專利名稱:訪問許可系統(tǒng)、訪問控制服務(wù)器、和業(yè)務(wù)流程執(zhí)行系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及根據(jù)來自客戶機(jī)側(cè)通信裝置的服務(wù)請(qǐng)求,對(duì)使用該通信裝 置的用戶進(jìn)行判斷是否許可提供該服務(wù)的許可判斷的技術(shù)。
背景技術(shù):
在現(xiàn)在的因特網(wǎng)環(huán)境中,可使用以電子商務(wù)交易服務(wù)為基礎(chǔ)的各種服 務(wù)。這種服務(wù)中,有需要輸入姓名和地址等個(gè)人信息的服務(wù)、或發(fā)生金錢 來往的服務(wù)等。這些服務(wù)中,需要用于防止冒充的本人確認(rèn)或用于確保私 事的保護(hù)這種安全性的結(jié)構(gòu)。尤其為了安全地實(shí)現(xiàn)通信,用戶認(rèn)證、每個(gè) 用戶能否使用服務(wù)的判斷(許可)、每個(gè)用戶的訪問控制、或數(shù)據(jù)加密等的 對(duì)策很重要。
但是,需要認(rèn)證和訪問控制的對(duì)策的服務(wù)越增加,用戶和服務(wù)提供者 為安全性對(duì)策所消耗的成本越多。例如,網(wǎng)絡(luò)購(gòu)物網(wǎng)站或在線銀行等的會(huì) 員制服務(wù)通常需要用戶認(rèn)證。在使用需要用戶認(rèn)證的多個(gè)服務(wù)的情況下,
用戶每次使用服務(wù)時(shí),都必須輸入ID、密碼和電子證書等的認(rèn)證信息。
但是,這種操作對(duì)用戶來說很麻煩,管理多個(gè)認(rèn)證信息的用戶的負(fù)載 也很大。另一方面,提供服務(wù)側(cè)也必須獨(dú)自準(zhǔn)備具有認(rèn)證服務(wù)器或認(rèn)證功 能的應(yīng)用程序服務(wù)器,設(shè)置成本和使用成本很大。
因此,近年來,可通過一次用戶認(rèn)證來使用多個(gè)服務(wù)的SSO( Single Sign On)的需求提高。SSO是在使用多個(gè)服務(wù)的情況下,也可通過用戶僅接收 一次認(rèn)證,就可使用多個(gè)服務(wù),而不用對(duì)每個(gè)服務(wù)進(jìn)行認(rèn)證來使用服務(wù)的 結(jié)構(gòu)。SSO中的認(rèn)證通常由不同于用戶和服務(wù)提供者的第三者機(jī)關(guān)來實(shí)施。 例如,OASIS Standard, " Security Assertion Markup Language (SAML) v2.0 , " OASIS Security Services TC (2005) , http:〃docs.oasis誦open.org/security/saml/v2.0/saml-2.0-os.zip (下面,稱4乍一一專 利文獻(xiàn)1)中定義了作為實(shí)現(xiàn)SSO用的技術(shù)的SAML (Security AssertionMarkup Language)技術(shù)標(biāo)準(zhǔn)。 一旦用戶從作為第三者機(jī)關(guān)的SAML授權(quán)機(jī) 構(gòu)(authority)接收到認(rèn)證,則SAML授權(quán)機(jī)構(gòu)向服務(wù)提供者傳送作為用 戶認(rèn)證結(jié)果的認(rèn)證聲明,所以用戶每次使用服務(wù)時(shí),可以省去輸入認(rèn)證信 息的手續(xù)。
另外,非專利文獻(xiàn)l的SAML授權(quán)機(jī)構(gòu)不僅代辦用戶認(rèn)證,還檢查用 戶的服務(wù)使用權(quán)限、代辦服務(wù)使用的許可判斷。SAML授權(quán)機(jī)構(gòu)管理用戶 的所屬、地址和資格等的屬性信息、及許可服務(wù)的使用的策略信息。并且 SAML授權(quán)機(jī)構(gòu)在用戶使用服務(wù)時(shí),根據(jù)屬性信息和策略信息,來判斷能 否使用服務(wù),并作為判斷結(jié)果而發(fā)行許可聲明。服務(wù)提供者從SAML授權(quán) 機(jī)構(gòu)接收許可聲明,并根據(jù)所接收的許可聲明來進(jìn)行對(duì)用戶的訪問控制, 所以有各服務(wù)提供者不需要分別準(zhǔn)備許可判斷用的服務(wù)器的優(yōu)點(diǎn)。
在現(xiàn)有的Web服務(wù)中,服務(wù)提供者一般預(yù)先作好所有服務(wù)構(gòu)成要素, 但是近年來,根據(jù)當(dāng)時(shí)的狀況而組合服務(wù)的構(gòu)成要素來實(shí)現(xiàn)一個(gè)業(yè)務(wù)流程 的服務(wù)聯(lián)合的想法在擴(kuò)展。
作為實(shí)現(xiàn)服務(wù)聯(lián)合的現(xiàn)有技術(shù),例如己知有將各個(gè)Web服務(wù)作為服務(wù) 構(gòu)成要素來聯(lián)合的方法的BPEL (Business Process Execution Language for ^Web Services)(例如,OASIS Standard," Web Services Business Process Execution Language Version 2.0", OASIS Web Services Business Process Execution Language (WSBPEL) TC ( 2007 ) http:〃docs.oasis-open.org/wsbpel/2.0/OS/wsbpel-v2.0-OS.pdf (下面,稱作非 專利文獻(xiàn)2))。BPEL是用于將多個(gè)Web服務(wù)的執(zhí)行順序作為一系列業(yè)務(wù)流 程的流程來描述的語言標(biāo)準(zhǔn)。將解釋并執(zhí)行由BPEL描述的業(yè)務(wù)流程的功 能稱作BPEL引擎。
但是,上述非專利文獻(xiàn)1的SAML授權(quán)機(jī)構(gòu)由于每次用戶訪問到服務(wù) 中時(shí)都進(jìn)行許可判斷,所以在用戶請(qǐng)求了服務(wù)的情況下,若之后的許可判 斷沒有終止,則用戶不能接收服務(wù)的提供。即,在許可判斷終止之前,用 戶必須等待服務(wù)的提供開始。由于與各個(gè)許可判斷有關(guān)的處理負(fù)載并不是 很高,所以多數(shù)情況下在請(qǐng)求提供服務(wù)的用戶數(shù)少的情況下,許可判斷所 需的時(shí)間少,到服務(wù)的提供開始之前的用戶等待時(shí)間少。
但是,非專利文獻(xiàn)l中,由于SAML授權(quán)機(jī)構(gòu)統(tǒng)一進(jìn)行許可判斷,所以在多個(gè)用戶在短期內(nèi)請(qǐng)求了提供服務(wù)的情況下,存在SAML授權(quán)機(jī)構(gòu)所 需的處理負(fù)載變高,各個(gè)許可判斷所需的時(shí)間變長(zhǎng)。若許可判斷所需的時(shí) 間變長(zhǎng),則到各個(gè)服務(wù)的提供開始的用戶的等待時(shí)間變長(zhǎng),用戶的便利性 受到損害。
此外,在非專利文獻(xiàn)2記載的BPEL中,若在一系列業(yè)務(wù)流程中,在 調(diào)用各個(gè)服務(wù)后進(jìn)行該服務(wù)的許可判斷,則存在在開始各個(gè)服務(wù)的提供之 前,用戶的等待時(shí)間變長(zhǎng)的情況。
發(fā)明內(nèi)容
本發(fā)明是鑒于上述情況而作出的,本發(fā)明的目的是減少直到用戶請(qǐng)求 的服務(wù)開始提供的用戶等待時(shí)間。
為了解決上述問題,本發(fā)明的訪問許可系統(tǒng)特定接著當(dāng)前提供給客戶 機(jī)側(cè)的通信裝置的服務(wù)而應(yīng)該提供給該通信裝置的服務(wù),在該通信裝置請(qǐng) 求該下一服務(wù)前,預(yù)先執(zhí)行對(duì)該通信裝置的用戶的該下一服務(wù)的許可判斷。
例如,本發(fā)明的第1技術(shù)方案提供一種訪問許可系統(tǒng),根據(jù)來自客戶 機(jī)側(cè)的通信裝置的服務(wù)的請(qǐng)求,進(jìn)行判斷是否許可對(duì)使用該通信裝置的用 戶提供該服務(wù)的許可判斷,其特征在于,包括-
策略管理服務(wù)器;
許可服務(wù)器;以及
訪問控制服務(wù)器,
所述策略管理服務(wù)器包括
用戶屬性信息存儲(chǔ)單元,對(duì)識(shí)別客戶機(jī)側(cè)的通信裝置的用戶的每一個(gè) 用戶ID,存儲(chǔ)該用戶的用戶屬性信息;
服務(wù)策略信息存儲(chǔ)單元,對(duì)識(shí)別服務(wù)的每一個(gè)服務(wù)ID,存儲(chǔ)服務(wù)策略
信息,所述服務(wù)策略信息表示被許可提供該服務(wù)的用戶的條件;以及
信息管理單元,在從所述訪問控制服務(wù)器接收到包含用戶ID和服務(wù)ID
的注冊(cè)信息取得請(qǐng)求的情況下,從所述用戶屬性信息存儲(chǔ)單元提取與該用 戶ID對(duì)應(yīng)的用戶屬性信息,并且,從所述服務(wù)策略信息存儲(chǔ)單元提取與該 服務(wù)ID對(duì)應(yīng)的服務(wù)策略信息,并將包含所提取的用戶屬性信息和服務(wù)策略 信息的注冊(cè)信息取得應(yīng)答發(fā)送給所述訪問控制服務(wù)器,所述許可服務(wù)器包括-
許可判斷單元,在從所述訪問控制服務(wù)器接收到包含用戶屬性信息和 服務(wù)策略信息的許可判斷請(qǐng)求的情況下,判斷該用戶屬性信息是否滿足該 服務(wù)策略信息,并將許可判斷應(yīng)答發(fā)送給所述訪問控制服務(wù)器,所述許可
判斷應(yīng)答包含許可判斷結(jié)果、作為該許可判斷結(jié)果的對(duì)象的用戶的用戶ID、 以及作為該許可判斷結(jié)果的對(duì)象的服務(wù)的服務(wù)ID, 所述訪問控制服務(wù)器包括
下一服務(wù)ID存儲(chǔ)單元,對(duì)每一個(gè)服務(wù)ID,存儲(chǔ)與該服務(wù)ID對(duì)應(yīng)的服
務(wù)之后應(yīng)該提供的服務(wù)的服務(wù)ID;
許可判斷請(qǐng)求單元,在接收到表示客戶機(jī)側(cè)的通信裝置的用戶能否使
用服務(wù)的許可信息的取得請(qǐng)求即包含該用戶的用戶ID和該服務(wù)的服務(wù)ID 的許可信息取得請(qǐng)求的情況下,將包含該用戶ID和該服務(wù)ID的注冊(cè)信息 取得請(qǐng)求發(fā)送給所述策略管理服務(wù)器,在從所述策略管理服務(wù)器接收到包 含與該用戶ID對(duì)應(yīng)的用戶屬性信息和與該服務(wù)ID對(duì)應(yīng)的服務(wù)策略信息的 注冊(cè)信息取得應(yīng)答的情況下,將包含該用戶屬性信息和服務(wù)策略信息的許 可判斷請(qǐng)求發(fā)送給所述許可服務(wù)器,在從該許可服務(wù)器接收到許可判斷應(yīng) 答的情況下,輸出許可信息取得應(yīng)答,所述許可信息取得應(yīng)答包含該許可 判斷應(yīng)答所包含的許可判斷結(jié)果、用戶ID和服務(wù)ID;以及
下一服務(wù)特定單元,在所述許可判斷請(qǐng)求單元輸出了所述許可信息取 得應(yīng)答后,根據(jù)該許可信息取得應(yīng)答所包含的作為許可判斷結(jié)果的對(duì)象的 服務(wù)的服務(wù)ID,參考所述下一服務(wù)ID存儲(chǔ)單元,提取與該服務(wù)ID對(duì)應(yīng)的 服務(wù)之后應(yīng)該提供的服務(wù)的服務(wù)ID,并將所提取的服務(wù)ID與作為該許可 判斷結(jié)果的對(duì)象的用戶的用戶ID —起發(fā)送給所述許可判斷請(qǐng)求單元,
所述許可判斷請(qǐng)求單元,
在從輸出所述許可信息取得應(yīng)答后、到接收包含與該許可信息取得應(yīng) 答所包含的用戶ID相同的用戶ID的許可信息取得請(qǐng)求的期間,從所述策 略管理服務(wù)器取得與從所述下一服務(wù)特定單元接收到的用戶ID和服務(wù)ID 對(duì)應(yīng)的用戶屬性信息和服務(wù)策略信息,并將包含該用戶屬性信息和服務(wù)策 略信息的許可判斷請(qǐng)求發(fā)送給所述許可服務(wù)器,從而使所述許可服務(wù)器對(duì) 與該用戶ID對(duì)應(yīng)的用戶和與該服務(wù)ID對(duì)應(yīng)的服務(wù)的組合,預(yù)先執(zhí)行許可判斷。
例如,本發(fā)B月的第2技術(shù)方案提供一種訪問控制服務(wù)器,用于訪問許 可系統(tǒng),該訪問許可系統(tǒng)根據(jù)來自客戶機(jī)側(cè)的通信裝置的服務(wù)的請(qǐng)求,來 進(jìn)行對(duì)使用該通信裝置的用戶的、該服務(wù)的許可判斷,并且包括策略管理 服務(wù)器和許可服務(wù)器,
所述策略管理服務(wù)器,包括
用戶屬性信息存儲(chǔ)單元,對(duì)識(shí)別客戶機(jī)側(cè)的通信裝置的用戶的每一個(gè) 用戶ID,存儲(chǔ)該用戶的用戶屬性信息;
服務(wù)策略信息存儲(chǔ)單元,對(duì)識(shí)別服務(wù)的每一個(gè)服務(wù)ID,存儲(chǔ)服務(wù)策略 信息,所述服務(wù)策略信息表示被許可提供該服務(wù)的用戶的條件;以及
信息管理單元,在接收到包含用戶ID和服務(wù)ID的注冊(cè)信息取得請(qǐng)求 的情況下,從所述用戶屬性信息存儲(chǔ)單元提取與該用戶ID對(duì)應(yīng)的用戶屬性 信息,并且,從所述服務(wù)策略信息存儲(chǔ)單元提取與該服務(wù)ID對(duì)應(yīng)的服務(wù)策 略信息,并返回包含所提取的用戶屬性信息和服務(wù)策略信息的注冊(cè)信息取 得應(yīng)答,
所述許可服務(wù)器包括
許可判斷單元,在接收到包含用戶屬性信息和服務(wù)策略信息的許可判 斷請(qǐng)求的情況下,進(jìn)行判斷該用戶屬性信息是否滿足該服務(wù)策略信息的許 可判斷,并返回許可判斷應(yīng)答,所述許可判斷應(yīng)答包含許可判斷結(jié)果、作 為該許可判斷結(jié)果的對(duì)象的用戶的用戶ID、和作為該許可判斷結(jié)果的對(duì)象 的服務(wù)的服務(wù)ID,
所述訪問控制服務(wù)器的特征在于,包括
下一服務(wù)ID存儲(chǔ)單元,對(duì)每一個(gè)服務(wù)ID,存儲(chǔ)與該服務(wù)ID對(duì)應(yīng)的服
務(wù)之后應(yīng)該提供的服務(wù)的服務(wù)ID;
許可判斷請(qǐng)求單元,在接收到表示客戶機(jī)側(cè)的通信裝置的用戶能否使
用服務(wù)的許可信息的取得請(qǐng)求即包含該用戶的用戶ID和該服務(wù)的服務(wù)ID 的許可信息取得請(qǐng)求的情況下,將包含該用戶ID和該服務(wù)ID的注冊(cè)信息 取得請(qǐng)求發(fā)送給所述策略管理服務(wù)器,在從所述策略管理服務(wù)器接收到包 含與該用戶ID對(duì)應(yīng)的用戶屬性信息和與該服務(wù)ID對(duì)應(yīng)的服務(wù)策略信息的 注冊(cè)信息取得應(yīng)答的情況下,將包含該用戶屬性信息和服務(wù)策略信息的許可判斷請(qǐng)求發(fā)送給所述許可服務(wù)器,在從該許可服務(wù)器接收到許可判斷應(yīng) 答的情況下,輸出許可信息取得應(yīng)答,所述許可信息取得應(yīng)答包含該許可 判斷應(yīng)答中包含的許可判斷結(jié)果、用戶ID和服務(wù)ID;以及
下一服務(wù)特定單元,在所述許可判斷請(qǐng)求單元輸出所述許可信息取得 應(yīng)答后,根據(jù)該許可信息取得應(yīng)答中包含的作為許可判斷結(jié)果的對(duì)象的服
務(wù)的服務(wù)ID,參考所述下一服務(wù)ID存儲(chǔ)單元,提取與該服務(wù)ID對(duì)應(yīng)的服 務(wù)之后應(yīng)該提供的服務(wù)的服務(wù)ID,并將所提取的服務(wù)ID與作為該許可判 斷結(jié)果的對(duì)象的用戶的用戶ID —起發(fā)送給所述許可判斷請(qǐng)求單元, 所述許可判斷請(qǐng)求單元,
在從輸出所述許可信息取得應(yīng)答后、到接收包含與該許可信息取得應(yīng) 答中包含的用戶ID相同的用戶ID的許可信息取得請(qǐng)求的期間,從所述策 略管理服務(wù)器取得與從所述下一服務(wù)特定單元接收到的用戶ID和服務(wù)ID 對(duì)應(yīng)的用戶屬性信息和服務(wù)策略信息,并將包含該用戶屬性信息和服務(wù)策 略信息的許可判斷請(qǐng)求發(fā)送給所述許可服務(wù)器,從而使所述許可服務(wù)器對(duì) 與該用戶ID對(duì)應(yīng)的用戶和與該服務(wù)ID對(duì)應(yīng)的服務(wù)的組合,預(yù)先執(zhí)行許可 判斷。
例如,本發(fā)明的第3技術(shù)方案提供一種一種業(yè)務(wù)流程執(zhí)行系統(tǒng),對(duì)于 從客戶機(jī)側(cè)的通信裝置請(qǐng)求的由多個(gè)服務(wù)構(gòu)成的業(yè)務(wù)流程,進(jìn)行判斷是否 許可對(duì)該通信裝置的用戶提供該業(yè)務(wù)流程中包含的各個(gè)服務(wù)的許可判斷, 其特征在于,包括-
屬性管理服務(wù)器;
策略管理服務(wù)器;
許可服務(wù)器;以及
服務(wù)執(zhí)行服務(wù)器,
所述屬性管理服務(wù)器包括
用戶屬性信息存儲(chǔ)單元,對(duì)識(shí)別客戶機(jī)側(cè)的通信裝置的用戶的每一個(gè) 用戶ID,存儲(chǔ)該用戶的用戶屬性信息;以及
屬性信息管理單元,在從所述許可服務(wù)器接收到包含用戶ID的屬性取 得請(qǐng)求的情況下,從所述用戶屬性信息存儲(chǔ)單元提取與該用戶ID對(duì)應(yīng)的用 戶屬性信息,并將包含所提取的用戶屬性信息的屬性取得應(yīng)答發(fā)送給所述許可服務(wù)器,
所述策略管理服務(wù)器包括r
服務(wù)策略信息存儲(chǔ)單元,對(duì)識(shí)別服務(wù)的每一個(gè)服務(wù)ID,存儲(chǔ)服務(wù)策略 信息,所述服務(wù)策略信息表示被許可提供該服務(wù)的用戶的條件;以及
策略信息管理單元,在從所述許可服務(wù)器接收到包含服務(wù)ID的策略取 得請(qǐng)求的情況下,從所述服務(wù)策略信息存儲(chǔ)單元提取與該服務(wù)ID對(duì)應(yīng)的服 務(wù)策略信息,并將包含所提取的服務(wù)策略信息的策略取得應(yīng)答發(fā)送給所述 許可服務(wù)器,
所述許可服務(wù)器包括
許可判斷單元,在從所述服務(wù)執(zhí)行服務(wù)器接收到包含用戶ID和1個(gè)以 上的服務(wù)ID的許可判斷請(qǐng)求的情況下,將包含該用戶ID的屬性取得請(qǐng)求 發(fā)送給所述屬性管理服務(wù)器,而取得與該用戶ID對(duì)應(yīng)的用戶屬性信息,并 且將包含該服務(wù)ID的策略取得請(qǐng)求發(fā)送給所述策略管理服務(wù)器,而取得與 該服務(wù)ID對(duì)應(yīng)的服務(wù)策略信息,判斷所取得的用戶屬性信息是否滿足所取 得的服務(wù)策略信息,并將包含每一個(gè)服務(wù)ID的許可判斷結(jié)果的許可判斷應(yīng) 答發(fā)送給所述服務(wù)執(zhí)行服務(wù)器,
所述服務(wù)執(zhí)行服務(wù)器包括-
腳本存儲(chǔ)單元,將對(duì)業(yè)務(wù)流程中包含的多個(gè)服務(wù)的提供順序進(jìn)行規(guī)定 的服務(wù)腳本與識(shí)別各個(gè)服務(wù)腳本的腳本ID相對(duì)應(yīng)地進(jìn)行存儲(chǔ);以及
腳本執(zhí)行單元,在從客戶機(jī)側(cè)的通信裝置接收到包含用戶ID和腳本ID 的服務(wù)請(qǐng)求的情況下,從所述腳本存儲(chǔ)單元取得與該腳本ID對(duì)應(yīng)的服務(wù)腳 本,并將包含該用戶ID和所取得的服務(wù)腳本中包含的各個(gè)服務(wù)的服務(wù)ID 的許可判斷請(qǐng)求發(fā)送給所述許可服務(wù)器,從而取得該服務(wù)腳本中包含的各 個(gè)服務(wù)的許可判斷結(jié)果,在該服務(wù)腳本中包含的一系列服務(wù)的全部都被許 可了的情況下,向執(zhí)行在該服務(wù)腳本中最初應(yīng)該提供的服務(wù)的服務(wù)提供服 務(wù)器請(qǐng)求對(duì)該用戶ID的用戶提供該服務(wù)。
發(fā)明的效果
根據(jù)本發(fā)明,可以減少直到服務(wù)的提供開始的用戶的等待時(shí)間。
.圖1是示例第1實(shí)施例的訪問許可系統(tǒng)10的結(jié)構(gòu)的系統(tǒng)結(jié)構(gòu)圖。
圖2是示例在通信管理表存儲(chǔ)部504中存儲(chǔ)的數(shù)據(jù)結(jié)構(gòu)的圖。
圖3是示例在通信管理表存儲(chǔ)部604中存儲(chǔ)的數(shù)據(jù)結(jié)構(gòu)的圖。
圖4是示例通信開始請(qǐng)求、通信開始應(yīng)答、許可信息取得請(qǐng)求、許可
信息取得應(yīng)答、注冊(cè)信息取得請(qǐng)求和注冊(cè)信息取得應(yīng)答的數(shù)據(jù)結(jié)構(gòu)的圖。 圖5是示例用戶屬性信息、服務(wù)策略信息、許可判斷請(qǐng)求、許可判斷
應(yīng)答、和許可信息的數(shù)據(jù)結(jié)構(gòu)的圖。
圖6是示例注冊(cè)信息更新請(qǐng)求、注冊(cè)信息更新應(yīng)答、許可信息刪除請(qǐng)
求、和許可信息刪除應(yīng)答的數(shù)據(jù)結(jié)構(gòu)的圖。
圖7是示例訪問歷史存儲(chǔ)部303中存儲(chǔ)的數(shù)據(jù)結(jié)構(gòu)的圖。
圖8是示例第1實(shí)施例中許可信息存儲(chǔ)部103中存儲(chǔ)的數(shù)據(jù)結(jié)構(gòu)的圖。
圖9是示例下一服務(wù)ID存儲(chǔ)部101中存儲(chǔ)的數(shù)據(jù)結(jié)構(gòu)的圖。
圖10是示例服務(wù)策略信息存儲(chǔ)部201中存儲(chǔ)的數(shù)據(jù)結(jié)構(gòu)的圖。
圖11是示例用戶屬性信息存儲(chǔ)部202中存儲(chǔ)的數(shù)據(jù)結(jié)構(gòu)的圖。
圖12是示例第1實(shí)施例中的訪問許可系統(tǒng)10的服務(wù)提供開始處理的
順序圖。
圖13是示例在第1實(shí)施例中,在服務(wù)提供開始前、服務(wù)提供開始后、 和預(yù)先進(jìn)行了許可判斷后的許可信息存儲(chǔ)部103的內(nèi)容的圖。
圖14是示例第1實(shí)施例中的訪問許可系統(tǒng)10的注冊(cè)信息更新處理的 順序圖。
圖15是示例第2實(shí)施例中的訪問許可系統(tǒng)10的結(jié)構(gòu)的系統(tǒng)結(jié)構(gòu)圖。 圖16是示例許可信息發(fā)送通知和許可信息發(fā)送完成通知的數(shù)據(jù)結(jié)構(gòu)的圖。
圖17是示例第2實(shí)施例中許可信息存儲(chǔ)部103中存儲(chǔ)的數(shù)據(jù)結(jié)構(gòu)的圖。 圖18是示例服務(wù)歷史存儲(chǔ)部106中存儲(chǔ)的數(shù)據(jù)結(jié)構(gòu)的圖。 圖19是示例第2實(shí)施例中的訪問許可系統(tǒng)10的服務(wù)提供開始處理的 順序圖。
圖20是示例第2實(shí)施例中的訪問許可系統(tǒng)10的注冊(cè)信息更新處理的 順序圖。
圖21是示例第3實(shí)施例中的業(yè)務(wù)流程執(zhí)行系統(tǒng)40的結(jié)構(gòu)的系統(tǒng)結(jié)構(gòu)圖。
圖22是示例腳本存儲(chǔ)部701中存儲(chǔ)的數(shù)據(jù)結(jié)構(gòu)的圖。
圖23是示例服務(wù)腳本50的數(shù)據(jù)結(jié)構(gòu)的圖。
圖24是示例流程信息存儲(chǔ)部702中存儲(chǔ)的數(shù)據(jù)結(jié)構(gòu)的圖。
圖25是示例許可判斷請(qǐng)求60和許可判斷結(jié)果70的數(shù)據(jù)結(jié)構(gòu)的圖。
圖26是示例通過腳本執(zhí)行部703執(zhí)行的禁止服務(wù)注冊(cè)處理的流程圖。
圖27是示例禁止判斷處理(S600)的流程圖。
圖28是示例屬性取得請(qǐng)求80、屬性取得應(yīng)答81 、策略取得請(qǐng)求82、
和策略取得應(yīng)答83的數(shù)據(jù)結(jié)構(gòu)的圖。
圖29是示例腳本策略信息存儲(chǔ)部205中存儲(chǔ)的數(shù)據(jù)結(jié)構(gòu)的圖。
圖30是示例第3實(shí)施例中的業(yè)務(wù)流程執(zhí)行系統(tǒng)40的動(dòng)作的順序圖。
圖31是示例第3實(shí)施例中的許可判斷處理(S800)的順序圖。
圖32是示例實(shí)現(xiàn)ASC100、PMS200、CMS300、AuS400、US500、SP600、
SES700、或AS800的功能的計(jì)算機(jī)20的結(jié)構(gòu)的硬件結(jié)構(gòu)圖。
圖33是表示第3實(shí)施例中的業(yè)務(wù)流程執(zhí)行系統(tǒng)40的動(dòng)作的另一例的
順序圖。
具體實(shí)施例
下面,使用附圖來詳細(xì)說明本發(fā)明的實(shí)施例。
在下面的實(shí)施例1和2中,以使用了 SIP(Session Initiation Protocol:會(huì) 話發(fā)起協(xié)議)的訪問許可系統(tǒng)10為一例來進(jìn)行說明。SIP是在正TF中由 RFC3261定義的、進(jìn)行通信會(huì)話的管理和控制的通信協(xié)議。此外,各實(shí)施 例中出現(xiàn)的系統(tǒng)結(jié)構(gòu)要素中,在出現(xiàn)多個(gè)相同要素的情況下,如SP (服務(wù) 提供服務(wù)器)—a、 SP—P來進(jìn)行標(biāo)記。再有,例如在如將SP—a和SP 一 P作為服務(wù)提供服務(wù)器來說明的情況那樣集中多個(gè)要素來進(jìn)行說明的情 況下,僅僅表現(xiàn)為SP。
此外,在下面各實(shí)施例中,所謂用戶是指操作用戶終端(US) 500的 人。所謂服務(wù),表示在SP600上動(dòng)作的、用戶經(jīng)由US500來使用的應(yīng)用程 序的特征。所謂屬性信息是表示用戶和服務(wù)的特性的信息,例如是通過計(jì) 算機(jī)以可解釋的形式來描述用戶的性別、姓名或年齡、或服務(wù)的類別(運(yùn)動(dòng)圖像分配或商務(wù)交易等)、費(fèi)用、或質(zhì)量等的信息。
所謂服務(wù)策略信息是指決定服務(wù)的使用基準(zhǔn)的信息,例如是通過計(jì)算
機(jī)以可解釋的形式來描述僅20歲以上的用戶可使用、僅在特定區(qū)域內(nèi)居住 的用戶可使用、或僅支付了一定金額以上費(fèi)用的用戶可使用等的規(guī)則的信 息。所謂許可信息是用于SP600實(shí)施對(duì)用戶的訪問控制的信息,根據(jù)許可 服務(wù)器(AuS) 400的判斷結(jié)果,由訪問控制服務(wù)器(ACS) 100制作。所 謂控制通信是指例如使用了 SIP的通信,是US500和通信管理服務(wù)器 (CMS) 300之間的通信、以及SP600和CMS300之間的通信。所謂數(shù)據(jù) 通信是指US500和SP600不通過CMS300來進(jìn)行的通信。 <實(shí)施例1>
首先,說明本發(fā)明的第l實(shí)施例。
圖1是示例第1實(shí)施例中的訪問許可系統(tǒng)10的結(jié)構(gòu)的系統(tǒng)結(jié)構(gòu)圖。訪 問許可系統(tǒng)10包括訪問控制服務(wù)器(ACS) 100、策略管理服務(wù)器(PMS) 200、通信管理服務(wù)器(CMS) 300、許可服務(wù)器(AuS) 400、用戶終端(US) 500和多個(gè)服務(wù)提供服務(wù)器(SP)600。ACS100、PMS200、CMS300、AuS400、 US500和SP600經(jīng)由網(wǎng)絡(luò)11而相互通信。
圖1所示的訪問許可系統(tǒng)10在用戶經(jīng)由US500使用服務(wù)時(shí),作為第 三者機(jī)關(guān)的ACS100與PMS200、 AuS400聯(lián)合來進(jìn)行對(duì)該用戶的該服務(wù)的 許可判斷,并根據(jù)該結(jié)果,由CMS300進(jìn)行訪問控制。
接著,描述本實(shí)施例中的訪問許可系統(tǒng)10的各構(gòu)成要素具有的功能。
首先說明US500。 US500包括通信部501、通信應(yīng)用程序502、 SIP客 戶機(jī)503、通信管理表存儲(chǔ)部504和通信控制引擎505。另外,本實(shí)施例中, 將接收到來自SP600的服務(wù)的通信裝置作為US500進(jìn)行說明,但是US500 也可以是代理服務(wù)器等的服務(wù)器裝置,而不需要為終端裝置。
通信部501根據(jù)來自通信應(yīng)用程序502和SIP客戶機(jī)503的指示,經(jīng) 由網(wǎng)絡(luò)11與其他裝置進(jìn)行通信。通信管理表存儲(chǔ)部504中存儲(chǔ)了例如如圖 2所示的這種通信管理表5040。通信管理表5040中,對(duì)特定當(dāng)前接收提供 的服務(wù)的每個(gè)服務(wù)ID5041,存儲(chǔ)由SIP客戶機(jī)503制作的通信ID5042。
在本實(shí)施例的服務(wù)ID5041中,例如存儲(chǔ)有提供由該服務(wù)ID5041特定 的服務(wù)的SP600的URL (Uniform Resource Locator:同一資源定位器)。此外,在本實(shí)施例中作為通信ID5042使用了例如SIP通信中的CallJD。
SIP客戶機(jī)503是執(zhí)行控制通信的功能塊。SIP客戶機(jī)503根據(jù)經(jīng)由與 US500相連的輸入裝置輸入的來自用戶的指示,經(jīng)由通信部501與CMS300 之間執(zhí)行認(rèn)證處理。此外,SIP客戶機(jī)503根據(jù)來自用戶的指示,經(jīng)由通信 部501,與CMS300之間執(zhí)行規(guī)定于SIP的位置注冊(cè)處理。
所謂位置注冊(cè)處理是指將例如自身US500的SIP-URI (Uniform Resource Identifier)和位置信息的組注冊(cè)到SIP服務(wù)器中的處理。作為位置 信息,例如可以是IP地址,也可以是IP地址和端口號(hào)的組等。在本實(shí)施 例中,將執(zhí)行認(rèn)證處理和位置注冊(cè)處理的情形稱作登錄。在本實(shí)施例中, US500和各個(gè)SP600在與CMS300之間預(yù)先分別執(zhí)行登錄的處理。
在登錄處理后,SIP客戶機(jī)503在從通信控制引擎505接收到服務(wù)ID 的情況下,制作記載有該服務(wù)ID的通信開始請(qǐng)求,并將所制作的通信開始 請(qǐng)求經(jīng)由通信部501發(fā)送給CMS300。在本實(shí)施例中通信開始請(qǐng)求例如如 圖4 (a)所示,以與SIP中定義的INVITE要求相同的消息格式來制作。 通信開始請(qǐng)求的BODY部30中記載有從通信控制引擎505通知的服務(wù)ID。
此外,由用戶指示提供了服務(wù)的SP600的URL,但是由于目標(biāo)SP600 的SIP-URI不明確,所以SIP客戶機(jī)503將目標(biāo)SIP-URI作為"匿名"而 制作通信開始請(qǐng)求。
另外,SIP客戶機(jī)503在經(jīng)由通信部501從CMS300接收到通信開始 應(yīng)答的情況下,將在該通信開始應(yīng)答中記載的Call_ID和與該通信開始應(yīng)答 對(duì)應(yīng)的通信開始請(qǐng)求中記載的服務(wù)ID,與表示確立了通信路徑的內(nèi)容的信 息一起發(fā)送給通信控制引擎505。在本實(shí)施例中通信開始應(yīng)答例如如圖4 (b )所示,以與SIP中定義的200OK響應(yīng)相同的消息格式通過CMS300 來制作。
此外,SIP客戶機(jī)503在通過從CMS300接收BYE要求(request)而 通信結(jié)束的情況下,與表示通信結(jié)束的信息一起,將該BYE要求所包含的 CallJD發(fā)送給通信控制引擎605。
此外,SIP客戶機(jī)503在用戶指示了用戶屬性信息的變更的情況下,制 作注冊(cè)信息更新請(qǐng)求,并將所制作的注冊(cè)信息更新請(qǐng)求經(jīng)由通信部501發(fā) 送給CMS300。并且,SIP客戶機(jī)503通過從CMS300接收注冊(cè)信息更新應(yīng)答,而識(shí)別出用戶屬性信息被正常變更。
在本實(shí)施例中注冊(cè)信息更新請(qǐng)求例如如圖6 (a)所示,以與SIP中定 義的UPDATE要求相同的消息格式來制作。注冊(cè)信息更新請(qǐng)求的BODY部 31中記載有由用戶指示的應(yīng)該變更的用戶屬性信息。在本實(shí)施例中注冊(cè)信 息更新應(yīng)答例如如圖6(b)所示,以與SIP中定義的200OK響應(yīng)相同的 消息格式通過CMS300來制作。
通信控制引擎505在從通信應(yīng)用程序502接收到服務(wù)ID的情況下,參 考通信管理表存儲(chǔ)部504,來判斷該服務(wù)ID是否注冊(cè)在通信管理表5040 中。在該服務(wù)ID注冊(cè)在通信管理表5040中的情況下,通信控制引擎505 將表示確立了通信路徑的內(nèi)容的信息返回給通信應(yīng)用程序502。
在該服務(wù)ID沒有注冊(cè)在通信管理表5040中的情況下,通信控制引擎 505通過將該服務(wù)ID發(fā)送給SIP客戶機(jī)503,使SIP客戶機(jī)503在與該服 務(wù)ID所表示的URL的SP600之間確立通信路徑。
并且,通信控制引擎505在從SIP客戶機(jī)503接收到表示確立了通信 路徑的內(nèi)容的信息、CallJD和服務(wù)ID的情況下,將所接收的CallJD作為 通信ID,而將通信ID和服務(wù)ID的組注冊(cè)到通信管理表5040中。而且, 通信控制引擎505將表示確立了通信路徑的內(nèi)容的信息通知給通信應(yīng)用程 序502。
此外,在與表示通信結(jié)束的信息一起,從SIP客戶機(jī)503接收到CallJD 的情況下,通信控制引擎505從通信管理表5040中刪除與CallJD對(duì)應(yīng)的 通信ID和與該通信ID對(duì)應(yīng)的服務(wù)ID。
通信應(yīng)用程序502是執(zhí)行數(shù)據(jù)通信的功能塊。通信應(yīng)用程序502在從 用戶接收到服務(wù)請(qǐng)求的情況下,將與該服務(wù)對(duì)應(yīng)的服務(wù)ID發(fā)送給通信控制 引擎505。并且,通信應(yīng)用程序502在由通信控制引擎505通知了確立了通 信路徑的內(nèi)容的情況下,訪問由該服務(wù)ID表示的URL的SP600而接收對(duì) 應(yīng)服務(wù)的提供,所述通信路徑用于接收與該服務(wù)ID對(duì)應(yīng)的服務(wù)的提供。
接著,說明SP600。 SP600包括通信部601、服務(wù)應(yīng)用程序602、 SIP 客戶機(jī)603、通信管理表存儲(chǔ)部604和通信控制引擎605。通信部601根據(jù) 來自服務(wù)應(yīng)用程序602和SIP客戶機(jī)603的指示,經(jīng)由網(wǎng)絡(luò)11與其他裝置 進(jìn)行通信。通信管理表存儲(chǔ)部604中存儲(chǔ)有例如如圖3所示的通信管理表6040。 在通信管理表6040中,對(duì)特定用戶的每個(gè)用戶ID6041,存儲(chǔ)有對(duì)該用戶 許可提供的服務(wù)的服務(wù)ID6042、特定提供該服務(wù)時(shí)使用的通信路徑的通信 ID6043、和表示對(duì)該用戶許可提供該服務(wù)的許可信息6044。
SIP客戶機(jī)603是執(zhí)行控制通信的功能塊。SIP客戶機(jī)603根據(jù)經(jīng)由與 SP600相連的輸入裝置輸入的來自管理者的指示,經(jīng)由通信部601與 CMS300之間執(zhí)行認(rèn)證處理和位置注冊(cè)處理,從而進(jìn)行登錄。
之后,SIP客戶機(jī)603在從CMS300接收到BODY部30中還包含圖5 (e )所示的形式的許可信息的通信開始請(qǐng)求(參考圖4 (a))的情況下, 將該通信開始請(qǐng)求中包含的發(fā)送源的用戶ID、服務(wù)ID、通信ID和許可信 息發(fā)送給通信控制引擎605。 SIP客戶機(jī)603制作圖4 (b)所示的通信開 始應(yīng)答,并將所制作的通信開始應(yīng)答經(jīng)由通信部601發(fā)送給CMS300。
此外,SIP客戶機(jī)603在通過接收BYE要求而通信結(jié)束了的情況下, 將該BYE要求中包含的Call_ID與表示通信結(jié)束的信息一起,發(fā)送給通信 控制引擎505。
此外,SIP客戶機(jī)603在經(jīng)由通信部601從ACS100接收到許可信息刪 除請(qǐng)求的情況下,從通信管理表6040中刪除全部與該許可信息刪除請(qǐng)求中 包含的用戶ID對(duì)應(yīng)的記錄。并且,SEP客戶機(jī)603制作包含刪除結(jié)果的許 可信息刪除應(yīng)答,并將所制作的許可信息刪除應(yīng)答經(jīng)由通信部601發(fā)送給 ACSIOO。
在本實(shí)施例中,許可信息刪除請(qǐng)求例如如圖6 (e)所示,作為使用了 delAuthorizationAssertionRequest標(biāo)簽的XML消息來制作。圖6 (e)僅表 示許可信息刪除請(qǐng)求中,本實(shí)施例的說明所需的部分。subject標(biāo)簽中記載 有用戶ID。 resource標(biāo)簽中記載有服務(wù)ID。 seq標(biāo)簽中記載有用來使許可 信息刪除請(qǐng)求和許可信息刪除應(yīng)答相對(duì)應(yīng)的要求(request)號(hào)碼。
此外,在本實(shí)施例中許可信息刪除應(yīng)答例如如圖6 (f)所示,作為使 用了 delAuthorizationAssertionResponse標(biāo)簽的XML消息來制作。圖6 (f) 僅表示許可信息刪除應(yīng)答中,本實(shí)施例的說明所需的部分。result標(biāo)簽中記 載有許可信息的刪除結(jié)果。seq標(biāo)簽中記載有用來使許可信息刪除請(qǐng)求和許 可信息刪除應(yīng)答相對(duì)應(yīng)用的要求號(hào)碼。通信控制引擎605在從SIP客戶機(jī)603接收到許可信息的情況下,若 所接收到的許可信息表示許可提供服務(wù)的內(nèi)容,則將該許可信息和與該許 可信息一起接收到的用戶ID、服務(wù)ID和通信ID注冊(cè)到6040中。此外, 在與表示通信結(jié)束的信息一起,從SIP客戶機(jī)603接收到Cal1—ID的情況下, 通信控制引擎605從通信管理表6040中刪除與Call—ID對(duì)應(yīng)的通信ID、和 與該通信ID對(duì)應(yīng)的用戶ID、服務(wù)ID和許可信息。
此外,通信控制引擎605在從服務(wù)應(yīng)用程序602接收到用戶ID和服務(wù) ID的組的情況下,判斷該用戶ID和服務(wù)ID的組是否存在于通信管理表 6040內(nèi)。在該用戶ID和服務(wù)ID的組存在于通信管理表6040內(nèi)的情況下, 通信控制引擎605對(duì)與該用戶ID對(duì)應(yīng)的用戶,將許可提供與該服務(wù)ID對(duì) 應(yīng)的服務(wù)的內(nèi)容返回給服務(wù)應(yīng)用程序602。在該用戶ID和服務(wù)ID的組不 存在于通信管理表6040內(nèi)的情況下,通信控制引擎605對(duì)與該用戶ID對(duì) 應(yīng)的用戶,將不許可提供與該服務(wù)ID對(duì)應(yīng)的服務(wù)的內(nèi)容返回各服務(wù)應(yīng)用程 序602。
服務(wù)應(yīng)用程序602是執(zhí)行數(shù)據(jù)通信的功能塊。服務(wù)應(yīng)用程序602在經(jīng) 由通信部601接收到包含服務(wù)ID和與該服務(wù)ID對(duì)應(yīng)的服務(wù)提供目的地的 用戶的用戶ID的服務(wù)提供請(qǐng)求的情況下,將該用戶ID和服務(wù)ID返回給通 信控制引擎605。并且,在對(duì)于與該用戶ID對(duì)應(yīng)的用戶,從通信控制引擎 605返回了不許可提供與該服務(wù)ID對(duì)應(yīng)的服務(wù)的內(nèi)容的情況下,服務(wù)應(yīng)用 程序602經(jīng)由通信部601將該內(nèi)容返回給與該用戶ID對(duì)應(yīng)的用戶使用的 US500。
另一方面,在對(duì)于與該用戶ID對(duì)應(yīng)的用戶,從通信控制引擎605返回 了許可提供與該服務(wù)ID對(duì)應(yīng)的服務(wù)的內(nèi)容的情況下,服務(wù)應(yīng)用程序602開 始對(duì)與該用戶ID對(duì)應(yīng)的用戶提供與該服務(wù)ID對(duì)應(yīng)的服務(wù)。
接著,說明CMS300。 CMS300包括位置信息存儲(chǔ)部301、登錄處理部 302、訪問歷史存儲(chǔ)部303、 SIP消息控制部304和通信部305。通信部305 根據(jù)來自登錄處理部302和SIP消息控制部304的指示,經(jīng)由網(wǎng)絡(luò)11與其 他裝置進(jìn)行通信。
登錄處理部302在分別與US500和SP600之間執(zhí)行與包含位置注冊(cè)處 理和認(rèn)證處理的登錄有關(guān)的處理,并將位置注冊(cè)中接收到的SIP-URI和位置信息的組注冊(cè)到位置信息存儲(chǔ)部301。在本實(shí)施例中,CMS300包括位置 信息存儲(chǔ)部301和登錄處理部302,但是作為另一例,位置信息存儲(chǔ)部301 和登錄處理部302也可通過CMS300的外部裝置來實(shí)現(xiàn)。訪問歷史存儲(chǔ)部303中例如如圖7所示,將表示SIP通信中的Call_ID 的通信ID3031 、表示US500的用戶的SIP-URI的Subject—ID3032、表示提 供服務(wù)的SP600的SIP-URI的Target—ID3033 、表示服務(wù)ID的 Service—ID3034、表示基于SIP的通信的開始時(shí)間的Start3035、和表示基于 SIP的通信結(jié)束時(shí)間的End3036與識(shí)別各個(gè)記錄的號(hào)碼3030相對(duì)應(yīng)地被存 儲(chǔ)。SIP消息控制部304在經(jīng)由通信部305從US500接收到圖4 (a)所示 的通信開始請(qǐng)求的情況下,從由該通信開始請(qǐng)求的BODY部30中記載的 服務(wù)ID特定的URL,參考外部的DNS服務(wù)器等,來特定與該URL對(duì)應(yīng) 的SP600的位置信息(IP地址),并從位置信息存儲(chǔ)部301提取與所特定的 位置信息對(duì)應(yīng)的SIP-URI 。并且,SIP消息控制部304將該通信開始請(qǐng)求所包含的Call一ID作為通 信ID,將該通信開始請(qǐng)求的發(fā)送源的SIP-URI作為SubjectJD,并將根據(jù) 該通信開始請(qǐng)求中包含的服務(wù)ID來特定的SIP-URI作為Target一ID,將該 通信開始請(qǐng)求中包含的服務(wù)ID作為Service—ID,而與新分配的號(hào)碼相對(duì)應(yīng) 地存儲(chǔ)于訪問歷史存儲(chǔ)部303。并且,SIP消息控制部304制作許可信息取得請(qǐng)求,并將所制作的許可 信息取得請(qǐng)求經(jīng)由通信部305發(fā)送給ACS100。在本實(shí)施例中許可信息取得 請(qǐng)求如圖4 (c)所示,作為使用了 getAuthAssertionRequest標(biāo)簽的XML 消息制作。圖4 (c)僅表示許可信息取得請(qǐng)求中、本實(shí)施例的說明所需的 部分。subject標(biāo)簽中記載有US500的SIP-URI。 resource標(biāo)簽中記載有服務(wù) ID。 seq標(biāo)簽中記載有用來使許可信息取得請(qǐng)求與作為其應(yīng)答的許可信息取 得應(yīng)答相對(duì)應(yīng)的要求號(hào)碼。此夕卜,SIP消息控制部304在經(jīng)由通信部305從ACS100接收到許可信 息取得應(yīng)答的情況下,制作在BODY部30中還包含圖5 (e)所示的形式 的許可信息的通信開始請(qǐng)求(參考圖4 (a)),并將所制作的通信開始請(qǐng)求 經(jīng)由通信部305發(fā)送給SP600。在本實(shí)施例中許可信息取得應(yīng)答如圖4 (d)所示,作為使用了 getAuthAssertionResponse標(biāo)簽的XML消息制作。圖4 (d)僅表示許可信息取得應(yīng)答中、本實(shí)施例的說明所需的部分。assertion 標(biāo)簽中記載有許可信息(參考圖5 (e))。 seq標(biāo)簽中記載有用來使許可信 息取得請(qǐng)求和許可信息取得應(yīng)答相對(duì)應(yīng)的要求號(hào)碼。再有,SIP消息控制部304在經(jīng)由通信部305從SP600接收到通信開 始應(yīng)答的情況下,參考訪問歷史存儲(chǔ)部303,特定與該通信開始應(yīng)答中包含 的Call一ID相同的通信ID、與該通信開始應(yīng)答中包含的發(fā)送源的SIP-URI 相同的Subject—ID、和與該通信開始應(yīng)答中包含的目的地SIP-URI相同的 Target—ID相對(duì)應(yīng)的記錄,并在所特定出的記錄的Start的欄中注冊(cè)接收到該 通信開始應(yīng)答的時(shí)間。并且,SIP消息控制部304改寫該通信開始應(yīng)答內(nèi)的 一部分信息(例如via頭的內(nèi)容)而發(fā)送給目的地的US500。此外,SIP消息控制部304在經(jīng)由通信部305接收到對(duì)BYE要求的 200OK響應(yīng)的情況下,特定與該200OK響應(yīng)中包含的Call—ID相同的通信 ID、與該200OK響應(yīng)中包含的發(fā)送源的SIP-URI相同的Subject_ID、和與 該200OK響應(yīng)中包含的目的地的SIP-URI相同的Target_ID相對(duì)應(yīng)的記錄, 并在所特定出的記錄的End的欄中注冊(cè)接收到該OK響應(yīng)的時(shí)間。再有,SIP消息控制部304在經(jīng)由通信部305從US500接收到圖6 (a)所示的注冊(cè)信息更新請(qǐng)求的情況下,制作不同的形式的注冊(cè)信息更新請(qǐng) 求,并將所制作的注冊(cè)信息更新請(qǐng)求經(jīng)由通信部305發(fā)送給ACSIOO。在本 實(shí)施例中,通過SIP消息控制部304制作的注冊(cè)信息更新請(qǐng)求例如如圖6 (c)所示,作為使用了updateAttributeRequest標(biāo)簽的XML消息制作。圖 6 (c)僅表示通過SIP消息控制部304制作的注冊(cè)信息更新請(qǐng)求中,本實(shí) 施例的說明所需的部分。subject標(biāo)簽中記載有US500的SIP-URI。 attribute 標(biāo)簽中記載有應(yīng)該更新的用戶屬性信息。seq標(biāo)簽中記載有用來使注冊(cè)信息更新請(qǐng)求和作為該應(yīng)答的注冊(cè)信息更新應(yīng)答相對(duì)應(yīng)的要求號(hào)碼。再有,SIP消息控制部304在經(jīng)由通信部305從ACS100接收到注冊(cè)信 息更新應(yīng)答的情況下,制作不同的形式的注冊(cè)信息更新應(yīng)答(圖6 (b)參 考),并將所制作的注冊(cè)信息更新請(qǐng)求經(jīng)由通信部305發(fā)送給US500。在本 實(shí)施例中,從ACS100發(fā)送的注冊(cè)信息更新應(yīng)答例如如圖6 (d)所示,作 為使用了 updateAttributeResponse標(biāo)簽的XML消息制作。圖6 (d)僅表示從ACSIOO發(fā)送的注冊(cè)信息更新應(yīng)答中,本實(shí)施例的說明所需的部分。result 標(biāo)簽中記載有用戶屬性信息的變更結(jié)果。seq標(biāo)簽中記載有用來使注冊(cè)信息 更新請(qǐng)求和注冊(cè)信息更新應(yīng)答相對(duì)應(yīng)的要求號(hào)碼。接著,說明ACS100。 ACS100包括下一服務(wù)ID存儲(chǔ)部101、下一服務(wù) ID特定部102、許可信息存儲(chǔ)部103、許可判斷請(qǐng)求部104和通信部105。 通信部105根據(jù)來自許可判斷請(qǐng)求部104的指示,經(jīng)由網(wǎng)絡(luò)11與其他裝置 進(jìn)行通信。許可信息存儲(chǔ)部103中例如如圖8所示,將表示US500的用戶的 SIP-URI的主題(Subject) 1031、表示服務(wù)ID的資源(Resource) 1032、 通過許可判斷請(qǐng)求部104所制作的許可信息(參考圖5 (e))中記載的聲明 ID1033、表示存儲(chǔ)許可信息的位置的許可信息參考點(diǎn)1034、表示是否將與 資源1032對(duì)應(yīng)的服務(wù)提供給與主題1031對(duì)應(yīng)的用戶的狀態(tài)的通信標(biāo)志 1035與識(shí)別各個(gè)記錄的號(hào)碼1030相對(duì)應(yīng)地被存儲(chǔ)。在下一服務(wù)ID存儲(chǔ)部101中例如如圖9所示,對(duì)各個(gè)服務(wù)的每一個(gè)服 務(wù)IDIOIO,存儲(chǔ)有表示下次被提供的服務(wù)的服務(wù)ID的下一服務(wù)IDlOll。 在本實(shí)施例中,各個(gè)服務(wù)構(gòu)成預(yù)定的工作流(workflow)內(nèi)的一部分,對(duì) 每個(gè)工作流預(yù)先決定服務(wù)的提供順序。在下一服務(wù)ID特定部102從許可判斷請(qǐng)求部104接收到用戶ID和服 務(wù)ID的情況下,參考下一服務(wù)ID存儲(chǔ)部101,提取與該服務(wù)ID相對(duì)應(yīng)的 下一服務(wù)ID。并且,下一服務(wù)ID特定部102將所提取出的下一服務(wù)ID與 從許可判斷請(qǐng)求部104接收到的用戶ID —起發(fā)送給許可判斷請(qǐng)求部104。 另外,在與從許可判斷請(qǐng)求部104接收到的服務(wù)ID對(duì)應(yīng)的下一服務(wù)ID不 存在于下一服務(wù)ID存儲(chǔ)部101內(nèi)的情況下(例如工作流內(nèi)的最后的服務(wù)之 后應(yīng)該提供的服務(wù)的服務(wù)ID等),下一服務(wù)ID特定部102將許可判斷請(qǐng)求 部104所接收的用戶ID返回給許可判斷請(qǐng)求部104。許可判斷請(qǐng)求部104在經(jīng)由通信部105從CMS300接收到許可信息取 得請(qǐng)求(參考圖4 (c))的情況下,參考許可信息存儲(chǔ)部103,而判斷是否 存在許可信息,該許可信息對(duì)應(yīng)于由該許可信息取得請(qǐng)求的subject標(biāo)簽表 示的用戶ID和由resource標(biāo)簽表示的服務(wù)ID的組合。在存在與該用戶ID 和服務(wù)ID的組合對(duì)應(yīng)的許可信息的情況下,許可判斷請(qǐng)求部104從許可信息存儲(chǔ)部103取得該許可信息,而制作在圖4 (d)所說明的許可信息取得 應(yīng)答,并將所制作的許可信息取得應(yīng)答經(jīng)由通信部105發(fā)送給CMS300。在與許可信息取得請(qǐng)求中包含的用戶ID和服務(wù)ID的組合對(duì)應(yīng)的許可 信息不存在于許可信息存儲(chǔ)部103內(nèi)的情況下,許可判斷請(qǐng)求部104制作 注冊(cè)信息取得請(qǐng)求,并將所制作的注冊(cè)信息取得請(qǐng)求經(jīng)由通信部105發(fā)送 給PMS200。在本實(shí)施例中注冊(cè)信息取得請(qǐng)求如圖4 (e)所示,作為使用 了 getAttributeAndPolicyRequest標(biāo)簽的XML消息制作。圖4 (e)僅表示注 冊(cè)信息取得請(qǐng)求中,本實(shí)施例的說明所需的部分。subject標(biāo)簽中記載有 US500的SIP-URI。 resource標(biāo)簽中記載有服務(wù)ID。 seq標(biāo)簽中記載有用來 使注冊(cè)信息取得請(qǐng)求和注冊(cè)信息取得應(yīng)答相對(duì)應(yīng)的要求號(hào)碼。在經(jīng)由通信部105從PMS200接收到注冊(cè)信息取得應(yīng)答的情況下,許 可判斷請(qǐng)求部104制作許可判斷請(qǐng)求,并將所制作的許可判斷請(qǐng)求經(jīng)由通 信部105發(fā)送給AuS400。本實(shí)施例中,注冊(cè)信息取得應(yīng)答如圖4 (f)所示, 作為使用了 getAttributeAndPolicyResponse標(biāo)簽的XML消息制作。圖4 (f) 僅表示注冊(cè)信息取得應(yīng)答中,本實(shí)施例的說明所需的部分。注冊(cè)信息取得應(yīng)答的result標(biāo)簽中記載有US500的用戶的屬性信息和 服務(wù)策略信息的取得結(jié)果。作為取得結(jié)果,例如,在可取得用戶的屬性信 息和服務(wù)策略信息兩者的情況下,記載OK,在用戶屬性信息和服務(wù)策略信 息其中之一不能取得的情況下,記載NG。注冊(cè)信息取得應(yīng)答的seq標(biāo)簽中 記載有用來使注冊(cè)信息取得請(qǐng)求和注冊(cè)信息取得應(yīng)答相對(duì)應(yīng)的要求號(hào)碼。注冊(cè)信息取得應(yīng)答的attribute標(biāo)簽中記載有用戶的屬性信息。用戶屬 性信息作為例如如圖5 (a)所示的XML消息來描述。屬性信息的id標(biāo)簽 中記載有用戶的SIP-URI。 name標(biāo)簽中記載有用戶的姓名。age標(biāo)簽中記 載有用戶的年齡。sex標(biāo)簽中記載有用戶的性別。address標(biāo)簽中記載有用 戶的地址。interests標(biāo)簽中用戶的愛好通過夾著item標(biāo)簽而分別被記載。 item標(biāo)簽記載有一個(gè)以上。id標(biāo)簽之外的標(biāo)簽的要素是選項(xiàng),在沒有記載 的情況下,在各標(biāo)簽的要素上記載"null"。注冊(cè)信息取得應(yīng)答的policy標(biāo)簽中記載有服務(wù)策略信息。服務(wù)策略信 息作為例如如圖5 (b)所示的XML消息來描述。id標(biāo)簽中記載有服務(wù)ID。 ruleLists標(biāo)簽中通過夾著rule標(biāo)簽而記載有用于進(jìn)行許可判斷的基準(zhǔn)的規(guī)則。algorithm標(biāo)簽中記載有使用了 ruleLists標(biāo)簽中記載的各規(guī)則的許可判 斷所用的算法的名稱。Rule標(biāo)簽記載有一個(gè)以上。此外,id標(biāo)簽之外的標(biāo) 簽的要素是選項(xiàng),在沒有記載的情況下,在各標(biāo)簽的要素上記載"null"。在本實(shí)施例中,作為可以使用的許可判斷算法的例子,假定兩種許可 判斷算法。服務(wù)策略信息中記載的algorithm標(biāo)簽的要素中例如可指定下面 2個(gè)算法。"Deny-overrides"是對(duì)所有規(guī)則進(jìn)行判斷,僅在對(duì)所有規(guī)則都是 "Permit"的情況下將許可判斷結(jié)果設(shè)作"Permit",對(duì)于除此之外的所有 情況,都將許可判斷結(jié)果設(shè)作"Deny"的許可判斷算法。"Permit-overrides" 是對(duì)所有規(guī)則進(jìn)行判斷,若對(duì)于某一個(gè)規(guī)則為"Permit",則將許可判斷結(jié) 果設(shè)作"Pemiit",僅在對(duì)所有規(guī)則都是"Deny"的情況下將許可判斷結(jié)果 所作"Deny"的許可判斷算法。在使用不需要進(jìn)行許可判斷的服務(wù)的情況 下,作為許可判斷算法指定"null"。此外,在本實(shí)施例中,許可判斷請(qǐng)求如圖5 (c)所示,作為使用了 judgeAuthorizationRequest標(biāo)簽的XML消息制作。圖5 (c)僅表示許可判 斷請(qǐng)求中,本實(shí)施例的說明所需的部分。attribute標(biāo)簽中記載有用戶的屬性 信息。policy標(biāo)簽中記載有服務(wù)策略信息。s叫標(biāo)簽中記載有用來使許可判 斷請(qǐng)求和許可判斷應(yīng)答相對(duì)應(yīng)的要求號(hào)碼。并且,在經(jīng)由通信部105從AuS400接收到許可判斷應(yīng)答的情況下, 許可判斷請(qǐng)求部104制作許可信息。在本實(shí)施例中,許可判斷應(yīng)答如圖5 (d)所示,作為使用了 judgeAuthorizationResponse標(biāo)簽的XML消息來制 作。圖5 (d)僅表示許可判斷應(yīng)答中,本實(shí)施例的說明所需的部分。result 標(biāo)簽中記載有許可判斷的結(jié)果。seq標(biāo)簽中記載有用來使許可判斷請(qǐng)求和許 可判斷應(yīng)答相對(duì)應(yīng)的要求號(hào)碼。并且,在該許可判斷應(yīng)答包含的許可判斷結(jié)果表示許可提供服務(wù)的內(nèi) 容的情況下,許可判斷請(qǐng)求部104將所制作的許可信息保存到ACS100內(nèi) 的存儲(chǔ)器或ACS100外部裝置內(nèi)的存儲(chǔ)器中,并將表示保存目的地的信息、 與作為該許可信息的對(duì)象的用戶ID和服務(wù)ID相對(duì)應(yīng)地注冊(cè)到許可信息存 儲(chǔ)部103。并且,許可判斷請(qǐng)求部104制作許可信息取得應(yīng)答(參考圖4(d)), 而經(jīng)由通信部105發(fā)送給CMS300。本實(shí)施例中許可信息如圖5 (e)所示,作為使用了 assertion-Body標(biāo)簽的XML消息制作。圖5 (e)僅表示許可信息中,本實(shí)施例的說明所需的 部分。assertionID標(biāo)簽中記載有識(shí)別許可信息的識(shí)別信息。subject標(biāo)簽中 記載有與許可判斷應(yīng)答對(duì)應(yīng)的許可判斷請(qǐng)求內(nèi)的用戶屬性信息所包含的用 戶ID。 resource標(biāo)簽中記載有與許可判斷應(yīng)答對(duì)應(yīng)的許可判斷請(qǐng)求內(nèi)的服 務(wù)策略信息所包含的服務(wù)ID。 decision標(biāo)簽中記載有許可判斷應(yīng)答所包含 的許可判斷的結(jié)果。signature標(biāo)簽中記載有將assertion-Body標(biāo)簽整體作為 對(duì)象的XML署名。在將許可信息取得應(yīng)答發(fā)送給CMS300后,許可判斷請(qǐng)求部104將該 許可信息取得應(yīng)答中包含的用戶ID和服務(wù)ID發(fā)送給下一服務(wù)ID特定部 102。并且,在從下一服務(wù)ID特定部102接收到用戶ID和下一服務(wù)ID的 情況下,許可判斷請(qǐng)求部104判斷與該用戶ID和下一服務(wù)ID的組合對(duì)應(yīng) 的許可信息是否注冊(cè)在許可信息存儲(chǔ)部103。在與該用戶ID和下一服務(wù)ID的組合對(duì)應(yīng)的許可信息沒有注冊(cè)在許可 信息存儲(chǔ)部103的情況下,許可判斷請(qǐng)求部104制作包含該用戶ID和下一 服務(wù)ID的注冊(cè)信息取得請(qǐng)求(參考圖4 (e)),并發(fā)送給PMS200。另夕卜, 在與該用戶ID和下一服務(wù)ID的組合對(duì)應(yīng)的許可信息已經(jīng)注冊(cè)在許可信息 存儲(chǔ)部103的情況下,或下一服務(wù)ID特定部102沒有與用戶ID —起輸出 下一服務(wù)ID的情況下,許可判斷請(qǐng)求部104不執(zhí)行預(yù)先進(jìn)行許可判斷的處 理。并且,許可判斷請(qǐng)求部104從PMS200接收注冊(cè)信息取得應(yīng)答(圖4 (f)),并根據(jù)接收到的注冊(cè)信息取得應(yīng)答來制作許可判斷請(qǐng)求(圖5 (c)) 并發(fā)送給AuS400。并且,許可判斷請(qǐng)求部104從AuS400接收許可判斷應(yīng) 答(圖5 (d)),在接收到的許可判斷應(yīng)答中包含的許可判斷結(jié)果表示許可 提供服務(wù)的內(nèi)容的情況下,制作許可信息,并將所制作的許可信息保存到 ACS100內(nèi)的存儲(chǔ)器或ACS100外部裝置內(nèi)的存儲(chǔ)器中,使表示保存目的地 的信息、與作為該許可信息的對(duì)象的用戶ID和服務(wù)I D相對(duì)應(yīng)地注冊(cè)到許 可信息存儲(chǔ)部103中。這樣,許可判斷請(qǐng)求部104在由該用戶請(qǐng)求前執(zhí)行對(duì)某個(gè)用戶進(jìn)行了 許可判斷的服務(wù)之后應(yīng)該提供的服務(wù)的許可判斷。由此,訪問許可系統(tǒng)io 在從用戶接收到服務(wù)的請(qǐng)求的情況下,許可判斷期間不會(huì)讓用戶等待,而可根據(jù)對(duì)用戶的許可判斷結(jié)果迅速開始提供服務(wù)。另外,在本實(shí)施例中,許可判斷請(qǐng)求部104從將許可信息取得應(yīng)答發(fā) 送給CMS300后,到從CMS300接收對(duì)由該許可信息取得應(yīng)答中記載的服 務(wù)ID特定的服務(wù)之后應(yīng)該提供的服務(wù)的許可信息取得請(qǐng)求的期間,對(duì)與該 許可信息取得應(yīng)答中包含的用戶ID對(duì)應(yīng)的用戶,執(zhí)行與該下一個(gè)應(yīng)該提供 的服務(wù)的許可判斷有關(guān)的處理。優(yōu)選地,在許可判斷請(qǐng)求部104從將許可信息取得應(yīng)答發(fā)送給CMS300 后,到從CMS300接收對(duì)由該許可信息取得應(yīng)答中記載的服務(wù)ID特定的服 務(wù)之后應(yīng)該提供的服務(wù)的許可信息取得請(qǐng)求的期間,ACS100的處理負(fù)載低 時(shí),實(shí)施該下一個(gè)應(yīng)該提供的服務(wù)的許可判斷。處理負(fù)載低時(shí)是指例如 ACS1O0的處理負(fù)載比預(yù)定的閾值低時(shí)。例如,在ACS100的CPU使用率 小于50%時(shí),許可判斷請(qǐng)求部104實(shí)施該下一個(gè)應(yīng)該提供的服務(wù)的許可判 斷。此外,許可判斷請(qǐng)求部104在經(jīng)由通信部105從CMS300接收到注冊(cè) 信息更新請(qǐng)求(參考圖6 (c))的情況下,將接收到的注冊(cè)信息更新請(qǐng)求傳 送給PMS200。并且,在從PMS200接收到注冊(cè)信息更新應(yīng)答(參考圖6(d)) 的情況下,許可判斷請(qǐng)求部104參考許可信息存儲(chǔ)部103,判斷與該注冊(cè)信 息更新應(yīng)答對(duì)應(yīng)的注冊(cè)信息更新請(qǐng)求所包含的用戶ID是否注冊(cè)在許可信 息存儲(chǔ)部103。在該用戶ID沒有注冊(cè)在許可信息存儲(chǔ)部103的情況下,許 可判斷請(qǐng)求部104將從PMS200接收到的注冊(cè)信息更新應(yīng)答傳送給 CMS300。另一方面,在與從PMS200接收到的注冊(cè)信息更新應(yīng)答對(duì)應(yīng)的注冊(cè)信 息更新請(qǐng)求所包含的用戶ID注冊(cè)在許可信息存儲(chǔ)部103中的情況下,許可 判斷請(qǐng)求部104參考許可信息存儲(chǔ)部103,提取與該用戶ID相對(duì)應(yīng)的服務(wù) ID。并且,許可判斷請(qǐng)求部104對(duì)所提取的各個(gè)服務(wù)ID制作許可信息刪除 請(qǐng)求(參考圖6 (e)),并將所制作的許可信息刪除請(qǐng)求經(jīng)由通信部105發(fā) 送給各個(gè)目的地的SP600。并且,在從發(fā)送了許可信息刪除請(qǐng)求的所有SP600接收到許可信息刪 除應(yīng)答(圖6 (f))的情況下,許可判斷請(qǐng)求部104從許可信息存儲(chǔ)部103 中刪除包含所發(fā)送的許可信息刪除請(qǐng)求中含有的用戶ID的所有記錄,并將從PMS200接收到的注冊(cè)信息更新應(yīng)答傳送CMS300。接著,說明PMS200。 PMS200包括服務(wù)策略信息存儲(chǔ)部201、用戶屬 性信息存儲(chǔ)部202、信息管理部203和通信部204。通信部204根據(jù)來自信 息管理部203的指示,經(jīng)由網(wǎng)絡(luò)ll與其他裝置進(jìn)行通信。例如如圖10所示,服務(wù)策略信息存儲(chǔ)部201中對(duì)每個(gè)服務(wù)ID2010, 存儲(chǔ)有參考目的地地址2011 ,該參考目的地地址2011表示存儲(chǔ)有與該服務(wù) ID2010對(duì)應(yīng)的服務(wù)的服務(wù)策略信息的實(shí)體的在PMS200的存儲(chǔ)器內(nèi)的位 置。服務(wù)策略信息的實(shí)體是例如如圖5 (b)所示的數(shù)據(jù)結(jié)構(gòu)。例如如圖ll所示,用戶屬性信息存儲(chǔ)部202中,對(duì)每個(gè)用戶ID2020, 存儲(chǔ)有參考目的地地址2021 ,該參考目的地地址2021表示存儲(chǔ)有與該用戶 ID2020對(duì)應(yīng)的用戶的屬性信息的實(shí)體的在PMS200的存儲(chǔ)器內(nèi)的位置。用 戶屬性信息的實(shí)體是例如如圖5 (a)所示的數(shù)據(jù)結(jié)構(gòu)。信息管理部203在經(jīng)由通信部204從ACS100接收到注冊(cè)信息取得請(qǐng) 求(參考圖4 (e))的情況下,從服務(wù)策略信息存儲(chǔ)部201取得與該注冊(cè)信 息取得請(qǐng)求中包含的服務(wù)ID對(duì)應(yīng)的服務(wù)策略信息,并從用戶屬性信息存儲(chǔ) 部202取得與該注冊(cè)信息取得請(qǐng)求中包含的用戶ID對(duì)應(yīng)的用戶屬性信息。 并且,信息管理部203根據(jù)所取得的服務(wù)策略信息和用戶屬性信息,來制 作注冊(cè)信息取得應(yīng)答(參考圖4 (f)),并將所制作的注冊(cè)信息取得應(yīng)答經(jīng) 由通信部204發(fā)送給ACS 100。此外,信息管理部203在經(jīng)由過通信部204從ACS 100接收到注冊(cè)信 息更新請(qǐng)求(參考圖6 (c))的情況下,參考用戶屬性信息存儲(chǔ)部202,而 用該注冊(cè)信息更新請(qǐng)求中包含的用戶屬性信息來更新與該注冊(cè)信息更新請(qǐng) 求中包含的用戶ID對(duì)應(yīng)的用戶屬性信息。并且,信息管理部203制作包含 更新結(jié)果的注冊(cè)信息更新應(yīng)答(圖6 (d)),并將所制作的注冊(cè)信息更新應(yīng) 答經(jīng)由通信部204發(fā)送給ACSIOO。接著,說明AuS400。 AuS400包括許可判斷部401和通信部402。通 信部402根據(jù)來自許可判斷部401的指示,經(jīng)由網(wǎng)絡(luò)11與其他裝置進(jìn)行通 信。許可判斷部401在經(jīng)由通信部402從ACS100接收到許可判斷請(qǐng)求(參 考圖5 (c))的情況下,執(zhí)行判斷該許可判斷請(qǐng)求中包含的用戶屬性信息是否滿足該許可判斷請(qǐng)求中包含的服務(wù)策略信息的許可判斷。并且,許可判斷部401制作包含許可判斷結(jié)果的許可判斷應(yīng)答(參考圖5 (d)),并將所 制作的許可判斷應(yīng)答經(jīng)由通信部402發(fā)送給ACSIOO。接著,使用圖12來說明在第1實(shí)施例中,在根據(jù)用戶的請(qǐng)求而開始提 供服務(wù)的情況下的訪問許可系統(tǒng)10的一系列動(dòng)作。首先,US500的SIP客戶機(jī)503根據(jù)來自用戶的請(qǐng)求制作圖4 (a)所 示的通信開始請(qǐng)求,并將所制作的通信開始請(qǐng)求發(fā)送給CMS300 (SIOO)。 這里,假定US500的用戶的SIP-RUI是"jiro@sipdomain.com",用戶希望 的服務(wù)的服務(wù)ID是"http:〃travel.testservicel.com/"。 CMS300的SIP消息控 制部304根據(jù)從US500接收到的通信開始請(qǐng)求,來制作圖4 (c)所示的許 可信息取得請(qǐng)求,并將所制作的許可信息取得請(qǐng)求發(fā)送給ACS100 (SIOI)。接著,ACS100的許可判斷請(qǐng)求部104判斷與從CMS300接收到的許 可信息取得請(qǐng)求中包含的用戶ID和服務(wù)ID的組合對(duì)應(yīng)的許可信息是否存 儲(chǔ)在許可信息存儲(chǔ)部103中(S102)。在與該用戶ID和服務(wù)ID的組合對(duì)應(yīng) 的許可信息存儲(chǔ)在許可信息存儲(chǔ)部103中的情況下(S102:是),許可判斷 請(qǐng)求部104執(zhí)行步驟S109所示的處理。這里,假設(shè)在執(zhí)行步驟S102之前的許可信息存儲(chǔ)部103中存儲(chǔ)有例如 如圖13 (a)所示的數(shù)據(jù)。在由本順序圖表示的例子中,與從CMS300接 收到的許可信息取得請(qǐng)求包含的用戶ID和服務(wù)ID的組合對(duì)應(yīng)的許可信息 沒有存儲(chǔ)在許可信息存儲(chǔ)部103中(S102:否),許可判斷請(qǐng)求部104根據(jù) 該用戶ID和服務(wù)ID,制作圖4 (e)所示的注冊(cè)信息取得請(qǐng)求,并將所制 作的注冊(cè)信息取得請(qǐng)求發(fā)送給PMS200 (S103)。PMS200的信息管理部203根據(jù)從ACS100接收到的注冊(cè)信息取得請(qǐng)求 中包含的用戶ID和服務(wù)ID,從服務(wù)策略信息存儲(chǔ)部201和用戶屬性信息 存儲(chǔ)部202分別取得對(duì)應(yīng)的用戶屬性信息和服務(wù)策略信息。并且,信息管 理部203制作包含所取得的用戶屬性信息和服務(wù)策略信息的注冊(cè)信息取得 應(yīng)答(參考圖4 (f)),并將所制作的注冊(cè)信息取得應(yīng)答發(fā)送給ACS100 (S104)。接著,ACS100的許可判斷請(qǐng)求部104制作包含從PMS200接收到的注 冊(cè)信息取得應(yīng)答中包含的用戶屬性信息和服務(wù)策略信息的許可判斷請(qǐng)求(參考圖5 (c)),并將所制作的許可判斷請(qǐng)求發(fā)送給AuS400 (S105)。 AuS400的許可判斷部401判斷從ACS100接收到的許可判斷請(qǐng)求中包含的 用戶屬性信息是否滿足該許可判斷請(qǐng)求中包含的服務(wù)策略信息(S106)。并 且,許可判斷部401制作包含許可判斷結(jié)果的許可判斷應(yīng)答(參考圖5(d)), 并將所制作的許可判斷應(yīng)答發(fā)送給ACS100 (S107)。
接著,ACS100的許可判斷請(qǐng)求部104根據(jù)從AuS400接收到的許可判 斷應(yīng)答,制作圖5 (e)所示的許可信息,在該許可應(yīng)答中包含的判斷結(jié)果 表示許可使用服務(wù)的內(nèi)容的情況下,將該許可信息與對(duì)應(yīng)的用戶ID和服務(wù) ID等的信息一起保存在許可信息存儲(chǔ)部103中(S108)。在該時(shí)刻,許可 信息存儲(chǔ)部103內(nèi)的數(shù)據(jù)為例如如圖13 (b)所示的結(jié)構(gòu)。并且,許可判斷 請(qǐng)求部104制作圖4 (d)所示的許可信息取得應(yīng)答,并將所制作的許可信 息取得應(yīng)答發(fā)送給CMS300 (S109)。
CMS300的SIP消息控制部304在圖4 (a)所示的通信開始請(qǐng)求中, 將目的地設(shè)為提供與服務(wù)ID對(duì)應(yīng)的服務(wù)的SP600的SIP-URI,并制作BODY 部30中包含有從ACS100接收到的許可信息取得應(yīng)答中含有的許可信息的 通信開始請(qǐng)求,并將所制作的通信開始請(qǐng)求發(fā)送給SP600 (SllO)。
SP600的SIP客戶機(jī)603根據(jù)從CMS300接收到的通信開始請(qǐng)求,制 作圖4 (b)所示的通信開始應(yīng)答,并將所制作的通信開始應(yīng)答發(fā)送給 CMS300 (Slll)。 CMS300的SIP消息控制部304改寫從SP600接收到的 通信開始應(yīng)答的一部分而發(fā)送給US500 (S112)。并且,SP600的服務(wù)應(yīng)用 程序602開始向US500提供服務(wù)(S113)。
接著,ACS100的許可判斷請(qǐng)求部104將在步驟S109中發(fā)送了的許可 信息取得應(yīng)答內(nèi)的許可信息中包含的用戶ID和服務(wù)ID發(fā)送給下一服務(wù)ID 特定部102。下一服務(wù)ID特定部102參考下一服務(wù)ID存儲(chǔ)部101 ,而提取 與該服務(wù)ID相對(duì)應(yīng)的下一服務(wù)ID,從而特定接著下一個(gè)提供的服務(wù)的服 務(wù)ID (S114)。
接著,下一服務(wù)ID特定部102將所提取的下一服務(wù)ID與從許可判斷 請(qǐng)求部104接收到的用戶ID—起返回給許可判斷請(qǐng)求部104。并且,許可 判斷請(qǐng)求部104使用從下一服務(wù)ID特定部102接收到的用戶ID和服務(wù)ID, 執(zhí)行步驟S102到步驟S108所示的處理A (S115)。若步驟S115的處理結(jié)束,則許可信息存儲(chǔ)部103內(nèi)的數(shù)據(jù)成為例如圖13 (c)所示的結(jié)構(gòu)。由此, 訪問許可系統(tǒng)IO在被相同用戶請(qǐng)求了下一服務(wù)的提供的情況下,可以根據(jù) 許可信息存儲(chǔ)部103內(nèi)的許可信息來迅速開始提供服務(wù)。
另夕卜,本順序圖中,步驟S114和S115所示的處理在步驟S113所示的 處理之后執(zhí)行,但是本發(fā)明并不限于此,許可判斷請(qǐng)求部104也可在從執(zhí) 行步驟S109所示的處理后到接收與下一服務(wù)的請(qǐng)求對(duì)應(yīng)的許可信息取得 請(qǐng)求的期間,執(zhí)行步驟S114和S115所示的處理。
接著,第1實(shí)施例中,使用圖14來說明由通過US500的用戶進(jìn)行的 注冊(cè)信息的更新有關(guān)的一系列處理。
首先,US500的SIP客戶機(jī)503根據(jù)來自用戶的請(qǐng)求來制作圖6 (a) 所示的注冊(cè)信息更新請(qǐng)求,并將所制作的注冊(cè)信息更新請(qǐng)求發(fā)送給CMS300 (S200)。 CMS300的SIP消息控制部304根據(jù)從US500接收到的注冊(cè)信息 更新請(qǐng)求,來制作圖6 (c)所示的注冊(cè)信息更新請(qǐng)求,并將所制作的注冊(cè) 信息更新請(qǐng)求發(fā)送給ACSIOO (S201)。
ACS100的許可判斷請(qǐng)求部104將從CMS300接收到的注冊(cè)信息更新 請(qǐng)求傳送給PMS200 (S202)。 PMS200的信息管理部203用該注冊(cè)信息更 新請(qǐng)求中包含的用戶屬性信息來更新與從ACS100接收到的注冊(cè)請(qǐng)求更新 請(qǐng)求中包含的用戶ID對(duì)應(yīng)的用戶屬性信息存儲(chǔ)部202內(nèi)的用戶屬性信息 (S203)。并且,信息管理部203制作圖6 (d)所示的注冊(cè)信息更新應(yīng)答, 并將所制作的注冊(cè)信息更新應(yīng)答發(fā)送給ACS 100 (S204)。
接著,ACS100的許可判斷請(qǐng)求部104判斷與在步驟S201中接收到的 注冊(cè)信息更新請(qǐng)求中包含的用戶ID對(duì)應(yīng)的許可信息是否存儲(chǔ)在許可信息 存儲(chǔ)部103中(S205)。在與該用戶ID對(duì)應(yīng)的許可信息沒有存儲(chǔ)在許可信 息存儲(chǔ)部103中的情況下(S205:否),許可判斷請(qǐng)求部104執(zhí)行步驟S213 所示的處理。
在與步驟S201中接收到的注冊(cè)信息更新請(qǐng)求中包含的用戶ID對(duì)應(yīng)的 許可信息存儲(chǔ)在許可信息存儲(chǔ)部103中的情況下(S205:是),許可判斷請(qǐng) 求部104從許可信息存儲(chǔ)部103中提取與該許可信息相對(duì)應(yīng)的服務(wù)ID,并 對(duì)所提取的各個(gè)服務(wù)ID,制作圖6(e)所示的許可信息刪除請(qǐng)求,并發(fā)送 所制作的許可信息刪除請(qǐng)求(S206、 S209)。在本例中,假設(shè)在SP600—a和SP600—e ,表示許可提供服務(wù)的內(nèi)容的許可信息已經(jīng)送到,但是在 SP600— Y ,表示許可提供服務(wù)的內(nèi)容的許可信息尚未送到。
SP600— a和SP600— P的各個(gè)SIP客戶機(jī)603參考通信管理表存儲(chǔ)部 604,而從通信管理表6040中全部刪除與從ACS100接收到的許可信息刪 除請(qǐng)求中包含的用戶ID對(duì)應(yīng)的記錄(S207、 S210)。并且,SIP客戶機(jī)603 制作圖6 (f)所示的許可信息刪除應(yīng)答,并將所制作的許可信息刪除應(yīng)答 發(fā)送給ACSIOO (S208、 S211)。
接著,ACS100的許可判斷請(qǐng)求部104從許可信息存儲(chǔ)部103中全部刪 除與步驟S201中接收到的注冊(cè)信息更新請(qǐng)求中包含的用戶ID對(duì)應(yīng)的許可 信息(S212),并將在步驟S204中接收到的注冊(cè)信息更新應(yīng)答傳送給 CMS300 (S213)。 CMS300的SIP消息控制部304根據(jù)從ACS100接收到 的注冊(cè)信息更新應(yīng)答,制作圖6 (b)所示的注冊(cè)信息更新應(yīng)答,并將所制 作的注冊(cè)信息更新應(yīng)答發(fā)送給US500 (S214)。
以上說明了本發(fā)明的第1實(shí)施例。如上述說明可以看出,根據(jù)本實(shí)施 例的訪問許可系統(tǒng)10,可以減少到開始提供用戶所請(qǐng)求的服務(wù)之前的用戶 等待時(shí)間。
另外,在本實(shí)施例中,ACS100保持事先進(jìn)行的許可判斷的結(jié)果,在從 CMS3O0接收到許可信息取得請(qǐng)求的情況下,使用所保持的許可信息來返 回許可信息取得應(yīng)答。由此,ACS100內(nèi)存在著與用戶實(shí)際上沒有接收提供 的服務(wù)有關(guān)的許可信息。因此,在用戶的屬性信息變更了的情況下,需要 執(zhí)行伴隨重新進(jìn)行許可判斷的許可信息的刪除,但是由于保存許可信息的 裝置可以變少,所以能夠減少伴隨許可信息的刪除的通信量。
<實(shí)施例2〉
接著,說明本發(fā)明的第2實(shí)施例。
圖15是示例第2實(shí)施例中的訪問許可系統(tǒng)10的結(jié)構(gòu)的系統(tǒng)結(jié)構(gòu)圖。 訪問許可系統(tǒng)10包括訪問控制服務(wù)器(ACS) 100、策略管理服務(wù)器(PMS) 200、通信管理服務(wù)器(CMS) 300、許可服務(wù)器(AuS)400、用戶終端(US) 500和多個(gè)服務(wù)提供服務(wù)器(SP) 600。除了下面說明的方面,在圖15中 與圖1附加了相同附圖標(biāo)記的結(jié)構(gòu)與圖1中的結(jié)構(gòu)相同或有相同的功能, 所以省略說明。SP600的SIP客戶機(jī)603在從ACS100接收到包含用戶ID、服務(wù)ID和 許可信息的許可信息發(fā)送通知的情況下,將接收到的這些信息注冊(cè)到通信 管理表存儲(chǔ)部604中,并將許可信息發(fā)送完成通知發(fā)送給ACSIOO。
在本實(shí)施例中,許可信息發(fā)送通知例如如圖16 (a)所示,作為使用了 sendAuthorizationAssertionNotify標(biāo)簽的XML消息制作。圖16 (a)僅表示 許可信息發(fā)送通知中,本實(shí)施例的說明所需的部分。subject標(biāo)簽中記載有 用戶ID。 resource標(biāo)簽中記載有服務(wù)ID。 assertion豐示簽中記載有許可信息 (參考圖5 (e))。 seq標(biāo)簽中記載有用來使許可信息發(fā)送通知和許可信息 發(fā)送完成通知相對(duì)應(yīng)的要求號(hào)碼。
此外,在本實(shí)施例中,許可信息發(fā)送完成通知例如如圖16 (b)所示, 作為使用了 sendAuthorizationAssertionReport標(biāo)簽的XML消息制作。圖16 (b)僅表示許可信息發(fā)送完成通知中,本實(shí)施例的說明所需的部分。status 標(biāo)簽中記載有許可信息發(fā)送通知的接收結(jié)果。seq標(biāo)簽中記載有用來使許可 信息發(fā)送通知和許可信息發(fā)送完成通知相對(duì)應(yīng)的要求號(hào)碼。
ACSIOO包括下一服務(wù)ID存儲(chǔ)部101、下一服務(wù)ID特定部102、許可 信息存儲(chǔ)部103、許可判斷請(qǐng)求部104、通信部105和服務(wù)歷史存儲(chǔ)部106。
許可信息存儲(chǔ)部103中例如如圖17所示,使表示US500的用戶的 SIP-URI的Subject1031和表示服務(wù)ID的Resource1032、與識(shí)別各個(gè)記錄 的號(hào)碼1030相對(duì)應(yīng)地被存儲(chǔ)。
服務(wù)歷史存儲(chǔ)部106中例如如圖18所示,對(duì)用戶ID1061和服務(wù)ID1062 的每個(gè)組合存儲(chǔ)有歷史表1060。在各個(gè)歷史表1060中,對(duì)與用戶ID1061 對(duì)應(yīng)的用戶提供了與服務(wù)ID1062對(duì)應(yīng)的服務(wù)后、使表示對(duì)該用戶接著提供 的服務(wù)的服務(wù)ID的下一服務(wù)ID1063與提供與該下一服務(wù)ID1063對(duì)應(yīng)的服 務(wù)的次數(shù)1064相對(duì)應(yīng)地被存儲(chǔ)。
下一服務(wù)ED特定部102在從許可判斷請(qǐng)求部104接收到用戶ID和服 務(wù)ID的情況下,參考下一服務(wù)ID存儲(chǔ)部lOl,判斷是否存在與該服務(wù)ID 相對(duì)應(yīng)的下一服務(wù)ID。在存在與該服務(wù)ID相對(duì)應(yīng)的下一服務(wù)ID的情況下, 下一服務(wù)ID特定部102將該下一服務(wù)ID與從許可判斷請(qǐng)求部104接收到 的用戶ID—起發(fā)送給許可判斷請(qǐng)求部104。
另一方面,在與從許可判斷請(qǐng)求部104接收到的服務(wù)ID相對(duì)應(yīng)的下一服務(wù)ID不存在于下一服務(wù)ID存儲(chǔ)部101內(nèi)的情況下,下一服務(wù)ID特定部 102參考服務(wù)歷史存儲(chǔ)部106,特定與從許可判斷請(qǐng)求部104接收到的用戶 ID和服務(wù)ID對(duì)應(yīng)的歷史表1060。并且,下一服務(wù)ID特定部102參考所特 定的歷史表1060,提取與預(yù)定的閾值以上(例如20以上)的次數(shù)相對(duì)應(yīng)的 下一服務(wù)ID,并將所提取的服務(wù)ID與從許可判斷請(qǐng)求部104接收到的用 戶ID —起發(fā)送給許可判斷請(qǐng)求部104。在圖18所示的例子中,若預(yù)定的 閾值為20次,則下一服務(wù)ID特定部102提取2個(gè)服務(wù)ID。
另外,在與從許可判斷請(qǐng)求部104接收到的用戶ID和服務(wù)ID對(duì)應(yīng)的 歷史表1060不存在于服務(wù)歷史存儲(chǔ)部106內(nèi)的情況下,或與預(yù)定的值以上 的次數(shù)相對(duì)應(yīng)的下一服務(wù)ID不存在于歷史表1060內(nèi)的情況下,下一服務(wù) ID特定部102將從許可判斷請(qǐng)求部104接收到的用戶ID返回給許可判斷 請(qǐng)求部104。
許可判斷請(qǐng)求部104在經(jīng)由通信部105,從CMS300接收到許可信息 取得請(qǐng)求(參考圖4 (c))的情況下,判斷由該許可信息取得請(qǐng)求的subject 標(biāo)簽表示的用戶ID和由resource標(biāo)簽表示的服務(wù)ID的組合是否存在于許 可信息存儲(chǔ)部103內(nèi)。在該用戶ID和服務(wù)ID的組合存在于許可信息存儲(chǔ) 部103內(nèi)的情況下,許可判斷請(qǐng)求部104制作圖4 (d)中不包含assertion 標(biāo)簽的許可信息取得應(yīng)答,并將所制作的許可信息取得應(yīng)答經(jīng)由通信部105 發(fā)送給CMS300。
在許可信息取得請(qǐng)求中包含的用戶ID和服務(wù)ID的組合不存在于許可 信息存儲(chǔ)部103內(nèi)的情況下,許可判斷請(qǐng)求部104制作圖4 (e)所示的注 冊(cè)信息取得請(qǐng)求,并將所制作的注冊(cè)信息取得請(qǐng)求經(jīng)由通信部105發(fā)送給 PMS200。并且,在經(jīng)由通信部105從PMS200接收到圖4 (f)所示的注冊(cè) 信息取得應(yīng)答的情況下,許可判斷請(qǐng)求部104制作圖5 (c)所示的許可判 斷請(qǐng)求,并將所制作的許可判斷請(qǐng)求經(jīng)由通信部105發(fā)送給AuS400。
此外,在經(jīng)由通信部105從AuS400接收到圖5 (d)所示的許可判斷 應(yīng)答的情況下,許可判斷請(qǐng)求部104制作許可信息。并且,在該許可判斷 應(yīng)答中包含的許可判斷結(jié)果表示許可提供服務(wù)的情況下,許可判斷請(qǐng)求部 104將所制作的許可信息中包含的用戶ID和服務(wù)ID保存到許可信息存儲(chǔ) 部103中。并且,許可判斷請(qǐng)求部104制作許可信息取得應(yīng)答(參考圖4(d)),并經(jīng)由通信部105發(fā)送給CMS300。
在將許可信息取得應(yīng)答發(fā)送給CMS300后,許可判斷請(qǐng)求部104將作 為該許可信息取得應(yīng)答的契機(jī)的許可信息取得請(qǐng)求中包含的用戶ID和服 務(wù)ID發(fā)送給下一服務(wù)ID特定部102。并且,在從下一服務(wù)ID特定部102 接收到用戶ID和下一服務(wù)ID的情況下,許可判斷請(qǐng)求部104判斷該用戶 ID和下一服務(wù)ID的組合是否注冊(cè)在許可信息存儲(chǔ)部103中。
在該用戶ID和下一服務(wù)ID的組合沒有注冊(cè)在許可信息存儲(chǔ)部103中 的情況下,許可判斷請(qǐng)求部104制作包含該用戶ID和下一服務(wù)ID的注冊(cè) 信息取得請(qǐng)求(參考圖4 (e))并發(fā)送給PMS200。另外,在該用戶ID和 下一服務(wù)ID的組合已經(jīng)注冊(cè)在許可信息存儲(chǔ)部103中的情況下、或下一服 務(wù)ID特定部102沒有與用戶ID —起輸出下一服務(wù)ID的情況下,許可判斷 請(qǐng)求部104不預(yù)先執(zhí)行進(jìn)行許可判斷的處理。
并且,許可判斷請(qǐng)求部104從PMS200接收注冊(cè)信息取得應(yīng)答(圖4 (f)),并根據(jù)接收到的注冊(cè)信息取得應(yīng)答來制作許可判斷請(qǐng)求(圖5 (c)) 而發(fā)送給AuS400。并且,許可判斷請(qǐng)求部104從AuS400接收許可判斷應(yīng) 答(圖5 (d)),制作許可信息。并且,在該許可判斷應(yīng)答中包含的許可判 斷結(jié)果表示許可提供服務(wù)的情況下,許可判斷請(qǐng)求部104將所制作的許可 信息中包含的用戶ID和服務(wù)ID保存到許可信息存儲(chǔ)部103中。
并且,許可判斷請(qǐng)求部104制作包含所制作的許可信息的許可信息發(fā) 送通知(參考圖16 (a)),并將所制作的許可信息發(fā)送通知經(jīng)由通信部105 發(fā)送給SP600。而且,許可判斷請(qǐng)求部104經(jīng)由通信部105來接收?qǐng)D16 (b)
所示的許可信息發(fā)送完成通知。
接著,使用圖19來說明第2實(shí)施例中,根據(jù)用戶的請(qǐng)求來開始提供服 務(wù)的情況下的訪問許可系統(tǒng)10的一系列動(dòng)作。
首先,US500的SIP客戶機(jī)503根據(jù)來自用戶的請(qǐng)求,制作圖4 (a) 所示的通信開始請(qǐng)求,并將所制作的通信開始請(qǐng)求發(fā)送給CMS300(S300)。 CMS300的SIP消息控制部304根據(jù)從US500接收到的通信開始請(qǐng)求,制 作圖4 (c)所示的許可信息取得請(qǐng)求,并將所制作的許可信息取得請(qǐng)求發(fā) 送給ACSIOO (S301)。
ACS100的許可判斷請(qǐng)求部104判斷從CMS300接收到的許可信息取得請(qǐng)求中包含的用戶ID和服務(wù)ID的組合是否存儲(chǔ)在許可信息存儲(chǔ)部103 中(S302)。在該用戶ID和服務(wù)ID的組合存儲(chǔ)在許可信息存儲(chǔ)部103中的 情況下(S302:是),許可判斷請(qǐng)求部104執(zhí)行步驟S309所示的處理。
在從CMS300接收到的許可信息取得請(qǐng)求中包含的用戶ID和服務(wù)ID 的組合沒有存儲(chǔ)在許可信息存儲(chǔ)部103中的情況下(S302:否),許可判斷 請(qǐng)求部104根據(jù)該用戶ID和服務(wù)ID,制作圖4 (e)所示的注冊(cè)信息取得 請(qǐng)求,并將所制作的注冊(cè)信息取得請(qǐng)求發(fā)送給PMS200 (S303)。
PMS200的信息管理部203根據(jù)從ACS100接收到的注冊(cè)信息取得請(qǐng)求 中包含的用戶ID和服務(wù)ID,從服務(wù)策略信息存儲(chǔ)部201和用戶屬性信息 存儲(chǔ)部202中分別取得對(duì)應(yīng)的用戶屬性信息和服務(wù)策略信息。并且,信息 管理部203制作包含所取得的用戶屬性信息和服務(wù)策略信息的注冊(cè)信息取 得應(yīng)答(參考圖4 (f)),并將所制作的注冊(cè)信息取得應(yīng)答發(fā)送給ACS100 (S304)。
接著,ACS100的許可判斷請(qǐng)求部104制作許可判斷請(qǐng)求(參考圖5
(c) ),并將所制作的許可判斷請(qǐng)求發(fā)送給AuS400 (S305),所述許可判斷 請(qǐng)求包含從PMS200接收到的注冊(cè)信息取得應(yīng)答中含有的用戶屬性信息和 服務(wù)策略信息。AuS400的許可判斷部401判斷從ACS100接收到的許可判 斷請(qǐng)求中含有的用戶屬性信息是否滿足該許可判斷請(qǐng)求中含有的服務(wù)策略 信息(S306)。并且,許可判斷部401制作包含許可判斷結(jié)果的許可判斷應(yīng) 答(參考圖5 (d)),并將所制作的許可判斷應(yīng)答發(fā)送給ACSIOO (S307)。
接著,ACS100的許可判斷請(qǐng)求部104根據(jù)從AuS400接收到的許可判 斷應(yīng)答,制作圖5 (e)所示的許可信息,在該許可應(yīng)答中包含的判斷結(jié)果 表示許可使用服務(wù)的情況下,將該許可信息中包含的用戶ID和服務(wù)ID保 存到許可信息存儲(chǔ)部103中(S308)。并且,許可判斷請(qǐng)求部104制作圖4
(d) 所示的許可信息取得應(yīng)答,并將所制作的許可信息取得應(yīng)答發(fā)送給 CMS300 (S309)。
接著,CMS300的SIP消息控制部304在圖4 (a)所示的通信開始請(qǐng) 求中,將目的地作為提供與服務(wù)ID對(duì)應(yīng)的服務(wù)的SP600的SIP-URI,制作 通信開始請(qǐng)求,并將所制作的通信開始請(qǐng)求發(fā)送給SP600 (S310),所述通 信開始請(qǐng)求包含從ACSIOO接收到的許可信息取得應(yīng)答中含有的許可信息。SP600的SIP客戶機(jī)603根據(jù)從CMS300接收到的通信開始請(qǐng)求,制 作圖4 (b)所示的通信開始應(yīng)答,并將所制作的通信開始應(yīng)答發(fā)送給 CMS300 (S3U)。 CMS300的SIP消息控制部304改寫從SP600接收到的 通信開始應(yīng)答的一部分而發(fā)送給US500 (S312)。并且,SP600的服務(wù)應(yīng)用 程序602開始向US500提供服務(wù)(S313)。
另外,在步驟S302中,在從CMS300接收到的許可信息取得請(qǐng)求中包 含的用戶ID和服務(wù)ID的組合被判斷為存儲(chǔ)在許可信息存儲(chǔ)部103中后 (S302:是),在步驟S309中發(fā)送的許可信息取得應(yīng)答和在步驟S310中發(fā) 送的通信開始請(qǐng)求不包含許可信息。
接著,ACS100的許可判斷請(qǐng)求部104將在步驟S309中發(fā)送的許可信 息取得應(yīng)答內(nèi)的許可信息中包含的用戶ID和服務(wù)ID發(fā)送給下一服務(wù)ID特 定部102。下一服務(wù)ID特定部102參考下一服務(wù)ID存儲(chǔ)部101或服務(wù)歷 史存儲(chǔ)部106,而提取與該服務(wù)ID對(duì)應(yīng)的下一服務(wù)ID,從而特定下一個(gè)應(yīng) 該提供的服務(wù)的服務(wù)ID (S314)。
接著,下一服務(wù)ID特定部102將所特定出的下一服務(wù)ID與從許可判 斷請(qǐng)求部104接收到的用戶ID—起返回給許可判斷請(qǐng)求部104。并且,許 可判斷請(qǐng)求部104使用從下一服務(wù)ID特定部102接收到的用戶ID和服務(wù) ID,來執(zhí)行步驟S302到步驟S308所示的處理B (S315)。
并且,許可判斷請(qǐng)求部104將圖16 (a)所示的許可信息發(fā)送通知發(fā)送 給SP600 (S316)。 SP600的SIP客戶機(jī)603將所接收到的許可信息發(fā)送通 知中包含的用戶ID、服務(wù)ID和許可信息存儲(chǔ)到通信管理表存儲(chǔ)部604中, 并將圖16 (b)所示的許可信息發(fā)送完成通知發(fā)送給ACS100 (S317)。
接著,使用圖20來說明第2實(shí)施例中,與經(jīng)由US500的用戶進(jìn)行的
注冊(cè)信息的更新有關(guān)的一系列處理。
首先,US500的SIP客戶機(jī)503根據(jù)來自用戶的請(qǐng)求,制作圖6 (a) 所示的注冊(cè)信息更新請(qǐng)求,并將所制作的注冊(cè)信息更新請(qǐng)求發(fā)送給CMS300 (S400)。 CMS300的SIP消息控制部304根據(jù)從US500接收到的注冊(cè)信息 更新請(qǐng)求,來制作圖6 (c)所示的注冊(cè)信息更新請(qǐng)求,并將所所制作的注 冊(cè)信息更新請(qǐng)求發(fā)送給ACSIOO (S401)。
ACS100的許可判斷請(qǐng)求部104將從CMS300接收到的注冊(cè)信息更新請(qǐng)求傳送給PMS200 (S402)。 PMS200的信息管理部203用該注冊(cè)信息更 新請(qǐng)求中包含的用戶屬性信息來更新與從ACS100接收到的注冊(cè)請(qǐng)求更新 請(qǐng)求中包含的用戶ID對(duì)應(yīng)的用戶屬性信息存儲(chǔ)部202內(nèi)的用戶屬性信息 (S403)。并且,信息管理部203制作圖6 (d)所示的注冊(cè)信息更新應(yīng)答, 并將所制作的注冊(cè)信息更新應(yīng)答發(fā)送給ACSlOO (S404)。
接著,ACSlOO的許可判斷請(qǐng)求部104判斷步驟S401中接收到的注冊(cè) 信息更新請(qǐng)求中包含的用戶ID是否存儲(chǔ)在許可信息存儲(chǔ)部103中(S405)。 在該用戶ID沒有存儲(chǔ)在許可信息存儲(chǔ)部103的情況下(S405:否),許可 判斷請(qǐng)求部104執(zhí)行步驟S413所示的處理。
在步驟S401接收的注冊(cè)信息更新請(qǐng)求中含有的用戶ID存儲(chǔ)在許可信 息存儲(chǔ)部103中的情況下(S405:是),許可判斷請(qǐng)求部104從許可信息存 儲(chǔ)部103提取與該用戶ID相對(duì)應(yīng)的服務(wù)ID,并對(duì)所提取的各個(gè)服務(wù)ID, 制作圖6 (e)所示的許可信息刪除請(qǐng)求,而發(fā)送所制作的許可信息刪除請(qǐng) 求(S406、 S409)。本例中,假設(shè)在SP600—a和SP600—P ,表示許可提 供服務(wù)的內(nèi)容的許可信息己經(jīng)送到,在SP600—Y,表示許可提供服務(wù)的 內(nèi)容的許可信息尚未送到。
SP600— a和SP600— 3的各個(gè)SIP客戶機(jī)603參考通信管理表存儲(chǔ)部 604,而從通信管理表6040中全部刪除與從ACSlOO接收到的許可信息刪 除請(qǐng)求中包含的用戶ID對(duì)應(yīng)的記錄(S407、 S410)。并且,SIP客戶機(jī)603 制作圖6 (f)所示的許可信息刪除應(yīng)答,而將所制作的許可信息刪除應(yīng)答 發(fā)送給ACSlOO (S408、 S411)。
接著,ACSlOO的許可判斷請(qǐng)求部104從許可信息存儲(chǔ)部103中全部刪 除包含在步驟S401中接收到的注冊(cè)信息更新請(qǐng)求中含有的用戶ID的記錄
(5412) ,并將在步驟S404中接收到的注冊(cè)信息更新應(yīng)答傳送給CMS300
(5413) 。 CMS300的SIP消息控制部304根據(jù)從ACSlOO接收到的注冊(cè)信 息更新應(yīng)答,來制作圖6 (b)所示的注冊(cè)信息更新應(yīng)答,并將所制作的注 冊(cè)信息更新應(yīng)答發(fā)送給US500 (S414)。
以上說明了本發(fā)明的第2實(shí)施例。本實(shí)施例的訪問許可系統(tǒng)10中也可 減少到用戶請(qǐng)求的服務(wù)的提供開始之前的用戶的等待時(shí)間。
此外,在本實(shí)施例中,ACSlOO將事先進(jìn)行的許可判斷的結(jié)果立即發(fā)送給使用該許可判斷結(jié)果的SP600。由此,不需要在從ACS100向CMS300 發(fā)送的許可信息取得應(yīng)答、和從CMS300向SP600發(fā)送的通信開始請(qǐng)求內(nèi) 描述許可信息。因此,可以減少?gòu)挠脩粽?qǐng)求提供服務(wù)后到發(fā)送接收的許可 信息取得應(yīng)答和通信開始請(qǐng)求的數(shù)據(jù)量。因此,訪問許可系統(tǒng)10可以減少 從用戶請(qǐng)求提供服務(wù)后到數(shù)據(jù)通信所需的時(shí)間,可以減少到服務(wù)提供開始 之前的用戶的等待時(shí)間。 <實(shí)施例3〉
接著,說明本發(fā)明的第3實(shí)施例。本實(shí)施例的業(yè)務(wù)流程執(zhí)行系統(tǒng)40使 通過SAML實(shí)現(xiàn)訪問控制的多個(gè)Web服務(wù)按照服務(wù)腳本來聯(lián)合,由此實(shí)現(xiàn) 一個(gè)服務(wù)。
圖21是示例第3實(shí)施例中的業(yè)務(wù)流程執(zhí)行系統(tǒng)40的結(jié)構(gòu)的系統(tǒng)結(jié)構(gòu) 圖。業(yè)務(wù)流程執(zhí)行系統(tǒng)40包括策略管理服務(wù)器(PMS) 200、許可服務(wù)器 (AuS) 400、用戶終端(US) 500、多個(gè)服務(wù)提供服務(wù)器(SP) 600、服務(wù) 執(zhí)行服務(wù)器(SES) 700和屬性管理服務(wù)器(AS) 800。
圖21所示的業(yè)務(wù)流程執(zhí)行系統(tǒng)40在用戶經(jīng)由US500來使用由SES700 提供的服務(wù)腳本時(shí),進(jìn)行使SES700與AuS400聯(lián)合來判斷是否對(duì)該用戶許 可提供該服務(wù)腳本中包含的各個(gè)Web服務(wù)的許可判斷,并根據(jù)該結(jié)果,以 由服務(wù)腳本規(guī)定的順序來依次調(diào)用各個(gè)Web服務(wù)。
接著,說明本實(shí)施例中的業(yè)務(wù)流程執(zhí)行系統(tǒng)40的各構(gòu)成要素具有的功 能。除了下面說明的方面之外,圖21中與附加了圖1相同的附圖標(biāo)記的結(jié) 構(gòu)與圖1的結(jié)構(gòu)具有同一或相同的功能,所以省略說明。
首先,說明SES700。 SES700包括腳本存儲(chǔ)部701、流程信息存儲(chǔ)部 702、腳本執(zhí)行部703和通信部704。通信部704根據(jù)來自腳本執(zhí)行部703 的指示,經(jīng)由網(wǎng)絡(luò)11與其他裝置進(jìn)行通信。
腳本存儲(chǔ)部701中例如如圖22所示,使服務(wù)腳本7011與識(shí)別各個(gè)服 務(wù)腳本的腳本ID7010相對(duì)應(yīng)地被存儲(chǔ)。這里,所謂服務(wù)腳本是指例如如圖 23所示那樣用XML形式來描述、規(guī)定用怎樣的順序來聯(lián)合由一個(gè)以上的 SP600提供的Web服務(wù)的。
圖23中示例了腳本ID為"Scenariol"的服務(wù)腳本50。圖23的服務(wù) 腳本50中規(guī)定了如下的聯(lián)合順序在執(zhí)行了識(shí)別各個(gè)Web服務(wù)的服務(wù)ID是"SpAlpha"的Web服務(wù)后,(參考描述53),若可執(zhí)行服務(wù)ID為"SpBeta" 的Web服務(wù)(參考描述55),則執(zhí)行服務(wù)ID是"SpBeta"的Web服務(wù)(參 考描述56),若不能執(zhí)行,則執(zhí)行服務(wù)ID是"SpGamma"的Web服務(wù)(參 考描述58)。
流程信息存儲(chǔ)部702中,例如如圖24所示,對(duì)應(yīng)于識(shí)別各個(gè)業(yè)務(wù)流程 的流程ID7020,存儲(chǔ)有執(zhí)行中的服務(wù)腳本的腳本ID702K表示執(zhí)行中的 Web服務(wù)的服務(wù)ID的當(dāng)前執(zhí)行點(diǎn)7022、和表示執(zhí)行被禁止的Web服務(wù)的 服務(wù)ID的禁止服務(wù)7023。圖24所示的流程信息存儲(chǔ)部702中,在流程ID 是"1"的業(yè)務(wù)流程中,存儲(chǔ)有表示腳本ID是"Scenariol"的服務(wù)腳本在 執(zhí)行中,其中服務(wù)ID是"SpAlpha"的Web服務(wù)在執(zhí)行中,服務(wù)ID是 "SpGamma" Web服務(wù)的執(zhí)行被禁止的信息等。
腳本執(zhí)行部703在經(jīng)由通信部704從US500接收到包含用戶ID和腳 本ID的服務(wù)請(qǐng)求的情況下,制作流程ID,并與所制作的流程ID相對(duì)應(yīng)地, 將該腳本ID注冊(cè)到流程信息存儲(chǔ)部702中(這時(shí),當(dāng)前執(zhí)行點(diǎn)和禁止服務(wù) 的欄為空欄)。腳本執(zhí)行部703從腳本存儲(chǔ)部701中提取與該腳本ID對(duì)應(yīng) 的服務(wù)腳本,并提取在該服務(wù)腳本中規(guī)定了執(zhí)行順序的各個(gè)Web服務(wù)的服 務(wù)ID。并且,腳本執(zhí)行部703制作例如如圖25 (a)所示的許可判斷請(qǐng)求 60,并將所制作的許可判斷請(qǐng)求60經(jīng)由通信部704發(fā)送給AuS400。
在許可判斷請(qǐng)求60中,例如如圖25 (a)所示,包含有識(shí)別各個(gè)許可 判斷請(qǐng)求60的識(shí)別符(參考描述61)、與作為許可判斷的對(duì)象的服務(wù)腳本 有關(guān)的信息(參考描述62)、以及與該服務(wù)腳本中包含的1個(gè)以上的Web 服務(wù)有關(guān)的信息(參考描述63到描述65)。作為識(shí)別許可判斷請(qǐng)求60的識(shí) 別符,例如使用流程ID。
在圖25 (a)中,描述62中描述了作為對(duì)象的服務(wù)腳本的腳本ID的 "Scenariol"、以及作為對(duì)該服務(wù)腳本的許可判斷的對(duì)象的用戶的用戶ID 的"Userl",在描述63中描述了作為對(duì)象的Web服務(wù)的服務(wù)ID的 "SpAlpha"、以及作為對(duì)該Web服務(wù)的許可判斷的對(duì)象的用戶的用戶ID 的"Userl",在描述64中描述了作為對(duì)象的Web服務(wù)的服務(wù)ID的"SpBeta"、 以及作為對(duì)該Web服務(wù)的許可判斷的對(duì)象的用戶的用戶ID的"Userl ",在 描述65中描述了作為對(duì)象的Web服務(wù)的服務(wù)ID的"SpGamma"、以及作為對(duì)該Web服務(wù)的許可判斷的對(duì)象的用戶的用戶ID的"Userl"。
腳本執(zhí)行部703作為對(duì)許可判斷請(qǐng)求60的應(yīng)答,經(jīng)由通信部704從 AuS400接收例如如圖25 (b)所示的許可判斷結(jié)果70。許可判斷結(jié)果70 中包含有識(shí)別各個(gè)許可判斷結(jié)果70的識(shí)別符(參考描述71)、與作為許可 判斷的對(duì)象的服務(wù)腳本有關(guān)的許可判斷結(jié)果(參考描述72)、以及與該服務(wù) 腳本中包含的1個(gè)以上的Web服務(wù)有關(guān)的許可判斷結(jié)果(參考描述73到 描述75)。識(shí)別許可判斷結(jié)果70的識(shí)別符中描述了對(duì)應(yīng)的許可判斷請(qǐng)求60 的識(shí)別信息。
在圖25 (b)所示的例子中,在描述72中描述了作為對(duì)象的服務(wù)腳本 的腳本ID的"Scenariol"和對(duì)該服務(wù)腳本的許可判斷結(jié)果為許可(Permit) 的內(nèi)容,在描述73中描述了作為對(duì)象的Web服務(wù)的服務(wù)ID的"SpAlpha" 和對(duì)該Web服務(wù)的許可判斷結(jié)果為許可(Permit)的內(nèi)容,在描述74中描 述了作為對(duì)象的Web服務(wù)的服務(wù)ID的"SpBeta"和對(duì)該Web服務(wù)的許可 判斷結(jié)果為許可(Permit)的內(nèi)容;在描述75中描述了作為對(duì)象的Web服 務(wù)的服務(wù)ID的"SpGamma"和對(duì)該Web服務(wù)的許可判斷結(jié)果為拒絕(Deny) 的內(nèi)容。
腳本執(zhí)行部703在從AuS400接收到許可判斷結(jié)果70的情況下,根據(jù) 接收到的許可判斷結(jié)果70來執(zhí)行例如圖26和圖27所示的禁止服務(wù)注冊(cè)處 理,從而對(duì)由用戶請(qǐng)求的服務(wù)腳本中包含的各個(gè)服務(wù),判斷是否應(yīng)該作為 禁止服務(wù)來注冊(cè),并將判斷為應(yīng)該作為禁止服務(wù)注冊(cè)的服務(wù)的服務(wù)ID與流 程ID相對(duì)應(yīng)地注冊(cè)到流程信息存儲(chǔ)部702中。
在圖26中,首先,腳本執(zhí)行部703判斷由用戶指定的服務(wù)腳本是否被 許可(S500)。在由用戶指定的服務(wù)腳本未被許可的情況下(S500:否), 腳本執(zhí)行部703將在該服務(wù)腳本中規(guī)定的最初的Web服務(wù)作為禁止服務(wù)而 與流程ID相對(duì)應(yīng)地注冊(cè)到流程信息存儲(chǔ)部702中(S505),腳本執(zhí)行部703 結(jié)束本流程圖所示的處理。
在由用戶指定的服務(wù)腳本被許可了的情況下(S500:是),腳本執(zhí)行部 703判斷在該服務(wù)腳本中規(guī)定的最初的Web服務(wù)是否被許可(S501)。在最 初的Web服務(wù)未被許可的情況下(即,在許可判斷結(jié)果是拒絕的情況下) (S501:否),腳本執(zhí)行部703執(zhí)行步驟S505所示的處理。在最初的Web服務(wù)被許可了的情況下(S501:是),腳本執(zhí)行部703 根據(jù)由用戶指定的服務(wù)腳本,來特定下一個(gè)應(yīng)該提供的Web服務(wù),并在該 下一個(gè)應(yīng)該提供的Web服務(wù)中,判斷是否存在至少一個(gè)被許可的Web服務(wù) (S502)。在下一個(gè)應(yīng)該提供的Web服務(wù)全部沒有被許可的情況下(S502: 否),腳本執(zhí)行部703執(zhí)行步驟S505所示的處理。
在下一個(gè)應(yīng)該提供的Web服務(wù)的至少一個(gè)被許可了的情況下(S502: 是),若在下一個(gè)應(yīng)該提供的Web服務(wù)中存在沒有被許可的服務(wù),則腳本 執(zhí)行部703將該服務(wù)的服務(wù)ID作為禁止服務(wù)而與流程ID相對(duì)應(yīng)地注冊(cè)到 流程信息存儲(chǔ)部702中(S503)。腳本執(zhí)行部703對(duì)被許可了的下一 Web 服務(wù)執(zhí)行后述的禁止判斷處理(S600)。
接著,腳本執(zhí)行部703判斷下一個(gè)應(yīng)該提供的所有Web服務(wù)是否作為 禁止服務(wù)注冊(cè)在流程信息存儲(chǔ)部702中(S504)。在下一個(gè)應(yīng)該提供的所有 Web服務(wù)作為禁止服務(wù)注冊(cè)在流程信息存儲(chǔ)部702中的情況下(S504:是), 腳本執(zhí)行部703執(zhí)行步驟S505所示的處理。另一方面,在下一個(gè)應(yīng)該提供 的至少一個(gè)Web服務(wù)沒有作為禁止服務(wù)注冊(cè)在流程信息存儲(chǔ)部702中的情 況下(S504:否),腳本執(zhí)行部703結(jié)束本流程圖所示的處理。
圖27是表示通過腳本執(zhí)行部703執(zhí)行的禁止判斷處理(S600)的一例 的流程圖。
首先,腳本執(zhí)行部703在被許可了的下一Web服務(wù)中,選擇一個(gè)未選 擇的Web服務(wù)(S601),并參考由用戶指定的服務(wù)腳本,來判斷是否存在 所選擇的Web服務(wù)之后應(yīng)該提供的Web服務(wù)(S602)。在不存在所選擇的 Web服務(wù)之后應(yīng)該提供的Web服務(wù)的情況下(S602:否),腳本執(zhí)行部703 執(zhí)行步驟S606所示的處理。
在存在所選擇的Web服務(wù)之后應(yīng)該提供的Web服務(wù)的情況下(S602: 是),腳本執(zhí)行部703根據(jù)由用戶指定的服務(wù)腳本,來特定在步驟S601中 選擇的Web服務(wù)之后應(yīng)該提供的Web服務(wù),并判斷在該下一個(gè)應(yīng)該提供的 Web服務(wù)中、是否存在至少一個(gè)被許可的Web服務(wù)(S603)。
在下一個(gè)應(yīng)該提供的Web服務(wù)全部沒有被許可的情況下(S603:否), 腳本執(zhí)行部703將在步驟S601中選擇的Web服務(wù)的服務(wù)ID作為禁止服務(wù) 而與流程ID相對(duì)應(yīng)地注冊(cè)在流程信息存儲(chǔ)部702中(S605),并執(zhí)行步驟S606所示的處理。
在下一個(gè)應(yīng)該提供的Web服務(wù)中存在至少一個(gè)被許可的Web服務(wù)的情 況下(S603:是),腳本執(zhí)行部703對(duì)被許可的下一 Web服務(wù),通過循環(huán) 調(diào)用執(zhí)行禁止判斷處理(S600)。并且,腳本執(zhí)行部703判斷在步驟S601 中選擇的Web服務(wù)之后應(yīng)該提供的所有Web服務(wù)是否作為禁止服務(wù)注冊(cè)在 流程信息存儲(chǔ)部702中(S604)。
當(dāng)在步驟S601中選擇的Web服務(wù)之后應(yīng)該提供的所有Web服務(wù)作為 禁止服務(wù)注冊(cè)在流程信息存儲(chǔ)部702中的情況下(S604:是),腳本執(zhí)行部 703執(zhí)行步驟S605所示的處理。另一方面,當(dāng)在步驟S601中選擇的Web 服務(wù)之后應(yīng)該提供的Web服務(wù)的至少一個(gè)沒有作為禁止服務(wù)注冊(cè)在流程信 息存儲(chǔ)部702中的情況下(S604:否),腳本執(zhí)行部703判斷被許可的Web 服務(wù)是否在步驟S601中全部被選擇(S606)。
在被許可的Web服務(wù)沒有在步驟S601中全部被選擇的情況下(S606: 否),腳本執(zhí)行部703再次執(zhí)行步驟S601所示的處理。另一方面,在被許 可的Web服務(wù)在步驟S601中全部被選擇了的Web服務(wù)的情況下(S606: 是),腳本執(zhí)行部703結(jié)束本流程圖所示的禁止判斷處理。
在執(zhí)行了圖26和圖27所示的處理后,腳本執(zhí)行部703參考流程信息 存儲(chǔ)部702,在由用戶請(qǐng)求的服務(wù)腳本中規(guī)定的最初的Web服務(wù)沒有作為 禁止服務(wù)注冊(cè)在流程信息存儲(chǔ)部702中的情^L下,對(duì)提供該最初的Web服 務(wù)的SP600發(fā)送服務(wù)調(diào)用,從而開始對(duì)用戶提供一系列業(yè)務(wù)流程,所述服 務(wù)調(diào)用包含該Web服務(wù)的服務(wù)ID和作為該Web服務(wù)的提供對(duì)象的用戶的 用戶ID。并且,腳本執(zhí)行部703在流程信息存儲(chǔ)部702的當(dāng)前執(zhí)行點(diǎn)上注 冊(cè)最初的Web服務(wù)的服務(wù)ID。另夕卜,在最初的Web服務(wù)作為禁止服務(wù)注 冊(cè)在流程信息存儲(chǔ)部702中的情況下,腳本執(zhí)行部703向US500通知不能 執(zhí)行所指定的服務(wù)腳本的內(nèi)容。
此外,腳本執(zhí)行部703根據(jù)由用戶指定的服務(wù)腳本,在使SP600依次 執(zhí)行Web服務(wù)的過程中,管理表示一系列業(yè)務(wù)流程的狀態(tài)的信息。并且, 當(dāng)按照服務(wù)腳本而在當(dāng)前提供的Web服務(wù)之后應(yīng)該提供的Web服務(wù)存在不 同分支的情況下,腳本執(zhí)行部703根據(jù)表示一系列業(yè)務(wù)流程的狀態(tài)的信息, 來特定下一個(gè)應(yīng)該提供的Web服務(wù),并使SP600執(zhí)行所特定的Web服務(wù)。另外,在根據(jù)表示一系列業(yè)務(wù)流程的狀態(tài)的信息而特定的、下一個(gè)應(yīng)
該提供的Web服務(wù)作為禁止服務(wù)注冊(cè)在流程信息存儲(chǔ)部702中的情況下, 腳本執(zhí)行部703將有關(guān)該Web服務(wù)的信息與未被許可提供Web服務(wù)的內(nèi)容 一起通知給US500。由此,腳本執(zhí)行部703可以防止US500的用戶無用地 接收其以后的Web服務(wù)的提供的情況。
接著,說明AuS400。 AuS400包括許可判斷部401和通信部402。許 可判斷部401在經(jīng)由通信部402從SES700接收到圖25 (a)所示的許可判 斷請(qǐng)求60的情況下,分別對(duì)該許可判斷請(qǐng)求60中包含的腳本ID和服務(wù)ID, 制作例如如圖28 (c)所示的策略取得請(qǐng)求82,并將所制作的策略取得請(qǐng) 求82經(jīng)由通信部402發(fā)送給PMS200。圖28 (c)中表示了請(qǐng)求有關(guān)服務(wù) 腳本的策略的策略取得請(qǐng)求82。
并且,在經(jīng)由通信部402從PMS200接收到例如如圖28 (d)所示的策 略取得應(yīng)答83的情況下,許可判斷部401制作屬性取得請(qǐng)求,并將所制作 的屬性取得請(qǐng)求經(jīng)由通信部402發(fā)送給AS800,所述屬性取得請(qǐng)求包含該 策略取得應(yīng)答83所示的用戶的參數(shù)(圖28(d)的例子中是年齡)和從SES700 接收到的許可判斷請(qǐng)求60中含有的用戶ID。在本實(shí)施例中,屬性取得請(qǐng) 求是例如如圖28 (a)所示的數(shù)據(jù)結(jié)構(gòu)。
并且,在經(jīng)由通信部402從AS800接收到例如如圖28 (b)所示的屬 性取得應(yīng)答81的情況下,許可判斷部401分別對(duì)與由許可判斷請(qǐng)求60指 定的腳本ID對(duì)應(yīng)的服務(wù)腳本和與服務(wù)ID對(duì)應(yīng)的Web服務(wù),執(zhí)行判斷屬性 取得應(yīng)答81中含有的用戶屬性是否滿足策略取得應(yīng)答83中含有的服務(wù)策 略的許可判斷。
并且,許可判斷部401制作圖25 (b)中說明的許可判斷結(jié)果70,并 將所制作的許可判斷結(jié)果70經(jīng)由通信部402發(fā)送給SES700。此外,許可 判斷部401對(duì)于在各個(gè)服務(wù)ID中許可判斷的結(jié)果是"許可"的,將該許可 判斷的結(jié)果與作為對(duì)象的用戶的用戶ID —起,通知給提供與該服務(wù)ID對(duì) 應(yīng)的Web服務(wù)的SP600。
另外,本實(shí)施例中,在一個(gè)屬性取得請(qǐng)求80中請(qǐng)求1人用戶的用戶屬 性信息,但是作為另一例,也可通過1個(gè)屬性取得請(qǐng)求80來請(qǐng)求多個(gè)用戶 的用戶屬性信息。具體而言,也可在屬性取得請(qǐng)求80內(nèi)對(duì)每個(gè)用戶制作AttributeQueiy標(biāo)簽。此外,本實(shí)施例中,在1個(gè)策略取得請(qǐng)求82中請(qǐng)求1 個(gè)Web服務(wù)的服務(wù)策略信息,但是作為另一例,也可通過l個(gè)策略取得請(qǐng) 求82來請(qǐng)求多個(gè)Web服務(wù)的服務(wù)策略信息。具體而言,可以在策略取得 請(qǐng)求82內(nèi)對(duì)每個(gè)Web服務(wù)來制作AttributeQuery標(biāo)簽。由此,可以減少 AuS400和PMS200間的通信量。
接著,說明PMS200。 PMS200包括服務(wù)策略信息存儲(chǔ)部201、通信部 204、腳本策略信息存儲(chǔ)部205和策略信息管理部206。服務(wù)策略信息存儲(chǔ) 部201中存儲(chǔ)有圖10中說明的結(jié)構(gòu)的數(shù)據(jù)。腳本策略信息存儲(chǔ)部205中例 如如圖29所示,與腳本ID2050相對(duì)應(yīng)地,存儲(chǔ)有參考目的地地址2051, 該參考目的地地址2051表示存儲(chǔ)有與該腳本ID2050對(duì)應(yīng)的服務(wù)腳本的腳 本策略信息的實(shí)體的在PMS200的存儲(chǔ)器內(nèi)的位置。
策略信息管理部206在經(jīng)由通信部204從AuS400接收到圖28 (c)所 示的策略取得請(qǐng)求82的情況下,若在該策略取得請(qǐng)求82中存儲(chǔ)了服務(wù)ID, 則參考服務(wù)策略信息存儲(chǔ)部201而取得與該服務(wù)ID對(duì)應(yīng)的服務(wù)策略信息, 若在該策略取得請(qǐng)求82中存儲(chǔ)了腳本ID,則參考腳本策略信息存儲(chǔ)部205 而取得與該腳本ID對(duì)應(yīng)的腳本策略信息。并且,策略信息管理部206制作 包含所取得的服務(wù)策略信息或腳本策略信息的策略取得應(yīng)答83,并將所制 作的策略取得應(yīng)答83經(jīng)由通信部204發(fā)送給AuS400。
接著,說明AS800。 AS800包括用戶屬性信息存儲(chǔ)部801、屬性信息 管理部802和通信部803。通信部803根據(jù)來自屬性信息管理部802的指示, 經(jīng)由網(wǎng)絡(luò)11與其他裝置進(jìn)行通信。用戶屬性信息存儲(chǔ)部801中存儲(chǔ)了例如 如圖11中所說明的結(jié)構(gòu)的數(shù)據(jù)。
屬性信息管理部802在經(jīng)由通信部803從AuS400接收到圖28 (a)所 示的屬性取得請(qǐng)求80的情況下,從用戶屬性信息存儲(chǔ)部801中提取與該屬 性取得請(qǐng)求80中存儲(chǔ)的用戶ID對(duì)應(yīng)的用戶屬性信息。并且,屬性信息管 理部802制作包含所提取的用戶屬性信息的屬性取得應(yīng)答81 ,并將所制作 的屬性取得應(yīng)答81經(jīng)由通信部803發(fā)送給AuS400。
接著,說明SP600。 SP600包括通信部601、服務(wù)應(yīng)用程序602、許可 判斷取得部606和許可判斷結(jié)果存儲(chǔ)部607。
許可判斷取得部606在經(jīng)由通信部601從AuS400接收到許可判斷的結(jié)果是"許可"的用戶的用戶ID的情況下,將接收到的用戶ID存儲(chǔ)在許 可判斷結(jié)果存儲(chǔ)部607中。另夕卜,在存在多個(gè)可通過SP600提供的Web服 務(wù)的情況下,AuS400將作為對(duì)象的Web服務(wù)的服務(wù)ID、與用戶ID和作為 "許可"的許可判斷的結(jié)果一起發(fā)送給SP600,許可判斷取得部606將作 為許可判斷的結(jié)果是"許可"的用戶的用戶ID與作為對(duì)象的服務(wù)的服務(wù)ID 一起存儲(chǔ)在許可判斷結(jié)果存儲(chǔ)部607中。
服務(wù)應(yīng)用程序602在經(jīng)由通信部601從SES700接收到服務(wù)調(diào)用的情況 下,判斷該服務(wù)調(diào)用中包含的用戶ID是否存儲(chǔ)在許可判斷結(jié)果存儲(chǔ)部607 中,在該用戶ID存儲(chǔ)在許可判斷結(jié)果存儲(chǔ)部607中的情況下,判斷為對(duì)與 該用戶ID對(duì)應(yīng)的用戶許可了提供Web服務(wù),并對(duì)與該用戶ID對(duì)應(yīng)的用戶 提供Web服務(wù)。
接著,使用圖30來說明第3實(shí)施例中,在根據(jù)用戶的請(qǐng)求來開始提供 Web服務(wù)的情況下的業(yè)務(wù)流程執(zhí)行系統(tǒng)40的一系列動(dòng)作。
首先,US500的通信應(yīng)用程序502根據(jù)來自用戶的請(qǐng)求來制作服務(wù)請(qǐng) 求,并將所制作的服務(wù)請(qǐng)求經(jīng)由通信部501發(fā)送給SES700(S700)。 SES700 的腳本執(zhí)行部703在經(jīng)由通信部704接收到服務(wù)請(qǐng)求的情況下,制作流程 ID,并與所制作的流程ID相對(duì)應(yīng)地,將該服務(wù)請(qǐng)求中包含的腳本ID注冊(cè) 到流程信息存儲(chǔ)部702中。腳本執(zhí)行部703從腳本存儲(chǔ)部701取得與該腳 本ID對(duì)應(yīng)的服務(wù)腳本(S701),并提取在該服務(wù)腳本上規(guī)定了執(zhí)行順序的 各個(gè)Web服務(wù)的服務(wù)ID。并且,腳本執(zhí)行部703生成例如圖25 (a)所示 的許可判斷請(qǐng)求60,并將所生成的許可判斷請(qǐng)求60經(jīng)由通信部704發(fā)送給 AuS400 (S702)。
接著,AuS400的許可判斷部401在經(jīng)由通信部402從SES700接收到 圖25 (a)所示的許可判斷請(qǐng)求60的情況下,執(zhí)行后述的許可判斷處理 (S800〉。并且,許可判斷部401制作圖25 (b)所說明的許可判斷結(jié)果70, 并將所制作的許可判斷結(jié)果70經(jīng)由通信部402發(fā)送給SES700 (S703)。并 且,許可判斷部401對(duì)于在各個(gè)服務(wù)ID中許可判斷的結(jié)果是"許可"的服 務(wù)ID,將該許可判斷的結(jié)果與作為對(duì)象的用戶的用戶ID —起,通知給提 供與該服務(wù)ID對(duì)應(yīng)的Web服務(wù)的SP600 (S704)。各個(gè)SP600的許可判斷 取得部606將經(jīng)由通信部601從AuS400接收到的許可判斷的結(jié)果是"許可"的用戶的用戶ID存儲(chǔ)到許可判斷結(jié)果存儲(chǔ)部607中(S705)。
接著,SES700的腳本執(zhí)行部703根據(jù)從AuS400接收到的許可判斷結(jié) 果,來執(zhí)行圖26和圖27中說明的禁止服務(wù)注冊(cè)處理(S706)。并且,腳本 執(zhí)行部703參考流程信息存儲(chǔ)部702,來判斷由用戶請(qǐng)求的服務(wù)腳本中規(guī)定 的最初的Web服務(wù)是否作為禁止服務(wù)注冊(cè)在流程信息存儲(chǔ)部702中 (S707)。
在最初的Web服務(wù)作為禁止服務(wù)注冊(cè)在流程信息存儲(chǔ)部702中的情況 下(S707:是),腳本執(zhí)行部703將表示不能執(zhí)行所指定的服務(wù)腳本的出錯(cuò) 通知發(fā)送給US500 (S708)。另一方面,在最初Web服務(wù)沒有作為禁止服 務(wù)注冊(cè)在流程信息存儲(chǔ)部702中的情況下(S707:否),腳本執(zhí)行部703對(duì) 提供該最初的Web服務(wù)的SP600a發(fā)送服務(wù)調(diào)用(S709),該服務(wù)調(diào)用包含 該Web服務(wù)的服務(wù)ID和作為該Web服務(wù)的提供對(duì)象的用戶的用戶ID。并 且,腳本執(zhí)行部703在流程信息存儲(chǔ)部702的當(dāng)前執(zhí)行點(diǎn)上注冊(cè)最初的Web 服務(wù)的服務(wù)ID。
接著,SP600 a的服務(wù)應(yīng)用程序602在接收到的服務(wù)調(diào)用中包含的用戶 ID存儲(chǔ)在許可判斷結(jié)果存儲(chǔ)部607中的情況下,判斷為許可對(duì)與該用戶ID 對(duì)應(yīng)的用戶提供Web服務(wù),并對(duì)與該用戶ID對(duì)應(yīng)的用戶的US500提供 Web服務(wù)(S710)。
并且,在Web服務(wù)的提供結(jié)束了的情況下,服務(wù)應(yīng)用程序602將該 Web服務(wù)的提供結(jié)束了的內(nèi)容、與表示所提供的Web服務(wù)的執(zhí)行結(jié)果的信 息一起通知給SES700 (S711)。 SES700的腳本執(zhí)行部703根據(jù)表示W(wǎng)eb 服務(wù)的執(zhí)行結(jié)果的信息來更新表示一系列業(yè)務(wù)流程的狀態(tài)的信息。并且, 腳本執(zhí)行部703參考由用戶指定的服務(wù)腳本,來判斷是否存在下一個(gè)應(yīng)該 提供的Web服務(wù)(S712)。在不存在接著因該提供的Web服務(wù)的情況下 (S712:否),腳本執(zhí)行部703向用戶的US500通知業(yè)務(wù)流程結(jié)束(S713)。
在存在下一個(gè)應(yīng)該提供的Web服務(wù)的情況下(S712:是),腳本執(zhí)行 部703對(duì)提供該下一個(gè)應(yīng)該提供的Web服務(wù)的SP600a發(fā)送服務(wù)調(diào)用
對(duì)象的用戶的用^ID。并5_,腳本執(zhí)行部703在流程信息存儲(chǔ)部702 :當(dāng) 前執(zhí)行點(diǎn)上注冊(cè)該下一個(gè)應(yīng)該提供的Web服務(wù)的服務(wù)ID。SP600 a的服務(wù)應(yīng)用程序602在接收到的服務(wù)調(diào)用中包含的用戶ID存 儲(chǔ)在許可判斷結(jié)果存儲(chǔ)部607中的情況下,對(duì)與該用戶ID對(duì)應(yīng)的用戶的 US500提供Web服務(wù)(S716)。并且,在Web服務(wù)的提供結(jié)束了的情況下, 服務(wù)應(yīng)用程序602將該Web服務(wù)的提供結(jié)束了的內(nèi)容、與表示所提供的 Web服務(wù)的執(zhí)行結(jié)果的信息一起通知給SES700 (S711)。 SES700的腳本執(zhí) 行部703根據(jù)表示W(wǎng)eb服務(wù)的執(zhí)行結(jié)果的信息,來更新表示一系列業(yè)務(wù)流 程的狀態(tài)的信息,并再次執(zhí)行步驟S712所示的處理。
圖31是表示許可判斷處理(S800)的一例的順序圖。
首先,AuS400的許可判斷部401在經(jīng)由通信部402從SES700接收到 圖25 (a)所示的許可判斷請(qǐng)求60的情況下,分別對(duì)該許可判斷請(qǐng)求60 中包含的腳本ID和服務(wù)ID,制作例如如圖28 (c)所示的策略取得請(qǐng)求 82,并將所制作的策略取得請(qǐng)求82經(jīng)由通信部402發(fā)送給PMS200(S801)。
PMS200的策略信息管理部206在經(jīng)由通信部204從AuS400接收到的 策略取得請(qǐng)求82中包含有服務(wù)ID的情況下,參考服務(wù)策略信息存儲(chǔ)部201 , 而取得對(duì)應(yīng)的服務(wù)策略信息,在策略取得請(qǐng)求82中包含有腳本ID的情況 下,參考腳本策略信息存儲(chǔ)部205而取得對(duì)應(yīng)的腳本策略信息(S802)。并 且,策略信息管理部206制作包含所取得的服務(wù)策略信息或腳本策略信息 的策略取得應(yīng)答83,并將所制作的策略取得應(yīng)答83經(jīng)由通信部204發(fā)送給 AuS400 (S803)。
AuS400的許可判斷部401分析經(jīng)由通信部402從PMS200接收到的策 略取得應(yīng)答83的內(nèi)容,制作屬性取得請(qǐng)求80,并將所制作的屬性取得請(qǐng)求 80經(jīng)由通信部402發(fā)送給AS800 (S805),所述屬性取得請(qǐng)求80包含策略 取得應(yīng)答83所示的用戶的參數(shù)和從SES700接收到的許可判斷請(qǐng)求60中含 有的用戶ID。
AS800的屬性信息管理部802從用戶屬性信息存儲(chǔ)部801中取得用戶 屬性信息,該用戶屬性信息與經(jīng)由通信部803從AuS400接收到的屬性取 得請(qǐng)求80中存儲(chǔ)的用戶ID對(duì)應(yīng)。并且,屬性信息管理部802制作包含所 1S(得的用戶屬性信息的屬性取得應(yīng)答81,并將所制作的屬性取得應(yīng)答81 經(jīng)由通信部803發(fā)送給AuS400 (S807)。
AuS400的許可判斷部401分別對(duì)與由許可判斷請(qǐng)求60指定的腳本ID對(duì)應(yīng)的服務(wù)腳本和與服務(wù)ID對(duì)應(yīng)的Web服務(wù),執(zhí)行判斷從AS800接收到 的屬性取得應(yīng)答81中包含的用戶的屬性是否滿足策略取得應(yīng)答83中包含 的服務(wù)策略的許可判斷(S808)。
以上,說明了本發(fā)明的第3實(shí)施例。根據(jù)本實(shí)施例的業(yè)務(wù)流程執(zhí)行系 統(tǒng)40,由SP600提供的Web服務(wù)的許可判斷在SES700從US500接收服務(wù) 請(qǐng)求后到SES700調(diào)用SP600的期間進(jìn)行。并且,AuS400在進(jìn)行了許可判 斷后,將其結(jié)果發(fā)送給SP600, SP600保存該結(jié)果。由此,不需要在調(diào)用 SP600后進(jìn)行許可判斷處理,可以減少用戶的等待時(shí)間。
此外,本實(shí)施例的業(yè)務(wù)流程執(zhí)行系統(tǒng)40中,SES700列舉由US500請(qǐng) 求的服務(wù)腳本所包含的Web服務(wù)而向AuS400請(qǐng)求許可判斷。并且,AuS400 將許可判斷結(jié)果發(fā)送給SP600, SP600保存許可判斷結(jié)果。BP,由于SP600 保存的許可判斷結(jié)果與SES700要執(zhí)行的服務(wù)腳本有關(guān),所以在較短時(shí)間內(nèi) 由SP600進(jìn)行Web服務(wù)的調(diào)用的可能性提高,可以使無用地保存許可判斷 結(jié)果的情形減少。
另外,上述實(shí)施例中的ACSIOO、 PMS200、 CMS300、 AuS400、 US500、 SP600、 SES700、以及AS800例如通過如圖32所示的結(jié)構(gòu)的計(jì)算機(jī)20來 實(shí)現(xiàn)。
計(jì)算機(jī)20包括CPU21、存儲(chǔ)器22、用于經(jīng)由因特網(wǎng)或LAN等的網(wǎng) 絡(luò)11與其他計(jì)算機(jī)20進(jìn)行通信的通信裝置24、連接鍵盤或鼠標(biāo)等的輸入 裝置的輸入接口 25、連接監(jiān)控器或打印機(jī)等的輸出裝置的輸出接口 26、讀 取裝置27和硬盤等的外部存儲(chǔ)裝置23,這些各構(gòu)成要素經(jīng)由總線28彼此 相連。并且,在讀取裝置27,可以連接如IC卡或USB存儲(chǔ)器這種具有可 移動(dòng)性的存儲(chǔ)介質(zhì)29。
計(jì)算機(jī)20作用為ACSIOO、 PMS200、 CMS300、 AuS400、 US500、和 SP600中的其中一個(gè)裝置。計(jì)算機(jī)20將實(shí)現(xiàn)該其中一個(gè)裝置的功能的程序 裝載到存儲(chǔ)器22上、并由CPU21執(zhí)行該程序,從而實(shí)現(xiàn)對(duì)應(yīng)的裝置的功 會(huì)巨。這些程序可以預(yù)先存儲(chǔ)在外部存儲(chǔ)裝置23中,也可在需要時(shí),通過讀 取裝置27或通信裝置24經(jīng)由該計(jì)算機(jī)20可使用的介質(zhì),從其他裝置取得 而存儲(chǔ)到外部存儲(chǔ)裝置23中。
所謂介質(zhì)是指例如,可對(duì)讀取裝置27裝卸的存儲(chǔ)介質(zhì)29、或與通信裝置24相連的網(wǎng)絡(luò)11或在網(wǎng)絡(luò)11上傳送的載波和數(shù)字信號(hào)。并且,這些程 序一旦存儲(chǔ)于外部存儲(chǔ)裝置23后,可以由此處裝載到存儲(chǔ)器22上而由 CPU21執(zhí)行,或可以不存儲(chǔ)在外部存儲(chǔ)裝置23,而直接裝載到存儲(chǔ)器22 上,由CPU21執(zhí)行。
此外,在上述的第1或第2實(shí)施例中,下一服務(wù)ID特定部102特定了 當(dāng)前提供著的服務(wù)之后應(yīng)該提供的服務(wù)的服務(wù)ID,但是作為另一例,下一 服務(wù)ID特定部102也可在包含當(dāng)前提供的服務(wù)的工作流中,全部特定該服 務(wù)后應(yīng)該執(zhí)行的所有服務(wù)的服務(wù)ID,而提供給許可判斷請(qǐng)求部104。
此外,上述第2實(shí)施例中,下一服務(wù)ID特定部102使用當(dāng)前提供的服 務(wù)之后提供的服務(wù)的次數(shù)來推斷了下一個(gè)應(yīng)該提供的服務(wù),但是除此之外, 也可以根據(jù)用戶過去的服務(wù)使用歷史和屬性信息等,通過公知的數(shù)據(jù)挖掘 (mining)方法,來推斷下一個(gè)請(qǐng)求的可能性高的服務(wù)。
此外,在上述的第3實(shí)施例中,AuS400—維上判斷了由SES700提供 的服務(wù)腳本、和由SP600提供的Web服務(wù)的許可判斷,但是本發(fā)明并不限 于這種結(jié)構(gòu)。例如,也可以是,各個(gè)SP600執(zhí)行對(duì)由該SP600提供的Web 服務(wù)的許可判斷。艮卩,也可在SP600內(nèi)嵌入AuS400的功能。并且,PMS200 或AS800的功能也可嵌入到各個(gè)SP600內(nèi)。
若SP600執(zhí)行對(duì)由該SP600提供的Web服務(wù)的許可判斷,則可以減少 為許可判斷所交換的消息,可以有效使用網(wǎng)絡(luò)。在這種結(jié)構(gòu)中,也在從 SES700對(duì)SP600進(jìn)行Web服務(wù)的調(diào)用之前進(jìn)行許可判斷處理,各SP600 保存許可判斷結(jié)果,所以實(shí)際上即使進(jìn)行Web服務(wù)的調(diào)用,也不需要進(jìn)行 許可判斷處理,而可以迅速開始提供Web服務(wù)。
在SP600內(nèi)嵌入了 AuS400的功能的情況下的業(yè)務(wù)流程執(zhí)行系統(tǒng)40的 動(dòng)作例如如圖33。除了下面說明的方面,由于圖33中附加了與圖30相同 的附圖標(biāo)記的處理與圖30中的處理相同,所以省略說明。
SES700的腳本執(zhí)行部703在從腳本存儲(chǔ)部701取得的服務(wù)腳本中提取 服務(wù)ID,并生成例如圖25 (a)所示的許可判斷請(qǐng)求60。并且,腳本執(zhí)行 部703將所生成的許可判斷請(qǐng)求60發(fā)送給提供與所提取的服務(wù)ID對(duì)應(yīng)的 Web服務(wù)的各個(gè)SP600 (S720)。另夕卜,腳本執(zhí)行部703通過將包含腳本ID 的許可判斷請(qǐng)求60發(fā)送給其中一個(gè)SP600,而使其中一個(gè)SP600執(zhí)行由用戶指定的服務(wù)腳本的許可判斷。
各個(gè)SP600在執(zhí)行了圖31中說明的許可判斷處理(S800)后,制作圖 25 ( b )中說明的許可判斷結(jié)果70,并將所制作的許可判斷結(jié)果70發(fā)送給 SES700 (S721)。并且,各個(gè)SP600在許可判斷的結(jié)果是"許可"的情況 下,將該許可判斷的結(jié)果與作為對(duì)象的用戶的用戶ID—起存儲(chǔ)在許可判斷 結(jié)果存儲(chǔ)部607中(S722)。
此外,在上述的第3實(shí)施例中,腳本執(zhí)行部703在從US500接收到服 務(wù)請(qǐng)求的情況下,統(tǒng)一執(zhí)行在與該服務(wù)請(qǐng)求中包含的腳本ID對(duì)應(yīng)的服務(wù)腳 本上規(guī)定了執(zhí)行順序的Web服務(wù)的許可判斷,但是本發(fā)明并不限于此。例 如,腳本執(zhí)行部703對(duì)于由用戶指定的服務(wù)腳本和在該服務(wù)腳本中規(guī)定的 最初的Web服務(wù),使AuS400執(zhí)行許可判斷,在該服務(wù)腳本和該最初的Web 服務(wù)均被許可的情況下,開始提供該最初的Web服務(wù)。
并且,在提供該最初的Web服務(wù)的期間,腳本執(zhí)行部703可以參考由 用戶指定的服務(wù)腳本,使AuS400執(zhí)行該服務(wù)腳本中規(guī)定的各個(gè)Web服務(wù) 的許可判斷。由此,可以減少開始最初的Web服務(wù)的提供之前的用戶的等 待時(shí)間。另外,在SP600開始提供最初的Web服務(wù)后,腳本執(zhí)行部703執(zhí) 行圖26和圖27所示的禁止服務(wù)的注冊(cè)處理,并將最初的Web服務(wù)作為禁 止服務(wù)注冊(cè)在流程信息存儲(chǔ)部702中的情況下,腳本執(zhí)行部703最好立即 向用戶的US500發(fā)送其以后的Web服務(wù)的提供未被接受的內(nèi)容的出錯(cuò)通 知?;蛘?,在開始提供服務(wù)腳本中包含的Web服務(wù)后、該Web服務(wù)作為禁 止服務(wù)被注冊(cè)了的情況下,也最好立即向US500發(fā)送其以后的Web服務(wù)的 提供未被接受的內(nèi)容的出錯(cuò)通知。
上述中,使用實(shí)施方式說明了本發(fā)明,但是本發(fā)明的技術(shù)范圍并不限 于上述實(shí)施方式中記載的范圍。本領(lǐng)域內(nèi)普通技術(shù)人員應(yīng)明白可以在上述 實(shí)施方式上施加各種變更或改良。從權(quán)利要求的記載可知施加了這種變更 或改良的方式也包含在本發(fā)明的技術(shù)范圍中。
權(quán)利要求
1、一種訪問許可系統(tǒng),根據(jù)來自客戶機(jī)側(cè)的通信裝置的服務(wù)的請(qǐng)求,進(jìn)行判斷是否許可對(duì)使用該通信裝置的用戶提供該服務(wù)的許可判斷,其特征在于,包括策略管理服務(wù)器;許可服務(wù)器;以及訪問控制服務(wù)器,所述策略管理服務(wù)器包括用戶屬性信息存儲(chǔ)單元,對(duì)識(shí)別客戶機(jī)側(cè)的通信裝置的用戶的每一個(gè)用戶ID,存儲(chǔ)該用戶的用戶屬性信息;服務(wù)策略信息存儲(chǔ)單元,對(duì)識(shí)別服務(wù)的每一個(gè)服務(wù)ID,存儲(chǔ)服務(wù)策略信息,所述服務(wù)策略信息表示被許可提供該服務(wù)的用戶的條件;以及信息管理單元,在從所述訪問控制服務(wù)器接收到包含用戶ID和服務(wù)ID的注冊(cè)信息取得請(qǐng)求的情況下,從所述用戶屬性信息存儲(chǔ)單元提取與該用戶ID對(duì)應(yīng)的用戶屬性信息,并且,從所述服務(wù)策略信息存儲(chǔ)單元提取與該服務(wù)ID對(duì)應(yīng)的服務(wù)策略信息,并將包含所提取的用戶屬性信息和服務(wù)策略信息的注冊(cè)信息取得應(yīng)答發(fā)送給所述訪問控制服務(wù)器,所述許可服務(wù)器包括許可判斷單元,在從所述訪問控制服務(wù)器接收到包含用戶屬性信息和服務(wù)策略信息的許可判斷請(qǐng)求的情況下,判斷該用戶屬性信息是否滿足該服務(wù)策略信息,并將許可判斷應(yīng)答發(fā)送給所述訪問控制服務(wù)器,所述許可判斷應(yīng)答包含許可判斷結(jié)果、作為該許可判斷結(jié)果的對(duì)象的用戶的用戶ID、以及作為該許可判斷結(jié)果的對(duì)象的服務(wù)的服務(wù)ID,所述訪問控制服務(wù)器包括下一服務(wù)ID存儲(chǔ)單元,對(duì)每一個(gè)服務(wù)ID,存儲(chǔ)與該服務(wù)ID對(duì)應(yīng)的服務(wù)之后應(yīng)該提供的服務(wù)的服務(wù)ID;許可判斷請(qǐng)求單元,在接收到表示客戶機(jī)側(cè)的通信裝置的用戶能否使用服務(wù)的許可信息的取得請(qǐng)求即包含該用戶的用戶ID和該服務(wù)的服務(wù)ID的許可信息取得請(qǐng)求的情況下,將包含該用戶ID和該服務(wù)ID的注冊(cè)信息取得請(qǐng)求發(fā)送給所述策略管理服務(wù)器,在從所述策略管理服務(wù)器接收到包含與該用戶ID對(duì)應(yīng)的用戶屬性信息和與該服務(wù)ID對(duì)應(yīng)的服務(wù)策略信息的注冊(cè)信息取得應(yīng)答的情況下,將包含該用戶屬性信息和服務(wù)策略信息的許可判斷請(qǐng)求發(fā)送給所述許可服務(wù)器,在從該許可服務(wù)器接收到許可判斷應(yīng)答的情況下,輸出許可信息取得應(yīng)答,所述許可信息取得應(yīng)答包含該許可判斷應(yīng)答所包含的許可判斷結(jié)果、用戶ID和服務(wù)ID;以及下一服務(wù)特定單元,在所述許可判斷請(qǐng)求單元輸出了所述許可信息取得應(yīng)答后,根據(jù)該許可信息取得應(yīng)答所包含的作為許可判斷結(jié)果的對(duì)象的服務(wù)的服務(wù)ID,參考所述下一服務(wù)ID存儲(chǔ)單元,提取與該服務(wù)ID對(duì)應(yīng)的服務(wù)之后應(yīng)該提供的服務(wù)的服務(wù)ID,并將所提取的服務(wù)ID與作為該許可判斷結(jié)果的對(duì)象的用戶的用戶ID一起發(fā)送給所述許可判斷請(qǐng)求單元,所述許可判斷請(qǐng)求單元,在從輸出所述許可信息取得應(yīng)答后、到接收包含與該許可信息取得應(yīng)答所包含的用戶ID相同的用戶ID的許可信息取得請(qǐng)求的期間,從所述策略管理服務(wù)器取得與從所述下一服務(wù)特定單元接收到的用戶ID和服務(wù)ID對(duì)應(yīng)的用戶屬性信息和服務(wù)策略信息,并將包含該用戶屬性信息和服務(wù)策略信息的許可判斷請(qǐng)求發(fā)送給所述許可服務(wù)器,從而使所述許可服務(wù)器對(duì)與該用戶ID對(duì)應(yīng)的用戶和與該服務(wù)ID對(duì)應(yīng)的服務(wù)的組合,預(yù)先執(zhí)行許可判斷。
2、如權(quán)利要求1所述的訪問許可系統(tǒng),其特征在于, 所述訪問控制服務(wù)器還包括 '服務(wù)歷史存儲(chǔ)單元,對(duì)用戶ID和服務(wù)ID的每一個(gè)組合,存儲(chǔ)與該用 戶ID對(duì)應(yīng)的用戶在與該服務(wù)ID對(duì)應(yīng)的服務(wù)之后所請(qǐng)求的服務(wù)的服務(wù)DD, 所述下一服務(wù)特定單元,在該許可信息取得應(yīng)答中包含的作為許可判斷結(jié)果的對(duì)象的服務(wù)之后 應(yīng)該提供的服務(wù)的服務(wù)ID沒有存儲(chǔ)在所述下一服務(wù)ID存儲(chǔ)單元中的情況 下,參考所述服務(wù)歷史存儲(chǔ)單元,推斷在作為該許可判斷結(jié)果的對(duì)象的服 務(wù)之后應(yīng)該提供的服務(wù)的服務(wù)ID,并將推斷出的服務(wù)ID和作為該許可判 斷結(jié)果的對(duì)象的用戶的用戶ID發(fā)送給所述許可判斷請(qǐng)求單元。
3、 如權(quán)利要求2所述的訪問許可系統(tǒng),其特征在于, 所述服務(wù)歷史存儲(chǔ)單元,對(duì)用戶ID和服務(wù)ID的每一個(gè)組合,還存儲(chǔ)與該用戶ID對(duì)應(yīng)的用戶在 與該服務(wù)ID對(duì)應(yīng)的服務(wù)之后所請(qǐng)求的服務(wù)的請(qǐng)求次數(shù)的累計(jì)值, 所述下一服務(wù)特定單元,在該許可信息取得應(yīng)答中包含的作為許可判斷結(jié)果的對(duì)象的服務(wù)之后 應(yīng)該提供的服務(wù)的服務(wù)ID沒有存儲(chǔ)在所述下一服務(wù)ID存儲(chǔ)單元中的情況 下,參考^f述服務(wù)歷史存儲(chǔ)單元,在與作為該許可信息取得應(yīng)答中包含的 許可判斷結(jié)果的對(duì)象的用戶的用戶ID和服務(wù)的服務(wù)ID的組合相對(duì)應(yīng)的服 務(wù)ID中,將與預(yù)定值以上的請(qǐng)求次數(shù)相對(duì)應(yīng)的服務(wù)ID推斷為,作為該許 可判斷結(jié)果的對(duì)象的服務(wù)之后應(yīng)該提供的服務(wù)的服務(wù)ID。
4、 如權(quán)利要求l所述的訪問許可系統(tǒng),其特征在于, 所述許可判斷請(qǐng)求單元,在從輸出所述許可信息取得應(yīng)答后、到接收包含與該許可信息取得應(yīng) 答中包含的用戶ID相同的用戶ID的許可信息取得請(qǐng)求的期間,從所述策 略管理服務(wù)器取得與從所述下一服務(wù)特定單元接收到的用戶ID和服務(wù)ID 對(duì)應(yīng)的用戶屬性信息和服務(wù)策略信息,并將包含該用戶屬性信息和服務(wù)策 略信息的許可判斷請(qǐng)求發(fā)送給所述許可服務(wù)器,從而從所述許可服務(wù)器接 收許可判斷應(yīng)答,并保持接收到的許可判斷應(yīng)答中包含的許可判斷結(jié)果, 之后,在接收到包含作為所保持的許可判斷結(jié)果的對(duì)象的用戶ID和服務(wù)ID 的許可信息取得請(qǐng)求的情況下,輸出許可信息取得應(yīng)答,所述許可信息取 得應(yīng)答包含該許可判斷結(jié)果、作為該許可判斷結(jié)果的對(duì)象的用戶的用戶ID 和作為該判斷結(jié)果的對(duì)象的服務(wù)的服務(wù)ID。
5、如權(quán)利要求l所述的訪問許可系統(tǒng),其特征在于, 所述許可判斷請(qǐng)求單元,在從輸出所述許可信息取得應(yīng)答后、到接收包含與該許可信息取得應(yīng) 答中包含的用戶ID相同的用戶ID的許可信息取得請(qǐng)求的期間,從所述策略管理服務(wù)器取得與從所述下一服務(wù)特定單元接收到的用戶ID和服務(wù)ID 對(duì)應(yīng)的用戶屬性信息和服務(wù)策略信息,并將包含該用戶屬性信息和服務(wù)策 略信息的許可判斷請(qǐng)求發(fā)送給所述許可服務(wù)器,從而從所述許可服務(wù)器接 收許可判斷應(yīng)答,并將許可信息發(fā)送通知預(yù)先發(fā)送給提供該服務(wù)的服務(wù)提 供服務(wù)器,所述許可信息發(fā)送通知包含接收到的許可判斷應(yīng)答中包含的許 可判斷結(jié)果、作為該判斷結(jié)果的對(duì)象的用戶的用戶ID、以及作為該判斷結(jié) 果的對(duì)象的服務(wù)的服務(wù)ID。
6、 如權(quán)利要求1所述的訪問許可系統(tǒng),其特征在于, 所述許可判斷請(qǐng)求單元,在從輸出所述許可信息取得應(yīng)答后、到接收包含與該許可信息取得應(yīng) 答中包含的用戶ID相同的用戶ID的許可信息取得請(qǐng)求的期間,在所述訪 問控制服務(wù)器的處理負(fù)載小于預(yù)定的閾值的情況下,從所述策略管理服務(wù) 器取得與從所述下一服務(wù)特定單元接收到的用戶ID和服務(wù)ID對(duì)應(yīng)的用戶 屬性信息和服務(wù)策略信息,并將包含該用戶屬性信息和服務(wù)策略信息的許 可判斷請(qǐng)求發(fā)送給所述許可服務(wù)器。
7、 一種訪問控制服務(wù)器,用于訪問許可系統(tǒng),該訪問許可系統(tǒng)根據(jù)來 自客戶機(jī)側(cè)的通信裝置的服務(wù)的請(qǐng)求,來進(jìn)行對(duì)使用該通信裝置的用戶的、 該服務(wù)的許可判斷,并且包括策略管理服務(wù)器和許可服務(wù)器,所述策略管理服務(wù)器,包括用戶屬性信息存儲(chǔ)單元,對(duì)識(shí)別客戶機(jī)側(cè)的通信裝置的用戶的每一個(gè) 用戶ID,存儲(chǔ)該用戶的用戶屬性信息;服務(wù)策略信息存儲(chǔ)單元,對(duì)識(shí)別服務(wù)的每一個(gè)服務(wù)ID,存儲(chǔ)服務(wù)策略 信息,所述服務(wù)策略信息表示被許可提供該服務(wù)的用戶的條件;以及信息管理單元,在接收到包含用戶ID和服務(wù)ID的注冊(cè)信息取得請(qǐng)求 的情況下,從所述用戶屬性信息存儲(chǔ)單元提取與該用戶ID對(duì)應(yīng)的用戶屬性 信息,并且,從所述服務(wù)策略信息存儲(chǔ)單元提取與該服務(wù)ID對(duì)應(yīng)的服務(wù)策 略信息,并返回包含所提取的用戶屬性信息和服務(wù)策略信息的注冊(cè)信息取 得應(yīng)答,所述許可服務(wù)器包括許可判斷單元,在接收到包含用戶屬性信息和服務(wù)策略信息的許可判 斷請(qǐng)求的情況下,進(jìn)行判斷該用戶屬性信息是否滿足該服務(wù)策略信息的許 可判斷,并返回許可判斷應(yīng)答,所述許可判斷應(yīng)答包含許可判斷結(jié)果、作 為該許可判斷結(jié)果的對(duì)象的用戶的用戶ID、和作為該許可判斷結(jié)果的對(duì)象 的服務(wù)的服務(wù)ID,所述訪問控制服務(wù)器的特征在于,包括下一服務(wù)ID存儲(chǔ)單元,對(duì)每一個(gè)服務(wù)ID,存儲(chǔ)與該服務(wù)ID對(duì)應(yīng)的服務(wù)之后應(yīng)該提供的服務(wù)的服務(wù)ID;許可判斷請(qǐng)求單元,在接收到表示客戶機(jī)側(cè)的通信裝置的用戶能否使用服務(wù)的許可信息的取得請(qǐng)求即包含該用戶的用戶ID和該服務(wù)的服務(wù)ID 的許可信息取得請(qǐng)求的情況下,將包含該用戶ID和該服務(wù)ID的注冊(cè)信息 取得請(qǐng)求發(fā)送給所述策略管理服務(wù)器,在從所述策略管理服務(wù)器接收到包 含與該用戶ID對(duì)應(yīng)的用戶屬性信息和與該服務(wù)ID對(duì)應(yīng)的服務(wù)策略信息的 注冊(cè)信息取得應(yīng)答的情況下,將包含該用戶屬性信息和服務(wù)策略信息的許 可判斷請(qǐng)求發(fā)送給所述許可服務(wù)器,在從該許可服務(wù)器接收到許可判斷應(yīng) 答的情況下,輸出許可信息取得應(yīng)答,所述許可信息取得應(yīng)答包含該許可 判斷應(yīng)答中包含的許可判斷結(jié)果、用戶ID和服務(wù)ID;以及下一服務(wù)特定單元,在所述許可判斷請(qǐng)求單元輸出所述許可信息取得 應(yīng)答后,根據(jù)該許可信息取得應(yīng)答中包含的作為許可判斷結(jié)果的對(duì)象的服 務(wù)的服務(wù)ID,參考所述下一服務(wù)ID存儲(chǔ)單元,提取與該服務(wù)ID對(duì)應(yīng)的服 務(wù)之后應(yīng)該提供的服務(wù)的服務(wù)ID,并將所提取的服務(wù)ID與作為該許可判 斷結(jié)果的對(duì)象的用戶的用戶ID —起發(fā)送給所述許可判斷請(qǐng)求單元,所述許可判斷請(qǐng)求單元,在從輸出所述許可信息取得應(yīng)答后、到接收包含與該許可信息取得應(yīng) 答中包含的用戶ID相同的用戶ID的許可信息取得請(qǐng)求的期間,從所述策 略管理服務(wù)器取得與從所述下一服務(wù)特定單元接收到的用戶ID和服務(wù)ID 對(duì)應(yīng)的用戶屬性信息和服務(wù)策略信息,并將包含該用戶屬性信息和服務(wù)策 略信息的許可判斷請(qǐng)求發(fā)送給所述許可服務(wù)器,從而使所述許可服務(wù)器對(duì) 與該用戶ID對(duì)應(yīng)的用戶和與該服務(wù)ID對(duì)應(yīng)的服務(wù)的組合,預(yù)先執(zhí)行許可判斷。
8、 一種業(yè)務(wù)流程執(zhí)行系統(tǒng),對(duì)于從客戶機(jī)側(cè)的通信裝置請(qǐng)求的由多個(gè) 服務(wù)構(gòu)成的業(yè)務(wù)流程,進(jìn)行判斷是否許可對(duì)該通信裝置的用戶提供該業(yè)務(wù)流程中包含的各個(gè)服務(wù)的許可判斷,其特征在于,包括 屬性管理服務(wù)器; 策略管理服務(wù)器; 許可服務(wù)器;以及 服務(wù)執(zhí)行服務(wù)器, 所述屬性管理服務(wù)器包括用戶屬性信息存儲(chǔ)單元,對(duì)識(shí)別客戶機(jī)側(cè)的通信裝置的用戶的每一個(gè) 用戶ID,存儲(chǔ)該用戶的用戶屬性信息;以及屬性信息管理單元,在從所述許可服務(wù)器接收到包含用戶ID的屬性取 得請(qǐng)求的情況下,從所述用戶屬性信息存儲(chǔ)單元提取與該用戶ID對(duì)應(yīng)的用 戶屬性信息,并將包含所提取的用戶屬性信息的屬性取得應(yīng)答發(fā)送給所述 許可服務(wù)器,所述策略管理服務(wù)器包括服務(wù)策略信息存儲(chǔ)單元,對(duì)識(shí)別服務(wù)的每一個(gè)服務(wù)ID,存儲(chǔ)服務(wù)策略 信息,所述服務(wù)策略信息表示被許可提供該服務(wù)的用戶的條件;以及策略信息管理單元,在從所述許可服務(wù)器接收到包含服務(wù)ID的策略取 得請(qǐng)求的情況下,從所述服務(wù)策略信息存儲(chǔ)單元提取與該服務(wù)ID對(duì)應(yīng)的服 務(wù)策略信息,并將包含所提取的服務(wù)策略信息的策略取得應(yīng)答發(fā)送給所述 許可服務(wù)器,所述許可服務(wù)器包括許可判斷單元,在從所述服務(wù)執(zhí)行服務(wù)器接收到包含用戶ID和1個(gè)以 上的服務(wù)ID的許可判斷請(qǐng)求的情況下,將包含該用戶ID的屬性取得請(qǐng)求 發(fā)送給所述屬性管理服務(wù)器,而取得與該用戶ID對(duì)應(yīng)的用戶屬性信息,并 且將包含該服務(wù)ID的策略取得請(qǐng)求發(fā)送給所述策略管理服務(wù)器,而取得與 該服務(wù)ID對(duì)應(yīng)的服務(wù)策略信息,判斷所取得的用戶屬性信息是否滿足所取 得的服務(wù)策略信息,并將包含每一個(gè)服務(wù)ID的許可判斷結(jié)果的許可判斷應(yīng)答發(fā)送給所述服務(wù)執(zhí)行服務(wù)器, 所述服務(wù)執(zhí)行服務(wù)器包括腳本存儲(chǔ)單元,將對(duì)業(yè)務(wù)流程中包含的多個(gè)服務(wù)的提供順序進(jìn)行規(guī)定 的服務(wù)腳本與識(shí)別各個(gè)服務(wù)腳本的腳本ID相對(duì)應(yīng)地進(jìn)行存儲(chǔ);以及腳本執(zhí)行單元,在從客戶機(jī)側(cè)的通信裝置接收到包含用戶ID和腳本ID 的服務(wù)請(qǐng)求的情況下,從所述腳本存儲(chǔ)單元取得與該腳本ID對(duì)應(yīng)的服務(wù)腳本,并將包含該用戶ID和所取得的服務(wù)腳本中包含的各個(gè)服務(wù)的服務(wù)ID的許可判斷請(qǐng)求發(fā)送給所述許可服務(wù)器,從而取得該服務(wù)腳本中包含的各 個(gè)服務(wù)的許可判斷結(jié)果,在該服務(wù)腳本中包含的一系列服務(wù)的全部都被許 可了的情況下,向執(zhí)行在該服務(wù)腳本中最初應(yīng)該提供的服務(wù)的服務(wù)提供服務(wù)器請(qǐng)求對(duì)該用戶ID的用戶提供該服務(wù)。
9、如權(quán)利要求8所述的業(yè)務(wù)流程執(zhí)行系統(tǒng),其特征在于, 在所述服務(wù)腳本中,某個(gè)服務(wù)之后應(yīng)該提供的服務(wù)根據(jù)條件而存在不 同的分支,所述服務(wù)執(zhí)行服務(wù)器還包括流程信息存儲(chǔ)單元,對(duì)識(shí)別各個(gè)流程的每一個(gè)流程ID,存儲(chǔ)執(zhí)行中的 服務(wù)腳本的腳本ID、執(zhí)行中的服務(wù)的服務(wù)ID、和禁止提供的服務(wù)的服務(wù)ID, 所述腳本執(zhí)行單元,在從所述許可服務(wù)器取得了由用戶指定的服務(wù)腳本內(nèi)的各個(gè)服務(wù)的許 可判斷結(jié)果的情況下,生成流程ID,并與所生成的流程ID相對(duì)應(yīng)地,將 該服務(wù)腳本的腳本ID作為執(zhí)行中的服務(wù)腳本的腳本ID而注冊(cè)到所述流程 信息存儲(chǔ)單元;執(zhí)行如下的禁止服務(wù)注冊(cè)處理在將該服務(wù)腳本內(nèi)的各個(gè)服務(wù)作為對(duì) 象,存在作為該對(duì)象的服務(wù)之后應(yīng)該提供的服務(wù)的情況下,若作為對(duì)象的 服務(wù)未被許可、或之后提供的所有服務(wù)被禁止,則將作為該對(duì)象的服務(wù)的 服務(wù)ID作為禁止提供的服務(wù)的服務(wù)ID,而與所生成的流程ID相對(duì)應(yīng)地注 冊(cè)到所述流程信息存儲(chǔ)單元,在不存在作為該對(duì)象的服務(wù)之后應(yīng)該提供的 服務(wù)的情況下,若作為對(duì)象的服務(wù)未被許可,則將作為該對(duì)象的服務(wù)的服 務(wù)ID作為禁止提供的服務(wù)的服務(wù)ID,與所生成的流程ID相對(duì)應(yīng)地注冊(cè)到所述流程信息存儲(chǔ)單元,將各個(gè)服務(wù)作為對(duì)象執(zhí)行的禁止服務(wù)注冊(cè)處理的結(jié)果,參考所述流程 信息存儲(chǔ)單元,在最初應(yīng)該提供的服務(wù)未被禁止的情況下,判斷為由用戶 指定的服務(wù)腳本中包含的一系列服務(wù)全部被許可,并向提供該服務(wù)的服務(wù)提供服務(wù)器請(qǐng)求執(zhí)行該最初應(yīng)該提供的服務(wù),并且將該服務(wù)的服務(wù)ID作為 執(zhí)行中的服務(wù)腳本的腳本ID,而與所生成的流程ID相對(duì)應(yīng)地注冊(cè)到所述 流程信息存儲(chǔ)單元。
10、 如權(quán)利要求8或9所述的業(yè)務(wù)流程執(zhí)行系統(tǒng),其特征在于, 所述策略管理服務(wù)器還包括腳本策略信息存儲(chǔ)單元,對(duì)每一個(gè)腳本ID,存儲(chǔ)腳本策略信息,所述 腳本策略信息表示被許可提供與該腳本ID對(duì)應(yīng)的服務(wù)腳本的用戶的條件, 所述策略信息管理單元,在從所述許可服務(wù)器接收到包含腳本ID的策略取得請(qǐng)求的情況下,從 所述腳本策略信息存儲(chǔ)單元提取與該腳本ID對(duì)應(yīng)的腳本策略信息,并將包 含所提取的腳本策略信息的策略取得應(yīng)答發(fā)送給所述許可服務(wù)器,所述許可服務(wù)器,在從所述服務(wù)執(zhí)行服務(wù)器接收到還包含腳本ID的許可判斷請(qǐng)求的情 況下,將包含該腳本ID的策略取得請(qǐng)求發(fā)送給所述策略管理服務(wù)器,并進(jìn) 一步取得與該腳本ID對(duì)應(yīng)的腳本策略信息,判斷從所述屬性管理服務(wù)器取 得的用戶屬性信息是否滿足該腳本策略信息,并將還包含與腳本ID相對(duì)應(yīng) 的許可判斷結(jié)果的許可判斷應(yīng)答發(fā)送給所述服務(wù)執(zhí)行服務(wù)器,所述腳本執(zhí)行單元,在從所述客戶機(jī)側(cè)的通信裝置接收到所述服務(wù)請(qǐng)求的情況下,將還包 含該服務(wù)請(qǐng)求中包含的腳本ID的許可判斷請(qǐng)求發(fā)送給所述許可服務(wù)器,從 而進(jìn)一步取得與該腳本ID對(duì)應(yīng)的服務(wù)腳本的許可判斷結(jié)果,在許可執(zhí)行該 服務(wù)腳本的情況下,判斷該服務(wù)腳本中包含的一系列服務(wù)是否全部被許可。
11、 如權(quán)利要求8至10的任一項(xiàng)所述的業(yè)務(wù)流程執(zhí)行系統(tǒng),其特征在于,所述許可判斷單元,在由服務(wù)提供服務(wù)器請(qǐng)求對(duì)作為許可判斷的對(duì)象的用戶的許可判斷之 前,將根據(jù)從所述服務(wù)執(zhí)行服務(wù)器接收到的許可判斷請(qǐng)求進(jìn)行的許可判斷 的結(jié)果發(fā)送給該服務(wù)提供服務(wù)器,所述服務(wù)提供服務(wù)器提供作為許可判斷 的對(duì)象的各個(gè)服務(wù)。
12、如權(quán)利要求8至10的任一項(xiàng)所述的業(yè)務(wù)流程執(zhí)行系統(tǒng),其特征在于,各個(gè)服務(wù)提供服務(wù)器具有所述許可服務(wù)器的功能, 所述腳本執(zhí)行單元,在從客戶機(jī)側(cè)的通信裝置接收到包含用戶ID和腳本ID的服務(wù)請(qǐng)求的 情況下,從所述腳本存儲(chǔ)單元取得與該腳本ID對(duì)應(yīng)的服務(wù)腳本,并將許可 判斷請(qǐng)求發(fā)送給執(zhí)行各個(gè)服務(wù)的服務(wù)提供服務(wù)器,從而取得該服務(wù)腳本中 包含的服務(wù)的許可判斷結(jié)果,所述許可判斷請(qǐng)求包含該用戶ID和所取得的 服務(wù)腳本中包含的服務(wù)的服務(wù)ID,各個(gè)服務(wù)提供服務(wù)器,根據(jù)從所述服務(wù)執(zhí)行服務(wù)器接收到的許可判斷請(qǐng)求,執(zhí)行判斷是否許 可對(duì)該許可判斷請(qǐng)求中包含的用戶ID的用戶提供服務(wù)的許可判斷,并將許 可判斷應(yīng)答發(fā)送給所述服務(wù)執(zhí)行服務(wù)器,并且與該用戶ID相對(duì)應(yīng)地保持該 許可判斷結(jié)果,所述許可判斷應(yīng)答包含許可判斷結(jié)果和作為該許可判斷結(jié) 果的對(duì)象的服務(wù)的服務(wù)ID。
全文摘要
提供一種可以減少到用戶請(qǐng)求的服務(wù)的提供開始之前的用戶的等待時(shí)間的訪問許可系統(tǒng)(10)、訪問控制服務(wù)器、和業(yè)務(wù)流程執(zhí)行系統(tǒng)。本發(fā)明的訪問許可系統(tǒng)(10)特定接著由作為客戶機(jī)側(cè)的通信裝置的US(500)現(xiàn)在提供的服務(wù)要由該US(500)提供的服務(wù),在該US(500)請(qǐng)求該下一服務(wù)之前,預(yù)先執(zhí)行對(duì)該US(500)的用戶該下一服務(wù)的許可判斷。
文檔編號(hào)H04L29/06GK101409710SQ200810161739
公開日2009年4月15日 申請(qǐng)日期2008年9月26日 優(yōu)先權(quán)日2007年9月27日
發(fā)明者入部真一, 山本暖, 林直樹, 矢戶晃史, 鍛忠司 申請(qǐng)人:株式會(huì)社日立制作所