)のままであり、伝送から
独立であることである)。 【0038】最後に、本発明が提供するポリシー表現シ
ステムは、認可されたアクティビティのシーケンスをサ
ポートするように拡張することができる。アクティビテ
ィが完了すると、ワークフロー内でアクセスすべき他の
後続サービスについてのポリシーを動的に(プログラム
的に)追加または検証することができる。具体的には、
ポリシー「アクション」の一部は、次に必要となるポリ
シーの検証を導くイベントまたは通知を発火する。この
技法は、後続するプロセスステップにアクセスするため
には1つまたは複数の先行プロセスステップの完了を必
要とする、待ち行列処理(queued processing)環境を
サポートする。 【0039】デジタルオブジェクトは、例えば作品の内
容、デジタルオブジェクトの一意の識別子(その「ハン
ドル」)およびオブジェクトについての他のデータを含
む、コンテンツから独立したパッケージであり、オブジ
ェクトの使用を記述するポリシー表現を含むことができ
る。リポジトリは論理的にデジタルオブジェクトを格納
し、常駐オブジェクトの態様にバインドされたポリシー
を実施する役割を担う。デジタルオブジェクト上のサー
ビス要求はディセミネーション(dissemination:配
布)を作成するが、これは、要求の結果(要求の中のパ
ラメータによって決定される)と、ディセミネーション
の出所とその使用を支配する特定のポリシーとを指定す
る追加のデータと、を含む。ディセミネーションは、基
礎をなす「ソース」デジタルオブジェクトと同じデータ
を有する必要はなく、またデジタルオブジェクトのデー
タのサブセット(例えば、デジタルオブジェクトとして
格納されている書籍の中の1ページについてのサービス
要求の結果であるデジタルオブジェクト)である必要も
ないことが理解されよう。例えば、デジタルオブジェク
トは実行可能プログラムであっても良く、ディセミネー
ションは、サービス要求におけるパラメータを入力とし
て用いてプログラムを実行することによって作成しても
良い。 【0040】最後に、Kahn/Wilenskyの文献は、デジタ
ルオブジェクトを蓄積しこれにアクセスするサービスを
提供するリポジトリアクセス制御(RAP)についての
概要を述べており、RAPの実装については、本発明の
第2の態様の例示的な実施形態による、ポリシーをオブ
ジェクトサービスにバインディングするアプローチとし
て後述する。 【0041】オブジェクト・コンテンツタイプ・ディセ
ミネータ(disseminator)の細かい機能または動作は、
ポリシーに依存しなければならない。本発明は、特定の
ポリシーまたはポリシーセットを個々のオブジェクトサ
ービスまたは情報オブジェクトにバインディングするこ
とを考慮し、コンテンツの閲覧またはリモートメソッド
の実行のどちらについて述べているかに関わらず、アク
セス制御の問題に帰着される。従って、メソッドがディ
セミネータを呼び出すことは明らかである。 【0042】当事者の全てが、ある時点または別の時点
でオブジェクトサービスまたは(「コンテンツ」または
「メタデータ」についての)情報オブジェクトのサービ
スへのアクセス権を得る場合、それらにバインドされた
アクセス制御ポリシーおよびクレデンシャルを集中的に
管理することは明らかに不可能である。従って、複数レ
ベルの間接参照(indirection)を提供し、上述したGla
dneyの安全取引モデルによって提供されるような、信頼
関係をペア単位でピア指向で構築することのできる認証
モデルが必要とされる。本発明は、ポリシーの表現およ
び実施を適切なレベルの粒度で提供することによって、
このモデルを改良する。 【0043】一般に、ポリシー表現は、サブジェクト、
オブジェクトおよびアクションに関する3つ組の作成に
関係する。この文脈において、サブジェクトはサービス
の要求者と(大雑把に)みなすことができ、オブジェク
トは情報オブジェクトの特定のサービス(またはビヘイ
ビア(behaviour))とみなすことができ、アクション
は、許容可能な何らかのアクションとみなすことができ
る(「アクション」は暗黙的なこともあり、この場合、
ポリシーは認可状態を示す「符号」を指定するに過ぎな
いことに注意する)。 【0044】ポリシーにより参照されるサブジェクト
は、アプリケーションにおいて認可(すなわちクレデン
シャル)がどのように実装されるかに依存する。サブジ
ェクト参照は、照合可能な人物の識別子、または好まし
くは上述の安全取引モデルにおいて述べたチケットのよ
うなクレデンシャルを指定することができる。オブジェ
クトは、一意の名称を検証可能に固定することができる
あらゆるものを含み、オブジェクトのきめの粗い「態
様」(例えば、サブジェクトがRAPの定義されたサー
ビスにアクセスすることができるか否か)に限定される
必要はないが、同様にコンテンツタイプのきめの細かい
メソッドまたはビヘイビアであっても良い。アクション
は、単純な認可(例えば、許可/拒絶)、やや複雑な結
果(例えば、許可/拒絶/フィルタリングされた許
可)、または連鎖的なアクション(例えば、基本的な応
答アクションに加え、いくつかの通知サービスに対する
イベントの発火)を実装することができる。 【0045】安全取引モデルは、クレデンシャルの転送
を含むが、クレデンシャル(安全取引の場合、チケッ
ト)に関して表現された実際のポリシーは含まない。ク
レデンシャルとポリシーの間のマッピングを管理する技
法は、RAPホストによって変化する傾向があるが、本
発明のこの態様によれば、同じポリシーに従うものと予
期される場合、意味論的に同じでなければならない。実
装の観点から、オブジェクトサービスプロバイダは通
常、実施をフィルタリングのような機能として取り扱
う。これによって、サービスのリモートサービス呼び出
しゲートウェイ(例えば、SOAPゲートウェイ)が、
サブジェクト:オブジェクト:アクションに適用される
ルールに基づいて要求を通過させるかどうかを決定する
必要がある(ここで、サブジェクトは一意に識別される
クレデンシャル、この場合チケットであり、オブジェク
トは特定のRAPメソッド要求またはその要求の一部で
あり、アクションは、いくつかの列挙した結果のうちの
1つである(Ernesto Damianiらによる「Fine Grained
Access Control for SOAP E-services」、WWW10会
報、香港、2001年5月を参照のこと))。 【0046】リポジトリアクセスプロトコル(Sandra P
ayetteらによる「Interoperabilityfor Digital Object
s and Repositories: The Cornell/CNRI experiments」
D-lib Magazine(1999年5月)、およびSandra Pay
ette、Christophe BlanchiおよびNaomi Dushayによる
「Repository Access Protocol (RAP) IDL Version 1.
3」に記載)は、デジタル情報オブジェクトおよびリポ
ジトリに対して分散アクセスおよび管理を提供する強固
なインタフェースである。具体的には、RAPは、デジ
タルオブジェクトを作成し削除し編集する一連の機構の
他、属性、データおよびビヘイビアに基づいて動作する
機構を提供する。RAPは、アプリケーションに関係な
くデジタルオブジェクトにアクセスしこれを維持する一
貫した方法を指定するので、デジタルオブジェクト・イ
ンフラストラクチャの要素を定義する鍵としてRAPを
導入することができる。 【0047】RAPは、Kahn/Wilenskyモデルの主要な
構成要素に対応する4つの主要部分またはクラスに分け
ることができる。すなわちリポジトリ、デジタルオブジ
ェクト、ディセミネータ、およびデータストリームであ
る。リポジトリクラスは、特定のシステム内に含まれる
デジタルオブジェクトを作成し、削除しおよび管理する
機能を提供する。特定のデジタルオブジェクトとの対話
を望むクライアントは、初めにそのオブジェクトを含む
リポジトリを(ハンドルシステム等のオブジェクト・ネ
ーミング・インフラストラクチャによって、おそらくは
デジタルオブジェクト識別子(DOI)を使用して)探
し出し、次にリポジトリとのRAP「接続」を開始しな
ければならない。接続されると、クライアントは、デジ
タルオブジェクトをリポジトリから要求する。本発明の
好ましい実施形態では、RAP要求は、メッセージベー
スのオブジェクト呼び出しプロトコル、特にSOAPを
介して行われる(例えば、上述したErnesto Damianiら
による「Fine Grained Access Control for SOAP E-Ser
vices」を参照のこと)。 【0048】ポリシーをオブジェクトサービスにマッピ
ングする方法を考慮するとき、RAPがデジタルオブジ
ェクトへのプライマリインタフェースを定義することを
思い出すことが重要である。従って、すべてのポリシー
は、プライマリRAPコンポーネントまたはコンテンツ
タイプに適用されるかどうかは、デジタルオブジェクト
に基づかなければならない。RAPによって定義される
3つの主要なクラス(デジタルオブジェクト、ディセミ
ネータおよびデータストリーム)のあらゆるインスタン
スは、RAPメソッドのセットをそれと関連付けてい
る。各メソッドは、アクション(「アクセプト」等)を
クレデンシャルに関連付ける1つまたは複数のポリシー
のオブジェクトであることができる。最後に、あらゆる
オブジェクトは、メソッドのセットによってそれぞれ定
義される複数のコンテンツタイプをカプセル化すること
ができ、この場合、各メソッドは1つまたは複数のポリ
シーのオブジェクトであることができる。 【0049】実際的な観点から最も重要な要件は、これ
らポリシー表現が明示的に行われ、ハードコード化され
た実装が可能であることであり、これらは本発明の範囲
内である。しかし、柔軟性が制限される可能性があるた
め、一般に推奨されない。ポリシーをメソッドにマッピ
ングするメカニズムは、(1)メソッドによって参照さ
れる宣言構造でポリシーを表現すること、または(2)
ポリシーオブジェクトがメソッドにより参照され、評価
を求められること、を含むことができる。(1)はデー
タストリームとして実装される可能性が最も高く、一意
のオブジェクトによってソースとされることに注意す
る。2つのアプローチの違いは、ポリシーを評価して結
果を呼び出しメソッドに戻す代わりに、オブジェクト
が、別のオブジェクトによる評価のベースである完全な
ポリシー宣言を供給することである。 【0050】従って、各ディセミネイターレベルのメソ
ッド呼び出し(例えば、「GetPDFPage(4
5)」)は、少なくともそれに関連付けられたポリシー
データ構造を有し、最大でも結果を供給するポリシーオ
ブジェクトを参照する。前者の場合、そのコンテンツ
は、コンテンツタイプに固有である必要がある。情報オ
ブジェクトとの関連は、明示的であっても、あるいは暗
黙的であっても良い(オブジェクトの構造内の別のデー
タストリームにすぎないため)。 【0051】ポリシーデータストリームのオブジェクト
階層内での「位置決め(positioning)」には、いくつ
かのオプションが存在する。例えば、ポリシー表現をオ
ブジェクト構造内に直接または参照により含めることが
好ましいことがある(それぞれが一意に識別されるもの
と仮定することができるため)。代替的に、ポリシー表
現をオブジェクト構造内に直接含めることが場合によっ
ては有利であるが、オブジェクトについてのすべてのポ
リシーを、それ自身のサービスを持つ別個の情報オブジ
ェクトとして管理することが好ましいこともある。この
問題は、SandraPayetteおよびCarl Lagozeによる「Flex
ible and Extensible Digital Objectand Repository A
rchitecture」(Second European Conference on Resear
ch andAdvanced Technology for Digital Libraries, H
eraklion, Crete, Greece)に記載されているように、コ
ンテンツタイプの同等物を呼び出すことにより解決する
ことができる。 【0052】図2に示す例では、ポリシー表現28がデ
ータストリームとしてオブジェクトの構造内に直接含め
られ、タイプシグネチャ「A」32を構成する動作(メ
ソッド)を実行するときに、サーブレット「A」30
が、ポリシーデータストリーム「Policy」を適用
する。一方、「コンテンツ」データストリーム34は、
他のディセミネータと共有され、他の動作を提供する。 【0053】Gladneyによって提案された安全取引信頼
管理アプローチは、一般に、組織間の認証およびアクセ
ス制御問題に対処する。本発明は、Gladneyのアプロー
チにいくつかの改良を提供する。例えば、Gladneyの文
献では、「リソース」および「特権」が総称的に参照さ
れるだけであり、本発明の一態様において定義され適用
されるようにウェブサービスに対する特定の参照が行わ
れない。さらに、Gladneyは、「特権」について一般に
言及しているにもかかわらず、豊富に表現されたポリシ
ーのチケットへのバインディングについては特に言及し
ていない。 【0054】従って、要約すれば、ウェブサービス要求
のポリシーを表現する柔軟性のある手段と組み合わせら
れたGladneyの安全取引モデルは、リポジトリ内ならび
にコンテンツのディセミネーションにおけるデジタルオ
ブジェクトを管理し、適切なレベルでのポリシー実施を
適用する、強力かつ一貫した方法を提供する。さらに本
発明は、本質的に転送プロトコルから独立している。従
来技術による解決策は制御を転送に結びつけるが、本発
明で使用するアプローチでは、メソッド呼び出し中にク
レデンシャルをパラメータとして提示することができ、
これによって任意適切な転送フォーマットで要求を伝搬
させることが可能である。加えて、認可(またはポリシ
ー実施)は、要求者の物理的な場所に無関係である(そ
のような場所が最初の場所での登録条件でない限り)。 【0055】本発明は、フォーマット固有のデジタル著
作権管理(digital rights management)の提供を可能
にする。多くの従来技術によるデジタル著作権管理アプ
ローチは、媒体形式、パッケージング方法、および所有
権信頼管理ソリューションに強く結びついている。通
常、発行者または情報プロバイダは、コンテンツのディ
セミネーションフォーマットを自由に選択することはで
きない。複数のタイプをディセミネートすることを選択
すると、複数の著作権管理技術を用いてコンテンツを展
開する必要のあることが多い。一方、本発明では、情報
のディセミネーションに適用する場合、クレデンシャル
を複数のディセミネーションフォーマットにわたって一
様に適用することができる。本発明では、組織の境界を
超えたすべての態様の情報オブジェクトに対するきめの
細かいポリシー管理が可能であり、オブジェクトの生
成、配送、消費および長期アーカイブの全てにわたっ
て、情報オブジェクトの単一の抽象的な表現を使用する
ことができる。 【0056】本発明には例として以下の実施形態が含ま
れる。 【0057】1.複数の組織に関連するエンドユーザ
(14)による、情報技術通信ネットワークを超えてリ
ソースサーバ(20)を介して利用可能な1つまたは複
数の分散オブジェクトサービス(26)への組織間アク
セスを制御する装置であって、各組織に関連し、前記リ
ソースサーバを介してサービスへのアクセスを有する少
なくとも1つの認可モジュール(10)であって、要求
時に1人または複数のエンドユーザへの認可データまた
は1人または複数のエンドユーザの登録(12)を発行
し、前記認可データを前記エンドユーザそれぞれに電子
的に送信するようにされた少なくとも1つの認可モジュ
ールと、前記リソースサーバと通信し、前記各組織に関
連するエンドユーザによる前記リソースサーバを介して
のサービスへのアクセスに必要なクレデンシャルを定義
する少なくとも1つのサービス提供モジュール(16)
と、登録とクレデンシャルの間の1つまたは複数のマッ
ピング(22)が格納されるクリアランスモジュール
(24)と、を備え、前記エンドユーザは、それぞれの
登録に関係するデータと共にリソースへのアクセス要求
を前記リソースサーバに送信するように適合され、前記
リソースサーバは、どの要求を受信したかに応じて、前
記登録に関係する前記データを前記クリアランスモジュ
ールに送信するように適合され、前記クリアランスモジ
ュールは、前記登録を1つまたは複数のクレデンシャル
それぞれにマッピングし、該クレデンシャルを表すデー
タを前記リソースサーバに戻すように適合され、前記リ
ソースサーバは、前記クレデンシャルを表す前記データ
を前記元のリソース要求と比較し、前記要求に従うかま
たは従わないようにさらに適合され、前記認可モジュー
ル、前記リソースサーバおよび前記クリアランスモジュ
ールは、情報技術通信ネットワークを超えた他のアプリ
ケーションまたはエンドポイントと動的に対話すること
ができるアプリケーションまたはエンドポイントとして
実装される、組織間アクセス制御装置。 【0058】2.前記認可モジュール、前記リソースサ
ーバおよび前記クリアランスモジュールは、オブジェク
ト呼び出しプロトコルを介してアクセス可能である、前
記1に記載の装置。 【0059】3.通信ネットワークを超えてアクセス可
能な分散オブジェクトサービス(26)またはリソース
またはその両方のポリシーを実施する装置であって、エ
ンドユーザ(14)による前記オブジェクトサービス
(26)またはリソースまたはその両方へのアクセスを
提供するリソースサーバ(20)と、前記サーバへのア
クセスまたはリソースまたはその両方のいずれが前記エ
ンドユーザにより許可されるかに従って、1つまたは複
数のポリシーを定義するポリシーデータ構造を作成する
データ構造作成手段と、前記ポリシーデータ構造を前記
オブジェクトサービスまたはリソースまたはその両方に
バインディングする手段と、を備えるポリシー実施装
置。 【0060】4.前記ポリシーデータ構造は関係データ
ベースである、前記3に記載のポリシー実施装置。 【0061】5.前記ポリシーデータ構造は、特定のサ
ービスまたは特定のエンドユーザまたはその両方に関連
する1つまたは複数のポリシーを定義し、前記ポリシー
はそれぞれ、少なくともオブジェクト、サブジェクト、
アクションの3つを定義したデータセットを含む、前記
3または4に記載のポリシー実施装置。 【0062】6.前記オブジェクトはエンドユーザによ
り要求されるサービスを表す鍵または他のデータを含
み、前記サブジェクトは、前記エンドユーザに関連する
前記1つまたは複数のクレデンシャルを表す鍵または他
のデータを含み、前記アクションは、前記オブジェクト
および前記サブジェクトが一致する場合に、前記リソー
スサーバがとるべき1つまたは複数のアクションを指定
する、前記5に記載のポリシー実施装置。 【0063】7.前記アクションは前記サービスの要求
の許容(acceptance)または拒絶を含む、前記6に記載
のポリシー実施装置。 【0064】8.前記アクションは、許容、拒絶、また
はフィルタリングされた(すなわち条件付きの)許容の
うちの1つを含む、前記6または7に記載のポリシー実
施装置。 【0065】9.前記可能なアクションは、別のサービ
スエンドポイントへの再送(re-direction)または元の
サービス呼び出しから後続のサービス呼び出しへパラメ
ータを渡すこと、またはその両方を含む、前記6ないし
8のいずれか1項に記載のポリシー実施装置。 【0066】10.指定された1つまたは複数のアクシ
ョンの完了が、1つまたは複数のさらなるアクションの
要求または完了またはその両方を生じさせる、前記6な
いし9のいずれか1項に記載のポリシー実施装置。 【0067】11.複数の組織に関連するエンドユーザ
による、情報技術通信ネットワークを超えてリソースサ
ーバを介して利用可能な1つまたは複数の分散オブジェ
クトサービスへの組織間アクセスを制御する方法であっ
て、各組織に関連し、前記リソースサーバを介してサー
ビスへのアクセスを有する少なくとも1つの認可モジュ
ールを設けるステップであって、前記認可モジュール
は、要求時に1人または複数のエンドユーザへの認可デ
ータまたは1人または複数のエンドユーザの登録を発行
し、前記認可データを前記エンドユーザそれぞれに電子
的に送信するようにされるステップと、前記リソースサ
ーバと通信し、前記各組織に関連するエンドユーザによ
る前記リソースサーバを介してのサービスへのアクセス
に必要なクレデンシャルを定義する少なくとも1つのサ
ービス提供モジュールを設けるステップと、登録とクレ
デンシャルの間の1つまたは複数のマッピングが格納さ
れるクリアランスモジュールを設けるステップと、を含
み、前記エンドユーザは、それぞれの登録に関係するデ
ータと共にリソースへのアクセス要求を前記リソースサ
ーバに送信し、前記リソースサーバは、どの要求を受信
したかに応じて、前記登録に関係する前記データを前記
クリアランスモジュールに送信し、前記クリアランスモ
ジュールは、前記登録を1つまたは複数のクレデンシャ
ルそれぞれにマッピングし、該クレデンシャルを表すデ
ータを前記リソースサーバに戻すように適合され、前記
リソースサーバは、前記クレデンシャルを表す前記デー
タを前記元のリソース要求と比較し、前記要求に従うか
または従わず、前記認可モジュール、前記リソースサー
バ、および前記クリアランスモジュールは、情報技術通
信ネットワークを超えた他のアプリケーションまたはエ
ンドポイントと動的に対話することができるアプリケー
ションまたはエンドポイントとして実装される、アクセ
ス制御方法。 【0068】12.通信ネットワークを超えてアクセス
可能な分散オブジェクトサービスまたはリソースまたは
その両方のポリシーを実施する方法であって、エンドユ
ーザによる前記オブジェクトサービスまたはリソースま
たはその両方へのアクセスを提供するリソースサーバを
設けるステップと、前記サーバへのアクセスまたはリソ
ースまたはその両方のいずれが前記エンドユーザにより
許可されるかに従って、1つまたは複数のポリシーを定
義するポリシーデータ構造を作成するステップと、前記
ポリシーデータ構造を前記オブジェクトサービスまたは
リソースまたはその両方にバインディングするステップ
と、を含むポリシー実施方法。 【0069】本明細書では、本発明を特定の例示的な実
施形態を参照して説明した。しかし、当業者には、本発
明の広義の趣旨および範囲から逸脱することなく、各種
修正および変更を行いうることが理解されよう。
散しネットワーク化されたサービスのポリシー実施(po
licy enforcement)およびアクセス制御機構に関し、よ
り詳細には、ネットワークプロトコルを超えたメッセー
ジ呼び出しを介してホストにより利用可能とされる個々
の「ウェブサービス」または「eサービス」、またはこ
れらのセットを含む、ネットワーク化された情報リソー
スおよびサービスへのアクセスを制御し保護する方法お
よび装置に関する。 【0002】 【従来の技術】一般に、ウェブサービスまたはeサービ
スは、ドキュメント指向あるいは手続き指向の情報を含
むメッセージに対して動作するネットワークエンドポイ
ントのセットとみなすことができる。ウェブサービス
は、ウェブサービス記述によって明示的に指定される。
その中で、動作およびメッセージが抽象的に記述され、
具体的なネットワークプロトコルおよびメッセージフォ
ーマットに抽象的にバインドされてエンドポイントを定
義する。関係する具体的なエンドポイントは、抽象的な
エンドポイント(またはサービス)に組み合わせること
ができ、特にHTTPおよびSMTPを含む各種メッセ
ージ転送プロトコルが適切である。 【0003】グローバル情報ネットワークは、知的財産
のネットワークである。かかるネットワーク上でアクセ
ス可能にされるすべての情報は、ある種類の知的所有権
(IPR)の文脈内でディセミネート(disseminate:
配布)され、ここでは情報オブジェクトと相手(制作
者、発行者および消費者等)との間の関係は、暗黙的に
あるいは明示的に何らかの特定の方法で定義されてい
る。特定のオブジェクト、相手およびアクションに関す
る関係の表明は、IPRポリシーと考えることができ
る。 【0004】現在、インターネットおよび同様のデジタ
ルネットワーク化環境でのIPRポリシー表現の一貫し
た機構を提供し、および情報消費者(または情報消費者
を代理して動くエージェント)が容易かつ自動的に関心
のある情報についてのかかるポリシーを発見、アクセ
ス、および解釈する方法を提供することに関して、かな
りの研究が行われている。このようなネットワーク化環
境の品質は、ディセミネーション(dissemination:配
布)の前後どちらにおいても、IPRポリシーを情報オ
ブジェクトに永続的に関連付けるためのオープンかつア
クセス可能な方法を持たないことによって損なわれてい
る。 【0005】後述する本発明は、具体的に、だが限定的
でなく、異種の情報オブジェクトをディセミネートする
ウェブサービス、特に異なるコンテンツタイプ(例え
ば、MIMEタイプ)および/または変換(例えば、言
語翻訳)を提供するサービスのためのアクセス制御およ
びポリシー実施の提供に関するものである。しかし、関
心のあるネットワークインタフェースは一般に設計によ
りプログラムに基づくため、後述するように、本発明
は、例えば、分散オブジェクトとしてモデリングされた
可能性もあるビジネス文書の一部等の機密資料および情
報へのアクセスを含む、任意のリモートメソッド呼び出
しに広く適用することができる。 【0006】機関(institution)が、ネットワーク化
環境内の情報リソースの共有および情報リソースへのア
クセスのライセンスを必要とするネットワーク化情報戦
略を実施するにつれて、当分野における発展を阻害する
恐れのある主要な問題として、認証およびアクセス管理
が浮上してきた。機関内で、および近年ではインターネ
ット上の消費者指向の電子商取引を支持して、認証に関
して相当な努力がなされてきており、その結果、組織間
(cross-organisational)の認証およびアクセス管理の
文脈において、一連の新しい技術的および政策的な問題
が浮上してきた。 【0007】組織間アクセス管理問題は、Clifford Lyn
chによる 「A White Paper on Authentication and Acc
ess Management Issues in Cross-Organisational use
of Networked Information Resources」 (Coalition fo
r Networked Information (1998))に定義されている。
この中で、基本的な組織間アクセス管理問題は、今日の
ネットワーク化された情報リソースについての殆どのラ
イセンス契約においてみられ、成果を共有する共同体ま
たは他のリソースの一部として、機関が他の機関とアク
セス制限リソースの共有に同意する状況においても発生
することが述べられている。かかる契約では、大学、学
校、公立図書館、企業等の機関が、何らかのネットワー
クリソースへのアクセスを有するユーザコミュニティを
定義する。このようなコミュニティは通常比較的大き
く、しばしば何千人または何万人という数になり、ある
期間にわたってメンバシップが一時的であることもあ
る。ウェブサイト等であるネットワークリソースのオペ
レータは、リソースへのアクセスを求めるユーザが、ラ
イセンシー機関がライセンス契約の一部として定義した
ユーザコミュニティの実際のメンバであるかどうかを判
断する必要がある。 【0008】ここでの問題は、機関またはリソースオペ
レータがこの点において満足のいく解決に達したと仮定
することができるようにユーザコミュニティを定義する
仕方の問題ではないことに注意することが重要である。
むしろ問題は、予め決められた基準に従い、個人が定義
されたユーザコミュニティの真のメンバであることをテ
ストまたは検証することであり、すなわち、リソースオ
ペレータが理解できる方法で、機関に個人を保証させる
問題とみなすことができる。 【0009】これら問題に対処すべく試みられてきた最
も基本的な方法の1つは、単純なアクセス制御リストを
提供することである。すなわち、リソースオペレータに
は、当該リソースへのアクセスを許可すべきすべての個
人(またはグループ)のリストおよびロールベースの解
決策(1つのレベルの間接参照(indirection)のみ伴
う)が提供され、リソースオペレータはこれを保持す
る。しかし、このような解決策は、クレデンシャル(cr
edential:証明)の集中的な管理に頼る場合、巨大かつ
多様なユーザベースへと拡大することは困難である。 【0010】いずれにしても、組織の境界を越えて拡大
する問題を解決するためには、信頼関係をペア単位で構
築して、信頼性のあるネットワークにおけるクレデンシ
ャルの管理を高度に分散化させる必要があることはLync
hの文献から明らかである。大学、企業、および専門学
会等の機関は、それぞれのメンバを適切に管理できなけ
ればならならず、ウェブサービス(コンテンツまたは他
のリソース)について設けられるサービス契約は、特定
のメンバに対してではなくこれらのグループに対して表
現されるべきである。さらに、ウェブサービス等の供給
者は、契約書に明記され従ってリソースに間接的に「バ
インド」される任意の特定のメンバシップグループから
独立して、リソースについてのアクセスクレデンシャル
を管理できなければならない。最後に、プライバシーの
要件から、リソース要求者個人の身元がリソース供給側
から不透明であることが求められる。 【0011】一般に、サービスに対するセッションベー
スのアクセス制御は、非同期メッセージベースのメソッ
ド(サービス)呼び出しには適さず、個々の要求に「微
小に(atom)」対処する許容可能な解決策が必要とさ
れ、従って、個々の要求のパラメータまたは属性として
クレデンシャルをパッケージすべきである。さらに、解
決策は、高度に並列的である待ち行列メッセージ処理環
境(queued message-handling environments)に拡張可
能でなければならず、これにより微小なアプローチが求
められる。 【0012】Lynchの文献により動機付けられたこれら
アプローチに対する改良は、Henry M. Gladneyによる
「Safe Deals Between Strangers」(IBM Research Rep
ort RJ10155、1999年7月)およびHenry M. Gladne
yおよびArthur Cantu, Jr.による「Safe Deals with St
rangers: Authorization Management for Digital Libr
aries」(Comm. ACM、2001年4月)に記載されてい
る。これらの文献で提案された「安全取引(safe deali
ng)」信頼管理アプローチは、組織間の相互認証および
アクセス制御問題に対処する。上述の文書は、信頼関係
を構築する従来のアプローチは、多くの場合強すぎると
考えられる2つの前提、すなわちa)交渉しているエン
ティティ間の信頼は、相手の身元を互いに知る必要があ
ること、かつb)証明機関(certifying authorities)
の階層において共通の祖先を有すること、に基づいてい
ると述べている。「安全取引」信頼管理アプローチによ
ってなされる貢献は、単にこれらの前提を緩和し周知の
技法を適用して、取引を成立させる必要のある2つのエ
ンティティ間に相互信頼関係を高信頼的に構築すること
である。 【0013】次に、Gladneyが提案する「安全取引」モ
デルについてより詳細に説明する。要求組織(RO:Re
questing Organization)がその母集団のメンバにクレ
デンシャルを発行することを選択し、ROが適切と思う
様式で構造化されたアフィリエーション(affiliatio
n:加入)の種々の程度まで、ベアラ(エンドユーザ
(EU))のメンバシップを証明する。この構造化の例
としては、“EnormousStateU_student”、“EnormousSt
ateU_gradStudent”、“EnormousStateU_EngrStuden
t”、“EnormousStateU_engrFaculty”等を挙げること
ができる。個々のROは、ROが外部プロバイダからラ
イセンスを与えるリソースおよびサービスにアクセスす
るために、コミュニティメンバのベースとしてこれらの
クレデンシャルを使用することを含め、種々の方法でこ
れらのクレデンシャル(登録(enrollment))を適用す
ることができる。 【0014】サービス組織(SO:Service Organizati
on)は、リソースをどのように利用可能にしたいかを個
別に決定する。SOは、パートナーであるリソースサー
バ(RS)上で利用可能としたい個々のリソースまたは
リソースの集合についてアクセス制御ポリシーを定義す
る。これらポリシーは、指定されたクレデンシャル(チ
ケット)を受信したときにRSがとるべきアクションを
指定する。これらのクレデンシャルは、ROによって作
成されるクレデンシャルとは本質的に異なるが、これは
重要な点である。 【0015】ROとSOのペアは、リソースへのアクセ
スを支配するライセンス取引(例えばサービス契約(S
A))を締結する。機能的に、これらサービス契約は、
RO登録とRSチケットとの間のマッピングを含む。決
定されると、これらマッピングにより、RO内の特定の
アフィリエーションを有するユーザは、(RSにより保
持されるポリシーマッピングを通して)チケットが提供
するリソースへのあらゆるアクセス権を得ることができ
る。信頼ペアリング(trust pairing)、すなわちRO
がそのユーザ−登録間マッピングを管理し、RSがチケ
ット−リソース(または特権)間マッピングを管理する
ことに注意されたい。登録−チケット間マッピングは、
安全取引モデルでは「クリアランスセンタ」(CC)と
して知られる、信頼のおける第三者に格納される。 【0016】実際には、登録はEUのリソース要求の一
部として含まれる。登録は、CCによってのみ読み取り
可能であり、分解されてチケットになる。CCは、RS
によってのみ読み取り可能な適切なチケットを送信す
る。最後に、RSは、チケットが、EUが要求したリソ
ース上でのアクションに十分であることを検証する。リ
ソース要求の結果は、EUによってのみ読み取り可能で
あっても良い。 【0017】このように、安全取引モデルは、クレデン
シャルのペア単位のマッピングを提供し、さらなるレベ
ルの間接参照(組織間用途に高度に適する)を提供し、
また、間接参照により最小の情報が各レベルで公表され
るので通謀(collusion)が事実上不可能であるため、
プライバシーが本質的に保護されるというさらなる利点
を提供するという点において、以前に提案された単純な
アクセス制御解決策に対してかなり改善されている。 【0018】Gladneyの安全取引モデルのさらに詳細な
考察は本明細書の範囲を越えるものであるが、提案され
たプロトコルおよび実装についての詳細は上述の文書か
ら得られる。 【0019】 【発明が解決しようとする課題】しかし、Gladneyの安
全取引信頼管理(safe dealing trust management)ア
プローチは、一般に、組織間の認証およびアクセス制御
問題に対処するだけである。例えば、Gladneyのアプロ
ーチでは、インターネット等の情報技術通信ネットワー
クを介した各種アプリケーション相互の対話および/ま
たは他のアプリケーションとの対話に対しての参照を持
たず、すなわちこれらを考慮せず、「リソース」または
「特権(privilege)」を総称的に参照するに過ぎな
い。さらに、デジタルネットワーク化環境では多くの場
合必要とされるきめの細かいポリシー実施がほとんど考
慮されない。従って、本発明は、Gladneyの安全取引モ
デルに対していくつかの改良を提供することを目的とす
る。 【0020】 【課題を解決するための手段】本発明の第1の態様によ
ると、複数の組織に関連するエンドユーザによる、情報
技術通信ネットワークを超えてリソースサーバを経由し
て利用可能な1つまたは複数の分散オブジェクトサービ
スへの組織間アクセスを制御する装置であって、各組織
に関連し、前記リソースサーバを介してサービスへのア
クセスを有する少なくとも1つの認可モジュールであっ
て、要求時に1人または複数のエンドユーザへの認可デ
ータまたは1人または複数のエンドユーザの登録を発行
し、前記認可データを前記エンドユーザそれぞれに電子
的に送信するようにされた少なくとも1つの認可モジュ
ールと、前記リソースサーバと通信し、前記各組織に関
連するエンドユーザによる前記リソースサーバを介して
のサービスへのアクセスに必要なクレデンシャルを定義
する少なくとも1つのサービス提供モジュールと、登録
とクレデンシャルの間の1つまたは複数のマッピングが
格納されるクリアランスモジュールと、を備え、前記エ
ンドユーザは、それぞれの登録に関係するデータと共に
リソースへのアクセス要求を前記リソースサーバに送信
するように適合され、前記リソースサーバは、どの要求
を受信したかに応じて、前記登録に関係する前記データ
を前記クリアランスモジュールに送信するように適合さ
れ、前記クリアランスモジュールは、前記登録を1つま
たは複数のクレデンシャルそれぞれにマッピングし、該
クレデンシャルを表すデータを前記リソースサーバに戻
すように適合され、前記リソースサーバは、前記クレデ
ンシャルを表す前記データを前記元のリソース要求と比
較し、前記要求に従うかまたは従わないようにさらに適
合され、前記認可モジュール、前記リソースサーバおよ
び前記クリアランスモジュールは、情報技術通信ネット
ワークを超えた他のアプリケーションまたはエンドポイ
ントと動的に対話することができるアプリケーションま
たはエンドポイントとして実装される、組織間アクセス
制御装置が提供される。 【0021】また、本発明の第1の態様によると、複数
の組織に関連するエンドユーザによる、情報技術通信ネ
ットワークを超えてリソースサーバを経由して利用可能
な1つまたは複数の分散オブジェクトサービスへの組織
間アクセスを制御する方法であって、各組織に関連し、
前記リソースサーバを介してサービスへのアクセスを有
する少なくとも1つの認可モジュールを設けるステップ
であって、前記認可モジュールは、要求時に1人または
複数のエンドユーザへの認可データまたは1人または複
数のエンドユーザの登録を発行し、前記認可データを前
記エンドユーザそれぞれに電子的に送信するようにされ
るステップと、前記リソースサーバと通信し、前記各組
織に関連するエンドユーザによる前記リソースサーバを
介してのサービスへのアクセスに必要なクレデンシャル
を定義する少なくとも1つのサービス提供モジュールを
設けるステップと、登録とクレデンシャルの間の1つま
たは複数のマッピングが格納されるクリアランスモジュ
ールを設けるステップと、を含み、前記エンドユーザ
は、それぞれの登録に関係するデータと共にリソースへ
のアクセス要求を前記リソースサーバに送信し、前記リ
ソースサーバは、どの要求を受信したかに応じて、前記
登録に関係する前記データを前記クリアランスモジュー
ルに送信し、前記クリアランスモジュールは、前記登録
を1つまたは複数のクレデンシャルそれぞれにマッピン
グし、該クレデンシャルを表すデータを前記リソースサ
ーバに戻すように適合され、前記リソースサーバは、前
記クレデンシャルを表す前記データを前記元のリソース
要求と比較し、前記要求に従うかまたは従わず、前記認
可モジュール、前記リソースサーバ、および前記クリア
ランスモジュールは、情報技術通信ネットワークを超え
た他のアプリケーションまたはエンドポイントと動的に
対話することができるアプリケーションまたはエンドポ
イントとして実装される、アクセス制御方法も提供され
る。 【0022】従って、本発明の第1の態様は、本質的に
は部外者である組織間のエンドユーザに利用可能な特定
の環境下にあるeサービスおよびウェブサービスのアク
セス制御に対して安全取引の原理を適用する。 【0023】本発明の第1の態様の好ましい実施形態で
は、「Webサービス」または「eサービス」(すなわ
ち、情報技術通信ネットワークを超えた他のアプリケー
ションまたはエンドポイントと動的に対話することので
きるアプリケーションまたはエンドポイント)として実
装される認可モジュール、リソースサーバおよびクリア
ランスモジュールは、オブジェクト呼び出しプロトコル
(好ましくはSOAPオブジェクト呼び出しプロトコル
等)を介してアクセスすることができる。 【0024】本発明の第2の態様によると、通信ネット
ワークを超えてアクセス可能な分散オブジェクトサービ
スまたはリソースまたはその両方のポリシーを実施する
装置であって、エンドユーザによる前記オブジェクトサ
ービスまたはリソースまたはその両方へのアクセスを提
供するリソースサーバと、前記サーバへのアクセスまた
はリソースまたはその両方のいずれが前記エンドユーザ
により許可されるかに従って、1つまたは複数のポリシ
ーを定義するポリシーデータ構造を作成するデータ構造
作成手段と、前記ポリシーデータ構造を前記オブジェク
トサービスまたはリソースまたはその両方に結びつける
手段と、を備えるポリシー実施装置が提供される。 【0025】また、本発明の第2の態様によると、通信
ネットワークを超えてアクセス可能な分散オブジェクト
サービスまたはリソースまたはその両方のポリシーを実
施する方法であって、エンドユーザによる前記オブジェ
クトサービスまたはリソースまたはその両方へのアクセ
スを提供するリソースサーバを設けるステップと、前記
サーバへのアクセスまたはリソースまたはその両方のい
ずれが前記エンドユーザにより許可されるかに従って、
1つまたは複数のポリシーを定義するポリシーデータ構
造を作成するステップと、前記ポリシーデータ構造を前
記オブジェクトサービスまたはリソースまたはその両方
に結びつけるステップと、を含むポリシー実施方法も提
供される。 【0026】本発明の第2の態様のポリシーデータ構造
バインディングの概念は、本発明の第1の態様によって
定義される構成に対して有利に適用される。本発明の好
ましい実施形態では、ポリシーデータ構造は、前記サー
ビス提供モジュールによって定義され、前記クリアラン
スモジュールによって格納されるクレデンシャルを、特
定のアクションにバインドする。 【0027】ポリシーデータ構造は、関係データベース
でも、または例えば構造化テキストファイル(XMLフ
ァイル等)でも良い。ポリシーデータ構造は、特定のサ
ービスまたは特定のエンドユーザまたはその両方に関連
する1つまたは複数のポリシーを定義し、前記ポリシー
はそれぞれ、少なくともオブジェクト、サブジェクト、
アクションの3つを定義したデータセットを含む。好ま
しい実施形態では、オブジェクトはエンドユーザにより
要求されるサービスを表す鍵または他のデータを含み、
サブジェクトは、前記エンドユーザに関連する前記1つ
または複数のクレデンシャルを表す鍵または他のデータ
を含み、アクションは、前記オブジェクトおよび前記サ
ブジェクトが一致するイベントにおいて前記リソースサ
ーバがとるべき1つまたは複数のアクションを指定する
ことができる。アクションは、サービスの要求の許容あ
るいは拒絶を含むことができる。別の実施形態では、ア
クションは、許容、拒絶、またはフィルタリングされた
(すなわち条件付きの)許容のうちの1つを含むことが
できる。本発明のさらに別の実施形態では、可能なアク
ションは、別のサービスエンドポイントへの再送(re-d
irection)または元のサービス呼び出しから後続のサー
ビス呼び出しへパラメータを渡すこと、またはその両方
を含むことができる。さらに、本ポリシー実施装置は、
指定された1つまたは複数のアクションの完了が、1つ
または複数のさらなるアクションの要求または完了また
はその両方を生じさせるように構成することができる。 【0028】本発明の第2の態様による装置および方法
は、特にデジタル情報オブジェクトに適用することがで
きる。任意のイベントにおいて、情報またはサービスオ
ブジェクトは、ポリシーデータ構造(またはポリシー表
現)を直接その中に表すデータを含むか、またはデータ
への1つまたは複数のリファレンス含むことのみでき
る。 【0029】 【発明の実施の形態】上述したように、Gladneyの安全
取引モデルの重要な貢献は、プライバシーおよび/また
は信頼性の問題を招くことがある外部からの詳細を伝播
することなく、エンティティペア間に適切に信頼関係を
構築する1つの方法を提供することである。得られる関
係のウェブは、ピアレベルで管理されることになり、自
然に拡張可能な信頼性のあるインフラストラクチャにな
る。 【0030】図1に示す本発明の第1の態様の例示的な
実施形態の土台をなす概念は、安全取引モデルをウェブ
サービス向けに適用することである。各種サービスが図
1に示すモデルにおいて通信する方式は、Gladneyの安
全取引モデルを参照して述べたのとほぼ同じであるが、
重要なサービス(RS、ROおよびCC)のそれぞれ
が、SOAPオブジェクト呼び出しプロトコルを介して
アクセス可能なウェブサービスとして実現されるという
点で異なる。さらに、重要な特徴は、リソース要求(す
なわち、RSに対するウェブサーバ要求)内のパラメー
タとして登録を包含することである。 【0031】従って、図1を参照して、要求組織(R
O)10がそのコミュニティのメンバに登録(E)12
を発行し、ROが適切と思う任意の様式で構造化された
アフィリエーション(affiliation:加入)の種々の程
度まで、ベアラ(エンドユーザ(EU))14のメンバ
シップを証明する。この構造化の例としては、既に述べ
たとおり、“EnormousStateU_student”、“EnormousSt
ateU_gradStudent”、“EnormousStateU_engrStuden
t”、“EnormousStateU_engrFaculty”等を挙げること
ができる。個々のROは、RO10が外部プロバイダか
らライセンスを与えるリソースおよびサービスにアクセ
スするために、コミュニティメンバのベースとしてこれ
らの登録を使用することを含め、適合すると思う任意の
方法で登録を適用することができる。 【0032】サービス組織(SO)16は、リソース
(ウェブサービス26等)をどのように利用可能にした
いかを個別に決定する。SO16は、パートナーである
リソースサーバ(RS)20上で利用可能としたい個々
のリソースまたはリソースの集合についてアクセス制御
ポリシー18を定義する。これらポリシーは、指定され
たクレデンシャル(チケット)を受信したときにRSが
とるべきアクションを指定する。これらのクレデンシャ
ルは、ROによって作成されるクレデンシャルとは本質
的に異なるが、これは重要な点である。 【0033】RO10とSO16のペアは、ROのメン
バシップがどのようにSOのリソースにアクセスするこ
とができるかを支配するサービス契約(SA)、例えば
ライセンス取引を締結する。機能的に、SAは、RO登
録とRSチケットとの間のマッピングを含む。決定され
ると、これらマッピングにより、RO10内の特定のア
フィリエーションを有するユーザは、(RS20により
保持されるポリシーマッピングを通して)チケットが提
供するリソースへのあらゆるアクセス権を得ることがで
きる。信頼ペアリング(trust pairing)、すなわちR
Oがユーザ−登録間マッピングを管理し、RS20がチ
ケット−リソース(または特権)間マッピングを処理す
ることに注意されたい。登録−チケット間マッピング2
2は、信頼のおける第三者(またはクリアランスセンタ
(CC))24に格納される。 【0034】実際には、登録はEUのリソース要求の一
部として含まれる。登録は、CC24によってのみ読み
取り可能である(CC24の公開鍵について暗号化され
る)。登録を受信すると、RS20は、その登録をCC
24に送信し、分解してチケットにする。CC24は、
RS20よってのみ読み取り可能な(RS20の公開鍵
について暗号化される)適切なチケットを送信する。最
後に、RS20は、チケットがEU14の要求したリソ
ース上でのアクションに十分であることを検証する。リ
ソース要求の結果は、EU14によってのみ読み取り可
能であっても良い。 【0035】本発明の第2の態様は、ポリシーの個々の
オブジェクトサービスへのバインディングを提供する。
本発明のこの態様についてより詳細に説明する。Robert
KahnおよびRobert Winlensky による「A Framework fo
r Distributed Digital Object services」(1995)に
は、デジタルオブジェクトの形態で情報を格納し、アク
セスし、ディセミネートしおよび管理するためのオープ
ンシステムのコンポーネントを定義することが提案され
ている。 【0036】上述したように、リソースサーバ(RS)
は、利用可能なサービスのセット(任意の種類のサービ
スで良い。情報オブジェクトのための特定のアプローチ
についてはより詳細に後述される)を作成する。RS
は、安全取引モデルに従って、チケットのリソースに対
する「マッピング」を維持しなければならない。本発明
のこの実施形態では、このマッピングは、チケットを特
定のアクションにバインドするポリシーデータ構造であ
る。このデータ構造は、関係データベース中のテーブル
でも、構造化テキストファイル(例えば、XMLファイ
ル)でも良い。この構造におけるあらゆるポリシーは、
少なくとも、オブジェクト:サブジェクト:アクション
の3つ組(トリプレット)を含む。ここで「オブジェク
ト」は、要求されているサービスをインタプリタに表現
する何らかの鍵であり、「サブジェクト」は、RSがク
レデンシャルとして認識できるチケットを表す鍵であ
り、「アクション」は、オブジェクトとサブジェクトの
間に一致がある場合に、RSがとるべき何らかのアクシ
ョンを指定する。 【0037】一形態では、「アクション」はサービス要
求の単純な承認(または特定の拒絶)であっても良い。
別の形態では、「アクション」は、局所的にまたは遠隔
で供給される別のサービスエンドポイントであり、この
場合認可(authorization)の実施は、フィルタリング
または再送(re-direction)の問題である。アクション
は複雑であっても、連鎖していても良い。最後に、パラ
メータを元々のサービス呼び出しから後続のサービス呼
び出しに渡すような方法で、アクションを記述すること
ができる(クレデンシャルのパラメータ化の利点は、そ
の呼び出しが微小の(atomic)のままであり、伝送から
独立であることである)。 【0038】最後に、本発明が提供するポリシー表現シ
ステムは、認可されたアクティビティのシーケンスをサ
ポートするように拡張することができる。アクティビテ
ィが完了すると、ワークフロー内でアクセスすべき他の
後続サービスについてのポリシーを動的に(プログラム
的に)追加または検証することができる。具体的には、
ポリシー「アクション」の一部は、次に必要となるポリ
シーの検証を導くイベントまたは通知を発火する。この
技法は、後続するプロセスステップにアクセスするため
には1つまたは複数の先行プロセスステップの完了を必
要とする、待ち行列処理(queued processing)環境を
サポートする。 【0039】デジタルオブジェクトは、例えば作品の内
容、デジタルオブジェクトの一意の識別子(その「ハン
ドル」)およびオブジェクトについての他のデータを含
む、コンテンツから独立したパッケージであり、オブジ
ェクトの使用を記述するポリシー表現を含むことができ
る。リポジトリは論理的にデジタルオブジェクトを格納
し、常駐オブジェクトの態様にバインドされたポリシー
を実施する役割を担う。デジタルオブジェクト上のサー
ビス要求はディセミネーション(dissemination:配
布)を作成するが、これは、要求の結果(要求の中のパ
ラメータによって決定される)と、ディセミネーション
の出所とその使用を支配する特定のポリシーとを指定す
る追加のデータと、を含む。ディセミネーションは、基
礎をなす「ソース」デジタルオブジェクトと同じデータ
を有する必要はなく、またデジタルオブジェクトのデー
タのサブセット(例えば、デジタルオブジェクトとして
格納されている書籍の中の1ページについてのサービス
要求の結果であるデジタルオブジェクト)である必要も
ないことが理解されよう。例えば、デジタルオブジェク
トは実行可能プログラムであっても良く、ディセミネー
ションは、サービス要求におけるパラメータを入力とし
て用いてプログラムを実行することによって作成しても
良い。 【0040】最後に、Kahn/Wilenskyの文献は、デジタ
ルオブジェクトを蓄積しこれにアクセスするサービスを
提供するリポジトリアクセス制御(RAP)についての
概要を述べており、RAPの実装については、本発明の
第2の態様の例示的な実施形態による、ポリシーをオブ
ジェクトサービスにバインディングするアプローチとし
て後述する。 【0041】オブジェクト・コンテンツタイプ・ディセ
ミネータ(disseminator)の細かい機能または動作は、
ポリシーに依存しなければならない。本発明は、特定の
ポリシーまたはポリシーセットを個々のオブジェクトサ
ービスまたは情報オブジェクトにバインディングするこ
とを考慮し、コンテンツの閲覧またはリモートメソッド
の実行のどちらについて述べているかに関わらず、アク
セス制御の問題に帰着される。従って、メソッドがディ
セミネータを呼び出すことは明らかである。 【0042】当事者の全てが、ある時点または別の時点
でオブジェクトサービスまたは(「コンテンツ」または
「メタデータ」についての)情報オブジェクトのサービ
スへのアクセス権を得る場合、それらにバインドされた
アクセス制御ポリシーおよびクレデンシャルを集中的に
管理することは明らかに不可能である。従って、複数レ
ベルの間接参照(indirection)を提供し、上述したGla
dneyの安全取引モデルによって提供されるような、信頼
関係をペア単位でピア指向で構築することのできる認証
モデルが必要とされる。本発明は、ポリシーの表現およ
び実施を適切なレベルの粒度で提供することによって、
このモデルを改良する。 【0043】一般に、ポリシー表現は、サブジェクト、
オブジェクトおよびアクションに関する3つ組の作成に
関係する。この文脈において、サブジェクトはサービス
の要求者と(大雑把に)みなすことができ、オブジェク
トは情報オブジェクトの特定のサービス(またはビヘイ
ビア(behaviour))とみなすことができ、アクション
は、許容可能な何らかのアクションとみなすことができ
る(「アクション」は暗黙的なこともあり、この場合、
ポリシーは認可状態を示す「符号」を指定するに過ぎな
いことに注意する)。 【0044】ポリシーにより参照されるサブジェクト
は、アプリケーションにおいて認可(すなわちクレデン
シャル)がどのように実装されるかに依存する。サブジ
ェクト参照は、照合可能な人物の識別子、または好まし
くは上述の安全取引モデルにおいて述べたチケットのよ
うなクレデンシャルを指定することができる。オブジェ
クトは、一意の名称を検証可能に固定することができる
あらゆるものを含み、オブジェクトのきめの粗い「態
様」(例えば、サブジェクトがRAPの定義されたサー
ビスにアクセスすることができるか否か)に限定される
必要はないが、同様にコンテンツタイプのきめの細かい
メソッドまたはビヘイビアであっても良い。アクション
は、単純な認可(例えば、許可/拒絶)、やや複雑な結
果(例えば、許可/拒絶/フィルタリングされた許
可)、または連鎖的なアクション(例えば、基本的な応
答アクションに加え、いくつかの通知サービスに対する
イベントの発火)を実装することができる。 【0045】安全取引モデルは、クレデンシャルの転送
を含むが、クレデンシャル(安全取引の場合、チケッ
ト)に関して表現された実際のポリシーは含まない。ク
レデンシャルとポリシーの間のマッピングを管理する技
法は、RAPホストによって変化する傾向があるが、本
発明のこの態様によれば、同じポリシーに従うものと予
期される場合、意味論的に同じでなければならない。実
装の観点から、オブジェクトサービスプロバイダは通
常、実施をフィルタリングのような機能として取り扱
う。これによって、サービスのリモートサービス呼び出
しゲートウェイ(例えば、SOAPゲートウェイ)が、
サブジェクト:オブジェクト:アクションに適用される
ルールに基づいて要求を通過させるかどうかを決定する
必要がある(ここで、サブジェクトは一意に識別される
クレデンシャル、この場合チケットであり、オブジェク
トは特定のRAPメソッド要求またはその要求の一部で
あり、アクションは、いくつかの列挙した結果のうちの
1つである(Ernesto Damianiらによる「Fine Grained
Access Control for SOAP E-services」、WWW10会
報、香港、2001年5月を参照のこと))。 【0046】リポジトリアクセスプロトコル(Sandra P
ayetteらによる「Interoperabilityfor Digital Object
s and Repositories: The Cornell/CNRI experiments」
D-lib Magazine(1999年5月)、およびSandra Pay
ette、Christophe BlanchiおよびNaomi Dushayによる
「Repository Access Protocol (RAP) IDL Version 1.
3」に記載)は、デジタル情報オブジェクトおよびリポ
ジトリに対して分散アクセスおよび管理を提供する強固
なインタフェースである。具体的には、RAPは、デジ
タルオブジェクトを作成し削除し編集する一連の機構の
他、属性、データおよびビヘイビアに基づいて動作する
機構を提供する。RAPは、アプリケーションに関係な
くデジタルオブジェクトにアクセスしこれを維持する一
貫した方法を指定するので、デジタルオブジェクト・イ
ンフラストラクチャの要素を定義する鍵としてRAPを
導入することができる。 【0047】RAPは、Kahn/Wilenskyモデルの主要な
構成要素に対応する4つの主要部分またはクラスに分け
ることができる。すなわちリポジトリ、デジタルオブジ
ェクト、ディセミネータ、およびデータストリームであ
る。リポジトリクラスは、特定のシステム内に含まれる
デジタルオブジェクトを作成し、削除しおよび管理する
機能を提供する。特定のデジタルオブジェクトとの対話
を望むクライアントは、初めにそのオブジェクトを含む
リポジトリを(ハンドルシステム等のオブジェクト・ネ
ーミング・インフラストラクチャによって、おそらくは
デジタルオブジェクト識別子(DOI)を使用して)探
し出し、次にリポジトリとのRAP「接続」を開始しな
ければならない。接続されると、クライアントは、デジ
タルオブジェクトをリポジトリから要求する。本発明の
好ましい実施形態では、RAP要求は、メッセージベー
スのオブジェクト呼び出しプロトコル、特にSOAPを
介して行われる(例えば、上述したErnesto Damianiら
による「Fine Grained Access Control for SOAP E-Ser
vices」を参照のこと)。 【0048】ポリシーをオブジェクトサービスにマッピ
ングする方法を考慮するとき、RAPがデジタルオブジ
ェクトへのプライマリインタフェースを定義することを
思い出すことが重要である。従って、すべてのポリシー
は、プライマリRAPコンポーネントまたはコンテンツ
タイプに適用されるかどうかは、デジタルオブジェクト
に基づかなければならない。RAPによって定義される
3つの主要なクラス(デジタルオブジェクト、ディセミ
ネータおよびデータストリーム)のあらゆるインスタン
スは、RAPメソッドのセットをそれと関連付けてい
る。各メソッドは、アクション(「アクセプト」等)を
クレデンシャルに関連付ける1つまたは複数のポリシー
のオブジェクトであることができる。最後に、あらゆる
オブジェクトは、メソッドのセットによってそれぞれ定
義される複数のコンテンツタイプをカプセル化すること
ができ、この場合、各メソッドは1つまたは複数のポリ
シーのオブジェクトであることができる。 【0049】実際的な観点から最も重要な要件は、これ
らポリシー表現が明示的に行われ、ハードコード化され
た実装が可能であることであり、これらは本発明の範囲
内である。しかし、柔軟性が制限される可能性があるた
め、一般に推奨されない。ポリシーをメソッドにマッピ
ングするメカニズムは、(1)メソッドによって参照さ
れる宣言構造でポリシーを表現すること、または(2)
ポリシーオブジェクトがメソッドにより参照され、評価
を求められること、を含むことができる。(1)はデー
タストリームとして実装される可能性が最も高く、一意
のオブジェクトによってソースとされることに注意す
る。2つのアプローチの違いは、ポリシーを評価して結
果を呼び出しメソッドに戻す代わりに、オブジェクト
が、別のオブジェクトによる評価のベースである完全な
ポリシー宣言を供給することである。 【0050】従って、各ディセミネイターレベルのメソ
ッド呼び出し(例えば、「GetPDFPage(4
5)」)は、少なくともそれに関連付けられたポリシー
データ構造を有し、最大でも結果を供給するポリシーオ
ブジェクトを参照する。前者の場合、そのコンテンツ
は、コンテンツタイプに固有である必要がある。情報オ
ブジェクトとの関連は、明示的であっても、あるいは暗
黙的であっても良い(オブジェクトの構造内の別のデー
タストリームにすぎないため)。 【0051】ポリシーデータストリームのオブジェクト
階層内での「位置決め(positioning)」には、いくつ
かのオプションが存在する。例えば、ポリシー表現をオ
ブジェクト構造内に直接または参照により含めることが
好ましいことがある(それぞれが一意に識別されるもの
と仮定することができるため)。代替的に、ポリシー表
現をオブジェクト構造内に直接含めることが場合によっ
ては有利であるが、オブジェクトについてのすべてのポ
リシーを、それ自身のサービスを持つ別個の情報オブジ
ェクトとして管理することが好ましいこともある。この
問題は、SandraPayetteおよびCarl Lagozeによる「Flex
ible and Extensible Digital Objectand Repository A
rchitecture」(Second European Conference on Resear
ch andAdvanced Technology for Digital Libraries, H
eraklion, Crete, Greece)に記載されているように、コ
ンテンツタイプの同等物を呼び出すことにより解決する
ことができる。 【0052】図2に示す例では、ポリシー表現28がデ
ータストリームとしてオブジェクトの構造内に直接含め
られ、タイプシグネチャ「A」32を構成する動作(メ
ソッド)を実行するときに、サーブレット「A」30
が、ポリシーデータストリーム「Policy」を適用
する。一方、「コンテンツ」データストリーム34は、
他のディセミネータと共有され、他の動作を提供する。 【0053】Gladneyによって提案された安全取引信頼
管理アプローチは、一般に、組織間の認証およびアクセ
ス制御問題に対処する。本発明は、Gladneyのアプロー
チにいくつかの改良を提供する。例えば、Gladneyの文
献では、「リソース」および「特権」が総称的に参照さ
れるだけであり、本発明の一態様において定義され適用
されるようにウェブサービスに対する特定の参照が行わ
れない。さらに、Gladneyは、「特権」について一般に
言及しているにもかかわらず、豊富に表現されたポリシ
ーのチケットへのバインディングについては特に言及し
ていない。 【0054】従って、要約すれば、ウェブサービス要求
のポリシーを表現する柔軟性のある手段と組み合わせら
れたGladneyの安全取引モデルは、リポジトリ内ならび
にコンテンツのディセミネーションにおけるデジタルオ
ブジェクトを管理し、適切なレベルでのポリシー実施を
適用する、強力かつ一貫した方法を提供する。さらに本
発明は、本質的に転送プロトコルから独立している。従
来技術による解決策は制御を転送に結びつけるが、本発
明で使用するアプローチでは、メソッド呼び出し中にク
レデンシャルをパラメータとして提示することができ、
これによって任意適切な転送フォーマットで要求を伝搬
させることが可能である。加えて、認可(またはポリシ
ー実施)は、要求者の物理的な場所に無関係である(そ
のような場所が最初の場所での登録条件でない限り)。 【0055】本発明は、フォーマット固有のデジタル著
作権管理(digital rights management)の提供を可能
にする。多くの従来技術によるデジタル著作権管理アプ
ローチは、媒体形式、パッケージング方法、および所有
権信頼管理ソリューションに強く結びついている。通
常、発行者または情報プロバイダは、コンテンツのディ
セミネーションフォーマットを自由に選択することはで
きない。複数のタイプをディセミネートすることを選択
すると、複数の著作権管理技術を用いてコンテンツを展
開する必要のあることが多い。一方、本発明では、情報
のディセミネーションに適用する場合、クレデンシャル
を複数のディセミネーションフォーマットにわたって一
様に適用することができる。本発明では、組織の境界を
超えたすべての態様の情報オブジェクトに対するきめの
細かいポリシー管理が可能であり、オブジェクトの生
成、配送、消費および長期アーカイブの全てにわたっ
て、情報オブジェクトの単一の抽象的な表現を使用する
ことができる。 【0056】本発明には例として以下の実施形態が含ま
れる。 【0057】1.複数の組織に関連するエンドユーザ
(14)による、情報技術通信ネットワークを超えてリ
ソースサーバ(20)を介して利用可能な1つまたは複
数の分散オブジェクトサービス(26)への組織間アク
セスを制御する装置であって、各組織に関連し、前記リ
ソースサーバを介してサービスへのアクセスを有する少
なくとも1つの認可モジュール(10)であって、要求
時に1人または複数のエンドユーザへの認可データまた
は1人または複数のエンドユーザの登録(12)を発行
し、前記認可データを前記エンドユーザそれぞれに電子
的に送信するようにされた少なくとも1つの認可モジュ
ールと、前記リソースサーバと通信し、前記各組織に関
連するエンドユーザによる前記リソースサーバを介して
のサービスへのアクセスに必要なクレデンシャルを定義
する少なくとも1つのサービス提供モジュール(16)
と、登録とクレデンシャルの間の1つまたは複数のマッ
ピング(22)が格納されるクリアランスモジュール
(24)と、を備え、前記エンドユーザは、それぞれの
登録に関係するデータと共にリソースへのアクセス要求
を前記リソースサーバに送信するように適合され、前記
リソースサーバは、どの要求を受信したかに応じて、前
記登録に関係する前記データを前記クリアランスモジュ
ールに送信するように適合され、前記クリアランスモジ
ュールは、前記登録を1つまたは複数のクレデンシャル
それぞれにマッピングし、該クレデンシャルを表すデー
タを前記リソースサーバに戻すように適合され、前記リ
ソースサーバは、前記クレデンシャルを表す前記データ
を前記元のリソース要求と比較し、前記要求に従うかま
たは従わないようにさらに適合され、前記認可モジュー
ル、前記リソースサーバおよび前記クリアランスモジュ
ールは、情報技術通信ネットワークを超えた他のアプリ
ケーションまたはエンドポイントと動的に対話すること
ができるアプリケーションまたはエンドポイントとして
実装される、組織間アクセス制御装置。 【0058】2.前記認可モジュール、前記リソースサ
ーバおよび前記クリアランスモジュールは、オブジェク
ト呼び出しプロトコルを介してアクセス可能である、前
記1に記載の装置。 【0059】3.通信ネットワークを超えてアクセス可
能な分散オブジェクトサービス(26)またはリソース
またはその両方のポリシーを実施する装置であって、エ
ンドユーザ(14)による前記オブジェクトサービス
(26)またはリソースまたはその両方へのアクセスを
提供するリソースサーバ(20)と、前記サーバへのア
クセスまたはリソースまたはその両方のいずれが前記エ
ンドユーザにより許可されるかに従って、1つまたは複
数のポリシーを定義するポリシーデータ構造を作成する
データ構造作成手段と、前記ポリシーデータ構造を前記
オブジェクトサービスまたはリソースまたはその両方に
バインディングする手段と、を備えるポリシー実施装
置。 【0060】4.前記ポリシーデータ構造は関係データ
ベースである、前記3に記載のポリシー実施装置。 【0061】5.前記ポリシーデータ構造は、特定のサ
ービスまたは特定のエンドユーザまたはその両方に関連
する1つまたは複数のポリシーを定義し、前記ポリシー
はそれぞれ、少なくともオブジェクト、サブジェクト、
アクションの3つを定義したデータセットを含む、前記
3または4に記載のポリシー実施装置。 【0062】6.前記オブジェクトはエンドユーザによ
り要求されるサービスを表す鍵または他のデータを含
み、前記サブジェクトは、前記エンドユーザに関連する
前記1つまたは複数のクレデンシャルを表す鍵または他
のデータを含み、前記アクションは、前記オブジェクト
および前記サブジェクトが一致する場合に、前記リソー
スサーバがとるべき1つまたは複数のアクションを指定
する、前記5に記載のポリシー実施装置。 【0063】7.前記アクションは前記サービスの要求
の許容(acceptance)または拒絶を含む、前記6に記載
のポリシー実施装置。 【0064】8.前記アクションは、許容、拒絶、また
はフィルタリングされた(すなわち条件付きの)許容の
うちの1つを含む、前記6または7に記載のポリシー実
施装置。 【0065】9.前記可能なアクションは、別のサービ
スエンドポイントへの再送(re-direction)または元の
サービス呼び出しから後続のサービス呼び出しへパラメ
ータを渡すこと、またはその両方を含む、前記6ないし
8のいずれか1項に記載のポリシー実施装置。 【0066】10.指定された1つまたは複数のアクシ
ョンの完了が、1つまたは複数のさらなるアクションの
要求または完了またはその両方を生じさせる、前記6な
いし9のいずれか1項に記載のポリシー実施装置。 【0067】11.複数の組織に関連するエンドユーザ
による、情報技術通信ネットワークを超えてリソースサ
ーバを介して利用可能な1つまたは複数の分散オブジェ
クトサービスへの組織間アクセスを制御する方法であっ
て、各組織に関連し、前記リソースサーバを介してサー
ビスへのアクセスを有する少なくとも1つの認可モジュ
ールを設けるステップであって、前記認可モジュール
は、要求時に1人または複数のエンドユーザへの認可デ
ータまたは1人または複数のエンドユーザの登録を発行
し、前記認可データを前記エンドユーザそれぞれに電子
的に送信するようにされるステップと、前記リソースサ
ーバと通信し、前記各組織に関連するエンドユーザによ
る前記リソースサーバを介してのサービスへのアクセス
に必要なクレデンシャルを定義する少なくとも1つのサ
ービス提供モジュールを設けるステップと、登録とクレ
デンシャルの間の1つまたは複数のマッピングが格納さ
れるクリアランスモジュールを設けるステップと、を含
み、前記エンドユーザは、それぞれの登録に関係するデ
ータと共にリソースへのアクセス要求を前記リソースサ
ーバに送信し、前記リソースサーバは、どの要求を受信
したかに応じて、前記登録に関係する前記データを前記
クリアランスモジュールに送信し、前記クリアランスモ
ジュールは、前記登録を1つまたは複数のクレデンシャ
ルそれぞれにマッピングし、該クレデンシャルを表すデ
ータを前記リソースサーバに戻すように適合され、前記
リソースサーバは、前記クレデンシャルを表す前記デー
タを前記元のリソース要求と比較し、前記要求に従うか
または従わず、前記認可モジュール、前記リソースサー
バ、および前記クリアランスモジュールは、情報技術通
信ネットワークを超えた他のアプリケーションまたはエ
ンドポイントと動的に対話することができるアプリケー
ションまたはエンドポイントとして実装される、アクセ
ス制御方法。 【0068】12.通信ネットワークを超えてアクセス
可能な分散オブジェクトサービスまたはリソースまたは
その両方のポリシーを実施する方法であって、エンドユ
ーザによる前記オブジェクトサービスまたはリソースま
たはその両方へのアクセスを提供するリソースサーバを
設けるステップと、前記サーバへのアクセスまたはリソ
ースまたはその両方のいずれが前記エンドユーザにより
許可されるかに従って、1つまたは複数のポリシーを定
義するポリシーデータ構造を作成するステップと、前記
ポリシーデータ構造を前記オブジェクトサービスまたは
リソースまたはその両方にバインディングするステップ
と、を含むポリシー実施方法。 【0069】本明細書では、本発明を特定の例示的な実
施形態を参照して説明した。しかし、当業者には、本発
明の広義の趣旨および範囲から逸脱することなく、各種
修正および変更を行いうることが理解されよう。
【図面の簡単な説明】
【図1】本発明の第1の態様の例示的な実施形態によ
る、ウェブまたはeサービスに適用される安全取引信頼
構築モデルを示す概略ブロック図である。 【図2】本発明の第2の態様の例示的な実施形態によ
る、ポリシーデータストリームのオブジェクトサービス
への結びつけを示す概略ブロック図である。 【符号の説明】 10 認可モジュール(要求組織) 12 登録 14 エンドユーザ 16 サービス提供モジュール(サービス組織) 20 リソースサーバ 22 マッピング 24 クリアランスモジュール(クリアランスサービ
ス) 26 オブジェクトサービス
る、ウェブまたはeサービスに適用される安全取引信頼
構築モデルを示す概略ブロック図である。 【図2】本発明の第2の態様の例示的な実施形態によ
る、ポリシーデータストリームのオブジェクトサービス
への結びつけを示す概略ブロック図である。 【符号の説明】 10 認可モジュール(要求組織) 12 登録 14 エンドユーザ 16 サービス提供モジュール(サービス組織) 20 リソースサーバ 22 マッピング 24 クリアランスモジュール(クリアランスサービ
ス) 26 オブジェクトサービス
フロントページの続き
(72)発明者 マーク・シュラゲター
アメリカ合衆国03054ニューハンプシャー
州メリマック、スコッチ・パイン 14
Fターム(参考) 5B085 BC02
Claims (1)
- 【特許請求の範囲】 【請求項1】複数の組織に関連するエンドユーザによ
る、情報技術通信ネットワークを超えてリソースサーバ
を介して利用可能な1つまたは複数の分散オブジェクト
サービスへの組織間アクセスを制御する装置であって、 各組織に関連し、前記リソースサーバを介してサービス
へのアクセスを有する少なくとも1つの認可モジュール
であって、要求時に1人または複数のエンドユーザへの
認可データまたは1人または複数のエンドユーザの登録
を発行し、前記認可データを前記エンドユーザそれぞれ
に電子的に送信するようにされた少なくとも1つの認可
モジュールと、 前記リソースサーバと通信し、前記各組織に関連するエ
ンドユーザによる前記リソースサーバを介してのサービ
スへのアクセスに必要なクレデンシャルを定義する少な
くとも1つのサービス提供モジュールと、 登録とクレデンシャルの間の1つまたは複数のマッピン
グが格納されるクリアランスモジュールと、を備え、 前記エンドユーザは、それぞれの登録に関係するデータ
と共にリソースへのアクセス要求を前記リソースサーバ
に送信するように適合され、 前記リソースサーバは、どの要求を受信したかに応じ
て、前記登録に関係する前記データを前記クリアランス
モジュールに送信するように適合され、 前記クリアランスモジュールは、前記登録を1つまたは
複数のクレデンシャルそれぞれにマッピングし、該クレ
デンシャルを表すデータを前記リソースサーバに戻すよ
うに適合され、 前記リソースサーバは、前記クレデンシャルを表す前記
データを前記元のリソース要求と比較し、前記要求に従
うかまたは従わないようにさらに適合され、 前記認可モジュール、前記リソースサーバおよび前記ク
リアランスモジュールは、情報技術通信ネットワークを
超えた他のアプリケーションまたはエンドポイントと動
的に対話することができるアプリケーションまたはエン
ドポイントとして実装される、組織間アクセス制御装
置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/984,969 | 2001-10-31 | ||
US09/984,969 US7904504B2 (en) | 2001-10-31 | 2001-10-31 | Policy enforcement and access control for distributed networked services |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2003271560A true JP2003271560A (ja) | 2003-09-26 |
Family
ID=25531069
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002316290A Pending JP2003271560A (ja) | 2001-10-31 | 2002-10-30 | 分散ネットワークサービスにおけるアクセス制御装置およびポリシー実施装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US7904504B2 (ja) |
JP (1) | JP2003271560A (ja) |
GB (1) | GB2381716A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012500435A (ja) * | 2008-08-20 | 2012-01-05 | サムスン エレクトロニクス カンパニー リミテッド | ホームネットワークにおける個人情報保護方法及び装置 |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7925894B2 (en) * | 2001-07-25 | 2011-04-12 | Seagate Technology Llc | System and method for delivering versatile security, digital rights management, and privacy services |
CA2369797A1 (en) * | 2002-01-31 | 2003-07-31 | Bridgewater Systems Corporation | System and method for web service management |
US7552481B2 (en) * | 2002-03-18 | 2009-06-23 | Sun Microsystems, Inc. | Method of assessing an organization's network identity capability |
EP1505510A4 (en) * | 2002-04-25 | 2008-09-10 | Ibm | COLLABORATION SERVER, COLLABORATION SYSTEM, MEETING ADMINISTRATIVE PROCEDURES AND PROGRAM |
US7802234B2 (en) * | 2003-01-02 | 2010-09-21 | Oracle International Corporation | Integration of context-sensitive runtime metrics into integrated development environments |
US7757268B2 (en) * | 2003-07-25 | 2010-07-13 | Oracle International Corporation | Policy based service management |
US8453196B2 (en) | 2003-10-14 | 2013-05-28 | Salesforce.Com, Inc. | Policy management in an interoperability network |
JP4265413B2 (ja) * | 2004-01-19 | 2009-05-20 | 日本電気株式会社 | 仮想私設組織に対するポリシの実施システム及びその方法 |
US8429724B2 (en) * | 2006-04-25 | 2013-04-23 | Seagate Technology Llc | Versatile access control system |
US8028166B2 (en) * | 2006-04-25 | 2011-09-27 | Seagate Technology Llc | Versatile secure and non-secure messaging |
US7539890B2 (en) * | 2006-04-25 | 2009-05-26 | Seagate Technology Llc | Hybrid computer security clock |
US8904391B2 (en) * | 2007-04-23 | 2014-12-02 | International Business Machines Corporation | Policy-based access control approach to staff activities of a business process |
US8266118B2 (en) * | 2008-02-07 | 2012-09-11 | Microsoft Corporation | Automated access policy translation |
US8984597B2 (en) | 2010-05-27 | 2015-03-17 | Microsoft Technology Licensing, Llc | Protecting user credentials using an intermediary component |
US9626452B2 (en) * | 2011-05-05 | 2017-04-18 | Axiomatics Ab | Fine-grained database access-control policy enforcement using reverse queries |
US9191394B2 (en) * | 2012-02-08 | 2015-11-17 | Microsoft Technology Licensing, Llc | Protecting user credentials from a computing device |
US10659466B2 (en) * | 2016-03-22 | 2020-05-19 | Microsoft Technology Licensing, Llc | Secure resource-based policy |
US11392649B2 (en) | 2018-07-18 | 2022-07-19 | Microsoft Technology Licensing, Llc | Binding query scope to directory attributes |
US20210377240A1 (en) * | 2020-06-02 | 2021-12-02 | FLEX Integration LLC | System and methods for tokenized hierarchical secured asset distribution |
CN117176477B (zh) * | 2023-11-02 | 2024-01-26 | 中国兵器工业信息中心 | 基于区块链的装备研制数据细粒度访问控制系统及方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4653051A (en) | 1983-09-14 | 1987-03-24 | Matsushita Electric Industrial Co., Ltd. | Apparatus for detecting and correcting errors on product codes |
JPS62234426A (ja) | 1986-04-04 | 1987-10-14 | Sony Corp | エラ−訂正方法 |
JPH06203489A (ja) * | 1992-12-30 | 1994-07-22 | Sony Corp | 誤り訂正方法 |
KR100229015B1 (ko) | 1996-08-06 | 1999-11-01 | 윤종용 | 디지탈 처리시스템의 에러정정장치 및 방법 |
US9418381B2 (en) * | 2000-04-14 | 2016-08-16 | Citigroup Credit Services, Inc. (USA) | Method and system for notifying customers of transaction opportunities |
US6016394A (en) * | 1997-09-17 | 2000-01-18 | Tenfold Corporation | Method and system for database application software creation requiring minimal programming |
US20010020228A1 (en) * | 1999-07-09 | 2001-09-06 | International Business Machines Corporation | Umethod, system and program for managing relationships among entities to exchange encryption keys for use in providing access and authorization to resources |
US6832237B1 (en) * | 2000-12-01 | 2004-12-14 | Unisys Corporation | Method and apparatus for selecting and/or changing the display resolution of HTML home pages in a web application development environment |
-
2001
- 2001-10-31 US US09/984,969 patent/US7904504B2/en active Active
-
2002
- 2002-09-16 GB GB0221369A patent/GB2381716A/en not_active Withdrawn
- 2002-10-30 JP JP2002316290A patent/JP2003271560A/ja active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012500435A (ja) * | 2008-08-20 | 2012-01-05 | サムスン エレクトロニクス カンパニー リミテッド | ホームネットワークにおける個人情報保護方法及び装置 |
US9380116B2 (en) | 2008-08-20 | 2016-06-28 | Samsung Electronics Co., Ltd | Method and apparatus for protecting personal information in a home network |
Also Published As
Publication number | Publication date |
---|---|
GB0221369D0 (en) | 2002-10-23 |
US7904504B2 (en) | 2011-03-08 |
US20030084168A1 (en) | 2003-05-01 |
GB2381716A (en) | 2003-05-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10333941B2 (en) | Secure identity federation for non-federated systems | |
JP2003271560A (ja) | 分散ネットワークサービスにおけるアクセス制御装置およびポリシー実施装置 | |
US8682795B2 (en) | Trusted information exchange based on trust agreements | |
US8769642B1 (en) | Techniques for delegation of access privileges | |
EP3938941B1 (en) | User choice in data location and policy adherence | |
US8990896B2 (en) | Extensible mechanism for securing objects using claims | |
US20030130953A1 (en) | Systems and methods for monitoring the presence of assets within a system and enforcing policies governing assets | |
US10148637B2 (en) | Secure authentication to provide mobile access to shared network resources | |
EP3938940B1 (en) | Provision of policy compliant storage for did data | |
KR20080100356A (ko) | Xml 문서 관리 방법 및 시스템 | |
CN115176247A (zh) | 使用成对的去中心化标识符的委托 | |
Chai et al. | BHE-AC: A blockchain-based high-efficiency access control framework for Internet of Things | |
CN113632088A (zh) | 用于did证明的回调模式 | |
Coetzee et al. | Virtual enterprise access control requirements | |
Abi Haidar et al. | XeNA: an access negotiation framework using XACML | |
Ellison | RFC2692: SPKI Requirements | |
Constandache et al. | Policy based dynamic negotiation for grid services authorization | |
TW448387B (en) | Generalized policy server | |
JP2004206670A (ja) | 利用権管理システム、方法、およびそのための機構を備える装置 | |
Shirinov | Methods of Application Control in Cloud Computing Systems | |
WO2024015508A1 (en) | Non-fungible token authentication | |
Cahill et al. | Liberty alliance web services framework: A technical overview | |
CN115053217A (zh) | 发布可验证成对声明 | |
WO2003060800A2 (en) | Systems and methods for monitoring the availability of assets within a system and enforcing policies governing assets | |
Bouwman | Secure Management of Electronic Health Records |