專利名稱:安全通信網(wǎng)絡(luò)用戶移動(dòng)性裝置和方法
技術(shù)領(lǐng)域:
本發(fā)明 一般地涉及通信,特別涉及規(guī)定安全通信網(wǎng)絡(luò)之間的用戶移動(dòng)性。
背景技術(shù):
例如公司網(wǎng)絡(luò)的專用通信網(wǎng)絡(luò)的管理員當(dāng)前不能夠方便地為可能有時(shí) 本地連接到其網(wǎng)絡(luò)的"移動(dòng)"外部用戶提供臨時(shí)的網(wǎng)洛接入,所述外部用
7戶例如是合作方/>司的承包人或員工。這種移動(dòng)用戶的網(wǎng)g入通常需要 例如在輕量級目錄訪問協(xié)議的目錄或類似的用戶數(shù)據(jù)庫中人工創(chuàng)建本地用 戶身份,并且人工許可對服務(wù)的訪問。服務(wù)訪問可以在策略服務(wù)器被許可 或直接在單獨(dú)的應(yīng)用服務(wù)器被許可。
當(dāng)移動(dòng)用戶不再在現(xiàn)場時(shí),相應(yīng)的本地用戶身份必須;f皮去激活并且對 該身份的服務(wù)訪問必須被關(guān)閉。針對臨時(shí)身份的從創(chuàng)建到去激活的整個(gè)生 命周期通常限制為不多于一天。
針對合作方公司的移動(dòng)用戶的臨時(shí)數(shù)字身份的人工創(chuàng)建和維持以及關(guān) 聯(lián)的服務(wù)訪問激活和去激活趨于成為十分低效且成本高的過程。如果當(dāng)移
除,則它也可以打開公司網(wǎng)絡(luò)中的重要的安全漏洞。用戶移動(dòng)性對于實(shí)現(xiàn) 服務(wù)的使用而言特別重要,通過通信網(wǎng)絡(luò)為通常稱作網(wǎng)絡(luò)服務(wù)的所述服務(wù) 分配信息。"Web服務(wù)"是網(wǎng)絡(luò)服務(wù)的例子,并且代表用于通過公共互聯(lián) 網(wǎng)和許多專用網(wǎng)絡(luò)在不同應(yīng)用之間自動(dòng)交換信息的下一代技術(shù)。Web服務(wù) 提供了用于構(gòu)建基于web的分布式應(yīng)用的框架,并且可以提供高效的自動(dòng) 化機(jī)器對機(jī)器通信。
從技術(shù)的角度來看,web服務(wù)是網(wǎng)絡(luò)可訪問功能,其可以利用標(biāo)準(zhǔn)互 聯(lián)網(wǎng)協(xié)議在標(biāo)準(zhǔn)接口上被訪問,所述協(xié)議例如是超文本傳輸協(xié)議(HTTP)、 可擴(kuò)展標(biāo)記語言(XML)、簡單對象訪問協(xié)議(SOAP)等。
Web服務(wù)技術(shù)的真正能力在于其簡單性。核心技術(shù)僅解決了通用語言 和通信問題而并未直接解決應(yīng)用集成的繁重任務(wù)。Web服務(wù)可以被看作是 用于互連多個(gè)異類非置信系統(tǒng)的復(fù)雜的機(jī)器對機(jī)器遠(yuǎn)程過程調(diào)用(RPC )
利用互聯(lián)網(wǎng)標(biāo)準(zhǔn)(例如HTTP和簡單郵件傳輸協(xié)議(SMTP)),來利用 許多新的技術(shù)。
在web服務(wù)的開發(fā)和標(biāo)準(zhǔn)化后面的主要?jiǎng)恿χ皇峭ㄟ^提供不同應(yīng)用 之間的松耦合來促進(jìn)無縫的機(jī)器對機(jī)器應(yīng)用級通信的能力。這種應(yīng)用的松 耦合使得不同服務(wù)器上的應(yīng)用能夠互操作而無需在它們之間的靜態(tài)的、固定的接口 。使用十分不同的技術(shù)的應(yīng)用可以利用標(biāo)準(zhǔn)web服務(wù)協(xié)議來互操 作。
如上文所述,當(dāng)前不存在允許在合作方外聯(lián)網(wǎng)的站點(diǎn)或通信網(wǎng)絡(luò)的其 他集合之中的用戶移動(dòng)性的可用產(chǎn)品。因此,存在對于改進(jìn)的用戶移動(dòng)性 技術(shù)的需求。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的實(shí)施例,提供了對合作方公司的現(xiàn)場員工的自動(dòng)認(rèn)證而 無需任何人工的臨時(shí)身份提供。
根據(jù)本發(fā)明的一個(gè)方面,提供了一種方法,該方法包括在其中提供 網(wǎng)絡(luò)服務(wù)的第 一安全通信網(wǎng)絡(luò)接收與移動(dòng)用戶對服務(wù)的本地訪問相關(guān)聯(lián)的 服務(wù)訪問信息,所述移動(dòng)用戶與獨(dú)立受控的第二安全通信網(wǎng)絡(luò)相關(guān)聯(lián)但是 從所述第一通信網(wǎng)絡(luò)本地訪問服務(wù);以及,請求所述第二通信網(wǎng)絡(luò)認(rèn)證該 移動(dòng)用戶。該方法也可以包括基于所述第二通信網(wǎng)絡(luò)的i人證結(jié)果來控制移 動(dòng)用戶對服務(wù)的訪問。
在一些實(shí)施例中,所述方法包括從所述第二通信網(wǎng),收要由所述第 一通信網(wǎng)絡(luò)中的移動(dòng)用戶使用的自動(dòng)生成的數(shù)字身份,在這種情況下,可 以執(zhí)行以下進(jìn)一步的操作在所述第一通信網(wǎng)絡(luò)的移動(dòng)用戶數(shù)據(jù)庫中存儲(chǔ) 身份以及將該身份轉(zhuǎn)發(fā)給所述移動(dòng)用戶。
所述服務(wù)訪問信息可以包括用戶認(rèn)證請求。
服務(wù)訪問請求可以包含于服務(wù)訪問信息中。所述方法因而可以包括確 定所述移動(dòng)用戶是否已經(jīng)事先被所述第二通信網(wǎng)絡(luò)認(rèn)證,并且如果所述移 動(dòng)用戶還沒有事先被所述第二通信網(wǎng)絡(luò)認(rèn)證則請求所述第二通信網(wǎng)絡(luò)認(rèn)證 所述移動(dòng)用戶。
控制訪問的操作可以包括根據(jù)訪問策略許可對服務(wù)的訪問。 接收可以包括在所述第一通信網(wǎng)絡(luò)的web服務(wù)節(jié)點(diǎn)接收服務(wù)訪問信
每
如果將轉(zhuǎn)換施加于與移動(dòng)用戶從第二通信網(wǎng)絡(luò)對服務(wù)的外部訪問相關(guān)聯(lián)的服務(wù)訪問信息從而在該移動(dòng)用戶與提供服務(wù)的應(yīng)用服務(wù)器之間傳送, 則所述方法還可以包括將轉(zhuǎn)換施加于所接收的服務(wù)訪問信息。
在一些實(shí)施例中,所述方法包括i^J宗所述第 一通信網(wǎng)絡(luò)中的移動(dòng)用戶 的活動(dòng),并且報(bào)告所跟蹤的活動(dòng)給所述第二通信網(wǎng)絡(luò)。
這種方法可以例如體現(xiàn)成存儲(chǔ)于機(jī)器可讀介質(zhì)上的指令。
本發(fā)明的另一方面提供了一種裝置,包括用于接收與移動(dòng)用戶對于 第 一安全通信網(wǎng)絡(luò)中提供的網(wǎng)絡(luò)服務(wù)的本地訪問相關(guān)聯(lián)的服務(wù)訪問信息的 接口 ,所述移動(dòng)用戶關(guān)聯(lián)于獨(dú)立受控的第二安全通信網(wǎng)絡(luò)但是從所述第一 通信網(wǎng)絡(luò)本地訪問服務(wù);以及,有效耦合到所述接口并且用于請求所述第 二通信網(wǎng)絡(luò)i^證所述移動(dòng)用戶的認(rèn)證模塊。
所述裝置可以包括訪問模塊,該模塊有效耦合到所述認(rèn)證模塊并且用 于基于該第二通信網(wǎng)絡(luò)的認(rèn)證結(jié)果來控制所述移動(dòng)用戶對服務(wù)的訪問。
如果所述訪問模塊還用于跟蹤所述第一通信網(wǎng)絡(luò)中的移動(dòng)用戶的活 動(dòng),則所述裝置還可以包括有效耦合到所述訪問模塊以使得所跟蹤的活動(dòng) 能夠被才艮告給所述第二通信網(wǎng)絡(luò)的接口 。
在一些實(shí)施例中,所述裝置包括有效耦合到所述訪問模塊的、用于存 儲(chǔ)服務(wù)訪問策略的存儲(chǔ)器,在這種情況下,所述訪問模塊可以進(jìn)一步用于 確定所述存儲(chǔ)器是否存儲(chǔ)了控制所述移動(dòng)用戶對服務(wù)的訪問所依據(jù)的策 略,并且如果所述存儲(chǔ)器存儲(chǔ)了控制所述移動(dòng)用戶對服務(wù)的訪問所依據(jù)的 策略則通過基于存儲(chǔ)器中存儲(chǔ)的策略許可或拒絕對服務(wù)的訪問來控制移動(dòng) 用戶對月艮務(wù)的訪問。
所述認(rèn)證模塊還可以用于從所述第二通信網(wǎng)M收要由所述第 一通信 網(wǎng)絡(luò)中的移動(dòng)用戶使用的自動(dòng)生成的數(shù)字身份。
所述裝置還可以包括用于在移動(dòng)用戶數(shù)據(jù)庫中存儲(chǔ)身份的存儲(chǔ)器,以
及能夠?qū)⑸矸蒉D(zhuǎn)發(fā)給移動(dòng)用戶的接口。
如果所述服務(wù)訪問信息包括服務(wù)訪問請求,則所述認(rèn)證模塊還可以用 于確定所述移動(dòng)用戶是否已經(jīng)事先被所述第二通信網(wǎng)絡(luò)認(rèn)證,并且如果該 移動(dòng)用戶還未被所述第二通信網(wǎng)絡(luò)事先認(rèn)證則請求該第二通信網(wǎng)絡(luò)認(rèn)證該
10移動(dòng)用戶。用于管理web服務(wù)應(yīng)用使用的web服務(wù)節(jié)點(diǎn)包括這種裝置。 Web服務(wù)節(jié)點(diǎn)可以包括實(shí)現(xiàn)從所述第二通信網(wǎng)絡(luò)遠(yuǎn)程使用服務(wù)的網(wǎng)關(guān),并 且被配置成執(zhí)行與從所述第二通信網(wǎng)絡(luò)遠(yuǎn)程使用服務(wù)有關(guān)的信息的轉(zhuǎn)換并 執(zhí)行與移動(dòng)用戶本地訪問服務(wù)有關(guān)的信息的轉(zhuǎn)換。
根據(jù)本發(fā)明的另一方面,提供了一種方法,包括從其中提供服務(wù)的 第一安全通信網(wǎng)M收請求從而請求與移動(dòng)用戶關(guān)聯(lián)的獨(dú)立受控的第二安 全通信網(wǎng)絡(luò)認(rèn)證該移動(dòng)用戶以從第一通信網(wǎng)絡(luò)本地訪問服務(wù);根據(jù)在所述 第二通信網(wǎng)絡(luò)的用戶身份記錄認(rèn)證該移動(dòng)用戶;以及,向所述第一通信網(wǎng) 絡(luò)提供關(guān)于認(rèn)證結(jié)果的指示。
所述方法還包括如果所述移動(dòng)用戶認(rèn)證成功則在所述第二通信網(wǎng)絡(luò)創(chuàng) 建要由所述第一通信網(wǎng)絡(luò)中的移動(dòng)用戶使用的數(shù)字用戶身份。在這種情況 下,提供可以包括提供用戶身份給所述第一通信網(wǎng)絡(luò)。
機(jī)器可讀介質(zhì)可以存儲(chǔ)指令,所述指令當(dāng)被執(zhí)行時(shí)實(shí)現(xiàn)所述方法。
才艮據(jù)本發(fā)明的另一方面的裝置包括接口,其用于在第一安全通信網(wǎng) 絡(luò)與獨(dú)立受控的第二安全通信網(wǎng)絡(luò)之間交換信息;和iUi^莫塊,其有效耦 合到所述接口并且用于通過該接口接收來自所述第一通信網(wǎng)絡(luò)的請求,從 而認(rèn)證關(guān)聯(lián)于所述第二通信網(wǎng)絡(luò)的移動(dòng)用戶以從所述第 一通信網(wǎng)絡(luò)對該第 一通信網(wǎng)絡(luò)中提供的服務(wù)的本地訪問,根據(jù)所述第二通信網(wǎng)絡(luò)的用戶身份 記錄認(rèn)證移動(dòng)用戶,以及將關(guān)于認(rèn)證結(jié)果的指示通過所述接口提供給所述 第一通信網(wǎng)絡(luò)。
所述認(rèn)證模塊還可以被配置成如果成功認(rèn)證了移動(dòng)用戶則創(chuàng)建要由所 述第一通信網(wǎng)中的移動(dòng)用戶使用的數(shù)字用戶身份,并且通過將該用戶身份 提供給所述第 一通信網(wǎng)絡(luò)來提供關(guān)于認(rèn)證結(jié)果的指示。
根據(jù)本發(fā)明的又一方面, 一種存儲(chǔ)于機(jī)器可讀介質(zhì)上的數(shù)據(jù)結(jié)構(gòu)包括: 可從第 一安全通信網(wǎng)絡(luò)本地訪問該第 一安全通信網(wǎng)絡(luò)中提供的服務(wù)的移動(dòng) 用戶的標(biāo)識符;和獨(dú)立受控的第二安全通信網(wǎng)絡(luò)的標(biāo)識符,所述第二安全
問
ii所述數(shù)據(jù)結(jié)構(gòu)還可以包括訪問記錄,該記錄提供了關(guān)于所述移動(dòng)用戶 凈皮所述第二通信網(wǎng)絡(luò)認(rèn)證后該移動(dòng)用戶對服務(wù)的本地訪問的指示。
通過閱讀下面的描述,本發(fā)明實(shí)施例的其他方面和特征對于本領(lǐng)域技 術(shù)人員而言將變得顯而易見。
現(xiàn)在將參考附圖詳細(xì)描述本發(fā)明實(shí)施例的實(shí)例。
圖l是通信系統(tǒng)的框圖2是根據(jù)本發(fā)明實(shí)施例的裝置的框圖3是根據(jù)本發(fā)明另一個(gè)實(shí)施例的方法的流程圖4是可用于本發(fā)明實(shí)施例的數(shù)據(jù)結(jié)構(gòu)的框圖。
具體實(shí)施例方式
圖l是通信系統(tǒng)的框圖,其中可以實(shí)現(xiàn)本發(fā)明的實(shí)施例。通信系統(tǒng)IO 包括通信網(wǎng)絡(luò)12,企業(yè)系統(tǒng)22、 24、應(yīng)用系統(tǒng)26和遠(yuǎn)程用戶系統(tǒng)i殳施28 經(jīng)由各自的通信鏈路而有效耦合到所述通信網(wǎng)絡(luò)。
企業(yè)系統(tǒng)22包括一個(gè)或多個(gè)應(yīng)用服務(wù)器32、有效耦合到應(yīng)用服務(wù)器 的應(yīng)用平臺34、有效耦合到應(yīng)用平臺和通信網(wǎng)絡(luò)12的網(wǎng)關(guān)36、有效耦合 到應(yīng)用平臺和網(wǎng)關(guān)的一個(gè)或多個(gè)用戶系統(tǒng)38、有效耦合到應(yīng)用平臺、用戶 系統(tǒng)和網(wǎng)關(guān)的身份系統(tǒng)40、以及有效耦合到應(yīng)用平臺和網(wǎng)關(guān)的應(yīng)用管理器 42。也可以部署其他部件或系統(tǒng),例如位于網(wǎng)關(guān)36—側(cè)的、用以提供隔離 區(qū)(DMZ)的防火墻。企業(yè)系統(tǒng)24可以具有相似的結(jié)構(gòu)。
在應(yīng)用系統(tǒng)26中,應(yīng)用平臺44有效耦合到通信網(wǎng)絡(luò)12和一個(gè)或多個(gè) 應(yīng)用服務(wù)器46。遠(yuǎn)程用戶系統(tǒng)設(shè)施28包括有效耦合到一個(gè)或多個(gè)用戶系 統(tǒng)49的應(yīng)用委托代理48。
盡管許多企業(yè)系統(tǒng)、應(yīng)用系統(tǒng)、遠(yuǎn)程用戶系統(tǒng)設(shè)施和可能的其他類型 的系統(tǒng)可以在通信系統(tǒng)中被提供,然而在圖1中僅示出了某些類型的系統(tǒng) 的例子以避免使得圖過于復(fù)雜。為了簡單,圖l也省略了通信網(wǎng)絡(luò)12,以及企業(yè)系統(tǒng)24的內(nèi)部細(xì)節(jié),例如邊界或接入設(shè)備和核心交^/路由部件。 通信網(wǎng)絡(luò)12的類型、結(jié)構(gòu)和操作可以隨本發(fā)明實(shí)施例的部署而變化。本發(fā) 明的其他實(shí)施例也可以包括企業(yè)系統(tǒng)、應(yīng)用系統(tǒng)和/或遠(yuǎn)程用戶系統(tǒng)設(shè)施, 所述遠(yuǎn)程用戶系統(tǒng)設(shè)施包括比所顯示的更少、更多或不同的、具有相似或 不同互連的部件。
因此,應(yīng)當(dāng)認(rèn)識到,圖1的通信系統(tǒng)IO以及其他附圖的內(nèi)容僅是為了 說明,本發(fā)明決不限于圖中明確示出的以及這里描述的特定示例性實(shí)施例。
本發(fā)明所屬領(lǐng)域的技術(shù)人員熟悉許多不同類型的通信網(wǎng)絡(luò),包括例如 應(yīng)用層網(wǎng)絡(luò)的覆蓋網(wǎng)絡(luò)和更傳統(tǒng)的基礎(chǔ)設(shè)施。本發(fā)明不限于任何特定類型 的通信網(wǎng)絡(luò)。在一個(gè)實(shí)施例中,通信網(wǎng)絡(luò)12是互聯(lián)網(wǎng)或其它公共網(wǎng)絡(luò)。
系統(tǒng)22、 24、 26、 28訪問通信網(wǎng)絡(luò)12所采用的許多訪問技術(shù)實(shí)例是 本領(lǐng)域技術(shù)人員所熟知的,因此沒有在圖1中分別顯示。
首先考慮企業(yè)系統(tǒng)22,應(yīng)用服務(wù)器32支持可提供至少由本地用戶系 統(tǒng)38使用的功能(說明性地AI良務(wù))。如果部署了多個(gè)應(yīng)用服務(wù)器32, 則每個(gè)服務(wù)器支持各自的功能或服務(wù)集合,其可以覆蓋由其他服務(wù)器支持 的服務(wù),也可以不覆蓋。
在一些實(shí)施例中,這些功能也可以由外部用戶系統(tǒng)使用,例如企業(yè)系 統(tǒng)24中的用戶系統(tǒng),其中企業(yè)系統(tǒng)22、 24的擁有者或操作者具有允許它 們的用戶訪問的系統(tǒng)間協(xié)i義,和/或遠(yuǎn)程用戶系統(tǒng)i殳施28的用戶系統(tǒng)49。
這里對使用應(yīng)用的參考旨在傳達(dá)任何這種功能的概念。通常,應(yīng)用服 務(wù)器32執(zhí)行軟件應(yīng)用來提供這些功能。在本說明書上下文中,例如web 服務(wù)的服務(wù)是暴露給用戶系統(tǒng)的應(yīng)用功能的一個(gè)例子。任何對應(yīng)用、功能 和服務(wù)的參考應(yīng)當(dāng)相應(yīng)地來解釋。
應(yīng)用服務(wù)器32可以包括一個(gè)或多個(gè)處理器、 一個(gè)或多個(gè)存儲(chǔ)器設(shè)備和 用于與用戶系統(tǒng)交換應(yīng)用事務(wù)信息的接口 ,所述信息例如是服務(wù)請求消息 和相應(yīng)的響應(yīng)。應(yīng)用服務(wù)器32中的存儲(chǔ)器設(shè)備可以用于存儲(chǔ)操作系統(tǒng)軟 件、應(yīng)用軟件等,以由應(yīng)用服務(wù)器處理器使用。例如22的企業(yè)系統(tǒng)通常實(shí) 現(xiàn)為網(wǎng)絡(luò),在這種情況下網(wǎng),口使得應(yīng)用服務(wù)器32能夠與用戶系統(tǒng)38以及可能地企業(yè)系統(tǒng)的其他部件通信。在另一種可能的實(shí)現(xiàn)中,應(yīng)用服務(wù)
器32包括用于與不同企業(yè)系統(tǒng)部件通信的分別的接口。
用戶系統(tǒng)38可以類似地包括一個(gè)或多個(gè)處理器、 一個(gè)或多個(gè)存儲(chǔ)器設(shè) 備和某種用于與應(yīng)用服務(wù)器32以及可能地企業(yè)系統(tǒng)22的其他部件通信的 接口。用于與應(yīng)用服務(wù)器32相連的操作系統(tǒng)軟件、客戶端軟件和/或其他 類型的信息可以,皮存儲(chǔ)在用戶系統(tǒng)存儲(chǔ)設(shè)備中。
本領(lǐng)域技術(shù)人員熟悉提供和/或使用網(wǎng)絡(luò)應(yīng)用的許多不同類型的系統(tǒng)。 本發(fā)明的實(shí)施例主要涉及監(jiān)視對網(wǎng)絡(luò)應(yīng)用的限制訪問的使用,而不是如何 實(shí)際上支持這些應(yīng)用,因此這里僅就說明本發(fā)明各方面所必需的程度而簡 要描述了應(yīng)用服務(wù)器32、用戶系統(tǒng)38和它們的操作。
身份系統(tǒng)40代表通常在例如公司網(wǎng)絡(luò)的企業(yè)系統(tǒng)中提供的另 一部件, 并且為本領(lǐng)域技術(shù)人員所熟知。對應(yīng)用服務(wù)器32所支持的服務(wù)或其他功能 的訪問在許多情況下必須限于特定的用戶集合。可以通過與例如輕量級目 錄訪問協(xié)議(LDAP)目錄或其它類型的用戶數(shù)據(jù)庫進(jìn)行交互來認(rèn)證用戶 和/或用戶系統(tǒng)的身份系統(tǒng)40提供了可用于授權(quán)或拒絕對網(wǎng)絡(luò)服務(wù)的訪問 的數(shù)字身份。
在結(jié)構(gòu)方面,應(yīng)用平臺34包括與應(yīng)用服務(wù)器32的用戶系統(tǒng)接口 (說 明性地是應(yīng)用編程接口 (API))相容的應(yīng)用服務(wù)器接口、與用戶系統(tǒng)38 的應(yīng)用服務(wù)器接口相容的一個(gè)或多個(gè)接口 、和用于處理經(jīng)由這些接口接收 和/或發(fā)送的消息或其它信息的部件。如下文進(jìn)一步詳細(xì)描述的,外部用戶 系統(tǒng)能夠經(jīng)由網(wǎng)關(guān)36訪問應(yīng)用服務(wù)器32,在這種情況下應(yīng)用平臺34的用 戶系統(tǒng)接口也可以使得所述應(yīng)用平臺能夠與網(wǎng)關(guān)36通信。然而,在一些實(shí) 施例中,可以為此而提供分離的網(wǎng)關(guān)接口。
網(wǎng)關(guān)36也包括與企業(yè)系統(tǒng)22的其他部件的接口相容的一個(gè)或多個(gè)接 口、用于使得通信信號能夠通過通信網(wǎng)絡(luò)12而被發(fā)送和/或被接收的一個(gè) 或多個(gè)外部接口 、和用于處理經(jīng)由接口接收和/或發(fā)送的信號的中間部件。
應(yīng)用管理器42代表本身不能當(dāng)信息在應(yīng)用服務(wù)器32與本地用戶系統(tǒng) 38或外部用戶系統(tǒng)之間被傳送時(shí)執(zhí)行實(shí)時(shí)信息處理的控制或監(jiān)視元件。應(yīng)用管理器42可以經(jīng)由相容的接口與應(yīng)用平臺34和網(wǎng)關(guān)36通信以執(zhí)行這樣 的功能說明性地通過將訪問策略下栽至平臺和/或網(wǎng)關(guān)以進(jìn)4亍執(zhí)行來配置 應(yīng)用平臺和/或網(wǎng)關(guān)、訪問用于跟蹤移動(dòng)用戶對應(yīng)用的^f吏用的信息,等等。
應(yīng)用平臺34、網(wǎng)關(guān)36和應(yīng)用管理器42的內(nèi)部組件可以用石更件、軟件、 固件或其某種組合來實(shí)現(xiàn)。如下面參考圖2描述的裝置提供了可以在應(yīng)用 平臺34或網(wǎng)關(guān)36中提供的子系統(tǒng)的說明性實(shí)例。
在針對企業(yè)網(wǎng)絡(luò)的所謂面向服務(wù)的架構(gòu)(SOA)的傳統(tǒng)部署中,SOA 部件單獨(dú)地4皮部署并且被集成在每個(gè)應(yīng)用服務(wù)器上。在例如企業(yè)系統(tǒng)22 中發(fā)布用在網(wǎng)絡(luò)上的服務(wù)需要用于發(fā)現(xiàn)和管理服務(wù)提供的服務(wù)注冊。盡管 web服務(wù)標(biāo)準(zhǔn)解決了對限制授權(quán)用戶訪問服務(wù)的需求,然而web服務(wù)策略 服務(wù)器必須存儲(chǔ)和提供這個(gè)信息。執(zhí)行這些策略也會(huì)是一種挑戰(zhàn),因?yàn)檐?件銷售商可能需要實(shí)質(zhì)上改變應(yīng)用和服務(wù)器以適配于企業(yè)系統(tǒng)。
這都代表了企業(yè)的重要計(jì)劃,并且可能具有相對較長的實(shí)現(xiàn)周期。此 外,實(shí)現(xiàn)這個(gè)計(jì)劃所需要的技術(shù)是非常專業(yè)的,這可能使得SOA實(shí)現(xiàn)變得
當(dāng)例如在企業(yè)系統(tǒng)22、 24之間向合作方擴(kuò)展web服務(wù)或其他類型的 應(yīng)用時(shí),對于部署在應(yīng)用服務(wù)器上的SOA基礎(chǔ)設(shè)施而言存在更大的挑戰(zhàn)。 例如,部署于合作方站點(diǎn)的應(yīng)用可能使用不能自由地共享用戶身份信息的 不同安全機(jī)制,這需要用戶的安全令牌的轉(zhuǎn)換。將安全令牌轉(zhuǎn)換或其他安 全功能的負(fù)擔(dān)施加于每個(gè)應(yīng)用服務(wù)器上會(huì)導(dǎo)致成本高且低效。
數(shù)據(jù)私密性要求也非常困難,甚至不能夠在每個(gè)應(yīng)用服務(wù)器執(zhí)行,因 為應(yīng)用服務(wù)器本身無法獲知用戶系統(tǒng),或更一般地其服務(wù)的消費(fèi)者,是否 是在其企業(yè)系統(tǒng)的外部。
XML指定的拒絕服務(wù)(XDoS)攻擊以及可能地其他威脅,在基于應(yīng) 用服務(wù)器的SOA實(shí)現(xiàn)中特別成問題。例如,Web服務(wù)對于XDoS攻擊是 開放的,這無法在應(yīng)用服務(wù)器上被有效地處理。
為了通過爭^lt耦合應(yīng)用而實(shí)現(xiàn)應(yīng)用互操作性的、基于服務(wù)器的SOA至 web服務(wù)模型的變遷需要說明性地以SOAP報(bào)頭和XML消息的形式的消
15息傳送以及為了管理這些消息的附加的處理需求。這個(gè)附加的開銷消耗了 網(wǎng)絡(luò)帶寬并且會(huì)導(dǎo)致對應(yīng)用服務(wù)器硬件方面的大量新的需求。
用于部署SOA基礎(chǔ)設(shè)施的可選模型是將SOA組件集成到企業(yè)網(wǎng)絡(luò)單 元中,如圖1所示。應(yīng)用平臺34、網(wǎng)關(guān)36和應(yīng)用管理器42代表企業(yè)系統(tǒng) 22中的SOA組件。
從應(yīng)用服務(wù)器32分離地部署SOA基礎(chǔ)設(shè)施可以提供幾個(gè)好處SOA J^5出設(shè)施是應(yīng)用不可知的(agnostic),應(yīng)用需要最小修改,SOA基礎(chǔ)設(shè) 施是端到端集成解決方案,應(yīng)用服務(wù)器處理開銷被最小化,以及網(wǎng)絡(luò)帶寬 可以被優(yōu)化。
利用基于企業(yè)系統(tǒng)/網(wǎng)絡(luò)的SOA部署,應(yīng)用互操作所需要的任何消息 轉(zhuǎn)換可以根據(jù)企業(yè)系統(tǒng)內(nèi)的策略集合來被執(zhí)行,而不是由應(yīng)用本身執(zhí)行。 這能夠與應(yīng)用無關(guān)地定義轉(zhuǎn)換,從而消除了對應(yīng)用銷售商實(shí)現(xiàn)的依賴。
適配消息格式和內(nèi)容所需要的業(yè)務(wù)邏輯因而由企業(yè)提供,而不是由應(yīng) 用提供,這最小化了應(yīng)用修改。例如,web服務(wù)消息可以在企業(yè)網(wǎng)絡(luò)內(nèi)被 適配以實(shí)現(xiàn)應(yīng)用互操作性。也許由于合并、獲取或與新搭檔的集成的需要 而出現(xiàn)新的互操作性需求時(shí),不需要應(yīng)用修改。消息轉(zhuǎn)換的新策略可以被 定義成規(guī)定新的互操作性。
部署成集成企業(yè)網(wǎng)絡(luò)解決方案的SOA基礎(chǔ)設(shè)施可以提供單個(gè)監(jiān)視、控 制和綜合報(bào)告點(diǎn),說明性地;UI用管理器42。這對于實(shí)現(xiàn)適當(dāng)?shù)墓竟芾怼?持續(xù)的公司改進(jìn)、以及證實(shí)符合涉及例如數(shù)據(jù)私密性和網(wǎng)絡(luò)安全的規(guī)則的 能力來說是重要的。
應(yīng)用互操作性的應(yīng)用服務(wù)器處理需求出于兩個(gè)原因而可以被大大減 小應(yīng)用服務(wù)器卸栽(offload)和縮減數(shù)目的所需轉(zhuǎn)換。轉(zhuǎn)換可以例如在 應(yīng)用平臺34—次完成,并且然后被轉(zhuǎn)發(fā)至多個(gè)目的地,而不是執(zhí)行其自己 的轉(zhuǎn)換的每個(gè)應(yīng)用。
附加消息業(yè)務(wù)所消耗的網(wǎng)絡(luò)帶寬可以通過基于檢查消息SOAP報(bào)頭、 XML標(biāo)簽或其它消息內(nèi)容將分組路由至應(yīng)用服務(wù)器32而被減小。路由對 于應(yīng)用背景是敏感的,而不是例如基于靜態(tài)IP地址。如果應(yīng)用服務(wù)器功能被擴(kuò)展至合作方企業(yè)系統(tǒng),部署成企業(yè)網(wǎng)絡(luò)基礎(chǔ)
設(shè)施的SOA基礎(chǔ)設(shè)施可以提供許多其他優(yōu)點(diǎn)。安全令牌的轉(zhuǎn)換可以在雙方 網(wǎng)絡(luò)之間的分界點(diǎn)被一次完成,所述分界點(diǎn)說明性地是用于從外部訪問應(yīng) 用服務(wù)器32的網(wǎng)關(guān)36,這提供了安全策略的單個(gè)執(zhí)行點(diǎn)。數(shù)據(jù)私密性也 可以在數(shù)據(jù)離開安全域的點(diǎn)被執(zhí)行,例如也是在網(wǎng)關(guān)36。這帶來了效率并 且降低了成本。此外,針對公司web服務(wù)的拒絕服務(wù)攻擊可以在網(wǎng)關(guān)36 防御,即公司網(wǎng)絡(luò)邊緣,其可能是處理這種問題最安全的地方。
應(yīng)用平臺34提供SOA基礎(chǔ)設(shè)施來集成傳統(tǒng)上作為獨(dú)立應(yīng)用運(yùn)行的應(yīng) 用,并且可以實(shí)現(xiàn)這樣的能力控制和監(jiān)視由認(rèn)證用戶發(fā)起的任何活動(dòng)從 而實(shí)現(xiàn)綜合審計(jì)跟蹤的生成、消息和文檔格式的轉(zhuǎn)換、管理應(yīng)用的生命周 期(包括web服務(wù)的分段推廣和在發(fā)生不期望行為的情況下回退到之前的 版本)、以及監(jiān)一見應(yīng)用/服務(wù)性能以確保應(yīng)用/服務(wù)滿足內(nèi)部公司需求。
應(yīng)用平臺34的示例性功能的這個(gè)列舉,像這里提及的其他功能示例一 樣,決不是限制性的或排他性的。許多功能可以獨(dú)立實(shí)現(xiàn),每個(gè)實(shí)施例不 必提供所有功能,而其他功能對本領(lǐng)域技術(shù)人員也是顯而易見的。
應(yīng)用平臺34的優(yōu)點(diǎn)可以包括通過最少地改變現(xiàn)有應(yīng)用而實(shí)現(xiàn)縮減的 應(yīng)用集成成本,如上所述,確保對公司應(yīng)用的訪問符合管理規(guī)則,針對雇 員訪問web服務(wù)的中央監(jiān)視和控制點(diǎn),以及通過綜合報(bào)告而實(shí)現(xiàn)的持續(xù)的 公司改進(jìn)。
網(wǎng)關(guān)36通過通信網(wǎng)絡(luò)12有效地將企業(yè)系統(tǒng)22所提供的內(nèi)聯(lián)網(wǎng)SOA 擴(kuò)展成實(shí)現(xiàn)與客戶及合作方的無縫集成而不會(huì)危及安全或私密的外聯(lián)網(wǎng)。 網(wǎng)關(guān)36的功能還可以包括應(yīng)用至合作方外聯(lián)網(wǎng)和分支機(jī)構(gòu)位置的所有擴(kuò) 展,這為合作方訪問應(yīng)用提供了無縫移動(dòng)性、確保了合作方對公司應(yīng)用的 訪問符合管理規(guī)則、以及保持了公司身份的私密性而不會(huì)造成可追溯性。
在提供從關(guān)聯(lián)于企業(yè)系統(tǒng)22的任何合作方站點(diǎn)至應(yīng)用服務(wù)器32的移 動(dòng)訪問時(shí),網(wǎng)關(guān)36可以實(shí)現(xiàn)合作方制度的安全標(biāo)識和不同安全域之間的身 份接受。用于與外部合作方站點(diǎn)關(guān)聯(lián)的用戶系統(tǒng)的應(yīng)用消息和數(shù)據(jù)轉(zhuǎn)換也 可以由網(wǎng)關(guān)36提供,同時(shí)確保所有數(shù)據(jù)關(guān)于公司策略而保持私密性。所有應(yīng)用訪問的綜合審計(jì)跟蹤可以由網(wǎng)關(guān)收集并且提供給外部合作方企業(yè)系 統(tǒng),從而例如證實(shí)與規(guī)則相符。
應(yīng)用管理器42提供用于監(jiān)視和控制應(yīng)用平臺34、網(wǎng)關(guān)36和企業(yè)系統(tǒng) 22中的任何其他平臺和網(wǎng)關(guān)(未顯示)的中心點(diǎn)。為了確保改進(jìn)的公司管 理和/或符合管理規(guī)則而實(shí)現(xiàn)的針對所有應(yīng)用的總體上一致的策略也可以 在一些實(shí)施例中通過應(yīng)用管理器42來被建立并且被分配給應(yīng)用平臺34和 網(wǎng)關(guān)36以進(jìn)行執(zhí)行。中央應(yīng)用管理器42也可以規(guī)定總體上一致的應(yīng)用改 變管理。
如上文所述,企業(yè)系統(tǒng)24可以基本上類似于企業(yè)系統(tǒng)22。 企業(yè)系統(tǒng)22同時(shí)包括支持應(yīng)用的應(yīng)用服務(wù)器32和可以使用這些應(yīng)用 的一個(gè)或多個(gè)用戶系統(tǒng)38。然而,應(yīng)當(dāng)認(rèn)識到,應(yīng)用服務(wù)器和用戶系統(tǒng)不 必共同定位。例如,應(yīng)用系統(tǒng)26包括一個(gè)或多個(gè)應(yīng)用服務(wù)器46,而不包 括本地用戶系統(tǒng)。盡管僅示出了應(yīng)用系統(tǒng)26中的一個(gè)應(yīng)用平臺44,然而 應(yīng)用系統(tǒng)的某些實(shí)現(xiàn)也可以包括網(wǎng)關(guān)。盡管所示應(yīng)用系統(tǒng)26可能適合于例 如與作為企業(yè)系統(tǒng)22的主數(shù)據(jù)中心關(guān)聯(lián)的遠(yuǎn)程數(shù)據(jù)中心,然而托管應(yīng)用以 由外部用戶系統(tǒng)^f吏用的獨(dú)立的或"非附屬的"應(yīng)用系統(tǒng)也可以包括網(wǎng)關(guān)用 以處理例如外部用戶的認(rèn)證。
應(yīng)用系統(tǒng)26中的應(yīng)用平臺44可以與企業(yè)系統(tǒng)22的應(yīng)用管理器42交 互,或更一般地與其附屬企業(yè)系統(tǒng)的應(yīng)用管理器交互。在獨(dú)立應(yīng)用系統(tǒng)的 情況下,本地應(yīng)用管理器可以被提供。在一些實(shí)現(xiàn)中,外部服務(wù)控制器與 多個(gè)不同域中的SOA基礎(chǔ)設(shè)施組件交互。例如,有效耦合到通信網(wǎng)絡(luò)12 的外部服務(wù)控制器可以配置網(wǎng)關(guān)36和企業(yè)系統(tǒng)24中的網(wǎng)關(guān)以收集和交換 應(yīng)用性能統(tǒng)計(jì)。
圖1示出了僅一個(gè)用戶的部署,即遠(yuǎn)程用戶系統(tǒng)設(shè)施28。應(yīng)用委托代 理48使得例如合作方或分支機(jī)構(gòu)位置處的用戶系統(tǒng)49能夠使用由遠(yuǎn)程應(yīng) 用服務(wù)器提供的應(yīng)用。在一個(gè)實(shí)施例中,應(yīng)用委托代理48是縮減大小的網(wǎng) 關(guān)36。應(yīng)用委托代理48像網(wǎng)關(guān)36那樣可以在用企業(yè)系統(tǒng)22認(rèn)證用戶系 統(tǒng)49期間保持7>司身份的私密性而不會(huì)造成可追溯性,并且利用例如隧道化技術(shù)而支持通過通信網(wǎng)絡(luò)12的安全通信,而不必能夠認(rèn)證外部用戶,因 為遠(yuǎn)程用戶系統(tǒng)設(shè)施28并沒有托管可由外部用戶系統(tǒng)使用的應(yīng)用。
在操作中,希望利用由應(yīng)用服務(wù)器32提供的應(yīng)用的用戶系統(tǒng)38首先 被身份系統(tǒng)40認(rèn)證。本領(lǐng)域技術(shù)人員熟悉多種用于該目的的安全機(jī)制,例 如用戶名/密碼認(rèn)證。如果對應(yīng)用服務(wù)器32的遠(yuǎn)程訪問被支持,則用戶認(rèn) 證可以由網(wǎng)關(guān)36可能地通過與外部身份系統(tǒng)交互來處理。當(dāng)與合作方企業(yè) 系統(tǒng)或站點(diǎn)關(guān)聯(lián)的用戶系統(tǒng)本地連接到企業(yè)系統(tǒng)22并且希望訪問應(yīng)用服 務(wù)器32時(shí),網(wǎng)關(guān)36也可以進(jìn)行認(rèn)證。
當(dāng)用戶已經(jīng)被認(rèn)證時(shí),可以在用戶系統(tǒng)和應(yīng)用服務(wù)器32之間交換消息 或其他格式的信息。用戶可以被許可在進(jìn)行單個(gè)成功認(rèn)證之后訪問多個(gè)應(yīng) 用。
如上文指出的,對于在現(xiàn)場工作且需要訪問本地服務(wù)的非員工的臨時(shí) 用戶身份的創(chuàng)建和維持對于許多公司的網(wǎng)絡(luò)和應(yīng)用管理員而言是一項(xiàng)巨大 的挑戰(zhàn)。這些臨時(shí)用戶通常是合作方公司的員工,例如承包人、顧問、審 計(jì)員等,并且可能僅當(dāng)他們物理地在現(xiàn)場時(shí)才要求訪問 一組受限的應(yīng)用或 服務(wù)。滿足這些要求對于管理員而言不僅意味著是大量的工作,也會(huì)在其 安全模型中打開漏洞。
術(shù)語"移動(dòng)用戶"在這里用于描述這樣的用戶嘗試通過物理地連接 到網(wǎng)絡(luò)(說明性地是公司網(wǎng)絡(luò))的用戶系統(tǒng)來接入安全網(wǎng)絡(luò),但^>^> 司與其事先達(dá)成關(guān)于共享網(wǎng)絡(luò)服務(wù)的協(xié)議的商業(yè)伙伴的員工。用戶是移動(dòng) 的是因?yàn)樗麄儚钠錃w屬站點(diǎn)處物理地遷移。這并不涉及他們的合作方公司 內(nèi)的網(wǎng)絡(luò)連接的特性,所述網(wǎng)絡(luò)連接可以是固定的或無線的。參考圖1, 假設(shè)企業(yè)系統(tǒng)22、 24是在通過其各自網(wǎng)關(guān)實(shí)現(xiàn)的合作方外聯(lián)網(wǎng)中彼此交互 的合作方站點(diǎn),關(guān)聯(lián)于企業(yè)系統(tǒng)24的移動(dòng)用戶可以在執(zhí)行咨詢工作時(shí)本地 連接到企業(yè)系統(tǒng)22。在這種情況下,用戶是其歸屬站點(diǎn)是企業(yè)系統(tǒng)24但 是物理地在現(xiàn)場且本地連接到企業(yè)系統(tǒng)22的移動(dòng)用戶。
合作方在這個(gè)例子中具有建立的合作方外聯(lián)網(wǎng)連接,其中網(wǎng)關(guān)36被部 署在每個(gè)企業(yè)系統(tǒng)22、 24中并且被配置成彼此相連。這個(gè)合作方外聯(lián)網(wǎng)被問由另 一公司提供的服務(wù),其服從于在每 個(gè)網(wǎng)關(guān)所執(zhí)行的策略。本發(fā)明的實(shí)施例通過說明性地在網(wǎng)關(guān)提供關(guān)于無縫 但安全的用戶移動(dòng)性的基于企業(yè)網(wǎng)絡(luò)的支持、而將這個(gè)服務(wù)訪問模型進(jìn)一 步擴(kuò)展至合作方7>司的移動(dòng)用戶。
如下文所述,用于本地連接的移動(dòng)用戶的認(rèn)證機(jī)制可能包括移動(dòng)用戶 向接入設(shè)備或裝置發(fā)出認(rèn)證請求,這說明性地在訪問站點(diǎn)的本地網(wǎng)關(guān),其 雇主例如被標(biāo)識成其身份"域"。本地網(wǎng)關(guān)因而可以自動(dòng)地將請求轉(zhuǎn)發(fā)至 合適的合作方網(wǎng)關(guān)(如果可用),并且監(jiān)視響應(yīng)。如果遠(yuǎn)程合作方網(wǎng)關(guān)指 示肯定的認(rèn)證,則移動(dòng)用戶可以可能地基于訪問策略而^皮許可或拒絕訪問 一個(gè)或多個(gè)本地服務(wù),所述訪問策略關(guān)聯(lián)于特定的移動(dòng)用戶、關(guān)聯(lián)的合作 方/>司、 一天中的時(shí)間或多個(gè)其他準(zhǔn)則中的任一個(gè)或全部。
管理員的任何手工動(dòng)作。然而應(yīng)當(dāng)認(rèn)識到,除訪問控制之外的操作或任務(wù) 也可以取決于所請求的遠(yuǎn)程認(rèn)證的結(jié)果。
圖2是才艮據(jù)本發(fā)明實(shí)施例的裝置的框圖。裝置50包括用戶系統(tǒng)接口 52、合作方網(wǎng),口 54、有效耦合到用戶系統(tǒng)接口和合作方網(wǎng),口的移 動(dòng)用戶認(rèn)證模塊56、有效耦合到移動(dòng)用戶認(rèn)證模塊的合作方域數(shù)據(jù)庫58、 以及有效耦合到移動(dòng)用戶認(rèn)證模塊、移動(dòng)用戶數(shù)據(jù)庫62、訪問策略數(shù)據(jù)庫 64及一個(gè)或多個(gè)應(yīng)用服務(wù)器接口 66的移動(dòng)用戶訪問模塊60。
如上文參考圖l所述,附圖的內(nèi)容僅用于說明。其中實(shí)現(xiàn)裝置50的設(shè) 備可以包括例如未示出的附加部件。這些部件可以根據(jù)實(shí)現(xiàn)裝置50的點(diǎn)或 設(shè)備/系統(tǒng)而采取各種形式。通常,裝置的其他實(shí)施例可以包括比明確顯示 的更多、更少或不同的、具有類似或不同的互連的部件。
圖2的部件的有效耦合所經(jīng)由的連接類型在某種程度上來說可以是實(shí) 現(xiàn)相關(guān)的。電子設(shè)備通常使用各種類型的物理連線和有線連接。在例如配 合軟件功能的情況下,有效耦合可以經(jīng)由變量、注冊或存儲(chǔ)器公共訪問區(qū) 域,并且因此包括邏輯耦合。
硬件、軟件、固件或其組合可以被用來實(shí)現(xiàn)裝置50的部件。處理單元
20可能是適用的,例如微處理器、微控制器、可編程邏輯設(shè)備(PLD)、現(xiàn) 場可編程門陣列(FPGA)、專用集成電路、以及其他類型的"智能,,集 成電路。
裝置50可以通過接口 52、 54、 66與本地通信網(wǎng)絡(luò)和例如合作方網(wǎng)絡(luò) 的外部網(wǎng)絡(luò)的其他部件交互。這些接口可以是相同類型的或不同類型的, 或在同 一通信介質(zhì)被用于與所有其他部件的信息傳送的情況下甚至是同一 接口。然而,在許多實(shí)現(xiàn)中,有可能用戶系統(tǒng)接口 52至少不同于應(yīng)用服務(wù) 器接口 66,以及為不同的應(yīng)用服務(wù)器提供多個(gè)不同類型的應(yīng)用服務(wù)器接 口。合作方網(wǎng),口 54可以是另一個(gè)不同的接口。
用戶系統(tǒng)接口 52使得裝置50能夠與用戶系統(tǒng)交換應(yīng)用訪問信息,例 如認(rèn)證請求和服務(wù)消息。每個(gè)應(yīng)用服務(wù)器接口 66類似地使得裝置50能夠 與一個(gè)或多個(gè)應(yīng)用服務(wù)器的各個(gè)集合交換應(yīng)用訪問信息。例如當(dāng)裝置50
理從合作方用戶系統(tǒng)對應(yīng)用的使用的網(wǎng)關(guān)上時(shí),裝置50的這種結(jié)構(gòu)是合適 的,因?yàn)檫@些部件處理企業(yè)系統(tǒng)的所有應(yīng)用訪問信息。然而,應(yīng)當(dāng)認(rèn)識到, 其他實(shí)現(xiàn)也是可^f亍的。移動(dòng)用戶訪問裝置可以參與i^證移動(dòng)用戶并許可對 本地服務(wù)的訪問,但是不必主動(dòng)地參與例如應(yīng)用服務(wù)器與用戶系統(tǒng)之間的 服務(wù)業(yè)務(wù)傳送。
通過合作方網(wǎng)絡(luò)接口 54,裝置50可以與遠(yuǎn)程合作方企業(yè)系統(tǒng)交換信 息。例如,在圖l的系統(tǒng)中,企業(yè)系統(tǒng)網(wǎng)關(guān)之間的合作方間交換可能涉及 通過通信網(wǎng)絡(luò)12和每個(gè)網(wǎng)關(guān)處的合適的網(wǎng)絡(luò)接口來傳送信息。根據(jù)本發(fā)明 的實(shí)施例,合作方企業(yè)系統(tǒng)中的網(wǎng)關(guān)至少在移動(dòng)用戶認(rèn)證期間交換信息。
接口 52、 54、 56的結(jié)構(gòu)和操作至少在某種程度上取決于信息傳送中使 用的通信介質(zhì)和協(xié)議。本領(lǐng)域技術(shù)人員熟悉多種接口,其中裝置50可經(jīng)由 所述接口接收和/或發(fā)送應(yīng)用訪問信息。這些接口也可以按照裝置50在企 業(yè)系統(tǒng)中被實(shí)現(xiàn)的位置的變化而變化。
數(shù)據(jù)庫58、62、64中的每一個(gè)都可以在一個(gè)或多個(gè)存儲(chǔ)設(shè)備中被提供。 固態(tài)存儲(chǔ)設(shè)備在電子設(shè)備中是常見的,并且每個(gè)數(shù)據(jù)庫可以利用 一個(gè)或多個(gè)這種類型的存儲(chǔ)設(shè)備而被實(shí)現(xiàn)。然而,其他類型的存儲(chǔ)設(shè)備,包括利用
活動(dòng)的或可拆卸的存儲(chǔ)介質(zhì)的存儲(chǔ)設(shè)備,也可以被用來存儲(chǔ)數(shù)據(jù)庫58、 62、64。
合作方域數(shù)據(jù)庫58存儲(chǔ)與合作方組織相關(guān)聯(lián)的信息。合作方信息可以包括例如合作方名稱、網(wǎng)關(guān)地址、和/或關(guān)于對于每個(gè)合作方是否存在移動(dòng)性協(xié)議的指示。移動(dòng)用戶數(shù)據(jù)庫62存儲(chǔ)移動(dòng)用戶身份信息,例如在認(rèn)證過程期間自動(dòng)被建立以使得認(rèn)證移動(dòng)用戶能夠訪問本地服務(wù)的臨時(shí)用戶身份。策略^皮存儲(chǔ)在訪問策略數(shù)據(jù)庫64中,所述策略例如;U艮務(wù)訪問限制、信息轉(zhuǎn)^/格式化要求、和/或監(jiān)視要作為移動(dòng)用戶在本地網(wǎng)絡(luò)上的活動(dòng)的記錄而被存儲(chǔ)的信息。用戶指定的策略、應(yīng)用/服務(wù)指定的策略、合作方指定的策略和本地公司范圍內(nèi)的策略中的任一個(gè)或全部可以由本地管理員來建立以控制移動(dòng)用戶可以在本地網(wǎng)絡(luò)中所做的事。
如上所述,裝置50的部件可以利用硬件、軟件和/或固件實(shí)現(xiàn)。因此這里僅就其功能而描述這些部件?;诠δ苊枋?,本領(lǐng)域技術(shù)人員能夠以各種方式中的任一種來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的服務(wù)監(jiān)視技術(shù)。在操作中,移動(dòng)用戶認(rèn)證模塊56和會(huì)話管理模塊60促進(jìn)了無縫用戶移動(dòng)性,如下文詳細(xì)描述的那樣,而無須手工提供臨時(shí)身份或服務(wù)訪問策略。整個(gè)移動(dòng)用戶認(rèn)證和服務(wù)訪問過程可以被自動(dòng)化,以使得它對于網(wǎng)絡(luò)和應(yīng)用管理員而言是無縫的并且不會(huì)影響到安全性或?qū)Ρ还芾碣Y源的控制。
通過與移動(dòng)用戶關(guān)聯(lián)的外部網(wǎng)絡(luò)對該移動(dòng)用戶的自動(dòng)認(rèn)證提供了 一種安全的方法來用它們自己的網(wǎng)絡(luò)或歸屬站點(diǎn)中的身份服務(wù)器認(rèn)證移動(dòng)用戶。例如,基于合作方之間的現(xiàn)有服務(wù)互操作性協(xié)議和策略可以許可移動(dòng)用戶臨時(shí)訪問服務(wù)。如果通過位于應(yīng)用服務(wù)器和移動(dòng)用戶之間的服務(wù)路徑上的網(wǎng)關(guān)或其它設(shè)備授權(quán)服務(wù)訪問,則也可以提供完整的控制和監(jiān)視。本地網(wǎng)絡(luò)中的移動(dòng)用戶的認(rèn)證也可以按照本地網(wǎng)絡(luò)管理員所設(shè)定的策略而被自動(dòng)地去激活,這可能地利用例如網(wǎng)關(guān)中的審計(jì)日志中保留的完整的移動(dòng)用戶訪問可追溯性來實(shí)現(xiàn)。實(shí)現(xiàn)無縫用戶移動(dòng)性所涉及的功能可能包括移動(dòng)用戶認(rèn)證,并且在一
些實(shí)施例中涉及訪問控制。在裝置50中,這些功能可以由移動(dòng)用戶認(rèn)證才莫塊56和移動(dòng)用戶訪問模塊60來支持。本發(fā)明的其他實(shí)施例可以提供不同的細(xì)分以及可能地在更多、更少或不同部件之間的其他功能。
現(xiàn)在將同時(shí)參考圖1和2描述本發(fā)明的實(shí)施例。假設(shè)網(wǎng)關(guān)36和企業(yè)系統(tǒng)24的相應(yīng)網(wǎng)關(guān)被用來建立具有在網(wǎng)關(guān)被執(zhí)行的策略和服務(wù)互操作性協(xié)議的合作方外聯(lián)網(wǎng)。通常在企業(yè)系統(tǒng)24中但現(xiàn)在在企業(yè)系統(tǒng)22中的用戶是移動(dòng)用戶。盡管企業(yè)系統(tǒng)22的"歸屬"用戶在本地身份系統(tǒng)40中被提供,然而來自企業(yè)系統(tǒng)24的移動(dòng)用戶盡管本地連接到企業(yè)系統(tǒng)22卻不是這樣。然而,企業(yè)系統(tǒng)24的身份系統(tǒng)知道該移動(dòng)用戶。移動(dòng)用戶認(rèn)證模塊56基于現(xiàn)有合作方外聯(lián)網(wǎng)而在企業(yè)系統(tǒng)22中允許移動(dòng)用戶被認(rèn)證并且可能地被許可訪問服務(wù),而無須請求企業(yè)系統(tǒng)22、 24中任一個(gè)的管理員執(zhí)行任何附加動(dòng)作。
通過用戶系統(tǒng)接口 52,裝置50,特別是移動(dòng)用戶認(rèn)證模塊56,從移動(dòng)用戶接收關(guān)于認(rèn)證的請求。這種請求可以采取關(guān)于認(rèn)證的明確請求的形式,其包括關(guān)于與請求的移動(dòng)用戶關(guān)聯(lián)的合作方的指示。在另一個(gè)可能的實(shí)施例中,認(rèn)證請求在服務(wù)訪問信息中是隱含的,所述服務(wù)訪問信息例如是訪問請求或移動(dòng)用戶為訪問本地應(yīng)用服務(wù)器32所進(jìn)行的其他嘗試。例如,應(yīng)用平臺34上的訪問控制器可以檢測到這種訪問請求關(guān)聯(lián)于移動(dòng)用戶,并且將訪問請求或可能地自動(dòng)生成的移動(dòng)用戶認(rèn)證請求提交給移動(dòng)用戶認(rèn)iit^莫塊56。對訪問請求的處理因而可以被中止或至少被暫停,這擱置了移動(dòng)用戶的^人證。
這個(gè)隱式認(rèn)證請求的例子也說明了移動(dòng)用戶認(rèn)證模塊56從"重新定向"移動(dòng)用戶i人證請求、訪問請求或其它訪問事務(wù)的另一企業(yè)系統(tǒng)部件或設(shè)備間接接收認(rèn)證請求的可能性。用戶系統(tǒng)接口 52因而使得裝置50能夠接M起移動(dòng)用戶認(rèn)證的某種信息,但是這種信息不必直接從用戶系統(tǒng)被接收。盡管限制移動(dòng)用戶本地連接到企業(yè)網(wǎng)絡(luò)中的預(yù)定訪問點(diǎn)(說明性地是網(wǎng)關(guān)36)從而避免對移動(dòng)用戶事務(wù)的重新定向處理是最實(shí)用的,可能期望企業(yè)系統(tǒng)的例如應(yīng)用平臺34中的重新定向功能以提供關(guān)于移動(dòng)用戶在何處可以本地連接到企業(yè)系統(tǒng)的靈活性。
移動(dòng)用戶認(rèn)證模塊56訪問合作方域數(shù)據(jù)庫58以確定是否存在現(xiàn)有的與移動(dòng)用戶歸屬站點(diǎn)的合作方外聯(lián)網(wǎng)關(guān)系。這個(gè)確定可以通過基于例如認(rèn)證請求中提供的移動(dòng)用戶標(biāo)識符和/或合作方標(biāo)識符搜索合作方域數(shù)據(jù)庫58來實(shí)現(xiàn)。如果不存在合作方移動(dòng)性關(guān)系,則移動(dòng)用戶被拒絕訪問本地網(wǎng)絡(luò)。請求的記錄可以被存儲(chǔ)在審計(jì)跟蹤或活動(dòng)跟蹤數(shù)據(jù)庫(未顯示)中以隨后由管理員查看和/或分析。
如果有現(xiàn)有的與移動(dòng)用戶歸屬站點(diǎn)的用戶移動(dòng)性關(guān)系,則移動(dòng)用戶認(rèn)證模塊56可以代表移動(dòng)用戶經(jīng)由合作方網(wǎng)絡(luò)接口 54發(fā)送認(rèn)證請求至歸屬站點(diǎn)。移動(dòng)用戶認(rèn)證^t莫塊56或例如網(wǎng)關(guān)的另一部件可以首先確認(rèn)與遠(yuǎn)程合作方站點(diǎn)的連接或在一些實(shí)施例中是與該站點(diǎn)的網(wǎng)關(guān)的連接是可用的??梢栽谶B接不可用時(shí)執(zhí)行各種差錯(cuò)處理功能。
在移動(dòng)用戶歸屬站點(diǎn),具有與裝置50基^M目似的結(jié)構(gòu)的裝置可以被提供以處理遠(yuǎn)程認(rèn)證。通過其自己的合作方網(wǎng)絡(luò)接口 54,合作方站點(diǎn)移動(dòng)用戶認(rèn)證模塊56接收與移動(dòng)用戶有關(guān)的遠(yuǎn)程認(rèn)證請求,所述模塊實(shí)際上可以是合作方站點(diǎn)身份系統(tǒng)或者結(jié)合該身份系統(tǒng)而操作。例如,利用其自己的用戶數(shù)據(jù)庫和用戶移動(dòng)性策略,合作方站點(diǎn)認(rèn)iiMt塊嘗試認(rèn)證該移動(dòng)用戶。
如果移動(dòng)用戶提供的認(rèn)證信息與本地存儲(chǔ)在歸屬站點(diǎn)的認(rèn)證信息不匹配,則認(rèn)證可能失敗。認(rèn)證失敗也可以例如是由于超時(shí)、連接故障或未被歸屬站點(diǎn)管理員授權(quán)移動(dòng)的用戶而造成的。安全攻擊或破壞可以是認(rèn)證失敗的另一個(gè)原因。例如,當(dāng)接收到遠(yuǎn)程認(rèn)證請求時(shí),如果移動(dòng)用戶登錄到歸屬站點(diǎn),攻擊者試圖作為該移動(dòng)用戶本地訪問服務(wù)可以被移動(dòng)用戶的歸屬站點(diǎn)檢測到。
在認(rèn)證失敗的情況下,歸屬站點(diǎn)認(rèn)證模塊或身份系統(tǒng)可以返回否定認(rèn)證答復(fù)給請求的站點(diǎn),或者如果發(fā)起遠(yuǎn)程認(rèn)證的移動(dòng)用戶認(rèn)證模塊56能夠在預(yù)定時(shí)期內(nèi)缺乏來自歸屬站點(diǎn)的答復(fù)的情況下宣告認(rèn)證失敗則根本不答復(fù)。如果移動(dòng)用戶的認(rèn)證成功,則歸屬站點(diǎn)移動(dòng)用戶i人證^f莫塊可以創(chuàng)建并本地存儲(chǔ)移動(dòng)用戶身份。這個(gè)移動(dòng)用戶身份和肯定的認(rèn)證答復(fù)被返回給移
動(dòng)用戶所連接的請求的站點(diǎn)。在該請求的站點(diǎn),移動(dòng)用戶認(rèn)證模塊56進(jìn)行檢查以確認(rèn)該移動(dòng)用戶成功地被它們的歸屬站點(diǎn)認(rèn)證,并且移動(dòng)用戶身份,皮存儲(chǔ)在移動(dòng)用戶數(shù)據(jù)庫62中并且也通過用戶系統(tǒng)接口 52而被轉(zhuǎn)發(fā)給移動(dòng)用戶。
在圖2所示的裝置中,移動(dòng)用戶認(rèn)證模塊56經(jīng)由接口 54從合作方站點(diǎn)接收認(rèn)證答復(fù)和移動(dòng)用戶身份,并且將該身份傳遞給移動(dòng)用戶訪問模塊60以存儲(chǔ)在移動(dòng)用戶數(shù)據(jù)庫62中。如果移動(dòng)用戶認(rèn)證模塊56也有效耦合到移動(dòng)用戶數(shù)據(jù)庫62,則它可以直接存儲(chǔ)該身份至數(shù)據(jù)庫。如圖2的虛線所示,移動(dòng)用戶訪問模塊60也可以有效耦合到合作方網(wǎng)絡(luò)接口 54,在這種情況下,它可以從接口接收所述身份。因此,如上文所述,部件之間的互連可以與圖2所示的不同。
應(yīng)當(dāng)認(rèn)識到,肯定的認(rèn)證答復(fù)和移動(dòng)身份不必是分離的且不同的。來自合作方站點(diǎn)的、包括移動(dòng)用戶身份的答復(fù)可以例如推斷出該移動(dòng)用戶已經(jīng)被認(rèn)證。
本發(fā)明的實(shí)施例也可以使用或不使用動(dòng)態(tài)生成的移動(dòng)用戶身份。然而,這種身份在不與合作方域共享歸屬站點(diǎn)用戶名和密碼的情況下可能是有用的。盡管移動(dòng)用戶可以向移動(dòng)用戶認(rèn)證模塊56提供歸屬站點(diǎn)用戶名和密碼以傳送回歸屬站點(diǎn),然而這個(gè)機(jī)制有效地泄漏了移動(dòng)用戶的用戶名和密碼。盡管允許用戶移動(dòng)性的可信合作方站點(diǎn)可能沒有表現(xiàn)出嚴(yán)重的安全風(fēng)險(xiǎn),然而至少網(wǎng)絡(luò)管理員通常并不希望在其網(wǎng)絡(luò)外部分發(fā)用戶名、密碼和其他i人證信息。
由移動(dòng)用戶使用以在本地連接到遠(yuǎn)程合作方站點(diǎn)時(shí)訪問資源的移動(dòng)用戶身份的生成避免了歸屬站點(diǎn)認(rèn)證信息的傳播。在響應(yīng)于其而發(fā)起歸屬站點(diǎn)認(rèn)證的初始認(rèn)證請求或訪問事務(wù)中,移動(dòng)用戶可以提供個(gè)人名稱或其它非機(jī)密信息,本地移動(dòng)用戶認(rèn)肖塊56或至少是歸屬站點(diǎn)身份系統(tǒng)可以基于所述個(gè)人名稱或其它非機(jī)密信息來識別移動(dòng)用戶。在需要附加信息來由
25歸屬站點(diǎn)i人證移動(dòng)用戶的情況下,移動(dòng)用戶認(rèn)證模塊56可以在移動(dòng)用戶系統(tǒng)和歸屬站點(diǎn)之間建立安全隧道或其他安全連接。在這種情況下,歸屬站點(diǎn)認(rèn)證信息可以在移動(dòng)用戶系統(tǒng)和歸屬站點(diǎn)之間被傳送而不會(huì)被移動(dòng)用戶i人證才莫塊56或訪問站點(diǎn)的其他部件泄漏。
如上文所述,存儲(chǔ)在歸屬站點(diǎn)的移動(dòng)用戶身份可以被映射到移動(dòng)用戶以例如進(jìn)行歷史的監(jiān)視或跟蹤,但是不會(huì)危及歸屬站點(diǎn)認(rèn)證信息的機(jī)密性。針對移動(dòng)用戶身份,移動(dòng)用戶活動(dòng)報(bào)告可以如下文所述那樣由移動(dòng)用戶訪問模塊60從訪問站點(diǎn)提供給歸屬站點(diǎn),并且然后由歸屬站點(diǎn)的用戶活動(dòng)監(jiān)-見系統(tǒng)將其關(guān)聯(lián)于正確的移動(dòng)用戶。
在上述認(rèn)證實(shí)例中,移動(dòng)用戶被認(rèn)證而無需訪問站點(diǎn)的網(wǎng)絡(luò)或應(yīng)用管理員執(zhí)行任何手工動(dòng)作。認(rèn)證是基于合作方外聯(lián)網(wǎng)的現(xiàn)有安全模型的。
成功認(rèn)證之后,移動(dòng)用戶也能夠使用訪問站點(diǎn)的本地服務(wù)。對移動(dòng)用戶訪問服務(wù)的認(rèn)證在裝置50中由移動(dòng)用戶訪問模塊60來處理。
移動(dòng)用戶訪問4莫塊60可以從認(rèn)證移動(dòng)用戶接收服務(wù)訪問請求,該請求包括先前由移動(dòng)用戶在認(rèn)證期間獲得的移動(dòng)用戶身份。這種請求可以通過用戶系統(tǒng)接口52被接收,并且不需要由移動(dòng)用戶認(rèn)證模塊56處理,因?yàn)樵谶@個(gè)實(shí)例中已經(jīng)完成認(rèn)證。
移動(dòng)用戶數(shù)據(jù)庫62中的信息由移動(dòng)用戶訪問模塊60來訪問,說明性地通過搜索移動(dòng)用戶身份,從而認(rèn)證移動(dòng)用戶。移動(dòng)用戶訪問模塊60也可以通過識別訪問策略數(shù)據(jù)庫64中的這種策略來確定任何要應(yīng)用于訪問請求的訪問策略。這些策略可以包括全局訪問站點(diǎn)策略和/或移動(dòng)用戶指定的策略、移動(dòng)用戶歸屬站點(diǎn)指定的策略和/或服務(wù)指定的策略中的任一個(gè)或全部。
網(wǎng)絡(luò)管理員可以設(shè)定例如針對承包公司的策略,其使得來自該公司的移動(dòng)用戶能夠例如僅訪問所需要的服務(wù)或應(yīng)用。來自承包公司的移動(dòng)用戶一旦被認(rèn)證就被自動(dòng)許可訪問所請求的服務(wù)或應(yīng)用。因此,移動(dòng)用戶對服務(wù)的訪問可以由移動(dòng)用戶訪問模塊60按照那些服務(wù)所位于的本地站點(diǎn)的管理員所建立的策略來控制。策略可以例如通過訪問站點(diǎn)的應(yīng)用管理器基
26于合作方用戶移動(dòng)性協(xié)議來被建立。
所接收的請求如果符合應(yīng)用訪問策略則被轉(zhuǎn)發(fā)給通過應(yīng)用服務(wù)器接口
66來支持服務(wù)的應(yīng)用服務(wù)器。從應(yīng)用服務(wù)器去往移動(dòng)用戶的服務(wù)訪問信息可以以基本上相似的方式被處理,所述信息例如;O艮務(wù)事務(wù)中所涉及的請求和響應(yīng)。
利用上述技術(shù),認(rèn)證移動(dòng)用戶可以被許可訪問他們需要的服務(wù)而無須網(wǎng)絡(luò)和應(yīng)用管理員執(zhí)行任何手工動(dòng)作。合作方外聯(lián)網(wǎng)服務(wù)訪問模型由此可以被無縫地?cái)U(kuò)展至合作方公司的移動(dòng)用戶。
存儲(chǔ)于訪問策略數(shù)據(jù)庫64中的訪問策略可以指定其他訪問相關(guān)的限制或需求。訪問策略可以指定移動(dòng)用戶可以訪問本地服務(wù)的時(shí)間長短或必須利用歸屬站點(diǎn)重新認(rèn)證移動(dòng)用戶之前可以訪問的不同本地服務(wù)或應(yīng)用的數(shù)目。
監(jiān)視準(zhǔn)則也可以在訪問策略中被指定。例如,當(dāng)在移動(dòng)用戶和應(yīng)用服務(wù)器之間傳送服務(wù)消息時(shí),策略可以指示移動(dòng)用戶訪問模塊60記錄移動(dòng)用戶的所有訪問活動(dòng)。實(shí)際的服務(wù)消息或轉(zhuǎn)換,例如服務(wù)消息的無用信息(hash)或數(shù)字簽名可以被存儲(chǔ)在例如會(huì)話數(shù)據(jù)庫(未顯示)中?;顒?dòng)記錄才艮告也可以在訪問策略中被指定。移動(dòng)用戶訪問模塊60可以將活動(dòng)記錄實(shí)時(shí)報(bào)告回歸屬站點(diǎn),所述才艮告可以由用戶自發(fā)地或由管理員或移動(dòng)用戶訪問模塊60強(qiáng)制性地以周期間隔進(jìn)行或當(dāng)^t終止時(shí)進(jìn)行,例如當(dāng)移動(dòng)用戶蜂皮要求重新i人證或超出訪問時(shí)間或活動(dòng)限制時(shí)?;顒?dòng)記錄才艮告對于跟蹤移動(dòng)用戶活動(dòng)、證明符合規(guī)則、引導(dǎo)審計(jì)等而言是有用的。
活動(dòng)監(jiān)視和報(bào)告可以以上述相關(guān)美國臨時(shí)專利申請中公開的方式來提供,所述申請的標(biāo)題是"Communication Network Application ActivityMonitoring and Control"。
企業(yè)系統(tǒng)可以使得位于合作方站點(diǎn)的外部用戶系統(tǒng)能夠訪問其服務(wù)。在這種情況下,應(yīng)用平臺34和/或網(wǎng)關(guān)36 (圖1)可以針對外部用戶系統(tǒng)執(zhí)行任何必要的數(shù)據(jù)轉(zhuǎn)換。由于移動(dòng)用戶是重新定位的外部用戶,在向移動(dòng)用戶歸屬站點(diǎn)傳送數(shù)據(jù)過程中已經(jīng)被執(zhí)行的轉(zhuǎn)換仍然是必需的。因此,在一些實(shí)施例中限制移動(dòng)用戶訪問企業(yè)系統(tǒng)中位于外部轉(zhuǎn)換功能輸出側(cè)的訪問點(diǎn)或通過這種功能重新定向移動(dòng)用戶服務(wù)相關(guān)的信息可能,是有用的。
移動(dòng)用戶訪問模塊60可以被配置成將所有服務(wù)業(yè)務(wù)傳遞給例如轉(zhuǎn)換^^莫塊或引擎,以確保服務(wù)消息和其他服務(wù)相關(guān)的信息對于移動(dòng)用戶系統(tǒng)而言是以適當(dāng)?shù)男问降摹?br>
為此,移動(dòng)用戶系統(tǒng)在企業(yè)系統(tǒng)22上可以僅通過例如網(wǎng)關(guān)36 (圖1)
所述轉(zhuǎn)換通常由網(wǎng)關(guān)實(shí)施。即使移動(dòng)用戶可以經(jīng)由訪問站點(diǎn)的內(nèi)部接口連接到該站點(diǎn),移動(dòng)用戶也仍然被看作是通過外部連接提供的訪問。
關(guān)于外部轉(zhuǎn)換是否被施加于服務(wù)訪問信息的確定可以例如基于包含于
服務(wù)訪問信息中的用戶身份。這種確定也可以取決于接收服務(wù)訪問信息所經(jīng)由的物理接口。例如,移動(dòng)用戶可以;故限制通過網(wǎng)關(guān)或應(yīng)用平臺的特定接口訪問本地服務(wù),在這種情況下將轉(zhuǎn)換施加于通過這些接口被傳送的服務(wù)訪問信息。
上面主要參考圖1的通信系統(tǒng)10和圖2的裝置50描述了本發(fā)明的實(shí)施例。圖3是根據(jù)本發(fā)明另一實(shí)施例的方法的流程圖。
方法70說明了在認(rèn)證移動(dòng)用戶和控制該移動(dòng)用戶對本地服務(wù)的訪問的過程中所牽涉的操作。
在72,接收請求或關(guān)聯(lián)于移動(dòng)用戶的其他應(yīng)用訪問信息,例如認(rèn)證請求消息。例如,認(rèn)證請求消息可以從移動(dòng)用戶系統(tǒng)或從能夠重新定向移動(dòng)用戶^人證請求消息的部件凈皮接收,如上文所述。
在74,從移動(dòng)用戶的歸屬站點(diǎn)請求移動(dòng)用戶的外部認(rèn)證。在76,從歸屬站點(diǎn)接收認(rèn)證響應(yīng),該響應(yīng)可以包括要由移動(dòng)用戶在訪問本地服務(wù)時(shí)使用的移動(dòng)用戶數(shù)字身份。在一些實(shí)施例中,這個(gè)移動(dòng)用戶身份是臨時(shí)的身份。
如果外部認(rèn)證成功,則按照任何適用的訪問策略,移動(dòng)用戶隨后在784皮許可訪問本地^^務(wù)。否則,移動(dòng)用戶對本地服務(wù)的訪問^皮拒絕。關(guān)于認(rèn)證失敗的指示可以被存儲(chǔ)在審計(jì)記錄中和/或被返回給移動(dòng)用戶。如上文所
28述,歸屬站點(diǎn)處的認(rèn)證失敗可能不會(huì)在所有的實(shí)施例中在76被明確地傳送 給請求的站點(diǎn)。當(dāng)認(rèn)證未成功時(shí),歸屬站點(diǎn)可能簡單地不在所要求的響應(yīng) 時(shí)間內(nèi)響應(yīng)i人證請求。
方法70說明了本發(fā)明的實(shí)施例。其他實(shí)施例相比所顯示的內(nèi)容而言可 能涉及執(zhí)行更少的、附加的或不同的操作,和/或以不同的順序執(zhí)行操作。
例如,i人證可以包括傳送不同于i人證請求的其他信息。例如關(guān)于移動(dòng) 用戶認(rèn)證的請求可以建立移動(dòng)用戶系統(tǒng)與歸屬站點(diǎn)之間的安全隧道,例如 歸屬站點(diǎn)用戶名和密碼的i人證信息然后由移動(dòng)用戶系統(tǒng)經(jīng)由該安全隧道凈皮 提供給該歸屬站點(diǎn)。
一旦移動(dòng)用戶的認(rèn)證在74、 76成功完成,由移動(dòng)用戶發(fā)起或去往該移 動(dòng)用戶的例如服務(wù)消息的服務(wù)相關(guān)的信息的處理可以包括認(rèn)證移動(dòng)用戶身 份。盡管如訪問策略中所指定的那樣,在特定的時(shí)間量之后或在已執(zhí)行特 定數(shù)量的服務(wù)訪問操作或事物之后可能要求移動(dòng)用戶重新認(rèn)證以使得方法 70被重復(fù),然而移動(dòng)用戶不必針對每個(gè)服務(wù)事務(wù)而被重新認(rèn)證。
在一些實(shí)施例中也可以執(zhí)行如下的操作中的任一項(xiàng)或全部檢驗(yàn)合作 方移動(dòng)性關(guān)系、檢查合作方連接、轉(zhuǎn)換服務(wù)相關(guān)的信息和收集并報(bào)告移動(dòng) 用戶活動(dòng)。
盡管圖3未明確顯示,然而移動(dòng)用戶的實(shí)際i人證在該用戶的歸屬網(wǎng)絡(luò) 或站點(diǎn)進(jìn)行。例如,響應(yīng)于接收到的認(rèn)證請求,歸屬網(wǎng)絡(luò)嘗試認(rèn)證移動(dòng)用 戶并將關(guān)于認(rèn)證結(jié)果的指示提供給請求的網(wǎng)絡(luò)。
方法70的其他變型對于本領(lǐng)域技術(shù)人員而言是顯而易見的。 圖4是可用于本發(fā)明實(shí)施例的數(shù)據(jù)結(jié)構(gòu)的框圖。具有如圖4所示結(jié)構(gòu) 的記錄可以例如凈皮存儲(chǔ)在安全通信網(wǎng)絡(luò)中的一個(gè)或多個(gè)數(shù)據(jù)庫58、 62 (圖 2)中。數(shù)據(jù)結(jié)構(gòu)80包括與存儲(chǔ)數(shù)據(jù)結(jié)構(gòu)的網(wǎng)絡(luò)具有用戶移動(dòng)性協(xié)議的外 部安全網(wǎng)絡(luò)的標(biāo)識符82。關(guān)聯(lián)于外部網(wǎng)絡(luò)的移動(dòng)用戶的標(biāo)識符在84被提 供。每個(gè)標(biāo)識符82、 84可以包括名稱、地址和/或一些其他形式的標(biāo)識信 息。與標(biāo)識外部網(wǎng)絡(luò)和/或標(biāo)識移動(dòng)用戶有關(guān)的其他信息凈皮存儲(chǔ)在數(shù)據(jù)結(jié)構(gòu) 80的86中。數(shù)據(jù)結(jié)構(gòu)可以根據(jù)需要而包括比圖4所示的更少、更多或不同的數(shù)據(jù) 字段。例如,在合作方域數(shù)據(jù)庫58 (圖2)中,數(shù)據(jù)結(jié)構(gòu)可以包括外部網(wǎng) 絡(luò)標(biāo)識符82和例如關(guān)于用戶移動(dòng)性協(xié)議和/或限制的指示的其他網(wǎng)絡(luò)信息 86。移動(dòng)用戶數(shù)據(jù)庫62中的記錄可以包括圖4所示的全部三個(gè)字段,從而 將移動(dòng)用戶身份映射到它相應(yīng)的外部網(wǎng)絡(luò)和例如服務(wù)使用記錄的其他信 息。
本發(fā)明的實(shí)施例提供了 一種用于自動(dòng)認(rèn)證合作方公司的現(xiàn)場員工(即 移動(dòng)用戶)而無需任何人工身份提供的新技術(shù)。合作方公司可以首先說明 性地通過在其公司網(wǎng)絡(luò)中部署各個(gè)網(wǎng)關(guān)并且將這些網(wǎng)關(guān)設(shè)備配置成相互連 接,來建立合作方外聯(lián)網(wǎng)連接。合作方外聯(lián)網(wǎng)被用來使得每個(gè)公司的員工 能夠訪問由遵守在每個(gè)網(wǎng)關(guān)執(zhí)行的策略的另 一公司提供的服務(wù)。
這里公開的技術(shù)可以調(diào)節(jié)這樣的事實(shí)即網(wǎng)關(guān)可以基于對例如數(shù)字證 書的憑證的解釋來提供合作方認(rèn)證和移動(dòng)用戶身傷^人證從而建立公司與身 份互操作性之間的安全連接。本發(fā)明實(shí)施例可以與例如LDAP服務(wù)器的現(xiàn) 有身份基礎(chǔ)設(shè)施相結(jié)合以利用其雇主的身份基礎(chǔ)設(shè)施來實(shí)現(xiàn)用戶認(rèn)證。合 作方外聯(lián)網(wǎng)所提供的服務(wù)訪問模型由此可以擴(kuò)展至合作方公司的移動(dòng)用 戶。
通過由公司網(wǎng)g作員執(zhí)行本發(fā)明實(shí)施例從而消除人工創(chuàng)建和維護(hù)移 動(dòng)用戶的臨時(shí)用戶身份所帶來的不安全性和勞動(dòng)密集的任務(wù),可以實(shí)現(xiàn)成 本節(jié)約。根據(jù)公司的特定情形,用戶在合作方外聯(lián)網(wǎng)中的無縫移動(dòng)性能夠 減少信息技術(shù)開銷、流線型外購操作以及封閉現(xiàn)有安全漏洞。
許可合作方公司的臨時(shí)移動(dòng)用戶訪問網(wǎng)絡(luò)和服務(wù)這一過程的自動(dòng)化提 供了對于網(wǎng)絡(luò)和應(yīng)用管理員而言為無縫的用戶移動(dòng)性并且不會(huì)損害安全性 和對其資源的控制。
本發(fā)明實(shí)施例的優(yōu)點(diǎn)可以包括以下內(nèi)容中的任一個(gè)或全部 利用其自己的網(wǎng)絡(luò)中的身份服務(wù)器對移動(dòng)用戶進(jìn)行自動(dòng)認(rèn)證; 基于公司之間的現(xiàn)有服務(wù)互操作性協(xié)議和策略自動(dòng)地臨時(shí)訪問服務(wù); 所有服務(wù)訪問可以通過公司網(wǎng)絡(luò)網(wǎng)關(guān)被授權(quán),這實(shí)現(xiàn)了完整的控制和監(jiān)視;
說明性地按照訪問策略中的屆滿時(shí)間設(shè)置可以自動(dòng)移除臨時(shí)服務(wù)訪 問;以及
對審計(jì)日志中的應(yīng)用和服務(wù)訪問完全可以追溯。
更一般地,本發(fā)明的實(shí)施例可以用來提供如下面列出的整個(gè)服務(wù)SOA 基礎(chǔ)設(shè)施的完整功能性
公司管理提供監(jiān)視、控制和報(bào)告以確保符合規(guī)則并且支持連續(xù)的公 司改進(jìn);
所管理的合作方外聯(lián)網(wǎng)利用合作方和分支機(jī)構(gòu)位置的web服務(wù)的安 全無縫發(fā)布和消耗;
Web服務(wù)性能確保web服務(wù)按照公司需求或服務(wù)等級協(xié)議(SLA) 的可用性和性能;
公司靈活性和應(yīng)用敏感性基于SOAP報(bào)頭內(nèi)容、XML標(biāo)簽或其它
消息內(nèi),供應(yīng)用級選路和消息轉(zhuǎn)換;
應(yīng)用安全通過確保適當(dāng)?shù)匦纬上?、檢測基于XML的攻擊和執(zhí)行
應(yīng)用數(shù)據(jù)加密策略來提供應(yīng)用級安全;
生命周期管理利用回退(rollback)提供受控的web服務(wù)發(fā)布; 系統(tǒng)特征提供可靠性、可擴(kuò)縮性和符合開放標(biāo)準(zhǔn)。 這里和/或在一個(gè)或多個(gè)上面提及的相關(guān)專利申請中已經(jīng)公開了所述
和其他功能。所描述的內(nèi)容僅是對本發(fā)明實(shí)施例的原理的應(yīng)用的說明。本領(lǐng)域技術(shù)
人員可以在不背離本發(fā)明范圍的情況下實(shí)現(xiàn)其他安排和方法。
例如,如上文所述,本發(fā)明決不限于附圖所示的以及上面明確描述的
特定的功能劃分或方法步驟。還應(yīng)當(dāng)認(rèn)識到,這里公開的技術(shù)絕不限于結(jié)
合合作方外聯(lián)網(wǎng)的實(shí)現(xiàn)?;旧项愃朴趫D2的裝置50的裝置中的控制器/
監(jiān)視器不必是合作方外聯(lián)網(wǎng)控制器/監(jiān)視器。
此外,盡管主要就方法和系統(tǒng)進(jìn)行了描述,然而也可以設(shè)想本發(fā)明實(shí)
施例的其他實(shí)現(xiàn),如存儲(chǔ)于一個(gè)或多個(gè)機(jī)器可讀介質(zhì)上的數(shù)據(jù)結(jié)構(gòu)和/或指令。
權(quán)利要求
1. 一種方法,包括在其中提供網(wǎng)絡(luò)服務(wù)的第一安全通信網(wǎng)絡(luò)接收與移動(dòng)用戶對服務(wù)的本地訪問相關(guān)聯(lián)的服務(wù)訪問信息,所述移動(dòng)用戶關(guān)聯(lián)于獨(dú)立受控的第二安全通信網(wǎng)絡(luò)但是從所述第一通信網(wǎng)絡(luò)本地訪問所述服務(wù);以及請求所述第二通信網(wǎng)絡(luò)認(rèn)證所述移動(dòng)用戶。
2. 根據(jù)權(quán)利要求1所述的方法,還包括基于所述第二通信網(wǎng)絡(luò)所進(jìn)行的認(rèn)證的結(jié)果來控制所述移動(dòng)用戶對所述服務(wù)的訪問。
3. 根據(jù)權(quán)利要求1所述的方法,還包括從所述第二通信網(wǎng)絡(luò)接收要由所述第一通信網(wǎng)絡(luò)中的所述移動(dòng)用戶使用的自動(dòng)生成的數(shù)字身份。
4. 根據(jù)權(quán)利要求3所述的方法,還包括將所述身份存儲(chǔ)在所述第一通信網(wǎng)絡(luò)的移動(dòng)用戶數(shù)據(jù)庫中;以及將該身份轉(zhuǎn)發(fā)給所述移動(dòng)用戶。
5. 根據(jù)權(quán)利要求1所述的方法,其中,所述服務(wù)訪問信息包括用戶^人證請求。
6. 根據(jù)權(quán)利要求1至5中任一項(xiàng)所述的方法,其中,所述服務(wù)訪問信息包括服務(wù)訪問請求,所述方法還包括確定所述移動(dòng)用戶是否已經(jīng)事先被所述第二通信網(wǎng)絡(luò)認(rèn)證;以及如果所述移動(dòng)用戶還未被所述第二通信網(wǎng)絡(luò)事先認(rèn)證則請求所述第二通信網(wǎng)絡(luò)i人證該移動(dòng)用戶。
7. 根據(jù)權(quán)利要求2所述的方法,其中,控制包括按照訪問策略而許可對所述月艮務(wù)的訪問。
8. 根據(jù)權(quán)利要求7或權(quán)利要求1至5中任一項(xiàng)所述的方法,其中,接收包括在所述第一通信網(wǎng)絡(luò)的web服務(wù)節(jié)點(diǎn)接收所述服務(wù)訪問信息。
9. 根據(jù)權(quán)利要求7或權(quán)利要求1至5中任一項(xiàng)所述的方法,其中,對與所述移動(dòng)用戶從所述第二通信網(wǎng)絡(luò)對所述服務(wù)進(jìn)行的外部訪問相關(guān)聯(lián)的服務(wù)訪問信息實(shí)施轉(zhuǎn)換以在所述移動(dòng)用戶與提供服務(wù)的應(yīng)用服務(wù)器之間傳送,所述方法還包括對所接收的服務(wù)訪問信息實(shí)施所述轉(zhuǎn)換。
10. 根據(jù)權(quán)利要求7或權(quán)利要求1至5中任一項(xiàng)所述的方法,還包括跟蹤所述第一通信網(wǎng)絡(luò)中的所述移動(dòng)用戶的活動(dòng);以及將所跟蹤的活動(dòng)報(bào)告給所述第二通信網(wǎng)絡(luò)。
11. 一種存儲(chǔ)指令的機(jī)器可讀介質(zhì),所述指令在被執(zhí)行時(shí)實(shí)現(xiàn)根據(jù)權(quán)利要求7或權(quán)利要求1至5中任一項(xiàng)的方法。
12. —種裝置,包括接口,其用于接收與移動(dòng)用戶對第一安全通信網(wǎng)絡(luò)中提供的網(wǎng)絡(luò)服務(wù)的本地訪問相關(guān)聯(lián)的服務(wù)訪問信息,所述移動(dòng)用戶與獨(dú)立受控的第二安全通信網(wǎng)絡(luò)相關(guān)聯(lián)但是從所述第一通信網(wǎng)絡(luò)本地訪問所述月良務(wù);和認(rèn)證模塊,其有效耦合到所述接口并且用于請求所述第二通信網(wǎng)絡(luò)i人證所述移動(dòng)用戶。
13. 根據(jù)權(quán)利要求12所述的裝置,還包括訪問模塊,其有效耦合到所述認(rèn)證模塊并且用于基于所述第二通信網(wǎng)絡(luò)所進(jìn)行的認(rèn)證的結(jié)果來控制所述移動(dòng)用戶對所述服務(wù)的訪問。
14. 根據(jù)權(quán)利要求13所述的裝置,其中,所述訪問模塊還用于跟蹤所述第一通信網(wǎng)絡(luò)中的所述移動(dòng)用戶的活動(dòng),所述裝置還包括有效耦合至所述訪問模塊以使得所跟蹤的活動(dòng)能夠被報(bào)告給所述第二通信網(wǎng)絡(luò)的接口 。
15. 根據(jù)權(quán)利要求13所述的裝置,還包括有效耦合到所述訪問模塊、用于存儲(chǔ)服務(wù)訪問策略的存儲(chǔ)器,其中,所述訪問模塊還用于確定所述存儲(chǔ)器是否存儲(chǔ)了控制所述移動(dòng)用戶對所述服務(wù)的訪問所依據(jù)的策略,并且如果所述存儲(chǔ)器存儲(chǔ)了控制所述移動(dòng)用戶對所述服務(wù)的訪問所依據(jù)的策略,則通過基于所述存儲(chǔ)器中存儲(chǔ)的策略許可或拒絕對所述服務(wù)的訪問來控制所述移動(dòng)用戶對所述服務(wù)的訪問。
16. 根據(jù)權(quán)利要求12所述的裝置,其中,所述認(rèn)證模塊還用于從所述第二通信網(wǎng)絡(luò)接收要由所述第一通信網(wǎng)絡(luò)中的所述移動(dòng)用戶使用的自動(dòng)生成的數(shù)字身份。
17. 根據(jù)權(quán)利要求16所述的裝置,還包括用于將所述身份存儲(chǔ)在移動(dòng)用戶數(shù)據(jù)庫中的存儲(chǔ)器;和使得所述身份能夠被轉(zhuǎn)發(fā)給所述移動(dòng)用戶的接口 。
18. 根據(jù)權(quán)利要求12至17中任一項(xiàng)所述的裝置,其中,所述服務(wù)訪問信息包括服務(wù)訪問請求,并且所述認(rèn)證模塊還用于確定所述移動(dòng)用戶是否已經(jīng)事先被所述第二通信網(wǎng)絡(luò)認(rèn)證,如果該移動(dòng)用戶還未被所述第二通信網(wǎng)絡(luò)事先認(rèn)證則請求所述第二通信網(wǎng)絡(luò)i人證該移動(dòng)用戶。
19. 一種用于管理web服務(wù)應(yīng)用使用的web服務(wù)節(jié)點(diǎn),所述web服務(wù)節(jié)點(diǎn)包括根據(jù)權(quán)利要求12至17中任一項(xiàng)的裝置。
20. 根據(jù)權(quán)利要求19所述的web服務(wù)節(jié)點(diǎn),其中,所述web服務(wù)節(jié)點(diǎn)包括實(shí)現(xiàn)從所述第二通信網(wǎng)絡(luò)對所述服務(wù)的遠(yuǎn)程使用的網(wǎng)關(guān),所述網(wǎng)關(guān)被配置成對與從所述第二通信網(wǎng)絡(luò)對所述服務(wù)的遠(yuǎn)程使用有關(guān)的信息執(zhí)行轉(zhuǎn)換,并且對與所述移動(dòng)用戶對所述服務(wù)的本地訪問有關(guān)的信息執(zhí)行轉(zhuǎn)換。
21, 一種方法,包括從其中提供網(wǎng)絡(luò)服務(wù)的第一安全通信網(wǎng)絡(luò)接收這樣的請求請求與移動(dòng)用戶關(guān)聯(lián)的獨(dú)立受控的第二安全通信網(wǎng)絡(luò)認(rèn)證所述移動(dòng)用戶以從所述第 一通信網(wǎng)絡(luò)本地訪問所述服務(wù);在所述第二通信網(wǎng)絡(luò)按照用戶身份記錄認(rèn)證所述移動(dòng)用戶;以及將關(guān)于所述認(rèn)證的結(jié)果的指示提供給所述第一通信網(wǎng)絡(luò)。
22. 根據(jù)權(quán)利要求21所述的方法,還包括如果所述移動(dòng)用戶被成功認(rèn)證,則在所述第二通信網(wǎng)絡(luò)創(chuàng)建要由所述第一通信網(wǎng)絡(luò)中的所述移動(dòng)用戶使用的數(shù)字用戶身份,其中提供包括將所述用戶身份提供給所述第一通信網(wǎng)絡(luò)。
23. —種存儲(chǔ)指令的機(jī)器可讀介質(zhì),所述指令在被執(zhí)行時(shí)實(shí)現(xiàn)才艮據(jù)斥又利要求21或22的方法。
24. —種裝置,包括接口,其用于在第一安全通信網(wǎng)絡(luò)與獨(dú)立受控的第二安全通信網(wǎng)絡(luò)之間交換信息;和認(rèn)證模塊,其有效耦合到所述接口,并且用于通過所述接口從所述第一通信網(wǎng)絡(luò)接收關(guān)于認(rèn)證關(guān)聯(lián)于所述第二通信網(wǎng)絡(luò)的移動(dòng)用戶以從所述第一通信網(wǎng)絡(luò)本地訪問在所述第一通信網(wǎng)絡(luò)中提供的服務(wù)的請求、在所述第二通信網(wǎng)絡(luò)按照用戶身份記錄來認(rèn)證所述移動(dòng)用戶、以及將關(guān)于所述認(rèn)證的結(jié)果的指示通過所述接口提供給所述第一通信網(wǎng)絡(luò)。
25. 根據(jù)權(quán)利要求24所述的裝置,其中,所述認(rèn)證模塊還被配置成在成功認(rèn)證所述移動(dòng)用戶的情況下創(chuàng)建要由所述第一通信網(wǎng)絡(luò)中的所述移動(dòng)用戶使用的數(shù)字用戶身份,以及通過將所述用戶身份提供給所述第一通信網(wǎng)絡(luò)來提供關(guān)于所述認(rèn)證的結(jié)果的指示。
26. —種存儲(chǔ)數(shù)據(jù)結(jié)構(gòu)的機(jī)器可讀介質(zhì),所述數(shù)據(jù)結(jié)構(gòu)包括可從第一安全通信網(wǎng)絡(luò)本地訪問所述第一安全通信網(wǎng)絡(luò)中提供的服務(wù)的移動(dòng)用戶的標(biāo)識符;和獨(dú)立受控的笫二安全通信網(wǎng)絡(luò)的標(biāo)識符,所述移動(dòng)用戶關(guān)聯(lián)于所述第二安全通信網(wǎng)絡(luò)并且所述移動(dòng)用戶由所述第二安全通信網(wǎng)絡(luò)認(rèn)證以本地訪問所述服務(wù)。
27.根據(jù)權(quán)利要求26所述的機(jī)器可讀介質(zhì),其中,所述數(shù)據(jù)結(jié)構(gòu)還包括訪問記錄,其提供了關(guān)于在所述移動(dòng)用戶被所述第二通信網(wǎng)絡(luò)認(rèn)證之后由該移動(dòng)用戶對所述服務(wù)進(jìn)行的本地訪問的指示。
全文摘要
公開了一種安全通信網(wǎng)絡(luò)用戶移動(dòng)性裝置和方法。本地連接到其中提供服務(wù)的第一通信網(wǎng)絡(luò)但是關(guān)聯(lián)于獨(dú)立受控的第二安全通信網(wǎng)絡(luò)的移動(dòng)用戶可以被所述第二通信網(wǎng)絡(luò)認(rèn)證以訪問所述服務(wù)。這基于現(xiàn)有網(wǎng)絡(luò)間用戶移動(dòng)性關(guān)系而在合作方外聯(lián)網(wǎng)或其他可信網(wǎng)絡(luò)集合中實(shí)現(xiàn)了網(wǎng)絡(luò)之間的無縫用戶移動(dòng)性。也可以提供例如訪問控制、監(jiān)視和報(bào)告,以及其他可能的功能。
文檔編號H04L29/06GK101467422SQ200780022197
公開日2009年6月24日 申請日期2007年6月19日 優(yōu)先權(quán)日2006年6月20日
發(fā)明者C·格羅斯內(nèi)爾, L·M·塞爾吉, L·斯特魯布 申請人:阿爾卡特朗訊公司