JP2014096181A - 電気通信システムにおいて特権を付与してリソースを共有する方法 - Google Patents

電気通信システムにおいて特権を付与してリソースを共有する方法 Download PDF

Info

Publication number
JP2014096181A
JP2014096181A JP2014015510A JP2014015510A JP2014096181A JP 2014096181 A JP2014096181 A JP 2014096181A JP 2014015510 A JP2014015510 A JP 2014015510A JP 2014015510 A JP2014015510 A JP 2014015510A JP 2014096181 A JP2014096181 A JP 2014096181A
Authority
JP
Japan
Prior art keywords
service
request
domain
data processing
processing system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014015510A
Other languages
English (en)
Inventor
Anjur S Krishnakumar
スンダーサン クリシュナクマー アンジャー
P Krishnan
ピー.クリシュナン
Venkatesh Krishnaswamy
クリシュナスワーミー ヴェンカテシュ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Avaya Inc
Original Assignee
Avaya Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Avaya Inc filed Critical Avaya Inc
Publication of JP2014096181A publication Critical patent/JP2014096181A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】電気通信システムにおいて、リソースを共有する目的で特権を付与する方法を提供する。
【解決手段】サービス提供ドメインがサービス要求ドメイン内で要求するユーザに特権を付与することを可能とするための特権付与技術を提供する方法および装置が開示される。1以上のサービス関連リソースからなるサービス提供ドメイン内の要求処理装置が、本発明の実施例によって、サービスを利用するためのユーザのリクエストを受信し、特権付与サーバにトークンを要求する。特権付与サーバから付与される特権を特定するトークンを受信すると、要求処理装置は特権を要求元のユーザに拡張する。あるいは、要求処理装置は複数のトークンを前もって特権付与サーバに要求することもでき、トークンの受信後に、要求処理装置が1以上のサービスを利用するためのリクエストを受信すると、要求処理装置は特権を各要求元ユーザに拡張する。
【選択図】図2

Description

本発明は概略として電気通信に関し、より詳細には、電気通信システムにおいて1以上のリソースを共有する目的で1以上の特権を付与することに関する。
図1は従来技術における電気通信システム100のブロック図である。電気通信システム100には3つのタイプのデータ処理システムが示されている。それらは、(i)リソースを使うもの(例えば、ユーザシステム)、(ii)リソースそのもの、および(iii)ユーザシステムがリソースを使用するか否かを決定するセキュリティシステム、である。システム100は、図のように相互接続される(i)ユーザ111、つまりユーザシステム;(ii)リソース114および124;並びに(iii)認証サーバ112および122並びにチケット付与サーバ113および123、つまりセキュリティシステム;からなる。
ユーザシステムが、サービスに関連するようなリソースを使用するか否かを決定するために、ユーザシステムは(i)認証され、および(ii)そのリソースを使用することを許可されなくてはならない。「認証」とは、セキュリティシステムが、ユーザシステムがあるべきものであることを認証するためのプロセスである。「許可」とは、セキュリティシステムがユーザシステムに対して、手順を進みそのリソースを使用するために特権を付与することである。
認証および許可はデータ通信ではよく知られているプロセスであり、あるレベルのセキュリティを認証若しくは許可またはその両方によって提供する多くのプロトコルが従来技術には存在する。電気通信システム100は、ケルブロス(Kerberos)といわれる1つのそのようなプロトコルを用いて、ユーザ111に特権を与えるか否かを決定する。
第1の例において、ユーザ111、つまりクライアントマシンは、リソース114、つまりそのクライアントに対して、ローカルなデータベースサーバを使用する必要があるとする。リソース114は扱いに注意を要する情報を含んでいるので、ユーザ111はそのリソースを使用する前に、まず認証を受け許可されなくてはならない。ユーザ111は認証サーバ112によってローカルエリアネットワーク115を介して認証され、リソース114に対して身元の証明を提示するためにユーザによって使用される「チケット」がチケット付与サーバ113によって発行される。ユーザ111はそのチケットをリソース114に提示し、そしてリソース114に記憶された情報にアクセスすることを許可される。ユーザ111およびリソース114が互いにローカルであり、その結果として、それらは同じ認証および許可システム、即ち、認証サーバ112およびチケット付与サーバ113を使用することができるということにある程度起因して、このプロセスはほどよく簡素である。実際に、共通の認証サーバおよびチケット付与サーバがあるので、ユーザ111、サーバ112および113、リソース114並びにネットワーク115はそれら自身のケルブロス領域内に存在しているといえる。なお、その領域は図1の領域110として図示されている。
第2の例において、今、ユーザ111が異なるリソースであるリソース124、即ち、クライアントから離れたデータベースサーバを使用する必要があるとする。リソース124も扱いに注意を要する情報を含んでいるので、ユーザ111はリソース124を使用する前に、まず認証を受け許可されなくてはならない。しかし、リソース124へのアクセスがユーザ111に対してローカルなセキュリティシステムとは異なるセキュリティシステムによって制御されているという点で、リソース124はユーザ111とは異なる領域にある。このため、リソース124は、ユーザ111の領域とは異なる領域(図1で領域120として示す領域)にあるとみなされる。異なる領域にあるリソース124へのチケットを得るためには、ユーザ111はチケット付与サーバ123によって受け入れられるチケットをチケット付与サーバ113に要求しなければならない。離れたチケット付与サーバ123がローカルなチケット付与サーバ113に登録されていた場合、サーバ113はサーバ123で有効な第1のチケットをユーザ111に与える。ユーザ111は第1のチケットをサーバ123にネットワーク115および125を介して提示し、そして、リソース124に記憶されている情報にアクセスするための(または領域120の他のリソースにアクセスするための)第2のチケットをサーバ123から得ることを許可される。
電気通信システム100によって使用されるセキュリティプロトコルについての問題は、図1の関連部130で示すように、チケット付与サーバ113と123とが「信頼関係」を持っている必要があることである。即ち、サーバ113と123は互いを知っていなければならず、情報を共有していなければならず、そして、その情報について互いを信用しなければならない。しかし、信頼関係は管理するのが難しいことに加えて、それは電気通信システムによっては十二分に必要なものである。
本発明は、サービス提供ドメインがサービス要求ドメイン内の要求元ユーザに対して特権を付与することを可能とするための特権付与技術を提供する。本発明の実施例によると、1以上のサービスに関連するリソースからなるサービス提供ドメインにおける要求処理装置がサービスを利用するためにユーザのリクエストを受信し、特権付与サーバにトークンを要求する。特権付与サーバからの付与される特権を特定するトークンを受信すると、要求処理装置は特権を要求元ユーザに拡張する。また、要求処理装置は前もって複数のトークンを特権付与サーバに要求できる。要求処理装置が1以上のサービスを利用するためのリクエストを受信するたびに、要求処理装置は、トークンを受け取った後に、要求元ユーザ各々に特権を拡張する。
実施例における特権付与技術は、何らかの電気通信システムにおいて、そのサービスに関連するリソースと同じドメイン内の、サービス要求を処理する装置のみを認証および許可すれば十分であるという事実に基づいている。それらの電気通信システムにおいては、異なるサービス要求ドメインにおいてユーザ達を許可および認証しなければならないということはない。結果として、実施例の技術において、2つのドメイン(即ち、サービス要求ドメインおよびサービス提供ドメイン)はケルブロス的に互いに信用している必要はない。
実施例の技術に基づく特権の付与方法は、種々のアプリケーション、特に、セッション開始プロトコル(SIP:Session Initiation Protocol)に基づくアプリケーションに役立つ。SIPに基づくファクシミリサービス、SIPを用いるコレクトコール、および自動受信制御された呼の転送のような新しいサービスは、開示される技術を従来のその関連の技術よりも好適に適用できる。
本発明の実施例は、サービス提供ドメインにおいて、サービス要求ドメイン内の第1のデータ処理システムによって発せられたサービス提供ドメイン内のサービスを利用するためのリクエストを受信するステップ;そのサービス提供ドメイン内の第2のデータ処理システムにトークンを求めるリクエストを送信するステップであって第2のデータ処理システムは第1のデータ処理システムの素性(アイデンティティ)を知らないようなステップ;および、そのトークンを受信するステップであってそのトークンが付与される特権を特定しているようなステップからなる。
図1は従来技術における電気通信システム100のブロック図である。 図2は本発明の実施例による電気通信システム200のブロック図である。 図3は本発明の実施例による要求処理装置221の主要な構成要素のブロック図である。 図4は電気通信システム200に関連する第1のメッセージフローの図である。 図5は電気通信システム200に関連する第2のメッセージフローの図である。 図6は電気通信システム200に関連する第3のメッセージフローの図である。
本明細書および請求項において、「ドメイン」という用語を、共通の通信アドレスを共有するデータ処理システムのグループと定義する。例えば、サービス要求ドメインは、1以上のサービスを利用することを要求するユーザ・データ処理システムが存在する領域である。サービス提供ドメインは、それらの要求されたサービスに関連するリソースへのアクセスを制御するデータ処理システムとともにそれらのリソースが存在する領域である。
図2に本発明の実施例による電気通信システム200のブロック図を示す。電気通信システム200は、ユーザ211−1〜211−M(Mは自然数)、ローカルエリアネットワーク212、要求処理装置221、認証サーバ222、特権付与サーバ223、リソース224−1〜224−N(Nは自然数)、およびローカルエリアネットワーク225からなり、図示するように相互接続されている。
電気通信システム200は2つのドメイン、即ち、サービス要求ドメイン210およびサービス提供ドメイン220からなる。ユーザ211−1〜211−Mおよびローカルエリアネットワーク212がサービス要求ドメイン210を構成する。要求処理装置221、認証サーバ222、特権付与サーバ223、リソース224−1〜224−N、およびローカルエリアネットワーク225がサービス提供ドメイン220を構成する。信頼関係はサービス要求ドメイン210とサービス提供ドメイン220との間に、少なくともある期間は、及んでいない。さらに、ある実施例では、サービス提供ドメイン220は特権付与サーバ223の素性を要求元ユーザ221−mに与えない(mは1以上M以下の値である)。さらに、ある実施例では、サービス提供ドメイン220は1以上のリソース224−1〜224−Nの素性を要求元ユーザ221−mに与えない。
ユーザ221−mは、サービス提供ドメイン220において利用可能なサービスのリクエストを出すことができるサービス要求ドメイン210内のデータ処理システムである。さらに、一度サービス提供ドメイン220がユーザ221−mにサービスを利用するための特権を付与すると、ユーザ211−mはサービスを利用することができる。人間のユーザはサービスを要求し利用するためにユーザ211−mを操作する。例えば、ユーザ211−mは音声またはデータトラフィックを送受信することができるパソコンまたは電気通信端末であってもよい。また、代替の実施例では、ユーザ211−mは人間のユーザに従属していなくてもよい。当業者であれば分かるように、実施例において、ユーザ211−1〜211−Mは同じサービス要求ドメイン内に存在していてもよいし、2以上のサービス要求ドメインにわたって分散していてもよい。
ユーザ211−mはサービス提供ドメイン220内のデータ処理システムとローカルエリアネットワーク212を介して公知の方法で通信する。ユーザ211−mをどのように構成し使用するかは当業者には明白なはずである。
要求処理装置221は、1以上のサービスを利用するためのサービス要求ドメイン210からのリクエストを受信するとともに、それらのリクエストを処理するためにサービス要求ドメイン210内のユーザの代わりに行動するデータ処理システムである。実施例によると、要求処理装置221はユーザ211−1〜211−Mとセッション開始プロトコルを介して通信する。しかし、処理装置221は他のセットのプロトコル(例えば、H.323など)を介して通信することもできることが分かる。ユーザからの過去または将来のリクエストを処理するときに、処理装置221は認証サーバ222、特権付与サーバ223および1以上のリソース224−1〜224−Mと相互通信する。処理装置221はサービス提供ドメイン220の他の構成要素とローカルエリアネットワーク225を介して公知の方法で通信する。下記に図3に関して処理装置221の主要な構成要素を説明する。処理装置221は、下記に図4および5に関して説明する関連するタスクを実行する。
認証サーバ222は要求処理装置221を必要に応じて公知の方法で認証するシステムである。サーバ222は処理装置221から認証リクエストを直接受信し、あるいは、処理装置221を認証するためのリクエストを特権付与サーバ223から受信する。当業者であれば分かるように、サーバ222は処理装置221を認証する多くの公知技術の1つを用いるようにすればよい。当業者には認証サーバ222をどのように構成し使用するかは明白である。
本発明の実施例によると、特権付与サーバ223は、1以上のリソース224−1〜224−Nの使用を関与させる1以上のサービスを利用するための特権を付与するデータ処理システムである。サーバ223は1以上のトークンに対するリクエストを処理装置221から受信し、ここで各トークンは特権の付与自体も含めた付与される特権に関係する情報を提供する。サーバ223は処理装置221に対して、処理装置221がまだそうしていなければ、認証サーバ222に認証することを要求してもよい。特権付与サーバ223は処理装置221の素性を知っているが、サーバはサービスのリクエストを出しているユーザの素性を知っている必要はない。
サーバ223は1以上のトークンを生成し、それらを処理装置221に送信し、それによって処理装置221を許可して各付与される特権へのアクセスを提供する。サーバ223はまた、サービス要求ドメイン210からのユーザのその後の信号を受け入れて処理するためにサービス提供ドメイン220内の必要な環境をセットアップする役割を担う。さらに、サーバ223は付与される特権を要求元ユーザ(即ち、ユーザ221−m)に拡張する(即ち、当該ユーザに利用可能とする(以下同じ))。本明細書を読めば、当業者には特権付与サーバ223をどのように構成し使用するかは明らかなものとなる。
リソース223−n(nは1以上N以下の値)はサービスに関連するリソースである。リソース224−nはスタンドアローン型装置、他の装置の一部、ソフトウェアエンティティなどである。例えば、リソース224−nはデータベース、プリンタ、ファイヤーウォールにおけるポートまたはルール、会議ブリッジなどである。当業者にはリソース224−nをどのように構成し使用するかは明白である。
要求処理装置221は特権付与サーバ223とともにリソース224−1〜224−Nのどれが要求されたサービスとして必要かを判断する。例えば、要求されたサービスが、ユーザ211−1からファックスプリンタリソース224−3の近くにいる特定の受信者へのファクシミリ送信の処理に対応する場合、処理装置221およびサーバ223はファックスプリンタが必要とされていること、およびリソース224−3がその受信者に最も近いファックスプリンタであることを特定し、処理装置221はそれをユーザに示す。
図3に本発明の実施例による要求処理装置221の主要な構成要素のブロック図を示す。要求処理装置221はネットワークインターフェイス301、プロセッサ302およびメモリ303からなり、図示するように相互接続される。
ネットワークインターフェイス301は受信部および送信部からなる。受信部は、公知の方法で、電気通信システム200内の他のデータ処理システムからの信号を受信し、信号内の符号化された情報をプロセッサ302に転送する。送信部は、公知の方法で、プロセッサ302からの情報を受信し、この情報を符号化するパケット関連信号を他のデータ処理システムに出力する。当業者にはネットワークインターフェイス301をどのように構成し使用するかは明白である。
プロセッサ302はネットワークインターフェイス301からの情報を受信することができる一般用途プロセッサであり、メモリ303からデータを読み出し、メモリ303にデータを書き込み、下記に図4および5に関連して説明するタスクを実行し、情報をネットワークインターフェイス301へ送信する。本発明の代替の実施例では、プロセッサ302は特定用途プロセッサであってもよい。いずれの場合も、本明細書を読めば、当業者にはプロセッサ302をどのように構成し使用するかは明らかなものとなる。
メモリ303はデータおよび実行可能な命令を公知の方法で格納する。当業者にはメモリ303をどのように構成し使用するかは明白である。
図4に本発明の実施例による電気通信システム200に関連する第1のメッセージフローを示す。メッセージフローは、ユーザ211−1、即ち、サービス提供ドメイン220内のサービスを利用することを要求しているサービス要求ドメイン210内の第1のデータ処理システムから始まる。当業者には、図4に示すどのイベントが同時に、または図示されたものとは異なる順序で実行され得るかは明らかなはずである。
メッセージ401によって、要求処理装置221がサービス提供ドメイン220内のサービスを利用するためにユーザ211−1によって送信されたリクエストを受信する。そのリクエストは、リクエストを識別し処理するために要求処理装置221によって使用される何らかの予備的な情報を含む。
イベント402において、要求処理装置221はリクエスト中の予備的な情報に部分的に基づいてリクエストを受け入れるか否かを判断する。リクエストを受け入れる場合、処理装置221は自身を認証サーバ222に認証する必要があるかを判断する。実施例によっては、要求処理装置221はまた、ユーザ211−1が利用することを要求している特定のサービスに基づいて、リソース224−1〜224−Nのどれが必要とされているかを判断する。
要求処理装置221は自身を認証する必要がある場合、認証シーケンス403を認証サーバ222に対して公知の方法で行う。認証は要求処理装置221に対するものであってユーザ211−1に対するものではないので、認証シーケンス403はサービス要求ドメイン210を関与させない。
認証が成功すると、メッセージ404の一部として、要求処理装置221はトークンを求めるリクエストを送信する。要求処理装置221はそのリクエストを特権付与サーバ223、即ち、第2のデータ処理システムに送信する。実施例によっては、処理装置221はまた、どのリソースが要求されたサービスに関連するかを判断し、それらのリソースについての情報をサーバ223に対するリクエストの一部として送信する。
特権付与サーバ223は、要求されたサービスに対してどのリソースが必要とされているかを自律的にあるいは処理装置221からの入力によって判断する。ある実施例では、選択されたリソースによっては、特権付与サーバ223は、サービスに対するユーザ221−1のリクエストを受け入れるために選択されたリソースの環境―――ここではリソース224−4の環境―――をセットアップするためのメッセージ405を送信する。
サーバ223はまた、1以上のリソースの特定目的使用のような付与される特権を特定するトークンを生成する。実施例によっては、付与される特権はリソースの回数制限付き使用に関するものである。例えば、回数制限付き使用は一回限りの使用であってもよい。メッセージ406の一部として、サーバ223はそのトークンを送信し、それは要求処理装置221によって受信される。この時点で、要求処理装置221はそのトークンによって特定される付与される特権を拡張することを許可される。
メッセージ407によって、要求処理装置221はトークンの一部として受信した付与される特権をユーザ211−1に拡張する。さらに、処理装置221は要求されたサービスに関連するリソース―――ここではリソース244−4―――にどのようにアクセスするかの情報をユーザ211−1に転送する。
そして、ユーザ211−1は処理装置221によって転送された情報を利用して、メッセージ408をリソース224−4に送信することによって要求したサービスを利用する。
図5に本発明の実施例による電気通信システム200に関連する第2のメッセージフローを示す。メッセージフローは、1以上のユーザ211−1〜221−Mからのサービスリクエストを処理する際に後で使用する1以上のトークンを特権付与サーバ223に要求する要求処理装置221に始まるシーケンスを示す。当業者には、図5に示すどのイベントが同時に、または図示されたものとは異なる順序で実行され得るかは明らかなはずである。
イベント501において、要求処理装置221は1以上のトークンを特権付与サーバ223に要求するために準備する。処理装置221は自身を認証サーバ222によって認証する必要があるか否かを判別する。実施例によっては、要求処理装置221はまた、処理装置221が1以上のユーザ(例えば、ユーザ211−1、ユーザ221−2など)から受信したと推定する、1以上のサービスを利用するためのリクエストに基づいてリソース224−1〜224−Mのどれが必要とされているのかを判定する。
要求処理装置221が自身を認証する必要がある場合、それは認証シーケンス502を認証サーバ222によって公知の方法で行う。認証は要求処理装置221に対するものであってユーザ211−1や211−2に対するものではないので、認証シーケンス502はサービス要求ドメイン210を関与させない。
認証が成功すると、メッセージ503の一部として、要求処理装置221は1以上のトークンについてのリクエストを送信する。要求処理装置221はそのリクエストを特権付与サーバ223に送信する。実施例によっては、処理装置221はまた、要求されたと思われるサービスにどのリソースが関連するかを判断し、それらのリソースについての情報をサーバ223に対するリクエストの一部として送信する。
特権付与サーバ223は、要求されたと思われるサービスに対してどのリソースが必要とされているかを自律的にあるいは処理装置221からの入力によって判断する。ある実施例では選択されたリソースによっては、特権付与サーバ223は、サービスに対する将来のリクエストを受け入れるために選択されたリソースの環境―――ここではリソース224−4および224−7の環境―――をセットアップするためのメッセージ504および505を送信する。
サーバ223はまた1以上のトークンを生成する。ここで、付与されたトークン各々は、1以上のリソースの特定目的使用のような付与される特権を特定する。ある実施例では、付与される特権はリソースの回数制限付き使用に関するものである。例えば、回数制限付き使用は一回限りの使用であってもよい。メッセージ506の一部として、サーバ223はそのトークンを送信し、それは要求処理装置221によって受信される。この時点で、要求処理装置221は受信されたトークン各々によって特定される付与される特権を、サービスの利用を引き続き要求する各ユーザに対して拡張することを許可される。
メッセージ507によって、最終的に要求処理装置221は、ユーザ211−1から送信されたサービス提供ドメイン220内のサービスを利用するためのリクエストを受信する。そのリクエストは、リクエストを識別し処理するために要求処理装置221によって使用される予備的な情報を含む。
メッセージ508によって、要求処理装置221は、トークンの一部として特権付与サーバ223から受信された付与される特権をユーザ211−1に拡張する。さらに、処理装置221は要求されたサービスに関連するリソース―――ここではリソース244−4―――にどのようにアクセスするかの情報をユーザ211−1に転送する。
そして、ユーザ211−1は処理装置221によって転送された情報を利用して、メッセージ509をリソース224−4に送信することによって要求したサービスを利用する。
最終的にメッセージ510によって、要求処理装置221は、サービス提供ドメイン220内の以前とは異なるサービスを利用するための、以前とは異なるユーザであるユーザ211−2によって送信されたリクエストを受信する。そのリクエストは、リクエストを識別および処理するために要求処理装置221によって使用される何らかの予備的な情報を含む。提供された例は以前とは異なるサービスを利用するために要求するものを示しているが、要求処理装置221は同じサービスに対する異なるユーザからのリクエストを処理できることは分かるはずである。
メッセージ511によって、要求処理装置221はトークンの一部として特権付与サーバ223から受信された付与される特権をユーザ211−2に拡張する。さらに、処理装置221は要求されたサービスに関連するリソース―――ここではリソース244−7―――にどのようにアクセスするかの情報をユーザ211−2に転送する。
そして、ユーザ211−2は処理装置221によって転送された情報を利用して、メッセージ512をリソース224−7に送信することによって要求したサービスを利用する。
実施例における技術を利用するいくつかのアプリケーションをここに開示する。実施例の特権付与技術を利用する第1のアプリケーション―――セッション開始プロトコルを用いるファクシミリサービス―――がここに開示され、そのメッセージフローを図6に示す。メッセージフローは、ユーザ211−1がサービス提供ドメイン220内の受信者の近くにあるプリンタにファクシミリが送られることを要求するシーケンスを示す。
このアプリケーションにおいて、特権付与サーバ223はファクシミリサーバとして機能するので、説明の便宜のため「ファックスサーバ223」という。認証サーバ222に関連する機能は、ウィンドウズ・ドメイン認証のような業者のユーザ認証エンジンによって提供される。サービスに関連するリソースであるリソース224−1はファクシミリファイルが受信されるプリンタである。
図6を参照すると、メッセージ601によって、要求処理装置221が、サービス提供ドメイン220においてファクシミリを受信するための、ユーザ211−1によって送信されたリクエストを受信する。そのリクエスト―――それはSIP・INVITEメッセージの一部となり得る―――は送られているファクシミリに関する何らかの情報(例えば、ページ数、送信フォーマット、最初のページのプレビューなど)を含む。
イベント602において、要求処理装置221はリクエスト中の予備的な情報に基づいてリクエストを受け入れるか否かを判断する。リクエストを受け入れる場合、処理装置221は自身を認証サーバ222に認証する必要があるか否かを判断する。ある実施例では、要求処理装置221はまた、ユーザ211−1が利用することを要求している特定のサービスに基づいてリソース224−1〜224−Nのどれが必要とされているかを判断する。
メッセージ603によって、要求処理装置221はトークンを求めるリクエストを送信する。即ち、それはファックスサーバ223に対するリクエストを送信する。そして、ファックスサーバ223は、認証サーバ222(またはその機能上の同等物)が要求処理装置221を認証することをメッセージ604を介して要求する。
サーバ222は要求処理装置221に対して認証シーケンス605を(例えば、ドメインコントローラ認証を介して、など)公知の方法で実行する。サーバ222はメッセージ606を介してファックスサーバ223に認証結果を提供する。あるいは、図4および5に関して記載したように、要求処理装置を認証するために、ファックスサーバ223ではなく要求処理装置221がサーバ222にコンタクトをとるようにしてもよい。
ファックスサーバ223はどのプリンタがファクシミリの受信者に最も近いかを判断し、リソース224−1が最も近いプリンタであることが分かる。ファックスサーバ223は、必要であれば、プリンタを準備するためのメッセージ607をリソース224−1へ送信する。
ファックスサーバ223はまた、使用されるプリンタのような他の関係する情報だけでなく、要求処理装置221およびユーザ211−1(即ち、ファックスの送信元)の素性に基づいてトークン―――ここではクッキーである―――を生成する。トークンはファックス送信のために確認されたプリンタを利用するための付与される特権を特定する。実施例によっては、付与される特権はリソースの回数制限付き使用に対するものである。例えば、回数制限付き使用は一回限りの使用であってもよい。メッセージ608の一部として、ファックスサーバ223はトークンを送信し、そして、要求処理装置221によって受信される。この時点で、要求処理装置221はトークンによって特定される付与される特権を拡張することを許可される。
メッセージ609によって、要求処理装置221はトークンの一部として受信された付与される特権をユーザ211−1に拡張する。なお、メッセージ609はSIP・REDIRECTであってもよい。さらに、処理装置221はそのプリンタにどのようにアクセスするかの情報をユーザ211−1に転送する。
メッセージ610を介して、ユーザ211−1は要求処理装置221によって転送された情報を利用して(例えば、ポストスクリプト・フォーマット、PDFフォーマットなどの)印刷情報を含むファイルをクッキーとともにファックスサーバ223へ送る。
そして、ファックスサーバ223はドキュメントファイルをプリンタ(即ち、リソース224−1)に送ることによって交信を完了する。サーバ223はファックスの配信およびプリンタの位置を示すステータスを要求処理装置221に送る。ステータスはメッセージ612を介して送られる。なお、メッセージ612はSIPインスタント・メッセージであってもよい。そして、要求処理装置221はステータスの、人間による受信を知らせる。ファックスサーバ223はまた、確認メッセージ613をユーザ211−1に送り、ファックスがプリンタに配信されたことを示す。
実施例の特権付与技術を利用する第2のアプリケーション―――セッション開始プロトコルを用いるコレクトコール―――がここに開示される。当業者であれば分かるように、第三者課金のような関連する機能が同様に実施され得る。このアプリケーションのメッセージフローは図6に示したものと類似している。例えば、このコレクトコールアプリケーションにおいて、ユーザ211−1は呼に対してなされる課金をサービス提供ドメイン220内の受信者に返送することを要求する。なお、サーバ223は受信者のサービスプロバイダのコールコレクトサーバとして機能するので、以下、「コールコレクトサーバ223」という。他の違いとして、サービスに関連するリソースであるリソース224−1は、課金のために呼の詳細な記録を付加する能力だけでなく、ファイヤーウォールにおけるポートまたはルールも備える。
図6に示すように、発呼者(即ち、ユーザ211−1)はSIP・INVITEメッセージ601を要求処理装置221に送信し、リクエストが返送された課金を含んでいることを示す。リクエストが受け入れられると、要求処理装置221はコールコレクトサーバ223にメッセージ603を介してコンタクトをとる。なお、リクエストの受け入れはイベント602で決定される。サーバ223は、要求処理装置221が認証サーバ222に対して認証することを必要とするとともにメッセージ604を介してこのことを示してもよい。認証サーバ222は認証プロセスの一環として認証シーケンス605を介して個人識別番号およびパスワードを要求処理装置221に要求する。
認証が完了し、サーバ222がコールコレクトサーバ223にメッセージ606を介して結果を提示すると、サーバ223はリソース224−1(即ち、ファイヤーウォール)においてメッセージ607を介してポートまたはルールをアクティベートして、その呼に関連するデータトラフィックが流れるようにする。
メッセージ608の一部として、サーバ223は付与されたトークンを送信し、それは要求処理装置221によって受信される。この時点で、要求処理装置221はコレクトコールを進めるためのトークンによって指定される付与される特権を拡張することを許可される。
メッセージ609によって、要求処理装置221はユーザ211−1にトークンの一部として受信した付与される特権を拡張する。なお、メッセージ609はSIP・REDIRECTメッセージであってもよい。さらに、処理装置221は呼のトラフィックをどのようにルーティングするかについての情報をユーザ211−1に転送する。
メッセージ610を介して、ユーザ211−1は処理装置221によって転送された情報を用いて、呼のトラフィックをサーバ223によって受信者にルーティングする。
実施例の特権付与技術を利用する第3のアプリケーション―――受信者による会議ブリッジへの自動的な転送―――がここに開示される。このアプリケーションのメッセージフローは、いくつかの追加的な検討事項を付加すれば図6に示したものと類似する。例えば、この会議ブリッジアプリケーションにおいて、ユーザ211−1はサービス提供ドメイン220における会議ブリッジに追加されることを要求する。要求処理装置221は会議コールのホストとして機能し、ホストとして処理装置221は、予め了承された参加者リストをセットアップし、発呼者各々へのアクセスを可能とするポリシーをセットアップし、または、明示的な「許可/拒否」リストを保持する。「認証サーバ222」の機能は会議ブリッジソフトウエアに付帯している。なお、サーバ223はサービスプロバイダの会議を行うサーバとして機能するので、以下、「電話会議サーバ223」という。他の違いは、サービスに関連するリソースであるリソース224−1が会議ブリッジ自体(即ち、機器若しくはソフトウエアまたはその両方)であることである。
図6に示すように、発呼者(即ち、ユーザ211−1)はSIP・INVITEメッセージ601を要求処理装置221に送信し、リクエストが会議ブリッジに追加されることを示す。リクエストが受け入れられると、要求処理装置221はコールコレクトサーバ223にメッセージ603を介してコンタクトをとる。なお、リクエストの受け入れはイベント602で決定される。サーバ223は要求処理装置221が認証機能(即ち、「認証サーバ222」)に対して認証することを必要とし、メッセージ604を介してこのことを示すようにしてもよい。認証機能によってホスト(即ち、処理装置221)をシーケンス605によって認証し、(図5に関して説明したメッセージフローにおけるように)各参加者の発呼ごとに、あるいは会議コールの前に、ホストが会議のポリシーまたは参加者リストを設定することを可能とする。
認証が完了し、サーバ222がコールコレクトサーバ223にメッセージ606を介して結果を提示すると、サーバ223は、必要であればメッセージ607を介して、リソース224−1、即ち、会議ブリッジを使用可能とする。
メッセージ608の一部として、サーバ223はトークン(例えば、一回限りのパスワードなど)を送信し、それは要求処理装置221によって受信される。この時点で、要求処理装置221は会議ブリッジをユーザ211−1において進めるためのトークンによって指定される付与される特権を拡張することを許可される。
メッセージ609によって、要求処理装置221はユーザ211−1にトークンの一部として受信した付与される特権を拡張する。なお、メッセージ609はSIP・REDIRECTメッセージであってもよい。さらに、処理装置221は受信した一回限りのパスワードおよび呼トラフィックをブリッジまでどのようにルーティングするかについての情報をユーザ211−1に転送する。
メッセージ610を介して、ユーザ211−1はパスワードを使用して会議ブリッジにログオンし、転送された情報を使用して呼のトラフィックをブリッジを通じてルーティングする。なお、会議ブリッジサービスは、要求処理装置221を認証したことに加えて、さらに各発呼者を認証するためにログイン手順を用いることもできる。しかし、この第3のアプリケーションにおいては、実施例における特権付与技術を用いることによってブリッジ番号およびパスワードが各発呼者に送られるので、それらが前もって頒布されている必要はない。人間のユーザが外部的に関与することなく、終端におけるエージェントが認証およびブリッジへのログオンを実行する。
第3のアプリケーションは代替的に、(直前に示した図6ではなく)図5に関して説明されたメッセージフローを適用することによっても可能となる。この会議ブリッジアプリケーションに対する転送の変更例において、要求処理装置221(即ち、会議コールのホスト)は会議コールに先だって、予定参加者数に対して適切な数のトークンを得ておく。そして、各参加者は会議コールをかけると、要求処理装置221は、要求処理装置221がサーバ223からトークンの一部として受信した付与される特権を参加者に拡張する。さらに、処理装置221は受信した一回限りのパスワードおよび呼トラフィックをブリッジまでどのようにルーティングするかについての情報を参加者に転送する。
上述の実施例は本発明の単なる例示であり、上述の実施例に対する多数の変更例が当業者によって本発明の範疇を逸脱することなく考案され得ることが分かる。例えば、本明細書において、本発明の実施例の完全な記載と理解を提供するために多くの特定の詳細事項が提示された。しかし、当業者であれば、それらの詳細事項の1つまたはいくつかを欠いても、あるいは他の方法、素材(ソフトなど)、構成部材などを用いても実施可能であることは認識できるはずである。
さらに、例示によっては、実施例の特徴的側面が不明瞭になるのを避けるために、公知の構造、素材または動作を詳細には図示または記載していない。図面に示された種々の実施例は例示であり、必ずしも寸法通りには描かれていない。明細書を通じて、「1つの実施例」、「ある実施例」、「実施例によっては」などの記述は、実施例に関連して記載された特定の特徴、構造、素材または特性が本発明の少なくとも1つの実施例に含まれるが、必ずしも全ての実施例に含まれるとは限らないことを意味している。結果として、明細書中に随所に見られる「1つの実施例において」、「ある実施例では」、「実施例によっては」などの文言の使用は、必ずしも同じ実施例のことを指しているとは限らない。さらに、特定の特徴、構造、素材または特性は1以上の実施例において適宜組み合され得るものである。従って、そのような変更例は特許請求の範囲およびその均等な範囲に含まれることになる。
200.電気通信システム
210.サービス要求ドメイン
211−1〜211−M.ユーザ
212.ローカルエリアネットワーク
220.サービス提供ドメイン
221.要求処理装置
222.認証サーバ
223.特権付与サーバ
224−1〜224−N.リソース
225.ローカルエリアネットワーク
301.ネットワークインターフェイス
302.プロセッサ
303.メモリ

Claims (28)

  1. サービスを利用するためのリクエストを扱う方法であって、
    サービス要求ドメイン内の第1のデータ処理システムによって行われるサービス提供ドメイン内のサービスを利用するためのリクエストを、サービス提供ドメインにおいて受信するステップと、
    該サービス提供ドメイン内の第2のデータ処理システムにトークンのリクエストを送信するステップとを含み、該第2のデータ処理システムは、該第1のデータ処理システムの素性(アイデンティティ)を知らず、
    付与された特権を指定する該トークンを受信するステップと、
    該第1のデータ処理システムまで該付与された特権を延長するステップとを含み、
    1つのドメインが、共通の通信アドレスを共有する複数のデータ処理システムのグループを含み、該サービス提供ドメインの共通の通信アドレスは、該サービス要求ドメインの共通の通信アドレスとは独立である方法。
  2. 請求項1記載の方法において、該付与される特権は、該サービスと関連する少なくとも1つのリソースの回数制限付き使用のためのものである方法。
  3. 請求項2記載の方法において、該回数制限付き使用は、該少なくとも1つのリソースの一回限りの使用である方法。
  4. 請求項1記載の方法において、該サービスを利用するための該リクエストを受信したことに基づいて、該サービスと関連する少なくとも1つのリソースを決定するステップを含む方法。
  5. 請求項1記載の方法において、さらに、
    該第2データ処理システムから、認証に関連付けられたメッセージを受信するステップを含み、該認証は、該サービス提供ドメインに関連し、該サービス要求ドメインには関係しない方法。
  6. 請求項1に記載の方法において、該サービス提供ドメインにおいて、該サービスを利用する該リクエストの受信の際に該サービス要求ドメインと該サービス提供ドメインとの間に信頼関係が存在しない方法。
  7. 請求項6記載の方法において、該サービス提供ドメインは、該第2のデータ処理システムの素性を該第1のデータ処理システムに与えない方法。
  8. 請求項6記載の方法において、該サービス提供ドメインは、該サービスと関連する少なくとも1つのリソースの素性を該第1のデータ処理システムに与えない方法。
  9. 請求項1に記載の方法において、
    該サービスと関連する少なくとも1つのリソースにアクセスする方法を該第1のデータ処理システムに知らせるステップを含む方法。
  10. 請求項1に記載の方法において、
    該第1のデータ処理システムまで該付与された特権を延長するステップは、少なくとの1つの暗号化されたメッセージを送信することによって行われる方法。
  11. 請求項1記載の方法において、セッション開始プロトコルに従って、該サービスを利用するためのリクエストが受信されるとともに、該付与される特権が利用可能となる方法。
  12. 請求項1に記載の方法において、該サービスは、該第1のデータ処理システムからのファックス通信の受信を含む方法。
  13. サービスを利用するためのリクエストを扱う方法であって、
    サービス要求ドメイン内の第1のデータ処理システムによって行われるサービス提供ドメイン内のサービスを利用するためのリクエストを、サービス提供ドメインにおいて受信するステップと、
    該サービス提供ドメイン内の第2のデータ処理システムにトークンのリクエストを送信するステップと、
    該サービスと関連する少なくとも1つのリソースの回数制限付き使用のためのものである付与された特権を指定する該トークンを受信するステップとを含み、
    該第1のデータ処理システムまで該付与された特権を延長するステップとを含み、
    該サービス提供ドメインにおいて、該サービスを利用する該リクエストの受信の際に該サービス要求ドメインと該サービス提供ドメインとの間に信頼関係が存在せず、
    1つのドメインが、共通の通信アドレスを共有する複数のデータ処理システムのグループを含み、該サービス提供ドメインの共通の通信アドレスは、該サービス要求ドメインの共通の通信アドレスとは独立である方法。
  14. 請求項13に記載の方法において、該回数制限付き使用は、該少なくとも1つのリソースの一回限りの使用である方法。
  15. 請求項13に記載の方法において、
    該サービスを利用するための該リクエストを受信したことに基づいて、該サービスと関連する少なくとも1つのリソースを決定するステップを含み、該トークンのリクエストは、該少なくとも1つのリソースを指定する方法。
  16. 請求項13に記載の方法において、
    該第2データ処理システムから、認証に関連付けられたメッセージを受信するステップを含み、該認証は、該サービス提供ドメインに関連し、該サービス要求ドメインには関係しない方法。
  17. 請求項13に記載の方法において、
    該サービス提供ドメインは、該サービスと関連する少なくとも1つのリソースの素性を該第1のデータ処理システムに与えない方法。
  18. 請求項13に記載の方法において、
    該サービスと関連する少なくとも1つのリソースにアクセスする方法を該第1のデータ処理システムに知らせるステップを含む方法。
  19. 請求項13に記載の方法において、セッション開始プロトコルに従って、該サービスを利用するためのリクエストが受信されるとともに、該付与される特権が利用可能となる方法。
  20. サービスを利用するためのリクエストを扱う方法であって、
    複数のトークンの要求を、サービス提供ドメイン内の第2のデータ処理システムに送信するステップを含み、該第2のデータ処理システムは、サービス要求ドメイン内の第1のデータ処理システムの素性(アイデンティティ)を知らず、該第1のデータ処理システムは、該サービス提供ドメイン内の第1のサービスを利用することができ、
    付与された第1の特権を指定する該複数のトークンを受信するステップと、
    該第1のデータ処理システムまで、該第1のサービスと関連する該付与された特権を延長するステップとを含み、
    1つのドメインが、共通の通信アドレスを共有する複数のデータ処理システムのグループを含み、該サービス提供ドメインの共通の通信アドレスは、該サービス要求ドメインの共通の通信アドレスとは独立である方法。
  21. 請求項20に記載の方法において、
    該第1の付与された特権は、該第1のサービスと関連する少なくとも1つのリソースの回数制限付き使用のためのものである方法。
  22. 請求項21に記載の方法において、該回数制限付き使用は、該少なくとも1つのリソースの一回限りの使用である方法。
  23. 請求項20に記載の方法において、該複数のトークンの該リクエストの該送信の際に該サービス要求ドメインと該サービス提供ドメインとの間に信頼関係が存在しない方法。
  24. 請求項20に記載の方法において、
    該サービスと関連する少なくとも1つのリソースを決定するステップを含み、該複数のトークンのリクエストは、該少なくとも1つのリソースを指定する方法。
  25. 請求項20に記載の方法において、
    該第3のデータ処理システムまで、該第2のサービスと関連する付与された第2の特権を延長するステップとを含み、
    該複数のトークンのうちの第2のトークンは、該外付与された第2の特権を指定し、
    該第2のデータ処理システムは、該第1のデータ処理システムの素性(アイデンティティ)を知らない方法。
  26. 請求項25に記載の方法において、該付与された第1の特権と該付与された第2の特権は同じである方法。
  27. 請求項20に記載の方法において、該第1のサービスは、該第1のデータ処理システムからのファックス通信の受信を含む方法。
  28. 請求項20に記載の方法において、該付与された第1の特権は、セッション開始プロトコルに従って延長される方法。
JP2014015510A 2005-09-29 2014-01-30 電気通信システムにおいて特権を付与してリソースを共有する方法 Pending JP2014096181A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/239,494 US8775586B2 (en) 2005-09-29 2005-09-29 Granting privileges and sharing resources in a telecommunications system
US11/239494 2005-09-29

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2006266635A Division JP2007095076A (ja) 2005-09-29 2006-09-29 電気通信システムにおいて特権を付与してリソースを共有する方法

Publications (1)

Publication Number Publication Date
JP2014096181A true JP2014096181A (ja) 2014-05-22

Family

ID=37494438

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2006266635A Pending JP2007095076A (ja) 2005-09-29 2006-09-29 電気通信システムにおいて特権を付与してリソースを共有する方法
JP2014015510A Pending JP2014096181A (ja) 2005-09-29 2014-01-30 電気通信システムにおいて特権を付与してリソースを共有する方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2006266635A Pending JP2007095076A (ja) 2005-09-29 2006-09-29 電気通信システムにおいて特権を付与してリソースを共有する方法

Country Status (4)

Country Link
US (1) US8775586B2 (ja)
EP (1) EP1770944A1 (ja)
JP (2) JP2007095076A (ja)
CN (1) CN1941700B (ja)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4525609B2 (ja) * 2006-02-22 2010-08-18 日本電気株式会社 権限管理サーバ、権限管理方法、権限管理プログラム
GB2460896A (en) * 2008-06-18 2009-12-23 Skype Ltd Indicating the participation status of members in a conference or group communication event
GB2460897A (en) * 2008-06-18 2009-12-23 Skype Ltd Authorising and adding a user to a conference event by determining if a set up request received from the user is associated with the conference event
JP5419481B2 (ja) * 2009-01-29 2014-02-19 キヤノン株式会社 通信システム、通信方法、サーバ、サーバの制御方法、及びプログラム
US8364970B2 (en) 2009-02-18 2013-01-29 Nokia Corporation Method and apparatus for providing enhanced service authorization
EP2466850B1 (en) * 2009-02-27 2013-05-29 Research In Motion Limited Systems and methods for facilitating conference calls using security tokens
US8290135B2 (en) 2009-02-27 2012-10-16 Research In Motion Limited Systems and methods for facilitating conference calls using security keys
US9621561B2 (en) * 2009-02-27 2017-04-11 Microsoft Technology Licensing, Llc Enabling trusted conferencing services
US8619962B2 (en) * 2009-08-10 2013-12-31 Avaya, Inc. High-assurance teleconference authentication
US8346095B2 (en) * 2009-12-07 2013-01-01 Centurylink Intellectual Property Llc System and method for providing multi-provider telecommunications services over a passive optical network
US8776204B2 (en) * 2010-03-12 2014-07-08 Alcatel Lucent Secure dynamic authority delegation
US9065665B1 (en) * 2010-06-14 2015-06-23 Shoretel, Inc. Conferencing system with seamless connection
CN102307177A (zh) * 2010-09-25 2012-01-04 广东电子工业研究院有限公司 面向windows虚拟机的一次性密码管理系统及其方法
JP5571592B2 (ja) * 2011-01-21 2014-08-13 日本電信電話株式会社 サービス提供サーバ、サービス提供方法、サービス提供プログラム、および、サービス提供プログラムを記録した記録媒体
CN103415847B (zh) 2011-01-24 2017-11-17 慧与发展有限责任合伙企业 用于访问服务的系统和方法
US9185169B2 (en) 2011-07-29 2015-11-10 Avaya Inc. Methods, systems, and computer-readable media for self-learning interactive communications privileges for governing interactive communications with entities outside a domain
US8966589B2 (en) 2011-08-24 2015-02-24 Avaya Inc. Methods, systems, and computer-readable media for exception handling of interactive communications privileges governing interactive communications with entities outside a domain
US9264534B2 (en) * 2011-10-18 2016-02-16 Avaya Inc. Methods, systems, and computer-readable media for self-maintaining interactive communications privileges governing interactive communications with entities outside a domain
JP6149445B2 (ja) * 2013-03-15 2017-06-21 株式会社リコー 情報処理システム、サーバー装置、情報処理方法及びプログラム
JP6596848B2 (ja) * 2015-03-10 2019-10-30 富士ゼロックス株式会社 アクセス権推定装置及びアクセス権推定プログラム
US11748374B2 (en) * 2021-11-30 2023-09-05 Snowflake Inc. Replication group objects configuration in a network-based database system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003079167A1 (en) * 2002-03-18 2003-09-25 Telenor Asa Single sign-on secure service access
JP2004133823A (ja) * 2002-10-15 2004-04-30 Nippon Telegr & Teleph Corp <Ntt> ネットワーク接続認証に基づくサービス提供システム
US20040260942A1 (en) * 2003-06-18 2004-12-23 Steve Jamieson System and method for unified sign-on

Family Cites Families (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5081667A (en) * 1989-05-01 1992-01-14 Clifford Electronics, Inc. System for integrating a cellular telephone with a vehicle security system
US5634122A (en) 1994-12-30 1997-05-27 International Business Machines Corporation System and method for multi-level token management for distributed file systems
JP3567519B2 (ja) 1995-03-17 2004-09-22 富士通株式会社 情報交換システム
KR100193824B1 (ko) * 1995-07-06 1999-06-15 윤종용 교환기의 착신 서비스 방법
US5684869A (en) * 1995-12-27 1997-11-04 Lucent Technologies, Inc. Telephone station remote access device and method
US5974133A (en) * 1996-04-30 1999-10-26 Southwestern Bell Technology Resources, Inc. Method and apparatus for facilitating communication across multiple locations
US5889952A (en) * 1996-08-14 1999-03-30 Microsoft Corporation Access check system utilizing cached access permissions
US5684950A (en) * 1996-09-23 1997-11-04 Lockheed Martin Corporation Method and system for authenticating users to multiple computer servers via a single sign-on
US6122631A (en) * 1997-03-28 2000-09-19 International Business Machines Corporation Dynamic server-managed access control for a distributed file system
US6845453B2 (en) * 1998-02-13 2005-01-18 Tecsec, Inc. Multiple factor-based user identification and authentication
US6445783B1 (en) * 1998-07-14 2002-09-03 At&T Corp. System and method that provides specialized processing of communications based on automatically generated identifiers
US6941552B1 (en) * 1998-07-30 2005-09-06 International Business Machines Corporation Method and apparatus to retain applet security privileges outside of the Java virtual machine
US6249575B1 (en) * 1998-12-11 2001-06-19 Securelogix Corporation Telephony security system
US6510523B1 (en) * 1999-02-22 2003-01-21 Sun Microsystems Inc. Method and system for providing limited access privileges with an untrusted terminal
FI110975B (fi) * 1999-12-22 2003-04-30 Nokia Corp Huijaamisen estäminen tietoliikennejärjestelmissä
US7200863B2 (en) * 2000-05-16 2007-04-03 Hoshiko Llc System and method for serving content over a wide area network
JP2002132722A (ja) 2000-10-30 2002-05-10 Nippon Telegr & Teleph Corp <Ntt> 代行認証方法、その各装置、その装置の処理方法、及びプログラム記録媒体
US7370351B1 (en) * 2001-03-22 2008-05-06 Novell, Inc. Cross domain authentication and security services using proxies for HTTP access
JP2002335239A (ja) 2001-05-09 2002-11-22 Nippon Telegr & Teleph Corp <Ntt> シングルサインオン認証方法及びシステム装置
US6598133B2 (en) * 2001-06-28 2003-07-22 Intel Corporation Successive template generation using minimal random access memory bandwidth
US7010600B1 (en) * 2001-06-29 2006-03-07 Cisco Technology, Inc. Method and apparatus for managing network resources for externally authenticated users
US8005965B2 (en) * 2001-06-30 2011-08-23 International Business Machines Corporation Method and system for secure server-based session management using single-use HTTP cookies
GB2378010A (en) * 2001-07-27 2003-01-29 Hewlett Packard Co Mulit-Domain authorisation and authentication
US6768792B2 (en) * 2001-12-17 2004-07-27 International Business Machines Corporation Identifying call parties to a call to an incoming calling party
US7185359B2 (en) * 2001-12-21 2007-02-27 Microsoft Corporation Authentication and authorization across autonomous network systems
US7200215B2 (en) * 2002-02-21 2007-04-03 International Business Machines Corporation Time based regulation of access to callees
US7092942B2 (en) 2002-05-31 2006-08-15 Bea Systems, Inc. Managing secure resources in web resources that are accessed by multiple portals
CN1152333C (zh) * 2002-07-31 2004-06-02 华为技术有限公司 基于认证、计费、授权协议的门户认证实现方法
US7770212B2 (en) * 2002-08-15 2010-08-03 Activcard System and method for privilege delegation and control
US7616748B1 (en) * 2002-11-05 2009-11-10 Telebuyer, Llc Central call screening system
US7379544B2 (en) * 2002-11-05 2008-05-27 Telebuyer, Llc Comprehensive telephone call screening system
US8561161B2 (en) * 2002-12-31 2013-10-15 International Business Machines Corporation Method and system for authentication in a heterogeneous federated environment
US20040128542A1 (en) * 2002-12-31 2004-07-01 International Business Machines Corporation Method and system for native authentication protocols in a heterogeneous federated environment
JP2004310581A (ja) 2003-04-09 2004-11-04 Nec Corp ネットワーク接続方法およびネットワークシステム
US20040213172A1 (en) * 2003-04-24 2004-10-28 Myers Robert L. Anti-spoofing system and method
GB0317124D0 (en) * 2003-07-22 2003-08-27 Nokia Corp Charging in a communication system
CN1627683A (zh) 2003-12-09 2005-06-15 鸿富锦精密工业(深圳)有限公司 单一认证授权管理系统及方法
US7665147B2 (en) * 2004-02-05 2010-02-16 At&T Mobility Ii Llc Authentication of HTTP applications
CA2557143C (en) * 2004-02-27 2014-10-14 Sesame Networks Inc. Trust inheritance in network authentication
US7636941B2 (en) * 2004-03-10 2009-12-22 Microsoft Corporation Cross-domain authentication
US7924709B2 (en) * 2004-05-12 2011-04-12 Hewlett-Packard Development Company, L.P. Access control of resources using tokens
US7562382B2 (en) * 2004-12-16 2009-07-14 International Business Machines Corporation Specializing support for a federation relationship
US20060153346A1 (en) * 2005-01-11 2006-07-13 Metro Enterprises, Inc. On-line authentication registration system
US8718258B2 (en) * 2005-01-24 2014-05-06 Sprint Communication Company L.P. System and method for jurisdictional routing
US7949114B2 (en) * 2005-03-15 2011-05-24 Avaya Inc. Granting privileges to a telecommunications terminal based on the relationship of a first signal to a second signal
US7336772B1 (en) * 2005-04-26 2008-02-26 Verizon Data Services Inc. Methods and systems for connecting a call using a name or series of characters
US7643624B2 (en) * 2005-05-03 2010-01-05 Vtech Telecommunications Limited Remote line access for a multi-line residential telephone
US7653188B2 (en) * 2005-07-20 2010-01-26 Avaya Inc. Telephony extension attack detection, recording, and intelligent prevention
US20070136603A1 (en) * 2005-10-21 2007-06-14 Sensis Corporation Method and apparatus for providing secure access control for protected information
US7437755B2 (en) * 2005-10-26 2008-10-14 Cisco Technology, Inc. Unified network and physical premises access control server
US7930736B2 (en) * 2006-01-13 2011-04-19 Google, Inc. Providing selective access to a web site
US8220032B2 (en) * 2008-01-29 2012-07-10 International Business Machines Corporation Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith
US8032932B2 (en) * 2008-08-22 2011-10-04 Citibank, N.A. Systems and methods for providing security token authentication
US8364970B2 (en) * 2009-02-18 2013-01-29 Nokia Corporation Method and apparatus for providing enhanced service authorization
US8438289B1 (en) * 2010-06-07 2013-05-07 Google Inc. Cross-domain communications with a shared worker application

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003079167A1 (en) * 2002-03-18 2003-09-25 Telenor Asa Single sign-on secure service access
JP2004133823A (ja) * 2002-10-15 2004-04-30 Nippon Telegr & Teleph Corp <Ntt> ネットワーク接続認証に基づくサービス提供システム
US20040260942A1 (en) * 2003-06-18 2004-12-23 Steve Jamieson System and method for unified sign-on

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSNG200400201006; 三好 潤ほか: 'IP-VPNにおけるネットワーク連動型シングルサインオン実現方式の検討' 電子情報通信学会技術研究報告 Vol. 101, No. 717, 200203, pp. 53-58 *
JPN6014032072; 三好 潤ほか: 'IP-VPNにおけるネットワーク連動型シングルサインオン実現方式の検討' 電子情報通信学会技術研究報告 Vol. 101, No. 717, 200203, pp. 53-58 *

Also Published As

Publication number Publication date
CN1941700A (zh) 2007-04-04
CN1941700B (zh) 2012-07-11
JP2007095076A (ja) 2007-04-12
US8775586B2 (en) 2014-07-08
US20070073880A1 (en) 2007-03-29
EP1770944A1 (en) 2007-04-04

Similar Documents

Publication Publication Date Title
JP2014096181A (ja) 電気通信システムにおいて特権を付与してリソースを共有する方法
US8819800B2 (en) Protecting user information
TWI400922B (zh) 在聯盟中主用者之認證
CN103460674B (zh) 用于供应/实现推送通知会话的方法和推送供应实体
EP2643955B1 (en) Methods for authorizing access to protected content
KR101093902B1 (ko) 사용자가 ip 망에 접속시 로컬 관리 도메인에서 사용자를 위한 접속 인증을 관리하는 방법 및 시스템
EP2592579B1 (en) Service providing system
KR101337044B1 (ko) 액세스 단말기 및 액세스 네트워크의 운영 방법
US8583794B2 (en) Apparatus, method, and computer program product for registering user address information
KR101177456B1 (ko) 서버를 통한 사용자 인증 방법 및 이를 이용한화상형성장치
US6785729B1 (en) System and method for authorizing a network user as entitled to access a computing node wherein authenticated certificate received from the user is mapped into the user identification and the user is presented with the opprtunity to logon to the computing node only after the verification is successful
US20130019297A1 (en) System and Method for Communicating with a Client Application
JP5239341B2 (ja) ゲートウェイ、中継方法及びプログラム
US9344417B2 (en) Authentication method and system
US20060206616A1 (en) Decentralized secure network login
JP2008539519A (ja) 不正インターネットアカウントアクセスの防止
EP2540051A1 (en) Method for managing access to protected resources and delegating authority in a computer network
WO2009129753A1 (zh) 提高网络身份认证安全性的方法和装置
US7656794B2 (en) Method and apparatus for authenticated quality of service reservation
US20160285843A1 (en) System and method for scoping a user identity assertion to collaborative devices
US20020165783A1 (en) Accounting in peer-to-peer data communication networks
WO2006038883A1 (en) User provisioning with multi-factor authentication
WO2011063658A1 (zh) 统一安全认证的方法和系统
JP2005327189A (ja) サーバ、認証交換システム及びリクエスト中継方法
JP2005217679A (ja) 通信相手の認証を行う認証サーバ

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140228

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20140425

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20140522

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140731

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20141031

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20141106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150129

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20150331