用于基于云的身份管理(c-idm)實現(xiàn)的方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種虛擬IDM服務器�����。一實施例中��,所述服務器利用駐留在一個或更多計算機網(wǎng)絡中的多個計算機上的多個共享資源�����。所述服務器也在實時基礎上控制所述共享資源的分配和使用�。所述服務器還包括:用于接收關于IDM服務請求的消息的一個或更多API;以及在處理所述IDM服務請求期間用于在實時基礎上訪問多個所述共享資源的一個或更多API�。
【專利說明】用于基于云的身份管理(C-1DM)實現(xiàn)的方法和系統(tǒng)
[0001]背景
1.發(fā)明領域
[0002]本發(fā)明一般涉及訂戶和用戶身份管理(C-1DM)實現(xiàn)。特別地�����,涉及一種用于IDM實現(xiàn)的方法和系統(tǒng)����,該IDM實現(xiàn)利用分布式虛擬資源。
[0003]2.背景
[0004]一般來說���,身份管理(IDM)是廣泛的管理領域�,其涉及識別系統(tǒng)(例如國家、網(wǎng)絡�、或組織)中的個人,并且通過在已確立的個人身份上放置限制��,控制對系統(tǒng)中資源的訪問�。在計算機網(wǎng)絡領域中,IDM是涉及如何識別人們并且授權其訪問計算機網(wǎng)絡的術語���。其包括以下問題��,例如如何給予用戶身份�、所述身份的保護����、以及支持所述保護的技術(例如,網(wǎng)絡協(xié)議�、數(shù)字證書、密碼等)
[0005]傳統(tǒng)上�,IDM特性和功能以下面兩種不同方式實現(xiàn)。第一���,IDM可在稱為IDM數(shù)據(jù)庫或IDM服務器的獨立設備上實現(xiàn)�����,其直接地與別的服務器例如應用服務器��、策略服務器����、歸屬用戶服務器(HSS)���、網(wǎng)關設備等連接�,所以這些服務器能直接地請求來自IDM服務器的IDM服務���。第二��,IDM可被集成到網(wǎng)絡基礎設施元件例如(a)邊緣設備(路由器����、網(wǎng)關��、交換機��、光線路終端(OLT)設備����、和基于因特網(wǎng)協(xié)議的數(shù)字用戶線接入復用器(IP-DSLAM))��,(b)像邊緣/核心服務控制功能的服務元件�,(c)像流動性和資源管理功能的傳輸元件等����。
[0006]IDM 特性和功能的表能在例如 3GPP 規(guī)范 TS24.109 (ftp://3gpp.0rg/Specs/latest/Rel-10/24_series/)中和 ITU-TFocusGroup 的 IDM 文檔(FGIdM, http://www.1tu.1nt/ITUT/study groups/coml7/fgidm/ index, html)上找到。這些文檔的內(nèi)容被整體地并入本申請��。
[0007]圖1a示意性示出用于IDM實現(xiàn)的當前模型的框圖�����。在所述框圖中�,IDM服務器110與可被包含到當前IDM實現(xiàn)的別的網(wǎng)絡實體直接連接。這些網(wǎng)絡元件可包括應用服務器120���、會話控制元件130�、服務網(wǎng)關140等�����。圖1b-1c示意性描繪了可被包含到當前IDM實現(xiàn)的不同網(wǎng)絡實體之間的信令流程和信息交換。
[0008]獨立的IDM服務器110接收請求����,例如用于訂戶和用戶的身份驗證的請求以便驗證對事務或基于會話的服務的訪問。IDM服務器110可使用預定數(shù)量的屬性(例如����,服務名稱和位置)�、證書(例如,密碼或生物識別信息)和標識符(名稱�����、用戶ID�����、MACid, IP地址�����、地理位置等)驗證所述訪問�����。
[0009]值得注意的是,一旦用戶/訂閱已通過驗證�����,IDM服務器110根據(jù)當前實現(xiàn)可或可不控制用于會話和媒體的資源���。這是可能的�,策略����、服務質(zhì)量和安全要求可規(guī)定這些分配。IDM的信令元件和IDM的媒體控制元件之間的接口可以是開放的(標準協(xié)議)或基于專有協(xié)議��,所述接口能是點對點或點對多點���,以便通過分配資源請求支持可靠性����。
[0010]當前IDM實現(xiàn)的主要缺點是��,它們利用專用服務器或網(wǎng)絡基礎設施元件用于IDM服務��。這種IDM特性和功能的實現(xiàn)會帶來下面的不良后果:
[0011]A.服務成本增加[0012]B.用于測試和與網(wǎng)絡集成所要求的時間增加
[0013]C.資源的靜態(tài)分配
[0014]D.重新定位資源較少靈活性
[0015]E.計算和通信資源與預設計的特性和功能的較緊密的耦合
[0016]F.創(chuàng)新的機會減少
[0017]對比之下��,網(wǎng)絡服務提供者在動態(tài)和不斷演進的網(wǎng)絡和服務開發(fā)環(huán)境中需要的是,I)保護投資��,就是說�,投資能被迅速地改變用途用于不同的產(chǎn)生收益的應用和服務的資源;和2)敏捷性和靈活性���,就是說�,利用已經(jīng)存在于網(wǎng)絡中的相同資源來部署新興的特性和功能�����。
[0018]當前的發(fā)明解決了這些重大問題���,因此使服務提供者能夠分配他們的預算用于計算、通信并控制基礎設施建設而不是創(chuàng)建和安裝計算筒倉(silos)和網(wǎng)絡設備��,其在實現(xiàn)全部潛力(或提供完全的投資回報率)之前或仍然沒有得到充分利用或變得過時�。
【發(fā)明內(nèi)容】
[0019]本發(fā)明公開一種虛擬IDM服務器。IDM服務器利用駐留在一個或更多計算網(wǎng)絡中的多個計算機上的多個共享資源��。IDM服務器也在實時的基礎上控制共享資源的分配和使用����。IDM服務器還包括用于接收有關IDM服務請求的消息的一個或更多API��,和用于在處理所述IDM服務請求期間在實時的基礎上訪問多個所述共享資源的一個或更多API�。
[0020]附圖簡述
[0021]這樣已經(jīng)概括地說明了本發(fā)明�,現(xiàn)在將參考不一定按比例繪制的附圖,其中:
[0022]圖1a示意性示出用于IDM實現(xiàn)的當前模型的框圖���。
[0023]圖1b示意性示出被包含到當前IDM實現(xiàn)的信令流程�����。
[0024]圖1c示意性示出被包含到當前IDM實現(xiàn)的信息交換��。
[0025]圖2示意性示出本發(fā)明的一個實施例的IDM實現(xiàn)模型�。
[0026]圖3示意性示出本發(fā)明的一個實施例的用于提供IDM服務的方法�。
[0027]優(yōu)選實施方式的詳細描述
[0028]現(xiàn)在將在下文中參照附圖更充分地說明本發(fā)明,其中示出了本發(fā)明的實施例的一些例子���。當然�,這些發(fā)明可以以許多不同的形式來體現(xiàn)并且不應該被解釋為限于本文所闡述的實施例���;更確切些�����,這些實施例是通過舉例的方式提供的���,因此本公開將滿足適用性的法律要求��。
[0029]圖2示出本發(fā)明的IDM實現(xiàn)模型的一實施例��。這個實現(xiàn)中�,IDM特性和功能被實現(xiàn)在一個或更多虛擬IDM服務器210上�。這種虛擬IDM服務器可被設計為在實時和需求的基礎上利用網(wǎng)絡中的一組資源。所述資源能從公共網(wǎng)絡���、專用網(wǎng)絡或社區(qū)網(wǎng)絡獲得。一實施例中�����,通過配置現(xiàn)有的云計算資源提供IDM服務�����,這種虛擬IDM服務器可被實現(xiàn)為基于云的虛擬IDM服務器�����。
[0030]這種實現(xiàn)可使用現(xiàn)有技術中公知的編程語言,通過設計IDM應用程序接口(API)或資源編程接口(RPI)實現(xiàn)���。例如�����,這些API/RPI能使用任一或更多下面的技術:S0AP�、XML���、WSDL�����、Par I ay/Parlay-X, HTTP���、CORBA等。這些API/RPI的設計可基于現(xiàn)有的云計算平臺��,例如 Amazon ElasticComputeCloud (AmazonEC2)����。關于 AmazonEC2 的信息能從 EC2 網(wǎng)站在http://aws.amazon.com/ec2/上獲得。本網(wǎng)站的內(nèi)容在此被引入��。
[0031]需要注意的是,這些API/RPI不僅簡化了訪問所需的資源而且保證與現(xiàn)有的網(wǎng)絡/基礎設施��、安全性�����、可用性����、服務連續(xù)性等的快速集成和互操作性。這是由于如下事實���,即所需的IDM特性/功能通過這些開放的API/RPI通過到處尋找可用的網(wǎng)絡資源并且取得資源來獲得��,因此能按照服務的持續(xù)期間的應用和服務的要求利用這些資源��。例如,防火墻和加密密鑰資源的實時可用性被強制性地用于公共互聯(lián)網(wǎng)上的實時企業(yè)安全語音通信服務�����。
[0032]一實施例中���,虛擬IDM服務器210還包括一組虛擬信令/計算資源塊212和一組虛擬媒體/存儲資源塊215����。虛擬信令/計算資源塊212從API/RPI接收IDM服務和處理請求,并且通過開放/標準協(xié)議216或虛擬通信鏈路(VPN) 218��,從媒體/存儲資源的虛擬塊215分配或獲得媒體/存儲資源(例如存儲空間����、計算能力等)。所述媒體或信令資源的虛擬塊可從各種網(wǎng)絡資源獲得����,并且被利用所要求的任何延長的持續(xù)期間。一實施例中�,使用的持續(xù)時間可從幾小時變化到幾天。
[0033]一實施例中��,從各種網(wǎng)絡資源獲得的虛擬信令/計算資源的塊212被集成到IDM信令資源池���,統(tǒng)一的API221被創(chuàng)建用于訪問該IDM信令資源池����。這為IDM服務可容易地用于應用和服務(例如訂戶信息/簡介服務器220�、信任和關鍵權限230、訪問/媒體策略控制240、會話/事務控制服務器250等)與IDM的信令部分通信提供了方式���。
[0034]另一實施例中��,IDM的信令部分也包括用于控制或分配處理IDM服務請求所需要的信令資源的一個或更多模塊222���。物理信令/計算資源224可以分布的方式存在于各種計算機中,且現(xiàn)有的云計算技術可用于將這些分布的資源集成為虛擬資源223以使控制模塊222和物理資源224之間的通信容易�����。
[0035]在又一實施例中�����,IDM實現(xiàn)的信令部分使用開放協(xié)議216或VPN218通過虛擬網(wǎng)絡鏈路也控制來自IDM的媒體控制部分的資源的分配����。
[0036]在又一實施例中,用于IDM的媒體部分的資源塊也可從各種網(wǎng)絡資源獲得�����,這些塊可被集成到IDM媒體資源池��,并且用于訪問IDM媒體資源池的統(tǒng)一的API225可被創(chuàng)建����,以使IDM的信令部分和媒體部分之間的通信容易。
[0037]一實施例中���,IDM實現(xiàn)的媒體部分也包括用于控制或分配處理IDM服務請求所需要的媒體資源的一個或更多模塊226�����。物理媒體/存儲資源228可以分布的方式存在于各種計算機中����,現(xiàn)有的云計算技術可被用于將這些分布的資源集成為虛擬資源227以使控制模塊226和物理資源228之間的通信容易����。
[0038]處理IDM服務請求所要求的信令或媒體資源可從各種網(wǎng)絡資源獲得,并且被利用所要求的持續(xù)時間�����。所述持續(xù)時間可從幾分鐘變化到數(shù)十小時或數(shù)百個小時���。
[0039]圖3示出根據(jù)本發(fā)明的一個實施例的提供IDM服務的方法�����。這個實施例中�����,在步驟310中�����,關于IDM服務請求的消息首先被IDM實現(xiàn)的信令API接收�。這種請求消息可起源于訂戶信息/簡介服務器220、信任和關鍵權限230��、訪問/媒體策略控制240或會話/事務控制服務器250等���。步驟320中���,該IDM實現(xiàn)的信令部分的控制模塊確定所需的信令資源的量,和被要求的資源所需時間的量�����。步驟325中���,信令控制模塊聯(lián)系虛擬信令資源以請求分配信令資源�����,并且這種資源在步驟330中獲得����。
[0040]然后在步驟340中����,IDM實現(xiàn)的信令部分聯(lián)系媒體資源控制API以請求分配媒體資源。如上所述����,信令API和媒體控制API兩者都可使用基于現(xiàn)有的云計算平臺被設計。步驟350中����,該IDM實現(xiàn)的媒體部分的控制模塊確定所需的信令資源的量,和被要求的資源所需時間的量����。步驟355中,信令控制模塊聯(lián)系虛擬媒體資源以請求分配信令資源�����,并且這種資源在步驟360中獲得。
[0041]然后在步驟370中���,使用所獲資源處理IDM服務請求消息����。信令和媒體資源的保留�����,以及IDM請求的處理可通過利用現(xiàn)有的云計算服務實現(xiàn),例如AmazonEC2�����。最后,在IDM服務請求被處理之后���,信令和媒體資源在步驟380中被釋放��。
[0042]這里所闡述的本發(fā)明的許多修改和其他實施例����,這些發(fā)明所屬領域的技術人員在受益于前述說明和相關附圖中的教導后將會想到��。因此,可理解�,本發(fā)明不限于所公開的實施例的特殊例子,修改和其他實施例旨在被包括在所附權利要求的范圍之內(nèi)�����。盡管在本文中使用了特定的術語�����,它們只在通用的和描述性的意義上使用�,而不是為了限制的目的��。
【權利要求】
1.一種虛擬IDM服務器���,所述服務器利用駐留在一個或更多計算機網(wǎng)絡中的多個計算機上的多個共享資源���;所述服務器也在實時基礎上控制所述共享資源的分配和使用;所述服務器還包括:用于接收關于IDM服務請求的消息的一個或更多API ;以及用于在處理所述IDM服務請求期間在實時基礎上訪問多個所述共享資源的一個或更多API��。
2.如權利要求1所述的虛擬IDM服務器�����,還包括信令控制模塊;所述信令控制模塊通過與一個或更多虛擬信令資源API通信��,控制所述共享資源的分配和使用���。
3.如權利要求2所述的虛擬IDM服務器�����,還包括媒體控制模塊�����,所述媒體控制模塊通過與一個或更多虛擬媒體資源API通信�,控制所述共享資源的分配和使用����。
4.如權利要求1所述的虛擬IDM服務器,還包括虛擬信令部分和虛擬媒體部分�����,所述虛擬信令部分和所述虛擬媒體部分通過標準網(wǎng)絡協(xié)議或VPN通信����。
5.如權利要求1所述的虛擬IDM服務器���,其中所述API中的一個或多個基于云計算平臺被設計。
6.如權利要求1所述的虛擬IDM服務器�����,其中所述共享資源基于所述IDM服務請求的要求被取得和釋放�。
7.一種計算機網(wǎng) 絡,其包括如權利要求1所述的虛擬IDM服務器���。
8.如權利要求1所述的虛擬IDM服務器,其中所述一個或更多API包括用于所有共享資源的統(tǒng)一的API�����。
9.如權利要求1所述的虛擬IDM服務器����,其中所述共享資源包括駐留在一個或更多公共計算機網(wǎng)絡或社區(qū)計算機網(wǎng)絡中的資源。
10.一種用于提供IDM服務的方法�,包括:接收關于IDM服務請求的消息;在實時基礎上確定對多個共享資源的分配和使用�,所述共享資源駐留在一個或更多計算機網(wǎng)絡中的多個計算機中;以及在處理所述IDM服務請求期間與用于在實時基礎上訪問所述共享資源的一個或更多API通信�。
11.如權利要求10所述的方法���,其中所述確定步驟還包括在實時基礎上確定對信令資源的分配和使用。
12.如權利要求10所述的方法��,其中所述確定步驟還包括在實時基礎上確定對媒體資源的分配和使用�����。
13.如權利要求10所述的方法��,其中所述通信步驟還包括與一個或更多虛擬信令API通信以訪問用于信令的共享資源����。
14.如權利要求10所述的方法,其中所述通信步驟還包括與一個或更多虛擬媒體API通信以訪問用于媒體用途的共享資源�。
15.如權利要求13所述的方法,其中所述一個或更多API包括用于訪問所有共享資源的統(tǒng)一的API����。
16.如權利要求13所述的方法,其中所述API中的一個或多個基于云計算平臺被設計�����。
17.如權利要求10所述的方法,其中所述共享資源基于所述IDM服務請求的要求被取得和釋放�。
18.如權利要求10所述的方法,其中所述共享資源包括駐留在一個或更多公共計算機網(wǎng)絡或社區(qū)計算機網(wǎng)絡中的資源�。
19.如權利要求14所述的方法,其中所述一個或更多API包括用于訪問所有共享資源的統(tǒng)一的API���。
20.如權利要求14所 述的方法����,其中所述API中的一個或多個基于云計算平臺被設計���。
【文檔編號】G06F15/16GK103765404SQ201280028695
【公開日】2014年4月30日 申請日期:2012年6月14日 優(yōu)先權日:2011年6月14日
【發(fā)明者】布米普·哈斯納比西 申請人:中興通訊股份有限公司, 中興通訊(美國)公司