CN1703031B - 用于将企业服务安全扩展到移动设备的移动网关 - Google Patents
用于将企业服务安全扩展到移动设备的移动网关 Download PDFInfo
- Publication number
- CN1703031B CN1703031B CN200510072986.4A CN200510072986A CN1703031B CN 1703031 B CN1703031 B CN 1703031B CN 200510072986 A CN200510072986 A CN 200510072986A CN 1703031 B CN1703031 B CN 1703031B
- Authority
- CN
- China
- Prior art keywords
- service
- server
- mobile
- enterprise
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
Abstract
本发明涉及用于将企业服务安全扩展到移动设备的移动网关。经由具有第一服务器和第二服务器的网关为通信系统中的移动设备提供对企业服务的受控访问。网关的第一服务器排列在企业网络防火墙之后,并且耦合在第二服务器与企业网络的一个或多个企业服务器之间。第二服务器排列在企业防火墙之前,并且被配置成与关联于移动设备的运营商网络进行通信。网关对移动设备与一个或多个企业服务器之间的交互进行控制,以便以一种安全的方式来提供对一个或多个相关企业服务的访问。
Description
相关申请
本申请涉及2003年9月23日提交的名为“Secure InteractionBetween a Mobile Device and Enterprise Application in aCommunication System”的美国专利申请10/668,577,并且涉及2003年9月23日提交的名为“Voice Message Notification and Retrieval ViaMobile Client Device in a Communication System”的美国专利申请10/668,563,其中这些申请的公开内容在此引入作为参考。
技术领域
本发明主要涉及通信系统领域,尤其涉及用于控制移动用户访问企业服务的技术。
背景技术
无线技术和企业网络的最新进展导致越来越需要为那些正在旅游、远距离工作或以其他方式远离企业的用户提供对企业服务的安全远程访问,其中举例来说,这些企业服务包括电子邮件、语音邮件、因特网接入以及基于表示的服务。例如,用户通常希望能够从移动电话或个人数字助理(PDA)之类的移动设备访问企业的电子邮件服务器或是语音消息传递系统(VMS)。至少在某种程度上,将企业服务扩展到移动环境是借助团队、群体以及组织之间的更有效的通信和协作来完成的,很明显,这种扩展可以实现生产率的实质改进。
不幸的是,常规技术无法为针对企业服务的远程访问提供预期的安全等级和效率。例如,移动网络运营商当前允许公司客户通过移动电话来访问特定的公司服务,例如电子邮件和语音邮件。然而,这些及其他常规方案在可支持的特定企业服务、设备配置、通信协议以及接入机制方面受到了过多的限制,在某些情况下则只能为高度机密的商务信息传递提供完全不适当的安全等级。
因此,目前需要那些允许企业将定制服务扩展到大量不同类型的移动设备,同时对涉及其网络的访问保持全面控制的解决方案。
发明内容
根据本发明的一个方面,本发明是通过提供那些用于从通信系统中的移动设备访问企业服务的改进技术来满足上述需求的。
概括的说,为通信系统中的移动设备,经由一个具有第一服务器和第二服务器的移动网关来提供对企业服务的受控访问。网关的第一服务器排列在企业网络防火墙之后,并且耦合在第二服务器与企业网络的一个或多个企业服务器之间。第二服务器排列在企业防火墙之前,并且被配置成与一个关联于移动设备的运营商网络进行通信。网关对移动设备与一个或多个企业服务器之间的交互作用进行控制,以便以一种安全的方式提供对一个或多个相关企业服务的访问。
在一个说明性实施例中,移动网关的第一和第二服务器分别包含一个移动映像和表示服务器(presentation server)以及一个移动代理服务器。移动映像和表示服务器包括移动服务中介器(broker)、移动内容转换器以及移动服务映像部件,并且该服务器经由万维网服务接口耦合到一个或多个企业服务器。移动代理服务器包括多个网关适配器,其中对每一个网关适配器进行配置,以便借助指定协议来与运营商网络中的相应部件进行通信。举例来说,与指定的一个网关适配器相关联的指定协议可以包括WAP推送协议、WAP拖曳协议、SMS协议以及MMS协议中的一种协议。在这个说明性实施例中,移动代理服务器被配置成在因特网上使用SSL协议与运营商网络进行通信。
附图说明
图1显示的依照本发明的说明性实施例来进行配置的示范性通信系统。
图2是显示图1系统中的处理部件的一种可能实施方式的简化框图。
图3显示的是图1系统中的移动映像和表示服务器的更详细视图。
图4显示的是图3中的MIPS的移动内容转换器(MMC)的更详细视图。
图5显示的是图1系统中的例示服务扩展器(SE)的更详细视图。
图6显示的是依照本发明的通信系统的另一个说明性实施例。
具体实施方式
在下文中将结合多个示范性通信系统来对本发明进行描述。然而应该理解,本发明并不局限与任何特定类型的通信系统或是任何特定配置的移动设备、服务器、网关或其他系统处理部件结合使用。本领域技术人员将会了解,在任何那些希望提供从移动设备到企业服务的改进的远程访问的通信系统应用中,这里公开的技术都是可以使用的。
图1显示的是实施本发明的例示通信系统100。系统100包括多个网络102,其中包括企业网络102A、因特网102B以及运营商网络102C-1和102C-2。
企业防火墙103将企业网络102分成第一部分104A和第二部分104B。在这里也将第一部分104A表示成“非保护区”或DMZ部分,它处于企业防火墙103之前或外部。而第二部分104B则处于企业防火墙103之后。第二部分104B包括一个移动映像和表示服务器(MIPS)106,该服务器与第一部分104A中的移动代理服务器(MPS)108相连。
在这个说明性实施例中,MIPS106和MPS108共同包含一个在这里被更普遍地称为“移动网关”的实例。该网关被配置成为系统100的移动用户提供对企业网络102A内部的可用企业服务的安全访问。在这里,可以由移动设备访问的企业服务也称为“移动服务”。
在这个实施例中,MIPS106包括移动服务中介器(MSB)120、移动内容转换器(MCC)122以及移动服务映像(MSI)部件124。在下文中将会结合图3来对这些部件进行更详细的描述。
通常,MPS108可被操作用于验证移动用户,并且经由运营商网络102C而在移动设备110与MIPS106之间传递请求、响应、通知、状态及其他信息。而MIPS106则执行以下功能,例如服务中介,移动设备适配和内容传输,以及移动服务映像的创建和存储。
系统100还包括多个移动设备110-1、110-2、......、110-N,其中每一个移动设备都可以与一个不同的移动用户相关联。虽然在图1中将移动设备110描述成移动蜂窝电话,但是作为选择,该移动设备也可以包括PDA、移动计算机或是经过恰当配置而在系统100内部进行通信的其他任何类型的基于处理器的设备。在这里也可以将这些设备称为移动客户设备、客户设备或客户机。在本领域中,这些设备的常规方面都是已知的,因此在这里不再对其进行更详细的描述。
此外,在企业网络102A中还包括一组服务器112,其中每一个服务器都具有关联的服务扩展器114和用户目录116。这组示范性显示的服务器112包括万维网服务器112-1、电子邮件服务器112-2、话音消息传递系统(VMS)或任何其他类型的语音邮件服务器112-3、语音服务器112-4以及表示位置服务器112-5。然而应该了解,本发明并不需要对企业网络102A内部的部件进行这种或是其他任何特定分组,对本领域技术人员来说,适于提供这里所述的企业网络功能的众多结构都是显而易见的。
在本发明中,服务器112的企业应用是用万维网服务接口耦合到MIPS106的。非常有利的是,通过在系统100中使用这种接口,可以对服务逻辑和服务传递进行进一步分离,由此易于系统平台的结构扩展性和互通性。系统100的移动网关可以结合具有相应SE的任何现有或新的企业应用来进行部署。
万维网服务是一种用于应用整合的工业标准,在W3C,2003c,“Web Services Architecture”,http:∥www.w3.org/TR/ws-arch中对其进行了更详细的描述,其中该文献在此引入作为参考。该标准均衡(leverage)了HTTP、TCP/IP、XML、UDDI、WSDL以及SOAP之类的现有开放标准,并且不依赖于语言和平台。通常,指定的万维网服务接口包括一个或多个可以用XML或其他适当语言编写的文档。并且举例来说,所交换的数据可以是任何XML文档,这些数据可以借助XSLT或其他机制而被实时转换成期望格式。在万维网服务接口中并没有将数据限制成简单类型,它也可以是文本、图像、电子邮件或是任何类型的信息。一般来说,DCOM和CORBA接口是通过采用固定格式的数据交换来尝试捕获所有应用行为的,与之不同的是,万维网服务接口非常简单并且是动态的。万维网服务接口提供了松散的耦合性并且具有跨平台互通性,由此提供了一种透明访问分布式异构信息源的优异方法。
因此,图1中的说明性实施例使用了万维网服务来将MIPS106对接到企业服务器112,由此实现了高等级的服务扩展性和跨平台互通性。当然,在服务器112与MIPS106之间也可以使用其他类型的接口,包括基于其他公知协议的接口。
此外还可以对用户目录116进行配置,以便存储那些涉及系统移动用户的信息,例如用户标识、设备及服务预订信息。这些信息很容易存储在现有企业目录中,而不需要建立附加的用户帐户。
在这里非限制性地假设服务器106、108和112,SE114以及目录116都是在一个或多个计算机或与实施企业网102A的企业相关联的其他处理部件上实现的。因此,对于这里使用的术语“服务器”而言,指定的“服务器”意图包括一个或多个计算机或是可以通过配置来提供相关处理功能的其他处理部件的任何装置。
在图1的说明性实施例中,通过分离MIPS106与MPS108,并且借助万维网服务而将MIPS106耦合到企业服务器112,可以提供增强的安全性。MIPS108可以使用安全套接字层(SSL)或其他安全协议连接到运营商网络102C,此外,通过在企业应用与移动用户之间重定向请求和响应,可以提供针对企业服务的安全访问,从而有效阻止入侵者访问敏感的服务内容。
应该指出的是,虽然在图1的实施例中是将MIPS106和MPS108作为分离的部件显示的,但在其他实施例中,MIPS106和MPS108也可以是单个公共处理平台的部件。然而,当在公共处理平台上实施的时候,MIPS106和MPS108优选地在逻辑上仍旧分离,由此MIPS将会处于企业防火墙之后,并且如图中所示,MIPS将会处于企业防火墙外部。这里使用的术语“服务器”指的是MIPS106、MPS108、包含MIPS和MPS的单个服务器、或是共同包含MIPS和MPS的一组服务器。
企业网102A或系统100的其他部件可以包括一个或多个在通信系统交换机上运行或以其他方式关联于通信系统交换机的软件程序,其中举例来说,交换机可以是由Basking Ridge,New Jersey,USA的Avaya公司提供的DEFINITYEnterprise Communication Service(ECS)通信系统交换机。此外,另一个适合与本发明结合使用的呼叫处理交换机是由Avaya公司提供的MultiVantageTM通信系统交换机。举例来说,这种交换机可用于执行与一个或多个服务器112或与系统100中的其他部件相关联的通信处理功能。
在这个实例中,MPS108包含多个适配器,其中包括WAP网关(WG)130、短消息服务中心(SMSC)132、WAP推送代理网关(PPG)134以及多媒体消息传递服务中心(MMSC)136。MPS108的这些部件分别经由因特网102B与运营商网络102C-1的相应部件140、142、144以及146进行通信。MPS108的适配器通常将服务信息组合成一种适合特定消息传递技术以及特定网络类型的格式。例如,对通过GPRS的WAP而言,可以将服务标识(SI)或服务负载(SL)信息组合在一起,以便经由GPRS网络来传递这些通知。对SI通知而言,诸如标题和URL之类的信息可以与用户通过激活所推送的URL而拖曳的实际服务内容一起推送到移动设备。对SL而言,服务内容本身是在没有进行任何拖曳操作的情况下推送到移动设备的。如图所示,在MPS108中有可能存在多个部件实例130、132、134以及136。
WAP的一个重要方面是规定了一种推送架构,该架构允许基于服务器的应用将内容发送或“推送”到兼容WAP的移动客户设备,而不需要来自设备的清楚的请求。这里使用的术语“推送内容”意图包括可以借助推送机制发送给移动客户设备的任何类型的信息。当然,WAP还可以用于允许兼容WAP的移动客户设备借助来自设备的显性请求而从基于服务器的应用那里“拖曳”内容。在这个实例中,MPS108可以通过使用WAP拖曳、WAP推送、SMS或MMS及其组合来与运营商网络102C-1进行通信。
对本领域技术人员来说,WAP的细节是众所周知的,并且在WAP规范文献中对其进行了描述,其中所述文献在这里引入作为参考。并且这些文献包括:
WAP Architecture:http:∥www1.wapforum.org/tech/documents/WAP-210-WAPArch-20010712-a.pdf;WAP Push Architecture:
http:∥www1.wapforum.org/tech/documents/WAP-250-PushArchOverview-20010703-a.pdf;PAP:http:∥www.wapforum.org/what/technical/PROP-PAP-19990816.pdf;以及OTA:http:∥www1.wapforum.org/tech/documents/WAP-235-PushOTA-20010425-a.pdf。
虽然在这个说明性实施例中将WAP、SMS以及MMS用于MPS108与运营商网络102C-1之间的通信,但是应该理解,使用这种协议并不是本发明的必要条件。可用于支持MPS108与一个或多个运营商网络之间通信的替换协议实例包括GPRS、IEEE802.11等等。
如所示,除了部件140、142、144和146之外,运营商网络102C-1还可以包括移动网络150。移动网络150可以基于任何期望的通信协议或是此类协议集合,其中举例来说,这些协议包括CDMA、GSM、GPRS等等。运营商网络102C-2可以用一种类似于运营商网络102C-1的方式来进行配置,但是也可以使用不同于运营商网络102C-1的协议或协议集。同样,通过对系统100进行配置,可以支持比图中所示的特定网络数量更多或更少的运营商网络。并且如所示,运营商网络102C将会与移动设备110进行通信。
例如,单独或共同采用的网络102A、102B和102C可以代表因特网之类的全球通信网、内部网、广域网、城域网、局域网、无线蜂窝网或卫星网络,以及这些或其他有线或无线通信网络的一部分或组合。因此,实施本发明不需要任何特定类型网络或网络集合。
如上所述,图1的说明性实施例包括多个启用了WAP的处理部件。WAP主要提供的是一个用于开发那些在不同的无线通信网络上运作的应用的开放式通用规范。此外,虽然说明性实施例使用了WAP并在这种环境中对其进行了描述,但是WAP并不是本发明的必要条件,并且也可以使用其他标准或非标准协议来实现本发明。
由此应该了解,图1所示的系统100的简化结构只用于例示目的,并且不应该将其视为是将本发明局限于任何特定的部件装置。例如,系统100可以包括附加的客户机、服务器、网关、路由器、交换机或其他类型的处理部件。这些及其他附加或替换系统部件的类型在本领域中是已知的,但在图1中则并未明确显示这些部件,而这些部件可以用一种与充分理解的常规做法相一致的方式装配在系统100的内部。
图2显示的是图1系统的指定处理部件的一种可能实施方式。例如,图2的处理部件200可以表示移动设备100中的至少一部分,服务器106、108或112中的一个服务器或是系统100中的其他处理部件。
图中所示的处理部件200包括一个与存储器204以及一个或多个网络接口206相耦合的处理器202。本发明的技术至少部分是采用存储器204可存储以及处理器202可执行的软件的形式实施的。存储器204可以表示随机存取存储器(RAM)、只读存储器(ROM)、基于光或磁盘的存储器或其他存储部件,此外还可以表示这些存储部件的部分或是其组合。
本领域技术人员将会了解,出于说明目的显示的图2中的单个部件可以组合成一个或多个处理设备,但也可以分布在一个或多个处理设备上,其中所述处理设备可以是微处理器、专用集成电路(ASIC)、计算机或是一个或多个其他设备。
出于说明目的,在这里也显著简化了图2中的装置。举例来说,如果将其视为是表示一个移动客户设备,那么处理部件200可以包括那些通常与下列设备相关联的常规部件,其中这些设备可以是编解码器,以及其它语音信号处理硬件或软件部件。
现在参考图3,其中更详细地显示了MIPS106的主功能块。这其中包括MSB120、MCC122以及MSI124。
通常,MSB及其相关部件是在提供系统功能的过程中使用的,其中举例来说,这些系统功能包括服务接口技术、服务访问控制、移动服务图像创建、后端同步以及服务协调。
MSB120包括服务协调器302、服务连接器304以及网关连接器306。服务协调器302则包括服务访问控制(SAC)矩阵310、服务调度器312以及多个服务代表314。
服务协调器302通过使用SAC矩阵310来提供基于各个用户、各个设备以及各个服务的双向访问控制。SAC矩阵310包括用户量度、设备量度以及服务量度,它可以基于表征用户、设备和服务的注册信息而被作为服务调度器312的初始化程序的一部分来进行构造。在这里通过对其进行配置来阻止外部移动设备用户以及内部企业应用非法访问移动服务。更为特别的是,除非与指定访问尝试相关联的所有这三个量度都与特定注册配置相一致,否则将会使用SAC矩阵来拒绝用户或应用的访问,其中所述注册配置即为借助特定设备来接收特定服务的特定用户。与先前实施例一样,在服务器发起的推送服务就绪的时候,这种功能将是非常重要的。在这个实施例中,如果用户具有多个移动设备,那么应该在系统中注册每一个设备。
此外,MSB120还负责创建并复制MSI部件124。实质上,MSI部件124是以即时方式从SAC矩阵310中创建的,由此可以免除对于MIPS数据备份的需要。同样,由于很容易复制MSI部件,因此可以解除关于大量访问或故障容错方面的顾虑。此外,MSB还会执行事件触发的同步以及企业应用与MIPS之间的例程后端同步,从而对MSI部件进行更新。
在通知或服务请求每次到达服务协调器302的时候,SD312将会对照SAC矩阵310来检查可访问性,并且将服务请求调度到特定SR314。如果该通知代表的是某个触发事件,例如位置改变,那么SD312还可以调用一个或多个其他SR314,以便链接这些请求,从而反映这种变化。每一个SR转而借助服务连接器304来调用相应的万维网服务接口,并且将响应传递到MCC122,以便更新MSI部件124。最终,SR将通知中继到恰当的网关连接器306,以便进行传递。出于可靠性和会话管理的目的,SR将会收集通知已发送指示、内容已检索指示之类的传递状态信息,并且将其回送给服务发起方。
MSI部件124包含用户当前预订的所有移动服务映像。为了实现更好的性能,它对服务内容进行缓存并在服务环境改变的时候得到重建。
作为说明性实例,对典型的企业电子邮件服务而言,MSI部件124中的指定移动服务映像可以包括一个或多个电子邮件消息,其中每一个消息都包括消息报头、消息主体以及一个或多个附件。
因此,这里使用的术语“移动服务映像”包含了表征特定移动服务实例的信息,但是并不局限于此。
在创建服务映像的过程中,MCC122将服务内容转变成一种最适合目标设备的格式。内容再现则取决于通过注册、服务激活以及学习处理所收集的设备简档以及用户首选项。对于新设备的自适应是通过添加模块化的设备适配器来实现的。在图4中显示了一种MCC122的实施方式。在这个实例中,MCC122包含了与多个设备适配器(DA)404相耦合的内容再现器(CR)402。对本领域技术人员来说,其他那些关于MCC122的适当配置都是显而易见的。
设备适配器404为MCC122提供了一种适应不同用户设备性能的能力。通过添加新的设备适配器,可以允许系统适应于具有一组不同性能的全新设备。例如,通过将XML用于内容生成并且将XSLT用于内容显示,可以实现相互独立的内容生成和内容显示。更准确地说,从企业应用那里接收的服务内容可以采用常规的XML文档的形式,然后,依照设备简档以及用户首选项,该文档将会实时地转变成一种最适合在目标移动设备上显示的格式。由于允许独立配置和升级移动设备及企业应用,因此这种内容生成和显示的去耦合是非常有利的。
一般来说,指定用户是通过提供基本的用户和设备识别信息以及个人首选项之类的注册信息而将他或她的相关移动设备注册到系统中的。一旦结束注册,则向新注册的设备发送一个恰当的服务激活通知,以便确定用户证书和服务预订。这时可以创建一个“主页(home-deck)”,以便反映涉及用户的最新SAC矩阵条目。该主页通常包括一组与指定用户及其关联的一个或多个移动设备有关的个性化信息,而在说明性实施例中则非限制性地假设生成主页并将其保存在MIPS106上。
例如,移动设备的基本简档可以用服务激活表单报头中的信息来获取。适当的评估表单包含了不同的可选字体、图像、调色板及其他相关信息,该表单可以作为通知并由用户使用,以便允许用户进一步评估设备性能以及用户首选项。在不支持WAP推送的实施例中,通过提供主页浏览或其他适当机制,也可以提供相似的确认和评估功能。
服务激活过程可以包括一个借助于通知或主页的基于登录的确认。通过使用WAP或其他适当协议,可以为通知提供端到端的安全保证。SMS可用于发送一个只披露了与服务内容读取有关的信息的简短通知,以便确保隐私性,其中可能会比较敏感的内容是通过必须登录的主页来进行检索的。在指定的移动设备上可以执行远程清除缓存的操作,此外,为了在设备失窃或丢失的情况下确保服务内容安全,该操作是在一个指定时间之后才发起的。
图1的系统通常是基于源于众多不同来源的信息来创建设备简档以及用户首选项的。在注册过程中可以收集基本的用户和设备信息。包括模型、屏幕大小等信息的基本设备简档则是在上述服务激活过程中从一个请求报头中检索的。然后,更详细的主观信息是通过一个基于学习的查询过程来获取的。
此外还可以对系统进行配置,以便支持多种不同的交互范例。例如,通告、浏览、语音接入以及点击拨号的组合可用于提供针对企业服务的有效访问。无键或单手用户体验则可以借助数据和语音信道切换或是模态切换来实现。模态切换可以包括与内容推送以及点击拨号相结合的对话。事件驱动推送通知可用于将紧急服务及时传递给移动设备。一旦环境发生变化,例如位置、在场情况、日历、任务等等发生变化,那么后端同步机制将会触发主页更新。连至主页的链接可以推送到移动设备,以便用于标记书签或是服务激活过程中的其他处理,从而免除对于用户输入的需要。对那些可以借助SMS或是相似协议递送的简单消息传递而言,通过将其与个性化主页结合使用,可以减少移动设备的功能需求,而不会损害到服务的可访问性。非常有利的是,相对于更高端设备的用户而言,这样做为低端“瘦”客户机的用户提供了相同的企业服务访问以及相似的用户体验。
图5显示的是图1中的SE114的一个指定SE的示范性实施方式。如先前所述,SE是在提供一个将相应企业服务器连至MIPS106的松散耦合的过程中使用的。如所示,SE包括事件源502、内容源504以及万维网服务封装(WSW)506。通常,SE会对事件或内容进行检测,并且借助相应的事件源502以及内容源504而将其中继到WSW506。可以检测的事件实例包括电子邮件消息到达、日历变化等等。并且举例来说,内容源504可以包括一个XML生成器,它可以对电子邮件报头、消息以及附件之类的服务内容进行检索,并且将其转换成XML文档之类的常见格式。WSW506以一种可传递的形式将事件和内容封装,并且在HTTP上将其作为SOAP来进行发送。在SOAP等级上,附加的安全性可以用验证、数字签名以及加密来实现。
图6显示的是作为通信系统600的本发明的另一个说明性实施例。系统600包括与运营商网络102′相耦合的企业网102A′。企业网包括一个使用与MPS108′相耦合的MIPS106′来加以实现的移动网关602。MPS 108′与网络102C′的WAP网关104′借助SSL进行通信,网络102C′与移动设备110′则借助WAP进行通信。此外,企业网102A′中还包括一个与交换服务器612相耦合的公司电子邮件服务器610。并且交换服务器612与MIPS106′借助万维网服务接口来进行通信。
实际上,系统600的部件102A′、102C′、106′、108′、110′以及140′是以一种与图1系统100中的相应部件相同的方式来工作的。
在这个说明性实施例中,MIPS108′可以作为Microsoft的移动信息服务器(MIS)来实现,其中所述移动信息服务器适合部署在企业的DMZ中,以便管理并验证用户。它经由SSL而与运营商网络102C′的WAP网关140′进行安全连接,并且通过重定向请求和响应来提供安全浏览。虽然在图中没有明确显示,但是在系统600中实施了用于WAP拖曳、WAP推送以及SMS的网关适配器,以使移动网关602能与运营商网络102C′相连。而借助GPRS的WAP则被用作浏览和通知业务量的承载。
MIPS106′包括用于服务中介、基本的实时内容变换以及服务映像创建和存储的组件。更准确地说,它包括一个具有简单的SB和可配置的SR的MSB,通过实施该MSB,可以处理介于移动设备110′与关联于服务器610和612的企业应用之间的请求和响应。此外,在MIPS106′中还包括用于移动设备110′的设备适配器,其中举例来说,该移动设备可以是Sony-Ericsson的T68i移动电话。另外,设备适配器还与相关的内容重现部件结合使用,以便将那些从使用XSLT的企业应用那里接收的通用XML文档实时转换成XHTML和WML。MIPS106′还包括一个能够产生服务图像并将其与个性化主页相链接来进行浏览的MSI。
例如,万维网服务接口可以使用Microsoft的SOAP工具包来实现。在这里可以为接口的每一端实施SOAP服务器/客户机对,由此企业应用可以选择为移动网关602提供万维网服务或是暴露给移动网关602或是使用移动网关602所给出的万维网服务。
在这个实施例中,与交换服务器612相关联的是一个用于电子邮件应用的SE。在新电子邮件消息到达的时候,这时将会根据移动设备的消息传递能力而使用WAP推送或是SMS来向移动设备发送一个通知。同时,个性化主页将会更新,以便包含一个关于新消息的链接。SE将会捕获新的电子邮件事件,然后提取并处理这个消息。所有经过处理的消息部分都被编码成一个XML文档。这个XML文档经由HTTP并且通过万维网服务接口传递到移动网关602,以便进行特定于移动设备的处理。然后,移动网关602将具有移动格式的通知中继到WAP网关140′。而在移动设备上则立即可以得到一个WAP推送或SMS消息。如图所示,通过激活移动设备上的恰当按键,用户可以检索电子邮件消息和附件615。附件可以是文本或非文本形式。如果不支持WAP推送,那么通知可以包括一个表明新电子邮件消息在受密码保护的主页上已经就绪的消息。由此允许用户从低端设备访问相同信息,而不会损害到安全性、隐私性或便利性。
此外,移动用户也可以借助系统600来访问多种其他企业服务。例如,在这里可以对上述移动电子邮件服务进行扩展,以便允许语音访问公司电子邮件。为了支持这种扩展,在这里为企业网的语音服务器创建新的SE,并且用户可以借助对话应用来访问公司的电子邮件。在侦听具有非文本附件的新电子邮件消息时,用户可以说出“ShowMe”之类的语音命令。然后,在移动设备可以立即得到非文本附件以及消息。
如先前所述,对于上述与本发明的说明性实施例相结合的一个或多个处理功能而言,这些功能可以完全或者部分地使用关联于系统处理部件的处理器202以及存储器204而以软件的形式实现。此外,其他适当的硬件、固件或软件装置同样可以用于实现本发明的技术。
在此需要强调的是,上述方案只是说明性的。例如,与说明性实施例相比,替换实施例可以使用不同的处理部件硬件、固件或软件结构、不同的推送、拖曳或消息传递机制以及不同的通信协议。对本领域技术人员来说,下列权利要求范围以内的这些以及众多其他替换实施例都是显而易见的。
Claims (10)
1.一种用于在通信系统中对移动设备访问企业网络的企业服务进行控制的设备,该设备包括:
具有第一服务器和第二服务器的网关;
网关的第一服务器排列在企业网络的防火墙之后,并且耦合在第二服务器与企业网络的一个或多个企业服务器之间;
第二服务器排列在企业防火墙之前,并且被配置成与一个关联于移动设备的运营商网络进行通信;
其中网关对移动设备与所述一个或多个企业服务器之间的交互作用进行控制,以便以一种安全的方式来提供对一个或多个相关企业服务的访问;
其中所述第一服务器包括移动映像和表示服务器,该移动映像和表示服务器包括下列各项中的一个或多个:
移动服务中介器,
移动内容转换器,以及
移动服务映像部件;
其中,所述移动服务映像部件包括用户预订的所有移动服务映像;以及
其中,所述移动服务中介器同步企业应用和移动映像和表示服务器,以更新所述移动服务映像部件。
2.权利要求1的设备,其中移动服务中介器包括:
服务协调器,它被配置成使用一个服务访问控制矩阵来提供基于各个用户、各个设备以及各个服务的双向访问控制,其中该矩阵具有用户量度、设备量度以及服务量度;并且所述服务访问控制矩阵至少部分结合一个基于表征用户、设备和服务的注册信息的初始化程序来构造,
其中,所述服务协调器包括与服务代表进行通信的服务调度器。
3.权利要求2的设备,其中服务协调器可操作用于防止移动设备以及一个或多个企业应用非授权访问企业服务。
4.权利要求1的设备,其中移动服务中介器可用于结合来自移动设备的服务请求而对移动服务映像部件进行复制。
5.权利要求1的设备,其中移动内容转换器包括多个设备适配器和一个内容再现器,每一个适配器与一个特定类型的移动设备相关联,并且内容再现器与设备适配器相耦合,移动内容转换器可操作用于经由一个或多个设备适配器以及内容再现器而将企业服务内容转换成一种适合经由移动设备演示给用户的格式。
6.权利要求1的设备,其中第二服务器包括:
移动代理服务器,
其中所述移动代理服务器包括多个网关适配器,每一个网关适配器被配置成经由指定协议而与运营商网络的相应部件进行通信。
7.权利要求6的设备,其中与一个指定网关适配器相关联的指定协议包括WAP推送协议、WAP拖曳协议、SMS协议以及MMS协议中的一种。
8.权利要求1的设备,其中与对应于多个企业服务器中的相应服务器的多个企业应用中的每一个相关联的是一个服务扩展器,该服务扩展器支持企业应用与网关第一服务器之间的通信。
9.权利要求1的设备,其中第一和第二服务器是在以下各项中的至少一个上实施的:
系统的单个通用处理部件;以及
系统中彼此物理分离的相应的第一和第二处理部件。
10.权利要求1的设备,其中网关是以一个或多个处理部件的形式实现的,每一个处理部件都包括与存储器相耦合的处理器。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/853,962 US7289788B2 (en) | 2004-05-26 | 2004-05-26 | Mobile gateway for secure extension of enterprise services to mobile devices |
| US10/853,962 | 2004-05-26 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1703031A CN1703031A (zh) | 2005-11-30 |
| CN1703031B true CN1703031B (zh) | 2011-08-03 |
Family
ID=34941462
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200510072986.4A Active CN1703031B (zh) | 2004-05-26 | 2005-05-25 | 用于将企业服务安全扩展到移动设备的移动网关 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US7289788B2 (zh) |
| EP (1) | EP1601162A1 (zh) |
| CN (1) | CN1703031B (zh) |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7289788B2 (en) | 2004-05-26 | 2007-10-30 | Avaya Technology Corp. | Mobile gateway for secure extension of enterprise services to mobile devices |
| US8838795B2 (en) * | 2004-12-03 | 2014-09-16 | At&T Intellectual Property I, L.P. | System, method, apparatus, and product for resource sharing |
| US8060554B2 (en) * | 2005-04-18 | 2011-11-15 | Research In Motion Limited | System and method for enabling asynchronous push-based applications on a wireless device |
| US8364784B2 (en) * | 2005-05-19 | 2013-01-29 | International Business Machines Corporation | Internally initialized profile driven data transfer and propagation |
| US7702107B1 (en) * | 2005-07-27 | 2010-04-20 | Messing John H | Server-based encrypted messaging method and apparatus |
| US7610345B2 (en) | 2005-07-28 | 2009-10-27 | Vaporstream Incorporated | Reduced traceability electronic message system and method |
| US9282081B2 (en) | 2005-07-28 | 2016-03-08 | Vaporstream Incorporated | Reduced traceability electronic message system and method |
| US7444137B1 (en) | 2005-11-01 | 2008-10-28 | At&T Mobility Ii Llc | Cell broadcast via encoded message to an embedded client |
| US7444133B1 (en) | 2005-11-01 | 2008-10-28 | At&T Mobility Ii Llc | Cell broadcast updates to application software |
| US7426203B1 (en) * | 2005-11-01 | 2008-09-16 | At&T Mobility Ii Llc | WAP push over cell broadcast |
| US7769877B2 (en) * | 2006-04-27 | 2010-08-03 | Alcatel Lucent | Mobile gateway device |
| US8144006B2 (en) * | 2006-09-19 | 2012-03-27 | Sharp Laboratories Of America, Inc. | Methods and systems for message-alert display |
| US7991019B2 (en) * | 2006-09-19 | 2011-08-02 | Sharp Laboratories Of America, Inc. | Methods and systems for combining media inputs for messaging |
| US8068824B2 (en) | 2006-09-29 | 2011-11-29 | Avaya, Inc. | Automated reconnection of interrupted voice call session |
| WO2008059534A2 (en) * | 2006-11-16 | 2008-05-22 | Onmobile Global Limited | System and method for facilitating a ready social network |
| US7996488B1 (en) | 2006-11-27 | 2011-08-09 | Disney Enterprises, Inc. | Systems and methods for interconnecting media applications and services with automated workflow orchestration |
| US8086758B1 (en) | 2006-11-27 | 2011-12-27 | Disney Enterprises, Inc. | Systems and methods for interconnecting media applications and services with centralized services |
| US7720918B1 (en) * | 2006-11-27 | 2010-05-18 | Disney Enterprises, Inc. | Systems and methods for interconnecting media services to an interface for transport of media assets |
| US8200845B2 (en) * | 2006-12-19 | 2012-06-12 | Ianywhere Solutions, Inc. | Queuing of invocations for mobile web services |
| US8130917B2 (en) * | 2006-12-21 | 2012-03-06 | Verizon Data Services Llc | Method and apparatus for group messaging |
| US7983249B2 (en) * | 2007-01-23 | 2011-07-19 | Oracle America, Inc. | Enterprise web service data to mobile device synchronization |
| US20080208594A1 (en) * | 2007-02-27 | 2008-08-28 | Cross Charles W | Effecting Functions On A Multimodal Telephony Device |
| KR100906109B1 (ko) * | 2007-06-20 | 2009-07-07 | 엔에이치엔(주) | 3a 기반의 다양한 어플리케이션 상태를 제공하는유비쿼터스 프리젠스 서비스 방법 및 시스템 |
| US8826455B2 (en) * | 2009-02-17 | 2014-09-02 | International Business Machines Corporation | Method and apparatus for automated assignment of access permissions to users |
| US8863267B2 (en) * | 2009-06-26 | 2014-10-14 | Oracle International Corporation | Subscriber based policy for service network gateways |
| US20120215880A1 (en) * | 2011-02-23 | 2012-08-23 | Vikas Lamba | Forwarding data from server to device |
| US20120239782A1 (en) * | 2011-03-18 | 2012-09-20 | Research In Motion Limited | Method and Apparatus Pertaining to Pushing Content Via A Push Proxy Gateway |
| US20130091420A1 (en) * | 2011-10-07 | 2013-04-11 | David Shin | Flyer Content Integration System |
| WO2013134178A1 (en) * | 2012-03-06 | 2013-09-12 | Mobile Helix, Inc. | Mobile link system, method & apparatus |
| US9361083B2 (en) | 2013-03-06 | 2016-06-07 | Microsoft Technology Licensing, Llc | Enterprise management for devices |
| US9245128B2 (en) | 2013-03-06 | 2016-01-26 | Microsoft Technology Licensing, Llc | Limiting enterprise applications and settings on devices |
| US9549032B2 (en) * | 2014-12-19 | 2017-01-17 | Ca, Inc. | Mobile content management for offline content access |
| US11206318B2 (en) * | 2019-04-16 | 2021-12-21 | Abb Schweiz Ag | Cloud interoperability |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6324648B1 (en) * | 1999-12-14 | 2001-11-27 | Gte Service Corporation | Secure gateway having user identification and password authentication |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5941947A (en) * | 1995-08-18 | 1999-08-24 | Microsoft Corporation | System and method for controlling access to data entities in a computer network |
| US6219790B1 (en) | 1998-06-19 | 2001-04-17 | Lucent Technologies Inc. | Centralized authentication, authorization and accounting server with support for multiple transport protocols and multiple client types |
| JP2004503011A (ja) * | 2000-07-05 | 2004-01-29 | アーンスト & ヤング エルエルピー | コンピュータサービスを提供するための方法および装置 |
| US20030054810A1 (en) * | 2000-11-15 | 2003-03-20 | Chen Yih-Farn Robin | Enterprise mobile server platform |
| US7124189B2 (en) | 2000-12-20 | 2006-10-17 | Intellisync Corporation | Spontaneous virtual private network between portable device and enterprise network |
| US7761319B2 (en) | 2001-06-08 | 2010-07-20 | Click Acqusitions, Inc. | Supply chain management |
| MXPA03011976A (es) * | 2001-06-22 | 2005-07-01 | Nervana Inc | Sistema y metodo para la recuperacion, manejo, entrega y presentacion de conocimientos. |
| US6944868B2 (en) * | 2001-08-08 | 2005-09-13 | Hewlett-Packard Development Company, L.P. | Imaging extension API for isolating web content from user resources and services |
| US20030074422A1 (en) * | 2001-10-12 | 2003-04-17 | Montemurro Michael P. | Method of providing services in a wireless network |
| US7831693B2 (en) * | 2003-08-18 | 2010-11-09 | Oracle America, Inc. | Structured methodology and design patterns for web services |
| US7239877B2 (en) * | 2003-10-07 | 2007-07-03 | Accenture Global Services Gmbh | Mobile provisioning tool system |
| US7289788B2 (en) | 2004-05-26 | 2007-10-30 | Avaya Technology Corp. | Mobile gateway for secure extension of enterprise services to mobile devices |
-
2004
- 2004-05-26 US US10/853,962 patent/US7289788B2/en active Active
-
2005
- 2005-05-25 CN CN200510072986.4A patent/CN1703031B/zh active Active
- 2005-05-26 EP EP05253242A patent/EP1601162A1/en not_active Ceased
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6324648B1 (en) * | 1999-12-14 | 2001-11-27 | Gte Service Corporation | Secure gateway having user identification and password authentication |
Also Published As
| Publication number | Publication date |
|---|---|
| US20050266836A1 (en) | 2005-12-01 |
| EP1601162A1 (en) | 2005-11-30 |
| CN1703031A (zh) | 2005-11-30 |
| US7289788B2 (en) | 2007-10-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1703031B (zh) | 用于将企业服务安全扩展到移动设备的移动网关 | |
| US7346168B2 (en) | Method and apparatus for secure wireless delivery of converged services | |
| US6925481B2 (en) | Technique for enabling remote data access and manipulation from a pervasive device | |
| US8065357B2 (en) | Output management system and method for enabling access to private network resources | |
| US8019829B2 (en) | Output management system and method for enabling printing via wireless devices | |
| EP1495420B1 (en) | Method and network device for synchronization of database data routed through a router | |
| US8050661B2 (en) | System and method for redirecting message attachments between a host system and a mobile data communication device | |
| US6708217B1 (en) | Method and system for receiving and demultiplexing multi-modal document content | |
| US7685244B2 (en) | System and method for redirecting message attachments between a host system and a mobile data communication device | |
| US6938076B2 (en) | System, computer product and method for interfacing with a private communication portal from a wireless device | |
| EP1683034B1 (en) | Method, apparatus and system for providing a server agent for a mobile device | |
| EP1940126A2 (en) | Relay server and client terminal | |
| US20070016636A1 (en) | Methods and systems for data transfer and notification mechanisms | |
| US20020107904A1 (en) | Remote service agent for sending commands and receiving data over e-mail network | |
| MXPA01011504A (es) | Servidor de dispositivo movil. | |
| CN1582011A (zh) | 无线电话网上对基于文本的消息的备选路由方法和设备 | |
| JP2005501341A (ja) | 無線デバイス経由の印刷を可能にする出力管理システムおよび方法 | |
| EP1428129A1 (en) | Output management system and method for enabling access to private network resources | |
| US7260536B1 (en) | Distributed voice and wireless interface modules for exposing messaging/collaboration data to voice and wireless devices | |
| WO2002069199A1 (en) | Network connection platform | |
| AU2002327508A1 (en) | Output management system and method for enabling access to private network resources | |
| AU2002336388A1 (en) | Output management system and method for enabling printing via wireless devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Effective date: 20110830 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20110830 Address after: new jersey Patentee after: Avaya Tech LLC Address before: new jersey Patentee before: Avaya Technology Corp. |