サービス連鎖方法及び装置
いくつかの態様により、第1装置に対してサービスを提供することが可能なサーバを見つけるように構成されたネットワーク・スイッチング・センタを使用して、ネットワークを介して第1装置にサービスを提供する方法が提供される。当該方法は、第1装置に提供される第1サービスを識別する工程と、ネットワーク・スイッチング・センタから第1サーバに対して、遠隔装置が第1サービスを要求しているという通知を提供する工程と、第1サーバによって遠隔装置に対して第1サービスを提供する工程と、そして、第1サーバによってネットワーク・スイッチング・センタに対して、遠隔装置に対して提供されるべき第2サービスを指示する工程とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、リモート・コンピューティング、より詳しくは、1つ以上の遠隔サーバからのサービスの受け取りに関する。
【背景技術】
【0002】
ネットワーク・コンピューティングのフレキシビリティは、いくつかの点において、遠隔アクセス及びコンピューティングが実行され達成される方法において変化している。特に、そのネットワークを介してどこからでも情報、データ、計算能力にアクセス可能であることから、高度にネットワーク化された環境においては位置の厳格な概念は益々重要なものでなくなってきている。例えば、ある企業のローカル・エリア・ネットワーク(LAN)は、在宅勤務、出張旅行(もしくは休暇旅行)、などのその他の理由でその企業LANに直接には接続されていないユーザにとって利用可能でありうる。ワイヤレスネットワーク技術の増殖及びこれらの技術に基づく高速ネットワークのコストが益々低下していることによって、リモート・コンピューティング・ソリューションに向かう傾向は益々加速している。
【0003】
ラップトップ・パーソナル・コンピュータ(PC)、携帯電話、パーソナル・デスクトップ・アシスタント(PDA)、その他ポータブル演算装置、等のポータブル式及び携帯式装置のユーザは、そのユーザの企業LANや1つ以上のその他のLAN、プライベート・ネットワーク、などを含むネットワークを介して利用可能な膨大なリソースに対するアクセスを望んだり、それらを利用することを望むかもしれない。遠隔ユーザは、LANと交信して、あたかもそのユーザがそのLANに対してローカルに接続されているかの如く、その多くのサービスを享受することを希望するかもしれない。しかしながら、そのようなリモート・コンピューティング活動には、LANに対する多大なセキュリティ上の危険が伴う。例えば、遠隔ユーザが交信しようとする企業LANの秘密情報に対するアクセスを認めることによって、そのLANは、その秘密情報の紛失又は拡散に対して脆弱なものとなるかもしれない。
【0004】
プライベートLANは、当該LAN上に保存された、又は当該LANによって提供される、データ、情報やサービス、に対する不正アクセスに対して自らを防御する必要があるかもしれない。遠隔アクセスに内在するセキュリティ問題を対象とする従来のソリューションとして、LANをファイアウォールの背後に置いて保護することが挙げられる。ファイアウォールは、LANに対してアクセス制限を提供するように構成され、不正ユーザによるLANへの接続、又はその他のアクセス、を防止するゲートキーパとして機能する。しかしながら、従来のファイアウォール・ソリューションは、LANに対して許可されるアクセスの種類を厳しく制約し、LANに対してアクセス可能な装置の種類を厳格に制約する。更に、ファイアウォールを介した遠隔アクセスは、その実行が高価で、管理や維持が複雑であることが多い。加えて、従来のファイアウォールでは、LANに属するデータ及び情報が窃盗、不正なあるいは過失的な修正又は削除に対して、脆弱なまま残される可能性がある。
【0005】
自分のオフィスから遠く離れた個人が、彼らの企業ネットワークに対するアクセスを得る継続した必要性を持つことはよくあることである。彼らは、通常は、個人がオフィスにいて企業ネットワークに直接接続されているときに利用可能である、ファイル、eメール、アプリケーション、プログラムにアクセスする必要があるかもしれない。遠隔アクセスを促進する1つの従来のアプローチは、ユーザが、例えば遠隔からeメールアカウントにアクセスすることを可能にするラップトップ・パーソナル・コンピュータを使用することである。この活動を可能にするためには、ユーザが遠隔から企業ネットワークにアクセスして、ダイアルアップ電話回線(又はブロードバンド接続、デジタル加入者回線(DSL)、TI、ケーブルなど)を介してネットワーク・サーバから、あるいはネットワーク・サーバへ、ファイルを転送することができるように、各クライアント・ラップトップPCに適当な通信ソフトウエアをインストールしなければならない。全てのアプリケーションがそのローカル・クライアント・ラップトップPC上に常駐し、そこでローカルに実行される。このアプローチは比較的単純ではあるが、それは、各々のソフトウエア・アプリケーションが、各ラップトップPC上に、インストールされ、設定され、その後維持されることを必要とする。その結果、このアプローチは、特に、インストールされたソフトウエア・アプリケーションの継続するサポート・コスト、と、大半のラップトップはアップグレードが必要となるまでの寿命が比較的短い、との観点から、経時的にはかなり高価なものになる可能性がある。
【0006】
もう一つの従来のアプローチは、遠隔ユーザロケーションから中央の企業LANへの広域ネットワーク(WAN)接続を提供するために、従来式の仮想プライベート・ネットワーク(VPN)を使用する。VPN WAN接続は、LANと遠隔ユーザロケーションとの間にオープン・システム・インターコネクション(OSI)第2層の拡張を実装するものであってよい。VPNを介してLANに接続された遠隔クライアントPCは、あたかもそのLANに直接接続されているように見える。しかしながら、VPN接続は、その接続の各端部に位置する高価なVPN終端装置(又はクライアント側のVPNルータ)や、クライアント・マシーンにインストールされ設定されたVPNクライアント・ソフトウエアを必要とする。いずれのケースにおいても、前記VPN終端装置は、第2層のパケット処理と、更に、適当なパケット暗号化・復号化機能とを提供する。PCオペレーティング・システム又はクライアント側VPNソフトウエアによってVPN終端装置のコストを軽減することは可能であるが、そのいずれの場合でもパケットを組み立て及び分解するための相当なパケット処理を必要とし、それによってPCに対して大きな処理負荷がかかる。従って、クライアントPC自身に対して過度の負荷をかけることなく、必要なレベルのセキュリティと信頼性でのVPN接続をサポートするために、多くの場合、遠隔ユーザロケーションにおいて別個の専用VPN終端装置が必要とされる。このように、VPN装置は高価であるばかりでなく、設定が面倒であり、管理及び維持が大変である。
【0007】
上述した全てのケースにおいて、センシティブな企業データがPCやラップトップとの間で転送され、セキュアな企業ネットワークとPCやラップトップとの間で複製される。一旦データがダウンロードされ物理的にコピーされると、いかなるアクセス又は伝送セキュリティシステムをもってしても、そのデータの不正な、自由な頒布や乱用を防止することはできない。従って、合法的なデータ所有者は、秘密情報が流布され、もしくは、自分の知らないまま、又は、自分の許可無しに、利用されるリスクを負っている。
【0008】
オフィス環境を遠隔ユーザロケーションに拡張する更にもう一つの従来式アプローチは、アプリケーション・サービス・プロバイダ(ASP)モデルを利用するものであるが、これは、1つ以上のネットワーク・サーバ上に、独立したコンピューティング・アーキテクチャ・プロトコルを使用するシトリックス社のMetaFrame等の、専用サーバソフトウエアをインストールすることを必要とする(MetaFrameは登録商標)。LAN上に位置するネットワーク・サーバは、種々の遠隔に位置するクライアントPCによってアクセス可能な複数の仮想マシンをホストすることによってASPとして機能する。或いは、複数の仮想マシンを提供するために、遠隔デスクトッププロトコル(RDP)を使用するマイクロソフト社のWindows Terminal Services(WTS)を利用することができる(Windows Terminal Services は登録商標)。しかしながら、前記MetaFrameソフトウエアとWTSソフトウエアのいずれも、クライアントPCに対して相当な処理負荷を課するものであり、又、ネットワーク障害や、介入者攻撃等のセキュリティ違反に対して脆弱である。更に、ASPベースのアプローチでは限られた遠隔実行機能しか提供することができない。
【0009】
一般に、上述したシステムは、少なくとも部分的には、従来の通信ネットワークのバンド幅の限界を克服するために設計及び開発されたものである。現在の技術進歩によって通信ネットワークのバンド幅は劇的に増大した。ネットワーク・バンド幅は、マイクロプロセッサの速度よりも速く増大しており、約9ヶ月毎に二倍になっており、それによって、そのようなシステム及び技術の価値は減少し、いくつかのケースにおいては、それらを実質的に時代遅れのものにしている。
【0010】
出願人は、ネットワーク(例えばLAN)に接続された1つ以上のサーバと遠隔装置との間の初期接続を仲介する信頼性の高い媒介を使用して、その遠隔装置と1つ以上のサーバとの間のセキュアな通信を使用した比較的単純なアクセスを促進するネットワーク・アーキテクチャを開発した。このアーキテクチャは、後ほど詳述するように、遠隔装置に提供されるサービスの連鎖を促進する。本発明の種々の態様に使用するのに適したネットワーク・アーキテクチャのいくつかの実施例は、2002年12月23日出願の「ユニバーサル・ステートレス・デジタル及びコンピューティング・サービスを提供準備するためのシステムと方法」と題する米国特許出願第10/328,660号、2005年4月12日出願の「ファイアウォールされたサーバとファイアウォールされたクライアントとの間のセキュア・インターネット接続を自動的に開始し動的に確立するためのシステムと方法」と題する米国特許出願第10/328,660号及び第11/104,982号とに記載されており、これら両出願の全体をここに参考文献として組み込む。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】米国特許出願第10/328,660号
【特許文献2】米国特許出願第11/104,982号
【発明の概要】
【発明が解決しようとする課題】
【0012】
上述したように、ローカル・エリア・ネットワークや、ネットワーク装置に接続された1つ以上の遠隔サーバへのアクセス、及び、それらからのサービス、を遠隔装置に提供する従来のアプローチは、ハードウエアとソフトウエアのコストと、システム管理・維持の複雑性、コスト、遠隔装置に対して課せられる比較的高い演算負荷、サービス可能な装置種類に対する制約、種々のセキュリティ上の脅威に対する脆弱性、に関連する欠点を有している。これらの欠点のいくつかは、従来のソリューションが、ネットワーク・バンド幅の制限に対応するべく構成されたものであることにその原因であるが、これらの制限は現代の高速ネットワークによって既に軽減又は除去されている。従来のシステム及びネットワークの欠点に鑑みて、セキュリティを損なうことなく、又、大きな新しいハードウエア・アーキテクチャ及びソフトウエア・アーキテクチャに対する投資無しで、あたかもそのユーザがオフィスにいるかのように、どこからでも、ユーザが、デスクトップ・サービス、ソフトウエア・アプリケーション、eメール、データ・ファイル、などを含む遠隔サービスに安全にアクセスすることを可能にするシステムと方法を提供することが望まれている。
【0013】
従来の遠隔アクセス技術は、典型的には何らかの方法でユーザを認証することによって、例えば、ログインとパスワードの組合せで認証することによって、遠隔装置にユーザに対してサービスへのアクセスを許可する。次に、そのユーザが適当なソフトウエアがインストールされ、かつその対応のサービスにアクセスするように設定されている遠隔装置を介しネットワークに接続されていることを条件に、当該ユーザは、その認証されたサービスにアクセスすることが可能となる。しかしながら、従来の遠隔アクセスにおいては、このプロセスは、ユーザがアクセスすることを希望するサービス毎に繰り返されなければならない。更に複雑なことに、異なるサービス・プロバイダによって提供されるサービスは、遠隔アクセスを促進するために、異なるソフトウエア、アーキテクチャ、などを要求するかもしれない。従って、従来の遠隔アクセス技術を使用することによっては、真の、汎用でフレキシブルで、セキュアな遠隔アクセスは不可能である。
【0014】
出願人は、単一の認証・接続プロセスを使用する1以上のサービス・プロバイダからの種々のサービスを提供することによって、遠隔からサービスにアクセスするための単純で、セキュアでユーザが直覚的に理解できるアーキテクチャを促進することが可能であると判断した。いくつかの実施例によれば、1つ以上のサービスを得るためのネットワークを介して接続された1つ以上のサーバへの遠隔装置によるアクセスを促進するためのネットワーク環境が提供される。前記遠隔装置によってアクセスされる各サービスは、前記遠隔装置に提供されるべき後続のサービスに連鎖させることができる。ここで、「サービス」という用語は、遠隔ロケーションにおけるネットワークを介した任意のサーバの利用をいう。サービスは、デスクトップ・サービス、eメール、1つ以上のアプリケーションへのアクセス、データ、情報、前記サーバによって提供可能なその他の演算タスク、を含む。より詳しくは、サービスは、サーバ上で実行される、任意のプログラム、コード、アプリケーションとすることができ、ここで、実行されたコードが前記遠隔装置とインタラクションする。
【0015】
コネクタ・サービスは、サービスを使用して遠隔装置へと伝送されるコンテンツの方式や形式により、より一般的なサービスとは区別される特定の種類のサービスである。ここで、コネクタ・サービスとは、データの元の形式からインタラクティブ形式への変換を促進するために、1つ以上の機能を実行すべく、サーバ上で実行される1つ以上のプログラムをいう。例えば、コネクタ・サービスは、そのサービス・プロバイダに固有なデータを、当該遠隔装置側の出力装置(例えば、ディスプレイ、スピーカ)でいかにレンダリングするかを指示するレンダリング・コマンドから成るインタラクティブ形式へと翻訳してもよい。例えば、前記レンダリング・コマンドは、前記遠隔装置上での表示のための、画素、音声動画、を表すビット・ストリームを含むことができる。
【0016】
コネクタ・サービスは、潜在的に機密データの可能性があるデータを、サービス・プロバイダから伝送することなく、あるいは、遠隔装置において保存することなく、サービスに遠隔アクセスすることを促進し、これにより、そのサービスに対するセキュアなアクセスを提供する。また、前記コネクタ・サービスは、遠隔装置が、その固有の形式でデータを取り扱うためのソフトウエアをインストールする必要なく、サービスにアクセスすることを可能にし、それによって、ステートレス(stateless)な装置(段落〔0048〕参照)が種々のサービスにアクセスすることを可能にする。ここでいう「連鎖された」「連鎖」という用語は、1つのサーバ又はサービスが、実行されるべき次のサービスを選択、特定、参照することで、遠隔装置が再度認証したり、所望のサービスを再度選択することを必要とせずに、複数のサービスが実行される状況をいう。
【0017】
現在のコンピュータ環境におけるほど情報システムを効率的に管理することがより困難で重要になったことはかつて無かった。デスクトップ・システムを所有するコストが増大するにつれて、企業は購買・更新コスト及び管理・維持コストを削減する方法を必要とする。しかしながら、これらの節約によって機能性や性能が失われることは避けなければならない。従って、既存のハードウエア及びソフトウエア・アーキテクチャを変更することなく、或いは、それらに対する変更を最小限にして、制約されず、元のセキュアな遠隔アクセスを提供することができるサービス提供システムを持つことが望まれている。
【課題を解決するための手段】
【0018】
本発明のいくつかの実施例は、第1装置に対してサービスを提供することが可能なサーバを見つけるように構成されたネットワーク・スイッチング・センタを使用してネットワークを介して第1装置にサービスを提供する方法を含み、当該方法は、前記第1装置に提供される第1サービスを識別する工程と、前記ネットワーク・スイッチング・センタから第1サーバに対して、遠隔装置が前記第1サービスを要求しているという通知を提供する工程と、前記第1サーバによって前記遠隔装置に対して前記第1サービスを提供する工程と、そして、前記第1サーバによって前記ネットワーク・スイッチング・センタに対して、前記遠隔装置に対して提供されるべき第2サービスを指示する工程とを有する。
【0019】
本発明のいくつかの実施例は、ネットワークを介してサービスを提供するシステムを含み、当該システムは、前記ネットワークを介して通信可能な少なくとも1つのネットワーク装置と、前記少なくとも1つのネットワーク装置に対してサービスを提供することが可能なサーバを見つけるように構成されたネットワーク・スイッチング・センタと、そして、前記ネットワーク装置に対して少なくとも1つのサービスを提供するように構成された複数のサーバとを有し、ここで、前記少なくとも1つのネットワーク装置のうちの第1ネットワーク装置に対して提供されるべき第1サービスが識別されると、前記ネットワーク・スイッチング・センタが、前記第1サービスを提供することが可能な前記複数のサーバから第1サーバを識別し、かつ、前記第1サーバに対して前記第1サービスを指示するように構成され、更に、前記第1サーバが、前記第1サービスを提供するとともに、前記ネットワーク・スイッチング・センタに対して、前記第1ネットワーク装置に対して提供されるべき第2サービスを指示するように構成されている。
【0020】
本発明のいくつかの実施例は、複数のネットワーク装置と複数のネットワーク・サーバとを有するネットワークを介して、通信を行うように構成されたネットワーク・スイッチング・センタであって、前記ネットワーク・スイッチング・センタが、前記ネットワークを介した通信のために構成された少なくとも1つのネットワーク・ポートと、前記少なくとも1つのネットワーク・ポートに接続されたコントローラであって、前記コントローラが、前記複数のネットワーク装置からのサービス要求と、前記複数のネットワーク・サーバからのサービス連鎖要求と、を処理するように構成されたコントローラとを有し、ここで、前記複数のネットワーク装置の第1ネットワーク装置からの第1サービス要求を受けると、前記コントローラが、前記第1サービスを提供可能な前記複数のサーバから第1サーバを見つけ、かつ、前記第1サーバに対して、前記第1ネットワーク装置へ提供されるべき前記第1サービスを指示するように構成され、更に、前記第1ネットワーク装置に対して提供されるべき第2サービスを指示する前記第1サーバからのサービス連鎖要求を受けると、前記コントローラが、前記第2サービスを提供可能な前記複数のサーバから第2サーバを見つけるように構成されている。
【図面の簡単な説明】
【0021】
【図1A】本発明の一実施例による、サービス連鎖のためのシステムと方法とを図示している。
【図1B】本発明の一実施例による、サービス連鎖のためのシステムと方法とを図示している。
【図1C】本発明の一実施例による、サービス連鎖のためのシステムと方法とを図示している。
【図1D】本発明の一実施例による、サービス連鎖のためのシステムと方法とを図示している。
【図1E】本発明の一実施例による、サービス連鎖のためのシステムと方法とを図示している。
【図1F】本発明の一実施例による、サービス連鎖のためのシステムと方法とを図示している。
【図2】本発明の別実施例によるサービス連鎖方法を図示している。
【図3】本発明の更に別の実施例による種々の態様のサービス連鎖を組み込んだネットワーク・システムを図示している。
【発明を実施するための形態】
【0022】
以下、本発明に関連する種々の概念と、本発明による方法及び装置の実施例についてより詳細に説明する。尚、ここに記載する種々の態様は、いかなる方法によっても実施することができると銘記される。特定の実施例は、ここで例示の目的のみで提供される。特に、種々の任意のネットワーク、ネットワーク・プロトコルを使用する種々のネットワーク実装及び構成を本発明の態様として使用することができ、これらはいかなる特定の種類のネットワーク、ネットワーク構成、ネットワーク装置にも限定されるものではない。
【0023】
図1A〜図1Fは、本発明のいくつかの実施例による、遠隔装置への1つ以上のサービスの提供を促進するためのネットワーク・アーキテクチャを図示している。図1Aに図示されているように、システム100は、ルータ115を介して信頼できないネットワーク150(例えば、インターネット)に接続されたサーバ110を含む。システム100は、更に、ルータ125を介して信頼できないネットワーク150に接続された遠隔装置120も含む。遠隔装置120は、ワイヤレス・リンク又はハードワイヤド接続を介して前記ネットワーク150に接続することも可能である。例えば、ルータ125は、前記遠隔装置をネットワーク150にワイヤレスに接続する1つ以上のワイヤレス・アクセス・ポイントを有することができる。或いは、前記遠隔装置120は、有線接続を使用して前記ネットワークに接続することも可能である。例えば、遠隔装置120は、ホーム・オフィスのネットワーク接続、又は、有線ネットワーク・ポートを提供するその他のロケーション、を介して前記ネットワークに接続されたラップトップ・コンピュータとすることができる。
【0024】
前記遠隔装置120や前記遠隔装置120のユーザは、サーバ110にとって未知であるか、又は信頼されていないかもしれない。しかし、これは本発明の態様においては制限とならない。というのは、遠隔装置120や遠隔装置120のユーザは、既知であるか、信頼されているか、又はその両方でありうるからである。例えば、サーバ110は、遠隔装置120を使用する遠隔ロケーションから企業LANへのアクセスを試みるユーザの企業LAN上に位置しているかもしれない。そのようなシナリオによれば、前記遠隔装置120及び前記遠隔装置120のユーザは、サーバ110に一般に認知されており、信頼されているかもしれないが、サーバ110は、それが前記企業LANの外部から前記ネットワークに接続される時には、前記遠隔装置あるいは前記遠隔装置のユーザの認証を確認する能力が限られているかもしれない。システム100は、更に、ネットワーク・スイッチング・センタ(NSC)130を有し、これは、遠隔装置120とサーバ110との間の通信リンクの確立を促進するためにネットワーク150に接続されている。前記サーバ、NSCは、更に、ワイヤレス・リンク、有線リンク、又は任意の種類の適当なネットワーク接続を介して前記ネットワーク150に接続されることも可能である。
【0025】
尚、前記ネットワーク150は、任意の種類及び構成の複数のネットワークから構成されうることが理解されるべきである。例えば、ネットワーク150は、多数のネットワークを含むことができ、これらのネットワークのそれぞれがこのネットワークに接続された種々のネットワーク装置によって発行されるネットワーク・アドレスのネットワーク識別部分によって識別される。この点に関して本発明は限定されるものではないので、ネットワーク150は、1つ以上のプライベート・ネットワーク、ローカル・エリア・ネットワーク(LAN)、広域ネットワーク(WAN)、インターネット、などをも含むことができる。ネットワーク150は、1つ以上の協働するルータを含むことができ、これらルータは、異なるネットワーク間のネットワーク・トラフィックを管理し、ネットワークに接続された遠隔装置によるローミングを促進する。一般に、ネットワーク150は、互いに通信することが可能な1つ以上のネットワークの集合を指すが、但し、それは、いかなるネットワークの種類、構成、又は数にも限定されるものではない。
【0026】
NSC130は、一般的に、サーバ110によって認知され、信頼されており、サーバとの間で信頼できるリンクが確立されており、これによってNSCはサーバに対して情報を通信することができる。例えば、トランスポート・コントロール・プロトコル(Transport Control Protocol) (TCP)を介して、又は、セキュア・ソケット・レイヤ(Secure Socket Layer) (SSL)で前記NSCに接続することができる。図1Bに図示されているように、サーバ110は、NSC130との通信リンクを開始し、確立することができる。或いは、NSC130がそのリンクを開始することも可能である。しかし、サーバにそのプロセスを開始させることによって、サーバ110は、NSC130が信頼できることを確認するためのプロセスに対してより大きな制御を行うことが可能である。サーバ110は、NSCの真正性と信頼性について自身が満足できるいかなる種類のセキュリティ手段又は認証手順も行うことができる。
【0027】
同様に、NSC130は、遠隔装置120に一般的に認知され、信頼されていてもよい。遠隔装置120は、例えばサーバ110によって提供される1つ以上のサービスにアクセスするために、サーバ110との通信を望む場合、NSC130に接続し、これとインタラクションするように構成することができる。このアクションを促進するために、NSC130は、遠隔装置120とサーバ110との間の信頼できる媒介として作用することができる。尚、この点に関して本発明の態様は限定されることがないので、任意の数の信頼できる、あるいは信頼できない、遠隔装置とサーバの組合せの間での、一般的に信頼できる媒介として作用するべく、複数のサーバと複数の遠隔装置に接続することも可能である。一般に、NSCは、サーバ110が後に詳述するプロセスによって1つ以上のサービスを遠隔装置120に提供することが可能であるように、遠隔装置120のサーバ110への接続を支援するように構成されている。
【0028】
図1Cに図示されているように、前記遠隔装置は、ネットワーク接続117(例えば、SSL等の暗号化された接続、又は、その他任意の種類の接続)を介してNSC130に接続することもできる。前記遠隔装置がNSC130に接続されると、認証のために、この遠隔装置の一時的IDが設定される。この一時的IDは、秘密ID(ID)や、ユニークなネットワークID(例えば、遠隔装置のIPアドレス)から構成されうる。本発明の態様はこの点において限定されるものではないので、前記一時的IDは、遠隔装置を安全に識別するための様々の又は追加の複数の識別子から構成することも可能である。すなわち、NSCは、遠隔装置をユニークに識別することが可能で、悪意ある装置が遠隔装置のIDになりすますことの防止を促進する任意の様々な認証スキームを使用してよい(例えば、悪意のある者が1つ以上のサービス、データ、その他の秘密情報にアクセスするために正規の遠隔装置になりすますことを防止する)。
【0029】
NSC130は、接続を確立するのに使用される遠隔装置のネットワーク・アドレスを取得し、その遠隔装置に独自な識別子を形成するための秘密IDを生成する。例えば、NSCはこの秘密IDとして乱数を生成することができる。いくつかの実施例において、前記秘密IDは、NSC又は遠隔装置の、IPアドレス、ハードウエア・アドレス、地理的ロケーション、などと無関係なものとすることができる。前記秘密IDとネットワークIDとは、協働で、NSCに対して、前記遠隔装置の身元と真正性の証明として作用することができる。
【0030】
図1Dに図示されているように、NSC130は、遠隔装置と当該NSCとの間に確立された前記リンクを介して秘密ID127を転送する。前記NSCと遠隔装置は、前記秘密IDを所有する唯一の実体であってよく、これは、遠隔装置が再始動、再起動したり、その他の前記秘密IDを失効させる処理を受けるまで、双方によって認証のために保持される。前記ネットワーク・アドレスと秘密IDはシステム100において認証メカニズムとして作用するものであるが、この点に関して本発明の態様は限定されるものではないので、遠隔装置を安全に識別するためにいかなる認証方法でも使用することが可能である。
【0031】
図1Eにおいて、NSC130は、サーバ110に対して、遠隔装置120が1つ以上のサービスにアクセスするためにこのサーバに接続を望んでいることを通知する。NSC130からのこの通知は、前記遠隔装置120のネットワーク・アドレスを含むことができ、更に、サーバ110によって必要とされる、又は、望まれるその他任意の追加情報(例えば、遠隔装置が要求している1つ以上のサービス)を含むことができる。次に、図1Fに図示されているように、サーバ110は、NSC130によってそれに供給された前記情報(例えば、ネットワーク・アドレス)を使用して前記遠隔装置との通信リンクを開始し、確立する。次に、サーバはその要求されたサービスを遠隔装置120に提供してもよい。
【0032】
尚、一旦、サーバ110と遠隔装置120との間の接続が確立されたならば、NSCはもはや、このサーバと遠隔装置との間に確立されたリンクを介するその後の通信に関わる必要はなくなる。すなわち、信頼できないネットワークを介する通信路は、NSC130を含まなくてもよい。このように、NSCは、接続を確立するための通信媒介としては作用するが、その接続を介するその後の通信には関与しなくてもよく、遠隔装置120とサーバ110との間で送られるネットワークパケットをNSC130を介してルーティングする必要はない。従って、サーバ110は、その指示又は選択されたサービスを遠隔装置120に送る。例えば、サーバ110は、デスクトップ・サービス、或いはeメールやそのサーバにとってローカルである他のアプリケーション、を提供することができる。サーバ110は、ユーザが希望する動画や音声コンテンツなどのコンテンツを提供することができる。本発明の態様はこの点において限定されるものではないので、いかなるサービスでも提供可能である。
【0033】
単一のサービス・アーキテクチャにおいて、サーバが選択されたサービスを提供した後、サーバはその接続を終わらせることができる。従って、遠隔装置120は、追加のサービスを得るためにはNSC130との別のトランザクションを開始しなければならないかもしれない。例えば、遠隔装置120は、別のサービスを要求するためにその秘密IDを使用してNSCにコンタクトするかもしれず(すなわち、NSCに対して、その要求する後続のサービスを提供する適当なサーバとの接続を確立させることによって)、NSCは、接続を開始し、遠隔装置120がそのサービスの1つにアクセスしようとしていることをその提供サーバに通知する必要な機能を実行しなければならない。このプロセスは、遠隔装置が後続の又は追加のサービスを要求する度に、反復される必要がある。
【0034】
出願人は、遠隔装置が別のサービスにアクセスを求める毎にNSC130とのコンタクトを再設定しなければならないのは不便かもしれないと判断した。更に、この必要性によって、ユーザ・エクスペリエンスは、ユーザがローカルに接続されている場合、例えば自分の企業LANにローカルに接続されている場合、に提供されるユーザ・エクスペリエンスを綿密にシミュレートするものではなくなるといったように、使いづらく、非直感的なものになるかもしれない。前記単一サービス構造は、サーバ110が遠隔装置120に対してフレキシブルにサービスを提供するときに制約を与えるかもしれない。例えば、サーバ110が、1つのサービスの完了後に、別のサービスを提供することを望んだり、或いは、別のサーバに追加サービスを提供するように協力を求めるかもしれない。単一サービス・アーキテクチャでは、通常1つのサービスの期限満了がそのサーバと遠隔装置との間のセッションを終了させることになるので、これは実用的ではない(或いは不可能ですらある)。
【0035】
出願人は、前記単一サービス・アーキテクチャの種々の欠点を、複数のサービスをここでサービス連鎖と呼ぶプロセスにおいて互いに連結させることにより、なくすことができると判断した。サービス連鎖では、現在のサービスの完了時、終了時、中断時において、その参照されるサービスが制定されるように、現在のサービスが別のサービスへの参照を含んでよく、もしくは、サーバが別のサービスへの参照を提供してよい。サービス連鎖は、サーバが複数のサービスを提供し、そのサーバが提供するサービスをカスタマイズする機会を提供することにおいて、サーバにフレキシビリティを提供する。また、サービス連鎖は、サービス・プロバイダに対して、ユーザが特定の所与のサービスからどのサービスに進めばよいかを制御するための容易な管理方法も提供する。更に、サービス連鎖は、以下で詳述するように、新たなサーバとサービスがシステムに追加される場合に、NSCに対する負担を軽減することができる。
【0036】
図2は、本発明の一実施例によるサービス連鎖の方法を図示している。この方法200は、例えば、図1に図示のシステムにおいて実施することができる。工程210において、遠隔装置が、当該遠隔装置もしくはそのユーザが加入している1つ以上のサーバからのサービスを要求するサービス要求をNSCに対して行う。前記サービス要求は、NSCにコンタクトしている遠隔装置だけを対象とする。ここで、「加入者」という用語は、NSCに登録しており、ネットワークを介して少なくとも1つのサービスにアクセスできるように加入しているネットワーク装置又は遠隔装置やユーザのことをいう。遠隔装置は、例えば、起動時等において、自動的にNSCとコンタクトするように構成することができるし、或いは、コンタクトがユーザによって開始されるようにできる(例えば、ユーザがNSCに接続するオプションを選択するか、さもなければ、NSCがコンタクトされるべきであることを指示する)ことも可能である。
【0037】
工程220において、NSCは、遠隔装置からのサービス要求を受け取り、その遠隔装置やユーザが認証されたものであるか否かを調べる。もしその遠隔装置やユーザがまだ認証されていなければ、工程230に示されているように、NSCは遠隔装置やユーザを認証し、その遠隔装置やユーザがNSCに登録されていることを確かめる。遠隔装置やユーザが認証されるには様々な方法がある。一つの実施例では、NSCは遠隔装置やユーザが認証されていることを確かめる確認プロセスを扱う認証サービスを開始する。前記認証サービスは、ユーザがユーザ名とパスワードを入力できるようにログイン画面を提示するように構成できる。これにより、NSCはそのユーザによって提供されたユーザ名とパスワードの組合せが正しいものであることを確かめ、その情報を使用して加入者を識別することができる。
【0038】
別実施例において、前記認証サービスはユーザに対して透過的に機能する。例えば、遠隔装置に関する認証情報を加入者IDモジュール(SIM)によって提供することができる。この加入者IDモジュール(SIM)は、遠隔装置からプログラムによって発行することが可能なエンド・ユーザに関するID情報を格納することができる。更に、遠隔装置に組み込んだ、又は接続したスマート・カードによって認証情報を提供することも可能である。例えば、遠隔装置がスマート・カード・リーダを備えたり、或いはそれをスマート・カード・リーダに接続することができる。ユーザは、自分のスマート・カードをリーダに提供してこのようにして認証される。或いは、認証情報が、ネットワーク・インターフェース・カード(NIC)識別子などの遠隔装置のハードウエア識別から得られるように構成することもできる。本発明はこの点に関して限定されるものではないので、遠隔装置によってプログラム発行されたり、NSCによって得られるその他の認証情報を認証のために使用することも可能である。尚、以上の説明から、認証はユーザ側で(例えば、ログイン・パスワード、パーソナル・スマート・カード、など)、又は、遠隔装置側で(例えば、SIM番号、NIC ID、ハードウエアID、等)行うことが可能であることが理解される。従って、ここで、「遠隔装置やユーザ」という用語は、遠隔装置又はユーザを指すものであって、これらの両方を要件とするものではない。
【0039】
いずれにせよ、NSCは次に、その提供された認証情報を使用して遠隔装置やユーザの身元を確認する。例えば、NSCは、その認証情報を利用して、ここではネットワーク加入者ID(NSI)と称する、NSCによってその内部で使用される遠隔装置やユーザの対応のローカル識別子を索引付けし見つけることができる。例えば、NSCは、各有効な加入者に対応のグローバルにユニークなNSIを格納し、このNSIを有効で正しい認証情報と関連付けることができる。NSCが認証情報を受け取ると、それはこの認証情報を使用して、そのサーバ要求を提供した遠隔装置に対応するNSIを索引付けし、得ることができる。
【0040】
もしも得られた認証情報に関連付けられたNSIが存在しないならば、認証サービスは遠隔装置に対して、NSCはその遠隔装置やユーザを有効で認証された加入者とは認識しない、ということを示すことができる。もしも認証情報に関連付けられたNSIが存在しているのであれば、セッションが開始され、NSCは、上述したようにそのセッションの間の使用のために遠隔装置に対して秘密IDを発行する。
【0041】
NSCとの接続の一部として、遠隔装置は装置パラメータと能力とに関連する情報を送ることができる。例えば、遠隔装置は、画面サイズ、動画暗号化能力、音声能力、コーデックス、その他、その遠隔装置にサービスを提供するために有用又は必要なその他のパラメータ(複数でありうる)等の処理パラメータも送ることができる。次に、これらの装置パラメータは、その遠隔装置のためにNSIと関連付けられて格納することができる。その点に関して本発明は限定されるものではないので、装置パラメータは、認証の前、その後、又はその一部として伝送することができる。
【0042】
遠隔装置とのセッションが開始された後は、認証サービスを終わらせることができる。セッションとは、装置がそれに対して認証された期間のことを指し、NSCによる更なる認証を必要とするものではない(例えば、遠隔装置はNSCによって生成され提供された秘密IDを保有する)。セッションは、任意の数の理由によって、終わらせることができる。例えば、セッションは、遠隔装置が再起動又は再始動する時に終わらせることができる。尚、本発明はその点に関して限定されるものではないので、前記認証サービスによって、初期化手順やセッションセットアップ処理を行ってもよい。
【0043】
上述したように、サービス連鎖のための一般的アーキテクチャによれば、各サービス又はサーバ、或いはNSCは、遠隔装置に対して提供されるべき次のサービスを指示することができる。もしも連鎖されるサービスが無いのであれば、加入者のためのデフォルト・サービスを提供することができる。例えば、NSCは、各加入者に提供されるデフォルト・サービスを格納することができる。このデフォルト・サービスは、後に詳述するように、NSCによって提供されるサービス(例えば、選択サービス)、又は、サーバによって提供されるサービスに対する参照、とすることができる。従って、前記認証サービスは、遠隔装置のためのデフォルト・サービスに明示的に連鎖してもよいし、或いは、認証サービスは単純に終わることも可能であり、そして、連鎖されているサービスが存在しない場合には、NSCは遠隔装置のNSIに関連付けられたデフォルト・サービスを参照する。いずれの場合でも、デフォルト・サービスが遠隔装置に提供される(工程240)。
【0044】
前記デフォルト・サービスは、遠隔装置にとって利用可能な任意のサービスとすることができる。デフォルト・サービスは、遠隔装置が加入している利用可能な種々のサービスを提供する選択サービスとすることができる。例えば、前記選択サービスは、例えば、上述したように、遠隔装置があたかもそのサービスを提供するサーバとしてのその同じLANにローカルに接続されているかのように機能することを可能にするWindows環境をエミュレートするWindowsサービス等の、その遠隔装置がそこから選択することができる利用可能なサービスのメニューを提供することによって機能するものとすることができる(Windowsは登録商標)。前記サービスは、遠隔装置が商取引を行うことを可能にする表示サービスとしてもよい。例えば、前記遠隔装置はテレビ装置とすることができ、前記デフォルト・サービスは、ユーザが見る映画を選択することを可能し、その後、その選択されたサービスの一部として設定されたテレビに対してストリーミングすることができる(或いは、他のメニュー・オプションを提供する)サービスとすることができる。従って、装置に対するデフォルト・サービスは、遠隔装置の種類、能力、遠隔装置のユーザによって設定された選好、又は、ユーザの加入やセッションの態様などに応じたものとすることができる。
【0045】
前記デフォルト・サービスは、NSCによって提供されるサービスであってもよく、或いは、ネットワークに接続された別のサーバによって提供されるサービスであってもよい。もしもデフォルト・サービスが、別のサーバによって提供されるサービスであるならば、図1との関連で上述したように、NSCは遠隔装置をその適切なサーバに接続するプロセスを開始する。具体的には、NSCはデフォルト・サービスを提供するサーバの位置(例えば、ネットワーク・アドレス)を決定すべく、データベース中でデフォルト・サービスを参照する。もしもNSCがそのデフォルト・サービス(例えば、選択サービス)を提供するのであれば、NSCは、サーバと加入者との間の接続手順を開始する前に、別のサーバによって提供されるサービスが選択されるまで待つ。尚、本発明はその点において限定されるものではないので、前記デフォルト・サービスは、任意のネットワーク装置によって提供される任意の種類の任意のサービスとすることが理解されるであろう。
【0046】
一旦、デフォルト・サービスが完了すると、次のサービスが遠隔装置に提供される(工程250)。この次のサービスは、前記デフォルト又は現在のサービスに連鎖されたサービスとすることができる。例えば、もしもデフォルト・サービスが選択サービスであるならば、次のサービスは、利用可能なサービスのメニューから選択されたサービスとすることができる。もしも次のサービスがNSC以外のサーバによって提供されるのであれば、NSCは前記接続プロセスを開始し、そのサーバに対して、遠隔装置がその選択されたサービスを要求していることを知らせる。次に、サーバは、上述したように遠隔装置に接続し、その選択されたサービスを提供することができる。何らかの時点で、次のサービス(これはいまや提供されている現在のサービスである)は、完了、中断、終了させることができる。
【0047】
1つのサービスが完了、終了、中断される毎に、NSCは現在のサービスが行われるべき次のサービスを提供したか否か、すなわち、現在のサービスが実行されるべき別のサービスに連鎖されているか否かを確かめる(工程260)。もしも別のサービスが連鎖されていなければ、NSCは遠隔装置に対してその遠隔装置のNSIに関連付けられたデフォルト・サービスを提供してもよい(すなわち、工程240を反復してもよい)。前記次のサービスは、遠隔装置が接続されている現在のサーバによって提供される別のサービスであってもよいし、或いは、まったく別のサーバであってもよい。もしも連鎖されているサービスが別のサーバによって提供されるものであるならば、NSCは、図1に関連して前述したように、その新しいサーバと遠隔装置との間の接続を開始することができる。工程260は次のサービスが連鎖されるまで反復することができ、その場合、NSCは遠隔装置にデフォルト・サービスを提供することができる。このようにして、サービス連鎖法を図1に図示のネットワーク・システム上で実行することができる。
【0048】
図3は、本発明のいくつかの実施例によるサービス連鎖を実行するシステムを図示している。システム300において、種々の遠隔装置320がネットワークに接続され、NSC330を利用してネットワークを介して提供されるサービスにアクセスする。更に、前記ネットワークとNSC330とには複数のサービス・センタ310が接続されている。ここでサービス・センタとは、NSCと接続されて要求する遠隔装置に1つ以上のサービスを提供するために作動するように構成された1つ以上のサーバの任意の集合をいう。前記サービス・センタは、正規の加入者にサービスを提供する1つ以上のサーバを含むことができる。例えば、サービス・センタ310aは、種々の遠隔装置320を介して遠隔アクセスを提供する1以上のユーザの企業LANとすることができる。サービス・センタ310bは、電子媒体の商用プロバイダとすることができる。例えば、サービス・センタ310bは、鑑賞、聴取のために遠隔装置に提供される動画、音声のベンダとすることができる。本発明はその点において限定されるものではないので、サービス・センタ310は任意の種類、数のサービスを提供する1つ以上のサーバの集合とすることができる。
【0049】
遠隔装置320aは、ネットワーク350に接続可能な任意のネットワーク装置とすることができる。例えば、遠隔装置320aは、ユーザがその遠隔装置によってアクセス可能となる、仕事用eメールやその他のアプリケーションなどの1つ以上のリモート・サービスへのアクセスを得るために使用する、ラップトップ又はホームPCとすることができる。ステートレス・ネットワーク・アプライアンス(Stateless Network Appliance: SNAP)320bも、ネットワーク350を介して当該SNAPによって利用可能な1つ以上のサービスにアクセスするためにネットワークに接続されている。ここで、ステートレス装置(stateless device)とは、実質的に1つのネットワーク及びディスプレイ管理装置として機能することができる装置をいう。具体的には、前記ステートレス装置は、主として、そのステートレス能力で動作している時、ネットワークに対するヒューマン・インターフェース装置として動作することができる。ステートレス装置は、通常、アプリケーションを実行するものではなく、ネットワーク機能を実行し、ネットワークを介して受け取った情報を表示するソフトウエア以外のいかなるソフトウエアもダウンロードしない。その結果、ステートレス装置(そのステートレス能力で動作している時)は、実質的なユーザ機能を実行する必要はなく、あるいは、なんら重要な、恒久的なユーザ・データを含む必要がない。
【0050】
ステートレス装置が、他のネットワーク装置へのアクセス、他のネットワーク装置とのインタラクション、他のネットワーク装置からのサービスの受け取りを可能にすることによって、従来のネットワーク・コンピューティングに関連する1つ以上の問題を軽減あるいは解消することができる。例えば、ステートフル・コンピューティング装置は、ハッキング、ホスト及び拡散したウイルスの両方への計算機環境の確立、又は、ユーザがネットワーク環境においてセキュリティを破り、脆弱性を攻撃したり、さもなければ、ステートフル装置の機能を悪用したりを可能にするといった、多数のセキュリティ問題に対処する大きな責任がある。
【0051】
これに対して、ステートレス装置は、上述した様々な能力を利用する機能性を大きく剥奪されている。しかしながら、ステートレス装置は、上述したアーキテクチャとの関連によって、当該ステートレス装置がいわゆる「ダム端末」として機能することを可能にしながらも、ネットワークを介して利用可能なリソースから便益を受けることを可能にする。具体的には、ステートレス装置は、その装置自身が関連する機能について実行可能化される必要無く、いかなる演算環境もシミュレートすることができる。例えば、ステートレス装置は、ネットワーク・サービスとインタラクションし、Windowsオペレーティング・システムをステートレス装置にインストールする必要なく、ユーザのWindows環境にアクセスすることができる(Windowsは登録商標)。ステートレス装置はネットワークに対するインターフェースとして機能しているので、その機能がステートレス装置に常駐しなければならないという要件に関連する付随的な欠点をもたらすことなく、ステートレス装置が任意の装置又は機能のシミュレーションを可能にする情報をネットワークを介して受け取る。
【0052】
ステートレス装置は、ネットワーク・コンピューティングにおいて、演算負荷や機能負荷がネットワークに接続されている装置(例えば、ラップトップやPC)にかかるというパラダイムから、機能と演算を主としてネットワークに接続されたサーバによって行うことが可能であるというパラダイムへのシフトを促進する。上述したいくつかの利点の中で、この新しいパラダイムによって、従来はネットワークの能力(例えば、テレビジョン、その他ディスプレイを備えるすべての装置)を享受できなかった、或いは限定的にしか享受できなかった装置が完全なネットワーク機能を備える装置になることが可能になる。ステートレス装置は、そのステートレス装置がインタラクションしている、あるいはインターフェースしているホストやサーバによって維持されるデータのインテグリティを保持しながら、1つ以上のネットワークを介してサービスと完全にインタラクションしアクセスするための比較的安価な手段を提供する。
【0053】
尚、ステートフル装置(パーソナル・コンピュータや、デジタル・アシスタント、など)をステートレス状態で機能することも可能であると理解される。すなわち、ステートフル装置は、アプリケーションの実行、データや情報の格納、等のステートフル装置としてのその能力をある程度抑制することによって、ステートレス装置として機能することができる。但し、純粋にステートレスな装置は、ネットワーク・アプライアンスとして、ユーザが、どこかに格納されているネットワーク上の情報とインターフェースし、ネットワーク上のどこか他のロケーション(例えば、そのネットワーク・アプライアンスが接続されている1つ以上のホスト又はサーバによって)で計算され、実行され、提供されるサービスや機能を受け取ることを可能にする。システム300のコンテクストにおけるステートレス装置に関連するその他の利点については、後に更に詳述する。
【0054】
図3において、システム300は、更に、ネットワーク350に接続されるとともにNSC330との通信が可能なモバイル装置320cを有する。モバイル装置320cは、ラップトップ、携帯電話、パーソナル・デスクトップ・アシスタント(PDA)、或いは、ネットワークとの通信が可能なその他の装置、等の任意の数の一般に携帯式である装置とすることができる。モバイル装置320cはステートレス又はステートフル装置のいずれであってもよい。尚、ネットワークに接続される遠隔装置320の数や種類について特に限定は無く、図3に図示されている構成は、接続されて本発明のいくつかの態様が実施可能なシステムを形成する遠隔装置及びサービス・センタのいくつかの可能な実施例を単に例示するものに過ぎない。
【0055】
NSC330は、図1に関連して記載し、図2に関連して記載してサービス連鎖方法との関連で記載したNSC130に同様の方法で動作することができる。これらの機能を実装するために、NSC330は、遠隔装置、ユーザ、サービス・センタについての情報を格納するデータベース(データストア)332を備えることができる。データベース(データストア)332は、任意の種類の複数のデータベースを備えてもよい。例えば、データベース(データストア)332は、1つ以上のリレーショナル型又はオブジェクト指向型データベースを備えることができる。データベース(データストア)332は、それに対してNSCが媒介として機能してサービス・センタとの接続を確立し、1つ以上のサービスをその遠隔装置やユーザに提供するプロセスを促進することが可能な、1つ以上の遠隔装置についての情報を格納することができる。データベース(データストア)332は、後に詳述するように、NSIの、そして、利用可能なサービスや、サービス特定識別番号、装置パラメータ、等のセッションに関連する情報を、関連して格納するための加入者テーブル332aを備えることができる。
【0056】
NSC330は、更に、登録された装置やユーザと通信し、現在のセッションを管理や維持するように構成されたクライアント・マネジャ(CLM)336を含むこともできる。CLM336は、データベース(データストア)332に接続されて、装置やユーザを伴う現在のセッションに関して、情報を入手し、データベースを更新する。CLM336は、後に詳述するように、前記サービス・センタによって提供される1つ以上のサービスへのアクセスの提供を促進するための種々の処理を実行するようにプログラムされた1つ以上のソフトウエア・コンポーネント又はモジュールとして構成することができる。前記CLM336が加入者側で作動し、SCCM334がサービス・センタ側で作動して、これらの協働で、加入者とサービス・センタとの間で最初の接続が確立され、後に詳述するように、サービス連鎖環境における加入者へのサービスの提供を促進するための種々のその他の処理を実行する。
【0057】
NSC330は、更に、サービス・センタ310と通信し、サービス・センタとのセッションを管理や維持するように構成されたサービス・センタ・マネジャ(SCCM)334を含むこともできる。SCCM334は、データベース(データストア)332に接続されて、利用可能なサービスやサービス・センタについての情報を入手し、提供を受けている現在のサービスに関するデータベースを更新する。SCCM334は、サービス・センタによって提供される1つ以上のサービスへのアクセスの提供を促進するための種々の処理を実行するようにプログラムされた1つ以上のソフトウエア・コンポーネント又はモジュールとして構成することができる。協働して、加入者側で動作するCLM336と、サービス・センタ側で動作するSCCM334とは、後に詳述するように、加入者とサービス・センタの間で初期接続を確立して動作し、サービス連鎖環境において、加入者に対するサービス供給準備を促進する様々な他の処理を実行する。
【0058】
前記NSCは、このNSCに登録されている各々の遠隔装置やユーザに対する固有の識別子(すなわち、NSI)を格納している。NSCはこのNSIを使用してネットワーク上の各遠隔装置をユニークに識別し、その装置を、当該装置と利用可能なサービスに関する情報と関連付ける。各加入者のNSIは、NSCにおいて維持し、遠隔装置やサービス・センタとは共有されないようにすることができる。NSIは、加入者テーブル332aにおいて格納し、遠隔装置やユーザを認証し、許可するために使用される認証情報に関連付けることができる。例えば、NSIは、遠隔装置のユーザが提供する、或いは、それによって遠隔装置が1つ以上のサービスにアクセスしようとする時に自動的に発行する、ユーザ名とパスワードの組合せなどのログイン情報と関連付けられて格納されてよい。或いは、前記NSIは、SIM番号、スマート・カードID、又は、遠隔装置やユーザをセキュアに識別する、その他のハードウエア・アドレス識別子(NIC識別子など)と関連付けて格納されてもよい。
【0059】
サービスへのアクセスを要求している遠隔装置から発行されるサービス要求は、CLM336によって処理され、CLM336は、それに応答して、NSCの認証サービスを開始することができる。この認証サービスは、遠隔装置に対して、CLMが期待している種類の認証又はログイン情報に依存する認証プロセスを提供するように構成することができる。例えば、もしもCLMがユーザ名とパスワードの組合せを期待しているであれば、前記認証サービスは、遠隔装置に、ユーザが適当なユーザ名とパスワードの組合せを入力することを要求するログイン表示を提供することができる。もしも遠隔装置が、サービス要求の作成時にSIM番号又はNIC IDを発行するようにプログラムされているのであれば、前記認証サービスは、ユーザに対してなんら提供する必要はなく、その提供された認証情報を処理するように進むことができる。
【0060】
いずれにせよ、何らかの手段によってCLMによって受信される提供されたログイン情報は、前記加入者テーブルに索引付けする認証サービスによって、その遠隔装置のNSIを取得するために使用される。もしもその提供されたログイン情報に関連したNSIが見つからない場合は、認証サービスは、ユーザに対して、そのログイン情報が無効であることを知らせてもよい。もしも関連するNSIが見つかったならば、CLMは加入者を識別し、その識別され認証された加入者のNSIに関連して格納された情報に従ったサービス・アクセスを開始することができる。また、認証サービスは、遠隔装置から能力パラメータを受け取るために種々のクエリー操作も行うことができる。認証サービスは、セッションを初期化し、遠隔装置がセッションを通じて使用する秘密IDを生成するものとしてもよい。認証サービスは、前記秘密IDを解読しそれを遠隔装置320に転送することができる。その後、この秘密IDが、NSCと遠隔装置との間のセッションで使用されて、遠隔装置が繰り返しログインしそれ自身を再認証する必要性が回避される。すなわち、NSCは、前記秘密IDを対応のNSIと関連付けることができ、遠隔装置はNSCとの将来の通信においてその秘密IDを伝送することができる。遠隔装置が正規加入者として認証された後、認証サービスは終了することができる。
【0061】
遠隔装置のNSIを備えるCLM336は、前記加入者テーブル中のその加入者のデフォルト・サービスを探すことができる。具体的には、各NSIは、認証がペンディング中に、加入者に対して提供されるべき第1サービス又はデフォルト・サービスを参照又は識別するサービス名を含む、その加入者のためのデフォルト・サービスと関連していてもよい。例えば、前記デフォルト・サービスは、遠隔装置があたかもその企業LANに接続されているかのように動作することが可能であるようにWindowsデスクトップをエミュレートする、Windowsサービスなどのエンド・ユーザ・サービスとすることができる(Windowsは登録商標)。或いは、前記デフォルト・サービスは、遠隔装置に対して、それから加入者が所望のサービスを選択することが可能な利用可能な複数のサービスを表示する選択サービスとすることも可能である。前記デフォルト・サービスは、NSCによって、又は、ネットワークに接続された任意のサービス・センタによって提供されるサービスとすることができる。例えば、単純なステートレス装置又は単純なオーディオ・プレーヤー用のデフォルト・サービスは、その装置に対してダウンロード又はストリーミングが可能な利用可能な動画(例えば映画)又は音声を表示する対応のサービス・センタによって提供されるサービスとすることができる。
【0062】
デフォルト・サービスがサービス・センタの1つによって提供されるサービスである場合、或いは、ユーザがサービス・センタによって提供されるサービスを選択する場合、SCCM334は、そのサービス・センタと加入者との間の接続の確立を促進すべく、適切なサービス・センタにコンタクトする。例えば、データベース(データストア)332は、サービス名を、その適切なサービス・センタとのコンタクトに必要な情報と関連付ける加入者サービス・テーブル312bを備えることができる。この情報は、SCCMが見つけコンタクトする必要があるという適切なサービス・センタのネットワーク・アドレスやその他のID情報を含むことができる。次に、SCCMは、サービス名を索引として使用して得たこの情報を使用して前記サービス・センタにコンタクトすることができる。
【0063】
上述したように、NSIは、NSCによってのみ知ることができ、セキュリティのために、内部目的のためにのみ使用することができる。従って、NSCは、各加入者のNSIを保持し、それをサービス・センタと識別された遠隔装置やユーザとの両方から隠すことを望むかもしれない。NSIをサービス・センタに提供する代わりに、NSCは加入者を選択されたサービスに関連付けるサービス加入者識別子(SSI)を生成することもできる。これにより、NSCはこの特定のサービスのための加入者のSSIと加入者のネットワーク・アドレスをサービス・センタに送り、サービス・センタは遠隔装置との接続を確立することができる。
【0064】
内部では、NSCは、各サービスのSSIをそのサービスにアクセスする加入者のNSIに関連付けることができる。具体的には、遠隔装置は、その加入者について、NSIと、SSIとサービス名とを組合せて記憶することができる。遠隔装置は複数のサービスを要求するかもしれないので、各NSIは、複数のSSIとそれに関連付けられたサービス名を有するかもしれない。上述したように、サービス・センタは、NSCによって提供されたネットワーク・アドレスを使用して遠隔装置との接続を確立する。この接続が確立された後、サービス・センタは、その確立された接続を介して遠隔装置によって要求されたサービスを実行することができる。しかしながら、例えばサービスが完了したため、あるいは、ユーザがもはやサービスを必要としていないことを指示したため、若しくは、ユーザが別のサービスを要望することを指示したためにサービスが終了した時に、他のサービスにアクセスするために、その遠隔装置がNSCとの前記サービス選択工程を反復しなければならないとすれば不便である。
【0065】
出願人は、現在のサービス又はサービス・センタに、提供されるべき次のサービスを指示させることによって、フレキシビリティの増大が可能となり、サービス・センタへの直接接続、例えば、企業LANへの直接接続をより近くシミュレートしたユーザ・エクスペリエンスが提供されると認識している。従って、現在のサービスが終了することになっている、又は、そのサービスが一時的に中断されることになっているとき、或いは既に完了しているとき、サービス・センタはNSCに対して、現在のサービスが終了することになっている、又は、そのサービスが一時的に中断されることになっている、ということを通知する。この通知を受けて、サービス・センタは、提供されるべき次のサービスを指示するか、もしくは、サービス・センタはそのサービスを完了して、サービス連鎖することなく終了することができる。
【0066】
或いは、前記サービス・センタはNSCに対して、現在のサービスを終わらせることなく、提供されるべき次のサービスを指示することができる。後者の場合は、指示された次のサービスが完了したときに、現在のサービスを再開させることが可能である。このように、サービス・センタは、現在のサービスを終わらせることなく、遠隔装置によるアクションの結果、提供させるべき別のサービスを示すことができる。これにより、サービス・センタが追加の制御を行うことが可能となり、サービス・センタに、他のサービス・センタによって提供されるサービスを利用することを可能にして、それによって前記アーキテクチャのフレキシビリティと有用性を大幅に改善する。
【0067】
サービスが連鎖されている場合には、CLM336はその指示されたサービス名(又は、サービスに対する他の参照)を取得して、遠隔装置がそのサービスにアクセスすることが許可されているか否か(すなわち、その遠隔装置やユーザがそのサービスに対する加入者であるか否か)を決定する。すなわち、CLM336は、その遠隔装置のNSIを取得し、そのサービス名が指示されたサービスに関連付けられているか否かをチェックする。もしも、遠隔装置やユーザがこのサービスについて認証されているのであれば、SCCMはその関連付けられたSSIと共にこのサービスに対するサービス・センタに次のサービスを提供するように通知する。任意の数の連鎖されたサービスを遠隔装置に提供するためにこのサービス連鎖のプロセスを反復することができる。更に、この種類のサービス連鎖は、サービス間の直感的な移行を提供するべく、ユーザに対して透過的なものとすることができる。
【0068】
サービス連鎖によって、NSCに対してこの構造を理解しなければならないという負荷を与えることなく、遠隔装置に対して提供されるサービスの構造化にフレキシビリティを与えることが可能となる。例えば、サービス連鎖によれば、サービス・センタが、遠隔装置によって選択されたサービスを提供する前に、サービス・センタ自身の認証サービスを実行することができる。サービス・センタは、遠隔装置がこのサービス・センタによって提供されるサービスにアクセスすることが認証されていることを確認すべく、サービス・センタ自身の特別な認証手続を有するように構成してもよい。例えば、企業LANは遠隔ユーザが当該LANにおいて利用可能な情報及びサービスに対するアクセスが認証されていることを確認することを望んで、その従業員にのみログイン名とパスワードの組合せを発行してもよい。そして、サービス・センタは、任意の所望する認証手続を実行して、そして、遠隔装置によって選択されたサービスに連鎖することができる。
【0069】
更に、サービス連鎖によって、1つのサービス・センタは、他のサービス・センタが、それらのサービスに連鎖が可能であることによって、これらの他のサービス・センタによって提供されるサービスを活用することが可能となる。例えば、サービス連鎖によって、異なるサービス・センタが、例えば、関連データのデータベースチェック以外のNSCのアクティブな関与を必要とすること無く、自分のサービスを互いのサービスに連鎖させることを可能にする協定を自分たちの間で締結することが可能となる。1つの実施例において、別のサービス・センタによって提供されるサービスに連鎖するサービス・センタは、そのサービス連鎖メッセージ又はサービス要求の変更において、2つのサービス・センタ間に認知されている識別子又は秘密情報を含むことができる。そして、NSCは、この秘密情報を、連鎖されているサービス・センタに転送することができる。
【0070】
次に、連鎖されているサービス・センタは、そのサービス・センタが前記連鎖サービス・センタによって提供されるサービスに対して連鎖されることが認証されていることを確かめるべく、それがそこから連鎖されたサービス・センタからの期待される秘密情報に対して、前記転送された秘密情報をチェックしてもよい。連鎖された秘密情報を、それに連鎖されるサービス・センタが認証されていることを確かめることによって、サービス・センタに、そのサービスに対するより大きな制御レベル及びセキュリティレベルを与えるために使用してもよい。但し、本発明の態様はその点において限定されるものではないので、1つのサービス・センタから連鎖されたサービス・センタへの識別子や秘密情報は、必ずしも必要なものではない。
【0071】
図3において、サービス・センタ310の各々は、複数のコネクタ312を有している。これらのコネクタの各々を、対応のサービス・センタによって提供される特定のサービスと関連付けることができる。前記コネクタは、サービス・センタにおいて動作する各サービスによって生成される情報(すなわち、サービス・センタにおいて動作するソフトウエアに固有の形式でのデータ)をインタラクティブ形式(すなわち、サービスがコネクタ・サービスとして機能する)に変換するように構成することができる。インタラクティブ形式は、サービス・センタがデータを伝送する必要無く、また、遠隔装置がデータを格納したり、或いは、関連のソフトウエアをインストールして、そのソフトウエア自身により当該データをそのソフトウエア固有の形式で操作する必要無く、遠隔装置がサービス・センタにおいてデータとインタラクションできるよう、遠隔装置において、どのように、何を表示すべきかを記述したレンダリング・コマンドを含むことができる。
【0072】
いくつかの実施例において、前記レンダリング・コマンドは、遠隔装置上で表示されるビット・ストリームを含む。ここで、「表示ビット・ストリーム」という用語は、表示装置、音声、ビデオその他のメディア上に表示可能でユーザに対して出力可能な画素を表す情報を指す。サービスによって生成される結果やコンテンツを表示ビット・ストリームに変換することによって、遠隔装置は、当該遠隔装置に提供されるサービスに関連する、ファイル、ドキュメント又はその他の情報をローカルにコピーする必要がなくなる。それどころか、遠隔装置は、ユーザが見聞きできるように結果を表示するが、実際のデータを遠隔装置に転送することはない。このように、情報の操作手段と実際のコンテンツはサービス・センタに残る。
【0073】
出願人は、コネクタ・サービスを提供することの多くの利点を見出し、それらを認識している。第1に、遠隔装置がサービス・センタによって制御されている情報を直接改変、削除、頒布することができないのでセキュリティが改善される。第2に、遠隔装置はサービス・センタとインタラクションするための特別なソフトウエアを必要とせず、ネットワークを介して利用可能なコネクタ・サービスを利用する必要がない。遠隔装置は、ユーザに対して表示ビット・ストリームを提供するのに必要な限られたハードウエア及びソフトウエアを備えるSNAPとすることができる。従って、コネクタ・サービスは、遠隔装置が利用可能な全ての種類のコネクタ・サービスへユーザがアクセスすることを可能にする汎用ネットワーク・インターフェースとして作用するようなネットワーク環境を促進する。
【0074】
前記遠隔装置は、更に、ユーザ入力(例えば、マウス・クリック、キーボード入力、音声コマンド、その他、遠隔装置を介してユーザによって提供される入力)をインタラクティブ形式に翻訳するコネクタを備えることができる。これにより、サーバ側のコネクタは、前記インタラクティブ形式を、サービスに対して、そのサービスに固有の形式で、データをいかに操作するかを指示するコマンドに翻訳することができる。このようにして、データの双方向翻訳によって、元のデータがその接続を介して伝送されることなく、また、遠隔装置に格納されることなく、それでも、ユーザに対しては自分がそのデータを直接に操作し、そのサービスにローカルにアクセスしているかのように見えながら、接続を介したサービスの提供を促進する。
【0075】
図1及び図3において記載したネットワーク・アーキテクチャは、遠隔装置からのセキュアな遠隔アクセスを促進する。上述したように、前記ネットワーク・アーキテクチャは、遠隔装置からサービス・センタへの演算負荷のシフトを促進する。いくつかの実施例において、遠隔装置にサービスを提供することに含まれる演算は、実質的にはサービス・センタにおいて行われ、遠隔装置に送られる通信は、その大半、又はその全部が、表示データを含むレンダリング・コマンドの形態である。このようにすることで、遠隔装置は、当該遠隔装置がアクセスすることを望む多種多様なサービスを提供するために特定のソフトウエアをローカルにインストールする必要が無くなる。すなわち、遠隔装置は、そのサービスにアクセスしそれらの便益を享受するためにネットワークとインターフェースすることを目的として、アプリケーションの種類や提供されるサービスの詳細についての知識を持つ必要がなくなる。
【0076】
特に、遠隔装置は、実質的に、サービス・センタにおいて実行される結果、アクション、タスクのディスプレイとして動作することができるので、提供されるサービスに関連するソフトウエアをローカルに実行する必要がない。すなわち、サービス・センタからのデータを、遠隔装置のディスプレイに対して転送される、ビットマップなどの表示情報としてユーザに対して提供することができる。その後、ディスプレイとのユーザのインタラクションを、そのインタラクションに対する必要な応答が行われるサービス・センタへと伝送することができる。このようにして、遠隔装置に対してダウンロードされるデータは無くなり、遠隔装置において実行される特定のソフトウエア・アプリケーションも無くなる(すなわち、遠隔装置はステートレスとなる)。これにより、秘密情報が遠隔装置上でローカルに格納させることが防止される。更に、遠隔装置がサービス特有のソフトウエアを実行する必要性が無くなったことにより、更新とメンテナンスのコストが、これらはサービス・センタにおいてのみ必要となることから、低減される。
【0077】
図3において、前記サービス・センタは、表示情報が遠隔装置に提供されるパラダイムの実装を促進するためにコネクタ312を有している。前記サービス・センタは、例えば、それが提供する各サービスに対して1つのコネクタを備えることができる。しかしながら、本発明の態様はこの点において限定されるものではないので、1つのコネクタによって複数のサービスを取り扱うように構成することも可能である。前記コネクタは、サービス・センタによって実行された演算の結果を、サービスにアクセスする遠隔装置に送られるレンダリング・コマンドに翻訳するように構成されている。前記コネクタは、サービス・センタによって実行されるアクションの表示結果を、遠隔装置のユーザによって見ることが可能な表示データへと変換する1つ以上のソフトウエアプログラム又はモジュールとして構成することができる。上述したように、これによって、サービスを実質的にサービス・センタにおいて実行することが可能となり、遠隔装置が、遠隔装置のステートフル能力に依存する従来のサービス・アクセス・アーキテクチャにおいて通常必要とされる、ノウハウ、ハードウエア及びソフトウエア、メモリ要件、などを必要とすることから開放される。
【0078】
上述したように、このアーキテクチャの1つの利点は、比較的単純な装置(例えば、ダム端末)でも任意の数、種類の異なるサービスに対するアクセスを提供することが可能であることである。これによって、ネットワーク(例えば、インターネット)を介して利用可能な豊富なサービスという長所にアクセスし、それらを利用することが可能な装置の種類に関するフレキシビリティが提供される。例えば、それによって、ネットワークを介したサービスを、ラップトップ、PC、PDA、などといった汎用コンピュータのみならず、テレビ、携帯電話、及び、ディスプレイを備え、ユーザがそのディスプレイによってインタラクションすることを可能にするその他のネットワーク・アプライアンス、に対しても利用可能とすることができる。これにより、サービス連鎖との組合せで、ネットワーク・コンピューティングへのパラダイムシフトが可能となり、ネットワーク・サービスとリモート・コンピューティングに対する比較的単純で、セキュアで、安価なアクセスが促進される。
【0079】
本発明の上述した実施例は、いかなるようにも実施することが可能である。例えば、これらの実施例は、ハードウエア、ソフトウエア又はそれらの組合せを使用して実装することができる。ソフトウエアで実装する場合、そのソフトウエア・コードを任意の適当なプロセッサ、またはプロセッサの組合せ、単一のコンピュータに設けられるもの、又は、複数のコンピュータ間に分布されるもの、において実行することができる。尚、上述した機能を実行する任意のコンポーネント又はコンポーネントの組合せは、総称的に、上述の機能を制御する1つ以上のコントローラと見なすことができる。この1つ以上のコントローラは、専用のハードウエアで、或いは、上記機能を実行するためのマイクロ・コード又はソフトウエアを使用してプログラミングされた汎用ハードウエア(例えば、1つ以上のプロセッサ)等で、様々な方法で実施することが可能である。
【0080】
尚、ここに概説した種々の方法は、種々のオペレーティング・システム又はプラットフォームのいずれかを使用する1つ以上のプロセッサ上において実行可能なソフトウエアとしてコードされてよい。さらに、そのようなソフトウエアは、種々の適当なプログラミング言語、従来式プログラミング又はスクリプト・ツール、を使用して書くことができ、或いは、実行可能な機械言語コードとしてコンパイルされてもよい。
【0081】
この点に関して、本発明の一実施例は、1つ以上のコンピュータ又はその他のプロセッサ上で実行された時に、本発明の上述した種々の実施例を実装する方法を実行する1つ以上のプログラムがコードされた、コンピュータ読込可能媒体(例えば、コンピュータ・メモリ、1つ以上のフロッピー・ディスク、コンパクト・ディスク、光ディスク、磁気テープ、など)に関するものである、と理解されなければならない。前記コンピュータ読み取り可能媒体は、持ち運び可能に構成して、そこに格納されている1つ以上のプログラムが、上述したように本発明の種々の態様を実装するために1つ以上の異なるコンピュータ又はその他プロセッサにロード可能とすることができる。
【0082】
尚、ここで「プログラム」という用語は、包括的な意味で、上述した本発明の種々の態様を実装するためにコンピュータ又はその他のプロセッサをプログラムするために使用可能な任意の種類のコンピュータコード又はインストラクション・セット、をいう。更に、本発明の一態様によれば、実行された時に本発明の方法を実行する1つ以上のコンピュータ・プログラムは、単一のコンピュータ又はプログラム上に常駐する必要はなく、本発明の種々の態様を実装するために多種多様なコンピュータ又はプロセッサ間でモジュール的に分散させてもよい。
【0083】
本発明の種々の態様は、単体、又は組合せ、或いは、上述した実施例において具体的には記載されなかった種々の構成で使用することが可能であり、従って、その適用において、上記説明に記載された、又は、図面に図示された詳細又はコンポーネントの構成に限定されるものではない。本発明は、他の実施例が可能であり、様々な方法で実践又は実行することが可能である。特に、本発明の種々の態様は、任意の種類、集合又は構成のネットワークで実装することができる。ネットワークによる実装に関して、なんら限定は存在しない。従って、上記説明及び図面は例示的なものに過ぎない。
【0084】
又、ここで使用した表現、用語は、記載の目的のためのものであって、限定的なものと解釈されてはならない。「有する」、「持つ」、「備える」、「含む」、「伴う」といった用語、及びそれらの変形例の使用は、ここに挙げられた要素とそれらの均等物、更に、それらの追加要素を含んでいる。
【技術分野】
【0001】
本発明は、リモート・コンピューティング、より詳しくは、1つ以上の遠隔サーバからのサービスの受け取りに関する。
【背景技術】
【0002】
ネットワーク・コンピューティングのフレキシビリティは、いくつかの点において、遠隔アクセス及びコンピューティングが実行され達成される方法において変化している。特に、そのネットワークを介してどこからでも情報、データ、計算能力にアクセス可能であることから、高度にネットワーク化された環境においては位置の厳格な概念は益々重要なものでなくなってきている。例えば、ある企業のローカル・エリア・ネットワーク(LAN)は、在宅勤務、出張旅行(もしくは休暇旅行)、などのその他の理由でその企業LANに直接には接続されていないユーザにとって利用可能でありうる。ワイヤレスネットワーク技術の増殖及びこれらの技術に基づく高速ネットワークのコストが益々低下していることによって、リモート・コンピューティング・ソリューションに向かう傾向は益々加速している。
【0003】
ラップトップ・パーソナル・コンピュータ(PC)、携帯電話、パーソナル・デスクトップ・アシスタント(PDA)、その他ポータブル演算装置、等のポータブル式及び携帯式装置のユーザは、そのユーザの企業LANや1つ以上のその他のLAN、プライベート・ネットワーク、などを含むネットワークを介して利用可能な膨大なリソースに対するアクセスを望んだり、それらを利用することを望むかもしれない。遠隔ユーザは、LANと交信して、あたかもそのユーザがそのLANに対してローカルに接続されているかの如く、その多くのサービスを享受することを希望するかもしれない。しかしながら、そのようなリモート・コンピューティング活動には、LANに対する多大なセキュリティ上の危険が伴う。例えば、遠隔ユーザが交信しようとする企業LANの秘密情報に対するアクセスを認めることによって、そのLANは、その秘密情報の紛失又は拡散に対して脆弱なものとなるかもしれない。
【0004】
プライベートLANは、当該LAN上に保存された、又は当該LANによって提供される、データ、情報やサービス、に対する不正アクセスに対して自らを防御する必要があるかもしれない。遠隔アクセスに内在するセキュリティ問題を対象とする従来のソリューションとして、LANをファイアウォールの背後に置いて保護することが挙げられる。ファイアウォールは、LANに対してアクセス制限を提供するように構成され、不正ユーザによるLANへの接続、又はその他のアクセス、を防止するゲートキーパとして機能する。しかしながら、従来のファイアウォール・ソリューションは、LANに対して許可されるアクセスの種類を厳しく制約し、LANに対してアクセス可能な装置の種類を厳格に制約する。更に、ファイアウォールを介した遠隔アクセスは、その実行が高価で、管理や維持が複雑であることが多い。加えて、従来のファイアウォールでは、LANに属するデータ及び情報が窃盗、不正なあるいは過失的な修正又は削除に対して、脆弱なまま残される可能性がある。
【0005】
自分のオフィスから遠く離れた個人が、彼らの企業ネットワークに対するアクセスを得る継続した必要性を持つことはよくあることである。彼らは、通常は、個人がオフィスにいて企業ネットワークに直接接続されているときに利用可能である、ファイル、eメール、アプリケーション、プログラムにアクセスする必要があるかもしれない。遠隔アクセスを促進する1つの従来のアプローチは、ユーザが、例えば遠隔からeメールアカウントにアクセスすることを可能にするラップトップ・パーソナル・コンピュータを使用することである。この活動を可能にするためには、ユーザが遠隔から企業ネットワークにアクセスして、ダイアルアップ電話回線(又はブロードバンド接続、デジタル加入者回線(DSL)、TI、ケーブルなど)を介してネットワーク・サーバから、あるいはネットワーク・サーバへ、ファイルを転送することができるように、各クライアント・ラップトップPCに適当な通信ソフトウエアをインストールしなければならない。全てのアプリケーションがそのローカル・クライアント・ラップトップPC上に常駐し、そこでローカルに実行される。このアプローチは比較的単純ではあるが、それは、各々のソフトウエア・アプリケーションが、各ラップトップPC上に、インストールされ、設定され、その後維持されることを必要とする。その結果、このアプローチは、特に、インストールされたソフトウエア・アプリケーションの継続するサポート・コスト、と、大半のラップトップはアップグレードが必要となるまでの寿命が比較的短い、との観点から、経時的にはかなり高価なものになる可能性がある。
【0006】
もう一つの従来のアプローチは、遠隔ユーザロケーションから中央の企業LANへの広域ネットワーク(WAN)接続を提供するために、従来式の仮想プライベート・ネットワーク(VPN)を使用する。VPN WAN接続は、LANと遠隔ユーザロケーションとの間にオープン・システム・インターコネクション(OSI)第2層の拡張を実装するものであってよい。VPNを介してLANに接続された遠隔クライアントPCは、あたかもそのLANに直接接続されているように見える。しかしながら、VPN接続は、その接続の各端部に位置する高価なVPN終端装置(又はクライアント側のVPNルータ)や、クライアント・マシーンにインストールされ設定されたVPNクライアント・ソフトウエアを必要とする。いずれのケースにおいても、前記VPN終端装置は、第2層のパケット処理と、更に、適当なパケット暗号化・復号化機能とを提供する。PCオペレーティング・システム又はクライアント側VPNソフトウエアによってVPN終端装置のコストを軽減することは可能であるが、そのいずれの場合でもパケットを組み立て及び分解するための相当なパケット処理を必要とし、それによってPCに対して大きな処理負荷がかかる。従って、クライアントPC自身に対して過度の負荷をかけることなく、必要なレベルのセキュリティと信頼性でのVPN接続をサポートするために、多くの場合、遠隔ユーザロケーションにおいて別個の専用VPN終端装置が必要とされる。このように、VPN装置は高価であるばかりでなく、設定が面倒であり、管理及び維持が大変である。
【0007】
上述した全てのケースにおいて、センシティブな企業データがPCやラップトップとの間で転送され、セキュアな企業ネットワークとPCやラップトップとの間で複製される。一旦データがダウンロードされ物理的にコピーされると、いかなるアクセス又は伝送セキュリティシステムをもってしても、そのデータの不正な、自由な頒布や乱用を防止することはできない。従って、合法的なデータ所有者は、秘密情報が流布され、もしくは、自分の知らないまま、又は、自分の許可無しに、利用されるリスクを負っている。
【0008】
オフィス環境を遠隔ユーザロケーションに拡張する更にもう一つの従来式アプローチは、アプリケーション・サービス・プロバイダ(ASP)モデルを利用するものであるが、これは、1つ以上のネットワーク・サーバ上に、独立したコンピューティング・アーキテクチャ・プロトコルを使用するシトリックス社のMetaFrame等の、専用サーバソフトウエアをインストールすることを必要とする(MetaFrameは登録商標)。LAN上に位置するネットワーク・サーバは、種々の遠隔に位置するクライアントPCによってアクセス可能な複数の仮想マシンをホストすることによってASPとして機能する。或いは、複数の仮想マシンを提供するために、遠隔デスクトッププロトコル(RDP)を使用するマイクロソフト社のWindows Terminal Services(WTS)を利用することができる(Windows Terminal Services は登録商標)。しかしながら、前記MetaFrameソフトウエアとWTSソフトウエアのいずれも、クライアントPCに対して相当な処理負荷を課するものであり、又、ネットワーク障害や、介入者攻撃等のセキュリティ違反に対して脆弱である。更に、ASPベースのアプローチでは限られた遠隔実行機能しか提供することができない。
【0009】
一般に、上述したシステムは、少なくとも部分的には、従来の通信ネットワークのバンド幅の限界を克服するために設計及び開発されたものである。現在の技術進歩によって通信ネットワークのバンド幅は劇的に増大した。ネットワーク・バンド幅は、マイクロプロセッサの速度よりも速く増大しており、約9ヶ月毎に二倍になっており、それによって、そのようなシステム及び技術の価値は減少し、いくつかのケースにおいては、それらを実質的に時代遅れのものにしている。
【0010】
出願人は、ネットワーク(例えばLAN)に接続された1つ以上のサーバと遠隔装置との間の初期接続を仲介する信頼性の高い媒介を使用して、その遠隔装置と1つ以上のサーバとの間のセキュアな通信を使用した比較的単純なアクセスを促進するネットワーク・アーキテクチャを開発した。このアーキテクチャは、後ほど詳述するように、遠隔装置に提供されるサービスの連鎖を促進する。本発明の種々の態様に使用するのに適したネットワーク・アーキテクチャのいくつかの実施例は、2002年12月23日出願の「ユニバーサル・ステートレス・デジタル及びコンピューティング・サービスを提供準備するためのシステムと方法」と題する米国特許出願第10/328,660号、2005年4月12日出願の「ファイアウォールされたサーバとファイアウォールされたクライアントとの間のセキュア・インターネット接続を自動的に開始し動的に確立するためのシステムと方法」と題する米国特許出願第10/328,660号及び第11/104,982号とに記載されており、これら両出願の全体をここに参考文献として組み込む。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】米国特許出願第10/328,660号
【特許文献2】米国特許出願第11/104,982号
【発明の概要】
【発明が解決しようとする課題】
【0012】
上述したように、ローカル・エリア・ネットワークや、ネットワーク装置に接続された1つ以上の遠隔サーバへのアクセス、及び、それらからのサービス、を遠隔装置に提供する従来のアプローチは、ハードウエアとソフトウエアのコストと、システム管理・維持の複雑性、コスト、遠隔装置に対して課せられる比較的高い演算負荷、サービス可能な装置種類に対する制約、種々のセキュリティ上の脅威に対する脆弱性、に関連する欠点を有している。これらの欠点のいくつかは、従来のソリューションが、ネットワーク・バンド幅の制限に対応するべく構成されたものであることにその原因であるが、これらの制限は現代の高速ネットワークによって既に軽減又は除去されている。従来のシステム及びネットワークの欠点に鑑みて、セキュリティを損なうことなく、又、大きな新しいハードウエア・アーキテクチャ及びソフトウエア・アーキテクチャに対する投資無しで、あたかもそのユーザがオフィスにいるかのように、どこからでも、ユーザが、デスクトップ・サービス、ソフトウエア・アプリケーション、eメール、データ・ファイル、などを含む遠隔サービスに安全にアクセスすることを可能にするシステムと方法を提供することが望まれている。
【0013】
従来の遠隔アクセス技術は、典型的には何らかの方法でユーザを認証することによって、例えば、ログインとパスワードの組合せで認証することによって、遠隔装置にユーザに対してサービスへのアクセスを許可する。次に、そのユーザが適当なソフトウエアがインストールされ、かつその対応のサービスにアクセスするように設定されている遠隔装置を介しネットワークに接続されていることを条件に、当該ユーザは、その認証されたサービスにアクセスすることが可能となる。しかしながら、従来の遠隔アクセスにおいては、このプロセスは、ユーザがアクセスすることを希望するサービス毎に繰り返されなければならない。更に複雑なことに、異なるサービス・プロバイダによって提供されるサービスは、遠隔アクセスを促進するために、異なるソフトウエア、アーキテクチャ、などを要求するかもしれない。従って、従来の遠隔アクセス技術を使用することによっては、真の、汎用でフレキシブルで、セキュアな遠隔アクセスは不可能である。
【0014】
出願人は、単一の認証・接続プロセスを使用する1以上のサービス・プロバイダからの種々のサービスを提供することによって、遠隔からサービスにアクセスするための単純で、セキュアでユーザが直覚的に理解できるアーキテクチャを促進することが可能であると判断した。いくつかの実施例によれば、1つ以上のサービスを得るためのネットワークを介して接続された1つ以上のサーバへの遠隔装置によるアクセスを促進するためのネットワーク環境が提供される。前記遠隔装置によってアクセスされる各サービスは、前記遠隔装置に提供されるべき後続のサービスに連鎖させることができる。ここで、「サービス」という用語は、遠隔ロケーションにおけるネットワークを介した任意のサーバの利用をいう。サービスは、デスクトップ・サービス、eメール、1つ以上のアプリケーションへのアクセス、データ、情報、前記サーバによって提供可能なその他の演算タスク、を含む。より詳しくは、サービスは、サーバ上で実行される、任意のプログラム、コード、アプリケーションとすることができ、ここで、実行されたコードが前記遠隔装置とインタラクションする。
【0015】
コネクタ・サービスは、サービスを使用して遠隔装置へと伝送されるコンテンツの方式や形式により、より一般的なサービスとは区別される特定の種類のサービスである。ここで、コネクタ・サービスとは、データの元の形式からインタラクティブ形式への変換を促進するために、1つ以上の機能を実行すべく、サーバ上で実行される1つ以上のプログラムをいう。例えば、コネクタ・サービスは、そのサービス・プロバイダに固有なデータを、当該遠隔装置側の出力装置(例えば、ディスプレイ、スピーカ)でいかにレンダリングするかを指示するレンダリング・コマンドから成るインタラクティブ形式へと翻訳してもよい。例えば、前記レンダリング・コマンドは、前記遠隔装置上での表示のための、画素、音声動画、を表すビット・ストリームを含むことができる。
【0016】
コネクタ・サービスは、潜在的に機密データの可能性があるデータを、サービス・プロバイダから伝送することなく、あるいは、遠隔装置において保存することなく、サービスに遠隔アクセスすることを促進し、これにより、そのサービスに対するセキュアなアクセスを提供する。また、前記コネクタ・サービスは、遠隔装置が、その固有の形式でデータを取り扱うためのソフトウエアをインストールする必要なく、サービスにアクセスすることを可能にし、それによって、ステートレス(stateless)な装置(段落〔0048〕参照)が種々のサービスにアクセスすることを可能にする。ここでいう「連鎖された」「連鎖」という用語は、1つのサーバ又はサービスが、実行されるべき次のサービスを選択、特定、参照することで、遠隔装置が再度認証したり、所望のサービスを再度選択することを必要とせずに、複数のサービスが実行される状況をいう。
【0017】
現在のコンピュータ環境におけるほど情報システムを効率的に管理することがより困難で重要になったことはかつて無かった。デスクトップ・システムを所有するコストが増大するにつれて、企業は購買・更新コスト及び管理・維持コストを削減する方法を必要とする。しかしながら、これらの節約によって機能性や性能が失われることは避けなければならない。従って、既存のハードウエア及びソフトウエア・アーキテクチャを変更することなく、或いは、それらに対する変更を最小限にして、制約されず、元のセキュアな遠隔アクセスを提供することができるサービス提供システムを持つことが望まれている。
【課題を解決するための手段】
【0018】
本発明のいくつかの実施例は、第1装置に対してサービスを提供することが可能なサーバを見つけるように構成されたネットワーク・スイッチング・センタを使用してネットワークを介して第1装置にサービスを提供する方法を含み、当該方法は、前記第1装置に提供される第1サービスを識別する工程と、前記ネットワーク・スイッチング・センタから第1サーバに対して、遠隔装置が前記第1サービスを要求しているという通知を提供する工程と、前記第1サーバによって前記遠隔装置に対して前記第1サービスを提供する工程と、そして、前記第1サーバによって前記ネットワーク・スイッチング・センタに対して、前記遠隔装置に対して提供されるべき第2サービスを指示する工程とを有する。
【0019】
本発明のいくつかの実施例は、ネットワークを介してサービスを提供するシステムを含み、当該システムは、前記ネットワークを介して通信可能な少なくとも1つのネットワーク装置と、前記少なくとも1つのネットワーク装置に対してサービスを提供することが可能なサーバを見つけるように構成されたネットワーク・スイッチング・センタと、そして、前記ネットワーク装置に対して少なくとも1つのサービスを提供するように構成された複数のサーバとを有し、ここで、前記少なくとも1つのネットワーク装置のうちの第1ネットワーク装置に対して提供されるべき第1サービスが識別されると、前記ネットワーク・スイッチング・センタが、前記第1サービスを提供することが可能な前記複数のサーバから第1サーバを識別し、かつ、前記第1サーバに対して前記第1サービスを指示するように構成され、更に、前記第1サーバが、前記第1サービスを提供するとともに、前記ネットワーク・スイッチング・センタに対して、前記第1ネットワーク装置に対して提供されるべき第2サービスを指示するように構成されている。
【0020】
本発明のいくつかの実施例は、複数のネットワーク装置と複数のネットワーク・サーバとを有するネットワークを介して、通信を行うように構成されたネットワーク・スイッチング・センタであって、前記ネットワーク・スイッチング・センタが、前記ネットワークを介した通信のために構成された少なくとも1つのネットワーク・ポートと、前記少なくとも1つのネットワーク・ポートに接続されたコントローラであって、前記コントローラが、前記複数のネットワーク装置からのサービス要求と、前記複数のネットワーク・サーバからのサービス連鎖要求と、を処理するように構成されたコントローラとを有し、ここで、前記複数のネットワーク装置の第1ネットワーク装置からの第1サービス要求を受けると、前記コントローラが、前記第1サービスを提供可能な前記複数のサーバから第1サーバを見つけ、かつ、前記第1サーバに対して、前記第1ネットワーク装置へ提供されるべき前記第1サービスを指示するように構成され、更に、前記第1ネットワーク装置に対して提供されるべき第2サービスを指示する前記第1サーバからのサービス連鎖要求を受けると、前記コントローラが、前記第2サービスを提供可能な前記複数のサーバから第2サーバを見つけるように構成されている。
【図面の簡単な説明】
【0021】
【図1A】本発明の一実施例による、サービス連鎖のためのシステムと方法とを図示している。
【図1B】本発明の一実施例による、サービス連鎖のためのシステムと方法とを図示している。
【図1C】本発明の一実施例による、サービス連鎖のためのシステムと方法とを図示している。
【図1D】本発明の一実施例による、サービス連鎖のためのシステムと方法とを図示している。
【図1E】本発明の一実施例による、サービス連鎖のためのシステムと方法とを図示している。
【図1F】本発明の一実施例による、サービス連鎖のためのシステムと方法とを図示している。
【図2】本発明の別実施例によるサービス連鎖方法を図示している。
【図3】本発明の更に別の実施例による種々の態様のサービス連鎖を組み込んだネットワーク・システムを図示している。
【発明を実施するための形態】
【0022】
以下、本発明に関連する種々の概念と、本発明による方法及び装置の実施例についてより詳細に説明する。尚、ここに記載する種々の態様は、いかなる方法によっても実施することができると銘記される。特定の実施例は、ここで例示の目的のみで提供される。特に、種々の任意のネットワーク、ネットワーク・プロトコルを使用する種々のネットワーク実装及び構成を本発明の態様として使用することができ、これらはいかなる特定の種類のネットワーク、ネットワーク構成、ネットワーク装置にも限定されるものではない。
【0023】
図1A〜図1Fは、本発明のいくつかの実施例による、遠隔装置への1つ以上のサービスの提供を促進するためのネットワーク・アーキテクチャを図示している。図1Aに図示されているように、システム100は、ルータ115を介して信頼できないネットワーク150(例えば、インターネット)に接続されたサーバ110を含む。システム100は、更に、ルータ125を介して信頼できないネットワーク150に接続された遠隔装置120も含む。遠隔装置120は、ワイヤレス・リンク又はハードワイヤド接続を介して前記ネットワーク150に接続することも可能である。例えば、ルータ125は、前記遠隔装置をネットワーク150にワイヤレスに接続する1つ以上のワイヤレス・アクセス・ポイントを有することができる。或いは、前記遠隔装置120は、有線接続を使用して前記ネットワークに接続することも可能である。例えば、遠隔装置120は、ホーム・オフィスのネットワーク接続、又は、有線ネットワーク・ポートを提供するその他のロケーション、を介して前記ネットワークに接続されたラップトップ・コンピュータとすることができる。
【0024】
前記遠隔装置120や前記遠隔装置120のユーザは、サーバ110にとって未知であるか、又は信頼されていないかもしれない。しかし、これは本発明の態様においては制限とならない。というのは、遠隔装置120や遠隔装置120のユーザは、既知であるか、信頼されているか、又はその両方でありうるからである。例えば、サーバ110は、遠隔装置120を使用する遠隔ロケーションから企業LANへのアクセスを試みるユーザの企業LAN上に位置しているかもしれない。そのようなシナリオによれば、前記遠隔装置120及び前記遠隔装置120のユーザは、サーバ110に一般に認知されており、信頼されているかもしれないが、サーバ110は、それが前記企業LANの外部から前記ネットワークに接続される時には、前記遠隔装置あるいは前記遠隔装置のユーザの認証を確認する能力が限られているかもしれない。システム100は、更に、ネットワーク・スイッチング・センタ(NSC)130を有し、これは、遠隔装置120とサーバ110との間の通信リンクの確立を促進するためにネットワーク150に接続されている。前記サーバ、NSCは、更に、ワイヤレス・リンク、有線リンク、又は任意の種類の適当なネットワーク接続を介して前記ネットワーク150に接続されることも可能である。
【0025】
尚、前記ネットワーク150は、任意の種類及び構成の複数のネットワークから構成されうることが理解されるべきである。例えば、ネットワーク150は、多数のネットワークを含むことができ、これらのネットワークのそれぞれがこのネットワークに接続された種々のネットワーク装置によって発行されるネットワーク・アドレスのネットワーク識別部分によって識別される。この点に関して本発明は限定されるものではないので、ネットワーク150は、1つ以上のプライベート・ネットワーク、ローカル・エリア・ネットワーク(LAN)、広域ネットワーク(WAN)、インターネット、などをも含むことができる。ネットワーク150は、1つ以上の協働するルータを含むことができ、これらルータは、異なるネットワーク間のネットワーク・トラフィックを管理し、ネットワークに接続された遠隔装置によるローミングを促進する。一般に、ネットワーク150は、互いに通信することが可能な1つ以上のネットワークの集合を指すが、但し、それは、いかなるネットワークの種類、構成、又は数にも限定されるものではない。
【0026】
NSC130は、一般的に、サーバ110によって認知され、信頼されており、サーバとの間で信頼できるリンクが確立されており、これによってNSCはサーバに対して情報を通信することができる。例えば、トランスポート・コントロール・プロトコル(Transport Control Protocol) (TCP)を介して、又は、セキュア・ソケット・レイヤ(Secure Socket Layer) (SSL)で前記NSCに接続することができる。図1Bに図示されているように、サーバ110は、NSC130との通信リンクを開始し、確立することができる。或いは、NSC130がそのリンクを開始することも可能である。しかし、サーバにそのプロセスを開始させることによって、サーバ110は、NSC130が信頼できることを確認するためのプロセスに対してより大きな制御を行うことが可能である。サーバ110は、NSCの真正性と信頼性について自身が満足できるいかなる種類のセキュリティ手段又は認証手順も行うことができる。
【0027】
同様に、NSC130は、遠隔装置120に一般的に認知され、信頼されていてもよい。遠隔装置120は、例えばサーバ110によって提供される1つ以上のサービスにアクセスするために、サーバ110との通信を望む場合、NSC130に接続し、これとインタラクションするように構成することができる。このアクションを促進するために、NSC130は、遠隔装置120とサーバ110との間の信頼できる媒介として作用することができる。尚、この点に関して本発明の態様は限定されることがないので、任意の数の信頼できる、あるいは信頼できない、遠隔装置とサーバの組合せの間での、一般的に信頼できる媒介として作用するべく、複数のサーバと複数の遠隔装置に接続することも可能である。一般に、NSCは、サーバ110が後に詳述するプロセスによって1つ以上のサービスを遠隔装置120に提供することが可能であるように、遠隔装置120のサーバ110への接続を支援するように構成されている。
【0028】
図1Cに図示されているように、前記遠隔装置は、ネットワーク接続117(例えば、SSL等の暗号化された接続、又は、その他任意の種類の接続)を介してNSC130に接続することもできる。前記遠隔装置がNSC130に接続されると、認証のために、この遠隔装置の一時的IDが設定される。この一時的IDは、秘密ID(ID)や、ユニークなネットワークID(例えば、遠隔装置のIPアドレス)から構成されうる。本発明の態様はこの点において限定されるものではないので、前記一時的IDは、遠隔装置を安全に識別するための様々の又は追加の複数の識別子から構成することも可能である。すなわち、NSCは、遠隔装置をユニークに識別することが可能で、悪意ある装置が遠隔装置のIDになりすますことの防止を促進する任意の様々な認証スキームを使用してよい(例えば、悪意のある者が1つ以上のサービス、データ、その他の秘密情報にアクセスするために正規の遠隔装置になりすますことを防止する)。
【0029】
NSC130は、接続を確立するのに使用される遠隔装置のネットワーク・アドレスを取得し、その遠隔装置に独自な識別子を形成するための秘密IDを生成する。例えば、NSCはこの秘密IDとして乱数を生成することができる。いくつかの実施例において、前記秘密IDは、NSC又は遠隔装置の、IPアドレス、ハードウエア・アドレス、地理的ロケーション、などと無関係なものとすることができる。前記秘密IDとネットワークIDとは、協働で、NSCに対して、前記遠隔装置の身元と真正性の証明として作用することができる。
【0030】
図1Dに図示されているように、NSC130は、遠隔装置と当該NSCとの間に確立された前記リンクを介して秘密ID127を転送する。前記NSCと遠隔装置は、前記秘密IDを所有する唯一の実体であってよく、これは、遠隔装置が再始動、再起動したり、その他の前記秘密IDを失効させる処理を受けるまで、双方によって認証のために保持される。前記ネットワーク・アドレスと秘密IDはシステム100において認証メカニズムとして作用するものであるが、この点に関して本発明の態様は限定されるものではないので、遠隔装置を安全に識別するためにいかなる認証方法でも使用することが可能である。
【0031】
図1Eにおいて、NSC130は、サーバ110に対して、遠隔装置120が1つ以上のサービスにアクセスするためにこのサーバに接続を望んでいることを通知する。NSC130からのこの通知は、前記遠隔装置120のネットワーク・アドレスを含むことができ、更に、サーバ110によって必要とされる、又は、望まれるその他任意の追加情報(例えば、遠隔装置が要求している1つ以上のサービス)を含むことができる。次に、図1Fに図示されているように、サーバ110は、NSC130によってそれに供給された前記情報(例えば、ネットワーク・アドレス)を使用して前記遠隔装置との通信リンクを開始し、確立する。次に、サーバはその要求されたサービスを遠隔装置120に提供してもよい。
【0032】
尚、一旦、サーバ110と遠隔装置120との間の接続が確立されたならば、NSCはもはや、このサーバと遠隔装置との間に確立されたリンクを介するその後の通信に関わる必要はなくなる。すなわち、信頼できないネットワークを介する通信路は、NSC130を含まなくてもよい。このように、NSCは、接続を確立するための通信媒介としては作用するが、その接続を介するその後の通信には関与しなくてもよく、遠隔装置120とサーバ110との間で送られるネットワークパケットをNSC130を介してルーティングする必要はない。従って、サーバ110は、その指示又は選択されたサービスを遠隔装置120に送る。例えば、サーバ110は、デスクトップ・サービス、或いはeメールやそのサーバにとってローカルである他のアプリケーション、を提供することができる。サーバ110は、ユーザが希望する動画や音声コンテンツなどのコンテンツを提供することができる。本発明の態様はこの点において限定されるものではないので、いかなるサービスでも提供可能である。
【0033】
単一のサービス・アーキテクチャにおいて、サーバが選択されたサービスを提供した後、サーバはその接続を終わらせることができる。従って、遠隔装置120は、追加のサービスを得るためにはNSC130との別のトランザクションを開始しなければならないかもしれない。例えば、遠隔装置120は、別のサービスを要求するためにその秘密IDを使用してNSCにコンタクトするかもしれず(すなわち、NSCに対して、その要求する後続のサービスを提供する適当なサーバとの接続を確立させることによって)、NSCは、接続を開始し、遠隔装置120がそのサービスの1つにアクセスしようとしていることをその提供サーバに通知する必要な機能を実行しなければならない。このプロセスは、遠隔装置が後続の又は追加のサービスを要求する度に、反復される必要がある。
【0034】
出願人は、遠隔装置が別のサービスにアクセスを求める毎にNSC130とのコンタクトを再設定しなければならないのは不便かもしれないと判断した。更に、この必要性によって、ユーザ・エクスペリエンスは、ユーザがローカルに接続されている場合、例えば自分の企業LANにローカルに接続されている場合、に提供されるユーザ・エクスペリエンスを綿密にシミュレートするものではなくなるといったように、使いづらく、非直感的なものになるかもしれない。前記単一サービス構造は、サーバ110が遠隔装置120に対してフレキシブルにサービスを提供するときに制約を与えるかもしれない。例えば、サーバ110が、1つのサービスの完了後に、別のサービスを提供することを望んだり、或いは、別のサーバに追加サービスを提供するように協力を求めるかもしれない。単一サービス・アーキテクチャでは、通常1つのサービスの期限満了がそのサーバと遠隔装置との間のセッションを終了させることになるので、これは実用的ではない(或いは不可能ですらある)。
【0035】
出願人は、前記単一サービス・アーキテクチャの種々の欠点を、複数のサービスをここでサービス連鎖と呼ぶプロセスにおいて互いに連結させることにより、なくすことができると判断した。サービス連鎖では、現在のサービスの完了時、終了時、中断時において、その参照されるサービスが制定されるように、現在のサービスが別のサービスへの参照を含んでよく、もしくは、サーバが別のサービスへの参照を提供してよい。サービス連鎖は、サーバが複数のサービスを提供し、そのサーバが提供するサービスをカスタマイズする機会を提供することにおいて、サーバにフレキシビリティを提供する。また、サービス連鎖は、サービス・プロバイダに対して、ユーザが特定の所与のサービスからどのサービスに進めばよいかを制御するための容易な管理方法も提供する。更に、サービス連鎖は、以下で詳述するように、新たなサーバとサービスがシステムに追加される場合に、NSCに対する負担を軽減することができる。
【0036】
図2は、本発明の一実施例によるサービス連鎖の方法を図示している。この方法200は、例えば、図1に図示のシステムにおいて実施することができる。工程210において、遠隔装置が、当該遠隔装置もしくはそのユーザが加入している1つ以上のサーバからのサービスを要求するサービス要求をNSCに対して行う。前記サービス要求は、NSCにコンタクトしている遠隔装置だけを対象とする。ここで、「加入者」という用語は、NSCに登録しており、ネットワークを介して少なくとも1つのサービスにアクセスできるように加入しているネットワーク装置又は遠隔装置やユーザのことをいう。遠隔装置は、例えば、起動時等において、自動的にNSCとコンタクトするように構成することができるし、或いは、コンタクトがユーザによって開始されるようにできる(例えば、ユーザがNSCに接続するオプションを選択するか、さもなければ、NSCがコンタクトされるべきであることを指示する)ことも可能である。
【0037】
工程220において、NSCは、遠隔装置からのサービス要求を受け取り、その遠隔装置やユーザが認証されたものであるか否かを調べる。もしその遠隔装置やユーザがまだ認証されていなければ、工程230に示されているように、NSCは遠隔装置やユーザを認証し、その遠隔装置やユーザがNSCに登録されていることを確かめる。遠隔装置やユーザが認証されるには様々な方法がある。一つの実施例では、NSCは遠隔装置やユーザが認証されていることを確かめる確認プロセスを扱う認証サービスを開始する。前記認証サービスは、ユーザがユーザ名とパスワードを入力できるようにログイン画面を提示するように構成できる。これにより、NSCはそのユーザによって提供されたユーザ名とパスワードの組合せが正しいものであることを確かめ、その情報を使用して加入者を識別することができる。
【0038】
別実施例において、前記認証サービスはユーザに対して透過的に機能する。例えば、遠隔装置に関する認証情報を加入者IDモジュール(SIM)によって提供することができる。この加入者IDモジュール(SIM)は、遠隔装置からプログラムによって発行することが可能なエンド・ユーザに関するID情報を格納することができる。更に、遠隔装置に組み込んだ、又は接続したスマート・カードによって認証情報を提供することも可能である。例えば、遠隔装置がスマート・カード・リーダを備えたり、或いはそれをスマート・カード・リーダに接続することができる。ユーザは、自分のスマート・カードをリーダに提供してこのようにして認証される。或いは、認証情報が、ネットワーク・インターフェース・カード(NIC)識別子などの遠隔装置のハードウエア識別から得られるように構成することもできる。本発明はこの点に関して限定されるものではないので、遠隔装置によってプログラム発行されたり、NSCによって得られるその他の認証情報を認証のために使用することも可能である。尚、以上の説明から、認証はユーザ側で(例えば、ログイン・パスワード、パーソナル・スマート・カード、など)、又は、遠隔装置側で(例えば、SIM番号、NIC ID、ハードウエアID、等)行うことが可能であることが理解される。従って、ここで、「遠隔装置やユーザ」という用語は、遠隔装置又はユーザを指すものであって、これらの両方を要件とするものではない。
【0039】
いずれにせよ、NSCは次に、その提供された認証情報を使用して遠隔装置やユーザの身元を確認する。例えば、NSCは、その認証情報を利用して、ここではネットワーク加入者ID(NSI)と称する、NSCによってその内部で使用される遠隔装置やユーザの対応のローカル識別子を索引付けし見つけることができる。例えば、NSCは、各有効な加入者に対応のグローバルにユニークなNSIを格納し、このNSIを有効で正しい認証情報と関連付けることができる。NSCが認証情報を受け取ると、それはこの認証情報を使用して、そのサーバ要求を提供した遠隔装置に対応するNSIを索引付けし、得ることができる。
【0040】
もしも得られた認証情報に関連付けられたNSIが存在しないならば、認証サービスは遠隔装置に対して、NSCはその遠隔装置やユーザを有効で認証された加入者とは認識しない、ということを示すことができる。もしも認証情報に関連付けられたNSIが存在しているのであれば、セッションが開始され、NSCは、上述したようにそのセッションの間の使用のために遠隔装置に対して秘密IDを発行する。
【0041】
NSCとの接続の一部として、遠隔装置は装置パラメータと能力とに関連する情報を送ることができる。例えば、遠隔装置は、画面サイズ、動画暗号化能力、音声能力、コーデックス、その他、その遠隔装置にサービスを提供するために有用又は必要なその他のパラメータ(複数でありうる)等の処理パラメータも送ることができる。次に、これらの装置パラメータは、その遠隔装置のためにNSIと関連付けられて格納することができる。その点に関して本発明は限定されるものではないので、装置パラメータは、認証の前、その後、又はその一部として伝送することができる。
【0042】
遠隔装置とのセッションが開始された後は、認証サービスを終わらせることができる。セッションとは、装置がそれに対して認証された期間のことを指し、NSCによる更なる認証を必要とするものではない(例えば、遠隔装置はNSCによって生成され提供された秘密IDを保有する)。セッションは、任意の数の理由によって、終わらせることができる。例えば、セッションは、遠隔装置が再起動又は再始動する時に終わらせることができる。尚、本発明はその点に関して限定されるものではないので、前記認証サービスによって、初期化手順やセッションセットアップ処理を行ってもよい。
【0043】
上述したように、サービス連鎖のための一般的アーキテクチャによれば、各サービス又はサーバ、或いはNSCは、遠隔装置に対して提供されるべき次のサービスを指示することができる。もしも連鎖されるサービスが無いのであれば、加入者のためのデフォルト・サービスを提供することができる。例えば、NSCは、各加入者に提供されるデフォルト・サービスを格納することができる。このデフォルト・サービスは、後に詳述するように、NSCによって提供されるサービス(例えば、選択サービス)、又は、サーバによって提供されるサービスに対する参照、とすることができる。従って、前記認証サービスは、遠隔装置のためのデフォルト・サービスに明示的に連鎖してもよいし、或いは、認証サービスは単純に終わることも可能であり、そして、連鎖されているサービスが存在しない場合には、NSCは遠隔装置のNSIに関連付けられたデフォルト・サービスを参照する。いずれの場合でも、デフォルト・サービスが遠隔装置に提供される(工程240)。
【0044】
前記デフォルト・サービスは、遠隔装置にとって利用可能な任意のサービスとすることができる。デフォルト・サービスは、遠隔装置が加入している利用可能な種々のサービスを提供する選択サービスとすることができる。例えば、前記選択サービスは、例えば、上述したように、遠隔装置があたかもそのサービスを提供するサーバとしてのその同じLANにローカルに接続されているかのように機能することを可能にするWindows環境をエミュレートするWindowsサービス等の、その遠隔装置がそこから選択することができる利用可能なサービスのメニューを提供することによって機能するものとすることができる(Windowsは登録商標)。前記サービスは、遠隔装置が商取引を行うことを可能にする表示サービスとしてもよい。例えば、前記遠隔装置はテレビ装置とすることができ、前記デフォルト・サービスは、ユーザが見る映画を選択することを可能し、その後、その選択されたサービスの一部として設定されたテレビに対してストリーミングすることができる(或いは、他のメニュー・オプションを提供する)サービスとすることができる。従って、装置に対するデフォルト・サービスは、遠隔装置の種類、能力、遠隔装置のユーザによって設定された選好、又は、ユーザの加入やセッションの態様などに応じたものとすることができる。
【0045】
前記デフォルト・サービスは、NSCによって提供されるサービスであってもよく、或いは、ネットワークに接続された別のサーバによって提供されるサービスであってもよい。もしもデフォルト・サービスが、別のサーバによって提供されるサービスであるならば、図1との関連で上述したように、NSCは遠隔装置をその適切なサーバに接続するプロセスを開始する。具体的には、NSCはデフォルト・サービスを提供するサーバの位置(例えば、ネットワーク・アドレス)を決定すべく、データベース中でデフォルト・サービスを参照する。もしもNSCがそのデフォルト・サービス(例えば、選択サービス)を提供するのであれば、NSCは、サーバと加入者との間の接続手順を開始する前に、別のサーバによって提供されるサービスが選択されるまで待つ。尚、本発明はその点において限定されるものではないので、前記デフォルト・サービスは、任意のネットワーク装置によって提供される任意の種類の任意のサービスとすることが理解されるであろう。
【0046】
一旦、デフォルト・サービスが完了すると、次のサービスが遠隔装置に提供される(工程250)。この次のサービスは、前記デフォルト又は現在のサービスに連鎖されたサービスとすることができる。例えば、もしもデフォルト・サービスが選択サービスであるならば、次のサービスは、利用可能なサービスのメニューから選択されたサービスとすることができる。もしも次のサービスがNSC以外のサーバによって提供されるのであれば、NSCは前記接続プロセスを開始し、そのサーバに対して、遠隔装置がその選択されたサービスを要求していることを知らせる。次に、サーバは、上述したように遠隔装置に接続し、その選択されたサービスを提供することができる。何らかの時点で、次のサービス(これはいまや提供されている現在のサービスである)は、完了、中断、終了させることができる。
【0047】
1つのサービスが完了、終了、中断される毎に、NSCは現在のサービスが行われるべき次のサービスを提供したか否か、すなわち、現在のサービスが実行されるべき別のサービスに連鎖されているか否かを確かめる(工程260)。もしも別のサービスが連鎖されていなければ、NSCは遠隔装置に対してその遠隔装置のNSIに関連付けられたデフォルト・サービスを提供してもよい(すなわち、工程240を反復してもよい)。前記次のサービスは、遠隔装置が接続されている現在のサーバによって提供される別のサービスであってもよいし、或いは、まったく別のサーバであってもよい。もしも連鎖されているサービスが別のサーバによって提供されるものであるならば、NSCは、図1に関連して前述したように、その新しいサーバと遠隔装置との間の接続を開始することができる。工程260は次のサービスが連鎖されるまで反復することができ、その場合、NSCは遠隔装置にデフォルト・サービスを提供することができる。このようにして、サービス連鎖法を図1に図示のネットワーク・システム上で実行することができる。
【0048】
図3は、本発明のいくつかの実施例によるサービス連鎖を実行するシステムを図示している。システム300において、種々の遠隔装置320がネットワークに接続され、NSC330を利用してネットワークを介して提供されるサービスにアクセスする。更に、前記ネットワークとNSC330とには複数のサービス・センタ310が接続されている。ここでサービス・センタとは、NSCと接続されて要求する遠隔装置に1つ以上のサービスを提供するために作動するように構成された1つ以上のサーバの任意の集合をいう。前記サービス・センタは、正規の加入者にサービスを提供する1つ以上のサーバを含むことができる。例えば、サービス・センタ310aは、種々の遠隔装置320を介して遠隔アクセスを提供する1以上のユーザの企業LANとすることができる。サービス・センタ310bは、電子媒体の商用プロバイダとすることができる。例えば、サービス・センタ310bは、鑑賞、聴取のために遠隔装置に提供される動画、音声のベンダとすることができる。本発明はその点において限定されるものではないので、サービス・センタ310は任意の種類、数のサービスを提供する1つ以上のサーバの集合とすることができる。
【0049】
遠隔装置320aは、ネットワーク350に接続可能な任意のネットワーク装置とすることができる。例えば、遠隔装置320aは、ユーザがその遠隔装置によってアクセス可能となる、仕事用eメールやその他のアプリケーションなどの1つ以上のリモート・サービスへのアクセスを得るために使用する、ラップトップ又はホームPCとすることができる。ステートレス・ネットワーク・アプライアンス(Stateless Network Appliance: SNAP)320bも、ネットワーク350を介して当該SNAPによって利用可能な1つ以上のサービスにアクセスするためにネットワークに接続されている。ここで、ステートレス装置(stateless device)とは、実質的に1つのネットワーク及びディスプレイ管理装置として機能することができる装置をいう。具体的には、前記ステートレス装置は、主として、そのステートレス能力で動作している時、ネットワークに対するヒューマン・インターフェース装置として動作することができる。ステートレス装置は、通常、アプリケーションを実行するものではなく、ネットワーク機能を実行し、ネットワークを介して受け取った情報を表示するソフトウエア以外のいかなるソフトウエアもダウンロードしない。その結果、ステートレス装置(そのステートレス能力で動作している時)は、実質的なユーザ機能を実行する必要はなく、あるいは、なんら重要な、恒久的なユーザ・データを含む必要がない。
【0050】
ステートレス装置が、他のネットワーク装置へのアクセス、他のネットワーク装置とのインタラクション、他のネットワーク装置からのサービスの受け取りを可能にすることによって、従来のネットワーク・コンピューティングに関連する1つ以上の問題を軽減あるいは解消することができる。例えば、ステートフル・コンピューティング装置は、ハッキング、ホスト及び拡散したウイルスの両方への計算機環境の確立、又は、ユーザがネットワーク環境においてセキュリティを破り、脆弱性を攻撃したり、さもなければ、ステートフル装置の機能を悪用したりを可能にするといった、多数のセキュリティ問題に対処する大きな責任がある。
【0051】
これに対して、ステートレス装置は、上述した様々な能力を利用する機能性を大きく剥奪されている。しかしながら、ステートレス装置は、上述したアーキテクチャとの関連によって、当該ステートレス装置がいわゆる「ダム端末」として機能することを可能にしながらも、ネットワークを介して利用可能なリソースから便益を受けることを可能にする。具体的には、ステートレス装置は、その装置自身が関連する機能について実行可能化される必要無く、いかなる演算環境もシミュレートすることができる。例えば、ステートレス装置は、ネットワーク・サービスとインタラクションし、Windowsオペレーティング・システムをステートレス装置にインストールする必要なく、ユーザのWindows環境にアクセスすることができる(Windowsは登録商標)。ステートレス装置はネットワークに対するインターフェースとして機能しているので、その機能がステートレス装置に常駐しなければならないという要件に関連する付随的な欠点をもたらすことなく、ステートレス装置が任意の装置又は機能のシミュレーションを可能にする情報をネットワークを介して受け取る。
【0052】
ステートレス装置は、ネットワーク・コンピューティングにおいて、演算負荷や機能負荷がネットワークに接続されている装置(例えば、ラップトップやPC)にかかるというパラダイムから、機能と演算を主としてネットワークに接続されたサーバによって行うことが可能であるというパラダイムへのシフトを促進する。上述したいくつかの利点の中で、この新しいパラダイムによって、従来はネットワークの能力(例えば、テレビジョン、その他ディスプレイを備えるすべての装置)を享受できなかった、或いは限定的にしか享受できなかった装置が完全なネットワーク機能を備える装置になることが可能になる。ステートレス装置は、そのステートレス装置がインタラクションしている、あるいはインターフェースしているホストやサーバによって維持されるデータのインテグリティを保持しながら、1つ以上のネットワークを介してサービスと完全にインタラクションしアクセスするための比較的安価な手段を提供する。
【0053】
尚、ステートフル装置(パーソナル・コンピュータや、デジタル・アシスタント、など)をステートレス状態で機能することも可能であると理解される。すなわち、ステートフル装置は、アプリケーションの実行、データや情報の格納、等のステートフル装置としてのその能力をある程度抑制することによって、ステートレス装置として機能することができる。但し、純粋にステートレスな装置は、ネットワーク・アプライアンスとして、ユーザが、どこかに格納されているネットワーク上の情報とインターフェースし、ネットワーク上のどこか他のロケーション(例えば、そのネットワーク・アプライアンスが接続されている1つ以上のホスト又はサーバによって)で計算され、実行され、提供されるサービスや機能を受け取ることを可能にする。システム300のコンテクストにおけるステートレス装置に関連するその他の利点については、後に更に詳述する。
【0054】
図3において、システム300は、更に、ネットワーク350に接続されるとともにNSC330との通信が可能なモバイル装置320cを有する。モバイル装置320cは、ラップトップ、携帯電話、パーソナル・デスクトップ・アシスタント(PDA)、或いは、ネットワークとの通信が可能なその他の装置、等の任意の数の一般に携帯式である装置とすることができる。モバイル装置320cはステートレス又はステートフル装置のいずれであってもよい。尚、ネットワークに接続される遠隔装置320の数や種類について特に限定は無く、図3に図示されている構成は、接続されて本発明のいくつかの態様が実施可能なシステムを形成する遠隔装置及びサービス・センタのいくつかの可能な実施例を単に例示するものに過ぎない。
【0055】
NSC330は、図1に関連して記載し、図2に関連して記載してサービス連鎖方法との関連で記載したNSC130に同様の方法で動作することができる。これらの機能を実装するために、NSC330は、遠隔装置、ユーザ、サービス・センタについての情報を格納するデータベース(データストア)332を備えることができる。データベース(データストア)332は、任意の種類の複数のデータベースを備えてもよい。例えば、データベース(データストア)332は、1つ以上のリレーショナル型又はオブジェクト指向型データベースを備えることができる。データベース(データストア)332は、それに対してNSCが媒介として機能してサービス・センタとの接続を確立し、1つ以上のサービスをその遠隔装置やユーザに提供するプロセスを促進することが可能な、1つ以上の遠隔装置についての情報を格納することができる。データベース(データストア)332は、後に詳述するように、NSIの、そして、利用可能なサービスや、サービス特定識別番号、装置パラメータ、等のセッションに関連する情報を、関連して格納するための加入者テーブル332aを備えることができる。
【0056】
NSC330は、更に、登録された装置やユーザと通信し、現在のセッションを管理や維持するように構成されたクライアント・マネジャ(CLM)336を含むこともできる。CLM336は、データベース(データストア)332に接続されて、装置やユーザを伴う現在のセッションに関して、情報を入手し、データベースを更新する。CLM336は、後に詳述するように、前記サービス・センタによって提供される1つ以上のサービスへのアクセスの提供を促進するための種々の処理を実行するようにプログラムされた1つ以上のソフトウエア・コンポーネント又はモジュールとして構成することができる。前記CLM336が加入者側で作動し、SCCM334がサービス・センタ側で作動して、これらの協働で、加入者とサービス・センタとの間で最初の接続が確立され、後に詳述するように、サービス連鎖環境における加入者へのサービスの提供を促進するための種々のその他の処理を実行する。
【0057】
NSC330は、更に、サービス・センタ310と通信し、サービス・センタとのセッションを管理や維持するように構成されたサービス・センタ・マネジャ(SCCM)334を含むこともできる。SCCM334は、データベース(データストア)332に接続されて、利用可能なサービスやサービス・センタについての情報を入手し、提供を受けている現在のサービスに関するデータベースを更新する。SCCM334は、サービス・センタによって提供される1つ以上のサービスへのアクセスの提供を促進するための種々の処理を実行するようにプログラムされた1つ以上のソフトウエア・コンポーネント又はモジュールとして構成することができる。協働して、加入者側で動作するCLM336と、サービス・センタ側で動作するSCCM334とは、後に詳述するように、加入者とサービス・センタの間で初期接続を確立して動作し、サービス連鎖環境において、加入者に対するサービス供給準備を促進する様々な他の処理を実行する。
【0058】
前記NSCは、このNSCに登録されている各々の遠隔装置やユーザに対する固有の識別子(すなわち、NSI)を格納している。NSCはこのNSIを使用してネットワーク上の各遠隔装置をユニークに識別し、その装置を、当該装置と利用可能なサービスに関する情報と関連付ける。各加入者のNSIは、NSCにおいて維持し、遠隔装置やサービス・センタとは共有されないようにすることができる。NSIは、加入者テーブル332aにおいて格納し、遠隔装置やユーザを認証し、許可するために使用される認証情報に関連付けることができる。例えば、NSIは、遠隔装置のユーザが提供する、或いは、それによって遠隔装置が1つ以上のサービスにアクセスしようとする時に自動的に発行する、ユーザ名とパスワードの組合せなどのログイン情報と関連付けられて格納されてよい。或いは、前記NSIは、SIM番号、スマート・カードID、又は、遠隔装置やユーザをセキュアに識別する、その他のハードウエア・アドレス識別子(NIC識別子など)と関連付けて格納されてもよい。
【0059】
サービスへのアクセスを要求している遠隔装置から発行されるサービス要求は、CLM336によって処理され、CLM336は、それに応答して、NSCの認証サービスを開始することができる。この認証サービスは、遠隔装置に対して、CLMが期待している種類の認証又はログイン情報に依存する認証プロセスを提供するように構成することができる。例えば、もしもCLMがユーザ名とパスワードの組合せを期待しているであれば、前記認証サービスは、遠隔装置に、ユーザが適当なユーザ名とパスワードの組合せを入力することを要求するログイン表示を提供することができる。もしも遠隔装置が、サービス要求の作成時にSIM番号又はNIC IDを発行するようにプログラムされているのであれば、前記認証サービスは、ユーザに対してなんら提供する必要はなく、その提供された認証情報を処理するように進むことができる。
【0060】
いずれにせよ、何らかの手段によってCLMによって受信される提供されたログイン情報は、前記加入者テーブルに索引付けする認証サービスによって、その遠隔装置のNSIを取得するために使用される。もしもその提供されたログイン情報に関連したNSIが見つからない場合は、認証サービスは、ユーザに対して、そのログイン情報が無効であることを知らせてもよい。もしも関連するNSIが見つかったならば、CLMは加入者を識別し、その識別され認証された加入者のNSIに関連して格納された情報に従ったサービス・アクセスを開始することができる。また、認証サービスは、遠隔装置から能力パラメータを受け取るために種々のクエリー操作も行うことができる。認証サービスは、セッションを初期化し、遠隔装置がセッションを通じて使用する秘密IDを生成するものとしてもよい。認証サービスは、前記秘密IDを解読しそれを遠隔装置320に転送することができる。その後、この秘密IDが、NSCと遠隔装置との間のセッションで使用されて、遠隔装置が繰り返しログインしそれ自身を再認証する必要性が回避される。すなわち、NSCは、前記秘密IDを対応のNSIと関連付けることができ、遠隔装置はNSCとの将来の通信においてその秘密IDを伝送することができる。遠隔装置が正規加入者として認証された後、認証サービスは終了することができる。
【0061】
遠隔装置のNSIを備えるCLM336は、前記加入者テーブル中のその加入者のデフォルト・サービスを探すことができる。具体的には、各NSIは、認証がペンディング中に、加入者に対して提供されるべき第1サービス又はデフォルト・サービスを参照又は識別するサービス名を含む、その加入者のためのデフォルト・サービスと関連していてもよい。例えば、前記デフォルト・サービスは、遠隔装置があたかもその企業LANに接続されているかのように動作することが可能であるようにWindowsデスクトップをエミュレートする、Windowsサービスなどのエンド・ユーザ・サービスとすることができる(Windowsは登録商標)。或いは、前記デフォルト・サービスは、遠隔装置に対して、それから加入者が所望のサービスを選択することが可能な利用可能な複数のサービスを表示する選択サービスとすることも可能である。前記デフォルト・サービスは、NSCによって、又は、ネットワークに接続された任意のサービス・センタによって提供されるサービスとすることができる。例えば、単純なステートレス装置又は単純なオーディオ・プレーヤー用のデフォルト・サービスは、その装置に対してダウンロード又はストリーミングが可能な利用可能な動画(例えば映画)又は音声を表示する対応のサービス・センタによって提供されるサービスとすることができる。
【0062】
デフォルト・サービスがサービス・センタの1つによって提供されるサービスである場合、或いは、ユーザがサービス・センタによって提供されるサービスを選択する場合、SCCM334は、そのサービス・センタと加入者との間の接続の確立を促進すべく、適切なサービス・センタにコンタクトする。例えば、データベース(データストア)332は、サービス名を、その適切なサービス・センタとのコンタクトに必要な情報と関連付ける加入者サービス・テーブル312bを備えることができる。この情報は、SCCMが見つけコンタクトする必要があるという適切なサービス・センタのネットワーク・アドレスやその他のID情報を含むことができる。次に、SCCMは、サービス名を索引として使用して得たこの情報を使用して前記サービス・センタにコンタクトすることができる。
【0063】
上述したように、NSIは、NSCによってのみ知ることができ、セキュリティのために、内部目的のためにのみ使用することができる。従って、NSCは、各加入者のNSIを保持し、それをサービス・センタと識別された遠隔装置やユーザとの両方から隠すことを望むかもしれない。NSIをサービス・センタに提供する代わりに、NSCは加入者を選択されたサービスに関連付けるサービス加入者識別子(SSI)を生成することもできる。これにより、NSCはこの特定のサービスのための加入者のSSIと加入者のネットワーク・アドレスをサービス・センタに送り、サービス・センタは遠隔装置との接続を確立することができる。
【0064】
内部では、NSCは、各サービスのSSIをそのサービスにアクセスする加入者のNSIに関連付けることができる。具体的には、遠隔装置は、その加入者について、NSIと、SSIとサービス名とを組合せて記憶することができる。遠隔装置は複数のサービスを要求するかもしれないので、各NSIは、複数のSSIとそれに関連付けられたサービス名を有するかもしれない。上述したように、サービス・センタは、NSCによって提供されたネットワーク・アドレスを使用して遠隔装置との接続を確立する。この接続が確立された後、サービス・センタは、その確立された接続を介して遠隔装置によって要求されたサービスを実行することができる。しかしながら、例えばサービスが完了したため、あるいは、ユーザがもはやサービスを必要としていないことを指示したため、若しくは、ユーザが別のサービスを要望することを指示したためにサービスが終了した時に、他のサービスにアクセスするために、その遠隔装置がNSCとの前記サービス選択工程を反復しなければならないとすれば不便である。
【0065】
出願人は、現在のサービス又はサービス・センタに、提供されるべき次のサービスを指示させることによって、フレキシビリティの増大が可能となり、サービス・センタへの直接接続、例えば、企業LANへの直接接続をより近くシミュレートしたユーザ・エクスペリエンスが提供されると認識している。従って、現在のサービスが終了することになっている、又は、そのサービスが一時的に中断されることになっているとき、或いは既に完了しているとき、サービス・センタはNSCに対して、現在のサービスが終了することになっている、又は、そのサービスが一時的に中断されることになっている、ということを通知する。この通知を受けて、サービス・センタは、提供されるべき次のサービスを指示するか、もしくは、サービス・センタはそのサービスを完了して、サービス連鎖することなく終了することができる。
【0066】
或いは、前記サービス・センタはNSCに対して、現在のサービスを終わらせることなく、提供されるべき次のサービスを指示することができる。後者の場合は、指示された次のサービスが完了したときに、現在のサービスを再開させることが可能である。このように、サービス・センタは、現在のサービスを終わらせることなく、遠隔装置によるアクションの結果、提供させるべき別のサービスを示すことができる。これにより、サービス・センタが追加の制御を行うことが可能となり、サービス・センタに、他のサービス・センタによって提供されるサービスを利用することを可能にして、それによって前記アーキテクチャのフレキシビリティと有用性を大幅に改善する。
【0067】
サービスが連鎖されている場合には、CLM336はその指示されたサービス名(又は、サービスに対する他の参照)を取得して、遠隔装置がそのサービスにアクセスすることが許可されているか否か(すなわち、その遠隔装置やユーザがそのサービスに対する加入者であるか否か)を決定する。すなわち、CLM336は、その遠隔装置のNSIを取得し、そのサービス名が指示されたサービスに関連付けられているか否かをチェックする。もしも、遠隔装置やユーザがこのサービスについて認証されているのであれば、SCCMはその関連付けられたSSIと共にこのサービスに対するサービス・センタに次のサービスを提供するように通知する。任意の数の連鎖されたサービスを遠隔装置に提供するためにこのサービス連鎖のプロセスを反復することができる。更に、この種類のサービス連鎖は、サービス間の直感的な移行を提供するべく、ユーザに対して透過的なものとすることができる。
【0068】
サービス連鎖によって、NSCに対してこの構造を理解しなければならないという負荷を与えることなく、遠隔装置に対して提供されるサービスの構造化にフレキシビリティを与えることが可能となる。例えば、サービス連鎖によれば、サービス・センタが、遠隔装置によって選択されたサービスを提供する前に、サービス・センタ自身の認証サービスを実行することができる。サービス・センタは、遠隔装置がこのサービス・センタによって提供されるサービスにアクセスすることが認証されていることを確認すべく、サービス・センタ自身の特別な認証手続を有するように構成してもよい。例えば、企業LANは遠隔ユーザが当該LANにおいて利用可能な情報及びサービスに対するアクセスが認証されていることを確認することを望んで、その従業員にのみログイン名とパスワードの組合せを発行してもよい。そして、サービス・センタは、任意の所望する認証手続を実行して、そして、遠隔装置によって選択されたサービスに連鎖することができる。
【0069】
更に、サービス連鎖によって、1つのサービス・センタは、他のサービス・センタが、それらのサービスに連鎖が可能であることによって、これらの他のサービス・センタによって提供されるサービスを活用することが可能となる。例えば、サービス連鎖によって、異なるサービス・センタが、例えば、関連データのデータベースチェック以外のNSCのアクティブな関与を必要とすること無く、自分のサービスを互いのサービスに連鎖させることを可能にする協定を自分たちの間で締結することが可能となる。1つの実施例において、別のサービス・センタによって提供されるサービスに連鎖するサービス・センタは、そのサービス連鎖メッセージ又はサービス要求の変更において、2つのサービス・センタ間に認知されている識別子又は秘密情報を含むことができる。そして、NSCは、この秘密情報を、連鎖されているサービス・センタに転送することができる。
【0070】
次に、連鎖されているサービス・センタは、そのサービス・センタが前記連鎖サービス・センタによって提供されるサービスに対して連鎖されることが認証されていることを確かめるべく、それがそこから連鎖されたサービス・センタからの期待される秘密情報に対して、前記転送された秘密情報をチェックしてもよい。連鎖された秘密情報を、それに連鎖されるサービス・センタが認証されていることを確かめることによって、サービス・センタに、そのサービスに対するより大きな制御レベル及びセキュリティレベルを与えるために使用してもよい。但し、本発明の態様はその点において限定されるものではないので、1つのサービス・センタから連鎖されたサービス・センタへの識別子や秘密情報は、必ずしも必要なものではない。
【0071】
図3において、サービス・センタ310の各々は、複数のコネクタ312を有している。これらのコネクタの各々を、対応のサービス・センタによって提供される特定のサービスと関連付けることができる。前記コネクタは、サービス・センタにおいて動作する各サービスによって生成される情報(すなわち、サービス・センタにおいて動作するソフトウエアに固有の形式でのデータ)をインタラクティブ形式(すなわち、サービスがコネクタ・サービスとして機能する)に変換するように構成することができる。インタラクティブ形式は、サービス・センタがデータを伝送する必要無く、また、遠隔装置がデータを格納したり、或いは、関連のソフトウエアをインストールして、そのソフトウエア自身により当該データをそのソフトウエア固有の形式で操作する必要無く、遠隔装置がサービス・センタにおいてデータとインタラクションできるよう、遠隔装置において、どのように、何を表示すべきかを記述したレンダリング・コマンドを含むことができる。
【0072】
いくつかの実施例において、前記レンダリング・コマンドは、遠隔装置上で表示されるビット・ストリームを含む。ここで、「表示ビット・ストリーム」という用語は、表示装置、音声、ビデオその他のメディア上に表示可能でユーザに対して出力可能な画素を表す情報を指す。サービスによって生成される結果やコンテンツを表示ビット・ストリームに変換することによって、遠隔装置は、当該遠隔装置に提供されるサービスに関連する、ファイル、ドキュメント又はその他の情報をローカルにコピーする必要がなくなる。それどころか、遠隔装置は、ユーザが見聞きできるように結果を表示するが、実際のデータを遠隔装置に転送することはない。このように、情報の操作手段と実際のコンテンツはサービス・センタに残る。
【0073】
出願人は、コネクタ・サービスを提供することの多くの利点を見出し、それらを認識している。第1に、遠隔装置がサービス・センタによって制御されている情報を直接改変、削除、頒布することができないのでセキュリティが改善される。第2に、遠隔装置はサービス・センタとインタラクションするための特別なソフトウエアを必要とせず、ネットワークを介して利用可能なコネクタ・サービスを利用する必要がない。遠隔装置は、ユーザに対して表示ビット・ストリームを提供するのに必要な限られたハードウエア及びソフトウエアを備えるSNAPとすることができる。従って、コネクタ・サービスは、遠隔装置が利用可能な全ての種類のコネクタ・サービスへユーザがアクセスすることを可能にする汎用ネットワーク・インターフェースとして作用するようなネットワーク環境を促進する。
【0074】
前記遠隔装置は、更に、ユーザ入力(例えば、マウス・クリック、キーボード入力、音声コマンド、その他、遠隔装置を介してユーザによって提供される入力)をインタラクティブ形式に翻訳するコネクタを備えることができる。これにより、サーバ側のコネクタは、前記インタラクティブ形式を、サービスに対して、そのサービスに固有の形式で、データをいかに操作するかを指示するコマンドに翻訳することができる。このようにして、データの双方向翻訳によって、元のデータがその接続を介して伝送されることなく、また、遠隔装置に格納されることなく、それでも、ユーザに対しては自分がそのデータを直接に操作し、そのサービスにローカルにアクセスしているかのように見えながら、接続を介したサービスの提供を促進する。
【0075】
図1及び図3において記載したネットワーク・アーキテクチャは、遠隔装置からのセキュアな遠隔アクセスを促進する。上述したように、前記ネットワーク・アーキテクチャは、遠隔装置からサービス・センタへの演算負荷のシフトを促進する。いくつかの実施例において、遠隔装置にサービスを提供することに含まれる演算は、実質的にはサービス・センタにおいて行われ、遠隔装置に送られる通信は、その大半、又はその全部が、表示データを含むレンダリング・コマンドの形態である。このようにすることで、遠隔装置は、当該遠隔装置がアクセスすることを望む多種多様なサービスを提供するために特定のソフトウエアをローカルにインストールする必要が無くなる。すなわち、遠隔装置は、そのサービスにアクセスしそれらの便益を享受するためにネットワークとインターフェースすることを目的として、アプリケーションの種類や提供されるサービスの詳細についての知識を持つ必要がなくなる。
【0076】
特に、遠隔装置は、実質的に、サービス・センタにおいて実行される結果、アクション、タスクのディスプレイとして動作することができるので、提供されるサービスに関連するソフトウエアをローカルに実行する必要がない。すなわち、サービス・センタからのデータを、遠隔装置のディスプレイに対して転送される、ビットマップなどの表示情報としてユーザに対して提供することができる。その後、ディスプレイとのユーザのインタラクションを、そのインタラクションに対する必要な応答が行われるサービス・センタへと伝送することができる。このようにして、遠隔装置に対してダウンロードされるデータは無くなり、遠隔装置において実行される特定のソフトウエア・アプリケーションも無くなる(すなわち、遠隔装置はステートレスとなる)。これにより、秘密情報が遠隔装置上でローカルに格納させることが防止される。更に、遠隔装置がサービス特有のソフトウエアを実行する必要性が無くなったことにより、更新とメンテナンスのコストが、これらはサービス・センタにおいてのみ必要となることから、低減される。
【0077】
図3において、前記サービス・センタは、表示情報が遠隔装置に提供されるパラダイムの実装を促進するためにコネクタ312を有している。前記サービス・センタは、例えば、それが提供する各サービスに対して1つのコネクタを備えることができる。しかしながら、本発明の態様はこの点において限定されるものではないので、1つのコネクタによって複数のサービスを取り扱うように構成することも可能である。前記コネクタは、サービス・センタによって実行された演算の結果を、サービスにアクセスする遠隔装置に送られるレンダリング・コマンドに翻訳するように構成されている。前記コネクタは、サービス・センタによって実行されるアクションの表示結果を、遠隔装置のユーザによって見ることが可能な表示データへと変換する1つ以上のソフトウエアプログラム又はモジュールとして構成することができる。上述したように、これによって、サービスを実質的にサービス・センタにおいて実行することが可能となり、遠隔装置が、遠隔装置のステートフル能力に依存する従来のサービス・アクセス・アーキテクチャにおいて通常必要とされる、ノウハウ、ハードウエア及びソフトウエア、メモリ要件、などを必要とすることから開放される。
【0078】
上述したように、このアーキテクチャの1つの利点は、比較的単純な装置(例えば、ダム端末)でも任意の数、種類の異なるサービスに対するアクセスを提供することが可能であることである。これによって、ネットワーク(例えば、インターネット)を介して利用可能な豊富なサービスという長所にアクセスし、それらを利用することが可能な装置の種類に関するフレキシビリティが提供される。例えば、それによって、ネットワークを介したサービスを、ラップトップ、PC、PDA、などといった汎用コンピュータのみならず、テレビ、携帯電話、及び、ディスプレイを備え、ユーザがそのディスプレイによってインタラクションすることを可能にするその他のネットワーク・アプライアンス、に対しても利用可能とすることができる。これにより、サービス連鎖との組合せで、ネットワーク・コンピューティングへのパラダイムシフトが可能となり、ネットワーク・サービスとリモート・コンピューティングに対する比較的単純で、セキュアで、安価なアクセスが促進される。
【0079】
本発明の上述した実施例は、いかなるようにも実施することが可能である。例えば、これらの実施例は、ハードウエア、ソフトウエア又はそれらの組合せを使用して実装することができる。ソフトウエアで実装する場合、そのソフトウエア・コードを任意の適当なプロセッサ、またはプロセッサの組合せ、単一のコンピュータに設けられるもの、又は、複数のコンピュータ間に分布されるもの、において実行することができる。尚、上述した機能を実行する任意のコンポーネント又はコンポーネントの組合せは、総称的に、上述の機能を制御する1つ以上のコントローラと見なすことができる。この1つ以上のコントローラは、専用のハードウエアで、或いは、上記機能を実行するためのマイクロ・コード又はソフトウエアを使用してプログラミングされた汎用ハードウエア(例えば、1つ以上のプロセッサ)等で、様々な方法で実施することが可能である。
【0080】
尚、ここに概説した種々の方法は、種々のオペレーティング・システム又はプラットフォームのいずれかを使用する1つ以上のプロセッサ上において実行可能なソフトウエアとしてコードされてよい。さらに、そのようなソフトウエアは、種々の適当なプログラミング言語、従来式プログラミング又はスクリプト・ツール、を使用して書くことができ、或いは、実行可能な機械言語コードとしてコンパイルされてもよい。
【0081】
この点に関して、本発明の一実施例は、1つ以上のコンピュータ又はその他のプロセッサ上で実行された時に、本発明の上述した種々の実施例を実装する方法を実行する1つ以上のプログラムがコードされた、コンピュータ読込可能媒体(例えば、コンピュータ・メモリ、1つ以上のフロッピー・ディスク、コンパクト・ディスク、光ディスク、磁気テープ、など)に関するものである、と理解されなければならない。前記コンピュータ読み取り可能媒体は、持ち運び可能に構成して、そこに格納されている1つ以上のプログラムが、上述したように本発明の種々の態様を実装するために1つ以上の異なるコンピュータ又はその他プロセッサにロード可能とすることができる。
【0082】
尚、ここで「プログラム」という用語は、包括的な意味で、上述した本発明の種々の態様を実装するためにコンピュータ又はその他のプロセッサをプログラムするために使用可能な任意の種類のコンピュータコード又はインストラクション・セット、をいう。更に、本発明の一態様によれば、実行された時に本発明の方法を実行する1つ以上のコンピュータ・プログラムは、単一のコンピュータ又はプログラム上に常駐する必要はなく、本発明の種々の態様を実装するために多種多様なコンピュータ又はプロセッサ間でモジュール的に分散させてもよい。
【0083】
本発明の種々の態様は、単体、又は組合せ、或いは、上述した実施例において具体的には記載されなかった種々の構成で使用することが可能であり、従って、その適用において、上記説明に記載された、又は、図面に図示された詳細又はコンポーネントの構成に限定されるものではない。本発明は、他の実施例が可能であり、様々な方法で実践又は実行することが可能である。特に、本発明の種々の態様は、任意の種類、集合又は構成のネットワークで実装することができる。ネットワークによる実装に関して、なんら限定は存在しない。従って、上記説明及び図面は例示的なものに過ぎない。
【0084】
又、ここで使用した表現、用語は、記載の目的のためのものであって、限定的なものと解釈されてはならない。「有する」、「持つ」、「備える」、「含む」、「伴う」といった用語、及びそれらの変形例の使用は、ここに挙げられた要素とそれらの均等物、更に、それらの追加要素を含んでいる。
【特許請求の範囲】
【請求項1】
第1装置に対してサービスを提供することが可能なサーバを見つけるように構成されたネットワーク・スイッチング・センタを使用してネットワークを介して前記第1装置に前記サービスを提供する方法であって、以下の工程を有する方法。
前記第1装置に提供される第1サービスを識別する工程、
前記ネットワーク・スイッチング・センタから第1サーバに対して、遠隔装置が前記第1サービスを要求しているという通知を提供する工程、
前記第1サーバによって前記遠隔装置に対して前記第1サービスを提供する工程、そして、
前記第1サーバによって前記ネットワーク・スイッチング・センタに対して、前記遠隔装置に対して提供されるべき第2サービスを指示する工程。
【請求項2】
請求項1の方法であって、更に、前記ネットワーク・スイッチング・センタによって、前記第1サービスを提供可能な前記第1サーバを見つける工程を有する方法。
【請求項3】
請求項2の方法であって、更に、前記ネットワーク・スイッチング・センタによって、前記第2サービスを提供可能な第2サーバを見つける工程を有する方法。
【請求項4】
請求項3の方法であって、前記第1サーバと前記第2サーバとが異なるサーバである方法。
【請求項5】
請求項4の方法であって、前記第1サーバと前記第2サーバとが、サービス連鎖協定と、前記第1サーバと前記第2サーバとを互いに識別する秘密IDとを有し、そして、前記第2サービスを指示する工程が、前記秘密IDを前記ネットワーク・スイッチング・センタに提供する工程を含む方法。
【請求項6】
請求項5の方法であって、更に、前記ネットワーク・スイッチング・センタによって、前記秘密IDを前記第2サーバに提供する工程を有する方法。
【請求項7】
請求項3の方法であって、前記第1サーバと前記第2サーバとが同じサーバである方法。
【請求項8】
請求項1の方法であって、更に、前記第1装置を認証する工程を有し、前記ネットワーク・スイッチング・センタによって、前記第1装置および前記第1装置のユーザの双方あるいは一方が前記ネットワーク・スイッチング・センタに登録されていることを確認することにより、前記認証が行われる方法。
【請求項9】
請求項1の方法であって、前記第1サービスを識別する工程が、前記ネットワーク・スイッチング・センタによって、前記第1装置に提供するデフォルト・サービスを識別する工程を含む方法。
【請求項10】
請求項1の方法であって、前記第1サービスを識別する工程が、前記第1装置を介して、利用可能なサービスのリストから前記第1サービスを選択する工程を含む方法。
【請求項11】
請求項1の方法であって、更に、以下の工程を有する方法。
前記ネットワーク・スイッチング・センタから第2サーバに、前記第2サービスが要求されていることの通知を提供する工程、そして
前記第2サーバによって、前記第2サービスを前記遠隔装置に提供する工程。
【請求項12】
請求項11の方法であって、前記第1装置の前記ユーザが前記ネットワーク・スイッチング・センタで再認証する必要無く、前記第2サービスが提供される方法。
【請求項13】
請求項11の方法であって、前記第1装置の前記ユーザが前記第2サービスを選択する必要無く、前記第2サービスが提供される方法。
【請求項14】
ネットワークを介してサービスを提供するシステムであって、以下を有するシステム。
前記ネットワークを介して通信可能な少なくとも1つのネットワーク装置、
前記少なくとも1つのネットワーク装置に対してサービスを提供することが可能なサーバを見つけるように構成されたネットワーク・スイッチング・センタ、そして、
前記ネットワーク装置に対して少なくとも1つのサービスを提供するように構成された複数のサーバ、
ここで、前記少なくとも1つのネットワーク装置のうちの第1ネットワーク装置に対して提供されるべき第1サービスが識別されると、前記ネットワーク・スイッチング・センタが、前記第1サービスを提供することが可能な前記複数のサーバから第1サーバを識別し、かつ、前記第1サーバに対して前記第1サービスを提供するように指示するように構成されており、更に、前記第1サーバが、前記第1サービスを提供するとともに、前記ネットワーク・スイッチング・センタに対して、前記第1ネットワーク装置に対して提供されるべき第2サービスを指示するように構成されているシステム。
【請求項15】
請求項14のシステムであって、前記第1ネットワーク装置が、前記第1サーバによって提供される前記第1サービスにアクセスするために前記ネットワーク・スイッチング・センタにコンタクトするように構成されているシステム。
【請求項16】
請求項15のシステムであって、前記第1ネットワーク装置、前記第1ネットワーク装置のユーザの双方あるいは一方が前記ネットワーク・スイッチング・センタに登録されていることを確認することにより、前記ネットワーク・スイッチング・センタが前記第1ネットワーク装置、前記ユーザの双方あるいは一方を認証するように構成されているシステム。
【請求項17】
請求項15のシステムであって、前記ネットワーク・スイッチング・センタが、認証に引き続き、前記第1ネットワーク装置に提供されるべきデフォルト・サービスを識別するように構成されているシステム。
【請求項18】
請求項14のシステムであって、前記第2サービスの前記指示に応答して、前記ネットワーク・スイッチング・センタが、前記複数のサーバから第2サーバを見つけ、前記第2サーバに対して、前記第1ネットワーク装置に提供すべき前記第2サービスを指示するように構成されているシステム。
【請求項19】
請求項18のシステムであって、前記第2サーバと前記第1サーバとが異なるサーバであるシステム。
【請求項20】
請求項19のシステムであって、前記第1サーバと前記第2サーバとが、サービス連鎖協定と、前記第1サーバと前記第2サーバとを互いに識別する秘密IDとを有し、そして、前記第1サーバが前記第2サービスを指示する時に、前記第1サーバが前記秘密IDを前記ネットワーク・スイッチング・センタに提供するように構成されているシステム。
【請求項21】
請求項20のシステムであって、前記ネットワーク・スイッチング・センタが、前記秘密IDを前記第2サーバに提供するように構成されているシステム。
【請求項22】
請求項18のシステムであって、前記第2サーバと前記第1サーバとが同じサーバであるシステム。
【請求項23】
請求項14のシステムであって、前記ネットワーク・スイッチング・センタが、提供されるべき次のサービスに関する参照なしにサービス変更要求を受けると、前記第1ネットワーク装置に対してデフォルト・サービスを提供するように構成されているシステム。
【請求項24】
複数のネットワーク装置と複数のネットワーク・サーバとを有するネットワークを介して、通信を行うように構成されたネットワーク・スイッチング・センタであって、以下を有するネットワーク・スイッチング・センタ。
前記ネットワークを介した通信のために構成された少なくとも1つのネットワーク・ポート、そして
前記少なくとも1つのネットワーク・ポートに接続されたコントローラであって、前記コントローラが、前記複数のネットワーク装置からのサービス要求と、前記複数のネットワーク・サーバによるサービス連鎖要求と、を処理するように構成されたコントローラ、
ここで、前記複数のネットワーク装置のうちの第1ネットワーク装置から第1サービス要求を受けると、前記コントローラが、前記複数のサーバから前記第1サービスを提供することが可能な第1サーバを見つけ、かつ、前記第1サーバに対して、前記第1ネットワーク装置に提供されるべき前記第1サービスを指示するように構成され、そして、前記第1サーバから前記第1ネットワーク装置に提供されるべき第2サービスを指示するサービス連鎖要求を受けると、前記コントローラが、前記複数のサーバから前記第2サービスを提供可能な第2サーバを見つけるように構成されているネットワーク・スイッチング・センタ。
【請求項25】
請求項24のネットワーク・スイッチング・センタであって、更に、前記コントローラに接続されたデータベースを有し、前記データベースが、複数の加入者と前記加入者の各々が利用可能なサービスとに関する情報を格納しているネットワーク・スイッチング・センタ。
【請求項26】
請求項25のネットワーク・スイッチング・センタであって、前記第1ネットワーク装置から前記第1サービス要求を受けると、前記データベースに格納された前記情報に基づいて前記第1ネットワーク装置が前記ネットワーク・スイッチング・センタに登録されていることを確認することにより、前記コントローラが前記第1ネットワーク装置を認証するネットワーク・スイッチング・センタ。
【請求項27】
請求項26のネットワーク・スイッチング・センタであって、前記第1ネットワーク装置の認証後に、前記コントローラが、前記第1ネットワーク装置に関連付けられたデフォルト・サービスを識別するために前記データベースを参照するネットワーク・スイッチング・センタ。
【請求項28】
請求項27のネットワーク・スイッチング・センタであって、前記デフォルト・サービスが、前記データベースに格納された情報に基づいて、前記第1ネットワーク装置に利用可能なサービスをリストにする選択サービスであり、そして、前記コントローラが、前記選択サービスを前記第1ネットワーク装置に提供するように構成されているネットワーク・スイッチング・センタ。
【請求項29】
請求項28のネットワーク・スイッチング・センタであって、前記第1サービスの前記第1ネットワーク装置からの指示を受けると、前記コントローラが前記データベースに格納された情報から前記第1サーバを見つけるネットワーク・スイッチング・センタ。
【請求項30】
請求項27のネットワーク・スイッチング・センタであって、前記デフォルト・サービスが前記第1サービスであり、そして、前記コントローラが前記デフォルト・サービスを取得した後に前記第1サーバを見つけるように構成されているネットワーク・スイッチング・センタ。
【請求項1】
第1装置に対してサービスを提供することが可能なサーバを見つけるように構成されたネットワーク・スイッチング・センタを使用してネットワークを介して前記第1装置に前記サービスを提供する方法であって、以下の工程を有する方法。
前記第1装置に提供される第1サービスを識別する工程、
前記ネットワーク・スイッチング・センタから第1サーバに対して、遠隔装置が前記第1サービスを要求しているという通知を提供する工程、
前記第1サーバによって前記遠隔装置に対して前記第1サービスを提供する工程、そして、
前記第1サーバによって前記ネットワーク・スイッチング・センタに対して、前記遠隔装置に対して提供されるべき第2サービスを指示する工程。
【請求項2】
請求項1の方法であって、更に、前記ネットワーク・スイッチング・センタによって、前記第1サービスを提供可能な前記第1サーバを見つける工程を有する方法。
【請求項3】
請求項2の方法であって、更に、前記ネットワーク・スイッチング・センタによって、前記第2サービスを提供可能な第2サーバを見つける工程を有する方法。
【請求項4】
請求項3の方法であって、前記第1サーバと前記第2サーバとが異なるサーバである方法。
【請求項5】
請求項4の方法であって、前記第1サーバと前記第2サーバとが、サービス連鎖協定と、前記第1サーバと前記第2サーバとを互いに識別する秘密IDとを有し、そして、前記第2サービスを指示する工程が、前記秘密IDを前記ネットワーク・スイッチング・センタに提供する工程を含む方法。
【請求項6】
請求項5の方法であって、更に、前記ネットワーク・スイッチング・センタによって、前記秘密IDを前記第2サーバに提供する工程を有する方法。
【請求項7】
請求項3の方法であって、前記第1サーバと前記第2サーバとが同じサーバである方法。
【請求項8】
請求項1の方法であって、更に、前記第1装置を認証する工程を有し、前記ネットワーク・スイッチング・センタによって、前記第1装置および前記第1装置のユーザの双方あるいは一方が前記ネットワーク・スイッチング・センタに登録されていることを確認することにより、前記認証が行われる方法。
【請求項9】
請求項1の方法であって、前記第1サービスを識別する工程が、前記ネットワーク・スイッチング・センタによって、前記第1装置に提供するデフォルト・サービスを識別する工程を含む方法。
【請求項10】
請求項1の方法であって、前記第1サービスを識別する工程が、前記第1装置を介して、利用可能なサービスのリストから前記第1サービスを選択する工程を含む方法。
【請求項11】
請求項1の方法であって、更に、以下の工程を有する方法。
前記ネットワーク・スイッチング・センタから第2サーバに、前記第2サービスが要求されていることの通知を提供する工程、そして
前記第2サーバによって、前記第2サービスを前記遠隔装置に提供する工程。
【請求項12】
請求項11の方法であって、前記第1装置の前記ユーザが前記ネットワーク・スイッチング・センタで再認証する必要無く、前記第2サービスが提供される方法。
【請求項13】
請求項11の方法であって、前記第1装置の前記ユーザが前記第2サービスを選択する必要無く、前記第2サービスが提供される方法。
【請求項14】
ネットワークを介してサービスを提供するシステムであって、以下を有するシステム。
前記ネットワークを介して通信可能な少なくとも1つのネットワーク装置、
前記少なくとも1つのネットワーク装置に対してサービスを提供することが可能なサーバを見つけるように構成されたネットワーク・スイッチング・センタ、そして、
前記ネットワーク装置に対して少なくとも1つのサービスを提供するように構成された複数のサーバ、
ここで、前記少なくとも1つのネットワーク装置のうちの第1ネットワーク装置に対して提供されるべき第1サービスが識別されると、前記ネットワーク・スイッチング・センタが、前記第1サービスを提供することが可能な前記複数のサーバから第1サーバを識別し、かつ、前記第1サーバに対して前記第1サービスを提供するように指示するように構成されており、更に、前記第1サーバが、前記第1サービスを提供するとともに、前記ネットワーク・スイッチング・センタに対して、前記第1ネットワーク装置に対して提供されるべき第2サービスを指示するように構成されているシステム。
【請求項15】
請求項14のシステムであって、前記第1ネットワーク装置が、前記第1サーバによって提供される前記第1サービスにアクセスするために前記ネットワーク・スイッチング・センタにコンタクトするように構成されているシステム。
【請求項16】
請求項15のシステムであって、前記第1ネットワーク装置、前記第1ネットワーク装置のユーザの双方あるいは一方が前記ネットワーク・スイッチング・センタに登録されていることを確認することにより、前記ネットワーク・スイッチング・センタが前記第1ネットワーク装置、前記ユーザの双方あるいは一方を認証するように構成されているシステム。
【請求項17】
請求項15のシステムであって、前記ネットワーク・スイッチング・センタが、認証に引き続き、前記第1ネットワーク装置に提供されるべきデフォルト・サービスを識別するように構成されているシステム。
【請求項18】
請求項14のシステムであって、前記第2サービスの前記指示に応答して、前記ネットワーク・スイッチング・センタが、前記複数のサーバから第2サーバを見つけ、前記第2サーバに対して、前記第1ネットワーク装置に提供すべき前記第2サービスを指示するように構成されているシステム。
【請求項19】
請求項18のシステムであって、前記第2サーバと前記第1サーバとが異なるサーバであるシステム。
【請求項20】
請求項19のシステムであって、前記第1サーバと前記第2サーバとが、サービス連鎖協定と、前記第1サーバと前記第2サーバとを互いに識別する秘密IDとを有し、そして、前記第1サーバが前記第2サービスを指示する時に、前記第1サーバが前記秘密IDを前記ネットワーク・スイッチング・センタに提供するように構成されているシステム。
【請求項21】
請求項20のシステムであって、前記ネットワーク・スイッチング・センタが、前記秘密IDを前記第2サーバに提供するように構成されているシステム。
【請求項22】
請求項18のシステムであって、前記第2サーバと前記第1サーバとが同じサーバであるシステム。
【請求項23】
請求項14のシステムであって、前記ネットワーク・スイッチング・センタが、提供されるべき次のサービスに関する参照なしにサービス変更要求を受けると、前記第1ネットワーク装置に対してデフォルト・サービスを提供するように構成されているシステム。
【請求項24】
複数のネットワーク装置と複数のネットワーク・サーバとを有するネットワークを介して、通信を行うように構成されたネットワーク・スイッチング・センタであって、以下を有するネットワーク・スイッチング・センタ。
前記ネットワークを介した通信のために構成された少なくとも1つのネットワーク・ポート、そして
前記少なくとも1つのネットワーク・ポートに接続されたコントローラであって、前記コントローラが、前記複数のネットワーク装置からのサービス要求と、前記複数のネットワーク・サーバによるサービス連鎖要求と、を処理するように構成されたコントローラ、
ここで、前記複数のネットワーク装置のうちの第1ネットワーク装置から第1サービス要求を受けると、前記コントローラが、前記複数のサーバから前記第1サービスを提供することが可能な第1サーバを見つけ、かつ、前記第1サーバに対して、前記第1ネットワーク装置に提供されるべき前記第1サービスを指示するように構成され、そして、前記第1サーバから前記第1ネットワーク装置に提供されるべき第2サービスを指示するサービス連鎖要求を受けると、前記コントローラが、前記複数のサーバから前記第2サービスを提供可能な第2サーバを見つけるように構成されているネットワーク・スイッチング・センタ。
【請求項25】
請求項24のネットワーク・スイッチング・センタであって、更に、前記コントローラに接続されたデータベースを有し、前記データベースが、複数の加入者と前記加入者の各々が利用可能なサービスとに関する情報を格納しているネットワーク・スイッチング・センタ。
【請求項26】
請求項25のネットワーク・スイッチング・センタであって、前記第1ネットワーク装置から前記第1サービス要求を受けると、前記データベースに格納された前記情報に基づいて前記第1ネットワーク装置が前記ネットワーク・スイッチング・センタに登録されていることを確認することにより、前記コントローラが前記第1ネットワーク装置を認証するネットワーク・スイッチング・センタ。
【請求項27】
請求項26のネットワーク・スイッチング・センタであって、前記第1ネットワーク装置の認証後に、前記コントローラが、前記第1ネットワーク装置に関連付けられたデフォルト・サービスを識別するために前記データベースを参照するネットワーク・スイッチング・センタ。
【請求項28】
請求項27のネットワーク・スイッチング・センタであって、前記デフォルト・サービスが、前記データベースに格納された情報に基づいて、前記第1ネットワーク装置に利用可能なサービスをリストにする選択サービスであり、そして、前記コントローラが、前記選択サービスを前記第1ネットワーク装置に提供するように構成されているネットワーク・スイッチング・センタ。
【請求項29】
請求項28のネットワーク・スイッチング・センタであって、前記第1サービスの前記第1ネットワーク装置からの指示を受けると、前記コントローラが前記データベースに格納された情報から前記第1サーバを見つけるネットワーク・スイッチング・センタ。
【請求項30】
請求項27のネットワーク・スイッチング・センタであって、前記デフォルト・サービスが前記第1サービスであり、そして、前記コントローラが前記デフォルト・サービスを取得した後に前記第1サーバを見つけるように構成されているネットワーク・スイッチング・センタ。
【図1A】
【図1B】
【図1C】
【図1D】
【図1E】
【図1F】
【図2】
【図3】
【図1B】
【図1C】
【図1D】
【図1E】
【図1F】
【図2】
【図3】
【公表番号】特表2010−515957(P2010−515957A)
【公表日】平成22年5月13日(2010.5.13)
【国際特許分類】
【出願番号】特願2009−542834(P2009−542834)
【出願日】平成19年12月17日(2007.12.17)
【国際出願番号】PCT/US2007/025750
【国際公開番号】WO2008/082483
【国際公開日】平成20年7月10日(2008.7.10)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.フロッピー
【出願人】(504424708)シムトーン・コーポレイション (5)
【氏名又は名称原語表記】SIMTONE CORPORATION
【Fターム(参考)】
【公表日】平成22年5月13日(2010.5.13)
【国際特許分類】
【出願日】平成19年12月17日(2007.12.17)
【国際出願番号】PCT/US2007/025750
【国際公開番号】WO2008/082483
【国際公開日】平成20年7月10日(2008.7.10)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.フロッピー
【出願人】(504424708)シムトーン・コーポレイション (5)
【氏名又は名称原語表記】SIMTONE CORPORATION
【Fターム(参考)】
[ Back to top ]