遠程通信網絡中對資料庫進行集中式數據管理和訪問控制的設備與方法
2023-05-04 07:49:16
專利名稱:遠程通信網絡中對資料庫進行集中式數據管理和訪問控制的設備與方法
技術領域:
本發明涉及遠程通信系統,更具體地說,涉及用於存儲和控制多媒體和/或遠程通信服務網絡內的多個遠程實體對用於存儲用戶和服務信息的多個異構資料庫的訪問的設備與方法。
在挑戰性日益加劇的遠程通信市場上,對服務提供商來說取勝的要素是為最終用戶提供個性化服務的能力。用戶正在期待新的服務和應用,並且,更重要的是,訪問和使用電話、網際網路和多媒體服務的新的和用戶友好的方式。
背景技術:
在由多個服務/內容提供商提供多種服務的當前情況下,在大量的資料庫中分布與用戶、服務和終端文檔(profile)有關的信息,並且相同文檔在兩個或者甚至更多的不同位置重複十分常見。
作為一個實例,訂購了電話服務和網際網路服務(網際網路訪問,IP語音,內容訪問)的用戶通常具有存儲在不同資料庫中的不同文檔。在這種情況下,用戶文檔不是唯一的,因為它至少被切分為「電話文檔」和「網際網路文檔」,此外,不同文檔駐留在不同的資料庫伺服器中。
圖1示出了單個用戶與不同文檔相關的典型情形。兩種不同的服務,電話服務2和網際網路服務4向單個用戶提供服務,每一種服務具有一個用於存儲用戶文檔的專有資料庫。第一資料庫6被電話服務2用來存儲電話文檔,而第二資料庫8則被連接到網際網路服務4,用於存儲用於同一用戶的網際網路文檔。
在如圖1所示的系統配置中,不可能保證與單個用戶有關的信息的一致性和唯一性,事實上,例如,當用戶希望對於傳統呼叫和VoIP會話二者均重新指定至一個特定終端的呼叫時,他不能向兩種服務施加相同的改變。
因此,必須在兩個資料庫上獨立地重複文檔信息的改變,不管這種改變是由用戶還是由網絡/服務管理員作出。因此,這樣一種系統對單個用戶來說不易於使用,並且對網絡/服務管理員來說不易於管理。
還考慮到所提供的服務數目不斷增長,尤其是在多媒體和內容傳送服務領域,顯而易見,用於存儲用戶、服務或終端文檔的資料庫數目的任何增加會在正確管理相關信息方面帶來困難。
在US 2002/0073066中,公開了一個數據經紀(brokerage)系統,用於出售對數據的訪問,諸如存儲在由零售商或者金融機構用來存儲交易信息、存貨信息等的數據倉庫中的數據。在US 2002/0073066中所解決的問題主要是提供數據上的區別視圖,以跟蹤訪問並且管理不同種類的數據。
在US 2002/0073066所公開的系統中,數據的管理被指派給具有剛性結構的數據倉庫,其中,例如,訪問技術不是為不同類型的數據定製的,並且讀取接口允許訪問有限和預定的數據子集。
本申請人已經解決了在多媒體/遠程通信環境下更有效地管理與用戶、服務和終端文檔有關的信息的問題。在提供的服務數目不斷增長並且它們的特性十分頻繁地改變的系統中,必須由服務提供商(例如,商業報價、供應和擔保)和最終用戶(例如,預訂、配置、訪問)將新的服務高度個性化。為此目的,將網際網路應用和其它服務(例如下一代電話)集成以及處理網絡內的用戶、終端與服務文檔和數據的創新方法非常重要。
本申請人觀察到,在下一代遠程通信網絡中,大多數與個人文檔有關的數據在大量不同資料庫中重複。這樣的冗餘不允許最終用戶以及服務/內容提供商以一種有效、安全和可靠的方式來管理這種個人信息。
本申請人的意見是,為了更好地進行數據管理,必須由一個邏輯上集中式的管理系統來管理多媒體/遠程通信網絡中所需的個人文檔。無論如何,個人文檔可以屬於不同的管理域。
考慮到上述,本發明的一個目的是,提供用於集中管理個人文檔的設備和方法,保證對於遠程通信網絡中含有這樣的文檔的資料庫的訪問控制在同一時間的高度安全性。
發明內容
根據本發明,通過邏輯上集中式的系統來達到上述目的,該系統用於管理從支持IP語音、多媒體和網際網路服務的遠程通信網絡內的遠程實體對存儲在本地或者分布式資料庫中的異構文檔的訪問。對含有用戶、服務或終端文檔的資料庫的訪問受到控制和跟蹤;存在與涉及的數據類型有關的多種個性化訪問技術。這樣的方案通常允許數據訪問的更好控制,在安全和記帳處理以及數據訪問方面更加有效。而且,在根據本發明實現的系統中,針對遠程實體所作出的請求的類型以及它們的特權,文檔的外部可視性是個性化的。
現在參照附圖僅藉助於實例對本發明進行說明,在附圖中圖1是現有技術的文檔訪問管理系統的方框圖;圖2是與根據本發明實現的文檔訪問中介器進行交互的服務的示意圖;圖3是根據本發明實現的文檔訪問中介器的詳細方框圖;以及圖4是示出在文檔訪問操作期間文檔訪問中介器的不同層之間的交互的圖。
具體實施例方式
參照圖2的方框圖,根據本發明實現的文檔訪問中介器10向多個服務提供商16、18、20提供對個人文檔的受控和邏輯上集中式的訪問。
如圖2所示,多種服務,以下稱為「遠程實體」,例如IP語音(VoIP)服務16,網際網路服務18以及多媒體服務20和單個文檔訪問中介器10進行交互,以訪問邏輯上集中在單個目錄伺服器12中的各文檔。對目錄伺服器12的所有訪問都由在圖中用方框14表示的多個接口來處理,下面將參照圖3詳細地公開其體系結構。
單個文檔訪問中介器10以靈活的方式管理與用戶、終端和服務有關的信息,將它們從服務專用網絡的分布式資料庫移到邏輯上集中式的倉庫,其中信息普遍被稱為「文檔」。
邏輯上集中式的倉庫的使用通過具有一個在任何時間由不同實體進行修改和讀取的唯一倉庫,來實現信息的一致性。文檔訪問中介器10是一個中介設備,既用於對數據的訪問技術(LDAP,RDBMS,XMLDB等),也用於管理目的(可伸縮性,安全性,可說明性等)。
圖3的方框圖是根據本發明實現的文檔訪問中介器10的詳細方案的方框圖,包括第一組多個資料庫44,46,48和一起被標註為14的一組接口,用於管理和集中控制從遠程實體16,18,20中的任何一個對第一組多個資料庫44,46,48和文檔訪問中介器10外的第二組多個資料庫50的訪問。
第一組多個資料庫包括用戶、服務和終端文檔資料庫44,含有多媒體服務的記帳信息的多媒體記帳資料庫46,含有網際網路服務的記帳信息的網際網路記帳資料庫48,其中,資料庫44含有表徵單個用戶的文檔的個人信息、表徵對不同用戶的服務配置以及網絡中由各用戶使用的終端的信息。
相對文檔訪問中介器10邏輯上或物理上位於遠程位置的第二組多個資料庫50能夠存儲,例如,由第三方服務提供商提供的服務的服務文檔,或者關於移動服務的用戶位置的信息。
該組接口14包括兩個主要的塊,多個適配器26和一個數據提供器24。
適配器26包括與內部資料庫44、46、48和外部資料庫50有關的多個不同適配器,每個適配器能夠管理相應類型的資料庫。每個適配器都是針對特定類型的資料庫定製的,使得每個訪問操作可以獨立於單個資料庫的特定技術而執行。
在圖3中示出3種特定的適配器LDAP適配器38、RDBMS適配器40以及XMLDBs適配器42,然而,適配器的數目和特性可以改變,並且依賴於該系統必須管理的相應資料庫的不同類型。
LDAP適配器38是為了經由LDAP協議在目錄伺服器上讀取和寫入文檔而研製的,用於管理對小量數據進行頻繁訪問特別有效的倉庫。
RDBMS適配器40是為了管理與多媒體會話有關的會話細節記錄而研製的。
XMLDBs適配器42是為了與新一代的XML資料庫連接而研製的,用於管理與網際網路會話有關的會話細節記錄。
數據提供器24是通過遠程接口提供對數據(API)的訪問服務的塊,並且包括下列基本塊—與遠程實體有關的多個應用接口(API)28,每個應用接口能夠管理用於訪問資料庫的不同機制;—驗證單元52;—授權單元37;—記帳/安全單元36;—擁有關於安全政策的信息的安全政策庫64;—擁有關於訪問跟蹤的信息的活動日誌62。
應用接口(API)28是遠程實體16、18、20(客戶機應用)為獲得可用服務而聯繫的接口;API可以被分類為在由授權的應用請求訪問的情況下的可信應用接口30,以及在由未知應用請求訪問的情況下的不可信應用接口32。
應用接口28允許以下列方式訪問資料庫44、46、48和50讀取方式;用於輸入新信息的寫入方式;用於修改現有信息的寫入方式;用於刪除信息的寫入方式以及搜索方式。
對應用接口(API)28的訪問依賴於XML描述符中所包含的多個授權,其允許或拒絕該接口用於請求訪問的遠程實體。
應用接口(API)28可以被分類為—讀取/檢索,涉及數據的讀取操作;事先規定的安全規則影響此類API從不同用戶的使用。
—寫入,涉及數據的寫入操作;事先規定的安全規則影響此類API從不同用戶的使用。
—文檔的生成,涉及數據的寫入操作;事先規定的安全規則影響此類API從不同用戶的使用,通常只有系統管理員被賦予再調用此種接口的資格。
—取消,涉及數據的寫入操作;事先規定的安全規則影響此類API從不同用戶的使用,在特定的情況下,只有系統管理員被賦予再調用此種接口的資格(例如,取消文檔)。
驗證單元52負責識別遠程實體。由運行時間環境提供驗證功能。
授權單元37通過基本要求的驗證以及相應使用授權的管理,負責授權遠程實體使用適配器26。由運行時間環境提供各項基本授權功能,同時需要對於更精細授權機制的擴展。
記帳單元36通過為每一次訪問登記與進行訪問的遠程實體的標識有關的信息,與訪問時間有關的信息,和與訪問過程中交換的數據有關的信息,負責跟蹤對內部資料庫44、46、48和外部資料庫50的訪問;由記帳單元36收集的信息對於實施計費模型來說是有用的。
因此,文檔訪問中介器10包括兩個軟體層24和26,它們允許分離應用接口(API)和與數據倉庫的交互功能、並且在與不同類型的倉庫的交互中,提供十分良好的靈活性。
文檔訪問中介器10的主要功能是—驗證,用於識別連接到中介器的遠程實體。該功能使用Java驗證與授權服務(JAAS)。
—授權,用於允許或拒絕使用特定可用接口;授權是公布的和有計劃的,並且由用於對API的訪問政策的文件描述符(XML描述符)來表示。
—文檔讀取,用於部分地或全部地讀取對應於考慮的實體(用戶/終端/服務)中的一個的文檔;根據存在於適配器中的方法,在實施用於訪問目錄伺服器的LDAP協議的Java命名與目錄接口(JNDI)庫的幫助下進行讀取。如果準備在RDBMS上讀取文檔,則本方法通過根據Java資料庫連接(JDBC,Java Data Base Connectivity)特性而實現的資料庫,向伺服器發出一項SQL查詢。
—文檔生成或刪除;該過程與前面對於「文檔讀取」功能描述的相同;—文檔修改;該過程與前面對於「文檔讀取」功能描述的相同;—用關鍵字檢索;如果在目錄伺服器上進行檢索,則負責該操作的方法安排檢索過濾器並且調用適當的JNDI方法用於目錄查詢;如果在RDBMS上進行檢索,則負責該操作的方法接收安排過濾器所需的值,並將其作為一個參數送往JDBC方法,以便在關係型資料庫中進行檢索。
由訪問中介器10管理的文檔是,例如—用戶文檔,包括個人信息,諸如個人數據(姓名、姓、生日等)和個人帳戶數據(用戶標識、口令字、個人標識符);服務環境的個性化,包括用戶終端的列表、用戶使用的最後一個IP終端、最後呼叫的號碼列表以及帶有相應的使用計數器以跟蹤服務訪問的次數的預訂服務列表;—服務文檔;每個用戶都能夠修改與涉及其使用權的任何訂購服務有關的個人文檔。
—終端文檔,從邏輯上和物理上規定每個被系統識別為屬於該域的終端;這樣的文檔包括分別存儲在目錄伺服器中的兩個不同分支、通用終端和網絡連接終端通用終端分支根據技術(例如具有特殊編解碼器的IP電話)與產品特徵(廠家的特定型號),包含與不同類型的硬體和軟體設備相關的信息;網絡連接的終端分支存儲將該設備「邏輯地」表徵為,例如,IP電話的IP位址以及描述字符串的信息。
—會話細節記錄,規定通往和來自用戶的多媒體會話的蹤跡;它們含有諸如會話的開始/結束日期/時間、主叫和被叫標識、終端標識、QoS信息等的信息。
文檔訪問中介器10根據包括下列各步驟的方法進行操作—從遠程實體16、18、20中的任何一個接收訪問請求;—通過請求訪問的遠程實體的標識等,對遠程實體進行驗證;—通過適於管理訪問資料庫的不同機制的多個應用接口28以及通過與各資料庫有關的多個適配器26,提供對存儲個人文檔的所述資料庫的邏輯上集中式的訪問,每個適配器能夠管理相應類型的資料庫;—通過登記與實施訪問的遠程實體的標識、訪問時間和在訪問過程中交換的數據有關的信息,跟蹤訪問。
最好是,對遠程實體進行驗證的步驟包括通過基本要求的驗證以及相應使用授權的管理,來對遠程實體進行授權。
文檔訪問中介器10可以被實現為電腦程式,包括當所述程序在計算機上運行時,適於執行以上所公開的方法的所有步驟的電腦程式代碼手段。所述電腦程式被收錄在計算機可讀介質上。
圖4的方框圖示出在文檔訪問操作期間,文檔訪問中介器的不同層之間的交互的一個實例。特別是,該圖表示由用戶執行的最近被呼號碼的讀取請求。
以下的操作對應於圖4所示的標號1到121文檔訪問中介器的數據提供器24從客戶機應用接收用戶文檔的一部分的讀取請求,即再調用特定EJB的方法;2數據提供器24通過與安全政策庫64聯繫,驗證請求訪問的實體是否被授權;3數據提供器24從安全政策庫64接收對先前請求的應答;4數據提供器24執行附加的授權任務,並將記帳信息記錄到活動日誌62中;
5適配器層26的接口側從數據提供器24接收讀取請求,並確定該項請求有待於送往哪一個直接訪問對象(DAO,Direct AccessOjbect)類;6適配器層26的具有數據源的接口側接收讀取請求,並通過JNDI庫將其送往目錄伺服器;7目錄伺服器12接收並處理該請求;8,9,10所述數據被送往作出請求的客戶機應用,通過各層返回到所述客戶機應用;11數據提供器24將該項請求的正常或異常終止記錄到活動日誌62中;12數據被送往作出請求的客戶機應用,通過各層返回到所述客戶機應用。
權利要求
1.一種用於存儲個人文檔並用於控制從支持多種服務的遠程通信網絡內的多個遠程實體(16,18,20)對存儲所述個人文檔的資料庫的訪問的設備(10),其特徵在於,所述設備(10)包括第一多個資料庫(44,46,48)和接口(24,26),用於管理和集中控制從所述遠程實體(16,18,20)中的任何一個對所述第一多個資料庫(44,46,48)的訪問以及對第二多個資料庫(50)的訪問,所述接口(24,26)包括—與所述第一(44,46,48)和第二(50)多個資料庫有關的多個適配器(26),每個適配器能夠管理相應類型的資料庫;—與所述多個遠程實體(16,18,20)有關的多個應用接口(28),能夠管理用於訪問資料庫的不同機制;—用於識別所述遠程實體的驗證單元(52);—授權單元(37),用於通過基本要求的驗證以及相應使用授權的管理,授權所述遠程實體(16,18,20)使用所述適配器(26);—記帳單元(36),用於跟蹤對所述第一(44,46,48)和第二(50)多個資料庫的訪問。
2.根據權利要求1的設備,其中,所述記帳單元(36)通過對於每次訪問,登記與作出訪問的遠程實體的標識、訪問時間以及在訪問過程中所交換的數據有關的信息,來跟蹤對所述第一(44,46,48)和第二(50)多個資料庫的訪問。
3.根據權利要求1的設備,其中,所述多種服務包括IP語音或多媒體或網際網路服務。
4.根據權利要求1的設備,其中,所述適配器(26)允許與資料庫的特定技術無關地訪問所述第一和第二多個資料庫。
5.根據權利要求1的設備,其中,對所述應用接口(28)的訪問依賴於XML描述符中所包含的多個授權。
6.根據權利要求1的設備,其中,所述接口(24,26)允許以下列方式訪問所述第一(44,46,48)和第二(50)多個資料庫在由授權的應用請求訪問的情況下,通過可信應用接口(30),以及在由未知的應用請求訪問的情況下,通過不可信應用接口(32)。
7.根據權利要求6的設備,其中,所述接口(24,26)允許以讀取方式訪問所述第一(44,46,48)和第二(50)多個資料庫。
8.根據權利要求6的設備,其中,所述接口(24,26)允許以寫入方式訪問所述第一(44,46,48)和第二(50)多個資料庫,以便輸入新的信息。
9.根據權利要求6的設備,其中,所述接口(24,26)允許以寫入方式訪問所述第一(44,46,48)和第二(50)多個資料庫,以便修改現有信息。
10.根據權利要求6的設備,其中,所述接口(24,26)允許以檢索方式訪問所述第一(44,46,48)和第二(50)多個資料庫。
11.根據權利要求1的設備,其中,所述第一多個資料庫(44,46,48)含有以用戶文檔形式表徵一個用戶的信息。
12.根據權利要求11的設備,其中,所述用戶文檔包括標識、個人數據、愛好、訂購的服務以及使用的終端。
13.根據權利要求1的設備,其中,所述第一多個資料庫(44,46,48)含有以服務文檔形式表徵一種服務的信息。
14.根據權利要求13的設備,其中,所述服務文檔包括表徵針對不同用戶的服務配置的信息。
15.根據權利要求1的設備,其中,所述第一多個資料庫(44,46,48)含有表徵所述多媒體和/或遠程通信服務網絡中所使用的終端的信息。
16.根據權利要求15的設備,其中,所述表徵終端的信息被存儲在含有與各終端的靜態特性有關的信息的通用終端文檔資料庫中,並且被存儲在含有與各終端的動態特性有關的信息的網絡終端文檔資料庫中。
17.一種遠程通信網絡,包括用於存儲個人文檔並用於控制從多個遠程實體訪問存儲所述個人文檔的資料庫的設備,其特徵在於,根據權利要求1至16中的任何一項來實現所述設備(10)。
18.一種用於向支持IP語音和/或多媒體和/或網際網路服務的遠程通信網絡內的多個遠程實體(16,18,20)提供對存儲個人文檔的資料庫的訪問,並且控制所述訪問的方法,其特徵在於,它包括下列步驟—從所述遠程實體(16,18,20)中的任何一個接收訪問請求;—通過識別請求訪問的遠程實體,對遠程實體進行驗證;—通過適於管理訪問資料庫的不同機制的多個應用接口(28)並通過與所述各資料庫有關的多個適配器(26),提供對存儲個人文檔的所述資料庫的邏輯上集中式的訪問,每個適配器能夠管理相應類型的資料庫;—通過登記與實現訪問的遠程實體的標識有關的信息,跟蹤所述訪問。
19.根據權利要求18的方法,其中,跟蹤所述訪問的步驟包括收集關於訪問時間和訪問過程中所交換的數據的信息。
20.根據權利要求18的方法,其中,驗證所述遠程實體的步驟包括通過基本要求的驗證和相應使用授權的管理,對所述遠程實體進行授權。
21.一種電腦程式,包括當所述程序在計算機上運行時,適於執行權利要求17至19中的任何一項的所有步驟的電腦程式代碼手段。
22.根據權利要求21的電腦程式,被收錄在計算機可讀介質上。
全文摘要
一個文檔訪問中介器(10)向多個服務提供商(16,18,20)提供一種對存儲在本地或分布式資料庫(12)中的個人文檔進行受控的和邏輯上集中式的訪問。通過依賴於所涉及的數據類型的多種個性化訪問技術,控制和跟蹤對含有用戶、服務或終端文檔的資料庫的訪問。這樣的方案允許較好地控制數據訪問,通常在安全和記帳處理以及數據訪問方面更加有效。
文檔編號H04L29/06GK1695361SQ02829888
公開日2005年11月9日 申請日期2002年11月15日 優先權日2002年11月15日
發明者馬考·德盧卡, 羅伯託·帕格尼恩, 保羅·塞尼斯 申請人:義大利電信股份公司