国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      具有可擴(kuò)展功能的元目錄代理的制作方法

      文檔序號:6376025閱讀:159來源:國知局
      專利名稱:具有可擴(kuò)展功能的元目錄代理的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及但不限于實(shí)現(xiàn)元目錄和經(jīng)由門戶服務(wù)器與元目錄接口的技術(shù)。
      背景技術(shù)
      不論大的或小的利用計(jì)算機(jī)工作的企業(yè)都包含大量目錄、網(wǎng)絡(luò)操作系統(tǒng)和數(shù)據(jù)庫,在其中存儲公司數(shù)據(jù)、客戶信息以及雇員數(shù)據(jù)。
      在一些場合,要管理的數(shù)據(jù)被包含在一個(gè)同構(gòu)的環(huán)境中,即數(shù)據(jù)的形式和格式是相似或兼容的。在這種情況中,周期性地執(zhí)行一個(gè)“同步”過程,它比較分布式數(shù)據(jù)對象的內(nèi)容并有選擇地復(fù)制或更新全部數(shù)據(jù)源以包含適當(dāng)?shù)臄?shù)據(jù)。
      例如,電子郵件服務(wù)器的消息存儲格式通常與電子郵件客戶機(jī)上的存儲格式相同。所以當(dāng)一客戶機(jī)登錄到電子郵件服務(wù)器中時(shí),該服務(wù)器能迅速確定是否存在任何“新”消息(即在服務(wù)器存儲器中的那些尚未復(fù)制到該客戶機(jī)存儲器的消息)并把那些消息傳送給客戶機(jī)。許多分布式數(shù)據(jù)庫產(chǎn)品,如IBM的Lotus Notes[注冊商標(biāo)]產(chǎn)品,能夠進(jìn)行更大規(guī)模的同構(gòu)數(shù)據(jù)庫的同步。
      然而,含有相關(guān)的或部分相關(guān)的數(shù)據(jù)對象的許多數(shù)據(jù)源彼此并不同構(gòu),相反,它們在性質(zhì)上是異構(gòu)的。例如,關(guān)于公司雇員“John Smith”的信息可能被包含在公司的內(nèi)聯(lián)網(wǎng)內(nèi)的許多不同的數(shù)據(jù)存儲中。他的雇員記錄(雇用日期、薪金級別、家庭住址、從屬名等)可能被包含在人力資源服務(wù)器上的Oracle數(shù)據(jù)庫中,而他的當(dāng)前的委派任務(wù)信息可能被存儲在Lotus Notes系統(tǒng)中的部門或分部服務(wù)器中(部門、經(jīng)理名、電子信箱地址等)。
      在異構(gòu)數(shù)據(jù)源中管理數(shù)據(jù)對象的一種可用技術(shù)是輕量目錄訪問協(xié)議(“LDAP”)以及用于遠(yuǎn)程查詢和修改LDAP允許的目錄內(nèi)數(shù)據(jù)對象的開放式工業(yè)標(biāo)準(zhǔn)。這一協(xié)議把查詢和修改操作轉(zhuǎn)化成統(tǒng)一的LDAP操作,它能由LDAP允許的服務(wù)器解釋,以改變目錄中的數(shù)據(jù)對象。
      LDAP允許用戶去確定組織、個(gè)人或其他資源的位置,如在網(wǎng)絡(luò)中的文件和設(shè)備,不論是在公共因特網(wǎng)上還是在公司內(nèi)聯(lián)網(wǎng)上。LDAP是目錄訪問協(xié)議(DAP)的極小化版本,DAP是用于網(wǎng)絡(luò)目錄服務(wù)的X.500標(biāo)準(zhǔn)的一部分。
      一些目錄,如LDAP目錄,有對變化日志的支持,該日志記錄已對該目錄做的改變。對于不支持變化日志的目錄,用戶或管理員有時(shí)開發(fā)他們自己的檢測目錄內(nèi)變化的機(jī)制。這些技術(shù)通常包括輪詢目錄,識別自上次輪詢操作以來已做的任何改變,一旦檢測到改變,則報(bào)告一個(gè)條目已被修改,通常列出被改變條目的全部屬性。
      在下面的例子中,在XYZ公司的人力資源數(shù)據(jù)庫中“John Smith”個(gè)人條目中的電話號碼要更新為“838-1180”,而他的部門要改為部門“6”帶有5個(gè)字段的原始條目可以表現(xiàn)為表1中所示的樣子。
      表1原始條目示例全名=“John Smith”電話號碼=“838-1178”用戶ID=“jsmith”分部=92部門=5電子信箱=“ismith@xyzcorp.com”其中該條目的格式是全名,電話號碼,用戶ID,分部,部門,電子信箱由用戶寫的腳本可以輪詢含有被改變條目的目錄,它在變化日志中產(chǎn)生一個(gè)記錄。在變化日志中的記錄反映在進(jìn)行表2所示一系列LDAP修改操作時(shí)對該條目的改變。
      表2LDAP變化日志示例DNcn=John Smith,ou=Austin,o=xyz改變類型修改替換電話號碼電話號碼838-1180改變類型修改替換用戶ID用戶IDjsmith改變類型修改替換分部分部92改變類型修改替換部門部門6改變類型修改替換電子信箱電子信箱jsmith@xyzcorp.com對元目錄中的其他目錄所產(chǎn)生的更新,只是對每個(gè)數(shù)據(jù)對象整體更新,包括沒有實(shí)際被修改的字段,因?yàn)橥ǔ5挠捎脩糸_發(fā)的腳本不試圖識別被更新或修改的實(shí)際數(shù)據(jù)字段。
      如果與一系列單個(gè)字段修改操作相比,該輪詢操作比較快的話,則由用戶開發(fā)的解決方案將檢測每個(gè)單個(gè)改變并多次更新整個(gè)元目錄的每個(gè)條目(一次更新全部字段)。
      這往往造成整個(gè)元目錄中許多冗余的條目更新,而這只是為了實(shí)現(xiàn)實(shí)際數(shù)據(jù)中小的、遞增的改變。當(dāng)考慮的數(shù)據(jù)源合理組織時(shí),它們可能包含數(shù)以百計(jì)的數(shù)據(jù)源,每個(gè)數(shù)據(jù)源有數(shù)千個(gè)條目,那么這些冗余更新對系統(tǒng)性能的影響是顯而易見的。
      除了低效率使用計(jì)算資源外,這還能在整體系統(tǒng)操作中造成相當(dāng)大的問題,因?yàn)檫@些更新在計(jì)算機(jī)網(wǎng)絡(luò)上傳播,因而不必要地消耗帶寬和中間存儲器。
      LDAP解決方案的另一個(gè)缺點(diǎn)在于舊版本目錄可能會無限期存在,而且不是所有舊版本目錄都可能被升級成與LDAP兼容。再有,LDAP實(shí)際上只提供一種公共訪問協(xié)議(即訪問目錄的遠(yuǎn)程方法),但在它本身中不提供實(shí)際的異構(gòu)數(shù)據(jù)源管理功能。
      盡管一些LDAP復(fù)制標(biāo)準(zhǔn)正在開發(fā)之中,但尚未完成,許多現(xiàn)有的專有解決方案是不同的和不兼容的。在任何情況中,不論是專有的還是基于標(biāo)準(zhǔn)的復(fù)制和同步都不足以滿足對企業(yè)范圍的異構(gòu)數(shù)據(jù)源目錄進(jìn)行管理的需求。
      術(shù)語“元目錄”是指一類企業(yè)目錄管理工具,它們提供管理和同步兩個(gè)或多個(gè)含有異構(gòu)數(shù)據(jù)源的目錄的手段。為了管理種類全異的異構(gòu)數(shù)據(jù)源,典型的元目錄產(chǎn)品可能要求單個(gè)數(shù)據(jù)源(例如目錄、文件、數(shù)據(jù)庫等)把它們的數(shù)據(jù)輸出到一個(gè)共同的格式,然后使用文件傳送、電子郵件或其他數(shù)據(jù)傳送協(xié)議與元目錄交換數(shù)據(jù)。在元目錄接收來自數(shù)據(jù)源的文件后,管理員能添加或修改來自元目錄的數(shù)據(jù)。一個(gè)這樣的產(chǎn)品是VIA產(chǎn)品,最初是由Zoomit公司提供的,后由Microsoft(微軟)公司獲得。
      元目錄對于系統(tǒng)管理和安全性管理特別有用,因?yàn)樗鼈兡苡米黾牲c(diǎn)以簡化現(xiàn)有的解決方案和創(chuàng)建新的基于萬維網(wǎng)的應(yīng)用。例如,每個(gè)應(yīng)用有它自己專有的方法或模式去存儲與該應(yīng)用關(guān)聯(lián)的信息,不管它是用戶信息、安全性信息、配置設(shè)置等。
      通過使用元目錄,這些各種數(shù)據(jù)存儲可以被一次存儲并集成,從而使它們可以被作為單個(gè)實(shí)體來管理和支配(根據(jù)元目錄規(guī)則和限制),從而降低維持這些信息的總成本同時(shí)提高處置這些信息時(shí)的安全性和可靠性。
      然而,因?yàn)楫?dāng)前的元目錄產(chǎn)品可能要求各種數(shù)據(jù)源能把它們的數(shù)據(jù)輸出到這些“共同的”格式中,那些不支持這種輸出操作的數(shù)據(jù)源可能被排除在元目錄包括的范圍之外。
      在根據(jù)當(dāng)前這些過程管理來自多個(gè)異構(gòu)數(shù)據(jù)源的條目時(shí)的另一個(gè)問題是信息可能未曾一致性地送入這些數(shù)據(jù)源,例如在一些條目內(nèi)可能有邏輯上的同義語,但它們不是嚴(yán)格的字符串匹配。例如,在單個(gè)元目錄內(nèi)管理的三個(gè)數(shù)據(jù)源中,每個(gè)數(shù)據(jù)源含有關(guān)于“Robert Smith”的信息,名字“Robert Smith”可能已輸入為在數(shù)據(jù)源1中是Robert Smith在數(shù)據(jù)源2中是Bob Smith在數(shù)據(jù)源3中是Rob Smith。
      在自動(dòng)解析或檢測這些別名或相關(guān)條目方面,通常的元目錄產(chǎn)品沒有提供什么,往往要求管理員人工介入去管理這些數(shù)據(jù)對象。向這些含有同義語的記錄傳播改變的傳統(tǒng)作法將是為每個(gè)記錄變體傳播改變。在這個(gè)例子中,為了更新整個(gè)元目錄中“Robert Smith”的信箱地址,管理員首先得要知道這三個(gè)可用的同義語,然后人工地執(zhí)行將會傳播到整個(gè)元目錄的三個(gè)單獨(dú)的改變。
      在相關(guān)申請中公開的系統(tǒng)和方法使在元目錄中向條目傳播更新對系統(tǒng)性能的影響減至最小。此外,這一系統(tǒng)與現(xiàn)有元目錄工具和技術(shù)合作并擴(kuò)展其能力,同時(shí)向用戶或管理員提供可配置能力和控制。
      因?yàn)樵夸浾宫F(xiàn)了統(tǒng)一管理和訪問多種類型數(shù)據(jù)的機(jī)會,如果它能通過一個(gè)門戶訪問元目錄中的數(shù)據(jù)以向用戶提供額外的用途,那將是很有用的。
      此外,由于通過向聯(lián)合數(shù)據(jù)源適當(dāng)?shù)靥峤桓淖兛梢愿淖儌鹘y(tǒng)的元目錄,所以需要提供安全性、認(rèn)證、授權(quán)和數(shù)據(jù)完整性保證,以防止發(fā)生不正確的或未被授權(quán)的改變。這樣,能向門戶服務(wù)器提供互通信、安全性、過濾以及個(gè)性化特性的元目錄會是有用的。

      發(fā)明內(nèi)容
      提供了一個(gè)用于布署元目錄和門戶服務(wù)器的能與門戶服務(wù)器集成的一致性體系結(jié)構(gòu),它允許通過該門戶訪問無結(jié)構(gòu)的或有結(jié)構(gòu)的數(shù)據(jù)。諸如目錄、數(shù)據(jù)庫、用戶注冊表等一些數(shù)據(jù)源包含“有結(jié)構(gòu)的數(shù)據(jù)”(例如數(shù)據(jù)庫記錄),而其他數(shù)據(jù)源包含“無結(jié)構(gòu)的數(shù)據(jù)”(例如電子郵件和文檔)這里公開說明的元目錄支持這兩類數(shù)據(jù)。有結(jié)構(gòu)的和無結(jié)構(gòu)的數(shù)據(jù)被映射成基于標(biāo)準(zhǔn)的格式條目格式,如LDAP格式。例如,這允許該元目錄用于來自O(shè)racle數(shù)據(jù)庫、文件系統(tǒng)和Domino討論數(shù)據(jù)庫的數(shù)據(jù),所有這些數(shù)據(jù)源內(nèi)包含的數(shù)據(jù)有相當(dāng)不同的格式和結(jié)構(gòu)。還提供了門戶服務(wù)器功能,包括安全性過濾和個(gè)性化。通過門戶服務(wù)器功能,可以由該門戶服務(wù)器服務(wù)的任意多系統(tǒng)訪問和/或修改該元目錄的內(nèi)容。


      圖1顯示元目錄部件的結(jié)構(gòu)安排。
      圖2公開一個(gè)用于演示目的的元目錄示例。
      圖3提供由元目錄合并的可能的屬性名和值集合的詳細(xì)舉例。
      圖4給出一個(gè)元目錄結(jié)構(gòu)的詳情。
      圖5提供一個(gè)元目錄代理的部件詳情。
      圖6顯示該元目錄代理的一個(gè)實(shí)施例的邏輯過程。
      圖7提供用于演示目的的多條目匹配的舉例。
      圖8提出產(chǎn)生元數(shù)據(jù)改變的高級邏輯過程。
      圖9顯示對多條目匹配實(shí)現(xiàn)加權(quán)評分的邏輯過程。
      圖10提供當(dāng)傳播一個(gè)改變時(shí)由元目錄代理完成的邏輯過程示例。
      圖11提供當(dāng)接收一個(gè)改變時(shí)由元目錄代理完成的邏輯過程示例。
      圖12顯示由一個(gè)元目錄代理(如元目錄代理插件)完成的用于源認(rèn)證的邏輯過程。
      圖13顯示由一個(gè)元目錄代理(如元目錄代理插件)完成的用于源識別的邏輯過程。
      圖14顯示向元目錄提供門戶服務(wù)器能力的系統(tǒng)和部件的結(jié)構(gòu)安排。
      具體實(shí)施例方式
      在一個(gè)實(shí)施例中,該系統(tǒng)可以作為眾所周知的Tivoli Secure Way[注冊商標(biāo)]企業(yè)計(jì)算產(chǎn)品的延伸來實(shí)現(xiàn)。然而,本領(lǐng)域技術(shù)人員將不難理解其他適當(dāng)?shù)膶?shí)現(xiàn),如通常用于向其他元目錄管理軟件和系統(tǒng)增加功能的直接代碼改變或其他技術(shù)。這些可替代的元目錄管理軟件產(chǎn)品包括,但不限于,來自Microsoft(微軟)公司的VIA產(chǎn)品。
      這里公開說明的系統(tǒng)和方法允許管理員給定用于從一個(gè)目錄到另一個(gè)目錄匹配對象的判據(jù)的規(guī)則,用于屬性和對象所有權(quán)的規(guī)則,以及用于過濾屬性的規(guī)則。例如,可以為一個(gè)元目錄中的一個(gè)含有員工薪金信息的成份建立規(guī)則,以禁止該信息被復(fù)制或拷貝到其他目錄、文件或數(shù)據(jù)庫中。
      一個(gè)元目錄可以有下列功能的全部或其中的一部分(a)它同步一個(gè)或多個(gè)連入的異構(gòu)數(shù)據(jù)源與元目錄之間的信息;(b)關(guān)于哪些數(shù)據(jù)源要被同步它是可配置的;(c)它能使一個(gè)指針(如LDAP統(tǒng)一資源定位器(URL))指向一條信息,該信息是元目錄必須為元目錄用戶解析的信息;以及(d)它提供一種方法,能根據(jù)管理員定義的配置和規(guī)則從多個(gè)異構(gòu)數(shù)據(jù)源復(fù)制數(shù)據(jù)。
      這樣,在一個(gè)可能的實(shí)施例中,本系統(tǒng)和方法提供的元目錄是一個(gè)企業(yè)管理工具,它把多個(gè)不同的名字空間集成為邏輯上單一的名字空間,以提供公共信息模型(例如模式),對來自所有連接目錄的信息的統(tǒng)一客戶機(jī)訪問,以及以統(tǒng)一方式管理多個(gè)不同目錄的手段。然而,該元目錄并不意味著把信息物理地整合到一個(gè)單一的主“巨型目錄”中,也不是一個(gè)目錄同步和復(fù)制工具。
      再有,我們的元目錄通過向異構(gòu)數(shù)據(jù)源輸入數(shù)據(jù)、改變其中的數(shù)據(jù)和從中輸出數(shù)據(jù)而互連,該異構(gòu)數(shù)據(jù)源包括但不限于數(shù)據(jù)庫(例如DB2、Oracle等)、Lotus Novell目錄服務(wù)、Netscape、OS/2目錄、WindowsNT數(shù)據(jù)源等。
      轉(zhuǎn)到圖1,圖中顯示我們的元目錄體系結(jié)構(gòu)(1)的一個(gè)實(shí)施例。結(jié)合器(10)是一中央集線器,在那里信息被集成和同步,它可通過使用Java bean(100)加以擴(kuò)展。
      結(jié)合器(10)直接地或通過元目錄代理(12,15,17)與所連接的數(shù)據(jù)源(“DS”),如數(shù)據(jù)庫(11,16)通信。結(jié)合器(10)把來自不同數(shù)據(jù)源的相同對象類型的條目合并到一起,如文本文件(18)、數(shù)據(jù)庫(16,11)中的記錄、連網(wǎng)的數(shù)據(jù)存儲項(xiàng)目(13)、或其他可遠(yuǎn)程訪問的數(shù)據(jù)存儲,如LDAP目錄(14,19)。結(jié)合器(10)在一個(gè)關(guān)系數(shù)據(jù)庫(優(yōu)選DB/2數(shù)據(jù)庫)中保持來自每個(gè)數(shù)據(jù)源的被結(jié)合的數(shù)據(jù)的拷貝。在一個(gè)局部表(“LT”)(100)中包含每個(gè)數(shù)據(jù)存儲器的每個(gè)對象類型。
      將數(shù)據(jù)存儲的每個(gè)被結(jié)合對象的條目反映為相應(yīng)LT中的一個(gè)行條目。添加了一列,其中包含唯一的關(guān)鍵字或“匹配關(guān)鍵字”,用于標(biāo)識所有數(shù)據(jù)存儲的該對象的相同實(shí)例。
      元目錄代理(17)向結(jié)合器(10)傳送對該元目錄內(nèi)的目錄或數(shù)據(jù)源中的被結(jié)合對象所做的任何改變。這些改變被存儲在變化日志中,該日志被傳送給結(jié)合器。然后該結(jié)合器評估這些改變是否有效,然后把它們傳播給該元目錄中的其他目錄。
      這樣,該結(jié)合器提供如下功能(a)通過把多種數(shù)據(jù)中的信息鏈接到一個(gè)聚合體中,把關(guān)于單個(gè)實(shí)體或共同主題的不同種類信息源組合到元目錄中單一條目中;(b)由一個(gè)結(jié)合(Join)代表一個(gè)組織中的所有資源;以及(c)可由管理員定義規(guī)則以允許不同數(shù)據(jù)源之間的模糊匹配。
      圖2用一個(gè)例子進(jìn)一步說明“結(jié)合”操作。一個(gè)人力資源數(shù)據(jù)庫可以包含第一條目(22)用于雇員“Clark Kent”,包括他的雇員號、姓、名、頭銜、工作電話號碼、部門、雇用日期、薪金、家庭地址、家庭電話號碼、以及醫(yī)療記錄。在一個(gè)姓名地址記錄簿(NAB)中,可能有一個(gè)Kent先生的條目(23),包含他的用戶名、用戶短名、他的郵件服務(wù)器和郵件文件的位置,以及用于進(jìn)出因特網(wǎng)的外部電子郵件的電子信箱地址。在一個(gè)NT域目錄中,可能有一個(gè)Kent先生的條目(24),包括用戶ID、口令、服務(wù)器ID以及他所在的組列表。再有,在一個(gè)Novellware連接庫中,可能有一個(gè)用戶對象和一個(gè)或多個(gè)路由表(25)定義對Kent先生送、取的消息路徑。
      由元目錄(20)完成的基本“結(jié)合”操作合并從這些數(shù)據(jù)源的每個(gè)中選出的數(shù)據(jù)項(xiàng),以在局部表中為Kent先生創(chuàng)建一個(gè)條目(21)。來自未被合并或結(jié)合的數(shù)據(jù)源的對象被過濾掉。從統(tǒng)一的元目錄的觀點(diǎn)來看,這可以防止元目錄被那些通常不需要的數(shù)據(jù)項(xiàng)目搞亂。例如,姓、名、頭銜、工作電話號碼和部門可以從HR(人力資源)數(shù)據(jù)庫輸出到該元目錄,而濾掉其他屬性(雇員號、雇用日期等)。此外,對于Kent先生,來自Novellware連接庫的用戶對象可以輸出到該元目錄,同時(shí)濾掉路由表。
      這一靈活的管理控制根據(jù)特定的組織信息所有權(quán)和安全性要求,平衡集中化控制和局部自動(dòng)化之間的矛盾。它允許“自頂向下”或“自底向上”地適應(yīng)一個(gè)“地緣政治”場景的范圍。再有,元目錄(“MD”)相對于被管理的數(shù)據(jù)源可以是主控的、從屬的或?qū)Φ鹊?,這決定了哪些實(shí)體可以創(chuàng)建、修改和刪除數(shù)據(jù)對象。通過靈活的屬性內(nèi)容控制(例如過濾配置),能與對象創(chuàng)立、修改和刪除的定義分離地定義雙向流程。
      繼續(xù)以這個(gè)例子進(jìn)行說明,人力資源(“HR”)部門可以控制HR數(shù)據(jù)庫內(nèi)某些屬性(字段)的創(chuàng)立和刪除,同時(shí)允許該元目錄創(chuàng)建和刪除HR數(shù)據(jù)庫內(nèi)的某些其他屬性。這樣,例如在圖3中,HR的成員可以為每個(gè)雇員修改其姓名、頭銜和部門屬性(31),而元目錄可以改變電話和家庭住址屬性(32),它們可能是從其他的部門數(shù)據(jù)源(或許是姓名地址記錄簿)傳播來的(33)。
      轉(zhuǎn)到圖4,圖中提供結(jié)合器(10)的體系結(jié)構(gòu)的一個(gè)可能實(shí)施例的詳細(xì)圖示。結(jié)合器(10)可以接收與數(shù)據(jù)源(“DS”)(43)關(guān)聯(lián)的元目錄代理(42)提供的數(shù)據(jù)對象改變,優(yōu)選地以LDAP“改變”操作格式。結(jié)合器(10)還可以向數(shù)據(jù)源(43)發(fā)送改變。對每個(gè)MD代理(42)提供了適當(dāng)?shù)慕涌?,如LDAP接口(41)。
      在結(jié)合器(10)內(nèi),以一種通用格式,優(yōu)選DB2格式,但也可以以任何其他適當(dāng)?shù)母袷骄S持一個(gè)與每個(gè)數(shù)據(jù)源(43)關(guān)聯(lián)的局部表(100)。然后這多個(gè)局部表被組合,以由表結(jié)合功能(45)創(chuàng)建結(jié)合的表(“JT”),它提供了被結(jié)合的異構(gòu)數(shù)據(jù)的統(tǒng)一視圖(46)。優(yōu)選地,JT數(shù)據(jù)存儲在LDAP服務(wù)器上,從而用戶可以查看和訪問JT數(shù)據(jù)。
      為了響應(yīng)從數(shù)據(jù)源或管理員接收的改變,去正確地識別必須改變的數(shù)據(jù)項(xiàng),有兩個(gè)問題要解決。每個(gè)數(shù)據(jù)項(xiàng)包括屬性名和屬性值。例如,在HR數(shù)據(jù)庫中,在每個(gè)記錄中可能有屬性(即列)“surname”。對我們的例子Clark Kent,在HR數(shù)據(jù)庫中的記錄(即行),屬性“surname”的值可能是“Kent”。
      與準(zhǔn)確匹配有關(guān)的第一個(gè)問題涉及在單個(gè)數(shù)據(jù)源內(nèi)和在不同數(shù)據(jù)源之間解析屬性值值的別名或同義語。例如,當(dāng)在HR數(shù)據(jù)庫的屬性“First_Name”中發(fā)現(xiàn)“Bob”、“Robert”和“Rob”時(shí),它們可能彼此全是同義的。標(biāo)準(zhǔn)匹配規(guī)則,如“Rob*”(這里“*”是通配符字符或通配字串)不會產(chǎn)生對“Bob”的匹配。修改過的匹配規(guī)則,如“*ob*”會找到別名“Bob”,但也會找到錯(cuò)誤的“Job”。
      與準(zhǔn)確匹配有關(guān)的第二個(gè)問題涉及在不同數(shù)據(jù)源之間解析屬性名(不是值)。例如,雇員的第一個(gè)名可能存儲在HR數(shù)據(jù)庫中的屬性“First_Name”中,而在一個(gè)姓名地址記錄簿中存儲在屬性“Name_1”中。當(dāng)然,這兩個(gè)問題組合在一起的情況也能發(fā)生,如First_Name=“Robert”和name_1=“Bob”。
      如前文討論的那樣,許多現(xiàn)有的元目錄產(chǎn)品并不試圖自動(dòng)地解決這些同義語和匹配問題,而是為管理員提供工具進(jìn)行人工匹配。然而,我們的元目錄允許通過使用匹配插件(44)(優(yōu)選地以Java bean和可擴(kuò)展置標(biāo)語言(XML)的形式)添加匹配和結(jié)合邏輯、規(guī)則和關(guān)系。使用這些匹配定義和邏輯,可以保持針對單個(gè)數(shù)據(jù)源的局部的屬性命名約定并能定制主控、從屬和對等角色。
      轉(zhuǎn)到圖5,圖中顯示目錄不可知的(directory-agnostic)元目錄代理的更詳細(xì)情況,它可由任何適當(dāng)?shù)拿嫦驅(qū)ο缶幊碳夹g(shù)來配置,如PERL、Java、Visual Basic或Python。它是一個(gè)雙向服務(wù)堆棧,具有到公共服務(wù)(58)功能的數(shù)據(jù)源專用接口(59)。由數(shù)據(jù)源向元目錄(500)報(bào)告的改變首先由DS接口(59)從數(shù)據(jù)源專用協(xié)議轉(zhuǎn)換成內(nèi)部通用格式,由公共服務(wù)(58)處置并由改變管理器(51)接收。
      改變管理器跟蹤這些改變并把它們記錄到變化日志中。過濾器和規(guī)則(52)允許定義什么要輸出到元目錄和什么要被封鎖輸出。然后,這些改變被從局部屬性名集映射為元目錄屬性名并被轉(zhuǎn)換為LDAP協(xié)議格式,優(yōu)選使用基于XML的模式映射。
      提供了另一個(gè)處理階段,用于通過擴(kuò)展或插件功能進(jìn)行用戶定制(54),它是在把改變提交給LDAP代理進(jìn)程(“SLAPD”)(41)之前的一個(gè)階段,而SLAPD又把改變傳送給元目錄,優(yōu)選使用安全套接層協(xié)議(“SSL”)。
      元目錄代理(42)從SLAPD(41)處接收(501)從元目錄(例如從結(jié)合器)到數(shù)據(jù)源傳播的改變。應(yīng)用過濾器和規(guī)則(55)以保證只實(shí)現(xiàn)可由元目錄改變的項(xiàng)目。然后,改變操作被從LDAP協(xié)議映射到公共服務(wù)格式,在此之后可執(zhí)行任何定制插件。然后,由公共服務(wù)(58)處置改變操作并傳送給數(shù)據(jù)源專用接口(59)。然后,數(shù)據(jù)源專用接口(59)把它從公共服務(wù)格式轉(zhuǎn)換成直接與特定數(shù)據(jù)源兼容的命令(或命令集)。
      在一個(gè)實(shí)施例中,改變管理器“在應(yīng)用協(xié)助下”接近實(shí)時(shí)地響應(yīng)數(shù)據(jù)源中的改變,并對相關(guān)的觸發(fā)器應(yīng)用插件式結(jié)構(gòu)。對改變的記錄可以是周期性的或輪詢式的,或者可以由事件或改變來驅(qū)動(dòng)。作為其最簡單的形式,變化日志是一個(gè)基于文本的文件。
      在圖6中,顯示出DB2表(100)、匹配插件和專門的結(jié)合器(44)、表結(jié)合功能(45)以及統(tǒng)一的結(jié)合表(46)之間的功能性安排。來自MD代理(來自數(shù)據(jù)源)的改變由匹配插件(44)處理,并存儲在與發(fā)生該改變的數(shù)據(jù)源相關(guān)聯(lián)的表(100)中。然后,如前所述,多個(gè)表(100)由結(jié)合邏輯(45)結(jié)合成JT統(tǒng)一視圖(46)。由管理員通過統(tǒng)一視圖(例如通過基于Java的用戶接口工具)產(chǎn)生的改變被實(shí)現(xiàn)在數(shù)據(jù)源表100中,然后被傳播出去到達(dá)MD代理,如先前描述的那樣。
      現(xiàn)在轉(zhuǎn)到先前討論的匹配邏輯,有兩個(gè)問題要解決,以便有效地匹配和改變異構(gòu)數(shù)據(jù)源中的條目,這兩個(gè)問題是屬性名同義語和屬性值同義語。在一個(gè)可能的實(shí)施例中,下述組成部件和邏輯過程是作為對元目錄結(jié)合器功能(如前述結(jié)合器或其他結(jié)合器功能)的Java bean擴(kuò)展來實(shí)現(xiàn)的。本領(lǐng)域技術(shù)人員容易看出,替代的實(shí)現(xiàn)是可以得到的,如內(nèi)部代碼改變或獨(dú)立的應(yīng)用程序?qū)崿F(xiàn),都不脫離本發(fā)明的精神和范圍。
      回顧我們對成功的匹配系統(tǒng)所要解決的問題的舉例和說明,可以對匹配表中的每個(gè)數(shù)據(jù)源對于姓(即給予名)、家庭電話號碼、工作電話號碼和頭銜定義同義語。
      匹配器插件的一個(gè)實(shí)施例對所有被結(jié)合的對象類使用單一的匹配表。對每個(gè)被結(jié)合的對象類指定一個(gè)匹配表名,用于可能實(shí)現(xiàn)多個(gè)匹配表。于是,在這個(gè)實(shí)施例中,所有對象類的所有匹配表名被指定為同一個(gè)名字。表3中顯示一個(gè)匹配表示例,其中定義了名字和地址簿(NAB)及人力資源數(shù)據(jù)庫的同義語,它們在屬性名和屬性值二者之中。
      表3匹配表示例規(guī)則 屬性名同義語 屬性值同義語1 HRFirst nameRob*,Bob;NABnamelDaniel,Danny,Dan;Liz,Elizabeth;
      2 HRHome tel512-111-4321,111-4321;NABtelel 512-xxx-yyyy,xxx-yyyy;3 HRWork_tel512-999-8888,X8888,ext.8888;NABtele2 512-xxx-yyyy,Xyyyy,ext.yyyy;4 HRTitle Supervisor,“group supervisor”NABposition圖8顯示在元目錄中產(chǎn)生和向數(shù)據(jù)源傳播改變的高級邏輯過程(80)的一個(gè)實(shí)施例。如前文討論的那樣,結(jié)合器通常存儲來自由元目錄管理的目錄的條目的局部拷貝。當(dāng)結(jié)合器收到對一個(gè)目錄中的一個(gè)條目的更新操作(81)時(shí),它對該元目錄局部表中的選定條目進(jìn)行一個(gè)“應(yīng)用”操作(82),建立含有更新結(jié)果的臨時(shí)的被修改條目。
      然而,該臨時(shí)的被修改的條目沒有被寫入二級存儲器(例如被傳播到其他結(jié)合目錄)。被修改的條目與原始的(未被修改的)條目加以比較(83),以識別原始條目和更新后條目之間的差別。
      如果在原始條目和更新后條目之間沒有差別(84),則沒有任何更新向元目錄中的其他目錄傳播,于是臨時(shí)局部條目被刪除。
      如果有差別(84),則建立一個(gè)差別更新操作(86),只含有條目中被改變的字段并略去對字段不造成凈變化的操作。然后,該差別更新被傳播(87)到元目錄中的其他目錄,而該條目的原始的(未被修改的)局部拷貝被該條目的這個(gè)臨時(shí)(更新后的)拷貝代替。由于元目錄的被結(jié)合對象和目錄的每個(gè)內(nèi)容格式可能是不同的格式(例如NAB、DB2等),為了對受影響的項(xiàng)目實(shí)現(xiàn)差別改變,必須對不同格式的對象和目錄執(zhí)行不同的更新操作。該差別更新以共同的格式傳播,優(yōu)選的是LDAP,并由元目錄代理轉(zhuǎn)換成每個(gè)被結(jié)合對象和目錄的必須格式。
      在這個(gè)實(shí)施例中,實(shí)現(xiàn)一個(gè)條目類用于存儲與眾不同的名字和構(gòu)成該條目的全部屬性。這些屬性以屬性名按字母順序排序。結(jié)果,把從一目錄發(fā)送來的更新應(yīng)用于結(jié)合器的“應(yīng)用”操作特別有效。
      結(jié)果,“差別”操作包含為把原始條目變換成新條目所需應(yīng)用的更新或改變操作的最小集合,這提高了元目錄中的時(shí)間響應(yīng)與帶寬消耗的有效性。
      再有,在這個(gè)實(shí)施例中,應(yīng)用編程接口(“API”)被映射到LDAPAPI。于是,負(fù)責(zé)把一個(gè)目錄中產(chǎn)生的改變傳播給結(jié)合器的元目錄代理把這些改變記錄成LDAP操作,如LDAP“添加”、“刪除”或“修改”。
      下面的舉例說明元目錄的操作,其中在XYZ公司的人力資源數(shù)據(jù)庫中的個(gè)人“John Smith”的條目中的電話號碼要被更新為838-1180,他的部門要被更新為部門6。具有五個(gè)字段的原始條目可以是先前表1中所示的樣子。由元目錄代理創(chuàng)建的變化日志中的記錄示于表2,這些記錄把對該條目的改變表現(xiàn)為LDAP修改操作。
      當(dāng)由元目錄代理把改變發(fā)送給結(jié)合器時(shí),該結(jié)合器把這些改變應(yīng)用于它已局部存儲的原始條目,以創(chuàng)建一個(gè)新的(臨時(shí))條目。在確定了舊條目和新條目的差別之后,結(jié)合器建立一個(gè)差別更新LDAP操作,如表4中所示。
      表4差別更新LDAP操作DNcn=John Smith,ou=Austin,o=xyz,改變類型修改替換電話號碼電話號碼838-1180改變類型修改替換部門部門6然后,由結(jié)合器把這個(gè)差別更新操作傳播給元目錄中的其他目錄。從這個(gè)簡單的例子中容易看出,利用這一差別更新技術(shù),傳播帶寬被減小了,更新處理要求被降低了。在實(shí)踐中,大多數(shù)條目的字段數(shù)比5個(gè)字段多許多,而且在一個(gè)給定的時(shí)間段內(nèi)可能發(fā)生對許多條目的更新,這使本發(fā)明的好處倍增。
      在這個(gè)實(shí)施例中,為進(jìn)行比較而選擇要應(yīng)用更新操作的局部表?xiàng)l目的步驟首先利用可由用戶配置的同義語字典,包括匹配表,以減少對關(guān)鍵字或字段中含有同義語的記錄進(jìn)行多重操作,并協(xié)助從多個(gè)匹配條目中選擇一個(gè)最匹配的條目。
      這個(gè)匹配邏輯查閱同義語字典或“匹配表”,它在檢驗(yàn)一個(gè)數(shù)據(jù)源的變化日志中的變化之前被執(zhí)行,以把它減小到最小改變集合。
      作為舉例,圖7提供兩個(gè)數(shù)據(jù)源D1和D2中的一些條目示例。對于這一舉例,還假定數(shù)據(jù)源D1是要被匹配的條目的元目錄拷貝,而第二個(gè)數(shù)據(jù)源D2是要搜索匹配條目的數(shù)據(jù)源。還假定在數(shù)據(jù)源D1中有若干屬性a1至an被映射到數(shù)據(jù)源D2中的a1′至am′?;蛟Sa1是數(shù)據(jù)源D1中的“First_Name”,它被映射到數(shù)據(jù)源D2中的“name1”或a1′。再有,對于這一示例,假設(shè)條目e0是在D1中的要被匹配的條目或記錄(例如屬性值集合),而D2的記錄e1和e2二者都與e0中的a1匹配,例如e0(a1)=“Kris”;e1(a1′)=“Chris”;以及e2(a1′)=“Krishna”;它們?nèi)欢x為屬性值同義語。
      在大多數(shù)場合,數(shù)據(jù)源D2多半不會實(shí)際包含同一人“Kris”的兩個(gè)記錄,所以基于通常的匹配基本規(guī)則這一匹配沒有被完全解決。大多數(shù)元目錄產(chǎn)品會簡單地記錄這一匹配矛盾并把它報(bào)告給管理員供管理員人工解決。
      然而,本發(fā)明的匹配過程通過提供加權(quán)匹配方案消除了為解決匹配問題的大部分這種無能為力的情況,在該方案中能使多個(gè)屬性被匹配以確定一個(gè)更可能的匹配。例如,進(jìn)一步假定數(shù)據(jù)源D1的屬性a5是“頭銜”,而數(shù)據(jù)源D2的a′5是“位置”。于是這兩個(gè)屬性能相互映射,而且能對那些屬性之間的匹配賦予權(quán)重。假定給“First_name”(名)的權(quán)重為0.9,給“Title”(頭銜)的權(quán)重為0.6,而且下面的例子記錄e0(a1,…,a5)=(“Kris”,…,“Manager(經(jīng)理)”);e1(a1′,…,a5′)=(“Chris”,…,“Contractor(承包商)”);以及e2(a1′…,a5′)=(“Krishna”,…,“Supervisor(管理人)”);并假定“Manager”和“Supervisor”被定義為同義語,則e0和e1之間的總“分值”或權(quán)重是0.9(只在“First Name”上匹配),而在e0和e2之間為1.5(在First name和Title二者中均匹配)。如果希望的話,這一過程能通過把評分除以被映射和比較的屬性數(shù)(在本例中是除以2)來規(guī)一化,并可以設(shè)置一個(gè)閾值,如果超過則表明是一個(gè)匹配。這一過程能擴(kuò)展成在比較中包括任意個(gè)屬性,每個(gè)屬性有一個(gè)指定的加權(quán)賦值。
      現(xiàn)在轉(zhuǎn)到圖9,圖中更詳細(xì)地顯示根據(jù)一個(gè)可能實(shí)施例的邏輯過程(82),它把加權(quán)評分應(yīng)用于多重匹配的條目。當(dāng)該過程被啟動(dòng)(91)時(shí),檢驗(yàn)是否允許按同義語進(jìn)行約簡和匹配(92),如果是,則進(jìn)行如前所述的加權(quán)評分(93),使用可由管理員配置的同義語字典(94)查找與被映射的屬性中的值匹配的所有條目,從而只選出最佳匹配的一個(gè)條目。
      既然選出了單一的最佳匹配條目,便把改變或更新應(yīng)用(95)于選定條目的一個(gè)臨時(shí)拷貝。
      如圖8中所示,處理過程繼續(xù)到將更新后的條目與原始的(未修改的)選定條目進(jìn)行比較(83)。于是,如果由于更新存在對該條目的凈改變(例如臨時(shí)拷貝不等同于原始拷貝),則處理過程繼續(xù)到產(chǎn)生(86)一個(gè)差別更新操作并把該操作傳播(87)到元目錄內(nèi)的其他目錄。
      可選地,可以對一個(gè)目錄中的那些因條目中的字段或關(guān)鍵字是同義語而稱作相同實(shí)體的多個(gè)條目加以標(biāo)志或標(biāo)記。這可以允許管理員查看這些有標(biāo)記的條目,選擇最佳代表該同義實(shí)體的單一條目,并刪除該目錄中的其他與其同義的條目。這減少了一個(gè)目錄中需要管理的條目個(gè)數(shù)和所產(chǎn)生的變化日志條目的個(gè)數(shù)。
      在我們的元目錄代理的第一方面中,定義了一個(gè)分層堆棧,它能用于提供元目錄操作功能,并允許安全性特性和個(gè)性化,如先前討論和在圖5中顯示的那樣。這允許相同的可配置構(gòu)造塊能用于多個(gè)用于實(shí)現(xiàn)門戶的元目錄。這允許元目錄和門戶聚集來自多種源的信息并向用戶提供這一信息的統(tǒng)一的、個(gè)性化的視圖。
      我們的元目錄代理的體系結(jié)構(gòu)還允許這些代理在客戶機(jī)設(shè)備上以及在服務(wù)器設(shè)備上都有用。同一個(gè)元目錄代理的各通用層能在客戶機(jī)上執(zhí)行,在目錄服務(wù)器上執(zhí)行,或者它可與應(yīng)用程序集成。通過把一個(gè)應(yīng)用作為另一個(gè)后端過程對待,元目錄功能能與該應(yīng)用集成。由于一些門戶服務(wù)器需要與企業(yè)現(xiàn)有的工作流及業(yè)務(wù)過程應(yīng)用進(jìn)行互操作,所以與應(yīng)用的集成會是有用的。
      我們的元目錄把關(guān)于改變的通知推給多種設(shè)備(如PDA設(shè)備,WAP設(shè)備)的能力也是有用的。在實(shí)踐中,某些服務(wù)器把通知“推”到設(shè)備中。我們的元目錄提供從門戶服務(wù)器到設(shè)備的工作能力,以及從一個(gè)門戶服務(wù)器到另一個(gè)門戶服務(wù)器的工作能力,這提供了個(gè)性化,如把一個(gè)規(guī)則引擎插到堆棧中。用我們的元目錄,通過允許對發(fā)送給一設(shè)備的改變或更新進(jìn)行后處理,從而能增強(qiáng)一個(gè)門戶服務(wù)器的功能。此外,除了推給設(shè)備外,我們的元目錄還有能力把關(guān)于改變的通知推給多種目錄。
      利用我們的元目錄,通過“插件”可以提供安全性特性,這些插件允許用戶認(rèn)證和訪問檢驗(yàn)。這些對元目錄和對門戶服務(wù)器都是有用的。這里本發(fā)明通過把安全性插件插入代理堆棧,解決兩個(gè)問題。第一個(gè)問題是在允許用戶訪問該信息之前進(jìn)行認(rèn)證和訪問檢驗(yàn)。第二個(gè)問題是保證在進(jìn)行對等門戶服務(wù)器交換時(shí)其內(nèi)容被數(shù)字簽署,以防止破壞其真實(shí)性和數(shù)據(jù)完整性。
      為理解我們的元目錄結(jié)構(gòu)和代理如何能實(shí)現(xiàn)這些功能,我們把討論轉(zhuǎn)向元數(shù)據(jù)代理的詳細(xì)情況。為把更特別的注意放在我們按圖5所示組織的元目錄代理的過程,在圖10中顯示了一個(gè)邏輯過程實(shí)施例,其中檢測到(151)一個(gè)局部數(shù)據(jù)源(163)中的一個(gè)改變。該改變從該局部數(shù)據(jù)源專用的協(xié)議轉(zhuǎn)換(152)成在元目錄代理中使用的內(nèi)部格式。然后這一改變被記錄(153)在變化日志(154)中,并把任何過濾器和/或規(guī)則(155)應(yīng)用于(156)整個(gè)該元目錄以傳播這一改變。
      如果(157)按照規(guī)則和過濾器這一改變是要傳播的,則這些改變被從局部屬性名映射(158)到元目錄屬性名,而且被重新格式化。然后用戶的插件功能可被處理(159),在此過程中可以調(diào)用其他聯(lián)網(wǎng)的服務(wù)器或過程(例如,可以通過插件進(jìn)行與其他服務(wù)器及過程的通信)。最后,該改變被傳送給(160)結(jié)合器。
      圖11顯示一個(gè)邏輯過程的實(shí)施例,該過程接收一個(gè)從一個(gè)元目錄向一個(gè)局部數(shù)據(jù)源傳播的改變,如由我們的元目錄代理提供的那樣。當(dāng)從結(jié)合器或元目錄的其他部分接收(171)一個(gè)改變時(shí),可以應(yīng)用(172)過濾器和規(guī)則(155)確定是否應(yīng)實(shí)現(xiàn)(或拒絕)這一改變。如果要實(shí)現(xiàn)這些改變(173),則這個(gè)或這些改變被映射(174)到局部數(shù)據(jù)源的屬性名,而且該改變被重新格式化成該局部數(shù)據(jù)源的協(xié)議。
      然后可以執(zhí)行(175)插件功能,期間可以通過與其他聯(lián)網(wǎng)的服務(wù)器(162)或過程的通信,把那些服務(wù)器或過程調(diào)用到該處理過程中。最后,在局部數(shù)據(jù)源(163)中實(shí)現(xiàn)(176)這些改變,并把這些改變記錄(177)在變化日志(154)中。
      通過剛才描述的元目錄代理體系結(jié)構(gòu)的杠桿作用,現(xiàn)在提供兩個(gè)功能。第一,提供了一個(gè)通過門戶服務(wù)器進(jìn)入元目錄的門戶。第二,提供了對等安全性,它允許一個(gè)元目錄代理確認(rèn)所收到的改變實(shí)際來自一個(gè)可信賴的源,而且未被變換。
      首先說明門戶的功能,因?yàn)閷λ拿枋鲞€有助于理解對等安全性功能。圖14顯示一個(gè)系統(tǒng)的可能實(shí)施例,該系統(tǒng)提供到一個(gè)元目錄的門戶。門戶這個(gè)術(shù)語當(dāng)前在信息技術(shù)和電子商務(wù)說法中的傳統(tǒng)含義是一個(gè)系統(tǒng)或服務(wù)器,一個(gè)用戶可以通過它在線訪問多種數(shù)據(jù)或服務(wù)。例如,一個(gè)旅行計(jì)劃網(wǎng)站可以看作是到各單獨(dú)系統(tǒng)(如航線預(yù)訂系統(tǒng)、汽車租賃系統(tǒng)以及旅行者信息數(shù)據(jù)庫)的門戶。
      在圖14的例子中,一個(gè)無線客戶機(jī)(206),如無線聯(lián)網(wǎng)的個(gè)人數(shù)字助理(“PDA”)要用于訪問各種數(shù)據(jù)。對于這個(gè)例子,假定這個(gè)多樣數(shù)據(jù)是與投資和商務(wù)有關(guān)的數(shù)據(jù),如交易事務(wù)記錄、新聞故事、公司簡介、以及實(shí)時(shí)股票行情收錄機(jī)信息。
      于是,這類異構(gòu)信息適于放入先前描述的元目錄。此外,向元目錄的結(jié)合器(10)提供了一個(gè)元目錄代理(201),它與第一門戶服務(wù)器(202)通信。該元目錄代理“適應(yīng)于”使用一個(gè)插件與該門戶服務(wù)器通信,該插件與該門戶服務(wù)器的通信能力兼容。例如,一個(gè)門戶服務(wù)器可能可以使用TCP/IP協(xié)議通信。另一個(gè)門戶服務(wù)器可能是面向事務(wù)的(例如一個(gè)股票買賣系統(tǒng))和可能使用電子數(shù)據(jù)交換(“EDI”)進(jìn)行通信。通過使用前述插件,基本上任何通信協(xié)議或模式(即HTTP、SSL、EDI、電子郵件、TCP/IP等)都能被集成到該元目錄代理的體系結(jié)構(gòu)中。于是,這允許一個(gè)元目錄不僅集成不同類型和格式的數(shù)據(jù)源,而且還集成不同類型的通信能力。
      再有,可以向門戶服務(wù)器提供一個(gè)元目錄代理(204)以與客戶機(jī)系統(tǒng)(206)上的元目錄代理(205)通信。這完成了元目錄和客戶機(jī)之間的通信路徑。這樣,客戶機(jī)可以從該元目錄內(nèi)任何數(shù)據(jù)源接收信息,并可以向元目錄提交改變或事務(wù)供傳遍它的各數(shù)據(jù)源。
      例如,該客戶機(jī)可以提交一個(gè)投資者的地址改變,造成對元目錄中包括的他的銀行帳號、在線投資帳號、旅行檔案等當(dāng)中的地址的相應(yīng)記錄和實(shí)例的全部自動(dòng)更新。類似地,當(dāng)在元目錄數(shù)據(jù)源中的信息改變時(shí),客戶機(jī)可以接收信息,如來自股票行情自動(dòng)收錄器報(bào)告服務(wù)器的股票價(jià)格,來自銀行和投資所的帳戶結(jié)算和值,以及由新聞服務(wù)發(fā)布的新聞。
      在與我們的元目錄的門戶功能有關(guān)的第二個(gè)新特性中,通過在元目錄代理中使用插件實(shí)現(xiàn)對等安全性。在剛才的使用關(guān)于金融信息和事務(wù)的門戶的無線客戶機(jī)實(shí)例中,顯示出需要認(rèn)證元目錄改變的來源。例如,盡管客戶機(jī)可以授權(quán)把資金從元目錄中包括的一個(gè)帳戶移動(dòng)到該元目錄中包括的另一個(gè)帳戶,但還是希望能封鎖和拒絕來自非授權(quán)來源的進(jìn)行這種改變的企圖。
      這樣,提供了一個(gè)對等(P2P)安全插件,它有邏輯過程如圖12和圖13所示實(shí)例。轉(zhuǎn)到圖12,當(dāng)由一個(gè)元目錄代理接收一個(gè)改變時(shí),在局部數(shù)據(jù)源中實(shí)現(xiàn)這一改變之前,該插件認(rèn)證該改變的來源,如通過與一個(gè)認(rèn)證服務(wù)或服務(wù)器(如IBM的Web Sphere認(rèn)證產(chǎn)品)的通信。如果該來源是真實(shí)的,則檢驗(yàn)該來源看是否被適當(dāng)授權(quán)進(jìn)行所請求的改變。這也可通過與授權(quán)服務(wù)產(chǎn)品(如IBM的Web Sphere授權(quán)產(chǎn)品)的通信來實(shí)現(xiàn)??梢岳闷渌问降恼J(rèn)證和/或授權(quán),如簡單的名字和口令模式,公用密鑰基礎(chǔ)設(shè)施(“PKI”),數(shù)字簽名,證書交換等。如果該來源未通過認(rèn)證或未被授權(quán)進(jìn)行這一改變,則改變的實(shí)現(xiàn)被封鎖(178)。
      圖13顯示產(chǎn)生和傳播這一安全改變的邏輯過程,這是在元目錄代理中實(shí)現(xiàn)的,如通過對該代理的一個(gè)插件。在請求(例如傳播)該改變的數(shù)據(jù)源處,一個(gè)標(biāo)識(191),如數(shù)字簽名(或名字,或證書等)由元目錄代理應(yīng)用于改變命令或消息。也可以應(yīng)用(192)其他形式的數(shù)據(jù)保密和完整性保證,例如加密、產(chǎn)生循環(huán)冗余碼(“CRC”)等。然后,這一增強(qiáng)的改變命令傳遍元目錄,一旦收到它,接收方元目錄代理的相應(yīng)安全性插件將驗(yàn)證改變命令的真實(shí)性和授權(quán)。
      由上文的描述將會理解,可以對所描述的實(shí)施例進(jìn)行各種修改和改變而不脫離由下述權(quán)利要求定義的本發(fā)明的范圍。
      權(quán)利要求
      1.一種雙向元目錄代理,包含一個(gè)數(shù)據(jù)源轉(zhuǎn)換器層,用于把改變命令從數(shù)據(jù)源專用協(xié)議轉(zhuǎn)換成代理內(nèi)部共用格式,反之亦然;一個(gè)過濾器和規(guī)則層,用于封鎖那些不允許從數(shù)據(jù)源輸出到元目錄的改變以及那些不允許在數(shù)據(jù)源中實(shí)現(xiàn)的來自外部實(shí)體的改變;一個(gè)映射層,用于把改變命令中的屬性從局部屬性名集合轉(zhuǎn)換成元目錄屬性名集合,反之亦然,并用于在所述代理內(nèi)部共用格式和目錄改變協(xié)議之間轉(zhuǎn)換改變命令;一個(gè)用戶定制層,用于實(shí)現(xiàn)定制的元目錄代理功能;以及一個(gè)元目錄接口,用于以所述目錄改變協(xié)議發(fā)送和接收所述改變命令。
      2.如權(quán)利要求1中提出的代理,其中所述映射層被配置成在所述代理內(nèi)部共用格式和輕量目錄訪問協(xié)議之間轉(zhuǎn)換改變命令。
      3.如權(quán)利要求1中提出的代理,其中所述元目錄接口包含安全套接層通信接口。
      4.如權(quán)利要求1中提出的代理,其中所述用戶定制層包含一個(gè)或多個(gè)插件功能。
      5.如權(quán)利要求1中提出的代理,其中所述用戶定制層包含一個(gè)門戶服務(wù)器通信功能。
      6.如權(quán)利要求5中提出的代理,其中所述門戶服務(wù)器通信功能包含一個(gè)插件功能。
      7.如權(quán)利要求1中提出的代理,其中所述數(shù)據(jù)源轉(zhuǎn)換器層包含一個(gè)客戶機(jī)接口,用于提供客戶機(jī)設(shè)備和從元目錄結(jié)合器、元目錄數(shù)據(jù)源以及門戶服務(wù)器三者中選出的一個(gè)系統(tǒng)之間的通信。
      8.如權(quán)利要求7中提出的代理,其中所述客戶機(jī)接口包含一個(gè)應(yīng)用程序后端。
      9.如權(quán)利要求1中提出的代理,其中所述用戶定制層包含一個(gè)改變通知推出功能,它把改變命令從門戶服務(wù)器推到從下列一組中選出的一個(gè)系統(tǒng)客戶機(jī)設(shè)備、另一個(gè)門戶服務(wù)器、元目錄結(jié)合器以及元目錄數(shù)據(jù)源。
      10.如權(quán)利要求1中提出的代理,其中所述用戶定制層包含一個(gè)個(gè)性化規(guī)則引擎,用于根據(jù)用戶的偏好增加對改變命令封鎖的限制。
      11.如權(quán)利要求1中提出的代理,其中所述用戶定制層包含一個(gè)后處理功能,用于其后處理先前已被傳送到客戶機(jī)設(shè)備中的改變和更新。
      12.如權(quán)利要求1中提出的代理,其中所述用戶定制層包含一個(gè)安全功能。
      13.如權(quán)利要求12中提出的代理,其中所述安全功能包含一個(gè)用戶訪問授權(quán)驗(yàn)證過程。
      14.如權(quán)利要求12中提出的代理,其中所述安全功能包含對請求改變者的授權(quán)服務(wù)。
      15.如權(quán)利要求14中提出的代理,其中所述對請求改變者的授權(quán)過程包含一個(gè)數(shù)字簽名驗(yàn)證功能。
      16.如權(quán)利要求12中提出的代理,其中所述安全功能包含一個(gè)數(shù)據(jù)完整性保障功能。
      17.如權(quán)利要求12中提出的代理,其中所述安全功能包含一個(gè)對等通信接口。
      18.一種由一個(gè)雙向元目錄代理實(shí)現(xiàn)的方法,該方法包含把改變命令從數(shù)據(jù)源專用協(xié)議轉(zhuǎn)換成代理內(nèi)部共用格式,反之亦然;根據(jù)第一組規(guī)則過濾和封鎖改變命令,該組規(guī)則定義條件以允許和封鎖要由元目錄代理從局部數(shù)據(jù)源傳輸?shù)母淖兠钜约耙诰植繑?shù)據(jù)源中實(shí)現(xiàn)的改變命令;把所述改變命令中的屬性從局部屬性名集合映射到元目錄屬性名集合,反之亦然;把改變命令從所述代理內(nèi)部共用格式變換成目錄改變協(xié)議,反之亦然;實(shí)現(xiàn)一個(gè)或多個(gè)定制的元目錄代理功能;以及以所述目錄改變協(xié)議對所述元目錄代理收發(fā)所述改變命令。
      19.如權(quán)利要求18中提出的方法,其中所述映射包含把改變命令從所述代理內(nèi)部共用格式轉(zhuǎn)換成輕量目錄訪問協(xié)議,反之亦然。
      20.如權(quán)利要求18中提出的方法,其中所述收發(fā)所述改變命令進(jìn)一步包含使用安全套接層協(xié)議進(jìn)行通信。
      21.如權(quán)利要求18中提出的方法,其中所述實(shí)現(xiàn)定制的元目錄代理功能包含執(zhí)行一個(gè)或多個(gè)插件功能。
      22.如權(quán)利要求18中提出的方法,其中所述實(shí)現(xiàn)定制的元目錄代理功能包含實(shí)現(xiàn)與門戶服務(wù)器的通信。
      23.如權(quán)利要求22中提出的方法,其中所述門戶服務(wù)器通信包含執(zhí)行一個(gè)插件功能。
      24.如權(quán)利要求18中提出的方法,其中所述改變命令在數(shù)據(jù)源專用協(xié)議和代理內(nèi)部共用格式之間的相互轉(zhuǎn)換包括提供一個(gè)客戶機(jī)接口,用于提供客戶機(jī)設(shè)備和從元目錄結(jié)合器、元目錄數(shù)據(jù)源以及門戶服務(wù)器三者中選出的一個(gè)系統(tǒng)之間的通信。
      25.如權(quán)利要求24中提出的方法,其中所述客戶機(jī)接口包含提供一個(gè)應(yīng)用程序后端。
      26.如權(quán)利要求18中提出的方法,其中所述實(shí)現(xiàn)定制的元目錄代理功能包含把改變命令從門戶服務(wù)器推到從下列一組中選出的一個(gè)系統(tǒng)客戶機(jī)設(shè)備、另一個(gè)門戶服務(wù)器、元目錄結(jié)合器以及元目錄數(shù)據(jù)源。
      27.如權(quán)利要求18中提出的方法,其中所述實(shí)現(xiàn)定制的元目錄代理功能包含提供一個(gè)個(gè)性化規(guī)則引擎,用于根據(jù)用戶的偏好增加對改變命令封鎖的限制。
      28.如權(quán)利要求18中提出的方法,其中所述實(shí)現(xiàn)定制的元目錄代理功能包含對先前已被傳送到客戶機(jī)設(shè)備中的更新和改變進(jìn)行后處理。
      29.如權(quán)利要求18中提出的方法,其中所述實(shí)現(xiàn)定制的元目錄代理功能包含實(shí)現(xiàn)一個(gè)安全功能。
      30.如權(quán)利要求29中提出的方法,其中所述安全功能包含執(zhí)行用戶訪問授權(quán)驗(yàn)證過程。
      31.如權(quán)利要求29中提出的方法,其中所述安全功能包含執(zhí)行對請求改變者的授權(quán)。
      32.如權(quán)利要求31中提出的方法,其中所述對請求改變者的授權(quán)過程包含驗(yàn)證一個(gè)數(shù)字簽名。
      33.如權(quán)利要求29中提出的方法,其中所述安全功能包含實(shí)現(xiàn)數(shù)據(jù)完整性保障。
      34.如權(quán)利要求29中提出的方法,其中所述安全功能包含實(shí)現(xiàn)對等通信。
      35.一種用于雙向元目錄代理的以軟件編碼的計(jì)算機(jī)可讀介質(zhì),所述軟件實(shí)現(xiàn)的過程包含把改變命令從數(shù)據(jù)源專用協(xié)議轉(zhuǎn)換成代理內(nèi)部共用格式,反之亦然;根據(jù)第一組規(guī)則過濾和封鎖改變命令,該組規(guī)則定義允許和封鎖要由元目錄代理從局部數(shù)據(jù)源傳輸?shù)母淖兠钜约耙诰植繑?shù)據(jù)源中實(shí)現(xiàn)的改變命令的條件;把所述改變命令中的屬性從局部屬性名集合映射到元目錄屬性名集合,反之亦然;把改變命令從所述代理內(nèi)部共用格式變換成目錄改變協(xié)議,反之亦然;實(shí)現(xiàn)一個(gè)或多個(gè)定制的元目錄代理功能;以及以所述目錄改變協(xié)議對所述元目錄代理收發(fā)所述改變命令。
      36.如權(quán)利要求35中提出的介質(zhì),其中所述用于映射的軟件包含軟件用于把改變命令從所述代理內(nèi)部共用格式轉(zhuǎn)換成輕量目錄訪問協(xié)議,反之亦然。
      37.如權(quán)利要求35中提出的介質(zhì),其中所述用于收發(fā)所述改變命令的軟件進(jìn)一步包含軟件用于使用安全套接層協(xié)議進(jìn)行通信。
      38.如權(quán)利要求35中提出的介質(zhì),其中所述用于實(shí)現(xiàn)定制的元目錄代理功能的軟件包含軟件用于執(zhí)行一個(gè)或多個(gè)插件功能。
      39.如權(quán)利要求35中提出的介質(zhì),其中所述用于實(shí)現(xiàn)定制的元目錄代理功能的軟件包含軟件用于實(shí)現(xiàn)與門戶服務(wù)器的通信。
      40.如權(quán)利要求39中提出的介質(zhì),其中所述用于門戶服務(wù)器通信的軟件包含軟件用于執(zhí)行一個(gè)插件功能。
      41.如權(quán)利要求35中提出的介質(zhì),其中所述用于在數(shù)據(jù)源專用協(xié)議和代理內(nèi)部共用格式之間轉(zhuǎn)換改變命令的軟件包含用于與客戶機(jī)接口的軟件,以在客戶機(jī)設(shè)備和從元目錄結(jié)合器、元目錄數(shù)據(jù)源以及門戶服務(wù)器三者中選出的一個(gè)系統(tǒng)之間的通信。
      42.如權(quán)利要求41中提出的介質(zhì),其中所述用于與客戶機(jī)接口的軟件包含軟件用于提供一個(gè)應(yīng)用程序后端的軟件。
      43.如權(quán)利要求35中提出的介質(zhì),其中所述用于實(shí)現(xiàn)定制的元目錄代理功能的軟件包含用于把改變命令從門戶服務(wù)器推到從下列一組中選出的一個(gè)系統(tǒng)的軟件客戶機(jī)設(shè)備、另一個(gè)門戶服務(wù)器、元目錄結(jié)合器以及元目錄數(shù)據(jù)源。
      44.如權(quán)利要求35中提出的介質(zhì),其中所述用于實(shí)現(xiàn)定制的元目錄代理功能的軟件包含用于實(shí)現(xiàn)一個(gè)個(gè)性化規(guī)則引擎的軟件,用于根據(jù)用戶的偏好增加對改變命令封鎖的限制。
      45.如權(quán)利要求35中提出的介質(zhì),其中所述用于實(shí)現(xiàn)定制的元目錄代理功能的軟件包含用于對先前已被傳送到客戶機(jī)設(shè)備中的更新和改變進(jìn)行后處理的軟件。
      46.如權(quán)利要求35中提出的介質(zhì),其中所述用于實(shí)現(xiàn)定制的元目錄代理功能的軟件包含用于實(shí)現(xiàn)一個(gè)安全功能的軟件。
      47.如權(quán)利要求46中提出的介質(zhì),其中所述用于安全功能的軟件包含用于實(shí)現(xiàn)用戶訪問授權(quán)驗(yàn)證功能的軟件。
      48.如權(quán)利要求46中提出的介質(zhì),其中所述用于安全功能的軟件包含用于實(shí)現(xiàn)對請求改變者的授權(quán)的軟件。
      49.如權(quán)利要求48中提出的介質(zhì),其中所述用于對請求改變者授權(quán)的軟件包含用于驗(yàn)證一個(gè)數(shù)字簽名的軟件。
      50.如權(quán)利要求46中提出的介質(zhì),其中所述用于安全功能的軟件包含用于實(shí)現(xiàn)數(shù)據(jù)完整性保障的軟件。
      51.如權(quán)利要求46中提出的介質(zhì),其中所述用于安全功能的軟件包含用于實(shí)現(xiàn)安全對等通信的軟件。
      全文摘要
      一個(gè)雙向元目錄代理,包含一個(gè)數(shù)據(jù)源轉(zhuǎn)換器層;一個(gè)過濾器和規(guī)則層用于封鎖不允許的改變;一個(gè)映射層用于把改變命令中的屬性從局部屬性名集合變換成元目錄屬性名集合,反之亦然,以及用于在所述代理內(nèi)部共用格式和目錄改變協(xié)議之間轉(zhuǎn)換改變命令;一個(gè)可擴(kuò)展的用戶定制層用于實(shí)現(xiàn)定制的元目錄代理功能;以及一個(gè)元目錄接口用于以所述目錄改變協(xié)議發(fā)送和接收所述改變命令。
      文檔編號G06F17/30GK1487414SQ0315386
      公開日2004年4月7日 申請日期2003年8月25日 優(yōu)先權(quán)日2002年9月30日
      發(fā)明者K·K·耶萊佩迪, K K 耶萊佩迪, R·曼奇西多爾, 嫖鞫嘍 申請人:國際商業(yè)機(jī)器公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1