国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      用于訪問控制的方法、裝置和計算機(jī)程序的制作方法

      文檔序號:7640788閱讀:125來源:國知局
      專利名稱:用于訪問控制的方法、裝置和計算機(jī)程序的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及訪問控制。
      背景技術(shù)
      服務(wù)器通常與兩個或更多個網(wǎng)絡(luò)相連,并且每個網(wǎng)絡(luò)將特定類型的設(shè)
      備連接到服務(wù)器。圖1示出了數(shù)據(jù)采集與監(jiān)控(SCADA)系統(tǒng)10的實例。 設(shè)備30、 40、 50與油管20相連。它們可以是監(jiān)視諸如油流速和油溫之類 的信息的傳感設(shè)備。它們通過網(wǎng)絡(luò)60將信息發(fā)布到消息代理70。消息代 理70通過第一網(wǎng)絡(luò)適配器卡與此網(wǎng)絡(luò)相連并且還通過第二網(wǎng)絡(luò)適配器卡 與包^i殳備80、 85和90的企業(yè)內(nèi)部網(wǎng)絡(luò)95相連(圖中未示出其中任何一 個適配器卡)。此類設(shè)備通過訂閱從發(fā)布設(shè)備接收信息并使用此類信息來 監(jiān)控油管運(yùn)行。
      如圖2所示,消息代理70可以位于名為"隔離區(qū)"(DMZ)的網(wǎng)絡(luò)IOO 中。該區(qū)域充當(dāng)外部網(wǎng)絡(luò)(例如因特網(wǎng))和內(nèi)部網(wǎng)絡(luò)(例如企業(yè)內(nèi)部網(wǎng)絡(luò)) 之間的緩沖區(qū)。在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)兩者上的機(jī)器可以與DMZ中的服務(wù) 器相連,但是只能在由防火墻110、 120控制的特定端口上連接。作為實例, 對于用于SCADA應(yīng)用的發(fā)布/訂閱消息代理,通過因特網(wǎng)連接的機(jī)器可以發(fā) 布數(shù)據(jù),而通過企業(yè)內(nèi)部網(wǎng)絡(luò)連接的機(jī)器可以訂閱該入站數(shù)據(jù)。代理將通 過先前建立的在代理與其訂閱者之間的連接來發(fā)送此類信息。所述DMZ可 以在其入口處具有一個分組過濾器(防火墻)110,來判定允許通過因特網(wǎng) 連接的機(jī)器連接到DMZ中的哪些IP地址和端口 。消息代理與企業(yè)網(wǎng)絡(luò)之間 也具有類似的"&置120。
      因此應(yīng)理解的是,監(jiān)控進(jìn)出機(jī)器的業(yè)務(wù)的防火墻是已知的。防火墻可以具有多種類型。例如,網(wǎng)絡(luò)層防火墻可以被配置為根據(jù)源IP地址或目的 地IP地址、源端口或目的地端口,以及協(xié)"^義類型來過濾業(yè)務(wù)。應(yīng)用層防火 墻也是已知的并且可以使用它們來過濾進(jìn)出特定應(yīng)用的業(yè)務(wù)。例如,它們 可用于防止在網(wǎng)頁中顯示不恰當(dāng)?shù)膬?nèi)容。
      但是,防火墻只是完整的安全解決方案的一部分,在本領(lǐng)域中,其他
      訪問控制機(jī)制也是已知的。例如,虛擬專用網(wǎng)(VPN)為受信用戶提供對一 般用戶無法使用的資源的訪問。在發(fā)布/訂閱領(lǐng)域內(nèi),可以使用訪問控制列 表(ACL)來判定允許哪些用戶發(fā)布特定主題以及允許哪些用戶訂閱特定主 題。同樣,僅允許通過特定訪問端口來訪問特定機(jī)器或應(yīng)用。 當(dāng)僅通過一個網(wǎng)絡(luò)訪問服務(wù)器時,安全性將成為 一個問題。 業(yè)內(nèi)需要一種改進(jìn)的安全機(jī)制來解決不同的設(shè)備訪問一臺服務(wù)器的問 題。服務(wù)器可以只與一個網(wǎng)絡(luò)相連,也可以與多個網(wǎng)絡(luò)相連,其中每個網(wǎng) 絡(luò)上的i殳備都嘗試訪問該服務(wù)器。

      發(fā)明內(nèi)容
      根據(jù)第一方面,提供了 一種用于控制對發(fā)布/訂閱消息代理的訪問的方 法,所述方法包括
      將所述消息代理提供的多個發(fā)布/訂閱功能分為多個功能組;將每個功 能組與 一個通信路徑相關(guān)聯(lián);
      在所述消息代理處接收請求,所述請求通過多個通信路徑中的一個通 信路徑到達(dá)所述消息代理并請求訪問所述消息代理提供的發(fā)布或訂閱功 能;
      確定使用了哪個通信路徑; 標(biāo)識所請求的功能屬于哪個功能組; 判定所標(biāo)識的功能組是否與所使用的通信路徑關(guān)聯(lián);以及 響應(yīng)于判定所標(biāo)識的功能組與所使用的通信路徑關(guān)聯(lián),提供對所請求 的發(fā)布或訂閱功能的訪問。
      在一個實施例中,確定使用了哪個端口來訪問所述消息代理,然后判定所標(biāo)識的功能組是否與用于訪問所述代理的端口關(guān)聯(lián)。
      在一個實施例中,確定從其發(fā)出所述請求的通信網(wǎng)絡(luò),然后判定所標(biāo) 識的功能組是否與所述從其發(fā)出所述請求的通信網(wǎng)絡(luò)關(guān)聯(lián)。
      在一個實施例中,可以通過包括網(wǎng)絡(luò)部分和主機(jī)部分的地址來標(biāo)識從 其發(fā)出所述請求的所述通信網(wǎng)絡(luò)。在此實施例中,還至少可以通過網(wǎng)絡(luò)部 分來標(biāo)識所標(biāo)識的功能組與之關(guān)聯(lián)的通信網(wǎng)絡(luò)。為了判定所標(biāo)識的功能組 是否與所述從其發(fā)出所述請求的通信網(wǎng)絡(luò)關(guān)聯(lián),將比較從其發(fā)出所述請求 的通信網(wǎng)絡(luò)的所述網(wǎng)絡(luò)部分和所標(biāo)識的功能組與之關(guān)聯(lián)的通信網(wǎng)絡(luò)的所述 網(wǎng)絡(luò)部分。
      在一個實施例中,使用子網(wǎng)掩碼來判定兩個通信網(wǎng)絡(luò)的所述網(wǎng)絡(luò)部分 是否相同。
      在一個實施例中,接收連接到所述代理的連接請求。這導(dǎo)致為所述連 接請求創(chuàng)建連接對象。然后使用所述連接對象內(nèi)包含的信息確定來自同一 請求方的任何后續(xù)請求通過其到達(dá)的通信網(wǎng)絡(luò)。
      在一個實施例中,如果判定所標(biāo)識的功能組未與所-使用的通信路徑關(guān) 聯(lián),則丟棄所述請求??梢酝ㄖ埱蠓剿稣埱笠驯唤?。
      在一個實施例中,根據(jù)數(shù)據(jù)庫功能請求通過其到達(dá)的通信路徑來提供 對數(shù)據(jù)庫所提供的功能的訪問。
      根據(jù)另 一方面,提供了 一種用于控制對發(fā)布/訂閱消息代理的訪問的裝
      置,所述裝置包括
      用于將所述消息代理提供的多個發(fā)布/訂閱功能分為多個功能組的裝
      置;
      用于將每個功能組與一個通信路徑相關(guān)聯(lián)的裝置;
      用于在所述消息代理處接收請求的裝置,所述請求通過多個通信路徑 中的 一個通信路徑到達(dá)所述消息代理并請求訪問所述消息代理提供的發(fā)布 或訂閱功能;
      用于確定使用了哪個通信路徑的裝置;
      用于標(biāo)識所請求的功能屬于哪個功能組的裝置;用于判定所標(biāo)識的功能組是否與所使用的通信路徑關(guān)聯(lián)的裝置;以及 用于響應(yīng)于判定所標(biāo)識的功能組與所使用的通信路徑關(guān)聯(lián),提供對所 請求的發(fā)布或訂閱功能的訪問的裝置。 本發(fā)明可以在計算機(jī)軟件中實現(xiàn)。


      現(xiàn)在僅通過實例的方式參考以下附圖來描述本發(fā)明的優(yōu)選實施例,這 些附圖是
      圖1示出了根據(jù)現(xiàn)有技術(shù)的同時與外部和內(nèi)部網(wǎng)絡(luò)相連的服務(wù)器; 圖2示出了根據(jù)現(xiàn)有技術(shù)的位于隔離區(qū)(DMZ)網(wǎng)絡(luò)內(nèi)的圖1的服務(wù)器; 圖3示出了根據(jù)優(yōu)選實施例的本發(fā)明的組件部分(componentry); 圖4a示出了根據(jù)本發(fā)明的優(yōu)選實施例的在圖1的服務(wù)器處收到的消息 的格式;
      圖4b示出了根據(jù)本發(fā)明的優(yōu)選實施例的在設(shè)備連接到圖1的服務(wù)器時 創(chuàng)建的連接對象的格式;
      圖5a和5b示出了根據(jù)本發(fā)明的優(yōu)選實施例的將服務(wù)器應(yīng)用功能映射 到用戶簡檔的表^f言息;
      圖5c示出了示例性實施例中提供的功能組的文氏圖;以及
      圖6示出了根據(jù)優(yōu)選實施例的本發(fā)明的過程。
      具體實施例方式
      披露了 一種根據(jù)設(shè)備的網(wǎng)絡(luò)位置,控制設(shè)備對服務(wù)器所提供的功能的 訪問的機(jī)制。
      才艮據(jù)優(yōu)選實施例,將參考圖3至6描述本發(fā)明。應(yīng)相互參照地閱讀附圖。
      在步驟400接收執(zhí)行消息代理70所提供的某種功能的請求(圖6a )。 在代理連接端口 (例如,在網(wǎng)絡(luò)9. 2. x. x上具有IP地址9. 2. 3. 4的端口 1883 )處接收所述請求。圖4a中示出了此類請求的格式。所述請求具有兩個部分網(wǎng)絡(luò)信息部分300;以及請求信息部分310。部分310包括如下信 息
      i) 用戶ID;
      ii) 將消息代理映射到代理提供的功能的功能代碼。此類功能由 組件230提供;
      iii) 消息長度;
      iv ) 將自身與諸如服務(wù)質(zhì)量(QoS )和消息優(yōu)先級之類的信息進(jìn)行關(guān) 聯(lián)的標(biāo)志;
      v) 消息主題;以及
      vi) 消息的主要有效負(fù)載。 網(wǎng)絡(luò)信息部分300包含如下更低級別的信息
      i) 源IP地址;
      ii) 源端口;
      iii) 目的地地址;
      iv) 目的地端口;以及
      v ) 所采用的協(xié)議的標(biāo)識符(例如,TCP或UDP )
      這些元素是協(xié)議標(biāo)頭的一部分。要指出的是,發(fā)出請求的設(shè)備所在的 網(wǎng)絡(luò)與代理所連接到的網(wǎng)絡(luò)不必為同一網(wǎng)絡(luò),因此IP源地址可以完全不同。
      如果在步驟410判定新接收到的請求是連接請求,則將所述網(wǎng)絡(luò)信息 連同用戶ID—起用于(在步驟420 )創(chuàng)建如圖4b所示的連接對象320 (本
      質(zhì)上是狀態(tài)信息)。將此連接對象存儲在接收連接端口處。每個連接對象 還具有與之關(guān)聯(lián)的套接字ID。
      總之,過程將到達(dá)步驟4 3 0 ,其中連接端口將請求發(fā)送到代理接口 2 2 0 。 代理接口用于調(diào)用代理70所提供的功能230。在步驟440,攔截器200在 請求前往代理接口的路徑上攔截該請求,具體地說,攔截組件270。連接 信息組件240在步驟45G判定被截獲的請求的連接信息是否在本地可用。如果對于當(dāng)前連接會話,這是來自該特定客戶機(jī)的第一個請求,則本地沒 有可用的連接信息。在此情況下,將從從其發(fā)出請求的連接端口來請求與
      該請求關(guān)聯(lián)的連接對象(步驟460 )。然后將收到的連接對象存儲在攔截 器組件的本地以與后續(xù)請求(未示出) 一起^f吏用。在另一實施例中,可以 簡單地從每個請求的連接端口請求連接信息。
      在步驟470,將參考(使用參考組件250 )用戶簡檔和功能表信息330、 340 (如圖5a和5b所示)來判定是否允許特定請求設(shè)備所請求的操作。
      功能表330列出了組件230所提供的代理功能(圖3a )。因此,僅作 為實例,設(shè)備可以請求如下操作
      i) 連接
      i i ) 斷開連接
      iii) 發(fā)布
      iv) 發(fā)布一確認(rèn)(訂閱者可以確認(rèn)消息的接收).
      v) 發(fā)布-發(fā)出(發(fā)布者可以發(fā)出傳送一次并且僅傳送一次的消息)
      vi) 發(fā)布—完成(訂閱者可以確認(rèn)傳送一次并且僅傳送一次的消息的 完成)
      vii) 訂閱
      通過表將請求消息功能代碼分別映射到上述操作之一。 雖然設(shè)備可以請求任何功能,但是根據(jù)優(yōu)選實施例,設(shè)備的網(wǎng)絡(luò)位置 對代理實際是否能夠完成所請求的操作具有影響。功能表330的第三列指 示了每個操作所允許的用戶的用戶簡檔。因此,只有類型2的用戶才能發(fā) 布消息,而只有類型1的用戶才能請求訂閱操作。因此實際上,消息代理 的應(yīng)用功能被分為多個功能組,其中只有特定類型的用戶才能訪問每個功 能組。圖5的文氏圖示出了這種情況。在該圖中,可以看到以下功能屬于 功能組l:
      i) 發(fā)布—確認(rèn);
      ii) 發(fā)布-完成;
      iii) 訂閱;iv) 連接;以及
      v) 斷開連接
      功能組2中的功能包括
      i) 發(fā)布;
      ii) 發(fā)布-發(fā)出;
      iii) 連接;以及
      iv) 斷開連接。
      盡管只示出了兩個功能組并且每個功能組中有多個功能,但事實并非 總是如此??梢源嬖趦蓚€以上的功能組。同時, 一個功能組可以只有一個功能。
      用戶簡檔表340定義了與類型2的用戶相比的類型1的用戶的內(nèi)容。 圖中的表格定義了當(dāng)判定是否允許請求設(shè)備訪問代理所提供的功能時,相 關(guān)的信息包括指定的Net ID (網(wǎng)絡(luò)ID) /子網(wǎng)掩碼對、通過其訪問代理的 目的地端口以及請求用戶的名稱。從圖中可以看出用戶簡檔中的某些表項 可以是通配符。換言之,簡檔1中有哪些用戶并不重要。
      返回參考圖6b的過程,參考組件250從被拄截的消息的請求信息部分 提取功能代碼。這用于通過功能表330確定用戶所請求的操作和被允許執(zhí) 行此類操作的用戶類型。作為實例,將請求功能7。在功能表中,這將映 射到只有類型1的用戶才允許的發(fā)布操作。然后將訪問簡檔表340以確定 類型l的用戶所需的特征。在請求的源IP地址(例如10.0.56.77 )和子網(wǎng) 掩碼(例如255.255.0.0 )之間執(zhí)行邏輯'與,操作。IP地址通常包括網(wǎng)絡(luò) ID (即網(wǎng)絡(luò)部分)和節(jié)點ID (即主機(jī)/機(jī)器部分)。執(zhí)行'與,操作以便 從源IP地址中提取網(wǎng)絡(luò)IP部分(在此實例中為10.0)。然后可以將其與 簡檔中指定的網(wǎng)絡(luò)ID相比較。(可以在簡檔中指定完整的地址IO.O,O.O, 但是此實施例中的相關(guān)(網(wǎng)絡(luò)ID)部分為10.0,要指出的是,在備選實施 例中,簡檔中僅指定網(wǎng)絡(luò)部分)。如果從源IP地址中提取的網(wǎng)絡(luò)ID與簡檔中指定的網(wǎng)絡(luò)ID部分完全相同,則簡檔中的該部分匹配。也就是i兌, 請求來自適當(dāng)?shù)淖泳W(wǎng)。在此實例中,存在匹配并且因此請求來自適當(dāng)?shù)腎P 地址范圍。但是,通過特定端口訪問代理可能是必需的,在這種情況下, 還需要對此進(jìn)行檢查。要指出的是,在步驟460請求的連接對象(如果尚 未在本地可用)可用于確定發(fā)出請求的源IP地址、目的地端口等。因此, 將針對表中的每個列從相關(guān)連接對l險索值??梢詰?yīng)用某些自動化的規(guī)則。 例如,用戶名字段中包含通配符。因此,不需要從連接對象中檢索該值。 同樣,如果檢索了源IP地址并且確定設(shè)備不滿足此特征,則不需要檢索其 他列的值。
      要指出的是,用戶簡檔表的各列只是示例性的。關(guān)鍵在于根據(jù)與用戶 的網(wǎng)絡(luò)位置相關(guān)的 一個或多個特征來控制用戶對應(yīng)用功能的訪問。
      從圖4a和4b可以看出,請求消息以及從中創(chuàng)建的連接對象未指定源 IP地址是否屬于由用戶簡檔中指定的網(wǎng)絡(luò)ID和子網(wǎng)掩碼組合所定義的范 圍。但是,將請求的源IP地址與指定的網(wǎng)絡(luò)ID/子網(wǎng)組合相比較,可以判 定其是否處于所述范圍之內(nèi)(見上文)。子網(wǎng)和子網(wǎng)掩碼是本領(lǐng)域中已知 的主題,因此在這里不再贅述。
      從參考步驟470獲取的信息被繼續(xù)傳遞到網(wǎng)閘(gate keeper ) 260;換 言之,確定請求是否滿足所需的準(zhǔn)則。網(wǎng)閘260然后使用此類信息判定是 否允許請求(步驟480)。如果請求不滿足所需的準(zhǔn)則(例如,請求源自 相關(guān)簡檔信息中指定的子網(wǎng)之外的子網(wǎng)),則在步驟490丟棄請求。這表 示只是沒有執(zhí)行請求,但是更一般地,可能涉及通知發(fā)出請求的設(shè)備請求 未被允許。
      另 一方面,如果在步驟480認(rèn)為可允許請求,則網(wǎng)閘260將請求傳遞 給可以通過其請求適當(dāng)操作(在此實例中為發(fā)布)的代理接口 220。從此 之后,消息代理的功能以本領(lǐng)域公知的方式執(zhí)行。
      總之,將服務(wù)器的應(yīng)用層協(xié)議按功能分為多個組。然后將這些組中的 每個組與描述訪問該功能組的要求的簡檔相關(guān)聯(lián)。返回參考圖1的實例, 此類發(fā)明可以在SCADA類型的環(huán)境中使用以達(dá)到最佳效果。簡言之,在此類環(huán)境中,傳感器可以通過外部網(wǎng)絡(luò)訪問消息代理,而監(jiān)^L器可以通過 內(nèi)部網(wǎng)絡(luò)訪問消息代理。對于此類設(shè)置,可能不希望允許監(jiān)視器進(jìn)行發(fā)布, 以及不希望允許傳感器通過訂閱來接收信息??梢愿鶕?jù)發(fā)出請求的設(shè)備的 網(wǎng)^i置執(zhí)行訪問控制,而不必列出每個設(shè)備的用戶ID及其訪問權(quán)限。
      如上所述,在執(zhí)行訪問控制時使用源IP地址、子網(wǎng)、目的地端口以及 用戶ID信息只是示例性的。例如,可以單獨使用目的地端口。在這種情 況下,可以將本發(fā)明的功能內(nèi)置到防火墻技術(shù)(例如圖2的分組過濾器110 、 120)中。使用當(dāng)前的防火墻限制端口訪問是公知的。但是,可以將此類防 火墻技術(shù)擴(kuò)展到指定可通過特定端口請求的操作的類型。
      最后,雖然所述的實施例參考了與兩個或更多個網(wǎng)絡(luò)相連的服務(wù)器, 但是本發(fā)明并不限于此。例如,多個設(shè)備可以通過單個網(wǎng)絡(luò)訪問服務(wù)器。 服務(wù)器可以在單個網(wǎng)絡(luò)上偵聽多個端口 ??梢允褂梅阑饓刂圃试S哪些源 IP地址范圍訪問服務(wù)器上的哪個端口,在這種情況下,參考組件只需要在 制訂決策時考慮端口號。備選地,可以在簡檔中指定源IP地址范圍和端口, 而參考組件可以執(zhí)行驗證。
      權(quán)利要求
      1. 一種用于控制對發(fā)布/訂閱消息代理的訪問的方法,所述方法包括將所述消息代理提供的多個發(fā)布/訂閱功能分為多個功能組;將每個功能組與一個通信路徑相關(guān)聯(lián);在所述消息代理處接收請求,所述請求通過多個通信路徑中的一個通信路徑到達(dá)所述消息代理并請求訪問所述消息代理提供的發(fā)布或訂閱功能;確定使用了哪個通信路徑;標(biāo)識所請求的功能屬于哪個功能組;判定所標(biāo)識的功能組是否與所使用的通信路徑關(guān)聯(lián);以及響應(yīng)于判定所標(biāo)識的功能組與所使用的通信路徑關(guān)聯(lián),提供對所請求的發(fā)布或訂閱功能的訪問。
      2. 根據(jù)權(quán)利要求1的方法,其中所述確定使用了哪個通信路徑的步驟 包括確定使用了哪個端口來訪問所述消息代理,并且其中所述判定所標(biāo)識的功能組是否與所使用的通信路徑關(guān)聯(lián)的步 驟包括判定所標(biāo)識的功能組是否與用于訪問所述代理的端口關(guān)聯(lián)。
      3. 根據(jù)權(quán)利要求1或2的方法,其中所述確定使用了哪個通信路徑的 步驟包括確定從其發(fā)出所述請求的通信網(wǎng)絡(luò),并且其中所述判定所標(biāo)識的功能組是否與所使用的通信路徑關(guān)聯(lián)的步 驟包括判定所標(biāo)識的功能組是否與所述從其發(fā)出所述請求的通信網(wǎng)絡(luò)關(guān)聯(lián)。
      4. 根據(jù)權(quán)利要求3的方法,其中可以通過包括網(wǎng)絡(luò)部分和主機(jī)部分的 地址來標(biāo)識從其發(fā)出所述請求的所述通信網(wǎng)絡(luò),并且其中還至少可以通過 網(wǎng)絡(luò)部分來標(biāo)識所標(biāo)識的功能組與之關(guān)聯(lián)的通信網(wǎng)絡(luò),并且其中所述判定所標(biāo)識的功能組是否與所述從其發(fā)出所述請求的通信網(wǎng)絡(luò)關(guān)聯(lián)的步驟包括比較從其發(fā)出所述請求的通信網(wǎng)絡(luò)的所述網(wǎng)絡(luò)部分和所標(biāo)識的功能組 與之關(guān)聯(lián)的通信網(wǎng)絡(luò)的所述網(wǎng)絡(luò)部分。
      5. 根據(jù)權(quán)利要求4的方法,其中所述比較步驟包括使用子網(wǎng)掩碼來判定兩個通信網(wǎng)絡(luò)的所述網(wǎng)絡(luò)部分是否相同。
      6. 根據(jù)任一上述權(quán)利要求的方法,其中接收連接到所述代理的連接請 求,所述方法包括為所述連接請求創(chuàng)建連接對象;以及使用所迷連接對象內(nèi)包含的信息確定來自同一請求方的任何后續(xù)請求 通過其到達(dá)的通信網(wǎng)絡(luò)。
      7. 根據(jù)任一上述權(quán)利要求的方法,包括響應(yīng)于判定所標(biāo)識的功能組未與所使用的通信路徑關(guān)聯(lián),丟棄所述請求。
      8. 根據(jù)權(quán)利要求7的方法,包括 通知請求方所述請求已被禁止。
      9. 根據(jù)任一上迷權(quán)利要求的方法,包括根據(jù)數(shù)據(jù)庫功能請求通過其到 達(dá)的通信路徑來提供對數(shù)據(jù)庫所提供的功能的訪問。
      10. —種用于控制對發(fā)布/訂閱消息代理的訪問的裝置,所述裝置包括用于將所述消息代理提供的多個發(fā)布/訂閱功能分為多個功能組的裝置;用于將每個功能組與一個通信路徑相關(guān)聯(lián)的裝置;用于在所述消息代理處接收請求的裝置,所述請求通過多個通信路徑 中的 一個通信路徑到達(dá)所述消息代理并請求訪問所述消息代理提供的發(fā)布 或訂閱功能;用于確定使用了哪個通信路徑的裝置;用于標(biāo)識所請求的功能屬于哪個功能組的裝置;用于判定所標(biāo)識的功能組是否與所使用的通信路徑關(guān)聯(lián)的裝置;以及 用于響應(yīng)于判定所標(biāo)識的功能組與所使用的通信路徑關(guān)聯(lián),提供對所 請求的發(fā)布或訂閱功能的訪問的裝置。
      11. 根據(jù)權(quán)利要求10的裝置,其中所述用于確定使用了哪個通信路徑 的裝置包括用于確定使用了哪個端口來訪問所述消息代理的裝置, 并且其中所述用于判定所標(biāo)識的功能組是否與所使用的通信路徑關(guān)聯(lián) 的裝置包括用于判定所標(biāo)識的功能組是否與用于訪問所述代理的端口關(guān)聯(lián)的裝置。
      12. 根據(jù)權(quán)利要求10或11的裝置,其中所述用于確定使用了哪個通 信路徑的裝置包括用于確定從其發(fā)出所述請求的通信網(wǎng)絡(luò)的裝置,并且其中所述用于判定所標(biāo)識的功能組是否與所使用的通信路徑關(guān)聯(lián) 的裝置包括用于判定所標(biāo)識的功能組是否與所述從其發(fā)出所述請求的通信網(wǎng)絡(luò)關(guān) 聯(lián)的裝置。
      13. 根據(jù)權(quán)利要求12的裝置,其中可以通過包括網(wǎng)絡(luò)部分和主機(jī)部分 的地址來標(biāo)識從其發(fā)出所述請求的所述通信網(wǎng)絡(luò),并且其中還至少可以通 過網(wǎng)絡(luò)部分來標(biāo)識所標(biāo)識的功能組與之關(guān)聯(lián)的通信網(wǎng)絡(luò),并且其中所述用 于判定所標(biāo)識的功能組是否與所述從其發(fā)出所述請求的通信網(wǎng)絡(luò)關(guān)聯(lián)的裝 置包括用于比較從其發(fā)出所述請求的通信網(wǎng)絡(luò)的所述網(wǎng)絡(luò)部分和所標(biāo)識的功 能組與之關(guān)聯(lián)的通信網(wǎng)絡(luò)的所述網(wǎng)絡(luò)部分的裝置。
      14. 根據(jù)權(quán)利要求13的裝置,其中所述比較裝置包括用于使用子網(wǎng)掩碼來判定兩個通信網(wǎng)絡(luò)的所述網(wǎng)絡(luò)部分是否相同的裝置。
      15. 根據(jù)權(quán)利要求10到14中的任一權(quán)利要求的裝置,其中接收連接到所述代理的連接請求,所述裝置包括用于為所述連接請求創(chuàng)建連接對象的裝置;以及用于使用所述連接對象內(nèi)包含的信息確定來自同一請求方的任何后續(xù) 請求通過其到達(dá)的通信網(wǎng)絡(luò)的裝置。
      16. 根據(jù)權(quán)利要求10到15中的任一權(quán)利要求的裝置,包括用于響應(yīng)于判定所標(biāo)識的功能組未與所使用的通信路徑關(guān)聯(lián),丟棄所 述請求的裝置。
      17. 根據(jù)權(quán)利要求16的裝置,包括用于通知請求方所述請求已被禁止的裝置。
      18. 根據(jù)任一上述權(quán)利要求的裝置,包括用于根據(jù)數(shù)據(jù)庫功能請求通過 其到達(dá)的通信路徑來提供對數(shù)據(jù)庫所提供功能的訪問的裝置。
      19. 一種包括程序代碼裝置的計算機(jī)程序,當(dāng)所述程序在計算機(jī)上運(yùn) 行時,所述程序代碼裝置適于執(zhí)行根據(jù)權(quán)利要求1到9中的任一權(quán)利要求 的方法。
      全文摘要
      披露了一種用于控制對發(fā)布/訂閱消息代理的訪問的方法、裝置和計算機(jī)程序。將所述消息代理提供的多個發(fā)布/訂閱功能分為多個功能組。將每個功能組與一個通信路徑相關(guān)聯(lián)。在所述消息代理處接收請求。此請求通過多個通信路徑中的一個通信路徑到達(dá)所述消息代理并請求訪問所述消息代理提供的發(fā)布或訂閱功能。確定使用了哪個通信路徑以及標(biāo)識所請求的功能屬于哪個功能組。然后判定所標(biāo)識的功能組是否與所使用的通信路徑關(guān)聯(lián),并且在結(jié)果肯定的情況下提供對所請求的發(fā)布或訂閱功能的訪問。
      文檔編號H04L29/06GK101305581SQ200680042052
      公開日2008年11月12日 申請日期2006年7月17日 優(yōu)先權(quán)日2005年11月26日
      發(fā)明者A·J·斯坦福-克拉克, R·M·阿普爾比 申請人:國際商業(yè)機(jī)器公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1