用于基于云的身份管理（c-idm）實現(xiàn)的方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種虛擬IDM服務(wù)器。一實施例中，所述服務(wù)器利用駐留在一個或更多計算機網(wǎng)絡(luò)中的多個計算機上的多個共享資源。所述服務(wù)器也在實時基礎(chǔ)上控制所述共享資源的分配和使用。所述服務(wù)器還包括：用于接收關(guān)于IDM服務(wù)請求的消息的一個或更多API；以及在處理所述IDM服務(wù)請求期間用于在實時基礎(chǔ)上訪問多個所述共享資源的一個或更多API。
【專利說明】用于基于云的身份管理(C-1DM)實現(xiàn)的方法和系統(tǒng)
[0001]背景
1.發(fā)明領(lǐng)域
[0002]本發(fā)明一般涉及訂戶和用戶身份管理(C-1DM)實現(xiàn)。特別地，涉及一種用于IDM實現(xiàn)的方法和系統(tǒng)，該IDM實現(xiàn)利用分布式虛擬資源。
[0003]2.背景
[0004]一般來說，身份管理(IDM)是廣泛的管理領(lǐng)域，其涉及識別系統(tǒng)(例如國家、網(wǎng)絡(luò)、或組織)中的個人，并且通過在已確立的個人身份上放置限制，控制對系統(tǒng)中資源的訪問。在計算機網(wǎng)絡(luò)領(lǐng)域中，IDM是涉及如何識別人們并且授權(quán)其訪問計算機網(wǎng)絡(luò)的術(shù)語。其包括以下問題，例如如何給予用戶身份、所述身份的保護、以及支持所述保護的技術(shù)(例如，網(wǎng)絡(luò)協(xié)議、數(shù)字證書、密碼等)
[0005]傳統(tǒng)上，IDM特性和功能以下面兩種不同方式實現(xiàn)。第一，IDM可在稱為IDM數(shù)據(jù)庫或IDM服務(wù)器的獨立設(shè)備上實現(xiàn)，其直接地與別的服務(wù)器例如應(yīng)用服務(wù)器、策略服務(wù)器、歸屬用戶服務(wù)器(HSS)、網(wǎng)關(guān)設(shè)備等連接，所以這些服務(wù)器能直接地請求來自IDM服務(wù)器的IDM服務(wù)。第二，IDM可被集成到網(wǎng)絡(luò)基礎(chǔ)設(shè)施元件例如(a)邊緣設(shè)備(路由器、網(wǎng)關(guān)、交換機、光線路終端(OLT)設(shè)備、和基于因特網(wǎng)協(xié)議的數(shù)字用戶線接入復(fù)用器(IP-DSLAM))，(b)像邊緣/核心服務(wù)控制功能的服務(wù)元件，(c)像流動性和資源管理功能的傳輸元件等。
[0006]IDM 特性和功能的表能在例如 3GPP 規(guī)范 TS24.109 (ftp://3gpp.0rg/Specs/latest/Rel-10/24_series/)中和 ITU-TFocusGroup 的 IDM 文檔(FGIdM, http://www.1tu.1nt/ITUT/study groups/coml7/fgidm/ index, html)上找到。這些文檔的內(nèi)容被整體地并入本申請。
[0007]圖1a示意性示出用于IDM實現(xiàn)的當(dāng)前模型的框圖。在所述框圖中，IDM服務(wù)器110與可被包含到當(dāng)前IDM實現(xiàn)的別的網(wǎng)絡(luò)實體直接連接。這些網(wǎng)絡(luò)元件可包括應(yīng)用服務(wù)器120、會話控制元件130、服務(wù)網(wǎng)關(guān)140等。圖1b-1c示意性描繪了可被包含到當(dāng)前IDM實現(xiàn)的不同網(wǎng)絡(luò)實體之間的信令流程和信息交換。
[0008]獨立的IDM服務(wù)器110接收請求，例如用于訂戶和用戶的身份驗證的請求以便驗證對事務(wù)或基于會話的服務(wù)的訪問。IDM服務(wù)器110可使用預(yù)定數(shù)量的屬性(例如，服務(wù)名稱和位置)、證書(例如，密碼或生物識別信息)和標(biāo)識符(名稱、用戶ID、MACid, IP地址、地理位置等)驗證所述訪問。
[0009]值得注意的是，一旦用戶/訂閱已通過驗證，IDM服務(wù)器110根據(jù)當(dāng)前實現(xiàn)可或可不控制用于會話和媒體的資源。這是可能的，策略、服務(wù)質(zhì)量和安全要求可規(guī)定這些分配。IDM的信令元件和IDM的媒體控制元件之間的接口可以是開放的(標(biāo)準(zhǔn)協(xié)議)或基于專有協(xié)議，所述接口能是點對點或點對多點，以便通過分配資源請求支持可靠性。
[0010]當(dāng)前IDM實現(xiàn)的主要缺點是，它們利用專用服務(wù)器或網(wǎng)絡(luò)基礎(chǔ)設(shè)施元件用于IDM服務(wù)。這種IDM特性和功能的實現(xiàn)會帶來下面的不良后果:
[0011]A.服務(wù)成本增加[0012]B.用于測試和與網(wǎng)絡(luò)集成所要求的時間增加
[0013]C.資源的靜態(tài)分配
[0014]D.重新定位資源較少靈活性
[0015]E.計算和通信資源與預(yù)設(shè)計的特性和功能的較緊密的耦合
[0016]F.創(chuàng)新的機會減少
[0017]對比之下，網(wǎng)絡(luò)服務(wù)提供者在動態(tài)和不斷演進的網(wǎng)絡(luò)和服務(wù)開發(fā)環(huán)境中需要的是，I)保護投資，就是說，投資能被迅速地改變用途用于不同的產(chǎn)生收益的應(yīng)用和服務(wù)的資源；和2)敏捷性和靈活性，就是說，利用已經(jīng)存在于網(wǎng)絡(luò)中的相同資源來部署新興的特性和功能。
[0018]當(dāng)前的發(fā)明解決了這些重大問題，因此使服務(wù)提供者能夠分配他們的預(yù)算用于計算、通信并控制基礎(chǔ)設(shè)施建設(shè)而不是創(chuàng)建和安裝計算筒倉(silos)和網(wǎng)絡(luò)設(shè)備，其在實現(xiàn)全部潛力(或提供完全的投資回報率)之前或仍然沒有得到充分利用或變得過時。

【發(fā)明內(nèi)容】

[0019]本發(fā)明公開一種虛擬IDM服務(wù)器。IDM服務(wù)器利用駐留在一個或更多計算網(wǎng)絡(luò)中的多個計算機上的多個共享資源。IDM服務(wù)器也在實時的基礎(chǔ)上控制共享資源的分配和使用。IDM服務(wù)器還包括用于接收有關(guān)IDM服務(wù)請求的消息的一個或更多API，和用于在處理所述IDM服務(wù)請求期間在實時的基礎(chǔ)上訪問多個所述共享資源的一個或更多API。
[0020]附圖簡述
[0021]這樣已經(jīng)概括地說明了本發(fā)明，現(xiàn)在將參考不一定按比例繪制的附圖，其中:
[0022]圖1a示意性示出用于IDM實現(xiàn)的當(dāng)前模型的框圖。
[0023]圖1b示意性示出被包含到當(dāng)前IDM實現(xiàn)的信令流程。
[0024]圖1c示意性示出被包含到當(dāng)前IDM實現(xiàn)的信息交換。
[0025]圖2示意性示出本發(fā)明的一個實施例的IDM實現(xiàn)模型。
[0026]圖3示意性示出本發(fā)明的一個實施例的用于提供IDM服務(wù)的方法。
[0027]優(yōu)選實施方式的詳細描述
[0028]現(xiàn)在將在下文中參照附圖更充分地說明本發(fā)明，其中示出了本發(fā)明的實施例的一些例子。當(dāng)然，這些發(fā)明可以以許多不同的形式來體現(xiàn)并且不應(yīng)該被解釋為限于本文所闡述的實施例；更確切些，這些實施例是通過舉例的方式提供的，因此本公開將滿足適用性的法律要求。
[0029]圖2示出本發(fā)明的IDM實現(xiàn)模型的一實施例。這個實現(xiàn)中，IDM特性和功能被實現(xiàn)在一個或更多虛擬IDM服務(wù)器210上。這種虛擬IDM服務(wù)器可被設(shè)計為在實時和需求的基礎(chǔ)上利用網(wǎng)絡(luò)中的一組資源。所述資源能從公共網(wǎng)絡(luò)、專用網(wǎng)絡(luò)或社區(qū)網(wǎng)絡(luò)獲得。一實施例中，通過配置現(xiàn)有的云計算資源提供IDM服務(wù)，這種虛擬IDM服務(wù)器可被實現(xiàn)為基于云的虛擬IDM服務(wù)器。
[0030]這種實現(xiàn)可使用現(xiàn)有技術(shù)中公知的編程語言，通過設(shè)計IDM應(yīng)用程序接口(API)或資源編程接口(RPI)實現(xiàn)。例如，這些API/RPI能使用任一或更多下面的技術(shù):S0AP、XML、WSDL、Par I ay/Parlay-X, HTTP、CORBA等。這些API/RPI的設(shè)計可基于現(xiàn)有的云計算平臺，例如 Amazon ElasticComputeCloud (AmazonEC2)。關(guān)于 AmazonEC2 的信息能從 EC2 網(wǎng)站在http://aws.amazon.com/ec2/上獲得。本網(wǎng)站的內(nèi)容在此被引入。
[0031]需要注意的是，這些API/RPI不僅簡化了訪問所需的資源而且保證與現(xiàn)有的網(wǎng)絡(luò)/基礎(chǔ)設(shè)施、安全性、可用性、服務(wù)連續(xù)性等的快速集成和互操作性。這是由于如下事實，即所需的IDM特性/功能通過這些開放的API/RPI通過到處尋找可用的網(wǎng)絡(luò)資源并且取得資源來獲得，因此能按照服務(wù)的持續(xù)期間的應(yīng)用和服務(wù)的要求利用這些資源。例如，防火墻和加密密鑰資源的實時可用性被強制性地用于公共互聯(lián)網(wǎng)上的實時企業(yè)安全語音通信服務(wù)。
[0032]一實施例中，虛擬IDM服務(wù)器210還包括一組虛擬信令/計算資源塊212和一組虛擬媒體/存儲資源塊215。虛擬信令/計算資源塊212從API/RPI接收IDM服務(wù)和處理請求，并且通過開放/標(biāo)準(zhǔn)協(xié)議216或虛擬通信鏈路(VPN) 218，從媒體/存儲資源的虛擬塊215分配或獲得媒體/存儲資源(例如存儲空間、計算能力等)。所述媒體或信令資源的虛擬塊可從各種網(wǎng)絡(luò)資源獲得，并且被利用所要求的任何延長的持續(xù)期間。一實施例中，使用的持續(xù)時間可從幾小時變化到幾天。
[0033]一實施例中，從各種網(wǎng)絡(luò)資源獲得的虛擬信令/計算資源的塊212被集成到IDM信令資源池，統(tǒng)一的API221被創(chuàng)建用于訪問該IDM信令資源池。這為IDM服務(wù)可容易地用于應(yīng)用和服務(wù)(例如訂戶信息/簡介服務(wù)器220、信任和關(guān)鍵權(quán)限230、訪問/媒體策略控制240、會話/事務(wù)控制服務(wù)器250等)與IDM的信令部分通信提供了方式。
[0034]另一實施例中，IDM的信令部分也包括用于控制或分配處理IDM服務(wù)請求所需要的信令資源的一個或更多模塊222。物理信令/計算資源224可以分布的方式存在于各種計算機中，且現(xiàn)有的云計算技術(shù)可用于將這些分布的資源集成為虛擬資源223以使控制模塊222和物理資源224之間的通信容易。
[0035]在又一實施例中，IDM實現(xiàn)的信令部分使用開放協(xié)議216或VPN218通過虛擬網(wǎng)絡(luò)鏈路也控制來自IDM的媒體控制部分的資源的分配。
[0036]在又一實施例中，用于IDM的媒體部分的資源塊也可從各種網(wǎng)絡(luò)資源獲得，這些塊可被集成到IDM媒體資源池，并且用于訪問IDM媒體資源池的統(tǒng)一的API225可被創(chuàng)建，以使IDM的信令部分和媒體部分之間的通信容易。
[0037]一實施例中，IDM實現(xiàn)的媒體部分也包括用于控制或分配處理IDM服務(wù)請求所需要的媒體資源的一個或更多模塊226。物理媒體/存儲資源228可以分布的方式存在于各種計算機中，現(xiàn)有的云計算技術(shù)可被用于將這些分布的資源集成為虛擬資源227以使控制模塊226和物理資源228之間的通信容易。
[0038]處理IDM服務(wù)請求所要求的信令或媒體資源可從各種網(wǎng)絡(luò)資源獲得，并且被利用所要求的持續(xù)時間。所述持續(xù)時間可從幾分鐘變化到數(shù)十小時或數(shù)百個小時。
[0039]圖3示出根據(jù)本發(fā)明的一個實施例的提供IDM服務(wù)的方法。這個實施例中，在步驟310中，關(guān)于IDM服務(wù)請求的消息首先被IDM實現(xiàn)的信令A(yù)PI接收。這種請求消息可起源于訂戶信息/簡介服務(wù)器220、信任和關(guān)鍵權(quán)限230、訪問/媒體策略控制240或會話/事務(wù)控制服務(wù)器250等。步驟320中，該IDM實現(xiàn)的信令部分的控制模塊確定所需的信令資源的量，和被要求的資源所需時間的量。步驟325中，信令控制模塊聯(lián)系虛擬信令資源以請求分配信令資源，并且這種資源在步驟330中獲得。
[0040]然后在步驟340中，IDM實現(xiàn)的信令部分聯(lián)系媒體資源控制API以請求分配媒體資源。如上所述，信令A(yù)PI和媒體控制API兩者都可使用基于現(xiàn)有的云計算平臺被設(shè)計。步驟350中，該IDM實現(xiàn)的媒體部分的控制模塊確定所需的信令資源的量，和被要求的資源所需時間的量。步驟355中，信令控制模塊聯(lián)系虛擬媒體資源以請求分配信令資源，并且這種資源在步驟360中獲得。
[0041]然后在步驟370中，使用所獲資源處理IDM服務(wù)請求消息。信令和媒體資源的保留，以及IDM請求的處理可通過利用現(xiàn)有的云計算服務(wù)實現(xiàn),例如AmazonEC2。最后,在IDM服務(wù)請求被處理之后，信令和媒體資源在步驟380中被釋放。
[0042]這里所闡述的本發(fā)明的許多修改和其他實施例，這些發(fā)明所屬領(lǐng)域的技術(shù)人員在受益于前述說明和相關(guān)附圖中的教導(dǎo)后將會想到。因此，可理解，本發(fā)明不限于所公開的實施例的特殊例子，修改和其他實施例旨在被包括在所附權(quán)利要求的范圍之內(nèi)。盡管在本文中使用了特定的術(shù)語，它們只在通用的和描述性的意義上使用，而不是為了限制的目的。
【權(quán)利要求】
1.一種虛擬IDM服務(wù)器，所述服務(wù)器利用駐留在一個或更多計算機網(wǎng)絡(luò)中的多個計算機上的多個共享資源；所述服務(wù)器也在實時基礎(chǔ)上控制所述共享資源的分配和使用；所述服務(wù)器還包括:用于接收關(guān)于IDM服務(wù)請求的消息的一個或更多API ;以及用于在處理所述IDM服務(wù)請求期間在實時基礎(chǔ)上訪問多個所述共享資源的一個或更多API。
2.如權(quán)利要求1所述的虛擬IDM服務(wù)器，還包括信令控制模塊；所述信令控制模塊通過與一個或更多虛擬信令資源API通信，控制所述共享資源的分配和使用。
3.如權(quán)利要求2所述的虛擬IDM服務(wù)器，還包括媒體控制模塊，所述媒體控制模塊通過與一個或更多虛擬媒體資源API通信，控制所述共享資源的分配和使用。
4.如權(quán)利要求1所述的虛擬IDM服務(wù)器，還包括虛擬信令部分和虛擬媒體部分，所述虛擬信令部分和所述虛擬媒體部分通過標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議或VPN通信。
5.如權(quán)利要求1所述的虛擬IDM服務(wù)器，其中所述API中的一個或多個基于云計算平臺被設(shè)計。
6.如權(quán)利要求1所述的虛擬IDM服務(wù)器，其中所述共享資源基于所述IDM服務(wù)請求的要求被取得和釋放。
7.一種計算機網(wǎng) 絡(luò)，其包括如權(quán)利要求1所述的虛擬IDM服務(wù)器。
8.如權(quán)利要求1所述的虛擬IDM服務(wù)器，其中所述一個或更多API包括用于所有共享資源的統(tǒng)一的API。
9.如權(quán)利要求1所述的虛擬IDM服務(wù)器，其中所述共享資源包括駐留在一個或更多公共計算機網(wǎng)絡(luò)或社區(qū)計算機網(wǎng)絡(luò)中的資源。
10.一種用于提供IDM服務(wù)的方法，包括:接收關(guān)于IDM服務(wù)請求的消息；在實時基礎(chǔ)上確定對多個共享資源的分配和使用，所述共享資源駐留在一個或更多計算機網(wǎng)絡(luò)中的多個計算機中；以及在處理所述IDM服務(wù)請求期間與用于在實時基礎(chǔ)上訪問所述共享資源的一個或更多API通信。
11.如權(quán)利要求10所述的方法，其中所述確定步驟還包括在實時基礎(chǔ)上確定對信令資源的分配和使用。
12.如權(quán)利要求10所述的方法，其中所述確定步驟還包括在實時基礎(chǔ)上確定對媒體資源的分配和使用。
13.如權(quán)利要求10所述的方法，其中所述通信步驟還包括與一個或更多虛擬信令A(yù)PI通信以訪問用于信令的共享資源。
14.如權(quán)利要求10所述的方法，其中所述通信步驟還包括與一個或更多虛擬媒體API通信以訪問用于媒體用途的共享資源。
15.如權(quán)利要求13所述的方法，其中所述一個或更多API包括用于訪問所有共享資源的統(tǒng)一的API。
16.如權(quán)利要求13所述的方法，其中所述API中的一個或多個基于云計算平臺被設(shè)計。
17.如權(quán)利要求10所述的方法，其中所述共享資源基于所述IDM服務(wù)請求的要求被取得和釋放。
18.如權(quán)利要求10所述的方法，其中所述共享資源包括駐留在一個或更多公共計算機網(wǎng)絡(luò)或社區(qū)計算機網(wǎng)絡(luò)中的資源。
19.如權(quán)利要求14所述的方法，其中所述一個或更多API包括用于訪問所有共享資源的統(tǒng)一的API。
20.如權(quán)利要求14所 述的方法，其中所述API中的一個或多個基于云計算平臺被設(shè)計。
【文檔編號】G06F15/16GK103765404SQ201280028695
【公開日】2014年4月30日 申請日期:2012年6月14日 優(yōu)先權(quán)日:2011年6月14日
【發(fā)明者】布米普·哈斯納比西 申請人:中興通訊股份有限公司, 中興通訊(美國)公司