專利名稱:通信網(wǎng)絡應用活動監(jiān)視和控制的制作方法
技術領域:
本發(fā)明一般涉及通信,具體地涉a視和控制對通信網(wǎng)絡中可用的應 用的使用。
背景技術:
通過通信網(wǎng)絡分配信息所針對的服務通常稱作網(wǎng)絡服務��。"Web服務�����,���, 是網(wǎng)絡服務的一個例子����,并且代表了用于通過公共互聯(lián)網(wǎng)和許多專用網(wǎng)絡���、 在不同應用之間自動交換信息的下一代技術���。Web服務提供了用于構(gòu)建基 于web的分布式應用的框架,并且可以提供有效的自動機器對機器通信��。
從技術的角度來看���,web服務是網(wǎng)絡可訪問功能,其可以利用標準互 聯(lián)網(wǎng)協(xié)議在標準接口上被訪問���,所述協(xié)議例如是超文本傳輸協(xié)議(HTTP )�、 可擴展標記語言(XML)、簡單對象訪問協(xié)議(SOAP)等�����。
Web服務技術的真正能力在于其簡單性����。核心技術僅解決了通用語言 和通信問題而并未直接解決應用集成的繁重任務。Web服務可以被看作是 用于互連多個異類非置信系統(tǒng)的復雜的機器對機器遠程過程調(diào)用(RPC )
利用互聯(lián)網(wǎng)標準(例如HTTP和簡單郵件傳輸協(xié)議(SMTP))�,來利用 許多新的技術。
在web服務的開發(fā)和標準化后面的主要動力之一是通過提供不同應用 之間的松耦合來促進無縫的機器對機器應用級通信的能力����。這種應用的松 耦合使得不同服務器上的應用能夠互操作而無需在它們之間的靜態(tài)的、固 定的接口 ����。使用十分不同的技術的應用可以利用標準web服務協(xié)議來互操 作。
網(wǎng)絡和應用管理員關于網(wǎng)絡服務方面所面臨的一個重要問題�����,或更一 般地說是關于向用戶暴露服務所針對的網(wǎng)絡應用方面所面臨的 一 個重要問 題��,AJ^視和控制哪些用戶在被管理網(wǎng)絡上以及這些用戶在做什么的能力。 良好的公司管理規(guī)定合適的監(jiān)視和控制點對所有業(yè)務活動處于適當?shù)奈?置���,并且與涉及>5^司管理的管理規(guī)則的一致性證實對于許多企業(yè)而言已經(jīng) 變成困難且成本高的任務�����。由應用實現(xiàn)的活動記錄在最好的情況下是不一 致的����,而在最差的情況下是不存在的��。例如�����,管理員手工制作由任何給定 用戶訪問的應用和系統(tǒng)的綜合^L告需要較多的工作����。
當前,沒有可用的產(chǎn)品使得網(wǎng)絡和應用管理員能夠監(jiān)視���、控制和報告 應用訪問,例如用戶以綜合方式使用服務�。盡管單個應用可以針對該特定應用而提供用戶活動才艮告和控制����,然而應用不具有提供用戶關于其他應用 的活動的綜合檢查的能力��。這除了通過人工方式綜合所有應用的用戶活動
記錄以制作綜合報告之外����、沒有為管理員提供用于綜合控制和監(jiān)視的機制。 處理例如服務訪問消息的應用訪問業(yè)務的��、包括現(xiàn)有防火墻和網(wǎng)關的 網(wǎng)絡節(jié)點可以生成所有已被處理的消息的記錄��。然而�����,它們沒有關聯(lián)來自 同一用戶的消息來生成應用訪問的指定用戶的綜合記錄�。此外,它們不允
許基于應用訪問數(shù)據(jù)來采取運行時間動作���。
因此�����,需要改進對例如web服務的網(wǎng)絡應用的監(jiān)視和運行時間控制��。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的實施例����,提供了將多個應用/服務訪問組合成單個指定用 戶的多應用記錄的能力。這可以實現(xiàn)實時策略執(zhí)行和針對i人證網(wǎng)絡用戶的 綜合審計跟蹤(consolidated audit trail)的生成���。
根據(jù)本發(fā)明一個方面�����, 一種機器實現(xiàn)的方法包括檢測用戶對多個通信 網(wǎng)絡中提供的應用的訪問����,和在關聯(lián)于用戶的多應用M記錄中記錄每個 檢測到的用戶對多個應用的訪問���。
檢測可以涉及在web服務節(jié)點接收用戶關于訪問應用服務器的請求�����, 通過所述應用服務器來提供多個應用中的至少 一個應用�。
所述方法也可以包括通過對照存儲于用戶數(shù)據(jù)庫中的信息認證用戶憑 證來識別用戶��。
檢測的操作可以包括接收與用戶對多個應用中的 一個應用的訪問相關 聯(lián)的應用訪問信息��,在這種情況下該方法還可以包括確定所接收的應用訪 問信息是否符合應用會話策略,以及如果所接收的應用訪問信息符合應用 會話策略則在用戶和提供應用的應用服務器之間傳送所接收的應用訪問信 息����。應用會活策略可以包括以下策略中的至少一個用戶指定的策略�����、應 用指定的策略�����、和全局通信網(wǎng)絡策略�����。
在一些實施例中��,所述方法還包括響應于檢測到用戶對多個應用中的 一個應用的訪問而確定該用戶的多應用會話記錄是否存在于數(shù)據(jù)庫中�,以及如果該應用的多應用會話記錄不存在于數(shù)據(jù)庫中則創(chuàng)建多應用會話記錄 以存儲記錄用戶對多個應用的訪問的條目。
所述方法還包括報告多應用M記錄的內(nèi)容�。
多個應用可以包括由多個應用服務器提供的應用。
所述方法可以例如用存儲用于執(zhí)行的指令的機器可讀介質(zhì)來體現(xiàn)��。
也提供了一種裝置����,包括用于檢測用戶對通信網(wǎng)絡中提供的多個應 用的訪問的應用訪問檢測器���;和會話管理模塊,其有效耦合到所述應用訪 問檢測器并且用于在關聯(lián)于用戶的多應用會話記錄中記錄用戶對多個應用 的每個檢測到的訪問���。
所述裝置也可以包括有效耦合到所述會話管理模塊且用于存儲多應用 會話記錄的存儲器����。所述會話管理模塊可以用于在存儲器中創(chuàng)建應用M 記錄�。所述訪問檢測器可以包括iUi^莫塊,該認證模塊用于通過對照存儲于 用戶數(shù)據(jù)庫中的信息認證用戶憑證iM企測用戶對多個應用的訪問���。
在一些實施例中�����,所述裝置包括接口��,該接口有效耦合到所述訪問檢 測器和務活管理才莫塊且用于接收與用戶對多個應用中的 一個應用的訪問相 關聯(lián)的應用訪問信息���。所述會話管理模塊還可以用于確定所接收的應用訪 問信息是否符合應用會話策略,并且如果所接收的應用訪問信息符合所述 應用會話策略則在用戶與提供應用的應用服務器之間傳送所接收的應用訪 問信息。
所述裝置還可以包括用于才艮告應用會話記錄的內(nèi)容的接口 ��。 多個應用服務器可以提供多個應用�。
這種裝置可以例如實現(xiàn)在用于管理web服務應用使用的web服務節(jié)點中。
本發(fā)明的另 一方面提供了 一種存儲數(shù)據(jù)結(jié)構(gòu)的機器可讀介質(zhì)��。所述數(shù) 據(jù)結(jié)構(gòu)包括通信網(wǎng)絡用戶的標識符��,以及指示了用戶對該通信網(wǎng)絡中提供 的多個應用的訪問的多個條目����。
所述多個應用可以包括由多個應用服務器提供的應用����。通過閱讀下面的描述,本發(fā)明實施例的其他方面和特征對于本領域技 術人員將變得明顯����。
現(xiàn)在將參考附圖詳細描述本發(fā)明實施例的例子。
圖l是通信系統(tǒng)的框圖����; 圖2是應用活動監(jiān)視裝置的框圖; 圖3是應用活動監(jiān)視方法的流程圖����; 圖4是應用活動監(jiān)視數(shù)據(jù)結(jié)構(gòu)的框圖�����。
具體實施例方式
圖l是通信系統(tǒng)的框圖��,其中可以實現(xiàn)本發(fā)明的實施例���。通信系統(tǒng)IO 包括通信網(wǎng)絡12,企業(yè)系統(tǒng)22�、 24、應用系統(tǒng)26和遠程用戶系統(tǒng)^殳施28 經(jīng)由各自的通信鏈路而有效耦合到所述通信網(wǎng)絡�����。
企業(yè)系統(tǒng)22包括一個或多個應用服務器32���、有效耦合到應用服務器 的應用平臺34���、有效耦合到應用平臺和通信網(wǎng)絡12的網(wǎng)關36、有效耦合 到應用平臺和網(wǎng)關的一個或多個用戶系統(tǒng)38�、有效耦合到應用平臺、用戶 系統(tǒng)和網(wǎng)關的身份系統(tǒng)40�����、以及有效耦合到應用平臺和網(wǎng)關的應用管理器 42。也可以部署其他部件或系統(tǒng)��,例如位于網(wǎng)關36—側(cè)的、用以提供隔離 區(qū)(DMZ)的防火墻。企業(yè)系統(tǒng)24可以具有相似的結(jié)構(gòu)���。
在應用系統(tǒng)26中���,應用平臺44有效耦合到通信網(wǎng)絡12和一個或多個 應用服務器46。遠程用戶系統(tǒng)設施28包括有效耦合到一個或多個用戶系 統(tǒng)49的應用委托代理48����。
盡管許多企業(yè)系統(tǒng)、應用系統(tǒng)����、遠程用戶系統(tǒng)設施和可能的其他類型 的系統(tǒng)可以在通信系統(tǒng)中凈皮提供,然而在圖1中僅示出了某些類型的系統(tǒng) 的例子以避免使得圖過于復雜����。為了簡單,圖l也省略了通信網(wǎng)絡12�,以 及企業(yè)系統(tǒng)24的內(nèi)部細節(jié),例如邊界或接入設備和核心交換/路由部件。通信網(wǎng)絡12的類型��、結(jié)構(gòu)和操作可以隨本發(fā)明實施例的部署而變化���。本發(fā) 明的其他實施例也可以包括企業(yè)系統(tǒng)����、應用系統(tǒng)和/或遠程用戶系統(tǒng)設施���, 所述遠程用戶系統(tǒng)設施包括比所顯示的更少�����、更多或不同的�、具有相似或 不同互連的部件���。
因此�����,應當認識到�,圖1的通信系統(tǒng)10以及其他附圖的內(nèi)容僅是為了 說明����,本發(fā)明決不限于圖中明確示出的以及這里描述的特定示例性實施例����。
本發(fā)明所屬領域的技術人員熟悉許多不同類型的通信網(wǎng)絡�����,包括例如 應用層網(wǎng)絡的覆蓋網(wǎng)絡和更傳統(tǒng)的基礎設施����。本發(fā)明不限于任何特定類型 的通信網(wǎng)絡。在一個實施例中�����,通信網(wǎng)絡12是互聯(lián)網(wǎng)或其它公共網(wǎng)絡��。
系統(tǒng)22���、 24、 26�、 28訪問通信網(wǎng)絡12所采用的許多訪問技術實例是 本領域技術人員所熟知的,因此沒有在圖1中分別顯示����。
首先考慮企業(yè)系統(tǒng)22�,應用服務器32支持可提供至少由本地用戶系 統(tǒng)38使用的功能(說明性地;U良務)��。如果部署了多個應用服務器32�����, 則每個服務器支持各自的功能或服務集合����,其可以覆蓋由其他服務器支持 的服務,也可以不覆蓋��。
在一些實施例中�,這些功能也可以由外部用戶系統(tǒng)使用,例如企業(yè)系 統(tǒng)24中的用戶系統(tǒng)���,其中企業(yè)系統(tǒng)22��、 24的擁有者或操作者具有允許它 們的用戶訪問的系統(tǒng)間協(xié)議�,和/或遠程用戶系統(tǒng)i殳施28的用戶系統(tǒng)49���。
這里對使用應用的參考旨在傳達任何這種功能的概念�。通常,應用服 務器32執(zhí)行軟件應用來提供這些功能�。在本說明書上下文中,例如web 服務的服務是暴露給用戶系統(tǒng)的應用功能的一個例子����。任何對應用、功能 和服務的參考應當相應地來解釋���。
應用服務器32可以包括一個或多個處理器�����、 一個或多個存儲器設備和 用于與用戶系統(tǒng)交換應用事^ft息的接口 �����,所述信息例如是服務請求消息 和相應的響應�。應用服務器32中的存儲器設備可以用于存儲操作系統(tǒng)軟 件��、應用軟件等�����,以由應用服務器處理器使用���。例如22的企業(yè)系統(tǒng)通常實 現(xiàn)為網(wǎng)絡���,在這種情況下網(wǎng)^l:口使得應用服務器32能夠與用戶系統(tǒng)38 以及可能地企業(yè)系統(tǒng)的其他部件通信。在另一種可能的實現(xiàn)中���,應用服務
10器32包括用于與不同企業(yè)系統(tǒng)部件通信的分別的接口��。
用戶系統(tǒng)38可以類似地包括一個或多個處理器����、 一個或多個存儲器設 備和某種用于與應用服務器32以及可能地企業(yè)系統(tǒng)22的其他部件通信的 接口����。用于與應用服務器32相連的操作系統(tǒng)軟件、客戶端軟件和/或其他 類型的信息可以被存儲在用戶系統(tǒng)存^i殳備中�����。
本領域技術人員熟悉提供和/或使用網(wǎng)絡應用的許多不同類型的系統(tǒng)�����。 本發(fā)明的實施例主要涉M視對網(wǎng)絡應用的限制訪問的使用�,而不是如何 實際上支持這些應用����,因此這里僅就說明本發(fā)明各方面所必需的程度而簡 要描述了應用服務器32�����、用戶系統(tǒng)38和它們的操作����。
身份系統(tǒng)40代表通常在例如公司網(wǎng)絡的企業(yè)系統(tǒng)中提供的另 一部件, 并且為本領域技術人員所熟知�。對應用服務器32所支持的服務或其他功能 的訪問在許多情況下必須限于特定的用戶集合??梢酝ㄟ^與例如輕量級目 錄訪問協(xié)議(LDAP)目錄或其它類型的用戶數(shù)據(jù)庫進行交互來認證用戶 和/或用戶系統(tǒng)的身份系統(tǒng)40提供了可用于授權或拒絕對網(wǎng)絡服務的訪問 的數(shù)字身份。
在結(jié)構(gòu)方面�,應用平臺34包括與應用服務器32的用戶系統(tǒng)接口 (說 明性地是應用編程接口 (API))相容的應用服務器接口、與用戶系統(tǒng)38 的應用服務器接口相容的一個或多個接口 ��、和用于處理經(jīng)由這些接口接收 和/或發(fā)送的消息或其它信息的部件����。如下文進一步詳細描述的,外部用戶 系統(tǒng)能夠經(jīng)由網(wǎng)關36訪問應用服務器32�����,在這種情況下應用平臺34的用 戶系統(tǒng)接口也可以使得所述應用平臺能夠與網(wǎng)關36通信�����。然而���,在一些實 施例中�����,可以為此而提供分離的網(wǎng)關接口��。
網(wǎng)關36也包括與企業(yè)系統(tǒng)22的其他部件的接口相容的一個或多個接 口�����、用于使得通信信號能夠通過通信網(wǎng)絡12而被發(fā)送和/或被接收的一個 或多個外部接口 ���、和用于處理經(jīng)由接口接收和/或發(fā)送的信號的中間部件。
應用管理器42代表本身不能當信息在應用服務器32與本地用戶系統(tǒng)
用管理器42可以經(jīng)由相容的接口與應用平臺34和網(wǎng)關36通信以執(zhí)行這樣的功能說明性地通過將應用會話策略下載至平臺和/或網(wǎng)關以進行執(zhí)行來 配置應用平臺和/或網(wǎng)關����、訪問根據(jù)本發(fā)明的實施例所收集的應用會話信 息,等等。
應用平臺34�、網(wǎng)關36和應用管理器42的內(nèi)部組件可以用硬件、軟件����、 固件或其某種組合來實現(xiàn)。如下面參考圖2描述的監(jiān)視系統(tǒng)提供了可以在 應用平臺34或網(wǎng)關36中提供的子系統(tǒng)的說明性實例���。
在針對企業(yè)網(wǎng)絡的所謂面向服務的架構(gòu)(SOA)的傳統(tǒng)部署中�,SOA 部件單獨地被部署并且被集成在每個應用服務器上����。在例如企業(yè)系統(tǒng)22
web服務標準解決了對限制授權用戶訪問服務的需求,然而web服務策略 服務器必須存儲和提供這個信息����。執(zhí)行這些策略也會是一種挑戰(zhàn),因為軟 件銷售商可能需要實質(zhì)上改變應用和服務器以適配于企業(yè)系統(tǒng)�����。
這都代表了企業(yè)的重要計劃�����,并且可能具有相對較長的實現(xiàn)周期。此 外��,實現(xiàn)這個計劃所需要的技術是非常專業(yè)的���,這可能使得SOA實現(xiàn)變得
當例如在企業(yè)系統(tǒng)22、 24之間向合作方擴展web服務或其他類型的 應用時����,對于部署在應用服務器上的SOA基礎設施而言存在更大的挑戰(zhàn)。 例如���,部署于合作方站點的應用可能使用不能自由地共享用戶身份信息的 不同安全^L制��,這需要用戶的安全令牌的轉(zhuǎn)換�。將安全令牌轉(zhuǎn)換或其他安 全功能的負擔施加于每個應用服務器上會導致成本高且低效����。
數(shù)據(jù)私密性要求也非常困難,甚至不能夠在每個應用服務器執(zhí)行�����,因 為應用服務器本身無法獲知用戶系統(tǒng)�����,或更一般地其服務的消費者,是否 是在其企業(yè)系統(tǒng)的外部�。
XML指定的拒絕服務(XDoS)攻擊以及可能地其他威脅,在基于應 用服務器的SOA實現(xiàn)中特別成問題��。例如���,Web服務對于XDoS攻擊是 開放的����,這無法在應用服務器上被有效地處理�。
為了通過術碌耦合應用而實現(xiàn)應用互操作性的、基于服務器的SOA至 web服務才莫型的變遷需要說明性地以SOAP報頭和XML消息的形式的消息傳送以及為了管理這些消息的附加的處理需求���。這個附加的開銷消耗了 網(wǎng)絡帶寬并且會導致對應用服務器硬件方面的大量新的需求�。
用于部署SOA基礎設施的可選模型是將SOA組件集成到企業(yè)網(wǎng)絡單 元中�����,如圖1所示���。應用平臺34���、網(wǎng)關36和應用管理器42代表企業(yè)系統(tǒng) 22中的SOA組件�����。
從應用服務器32分離地部署SOA基礎設施可以提供幾個好處SOA 基礎設施是應用不可知的(agnostic)�����,應用需要最小修改,SOA基礎設 施是端到端集成解決方案��,應用服務器處理開銷被最小化��,以及網(wǎng)絡帶寬 可以被優(yōu)化�。
利用基于企業(yè)系統(tǒng)/網(wǎng)絡的SOA部署,應用互操作所需要的任何消息 轉(zhuǎn)換可以根據(jù)企業(yè)系統(tǒng)內(nèi)的策略集合來被執(zhí)行���,而不是由應用本身執(zhí)行����。 這能夠與應用無關地定義轉(zhuǎn)換��,從而消除了對應用銷售商實現(xiàn)的依賴��。
適配消息格式和內(nèi)容所需要的業(yè)務邏輯因而由企業(yè)提供,而不是由應 用提供���,這最小化了應用修改����。例如��,web服務消息可以在企業(yè)網(wǎng)絡內(nèi)被 適配以實現(xiàn)應用互操作性�。也許由于合并、獲取或與新搭檔的集成的需要 而出現(xiàn)新的互操作性需求時���,不需要應用修改�。消息轉(zhuǎn)換的新策略可以被 定義成規(guī)定新的互操作性���。
部署成集成企業(yè)網(wǎng)絡解決方案的SOA^tt;設施可以提供單個監(jiān)視�����、控 制和綜合才艮告點�,說明性地是應用管理器42����。這對于實現(xiàn)適當?shù)墓竟芾怼?持續(xù)的公司改進�、以及證實符合涉及例如數(shù)據(jù)私密性和網(wǎng)絡安全的規(guī)則的 能力來說是重要的�����。
應用互操作性的應用服務器處理需求出于兩個原因而可以被大大減 小應用服務器卸載(offload)和縮減數(shù)目的所需轉(zhuǎn)換���。轉(zhuǎn)換可以例如在 應用平臺34—次完成����,并且然后被轉(zhuǎn)發(fā)至多個目的地�����,而不是執(zhí)行其自己 的轉(zhuǎn)換的每個應用���。
附加消息業(yè)務所消耗的網(wǎng)絡帶寬可以通過基于檢查消息SOAP報頭、 XML標簽或其它消息內(nèi)容將分組路由至應用服務器32而被減小���。路由對 于應用背景是敏感的���,而不是例如基于靜態(tài)IP地址。如果應用服務器功能被擴展至合作方企業(yè)系統(tǒng)�,部署成企業(yè)網(wǎng)絡^
設施的SOA基礎設施可以提供許多其他優(yōu)點�。安全令牌的轉(zhuǎn)換可以在雙方 網(wǎng)絡之間的分界點被一次完成�����,所述分界點說明性地是用于從外部訪問應 用服務器32的網(wǎng)關36�,這提供了安全策略的單個執(zhí)行點。數(shù)據(jù)私密性也 可以在數(shù)據(jù)離開安全域的點被執(zhí)行�����,例如也是在網(wǎng)關36��。這帶來了效率并 且降低了成本�。此外,針對公司web服務的拒絕服務攻擊可以在網(wǎng)關36 防御��,即公司網(wǎng)絡邊緣�����,其可能是處理這種問題最安全的地方����。
應用平臺34提供SOA基礎設施來集成傳統(tǒng)上作為獨立應用運行的應 用,并且可以實現(xiàn)這樣的能力控制和監(jiān)視由認證用戶發(fā)起的任何活動從 而實現(xiàn)綜合審計跟蹤的生成、消息和文檔格式的轉(zhuǎn)換�、管理應用的生命周 期(包括web服務的分段推廣和在發(fā)生不期望行為的情況下回退到之前的 版本)、以M視應用/服務性能以確保應用/服務滿足內(nèi)部公司需求���。
應用平臺34的示例性功能的這個列舉�����,像這里提及的其他功能示例一 樣����,決不是限制性的或排他性的���。許多功能可以獨立實現(xiàn)�,每個實施例不 必提供所有功能�����,而其他功能對本領域技術人員也是顯而易見的���。應用平 臺34的優(yōu)點可以包括通過最少地改變現(xiàn)有應用而實現(xiàn)縮減的應用集成成 本,如上所述�,確保對公司應用的訪問符合管理規(guī)則,針對雇員訪問web 服務的中央監(jiān)視和控制點�,以及通過綜合報告而實現(xiàn)的持續(xù)的公司改進��。
網(wǎng)關36通過通信網(wǎng)絡12有效地將企業(yè)系統(tǒng)22所提供的內(nèi)聯(lián)網(wǎng)SOA 擴展成實現(xiàn)與客戶及合作方的無縫集成而不會危及安全或私密的外聯(lián)網(wǎng)���。 網(wǎng)關36的功能還可以包括應用至合作方外聯(lián)網(wǎng)和分支機構(gòu)位置的所有擴 展,這為合作方訪問應用提供了無縫移動性��、確保了合作方對公司應用的 訪問符合管理規(guī)則���、以及保持了公司身份的私密性而不會造成可追溯性�����。
在提供從關聯(lián)于企業(yè)系統(tǒng)22的任何合作方站點至應用服務器32的移 動訪問時�����,網(wǎng)關36可以實現(xiàn)合作方制度的安全標識和不同安全域之間的身 份接受����。用于與外部合作方站點關聯(lián)的用戶系統(tǒng)的應用消息和數(shù)據(jù)轉(zhuǎn)換也 可以由網(wǎng)關36提供�����,同時確保所有數(shù)據(jù)關于公司策略而保持私密性。所有 應用訪問的綜合審計跟蹤可以由網(wǎng)關收集并且提供給外部合作方企業(yè)系
14統(tǒng)�,從而例如證實與規(guī)則相符。
應用管理器42提供用于監(jiān)視和控制應用平臺34�、網(wǎng)關36和企業(yè)系統(tǒng) 22中的任何其他平臺和網(wǎng)關(未顯示)的中心點。為了確保改進的公司管 理和/或符合管理規(guī)則而實現(xiàn)的針對所有應用的總體上一致的策略也可以 在一些實施例中通過應用管理器42來被建立并且被分配給應用平臺34和 網(wǎng)關36以進行執(zhí)行�。中央應用管理器42也可以規(guī)定總體上一致的應用改 變管理。
如上文所述��,企業(yè)系統(tǒng)24可以基本上類似于企業(yè)系統(tǒng)22���。 企業(yè)系統(tǒng)22同時包括支持應用的應用服務器32和可以使用這些應用 的一個或多個用戶系統(tǒng)38�����。然而����,應當認識到����,應用服務器和用戶系統(tǒng)不 必共同定位。例如��,應用系統(tǒng)26包括一個或多個應用服務器46��,而不包 括本地用戶系統(tǒng)��。盡管僅示出了應用系統(tǒng)26中的一個應用平臺44�����,然而 應用系統(tǒng)的某些實現(xiàn)也可以包括網(wǎng)關����。盡管所示應用系統(tǒng)26可能適合于例 如與作為企業(yè)系統(tǒng)22的主數(shù)據(jù)中心關聯(lián)的遠程數(shù)據(jù)中心,然而托管應用以 由外部用戶系統(tǒng)^f吏用的獨立的或"非附屬的"應用系統(tǒng)也可以包括網(wǎng)關用 以處理例如外部用戶的認證�。
應用系統(tǒng)26中的應用平臺44可以與企業(yè)系統(tǒng)22的應用管理器42交 互,或更一般地與其附屬企業(yè)系統(tǒng)的應用管理器交互�。在獨立應用系統(tǒng)的 情況下,本地應用管理器可以,皮提供�。在一些實現(xiàn)中,外部服務控制器與 多個不同域中的SOA基礎設施組件交互��。例如��,有效耦合到通信網(wǎng)絡12 的外部服務控制器可以配置網(wǎng)關36和企業(yè)系統(tǒng)24中的網(wǎng)關以收集和交換 應用性能統(tǒng)計�。
圖1示出了僅一個用戶的部署,即遠程用戶系統(tǒng)設施28����。應用委托代 理48使得例如合作方或分支機構(gòu)位置處的用戶系統(tǒng)49能夠使用由遠程應 用服務器提供的應用����。在一個實施例中��,應用委托代理48是縮減大小的網(wǎng) 關36���。應用委托代理48像網(wǎng)關36那樣可以在用企業(yè)系統(tǒng)22認證用戶系 統(tǒng)49期間保持公司身份的私密性而不會造成可追溯性�,并且利用例如隧道 化技術而支持通過通信網(wǎng)絡12的安全通信�,而不必能夠認證外部用戶,因為遠程用戶系統(tǒng)設施28并沒有托管可由外部用戶系統(tǒng)使用的應用�。
在操作中,希望利用由應用服務器32提供的應用的用戶系統(tǒng)38首先 被身份系統(tǒng)40認證����。本領域技術人員熟悉多種用于該目的的安全機制,例 如用戶名/密碼認證���。如果對應用服務器32的遠程訪問被支持���,則用戶認 證可以由網(wǎng)關36可能地通過與外部身份系統(tǒng)交互來處理。當與合作方企業(yè) 系統(tǒng)或站點關聯(lián)的用戶系統(tǒng)本地連接到企業(yè)系統(tǒng)22并且希望訪問應用服 務器32時�,網(wǎng)關36也可以進行認證。
當用戶已經(jīng)被認證時���,可以在用戶系統(tǒng)和應用服務器32之間交換消息 或其他格式的信息���。用戶可以被許可在進行單個成功認證之后訪問多個應 用。在這種情況下��,跟蹤用戶在應用方面的活動會是4艮大的挑戰(zhàn)����。
根據(jù)本發(fā)明的實施例,提供了用于監(jiān)視�����、控制和報告單個用戶對應用/ 服務的訪問的新技術�。
這里進一步詳細描述的用戶指定的應用級會話記錄代表一種新的概 念,按照該概念���,由認證用戶發(fā)起的應用訪問操作(說明性地是web服務 事務)被組合在一起以提供該用戶在公司網(wǎng)絡上的活動的綜合檢查�。術語 "會話"并不旨在涉及傳輸控制協(xié)議(TCP)或其他聯(lián)網(wǎng)協(xié)議會話����,而是 涉及用戶訪問網(wǎng)絡(例如公司網(wǎng)絡)上的應用所耗費的連續(xù)時間段。
應用級會話記錄功能可以例如在SOA結(jié)構(gòu)中的任何一組子系統(tǒng)被實 現(xiàn)�,所述SOA結(jié)構(gòu)包括系統(tǒng)10中的應用管理器42�、應用平臺34和網(wǎng)關 36�。應用平臺34和網(wǎng)關36是實時處理應用訪問操作(說明性地是web服 務消息)以促進應用集成且實現(xiàn)SOA的快速、成本低的部署的網(wǎng)絡節(jié)點或 組件���,因而可以是用于實現(xiàn)應用會話信息收集的邏輯點��。作為可由企業(yè)部 署以協(xié)調(diào)其網(wǎng)絡中的任何數(shù)目的應用平臺和/或網(wǎng)關的網(wǎng)絡和應用管理單 元的應用管理器42可以提供對針對才艮告的應用會話的后續(xù)訪問�、為確認或 證實與策略或制度相符而進行的歷史分析����,等等。
多應用會話記錄的優(yōu)點可以包括通過策略或管理動作實時管理用戶 指定的會話以確保適當?shù)墓竟芾淼哪芰?�,以及通過用戶活動的綜合審計 跟蹤而實現(xiàn)對與規(guī)則相符的證明��。應用會話記錄的動態(tài)創(chuàng)建和實時管理可以提供企業(yè)網(wǎng)絡管理目前無法擁有的有力工具�����,并且代表傳統(tǒng)系統(tǒng)上的強 壯的微分器�。
圖2是應用活動監(jiān)^f見和控制裝置的框圖。裝置50包括用戶系統(tǒng)接口 52����、控制/管理系統(tǒng)接口 54����、有效耦合到用戶系統(tǒng)接口和控制/管理系統(tǒng)接 口的認證模塊56��、有效耦合到認證模塊的用戶數(shù)據(jù)庫58��、有效耦合到認證 模塊的應用訪問檢測器57��、以及有效耦合到應用訪問檢測器�����、^t數(shù)據(jù)庫 62���、會話策略數(shù)據(jù)庫64和一個或多個應用服務器接口 66的會話管理模塊 60。
如上文參考圖l所指出的�����,附圖的內(nèi)容僅用于說明����。其中實現(xiàn)裝置50 的設備可以例如包括未示出的附加部件。裝置的其他實施例可以包括比明 確顯示的更多�、更少或不同的�、具有類似或不同互連的部件�。
例如,盡管應用訪問檢測器57在圖2中顯示為分離的部件��,然而它也 可以與認證模塊56集成到一起�。當用戶首先被j人證或當檢查到已經(jīng)正確地 認證了嘗試訪問應用的用戶時,用戶對應用的訪問可以由認iiD漠塊56檢 測��。應用訪問檢測功能可以類似地被實現(xiàn)在會話管理模塊中�����。
圖2的部件通過其而被有效耦合的連接類型至少在某種程度上可以是 與實現(xiàn)相關的�。電子設備通常使用各種類型的物理連線和有線連接。例如��, 在協(xié)調(diào)軟件功能的情況下��,有效耦合可以經(jīng)由變量��、注冊或存儲器公共訪 問區(qū)域����,因此包括邏輯耦合。
硬件、軟件�、固件或其組合可以被用來實現(xiàn)裝置50的部件。處理單元 可能是適用的����,例如微處理器、微控制器��、可編程邏輯設備(PLD)�����、現(xiàn) 場可編程門陣列(FPGA)�����、專用集成電路�����、以及其他類型的"智能"集 成電路�。
裝置50可以通過接口 52�����、 54、 66與通信網(wǎng)絡的其他部件交互�。這些 接口可以是相同類型的或不同類型的,或在同一通信介質(zhì)被用于與所有其 他部件的信息傳送的情況下甚至是同一接口���。然而���,在許多實現(xiàn)中,有可 能用戶系統(tǒng)接口 52至少不同于應用服務器接口 66��,以及應用服務器接口 不同于不同的應用^^務器���。盡管在一些情況下裝置50通過同一企業(yè)網(wǎng),口與用戶系統(tǒng)和應用管理器交互�,然而控制/管理系統(tǒng)接口 54可以是另一 種不同的接口�����。
用戶系統(tǒng)接口 52使得裝置50能夠與用戶系統(tǒng)交換應用訪問信息���,例 如請求和相應的響應���。每個應用服務器接口 66類似地使得裝置50能夠與 一個或多個應用服務器的各個集合交換應用訪問信息。例如當裝置50被實
對應用的使用的網(wǎng)關上時��,裝置50的這種結(jié)構(gòu)是合適的,因為這些部件處 理企業(yè)系統(tǒng)的所有應用訪問信息�。然而,應當認識到�����,其他實現(xiàn)也是可行 的����。監(jiān)視裝置還可以消極地"偵聽,�,應用訪問信息,在這種情況下它不必 主動參與應用服務器與用戶系統(tǒng)之間的應用訪問信息傳送��。
通過控制/管理接口 54��,裝置50可以與例如應用管理器42 (圖1)的 控制或管理系統(tǒng)交換信息��。例如����,可以通過接口 54與控制或管理系統(tǒng)交換 應用會話記錄和/或會話策略�����。
接口 52、 54�����、 56的結(jié)構(gòu)和操作至少在某種程度上取決于應用訪問信息 傳送中使用的通信介質(zhì)和協(xié)議��。本領域技術人員熟悉多種接口��,其中裝置 50可經(jīng)由所述接口接收和/或發(fā)送應用訪問信息����。
數(shù)據(jù)庫58、 62�、64中的每一個都可以在一個或多個存儲設備中被提供。 固態(tài)存儲設備在電子設備中是常見的�,并且每個數(shù)據(jù)庫可以利用 一個或多 個這種類型的存^i殳備而被實現(xiàn)。然而�����,其他類型的存儲設備����,包括利用 活動的或可拆卸的存儲介質(zhì)的存儲設備,也可以被用來存儲數(shù)據(jù)庫58��、 62、 64���。
用戶數(shù)據(jù)庫58存儲用戶信息����,例如用戶名和密碼���,它們可被用于認證 試圖訪問應用服務器的用戶����。a數(shù)據(jù)庫62被用來存儲由用戶執(zhí)行的應用 訪問操作的記錄����。策略被存儲在會話策略數(shù)據(jù)庫64中,例如要針對應用會 話和/或用戶而被記錄的特定信息�,對于在要求用戶重新i^證之前會活可以 維持的時間的限制、對于在請求用戶重新認證之前用戶可以執(zhí)行的訪問操 作的數(shù)目的限制���,等等。策略可以包括所有用戶指定的策略��、應用指定的 策略���、公司范圍內(nèi)的全局策略����、以及可能地其他類型的策略。其記錄被存儲在會話數(shù)據(jù)庫62中的應用M提供了應用活動的歷史報告���,例如檢驗應用訪問是否滿足需求或規(guī)則�,而存儲于會話策略數(shù)據(jù)庫64中的會活策略的執(zhí)行阻止用戶執(zhí)行違反這種需求或規(guī)則的應用訪問����。
如上所述,裝置50的部件可以利用硬件���、軟件和/或固件實現(xiàn)����。因此這里僅就其功能而描述這些部件��?���;诠δ苊枋觯绢I域技術人員能夠以各種方式中的任一種來實現(xiàn)根據(jù)本發(fā)明實施例的服務監(jiān)視技術�����。
在操作中,認證模塊56�、應用訪問檢測器57和會話管理模塊60利用應用會話來促進綜合應用活動監(jiān)視,如下文詳細描述的那樣���。應用會話被會話管理模塊60動態(tài)創(chuàng)建和維持��,并且是用于監(jiān)視�、控制和報告由應用訪問檢測器57所檢測的用戶的應用訪問活動的唯一可識別的容器����。
實現(xiàn)應用會話可能涉及幾種功能,包括會話認證����、會話監(jiān)視、會話策略和控制����、以及會話報告。在裝置50中����,這些功能可以由認證模塊56、應用訪問檢測器57和會話管理模塊60來支持����。本發(fā)明的其他實施例可以提供所述功能的不同劃分,以及可能地在更多����、更少或不同部件之間的其他功能。
會話認證是指檢測用戶的應用訪問和基于用戶身份創(chuàng)建應用會活的能力����。針對應用訪問檢測器檢測認證用戶對應用的訪問所依據(jù)的每個接收的應用訪問消息或其它形式的應用訪問信息,這可能包括建立發(fā)起對應用的訪問的發(fā)起或目的用戶的身份��。會話維持模塊60因而可以使用這個身份來確定對于該用戶是否存在激活的應用^"�。盡管認證模塊56可以在最初許可訪問應用之前通過與例如企業(yè)的身份系統(tǒng)交互來認證用戶并且可能地隨后重新i人證用戶,然而i人證才莫塊不必包括針對每個消息識別用戶�����。應用訪問檢測器57或會話管理模塊60可以根據(jù)例如消息報頭信息來確定每個消息的用戶�。
會話管理模塊60確定會話數(shù)據(jù)庫62中是否存在針對該用戶的激活應用會話記錄,如可通過基于用戶名或一些其他用戶標識符搜索該數(shù)據(jù)庫來進行確定���。如果激活應用會話記錄存在�,則會話管理模塊60將任何關聯(lián)的策略應用于接收的消息,所述策略被存儲在會話策略數(shù)據(jù)庫64中并且可以根據(jù)會話策略的特性(全局����、應用、用戶)而祐:搜索��。策略可以是全局的 或?qū)S糜谟脩?、用戶組、應用���、位置等���。在一些實施例中,策略在策略定 義體系中被定義�����,以實施最專用的適用策略�����。例如�,策略生成系統(tǒng)可以允 許管理員定義應用和/或用戶指定的策略,該策略包括(或至少不違背)公
司全局會話策略。在這種情況下��,會話管理模塊60可以為用戶識別且實施
最專用的策略���。
假設接收的消息與合適的策略相符,會話管理模塊60用反應所接收消 息的新的活動條目來更新現(xiàn)有的應用會話記錄����。會話管理才莫塊60可以存儲
實際上收到的消息、無用信息�、數(shù)字簽名或其它消息的變換、接收消息的 時間���、和/或其他關聯(lián)于用戶��、應用和/或消息的信息�。存儲于應用會話記錄 中的應用訪問信息的類型和格式也可以在策略中被指定�����。
如果確定M數(shù)據(jù)庫62中不存在該用戶的激活應用會活記錄�,則M 管理模塊60仍然基于例如用戶身份來確定要實施的合適的應用會話策略, 并且對消息實施該策略�。以用戶身份或可能地唯一會話標識符標記的新應 用會話記錄被創(chuàng)建。創(chuàng)建時間標記也可以被生成并被存儲在會話數(shù)據(jù)庫62 中?;顒訔l目被添加至新的應用會話記錄以反映接收到的消息。
默認地����,新的應用會話記錄可以針對每個可被唯一標識的用戶而被創(chuàng) 建。然而����,管理員可能在一些情況下更希望將標識用戶組中的所有用戶的 所有活動聚集成單個應用會話以最佳地滿足它們的需求。在這種情況下���, 即使可以實現(xiàn)更專門的標識��,應用會話記錄也可以基于對組身份或該組中 任何用戶的認證而被創(chuàng)建��。
在接收的消息不符合會話策略的情況下��,可以簡單地丟棄該消息��。然 而��,也可能希望跟蹤會話策略違背�。非相容訪問嘗試的記錄可以被存儲在 應用會話記錄中��,或者被分離地存儲。例如終止用戶的進一步訪問和/或向 系統(tǒng)管理員發(fā)出警告或告警的其他動作也可以被執(zhí)行�。
如上所述的基于消息的操作說明了這樣的操作包括檢測對網(wǎng)絡中的 應用的訪問以及維持用戶對多個應用的訪問的綜合記錄。其他實施例可以 4吏用相似或不同的沖支術來檢測和/或記錄用戶的應用訪問����。
20會話監(jiān)浮見是指提供這樣的能力將激活和歷史應用會話記錄的相關細 節(jié)提供給網(wǎng)絡或應用管理員。在裝置50中���,這個報告是通過控制/維持系 統(tǒng)接口 54來實現(xiàn)的。這個接口使得管理員可以被認證模塊56認證并且隨 后訪問M數(shù)據(jù)庫62�。激活應用會話記錄在^"數(shù)據(jù)庫62中被創(chuàng)建并且 4皮維持,如上文所述�。當由于用戶主動登出或在重新認證失敗或超時的情 況下被迫登出而終止對網(wǎng)絡的訪問時,針對該用戶的之前激活的應用M 記錄不再是激活的�����,但是可以作為歷史應用會話記錄而保留在會話數(shù)據(jù)庫 62中����。對應用管理器或其他控制/管理系統(tǒng)的會話監(jiān)視可以包括檢索、呈現(xiàn) 以及可能地從例如其管理的應用平臺和網(wǎng)關的網(wǎng)絡設備遠程存儲激活應用 會話記錄和歷史應用會話記錄�。
管理器或其它監(jiān)視設備可以通過會話管理模塊60或直接地訪問M 數(shù)據(jù)庫62。管理器或會話管理模塊60可以被配置成當歷史記錄已被訪問 時自動從M數(shù)據(jù)庫62中刪除該歷史記錄�����,從而保存存儲空間。歷史記錄 的刪除可能需要明確的命令或管理器或會話管理模塊60所進行的其它動 作��。在一些實施例中�����,至少激活應用會話記錄保留在M數(shù)據(jù)庫62中�����。
激活的和歷史的應用會話記錄可以被存儲在不同的存儲設備或區(qū)域 中����。在這種情況下,激活的記錄可以在應用會話終止時被移至歷史記錄存 儲��。
也設想自動的應用會話記錄報告���。激活的應用會活記錄可以在會話終 止時由會話管理模塊60例如在一天中的特定時刻或周期性地報告給控制/ 管理系統(tǒng)�����。這可以避免在監(jiān)視裝置需要歷史日志的本地存儲����,或者至少減 小歷史記錄存儲需求,盡管完整的歷史記錄仍可以作為備用措施而被存儲��。
本發(fā)明一些實施例的一個可能的優(yōu)點是管理員能夠創(chuàng)建關于各種類型 的用戶如何訪問其網(wǎng)絡上的應用且如何記錄其應用使用的策略�。會話策略 和控制說明了應用會話策略創(chuàng)建和執(zhí)行的功能性,以及管理超越能力�����。會 話策略執(zhí)行和管理控制可以由例如應用平臺和/或網(wǎng)關來執(zhí)行��,而應用管理 器提供用于創(chuàng)建應用會話策略的功能�����,說明性地是公司范圍內(nèi)的策略�����,并 且將這些策略下載到其他部件進行執(zhí)行��。在^t報告上下文中����,應用會話記錄將認證用戶發(fā)起的、針對不同應用的多個應用訪問事務組合在一起��,并且因而提供所有用戶活動的綜合審
計跟蹤��?�;诩せ畹暮?或歷史的應用會話記錄�����,總結(jié)一段時間內(nèi)的應用佳L用的報告可以被生成��。這些報告可以例如被用于一般的報告和/或證實符合規(guī)則���。
上面主要參考圖1的通信系統(tǒng)10和圖2的裝置50描述了本發(fā)明的實施例���。圖3是根據(jù)本發(fā)明另一個實施例的應用活動監(jiān)視方法的流程圖。
方法70說明了這樣的操作創(chuàng)建和維持應用務活�,以及隨后訪問應用^"曰志。
在72����,接收應用訪問信息,說明性地是來自用戶系統(tǒng)的訪問請求消息或從應用去往用戶系統(tǒng)的響應消息���。如果實現(xiàn)應用會話監(jiān)視���,則這個消息在網(wǎng)絡節(jié)點被代理�����。在74識別這樣的用戶從該用戶接收所接收的請求消息或接收的響應消息去往該用戶���,并且該用戶至少最初被j人證并且可能地隨后被重新認證。這個認證可以通過比較用戶憑證和用戶數(shù)據(jù)庫中的信息來實現(xiàn)�����。
用戶進行的訪問在76被記錄����。如果針對該用戶不存在激活的會話記錄�����,則創(chuàng)建應用會活���。否則�����,新的會話記錄不會在76被創(chuàng)建�;用反映所接收的消息的訪問條目來更新現(xiàn)有的激活會話記錄。
一旦現(xiàn)有會話記錄已經(jīng)被識別或者新的會話記錄已經(jīng)在76被創(chuàng)建���,合適的應用會活策略就被識別并且在75被施加于消息��。如果消息違反應用會話策略����,說明性地由于超出了每會話消息的最大閾值�����,則在77丟棄消息��。然而�,如果消息沒有違反應用會話策略,則在78將消息派送至目的服務或用戶系統(tǒng)����。
圖3也說明了以79的報告訪問操作的形式的會話監(jiān)視。如果在72收到的請求源自管理員�����,則應用會話記錄不會被創(chuàng)建或更新,而是被報告給管理員�����。如上文所述�,M報告也可以是自動的。
方法70說明了本發(fā)明一個實施例�。其他實施例可能包括執(zhí)行更少或附加的操作,和/或以不同于所顯示的順序來執(zhí)行操作��。例如��,管理員功能可能在79使得報告承怛不止一組會話日志�����。管理員可能檢查例如所有激活的和/或歷史的應用會話�����。管理員對激活務活的終止也可能通過使用可作為會話管理模塊60 (圖2)的一部分的控制子系統(tǒng)和應用會話策略而得到支持��。 一旦應用會話記錄已經(jīng)在79被報告���,這些報告就可以被用來通過使用應用4^"報告子系統(tǒng)而生成應用會話的審計報告��,所述子系統(tǒng)可以類似地是會話管理才莫塊60的一部分�����。
如上文所述����,本發(fā)明的實施例可以使用與消息處理不同的技術來檢測和跟蹤用戶對多個應用的訪問��。
方法70的其他變型對于本領域技術人員而言是顯而易見的��。
圖4;U^視數(shù)據(jù)結(jié)構(gòu)的框圖�,所述結(jié)構(gòu)可以被用來存儲應用會話記錄。數(shù)據(jù)結(jié)構(gòu)80包括用戶標識符82��,其可以如所示地標識一個用戶�����,或更一般地標識用戶或用戶組的應用會話����。訪問條目84����、 86包括應用訪問信息�,例如應用名稱或其它標識符,時間標記或其他應用訪問時間指示符�����,訪問信息拷貝(例如web服務消息或訪問信息變換)��,等���。如果應用會話記錄跟蹤用戶組的應用訪問���,則訪問記錄條目84、 86也可以包括指定用戶的標識�,通過該標識來進行訪問。
根據(jù)本發(fā)明的其他實施例���,數(shù)據(jù)結(jié)構(gòu)可以包括比圖4顯示的更少�����、更多或不同的數(shù)據(jù)字段��。也可以設想其他類型的數(shù)據(jù)結(jié)構(gòu)�,例如用于存儲例如會話策略的數(shù)據(jù)結(jié)構(gòu)���。用戶��、組或應用指定的策略的數(shù)據(jù)結(jié)構(gòu)可以基本上類似于數(shù)據(jù)結(jié)構(gòu)80���,包括用戶/組/應用的、與策略相關的標識符�,以及關于訪問限制的指示,要被存儲在應用會話中的信息����,認證需求,等等�����。
不存在可用的產(chǎn)品使得認證用戶的應用和服務訪問能夠以綜合的方式收監(jiān)視���、控制和才艮告�����。本發(fā)明的實施例可以為需要控制���、監(jiān)視和報告用戶對其網(wǎng)絡上的應用和服務的訪問的網(wǎng)絡和應用管理員提供這種能力和有用的工具�����。
應用會活記錄使得企業(yè)能夠提供公司管理�����、證實符^SL則����、提供其企業(yè)流程中的持續(xù)改進���、以及與合作方組織的企業(yè)流程集成在一起���。服務提供商也能夠從銷售所管理的合作方外聯(lián)網(wǎng)設備和服務中產(chǎn)生新的收益。完整的共享SOA基礎設施也變得可行�,該基礎設施是應用不可知的并且需要對現(xiàn)有應用進行最小的修改,同時優(yōu)化了網(wǎng)絡帶寬和應用服務器處理消耗��。如這里所公開的,對多個單獨用戶進行的應用訪問的監(jiān)視��、控制和報告對于網(wǎng)絡和應用管理員提供對其網(wǎng)絡和系統(tǒng)的正確管理以及證實符合管理規(guī)則而言是有價值的���。傳統(tǒng)技術中為了收集來自多個應用的應用活動記錄而耗費的大量人工勞動可以避免。提供了用戶活動的綜合審計跟蹤以報告需求的應用會話記錄以及應用會話創(chuàng)建和維持的動態(tài)特性實現(xiàn)了由網(wǎng)絡和應用管理員對用戶進行的實時控制和監(jiān)視����。通過策略和/或管理動作而動態(tài)管理應用會話的能力是有力的工具,該工具當前對于企業(yè)系統(tǒng)管理員而言是不可用的���。
總而言之���,本發(fā)明的實施例可以用來提供如下面列出的整個服務SOA基礎設施的完整功能性
公司管理提供監(jiān)視、控制和報告以確保符合規(guī)則并且支持連續(xù)的公司改進���;
所管理的合作方外聯(lián)網(wǎng)利用合作方和分支機構(gòu)位置的web服務的安全無縫發(fā)布和消耗�;
Web服務性能確保web服務按照公司需求或服務等級協(xié)議(SLA)的可用性和性能����;
公司靈活性和應用敏感性基于SOAP報頭內(nèi)容、XML標簽或其它
消息內(nèi)M供應用級選路和消息轉(zhuǎn)換��;
應用安全通過確保適當?shù)匦纬上ⅰz測基于XML的攻擊和執(zhí)行
應用數(shù)據(jù)加密策略來提供應用級安全�;
生命周期管理利用回退(rollback)提供受控的web服務發(fā)布;系統(tǒng)特征提供可靠性�����、可擴縮性和符合開放標準�。這里和/或在一個或多個上面提及的相關專利申請中已經(jīng)公開了所述
和其他功能。
所描述的內(nèi)容僅是對本發(fā)明實施例的原理的應用的說明�。本領域技術人員可以在不背離本發(fā)明范圍的情況下實現(xiàn)其他安排和方法。例如���,如上文所述��,本發(fā)明決不限于附圖所示的以及上面明確描述的特定的功能劃分�����、方法步驟和數(shù)據(jù)結(jié)構(gòu)內(nèi)容����。
此外�����,盡管主要就方法和系統(tǒng)進行了描述,然而也可以設想本發(fā)明實施例的其他實現(xiàn)�,如存儲于一個或多個機器可讀介質(zhì)上的數(shù)據(jù)結(jié)構(gòu)和/或指令。
權利要求
1. 一種機器實現(xiàn)的方法����,包括檢測用戶對通信網(wǎng)絡中提供的多個應用的訪問;以及在與所述用戶關聯(lián)的多應用會話記錄中記錄所述用戶對所述多個應用的每個檢測到的訪問�。
2. 根據(jù)權利要求1所述的方法���,其中���,檢測包括在web服務節(jié)點接收 關于訪問應用服務器的用戶請求,通過所述應用服務器而提供了所述多個 應用中的至少一個應用���。
3. 根據(jù)權利要求1所述的方法�,還包括通過對照存儲于用戶數(shù)據(jù)庫 中的信息i人證所述用戶的憑證來識別所述用戶�����。
4. 根據(jù)權利要求1至3中任一項所述的方法���,其中��,檢測包括接收與 所述用戶對所述多個應用中的一個應用的訪問相關聯(lián)的應用訪問信息�����,所 述方法還包括確定所接收的應用訪問信息是否符合應用會話策略�����;以及 如果所接收的應用訪問信息符合所述應用會話策略則在所述用戶與提供所 述應用的應用服務器之間傳送所接收的應用訪問信息�。
5. 根據(jù)權利要求4所述的方法,其中����,所述應用會話策略包括以下策 略中的至少一個用戶指定的策略、應用指定的策略以及全局通信網(wǎng)絡策 略�����。
6. 根據(jù)權利要求1至3中任一項所述的方法���,還包括響應于對所述 用戶訪問所述多個應用中的一個應用的檢測��,確定針對所述用戶的多應用 會話記錄是否存在于數(shù)據(jù)庫中���;以及如果針對所述用戶的多應用會話記錄 不存在于所述數(shù)據(jù)庫中則創(chuàng)建多應用會話記錄以存儲記錄了所述用戶對所 述多個應用的訪問的條目�����。
7. 根據(jù)權利要求1至3中任一項所述的方法�����,還包括報告所述多應 用M記錄的內(nèi)容�。
8. 根據(jù)權利要求1至3中任一項所述的方法�����,其中�����,所述多個應用包 括由多個應用服務器提供的應用���。
9. 一種存儲指令的機器可讀介質(zhì),所述指令當被執(zhí)行時實現(xiàn)根據(jù)權利要求1至3中任一項的方法����。
10. —種裝置,包括應用訪問檢測器�����,其用于檢測用戶對通信網(wǎng)絡 中提供的多個應用的訪問;和務活管理模塊�,其有效耦合到所述應用訪問 檢測器并且用于在關聯(lián)于所述用戶的多應用會話記錄中記錄所述用戶對所 述多個應用的每個檢測到的訪問。
11. 根據(jù)權利要求10所述的裝置��,還包括存儲器����,該存儲器有效耦 合到所述會活管理才莫塊,用于存儲所述多應用會話記錄���。
12. 根據(jù)權利要求10所述的裝置����,其中���,所述訪問檢測器包括認證 模塊���,該認證模塊用于通過對照存儲于用戶數(shù)據(jù)庫中的信息認證用戶憑證 來檢測用戶對所述多個應用的訪問。
13. 根據(jù)權利要求io至n中任一項所述的裝置��,還包括接口,該接 口有效耦合到所述訪問檢測器和所述會話管理模塊并且用于接收與所述用 戶對所述多個應用中的一個應用的訪問相關聯(lián)的應用訪問信息��,其中所述 會話管理模塊還用于確定所接收的應用訪問信息是否符合應用會話策略���。
14. 根據(jù)權利要求13所述的裝置���,其中,所述會話管理模塊還用于 如果所接收的應用訪問信息符合所述應用會話策略則在所述用戶和提供所 述應用的應用服務器之間傳送所接收的應用訪問信息����。
15. 根據(jù)權利要求10至12中任一項所述的裝置,還包括用于報告所述應用^"記錄的內(nèi)容的接口 ��。
16. 根據(jù)權利要求11所述的裝置���,其中����,所述會話管理模塊用于在 所述存儲器中創(chuàng)建所述應用會話記錄���。
17. —種用于管理web服務應用使用的web服務節(jié)點,包括根據(jù)權 利要求10至12中任一項的裝置����。
18. 根據(jù)權利要求10至12中任一項所述的裝置�����,其中����,所述多個應 用包括由多個應用服務器提供的應用
19. 一種存儲數(shù)據(jù)結(jié)構(gòu)的機器可讀介質(zhì)�����,所述數(shù)據(jù)結(jié)構(gòu)包括通信網(wǎng) 絡用戶的標識符����;和指示所述用戶對所述通信網(wǎng)絡中提供的多個應用的訪 問的多個條目。
20.根據(jù)權利要求19所述的介質(zhì)����,其中,所述多個應用包括由多個 應用服務器提供的應用�����。
全文摘要
公開了一種通信網(wǎng)絡應用活動監(jiān)視和控制裝置����、方法和數(shù)據(jù)結(jié)構(gòu)���。發(fā)起對通信網(wǎng)絡中提供的應用的訪問的通信網(wǎng)絡用戶被識別。動態(tài)創(chuàng)建并且維持記錄以反映用戶對所述應用和通信網(wǎng)絡中提供的其他應用的訪問��。記錄跟蹤用戶的應用活動�����。建立并執(zhí)行策略以控制用戶可能在通信網(wǎng)絡中進行的應用活動���。與應用訪問限制和規(guī)則的一致性可以通過報告記錄來被檢驗并且通過策略執(zhí)行來被保證�。
文檔編號H04L29/06GK101461213SQ200780020672
公開日2009年6月17日 申請日期2007年6月19日 優(yōu)先權日2006年6月20日
發(fā)明者A·戈拉, C·格羅斯納, L·斯特魯布 申請人:阿爾卡特朗訊公司