法律状态公告日
法律状态信息
法律状态
2014-05-28
授权
授权
2009-08-12
实质审查的生效
实质审查的生效
2009-06-17
公开
公开
相关申请的交叉引用
本专利申请主张2006年6月20日提交的标题为“CommunicationNetwork Application Activity Monitoring and Control”的美国临时专利号60/815,099的权利,在此引入其全部内容作为参考。
本专利申请涉及下列专利申请中的每一个:
2006年6月20日提交的标题为“Network Service PerformanceMonitoring Apparatus and Methods”的美国临时专利申请号60/814,983,以及2006年11月7日提交的美国发明专利申请序号11/557,287并主张其权利;
2006年6月20日提交的标题为“Secure Domain InformationProtection Apparatus and Methods”的美国临时专利申请号60/815,134,以及2006年8月25日提交的美国发明专利申请序号11/467,387并主张其权利;
2006年6月20日提交的标题为“Secure Communication Network UserMobility Apparatus and Methods”的美国临时专利申请序号60/814,963,以及2006年8月17日提交的美国发明专利申请序号11/465,172并主张其权利。
技术领域
本发明一般涉及通信,具体地涉及监视和控制对通信网络中可用的应用的使用。
背景技术
通过通信网络分配信息所针对的服务通常称作网络服务。“Web服务”是网络服务的一个例子,并且代表了用于通过公共互联网和许多专用网络、在不同应用之间自动交换信息的下一代技术。Web服务提供了用于构建基于web的分布式应用的框架,并且可以提供有效的自动机器对机器通信。
从技术的角度来看,web服务是网络可访问功能,其可以利用标准互联网协议在标准接口上被访问,所述协议例如是超文本传输协议(HTTP)、可扩展标记语言(XML)、简单对象访问协议(SOAP)等。
Web服务技术的真正能力在于其简单性。核心技术仅解决了通用语言和通信问题而并未直接解决应用集成的繁重任务。Web服务可以被看作是用于互连多个异类非置信系统的复杂的机器对机器远程过程调用(RPC)技术。Web服务通过针对数据转换/透明性利用XML技术且针对消息传输利用互联网标准(例如HTTP和简单邮件传输协议(SMTP)),来利用许多新的技术。
在web服务的开发和标准化后面的主要动力之一是通过提供不同应用之间的松耦合来促进无缝的机器对机器应用级通信的能力。这种应用的松耦合使得不同服务器上的应用能够互操作而无需在它们之间的静态的、固定的接口。使用十分不同的技术的应用可以利用标准web服务协议来互操作。
网络和应用管理员关于网络服务方面所面临的一个重要问题,或更一般地说是关于向用户暴露服务所针对的网络应用方面所面临的一个重要问题,是监视和控制哪些用户在被管理网络上以及这些用户在做什么的能力。良好的公司管理规定合适的监视和控制点对所有业务活动处于适当的位置,并且与涉及公司管理的管理规则的一致性证实对于许多企业而言已经变成困难且成本高的任务。由应用实现的活动记录在最好的情况下是不一致的,而在最差的情况下是不存在的。例如,管理员手工制作由任何给定用户访问的应用和系统的综合报告需要较多的工作。
当前,没有可用的产品使得网络和应用管理员能够监视、控制和报告应用访问,例如用户以综合方式使用服务。尽管单个应用可以针对该特定应用而提供用户活动报告和控制,然而应用不具有提供用户关于其他应用的活动的综合检查的能力。这除了通过人工方式综合所有应用的用户活动记录以制作综合报告之外、没有为管理员提供用于综合控制和监视的机制。
处理例如服务访问消息的应用访问业务的、包括现有防火墙和网关的网络节点可以生成所有已被处理的消息的记录。然而,它们没有关联来自同一用户的消息来生成应用访问的指定用户的综合记录。此外,它们不允许基于应用访问数据来采取运行时间动作。
因此,需要改进对例如web服务的网络应用的监视和运行时间控制。
发明内容
根据本发明的实施例,提供了将多个应用/服务访问组合成单个指定用户的多应用记录的能力。这可以实现实时策略执行和针对认证网络用户的综合审计跟踪(consolidated audit trail)的生成。
根据本发明一个方面,一种机器实现的方法包括检测用户对多个通信网络中提供的应用的访问,和在关联于用户的多应用会话记录中记录每个检测到的用户对多个应用的访问。
检测可以涉及在web服务节点接收用户关于访问应用服务器的请求,通过所述应用服务器来提供多个应用中的至少一个应用。
所述方法也可以包括通过对照存储于用户数据库中的信息认证用户凭证来识别用户。
检测的操作可以包括接收与用户对多个应用中的一个应用的访问相关联的应用访问信息,在这种情况下该方法还可以包括确定所接收的应用访问信息是否符合应用会话策略,以及如果所接收的应用访问信息符合应用会话策略则在用户和提供应用的应用服务器之间传送所接收的应用访问信息。应用会话策略可以包括以下策略中的至少一个:用户指定的策略、应用指定的策略、和全局通信网络策略。
在一些实施例中,所述方法还包括响应于检测到用户对多个应用中的一个应用的访问而确定该用户的多应用会话记录是否存在于数据库中,以及如果该应用的多应用会话记录不存在于数据库中则创建多应用会话记录以存储记录用户对多个应用的访问的条目。
所述方法还包括报告多应用会话记录的内容。
多个应用可以包括由多个应用服务器提供的应用。
所述方法可以例如用存储用于执行的指令的机器可读介质来体现。
也提供了一种装置,包括:用于检测用户对通信网络中提供的多个应用的访问的应用访问检测器;和会话管理模块,其有效耦合到所述应用访问检测器并且用于在关联于用户的多应用会话记录中记录用户对多个应用的每个检测到的访问。
所述装置也可以包括有效耦合到所述会话管理模块且用于存储多应用会话记录的存储器。所述会话管理模块可以用于在存储器中创建应用会话记录。
所述访问检测器可以包括认证模块,该认证模块用于通过对照存储于用户数据库中的信息认证用户凭证来检测用户对多个应用的访问。
在一些实施例中,所述装置包括接口,该接口有效耦合到所述访问检测器和会话管理模块且用于接收与用户对多个应用中的一个应用的访问相关联的应用访问信息。所述会话管理模块还可以用于确定所接收的应用访问信息是否符合应用会话策略,并且如果所接收的应用访问信息符合所述应用会话策略则在用户与提供应用的应用服务器之间传送所接收的应用访问信息。
所述装置还可以包括用于报告应用会话记录的内容的接口。
多个应用服务器可以提供多个应用。
这种装置可以例如实现在用于管理web服务应用使用的web服务节点中。
本发明的另一方面提供了一种存储数据结构的机器可读介质。所述数据结构包括通信网络用户的标识符,以及指示了用户对该通信网络中提供的多个应用的访问的多个条目。
所述多个应用可以包括由多个应用服务器提供的应用。
通过阅读下面的描述,本发明实施例的其他方面和特征对于本领域技术人员将变得明显。
附图说明
现在将参考附图详细描述本发明实施例的例子。
图1是通信系统的框图;
图2是应用活动监视装置的框图;
图3是应用活动监视方法的流程图;
图4是应用活动监视数据结构的框图。
具体实施方式
图1是通信系统的框图,其中可以实现本发明的实施例。通信系统10包括通信网络12,企业系统22、24、应用系统26和远程用户系统设施28经由各自的通信链路而有效耦合到所述通信网络。
企业系统22包括一个或多个应用服务器32、有效耦合到应用服务器的应用平台34、有效耦合到应用平台和通信网络12的网关36、有效耦合到应用平台和网关的一个或多个用户系统38、有效耦合到应用平台、用户系统和网关的身份系统40、以及有效耦合到应用平台和网关的应用管理器42。也可以部署其他部件或系统,例如位于网关36一侧的、用以提供隔离区(DMZ)的防火墙。企业系统24可以具有相似的结构。
在应用系统26中,应用平台44有效耦合到通信网络12和一个或多个应用服务器46。远程用户系统设施28包括有效耦合到一个或多个用户系统49的应用委托代理48。
尽管许多企业系统、应用系统、远程用户系统设施和可能的其他类型的系统可以在通信系统中被提供,然而在图1中仅示出了某些类型的系统的例子以避免使得图过于复杂。为了简单,图1也省略了通信网络12,以及企业系统24的内部细节,例如边界或接入设备和核心交换/路由部件。通信网络12的类型、结构和操作可以随本发明实施例的部署而变化。本发明的其他实施例也可以包括企业系统、应用系统和/或远程用户系统设施,所述远程用户系统设施包括比所显示的更少、更多或不同的、具有相似或不同互连的部件。
因此,应当认识到,图1的通信系统10以及其他附图的内容仅是为了说明,本发明决不限于图中明确示出的以及这里描述的特定示例性实施例。
本发明所属领域的技术人员熟悉许多不同类型的通信网络,包括例如应用层网络的覆盖网络和更传统的基础设施。本发明不限于任何特定类型的通信网络。在一个实施例中,通信网络12是互联网或其它公共网络。
系统22、24、26、28访问通信网络12所采用的许多访问技术实例是本领域技术人员所熟知的,因此没有在图1中分别显示。
首先考虑企业系统22,应用服务器32支持可提供至少由本地用户系统38使用的功能(说明性地是服务)。如果部署了多个应用服务器32,则每个服务器支持各自的功能或服务集合,其可以覆盖由其他服务器支持的服务,也可以不覆盖。
在一些实施例中,这些功能也可以由外部用户系统使用,例如企业系统24中的用户系统,其中企业系统22、24的拥有者或操作者具有允许它们的用户访问的系统间协议,和/或远程用户系统设施28的用户系统49。
这里对使用应用的参考旨在传达任何这种功能的概念。通常,应用服务器32执行软件应用来提供这些功能。在本说明书上下文中,例如web服务的服务是暴露给用户系统的应用功能的一个例子。任何对应用、功能和服务的参考应当相应地来解释。
应用服务器32可以包括一个或多个处理器、一个或多个存储器设备和用于与用户系统交换应用事务信息的接口,所述信息例如是服务请求消息和相应的响应。应用服务器32中的存储器设备可以用于存储操作系统软件、应用软件等,以由应用服务器处理器使用。例如22的企业系统通常实现为网络,在这种情况下网络接口使得应用服务器32能够与用户系统38以及可能地企业系统的其他部件通信。在另一种可能的实现中,应用服务器32包括用于与不同企业系统部件通信的分别的接口。
用户系统38可以类似地包括一个或多个处理器、一个或多个存储器设备和某种用于与应用服务器32以及可能地企业系统22的其他部件通信的接口。用于与应用服务器32相连的操作系统软件、客户端软件和/或其他类型的信息可以被存储在用户系统存储设备中。
本领域技术人员熟悉提供和/或使用网络应用的许多不同类型的系统。本发明的实施例主要涉及监视对网络应用的限制访问的使用,而不是如何实际上支持这些应用,因此这里仅就说明本发明各方面所必需的程度而简要描述了应用服务器32、用户系统38和它们的操作。
身份系统40代表通常在例如公司网络的企业系统中提供的另一部件,并且为本领域技术人员所熟知。对应用服务器32所支持的服务或其他功能的访问在许多情况下必须限于特定的用户集合。可以通过与例如轻量级目录访问协议(LDAP)目录或其它类型的用户数据库进行交互来认证用户和/或用户系统的身份系统40提供了可用于授权或拒绝对网络服务的访问的数字身份。
在结构方面,应用平台34包括与应用服务器32的用户系统接口(说明性地是应用编程接口(API))相容的应用服务器接口、与用户系统38的应用服务器接口相容的一个或多个接口、和用于处理经由这些接口接收和/或发送的消息或其它信息的部件。如下文进一步详细描述的,外部用户系统能够经由网关36访问应用服务器32,在这种情况下应用平台34的用户系统接口也可以使得所述应用平台能够与网关36通信。然而,在一些实施例中,可以为此而提供分离的网关接口。
网关36也包括与企业系统22的其他部件的接口相容的一个或多个接口、用于使得通信信号能够通过通信网络12而被发送和/或被接收的一个或多个外部接口、和用于处理经由接口接收和/或发送的信号的中间部件。
应用管理器42代表本身不能当信息在应用服务器32与本地用户系统38或外部用户系统之间被传送时执行实时信息处理的控制或监视元件。应用管理器42可以经由相容的接口与应用平台34和网关36通信以执行这样的功能:说明性地通过将应用会话策略下载至平台和/或网关以进行执行来配置应用平台和/或网关、访问根据本发明的实施例所收集的应用会话信息,等等。
应用平台34、网关36和应用管理器42的内部组件可以用硬件、软件、固件或其某种组合来实现。如下面参考图2描述的监视系统提供了可以在应用平台34或网关36中提供的子系统的说明性实例。
在针对企业网络的所谓面向服务的架构(SOA)的传统部署中,SOA部件单独地被部署并且被集成在每个应用服务器上。在例如企业系统22中发布用在网络上的服务需要用于发现和管理服务提供的服务注册。尽管web服务标准解决了对限制授权用户访问服务的需求,然而web服务策略服务器必须存储和提供这个信息。执行这些策略也会是一种挑战,因为软件销售商可能需要实质上改变应用和服务器以适配于企业系统。
这都代表了企业的重要计划,并且可能具有相对较长的实现周期。此外,实现这个计划所需要的技术是非常专业的,这可能使得SOA实现变得成本较高。
当例如在企业系统22、24之间向合作方扩展web服务或其他类型的应用时,对于部署在应用服务器上的SOA基础设施而言存在更大的挑战。例如,部署于合作方站点的应用可能使用不能自由地共享用户身份信息的不同安全机制,这需要用户的安全令牌的转换。将安全令牌转换或其他安全功能的负担施加于每个应用服务器上会导致成本高且低效。
数据私密性要求也非常困难,甚至不能够在每个应用服务器执行,因为应用服务器本身无法获知用户系统,或更一般地其服务的消费者,是否是在其企业系统的外部。
XML指定的拒绝服务(XDoS)攻击以及可能地其他威胁,在基于应用服务器的SOA实现中特别成问题。例如,Web服务对于XDoS攻击是开放的,这无法在应用服务器上被有效地处理。
为了通过松散耦合应用而实现应用互操作性的、基于服务器的SOA至web服务模型的变迁需要说明性地以SOAP报头和XML消息的形式的消息传送以及为了管理这些消息的附加的处理需求。这个附加的开销消耗了网络带宽并且会导致对应用服务器硬件方面的大量新的需求。
用于部署SOA基础设施的可选模型是将SOA组件集成到企业网络单元中,如图1所示。应用平台34、网关36和应用管理器42代表企业系统22中的SOA组件。
从应用服务器32分离地部署SOA基础设施可以提供几个好处:SOA基础设施是应用不可知的(agnostic),应用需要最小修改,SOA基础设施是端到端集成解决方案,应用服务器处理开销被最小化,以及网络带宽可以被优化。
利用基于企业系统/网络的SOA部署,应用互操作所需要的任何消息转换可以根据企业系统内的策略集合来被执行,而不是由应用本身执行。这能够与应用无关地定义转换,从而消除了对应用销售商实现的依赖。
适配消息格式和内容所需要的业务逻辑因而由企业提供,而不是由应用提供,这最小化了应用修改。例如,web服务消息可以在企业网络内被适配以实现应用互操作性。也许由于合并、获取或与新搭档的集成的需要而出现新的互操作性需求时,不需要应用修改。消息转换的新策略可以被定义成规定新的互操作性。
部署成集成企业网络解决方案的SOA基础设施可以提供单个监视、控制和综合报告点,说明性地是应用管理器42。这对于实现适当的公司管理、持续的公司改进、以及证实符合涉及例如数据私密性和网络安全的规则的能力来说是重要的。
应用互操作性的应用服务器处理需求出于两个原因而可以被大大减小:应用服务器卸载(offload)和缩减数目的所需转换。转换可以例如在应用平台34一次完成,并且然后被转发至多个目的地,而不是执行其自己的转换的每个应用。
附加消息业务所消耗的网络带宽可以通过基于检查消息SOAP报头、XML标签或其它消息内容将分组路由至应用服务器32而被减小。路由对于应用背景是敏感的,而不是例如基于静态IP地址。
如果应用服务器功能被扩展至合作方企业系统,部署成企业网络基础设施的SOA基础设施可以提供许多其他优点。安全令牌的转换可以在双方网络之间的分界点被一次完成,所述分界点说明性地是用于从外部访问应用服务器32的网关36,这提供了安全策略的单个执行点。数据私密性也可以在数据离开安全域的点被执行,例如也是在网关36。这带来了效率并且降低了成本。此外,针对公司web服务的拒绝服务攻击可以在网关36防御,即公司网络边缘,其可能是处理这种问题最安全的地方。
应用平台34提供SOA基础设施来集成传统上作为独立应用运行的应用,并且可以实现这样的能力:控制和监视由认证用户发起的任何活动从而实现综合审计跟踪的生成、消息和文档格式的转换、管理应用的生命周期(包括web服务的分段推广和在发生不期望行为的情况下回退到之前的版本)、以及监视应用/服务性能以确保应用/服务满足内部公司需求。
应用平台34的示例性功能的这个列举,像这里提及的其他功能示例一样,决不是限制性的或排他性的。许多功能可以独立实现,每个实施例不必提供所有功能,而其他功能对本领域技术人员也是显而易见的。应用平台34的优点可以包括通过最少地改变现有应用而实现缩减的应用集成成本,如上所述,确保对公司应用的访问符合管理规则,针对雇员访问web服务的中央监视和控制点,以及通过综合报告而实现的持续的公司改进。
网关36通过通信网络12有效地将企业系统22所提供的内联网SOA扩展成实现与客户及合作方的无缝集成而不会危及安全或私密的外联网。网关36的功能还可以包括应用至合作方外联网和分支机构位置的所有扩展,这为合作方访问应用提供了无缝移动性、确保了合作方对公司应用的访问符合管理规则、以及保持了公司身份的私密性而不会造成可追溯性。
在提供从关联于企业系统22的任何合作方站点至应用服务器32的移动访问时,网关36可以实现合作方制度的安全标识和不同安全域之间的身份接受。用于与外部合作方站点关联的用户系统的应用消息和数据转换也可以由网关36提供,同时确保所有数据关于公司策略而保持私密性。所有应用访问的综合审计跟踪可以由网关收集并且提供给外部合作方企业系统,从而例如证实与规则相符。
应用管理器42提供用于监视和控制应用平台34、网关36和企业系统22中的任何其他平台和网关(未显示)的中心点。为了确保改进的公司管理和/或符合管理规则而实现的针对所有应用的总体上一致的策略也可以在一些实施例中通过应用管理器42来被建立并且被分配给应用平台34和网关36以进行执行。中央应用管理器42也可以规定总体上一致的应用改变管理。
如上文所述,企业系统24可以基本上类似于企业系统22。
企业系统22同时包括支持应用的应用服务器32和可以使用这些应用的一个或多个用户系统38。然而,应当认识到,应用服务器和用户系统不必共同定位。例如,应用系统26包括一个或多个应用服务器46,而不包括本地用户系统。尽管仅示出了应用系统26中的一个应用平台44,然而应用系统的某些实现也可以包括网关。尽管所示应用系统26可能适合于例如与作为企业系统22的主数据中心关联的远程数据中心,然而托管应用以由外部用户系统使用的独立的或“非附属的”应用系统也可以包括网关用以处理例如外部用户的认证。
应用系统26中的应用平台44可以与企业系统22的应用管理器42交互,或更一般地与其附属企业系统的应用管理器交互。在独立应用系统的情况下,本地应用管理器可以被提供。在一些实现中,外部服务控制器与多个不同域中的SOA基础设施组件交互。例如,有效耦合到通信网络12的外部服务控制器可以配置网关36和企业系统24中的网关以收集和交换应用性能统计。
图1示出了仅一个用户的部署,即远程用户系统设施28。应用委托代理48使得例如合作方或分支机构位置处的用户系统49能够使用由远程应用服务器提供的应用。在一个实施例中,应用委托代理48是缩减大小的网关36。应用委托代理48像网关36那样可以在用企业系统22认证用户系统49期间保持公司身份的私密性而不会造成可追溯性,并且利用例如隧道化技术而支持通过通信网络12的安全通信,而不必能够认证外部用户,因为远程用户系统设施28并没有托管可由外部用户系统使用的应用。
在操作中,希望利用由应用服务器32提供的应用的用户系统38首先被身份系统40认证。本领域技术人员熟悉多种用于该目的的安全机制,例如用户名/密码认证。如果对应用服务器32的远程访问被支持,则用户认证可以由网关36可能地通过与外部身份系统交互来处理。当与合作方企业系统或站点关联的用户系统本地连接到企业系统22并且希望访问应用服务器32时,网关36也可以进行认证。
当用户已经被认证时,可以在用户系统和应用服务器32之间交换消息或其他格式的信息。用户可以被许可在进行单个成功认证之后访问多个应用。在这种情况下,跟踪用户在应用方面的活动会是很大的挑战。
根据本发明的实施例,提供了用于监视、控制和报告单个用户对应用/服务的访问的新技术。
这里进一步详细描述的用户指定的应用级会话记录代表一种新的概念,按照该概念,由认证用户发起的应用访问操作(说明性地是web服务事务)被组合在一起以提供该用户在公司网络上的活动的综合检查。术语“会话”并不旨在涉及传输控制协议(TCP)或其他联网协议会话,而是涉及用户访问网络(例如公司网络)上的应用所耗费的连续时间段。
应用级会话记录功能可以例如在SOA结构中的任何一组子系统被实现,所述SOA结构包括系统10中的应用管理器42、应用平台34和网关36。应用平台34和网关36是实时处理应用访问操作(说明性地是web服务消息)以促进应用集成且实现SOA的快速、成本低的部署的网络节点或组件,因而可以是用于实现应用会话信息收集的逻辑点。作为可由企业部署以协调其网络中的任何数目的应用平台和/或网关的网络和应用管理单元的应用管理器42可以提供对针对报告的应用会话的后续访问、为确认或证实与策略或制度相符而进行的历史分析,等等。
多应用会话记录的优点可以包括:通过策略或管理动作实时管理用户指定的会话以确保适当的公司管理的能力,以及通过用户活动的综合审计跟踪而实现对与规则相符的证明。应用会话记录的动态创建和实时管理可以提供企业网络管理目前无法拥有的有力工具,并且代表传统系统上的强壮的微分器。
图2是应用活动监视和控制装置的框图。装置50包括用户系统接口52、控制/管理系统接口54、有效耦合到用户系统接口和控制/管理系统接口的认证模块56、有效耦合到认证模块的用户数据库58、有效耦合到认证模块的应用访问检测器57、以及有效耦合到应用访问检测器、会话数据库62、会话策略数据库64和一个或多个应用服务器接口66的会话管理模块60。
如上文参考图1所指出的,附图的内容仅用于说明。其中实现装置50的设备可以例如包括未示出的附加部件。装置的其他实施例可以包括比明确显示的更多、更少或不同的、具有类似或不同互连的部件。
例如,尽管应用访问检测器57在图2中显示为分离的部件,然而它也可以与认证模块56集成到一起。当用户首先被认证或当检查到已经正确地认证了尝试访问应用的用户时,用户对应用的访问可以由认证模块56检测。应用访问检测功能可以类似地被实现在会话管理模块中。
图2的部件通过其而被有效耦合的连接类型至少在某种程度上可以是与实现相关的。电子设备通常使用各种类型的物理连线和有线连接。例如,在协调软件功能的情况下,有效耦合可以经由变量、注册或存储器公共访问区域,因此包括逻辑耦合。
硬件、软件、固件或其组合可以被用来实现装置50的部件。处理单元可能是适用的,例如微处理器、微控制器、可编程逻辑设备(PLD)、现场可编程门阵列(FPGA)、专用集成电路、以及其他类型的“智能”集成电路。
装置50可以通过接口52、54、66与通信网络的其他部件交互。这些接口可以是相同类型的或不同类型的,或在同一通信介质被用于与所有其他部件的信息传送的情况下甚至是同一接口。然而,在许多实现中,有可能用户系统接口52至少不同于应用服务器接口66,以及应用服务器接口不同于不同的应用服务器。尽管在一些情况下装置50通过同一企业网络接口与用户系统和应用管理器交互,然而控制/管理系统接口54可以是另一种不同的接口。
用户系统接口52使得装置50能够与用户系统交换应用访问信息,例如请求和相应的响应。每个应用服务器接口66类似地使得装置50能够与一个或多个应用服务器的各个集合交换应用访问信息。例如当装置50被实现在用于监视所有应用使用的应用平台上或者在用于监视合作方用户系统对应用的使用的网关上时,装置50的这种结构是合适的,因为这些部件处理企业系统的所有应用访问信息。然而,应当认识到,其他实现也是可行的。监视装置还可以消极地“侦听”应用访问信息,在这种情况下它不必主动参与应用服务器与用户系统之间的应用访问信息传送。
通过控制/管理接口54,装置50可以与例如应用管理器42(图1)的控制或管理系统交换信息。例如,可以通过接口54与控制或管理系统交换应用会话记录和/或会话策略。
接口52、54、56的结构和操作至少在某种程度上取决于应用访问信息传送中使用的通信介质和协议。本领域技术人员熟悉多种接口,其中装置50可经由所述接口接收和/或发送应用访问信息。
数据库58、62、64中的每一个都可以在一个或多个存储设备中被提供。固态存储设备在电子设备中是常见的,并且每个数据库可以利用一个或多个这种类型的存储设备而被实现。然而,其他类型的存储设备,包括利用活动的或可拆卸的存储介质的存储设备,也可以被用来存储数据库58、62、64。
用户数据库58存储用户信息,例如用户名和密码,它们可被用于认证试图访问应用服务器的用户。会话数据库62被用来存储由用户执行的应用访问操作的记录。策略被存储在会话策略数据库64中,例如要针对应用会话和/或用户而被记录的特定信息,对于在要求用户重新认证之前会话可以维持的时间的限制、对于在请求用户重新认证之前用户可以执行的访问操作的数目的限制,等等。策略可以包括所有用户指定的策略、应用指定的策略、公司范围内的全局策略、以及可能地其他类型的策略。
其记录被存储在会话数据库62中的应用会话提供了应用活动的历史报告,例如检验应用访问是否满足需求或规则,而存储于会话策略数据库64中的会话策略的执行阻止用户执行违反这种需求或规则的应用访问。
如上所述,装置50的部件可以利用硬件、软件和/或固件实现。因此这里仅就其功能而描述这些部件。基于功能描述,本领域技术人员能够以各种方式中的任一种来实现根据本发明实施例的服务监视技术。
在操作中,认证模块56、应用访问检测器57和会话管理模块60利用应用会话来促进综合应用活动监视,如下文详细描述的那样。应用会话被会话管理模块60动态创建和维持,并且是用于监视、控制和报告由应用访问检测器57所检测的用户的应用访问活动的唯一可识别的容器。
实现应用会话可能涉及几种功能,包括会话认证、会话监视、会话策略和控制、以及会话报告。在装置50中,这些功能可以由认证模块56、应用访问检测器57和会话管理模块60来支持。本发明的其他实施例可以提供所述功能的不同划分,以及可能地在更多、更少或不同部件之间的其他功能。
会话认证是指检测用户的应用访问和基于用户身份创建应用会话的能力。针对应用访问检测器检测认证用户对应用的访问所依据的每个接收的应用访问消息或其它形式的应用访问信息,这可能包括建立发起对应用的访问的发起或目的用户的身份。会话维持模块60因而可以使用这个身份来确定对于该用户是否存在激活的应用会话。尽管认证模块56可以在最初许可访问应用之前通过与例如企业的身份系统交互来认证用户并且可能地随后重新认证用户,然而认证模块不必包括针对每个消息识别用户。应用访问检测器57或会话管理模块60可以根据例如消息报头信息来确定每个消息的用户。
会话管理模块60确定会话数据库62中是否存在针对该用户的激活应用会话记录,如可通过基于用户名或一些其他用户标识符搜索该数据库来进行确定。如果激活应用会话记录存在,则会话管理模块60将任何关联的策略应用于接收的消息,所述策略被存储在会话策略数据库64中并且可以根据会话策略的特性(全局、应用、用户)而被搜索。策略可以是全局的或专用于用户、用户组、应用、位置等。在一些实施例中,策略在策略定义体系中被定义,以实施最专用的适用策略。例如,策略生成系统可以允许管理员定义应用和/或用户指定的策略,该策略包括(或至少不违背)公司全局会话策略。在这种情况下,会话管理模块60可以为用户识别且实施最专用的策略。
假设接收的消息与合适的策略相符,会话管理模块60用反应所接收消息的新的活动条目来更新现有的应用会话记录。会话管理模块60可以存储实际上收到的消息、无用信息、数字签名或其它消息的变换、接收消息的时间、和/或其他关联于用户、应用和/或消息的信息。存储于应用会话记录中的应用访问信息的类型和格式也可以在策略中被指定。
如果确定会话数据库62中不存在该用户的激活应用会话记录,则会话管理模块60仍然基于例如用户身份来确定要实施的合适的应用会话策略,并且对消息实施该策略。以用户身份或可能地唯一会话标识符标记的新应用会话记录被创建。创建时间标记也可以被生成并被存储在会话数据库62中。活动条目被添加至新的应用会话记录以反映接收到的消息。
默认地,新的应用会话记录可以针对每个可被唯一标识的用户而被创建。然而,管理员可能在一些情况下更希望将标识用户组中的所有用户的所有活动聚集成单个应用会话以最佳地满足它们的需求。在这种情况下,即使可以实现更专门的标识,应用会话记录也可以基于对组身份或该组中任何用户的认证而被创建。
在接收的消息不符合会话策略的情况下,可以简单地丢弃该消息。然而,也可能希望跟踪会话策略违背。非相容访问尝试的记录可以被存储在应用会话记录中,或者被分离地存储。例如终止用户的进一步访问和/或向系统管理员发出警告或告警的其他动作也可以被执行。
如上所述的基于消息的操作说明了这样的操作:包括检测对网络中的应用的访问以及维持用户对多个应用的访问的综合记录。其他实施例可以使用相似或不同的技术来检测和/或记录用户的应用访问。
会话监视是指提供这样的能力:将激活和历史应用会话记录的相关细节提供给网络或应用管理员。在装置50中,这个报告是通过控制/维持系统接口54来实现的。这个接口使得管理员可以被认证模块56认证并且随后访问会话数据库62。激活应用会话记录在会话数据库62中被创建并且被维持,如上文所述。当由于用户主动登出或在重新认证失败或超时的情况下被迫登出而终止对网络的访问时,针对该用户的之前激活的应用会话记录不再是激活的,但是可以作为历史应用会话记录而保留在会话数据库62中。对应用管理器或其他控制/管理系统的会话监视可以包括检索、呈现以及可能地从例如其管理的应用平台和网关的网络设备远程存储激活应用会话记录和历史应用会话记录。
管理器或其它监视设备可以通过会话管理模块60或直接地访问会话数据库62。管理器或会话管理模块60可以被配置成当历史记录已被访问时自动从会话数据库62中删除该历史记录,从而保存存储空间。历史记录的删除可能需要明确的命令或管理器或会话管理模块60所进行的其它动作。在一些实施例中,至少激活应用会话记录保留在会话数据库62中。
激活的和历史的应用会话记录可以被存储在不同的存储设备或区域中。在这种情况下,激活的记录可以在应用会话终止时被移至历史记录存储。
也设想自动的应用会话记录报告。激活的应用会话记录可以在会话终止时由会话管理模块60例如在一天中的特定时刻或周期性地报告给控制/管理系统。这可以避免在监视装置需要历史日志的本地存储,或者至少减小历史记录存储需求,尽管完整的历史记录仍可以作为备用措施而被存储。
本发明一些实施例的一个可能的优点是管理员能够创建关于各种类型的用户如何访问其网络上的应用且如何记录其应用使用的策略。会话策略和控制说明了应用会话策略创建和执行的功能性,以及管理超越能力。会话策略执行和管理控制可以由例如应用平台和/或网关来执行,而应用管理器提供用于创建应用会话策略的功能,说明性地是公司范围内的策略,并且将这些策略下载到其他部件进行执行。
在会话报告上下文中,应用会话记录将认证用户发起的、针对不同应用的多个应用访问事务组合在一起,并且因而提供所有用户活动的综合审计跟踪。基于激活的和/或历史的应用会话记录,总结一段时间内的应用使用的报告可以被生成。这些报告可以例如被用于一般的报告和/或证实符合规则。
上面主要参考图1的通信系统10和图2的装置50描述了本发明的实施例。图3是根据本发明另一个实施例的应用活动监视方法的流程图。
方法70说明了这样的操作:创建和维持应用会话,以及随后访问应用会话日志。
在72,接收应用访问信息,说明性地是来自用户系统的访问请求消息或从应用去往用户系统的响应消息。如果实现应用会话监视,则这个消息在网络节点被代理。在74识别这样的用户:从该用户接收所接收的请求消息或接收的响应消息去往该用户,并且该用户至少最初被认证并且可能地随后被重新认证。这个认证可以通过比较用户凭证和用户数据库中的信息来实现。
用户进行的访问在76被记录。如果针对该用户不存在激活的会话记录,则创建应用会话。否则,新的会话记录不会在76被创建;用反映所接收的消息的访问条目来更新现有的激活会话记录。
一旦现有会话记录已经被识别或者新的会话记录已经在76被创建,合适的应用会话策略就被识别并且在75被施加于消息。如果消息违反应用会话策略,说明性地由于超出了每会话消息的最大阈值,则在77丢弃消息。然而,如果消息没有违反应用会话策略,则在78将消息派送至目的服务或用户系统。
图3也说明了以79的报告访问操作的形式的会话监视。如果在72收到的请求源自管理员,则应用会话记录不会被创建或更新,而是被报告给管理员。如上文所述,会话报告也可以是自动的。
方法70说明了本发明一个实施例。其他实施例可能包括执行更少或附加的操作,和/或以不同于所显示的顺序来执行操作。
例如,管理员功能可能在79使得报告承担不止一组会话日志。管理员可能检查例如所有激活的和/或历史的应用会话。管理员对激活会话的终止也可能通过使用可作为会话管理模块60(图2)的一部分的控制子系统和应用会话策略而得到支持。一旦应用会话记录已经在79被报告,这些报告就可以被用来通过使用应用会话报告子系统而生成应用会话的审计报告,所述子系统可以类似地是会话管理模块60的一部分。
如上文所述,本发明的实施例可以使用与消息处理不同的技术来检测和跟踪用户对多个应用的访问。
方法70的其他变型对于本领域技术人员而言是显而易见的。
图4是监视数据结构的框图,所述结构可以被用来存储应用会话记录。数据结构80包括用户标识符82,其可以如所示地标识一个用户,或更一般地标识用户或用户组的应用会话。访问条目84、86包括应用访问信息,例如应用名称或其它标识符,时间标记或其他应用访问时间指示符,访问信息拷贝(例如web服务消息或访问信息变换),等。如果应用会话记录跟踪用户组的应用访问,则访问记录条目84、86也可以包括指定用户的标识,通过该标识来进行访问。
根据本发明的其他实施例,数据结构可以包括比图4显示的更少、更多或不同的数据字段。也可以设想其他类型的数据结构,例如用于存储例如会话策略的数据结构。用户、组或应用指定的策略的数据结构可以基本上类似于数据结构80,包括用户/组/应用的、与策略相关的标识符,以及关于访问限制的指示,要被存储在应用会话中的信息,认证需求,等等。
不存在可用的产品使得认证用户的应用和服务访问能够以综合的方式被监视、控制和报告。本发明的实施例可以为需要控制、监视和报告用户对其网络上的应用和服务的访问的网络和应用管理员提供这种能力和有用的工具。
应用会话记录使得企业能够提供公司管理、证实符合规则、提供其企业流程中的持续改进、以及与合作方组织的企业流程集成在一起。服务提供商也能够从销售所管理的合作方外联网设备和服务中产生新的收益。完整的共享SOA基础设施也变得可行,该基础设施是应用不可知的并且需要对现有应用进行最小的修改,同时优化了网络带宽和应用服务器处理消耗。
如这里所公开的,对多个单独用户进行的应用访问的监视、控制和报告对于网络和应用管理员提供对其网络和系统的正确管理以及证实符合管理规则而言是有价值的。传统技术中为了收集来自多个应用的应用活动记录而耗费的大量人工劳动可以避免。提供了用户活动的综合审计跟踪以报告需求的应用会话记录以及应用会话创建和维持的动态特性实现了由网络和应用管理员对用户进行的实时控制和监视。通过策略和/或管理动作而动态管理应用会话的能力是有力的工具,该工具当前对于企业系统管理员而言是不可用的。
总而言之,本发明的实施例可以用来提供如下面列出的整个服务SOA基础设施的完整功能性:
公司管理:提供监视、控制和报告以确保符合规则并且支持连续的公司改进;
所管理的合作方外联网:利用合作方和分支机构位置的web服务的安全无缝发布和消耗;
Web服务性能:确保web服务按照公司需求或服务等级协议(SLA)的可用性和性能;
公司灵活性和应用敏感性:基于SOAP报头内容、XML标签或其它消息内容提供应用级选路和消息转换;
应用安全:通过确保适当地形成消息、检测基于XML的攻击和执行应用数据加密策略来提供应用级安全;
生命周期管理:利用回退(rollback)提供受控的web服务发布;
系统特征:提供可靠性、可扩缩性和符合开放标准。
这里和/或在一个或多个上面提及的相关专利申请中已经公开了所述和其他功能。
所描述的内容仅是对本发明实施例的原理的应用的说明。本领域技术人员可以在不背离本发明范围的情况下实现其他安排和方法。
例如,如上文所述,本发明决不限于附图所示的以及上面明确描述的特定的功能划分、方法步骤和数据结构内容。
此外,尽管主要就方法和系统进行了描述,然而也可以设想本发明实施例的其他实现,如存储于一个或多个机器可读介质上的数据结构和/或指令。
机译: 通信网络应用活动监测与控制
机译: 通信网络应用活动监测与控制
机译: 通信网络应用活动监测与控制
