[发明专利]用于基于云的身份管理（C-IDM）实现的方法和系统

说明书

背景

1.发明领域

本发明一般涉及订户和用户身份管理（C-IDM）实现。特别地，涉及一种用于IDM实现的方法和系统，该IDM实现利用分布式虚拟资源。

2.背景

一般来说，身份管理（IDM）是广泛的管理领域，其涉及识别系统（例如国家、网络、或组织）中的个人，并且通过在已确立的个人身份上放置限制，控制对系统中资源的访问。在计算机网络领域中，IDM是涉及如何识别人们并且授权其访问计算机网络的术语。其包括以下问题，例如如何给予用户身份、所述身份的保护、以及支持所述保护的技术（例如，网络协议、数字证书、密码等）

传统上，IDM特性和功能以下面两种不同方式实现。第一，IDM可在称为IDM数据库或IDM服务器的独立设备上实现，其直接地与别的服务器例如应用服务器、策略服务器、归属用户服务器（HSS）、网关设备等连接，所以这些服务器能直接地请求来自IDM服务器的IDM服务。第二，IDM可被集成到网络基础设施元件例如（a）边缘设备（路由器、网关、交换机、光线路终端（OLT）设备、和基于因特网协议的数字用户线接入复用器（IP-DSLAM）），（b）像边缘/核心服务控制功能的服务元件，（c）像流动性和资源管理功能的传输元件等。

IDM特性和功能的表能在例如3GPP规范TS24.109（ftp://3gpp.org/Specs/latest/Rel-10/24_series/）中和ITU-TFocusGroup的IDM文档（FGIdM,http://www.itu.int/ITUT/studygroups/com17/fgidm/index.html）上找到。这些文档的内容被整体地并入本申请。

图1a示意性示出用于IDM实现的当前模型的框图。在所述框图中，IDM服务器110与可被包含到当前IDM实现的别的网络实体直接连接。这些网络元件可包括应用服务器120、会话控制元件130、服务网关140等。图1b-1c示意性描绘了可被包含到当前IDM实现的不同网络实体之间的信令流程和信息交换。

独立的IDM服务器110接收请求，例如用于订户和用户的身份验证的请求以便验证对事务或基于会话的服务的访问。IDM服务器110可使用预定数量的属性（例如，服务名称和位置）、证书（例如，密码或生物识别信息）和标识符（名称、用户ID、MACid、IP地址、地理位置等）验证所述访问。

值得注意的是，一旦用户/订阅已通过验证，IDM服务器110根据当前实现可或可不控制用于会话和媒体的资源。这是可能的，策略、服务质量和安全要求可规定这些分配。IDM的信令元件和IDM的媒体控制元件之间的接口可以是开放的（标准协议）或基于专有协议，所述接口能是点对点或点对多点，以便通过分配资源请求支持可靠性。

当前IDM实现的主要缺点是，它们利用专用服务器或网络基础设施元件用于IDM服务。这种IDM特性和功能的实现会带来下面的不良后果：

A.服务成本增加

B.用于测试和与网络集成所要求的时间增加

C.资源的静态分配

D.重新定位资源较少灵活性

E.计算和通信资源与预设计的特性和功能的较紧密的耦合

F.创新的机会减少

对比之下，网络服务提供者在动态和不断演进的网络和服务开发环境中需要的是，1）保护投资，就是说，投资能被迅速地改变用途用于不同的产生收益的应用和服务的资源；和2）敏捷性和灵活性，就是说，利用已经存在于网络中的相同资源来部署新兴的特性和功能。

当前的发明解决了这些重大问题，因此使服务提供者能够分配他们的预算用于计算、通信并控制基础设施建设而不是创建和安装计算筒仓（silos）和网络设备，其在实现全部潜力（或提供完全的投资回报率）之前或仍然没有得到充分利用或变得过时。

发明内容

本发明公开一种虚拟IDM服务器。IDM服务器利用驻留在一个或更多计算网络中的多个计算机上的多个共享资源。IDM服务器也在实时的基础上控制共享资源的分配和使用。IDM服务器还包括用于接收有关IDM服务请求的消息的一个或更多API，和用于在处理所述IDM服务请求期间在实时的基础上访问多个所述共享资源的一个或更多API。

附图简述

这样已经概括地说明了本发明，现在将参考不一定按比例绘制的附图，其中：

图1a示意性示出用于IDM实现的当前模型的框图。

图1b示意性示出被包含到当前IDM实现的信令流程。