説明

認可方法

認可データを使用した通信システムにおける認可方法を提供する。認可データは、他のデータに関連する認可を定義するために、他のデータを参照するか、または他のデータによって参照される、データコンポーネント、データグループ、またはデータエレメントのいずれかである。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信システムにおける認可方法に関する。
【背景技術】
【0002】
通信システムとは、ユーザー端末装置および/またはネットワークエンティティ、および通信システムに関連する他のノードなどの、2つ以上のエンティティ間の通信を可能にする設備である。通信には、例えば、音声、電子メール(Eメール)、テキストメッセージ、データ、マルチメディアなどの通信を含めることが可能である。
【0003】
通信は、固定回線通信インターフェースおよび/または無線通信インターフェースによって提供することが可能である。無線通信システムの特徴は、システムがモビリティをそのユーザーに提供することである。無線通信を提供する通信システムの例には、公衆陸上モバイルネットワーク(PLMN)が挙げられる。固定回線システムの例には、公衆交換電話網(PSTN)が挙げられる。
【0004】
通信システムは、一般的に、システムの様々なエレメントのうちのどれが実行を認可されているか、およびエレメントの機能はどのように達成されなければならないのかを定める、所与の規格または仕様に基づいて作動する。例えば、規格または仕様は、ユーザー、より正確にはユーザー機器が回路交換サーバーまたはパケット交換サーバー、あるいはその両方を備えているかどうかを定義することが可能である。接続に使用されるべき通信プロトコルおよび/またはパラメータも、一般的に、定義される。例えば、通信がユーザー機器と通信ネットワークとの間で実行される様態は、一般的に所定の通信プロトコルに基づく。すなわち、通信が基づくことのできる特定の一連の「ルール」は、ユーザー機器が、通信システムを経た通信を可能にするように定義される必要がある。
【0005】
いわゆる第三世代(3G)の通信システムの導入によって、モバイルユーザー機器および他のタイプのUEを経てインターネット上のサービスへのアクセスの実現性が著しく増加する。
【0006】
コンピュータ(固定または携帯型)、携帯電話、携帯情報端末、またはオーガナイザなどのような様々なユーザー機器(UE)は、当業者には既知であり、インターネットにアクセスしてサービスを得るために使用することができる。移動局と称されるモバイルユーザー機器は、無線インターフェースを経てモバイル電気通信ネットワークの基地局または他のエンティティなどの他の機器との通信を可能にする手段として定義することができる。
【0007】
本明細書で使用される「サービス」という用語は、ユーザーが所望またはリクエストするもの、あるいは提供されるあらゆるサービスまたは商品を幅広く対象としていると理解されたい。この用語はまた、無料サービスの提供も対象とすると理解されたい。限定されないが、特に、「サービス」という用語は、インターネットプロトコルマルチメディアIMサービス、会議、電話通信、ゲーム、高品位の通話、プレゼンス、電子商取引、およびインスタントメッセージングなどのメッセージングを含むと理解されたい。
【0008】
第三世代パートナーシッププロジェクト(3GPP)では、ユーザー機器(UE)のユーザーにこれらのサービスへのアクセスを提供する、汎用モバイル電気通信システム(UMTS)コアネットワークのための基準アーキテクチャを定義する。このUMTSコアネットワークは、3つの主要なドメインに分割される。これらは、回路交換ドメイン、パケット交換ドメイン、およびインターネットプロトコルマルチメディア(IM)ドメインである。
【0009】
IMドメインは、マルチメディアサービスの十分な管理を確実にする。IMドメインは、インターネット技術特別調査委員会(IETF)が開発したようなセッション開始プロトコル(SIP)に対応する。
【0010】
さらに、複数のアクセス技術(GERAN:GSM/EDGE無線アクセスネットワーク、UTRAN:汎用地上無線アクセスネットワーク、およびWLAN:無線ローカルエリアネットワーク)がある。
【0011】
3GPPモバイルシステムおよびアクセス技術には複数のドメインや新しく出現した複数のサービスがあるので、様々なエンティティに位置するユーザー関連情報の標準化された使用を可能にする概念記述を提供するために、汎用ユーザープロファイル(GUP)が開発された。サービスの例には、マルチメディアメッセージング(MMS)、SMS、チャット、電話通信、ゲーム、閲覧/ウェブサービス、ダウンロード、電子商取引が挙げられる。これにより、標準のユーザープロファイル管理およびアクセスの必要性が生じた。
【0012】
GUPはまた、サブスクリプション管理において使用される。
【0013】
GUPの様々な態様は、TS22.240、TS23.240、TS23.241、およびTS29.240の3GGP仕様において定義される。これらの資料は、参照することにより本願明細書に含まれる。
【0014】
しかし、GUPに対する現在の定義は、あらゆるモデルのための認可を定めていない。認可は、法的な側面(プライバシー)を有するため、オペレータおよび/またはエンドユーザーにとっては、複雑になりすぎて容易に管理できなくなる可能性がある。
【0015】
したがって、本発明の実施態様は、これらの問題に対処することを目的とする。
【発明の開示】
【0016】
本発明の一側面によれば、通信システムにおける認可方法であって、
【0017】
認可データを使用するステップを含み、前記認可データは、他のデータに関連する認可を定義するために、前記他のデータを参照するか又は前記他のデータによって参照される、データコンポーネント、データグループ、またはデータエレメントのうちのいずれか1つである方法が提供される。
【0018】
本発明の一側面によれば、通信システム内のデータへのアクセスを認可する方法であって、
少なくとも1つのユーザープロファイルデータコンポーネント、および少なくとも1つの認可データコンポーネントを含むユーザープロファイルを提供するステップと、
少なくとも1つの認可データコンポーネントおよび少なくとも1つのユーザープロファイルデータコンポーネントのうちの一方により、前記少なくとも1つの認可データコンポーネントおよび少なくとも1つのユーザープロファイルデータコンポーネントのうちの他方を参照するステップと、
前記認可データコンポーネントに基づいて、少なくとも1つのユーザープロファイルデータコンポーネントに関連するデータへのアクセスを認可するステップとを含む方法が提供される。
【0019】
本発明の一側面によれば、通信システムにおけるエンティティであって、認可データは使用されるように構成され、前記認可データは、他のデータに関連する認可を定義する前記他のデータを参照する、データコンポーネント、データグループ、またはデータエレメントのうちの1つであるエンティティが提供される。
【0020】
本発明の一側面によれば、通信システムにおけるエンティティであって、前記エンティティは、少なくとも1つのユーザープロファイルデータコンポーネントと、少なくとも1つの認可データコンポーネントとを含むユーザープロファイルを使用するように構成され、少なくとも1つの認可データコンポーネントおよび少なくとも1つのユーザープロファイルデータコンポーネントは、もう一方の前記少なくとも1つの認可データコンポーネントおよび少なくとも1つのユーザープロファイルデータコンポーネントを参照し、前記エンティティは、前記認可データコンポーネントに基づいて、少なくとも1つのユーザープロファイルデータコンポーネントに関連するデータへのアクセスを認可するための手段を有するエンティティが提供される。
【0021】
本発明の一側面によれば、通信システム内のデータへのアクセスを認可する方法であって、少なくとも1つのユーザープロファイルデータコンポーネントおよび少なくとも1つの認可データコンポーネントを含むユーザープロファイルを使用するステップを含み、少なくとも1つの認可データコンポーネントおよび少なくとも1つのプロファイルデータコンポーネントのうちの一方は、前記認可データコンポーネントに基づいて少なくとも1つのユーザープロファイルデータコンポーネントに関連するデータへのアクセスを認可するために、前記少なくとも1つの認可データコンポーネントおよび少なくとも1つのユーザープロファイルデータコンポーネントの他方を参照する方法が提供される。
【発明の実施例の詳細な説明】
【0022】
本発明の更なる理解のため、および本発明をどのように実行するかに関して、添付図面を例として用いて参照する。
【0023】
図1を参照する。図1は、本発明の実施態様を実行することができるシステムを概略的に示す。システムはユーザー機器2を備える。ユーザー機器は、あらゆる好適な形態とすることができ、例えば、携帯電話、携帯情報端末(PDA)、携帯型コンピュータ、ラップトップコンピュータ、固定型コンピュータ、または他の好適な機器のような、モバイルまたは固定エンティティであってよい。ユーザー機器2は、無線接続を経て無線アクセスネットワーク(RAN)8と通信するように構成される。この無線接続は、例えば無線周波数のような、あらゆる好適な周波数であってよい。
【0024】
無線アクセスネットワーク8は、一般的に、基地局エンティティ(ノードBと称する場合もある)から成り立っている。本明細書においては、基地局という用語を使用し、この用語はあらゆる好適なエンティティを対象とすることを意図するものである。無線アクセスネットワーク8はまた、制御エレメントも含む。この制御エレメントは、UMTSシステムの場合は無線ネットワーク制御装置(RNC)と称され、GSMシステムの場合は基地局制御装置(BSC)と称されることがある。これは、制御装置という用語が、このようなあらゆる制御エンティティを対象とすることを意図するものである。いくつかの構成では、制御機能は基地局機能とは別に提供され、単一の制御エンティティが複数の基地局を制御することが可能である。本発明の他の実施態様では、各基地局は制御機能の一部を組み込むことが可能である。無線アクセスネットワークは、コアネットワーク10と通信するように構成される。図1に示されるコアネットワーク10は、パケット交換コアネットワークである。本発明の実施態様はまた、回路交換コアネットワークにも適用可能である。
【0025】
コアネットワークは、パケット交換トランザクションを切り替えるために使用される少なくとも1つのサービングGPRS(汎用パケット無線システム)サポートノード(SGSN)、およびコアネットワーク10が外部のパケットスイッチネットワークに接続される箇所で切り替えられる少なくとも1つのゲートウェイGPRSサポートノード(GGSN)を含む。この例では、コアネットワークは、IMサブシステム14に接続される。ここでは別々に示されているが、実際にはコアネットワークの一部とすることが可能である。
【0026】
サブスクリプションマネージャSM11も、図1に示す。SM11は、コアネットワークおよびIMサブシステムに接続されているように示される。
【0027】
本発明の実施態様は、幅広いアプリケーションおよび付加価値サービスなどの他のサービスを有する。
【0028】
本発明の実施態様は、特に第三世代システムという状況において記述されている。しかし、本発明の実施態様の原理は、あらゆる他の好適な通信システムに適用できるものと理解されたい。
【0029】
GUPは、様々なエンティティに位置するユーザー関連情報の標準化された使用を可能にする概念記述を提供するために開発された。GUPはユーザー関連データの集合であり、そのユーザー関連データは、あるエンティティグループがそのデータを共有しているサービスを、個々のユーザーが受ける場合のその受け方に影響を及ぼす。GUPは、ホームネットワーク環境に保存することができ、さらに保存をUEおよび/または付加価値サービスプロバイダの装置に拡張することができる。GUPは様々な利害関係者によってアクセスされ、また、標準化されたアクセス機構により、ユーザーや加入者、付加価値サービスプロバイダ、ネットワークオペレータなどの1つ(集中式)又は複数(非集中式)の利害関係者によって管理される。GUPプロファイルによって、ネットワーク内での使用、すなわちモバイルオペレータネットワーク内のアプリケーション間でのデータ交換が可能となり、また、ネットワーク間での使用、すなわちモバイルオペレータネットワークと付加価値サービスプロバイダとの間でのデータ交換が可能となる。
【0030】
図2を参照する。図2は、GUPの概念的な図を示す。IMSI(国際移動電話加入者識別番号)またはIMS PID(パブリックアイデンティティ)によって特徴付けられる各ユーザーに対して、1つのユーザープロファイルが存在する。ユーザープロファイルは、複数の「コンポーネント」20、21または22から構成することが可能である。図2に示すように、コンポーネント21aおよび21bは、ユーザー機器に提供される。コンポーネント22aおよび22bは、付加価値サービスプロバイダ16に備えられる。付加価値サービスプロバイダ16は、例えば、IMSシステム14の一部とするか、または独立させることが可能である。コンポーネント20a−fは、ホームネットワークに備えられる。ホームネットワーク18は概して図1に示されるコアネットワーク10に対応するが、本発明のいくつかの実施態様においてはRAN8も組み込む場合がある。したがって、ホームネットワーク内で、コンポーネントは様々なネットワークノードに配信されることが可能である。
【0031】
コンポーネントは、コンポーネント20aおよび20b、21aおよび22aなどの一般的なユーザー情報を含むことが可能である。データはまた、コンポーネント20c、20f、21b、および22bなどのサービス固有の情報も含むことも可能である。データはまた、例えば、コンポーネント20cおよび20dのような端末関連情報などの他のコンポーネントも含むことができる。図2に示される配置では、コンポーネントの1つのマスターが存在するが、マスターコンポーネントの1つ以上のコピーが存在する場合がある。例えば、コンポーネント21aはマスターコンポーネントであるが、ホームネットワーク18にコンポーネント20aとしてコピーされ、付加価値サービスプロバイダ16にコンポーネント22aとしてコピーされる。コンポーネント20b、20c、および20dは、全てマスターコンポーネントである。コンポーネント22bは、ホームネットワーク16のコンポーネント20cおよびそのコピーであるユーザー機器2のコンポーネント21bを有するマスターコンポーネントである。コンポーネント20fも、マスターコンポーネントである。本発明の実施態様では、ホームオペレータは、ホームネットワークの外側に位置するマスターコンポーネントをホームネットワークにコピーすることができる。ホームネットワーク内には、GUPコンポーネントを配置することができ、それによって、コンポーネントの実際の位置をアプリケーションに認識させない機能がある。
【0032】
図3を参照する。図3は、GUPの処理に関連するエンティティを示す。GUPは、供給者および需要者のためのユーザー関連データへのアクセスおよび操作するための汎用機構を提供する。この機構によって、標準化された方法でデータの取り出しおよび管理を行うことができる。
【0033】
データの供給者および需要者は、以下のグループに分割することができる。UE2におけるアプリケーション30;ホームネットワーク18におけるホームネットワークアプリケーション32;例えば付加価値サービスプロバイダ16における第三者アプリケーション34;および、OAM(運営上の管理およびメンテナンス)、およびサブスクリプション管理アプリケーション36。端末アプリケーション30は、本来は様々であり、GUPデータを上述のデータストアに供給することも、アプリケーションで使用するためのデータを取り出すこともできる。ホームネットワークのアプリケーション32は、通話またはセッション処理、およびメッセージングまたはウェブサービスに関連するデータを含むことが可能である。第三者アプリケーション34は、ホームネットワーク内のアプリケーションに類似している。OAMおよびサブスクリプション管理アプリケーションは、ネットワークオペレータによるユーザーデータの管理を提供する。
【0034】
図4を参照する。図4は、本発明の実施態様を組み込んだGUP基準アーキテクチャの一例を示す。アプリケーション40(端末アプリケーション30、ホームネットワークアプリケーション32、第三者アプリケーション34、およびOAMおよびサブスクリプション管理アプリケーション36を含む)は、GUPサーバー42に接続される。GUPサーバーは、特定の加入者のGUPデータへの単一のアクセスポイントを提供する機能エンティティである。図4に示される配置では、独立した認可サーバーおよび/または認可データリポジトリ44がある。
【0035】
本発明の実施態様は、2つの異なる方法で実行することができる。一実施例では、サーバー44は省略される。GUPサーバー42は、さらに認可サーバー機能を提供する。認可データリポジトリは、サーバー42または独立したデータリポジトリ内に存在させることが可能である。本発明の他の実施態様では、図4に示されるように、認可サーバー機能を提供し、および/または認可データリポジトリである、独立したサーバーがある。すなわち、認可の判断はサーバー44によって行うか、またはエンティティ44を、単に認可関連のデータのためのリポジトリとすることが可能である。
【0036】
また、図4にはリポジトリアクセス関数46、47、および48も示す。リポジトリアクセス関数RAFは、標準化されたアクセスインターフェースを実現する。それは、データリポジトリの実装の詳細をGUPインフラから隠蔽する。RAFはプロトコルおよびデータ変換を必要に応じて実行する。データリポジトリ50および52は、それぞれRAF46および47に関連する。RAF48は、サーバーまたはエンティティ44に関連する。データリポジトリは、1つまたは複数のGUPプロファイルコンポーネントの主たるコピーを保存する。特定のデータリポジトリに関連するRAFは、データリポジトリへの標準化されたアクセスを提供する。図4に示される構成では、データリポジトリおよび関連するRAFは、認可データを保存する。認可データは、サーバー42または他の好適なエンティティに提供することができる。例えば、認可データにアクセスすることが可能なオペレータアプリケーションを提供するために、いくつかの手段によって認可されなければならないアプリケーションにデータが提供される。他のデータは、後述するように、認可データとして同じデータリポジトリに含めることが可能である。
【0037】
図4に示される実施態様では、認可リクエストはGUPサーバー42からエンティティまたはサーバー44に直接送信され、GUPサーバーにリクエストに対する応答を送信することが可能である。このRAF48をバイパスすることが可能である。
【0038】
図5を参照する。図5は、現在のインフラ環境に対する図4のGUP基準アーキテクチャのマッピングの一例を示す。アプリケーション30、32、および34は、それぞれGUPサーバー42への接続を有する。本発明の実施態様によれば、GUPサーバーは、図4の認可サーバーおよび/または認可データリポジトリ44に接続することが可能である。
【0039】
RAF54、56、58、および60は次のようなものである。
・ RAF54は、ユーザー機器62のためのデータリポジトリへのアクセスを提供する。
・ RAF56は、HSS(ホームサブスクリプションサーバー)、HLR(ホームロケーションレジスタ)、VLR(ビジターロケーションレジスタ)、およびPPR(プライバシープロファイルレジスタ)などのHPLMN(ホームPLMN)のためのデータリポジトリ64へのアクセスを提供する。
・ RAF58は、例えばIMSアプリケーションサーバーなどのアプリケーションサーバーのためのデータリポジトリ66へのアクセスを提供する。
・ RAF60は、管理サーバーCRM(カスタマリレーションシップマネジメント)などのためのデータリポジトリ68へのアクセスを提供する。
これらのデータリポジトリ62乃至68のうちの1つ以上において、認可データを保存することが可能である。
【0040】
図6を参照する。図6は、GUP情報モデルを示す。
【0041】
汎用ユーザープロファイル80は、複数の独立したGUPコンポーネント82を含む。GUPコンポーネントは、他のGUPコンポーネントを含む(すなわち参照する)ことが可能である。これによって、例えばデータを再利用することができる。GUPコンポーネント82は、汎用ユーザープロファイル内に一意の識別子を有し、1つのRAFを介して取り出すことができる。コンポーネントのタイプに加えて、コンポーネント識別子は、加入者識別子、または使用されるコンポーネントのタイプに依存するより汎用的な識別情報を含む。GUPコンポーネントは、複数のGUPコンポーネント、データエレメントグループおよび/またはデータエレメントから構成することが可能である。
【0042】
GUPコンポーネントはゼロ以上のデータエレメントグループ86を含む。データエレメントグループは、不可分のデータエレメントおよび/またはデータエレメントグループを含む。必要なデータエレメントグループによって、より深い階層構造とすることができる。最も低い階層的レベルのデータエレメントグループは、1つ以上のデータエレメント88を含む。GUPコンポーネント内のデータエレメントグループは、同一または異なるタイプであってよい。本発明のいくつかの実施態様では、GUPコンポーネントは、データエレメントグループを持たないゼロ以上のデータエレメントを含むことが可能である。GUPコンポーネントは、少なくとも1つのGUPコンポーネント、データエレメントグループ、またはデータエレメントを有するものとする。
【0043】
複合データタイプ90は、GUPコンポーネント全体の構成を定義するために使用される。その構成は、どのようなデータエレメントグループであるのかの定義、および/またはどのデータエレメントが定義されたGUPコンポーネントに属するかの定義、ならびにデータのタイプおよびそのデータの値の定義を含む。
【0044】
図7を参照する。図7は、どのように認可コンポーネントを汎用ユーザープロファイルに適合させることができるかを示す。汎用ユーザープロファイル80は、認可コンポーネント92(GUPコンポーネントである)、第1のGUPコンポーネント82a、および、第2のGUPコンポーネント82bを有しているように示される。認可コンポーネント92は、第1のデータエレメント88aおよび第2のデータエレメント88bを含むデータエレメントグループ86を含むことが可能である。別様には、認可コンポーネントは、データエレメント88cを含むことが可能である。
【0045】
第2のGUPコンポーネント82aは、2つのデータエレメント88dおよび88eを含むように示されている。
【0046】
第2のGUPコンポーネントは、認可コンポーネント94を有するように示されている。この認可コンポーネントは、データエレメントグループまたはデータエレメントを有する。また、データエレメントグループ86bも示されている。データエレメントグループ86bは、2つのデータエレメント88fおよび88gを含むデータエレメントグループ86cを含む。代わりにまたはさらに、データエレメントグループ86bは、データエレメント88hを含むことが可能である。GUPコンポーネント82bはまた、更なるコンポーネント82cを含むように示される。すなわち、本発明の実施態様によってもたらされる認可コンポーネントは、GUPコンポーネント、データエレメントグループ、および/またはデータエレメントを含むことが可能である。
【0047】
GUPの認可データは、ユーザープロファイルデータまたはGUPコンポーネントによって参照することができる、独立したGUPコンポーネントであるとみなされる。これによって、同じ機能を、他のユーザープロファイルデータに関して認可データを管理するために使用することができる。認可データは実際のデータから完全に独立し、認可モデルおよびルールは単独で開発することが可能である。本発明の実施態様では、認可データ内のあらゆるGUPデータ項目(例えば、プッシュタイプの通信を受信するための加入者の言語または初期設定)を参照し、その使用に対して認可を与えることが可能である。ルールは粗い場合もあれば細かい場合もあり、必要な精度のレベルに合わせて準備される。
【0048】
本発明の実施態様に使用される認可データモデルによって、複雑なユーザープロファイル情報に対する認可データを提供できる。これは、例えば、データの項目がいくつかのエンティティによってリクエストされたときに、そのデータの項目を提供できるかどうかを判断する場合に必要である。認可は、非常に異なるデータの塊、異なる実施態様、および構成において行うことが可能である。本発明の実施態様は、これらの変形例に対応することができる。
【0049】
本発明の実施態様は、認可される様々なデータに対して汎用かつ共通の解決策を適用させることができるという利点を有する。この利点は、異なる種類の実施態様および実施態様のアーキテクチャに対して好適である。認可データの管理は、他のGUP固有のデータに関して、および認可されるデータとは別に、GUPによって処理することができる。認可される実際のデータを管理するためよりも、認可データを管理するために異なるアクセスを異なるエンティティに与える方が容易である。類似したユーザーインターフェースおよび管理アプリケーションは、他のGUPデータに関して使用することができる。本発明の実施態様は、データ非依存である。すなわち、認可データによって、既存のデータフォーマットまたはデータストレージの構造を変更する必要がない。同じ認可設定を、異なるデータに利用することができる。
【0050】
本発明の実施態様はまた、位置に非依存とすることが可能である。認可データ保存専用の独立したサーバー内、認可されるデータ内、または実際のデータストレージに代わって認可を処理するサーバー内に存在させることが可能である。
【0051】
上述のように、GUPの認可データモデルは、認可関連のデータが認可コンポーネントと称される独立したGUPコンポーネントとしてみなされるようなものである。実際のユーザープロファイルか、または実際の汎用データを記述するために使用される他のGUPコンポーネントに類似する。
【0052】
本発明の実施態様において、同じ機構、すなわち、作成、変更、削除、クエリー、類似したコンポーネントの識別子などのプロシージャ、および同じ管理インターフェースを、他のユーザープロファイルデータに関して、認可データの管理に使用することができる。これによって、ユーザーデータは、場合に応じて全ユーザープロファイルの一部とみなすこともできる。
【0053】
上述のように、認可データは認可されたデータと強く結びついていない。認可データは、実施要件に基づいて、例えば、独立したプライバシーレジスタ内、またはGUPサーバー内などのあらゆる位置に存在させることが可能である。認可コンポーネントによって、認可データを、ユーザー固有のもの、または複数のユーザーに共通したものに定義することができる。認可コンポーネントによって、認可データを全ユーザープロファイルのコンポーネントに共通とするか、または特定のコンポーネントのタイプの全てのユーザーに共通とすることができる。
【0054】
認可コンポーネントは、認可データ自身に対する認可ルール、すなわち誰がその認可ルールの変更を認可されたかを記述するために使用することができる。認可コンポーネントは、実際のデータをデータの要求元に伝達するために、保持時間、更なるディスクロージャルールなどのデータ配信および使用ポリシーの記述に使用することができる。認可コンポーネントは、ユーザー固有の設定が存在するか、ユーザー固有の設定が作成される前に、デフォルトの認可設定を記述することができる。
【0055】
以下のタイプの認可データを指定することができる。
・ ターゲット加入者(または加入者のグループ)の識別子−GUP加入者
・ コンポーネントタイプおよびより詳細なデータ参照子
・ 要求元(アプリケーションIDおよびエンドユーザーID)または要求元グループの識別子
・ リクエストにおいて認可アサーションとして受信される他の要求元関連データ
・ 認可されたオペレーション(クエリー、変更、作成、削除、サブスクライブ)
・ プライバシーポリシーに特有の属性(プライバシーポリシーは、リクエストに含まれる)
・ リクエストの事例に関連する他の属性(タイムスケジュールなど)
・ 動作(例、判断、プライバシーポリシーのカプセル化など)
【0056】
認可コンポーネントは、GUP情報モデル内のあらゆるエレメントを参照することができる。これによって、場合および必要性に応じて、異なるレベルおよびデータの階層に対する認可設定を行うことができる。したがって、本発明の実施態様では、GUPは他のあらゆるGUPコンポーネントのように、認可コンポーネントを定義する。これは、あらゆるGUPコンポーネント(例、識別子および構成)に関して、同じ機能も認可コンポーネントに適用されることを意味する。認可コンポーネントは、GUP情報モデルのあらゆるエレメントを参照し、それらのエレメントに関する認可を定義することができる。認可コンポーネントは、加入者特有、複数の加入者および/またはGUP情報モデルのエレメントに共通とすることができる。あらゆるGUPコンポーネントは、認可のために(例えば、RAFによって)使用される追加的なデータ項目を含むことが可能であるが、それらは、特定のGUPコンポーネントに特定のデータの一部であるとみなされるので、GUPによって指定された汎用の認可の一部ではない。
【0057】
本発明の実施態様では、ユーザー固有または共通のプライバシールールに基づいて、GUPデータにアクセスするためのアプリケーションに認可を与える役割を果たすGUP機能がある。GUPデータにアクセスする全ての試行は、要求元情報、リクエストされたデータ、ターゲット加入者、および実行されるオペレーション、またはそれらのうちのいくつかを含まなければならない定義されたポリシーに基づいて認可される。GUPデータ構造は、プロファイル、コンポーネント、またはデータエレメントなどの認可情報を異なるレベルに提供するための要件を満たす必要がある。汎用認可データに加えて、更なるサービス固有のデータを(例えば、LCSに対して)定義することが可能である。同じものを、認可判定ロジックに適用する。認可ロジックの実行によって、要求元がリクエストを行うことを認可されたかどうかの判断がもたらされ、そのデータの一部分に加えて、要求元はリクエストの性質に関する適切なアクセス権を有する。GUPは、認可データを管理するための機構を異なるGUPエンティティに提供する。
【0058】
HPLMNベースのアプリケーションも、非HPLMNベースのアプリケーションも、リクエストをGUPサーバーに送信するものと予想される。GUPサーバーは、異なる認可基準、ポリシー制御、およびロード制御をHPLMNおよびHPLMNアプリケーションに提供するための機能を持たなければならない。
【0059】
認可コンポーネントに加えて、実際のプロファイルデータを表すあらゆるGUPコンポーネントは、認可のために、例えばRAFによってローカルに使用されるデータ内に追加的な項目を有することが可能であるが、それらの項目は、特定のGUPコンポーネントに特有であるデータの一部分としてみなされる。これらの認可設定は、意味的データの良好な情報を有するエンティティによってのみ翻訳することができる。例えば、(1つのGUPコンポーネント内の)特定のサービスプロファイルデータは、そのデータにおいて定義されるアドレス(例、URL)、およびこのアドレスがどのようにアクセスおよび配信されるのかを示すアクセス制御フィールドを有することができる。この特殊なプライバシーフィールドの処理は、この特定のサービスに対して特有であり、汎用GUP機能では処理することができないので、このアクセス制御に基づいた判断は、このサービスを提供するリポジトリに近接させなければならない。
【0060】
図2に示されるように、GUPサーバーは、ユーザーの特定または共通の、ユーザーのプロファイルにおいて参照される認可コンポーネントを含むことが可能である。GUPサーバーは、認可コンポーネントに基づいて認可判断を行う。
【0061】
代わりにまたはさらに、RAF機能およびデータリポジトリは、GUPサーバーと同様な役割を果たすことができるが、RAFによって処理されるGUPコンポーネントを基準とする認可コンポーネントに基づいている。
【0062】
代わりにまたはさらに、RAFおよび/またはGUPサーバーは、GUPリクエストに関連する認可コンポーネントにアクセスすることができる。認可コンポーネントは、GUPサーバー内、GUPデータリポジトリ内、または認可専用の独立したサーバー内に存在させることが可能である。GUPサーバーは、認可コンポーネントに基づいて認可を処理し、RAFは、関連するデータリポジトリ内でローカルに認可を処理する。同様に、RAFは、認可コンポーネント(後述するコンポーネント)に基づいて認可を与えることが可能である。
【0063】
独立した認可サーバーがあり、認可リクエストおよび対応する応答メッセージをGUPサーバーと認可サーバーとの間で送信できる場合、認可データは、他のGUPコンポーネントと同様に操作することが可能であり、認可自体は、通常GUPサーバー内の内部機能である。
【0064】
図8を参照する。図8は、認可サーバーを使用する本発明の実施態様におけるシグナリングの一例を示す。
【0065】
ステップS1で、アプリケーション40は、GUPリクエストS1をGUPサーバー42に送信する。GUPサーバー42は、アプリケーションを認証する。
【0066】
ステップS2で、GUPサーバーは、認可リクエストを認可サーバー44に送信する。これは、図4に示される直接接続を経てなる。ステップS3で、認可サーバー44は、同一の接続に従って、認可応答を送信する。
【0067】
ステップS5で、GUPサーバー42は、適切なRAFからGUPデータエレメントのリクエストを行うが、図4(または実際に図5)に示されるRAFのいずれかであってよい。関連するRAFは、ステップS6で、GUPデータエレメントをGUPサーバー42に返す。RAFは、関連するGUPデータリポジトリからリクエストされたGUPデータエレメントを取得すると理解されたい。したがって、RAFはGUPデータリポジトリから適切なデータエレメントをリクエストし、GUPデータリポジトリは、リクエストされたGUPデータエレメントをRAFに返す。これは図8には示されないが、ステップS5とS6との間で行われる。
【0068】
複数のデータエレメントがリクエストされる場合、本発明の実施態様では、必要なデータエレメントは逐次的にリクエストされる。
【0069】
ステップS7で、GUPサーバー42は、リクエストされたGUPデータを配信する。これは、取得されたデータエレメントからGUPコンポーネントを構成するGUPサーバーを対象とすることが可能である。
【0070】
本発明のいくつかの実施態様において、認可サーバー44によって提供される機能は、GUPサーバーまたは他の適切なエンティティによって提供されてよいと理解されたい。
【0071】
したがって、本発明の実施態様はプロファイル構成の深くにあるコンポーネントを有することが可能であり、例えば、コンポーネントは常にではなく必要に応じて、認可コンポーネントを含むか、または参照するさらに下位のコンポーネント(可能であれば、さらに下位のコンポーネントなど)を再び参照することが可能なコンポーネントを参照することが可能である。
【図面の簡単な説明】
【0072】
【図1】本発明の実施態様を実行することができるシステムを概略的に示す。
【図2】GUPの概念的な図を示す。
【図3】GUPの範囲を示す。
【図4】本発明の実施態様を組み込んだGUP基準アーキテクチャを示す。
【図5】本発明の実施態様を組み込んだGUP基準アーキテクチャを現在のインフラ環境にマッピングするための一例を示す。
【図6】GUPの基本構成を示す。
【図7】本発明の実施態様における汎用ユーザープロファイルへの認可データコンポーネントの配置の例を示す。
【図8】本発明の一実施態様におけるシグナリングを示す。

【特許請求の範囲】
【請求項1】
通信システムにおける認可方法であって、
認可データを使用するステップを含み、前記認可データは、他のデータに関連する認可を定義するために前記他のデータを参照するか又は前記他のデータによって参照される、データコンポーネント、データグループ、またはデータエレメントのうちのいずれか1つである方法。
【請求項2】
前記他のデータおよび前記認可データは、GUPデータを含む、請求項1に記載の方法。
【請求項3】
前記他のデータおよび前記認可データは、共通のデータ構造の一部である、上記請求項のいずれかに記載の方法。
【請求項4】
前記認可データは、前記他のデータに依存しない、上記請求項のいずれかに記載の方法。
【請求項5】
前記認可データは、前記他のデータへのアクセスを定義する、上記請求項のいずれかに記載の方法。
【請求項6】
前記認可データは、
前記認可データのためのルールと、
データ配信情報と、
使用情報と、
デフォルトの情報のうちの少なくとも1つを含む、上記請求項のいずれかに記載の方法。
【請求項7】
前記認可データは、ユーザー固有のものの1つであるか、または複数のユーザーに共通である、上記請求項のいずれかに記載の方法。
【請求項8】
前記認可データは、GUPコンポーネントを含む、請求項2またはそれに付記される請求項のいずれかに記載の方法。
【請求項9】
前記認可データは、GUP情報モデルのうちの少なくとも1つのエレメントを参照するように構成される、請求項8に記載の方法。
【請求項10】
前記認可データは、要求元、要求データ、ターゲット加入者、および実行されるオペレーションのうちの少なくとも1つを考慮に入れたデータへのアクセスを判断するために使用される、上記請求項のいずれかに記載の方法。
【請求項11】
独立したプライバシーレジスタ、ユーザープロファイルサーバー、独立したサーバー、またはデータストレージのうちの少なくとも1つから前記認可データを取得するステップを含む、上記請求項のいずれかに記載の方法。
【請求項12】
前記認可データは、ユーザーに対するプロファイルの全てのコンポーネントに共通である、上記請求項のいずれかに記載の方法。
【請求項13】
前記認可データは、前記プロファイルの特定の部分の複数のユーザーに共通である、上記請求項のいずれかに記載の方法。
【請求項14】
通信システム内のデータへのアクセスを認可する方法であって、
少なくとも1つのユーザープロファイルデータコンポーネント、および少なくとも1つの認可データコンポーネントを含むユーザープロファイルを提供するステップと、
少なくとも1つの認可データコンポーネントおよび少なくとも1つのユーザープロファイルデータコンポーネントのうちの一方により、前記少なくとも1つの認可データコンポーネントおよび少なくとも1つのユーザープロファイルデータコンポーネントのうちの他方を参照するステップと、
前記認可データコンポーネントに基づいて、少なくとも1つのユーザープロファイルデータコンポーネントに関連するデータへのアクセスを認可するステップとを含む方法。
【請求項15】
前記参照するステップは、同じ認可データコンポーネントによって、異なるユーザーに関連する複数のユーザープロファイルデータコンポーネントを参照するステップを含む、請求項14に記載の方法。
【請求項16】
前記認可データは、ユーザープロファイル、前記プロファイルの第1のサブレベルの一部であるコンポーネント、前記プロファイルの第2の低位サブレベルの一部であるコンポーネント、および第nの低位サブレベルの一部のコンポーネントのうちの少なくとも1つに添付される、上記請求項のいずれかに記載の方法。
【請求項17】
前記コンポーネントは、GUPコンポーネントを含み、前記第1のサブレベルはデータエレメントまたはデータエレメントグループを含み、前記第2のサブレベルはデータエレメントまたはデータエレメントグループを含む、請求項16に記載の方法。
【請求項18】
前記認可データは、前記認可をデータのコンポーネントまたはサブ部分にリンクするように構成された、上記請求項のいずれかに記載の方法。
【請求項19】
前記認可データおよび前記データコンポーネントは、異なるレベルにある、上記請求項のいずれかに記載の方法。
【請求項20】
通信システムにおけるエンティティであって、認可データは使用されるように構成され、前記認可データは、他のデータに関連する認可を定義するために前記他のデータを参照する、データコンポーネント、データグループ、またはデータエレメントのうちの1つであるエンティティ。
【請求項21】
前記エンティティは、サーバーである請求項20に記載のエンティティ。
【請求項22】
通信システムにおけるエンティティであって、前記エンティティは、少なくとも1つのユーザープロファイルデータコンポーネントと、少なくとも1つの認可データコンポーネントとを含むユーザープロファイルを使用するように構成され、少なくとも1つの認可データコンポーネントおよび少なくとも1つのユーザープロファイルデータコンポーネントは、もう一方の前記少なくとも1つの認可データコンポーネントおよび少なくとも1つのユーザープロファイルデータコンポーネントを参照し、前記エンティティは、前記認可データコンポーネントに基づいて、少なくとも1つのユーザープロファイルデータコンポーネントに関連するデータへのアクセスを認可するための手段を有するエンティティ。
【請求項23】
複数のコンポーネントを含むユーザープロファイルであって、少なくとも1つのコンポーネントは認可コンポーネントを含む、ユーザープロファイル。
【請求項24】
通信システム内のデータへのアクセスを認可する方法であって、
少なくとも1つのユーザープロファイルデータコンポーネントおよび少なくとも1つの認可データコンポーネントを含むユーザープロファイルを使用するステップを含み、少なくとも1つの認可データコンポーネントおよび少なくとも1つのプロファイルデータコンポーネントのうちの一方は、前記認可データコンポーネントに基づいて少なくとも1つのユーザープロファイルデータコンポーネントに関連するデータへのアクセスを認可するために、前記少なくとも1つの認可データコンポーネントおよび少なくとも1つのユーザープロファイルデータコンポーネントのうちの他方を参照する方法。
【請求項25】
システムであって、
少なくとも1つのアプリケーションと、
少なくとも1つのサーバーとを備え、
前記少なくとも1つのサーバーは、他のデータに関連する認可を定義するために、前記他のデータを参照するか又は前記他のデータによって参照される認可データを使用するように構成され、前記認可データは、データコンポーネント、データグループ、またはデータエレメントのうちの1つであるシステム。
【請求項26】
前記少なくとも1つのアプリケーションは、
少なくとも1つのユーザー機器と、
少なくとも1つの第三者サーバーと、
ホームネットワークのうちの少なくとも1つに提供される、請求項25に記載のシステム。
【請求項27】
前記少なくとも1つのサーバーは、GUPサーバーおよび認可サーバーのうちの少なくとも1つを備える、請求項25に記載のシステム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate


【公表番号】特表2007−521585(P2007−521585A)
【公表日】平成19年8月2日(2007.8.2)
【国際特許分類】
【出願番号】特願2006−548456(P2006−548456)
【出願日】平成17年1月5日(2005.1.5)
【国際出願番号】PCT/IB2005/000006
【国際公開番号】WO2005/069149
【国際公開日】平成17年7月28日(2005.7.28)
【出願人】(398012616)ノキア コーポレイション (1,359)
【Fターム(参考)】