知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5710596
(24)【登録日】2015年3月13日
(45)【発行日】2015年4月30日
(54)【発明の名称】リアルタイム通信向けのユーザ・ベース認証
(51)【国際特許分類】
H04M 3/00 20060101AFI20150409BHJP
【FI】
H04M3/00 E
【請求項の数】12
【全頁数】22
(21)【出願番号】特願2012-508552(P2012-508552)
(86)(22)【出願日】2010年4月23日
(65)【公表番号】特表2012-525778(P2012-525778A)
(43)【公表日】2012年10月22日
(86)【国際出願番号】US2010032303
(87)【国際公開番号】WO2010126800
(87)【国際公開日】20101104
【審査請求日】2013年4月12日
(31)【優先権主張番号】12/432,773
(32)【優先日】2009年4月30日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】500046438
【氏名又は名称】マイクロソフト コーポレーション
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100091214
【弁理士】
【氏名又は名称】大貫 進介
(72)【発明者】
【氏名】アントン ダブリュ.クランツ
(72)【発明者】
【氏名】アメイ パランデカー
(72)【発明者】
【氏名】ワディム エイデルマン
(72)【発明者】
【氏名】サンカラン ナラヤナン
(72)【発明者】
【氏名】ナメンドラ クマール
(72)【発明者】
【氏名】サチン シェス
【審査官】
松元 伸次
(56)【参考文献】
【文献】
特開2009−077075(JP,A)
【文献】
特開2001−216400(JP,A)
【文献】
特開2008−172382(JP,A)
【文献】
特開2007−266799(JP,A)
【文献】
特開2008−228028(JP,A)
【文献】
特開2007−142621(JP,A)
【文献】
特開2009−043043(JP,A)
【文献】
特開2008−278085(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L12/00−12/26
12/50−12/955
H04M1/00
1/24−3/00
3/16−3/20
3/38−3/58
7/00−7/16
11/00−11/10
99/00
(57)【特許請求の範囲】
【請求項1】
電話番号を電話装置から受信し、該電話番号に基づきユーザ識別情報を検索する設定手段と、
数値のPINを前記電話装置から受信し、該数値のPINに基づき前記電話装置のユーザを認証する認証手段と
を備え、
前記認証手段において前記ユーザが認証されると、前記電話装置へ前記ユーザ識別情報とともに証明書が返され、前記電話装置は、前記ユーザ識別情報及び前記証明書を含む登録要求を電話インフラの通信サーバへ送信し、該通信サーバが前記登録要求の受信に応答して送信する認証メッセージを受信し、且つ前記通信サーバによりユーザ・サービス・コンポーネントに対して認証されることで、前記電話インフラに登録される、コンピュータ実装通信システム。
数値のPINを前記電話装置から受信し、該数値のPINに基づき前記電話装置のユーザを認証する認証手段と
を備え、
前記認証手段において前記ユーザが認証されると、前記電話装置へ前記ユーザ識別情報とともに証明書が返され、前記電話装置は、前記ユーザ識別情報及び前記証明書を含む登録要求を電話インフラの通信サーバへ送信し、該通信サーバが前記登録要求の受信に応答して送信する認証メッセージを受信し、且つ前記通信サーバによりユーザ・サービス・コンポーネントに対して認証されることで、前記電話インフラに登録される、コンピュータ実装通信システム。
【請求項2】
前記ユーザ識別情報は、前記設定手段によって前記電話装置に予め割り当てられ、
前記ユーザ識別情報は、SIP URI(session initiation protocol uniform resource identifier)を有する、請求項1に記載のシステム。
前記ユーザ識別情報は、SIP URI(session initiation protocol uniform resource identifier)を有する、請求項1に記載のシステム。
【請求項3】
前記電話インフラが、IP(internet protocol)電話の音声メッセージを処理するための企業メッセージング・サーバをさらに備える、請求項1又は2に記載のシステム。
【請求項4】
前記電話インフラのIPアドレスまたはドメイン名のうち少なくとも1つを前記電話装置に提供するための場所コンポーネントをさらに備える、請求項1乃至3のうちいずれか一項に記載のシステム。
【請求項5】
前記場所コンポーネントが、企業通信サーバのIPアドレスとFQDN(fully qualified domain name)を前記電話に返すための動的ホスト構成サーバをさらに備える、請求項4に記載のシステム。
【請求項6】
コンピュータが前記コンピュータに記憶されたコンピュータ実行可能命令を実行すると、前記コンピュータによって実行されるコンピュータ実装通信方法であって、
ユーザから電話装置の入力手段を介して電話番号及び数値のPINを受け取るステップと、
前記電話番号に基づきユーザ識別情報を検索するステップと、
前記数値のPINに基づき前記電話装置の前記ユーザを通信ネットワークに対して認証し、証明書を発行するステップと、
前記ユーザ識別情報とともに前記証明書を前記電話装置に返すステップと、
前記電話装置から前記ユーザ識別情報及び前記証明書を含む登録要求を前記通信ネットワークのレジストラで受けて、前記電話装置を前記通信ネットワークに登録するステップと、
を含み、
前記電話装置を前記通信ネットワークに登録するステップは、
前記電話装置からのSIPメッセージを前記レジストラのFQDNで受信するステップと、
前記レジストラにおいて、前記電話装置から前記ユーザ識別情報及び前記証明書を受信し、認証メッセージを送信するステップと、
前記レジストラにおいて、前記電話装置をユーザ・サービス・コンポーネントに対して認証するステップと
を含む、方法。
ユーザから電話装置の入力手段を介して電話番号及び数値のPINを受け取るステップと、
前記電話番号に基づきユーザ識別情報を検索するステップと、
前記数値のPINに基づき前記電話装置の前記ユーザを通信ネットワークに対して認証し、証明書を発行するステップと、
前記ユーザ識別情報とともに前記証明書を前記電話装置に返すステップと、
前記電話装置から前記ユーザ識別情報及び前記証明書を含む登録要求を前記通信ネットワークのレジストラで受けて、前記電話装置を前記通信ネットワークに登録するステップと、
を含み、
前記電話装置を前記通信ネットワークに登録するステップは、
前記電話装置からのSIPメッセージを前記レジストラのFQDNで受信するステップと、
前記レジストラにおいて、前記電話装置から前記ユーザ識別情報及び前記証明書を受信し、認証メッセージを送信するステップと、
前記レジストラにおいて、前記電話装置をユーザ・サービス・コンポーネントに対して認証するステップと
を含む、方法。
【請求項7】
前記電話装置から送信された前記証明書の公開鍵をデータベースに格納し、該格納後にOKメッセージを前記電話装置へ返すステップさらに含む、請求項6に記載の方法。
【請求項8】
前記ユーザ識別情報は、前記電話装置に予め割り当てられ、
前記ユーザ識別情報は、SIP URIを有する、請求項6又は7に記載の方法。
前記ユーザ識別情報は、SIP URIを有する、請求項6又は7に記載の方法。
【請求項9】
前記レジストラにおいて、前記電話装置からのメッセージの受信に応答して、前記証明書を発行する証明書設定ウェブ・サービスを発見するステップと、
前記証明書ウェブ・サービスのアドレスと、前記レジストラのFQDNとを前記レジストラから前記電話装置に送信するステップとをさらに含む、請求項6乃至8のうちいずれか一項に記載の方法。
前記証明書ウェブ・サービスのアドレスと、前記レジストラのFQDNとを前記レジストラから前記電話装置に送信するステップとをさらに含む、請求項6乃至8のうちいずれか一項に記載の方法。
【請求項10】
前記証明書ウェブ・サービスが該証明書ウェブ・サービスの前記アドレスに基づき前記電話装置と接続される場合に、前記証明書ウェブ・サービスから前記電話装置に証明書チェーンがダウンロードされるステップをさらに含む、請求項9に記載の方法。
【請求項11】
前記証明書を発行するステップは、前記証明書ウェブ・サービスにおいて、前記電話装置からの証明書署名要求に応答して、前記証明書を発行するステップを含む、請求項10に記載の方法。
【請求項12】
前記証明書は、秘密鍵により署名された証明書である、請求項6乃至11のうちいずれか一項に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、リアルタイム通信向けのユーザ・ベース認証に関する。
【背景技術】
【0002】
通信媒体が集中するにつれ、音声、ビデオ、インスタント・メッセージング、会議を含む多種多様な通信モードを単一のユーザアイデンティティで統一することができる。コンピュータ上で実行されている通信アプリケーションが、当該コンピュータにログオンするためにユーザが用いる、同一のアイデンティティを使用することができる。ユーザアイデンティティは、典型的に、ログイン・ユーザ名とパスワードの組合せであり、その各々が、典型的にコンピュータ・キーボードへ入力される英数字の文字列を含むことができる。
【0003】
IP(internet protocol)電話のような装置をコンピュータと同じネットワークに接続することもでき、したがって、当該装置は典型的に同一のユーザ名/パスワードの組合せをログイン用のユーザアイデンティティとして使用することができる。IP電話を最初に特定の場所に設定した(例えば、新たに職場に割り当てられた)とき、当該IP電話をネットワークに対して設定するために、ユーザアイデンティティがユーザによって直接入力される。しかし、IP電話はコンピュータ・キーボードを含んでおらず、例えば、12個の数字キーからなるキーパッドを含んでいるにすぎない。電話のキーパッドを用いてユーザ名とパスワードに対応する等価なテキスト・コードをユーザが入力することは、面倒であり間違いを起こしやすいプロセスでありうる。
【0004】
設定に対する他のアプローチも知られている。例えば、これは電話の物理的特徴であるが、IP電話装置のMAC(media access control)を用いて、ハードウェア固有の情報を使用することができる。装置のMACアドレスは、ネットワーク内の特定の電話回線に割り当てられる。しかし、これは容易に設定できるものではなく、典型的に、MACアドレスをユーザの内線電話に関連付けるために管理者または他の電話サポートが必要となる。これにより、特にユーザが頻繁にある物理的な場所から別の物理的な場所に移動するような企業では、ユーザが設定するコストが増大することとなる。さらに、このアプローチでは、IP電話装置自体がユーザアイデンティティを含まないため、装置のアイデンティティとユーザのアイデンティティを結び付けるために別個のデータベースが必要となり、さらに配備のコストが増大することとなる。
【発明の概要】
【0005】
以下で、本明細書で説明する幾つかの新規な実施形態の基本的な理解を与えるために、簡単な要約を提示する。本要約は包括的な概要ではなく、主要もしくは重要な要素を特定しようとするものでも、その範囲を画定しようとするものでもない。本要約の唯一の目的は、後で提示するより詳細な説明の前置きとして、幾つかの概念を簡潔な形で提示することにある。
【0006】
これを実現するため、管理者からの追加の電話サポートを必要とせずに、ユーザがIP電話を新たな場所で設定できるようにするためのアーキテクチャを開示する。ユーザには数値のユーザ識別子(例えば、完全な電話番号、内線番号、等)を割り当て、数値のPIN(personal identification number)を提供して、当該ユーザを通信システムにおいて識別する。ユーザ識別子とPINにはユーザアイデンティティが関連付けられているので、ユーザ識別子とPINが入力されると、システムはサーバが発行したユーザ名と証明書を検索する。電話は次に当該証明書を用いて引き続き認証を行い企業の通信サーバにログオンする。
【0007】
通信システムは、ユーザの内線番号とPINを入力するための電話の入力コンポーネントを含む。当該コンポーネントは、電話のキーパッドであることができる。通信システムは、ユーザ識別子とPINを当該電話から受け取る。電話は、当該内線番号とPINに基づいて電話インフラに設定される。当該設定には、電話を企業の通信サーバに登録すること、および、ユーザ識別子に基づいて電話に電話アドレスを送信することを含めることができる。電話は、PINに基づいて企業の通信サーバに対して認証される。
【0008】
あるいは、PINを使用して、サーバに対して認証するために使用できる他の証明書を登録することができる。このように、電話の設定にユーザアイデンティティを結び付けて、サービスのドメインの仕様を必要とすることなく電話サービスを自動的に発見することを可能にする。コンピュータにログオンするために用いる証明書を使用して、管理者が事前に構成することなく、ユーザを新たな場所で認証し、ユーザへのおよびユーザからの呼を経路づける。ユーザが数値のユーザ識別子とPINを入力すると、ネットワーク・サーバは関連付けられたユーザを動的に検索し、当該ユーザが用いる電話を決定し、ユーザアイデンティティを電話に返す。次いで、電話が内線番号とPINに基づいてユーザを認証するか、または、ユーザアイデンティティを用いてユーザの代わりに証明書を登録する。そうすると、当該ユーザは、例えば新たなユーザが当該電話を同じ場所で設定するか、または、複数の電話を別の場所に設定するまで、当該電話をその場所で使用することができる。
【0009】
さらに別の実施形態では、過去に検証され署名された証明書を電話に提供することができ、当該電話を、初期接続設定プロセス後の全ての接続に対する電話認証に使用することができる。
【0010】
以上の目的および関連する目的を実現するために、本明細書では、特定の例示的な態様を後の説明と添付図面に関連して説明する。これらの態様は、本明細書で開示した原理を実施できる様々な方法を示すものであり、その全ての態様と均等物が「特許請求の範囲」の主題の範囲内にあることを意図している。他の利点と新規な特徴は、図面と関連して検討すると、後の発明を実施するための形態から明らかになろう。
【図面の簡単な説明】
【0011】
【図1】通信を実施するためのコンピュータ実装システムを示す図である。
【図2】リアルタイム通信を実施するための登録および認証を含むシステムを示す図である。
【図3】リアルタイム通信におけるユーザ・ベース認証を実施するための、システムにおいて使用できる追加のコンポーネントを示す図である。
【図4】ユーザ・ベース認証を実施するためのシステムの代替的な実施形態を示す図である。
【図5】ユーザ・ベース認証を実施するためのシステムのさらなるエンティティを示す図である。
【図6】ユーザ・ベース認証を実施するためのシステムの実装を示す図である。
【図7】ユーザ・ベース認証を実施するためのシステムの、データおよびメッセージの流れ図を示す図である。
【図8】ユーザ・ベース認証を実施するためのシステムの実装の、データおよびメッセージの流れ図を示す図である。
【図9】リアルタイム通信におけるユーザ・ベース認証方法を示す図である。
【図10】ユーザ・ベース認証方法のさらなる態様を示す図である。
【図11】ユーザ・ベース認証方法の追加の態様を示す図である。
【図12】証明書を用いた通信方法を示す図である。
【図15】開示したアーキテクチャに従ってリアルタイム通信におけるユーザ・ベース認証を提供するように動作可能な、コンピューティング・システムのブロック図を示す図である。
【図16】ユーザ・ベース認証を提供するように動作可能な例示的コンピューティング環境を示す図である。
【発明を実施するための形態】
【0012】
開示した通信アーキテクチャは、ネットワーク管理に関して事前に構成することなく、ユーザが新たなまたは既存の場所に電話を設定することを可能にする。数値のユーザ識別子(例えば、電話番号または内線番号)およびPIN(personal identification number)が電話キーパッドを介して入力される。企業通信サーバの場所情報が内線番号に基づいて電話に提供される。場所情報には、FQDN(fully qualified domain name)とIPアドレスを含めることができる。DHCPを介して場所情報を自動的に提供できるので、ユーザが番号やPINを入力する必要はない。電話は場所情報を使用してメッセージを企業通信サーバに送信する。
【0013】
電話を、数値のユーザ識別子に基づいて企業通信サーバに登録する。あるいは、サーバがPINを使用してユーザアイデンティティを取り出すことができる。サーバがユーザアイデンティティを取り出した後、電話が当該ユーザアイデンティティを使用して、当該通信サーバによって検証できる証明書を登録する。電話のほかにも、前述のアプローチをビデオ端末、電子ホワイトボード、部屋ベースの会議システム、等に拡張することができる。電話アドレス(例えば、ユーザのSIP URI、Tel URI)が電話に返される。電話はPINに基づいて認証される。認証後、リアルタイムな電話通信を当該場所から送受信することができる。
【0014】
企業通信サーバはIPサーバとすることができ、電話アドレスは、SIPメッセージを企業通信サーバに送信するためのSIP(session initiation protocol) URI(uniform resource identifier)(例えば、nobody@nowhere−domain.com)であることができる。電話アドレスはまた、電話URI(例えば、111−222−333@nowhere−domain.com)とすることもできる。数値のユーザ識別子はユーザの個人電話番号または内線番号およびユーザのネットワークアイデンティティのプロパティとすることができる。PINを、例えば、ネットワーク管理者または他のエンティティによって、ユーザに予め割り当てることができる。
【0015】
企業通信サーバのIPアドレスとDNS(domain name system)レコードを電話に返すためのDHCP(dynamic host configuration protocol)サーバが提供される。DHCPサーバを、企業通信サーバの場所を返すように構成する必要はない。当該企業通信サーバが、DHCPサーバの特定の機能を実施することができ、その場所(FQDNとIPアドレス)をDHCPレスポンスで返すことができる。電話アドレスをPINで参照するために、認証を企業通信サーバによって実施することができる。
【0016】
以下、図面を参照する。図面全体にわたり、同一の参照番号を使用して同一の要素を参照する。以下の説明では、説明の目的のため、多数の具体的な詳細を説明してその徹底的な理解を与える。しかし、当該新規な実施形態をこれらの具体的な詳細なしに実施できることは明らかであろう。他の事例では、公知な構造と装置をブロック図の形で示してその説明を容易にしている。これは、「特許請求の範囲」の主題の趣旨と範囲に入る全ての修正、均等物、および代替物を網羅しようとするものである。
【0017】
図1は、開示されたアーキテクチャに従ってリアルタイム通信向けのユーザ・ベース認証を実施するためのコンピュータ実装システム100を示す。電話104の入力コンポーネント102を使用して識別コード106を入力する。入力コンポーネント102は、0から9の数字だけでなく、例えば*、#等の他の文字及び記号に対応するキーならびに当該キーに対して複数の機能を有する、複数桁(例えば、3×4)の電話数値キーパッドとすることができるが、これに限らない。開示した実施形態から逸脱しない任意の適切なキーパッドまたは英数字入力システムを使用できることは理解されよう。内線番号および/またはPINが識別コードとすることができ、当該内線番号は、ユーザを呼び出せる、企業組織内のユーザの内線番号である。PINは、ネットワーク管理構成中にユーザに最初に割り当てた数値文字列とすることができる。セキュリティのため、PINをユーザによって変更することもできる。
【0018】
システム100はまた、識別コード106を受け取って電話104を識別コード106に基づいて電話インフラ110に設定するための、設定コンポーネント108を含む。設定コンポーネント108は識別コード106に基づいてユーザアイデンティティにアクセスし、登録と認証を自動的に行って、ユーザの内線番号を企業内の特定の電話(有線または無線)に割り当てることを可能にする。このように、設定コンポーネント108は、ユーザは電話104を設定することを可能にし、それにより、ネットワーク管理の介入を受けることなく電話インフラ110を通じて通信することができる。
【0019】
図2は、リアルタイム通信を実施するための登録および認証を含むシテテム200を示す。設定コンポーネント108がSIP URI202を電話104に割り当てる。電話インフラ110には、SIP URI202と識別コード106に基づいてアクセスする。認証コンポーネント204が、識別コード106に基づいて電話104を電話インフラ110に対して認証する。
【0020】
図3は、リアルタイム通信におけるユーザ・ベース認証を実施するためのシステム100において使用できる追加のコンポーネント300を示す。電話インフラ110は、IP電話メッセージ304を処理するための企業通信サーバ302を含むことができる。場所コンポーネント306が、企業通信サーバ302のドメイン名またはIPアドレス308を電話104に提供する。
【0021】
図4は、ユーザ・ベース認証を実施するためのシステム400の代替的な実施形態を示す。入力コンポーネント102を使用して、数値のユーザ識別子402(例えば、電話番号または内線番号)とPIN404を、電話104を介して入力し、受け取る。入力コンポーネント102は、例えば、複数ボタンを有する、電話104のキーパッドであることができるが、任意の適切な入力インタフェースを使用することもできることは理解されよう。ユーザ識別子402はユーザの個人電話の内線番号であることができ、企業電話インフラ内で使用されるユーザのネットワークアイデンティティのプロパティである。ユーザ識別子402を使用して、ユーザが到達できる電話インフラ内の場所を定義することもできる。
【0022】
図4に示すように、PIN404はユーザに関連付けられた個別の数値コードであり、当該数値コードをユーザに予め割り当てることができる。PIN404を、ユーザまたは管理者によって変更して、例えば、セキュリティを強化し、および/または、ユーザが覚えるのにより適した別の番号を選択することを可能にすることができる。システム400はユーザ識別子402とPIN404をユーザのネットワークアイデンティティと関連付ける。ユーザのネットワークアイデンティティは、ログインし、ネットワーク全体にわたってユーザを特定するために使用されるユーザ名と証明書の組合とすることができる。
【0023】
図4に示すように、場所コンポーネント306は、企業通信サーバ302の場所情報をユーザのネットワーク(例えば、サブネット)に基づいて電話104に提供する。このように、電話104は企業通信サーバ302のアドレスを取得して、以降の電話104からの音声通信を方向付ける。
【0024】
設定コンポーネント108は電話アドレスを電話104に返し、それにより、電話104の現在の物理的な位置に対するネットワーク電話リンクを、内線番号402によって指定されるユーザの特定の電話番号に関連付けることができる。
【0025】
図4でさらに示すように、認証コンポーネント204が電話104をPIN404に基づいて認証する。認証コンポーネント204は、PIN404を、PIN404に関連付けられたユーザ名とパスワードのアイデンティティの証明書に対して検索する。認証コンポーネント204はPIN404を使用して、電話104を特定の内線番号402で使用しているユーザが、実際に、内線番号402に割り当てられた正しいユーザであるかを検証する。認証されると、ユーザは内線番号402の電話104で電話メッセージを送受信することができる。代替的な実施形態では、企業通信サーバ302がユーザの代わりに証明書を要求して、当該証明書を返すことができる。
【0026】
図4でさらに示すように、証明書を企業通信サーバ302から電話104に送信するための証明書サービス406が提供される。当該証明書は以降の認証に用いられる。企業通信サーバ302は、電話アドレス(例えば、SIP URIまたは電話URI)とともに電話に送信し戻すための証明書を生成する。証明書は、数値の内線番号402とPIN404を用いて認証した後に電話104に発行され、以降の認証にて当該証明書が用いられる。
【0027】
前述のように、電話104を立ち上げ時の一回だけ設定することができる。設定を、ユーザのPINの有効期限が切れるか、または、ログイン情報が何らかの方法で変更された場合に、更新することができる。このように、システム400は、電話104を起動してインフラに接続することを可能にする。
【0028】
図5は、ユーザ・ベース認証を実施するためのシステムのさらなるエンティティ500を示す。企業通信サーバ302はIP電話向けのIPサーバ502とすることができる。このように、電話104は企業内ネットワークで用いられるIP電話のネットワークの一部であることができる。電話アドレスは、IPメッセージをIPサーバ502に送信するためのSIP URI504を含むことができる。前述した場所コンポーネント306は、IPサーバ502のIPアドレス508とFQDN510を電話104に返すためのDHCP(dynamic host configuration protocol)サーバ506を含むことができる。
【0029】
図5に示すように、認証の機能を企業通信サーバ302によって提供して、ユーザのPINに基づいてユーザを認証し、認証メッセージをIPサーバ502に戻すことができる。図4のシステム400は、ユーザが電話104を企業ネットワーク内で設定することを可能にする。このように、企業ネットワーク内のIPサーバ502が自動的にドメインを認識できるので、電話104を通じてドメインにアクセスする必要はない。
【0030】
図6は、ユーザ・ベース認証を実施するためのシステム600の汎用的な実装形態を示す。システム600は、ユーザまたは管理者がユーザのPINを電話に入力して、電話をユーザアイデンティティで設定することを可能にする。システム600は、企業通信サーバ302に接続されたIP電話602を用いてPIN認証することを可能にする。企業通信サーバ302はIPサーバとすることができる。
【0031】
図6に示すように、IP電話602は数値キーパッドを備えることができる。電話602を設定するために、ユーザは関連する内線番号と企業PINを当該キーパッドを介して入力する。当該PINは管理者によって提供され、ユーザによって変更することができる。当該PINは任意の適切な個人コード、例えば、ネットワーク上の複数のメッセージング・サービスにアクセスするための統合メッセージングPIN(unified messaging PIN)とすることができる。内線番号はユーザアイデンティティのプロパティである。
【0032】
内線番号とPINを入力すると、電話602はIPアドレスをDHCPサーバ506に要求する。DHCPサーバ506は電話602に、企業通信サーバ302の場所を与えるIPアドレスとDNSレコードとを返す。場所情報を受け取ると、IP電話602は登録要求を、ユーザの内線番号とPINを含むhttp://要求の形で企業通信サーバ302に送信する。
【0033】
企業通信サーバ302は内線番号に基づいてユーザのアイデンティティ604(例えば、SIP URIまたは電話URI)にアクセスする。企業通信サーバ302は、企業通信サーバ302に対するユーザ認証要求内のアイデンティティ604を送信する。企業通信サーバ302はユーザのPINに基づいてユーザを認証し、アイデンティティ604を電話に送信し、さらに、証明書606を返す。企業通信サーバ302は、応答をSIP URIとともにIP電話602に返す。アイデンティティ604(例えば、SIP URIまたは電話URI)を取得した後、電話602は、アイデンティティ604と証明書606を含むSIP登録要求を企業通信サーバ302に送信する。システム600はさらに、IP電話の音声メッセージを処理するためのメッセージング・サーバ608を含む。
【0034】
図7は、ユーザ・ベース認証を実施するためのシステムのデータおよびメッセージの流れ図700を示す。シーケンス図700は、PINベースの認証を用いて設定と認証がどのように実現されるかを示す。シーケンス図700は、IP電話702、企業サーバ704、DHCPサーバ706、認証サーバ708の間の通信を示す。710で、電話702は、通信ネットワークに接続すると、IPアドレスをDHCPサーバ706に要求する。712で、DHCPサーバ706が、ユーザがドメイン名をDNSディスカバリに提供する必要がないように、企業サーバ704の場所をIP電話702に返す。あるいは、当該場所を企業サーバ704自体が返すことができる。
【0035】
714で、ユーザが、関連する内線番号とPINをIP電話702を介して入力する。この組合せは企業サーバ704に対してユーザを一意に特定するものである。716で、設定シーケンスの一部としてhttp://メッセージに含まれる内線番号とPINを企業サーバ704に送信する。718で、企業サーバ704が内線番号を使用してユーザのSIP URIを取り出す。これを、企業サーバ704上のローカル・データベース内のユーザの内線番号にアクセスするか、または、認証サーバ708に要求を送信することによって、実現することができる。
【0036】
720で、企業サーバ704はユーザの認証を認証サーバ708に要求する。認証サーバ708は、722で、PINを用いてユーザを認証する。724で、企業サーバ704はSIP URIを設定応答の一部としてIP電話702に返す。726で、IP電話702はSIPレジスタを企業サーバ704に送信する。企業サーバ704は証明書を用いてユーザを認証する。728で、企業サーバ704は帯域内設定をIP電話702に送信する。次いで、730で、IP電話702は、SIPメッセージをDHCPサーバ706に送信するときにSIP URIを使用する。
【0037】
上述した態様に加えて、任意の回線拡張(arbitrary line extension)を用いてネットワーク・ドメインを取り出すのではなく、システムを拡張して完全な電話番号を含めることができる。国番号、市外局番、市内局番、特定の内線番号を含む、完全な電話番号を入力することによってユーザが電話を設定することができるように、外部IP電話ネットワークを構成することができる。この情報をPINとともに入力してユーザをネットワークに対して特定することができる。当該ネットワークは、当該番号に関連付けられた正式ドメインを取り出すことができる。このように、ユーザはIP電話を購入して、それを取り付け、番号を入力し、当該電話をユーザの家に配線する電話技術者またはケーブル技術者を必要とすることなく設定することができる。
【0038】
上述した態様に加えて、ユーザ実行型の設定を携帯電話にまで拡張することもできる。GSM(global system for mobile communications)で動作する携帯電話に対して、ネットワーク管理者が、ユーザ実行型の設定を可能とするために携帯電話に挿入できる事前設定型のSIM(subscriber identity module)カードをユーザに提供する。CDMA(code division multiple access)システムで動作する携帯電話に対しては、携帯電話に最初に電源を入れたときにネットワークがユーザに指示を促す。ユーザは携帯電話番号とPINを入力して携帯電話を設定することができる。
【0039】
上述したように、DHCPサーバは利用できる多数の構成可能オプションを提供する。DHCPサーバは、DHCPサーバに接続される任意の端末にFQDNを返す「オプション120」を含む。本明細書では、オプション120はドメインを電話に送信するために用いられる。電話は次いでSRV(サービス)クエリを用いてサーバを発見する。例えば、「nobody.com」のようなFQDNに対して、DHCPサーバは、当該FQDNに対するサブスクライバのIPアドレスを自動的に発見することができる。FQDNを取り出すと、登録中に情報が電話によって企業サーバに送信される。
【0040】
図8は、ユーザ・ベース認証を実施するためのシステムの、データおよびメッセージの流れ図800を示す。流れ図800は、IP電話802、DHCPサーバ/レジストラ804(レジストラは企業通信サーバの一部である)、証明書設定ウェブ・サービス806、およびユーザ・サービス・コンポーネント808の間の通信を示す。IP電話802を内部ネットワーク上で「起動」することができる。ユーザには、企業のルート証明書またはチェーンを有さない「クリーンな」電話802が提供される。電話802はユーザのSIP URIを有さない。しかし、電話802はオペレーティング・システムに含まれる1組の公的な証明書認証局のルート証明書を含む。810で、ユーザが内線番号または電話番号およびPINを電話802に入力する。812で、電話802は、DHCPサーバ/レジストラ804(例えば、DHCPオプション43および120)へのメッセージを介してネットワーク証明書設定ウェブ・サービス806を発見する。DHCPサーバ/レジストラ804は、DHCPクエリに応答する企業通信サーバであることができる。814で、レジストラ804は、オプション120にSIPレジストラのFQDNで応答し、オプション43に証明書設定ウェブ・サービス806のURLで応答する。
【0041】
悪意のあるユーザがDHCPサーバ/レジストラ804になりすまし、当該ユーザを不正サーバに向けさせることに関する脅威を緩和するために、816で、電話802はユーザに証明書設定ウェブ・サービス806とネットワーク・レジストラ804のサフィックスを確認するよう促すことができる。818で、電話802はDHCPオプション43を通じて取得した証明書ウェブ・サービスのURLに接続する。820で、証明書チェーンが証明書設定ウェブ・サービス806からダウンロードされる。822で、電話802はセキュアなサーバを通し証明書設定ウェブ・サービス806に接続し、ユーザは内線番号または電話番号およびPINを証明書設定ウェブ・サービス806に送信する。824で、ウェブ・サービス806はユーザのSIP URIを検索し、PINを検証し、SIP URIを電話802に設定する。
【0042】
826で、電話802はウェブ・サービスに送信するための証明書署名要求を生成する。828で、ウェブ・サービスは適切な有効期限、SN/SAN(サブジェクト名/サブジェクト代替名)、等をスタンプし、(ウェブ・サービスの秘密鍵で署名した)ネットワーク署名済み証明書を発行する。830で、電話802はネットワーク署名済み証明書内の公開鍵をウェブ・サービスに送信する。832で、公開鍵がユーザ・サービス・データベースに格納される。ユーザ・サービスは企業通信サーバのバックエンドのデータベースである。834で、OKメッセージが電話802に返される。これで設定プロセスが完了する。
【0043】
ユーザのSIP URIとネットワーク署名済み証明書が電話に提供されると、以下で示す後続のステップのみが、引き続きログオンしてレジストラ804およびウェブ・サービス806へアクセスするために繰り返される。836で、電話802はTLS(transport layer security)上でSIPメッセージをレジストラのFQDNに送信する。838で、電話802のSIP URIと証明書をレジストラ804に送信する。840で、レジストラ804は認証メッセージを電話802に送信する。842で、レジストラ804が電話802をユーザ・サービス・コンポーネント808に対して認証する。844で、電話802がSIP URIを証明書および認証パラメータに登録する。846で、電話802がOKメッセージを受け取り、その後、ユーザはSIPチャネル上で利用できる機能全てを使用することができる。
【0044】
電話の設定が完了した後、他のウェブ・サービスに対して認証し、企業メッセージング・サーバが提供する呼出しログや音声メール・リストのような機能を取得するために、ユーザは電話をユーザのコンピュータに拘束し、ユーザの証明書を電話に設定することができる。上述のプロセスを、例えば、ユーザではなくMAC(移動、追加、変更)技術者によって実施することができる。この事例では、ユーザ証明書の展開はない。
【0045】
以下のセクションでは、本明細書で開示した実施形態を実装するためのシナリオを説明する。最初のシナリオは、エンド・ユーザによる企業内の卓上電話の設定とログオンである。典型的な新入社員は、電話を用いて、認証証明書を用いて企業ネットワークにサイン・オンせずにヘルプデスクのような電話番号に電話をかける。例えば、ユーザが企業の証明書でログインできず、ヘルプデスクに電話をかけようとする場合、電話を容易に設定して使用することができる。ユーザは企業ネットワークに対して認証することができないため、ユーザはPINを設定またはリセットするためのPIN管理ポータルにアクセスできない。
【0046】
管理者はデータベースの要素またはディレクトリを、ユーザ名、内線/電話番号、およびSIP URIで設定する。管理者はまた、ユーザのメールボックスとネットワーク・アカウントを設定し、PINを指定し、または、PINを「自動生成」に設定する。ユーザは、職場に着き、卓上電話と、電話の設定方法に関する指示書を見る。ユーザには、内線/電話番号とPINに関する書類を渡すこともできる。電話を起動した後、ユーザは電話のキーパッドを用いて内線/電話番号とPINを入力する。電話番号は、回線URI(line URI)(例えば、米国のユーザに対しては1−ZZZ−XXX−YYYY、インドでは91−40−XXX−YYYY)で公開されている完全なE.164電話番号とすることができる。内線番号は、回線URIで公開されているユーザの内線番号である。
【0047】
内線/電話番号とPINを入力すると、電話はネットワークを発見し、当該ネットワークが内線/電話番号とPINを用いてユーザを検証する。ネットワークはSIP URI(例えば、user@nowhere−domain.com)を電話に提供し、ユーザを特定するネットワーク署名付き証明書(例えば、SN=user@nowhere−domain.com)を電話に提供する。ネットワーク署名付き証明書はネットワーク・レジストラとウェブ・サービスを認証するために用いられる。ユーザは装置のPINを作成するように促される。ユーザは同一のPINを使用するか、または、異なるPINを作成することができ、これらは電話のロックを解除するために用いられる。
【0048】
上述したように、ユーザはこの時点で電話を使用して企業またはPSTN(public−switched Telephone network)内の任意のユーザに発信し、当該任意のユーザから呼を受信することができる。ユーザはSIP URI、ドメイン、およびパスワードを電話に入力する必要はない。
【0049】
第2のシナリオは、技術者による企業内の卓上電話の設定とログオンに関する。金融サービスや政府のような特定の業界では、電話は「移動、追加、変更」(Move−ads−changes)技術者によって既に配備され、エンド・ユーザが到着する前に動作可能となっている。例えば、新たなトレーダーが金融サービス会社のトレーディング業務デスクに到着すると、動作可能な電話が期待されている。
【0050】
新入社員に対しては、管理者が、従業員名、電話番号、およびSIP URIを有するディレクトリを設定する。管理者はまた、当該ユーザのメールボックスとネットワーク・アカウントを設定し、PINを「自動生成」にセットすることができ、PINを初回ユーザ・ログオンの際に変更しなければならないと規定することができる。技術者がユーザの作業デスクに到着すると、当該ユーザの電話番号とPINが管理者によって既に提供されており、当該技術者は電話を起動し、電話のキーパッドを用いて内線/電話番号とPINを入力する。電話はネットワークを発見し、次いで当該ネットワークが内線/電話番号とPINを検証する。当該ネットワークはユーザのSIP URI(例えば、user@nowhere−domain.com)を電話に設定し、ユーザを識別する署名付き証明書(例えば、SN=user@nowhere−domain.com)を電話に設定する。署名付き証明書は、ネットワーク・レジストラとウェブ・サービスに対して認証するために用いられる。ユーザはこの時点で電話を使用して他のユーザに発信し、他のユーザから呼を受信することができる。
【0051】
第3のシナリオは、遠隔地から卓上電話にログオンすることに関する。ユーザが、ホーム・オフィスで作業するモバイル・ユーザであるとする。ユーザの電話を初めて設定するために、電話を企業内ネットワークに物理的に接続する。ユーザは企業の支部または本部を訪れて、電話を初めて設定することができる。電話の設定は以上のように行う。ユーザがホーム・オフィスに戻ると、SIP URIと署名付き証明書(および/またはユーザ証明書)が既に電話に提供されている。クライアントはDNS SRV(サービス・レコード)を用いてネットワーク・サーバ(例えば、エッジ・サーバ)を発見して、当該エッジ・サーバに接続する。ユーザは署名付き証明書(またはユーザ証明書)を用いてネットワークに対して認証し、この時点で電話の全ての機能を使用することができる。
【0052】
第4のシナリオは、コンピュータと組み合わせた卓上電話の設定に関する。ユーザが、ホーム・オフィスから作業するモバイル・ユーザであるとする。電話を初めて設定するために、ユーザは電話を、ネットワーク・ソフトウェアを実行する関連するコンピュータに(無線でまたは有線で)接続する。電話は署名付き証明書(またはユーザ証明書)を要求し、当該要求に対してセキュリティ認証プロトコル(例えば、Kerberos/NTLM−NTLANマネージャ)証明書を使用する。ネットワークは、署名付き証明書を電話(またはユーザ証明書)に提供する。ネットワークはまた、SIP URIを電話に設定する。ユーザは署名付き証明書(またはユーザ証明書)を用いてネットワークに対して認証し、この時点で電話の全ての機能を使用することができる。
【0053】
第5のシナリオは、訪問ユーザ(visiting user)に対して専用の職場またはデスクを備えない企業の場面で、訪問ユーザが使用できる「ホット・デスク」電話またはキュービクル卓上電話(cubicle desk phone)に関する。例えば、ユーザは、ドッキング・ステーションや電話のような、利用可能なインフラを使用することができる。このシナリオは、例えば、コンサルタントが移動していて、リモート・オフィスから作業するが、ホーム・オフィスにはあまり立ち寄らないような、コンサルティング業界において一般的である。
【0054】
例えば、移動する従業者が立ち寄ってローカルのインフラを使用できるように限定数の職場を有する、ロンドンの支店を考える。モバイル・ユーザはログオン・ボタンを押下し、内線/電話番号とPINを入力する。電話はネットワークを発見し、当該ネットワークが内線/電話番号とPINを検証する。当該ネットワークはユーザのSIP URIを電話に設定し、ユーザを識別する署名付き証明書(例えば、SN=user@nowhere−domain.com)を電話に設定する。署名付き証明書は、ネットワーク・レジストラとウェブ・サービスに対して認証するために用いられる。ユーザはこの時点でSIPアイデンティティを使用して企業またはローカルPSTN内の任意のユーザに発信し、当該任意のユーザから呼を受信するのに電話を使用することができる。モバイル・ユーザがその場所を去ると、ユーザは電話を用いてログアウトすることができ、または、電話を、所定の時間(例えば、数分)後に自動的にログオフするように構成することができる。別のモバイル・ユーザはこの時点でロンドンの職場を訪問して、規定の手続きに従って通信インフラを利用することができる。
【0055】
第6のシナリオは、共通エリアの電話の設定とログオンに関する。共通エリアの電話は典型的に、ロビー、受付、会議室、廊下、等のような共通エリアに配備しうる低性能な装置である。管理者は、共通エリアの電話のアイデンティティを通信データベース内に生成する。管理者は共通エリアの電話番号に対してPINまたは「自動設定」を設定する。共通エリアのPINを定義して、ユーザのPINとは異なる有効期限ポリシーを有することができる。例えば、管理者は共通エリアの電話のPINを「永久」と設定することができる。
【0056】
次いで技術者が共通エリアを訪問し、電話を接続し、内線/電話番号とPINを共通エリアの電話に入力することができる。電話はネットワークを発見し、当該ネットワークが内線/電話番号とPINを検証する。ネットワークは次いで(電話番号によって特定されるリソースを記述する)Tel URIを電話に設定し、Tel URI(例えば、SN=4257070030@nowhere−domain.com)を特定する署名付き証明書を電話に設定する。署名付き証明書は、ネットワーク・レジストラとウェブ・サービスに対して認証するために用いられる。共通エリアの電話はこの時点で動作可能であり、(電話のアイデンティティ、すなわち、Tel URIを用いて)発信し、呼を受信することができる。共通エリアのモードでは、電話はユーザ固有のデータは一切もたない。
【0057】
本明細書では、開示されたアーキテクチャの新規な態様を実施するための例示的な方法を代表する1組のフロー・チャートを説明する。説明の簡単さのため、本明細書で例えばフロー・チャートまたは流れ図の形で示した1またはそれより多くの方法を一連の動作として図示し説明してあるが、一部の動作を、当該方法に従って、本明細書で図示および説明したものと異なる順序で、および/または他の動作と同時に実施できるので、当該方法が動作の順序によって限定されないことは理解されよう。例えば、方法を状態図のような一連の相互に関連する状態または事象として代替的に表現できることは当業者に理解されよう。さらに、方法において示した全ての動作が新規な実装形態に必要でなくともよい。
【0058】
図9は、リアルタイム通信におけるユーザ・ベース認証の方法を示す。900で、数値の内線番号とPINを電話から受け取る。内線番号は、ユーザが到達可能な電話内線番号であることができる。PINは、ユーザが変更できる、管理上割り当てた個人のコードであることができる。ユーザは内線番号とPINを電話の数値のキーパッドに入力することができる。902で、数値の内線番号に基づいて電話を企業通信サーバに対して認証する。904で、電話アドレスを電話に送信する。906で、電話を電話アドレス(例えば、SIP URIまたは電話URIと、証明書)に基づいて企業通信サーバに登録する。
【0059】
図10は、ユーザ・ベース認証の方法における別の態様を示す。1000で、企業通信サーバのIPアドレスとFQDNを電話に要求する。1002で、SIP URIを企業通信サーバから電話に返す。1004で、HTTPメッセージを電話から企業通信サーバに送信する。1006で、電話アドレスはSIP URIまたは電話URIのいずれかである。
【0060】
図11は、ユーザ・ベース認証の方法における別の態様を示す。1100で、要求を企業通信サーバに送信することにより、数値の内線番号を使用して電話アドレスを取り出す。1102で、電話アドレスを通信サーバから直接、または、企業通信サーバと通信する企業ディレクトリ・サーバから参照して、電話を認証する。1104で、個人の電話内線番号を数値の内線番号として提供する。個人の電話内線番号はユーザのネットワークアイデンティティのプロパティである。1106で、PINを(例えば、ネットワーク管理の一部として)事前に割り当てる。
【0061】
図12は、証明書を用いた通信方法を示す。1200で、ユーザの電話を、ユーザ識別子とPINを用いて通信ネットワークに対して認証する。1202で、ユーザ識別子とPINに基づいて証明書を電話に発行する。1204で、当該証明書を用いて電話をネットワークに登録する。
【0062】
図13は、証明書を用いた図12の通信方法の別の態様を示す。1300で、ユーザ識別子とPINに基づいてユーザを解決する。1302で、ユーザのSIP URIをユーザ識別子とPINに基づいて電話に送信する。1304で、証明書ウェブ・サービスのアドレスとレジストラのFQDNを電話に送信する。1306で、電話を用いて証明書設定ウェブ・サービスを発見し、当該ウェブ・サービスに接続して証明書チェーンをダウンロードする。1308で、証明書署名要求を作成し電話からウェブ・サービスに送信する。
【0063】
図14は、証明書を用いた図12の通信方法の別の態様を示す。1400で、通信サーバが証明書を署名する。1402で、初期登録後、以降の全ての登録に対して、レジストラのFQDNを含む転送セキュリティ・メッセージを送信する。1404で、証明書を認証する。1406で、証明書と証明書パラメータに基づいて電話を認証する。
【0064】
本出願で用いる際、「コンポーネント」や「システム」という用語は、コンピュータ関連のエンティティ、すなわち、ハードウェア、ハードウェアとソフトウェアの組合せ、ソフトウェア、実行中のソフトウェアのいずれかを表すことを意図する。例えば、コンポーネントは、プロセッサ上で実行されるプロセス、プロセッサ、ハード・ディスク・ドライブ、(光記憶媒体および/または磁気記憶媒体からなる)マルチ記憶ドライブ、オブジェクト、実行可能ファイル、実行スレッド、プログラム、および/またはコンピュータとすることができるがこれらに限定されない。例として、サーバ上で実行されているアプリケーションとサーバは両方ともコンポーネントとすることができる。1つまたは複数のコンポーネントがプロセスおよび/または実行スレッド内に存在することができ、コンポーネントを1つのコンピュータ上に局在化させ、および/または、2またはそれ以上のコンポーネントの間で分散させることができる。「例示的」という言葉を、本明細書では、例、事例、または実例の提供を意味するものとして使用することができる。「例示的」として本明細書で説明したどの態様または設計も、必ずしも他の態様または設計に対して好適または有利であるとは解釈されない。
【0065】
図15を参照すると、開示したアーキテクチャに従ってユーザ・ベース認証をリアルタイム通信に提供するように動作可能なコンピューティング・システム1500のブロック図が示されている。その様々な態様に追加のコンテキストを与えるため、図15とそれに続く議論は、様々な態様を実装できる適切なコンピューティング・システム1500の簡潔で一般的な説明を提供することを意図する。上の説明は、1またはそれより多くのコンピュータ上で実行できるコンピュータ実行可能命令の一般的なコンテキストでなされているが、新規な実施形態を他のプログラム・モジュールと組み合わせて、および/または、ハードウェアとソフトウェアの組合せとして実装することもできることは当業者には理解されよう。
【0066】
様々な態様を実装するためのコンピューティング・システム1500は、演算装置1504、システム・メモリ1506、およびシステム・バス1508を有するコンピュータ1502を備える。演算装置1504は、単一プロセッサ、マルチ・プロセッサ、シングル・コア・ユニットおよびマルチ・コア・ユニットのような様々な市販のプロセッサのうちいずれのものであってもよい。さらに、本発明の新規な方法を、ミニコンピュータ、メインフレーム・コンピュータ、ならびにパーソナル・コンピュータ(例えば、デスクトップ、ラップトップ、等)、ハンドヘルド・コンピューティング装置、マイクロプロセッサ・ベースのまたはプログラム可能な消費家電、等を含む他のコンピュータ・システム構成で実施でき、その各々を1つまたは複数の関連する装置に動作可能に接続できることは当業者には理解されよう。
【0067】
システム・メモリ1506には、揮発性(VOL)メモリ1510(例えば、RAM(random access memory))と不揮発性メモリ(NON−VOL)1512(例えば、ROM、EPROM、EEPROM、等)を含めることができる。BIOS(basic input/output system)を不揮発性メモリ1512に格納することができ、BIOSは、例えば起動中にコンピュータ1502内のコンポーネントの間でのデータと信号の通信を容易にする基本ルーチンを含む。揮発性メモリ1510はまた、データをキャッシュするための静的RAMのような高速RAMを備えることができる。
【0068】
システム・バス1508は、演算装置1504に対するインタフェースをシステム・コンポーネントに提供する。当該システム・コンポーネントには、メモリ・サブシステム1506が含まれるがこれに限らない。システム・バス1508は、様々な市販のバス・アーキテクチャの何れかを用いて、(メモリ・コントローラを備えるかまたは備えない)メモリ・バス、および周辺バス(例えば、PCI、PCIe、AGP、LPC、等)にさらに相互接続可能な数種のバス構造のうち任意のものとすることができる。
【0069】
コンピュータ1502は、記憶サブシステム1514と、記憶サブシステム1514をシステム・バス1508にインタフェースさせる記憶インタフェース1516と、他の所望のコンピュータ・コンポーネントとをさらに含むことができる。記憶サブシステム1514は、例えば、1またはそれより多くのHDD(hard disk drive)、FDD(floppy disk drive)、および/または光ディスク記憶ドライブ(例えば、CD−ROMドライブ、DVDドライブ)を含むことができる。記憶インタフェース1516は、例えば、EIDE、ATA、SATA、およびIEEE1394のようなインタフェース技術を含むことができる。
【0070】
1またはそれより多くのプログラムとデータを、オペレーティング・システム1520、1またはそれより多くのアプリケーション・プログラム1522、他のプログラム・モジュール1524、およびプログラム・データ1526を含めて、メモリ・サブシステム1506、取外し可能メモリ・サブシステム1518(例えば、フラッシュ・ドライブ・フォーム・ファクタ技術(flash drive form factor technology))、および/または記憶サブシステム1514に格納することができる。一般に、プログラムは、特定のタスクを実施するかまたは特定の抽象データ型を実装するルーチン、メソッド、データ構造、他のソフトウェア・コンポーネント、等を含む。オペレーティング・システム1520、アプリケーション1522、モジュール1524、および/またはデータ1526のすべてまたは一部を、例えば揮発性メモリ1510のようなメモリにキャッシュすることもできる。開示したアーキテクチャを、様々な市販のオペレーティング・システムで、または(例えば、仮想マシンとして)オペレーティング・システムの組合せで実装できることは理解されよう。
【0071】
上述のアプリケーション・プログラム1522、プログラム・モジュール1524、およびプログラム・データ1526は、図1の、コンピュータ実装システム100、入力コンポーネント102、電話104、識別コード106、設定コンポーネント108、電話インフラ110、図2の、設定コンポーネント108を含むシステム200、SIP URI202、認証コンポーネント204、および図3の、企業通信サーバ302、場所コンポーネント306のようなさらに別のコンポーネント300、IPアドレス308を含むことができる。
【0072】
上述のアプリケーション・プログラム1522、プログラム・モジュール1524、およびプログラム・データ1526は、例えば、図4の、システム400、入力コンポーネント102、ユーザ識別子402、PIN404、証明書サービス406、電話104、場所コンポーネント306、企業通信サーバ302、設定コンポーネント108、認証コンポーネント204、および図5の、IPサーバ502のような別のエンティティ500、SIP URI504、DHCPサーバ506、IPアドレス508、FQDNレコード510、企業通信サーバ302、図6の、システム600、IP電話602、企業通信サーバ302、DHCPサーバ506、図7および8のデータおよびメッセージの流れ図、および図9〜14のフロー・チャートによって表される方法をさらに含むことができる。
【0073】
記憶サブシステム1514とメモリ・サブシステム(1506および1518)は、データ、データ構造、コンピュータ実行可能命令、等の揮発性および不揮発性記憶のためのコンピュータ読取可能媒体としての役割を果たす。コンピュータ読取可能媒体は、コンピュータ1502がアクセス可能な任意の利用可能な媒体であることができ、揮発性および不揮発性の媒体、取外し可能および取外し不能の媒体を含む。コンピュータ1502に対して、媒体はデータを任意の適切なデジタル形式での記憶に適合する。ジップ・ドライブ、磁気テープ、フラッシュ・メモリ・カード、カートリッジ、等のような、開示したアーキテクチャの新規な方法を実施するためのコンピュータ実行可能命令を記憶するための、他種のコンピュータ読取可能媒体を使用できることは当業者には理解されよう。
【0074】
ユーザは、キーボードおよびマウスのような外部のユーザ入力装置1528を用いて、コンピュータ1502、プログラム、およびデータと相互に作用することができる。他の外部のユーザ入力装置1528は、マイクロフォン、IR(赤外線)リモート・コントロール、ジョイスティック、ゲーム・パッド、カメラ認識システム、スタイラス・ペン、タッチ・スクリーン、ジェスチャ・システム(例えば、眼球の動き、頭部の動き、等)、等を含むことができる。ユーザは、タッチパッド、マイクロフォン、キーボード、等のようなオンボードのユーザ入力装置1530を用いてコンピュータ1502、プログラム、およびデータと相互に作用することができる。コンピュータ1502は例えばポータブル・コンピュータである。これらおよび他の入力装置はシステム・バス1508を介してI/O(input/output)装置インタフェース1532により演算装置1504と接続されるが、パラレル・ポート、IEEE1394シリアル・ポート、ゲーム・ポート、USBポート、IRインタフェース、等のような他のインタフェースによって接続することができる。I/O装置インタフェース1532により、プリンタ、オーディオ・デバイス、カメラ・デバイス、等のような出力周辺装置1534の使用、例えば、サウンド・カードおよび/またはオンボードのオーディオ処理機能が容易になる。
【0075】
1またはそれより多くのグラフィック・インタフェース1536(GPU(graphic processing unit)とも一般に称される)により、コンピュータ1502と外部の表示装置1538(例えば、LCD、プラズマ)および/または(例えば、ポータブル・コンピュータ向けの)オンボードの表示装置1540の間でグラフィックやビデオ信号が提供される。グラフィック・インタフェース1536を、コンピュータ・システムの基板の一部として製造することもできる。
【0076】
コンピュータ1502は、1つまたはそれより多くのネットワークおよび/または他のコンピュータに対する有線/無線の通信サブシステム1542を介して論理接続を用いてネットワーク環境(例えば、IP)で動作することができる。他のコンピュータには、ワークステーション、サーバ、ルータ、パーソナル・コンピュータ、マイクロプロセッサ・ベースの娯楽機器、ピア・デバイスまたは他の共通ネットワーク・ノードを含めることができ、典型的に、コンピュータ1502に関して説明した要素の多くまたは全てが含まれる。論理接続には、LAN(local area network)、WAN(wide area network)、ホットスポット、等に対する有線/無線の接続を含めることができる。LANおよびWANのネットワーク環境は職場および会社において一般的であり、これにより、イントラネットのような企業規模のコンピュータ・ネットワークが容易になる。これらの全てをインターネットのようなグローバル通信ネットワークに接続することができる。
【0077】
ネットワーク環境で使用する場合、コンピュータ1502は有線/無線通信サブシステム1542(例えば、ネットワーク・インタフェース・アダプタ、オンボード・トランシーバ・サブシステム、等)を介してネットワークに接続して、有線/無線ネットワーク、有線/無線プリンタ、有線/無線入力装置1544、等と通信する。コンピュータ1502はモデムを備えてもよく、または、ネットワーク上で通信を確立するための他の手段を有することができる。ネットワーク環境では、分散システムと関連付けて、コンピュータ1502に関するプログラムとデータを遠隔のメモリ/記憶装置に格納することができる。示したネットワーク接続は例であって、コンピュータ間の通信リンクを確立する他の手段を使用できることは理解されよう。
【0078】
コンピュータ1502は、IEEE802.xx標準ファミリのような無線技術を用いて有線/無線の装置またはエンティティと通信するように動作可能である。IEEE802.xx標準ファミリは、例えばプリンタ、スキャナ、デスクトップおよび/またはポータブル・コンピュータ、PDA(personal digital assistant)、通信衛星、無線で検出可能なタグと関連付けられた任意の装置または場所(例えば、キオスク、新聞売店、化粧室)、および電話と無線通信するように動作可能に配置された無線装置(例えば、IEEE802.11 無線変調(over−the−air modulation)技術)のようなものである。これには、少なくとも、ホットスポット、WiMax、Bluetooth(登録商標)無線技術向けのWi−Fi(またはワイヤレス・フィデリティ)が含まれる。したがって、通信は少なくとも2つの装置の間の、従来式のネットワークまたは単純にアドホック通信としての、所定の構造であることができる。Wi−FiネットワークはIEEE802.11xx(a、b、g、等)と呼ばれる無線技術を使用して、安全で、信頼性が高く、高速な無線接続を提供する。Wi−Fiネットワークを使用してコンピュータを互いに、インターネットに、(IEEE802.3関連のメディアおよび機能を用いる)有線ネットワークに接続することができる。
【0079】
説明した態様を、通信ネットワークを通して接続されるリモート処理装置によって特定のタスクが実施される、分散コンピューティング環境で実施することもできる。分散コンピューティング環境では、プログラム・モジュールをローカルおよび/またはリモートの記憶システムおよび/またはメモリ・システムに配置することができる。
【0080】
図16を参照すると、ユーザ・ベース認証に使用できるコンピューティング環境1600の略ブロック図が示されている。環境1600は1またはそれより多くのクライアント1602を含む。クライアント1602はハードウェアおよび/またはソフトウェア(例えば、スレッド、プロセス、コンピューティング装置)であることができる。クライアント1602は、例えば、クッキーおよび/または関連するコンテキスト情報を収容することができる。
【0081】
環境1600はまた、1つまたは複数のサーバ1604を含む。サーバ1604もハードウェアおよび/またはソフトウェア(例えば、スレッド、プロセス、コンピューティング装置)とすることができる。サーバ1604は、例えば、当該アーキテクチャを使用することで、変換を行うためのスレッドを収容することができる。クライアント1602とサーバ1604の間の可能な通信の1つは、2またはそれ以上のコンピュータ・プロセス間で送信するように適合されたデータ・パケットの形におけるものであることができる。データ・パケットは、例えば、クッキーおよび/または関連するコンテキスト情報を含むことができる。環境1600は、クライアント1602とサーバ1604の間の通信を容易にするために使用できる通信フレームワーク1606(例えば、インターネットのようなグローバル通信ネットワーク)を含むことができる。
【0082】
通信を、有線(光ファイバを含む)および/または無線技術を介して容易にすることができる。クライアント1602は、クライアント1602に局所的な情報(例えば、クッキーおよび/または関連するコンテキスト情報)を格納するために使用できる1つまたは複数のクライアント・データ記憶1608に動作可能に接続される。同様に、サーバ1604は、サーバ1604に局所的な情報を格納するために使用できる1またはそれより多くのサーバ・データ記憶1610に動作可能に接続される。
【0083】
以上で説明したことには、開示したアーキテクチャの複数の例が含まれる。勿論、コンポーネントおよび/または方法の考えうる全ての組合せを説明することは不可能であるが、多数のさらなる組合せおよび並びが可能であることは当業者には理解されよう。したがって、新規なアーキテクチャは、添付の諸請求項の趣旨および範囲内にある全ての変更、修正、および変形を含むものである。さらに、発明を実施するための形態または特許請求の範囲において用語「含む」を使用する限りでは、係る用語は用語「備える」を請求項において移行語として使用する場合に解釈される用語「備える」と同様に、包括的であることが意図されている。