CN101467422A - 安全通信网络用户移动性装置和方法 - Google Patents
安全通信网络用户移动性装置和方法 Download PDFInfo
- Publication number
- CN101467422A CN101467422A CNA2007800221977A CN200780022197A CN101467422A CN 101467422 A CN101467422 A CN 101467422A CN A2007800221977 A CNA2007800221977 A CN A2007800221977A CN 200780022197 A CN200780022197 A CN 200780022197A CN 101467422 A CN101467422 A CN 101467422A
- Authority
- CN
- China
- Prior art keywords
- mobile subscriber
- communication network
- service
- authentication
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
公开了一种安全通信网络用户移动性装置和方法。本地连接到其中提供服务的第一通信网络但是关联于独立受控的第二安全通信网络的移动用户可以被所述第二通信网络认证以访问所述服务。这基于现有网络间用户移动性关系而在合作方外联网或其他可信网络集合中实现了网络之间的无缝用户移动性。也可以提供例如访问控制、监视和报告,以及其他可能的功能。
Description
相关申请的交叉引用
本专利申请主张2006年6月20日提交的标题为“SecureCommunication Network User Mobility Apparatus and Methods”的美国临时专利申请号60/814,963的权利,在此引入其全部内容作为参考。
本专利申请涉及下列专利申请中的每一个:
2006年6月20日提交的标题为“Network Service PerformanceMonitoring Apparatus and Methods”的美国临时专利申请号60/814,983,以及2006年11月7日提交的美国发明专利申请号11/557,287并主张其权利;
2006年6月20日提交的标题为“Secure Domain InformationProtection Apparatus and Methods”的美国临时专利申请号60/815,134,以及2006年8月25日提交的美国发明专利申请号11/467,387并主张其权利;
2006年6月20日提交的标题为“Communication Network ApplicationActivity Monitoring and Control”的美国临时专利申请号60/815,099,以及2006年7月28日提交的美国发明专利申请号11/460,789并主张其权利。
技术领域
本发明一般地涉及通信,特别涉及规定安全通信网络之间的用户移动性。
背景技术
例如公司网络的专用通信网络的管理员当前不能够方便地为可能有时本地连接到其网络的“移动”外部用户提供临时的网络接入,所述外部用户例如是合作方公司的承包人或员工。这种移动用户的网络接入通常需要例如在轻量级目录访问协议的目录或类似的用户数据库中人工创建本地用户身份,并且人工许可对服务的访问。服务访问可以在策略服务器被许可或直接在单独的应用服务器被许可。
当移动用户不再在现场时,相应的本地用户身份必须被去激活并且对该身份的服务访问必须被关闭。针对临时身份的从创建到去激活的整个生命周期通常限制为不多于一天。
针对合作方公司的移动用户的临时数字身份的人工创建和维持以及关联的服务访问激活和去激活趋于成为十分低效且成本高的过程。如果当移动用户不再在现场时临时身份没有被去激活和/或服务访问权限没有被移除,则它也可以打开公司网络中的重要的安全漏洞。用户移动性对于实现服务的使用而言特别重要,通过通信网络为通常称作网络服务的所述服务分配信息。“Web服务”是网络服务的例子,并且代表用于通过公共互联网和许多专用网络在不同应用之间自动交换信息的下一代技术。Web服务提供了用于构建基于web的分布式应用的框架,并且可以提供高效的自动化机器对机器通信。
从技术的角度来看,web服务是网络可访问功能,其可以利用标准互联网协议在标准接口上被访问,所述协议例如是超文本传输协议(HTTP)、可扩展标记语言(XML)、简单对象访问协议(SOAP)等。
Web服务技术的真正能力在于其简单性。核心技术仅解决了通用语言和通信问题而并未直接解决应用集成的繁重任务。Web服务可以被看作是用于互连多个异类非置信系统的复杂的机器对机器远程过程调用(RPC)技术。Web服务通过针对数据转换/透明性利用XML技术且针对消息传输利用互联网标准(例如HTTP和简单邮件传输协议(SMTP)),来利用许多新的技术。
在web服务的开发和标准化后面的主要动力之一是通过提供不同应用之间的松耦合来促进无缝的机器对机器应用级通信的能力。这种应用的松耦合使得不同服务器上的应用能够互操作而无需在它们之间的静态的、固定的接口。使用十分不同的技术的应用可以利用标准web服务协议来互操作。
如上文所述,当前不存在允许在合作方外联网的站点或通信网络的其他集合之中的用户移动性的可用产品。因此,存在对于改进的用户移动性技术的需求。
发明内容
根据本发明的实施例,提供了对合作方公司的现场员工的自动认证而无需任何人工的临时身份提供。
根据本发明的一个方面,提供了一种方法,该方法包括:在其中提供网络服务的第一安全通信网络接收与移动用户对服务的本地访问相关联的服务访问信息,所述移动用户与独立受控的第二安全通信网络相关联但是从所述第一通信网络本地访问服务;以及,请求所述第二通信网络认证该移动用户。该方法也可以包括基于所述第二通信网络的认证结果来控制移动用户对服务的访问。
在一些实施例中,所述方法包括从所述第二通信网络接收要由所述第一通信网络中的移动用户使用的自动生成的数字身份,在这种情况下,可以执行以下进一步的操作:在所述第一通信网络的移动用户数据库中存储身份以及将该身份转发给所述移动用户。
所述服务访问信息可以包括用户认证请求。
服务访问请求可以包含于服务访问信息中。所述方法因而可以包括确定所述移动用户是否已经事先被所述第二通信网络认证,并且如果所述移动用户还没有事先被所述第二通信网络认证则请求所述第二通信网络认证所述移动用户。
控制访问的操作可以包括根据访问策略许可对服务的访问。
接收可以包括在所述第一通信网络的web服务节点接收服务访问信息。
如果将转换施加于与移动用户从第二通信网络对服务的外部访问相关联的服务访问信息从而在该移动用户与提供服务的应用服务器之间传送,则所述方法还可以包括将转换施加于所接收的服务访问信息。
在一些实施例中,所述方法包括跟踪所述第一通信网络中的移动用户的活动,并且报告所跟踪的活动给所述第二通信网络。
这种方法可以例如体现成存储于机器可读介质上的指令。
本发明的另一方面提供了一种装置,包括:用于接收与移动用户对于第一安全通信网络中提供的网络服务的本地访问相关联的服务访问信息的接口,所述移动用户关联于独立受控的第二安全通信网络但是从所述第一通信网络本地访问服务;以及,有效耦合到所述接口并且用于请求所述第二通信网络认证所述移动用户的认证模块。
所述装置可以包括访问模块,该模块有效耦合到所述认证模块并且用于基于该第二通信网络的认证结果来控制所述移动用户对服务的访问。
如果所述访问模块还用于跟踪所述第一通信网络中的移动用户的活动,则所述装置还可以包括有效耦合到所述访问模块以使得所跟踪的活动能够被报告给所述第二通信网络的接口。
在一些实施例中,所述装置包括有效耦合到所述访问模块的、用于存储服务访问策略的存储器,在这种情况下,所述访问模块可以进一步用于确定所述存储器是否存储了控制所述移动用户对服务的访问所依据的策略,并且如果所述存储器存储了控制所述移动用户对服务的访问所依据的策略则通过基于存储器中存储的策略许可或拒绝对服务的访问来控制移动用户对服务的访问。
所述认证模块还可以用于从所述第二通信网络接收要由所述第一通信网络中的移动用户使用的自动生成的数字身份。
所述装置还可以包括用于在移动用户数据库中存储身份的存储器,以及能够将身份转发给移动用户的接口。
如果所述服务访问信息包括服务访问请求,则所述认证模块还可以用于确定所述移动用户是否已经事先被所述第二通信网络认证,并且如果该移动用户还未被所述第二通信网络事先认证则请求该第二通信网络认证该移动用户。用于管理web服务应用使用的web服务节点包括这种装置。Web服务节点可以包括实现从所述第二通信网络远程使用服务的网关,并且被配置成执行与从所述第二通信网络远程使用服务有关的信息的转换并执行与移动用户本地访问服务有关的信息的转换。
根据本发明的另一方面,提供了一种方法,包括:从其中提供服务的第一安全通信网络接收请求从而请求与移动用户关联的独立受控的第二安全通信网络认证该移动用户以从第一通信网络本地访问服务;根据在所述第二通信网络的用户身份记录认证该移动用户;以及,向所述第一通信网络提供关于认证结果的指示。
所述方法还包括如果所述移动用户认证成功则在所述第二通信网络创建要由所述第一通信网络中的移动用户使用的数字用户身份。在这种情况下,提供可以包括提供用户身份给所述第一通信网络。
机器可读介质可以存储指令,所述指令当被执行时实现所述方法。
根据本发明的另一方面的装置包括:接口,其用于在第一安全通信网络与独立受控的第二安全通信网络之间交换信息;和认证模块,其有效耦合到所述接口并且用于通过该接口接收来自所述第一通信网络的请求,从而认证关联于所述第二通信网络的移动用户以从所述第一通信网络对该第一通信网络中提供的服务的本地访问,根据所述第二通信网络的用户身份记录认证移动用户,以及将关于认证结果的指示通过所述接口提供给所述第一通信网络。
所述认证模块还可以被配置成如果成功认证了移动用户则创建要由所述第一通信网中的移动用户使用的数字用户身份,并且通过将该用户身份提供给所述第一通信网络来提供关于认证结果的指示。
根据本发明的又一方面,一种存储于机器可读介质上的数据结构包括:可从第一安全通信网络本地访问该第一安全通信网络中提供的服务的移动用户的标识符;和独立受控的第二安全通信网络的标识符,所述第二安全通信网络与所述移动用户相关联并且认证所述移动用户对服务的本地访问。
所述数据结构还可以包括访问记录,该记录提供了关于所述移动用户被所述第二通信网络认证后该移动用户对服务的本地访问的指示。
通过阅读下面的描述,本发明实施例的其他方面和特征对于本领域技术人员而言将变得显而易见。
附图说明
现在将参考附图详细描述本发明实施例的实例。
图1是通信系统的框图;
图2是根据本发明实施例的装置的框图;
图3是根据本发明另一个实施例的方法的流程图;
图4是可用于本发明实施例的数据结构的框图。
具体实施方式
图1是通信系统的框图,其中可以实现本发明的实施例。通信系统10包括通信网络12,企业系统22、24、应用系统26和远程用户系统设施28经由各自的通信链路而有效耦合到所述通信网络。
企业系统22包括一个或多个应用服务器32、有效耦合到应用服务器的应用平台34、有效耦合到应用平台和通信网络12的网关36、有效耦合到应用平台和网关的一个或多个用户系统38、有效耦合到应用平台、用户系统和网关的身份系统40、以及有效耦合到应用平台和网关的应用管理器42。也可以部署其他部件或系统,例如位于网关36一侧的、用以提供隔离区(DMZ)的防火墙。企业系统24可以具有相似的结构。
在应用系统26中,应用平台44有效耦合到通信网络12和一个或多个应用服务器46。远程用户系统设施28包括有效耦合到一个或多个用户系统49的应用委托代理48。
尽管许多企业系统、应用系统、远程用户系统设施和可能的其他类型的系统可以在通信系统中被提供,然而在图1中仅示出了某些类型的系统的例子以避免使得图过于复杂。为了简单,图1也省略了通信网络12,以及企业系统24的内部细节,例如边界或接入设备和核心交换/路由部件。通信网络12的类型、结构和操作可以随本发明实施例的部署而变化。本发明的其他实施例也可以包括企业系统、应用系统和/或远程用户系统设施,所述远程用户系统设施包括比所显示的更少、更多或不同的、具有相似或不同互连的部件。
因此,应当认识到,图1的通信系统10以及其他附图的内容仅是为了说明,本发明决不限于图中明确示出的以及这里描述的特定示例性实施例。
本发明所属领域的技术人员熟悉许多不同类型的通信网络,包括例如应用层网络的覆盖网络和更传统的基础设施。本发明不限于任何特定类型的通信网络。在一个实施例中,通信网络12是互联网或其它公共网络。
系统22、24、26、28访问通信网络12所采用的许多访问技术实例是本领域技术人员所熟知的,因此没有在图1中分别显示。
首先考虑企业系统22,应用服务器32支持可提供至少由本地用户系统38使用的功能(说明性地是服务)。如果部署了多个应用服务器32,则每个服务器支持各自的功能或服务集合,其可以覆盖由其他服务器支持的服务,也可以不覆盖。
在一些实施例中,这些功能也可以由外部用户系统使用,例如企业系统24中的用户系统,其中企业系统22、24的拥有者或操作者具有允许它们的用户访问的系统间协议,和/或远程用户系统设施28的用户系统49。
这里对使用应用的参考旨在传达任何这种功能的概念。通常,应用服务器32执行软件应用来提供这些功能。在本说明书上下文中,例如web服务的服务是暴露给用户系统的应用功能的一个例子。任何对应用、功能和服务的参考应当相应地来解释。
应用服务器32可以包括一个或多个处理器、一个或多个存储器设备和用于与用户系统交换应用事务信息的接口,所述信息例如是服务请求消息和相应的响应。应用服务器32中的存储器设备可以用于存储操作系统软件、应用软件等,以由应用服务器处理器使用。例如22的企业系统通常实现为网络,在这种情况下网络接口使得应用服务器32能够与用户系统38以及可能地企业系统的其他部件通信。在另一种可能的实现中,应用服务器32包括用于与不同企业系统部件通信的分别的接口。
用户系统38可以类似地包括一个或多个处理器、一个或多个存储器设备和某种用于与应用服务器32以及可能地企业系统22的其他部件通信的接口。用于与应用服务器32相连的操作系统软件、客户端软件和/或其他类型的信息可以被存储在用户系统存储设备中。
本领域技术人员熟悉提供和/或使用网络应用的许多不同类型的系统。本发明的实施例主要涉及监视对网络应用的限制访问的使用,而不是如何实际上支持这些应用,因此这里仅就说明本发明各方面所必需的程度而简要描述了应用服务器32、用户系统38和它们的操作。
身份系统40代表通常在例如公司网络的企业系统中提供的另一部件,并且为本领域技术人员所熟知。对应用服务器32所支持的服务或其他功能的访问在许多情况下必须限于特定的用户集合。可以通过与例如轻量级目录访问协议(LDAP)目录或其它类型的用户数据库进行交互来认证用户和/或用户系统的身份系统40提供了可用于授权或拒绝对网络服务的访问的数字身份。
在结构方面,应用平台34包括与应用服务器32的用户系统接口(说明性地是应用编程接口(API))相容的应用服务器接口、与用户系统38的应用服务器接口相容的一个或多个接口、和用于处理经由这些接口接收和/或发送的消息或其它信息的部件。如下文进一步详细描述的,外部用户系统能够经由网关36访问应用服务器32,在这种情况下应用平台34的用户系统接口也可以使得所述应用平台能够与网关36通信。然而,在一些实施例中,可以为此而提供分离的网关接口。
网关36也包括与企业系统22的其他部件的接口相容的一个或多个接口、用于使得通信信号能够通过通信网络12而被发送和/或被接收的一个或多个外部接口、和用于处理经由接口接收和/或发送的信号的中间部件。
应用管理器42代表本身不能当信息在应用服务器32与本地用户系统38或外部用户系统之间被传送时执行实时信息处理的控制或监视元件。应用管理器42可以经由相容的接口与应用平台34和网关36通信以执行这样的功能:说明性地通过将访问策略下载至平台和/或网关以进行执行来配置应用平台和/或网关、访问用于跟踪移动用户对应用的使用的信息,等等。
应用平台34、网关36和应用管理器42的内部组件可以用硬件、软件、固件或其某种组合来实现。如下面参考图2描述的装置提供了可以在应用平台34或网关36中提供的子系统的说明性实例。
在针对企业网络的所谓面向服务的架构(SOA)的传统部署中,SOA部件单独地被部署并且被集成在每个应用服务器上。在例如企业系统22中发布用在网络上的服务需要用于发现和管理服务提供的服务注册。尽管web服务标准解决了对限制授权用户访问服务的需求,然而web服务策略服务器必须存储和提供这个信息。执行这些策略也会是一种挑战,因为软件销售商可能需要实质上改变应用和服务器以适配于企业系统。
这都代表了企业的重要计划,并且可能具有相对较长的实现周期。此外,实现这个计划所需要的技术是非常专业的,这可能使得SOA实现变得成本较高。
当例如在企业系统22、24之间向合作方扩展web服务或其他类型的应用时,对于部署在应用服务器上的SOA基础设施而言存在更大的挑战。例如,部署于合作方站点的应用可能使用不能自由地共享用户身份信息的不同安全机制,这需要用户的安全令牌的转换。将安全令牌转换或其他安全功能的负担施加于每个应用服务器上会导致成本高且低效。
数据私密性要求也非常困难,甚至不能够在每个应用服务器执行,因为应用服务器本身无法获知用户系统,或更一般地其服务的消费者,是否是在其企业系统的外部。
XML指定的拒绝服务(XDoS)攻击以及可能地其他威胁,在基于应用服务器的SOA实现中特别成问题。例如,Web服务对于XDoS攻击是开放的,这无法在应用服务器上被有效地处理。
为了通过松散耦合应用而实现应用互操作性的、基于服务器的SOA至web服务模型的变迁需要说明性地以SOAP报头和XML消息的形式的消息传送以及为了管理这些消息的附加的处理需求。这个附加的开销消耗了网络带宽并且会导致对应用服务器硬件方面的大量新的需求。
用于部署SOA基础设施的可选模型是将SOA组件集成到企业网络单元中,如图1所示。应用平台34、网关36和应用管理器42代表企业系统22中的SOA组件。
从应用服务器32分离地部署SOA基础设施可以提供几个好处:SOA基础设施是应用不可知的(agnostic),应用需要最小修改,SOA基础设施是端到端集成解决方案,应用服务器处理开销被最小化,以及网络带宽可以被优化。
利用基于企业系统/网络的SOA部署,应用互操作所需要的任何消息转换可以根据企业系统内的策略集合来被执行,而不是由应用本身执行。这能够与应用无关地定义转换,从而消除了对应用销售商实现的依赖。
适配消息格式和内容所需要的业务逻辑因而由企业提供,而不是由应用提供,这最小化了应用修改。例如,web服务消息可以在企业网络内被适配以实现应用互操作性。也许由于合并、获取或与新搭档的集成的需要而出现新的互操作性需求时,不需要应用修改。消息转换的新策略可以被定义成规定新的互操作性。
部署成集成企业网络解决方案的SOA基础设施可以提供单个监视、控制和综合报告点,说明性地是应用管理器42。这对于实现适当的公司管理、持续的公司改进、以及证实符合涉及例如数据私密性和网络安全的规则的能力来说是重要的。
应用互操作性的应用服务器处理需求出于两个原因而可以被大大减小:应用服务器卸载(offload)和缩减数目的所需转换。转换可以例如在应用平台34一次完成,并且然后被转发至多个目的地,而不是执行其自己的转换的每个应用。
附加消息业务所消耗的网络带宽可以通过基于检查消息SOAP报头、XML标签或其它消息内容将分组路由至应用服务器32而被减小。路由对于应用背景是敏感的,而不是例如基于静态IP地址。
如果应用服务器功能被扩展至合作方企业系统,部署成企业网络基础设施的SOA基础设施可以提供许多其他优点。安全令牌的转换可以在双方网络之间的分界点被一次完成,所述分界点说明性地是用于从外部访问应用服务器32的网关36,这提供了安全策略的单个执行点。数据私密性也可以在数据离开安全域的点被执行,例如也是在网关36。这带来了效率并且降低了成本。此外,针对公司web服务的拒绝服务攻击可以在网关36防御,即公司网络边缘,其可能是处理这种问题最安全的地方。
应用平台34提供SOA基础设施来集成传统上作为独立应用运行的应用,并且可以实现这样的能力:控制和监视由认证用户发起的任何活动从而实现综合审计跟踪的生成、消息和文档格式的转换、管理应用的生命周期(包括web服务的分段推广和在发生不期望行为的情况下回退到之前的版本)、以及监视应用/服务性能以确保应用/服务满足内部公司需求。
应用平台34的示例性功能的这个列举,像这里提及的其他功能示例一样,决不是限制性的或排他性的。许多功能可以独立实现,每个实施例不必提供所有功能,而其他功能对本领域技术人员也是显而易见的。
应用平台34的优点可以包括通过最少地改变现有应用而实现缩减的应用集成成本,如上所述,确保对公司应用的访问符合管理规则,针对雇员访问web服务的中央监视和控制点,以及通过综合报告而实现的持续的公司改进。
网关36通过通信网络12有效地将企业系统22所提供的内联网SOA扩展成实现与客户及合作方的无缝集成而不会危及安全或私密的外联网。网关36的功能还可以包括应用至合作方外联网和分支机构位置的所有扩展,这为合作方访问应用提供了无缝移动性、确保了合作方对公司应用的访问符合管理规则、以及保持了公司身份的私密性而不会造成可追溯性。
在提供从关联于企业系统22的任何合作方站点至应用服务器32的移动访问时,网关36可以实现合作方制度的安全标识和不同安全域之间的身份接受。用于与外部合作方站点关联的用户系统的应用消息和数据转换也可以由网关36提供,同时确保所有数据关于公司策略而保持私密性。所有应用访问的综合审计跟踪可以由网关收集并且提供给外部合作方企业系统,从而例如证实与规则相符。
应用管理器42提供用于监视和控制应用平台34、网关36和企业系统22中的任何其他平台和网关(未显示)的中心点。为了确保改进的公司管理和/或符合管理规则而实现的针对所有应用的总体上一致的策略也可以在一些实施例中通过应用管理器42来被建立并且被分配给应用平台34和网关36以进行执行。中央应用管理器42也可以规定总体上一致的应用改变管理。
如上文所述,企业系统24可以基本上类似于企业系统22。
企业系统22同时包括支持应用的应用服务器32和可以使用这些应用的一个或多个用户系统38。然而,应当认识到,应用服务器和用户系统不必共同定位。例如,应用系统26包括一个或多个应用服务器46,而不包括本地用户系统。尽管仅示出了应用系统26中的一个应用平台44,然而应用系统的某些实现也可以包括网关。尽管所示应用系统26可能适合于例如与作为企业系统22的主数据中心关联的远程数据中心,然而托管应用以由外部用户系统使用的独立的或“非附属的”应用系统也可以包括网关用以处理例如外部用户的认证。
应用系统26中的应用平台44可以与企业系统22的应用管理器42交互,或更一般地与其附属企业系统的应用管理器交互。在独立应用系统的情况下,本地应用管理器可以被提供。在一些实现中,外部服务控制器与多个不同域中的SOA基础设施组件交互。例如,有效耦合到通信网络12的外部服务控制器可以配置网关36和企业系统24中的网关以收集和交换应用性能统计。
图1示出了仅一个用户的部署,即远程用户系统设施28。应用委托代理48使得例如合作方或分支机构位置处的用户系统49能够使用由远程应用服务器提供的应用。在一个实施例中,应用委托代理48是缩减大小的网关36。应用委托代理48像网关36那样可以在用企业系统22认证用户系统49期间保持公司身份的私密性而不会造成可追溯性,并且利用例如隧道化技术而支持通过通信网络12的安全通信,而不必能够认证外部用户,因为远程用户系统设施28并没有托管可由外部用户系统使用的应用。
在操作中,希望利用由应用服务器32提供的应用的用户系统38首先被身份系统40认证。本领域技术人员熟悉多种用于该目的的安全机制,例如用户名/密码认证。如果对应用服务器32的远程访问被支持,则用户认证可以由网关36可能地通过与外部身份系统交互来处理。当与合作方企业系统或站点关联的用户系统本地连接到企业系统22并且希望访问应用服务器32时,网关36也可以进行认证。
当用户已经被认证时,可以在用户系统和应用服务器32之间交换消息或其他格式的信息。用户可以被许可在进行单个成功认证之后访问多个应用。
如上文指出的,对于在现场工作且需要访问本地服务的非员工的临时用户身份的创建和维持对于许多公司的网络和应用管理员而言是一项巨大的挑战。这些临时用户通常是合作方公司的员工,例如承包人、顾问、审计员等,并且可能仅当他们物理地在现场时才要求访问一组受限的应用或服务。满足这些要求对于管理员而言不仅意味着是大量的工作,也会在其安全模型中打开漏洞。
术语“移动用户”在这里用于描述这样的用户:尝试通过物理地连接到网络(说明性地是公司网络)的用户系统来接入安全网络,但是是本公司与其事先达成关于共享网络服务的协议的商业伙伴的员工。用户是移动的是因为他们从其归属站点处物理地迁移。这并不涉及他们的合作方公司内的网络连接的特性,所述网络连接可以是固定的或无线的。参考图1,假设企业系统22、24是在通过其各自网关实现的合作方外联网中彼此交互的合作方站点,关联于企业系统24的移动用户可以在执行咨询工作时本地连接到企业系统22。在这种情况下,用户是其归属站点是企业系统24但是物理地在现场且本地连接到企业系统22的移动用户。
合作方在这个例子中具有建立的合作方外联网连接,其中网关36被部署在每个企业系统22、24中并且被配置成彼此相连。这个合作方外联网被用来使得每个公司的员工能够访问由另一公司提供的服务,其服从于在每个网关所执行的策略。本发明的实施例通过说明性地在网关提供关于无缝但安全的用户移动性的基于企业网络的支持、而将这个服务访问模型进一步扩展至合作方公司的移动用户。
如下文所述,用于本地连接的移动用户的认证机制可能包括移动用户向接入设备或装置发出认证请求,这说明性地在访问站点的本地网关,其雇主例如被标识成其身份“域”。本地网关因而可以自动地将请求转发至合适的合作方网关(如果可用),并且监视响应。如果远程合作方网关指示肯定的认证,则移动用户可以可能地基于访问策略而被许可或拒绝访问一个或多个本地服务,所述访问策略关联于特定的移动用户、关联的合作方公司、一天中的时间或多个其他准则中的任一个或全部。
移动用户因而可以被许可访问他们需要的服务而无需本地网络和应用管理员的任何手工动作。然而应当认识到,除访问控制之外的操作或任务也可以取决于所请求的远程认证的结果。
图2是根据本发明实施例的装置的框图。装置50包括用户系统接口52、合作方网络接口54、有效耦合到用户系统接口和合作方网络接口的移动用户认证模块56、有效耦合到移动用户认证模块的合作方域数据库58、以及有效耦合到移动用户认证模块、移动用户数据库62、访问策略数据库64及一个或多个应用服务器接口66的移动用户访问模块60。
如上文参考图1所述,附图的内容仅用于说明。其中实现装置50的设备可以包括例如未示出的附加部件。这些部件可以根据实现装置50的点或设备/系统而采取各种形式。通常,装置的其他实施例可以包括比明确显示的更多、更少或不同的、具有类似或不同的互连的部件。
图2的部件的有效耦合所经由的连接类型在某种程度上来说可以是实现相关的。电子设备通常使用各种类型的物理连线和有线连接。在例如配合软件功能的情况下,有效耦合可以经由变量、注册或存储器公共访问区域,并且因此包括逻辑耦合。
硬件、软件、固件或其组合可以被用来实现装置50的部件。处理单元可能是适用的,例如微处理器、微控制器、可编程逻辑设备(PLD)、现场可编程门阵列(FPGA)、专用集成电路、以及其他类型的“智能”集成电路。
装置50可以通过接口52、54、66与本地通信网络和例如合作方网络的外部网络的其他部件交互。这些接口可以是相同类型的或不同类型的,或在同一通信介质被用于与所有其他部件的信息传送的情况下甚至是同一接口。然而,在许多实现中,有可能用户系统接口52至少不同于应用服务器接口66,以及为不同的应用服务器提供多个不同类型的应用服务器接口。合作方网络接口54可以是另一个不同的接口。
用户系统接口52使得装置50能够与用户系统交换应用访问信息,例如认证请求和服务消息。每个应用服务器接口66类似地使得装置50能够与一个或多个应用服务器的各个集合交换应用访问信息。例如当装置50被实现在通过其而处理所有应用使用的应用平台上或者被实现在通过其处理从合作方用户系统对应用的使用的网关上时,装置50的这种结构是合适的,因为这些部件处理企业系统的所有应用访问信息。然而,应当认识到,其他实现也是可行的。移动用户访问装置可以参与认证移动用户并许可对本地服务的访问,但是不必主动地参与例如应用服务器与用户系统之间的服务业务传送。
通过合作方网络接口54,装置50可以与远程合作方企业系统交换信息。例如,在图1的系统中,企业系统网关之间的合作方间交换可能涉及通过通信网络12和每个网关处的合适的网络接口来传送信息。根据本发明的实施例,合作方企业系统中的网关至少在移动用户认证期间交换信息。
接口52、54、56的结构和操作至少在某种程度上取决于信息传送中使用的通信介质和协议。本领域技术人员熟悉多种接口,其中装置50可经由所述接口接收和/或发送应用访问信息。这些接口也可以按照装置50在企业系统中被实现的位置的变化而变化。
数据库58、62、64中的每一个都可以在一个或多个存储设备中被提供。固态存储设备在电子设备中是常见的,并且每个数据库可以利用一个或多个这种类型的存储设备而被实现。然而,其他类型的存储设备,包括利用活动的或可拆卸的存储介质的存储设备,也可以被用来存储数据库58、62、64。
合作方域数据库58存储与合作方组织相关联的信息。合作方信息可以包括例如合作方名称、网关地址、和/或关于对于每个合作方是否存在移动性协议的指示。移动用户数据库62存储移动用户身份信息,例如在认证过程期间自动被建立以使得认证移动用户能够访问本地服务的临时用户身份。策略被存储在访问策略数据库64中,所述策略例如是服务访问限制、信息转换/格式化要求、和/或监视要作为移动用户在本地网络上的活动的记录而被存储的信息。用户指定的策略、应用/服务指定的策略、合作方指定的策略和本地公司范围内的策略中的任一个或全部可以由本地管理员来建立以控制移动用户可以在本地网络中所做的事。
如上所述,装置50的部件可以利用硬件、软件和/或固件实现。因此这里仅就其功能而描述这些部件。基于功能描述,本领域技术人员能够以各种方式中的任一种来实现根据本发明实施例的服务监视技术。
在操作中,移动用户认证模块56和会话管理模块60促进了无缝用户移动性,如下文详细描述的那样,而无须手工提供临时身份或服务访问策略。整个移动用户认证和服务访问过程可以被自动化,以使得它对于网络和应用管理员而言是无缝的并且不会影响到安全性或对被管理资源的控制。
通过与移动用户关联的外部网络对该移动用户的自动认证提供了一种安全的方法来用它们自己的网络或归属站点中的身份服务器认证移动用户。例如,基于合作方之间的现有服务互操作性协议和策略可以许可移动用户临时访问服务。如果通过位于应用服务器和移动用户之间的服务路径上的网关或其它设备授权服务访问,则也可以提供完整的控制和监视。本地网络中的移动用户的认证也可以按照本地网络管理员所设定的策略而被自动地去激活,这可能地利用例如网关中的审计日志中保留的完整的移动用户访问可追溯性来实现。
实现无缝用户移动性所涉及的功能可能包括移动用户认证,并且在一些实施例中涉及访问控制。在装置50中,这些功能可以由移动用户认证模块56和移动用户访问模块60来支持。本发明的其他实施例可以提供不同的细分以及可能地在更多、更少或不同部件之间的其他功能。
现在将同时参考图1和2描述本发明的实施例。假设网关36和企业系统24的相应网关被用来建立具有在网关被执行的策略和服务互操作性协议的合作方外联网。通常在企业系统24中但现在在企业系统22中的用户是移动用户。尽管企业系统22的“归属”用户在本地身份系统40中被提供,然而来自企业系统24的移动用户尽管本地连接到企业系统22却不是这样。然而,企业系统24的身份系统知道该移动用户。移动用户认证模块56基于现有合作方外联网而在企业系统22中允许移动用户被认证并且可能地被许可访问服务,而无须请求企业系统22、24中任一个的管理员执行任何附加动作。
通过用户系统接口52,装置50,特别是移动用户认证模块56,从移动用户接收关于认证的请求。这种请求可以采取关于认证的明确请求的形式,其包括关于与请求的移动用户关联的合作方的指示。在另一个可能的实施例中,认证请求在服务访问信息中是隐含的,所述服务访问信息例如是访问请求或移动用户为访问本地应用服务器32所进行的其他尝试。例如,应用平台34上的访问控制器可以检测到这种访问请求关联于移动用户,并且将访问请求或可能地自动生成的移动用户认证请求提交给移动用户认证模块56。对访问请求的处理因而可以被中止或至少被暂停,这搁置了移动用户的认证。
这个隐式认证请求的例子也说明了移动用户认证模块56从“重新定向”移动用户认证请求、访问请求或其它访问事务的另一企业系统部件或设备间接接收认证请求的可能性。用户系统接口52因而使得装置50能够接收发起移动用户认证的某种信息,但是这种信息不必直接从用户系统被接收。尽管限制移动用户本地连接到企业网络中的预定访问点(说明性地是网关36)从而避免对移动用户事务的重新定向处理是最实用的,可能期望企业系统的例如应用平台34中的重新定向功能以提供关于移动用户在何处可以本地连接到企业系统的灵活性。
移动用户认证模块56访问合作方域数据库58以确定是否存在现有的与移动用户归属站点的合作方外联网关系。这个确定可以通过基于例如认证请求中提供的移动用户标识符和/或合作方标识符搜索合作方域数据库58来实现。如果不存在合作方移动性关系,则移动用户被拒绝访问本地网络。请求的记录可以被存储在审计跟踪或活动跟踪数据库(未显示)中以随后由管理员查看和/或分析。
如果有现有的与移动用户归属站点的用户移动性关系,则移动用户认证模块56可以代表移动用户经由合作方网络接口54发送认证请求至归属站点。移动用户认证模块56或例如网关的另一部件可以首先确认与远程合作方站点的连接或在一些实施例中是与该站点的网关的连接是可用的。可以在连接不可用时执行各种差错处理功能。
在移动用户归属站点,具有与装置50基本相似的结构的装置可以被提供以处理远程认证。通过其自己的合作方网络接口54,合作方站点移动用户认证模块56接收与移动用户有关的远程认证请求,所述模块实际上可以是合作方站点身份系统或者结合该身份系统而操作。例如,利用其自己的用户数据库和用户移动性策略,合作方站点认证模块尝试认证该移动用户。
如果移动用户提供的认证信息与本地存储在归属站点的认证信息不匹配,则认证可能失败。认证失败也可以例如是由于超时、连接故障或未被归属站点管理员授权移动的用户而造成的。安全攻击或破坏可以是认证失败的另一个原因。例如,当接收到远程认证请求时,如果移动用户登录到归属站点,攻击者试图作为该移动用户本地访问服务可以被移动用户的归属站点检测到。
在认证失败的情况下,归属站点认证模块或身份系统可以返回否定认证答复给请求的站点,或者如果发起远程认证的移动用户认证模块56能够在预定时期内缺乏来自归属站点的答复的情况下宣告认证失败则根本不答复。
如果移动用户的认证成功,则归属站点移动用户认证模块可以创建并本地存储移动用户身份。这个移动用户身份和肯定的认证答复被返回给移动用户所连接的请求的站点。在该请求的站点,移动用户认证模块56进行检查以确认该移动用户成功地被它们的归属站点认证,并且移动用户身份被存储在移动用户数据库62中并且也通过用户系统接口52而被转发给移动用户。
在图2所示的装置中,移动用户认证模块56经由接口54从合作方站点接收认证答复和移动用户身份,并且将该身份传递给移动用户访问模块60以存储在移动用户数据库62中。如果移动用户认证模块56也有效耦合到移动用户数据库62,则它可以直接存储该身份至数据库。如图2的虚线所示,移动用户访问模块60也可以有效耦合到合作方网络接口54,在这种情况下,它可以从接口接收所述身份。因此,如上文所述,部件之间的互连可以与图2所示的不同。
应当认识到,肯定的认证答复和移动身份不必是分离的且不同的。来自合作方站点的、包括移动用户身份的答复可以例如推断出该移动用户已经被认证。
本发明的实施例也可以使用或不使用动态生成的移动用户身份。然而,这种身份在不与合作方域共享归属站点用户名和密码的情况下可能是有用的。尽管移动用户可以向移动用户认证模块56提供归属站点用户名和密码以传送回归属站点,然而这个机制有效地泄漏了移动用户的用户名和密码。尽管允许用户移动性的可信合作方站点可能没有表现出严重的安全风险,然而至少网络管理员通常并不希望在其网络外部分发用户名、密码和其他认证信息。
由移动用户使用以在本地连接到远程合作方站点时访问资源的移动用户身份的生成避免了归属站点认证信息的传播。在响应于其而发起归属站点认证的初始认证请求或访问事务中,移动用户可以提供个人名称或其它非机密信息,本地移动用户认证模块56或至少是归属站点身份系统可以基于所述个人名称或其它非机密信息来识别移动用户。在需要附加信息来由归属站点认证移动用户的情况下,移动用户认证模块56可以在移动用户系统和归属站点之间建立安全隧道或其他安全连接。在这种情况下,归属站点认证信息可以在移动用户系统和归属站点之间被传送而不会被移动用户认证模块56或访问站点的其他部件泄漏。
如上文所述,存储在归属站点的移动用户身份可以被映射到移动用户以例如进行历史的监视或跟踪,但是不会危及归属站点认证信息的机密性。针对移动用户身份,移动用户活动报告可以如下文所述那样由移动用户访问模块60从访问站点提供给归属站点,并且然后由归属站点的用户活动监视系统将其关联于正确的移动用户。
在上述认证实例中,移动用户被认证而无需访问站点的网络或应用管理员执行任何手工动作。认证是基于合作方外联网的现有安全模型的。
成功认证之后,移动用户也能够使用访问站点的本地服务。对移动用户访问服务的认证在装置50中由移动用户访问模块60来处理。
移动用户访问模块60可以从认证移动用户接收服务访问请求,该请求包括先前由移动用户在认证期间获得的移动用户身份。这种请求可以通过用户系统接口52被接收,并且不需要由移动用户认证模块56处理,因为在这个实例中已经完成认证。
移动用户数据库62中的信息由移动用户访问模块60来访问,说明性地通过搜索移动用户身份,从而认证移动用户。移动用户访问模块60也可以通过识别访问策略数据库64中的这种策略来确定任何要应用于访问请求的访问策略。这些策略可以包括全局访问站点策略和/或移动用户指定的策略、移动用户归属站点指定的策略和/或服务指定的策略中的任一个或全部。
网络管理员可以设定例如针对承包公司的策略,其使得来自该公司的移动用户能够例如仅访问所需要的服务或应用。来自承包公司的移动用户一旦被认证就被自动许可访问所请求的服务或应用。因此,移动用户对服务的访问可以由移动用户访问模块60按照那些服务所位于的本地站点的管理员所建立的策略来控制。策略可以例如通过访问站点的应用管理器基于合作方用户移动性协议来被建立。
所接收的请求如果符合应用访问策略则被转发给通过应用服务器接口66来支持服务的应用服务器。从应用服务器去往移动用户的服务访问信息可以以基本上相似的方式被处理,所述信息例如是服务事务中所涉及的请求和响应。
利用上述技术,认证移动用户可以被许可访问他们需要的服务而无须网络和应用管理员执行任何手工动作。合作方外联网服务访问模型由此可以被无缝地扩展至合作方公司的移动用户。
存储于访问策略数据库64中的访问策略可以指定其他访问相关的限制或需求。访问策略可以指定移动用户可以访问本地服务的时间长短或必须利用归属站点重新认证移动用户之前可以访问的不同本地服务或应用的数目。
监视准则也可以在访问策略中被指定。例如,当在移动用户和应用服务器之间传送服务消息时,策略可以指示移动用户访问模块60记录移动用户的所有访问活动。实际的服务消息或转换,例如服务消息的无用信息(hash)或数字签名可以被存储在例如会话数据库(未显示)中。活动记录报告也可以在访问策略中被指定。移动用户访问模块60可以将活动记录实时报告回归属站点,所述报告可以由用户自发地或由管理员或移动用户访问模块60强制性地以周期间隔进行或当会话终止时进行,例如当移动用户被要求重新认证或超出访问时间或活动限制时。活动记录报告对于跟踪移动用户活动、证明符合规则、引导审计等而言是有用的。
活动监视和报告可以以上述相关美国临时专利申请中公开的方式来提供,所述申请的标题是“Communication Network Application ActivityMonitoring and Control”。
企业系统可以使得位于合作方站点的外部用户系统能够访问其服务。在这种情况下,应用平台34和/或网关36(图1)可以针对外部用户系统执行任何必要的数据转换。由于移动用户是重新定位的外部用户,在向移动用户归属站点传送数据过程中已经被执行的转换仍然是必需的。因此,在一些实施例中限制移动用户访问企业系统中位于外部转换功能输出侧的访问点或通过这种功能重新定向移动用户服务相关的信息可能是有用的。移动用户访问模块60可以被配置成将所有服务业务传递给例如转换模块或引擎,以确保服务消息和其他服务相关的信息对于移动用户系统而言是以适当的形式的。
为此,移动用户系统在企业系统22上可以仅通过例如网关36(图1)连接,以使得服务相关的业务可以通过移动用户所需的正确转换而被处理,所述转换通常由网关实施。即使移动用户可以经由访问站点的内部接口连接到该站点,移动用户也仍然被看作是通过外部连接提供的访问。
关于外部转换是否被施加于服务访问信息的确定可以例如基于包含于服务访问信息中的用户身份。这种确定也可以取决于接收服务访问信息所经由的物理接口。例如,移动用户可以被限制通过网关或应用平台的特定接口访问本地服务,在这种情况下将转换施加于通过这些接口被传送的服务访问信息。
上面主要参考图1的通信系统10和图2的装置50描述了本发明的实施例。图3是根据本发明另一实施例的方法的流程图。
方法70说明了在认证移动用户和控制该移动用户对本地服务的访问的过程中所牵涉的操作。
在72,接收请求或关联于移动用户的其他应用访问信息,例如认证请求消息。例如,认证请求消息可以从移动用户系统或从能够重新定向移动用户认证请求消息的部件被接收,如上文所述。
在74,从移动用户的归属站点请求移动用户的外部认证。在76,从归属站点接收认证响应,该响应可以包括要由移动用户在访问本地服务时使用的移动用户数字身份。在一些实施例中,这个移动用户身份是临时的身份。
如果外部认证成功,则按照任何适用的访问策略,移动用户随后在78被许可访问本地服务。否则,移动用户对本地服务的访问被拒绝。关于认证失败的指示可以被存储在审计记录中和/或被返回给移动用户。如上文所述,归属站点处的认证失败可能不会在所有的实施例中在76被明确地传送给请求的站点。当认证未成功时,归属站点可能简单地不在所要求的响应时间内响应认证请求。
方法70说明了本发明的实施例。其他实施例相比所显示的内容而言可能涉及执行更少的、附加的或不同的操作,和/或以不同的顺序执行操作。
例如,认证可以包括传送不同于认证请求的其他信息。例如关于移动用户认证的请求可以建立移动用户系统与归属站点之间的安全隧道,例如归属站点用户名和密码的认证信息然后由移动用户系统经由该安全隧道被提供给该归属站点。
一旦移动用户的认证在74、76成功完成,由移动用户发起或去往该移动用户的例如服务消息的服务相关的信息的处理可以包括认证移动用户身份。尽管如访问策略中所指定的那样,在特定的时间量之后或在已执行特定数量的服务访问操作或事物之后可能要求移动用户重新认证以使得方法70被重复,然而移动用户不必针对每个服务事务而被重新认证。
在一些实施例中也可以执行如下的操作中的任一项或全部:检验合作方移动性关系、检查合作方连接、转换服务相关的信息和收集并报告移动用户活动。
尽管图3未明确显示,然而移动用户的实际认证在该用户的归属网络或站点进行。例如,响应于接收到的认证请求,归属网络尝试认证移动用户并将关于认证结果的指示提供给请求的网络。
方法70的其他变型对于本领域技术人员而言是显而易见的。
图4是可用于本发明实施例的数据结构的框图。具有如图4所示结构的记录可以例如被存储在安全通信网络中的一个或多个数据库58、62(图2)中。数据结构80包括与存储数据结构的网络具有用户移动性协议的外部安全网络的标识符82。关联于外部网络的移动用户的标识符在84被提供。每个标识符82、84可以包括名称、地址和/或一些其他形式的标识信息。与标识外部网络和/或标识移动用户有关的其他信息被存储在数据结构80的86中。
数据结构可以根据需要而包括比图4所示的更少、更多或不同的数据字段。例如,在合作方域数据库58(图2)中,数据结构可以包括外部网络标识符82和例如关于用户移动性协议和/或限制的指示的其他网络信息86。移动用户数据库62中的记录可以包括图4所示的全部三个字段,从而将移动用户身份映射到它相应的外部网络和例如服务使用记录的其他信息。
本发明的实施例提供了一种用于自动认证合作方公司的现场员工(即移动用户)而无需任何人工身份提供的新技术。合作方公司可以首先说明性地通过在其公司网络中部署各个网关并且将这些网关设备配置成相互连接,来建立合作方外联网连接。合作方外联网被用来使得每个公司的员工能够访问由遵守在每个网关执行的策略的另一公司提供的服务。
这里公开的技术可以调节这样的事实:即网关可以基于对例如数字证书的凭证的解释来提供合作方认证和移动用户身份认证从而建立公司与身份互操作性之间的安全连接。本发明实施例可以与例如LDAP服务器的现有身份基础设施相结合以利用其雇主的身份基础设施来实现用户认证。合作方外联网所提供的服务访问模型由此可以扩展至合作方公司的移动用户。
通过由公司网络操作员执行本发明实施例从而消除人工创建和维护移动用户的临时用户身份所带来的不安全性和劳动密集的任务,可以实现成本节约。根据公司的特定情形,用户在合作方外联网中的无缝移动性能够减少信息技术开销、流线型外购操作以及封闭现有安全漏洞。
许可合作方公司的临时移动用户访问网络和服务这一过程的自动化提供了对于网络和应用管理员而言为无缝的用户移动性并且不会损害安全性和对其资源的控制。
本发明实施例的优点可以包括以下内容中的任一个或全部:
利用其自己的网络中的身份服务器对移动用户进行自动认证;
基于公司之间的现有服务互操作性协议和策略自动地临时访问服务;
所有服务访问可以通过公司网络网关被授权,这实现了完整的控制和监视;
说明性地按照访问策略中的届满时间设置可以自动移除临时服务访问;以及
对审计日志中的应用和服务访问完全可以追溯。
更一般地,本发明的实施例可以用来提供如下面列出的整个服务SOA基础设施的完整功能性:
公司管理:提供监视、控制和报告以确保符合规则并且支持连续的公司改进;
所管理的合作方外联网:利用合作方和分支机构位置的web服务的安全无缝发布和消耗;
Web服务性能:确保web服务按照公司需求或服务等级协议(SLA)的可用性和性能;
公司灵活性和应用敏感性:基于SOAP报头内容、XML标签或其它消息内容提供应用级选路和消息转换;
应用安全:通过确保适当地形成消息、检测基于XML的攻击和执行应用数据加密策略来提供应用级安全;
生命周期管理:利用回退(rollback)提供受控的web服务发布;
系统特征:提供可靠性、可扩缩性和符合开放标准。
这里和/或在一个或多个上面提及的相关专利申请中已经公开了所述和其他功能。
所描述的内容仅是对本发明实施例的原理的应用的说明。本领域技术人员可以在不背离本发明范围的情况下实现其他安排和方法。
例如,如上文所述,本发明决不限于附图所示的以及上面明确描述的特定的功能划分或方法步骤。还应当认识到,这里公开的技术绝不限于结合合作方外联网的实现。基本上类似于图2的装置50的装置中的控制器/监视器不必是合作方外联网控制器/监视器。
此外,尽管主要就方法和系统进行了描述,然而也可以设想本发明实施例的其他实现,如存储于一个或多个机器可读介质上的数据结构和/或指令。
Claims (27)
1.一种方法,包括:
在其中提供网络服务的第一安全通信网络接收与移动用户对服务的本地访问相关联的服务访问信息,所述移动用户关联于独立受控的第二安全通信网络但是从所述第一通信网络本地访问所述服务;以及
请求所述第二通信网络认证所述移动用户。
2.根据权利要求1所述的方法,还包括:
基于所述第二通信网络所进行的认证的结果来控制所述移动用户对所述服务的访问。
3.根据权利要求1所述的方法,还包括:
从所述第二通信网络接收要由所述第一通信网络中的所述移动用户使用的自动生成的数字身份。
4.根据权利要求3所述的方法,还包括:
将所述身份存储在所述第一通信网络的移动用户数据库中;以及
将该身份转发给所述移动用户。
5.根据权利要求1所述的方法,其中,所述服务访问信息包括用户认证请求。
6.根据权利要求1至5中任一项所述的方法,其中,所述服务访问信息包括服务访问请求,所述方法还包括:
确定所述移动用户是否已经事先被所述第二通信网络认证;以及
如果所述移动用户还未被所述第二通信网络事先认证则请求所述第二通信网络认证该移动用户。
7.根据权利要求2所述的方法,其中,控制包括按照访问策略而许可对所述服务的访问。
8.根据权利要求7或权利要求1至5中任一项所述的方法,其中,接收包括在所述第一通信网络的web服务节点接收所述服务访问信息。
9.根据权利要求7或权利要求1至5中任一项所述的方法,其中,对与所述移动用户从所述第二通信网络对所述服务进行的外部访问相关联的服务访问信息实施转换以在所述移动用户与提供服务的应用服务器之间传送,所述方法还包括:
对所接收的服务访问信息实施所述转换。
10.根据权利要求7或权利要求1至5中任一项所述的方法,还包括:
跟踪所述第一通信网络中的所述移动用户的活动;以及
将所跟踪的活动报告给所述第二通信网络。
11.一种存储指令的机器可读介质,所述指令在被执行时实现根据权利要求7或权利要求1至5中任一项的方法。
12.一种装置,包括:
接口,其用于接收与移动用户对第一安全通信网络中提供的网络服务的本地访问相关联的服务访问信息,所述移动用户与独立受控的第二安全通信网络相关联但是从所述第一通信网络本地访问所述服务;和
认证模块,其有效耦合到所述接口并且用于请求所述第二通信网络认证所述移动用户。
13.根据权利要求12所述的装置,还包括:
访问模块,其有效耦合到所述认证模块并且用于基于所述第二通信网络所进行的认证的结果来控制所述移动用户对所述服务的访问。
14.根据权利要求13所述的装置,其中,所述访问模块还用于跟踪所述第一通信网络中的所述移动用户的活动,所述装置还包括:
有效耦合至所述访问模块以使得所跟踪的活动能够被报告给所述第二通信网络的接口。
15.根据权利要求13所述的装置,还包括:
有效耦合到所述访问模块、用于存储服务访问策略的存储器,
其中,所述访问模块还用于确定所述存储器是否存储了控制所述移动用户对所述服务的访问所依据的策略,并且如果所述存储器存储了控制所述移动用户对所述服务的访问所依据的策略,则通过基于所述存储器中存储的策略许可或拒绝对所述服务的访问来控制所述移动用户对所述服务的访问。
16.根据权利要求12所述的装置,其中,所述认证模块还用于从所述第二通信网络接收要由所述第一通信网络中的所述移动用户使用的自动生成的数字身份。
17.根据权利要求16所述的装置,还包括:
用于将所述身份存储在移动用户数据库中的存储器;和
使得所述身份能够被转发给所述移动用户的接口。
18.根据权利要求12至17中任一项所述的装置,其中,所述服务访问信息包括服务访问请求,并且所述认证模块还用于确定所述移动用户是否已经事先被所述第二通信网络认证,如果该移动用户还未被所述第二通信网络事先认证则请求所述第二通信网络认证该移动用户。
19.一种用于管理web服务应用使用的web服务节点,所述web服务节点包括根据权利要求12至17中任一项的装置。
20.根据权利要求19所述的web服务节点,其中,所述web服务节点包括实现从所述第二通信网络对所述服务的远程使用的网关,所述网关被配置成对与从所述第二通信网络对所述服务的远程使用有关的信息执行转换,并且对与所述移动用户对所述服务的本地访问有关的信息执行转换。
21.一种方法,包括:
从其中提供网络服务的第一安全通信网络接收这样的请求:请求与移动用户关联的独立受控的第二安全通信网络认证所述移动用户以从所述第一通信网络本地访问所述服务;
在所述第二通信网络按照用户身份记录认证所述移动用户;以及
将关于所述认证的结果的指示提供给所述第一通信网络。
22.根据权利要求21所述的方法,还包括:
如果所述移动用户被成功认证,则在所述第二通信网络创建要由所述第一通信网络中的所述移动用户使用的数字用户身份,
其中提供包括将所述用户身份提供给所述第一通信网络。
23.一种存储指令的机器可读介质,所述指令在被执行时实现根据权利要求21或22的方法。
24.一种装置,包括:
接口,其用于在第一安全通信网络与独立受控的第二安全通信网络之间交换信息;和
认证模块,其有效耦合到所述接口,并且用于通过所述接口从所述第一通信网络接收关于认证关联于所述第二通信网络的移动用户以从所述第一通信网络本地访问在所述第一通信网络中提供的服务的请求、在所述第二通信网络按照用户身份记录来认证所述移动用户、以及将关于所述认证的结果的指示通过所述接口提供给所述第一通信网络。
25.根据权利要求24所述的装置,其中,所述认证模块还被配置成在成功认证所述移动用户的情况下创建要由所述第一通信网络中的所述移动用户使用的数字用户身份,以及通过将所述用户身份提供给所述第一通信网络来提供关于所述认证的结果的指示。
26.一种存储数据结构的机器可读介质,所述数据结构包括:
可从第一安全通信网络本地访问所述第一安全通信网络中提供的服务的移动用户的标识符;和
独立受控的第二安全通信网络的标识符,所述移动用户关联于所述第二安全通信网络并且所述移动用户由所述第二安全通信网络认证以本地访问所述服务。
27.根据权利要求26所述的机器可读介质,其中,所述数据结构还包括:
访问记录,其提供了关于在所述移动用户被所述第二通信网络认证之后由该移动用户对所述服务进行的本地访问的指示。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US81496306P | 2006-06-20 | 2006-06-20 | |
| US60/814,963 | 2006-06-20 | ||
| US11/465,172 | 2006-08-17 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101467422A true CN101467422A (zh) | 2009-06-24 |
Family
ID=40806708
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007800221977A Pending CN101467422A (zh) | 2006-06-20 | 2007-06-19 | 安全通信网络用户移动性装置和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101467422A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103229588A (zh) * | 2010-12-06 | 2013-07-31 | 索尼公司 | 网关设备和通信方法 |
| US11877218B1 (en) | 2021-07-13 | 2024-01-16 | T-Mobile Usa, Inc. | Multi-factor authentication using biometric and subscriber data systems and methods |
-
2007
- 2007-06-19 CN CNA2007800221977A patent/CN101467422A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103229588A (zh) * | 2010-12-06 | 2013-07-31 | 索尼公司 | 网关设备和通信方法 |
| CN103229588B (zh) * | 2010-12-06 | 2016-09-07 | 索尼公司 | 网关设备和通信方法 |
| US11877218B1 (en) | 2021-07-13 | 2024-01-16 | T-Mobile Usa, Inc. | Multi-factor authentication using biometric and subscriber data systems and methods |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101461213B (zh) | 通信网络应用活动监视和控制 | |
| US8346265B2 (en) | Secure communication network user mobility apparatus and methods | |
| CN110351381B (zh) | 一种基于区块链的物联网可信分布式数据共享方法 | |
| CN102684939B (zh) | 用于以服务为中心的通信网络监控的方法和设备 | |
| CN101473594B (zh) | 网络服务性能监控装置和方法 | |
| EP2076999B1 (en) | Network service usage management systems and methods | |
| US7958226B2 (en) | Identifying a computer device | |
| US8495155B2 (en) | Enterprise management of public instant message communications | |
| US20080247320A1 (en) | Network service operational status monitoring | |
| CN107995197A (zh) | 一种实现跨管理域身份和权限信息共享的方法 | |
| CN102035660B (zh) | 基于idc网络的业务处理方法、设备和系统 | |
| US20140317707A1 (en) | Method for sharing data of device in m2m communication and system therefor | |
| CN104718526A (zh) | 安全移动框架 | |
| CN110138779A (zh) | 一种基于多协议反向代理的Hadoop平台安全管控方法 | |
| CN101467422A (zh) | 安全通信网络用户移动性装置和方法 | |
| CN114466038B (zh) | 一种电力物联网的通信防护系统 | |
| Buchheim et al. | Implementing the intrusion detection exchange protocol | |
| Fetulhak et al. | Integrating blockchain technology with PKI for secure and interoperable communication in 5G and beyond vehicular networks | |
| Berzin et al. | The IoT Exchange | |
| CN102215211A (zh) | 通信方法、支持可信网络接入的安全策略协商方法及系统 | |
| CN118200029A (zh) | 一种基于零信任的多级网关应用权限管控方法及系统 | |
| JP5045723B2 (ja) | アクセス管理用中継装置および中継通信システム | |
| CN110430166A (zh) | 建立局域网服务通道的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20090624 |