JP6496404B2 - コンピュータサブネットワーク内のプロキシサーバ - Google Patents

コンピュータサブネットワーク内のプロキシサーバ Download PDF

Info

Publication number
JP6496404B2
JP6496404B2 JP2017514693A JP2017514693A JP6496404B2 JP 6496404 B2 JP6496404 B2 JP 6496404B2 JP 2017514693 A JP2017514693 A JP 2017514693A JP 2017514693 A JP2017514693 A JP 2017514693A JP 6496404 B2 JP6496404 B2 JP 6496404B2
Authority
JP
Japan
Prior art keywords
message
proxy server
policy
processing
proxy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017514693A
Other languages
English (en)
Other versions
JP2017529793A5 (ja
JP2017529793A (ja
Inventor
ハンダ,ニティン
カバンザス,ニコラス
スリバスタバ,ロイット
Original Assignee
オラクル・インターナショナル・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オラクル・インターナショナル・コーポレイション filed Critical オラクル・インターナショナル・コーポレイション
Publication of JP2017529793A publication Critical patent/JP2017529793A/ja
Publication of JP2017529793A5 publication Critical patent/JP2017529793A5/ja
Application granted granted Critical
Publication of JP6496404B2 publication Critical patent/JP6496404B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/957Browsing optimisation, e.g. caching or content distillation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/958Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
    • G06F16/972Access to data in other repository systems, e.g. legacy data or dynamic Web page generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1045Proxies, e.g. for session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/565Conversion or adaptation of application format or content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

関連出願
本願は、2015年4月24日に出願された、「コンピュータサブネットワーク内のプロキシサーバ」(PROXY SERVERS WITHIN COMPUTER SUBNETWORKS)と題された米国非仮出願第14/696,186号の利益および優先権を主張し、当該非仮出願は、2014年9月24日に出願された、「モバイルセキュリティアクセスサーバ(MOBILE SECURITY ACCESS SERVER:MSAS)」と題された米国仮特許出願第62/054,613号の利益および優先権を主張する。上述の特許出願の内容全体は、あらゆる目的のために、ここに引用により援用される。
背景
この開示は一般に、セキュリティサービスを提供するためのシステム、方法、およびマシン読取可能媒体に関する。より特定的には、この開示は、とりわけ、認証、認可、監査、シングルサインオン、セキュリティポリシー実施、キー管理および分散、安全な通信、安全なデータ格納、および安全なデータ共有を含む、モバイル装置と企業アプリケーションとの接続のためのセキュリティサービスを提供するためのシステム、方法、およびマシン読取可能媒体に関する。
簡単な概要
ここに説明される局面は、コンピュータネットワーク間で送信されるメッセージを処理するためのさまざまな手法を提供する。いくつかの実施形態では、さまざまなタイプのウェブサービス、アプリケーション、および他のウェブコンテンツに対する要求および応答といったメッセージが、複数のコンピュータネットワーク間で送信されてもよい。物理的または論理的サブネットワーク内に実装されたプロキシサーバといった、1つ以上の中間装置またはアプリケーションが、通信エンドポイント間でメッセージを受信し、処理し、送信してもよい。たとえば、プロキシサーバは、内部コンピュータネットワークのサブネットワーク内で動作するように構成されてもよく、内部コンピュータネットワークのさまざまなウェブアプリケーションおよび/またはサービスを外部コンピュータネットワークに公開する。
ある実施形態では、プロキシサーバは、内部ネットワークにおけるエンドポイントから外部システムにおけるエンドポイントに送信されたメッセージを受信してもよく、または、その逆も同様である。メッセージは、メッセージの意図された宛先を判断するために、および/または、メッセージを処理する際にプロキシサーバがフォワードプロキシとして作用すべきかリバースプロキシとして作用すべきかを判断するために、分析されてもよい。加えて、プロキシサーバは、特定のメッセージを処理するためのエンドツーエンドポリシーモデルといった予め定められた処理フローにおける現在点(カレントポイント:current point)を判断してもよい。メッセージの分析および予め定められた処理フローにおける現在点に基づいて、プロキシサーバは、メッセージに適用されるべき1つ以上のポリシーを選択してもよい。そのようなポリシーは、たとえば、メッセージを認証する、セキュリティトークン仲介およびキー管理を提供する、プロトコルおよびペイロード仲介を行なう、装置ベースのセキュリティを行なう、非武装ゾーン(demilitarized zone:DMZ)脅威保護をサポートする、などのためのセキュリティポリシーおよび他の通信管理ポリシーを含んでいてもよい。メッセージに適用されるべき特定のポリシーを選択した後で、プロキシサーバは、ポリシーに従ってメッセージを処理し、メッセージをその意図された宛先に発送してもよい。
また、ここに説明される例が示すように、さまざまな実施形態は、異なるセキュリティポリシーおよび他の通信管理ポリシーが、DMZもしくは他の論理的または物理的サブネットワーク内で、メッセージのエンドツーエンド処理フロー全体にわたるさまざまな異なる処理点で適用され得る、動的ポリシーモデルをサポートしてもよい。そのような動的ポリシーモデルフレームワークは、通信エンドポイント内では可能ではなかったかもしれない、または好ましくなかったかもしれない、さまざまなタイプのコンピュータネットワークおよびシステムセキュリティおよび他の通信ポリシーを構築し実現するために使用されてもよい。
この発明のさまざまな実施形態が実現され得る例示的な分散型システムのコンポーネントを示すブロック図である。 この発明の実施形態によって提供されるサービスをクラウドサービスとして提供し得るシステム環境のコンポーネントを示すブロック図である。 この発明の実施形態が実現され得る例示的なコンピュータシステムを示すブロック図である。 この発明の1つ以上の実施形態に従った、コンピューティング装置および/またはシステム間でメッセージを処理して送信するためのプロキシサーバを含むコンピューティング環境を、高レベルで示すブロック図である。 この発明の1つ以上の実施形態に従った、選択されたメッセージ処理ポリシーを使用してメッセージを受信して処理するためのプロセスを示すフローチャートである。 この発明の1つ以上の実施形態に従った、予め定められたメッセージ処理フローの例を示すマークアップ言語文書を示す図である。 この発明の1つ以上の実施形態に従った、予め定められたメッセージ処理フローの例を示すマークアップ言語文書を示す図である。 この発明の1つ以上の実施形態に従った、1つ以上のメッセージ処理フロー内の異なる点に対応するメッセージ処理ポリシーの例示的なテンプレートを示すマークアップ言語文書を示す図である。 この発明の1つ以上の実施形態に従った、1つ以上のメッセージ処理フロー内の異なる点に対応するメッセージ処理ポリシーの例示的なテンプレートを示すマークアップ言語文書を示す図である。 この発明の1つ以上の実施形態に従った、1つ以上のメッセージ処理フロー内の異なる点に対応するメッセージ処理ポリシーの例示的なテンプレートを示すマークアップ言語文書を示す図である。 この発明の1つ以上の実施形態に従った、1つ以上のメッセージ処理フロー内の異なる点に対応するメッセージ処理ポリシーの例示的なテンプレートを示すマークアップ言語文書を示す図である。 この発明の1つ以上の実施形態に従った、外部クライアント装置から内部ウェブサービスに送信されたウェブサービス要求のエンドツーエンド処理フローを示すフロー図である。 この発明の1つ以上の実施形態に従った、内部クライアント装置から外部ウェブサービスまたはアプリケーションに送信されたウェブサービスまたはアプリケーション要求のエンドツーエンド処理フローを示すフロー図である。
詳細な説明
以下の記載では、説明の目的のため、多くの特定の詳細が、この発明のさまざまな実施形態の完全な理解を提供するために述べられる。しかしながら、これらの特定の詳細のうちのいくつかがなくてもこの発明の実施形態は実践され得る、ということは、当業者には明らかであろう。他の例では、周知の構造および装置は、ブロック図の形で示される。
以下の記載は例示的な実施形態のみを提供しており、この開示の範囲、利用可能性、または構成を限定するよう意図されてはいない。むしろ、例示的な実施形態の以下の記載は、例示的な実施形態を実現するための実施可能な説明を当業者に提供するであろう。添付された請求項で述べられるようなこの発明の精神および範囲から逸脱することなく、要素の機能および配置においてさまざまな変更が行なわれてもよい、ということが理解されるべきである。
以下の記載では、実施形態の完全な理解を提供するために、特定の詳細が与えられる。しかしながら、これらの特定の詳細がなくても実施形態は実践され得る、ということは、当業者には理解されるであろう。たとえば、実施形態を必要以上に詳細に記して不明瞭にすることがないように、回路、システム、ネットワーク、プロセス、および他のコンポーネントは、ブロック図の形のコンポーネントとして示されてもよい。他の例では、実施形態を不明瞭にしないように、周知の回路、プロセス、アルゴリズム、構造、および手法は、不要な詳細なしで示されてもよい。
また、個々の実施形態は、フローチャート、フロー図、データフロー図、構造図、またはブロック図として示されるプロセスとして説明され得ることに留意されたい。フローチャートは動作を順次プロセスとして説明し得るものの、動作の多くは並行してまたは同時に行なうことが可能である。加えて、動作の順序は並べ替えられてもよい。プロセスは、その動作が完了すると終了するが、図に含まれない追加のステップを有していてもよい。プロセスは、方法、機能、手順、サブルーチン、サブプログラムなどに対応していてもよい。プロセスがある機能に対応している場合、その終了は、その機能が呼出し元の機能または主機能に戻ることに対応可能である。
「コンピュータ読取可能媒体」という用語は、命令および/またはデータを格納し、含み、または担持することができる、携帯型または固定式記憶装置、光学記憶装置、ならびにさまざまな他の媒体といった非一時的媒体を含むものの、それらに限定されない。コードセグメントまたはコンピュータ実行可能命令が、手順、機能、サブプログラム、プログラム、ルーチン、サブルーチン、モジュール、ソフトウェアパッケージ、クラス、もしくは、命令、データ構造またはプログラム文の任意の組合せを表わしてもよい。コードセグメントは、情報、データ、引数、パラメータ、またはメモリ内容を渡し、および/または受信することによって、別のコードセグメントまたはハードウェア回路に結合されてもよい。情報、引数、パラメータ、データなどは、メモリ共有、メッセージパッシング、トークンパッシング、ネットワーク送信などを含む任意の好適な手段を介して渡され、発送され、または送信されてもよい。
さらに、実施形態は、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、ハードウェア記述言語、またはそれらの任意の組合せによって実現されてもよい。ソフトウェア、ファームウェア、ミドルウェアまたはマイクロコードで実現される場合、必要なタスクを行なうためのプログラムコードまたはコードセグメントが、マシン読取可能媒体に格納されてもよい。プロセッサが、必要なタスクを行なってもよい。
コンピュータネットワーク間で送信されるメッセージを処理するために、さまざまな手法(たとえば、方法、システム、1つ以上のプロセッサによって実行可能な複数の命令を格納する非一時的なコンピュータ読取可能記憶メモリ、など)がここに説明される。いくつかの実施形態では、さまざまなタイプのウェブサービス、アプリケーション、および他のウェブコンテンツに対する要求および応答といったメッセージが、複数のコンピュータネットワーク間で送信されてもよい。物理的または論理的サブネットワーク内に実装されたプロキシサーバといった、1つ以上の中間装置またはアプリケーションが、通信エンドポイント間でメッセージを受信し、処理し、送信してもよい。たとえば、プロキシサーバは、内部コンピュータネットワークのサブネットワーク内で動作するように構成されてもよく、内部コンピュータネットワークのさまざまなウェブアプリケーションおよび/またはサービスを外部コンピュータネットワークに公開する。
いくつかの実施形態では、プロキシサーバは、内部ネットワークにおけるエンドポイントから外部システムにおけるエンドポイントに送信されたメッセージを受信してもよく、または、その逆も同様である。メッセージは、メッセージの意図された宛先を判断するために、および/または、メッセージを処理する際にプロキシサーバがフォワードプロキシとして作用すべきかリバースプロキシとして作用すべきかを判断するために、分析されてもよい。加えて、プロキシサーバは、特定のメッセージを処理するためのエンドツーエンドポリシーモデルといった予め定められた処理フローにおける現在点を判断してもよい。メッセージの分析および予め定められた処理フローにおける現在点に基づいて、プロキシサーバは、メッセージに適用されるべき1つ以上のポリシーを選択してもよい。そのようなポリシーは、たとえば、メッセージを認証する、セキュリティトークン仲介およびキー管理を提供する、プロトコルおよびペイロード仲介を行なう、装置ベースのセキュリティを行なう、非武装ゾーン(DMZ)脅威保護をサポートする、などのためのセキュリティポリシーおよび他の通信管理ポリシーを含んでいてもよい。メッセージに適用されるべき特定のポリシーを選択した後で、プロキシサーバは、ポリシーに従ってメッセージを処理し、メッセージをその意図された宛先に発送してもよい。この発明の実施形態のさまざまな追加の詳細を、図を参照して以下に説明する。
図1は、この発明のさまざまな実施形態が実現され得る例示的な分散型システムのコンポーネントを示すブロック図である。図示された実施形態では、分散型システム100は1つ以上のクライアントコンピューティング装置102、104、106、および108を含み、それらは、1つ以上のネットワーク110を通して、ウェブブラウザ、専用クライアント(たとえば、オラクル・フォームズ(Oracle Forms))などのクライアントアプリケーションを実行し、動作させるように構成される。サーバ112は、ネットワーク110を介して、リモートクライアントコンピューティング装置102、104、106、および108と通信可能に結合されてもよい。
さまざまな実施形態では、サーバ112は、システムのコンポーネントのうちの1つ以上によって提供される1つ以上のサービスまたはソフトウェアアプリケーションを実行するように適合されてもよい。いくつかの実施形態では、これらのサービスは、ウェブベースのサービスまたはクラウドサービスとして、もしくはソフトウェア・アズ・ア・サービス(Software as a Service:SaaS)モデルの下で、クライアントコンピューティング装置102、104、106、および/または108のユーザに提供されてもよい。クライアントコンピューティング装置102、104、106、および/または108を動作させるユーザは次に、これらのコンポーネントによって提供されるサービスを利用するためにサーバ112とやりとりするために、1つ以上のクライアントアプリケーションを利用してもよい。
図に示す構成では、システム100のソフトウェアコンポーネント118、120および122は、サーバ112上で実現されるとして図示されている。他の実施形態では、システム100のコンポーネントおよび/またはこれらのコンポーネントによって提供されるサービスのうちの1つ以上も、クライアントコンピューティング装置102、104、106、および/または108のうちの1つ以上によって実現されてもよい。クライアントコンピューティング装置を動作させるユーザは次に、これらのコンポーネントによって提供されるサービスを使用するために、1つ以上のクライアントアプリケーションを利用してもよい。これらのコンポーネントは、ハードウェア、ファームウェア、ソフトウェア、またはそれらの組合せで実現されてもよい。分散型システム100とは異なり得るさまざまな異なるシステム構成が可能であることが理解されるべきである。図に示す実施形態はこのため、実施形態システムを実現するための分散型システムの一例であり、限定的であるよう意図されてはいない。
クライアントコンピューティング装置102、104、106、および/または108は、携帯型ハンドヘルド装置(たとえば、iPhone(登録商標)、携帯電話、iPad(登録商標)、コンピューティングタブレット、携帯情報端末(PDA))、またはウェアラブル装置(たとえば、グーグル・グラス(Google Glass)(登録商標)頭部装着型ディスプレイ)であってもよく、マイクロソフト・ウィンドウズ・モバイル(Microsoft Windows Mobile)(登録商標)などのソフトウェア、および/または、iOS、ウィンドウズ(登録商標)フォン、アンドロイド(登録商標)、ブラックベリー(登録商標)10、パームOSなどのさまざまなモバイルオペレーティングシステムを実行し、インターネット、電子メール、ショートメッセージサービス(short message service:SMS)、ブラックベリー(登録商標)、または他の通信プロトコルに対応している。クライアントコンピューティング装置は、マイクロソフト・ウィンドウズ(登録商標)、アップル・マッキントッシュ(登録商標)、および/またはLinux(登録商標)オペレーティングシステムのさまざまなバージョンを実行するパーソナルコンピュータおよび/またはラップトップコンピュータを例として含む、汎用パーソナルコンピュータであり得る。クライアントコンピューティング装置は、たとえばグーグル・クロームOSなどのさまざまなGNU/Linuxオペレーティングシステムを何ら限定されることなく含む、商業的に入手可能なさまざまなUNIX(登録商標)またはUNIX様オペレーティングシステムのうちのいずれかを実行するワークステーションコンピュータであり得る。それに代えて、またはそれに加えて、クライアントコンピューティング装置102、104、106、および108は、ネットワーク110を通して通信可能である、シンクライアントコンピュータ、インターネット対応ゲーミングシステム(たとえば、Kinect(登録商標)ジェスチャー入力装置を有する、または有さない、マイクロソフトXboxゲーミングコンソール)、および/またはパーソナルメッセージング装置といった、任意の他の電子装置であってもよい。
例示的な分散型システム100は4つのクライアントコンピューティング装置を有して図示されているが、任意の数のクライアントコンピューティング装置がサポートされてもよい。センサを有する装置などの他の装置が、サーバ112とやりとりしてもよい。
分散型システム100におけるネットワーク110は、TCP/IP(transmission control protocol/Internet protocol:伝送制御プロトコル/インターネットプロトコル)、SNA(systems network architecture:システムネットワークアーキテクチャ)、IPX(Internet packet exchange:インターネットパケット交換)、アップル・トーク(Apple Talk)などを何ら限定されることなく含む、商業的に入手可能なさまざまなプロトコルのうちのいずれかを使用してデータ通信をサポートできる、当業者にはよく知られた任意のタイプのネットワークであってもよい。単なる例として、ネットワーク110は、イーサネット(登録商標)、トークンリング(Token-Ring)などに基づくものといった、ローカルエリアネットワーク(local area network:LAN)であり得る。ネットワーク110は、ワイドエリアネットワークおよびインターネットであり得る。それは、仮想プライベートネットワーク(virtual private network:VPN)を何ら限定されることなく含む仮想ネットワーク、イントラネット、エクストラネット、公衆交換電話網(public switched telephone network:PSTN)、赤外線ネットワーク、無線ネットワーク(たとえば、電気電子技術者協会(the Institute of Electrical and Electronics:IEEE)802.11プロトコルスイート、Bluetooth(登録商標)、および/または任意の他の無線プロトコルのうちのいずれかの下で動作するネットワーク)、ならびに/もしくは、これらのおよび/または他のネットワークの任意の組合せを含み得る。
サーバ112は、1つ以上の汎用コンピュータ、専用サーバコンピュータ(PC(パーソナルコンピュータ)サーバ、UNIX(登録商標)サーバ、ミッドレンジサーバ、メインフレームコンピュータ、ラックマウントサーバなどを例として含む)、サーバファーム、サーバクラスタ、もしくは任意の他の適切な構成および/または組合せで構成されてもよい。さまざまな実施形態では、サーバ112は、前述の開示で説明された1つ以上のサービスまたはソフトウェアアプリケーションを実行するように適合されてもよい。たとえば、サーバ112は、この開示の一実施形態に従った上述の処理を行なうためのサーバに対応していてもよい。
サーバ112は、上述のもののうちのいずれかを含むオペレーティングシステム、および商業的に入手可能な任意のサーバオペレーティングシステムを実行してもよい。サーバ112はまた、さまざまな追加のサーバアプリケーションおよび/または中間層アプリケーションのうちのいずれかを実行してもよく、HTTP(hypertext transport protocol:ハイパーテキスト伝送プロトコル)サーバ、FTP(file transfer protocol:ファイル転送プロトコル)サーバ、CGI(common gateway interface:コモンゲートウェイインターフェイス)サーバ、JAVA(登録商標)サーバ、データベースサーバなどを含む。例示的なデータベースサーバは、オラクル、マイクロソフト、サイベース(Sybase)、IBM(International Business Machines:インターナショナル・ビジネス・マシーンズ)などから商業的に入手可能なものを何ら限定されることなく含む。
いくつかの実現化例では、サーバ112は、クライアントコンピューティング装置102、104、106、および108のユーザから受信されたデータフィードおよび/またはイベント更新を分析して統合するための1つ以上のアプリケーションを含んでいてもよい。一例として、データフィードおよび/またはイベント更新は、センサデータアプリケーション、金融ティッカー、ネットワーク性能測定ツール(たとえば、ネットワーク監視およびトラフィック管理アプリケーション)、クリックストリーム分析ツール、自動車交通監視などに関連するリアルタイムイベントを含み得る、1つ以上の第三者情報源および連続データストリームから受信されたツイッター(登録商標)フィード、フェースブック(登録商標)更新またはリアルタイム更新を含んでいてもよいが、それらに限定されない。サーバ112はまた、クライアントコンピューティング装置102、104、106、および108の1つ以上の表示装置を介してデータフィードおよび/またはリアルタイムイベントを表示するための1つ以上のアプリケーションを含んでいてもよい。
分散型システム100はまた、1つ以上のデータベース114および116を含んでいてもよい。データベース114および116は、さまざまな位置に存在していてもよい。例として、データベース114および116のうちの1つ以上は、サーバ112に対してローカルな(および/または、サーバ112内にある)非一時的記憶媒体上に存在していてもよい。それに代えて、データベース114および116は、サーバ112からリモートであってもよく、ネットワークベースの接続または専用接続を介してサーバ112と通信してもよい。一組の実施形態では、データベース114および116は、ストレージエリアネットワーク(storage-area network:SAN)に存在していてもよい。同様に、サーバ112に帰する機能を行なうための任意の必要なファイルが適宜、サーバ112上にローカルに格納されてもよく、および/またはリモートに格納されてもよい。一組の実施形態では、データベース114および116は、SQLフォーマットのコマンドに応答してデータを格納し、更新し、検索するように適合された、オラクルによって提供されるデータベースなどのリレーショナルデータベースを含んでいてもよい。
図2は、この発明の実施形態によって提供されるサービスをクラウドサービスとして提供し得るシステム環境のコンポーネントを示すブロック図である。図示された実施形態では、システム環境200は、クラウドサービスを提供するクラウドインフラストラクチャシステム202とやりとりするためにユーザによって使用され得る1つ以上のクライアントコンピューティング装置204、206、および208を含む。クライアントコンピューティング装置は、クラウドインフラストラクチャシステム202によって提供されるサービスを使用するためにクラウドインフラストラクチャシステム202とやりとりするためにクライアントコンピューティング装置のユーザによって使用され得る、ウェブブラウザ、専用クライアントアプリケーション(たとえば、オラクル・フォームズ)、または何らかの他のアプリケーションといったクライアントアプリケーションを動作させるように構成されてもよい。
図に示すクラウドインフラストラクチャシステム202は、図示されたもの以外のコンポーネントを有していてもよい、ということが理解されるべきである。また、図に示す実施形態は、この発明の一実施形態を取入れ得るクラウドインフラストラクチャシステムの単なる一例である。いくつかの他の実施形態では、クラウドインフラストラクチャシステム202は、図に示すものよりも多い、または少ないコンポーネントを有していてもよく、2つ以上のコンポーネントを組合せてもよく、もしくは、異なる構成または配置のコンポーネントを有していてもよい。
クライアントコンピューティング装置204、206、および208は、102、104、106、および108について上述したものと同様の装置であってもよい。
例示的なシステム環境200は3つのクライアントコンピューティング装置を有して図示されているが、任意の数のクライアントコンピューティング装置がサポートされてもよい。センサを有する装置などの他の装置が、クラウドインフラストラクチャシステム202とやりとりしてもよい。
ネットワーク210は、クライアント204、206、および208とクラウドインフラストラクチャシステム202との間のデータの通信および交換を容易にしてもよい。各ネットワークは、ネットワーク110について上述したものを含む、商業的に入手可能なさまざまなプロトコルのうちのいずれかを使用してデータ通信をサポートできる、当業者にはよく知られた任意のタイプのネットワークであってもよい。
クラウドインフラストラクチャシステム202は、サーバ112について上述したものを含み得る1つ以上のコンピュータおよび/またはサーバを含んでいてもよい。
ある実施形態では、クラウドインフラストラクチャシステムによって提供されるサービスは、オンラインデータストレージおよびバックアップソリューション、ウェブベースの電子メールサービス、ホスト型オフィススイートおよび文書コラボレーションサービス、データベース処理、管理された技術サポートサービスといった、クラウドインフラストラクチャシステムのユーザにとってオンデマンドで利用可能にされる多数のサービスを含んでいてもよい。クラウドインフラストラクチャシステムによって提供されるサービスは、そのユーザの必要性を満たすために動的にスケール変更され得る。クラウドインフラストラクチャシステムによって提供されるサービスの特定のインスタンス化は、ここに「サービスインスタンス」と呼ばれる。一般に、クラウドサービスプロバイダのシステムから、インターネットなどの通信ネットワークを介してユーザに利用可能とされる任意のサービスは、「クラウドサービス」と呼ばれる。典型的には、パブリッククラウド環境では、クラウドサービスプロバイダのシステムを作り上げるサーバおよびシステムは、顧客自身の業務用サーバおよびシステムとは異なっている。たとえば、クラウドサービスプロバイダのシステムは、アプリケーションをホストしてもよく、ユーザは、インターネットなどの通信ネットワークを介してオンデマンドでアプリケーションをオーダーし、使用してもよい。
いくつかの例では、コンピュータネットワーククラウドインフラストラクチャにおけるサービスは、クラウドベンダーによってユーザに提供されるかまたは当該技術分野において他の態様で公知であるようなストレージ、ホスト型データベース、ホスト型ウェブサーバ、ソフトウェアアプリケーション、もしくは他のサービスへの、保護されたコンピュータネットワークアクセスを含んでいてもよい。たとえば、サービスは、インターネットを通した、クラウド上のリモートストレージへの、パスワードで保護されたアクセスを含み得る。別の例として、サービスは、ネットワーク化された開発者による私的使用のための、ウェブサービスベースのホスト型リレーショナルデータベースおよびスクリプト言語ミドルウェアエンジンを含み得る。別の例として、サービスは、クラウドベンダーのウェブサイト上でホストされる電子メールソフトウェアアプリケーションへのアクセスを含み得る。
ある実施形態では、クラウドインフラストラクチャシステム202は、セルフサービスで、サブスクリプションベースで、弾力的にスケーラブルで、信頼でき、高可用性で、かつ安全な態様で顧客に配信される、アプリケーション、ミドルウェアおよびデータベースサービス提供物一式を含んでいてもよい。そのようなクラウドインフラストラクチャシステムの一例は、本譲受人によって提供されるオラクル・パブリック・クラウド(Oracle Public Cloud)である。
さまざまな実施形態では、クラウドインフラストラクチャシステム202は、クラウドインフラストラクチャシステム202によって提供されるサービスに顧客のサブスクリプションを自動的にプロビジョニングし、管理し、追跡するように適合されてもよい。クラウドインフラストラクチャシステム202は、異なるデプロイメントモデルを介してクラウドサービスを提供してもよい。たとえば、サービスは、クラウドインフラストラクチャシステム202がクラウドサービスを販売する組織によって所有され(たとえば、オラクルによって所有され)、サービスが一般大衆または異なる産業企業にとって利用可能とされる、パブリッククラウドモデルの下で提供されてもよい。別の例として、サービスは、クラウドインフラストラクチャシステム202が単一の組織のためにのみ動作され、その組織内の1つ以上のエンティティのためのサービスを提供し得る、プライベートクラウドモデルの下で提供されてもよい。クラウドサービスはまた、クラウドインフラストラクチャシステム202、およびクラウドインフラストラクチャシステム202によって提供されるサービスが、関連するコミュニティにおけるいくつかの組織によって共有される、コミュニティクラウドモデルの下で提供されてもよい。クラウドサービスはまた、2つ以上の異なるモデルの組合せであるハイブリッドクラウドモデルの下で提供されてもよい。
いくつかの実施形態では、クラウドインフラストラクチャシステム202によって提供されるサービスは、ソフトウェア・アズ・ア・サービス(SaaS)カテゴリー、プラットフォーム・アズ・ア・サービス(Platform as a Service:PaaS)カテゴリー、インフラストラクチャ・アズ・ア・サービス(Infrastructure as a Service:IaaS)カテゴリー、または、ハイブリッドサービスを含むサービスの他のカテゴリーの下で提供される、1つ以上のサービスを含んでいてもよい。顧客は、クラウドインフラストラクチャシステム202によって提供される1つ以上のサービスを、サブスクリプションオーダーを介してオーダーしてもよい。クラウドインフラストラクチャシステム202は次に、顧客のサブスクリプションオーダーにおけるサービスを提供するために処理を行なう。
いくつかの実施形態では、クラウドインフラストラクチャシステム202によって提供されるサービスは、アプリケーションサービス、プラットフォームサービス、およびインフラストラクチャサービスを、何ら限定されることなく含んでいてもよい。いくつかの例では、アプリケーションサービスは、SaaSプラットフォームを介して、クラウドインフラストラクチャシステムによって提供されてもよい。SaaSプラットフォームは、SaaSカテゴリーに該当するクラウドサービスを提供するように構成されてもよい。たとえば、SaaSプラットフォームは、統合された開発およびデプロイメントプラットフォーム上にオンデマンドアプリケーション一式を構築し、配信するための能力を提供してもよい。SaaSプラットフォームは、SaaSサービスを提供するための基本ソフトウェアおよびインフラストラクチャを管理し、制御してもよい。SaaSプラットフォームによって提供されるサービスを利用することにより、顧客は、クラウドインフラストラクチャシステム上で実行されるアプリケーションを利用できる。顧客は、顧客が別々のライセンスおよびサポートを購入する必要なく、アプリケーションサービスを取得できる。さまざまな異なるSaaSサービスが提供されてもよい。例は、大型組織のための販売実績管理、企業統合、およびビジネス柔軟性についてのソリューションを提供するサービスを、何ら限定されることなく含む。
いくつかの実施形態では、プラットフォームサービスは、PaaSプラットフォームを介して、クラウドインフラストラクチャシステムによって提供されてもよい。PaaSプラットフォームは、PaaSカテゴリーに該当するクラウドサービスを提供するように構成されてもよい。プラットフォームサービスの例は、(オラクルなどの)組織が共有の共通アーキテクチャ上で既存のアプリケーションを統合できるようにするサービスと、プラットフォームによって提供される共有のサービスを活用する新しいアプリケーションを構築するための能力とを、何ら限定されることなく含んでいてもよい。PaaSプラットフォームは、PaaSサービスを提供するための基本ソフトウェアおよびインフラストラクチャを管理し、制御してもよい。顧客は、顧客が別々のライセンスおよびサポートを購入する必要なく、クラウドインフラストラクチャシステムによって提供されるPaaSサービスを取得できる。プラットフォームサービスの例は、オラクルJava(登録商標)クラウドサービス(Java Cloud Service:JCS)、オラクル・データベース・クラウド・サービス(Database Cloud Service:DBCS)などを、何ら限定されることなく含む。
PaaSプラットフォームによって提供されるサービスを利用することにより、顧客は、クラウドインフラストラクチャシステムによってサポートされるプログラミング言語およびツールを採用するとともに、デプロイメントされたサービスを制御することができる。いくつかの実施形態では、クラウドインフラストラクチャシステムによって提供されるプラットフォームサービスは、データベースクラウドサービス、ミドルウェアクラウドサービス(たとえば、オラクル・フュージョン・ミドルウェア(Oracle Fusion Middleware)サービス)、およびJavaクラウドサービスを含んでいてもよい。一実施形態では、データベースクラウドサービスは、組織がデータベースリソースをプールし、データベースクラウドの形をしたデータベース・アズ・ア・サービスを顧客に提供することを可能にする共有のサービスデプロイメントモデルをサポートしてもよい。ミドルウェアクラウドサービスは、顧客がさまざまなビジネスアプリケーションを開発してデプロイメントするためのプラットフォームを提供してもよく、Javaクラウドサービスは、顧客がクラウドインフラストラクチャシステムにおいてJavaアプリケーションをデプロイメントするためのプラットフォームを提供してもよい。
クラウドインフラストラクチャシステムにおいて、さまざまな異なるインフラストラクチャサービスが、IaaSプラットフォームによって提供されてもよい。これらのインフラストラクチャサービスは、SaaSプラットフォームおよびPaaSプラットフォームによって提供されるサービスを利用する顧客のための、ストレージ、ネットワーク、ならびに他の基礎的コンピューティングリソースなどの基本コンピューティングリソースの管理および制御を容易にする。
ある実施形態では、クラウドインフラストラクチャシステム202はまた、クラウドインフラストラクチャシステムの顧客にさまざまなサービスを提供するために使用されるリソースを提供するためのインフラストラクチャリソース230を含んでいてもよい。一実施形態では、インフラストラクチャリソース230は、PaaSプラットフォームおよびSaaSプラットフォームによって提供されるサービスを実行するために、サーバ、ストレージ、およびネットワーキングリソースなどのハードウェアの予め統合され最適化された組合せを含んでいてもよい。
いくつかの実施形態では、クラウドインフラストラクチャシステム202におけるリソースは、複数のユーザによって共有され、要望ごとに動的に再割当てされてもよい。加えて、リソースは、異なる時間帯におけるユーザに割当てられてもよい。たとえば、クラウドインフラストラクチャシステム230は、第1の時間帯における第1の一組のユーザが、特定数の時間、クラウドインフラストラクチャシステムのリソースを利用することを可能にし、次に、異なる時間帯に位置する別の一組のユーザへの同じリソースの再割当てを可能にして、それによりリソースの利用を最大化してもよい。
ある実施形態では、クラウドインフラストラクチャシステム202の異なるコンポーネントまたはモジュールによって、およびクラウドインフラストラクチャシステム202によって提供されるサービスによって共有される、多くの内部共有サービス232が提供されてもよい。これらの内部共有サービスは、セキュリティおよびアイデンティティサービス、統合サービス、企業リポジトリサービス、企業マネージャサービス、ウィルススキャニングおよびホワイトリストサービス、高可用性、バックアップおよび復元サービス、クラウドサポートを可能にするためのサービス、電子メールサービス、通知サービス、ファイル転送サービスなどを、何ら限定されることなく含んでいてもよい。
ある実施形態では、クラウドインフラストラクチャシステム202は、クラウドインフラストラクチャシステムにおけるクラウドサービス(たとえば、SaaS、PaaS、およびIaaSサービス)の包括的管理を提供してもよい。一実施形態では、クラウド管理機能性は、クラウドインフラストラクチャシステム202によって受信された顧客のサブスクリプションをプロビジョニングし、管理し、追跡するための能力などを含んでいてもよい。
一実施形態では、図に示すように、クラウド管理機能性は、オーダー管理モジュール220、オーダーオーケストレーションモジュール222、オーダープロビジョニングモジュール224、オーダー管理および監視モジュール226、ならびにアイデンティティ管理モジュール228などの1つ以上のモジュールによって提供されてもよい。これらのモジュールは、汎用コンピュータ、専用サーバコンピュータ、サーバファーム、サーバクラスタ、もしくは任意の他の適切な構成および/または組合せであり得る、1つ以上のコンピュータおよび/またはサーバを含んでいてもよく、もしくはそれらを使用して提供されてもよい。
例示的な動作234では、クライアント装置204、206または208などのクライアント装置を使用する顧客は、クラウドインフラストラクチャシステム202によって提供される1つ以上のサービスを要求し、クラウドインフラストラクチャシステム202によって提供される1つ以上のサービスについてサブスクリプションオーダーを出すことにより、クラウドインフラストラクチャシステム202とやりとりしてもよい。ある実施形態では、顧客は、クラウドユーザインターフェイス(User Interface:UI)であるクラウドUI212、クラウドUI214および/またはクラウドUI216にアクセスし、これらのUIを介してサブスクリプションオーダーを出してもよい。顧客がオーダーを出したことに応答してクラウドインフラストラクチャシステム202が受信したオーダー情報は、顧客と、顧客が申し込むつもりである、クラウドインフラストラクチャシステム202によって提供される1つ以上のサービスとを識別する情報を含んでいてもよい。
顧客によってオーダーが出された後で、オーダー情報がクラウドUI212、214および/または216を介して受信される。
動作236で、オーダーがオーダーデータベース218に格納される。オーダーデータベース218は、クラウドインフラストラクチャシステム202によって動作され、他のシステム要素とともに動作される、いくつかのデータベースのうちの1つであり得る。
動作238で、オーダー情報はオーダー管理モジュール220に発送される。場合によっては、オーダー管理モジュール220は、オーダーを検証し、検証後にオーダーを予約するといった、オーダーに関連する請求および課金機能を行なうように構成されてもよい。
動作240で、オーダーに関する情報がオーダーオーケストレーションモジュール222に通信される。オーダーオーケストレーションモジュール222は、顧客によって出されたオーダーのためのサービスおよびリソースのプロビジョニングをオーケストレーションするために、オーダー情報を利用してもよい。場合によっては、オーダーオーケストレーションモジュール222は、オーダープロビジョニングモジュール224のサービスを使用して、申し込まれたサービスをサポートするようにリソースのプロビジョニングをオーケストレーションしてもよい。
ある実施形態では、オーダーオーケストレーションモジュール222は、各オーダーに関連付けられたビジネスプロセスの管理を可能にし、オーダーがプロビジョニングに進むべきか否かを判断するためにビジネス論理を適用する。動作242で、新規サブスクリプションのオーダーを受信すると、オーダーオーケストレーションモジュール222は、リソースを割当ててサブスクリプションオーダーを遂行するために必要とされるリソースを構成するようにという要求を、オーダープロビジョニングモジュール224に送信する。オーダープロビジョニングモジュール224は、顧客によってオーダーされたサービスのためのリソースの割当てを可能にする。オーダープロビジョニングモジュール224は、クラウドインフラストラクチャシステム202によって提供されるクラウドサービスと、要求されたサービスを提供するためのリソースをプロビジョニングするために使用される物理的実装層との間の抽象化のレベルを提供する。オーダーオーケストレーションモジュール222はこのため、サービスおよびリソースが実際にオンザフライでプロビジョニングされるか否か、または予めプロビジョニングされて要求時にのみ割当てられるか否かといった実装詳細から切り離されてもよい。
動作244で、サービスおよびリソースが一旦プロビジョニングされると、提供されるサービスの通知が、クラウドインフラストラクチャシステム202のオーダープロビジョニングモジュール224によって、クライアント装置204、206および/または208上の顧客に送信されてもよい。
動作246で、顧客のサブスクリプションオーダーが、オーダー管理および監視モジュール226によって管理され、追跡されてもよい。場合によっては、オーダー管理および監視モジュール226は、使用されるストレージの量、転送されるデータの量、ユーザの数、システムアップタイムおよびシステムダウンタイムの量といった、サブスクリプションオーダーにおけるサービスについての使用統計を収集するように構成されてもよい。
ある実施形態では、クラウドインフラストラクチャシステム202は、アイデンティティ管理モジュール228を含んでいてもよい。アイデンティティ管理モジュール228は、クラウドインフラストラクチャシステム202においてアクセス管理および認証サービスなどのアイデンティティサービスを提供するように構成されてもよい。いくつかの実施形態では、アイデンティティ管理モジュール228は、クラウドインフラストラクチャシステム202によって提供されるサービスを利用したい顧客についての情報を制御してもよい。そのような情報は、そのような顧客のアイデンティティを認証する情報と、さまざまなシステムリソース(たとえば、ファイル、ディレクトリ、アプリケーション、通信ポート、メモリセグメントなど)に対してそれらの顧客がどのアクションを行なうことが認可されているかを記述する情報とを含み得る。アイデンティティ管理モジュール228はまた、各顧客についての記述的情報と、その記述的情報が誰によってどのようにアクセスされ、修正され得るかについての記述的情報との管理を含んでいてもよい。
図3は、この発明の実施形態が実現され得る例示的なコンピュータシステムを示すブロック図である。システム300は、上述のコンピュータシステムのうちのいずれかを実現するために使用されてもよい。図に示すように、コンピュータシステム300は、バスサブシステム302を介して多くの周辺サブシステムと通信する処理部304を含む。これらの周辺サブシステムは、処理加速部306と、I/Oサブシステム308と、記憶サブシステム318と、通信サブシステム324とを含んでいてもよい。記憶サブシステム318は、有形のコンピュータ読取可能記憶媒体322と、システムメモリ310とを含む。
バスサブシステム302は、コンピュータシステム300のさまざまなコンポーネントおよびサブシステムを意図されるように互いに通信させるためのメカニズムを提供する。バスサブシステム302は単一のバスとして概略的に図示されているが、バスサブシステムの代替的な実施形態は複数のバスを利用してもよい。バスサブシステム302は、さまざまなバスアーキテクチャのうちのいずれかを使用するメモリバスまたはメモリコントローラ、周辺バス、およびローカルバスを含む、いくつかのタイプのバス構造のうちのいずれかであってもよい。たとえば、そのようなアーキテクチャは、IEEE P1386.1規格で製造されるメザニンバスとして実現可能な、産業標準アーキテクチャ(Industry Standard Architecture:ISA)バス、マイクロチャネルアーキテクチャ(Micro Channel Architecture:MCA)バス、強化ISA(EISA)バス、ビデオエレクトロニクス標準組織(Video Electronics Standards Association:VESA)ローカルバス、および周辺コンポーネント相互接続(Peripheral Component Interconnect:PCI)バスを含んでいてもよい。
1つ以上の集積回路(たとえば、従来のマイクロプロセッサまたはマイクロコントローラ)として実現され得る処理部304は、コンピュータシステム300の動作を制御する。処理部304には、1つ以上のプロセッサが含まれていてもよい。これらのプロセッサは、シングルコアまたはマルチコアプロセッサを含んでいてもよい。ある実施形態では、処理部304は、各処理部にシングルまたはマルチコアプロセッサが含まれた、1つ以上の独立した処理部332および/または334として実現されてもよい。他の実施形態では、処理部304はまた、2つのデュアルコアプロセッサをシングルチップへと集積することによって形成されるクアッドコア処理部として実現されてもよい。
さまざまな実施形態では、処理部304は、プログラムコードに応答してさまざまなプログラムを実行でき、同時に実行される複数のプログラムまたはプロセスを維持できる。任意の所与の時間において、実行されるべきプログラムコードのうちのいくつかまたはすべては、プロセッサ304に、および/または記憶サブシステム318にあり得る。好適なプログラミングを通して、プロセッサ304は、上述のさまざまな機能性を提供できる。コンピュータシステム300は加えて処理加速部306を含んでいてもよく、それは、デジタル信号プロセッサ(digital signal processor:DSP)、専用プロセッサなどを含み得る。
I/Oサブシステム308は、ユーザインターフェイス入力装置と、ユーザインターフェイス出力装置とを含んでいてもよい。ユーザインターフェイス入力装置は、キーボード、マウスまたはトラックボールなどのポインティング装置、ディスプレイに組込まれたタッチパッドまたはタッチスクリーン、スクロールホイール、クリックホイール、ダイヤル、ボタン、スイッチ、キーパッド、音声コマンド認識システム付き音声入力装置、マイクロホン、および他のタイプの入力装置を含んでいてもよい。ユーザインターフェイス入力装置は、たとえば、ジェスチャーおよび口頭コマンドを使用したナチュラルユーザインターフェイスを通して、マイクロソフトXbox(登録商標)360ゲームコントローラなどの入力装置をユーザが制御し、それとやりとりすることを可能にする、マイクロソフトKinect(登録商標)運動センサなどの運動感知および/またはジェスチャー認識装置を含んでいてもよい。ユーザインターフェイス入力装置はまた、ユーザから目の活動(たとえば、写真撮影中および/またはメニュー選択中の「まばたき」)を検出し、アイジェスチャーを入力装置(たとえば、グーグル・グラス(登録商標))への入力として変換する、グーグル・グラス(登録商標)まばたき検出器などのアイジェスチャー認識装置を含んでいてもよい。加えて、ユーザインターフェイス入力装置は、ユーザが音声コマンドを通して音声認識システム(たとえば、Siri(登録商標)ナビゲータ)とやりとりできるようにする音声認識感知装置を含んでいてもよい。
ユーザインターフェイス入力装置はまた、3次元(3D)マウス、ジョイスティックまたはポインティングスティック、ゲームパッドおよびグラフィックタブレット、ならびに、スピーカ、デジタルカメラ、デジタルビデオカメラ、携帯型メディアプレイヤー、ウェブカメラ、画像スキャナ、指紋スキャナ、バーコードリーダ3Dスキャナ、3Dプリンタ、レーザー測距器、および視線追跡装置などの音声/視覚装置を、何ら限定されることなく含んでいてもよい。加えて、ユーザインターフェイス入力装置は、たとえば、コンピュータ断層撮影装置、磁気共鳴撮像装置、ポジトロン放出断層撮影装置、医療用超音波検査装置などの医療用撮像入力装置を含んでいてもよい。ユーザインターフェイス入力装置はまた、たとえば、MIDIキーボード、デジタル楽器などの音声入力装置を含んでいてもよい。
ユーザインターフェイス出力装置は、表示サブシステム、表示灯、または、音声出力装置などの非視覚的ディスプレイを含んでいてもよい。表示サブシステムは、陰極線管(cathode ray tube:CRT)、液晶ディスプレイ(liquid crystal display:LCD)またはプラズマディスプレイを使用するものなどのフラットパネル装置、投影装置、タッチスクリーンなどであってもよい。一般に、「出力装置」という用語の使用は、コンピュータシステム300からユーザまたは他のコンピュータに情報を出力するためのあらゆる可能なタイプの装置およびメカニズムを含むよう意図されている。たとえば、ユーザインターフェイス出力装置は、モニタ、プリンタ、スピーカ、ヘッドホン、自動車ナビゲーションシステム、プロッタ、音声出力装置、およびモデムといった、テキスト、グラフィックスおよび音声/映像情報を視覚的に伝えるさまざまな表示装置を、何ら限定されることなく含んでいてもよい。
コンピュータシステム300は、現在システムメモリ310内に位置するとして図示されたソフトウェア要素を含む記憶サブシステム318を含んでいてもよい。システムメモリ310は、処理部304上でロード可能および実行可能なプログラム命令と、これらのプログラムの実行中に生成されたデータとを格納してもよい。
コンピュータシステム300の構成およびタイプに依存して、システムメモリ310は揮発性(ランダムアクセスメモリ(random access memory:RAM)など)であってもよく、および/または不揮発性(読出専用メモリ(read-only memory:ROM)、フラッシュメモリなど)であってもよい。RAMは典型的には、処理部304に直ちにアクセス可能であり、および/または処理部304によって現在動作および実行中のデータおよび/またはプログラムモジュールを含む。いくつかの実現化例では、システムメモリ310は、スタティックランダムアクセスメモリ(static random access memory:SRAM)またはダイナミックランダムアクセスメモリ(dynamic random access memory:DRAM)などの複数の異なるタイプのメモリを含んでいてもよい。いくつかの実現化例では、起動中などにコンピュータシステム300内の要素間で情報を転送するのに役立つ基本ルーチンを含む基本入力/出力システム(basic input/output system:BIOS)が、典型的にはROMに格納されていてもよい。限定のためではなく例として、システムメモリ310はまた、クライアントアプリケーション、ウェブブラウザ、中央層アプリケーション、リレーショナルデータベース管理システム(relational database management system:RDBMS)などを含み得るアプリケーションプログラム312と、プログラムデータ314と、オペレーティングシステム316とを示す。例として、オペレーティングシステム316は、マイクロソフト・ウィンドウズ(登録商標)、アップル・マッキントッシュ(登録商標)、および/またはLinuxオペレーティングシステムのさまざまなバージョン、商業的に入手可能なさまざまなUNIX(登録商標)またはUNIX様オペレーティングシステム(さまざまなGNU/Linuxオペレーティングシステム、グーグル・クローム(登録商標)OSなどを何ら限定されることなく含む)、および/または、iOS、ウィンドウズ(登録商標)フォン、アンドロイド(登録商標)OS、ブラックベリー(登録商標)10OS、パーム(登録商標)OSオペレーティングシステムなどのモバイルオペレーティングシステムを含んでいてもよい。
記憶サブシステム318はまた、いくつかの実施形態の機能性を提供する基本プログラミングおよびデータ構造を格納するための有形のコンピュータ読取可能記憶媒体を提供してもよい。プロセッサによって実行されると上述の機能性を提供するソフトウェア(プログラム、コードモジュール、命令)が、記憶サブシステム318に格納されてもよい。これらのソフトウェアモジュールまたは命令は、処理部304によって実行されてもよい。記憶サブシステム318はまた、この発明に従って使用されるデータを格納するためのリポジトリを提供してもよい。
記憶サブシステム300はまた、コンピュータ読取可能記憶媒体322にさらに接続され得るコンピュータ読取可能記憶媒体リーダ320を含んでいてもよい。システムメモリ310とともに、およびオプションでシステムメモリ310と組合わされて、コンピュータ読取可能記憶媒体322は、リモート、ローカル、固定および/またはリムーバブルの記憶装置に加えて、コンピュータ読取可能情報を一時的におよび/またはより永続的に含み、格納し、送信し、検索するための記憶媒体を包括的に表わしてもよい。
コードまたはコードの一部を含むコンピュータ読取可能記憶媒体322はまた、情報の格納および/または送信のためのあらゆる方法または技術で実現される揮発性および不揮発性でリムーバブルおよび非リムーバブルの媒体を含むがそれらに限定されない記憶媒体および通信媒体を含む、当該技術分野において公知であるかまたは使用されるあらゆる適切な媒体を含み得る。これは、RAM、ROM、電子的消去可能プログラマブルROM(electronically erasable programmable ROM:EEPROM)、フラッシュメモリまたは他のメモリ技術、CD−ROM、デジタル多用途ディスク(digital versatile disk:DVD)または他の光学ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージまたは他の磁気記憶装置、もしくは他の有形のコンピュータ読取可能媒体といった、非一時的で有形のコンピュータ読取可能記憶媒体を含み得る。これは、所望の情報を送信するために使用可能であり、コンピューティングシステム300によってアクセスされ得るデータ信号、データ送信、または任意の他の媒体といった、非有形のコンピュータ読取可能媒体も含み得る。
例として、コンピュータ読取可能記憶媒体322は、非リムーバブルで不揮発性の磁気媒体から読出し、またはそれに書込むハードディスクドライブ、リムーバブルで不揮発性の磁気ディスクから読出し、またはそれに書込む磁気ディスクドライブ、ならびに、CD ROM、DVD、およびBlu−Ray(登録商標)ディスク、または他の光学媒体といった、リムーバブルで不揮発性の光ディスクから読出し、またはそれに書込む光ディスクドライブを含んでいてもよい。コンピュータ読取可能記憶媒体322は、Zip(登録商標)ドライブ、フラッシュメモリカード、ユニバーサルシリアルバス(universal serial bus:USB)フラッシュドライブ、セキュアデジタル(secure digitalSD)カード、DVDディスク、デジタルビデオテープなどを含んでいてもよいが、それらに限定されない。コンピュータ読取可能記憶媒体322はまた、フラッシュメモリベースのソリッドステートドライブ(solid-state drive:SSD)、企業フラッシュドライブ、ソリッドステートROMといった、不揮発性メモリに基づいたSSD、ソリッドステートRAM、ダイナミックRAM、スタティックRAM、DRAMベースのSSD、磁気抵抗RAM(MRAM)SSDといった、揮発性メモリに基づいたSSD、および、DRAMベースのSSDとフラッシュメモリベースのSSDとの組合せを使用するハイブリッドSSDを含んでいてもよい。ディスクドライブおよびそれらの関連付けられたコンピュータ読取可能媒体は、コンピュータ読取可能命令、データ構造、プログラムモジュールおよび他のデータの不揮発性ストレージをコンピュータシステム300に提供してもよい。
通信サブシステム324は、他のコンピュータシステムおよびネットワークへのインターフェイスを提供する。通信サブシステム324は、コンピュータシステム300とは別のシステムからデータを受信し、別のシステムにデータを送信するためのインターフェイスとして機能する。たとえば、通信サブシステム324は、コンピュータシステム300がインターネットを介して1つ以上の装置に接続できるようにしてもよい。いくつかの実施形態では、通信サブシステム324は、(たとえば、3G、4G、またはEDGE(enhanced data rates for global evolution:エンハンスト・データレート・フォー・グローバル・エボリューション)、WiFi(IEEE802.11ファミリー規格)、または他の移動通信技術、またはそれらの任意の組合せといった携帯電話技術、高度なデータネットワーク技術を使用した)無線音声および/またはデータネットワークにアクセスするための無線周波数(radio frequency:RF)トランシーバコンポーネント、全地球測位システム(global positioning system:GPS)受信機コンポーネント、および/または他のコンポーネントを含み得る。いくつかの実施形態では、通信サブシステム324は、無線インターフェイスに加えて、またはその代わりに、有線ネットワーク接続(たとえば、イーサネット)を提供できる。
いくつかの実施形態では、通信サブシステム324はまた、コンピュータシステム300を使用し得る1人以上のユーザのために、構造化および/または非構造化データフィード326、イベントストリーム328、イベント更新330などのフォームを有した入力通信を受信してもよい。
例として、通信サブシステム324は、ツイッター(登録商標)フィード、フェースブック(登録商標)更新、リッチ・サイト・サマリー(Rich Site Summary:RSS)フィードなどのウェブフィード、および/または1つ以上の第三者情報源からのリアルタイム更新といった、ソーシャルネットワークおよび/または他の通信サービスのユーザからのデータフィード326をリアルタイムで受信するように構成されてもよい。
加えて、通信サブシステム324はまた、リアルタイムイベントのイベントストリーム328および/またはイベント更新330を含み得る、明確な終わりがなく本質的に連続的または無限であり得る連続データストリームの形をしたデータを受信するように構成されてもよい。連続データを生成するアプリケーションの例は、たとえば、センサデータアプリケーション、金融ティッカー、ネットワーク性能測定ツール(たとえば、ネットワーク監視およびトラフィック管理アプリケーション)、クリックストリーム分析ツール、自動車交通監視などを含んでいてもよい。
通信サブシステム324はまた、構造化および/または非構造化データフィード326、イベントストリーム328、イベント更新330などを、コンピュータシステム300に結合された1つ以上のストリーミングデータソースコンピュータと通信し得る1つ以上のデータベースに出力するように構成されてもよい。
コンピュータシステム300は、ハンドヘルド携帯装置(たとえば、iPhone(登録商標)携帯電話、iPad(登録商標)コンピューティングタブレット、PDA)、ウェアラブル装置(たとえば、グーグル・グラス(登録商標)頭部装着型ディスプレイ)、PC、ワークステーション、メインフレーム、キオスク、サーバラック、または任意の他のデータ処理システムを含む、さまざまなタイプのうちの1つであり得る。
コンピュータおよびネットワークの絶えず変化する性質により、図に示すコンピュータシステム300の説明は、単に特定の一例として意図される。図に示すシステムよりも多い、または少ないコンポーネントを有する多くの他の構成が可能である。たとえば、カスタマイズされたハードウェアも使用されてもよく、および/または、特定の要素が、ハードウェア、ファームウェア、ソフトウェア(アプレットを含む)、または組合せで実現されてもよい。また、ネットワーク入力/出力装置などの他のコンピューティング装置への接続が採用されてもよい。ここに提供される開示および教示に基づいて、当業者であれば、さまざまな実施形態を実現するための他のやり方および/または方法を理解するであろう。
上に紹介されたように、この発明の実施形態は、コンピュータネットワーク間で送信されるメッセージを処理するための手法を提供する。より特定的には、ある実施形態は、さまざまなタイプのウェブサービス、アプリケーション、および他のウェブコンテンツに対する要求および応答といったメッセージを、複数のコンピュータネットワーク間で送信するための手法を提供する。物理的または論理的サブネットワーク内に実装されたプロキシサーバといった、1つ以上の中間装置またはアプリケーションが、通信エンドポイント間でメッセージを受信し、処理し、送信してもよい。いくつかの実施形態では、プロキシサーバは、内部ネットワークにおけるエンドポイントから外部システムにおけるエンドポイントに送信されたメッセージを受信してもよく、または、その逆も同様である。メッセージは、メッセージの意図された宛先を判断するために、および/または、メッセージを処理する際にプロキシサーバがフォワードプロキシとして作用すべきかリバースプロキシとして作用すべきかを判断するために、分析されてもよい。プロキシサーバはまた、特定のメッセージを処理するために使用されるエンドツーエンドポリシーモデルといった、メッセージのための予め定められた処理フローにおける現在点を判断してもよい。メッセージの分析および予め定められた処理フローにおける現在点に基づいて、プロキシサーバは、メッセージに適用されるべき1つ以上のポリシーを選択してもよい。そのようなポリシーは、たとえば、メッセージを認証する、セキュリティトークン仲介およびキー管理を提供する、プロトコルおよびペイロード仲介を行なう、装置ベースのセキュリティを行なう、非武装ゾーン(DMZ)脅威保護をサポートする、などのためのセキュリティポリシーおよび他の通信管理ポリシーを含んでいてもよい。メッセージに適用されるべき特定のポリシーを選択した後で、プロキシサーバは、ポリシーに従ってメッセージを処理し、メッセージをそれらの意図された宛先に発送してもよい。
図4は、さまざまなコンピュータネットワークにおけるコンピューティング装置および/またはシステム間でメッセージを処理して送信するためのプロキシサーバ420を含むコンピューティング環境400のコンポーネントを示すブロック図である。この例に示すコンピューティング環境400は、ウェブアプリケーションおよびウェブサービスといったコンピューティングリソースへのアクセスをさまざまなクライアント装置に提供するように設計された高レベルコンピュータアーキテクチャに対応していてもよい。さまざまな実施形態では、コンピューティング環境400は、小さく単純なコンピューティングシステムから、大きく非常に複雑なシステムに及ぶ場合があり、当該システムは、さまざまな組織のコンピューティング需要をサポートするために他のそのようなシステムと統合するように設計されたハードウェア、ソフトウェア、およびネットワークコンポーネントを含む。コンピューティング環境400は、多層コンピュータアーキテクチャとして実現されてもよく、それはウェブベースの、および/またはクラウドベースの実装を含んでいてもよく、そこでは、さまざまなエンドポイント装置(たとえば、ユーザ装置410、ウェブアプリケーションまたはウェブサービスプロバイダ430など)が、1つ以上の中間層システムを介してやりとりする。加えて、コンピューティング環境400に示す各コンポーネントは、ハードウェア、ソフトウェア、および/またはネットワークコンポーネントのさまざまな組合せを含む、個々のコンピュータシステムとして実装されてもよい。他の場合、コンピューティング環境400に示す複数のコンポーネントは、組合わせたコンピュータシステムで動作する論理的サブコンポーネント(たとえば、コンピュータ読取可能媒体上で具現化されたソフトウェアアプリケーションなど)として実装されてもよい。
図4に示すように、コンピューティング環境400は、クライアント装置410が、さまざまな通信ネットワーク415、ファイアウォール435、プロキシサーバ420、および/または他の中間装置を介して、1つ以上のバックエンドウェブアプリケーションまたはウェブサービス430に要求を送信し得る、クライアント−サーバシステムに対応していてもよい。ウェブアプリケーションまたはサービス430は、簡易オブジェクトアクセスプロトコル(Simple Object Access protocol:SOAP)ウェブサービスまたはAPI、レプリゼンテーショナル・ステート・トランスファー(REST)ウェブサービスまたはAPI、および/または、ハイパーテキスト転送プロトコル(HTTP)またはHTTPセキュアプロトコルを介して公開されたウェブコンテンツを何ら限定されることなく含む、さまざまなシステム430によって公開された任意のアプリケーションプログラムインターフェイス(application programming interface:API)、サービス、アプリケーション、および任意の他の情報資産を含んでいてもよい。そのような場合、プロキシサーバ420は、クライアント装置410とバックエンドサービス/アプリケーション430との間にセキュリティ層を提供するリバースプロキシサーバとして作用してもよい。リバースプロキシとして作用する場合、プロキシサーバ420は、バックエンドサービス/アプリケーション430のための中央アクセスポイントを、バックエンドサービス/アプリケーション430に関連付けられたさまざまなセキュリティおよび管理ポリシーのサービス仮想化および実施とともに提供してもよい。リバースプロキシとして作用する場合、プロキシサーバ420は、これらのバックエンドサービス/アプリケーション430を仮想化して不明瞭にしながら、バックエンドサービス/アプリケーション430を公開してもよい。たとえば、プロキシサーバ420は、信頼できないネットワーク上のクライアント装置410が基盤のバックエンドサービス/アプリケーション430を読み取らないように、またはバックエンドサービス/アプリケーション430についての知識を持たないように、仮想ユニフォームリソースロケータ(uniform resource locator:URL)のみを公開してもよい。
それに加えて、またはそれに代えて、コンピューティング環境400は、逆方向に送信された要求−応答のためのクライアント−サーバシステムに対応していてもよい。たとえば、ウェブサービス/アプリケーション430と同じ内部コンピュータネットワーク460内で動作するクライアント装置440が、プロキシサーバ420およびファイアウォール435を超えて、さまざまな外部コンピュータシステムおよびネットワーク上で動作するウェブサービスまたはアプリケーション450に要求を送信してもよい。そのような場合、プロキシサーバ420は、内部ネットワーク460内のクライアント装置440と外部ネットワーク上のバックエンドサービス/アプリケーション450との間にセキュリティ層を提供するフォワードプロキシサーバとしても作用してもよい。リバースプロキシ動作と同様に、フォワードプロキシ動作における通信は、SOAPウェブサービス、RESTウェブサービス、HTTP/HTTPSウェブコンテンツなどへの要求、およびそれらからの応答を含んでいてもよい。プロキシサーバ420がフォワードプロキシサーバとして動作している場合、内部ネットワーク内のクライアント装置440は、バックエンドサービス/アプリケーション450について知っているかもしれず、それらのサービス/アプリケーション450は、クライアント側に構成されたプロキシサーバ420から直接送信を受信するかもしれない。そのような場合、プロキシサーバ420は、任意のセキュリティまたは通信管理ポリシーを使用して、フォワードプロキシユニフォームリソース識別子(uniform resource identifier:URI)エンドポイントのためのセキュリティを提供してもよい。
フォワードプロキシモードまたはリバースプロキシモードのいずれであっても、プロキシサーバ420は、Kerberos Kinitベースの認証、Kerberos Pkinitベースの認証、オープン・スタンダード・フォー・オーソライゼーション・プロトコル・バージョン2.0(open standard for authorization protocol version 2.0:OAuth2)ベースの認証、TLPベースの認証といったさまざまなセキュリティおよび認証特徴をサポートし、単純で保護されたGSSAPIネゴシエーションメカニズム(Simple and Protected GSSAPI Negotiation Mechanism:SPNEGO)トークン、WINDOWS(登録商標)NT LANマネージャ(WINDOWS NT LAN Manager:NTLM)トークン、セキュリティアサーションマークアップ言語(Security Assertion Markup Language:SAML)トークンなどを使用してバックエンドサービスのセッショントークンおよび/またはチャレンジベースの認証を作成する。
クライアント装置410および440は、図1〜3の例示的なコンピューティングシステムにおける上述のハードウェア、ソフトウェア、およびネットワーキングコンポーネントのうちのいくつかまたはすべてを含む、デスクトップまたはラップトップコンピュータ、モバイル装置、および他のさまざまなコンピューティング装置/システムを含んでいてもよい。いくつかの実施形態では、クライアント装置410および440は、バックエンドウェブサービス/アプリケーション430および450からデータを要求して受信するように構成された1つ以上のクライアントソフトウェアアプリケーション(たとえばウェブブラウザ)を含んでいてもよい。クライアント装置410および440はまた、ネットワークインターフェイス、セキュリティおよび認証能力、ならびに、ライブコンテンツを受信してそれをユーザにリアルタイムで(またはほぼリアルタイムで)提供するコンテンツキャッシング能力を確立するために、必要なハードウェアおよびソフトウェアコンポーネントを含んでいてもよい。
通信ネットワーク415は、ここに説明されるコンピュータネットワークおよび他の通信ネットワークの任意の組合せを含んでいてもよい。たとえば、ネットワーク415は、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(wide area network:WAN)(たとえばインターネット)、およびさまざまな無線通信ネットワークといった、TCP/IP(伝送制御プロトコル/インターネットプロトコル)ネットワークを含んでいてもよい。加えて、通信ネットワーク415は、バックエンドアプリケーション/サービス430からクライアント装置410を分離する多くの異なる物理的および論理的ネットワークの組合せを表わしてもよい、ということが理解されるべきである。1つ以上のファイアウォール435に加えて、ウェブサーバ、認証サーバなどのさまざまなサーバ、および/または、ファイアウォール、ルータ、ゲートウェイ、ロードバランサなどの特殊なネットワーキングコンポーネントが、クライアント装置410とバックエンドアプリケーション/サービス430との通信を容易にしてもよい。
以下に説明されるように、プロキシサーバ420は、隔てられたコンピュータシステム(たとえばプロキシコンピュータサーバ)として、または、特殊なハードウェア、ソフトウェア、およびネットワークコンポーネントを含む、コンピュータが複数のコンピューティングシステムの組合せとして実装されてもよい。それに代えて、またはそれに加えて、プロキシサーバ420は、信頼できるネットワーク460内のネットワーク装置(たとえば、ウェブサーバまたはファイアウォール)またはコンピュータサーバ内で実行されるプロキシサーバソフトウェアアプリケーションであってもよい。このため、プロキシサーバ420は、内部コンピュータネットワーク460の物理的サブネットワークまたは論理的サブネットワーク465に存在していてもよく、いずれの場合も、信頼できる内部ネットワーク上のクライアント/サーバと、信頼できない外部ネットワーク上のクライアント/サーバとの間の仲介主体として作用してもよい。加えて、プロキシサーバ420内のコンポーネント421〜428の各々は、プロキシサーバ420と通信するように構成された別個のコンピューティングシステムとして実装されてもよく、または、プロキシサーバ420と同じコンピュータサーバ内に統合された論理的サブコンポーネントとして動作してもよい。いずれの場合も、各コンポーネント421〜428は、ここに説明される手法を行なうために、特殊なハードウェア、ソフトウェア、ネットワーク、およびメモリサブシステムを使用して実装されてもよい。
この例では、プロキシサーバ420は、外部クライアント装置410から通信ネットワーク415および/またはファイアウォール435を介してメッセージを受信するように構成されたロードバランサ422を含む。いくつかの実施形態では、ロードバランサ422は、任意の外部ネットワークからバックエンドサービス/アプリケーション430へのすべてのTCP、UDP、HTTP、およびHTTPSトラフィックのためのエントリポイントであってもよい。ロードバランサ422はまた、バックエンドサーバと通信するように、および応答をクライアント装置410に送信するように構成されてもよい。メッセージを受信して構文解析した後で、ロードバランサ422は、(たとえば、Javaネーティブインターフェイス(Java Native Interface:JNI)または.NETプログラミングフレームワークなどを介して)メッセージを適切なウェブサービスフレームワークに送信してもよい。たとえば、クライアント装置からプロキシサーバ420で受信されたSOAP要求は、SOAPウェブサービスフレームワーク421に送信され、REST要求は、RESTウェブサービスフレームワーク423に送信されてもよい。ウェブコンテンツ要求は、要求を構文解析し、URL仮想化コンポーネントまたはサービスといったさまざまなコンポーネントに送信することによって同様に扱われてもよい。これらのウェブサービスおよびコンポーネントはまた、SOAPからRESTへの、およびRESTからSOAPへの、ならびに、JavaScript(登録商標)オブジェクト表記法(JavaScript Object Notation:JSON)からXMLへの、またはJSONからSOAPへの、およびその逆のメッセージ変換といったプロトコル変換を行なうように構成されてもよい。
メッセージスロットリングシステム(またはメッセージスロットリングサブコンポーネント)424は、クライアント装置410および/またはバックエンドサービス/アプリケーション430から受信されたネットワークトラフィックを監視するように構成されてもよい。メッセージスロットリングシステム424は、特定のクライアント装置410および/または特定のウェブサービスまたはアプリケーション430のための設定可能なメッセージレート制限を有していてもよい。メッセージスロットリングシステム424は、特定されたクライアント410への/からの、または特定されたウェブサービス/アプリケーション430への/からのある数のメッセージを可能にする既存のポリシーを使用してもよい。メッセージの数がメッセージレート制限を超える場合、メッセージスロットリングシステム424は、警告送信、ロギング、または今後のメッセージ送信の中断といったアクションを行なうように構成されてもよい。
プロキシサーバ420はまた、プロキシサーバ420内にさまざまなセキュリティポリシーを実装するように構成されたさまざまなセキュリティシステムまたはコンポーネントを含んでいてもよい。この例では、プロキシサーバ420は、キー管理システム425と、トークン仲介システム426と、認証および認可システム427とを含む。プロキシサーバ420内のこれらのシステムおよびセキュリティコンポーネントは、クライアント装置410からのメッセージを認証する、セキュリティトークン仲介を提供する、APIキー管理を行なう、きめの細かい認可および/またはデータ改訂を行なう、機密性および完全性をサポートする、リスクベースの認証を行なう、モバイルクライアント装置410のための装置ベースのセキュリティを行なう、非武装ゾーン(DMZ)脅威保護をサポートする、プロトコルおよびペイロード仲介を行なう、などといったことをしてもよい。たとえば、ロードバランサ422および/または認証/認可システム427は、サービス妨害(Denial of Service:DoS)攻撃を防止し、不正な形式のメッセージを検出してフィルタリングし、SQL、JavaScript、および/またはXPath/XQueryインジェクション攻撃を検出して防止し、悪意のあるコンテンツから保護するためにメッセージ確認を行なう(たとえば、メッセージ添付物内のウィルスを検出する、XMLおよびJSONデータ構造を確認する、形状およびクエリパラメータを確認するなど)ためのサブシステムを含んでいてもよい。トークン仲介システム426は、特定されたクライアント装置410とバックエンドウェブサービス/アプリケーション430との間で認証トークンを変換するように構成されてもよい。セキュリティシステム424〜427はまた、たとえば、複数のバックエンドAPIまたはサービスを集め、自動仲介または合成を行なうことによって、動作のオーケストレーションおよび除去をサポートしてもよい。
加えて、この例では、プロキシサーバ420は、メッセージ処理ポリシー428のデータストアを含む。メッセージ処理ポリシーは、XML、JavaScript、または他のタイプの実行可能ソフトウェアコンポーネントといったさまざまな形のコンピュータ読取可能媒体に格納されてもよい。以下により詳細に説明されるように、メッセージ処理ポリシー428は、プロキシサーバ420内でセキュリティポリシーおよび他の通信管理ポリシーを実施するために使用されてもよい。データストア428は、個々のメッセージのためのエンドツーエンド処理フロー中のさまざまな段階で検索され、個々のメッセージに適用され得る、個々のメッセージ処理ポリシーを含んでいてもよい。メッセージ処理ポリシーデータストア428は、この例に示すようにプロキシサーバ420に存在していてもよく、もしくは、信頼できる内部コンピュータネットワークのバックエンドサーバ、または安全な第三者サーバなどの内部に存在していてもよい。
図4に示すように、プロキシサーバ420は、2つ以上のコンピュータネットワーク間、たとえば、ウェブアプリケーション/サービス430を提供する第1の信頼できる内部ネットワークと、信頼できないさまざまなクライアント装置410が内部ウェブアプリケーション/サービス430にアクセスし得る第2の信頼できない外部ネットワーク415(たとえばインターネット)との間の、中間ネットワーク装置内に実装されてもよい。いくつかの実施形態では、プロキシサーバ420は、内部コンピュータネットワークのためのセキュリティおよび通信管理の初期層を提供するために、内部コンピュータネットワークのサブネットワーク内で動作してもよい。たとえば、安全な内部ネットワーク460は、複数のウェブサービス/アプリケーション430を、さまざまな他のサーバおよびクライアント装置440とともに含んでいてもよい。プロキシサーバ420および/または追加の装置は、同じ内部ネットワーク460の一部であってもよいが、ファイアウォール435bによって内部コンピュータネットワークから分離された、内部コンピュータネットワークの物理的サブネットワーク465内で動作してもよい。いくつかの例では、プロキシサーバ420は、内部コンピュータネットワーク460の(物理的サブネットワークではなく)論理的サブネットワーク465内で実行されるプロキシサーバアプリケーションとして実装されてもよい。このため、プロキシサーバ420は、ファイアウォール435bおよび/またはバックエンドウェブサービス/アプリケーション430のうちの1つ以上と同じコンピューティングシステム上に存在していてもよい。
加えて、いくつかの実施形態では、プロキシサーバ420は、信頼できる内部ネットワーク460と信頼できない外部ネットワークとの間の非武装ゾーン(DMZ)ネットワーク内で動作してもよい。DMZは、クライアント装置410および440、ならびにバックエンドウェブサービス/アプリケーション430および450で提供されるエンドポイントセキュリティとは別の、セキュリティおよび通信管理の第1の層を提供する、物理的サブネットワーク465として実装されてもよい。図4に示すように、DMZは、2つのファイアウォール435aと435bとの間に実装されてもよい。他の実施形態では、DMZは、単一のファイアウォールを使用して、または、信頼できる内部ネットワーク460および信頼できない外部ネットワーク双方からサブネットワーク465を物理的にまたは論理的に分離するネットワーク装置の他のさまざまな構成を使用して、実装されてもよい。プロキシサーバ420など、DMZ内のすべてのコンピュータサーバおよび他の装置は、内部ネットワーク460内の装置のある特定の部分集合(たとえば、ウェブアプリケーション/サーバ430)への限定された接続性を有していてもよい。そのような接続性は、特定のホスト、ポート、プロトコルなどに基づいて限定されてもよい。同様に、信頼できない任意の外部ネットワーク(たとえば、ネットワーク415および装置410)と通信する際、限定された接続性のポリシーがDMZ内の装置に対して実施されてもよい。DMZ内でプロキシサーバ420を動作させることに加えて、ある実施形態では、DMZ内でバックエンドウェブサーバ/アプリケーション430のうちの1つ以上が動作してもよい。たとえば、外部システムからの攻撃をより受けやすいあるサーバ(たとえば、ウェブサーバ、電子メールサーバ、ドメイン名システム(Domain Name System:DNS)サーバなど)を、プロキシサーバ420とともにDMZ内に移動させてもよい。
ここで図5を参照して、選択されたメッセージ処理ポリシーを使用してメッセージを受信して処理するためのプロセスを示すフローチャートが示される。以下に説明されるように、このプロセスにおけるステップは、コンピューティング環境400における1つ以上のコンポーネント、たとえば、プロキシサーバ420、およびそこに実装されたさまざまなサブシステム/サブコンポーネントによって行なわれてもよい。加えて、いくつかの実施形態では、このプロセスにおけるあるステップは、クライアント装置410、バックエンドウェブサービス/アプリケーション430内で、および/または他のさまざまな中間装置によって行なわれてもよい。メッセージを受信して分析すること、メッセージ処理ポリシーを選択すること、およびメッセージを処理することを含む、ここに説明される手法は、上述の特定のシステムおよびハードウェア実装に限定されなくてもよく、ハードウェア、ソフトウェア、およびネットワークコンポーネントの他の組合せを含む他のハードウェアおよびシステム環境内で行なわれてもよい、ということがさらに理解されるべきである。
ステップ501で、ネットワークメッセージが、プロキシサーバ420といった中間コンピューティングシステムまたはアプリケーションによって受信されてもよい。上述のように、プロキシサーバ420は、信頼できる内部ネットワーク460と1つ以上の信頼できない外部ネットワークとの間の中間サーバ装置および/またはアプリケーションとして実装されてもよい。したがって、ステップ501で受信されたネットワークメッセージは、プロキシサーバ420に向けられていないかもしれない。代わりに、プロキシサーバ420は、第1のエンドポイント装置(たとえば、クライアント装置410)によって送信され、第2のエンドポイント装置(たとえば、バックエンドウェブサービスおよび/またはアプリケーション430をホストするコンピュータサーバ)に向けられた、またはその逆のメッセージを遮ってもよい。
いくつかの実施形態では、内部ネットワーク460に出入りするすべてのネットワークトラフィックは、プロキシサーバ420を通してルーティングされてもよい。他の場合、プロキシサーバ420は、特定のタイプまたはプロトコルのネットワークメッセージ、たとえば、クライアント装置410および440からのSOAP、REST、またはURLリソースに対するHTTP要求、ならびに、SOAP、REST、またはURLウェブサービス/アプリケーション430および450からクライアント装置に戻るHTTP応答を遮るように構成されてもよい。したがって、ステップ501で受信されたネットワークメッセージは、たとえば、および何ら限定されることなく、TCPメッセージ、HTTPまたはHTTPSメッセージ、簡易メール転送プロトコル(Simple Mail Transport Protocol:SMTP)、ユーザデータグラムプロトコル(User Datagram Protocol:UDP)メッセージ、および/またはJavaメッセージサービス(Java Message Service:JMS)メッセージであってもよい。場合によっては、ネットワークメッセージは、クライアント装置410からウェブサービス/アプリケーション430をホストするバックエンドコンピュータサーバへのSOAP、REST、またはウェブコンテンツ要求に対応していてもよく、もしくは、クライアント装置410からのSOAP、REST、またはウェブコンテンツ要求に対するバックエンドウェブサービスまたはアプリケーション430による応答に対応していてもよい。加えて、ネットワークメッセージは、内部コンピュータネットワーク460内で動作するクライアント装置440から外部コンピュータネットワーク上で動作するウェブサービス/アプリケーションを提供するコンピュータサーバ450へのSOAP、REST、またはウェブコンテンツ要求に対応していてもよく、もしくは、内部クライアント装置440からのSOAP、REST、またはウェブコンテンツ要求に対する外部ウェブサービスまたはアプリケーション450からの応答に対応していてもよい。
ステップ502で、プロキシサーバ420は、ステップ501で受信されたネットワークメッセージを分析して、メッセージの意図された宛先を判断し、また、ネットワークメッセージを処理する際にプロキシサーバ420がフォワードプロキシとして作用すべきか(すなわちフォワードプロキシモード)、リバースプロキシとして作用すべきか(すなわちリバースプロキシモード)を判断してもよい。ここに使用されるように、ネットワークメッセージの「意図された宛先」とは、送信装置または送信装置のユーザによって指定されたメッセージの宛先を指してもよい。メッセージの意図された宛先は、メッセージヘッダおよび/またはメッセージ本文の一部を構文解析し、分析することによって判断されてもよい。たとえば、メッセージのユニフォームリソース識別子(URI)、もしくは、ウェブサービスまたはアプリケーションの識別子、および/またはメッセージ本文内の動作識別子が、内部ネットワーク460によって提供されるウェブサービス/アプリケーションまたはウェブコンテンツに対応していてもよい。この例では、プロキシサーバ420は、メッセージヘッダおよびコンテンツに基づいて、メッセージは内部ネットワーク460内の特定のサーバに向けられていると判断してもよい。別の例では、メッセージURIが信頼できないネットワーク上のリモートサーバに対応している場合、プロキシサーバ420は、メッセージの意図された宛先は、内部ネットワーク460内の装置ではなく、リモートサーバであると判断してもよい。ソースIPアドレスまたはホスト名識別子といった、メッセージの送信元を識別するメッセージ内の情報も、メッセージの意図された宛先を判断するために使用されてもよい。
メッセージの意図された宛先を判断することに加えて、プロキシサーバ420は、メッセージを処理する際にプロキシサーバ420がフォワードプロキシモードで動作すべきかリバースプロキシモードで動作すべきかを判断するために、メッセージは、クライアント装置410または440からの要求の一部か、もしくはウェブサービス/アプリケーションサーバ装置430または450からの応答の一部かを判断してもよい。たとえば、受信されたメッセージがクライアント装置410からウェブサービスまたはアプリケーション430への要求である場合、意図された宛先は信頼できる内部ネットワーク460内にあり、プロキシサーバ420はリバースプロキシモードで動作すべきである。対照的に、受信されたメッセージが内部クライアント装置440から外部ウェブサービス450、ウェブアプリケーション450、またはURL450への要求である場合、意図された宛先は信頼できる内部ネットワークの外部にあり、プロキシサーバ420はフォワードプロキシモードで動作すべきである。
他の場合、ステップ501で受信されたメッセージは、クライアント装置410または440からの要求ではないかもしれず、代わりに、以前の要求に対するウェブサーバ430または450からの応答であるかもしれない。たとえば、受信されたメッセージが、クライアント装置410からの要求に対する、信頼できる内部ネットワーク460内のウェブサービス/アプリケーション430または他のサーバからの応答である場合、元の要求の意図された宛先は信頼できる内部ネットワーク460内にあり、プロキシサーバ420はリバースプロキシモードで動作すべきである。対照的に、受信されたメッセージが、クライアント装置440からの要求に対する、内部ネットワーク460の外部のウェブサービス/アプリケーション450または他のサーバからの応答である場合、元の要求の意図された宛先は内部ネットワーク460の外部にあり、プロキシサーバ420はフォワードプロキシモードで動作すべきである。
ステップ503で、プロキシサーバ420は、ステップ501で受信されたメッセージのための予め定められた処理フローにおける現在点を判断してもよい。メッセージ処理フローとは、プロキシサーバ420によるクライアント装置410または440からのメッセージの受信で始まり、プロキシサーバ420によるクライアント装置410または440への応答の送信で終わる、プロキシサーバ420によって実行されるべきエンドツーエンドメッセージ処理フローを指してもよい。以下に説明されるように、メッセージのための予め定められた処理フローにおける現在点を判断することは、メッセージに関連付けられたポリシーモデルを識別し、処理モデル内の現在の処理位置を判断することを含んでいてもよい。
いくつかの実施形態では、メッセージのための予め定められたメッセージ処理フローは、ポリシーモデルによって定義されてもよい。ポリシーモデルは、メッセージのエンドツーエンドメッセージ処理フロー中のさまざまな点でメッセージを処理するためにプロキシサーバ420によって適用され得る一組のポリシー(たとえば、セキュリティポリシー、通信管理ポリシーなど)を定義するデータを含んでいてもよい。メッセージのエンドツーエンド処理フローを定義するポリシーモデル、および個々のメッセージ処理ポリシーは双方とも、XML、JavaScript、または他のタイプの実行可能ソフトウェアコンポーネントといったさまざまな形のコンピュータ読取可能媒体であってもよい。ポリシーモデルおよび/またはメッセージ処理ポリシーは、プロキシサーバ420内に、たとえばデータストア428に、または内部ネットワーク460内の他のところに格納されてもよい。
上述のように、ポリシーモデルは、プロキシサーバ420がメッセージのエンドツーエンド処理フローにおけるさまざまな点でメッセージに適用し得る一組のメッセージ処理ポリシーを定義してもよい。いくつかの実施形態では、ステップ503で、プロキシサーバ420は、ステップ501で受信されたメッセージの特性に依存して、異なるポリシーモデルを適用してもよい。たとえば、プロキシサーバ420によって検索され適用される特定のポリシーモデルは、ステップ502で行なわれたメッセージの意図された宛先、およびフォワードまたはリバースプロキシモードの判断に依存していてもよい。加えて、プロキシサーバ420によって検索され適用されるポリシーモデルは、メッセージを送信するために使用されるネットワークプロトコル、および/または、メッセージの要求タイプまたはクライアントタイプに依存していてもよい。たとえば、REST要求、SOAP要求、ウェブコンテンツ(URL)要求などのために、異なるポリシーモデルが使用されてもよい。
図6Aおよび図6Bを簡潔に参照して、ポリシーモデルの2つの例が示されており、それらは双方ともXMLで実現されている。図6Aは、仮想アプリケーションのための例示的なポリシーモデルを示す。このため、例示的なポリシーモデル600aは、リバースプロキシ使用事例についてのメッセージ処理のために検索され、使用されてもよい。対照的に、図6Bは、プロキシアプリケーションのための例示的なポリシーモデルを示し、したがって、例示的なポリシーモデル600bは、フォワードプロキシ使用事例についてのメッセージ処理のために検索され、使用されてもよい。これらの例の各々に示すように、ポリシーモデルは、処理フロー内のさまざまな点(「アサーション」とも呼ばれ得る)のタグまたは識別子、および、処理点/アサーションの各々についての1つ以上のポリシー識別子を含んでいてもよい。たとえば、例示的なポリシーモデル600aは、要求が受信されると行なわれるべき2つのポリシー(「on-request」タグ内)、メッセージ変換を行なうポリシー(「message-transformation」タグ内)、および、バックエンドウェブサービスが呼び出されると行なわれるべきポリシー(「invoke」タグ内)を識別する。例示的なポリシーモデル600bは、要求が受信されると行なわれるべきポリシー(「on-request」タグ内)、および、バックエンドウェブサービスが呼び出されると行なわれるべきポリシー(「invoke-proxy」タグ内)を識別する。
いくつかの実施形態では、プロキシサーバ420は、プロキシアプリケーションについては(すなわち、フォワードプロキシモードでは)サービスレベル(またはURLレベル)でポリシーを適用してもよく、一方、仮想アプリケーションについては(すなわち、リバースプロキシモードでは)、プロキシサーバ420は、サービスレベルおよび/または動作レベル(または方法レベル)でポリシーを適用してもよい。したがって、信頼できる内部ネットワーク460内のバックエンドウェブサービス/アプリケーション430を呼び出す場合、プロキシサーバ420はまず、動作(SOAPについて)または方法(RESTおよびURLについて)を判断してから、ポリシーモデル内で識別されたポリシーを実施できるようになっていてもよい。
ステップ501で受信されたメッセージに関連付けられたポリシーモデル(または処理フローを定義する他のデータ)を識別した後で、プロキシサーバ420は、ポリシーまたは処理フローに従って、メッセージ処理における現在点を判断してもよい。メッセージ処理フローにおける現在点は、メッセージ自体の特性によって、および、メッセージの以前の処理に関する以前に格納されたデータに基づいて判断されてもよい。上述のように、予め定められた処理フローは、クライアント装置410または440による最初の要求から、クライアント装置410または440に返送された応答までの、メッセージのためのエンドツーエンド処理を適用してもよい。したがって、ステップ501で受信されたメッセージが、クライアント装置からの最初の要求であるか、クライアント装置からの追加データ(たとえば、要求に関する認証クレデンシャルまたは追加データ)の送信であるか、バックエンドウェブサービス/アプリケーションからの応答であるか、もしくは、バックエンドサーバまたは装置からの追加データ(たとえば、シングルサインオンまたはトークン翻訳サービスからのデータ)の送信であるかを判断することは、プロキシサーバ420が、エンドツーエンドメッセージ処理フロー内のメッセージ処理の現在点を判断することを可能にし得る。加えて、プロキシサーバ420は、プロキシサーバ420がメッセージに適用すべき次のメッセージ処理ポリシーを判断するために、以前のメッセージ変換、サービスの呼び出し、遭遇した処理エラーの結果といった、メッセージまたは他の関連するメッセージに対して行なわれた以前の処理に関連するデータを格納してもよい。
以下の段落は、メッセージ処理ポリシーが適用され得る、ポリシーモデルまたは他のメッセージ処理フロー内の可能な点(「アサーション」とも呼ばれ得る)のいくつかの例を含む。これらの例は単なる例示であり、網羅的なリストでなくてもよい、ということが理解されるべきである。また、ここに説明されるアサーション名(たとえば、OnRequest、OnInvoke、OnResponse、OnError、MessageTransformationなど)、ならびに、アサーションおよびポリシーに使用されるXML構造およびタグ名は、さまざまな他の実施形態において変更されてもよい。
ステップ503でポリシーモデルまたは他の予め定められたメッセージ処理フロー内の現在点を判断する第1の例は、ステップ501で受信されたメッセージが外部コンピュータネットワークにおけるクライアント装置410からの要求に対応していると判断することを含んでいてもよい。メッセージのエンドツーエンド処理フローの初めにあるこの点は、「OnRequest」アサーションなどと呼ばれてもよい。以下により詳細に説明されるように、OnRequestアサーションは、仮想サービス、プロキシサービス、および/またはウェブアプリケーションを安全にするために適用され得るポリシーへの参照を含んでいてもよい。たとえば、OnRequestアサーションは、外部クライアント装置410から受信された新規のウェブサービス/アプリケーション/コンテンツ要求のためにプロキシサーバ420が実施すべきセキュリティポリシーを表わすURIまたは他の識別子を含んでいてもよい。OnRequestアサーションはまた、他のポリシーを参照してもよく、および/または、他のアサーションを含んでいてもよい。場合によっては、OnRequestアサーションは、リバースプロキシモードでのみ動作してもよく、すなわち、外部クライアント装置410からの内部ウェブサービス430に対する要求のみを扱ってもよい。そのような場合、内部クライアント装置440からの外部ウェブリソース450に対する要求は、異なるメッセージ処理ポリシーを適用し得る異なるアサーションによって扱われてもよい。
ステップ503で起こり得る現在のメッセージ処理点の別の判断は、外部クライアント装置410から要求を受信した後で、プロキシサーバ420は内部コンピュータネットワーク460におけるバックエンドウェブアプリケーションまたはウェブサービス430に要求を送信すべきであると判断することを含んでいてもよい。メッセージのエンドツーエンド処理フロー内のこの点は、「OnInvoke」アサーションなどと呼ばれてもよい。OnRequestアサーションと同様に、いくつかの実施形態では、OnInvokeアサーションは、内部ネットワーク460内のバックエンドウェブサービス/アプリケーション430を呼び出すために最初の要求が外部クライアント装置410から受信されたリバースプロキシ使用事例にのみ当てはまり得る。OnInvokeアサーションは、エンドツーエンド処理フローにおけるこの点でプロキシサーバ420が実施すべきポリシーを表わすURIまたは他の識別子を含んでいてもよい。たとえば、複数のXML「ポリシーURI」XML要素を使用することによって、複数のポリシー識別子(または参照)がOnInvokeアサーション内に含まれてもよい。加えて、OnInvokeアサーションは、クライアントのリソースパターンを使用することから、クライアント詳細を一意的に識別してもよい。OnInvokeアサーションに使用されるクライアントタイプ(たとえば、RESTクライアント、SOAPクライアント、URL/ウェブクライアントなど)は、OnInvokeアサーション内に構成された値に基づいて、実行時間にプロキシサーバ420によって判断されてもよい。OnInvokeアサーションはまた、他のポリシーを参照してもよく、および/または、他のアサーションを含んでいてもよい。
現在のメッセージ処理点を判断する別の例は、外部クライアント装置410から要求を受信した後で、およびバックエンドウェブサービス/アプリケーション430を呼び出した後で、プロキシサーバ420は外部クライアント装置410に応答を送信すべきであると判断することを含んでいてもよい。メッセージのエンドツーエンド処理フロー内のこの点は、「OnResponse」アサーションなどと呼ばれてもよい。OnRequestおよびOnInvokeアサーションと同様に、いくつかの実施形態では、OnResponseアサーションは、内部ネットワーク460内のバックエンドウェブサービス/アプリケーション430を呼び出すために最初の要求が外部クライアント装置410から受信されたリバースプロキシ使用事例にのみ当てはまり得る。OnResponseアサーションは、エンドツーエンド処理フローにおけるこの点でプロキシサーバ420が実施すべきポリシーを表わすURIまたは他の識別子を含んでいてもよい。複数のポリシー識別子(または参照)がOnResponse内に含まれてもよく、OnResponseアサーションはまた、他のポリシーを参照してもよく、および/または、他のアサーションを含んでいてもよい。
ステップ503で起こり得る現在のメッセージ処理点の別の判断は、プロキシサーバ420は内部クライアント装置440から外部ウェブサービスまたはアプリケーション450に要求を送信すべきであると判断することを含んでいてもよい。メッセージのエンドツーエンド処理フロー内のこの点は、「OnProxyInvoke」アサーションなどと呼ばれてもよい。上述のOnInvokeアサーションの例とは異なり、OnProxyInvokeアサーションは、信頼できない外部ネットワーク内のバックエンドウェブサービス/アプリケーション450を呼び出すために最初の要求が内部クライアント装置440から受信されたフォワードプロキシ使用事例にのみ当てはまり得る。OnProxyInvokeアサーションは、エンドツーエンド処理フローにおけるこの点でプロキシサーバ420が実施すべきポリシーを表わすURIまたは他の識別子を含んでいてもよい。たとえば、複数のXML「ポリシーURI」XML要素を使用することによって、複数のポリシー識別子(または参照)がOnProxyInvokeアサーション内に含まれてもよい。OnProxyInvokeアサーションに使用されるクライアントタイプ(たとえば、RESTクライアント、SOAPクライアント、URL/ウェブクライアントなど)は、たとえば実行時間引数に基づいて、実行時間にプロキシサーバ420によって判断されてもよい。OnProxyInvokeアサーションはまた、他のポリシーを参照してもよく、および/または、他のアサーションを含んでいてもよい。
現在のメッセージ処理点を判断する別の例は、エンドツーエンド処理フロー中のいずれかの点で、プロキシサーバ420はあるメッセージタイプから別のメッセージタイプにメッセージを変換すべきであると判断することを含んでいてもよい。メッセージのエンドツーエンド処理フロー内のこの点は、「MessageTransformation」アサーションなどと呼ばれてもよい。たとえば、プロキシサーバ420は、第1のメッセージタイプ(たとえばREST要求)を有するメッセージを受信し、メッセージを分析して、メッセージは、第2のメッセージタイプ(たとえばバックSOAPサービス)のみを受け入れるバックエンドサービスまたはアプリケーションに向けられていると判断してもよい。そのような判断の後で、プロキシサーバ420は、メッセージに対して適切なMessageTransformationアサーションを実行してから、変換されたメッセージを意図された宛先に送信してもよい。プロキシサーバ420によってサポートされ得る変換ポリシーの例は、XMLポリシーからJavaScriptオブジェクト表記法(JSON)ポリシー、およびJSONポリシーからXMLポリシー、XMLポリシーからSOAPポリシー、およびSOAPポリシーからXMLポリシー、ならびに、JSONポリシーからSOAPポリシー、およびSOAPポリシーからJSONポリシーを、何ら限定されることなく含んでいてもよい。他の周知の媒体タイプ間の変換が、さまざまな実施形態においてサポートされてもよい。プロキシサーバ420は、バックエンドサービス仮想化の際に適切な変換ポリシーを自動的に添付してもよく、変換は、プロキシサーバ420に、またはコンピューティング環境400における他のところにインストールされた1つ以上の翻訳フレームワークを使用して行なわれてもよい。いくつかの実施形態では、MessageTransformationアサーションはリバースプロキシモードでのみ動作してもよく、すなわち、外部クライアント装置410からの内部ウェブリソース430に対する要求およびクライアント装置410への応答の変換のためにのみサポートされてもよい。他の実施形態では、MessageTransformationアサーションは、フォワードプロキシおよびリバースプロキシ使用事例双方のためにサポートされてもよい。
現在のメッセージ処理点を判断する別の例は、メッセージのためのエンドツーエンド処理フロー中のいずれかの点でエラーが起こったと判断することを含んでいてもよい。メッセージのエンドツーエンド処理フロー内のこの点は、「OnError」アサーションなどと呼ばれてもよい。メッセージのためのOnErrorアサーションをトリガしている(たとえば、メッセージに関連付けられたOnErrorアサーションで識別された1つ以上のポリシーの実行をトリガしている)エラーは、プロキシサーバ420によって行なわれた処理内で起こったエラー、および/または、バックエンドコンピュータサーバまたは装置からプロキシサーバ420によって受信されたエラーであってもよい。たとえば、プロキシサーバ420は、認可サービス、トークン翻訳サービス、またはバックエンドウェブサービス/アプリケーション430または450といったメッセージの処理フロー中に呼び出されたバックエンドコンピュータサーバからエラー表示を受信してもよい。加えて、プロキシサーバ420は、メッセージ処理タスクを行ないながらエラーを識別または生成してもよく、OnErrorアサーションでポリシーをトリガするメッセージは、メッセージを構文解析または確認する際のエラー、もしくはメッセージ変換ポリシーを実行する際のエラーといった、プロキシサーバ420によって行なわれるメッセージ処理内で起こったエラーであってもよい。このため、特定のメッセージ処理ポリシーが適用され得る処理フロー内の点(「アサーション」とも呼ばれる)の以前の例のうちのいくつかとは異なり、OnErrorアサーションは条件付きであってもよい。すなわち、メッセージのエンドツーエンド処理フロー中、プロキシサーバ420は、処理中に起こり得るエラーの数およびタイプに依存して、OnErrorアサーションからポリシーを1回、複数回、適用してもよく、または全く適用しなくてもよい。さまざまな異なる実施形態では、OnErrorアサーションは、フォワードプロキシ使用事例、リバースプロキシ使用事例、または双方に適用されてもよい。
ステップ504で、ステップ501で受信されたメッセージを処理するための1つ以上の特定のポリシーが、プロキシサーバ420によって選択され、検索されてもよい。上述のように、プロキシサーバ420によって選択され、メッセージに適用される特定のポリシーは、セキュリティポリシーおよび任意の他のタイプの通信管理ポリシーを含んでいてもよい。たとえば、および何ら限定されることなく、そのようなポリシーは、とりわけ、認証、認可、監査、シングルサインオン、セキュリティポリシー実施、キー管理および分散、安全な通信、安全なデータ格納、および安全なデータ共有に関連する機能を行なってもよい。
ステップ504で、プロキシサーバ420によって、まず、メッセージに関連付けられたエンドツーエンド処理フロー(たとえばポリシーモデル)を検索し、次に、ステップ503で判断されたエンドツーエンド処理フロー内の現在点(たとえばアサーション)を使用して、エンドツーエンドフローにおける現在点でメッセージに適用されるであろう特定のポリシーを識別することにより、ポリシーが選択されてもよい。たとえば、ステップ501で受信されたメッセージが、外部クライアント装置410からのウェブサービス/アプリケーション430に対する要求である場合、および、例示的なポリシーモデル600aがそのようなメッセージのエンドツーエンド処理を制御するために使用される場合、プロキシサーバ420は、ポリシーモデル600aの「on-request」タグ内で識別された任意のポリシーを検索してもよい。この場合、ポリシーモデル600aの「on-request」タグ内には2つのポリシー識別子が見出され、それらは各々、「PolicyReference URI」タグ内に含まれている。このため、この例では、プロキシサーバ420はステップ504でこれら2つのポリシーを選択して、ステップ505でメッセージを処理するために使用してもよい。
別の例として、ステップ501で受信されたメッセージが、内部クライアント装置440からの、外部ウェブサービス/アプリケーション450にアクセスしたいという要求である場合、および、例示的なポリシーモデル600bがそのようなメッセージのエンドツーエンド処理を制御するために使用される場合、プロキシサーバ420は、ポリシーモデル600bの「on-request」タグ内で識別されたポリシーを検索してもよい。それに代えて、「on-request」ポリシーがすでに適用され、プロキシサーバ420が外部ウェブサービス/アプリケーション450に要求を送信する準備ができている場合、プロキシサーバ420は、ポリシーモデル600bの「invoke-proxy」タグ内で識別されたポリシーを検索してもよい。
ステップ505で、プロキシサーバ420は、ステップ504で選択されたポリシーを使用してメッセージを処理してもよい。上述のように、プロキシサーバ420は、メッセージのための予め定められたエンドツーエンド処理フローからURIまたは他のポリシー識別子を識別することによって、メッセージに適用されるべき適切なポリシーを判断してもよい。例示的なポリシーモデル600aおよび600bでは、適用されるべきポリシーのURIは、エンドツーエンド処理フローにおける現在点に対応するアサーションの「PolicyReference URI」タグ内に見出されてもよい。そのようなポリシーURIは、ポリシーの格納位置を参照してもよい。他の例では、ポリシー識別子はURIとして表わされなくてもよく、APIまたはサービス識別子、機能名、方法名、および/または動作名などといった他の識別データを含んでいてもよい。いずれにせよ、ポリシー識別子は、メッセージ処理ポリシーのための格納位置または他のアクセス情報を識別してもよい。ポリシー自体は、XML、JavaScript、または他のタイプの実行可能ソフトウェアコンポーネントといったさまざまな形のコンピュータ読取可能媒体に格納されてもよい。
メッセージ処理ポリシーは、コンピューティング環境400内のさまざまな異なるサーバまたは装置に位置する、データベースおよび/またはファイルベースの記憶システムといったデータストアに格納されてもよい。たとえば、比較的不変であるかもしれず、安全なデータを有さない、メッセージ変換ポリシー、メッセージスロットリングポリシー、ロードバランシングポリシー、および他のポリシー、といったあるポリシーは、プロキシサーバ420内に(たとえば、メッセージ処理ポリシーデータストア428内に)局所的に格納されてもよい。しばしば変わり得る、または安全なデータを含み得る、ユーザ認証/認可ポリシー、および他のポリシー、といった他のポリシーは、信頼できる内部コンピュータネットワーク460の安全なサーバまたは記憶システム内に格納されてもよい。他の場合、あるポリシーは、外部ネットワークにおける安全な第三者サーバまたはクライアント装置410上に格納されてもよい。プロキシサーバ420は、ステップ505でこれらのさまざまな位置のいずれかからポリシーを検索し、適用するように構成されてもよい。
ステップ505でさまざまなセキュリティポリシーおよび/または他の通信管理ポリシーを使用してメッセージを処理した後で、ステップ506で、プロキシサーバ420は、処理されたメッセージをその意図された宛先に送信してもよい。上述のように、意図された宛先は、ステップ502でメッセージヘッダおよび/またはメッセージ本文の一部を構文解析し、分析することによって判断されてもよい。ウェブサービス/アプリケーション430への要求、もしくは内部クライアント装置440への応答または他の送信といったメッセージの意図された宛先は、内部ネットワーク460内にあってもよい。それに代えて、外部ウェブサービス/アプリケーション450への要求、もしくは外部クライアント装置410への応答または他の送信といったメッセージの意図された宛先は、外部ネットワーク内にあってもよい。
上述のように、プロキシサーバ420内でメッセージを処理するための特定のポリシーの選択および適用は、そのメッセージのための予め定められたエンドツーエンド処理フローによって、エンドツーエンドフロー内のメッセージのための現在の処理点の判断とともに判断されてもよい。上に紹介されたポリシーモデルは、プロキシサーバ420がメッセージのエンドツーエンド処理フローにおけるさまざまな点でメッセージに適用するであろう一組のメッセージ処理ポリシーを定義してもよい。たとえば、例示的なポリシーモデル600aおよび600bは、仮想アプリケーション(すなわち、リバースプロキシ使用事例)およびプロキシアプリケーション(すなわち、フォワードプロキシ使用事例)のためのエンドツーエンド処理フローをそれぞれ定義する。これらのポリシーモデルは、メッセージのエンドツーエンド処理フロー内のさまざまな点(またはアサーション)を識別し、識別された各処理点またはアサーションでメッセージに適用されるべき特定のポリシーを含む。
いくつかの実施形態では、エンドツーエンド処理フローを定義するためのポリシーモデルおよび他の手法は、一組のポリシーテンプレートを使用して作成されてもよい。たとえば、図7A〜7Dを簡潔に参照して、4つの異なるアサーションに対応する4つの例示的なポリシーテンプレートが示される。図7Aは、例示的な「On Request」ポリシーテンプレートを示し、図7Bは、例示的な「Invoke」ポリシーテンプレートを示し、図7Cは、例示的な「Invoke Proxy」ポリシーテンプレートを示し、図7Dは、例示的な「On Response」ポリシーテンプレートを示す。図7A〜7Dにおけるポリシーテンプレートの各々は「PolicyReference URI」タグを含むが、これらのテンプレートではURIは空のままである。このため、そのようなテンプレートは、ポリシーモデル600aおよび600bといったポリシーモデルエンドツーエンド処理フローを作成するために使用されてもよい。たとえば、図7A〜7Dのテンプレートのうちの1つ以上がコピーされてもよく、適切なポリシーURIが各テンプレートコピーに挿入されてもよい。カスタマイズされたテンプレートは次に、エンドツーエンド処理フロー中に実行され得るポリシーを定義するために、適切なポリシーモデルに追加されてもよい。
エンドツーエンド処理フロー中に実行されるべきアサーションおよびポリシーを定義することに加えて、ポリシーモデル(および予め定められたエンドツーエンド処理フローの他の形)は、あるポリシーが行なわれ得る、または行なわれない条件も定義してもよい。いくつかの実施形態では、ポリシーモデルは、ポリシーモデルで参照されるポリシーの各々を行なうための条件を実現するための一組の論理命令を含んでいてもよい。たとえば、ポリシーモデルは、あるポリシーが、あるメッセージタイプ(たとえば、SOAP、REST、またはURLメッセージ)については実行されるべきであるものの、他のメッセージタイプについては実行されるべきではないことをプロキシサーバ420に命令する条件を含んでいてもよい。加えて、上述のように、ポリシーモデルは、場合によっては、サービス/アプリケーションレベルで、および/または動作/方法レベルでポリシーを選択的に適用してもよく、このため、特定のポリシーの適用は、呼び出されているバックエンドウェブアプリケーション/サービス430にだけでなく、アプリケーション/サービス430内でコールされている特定の動作または方法にも依存していてもよい。さまざまな追加の実施形態では、いくつかのポリシーモデルは、あるポリシーが、あるユーザについては実行されるべきであるものの、他のユーザについては実行されるべきではないこと、あるクライアント装置タイプについては実行されるべきであるものの、他のクライアント装置タイプについては実行されるべきではないこと、あるバックエンドウェブサービス/アプリケーションについては実行されるべきであるものの、他のバックエンドウェブサービス/アプリケーションについては実行されるべきではないこと、および/またはメッセージに関連する任意の他の特性をプロキシサーバ420に命令する条件を含んでいてもよい。
ここで図8を参照して、外部クライアント装置410から内部SOAPウェブサービス430に送信されたREST要求のエンドツーエンド処理フローの例示的な図を示す。この例の処理フローの実行は、プロキシサーバ420によって、上述のようなコンピューティング環境400におけるさまざまな他のコンポーネントとともに行なわれてもよい。この例では、最初のメッセージは、クライアント装置410から内部コンピュータネットワーク460におけるバックエンドウェブサービス430に向けられたREST要求であり、このため、プロキシサーバ420はリバースプロキシモードで動作してもよい。
上述のように、この例のエンドツーエンド処理フロー図800は、特定の処理点(またはアサーション)と、エンドツーエンド処理フロー中の各処理点でプロキシサーバ420によって実行されるべき特定のポリシーとを定義する、予め定められたポリシーモデルによって制御されてもよい。この例では、ステップ801で、REST要求がクライアント装置410から受信される。ステップ802で、プロキシサーバ420は、この要求の処理を制御するポリシーモデル内で識別された1つ以上の「On Request」ポリシーを実行してもよい。この例では、「On Request」ポリシーは、ステップ803で、クライアント装置410から受信されたユーザクレデンシャルを認証するために、および/または、要求されたバックエンドウェブサービス430にアクセスするためのユーザの認可許可を確認するために、認証/認可サービスにアクセスすることを含む。ステップ804で、プロキシサーバ420は、要求されたサービスはSOAP入力を必要とすると判断し、したがって、ステップ805で、REST要求をSOAP要求に変換するために「Message Transformation」ポリシーを実行する。ステップ806で、プロキシサーバ420は、さまざまなセキュリティおよび通信管理機能を実現し得る「Invoke Service」ポリシーを実行してから、ステップ807で、SOAP要求をバックエンドSOAPウェブサービス430に送信する。ステップ808で、バックエンドSOAPウェブサービス430からSOAP応答を受信した後で、プロキシサーバ420は再度、クライアント410への出力はREST出力であるべきであると判断してもよく、したがって、ステップ809で、SOAP応答をREST応答に変換するために別の「Message Transformation」ポリシーを実行してもよい。ステップ810で、プロキシサーバ420は、さまざまな追加のセキュリティおよび通信管理機能を実現し得る「On Response」ポリシーを実行してから、ステップ811で、REST応答をクライアント装置に送信する。
ここで図9を参照して、内部クライアント装置440から外部ウェブサービスまたはアプリケーション450に送信されたウェブリソースに対する要求のエンドツーエンド処理フローの別の例示的な図を示す。前述の例と同様に、この例の処理フローの実行は、プロキシサーバ420によって、上述のようなコンピューティング環境400におけるさまざまな他のコンポーネントとともに行なわれてもよい。この例では、最初のメッセージは、内部コンピュータネットワーク460におけるクライアント装置440から外部ウェブサービスまたはアプリケーション450に向けられた要求であり、このため、プロキシサーバ420はフォワードプロキシモードで動作してもよい。
上述のように、この例のエンドツーエンド処理フロー図900は、特定の処理点(またはアサーション)と、エンドツーエンド処理フロー中の各処理点でプロキシサーバ420によって実行されるべき特定のポリシーとを定義する、予め定められたポリシーモデルによって制御されてもよい。この例では、ステップ901で、ウェブ要求がクライアント装置440から受信される。ステップ902で、プロキシサーバ420は、この要求の処理を制御するポリシーモデル内で識別された1つ以上の「On Request」ポリシーを実行してもよい。任意の「On Request」ポリシーを実行した後で、プロキシサーバ420は、ステップ903で、さまざまなセキュリティおよび通信管理機能を実現するために1つ以上の「On Invoke」ポリシーを実行してから、ステップ904で、外部ウェブサービスまたはアプリケーション450に要求を送信してもよい。この例では、プロキシサーバ420は、外部ウェブサービスまたはアプリケーション450から受信されたエラー、またはプロキシサーバ420によって行なわれた処理内で起こったエラーといった、エンドツーエンド処理フロー中に起こったエラーを識別する。したがって、ステップ905で、プロキシサーバ420は、さまざまなセキュリティ機能、分析、およびエラー取扱いを実現するために1つ以上の「On Error」ポリシーを実行してもよい。この場合、「On Error」ポリシーはプロキシサーバ420に、追加のメッセージ処理を行なってから外部ウェブサービスまたはアプリケーション450に要求を再送信するように命令してもよい。したがって、「On Error」ポリシーが適用された後で、プロキシサーバ420はステップ906で「On Invoke」ポリシーを再実行し、次に、ステップ907で外部ウェブサービスまたはアプリケーション450に要求を再送信してもよい。ステップ908で、バックエンドウェブサービスまたはアプリケーション450から応答を受信した後で、プロキシサーバ420は、さまざまな追加のセキュリティおよび通信管理機能を実現し得る「On Response」ポリシーを実行してから、ステップ909で、応答を内部クライアント装置440に送信する。
上述の例が示すように、ここに説明されたさまざまな実施形態は、異なるセキュリティポリシーおよび他の通信管理ポリシーが、DMZもしくは他の論理的または物理的サブネットワーク内で、メッセージのエンドツーエンド処理フロー全体にわたるさまざまな異なる処理点で適用され得る、動的ポリシーモデルをサポートしてもよい。この動的ポリシーモデルフレームワークは、悪意のある外部コンピューティングシステムからの攻撃を防止するための追加のセキュリティを構築し実現するために使用されてもよく、ラストマイルセキュリティインフラストラクチャ内(たとえば、バックエンドウェブサービス/アプリケーション430内)では可能ではなかったかもしれない、または好ましくなかったかもしれない、追加のタイプのセキュリティポリシーを実現してもよい。加えて、ここに説明された動的ポリシーモデルを使用して、トークン翻訳および/またはシングルサインオンアクセス制御システムといった、頑強な認証および認可システムが実現されてもよい。たとえば、クライアント装置410は、ユーザ名/パスワードまたは他のユーザクレデンシャルを介して認証してもよく、予め定められたエンドツーエンド処理フローは、異なるタイプのさまざまな異なるアクセストークン(たとえば、Kerberosトークン、SPNEGOトークン、ユーザ名トークン、NTLMトークン、SAMLトークンなど)を検索または生成するために、内部ネットワーク460内の信頼できる認証/認可サービスからのトークン検索および確認を行なうプロキシサーバ420内で実行されてもよい。したがって、ユーザが一組の有効なクレデンシャルを提供し、順調に認証および認可された後で、プロキシサーバ420内のさまざまなポリシーモデルを使用して、ユーザが次にアクセスするさまざまな異なるバックエンドウェブサービス/アプリケーション430のための対応するトークンタイプを検索または生成することによって、シングルサインオンアクセス制御システムを実現してもよい。
本願の一実施形態によれば、処理部と通信部とを含むシステムが提供される。そのようなシステムは、この発明の原理を実行するために、ハードウェア、ソフトウェア、またはハードウェアとソフトウェアとの組合わせによって実現されてもよい。処理部および通信部は、図3に示すコンポーネントといった上述のコンポーネントによって実現されてもよい、ということが当業者には理解される。一方、処理部および通信部は、上述されたようなこの発明の原理を実現するために、組合わされてもよく、またはサブユニットへと分離されてもよい、ということが当業者には理解される。したがって、ここでの説明は、ここに説明された機能部の任意の可能な組合せまたは分離またはさらなる定義をサポートしてもよい。
上述の実施形態の例では、処理部および通信部は、以下の動作を行なうために協働することができ、動作は、第1のメッセージを受信する動作を含み、システムは、内部コンピュータネットワークのサブネットワーク内で動作するように構成され、システムは、内部コンピュータネットワークの一組のウェブアプリケーションまたはサービスを外部コンピュータネットワークに公開し、動作はさらに、第1のメッセージのための意図された宛先を判断する動作と、第1のメッセージのための意図された宛先に基づいて、システムがフォワードプロキシとして作用すべきかリバースプロキシとして作用すべきかを判断する動作と、第1のメッセージのための予め定められた処理フローにおける現在点を判断する動作と、メッセージを処理するための複数のポリシーから、第1のメッセージを処理するためのポリシーを選択する動作とを含み、選択は、予め定められた処理フローにおける現在点、または、システムがフォワードプロキシとして作用すべきかリバースプロキシとして作用すべきかの判断、のうちの少なくとも1つに基づいており、動作はさらに、選択されたポリシーに従って第1のメッセージを処理する動作と、第1のメッセージを処理した後で、第1のメッセージを意図された宛先に送信する動作とを含む。
別の例では、処理部および通信部は、以下の動作をさらに行なうように協働することができ、動作は、第1のメッセージは、内部コンピュータネットワークの簡易オブジェクトアクセスプロトコル(SOAP)仮想サービス内の1つ以上のSOAP動作を呼び出すかまたは当該動作の一部であると判断する動作と、判断されたSOAP動作およびSOAP仮想サービスに基づいて、第1のメッセージを処理するためのポリシーを選択する動作と、選択されたポリシーに従って第1のメッセージを処理した後で、第1のメッセージ内のデータを使用して、判断された1つ以上のSOAP動作を呼び出す動作とを含む。
さらに別の例では、処理部および通信部は、以下の動作をさらに行なうように協働することができ、動作は、第1のメッセージは、内部コンピュータネットワークのレプリゼンテーショナル・ステート・トランスファー(REST)仮想サービスまたは仮想ウェブアプリケーションに関連付けられた1つ以上のハイパーテキスト転送プロトコル(HTTP)方法に対応していると判断する動作と、判断されたHTTP方法およびREST仮想サービスまたは仮想ウェブアプリケーションに基づいて、第1のメッセージを処理するためのポリシーを選択する動作と、選択されたポリシーに従って第1のメッセージを処理した後で、第1のメッセージ内のデータを使用して、判断された1つ以上のHTTP方法を呼び出す動作とを含む。
前述の説明では、例示のために、方法は特定の順序で説明された。代替的な実施形態では、方法は、説明されたものとは異なる順序で行なわれてもよい、ということが理解されるべきである。上述の方法はハードウェアコンポーネントによって行なわれてもよく、もしくは、汎用または専用プロセッサ、もしくは命令でプログラミングされた論理回路といったマシンに方法を行なわせるために使用され得るマシン実行可能命令のシーケンスで具現化されてもよい、ということも理解されるべきである。これらのマシン実行可能命令は、1つ以上のマシン読取可能媒体またはメモリ装置、たとえば、CD−ROMまたは他のタイプの光ディスク、フロッピーディスケット、ROM、RAM、EPROM、EEPROM、磁気カードまたは光カード、フラッシュメモリ、もしくは、電子命令を格納するのに好適である他のタイプのマシン読取可能媒体またはメモリ装置上に格納されてもよい。それに代えて、方法は、ハードウェアとソフトウェアとの組合わせによって行なわれてもよい。
この発明の例示的で現在好ましい実施形態がここに詳細に説明されてきたが、発明の概念は他のやり方でさまざまに具現化され採用されてもよいこと、および、添付された請求項は、先行技術によって限定される場合を除き、そのような変更を含むと解釈されるよう意図されていることが理解されるべきである。

Claims (15)

  1. コンピュータネットワーク間で送信されるメッセージを処理する方法であって、前記方法は、
    内部コンピュータネットワークのサブネットワーク内のプロキシサーバで第1のメッセージを受信するステップを含み、前記プロキシサーバは、前記内部コンピュータネットワークの一組のウェブアプリケーションまたはサービスを外部コンピュータネットワークに公開し、前記方法はさらに、
    前記第1のメッセージのための意図された宛先を判断するステップと、
    前記第1のメッセージのための前記意図された宛先に基づいて、前記プロキシサーバがフォワードプロキシとして作用すべきかリバースプロキシとして作用すべきかを判断するステップと、
    前記プロキシサーバ内の前記第1のメッセージのための予め定められた処理フローにおける現在点を判断するステップと、
    前記プロキシサーバ内でメッセージを処理するための複数のポリシーから、前記第1のメッセージを処理するためのポリシーを選択するステップとを含み、選択は、前記予め定められた処理フローにおける前記現在点、または、前記プロキシサーバがフォワードプロキシとして作用すべきかリバースプロキシとして作用すべきかの判断、のうちの少なくとも1つに基づいており、前記方法はさらに、
    選択された前記ポリシーに従って前記第1のメッセージを処理するステップと、
    前記第1のメッセージを処理した後で、前記第1のメッセージを前記意図された宛先に送信するステップとを含む、方法。
  2. 前記プロキシサーバはセキュリティプロキシを含み、選択された前記ポリシーは、1つ以上のウェブサービスセキュリティポリシーを呼び出すマシン実行可能コードを含む、請求項1に記載の方法。
  3. 前記プロキシサーバは、前記内部コンピュータネットワークの物理的サブネットワーク内で動作するコンピュータシステムを含む、請求項1または2に記載の方法。
  4. 前記プロキシサーバは、前記内部コンピュータネットワークの論理的サブネットワーク内で実行されるプロキシサーバアプリケーションを含む、請求項1または2に記載の方法。
  5. 前記第1のメッセージを処理するための前記ポリシーを選択するステップは、
    前記第1のメッセージのための前記処理フロー中にエラーが起こったと判断するステップと、
    前記エラーが起こったという判断に基づいて前記ポリシーを選択するステップとを含む、請求項1〜4のいずれか1項に記載の方法。
  6. 前記第1のメッセージを処理するための前記ポリシーを選択するステップは、
    前記第1のメッセージのための着信メッセージフォーマットを判断するステップと、
    前記第1のメッセージは、前記着信メッセージフォーマットとは異なる、必要とされる発信メッセージフォーマットに変換されるべきであると判断するステップと、
    前記第1のメッセージは変換されるべきであるという判断に基づいて前記ポリシーを選択するステップとを含む、請求項1〜4のいずれか1項に記載の方法。
  7. 前記第1のメッセージのための前記処理フローにおける前記現在点を判断するステップは、
    前記第1のメッセージは、前記外部コンピュータネットワークにおけるクライアント装置からの要求に対応していると判断するステップ、または
    前記プロキシサーバは、前記内部コンピュータネットワークにおけるウェブアプリケーションまたはウェブサービスに前記要求を送信すべきであると判断するステップ、
    のうちの少なくとも1つを含む、請求項1〜6のいずれか1項に記載の方法。
  8. 前記第1のメッセージのための前記処理フローにおける前記現在点を判断するステップは、
    前記第1のメッセージは、前記プロキシサーバによって送信された以前のメッセージに対する、前記内部コンピュータネットワークにおけるウェブアプリケーションまたはウェブサービスからの応答に対応していると判断するステップ、または
    前記プロキシサーバは、前記外部コンピュータネットワークにおけるクライアント装置に前記応答を送信すべきであると判断するステップ、
    のうちの少なくとも1つを含む、請求項1〜6のいずれか1項に記載の方法。
  9. 前記第1のメッセージは、前記内部コンピュータネットワークの簡易オブジェクトアクセスプロトコル(SOAP)仮想サービス内の1つ以上のSOAP動作を呼び出すためのメッセージである、または当該1つ以上のSOAP動作からのメッセージの一部であると判断するステップと、
    判断された前記SOAP動作および前記SOAP仮想サービスに基づいて、前記第1のメッセージを処理するための前記ポリシーを選択するステップと、
    選択された前記ポリシーに従って前記第1のメッセージを処理した後で、前記第1のメッセージ内のデータを使用して、判断された前記1つ以上のSOAP動作を呼び出すステップとをさらに含む、請求項1〜8のいずれか1項に記載の方法。
  10. 前記第1のメッセージは、前記内部コンピュータネットワークのレプリゼンテーショナル・ステート・トランスファー(REST)仮想サービスまたは仮想ウェブアプリケーションに関連付けられた1つ以上のハイパーテキスト転送プロトコル(HTTP)方法に対応していると判断するステップと、
    判断された前記HTTP方法および前記REST仮想サービスまたは仮想ウェブアプリケーションに基づいて、前記第1のメッセージを処理するための前記ポリシーを選択するステップと、
    選択された前記ポリシーに従って前記第1のメッセージを処理した後で、前記第1のメッセージ内のデータを使用して、判断された前記1つ以上のHTTP方法を呼び出すステップとをさらに含む、請求項1〜8のいずれか1項に記載の方法。
  11. 前記第1のメッセージに関連付けられた1つ以上のユーザクレデンシャルを受信するステップをさらに含み、前記第1のメッセージは、前記外部コンピュータネットワークにおけるクライアント装置からの、前記内部コンピュータネットワークの第1のウェブサービスにアクセスしたいという要求に対応しており、前記方法はさらに、
    前記ユーザクレデンシャルを使用して、前記要求に関連付けられた第1のユーザを認証するステップを含む、請求項1〜10のいずれか1項に記載の方法。
  12. 前記第1のウェブサービスにアクセスするために、第1のトークンタイプの認証トークンが必要とされると判断するステップと、
    前記内部コンピュータネットワークのウェブサービスから第1の認証トークンを検索するステップとをさらに含み、前記第1の認証トークンは前記第1のトークンタイプのもので、前記第1のユーザに関連付けられており、前記方法はさらに、
    前記要求に従って前記第1のウェブサービスにアクセスするために前記第1の認証トークンを使用するステップを含む、請求項11に記載の方法。
  13. 前記予め定められた処理フローにおける判断された前記現在点に基づいて、OnRequest()、OnInvoke()、OnResponse()、またはonError()方法を実行するステップをさらに含む、請求項1〜12のいずれか1項に記載の方法。
  14. システムであって、
    1つ以上のプロセッサを含む処理部と、
    前記処理部と結合され、前記処理部によって読取可能であるメモリとを含み、前記メモリは、前記処理部によって実行されると前記処理部に以下のステップを行なわせる一組の命令を格納しており、前記以下のステップは、
    第1のメッセージを受信するステップを含み、前記システムは、内部コンピュータネットワークのサブネットワーク内で動作するように構成され、前記システムは、前記内部コンピュータネットワークの一組のウェブアプリケーションまたはサービスを外部コンピュータネットワークに公開し、前記以下のステップはさらに、
    前記第1のメッセージのための意図された宛先を判断するステップと、
    前記第1のメッセージのための前記意図された宛先に基づいて、前記システムがフォワードプロキシとして作用すべきかリバースプロキシとして作用すべきかを判断するステップと、
    前記第1のメッセージのための予め定められた処理フローにおける現在点を判断するステップと、
    メッセージを処理するための複数のポリシーから、前記第1のメッセージを処理するためのポリシーを選択するステップとを含み、選択は、前記予め定められた処理フローにおける前記現在点、または、前記システムがフォワードプロキシとして作用すべきかリバースプロキシとして作用すべきかの判断、のうちの少なくとも1つに基づいており、前記以下のステップはさらに、
    選択された前記ポリシーに従って前記第1のメッセージを処理するステップと、
    前記第1のメッセージを処理した後で、前記第1のメッセージを前記意図された宛先に送信するステップとを含む、システム。
  15. 請求項1から13のいずれか1項に記載の方法をプロセッサに実行させるためのプログラム。
JP2017514693A 2014-09-24 2015-04-27 コンピュータサブネットワーク内のプロキシサーバ Active JP6496404B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201462054613P 2014-09-24 2014-09-24
US62/054,613 2014-09-24
US14/696,186 US10362059B2 (en) 2014-09-24 2015-04-24 Proxy servers within computer subnetworks
US14/696,186 2015-04-24
PCT/US2015/027757 WO2016048418A1 (en) 2014-09-24 2015-04-27 Proxy servers within computer subnetworks

Publications (3)

Publication Number Publication Date
JP2017529793A JP2017529793A (ja) 2017-10-05
JP2017529793A5 JP2017529793A5 (ja) 2017-12-14
JP6496404B2 true JP6496404B2 (ja) 2019-04-03

Family

ID=55526890

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2017514693A Active JP6496404B2 (ja) 2014-09-24 2015-04-27 コンピュータサブネットワーク内のプロキシサーバ
JP2017514827A Active JP6574479B2 (ja) 2014-09-24 2015-04-27 リバースプロキシサーバ内のサービス

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2017514827A Active JP6574479B2 (ja) 2014-09-24 2015-04-27 リバースプロキシサーバ内のサービス

Country Status (6)

Country Link
US (2) US10362059B2 (ja)
EP (2) EP3198825B1 (ja)
JP (2) JP6496404B2 (ja)
KR (2) KR102251803B1 (ja)
CN (2) CN106575305B (ja)
WO (2) WO2016048419A1 (ja)

Families Citing this family (125)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010088649A1 (en) * 2009-02-02 2010-08-05 Consilience International Llc Resource processing using an intermediary for context-based customization of interaction deliverables
KR102122913B1 (ko) * 2014-05-30 2020-06-26 삼성에스디에스 주식회사 분산형 api 프록시 시스템 및 그러한 시스템에서 트래픽을 관리하는 장치 및 방법
US10362059B2 (en) 2014-09-24 2019-07-23 Oracle International Corporation Proxy servers within computer subnetworks
US9946520B1 (en) * 2015-02-26 2018-04-17 MathNimbus Inc. Conversion of interpretive language functions into web applications or services
US10110496B2 (en) * 2015-03-31 2018-10-23 Juniper Networks, Inc. Providing policy information on an existing communication channel
US9652269B2 (en) * 2015-04-03 2017-05-16 Oracle International Corporation System and method for supporting representational state transfer services natively in a service bus runtime
US10091086B2 (en) 2015-04-03 2018-10-02 Oracle International Corporation System and method for providing an application programming interface manager for use with a service bus runtime
US9977700B2 (en) 2015-04-03 2018-05-22 Oracle International Corporation System and method for providing an application programming interface for deploying a service bus artifact from a local development environment to a cloud environment
US10313451B2 (en) 2015-04-03 2019-06-04 Oracle International Corporation System and method for providing a configuration wizard for use in creating representational state transfer services for execution in a service bus runtime
US10425350B1 (en) 2015-04-06 2019-09-24 EMC IP Holding Company LLC Distributed catalog service for data processing platform
US10860622B1 (en) * 2015-04-06 2020-12-08 EMC IP Holding Company LLC Scalable recursive computation for pattern identification across distributed data processing nodes
US10791063B1 (en) 2015-04-06 2020-09-29 EMC IP Holding Company LLC Scalable edge computing using devices with limited resources
US10776404B2 (en) 2015-04-06 2020-09-15 EMC IP Holding Company LLC Scalable distributed computations utilizing multiple distinct computational frameworks
US10015106B1 (en) 2015-04-06 2018-07-03 EMC IP Holding Company LLC Multi-cluster distributed data processing platform
US10706970B1 (en) 2015-04-06 2020-07-07 EMC IP Holding Company LLC Distributed data analytics
US10701037B2 (en) * 2015-05-27 2020-06-30 Ping Identity Corporation Scalable proxy clusters
US10863422B2 (en) * 2015-08-03 2020-12-08 Convida Wireless, Llc Mechanisms for ad hoc service discovery
US9712513B2 (en) * 2015-10-05 2017-07-18 Kony, Inc. Identity management over multiple identity providers
US10476886B2 (en) 2015-11-05 2019-11-12 Microsoft Technology Licensing, Llc Just-in-time access based on geolocation to maintain control of restricted data in cloud computing environments
US10484430B2 (en) 2015-11-05 2019-11-19 Microsoft Technology Licensing, Llc Just-in-time access based on screening criteria to maintain control of restricted data in cloud computing environments
US10560463B2 (en) * 2015-11-05 2020-02-11 Microsoft Technology Licensing, Llc Incident management to maintain control of restricted data in cloud computing environments
US10055269B2 (en) * 2015-11-20 2018-08-21 Sap Se Additional message information handling for applications
US10452442B2 (en) * 2015-11-27 2019-10-22 Huawei Technologies Co., Ltd. System and method for resource management
CN106856434B (zh) * 2015-12-08 2020-06-30 阿里巴巴集团控股有限公司 访问请求转换的方法和装置
US20170187752A1 (en) * 2015-12-24 2017-06-29 Steffen SCHULZ Remote attestation and enforcement of hardware security policy
US10656861B1 (en) 2015-12-29 2020-05-19 EMC IP Holding Company LLC Scalable distributed in-memory computation
US10156842B2 (en) * 2015-12-31 2018-12-18 General Electric Company Device enrollment in a cloud service using an authenticated application
US10306016B2 (en) 2016-02-01 2019-05-28 General Electric Company System and method for scoped attributes
US9923905B2 (en) * 2016-02-01 2018-03-20 General Electric Company System and method for zone access control
JP2018014662A (ja) * 2016-07-22 2018-01-25 大日本印刷株式会社 プロトコル変換装置
US11177958B2 (en) 2016-09-13 2021-11-16 Silverfort Ltd. Protection of authentication tokens
US10681012B2 (en) 2016-10-26 2020-06-09 Ping Identity Corporation Methods and systems for deep learning based API traffic security
WO2018096471A1 (en) * 2016-11-22 2018-05-31 Silverfort Ltd. Automatic forwarding of access requests and responses thereto
US10824655B2 (en) * 2016-12-29 2020-11-03 Sap Se Data models for geo-enriched data
US10462265B2 (en) * 2017-02-17 2019-10-29 Plex, Inc. On-demand startup of offline servers and connection routing
US11106540B1 (en) 2017-04-03 2021-08-31 Amazon Technologies, Inc. Database command replay
US11392603B1 (en) * 2017-04-03 2022-07-19 Amazon Technologies, Inc. Database rest API
US11500824B1 (en) 2017-04-03 2022-11-15 Amazon Technologies, Inc. Database proxy
US11182496B1 (en) 2017-04-03 2021-11-23 Amazon Technologies, Inc. Database proxy connection management
US11095631B1 (en) * 2017-04-17 2021-08-17 T Stamp Inc. Systems and methods for identity verification via third party accounts
US10554743B2 (en) * 2017-04-26 2020-02-04 Red Hat, Inc. Managing content downloads
US10762218B2 (en) 2017-06-20 2020-09-01 Microsoft Technology Licensing, Llc Network buildout for cloud computing environments with data control policies
US10567356B2 (en) 2017-06-20 2020-02-18 Microsoft Technology Licensing, Llc Monitoring cloud computing environments with data control policies
US20180364996A1 (en) * 2017-06-20 2018-12-20 Microsoft Technology Licensing, Llc Software deployment to network devices in cloud computing environments with data control policies
US10645183B2 (en) 2017-06-26 2020-05-05 Microsoft Technology Licensing, Llc Redirection of client requests to multiple endpoints
US10547645B1 (en) * 2017-07-07 2020-01-28 EMC IP Holding Company, LLC Public-private computing system
US11360976B2 (en) * 2017-08-31 2022-06-14 Oracle International Corporation Deployment of javascript and typescript stored procedures and user-defined functions into database management systems
US11556521B2 (en) * 2017-09-29 2023-01-17 Oracle International Corporation System and method for providing an interface for a blockchain cloud service
JP7246381B2 (ja) * 2017-09-30 2023-03-27 オラクル・インターナショナル・コーポレイション 環境要件に基づくコンテナのデプロイメント
US11134058B1 (en) 2017-10-06 2021-09-28 Barracuda Networks, Inc. Network traffic inspection
US10574676B2 (en) 2017-10-06 2020-02-25 Fyde, Inc. Network traffic inspection
EP4020282A1 (en) 2017-10-13 2022-06-29 Ping Identity Corporation Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions
CN107566533B (zh) * 2017-10-26 2020-08-04 南威软件股份有限公司 一种基于nas实现的内外网文件共享系统
US10659326B2 (en) * 2017-10-27 2020-05-19 Microsoft Technology Licensing, Llc Cloud computing network inspection techniques
US10708379B1 (en) * 2017-11-22 2020-07-07 Amazon Technologies, Inc. Dynamic proxy for databases
US10728245B2 (en) * 2017-12-07 2020-07-28 Ca, Inc. HTTP proxy authentication using custom headers
CN108199865A (zh) * 2017-12-07 2018-06-22 中国航空工业集团公司西安航空计算技术研究所 一种基于发布订阅的路由服务实现方法
CN108234451A (zh) * 2017-12-11 2018-06-29 厦门亿力吉奥信息科技有限公司 电力内外网请求转发代理方法及计算机可读存储介质
CN108093086B (zh) * 2018-01-22 2021-03-23 微梦创科网络科技(中国)有限公司 一种服务网关的数据传输方法及系统
US11038835B2 (en) * 2018-01-31 2021-06-15 Comcast Cable Communications, Llc Systems and methods for managing domain name information
US11196733B2 (en) * 2018-02-08 2021-12-07 Dell Products L.P. System and method for group of groups single sign-on demarcation based on first user login
US10445221B2 (en) * 2018-03-08 2019-10-15 Sauce Labs Inc. Automated application testing system
US10728219B2 (en) * 2018-04-13 2020-07-28 R3 Ltd. Enhancing security of communications during execution of protocol flows
US11093771B1 (en) 2018-05-04 2021-08-17 T Stamp Inc. Systems and methods for liveness-verified, biometric-based encryption
EP3607700B1 (en) * 2018-05-07 2023-04-05 Google LLC Verifying operational statuses of agents interfacing with digital assistant applications
US11496315B1 (en) 2018-05-08 2022-11-08 T Stamp Inc. Systems and methods for enhanced hash transforms
US10841336B2 (en) * 2018-05-21 2020-11-17 International Business Machines Corporation Selectively providing mutual transport layer security using alternative server names
KR102093145B1 (ko) * 2018-06-07 2020-03-25 한밭대학교 산학협력단 생체정보 인식 기반의 데이터 최적화를 위한 오브젝트 스토리지 클라우드 시스템
KR20200135529A (ko) 2018-06-07 2020-12-02 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. 인터미턴트 네트워크에서 클라이언트 장치들에 걸쳐 저장을 관리하기 위한 로컬 서버
BR112020021747A2 (pt) 2018-06-07 2021-01-26 Hewlett-Packard Development Company, L.P. servidores locais para gerenciar configurações de proxy em redes intermitentes
US10594602B2 (en) * 2018-06-30 2020-03-17 Hewlett Packard Enterprise Development Lp Web services across virtual routing and forwarding
US11012500B2 (en) 2018-07-27 2021-05-18 Vmware, Inc. Secure multi-directional data pipeline for data distribution systems
US11190614B2 (en) * 2018-07-27 2021-11-30 Vmware, Inc. Bidirectional command protocol via a unidirectional communication connection for reliable distribution of tasks
GB2588573B (en) * 2019-07-09 2021-11-17 Rimo Capital Ltd A remediation system to prevent incompatible program module installation in an information processing system
US10742636B2 (en) * 2018-08-22 2020-08-11 Sap Se OAuth2 SAML token service
EP3850812A4 (en) * 2018-09-11 2022-06-08 AVEVA Software, LLC SERVER AND SYSTEM FOR SECURE CONFIGURATION PUSH FOR DMZ PROXY CLIENTS
JP7119816B2 (ja) * 2018-09-18 2022-08-17 日本電気株式会社 通信制御装置、通信制御システム、搭載装置、通信制御方法、プログラム
US11080077B2 (en) * 2018-10-25 2021-08-03 EMC IP Holding Company LLC Life cycle management for cloud-based application executors with key-based access to other devices
US11310204B2 (en) * 2018-11-13 2022-04-19 Sap Se Centralized access to data repository from a multi-cloud computing environment
US10681048B1 (en) * 2018-11-26 2020-06-09 Jpmorgan Chase Bank, N.A. Systems and methods for intercepting WebView traffic
US11765174B2 (en) * 2018-12-07 2023-09-19 Vmware, Inc. Identity-based access control for cloud applications
EP3678348A1 (en) 2019-01-04 2020-07-08 Ping Identity Corporation Methods and systems for data traffic based adpative security
US10958662B1 (en) * 2019-01-24 2021-03-23 Fyde, Inc. Access proxy platform
US11457040B1 (en) 2019-02-12 2022-09-27 Barracuda Networks, Inc. Reverse TCP/IP stack
CN109962913A (zh) * 2019-03-11 2019-07-02 北京信安世纪科技股份有限公司 基于安全套接层协议的代理服务器及代理方法
US11301586B1 (en) 2019-04-05 2022-04-12 T Stamp Inc. Systems and processes for lossy biometric representations
CN110086731B (zh) * 2019-04-25 2021-09-17 北京计算机技术及应用研究所 一种云架构下网络数据稳定采集方法
CN111953640A (zh) * 2019-05-17 2020-11-17 阿里巴巴集团控股有限公司 通信方法、通信系统、云节点和可读存储介质
US10664615B1 (en) 2019-05-22 2020-05-26 Capital One Services, Llc Methods and systems for adapting an application programming interface
CN110333916B (zh) * 2019-06-18 2024-03-19 平安银行股份有限公司 请求消息处理方法、装置、计算机系统及可读存储介质
US11025593B2 (en) * 2019-06-28 2021-06-01 Microsoft Technology Licensing, Llc Template-based session control in proxy solutions
US10582019B1 (en) 2019-07-12 2020-03-03 Coupang Corp. Systems and methods for interfacing networks using a unified communication scheme
US10574794B1 (en) * 2019-07-12 2020-02-25 Coupang Corp. Systems and methods for interfacing networks regardless of communication scheme
US11388197B2 (en) * 2019-07-24 2022-07-12 Research & Business Foundation Sungkyunkwan University I2NSF NSF monitoring YANG data model
US11329954B1 (en) * 2019-07-30 2022-05-10 Berryville Holdings, LLC Traceless access to remote deployed devices in undisclosed locations
US11294894B2 (en) 2019-08-30 2022-04-05 Oracle International Corporation Dynamic resolution of dependencies for database guest languages
DE102019213707A1 (de) * 2019-09-10 2021-03-11 Carl Zeiss Meditec Ag Computer-Hardware für ein computergesteuertes Medizingerät und Verfahren zur Steuerung eines computergesteuerten Medizingeräts
US11347572B2 (en) 2019-09-26 2022-05-31 Vmware, Inc. Methods and apparatus for data pipelines between cloud computing platforms
CN113056762A (zh) * 2019-10-25 2021-06-29 韩领有限公司 用于使用统一通信方案对接网络的系统和方法
US11184381B2 (en) 2020-01-08 2021-11-23 Bank Of America Corporation Real-time validation of application data
US11297085B2 (en) * 2020-01-08 2022-04-05 Bank Of America Corporation Real-time validation of data transmissions based on security profiles
US11627152B2 (en) 2020-01-08 2023-04-11 Bank Of America Corporation Real-time classification of content in a data transmission
KR102110099B1 (ko) * 2020-03-09 2020-05-13 주식회사 케이비시스 퍼블릭 클라우드 및 프라이빗 클라우드를 포함하는 컨테이너 기반의 클라우드 서비스 제공 시스템
CN111641607A (zh) * 2020-05-16 2020-09-08 中信银行股份有限公司 代理系统及访问请求转发方法
US11895193B2 (en) * 2020-07-20 2024-02-06 Juniper Networks, Inc. Data center resource monitoring with managed message load balancing with reordering consideration
JP2022074496A (ja) * 2020-11-04 2022-05-18 イグドラシルリーヴズ合同会社 ネットワーク処理制御システム
CN112417379B (zh) * 2020-11-10 2022-02-22 迈普通信技术股份有限公司 一种集群许可证管理方法、装置、授权服务器及存储介质
US20220188271A1 (en) * 2020-12-10 2022-06-16 Microsoft Technology Licensing, Llc Framework for allowing complementary workloads/processes to bring in heavy load on a file collaboration platform
WO2022146811A1 (en) * 2020-12-31 2022-07-07 Schlumberger Technology Corporation Multiworkflow authorization system and method
US11489909B1 (en) * 2021-04-15 2022-11-01 Cloudflare, Inc. Non-HTTP layer 7 protocol applications running in the browser
CN113315706B (zh) * 2021-04-30 2023-04-18 上海云轴信息科技有限公司 私有云流量控制方法、设备及系统
US11218317B1 (en) 2021-05-28 2022-01-04 Garantir LLC Secure enclave implementation of proxied cryptographic keys
US11418329B1 (en) * 2021-05-28 2022-08-16 Garantir LLC Shared secret implementation of proxied cryptographic keys
CN113542415B (zh) * 2021-07-16 2022-05-24 哈尔滨工业大学 基于可配置订阅链的异构数据资源调度系统及方法
CN113673662B (zh) * 2021-08-02 2024-01-09 南京邮电大学 一种基于反向学习的混沌蜂群Web服务组合优化方法
US11652825B2 (en) * 2021-08-09 2023-05-16 International Business Machines Corporation Packet authentication in a VXLAN system
US11502827B1 (en) * 2021-09-03 2022-11-15 Garantir LLC Exporting remote cryptographic keys
US11546358B1 (en) * 2021-10-01 2023-01-03 Netskope, Inc. Authorization token confidence system
CN113992642B (zh) * 2021-10-25 2023-10-24 深信服科技股份有限公司 网关代理服务器的流量审计方法、装置及相关设备
US11562043B1 (en) * 2021-10-29 2023-01-24 Shopify Inc. System and method for rendering webpage code to dynamically disable an element of template code
CN113852645B (zh) * 2021-12-02 2022-03-29 北京邮电大学 抗客户端dns缓存中毒攻击的方法、装置及电子设备
US20230188504A1 (en) * 2021-12-15 2023-06-15 Microsoft Technology Licensing, Llc Curating services through proxies with extensible policy
US20230247081A1 (en) * 2022-01-31 2023-08-03 Salesforce.Com, Inc. Declarative rendering of hypertext transfer protocol headers
WO2023175951A1 (ja) * 2022-03-18 2023-09-21 日本電気株式会社 通信システム、通信装置、通信方法、及び可読媒体
KR20230139250A (ko) * 2022-03-25 2023-10-05 주식회사 지메이트시스템즈 하이브리드 모니터링 솔루션 시스템 및 이에 의한 서버의 모니터링 방법

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7370351B1 (en) * 2001-03-22 2008-05-06 Novell, Inc. Cross domain authentication and security services using proxies for HTTP access
US6996841B2 (en) * 2001-04-19 2006-02-07 Microsoft Corporation Negotiating secure connections through a proxy server
WO2003010686A2 (en) * 2001-07-20 2003-02-06 Koninklijke Philips Electronics N.V. Accessing information content
US7209977B2 (en) * 2001-10-01 2007-04-24 International Business Machines Corporation Method and apparatus for content-aware web switching
US20030115421A1 (en) * 2001-12-13 2003-06-19 Mchenry Stephen T. Centralized bounded domain caching control system for network edge servers
JP3940356B2 (ja) * 2002-12-27 2007-07-04 日本アイ・ビー・エム株式会社 プロキシ・サーバ、アクセス制御方法、アクセス制御プログラム
US7299409B2 (en) * 2003-03-07 2007-11-20 International Business Machines Corporation Dynamically updating rendered content
US7676580B2 (en) * 2003-03-27 2010-03-09 Microsoft Corporation Message delivery with configurable assurances and features between two endpoints
JP2005217828A (ja) 2004-01-30 2005-08-11 Toshiba Corp 通信装置、通信制御装置、通信システム及びプログラム
JP4357401B2 (ja) 2004-10-13 2009-11-04 日本電信電話株式会社 フィルタリング方法
US7620991B2 (en) * 2005-08-12 2009-11-17 Netapp, Inc. Optimized network cache for virus scanning by examining the magic bytes of a file
US20080140857A1 (en) * 2006-03-21 2008-06-12 Conner Peter A Service-oriented architecture and methods for direct invocation of services utilizing a service requestor invocation framework
US7861289B2 (en) 2006-09-22 2010-12-28 Oracle International Corporation Pagelets in adaptive tags in non-portal reverse proxy
JP4216876B2 (ja) * 2006-12-21 2009-01-28 株式会社東芝 通信端末を認証する装置、方法およびプログラム
EP2115622B1 (en) * 2007-02-26 2019-03-20 Microsoft Israel Research and Development (2002) Ltd. A system and method for automatic data protection in a computer network
US8095670B2 (en) 2007-09-11 2012-01-10 International Business Machines Protocol for enabling dynamic and scalable federation of enterprise service buses
CN101615179B (zh) * 2008-06-25 2011-08-17 国际商业机器公司 用于Web应用的跨域交互的方法和系统
US8472987B2 (en) 2008-07-01 2013-06-25 Aneesh Bhatnagar Short message service (SMS) message integration with customer relationship management (CRM) applications
US20120209942A1 (en) * 2008-10-28 2012-08-16 Cotendo, Inc. System combining a cdn reverse proxy and an edge forward proxy with secure connections
WO2010071884A2 (en) * 2008-12-19 2010-06-24 Watchguard Technologies, Inc. Self-monitoring cluster of network security devices
US8910270B2 (en) 2009-01-20 2014-12-09 Microsoft Corporation Remote access to private network resources from outside the network
US9049182B2 (en) * 2009-08-11 2015-06-02 Novell, Inc. Techniques for virtual representational state transfer (REST) interfaces
US9189244B2 (en) 2009-08-18 2015-11-17 Adobe Systems Incorporated Methods and systems for managing data service specifications
US8473595B2 (en) 2009-12-30 2013-06-25 Bmc Software, Inc. Method and system to automatically adapt web services from one protocol/idiom to another protocol/idiom
US20110231479A1 (en) * 2010-03-22 2011-09-22 Siemens Product Lifecycle Management Software Inc. System and Method for Secure Multi-Client Communication Service
JP2012044283A (ja) 2010-08-13 2012-03-01 Oki Networks Co Ltd 通信制御システム、並びに、アクセス受付装置及びプログラム、並びに、通信制御装置及びプログラム
US8701128B2 (en) * 2011-02-14 2014-04-15 General Electric Company Method, system and computer program product for a client application programming interface (API) in a service oriented architecture
US8990557B2 (en) * 2011-02-17 2015-03-24 Ebay Inc. Identity assertion framework
WO2012167184A2 (en) * 2011-06-02 2012-12-06 Interdigital Patent Holdings, Inc. Methods, apparatus, and systems for managing converged gateway communications
KR101857416B1 (ko) * 2011-06-13 2018-05-16 한국전자통신연구원 오버헤드를 최소화한 헤더를 가지는 패킷 기반의 미디어 데이터 전송 방법
CN102968437B (zh) * 2011-09-27 2016-12-07 微软技术许可有限责任公司 外部服务应用的发现方法
CN102447708B (zh) * 2012-01-14 2016-03-23 杭州安恒信息技术有限公司 一种应用层透明代理技术的通信实现方法
US9722972B2 (en) * 2012-02-26 2017-08-01 Oracle International Corporation Methods and apparatuses for secure communication
US9313252B2 (en) 2012-04-20 2016-04-12 Microsoft Technology Licensing, Llc Binding crud-type protocols in distributed agreement protocols
US8856735B2 (en) 2012-07-25 2014-10-07 Oracle International Corporation System and method of generating REST2REST services from WADL
CN102866911B (zh) * 2012-09-12 2015-03-25 北京航空航天大学 Mashup应用建立方法及装置
US8990357B2 (en) * 2013-07-29 2015-03-24 Cloudflare, Inc. Method and apparatus for reducing loading time of web pages
US10362059B2 (en) 2014-09-24 2019-07-23 Oracle International Corporation Proxy servers within computer subnetworks

Also Published As

Publication number Publication date
CN106716404B (zh) 2020-12-11
EP3198825A1 (en) 2017-08-02
JP6574479B2 (ja) 2019-09-11
KR102251803B1 (ko) 2021-05-14
EP3198472A1 (en) 2017-08-02
CN106575305A (zh) 2017-04-19
JP2017529793A (ja) 2017-10-05
CN106716404A (zh) 2017-05-24
KR20170060070A (ko) 2017-05-31
US20160088022A1 (en) 2016-03-24
US9648043B2 (en) 2017-05-09
KR102282656B1 (ko) 2021-07-29
EP3198472B1 (en) 2018-06-20
KR20170063724A (ko) 2017-06-08
WO2016048418A1 (en) 2016-03-31
CN106575305B (zh) 2020-09-25
US10362059B2 (en) 2019-07-23
EP3198825B1 (en) 2018-06-27
JP2017538179A (ja) 2017-12-21
WO2016048419A1 (en) 2016-03-31
US20160088023A1 (en) 2016-03-24

Similar Documents

Publication Publication Date Title
JP6496404B2 (ja) コンピュータサブネットワーク内のプロキシサーバ
US9712511B2 (en) Mobile cloud service architecture
US9935959B2 (en) Cloud service custom execution environment
US9781098B2 (en) Generic server framework for device authentication and management and a generic framework for endpoint command dispatch
US9529658B2 (en) Techniques for generating diagnostic identifiers to trace request messages and identifying related diagnostic information
US20160277443A1 (en) Method and system for using smart images
KR102357697B1 (ko) 컴퓨터 서브네트워크들 내의 프록시 서버들

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171102

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171102

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181005

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181016

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190212

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190308

R150 Certificate of patent or registration of utility model

Ref document number: 6496404

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250