亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

用名稱空間和策略來調(diào)整信任關(guān)系的方法和系統(tǒng)的制作方法

文檔序號:7910047閱讀:156來源:國知局
專利名稱:用名稱空間和策略來調(diào)整信任關(guān)系的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及一種改善的數(shù)據(jù)處理系統(tǒng),特別涉及一種用于多個計算機(jī)的數(shù)據(jù)傳遞方法和裝置。本發(fā)明尤其特別針對組成網(wǎng)絡(luò)的計算機(jī)系統(tǒng)。
背景技術(shù)
英特網(wǎng)已經(jīng)大大地便利了用于多種用途的信息交換。很多應(yīng)用程序結(jié)合了英特網(wǎng)的相關(guān)標(biāo)準(zhǔn),從而使企業(yè)在通過英特網(wǎng)進(jìn)行合作的同時能夠維護(hù)私有網(wǎng)絡(luò)。隨著用英特網(wǎng)連接的應(yīng)用程序變得更加復(fù)雜和企業(yè)更加認(rèn)識到通過英特網(wǎng)進(jìn)行合作能實現(xiàn)的商業(yè)好處時,企業(yè)已經(jīng)表達(dá)了增加合作層級的愿望,特別是通過引入新近開發(fā)的標(biāo)準(zhǔn)的web服務(wù)的愿望。Web服務(wù)是自包容的、自描述的、模塊化的應(yīng)用程序,該應(yīng)用程序能在萬維網(wǎng)的全部范圍內(nèi)被發(fā)布、定位、和調(diào)用。Web服務(wù)能執(zhí)行各種簡單的功能或復(fù)雜的商業(yè)處理。一旦配置了一個Web服務(wù),其它的應(yīng)用程序,包括其它的web服務(wù),能發(fā)現(xiàn)和調(diào)用所配置的服務(wù)。
企業(yè)一般希望在包括英特網(wǎng)的各種網(wǎng)絡(luò)的整體范圍內(nèi)以用戶友好的方式給所授權(quán)的用戶提供對web服務(wù)或所保護(hù)的其它類型的資源的安全訪問。雖然提供和信任相關(guān)的機(jī)制能減少對web服務(wù)的無授權(quán)訪問的風(fēng)險,但這些同樣的機(jī)制也可能變成對用戶和web服務(wù)進(jìn)行交互操作的屏障。例如,很多企業(yè)通過維護(hù)獨立的用戶注冊和使用基本的認(rèn)證口令來實現(xiàn)他們web服務(wù)的安全。在這種方式中,企業(yè)用它自己的一組用戶來維持它自己的一組信任關(guān)系并且通過使用認(rèn)證協(xié)議來和它的用戶建立信任關(guān)系。
但是,用戶通常期望具有從與其交互的一個web服務(wù)跳到另一個web服務(wù)的能力,而不需關(guān)心用于保護(hù)支持這些web服務(wù)的每一個特定系統(tǒng)的電子信任關(guān)系屏障。當(dāng)用戶變得更成熟時,他們期待web服務(wù)能夠合作,特別是對于關(guān)系信任的處理,以便減少用戶的負(fù)擔(dān)。例如,用戶可能假定一旦他或她已經(jīng)由某個web服務(wù)進(jìn)行了認(rèn)證,該認(rèn)證應(yīng)該在該用戶的整個工作時間段內(nèi)有效,或至少部分特定的時間段內(nèi)有效,而和各種對于該用戶來說幾乎不可視的計算機(jī)結(jié)構(gòu)范圍無關(guān)。企業(yè)通常想在他們所配置的web服務(wù)的操作特性中來滿足這些期望,不僅安撫用戶而且提高了用戶效率,無論該用戶效率涉及雇員生產(chǎn)率還是顧客的滿意度。
更具體地說,企業(yè)必須維護(hù)它們自己的信任域;如上所述,每一個企業(yè)用它自己的一組用戶或信任實體來維持它自己的一組信任關(guān)系,該組信任實體可以包括其它企業(yè)或系統(tǒng)。用戶期待更多的用戶友好性和對從一個域中的一個web服務(wù)移動到另一個域中的另一個web服務(wù)的較少或不經(jīng)常的屏障,不需考慮保護(hù)每一個特定域的屏障,即,不需考慮信任域邊界。使用戶在短期內(nèi)遇到多個和信任相關(guān)的難題可以大大地影響用戶的效率。
因此,正執(zhí)行合作性web服務(wù)的企業(yè)把向跨越信任域邊界的這些web服務(wù)提供接口以減少在那些邊界上不必要的屏障作為目的。在各種已用于減少在傳統(tǒng)環(huán)境中的用戶和計算機(jī)系統(tǒng)管理員的認(rèn)證負(fù)擔(dān)的技術(shù)中已經(jīng)可以看到這種努力。這些技術(shù)一般被描述為“一次性登錄”(SSO)過程,因為它們具有共同的目的在用戶已經(jīng)完成登錄操作后,即,在用戶已經(jīng)通過認(rèn)證后,該用戶隨后不需要去執(zhí)行另一次認(rèn)證操作;該用戶在特定的用戶任務(wù)期間僅被要求完成一次認(rèn)證過程。當(dāng)在給定的單一企業(yè)內(nèi)實施時,和在同質(zhì)環(huán)境下存在預(yù)先建立的商業(yè)協(xié)議的參與企業(yè)之間實施的有限的例子中,這種一次性登錄解決方案已經(jīng)成功了。使用這些商業(yè)協(xié)議,在某種程度上是用來建立信任和限制與定義企業(yè)之間如何用所信任的方式傳遞信息。這些商業(yè)協(xié)議也包括關(guān)于規(guī)則的技術(shù)性協(xié)議,所述規(guī)則是關(guān)于如何把用戶身份從一個企業(yè)翻譯或映射到另一個企業(yè),和如何在參加企業(yè)之間傳遞用于擔(dān)保用戶或用于其它用戶特定的操作的任何信息的規(guī)則。
換句話說,加入到這些商務(wù)環(huán)境其中之一的企業(yè)必須遵循預(yù)先定義的信任模型,因而限制了它的信息技術(shù)(IT)基礎(chǔ)結(jié)構(gòu)。但是,web服務(wù)正被集成進(jìn)活躍開放和異質(zhì)性環(huán)境的萬維網(wǎng)內(nèi)。通過一個或更多web服務(wù)和另一個企業(yè)建立伙伴關(guān)系的企業(yè)需要對它的數(shù)據(jù)、它的策略、和它與其它伙伴的交互作用保持控制。同時,企業(yè)需要支持信任建立機(jī)制和技術(shù)中的選擇自由、在信任關(guān)系周圍的策略自由、和在全異的信任模型之間的合作的web服務(wù)結(jié)構(gòu)。
因此,具有用于為跨越信任域邊界的全異信任模型提供接口和用于管理其中信任基礎(chǔ)結(jié)構(gòu)而不依靠單一信任管理者實體的域間和域內(nèi)信任關(guān)系的分布式信任基礎(chǔ)結(jié)構(gòu)將是很有優(yōu)勢的。用提供策略同步的方式管理信任基礎(chǔ)結(jié)構(gòu)將特別具有優(yōu)勢。

發(fā)明內(nèi)容
為一種分布式信任基礎(chǔ)結(jié)構(gòu)提出的一種方法、系統(tǒng)、裝置或計算機(jī)程序產(chǎn)品,所述分布式信任基礎(chǔ)結(jié)構(gòu)用于為跨越信任域邊界的全異信任模型提供接口和用于管理其中信任基礎(chǔ)結(jié)構(gòu)而不依賴于單一信任管理者實體的域內(nèi)和域間信任關(guān)系。通過使用信任鏈路來代表在信任域之間的信任關(guān)系。每一個信任鏈路使一個或多個名稱空間和信任啟示器(trust oracle)相關(guān)聯(lián),該信任啟示器是被授權(quán)負(fù)責(zé)可信地解決相對于相關(guān)聯(lián)的名稱空間的信任相關(guān)操作的服務(wù)。已知信任域的信任鏈路存儲在由在信任域內(nèi)所支持的信任鏈路參考代理程序所維護(hù)的數(shù)據(jù)庫內(nèi),在信任域內(nèi)的數(shù)據(jù)處理實體把和信任相關(guān)的操作指派給確定用于處理信任相關(guān)操作的適當(dāng)?shù)男湃螁⑹酒鞯男湃捂溌穮⒖即沓绦?;然后把該和信任相關(guān)的操作發(fā)送到用于解決方案的信任啟示器。此外,信任鏈路與指導(dǎo)信任鏈路管理的策略相關(guān)聯(lián)。


在所附權(quán)利要求中提出了本發(fā)明的新穎性特征。通過閱讀參考下列詳細(xì)說明和聯(lián)系附圖將能更好地理解本發(fā)明,及其本身的目的和優(yōu)點,其中圖1A描述了可以實現(xiàn)本發(fā)明的典型的分布式數(shù)據(jù)處理系統(tǒng);圖1B描述了可以實現(xiàn)本發(fā)明的能在數(shù)據(jù)處理系統(tǒng)內(nèi)使用的典型計算機(jī)結(jié)構(gòu);圖2描述了示出典型web服務(wù)事務(wù)處理的方框圖;圖3描述了示出在支持依照本發(fā)明的信任鏈路基礎(chǔ)結(jié)構(gòu)的信任域內(nèi)可以使用的元件組的方框圖;圖4描述了示出跨越支持依照本發(fā)明的信任鏈路基礎(chǔ)結(jié)構(gòu)的多個域中可以實現(xiàn)的元件集合;圖5描述了包含web服務(wù)、信任鏈路參考代理程序、信任啟示器、和信任鏈路管理代理程序的多個名稱空間的例子的方框圖;圖6描述了示出信任鏈路的生命周期的管理的綜述的流程圖;
圖7描述了示出用于創(chuàng)建依照本發(fā)明的一個實施例的信任鏈路的過程的流程圖;圖8描述了示出一個過程的流程圖,在該過程中依照本發(fā)明的一個實施例使用信任鏈路來對未決事務(wù)處理的繼續(xù)執(zhí)行起協(xié)助作用的信任啟示器的定位;圖9描述了示出由依照本發(fā)明的一個實施例的信任鏈路參考代理程序完成的過程的流程圖;和圖10描述了示出由依照本發(fā)明的一個實施例的信任啟示器完成的過程的流程圖。
具體實施例方式
通常,包括本發(fā)明或與本發(fā)明相關(guān)的設(shè)備包括各種廣泛的數(shù)據(jù)處理技術(shù)。因此,作為背景,在詳細(xì)地描述本發(fā)明之前將描述在分布式數(shù)據(jù)處理系統(tǒng)內(nèi)硬件和軟件元件的典型結(jié)構(gòu)。
現(xiàn)在參考附圖,圖1A描述了數(shù)據(jù)處理系統(tǒng)的典型網(wǎng)絡(luò),其中每一部分可以實現(xiàn)本發(fā)明的一個部分。分布式數(shù)據(jù)處理系統(tǒng)100包含網(wǎng)絡(luò)100,該網(wǎng)絡(luò)100是可以在分布式數(shù)據(jù)處理系統(tǒng)內(nèi)向互相連接的各種設(shè)備和計算機(jī)之間提供通信鏈路的介質(zhì)。網(wǎng)絡(luò)101可以包括例如電線或光纖電纜的永久連接或通過電話或無線通信構(gòu)成的臨時連接。在所描述的例子中,服務(wù)器102和服務(wù)器103與存儲單元104一起連接到網(wǎng)絡(luò)101。此外,客戶機(jī)105-107也連接到網(wǎng)絡(luò)101上??梢杂筛鞣N計算機(jī)設(shè)備,例如大型計算機(jī)、個人計算機(jī)、個人數(shù)字助理(PDA)等來表示客戶機(jī)105-107和服務(wù)器102-103。分布式數(shù)據(jù)處理系統(tǒng)100可以包括未示出的額外的服務(wù)器、客戶機(jī)、路由器、其它設(shè)備、和對等體系結(jié)構(gòu)。
在所描述的例子中,分布式數(shù)據(jù)處理系統(tǒng)100可以包括具有代表世界范圍的網(wǎng)絡(luò)集合的網(wǎng)絡(luò)101的英特網(wǎng)和使用各種協(xié)議,例如,輕型目錄訪問協(xié)議(LDAP)、傳輸控制協(xié)議與互聯(lián)網(wǎng)協(xié)議(TCP/IP)、超文本傳輸協(xié)議(HTTP)、無線應(yīng)用協(xié)議(WAP)等來進(jìn)行相互通信的網(wǎng)關(guān)。當(dāng)然,分布式數(shù)據(jù)處理系統(tǒng)100也可以包括多個不同類型的網(wǎng)絡(luò),例如,內(nèi)部網(wǎng)、局域網(wǎng)(LAN)、或?qū)捰蚓W(wǎng)(WAN)。例如,服務(wù)器102直接支持客戶機(jī)109和引入無線通信鏈路的網(wǎng)絡(luò)110。網(wǎng)絡(luò)使能上網(wǎng)的電話111通過無線鏈路112連接到網(wǎng)絡(luò)110,和PDA113通過無線鏈路114連接到網(wǎng)絡(luò)110。電話111和PDA113也能通過使用適當(dāng)技術(shù),例如藍(lán)牙無線技術(shù)來經(jīng)由無線鏈路115在它們之間傳遞數(shù)據(jù),以便產(chǎn)生所謂的個人區(qū)域網(wǎng)(PAN)或個人特定網(wǎng)。用相似的方式,PDA113能通過無線通信鏈路116把數(shù)據(jù)傳送給PDA107。
能夠在各種硬件平臺上實現(xiàn)本發(fā)明;圖1A被打算用作異質(zhì)性計算環(huán)境的例子而并不是作為對本發(fā)明的結(jié)構(gòu)的限制。
現(xiàn)在參照圖1B,該圖描述了數(shù)據(jù)處理系統(tǒng)的典型計算機(jī)結(jié)構(gòu),例如在可以實現(xiàn)本發(fā)明的圖1A中所顯示的那些。數(shù)據(jù)處理系統(tǒng)120包含一個或多個連接到內(nèi)部系統(tǒng)總線123的中央處理單元(CPU)122,所述內(nèi)部系統(tǒng)總線123和隨機(jī)存取存儲器(RAM)124、只讀存儲器126和輸入/輸出適配器128相互連接,該輸入/輸出適配器128支持各種I/O設(shè)備,例如打印機(jī)130、盤單元132、或其它未示出的設(shè)備,例如音頻輸出系統(tǒng)等。系統(tǒng)總線123也連接到對通信鏈路136提供接入的通信適配器134。用戶接口適配器148連接各種用戶設(shè)備,例如鍵盤140和鼠標(biāo)142,或未示出的其它設(shè)備,例如觸摸屏、輸入筆、麥克風(fēng)等。顯示適配器144將系統(tǒng)總線123連接到顯示設(shè)備146上。
本領(lǐng)域的那些技術(shù)人員應(yīng)理解圖1B中的硬件可以根據(jù)系統(tǒng)實現(xiàn)來變化。例如,系統(tǒng)可以具有一個或多個處理器,例如基于英特爾奔騰的處理器和數(shù)字信號處理器(DSP),和一種或多種類型的易失性和非易失性存儲器。其它外設(shè)設(shè)備可以用來作為補(bǔ)充或用于替代圖1B中所描述的硬件。所描述的例子不意味著對本發(fā)明的結(jié)構(gòu)進(jìn)行限制。
除了能夠在各種硬件平臺上實現(xiàn)外,在各種軟件環(huán)境中也可以實現(xiàn)本發(fā)明??梢允褂玫湫偷牟僮飨到y(tǒng)來控制在每一個數(shù)據(jù)處理系統(tǒng)內(nèi)的程序執(zhí)行。例如,一個設(shè)備可以運行Unix操作系統(tǒng),而另一個設(shè)備可包含簡單的Java運行時間環(huán)境。代表性的計算機(jī)平臺可以包括瀏覽器,該瀏覽器是眾所周知的軟件應(yīng)用程序,用于訪問各種格式中的超文本文檔資料,例如圖像文件、字處理文件、可擴(kuò)展置標(biāo)語言(XML)、超文本置標(biāo)語言(HTML)、手持設(shè)備標(biāo)記語言(HDML)、無線置標(biāo)語言(WML)、和其它各種格式和類型的文件。
可以在各種硬件和軟件平臺上實現(xiàn)本發(fā)明,如上述參照圖1A和圖1B所描述的。雖然,更具體地說,本發(fā)明著眼于管理在web服務(wù)結(jié)構(gòu)內(nèi)的信任關(guān)系,正如下面參照剩余的圖來較詳細(xì)地描述的。
用與現(xiàn)有技術(shù)系統(tǒng)相似的方式,在下面圖中所描述的web服務(wù)可以通過使用眾所周知的技術(shù)規(guī)范來操作,例如HTTP、XML、SOAP(簡單對象訪問協(xié)議)、UDDI(通用描述、發(fā)現(xiàn)和集成)、WSDL(web服務(wù)定義語言)、和其它技術(shù)規(guī)范。應(yīng)該注意的是雖然可以配置本發(fā)明的信任鏈路基礎(chǔ)結(jié)構(gòu)以和web服務(wù)交互操作,在不影響本發(fā)明的范圍的情況下也可以將本發(fā)明集成在其它類型的數(shù)據(jù)處理系統(tǒng)內(nèi)。例如,除了和web服務(wù)相互操作之外,本發(fā)明可以和其它類型的應(yīng)用程序或通常提供對資源、特別受保護(hù)的資源的訪問的實體進(jìn)行相互操作。受保護(hù)的資源是如果請求者被認(rèn)證和授權(quán)后才可訪問或取出的資源(應(yīng)用程序、對象、文檔資料、頁、文件、可執(zhí)行代碼、或其它計算資源、通信類型資源等)。此外,在圖中所顯示的信任鏈路基礎(chǔ)結(jié)構(gòu)可能僅僅表示具有額外部件的較大數(shù)據(jù)處理基礎(chǔ)結(jié)構(gòu)的某個部分的幾個部件。
還應(yīng)該注意的是在本發(fā)明內(nèi)使用的任何信任相關(guān)信息的內(nèi)容可以在不影響本發(fā)明的范圍內(nèi)變化;任何傳遞的信息可以被加密和/或添加數(shù)字簽名,以保護(hù)數(shù)據(jù)的秘密性和完整性。信任相關(guān)信息的例子可以包括例如用戶名/口令組合、數(shù)字證書、安全令牌、安全斷言的安全信息或其他任何可以被認(rèn)為與信任相關(guān)的操作或與信任相關(guān)的過程有關(guān)的信息。例如,請求者的信任相關(guān)信息可以包括在X.509公共密鑰數(shù)字證書內(nèi),該數(shù)字證書包含以主題名字的形式存在的請求者的信任相關(guān)標(biāo)識符。作為另一個例子,安全斷言標(biāo)記語言(SAML)斷言是可以使用在本發(fā)明之內(nèi),特別是主題標(biāo)識符斷言之內(nèi)的可能斷言格式的例子。已經(jīng)由非贏利的全球聯(lián)盟的結(jié)構(gòu)化信息標(biāo)準(zhǔn)增進(jìn)組織公布了SAML。在“用于OASIS安全斷言標(biāo)記語言(SAML)的斷言和協(xié)議”,委員會技術(shù)規(guī)范01,05/31/2002中描述了SAML。
還應(yīng)該注意的是在本發(fā)明內(nèi)執(zhí)行的任何和信任相關(guān)的操作都可以在不影響本發(fā)明的范圍的情況下變化。再參考作為信任相關(guān)信息的數(shù)字證書的例子,和信任相關(guān)的操作可以包括使用簽名者的公共密鑰證書來核實數(shù)字簽名。作為另一個例子,和信任相關(guān)的操作可以包括將安全斷言從第一斷言數(shù)據(jù)格式翻譯到第二斷言數(shù)據(jù)格式。還是作為另一個例子,和信任相關(guān)的操作可以包括將在第一信任域中有效的第一用戶標(biāo)識符映射到在第二域中有效的第二用戶標(biāo)識符上。又作為另外一個例子,和信任相關(guān)的操作可以包括安全詢問,例如,典型的用戶名/口令詢問。
現(xiàn)在參照圖2,該方框圖描述了典型的web服務(wù)事務(wù)處理。服務(wù)請求者200向在信任域206中的web服務(wù)204發(fā)送web服務(wù)請求消息202。web服務(wù)請求消息202包含請求者的信任相關(guān)信息208。可以依照web服務(wù)環(huán)境的要求來格式化web服務(wù)請求消息202。還應(yīng)該注意的是雖然這里的例子描述了通過消息進(jìn)行的信息傳遞,可以通過適當(dāng)?shù)膽?yīng)用程序可編程接口(API)或通過一些其它方法進(jìn)行信息傳遞來實現(xiàn)本發(fā)明。
在隨后的某個時間點,web服務(wù)204確定它需要調(diào)用在信任域212中的web服務(wù)210的功能,以便完成對服務(wù)請求者200未決的事務(wù)處理。Web服務(wù)204向信任域212中的web服務(wù)210發(fā)送web服務(wù)請求消息214。Web服務(wù)請求消息214包含請求者的信任相關(guān)信息208和可能還包括其它的web服務(wù)數(shù)據(jù)216。用這種方式,初步的事務(wù)處理可以產(chǎn)生由來自原始請求者的信任相關(guān)信息所伴隨的下游事務(wù)處理,該信任相關(guān)信息經(jīng)改變或未經(jīng)改變在web服務(wù)之間轉(zhuǎn)發(fā)。
現(xiàn)在參考圖3,該方框圖描述了在依照本發(fā)明的支持信任鏈路基礎(chǔ)結(jié)構(gòu)的信任域內(nèi)可以使用的一組元件。用與圖2相似的方式,信任域300處理包含請求者的信任相關(guān)信息304的web服務(wù)請求消息302。與圖2形成對比,web服務(wù)請求消息302起源于信任域300內(nèi),而不是起源于信任域300的外部;與圖2不同的這個差別強(qiáng)調(diào)了web服務(wù)請求消息或其它類型的資源請求在不影響本發(fā)明的處理的情況下可以起源于信任域的內(nèi)部或者外部的事實。此外,web服務(wù)請求消息302被示為正由信任鏈路處理模塊306,而不是由web服務(wù)進(jìn)行處理;與圖2不同的這個差別強(qiáng)調(diào)了本發(fā)明的功能在不影響本發(fā)明的范圍的情況下,可以用在很多不同的軟件平臺上的軟件(或硬件)的很多不同的方式被集成進(jìn)任何應(yīng)用程序運行時間環(huán)境中的事實。
用與圖2相似的方式,在隨后的某個時間點,信任域300中的web服務(wù)或其它實體確定未決的事務(wù)處理需要在另一個web服務(wù)或?qū)嶓w上進(jìn)行額外處理。再者,該web服務(wù)意識到它必須向其它web服務(wù)轉(zhuǎn)發(fā)請求者的信任相關(guān)信息。這個意識可以起因于web服務(wù)注冊表中其它web服務(wù)的公布要求或者來自其他一些信息交換。
此外,該web服務(wù)可能意識到其它web服務(wù)駐留在不同的信任域中;換句話說,需要信任相關(guān)信息的域間傳遞。因此,基于web服務(wù)和另一個web服務(wù)沒有駐留在同樣信任域中的事實,web服務(wù)不能假定它與其它web服務(wù)有內(nèi)在的信任關(guān)系。但是,應(yīng)該注意的是本發(fā)明在僅需要信任相關(guān)信息的域內(nèi)傳遞的場景中也是可操作的。
信任關(guān)系具有內(nèi)在的特性,例如,信任關(guān)系的一方不能違反已經(jīng)從信任關(guān)系的另一方接收的信息的完整性和秘密性。換句話說,在信任關(guān)系中假定信任關(guān)系的參與方僅根據(jù)由信任關(guān)系定義的約束來與信任關(guān)系以外的其它參與方分享秘密信息;但應(yīng)注意信任協(xié)定可以有多方參與。
在圖2中,假定web服務(wù)204和web服務(wù)210具有信任關(guān)系,以便web服務(wù)204能夠在不違反信任關(guān)系的情況下向web服務(wù)210轉(zhuǎn)發(fā)請求者的信任相關(guān)信息。換句話說,web服務(wù)210對請求者的信任相關(guān)信息的需要是在web服務(wù)204和web服務(wù)210之間的信任關(guān)系的范圍之內(nèi)。在這個場景中,可以假定web服務(wù)204和web服務(wù)210遵循同樣的信任模型,即,它們在同質(zhì)性的環(huán)境中操作。用這種方式,每一個web服務(wù)理解另一個web服務(wù)或其它多個web服務(wù)的信任相關(guān)要求,特別是對于任何信任相關(guān)信息的處理。
但是本發(fā)明預(yù)定在異質(zhì)性的環(huán)境中進(jìn)行操作,在該異質(zhì)性的環(huán)境中第一web服務(wù)不能假定第二web服務(wù)遵循與第一web服務(wù)遵循相同的信任模型。本發(fā)明為解決競爭利益,允許第一web服務(wù)假定當(dāng)其在和第二web服務(wù)(或者因為有很多中介,所以可以是任何介入的web服務(wù))之間已經(jīng)定義了信任關(guān)系時,如果需要的話,存在連接兩個web服務(wù)的信任模型的實體;在這里該實體被稱為信任啟示器(trust oracle)。如下面進(jìn)一步詳細(xì)說明的,信任啟示器是一種服務(wù),可能是一種由信任域所信任的web服務(wù),以便可信地解決與關(guān)聯(lián)名稱空間相對應(yīng)的信任相關(guān)操作。
再參考圖3,在事務(wù)處理期間隨后的某個時間點,信任域300中的信任鏈路處理模塊306確定未決的事務(wù)處理需要經(jīng)由另一個實體的額外處理。信任鏈路處理模塊306擁有與其它實體相關(guān)聯(lián)的某種形式的目標(biāo)標(biāo)識符308;目標(biāo)標(biāo)識符308可以是web服務(wù)的標(biāo)識符、DNS(域名系統(tǒng))標(biāo)識符、IP地址、URI(統(tǒng)一資源標(biāo)識符)、或一些其它類型的已經(jīng)通過它所關(guān)聯(lián)的目標(biāo)web服務(wù)或目標(biāo)實體用一些方式來獲得的標(biāo)識符。例如,目標(biāo)標(biāo)識符308可以是web服務(wù)的標(biāo)識符,但是在相似地,目標(biāo)標(biāo)識符308也可以是用于防火墻、反向代理(reverse proxy)服務(wù)器、負(fù)載平衡服務(wù)器、或一些其它與該web服務(wù)相關(guān)聯(lián)的實體的標(biāo)識符。換句話說,信任鏈路處理模塊306最低限度地僅知道它具有與一個目標(biāo)資源相關(guān)聯(lián)的標(biāo)識符,該處理模塊306用可信任方式向該目標(biāo)資源轉(zhuǎn)移信任相關(guān)信息。
信任鏈路參考處理模塊306訪問信任鏈路參考代理程序310,而不是要求信任鏈路處理模塊306來維護(hù)自己關(guān)于可能存在于自身(或更合適地說,其所駐留的信任域300)和其它實體之間的信任關(guān)系的信息。信任鏈路處理模塊306訪問信任鏈路參考代理程序310。參考信任鏈路數(shù)據(jù)庫312,信任鏈路參考代理程序310代表信任鏈路處理模塊306來確定在信任域300和與目標(biāo)標(biāo)識符308相關(guān)聯(lián)的信任域之間是否存在信任關(guān)系。
為了獲得繼續(xù)未決的事務(wù)處理所需的信任啟示器的身份,信任鏈路處理模塊306向信任鏈路參考代理程序310發(fā)送包含目標(biāo)標(biāo)識符308的信任鏈路參考請求消息314。信任鏈路參考代理程序310使用目標(biāo)標(biāo)識符308來搜尋存儲在信任鏈路數(shù)據(jù)庫312內(nèi)的信任鏈路記錄或者數(shù)據(jù)結(jié)構(gòu)316-320。
在信任鏈路數(shù)據(jù)庫312中的每一個信任鏈路包含在目標(biāo)名稱空間和信任啟示器之間的關(guān)聯(lián);關(guān)聯(lián)代表直接的信任關(guān)系。在搜尋操作期間,信任鏈路參考代理程序310對照著信任鏈路中的目標(biāo)名稱空間來比較目標(biāo)標(biāo)識符308,以便確定目標(biāo)名稱空間是否包含目標(biāo)標(biāo)識符308。其中執(zhí)行比較的方式取決于所實現(xiàn)的名稱空間的類型。目標(biāo)名稱空間322可以在信任鏈路內(nèi)由一個表達(dá)式表示,評估該表達(dá)式以確定目標(biāo)名稱空間;或者,用簡單的標(biāo)識符表示目標(biāo)名稱空間。在本發(fā)明內(nèi)可以使用任何適當(dāng)?shù)拿Q空間慣例。再者,根據(jù)名稱空間的類型,多個目標(biāo)名稱空間可以包含目標(biāo)標(biāo)識符是可能的;在這種情況下,可以假定適當(dāng)?shù)乃惴ù嬖冢源_定在多個候選的目標(biāo)名稱空間中的最好選擇。例如,在DNS系統(tǒng)中,能確定兩個名稱中哪個能標(biāo)識更確切的路徑名。在這個方式中,信任關(guān)系的存在與在web服務(wù)環(huán)境內(nèi)名稱空間的使用相結(jié)合。
如上所述,信任鏈路數(shù)據(jù)庫中的每一個信任鏈路都包含目標(biāo)名稱空間和信任啟示器之間的關(guān)聯(lián)。假定定位了包含的名稱空間,例如在信任鏈路316中的目標(biāo)名稱空間322,然后取出與目標(biāo)名稱空間322相關(guān)聯(lián)的信任啟示器的標(biāo)識符324。如果需要與目標(biāo)啟示器有更多的聯(lián)系,信任鏈路參考代理程序310向信任鏈路處理模塊返回包含指示已經(jīng)建立信任鏈路(鏈路存在標(biāo)志328)和指示信任啟示器標(biāo)識符324的響應(yīng)的信任鏈路參考響應(yīng)消息326。如果在信任鏈路搜尋期間未能為目標(biāo)標(biāo)識符定位包含目標(biāo)名稱空間,那么可以假定在信任域300和包含目標(biāo)標(biāo)識符308的信任域之間沒有預(yù)定義的信任關(guān)系,并且將向信任鏈路處理模塊306返回某些類型的狀態(tài)。
在信任鏈路數(shù)據(jù)庫中的每一個信任鏈路也都包含目標(biāo)名稱空間和策略之間的關(guān)聯(lián),這里稱為信任鏈路策略。例如,信任鏈路316包含信任鏈路策略330。下面將更詳細(xì)地描述信任鏈路策略的用法。
現(xiàn)在參照圖4,該方框圖描述了依照本發(fā)明,跨越多個可支持信任鏈路基礎(chǔ)結(jié)構(gòu)的域中可以實現(xiàn)的一組元件。與說明信任域內(nèi)一些元件的圖3形成對照的是,圖4對某些相同元件和駐留在不同的信任域或名稱空間中的額外的元件一起進(jìn)行了說明;此外,圖4說明了在web服務(wù)已經(jīng)獲得如圖3中所示的信任啟示器的標(biāo)識符之后發(fā)生的一些數(shù)據(jù)流。
用與圖3相似的方式,服務(wù)請求者400與信任域404中的web服務(wù)402進(jìn)行交互作用,以完成事務(wù)處理。Web服務(wù)402確定其需要調(diào)用web服務(wù)406的功能,進(jìn)行與信任鏈路參考代理程序408的接觸以從信任鏈路數(shù)據(jù)庫410獲得用于與web服務(wù)406相關(guān)聯(lián)的信任啟示器412的標(biāo)識符。
圖3沒有說明web服務(wù)應(yīng)該如何利用在圖4中所示的信任啟示器的標(biāo)識符。Web服務(wù)402向目標(biāo)名稱空間418中的信任啟示器412發(fā)送包含服務(wù)請求者的信任相關(guān)信息416的信任操作請求消息414。在這種方式中,web服務(wù)402依據(jù)信任域404和目標(biāo)名稱空間418之間的信任關(guān)系的需求以可信任的方式向目標(biāo)名稱空間418(明確地說,是信任啟示器412)轉(zhuǎn)發(fā)服務(wù)請求者的信任相關(guān)信息,上述目標(biāo)名稱空間418也可以定義信任域或可以被包含在不同的信任域內(nèi)。信任啟示器412可以被web服務(wù)402信任,以便最終向web服務(wù)406提供任何所需要的信息。Web服務(wù)406可訪問信任鏈路參考代理程序420,以完成類似的信息傳遞。
信任啟示器是一個服務(wù),它被信任域信任,以授權(quán)解決與相關(guān)名稱空間相對應(yīng)的信任相關(guān)的操作。在信任鏈路中的一個/多個目標(biāo)名稱空間,可能屬于或可能不屬于信任鏈路的相關(guān)信任啟示器的信任域。如果它們屬于,那么,信任啟示器被信任以直接解決所請求的信任相關(guān)的操作。否則,信任啟示器被信任以便通過推舉或連鎖來間接地解決所請求的信任相關(guān)的操作。換句話說,信任鏈路定義了能依靠其來回答關(guān)于名稱空間的問題的信任啟示器;而不介意信任啟示器是通過自身維護(hù)的數(shù)據(jù)還是通過和另一個信任啟示器的協(xié)商來回答問題。
此外,信任鏈路管理代理程序422管理在信任域和/或web服務(wù)之間的信任鏈路。大多數(shù)事務(wù)處理涉及在兩個方向中的信息的傳遞,因此信任關(guān)系的每一方需要能夠找到彼此的向內(nèi)的和向外的信任啟示器。信任鏈路管理代理程序422確保適當(dāng)?shù)男湃捂溌繁淮鎯υ诟髯缘男湃捂溌窋?shù)據(jù)庫410和424中。
再者,信任鏈路管理代理程序422使用信任鏈路策略引擎426將信任鏈路策略應(yīng)用到它的關(guān)聯(lián)的信任鏈路上。關(guān)于信任鏈路的各種參數(shù)或特性也可以被存儲在信任鏈路數(shù)據(jù)庫入口內(nèi),并且可以使用這些參數(shù)來評估信任鏈路的策略。信任鏈路可以是靜態(tài)的或動態(tài)的,以指示是帶外手動地建立信任鏈路或者帶內(nèi)動態(tài)地建立信任鏈路,例如,通過使用電子的TPA(貿(mào)易伙伴協(xié)議)或其它電子商務(wù)機(jī)制??梢杂刹呗裕缬蓵r間段、任務(wù)、或時間來對信任鏈路進(jìn)行限制,例如,在用于特定的事務(wù)處理期間的兩個電子商務(wù)企業(yè)之間,或者可以是永久性的或者不受限制的,例如,在兩個長期貿(mào)易伙伴之間。此外,信任鏈路可以是依賴性的,以便它服從和依靠于另一個信任鏈路,并且如果在它的信任鏈之內(nèi)的信任鏈路被取消或受到損害,該信任鏈路也可能被取消;另外,該信任鏈路也可以是獨立于其它信任鏈路的。通過其相關(guān)聯(lián)的信任策略可以為特定的信任鏈路來控制這些和其它的考慮事項。在這種方式中,信任關(guān)系的存在與web服務(wù)環(huán)境內(nèi)策略的使用結(jié)合起來。
參照圖5,該方框圖描述了包含web服務(wù)、信任鏈路參考代理程序、信任啟示器、和信任鏈路管理代理程序的多個名稱空間的例子。在名稱空間500內(nèi)駐留著信任鏈路參考代理程序502、web服務(wù)504和506、和信任啟示器508。Web服務(wù)512、513、和514與信任鏈路參考代理程序516和信任鏈路管理程序518一起駐留在名稱空間510內(nèi)。Web服務(wù)522和信任啟示器524與信任鏈路參考代理程序526一起駐留在名稱空間520內(nèi)。Web服務(wù)532和534與信任鏈路參考代理程序536一起駐留在名稱空間530內(nèi)。Web服務(wù)542和544與信任鏈路參考代理程序546一起駐留在名稱空間540內(nèi)。
在分層方式中,名稱空間500包含名稱空間510和名稱空間520,名稱空間520包含名稱空間530和名稱空間540。這些名稱空間的每一個都包含至少一個web服務(wù)并且可以被命名為在信任鏈路之內(nèi)的目標(biāo)名稱空間,但是并非這些名稱空間的每一個都支持信任啟示器;一個信任啟示器可以支持多個名稱空間,并且信任啟示器能夠間接地解決用于該信任啟示器不駐留的名稱空間的信任相關(guān)的操作。
每一個名稱空間可以支持零個或多個信任鏈路管理代理程序。信任鏈路管理代理程序518如需要或被請求創(chuàng)建、變更、或毀滅信任鏈路。
現(xiàn)在參考圖6,該流程圖描述了用于信任鏈路的生命周期的管理的概述。當(dāng)創(chuàng)建信任鏈路時處理開始(步驟602)。一個實體,例如信任鏈路管理代理程序,依照它的信任鏈路策略(步驟604)監(jiān)控關(guān)于先前創(chuàng)建的信任鏈路的事件或者系統(tǒng)條件。如果滿足信任策略條件,該信任鏈路以某些方式被管理或變更,可能通過被刪除(步驟606),從而結(jié)束該處理。
現(xiàn)在參考圖7,該流程圖描述了用于創(chuàng)建信任鏈路的處理。圖7進(jìn)一步示出了圖6中步驟602的細(xì)節(jié)。該處理首先從例如信任鏈路管理代理程序的實體接收請求消息,以便創(chuàng)建從指定的信任域到目標(biāo)名稱空間的信任鏈路(步驟702)開始。該創(chuàng)建信任鏈路的請求可以起源于web服務(wù)或者起源于根據(jù)已經(jīng)在兩個企業(yè)之間交換的電子合同來負(fù)責(zé)配置事務(wù)處理基礎(chǔ)結(jié)構(gòu)的其它應(yīng)用程序。例如,通過參考一些配置信息來確定與目標(biāo)名稱空間相關(guān)聯(lián)的信任啟示器(步驟704)。如果信任鏈路策略伴隨著請求的話,則可能從該請求消息來取出信任鏈路策略(步驟706)。然后創(chuàng)建所請求的信任鏈路(步驟708)并且將其存儲在指定的信任域內(nèi)的信任鏈路數(shù)據(jù)庫之內(nèi)(步驟710),并且結(jié)束該處理。
現(xiàn)在參考圖8,該流程圖描述了依照本發(fā)明的一個實施例,使用信任鏈路來定位協(xié)助繼續(xù)未決事務(wù)處理的信任啟示器的處理。當(dāng)web服務(wù)接收到web服務(wù)請求消息時該處理開始(步驟802)。Web服務(wù)從web服務(wù)請求消息中提取請求者的信任信息(步驟804)。獲得用于另一個web服務(wù)的目標(biāo)標(biāo)識符(步驟806),并且向信任鏈路參考代理程序發(fā)送帶有目標(biāo)標(biāo)識符的信任鏈路參考請求消息(步驟808)。在隨后的某一時間點,接收信任鏈路參考響應(yīng)消息(步驟810),并且從響應(yīng)消息中提取信任啟示器的標(biāo)識符(步驟812);該web服務(wù)可以在發(fā)送請求和接收響應(yīng)之間的時間間隔期間執(zhí)行其它的操作。然后向信任啟示器發(fā)送帶有請求者的信任相關(guān)信息的信任操作請求消息(步驟814),并且在隨后的某一時間點,接收信任操作響應(yīng)消息(步驟816),從而結(jié)束該處理。
現(xiàn)在參考圖9,該流程圖描述依照本發(fā)明的一個實施例的信任鏈路參考代理程序完成的處理。圖9描述了在圖8中的步驟808和810之間的時間周期期間在信任鏈路參考代理程序上發(fā)生的一些處理。當(dāng)信任鏈路參考代理程序從請求web服務(wù)接收到信任鏈路參考請求消息時開始該處理(步驟902)。在此后,從請求消息中提取目標(biāo)標(biāo)識符(步驟904),處理搜尋信任鏈路數(shù)據(jù)庫以尋找包含目標(biāo)識符的目標(biāo)名稱空間(步驟906),并且獲得用于與目標(biāo)名稱空間相關(guān)聯(lián)的信任啟示器的標(biāo)識符(步驟908),然后信任鏈路代理程序返回包括所識別的信任啟示器的標(biāo)識符的信任鏈路參考響應(yīng)消息,并且結(jié)束該處理。
現(xiàn)在參考圖10,該流程圖描述由依照本發(fā)明的一個實施例的信任啟示器完成的處理。圖10描述了在圖8中的步驟814和816之間的時間周期期間在信任啟示器上發(fā)生的一些處理。當(dāng)信任啟示器接收到信任操作請求消息時開始該處理(步驟1002),所述信任操作請求消息請求信任啟示器對從請求消息中提取的請求者的信任相關(guān)信息執(zhí)行某些類型的信任相關(guān)操作(步驟1004)。然后信任啟示器通過使用請求者的信任相關(guān)信息來直接地或間接地解決所請求的信任操作(步驟1006),并且該處理,有可能在向請求者返回響應(yīng)消息之后結(jié)束。
根據(jù)上面提供的詳細(xì)的描述,本發(fā)明的優(yōu)點應(yīng)該是明顯的。當(dāng)web服務(wù)執(zhí)行用于代表用戶的事務(wù)處理的操作時,該web服務(wù)可能需要和其它的web服務(wù)進(jìn)行交互作用,并且在這個交互作用期間,可能需要信任相關(guān)的操作。例如,在它將執(zhí)行由代表用戶的原始web服務(wù)所請求的服務(wù)之前,其它web服務(wù)的其中一個可以要求一些擁有證明的確認(rèn),例如用戶的認(rèn)證信息。在現(xiàn)有技術(shù)中,這些類型的要求已經(jīng)迫使企業(yè)在同質(zhì)性的環(huán)境中進(jìn)行操作,在該同質(zhì)性環(huán)境中以相同的方式格式化和處理認(rèn)證信息或其它信任相關(guān)信息。
在本發(fā)明中,分布式信任基礎(chǔ)結(jié)構(gòu)允許企業(yè)在一個異質(zhì)性的環(huán)境中管理在它的一個或多個信任域和其它企業(yè)的一個或多個信任域之間的信任關(guān)系。用把一個或多個名稱空間與信任啟示器相關(guān)聯(lián)的信任鏈路來代表在信任域之間的信任關(guān)系,該信任啟示器是由信任域所信任的以便可信地解決與所關(guān)聯(lián)的名稱空間相對應(yīng)的信任相關(guān)操作的服務(wù)。由在信任域內(nèi)所支持的信任鏈路參考代理程序來使用指定的信任域的信任鏈路。為在它的信任域內(nèi)的信任相關(guān)操作而咨詢信任鏈路參考代理程序;在識別出用于處理信任相關(guān)的操作的適當(dāng)?shù)男湃螁⑹酒髦?,向用于解決方案的信任啟示器轉(zhuǎn)發(fā)信任相關(guān)操作。
在這種方式中,不同的信任啟示器可以使用在不同的信任域之內(nèi)的不同信任模型。信任域內(nèi)的其它數(shù)據(jù)處理實體不負(fù)擔(dān)對在信任模型之間的信息進(jìn)行映射或翻譯的責(zé)任;依靠信任域內(nèi)的信任啟示器來解決與由同樣的信任域內(nèi)的數(shù)據(jù)處理實體正在執(zhí)行的處理相關(guān)聯(lián)的任何信任相關(guān)問題,例如信任域內(nèi)的web服務(wù)。
值得重點注意的是,當(dāng)在全功能的數(shù)據(jù)處理系統(tǒng)的上下文中已經(jīng)描述了本發(fā)明時,那些本領(lǐng)域的技術(shù)人員將理解本發(fā)明的處理能夠以指令的形式被分布在計算機(jī)可讀介質(zhì)和多種其它的形式中,而與實際用于執(zhí)行該分布的特定類型的信號承載介質(zhì)無關(guān)。計算機(jī)可讀介質(zhì)的例子包括例如EPROM、ROM、磁帶、紙張、軟盤、硬盤驅(qū)動器、RAM、和CD-ROM的介質(zhì)和例如數(shù)字的和模擬的通信鏈路的傳輸類型的介質(zhì)。
一般構(gòu)思的一種方法是首尾一致的導(dǎo)致期望的結(jié)果的步驟順序。這些步驟要求物理量的物理操作。通常,雖然不是必需的,這些量采用能夠被存儲、傳遞、組合、比較、或其它操作的電子或磁的信號的形式。有時為了方便,主要是為了通用的理由,將這些信號稱為位、值、參數(shù)、條目、元素、對象、符號、字符、術(shù)語、號碼、或類似的東西。但是,應(yīng)該注意的是所有的這些術(shù)語和相似的術(shù)語是與合適的物理量相關(guān)聯(lián)的并且僅僅是應(yīng)用到這些量上方便的標(biāo)號。
為了說明的目的已經(jīng)提出了本發(fā)明的描述,但不必窮舉或局限于所公開的實施例。對于本領(lǐng)域的那些技術(shù)人員來說很多修改和變化是顯而易見的。選擇所述實施例來解釋本發(fā)明的原理和它的實際應(yīng)用并且使其他本領(lǐng)域的技術(shù)人員能理解本發(fā)明,以便用可能適用于其它期望用途的各種修改來實現(xiàn)各種實施例。
權(quán)利要求
1.一種用于在數(shù)據(jù)處理系統(tǒng)內(nèi)處理信息的方法,所述方法包括創(chuàng)建在信任域之間的信任鏈路,其中信任鏈路使信任域與包含信任啟示器的名稱空間相關(guān)聯(lián),其中信任啟示器解決用于信任相關(guān)的操作的請求;和依照與信任鏈路相關(guān)聯(lián)的策略來管理信任鏈路。
2.根據(jù)權(quán)利要求1的方法,其還包括創(chuàng)建包括名稱空間的表達(dá)式和信任啟示器的標(biāo)識符的數(shù)據(jù)結(jié)構(gòu);和把所創(chuàng)建的數(shù)據(jù)結(jié)構(gòu)存儲在信任域之內(nèi)的數(shù)據(jù)庫中。
3.根據(jù)權(quán)利要求2的方法,其還包括獲得與信任相關(guān)的操作相關(guān)聯(lián)的標(biāo)識符;通過使用與信任相關(guān)的操作相關(guān)聯(lián)的標(biāo)識符來搜尋數(shù)據(jù)庫,以便定位包含與信任相關(guān)的操作相關(guān)聯(lián)的標(biāo)識符的名稱空間;識別與所定位的名稱空間相關(guān)聯(lián)的信任啟示器;向所識別的信任啟示器發(fā)送信任相關(guān)的操作。
4.根據(jù)權(quán)利要求3的方法,其中信任相關(guān)的操作是一種web服務(wù)請求消息。
5.根據(jù)權(quán)利要求1的方法,其中信任鏈路代表在兩個信任域之間的信任關(guān)系。
6.根據(jù)權(quán)利要求1的方法,其中由用于管理信任域之間對應(yīng)的信任鏈路的信任鏈路管理單元來管理信任鏈路。
7.根據(jù)權(quán)利要求1的方法,其還包括監(jiān)控由與信任鏈路相關(guān)聯(lián)的策略所指定的條件;當(dāng)滿足由與信任鏈路相關(guān)聯(lián)的策略所指定的條件時,改變信任鏈路。
8.一種用于在數(shù)據(jù)處理系統(tǒng)內(nèi)處理信息的裝置,所述裝置包括用于創(chuàng)建在信任域之間的信任鏈路的裝置,其中信任鏈路使信任域與包含信任啟示器的名稱空間相關(guān)聯(lián),其中信任啟示器解決用于信任相關(guān)的操作的請求;和用于依照與信任鏈路相關(guān)聯(lián)的策略來管理信任鏈路的裝置。
9.根據(jù)權(quán)利要求8的裝置,其還包括用于創(chuàng)建包括名稱空間的表達(dá)式和信任啟示器的標(biāo)識符的數(shù)據(jù)結(jié)構(gòu)的裝置;和用于把所創(chuàng)建的數(shù)據(jù)結(jié)構(gòu)存儲在信任域之內(nèi)的數(shù)據(jù)庫中的裝置。
10.根據(jù)權(quán)利要求9的裝置,其還包括用于獲得與信任相關(guān)的操作相關(guān)聯(lián)的標(biāo)識符的裝置;用于通過使用與信任相關(guān)的操作相關(guān)聯(lián)的標(biāo)識符來搜尋數(shù)據(jù)庫,以便定位包含與信任相關(guān)的操作相關(guān)聯(lián)的標(biāo)識符的名稱空間的裝置;用于識別與所定位的名稱空間相關(guān)聯(lián)的信任啟示器的裝置;用于向所識別的信任啟示器發(fā)送信任相關(guān)的操作的裝置。
11.根據(jù)權(quán)利要求10的裝置,其中信任相關(guān)的操作是一種web服務(wù)請求消息。
12.根據(jù)權(quán)利要求8的裝置,其中信任鏈路代表在兩個信任域之間的信任關(guān)系。
13.根據(jù)權(quán)利要求8的裝置,其中由用于管理信任域之間對應(yīng)的信任鏈路的信任鏈路管理單元來管理信任鏈路。
14.根據(jù)權(quán)利要求8的裝置,其還包括用于監(jiān)控由與信任鏈路相關(guān)聯(lián)的策略所指定的條件的裝置;用于當(dāng)滿足由與信任鏈路相關(guān)聯(lián)的策略所指定的條件時,改變信任鏈路的裝置。
15.一種用于在數(shù)據(jù)處理系統(tǒng)內(nèi)處理信息的計算機(jī)可讀介質(zhì)中的計算機(jī)程序產(chǎn)品,該計算機(jī)程序產(chǎn)品包括用于創(chuàng)建在信任域之間的信任鏈路的裝置,其中信任鏈路使信任域與包含信任啟示器的名稱空間相關(guān)聯(lián),其中信任啟示器解決用于信任相關(guān)的操作的請求;和用于根據(jù)與信任鏈路相關(guān)聯(lián)的策略來管理信任鏈路的裝置。
16.根據(jù)權(quán)利要求15的計算機(jī)程序產(chǎn)品,其還包括用于創(chuàng)建包括名稱空間的表達(dá)式和信任啟示器的標(biāo)識符的數(shù)據(jù)結(jié)構(gòu)的裝置;和用于把所創(chuàng)建的數(shù)據(jù)結(jié)構(gòu)存儲在信任域之內(nèi)的數(shù)據(jù)庫中的裝置。
17.根據(jù)權(quán)利要求16的計算機(jī)程序產(chǎn)品,其還包括用于獲得與信任相關(guān)的操作相關(guān)聯(lián)的標(biāo)識符的裝置;用于通過使用與信任相關(guān)的操作相關(guān)聯(lián)的標(biāo)識符來搜尋數(shù)據(jù)庫,以便定位包含與信任相關(guān)的操作相關(guān)聯(lián)的標(biāo)識符的名稱空間的裝置;用于識別與所定位的名稱空間相關(guān)聯(lián)的信任啟示器的裝置;用于向所識別的信任啟示器發(fā)送信任相關(guān)的操作的裝置。
18.根據(jù)權(quán)利要求17的計算機(jī)程序產(chǎn)品,其中信任相關(guān)的操作是一種web服務(wù)請求消息。
19.根據(jù)權(quán)利要求15的計算機(jī)程序產(chǎn)品,其中信任鏈路代表在兩個信任域之間的信任關(guān)系。
20.根據(jù)權(quán)利要求15的計算機(jī)程序產(chǎn)品,其中由用于管理信任域之間對應(yīng)的信任鏈路的信任鏈路管理單元來管理信任鏈路。
21.根據(jù)權(quán)利要求15的計算機(jī)程序產(chǎn)品,其還包括用于監(jiān)控由與信任鏈路相關(guān)聯(lián)的策略所指定的條件的裝置;用于當(dāng)滿足由與信任鏈路相關(guān)聯(lián)的策略所指定的條件時,改變信任鏈路的裝置。
全文摘要
提出了一種用于為跨越信任域邊界的全異的信任模型提供接口和管理域間和域內(nèi)信任關(guān)系使得它們不依靠于單一信任管理器實體的分布式信任基礎(chǔ)結(jié)構(gòu)。用使名稱空間與信任啟示器相關(guān)聯(lián)的信任鏈路來代表在信任域之間的信任關(guān)系,所述信任啟示器在已知的信任域中負(fù)責(zé)可信地解決與所關(guān)聯(lián)的名稱空間相對應(yīng)的信任相關(guān)操作的服務(wù)。由信任域內(nèi)所支持的信任鏈路參考代理程序來使用已知信任域的信任鏈路。為在信任鏈路參考代理程序的信任域內(nèi)的信任相關(guān)的操作而咨詢該信任鏈路參考代理程序;在識別出用于處理信任相關(guān)操作的適當(dāng)?shù)男湃螁⑹酒髦螅蛴糜诮鉀Q方案的信任啟示器轉(zhuǎn)發(fā)信任相關(guān)的操作。此外,信任鏈路與指導(dǎo)信任鏈路管理的策略相關(guān)聯(lián)。
文檔編號H04L29/06GK1514382SQ0315459
公開日2004年7月21日 申請日期2003年8月20日 優(yōu)先權(quán)日2002年12月31日
發(fā)明者瑪麗安·杭多, 瑪麗安 杭多, J 納達(dá)林, 安東尼·J·納達(dá)林, A 韋斯利, 埃賈穆·A·韋斯利 申請人:國際商業(yè)機(jī)器公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1