複数のサービス提供空間統合方法、複数のサービス提供空間の統合のためのコンピュータシステム、管理サーバ、及びコンピュータプログラム
【課題】 複数のサービス提供空間を統合してサービスを利用可能とするための手段を提供する。
【解決手段】 複数のサービス提供空間を統合するための方法であって、
サービス提供空間(A)内で提供されるサービスの情報及び空間を利用可能なユーザの情報を管理する空間管理サーバ(SS)が、他のサービス提供空間(B)の空間管理サーバ(SS)へログインするステップを含み、前記ログイン中においてはサービス空間(A,B)同士が統合されて、一方のサービス提供空間(A)のユーザが、他方のサービス提供空間(B)のサービスを所定の利用権限内で利用可能となる。
【解決手段】 複数のサービス提供空間を統合するための方法であって、
サービス提供空間(A)内で提供されるサービスの情報及び空間を利用可能なユーザの情報を管理する空間管理サーバ(SS)が、他のサービス提供空間(B)の空間管理サーバ(SS)へログインするステップを含み、前記ログイン中においてはサービス空間(A,B)同士が統合されて、一方のサービス提供空間(A)のユーザが、他方のサービス提供空間(B)のサービスを所定の利用権限内で利用可能となる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、複数のサービス提供空間統合方法等に関するものである。
【背景技術】
【0002】
特許文献1には、さまざまなデバイスに付帯する通信手段と資源情報管理手段を持つ資源識別機構と、資源識別機構の通信手段と通信する通信手段と、局所的空間管理手段と所属資源管理手段と局所的利用権管理手段とアプリケーション管理手段を持つ局所的管理機構を持ち、ユーザが局所的空間内に存在する資源を利用することを可能とする資源管理システムが開示されている。
この資源管理システムによれば、ネットワーク上に存在するさまざまなデバイスやサービス、コンテンツに対する利用権を、動的に個々の利用者に対して提供することが可能となり、また、利用権の発行に対し、本人の認定や利用権の発行までひとつひとつのプロセスを経ず即時の利用権発行を可能とすることができる。
【特許文献1】特開平2003−162464号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
特許文献1に記載のものでは、ユーザが他の空間にあるサービスを利用する際には、当該他の空間のサービス利用権を登録しておき、他の空間のサービスを利用するには、ユーザが当該他の空間にログインする必要がある。
しかし、特許文献1には、空間同士を統合して利用することは記載されていない。
本発明は、複数のサービス提供空間を統合してサービスを利用可能とするための手段を提供することを目的とする。
【課題を解決するための手段】
【0004】
本発明は、複数のサービス提供空間を統合するための方法であって、サービス提供空間内で提供されるサービスの情報及び空間を利用可能なユーザの情報を管理する空間管理サーバが、他のサービス提供空間の空間管理サーバへログインするステップを含み、前記ログイン中においてはサービス空間同士が統合されて、一方のサービス提供空間のユーザが、他方のサービス提供空間のサービスを所定の利用権限内で利用可能となる、ことを特徴とするものである。
【0005】
上記方法によれば、ある空間の空間管理サーバが、他の空間の空間管理サーバへログインして、空間同士が統合されることで、ユーザは、一方のサービス提供空間へのログインを行えば、他方のサービス提供空間への直接的なログインをしなくとも、当該他方のサービス提供空間のサービスを所定の利用権限内で利用可能となる。
すなわち、個々のユーザが他の空間にログインしなくとも、空間管理サーバが他の空間にログインして空間統合が行われるため、他の空間のサービスを利用することができる。
【0006】
前記ログインは、他のサービス提供空間の空間管理サーバへログインした空間管理サーバのユーザが、当該空間管理サーバが取得した利用権限内で、他のサービス提供空間のサービスを利用可能とする空間結合のためのログインであるのが好ましい。
また、前記ログインは、空間管理サーバのサービス情報及びユーザ情報の管理を、他のサービス提供空間の空間管理サーバによって行わせる空間融合のためのログインであってもよい。
【0007】
コンピュータシステムに係る本発明は、複数のサービス提供空間統合のためのコンピュータシステムであって、各サービス提供空間は、当該空間内で提供されるサービスの情報、及び空間を利用可能なユーザの情報を管理する空間管理サーバによって管理されるものであり、サービス提供空間内で提供されるサービスの情報及び空間を利用可能なユーザの情報を管理する空間管理サーバが、他のサービス提供空間の空間管理サーバへログインする手段を備え、前記ログイン中においてはサービス空間同士が統合されて、一方のサービス提供空間のユーザが、他方のサービス提供空間のサービスを所定の利用権限内で利用可能となる、ことを特徴とするものである。
【0008】
空間管理サーバに係る本発明は、空間を管理するための空間管理サーバであって、空間内で提供されるサービスの情報を管理する手段と、空間を利用可能なユーザの情報を管理する手段と、一方のサービス提供空間のユーザが、他方のサービス提供空間のサービスを所定の利用権限内で利用可能となる空間統合状態を得るために、他のサービス提供空間の空間管理サーバへログインする手段とを備えていることを特徴とするものである。
【0009】
コンピュータプログラムに係る本発明は、コンピュータを空間管理サーバとして機能させるためのコンピュータプログラムであって、空間内で提供されるサービスの情報を管理する機能、空間を利用可能なユーザの情報を管理する機能、他のサービス提供空間の空間管理サーバへログインして、空間同士を統合し、一方のサービス提供空間のユーザが、他方のサービス提供空間のサービスを所定の利用権限内で利用可能となるようにする機能、をコンピュータに実行させるためのものである。
【発明の効果】
【0010】
本発明によれば、空間管理サーバが他の空間にログインして空間統合が行われるため、ユーザは、一方のサービス提供空間へのログインを行えば、他方のサービス提供空間への直接的なログインをしなくとも、当該他方のサービス提供空間のサービスを所定の利用権限内で利用可能となる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の好ましい実施形態を図面に基づいて説明する。
[空間管理サーバの概略]
図1は、サービス提供空間(以下、「空間」という)の空間管理・統合に用いられる空間管理サーバ(Space Server)SSの主な機能を示している。空間管理サーバSSは、空間のユーザ管理を行う機能と、空間のサービス管理を行う機能を有している。
なお、空間サーバは、コンピュータと、各機能をコンピュータに実行させるためのコンピュータプログラムとによって構成される。また、一つのコンピュータが複数の空間サーバとしての機能を有していても良い。
【0012】
空間は、空間管理情報としてユーザ管理情報と、サービス管理情報とを有している。
空間管理サーバSSは、空間のユーザ管理のために、ユーザディレクトリアダプタ(User Directory Adapter)UDAと、統合ユーザディレクトリ(Integrated User Directory)IUDと、を備えている。
また、空間管理サーバSSは、空間のサービス管理のために、サービスディレクトリアダプタ(Service Directory Adapter)SDAと、統合サービスディレクトリ(Integrated Service Directory)ISDと、を備えている。
空間は、前記空間管理サーバSSによって管理される範囲をいい、具体的には図1に示すように統合ユーザディレクトリIUDと統合サービスディレクトリISDによって管理される範囲をいう。
なお、空間は、物理的制約にとらわれるものではない。例えば、空間は、コンピュータネットワーク上において、部屋を跨って構築されたもの、一つの部屋のみに構築されたもの、ノートPCのみで構築されているもの、又は国を跨って構築されたものであってもよい。
【0013】
ここでは、空間が提供するサービスを利用するために認証されることを「ログイン」といい、ログインが成功した場合のみ、空間が提供するサービスが利用可能になる。
空間へのログインの主体は、ユーザ又は空間である。図2に示すように、ユーザが空間にログインした場合、ユーザは当該空間において提供されるサービスが利用可能となる。
本発明では、空間にはユーザがログインすることができる他、図3に示すように、ある空間Aが他の空間Bにログインすることもできる。
すなわち、空間は、ユーザ又は他の空間からのログインを受け付ける機能と、他の空間へログインするための機能を有している。
【0014】
[ユーザ管理について]
空間のユーザ管理は、空間管理サーバSSのユーザディレクトリアダプタUDAと、統合ユーザディレクトリIUDと、によって行われる。
ここで、ユーザ情報は、個々のユーザ自身が持つユーザ固有の情報として定義されている。ユーザ情報は、例えば、ユーザ名を主キーとするレコード単位で保持されている。
ユーザ情報の例としては、Unix(登録商標)のユーザアカウント情報、NIS(Network Information Service)によるユーザアカウント情報、LDAP(Lightweight Directory Access Protocol)により管理されている情報、MySQLにより管理されている情報、一般的なDBMS(DataBase Management System)により管理されている情報などがある。また、ユーザ情報としては、ログインに必要なユーザ名とパスワードを含むのが好ましいが、虹彩情報などのバイオメトリクス認証のための情報、又はその他の情報であってもよい。
【0015】
上記のようにユーザ情報が保持されている媒体(実装環境)には、様々なものがあるため、前記ユーザディレクトリアダプタUDAは、ユーザ情報を保持している媒体間の差異を吸収・隠蔽して、統一的に利用可能とするものである。
また、ユーザディレクトリアダプタUDAは、必要に応じて前記統合サービスディレクトリISDを介して、ユーザ又は他の空間管理サーバSSからのログインを受け付けるログイン処理機能を有している。
【0016】
空間へのログインは、ユーザディレクトリアダプタへログインするためのキー(key)又はキーリング(key-ring)を空間へ提示することによって行われる。図4に示すように、キーは、空間内におけるログイン対象のユーザディレクトリアダプタUDAを特定するための情報(対象UDA特定情報)、ユーザディレクトリアダプタUDAにログインするための情報(ログイン情報)と、を含んで構成されている。
ログイン情報は、前記ユーザ情報に対応するものであり、例えば、ユーザ情報としてユーザ名とパスワードを持つユーザディレクトリアダプタUDAに対するログイン情報としては、ユーザ名とパスワードとなる。
ログイン主体(ログインしようとするユーザ又は空間)から、空間管理サーバSSにキーが提示されると、空間管理サーバSSは、配下のユーザディレクトリアダプタUDAに対してログイン処理を試み、キーの対象UDA特定情報によって特定されるユーザディレクトリアダプタUDAに対するログインを試みる。
【0017】
また、キーリングは、複数のキー(key1,key2,key3)をまとめたものをいう(図5参照)。キーリングは、ログイン対象の特定の空間のみが利用可能な状態に加工された特化キーリングとされており、ログイン主体は、この特化キーリングをログイン対象の空間管理サーバSSに提示してログインを行う。なお、キーリングを用いたログイン処理については後述する。
【0018】
ユーザディレクトリアダプタUDAは、ログインに成功したログイン元へcapabilityオブジェクトを発行する機能も有している。
capabilityオブジェクトは、ユーザディレクトリアダプタUDAにおいてログイン処理が成功した場合に生成され、ログインを行ったユーザ又は空間に与えられる一時オブジェクトである。このcapabilityオブジェクトには、当該オブジェクトを生成したアダプタUDAを特定する情報(アドレス等)が含まれており、当該オブジェクトを生成したアダプタUDAに対して利用可能なものである。
capabilityオブジェクトは、これを持つユーザ又は空間管理サーバSSが、当該capabilityオブジェクトを、発行した空間の空間管理サーバSSに提示することにより、当該空間Sのサービスを利用可能とするために用いられたり、ログインした空間とログインされた空間間での認証のため等に用いられたりする。
なお、ユーザディレクトリアダプタは、ログイン等のための統一的な方法を提供しているだけであるから、NISなどの一般的なものではなく、ユーザディレクトリアダプタUDAの機能を備えたものを採用すれば、別途ユーザディレクトリアダプタUDAを用いる必要はない。
【0019】
統合ユーザディレクトリIUDは、複数のユーザディレクトリアダプタを統合して管理する機能を有している。図1に示すように、統合ユーザディレクトリIUDは、複数のユーザディレクトリアダプタを階層的に統合して管理することができる。
統合ユーザディレクトリIUDが図1のように階層的に構築されている場合、上位の統合ユーザディレクトリIUDからは、下位の統合ユーザディレクトリIUDもひとつのユーザディレクトリアダプタUDAとして認識される。
すなわち、図1の上位の統合ユーザディレクトリIUDからは、3つのユーザディレクトリアダプタUDA(LDAPにつながるUDA、MySQLにつながるUDA、UDAとみなされる下位のIUD)が存在するものとして認識され、5つのアダプタUDAがあっても、これら3つのアダプタUDAを意識した処理を行えばよく、上位の統合ユーザディレクトリの処理の軽減が図られている。
なお、2つのNISにつながるユーザディレクトリアダプタUDAに対する処理は、下位の統合ユーザディレクトリIUDによって行われる。
【0020】
統合ユーザディレクトリIUDは、前記ログイン処理の際に、接続されている全てのアダプタUDAに対してログインを試みる複合ログイン機能を有している。すなわち、ログイン主体から、空間管理サーバSSに対してキーの提示を伴う当該空間へのログイン要求がなされた場合、統合ユーザディレクトリIUDは、接続されているアダプタUDAに対して順番にログイン処理を試みる。このように、統合ユーザディレクトリIUDは、接続されているユーザディレクトリアダプタUDA間での利用順序などのコントロールを行うことができる。
また、ログイン主体から、空間管理サーバSSに対してキーリングが提示されると、空間管理サーバSSは、配下の統合ユーザディレクトリIUDは、接続されているユーザディレクトリアダプタUDAに対するログイン処理を試み、キーリングに含まれる各キーの各対象UDA特定情報によって特定される各ユーザディレクトリアダプタUDAに対するログインが成功する。
【0021】
統合ユーザディレクトリIUDは、ログインが成功したアダプタUDAからcapabilityオブジェクトを受け取る。
複数のアダプタUDAに対するログインが成功し、統合ユーザディレクトリIUDが、複数のアダプタUDAからcapabilityオブジェクトを受け取った場合、統合ユーザディレクトリIUDは、複数のcapabilityオブジェクトの集合体としてのcapability-ring(図6参照)を生成する。このcapability-ringは、通常のユーザcapabilityオブジェクトと同様に、ユーザ又は他の空間の空間管理サーバSSに送られる。
capability-ringは、一つのcapabilityオブジェクトとして取り扱われ、複数のcapabilityオブジェクトを一つにまとめることで、一度に取り扱うcapabilityオブジェクトの数が抑制される。このように、統合ユーザディレクトリIUDは、複数のアダプタUDAから得た情報を統合する機能を有している。
なお、capability-ringは、当該capability-ringが生成された空間を特定する情報を含むことなどにより、当該空間のみで利用可能となるように特化された状態に加工された上で、当該空間Sへ送られる。
【0022】
なお、統合ユーザディレクトリIUDは、ユーザ情報に対するアクセスコントロールを行う機能も有している。
【0023】
[サービス管理について]
空間のサービス管理は、空間管理サーバSSのサービスディレクトリアダプタSDAと、統合サービスディレクトリISDと、によって行われる。
ここで、サービスは、空間が提供する処理の最小の単位であり、その例としては、WebDAV(Distributed Authoring and Versioning protocol for the WWW)によるファイルシステムのマウントや照明の照度調整サービスなどのことを指す。また、複数のサービスを統合して一つのサービスを提供している場合には、その複合されたものも一つのサービスとして取り扱われる。
サービスの制御は、Jini Lookup service、SOAP(Simple Object Access Protocol)、CORBA(Common Object Request Broker Architecture)などによって行われるが、サービスディレクトリアダプタSDAは、このようなサービスの実装を隠蔽し、統一的なサービス利用を可能とするものである。
【0024】
統合サービスディレクトリISDは、統合ユーザディレクトリIUDと同様に、サービスディレクトリSDAを階層的に統合して管理する機能を有している(図1参照)。
また、統合サービスディレクトリISDは、その空間で提供可能なサービスの情報、サービスの種類、及びサービスに対するアクセスコントロールなどを提供する機能を有している。
【0025】
[空間管理サーバの空間認識機能]
空間管理サーバSSは、コンピュータネットワーク上において、他に存在する空間を認識する機能を有している。なお、各空間(空間管理サーバSS)は、アドレスを有しており、空間は、ネットワーク上において、当該アドレスによって特定される。
空間認識としては、近隣のアドレス等に対するブロードキャストベースの空間探索、特定範囲に対するマルチキャスト、認識済みの空間へのユニキャストベースの問い合わせが行える。このような空間認識機能によって、後述の空間統合(結合・融合)の相手先空間を検索・認識することが可能である。
【0026】
[空間統合について]
ここでは、二つの空間Aと空間Bが存在する場合、一方の空間(空間A)が他方の空間(空間B)に対してログイン権限を持っており、ログインに成功している状態を、「空間Aと空間Bは統合されている」と表現する。
各空間A,Bは、管理主体が異なってもよいものである。空間統合は、管理主体が異なっても良い空間をセキュアに協調させるためのものである。
【0027】
空間Aが空間Bにログインするために、空間Aの空間管理サーバSS−Aは、空間Bにログインするためのキー又はキーリングを有している。また、空間Bは、ユーザ情報として「空間A」を有している。なお、空間BのすべてユーザディレクトリアダプタUDAが空間Aのログインを受付可能であってもよいし、空間Bの一部のユーザディレクトリアダプタUDAのみが空間Aのログインを受付可能であってもよい。
空間Aが空間Bにログインすると、両空間A,Bが統合されるが、以下で説明するように、空間統合には、空間結合と空間融合とがある。
【0028】
[空間結合について]
図7に示すように、空間Aの空間管理サーバSS−Aが、空間結合のために空間Bの空間管理サーバSS−Bにログインを行って、ログインが成功すると、空間Bからは空間Aに対して空間Bの利用権限を示すcapabilityオブジェクトが発行され、結合空間A−Bが構成される。
図8に示すように、空間結合が行われると、空間Aの全ユーザは、空間Aが持つ「空間Bの利用権限」の範囲内で空間Bのサービスを利用することができる。このとき、空間Aのユーザは、空間Bにログインしている必要はない。すなわち、結合空間A−Bが構成されているため、空間Aのユーザは、空間Aにログインするだけで、空間Bのサービスを利用可能となる。
なお、空間結合では、空間Aのユーザは、空間結合で取得した空間Bの利用権限を用いて空間Bのサービスを利用するため、空間Aのユーザが利用できる空間Bのサービスは、空間Aの全ユーザ間で同じである。
【0029】
このような空間結合は、空間Aを管理する組織A1と、空間Bを管理する組織B1とが存在し、両組織ではユーザ管理が異なる場合に、両空間のサービスを協調させたサービス(例えば、両組織A1,B1間での遠隔会議サービスなど)を実行する場合に適している。遠隔会議サービスの場合、組織A1のユーザは、空間Aにログインするだけで、空間B側のサービス(テレビカメラ、マイク、共有ホワイトボードなどの操作)を行うことができる。
また、空間結合は、携帯電話キャリアの有するモバイルネットワークでのサービスと、警備保安コンピュータシステムでのサービスを結びつけるといった使い方もできる。例えば、モバイルネットワークでのサービスを管理する空間管理サーバSSを設けて空間Aを構築し、警備保安コンピュータシステムでのサービスを管理する空間管理サーバSSを設けて空間Bを構築して、空間結合によって両空間を結合し、両空間のサービスを協調利用させることもできる。
このように、空間管理サーバSSによって空間を構築することで、モバイルネットワークと警備保安コンピュータシステムという管理主体の異なる空間を結び付けることが可能である。
なお、後述の空間融合は、小さな空間を大きな空間に従属的に統合させるのに適しているのに対し、空間結合は、(同程度の規模の)空間を対等に統合するのに適している。
【0030】
ここで、空間結合には、空間A,Bが相互にログインしている双方向結合と、どちらか一方のみがログインしている単方向結合が存在する。双方向結合がなされている場合、いずれの空間のユーザも、他方の空間のサービスを利用することができる。一方、単方向結合の場合、例えば、空間Aが空間Bに単方向結合した場合(図7,図8の場合)、空間Aのユーザは、空間Bのサービスを利用できるが、空間Bのユーザは、空間Aのサービスは利用できない。
このため、遠隔会議サービスのケースでは、双方向結合の状態で利用するのが好ましい。
【0031】
図9は、空間Aが空間Bにログインする空間結合時の処理動作を示している。空間の結合は、空間(空間管理サーバSS)の管理者(空間Aにおける管理者権限を持つ者)が、両空間のサービスを協調させたサービスを行おうとするときなどに発生する。
まず、空間Aの空間管理サーバSS−Aが、空間Bの空間管理サーバSS−Bへのログインを行う(1:ログイン)。すると、空間Bの空間管理サーバSS−Bは、当該空間Bの統合ユーザディレクトリIUDにログイン処理委託を行う(1.1:ログイン処理委託)。統合ユーザディレクトリIUDは、接続されているユーザディレクトリアダプタUDAに対して、空間Aのためのログイン処理を順次行う。
例えば、第1のユーザディレクトリアダプタUDA−1が、空間Aのログインを認めない場合には、第1ユーザディレクトリアダプタUDA−1に対するログイン処理(1.1.1:ログイン処理)は失敗し、失敗したことが統合ユーザディレクトリIUDに返される。
【0032】
続いて、統合ユーザディレクトリIUDは、第2のユーザディレクトリアダプタUDA−2に対するログイン処理(1.1.2:ログイン処理)に移行する。第2ユーザディレクトリアダプタUDA−2が、空間Aのログインを認める場合には、当該アダプタUDA−2に対するログイン処理は成功し、capabilityオブジェクトが統合ユーザディレクトリIUDに渡される。
統合ユーザディレクトリIUDは、同様のログイン処理を当該空間B内のすべてのユーザディレクトリアダプタUDAに対して行う。そして、得られたcapabilityオブジェクトが一つの場合には、当該capabilityオブジェクトはそのまま空間管理サーバSS−Bを介して空間Aの空間管理サーバSS−Aに渡される。
得られたcapabilityオブジェクトが複数の場合には、capability-ring(capabilityオブジェクトの束)を作成し、これを一つのcapabilityオブジェクトとして、空間管理サーバSS−Bを介して空間Aの空間管理サーバSS−Aに渡される。
【0033】
以上の処理によって、空間Aが空間Bに結合(単方向結合)した状態となり、空間Aのユーザは、空間Aのサービスだけでなく、空間Bのサービスも利用可能となる。
なお、双方向結合を実現する場合には、上記と同様のログインを、空間Bが空間Aに対して行えばよく、これにより、空間Bは空間Aからcapabilityオブジェクトを取得できる。
【0034】
図10には、空間結合状態において、空間Aのユーザが空間Bのサービスを利用する際の処理動作を示している。
まず、空間Aのユーザ(ユーザ端末)は、空間Aの空間管理サーバSS−Aに対し、空間Bのサービス利用要求を行う(1:空間Bサービス利用要求)。ユーザからの利用要求を受けた空間Aの空間管理サーバSS−Aは、空間Bの空間管理サーバSS−Bに対して、サービス利用要求を行うとともに、ログイン処理によって得たcapabilityオブジェクト(空間Bの利用権限)を提示する(1.1)。
【0035】
すると、利用権限を有する空間からのサービス利用要求であることが確認されると、空間Bの空間管理サーバSS−Bは、空間Bの統合サービスディレクトリISDに対して、要求されているサービスの検索を実行させる(1.1.1)。要求されているサービスが見つかると、統合サービスディレクトリISDは、当該サービスを管理するサービスディレクトリアダプタSDAに対して、空間Aの持つ利用権限内でサービス取得処理を行う(1.1.1.1)。
サービス取得処理に際して、当該サービスディレクトリアダプタSDAは、空間Aのユーザがサービスを利用するためのサービス制御ハンドラ(proxy)を生成し、空間Bの空間管理サーバSS−B及び空間Aの空間管理サーバSS−Aを介して、空間Aのユーザ(ユーザ端末)に送信する。サービス制御ハンドラを得た空間Aのユーザは、当該サービス制御ハンドラを用いて、空間Bのサービスを利用することができる(2:サービス制御ハンドラ(proxy)を利用して制御)。
以上は、単方向結合の場合のサービス利用処理であるが、双方向結合の場合、同様の処理によって、空間Bのユーザも空間Aのサービスを利用できる。
【0036】
[空間融合について]
図11に示すように、空間融合も、空間結合と同様に、空間Aが空間Bにログインすることによって実行される。
空間Aの空間管理サーバSS−Aが、空間融合のために空間Bの空間管理サーバSS−Bにログインを行って、ログインが成功すると、空間Bからは空間Aに対して、融合していることの認証用のcapabilityオブジェクトが発行され、融合空間B−Aが形成される。なお、融合のためのログイン処理も、結合と融合という目的が異なる他は、図9に示す結合のためのログイン処理と同様である。
【0037】
融合空間B−Aは、空間Aが空間Bの一部となって一体化し空間Bが拡大したものである。すなわち、空間融合時においては、空間Aのユーザ情報及びサービス情報は、空間Bの空間管理サーバSSによっても管理され、空間Aは空間Bの一部となって実質的に消えた状態となっており、空間B(融合空間B−A)は空間Aの分だけ拡大したものとなっている。
【0038】
このような空間融合は、一つの空間Aを構成していて運び可能なコンピュータ(ノートPC等)が、無線によって通信可能に構成された他の比較的大きな空間B(建物又は部屋等)の通信可能領域内に入った場合に、当該ノートPCによる空間Aを当該他の空間Bに融合させて、ノートPCを含む融合空間A−Bを形成し、空間B内において利用可能なサービスに、ノートPCによるサービスを含めたい場合に適している。
【0039】
融合空間B−Aにおいては、空間Aのユーザも空間Bのユーザも、一定の制限の下で、融合空間B−Aのサービス(空間Bのサービスに空間Aのサービスを加えたもの)を利用できる。また、融合には、空間Bが空間Aの全サービス情報・全ユーザ情報を統合している「完全融合」と、一部のサービス及び/又は一部のユーザ情報を統合している「部分融合」とが存在する。
なお、サービス情報及び/又はユーザ情報の統合は、空間Aが空間Bにログインした際に行われる。
【0040】
融合状態において、空間Aのユーザ及び空間Bのユーザは、少なくともゲスト権限で両空間A,Bのサービスを利用できるが、実際には、あるユーザが利用可能なサービスは、空間A,Bのそれぞれのユーザ情報に、当該ユーザがどのように既述されているかによって異なる。
この点を、ノートPCによる小さな空間Aを他の大きな空間に融合させた場合を例に説明すると、図12に示すようになる。ここで、ノートPCによって構成される小さな空間AのユーザU1は、当該空間Aの管理者(管理者権限を有するユーザ)であるものとする。また、ユーザU1は、大きな空間Bの一般ユーザでもあるものとする。
そして、空間Aのユーザ情報には、ユーザU1は当該空間Aの管理者である(「管理者@空間A」という)ことが記述されている他、ユーザU1は空間Bの一般ユーザである(一般ユーザ@空間Bという)ことも記述されている。通常は、空間AのあるユーザディレクトリアダプタUDAのユーザ情報として「管理者@空間A」が記述され、空間Aの他のユーザディレクトリアダプタUDAのユーザ情報として「一般ユーザ@空間B」が記述される。
さらに、空間Bのユーザ情報にも、空間Aと同様に、「一般ユーザ@空間B」と「管理者@空間A」が記述されている。
【0041】
ユーザU1が、融合空間B−Aに対してログインする場合、実際には、拡大した空間Bにログインすることになる。そして、ユーザU1は、空間Bにおいて、「一般ユーザ@空間B」及び「管理者@空間A」としてユーザ情報に記述されているため、(a)空間Bの一般ユーザの権限で空間Bにログイン、(b)空間Aの管理者の権限でログイン、(c)「一般ユーザ@空間B」及び「管理者@空間A」の両方の権限でログイン、することが可能である。
どの権限でログインするかは、具体的にはユーザ情報が記述されているユーザディレクトリアダプタUDAを選択することによって行われる。
すなわち、「一般ユーザ@空間B」が記述されている空間BのアダプタUDAだけを選択してログインすれば、上記(a)のログインとなり、この場合、(融合前の)空間Bのサービスは一般ユーザ権限で利用でき、空間Aのサービスはゲスト権限で利用できる。
また、「管理者@空間A」が記述されている空間BのアダプタUDAだけを選択してログインすれば、上記(b)のログインとなり、この場合、(融合前の)空間Bのサービスはゲスト権限で利用でき、空間Aのサービスは管理者権限で利用できる。
このように、融合空間では、ログインしてもいずれかの空間(空間A,B)に利用権限が設定されていない場合があるが、この場合でも、ゲスト権限で利用できる。
なお、ゲスト権限で利用可能なサービスは、融合によって外部に公開可能なサービスとしてあらかじめ各空間に設定されている。
【0042】
多くの場合、ユーザU1は、自らが管理者である空間Aと、一般ユーザである空間Bを一体化させて利用したいものであるから、上記(c)のログインとなるように、「一般ユーザ@空間B」が記述されているアダプタUDAと「管理者@空間A」が記述されているアダプタUDAの双方を選択してログインする。この場合、(融合前の)空間Bのサービスは一般ユーザ権限で利用でき、空間Aのサービスは管理者権限で利用できる。
【0043】
上記(c)のログインを行うことで、例えば、ノートPCによる小さい空間Aの管理者U1は、当該空間Aを建物規模の大きな空間Bに融合させて融合空間B−Aを形成し、当該融合空間B−A内で、ノートPC(空間A)を利用することができる。
より具体的には、空間Bがサービスとしてディスプレイ表示を含む場合に、U1は、融合空間B−A内で、管理者権限でノートPC(空間A)のサービスである画像データベースにアクセスして、画像をディスプレイ表示させるといった協調処理を行うことができる。
【0044】
なお、空間Aの管理者(ユーザ)でない空間Bの一般ユーザU2が、融合空間B−Aにログインする場合、上記(b)と同様のログインとなり、(融合前の)空間Bのサービスを一般ユーザ権限で利用でき、空間Aのサービスをゲスト権限で利用できる。
【0045】
また、空間Aと空間Bが融合する前に、管理者U1が空間Aにログインしており、その後、空間Aと空間Bが融合した場合、U1が空間Aの管理者権限だけで空間Aにログインしている場合、U1は空間Aのサービスに関しては管理者権限で利用できるが、(融合前の)空間Bのサービスはゲスト権限でしか利用できない。ただし、予め、U1が空間Aの管理者権限と、空間Bの一般ユーザ権限でログインしていれば、(融合前の)空間Bのサービスも一般ユーザ権限で利用可能である。
【0046】
図13は、空間融合時における、空間Bの一般ユーザが、融合空間B−Aのサービス一覧の要求処理を示している。空間Bのユーザが、融合空間B−A(空間B)の空間管理サーバSS−Bに対してサービス一覧取得要求をおこなうと(1:サービス一覧取得要求)、空間管理サーバSS−Bは、(融合前の)空間Bの統合サービスディレクトリISDと、空間Aの統合サービスディレクトリISDに対して、サービス一覧取得を行う(1.1:サービス一覧取得、1.2:サービス一覧取得)。
それぞれのディレクトリISDからサービス一覧が返信されると、空間管理サーバSS−Bは、サービス一覧取得結果を合成し(1.3:取得結果を合成)、空間Bのユーザに返す。このように、ユーザからみると、融合空間B−Aは空間Bが空間Aの分だけサービスが拡大した空間として認識される。
したがって、空間Bのユーザは、融合によって取り込まれた空間Aのサービスも、空間Bにおいて元々提供されるサービスと同様に利用することができる。このとき、空間Bのユーザからみると、空間Aの存在は隠蔽しつつ、空間Aのサービスを利用可能な状態となる。すなわち、空間Aのサービスは、空間Bのサービスの一部としてみなされることとなる。
【0047】
[空間分離について]
空間分離は、空間結合又は空間融合している空間同士を分離させるための処理である。例えば、空間Aが空間Bにログインして空間Aが空間Bに融合している場合、図14のように空間A側からログアウト要求がなされると、空間融合状態が解消される。
ログアウト要求は、空間結合により稼働させていた両空間の協調サービスを終了し、しばらくそのようなサービスを利用することがなくなったときに行うことができる。
また、一つの空間Aを構成していて運び可能なコンピュータ(ノートPC等)が、無線によって通信可能に構成された他の比較的大きな空間Bの通信可能領域内に入ることで空間Aが空間Bに融合している場合に、ノートPCをもって空間Bの通信可能領域外へ退席することが認識された場合にも、ログアウト要求を行うことができる。
また、上記のような空間A側から明示のログアウト要求がない場合であっても、図15に示すように、空間B側から空間Aキープアライブ確認がなされ(1:キープアライブ確認)、空間A側から応答を得ることによってログインした空間Aの存在確認をとることができるが、空間A側から一定時間応答がなければ、空間Bは、タイムアウトとして、空間Aを強制的に分離することもできる(2:強制分離)。
【0048】
融合分離が行われると、空間Bの空間管理サーバSS−Bは、分離された空間Aのユーザ情報及びサービス情報を削除し、もともの空間Bにおいて利用可能なサービスのみが利用可能となる(分離後の整合性保持処理)。また、空間Aの管理者又はユーザ権限では空間Bにログインできなくなる。
【0049】
なお、本発明は、上記実施形態に限定されるものではなく、本発明の趣旨に反しない範囲で、様々な変形が可能である。
【図面の簡単な説明】
【0050】
【図1】空間の構成図である。
【図2】ユーザによる空間へのログインを示す図である。
【図3】空間から空間へのログインを示す図である。
【図4】キーのデータ構造図である。
【図5】キーリングとその利用を示す図である。
【図6】capability-ringとその利用を示す図である。
【図7】空間結合のためのログインを示す図である。
【図8】空間結合状態を示す図である。
【図9】空間結合のためのログイン処理の手順を示す図である。
【図10】空間結合時のサービス利用手順を示す図である。
【図11】空間融合のためのログインを示す図である。
【図12】空間融合状態を示す図である。
【図13】空間融合時のサービス一覧要求処理手順を示す図である。
【図14】分離処理(ログアウト)を示す図である。
【図15】強制分離処理を示す図である。
【符号の説明】
【0051】
A サービス提供空間
B サービス提供空間
SS 空間管理サーバ
【技術分野】
【0001】
本発明は、複数のサービス提供空間統合方法等に関するものである。
【背景技術】
【0002】
特許文献1には、さまざまなデバイスに付帯する通信手段と資源情報管理手段を持つ資源識別機構と、資源識別機構の通信手段と通信する通信手段と、局所的空間管理手段と所属資源管理手段と局所的利用権管理手段とアプリケーション管理手段を持つ局所的管理機構を持ち、ユーザが局所的空間内に存在する資源を利用することを可能とする資源管理システムが開示されている。
この資源管理システムによれば、ネットワーク上に存在するさまざまなデバイスやサービス、コンテンツに対する利用権を、動的に個々の利用者に対して提供することが可能となり、また、利用権の発行に対し、本人の認定や利用権の発行までひとつひとつのプロセスを経ず即時の利用権発行を可能とすることができる。
【特許文献1】特開平2003−162464号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
特許文献1に記載のものでは、ユーザが他の空間にあるサービスを利用する際には、当該他の空間のサービス利用権を登録しておき、他の空間のサービスを利用するには、ユーザが当該他の空間にログインする必要がある。
しかし、特許文献1には、空間同士を統合して利用することは記載されていない。
本発明は、複数のサービス提供空間を統合してサービスを利用可能とするための手段を提供することを目的とする。
【課題を解決するための手段】
【0004】
本発明は、複数のサービス提供空間を統合するための方法であって、サービス提供空間内で提供されるサービスの情報及び空間を利用可能なユーザの情報を管理する空間管理サーバが、他のサービス提供空間の空間管理サーバへログインするステップを含み、前記ログイン中においてはサービス空間同士が統合されて、一方のサービス提供空間のユーザが、他方のサービス提供空間のサービスを所定の利用権限内で利用可能となる、ことを特徴とするものである。
【0005】
上記方法によれば、ある空間の空間管理サーバが、他の空間の空間管理サーバへログインして、空間同士が統合されることで、ユーザは、一方のサービス提供空間へのログインを行えば、他方のサービス提供空間への直接的なログインをしなくとも、当該他方のサービス提供空間のサービスを所定の利用権限内で利用可能となる。
すなわち、個々のユーザが他の空間にログインしなくとも、空間管理サーバが他の空間にログインして空間統合が行われるため、他の空間のサービスを利用することができる。
【0006】
前記ログインは、他のサービス提供空間の空間管理サーバへログインした空間管理サーバのユーザが、当該空間管理サーバが取得した利用権限内で、他のサービス提供空間のサービスを利用可能とする空間結合のためのログインであるのが好ましい。
また、前記ログインは、空間管理サーバのサービス情報及びユーザ情報の管理を、他のサービス提供空間の空間管理サーバによって行わせる空間融合のためのログインであってもよい。
【0007】
コンピュータシステムに係る本発明は、複数のサービス提供空間統合のためのコンピュータシステムであって、各サービス提供空間は、当該空間内で提供されるサービスの情報、及び空間を利用可能なユーザの情報を管理する空間管理サーバによって管理されるものであり、サービス提供空間内で提供されるサービスの情報及び空間を利用可能なユーザの情報を管理する空間管理サーバが、他のサービス提供空間の空間管理サーバへログインする手段を備え、前記ログイン中においてはサービス空間同士が統合されて、一方のサービス提供空間のユーザが、他方のサービス提供空間のサービスを所定の利用権限内で利用可能となる、ことを特徴とするものである。
【0008】
空間管理サーバに係る本発明は、空間を管理するための空間管理サーバであって、空間内で提供されるサービスの情報を管理する手段と、空間を利用可能なユーザの情報を管理する手段と、一方のサービス提供空間のユーザが、他方のサービス提供空間のサービスを所定の利用権限内で利用可能となる空間統合状態を得るために、他のサービス提供空間の空間管理サーバへログインする手段とを備えていることを特徴とするものである。
【0009】
コンピュータプログラムに係る本発明は、コンピュータを空間管理サーバとして機能させるためのコンピュータプログラムであって、空間内で提供されるサービスの情報を管理する機能、空間を利用可能なユーザの情報を管理する機能、他のサービス提供空間の空間管理サーバへログインして、空間同士を統合し、一方のサービス提供空間のユーザが、他方のサービス提供空間のサービスを所定の利用権限内で利用可能となるようにする機能、をコンピュータに実行させるためのものである。
【発明の効果】
【0010】
本発明によれば、空間管理サーバが他の空間にログインして空間統合が行われるため、ユーザは、一方のサービス提供空間へのログインを行えば、他方のサービス提供空間への直接的なログインをしなくとも、当該他方のサービス提供空間のサービスを所定の利用権限内で利用可能となる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の好ましい実施形態を図面に基づいて説明する。
[空間管理サーバの概略]
図1は、サービス提供空間(以下、「空間」という)の空間管理・統合に用いられる空間管理サーバ(Space Server)SSの主な機能を示している。空間管理サーバSSは、空間のユーザ管理を行う機能と、空間のサービス管理を行う機能を有している。
なお、空間サーバは、コンピュータと、各機能をコンピュータに実行させるためのコンピュータプログラムとによって構成される。また、一つのコンピュータが複数の空間サーバとしての機能を有していても良い。
【0012】
空間は、空間管理情報としてユーザ管理情報と、サービス管理情報とを有している。
空間管理サーバSSは、空間のユーザ管理のために、ユーザディレクトリアダプタ(User Directory Adapter)UDAと、統合ユーザディレクトリ(Integrated User Directory)IUDと、を備えている。
また、空間管理サーバSSは、空間のサービス管理のために、サービスディレクトリアダプタ(Service Directory Adapter)SDAと、統合サービスディレクトリ(Integrated Service Directory)ISDと、を備えている。
空間は、前記空間管理サーバSSによって管理される範囲をいい、具体的には図1に示すように統合ユーザディレクトリIUDと統合サービスディレクトリISDによって管理される範囲をいう。
なお、空間は、物理的制約にとらわれるものではない。例えば、空間は、コンピュータネットワーク上において、部屋を跨って構築されたもの、一つの部屋のみに構築されたもの、ノートPCのみで構築されているもの、又は国を跨って構築されたものであってもよい。
【0013】
ここでは、空間が提供するサービスを利用するために認証されることを「ログイン」といい、ログインが成功した場合のみ、空間が提供するサービスが利用可能になる。
空間へのログインの主体は、ユーザ又は空間である。図2に示すように、ユーザが空間にログインした場合、ユーザは当該空間において提供されるサービスが利用可能となる。
本発明では、空間にはユーザがログインすることができる他、図3に示すように、ある空間Aが他の空間Bにログインすることもできる。
すなわち、空間は、ユーザ又は他の空間からのログインを受け付ける機能と、他の空間へログインするための機能を有している。
【0014】
[ユーザ管理について]
空間のユーザ管理は、空間管理サーバSSのユーザディレクトリアダプタUDAと、統合ユーザディレクトリIUDと、によって行われる。
ここで、ユーザ情報は、個々のユーザ自身が持つユーザ固有の情報として定義されている。ユーザ情報は、例えば、ユーザ名を主キーとするレコード単位で保持されている。
ユーザ情報の例としては、Unix(登録商標)のユーザアカウント情報、NIS(Network Information Service)によるユーザアカウント情報、LDAP(Lightweight Directory Access Protocol)により管理されている情報、MySQLにより管理されている情報、一般的なDBMS(DataBase Management System)により管理されている情報などがある。また、ユーザ情報としては、ログインに必要なユーザ名とパスワードを含むのが好ましいが、虹彩情報などのバイオメトリクス認証のための情報、又はその他の情報であってもよい。
【0015】
上記のようにユーザ情報が保持されている媒体(実装環境)には、様々なものがあるため、前記ユーザディレクトリアダプタUDAは、ユーザ情報を保持している媒体間の差異を吸収・隠蔽して、統一的に利用可能とするものである。
また、ユーザディレクトリアダプタUDAは、必要に応じて前記統合サービスディレクトリISDを介して、ユーザ又は他の空間管理サーバSSからのログインを受け付けるログイン処理機能を有している。
【0016】
空間へのログインは、ユーザディレクトリアダプタへログインするためのキー(key)又はキーリング(key-ring)を空間へ提示することによって行われる。図4に示すように、キーは、空間内におけるログイン対象のユーザディレクトリアダプタUDAを特定するための情報(対象UDA特定情報)、ユーザディレクトリアダプタUDAにログインするための情報(ログイン情報)と、を含んで構成されている。
ログイン情報は、前記ユーザ情報に対応するものであり、例えば、ユーザ情報としてユーザ名とパスワードを持つユーザディレクトリアダプタUDAに対するログイン情報としては、ユーザ名とパスワードとなる。
ログイン主体(ログインしようとするユーザ又は空間)から、空間管理サーバSSにキーが提示されると、空間管理サーバSSは、配下のユーザディレクトリアダプタUDAに対してログイン処理を試み、キーの対象UDA特定情報によって特定されるユーザディレクトリアダプタUDAに対するログインを試みる。
【0017】
また、キーリングは、複数のキー(key1,key2,key3)をまとめたものをいう(図5参照)。キーリングは、ログイン対象の特定の空間のみが利用可能な状態に加工された特化キーリングとされており、ログイン主体は、この特化キーリングをログイン対象の空間管理サーバSSに提示してログインを行う。なお、キーリングを用いたログイン処理については後述する。
【0018】
ユーザディレクトリアダプタUDAは、ログインに成功したログイン元へcapabilityオブジェクトを発行する機能も有している。
capabilityオブジェクトは、ユーザディレクトリアダプタUDAにおいてログイン処理が成功した場合に生成され、ログインを行ったユーザ又は空間に与えられる一時オブジェクトである。このcapabilityオブジェクトには、当該オブジェクトを生成したアダプタUDAを特定する情報(アドレス等)が含まれており、当該オブジェクトを生成したアダプタUDAに対して利用可能なものである。
capabilityオブジェクトは、これを持つユーザ又は空間管理サーバSSが、当該capabilityオブジェクトを、発行した空間の空間管理サーバSSに提示することにより、当該空間Sのサービスを利用可能とするために用いられたり、ログインした空間とログインされた空間間での認証のため等に用いられたりする。
なお、ユーザディレクトリアダプタは、ログイン等のための統一的な方法を提供しているだけであるから、NISなどの一般的なものではなく、ユーザディレクトリアダプタUDAの機能を備えたものを採用すれば、別途ユーザディレクトリアダプタUDAを用いる必要はない。
【0019】
統合ユーザディレクトリIUDは、複数のユーザディレクトリアダプタを統合して管理する機能を有している。図1に示すように、統合ユーザディレクトリIUDは、複数のユーザディレクトリアダプタを階層的に統合して管理することができる。
統合ユーザディレクトリIUDが図1のように階層的に構築されている場合、上位の統合ユーザディレクトリIUDからは、下位の統合ユーザディレクトリIUDもひとつのユーザディレクトリアダプタUDAとして認識される。
すなわち、図1の上位の統合ユーザディレクトリIUDからは、3つのユーザディレクトリアダプタUDA(LDAPにつながるUDA、MySQLにつながるUDA、UDAとみなされる下位のIUD)が存在するものとして認識され、5つのアダプタUDAがあっても、これら3つのアダプタUDAを意識した処理を行えばよく、上位の統合ユーザディレクトリの処理の軽減が図られている。
なお、2つのNISにつながるユーザディレクトリアダプタUDAに対する処理は、下位の統合ユーザディレクトリIUDによって行われる。
【0020】
統合ユーザディレクトリIUDは、前記ログイン処理の際に、接続されている全てのアダプタUDAに対してログインを試みる複合ログイン機能を有している。すなわち、ログイン主体から、空間管理サーバSSに対してキーの提示を伴う当該空間へのログイン要求がなされた場合、統合ユーザディレクトリIUDは、接続されているアダプタUDAに対して順番にログイン処理を試みる。このように、統合ユーザディレクトリIUDは、接続されているユーザディレクトリアダプタUDA間での利用順序などのコントロールを行うことができる。
また、ログイン主体から、空間管理サーバSSに対してキーリングが提示されると、空間管理サーバSSは、配下の統合ユーザディレクトリIUDは、接続されているユーザディレクトリアダプタUDAに対するログイン処理を試み、キーリングに含まれる各キーの各対象UDA特定情報によって特定される各ユーザディレクトリアダプタUDAに対するログインが成功する。
【0021】
統合ユーザディレクトリIUDは、ログインが成功したアダプタUDAからcapabilityオブジェクトを受け取る。
複数のアダプタUDAに対するログインが成功し、統合ユーザディレクトリIUDが、複数のアダプタUDAからcapabilityオブジェクトを受け取った場合、統合ユーザディレクトリIUDは、複数のcapabilityオブジェクトの集合体としてのcapability-ring(図6参照)を生成する。このcapability-ringは、通常のユーザcapabilityオブジェクトと同様に、ユーザ又は他の空間の空間管理サーバSSに送られる。
capability-ringは、一つのcapabilityオブジェクトとして取り扱われ、複数のcapabilityオブジェクトを一つにまとめることで、一度に取り扱うcapabilityオブジェクトの数が抑制される。このように、統合ユーザディレクトリIUDは、複数のアダプタUDAから得た情報を統合する機能を有している。
なお、capability-ringは、当該capability-ringが生成された空間を特定する情報を含むことなどにより、当該空間のみで利用可能となるように特化された状態に加工された上で、当該空間Sへ送られる。
【0022】
なお、統合ユーザディレクトリIUDは、ユーザ情報に対するアクセスコントロールを行う機能も有している。
【0023】
[サービス管理について]
空間のサービス管理は、空間管理サーバSSのサービスディレクトリアダプタSDAと、統合サービスディレクトリISDと、によって行われる。
ここで、サービスは、空間が提供する処理の最小の単位であり、その例としては、WebDAV(Distributed Authoring and Versioning protocol for the WWW)によるファイルシステムのマウントや照明の照度調整サービスなどのことを指す。また、複数のサービスを統合して一つのサービスを提供している場合には、その複合されたものも一つのサービスとして取り扱われる。
サービスの制御は、Jini Lookup service、SOAP(Simple Object Access Protocol)、CORBA(Common Object Request Broker Architecture)などによって行われるが、サービスディレクトリアダプタSDAは、このようなサービスの実装を隠蔽し、統一的なサービス利用を可能とするものである。
【0024】
統合サービスディレクトリISDは、統合ユーザディレクトリIUDと同様に、サービスディレクトリSDAを階層的に統合して管理する機能を有している(図1参照)。
また、統合サービスディレクトリISDは、その空間で提供可能なサービスの情報、サービスの種類、及びサービスに対するアクセスコントロールなどを提供する機能を有している。
【0025】
[空間管理サーバの空間認識機能]
空間管理サーバSSは、コンピュータネットワーク上において、他に存在する空間を認識する機能を有している。なお、各空間(空間管理サーバSS)は、アドレスを有しており、空間は、ネットワーク上において、当該アドレスによって特定される。
空間認識としては、近隣のアドレス等に対するブロードキャストベースの空間探索、特定範囲に対するマルチキャスト、認識済みの空間へのユニキャストベースの問い合わせが行える。このような空間認識機能によって、後述の空間統合(結合・融合)の相手先空間を検索・認識することが可能である。
【0026】
[空間統合について]
ここでは、二つの空間Aと空間Bが存在する場合、一方の空間(空間A)が他方の空間(空間B)に対してログイン権限を持っており、ログインに成功している状態を、「空間Aと空間Bは統合されている」と表現する。
各空間A,Bは、管理主体が異なってもよいものである。空間統合は、管理主体が異なっても良い空間をセキュアに協調させるためのものである。
【0027】
空間Aが空間Bにログインするために、空間Aの空間管理サーバSS−Aは、空間Bにログインするためのキー又はキーリングを有している。また、空間Bは、ユーザ情報として「空間A」を有している。なお、空間BのすべてユーザディレクトリアダプタUDAが空間Aのログインを受付可能であってもよいし、空間Bの一部のユーザディレクトリアダプタUDAのみが空間Aのログインを受付可能であってもよい。
空間Aが空間Bにログインすると、両空間A,Bが統合されるが、以下で説明するように、空間統合には、空間結合と空間融合とがある。
【0028】
[空間結合について]
図7に示すように、空間Aの空間管理サーバSS−Aが、空間結合のために空間Bの空間管理サーバSS−Bにログインを行って、ログインが成功すると、空間Bからは空間Aに対して空間Bの利用権限を示すcapabilityオブジェクトが発行され、結合空間A−Bが構成される。
図8に示すように、空間結合が行われると、空間Aの全ユーザは、空間Aが持つ「空間Bの利用権限」の範囲内で空間Bのサービスを利用することができる。このとき、空間Aのユーザは、空間Bにログインしている必要はない。すなわち、結合空間A−Bが構成されているため、空間Aのユーザは、空間Aにログインするだけで、空間Bのサービスを利用可能となる。
なお、空間結合では、空間Aのユーザは、空間結合で取得した空間Bの利用権限を用いて空間Bのサービスを利用するため、空間Aのユーザが利用できる空間Bのサービスは、空間Aの全ユーザ間で同じである。
【0029】
このような空間結合は、空間Aを管理する組織A1と、空間Bを管理する組織B1とが存在し、両組織ではユーザ管理が異なる場合に、両空間のサービスを協調させたサービス(例えば、両組織A1,B1間での遠隔会議サービスなど)を実行する場合に適している。遠隔会議サービスの場合、組織A1のユーザは、空間Aにログインするだけで、空間B側のサービス(テレビカメラ、マイク、共有ホワイトボードなどの操作)を行うことができる。
また、空間結合は、携帯電話キャリアの有するモバイルネットワークでのサービスと、警備保安コンピュータシステムでのサービスを結びつけるといった使い方もできる。例えば、モバイルネットワークでのサービスを管理する空間管理サーバSSを設けて空間Aを構築し、警備保安コンピュータシステムでのサービスを管理する空間管理サーバSSを設けて空間Bを構築して、空間結合によって両空間を結合し、両空間のサービスを協調利用させることもできる。
このように、空間管理サーバSSによって空間を構築することで、モバイルネットワークと警備保安コンピュータシステムという管理主体の異なる空間を結び付けることが可能である。
なお、後述の空間融合は、小さな空間を大きな空間に従属的に統合させるのに適しているのに対し、空間結合は、(同程度の規模の)空間を対等に統合するのに適している。
【0030】
ここで、空間結合には、空間A,Bが相互にログインしている双方向結合と、どちらか一方のみがログインしている単方向結合が存在する。双方向結合がなされている場合、いずれの空間のユーザも、他方の空間のサービスを利用することができる。一方、単方向結合の場合、例えば、空間Aが空間Bに単方向結合した場合(図7,図8の場合)、空間Aのユーザは、空間Bのサービスを利用できるが、空間Bのユーザは、空間Aのサービスは利用できない。
このため、遠隔会議サービスのケースでは、双方向結合の状態で利用するのが好ましい。
【0031】
図9は、空間Aが空間Bにログインする空間結合時の処理動作を示している。空間の結合は、空間(空間管理サーバSS)の管理者(空間Aにおける管理者権限を持つ者)が、両空間のサービスを協調させたサービスを行おうとするときなどに発生する。
まず、空間Aの空間管理サーバSS−Aが、空間Bの空間管理サーバSS−Bへのログインを行う(1:ログイン)。すると、空間Bの空間管理サーバSS−Bは、当該空間Bの統合ユーザディレクトリIUDにログイン処理委託を行う(1.1:ログイン処理委託)。統合ユーザディレクトリIUDは、接続されているユーザディレクトリアダプタUDAに対して、空間Aのためのログイン処理を順次行う。
例えば、第1のユーザディレクトリアダプタUDA−1が、空間Aのログインを認めない場合には、第1ユーザディレクトリアダプタUDA−1に対するログイン処理(1.1.1:ログイン処理)は失敗し、失敗したことが統合ユーザディレクトリIUDに返される。
【0032】
続いて、統合ユーザディレクトリIUDは、第2のユーザディレクトリアダプタUDA−2に対するログイン処理(1.1.2:ログイン処理)に移行する。第2ユーザディレクトリアダプタUDA−2が、空間Aのログインを認める場合には、当該アダプタUDA−2に対するログイン処理は成功し、capabilityオブジェクトが統合ユーザディレクトリIUDに渡される。
統合ユーザディレクトリIUDは、同様のログイン処理を当該空間B内のすべてのユーザディレクトリアダプタUDAに対して行う。そして、得られたcapabilityオブジェクトが一つの場合には、当該capabilityオブジェクトはそのまま空間管理サーバSS−Bを介して空間Aの空間管理サーバSS−Aに渡される。
得られたcapabilityオブジェクトが複数の場合には、capability-ring(capabilityオブジェクトの束)を作成し、これを一つのcapabilityオブジェクトとして、空間管理サーバSS−Bを介して空間Aの空間管理サーバSS−Aに渡される。
【0033】
以上の処理によって、空間Aが空間Bに結合(単方向結合)した状態となり、空間Aのユーザは、空間Aのサービスだけでなく、空間Bのサービスも利用可能となる。
なお、双方向結合を実現する場合には、上記と同様のログインを、空間Bが空間Aに対して行えばよく、これにより、空間Bは空間Aからcapabilityオブジェクトを取得できる。
【0034】
図10には、空間結合状態において、空間Aのユーザが空間Bのサービスを利用する際の処理動作を示している。
まず、空間Aのユーザ(ユーザ端末)は、空間Aの空間管理サーバSS−Aに対し、空間Bのサービス利用要求を行う(1:空間Bサービス利用要求)。ユーザからの利用要求を受けた空間Aの空間管理サーバSS−Aは、空間Bの空間管理サーバSS−Bに対して、サービス利用要求を行うとともに、ログイン処理によって得たcapabilityオブジェクト(空間Bの利用権限)を提示する(1.1)。
【0035】
すると、利用権限を有する空間からのサービス利用要求であることが確認されると、空間Bの空間管理サーバSS−Bは、空間Bの統合サービスディレクトリISDに対して、要求されているサービスの検索を実行させる(1.1.1)。要求されているサービスが見つかると、統合サービスディレクトリISDは、当該サービスを管理するサービスディレクトリアダプタSDAに対して、空間Aの持つ利用権限内でサービス取得処理を行う(1.1.1.1)。
サービス取得処理に際して、当該サービスディレクトリアダプタSDAは、空間Aのユーザがサービスを利用するためのサービス制御ハンドラ(proxy)を生成し、空間Bの空間管理サーバSS−B及び空間Aの空間管理サーバSS−Aを介して、空間Aのユーザ(ユーザ端末)に送信する。サービス制御ハンドラを得た空間Aのユーザは、当該サービス制御ハンドラを用いて、空間Bのサービスを利用することができる(2:サービス制御ハンドラ(proxy)を利用して制御)。
以上は、単方向結合の場合のサービス利用処理であるが、双方向結合の場合、同様の処理によって、空間Bのユーザも空間Aのサービスを利用できる。
【0036】
[空間融合について]
図11に示すように、空間融合も、空間結合と同様に、空間Aが空間Bにログインすることによって実行される。
空間Aの空間管理サーバSS−Aが、空間融合のために空間Bの空間管理サーバSS−Bにログインを行って、ログインが成功すると、空間Bからは空間Aに対して、融合していることの認証用のcapabilityオブジェクトが発行され、融合空間B−Aが形成される。なお、融合のためのログイン処理も、結合と融合という目的が異なる他は、図9に示す結合のためのログイン処理と同様である。
【0037】
融合空間B−Aは、空間Aが空間Bの一部となって一体化し空間Bが拡大したものである。すなわち、空間融合時においては、空間Aのユーザ情報及びサービス情報は、空間Bの空間管理サーバSSによっても管理され、空間Aは空間Bの一部となって実質的に消えた状態となっており、空間B(融合空間B−A)は空間Aの分だけ拡大したものとなっている。
【0038】
このような空間融合は、一つの空間Aを構成していて運び可能なコンピュータ(ノートPC等)が、無線によって通信可能に構成された他の比較的大きな空間B(建物又は部屋等)の通信可能領域内に入った場合に、当該ノートPCによる空間Aを当該他の空間Bに融合させて、ノートPCを含む融合空間A−Bを形成し、空間B内において利用可能なサービスに、ノートPCによるサービスを含めたい場合に適している。
【0039】
融合空間B−Aにおいては、空間Aのユーザも空間Bのユーザも、一定の制限の下で、融合空間B−Aのサービス(空間Bのサービスに空間Aのサービスを加えたもの)を利用できる。また、融合には、空間Bが空間Aの全サービス情報・全ユーザ情報を統合している「完全融合」と、一部のサービス及び/又は一部のユーザ情報を統合している「部分融合」とが存在する。
なお、サービス情報及び/又はユーザ情報の統合は、空間Aが空間Bにログインした際に行われる。
【0040】
融合状態において、空間Aのユーザ及び空間Bのユーザは、少なくともゲスト権限で両空間A,Bのサービスを利用できるが、実際には、あるユーザが利用可能なサービスは、空間A,Bのそれぞれのユーザ情報に、当該ユーザがどのように既述されているかによって異なる。
この点を、ノートPCによる小さな空間Aを他の大きな空間に融合させた場合を例に説明すると、図12に示すようになる。ここで、ノートPCによって構成される小さな空間AのユーザU1は、当該空間Aの管理者(管理者権限を有するユーザ)であるものとする。また、ユーザU1は、大きな空間Bの一般ユーザでもあるものとする。
そして、空間Aのユーザ情報には、ユーザU1は当該空間Aの管理者である(「管理者@空間A」という)ことが記述されている他、ユーザU1は空間Bの一般ユーザである(一般ユーザ@空間Bという)ことも記述されている。通常は、空間AのあるユーザディレクトリアダプタUDAのユーザ情報として「管理者@空間A」が記述され、空間Aの他のユーザディレクトリアダプタUDAのユーザ情報として「一般ユーザ@空間B」が記述される。
さらに、空間Bのユーザ情報にも、空間Aと同様に、「一般ユーザ@空間B」と「管理者@空間A」が記述されている。
【0041】
ユーザU1が、融合空間B−Aに対してログインする場合、実際には、拡大した空間Bにログインすることになる。そして、ユーザU1は、空間Bにおいて、「一般ユーザ@空間B」及び「管理者@空間A」としてユーザ情報に記述されているため、(a)空間Bの一般ユーザの権限で空間Bにログイン、(b)空間Aの管理者の権限でログイン、(c)「一般ユーザ@空間B」及び「管理者@空間A」の両方の権限でログイン、することが可能である。
どの権限でログインするかは、具体的にはユーザ情報が記述されているユーザディレクトリアダプタUDAを選択することによって行われる。
すなわち、「一般ユーザ@空間B」が記述されている空間BのアダプタUDAだけを選択してログインすれば、上記(a)のログインとなり、この場合、(融合前の)空間Bのサービスは一般ユーザ権限で利用でき、空間Aのサービスはゲスト権限で利用できる。
また、「管理者@空間A」が記述されている空間BのアダプタUDAだけを選択してログインすれば、上記(b)のログインとなり、この場合、(融合前の)空間Bのサービスはゲスト権限で利用でき、空間Aのサービスは管理者権限で利用できる。
このように、融合空間では、ログインしてもいずれかの空間(空間A,B)に利用権限が設定されていない場合があるが、この場合でも、ゲスト権限で利用できる。
なお、ゲスト権限で利用可能なサービスは、融合によって外部に公開可能なサービスとしてあらかじめ各空間に設定されている。
【0042】
多くの場合、ユーザU1は、自らが管理者である空間Aと、一般ユーザである空間Bを一体化させて利用したいものであるから、上記(c)のログインとなるように、「一般ユーザ@空間B」が記述されているアダプタUDAと「管理者@空間A」が記述されているアダプタUDAの双方を選択してログインする。この場合、(融合前の)空間Bのサービスは一般ユーザ権限で利用でき、空間Aのサービスは管理者権限で利用できる。
【0043】
上記(c)のログインを行うことで、例えば、ノートPCによる小さい空間Aの管理者U1は、当該空間Aを建物規模の大きな空間Bに融合させて融合空間B−Aを形成し、当該融合空間B−A内で、ノートPC(空間A)を利用することができる。
より具体的には、空間Bがサービスとしてディスプレイ表示を含む場合に、U1は、融合空間B−A内で、管理者権限でノートPC(空間A)のサービスである画像データベースにアクセスして、画像をディスプレイ表示させるといった協調処理を行うことができる。
【0044】
なお、空間Aの管理者(ユーザ)でない空間Bの一般ユーザU2が、融合空間B−Aにログインする場合、上記(b)と同様のログインとなり、(融合前の)空間Bのサービスを一般ユーザ権限で利用でき、空間Aのサービスをゲスト権限で利用できる。
【0045】
また、空間Aと空間Bが融合する前に、管理者U1が空間Aにログインしており、その後、空間Aと空間Bが融合した場合、U1が空間Aの管理者権限だけで空間Aにログインしている場合、U1は空間Aのサービスに関しては管理者権限で利用できるが、(融合前の)空間Bのサービスはゲスト権限でしか利用できない。ただし、予め、U1が空間Aの管理者権限と、空間Bの一般ユーザ権限でログインしていれば、(融合前の)空間Bのサービスも一般ユーザ権限で利用可能である。
【0046】
図13は、空間融合時における、空間Bの一般ユーザが、融合空間B−Aのサービス一覧の要求処理を示している。空間Bのユーザが、融合空間B−A(空間B)の空間管理サーバSS−Bに対してサービス一覧取得要求をおこなうと(1:サービス一覧取得要求)、空間管理サーバSS−Bは、(融合前の)空間Bの統合サービスディレクトリISDと、空間Aの統合サービスディレクトリISDに対して、サービス一覧取得を行う(1.1:サービス一覧取得、1.2:サービス一覧取得)。
それぞれのディレクトリISDからサービス一覧が返信されると、空間管理サーバSS−Bは、サービス一覧取得結果を合成し(1.3:取得結果を合成)、空間Bのユーザに返す。このように、ユーザからみると、融合空間B−Aは空間Bが空間Aの分だけサービスが拡大した空間として認識される。
したがって、空間Bのユーザは、融合によって取り込まれた空間Aのサービスも、空間Bにおいて元々提供されるサービスと同様に利用することができる。このとき、空間Bのユーザからみると、空間Aの存在は隠蔽しつつ、空間Aのサービスを利用可能な状態となる。すなわち、空間Aのサービスは、空間Bのサービスの一部としてみなされることとなる。
【0047】
[空間分離について]
空間分離は、空間結合又は空間融合している空間同士を分離させるための処理である。例えば、空間Aが空間Bにログインして空間Aが空間Bに融合している場合、図14のように空間A側からログアウト要求がなされると、空間融合状態が解消される。
ログアウト要求は、空間結合により稼働させていた両空間の協調サービスを終了し、しばらくそのようなサービスを利用することがなくなったときに行うことができる。
また、一つの空間Aを構成していて運び可能なコンピュータ(ノートPC等)が、無線によって通信可能に構成された他の比較的大きな空間Bの通信可能領域内に入ることで空間Aが空間Bに融合している場合に、ノートPCをもって空間Bの通信可能領域外へ退席することが認識された場合にも、ログアウト要求を行うことができる。
また、上記のような空間A側から明示のログアウト要求がない場合であっても、図15に示すように、空間B側から空間Aキープアライブ確認がなされ(1:キープアライブ確認)、空間A側から応答を得ることによってログインした空間Aの存在確認をとることができるが、空間A側から一定時間応答がなければ、空間Bは、タイムアウトとして、空間Aを強制的に分離することもできる(2:強制分離)。
【0048】
融合分離が行われると、空間Bの空間管理サーバSS−Bは、分離された空間Aのユーザ情報及びサービス情報を削除し、もともの空間Bにおいて利用可能なサービスのみが利用可能となる(分離後の整合性保持処理)。また、空間Aの管理者又はユーザ権限では空間Bにログインできなくなる。
【0049】
なお、本発明は、上記実施形態に限定されるものではなく、本発明の趣旨に反しない範囲で、様々な変形が可能である。
【図面の簡単な説明】
【0050】
【図1】空間の構成図である。
【図2】ユーザによる空間へのログインを示す図である。
【図3】空間から空間へのログインを示す図である。
【図4】キーのデータ構造図である。
【図5】キーリングとその利用を示す図である。
【図6】capability-ringとその利用を示す図である。
【図7】空間結合のためのログインを示す図である。
【図8】空間結合状態を示す図である。
【図9】空間結合のためのログイン処理の手順を示す図である。
【図10】空間結合時のサービス利用手順を示す図である。
【図11】空間融合のためのログインを示す図である。
【図12】空間融合状態を示す図である。
【図13】空間融合時のサービス一覧要求処理手順を示す図である。
【図14】分離処理(ログアウト)を示す図である。
【図15】強制分離処理を示す図である。
【符号の説明】
【0051】
A サービス提供空間
B サービス提供空間
SS 空間管理サーバ
【特許請求の範囲】
【請求項1】
複数のサービス提供空間を統合するための方法であって、
サービス提供空間内で提供されるサービスの情報及び空間を利用可能なユーザの情報を管理する空間管理サーバが、他のサービス提供空間の空間管理サーバへログインするステップを含み、
前記ログイン中においてはサービス空間同士が統合されて、一方のサービス提供空間のユーザが、他方のサービス提供空間のサービスを所定の利用権限内で利用可能となる、ことを特徴とする複数のサービス提供空間統合方法。
【請求項2】
前記ログインは、他のサービス提供空間の空間管理サーバへログインした空間管理サーバのユーザが、当該空間管理サーバが取得した利用権限内で、他のサービス提供空間のサービスを利用可能とする空間結合のためのログインであることを特徴とする請求項1記載の方法。
【請求項3】
前記ログインは、空間管理サーバのサービス情報及びユーザ情報の管理を、他のサービス提供空間の空間管理サーバによって行わせる空間融合のためのログインであることを特徴とする請求項1又は2記載の方法。
【請求項4】
複数のサービス提供空間統合のためのコンピュータシステムであって、
各サービス提供空間は、当該空間内で提供されるサービスの情報、及び空間を利用可能なユーザの情報を管理する空間管理サーバによって管理されるものであり、
サービス提供空間内で提供されるサービスの情報及び空間を利用可能なユーザの情報を管理する空間管理サーバが、他のサービス提供空間の空間管理サーバへログインする手段を備え、
前記ログイン中においてはサービス空間同士が統合されて、一方のサービス提供空間のユーザが、他方のサービス提供空間のサービスを所定の利用権限内で利用可能となる、ことを特徴とする複数のサービス提供空間の統合のためのコンピュータシステム。
【請求項5】
空間を管理するための空間管理サーバであって、
空間内で提供されるサービスの情報を管理する手段と、
空間を利用可能なユーザの情報を管理する手段と、
一方のサービス提供空間のユーザが、他方のサービス提供空間のサービスを所定の利用権限内で利用可能となる空間統合状態を得るために、他のサービス提供空間の空間管理サーバへログインする手段と、
を備えていることを特徴とする空間管理サーバ。
【請求項6】
コンピュータを空間管理サーバとして機能させるためのコンピュータプログラムであって、
空間内で提供されるサービスの情報を管理する機能、
空間を利用可能なユーザの情報を管理する機能、
他のサービス提供空間の空間管理サーバへログインして、空間同士を統合し、一方のサービス提供空間のユーザが、他方のサービス提供空間のサービスを所定の利用権限内で利用可能となるようにする機能、
をコンピュータに実行させるためのコンピュータプログラム。
【請求項1】
複数のサービス提供空間を統合するための方法であって、
サービス提供空間内で提供されるサービスの情報及び空間を利用可能なユーザの情報を管理する空間管理サーバが、他のサービス提供空間の空間管理サーバへログインするステップを含み、
前記ログイン中においてはサービス空間同士が統合されて、一方のサービス提供空間のユーザが、他方のサービス提供空間のサービスを所定の利用権限内で利用可能となる、ことを特徴とする複数のサービス提供空間統合方法。
【請求項2】
前記ログインは、他のサービス提供空間の空間管理サーバへログインした空間管理サーバのユーザが、当該空間管理サーバが取得した利用権限内で、他のサービス提供空間のサービスを利用可能とする空間結合のためのログインであることを特徴とする請求項1記載の方法。
【請求項3】
前記ログインは、空間管理サーバのサービス情報及びユーザ情報の管理を、他のサービス提供空間の空間管理サーバによって行わせる空間融合のためのログインであることを特徴とする請求項1又は2記載の方法。
【請求項4】
複数のサービス提供空間統合のためのコンピュータシステムであって、
各サービス提供空間は、当該空間内で提供されるサービスの情報、及び空間を利用可能なユーザの情報を管理する空間管理サーバによって管理されるものであり、
サービス提供空間内で提供されるサービスの情報及び空間を利用可能なユーザの情報を管理する空間管理サーバが、他のサービス提供空間の空間管理サーバへログインする手段を備え、
前記ログイン中においてはサービス空間同士が統合されて、一方のサービス提供空間のユーザが、他方のサービス提供空間のサービスを所定の利用権限内で利用可能となる、ことを特徴とする複数のサービス提供空間の統合のためのコンピュータシステム。
【請求項5】
空間を管理するための空間管理サーバであって、
空間内で提供されるサービスの情報を管理する手段と、
空間を利用可能なユーザの情報を管理する手段と、
一方のサービス提供空間のユーザが、他方のサービス提供空間のサービスを所定の利用権限内で利用可能となる空間統合状態を得るために、他のサービス提供空間の空間管理サーバへログインする手段と、
を備えていることを特徴とする空間管理サーバ。
【請求項6】
コンピュータを空間管理サーバとして機能させるためのコンピュータプログラムであって、
空間内で提供されるサービスの情報を管理する機能、
空間を利用可能なユーザの情報を管理する機能、
他のサービス提供空間の空間管理サーバへログインして、空間同士を統合し、一方のサービス提供空間のユーザが、他方のサービス提供空間のサービスを所定の利用権限内で利用可能となるようにする機能、
をコンピュータに実行させるためのコンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2006−11652(P2006−11652A)
【公開日】平成18年1月12日(2006.1.12)
【国際特許分類】
【出願番号】特願2004−185415(P2004−185415)
【出願日】平成16年6月23日(2004.6.23)
【出願人】(593006630)学校法人立命館 (359)
【Fターム(参考)】
【公開日】平成18年1月12日(2006.1.12)
【国際特許分類】
【出願日】平成16年6月23日(2004.6.23)
【出願人】(593006630)学校法人立命館 (359)
【Fターム(参考)】
[ Back to top ]