[发明专利]访问许可系统、访问控制服务器、和业务流程执行系统

说明书

技术领域

本发明涉及根据来自客户机侧通信装置的服务请求，对使用该通信装置的用户进行判断是否许可提供该服务的许可判断的技术。

背景技术

在现在的因特网环境中，可使用以电子商务交易服务为基础的各种服务。这种服务中，有需要输入姓名和地址等个人信息的服务、或发生金钱来往的服务等。这些服务中，需要用于防止冒充的本人确认或用于确保私事的保护这种安全性的结构。尤其为了安全地实现通信，用户认证、每个用户能否使用服务的判断(许可)、每个用户的访问控制、或数据加密等的对策很重要。

但是，需要认证和访问控制的对策的服务越增加，用户和服务提供者为安全性对策所消耗的成本越多。例如，网络购物网站或在线银行等的会员制服务通常需要用户认证。在使用需要用户认证的多个服务的情况下，用户每次使用服务时，都必须输入ID、密码和电子证书等的认证信息。

但是，这种操作对用户来说很麻烦，管理多个认证信息的用户的负载也很大。另一方面，提供服务侧也必须独自准备具有认证服务器或认证功能的应用程序服务器，设置成本和使用成本很大。

因此，近年来，可通过一次用户认证来使用多个服务的SSO(Single SignOn)的需求提高。SSO是在使用多个服务的情况下，也可通过用户仅接收一次认证，就可使用多个服务，而不用对每个服务进行认证来使用服务的结构。SSO中的认证通常由不同于用户和服务提供者的第三者机关来实施。

例如，OASIS Standard，”Security Assertion Markup Language(SAML)v2.0，”OASIS Security Services TC(2005)，http://docs.oasis-open.org/security/saml/v2.0/saml-2.0-os.zip(下面，称作非专利文献1)中定义了作为实现SSO用的技术的SAML(Security AssertionMarkup Language)技术标准。一旦用户从作为第三者机关的SAML授权机构(authority)接收到认证，则SAML授权机构向服务提供者传送作为用户认证结果的认证声明，所以用户每次使用服务时，可以省去输入认证信息的手续。

另外，非专利文献1的SAML授权机构不仅代办用户认证，还检查用户的服务使用权限、代办服务使用的许可判断。SAML授权机构管理用户的所属、地址和资格等的属性信息、及许可服务的使用的策略信息。并且SAML授权机构在用户使用服务时，根据属性信息和策略信息，来判断能否使用服务，并作为判断结果而发行许可声明。服务提供者从SAML授权机构接收许可声明，并根据所接收的许可声明来进行对用户的访问控制，所以有各服务提供者不需要分别准备许可判断用的服务器的优点。

在现有的Web服务中，服务提供者一般预先作好所有服务构成要素，但是近年来，根据当时的状況而组合服务的构成要素来实现一个业务流程的服务联合的想法在扩展。

作为实现服务联合的现有技术，例如已知有将各个Web服务作为服务构成要素来联合的方法的BPEL(Business Process Execution Language forWeb Services)(例如，OASIS Standard，”Web Services Business ProcessExecution Language Version 2.0”，OASIS Web Services Business ProcessExecution Language(WSBPEL)TC(2007)http://docs.oasis-open.org/wsbpel/2.0/OS/wsbpel-v2.0-OS.pdf(下面，称作非专利文献2))。BPEL是用于将多个Web服务的执行顺序作为一系列业务流程的流程来描述的语言标准。将解释并执行由BPEL描述的业务流程的功能称作BPEL引擎。

但是，上述非专利文献1的SAML授权机构由于每次用户访问到服务中时都进行许可判断，所以在用户请求了服务的情况下，若之后的许可判断没有终止，则用户不能接收服务的提供。即，在许可判断终止之前，用户必须等待服务的提供开始。由于与各个许可判断有关的处理负载并不是很高，所以多数情况下在请求提供服务的用户数少的情况下，许可判断所需的时间少，到服务的提供开始之前的用户等待时间少。