知財求人 - 知財ポータルサイト「IP Force」
▶ ゼットティーイー コーポレイションの特許一覧 ▶ ゼットティーイー (ユーエスエー) インコーポレイテッドの特許一覧
特許5778862クラウドベースのID管理(C−IDM)を実装するための方法および仮想IDMサーバー
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5778862
(24)【登録日】2015年7月17日
(45)【発行日】2015年9月16日
(54)【発明の名称】クラウドベースのID管理(C−IDM)を実装するための方法および仮想IDMサーバー
(51)【国際特許分類】
G06F 21/31 20130101AFI20150827BHJP
G06F 9/50 20060101ALI20150827BHJP
【FI】
G06F21/31
G06F9/46 462Z
【請求項の数】15
【全頁数】13
(21)【出願番号】特願2014-515983(P2014-515983)
(86)(22)【出願日】2012年6月14日
(65)【公表番号】特表2014-519672(P2014-519672A)
(43)【公表日】2014年8月14日
(86)【国際出願番号】US2012042408
(87)【国際公開番号】WO2012174210
(87)【国際公開日】20121220
【審査請求日】2014年3月7日
(31)【優先権主張番号】61/496,874
(32)【優先日】2011年6月14日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】511207729
【氏名又は名称】ゼットティーイー コーポレイション
(73)【特許権者】
【識別番号】510279365
【氏名又は名称】ゼットティーイー (ユーエスエー) インコーポレイテッド
(74)【代理人】
【識別番号】110000671
【氏名又は名称】八田国際特許業務法人
(72)【発明者】
【氏名】クハスナビッシュ,ブミップ
【審査官】
平井 誠
(56)【参考文献】
【文献】
米国特許出願公開第2009/0300152(US,A1)
【文献】
米国特許出願公開第2009/0293056(US,A1)
【文献】
特開2011−059884(JP,A)
【文献】
大竹 章裕 Akihiro Otake,ネットマークスのソリューションと技術,技報 UNISYS TECHNOLOGY REVIEW Vol.29 No.3,日本ユニシス株式会社,2009年11月30日,第29巻,p.23-37
【文献】
Safiriyu Eludiora et al.,A User Identity Management Protocol for Cloud Computing Paradigm,Int. J. Communications, Network and System Sciences, 2011,4,2011年 3月31日,p.152-163
【文献】
高原 芳浩 Yoshihiro TAKAHARA,Amazon事例、国内新サービスから学ぶ クラウド時代のシステム管理 実践 基礎知識 設定作業/ロードバランサ/サーバ監視…,SoftwareDesign 発刊241号,日本,(株)技術評論社,2010年11月18日,p.49-54
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21
(57)【特許請求の範囲】
【請求項1】
1または複数のネットワーク内にある複数のコンピューター上に存在する複数の共有資源を利用する仮想IDMサーバーであって、
前記サーバーは、共有資源の割り当ておよび利用をリアルタイムで管理し、
前記サーバーはさらに、
IDMサービス要求に関するメッセージを受信する1または複数のAPIsと、
IDMサービス要求を処理している間は、複数の前記共有資源にリアルタイムでアクセスする1または複数のAPIsと、
1または複数の仮想信号資源APIsと情報伝達することで、前記共有資源から調達された信号伝達のための仮想信号伝達/計算資源ブロックの割り当ておよび利用を管理する信号伝達コントロールモジュールと、
1または複数の仮想メディア資源APIsと情報伝達することで、前記共有資源から調達したメディア利用のための仮想メディア/ストレージ資源ブロックの割り当ておよび利用を管理するメディアコントロールモジュールと、
を備える、仮想IDMサーバー。
前記サーバーは、共有資源の割り当ておよび利用をリアルタイムで管理し、
前記サーバーはさらに、
IDMサービス要求に関するメッセージを受信する1または複数のAPIsと、
IDMサービス要求を処理している間は、複数の前記共有資源にリアルタイムでアクセスする1または複数のAPIsと、
1または複数の仮想信号資源APIsと情報伝達することで、前記共有資源から調達された信号伝達のための仮想信号伝達/計算資源ブロックの割り当ておよび利用を管理する信号伝達コントロールモジュールと、
1または複数の仮想メディア資源APIsと情報伝達することで、前記共有資源から調達したメディア利用のための仮想メディア/ストレージ資源ブロックの割り当ておよび利用を管理するメディアコントロールモジュールと、
を備える、仮想IDMサーバー。
【請求項2】
前記仮想信号伝達/計算資源ブロックおよび前記仮想メディア/ストレージ資源ブロックは、標準ネットワークプロトコルあるいはVPNを通じて、情報伝達を行う請求項1に記載の仮想IDMサーバー。
【請求項3】
1または複数の前記APIsは、クラウドコンピューティングプラットフォームに基づいて設計されている請求項1に記載の仮想IDMサーバー。
【請求項4】
前記共有資源は、IDMサービス要求の要求に基づいて、フェッチおよび解放される請求項1に記載の仮想IDMサーバー。
【請求項5】
請求項1に記載の仮想IDMサーバーを含むコンピュータネットワーク。
【請求項6】
1または複数の前記APIsは、前記仮想信号伝達/計算資源ブロックを統合したIDM信号資源のプールにアクセスするための統合API、および前記仮想メディア/ストレージ資源ブロックを統合したIDMメディア資源のプールにアクセスするための統合APIを含む、請求項1に記載の仮想IDMサーバー。
【請求項7】
前記共有資源は、1または複数の公共あるいはコミュニティコンピューターのネットワーク内に存在する資源を含む請求項1に記載の仮想IDMサーバー。
【請求項8】
1または複数のネットワーク内にある複数のコンピューター上に存在する複数の共有資源を利用する仮想IDMサーバーにより実行されるIDMサービスを提供する方法であって、
IDMサービスに関する要求を受けつけるステップと、
複数の前記共有資源の割り当ておよび利用をリアルタイムで決定するステップと、
前記共有資源は、1または複数のコンピュータネットワーク内の複数のコンピューター上に存在し、
および、前記IDMサービス要求の処理中は、前記共有資源にリアルタイムにアクセスするための1または複数のAPIsと通信するステップと、
を備え、
前記決定するステップは、更に、信号資源およびメディア資源の割当ておよび利用をリアルタイムで決定し、
前記通信するステップは、更に、前記共有資源から調達された、信号伝達のための仮想信号伝達/計算資源ブロックにアクセスする1または複数の仮想信号伝達APIs、および前記共有資源から調達した、メディア利用のための仮想メディア/ストレージ資源ブロックにアクセスする1または複数の仮想メディアAPIsと通信する、
IDMサービスを提供する方法。
IDMサービスに関する要求を受けつけるステップと、
複数の前記共有資源の割り当ておよび利用をリアルタイムで決定するステップと、
前記共有資源は、1または複数のコンピュータネットワーク内の複数のコンピューター上に存在し、
および、前記IDMサービス要求の処理中は、前記共有資源にリアルタイムにアクセスするための1または複数のAPIsと通信するステップと、
を備え、
前記決定するステップは、更に、信号資源およびメディア資源の割当ておよび利用をリアルタイムで決定し、
前記通信するステップは、更に、前記共有資源から調達された、信号伝達のための仮想信号伝達/計算資源ブロックにアクセスする1または複数の仮想信号伝達APIs、および前記共有資源から調達した、メディア利用のための仮想メディア/ストレージ資源ブロックにアクセスする1または複数の仮想メディアAPIsと通信する、
IDMサービスを提供する方法。
【請求項9】
1または複数の前記APIsは、前記仮想信号伝達/計算資源ブロックを統合したIDM信号資源のプールにアクセスするための統合APIsを含む請求項8に記載の方法。
【請求項10】
1または複数の前記APIsは、クラウドコンピューティングプラットフォームに基づいて設計されている請求項8に記載の方法。
【請求項11】
前記共有資源は、IDMサービス要求の要求に基づいて、フェッチおよび解放される請求項8に記載の方法。
【請求項12】
前記共有資源は、1または複数の公共あるいはコミュニティコンピューターのネットワーク内に存在する資源を含む請求項8に記載の方法。
【請求項13】
1または複数の前記APIsは、前記仮想メディア/ストレージ資源ブロックを統合したIDMメディア資源のプールにアクセスするための統合APIsを含む請求項8または請求項9に記載の方法。
【請求項14】
1または複数の前記APIsは、クラウドコンピューティングプラットフォームに基づいて設計されている請求項8に記載の方法。
【請求項15】
前記仮想信号伝達/計算資源ブロックおよび前記仮想メディア/ストレージ資源ブロックは、標準ネットワークプロトコルあるいはVPNを通じて、情報伝達を行う請求項8に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般に、加入者とユーザーID管理(IDM)の実装に関する。特に仮想資源の配信に利用される実装IDMのための方法およびシステムに関する。
【背景技術】
【0002】
一般的に言って、ID管理(IDM:identity management)とは、システム(国、ネットワーク、または組織など)の内部で個人認証を扱う広域管理エリア、および確立されている個人のアイデンティ上に制限を置くことによるそのシステム内の資源へのアクセス管理である。コンピュータネットワーク分野では、IDMは、どのようにコンピュータネットワークに跨って人間の識別及び認証がなされるかに関する用語である。それは、どのようにして、ユーザーにアイデンティティが与えられ、そのアイデンティティが保護され、その保護を技術(例えば、ネットワークプロトコル、デジタル証明証、パスワードなど)がサポートするのかといった問題をカバーする。
【0003】
従来は、IDMの特徴および機能は、以下の2つの異なる方法により実現される。第1には、アプリケーションサーバー、ポリシーサーバー、ホーム加入者サーバー(HSS:home subscriber server)、ゲートウェイ装置などの他のサーバーに直接接続するIDMデータベースあるいはIDMサーバーと称されるスタンドアロンの装置に実装され得るIDMであり、これによりこれらのサーバーは、IDMサーバーからIDMサービスを直接要求することが可能である。第2に、(a)エッジデバイス(ルーター、ゲートウェイ、スイッチ、光回線終端装置(OLT:optical line termination)、デジタル加入者線アクセスマルチプレクサ(IP−DSLAM:Internet protocol based Digital Subscriber Line Access Multiplexer))(b)エッジ/コアサービスコントロール機能のようなサーバー要素(c)モビリティや資源マネジメント機能のようなトランスポート要素、等のようなネットワーク内のインフラストラクチャー要素に統合され得るIDMである。
【0004】
IDMの特徴及び機能のリストは、例えば3GPP規格TS 24.109 (ftp://3gpp.org/Specs/latest/Rel-10/24_series/)および、IDM資料(FGIdM, http://www.itu.int/ITUT/studygroups/com17/fgidm/index.html)のITU−T Focus Groupで見つけることができる。これらの資料の内容は、全て本願に組み込まれる。
【0005】
図1aは、実装IDMの現行モデルのブロックダイアグラムの概略図を示している。ダイアグラム中では、IDMサーバー100は、直接、現行の実装IDMに関連するであろう他のネットワーク要素に接続されている。これらのネットワーク要素には、アプリケーションサーバー160、セッションコントロール要素140、サービスゲートウェイ150等が含まれるであろう。図1b、図1cの概略図は、現行の実装IDMに関連するであろう異なるネットワーク要素間での信号の流れ及びメッセージ交換を示している。
【0006】
スタンドアロンIDMサーバー100は要求を、例えばトランザクションあるいはセッションベースのサービスに認証アクセスするための加入者およびユーザーのアイデンティティ認証を行うための要求を受信する。IDMサーバー100は、予め定められた数の属性(例えば、サービス名および場所)、証明書(例えば、シークレットコード、生体情報)、および識別子(名前、ユーザーID、MACId、IPアドレス、位置情報(geo−location)など)をアクセス認証に用いてもよい。
【0007】
IDMサーバー100は、現行の実装に従って、ひとたびユーザー/加入者が認証されると、セッション及びメディアのための資源の管理をするかもしれないし、そうではないかもしれないということを認識することは価値がある。ポリシー、サービスの質、及びセキュリティ要件がこれらの割り当てを規定することは可能である。
【0008】
IDMの信号伝達エレメントおよび、IDMのメディアコントロールエレメントの間のインターフェースをオープン(標準プロトコル)あるいは独自プロトコルとすることは可能であり、またこのインターフェースは、資源要求の配布を通じた信頼性をサポートするために一対一、あるいは一対多とすることが可能である。
【発明の概要】
【発明が解決しようとする課題】
【0009】
現行の実装IDMの主な欠点は、それらはIDMサービスのために、専用のサーバーあるいはネットワークインフラストラクチャー要素を利用することである。このような実装IDMの特徴および機能は、下記の望ましくない結果をもたらすであろう。A.サービスコストの増加
B.テストおよびネットワークとの統合に必要な時間の増加
C.資源の静的配置
D.資源の再配置における柔軟性の欠如
E.コンピューティングおよびコミュニケーション資源の予めデザインされた特徴及び機能とのカップリングの厳しさ
F.イノベーション機会の減少。
【0010】
その一方で、動的でかつ継続的に発達するネットワーキング及びサービス開発環境にあるネットワークサービスプロバイダが必要としているものは、(1)投資の保護、すなわち、異なるアプリケーション及びサービスが生み出す様々な収入を迅速に再目的化するという資源への投資、(2)機敏さと柔軟性、すなわち、ネットワーク内に既に存在している同じ資源を利用するといった新たな特徴および機能を開発することである。
【0011】
本発明はこのような主要な問題に取り組むものであり、したがって、サービスプロバイダーがその予算を、多くの場合活用されないまま、あるいは十分な性能に到達する前(あるいは十分に投資が回収できる前)に廃れてしまうというサイロ型のコンピューティングおよびネットワーク機器の作成・導入に対してではなく、コンピューティング、通信およびインフラストラクチャー管理の開発に対して割り当てることを可能とするものである。
【課題を解決するための手段】
【0012】
本発明は、仮想IDMサーバーを開示する。IDMサーバーは、1つまたは複数のコンピュータネットワーク内の複数のコンピューター上に存在する複数の共有資源を利用する。IDMサーバーはまた、共有資源の割り当て及び利用をリアルタイムで管理する。IDMサーバーは更に、IDMサービス要求に関するメッセージを受信する1つまたは複数のAPI(application interfaces)、及びIDMサービスリクエストの処理中にリアルタイムで複数の前記共有資源にアクセスするための1つまたは複数のAPIを含む。
【図面の簡単な説明】
【0013】
【図1a】実装IDMの現行モデルのブロック図を示した概略図である。
【図1b】現行の実装IDMに関連する信号の流れ示す概略図である。
【図1c】現行の実装IDMに関連するメッセージ交換を示す概略図である。
【図2】本発明の一実施形態のIDM実装モデルを示す概略図である。
【図3】本発明の一実施形態のIDMサービスの供給方法を示す概略図である。
【発明を実施するための形態】
【0014】
このような一般用語で記述された本発明は、添付の図面により参照することができる、これらは必ずしも一定の縮小率で描かれてはいない。
【0015】
ここで以下において、いくつかの本発明の実施形態が示されている添付の図面を参照することで、本発明についてより詳細に述べる。実際には、これらの発明は他の多くの異なる形態で具現化が可能であり、ここに示した実施形態に制限されると解釈されるものではなく、むしろ、これらの実施形態は、本開示が適用可能な法的要件を満たすように例として提供されるものである。
【0016】
図2は、本発明のIDM実装モデル(IDM implementation model)の一実施形態を示す。この実装では、IDMの特徴および機能は、1または複数の仮想IDMサーバー200上に実装される。このような仮想IDMサーバーは、ネットワーク内の一連の資源をリアルタイムおよびオンデマンドで利用するように設計されるであろう。この資源は、公的、私的あるいはコミュニティのネットワークから調達することができる。一の実施形態では、IDMサービスを提供するためのこのような仮想サーバーは、既存のクラウドコンピューティング資源で構成することで、クラウドベースの仮想IDMサーバーとして実装されるであろう。
【0017】
このような実装は、当業者には既知のプログラム言語を使用した設計のIDMアプリケーションインターフェイス(APIs:application interfaces)、あるいは資源プログラムミングインターフェース(RPIs:resource programming interfaces)により達成することができるであろう。例えば、このようなAPIs/RPIsは、SOAP,XML,WSDL,Parlay/Parlay−X,HTTP,CORBA,などのうちのいずれか一つ以上を用いることができる。このようなAPIs/RPIsの設計は、Amazon Elastic Compute Cloud(Amazon EC2)のような既存のクラウドコンピューティングプラットフォームに基づいてもよい。Amazon EC2についての情報は、EC2ウェブサイト(http://aws.amazon.com/ec2/)で得ることができる。このウェブサイトの内容は、本発明に組み込まれる。
【0018】
ここで、このようなAPIs/RPIs は所望の資源への単純なアクセスだけでなく、既存のネットワーク/インフラストラクチャー、セキュリティ、可用性、サービス連続性などとの迅速な統合あるいは相互運用を保証する。事実、所望のIDMの特徴/機能は、オープンAPIs/RPIsを通じて利用可能なネットワーク資源を買い漁ることで獲得でき、そして、それらをフェッチすることで、アプリケーションおよびサービスのそれぞれの要求のためのサービス期間中は利用可能である。例えば、ファイヤーウォールおよび暗号化鍵資源のリアルタイム可用性が、インターネット上でのリアルタイム・エンタープライズ秘密音声通信サービスにとっては必須である。
【0019】
一の実施形態では、仮想IDMサーバー200は、さらに一組の仮想信号/計算資源ブロック212および一組の仮想メディア/ストレージ資源ブロック215を含む。仮想信号/計算資源ブロック212は、APIs/RPIsからIDMサービスおよび処理の要求を受信し、そして、オープン/標準プロトコル216あるいは仮想通信リンク218(VPNs)を通じて、仮想メディア/ストレージ資源ブロック215からのメディア/ストレージ資源(例えば保存領域、コンピューティング容量等)の割り当てあるいは調達を行う。メディアあるいは信号資源の前記仮想ブロックは、様々なネットワーク資源から調達でき、要求のいかなる延長期間中は利用され得る。一の実施形態では、この利用期間は、数時間から数日までさまざまである。
【0020】
一つの実施形態では、様々なネットワーク資源から調達された仮想信号伝達/計算資源ブロック212は、IDM信号資源のプール内部に統合され、統合API221がこのIDM信号資源のプールにアクセスできるように生成される。これが、加入者・情報/プロファイルサーバー220、鍵・信託局230、アクセス/メディアポリシーコントロール240、セッション/トランザクション・コントロールサーバー250などのアプリケーションおよびサービスがIDM信号伝達部との情報伝達を容易に利用可能とするIDMサービスのための手段を提供する。
【0021】
他の実施形態では、実装IDMの信号伝達部が、IDMサービス要求を処理するのに必要な信号資源の管理あるいは割り当てをするための1または複数のモジュール222をも含む。分散形式の種々のコンピューターおよび既存のクラウドコンピューティング技術に存在するであろう物理的な信号/計算資源224は、コントロールモジュール222と物理的資源224の間の情報伝達を容易にする仮想資源223として、これらの分散された資源を統合するのに有用であろう。
【0022】
さらに他の実施形態では、実装IDMの信号伝達部は、オープンプロトコル216あるいはVPNs218を用いた仮想ネットワークリンクを通じてIDMのメディアコントロール部からの資源の割り当てをも管理する。
【0023】
さらに他の実施形態では、IDMのメディア部のための資源ブロックは、種々のネットワーク資源からも調達してもよく、そしてこれらのブロックはIDMメディア資源のプールの中に統合されてもよく、さらに信号伝達部とIDMのメディア部との間の情報伝達を容易にするために、このIDMメディア資源のプールにアクセスするための統合API225が生成されてもよい。
【0024】
一の実施形態では、実装IDMのメディア部は、IDMサービス要求を処理するのに必要なメディア資源の管理あるいは割り当てをするための1または複数のモジュール226をも含む。分散形式の種々のコンピューターおよび既存のクラウドコンピューティング技術に存在するであろう物理的なメディア/ストレージ資源228は、コントロールモジュール226と物理的資源228の間の情報伝達を容易にする仮想資源227として、これらの分散された資源を統合するのに有用であろう。
【0025】
IDMサービス要求の処理に必要な信号あるいはメディア資源は、種々のネットワーク資源から調達し、そして要求期間中は利用され得る。この期間は、数分から数十分、あるいは数百時間までさまざまである。
【0026】
図3は、本発明の一実施形態によるIDMサービスの提供方法を示している。本実施形態では、ステップ310で、最初にIDMサービス要求に関するメッセージを実装IDMの信号伝達APIsから受信する。このような要求メッセージは、加入者インフォメーション/プロファイルサーバー220、鍵・信託局230、アクセス/メディアポリシーコントロール240、あるいはセッション/トランザクション・コントロールサーバー250などから生じる。ステップ320では、実装IDMの信号伝達部のコントロールモジュールが、必要な信号資源の量、および要求された資源が必要とされる時間を決定する。ステップ325では、その信号伝達コントロールモジュールが信号資源の割り当て要求をするために仮想信号資源と連絡し、このような資源はステップ330で調達する。
【0027】
次のステップ340では、実装IDMの信号伝達部は、メディア資源の割り当てを要求するためにメディア資源コントロールAPIsに連絡する。上記のとおり、信号伝達APIsおよびメディア資源コントロールAPIsの双方は、既存のクラウドコンピューティングプラットフォームに基づき、これを用いて設計されてもよい。ステップ350では、実装IDMのメディア部のコントロールモジュールが必要な信号資源の量、および要求された資源が必要とされる時間を決定する。ステップ355では、その信号伝達コントロールモジュールがメディア資源の割り当て要求をするために仮想メディア資源と連絡し、このようなメディア資源はステップ360で調達する。
【0028】
次に、ステップ370では、IDMサービス要求メッセージは調達された資源を用いて処理される。この保持する信号およびメディア資源、IDM要求の処理は、Amazon EC2のような既存のクラウドコンピューティングサービスを利用することで達成可能であろう。最後に、ステップ380では、IDMサービス要求が処理された後、信号およびメディア資源が解放される。
【0029】
ここで示した本発明についての多くの改良や他の実施形態は、これらの発明と前述の詳細な説明およびこれに関する図で教示された利益を持って関連する一の当業者に思い浮かぶであろう。したがって、本発明は、開示された実施形態の具体的な事例に限定されず、この改良および他の実施形態は添付の請求項の範囲内に含まれることを意図するものであることが理解される。特定の用語がここで使用されるが、これらは一般的に用いられ、単なる記述を意図し、限定を目的とするものではない。