發布/訂閱網絡中事件的安全分發制造技術

這里描述了在發布/訂閱網絡中安全分發事件的系統和方法的各種實施例。通過在發布者、可信方以及一個或多個訂閱者之間執行的授權協議授權一個或多個訂閱者從發布者接收事件。由發布者將特定于與事件相關聯的產品的安全令牌提供給被授權的一個或多個訂閱者。而且，使用可信方的公開密鑰、發布者的安全密鑰和發布者的秘密密鑰對事件進行加密。由發布者在發布/訂閱網絡中分發加密的事件。而且，由被授權的一個或多個訂閱者接收加密的事件。由被授權的一個或多個訂閱者使用安全令牌和授權密鑰對加密的事件進行解密。

【技術實現步驟摘要】
發布/訂閱網絡中事件的安全分發
實施例一般涉及計算機系統，更具體地涉及在發布/訂閱(publish/subscribe)網絡中安全分發(disseminate)事件的方法和系統。
技術介紹
通常，發布/訂閱網絡被各組織廣泛用于基于事件的應用，諸如供應鏈管理。在供應鏈管理中，組織使用諸如射頻識別(RFID)標簽(tag)的標簽來追蹤產品，以便使用發布/訂閱網絡來增加整個供應鏈的可視性并改善其性能。在使用發布/訂閱網絡的供應鏈應用中分發的事件不僅泄露了啟動供應鏈應用所必需的信息，而且泄露了與組織的操作有關的附加信息。例如，它們可能泄露戰略供應商關系、計劃的促銷、最佳實踐等等。因此，在發布/訂閱網絡中分發事件的方法提升了對安全性的關注，因為組織認為供應鏈操作的事件是敏感的。因此，嚴格的訪問控制策略是必要的，因為事件是在沒有訪問控制策略實施點而且訂閱者(subscriber)可能是未知的發布/訂閱網絡中分發的。在現有方法中，在針對具體產品啟動訪問事件的加密方案中，密碼(password)或對稱密鑰(symmetrickey)被存儲在每個RFID標簽中。接收到RFID標簽的每一方能夠存儲密碼，然后能夠訪問事件。然而，密碼需要被保護。因此，密碼需要在RFID標簽上進行加密并安全地存儲，以便防盜。此外，密碼是不可追蹤的，即，如果它被泄露，也不能確定哪一方泄露了密碼。因此，大多數發布者(publisher)可能不會傾向于保護密碼或者甚至可能故意將其透露給外人。因此，期望提供在發布/訂閱網絡中使事件能夠安全分發的方法。
技術實現思路
這里描述了在發布/訂閱網絡中安全分發事件的系統和方法的各種實施例。在一個方面中，通過在發布者、可信方以及一個或多個訂閱者之間執行的授權協議授權一個或多個訂閱者從發布者接收事件。由發布者將特定于與事件相關聯的產品的安全令牌提供給被授權的一個或多個訂閱者。而且，使用可信方的公開密鑰、發布者的安全密鑰和發布者的秘密密鑰對事件進行加密。由發布者在發布/訂閱網絡中分發加密的事件。在另一個方面，由被授權的一個或多個訂閱者接收加密的事件。而且，由被授權的一個或多個訂閱者使用安全令牌和授權密鑰對加密的事件進行解密。當考慮以下結合附圖提供的對本專利技術的優選實施例的詳細描述時，本專利技術的實施例的這些和其他益處和特征將顯而易見。附圖說明權利要求以特征闡明本專利技術的實施例。本專利技術通過舉例方式示出，并且不限于附圖中的圖形，在附圖中相同參考標記指示相似的元素。根據以下結合附圖的詳細描述，可以最好地理解本專利技術的實施例連同它的優點。圖1是示出根據實施例的發布/訂閱網絡的框圖；圖2是示出根據實施例的在發布/訂閱網絡中安全分發事件的方法的流程圖；圖3是示出根據實施例的在發布/訂閱網絡中分發事件的示范性數據流的序列圖；圖4A和圖4B是示出根據實施例的在分發事件中所使用的步驟和協議的表格；圖5是示出根據實施例的在仿真環境中分發事件的框圖；以及圖6是示出根據實施例的在其中描述了在發布/訂閱網絡中分發事件的技術的計算環境的框圖。具體實施方式這里描述了在發布/訂閱網絡中分發事件的技術的實施例。發布/訂閱網絡使用異步通信范例(paradigm)，其中發送者（被稱為發布者）以及接收者或接受者（被稱為訂閱者）可通信地耦接。發布者生成的要發布的消息被稱為事件。發布者和訂閱者可以代表組織或企業。此外，發布者和訂閱者可以是組織內的處理對象(processingobject)。處理對象可以是桌面計算機、工作站、膝上型計算機、手持式計算機、智能電話、控制臺設備或類似的便攜式計算系統。發布者、訂閱者和可信方(trustedparty)被視為發布/訂閱網絡的參與者。根據一個實施例，通過在發布/訂閱網絡中的發布者、可信方以及訂閱者之間執行的授權協議，訂閱者被授權從發布者接收事件。此外，由發布者將特定于與事件相關聯的產品的安全令牌提供給被授權的訂閱者。而且，使用可信方的公開密鑰(publickey)、發布者的安全密鑰(securitykey)以及發布者的秘密密鑰（secretkey）對事件進行加密，并且由發布者在發布/訂閱網絡中分發加密的事件。在實施例中，被授權的訂閱者使用安全令牌和授權密鑰對加密的事件進行解密。由此，由發布者在發布/訂閱網絡中安全地分發事件，從而確保具有安全令牌的被授權的訂閱者能夠對分發的事件進行解密。此外，可信方追蹤分發事件的接收，從而確保與發布/訂閱網絡中的事件相關聯的產品的可追溯性。因此，實現了事件的安全分發，所述事件只能被一組選定的擁有產品的被授權訂閱者解碼。在以下描述中，闡明了許多具體細節以提供對本專利技術的實施例的徹底理解。然而，相關領域的技術人員將意識到，本專利技術可以在沒有一個或多個具體細節的情況下實施，或者利用其它方法、組件、材料等來實施。在其他實例中，為了避免模糊本專利技術的方面，公知的結構、材料或操作未示出或未詳細描述。貫穿本說明書，對“一個實施例”、“這個實施例”或類似短語的引用意指結合該實施例描述的特定特征、結構或特點包括在本專利技術的至少一個實施例中。因此，貫穿本說明書的不同位置出現的這些短語不一定都是指相同的實施例。此外，特定特征、結構、或特點可以在一個或多個實施例中以任何適當的方式進行組合。圖1是示出根據實施例的發布/訂閱網絡的框圖100。發布/訂閱網絡包括多個發布者（例如，發布者110A和發布者110B）和多個訂閱者（例如，訂閱者130A、訂閱者130B和訂閱者130C）。在一個實施例中，可信方120通過注冊協議(registerprotocol)可通信地耦接到發布者（例如，發布者110A和發布者110B）和訂閱者（例如，訂閱者130A、訂閱者130B和訂閱者130C）。換句話說，發布者和訂閱者向可信方120注冊?？尚欧?20與發布者之間的線以及可信方120與訂閱者之間的線指示直接通信。發布者與訂閱者之間的虛線指示在通信之間可以存在多個其他參與者。在一個實施例中，發布者通過可信方使用“授權”協議來對發布者所期望的訂閱者進行授權。例如，如果發布者110A期望只向訂閱者130A和130B發送事件，那么發布者110A使用可信方120對訂閱者130A和訂閱者130B進行授權。在操作中，當發布者110A分發事件時，訂閱者130A和訂閱者130B能夠解密事件。然而，即使訂閱者130C接收到事件（因為訂閱者130C也存在于發布/訂閱網絡中），訂閱者130C也可能無法解密事件。在一個實施例中，在發布/訂閱網絡中分發事件之前，使用基于主體屬性(subjectattribute)和客體屬性(objectattribute)的加密對事件進行加密（如在圖2和圖3中更加詳細地描述的）。而且，秘密令牌(secrettoken)是由特定于與事件相關聯的產品的發布者生成的，并且被提供給被授權的訂閱者。在一個示范性實施例中，產品是供應鏈中的發布/訂閱網絡的各方之間流通(circulate)的物件(item)。在一個示范性實施例中，秘密令牌可以包括在供應鏈管理的產品上的標簽（例如，RFID（射頻識別）標簽）中。在另一個示范性實施例中，秘密令牌可以作為附隨的電子消息提供給被授權的訂閱者。在又一個示范性實施例中，秘密令牌可以存儲在只有被授權的訂閱者可以訪問的本文檔來自技高網...

【技術保護點】
一種包括以物理方式存儲指令的有形計算機可讀存儲介質的制造物品，當該指令由計算機運行時使得計算機以下操作：通過在發布者、可信方以及一個或多個訂閱者之間執行的授權協議授權一個或多個訂閱者從發布者接收事件；由發布者將特定于與事件相關聯的產品的安全令牌提供給被授權的一個或多個訂閱者；使用可信方的公開密鑰、發布者的安全密鑰和發布者的秘密密鑰對事件進行加密；以及由發布者在發布/訂閱網絡中分發加密的事件。

【技術特征摘要】
2011.07.08 US 13/178,6141.一種包括以物理方式存儲指令的有形計算機可讀存儲介質的制造物品，當該指令由計算機運行時使得計算機執行以下操作：通過在發布者、可信方以及一個或多個訂閱者之間執行的授權協議授權一個或多個訂閱者從發布者接收事件；由發布者將特定于與事件相關聯的產品的安全令牌提供給被授權的一個或多個訂閱者，其中，安全令牌是使用發布者的特定于該產品的安全密鑰和特定于所述授權的一個或多個訂閱者的轉發密鑰生成的；使用可信方的公開密鑰、發布者的安全密鑰和發布者的與可信方相對應的秘密密鑰對事件進行加密；以及由發布者在發布/訂閱網絡中分發加密的事件。2.如權利要求1所述的制造物品，其中，發布者和一個或多個訂閱者通過注冊協議使用可信方的公開密鑰向可信方注冊。3.如權利要求1所述的制造物品，其中，轉發密鑰是由發布者通過在發布者與可信方之間執行的追蹤協議、取決于被授權的一個或多個訂閱者來生成的。4.如權利要求1所述的制造物品，其中，安全令牌通過在產品上包括RFID(射頻識別)標簽、附隨電子消息以及存儲在只有被授權的訂閱者能夠訪問的安全位置中的至少一個來提供給被授權的訂閱者。5.如權利要求1所述的制造物品，其中，公開密鑰是由特定于發布/訂閱網絡的可信方在執行設置時發布的。6.如權利要求1所述的制造物品，其中，安全密鑰特定于由發布者分配的事件。7.如權利要求1所述的制造物品，其中，秘密密鑰是由發布者通過在發布者與可信方之間執行的注冊協議生成的。8.如權利要求1所述的制造物品，還包括指令，當該指令由計算機運行時使得計算機執行以下操作：由被授權的一個或多個訂閱者接收加密的事件；以及由被授權的一個或多個訂閱者使用安全令牌和授權密鑰對加密的事件進行解密。9.如權利要求8所述的制造物品，其中，授權密鑰是在被授權的一個或多個訂閱者處通過授權協議生成的。10.一種在發布/訂閱網絡中安全分發事件的計算機實現的方法，該方法包括：通過在發布/訂閱網絡中的發布者、可信方以及一個或多個訂閱者之間執行的授權協議授權一個或多個訂閱者從發布者接收事件；由發布者將特定于與事件相關聯的產品的安全令牌提供給被授權的一個或多個訂閱者，其中，安全令牌是使用發布者的特定于該產品的安全密鑰和特定于所述授權的一個或多個訂閱者的轉發密鑰生成的；使用可信方的公開密鑰、發布者的安全密鑰和發布者的與可信方相對應的秘密密鑰對事件進行加密；以及由發布者在發布/訂閱網絡中分發加密的...

【專利技術屬性】
技術研發人員：F科施鮑姆，
申請(專利權)人：SAP股份公司，
類型：發明
國別省市：