CN1855817B - 网络服务基础设施系统和方法 - Google Patents
网络服务基础设施系统和方法 Download PDFInfo
- Publication number
- CN1855817B CN1855817B CN2006100723398A CN200610072339A CN1855817B CN 1855817 B CN1855817 B CN 1855817B CN 2006100723398 A CN2006100723398 A CN 2006100723398A CN 200610072339 A CN200610072339 A CN 200610072339A CN 1855817 B CN1855817 B CN 1855817B
- Authority
- CN
- China
- Prior art keywords
- network
- service
- client
- module
- private services
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/53—Network services using third party service providers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
公开了网络服务基础设施系统和方法。用于客户端访问服务网络和在服务网络中可用的网络服务的策略在客户端网关执行。一旦在客户端网关被认证和授权,服务网络的客户端就可以使自己的网络服务在服务网络中可用,使用由服务网络的其它客户端提供的网络服务,或者两者都有。策略在服务网络中集中管理并分发到客户端网关。还提供了各种注册表,其存储策略、与网络服务相关的信息和可能的其它信息。
Description
相关申请的交叉引用
本申请涉及共同转让的美国专利申请号为11/105,601的“PUBLICAND PRIVATE NETWORK SERVICE MANAGEMENT SYSTEMSAND METHODS(公共和专用网络服务管理系统和方法)”和申请号为11/105,821的“SYSTEMS AND METHODS FOR MANAGINGNETWORK SERVICES BETWEEN PRIVATE NETWORKS(用于在专用网络之间管理网络服务的系统和方法)”,这两个申请于2005年4月14日提交。
技术领域
本发明一般涉及网络服务,更具体地说,涉及用于提供网络服务的基础设施。
背景技术
信息通过通信网络分发的服务通常被称为网络服务。所谓“Web服务”是网络服务的一个例子,它代表下一代基于Web的技术,该技术被用于在公共因特网上的不同应用之间自动交换信息。
Web服务是用于在因特网上建立基于Web的分布式应用的框架。它们在多个跨国企业之间提供有效的自动的机器到机器的通信。从技术公司到诸如零售公司的世界主要非技术公司,这种自动化带来了基于技术的处理和商业效率。使用传统的处理技术,定购单可能要花费120美元来处理,并且供应商要花费几天的时间来处理仓库中的重新进货订单,但是,新的基于Web服务的系统可以花半分钱做同样的事情,并且订单可以在数秒内被分发到全球的仓库。
从技术的角度来看,Web服务在作为网络可访问的功能的意义上与应用服务是类似的,这些功能可以通过标准接口使用标准的网际协议访问,诸如超文本传输协议(HTTP)、扩展标记语言(XML)、简单对象访问协议(SOAP)等。
Web服务应用可以用来自公共因特网中的任何地方的部分代码和数据建立。例如,在自动供应链管理中,商店前购买由货币代理(monetaryagent)解决,重新进货订单被直接发送到工厂,计费信息由总部收集,各方使用自己的软件系统。Web服务技术的真实魅力在于它的简单性。核心技术仅解决通用语言和通信问题,而不直接解决应用集成的繁重任务。Web服务可以被看作是复杂的用于使多个不同种类的不信任系统互连的机器到机器的远程过程调用(RPC)技术。Web服务通过使用用于数据转换/透明性的XML技术和用于通信的诸如超文本传输协议(HTTP)的因特网标准吸收了许多新技术的优点。
Web服务已经被证明了在企业专用网络空间中的成功,作为应用通信的标准方式很快得到认可。然而,当前大多数Web服务都由位于公司企业网络中的防火墙后的应用服务器作为主机。
支持在基本的因特网基础设施上的企业空间以内和以外的Web服务交互的努力已经集中在特定的方法上。根据一个方法,将在其间提供Web服务的不同企业必须同意使用兼容的应用、共有的软件、客户接口和API以及通用的通信协议。企业还必须同意数据安全性和任何安全通信将被管理的方式。另外,每个企业必须开放其内部防火墙以让商业业务以点对点的方式在应用之间流动。
在企业环境中增加新的Web服务商业伙伴总是困难、昂贵和费时的过程,因为潜在的新的商业伙伴往往具有不同的规则和标准组。常常需要修改新伙伴的应用和修订提供新的应用的企业的客户代码。
目前还没有已知的用于配置和管理端到端的虚拟(专用)外部网Web服务体系结构的配置或者管理解决方案,与企业空间相反,其目标是通信网络提供者的空间。例如,虽然存在XML虚拟专用网络(VPN)设备,但是这些设备在防火墙后的企业网络中实现。
在大量具有各种策略/安全/准入控制要求的企业可能希望通过同一个核心网络提供或者消费Web服务的情况下,现有的解决提供者的核心市场的基于软件的安全产品或者较小容量的基于硬件的企业级产品都没有达到核心网络的要求,。企业级产品,包括基于服务器的体系结构和硬件XML设备,通常也不满足通信网络核心设备的高可用性和速度的要求。
发明内容
本发明的实施例提供一种新的网络服务,其使特定的通信网络服务提供者能够提供例如Web服务的网络服务作为驻留网络(network-resident)的服务。
在一些实施例中,该新的网络服务在所谓外部网服务体系结构中提供。当外部网体系结构被网络服务提供者管理时,其想象为向固定的一组成员提供的“服务网络”。优选地,外部网服务模型是应用层解决方案,建立在网络提供者的基础设施上的覆盖网络。
根据本发明的一个方面,一种用于在服务网络中提供网络服务的装置包括策略执行模块,其被配置为根据服务网络的认证策略执行用于客户端访问该服务网络的规则,和允许被认证的客户端访问该服务网络,以使得由该客户端提供的网络服务对于该服务网络的另一个客户端可用,或者使用由该服务网络的另一个客户端提供的网络服务,或者既使得由该客户端提供的网络服务对于该服务网络的另一个客户端可用又使用由该服务网络的另一个客户端提供的网络服务。
策略执行模块还可以被配置为允许被认证的客户端使得网络服务对于该服务网络中的任何其它客户端可用,以及根据与网络服务相关的各个服务策略使用由另一个客户端提供的网络服务。
所述装置还可以包括安全模块,用于在被认证的客户端与该服务网络之间、在该服务网络内、在服务网络和该服务网络的目的客户端之间执行安全的端到端通信。
在一些实施例中,所述安全模块基于所述规则将认证和授权动作应用于通信业务,并响应所述认证和授权动作,传递或者丢弃该通信业务。其它安全规则也可以应用于通信业务。
所述装置还可以包括简单对象访问协议(SOAP)代理模块,其连接到策略执行模块,被配置为将与被认证的客户端相关的业务分类为控制业务或数据业务,传输包括用于在网络服务注册表中发布的与由被认证的客户端提供的网络服务相关的信息的控制业务,以及修改数据业务中的SOAP信息用于进一步处理。
统一描述、发现和集成(UDDI)代理模块也可以连接到SOAP代理模块。在这种情况下,SOAP代理模块还被配置为识别所接收的UDDI控制业务,并将所接收的UDDI控制业务转发到UDDI代理模块用于进一步处理。所接收的UDDI控制业务可包括用于网络服务查找的请求。UDDI代理模块处理请求的本地或者远程解析并响应发起每个请求的客户端。
服务处理模块也可以连接到SOAP代理模块,被配置为与SOAP代理模块交换数据业务。
策略执行模块可以允许被认证的客户端向服务注册表发布与网络服务相关的信息以及访问服务注册表以使用由另一个客户端提供的网络服务。与网络服务相关的信息可包括访问信息,其规定由服务网络的其它成员使用的网络服务的访问规则。根据由另一个客户端规定的访问规则,从服务注册表访问与由服务网络的另一个客户端提供的网络服务相关的信息由策略执行模块控制。
在一些实施例中提供的转发/路由模块在服务网络中路由发送通信业务,并支持层1转发方法、层2转发方法、网际协议(IP)路由和扩展标记语言(XML)路由中的至少一个。
其它功能,诸如根据服务网络的变换策略在各个用于传送到被认证的客户端和服务网络的格式之间转换通信业务,也可以由策略执行模块执行或管理。
所述装置例如可以在提供服务网络的通信系统的客户端网关中实现。该系统的网络控制器被连接到客户端网关,用于管理由客户端网关执行的策略和可用的网络服务的注册表。
还提供一种用于管理与在服务网络中可用的网络服务相关的策略的装置,其包括客户端网关接口和策略管理器,该客户端网关接口被连接到客户端网关,通过该客户端网关,该服务网络的客户端访问该服务网络。策略管理器被连接到客户端网关接口,被配置为通过客户端网关接口将规定各个网络服务的访问控制的网络服务策略分发到该客户端网关,以使得客户端网关根据该网络服务策略控制该服务网络的客户端对网络服务的访问。
策略管理器还可以管理服务网络的客户端认证和将被客户端网关应用于数据业务的格式变换中的至少一个。
在一些实施例中,网络服务策略包括存储在网络服务策略注册表中的策略,并且策略管理器还被配置为维持网络服务策略注册表,并将从提供网络服务的服务网络的客户端接收的已有网络服务策略并入到网络服务策略注册表。
所述装置还可以包括下述组件中的任何一个或者全部:安全管理器,其被连接到客户端网关接口,被配置为管理通过服务网络的客户端通信的安全;注册表管理器,其被连接到客户端网关接口,被配置为管理在服务网络中可用的网络服务的注册表、服务超时信息、扩展标记语言(XML)模式、服务合同、服务质量(QoS)参数、订阅信息、寻址信息、计费信息、服务级别协议(SLA)监控信息、交易的网络服务活动监控信息、活动日志、性能审计信息和异常报警中的至少一个;系统管理器,其被连接到客户端网关接口,被配置为接收和管理由客户端网关获取的审计记录。
策略管理装置例如可以在提供服务网络的通信系统的网络控制器中实现,在该服务网络中,网络服务消费者通过客户端网关可以访问由网络服务提供者提供的专用网络服务。
根据本发明的另一个方面,还提供一种用于管理在服务网络中可用的网络服务的装置,包括:客户端网关接口,其连接到客户端网关,通过该客户端网关,服务网络的客户端访问服务网络;注册表管理器,其连接到客户端网关接口,被配置为:从客户端网关接收有关服务注册表中的信息的请求并响应该请求,提供所请求的信息;从客户端网关接收与将在服务网络中可用的网络服务相关的信息并在服务注册表中发布所接收的信息;从客户端网关接收用于修改服务注册表中与网络相关的信息的订阅,并响应该订阅,发送修改的通知。
在一些实施例中,通信系统包括:网络控制器,其包括所述装置;存储器,其连接到网络控制器,用于存储服务注册表;客户端网关,其连接到服务网络的至少一个客户端和所述存储器,客户端网关被配置为控制至少一个客户端对在发布在服务注册表中的网络服务的访问。
根据本发明的再一个方面,一种在服务网络中提供网络服务的方法包括:认证和授权专用服务网络的客户端;在该客户端已被授权的情况下,使得由该客户端提供的网络服务在服务网络中可用,或者允许该客户端访问网络服务以使用该客户端已经被授权的由服务网络的另一个客户端提供的特定网络服务或者一组网络服务。
使得网络服务可用的操作可以包括启动与服务网络的连接,用于服务发布。允许客户端访问服务网络的操作可以包括:通过启动与目标网络服务的连接以及向该目标服务发送请求和从该目标服务接收应答,允许客户端使用目标网络服务。允许操作还可以包括:允许客户端查询网络服务注册表以访问所述特定网络服务或一组网络服务的信息,或者订阅所述特定网络服务或一组网络服务在注册表级别的变化。
网络服务可用性可以根据网络服务的服务策略控制。在这种情况下,允许可以包括确定具有相关的准许客户端使用的服务策略的网络服务。
在阅读了下面的特定实施例的描述,对于本领域的技术人员来说,本发明的其它方面和特征将变得清楚。
附图说明
参照附图,详细地描述本发明的实施例的例子,其中:
图1是包含本发明的一个实施例的通信系统的框图;
图2是示例性客户端网关的框图;
图3是示例性网络控制器的框图;
图4是根据本发明的一个实施例的方法的流程图。
具体实施例
图1是包含本发明的一个实施例的通信系统的框图。通信系统10包括企业系统12、22,移动终端用户系统13,客户端网关16、26,服务网络20,数据业务交换和路由组件18,以及网络控制器28。
虽然许多企业系统12、22和/或诸如移动终端用户系统13的终端用户系统可以连接到客户端网关16、26,并且,许多客户端网关16、26可以位于服务网络20的边界,但是为了避免拥挤,在图1中仅示出这些组件的每一个的代表性例子。例如,还设想当首次配置服务网络20时仅提供单个企业系统12、22和单个客户端网关16、26的实施例。因此,应当理解,图1的系统以及其它附图的内容仅仅用于示例的目的,并且本发明决不局限于在附图中示出的并在此描述的特定实施例。
企业系统12、22代表可以提供、使用或者既提供又使用在整个服务网络20中提供和管理的Web服务应用的网络。在典型的安装中,企业系统包括诸如防火墙的提供外部访问控制和过滤进入企业的外部业务的组件、业务交换和路由设备、一个或者多个用于支持网络服务的服务器,以及例如个人计算机的用户终端。公司专用网络是企业系统12的一个例子。
移动终端用户系统13表示不是特定企业系统的一部分的客户端系统。如所示的,终端用户系统可以是移动的或者固定的。例如,移动终端用户系统13可以通过Web服务移动网关连接到客户端网关16。可替换地,移动终端用户系统13以及固定终端用户系统可以物理地连接到客户端网关16。在便携式计算机系统可以通过接入网络中的不同位置和物理连接而连接到客户端网关的意义上,便携式计算机系统是移动的。
本领域的技术人员熟悉许多不同类型的提供和/或使用网络服务的企业系统和终端用户系统。与企业网络服务如何在企业系统12、22中实际得到支持或者在诸如移动终端用户系统13的终端用户系统中使用相反,本发明的实施例主要涉及在企业环境以外提供和使用这些企业网络服务,因此,在此仅简要地描述企业系统12、22、移动客户端系统13及其操作中对于理解本发明必要的内容。
企业系统12、22和移动终端用户系统13中可以实现为例如软件应用程序的虚拟外部网服务门户允许终端网络服务提供者和消费者与服务网络20进行交互。服务门户允许用户登录到服务网络,并利用联合身份或者另一个认证机制对用户进行服务网络的认证,服务门户还可以启动其它不会在实质上影响终端用户如何提供和/或消费网络服务的附加能力,诸如显示各种服务列表、描述等。
连接14、15、24可以是如图1所示的直接连接,或者是间接的连接,其穿过中间组件和可能的其它通常被称为接入网络的通信网络。然而,本发明并不限于企业系统12、22、移动终端用户系统13与客户端网关16、26之间的网络连接或者其它特定类型的连接。因此,连接14、15、24可以包括任何一种直接、间接、有线和无线连接。
客户端网关16、26向企业系统12、22和移动终端用户系统13提供对服务网络20的访问。客户端网关16、26是服务网络提供者基础设施内的边缘设备,代表由服务网络20提供的虚拟外部网服务内的网关。每个客户端网关16、26实际上是安全网络服务代理设备,用于实现Web服务网关功能,支持例如网络服务和XML“标准”的代理以及新特性。根据一个实施例,客户端网关16、26是至少部分使用硬件实现的高性能设备,并被配置为用由服务网络提供者部署的嵌入式软件进行如在此公开的操作。下面参照图2详细描述客户端网关16、26的示例性例子。
根据上面所述的,很清楚,在系统10中包括两种类型的服务提供者。由一个或者两个企业系统12、22提供网络服务。服务网络20由另一个服务提供者提供。因此,企业系统的网络服务提供者提供网络服务,并且服务网络20的提供者向网络服务提供者提供另一个实现服务的网络的服务,在该服务的网络中,网络服务提供者可以使其网络服务可用于由在自己的专用系统以外的网络服务消费者使用。在此,网络服务的提供者被称为网络服务提供者,而服务网络20的提供者被称为服务网络提供者。因此,网络服务提供者提供一个或者多个网络服务,服务网络提供者允许这些网络服务例如在虚拟外部网服务模型的内部管理和在外部提供。在许多实施例中,希望服务网络提供者也拥有或者操作其上建立了服务网络的底层通信网络,尽管这在本发明的所有实施例中不是必需的。
网络控制器28提供服务管理器的控制平台功能,并可被实现为将被通信网络的操作者部署的网络定标(scale)设备,例如,边缘路由器的专用卡或者专用XML设备。网络控制器用于管理虚拟外部网服务,主管在虚拟外部网内发布的所有Web服务、策略、服务级别协议(SLA)和其它网络监控数据的中央储存库,并保护、管理、提供和存储用于端到端网络服务应用的策略。与客户端网关16、26类似,下面参照图3,采用示例性的例子详细描述网络控制器28。
数据业务通过客户端网关16、26和标记为18的数据交换和/或路由设备穿过服务网络20。尽管控制/管理业务由网络控制器28处理,但是数据业务由客户端网关16、26处理,并从那里开始由交换/路由组件18处理。
服务网络20可以被实现为虚拟外部网体系结构。在一个实施例中,虚拟外部网代表建立在基本的网络提供者基础设施上的应用覆盖网络,作为一种专用管理的服务网络,其使用例如因特网技术和底层1、2、3、4技术以安全地与多个企业共享部分企业的信息或操作,例如包括供应商、卖主、伙伴、客户或其它事物。
在这种情况下,覆盖网络代表可以例如由XML路由设备使用层1或2转发、IP路由和/或应用层路由实现的虚拟网络架构。虚拟外部网网络可提供同步通信,例如REQUEST/RESPONSE,和异步通信的连通性和机制。
服务网络20、23的虚拟网络中的应用层覆盖可以使用诸如XML路由器的应用层路由器实现。应用层路由器在应用层相互通信并与客户端网关通信,但是使用底层正常联网设施。覆盖网络通常使用可靠的点到点比特流,诸如传输控制协议(TCP),以实现可靠的组播。与传统的专用网络服务共享技术相比,将服务网络20建成覆盖网络允许服务网络20可以相对容易地修改和部署。覆盖服务网络也是建立有效地路由发送XML分组的健壮网络的有效方式。
本发明所属技术领域的技术人员熟悉多种不同类型的其上可以覆盖应用层网络的通信网络。本发明决不限于任何特定类型的底层通信网络。
还应当理解,本发明的实施例可以使用低层技术而不是覆盖网络来实现。覆盖网络体系结构是实现服务网络20的一个可能的例子。
在操作中,服务网络20使得由企业系统12、22中的任何一个提供的网络服务能够被其它企业系统中的用户和服务网络20的其它成员访问,诸如移动终端用户系统13。由服务网络20实现的服务被两种不同类型的网络单元,客户端网关16、26和网络控制器28,支持,这两种网络单元分别支持通信协议和管理功能。
服务网络20的结构可以被分成三个部分,包括通信协议、服务描述和服务发现。在一个实施例中,服务网络20使用现有的已经针对每个部分开发的标准和规范。
例如,在通信协议部分,SOAP是可用于在Web客户端和Web服务器应用之间传输Web服务信息的一个标准协议。SOAP还提供与所使用的路由和安全机制有关的附件信息的传输。
Web服务描述语言(WSDL)是基于XML的语言,它提供Web服务信息的描述,并代表网络服务描述的标准化方法的一个例子。
这些Web服务协议(SOAP和WSDL)在任何平台上提供能力和消息传送设施以在任何地方屏蔽和执行功能,而无需客户代码。
一个公知的服务发现机制是统一描述、发现和集成(UDDI)。UDDI使企业和应用能够快速找到因特网上的Web服务,并允许可操作的注册表被维持。UDDI列出来自不同公司的可用的Web服务,给出它们的描述、位置、服务描述、相关的访问列表和安全级别。
在实现本发明的实施例中引用和使用的其它Web服务标准包括有关可靠信息(WS-Reliability)、策略(WS-Policy)和联合身份(WS-Federation)的标准。
虽然上述规范和标准是公知的,但是使用这些标准以提供一种根据本发明的实施例的服务网络是未知的。
如上简要描述的,客户端网关16、26是由服务网络20提供的虚拟外部网服务的客户端的服务传送点。客户端网关16、26还提供对专用外部网服务的安全访问,保护服务的提供者和客户端,图1中的企业系统12、22和移动用户终端系统13。
优选地,通过服务网络20的客户端网关16、26之间的通信是安全的。当利用已有的企业入口和出口证书时,其中这些证书通常已经针对企业系统12、22和可能的移动终端用户系统13建立,诸如WS-安全、XML-加密和XML-签名的基于标准的安全技术可用于提供安全的通信。这些基于标准的技术以及本领域的技术人员公知的其它技术确保企业系统12、22和移动终端用户系统13中被授权的服务消费者能够加入虚拟外部网服务网络20。
客户端网关16、26还对进入的通信业务数据进行分类,并分离为将被转发到网络控制器28的控制业务和将通过组件18向目的转发的数据业务。
通常,诸如Web服务应用的网络服务的潜在消费者只能使用已知存在的网络服务。因此,网络服务提供者期望向潜在的消费者告知网络服务的存在。这可以通过例如向注册表发布网络服务来实现。在图1的系统10中,客户端网关16、26允许企业系统12、22向服务网络20发布其各自的内部的网络Web服务。客户端网关16、26还允许企业系统12、22和移动终端用户系统13消费由服务网络20的其它成员提供的外部的网络服务。
如在这里进一步详细描述的,使得由企业系统12、22提供的服务对于服务网络20的其它成员可用的范围可以由客户端网关16、26和网络控制器28控制。
因此,网络服务提供者可以向服务网络20发布内部的网络服务,用于由服务网络20的其它成员使用。在许多实施例中,希望服务网络20和每个企业系统12、22都是安全的专用网络,并且在连接14、15、24上的通信也是安全的。这可以使用安全隧道技术实现,它的例子对于本领域的技术人员是显而易见的。在客户端网关16、26的接入和网络侧的安全通信提供一定级别的保证,即对于服务网络20的成员可用的专用网络服务只能由服务网络20的成员提供,并且只能由服务网络20的成员消费。
由于网络服务提供者和消费者与服务网络20的通信穿过客户端网关16、26,因此客户端网关16、26还可以获取全面的审计记录,该记录可以在本地和/或由网络控制器28用于维持例如规章和策略的遵守。审计记录还可以或者可替换地由其它组件或者系统使用,诸如用于向消费者提供服务费用的具有微计费能力的计费系统。
网络控制器28向服务网络20提供中央控制平面功能,并因此实现具有维持网络服务全局储存库的主要责任的网络服务管理器的功能。与客户端网关16、26一样,网络控制器28可以被实现为高性能的基于硬件的设备,其具有由服务网络提供商部署的基于标准的程序。它用于管理服务网络20的虚拟外部网服务,以保护、管理、提供和执行用于端到端网络服务应用的策略,并且还显示和管理可用网络服务的列表。当网络控制器28是服务网络管理实体时,客户端网关16、26在实际的数据上执行策略和安全规则。数据业务通过客户端网关16、26穿过提供者的核心网络,如图1的18所示,并且网络控制器28处理控制和管理业务。
优选地,网络控制器28实现核心功能的至少一个子集,包括网络Web服务存储和诸如位置、所有权、访问级别组、服务列表和网络服务的其它基本特征的信息的管理、中央策略储存库和权限管理、安全规范、诸如适合例如终端商业到终端商业交易的高服务质量(QOS)要求的SLA要求以及诸如客户端配置文件、交易审计服务、日志等的事情的附加的储存库。
为了能够提供端到端交易安全性、信息传输的可靠性和身份管理,网络服务提供者和服务网络提供者通常必须相互协调以提供一组组合的管理功能。网络控制器28连同客户端网关16、26将通过用在服务网络的边缘提供相同的功能的基于标准的代理模块替换每个企业的专用管理方法和工具来减轻企业系统12、22的负担。
网络控制器28还可以通过使本地企业应用免于提供类似身份提供者服务、XML数字签名确认服务、XML模式集成等的某些安全方面而允许某些安全功能被授权给外部网服务。通过使用虚拟外部网服务,在企业内或企业之间的应用集成变得更加容易和有效,终端消费者商业应用变得更加可视,并且与企业系统的伙伴的增加相关的费用和复杂性也降低了。
网络控制器28还管理安全地向服务网络20的所有成员或者被选择的成员提供服务网络20内的内部的网络服务的列表的过程。
下面将参照图2和图3进一步详细地描述客户端网关16、26和网络控制器28的操作。
首先考虑客户端网关16、26,图2是一个示例性客户端网关的框图。客户端网关30包括服务网络接口32、接入网络接口34、连接到接口32、34和存储器37的策略执行模块36、连接到策略执行模块36和存储器37的安全模块38、连接到接口32、34、策略执行模块36、安全模块38和存储器37的SOAP代理模块42、连接到SOAP代理模块42和存储器37的数据收集模块40、连接到策略执行模块36、安全模块38、SOAP代理模块42和接入网络接口34的UDDI代理模块41、连接到策略执行模块36、安全模块38和SOAP代理模块42的服务处理模块43以及连接到服务处理模块43、服务网络接口32和接入网络接口34的转发/路由模块44。虽然为了避免拥挤在图2中没有明确地示出这些连接,但是应当理解,客户端网关30的任何一个或者所有的其它组件都可以连接到存储器37和/或数据收集模块40。
接入网络接口34代表远程接入点,通过该接入点,客户端网关30连接到企业系统或者其它形式的网络服务提供者或者消费者。虽然在图2中被标为接入网络接口,但是网络服务提供者和消费者不必通过网络连接与客户端网关进行通信。因此,应当知道,接口34通过接入连接向服务网络的成员提供一个接口,而接入连接可以或者可以不严格地是网络连接。
接入网络接口34的结构和操作取决于连接的类型,通过该连接,客户端网关30与其客户端进行通信。通常,接入网络接口34包括与通信介质交换通信信号的物理组件以及生成和处理通信信号的硬件和/或软件实现的组件。这种接口的各种实施例对于本领域的技术人员是显而易见的。
根据一个实施例,接入网络接口34对试图连接到服务网络20的客户端执行安全隧道终止(图1)。虚拟局域网(VLAN)隧道、点到点协议(PPP)、多协议标签交换(MPLS)和IP安全(IPSec)都是可以由接入网络接口34用于与客户端进行通信的协议的例子。其它协议和通信方案对于本领域的技术人员是显而易见的。
存储器37可以包括一个或者多个用于存储信息的存储设备,诸如固态存储设备。包括与可移动和/或可拆除的存储介质结合使用的存储设备以及不同类型的多存储设备的其它类型的存储设备也可以用作存储器37。实现为存储器37的存储器设备的类型是设计问题,并取决于实现客户端网关30的装置的特定类型。例如,通信装置的电路卡通常包括如存储器37的易失性和非易失性固态存储设备。
正如随着本说明的继续会变得清楚的,存储在存储器37中的信息可被客户端网关30的功能性组件在执行它们各自的功能中使用。功能性组件36、38、40、41、42、43、44的任何一个或者全部可以访问存储在存储器37中的信息。同样,虽然为了避免拥挤而在图2中没有示出存储器37与接口32、34之间的连接,但是这些接口或其内部组件也可以与存储器37进行交互。
功能性组件36、38、40、41、42、43、44的一些或者全部,以及接口32、34的内部功能或组件可以实现为软件,这些软件也可以存储在存储器37中。
图2的组件之间的内部连接的形式取决于实现客户端网关30的装置的特定类型。例如,内部总线结构经常被用在电子设备中,尽管其它类型的连接也可以作为附加到内部总线或者代替内部总线。还应当理解,互连并不需要必须经由物理介质,例如在基于软件实现的情况下。
实现客户端网关30的服务网络功能的功能性组件已经以比图2中的接入侧功能稍微详细的方式示出,因为本发明的实施例主要涉及在接入网络接口34的服务网络侧所执行的功能。例如,尽管接入网络接口34为接入连接提供安全功能,但是提供网络侧安全功能的安全模块38已经在图2中与服务网络接口32分别示出。为了示例性的目的,其它网络侧功能性组件也类似地在图2中分别示出。
客户端网关30中分离的功能性组件的这种表述并不是用于限定本发明。客户端网关的网络侧功能可以使用比图2明确示出的组件更多或更少的组件来实现,这些组件可能具有不同的互连。例如,策略执行模块36的功能可以合并到应用策略的各个组件中。例如,安全策略可以由安全模块38管理和应用。
在基于软件的实施例中,这些功能可以在各个软件模块中实现,或者被结合到由单个硬件组件执行的几个软件模块中,单个硬件组件即诸如微处理器、应用特定集成电路(ASIC)、数字信号处理器(DSP)或者微控制器的处理器。可替换地,软件可以由多个硬件组件执行,例如微处理器和DSP,或者网络处理器加上几个ASIC和FPGA。还可以设想某些功能在软件中实现而其它功能在硬件中实现的结合的实施例,这比软件运行更快。
因此,功能可以与图2所示的不同的方式进行划分或结合,并且这里所描述的任何功能性模块都可以在软件、硬件或者它们的结合中实现。
策略执行模块36实现网络服务的服务网络策略执行,其中网络服务如由服务网络客户端在其客户端配置文件中配置和在其服务描述中向网络控制器28告知的。
策略断言在客户端网关中实现,其中策略断言规定传统的将最终出现在线路上的要求和能力,例如特定客户和/或传输协议选择所需的认证方案。因此,这些策略断言从网络控制器下载到客户端网关,并由策略执行模块36执行。
网络服务提供者和消费者的认证和授权、涉及网络服务的交易的管理和确认以及确保与网络服务相关的通信业务的隐私和完整性都是在由策略执行模块36连同其它组件执行策略中涉及的功能的例子。例如,策略执行模块36可以与用于认证的安全模块38进行交互,诸如通过验证信息数字签名。因此,例如,安全策略的执行可以涉及策略执行模块36和安全模块38,其中策略执行模块36管理策略,安全模块38通过认证客户端并可能传递或丢弃通信业务来实际应用策略。
因此应当理解,策略执行模块36不需要亲自实际应用其管理的用于执行的策略。随着本说明的进行,策略执行模块36与其它组件之间进行交互以将策略应用于服务网络客户端和交易会变得清楚。
通过在客户端网关30的策略执行模块36,提供了虚拟外部网服务的客户端认证,而不是如同当前企业中心的网络服务的认证一样,提供每个特定网络Web服务的认证。网络服务提供者系统中与接入网络接口34通信的网络服务消费者是客户端网关30的客户端,并且通过与客户端网关30的单独签约获得对服务网络上的网络服务的访问。因此,客户端网关30将每个服务认证的负担从其客户端上除去。将在客户端认证中使用的信息是可以存储在存储器37中,优选地在安全的存储设备或者区域中,的一种信息的例子。
对于不存在客户端XML数字签名的情况,策略执行模块36可以与安全模块38合作以根据终端网络服务在安全断言方面所期望的来生成安全断言。新的安全断言被附加到服务信息上以断言客户端的身份和信息的完整性。
当存在客户端的身份“优选(preference)”但又不同于网络服务的“优选”时,策略执行模块36可以与安全模块38合作以将特定数字证书,例如X.509证书,映射成一个不同的安全断言,诸如安全断言标记语言(SAML)断言。
优选地,根据诸如SAML、WS-Federation和WS-Trust的标准提出的公知机制被用于这些功能。
在一个实施例中,策略执行模块36提供联合身份、访问控制和已经使用网络控制器28预先建立的策略的执行的硬件实现(图1)。联合身份允许用户创建并认证用户身份,然后在域和服务提供者之间共享该身份,而无需集中存储个人信息。
适合Web服务操作的SLA也可以替代接入侧和网络侧通信链路中的任意一个或者两个,通过该通信链路,客户端网关30与其客户端和服务网络进行通信。策略执行模块36还可以监控通信业务级别以执行有关SLA的参数,该参数被存储在存储器37中。
如上简要描述的,根据本发明的一个实施例的虚拟外部网服务网络是基于XML标准的,因此,策略执行模块36连同下面描述的服务处理模块43还可以对通过接入网络接口34从客户端网关30的客户端接收的入口数据业务执行XML信息头和信息有效载荷变换。也可以进行从其它信息格式到基于XML标准的网络服务信息的变换。还可以设想反变换以及在接入网络和服务网络中使用的非XML格式之间的变换。
安全模块38实现安全标准以确保服务网络上的通信的安全。在一些实施例中,安全模块38使用基于Web服务标准的工具,诸如WS-安全、XML-加密/描述和XML签名,以提供服务网络成员之间的安全数据路径。这些工具允许客户端网关30协调已有的安全协议以确保被授权的服务消费者可以加入端到端专用商用网络。因此,在一些实施例中,安全模块38为增强的核心外部网服务提供中央证书和密钥管理服务。安全模块38向客户端网关30的所有其它模块提供安全功能,特别是向策略执行模块36、UDDI代理模块41、SOAP代理模块42、服务处理模块43和两个网络接口32、34。这些功能可包括确认签名、加密、解密、签名和使用电信安全领域中公知的协议交换对称或不对称密钥中的任何一个或全部。
SOAP代理模块42对客户端和服务网络之间的进入和外出信息执行SOAP头处理。SOAP代理模块42是在两个网络接口:接入网络接口34和服务网络接口32中具有两个服务地址的主机。只要涉及接入网络中的客户端,由服务网络向客户端告知的所有服务看起来都是从SOAP代理模块42提供的。
来自两个相连的网络的任何一个的信息被提供到SOAP代理模块42,其接收SOAP信息,执行诸如头处理的功能和修改,并将信息转播到适当的处理设施,UDDI代理模块41或者服务处理模块43。另外,来自UDDI代理模块41和服务处理模块43的信息被发送到SOAP代理模块42。从UDDI代理模块41或者服务处理模块43收到的信息可以被SOAP代理模块42处理以例如添加统一资源标识符(URI)寻址信息。SOAP代理模块42还与策略执行模块36和安全模块38进行交互,以对外出信息执行网络服务策略,然后将该信息发送到适当的接口。因此,策略执行、安全、访问控制、审计和与客户端网关30的其它模块相关的其它功能可以由SOAP代理模块42对每个信息触发。
为了示意SOAP代理模块42的操作,考虑下面的示例性例子。由一个企业EB向另一个企业EA提供的服务由与EA相关的客户端网关代理,以看起来好像从该客户端网关的SOAP代理模块SPA的URI提供。来自企业EA的请求由企业EB提供的服务的服务请求被发送到SOAP代理模块SPA,其应用一组功能并将该信息传递到服务处理模块43。在处理了该服务请求后,服务处理模块43将该信息传递到SOAP代理模块SPA,其分别添加SOAP资源和目的URI SPA、SPB,其中SPB是与企业EB的客户端网关相关的SOAP代理模块。然后,该请求从SPA发送到SPB。
在将该请求转发到企业EB之前,SOAP代理模块SPB还将信息的SOAP资源和地址URI处理到SPB和EB。在相反的方向,对响应应用类似的修改。SOAP URI以这样的方式被处理以存储与该服务相关的网关的服务URI和SOAP代理。
SOAP代理模块42对进入的业务进行分类,并将其分离成将被转发到UDDI代理模块41的UDDI控制业务和将被转发到服务处理模块的数据业务,例如XML业务。例如,业务分类可以包括深度包检测。
虽然为了避免拥挤没有在图2中明确示出,但SOAP代理模块42的业务分类器可以连接到服务网络接口32或另一个支持与网络控制器的通信的接口,以提供与网络控制器交换控制和/或管理业务。还应当理解,SOAP代理模块42可以从网络控制器接收控制和/或管理业务。
UDDI代理模块41充当接入由服务外部网网络主管的UDDI中央储存库的接入点,用于从试图发布新的Web服务或订阅已发布的已有Web服务的变化的客户端接收的所有UDDI发布请求,,并且充当代理模块,用于从发起“发现服务”操作的客户端接收的所有UDDI查询请求。如这里所述的,根据网络服务策略控制客户端对网络服务的访问。这些策略可由策略执行模块36自己执行或者连同UDDI代理模块41一起执行以限制网络服务,其中这些网络服务的信息响应发现服务或类似的操作返回到客户端系统。
UDDI代理模块41期望基于入口UDDI的信息。所有不是UDDI格式的其它信息都被UDDI代理模块41丢弃。
UDDI代理模块41可以在客户端网关级别在本地缓存UDDI条目。这允许UDDI代理模块41在接收到新的UDDI查询请求时执行本地条目查找和解析。如果在本地找到UDDI条目,那么生成UDDI响应信息并发送回请求该服务的客户端。
如果在本地没有找到UDDI条目,那么向网络控制器发送UDDI查询信息,用于在UDDI全局储存库内全面查找。一旦该条目被网络控制器解析,那么UDDI响应从该请求来的地方发送回同一个客户端网关。客户端网关30可以学习并存储UDDI信息用于进一步UDDI查找。
因此,UDDI代理模块41可以处理服务请求的本地和远程解析。
服务处理模块43从SOAP代理模块42接收服务信息,处理服务信息,并将服务信息发送到SOAP代理模块42。服务处理模块43的一个主要功能是处理与网络服务相关的并在网络服务提供者和消费者之间交换的数据业务。例如,在一个实施例中,通过SOAP代理模块42来自接入网络的服务信息被发送到服务处理模块43,其分析和修改信息以使它们符合服务网络寻址和格式规则。格式规则可以在由例如策略执行模块36管理的服务网络变换策略中规定。然后,服务处理模块43通过SOAP代理模块并跨过服务网络将相应的服务信息发送到与网络服务提供者相关的客户端网关。
优选地,转发/路由模块44执行朝向服务网络内的目的的转发/路由决策(层1或层2转发,IP和/或XML路由)。虽然该模块44能够在需要时处理IP业务,完成DNS查找,以及在XML级别联网,但是其它实施例可以只提供一个不同的或者可能的其它路由机制。
当提供应用层路由时,模块44的基本功能是向服务处理模块43提供基于内容的路由。服务处理模块43可以使用转发/路由模块44以识别被发布信息的SOAP端点。SOAP代理模块42、服务处理模块43和转发/路由模块44的一个示例性实施例提供了用于发布-订阅类型联网的必要机制。
转发/路由模块44的应用路由层是可选的,并且最适用于支持通知和事件分发类型服务。在一个实施例中,应用路由层将客户端订阅存储在订阅数据库中,并在接收到与订阅数据库中的一组条目匹配的XML组播文档后,使用这些条目以识别相邻的需要该文档的SOAP端点并通过SOAP代理模块42将该文档转发到这些端点。文档的订阅和文档的发布遵循在WS-通知和WS-事件推荐规范中描述的标准化机制。
服务网络接口32向服务网络提供至少一个物理接口。服务网络接口32的类型和结构以及可以在与服务网络交换的通信业务上执行的其它操作是依赖于服务网络的。这些网络接口的许多例子对于本领域的技术人员是显而易见的。
数据收集模块40收集实时的管理和计费信息,该信息可以在本地处理和/或被转发到网络控制器或者其它组件,用于进一步存储和处理。
一旦所有的操作都在策略执行模块36和安全模块38的安全执行点被成功地执行,就可以在服务外部网网络内保护客户端身份和信息完整性。
在这一点,数据收集模块40可以取出各种管理和计费操作的实时信息。对于例如交易审计、性能审计、事件监控、交易的端到端商业活动监控(交易完成/失败)、活动日志、SLA监控、警告和故障阈值、报警等的活动可以收集数据。数据收集模块40可以在策略执行级别,在数据路径的任何一个阶段收集信息,诸如在安全模块38对每个安全策略所丢弃的分组计数后,以编辑对丢弃的策略的统计。
如图2所示的客户端网关可以被配置为允许网络服务提供者将其服务提供到服务网络内作为本地服务,或者允许网络服务消费者使用在该服务网络中可用的网络服务,或者两者都有。客户端网关30的客户端企业可以包括采用企业应用服务器形式的网络服务提供者和终端用户网络服务消费者。
当客户端网关30的客户端已经被客户网关30认证并希望将其网络服务提供到服务网络内时,例如通过在接入网络接口34终止的安全隧道从客户端接收到的控制业务被处理,如上所述,并被转发到服务网络中的网络控制器。
服务网络中网络服务的可用性的级别可以根据由网络服务提供者或者网络控制器规定的显式访问控制规则确定。网络服务提供者可以请求网络服务保持专用,用于仅由自己的专用企业系统内的消费者使用。虽然对于服务网络的其它成员是不可访问的,但是限制对服务网络中的专用网络服务的访问会允许网络服务提供者利用服务网络的其它功能,包括例如执行策略和主管注册表。也可以设想半专用网络服务,其中网络服务提供者规定可以使用网络服务的特定服务网络成员或者成员组。对于服务网络的所有成员,未受限的网络服务是可访问的。
可替换地,根据网络服务或者该网络服务的提供者的类型或级别,预定的网络服务访问控制可以在网络控制器上配置并被应用于网络服务。特定类型的或者来自特定网络服务提供者的所有网络服务可以具有相同的预定访问控制,其例如在网络服务提供者首次注册到服务网络时建立。另一种可能的预定访问控制体系会使一组具有已有的商业关系的网络服务提供者的网络服务仅在该组中可用。
在中央策略管理模型中,任何与网络服务相关的访问控制被网络控制器存储为服务上下文或策略。这些策略被策略执行模块36下载到每个客户端网关,并应用于数据业务,如上所述。
无论用于建立和管理网络服务的访问控制的特定访问控制方案如何,根据每个网络服务的任何访问控制,所提供的网络服务在服务网络内可用。这可以通过几种方式来实现。如上所述,控制业务被转发到服务网络中的网络控制器并处理。在这种情况下,网络控制器可以在对于服务网络中的客户端网关是可访问的全局注册表中发布网络服务的信息。然后,每个客户端网关根据与网络服务相关的策略,控制其客户端对已注册的网络服务的访问。
本发明决不限于上述网络服务访问控制的例子。访问控制不需完全在服务网络内实现。在一些实施例中,在服务网络内提供的所有网络服务自动对于该服务网络的所有成员可用。
优选地,网络服务提供者还通过与网络控制器交换控制业务以基本相似的方式修改网络服务的策略,以例如改变访问控制。
一旦客户端已经被策略执行模块36和安全模块38认证,则该客户端还可以或者可替代地通过客户端网关30访问在服务网络中可用的网络服务。客户端能够访问的特定网络服务根据由策略执行模块36管理的策略控制。服务网络的全局注册表可包括对于每个客户端不可用的网络服务的注册表条目,如在被网络控制器存储并下载到策略执行模块36的网络服务策略中规定的。只有那些允许客户端网关30的客户访问的网络服务对于该客户才是可用的。
随后通过服务网络在客户端网关30的客户端与远程网络服务提供者之间交换的数据业务基本如上所述地进行处理。来自客户端为远程网络服务提供者指定的业务由安全模块38根据安全策略处理,在SOAP代理模块42中修改,并根据服务处理模块43中的XML信息类型进行不同的处理,最后,数据业务被路由模块44通过服务网络接口32路由发送到远程网络服务提供者,或者实际上被路由发送到远程网络服务提供者连接的客户端网关。
基本上相似的处理被应用于与由客户端网关30的客户端提供的网络服务相关的数据业务。通过服务网络接口32从远程网络服务消费者接收的数据业务被安全模块38、SOAP代理模块42和服务处理模块43处理、修改、分类和处理为数据业务。然后,所接收的数据业务被接入网络接口34转发到客户端。
现在转到网络控制器28(图1),图3是一个示例性的网络控制器的框图。网络控制器50包括连接到管理器60、64、66、69的管理系统接口52、网关接口54和存储器56。网络控制器50的组件可以采用集中式体系结构或者分布式体系结构提供,优选地,是集中管理的体系结构。
管理系统接口52向诸如网络管理系统(NMS)的管理系统提供接口,其实现用于配置和管理服务网络平台的中央结构。管理系统接口52的结构和操作取决于网络控制器50与其管理系统进行通信的连接的类型。在一些实施例中,网络控制器通过被管理的通信网络与管理系统进行通信。单独的NMS管理和控制信道也是常见的。两种类型的管理系统接口的例子,例如包括使用XML的接口和提供对管理信息数据库(MIB)的访问的接口,对于本领域的技术人员是显而易见的。
网关接口54代表一个接口,通过该接口,网络控制器50与客户端网关进行通信。虽然图3仅示出了单个组件,但是网关接口54可以包括用于与多个客户端网关进行通信的各个接口和可能的不同类型的接口。如上参照图2所描述的,控制业务可以使用服务网络接口或一些其它类型的接口,通过服务网络在客户端网关和网络控制器之间进行交换。因此,图3的网关接口54代表与在客户端网关提供的接口,服务网络接口32(图2)或另一个接口,兼容的接口。
与上面参照图2描述的接口一样,管理系统接口52和网关接口54通常包括与通信介质交换通信信号的物理组件,以及生成并处理通信信号的硬件和/或软件实现的组件。
存储器56包括一个或者多个用于存储信息的存储设备。存储在存储器56中的信息可包括诸如客户配置文件和策略、安全信息、由网络控制器50的组件使用的每个网络每个用户的访问列表和访问级别组以及由服务网络中的其它装置访问和使用的注册表信息的信息。然而,应当理解,存储器56可以包括本地和远程存储设备。虽然网络控制器软件最好在本地存储,但是注册表可被分布和存储在对于网络控制器50和网络服务消费者连接到的客户端网关可访问的远程存储设备中。
管理器60、64、65、69的一些和全部以及接口52、54的内部功能或组件可以被实现为软件。实现这些管理器和功能的软件也可以存储在存储器56中。
策略管理器60提供全面的策略提供、定义和安全策略管理能力。虽然策略的部分内容和数据可以以分布式的方式存储在整个服务网络中,但是策略管理由策略管理器60集中。诸如策略管理器60和例如存储有策略信息的存储器56中的注册表的策略组件可以是分布式的。而且,策略信息被下载到客户端网关中的策略执行模块内。在服务网络提供者的基础设施中,通过对网络服务的策略管理使用集中式方法,单独的一组策略可以由被授权的管理员管理。策略管理器60可以被配置为自动将策略信息下载或者推送到客户端网关,以响应来自客户端网关的请求而传输策略信息,或者支持推送和抽取(pull)策略信息传送机制。
根据一个实施例,策略管理器60使用网络服务策略注册表管理网络服务策略。网络服务策略注册表是网络服务策略的集合,其建立在服务网络内提供的所有网络服务的访问控制。
每个单独的网络服务策略可以规定隐私参数,诸如必须在信息中提供的认证信息,信息是否必须被签名和/或加密,信息的哪些部分将被签名和/或加密以及信息或者其中的部分将如何被签名和/或加密。这些功能可以通过实现已有的Web服务标准提供,例如WS-安全、WS-策略、WS-策略附件、WS-策略断言和WS-安全策略。还可以有指明对特定网络服务的访问的级别的规则,例如在虚拟外部网级别的专用、半专用/组和公共。还可以有用于端到端服务的SLA协议和QoS要求以及有关在特定商业交易中涉及的商业伙伴的列表和详情。
对于任何新的加入服务网络的网络服务提供者或者消费者,优选地,在注册时创建消费者配置文件和策略。如上所述,网络服务提供者通过将控制业务通过客户端网关传输到网络控制器,在服务网络内发布其网络服务。通过网关接口54从客户端网关或者通过管理系统接口52从管理系统接收的策略由虚拟外部网服务内的策略管理器60集中管理,但是也可以物理地分布在由服务网络提供的虚拟外部网内。
在网络服务提供者或消费者在加入服务网络时具有自己的服务策略的情况下,策略管理器60可以允许企业服务策略被并入服务网络的全局策略注册表。从而,在外部网级别的所有管理数据可以与来自企业管理系统的其它数据合并,以创建全局管理的虚拟外部网服务。
策略管理器60还管理服务网络内的用户授权和安全配置文件,而不是如企业内的典型情况一样使用特定网络服务应用。企业空间中的网络服务消费者通过客户端网关连接到服务网络,并与服务网络进行单独签约。将访问控制信息集中到一个由网络控制器主管的注册表实体内避免了在企业系统之间共享身份信息和访问控制策略的问题。可替换地,该数据被存储在虚拟外部网内。
策略管理器60还可以容纳传统的授权系统,例如通过提供将已有的所有权会话cookie翻译成SAML断言所需的数据和接着被映射到其它身份储存库的真实身份。
策略管理器60可以规定将由客户端网关应用于数据业务的信息头和信息有效载荷变换。在一些实施例中,根据存储在注册表中的例如XML模式的信息,在基于XML的Web服务信息和其它格式的信息之间进行变换。
安全管理器64管理通过服务网络的服务网络客户端通信的安全。在一个实施例中,安全管理器64使用已建立的网络服务和XML标准以确保安全的通信。例如,在服务网络核心上创建的安全数据路径可以使用WS-安全和XML加密,如上所述。尽管客户端网关实际上通过服务网络建立安全的连接,但是安全管理器64为服务网络提供中央证书和密钥管理服务。安全信息被下载到客户端网关,用于在通过服务网络建立与其它客户端网关的安全的通信中使用。与策略管理器60一样,安全管理器64可被配置为自动将安全信息下载或推送到客户端网关,以在客户端网关要求用于网络服务交易的安全信息时响应来自客户端网关的请求而传输安全信息,或者支持推送和抽取传送机制。
注册表管理器66管理和清理用于网络服务定位和管理的具有高级元数据能力的网络服务注册表,例如行业标准注册表,诸如UDDI。例如,服务网络提供者可以根据分类种类和它们定义的名称(branding)存储可用的网络服务的注册表条目。在一个实施例中,根据被准许的访问级别在注册表中组织网络服务,其访问级别可包括专用的、公共的、半专用组的和/或其它。如上所述,一些网络服务可以秘密地发布给特定伙伴,而其它网络服务公开地发布给整个服务网络。
由注册表管理器66管理的网络服务注册表是来自直接或者间接连接到服务网络的所有网络服务提供者的网络服务的集合。对于新的在加入服务网络时没有任何注册表能力的网络服务提供者或者消费者,注册表管理器66提供网络服务、描述、位置、所有者和允许网络服务被告知和消费的公共API的全部集合。可替代地,企业可以在其加入服务网络时有自己的注册表,在这种情况下,注册表管理器可以允许内部的企业网络服务被发布到服务网络的全局网络服务注册表内。
除了基本的网络服务定位和管理外,其它元数据注册表也可用于存储网络服务信息。这些注册表可包括由其它网络控制器组件用于管理诸如超时、将被应用的XML模式、服务合同、QoS参数以及订阅和寻址信息的服务方面。例如,其它注册表可以存储作为存储计费信息、SLA监控信息、交易的端到端商业活动监控信息、活动日志和性能审计信息以及异常报警的结果而获得的数据的集合。
用户凭证、一般策略和安全策略也可以存处在注册表中。
在一些实施例中,根据服务网络的客户端的服务策略,服务网络的客户端具有实时的控制台访问和管理工具,用于实时监控和查询所有注册表信息。
系统管理器69接收由客户端网关获取的审计记录,以例如提供集中控制、监控和交易、事件、警告和报警的审计,还可以管理全面的合同和SLA的传送。优选地,交易优先权基于其临界状态(criticality)实现。系统管理器69的其它可能的功能包括报告交易完成/失败和SLA合同的管理。
本发明的实施例已经在上面主要按照通信网络装置,即客户端网关和网络控制器描述。图4是根据本发明的一个实施例的方法的流程图。
该方法70在步骤72开始,认证服务网络的客户端,在这种情况下,客户端是网络服务提供者。在步骤74,当网络服务提供者已经被认证后,由该网络服务提供者提供的专用网络服务可以在服务网络中发布。
一旦网络服务是可用的,在步骤76在同一个客户端网关或者一个不同的客户端网关被认证的网络服务消费者就可以在步骤78被允许访问服务网络以使用网络服务。
如图4所示的方法70仅仅用于示例的目的,代表不同客户端提供和使用网络服务的情况。更一般地,服务网络的被认证客户端可以被允许使专用网络服务对于该服务网络的另一个客户端可用或者使用由该服务网络的另一个客户端提供的网络服务。因此,同一个客户端可以仅被认证一次,并随后被允许执行多个有关网络服务的功能。一旦客户端使得网络服务可用,该客户端就还可以改变该网络服务的隐私,例如以允许该网络服务可以由该服务网络的另一个客户端使用。
根据前面的描述,如图4所示的执行操作的各种方式以及可被执行的其它操作将是显而易见的。
已经描述的仅是本发明的原理的应用的示例。在不脱离本发明的范围的情况下,本领域的技术人员可以实现其它装置和方法。
例如,服务网络可以包括除了图1所示的组件,诸如在上面引用的相关申请中公开的公共网络网关和服务网络网关。
服务网络还可以包括多个网络控制器。不同的网关可以连接到不同的网络控制器。对于服务网络的一些操作,诸如维持中央服务注册表以及与服务网络网关进行通信,期望配置一个网络控制器为指定的网络控制器。指定的网络控制器可以与普通的网络控制器相同,但是通过操作者终端的命令行接口(CLI)经由管理系统接口52(图3)被配置为网络控制器。
在网络服务注册表被维持在一个服务网络内的多个网络控制器中的情况下,优选地,网络控制器之间相互通信,用于交换有关包含在其各自的注册表中的服务和有关这些服务的本地存储器的控制信息。
因此,网络控制器可以将已经由网关和可能的其它网络控制器提供给该网络控制器的信息存入自己的注册表内。
如图2和图3所示的示例性客户端网关和网络控制器组件同样是非限制的。本发明的实施例可以包括更少的或者另外的组件。即使为了避免拥挤在图2的示例性客户端网关30中没有示出管理系统接口,与网络控制器进行通信的管理系统也可以例如与客户端网关进行通信。
网络服务提供者和消费者已经在这里被主要描述为企业客户端,但是不需要必须与企业相关。本发明的实施例也可以连同诸如移动终端用户系统13的非企业网络服务提供者和消费者实现。
本发明也决不限于客户端网关与网络控制器之间的功能的任何特定划分。功能可以采用与这里所明确描述不同的方式被分发或组合。例如,注册表可以由每个客户端网关存储而不是集中存储。
另外,虽然主要在方法和系统的上下文中描述,但是也可以设想本发明的其它实施例,如存储在例如计算机可读介质上的指令。
Claims (18)
1.一种用于在专用服务网络中提供网络服务的装置,包括:
服务网络接口,被配置为实现所述装置与所述专用服务网络之间的通信,所述专用服务网络允许在网络服务提供者的各个专用系统内提供给用户的网络服务可用于由在这些专用系统之外的所述专用服务网络的其它客户端使用,其中,所述网络服务提供者是所述专用服务网络的客户端;
策略执行模块,其连接到所述服务网络接口,被配置为根据所述专用服务网络的认证策略执行用于客户端访问所述专用服务网络的规则,和允许被认证的客户端访问所述专用服务网络,以使得由所述客户端提供的网络服务对于所述专用服务网络的另一个客户端可用,或者以使用由所述专用服务网络的另一个客户端提供的网络服务,或者以既使得由所述客户端提供的网络服务对于所述专用服务网络的另一个客户端可用又使用由所述专用服务网络的另一个客户端提供的网络服务。
2.如权利要求1所述的装置,其中,所述策略执行模块还被配置为允许所述被认证的客户端使得由所述客户端提供的网络服务对于所述专用服务网络中的任何其它客户端可用,以及根据与所述网络服务相关的各个服务策略使用由另一个客户端提供的网络服务。
3.如权利要求1或2所述的装置,还包括:
安全模块,用于在所述被认证的客户端与所述专用服务网络之间、在所述专用服务网络内、在所述专用服务网络与所述专用服务网络的目的客户端之间,执行安全的端到端通信。
4.如权利要求1或2所述的装置,还包括:
安全模块,其连接到所述策略执行模块,被配置为根据所述规则将认证和授权动作应用于通信业务,并响应所述认证和授权动作,传递或者丢弃所述通信业务。
5.如权利要求4所述的装置,其中,所述安全模块还被配置为将安全规则应用于与所述被认证的客户端相关的通信业务。
6.如权利要求4所述的装置,还包括:
简单对象访问协议SOAP代理模块,其连接到所述安全模块,被配置为将与所述被认证的客户端相关的业务分类为控制业务或数据业务,传输包括用于在服务注册表中发布的与由所述被认证的客户端提供的网络服务相关的信息的控制业务,以及修改数据业务中的SOAP信息用于进一步处理。
7.如权利要求6所述的装置,还包括:
统一描述、发现和集成UDDI代理模块,其连接到所述SOAP代理模块;
其中,所述SOAP代理模块还被配置为识别所接收的UDDI控制业务,并将所接收的UDDI控制业务转发到所述UDDI代理模块用于进一步处理。
8.如权利要求7所述的装置,其中,所述所接收的UDDI控制业务包括用于网络服务查找的请求;所述UDDI代理模块还被配置为处理所述请求的解析和响应发起每个请求的客户端。
9.如权利要求7所述的装置,其中,所述策略执行模块被配置为通过允许所述被认证的客户端向服务注册表发布与所述网络服务相关的信息,允许所述被认证的客户端使得所述网络服务通过所述UDDI代理模块对于另一个客户端可用,以及通过允许所述被认证的客户端访问所述服务注册表,允许所述被认证的客户端使用由另一个客户端提供的网络服务。
10.如权利要求9所述的装置,其中,与所述网络服务相关的信息包括访问信息,其规定由所述专用服务网络的其他成员使用的所述网络服务的访问规则;所述策略执行模块还被配置为允许所述被认证的客户端根据由所述专用服务网络的另一个客户端规定的访问规则,通过所述UDDI代理模块从所述服务注册表访问与由所述专用服务网络的另一个客户端提供的网络服务相关的访问信息。
11.如权利要求7所述的装置,还包括:
服务处理模块,其连接到所述SOAP代理模块,被配置为与所述SOAP代理模块交换数据业务。
12.如权利要求1或2所述的装置,还包括:
转发/路由模块,其连接到所述策略执行模块,被配置为在所述专用服务网络中路由发送通信业务;所述转发/路由模块支持层1转发方法、层2转发方法、网际协议(IP)路由和扩展标记语言(XML)路由中的至少一个。
13.如权利要求1或2所述的装置,其中,所述策略执行模块还被配置为执行所述专用服务网络的变换策略,所述变换策略规定用于传送到所述被认证的客户端和所述专用服务网络的各个格式。
14.一种用于提供专用服务网络的通信系统,在所述专用服务网络中,由网络服务提供者提供的网络服务对于网络服务消费者可访问,所述通信系统包括:
多个客户端网关,其连接到网络服务提供者和网络服务消费者,每一个客户端网关包括如权利要求1或2所述的装置;以及
网络控制器,其连接到至少一个客户端网关,用于管理由所述客户端网关执行的策略和所述网络服务的注册表。
15.一种在专用服务网络中提供网络服务的方法,所述专用服务网络允许在网络服务提供者的各个专用系统内提供给用户的网络服务可由在所述专用系统之外的所述专用服务网络的其它客户端使用,其中,所述网络服务提供者是所述专用服务网络的客户端,所述方法包括:
认证和授权所述专用服务网络的客户端;以及
在所述客户端已经被认证的情况下:
使得由所述客户端提供的网络服务在所述专用服务网络中可用;或者
允许所述客户端访问所述专用服务网络以使用所述客户端已被授权的由所述专用服务网络的另一个客户端提供的特定网络服务或者一组网络服务。
16.如权利要求15所述的方法,其中:
所述使得步骤包括启动与所述专用服务网络的连接,用于服务发布;以及
所述允许步骤包括通过启动与目标网络服务的连接以及向所述目标服务发送请求和从所述目标服务接收应答,允许所述客户端使用所述目标网络服务。
17.如权利要求16所述的方法,其中,所述允许步骤还包括允许所述客户端查询网络服务的注册表,以访问所述特定网络服务或者一组网络服务的信息,或者订阅所述特定网络服务或者一组网络服务在所述注册表级别的变化。
18.如权利要求15所述的方法,其中,所述使得步骤包括根据由所述客户端提供的所述网络服务的服务策略,使得所述网络服务对于另一个客户端可用;所述允许步骤包括确定具有相关的准许所述客户端使用的服务策略的网络服务。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/105,732 US20060235973A1 (en) | 2005-04-14 | 2005-04-14 | Network services infrastructure systems and methods |
US11/105,732 | 2005-04-14 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110230950.XA Division CN102291459B (zh) | 2005-04-14 | 2006-04-14 | 网络服务基础设施系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1855817A CN1855817A (zh) | 2006-11-01 |
CN1855817B true CN1855817B (zh) | 2012-07-04 |
Family
ID=36699149
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110230950.XA Active CN102291459B (zh) | 2005-04-14 | 2006-04-14 | 网络服务基础设施系统和方法 |
CN2006100723398A Expired - Fee Related CN1855817B (zh) | 2005-04-14 | 2006-04-14 | 网络服务基础设施系统和方法 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110230950.XA Active CN102291459B (zh) | 2005-04-14 | 2006-04-14 | 网络服务基础设施系统和方法 |
Country Status (6)
Country | Link |
---|---|
US (2) | US20060235973A1 (zh) |
EP (2) | EP2547069B1 (zh) |
JP (1) | JP2008537829A (zh) |
KR (1) | KR20080008357A (zh) |
CN (2) | CN102291459B (zh) |
WO (1) | WO2006109187A2 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11757942B2 (en) | 2009-01-28 | 2023-09-12 | Headwater Research Llc | Automated device provisioning and activation |
US11923995B2 (en) | 2009-01-28 | 2024-03-05 | Headwater Research Llc | Device-assisted services for protecting network capacity |
Families Citing this family (93)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9614772B1 (en) | 2003-10-20 | 2017-04-04 | F5 Networks, Inc. | System and method for directing network traffic in tunneling applications |
EP1674961A1 (en) * | 2004-12-21 | 2006-06-28 | International Business Machines Corporation | Method for determining an applicable policy for an incoming message |
KR100703754B1 (ko) * | 2005-04-15 | 2007-04-06 | 삼성전자주식회사 | 웹서비스 처리 장치 및 방법 |
US8079059B1 (en) * | 2005-05-31 | 2011-12-13 | Imera Systems, Inc. | Method and system for providing terminal view access of a client device in a secure network |
US8418233B1 (en) * | 2005-07-29 | 2013-04-09 | F5 Networks, Inc. | Rule based extensible authentication |
US8533308B1 (en) | 2005-08-12 | 2013-09-10 | F5 Networks, Inc. | Network traffic management through protocol-configurable transaction processing |
US7801996B2 (en) * | 2005-09-12 | 2010-09-21 | Sap Ag | Systems and methods for providing a local client proxy |
US20070061445A1 (en) * | 2005-09-13 | 2007-03-15 | Deganaro Louis R | Cooperative routing between traffic control device and multi-server application |
WO2007065262A1 (en) * | 2005-12-08 | 2007-06-14 | Sxip Identity Corporation | Networked identtty framework |
JP5048684B2 (ja) * | 2006-01-31 | 2012-10-17 | パナソニック株式会社 | 通信ネットワークに対する選択的なサービス更新方法 |
US8565088B1 (en) | 2006-02-01 | 2013-10-22 | F5 Networks, Inc. | Selectively enabling packet concatenation based on a transaction boundary |
CN101496387B (zh) * | 2006-03-06 | 2012-09-05 | 思科技术公司 | 用于移动无线网络中的接入认证的系统和方法 |
US8868757B1 (en) * | 2006-05-24 | 2014-10-21 | Avaya Inc. | Two-way web service router gateway |
US20080019376A1 (en) * | 2006-07-21 | 2008-01-24 | Sbc Knowledge Ventures, L.P. | Inline network element which shares addresses of neighboring network elements |
US8347403B2 (en) * | 2006-12-19 | 2013-01-01 | Canon Kabushiki Kaisha | Single point authentication for web service policy definition |
US8380880B2 (en) * | 2007-02-02 | 2013-02-19 | The Mathworks, Inc. | Scalable architecture |
US9106606B1 (en) | 2007-02-05 | 2015-08-11 | F5 Networks, Inc. | Method, intermediate device and computer program code for maintaining persistency |
JP4850761B2 (ja) * | 2007-03-16 | 2012-01-11 | 株式会社リコー | イベント通知装置及びイベント通知方法 |
US10313254B1 (en) | 2007-03-30 | 2019-06-04 | Extreme Networks, Inc. | Network management interface for a network element with network-wide information |
US10210532B2 (en) * | 2007-04-16 | 2019-02-19 | Jda Software Group, Inc. | Business-to-business internet infrastructure |
US7962089B1 (en) * | 2007-07-02 | 2011-06-14 | Rockwell Collins, Inc. | Method and system of supporting policy based operations for narrowband tactical radios |
US8224840B2 (en) | 2007-08-28 | 2012-07-17 | International Business Machines Corporation | Sensing and responding to service discoveries |
GB2455347B (en) * | 2007-12-07 | 2012-04-11 | Virtensys Ltd | Control path I/O virtualisation |
US8838803B2 (en) * | 2007-12-20 | 2014-09-16 | At&T Intellectual Property I, L.P. | Methods and apparatus for management of user presence in communication activities |
EP2235912A4 (en) * | 2008-01-24 | 2016-05-04 | Ericsson Telefon Ab L M | METHOD AND DEVICE FOR CONTROLLING GLOBAL WEB SERVICES |
US9832069B1 (en) | 2008-05-30 | 2017-11-28 | F5 Networks, Inc. | Persistence based on server response in an IP multimedia subsystem (IMS) |
US10430491B1 (en) | 2008-05-30 | 2019-10-01 | On24, Inc. | System and method for communication between rich internet applications |
US9130846B1 (en) | 2008-08-27 | 2015-09-08 | F5 Networks, Inc. | Exposed control components for customizable load balancing and persistence |
US9137209B1 (en) | 2008-12-10 | 2015-09-15 | Amazon Technologies, Inc. | Providing local secure network access to remote services |
US9524167B1 (en) | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
US8201237B1 (en) | 2008-12-10 | 2012-06-12 | Amazon Technologies, Inc. | Establishing secure remote access to private computer networks |
US8230050B1 (en) | 2008-12-10 | 2012-07-24 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
US11985155B2 (en) | 2009-01-28 | 2024-05-14 | Headwater Research Llc | Communications device with secure data path processing agents |
US20100205014A1 (en) * | 2009-02-06 | 2010-08-12 | Cary Sholer | Method and system for providing response services |
US9531716B1 (en) * | 2009-08-07 | 2016-12-27 | Cisco Technology, Inc. | Service enabled network |
CN101674268A (zh) * | 2009-09-25 | 2010-03-17 | 中兴通讯股份有限公司 | 接入因特网控制装置及其方法、网关 |
US20110110377A1 (en) * | 2009-11-06 | 2011-05-12 | Microsoft Corporation | Employing Overlays for Securing Connections Across Networks |
CN102123477B (zh) * | 2010-01-08 | 2015-06-10 | 中兴通讯股份有限公司 | M2m核心网络的接入实现方法及装置 |
US11438410B2 (en) | 2010-04-07 | 2022-09-06 | On24, Inc. | Communication console with component aggregation |
US8706812B2 (en) | 2010-04-07 | 2014-04-22 | On24, Inc. | Communication console with component aggregation |
US8504042B2 (en) | 2010-08-25 | 2013-08-06 | Htc Corporation | Method of handling service group ownership transfer in a communication system and related communication device |
JP2012053853A (ja) * | 2010-09-03 | 2012-03-15 | Ricoh Co Ltd | 情報処理装置、情報処理システム、サービス提供機器決定方法、プログラム |
US9596122B2 (en) | 2010-12-03 | 2017-03-14 | International Business Machines Corporation | Identity provider discovery service using a publish-subscribe model |
DE102011081804B4 (de) * | 2011-08-30 | 2015-02-12 | Siemens Aktiengesellschaft | Verfahren und System zum Bereitstellen von gerätespezifischen Betreiberdaten, welche an ein Authentisierungs-Credential gebunden werden, für ein Automatisierungsgerät einer Automatisierungsanlage |
CN103023935B (zh) * | 2011-09-23 | 2018-06-26 | 中兴通讯股份有限公司 | M2m平台云系统及其处理m2m服务的方法 |
CN103209165B (zh) * | 2012-01-17 | 2016-04-13 | 阿尔卡特朗讯 | Ims中的应用服务器框架以及转发会话控制逻辑的方法 |
CN104335553B (zh) * | 2012-03-30 | 2017-12-26 | 诺基亚通信公司 | 用于分布式网关的集中式ip地址管理 |
US9178861B2 (en) * | 2012-10-16 | 2015-11-03 | Guest Tek Interactive Entertainment Ltd. | Off-site user access control |
WO2014069978A1 (en) * | 2012-11-02 | 2014-05-08 | Silverlake Mobility Ecosystem Sdn Bhd | Method of processing requests for digital services |
US9271188B2 (en) | 2012-12-18 | 2016-02-23 | At&T Intellectual Property I, L.P. | Dynamic in-band service control mechanism in mobile network |
US9270765B2 (en) * | 2013-03-06 | 2016-02-23 | Netskope, Inc. | Security for network delivered services |
US9059977B2 (en) * | 2013-03-13 | 2015-06-16 | Route1 Inc. | Distribution of secure or cryptographic material |
US9794333B2 (en) | 2013-06-17 | 2017-10-17 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Workload and defect management systems and methods |
US9430481B2 (en) | 2013-06-17 | 2016-08-30 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Storage disk file subsystem and defect management systems and methods |
US9497088B2 (en) | 2013-08-29 | 2016-11-15 | Oracle International Corporation | Method and system for end-to-end classification of level 7 application flows in networking endpoints and devices |
US9544202B2 (en) | 2013-08-29 | 2017-01-10 | Oracle International Corporation | Dynamic assignment and enforcement of application-driven per-connection service level agreements |
EP2851833B1 (en) | 2013-09-20 | 2017-07-12 | Open Text S.A. | Application Gateway Architecture with Multi-Level Security Policy and Rule Promulgations |
US10171501B2 (en) | 2013-09-20 | 2019-01-01 | Open Text Sa Ulc | System and method for remote wipe |
US10824756B2 (en) | 2013-09-20 | 2020-11-03 | Open Text Sa Ulc | Hosted application gateway architecture with multi-level security policy and rule promulgations |
US11429781B1 (en) | 2013-10-22 | 2022-08-30 | On24, Inc. | System and method of annotating presentation timeline with questions, comments and notes using simple user inputs in mobile devices |
US9864623B2 (en) | 2013-11-21 | 2018-01-09 | Centurylink Intellectual Property Llc | Physical to virtual network transport function abstraction |
US9705995B2 (en) * | 2014-03-18 | 2017-07-11 | Axis Ab | Capability monitoring in a service oriented architecture |
US9998320B2 (en) | 2014-04-03 | 2018-06-12 | Centurylink Intellectual Property Llc | Customer environment network functions virtualization (NFV) |
KR102136039B1 (ko) | 2014-06-30 | 2020-07-20 | 알까뗄 루슨트 | 소프트웨어 정의 네트워크에서의 보안 |
US10225327B2 (en) | 2014-08-13 | 2019-03-05 | Centurylink Intellectual Property Llc | Remoting application servers |
US9898318B2 (en) | 2014-08-15 | 2018-02-20 | Centurylink Intellectual Property Llc | Multi-line/multi-state virtualized OAM transponder |
US10785325B1 (en) | 2014-09-03 | 2020-09-22 | On24, Inc. | Audience binning system and method for webcasting and on-line presentations |
US10027637B2 (en) | 2015-03-12 | 2018-07-17 | Vormetric, Inc. | Secure and control data migrating between enterprise and cloud services |
US10630717B2 (en) * | 2015-05-15 | 2020-04-21 | Avaya, Inc. | Mitigation of WebRTC attacks using a network edge system |
EP3281168A4 (en) * | 2015-07-31 | 2018-03-14 | Hewlett-Packard Enterprise Development LP | Discovering and publishing api information |
US9882833B2 (en) | 2015-09-28 | 2018-01-30 | Centurylink Intellectual Property Llc | Intent-based services orchestration |
US11593075B2 (en) | 2015-11-03 | 2023-02-28 | Open Text Sa Ulc | Streamlined fast and efficient application building and customization systems and methods |
US11388037B2 (en) | 2016-02-25 | 2022-07-12 | Open Text Sa Ulc | Systems and methods for providing managed services |
US11425169B2 (en) | 2016-03-11 | 2022-08-23 | Netskope, Inc. | Small-footprint endpoint data loss prevention (DLP) |
EP3220599B1 (en) * | 2016-03-16 | 2019-06-19 | Panasonic Avionics Corporation | System for demand -based regulation of dynamically implemented firewall exceptions |
US10826875B1 (en) * | 2016-07-22 | 2020-11-03 | Servicenow, Inc. | System and method for securely communicating requests |
US9985870B2 (en) * | 2016-07-29 | 2018-05-29 | Nanning Fugui Precision Industrial Co., Ltd. | Network service method and system based on software defined networking |
US10693878B2 (en) * | 2017-04-26 | 2020-06-23 | Cisco Technology, Inc. | Broker-coordinated selective sharing of data |
US10834113B2 (en) | 2017-07-25 | 2020-11-10 | Netskope, Inc. | Compact logging of network traffic events |
KR102492203B1 (ko) | 2017-09-08 | 2023-01-26 | 콘비다 와이어리스, 엘엘씨 | 기기간 통신 네트워크에서의 자동화된 서비스 등록 |
US11281723B2 (en) | 2017-10-05 | 2022-03-22 | On24, Inc. | Widget recommendation for an online event using co-occurrence matrix |
US11188822B2 (en) | 2017-10-05 | 2021-11-30 | On24, Inc. | Attendee engagement determining system and method |
IT201800011108A1 (it) * | 2018-12-14 | 2020-06-14 | Telecom Italia Spa | Metodo e sistema per erogare servizi dedicati riservati ad una predefinita area di servizio |
US11416641B2 (en) | 2019-01-24 | 2022-08-16 | Netskope, Inc. | Incident-driven introspection for data loss prevention |
CN112887346A (zh) * | 2019-11-29 | 2021-06-01 | 阿里健康信息技术有限公司 | 一种服务网络系统、服务请求处理方法和存储介质 |
CN112468345B (zh) * | 2020-12-11 | 2022-04-12 | 浙江大学 | 一种基于分布式生成树的跨界服务网络架构 |
US11475158B1 (en) | 2021-07-26 | 2022-10-18 | Netskope, Inc. | Customized deep learning classifier for detecting organization sensitive data in images on premises |
US11444978B1 (en) | 2021-09-14 | 2022-09-13 | Netskope, Inc. | Machine learning-based system for detecting phishing websites using the URLS, word encodings and images of content pages |
US11336689B1 (en) | 2021-09-14 | 2022-05-17 | Netskope, Inc. | Detecting phishing websites via a machine learning-based system using URL feature hashes, HTML encodings and embedded images of content pages |
US11438377B1 (en) | 2021-09-14 | 2022-09-06 | Netskope, Inc. | Machine learning-based systems and methods of using URLs and HTML encodings for detecting phishing websites |
US11947682B2 (en) | 2022-07-07 | 2024-04-02 | Netskope, Inc. | ML-based encrypted file classification for identifying encrypted data movement |
EP4425828A1 (en) * | 2023-03-01 | 2024-09-04 | Deutsche Telekom AG | Techniques to provide network-related services |
US11979327B1 (en) * | 2023-05-08 | 2024-05-07 | Dell Products, L.P. | Managed network traffic prioritization |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1404270A (zh) * | 2001-08-21 | 2003-03-19 | 株式会社日立制作所 | 信息设备、网关设备及其控制方法 |
Family Cites Families (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6081900A (en) * | 1999-03-16 | 2000-06-27 | Novell, Inc. | Secure intranet access |
US7496637B2 (en) * | 2000-05-31 | 2009-02-24 | Oracle International Corp. | Web service syndication system |
CA2411806A1 (en) * | 2001-11-16 | 2003-05-16 | Telecommunications Research Laboratory | Wide-area content-based routing architecture |
CN1423461A (zh) * | 2001-11-23 | 2003-06-11 | 中望商业机器有限公司 | 宽带接入网关 |
US7127700B2 (en) * | 2002-03-14 | 2006-10-24 | Openwave Systems Inc. | Method and apparatus for developing web services using standard logical interfaces to support multiple markup languages |
WO2003091895A2 (en) | 2002-04-23 | 2003-11-06 | Edgile, Inc. | System for managing and delivering digital services through computer networks |
KR100485769B1 (ko) * | 2002-05-14 | 2005-04-28 | 삼성전자주식회사 | 서로 다른 홈네트워크에 존재하는 네트워크장치간의접속을 제공하기 위한 장치 및 방법 |
US20050005116A1 (en) * | 2002-09-18 | 2005-01-06 | Commerce One Operations, Inc. | Dynamic interoperability contract for web services |
US20040078424A1 (en) * | 2002-10-16 | 2004-04-22 | Nokia Corporation | Web services via instant messaging |
US7440940B2 (en) * | 2002-12-02 | 2008-10-21 | Sap Ag | Web service agent |
US7284039B2 (en) * | 2002-12-17 | 2007-10-16 | International Business Machines Corporation | Apparatus and method for flexible web service deployment |
US20040128622A1 (en) * | 2002-12-26 | 2004-07-01 | Mountain Highland Mary | Method and server for communicating information between publishers and subscribers of web services |
US8308567B2 (en) * | 2003-03-05 | 2012-11-13 | Wms Gaming Inc. | Discovery service in a service-oriented gaming network environment |
US7305705B2 (en) * | 2003-06-30 | 2007-12-04 | Microsoft Corporation | Reducing network configuration complexity with transparent virtual private networks |
US7698398B1 (en) * | 2003-08-18 | 2010-04-13 | Sun Microsystems, Inc. | System and method for generating Web Service architectures using a Web Services structured methodology |
US8452881B2 (en) * | 2004-09-28 | 2013-05-28 | Toufic Boubez | System and method for bridging identities in a service oriented architecture |
US20050086197A1 (en) * | 2003-09-30 | 2005-04-21 | Toufic Boubez | System and method securing web services |
US7457870B1 (en) * | 2004-02-27 | 2008-11-25 | Packeteer, Inc. | Methods, apparatuses and systems facilitating classification of web services network traffic |
US20050228984A1 (en) * | 2004-04-07 | 2005-10-13 | Microsoft Corporation | Web service gateway filtering |
US20050273668A1 (en) * | 2004-05-20 | 2005-12-08 | Richard Manning | Dynamic and distributed managed edge computing (MEC) framework |
US20060080419A1 (en) * | 2004-05-21 | 2006-04-13 | Bea Systems, Inc. | Reliable updating for a service oriented architecture |
US20060047832A1 (en) * | 2004-05-21 | 2006-03-02 | Christopher Betts | Method and apparatus for processing web service messages |
US20060161616A1 (en) * | 2005-01-14 | 2006-07-20 | I Anson Colin | Provision of services over a common delivery platform such as a mobile telephony network |
US7463637B2 (en) | 2005-04-14 | 2008-12-09 | Alcatel Lucent | Public and private network service management systems and methods |
US7483438B2 (en) | 2005-04-14 | 2009-01-27 | Alcatel Lucent | Systems and methods for managing network services between private networks |
-
2005
- 2005-04-14 US US11/105,732 patent/US20060235973A1/en not_active Abandoned
-
2006
- 2006-04-12 JP JP2008505991A patent/JP2008537829A/ja not_active Withdrawn
- 2006-04-12 WO PCT/IB2006/001334 patent/WO2006109187A2/en not_active Application Discontinuation
- 2006-04-12 EP EP12183660.5A patent/EP2547069B1/en active Active
- 2006-04-12 KR KR1020077026468A patent/KR20080008357A/ko not_active Application Discontinuation
- 2006-04-12 EP EP06744743A patent/EP1875715A2/en not_active Withdrawn
- 2006-04-14 CN CN201110230950.XA patent/CN102291459B/zh active Active
- 2006-04-14 CN CN2006100723398A patent/CN1855817B/zh not_active Expired - Fee Related
-
2014
- 2014-06-30 US US14/318,963 patent/US9516026B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1404270A (zh) * | 2001-08-21 | 2003-03-19 | 株式会社日立制作所 | 信息设备、网关设备及其控制方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11757942B2 (en) | 2009-01-28 | 2023-09-12 | Headwater Research Llc | Automated device provisioning and activation |
US11757943B2 (en) | 2009-01-28 | 2023-09-12 | Headwater Research Llc | Automated device provisioning and activation |
US11923995B2 (en) | 2009-01-28 | 2024-03-05 | Headwater Research Llc | Device-assisted services for protecting network capacity |
Also Published As
Publication number | Publication date |
---|---|
EP2547069B1 (en) | 2015-11-04 |
US20140317683A1 (en) | 2014-10-23 |
CN102291459A (zh) | 2011-12-21 |
WO2006109187A2 (en) | 2006-10-19 |
CN102291459B (zh) | 2015-02-11 |
WO2006109187A3 (en) | 2007-03-08 |
KR20080008357A (ko) | 2008-01-23 |
EP2547069A1 (en) | 2013-01-16 |
EP1875715A2 (en) | 2008-01-09 |
CN1855817A (zh) | 2006-11-01 |
US9516026B2 (en) | 2016-12-06 |
JP2008537829A (ja) | 2008-09-25 |
US20060235973A1 (en) | 2006-10-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1855817B (zh) | 网络服务基础设施系统和方法 | |
US7483438B2 (en) | Systems and methods for managing network services between private networks | |
US7463637B2 (en) | Public and private network service management systems and methods | |
EP2076999B1 (en) | Network service usage management systems and methods | |
US20080033845A1 (en) | Publication Subscription Service Apparatus And Methods | |
CN101473594B (zh) | 网络服务性能监控装置和方法 | |
CN101427548B (zh) | 移动网关设备 | |
ES2830435T3 (es) | Una red orquestada impulsada por datos con control de instalación mediante un controlador distribuido ligero | |
CN101656670B (zh) | 具有集成mpls-感知防火墙的路由装置 | |
CN101461213B (zh) | 通信网络应用活动监视和控制 | |
CN102365890B (zh) | 对于中间联网设备的可验证的服务计费 | |
EP2036306B1 (en) | Secure domain information protection apparatus and methods | |
KR100970771B1 (ko) | 웹 서비스들 사이의 보안 협정 동적 교섭 | |
US20160080331A1 (en) | Server-paid internet access service | |
CN100438427C (zh) | 网络控制方法和设备 | |
CN101090515B (zh) | 一种宽带增值业务运营系统 | |
US9197693B1 (en) | System and method for load distribution using a mail box proxy of a virtual private network | |
Metso | Service Management in IP Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120704 Termination date: 20200414 |
|
CF01 | Termination of patent right due to non-payment of annual fee |