[发明专利]在发布和定制引擎中引入加密、认证和授权

说明书

技术领域

本发明涉及电气、电子和计算机领域，更具体地，涉及安全特征等。

背景技术

发布/定制是关于主题组织数据，使得发布者关于主题发布并且而定制者定制他们所借助的方法。典型地，发布者关于主题发布的所有消息由对于该主题的所有定制者接收。在至少一些实例中，发布者和定制者不知晓彼此的身份，允许非常灵活的通信方式。专用于不同市场领域的当前产品的范围支持发布/定制(“pub/sub”)抽象化。具体地，国际商业机器公司、Armonk、NY、USA的MQ(WSMQ)网络通信软件产品是一种支持丰富操作集(例如故障、事务语义化、和不可否认性)的大型系统，其适用于例如处理银行事务的数据服务器中心。

另一方面，MQ遥测传输(MQTT)是适用于低级设备上的轻量级pub/sub机制。在MQTT中，客户端(发布者或定制者)连接至代理(例如IBM MicroBroker软件)。然后，代理支持pub/sub抽象化。MQTT支持pub/sub的“推”和“拉”模型。推模型如先前段落所述。在拉模型中，发布者向命名的队列发布，定制者从那些队列明确地移除消息。在推模型中，0至N个定制者可接收给定消息，而在拉模型中仅一个定制者接收。

发明内容

本发明的原理提供在发布和定制引擎中引入加密、认证和授权的技术。在一方面，一种控制发布-定制引擎和多个客户端之间的交互的示例性方法(可以是计算机实现的)，包括以下步骤：部署多个协议栈，所述协议栈的每个包括多个可组合协议模块，所述可组合协议模块的每个实现通用接口。额外步骤包括：检测所述多个客户端的第一给定客户端希望连接至所述发布-定制引擎；以及确定所述多个客户端的所述第一给定客户端是否将以安全方式连接。响应于确定所述多个客户端的所述第一给定客户端将以所述安全方式连接，额外步骤包括：实例化所述多个协议栈的第一适当协议栈的加密实例，以实现所述安全连接。进一步步骤包括：认证所述多个客户端的所述第一给定客户端；以及授权所述多个客户端的所述第一给定客户端。

本发明的一个或多个实施例或其元件可通过包括有形计算机可读存储介质的计算机产品的形式实现，所述有形计算机可读存储介质具有执行所指出的方法步骤的计算机可用程序代码。此外，本发明的一个或多个实施例或其元件可通过一种装置的形式实现，所述装置包括存储器以及至少一个处理器，后者耦合至所述存储器，并且可操作为执行示例性方法步骤。此外，在另一方面，本发明的一个或多个实施例或其元件可通过用于执行这里所述的一个或多个方法步骤的部件的形式实现；所述部件可包括(i)硬件模块(多个)；(ii)软件模块(多个)；或(iii)硬件和软件模块的组合；(i)-(iii)中的任一个实现这里阐述的特定技术，并且软件模块存储在有形计算机可读存储介质(或多个这样的介质)中。

本发明的一个或多个实施例可提供一个或多个随后技术效果：

·能够动态拒绝客户端的关于给定主题的访问权限，同时保存MQTT协议的语义；

·能够同时支持来自多个客户端的多个不同认证机制。

根据结合附图阅读的示例性实施例的随后具体实施方式，本发明的这些和其他特征、方面和优点将变得清楚。

附图说明

图1示出根据本发明一方面的可组合协议栈；

图2是根据本发明另一方面的动态协议组合的流程图；

图3示出根据本发明另一方面的使用层特定信息的认证；

图4是根据本发明另一方面的基于层的认证的流程图；

图5是根据本发明另一方面的认证机制的流程图；

图6示出根据本发明另一方面通过去除消息本体保持消息流；

图7是根据本发明额外方面的非限制性示例性实施例的框图；以及

图8示出在实现本发明的一个或多个方面和/或元素中使用的计算机系统。

具体实施方式

本发明的方面使得发布/定制机制的用户能够简单有效地被认证和授权。这里将关于从主题读和写以描述推模型、以及从队列读和写以描述拉模型来讨论。主题和队列在发布/定制引擎(这里还称为代理)中被分级命名。

轻量级pub/sub机制(例如MQTT)典型地被设计为在低端设备上运行，从而他们不支持网络通信软件产品(例如WSMQ)的大范围操作。在MQTTv3中，任何人可连接至代理，并发布和/或定制任意主题。在MQTTv4中，在协议中引入密码，但是MicroBroker软件忽略他。这些事实是可通过本发明有利解决的情形的示例。