專利名稱:對企業(yè)實體定義的注冊中心的用戶訪問的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及對企業(yè)服務(wù)的注冊中心(registry)例如UDDI注冊中心的用戶訪問,更具體地���,涉及用戶從注冊中心得到企業(yè)服務(wù)的細節(jié)����。
背景技術(shù):
近年來��,對于企業(yè)(business)來說���,為用戶提供使用與企業(yè)的計算機通信的計算機從該企業(yè)購買商品已變得平常��。例如��,企業(yè)可在因特網(wǎng)上提供網(wǎng)站�,其使用戶能夠在萬維網(wǎng)上從該企業(yè)購買商品。隨著這樣的成功�����,更容易地定位要與之交往的企業(yè)已變成一種需求�,并且已通過例如由UDDI(Universal description,Discovery and Integration��,通用描述����、發(fā)現(xiàn)和集成)指定的注冊中心服務(wù)的開展而滿足了此需求,其中��,所述注冊中心服務(wù)為提供服務(wù)的企業(yè)實體提供支持���。
UDDI注冊中心使企業(yè)實體能夠公布有關(guān)其提供的服務(wù)的信息�����,并使用戶能夠發(fā)現(xiàn)有關(guān)所公布的企業(yè)服務(wù)的信息�����。因而�,例如,用戶可向UDDI注冊中心發(fā)送請求�����,以得到提供用戶所需要的特定服務(wù)的企業(yè)服務(wù)的細節(jié)���。隨后��,用戶在通過UDDI注冊中心返回了細節(jié)的一個或多個企業(yè)服務(wù)中進行選擇��,并發(fā)送對所選的企業(yè)服務(wù)的適當請求。然而��,UDDI注冊中心可能向用戶返回其不具有適當?shù)脑L問許可的企業(yè)服務(wù)的細節(jié)����,并且,結(jié)果�,直到用戶對特定企業(yè)服務(wù)的請求被拒絕��,用戶將不會發(fā)現(xiàn)他們不能訪問該特定的企業(yè)服務(wù)�。
對于用戶來說�����,對必然要失敗的企業(yè)服務(wù)做出請求是時間和資源的浪費��,并且���,對于提供服務(wù)���、必須處理來自不具有訪問該服務(wù)所需的許可的用戶的請求的企業(yè)來說,這是時間和資源的浪費�。結(jié)果,提供節(jié)省這種浪費的時間和資源的方法將是具有優(yōu)勢的�����。
發(fā)明內(nèi)容
本發(fā)明通過提供用于保持企業(yè)實體定義的注冊中心(如UDDI注冊中心)的裝置���,以將對企業(yè)定義中的信息的用戶訪問限制為該用戶具有訪問許可的訪問��,而解決了此問題�����。
根據(jù)第一方面�����,本發(fā)明提供了一種用于企業(yè)實體定義的注冊中心處理訪問企業(yè)實體定義的用戶請求的方法��,該方法包括以下步驟從用戶接收訪問企業(yè)實體定義的請求�����;從與該請求相關(guān)聯(lián)的數(shù)據(jù)得到用戶的身份(identity)���;根據(jù)與企業(yè)實體定義和用戶的身份相關(guān)聯(lián)的許可細節(jié)而確定該用戶是否具有訪問該企業(yè)實體定義中的信息的許可���;以及如果確定該用戶不具有許可,則拒絕用戶訪問該企業(yè)實體定義中的信息���。
根據(jù)第二方面,本發(fā)明提供了一種企業(yè)實體定義的注冊中心��,用于處理訪問企業(yè)實體定義的請求�����,該注冊中心包括用于從用戶接收訪問企業(yè)實體定義的請求的裝置;用于從與該請求相關(guān)聯(lián)的數(shù)據(jù)得到用戶的身份的裝置���;用于根據(jù)與企業(yè)實體定義和用戶的身份相關(guān)聯(lián)的許可細節(jié)而確定該用戶是否具有訪問該企業(yè)實體定義中的信息的許可的裝置���;以及用于如果確定該用戶不具有許可、則拒絕用戶訪問該企業(yè)實體定義中的信息的裝置����。
根據(jù)第四方面,本發(fā)明提供了一種用于處理訪問企業(yè)實體定義的用戶請求的注冊中心服務(wù)�,提供該服務(wù)包括以下步驟從用戶接收訪問企業(yè)實體定義的請求;從與該請求相關(guān)聯(lián)的數(shù)據(jù)得到用戶的身份�����;根據(jù)與企業(yè)實體定義和用戶的身份相關(guān)聯(lián)的許可細節(jié)而確定該用戶是否具有訪問該企業(yè)實體定義中的信息的許可��;以及如果確定該用戶不具有許可��,則拒絕用戶訪問該企業(yè)實體定義中的信息��。
根據(jù)第三方面�,本發(fā)明提供了一種計算機程序產(chǎn)品�,其包括在數(shù)據(jù)處理主機上運行時�����、使所述數(shù)據(jù)處理主機執(zhí)行根據(jù)第一方面的方法的指令��。
用戶訪問請求可用來讀取�����、更新�、或刪除包含在企業(yè)實體定義中的信息的全部或子集。如果該請求用來讀取企業(yè)服務(wù)定義��,則它可以是讀取特定企業(yè)實體定義����、或滿足在該請求中指定的搜索標準的企業(yè)實體定義的請求。例如�,可使用該搜索標準來定位企業(yè)實體定義、并確定用戶希望訪問該企業(yè)實體定義中的何種信息��。
可選地����,企業(yè)實體定義可包括多個信息元素,并且���,許可細節(jié)與這些信息元素中的每個相關(guān)聯(lián)����。結(jié)果��,許可細節(jié)可用來僅拒絕對該許可細節(jié)表明用戶不具有所需許可的那些信息元素的用戶訪問�����。然而注意���,這不需要企業(yè)實體定義中的所有信息元素具有所關(guān)聯(lián)的許可細節(jié)��。此外注意�����,不必確定用戶是否具有訪問具有所關(guān)聯(lián)的許可細節(jié)的所有信息元素的許可��,而可僅確定用戶是否具有訪問該用戶已請求訪問的那些信息元素的許可���。
如果許可細節(jié)與企業(yè)實體定義中的多個信息元素相關(guān)聯(lián)����,則可使用訪問策略��,其用來使用與信息元素相關(guān)聯(lián)的許可細節(jié)和不同信息元素的許可細節(jié)兩者��,確定用戶是否具有訪問信息元素的許可�����。例如���,如果信息元素是分級形式����、使得第一信息元素包含一個或多個第二信息元素�����,那么���,如果用戶不具有訪問包含在其內(nèi)的第二信息元素的全部或子集的訪問權(quán)����,則可拒絕對第一信息元素的訪問。
例如�,許可細節(jié)可包括具有對企業(yè)實體定義或企業(yè)服務(wù)定義的信息元素的訪問權(quán)的一個或多個客戶或用戶的標識符、和/或一個或多個客戶或用戶群的標識符��,其中�����,許可細節(jié)與企業(yè)實體定義相關(guān)聯(lián)����。此外�;還可指示標識符所具有的訪問級別,例如����,讀取、更新和刪除���。此外���,可以各種格式來存儲許可細節(jié),例如,以作為包含用戶和每個用戶的訪問權(quán)的列表的文件的訪問控制列表(ACL)來存儲許可細節(jié)�����。
優(yōu)選地�����,從文件系統(tǒng)得到許可細節(jié)�,其中,它們與企業(yè)實體定義或企業(yè)實體定義中的信息元素的關(guān)聯(lián)性用來確定它們在該文件系統(tǒng)中的位置�����。例如����,如果唯一密鑰與企業(yè)實體定義和包含在其內(nèi)的每個信息元素相關(guān)聯(lián),則與信息元素相關(guān)聯(lián)的ACL將位于由企業(yè)實體定義的密鑰和信息元素的密鑰所定義的目錄中�����。結(jié)果���,可容易地定位許可細節(jié)�,并且,企業(yè)實體定義不需要為了包含或引用許可細節(jié)而更新�。可替換地���,許可細節(jié)可被包括在企業(yè)實體定義或企業(yè)實體定義中的信息元素中���,或從企業(yè)實體定義或企業(yè)實體定義中的信息元素對其進行引用,其中���,許可細節(jié)與企業(yè)實體定義相關(guān)聯(lián)。
可選地��,注冊中心是UDDI注冊中心��,而企業(yè)實體定義中的信息是企業(yè)實體信息元素,其中企業(yè)實體信息元素包含一個或多個企業(yè)服務(wù)信息元素�����,每個企業(yè)服務(wù)包含一個或多個綁定模板信息元素�����,而每個綁定模板包含一個或多個引用����,每個引用用于引用技術(shù)模型信息元素。
可選地�����,該用戶可以是網(wǎng)絡(luò)用戶����,其通過因特網(wǎng)與UDDI注冊中心通信,以得到可在因特網(wǎng)上訪問的網(wǎng)絡(luò)服務(wù)的細節(jié)�����。
現(xiàn)在將通過參照如附圖所示的本發(fā)明的優(yōu)選實施例�、僅通過例子來描述本發(fā)明,其中圖1是可有利地應用本發(fā)明的優(yōu)選實施例的數(shù)據(jù)處理環(huán)境的方框圖�����;圖2是根據(jù)現(xiàn)有技術(shù)的UDDI規(guī)范的企業(yè)實體定義中的主信息元素的示意圖�����;圖3是示出根據(jù)現(xiàn)有技術(shù)的UDDI規(guī)范���、用戶試圖訪問他們不具有所需的訪問許可的企業(yè)服務(wù)的例子的示意圖�;圖4是根據(jù)本發(fā)明的優(yōu)選實施例的、企業(yè)實體定義和所關(guān)聯(lián)的訪問控制列表的示意圖�;圖5是示出根據(jù)本發(fā)明的優(yōu)選實施例、用戶試圖訪問他們不具有訪問許可的企業(yè)服務(wù)的例子的示意圖����;以及圖6是根據(jù)本發(fā)明的優(yōu)選實施例的、UDDI注冊中心和訪問管理器所遵循的方法的概述的流程圖��。
具體實施例方式
在圖1中�,客戶機/服務(wù)器數(shù)據(jù)處理主機10通過網(wǎng)絡(luò)11(例如,其可以是因特網(wǎng))而被連接到其它客戶機/服務(wù)器數(shù)據(jù)處理主機12和13���。在優(yōu)選實施例中,UDDI注冊中心可被安裝在任意這種客戶機/服務(wù)器上����,并從使用同一或另一個客戶機/服務(wù)器數(shù)據(jù)處理主機的用戶接受定義/更新網(wǎng)絡(luò)服務(wù)的細節(jié)的請求、或得到網(wǎng)絡(luò)服務(wù)的細節(jié)�����?���?蛻魴C/服務(wù)器10具有處理器101��,用于運行控制客戶機/服務(wù)器10的操作的程序�;RAM易失性存儲元件102�;非易失性存儲器103;以及網(wǎng)絡(luò)連接器104��,用于與網(wǎng)絡(luò)11對接���,以便與其它客戶機/服務(wù)器12和13通信����。
關(guān)于根據(jù)UDDI規(guī)范的企業(yè)實體定義和UDDI注冊中心而討論優(yōu)選實施例����。UDDI規(guī)范定義了一組XML大綱,它們是用于創(chuàng)建企業(yè)實體的定義的模板�����。結(jié)果�,企業(yè)實體定義可以是一個或多個這些所定義的XML大綱的實例。
圖2是根據(jù)現(xiàn)有技術(shù)的UDDI規(guī)范的示例企業(yè)實體定義的主要組成部分的示意圖�����。企業(yè)實體定義提供了由企業(yè)向UDDI注冊中心提供的服務(wù)的細節(jié)。企業(yè)實體定義包括企業(yè)實體(businessEntity)201�����,其包括關(guān)于企業(yè)的描述性信息202�����、以及關(guān)于企業(yè)實體所提供的一個或多個企業(yè)服務(wù)的信息�����。描述性信息202包括企業(yè)的名稱和描述����、一個或多個標識符���、以及一個或多個類別��。標識符用來唯一地識別企業(yè)���,而一個或多個類別用來識別例如企業(yè)的行業(yè)類型�、產(chǎn)品類型�、以及地理位置。關(guān)于企業(yè)所提供的服務(wù)的信息是一個或多個企業(yè)服務(wù)(businessService)實體203�。
每個企業(yè)服務(wù)實體203還提供關(guān)于服務(wù)的描述性和技術(shù)信息。描述性信息204包括服務(wù)的名稱和描述����、以及應用于服務(wù)的一個或多個類別。技術(shù)信息包括一個或多個綁定模板(binding template)205��,每個綁定模板205包括綁定描述�����、應用于該綁定的一個或多個類別��、各自引用技術(shù)模型(tModel)207的一個或多個引用�����、以及定義可聯(lián)系服務(wù)的端點地址的接入點(accessPoint)�。在UDDI中,tModel可用于各種目的��,盡管主要目的是提供使用戶能夠做出對由包含服務(wù)的企業(yè)服務(wù)實體所定義的服務(wù)的請求的信息。因而��,tModel可包括這樣的信息���,如服務(wù)所支持的接口和通信協(xié)議�����,盡管可使用多于一個tModel來提供這樣的信息�����。由此���,如果服務(wù)提供多于一個綁定模板,則它將支持多于一種與它通信的方法�。
注意,圖2僅圖解了可在企業(yè)實體定義中定義的信息的子集�����,例如�,企業(yè)實體描述性信息202可包括聯(lián)系細節(jié)�。此外,圖2未描述與一些信息部分(例如,類別)相關(guān)聯(lián)的復雜組成���。然而�,這樣的附加信息與本發(fā)明無關(guān)�����。
例如�����,描述一組網(wǎng)絡(luò)服務(wù)的企業(yè)實體定義可包括這種企業(yè)實體�,其指定名稱“A銀行(Abank)”;描述“A銀行是提供金融服務(wù)的基于網(wǎng)絡(luò)的銀行”����;類別“金融”和“英國(UK)”;標識符��,其包括“plc”和A銀行的公司注冊號����;以及3個企業(yè)服務(wù)實體,其描述企業(yè)實體所提供的帳戶���、股票�、以及退休金的服務(wù)。例如���,描述股票服務(wù)的企業(yè)服務(wù)實體可指定名稱“股票”���;描述“A銀行的股票服務(wù)”;類別“股票”和“英國”�;以及兩個綁定模板,其定義訪問股票服務(wù)的兩種不同方法�,一種方法用于買股票,而另一種方法用于賣股票��。例如�,描述買股票服務(wù)的綁定模板可指定描述“A銀行的股票購買服務(wù)”;類別“購買”和“倫敦證券交易所”���;指定可定位股票服務(wù)的URL的接入點�����;以及對兩個tModel的引用����,其中一個tModel用于希望使用基于超文本傳輸協(xié)議的簡單對象訪問協(xié)議(SOAP/HTTP)來訪問服務(wù)的用戶,而另一個tModel使用因特網(wǎng)Orb間協(xié)議(Internet Inter-Orb Protocol�,IIOP)����。例如,描述如何使用SOAP/HTTP來訪問股票購買服務(wù)的tModel將包括指定SOAP/HTTP以及購買查詢(purchaseEnquiry)���、購買確認(purchaseConfirm)和購買拒絕(purchaseDecline)請求的規(guī)范的信息�。注意�����,在此例子中����,為類別而指定的值將來自用戶熟悉的預定義且公知的分類法。
圖3是示出根據(jù)現(xiàn)有技術(shù)UDDI規(guī)范����、用戶試圖訪問其不具有訪問許可的服務(wù)的例子的示意圖。使用機器客戶機X 301的用戶首先向UDDI注冊中心302發(fā)送請求(311)�,其指定他們希望得到在英國可用的股票購買服務(wù)的細節(jié)。UDDI注冊中心隨后在其數(shù)據(jù)庫303中搜索已向它注冊的企業(yè)實體定義304�����。它找到包括如上所述用于A銀行305的企業(yè)實體定義的幾個企業(yè)實體定義,并向用戶的客戶機X 301返回(312)它們的細節(jié)����。用戶更愿意使用A銀行,并選擇使用SOAP/HTTP進行通信�,并且,結(jié)果����,客戶機X 301使用SOAP/HTTP向A銀行發(fā)送購買查詢請求(313),其指定用戶的用戶ID(userID)���,例如“Alex”����。然而����,A銀行需要用戶在訪問其股票服務(wù)之前完成離線注冊過程,而“Alex”之前未完成此過程�����。結(jié)果,A銀行305拒絕(314)處理從“Alex”接收的購買查詢請求���,而“Alex”隨后接收到對該請求的錯誤響應?��,F(xiàn)在��,用戶必須從先前由UDDI注冊中心302返回(312)的那些服務(wù)中選擇不同企業(yè)實體的不同股票服務(wù)來使用���。注意��,由用戶發(fā)送到UDDI注冊中心302的請求(311)也可用來得到專用于A銀行的細節(jié)����。
根據(jù)本發(fā)明���,在圖3的例子中����,客戶機X 301的用戶在選擇A銀行服務(wù)305和向它發(fā)送購買查詢請求(313)時已使用了不必要的時間和資源����。此外��,A銀行服務(wù)305在處理和拒絕來自未授權(quán)的用戶的請求時已使用了不必要的時間和資源��。結(jié)果�����,如果不向用戶返回如由A銀行所提供的�、未被授權(quán)訪問的網(wǎng)絡(luò)服務(wù)的細節(jié)���,那么將會更好����。
根據(jù)本發(fā)明的優(yōu)選實施例��,將外部訪問管理器配置到UDDI注冊中心中�,以便可為在注冊中心中保持的企業(yè)實體定義中的一個或多個信息元素(例如企業(yè)實體、企業(yè)服務(wù)實體等)定義訪問控制列表(ACL)�����。隨后���,使用ACL來控制允許哪些用戶查看/讀取���、更新和/或刪除該實體�。注意�,對于更新和刪除來說,ACL超越了標準UDDI行為�����,所述標準UDDI行為是只有創(chuàng)建該實體的用戶才可更新它或刪除它�。此外注意��,例如���,ACL可包括指定特定用戶的標識符��、和/或指定一群用戶的標識符����,并且��,還包括每個用戶或每群用戶的細節(jié)���,即允許用戶執(zhí)行哪個操作�,如讀取、更新和/或刪除�。
圖4是根據(jù)本發(fā)明的優(yōu)選實施例的示例企業(yè)實體定義的示意圖。該圖具有與圖2共同的部分�,并且,對于共同的部分使用相同的標號���。然而�����,該圖還包括訪問控制列表401��、402���、403和404。ACL 401與企業(yè)實體201相關(guān)聯(lián)���,并包含可訪問該企業(yè)實體�、以及包含在其中的描述性信息202的用戶的列表��。該企業(yè)實體包括幾個企業(yè)服務(wù)實體203���,每個企業(yè)服務(wù)實體203還與ACL 402相關(guān)聯(lián)����。如果僅可訪問企業(yè)實體定義的用戶的子集可訪問企業(yè)服務(wù)實體,則企業(yè)服務(wù)實體需要ACL 402�����,并且因此���,ACL 402包含在ACL 401中列出的用戶的子集�����。在每個企業(yè)服務(wù)實體內(nèi)有幾個綁定模板�,每個所述綁定模板與ACL 403相關(guān)聯(lián)�����。如果僅可訪問企業(yè)實體的用戶的子集也可訪問綁定模板�,則綁定模板需要ACL 403�。在每個綁定模板內(nèi)有對一個或多個tModel的引用,其中每個tModel還與ACL 404相關(guān)聯(lián)��。注意,tModel是從綁定模板被引用的���,而不是包括在綁定模板中��,并且結(jié)果���,可從多于一個綁定模板、以及從不同的企業(yè)實體定義引用相同的tModel��。這意味著ACL 404不必包含在ACL 403中定義的用戶的子集�����,而是包含更一般的列表��,其可應用于引用它的所有企業(yè)實體定義位置�����。
例如���,描述提供在企業(yè)服務(wù)實體中的定義的帳戶�、股票和退休金網(wǎng)絡(luò)服務(wù)的X銀行(Xbank)企業(yè)實體的企業(yè)實體定義可具有如現(xiàn)在所描述的關(guān)聯(lián)的ACL���。該銀行允許來自英國的所有用戶訪問其服務(wù)��,于是�,與企業(yè)實體相關(guān)聯(lián)的ACL指定定義英國用戶的群。然而�����,股票服務(wù)限于4種注冊用戶信任的證券商(DealerTrusted)����、證券商(Dealer)、信任的出價者(PricerTrusted)��、以及出價者(Pricer)��。結(jié)果�,與定義股票服務(wù)的企業(yè)服務(wù)實體相關(guān)聯(lián)的ACL僅列出這四種用戶。定義股票服務(wù)的企業(yè)服務(wù)實體包括兩個綁定模板��,一個用于得到股票的價格�����,并且一個用于得到股票的價格和交易���?!靶湃蔚淖C券商(DealerTrusted)”和“證券商(Dealer)”是證券商(dealer)���,并且結(jié)果�����,與用于得到股票的價格和交易的綁定模板相關(guān)聯(lián)的ACL僅列出這兩種用戶�����。信任的出價者和出價者僅做出價格查詢����,并且結(jié)果���,與用于得到股票報價的綁定模板相關(guān)聯(lián)的ACL僅包含這兩種用戶���。用于得到股票的價格和交易的綁定模板包含對四個tModel的引用tMDealSecure、tMDeal��、tMPriceSecure����、以及tMPrice���。tMDealSecure和tMDeal描述如何訪問交易功能,tMDealSecure使用安全連接��,而tMDeal使用非安全連接�。tMPriceSecure和tMPrice描述如何訪問獲得價格功能,tMPriceSecure使用安全連接����,而tMPrice使用非安全連接。用于獲得價格的綁定模板包含對兩個tModel的引用�����,即tMPriceSecure�����、以及tMPrice�。與每個tModel相關(guān)聯(lián)的是ACL。用于tMDealSecure的ACL僅列出不是所信任的證券商的證券商�����,并且因此����,必定使用安全連接。用于tMDeal的ACL僅列出作為安全證券商�、并且被信任的被信任證券商,以使用非安全連接來訪問服務(wù)�。用于tMPriceSecure的ACL列出證券商和出價者,這是因為它們均不是被信任的����,因此必須使用安全連接。最后�,用于tMPrice的ACL列出安全證券商(DealerSecure)和安全出價者(PricerSecure),因為所述兩者均是安全和被信任的�,以使用非安全連接來訪問服務(wù)。
注意��,在另一個實施例中�,分級的信息元素(企業(yè)實體、企業(yè)服務(wù)��、綁定模板���、tModel)中的一個或多個可能不具有所關(guān)聯(lián)的ACL����。在此情況下,可假定所有能夠訪問信息元素的用戶也可訪問包含在不具有所關(guān)聯(lián)的ACL的信息元素內(nèi)的任意信息元素�。例如,如果綁定模板不具有所關(guān)聯(lián)的ACL���,則假定可訪問包含它在內(nèi)的企業(yè)服務(wù)的所有用戶也可訪問該綁定模板���。
在優(yōu)選實施例中,ACL使用虛擬文件系統(tǒng)與企業(yè)實體定義相關(guān)聯(lián)����。例如,在UDDI中�,每個信息元素可與唯一密鑰(unique key)相關(guān)聯(lián),使得每個企業(yè)實體����、企業(yè)服務(wù)、綁定模板����、以及tModel具有唯一密鑰。因此,這些密鑰可用來從跟隨與企業(yè)實體定義相同分級的目錄結(jié)構(gòu)訪問ACL��。結(jié)果�����,例如��,如果用于X銀行企業(yè)實體的密鑰是“X銀行”�,則用于X銀行股票企業(yè)服務(wù)實體的密鑰是“股票”����,而用于股票服務(wù)綁定模板的密鑰是“證券商”和“出價者”,將ACL置于如下的目錄結(jié)構(gòu)中/uddi/X銀行/<用于X銀行企業(yè)實體的ACL>
/uddi/X銀行/股票/<用于股票企業(yè)服務(wù)的ACL>
/uddi/X銀行/股票/證券商/<用于證券商綁定模板的ACL>
/uddi/X銀行/股票/出價者/<用于出價者綁定模板的ACL>
然而�,注意,為了說明的目的�,在此例子中使用的密鑰多少有些簡單,與其它企業(yè)實體相比并不見得是唯一的�����。在實踐中���,為了獲得唯一性��,密鑰很可能更為復雜���,并包括UUID(通用唯一標識符)�。
在另一個實施例中�����,可將企業(yè)實體定義更新為包括適當?shù)腁CL���、或?qū)m當ACL的引用���。
圖5是示出根據(jù)本發(fā)明優(yōu)選實施例的、用戶試圖訪問他們不具有所需的訪問許可的企業(yè)服務(wù)的例子的示意圖���。該圖具有與圖3共同的部分���,并且,對共同的部分使用相同的標號���。使用機器客戶機X 301的用戶首先向UDDI注冊中心302發(fā)送請求(511)���,其指定他們希望獲得在英國可用的股票購買服務(wù)的細節(jié)。用戶請求(511)還包括用戶的標識符,例如“Fred”��,例如���,通過在客戶機X 301中運行的中間件�����,而將該標識符添加到與該流程相關(guān)聯(lián)的上下文。隨后�,UDDI注冊中心在其數(shù)據(jù)庫303中搜索已向其注冊的企業(yè)實體定義304中提供所請求的服務(wù)的那些企業(yè)實體定義。它找到并保留幾個適合的企業(yè)實體的列表��,所述企業(yè)實體中的一個是X銀行502��。通過UDDI注冊中心而配置訪問管理器501��,UDDI注冊中心隨后請求訪問管理器501檢查與已定位的企業(yè)實體定義中的任意相關(guān)信息元素相關(guān)聯(lián)的每個ACL 504����。所述檢查利用用戶請求(511)而使用包括在上下文中的用戶標識符。例如�,通過參照以上例子,X銀行企業(yè)實體對在英國的所有用戶允許訪問��,其中,“Fred”是所述用戶中的一個���。然而�,X銀行股票服務(wù)對于“Fred”來說是不可訪問的��,這是因為它僅對4種用戶允許訪問�,即信任的證券商、證券商�����、信任的出價者�、以及出價者。結(jié)果�����,訪問管理器(501)向UDDI注冊中心表明驗證失敗�,結(jié)果,從由該注冊中心返回的服務(wù)的列表中移除X銀行的細節(jié)���。一旦UDDI注冊中心已使用訪問管理器來檢查該列表中的所有企業(yè)實體�����,那么����,它僅向客戶機X 301返回(512)它具有訪問許可的那些企業(yè)實體。
注意���,在圖5的例子中��,該用戶請求將獲得滿足搜索標準的企業(yè)實體的列表�����。在另一個實施例中,該請求可用于特定企業(yè)實體的細節(jié)�、或用來更新或刪除企業(yè)實體的XML大綱。
還要注意����,向UDDI注冊中心提供用于其企業(yè)實體定義的適合的許可列表(如ACL)是企業(yè)提供商的責任。結(jié)果�����,因為UDDI注冊中心和企業(yè)很有可能處于不同的安全域中��、并因此不具有對相同的許可列表的訪問權(quán),對于UDDI注冊中心可用的許可列表可能變成過期的��。結(jié)果��,用戶有可能將不會被提供他具有訪問權(quán)的服務(wù)的細節(jié)����,或者,他可能被提供他不具有訪問權(quán)的服務(wù)的細節(jié)����。
圖6是根據(jù)本發(fā)明的優(yōu)選實施例、UDDI注冊中心和訪問管理器所遵循的主要方法步驟的流程圖����。在步驟601,從用戶接收訪問企業(yè)實體定義的請求�����。由該請求所指定的訪問類型可更新�����、刪除或讀取企業(yè)實體定義��。在步驟602,定位被請求訪問的企業(yè)實體定義����,并且在步驟603,從在步驟601與該請求一起發(fā)送的信息中獲得用戶的標識符��。該標識符可用于特定用戶�、或一群用戶,并且隨后����,將其連同所搜尋的一個或多個企業(yè)實體定義的細節(jié)和訪問類型一起提供到訪問管理器。在步驟604��,例如��,訪問管理器通過在訪問管理器已知的虛擬文件系統(tǒng)中定位與該企業(yè)實體定義相關(guān)聯(lián)的許可細節(jié)���,而定位它們,并且隨后��,在步驟605�����,根據(jù)許可細節(jié)而查看所識別的用戶是否具有訪問企業(yè)實體定義、或一個或多個包含在其內(nèi)的信息元素的所需許可�。如果該用戶不具有所需許可,則在步驟606��,拒絕用戶請求���,并返回錯誤�。然而��,如果該用戶確實具有所需許可���,則在步驟607�,允許訪問該企業(yè)實體定義的該請求���。用戶還有可能僅具有對該企業(yè)實體定義的有限訪問權(quán)�����,并且���,若如此,則步驟607僅允許對用戶具有訪問權(quán)的該企業(yè)實體定義的子集的訪問����。
注意����,圖6的流程圖是被簡化的�,并且,所述步驟不一定必須以所指定的次序來進行�����。例如���,給定具有各自用于企業(yè)實體定義中的不同信息元素的多個所關(guān)聯(lián)的許可細節(jié)的企業(yè)實體定義��,可以循環(huán)方式進行步驟604和605���,以便獲得許可細節(jié),隨后��,依次檢查每個信息元素���。此外,如果該請求是讀取請求��,則它可指定搜索標準,UDDI注冊中心定位滿足該標準的一個或多個企業(yè)實體定義�����。在此情況下���,步驟604����、605���、606和607可處于循環(huán)中�����,其依次檢查一個或多個企業(yè)實體定義中的每個��。
注意�,本領(lǐng)域的技術(shù)人員將意識到�����,可用各種編程語言來實現(xiàn)通過參照圖6而描述的方法,例如�,JavaTM、C����、以及C++(Java是Sun Microsystems公司在美國、其它國家�、或所述兩者中的注冊商標)。此外���,本領(lǐng)域的技術(shù)人員將意識到�,一旦被實現(xiàn)����,便可將所述方法以源或可運行的形式而存儲在諸如軟盤、CD����、以及DVD的介質(zhì)上的包括一個或多個程序的計算機程序產(chǎn)品中,所述介質(zhì)適合于加載到數(shù)據(jù)處理主機��,并使數(shù)據(jù)處理主機執(zhí)行所述方法�。
此外注意,盡管已關(guān)于UDDI注冊中心而描述了本發(fā)明���,但本領(lǐng)域的技術(shù)人員將意識到���,可實現(xiàn)并非UDDI注冊中心、但提供與UDDI注冊中心類似的功能的注冊中心��。
由此���,根據(jù)本發(fā)明�,例如UDDI注冊中心的注冊中心根據(jù)與企業(yè)服務(wù)定義相關(guān)聯(lián)的許可細節(jié)��,限制對包含在該注冊中心中的企業(yè)實體定義的訪問��。企業(yè)實體定義可包括多個信息元素�。隨后,定義具有訪問信息元素的許可的用戶或用戶群的許可細節(jié)與這些信息元素中的一個或多個相關(guān)聯(lián)�����。當接收到訪問企業(yè)實體定義的用戶請求時���,將訪問僅限于用戶具有所需的許可的那些信息元素��。
權(quán)利要求
1.一種用于企業(yè)實體定義的注冊中心處理訪問企業(yè)實體定義的用戶請求的方法���,該方法包括以下步驟從用戶接收訪問企業(yè)實體定義的請求�����;從與該請求相關(guān)聯(lián)的數(shù)據(jù)獲得用戶的身份���;根據(jù)與企業(yè)實體定義和用戶的身份相關(guān)聯(lián)的許可細節(jié),確定該用戶是否具有訪問該企業(yè)實體定義中的信息的許可����;以及如果確定該用戶不具有許可,則拒絕對該企業(yè)實體定義中的信息的用戶訪問�。
2.如權(quán)利要求1所述的方法,其中����,該請求指定搜索標準,并且該方法還包括以下步驟使用該搜索標準來定位企業(yè)實體定義����,并確定用戶希望訪問該企業(yè)實體定義中的何種信息。
3.如權(quán)利要求1或2所述的方法�,其中企業(yè)實體定義中的信息包括多個信息元素,每個信息元素具有與其相關(guān)聯(lián)的許可細節(jié)�����;確定步驟根據(jù)與每個信息元素相關(guān)聯(lián)的許可細節(jié)確定用戶是否具有訪問該信息元素的許可;并且����,拒絕步驟拒絕對確定了該用戶不具有許可的那些信息元素的用戶訪問�。
4.如權(quán)利要求3所述的方法,其中�����,確定步驟還根據(jù)訪問策略�、以及與不同信息元素相關(guān)聯(lián)的許可細節(jié),確定用戶是否具有訪問信息元素的許可���。
5.如權(quán)利要求4所述的方法��,其中�����,信息元素是分級形式��,并且如果與直接在分級中的第一信息元素之下的一個或多個第二信息元素相關(guān)聯(lián)的許可細節(jié)表明該用戶不具有對第二信息元素中的一個或多個的訪問權(quán)��,則確定步驟確定用戶不具有訪問第一信息元素的許可���。
6.如權(quán)利要求3����、4和5中任一所述的方法��,還包括以下步驟在文件系統(tǒng)中定位許可細節(jié)����,其中許可細節(jié)位于文件系統(tǒng)中根據(jù)與許可細節(jié)相關(guān)聯(lián)的信息元素而定義的位置。
7.如任一前述權(quán)利要求所述的方法�,其中,該注冊中心是UDDI注冊中心�����,而企業(yè)實體定義中的信息是企業(yè)實體信息元素����,其中企業(yè)實體信息元素包含一個或多個企業(yè)服務(wù)實體信息元素,每個企業(yè)服務(wù)實體包含一個或多個綁定模板信息元素��,而每個綁定模板包含一個或多個引用�,每個引用引用技術(shù)模型信息元素��。
8.一種企業(yè)實體定義的注冊中心����,用于處理訪問企業(yè)實體定義的請求�,該注冊中心包括用于從用戶接收訪問企業(yè)實體定義的請求的裝置;用于從與該請求相關(guān)聯(lián)的數(shù)據(jù)獲得用戶的身份的裝置�;用于根據(jù)與企業(yè)實體定義和用戶的身份相關(guān)聯(lián)的許可細節(jié)而確定該用戶是否具有訪問該企業(yè)實體定義中的信息的許可的裝置;以及用于如果確定該用戶不具有許可��、則拒絕對該企業(yè)實體定義中的信息的用戶訪問的裝置��。
9.如權(quán)利要求1所述的注冊中心����,其中�����,該請求指定搜索標準�,并且,該注冊中心還包括用于使用該搜索標準來定位企業(yè)實體定義���、并確定用戶希望訪問該企業(yè)實體定義中的何種信息的裝置�。
10.如權(quán)利要求8或9所述的注冊中心,其中企業(yè)實體定義中的信息包括多個信息元素��,每個信息元素具有與多個信息元素中的每個相關(guān)聯(lián)的許可細節(jié)���;用于確定的裝置根據(jù)與每個信息元素相關(guān)聯(lián)的許可細節(jié)確定用戶是否具有訪問該信息元素的許可�;并且����,用于拒絕的裝置拒絕對確定了該用戶不具有許可的那些信息元素的用戶訪問。
11.如權(quán)利要求10所述的注冊中心����,其中,確定裝置還根據(jù)訪問策略����、以及與不同信息元素相關(guān)聯(lián)的許可細節(jié),確定用戶是否具有訪問信息元素的許可�����。
12.如權(quán)利要求11所述的注冊中心�,其中信息元素是分級形式,并且��,如果與直接在分級中的第一信息元素之下的一個或多個第二信息元素相關(guān)聯(lián)的許可細節(jié)表明該用戶不具有對第二信息元素中的一個或多個的訪問權(quán),則訪問策略指定用戶不具有訪問第一信息元素的許可�。
13.如權(quán)利要求10、11和12中任一所述的注冊中心�����,還包括用于在文件系統(tǒng)中定位許可細節(jié)的裝置���,其中�����,許可細節(jié)位于文件系統(tǒng)中根據(jù)與許可細節(jié)相關(guān)聯(lián)的信息元素而定義的位置。
14.如權(quán)利要求8至13中任一所述的注冊中心�,其中,該注冊中心是UDDI注冊中心�,而企業(yè)實體定義中的信息是企業(yè)實體信息元素,其中企業(yè)實體信息元素包含一個或多個企業(yè)服務(wù)實體信息元素���,每個企業(yè)服務(wù)實體包含一個或多個綁定模板信息元素�,而每個綁定模板包含一個或多個引用��,每個引用引用技術(shù)模型信息元素���。
15.一種用于處理訪問企業(yè)實體定義的用戶請求的注冊中心服務(wù)�,提供該服務(wù)包括以下步驟從用戶接收訪問企業(yè)實體定義的請求;從與該請求相關(guān)聯(lián)的數(shù)據(jù)獲得用戶的身份���;根據(jù)與企業(yè)實體定義和用戶的身份相關(guān)聯(lián)的許可細節(jié)����,確定該用戶是否具有訪問該企業(yè)實體定義中的信息的許可�;以及如果確定該用戶不具有許可,則拒絕對該企業(yè)實體定義中的信息的用戶訪問����。
16.一種計算機程序產(chǎn)品,其包括在數(shù)據(jù)處理主機上運行時��、使所述數(shù)據(jù)處理主機執(zhí)行根據(jù)權(quán)利要求1至7中任一所述的方法的指令����。
全文摘要
本發(fā)明提供了用于例如UDDI注冊中心的注冊中心的設(shè)備、方法�����、以及計算機程序產(chǎn)品,以根據(jù)與企業(yè)服務(wù)定義相關(guān)聯(lián)的許可細節(jié)����,限制對包含在注冊中心中的企業(yè)實體定義的訪問。企業(yè)實體定義可包括多個信息元素�。隨后,定義具有訪問信息元素的許可的用戶或用戶群的許可細節(jié)與這些信息元素中的一個或多個相關(guān)聯(lián)����。當接收到訪問企業(yè)實體定義的用戶請求時,將訪問僅限于用戶具有所需許可的那些信息元素�。
文檔編號G06F21/62GK1764880SQ200380110244
公開日2006年4月26日 申請日期2003年12月12日 優(yōu)先權(quán)日2003年6月26日
發(fā)明者約翰·科爾格拉夫 申請人:國際商業(yè)機器公司