ネットワークサービスインフラシステムおよび方法
ネットワークサービスインフラシステムおよび方法が開示されている。サービスネットワーク内で利用可能なサービスネットワークおよびネットワークサービスへのクライアントアクセス用のポリシーは、クライアントゲートウェイで実行される。クライアントゲートウェイで認証および許可されると、サービスネットワークのクライアントはサービスネットワーク内で(1つまたは複数の)独自のネットワークサービスを利用可能にする、サービスネットワークの他のクライアントによって提供されたネットワークサービスを使用する、またはその両方を行うことができる。ポリシーは、サービスネットワーク内で中央管理され、クライアントゲートウェイに分配される。ポリシー、ネットワークサービスに関連する情報、場合によっては他の情報を記憶する様々なレジストリも提供することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、2005年4月14日出願の共通の譲受人の「パブリックおよびプライベートネットワークサービス管理システムおよび方法」という名称の米国特許出願第11/105,601号、および「プライベートネットワーク間のネットワークサービスを管理するシステムおよび方法」という名称の米国特許出願第11/105,821号に関するものである。
【0002】
本発明は概してネットワークサービスに関し、より詳細にはネットワークサービスを提供するインフラに関する。
【背景技術】
【0003】
通信ネットワークを通して情報が分配されるサービスは普通、ネットワークサービスと呼ばれる。いわゆる「ウェブサービス」はネットワークサービスの例であり、公衆インターネットネットワーク上の異なるアプリケーション間で情報を自動的に交換するために使用されている次世代のウェブベースの技術を示している。
【0004】
ウェブサービスは、インターネット上にウェブベースで分配されたアプリケーションを構築するフレームワークである。これらは、多数のグローバル企業間の通信を機械処理するために十分かつ効果的な自動機械を提供する。この自動化は、技術ベースの処理および事業効率を技術会社から小売会社などの世界の主要な非技術会社に提示している。従来の処理技術を使用して処理するためには注文書は$120がかかり、供給業者は倉庫にある返品書を処理するのに数日必要であるが、新規のウェブサービスベースシステムは0.5セントでこれを行うことができ、注文書は数秒で世界中の倉庫に分配される。
【0005】
技術面から、標準インターフェイス上で、ハイパーテキスト転送プロトコル(HTTP)、拡張マークアップ言語(XML)、シンプルオブジェクトアクセスプロトコル(SOAP)などの標準インターネットプロトコルを使用してアクセスすることができるネットワークアクセス可能機能であるという意味において、ウェブサービスはアプリケーションサービスと同様である。
【0006】
ウェブサービスアプリケーションは、公衆インターネット内のあらゆるところから来る可能性があるコードおよびデータの要素で構築されている。例えば、自動供給チェーン管理において、店頭購入は金融代理店によって消去され、返品注文は工場から直接送られ、請求書情報はそれぞれ独自のソフトウェアシステムを備えた本社によって収集される。
【0007】
ウェブサービス技術の真の力はその単純性にある。コア技術は共通の言語および通信発行を処理するだけであり、アプリケーション統合の面倒な仕事を直接は処理しない。ウェブサービスは、多数の信用できない異種システムを相互連結するための遠隔手続呼出し(RPC)技術を機械処理する洗練した機械として見ることができる。ウェブサービスは、データ変換/透明性のためのXML技術、および通信のためのハイパーテキスト転送プロトコル(HTTP)などのインターネット標準を使用することによって多くの新しい技術の最善をとる。
【0008】
ウェブサービスは既に、企業のプライベートネットワーク空間内で成功を実証して、アプリケーションが通信するための標準的方法として高速アクセプタンスを得る。しかし、多くの現在のウェブサービスは企業ネットワーク内のファイアウォールの後ろに配置されたアプリケーションサービルによってホスティングされている。
【発明の開示】
【発明が解決しようとする課題】
【0009】
基本インターネットインフラ上の企業空間内およびその向こうでウェブサービスインターアクションをサポートする努力は、アドホック手法に集中していた。1つの方法によれば、ウェブサービスが提供される異なる企業は、互換アプリケーション、共通の独占ソフトウェア、カスタムインターフェイスおよびAPI、および共通の通信プロトコルを使用することに同意しなければならなかった。企業はまた、データ安全性、およびあらゆる安全通信が管理される方法に同意しなければならなかった。加えて、各企業は、ポイント間の方法で企業トラフィックをアプリケーション間に流すように内部ファイアウォールを開かなければならなかった。
【0010】
企業環境内に新規のウェブサービス企業パートナを加えることは常に、難しく、高額で、時間がかかる処理であった。というのは、潜在的な新規企業パートナは異なるセットの規則および基準を有する傾向があるからである。新規パートナのアプリケーションへの変更、および新規アプリケーションを提供する企業へのカスタムコード修正がしばしば必要である。
【0011】
企業空間に対向する通信ネットワークプロバイダの空間をターゲットとした、端末間バーチャル(プライベート)エクストラネットウェブサービスアーキテクチャを展開および管理するための現在知られている展開および管理解決法はない。例えば、XMLバーチャルプライベートネットワーク(VPN)装置は存在するが、これらの装置はファイアウォールの背後の企業ネットワーク内の実施を意図している。
【0012】
様々なポリシー/セキュリティ/アドミッション制御要件を有する多くの企業は、同じコアネットワークを通してウェブサービスを提供または消費したい場合に、プロバイダのコアマーケット、またはより小容量のハードウェアベース企業規模製品を処理する既存のソフトウェアベース安全製品はコアネットワーク要件に匹敵しない。サーバベースアーキテクチャおよびハードウェアXML装置を含む企業規模製品はまた、通信ネットワークコア機器の高いアベラビリティおよび速度要件を普通は満たしていない。
【0013】
本発明の実施形態は、特定の通信ネットワークサービスプロバイダがネットワークサービス、図ではウェブサービスをネットワーク常駐サービスとして提供することを可能にする新規のネットワークサービスを提供する。
【課題を解決するための手段】
【0014】
いくつかの実施形態では、この新規ネットワークサービスはいわゆるエクストラネットサービスアーキテクチャ内で提供される。エクストラネットアーキテクチャは、ネットワークサービスプロバイダによって管理しながら、閉グループのメンバに提供される「サービスのネットワーク」を計画する。エクストラネットサービスモデルは、アプリケーションレイヤ解決法、ネットワークプロバイダのインフラの上部に構築されたオーバーレイネットワークであることが好ましい。
【0015】
本発明の一態様によれば、サービスネットワーク内にネットワークサービスを提供する装置は、クライアントによって提供されたネットワークサービスをサービスネットワークの別のクライアントに対して利用可能にする、サービスネットワークの別のクライアントによって提供されたネットワークサービスを使用する、またはクライアントによって提供されたネットワークサービスをプライベートサービスネットワークの別のクライアントに対して利用可能にもし、サービスネットワークの別のクライアントによって提供されたネットワークサービスを使用もするために、サービスネットワークの認証ポリシーにしたがってサービスネットワークへのクライアントアクセス用の規則を施行し、認証されたクライアントがサービスネットワークへアクセスすることを可能にするように構成されたポリシー施行モジュールを含んでいる。
【0016】
ポリシー施行モジュールはさらに、認証されたクライアントがネットワークサービスをサービスネットワーク内であらゆる他のクライアントに対して利用可能にし、ネットワークサービスに関連するそれぞれのサービスポリシーにしたがって別のクライアントによって提供されたネットワークサービスを使用することができるように構成することができる。
【0017】
装置はまた、認証されたクライアントとサービスネットワークの間、サービスネットワーク内、およびサービスネットワークとサービスネットワークの宛先クライアントの間の安全な端末間通信を施行するセキュリティモジュールを備えることができる。
【0018】
いくつかの実施形態では、セキュリティモジュールは規則に基づく認証および許可アクションを通信トラフィックに適用し、認証および許可アクションに応じて通信トラフィックを通過させるまたは落とす。追加のセキュリティ規則はまた、通信トラフィックに適用することもできる。
【0019】
装置はまた、ポリシー施行モジュールに動作可能に結合され、制御トラフィックまたはデータトラフィックとして認証されたクライアントに関連するトラフィックを分類し、サービスレジストリ内での公開のために認証されたクライアントによって提供されるネットワークサービスに関連する情報を含む制御トラフィックを伝送し、次の処理のためにデータトラフィック内のSOAP情報を変更するように構成されたシンプルオブジェクトアクセスプロトコル(SOAP)プロキシモジュールを含むことができる。
【0020】
ユニバーサルディスクリプションディスカバリアンドインテグレーション(UDDI)プロキシモジュールはまた、SOAPプロキシモジュールに動作可能に結合することができる。この場合、SOAPプロキシモジュールはさらに、受けたUDDI制御トラフィックを特定し、次の処理のためにUDDIプロキシモジュールに受けたUDDI制御トラフィックを転送するように構成されている。受けたUDDI制御トラフィックは、ネットワークサービスルックアップに対する要求を含むことができる。UDDIプロキシモジュールは、要求のローカルまたはリモート解決を処理し、各要求を開始させたクライアントに反応する。
【0021】
サービス処理モジュールはまた、SOAPプロキシモジュールに動作可能に結合し、SOAPプロキシモジュールでデータトラフィックを交換するように構成することができる。
【0022】
ポリシー施行モジュールは、認証されたクライアントがサービスレジストリに対してネットワークサービスに関連する情報を公開し、サービスレジストリにアクセスして別のクライアントによって提供されたネットワークサービスを使用することを可能にする。ネットワークサービスに関連する情報は、サービスネットワークの別のメンバによる使用のためのネットワークサービス用のアクセス規則を特定するアクセス情報を含むことができる。サービスレジストリからのサービスネットワークの別のクライアントによって提供されたネットワークサービスに関連する情報へのアクセスは、その別のクライアントによって特定されるアクセス規則によりポリシー施行モジュールによって制御される。
【0023】
いくつかの実施形態で提供される転送/ルーティングモジュールは、サービスネットワーク内の通信トラフィックをルーティングし、レイヤ1転送方法、レイヤ2転送方法、インターネットプロトコル(IP)ルーティング、および拡張マークアップ言語(XML)ルーティングの少なくとも1つをサポートする。
【0024】
サービスネットワークの変換ポリシーによる認証されたクライアント、およびサービスネットワークへの転送のためのそれぞれのフォーマット間の通信トラフィック変換などの他の機能はまた、ポリシー施行モジュールによって実行または管理することができる。
【0025】
この装置はまた、例えばサービスネットワークを提供する通信システムのクライアントゲートウェイ内で実施することができる。システムのネットワークコントローラは、クライアントゲートウェイによって施行されるポリシー、および利用可能なネットワークサービスのレジストリを管理するクライアントゲートウェイに動作可能に結合されている。
【0026】
サービスネットワーク内で利用可能なネットワークサービスに関連するポリシーを管理する装置も提供され、サービスネットワークのクライアントがこれを通してサービスネットワークにアクセスするクライアントゲートウェイに動作可能に結合されるクライアントゲートウェイインターフェイス、およびポリシーマネージャを備えている。ポリシーマネージャは、クライアントゲートウェイインターフェイスに動作可能に結合され、クライアントゲートウェイにネットワークサービスポリシーによるサービスネットワークのクライアントによるネットワークサービスへのアクセスを制御させるように、クライアントゲートウェイインターフェイスを通してクライアントゲートウェイへのそれぞれのネットワークサービス用のアクセス制御を特定するネットワークサービスポリシーを分配するように構成されている。
【0027】
ポリシーマネージャはさらに、サービスネットワークでのクライアントの認証、およびクライアントゲートウェイによってデータトラフィックに適用されるフォーマット変換の少なくとも1つを管理する。
【0028】
いくつかの実施形態では、ネットワークサービスポリシーはネットワークサービスポリシーレジストリ内に記憶されたポリシーを含み、ポリシーマネージャはさらにネットワークサービスポリシーレジストリを維持し、ネットワークサービスポリシーレジストリ内に、ネットワークサービスが提供されるサービスネットワークのクライアントから受けた既存のネットワークサービスポリシーを統合するように構成されている。
【0029】
この装置はまた、クライアントゲートウェイインターフェイスに動作可能に結合され、サービスネットワークによりクライアント通信の安全性を管理するように構成されたセキュリティマネージャと、サービスネットワーク内で利用可能なネットワークサービスのレジストリ、サービスタイムアウト情報、拡張マークアップ言語(XML)スキーマ、サービスコントラクト、サービス品質(QoS)パラメータ、サブスクリプション情報、アドレス指定情報、請求書作成情報、サービス内容合意(SLA)監視情報、トランザクショナルネットワークサービスアクティビティ監視情報、アクティビティログ、パフォーマンス監査情報、および例外警告の少なくとも1つを管理するように構成されたレジストリマネージャと、クライアントゲートウェイインターフェイスに動作可能に結合され、クライアントゲートウェイによって捕捉された監査レコードを受けて管理するように構成されたシステムマネージャのいずれかまたは全てを含むこともできる。
【0030】
ポリシー管理装置は、例えば、ネットワークサービスプロバイダによって提供されたプライベートネットワークサービスがクライアントゲートウェイを通してネットワークサービスコンシューマにアクセス可能とされたサービスネットワークを提供する通信システムのネットワークコントローラ内で実行することができる。
【0031】
サービスネットワーク内で利用可能なネットワークサービスを管理する装置はまた、本発明の別の態様により提供され、サービスネットワークのクライアントがサービスネットワークにアクセスするクライアントゲートウェイに動作可能に結合されるクライアントゲートウェイインターフェイスと、クライアントゲートウェイインターフェイスに動作可能に結合され、サービスレジストリ内の情報に関する要求をクライアントゲートウェイから受け、それに応じて要求された情報を提供し、クライアントゲートウェイからサービスネットワーク内で利用可能にされるネットワークサービスに関連する情報を受け、サービスレジストリ内の受けた情報を公開し、ネットワークに関連するサービスレジストリ内の情報の変更に対するサブスクリプションをクライアントゲートウェイから受け、サブスクリプションに応じた変更に通知を送信するように構成されたレジストリマネージャとを備えている。
【0032】
いくつかの実施形態では、通信システムは、装置を含むネットワークコントローラと、サービスレジストリを記憶するためにネットワークコントローラに動作可能に結合されたメモリと、サービスネットワークの少なくとも1つのクライアントおよびメモリに動作可能に結合され、少なくとも1つのクライアントによってサービスレジストリ内で公開されたネットワークサービスへのアクセスを制御するように構成されたクライアントゲートウェイとを備えている。
【0033】
本発明のさらに別の態様によるサービスネットワーク内にネットワークサービスを提供する方法は、プライベートサービスネットワークのクライアントを認証および許可するステップと、クライアントが許可された場合に、クライアントによって提供されたネットワークサービスをサービスネットワーク内で利用可能にする、またはクライアントが許可されるサービスネットワークの別のクライアントによって提供された特定のネットワークサービスまたはネットワークサービスのグループを使用するようにクライアントがサービスネットワークにアクセスすることを可能にするステップとを含んでいる。
【0034】
ネットワークサービスを利用可能にする動作は、サービス公開のためにサービスネットワークとの接続を開始するステップを含むことができる。クライアントがサービスネットワークとアクセスすることを可能にする動作は、ターゲットのネットワークサービスとの接続を開始し、ターゲットのサービスへ要求を送信し、そこから回答を受信することによってターゲットのネットワークサービスをクライアントが使用することを可能にするステップを含むことができる。可能にする動作はまた、クライアントがネットワークサービスのレジストリを参照して、特定のネットワークサービスまたはネットワークサービスのグループ用の情報にアクセスする、または特定のネットワークサービスまたはネットワークサービスのグループ用のレジストリレベルでの変更にサブスクライブすることを可能にするステップを含むことができる。
【0035】
ネットワークサービスアベラビリティは、ネットワークサービスのサービスポリシーにより制御することができる。この場合、可能にするステップは、クライアントによる使用を許可する関連するサービスポリシーを有するネットワークサービスを決定するステップを含むことができる。
【0036】
本発明の他の態様および特性は、その特定の例示的実施形態の以下の説明を参照して当業者には明らかになるだろう。
【発明を実施するための最良の形態】
【0037】
次に、本発明の実施形態の例を添付の図面を参照してより詳細に説明する。
【0038】
図1は、本発明の実施形態を組み込んだ通信システムのブロック図である。通信システム10は、企業システム12、22と、モバイルエンドユーザシステム13と、クライアントゲートウェイ16、26と、サービスネットワーク20と、全体を18で示すデータトラフィックスイッチおよびルーティングコンポーネントと、ネットワークコントローラ28とを備えている。
【0039】
多くの企業システム12、22および/またはモバイルエンドユーザシステム13などのエンドユーザシステムをクライアントゲートウェイ16、26に接続することができ、また多くのクライアントゲートウェイ16、26がサービスネットワーク20の境界にある可能性があるが、複雑にするのを避けるためにこれらのコンポーネントのそれぞれの例示的な実施例のみを図1に示した。例えばサービスネットワーク20を最初に展開した場合に単一の企業システム12、22および単一のクライアントゲートウェイ16、26のみが設けられている実施も考えられる。したがって、図1のシステムと、他の図の内容は単に例示的な目的を意図したものであって、本発明は図面にはっきりと示し、本明細書に記載した特定の例示的な実施形態に限るものではないことを理解すべきである。
【0040】
企業システム12、22は、サービスネットワーク20全体を通して提供および管理されたウェブサービスアプリケーションを提供できるか、使用できるか、または提供も使用もすることができるネットワークを示している。普通の設置では、企業システムは企業内に入る外部アクセス制御を提供し、およびフィルタ外部トラフィックをフィルタリングするためのファイアウォール、トラフィックスイッチおよびルーティング機器、ネットワークサービスをサポートする1つまたは複数のサーバ、およびユーザ端末、図ではパソコンなどのコンポーネントを備えている。企業プライベートネットワークは、企業システム12の一実施例である。
【0041】
モバイルエンドユーザシステム13は、特定の企業システムの一部ではないクライアントシステムの例示的なものである。エンドユーザシステムは、図示するように、移動可能であっても、または固定でもよい。モバイルエンドユーザシステム13は、例えばウェブサービスモバイルゲートウェイを通してクライアントゲートウェイ16に接続することができる。モバイルエンドユーザシステム13と、固定エンドユーザシステムは代わりに、クライアントゲートウェイ16に物理的に接続することができる。ポータブルコンピュータシステムは、アクセスネットワーク内での異なる位置および物理的接続によりクライアントゲートウェイに接続することができるという点において移動可能である。
【0042】
当業者は、ネットワークサービスを提供および/または使用する多くの異なるタイプの企業システムおよびエンドユーザシステムに詳しいだろう。本発明の実施形態は、どのようにこれらのサービスが実際に企業システム12、22内でサポートされているか、またはモバイルエンドユーザシステム13、したがって企業システム12、22などのエンドユーザシステムで使用されているかに対して、企業環境の外側でこのような企業ネットワークサービスを提供および使用することに主に関し、その操作を本発明の適切な態様に必要な範囲で本明細書で簡単にのみ説明する。
【0043】
企業システム12、22およびモバイルエンドユーザシステム13内で、例えばソフトウェアアプリケーションとして実行することができる仮想エクストラネットサービスポータルは、エンドネットワークサービスプロバイダおよびコンシューマがサービスネットワーク20と相互作用することを可能にする。サービスポータルは、ユーザがサービスネットワーク内にログインし、フェデレーション識別または別の認証スキームによりサービススキームで認証することを可能にし、またエンドユーザがネットワークサービスを提供および/または消費する方法に実質的に影響を与えることなく、様々なサービスリストの表示などの他の追加の能力を可能にすることもできる。
【0044】
接続14、15、24は図1に示すように直接接続、または中間コンポーネント、および場合によってはアクセスネットワークと本明細書で全体的に呼ぶ他の通信ネットワークを横切る間接接続であってもよい。しかし、本発明は企業システム12、22、モバイルエンドユーザシステム13、およびクライアントゲートウェイ16、26の間のネットワーク接続、またはあらゆる他の特定のタイプの接続に限るものではない。接続14、15、24はしたがって、直接、間接、有線、および無線接続のいずれかを含むことができる。
【0045】
サービスネットワーク20へのアクセスは、クライアントゲートウェイ16、26によって企業システム12、22およびモバイルエンドユーザシステム13に提供される。クライアントゲートウェイ16、26は、サービスネットワークプロバイダインフラ内のエッジデバイスであり、サービスネットワーク20によって提供される仮想エクストラネットサービス内のゲートウェイを示している。各クライアントゲートウェイ16、26は基本的に、例えば、ネットワークサービスおよびXML「スタンダード」と、新規特性に対するプロキシをサポートするウェブサービスゲートウェイ機能を実行するための安全ネットワークサービスプロキシアプライアンスである。一実施形態によると、クライアントゲートウェイ16、26はハードウェアを使用して少なくとも部分的に実施される高パフォーマンスデバイスであり、サービスネットワークプロバイダによって展開するための埋め込みソフトウェアで本明細書に開示されるような操作に対して構成されている。クライアントゲートウェイ16、26の例示的な実施例を、図2を参照して以下に詳細に説明する。
【0046】
2つのタイプのサービスプロバイダがシステム10内に含まれていることは前述のことから明らかだろう。ネットワークサービスは、企業システム12、22の一方または両方によって提供される。サービスネットワーク20は、別のサービスプロバイダによって提供される。企業システム用のネットワークサービスプロバイダはしたがって、ネットワークサービスを提供し、サービスネットワーク20のプロバイダはネットワークサービスプロバイダに、ネットワークサービスプロバイダが(1つまたは複数の)ネットワークサービスを独自のプライベートシステムの外側にあるネットワークサービスコンシューマによる使用で利用可能にすることができるサービスのネットワークを実行する別のサービスを提供する。ネットワークサービスのプロバイダは、本明細書では基本的に、ネットワークサービスプロバイダと呼ばれ、サービスネットワーク20のプロバイダはサービスネットワークプロバイダと呼ばれる。したがって、ネットワークサービスプロバイダは1つまたは複数のネットワークサービスを提供し、サービスネットワークプロバイダはこれらのネットワークサービスを、図では仮想エクストラネットサービスモデル内で内部で管理し、外部で提供することを可能にする。多くの実施では、サービスネットワークプロバイダはまたサービスネットワークが構築された下層通信ネットワークを所有または操作することが期待されているが、これは本発明の全ての実施形態に当てはまる必要はない。
【0047】
ネットワークコントローラ28は、サービスマネージャの制御平面機能性を提供し、通信ネットワークのオペレータによって展開される、ネットワーク規模のデバイス、図ではエッジルータ用の専用カードまたは専用XMLアプライアンスとして実行することができる。仮想エクストラネットサービスを管理し、仮想エクストラネット内で公開された全てのウェブサービス、ポリシー、サービス内容合意(SLA)、他のネットワーク監視データ用の中央格納庫をホスティングし、端末間ネットワークサービスアプリケーション用のポリシーを安全化、管理、提供および記憶するのに使用される。ネットワークコントローラ28は、クライアントゲートウェイ16、26と同様に、図3を参照して例示的な実施例によって、以下にさらに詳細に説明する。
【0048】
データトラフィックは、クライアントゲートウェイ16、26、および全体を18で示すデータスイッチおよび/またはルーティング機器を通してサービスネットワーク20を横切る。制御/管理トラフィックはネットワークコントローラ28によって処理され、データトラフィックはクライアントゲートウェイ16、26によって、そこからスイッチ/ルーティングコンポーネント18によって処理される。
【0049】
サービスネットワーク20は、仮想エクストラネットアーキテクチャとして実行することができる。一実施形態では、仮想エクストラネットは、例えば供給者(サプライヤ)、製造供給者(ベンダ)、パートナ、消費者、または他の企業を含む多数の企業と企業の情報または事業の一部を安全に共有するように、例えばインターネット技術および下位レイヤ1、2、3および4技術を使用するプライベート管理サービスネットワークの一種として、基本ネットワークプロバイダインフラ上に構築されたアプリケーションオーバーレイネットワークを示している。
【0050】
オーバーレイネットワークはこの場合、XMLルータデバイスで示される、レイヤ1または2転送、IPルーティングおよび/またはアプリケーションレベルルーティングを使用して実行することができる仮想ネットワークファブリックを示している。仮想エクストラネットネットワークは、同期通信、例えばREQUEST/RESPONSE、および非同期通信に対する接続性および機構を提供することができる。
【0051】
サービスネットワーク20、23の仮想ネットワーク内のアプリケーションレベルオーバーレイは、XMLルータなどのアプリケーションレベルルータを使用して実施することができる。アプリケーションレベルルータは、下層通常ネットワーク機器を使用してだが、互いにおよびアプリケーションレイヤでのクライアントゲートウェイと通信する。オーバーレイネットワークは普通、信頼性のあるマルチキャストを実行するように、伝送制御プロトコル(TCP)などの信頼性のあるポイント間バイトストリームを使用する。サービスネットワーク20をオーバーレイとして構築することにより、サービスネットワーク20を従来のプライベートネットワークサービス共有技術と比べて比較的簡単に変更および展開することが可能である。オーバーレイサービスネットワークはまた、XMLパケットを効果的にルーティングすることができるロバストメッシュを構築する効果的な方法である。
【0052】
本発明が属する技術分野の当業者は、アプリケーションレイヤネットワークをオーバーレイすることができる多くの異なるタイプの通信ネットワークに詳しいだろう。本発明は、いかなる方法でもあらゆる特定のタイプの下層通信ネットワークに限るものではない。
【0053】
また、本発明の実施形態はオーバーレイネットワークの代わりに、より下位レイヤの技術を使用して実施することができることを理解すべきである。オーバーレイネットワークアーキテクチャは、サービスネットワーク20の可能な実施の一例である。
【0054】
操作中、サービスネットワーク20は企業システム12、22のいずれか一方によって提供されるネットワークサービスを、他の企業システム内のユーザ、およびモバイルエンドユーザシステム13などのサービスネットワーク20の他のメンバとアクセス可能にすることを可能にする。サービスネットワーク20によって実行されるサービスは、それぞれ通信プロトコルおよび管理機能をサポートする、2つの個別のタイプのネットワーク要素、クライアントゲートウェイ16、26およびネットワークコントローラ28によってサポートされる。
【0055】
サービスネットワーク20のフレームワークは、通信プロトコル、サービス記述、およびサービスディスカバリを含む3つの領域に分割することができる。一実施形態では、サービスネットワーク20は、これらの領域のそれぞれに対して開発された既存のスタンダードおよび仕様を使用する。
【0056】
例えば、通信プロトコルの領域では、SOAPはウェブクライアントとウェブサーバアプリケーションの間でウェブサービスメッセージをトランスポートするのに使用することができる1つの標準プロトコルである。SOAPはまた、使用されているルーティングおよびセキュリティ機構に関する追加情報の伝送を行う。
【0057】
ウェブサービス記述言語(WSDL)は、ウェブサービスメッセージの記述を行い、ネットワークサービス技術に対する標準化された解決法の実施例を示すXMLベース言語である。
【0058】
これらのウェブサービスプロトコル(SOAPおよびWSDL)は、カスタムコードを必要とすることなく、あらゆるプラットフォーム上のあらゆるところで機能性をバインドおよび実行する能力およびメッセージング機器を提供する。
【0059】
1つのよく知られているサービスディスカバリ機構は、ユニバーサルディスクリプションディスカバリアンドインテグレーション(UDDI)である。UDDIは、企業およびアプリケーションが、インターネット上でウェブサービスをすばやく見つけることを可能にし、操作レジストリを維持することを可能にする。異なる企業からのUDDIリスト利用可能ウェブサービスは、その記述、ロケーション、サービス記述、関連するアクセスリストおよびセキュリティレベルを与える。
【0060】
本明細書で言及され、本発明の実施形態を実施するのに使用することができる他のウェブサービス基準は、信頼性のあるメッセージング(WS信頼性)、ポリシー(WSポリシー)、およびフェデレーション識別(WSフェデレーション)に関する標準を含んでいる。
【0061】
上記仕様および基準がよく知られているが、本発明の実施形態によればサービスのネットワークを提供するこれらの基準の使用は知られていない。
【0062】
上に簡単に説明したように、クライアントゲートウェイ16、26は、サービスネットワーク20によって提供された仮想エクストラネットサービスのクライアント用のサービス運搬ポイントである。クライアントゲートウェイ16、26はまた、プライベートエクストラネットサービスへの安全なアクセスを提供して、図1のサービスのプロバイダおよびクライアントの両方、企業システム12、22、およびモバイルエンドユーザシステム13を保護する。
【0063】
サービスネットワーク20を通したクライアントゲートウェイ16、26間の通信は、安全であることが好ましい。WSセキュリティ、XML暗号化、およびXML署名などの標準ベースセキュリティ技術を使用して、企業システム12、22、および場合によってはモバイルエンドユーザシステム13に対して普通は既に確立された現行の企業入口および出口証明書を活用しながら、安全通信を提供することができる。これらの標準ベース技術と、当業者に自明である他の技術は、企業システム12、22内の認証されたサービスコンシューマ、およびモバイルエンドユーザシステム13が仮想エクストラネットサービスネットワーク20に参加することができることを保証する。
【0064】
クライアントゲートウェイ16、26はまた、入ってくる通信トラフィックデータを、ネットワークコントローラ28に転送される制御トラフィック、およびコンポーネント18を通して宛先に向かって転送されるデータトラフィックに分類および分割する。
【0065】
普通、ウェブサービスアプリケーションなどのネットワークサービスの潜在的コンシューマは、存在すると知られているネットワークサービスの使用を行うことしかできない。したがって、ネットワークサービスプロバイダが潜在的コンシューマに対するネットワークサービスの存在と通信することが望ましい。これは、例えばレジストリに対してネットワークサービスを公開することによって達成することができる。図1のシステム10では、クライアントゲートウェイ16、26により、企業システム12、22がサービスネットワーク20に対してそれぞれの内部ネットワークウェブサービスを公開することを可能にする。クライアントゲートウェイ16、26はまた、企業システム12、22およびモバイルエンドユーザシステム13が、サービスネットワーク20の他のメンバによって提供された外部ネットワークサービスを消費することを可能にする。
【0066】
本明細書にさらに詳細に開示するように、企業システム12、22によって提供されたサービスがサービスネットワーク20の他のメンバに利用可能にされる範囲は、クライアントゲートウェイ12、22およびネットワークコントローラ28によって制御することができる。
【0067】
ネットワークサービスプロバイダはしたがって、サービスネットワーク20の他のメンバによる使用のためにサービスネットワーク20に対して内部ネットワークサービスを公開することができる。多くの実施では、サービスネットワーク20および各企業システム12、22は、安全プライベートネットワークであることが期待され、接続14、15、24上の通信も安全である。これは、安全トンネル技術を使用して達成することができ、その例は当業者にはすぐに分かるだろう。クライアントゲートウェイ16、26のアクセスおよびネットワーク側の両方での安全通信は、サービスネットワーク20のメンバに利用可能なプライベートネットワークサービスがサービスネットワーク20のメンバによってのみ提供され、サービスネットワーク20のメンバによって消費することしかできない安全レベルを提供する。
【0068】
ネットワークサービスプロバイダおよびコンシューマによるサービスネットワーク20との通信が、クライアントゲートウェイ16、26を横切るので、クライアントゲートウェイ16、26はまた、例えば規則およびポリシーコンプライアンスを維持するために、ローカルでおよび/またはネットワークコントローラ28によって使用することができる包括的監査記録を捕捉することができる。監査記録はまた、あるいは代わりに、コンシューマに対するサービスチャージを認めるためのマイクロ請求書作成能力を有する請求書作成システムなどの他のコンポーネントまたはシステムによって使用することができる。
【0069】
ネットワークコントローラ28は、サービスネットワーク20に対して中央制御平面機能を与え、したがって、ネットワークサービスグローバル格納庫を維持する主な責任を有するネットワークサービスマネージャの機能性を実施する。クライアントゲートウェイ16、26と同様に、ネットワークコントローラ28は、サービスネットワークプロバイダによる展開のために標準ベースソフトウェアを備えた高パフォーマンスハードウェアベースデバイスとして実施することができる。ネットワークコントローラ28は、端末間ネットワークサービスアプリケーション用ポリシーを保護、管理、提供、および施行するために、また利用可能なネットワークサービスのリストを表示および管理するために、サービスネットワーク20の仮想エクストラネットサービスを管理するために使用される。ネットワークコントローラ28はサービスネットワーク管理実体であり、クライアントゲートウェイ16、26は実際のデータに関するポリシーおよびセキュリティ規則を施行する。データトラフィックは、クライアントゲートウェイ16、26を通して図1に18で示すプロバイダのコアネットワークを横切り、ネットワークコントローラ28は制御および管理トラフィックを処理する。
【0070】
ネットワークコントローラ28は、ロケーション、所有権、アクセスレベルグループ、サービスリスト、およびネットワークサービスの他の基本的特徴などの情報のネットワークウェブサービス記憶および管理、中央ポリシー格納庫および権利管理、セキュリティ仕様、例えばエンドビジネス間トランザクションに適切な難しいサービス品質(QoS)要件などのSLA要件、およびクライアントプロファイル、トランザクション監査サービス、ログなどのものに対する追加の格納庫を含む、コア機能の少なくともサブセットを実施することが好ましい。
【0071】
端末間トランザクションセキュリティ、メッセージトランスポートの信頼性、および識別管理を提供することができるように、ネットワークサービスプロバイダおよびサービスネットワークプロバイダは通常、1セットの組み合わせた管理機能を提供するように中間グラウンド上で接触しなければならないだろう。ネットワークコントローラ28は、クライアントゲートウェイ16、26と合わせて、サービスネットワーク20のエッジで同じ機能を提供する標準ベースプロキシモジュールを備えた各企業のプライベート管理方法およびツールに代えることによって、企業システム12、22の負担を取ることができる。
【0072】
ネットワークコントローラ28はまた、ローカル企業アプリケーションを識別プロバイダサービス、XMLデジタル署名検証サービス、XMLスキーマインテグリティなどの特定のセキュリティ態様を提供することから解放することによって、いくつかのセキュリティ機能をエクストラネットに委任することを可能にすることもできる。仮想エクストラネットサービスを使用することによって、企業内および間のアプリケーションインテグレーションはより簡単および効率的になり、エンドコンシューマビジネスアプリケーションはより見えるようになり、企業システムへのパートナの追加に関連する費用および複雑性が少なくなる。
【0073】
ネットワークコントローラ28はまた、サービスネットワーク20の全てまたは選択したメンバへサービスネットワーク20内の内部ネットワークサービスのリストを安全に提供する手続きを管理する。
【0074】
クライアントゲートウェイ16、26およびネットワークコントローラ28の操作を、図2および3を参照して以下にさらに詳細に説明する。
【0075】
クライアントゲートウェイ16、26を最初に考えると、図2は例示的クライアントゲートウェイのブロック図である。クライアントゲートウェイ30は、サービスネットワークインターフェイス32と、アクセスネットワークインターフェイス34と、インターフェイス32、34およびメモリ37に動作可能に結合されたポリシー施行モジュール36と、ポリシー施行モジュール36およびメモリ37に動作可能に結合されたセキュリティモジュール38と、インターフェイス32、34、ポリシー施行モジュール36、セキュリティモジュール38、およびメモリ37に動作可能に結合されたSOAPプロキシモジュール42と、SOAPプロキシモジュール42およびメモリ37に動作可能に結合されたデータコレクタモジュール40と、ポリシー施行モジュール36、セキュリティモジュール38、SOAPプロキシモジュール42、およびアクセスネットワークインターフェイス34に動作可能に結合されたUDDIプロキシモジュール41と、ポリシー施行モジュール36、セキュリティモジュール38、およびSOAPプロキシモジュール42に動作可能に結合されたサービス処理モジュール43と、サービス処理モジュール42、サービスネットワークインターフェイス32、およびアクセスネットワークインターフェイス34に動作可能に結合された転送/ルーティングモジュール44とを備えている。このような接続は混乱を避けるために図2に明示的には示していないが、クライアントゲートウェイ30の他のコンポーネントのいずれかまたは全てを、メモリ37および/またはデータコレクタモジュール40に動作可能に結合することができることを理解すべきである。
【0076】
アクセスネットワークインターフェイス34は、これを通してクライアントゲートウェイ30が企業システム、または他の形のネットワークサービスプロバイダまたはコンシューマに接続するリモートアクセスポイントを示している。図2ではアクセスネットワークインターフェイスとして示されているが、ネットワークサービスプロバイダおよびコンシューマは、必ずしもネットワーク接続によりクライアントゲートウェイと通信する必要はない。したがって、インターフェイス34は、厳密にネットワーク接続であってもなくてもよい、アクセス接続を通してサービスネットワークのメンバにインターフェイスを提供することを理解すべきである。
【0077】
アクセスネットワークインターフェイス34の構造および操作は、クライアントゲートウェイ30がそのクライアントと通信する接続のタイプに左右される。普通、アクセスネットワークインターフェイス34は、通信媒体と通信信号を交換する物理的コンポーネントと、通信信号を生成および処理するハードウェアおよび/またはソフトウェア実行コンポーネントとを備えている。このようなインターフェイスの様々な実施形態は当業者には自明のことであろう。
【0078】
一実施形態によれば、アクセスネットワークインターフェイス34は、サービスネットワーク20内に接続しようとするクライアントに対するセキュリティトンネル終端を行う(図1)。仮想ローカルエリアネットワーク(VLAN)トンネル、ポイントツーポイントプロトコル(PPP)、マルチプロトコルラベルスイッチング(MPLS)、およびIPセキュリティ(IPSec)は全て、クライアントと通信するためにアクセスネットワークインターフェイス34によって使用することができるプロトコルの例である。他のプロトコルおよび通信スキームは、当業者に自明のことであろう。
【0079】
メモリ37は、情報を記憶するための、固体メモリデバイスなどの1つまたは複数のメモリデバイスを備えることができる。移動可能および/または取外可能記憶媒体と合わせて使用するメモリデバイス、および異なるタイプの多数のメモリデバイスを含む他のタイプのメモリデバイスはまた、メモリ37として提供することができる。クライアントゲートウェイ30内でメモリ37として実行される1つまたは複数のメモリデバイスのタイプは、設計の問題であり、クライアントゲートウェイ30が中で実行される機器の特定のタイプに左右される。例えば通信機器用回路カードは通常、メモリ37などの揮発性または不揮発性固体メモリデバイスである。
【0080】
本明細書を読み進めるとともに明らかになるように、メモリ37内に記憶された情報は、それぞれの機能を行う際にクライアントゲートウェイ30の機能コンポーネントによって使用することができる。機能コンポーネント36、38、40、41、42、43、44のいずれかまたは全ては、メモリ37内に記憶された情報にアクセスすることができる。同様に、混乱を避けるために図2にはメモリ37とインターフェイス32、34の間の接続が示されていないので、これらのインターフェイスまたはその内部コンポーネントはまたメモリ37と相互作用することができる。
【0081】
機能コンポーネント36、38、40、41、42、43、44のいくつかまたは全てと、インターフェイス32、34の内部機能またはコンポーネントは、メモリ37内に記憶することもできるソフトウェアとして実行することができる。
【0082】
図2のコンポーネント間の内部接続の形は、クライアントゲートウェイ30が実施される、特定のタイプの機器に左右される。例えば内部バス構造はしばしば、電子デバイス内で使用されるが、他のタイプの接続を内部バスに加えて、またはその代わりに使用することができる。また、相互接続は例えばソフトウェアベース実行の場合と同様に、必ずしも物理媒体を介してである必要はないことを理解すべきである。
【0083】
クライアントゲートウェイ30のサービスネットワーク機能を実行する機能コンポーネントは、図2のアクセス側機能よりいくらか詳細に示されている。というのは、本発明の実施形態は基本的に、アクセスネットワークインターフェイス34のサービスネットワーク側で行われる機能に関するからである。例えば、アクセスネットワークインターフェイス34はアクセス接続に対するセキュリティ機能を提供するが、ネットワーク側セキュリティ機能を提供するセキュリティモジュール38が、図2のサービスネットワークインターフェイス32とは別に示されている。他のネットワーク側機能コンポーネントは同様に、図示する目的で、図2に別に示されている。
【0084】
クライアントゲートウェイ30内の別個の機能コンポーネントのこの図示は、本発明を制限することを意図したものではない。クライアントゲートウェイのネットワーク側機能は、場合によっては異なる相互接続で、図2に明示的に示すのよりさらに多いまたは少ないコンポーネントを使用して実施することができる。例えば、ポリシー施行モジュール36の機能は、ポリシーを適用する各コンポーネント内に組み込むことができる。セキュリティポリシーは、例えば、セキュリティモジュール38によって管理も適用もできる。
【0085】
ソフトウェアベースの実施形態では、機能はそれぞれのソフトウェアモジュール内で実施する、または単一のハードウェアコンポーネント、すなわちマイクロプロセッサなどのプロセッサ、特定用途向け集積回路(ASIC)、デジタルシグナルプロセッサ(DSP)、またはマイクロコントローラによる実行のためにより少ないソフトウェアモジュール内に組み込むことができる。ソフトウェアは代わりに、例えば、多数のハードウェアコンポーネント、マイクロプロセッサ、およびDSP、またはネットワークプロセッサプラスいくつかのASICおよびFPGAによって実行することができる。一部の機能がソフトウェア内で実行され、その他がソフトウェアよりも速く動作する傾向があるハードウェア内で実行される組合せた実行も考えられる。
【0086】
したがって、機能は図2に示すのとは異なる方法で分割または統合することができ、本明細書に記載した機能モジュールのいずれかをソフトウェア、ハードウェア、またはそのいくつかの組合せで実行することができる。
【0087】
ポリシー施行モジュール36は、クライアントプロファイル内のサービスネットワーククライアントによって構成され、ネットワークコントローラ28に対するそのサービスの記述内で公表されるようなネットワークサービスに対するサービスネットワークポリシー施行を実施する。
【0088】
従来の要件を特定するポリシーアサーション、および例えば、特定のカスタマおよび/またはトランスポートプロトコル選択に必要な認証スキームなどの、ワイヤ上で最終的に明らかになる能力は、クライアントゲートウェイ内で実施される。したがって、これらのポリシーアサーションは、ネットワークコントローラからクライアントゲートウェイ内にダウンロードされ、ポリシー施行モジュール36によって施行される。
【0089】
ネットワークサービスプロバイダおよびコンシューマの認証および許可、ネットワークサービスを必要とし、ネットワークサービスに関連する通信トラフィックのプライバシーおよびインテグリティを保証するトランザクションの管理および実証は、他のコンポーネントと合わせてポリシー施行モジュール36によってポリシーを施行する際に必要とされる可能性がある機能の例である。ポリシー施行モジュール36は、例えばメッセージデジタル署名を実証することなどによる認証のために、セキュリティモジュール38と相互作用することができる。したがって、セキュリティポリシーの施行は、ポリシーを管理するポリシー施行モジュール36、およびクライアントを認証し、例えば場合によっては通信トラフィックを通過させるまたは落とすことによってポリシーを実際に適用するセキュリティモジュール38の両方を必要とする可能性がある。
【0090】
したがって、ポリシー施行モジュール36自体は実際、施行のために管理するポリシーを適用する必要がないことを理解すべきである。ポリシーをサービスネットワーククライアントおよびトランザクションに適用させるためのポリシー施行モジュール36および他のコンポーネントの間の相互作用は、本明細書を読み進めるとともに明らかになるだろう。
【0091】
クライアントゲートウェイ30でのポリシー施行モジュール36により、現在の企業中心ネットワークサービスで起こるような各特定ネットワークウェブサービスではなく、仮想エクストラネットサービスでのクライアント認証が行われる。アクセスネットワークインターフェイス34がこれによって通信するネットワークサービスプロバイダシステム内のネットワークサービスコンシューマは、クライアントゲートウェイ30のクライアントであり、クライアントゲートウェイ30での単一のサインオンによるサービスネットワークにわたってネットワークサービスへのアクセスを得る。クライアントゲートウェイ30はしたがって、そのクライアントからサービス毎認証負担を取り除く。クライアント認証で使用される情報は、メモリ37、好ましくは安全メモリデバイスまたは領域内に記憶することができる1つのタイプの情報の例である。
【0092】
クライアントXMLデジタル署名が存在しない場合では、ポリシー施行モジュール36は、セキュリティアサーションの点でエンドネットワークサービスが期待するものによりセキュリティアサーションを生成するように、セキュリティモジュール38と協働することができる。新規のセキュリティアサーションは、クライアントの認証、およびメッセージのインテグリティをアサートするようにサービスメッセージに取り付けられる。
【0093】
クライアントの識別「優先」が存在するが、ネットワークサービスの「優先」とは異なる場合、ポリシー施行モジュール36は、特定のデジタル認証、図ではX.509認証をセキュリティアサーションマークアップ言語(SAML)アサーションなどの異なるセキュリティアサーション内にマッピングするように、セキュリティモジュール38と協働することができる。
【0094】
SAML、WS−Federation、およびWS−Trustなどの標準により描かれる知られている機構は、これらの機能に使用されることが好ましい。
【0095】
一実施形態では、ポリシー施行モジュール36は、フェデレーション識別のハードウェア実施、アクセス制御、およびネットワークコントローラ28を使用して前もってセットアップされたポリシーの施行を提供する(図1)。フェデレーション識別はユーザが、ユーザ識別を生成および認証し、その後、個人情報を中心記憶することなくドメインとサービスプロバイダの間の識別を共有することが可能になる。
【0096】
ウェブサービス操作に対して調整されたSLAはまた、クライアントゲートウェイ30がこれを通してそのクライアントおよびサービスネットワークと通信するアクセス側およびネットワーク側通信リンクのいずれかまたは両方の定位置にあってもよい。ポリシー施行モジュール36はまた、メモリ37内に記憶することができる、SLA関連パラメータを施行するように通信トラフィックレベルを監視することができる。
【0097】
上に簡単に説明したように、本発明の実施形態による仮想エクストラネットサービスネットワークはXML基準ベースであり、したがってポリシー施行モジュール36は、以下に説明するサービス処理モジュール43と合わせて、アクセスネットワークインターフェイス34を通してクライアントゲートウェイ30のクライアントから受けた入口データトラフィックに対してXMLメッセージヘッダおよびメッセージペイロード変換を施行することもできる。変換はまた、他のメッセージフォーマットからXML基準ベースネットワークサービスメッセージ内に行うことができる。逆変換と、アクセスネットワークおよびサービスネットワーク内で使用された非XMLフォーマット間の変換も考えられる。
【0098】
セキュリティモジュール38は、サービスネットワーク上の通信のセキュリティを保証するようにセキュリティ基準を実行する。いくつかの実施形態では、セキュリティモジュール38は、WSセキュリティ、XML暗号化/記述、およびXML署名などのウェブサービス基準ベースツールを使用してサービスネットワークメンバー間の安全なデータ経路を提供する。これらのツールにより、クライアントゲートウェイ30は既存のセキュリティプロトコルを利用することが可能であり、許可されたサービスコンシューマが端末間プライベートビジネスネットワークに参加することができることを保証することができる。セキュリティモジュール38はしたがって、いくつかの実施形態では、コアエクストラネットサービスを凌ぐ改良のために中央認証およびキー管理サービスを示す。セキュリティモジュール38は、クライアントゲートウェイ30の全ての他のモジュール、特に、ポリシー施行モジュール36、UDDIプロキシモジュール41、SOAPプロキシモジュール42、サービス処理モジュール43、および両方のネットワークインターフェイス32、34にセキュリティ機能を与える。これらの機能は、遠隔通信セキュリティの分野でよく知られているプロトコルを使用した、署名の実証、暗号化、復号化、署名、および対称または非対称キーの交換のいずれかまたは全てを含むことができる。
【0099】
SOAPプロキシモジュール42は、クライアントとサービスネットワークの間のメッセージの流入出のためのSOAPヘッダ処理を行う。SOAPプロキシモジュール42は、2つのネットワークインターフェイス、アクセスネットワーク34のインターフェイス、およびサービスネットワークインターフェイス32内に2つのサービスアドレスを有するホストである。アクセスネットワーク内のクライアントに関する限り、サービスネットワークによってクライアントに公表された全てのサービスは、SOAPプロキシモジュール42から提供されると思われる。
【0100】
2つの接続されたネットワークのいずれかからのメッセージは、SOAPプロキシモジュール42にアドレス指定され、このモジュールは、SOAPメッセージを受け、ヘッダ処理などの機能および変更を行い、メッセージを適切な処理機器、UDDIプロキシモジュール41、またはサービス処理モジュール43に中継する。また、UDDIプロキシモジュール41およびサービス処理モジュール43からのメッセージは、SOAPプロキシモジュール42に送信される。UDDIプロキシモジュール41、またはサービス処理モジュールから受信されたメッセージは、例えば情報を処理するユニフォームリソースアイデンティファイア(URI)を加えるように、SOAPプロキシモジュール42によって処理することができる。SOAPプロキシモジュール42はまた、流出するメッセージ上でネットワークサービスポリシーを実施するようにポリシー施行モジュール36およびセキュリティモジュール38と相互作用し、その後、適切なインターフェイス上にメッセージを送信する。ポリシー施行、セキュリティ、アクセス制御、監査、およびクライアントゲートウェイ30の他のモジュールに関連する他の機能はしたがって、各メッセージに対してSOAPプロキシモジュール42によってトリガすることができる。
【0101】
SOAPプロキシモジュール42の操作を例示するために、以下の例示的な実施例が考えられる。1つの企業EBによって別の企業EAに提供されるサービスは、クライアントゲートウェイのSOAPプロキシモジュールSPAのURIから提供されているように見えるように、EAに関連するクライアントゲートウェイによってプロキシ化される。企業EBによって提供されるサービスに対する企業EAからのサービス要求は、1組の機能を適用し、サービス処理モジュール43にメッセージを通過させる、SOAPプロキシモジュールSPAに送信される。サービス要求を処理する際、サービス処理モジュール43は、それぞれSOAPソースおよび宛先URI SPAおよびSPBを加える、SOAPプロキシモジュールにメッセージを通過させ、SPBは企業EBのクライアントゲートウェイに関連するSOAPプロキシモジュールである。要求はその後、SPAからSPBに送信される。
【0102】
SOAPプロキシモジュールSPBはさらに、SOAPソースを操作し、要求を企業EBに転送する前にSPBおよびEBにメッセージのURIをアドレス指定する。逆の方向では、同様の変更がレスポンスに適用される。SOAP URIは、サービスURI、およびそのサービスに関連するゲートウェイのSOAPプロキシの両方を記憶するように操作される。
【0103】
SOAPプロキシモジュール42は、流入するトラフィックを、UDDIプロキシモジュール41に転送されるUDDI制御トラフィック、およびサービス処理モジュールに転送されるデータトラフィック、図ではXMLトラフィックに分類および分割する。トラフィック分類は、例えば深いパケット検査を必要とする可能性がある。
【0104】
混乱を避けるために図2には明示的には示さないが、SOAPプロキシモジュール42のトラフィック分類子は、ネットワークコントローラでの制御および/または管理トラフィックの交換を行うように、サービスネットワークインターフェイス32、またはネットワークコントローラとの通信をサポートする別のインターフェイスに動作可能に結合することができる。SOAPプロキシモジュール42は制御および/または管理トラフィックをネットワークコントローラから受けることができることも、また理解されるべきである。
【0105】
UDDIプロキシモジュール41は、新規のウェブサービスを公開する、または既存のウェブサービスの公開された変更にサブスクライブしようとするクライアントから受けた全てのUDDI公開要求に対して、サービスエクストラネットネットワークによってホスト化されたUDDI中央格納庫内のアクセスポイントとして、また「ファインドサービス」操作を開始するクライアントから受けた全てのUDDI照会要求に対して、プロキシモジュールとして働く。ネットワークサービスへのクライアントアクセスは、本明細書で開示されるように、ネットワークサービスポリシーにより制御される。これらのポリシーは、情報がファインドサービスまたはアナログ操作に応じて、クライアントシステムに戻されるネットワークサービスを制限するように、ポリシー施行モジュール36自体によって、またはUDDIプロキシモジュール41と合わせて施行することができる。
【0106】
UDDIプロキシモジュール41は、入口UDDIベースメッセージを期待する。UDDIフレームではない全ての他のメッセージは、UDDIプロキシモジュール41によって処分することができる。
【0107】
UDDIプロキシモジュール41は、クライアントゲートウェイレベルでローカルでUDDIエントリをキャッシュすることができる。これにより、UDDIプロキシモジュール41が、新規UDDI照会要求を受けた場合に、ローカルエントリルックアップおよび解決を行うことが可能になる。UDDIエントリがローカルで見つかる場合、その後UDDIレスポンスメッセージが生成され、サービスを要求するクライアントに向かって送信し戻される。
【0108】
UDDIエントリがローカルで見つからない場合、その後、UDDIグローバル格納庫内へのグローバルルックアップに対して、UDDI照会メッセージはネットワークコントローラに送信される。エントリはネットワークコントローラによって解決されると、UDDIレスポンスは要求が来た同じクライアントゲートウェイに送り戻される。クライアントゲートウェイ30は、別のUDDIルックアップ用のUDDI情報を習得および記憶することができる。
【0109】
したがって、UDDIプロキシモジュール41は、サービス要求のローカルおよびリモート解決を処理することができる。
【0110】
サービス処理モジュール43は、SOAPプロキシモジュール42からサービスメッセージを受け、サービスメッセージを処理し、サービスメッセージをSOAPプロキシモジュール42に送信する。サービス処理モジュール43の1つの一次機能は、ネットワークサービスに関連し、ネットワークサービスプロバイダとコンシューマの間で交換されているデータトラフィックを処理することである。一実施形態では例えば、SOAPプロキシモジュール42を通してアクセスネットワークから来るサービスメッセージは、サービスネットワークアドレス指定およびフォーマット化規則にそれを適応させるようにメッセージを解析および変更する、サービス処理モジュール43に送信される。フォーマット化規則は、例えば、ポリシー施行モジュール36によって管理されるサービスネットワーク変換ポリシー内で特定することができる。サービス処理モジュール43はその後、対応するサービスメッセージをネットワークサービスプロバイダに関連するクライアントゲートウェイにSOAPプロキシモジュールを通して、サービスネットワークにわたって送信する。
【0111】
転送/ルーティングモジュール44は、サービスネットワーク内の宛先に向けて、転送/ルーティング決定(レイヤ1またはレイヤ2転送、IPおよび/またはXMLルーティング)を行うことが好ましい。このモジュール44は、IPトラフィックを処理し、必要に応じてDNSルックアップを完備し、XMLレベルでのネットワーキングを行う能力を有する可能性があるが、他の実施形態は1つだけの、異なる、または場合によっては追加のルーティング機構を提供することができる。
【0112】
アプリケーションレイヤルーティングが行われる場合、モジュール44の基本機能は、サービス処理モジュール43にコンテンツベースルーティングを行うことである。サービス処理モジュール43は、公開されたメッセージに対してSOAP端点を識別するのに、転送/ルーティングモジュール44を使用することができる。SOAPプロキシモジュール42、サービス処理モジュール43、および転送/ルーティングモジュール44の例示的な実施形態は、公開サブスクライブ式ネットワーク用の必要な機構を提供する。
【0113】
転送/ルーティングモジュール44のアプリケーションルーティングレイヤは任意であり、通知およびイベント分配タイプサービスをサポートするのによく適している。一実施形態では、アプリケーションルーティングレイヤは、サブスクリプションデータベース内にクライアントサブスクリプションを記憶し、サブスクリプションデータベース内の1式のエントリに一致するXMLマルチキャストドキュメントを受ける際に、ドキュメントを必要とする次のSOAP端点を識別するようにこれらのエントリを使用し、SOAPプロキシモジュール42を通してこれらの端点にドキュメントを転送する。ドキュメントのサブスクリプション、およびドキュメントの公開は、WS−NotificationおよびWS−Eventing推奨でアウトライン化された標準化機構にしたがう。
【0114】
サービスネットワークインターフェイス32は、少なくとも物理的インターフェイスをサービスネットワークに提供する。サービスネットワークインターフェイス32のタイプおよび構造、およびサービスネットワークで交換された通知トラフィックで行うことができる他の操作は、サービスネットワーク依存である。このようなネットワークインターフェイスの多くの実施例は、当業者には自明のことであろう。
【0115】
データコレクタモジュール40は、次の記憶および処理のために、ネットワークコントローラまたは他のコンポーネントにローカル処理および/または転送することができるリアルタイム管理および請求書作成情報を集める。
【0116】
全ての操作が、ポリシー施行モジュール36、およびセキュリティモジュール38内のセキュリティ施行ポイントで首尾よく実行されると、安全なクライアント識別およびメッセージインテグリティをサービスエクストラネットワーク内で保証することができる。
【0117】
このポイントで、データコレクタモジュール40は様々な管理および請求書作成操作に対してリアルタイム情報をプルすることができる。データは、トランザクション監査、パフォーマンス監査、イベント監視、トランザクション端末間ビジネスアクティビティ監視(トランザクション完了/失敗)、アクティビティログ、SLA監視、注意およびエラー閾値、警告などのアクティビティに対して集めることができる。データコレクタ40は、処分ポリシーなどの上で統計をコンパイルするポリシー施行レベルで、セキュリティポリシー毎に処分されるパケットを数えるためにセキュリティモジュール38の後などに、データパス内の様々なステージのいずれかで情報を収集することができる。
【0118】
図2に示すようなクライアントゲートウェイは、ネットワークサービスプロバイダがローカルサービスなどのサービスネットワーク内にサービスを提供することを可能にし、ネットワークサービスコンシューマがサービスネットワーク内で利用可能なネットワークサービスを使用することを可能にする、またはその両方のように構成することができる。クライアントゲートウェイ30のクライアント企業は、企業アプリケーションサーバの形のネットワークサービスプロバイダと、エンドユーザサービスコンシューマの両方を含むことができる。
【0119】
クライアントゲートウェイ30のクライアントがクライアントゲートウェイ30で認証され、そのネットワークサービスをサービスネットワーク内に提供したいと望む場合、クライアントから、図ではアクセスネットワークインターフェイス34で終端する安全トンネルを通して受ける制御トラフィックは、上記のように処理され、サービスネットワーク内でネットワークコントローラに転送される。
【0120】
サービスネットワーク内のネットワークサービスのアベラビリティのレベルは、ネットワークサービスプロバイダ、またはネットワークコントローラによって特定される明示アクセス制御規則に基づき決めることができる。ネットワークサービスプロバイダは、独自のプライベート企業システム内のコンシューマによってのみ使用するためにネットワークサービスがプライベートであることを要求することができる。サービスネットワークの他のメンバにアクセス可能ではないが、サービスネットワーク内でのプライベートネットワークサービスへのアクセスを制限することにより、ネットワークサービスプロバイダが、例えばポリシー施行およびレジストリホスティングを含む、サービスネットワークの他の機能を利用することが可能になる。ネットワークサービスプロバイダが、ネットワークサービスが利用可能にされる特定のサービスネットワークメンバまたはグループを特定する、セミプライベートネットワークサービスも想像される。制限されていないネットワークサービスは、サービスネットワークの全てのメンバにアクセス可能である。
【0121】
所定のネットワークサービスアクセス制御は代わりに、ネットワークコントローラで構成し、ネットワークサービスまたはネットワークサービスのプロバイダのタイプまたはクラスによりネットワークサービスに適用することができる。特定のタイプの、または特定のネットワークサービスプロバイダクラスからの全てのネットワークサービスは、ネットワークサービスプロバイダが例えば最初にサービスネットワークに登録する場合に確立された同じ所定のアクセス制御を有することができる。別の可能な所定のアクセス制御レジュームは、そのグループだけの中で利用可能な既存のビジネス関係を有するネットワークサービスプロバイダのグループのネットワークサービスを作る。
【0122】
中央ポリシー管理モデルでは、ネットワークサービスに関連するあらゆるアクセス制御はネットワークコントロールによってサービスコンテンツまたはポリシーとして記憶される。これらのポリシーは、ポリシー施行モジュール36によって各クライアントゲートウェイにダウンロードされ、上記のようにデータトラフィックに適用される。
【0123】
ネットワークサービス用にアクセス制御を確立および管理するのに使用される特定のアクセス制御スキームに関係なく、提供されたネットワークサービスは、各ネットワークサービス用のあらゆるアクセス制御によりサービスネットワーク内で利用可能にされる。これはいくつかの方法で実行することができる。上記のように、制御トラフィックはサービスネットワーク内のネットワークコントローラに転送され、これによって処理される。この場合、ネットワークコントローラは、サービスネットワーク内のクライアントゲートウェイにアクセス可能であるグローバルレジストリ内のネットワークサービス用の情報を公開することができる。各クライアントゲートウェイはその後、ネットワークサービスに関連するポリシーにしたがって、そのクライアントによって登録されたネットワークサービスへのアクセスを制御する。
【0124】
本発明は、ネットワークサービスアクセス制御の上記実施例に限るものではない。アクセス制御は、サービスネットワーク内で全て必ずしも実行される必要は全くない。いくつかの実施形態では、サービスネットワーク内に提供された全てのネットワークサービスは、サービスネットワークの全てのメンバに自動的に利用可能である。
【0125】
ネットワークサービスプロバイダはまた、ネットワークコントローラと制御トラフィックを交換することによって、実質的に同様の方法で例えばアクセス制御を変更するように、ネットワークサービスのポリシーを変更することができることが好ましい。
【0126】
クライアントはポリシー施行モジュール36およびセキュリティモジュール42によって認証されると、クライアントはまた、あるいは代わりに、クライアントゲートウェイ30を通してサービスネットワーク内で利用可能なネットワークサービスにアクセスすることができる。クライアントがアクセスすることが可能である特定のネットワークサービスは、ポリシー施行モジュール36によって管理されたポリシーにしたがって制御される。サービスネットワークのグローバルレジストリは、ネットワークコントローラによって記憶され、ポリシー施行モジュール36にダウンロードされたネットワークサービスポリシー内で特定されるように、全てのクライアントに利用可能ではないネットワークサービス用のレジストリエントリを含むことができる。クライアントゲートウェイ30のクライアントがアクセス可能となるこれらのネットワークサービスだけが、クライアントに利用可能とされる。
【0127】
サービスネットワークを通してクライアントゲートウェイ30のクライアントとリモートネットワークサービスプロバイダの間でその後に交換されるデータトラフィックは、実質的に上に記載されるように処理される。クライアントからリモートネットワークサービスプロバイダに向けられたトラフィックは、セキュリティモジュール38によってセキュリティポリシーに基づき処理され、SOAPプロキシモジュール42内で変更され、サービス処理モジュール43内のXMLメッセージタイプに基づき異なるように処理され、最後に、データトラフィックは、ルーティングモジュール44によってサービスネットワークインターフェイス32を通してリモートネットワークサービスプロバイダに、または実際はリモートネットワークサービスプロバイダが接続されたクライアントゲートウェイにルーティングされる。
【0128】
実質的に同様な処理は、クライアントゲートウェイ30のクライアントによって提供されるネットワークサービスに関連するデータトラフィックに適用される。サービスネットワークインターフェイス32を通してリモートネットワークカスタマから受けたデータトラフィックは、セキュリティモジュール38、SOAPプロキシモジュール42、およびサービス処理モジュール43によってデータトラフィックとして処理され、変更され、また分類および処理される。受けたデータトラフィックはその後、アクセスネットワークインターフェイス34によってクライアントに転送される。
【0129】
次にネットワークコントローラ28(図1)を参照すると、図3は例示的なネットワークコントローラのブロック図である。ネットワークコントローラ50は、管理システムインターフェイス52と、ゲートウェイインターフェイス54と、マネージャ60、64、66、69に動作可能に結合されたメモリ56とを備えている。ネットワークコントローラ50のコンポーネントは、集中アーキテクチャ、または分配および好ましくは中央管理可能アーキテクチャのいずれかに設けることができる。
【0130】
管理システムインターフェイス52は、例えば、サービスネットワークプラットフォームの構成および管理用の中央フレームワークを実行する、ネットワーク管理システム(NMS)などの管理システムにインターフェイスを提供する。管理システムインターフェイス52の構造および操作は、ネットワークコントローラ50がその上で管理システムと通信する接続のタイプに依存する。いくつかの実施形態では、ネットワークコントローラは管理された通信ネットワークを通して管理システムと通信する。別個のNMS管理および制御経路も共通である。例えば、XMLを使用したインターフェイス、および例えば管理情報ベース(MIB)にアクセスを提供するインターフェイスを含む管理システムインターフェイスの両方のタイプの例は、当業者には自明のことだろう。
【0131】
ゲートウェイインターフェイス54は、ネットワークコントローラ50がこれを通してクライアントゲートウェイと通信するインターフェイスを示す。図3の単一のコンポーネントとして示されているが、ゲートウェイインターフェイス54は、多数のクライアントゲートウェイとの通信のために、それぞれのインターフェイス、および場合によっては異なるタイプのインターフェイスを含むことができる。図2を参照して上に説明するように、制御トラフィックは、サービスネットワークインターフェイス、またはいくつかの他のタイプのインターフェイスを使用して、サービスネットワークを通してクライアントゲートウェイとネットワークコントローラの間で交換することができる。図3のゲートウェイインターフェイス54はしたがって、クライアントゲートウェイで提供される、サービスネットワークインターフェイス32(図2)または別のインターフェイスの何れかのインターフェイスと互換性のあるインターフェイスを示している。
【0132】
図2を参照して上で説明したインターフェイスと同様に、管理システムインターフェイス52、およびゲートウェイインターフェイス54は普通、通信媒体と通信信号を交換する物理的コンポーネントと、通信信号を生成および処理するハードウェアおよび/またはソフトウェア実行コンポーネントとを備えている。
【0133】
メモリ56は、情報を記憶する1つまたは複数のメモリデバイスを備えている。メモリ56内に記憶された情報は、カスタマプロファイルおよびポリシーなどの情報、セキュリティ情報、およびネットワークコントローラ50のコンポーネントによる使用のためにネットワークサービス毎のユーザ毎のアクセスリストおよびアクセスレベルグループと、サービスネットワーク内の他の機器によるアクセスおよび使用のためのレジストリ情報を含むことができる。しかし、メモリ56はローカルおよびリモートメモリデバイスの両方を含むことができることを理解すべきである。ネットワークコントローラソフトウェアがローカルで記憶されていることが好ましいが、レジストリは、ネットワークコントローラ50、およびネットワークサービスコンシューマが接続されるクライアントゲートウェイの両方にアクセス可能であるリモートメモリデバイス内に分配および記憶することができる。
【0134】
マネージャ60、64、66、69、およびインターフェイス52、54の内部機能またはコンポーネントのいくつかまたは全てをソフトウェアとして実行することができる。これらのマネージャを実行するソフトウェア、および機能をメモリ56内に記憶することもできる。
【0135】
ポリシーマネージャ60は、包括ポリシープロビジョニング、定義、およびセキュリティポリシー管理能力を提供する。ポリシー管理はポリシーマネージャ60によって中央化されるが、コンテンツおよびデータのポリシー断片はサービスネットワーク全体を通して分配方法で記憶することができる。ポリシーマネージャ60、および例えばポリシー情報が記憶されたメモリ56内のレジストリなどのポリシーコンポーネントを分配することができる。また、ポリシー情報はクライアントゲートウェイ内にポリシー施行モジュール内にダウンロードされる。ネットワークサービスに対してポリシー管理への集中的方法を利用することによって、単一のセットのポリシーを、サービスネットワークプロバイダのインフラ内で委任アドミニストレータによって管理することができる。ポリシーマネージャ60は、クライアントゲートウェイにポリシー情報を自動的にダウンロードするまたはプッシュする、クライアントゲートウェイからの要求に応じてポリシー情報を伝送する、またはポリシー情報伝達機構をプッシュするのもおよびプルするのもサポートするように構成することができる。
【0136】
一実施形態によれば、ポリシーマネージャ60は、ネットワークサービスポリシーレジストリを使用して、サービスポリシーを管理する。ネットワークサービスポリシーレジストリは、サービスネットワーク内で提供された全てのネットワークサービスに対してアクセス制御を確立するネットワークサービスポリシーの収集である。
【0137】
各個別のネットワークサービスポリシーは、メッセージ内に提示しなければならない認証情報などのプライバシーパラメータ、メッセージが署名および/または暗号化されなければならないかどうか、メッセージのどの部分が署名および/または暗号化されるか、およびメッセージまたはその部分がどのように署名および/または暗号化されるかを特定することができる。これらの機能は、WSセキュリティ、WSポリシー、WSポリシーアタッチメント、WSポリシーアサーションズ、およびWSセキュリティポリシーなどの既存のウェブサービス標準を実行することによって提供することができる。また、特定のネットワークサービスへのアクセスのレベル、図では、プライベート、セミプライベート/グループ、および仮想エクストラネットレベルでのパブリックを示す規則があってもよい。端末間サービス用のSLA合意およびQoS要件、特定のビジネストランザクション内で必要とされるビジネスパートナに関するリストおよび詳細もある可能性がある。
【0138】
あらゆる新規のネットワークサービスでは、サービスネットワークと結合するプロバイダまたはコンシューマ、コンシューマプロファイル、およびポリシーは登録時に作成されることが好ましい。上に説明するように、ネットワークサービスプロバイダは、制御トラフィックをクライアントゲートウェイを通してネットワークコントローラに伝送することによってサービスネットワーク内でそのネットワークサービスを公開する。クライアントゲートウェイからゲートウェイインターフェイス54を通して、または管理システムから管理システムインターフェイス52を通しての何れかで受けるポリシーは、仮想エクストラネットサービス内でポリシーマネージャ60によって中央管理されるが、サービスネットワークによって提供される仮想エクストラネット内で物理的に分配することができる。
【0139】
ネットワークサービスプロバイダまたはコンシューマがサービスネットワークを結合する時に独自のサービスポリシーを有する場合、ポリシーマネージャ60は、企業サービスポリシーをサービスネットワークのグローバルポリシーレジストリ内に統合することが可能である。エクストラネットレベルでの全ての管理データはそれによって、グローバル管理された仮想エクストラネットサービスを作成するために、企業管理システムからの他のデータと統合させることができる。
【0140】
ポリシーマネージャ60はまた、企業内の普通のシナリオと同様に、特定のネットワークサービスアプリケーションではなく、サービスネットワーク内でユーザ認証およびセキュリティプロファイルを管理する。企業空間内のネットワークサービスコンシューマは、クライアントゲートウェイを通してサービスネットワークに接続し、サービスネットワークでシングルサインオンを行う。ネットワークコントローラによってホスティングされる1つのレジストリ実体内のアクセス制御情報の中央化により、企業システム間の識別情報およびアクセス制御ポリシーを共有する問題が避けられる。代わりに、このデータは仮想エクストラネット内で記憶される。
【0141】
ポリシーマネージャ60はまた、図では、既存の所有権セッションクッキーをSAMLアサーション、およびその後他の識別格納庫にマッピングすることができる現実世界の識別に変換するのに必要なデータを提供することによって、レガシー認証システムに対応することもできる。
【0142】
ポリシーマネージャ60は、クライアントゲートウェイによってデータトラフィックに適用されるメッセージヘッダおよびメッセージペイロード変換を特定することができる。いくつかの実施形態では、変換は、レジストリ内に記憶された情報、図ではXMLスキーマによりXMLベースのウェブサービスメッセージとメッセージの他のフォーマットの間で行われる。
【0143】
セキュリティマネージャ64は、サービスネットワークを通したサービスネットワーククライアント通信のセキュリティを管理する。一実施形態では、セキュリティマネージャ64は、安全な通信を保証するように、確立されたネットワークサービスおよびXML標準を使用する。例えば、サービスネットワークコアの上で作成された安全なデータパスは上に説明したようにWSセキュリティおよびXML暗号化を使用することができる。クライアントゲートウェイは実際、サービスネットワークを通した安全な接続を確立するが、セキュリティマネージャ64はサービスネットワークに中央認証およびキー管理サービスを提供する。セキュリティ情報は、サービスネットワークを通した他のクライアントゲートウェイとの安全な通信を確立する際に使用するために、クライアントゲートウェイにダウンロードされる。ポリシーマネージャ60と同様に、セキュリティマネージャ64は、クライアントゲートウェイに安全情報を自動的にダウンロードするまたはプッシュする、クライアントゲートウェイがネットワークサービス用のセキュリティ情報を必要とする場合にランタイムでクライアントゲートウェイからの要求に応じて安全情報を伝送する、または伝達機構をプッシュするのもおよびプルするのもサポートするように構成することができる。
【0144】
レジストリマネージャ66は、ネットワークサービスロケーションおよび管理のための進歩したメタデータ能力で、ネットワークサービスレジストリ、図では、UDDIなどの工業標準レジストリを管理および削除する。サービスネットワークプロバイダは、例えば、定義する分類カテゴリおよびブランド設定に基づき、利用可能なネットワークサービス用のレジストリエントリを記憶することができる。一実施形態では、ネットワークサービスは、プライベート、パブリック、セミプライベートグループ、および/またはその他を含むことができる許可されたレベルのアクセスにしたがってレジストリ内で組織化される。上に説明したように、いくつかのネットワークサービスは特定のパートナにプライベートに公開することができ、他のネットワークサービスは全体のサービスネットワークにパブリックに公開される。
【0145】
レジストリマネージャ66によって管理されるネットワークサービスレジストリは、サービスネットワークに直接または間接的に接続された全てのネットワークサービスプロバイダからのネットワークサービスの収集である。サービスネットワークを結合する時にいかなるレジストリ能力を備えていない新規のネットワークサービスプロバイダまたはコンシューマでは、レジストリマネージャ66は、ネットワークサービスを公表および消費することを可能にするネットワークサービス、記述、ロケーション、所有権、およびパブリックAPIの完全な収集を提供する。企業は代わりに、サービスネットワークを結合する時に独自のレジストリを有することができ、この場合、レジストリマネージャは内部企業ネットワークサービスをサービスネットワークのグローバルネットワークサービスレジストリ内に公開することが可能になる。
【0146】
他のメタデータレジストリはまた、基本ネットワークサービスロケーションおよび管理以外の目的で、ネットワークサービス情報を記憶するのに利用可能である。これらは、タイムアウト、適用されるXMLスキーマ、サービス契約、QoSパラメータ、およびサブスクリプションおよびアドレス指定情報などのサービス態様を管理するために他のネットワークコントローラコンポーネントによる使用のためのレジストリを含むことができる。追加のレジストリは、例えば請求書作成情報、SLA監視情報、トランザクション端末間ビジネスアクティビティ監視情報、アクティビティログおよびパフォーマンス監査情報、および例外警告を記憶した結果得られるデータの収集を記憶することができる。
【0147】
ユーザ信用状、一般ポリシー、およびセキュリティポリシーもレジストリ内に記憶することができる。
【0148】
いくつかの実施形態では、サービスネットワークのクライアントは、そのサービスポリシーにしたがった、全てのレジストリ情報のリアルタイム監視および照会のためのリアルタイムコンソールアクセスおよび管理ツールを有する。
【0149】
システムマネージャ69は、例えばトランザクション、イベント、注意、および警告の集中制御、監視、および監査を行うようにクライアントゲートウェイによって捕捉された監査記録を受け、包括契約およびSLAの運搬を管理することができる。トランザクション優先は、重大性に基づき実行されることが好ましい。システムマネージャ69の他の可能な機能は、トランザクション完了/失敗に関する報告、およびSLA契約の管理を含む。
【0150】
本発明の実施形態を、通信ネットワーク機器、すなわちクライアントゲートウェイおよびネットワークコントローラに関して基本的に上で説明した。図4は、本発明の実施形態による方法のフロー図である。
【0151】
方法70は、サービスネットワークのクライアント、この場合、ネットワークサービスプロバイダを認証する操作で72で始まる。ネットワークサービスプロバイダが認証されると、ネットワークサービスプロバイダによって提供されるプライベートネットワークサービスは、74でサービスネットワーク内で公開することができる。
【0152】
ネットワークサービスが利用可能であると、76で同じクライアントゲートウェイ、または異なるクライアントゲートウェイで認証されるネットワークサービスコンシューマは、ネットワークサービスを使用するように、78でサービスネットワークへアクセスすることが可能になる。
【0153】
図4に示す方法70は、単に例示的な目的を意図したものであり、ネットワークサービスを提供および使用した、異なるクライアントの状況を示している。より詳細には、サービスネットワークの認証クライアントは、プライベートネットワークサービスをサービスネットワークの別のクライアントに対して利用可能にすることを、またはサービスネットワークの別のクライアントによって提供されるネットワークサービスを使用することを可能にすることができる。同じクライアントはしたがって、一度だけ認証することができ、続いて多数のネットワークサービス関連機能を行うことが可能である。ネットワークサービスがクライアントによって利用可能にされると、クライアントはまた、ネットワークサービスをサービスネットワークの別のクライアントによって使用することを可能にするように、ネットワークサービスのプライバシーを変えることもできる。
【0154】
図4に示す操作を行う様々な方法と、行うことができる他の操作は前述のことから明らかであろう。
【0155】
記載されたものは、本発明の原理の応用例を単に例示するものである。他の配置および方法は、本発明の範囲から逸脱することなく当業者によって行うことができる。
【0156】
例えば、サービスネットワークは、上記の関連応用例で開示されたパブリックネットワークゲートウェイおよびサービスネットワークゲートウェイなどの、図1に示すもの以外のコンポーネントを含むことができる。
【0157】
サービスネットワークはまた、多数のネットワークコントローラを含むことができる。異なるゲートウェイは、異なるネットワークコントローラに接続することができる。中央サービスレジストリを維持し、サービスネットワークゲートウェイとの通信などの、サービスネットワークのいくつかの操作のために指定ネットワークコントローラなどの1つのネットワークコントローラを構成することが望ましい可能性がある。指定ネットワークコントローラは、通常のネットワークコントローラと同じであってもよいが、例えば、管理システムインターフェイス52(図3)を通してオペレータ端末のコマンドラインインターフェイス(CLI)を通してネットワークコントローラとして構成することができる。
【0158】
ネットワークサービスレジストリは1つのサービスネットワーク内の多数のネットワークコントローラに維持される場合、ネットワークコントローラは、各レジストリ内に含まれるサービス、およびこれらのサービスのローカル記憶に関する制御情報を交換するためにその間で通信することが好ましい。
【0159】
したがって、ネットワークコントローラは、ゲートウェイおよび場合によっては他のネットワークコントローラによって、これに提供された情報をレジストリ内に記憶することができる。
【0160】
図2および3に示す例示的なクライアントゲートウェイおよびネットワークコントローラコンポーネントは、同様に限定的なものではない。本発明の実施形態は、より少ないまたは追加のコンポーネントを含むことができる。混乱を避けるために管理システムインターフェイスは図2の例示的なクライアントゲートウェイ30内に示されていないが、ネットワークコントローラと通信する管理システムはまた、例えばクライアントゲートウェイと通信することができる。
【0161】
ネットワークサービスプロバイダおよびコンシューマを、企業クライアントとして本明細書に基本的に説明したが、必ずしも企業に関連している必要はない。本発明の実施形態は、モバイルエンドユーザシステム13などの、非企業ネットワークサービスプロバイダおよびコンシューマと合わせて実施することができる。
【0162】
本発明はまた、クライアントゲートウェイとネットワークコントローラの間の機能のあらゆる特定の分割に制約されるものではない。機能は、本明細書に明示的に記載されたのとは異なる方法で分配または統合することができる。例えば、レジストリは中心的の代わりに、各クライアントゲートウェイによって記憶することができる。
【0163】
加えて、方法およびシステムの内容で基本的に説明したが、例えば機械読取可能媒体上に記憶された指示として、本発明の他の実施も考えられる。
【図面の簡単な説明】
【0164】
【図1】本発明の実施形態を組み込んだ通信システムのブロック図である。
【図2】例示的クライアントゲートウェイのブロック図である。
【図3】例示的ネットワークコントローラのブロック図である。
【図4】本発明の実施形態による方法のフロー図である。
【技術分野】
【0001】
本出願は、2005年4月14日出願の共通の譲受人の「パブリックおよびプライベートネットワークサービス管理システムおよび方法」という名称の米国特許出願第11/105,601号、および「プライベートネットワーク間のネットワークサービスを管理するシステムおよび方法」という名称の米国特許出願第11/105,821号に関するものである。
【0002】
本発明は概してネットワークサービスに関し、より詳細にはネットワークサービスを提供するインフラに関する。
【背景技術】
【0003】
通信ネットワークを通して情報が分配されるサービスは普通、ネットワークサービスと呼ばれる。いわゆる「ウェブサービス」はネットワークサービスの例であり、公衆インターネットネットワーク上の異なるアプリケーション間で情報を自動的に交換するために使用されている次世代のウェブベースの技術を示している。
【0004】
ウェブサービスは、インターネット上にウェブベースで分配されたアプリケーションを構築するフレームワークである。これらは、多数のグローバル企業間の通信を機械処理するために十分かつ効果的な自動機械を提供する。この自動化は、技術ベースの処理および事業効率を技術会社から小売会社などの世界の主要な非技術会社に提示している。従来の処理技術を使用して処理するためには注文書は$120がかかり、供給業者は倉庫にある返品書を処理するのに数日必要であるが、新規のウェブサービスベースシステムは0.5セントでこれを行うことができ、注文書は数秒で世界中の倉庫に分配される。
【0005】
技術面から、標準インターフェイス上で、ハイパーテキスト転送プロトコル(HTTP)、拡張マークアップ言語(XML)、シンプルオブジェクトアクセスプロトコル(SOAP)などの標準インターネットプロトコルを使用してアクセスすることができるネットワークアクセス可能機能であるという意味において、ウェブサービスはアプリケーションサービスと同様である。
【0006】
ウェブサービスアプリケーションは、公衆インターネット内のあらゆるところから来る可能性があるコードおよびデータの要素で構築されている。例えば、自動供給チェーン管理において、店頭購入は金融代理店によって消去され、返品注文は工場から直接送られ、請求書情報はそれぞれ独自のソフトウェアシステムを備えた本社によって収集される。
【0007】
ウェブサービス技術の真の力はその単純性にある。コア技術は共通の言語および通信発行を処理するだけであり、アプリケーション統合の面倒な仕事を直接は処理しない。ウェブサービスは、多数の信用できない異種システムを相互連結するための遠隔手続呼出し(RPC)技術を機械処理する洗練した機械として見ることができる。ウェブサービスは、データ変換/透明性のためのXML技術、および通信のためのハイパーテキスト転送プロトコル(HTTP)などのインターネット標準を使用することによって多くの新しい技術の最善をとる。
【0008】
ウェブサービスは既に、企業のプライベートネットワーク空間内で成功を実証して、アプリケーションが通信するための標準的方法として高速アクセプタンスを得る。しかし、多くの現在のウェブサービスは企業ネットワーク内のファイアウォールの後ろに配置されたアプリケーションサービルによってホスティングされている。
【発明の開示】
【発明が解決しようとする課題】
【0009】
基本インターネットインフラ上の企業空間内およびその向こうでウェブサービスインターアクションをサポートする努力は、アドホック手法に集中していた。1つの方法によれば、ウェブサービスが提供される異なる企業は、互換アプリケーション、共通の独占ソフトウェア、カスタムインターフェイスおよびAPI、および共通の通信プロトコルを使用することに同意しなければならなかった。企業はまた、データ安全性、およびあらゆる安全通信が管理される方法に同意しなければならなかった。加えて、各企業は、ポイント間の方法で企業トラフィックをアプリケーション間に流すように内部ファイアウォールを開かなければならなかった。
【0010】
企業環境内に新規のウェブサービス企業パートナを加えることは常に、難しく、高額で、時間がかかる処理であった。というのは、潜在的な新規企業パートナは異なるセットの規則および基準を有する傾向があるからである。新規パートナのアプリケーションへの変更、および新規アプリケーションを提供する企業へのカスタムコード修正がしばしば必要である。
【0011】
企業空間に対向する通信ネットワークプロバイダの空間をターゲットとした、端末間バーチャル(プライベート)エクストラネットウェブサービスアーキテクチャを展開および管理するための現在知られている展開および管理解決法はない。例えば、XMLバーチャルプライベートネットワーク(VPN)装置は存在するが、これらの装置はファイアウォールの背後の企業ネットワーク内の実施を意図している。
【0012】
様々なポリシー/セキュリティ/アドミッション制御要件を有する多くの企業は、同じコアネットワークを通してウェブサービスを提供または消費したい場合に、プロバイダのコアマーケット、またはより小容量のハードウェアベース企業規模製品を処理する既存のソフトウェアベース安全製品はコアネットワーク要件に匹敵しない。サーバベースアーキテクチャおよびハードウェアXML装置を含む企業規模製品はまた、通信ネットワークコア機器の高いアベラビリティおよび速度要件を普通は満たしていない。
【0013】
本発明の実施形態は、特定の通信ネットワークサービスプロバイダがネットワークサービス、図ではウェブサービスをネットワーク常駐サービスとして提供することを可能にする新規のネットワークサービスを提供する。
【課題を解決するための手段】
【0014】
いくつかの実施形態では、この新規ネットワークサービスはいわゆるエクストラネットサービスアーキテクチャ内で提供される。エクストラネットアーキテクチャは、ネットワークサービスプロバイダによって管理しながら、閉グループのメンバに提供される「サービスのネットワーク」を計画する。エクストラネットサービスモデルは、アプリケーションレイヤ解決法、ネットワークプロバイダのインフラの上部に構築されたオーバーレイネットワークであることが好ましい。
【0015】
本発明の一態様によれば、サービスネットワーク内にネットワークサービスを提供する装置は、クライアントによって提供されたネットワークサービスをサービスネットワークの別のクライアントに対して利用可能にする、サービスネットワークの別のクライアントによって提供されたネットワークサービスを使用する、またはクライアントによって提供されたネットワークサービスをプライベートサービスネットワークの別のクライアントに対して利用可能にもし、サービスネットワークの別のクライアントによって提供されたネットワークサービスを使用もするために、サービスネットワークの認証ポリシーにしたがってサービスネットワークへのクライアントアクセス用の規則を施行し、認証されたクライアントがサービスネットワークへアクセスすることを可能にするように構成されたポリシー施行モジュールを含んでいる。
【0016】
ポリシー施行モジュールはさらに、認証されたクライアントがネットワークサービスをサービスネットワーク内であらゆる他のクライアントに対して利用可能にし、ネットワークサービスに関連するそれぞれのサービスポリシーにしたがって別のクライアントによって提供されたネットワークサービスを使用することができるように構成することができる。
【0017】
装置はまた、認証されたクライアントとサービスネットワークの間、サービスネットワーク内、およびサービスネットワークとサービスネットワークの宛先クライアントの間の安全な端末間通信を施行するセキュリティモジュールを備えることができる。
【0018】
いくつかの実施形態では、セキュリティモジュールは規則に基づく認証および許可アクションを通信トラフィックに適用し、認証および許可アクションに応じて通信トラフィックを通過させるまたは落とす。追加のセキュリティ規則はまた、通信トラフィックに適用することもできる。
【0019】
装置はまた、ポリシー施行モジュールに動作可能に結合され、制御トラフィックまたはデータトラフィックとして認証されたクライアントに関連するトラフィックを分類し、サービスレジストリ内での公開のために認証されたクライアントによって提供されるネットワークサービスに関連する情報を含む制御トラフィックを伝送し、次の処理のためにデータトラフィック内のSOAP情報を変更するように構成されたシンプルオブジェクトアクセスプロトコル(SOAP)プロキシモジュールを含むことができる。
【0020】
ユニバーサルディスクリプションディスカバリアンドインテグレーション(UDDI)プロキシモジュールはまた、SOAPプロキシモジュールに動作可能に結合することができる。この場合、SOAPプロキシモジュールはさらに、受けたUDDI制御トラフィックを特定し、次の処理のためにUDDIプロキシモジュールに受けたUDDI制御トラフィックを転送するように構成されている。受けたUDDI制御トラフィックは、ネットワークサービスルックアップに対する要求を含むことができる。UDDIプロキシモジュールは、要求のローカルまたはリモート解決を処理し、各要求を開始させたクライアントに反応する。
【0021】
サービス処理モジュールはまた、SOAPプロキシモジュールに動作可能に結合し、SOAPプロキシモジュールでデータトラフィックを交換するように構成することができる。
【0022】
ポリシー施行モジュールは、認証されたクライアントがサービスレジストリに対してネットワークサービスに関連する情報を公開し、サービスレジストリにアクセスして別のクライアントによって提供されたネットワークサービスを使用することを可能にする。ネットワークサービスに関連する情報は、サービスネットワークの別のメンバによる使用のためのネットワークサービス用のアクセス規則を特定するアクセス情報を含むことができる。サービスレジストリからのサービスネットワークの別のクライアントによって提供されたネットワークサービスに関連する情報へのアクセスは、その別のクライアントによって特定されるアクセス規則によりポリシー施行モジュールによって制御される。
【0023】
いくつかの実施形態で提供される転送/ルーティングモジュールは、サービスネットワーク内の通信トラフィックをルーティングし、レイヤ1転送方法、レイヤ2転送方法、インターネットプロトコル(IP)ルーティング、および拡張マークアップ言語(XML)ルーティングの少なくとも1つをサポートする。
【0024】
サービスネットワークの変換ポリシーによる認証されたクライアント、およびサービスネットワークへの転送のためのそれぞれのフォーマット間の通信トラフィック変換などの他の機能はまた、ポリシー施行モジュールによって実行または管理することができる。
【0025】
この装置はまた、例えばサービスネットワークを提供する通信システムのクライアントゲートウェイ内で実施することができる。システムのネットワークコントローラは、クライアントゲートウェイによって施行されるポリシー、および利用可能なネットワークサービスのレジストリを管理するクライアントゲートウェイに動作可能に結合されている。
【0026】
サービスネットワーク内で利用可能なネットワークサービスに関連するポリシーを管理する装置も提供され、サービスネットワークのクライアントがこれを通してサービスネットワークにアクセスするクライアントゲートウェイに動作可能に結合されるクライアントゲートウェイインターフェイス、およびポリシーマネージャを備えている。ポリシーマネージャは、クライアントゲートウェイインターフェイスに動作可能に結合され、クライアントゲートウェイにネットワークサービスポリシーによるサービスネットワークのクライアントによるネットワークサービスへのアクセスを制御させるように、クライアントゲートウェイインターフェイスを通してクライアントゲートウェイへのそれぞれのネットワークサービス用のアクセス制御を特定するネットワークサービスポリシーを分配するように構成されている。
【0027】
ポリシーマネージャはさらに、サービスネットワークでのクライアントの認証、およびクライアントゲートウェイによってデータトラフィックに適用されるフォーマット変換の少なくとも1つを管理する。
【0028】
いくつかの実施形態では、ネットワークサービスポリシーはネットワークサービスポリシーレジストリ内に記憶されたポリシーを含み、ポリシーマネージャはさらにネットワークサービスポリシーレジストリを維持し、ネットワークサービスポリシーレジストリ内に、ネットワークサービスが提供されるサービスネットワークのクライアントから受けた既存のネットワークサービスポリシーを統合するように構成されている。
【0029】
この装置はまた、クライアントゲートウェイインターフェイスに動作可能に結合され、サービスネットワークによりクライアント通信の安全性を管理するように構成されたセキュリティマネージャと、サービスネットワーク内で利用可能なネットワークサービスのレジストリ、サービスタイムアウト情報、拡張マークアップ言語(XML)スキーマ、サービスコントラクト、サービス品質(QoS)パラメータ、サブスクリプション情報、アドレス指定情報、請求書作成情報、サービス内容合意(SLA)監視情報、トランザクショナルネットワークサービスアクティビティ監視情報、アクティビティログ、パフォーマンス監査情報、および例外警告の少なくとも1つを管理するように構成されたレジストリマネージャと、クライアントゲートウェイインターフェイスに動作可能に結合され、クライアントゲートウェイによって捕捉された監査レコードを受けて管理するように構成されたシステムマネージャのいずれかまたは全てを含むこともできる。
【0030】
ポリシー管理装置は、例えば、ネットワークサービスプロバイダによって提供されたプライベートネットワークサービスがクライアントゲートウェイを通してネットワークサービスコンシューマにアクセス可能とされたサービスネットワークを提供する通信システムのネットワークコントローラ内で実行することができる。
【0031】
サービスネットワーク内で利用可能なネットワークサービスを管理する装置はまた、本発明の別の態様により提供され、サービスネットワークのクライアントがサービスネットワークにアクセスするクライアントゲートウェイに動作可能に結合されるクライアントゲートウェイインターフェイスと、クライアントゲートウェイインターフェイスに動作可能に結合され、サービスレジストリ内の情報に関する要求をクライアントゲートウェイから受け、それに応じて要求された情報を提供し、クライアントゲートウェイからサービスネットワーク内で利用可能にされるネットワークサービスに関連する情報を受け、サービスレジストリ内の受けた情報を公開し、ネットワークに関連するサービスレジストリ内の情報の変更に対するサブスクリプションをクライアントゲートウェイから受け、サブスクリプションに応じた変更に通知を送信するように構成されたレジストリマネージャとを備えている。
【0032】
いくつかの実施形態では、通信システムは、装置を含むネットワークコントローラと、サービスレジストリを記憶するためにネットワークコントローラに動作可能に結合されたメモリと、サービスネットワークの少なくとも1つのクライアントおよびメモリに動作可能に結合され、少なくとも1つのクライアントによってサービスレジストリ内で公開されたネットワークサービスへのアクセスを制御するように構成されたクライアントゲートウェイとを備えている。
【0033】
本発明のさらに別の態様によるサービスネットワーク内にネットワークサービスを提供する方法は、プライベートサービスネットワークのクライアントを認証および許可するステップと、クライアントが許可された場合に、クライアントによって提供されたネットワークサービスをサービスネットワーク内で利用可能にする、またはクライアントが許可されるサービスネットワークの別のクライアントによって提供された特定のネットワークサービスまたはネットワークサービスのグループを使用するようにクライアントがサービスネットワークにアクセスすることを可能にするステップとを含んでいる。
【0034】
ネットワークサービスを利用可能にする動作は、サービス公開のためにサービスネットワークとの接続を開始するステップを含むことができる。クライアントがサービスネットワークとアクセスすることを可能にする動作は、ターゲットのネットワークサービスとの接続を開始し、ターゲットのサービスへ要求を送信し、そこから回答を受信することによってターゲットのネットワークサービスをクライアントが使用することを可能にするステップを含むことができる。可能にする動作はまた、クライアントがネットワークサービスのレジストリを参照して、特定のネットワークサービスまたはネットワークサービスのグループ用の情報にアクセスする、または特定のネットワークサービスまたはネットワークサービスのグループ用のレジストリレベルでの変更にサブスクライブすることを可能にするステップを含むことができる。
【0035】
ネットワークサービスアベラビリティは、ネットワークサービスのサービスポリシーにより制御することができる。この場合、可能にするステップは、クライアントによる使用を許可する関連するサービスポリシーを有するネットワークサービスを決定するステップを含むことができる。
【0036】
本発明の他の態様および特性は、その特定の例示的実施形態の以下の説明を参照して当業者には明らかになるだろう。
【発明を実施するための最良の形態】
【0037】
次に、本発明の実施形態の例を添付の図面を参照してより詳細に説明する。
【0038】
図1は、本発明の実施形態を組み込んだ通信システムのブロック図である。通信システム10は、企業システム12、22と、モバイルエンドユーザシステム13と、クライアントゲートウェイ16、26と、サービスネットワーク20と、全体を18で示すデータトラフィックスイッチおよびルーティングコンポーネントと、ネットワークコントローラ28とを備えている。
【0039】
多くの企業システム12、22および/またはモバイルエンドユーザシステム13などのエンドユーザシステムをクライアントゲートウェイ16、26に接続することができ、また多くのクライアントゲートウェイ16、26がサービスネットワーク20の境界にある可能性があるが、複雑にするのを避けるためにこれらのコンポーネントのそれぞれの例示的な実施例のみを図1に示した。例えばサービスネットワーク20を最初に展開した場合に単一の企業システム12、22および単一のクライアントゲートウェイ16、26のみが設けられている実施も考えられる。したがって、図1のシステムと、他の図の内容は単に例示的な目的を意図したものであって、本発明は図面にはっきりと示し、本明細書に記載した特定の例示的な実施形態に限るものではないことを理解すべきである。
【0040】
企業システム12、22は、サービスネットワーク20全体を通して提供および管理されたウェブサービスアプリケーションを提供できるか、使用できるか、または提供も使用もすることができるネットワークを示している。普通の設置では、企業システムは企業内に入る外部アクセス制御を提供し、およびフィルタ外部トラフィックをフィルタリングするためのファイアウォール、トラフィックスイッチおよびルーティング機器、ネットワークサービスをサポートする1つまたは複数のサーバ、およびユーザ端末、図ではパソコンなどのコンポーネントを備えている。企業プライベートネットワークは、企業システム12の一実施例である。
【0041】
モバイルエンドユーザシステム13は、特定の企業システムの一部ではないクライアントシステムの例示的なものである。エンドユーザシステムは、図示するように、移動可能であっても、または固定でもよい。モバイルエンドユーザシステム13は、例えばウェブサービスモバイルゲートウェイを通してクライアントゲートウェイ16に接続することができる。モバイルエンドユーザシステム13と、固定エンドユーザシステムは代わりに、クライアントゲートウェイ16に物理的に接続することができる。ポータブルコンピュータシステムは、アクセスネットワーク内での異なる位置および物理的接続によりクライアントゲートウェイに接続することができるという点において移動可能である。
【0042】
当業者は、ネットワークサービスを提供および/または使用する多くの異なるタイプの企業システムおよびエンドユーザシステムに詳しいだろう。本発明の実施形態は、どのようにこれらのサービスが実際に企業システム12、22内でサポートされているか、またはモバイルエンドユーザシステム13、したがって企業システム12、22などのエンドユーザシステムで使用されているかに対して、企業環境の外側でこのような企業ネットワークサービスを提供および使用することに主に関し、その操作を本発明の適切な態様に必要な範囲で本明細書で簡単にのみ説明する。
【0043】
企業システム12、22およびモバイルエンドユーザシステム13内で、例えばソフトウェアアプリケーションとして実行することができる仮想エクストラネットサービスポータルは、エンドネットワークサービスプロバイダおよびコンシューマがサービスネットワーク20と相互作用することを可能にする。サービスポータルは、ユーザがサービスネットワーク内にログインし、フェデレーション識別または別の認証スキームによりサービススキームで認証することを可能にし、またエンドユーザがネットワークサービスを提供および/または消費する方法に実質的に影響を与えることなく、様々なサービスリストの表示などの他の追加の能力を可能にすることもできる。
【0044】
接続14、15、24は図1に示すように直接接続、または中間コンポーネント、および場合によってはアクセスネットワークと本明細書で全体的に呼ぶ他の通信ネットワークを横切る間接接続であってもよい。しかし、本発明は企業システム12、22、モバイルエンドユーザシステム13、およびクライアントゲートウェイ16、26の間のネットワーク接続、またはあらゆる他の特定のタイプの接続に限るものではない。接続14、15、24はしたがって、直接、間接、有線、および無線接続のいずれかを含むことができる。
【0045】
サービスネットワーク20へのアクセスは、クライアントゲートウェイ16、26によって企業システム12、22およびモバイルエンドユーザシステム13に提供される。クライアントゲートウェイ16、26は、サービスネットワークプロバイダインフラ内のエッジデバイスであり、サービスネットワーク20によって提供される仮想エクストラネットサービス内のゲートウェイを示している。各クライアントゲートウェイ16、26は基本的に、例えば、ネットワークサービスおよびXML「スタンダード」と、新規特性に対するプロキシをサポートするウェブサービスゲートウェイ機能を実行するための安全ネットワークサービスプロキシアプライアンスである。一実施形態によると、クライアントゲートウェイ16、26はハードウェアを使用して少なくとも部分的に実施される高パフォーマンスデバイスであり、サービスネットワークプロバイダによって展開するための埋め込みソフトウェアで本明細書に開示されるような操作に対して構成されている。クライアントゲートウェイ16、26の例示的な実施例を、図2を参照して以下に詳細に説明する。
【0046】
2つのタイプのサービスプロバイダがシステム10内に含まれていることは前述のことから明らかだろう。ネットワークサービスは、企業システム12、22の一方または両方によって提供される。サービスネットワーク20は、別のサービスプロバイダによって提供される。企業システム用のネットワークサービスプロバイダはしたがって、ネットワークサービスを提供し、サービスネットワーク20のプロバイダはネットワークサービスプロバイダに、ネットワークサービスプロバイダが(1つまたは複数の)ネットワークサービスを独自のプライベートシステムの外側にあるネットワークサービスコンシューマによる使用で利用可能にすることができるサービスのネットワークを実行する別のサービスを提供する。ネットワークサービスのプロバイダは、本明細書では基本的に、ネットワークサービスプロバイダと呼ばれ、サービスネットワーク20のプロバイダはサービスネットワークプロバイダと呼ばれる。したがって、ネットワークサービスプロバイダは1つまたは複数のネットワークサービスを提供し、サービスネットワークプロバイダはこれらのネットワークサービスを、図では仮想エクストラネットサービスモデル内で内部で管理し、外部で提供することを可能にする。多くの実施では、サービスネットワークプロバイダはまたサービスネットワークが構築された下層通信ネットワークを所有または操作することが期待されているが、これは本発明の全ての実施形態に当てはまる必要はない。
【0047】
ネットワークコントローラ28は、サービスマネージャの制御平面機能性を提供し、通信ネットワークのオペレータによって展開される、ネットワーク規模のデバイス、図ではエッジルータ用の専用カードまたは専用XMLアプライアンスとして実行することができる。仮想エクストラネットサービスを管理し、仮想エクストラネット内で公開された全てのウェブサービス、ポリシー、サービス内容合意(SLA)、他のネットワーク監視データ用の中央格納庫をホスティングし、端末間ネットワークサービスアプリケーション用のポリシーを安全化、管理、提供および記憶するのに使用される。ネットワークコントローラ28は、クライアントゲートウェイ16、26と同様に、図3を参照して例示的な実施例によって、以下にさらに詳細に説明する。
【0048】
データトラフィックは、クライアントゲートウェイ16、26、および全体を18で示すデータスイッチおよび/またはルーティング機器を通してサービスネットワーク20を横切る。制御/管理トラフィックはネットワークコントローラ28によって処理され、データトラフィックはクライアントゲートウェイ16、26によって、そこからスイッチ/ルーティングコンポーネント18によって処理される。
【0049】
サービスネットワーク20は、仮想エクストラネットアーキテクチャとして実行することができる。一実施形態では、仮想エクストラネットは、例えば供給者(サプライヤ)、製造供給者(ベンダ)、パートナ、消費者、または他の企業を含む多数の企業と企業の情報または事業の一部を安全に共有するように、例えばインターネット技術および下位レイヤ1、2、3および4技術を使用するプライベート管理サービスネットワークの一種として、基本ネットワークプロバイダインフラ上に構築されたアプリケーションオーバーレイネットワークを示している。
【0050】
オーバーレイネットワークはこの場合、XMLルータデバイスで示される、レイヤ1または2転送、IPルーティングおよび/またはアプリケーションレベルルーティングを使用して実行することができる仮想ネットワークファブリックを示している。仮想エクストラネットネットワークは、同期通信、例えばREQUEST/RESPONSE、および非同期通信に対する接続性および機構を提供することができる。
【0051】
サービスネットワーク20、23の仮想ネットワーク内のアプリケーションレベルオーバーレイは、XMLルータなどのアプリケーションレベルルータを使用して実施することができる。アプリケーションレベルルータは、下層通常ネットワーク機器を使用してだが、互いにおよびアプリケーションレイヤでのクライアントゲートウェイと通信する。オーバーレイネットワークは普通、信頼性のあるマルチキャストを実行するように、伝送制御プロトコル(TCP)などの信頼性のあるポイント間バイトストリームを使用する。サービスネットワーク20をオーバーレイとして構築することにより、サービスネットワーク20を従来のプライベートネットワークサービス共有技術と比べて比較的簡単に変更および展開することが可能である。オーバーレイサービスネットワークはまた、XMLパケットを効果的にルーティングすることができるロバストメッシュを構築する効果的な方法である。
【0052】
本発明が属する技術分野の当業者は、アプリケーションレイヤネットワークをオーバーレイすることができる多くの異なるタイプの通信ネットワークに詳しいだろう。本発明は、いかなる方法でもあらゆる特定のタイプの下層通信ネットワークに限るものではない。
【0053】
また、本発明の実施形態はオーバーレイネットワークの代わりに、より下位レイヤの技術を使用して実施することができることを理解すべきである。オーバーレイネットワークアーキテクチャは、サービスネットワーク20の可能な実施の一例である。
【0054】
操作中、サービスネットワーク20は企業システム12、22のいずれか一方によって提供されるネットワークサービスを、他の企業システム内のユーザ、およびモバイルエンドユーザシステム13などのサービスネットワーク20の他のメンバとアクセス可能にすることを可能にする。サービスネットワーク20によって実行されるサービスは、それぞれ通信プロトコルおよび管理機能をサポートする、2つの個別のタイプのネットワーク要素、クライアントゲートウェイ16、26およびネットワークコントローラ28によってサポートされる。
【0055】
サービスネットワーク20のフレームワークは、通信プロトコル、サービス記述、およびサービスディスカバリを含む3つの領域に分割することができる。一実施形態では、サービスネットワーク20は、これらの領域のそれぞれに対して開発された既存のスタンダードおよび仕様を使用する。
【0056】
例えば、通信プロトコルの領域では、SOAPはウェブクライアントとウェブサーバアプリケーションの間でウェブサービスメッセージをトランスポートするのに使用することができる1つの標準プロトコルである。SOAPはまた、使用されているルーティングおよびセキュリティ機構に関する追加情報の伝送を行う。
【0057】
ウェブサービス記述言語(WSDL)は、ウェブサービスメッセージの記述を行い、ネットワークサービス技術に対する標準化された解決法の実施例を示すXMLベース言語である。
【0058】
これらのウェブサービスプロトコル(SOAPおよびWSDL)は、カスタムコードを必要とすることなく、あらゆるプラットフォーム上のあらゆるところで機能性をバインドおよび実行する能力およびメッセージング機器を提供する。
【0059】
1つのよく知られているサービスディスカバリ機構は、ユニバーサルディスクリプションディスカバリアンドインテグレーション(UDDI)である。UDDIは、企業およびアプリケーションが、インターネット上でウェブサービスをすばやく見つけることを可能にし、操作レジストリを維持することを可能にする。異なる企業からのUDDIリスト利用可能ウェブサービスは、その記述、ロケーション、サービス記述、関連するアクセスリストおよびセキュリティレベルを与える。
【0060】
本明細書で言及され、本発明の実施形態を実施するのに使用することができる他のウェブサービス基準は、信頼性のあるメッセージング(WS信頼性)、ポリシー(WSポリシー)、およびフェデレーション識別(WSフェデレーション)に関する標準を含んでいる。
【0061】
上記仕様および基準がよく知られているが、本発明の実施形態によればサービスのネットワークを提供するこれらの基準の使用は知られていない。
【0062】
上に簡単に説明したように、クライアントゲートウェイ16、26は、サービスネットワーク20によって提供された仮想エクストラネットサービスのクライアント用のサービス運搬ポイントである。クライアントゲートウェイ16、26はまた、プライベートエクストラネットサービスへの安全なアクセスを提供して、図1のサービスのプロバイダおよびクライアントの両方、企業システム12、22、およびモバイルエンドユーザシステム13を保護する。
【0063】
サービスネットワーク20を通したクライアントゲートウェイ16、26間の通信は、安全であることが好ましい。WSセキュリティ、XML暗号化、およびXML署名などの標準ベースセキュリティ技術を使用して、企業システム12、22、および場合によってはモバイルエンドユーザシステム13に対して普通は既に確立された現行の企業入口および出口証明書を活用しながら、安全通信を提供することができる。これらの標準ベース技術と、当業者に自明である他の技術は、企業システム12、22内の認証されたサービスコンシューマ、およびモバイルエンドユーザシステム13が仮想エクストラネットサービスネットワーク20に参加することができることを保証する。
【0064】
クライアントゲートウェイ16、26はまた、入ってくる通信トラフィックデータを、ネットワークコントローラ28に転送される制御トラフィック、およびコンポーネント18を通して宛先に向かって転送されるデータトラフィックに分類および分割する。
【0065】
普通、ウェブサービスアプリケーションなどのネットワークサービスの潜在的コンシューマは、存在すると知られているネットワークサービスの使用を行うことしかできない。したがって、ネットワークサービスプロバイダが潜在的コンシューマに対するネットワークサービスの存在と通信することが望ましい。これは、例えばレジストリに対してネットワークサービスを公開することによって達成することができる。図1のシステム10では、クライアントゲートウェイ16、26により、企業システム12、22がサービスネットワーク20に対してそれぞれの内部ネットワークウェブサービスを公開することを可能にする。クライアントゲートウェイ16、26はまた、企業システム12、22およびモバイルエンドユーザシステム13が、サービスネットワーク20の他のメンバによって提供された外部ネットワークサービスを消費することを可能にする。
【0066】
本明細書にさらに詳細に開示するように、企業システム12、22によって提供されたサービスがサービスネットワーク20の他のメンバに利用可能にされる範囲は、クライアントゲートウェイ12、22およびネットワークコントローラ28によって制御することができる。
【0067】
ネットワークサービスプロバイダはしたがって、サービスネットワーク20の他のメンバによる使用のためにサービスネットワーク20に対して内部ネットワークサービスを公開することができる。多くの実施では、サービスネットワーク20および各企業システム12、22は、安全プライベートネットワークであることが期待され、接続14、15、24上の通信も安全である。これは、安全トンネル技術を使用して達成することができ、その例は当業者にはすぐに分かるだろう。クライアントゲートウェイ16、26のアクセスおよびネットワーク側の両方での安全通信は、サービスネットワーク20のメンバに利用可能なプライベートネットワークサービスがサービスネットワーク20のメンバによってのみ提供され、サービスネットワーク20のメンバによって消費することしかできない安全レベルを提供する。
【0068】
ネットワークサービスプロバイダおよびコンシューマによるサービスネットワーク20との通信が、クライアントゲートウェイ16、26を横切るので、クライアントゲートウェイ16、26はまた、例えば規則およびポリシーコンプライアンスを維持するために、ローカルでおよび/またはネットワークコントローラ28によって使用することができる包括的監査記録を捕捉することができる。監査記録はまた、あるいは代わりに、コンシューマに対するサービスチャージを認めるためのマイクロ請求書作成能力を有する請求書作成システムなどの他のコンポーネントまたはシステムによって使用することができる。
【0069】
ネットワークコントローラ28は、サービスネットワーク20に対して中央制御平面機能を与え、したがって、ネットワークサービスグローバル格納庫を維持する主な責任を有するネットワークサービスマネージャの機能性を実施する。クライアントゲートウェイ16、26と同様に、ネットワークコントローラ28は、サービスネットワークプロバイダによる展開のために標準ベースソフトウェアを備えた高パフォーマンスハードウェアベースデバイスとして実施することができる。ネットワークコントローラ28は、端末間ネットワークサービスアプリケーション用ポリシーを保護、管理、提供、および施行するために、また利用可能なネットワークサービスのリストを表示および管理するために、サービスネットワーク20の仮想エクストラネットサービスを管理するために使用される。ネットワークコントローラ28はサービスネットワーク管理実体であり、クライアントゲートウェイ16、26は実際のデータに関するポリシーおよびセキュリティ規則を施行する。データトラフィックは、クライアントゲートウェイ16、26を通して図1に18で示すプロバイダのコアネットワークを横切り、ネットワークコントローラ28は制御および管理トラフィックを処理する。
【0070】
ネットワークコントローラ28は、ロケーション、所有権、アクセスレベルグループ、サービスリスト、およびネットワークサービスの他の基本的特徴などの情報のネットワークウェブサービス記憶および管理、中央ポリシー格納庫および権利管理、セキュリティ仕様、例えばエンドビジネス間トランザクションに適切な難しいサービス品質(QoS)要件などのSLA要件、およびクライアントプロファイル、トランザクション監査サービス、ログなどのものに対する追加の格納庫を含む、コア機能の少なくともサブセットを実施することが好ましい。
【0071】
端末間トランザクションセキュリティ、メッセージトランスポートの信頼性、および識別管理を提供することができるように、ネットワークサービスプロバイダおよびサービスネットワークプロバイダは通常、1セットの組み合わせた管理機能を提供するように中間グラウンド上で接触しなければならないだろう。ネットワークコントローラ28は、クライアントゲートウェイ16、26と合わせて、サービスネットワーク20のエッジで同じ機能を提供する標準ベースプロキシモジュールを備えた各企業のプライベート管理方法およびツールに代えることによって、企業システム12、22の負担を取ることができる。
【0072】
ネットワークコントローラ28はまた、ローカル企業アプリケーションを識別プロバイダサービス、XMLデジタル署名検証サービス、XMLスキーマインテグリティなどの特定のセキュリティ態様を提供することから解放することによって、いくつかのセキュリティ機能をエクストラネットに委任することを可能にすることもできる。仮想エクストラネットサービスを使用することによって、企業内および間のアプリケーションインテグレーションはより簡単および効率的になり、エンドコンシューマビジネスアプリケーションはより見えるようになり、企業システムへのパートナの追加に関連する費用および複雑性が少なくなる。
【0073】
ネットワークコントローラ28はまた、サービスネットワーク20の全てまたは選択したメンバへサービスネットワーク20内の内部ネットワークサービスのリストを安全に提供する手続きを管理する。
【0074】
クライアントゲートウェイ16、26およびネットワークコントローラ28の操作を、図2および3を参照して以下にさらに詳細に説明する。
【0075】
クライアントゲートウェイ16、26を最初に考えると、図2は例示的クライアントゲートウェイのブロック図である。クライアントゲートウェイ30は、サービスネットワークインターフェイス32と、アクセスネットワークインターフェイス34と、インターフェイス32、34およびメモリ37に動作可能に結合されたポリシー施行モジュール36と、ポリシー施行モジュール36およびメモリ37に動作可能に結合されたセキュリティモジュール38と、インターフェイス32、34、ポリシー施行モジュール36、セキュリティモジュール38、およびメモリ37に動作可能に結合されたSOAPプロキシモジュール42と、SOAPプロキシモジュール42およびメモリ37に動作可能に結合されたデータコレクタモジュール40と、ポリシー施行モジュール36、セキュリティモジュール38、SOAPプロキシモジュール42、およびアクセスネットワークインターフェイス34に動作可能に結合されたUDDIプロキシモジュール41と、ポリシー施行モジュール36、セキュリティモジュール38、およびSOAPプロキシモジュール42に動作可能に結合されたサービス処理モジュール43と、サービス処理モジュール42、サービスネットワークインターフェイス32、およびアクセスネットワークインターフェイス34に動作可能に結合された転送/ルーティングモジュール44とを備えている。このような接続は混乱を避けるために図2に明示的には示していないが、クライアントゲートウェイ30の他のコンポーネントのいずれかまたは全てを、メモリ37および/またはデータコレクタモジュール40に動作可能に結合することができることを理解すべきである。
【0076】
アクセスネットワークインターフェイス34は、これを通してクライアントゲートウェイ30が企業システム、または他の形のネットワークサービスプロバイダまたはコンシューマに接続するリモートアクセスポイントを示している。図2ではアクセスネットワークインターフェイスとして示されているが、ネットワークサービスプロバイダおよびコンシューマは、必ずしもネットワーク接続によりクライアントゲートウェイと通信する必要はない。したがって、インターフェイス34は、厳密にネットワーク接続であってもなくてもよい、アクセス接続を通してサービスネットワークのメンバにインターフェイスを提供することを理解すべきである。
【0077】
アクセスネットワークインターフェイス34の構造および操作は、クライアントゲートウェイ30がそのクライアントと通信する接続のタイプに左右される。普通、アクセスネットワークインターフェイス34は、通信媒体と通信信号を交換する物理的コンポーネントと、通信信号を生成および処理するハードウェアおよび/またはソフトウェア実行コンポーネントとを備えている。このようなインターフェイスの様々な実施形態は当業者には自明のことであろう。
【0078】
一実施形態によれば、アクセスネットワークインターフェイス34は、サービスネットワーク20内に接続しようとするクライアントに対するセキュリティトンネル終端を行う(図1)。仮想ローカルエリアネットワーク(VLAN)トンネル、ポイントツーポイントプロトコル(PPP)、マルチプロトコルラベルスイッチング(MPLS)、およびIPセキュリティ(IPSec)は全て、クライアントと通信するためにアクセスネットワークインターフェイス34によって使用することができるプロトコルの例である。他のプロトコルおよび通信スキームは、当業者に自明のことであろう。
【0079】
メモリ37は、情報を記憶するための、固体メモリデバイスなどの1つまたは複数のメモリデバイスを備えることができる。移動可能および/または取外可能記憶媒体と合わせて使用するメモリデバイス、および異なるタイプの多数のメモリデバイスを含む他のタイプのメモリデバイスはまた、メモリ37として提供することができる。クライアントゲートウェイ30内でメモリ37として実行される1つまたは複数のメモリデバイスのタイプは、設計の問題であり、クライアントゲートウェイ30が中で実行される機器の特定のタイプに左右される。例えば通信機器用回路カードは通常、メモリ37などの揮発性または不揮発性固体メモリデバイスである。
【0080】
本明細書を読み進めるとともに明らかになるように、メモリ37内に記憶された情報は、それぞれの機能を行う際にクライアントゲートウェイ30の機能コンポーネントによって使用することができる。機能コンポーネント36、38、40、41、42、43、44のいずれかまたは全ては、メモリ37内に記憶された情報にアクセスすることができる。同様に、混乱を避けるために図2にはメモリ37とインターフェイス32、34の間の接続が示されていないので、これらのインターフェイスまたはその内部コンポーネントはまたメモリ37と相互作用することができる。
【0081】
機能コンポーネント36、38、40、41、42、43、44のいくつかまたは全てと、インターフェイス32、34の内部機能またはコンポーネントは、メモリ37内に記憶することもできるソフトウェアとして実行することができる。
【0082】
図2のコンポーネント間の内部接続の形は、クライアントゲートウェイ30が実施される、特定のタイプの機器に左右される。例えば内部バス構造はしばしば、電子デバイス内で使用されるが、他のタイプの接続を内部バスに加えて、またはその代わりに使用することができる。また、相互接続は例えばソフトウェアベース実行の場合と同様に、必ずしも物理媒体を介してである必要はないことを理解すべきである。
【0083】
クライアントゲートウェイ30のサービスネットワーク機能を実行する機能コンポーネントは、図2のアクセス側機能よりいくらか詳細に示されている。というのは、本発明の実施形態は基本的に、アクセスネットワークインターフェイス34のサービスネットワーク側で行われる機能に関するからである。例えば、アクセスネットワークインターフェイス34はアクセス接続に対するセキュリティ機能を提供するが、ネットワーク側セキュリティ機能を提供するセキュリティモジュール38が、図2のサービスネットワークインターフェイス32とは別に示されている。他のネットワーク側機能コンポーネントは同様に、図示する目的で、図2に別に示されている。
【0084】
クライアントゲートウェイ30内の別個の機能コンポーネントのこの図示は、本発明を制限することを意図したものではない。クライアントゲートウェイのネットワーク側機能は、場合によっては異なる相互接続で、図2に明示的に示すのよりさらに多いまたは少ないコンポーネントを使用して実施することができる。例えば、ポリシー施行モジュール36の機能は、ポリシーを適用する各コンポーネント内に組み込むことができる。セキュリティポリシーは、例えば、セキュリティモジュール38によって管理も適用もできる。
【0085】
ソフトウェアベースの実施形態では、機能はそれぞれのソフトウェアモジュール内で実施する、または単一のハードウェアコンポーネント、すなわちマイクロプロセッサなどのプロセッサ、特定用途向け集積回路(ASIC)、デジタルシグナルプロセッサ(DSP)、またはマイクロコントローラによる実行のためにより少ないソフトウェアモジュール内に組み込むことができる。ソフトウェアは代わりに、例えば、多数のハードウェアコンポーネント、マイクロプロセッサ、およびDSP、またはネットワークプロセッサプラスいくつかのASICおよびFPGAによって実行することができる。一部の機能がソフトウェア内で実行され、その他がソフトウェアよりも速く動作する傾向があるハードウェア内で実行される組合せた実行も考えられる。
【0086】
したがって、機能は図2に示すのとは異なる方法で分割または統合することができ、本明細書に記載した機能モジュールのいずれかをソフトウェア、ハードウェア、またはそのいくつかの組合せで実行することができる。
【0087】
ポリシー施行モジュール36は、クライアントプロファイル内のサービスネットワーククライアントによって構成され、ネットワークコントローラ28に対するそのサービスの記述内で公表されるようなネットワークサービスに対するサービスネットワークポリシー施行を実施する。
【0088】
従来の要件を特定するポリシーアサーション、および例えば、特定のカスタマおよび/またはトランスポートプロトコル選択に必要な認証スキームなどの、ワイヤ上で最終的に明らかになる能力は、クライアントゲートウェイ内で実施される。したがって、これらのポリシーアサーションは、ネットワークコントローラからクライアントゲートウェイ内にダウンロードされ、ポリシー施行モジュール36によって施行される。
【0089】
ネットワークサービスプロバイダおよびコンシューマの認証および許可、ネットワークサービスを必要とし、ネットワークサービスに関連する通信トラフィックのプライバシーおよびインテグリティを保証するトランザクションの管理および実証は、他のコンポーネントと合わせてポリシー施行モジュール36によってポリシーを施行する際に必要とされる可能性がある機能の例である。ポリシー施行モジュール36は、例えばメッセージデジタル署名を実証することなどによる認証のために、セキュリティモジュール38と相互作用することができる。したがって、セキュリティポリシーの施行は、ポリシーを管理するポリシー施行モジュール36、およびクライアントを認証し、例えば場合によっては通信トラフィックを通過させるまたは落とすことによってポリシーを実際に適用するセキュリティモジュール38の両方を必要とする可能性がある。
【0090】
したがって、ポリシー施行モジュール36自体は実際、施行のために管理するポリシーを適用する必要がないことを理解すべきである。ポリシーをサービスネットワーククライアントおよびトランザクションに適用させるためのポリシー施行モジュール36および他のコンポーネントの間の相互作用は、本明細書を読み進めるとともに明らかになるだろう。
【0091】
クライアントゲートウェイ30でのポリシー施行モジュール36により、現在の企業中心ネットワークサービスで起こるような各特定ネットワークウェブサービスではなく、仮想エクストラネットサービスでのクライアント認証が行われる。アクセスネットワークインターフェイス34がこれによって通信するネットワークサービスプロバイダシステム内のネットワークサービスコンシューマは、クライアントゲートウェイ30のクライアントであり、クライアントゲートウェイ30での単一のサインオンによるサービスネットワークにわたってネットワークサービスへのアクセスを得る。クライアントゲートウェイ30はしたがって、そのクライアントからサービス毎認証負担を取り除く。クライアント認証で使用される情報は、メモリ37、好ましくは安全メモリデバイスまたは領域内に記憶することができる1つのタイプの情報の例である。
【0092】
クライアントXMLデジタル署名が存在しない場合では、ポリシー施行モジュール36は、セキュリティアサーションの点でエンドネットワークサービスが期待するものによりセキュリティアサーションを生成するように、セキュリティモジュール38と協働することができる。新規のセキュリティアサーションは、クライアントの認証、およびメッセージのインテグリティをアサートするようにサービスメッセージに取り付けられる。
【0093】
クライアントの識別「優先」が存在するが、ネットワークサービスの「優先」とは異なる場合、ポリシー施行モジュール36は、特定のデジタル認証、図ではX.509認証をセキュリティアサーションマークアップ言語(SAML)アサーションなどの異なるセキュリティアサーション内にマッピングするように、セキュリティモジュール38と協働することができる。
【0094】
SAML、WS−Federation、およびWS−Trustなどの標準により描かれる知られている機構は、これらの機能に使用されることが好ましい。
【0095】
一実施形態では、ポリシー施行モジュール36は、フェデレーション識別のハードウェア実施、アクセス制御、およびネットワークコントローラ28を使用して前もってセットアップされたポリシーの施行を提供する(図1)。フェデレーション識別はユーザが、ユーザ識別を生成および認証し、その後、個人情報を中心記憶することなくドメインとサービスプロバイダの間の識別を共有することが可能になる。
【0096】
ウェブサービス操作に対して調整されたSLAはまた、クライアントゲートウェイ30がこれを通してそのクライアントおよびサービスネットワークと通信するアクセス側およびネットワーク側通信リンクのいずれかまたは両方の定位置にあってもよい。ポリシー施行モジュール36はまた、メモリ37内に記憶することができる、SLA関連パラメータを施行するように通信トラフィックレベルを監視することができる。
【0097】
上に簡単に説明したように、本発明の実施形態による仮想エクストラネットサービスネットワークはXML基準ベースであり、したがってポリシー施行モジュール36は、以下に説明するサービス処理モジュール43と合わせて、アクセスネットワークインターフェイス34を通してクライアントゲートウェイ30のクライアントから受けた入口データトラフィックに対してXMLメッセージヘッダおよびメッセージペイロード変換を施行することもできる。変換はまた、他のメッセージフォーマットからXML基準ベースネットワークサービスメッセージ内に行うことができる。逆変換と、アクセスネットワークおよびサービスネットワーク内で使用された非XMLフォーマット間の変換も考えられる。
【0098】
セキュリティモジュール38は、サービスネットワーク上の通信のセキュリティを保証するようにセキュリティ基準を実行する。いくつかの実施形態では、セキュリティモジュール38は、WSセキュリティ、XML暗号化/記述、およびXML署名などのウェブサービス基準ベースツールを使用してサービスネットワークメンバー間の安全なデータ経路を提供する。これらのツールにより、クライアントゲートウェイ30は既存のセキュリティプロトコルを利用することが可能であり、許可されたサービスコンシューマが端末間プライベートビジネスネットワークに参加することができることを保証することができる。セキュリティモジュール38はしたがって、いくつかの実施形態では、コアエクストラネットサービスを凌ぐ改良のために中央認証およびキー管理サービスを示す。セキュリティモジュール38は、クライアントゲートウェイ30の全ての他のモジュール、特に、ポリシー施行モジュール36、UDDIプロキシモジュール41、SOAPプロキシモジュール42、サービス処理モジュール43、および両方のネットワークインターフェイス32、34にセキュリティ機能を与える。これらの機能は、遠隔通信セキュリティの分野でよく知られているプロトコルを使用した、署名の実証、暗号化、復号化、署名、および対称または非対称キーの交換のいずれかまたは全てを含むことができる。
【0099】
SOAPプロキシモジュール42は、クライアントとサービスネットワークの間のメッセージの流入出のためのSOAPヘッダ処理を行う。SOAPプロキシモジュール42は、2つのネットワークインターフェイス、アクセスネットワーク34のインターフェイス、およびサービスネットワークインターフェイス32内に2つのサービスアドレスを有するホストである。アクセスネットワーク内のクライアントに関する限り、サービスネットワークによってクライアントに公表された全てのサービスは、SOAPプロキシモジュール42から提供されると思われる。
【0100】
2つの接続されたネットワークのいずれかからのメッセージは、SOAPプロキシモジュール42にアドレス指定され、このモジュールは、SOAPメッセージを受け、ヘッダ処理などの機能および変更を行い、メッセージを適切な処理機器、UDDIプロキシモジュール41、またはサービス処理モジュール43に中継する。また、UDDIプロキシモジュール41およびサービス処理モジュール43からのメッセージは、SOAPプロキシモジュール42に送信される。UDDIプロキシモジュール41、またはサービス処理モジュールから受信されたメッセージは、例えば情報を処理するユニフォームリソースアイデンティファイア(URI)を加えるように、SOAPプロキシモジュール42によって処理することができる。SOAPプロキシモジュール42はまた、流出するメッセージ上でネットワークサービスポリシーを実施するようにポリシー施行モジュール36およびセキュリティモジュール38と相互作用し、その後、適切なインターフェイス上にメッセージを送信する。ポリシー施行、セキュリティ、アクセス制御、監査、およびクライアントゲートウェイ30の他のモジュールに関連する他の機能はしたがって、各メッセージに対してSOAPプロキシモジュール42によってトリガすることができる。
【0101】
SOAPプロキシモジュール42の操作を例示するために、以下の例示的な実施例が考えられる。1つの企業EBによって別の企業EAに提供されるサービスは、クライアントゲートウェイのSOAPプロキシモジュールSPAのURIから提供されているように見えるように、EAに関連するクライアントゲートウェイによってプロキシ化される。企業EBによって提供されるサービスに対する企業EAからのサービス要求は、1組の機能を適用し、サービス処理モジュール43にメッセージを通過させる、SOAPプロキシモジュールSPAに送信される。サービス要求を処理する際、サービス処理モジュール43は、それぞれSOAPソースおよび宛先URI SPAおよびSPBを加える、SOAPプロキシモジュールにメッセージを通過させ、SPBは企業EBのクライアントゲートウェイに関連するSOAPプロキシモジュールである。要求はその後、SPAからSPBに送信される。
【0102】
SOAPプロキシモジュールSPBはさらに、SOAPソースを操作し、要求を企業EBに転送する前にSPBおよびEBにメッセージのURIをアドレス指定する。逆の方向では、同様の変更がレスポンスに適用される。SOAP URIは、サービスURI、およびそのサービスに関連するゲートウェイのSOAPプロキシの両方を記憶するように操作される。
【0103】
SOAPプロキシモジュール42は、流入するトラフィックを、UDDIプロキシモジュール41に転送されるUDDI制御トラフィック、およびサービス処理モジュールに転送されるデータトラフィック、図ではXMLトラフィックに分類および分割する。トラフィック分類は、例えば深いパケット検査を必要とする可能性がある。
【0104】
混乱を避けるために図2には明示的には示さないが、SOAPプロキシモジュール42のトラフィック分類子は、ネットワークコントローラでの制御および/または管理トラフィックの交換を行うように、サービスネットワークインターフェイス32、またはネットワークコントローラとの通信をサポートする別のインターフェイスに動作可能に結合することができる。SOAPプロキシモジュール42は制御および/または管理トラフィックをネットワークコントローラから受けることができることも、また理解されるべきである。
【0105】
UDDIプロキシモジュール41は、新規のウェブサービスを公開する、または既存のウェブサービスの公開された変更にサブスクライブしようとするクライアントから受けた全てのUDDI公開要求に対して、サービスエクストラネットネットワークによってホスト化されたUDDI中央格納庫内のアクセスポイントとして、また「ファインドサービス」操作を開始するクライアントから受けた全てのUDDI照会要求に対して、プロキシモジュールとして働く。ネットワークサービスへのクライアントアクセスは、本明細書で開示されるように、ネットワークサービスポリシーにより制御される。これらのポリシーは、情報がファインドサービスまたはアナログ操作に応じて、クライアントシステムに戻されるネットワークサービスを制限するように、ポリシー施行モジュール36自体によって、またはUDDIプロキシモジュール41と合わせて施行することができる。
【0106】
UDDIプロキシモジュール41は、入口UDDIベースメッセージを期待する。UDDIフレームではない全ての他のメッセージは、UDDIプロキシモジュール41によって処分することができる。
【0107】
UDDIプロキシモジュール41は、クライアントゲートウェイレベルでローカルでUDDIエントリをキャッシュすることができる。これにより、UDDIプロキシモジュール41が、新規UDDI照会要求を受けた場合に、ローカルエントリルックアップおよび解決を行うことが可能になる。UDDIエントリがローカルで見つかる場合、その後UDDIレスポンスメッセージが生成され、サービスを要求するクライアントに向かって送信し戻される。
【0108】
UDDIエントリがローカルで見つからない場合、その後、UDDIグローバル格納庫内へのグローバルルックアップに対して、UDDI照会メッセージはネットワークコントローラに送信される。エントリはネットワークコントローラによって解決されると、UDDIレスポンスは要求が来た同じクライアントゲートウェイに送り戻される。クライアントゲートウェイ30は、別のUDDIルックアップ用のUDDI情報を習得および記憶することができる。
【0109】
したがって、UDDIプロキシモジュール41は、サービス要求のローカルおよびリモート解決を処理することができる。
【0110】
サービス処理モジュール43は、SOAPプロキシモジュール42からサービスメッセージを受け、サービスメッセージを処理し、サービスメッセージをSOAPプロキシモジュール42に送信する。サービス処理モジュール43の1つの一次機能は、ネットワークサービスに関連し、ネットワークサービスプロバイダとコンシューマの間で交換されているデータトラフィックを処理することである。一実施形態では例えば、SOAPプロキシモジュール42を通してアクセスネットワークから来るサービスメッセージは、サービスネットワークアドレス指定およびフォーマット化規則にそれを適応させるようにメッセージを解析および変更する、サービス処理モジュール43に送信される。フォーマット化規則は、例えば、ポリシー施行モジュール36によって管理されるサービスネットワーク変換ポリシー内で特定することができる。サービス処理モジュール43はその後、対応するサービスメッセージをネットワークサービスプロバイダに関連するクライアントゲートウェイにSOAPプロキシモジュールを通して、サービスネットワークにわたって送信する。
【0111】
転送/ルーティングモジュール44は、サービスネットワーク内の宛先に向けて、転送/ルーティング決定(レイヤ1またはレイヤ2転送、IPおよび/またはXMLルーティング)を行うことが好ましい。このモジュール44は、IPトラフィックを処理し、必要に応じてDNSルックアップを完備し、XMLレベルでのネットワーキングを行う能力を有する可能性があるが、他の実施形態は1つだけの、異なる、または場合によっては追加のルーティング機構を提供することができる。
【0112】
アプリケーションレイヤルーティングが行われる場合、モジュール44の基本機能は、サービス処理モジュール43にコンテンツベースルーティングを行うことである。サービス処理モジュール43は、公開されたメッセージに対してSOAP端点を識別するのに、転送/ルーティングモジュール44を使用することができる。SOAPプロキシモジュール42、サービス処理モジュール43、および転送/ルーティングモジュール44の例示的な実施形態は、公開サブスクライブ式ネットワーク用の必要な機構を提供する。
【0113】
転送/ルーティングモジュール44のアプリケーションルーティングレイヤは任意であり、通知およびイベント分配タイプサービスをサポートするのによく適している。一実施形態では、アプリケーションルーティングレイヤは、サブスクリプションデータベース内にクライアントサブスクリプションを記憶し、サブスクリプションデータベース内の1式のエントリに一致するXMLマルチキャストドキュメントを受ける際に、ドキュメントを必要とする次のSOAP端点を識別するようにこれらのエントリを使用し、SOAPプロキシモジュール42を通してこれらの端点にドキュメントを転送する。ドキュメントのサブスクリプション、およびドキュメントの公開は、WS−NotificationおよびWS−Eventing推奨でアウトライン化された標準化機構にしたがう。
【0114】
サービスネットワークインターフェイス32は、少なくとも物理的インターフェイスをサービスネットワークに提供する。サービスネットワークインターフェイス32のタイプおよび構造、およびサービスネットワークで交換された通知トラフィックで行うことができる他の操作は、サービスネットワーク依存である。このようなネットワークインターフェイスの多くの実施例は、当業者には自明のことであろう。
【0115】
データコレクタモジュール40は、次の記憶および処理のために、ネットワークコントローラまたは他のコンポーネントにローカル処理および/または転送することができるリアルタイム管理および請求書作成情報を集める。
【0116】
全ての操作が、ポリシー施行モジュール36、およびセキュリティモジュール38内のセキュリティ施行ポイントで首尾よく実行されると、安全なクライアント識別およびメッセージインテグリティをサービスエクストラネットワーク内で保証することができる。
【0117】
このポイントで、データコレクタモジュール40は様々な管理および請求書作成操作に対してリアルタイム情報をプルすることができる。データは、トランザクション監査、パフォーマンス監査、イベント監視、トランザクション端末間ビジネスアクティビティ監視(トランザクション完了/失敗)、アクティビティログ、SLA監視、注意およびエラー閾値、警告などのアクティビティに対して集めることができる。データコレクタ40は、処分ポリシーなどの上で統計をコンパイルするポリシー施行レベルで、セキュリティポリシー毎に処分されるパケットを数えるためにセキュリティモジュール38の後などに、データパス内の様々なステージのいずれかで情報を収集することができる。
【0118】
図2に示すようなクライアントゲートウェイは、ネットワークサービスプロバイダがローカルサービスなどのサービスネットワーク内にサービスを提供することを可能にし、ネットワークサービスコンシューマがサービスネットワーク内で利用可能なネットワークサービスを使用することを可能にする、またはその両方のように構成することができる。クライアントゲートウェイ30のクライアント企業は、企業アプリケーションサーバの形のネットワークサービスプロバイダと、エンドユーザサービスコンシューマの両方を含むことができる。
【0119】
クライアントゲートウェイ30のクライアントがクライアントゲートウェイ30で認証され、そのネットワークサービスをサービスネットワーク内に提供したいと望む場合、クライアントから、図ではアクセスネットワークインターフェイス34で終端する安全トンネルを通して受ける制御トラフィックは、上記のように処理され、サービスネットワーク内でネットワークコントローラに転送される。
【0120】
サービスネットワーク内のネットワークサービスのアベラビリティのレベルは、ネットワークサービスプロバイダ、またはネットワークコントローラによって特定される明示アクセス制御規則に基づき決めることができる。ネットワークサービスプロバイダは、独自のプライベート企業システム内のコンシューマによってのみ使用するためにネットワークサービスがプライベートであることを要求することができる。サービスネットワークの他のメンバにアクセス可能ではないが、サービスネットワーク内でのプライベートネットワークサービスへのアクセスを制限することにより、ネットワークサービスプロバイダが、例えばポリシー施行およびレジストリホスティングを含む、サービスネットワークの他の機能を利用することが可能になる。ネットワークサービスプロバイダが、ネットワークサービスが利用可能にされる特定のサービスネットワークメンバまたはグループを特定する、セミプライベートネットワークサービスも想像される。制限されていないネットワークサービスは、サービスネットワークの全てのメンバにアクセス可能である。
【0121】
所定のネットワークサービスアクセス制御は代わりに、ネットワークコントローラで構成し、ネットワークサービスまたはネットワークサービスのプロバイダのタイプまたはクラスによりネットワークサービスに適用することができる。特定のタイプの、または特定のネットワークサービスプロバイダクラスからの全てのネットワークサービスは、ネットワークサービスプロバイダが例えば最初にサービスネットワークに登録する場合に確立された同じ所定のアクセス制御を有することができる。別の可能な所定のアクセス制御レジュームは、そのグループだけの中で利用可能な既存のビジネス関係を有するネットワークサービスプロバイダのグループのネットワークサービスを作る。
【0122】
中央ポリシー管理モデルでは、ネットワークサービスに関連するあらゆるアクセス制御はネットワークコントロールによってサービスコンテンツまたはポリシーとして記憶される。これらのポリシーは、ポリシー施行モジュール36によって各クライアントゲートウェイにダウンロードされ、上記のようにデータトラフィックに適用される。
【0123】
ネットワークサービス用にアクセス制御を確立および管理するのに使用される特定のアクセス制御スキームに関係なく、提供されたネットワークサービスは、各ネットワークサービス用のあらゆるアクセス制御によりサービスネットワーク内で利用可能にされる。これはいくつかの方法で実行することができる。上記のように、制御トラフィックはサービスネットワーク内のネットワークコントローラに転送され、これによって処理される。この場合、ネットワークコントローラは、サービスネットワーク内のクライアントゲートウェイにアクセス可能であるグローバルレジストリ内のネットワークサービス用の情報を公開することができる。各クライアントゲートウェイはその後、ネットワークサービスに関連するポリシーにしたがって、そのクライアントによって登録されたネットワークサービスへのアクセスを制御する。
【0124】
本発明は、ネットワークサービスアクセス制御の上記実施例に限るものではない。アクセス制御は、サービスネットワーク内で全て必ずしも実行される必要は全くない。いくつかの実施形態では、サービスネットワーク内に提供された全てのネットワークサービスは、サービスネットワークの全てのメンバに自動的に利用可能である。
【0125】
ネットワークサービスプロバイダはまた、ネットワークコントローラと制御トラフィックを交換することによって、実質的に同様の方法で例えばアクセス制御を変更するように、ネットワークサービスのポリシーを変更することができることが好ましい。
【0126】
クライアントはポリシー施行モジュール36およびセキュリティモジュール42によって認証されると、クライアントはまた、あるいは代わりに、クライアントゲートウェイ30を通してサービスネットワーク内で利用可能なネットワークサービスにアクセスすることができる。クライアントがアクセスすることが可能である特定のネットワークサービスは、ポリシー施行モジュール36によって管理されたポリシーにしたがって制御される。サービスネットワークのグローバルレジストリは、ネットワークコントローラによって記憶され、ポリシー施行モジュール36にダウンロードされたネットワークサービスポリシー内で特定されるように、全てのクライアントに利用可能ではないネットワークサービス用のレジストリエントリを含むことができる。クライアントゲートウェイ30のクライアントがアクセス可能となるこれらのネットワークサービスだけが、クライアントに利用可能とされる。
【0127】
サービスネットワークを通してクライアントゲートウェイ30のクライアントとリモートネットワークサービスプロバイダの間でその後に交換されるデータトラフィックは、実質的に上に記載されるように処理される。クライアントからリモートネットワークサービスプロバイダに向けられたトラフィックは、セキュリティモジュール38によってセキュリティポリシーに基づき処理され、SOAPプロキシモジュール42内で変更され、サービス処理モジュール43内のXMLメッセージタイプに基づき異なるように処理され、最後に、データトラフィックは、ルーティングモジュール44によってサービスネットワークインターフェイス32を通してリモートネットワークサービスプロバイダに、または実際はリモートネットワークサービスプロバイダが接続されたクライアントゲートウェイにルーティングされる。
【0128】
実質的に同様な処理は、クライアントゲートウェイ30のクライアントによって提供されるネットワークサービスに関連するデータトラフィックに適用される。サービスネットワークインターフェイス32を通してリモートネットワークカスタマから受けたデータトラフィックは、セキュリティモジュール38、SOAPプロキシモジュール42、およびサービス処理モジュール43によってデータトラフィックとして処理され、変更され、また分類および処理される。受けたデータトラフィックはその後、アクセスネットワークインターフェイス34によってクライアントに転送される。
【0129】
次にネットワークコントローラ28(図1)を参照すると、図3は例示的なネットワークコントローラのブロック図である。ネットワークコントローラ50は、管理システムインターフェイス52と、ゲートウェイインターフェイス54と、マネージャ60、64、66、69に動作可能に結合されたメモリ56とを備えている。ネットワークコントローラ50のコンポーネントは、集中アーキテクチャ、または分配および好ましくは中央管理可能アーキテクチャのいずれかに設けることができる。
【0130】
管理システムインターフェイス52は、例えば、サービスネットワークプラットフォームの構成および管理用の中央フレームワークを実行する、ネットワーク管理システム(NMS)などの管理システムにインターフェイスを提供する。管理システムインターフェイス52の構造および操作は、ネットワークコントローラ50がその上で管理システムと通信する接続のタイプに依存する。いくつかの実施形態では、ネットワークコントローラは管理された通信ネットワークを通して管理システムと通信する。別個のNMS管理および制御経路も共通である。例えば、XMLを使用したインターフェイス、および例えば管理情報ベース(MIB)にアクセスを提供するインターフェイスを含む管理システムインターフェイスの両方のタイプの例は、当業者には自明のことだろう。
【0131】
ゲートウェイインターフェイス54は、ネットワークコントローラ50がこれを通してクライアントゲートウェイと通信するインターフェイスを示す。図3の単一のコンポーネントとして示されているが、ゲートウェイインターフェイス54は、多数のクライアントゲートウェイとの通信のために、それぞれのインターフェイス、および場合によっては異なるタイプのインターフェイスを含むことができる。図2を参照して上に説明するように、制御トラフィックは、サービスネットワークインターフェイス、またはいくつかの他のタイプのインターフェイスを使用して、サービスネットワークを通してクライアントゲートウェイとネットワークコントローラの間で交換することができる。図3のゲートウェイインターフェイス54はしたがって、クライアントゲートウェイで提供される、サービスネットワークインターフェイス32(図2)または別のインターフェイスの何れかのインターフェイスと互換性のあるインターフェイスを示している。
【0132】
図2を参照して上で説明したインターフェイスと同様に、管理システムインターフェイス52、およびゲートウェイインターフェイス54は普通、通信媒体と通信信号を交換する物理的コンポーネントと、通信信号を生成および処理するハードウェアおよび/またはソフトウェア実行コンポーネントとを備えている。
【0133】
メモリ56は、情報を記憶する1つまたは複数のメモリデバイスを備えている。メモリ56内に記憶された情報は、カスタマプロファイルおよびポリシーなどの情報、セキュリティ情報、およびネットワークコントローラ50のコンポーネントによる使用のためにネットワークサービス毎のユーザ毎のアクセスリストおよびアクセスレベルグループと、サービスネットワーク内の他の機器によるアクセスおよび使用のためのレジストリ情報を含むことができる。しかし、メモリ56はローカルおよびリモートメモリデバイスの両方を含むことができることを理解すべきである。ネットワークコントローラソフトウェアがローカルで記憶されていることが好ましいが、レジストリは、ネットワークコントローラ50、およびネットワークサービスコンシューマが接続されるクライアントゲートウェイの両方にアクセス可能であるリモートメモリデバイス内に分配および記憶することができる。
【0134】
マネージャ60、64、66、69、およびインターフェイス52、54の内部機能またはコンポーネントのいくつかまたは全てをソフトウェアとして実行することができる。これらのマネージャを実行するソフトウェア、および機能をメモリ56内に記憶することもできる。
【0135】
ポリシーマネージャ60は、包括ポリシープロビジョニング、定義、およびセキュリティポリシー管理能力を提供する。ポリシー管理はポリシーマネージャ60によって中央化されるが、コンテンツおよびデータのポリシー断片はサービスネットワーク全体を通して分配方法で記憶することができる。ポリシーマネージャ60、および例えばポリシー情報が記憶されたメモリ56内のレジストリなどのポリシーコンポーネントを分配することができる。また、ポリシー情報はクライアントゲートウェイ内にポリシー施行モジュール内にダウンロードされる。ネットワークサービスに対してポリシー管理への集中的方法を利用することによって、単一のセットのポリシーを、サービスネットワークプロバイダのインフラ内で委任アドミニストレータによって管理することができる。ポリシーマネージャ60は、クライアントゲートウェイにポリシー情報を自動的にダウンロードするまたはプッシュする、クライアントゲートウェイからの要求に応じてポリシー情報を伝送する、またはポリシー情報伝達機構をプッシュするのもおよびプルするのもサポートするように構成することができる。
【0136】
一実施形態によれば、ポリシーマネージャ60は、ネットワークサービスポリシーレジストリを使用して、サービスポリシーを管理する。ネットワークサービスポリシーレジストリは、サービスネットワーク内で提供された全てのネットワークサービスに対してアクセス制御を確立するネットワークサービスポリシーの収集である。
【0137】
各個別のネットワークサービスポリシーは、メッセージ内に提示しなければならない認証情報などのプライバシーパラメータ、メッセージが署名および/または暗号化されなければならないかどうか、メッセージのどの部分が署名および/または暗号化されるか、およびメッセージまたはその部分がどのように署名および/または暗号化されるかを特定することができる。これらの機能は、WSセキュリティ、WSポリシー、WSポリシーアタッチメント、WSポリシーアサーションズ、およびWSセキュリティポリシーなどの既存のウェブサービス標準を実行することによって提供することができる。また、特定のネットワークサービスへのアクセスのレベル、図では、プライベート、セミプライベート/グループ、および仮想エクストラネットレベルでのパブリックを示す規則があってもよい。端末間サービス用のSLA合意およびQoS要件、特定のビジネストランザクション内で必要とされるビジネスパートナに関するリストおよび詳細もある可能性がある。
【0138】
あらゆる新規のネットワークサービスでは、サービスネットワークと結合するプロバイダまたはコンシューマ、コンシューマプロファイル、およびポリシーは登録時に作成されることが好ましい。上に説明するように、ネットワークサービスプロバイダは、制御トラフィックをクライアントゲートウェイを通してネットワークコントローラに伝送することによってサービスネットワーク内でそのネットワークサービスを公開する。クライアントゲートウェイからゲートウェイインターフェイス54を通して、または管理システムから管理システムインターフェイス52を通しての何れかで受けるポリシーは、仮想エクストラネットサービス内でポリシーマネージャ60によって中央管理されるが、サービスネットワークによって提供される仮想エクストラネット内で物理的に分配することができる。
【0139】
ネットワークサービスプロバイダまたはコンシューマがサービスネットワークを結合する時に独自のサービスポリシーを有する場合、ポリシーマネージャ60は、企業サービスポリシーをサービスネットワークのグローバルポリシーレジストリ内に統合することが可能である。エクストラネットレベルでの全ての管理データはそれによって、グローバル管理された仮想エクストラネットサービスを作成するために、企業管理システムからの他のデータと統合させることができる。
【0140】
ポリシーマネージャ60はまた、企業内の普通のシナリオと同様に、特定のネットワークサービスアプリケーションではなく、サービスネットワーク内でユーザ認証およびセキュリティプロファイルを管理する。企業空間内のネットワークサービスコンシューマは、クライアントゲートウェイを通してサービスネットワークに接続し、サービスネットワークでシングルサインオンを行う。ネットワークコントローラによってホスティングされる1つのレジストリ実体内のアクセス制御情報の中央化により、企業システム間の識別情報およびアクセス制御ポリシーを共有する問題が避けられる。代わりに、このデータは仮想エクストラネット内で記憶される。
【0141】
ポリシーマネージャ60はまた、図では、既存の所有権セッションクッキーをSAMLアサーション、およびその後他の識別格納庫にマッピングすることができる現実世界の識別に変換するのに必要なデータを提供することによって、レガシー認証システムに対応することもできる。
【0142】
ポリシーマネージャ60は、クライアントゲートウェイによってデータトラフィックに適用されるメッセージヘッダおよびメッセージペイロード変換を特定することができる。いくつかの実施形態では、変換は、レジストリ内に記憶された情報、図ではXMLスキーマによりXMLベースのウェブサービスメッセージとメッセージの他のフォーマットの間で行われる。
【0143】
セキュリティマネージャ64は、サービスネットワークを通したサービスネットワーククライアント通信のセキュリティを管理する。一実施形態では、セキュリティマネージャ64は、安全な通信を保証するように、確立されたネットワークサービスおよびXML標準を使用する。例えば、サービスネットワークコアの上で作成された安全なデータパスは上に説明したようにWSセキュリティおよびXML暗号化を使用することができる。クライアントゲートウェイは実際、サービスネットワークを通した安全な接続を確立するが、セキュリティマネージャ64はサービスネットワークに中央認証およびキー管理サービスを提供する。セキュリティ情報は、サービスネットワークを通した他のクライアントゲートウェイとの安全な通信を確立する際に使用するために、クライアントゲートウェイにダウンロードされる。ポリシーマネージャ60と同様に、セキュリティマネージャ64は、クライアントゲートウェイに安全情報を自動的にダウンロードするまたはプッシュする、クライアントゲートウェイがネットワークサービス用のセキュリティ情報を必要とする場合にランタイムでクライアントゲートウェイからの要求に応じて安全情報を伝送する、または伝達機構をプッシュするのもおよびプルするのもサポートするように構成することができる。
【0144】
レジストリマネージャ66は、ネットワークサービスロケーションおよび管理のための進歩したメタデータ能力で、ネットワークサービスレジストリ、図では、UDDIなどの工業標準レジストリを管理および削除する。サービスネットワークプロバイダは、例えば、定義する分類カテゴリおよびブランド設定に基づき、利用可能なネットワークサービス用のレジストリエントリを記憶することができる。一実施形態では、ネットワークサービスは、プライベート、パブリック、セミプライベートグループ、および/またはその他を含むことができる許可されたレベルのアクセスにしたがってレジストリ内で組織化される。上に説明したように、いくつかのネットワークサービスは特定のパートナにプライベートに公開することができ、他のネットワークサービスは全体のサービスネットワークにパブリックに公開される。
【0145】
レジストリマネージャ66によって管理されるネットワークサービスレジストリは、サービスネットワークに直接または間接的に接続された全てのネットワークサービスプロバイダからのネットワークサービスの収集である。サービスネットワークを結合する時にいかなるレジストリ能力を備えていない新規のネットワークサービスプロバイダまたはコンシューマでは、レジストリマネージャ66は、ネットワークサービスを公表および消費することを可能にするネットワークサービス、記述、ロケーション、所有権、およびパブリックAPIの完全な収集を提供する。企業は代わりに、サービスネットワークを結合する時に独自のレジストリを有することができ、この場合、レジストリマネージャは内部企業ネットワークサービスをサービスネットワークのグローバルネットワークサービスレジストリ内に公開することが可能になる。
【0146】
他のメタデータレジストリはまた、基本ネットワークサービスロケーションおよび管理以外の目的で、ネットワークサービス情報を記憶するのに利用可能である。これらは、タイムアウト、適用されるXMLスキーマ、サービス契約、QoSパラメータ、およびサブスクリプションおよびアドレス指定情報などのサービス態様を管理するために他のネットワークコントローラコンポーネントによる使用のためのレジストリを含むことができる。追加のレジストリは、例えば請求書作成情報、SLA監視情報、トランザクション端末間ビジネスアクティビティ監視情報、アクティビティログおよびパフォーマンス監査情報、および例外警告を記憶した結果得られるデータの収集を記憶することができる。
【0147】
ユーザ信用状、一般ポリシー、およびセキュリティポリシーもレジストリ内に記憶することができる。
【0148】
いくつかの実施形態では、サービスネットワークのクライアントは、そのサービスポリシーにしたがった、全てのレジストリ情報のリアルタイム監視および照会のためのリアルタイムコンソールアクセスおよび管理ツールを有する。
【0149】
システムマネージャ69は、例えばトランザクション、イベント、注意、および警告の集中制御、監視、および監査を行うようにクライアントゲートウェイによって捕捉された監査記録を受け、包括契約およびSLAの運搬を管理することができる。トランザクション優先は、重大性に基づき実行されることが好ましい。システムマネージャ69の他の可能な機能は、トランザクション完了/失敗に関する報告、およびSLA契約の管理を含む。
【0150】
本発明の実施形態を、通信ネットワーク機器、すなわちクライアントゲートウェイおよびネットワークコントローラに関して基本的に上で説明した。図4は、本発明の実施形態による方法のフロー図である。
【0151】
方法70は、サービスネットワークのクライアント、この場合、ネットワークサービスプロバイダを認証する操作で72で始まる。ネットワークサービスプロバイダが認証されると、ネットワークサービスプロバイダによって提供されるプライベートネットワークサービスは、74でサービスネットワーク内で公開することができる。
【0152】
ネットワークサービスが利用可能であると、76で同じクライアントゲートウェイ、または異なるクライアントゲートウェイで認証されるネットワークサービスコンシューマは、ネットワークサービスを使用するように、78でサービスネットワークへアクセスすることが可能になる。
【0153】
図4に示す方法70は、単に例示的な目的を意図したものであり、ネットワークサービスを提供および使用した、異なるクライアントの状況を示している。より詳細には、サービスネットワークの認証クライアントは、プライベートネットワークサービスをサービスネットワークの別のクライアントに対して利用可能にすることを、またはサービスネットワークの別のクライアントによって提供されるネットワークサービスを使用することを可能にすることができる。同じクライアントはしたがって、一度だけ認証することができ、続いて多数のネットワークサービス関連機能を行うことが可能である。ネットワークサービスがクライアントによって利用可能にされると、クライアントはまた、ネットワークサービスをサービスネットワークの別のクライアントによって使用することを可能にするように、ネットワークサービスのプライバシーを変えることもできる。
【0154】
図4に示す操作を行う様々な方法と、行うことができる他の操作は前述のことから明らかであろう。
【0155】
記載されたものは、本発明の原理の応用例を単に例示するものである。他の配置および方法は、本発明の範囲から逸脱することなく当業者によって行うことができる。
【0156】
例えば、サービスネットワークは、上記の関連応用例で開示されたパブリックネットワークゲートウェイおよびサービスネットワークゲートウェイなどの、図1に示すもの以外のコンポーネントを含むことができる。
【0157】
サービスネットワークはまた、多数のネットワークコントローラを含むことができる。異なるゲートウェイは、異なるネットワークコントローラに接続することができる。中央サービスレジストリを維持し、サービスネットワークゲートウェイとの通信などの、サービスネットワークのいくつかの操作のために指定ネットワークコントローラなどの1つのネットワークコントローラを構成することが望ましい可能性がある。指定ネットワークコントローラは、通常のネットワークコントローラと同じであってもよいが、例えば、管理システムインターフェイス52(図3)を通してオペレータ端末のコマンドラインインターフェイス(CLI)を通してネットワークコントローラとして構成することができる。
【0158】
ネットワークサービスレジストリは1つのサービスネットワーク内の多数のネットワークコントローラに維持される場合、ネットワークコントローラは、各レジストリ内に含まれるサービス、およびこれらのサービスのローカル記憶に関する制御情報を交換するためにその間で通信することが好ましい。
【0159】
したがって、ネットワークコントローラは、ゲートウェイおよび場合によっては他のネットワークコントローラによって、これに提供された情報をレジストリ内に記憶することができる。
【0160】
図2および3に示す例示的なクライアントゲートウェイおよびネットワークコントローラコンポーネントは、同様に限定的なものではない。本発明の実施形態は、より少ないまたは追加のコンポーネントを含むことができる。混乱を避けるために管理システムインターフェイスは図2の例示的なクライアントゲートウェイ30内に示されていないが、ネットワークコントローラと通信する管理システムはまた、例えばクライアントゲートウェイと通信することができる。
【0161】
ネットワークサービスプロバイダおよびコンシューマを、企業クライアントとして本明細書に基本的に説明したが、必ずしも企業に関連している必要はない。本発明の実施形態は、モバイルエンドユーザシステム13などの、非企業ネットワークサービスプロバイダおよびコンシューマと合わせて実施することができる。
【0162】
本発明はまた、クライアントゲートウェイとネットワークコントローラの間の機能のあらゆる特定の分割に制約されるものではない。機能は、本明細書に明示的に記載されたのとは異なる方法で分配または統合することができる。例えば、レジストリは中心的の代わりに、各クライアントゲートウェイによって記憶することができる。
【0163】
加えて、方法およびシステムの内容で基本的に説明したが、例えば機械読取可能媒体上に記憶された指示として、本発明の他の実施も考えられる。
【図面の簡単な説明】
【0164】
【図1】本発明の実施形態を組み込んだ通信システムのブロック図である。
【図2】例示的クライアントゲートウェイのブロック図である。
【図3】例示的ネットワークコントローラのブロック図である。
【図4】本発明の実施形態による方法のフロー図である。
【特許請求の範囲】
【請求項1】
サービスネットワーク内にネットワークサービスを提供する装置であって、
クライアントによって提供されたネットワークサービスをサービスネットワークの別のクライアントに対して利用可能にするために、またはサービスネットワークの別のクライアントによって提供されたネットワークサービスを使用するために、またはクライアントによって提供されたネットワークサービスをプライベートサービスネットワークの別のクライアントに対して利用可能にし、サービスネットワークの別のクライアントによって提供されたネットワークサービスを使用するために、サービスネットワークの認証ポリシーにしたがってサービスネットワークへのクライアントアクセス用の規則を施行し、認証されたクライアントがサービスネットワークへアクセスすることを可能にするように構成されたポリシー施行モジュールを備えた、装置。
【請求項2】
ポリシー施行モジュールがさらに、認証されたクライアントがネットワークサービスをサービスネットワーク内であらゆる他のクライアントに対して利用可能にし、ネットワークサービスに関連するそれぞれのサービスポリシーにしたがって別のクライアントによって提供されたネットワークサービスを使用することができるように構成されている、請求項1に記載の装置。
【請求項3】
認証されたクライアントとサービスネットワークの間、サービスネットワーク内、およびサービスネットワークとサービスネットワークの宛先クライアントの間の安全な端末間通信を施行するセキュリティモジュールをさらに備えた、請求項1または2に記載の装置。
【請求項4】
ポリシー施行モジュールに動作可能に結合され、規則に基づく認証および許可アクションを通信トラフィックに適用し、認証および許可アクションに応じて通信トラフィックを通過させるまたは落とすように構成された、セキュリティモジュールをさらに備えた、請求項1または2に記載の装置。
【請求項5】
セキュリティモジュールがさらに、認証されたクライアントに関連する通信トラフィックにセキュリティ規則を適用するように構成された、請求項4に記載の装置。
【請求項6】
セキュリティモジュールに動作可能に結合され、制御トラフィックまたはデータトラフィックとして認証されたクライアントに関連するトラフィックを分類し、サービスレジストリ内での公開のために認証されたクライアントによって提供されるネットワークサービスに関連する情報を含む制御トラフィックを伝送し、次の処理のためにデータトラフィック内のSOAP情報を変更するように構成されたシンプルオブジェクトアクセスプロトコル(SOAP)プロキシモジュールをさらに備えた、請求項4に記載の装置。
【請求項7】
SOAPプロキシモジュールに動作可能に結合されたユニバーサルディスクリプションディスカバリアンドインテグレーション(UDDI)プロキシモジュールをさらに備えた装置であって、
SOAPプロキシモジュールがさらに、受けたUDDI制御トラフィックを特定し、次の処理のためにUDDIプロキシモジュールに、受けたUDDI制御トラフィックを転送するように構成されている、請求項6に記載の装置。
【請求項8】
受けたUDDI制御トラフィックが、ネットワークサービスルックアップに対する要求を含み、UDDIプロキシモジュールが、要求の解決を処理し、各要求を開始させたクライアントに反応するようにさらに構成された、請求項7に記載の装置。
【請求項9】
ポリシー施行モジュールが、認証されたクライアントがサービスレジストリに対してネットワークサービスに関連する情報を公開することを可能にすることによって、認証されたクライアントがネットワークサービスをUDDIプロキシモジュールを通して別のクライアントに利用可能にすることを可能にするように、また認証されたクライアントがサービスレジストリにアクセスすることを可能にすることによって、認証されたクライアントが別のクライアントによって提供されたネットワークサービスを使用することを可能にするように構成されている、請求項6に記載の装置。
【請求項10】
ネットワークサービスに関連する情報が、サービスネットワークの別のメンバによる使用のためのネットワークサービス用のアクセス規則を特定するアクセス情報を含んでおり、ポリシー施行モジュールがさらに、サービスネットワークの他のクライアントによって特定されたアクセス規則にしたがってUDDIプロキシモジュールを通してサービスレジストリからサービスネットワークの別のクライアントによって提供されたネットワークサービスに関連する情報に認証されたクライアントがアクセスすることを可能にするように構成されている、請求項9に記載の装置。
【請求項11】
SOAPプロキシモジュールに動作可能に結合され、SOAPプロキシモジュールでデータトラフィックを交換するように構成されたサービス処理モジュールをさらに備えている、請求項7に記載の装置。
【請求項12】
ポリシー施行モジュールに動作可能に結合され、サービスネットワーク内で通信トラフィックをルーティングするように構成され、レイヤ1転送方法、レイヤ2転送方法、インターネットプロトコル(IP)ルーティング、および拡張マークアップ言語(XML)ルーティングの少なくとも1つをサポートする転送/ルーティングモジュールをさらに備えた、請求項1または2に記載の装置。
【請求項13】
ポリシー施行モジュールがさらに、認証されたクライアントおよびサービスネットワークへの変換のためにそれぞれのフォーマットを特定する、サービスネットワークの変換ポリシーを実行するように構成された、請求項1または2に記載の装置。
【請求項14】
ネットワークサービスプロバイダによって提供されたネットワークサービスがネットワークサービスコンシューマにアクセス可能とされたサービスネットワークを提供する通信システムであって、
ネットワークサービスプロバイダおよびネットワークサービスコンシューマに動作可能に結合される少なくとも1つのクライアントゲートウェイであって、それぞれ請求項1または2に記載の装置を備えた少なくとも1つのクライアントゲートウェイと、
クライアントゲートウェイによって施行されるポリシーを管理する少なくとも1つのクライアントゲートウェイ、およびネットワークサービスのレジストリに動作可能に結合されたネットワークコントローラとを備えた、システム。
【請求項15】
サービスネットワーク内で利用可能なネットワークサービスに関連したポリシーを管理する装置であって、
サービスネットワークのクライアントがこれを通してサービスネットワークにアクセスするクライアントゲートウェイに動作可能に結合されるクライアントゲートウェイインターフェイスと、
クライアントゲートウェイインターフェイスに動作可能に結合され、クライアントゲートウェイに、ネットワークサービスポリシーにしたがってサービスネットワークのクライアントによるネットワークサービスへのアクセスを制御させるように、クライアントゲートウェイインターフェイスを通してクライアントゲートウェイへのそれぞれのネットワークサービスに対するアクセス制御を特定するネットワークサービスポリシーを分配するように構成されたポリシーマネージャとを備えている装置。
【請求項16】
ポリシーマネージャがさらに、サービスネットワークでのクライアントの認証、およびクライアントゲートウェイによってデータトラフィックに適用されるフォーマット変換の少なくとも1つを管理するように構成されている、請求項15に記載の装置。
【請求項17】
ネットワークサービスポリシーが、ネットワークサービスポリシーレジストリ内に記憶されたネットワークサービスポリシーを備えており、ポリシーマネージャがさらに、ネットワークサービスポリシーレジストリを維持し、ネットワークサービスポリシーレジストリ内に、ネットワークサービスが提供されるサービスネットワークのクライアントから受けた既存のネットワークサービスポリシーを統合するように構成されている、請求項15または16に記載の装置。
【請求項18】
クライアントゲートウェイインターフェイスに動作可能に結合され、サービスネットワークによりクライアント通信の安全性を管理するように構成されたセキュリティマネージャと、
クライアントゲートウェイインターフェイスに動作可能に結合され、サービスネットワーク内で利用可能なネットワークサービスのレジストリ、サービスタイムアウト情報、拡張マークアップ言語(XML)スキーマ、サービスコントラクト、サービス品質(QoS)パラメータ、サブスクリプション情報、アドレス指定情報、請求書作成情報、サービス内容合意(SLA)監視情報、トランザクショナルネットワークサービスアクティビティ監視情報、アクティビティログ、パフォーマンス監査情報、および例外警告の少なくとも1つを管理するように構成されたレジストリマネージャと、
クライアントゲートウェイインターフェイスに動作可能に結合され、クライアントゲートウェイによって捕捉された監査レコードを受けて管理するように構成されたシステムマネージャとの少なくとも1つをさらに備えている、請求項15または16に記載の装置。
【請求項19】
ネットワークサービスプロバイダによって提供されるプライベートネットワークサービスが、ネットワークサービスコンシューマにアクセス可能にされた、サービスネットワークを提供する通信システムであって、
ネットワークサービスプロバイダおよびネットワークサービスコンシューマにサービスネットワークへのアクセスを提供するように、ネットワークサービスプロバイダおよびネットワークサービスコンシューマに動作可能に結合される少なくとも1つのクライアントゲートウェイと、
少なくとも1つのクライアントゲートウェイに動作可能に結合され、請求項15または16に記載の装置を備えたネットワークコントローラとを備えた、通信システム。
【請求項20】
サービスネットワーク内で利用可能なネットワークサービスを管理する装置であって、
サービスネットワークのクライアントがこれを通してサービスネットワークにアクセスするクライアントゲートウェイに動作可能に結合されるクライアントゲートウェイインターフェイスと、
クライアントゲートウェイインターフェイスに動作可能に結合されるとともに、サービスレジストリ内の情報に関する要求をクライアントゲートウェイから受け、それに応じて要求された情報を提供し、サービスネットワーク内で利用可能にされるネットワークサービスに関連する情報をクライアントゲートウェイから受け、サービスレジストリ内の受けた情報を公開し、ネットワークに関連するサービスレジストリ内の情報の変更に対するサブスクリプションをクライアントゲートウェイから受け、サブスクリプションに応じた変更に通知を送信するように構成されたレジストリマネージャとを備えた、装置。
【請求項21】
請求項20に記載の装置を備えたネットワークコントローラと、
サービスレジストリを記憶するためにネットワークコントローラに動作可能に結合されたメモリと、
サービスネットワークの少なくとも1つのクライアントおよびメモリに動作可能に結合され、少なくとも1つのクライアントによってサービスレジストリ内で公開されたネットワークサービスへのアクセスを制御するように構成されたクライアントゲートウェイとを備えた、通信システム。
【請求項22】
サービスネットワーク内にネットワークサービスを提供する方法であって、
プライベートサービスネットワークのクライアントを認証および許可するステップと、
クライアントが許可された場合に、クライアントによって提供されたネットワークサービスをサービスネットワーク内で利用可能にするステップ、または
クライアントが許可されたサービスネットワークの別のクライアントによって提供された特定のネットワークサービスまたはネットワークサービスのグループを使用するようにクライアントがサービスネットワークにアクセスすることを可能にするステップとを含んでいる、方法。
【請求項23】
利用可能にするステップが、サービス公開のためにサービスネットワークとの接続を開始するステップを含み、
可能にするステップが、ターゲットのネットワークサービスとの接続を開始し、ターゲットのサービスへ要求を送信し、そこから回答を受信することによってターゲットのネットワークサービスをクライアントが使用することを可能にするステップを含んでいる、請求項22に記載の方法。
【請求項24】
可能にするステップがさらに、クライアントがネットワークサービスのレジストリを参照して、特定のネットワークサービスまたはネットワークサービスのグループ用の情報にアクセスする、または特定のネットワークサービスまたはネットワークサービスのグループ用のレジストリレベルでの変更にサブスクライブすることを可能にするステップを含んでいる、請求項23に記載の方法。
【請求項25】
利用可能にするステップが、クライアントによって提供されるネットワークサービスのサービスポリシーにしたがってネットワークサービスを別のクライアントに対して利用可能にするステップを含み、可能にするステップが、クライアントによる使用を許可する関連するサービスポリシーを有するネットワークサービスを決定するステップを含んでいる、請求項22に記載の方法。
【請求項26】
実施した場合に請求項22から25のいずれか一項に記載の方法を実行する、指示を記憶した、機械読取可能な媒体。
【請求項1】
サービスネットワーク内にネットワークサービスを提供する装置であって、
クライアントによって提供されたネットワークサービスをサービスネットワークの別のクライアントに対して利用可能にするために、またはサービスネットワークの別のクライアントによって提供されたネットワークサービスを使用するために、またはクライアントによって提供されたネットワークサービスをプライベートサービスネットワークの別のクライアントに対して利用可能にし、サービスネットワークの別のクライアントによって提供されたネットワークサービスを使用するために、サービスネットワークの認証ポリシーにしたがってサービスネットワークへのクライアントアクセス用の規則を施行し、認証されたクライアントがサービスネットワークへアクセスすることを可能にするように構成されたポリシー施行モジュールを備えた、装置。
【請求項2】
ポリシー施行モジュールがさらに、認証されたクライアントがネットワークサービスをサービスネットワーク内であらゆる他のクライアントに対して利用可能にし、ネットワークサービスに関連するそれぞれのサービスポリシーにしたがって別のクライアントによって提供されたネットワークサービスを使用することができるように構成されている、請求項1に記載の装置。
【請求項3】
認証されたクライアントとサービスネットワークの間、サービスネットワーク内、およびサービスネットワークとサービスネットワークの宛先クライアントの間の安全な端末間通信を施行するセキュリティモジュールをさらに備えた、請求項1または2に記載の装置。
【請求項4】
ポリシー施行モジュールに動作可能に結合され、規則に基づく認証および許可アクションを通信トラフィックに適用し、認証および許可アクションに応じて通信トラフィックを通過させるまたは落とすように構成された、セキュリティモジュールをさらに備えた、請求項1または2に記載の装置。
【請求項5】
セキュリティモジュールがさらに、認証されたクライアントに関連する通信トラフィックにセキュリティ規則を適用するように構成された、請求項4に記載の装置。
【請求項6】
セキュリティモジュールに動作可能に結合され、制御トラフィックまたはデータトラフィックとして認証されたクライアントに関連するトラフィックを分類し、サービスレジストリ内での公開のために認証されたクライアントによって提供されるネットワークサービスに関連する情報を含む制御トラフィックを伝送し、次の処理のためにデータトラフィック内のSOAP情報を変更するように構成されたシンプルオブジェクトアクセスプロトコル(SOAP)プロキシモジュールをさらに備えた、請求項4に記載の装置。
【請求項7】
SOAPプロキシモジュールに動作可能に結合されたユニバーサルディスクリプションディスカバリアンドインテグレーション(UDDI)プロキシモジュールをさらに備えた装置であって、
SOAPプロキシモジュールがさらに、受けたUDDI制御トラフィックを特定し、次の処理のためにUDDIプロキシモジュールに、受けたUDDI制御トラフィックを転送するように構成されている、請求項6に記載の装置。
【請求項8】
受けたUDDI制御トラフィックが、ネットワークサービスルックアップに対する要求を含み、UDDIプロキシモジュールが、要求の解決を処理し、各要求を開始させたクライアントに反応するようにさらに構成された、請求項7に記載の装置。
【請求項9】
ポリシー施行モジュールが、認証されたクライアントがサービスレジストリに対してネットワークサービスに関連する情報を公開することを可能にすることによって、認証されたクライアントがネットワークサービスをUDDIプロキシモジュールを通して別のクライアントに利用可能にすることを可能にするように、また認証されたクライアントがサービスレジストリにアクセスすることを可能にすることによって、認証されたクライアントが別のクライアントによって提供されたネットワークサービスを使用することを可能にするように構成されている、請求項6に記載の装置。
【請求項10】
ネットワークサービスに関連する情報が、サービスネットワークの別のメンバによる使用のためのネットワークサービス用のアクセス規則を特定するアクセス情報を含んでおり、ポリシー施行モジュールがさらに、サービスネットワークの他のクライアントによって特定されたアクセス規則にしたがってUDDIプロキシモジュールを通してサービスレジストリからサービスネットワークの別のクライアントによって提供されたネットワークサービスに関連する情報に認証されたクライアントがアクセスすることを可能にするように構成されている、請求項9に記載の装置。
【請求項11】
SOAPプロキシモジュールに動作可能に結合され、SOAPプロキシモジュールでデータトラフィックを交換するように構成されたサービス処理モジュールをさらに備えている、請求項7に記載の装置。
【請求項12】
ポリシー施行モジュールに動作可能に結合され、サービスネットワーク内で通信トラフィックをルーティングするように構成され、レイヤ1転送方法、レイヤ2転送方法、インターネットプロトコル(IP)ルーティング、および拡張マークアップ言語(XML)ルーティングの少なくとも1つをサポートする転送/ルーティングモジュールをさらに備えた、請求項1または2に記載の装置。
【請求項13】
ポリシー施行モジュールがさらに、認証されたクライアントおよびサービスネットワークへの変換のためにそれぞれのフォーマットを特定する、サービスネットワークの変換ポリシーを実行するように構成された、請求項1または2に記載の装置。
【請求項14】
ネットワークサービスプロバイダによって提供されたネットワークサービスがネットワークサービスコンシューマにアクセス可能とされたサービスネットワークを提供する通信システムであって、
ネットワークサービスプロバイダおよびネットワークサービスコンシューマに動作可能に結合される少なくとも1つのクライアントゲートウェイであって、それぞれ請求項1または2に記載の装置を備えた少なくとも1つのクライアントゲートウェイと、
クライアントゲートウェイによって施行されるポリシーを管理する少なくとも1つのクライアントゲートウェイ、およびネットワークサービスのレジストリに動作可能に結合されたネットワークコントローラとを備えた、システム。
【請求項15】
サービスネットワーク内で利用可能なネットワークサービスに関連したポリシーを管理する装置であって、
サービスネットワークのクライアントがこれを通してサービスネットワークにアクセスするクライアントゲートウェイに動作可能に結合されるクライアントゲートウェイインターフェイスと、
クライアントゲートウェイインターフェイスに動作可能に結合され、クライアントゲートウェイに、ネットワークサービスポリシーにしたがってサービスネットワークのクライアントによるネットワークサービスへのアクセスを制御させるように、クライアントゲートウェイインターフェイスを通してクライアントゲートウェイへのそれぞれのネットワークサービスに対するアクセス制御を特定するネットワークサービスポリシーを分配するように構成されたポリシーマネージャとを備えている装置。
【請求項16】
ポリシーマネージャがさらに、サービスネットワークでのクライアントの認証、およびクライアントゲートウェイによってデータトラフィックに適用されるフォーマット変換の少なくとも1つを管理するように構成されている、請求項15に記載の装置。
【請求項17】
ネットワークサービスポリシーが、ネットワークサービスポリシーレジストリ内に記憶されたネットワークサービスポリシーを備えており、ポリシーマネージャがさらに、ネットワークサービスポリシーレジストリを維持し、ネットワークサービスポリシーレジストリ内に、ネットワークサービスが提供されるサービスネットワークのクライアントから受けた既存のネットワークサービスポリシーを統合するように構成されている、請求項15または16に記載の装置。
【請求項18】
クライアントゲートウェイインターフェイスに動作可能に結合され、サービスネットワークによりクライアント通信の安全性を管理するように構成されたセキュリティマネージャと、
クライアントゲートウェイインターフェイスに動作可能に結合され、サービスネットワーク内で利用可能なネットワークサービスのレジストリ、サービスタイムアウト情報、拡張マークアップ言語(XML)スキーマ、サービスコントラクト、サービス品質(QoS)パラメータ、サブスクリプション情報、アドレス指定情報、請求書作成情報、サービス内容合意(SLA)監視情報、トランザクショナルネットワークサービスアクティビティ監視情報、アクティビティログ、パフォーマンス監査情報、および例外警告の少なくとも1つを管理するように構成されたレジストリマネージャと、
クライアントゲートウェイインターフェイスに動作可能に結合され、クライアントゲートウェイによって捕捉された監査レコードを受けて管理するように構成されたシステムマネージャとの少なくとも1つをさらに備えている、請求項15または16に記載の装置。
【請求項19】
ネットワークサービスプロバイダによって提供されるプライベートネットワークサービスが、ネットワークサービスコンシューマにアクセス可能にされた、サービスネットワークを提供する通信システムであって、
ネットワークサービスプロバイダおよびネットワークサービスコンシューマにサービスネットワークへのアクセスを提供するように、ネットワークサービスプロバイダおよびネットワークサービスコンシューマに動作可能に結合される少なくとも1つのクライアントゲートウェイと、
少なくとも1つのクライアントゲートウェイに動作可能に結合され、請求項15または16に記載の装置を備えたネットワークコントローラとを備えた、通信システム。
【請求項20】
サービスネットワーク内で利用可能なネットワークサービスを管理する装置であって、
サービスネットワークのクライアントがこれを通してサービスネットワークにアクセスするクライアントゲートウェイに動作可能に結合されるクライアントゲートウェイインターフェイスと、
クライアントゲートウェイインターフェイスに動作可能に結合されるとともに、サービスレジストリ内の情報に関する要求をクライアントゲートウェイから受け、それに応じて要求された情報を提供し、サービスネットワーク内で利用可能にされるネットワークサービスに関連する情報をクライアントゲートウェイから受け、サービスレジストリ内の受けた情報を公開し、ネットワークに関連するサービスレジストリ内の情報の変更に対するサブスクリプションをクライアントゲートウェイから受け、サブスクリプションに応じた変更に通知を送信するように構成されたレジストリマネージャとを備えた、装置。
【請求項21】
請求項20に記載の装置を備えたネットワークコントローラと、
サービスレジストリを記憶するためにネットワークコントローラに動作可能に結合されたメモリと、
サービスネットワークの少なくとも1つのクライアントおよびメモリに動作可能に結合され、少なくとも1つのクライアントによってサービスレジストリ内で公開されたネットワークサービスへのアクセスを制御するように構成されたクライアントゲートウェイとを備えた、通信システム。
【請求項22】
サービスネットワーク内にネットワークサービスを提供する方法であって、
プライベートサービスネットワークのクライアントを認証および許可するステップと、
クライアントが許可された場合に、クライアントによって提供されたネットワークサービスをサービスネットワーク内で利用可能にするステップ、または
クライアントが許可されたサービスネットワークの別のクライアントによって提供された特定のネットワークサービスまたはネットワークサービスのグループを使用するようにクライアントがサービスネットワークにアクセスすることを可能にするステップとを含んでいる、方法。
【請求項23】
利用可能にするステップが、サービス公開のためにサービスネットワークとの接続を開始するステップを含み、
可能にするステップが、ターゲットのネットワークサービスとの接続を開始し、ターゲットのサービスへ要求を送信し、そこから回答を受信することによってターゲットのネットワークサービスをクライアントが使用することを可能にするステップを含んでいる、請求項22に記載の方法。
【請求項24】
可能にするステップがさらに、クライアントがネットワークサービスのレジストリを参照して、特定のネットワークサービスまたはネットワークサービスのグループ用の情報にアクセスする、または特定のネットワークサービスまたはネットワークサービスのグループ用のレジストリレベルでの変更にサブスクライブすることを可能にするステップを含んでいる、請求項23に記載の方法。
【請求項25】
利用可能にするステップが、クライアントによって提供されるネットワークサービスのサービスポリシーにしたがってネットワークサービスを別のクライアントに対して利用可能にするステップを含み、可能にするステップが、クライアントによる使用を許可する関連するサービスポリシーを有するネットワークサービスを決定するステップを含んでいる、請求項22に記載の方法。
【請求項26】
実施した場合に請求項22から25のいずれか一項に記載の方法を実行する、指示を記憶した、機械読取可能な媒体。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2008−537829(P2008−537829A)
【公表日】平成20年9月25日(2008.9.25)
【国際特許分類】
【出願番号】特願2008−505991(P2008−505991)
【出願日】平成18年4月12日(2006.4.12)
【国際出願番号】PCT/IB2006/001334
【国際公開番号】WO2006/109187
【国際公開日】平成18年10月19日(2006.10.19)
【出願人】(391030332)アルカテル−ルーセント (1,149)
【Fターム(参考)】
【公表日】平成20年9月25日(2008.9.25)
【国際特許分類】
【出願日】平成18年4月12日(2006.4.12)
【国際出願番号】PCT/IB2006/001334
【国際公開番号】WO2006/109187
【国際公開日】平成18年10月19日(2006.10.19)
【出願人】(391030332)アルカテル−ルーセント (1,149)
【Fターム(参考)】
[ Back to top ]