基于云服务之间的信任关系整合不同的云服务数据和行为

摘要

一种用于整合云服务数据和行为的方法可以从可信云服务整合器编译将请求实体与订购的云服务相关联的用户/服务隶属数据开始。可以创建联合信任库，其存放用户/服务隶属数据中所包含的云服务的服务间信任信息。响应于来自请求实体的服务请求，可以识别对于该请求实体的可信次要云服务。可信次要云服务的识别可以基于从联合信任库中所包含的数据合成的信任因子。然后可以将来自每个可信次要云服务的满足服务请求的数据和关联行为整合到统一数据结构中。行为可以是可信次要云服务所支持的可执行动作。可以在服务响应中将统一数据结构传送给请求实体。

说明书

技术领域

本发明涉及云计算领域，更特别地，涉及基于云服务之间的信任 关系整合不同的云服务数据和行为。

背景技术

云计算以及云服务在商业模型和处理中的使用正变得越来越普 通。就这点而论，可供用户和组织使用的云服务的数量也增加。用户 通常订购提供类似功能性的多个云服务。例如，用户可能使用多个云 服务频繁地参与博客相关的讨论。

在这样的情况下，需要用户独立地与每个云服务交互并且手动地 核对来自各种云服务的类似信息，这是耗时的。为了克服这个问题， 开发了一些形式化的基于REST的方法，这些方法允许用户的云服务 之间的单点登录请求处理。然而，这种方法缺乏可伸缩性以及整合云 服务提供的行为的能力。

发明内容

本发明的一方面可以包括一种用于整合云服务数据和行为的方 法。这样的方法可以从可信云服务整合器编译用户/服务隶属数据开 始，所述用户/服务隶属数据将请求实体与这些请求实体订购的云服务 相关联。可以创建联合信任库，其存放用户/服务隶属数据中所包含的 云服务的服务间信任信息。响应于来自请求实体的服务请求，可以识 别对于该请求实体的可信次要云服务。可信次要云服务可以对应于用 户/服务隶属数据中的与请求实体相关联的那些云服务。可信次要云服 务可以不是服务请求的目标。可信次要云服务的识别可以基于从联合 信任库中所包含的数据合成的信任因子。然后可以将来自每个可信次 要云服务的满足服务请求的数据和关联行为整合到统一数据结构中。 行为可以是可信次要云服务所支持的可执行动作，并且可以在从可信 次要云服务获得满足服务请求的数据的情况下是可执行的。可以在服 务响应中将统一数据结构传送给请求实体。

本发明的另一方面可以包括一种用于整合云服务数据和行为的系 统。这样的系统可以包括云服务、用户/服务隶属数据、联合信任库以 及可信云服务整合器。云服务可以在云计算环境下操作，并且响应于 服务请求提供数据和行为。用户/服务隶属数据可以将请求实体与这些 请求实体订购的云服务相关联。联合信任库可以包含用户/服务隶属数 据中所包含的云服务的服务间信任信息。可信云服务整合器可以被配 置为响应于服务请求选择性地将来自云服务的数据和行为整合到统一 数据结构中。云服务可以基于从联合信任库合成的信任因子来选择。 信任因子可以是服务请求中所规定的云服务与如用户/服务隶属数据 中所定义的请求实体消费(consume)的其他云服务之间的置信水平 的量化。

本发明的又一方面可以包括一种计算机程序产品，其包括嵌入有 计算机可用程序代码的计算机可读存储介质。所述计算机可用程序代 码可以被配置为编译将请求实体与这些请求实体订购的云服务相关联 的用户/服务隶属数据。所述计算机可用程序代码可以被配置为创建用 户/服务隶属数据中所包含的云服务的服务间信任信息的联合信任库。 所述计算机可用程序代码可以被配置为响应于来自请求实体的服务请 求，识别对于该请求实体的可信次要云服务。可信次要云服务可以对 应于用户/服务隶属数据中的与请求实体相关联的那些云服务。可信次 要云服务可以不是服务请求的目标。识别可以基于从联合信任库中所 包含的数据合成的信任因子。所述计算机可用程序代码可以被配置为 将来自每个可信次要云服务的满足服务请求的数据和关联行为整合到 统一数据结构中。行为可以是可信次要云服务所支持的可执行动作， 并且可以在从可信次要云服务获得满足服务请求的数据的情况下执 行。所述计算机可用程序代码可以被配置为在服务响应中将统一数据 结构传送给请求实体。

附图说明

图1是例示根据本文中所公开的发明的布置的实施例的系统的示 意图，该系统提供来自多个可信云服务的整合的数据和行为以供统一 消费。

图2是在高层次上详述根据本文中所公开的发明的布置的实施例 的可信云服务整合器的操作的方法的流程图。

图3是描述根据本文中所公开的发明的布置的实施例的可信云服 务整合器创建并且管理用户/服务隶属数据和联合信任库的方法的流 程图。

图4是概括根据本文中所公开的发明的布置的实施例的可信云服 务整合器整合云服务数据和行为的方法的流程图。

具体实施方式

本发明公开了一种用于整合云服务数据和行为以供请求实体统一 消费的解决方案。可信云服务整合器可以创建并且维护联合信任库以 及请求实体的用户/服务隶属数据，该联合信任库包含请求实体所使用 的各种云服务的服务间信任信息。当接收到服务请求时(即，在运行 时)，可信云服务整合器可以确定该服务请求的信任因子、以及请求 实体所消费的可能具有可应用于该服务请求的内容的其他云服务的信 任因子。然后可以将来自其信任因子满足服务请求的信任因子的云服 务的数据和行为整合到统一数据结构中，并且将这些数据和行为传送 给请求实体。

所属技术领域的技术人员知道，本发明的各个方面可以实现为系 统、方法或计算机程序产品。因此，本发明的各个方面可以具体实现 为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括 固件、驻留软件、微代码等)，或硬件和软件方面结合的实施方式， 这里可以统称为“电路”、“模块”或“系统”。此外，在一些实施 例中，本发明的各个方面还可以实现为在一个或多个计算机可读介质 中的计算机程序产品的形式，该计算机可读介质中包含计算机可读的 程序代码。

可以采用一个或多个计算机可读介质的任意组合。计算机可读介 质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读 存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、 或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存 储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线 的电连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读 存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、 便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或 者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是 任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置 或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传 播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据 信号可以采用多种形式，包括——但不限于——电磁信号、光信号或 上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读 存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、 传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合 使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输， 包括——但不限于——无线、有线、光缆、RF等等，或者上述的任 意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发 明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设 计语言—诸如Java、Smalltalk、C++等，还包括常规的过程式程序设 计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全 地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立 的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者 完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远 程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网 (WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利 用因特网服务提供商来通过因特网连接)。

下面将参照根据本发明实施例的方法、装置(系统)和计算机程 序产品的流程图和/或框图描述本发明。应当理解，流程图和/或框图 的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机程 序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算 机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得 这些计算机程序指令在通过计算机或其它可编程数据处理装置的处理 器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的 功能/动作的装置。

也可以把这些计算机程序指令存储在计算机可读介质中，这些指 令使得计算机、其它可编程数据处理装置、或其他设备以特定方式工 作，从而，存储在计算机可读介质中的指令就产生出包括实现流程图 和/或框图中的一个或多个方框中规定的功能/动作的指令的制造品 (article of manufacture)。

还可以将这些计算机程序指令加载到计算机、其他可编程数据处 理设备或其他装置上，以使一系列操作步骤在该计算机、其他可编程 设备或其他装置上执行以生成计算机实现过程，以使得在该计算机或 其他可编程设备上执行的指令提供用于实现流程图和/或一个框图块 或多个框图块中所指定的功能/动作的处理。

图1是例示根据本文中所公开的发明的布置的实施例的系统100 的示意图，系统100提供来自多个可信云服务110的整合的数据和行 为177以供统一消费。在系统100中，请求实体115可以接收响应于 发出的服务请求130的服务响应175，其包含整合的可信服务数据和 行为177。

请求实体115可以表示产生服务请求130的人、软件应用程序或 计算系统。请求实体115可以利用客户端装置120来发出服务请求 130。客户端装置120可以是能够通过网络180与可信云服务整合器 140和托管云服务110的云计算环境105进行通信的计算装置。客户 端装置120提供的特定功能性可以取决于请求实体115。

如系统100中所示的，请求实体115可以是人，客户端装置120 可以是台式计算机。在该实施例中，请求实体115可以在用户界面125 中执行导致产生对于云服务110的服务请求130的动作。

在请求实体115是软件应用程序或过程的实施例中，服务请求130 可以自动地由请求实体115产生，而无需用户界面125。

服务请求130可以是恳求执行云服务110提供的服务的电子消息。 除了典型的请求实体115信息(例如，标识符、支付细节)之外，服 务请求130还可以包括上下文数据132。

上下文数据132可以表示请求实体115和/或客户端装置120的环 境参数和/或操作参数。上下文数据132的例子可以包括，但不限于， 客户端装置120类型、客户端装置120操作系统、地理位置、客户端 装置120操作模式、正使用的网络180等。

因为云计算环境105和云服务110的功能性在本领域中是众所周 知的，所以本文中将仅讨论这些元件的与本公开相关的特定细节。云 计算环境105可以表示支持一个或多个云服务110的操作所需的硬件 组件和/或软件组件。

应注意，尽管在系统100中示出了单个云计算环境105，但是云 计算环境105可以由能够通过网络180进行通信的多个云计算环境 105组成。此外，云计算环境105可以是不同类型(例如，私有的、 公共的、混合的等)，并且可以假定适当的认证信息可供在不同类型 和/或安全级别的云计算环境105上通信的云服务110访问。

云服务110可以是执行和/或提供特定功能性所需的硬件元件和/ 或软件元件。云服务110可以将各种功能性提供给请求实体115(例 如，将软件作为服务提供给请求实体115，将基础设施作为服务提供 给请求实体115，将平台作为服务提供给请求实体115)。

此外，云计算环境105可以托管提供各种功能性的多个云服务 110。本公开的实施例可以集中于请求实体115利用多个类似的云服务 110的情况。

例如，请求实体115可以属于三个单独的博客站点，并且想要查 看包含词语“椰子”的博客条目。常规方法可能需要请求实体115独 立地访问用于每个博客站点的云服务110，从而导致三个单独的服务 请求130和三组搜索结果。

通过使用系统100，请求实体115可以发出单个服务请求130，并 且可信云服务整合器140可以提供包括仅来自可信云服务110的搜索 结果以及行为的单个结果集。可信云服务整合器140可以是被配置为 对于所接收的服务请求130产生整合的可信服务数据和行为177的软 件应用程序。

如系统100中所示，可信云服务整合器140可以从具有数据储存 器165的适当配置的服务器135开始操作，数据储存器165包含用户/ 服务隶属数据167和联合信任库170。可信云服务整合器140的具体 架构和/或配置可以基于实现而变化。

在一个实施例中，可信云服务整合器140可以被实现为从Web 服务器开始操作的Web服务、或者在云计算环境105下在云服务器 135上操作的云服务110。在这种类型的实施例中，请求实体115可以 直接与可信云服务整合器140进行交互；服务请求130可以被寻址到 可信云服务整合器140。

该实施例可以类似于元搜索引擎——给定一服务请求的然后编译 来自其他云服务的结果的单一服务。

在另一实施例中，如系统100中所示，可信云服务整合器140可 以是独立的组件。

在又一实施例中，可信云服务整合器140可以是合并到现有的云 服务110中的组件(即，插件)。在这样的实施例中，每当云服务110 接收到服务请求130时，就可以调用可信云服务整合器140。

可信云服务整合器140可以包括数据管理器145组件和信任因子 计算器150。数据管理器145可以表示在编译并且维护用户/服务隶属 数据167和联合信任库170时所利用的可信云服务整合器140的功能， 用户/服务隶属数据167和联合信任库170用作可信云服务整合器140 操作的基础。

用户/服务隶属数据167可以记录请求实体115订购了哪些云服务 110(即，请求实体115是哪些云服务110的成员)。联合信任库170 可以是云服务110提供的服务间信任关系信息的知识库。

应强调，当使用联合信任库170中所包含的服务间信任信息时， 捕捉两个云服务110之间的关系的方向性可能是关键的。也就是说， 云服务A 110到云服务B 110之间的信任水平可能不同于云服务B 110 到云服务A 110之间的信任水平。

信任因子计算器150可以是可信云服务整合器140的被设计为量 化关于请求实体115的两个云服务110之间的信任的组件。可信因子 计算器150可以被配置为确定请求实体115的服务请求130的信任因 子152、以及对于其数据和行为正被整合的所请求的云服务110和次 要云服务110之间的关系的信任因子152。信任因子152可以是表示 一个云服务110在来自另一云服务110的数据中所具有的置信水平的 量化。

当接收到服务请求130时，信任因子计算器150可以访问与服务 请求130相关的变量，诸如上下文数据132。在替代实施例中，服务 请求的信任因子152可以由请求实体115定义。

然后，信任因子计算器150可以使用联合信任库170中所包含的 信息来确定用户/服务隶属数据167中所列出的、所请求的云服务110 与请求实体115消费的其他云服务110之间的关系的信任因子152。

例如，云服务A 110与云服务B、C和D 110之间的信任因子152 可以分别为1、3、2和1。如果信任因子计算器150对于所传入的对 云服务A 110的服务请求130所计算的信任因子152为1，则可信云 服务整合器140创建的整合的可信服务数据和行为177将包括来自云 服务A、B和D 110的数据和行为。

在另一实施例中，信任因子计算器150对于信任因子152的计算 可以受到可由请求实体115配置的附加参数影响。例如，请求实体115 可以将重要性(即，权重值)分配给信任因子计算器150使用的变量。

整合的可信服务数据和行为177可以表示来自下述这样的云服务 110的数据和行为(即，功能或动作)：可信云服务整合器140已确 定这些云服务110对于请求实体115是值得信任的，并且这些云服务 110可适用于服务请求130。整合的可信服务数据和行为177可以封装 在服务响应175中，并且通过网络180传送给请求实体115。

因此，请求实体115可以查看统一格式的整合的可信服务数据和 行为177。此外，请求实体115可以对相应的数据执行与源云服务110 相关联的行为，这是目前在常规的云服务110聚集方法中不能得到的 功能性。

重要的是注意，服务请求130的信任因子152的确定以及整合的 可信服务数据和行为177的产生可以在运行时间发生。也就是说，这 些动作可以由可信云服务整合器140动态地响应于所接收的服务请求 130来执行。

此外，与用户/服务隶属数据167和/或联合信任库170的创建和 维护相关的动作可以由可信云服务整合器140“按需”执行。这些数 据集合167和170的创建可以在激活可信云服务整合器140之前发生， 然后随着对请求实体115池及其订购的云服务110的改变发生而更新。

网络180可以包括传送在载波内编码的数据所必需的任何硬件/ 软件/和固件。数据可以包含在模拟或数字信号内，并且通过数据信道 或语音信道传送。网络180可以包括在计算装置组件之间以及集成装 置组件与外设装置之间交换通信信息所必需的本地组件和数据路径。 网络180还可以包括网络设备，诸如一起形成数据网络(诸如互联网) 的路由器、数据线、集线器和中间服务器。网络180还可以包括基于 电路的通信组件和移动通信组件，诸如电话交换机、调制解调器、蜂 窝通信塔等。网络180可以包括基于线的通信路径和/或无线通信路径。

如本文中所使用的，所呈现的数据储存器165可以是被配置为存 储数字信息的物理或虚拟存储空间。数据储存器165可以在任何类型 的硬件内物理地实现，所述硬件包括，但不限于，磁盘、光学盘、半 导体存储器、数字编码的塑料存储器、全息存储器或任何其他记录介 质。数据储存器165可以是独立的存储单元、以及由多个物理装置形 成的存储单元。另外，信息可以以各种方式存储在数据储存器165内。 例如，信息可以存储在数据库结构内，或者可以存储在文件存储系统 的一个或多个文件内，其中，为了信息搜索的目的，可以对每个文件 编排索引或者可以不对每个文件编排索引。此外，数据储存器165可 以利用一个或多个加密机制来保护所存储的信息不被未授权地访问。

图2是在高层次上详述根据本文中所公开的发明的布置的实施例 的可信云服务整合器的操作的方法200的流程图。方法200可以在系 统100的上下文内执行。

方法200可以在步骤205中开始，在步骤205中，可信云服务整 合器可以创建并且维护用户/服务隶属数据和联合信任库。步骤205的 执行可以以与可信云服务整合器的特定实现相称的各种方式(诸如通 过注册处理)来实现。

在步骤210中，可以从请求实体接收云服务请求。然后，在步骤 215中，可以整合来自所请求的云服务和请求实体还消费的可信次要 云服务的数据和行为。在步骤220中，可以将包含整合的可信服务数 据和行为的服务响应传送给请求实体。

图3是描述根据本文中所公开的发明的布置的实施例的可信云服 务整合器创建并且管理用户/服务隶属数据和联合信任库的方法300的 流程图。方法300可以在系统100的上下文内执行，和/或作为方法200 的步骤205的实施例执行。

方法300可以在步骤305中开始，在步骤305中，可信云服务整 合器可以开始操作。为了例示的目的，可以假定可信云服务整合器是 第一次被激活(即，需要创建用户/服务隶属数据和联合信任库)。

在步骤310中，可以获得用于对于每个请求实体填充用户/服务隶 属数据的值。对于其执行步骤310的请求实体可以基于实现而变化。

例如，可以要求请求实体在对于可信云服务整合器的注册处理期 间提交用户/服务隶属数据的信息。可替代地，在可信云服务整合器是 特定云服务的组件的实施例中，可信云服务整合器可以利用云服务的 成员列表和请求信息来填充来自请求实体、公共用户注册表和/或其他 云服务的用户/服务隶属数据。

在步骤315中，如果必要，可以从请求实体消费的云服务请求服 务间信任信息。在步骤320中，可以将所接收的服务间信任信息存储 在联合信任库中。

在步骤325中，可以确定请求实体是加入了新的云服务、还是停 止使用现有的云服务。当请求实体已停止使用云服务时，在步骤330 中，可以从用户/服务隶属数据移除对于停止使用的云服务的条目。可 替代地，步骤330可以被配置为将该条目标记为停止使用或无效。

重要的是注意，当请求实体停止使用云服务时，联合信任库不受 影响，因为该相同的云服务仍然可以被其他请求实体使用。

当请求实体加入新的云服务时，步骤335可以执行，在步骤335 中，将该新的云服务添加到对于该请求实体的用户/服务隶属数据。在 步骤340中可以确定，联合信任库是否已经将该新的云服务与请求实 体已经订购了的云服务之间的关系考虑在内。

当联合信任库已经包含覆盖新的云服务与现有的云服务之间的关 系的条目时，步骤345可以执行，在步骤345中，可信云服务整合器 可以不采取进一步的动作。当一个或多个关系还没包含在联合信任库 中时，在步骤350中，可以对于新的云服务的关系请求服务间信任关 系。在步骤355中，可以用所接收的服务间信任信息来更新联合信任 库。

图4是概括根据本文中所公开的发明的布置的实施例的可信云服 务整合器整合云服务数据和行为的方法400的流程图。方法400可以 在系统100的上下文内执行，和/或作为方法200的步骤215的特定实 施例执行。

方法400可以在步骤405中开始，在步骤405中，可信云服务整 合器可以接收来自请求实体的服务请求。在步骤410中，可以确定服 务请求的信任因子。步骤410可以利用关于请求实体和/或服务请求的 上下文数据。

在步骤415中，可以在用户/服务隶属数据中识别请求实体还消费 的次要云服务。然后，在步骤420中，可以在联合信任库中查询所请 求的云服务到所识别的次要云服务的关系。

在步骤425中，可以从请求实体的用户/服务隶属数据计算对于每 个查询结果的信任因子。在步骤430中，可以将查询结果的信任因子 与服务请求的信任因子进行比较。在步骤435中，可以确定至少一个 次要云服务是否满足服务请求信任因子。

当至少一个次要云服务满足服务请求的信任因子时，步骤440可 以执行，在步骤440中，可以对于服务请求整合来自所请求的云服务 和可信云服务的数据和行为。在步骤445中，可以将整合的数据和行 为传送给请求实体。

当没有一个次要云服务满足服务请求的信任因子时，步骤450可 以执行，在步骤450中，可以获得仅来自所请求的云服务的数据和行 为。然后，在步骤455中，可以将所请求的云服务的数据和行为传送 给请求实体。

附图中的流程图和框图显示了根据本发明的多个实施例的系统、 方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点 上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的 一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现 规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现 中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。 例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以 按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/ 或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以 用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以 用专用硬件与计算机指令的组合来实现。