專利名稱:公共與專用網絡服務管理系統和方法
技術領域:
本發明通常涉及網絡服務,并且特別涉及公共與專用網絡服務的管理。
背景技術:
通過通信網絡針對其分配信息的服務通常稱作網絡服務。所謂的“web服務”是網絡服務的例子,并且代表了下一代基于web的技術,該技術用于在公共互聯網上的不同應用之間自動交換信息。
Web服務是用于構建互聯網上的分布式基于web的應用的構架。Web服務通常遵循發布-發現-綁定(Publish-Find-Bind)通信模型。在這個模型中,服務描述由服務提供商發布到注冊表中,服務是在注冊表中由潛在服務用戶發現的,并且綁定是在服務用戶與注冊表中所發現的基于服務描述的服務之間進行的。在Web服務上下文中,web服務器常駐(resident)應用是利用標準化的Web服務描述語言(WSDL)被描述的,并且利用統一描述、發現和集成(UDDI)被發布到服務注冊表,并且服務提供商與用戶之間的綁定(服務調用)是利用簡單對象訪問協議(SOAP)來進行的。
Web服務是這樣的接口描述通過標準化可擴展置標語言(XML)消息傳送(messaging)網絡可接入的操作的收集。SOAP,標準化消息傳送協議,典型地用于接入web服務。Web服務執行一組任務,該任務利用稱作服務描述的標準形式的XML符號(notation)來被描述。Web服務的服務描述包括服務位置,應當用于接入服務的傳輸協議,以及服務在與其用戶通信時所期望的消息格式和序列。
Web服務對于通過web來分配應用和數據而提供了新的方式。應用是利用可能來自公共因特網中任何地方的幾段代碼和數據段、web服務來構建的。例如可以利用一個公司的貨幣換算器(currency converter)和另一公司的跟蹤系統構建國際訂單處理系統(order processing system)。Web服務還使不同類型的計算機系統能夠“說”相同的語言,所述計算機系統具有不同的硬件平臺、操作系統和/或開發平臺。當前web服務技術實際上是基于XML的標準的收集,所述標準規定了在端點應用之間以XML文檔格式傳送信息。
Web服務已經在企業專用網絡范圍內獲得了成功,很快成為應用進行通信的標準方式。然而,多數當前的web服務是由應用服務器來管理的,該應用服務器位于公司企業網絡的防火墻后面。
在基本互聯網基礎設施之上、在企業范圍之內或之外支持web服務交互的努力,集中于特定設計法(ad-hoc approach)。根據一個方法,不同企業必須對于使用兼容的應用、公共所有的軟件、定制接口和API以及公共通信協議達成一致,其中在所述不同企業之間提供web服務。企業也必須對于數據安全和管理任何安全通信的方式達成一致。此外,每個企業必須開啟其內部防火墻,以使商業業務以點對點方式在應用之間流動。
在企業環境中添加新的web服務商業合作方,一直是困難且耗時的過程,這是因為潛在的新商業合作方趨于具有不同的規則和標準的集合。通常需要對新合作方的應用的修改,以及對提供新應用的企業的定制代碼修訂。
現在對于管理外部網絡web服務結構中的公共和專用網絡服務而言,不存在已知的管理解決方案,這是針對與企業空間相反的通信網絡提供商的空間。例如,盡管存在XML虛擬專用網(VPN)設備,然而這些設備旨在防火墻之后的企業網絡中的實現。如果通信網絡提供商承擔管理企業設備的任務以使企業免于管理在企業外部所提供的企業網絡服務,則企業設備的硬件問題需要由網絡提供商來解決,這可能變得昂貴與耗時。
在具有各種策略/安全/許可控制需求的大量企業希望通過同一網絡提供web服務的情況下,致力于企業市場的現有基于軟件的安全產品不能達到(scale to)提供商網絡邊緣的需求。包括基于服務器的結構和硬件XML設備的企業級產品,也典型地不能滿足通信網絡提供商邊緣設備的高可用性和速度需求。
期望基于網絡的提供商管理的Web服務外網服務,這是因為其允許企業用最小資本支出、最小集成努力和可信賴服務管理來提供并消費web服務。企業不必親自構造外網服務,但是使用運營商的基礎設施及協助以進行Web上的企業對企業交易。
發明內容
本發明的實施例提供了一種新的通信網絡單元,其使指定通信網絡服務提供商能夠管理公共與專用網絡服務,說明性地是web服務。
在一些實施例中,這種新的網絡單元提供了專用外部網服務網絡與公共因特網之間的網關。每個外部網在被網絡服務提供商管理時,實際上是提供給封閉成員組的“服務網絡”。外部網絡服務模型優選地是應用層解決方案,一種構建在網絡提供商基礎設施之上的覆蓋網絡。在外網結構內所提供的服務中的至少一些也是通過公共通信網絡可接入的。
根據本發明的一方面,一種用于管理專用服務網絡中的網絡服務的裝置包括策略執行模塊,配置該策略執行模塊以根據專用服務網絡的認證策略來執行規則,用于由服務網絡的客戶端(client)通過公共網絡接入專用服務網絡,并且根據與網絡服務關聯的網絡服務接入策略來控制專用服務網絡的被認證客戶端使用網絡服務,其中該網絡服務是由專用服務網絡的另一客戶端來提供的。
所述裝置還可以包括服務網絡接口,配置該接口以規定在公共網絡與專用服務網絡之間的通信。
在一些實施例中,所述接入策略是存儲于專用服務網絡的服務策略注冊表中的服務策略、存儲于公共網絡網關中的客戶端策略,以及存儲于專用服務網絡的注冊表中的服務網絡策略。
可以配置所述策略執行模塊,以通過訪問專用服務網絡的服務注冊表中的信息來確定關聯于網絡服務的接入策略,其中所述信息與專用服務網絡中可用的網絡服務相關聯。
根據一個實施例,所述裝置還包括UDDI代理模塊,其被配置用來通過控制網絡服務的暴露來應用所述服務接入策略,其中所述暴露是通過將與網絡服務關聯的信息發布到客戶端可訪問的服務注冊表。
可以允許被認證客戶端使其所提供的網絡服務在專用服務網絡中可用。在這種情況下,還可以配置所述UDDI代理模塊以通過訪問公共網絡的公共服務注冊表,來識別公共網絡中可用的公共網絡服務,并且通過將與網絡服務關聯的信息發布到專用服務網絡的服務注冊表,來使得所識別的公共網絡服務在專用服務網絡中可用。
所述策略執行模塊還執行其它類型的策略,例如指明用于在服務網絡和公共網絡中傳送通信業務的各個格式的變換策略。
在一些實施例中,所述裝置包括以下部件中的一個或多個轉發/路由模塊,其有效耦合到所述策略執行模塊并被配置用于將來自公共網絡的通信業務路由到專用服務網絡,該轉發/路由模塊支持以下內容中的至少一個第1層轉發方法、第2層轉發方法、因特網協議(IP)路由以及可擴展置標語言(XML)路由;簡單對象訪問協議(SOAP)代理模塊,其有效耦合到所述策略執行模塊并被配置用來使得與網絡服務關聯的服務消息在公共網絡與專用服務網絡的尋址方案之間適配;服務處理模塊,其被配置用來處理來自專用服務網絡和公共網絡二者、與網絡服務關聯的服務消息;統一描述、發現和集成(UDDI)代理,其被配置用來協調(mediate)針對服務網絡中可用的網絡服務的網絡服務描述的發布,以從所述網絡服務描述中提取服務策略用于由所述策略執行模塊來執行,并且緩存所述網絡服務描述;數據收集器模塊,用于收集在服務網絡與服務網絡的客戶端之間通過公共網絡的交易記錄;安全模塊,用于提供所述裝置的安全通信服務,并且在專用服務網絡和公共網絡二者中保護通信并提供安全斷言(assertion)。
例如可以在公共網絡網關中提供所述裝置,服務網絡的客戶端可以通過該網關接入服務網絡。網絡控制器可以有效耦合到該公共網絡網關,以管理由所述策略執行模塊執行的策略以及服務網絡中可用的網絡服務注冊表。可以配置所述網絡控制器以向公共網絡網關提供僅與服務網絡中可用的那些網絡服務關聯的信息,其中該服務網絡具有允許利用公共網絡和公共網絡網關的客戶端的接入以到達服務網絡的接入策略。
還可以結合公共網絡網關和網絡控制器來提供一個或多個客戶端網關,以提供到服務網絡的接入點,用于該服務網絡的其它客戶端。
本發明的另一方面提供了一種用于管理與專用服務網絡中可用的網絡服務關聯的策略的裝置。所述裝置包括網關接口,其有效耦合到公共網絡網關,其中公共網絡中的服務網絡的網絡服務用戶客戶端通過該公共網絡網關接入所述服務網絡以使用由該服務網絡的另一客戶端所提供的網絡服務;以及策略管理器,其有效耦合到所述網關接口,并被配置用來通過所述網關接口將網絡服務策略分配給公共網絡網關,以使該公共網絡網關根據該網絡服務策略來控制公共網絡中的網絡服務用戶客戶端使用網絡服務,其中所述網絡服務策略針對由該服務網絡的網絡服務提供商客戶端所提供網絡服務而指明了各個接入控制。
所述策略管理器還可以基于由客戶端提供的信息來針對網絡服務用戶客戶端建立客戶端配置文件(profile),其可以被部分地存儲在所述公共網絡網關和網絡控制器中,用于由該公共網絡網關在客戶端登錄(sign-on)期間進行檢索(retrieval)。
在一些實施例中,公共網絡中的服務網絡的網絡服務提供商客戶端通過所述公共網絡網關接入該服務網絡,以通過該公共網絡使網絡服務在所述服務網絡中可用。還配置所述策略管理器以基于由網絡服務提供商客戶端所提供的并通過所述網關接口所接收的信息,來建立針對網絡服務而指明接入控制的網絡服務策略,并且在所述服務網絡中分配該服務策略。
客戶端配置文件和服務策略可以是針對所述服務網絡的單個客戶端而被建立的。所述配置文件可以指定客戶端關系類的成員,并且在這種情況下,用于該客戶端的服務策略可以基于所述客戶端關系類而指定網絡服務接入控制。
所述裝置還可以包括注冊表管理器,其被配置用來維護專用服務網絡中可用的網絡服務的注冊表。所述注冊表管理器還可以通過所述網關接口從所述公共網絡網關接收與公共網絡服務相關聯的信息,并且將該信息存儲在所述網絡服務注冊表中,其中所述公共網絡服務是由公共網絡中的網絡服務提供商來提供的。
所述裝置還可以包括以下部件中任一個或者全部安全管理器,其有效耦合到所述網關接口并且被配置用來管理通過專用服務網絡的通信的安全;注冊表管理器,其有效耦合到所述網關接口并且被配置用來管理以下內容中的至少一個專用服務網絡中可用的網絡服務注冊表、服務超時信息、可擴展置標語言(XML)模式(schema)、服務合同、服務質量(QoS)參數、訂閱信息、尋址信息、計費信息、服務級協議(SLA)監控信息、交易的網絡服務活動監控信息、活動記錄(log)、性能審計信息以及異常告警;以及系統管理器,其有效耦合到所述網關接口并且被配置用來接收并管理由公共網絡網關所捕獲的審計記錄。
在一個實現中,在服務網絡的網絡控制器中提供所述裝置,該網絡控制器可以結合一個或多個公共網絡網關以及可能地一個或多個客戶端網關進行操作。
本發明的另一方面提供了一種用于管理專用服務網絡中的網絡服務的裝置,所述裝置包括策略執行模塊,其被配置用來根據專用服務網絡的認證策略執行規則用于由服務網絡的客戶端通過公共網絡接入專用服務網絡,并且允許所述被認證客戶端使得其所提供的網絡服務在所述專用服務網絡中可用。
還提供了一種管理專用服務網絡的網絡服務的方法,該方法包括以下操作識別網絡服務,該網絡服務由該專用服務網絡的客戶端來提供并在該專用服務網絡中可用,該專用服務網絡具有允許通過公共網絡連接到服務網絡的服務網絡客戶端接入網絡服務的接入策略;以及使所識別的網絡服務對于通過公共網絡的服務網絡客戶端可用。
所述方法還可以包括認證通過公共網絡的服務網絡客戶端,并且允許該被認證客戶端提供、消費或者提供并消費服務網絡中的網絡服務。所述允許被認證客戶端提供并消費服務網絡中的網絡服務的操作可以分別包括將與由被認證客戶端所提供的網絡服務相關聯的信息,從該被認證客戶端的服務注冊表發布到服務網絡;以及將與所識別的網絡服務相關聯的信息從服務網絡的服務注冊表發布到公共網絡上的被認證客戶端。
通過查看下面對指定說明性實施例的描述,本發明的其它方面與特征對于本領域的技術人員將變得顯而易見。
現在將參照附圖詳細描述本發明實施例的例子,其中圖1是包括本發明實施例的通信系統的框圖;圖2是示例性客戶端網關的框圖;圖3是示例性網絡控制器的框圖;圖4是公共網絡網關的基于因特網的實現的框圖;圖5是示例性公共網絡網關的框圖;和圖6是根據本發明實施例的方法的流程圖。
具體實施例方式
圖1是包括本發明實施例的通信系統的框圖。通信系統10包括企業系統12、移動終端用戶系統13、客戶端網關16、包括通常標記為18的數據業務交換和路由部件及網絡控制器28的服務網絡20、公共通信網絡網關26、公共通信網絡23以及公共網絡服務系統22。
盡管許多企業系統12和/或例如移動終端用戶系統13的終端用戶系統可以被連接到客戶端網關16,并且許多客戶端網關16、公共網絡網關26和公共網絡服務系統22也可以位于服務網絡20的邊界,然而圖1為避免擁塞僅示出了這些部件中每一個的例子。因此應當認識到,圖1的系統以及其它圖的內容僅出于說明的目的,并且本發明決不限于圖中明確示出并在這里描述的特定示例性實施例。
企業系統12代表了專用網絡,該專用網絡可以提供、使用或提供并使用遍及服務網絡20被提供并管理的web服務應用。在典型的裝備中,企業系統包括以下部件提供外部接入控制并過濾進入企業的外部業務的防火墻、業務交換和路由設備、一個或多個支持網絡服務的服務器,以及說明性地為個人計算機的用戶終端。公司專用網絡是企業系統12的一個例子。
移動終端用戶系統13說明性地是客戶端系統,該客戶端系統不是指定企業系統的一部分。終端用戶系統可以如所示地是移動或固定的。移動終端用戶系統13可以例如通過web服務移動網關連接到客戶端網關。移動終端用戶系統13以及固定終端用戶系統可以替代地物理連接到客戶端網關16。便攜式計算機系統在其可以在接入網絡中通過不同位置和物理連接而連接到客戶端網關的意義上,是移動的。
本領域的技術人員熟悉許多不同類型的提供和/或使用網絡服務的企業系統以及終端用戶系統。本發明的實施例主要涉及在企業環境之外管理專用和公共網絡服務,這與這些服務如何在企業系統12中被實際支持或如何用于例如移動終端用戶系統13的終端用戶系統中相反,并且因此這里僅在理解本發明的方面所必需的程度上簡要描述了企業系統12、移動終端用戶系統13和它們的操作。
在企業系統12和移動終端用戶系統13中的、可以例如作為軟件應用被實現的虛擬外網服務入口,允許終端網絡服務提供商和用戶與服務網絡20進行交互。服務入口允許用戶登錄服務網絡,并借助于聯合身份或另一個認證方案來利用服務網絡認證其自身,并且也可以實現其它附加能力,例如顯示各種服務列表、描述等,而不影響終端用戶如何提供和/或消費網絡服務。
連接14、15可以是如圖1所示的直接連接或間接連接,該間接連接通過中間部件和可能的通常這里稱作接入網絡的其它通信網絡。然而,本發明不限于在企業系統12、移動終端用戶系統13和客戶端網關16之間的網絡連接或任何其它特定類型的連接。連接14、15因而可以包括任何直接、間接、有線和無線連接。
由客戶端網關16針對企業系統12和移動終端用戶系統13,提供到服務網絡20的接入。客戶端網關16是服務網絡提供商基礎設施中的邊緣設備,并且代表了服務網絡20所提供的虛擬外部網絡服務中的網關。客戶端網關16其實是安全網絡服務代理設備,其用于實現web服務網關功能,支持網絡服務和web服務XML“標準”的代理以及新的特征。根據一個實施例,客戶端網關16是至少部分上利用硬件所實現的高性能設備,并且被配置用于利用嵌入式軟件如這里公開地進行操作,所述軟件用于由服務網絡提供商進行部署。下面參考圖2詳細描述客戶端網關16的說明性例子。
從上述內容可以明顯看到系統10中包括幾種類型的服務提供商。例如由企業系統12和公共網絡服務系統22之一或二者提供網絡服務。其它服務提供商提供服務網絡20和公共網絡23。網絡服務提供商因此針對企業系統12提供網絡服務,并且服務網絡20的提供商提供實現服務網絡的另一個服務給網絡服務提供商,其中在所述服務網絡中網絡服務提供商使位于其本身專用系統之外的網絡服務用戶可以使用該網絡服務提供商的網絡服務。公共網絡23的提供商、例如因特網服務提供商(ISP),提供另一個服務,通過該另一個服務可以使網絡服務在服務網絡20和公共網絡23中是可接入的。
網絡服務的提供商這里主要稱作網絡服務提供商,服務網絡20的提供商主要稱作服務網絡提供商,并且公共網絡23中的通信服務的提供商主要稱作公共網絡提供商。因此,網絡服務提供商提供一個或多個網絡服務,服務網絡提供商允許這些外部提供的網絡服務,說明性地在虛擬外部網絡中,并且公共網絡提供商允許網絡服務通過公共網絡而被接入。在許多實現中,期望服務網絡提供商也擁有或操作其上構建服務網絡的基礎通信網絡,盡管不必在本發明的所有實施例中都是這種情況。類似地,公共網絡提供商可以或者不可以擁有并操作通信網絡,其中該公共網絡提供商通過所述通信網絡提供通信服務。
網絡控制器28提供服務管理器的控制平面功能,并且可以被實現為要由通信網絡的操作者來部署的網絡定標(scale)設備,說明性地是邊緣路由器的專用卡或專用XML設備。其用于管理虛擬外部網絡服務,針對虛擬外部網絡中發布的所有web服務、策略、服務級協議(SLA)以及其它網絡監控數據來掌管(host)中心儲存庫,并針對端到端網絡服務應用保護、管理、提供及儲存策略。下面參考圖3作為說明性例子進一步詳細描述如客戶端網關16的網絡控制器28。
數據業務通過通常標記為18的數據交換和/或路由設備而穿過服務網絡20。盡管控制/管理業務是由網絡控制器28來處理的,然而數據業務是由客戶端網關16來處理的,并且從那里由交換/路由部件18來處理。
服務網絡20可以被實現為虛擬外部網絡結構。在一個實施例中,虛擬外部網絡代表基本網絡基礎設施上構建的虛擬網和虛擬網絡上的應用級覆蓋網絡,作為一種私人管理的服務網絡,該服務網絡使用例如互聯網技術和基礎第1、2、3和4層技術,以安全地與多個企業共享部分企業信息或操作,所述多個企業包括例如提供商、銷售商、合作方、客戶端或其它企業。盡管虛擬網絡可以利用物理網絡上的分離路由平面中的IP路由來規定同步通信,然而應用級覆蓋可以使用應用級路由器,以提供該服務網絡中基于內容的發布-訂閱路由。
所述情況中的服務網絡20的虛擬網絡代表了一種虛擬網絡結構,其可以利用說明性地是XML路由器設備的虛擬IP路由器和/或應用級路由器而被實現。虛擬網絡提供同步通信的連通性和機制,例如請求/響應。
可以利用應用級路由器來實現服務網絡20的虛擬網絡中的應用級覆蓋,所述路由器例如是XML路由器。應用級路由器利用基本的標準聯網設施(networking facility)來相互通信,并且與應用級的終端客戶端通信。XML路由器典型地利用例如傳輸控制協議(TCP)的可靠的點對點字節流來相互連接,以實現可靠的多播。應用級覆蓋的主要功能是提供基于連通性和異步內容傳送的客戶端興趣,例如訂閱/發布。
相比傳統的專用網絡服務共享技術而言,利用覆蓋來構建服務網絡20為虛擬網絡,允許相對容易地修改并部署服務網絡20。覆蓋服務網絡也是構建能有效路由XML分組的穩健網格(robust mesh)的有效方式。
本發明所屬領域的技術人員熟悉許多不同類型的通信網絡,其中可以在該通信網絡上覆蓋分離的邏輯路由平面和應用層網絡。本發明決不限于結合具有任何特定類型基本通信網絡的服務網絡的實現。
公共網絡網關26橋接服務網絡20和公共網絡23。公共網絡網關26的主要目的是支持服務網絡20和公共網絡23的網絡服務之間的相互協作(interworking),同時提供方法用于服務記錄、交易審計、定制的服務發布、身份中介(brokering)、端點認證、端點授權、端點計費、服務管理、接入策略執行、內容完整性和機密性以及客戶端應用保護。因此可以認為公共網絡網關26是網絡20、23二者的服務協調和傳送點。如這里進一步詳細公開的,公共網絡網關26可以提供到公共網絡服務的安全接入,其中由公共網絡服務系統22針對服務網絡20的客戶端在公共網絡23中掌管所述公共網絡服務,說明性地通過根據服務和管理策略在服務網絡20的服務注冊表中發布公共網絡服務。再次根據服務策略,以類似于客戶端網關16提供給直接連接的客戶端的方式,公共網絡網關26也可以提供到由服務網絡20的客戶端所掌管的網絡服務的接入,用于通過例如22的公共網絡服務系統連接到服務網絡的享有特權的客戶端。
公共網絡網關26向企業提供針對web服務所需的指定的、包圍的(encompassing)及可靠的保護在傳送時借助于加密(例如在傳輸層的安全套接層(SSL)、在字段層的XML加密和XML數字簽名),克服在公司域邊界(防火墻,DMZ)的變形(malformed)消息和惡意內容(XML,SOAP),以及針對認證、授權和審計(用戶、組、角色、基于內容的接入控制)所需的保護。
如客戶端網關16,公共網絡網關26可以是提供web服務網關功能的安全網絡服務代理設備,并且可以被實現為高性能的基于硬件的邊緣設備,配置該邊緣設備以利用嵌入式軟件來如這里公開地進行操作,其中所述軟件用于由服務網絡提供商進行部署。下面參考圖4和圖5作為說明性例子描述公共網絡網關26。
連接24可以包括任何直接、間接、有線和無線的連接,這取決于公共網絡23的類型。公共網絡的一個已知例子是因特網,其中公共網絡服務系統22典型地通過公共網絡提供商和公共網絡核心通信設備而間接連接到所述公共網絡網關。本發明不限于任何指定類型的公共網絡或者連接,所述網絡或連接的許多例子對本領域的技術人員是顯而易見的。
公共網絡服務系統22是專用企業系統12的公共對應物,并且代表可以提供、使用、或者提供并使用網絡服務的網絡或系統。因此,公共網絡服務系統22可能基本上類似于企業系統12的結構。盡管企業系統12通常嚴格地控制企業的合作方接入其專用網絡服務,然而,由公共網絡服務系統22提供的網絡服務通常更容易且更廣泛地可接入。如上面針對企業系統22所描述的,本領域的技術人員熟悉提供和/或使用網絡服務的許多不同類型的系統,并且因此這里僅簡要描述公共網絡服務系統22。
在操作中,服務網絡20使由企業系統12或公共網絡服務系統22所提供的網絡服務對于用戶是可接入的,該用戶以被管理且安全的方式并利用靈活的應用程序接口而連接到服務網絡20。這些用戶可以包括企業系統12中的用戶、其它客戶端企業或終端用戶,例如通過客戶端網關22或另一個客戶端網關連接到服務網絡20的移動終端用戶系統13,或者利用因特網技術經由公共網絡和公共網絡網關(例如公共網絡23和公共網絡網關26)連接到服務網絡20的公共網絡用戶,所述因特網技術例如是IP安全性、安全套接層或者傳輸層安全等。通過支持通信協議的不同類型的網絡單元、客戶端網關16和公共網絡網關26,以及支持網絡、服務和客戶端管理功能的網絡控制器28,來支持服務網絡20所實現的服務。
服務網絡20的構架可以被分為三個領域,包括通信協議、服務描述和服務發現。在一個實施例中,服務網絡20使用已經針對所述每個領域開發的現有標準和規范。然而,服務網絡20操縱(manipulate)web服務統一資源標識符(URI)來強制web服務交易在web服務網絡20上發生,并且當存在多個對稱交易路徑時強制通過客戶端網關16和公共網絡網關26的對稱交易路徑。下面進一步解釋Web服務URI的操縱。
例如,在通信協議領域,SOAP是一個標準協議,其可以用來在web客戶端和web服務器應用之間、由各個URI所標識的兩個服務端點之間傳送web服務消息。SOAP是可以規定附加信息傳送的可擴展協議。例如,其廣泛用于提供涉及正使用的內容安全機制的附加信息的傳送。
Web服務描述語言(WSDL)是用于描述web服務、其功能性、規范、輸入、輸出和可接入方法的XML字典。這是網絡服務描述的標準方法。
這些web服務協議(SOAP和WSDL)提供了能力和傳送消息的便利,以在任何地方、在任何平臺上無需定制代碼來綁定并執行功能性。
一個已知服務發現機制是通用描述、發現和集成(UDDI)。UDDI定義了發布并發現web服務的標準機制,并且指明了注冊表如何將WSDL描述的服務需求匹配于所述服務的提供商。UDDI使企業和應用能夠在服務網絡或互聯網上發現web服務,并允許維護可操作的注冊表。UDDI列出了來自不同公司的web服務,并給出其描述、位置、服務描述、關聯的接入列表和安全級別。
這里提到的并可用于實現本發明實施例的其它web服務標準包括涉及以下內容的標準尋址(WS-Addressing)、可靠消息傳送(WS-Reliability)、策略(WS-Policy)、通知(WS-Notification)和身份范圍(scope)管理(WS-Trust和WS-Federation)。
盡管已知上述規范和標準,然而還不知道根據本發明實施例的管理專用和公共服務的這些標準的使用。
如上簡單描述的,客戶端網關16是服務網絡20所提供的專用外部網絡服務的直接客戶端的服務傳送點。公共網絡客戶端接入通過公共網絡網關接入服務網絡20。
客戶端網關16也提供到專用外部網絡服務的安全接入,這保護了服務提供商和客戶端二者、圖1中的企業系統12和移動終端用戶系統13。
通過客戶端網關16和服務網絡20的通信優選地是安全的。基于標準的安全技術,例如傳輸層安全(TLS)、安全套接層(SSL)、WS-Security、XML加密和XML簽名,可以用來提供安全通信,同時調節(leverage)已經針對企業系統12而被通常建立的現存企業進入和外出的證書。這些基于標準的技術以及對本領域的技術人員顯而易見的其它技術,確保了企業系統12中的被授權服務用戶可以參與到虛擬外網服務網絡20中。
客戶端網關16也將進入的通信業務數據分類并分割為要被轉發給網絡控制器28的控制業務,和要通過部件18并可能地通過另一個客戶端網關16或公共網絡網關26被轉發到目的地的數據業務。
通常,例如web服務應用的網絡服務的潛在用戶僅可以使用已知存在并具有有效服務描述的網絡服務。因此期望網絡服務提供商將網絡服務的存在通知給潛在用戶。這可以例如通過發布網絡服務給注冊表來實現。在圖1的系統10中,客戶端網關16允許企業系統12發布其內部網絡服務給服務網絡20。客戶端網關16也允許企業系統12和移動終端用戶系統13消費由服務網絡20的其它成員所提供的外部網絡服務。
如這里進一步詳細描述的,可以由客戶端網關12和網絡控制器28來控制企業系統12所提供的服務對于服務網絡20的其它成員可用的程度。
網絡服務提供商可以因此發布內部網絡服務給服務網絡20,以由服務網絡20的其它成員使用。在許多實現中,期望服務網絡20和企業系統12是安全的專用網絡,并且連接14、15上的通信也是安全的。這可以利用安全隧道技術來實現,所述技術的例子對于本領域技術人員是顯而易見的。在客戶端網關16的接入側和網絡側處的安全通信提供了這樣的保證級別僅由服務網絡20的成員提供并且僅由服務網絡20的成員消費可用于服務網絡20的成員的專用網絡服務,服務網絡20的成員被授權根據由服務提供商所提供的服務接入策略以及服務描述來消費所述服務。
由于網絡服務提供商和用戶與服務網絡20所進行的通信穿過客戶端網關16,因此客戶端網關16也可以捕獲全面的審計記錄,該記錄可以被本地使用和/或由網絡控制器28使用以維護調整(regulatory)和策略的順應性。審計記錄也可以由其它部件或系統來使用,例如具有針對用戶的相應服務費用的微計費能力的計費系統。
網絡控制器28提供用于服務網絡20的中心控制平面功能,并且因此實現網絡服務管理器和客戶端管理器的功能性。一個主要責任是維護網絡服務全局儲存庫。網絡控制器28可以例如存儲非易失性的客戶端和服務配置文件(profile)用于建立運行時客戶端上下文。如客戶端網關16,網絡控制器28可以被實現為具有基于標準的軟件的高性能的基于硬件的設備,所述軟件用于由服務網絡提供商進行部署。網絡控制器28用于管理服務網絡20的虛擬外部網絡服務,以將運行時服務和客戶端管理及提供信息傳送到客戶端網關16和公共網絡網關26,并且還顯示并管理可用網絡服務的列表,其中所述客戶端管理及提供信息是關于服務描述對客戶端的分配和針對端到端網絡服務的策略執行。盡管網絡控制器28是服務網絡管理實體,然而客戶端網關16和公共網絡網關26執行關于實際數據的策略和安全規則。如圖1在18上所示的,數據業務通過客戶端網關16穿過提供商的核心網絡,并且網絡控制器28處理控制和管理業務。
網絡控制器28優選地實現至少一個核心功能的子集,包括網絡服務存儲和信息管理,所述信息例如是位置、所有權、接入級別組、服務列表、網絡服務的其它基本特性、中心策略儲存庫和權限管理、安全規范、例如適合終端企業到終端企業交易的硬服務質量(QoS)需求的SLA需求,以及用于例如客戶端配置文件、交易審計服務、記錄等的附加儲存庫。網絡控制器28也維護客戶端配置文件以由運行時功能使用,例如身份和信任中介(brokering of trust)與其它服務網絡(未示出)的聯合。
為了能夠提供端到端交易的安全性、消息傳送的可靠性和身份管理,網絡服務提供商和服務網絡提供商通常會進行協商(meet on middleground)以提供一個組合管理功能的集合。結合客戶端網關16,網絡控制器28可以通過用基于標準的代理模塊替換企業的專用管理方法和工具來卸除企業系統12的負擔,其中所述代理模塊在服務網絡20的邊緣提供相同的功能。
網絡控制器28也可以通過使本地企業應用免于提供某些安全方面,來允許將一些安全功能委托給外部網絡服務,所述安全方面例如是身份提供商服務,XML數字簽名確認服務、XML模式(schema)完整性等。通過使用虛擬外部網絡服務,企業內和企業間的應用集成變得更簡單且更有效,終端用戶商業應用變得更明顯,并且減少了與添加合作方到企業系統相關聯的成本和復雜性。
網絡控制器28使用客戶端和服務配置文件,其存儲該配置文件以確定服務對于每個客戶端應當可用。網絡控制器28與客戶端網關16和公共網絡網關26合作,以使定制的網絡服務子集對每個客戶端可用,其中給予客戶端特權以從服務網絡20中的服務集合接入該子集。
網絡控制器28也提供由公共網絡服務系統22所提供的公共網絡服務的網絡服務管理功能。因此,根據本發明的一個方面,網絡控制器28與公共網絡網關26交互,并且可以針對公共網絡網關26執行以下任何或全部內容上面的網絡服務管理、中心策略管理、安全性和交易審計功能以及可能的其它功能。
下面將參考圖2到圖5進一步詳細描述客戶端網關16、網絡控制器28以及公共網絡網關26的操作。
首先考慮客戶端網關16、26,圖2是示例性客戶端網關的框圖。客戶端網關30包括服務網絡接口32、接入網絡接口34、有效耦合到接口32、34和存儲器37的策略執行模塊36、有效耦合到策略執行模塊36和存儲器37的安全模塊38、有效耦合到接口32、34、策略執行模塊36、安全模塊38以及存儲器37的SOAP代理模塊42、有效耦合到SOAP代理模塊42和存儲器37的數據收集器模塊40、有效耦合到策略執行模塊36、安全模塊38以及SOAP代理模塊42的UDDI代理模塊41,以及有效耦合到服務處理模塊42、服務網絡接口32和接入網絡接口34的轉發/路由模塊44。盡管圖2為避免擁塞沒有明確示出所述連接,然而應當認識到,客戶端網關30的任何或所有其它部件都可以有效耦合到存儲器37和/或數據收集器模塊40。
接入網絡接口34代表遠程接入點,通過該遠程接入點,客戶端網關30連接到企業系統或其它形式的網絡服務提供商或用戶。盡管圖2中標記為接入網絡接口,然而網絡服務提供商和用戶不必通過網絡連接與客戶端網關通信。因此應當理解,接口34通過嚴格來說可能是或不是網絡連接的接入連接來提供到服務網絡成員的接口。
接入網絡接口34的結構和操作取決于連接的類型,其中客戶端網關30通過該連接與其客戶端進行通信。通常,接入網絡接口34包括與通信介質交換通信信號的物理部件,以及產生并處理通信信號的硬件和/或軟件實現的部件。所述接口的各種實現對于本領域的技術人員是顯而易見的。
根據一個實施例,接入網絡接口34針對試圖連接到服務網絡20中的客戶端執行安全隧道終止(圖1)。虛擬局域網(VLAN)、點對點協議(PPP)、多協議標記交換(MPLS)以及IP安全(IPSec)都是可能由接入網絡接口34用來與客戶端進行通信的協議的例子。其它協議和通信方案對于本領域的技術人員是顯而易見的。
存儲器37可以包括一個或多個存儲設備用于存儲信息,例如固態存儲設備。也可以作為存儲器37來提供其它類型的存儲設備,這包括結合可移動和/或可拆卸的存儲媒體來使用的存儲設備,以及多個不同類型的存儲設備。存儲設備或實現為客戶端網關30中的存儲器37的設備的類型是設計問題,并且取決于其中實現客戶端網關30的特定類型的設備。通信設備的電路卡例如通常包括如存儲器37的易失和非易失性固態存儲設備。
隨著本說明書的進行而變得顯而易見的是,存儲在存儲器37中的信息可以由客戶端網關30的功能部件在執行其各個功能時使用。任何或所有功能部件36、38、40、41、42、43、44可以訪問存儲在存儲器37中的信息。類似地,盡管圖2中為避免擁塞沒有示出存儲器37和接口32、34之間的連接,然而這些接口或其內部部件也可以與存儲器37進行交互。
一些或所有功能部件36、38、40、41、42、43、44,以及接口32、34的內部功能或部件,可以被實現為也可以存儲到存儲器37中的軟件。
圖2的部件之間內部連接的形式取決于其中實現客戶端網關30的特定類型的設備。盡管可以除了或替代內部總線而使用其它類型的連接,然而內部總線結構通常用于電子設備中。還應當認識到,互連不必通過物理介質,例如在基于軟件的實現的情況下。
由于本發明的實施例主要涉及在接入網絡接口34的服務網絡側上被執行的功能,因此相比圖2的接入側功能,更詳細地示出了實現客戶端網關30的服務網絡功能的功能部件。例如,盡管接入網絡接口34提供了接入連接的安全功能,然而在圖2中分離于服務網絡接口32而示出了提供網絡側安全功能的安全模塊38。為了說明,已經類似地在圖2中分離地示出了其它網絡側功能部件。
客戶端網關30中的分離功能部件的所述說明不旨在限制本發明。可以利用比圖2明確示出的更多或更少的部件來實現客戶端網關的網絡側功能,可能地利用不同的互連。例如,策略執行模塊36的功能可以包含于應用策略的每個部件中。例如,安全模塊38可以管理并應用安全策略。
在基于軟件的實施例中,可以將功能實現在各個軟件模塊中或組合的較少軟件模塊中,以由單個硬件部件執行,即例如微處理器、專用集成電路(ASIC)、數字信號處理器(DSP)或微控制器的處理器。軟件可能替代地由多個硬件部件來執行,例如微處理器和DSP或網絡處理器加上幾個ASIC和FPGA。也設想了組合的實現,其中一些功能被實現在軟件中,而其它功能被實現在比軟件操作更快的硬件中。
因此,可以以不同于圖2所示的方式來劃分或集成功能,并且這里描述的任何功能模塊都可以被實現在軟件、硬件或其一些組合中。
策略執行模塊36針對網絡服務實現服務網絡策略執行,其中所述網絡服務通過服務網絡客戶端在其客戶端配置文件中被配置并在其服務描述中被通告給網絡控制器28。
在客戶端網關中實現了指明最終出現在線路上的傳統需求和能力的策略斷言,例如針對指定客戶端和/或傳輸協議選擇所需的認證方案。因此,從網絡控制器將這些策略斷言下載到客戶端網關中,并由策略執行模塊36來執行所述策略斷言。
網絡服務提供商和用戶的認證和授權、涉及網絡服務的交易的管理和檢驗以及確保與網絡服務相關聯的通信業務的私密性和完整性是功能的例子,所述功能可能涉及由策略執行模塊36結合其它部件執行策略的過程。策略執行模塊36可以與安全模塊38交互,以例如通過檢驗消息數字簽名來進行認證。因此,安全策略的執行可能涉及管理策略的策略執行模塊36和安全模塊38二者,其中該安全模塊通過認證客戶端并可能地傳遞或丟棄通信業務來實際應用策略。
因此應當認識到,策略執行模塊36無需本身實際應用其為執行而管理的策略。隨著本說明書的進行,策略執行模塊36和其它部件之間的交互將變得顯而易見,其中所述其它部件將策略應用于服務網絡客戶端和交易。
通過客戶端網關30上的策略執行模塊36,提供了利用虛擬外部網絡服務的客戶端認證,而不是利用每個指定的網絡web服務,如利用當前企業中心的網絡服務所發生的那樣。接入網絡接口34與其通信的網絡服務提供商系統中的網絡服務用戶是客戶端網關30的客戶端,并且通過利用客戶端網關30的單點登錄(single sign-on)而獲得了通過服務網絡到網絡服務的接入。客戶端網關30因而解除了其客戶端進行每服務認證的負擔。要在客戶端認證中使用的信息是可以被存儲在存儲器37中的一種信息類型的例子,優選地在安全存儲設備或區域中。
當客戶端XML數字簽名不存在的情況下,策略執行模塊36可以與安全模塊38合作,以根據終端網絡服務關于安全斷言的期望來產生安全斷言。新的安全斷言被附于服務消息中,以斷言客戶端的身份以及消息的完整性。
當存在客戶端的身份“喜好(preference)”,但是不同于網絡服務的“喜好”時,策略執行模塊36可以與安全模塊38合作以將指定數字證書映射到不同的安全斷言中,所述證書說明性地是x.509證書,所述安全斷言例如是安全性斷言標記語言(SAML,Security Assertion MarkupLanguage)斷言。
來自例如SAML、WS-Federation以及WS-Trust的標準的已知機制優選地用于這些功能。
在一個實施例中,策略執行模塊36提供以下內容的硬件實現聯合身份、接入控制以及利用網絡控制器28(圖1)預先建立的策略的執行。聯合身份允許用戶創建并認證用戶身份,并且然后在域和服務提供商之間共享身份而無需中心存儲個人信息。
用于服務操作的SLA,也可以用于接入側和網絡側通信鏈路二者或其中之一,其中客戶端網關30通過該通信鏈路與其客戶端和服務網絡進行通信。策略執行模塊36也可以監控通信業務級別,以執行可能存儲在存儲器37中的SLA相關的參數。
如以上簡要描述的,根據本發明實施例的虛擬外網服務網絡是基于XML標準的,并且因此策略執行模塊36結合下面描述的服務處理模塊43,也可以針對通過接入網絡接口34從客戶端網關30的客戶端所接收的進入數據業務,來執行XML消息報頭和消息有效負載變換。也可以進行從其它消息格式到基于XML標準的網絡服務消息的變換。也設想了反變換,以及接入網絡和服務網絡中使用的非XML格式之間的變換。
安全模塊38實現安全標準,以保證服務網絡上的通信安全。在一些實施例中,安全模塊38使用基于web服務標準的工具,例如WS-Security、XML加密/解密以及XML簽名,以提供服務網絡成員之間的安全數據通路。這些工具允許客戶端網關30調節現有安全協議,以保證被授權的服務用戶可以參與到端到端專用商業網絡中。因此在一些實施例中,安全模塊38代表了中心證書和密鑰管理服務,以增強核心網上的外部網絡服務。安全模塊38提供安全功能給客戶端網關30的所有其它模塊,并且特別提供給策略執行模塊36、UDDI代理模塊41、SOAP代理模塊42、服務處理模塊43以及網絡接口32、34二者。這些功能可以包括以下任何或所有內容簽名檢驗、加密、解密、簽名,以及利用電信安全領域中已知的協議所進行的對稱或非對稱密鑰交換。
SOAP代理模塊42針對客戶端和服務網絡之間的進入和外出消息執行SOAP報頭處理。SOAP代理模塊42是具有兩個網絡接口中的兩個服務地址的主機接入網絡接口34和服務網絡接口32。就接入網絡中的客戶端而言,似乎是從SOAP代理模塊42提供由服務網絡通告給客戶端的所有服務。
來自兩個被連接網絡中任一個的消息被傳送到SOAP代理模塊42,該SOAP代理模塊42接收SOAP消息、執行例如報頭處理的功能和修改并中繼所述消息給合適的處理設備、UDDI代理模塊41或服務處理模塊43。同樣,來自UDDI代理模塊41和服務處理模塊43的消息被發送給SOAP代理模塊42。接收自UDDI代理模塊41或服務處理模塊的消息可以由SOAP代理模塊42來處理,以例如添加尋址信息的統一資源標識符(URI)。SOAP代理模塊42也與策略執行模塊36和安全模塊38進行交互,以在外出消息上實現網絡服務策略,并且然后在合適的接口上發送消息。因此可以由SOAP代理模塊42針對每個消息來觸發策略執行、安全、接入控制、審計以及與客戶端網關30的其它模塊相關聯的其它功能。
為了說明SOAP代理模塊42的操作,考慮以下說明性例子由與EA相關聯的客戶端網關來代理由一個企業EB提供給另一個企業EA的服務,從而看上去似乎是從客戶端網關的SOAP代理模塊SPA的URI來提供。針對企業EB所提供的服務的、來自企業EA的服務請求被發送給SOAP代理模塊SPA,該SOAP代理模塊應用一組功能并傳遞消息給服務處理模塊43。一旦處理了該服務請求,服務處理模塊43就傳遞消息給SOAP代理模塊SPA,該SOAP代理模塊分別添加SOAP源和目的URI SPA和SPB,其中SPB是與企業EB的客戶端網關相關聯的SOAP代理模塊。然后將請求從SPA發送到SPB。
SOAP代理模塊SPB在轉發請求給企業EB之前,進一步操縱消息的SOAP源和地址URI到SPB和EB。在相反方向上,將類似的修改應用于響應。操縱SOAP URI,以便存儲服務URI和與該服務相關聯的網關的SOAP代理二者。
SOAP代理模塊42將進入業務分類并分割為UDDI控制業務和數據業務,該UDDI控制業務要被轉發給UDDI代理模塊41,該數據業務說明性地是XML業務并且要被轉發給服務處理模塊。業務分類可能涉及例如深入的分組檢查。
盡管為避免擁塞而沒有在圖2中明確示出,然而SOAP代理模塊42的業務分類器可以有效耦合到服務網絡接口32或支持與網絡控制器通信的另一個接口,以規定與網絡控制器的控制和/或管理業務的交換。也應當認識到,SOAP代理模塊42可以接收來自網絡控制器的控制和/或管理業務。
對于接收自客戶端的所有UDDI發布請求,UDDI代理模塊41擔任到服務外部網絡所掌管的UDDI中心儲存庫的接入點,并且對于從發起“發現服務”操作的客戶端接收的所有UDDI查詢請求,UDDI代理模塊41擔任代理模塊,其中所述客戶端試圖發布新的web服務或訂閱所發布的現有web服務改變。如這里公開的,根據網絡服務策略來控制到網絡服務的客戶端接入。這些策略可以由策略執行模塊36本身來執行,或結合UDDI代理模塊41來執行,以限制網絡服務,其中響應于發現服務或類似操作而針對該網絡服務將信息返回給客戶端系統。
UDDI代理模塊41期望進入的基于UDDI的消息。可以由UDDI代理模塊41丟棄不是UDDI幀的所有其它消息。
UDDI代理模塊41可以以客戶端網關級別來本地緩存UDDI條目。這在接收到新的UDDI查詢請求時,允許UDDI代理模塊41執行本地條目查找和解決方案。如果本地發現了UDDI條目,則產生UDDI響應消息并將其發送回請求服務的客戶端。
如果本地沒有發現UDDI條目,則針對UDDI全局儲存庫中的全局查找來發送UDDI查詢消息給網絡控制器。一旦網絡控制器解決了所述條目,就將UDDI響應發送回請求所來自的同一客戶端網關。客戶端網關30可以學習并存儲UDDI信息用于進一步的UDDI查找。
因此,UDDI代理模塊41可以處理服務請求的本地和遠程解決方案。
服務處理模塊43從SOAP代理模塊42接收服務消息、處理該服務消息,并發送服務消息給SOAP代理模塊42。服務處理模塊43的一個主要功能是處理數據業務,該數據業務與網絡服務相關聯并且在網絡服務提供商和用戶之間被交換。在一個實施例中,例如,通過SOAP代理模塊42,來自接入網絡的服務消息被發送給服務處理模塊43,服務處理模塊43分析并修改該消息以使其適配于尋址及格式化規則的服務網絡。例如,可以在策略執行模塊36所管理的服務網絡變換策略中指明格式化規則。服務處理模塊43然后通過SOAP代理模塊并穿過服務網絡,將與網絡服務提供商相關聯的相應服務消息發送給客戶端網關。
轉發/路由模塊44優選地執行朝向服務中的目的地的轉發/路由判決(第1層或第2層轉發,IP和/或XML路由)。盡管所述模塊44可以具有以下能力處理IP業務,必要時連同DNS查找,以及XML級別的聯網,然而其它實施例可以僅提供一個、不同的、或可能附加的路由機制。
當提供應用層路由時,模塊44的基本功能是針對服務處理模塊43提供基于內容的路由。服務處理模塊43可以使用轉發/路由模塊44以針對所發布的消息來識別SOAP端點。SOAP代理模塊42、服務處理模塊43和轉發/路由模塊44的示例性實施例,提供了發布-訂閱方式聯網的必需機制。
轉發/路由模塊44的應用路由層是可選的,并且最適于支持通知和事件分配類型服務。在一個實施例中,應用路由層將客戶端訂閱存儲到訂閱數據庫中,并且一旦接收了匹配于訂閱數據庫中的一組條目的XML多播文檔,該應用路由層就使用這些條目來識別需要該文檔的下一個SOAP端點,并通過SOAP代理模塊42轉發該文檔給所述端點。文檔的訂閱和文檔的發布遵循WS-Notification和WS-Eventing建議中概述的標準化機制。
服務網絡接口32至少提供到服務網絡的物理接口。服務網絡接口32的類型和結構以及可以在通信業務上被執行的其它操作,取決于服務網絡,其中與服務網絡交換所述通信業務。許多這種網絡接口的例子對于本領域的技術人員是顯而易見的。
數據收集器模塊40收集實時管理和計費信息,該信息可以被本地處理和/或被轉發給網絡控制器或其它部件,用于進一步存儲和處理。
一旦在策略執行模塊36和安全模塊38中的安全執行點上成功執行了所有操作,就可以在服務外部網絡中保證安全客戶端身份和消息完整性。
在這點上,數據收集器模塊40可以針對各種管理和計費操作獲取實時信息。可以針對如以下活動收集數據交易審計、性能審計、事件監控、交易的端到端商業活動監控(交易完成/失敗)、活動記錄、SLA監控、警告和錯誤門限、告警等。數據收集器40可以在數據通路中在任何不同階段、以策略執行的級別收集信息,從而編輯關于丟棄策略的統計等,所述階段例如是在安全模塊38計數針對每個安全策略所丟棄分組之后。
可以配置如圖2所示的客戶端網關,以允許網絡服務提供商將其服務作為本地服務提供到服務網絡中、允許網絡服務用戶使用服務網絡中可用的網絡服務,或二者。客戶端網關30的客戶端企業可以包括以企業應用服務器形式的網絡服務提供商,以及終端用戶網絡服務用戶。
當客戶端網關30的客戶端已經利用客戶端網關30進行認證,并且希望提供其網絡服務到服務網絡中時,控制業務被如上所述地處理并被轉發給服務網絡中的網絡控制器,其中說明性地通過終止于接入網絡接口34的安全隧道或作為被加密及簽名的消息,從客戶端接收所述控制業務。
可以基于網絡服務提供商或網絡控制器所指定的明確的接入控制規則,來確定服務網絡中網絡服務的可用級別。網絡服務提供商可以請求網絡服務保持私密,以僅由其自己專用企業系統內的用戶使用。盡管服務網絡的其它成員不可接入,然而限制服務網絡中到專用網絡服務的接入,允許網絡服務提供商使用服務網絡的其它功能,例如包括策略執行和注冊表掌管。也設想了半專用的網絡服務,其中網絡服務提供商指定了網絡服務對其可用的特定服務網絡成員或組。不受限的網絡服務對于服務網絡的所有成員是可接入的,并且根據本發明的一個方面,可以或不可以被提供給通過公共網絡接入服務網絡20的公共網絡用戶。
可以在網絡控制器處配置預定的網絡服務接入控制,并根據網絡服務或網絡服務提供商的類型或類別將其應用于網絡服務。來自特定網絡服務提供商的所有網絡服務可以具有相同的訂閱接入控制,例如當網絡服務提供商首先向服務網絡注冊時建立所述預定接入控制。每個網絡服務提供商可以具有一組關系種類,例如合作方、供應商、用戶等。在所述情況下,例如到每個服務的接入授權可以被提供給一個類別,并且對于另一類別拒絕接入。另一個可能的預定接入控制體制使得一組具有現有商業關系的網絡服務提供商的網絡服務僅可用于所述組。如這里公開的,從公共網絡上引入服務網絡中的公共網絡服務,一般可用于服務網絡的所有客戶端。
在中心策略管理模型中,網絡控制器作為服務上下文或策略來存儲關聯于網絡服務的任何接入控制。這些策略被策略執行模塊36下載到每個客戶端網關,并且如上所述被應用于數據業務。可以運行時下載客戶端上下文到策略執行模塊36,以例如支持終端用戶系統13的移動性(圖1)。
不管用于建立并管理網絡服務的接入控制的特定接入控制方案,根據用于每個網絡服務的任何接入控制而使所提供的網絡服務在服務網絡中可用。這可以以幾種方式實現。如上所述,控制業務被轉發給服務網絡中的網絡控制器并由該網絡控制器處理。在所述情況下,網絡控制器可以針對注冊表中的服務來發布信息,其中所述注冊表對于服務網絡中的客戶端網關是可接入的。每個客戶端網關然后根據關聯于網絡服務的策略來控制其客戶端接入注冊的網絡服務。
本發明決不限于網絡服務接入控制的上述例子。根本不必在服務網絡中實現接入控制。在一些實施例中,服務網絡中所提供的所有網絡服務自動可用于服務網絡的所有成員。
網絡服務提供商也可以優選地修改網絡服務策略,以通過與網絡控制器交換控制業務以基本類似的方式改變接入控制。
一旦策略執行模塊36和安全模塊42已經認證了客戶端服務消息,客戶端消息就可以通過客戶端網關30接入服務網絡中可用的網絡服務。根據策略執行模塊36所管理的策略來控制客戶端能夠接入的特定網絡服務。服務網絡的全局注冊表可以包括不是對于每個客戶端都可用的網絡服務的注冊表條目,如被網絡控制器存儲并被下載到策略執行模塊36的網絡服務策略中所指定的。僅使那些允許客戶端網關30的客戶端接入的網絡服務可用于客戶端。
隨后在客戶端網關30的客戶端與遠程網絡服務提供商之間通過服務網絡所交換的數據業務,基本上被如上所述地處理。從客戶端去往遠程網絡服務提供商的業務,由安全模塊38基于安全策略來處理、在SOAP代理模塊42中被修改并且在服務處理模塊43中基于XML消息類型而被不同地處理,并且最終由路由模塊44通過服務網絡接口32將數據業務路由到遠程網絡服務提供商,或實際上被路由到遠程網絡服務提供商所連接的客戶端網關。
將基本上類似的處理應用于與客戶端網關30的客戶端所提供的網絡服務相關聯的數據業務。安全模塊38、SOAP代理模塊42以及服務處理模塊43處理、修改并分類以及作為數據業務來處理通過服務網絡接口32而接收自遠程網絡服務客戶端的數據業務。然后通過接入網絡接口34轉發所接收的數據業務給客戶端。
現在轉向網絡控制器28(圖1),圖3是示例性網絡控制器的框圖。網絡控制器50包括管理系統接口52、網關接口54以及有效耦合到管理器60、64、66、69的存儲器56。在集中式結構或分布式結構以及優選地中心可管理的結構中可以提供網絡控制器50的部件。
管理系統接口52提供到管理系統的接口,例如網絡管理系統(NMS),其實現了用于配置和管理服務網絡平臺的中心架構。管理系統接口52的結構和操作取決于連接類型,其中網絡控制器50在該連接上與其管理系統進行通信。在一些實施例中,網絡控制器通過被管理的通信網絡與管理系統進行通信。分離的NMS管理和控制信道也是普通的。兩種類型的管理系統接口的例子,例如包括使用XML的接口和提供到管理信息庫(MIB)接入的接口,對于本領域的技術人員是顯而易見的。
網關接口54代表這樣的接口網絡控制器50通過該接口與客戶端和公共網絡網關進行通信。盡管圖3中示出了單個部件,然而網關接口54可以包括各個接口,并且可能包括不同類型的接口,以與多個客戶端網關通信。如上參考圖2所描述的,可以利用服務網絡接口或一些其它類型的接口,在客戶端網關和網絡控制器之間通過服務網絡來交換控制業務。圖3的網關接口54因而代表這樣的接口與在客戶端和公共網絡網關處提供的服務網絡接口32(圖2)或另一個接口相兼容。
如上述參考圖2的接口,管理系統接口52和網關接口54通常包括與通信介質交換通信信號的物理部件,以及產生并處理通信信號的硬件和/或軟件實現的部件。
存儲器56包括一個或多個存儲設備用于存儲信息。存儲在存儲器56中的信息可能包括例如以下信息客戶端配置文件和策略、安全信息,和用于由網絡控制器的部件使用的每網絡服務每用戶接入列表和接入級別組,以及用于由服務網絡中的其它設備訪問并使用的注冊表信息。然而應當認識到,存儲器56可能包括本地和遠程存儲設備二者。盡管優選地本地存儲網絡控制器軟件,然而注冊表可以被分配并存儲于遠程存儲設備中,該遠程存儲設備對于網絡控制器50和網絡服務用戶所連接的客戶端及公共網絡網關二者都是可訪問的。
管理器60、64、66、69以及接口52、54的內部功能或部件中的一些或全部可以被實現為軟件。實現這些管理器和功能的軟件也可以被存儲在存儲器56中。
策略管理器60提供全面的策略提供、定義和安全策略管理能力。盡管可以以分布的方式遍及服務網絡地存儲內容和數據的策略部分,然而策略管理器60集中了策略管理。可以分配策略部件,例如策略管理器60和其中存儲策略信息的存儲器56中的注冊表。同樣,將策略信息下載到客戶端網關和公共網絡網關中的策略執行模塊中。通過針對網絡服務將集中式方法用于策略管理,委托的管理器可以在服務網絡提供商的基礎設施中管理單個策略集合。可以配置策略管理器60以自動下載或推送(push)策略信息到客戶端和公共網絡網關,以響應于來自網關的請求而發送策略信息,或支持推送和獲取策略信息傳送機制二者。
根據一個實施例,策略管理器60利用網絡服務策略注冊表管理網絡服務策略。網絡服務策略注冊表是網絡服務策略的收集,該策略針對服務網絡中所提供的所有網絡服務建立接入控制。策略注冊表可以是數據注冊表的一部分,該數據注冊表用于存儲例如服務描述和客戶端配置文件的其它信息。
每個單獨的網絡服務策略可以指定專用參數,例如必須在消息中出現的認證信息、消息是否被簽名和/或加密、哪部分消息被簽名和/或加密,以及消息或部分消息如何被簽名和/或加密。可以通過實現現有web服務標準來提供這些功能,所述標準如WS-Security、WS-Policy、WS-PolicyAttachment、WS-PolicyAssertion和WS-SecurityPolicy。也可以存在指示到指定網絡服務的接入級別的規則,說明性地是虛擬外部網絡級別上的專用、半專用/組以及公共。也可能存在針對端到端服務的SLA協議和QoS需求,以及關于涉及指定商業交易的商業合作方的列表和細節。
對于任何新的網絡服務提供商或加入服務網絡的用戶而言,優選地在注冊時創建用戶配置文件和策略。如上所述,網絡服務提供商通過經由客戶端網關或公共網絡網關發送控制業務給網絡控制器,在服務網絡中發布其網絡服務。根據本發明的一個方面,網絡控制器也可以管理公網服務,可以通過公共網絡來消費所述服務,如由公共網絡服務策略所指明的。通常,策略是由策略管理器60在外部網絡服務中中心地管理,但是在由服務網絡提供的虛擬外部網絡中被物理地分配,其中該策略通過網關接口54從網關被接收或通過管理系統接口52從管理系統被接收。
在網絡服務提供商或用戶在加入服務網絡時具有其自己的服務策略的情況下,策略管理器60可以允許外部服務策略被并入服務網絡的全局策略注冊表中。外部網絡級別的所有管理數據因而可以結合來自企業管理系統的其它數據,以便創建全局管理的虛擬外部網絡服務。
策略管理器60也管理服務網絡中的用戶授權和安全配置文件而不是利用指定的網絡服務應用,如企業中的典型情景那樣,策略管理器60也管理被認證客戶端端點的授權。企業空間中的網絡服務用戶例如通過客戶端網關連接到服務網絡,并且進行單點登錄服務網絡。接入控制信息到網絡控制器所掌管的一個注冊表條目的集中,避免了在企業系統之間共享身份信息和接入控制策略的問題。替代地,在虛擬外部網絡中存儲所述數據。
策略管理器60也可以提供舊的(legacy)授權系統,說明性地通過提供數據,其中需要該數據以將現有所有的會話cookies轉換為SAML斷言和現實世界身份,該現實世界身份可以被映射到其它身份儲存庫。
策略管理器60可以指定要通過客戶端網關應用于數據業務的消息報頭和消息有效負載變換。在一些實施例中,根據說明性地是XML模式的存儲在注冊表中的信息,在基于XML的web服務消息和其它消息格式之間進行變換。
安全管理器64管理通過服務網絡的通信的安全。在一個實施例中,安全管理器64使用所建立的網絡服務和XML標準以保證安全通信。例如,服務網絡核心上所創建的安全數據通路可以使用如上所述的WS-Security和XML加密。盡管網關實際上建立通過服務網絡的安全連接,然而安全管理器64針對服務網絡提供中心證書和密鑰管理服務。下載安全信息到網關中,以用于建立通過服務網絡與其它網關的安全通信。如策略管理器60,可以配置安全管理器64以自動下載或推送安全信息到網關,以在網關需要用于網絡服務交易的安全信息時響應于來自網關的請求而在運行時發送安全信息,或支持推送和獲取傳送機制。
注冊表管理器66管理并清除網絡服務注冊表,說明性地是例如UDDI的工業標準注冊表,其具有用于網絡服務位置和管理的高級元數據(meta-data)能力。服務網絡提供商可以存儲注冊條目,用于基于分類種類的可用網絡服務以及其定義的商標(branding)。在一個實施例中,根據允許的接入級別在注冊表中組織網絡服務,所述接入級別可能包括專用的、公共的、半專用的組和/或其它。如上所述,可以將一些網絡服務秘密發布給指定合作方,而將其它網絡服務公開發布給整個服務網絡。
注冊表管理器66所管理的網絡服務注冊表是來自直接或間接連接到服務網絡的所有網絡服務提供商的網絡服務的收集。對于在其加入服務網絡時不具有任何注冊表能力的新網絡服務提供商或用戶而言,注冊表管理器66提供網絡服務、描述、位置、所有權和公共API的完全收集,其中所述公共API允許通告并消費網絡服務。網絡服務提供商可以在其加入服務網絡時具有其自己的注冊表,在這種情況下,注冊表管理器可以允許將提供商的網絡服務發布到服務網絡的全局網絡服務注冊表中。
為了除基本網絡服務位置和管理以外的目的,其它元數據注冊表對于存儲網絡服務信息也是可用的。這些可以包括用于由其它網絡控制器部件使用的注冊表,以管理例如以下服務方面超時、要應用的XML模式、服務合同、QoS參數以及訂閱和尋址信息。附加的注冊表可以存儲作為存儲以下信息的結果所獲得的數據收集計費信息、SLA監控信息、交易的端到端商業活動監控信息、活動記錄和性能審計信息、異常告警以及包括例如計費、喜好、合作方等的客戶端配置文件。也可以在注冊表中存儲用戶憑證、通用策略和安全策略。
在一些實施例中,根據客戶端的服務策略,服務網絡的客戶端具有用于實時監控并查詢所有注冊表信息的實時控制臺接入及管理工具。
系統管理器69接收由網關捕獲的審計記錄,以提供集中式控制、監控和交易審計、事件、告警以及警告,并且也可以管理全面合同和SLA的遞送。基于其關鍵程度(criticality)來優選地實現交易優先級。系統管理器69的其它可能功能包括報告交易完成/失敗和SLA合同管理。
圖4是公共網絡網關的基于因特網的實現的框圖。圖4的系統包括公共網絡網關72、包括服務器87的公共網絡服務系統86,包括服務器83、85的企業網82、84,以及有效耦合到存儲于數據存儲器中的UDDI/策略注冊表89的分布式UDDI/策略注冊表系統88。這些部件彼此有效耦合,并且因此可以通過因特網80互相通信。
如上所述,很好地理解了提供網絡服務的企業網82、84與服務器83、85和公共網絡服務系統86與服務器87的結構和操作。公共網絡服務系統86及其服務器87可以以傳統的方式操作,從而將公共網絡服務通過因特網80提供給用戶。盡管圖4沒有明確示出,然而應當認識到,網絡服務用戶可以有效耦合到因特網80,并且利用由服務器87提供的任何公共網絡服務。網絡服務用戶還可以是企業網絡系統82、84的一部分。
企業系統82、84通常在其各個企業空間中內部提供專用網絡服務。根據本發明的實施例,作為企業網絡或移動計算設備的客戶端,可以從公共因特網80通過公共網絡網關72連接到服務網絡。在這個例子中,如虛線所示,連接到公共網絡網關72的企業網絡82,可以利用終止于公共網絡網關72的安全及認證的通信而接入服務網絡。IPsec、傳輸層安全(TLS)和SSL可以用來建立安全的被認證隧道,以將客戶端從公共網絡連接到服務網絡。基于例如XML簽名和XML加密的安全技術的消息,還可以用來保護客戶端與公共網絡網關72之間的通信。通常用密碼強度和密鑰長度來表示的認證和安全的級別,可以用來確定來自服務網絡的網絡服務對于公共因特網80商的公共客戶端是否是可接入的。
沒有連接到公共網絡網關72的例如84的其它企業系統可以提供公共服務,其中該公共服務還在服務網絡中可用并且通過注冊表系統88被發布到注冊表89。分布式UDDI/策略注冊表系統88和注冊表89可以包括單個系統/注冊表裝配或多個公共UDDI注冊表系統和注冊表。以下參考圖4詳細描述的公共網絡網關72的UDDI代理模塊,與分布式UDDI/策略注冊表系統88的元件相互協作,以獲得在公共因特網80中可用的公共網絡服務的服務描述,并且通過將這些服務發布到服務網絡UDDI/策略注冊表而使該服務在服務網絡中可用。另一方面,公共網絡網關72優選地不將服務網絡中可用的服務發布給公共因特網80。公共網絡網關72可以將對于連接到服務網絡的客戶端可接入的網絡服務從公共因特網80發布給所述客戶端,其中所述客戶端使用客戶端與公共網絡網關72之間的安全消息傳送。
公共網絡網關72有效耦合到因特網80和服務網絡二者。在一個實施例中,公共網絡網關72使用XML標準化的技術,用于實現并執行用于穿過多個網絡的網絡服務業務的安全XML數據通路。
如以上簡要描述的,公共網絡網關72在說明性地是外網服務的專用網絡與公共因特網80之間提供網關。在公共網絡網關與因特網客戶端或因特網80上的因特網web服務器之間實現通信信道。在公共網絡網關72與因特網設備之間創建的信道可以使用任何或所有以下內容IPsec、SSL、TLS、WS-Security、XML加密、XML簽名、WS-Trust和WS-Federation,從而確保僅被授權的網絡服務客戶端用戶可以參與服務網絡,同時利用WS-Trust與WS-Federation管理身份范圍。
包括UDDI的網絡服務標準,以及如上所述的任一或所有以下內容IPsec、SSL、TLS、WS-Security、XML簽名、XML加密、WS-Federation、以及WS-Trust,可以由公共網絡網關72來實現,以相互協作在兩個網絡之間發布網絡服務、管制(police)服務請求,并且實現到因特網80與所保護的服務網絡之間的被授權網絡服務的合法網絡服務連接。
根據一個實施例,公共網絡網關72是SOAP可尋址的點,在因特網到服務網絡通信期間不能繞過該點。可以提供在公共網絡網關72與圖2的其它系統之間的、例如通過經由因特網80的邏輯VPN隧道的通信安全。
關于網絡服務管理,公共網絡網關72優選地允許服務網絡中的網絡服務提供商將內部網絡服務發布給企業系統82中的被授權企業客戶端,例如通過利用安全通信的因特網80。服務網絡中的網絡服務提供商使用公共網絡網關72來將內部公共網絡服務安全發布到其它服務網絡成員的UDDI注冊表,該其它成員通過公共網絡網關連接到服務網絡。在一個實施例中,公共網絡網關72在所有網絡層上提供都被預先設立的聯盟身份、接入控制及策略執行的實現。從網絡服務描述、通過從網絡控制器檢索已建立的客戶端配置文件以及服務網絡策略,可以獲得策略。公共網絡網關72還可以允許服務網絡的網絡服務用戶客戶端通過其它注冊表來消費因特網80上可用的專用或公共網絡服務。
公共網絡網關72將進入的數據分類并分割為控制業務和數據業務,其中該控制業務在公共網絡網關中被處理、也許被修改并且然后被轉發給服務網絡中的網絡控制器,該數據業務是朝向服務網絡中的目的地而被轉發的,例如連接網絡服務用戶的客戶端網關。
與公共網絡網關72耦合的因特網80和服務網絡通常使用不同的路由域,并且因此公共網絡網關72可以在另一個域上發送業務之前從一個域終止該業務。公共網絡網關72以及特別地公共網絡網關的SOAP代理,是利用URI而從每個域可尋址的。公共網絡網關具有將URI轉換為每個被連接網絡中的有效可尋址系統的裝置。
在因特網80和服務網絡使用不同命名服務域的情況下,公共網絡網關72以及特別地服務處理器模塊可以執行URI轉換。例如,公共網絡網關72可以使用DNS用于朝向因特網80的IP路由,以及到網絡地址綁定系統的IP路由(利用DNS)或者其它形式的名稱。
在因特網80與服務網絡之間的所有通信都通過公共網絡網關72。因此,全面的審計記錄可以由公共網絡網關72來捕獲,并且被轉發給服務網絡中的網絡控制器,用于維護調整(regulatory)和策略順應性。
根據下面對圖5的詳細描述,公共網絡網關的操作將變得顯而易見,所述公共網絡網關可以是例如網關72的因特網網關或到不同類型公共網絡的網關,圖5是示例性公共網絡網關的框圖。
公共網絡網關90包括服務網絡接口92、公共網絡接口94、有效耦合到接口92、94以及存儲器97的策略執行模塊96、有效耦合到策略執行模塊96的安全模塊98、有效耦合到策略執行模塊96、安全模塊98以及接口92、94的SOAP代理模塊102、有效耦合到SOAP代理模塊102以及存儲器97的數據收集器模塊100、有效耦合到策略執行模塊96、安全模塊98以及SOAP代理模塊102的服務處理模塊103、有效耦合到策略執行模塊96、安全模塊98、SOAP代理模塊102以及公共網絡接口94的UDDI代理模塊101,以及有效耦合到SOAP代理模塊102、服務處理模塊103以及網絡接口92、94上的轉發模塊104。如上面針對圖2的客戶端網關所指出的,圖5的部件之間的其它互連可以在一些實施例中被提供,但是為避免擁塞沒有明確示出。
從圖2和圖5的比較中顯而易見的是,客戶端網關和公共網絡網關可以具有基本類似的結構,盡管這些網關稍有不同地進行操作。
如上面針對客戶端網關30所描述的(圖2),圖5的網關部件之間內部連接的形式,取決于其中實現公共網絡網關90的特定類型的設備。可以在公共網絡網關90中使用內部總線結構和/或連接的其它類型。
在公共網絡網關90中,分離的功能部件說明不旨在限制本發明。可以利用比圖5中明確示出的更多或更少的、可能地利用不同互連的部件來實現公共網絡網關的服務網絡側功能。因此,可以以與圖5所示不同的方式來劃分或集成功能。例如在基于軟件的實施例中,這些功能可以在各個軟件模塊中被實現,或被組合到更少的軟件模塊中以由一個或多個處理器來執行。功能部件96、98、100、101、102、103、104以及接口92、94的內部功能或部件,可以因而被實現為存儲在存儲器97中的軟件、硬件,或部分在軟件部分在硬件。
公共網絡網關接口94連接公共網絡網關90到公共網絡。在一些實施例中,公共網絡接口94是IP接口,盡管公共網絡網關接口94的結構和操作取決于連接的類型,其中公共網絡網關90在該連接上與公共網絡進行通信。通常,公共網絡接口94包括與通信介質交換通信信號的物理部件,以及產生并處理該通信信號的硬件和/或軟件實現的部件。所述接口的各種實現對于本領域的技術人員是顯而易見的。
對于公共網絡內的安全通信,公共網絡接口94可以終止通過公共網絡所建立的安全VPN隧道。可以在公共網絡中使用的其它可能的安全及不安全的通信協議和方案對于本領域的技術人員是顯而易見的。
存儲器97可以包括用于存儲信息的一個或多個存儲設備,其中公共網絡網關90的任何或所有功能部件可以使用所述信息,并且因此功能部件96、98、100、101、102、103、104可以訪問存儲在存儲器97中的信息。盡管圖5中為避免擁塞沒有示出在存儲器97和接口92、94之間的連接,然而這些接口或內部部件也可以與存儲器97交互。
策略執行模塊96實現網絡服務的服務網絡策略執行,其中所述網絡服務由網絡服務成員在其客戶端配置文件中配置并在其服務的描述中被通告給服務網絡。策略斷言被實現在公共網絡網關中,該策略斷言指定了傳統的需求和能力,例如指定用戶和/或傳輸協議選擇所需要的認證方案。因此,當客戶端從公共網絡連接到服務網絡時,從網絡控制器將這些策略斷言的集合下載到公共網絡網關中。
網絡服務提供商和用戶的認證和授權、涉及網絡服務的交易的管理和檢驗以及與網絡服務相關聯的通信業務的私密性和完整性,是功能的例子,其可以由策略執行模塊96結合公共網絡網關90的其它功能部件(例如安全模塊98)來實現。策略執行模塊96可以與安全模塊98交互以例如通過檢驗消息數字簽名來進行認證,如上文針對客戶端網關30所描述的那樣。
由策略執行模塊96和安全模塊98來提供利用虛擬外部網絡服務的客戶端認證用于公共網絡中的客戶端,而不是利用每個指定的網絡web服務,如利用當前企業中心的網絡服務所發生的那樣。公共網絡網關90允許連接到公共網絡的客戶端利用安全隧道和單點登錄機制接入服務網絡。公共網絡網關90因而解除了其客戶端進行每服務認證的負擔。要在客戶端認證中使用的信息可以被存儲在存儲器97。
根據前面對圖2的客戶端網關策略執行模塊36的基本類似的描述,策略執行模塊96結合安全模塊98管理客戶端認證及授權的操作,以及策略執行模塊96的其它功能,是顯而易見的。
安全模塊98實現安全標準,以保證服務網絡上的通信安全。在一些實施例中,安全模塊98使用web服務標準,例如WS-Security、XML加密/解密和XML簽名,以及傳送安全機制,例如IPsec、TLS和SSL,以提供服務網絡成員之間的安全數據通路。例如TLS、SSL和IPsec的技術對于提供客戶端之間的安全通信隧道是有用的,其中所述客戶端通過公共網絡連接到公共網絡網關90。這些工具允許公共網絡網關90調節現有安全協議,以保證被授權的服務用戶可以參與端到端專用商業網絡。因此在一些實施例中,安全模塊98代表了證書和密鑰管理服務,用于增強的核心網上的外部網絡服務。安全模塊98提供安全功能給如上所述的其它功能模塊、服務處理模塊103以及兩個網絡接口92、94。這些功能可以包括簽名檢驗、加密、解密、簽名,以及利用電信安全領域中已知的協議所進行的對稱或非對稱密鑰交換,例如里韋斯特-沙米爾-阿德萊曼(RSA,Rivest-Shamir-Adleman)和因特網密鑰交換(IKE)。
數據收集器模塊100收集實時管理和計費信息,該信息可以被本地處理和/或被轉發給網絡控制器或其它部件,用于進一步存儲和處理。一旦在策略執行模塊96和安全模塊98中的安全執行點上成功執行了所有操作,就可以在服務外部網絡中保證客戶端身份和消息完整性,并且數據收集器模塊100可以在數據通路中在任一不同的階段、從圖5所示的任何或所有模塊獲取實時信息,用于管理和計費操作,基本如上面針對客戶端網關數據收集器40(圖2)所描述的那樣。
如客戶端網關30的相應模塊42(圖2),SOAP代理模塊102針對客戶端與服務網絡之間的進入和外出消息執行SOAP報頭處理。SOAP代理模塊102是具有兩個網絡接口中的兩個服務地址的主機公共網絡網關接口94和服務網絡接口92。就通過公共網絡網關90連接到服務網絡的客戶端而言,似乎是從SOAP代理模塊102提供所有服務,其中由服務網絡將將該所有服務通告給客戶端。
來自兩個被連接服務網絡中任一個的消息被傳送給SOAP代理模塊102,該SOAP代理模塊102接收SOAP消息、執行如報頭處理的功能和修改,并中繼消息到合適的處理設備,如UDDI代理模塊101或服務處理模塊103。來自UDDI代理模塊101和服務處理模塊103的消息也被發送給SOAP代理模塊102。從UDDI代理模塊101或服務處理模塊103接收的消息可以由SOAP代理模塊102來處理,以例如添加URI尋址信息。SOAP代理模塊102也與策略執行模塊96和安全模塊98進行交互,以實現消息上的網絡服務策略,并然后在合適的接口上發送該消息。因此可以由SOAP代理模塊102針對每個消息觸發策略執行、安全、接入控制、審計,以及與公共網絡網關90的其它模塊相關聯的其它功能。
SOAP代理模塊102的操作可以基本類似于圖2所示的客戶端網關30的SOAP代理模塊42的操作,上面已經作為說明性例子詳細描述了所述操作。顯然的是,盡管客戶端網關的SOAP代理模塊在服務網絡和接入網絡之間交換消息,然而SOAP代理模塊102在服務網絡與如因特網的公共網絡之間執行基本類似的功能。
SOAP代理模塊102利用深入的分組檢查來將進入的業務分類并分割為UDDI控制業務和數據業務。UDDI控制業務被轉發到UDDI代理模塊101,并且說明性地是XML業務的數據業務被轉發到服務處理模塊103。
SOAP代理模塊102的業務分類器可以有效耦合到服務網絡接口92或支持與網絡控制器進行通信的另一個接口,以規定與網絡控制器的控制和/或管理業務的交換。在圖5中,通過UDDI代理模塊101示出了這種連接的一個可能形式,其中該UDDI代理模塊101有效耦合到服務網絡接口92。也應當認識到,SOAP代理模塊102可以從網絡控制器接收控制和/或管理業務。
UDDI代理模塊101具有UDDI接口,該UDDI接口到公共網絡、從服務網絡到公共網絡中的服務網絡的服務網絡客戶端,以及從公共網絡到網絡控制器的中心UDDI儲存庫。UDDI代理模塊101將來自公共網絡UDDI注冊表的所有服務發布傳送給服務網絡中的網絡控制器,該服務發布符合服務網絡策略以提供給服務網絡客戶端。UDDI代理模塊101可以修改web服務的服務端點,以由SOAP代理102強制在公共網絡服務與服務網絡服務之間的服務交互的協調。同樣,UDDI代理模塊101具有定制的網絡服務列表,該列表對于通過公共網絡連接到服務網絡的每個服務網絡客戶端而在服務網絡中可用。UDDI代理模塊101優選地不將網絡服務從服務網絡發布到公共網絡注冊表。
針對從用戶接收的所有UDDI發布請求,其中該用戶通過公共網絡接入服務網絡以發布新web服務或訂閱所發布的現有web服務的改變,UDDI代理模塊101擔任到由服務外部網絡所掌管的UDDI中心儲存庫的接入點,并且針對從發起“發現服務”操作的用戶所接收的所有UDDI查詢請求,該UDDI代理模塊101擔任代理模塊。
UDDI代理模塊101期望進入的基于UDDI的消息。不是UDDI幀的所有其它消息可以被UDDI代理模塊101丟棄。
UDDI代理模塊101可以本地緩存UDDI條目,這允許UDDI代理模塊101在接收新的UDDI查詢請求時執行本地條目查找和解析(resolution)。如果本地發現UDDI條目,則產生UDDI響應消息并將其發送回請求服務的客戶端。否則,發送UDDI查詢消息到網絡控制器,用于在服務網絡UDDI全局儲存庫中進行全局查找。一旦條目被網絡控制器解析,UDDI響應就被發送回到請求所來自的同一客戶端網關。公共網絡網關90可以學習并存儲UDDI信息用于進一步的UDDI查找。因此,如UDDI代理模塊41,UDDI代理模塊101可以處理服務請求的本地和遠程解析。
UDDI代理模塊101的另一功能是防止不是服務網絡客戶端的公共網絡中的用戶發現服務網絡中的網絡服務。服務處理模塊103從SOAP代理模塊102接收服務消息、處理該服務消息并發送服務消息給SOAP代理模塊102。服務處理模塊103的一個主要功能是處理與網絡服務相關聯并在網絡服務提供商與客戶端之間被交換的數據業務。在一個實施例中,將通過SOAP代理模塊102來自公共網絡的服務消息發送給服務處理模塊103,服務處理模塊103分析并修改該消息,以使所述消息適配于尋址及格式化規則的服務網絡。服務處理模塊103然后通過SOAP代理模塊103并穿過服務網絡,發送相應的服務消息給與網絡服務提供商相關聯的網關。
由于公共網絡網關90與客戶端網關30(圖2)存在于同一服務網絡中,因此安全模塊98、轉發/路由模塊104和服務網絡接口92可能基本上類似于客戶端網關30(圖2)的相應部件。
通信網關的安全模塊提供服務網絡上的通信安全。因此可以在客戶端網關之間、在公共網絡網關之間或在客戶端網關與公共網絡網關之間提供安全通信。
服務網絡接口92至少提供到服務網絡的物理接口,并且與服務網絡中其它網關上所提供的服務網絡接口相兼容。本地服務網絡接口92的類型和結構和可以在通信業務上執行的其它操作,是服務網絡相關的,其中與服務網絡交換所述通信業務,并且所述網絡接口的許多例子對于本領域的技術人員是顯而易見的。
可以配置例如圖5所示的公共網絡網關,以允許服務網絡的網絡服務提供商客戶端通過例如因特網的公共網絡接入服務網絡中可用的網絡服務、允許公共網絡中的網絡服務提供商將其服務提供給專用服務網絡,或者允許二者。通信業務還通過公共網絡網關在服務網絡與公共網絡之間被傳送。
公共網絡網關的操作最好通過考慮不同的網絡服務提供與使用情景而被說明。
通過公共網絡網關,也可以通過公共網絡而使服務網絡的網絡服務提供商客戶端所提供的網絡服務對于服務網絡客戶端可用。通過在例如發布網絡服務給服務網絡全局注冊表時建立接入控制策略,網絡服務提供商如上所述地控制其網絡服務的可用性。
公共網絡網關限制服務網絡的客戶端從服務網絡接入網絡服務,其中所述客戶端可以從公共網絡連接。公共網絡網關拒絕公共網絡上的非成員主機從服務網絡接入網絡服務。
公共網絡網關還負責將由服務網絡的公共網絡客戶端所提供的網絡服務發布到服務網絡注冊表,以便規定從公共網絡到服務網絡的網絡間服務提供和注冊表間發布。在這種情況下,通過與服務網絡的網絡控制器交換控制業務,使得由公共網絡中的網絡服務提供商所提供的公共網絡服務在服務網絡中可用。網絡服務提供商指定的策略對于由公共網絡中的網絡服務提供商所提供的網絡服務可能特別重要。從公共網絡所引入的網絡服務是公共網絡服務,并且因此通常使其對服務網絡的所有網絡服務用戶客戶端是可接入的。然而在一些實施例中,設想可以針對公共網絡服務來指定策略。
通過在服務網絡客戶端所提供的公共注冊表中識別網絡服務,或響應于從基于公共網絡的服務網絡客戶端所接收的明確的服務發布請求,可以由公共網絡網關自動處理由公共網絡網關向服務網絡發布公共網絡服務。響應于請求的發布可以伴隨有基本如上針對客戶端網關所描述的公共網絡網關。
在優選的中心策略管理模型中,與網絡服務相關聯的接入控制由網絡控制器作為服務上下文或策略來存儲,并且被下載到每個客戶端網關和公共網絡網關用于執行。
公共網絡服務因此可以由網絡服務提供商、客戶端網關和公共網絡網關中任一個或二者來提供。幾個網絡服務用戶情景也是可能的。
也是公共網絡客戶端的服務網絡的網絡服務用戶客戶端利用公共網絡網關進行認證,并且建立安全通信信道以接入服務網絡中的網絡服務。客戶端能夠接入的特定網絡服務是由策略執行模塊根據針對網絡服務所建立的策略來控制的。本發明的實施例還允許服務網絡客戶端接入由外部公共網絡中的網絡服務提供商所提供的公共網絡服務。隨后在網絡服務用戶客戶端與遠程公共網絡服務提供商之間通過服務網絡和公共網絡所交換的數據業務,是由公共網絡網關來處理的。
參考圖5,從公共網絡服務提供商去往服務網絡的網絡服務用戶客戶端的業務被SOAP代理模塊102分類為數據業務,并且被與安全模塊98合作的SOAP代理模塊102處理。所產生的服務消息被服務處理模塊103處理,該模塊103修改消息,安全模塊98執行安全處理以將例如XML級別的安全性應用于被修改消息,并且轉發/路由模塊104通過服務網絡接口92將所述消息路由到網絡服務用戶客戶端,或實際上路由到與網絡服務用戶客戶端連接的客戶端網關。
公共網絡網關90以基本類似的方式處理去往公共網絡服務提供商的數據業務。通過服務網絡接口92從服務網絡的遠程網絡服務用戶客戶端所接收的數據業務,被SOAP代理模塊102分類為數據業務。對于在安全連接上所接收的數據業務,由安全模塊98來執行安全處理。服務處理模塊103也處理去往公共網絡的被接收數據業務,服務處理模塊103修改所述消息以適配于所述公共網絡。然后將所述消息傳送給SOAP代理模塊102,該SOAP代理模塊102添加在公共網絡中可路由的公共網絡尋址信息,并且然后由安全模塊98來保護該消息,該安全模塊發起與公共網絡服務提供商的安全通信信道。然后由公共網絡接口94通過公共網絡將所述消息轉發給公共網絡服務提供商。
盡管由位于公共網絡中的網絡服務提供商所提供的公共網絡服務,對于可以與網絡服務提供商通信的任何網絡服務用戶通常是可接入的,然而服務網絡是專用網絡。公共網絡網關允許從公共網絡連接的客戶端消費服務網絡內所提供的服務,但是其不允許不是服務網絡客戶端的公共服務器消費該服務網絡內的服務。一旦來自公共網絡的客戶端利用公共網絡網關被認證并且被授權接入服務網絡,該客戶端就具有到公共網絡服務和由服務網絡中可用的客戶端合作方提供給客戶端的網絡服務的接入。利用公共網絡網關的認證有效地通過服務網絡來認證網絡服務用戶,并且不必進行通過網絡服務提供商的附加認證。
應當指出,公共網絡網關的策略執行模塊可以執行服務網絡策略、網絡服務策略和客戶端策略中的任一個或全部。所述策略中的一些可以由網絡控制器來中心管理,并從該網絡控制器被下載。策略執行模塊執行這樣的限制限制公共網絡服務用戶接入由客戶端或其它網絡在服務網絡中提供的網絡服務。僅服務網絡的客戶端可以通過公共網絡網關從服務網絡接入網絡服務。
如上所述,服務網絡是專用、受保護的網絡。為了維護在服務網絡中可接入的、公共網絡服務上的控制級別,還可以配置公共網絡網關以在使得網絡提供商的網絡服務在服務網絡中可用之前認證該公共網絡中的網絡服務提供商。
不管用戶是服務網絡客戶端還是位于公共網絡中,公共網絡網關所進行的網絡服務相關的交易的審計,對于計費用戶使用公共網絡服務可能是有用的。盡管服務網絡客戶端可能已經具有已建立的商業關系,然而在服務網絡的網絡服務用戶客戶端與公共網絡中的網絡服務提供商之間典型地不存在任何現有關系。在服務網絡客戶端使用由公共網絡中的用戶所提供的公共服務的情況下,基于公共網絡的提供商的認證以及與服務網絡的任何后續交易的審計,可能特別重要。提供商的認證確保網絡服務提供商的正確識別,并且審計允許該提供商活動的跟蹤與計費。如所指出的,審計記錄也可以為了除計費以外的目的而由網關、網絡控制器或另一個系統來使用。
上面主要就通信網絡設備描述了本發明的實施例,所述設備即客戶端網關、網絡控制器以及公共網絡網關。圖6是根據本發明實施例的方法的流程圖。
方法110開始于112,即認證服務網絡客戶端的操作,在該情況下是網絡服務提供商。當已認證網絡服務提供商時,在114使得由網絡服務提供商所提供的網絡服務在服務網絡中可用。
由于在114使網絡服務在服務網絡中可用,因此公共網絡服務在116基于其策略而被識別,并且在118使其對從公共網絡連接的客戶端可用。可以針對被添加到服務網絡的每個網絡服務、在預定間隔內或者在一天中的時段(times of day)執行116和118的操作,或者響應于網絡服務提供商或服務網絡用戶客戶端的明確請求來執行所述操作。在一個實施例中,公共網絡網關在每個網絡服務首先在服務網絡中注冊時確定其接入控制策略,并且可以根據其策略將每個網絡服務發布到客戶端注冊表。本領域的技術人員將認識到,在服務網絡內路由的XML可以用于分配事件通知,以在新的網絡服務已經被注冊時向公共網絡網關告警,或者用于支持文檔分配服務。
在120利用客戶端網關或公共網絡網關所認證的網絡服務用戶,可以在122被允許接入服務網絡以使用網絡服務。
如圖6所示的方法110僅用于說明的目的,并且說明了這樣的情況將由服務網絡客戶端所提供的網絡服務提供給從公共網絡連接到服務網絡的客戶端。還可以以基本類似的方式,使得由公共網絡中的網絡服務提供商所提供的公共網絡服務在服務網絡中可用。在118,例如,可以使來自公共注冊表的公共網絡服務在服務網絡中可用。因此,更一般地,可以允許被認證的服務網絡客戶端使得網絡服務在服務網絡內可用,或者使用由服務網絡的另一客戶端或位于公共網絡中的網絡服務提供商所提供的網絡服務。僅認證一次相同的客戶端,并且隨后允許該客戶端執行多個網絡服務相關的功能。可以類似地允許公共網絡中的被認證網絡服務客戶端用戶使用由其它服務網絡客戶端所提供的網絡服務。
根據上述內容,執行圖6示出的操作的各種方式以及可以被執行的其它操作,是顯而易見的。
已經描述的內容僅是本發明原理的應用的說明。本領域的技術人員可以在不脫離本發明范圍的情況下實現其它安排和方法。
例如,服務網絡可以包括不同于圖1所示的部件,例如上面參照的相關申請序號11/105,821中所公開的服務網絡網關。
服務網絡還可以包括多個網絡控制器。不同的網關可以連接到不同的網絡控制器。期望將一個網絡控制器配置為指定網絡控制器用于服務網絡的一些操作,例如維護中心服務注冊表以及與服務網絡網關通信。指定網絡控制器可以與普通網絡控制器相同,但是例如通過經由系統接口52(圖3)的操作員終端的命令行接口(CLI)而被配置為網絡控制器。
如果在一個服務網絡內的多個網絡控制器中維護網絡服務注冊表,則網絡控制器優選地相互通信以交換控制信息,該控制信息是關于包含于所述網絡控制器的每個注冊表中的服務以及這些服務的本地存儲。
因此,網絡控制器可以在其注冊表中存儲已經由網關提供給它以及可能地其它網絡控制器的信息。
圖2至圖5所示的網關和網絡控制器部件的例子類似地不是限制性的。本發明的實施例可以包括更少或者附加的部件。與網絡控制器通信的管理系統還可以例如與網關通信,即使為避免擁塞而沒有在圖2和圖5的示例性網關30和90中示出管理系統接口。
這里主要作為企業客戶端描述了服務網絡客戶端,但是其不必與企業相關聯。本發明的實施例可以結合非企業服務網絡客戶端而被實現。
本發明也決不限于網關與網絡控制器之間的任何特定功能劃分。可以以不同于這里明確描述的方式來分配或集成功能。例如,注冊表可以由每個客戶端網關來存儲而不是在中心被存儲。
網關和其它部件也可以執行除上面明確描述的其它功能。例如,公共網絡網關可以允許客戶端企業的移動代理通過公共網絡中的安全隧道而接入服務網絡中的服務。
本發明的實施例還與任何特定的注冊表格式或內容無關。多數情況中,網絡服務提供商客戶端的地址或位置僅是在服務網絡內可路由,并且因此這些地址或位置可以被存儲在服務網絡注冊表中。公共網絡地址或位置在公共網絡中是可路由的,并且針對由基于公共網絡的提供商所提供的公共網絡服務而被存儲在服務網絡全局注冊表的注冊條目的服務描述中。公共網絡網關的SOAP代理模塊與兩個尋址網絡相互協作,并且允許在公共網絡服務提供商與服務網絡用戶之間進行通信。另外,盡管主要就方法和系統來進行描述,然而也設想了本發明的其它實現,如存儲在機器可讀介質上的指令。
權利要求
1.一種用于管理專用服務網絡中的網絡服務的裝置,所述裝置包括策略執行模塊,其被配置用來根據所述專用服務網絡的認證策略,執行規則用于由服務網絡的客戶端通過公共網絡接入該專用服務網絡,并且根據與所述網絡服務關聯的服務接入策略,來控制由所述專用服務網絡的被認證客戶端使用由該專用服務網絡的另一客戶端所提供的網絡服務。
2.根據權利要求1的裝置,還包括服務網絡接口,其被配置用來提供所述公共網絡與所述專用服務網絡之間的通信。
3.根據權利要求1或2的裝置,其中,所述接入策略包括存儲于所述專用服務網絡的服務策略注冊表中的服務策略、存儲于公共網絡網關中的客戶端策略,以及存儲于所述專用服務網絡的注冊表中的服務網絡策略。
4.根據權利要求1或2的裝置,其中,配置所述策略執行模塊以通過在所述專用服務網絡的服務注冊表中訪問與所述專用服務網絡中可用的網絡服務相關聯的信息,來確定與所述網絡服務相關聯的接入策略。
5.根據權利要求1或2的裝置,還包括統一描述、發現和集成代理模塊,其被配置用來通過控制所述網絡服務的暴露來應用所述服務接入策略,其中所述暴露是通過將與該網絡服務相關聯的信息發布到所述客戶端可訪問的服務注冊表。
6.根據權利要求1或2的裝置,其中,還配置所述策略執行模塊以允許所述被認證客戶端使其所提供的網絡服務在所述專用服務網絡中可用。
7.根據權利要求5的裝置,其中,還配置所述策略執行模塊以允許所述被認證客戶端使其所提供的網絡服務在所述專用服務網絡中可用,并且其中,還配置所述統一描述、發現和集成代理模塊,以通過訪問所述公共網絡的公共服務注冊表來識別該公共網絡中可用的公共網絡服務,并且通過將與所述網絡服務關聯的信息發布到所述專用服務網絡的服務注冊表而使得所識別的公共網絡服務在該專用服務網絡中可用。
8.根據權利要求1或2的裝置,其中,還配置所述策略執行模塊以執行所述服務網絡的變換策略,所述變換策略指明了用于在所述服務網絡和所述公共網絡中傳送通信業務的各個格式。
9.根據權利要求1或2的裝置,還包括以下模塊中的至少一個轉發/路由模塊,其被配置用來將通信業務從所述公共網絡路由到所述專用服務網絡,所述轉發/路由模塊支持以下內容中的至少一個第1層轉發方法、第2層轉發方法、因特網協議路由以及可擴展置標語言路由;簡單對象訪問協議代理模塊,其被配置用來使得與網絡服務關聯的服務消息在所述公共網絡與專用服務網絡的尋址方案之間適配;服務處理模塊,其被配置用來處理來自所述專用服務網絡和所述公共網絡二者的、與網絡服務相關聯的服務消息;統一描述、發現和集成代理,其被配置用來協調針對所述服務網絡中可用的網絡服務的網絡服務描述的發布,以從該網絡服務描述中提取服務策略用于由所述策略執行模塊來執行,并且緩存所述網絡服務描述;數據收集器模塊,用于收集在所述服務網絡與該服務網絡客戶端之間的、通過所述公共網絡的交易記錄;和安全模塊,用于向所述裝置提供安全通信服務,并且在所述專用服務網絡和所述公共網絡二者中保護通信并提供安全斷言。
10.一種用于管理專用服務網絡中的網絡服務的系統,所述系統包括至少一個公共網絡網關,其有效耦合到所述服務網絡和各自的公共網絡,所述至少一個公共網絡網關中的每個都包括根據權利要求1或2的裝置;和網絡控制器,其有效耦合到所述至少一個公共網絡網關,以管理由所述策略執行模塊所執行的策略,以及在所述服務網絡中可用的網絡服務注冊表。
11.根據權利要求10的系統,其中,配置所述網絡控制器以向每個公共網絡網關提供僅與所述服務網絡中可用的那些網絡服務相關聯的信息,所述服務網絡具有允許利用各個公共網絡的客戶端的接入以到達所述服務網絡的接入策略。
12.根據權利要求10的系統,還包括客戶端網關,其有效耦合到所述服務網絡,以針對各自的服務網絡客戶端組來提供到該服務網絡的接入點。
13.一種用于管理與專用服務網絡中可用的網絡服務相關聯的策略的裝置,所述裝置包括網關接口,其有效耦合到公共網絡網關,其中公共網絡中的服務網絡的網絡服務用戶客戶端通過該公共網絡網關接入所述服務網絡,以使用由該服務網絡的另一客戶端所提供的網絡服務;和策略管理器,其有效耦合到所述網關接口,并且被配置用來通過所述網關接口將網絡服務策略分配給所述公共網絡網關,以使該公共網絡網關根據所述網絡服務策略來控制所述公共網絡中的網絡服務用戶客戶端使用所述網絡服務,其中所述網絡服務策略指明了針對由所述服務網絡的網絡服務提供商客戶端所提供的網絡服務的各個接入控制。
14.根據權利要求13的裝置,其中,還配置所述策略管理器以在與所述服務網絡的成員資格初始化期間、基于由所述客戶端提供的信息,從所述網絡服務用戶客戶端的客戶端配置文件建立客戶端策略。
15.根據權利要求13的裝置,其中,所述公共網絡中的服務網絡的網絡服務提供商客戶端通過所述公共網絡網關接入該服務網絡,以使通過該公共網絡的網絡服務在所述服務網絡中可用,并且其中,還配置所述策略管理器以基于由所述網絡服務提供商客戶端所提供的、通過所述網關接口所接收的信息,來建立指明針對所述網絡服務的接入控制的網絡服務策略,并且在所述服務網絡中分配該服務策略。
16.根據權利要求15的裝置,其中,還配置所述策略管理器以基于由所述網絡服務提供商客戶端所提供的信息來建立用于該網絡服務提供商客戶端的客戶端配置文件,所述客戶端配置文件指明了客戶端關系類別的成員,并且其中,由所述網絡服務提供商客戶端所提供的針對所述網絡服務的網絡服務策略指明了基于所述客戶端關系類別的接入控制。
17.根據權利要求13到16中任一個的裝置,其中,所述網絡服務策略包括存儲于由所述策略管理器維護的網絡服務策略注冊表中的網絡服務策略。
18.根據權利要求13到16中任一個的裝置,還包括注冊表管理器,其被配置用來維護所述專用服務網絡中可用的網絡服務的注冊表。
19.根據權利要求18的裝置,其中,還配置所述注冊表管理器以通過所述網關接口從所述公共網絡網關接收與公共網絡服務相關聯的信息,并且將該信息存儲在所述網絡服務的注冊表中,其中所述公共網絡服務是由所述公共網絡中的網絡服務提供商來提供的。
20.根據權利要求13到16中任一個的裝置,還包括以下部件中的至少一個安全管理器,其有效耦合到所述網關接口,并且被配置用來管理通過所述專用服務網絡的通信的安全;注冊表管理器,其有效耦合到所述網關接口,并且被配置用來管理以下內容中的至少一個所述專用服務網絡中可用的網絡服務注冊表,服務超時信息,可擴展置標語言模式、服務合同,服務質量參數,訂閱信息,尋址信息,計費信息,服務級協議監控信息,交易的網絡服務活動監控信息、活動記錄、性能審計信息和異常告警;和系統管理器,其有效耦合到所述網關接口,并且被配置用來接收并管理由所述公共網絡網關所捕獲的審計記錄。
21.一種用于管理專用服務網絡的系統,其中,由網絡服務提供商所提供的網絡服務對于網絡服務用戶是可接入的,所述系統包括至少一個公共網絡網關,其有效耦合到公共網絡中的服務網絡客戶端,以向該服務網絡客戶端提供通過所述公共網絡到所述專用服務網絡的接入,從而使用由該服務網絡的另一客戶端所提供的網絡服務或者使得網絡服務在該服務網絡中可用;和網絡控制器,其有效耦合到所述至少一個公共網絡網關,并且包括根據權利要求13至16中任一個的裝置。
22.根據權利要求21的系統,還包括客戶端網關,其有效耦合到所述服務網絡,以針對通過專用網絡連接到所述服務網絡的各個服務網絡客戶端組來提供到該服務網絡的接入點,每個服務網絡客戶端組都包括網絡服務提供商、網絡服務用戶,或包括二者。
23.一種用于管理專用服務網絡中的網絡服務的裝置,所述裝置包括策略執行模塊,其被配置用來根據所述專用服務網絡的認證策略,來執行規則用于由所述服務網絡的客戶端通過公共網絡接入該專用服務網絡,并且允許所述被認證客戶端使其所提供的網絡服務在所述專用服務網絡中可用。
24.一種管理專用服務網絡的網絡服務的方法,所述方法包括識別網絡服務,該網絡服務由所述專用服務網絡的客戶端來提供并在該專用服務網絡中可用,該專用服務網絡具有允許通過所述公共網絡連接到服務網絡的服務網絡客戶端接入該網絡服務的接入策略;以及使所識別的網絡服務對于所述公共網絡上的服務網絡客戶端可用。
25.根據權利要求24的方法,還包括認證所述公共網絡上的服務網絡客戶端;以及允許所述被認證客戶端提供、消費或者提供并消費所述服務網絡中的網絡服務。
26.根據權利要求25的方法,其中,所述允許被認證客戶端提供并消費服務網絡中的網絡服務分別包括將與由所述被認證客戶端所提供的網絡服務相關聯的信息,從該被認證客戶端的服務注冊表發布到所述服務網絡;以及將與所識別的網絡服務相關聯的信息,從所述服務網絡的服務注冊表發布到所述公共網絡上的被認證客戶端。
27.一種存儲指令的機器可讀介質,所述指令在被執行時實現根據權利要求24至26中任一個的方法。
全文摘要
公開了公共和專用網絡服務管理系統和方法。執行用于接入網絡服務在其中可用的專用服務網絡的規則,從而根據服務網絡的策略來限制通過公共網絡接入服務網絡。通過公共網絡的專用服務網絡客戶端對網絡服務的使用,是根據與網絡服務關聯的網絡服務接入策略而被控制的。由通過公共網絡接入服務網絡的服務網絡客戶端所提供的網絡服務,還可以通過服務網絡和公共網絡被提供給服務網絡的其它客戶端。
文檔編號H04L12/24GK1855847SQ200610072338
公開日2006年11月1日 申請日期2006年4月14日 優先權日2005年4月14日
發明者B·S·布-迪亞布, L·M·塞爾吉, B·麥克布賴德 申請人:阿爾卡特公司