通信網絡應用活動監視和控制的製作方法

2023-05-10 19:33:01

專利名稱：通信網絡應用活動監視和控制的製作方法
技術領域：
本發明一般涉及通信，具體地涉a視和控制對通信網絡中可用的應 用的使用。
背景技術：
通過通信網絡分配信息所針對的服務通常稱作網絡服務。"Web服務，， 是網絡服務的一個例子，並且代表了用於通過公共網際網路和許多專用網絡、 在不同應用之間自動交換信息的下一代技術。Web服務提供了用於構建基 於web的分布式應用的框架，並且可以提供有效的自動機器對機器通信。
從技術的角度來看，web服務是網絡可訪問功能，其可以利用標準互 聯網協議在標準接口上被訪問，所述協議例如是超文本傳輸協議(HTTP )、 可擴展標記語言(XML)、簡單對象訪問協議(SOAP)等。
Web服務技術的真正能力在於其簡單性。核心技術僅解決了通用語言 和通信問題而並未直接解決應用集成的繁重任務。Web服務可以被看作是 用於互連多個異類非置信系統的複雜的機器對機器遠程過程調用(RPC )
利用網際網路標準(例如HTTP和簡單郵件傳輸協議(SMTP))，來利用 許多新的技術。
在web服務的開發和標準化後面的主要動力之一是通過提供不同應用 之間的鬆耦合來促進無縫的機器對機器應用級通信的能力。這種應用的松 耦合使得不同伺服器上的應用能夠互操作而無需在它們之間的靜態的、固 定的接口 。使用十分不同的技術的應用可以利用標準web服務協議來互操 作。
網絡和應用管理員關於網絡服務方面所面臨的一個重要問題，或更一 般地說是關於向用戶暴露服務所針對的網絡應用方面所面臨的 一 個重要問 題，AJ^視和控制哪些用戶在被管理網絡上以及這些用戶在做什麼的能力。 良好的公司管理規定合適的監視和控制點對所有業務活動處於適當的位 置，並且與涉及>5^司管理的管理規則的一致性證實對於許多企業而言已經 變成困難且成本高的任務。由應用實現的活動記錄在最好的情況下是不一 致的，而在最差的情況下是不存在的。例如，管理員手工製作由任何給定 用戶訪問的應用和系統的綜合^L告需要較多的工作。
當前，沒有可用的產品使得網絡和應用管理員能夠監視、控制和報告 應用訪問，例如用戶以綜合方式使用服務。儘管單個應用可以針對該特定應用而提供用戶活動才艮告和控制，然而應用不具有提供用戶關於其他應用 的活動的綜合檢查的能力。這除了通過人工方式綜合所有應用的用戶活動
記錄以製作綜合報告之外、沒有為管理員提供用於綜合控制和監視的機制。 處理例如服務訪問消息的應用訪問業務的、包括現有防火牆和網關的 網絡節點可以生成所有已被處理的消息的記錄。然而，它們沒有關聯來自 同一用戶的消息來生成應用訪問的指定用戶的綜合記錄。此外，它們不允
許基於應用訪問數據來採取運行時間動作。
因此，需要改進對例如web服務的網絡應用的監視和運行時間控制。

發明內容
根據本發明的實施例，提供了將多個應用/服務訪問組合成單個指定用 戶的多應用記錄的能力。這可以實現實時策略執行和針對i人證網絡用戶的 綜合審計跟蹤(consolidated audit trail)的生成。
根據本發明一個方面， 一種機器實現的方法包括檢測用戶對多個通信 網絡中提供的應用的訪問，和在關聯於用戶的多應用M記錄中記錄每個 檢測到的用戶對多個應用的訪問。
檢測可以涉及在web服務節點接收用戶關於訪問應用伺服器的請求， 通過所述應用伺服器來提供多個應用中的至少 一個應用。
所述方法也可以包括通過對照存儲於用戶資料庫中的信息認證用戶憑 證來識別用戶。
檢測的操作可以包括接收與用戶對多個應用中的 一個應用的訪問相關 聯的應用訪問信息，在這種情況下該方法還可以包括確定所接收的應用訪 問信息是否符合應用會話策略，以及如果所接收的應用訪問信息符合應用 會話策略則在用戶和提供應用的應用伺服器之間傳送所接收的應用訪問信 息。應用會活策略可以包括以下策略中的至少一個用戶指定的策略、應 用指定的策略、和全局通信網絡策略。
在一些實施例中，所述方法還包括響應於檢測到用戶對多個應用中的 一個應用的訪問而確定該用戶的多應用會話記錄是否存在於資料庫中，以及如果該應用的多應用會話記錄不存在於資料庫中則創建多應用會話記錄 以存儲記錄用戶對多個應用的訪問的條目。
所述方法還包括報告多應用M記錄的內容。
多個應用可以包括由多個應用伺服器提供的應用。
所述方法可以例如用存儲用於執行的指令的機器可讀介質來體現。
也提供了一種裝置，包括用於檢測用戶對通信網絡中提供的多個應 用的訪問的應用訪問檢測器；和會話管理模塊，其有效耦合到所述應用訪 問檢測器並且用於在關聯於用戶的多應用會話記錄中記錄用戶對多個應用 的每個檢測到的訪問。
所述裝置也可以包括有效耦合到所述會話管理模塊且用於存儲多應用 會話記錄的存儲器。所述會話管理模塊可以用於在存儲器中創建應用M 記錄。所述訪問檢測器可以包括iUi^莫塊，該認證模塊用於通過對照存儲於 用戶資料庫中的信息認證用戶憑證iM企測用戶對多個應用的訪問。
在一些實施例中，所述裝置包括接口，該接口有效耦合到所述訪問檢 測器和務活管理才莫塊且用於接收與用戶對多個應用中的 一個應用的訪問相 關聯的應用訪問信息。所述會話管理模塊還可以用於確定所接收的應用訪 問信息是否符合應用會話策略，並且如果所接收的應用訪問信息符合所述 應用會話策略則在用戶與提供應用的應用伺服器之間傳送所接收的應用訪 問信息。
所述裝置還可以包括用於才艮告應用會話記錄的內容的接口 。 多個應用伺服器可以提供多個應用。
這種裝置可以例如實現在用於管理web服務應用使用的web服務節點中。
本發明的另 一方面提供了 一種存儲數據結構的機器可讀介質。所述數 據結構包括通信網絡用戶的標識符，以及指示了用戶對該通信網絡中提供 的多個應用的訪問的多個條目。
所述多個應用可以包括由多個應用伺服器提供的應用。通過閱讀下面的描述，本發明實施例的其他方面和特徵對於本領域技 術人員將變得明顯。


現在將參考附圖詳細描述本發明實施例的例子。
圖l是通信系統的框圖； 圖2是應用活動監視裝置的框圖； 圖3是應用活動監視方法的流程圖； 圖4是應用活動監視數據結構的框圖。
具體實施例方式
圖l是通信系統的框圖，其中可以實現本發明的實施例。通信系統IO 包括通信網絡12，企業系統22、 24、應用系統26和遠程用戶系統^殳施28 經由各自的通信鏈路而有效耦合到所述通信網絡。
企業系統22包括一個或多個應用伺服器32、有效耦合到應用伺服器 的應用平臺34、有效耦合到應用平臺和通信網絡12的網關36、有效耦合 到應用平臺和網關的一個或多個用戶系統38、有效耦合到應用平臺、用戶 系統和網關的身份系統40、以及有效耦合到應用平臺和網關的應用管理器 42。也可以部署其他部件或系統，例如位於網關36—側的、用以提供隔離 區(DMZ)的防火牆。企業系統24可以具有相似的結構。
在應用系統26中，應用平臺44有效耦合到通信網絡12和一個或多個 應用伺服器46。遠程用戶系統設施28包括有效耦合到一個或多個用戶系 統49的應用委託代理48。
儘管許多企業系統、應用系統、遠程用戶系統設施和可能的其他類型 的系統可以在通信系統中淨皮提供，然而在圖1中僅示出了某些類型的系統 的例子以避免使得圖過於複雜。為了簡單，圖l也省略了通信網絡12，以 及企業系統24的內部細節，例如邊界或接入設備和核心交換/路由部件。通信網絡12的類型、結構和操作可以隨本發明實施例的部署而變化。本發 明的其他實施例也可以包括企業系統、應用系統和/或遠程用戶系統設施， 所述遠程用戶系統設施包括比所顯示的更少、更多或不同的、具有相似或 不同互連的部件。
因此，應當認識到，圖1的通信系統10以及其他附圖的內容僅是為了 說明，本發明決不限於圖中明確示出的以及這裡描述的特定示例性實施例。
本發明所屬領域的技術人員熟悉許多不同類型的通信網絡，包括例如 應用層網絡的覆蓋網絡和更傳統的基礎設施。本發明不限於任何特定類型 的通信網絡。在一個實施例中，通信網絡12是網際網路或其它公共網絡。
系統22、 24、 26、 28訪問通信網絡12所採用的許多訪問技術實例是 本領域技術人員所熟知的，因此沒有在圖1中分別顯示。
首先考慮企業系統22，應用伺服器32支持可提供至少由本地用戶系 統38使用的功能(說明性地;U良務)。如果部署了多個應用伺服器32， 則每個伺服器支持各自的功能或服務集合，其可以覆蓋由其他伺服器支持 的服務，也可以不覆蓋。
在一些實施例中，這些功能也可以由外部用戶系統使用，例如企業系 統24中的用戶系統，其中企業系統22、 24的擁有者或操作者具有允許它 們的用戶訪問的系統間協議，和/或遠程用戶系統i殳施28的用戶系統49。
這裡對使用應用的參考旨在傳達任何這種功能的概念。通常，應用服 務器32執行軟體應用來提供這些功能。在本說明書上下文中，例如web 服務的服務是暴露給用戶系統的應用功能的一個例子。任何對應用、功能 和服務的參考應當相應地來解釋。
應用伺服器32可以包括一個或多個處理器、 一個或多個存儲器設備和 用於與用戶系統交換應用事^ft息的接口 ，所述信息例如是服務請求消息 和相應的響應。應用伺服器32中的存儲器設備可以用於存儲作業系統軟 件、應用軟體等，以由應用伺服器處理器使用。例如22的企業系統通常實 現為網絡，在這種情況下網^l:口使得應用伺服器32能夠與用戶系統38 以及可能地企業系統的其他部件通信。在另一種可能的實現中，應用服務
10器32包括用於與不同企業系統部件通信的分別的接口。
用戶系統38可以類似地包括一個或多個處理器、 一個或多個存儲器設 備和某種用於與應用伺服器32以及可能地企業系統22的其他部件通信的 接口。用於與應用伺服器32相連的作業系統軟體、客戶端軟體和/或其他 類型的信息可以被存儲在用戶系統存^i殳備中。
本領域技術人員熟悉提供和/或使用網絡應用的許多不同類型的系統。 本發明的實施例主要涉M視對網絡應用的限制訪問的使用，而不是如何 實際上支持這些應用，因此這裡僅就說明本發明各方面所必需的程度而簡 要描述了應用伺服器32、用戶系統38和它們的操作。
身份系統40代表通常在例如公司網絡的企業系統中提供的另 一部件， 並且為本領域技術人員所熟知。對應用伺服器32所支持的服務或其他功能 的訪問在許多情況下必須限於特定的用戶集合。可以通過與例如輕量級目 錄訪問協議(LDAP)目錄或其它類型的用戶資料庫進行交互來認證用戶 和/或用戶系統的身份系統40提供了可用於授權或拒絕對網絡服務的訪問 的數字身份。
在結構方面，應用平臺34包括與應用伺服器32的用戶系統接口 (說 明性地是應用編程接口 (API))相容的應用伺服器接口、與用戶系統38 的應用伺服器接口相容的一個或多個接口 、和用於處理經由這些接口接收 和/或發送的消息或其它信息的部件。如下文進一步詳細描述的，外部用戶 系統能夠經由網關36訪問應用伺服器32，在這種情況下應用平臺34的用 戶系統接口也可以使得所述應用平臺能夠與網關36通信。然而，在一些實 施例中，可以為此而提供分離的網關接口。
網關36也包括與企業系統22的其他部件的接口相容的一個或多個接 口、用於使得通信信號能夠通過通信網絡12而被發送和/或被接收的一個 或多個外部接口 、和用於處理經由接口接收和/或發送的信號的中間部件。
應用管理器42代表本身不能當信息在應用伺服器32與本地用戶系統
用管理器42可以經由相容的接口與應用平臺34和網關36通信以執行這樣的功能說明性地通過將應用會話策略下載至平臺和/或網關以進行執行來 配置應用平臺和/或網關、訪問根據本發明的實施例所收集的應用會話信 息，等等。
應用平臺34、網關36和應用管理器42的內部組件可以用硬體、軟體、 固件或其某種組合來實現。如下面參考圖2描述的監視系統提供了可以在 應用平臺34或網關36中提供的子系統的說明性實例。
在針對企業網絡的所謂面向服務的架構(SOA)的傳統部署中，SOA 部件單獨地被部署並且被集成在每個應用伺服器上。在例如企業系統22
web服務標準解決了對限制授權用戶訪問服務的需求，然而web服務策略 伺服器必須存儲和提供這個信息。執行這些策略也會是一種挑戰，因為軟 件銷售商可能需要實質上改變應用和伺服器以適配於企業系統。
這都代表了企業的重要計劃，並且可能具有相對較長的實現周期。此 外，實現這個計劃所需要的技術是非常專業的，這可能使得SOA實現變得
當例如在企業系統22、 24之間向合作方擴展web服務或其他類型的 應用時，對於部署在應用伺服器上的SOA基礎設施而言存在更大的挑戰。 例如，部署於合作方站點的應用可能使用不能自由地共享用戶身份信息的 不同安全^L制，這需要用戶的安全令牌的轉換。將安全令牌轉換或其他安 全功能的負擔施加於每個應用伺服器上會導致成本高且低效。
數據私密性要求也非常困難，甚至不能夠在每個應用伺服器執行，因 為應用伺服器本身無法獲知用戶系統，或更一般地其服務的消費者，是否 是在其企業系統的外部。
XML指定的拒絕服務(XDoS)攻擊以及可能地其他威脅，在基於應 用伺服器的SOA實現中特別成問題。例如，Web服務對於XDoS攻擊是 開放的，這無法在應用伺服器上被有效地處理。
為了通過術碌耦合應用而實現應用互操作性的、基於伺服器的SOA至 web服務才莫型的變遷需要說明性地以SOAP報頭和XML消息的形式的消息傳送以及為了管理這些消息的附加的處理需求。這個附加的開銷消耗了 網絡帶寬並且會導致對應用伺服器硬體方面的大量新的需求。
用於部署SOA基礎設施的可選模型是將SOA組件集成到企業網絡單 元中，如圖1所示。應用平臺34、網關36和應用管理器42代表企業系統 22中的SOA組件。
從應用伺服器32分離地部署SOA基礎設施可以提供幾個好處SOA 基礎設施是應用不可知的(agnostic)，應用需要最小修改，SOA基礎設 施是端到端集成解決方案，應用伺服器處理開銷被最小化，以及網絡帶寬 可以被優化。
利用基於企業系統/網絡的SOA部署，應用互操作所需要的任何消息 轉換可以根據企業系統內的策略集合來被執行，而不是由應用本身執行。 這能夠與應用無關地定義轉換，從而消除了對應用銷售商實現的依賴。
適配消息格式和內容所需要的業務邏輯因而由企業提供，而不是由應 用提供，這最小化了應用修改。例如，web服務消息可以在企業網絡內被 適配以實現應用互操作性。也許由於合併、獲取或與新搭檔的集成的需要 而出現新的互操作性需求時，不需要應用修改。消息轉換的新策略可以被 定義成規定新的互操作性。
部署成集成企業網絡解決方案的SOA^tt;設施可以提供單個監視、控 制和綜合才艮告點，說明性地是應用管理器42。這對於實現適當的公司管理、 持續的公司改進、以及證實符合涉及例如數據私密性和網絡安全的規則的 能力來說是重要的。
應用互操作性的應用伺服器處理需求出於兩個原因而可以被大大減 小應用伺服器卸載(offload)和縮減數目的所需轉換。轉換可以例如在 應用平臺34—次完成，並且然後被轉發至多個目的地，而不是執行其自己 的轉換的每個應用。
附加消息業務所消耗的網絡帶寬可以通過基於檢查消息SOAP報頭、 XML標籤或其它消息內容將分組路由至應用伺服器32而被減小。路由對 於應用背景是敏感的，而不是例如基於靜態IP位址。如果應用伺服器功能被擴展至合作方企業系統，部署成企業網絡^
設施的SOA基礎設施可以提供許多其他優點。安全令牌的轉換可以在雙方 網絡之間的分界點被一次完成，所述分界點說明性地是用於從外部訪問應 用伺服器32的網關36，這提供了安全策略的單個執行點。數據私密性也 可以在數據離開安全域的點被執行，例如也是在網關36。這帶來了效率並 且降低了成本。此外，針對公司web服務的拒絕服務攻擊可以在網關36 防禦，即公司網絡邊緣，其可能是處理這種問題最安全的地方。
應用平臺34提供SOA基礎設施來集成傳統上作為獨立應用運行的應 用，並且可以實現這樣的能力控制和監視由認證用戶發起的任何活動從 而實現綜合審計跟蹤的生成、消息和文檔格式的轉換、管理應用的生命周 期(包括web服務的分段推廣和在發生不期望行為的情況下回退到之前的 版本)、以M視應用/服務性能以確保應用/服務滿足內部公司需求。
應用平臺34的示例性功能的這個列舉，像這裡提及的其他功能示例一 樣，決不是限制性的或排他性的。許多功能可以獨立實現，每個實施例不 必提供所有功能，而其他功能對本領域技術人員也是顯而易見的。應用平 臺34的優點可以包括通過最少地改變現有應用而實現縮減的應用集成成 本，如上所述，確保對公司應用的訪問符合管理規則，針對僱員訪問web 服務的中央監視和控制點，以及通過綜合報告而實現的持續的公司改進。
網關36通過通信網絡12有效地將企業系統22所提供的內聯網SOA 擴展成實現與客戶及合作方的無縫集成而不會危及安全或私密的外聯網。 網關36的功能還可以包括應用至合作方外聯網和分支機構位置的所有擴 展，這為合作方訪問應用提供了無縫移動性、確保了合作方對公司應用的 訪問符合管理規則、以及保持了公司身份的私密性而不會造成可追溯性。
在提供從關聯於企業系統22的任何合作方站點至應用伺服器32的移 動訪問時，網關36可以實現合作方制度的安全標識和不同安全域之間的身 份接受。用於與外部合作方站點關聯的用戶系統的應用消息和數據轉換也 可以由網關36提供，同時確保所有數據關於公司策略而保持私密性。所有 應用訪問的綜合審計跟蹤可以由網關收集並且提供給外部合作方企業系
14統，從而例如證實與規則相符。
應用管理器42提供用於監視和控制應用平臺34、網關36和企業系統 22中的任何其他平臺和網關(未顯示)的中心點。為了確保改進的公司管 理和/或符合管理規則而實現的針對所有應用的總體上一致的策略也可以 在一些實施例中通過應用管理器42來被建立並且被分配給應用平臺34和 網關36以進行執行。中央應用管理器42也可以規定總體上一致的應用改 變管理。
如上文所述，企業系統24可以基本上類似於企業系統22。 企業系統22同時包括支持應用的應用伺服器32和可以使用這些應用 的一個或多個用戶系統38。然而，應當認識到，應用伺服器和用戶系統不 必共同定位。例如，應用系統26包括一個或多個應用伺服器46，而不包 括本地用戶系統。儘管僅示出了應用系統26中的一個應用平臺44，然而 應用系統的某些實現也可以包括網關。儘管所示應用系統26可能適合於例 如與作為企業系統22的主數據中心關聯的遠程數據中心，然而託管應用以 由外部用戶系統^f吏用的獨立的或"非附屬的"應用系統也可以包括網關用 以處理例如外部用戶的認證。
應用系統26中的應用平臺44可以與企業系統22的應用管理器42交 互，或更一般地與其附屬企業系統的應用管理器交互。在獨立應用系統的 情況下，本地應用管理器可以,皮提供。在一些實現中，外部服務控制器與 多個不同域中的SOA基礎設施組件交互。例如，有效耦合到通信網絡12 的外部服務控制器可以配置網關36和企業系統24中的網關以收集和交換 應用性能統計。
圖1示出了僅一個用戶的部署，即遠程用戶系統設施28。應用委託代 理48使得例如合作方或分支機構位置處的用戶系統49能夠使用由遠程應 用伺服器提供的應用。在一個實施例中，應用委託代理48是縮減大小的網 關36。應用委託代理48像網關36那樣可以在用企業系統22認證用戶系 統49期間保持公司身份的私密性而不會造成可追溯性，並且利用例如隧道 化技術而支持通過通信網絡12的安全通信，而不必能夠認證外部用戶，因為遠程用戶系統設施28並沒有託管可由外部用戶系統使用的應用。
在操作中，希望利用由應用伺服器32提供的應用的用戶系統38首先 被身份系統40認證。本領域技術人員熟悉多種用於該目的的安全機制，例 如用戶名/密碼認證。如果對應用伺服器32的遠程訪問被支持，則用戶認 證可以由網關36可能地通過與外部身份系統交互來處理。當與合作方企業 系統或站點關聯的用戶系統本地連接到企業系統22並且希望訪問應用服 務器32時，網關36也可以進行認證。
當用戶已經被認證時，可以在用戶系統和應用伺服器32之間交換消息 或其他格式的信息。用戶可以被許可在進行單個成功認證之後訪問多個應 用。在這種情況下，跟蹤用戶在應用方面的活動會是4艮大的挑戰。
根據本發明的實施例，提供了用於監視、控制和報告單個用戶對應用/ 服務的訪問的新技術。
這裡進一步詳細描述的用戶指定的應用級會話記錄代表一種新的概 念，按照該概念，由認證用戶發起的應用訪問操作(說明性地是web服務 事務)被組合在一起以提供該用戶在公司網絡上的活動的綜合檢查。術語 "會話"並不旨在涉及傳輸控制協議(TCP)或其他聯網協議會話，而是 涉及用戶訪問網絡(例如公司網絡)上的應用所耗費的連續時間段。
應用級會話記錄功能可以例如在SOA結構中的任何一組子系統被實 現，所述SOA結構包括系統10中的應用管理器42、應用平臺34和網關 36。應用平臺34和網關36是實時處理應用訪問操作(說明性地是web服 務消息)以促進應用集成且實現SOA的快速、成本低的部署的網絡節點或 組件，因而可以是用於實現應用會話信息收集的邏輯點。作為可由企業部 署以協調其網絡中的任何數目的應用平臺和/或網關的網絡和應用管理單 元的應用管理器42可以提供對針對才艮告的應用會話的後續訪問、為確認或 證實與策略或制度相符而進行的歷史分析，等等。
多應用會話記錄的優點可以包括通過策略或管理動作實時管理用戶 指定的會話以確保適當的公司管理的能力，以及通過用戶活動的綜合審計 跟蹤而實現對與規則相符的證明。應用會話記錄的動態創建和實時管理可以提供企業網絡管理目前無法擁有的有力工具，並且代表傳統系統上的強 壯的微分器。
圖2是應用活動監^f見和控制裝置的框圖。裝置50包括用戶系統接口 52、控制/管理系統接口 54、有效耦合到用戶系統接口和控制/管理系統接 口的認證模塊56、有效耦合到認證模塊的用戶資料庫58、有效耦合到認證 模塊的應用訪問檢測器57、以及有效耦合到應用訪問檢測器、^t資料庫 62、會話策略資料庫64和一個或多個應用伺服器接口 66的會話管理模塊 60。
如上文參考圖l所指出的，附圖的內容僅用於說明。其中實現裝置50 的設備可以例如包括未示出的附加部件。裝置的其他實施例可以包括比明 確顯示的更多、更少或不同的、具有類似或不同互連的部件。
例如，儘管應用訪問檢測器57在圖2中顯示為分離的部件，然而它也 可以與認證模塊56集成到一起。當用戶首先被j人證或當檢查到已經正確地 認證了嘗試訪問應用的用戶時，用戶對應用的訪問可以由認iiD漠塊56檢 測。應用訪問檢測功能可以類似地被實現在會話管理模塊中。
圖2的部件通過其而被有效耦合的連接類型至少在某種程度上可以是 與實現相關的。電子設備通常使用各種類型的物理連線和有線連接。例如， 在協調軟體功能的情況下，有效耦合可以經由變量、註冊或存儲器公共訪 問區域，因此包括邏輯耦合。
硬體、軟體、固件或其組合可以被用來實現裝置50的部件。處理單元 可能是適用的，例如微處理器、微控制器、可編程邏輯設備(PLD)、現 場可編程門陣列(FPGA)、專用集成電路、以及其他類型的"智能"集 成電路。
裝置50可以通過接口 52、 54、 66與通信網絡的其他部件交互。這些 接口可以是相同類型的或不同類型的，或在同一通信介質被用於與所有其 他部件的信息傳送的情況下甚至是同一接口。然而，在許多實現中，有可 能用戶系統接口 52至少不同於應用伺服器接口 66，以及應用伺服器接口 不同於不同的應用^^務器。儘管在一些情況下裝置50通過同一企業網,口與用戶系統和應用管理器交互，然而控制/管理系統接口 54可以是另一 種不同的接口。
用戶系統接口 52使得裝置50能夠與用戶系統交換應用訪問信息，例 如請求和相應的響應。每個應用伺服器接口 66類似地使得裝置50能夠與 一個或多個應用伺服器的各個集合交換應用訪問信息。例如當裝置50被實
對應用的使用的網關上時，裝置50的這種結構是合適的，因為這些部件處 理企業系統的所有應用訪問信息。然而，應當認識到，其他實現也是可行 的。監視裝置還可以消極地"偵聽，，應用訪問信息，在這種情況下它不必 主動參與應用伺服器與用戶系統之間的應用訪問信息傳送。
通過控制/管理接口 54，裝置50可以與例如應用管理器42 (圖1)的 控制或管理系統交換信息。例如，可以通過接口 54與控制或管理系統交換 應用會話記錄和/或會話策略。
接口 52、 54、 56的結構和操作至少在某種程度上取決於應用訪問信息 傳送中使用的通信介質和協議。本領域技術人員熟悉多種接口，其中裝置 50可經由所述接口接收和/或發送應用訪問信息。
資料庫58、 62、64中的每一個都可以在一個或多個存儲設備中被提供。 固態存儲設備在電子設備中是常見的，並且每個資料庫可以利用 一個或多 個這種類型的存^i殳備而被實現。然而，其他類型的存儲設備，包括利用 活動的或可拆卸的存儲介質的存儲設備，也可以被用來存儲資料庫58、 62、 64。
用戶資料庫58存儲用戶信息，例如用戶名和密碼，它們可被用於認證 試圖訪問應用伺服器的用戶。a資料庫62被用來存儲由用戶執行的應用 訪問操作的記錄。策略被存儲在會話策略資料庫64中，例如要針對應用會 話和/或用戶而被記錄的特定信息，對於在要求用戶重新i^證之前會活可以 維持的時間的限制、對於在請求用戶重新認證之前用戶可以執行的訪問操 作的數目的限制，等等。策略可以包括所有用戶指定的策略、應用指定的 策略、公司範圍內的全局策略、以及可能地其他類型的策略。其記錄被存儲在會話資料庫62中的應用M提供了應用活動的歷史報告，例如檢驗應用訪問是否滿足需求或規則，而存儲於會話策略資料庫64中的會活策略的執行阻止用戶執行違反這種需求或規則的應用訪問。
如上所述，裝置50的部件可以利用硬體、軟體和/或固件實現。因此這裡僅就其功能而描述這些部件。基於功能描述，本領域技術人員能夠以各種方式中的任一種來實現根據本發明實施例的服務監視技術。
在操作中，認證模塊56、應用訪問檢測器57和會話管理模塊60利用應用會話來促進綜合應用活動監視，如下文詳細描述的那樣。應用會話被會話管理模塊60動態創建和維持，並且是用於監視、控制和報告由應用訪問檢測器57所檢測的用戶的應用訪問活動的唯一可識別的容器。
實現應用會話可能涉及幾種功能，包括會話認證、會話監視、會話策略和控制、以及會話報告。在裝置50中，這些功能可以由認證模塊56、應用訪問檢測器57和會話管理模塊60來支持。本發明的其他實施例可以提供所述功能的不同劃分，以及可能地在更多、更少或不同部件之間的其他功能。
會話認證是指檢測用戶的應用訪問和基於用戶身份創建應用會活的能力。針對應用訪問檢測器檢測認證用戶對應用的訪問所依據的每個接收的應用訪問消息或其它形式的應用訪問信息，這可能包括建立發起對應用的訪問的發起或目的用戶的身份。會話維持模塊60因而可以使用這個身份來確定對於該用戶是否存在激活的應用^"。儘管認證模塊56可以在最初許可訪問應用之前通過與例如企業的身份系統交互來認證用戶並且可能地隨後重新i人證用戶，然而i人證才莫塊不必包括針對每個消息識別用戶。應用訪問檢測器57或會話管理模塊60可以根據例如消息報頭信息來確定每個消息的用戶。
會話管理模塊60確定會話資料庫62中是否存在針對該用戶的激活應用會話記錄，如可通過基於用戶名或一些其他用戶標識符搜索該資料庫來進行確定。如果激活應用會話記錄存在，則會話管理模塊60將任何關聯的策略應用於接收的消息，所述策略被存儲在會話策略資料庫64中並且可以根據會話策略的特性(全局、應用、用戶)而祐:搜索。策略可以是全局的 或專用於用戶、用戶組、應用、位置等。在一些實施例中，策略在策略定 義體系中被定義，以實施最專用的適用策略。例如，策略生成系統可以允 許管理員定義應用和/或用戶指定的策略，該策略包括(或至少不違背)公
司全局會話策略。在這種情況下，會話管理模塊60可以為用戶識別且實施
最專用的策略。
假設接收的消息與合適的策略相符，會話管理模塊60用反應所接收消 息的新的活動條目來更新現有的應用會話記錄。會話管理才莫塊60可以存儲
實際上收到的消息、無用信息、數字籤名或其它消息的變換、接收消息的 時間、和/或其他關聯於用戶、應用和/或消息的信息。存儲於應用會話記錄 中的應用訪問信息的類型和格式也可以在策略中被指定。
如果確定M資料庫62中不存在該用戶的激活應用會活記錄，則M 管理模塊60仍然基於例如用戶身份來確定要實施的合適的應用會話策略， 並且對消息實施該策略。以用戶身份或可能地唯一會話標識符標記的新應 用會話記錄被創建。創建時間標記也可以被生成並被存儲在會話資料庫62 中。活動條目被添加至新的應用會話記錄以反映接收到的消息。
默認地，新的應用會話記錄可以針對每個可被唯一標識的用戶而被創 建。然而，管理員可能在一些情況下更希望將標識用戶組中的所有用戶的 所有活動聚集成單個應用會話以最佳地滿足它們的需求。在這種情況下， 即使可以實現更專門的標識，應用會話記錄也可以基於對組身份或該組中 任何用戶的認證而被創建。
在接收的消息不符合會話策略的情況下，可以簡單地丟棄該消息。然 而，也可能希望跟蹤會話策略違背。非相容訪問嘗試的記錄可以被存儲在 應用會話記錄中，或者被分離地存儲。例如終止用戶的進一步訪問和/或向 系統管理員發出警告或告警的其他動作也可以被執行。
如上所述的基於消息的操作說明了這樣的操作包括檢測對網絡中的 應用的訪問以及維持用戶對多個應用的訪問的綜合記錄。其他實施例可以 4吏用相似或不同的衝支術來檢測和/或記錄用戶的應用訪問。
20會話監浮見是指提供這樣的能力將激活和歷史應用會話記錄的相關細 節提供給網絡或應用管理員。在裝置50中，這個報告是通過控制/維持系 統接口 54來實現的。這個接口使得管理員可以被認證模塊56認證並且隨 後訪問M資料庫62。激活應用會話記錄在^"資料庫62中被創建並且 4皮維持，如上文所述。當由於用戶主動登出或在重新認證失敗或超時的情 況下被迫登出而終止對網絡的訪問時，針對該用戶的之前激活的應用M 記錄不再是激活的，但是可以作為歷史應用會話記錄而保留在會話資料庫 62中。對應用管理器或其他控制/管理系統的會話監視可以包括檢索、呈現 以及可能地從例如其管理的應用平臺和網關的網絡設備遠程存儲激活應用 會話記錄和歷史應用會話記錄。
管理器或其它監視設備可以通過會話管理模塊60或直接地訪問M 資料庫62。管理器或會話管理模塊60可以被配置成當歷史記錄已被訪問 時自動從M資料庫62中刪除該歷史記錄，從而保存存儲空間。歷史記錄 的刪除可能需要明確的命令或管理器或會話管理模塊60所進行的其它動 作。在一些實施例中，至少激活應用會話記錄保留在M資料庫62中。
激活的和歷史的應用會話記錄可以被存儲在不同的存儲設備或區域 中。在這種情況下，激活的記錄可以在應用會話終止時被移至歷史記錄存 儲。
也設想自動的應用會話記錄報告。激活的應用會活記錄可以在會話終 止時由會話管理模塊60例如在一天中的特定時刻或周期性地報告給控制/ 管理系統。這可以避免在監視裝置需要歷史日誌的本地存儲，或者至少減 小歷史記錄存儲需求，儘管完整的歷史記錄仍可以作為備用措施而被存儲。
本發明一些實施例的一個可能的優點是管理員能夠創建關於各種類型 的用戶如何訪問其網絡上的應用且如何記錄其應用使用的策略。會話策略 和控制說明了應用會話策略創建和執行的功能性，以及管理超越能力。會 話策略執行和管理控制可以由例如應用平臺和/或網關來執行，而應用管理 器提供用於創建應用會話策略的功能，說明性地是公司範圍內的策略，並 且將這些策略下載到其他部件進行執行。在^t報告上下文中，應用會話記錄將認證用戶發起的、針對不同應用的多個應用訪問事務組合在一起，並且因而提供所有用戶活動的綜合審
計跟蹤。基於激活的和/或歷史的應用會話記錄，總結一段時間內的應用佳L用的報告可以被生成。這些報告可以例如被用於一般的報告和/或證實符合規則。
上面主要參考圖1的通信系統10和圖2的裝置50描述了本發明的實施例。圖3是根據本發明另一個實施例的應用活動監視方法的流程圖。
方法70說明了這樣的操作創建和維持應用務活，以及隨後訪問應用^"曰志。
在72，接收應用訪問信息，說明性地是來自用戶系統的訪問請求消息或從應用去往用戶系統的響應消息。如果實現應用會話監視，則這個消息在網絡節點被代理。在74識別這樣的用戶從該用戶接收所接收的請求消息或接收的響應消息去往該用戶，並且該用戶至少最初被j人證並且可能地隨後被重新認證。這個認證可以通過比較用戶憑證和用戶資料庫中的信息來實現。
用戶進行的訪問在76被記錄。如果針對該用戶不存在激活的會話記錄，則創建應用會活。否則，新的會話記錄不會在76被創建；用反映所接收的消息的訪問條目來更新現有的激活會話記錄。
一旦現有會話記錄已經被識別或者新的會話記錄已經在76被創建，合適的應用會活策略就被識別並且在75被施加於消息。如果消息違反應用會話策略，說明性地由於超出了每會話消息的最大閾值，則在77丟棄消息。然而，如果消息沒有違反應用會話策略，則在78將消息派送至目的服務或用戶系統。
圖3也說明了以79的報告訪問操作的形式的會話監視。如果在72收到的請求源自管理員，則應用會話記錄不會被創建或更新，而是被報告給管理員。如上文所述，M報告也可以是自動的。
方法70說明了本發明一個實施例。其他實施例可能包括執行更少或附加的操作，和/或以不同於所顯示的順序來執行操作。例如，管理員功能可能在79使得報告承怛不止一組會話日誌。管理員可能檢查例如所有激活的和/或歷史的應用會話。管理員對激活務活的終止也可能通過使用可作為會話管理模塊60 (圖2)的一部分的控制子系統和應用會話策略而得到支持。 一旦應用會話記錄已經在79被報告，這些報告就可以被用來通過使用應用4^"報告子系統而生成應用會話的審計報告，所述子系統可以類似地是會話管理才莫塊60的一部分。
如上文所述，本發明的實施例可以使用與消息處理不同的技術來檢測和跟蹤用戶對多個應用的訪問。
方法70的其他變型對於本領域技術人員而言是顯而易見的。
圖4;U^視數據結構的框圖，所述結構可以被用來存儲應用會話記錄。數據結構80包括用戶標識符82，其可以如所示地標識一個用戶，或更一般地標識用戶或用戶組的應用會話。訪問條目84、 86包括應用訪問信息，例如應用名稱或其它標識符，時間標記或其他應用訪問時間指示符，訪問信息拷貝(例如web服務消息或訪問信息變換)，等。如果應用會話記錄跟蹤用戶組的應用訪問，則訪問記錄條目84、 86也可以包括指定用戶的標識，通過該標識來進行訪問。
根據本發明的其他實施例，數據結構可以包括比圖4顯示的更少、更多或不同的數據欄位。也可以設想其他類型的數據結構，例如用於存儲例如會話策略的數據結構。用戶、組或應用指定的策略的數據結構可以基本上類似於數據結構80，包括用戶/組/應用的、與策略相關的標識符，以及關於訪問限制的指示，要被存儲在應用會話中的信息，認證需求，等等。
不存在可用的產品使得認證用戶的應用和服務訪問能夠以綜合的方式收監視、控制和才艮告。本發明的實施例可以為需要控制、監視和報告用戶對其網絡上的應用和服務的訪問的網絡和應用管理員提供這種能力和有用的工具。
應用會活記錄使得企業能夠提供公司管理、證實符^SL則、提供其企業流程中的持續改進、以及與合作方組織的企業流程集成在一起。服務提供商也能夠從銷售所管理的合作方外聯網設備和服務中產生新的收益。完整的共享SOA基礎設施也變得可行，該基礎設施是應用不可知的並且需要對現有應用進行最小的修改，同時優化了網絡帶寬和應用伺服器處理消耗。如這裡所公開的，對多個單獨用戶進行的應用訪問的監視、控制和報告對於網絡和應用管理員提供對其網絡和系統的正確管理以及證實符合管理規則而言是有價值的。傳統技術中為了收集來自多個應用的應用活動記錄而耗費的大量人工勞動可以避免。提供了用戶活動的綜合審計跟蹤以報告需求的應用會話記錄以及應用會話創建和維持的動態特性實現了由網絡和應用管理員對用戶進行的實時控制和監視。通過策略和/或管理動作而動態管理應用會話的能力是有力的工具，該工具當前對於企業系統管理員而言是不可用的。
總而言之，本發明的實施例可以用來提供如下面列出的整個服務SOA基礎設施的完整功能性
公司管理提供監視、控制和報告以確保符合規則並且支持連續的公司改進；
所管理的合作方外聯網利用合作方和分支機構位置的web服務的安全無縫發布和消耗；
Web服務性能確保web服務按照公司需求或服務等級協議(SLA)的可用性和性能；
公司靈活性和應用敏感性基於SOAP報頭內容、XML標籤或其它
消息內M供應用級選路和消息轉換；
應用安全通過確保適當地形成消息、檢測基於XML的攻擊和執行
應用數據加密策略來提供應用級安全；
生命周期管理利用回退(rollback)提供受控的web服務發布；系統特徵提供可靠性、可擴縮性和符合開放標準。這裡和/或在一個或多個上面提及的相關專利申請中已經公開了所述
和其他功能。
所描述的內容僅是對本發明實施例的原理的應用的說明。本領域技術人員可以在不背離本發明範圍的情況下實現其他安排和方法。例如，如上文所述，本發明決不限於附圖所示的以及上面明確描述的特定的功能劃分、方法步驟和數據結構內容。
此外，儘管主要就方法和系統進行了描述，然而也可以設想本發明實施例的其他實現，如存儲於一個或多個機器可讀介質上的數據結構和/或指令。
權利要求
1. 一種機器實現的方法，包括檢測用戶對通信網絡中提供的多個應用的訪問；以及在與所述用戶關聯的多應用會話記錄中記錄所述用戶對所述多個應用的每個檢測到的訪問。
2. 根據權利要求1所述的方法，其中，檢測包括在web服務節點接收 關於訪問應用伺服器的用戶請求，通過所述應用伺服器而提供了所述多個 應用中的至少一個應用。
3. 根據權利要求1所述的方法，還包括通過對照存儲於用戶資料庫 中的信息i人證所述用戶的憑證來識別所述用戶。
4. 根據權利要求1至3中任一項所述的方法，其中，檢測包括接收與 所述用戶對所述多個應用中的一個應用的訪問相關聯的應用訪問信息，所 述方法還包括確定所接收的應用訪問信息是否符合應用會話策略；以及 如果所接收的應用訪問信息符合所述應用會話策略則在所述用戶與提供所 述應用的應用伺服器之間傳送所接收的應用訪問信息。
5. 根據權利要求4所述的方法，其中，所述應用會話策略包括以下策 略中的至少一個用戶指定的策略、應用指定的策略以及全局通信網絡策 略。
6. 根據權利要求1至3中任一項所述的方法，還包括響應於對所述 用戶訪問所述多個應用中的一個應用的檢測，確定針對所述用戶的多應用 會話記錄是否存在於資料庫中；以及如果針對所述用戶的多應用會話記錄 不存在於所述資料庫中則創建多應用會話記錄以存儲記錄了所述用戶對所 述多個應用的訪問的條目。
7. 根據權利要求1至3中任一項所述的方法，還包括報告所述多應 用M記錄的內容。
8. 根據權利要求1至3中任一項所述的方法，其中，所述多個應用包 括由多個應用伺服器提供的應用。
9. 一種存儲指令的機器可讀介質，所述指令當被執行時實現根據權利要求1至3中任一項的方法。
10. —種裝置，包括應用訪問檢測器，其用於檢測用戶對通信網絡 中提供的多個應用的訪問；和務活管理模塊，其有效耦合到所述應用訪問 檢測器並且用於在關聯於所述用戶的多應用會話記錄中記錄所述用戶對所 述多個應用的每個檢測到的訪問。
11. 根據權利要求10所述的裝置，還包括存儲器，該存儲器有效耦 合到所述會活管理才莫塊，用於存儲所述多應用會話記錄。
12. 根據權利要求10所述的裝置，其中，所述訪問檢測器包括認證 模塊，該認證模塊用於通過對照存儲於用戶資料庫中的信息認證用戶憑證 來檢測用戶對所述多個應用的訪問。
13. 根據權利要求io至n中任一項所述的裝置，還包括接口，該接 口有效耦合到所述訪問檢測器和所述會話管理模塊並且用於接收與所述用 戶對所述多個應用中的一個應用的訪問相關聯的應用訪問信息，其中所述 會話管理模塊還用於確定所接收的應用訪問信息是否符合應用會話策略。
14. 根據權利要求13所述的裝置，其中，所述會話管理模塊還用於 如果所接收的應用訪問信息符合所述應用會話策略則在所述用戶和提供所 述應用的應用伺服器之間傳送所接收的應用訪問信息。
15. 根據權利要求10至12中任一項所述的裝置，還包括用於報告所述應用^"記錄的內容的接口 。
16. 根據權利要求11所述的裝置，其中，所述會話管理模塊用於在 所述存儲器中創建所述應用會話記錄。
17. —種用於管理web服務應用使用的web服務節點，包括根據權 利要求10至12中任一項的裝置。
18. 根據權利要求10至12中任一項所述的裝置，其中，所述多個應 用包括由多個應用伺服器提供的應用
19. 一種存儲數據結構的機器可讀介質，所述數據結構包括通信網 絡用戶的標識符；和指示所述用戶對所述通信網絡中提供的多個應用的訪 問的多個條目。
20.根據權利要求19所述的介質，其中，所述多個應用包括由多個 應用伺服器提供的應用。
全文摘要
公開了一種通信網絡應用活動監視和控制裝置、方法和數據結構。發起對通信網絡中提供的應用的訪問的通信網絡用戶被識別。動態創建並且維持記錄以反映用戶對所述應用和通信網絡中提供的其他應用的訪問。記錄跟蹤用戶的應用活動。建立並執行策略以控制用戶可能在通信網絡中進行的應用活動。與應用訪問限制和規則的一致性可以通過報告記錄來被檢驗並且通過策略執行來被保證。
文檔編號H04L29/06GK101461213SQ200780020672
公開日2009年6月17日 申請日期2007年6月19日 優先權日2006年6月20日
發明者A·戈拉, C·格羅斯納, L·斯特魯布 申請人:阿爾卡特朗訊公司