ネットワークリソース管理装置
【課題】本発明は、複数の組織の異機種環境にあるネットワークリソースの装置及び/又はサービスの仮想化された集中管理のための装置及び方法を提供する。
【解決手段】本発明は、複数の組織の異機種ネットワークリソースを管理するための装置であって、装置は、各々の組織のネットワーク内における複数の異なる種類の装置に代わって、機能を実行するように構成された、複数の装置独立型機能モジュールと、対応する種類の装置の動作を管理するよう、異なる種類の装置毎に構成された、特定機能モジュールと、特定機能モジュールに代わって、複数の装置独立型機能モジュールを呼び出すように構成された、共通管理モジュールと、を含み、各々の組織に対して、特定機能モジュールの個々のインスタンスが作成される、ネットワークリソース管理装置を提供する。
【解決手段】本発明は、複数の組織の異機種ネットワークリソースを管理するための装置であって、装置は、各々の組織のネットワーク内における複数の異なる種類の装置に代わって、機能を実行するように構成された、複数の装置独立型機能モジュールと、対応する種類の装置の動作を管理するよう、異なる種類の装置毎に構成された、特定機能モジュールと、特定機能モジュールに代わって、複数の装置独立型機能モジュールを呼び出すように構成された、共通管理モジュールと、を含み、各々の組織に対して、特定機能モジュールの個々のインスタンスが作成される、ネットワークリソース管理装置を提供する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータシステムの分野に係る。より詳細には、本発明は、ネットワーク装置及び/又はサービスの仮想化、及び集中(centralized)のための装置及び方法を提供する。
【背景技術】
【0002】
コンピュータシステムネットワークを効果的に構成し動作させるために必要な知識のレベルは高い。一般に、大きな組織は、装置を構成し、管理し、これらの装置の動作によってユーザを援助し、セキュリティ方針を適用し、ネットワークの安全性を監視するために、比較的多くのITスタッフを有している。しかしながら、小さい組織では、これらの機能を全ての実行するために熟練したITスタッフを雇う余裕がない。このような組織におけるITスタッフは、誰でも、数知れない問題と難しさに辟易する。
【0003】
リソースの構成は、複数の異なる種類の装置を用いる組織にとって非常に難しい。特に、費用に制約のある組織は、あまり費用の掛からない装置を購入するため、装置が、様々な部品の寄せ集めとなる可能性がある。結果的に、組織は、アクセスポイント、スイッチ又は様々な製造会社によって製造される他の通信コンポーネントを複数、使用することになる。
【0004】
異機種装置は、各々、様々に構成可能なパラメータ、又は様々な方法で構成されるパラメータを有している。いくつかのパラメータ及び構成の方法は、異機種であってもアクセスは同じである装置の場合もあるが、他は異なる。ネットワークコンポーネントに十分精通していない場合、個人レベルでコンポーネントを構成することは膨大な時間を要する。
【0005】
更に、組織のネットワークが進化するにつれて、いくつかのパラメータは、変更又は更新されなければならない。ITスタッフの数が限られている組織にとって、組織内で展開できる無数のネットワークリソースを取り扱うことには、困難である。
【0006】
組織のネットワーク化された装置及びサービスを管理するための既存の方法は、単一の装置又は単一のサービスだけを対象としている。小規模な組織が複数の種類の装置及び/又は複数のネットワークサービスを管理するためのニーズに対する第三者の助けはない。
【0007】
組織のネットワークにおいて安全且つ効果的に動作するようにコンポーネントを構成することは、難しく時間を必要とする。さらに、コンポーネントがネットワーク及び組織のセキュリティポリシーに、組み込まれている場合においても、コンポーネントは、ネットワークをうまく機能させるために、継続的に、管理される必要がある。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明は、複数の組織の異機種環境にあるネットワークリソースの装置及び/又はサービスの仮想化された集中管理のための装置及び方法を提供する。
【課題を解決するための手段】
【0009】
本発明の実施の形態において、組織のネットワーク装置及びサービスの統合された管理を提供する装置及び方法が提供されており、構成、展開、演算(動作)、及び/又は、必要に応じて、他の作業を代行する。一つ以上の複数の組織のリソースは、一つの集合体(エンティティ)として、管理される。
【0010】
これらの実施の形態において、統合されたサービス及び装置の管理システムは、物理的装置及び/又は特定の電子サービスの構成、展開、及び動作を管理するために提供される。複数の種類の装置及び/又はサービスだけでなく、特定の装置の種類の複数のモデル又はバージョンが管理される。
【0011】
本発明の実施の形態において、段階的な経営又は管理用のドメインは、一つの組織の様々な場所や部内又は様々な組織内の装置及び/又はサービスの管理を容易にするように、構成されている。これらのドメインを用いることによって、装置及び/又はサービスの管理責任が、様々なオペレータ又は管理者に委託される。
【0012】
本発明の第1の態様は、複数の組織の異機種ネットワークリソースを管理するための装置であって、装置は、各々の組織のネットワーク内における複数の異なる種類の装置に代わって、機能を実行するように構成された、複数の装置独立型機能モジュールと、対応する種類の装置の動作を管理するよう、異なる種類の装置毎に構成された、特定機能モジュールと、特定機能モジュールに代わって、複数の装置独立型機能モジュールを呼び出すように構成された、共通管理モジュールと、を含み、各々の組織に対して、特定機能モジュールの個々のインスタンスが作成される。
【0013】
本発明の別の態様は、第1の態様のネットワークリソース管理装置であって、複数の異なる種類の装置と通信接続を構築するように構成された、一つ以上の通信モジュールと、を更に含む。
【0014】
本発明の別の態様は、第1の態様のネットワークリソース管理装置であって、複数の装置独立型機能モジュールは、複数の異なる種類の装置に対して、演算ポリシーを提供するように構成された、ポリシーモジュールと、複数の異なる種類の装置によって報告された事象をログするように構成された、ロギングモジュールと、第1の組織に関連するアカントの管理を容易にするように構成された、アカウントモジュールと、を含む。
【0015】
本発明の別の態様は、第1の態様のネットワークリソース管理装置であって、組織のネットワークの管理者から、複数の異なる種類の装置に対する構成パラメータを受信するように構成された、ユーザインタフェースと、を更に含む。
【図面の簡単な説明】
【0016】
【図1】本発明の実施の形態に係る一つ以上の組織のネットワークリソースを管理するための集中管理設備を示す図である。
【図2】本発明の実施の形態に係る組織のネットワークリソースを集中管理する方法の一例を示すフローチャートである。
【図3】本発明の実施の形態に係る組織のネットワークリソースへのアクセスを保護するためのハードウェア装置を示すブロック図である。
【図4】本発明の実施の形態に係る認証サーバを示すブロック図である。
【発明を実施するための形態】
【0017】
本発明の実施の形態では、組織のネットワークリソースを集中的且つ仮想的に管理するための装置及び方法が提供される。集中管理は、組織側において専用管理リソースを必要とせずに、「クラウド」において実行される。
【0018】
より詳細には、管理設備(facility)は、一つ以上の組織と、それらのリソースを管理するために、結ばれる。設備は、組織毎に、各々の組織のネットワークへのアクセスを確実にするために、分離した組織別のPKI(公開キーインフラストラクチャ)を管理する。
【0019】
設備は、アクセスポイント、スイッチ、ルータ、ネットワーク記憶装置等の無数の種類又は型のネットワーク装置との接続を受信し、構築される。設備は、様々な装置の集中的、且つ仮想的管理を促進する他に、組織のネットワーク内に提供されるサービスを管理するために用いられる。
【0020】
設備と特定の装置又はサービスとの間の通信は、多層フレームワークを通過する。受信した通信は、サービス又は通信を発信した装置の種類及び/又はモデルと協働するように用いられる特定管理層に分配される前に、正規化される。この特定管理層は、特定の機能(例えば、セキュリティポリシーの検索、事象のログ、アカウントパラメータへのアクセス)を達成するために、共通管理層を呼び出す(invoke)。
【0021】
このように、多層フレームワークは、共通セットの機能モジュールによって、複数のサービスと様々な種類及びモデルのネットワーク装置の管理を可能にする。組織がネットワークを発展させるにつれて、フレームワークは、コンポーネントの混ざり合いとは無関係に、ネットワークの効果的な管理を継続できる。
【0022】
図1は、本発明の実施の形態による、一つ以上の組織のネットワークリソースを管理するための集中設備を示す図である。
【0023】
図1の集中管理設備100は、通信モジュール110、共通管理層(CML)120、一つ以上の特定管理層(SML)サブシステム130、任意のユーザインタフェース140、及び、任意数の装置独立型機能モジュール150を含む。任意の数の組織が、集中管理設備によって提供される管理サービスに、加入できる。集中管理設備100の様々なモジュールは、ハードウェア及び/又はソフトウェア要素を含み、一つ以上の共同又はピア(peer)コンピュータサーバにおいて、動作できる。
【0024】
図1に示されていないが、集中管理設備100には、一つ以上の記憶装置(例えば、ディスク)が含まれており、これは、装置パラメータ、事象ログ、ポリシー、ディジタル証明書、及び本明細書中に記載されている任意の他のデータを記憶するために用いられる。
【0025】
集中管理設備100が集中的に管理できる装置は、例えば、無線アクセスポイント、ルータ、スイッチ、ネットワーク接続記憶装置、演算装置(例えば、ノート型パソコン、ワークステーション)等を含む。設備によって管理されるサービスは、無線(及び/又は有線の)ネットワークサービス、ウイルス及び/又は他のマルウェアの防止、ネットワークデータ記憶装置等を含む。
【0026】
組織から遠く離れた場所にある装置及びサービスリソースを集中管理することによって、個々の組織が、このような管理のために、その所有する装置を提供したり、時間を割いたりする必要がなくなる。組織のリソースの管理は、構成又は再構成、リソースの展開及び/又は動作、セキュリティポリシーのアプリケーション、PKI証明書の管理、ユーザアカウント管理、ユーザ/装置認証、文脈認識ロギング、装置/サービス目録等を容易にする働きをする。
【0027】
本発明の例示的な実施の形態において、組織のネットワーク内の個々のリソースは、一つ以上の通信モジュール110と通信することが可能である。通信モジュール110は、HTTP(ハイパーテキストトランスポートプロトコル)、HTTPS(ハイパーテキストトランスポートプロトコルセキュア)、SNMP(シンプルネットワークマネージメントプロトコル)、及び/又は、他の通信プロトコルを介して、接続を受信するように構成されてもよい。このように、異なる通信モジュール110は、同じ又は異なる種類の装置から、異なる種類の接続を受信してもよい。
【0028】
組織リソースからの通信は、標準の形式において、通信モジュール110から共通管理層(CML)120へ渡される。例えば、メッセージは、メッセージを受信した装置、例えば、特定の装置(例えば、製造者、モデル、及びバージョンを含む)を識別するように構成されたヘッダ部分と、一般的な種類の装置(例えば、ネットワークアタッチト記憶装置サーバ)、特定の種類の装置(例えば、リンシス(LinkSys)社製のリンシス無線アクセスポイント)、特定のネットワークサービス等を含むことができる。
【0029】
メッセージのペイロード部分は、リソースの要求又は入力を特定してもよい。例えば、装置又はサービスは、演算パラメータ、セキュリティポリシー、又は、他の情報を要求できる。
【0030】
共通管理層(CML)120は、組織のネットワークリソースからのメッセージを受信し、リソースへメッセージを送信し、装置独立型機能モジュール150と、特定管理層サブシステム130及びユーザインタフェース140の両方と、の間にインタフェースを提供し、及び/又は、他の任務を実行する。CML120は、管理属性及びシステム全体に適用されるサービスを定義し、SMLサブシステム130は、特定の装置及びネットワークサービスと協働する。
【0031】
CML120は、集中管理設備の組織のクライアントの各々に対しての個別のPKIの動作及び維持管理を容易にできる。「セキュリティ」又は「PKI」装置独立型機能モジュール150は、その役割において、CML120を援助するか、又は、その役割を実際に実行する。
【0032】
より詳しくは、集中管理設備100は、組織のクライアント毎に、組織に特化されたPKIを結びつけるルート認証権限(CA:Certificate Authority)を管理する。ルートCAは、組織のネットワーク内で動作するリソースに対して、証明書を発行する、及び/又は、一枚以上のサブルートCA証明書を発行でき、これによって、これらのリソース(例えば、アクセスポイント)のいくつかが、リソースに組織証明書を発行する。後者の方法を用いた場合、集中管理設備100が現在利用不可能な場合(例えば、組織のインターネットアクセスが中断された場合)でも、新しい装置を使えるように(provisioned)することができる。
【0033】
特定管理層(SML)サブシステム130は、特定のネットワーク装置、装置の種類、又はサービスに関連している。装置及びサービス管理のサブシステムは、特定の管理特性を提供するためのプラグインガイドラインのセットに接続する。登録プロセスは、管理サブシステムがフレームワークにプラグインされることを許可する。
【0034】
例えば、装置指向のSMLサブシステム130は、一つ以上の特定の種類の装置(例えば、アクセスポイント、ネットワークアタッチト記憶装置サーバ)、装置のモデル(例えば、リンクシス(LynkSys)アクセスポイント、ネットギア(Netgear)アクセスポイント)等に対して、実行することができる。従って、特定のSMLサブシステム130は、装置のパラメータを設定又は調整し、これらの装置によって検出された事象をログすることによって、対応するネットワーク装置と協働するように適合される、又は構成される。
【0035】
サービス指向のSMLサブシステム130に関しては、WLAN(無線ローカルエリアネットワーク)管理SMLサブシステムが、RF(無線周波数)適用可能範囲マップ、RF管理、帯域幅評価、無線送信電力調整、ゲストアクセスポリシー特性、管理されていない(rogue)アクセスポイントの検出等の管理特性を提供することができる。VPN(仮想的個人ネットワーク)SMLサブシステム130は、暗号化方法、アクセスポリシー等を提供することができる。しかしながら、これらのサービスSMLは、共に、同じ機能モジュール150を要求(call upon)する。
【0036】
新しいSMLサブシステム130は、CML120によって明かされた登録API(アプリケーションプログラミングインタフェース)を介して、CML120とともに、登録される。これによって、CML120が、特定のネットワークコンポーネントと対話するために、どのSMLサブシステム130と交信すべきかを知るところとなる。
【0037】
SMLサブシステム130がネットワーク装置(CML120を介して)からメッセージを受信する時、SMLサブシステム130は、どのような行動(又は、複数の行動)を取るべきかを判断し、適切な装置独立型機能モジュール150を呼び出すためにCML120の他の適切なAPIを要求する。このように、SMLサブシステム130は、その所望の行動を促すために、CML120に基本命令(primitives)を出すだけでよい。この結果、個々のSMLサブシステム130は、全てのフック及び入力ポイントを様々な機能モジュールに合うようにプログラムする必要がなくなる。CML120だけが、このような特性を必要とする。
【0038】
従って、CML120とSMLサブシステム130の違いは、CML120がフレームワークの全体にわたって適用可能な管理属性とパラメータとを定義するのに対して、SMLサブシステム130は、それらに関連する装置及び/又はサービスに特定される属性及びパラメータを定義することにある。
【0039】
例えば、CML120は、(例えば、ユーザインタフェース140を介して、)装置/サービス構成要求を受け取り、要求を構文解析(parses)し、それらを、対応するSMLサブシステム130へルーティングする。特定の装置又はネットワークサービスへパスされなければならない任意の属性又は構成パラメータは、装置又はサービスのSMLサブシステム130によって、CML120を介して、送信される。同様に、演算上の統計、事象及び/又は他の情報は、特定の装置/サービスによって、CML120を介して、SMLサブシステム130へ報告される。
【0040】
構成の記録は、バージョン化され、集中管理設備100(例えば、SMLサブシステム130及び/又は機能モジュール内で)に記憶され、そして、装置のファームウェアは、最新の又は特定バージョンに自動更新するか、又は、その前のバージョンへ戻すことができる。例えば、新しいファームウェアのバージョン又はパラメータのセットに致命的な欠陥がある場合、装置は、デフォルト(初期)(例えば、工場)設定へ戻すか、又は、パラメータの最新で既知の良好なパラメータのセットを適用することができる。
【0041】
任意のユーザインタフェース140は、クライアント組織の代表者(例えば、システムマネージャ、管理者)から対話型通信セッションを受信するために使用することができる。例えば、ユーザインタフェース140は、組織が設備のサービスに加入し、設備を登録し、ネットワークコンポーネントを購入することができるウェブページを含むことができる。
【0042】
本発明の実施の形態において、ユーザインタフェース140は、組織のためのアカウントを作成し、組織のネットワークリソースを登録し、セキュリティポリシーを構成又は記憶し、ログされた事象を再検討又は検索するために、CML120を介して、装置独立型機能モジュール150にアクセスする。他の実施の形態において、ユーザインタフェース140は、装置独立型機能モジュール150に、(例えば、共通管理層を呼び出さずに)、直接、アクセスすることができる。同様に、特定の装置又は装置の種類に応じて、行動を取るために、ユーザインタフェース140は、SMLサブシステム130と直接対話することができる(又は、CML120を介して、対話することができる)。
【0043】
本発明の実施の形態において、ユーザインタフェース140は、省略されてもよいし、又は、他のモジュール(例えば、共通管理層(CML)120)に組み込んでもよい。例えば、これらの実施の形態において、組織は、計算装置上で動作するアプリケーションプログラム、ネットワークリソースの構成ユーティリティ、又は、ウェブページや他の中心的な専用ユーザインタフェース以外の他のいくつかの通信経路を介して、集中管理設備100と対話することができる。例えば、CML120は、アカウント作成/管理、組織リソースの構成等のためのAPIを公開して、第三者が、これらのAPIを呼び出すためのソフトウェアを提供できるようにする。
【0044】
装置独立型機能モジュール150は、複数の装置、装置の種類及び/又は組織に共通した機能性を提供する。組織毎に、データの分離したセットは、組織のネットワーク、ユーザ、装置、及びサービスに関して、維持管理することができる。個別のPKI方式が組織毎に維持され、組織の各ユーザ/装置/サービスが、それ自体を設備に認証してもらう必要があるので、各組織のデータは、他の組織からアクセスされないように、保護される。
【0045】
ポリシーモジュール150aは、様々なセキュリティポリシー、ファイアウォールポリシー、及び/又は、組織がその装置及び/又はサービスの一部又は全てに適応される他の動作ポリシーを記憶するように、構成される。所与のポリシーは、特定のコンポーネントが動作可能又は動作不可能な時間や日にち、組織のアクセスポイントがどのように論理的に構成されるか、特定のサービスによって使用可能な装置はどれか、等を指定する。
【0046】
組織に対する他の例示的なポリシーとしては、特定のネットワーク装置が、紛失、盗難、又はセキュリティ侵害に遭ったと伝えられた後に、集中管理設備100に接続される場合、その装置へのアクセスを拒否することが挙げられる。更に、ポリシーは、装置がその構成データを指定し、削除するように命令し、データを使用できないようにする。装置は、ディジタル証明書、シリアルナンバー、MAC(媒体アクセス制御)アドレス、又は、他の識別子によって、識別されてもよい。
【0047】
さらに他のポリシーは、組織のネットワークの接続形態(topology)を設定するために適用されてもよい。例えば、組織が複数の無線アクセスポイントを使用する場合、そのうちの1つだけのポイントをインターネット(又は他の外部ネットワーク)に接続されてもよい。ポリシーは、どのアクセスポイントが他のどのアクセスポイントと交信できるかを指定してもよい。アクセスポイントの接続形態を構成するためのポリシーは、アクセスポイントの種類/モデル、これらの付加数(例えば、それらに接続するクライアント装置の数)、及び/又は他の要素に基づいて、選択されてもよい。
【0048】
ロギングモジュール150bは、組織のネットワークリソースによって報告された事象を文脈的に(contextually)ロギングするように、構成されている。このように、このモジュールは、ユーザのログイン/ログアウト回数、セキュリティ警告、ウイルス検出、装置/サービスの使用等を記録できる。ロギングモジュール150bは、装置/サービスログ、文脈的ハイパーテキスト及び/又は他の特性のテキストベース検索を提供できる。例えば、ログ時に報告されたMACアドレス又は他の識別子(例えば、シリアルナンバー、IPアドレス)は、クリックすることができ、ロギングされた事象の更なる情報を示す管理ページ、修正又は改良的な行動を取るためのページ等を開くことができる。
【0049】
このように、管理されていないアクセスポイントログに報告された装置のMACアドレスは、集中管理フレームワーク内の管理可能なアクセスポイント管理ページへ案内されるように選択されてもよく、ゲストログオン事象ログに報告されたMACアドレスは、ゲストアクセス管理ページへ案内されるように用いられてもよい。
【0050】
アカウントモジュール150cは、「組織」及び「ユーザ」のアカウントを管理するように構成される。このように、組織毎に、一つ以上のログインアカウントが割り当てられ、一つの組織のユーザ及びリソースが、集中管理設備100にアクセス可能となる。
【0051】
セキュリティモジュール150mは、組織のネットワーク保護を補助するために構成されている。例えば、セキュリティモジュール150mは、組織のPKIを管理し、ユーザ/装置を認証し、PKI内でディジタル証明書を発行する等の役割を果たす。
【0052】
新しい機能モジュール150を追加するために、CML120だけは、入力ポイント、モジュールを呼び出すAPI又は他の方法をプログラムされる必要がある。次に、CML120は、モジュールのAPIを発行するか、そうでなければ、SMLサブシステム130がモジュールの機能性を使用できるようにする。
【0053】
フレームワークは、複数の組織のネットワークを管理するために用いられ、各組織は、その装置に、装置識別(Dev_ID)、及び/又は、組織の装置(Grp_ID)のセットを識別するグループ識別を登録する。例えば、特定のGrp_IDが一組の装置が購入された購入順序を含むことができるように、登録プロセスを、ネットワークリソースを順序付けるシステムに、組み合わせることができる。
【0054】
購入された装置が組織のネットワークに接続された時、購入された装置は、集中管理設備100と安全な接続を構築し、そのDev_IDを提示する。フレームワーク(例えば、装置のためのSMLサブシステム130)は、装置を認証し、それを組織に連結し、構成データを装置にダウンロードする。いくつかの実施の形態において、組織に引き渡された装置は、セキュリティ認証情報によって、プレロードされる。
【0055】
他の実施の形態において、組織内の管理者は、新しく接続された装置を、組織のネットワーク内で動作するための承認待ち装置のリストに入れる。管理者が装置を承認すると、次に、装置は、組織に連結される。
【0056】
装置は、ファイアウォールを介して、集中管理設備100とのネットワーク接続を開始する必要がある場合がある。この場合、装置のプレロードされたセキュリティ認証情報は、安全なハイパーテキストトランスポートプロトコル(HTTPS)を有するような、好適な安全接続を構築するために使用される。
【0057】
場合によっては、装置とフレームワークの間で、ファイアウォールにおいて、通信チャネルを開いた状態にするために、ユーザデータグラムプロトコル(UDP:User Datagram Protocol)ベースのハートビートメカニズムを構築することができる。装置は、集中管理設備100にUDPベースのハートビートメカニズムを周期的に送信する。ハートビートは、フレームワークに装置の状態を報告し、ファイアウォールを開いておくための働きをする。集中管理設備100が装置に関する何らかの情報を有している場合は常に、更なる情報を交換するために他のデータチャネルを構築するように、装置に命令するための短い指令(コマンド)を、このUDPチャネルを介して、送信する。
【0058】
装置は、集中管理設備100において組織が作成されるか又は登録される前に、又は、組織に装置のDev_IDが登録される前に、展開される可能性がある。この場合、装置は、集中管理設備100とのコンタクトを何度も試みる。
【0059】
装置が認証され、フレームワークによって組織に受け入れられると、フレームワークは、対応する装置構成とシステムポリシーを検索し、それらを装置にダウンロードする。構成及びポリシーを実施した後、装置は、正規の動作状態に入り、サービスの提供を開始する。
【0060】
本発明の実施の形態において、組織は、企業の様々なオフィス又は場所、集合体の中の異なる企業、一つの管理プロバイダの様々な顧客等に関連する一つ以上の論理的構築を定義する。
【0061】
例えば、組織が集中管理設備100に加入する場合、組織は、三つの離散的なオフィスが運営されることを指定できる(例えば、異なる都市にあること、様々な内部ネットワークを有すること)。組織は、オフィス別に、その場所における一部又は全ての装置に対して、その無線ネットワークのSSID(サービス設定識別又はサービス設定識別子)、無線装置のための好ましいセキュリティプロトコル、ルーティング表、好ましいDNS(ドメインネームサービス)サーバのアドレス等、特定の演算パラメータを指定できる。次に、オフィスに割り当てられた新しいネットワークコンポーネントは、誰も新しい装置にパラメータを改めて対応付けることを必要とせずに、指定されたパラメータが、自動的に装置に適用される。
【0062】
例えば、用語「サイト」は、明細書中、オフィス、支店、アウトレット、又は「サイト」に対応する他の場所において展開される、組織のネットワークの全てに関連するリソースに割り当られるパラメータの集合を言及するように用いられる。サイトレベルの上位レベルでは、他の論理的構築が定義付けられてもよい。
【0063】
複数の「サイト」を定義するために、複数の論理的「組織」は、多組織の集合体(例えば、集合体)の様々な部分(例えば、部、部門、子会社)と関係を持つように、定義される。これ以上の集合体を構成しない場合、「組織」は、離散的な組織(例えば、集中管理設備100の一クライアント)を表している。
【0064】
「サイト」の構築に対して定義された演算パラメータ及びデータは、そのサイトに割り当てられる互換性のある装置やコンポーネントによって継承されることと同様に、「組織」の構築に対して定義されたパラメータやデータも、任意の下位サイトによって継承されてもよい。このように、個々の装置やサービスが組織のネットワークに追加される時まで、殆ど又は全ての演算パラメータは、定義されている。これらのパラメータの定義が終わっていれば、新しい装置又はサービスの適切な構成を決定するために、わざわざ、時間や手間を費やす必要がなくなる。
【0065】
「マネージャ」等の更に高位レベルの論理集合体が、それらのネットワークを管理するための複数の離散的な組織によって雇用される集合体に対して、定義されてもよい。具体的には、「マネージャ」集合体は、その「組織」集合体(及び、拡大解釈すれば、これらの組織内の任意の「サイト」)を管理するために、複数の組織によって雇われている会社又は請負業者を表すことができる。
【0066】
組織は、マネージャを変えてもよい。その場合、前任の「マネージャ」は、新しい「マネージャ」を支持して、組織の「組織」集合体又は複数の集合体にアクセスする能力を失う。例えば、元のマネージャによって管理されていたコンピュータシステムに対して発行される、いかなるディジタル証明書も無効にでき、これらのシステムが組織のネットワークにアクセス不可能にできる。本発明の実施の形態において、組織は、(例えば、「マネージャ」が個別に雇われている場合でも)常にネットワークを管理する能力を有しており、その役割を他の集合体に譲渡するか、又は、現行のマネージャを解雇できる。
【0067】
このように、集中管理設備100におけるアカウントの管理は、単一オペレータに一つ以上の組織を管理させるために、階級的であってもよい。例えば、オペレータは、単一組織の被雇用者であってもよいし、複数の組織のネットワークを管理する集合体の代表であってもよい。
【0068】
従って、集中管理設備100内の組織に対する管理及び/又は組織のアカウントは、組織のネットワーク装置及びサービスの構成、及び/又は監視のためのシステム管理センタとしての働きをする。複数の組織及び/又はサイトを管理するオペレータは、一度に一つより多い組織/サイト内で監視し又は作業するために、個々のインスタンスが彼又は彼女らの監視や構成活動を援助するためのダッシュボードやランチパッドとして活動する、複数のインスタンスを開くことができる。
【0069】
ある組織が、他の集合体がその組織のネットワークリソースを使って管理権利を遂行することを可能にするために、組織は、組織の管理を、その集合体と共有するための要求を開始できる。組織自体が管理権利の共有を選択することができ、受信側の組織は、権利を更に他の集合体と共有することはできない。組織は、終了要求の開始と同時に、契約を終了する。
【0070】
組織のネットワークの新しい装置又はサービスが、集中管理設備100と自動的に交信し、構成パラメータを検索するために、このような情報を得ることができる場所(例えば、URL)を自動的に要求するか又は決定するように、装置又はサービスを製造又は構成できる。例えば、装置の特定のファームウェアパラメータは、装置が、指定された集合体(例えば、集中管理設備100)に自動的に接触できるように、又は、構成データを受信することができる集合体のURL又は他のアドレスを(スタートアップにおいて)装置が要求させるように、設定されてもよい。このパラメータには、「ネットワークを可能にする(“Enable Network”)」又は「遠隔構成を受信する(“Receive Remote Configuration”)」等の名前が付けられる。
【0071】
装置又はサービスが、指定された又は識別された集合体と接触する場合、装置又はサービスは、それ自体(例えば、装置モデル、バージョン、シリアルナンバー、MACアドレス、サービスネーム/識別子のモデル)を識別し、場合によっては、所有するディジタル証明書を配信する。認証され、組織のネットワークの認証されたコンポーネントとして認められた後、一組のパラメータを受信し、使用する。
【0072】
上記のように、図1の集中管理設備100は、同一のフレームワーク全体の内部の複数の組織のネットワークを管理するために使用されてもよく、一方で、厳しいアクセス規制及びデータ隔離によって、組織間のデータの移動が阻止される。具体的には、一組織当り、PKIは、各組織のリソースを保護するために構築されている。各組織は、設備においてルート証明権利を有しており、組織のネットワーク内の下位の証明権限所有者及び認証者は、アクセスポリシーのローカルクライアントアクセスの認証及び施行を行う。
【0073】
図2は、本発明の実施の形態による、組織のネットワークリソースを集中的及び遠隔的に管理する方法を示す流れ図である。
【0074】
これらの実施の形態において、図1の集中管理設備100と同等の統合されたサービス及び装置のフレームワークは、ユーザアカウント管理、ユーザ及び装置の認証、事象のコンテクスト認識ロギング、装置インベントリ(目録)、ファームウェア管理、PKI運営/管理等の複数の組織サービスへ、提供される。
【0075】
上記のように、個別の特定管理層のサブシステムは、サービス、特定の装置、及び/又は、装置の種類をサポートするために実行される。このようなサブシステムの各々は、共通管理層と連動して、装置独立型機能モジュール150にアクセスするために、一組のプラグインスタンダードに接続する。更なる装置特定サブシステムは、更なる装置又はサービスを支持するために、必要に応じて、追加される。
【0076】
動作200において、組織は、集中管理設備100の統合サービス及び装置管理に加入する。例えば、組織(例えば、システム管理者)は、加入要求を出すために、集中管理設備100によって動作されるコンピュータサーバにおいて、ユーザインタフェース140に接続される。
【0077】
或いは、組織(例えば、ネットワーク管理者)は、集中管理設備100と自動的に連動し、専用のユーザインタフェース140と同一又は同様の機能性を提供するアプリケーション又はユーティリティを実行できる。
【0078】
動作202において、組織のためのアカウントが、組織を識別し、一つ以上のユーザアカウントを作成し、現在、組織のネットワークにおいて展開されている装置を識別し、組織によって必要とされる特定サービスを識別する等のために、構成される。
【0079】
動作202において、組織のリソースのより特化された管理を可能とするために、複数の論理的「サイト」及び/又は「組織」を定義することが必要とされる。上記のように、様々な「サイト」の構築は、組織の様々な支店、事務所、又は他の場所に対応し得るが、様々な「組織」の構築は、様々な部署、子会社、組織単位、又は、組織の他の部分に対応し得る。
【0080】
動作204において、組織は、いくつかのリソース(例えば、無線LANコントローラ、アクセスポイント、ネットワークアタッチト記憶装置ユニット)を購入する。リソースは、集中管理設備又はいくつかの他のソースのオペレータから購入できる。しかしながら、売り手側には、リソースが組織のネットワークに接続された後、リソースを集中管理設備100に最初に接触させるに十分なセキュリティ認証情報をリソースにプレロードする権限を有し、組織に備えることができるという、利点がある。
【0081】
或いは、構成装置又はユーティリティ(例えば、クライアント装置イネーブラ)は、購入されたリソースを備えること(又は購入リソースから分離すること)ができ、組織内で動作するためのリソースを構成するために用いることができる。この構成の取り組みは、セキュリティ認証情報の読み込みを含むことができる。
【0082】
組織は、複数の様々な装置及びサービスを展開するが、全て、集中管理設備100によって、管理することができる。
【0083】
動作206において、購入されたネットワークリソースの一部又は全てに対する演算パラメータのセットは、組織によって、フレームワークに提出される。この動作を実行する組織の代表者の知識レベルにもよるが、その人物が、一つ以上の装置に対して正確なパラメータを指定してもよく、或いは、設備に好適なパラメータを決定させてもよい。
【0084】
例えば、代表者は、データセキュリティが組織にとって非常に重要であると宣言することができる。その場合、集中管理設備100は、セキュリティに対する関心が低い場合より、組織の無線リソースに対して、より堅牢なセキュリティプロトコル、より厳密なアクセス制御ポリシーを選択する。同様に、集中管理設備100は、代表者の入力に応じて、様々な動作ポリシー、ロギング条件、及び/又は、他の設定を選択する。様々なテンプレートは、パラメータの様々なセットを実行するために用いられる。
【0085】
動作206の一部として、組織代表によって指定され、及び/又は、代表者によって識別された装置及び/又はサービスのための集中管理設備100によって選択された構成データは、設備の集中管理層(CML)120によってパージされ、適切な特定管理層(SML)サブシステム130へ経路指定される。SMLは、サブシステム内、又は、一つ以上の適当な装置独立型機能モジュールを介して、データを保存する。これらのSMLサブシステム130は、組織のネットワークリソースに装置構成情報を発信する働きをする。
【0086】
集中管理設備100が実行できる一つの構成の取り組みは、組織への引渡し及び組織のネットワーク内での展開に先立って、装置へセキュリティ認証情報(例えば、ディジタル証明)を読み込むことである。いくつかのネットワーク装置(例えば、アクセスポイント、クライアント装置イネーブラ)の初期展開を容易にするために、装置は、(例えば、組織のPKIの代わりに、)集中管理設備100に対応するPKIから発行されたセキュリティ認証情報に基づいて、構成できる。装置が展開された後、装置は、集中管理設備100と対話し、組織のPKI内で生成される新しいセキュリティ認証情報を受信する。
【0087】
動作208において、装置が、展開され、組織のネットワークに接続される。その「スタートアップ」及び構成の一部として、装置は、(例えば、httpsを介して)集中管理設備100との安全な接続を構築し、(装置IDやMACアドレスによって、)それ自体を識別し、装置へプレロードされた(予め読み込まれた)セキュリティ認証情報を用いて、それ自体を認証する。
【0088】
本実施の形態において、新しい装置を構成するために使用されるクライアント装置イネーブラ又は他の集合体は、設備への初期接続の構築を補助してもよい。
【0089】
装置が有効として認められた場合(例えば、設備は、組織に有効な装置IDリストを維持することができる場合)、その装置は組織に結合される。次に、装置のための構成パラメータ、システムポリシー、ファームウェア及び/又は他の情報がダウンロードされ、適用される。上記のように、構成パラメータは、組織の代表者によって正確に指定され、集中管理設備100によって選択され、及び/又は、「サイト」又は「組織」の論理的構築を継承してもよい。
【0090】
動作210において、装置は、ポリシー及び構成パラメータによって構成され、組織のネットワークにおいて、正規の動作を開始することができる。前述したように、これらのポリシー、属性、及びパラメータは、装置独立型機能モジュール150によって提供され、対応する特定管理層(SML)サブシステム130によって、特定の装置及び様々な種類の装置へ広められてもよい。
【0091】
動作212において、装置の動作中、装置は、コンテクスチュアルな(文脈上の)ログ事象を管理フレームワークへ提出する。事象は、装置と協働するSMLサブシステム130へ分配される前に、通信モジュール110及びCML120を介して、フレームワークへ送信される。次に、装置は、CML120を介して、ロギングモジュール150bの機能及び/又はサービスを呼び出す。従って、ロギングモジュール150bは、組織のネットワーク内の複数の異なる装置に対して事象をロギングできる。
【0092】
本発明の実施の形態において、集中管理設備100は、REST(Representational State Transfer)アーキテクチャの原則に従うREST(レスト)フルなAPI(アプリケーションプログラムインターフエース)−APIを提供する。これによって、ネットワークトラフィック統計、無線信号の受信可能範囲エリア等の設備からの情報を容易に検索できるようになる。
【0093】
図2において、説明されているような方法は、WLAN(無線ローカルエリアネットワーク)コントローラ等の装置を管理するために使用されてもよい。コントローラは、組織のアクセスポイント(AP)の一部又は全てに対する、集中管理ポイントとして動作し、専用装置として扱われることもあり、又は、(Ethernet(登録商標)(イーサネット(登録商標))スイッチ等の)他の機器に埋め込まれてもよい。
【0094】
例えば、コントローラは、AP(アクセスポイント)管理、ユーザ管理、RF(無線周波数)管理、WLANアクセスポリシー管理等を提供する。WLANコントローラは、WLAN特定管理層サブシステムを介して、統合されたサービス及び装置管理フレームワーク(例えば、図1の集中管理設備100)に結合されている。
【0095】
フレームワークの共通管理層(CML)120は、ユーザアカウント管理、クライアント装置のプロビジョニング、アクセスポリシー等の一般的なサービスを提供する。フレームワークの特定管理層内のWLANサブシステムは、ローグ(管理されていない)なAP(アクセスポイント)検出、RF(無線周波数)管理、WLAN帯域幅アクセス評価、APの構成及び監視等の装置特定サービスを提供する。
【0096】
WLANコントローラサブシステムがフレームワーク内に登録されれば、(例えば、WLANコントローラを最初に展開した組織にとどまらず、)全ての加入者がそのシステムを利用できるようになる。加入者別に、個別のWLANコントローラサービスのインスタンスが作成され、加入者アカウントに追加される。サービスの必要がなくなれば、インスタンスは破壊される。
【0097】
本発明の実施の形態による、一つ以上の組織のネットワークのリソースを管理するためのハードウェアの装置を示すブロック図である。
【0098】
管理サーバ300は、通信メカニズム310、共通管理メカニズム312、特定管理メカニズム314、機能的メカニズム316、及び記憶装置メカニズム318を含む。本発明の他の実施の形態においては、これらのメカニズムのいずれか又は全ては、組み合わせることもできるし、或いは、再分割されてもよい。
【0099】
通信メカニズム310は、(アクセスポイント、ネットワークアタッチトサーバ、スイッチ等の)ネットワーク装置と交信できるように用いられる。通信メカニズムは、管理サーバへのアクセスを容易にするために、ユーザインタフェースを含むか、又はこれに連結されてもよい。
【0100】
一般の管理メカニズム312は、管理サーバ300の集中管理機能を提供するように用いられる。従って、管理メカニズム312は、通信メカニズム310から到着した通信を適切な特定管理メカニズム314へ経路指定し、特定管理メカニズム314又はいくつかの他の内部又は外部の集合体に代わって、機能的メカニズム316を呼び出し、適宜、他の行動を取る。
【0101】
特定の管理メカニズム314は、組織のネットワーク内の特定のサービス、特定の装置、又は装置の種類と対話するように用いられ、サービス及び/又は装置を構成し、これらの動作を監視し、問題を解決する。組織のネットワークが拡大され又は多様化するにつれて、更なる管理メカニズム314を管理サーバ300に追加してもよい。
【0102】
記憶装置メカニズム316は、管理サーバ300によって使用される情報を記憶するために用いられる。このようなデータは、管理サービス、組織の装置及び/又はサービスの構成、アクセスポリシー、事象ログ、セキュリティ認証情報等を有する組織のアカウントに関する。
【0103】
図4は、本発明の実施の形態による、一つ以上の組織のネットワークのコンポーネントを管理するための管理サーバ400を示すブロック図である。
【0104】
図4の管理サーバ400は、プロセッサ402と、メモリ404と、一つ以上の光学的及び/又は磁気記憶装置コンポーネントを含む外部記憶装置406と、を含む。管理サーバ400は、キーボード412、ポインティング装置414、及びディスプレイ416に(永久に又は一時的に)連結することができる。
【0105】
オンライン評価システムの記憶装置406は、プロセッサ402による実行のために、メモリ(主記憶装置)404へ読み込むことができる論理を記憶する。このような論理は、通信論理422、集中管理論理424、特定管理論理426及び機能論理428を含む。
【0106】
通信論理422は、組織のネットワーク装置及びサービス、組織のリソースを管理する作業を任されたオペレータ、及び/又は他の集合体と通信するためのプロセッサ実行可能命令を含む。通信論理422は、管理サーバ400に記憶された他の論理を呼び出すために、ユーザインタフェース及び/又は一般的にアクセス可能なAPIを含むことができる。管理サーバ400は、ロードバランスを保つため、異なるプロトコルを用いる通信接続を受信するため、又は、他の理由によって、複数のセットの通信論理422を含んでもよい。
【0107】
集中管理論理424は、異なる論理間の通信及び/又はコール(呼出し)を含む、集中管理タスクを実行するためのプロセッサ実行可能命令を含む。
【0108】
特定管理論理426は、特定のネットワークサービス、特定の装置、及び/又は、装置の種類の管理を容易にするためのプロセッサ実行可能命令を含む。複数のセットの特定管理論理は、様々なサービス、装置、及び/又は、装置の種類に使用される。
【0109】
機能的論理428は、組織のネットワーク内の複数の異なるサービス及び/又は装置のために呼び出すことができる装置独立型及び/又はサービス独立型の機能を実行するためのプロセッサ実行可能命令を含む。複数のセットの機能的論理428は、様々な機能的エリア(例えば、アカウント管理、事象ロギング、ポリシー、セキュリティ)で使用される。
【0110】
本発明の他の実施の形態において、管理サーバ400は、個別のコンポーネントの登録、サーバの動作管理、管理サーバの他のインスタンスにサーバデータを複写すること、ユーザインタフェースの動作に関して、更なる論理を含んでもよい。組織別にPKI方式を動作させ、管理するための論理は、図4に示されている論理の一部であってもよいし、独立していてもよい。
【技術分野】
【0001】
本発明は、コンピュータシステムの分野に係る。より詳細には、本発明は、ネットワーク装置及び/又はサービスの仮想化、及び集中(centralized)のための装置及び方法を提供する。
【背景技術】
【0002】
コンピュータシステムネットワークを効果的に構成し動作させるために必要な知識のレベルは高い。一般に、大きな組織は、装置を構成し、管理し、これらの装置の動作によってユーザを援助し、セキュリティ方針を適用し、ネットワークの安全性を監視するために、比較的多くのITスタッフを有している。しかしながら、小さい組織では、これらの機能を全ての実行するために熟練したITスタッフを雇う余裕がない。このような組織におけるITスタッフは、誰でも、数知れない問題と難しさに辟易する。
【0003】
リソースの構成は、複数の異なる種類の装置を用いる組織にとって非常に難しい。特に、費用に制約のある組織は、あまり費用の掛からない装置を購入するため、装置が、様々な部品の寄せ集めとなる可能性がある。結果的に、組織は、アクセスポイント、スイッチ又は様々な製造会社によって製造される他の通信コンポーネントを複数、使用することになる。
【0004】
異機種装置は、各々、様々に構成可能なパラメータ、又は様々な方法で構成されるパラメータを有している。いくつかのパラメータ及び構成の方法は、異機種であってもアクセスは同じである装置の場合もあるが、他は異なる。ネットワークコンポーネントに十分精通していない場合、個人レベルでコンポーネントを構成することは膨大な時間を要する。
【0005】
更に、組織のネットワークが進化するにつれて、いくつかのパラメータは、変更又は更新されなければならない。ITスタッフの数が限られている組織にとって、組織内で展開できる無数のネットワークリソースを取り扱うことには、困難である。
【0006】
組織のネットワーク化された装置及びサービスを管理するための既存の方法は、単一の装置又は単一のサービスだけを対象としている。小規模な組織が複数の種類の装置及び/又は複数のネットワークサービスを管理するためのニーズに対する第三者の助けはない。
【0007】
組織のネットワークにおいて安全且つ効果的に動作するようにコンポーネントを構成することは、難しく時間を必要とする。さらに、コンポーネントがネットワーク及び組織のセキュリティポリシーに、組み込まれている場合においても、コンポーネントは、ネットワークをうまく機能させるために、継続的に、管理される必要がある。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明は、複数の組織の異機種環境にあるネットワークリソースの装置及び/又はサービスの仮想化された集中管理のための装置及び方法を提供する。
【課題を解決するための手段】
【0009】
本発明の実施の形態において、組織のネットワーク装置及びサービスの統合された管理を提供する装置及び方法が提供されており、構成、展開、演算(動作)、及び/又は、必要に応じて、他の作業を代行する。一つ以上の複数の組織のリソースは、一つの集合体(エンティティ)として、管理される。
【0010】
これらの実施の形態において、統合されたサービス及び装置の管理システムは、物理的装置及び/又は特定の電子サービスの構成、展開、及び動作を管理するために提供される。複数の種類の装置及び/又はサービスだけでなく、特定の装置の種類の複数のモデル又はバージョンが管理される。
【0011】
本発明の実施の形態において、段階的な経営又は管理用のドメインは、一つの組織の様々な場所や部内又は様々な組織内の装置及び/又はサービスの管理を容易にするように、構成されている。これらのドメインを用いることによって、装置及び/又はサービスの管理責任が、様々なオペレータ又は管理者に委託される。
【0012】
本発明の第1の態様は、複数の組織の異機種ネットワークリソースを管理するための装置であって、装置は、各々の組織のネットワーク内における複数の異なる種類の装置に代わって、機能を実行するように構成された、複数の装置独立型機能モジュールと、対応する種類の装置の動作を管理するよう、異なる種類の装置毎に構成された、特定機能モジュールと、特定機能モジュールに代わって、複数の装置独立型機能モジュールを呼び出すように構成された、共通管理モジュールと、を含み、各々の組織に対して、特定機能モジュールの個々のインスタンスが作成される。
【0013】
本発明の別の態様は、第1の態様のネットワークリソース管理装置であって、複数の異なる種類の装置と通信接続を構築するように構成された、一つ以上の通信モジュールと、を更に含む。
【0014】
本発明の別の態様は、第1の態様のネットワークリソース管理装置であって、複数の装置独立型機能モジュールは、複数の異なる種類の装置に対して、演算ポリシーを提供するように構成された、ポリシーモジュールと、複数の異なる種類の装置によって報告された事象をログするように構成された、ロギングモジュールと、第1の組織に関連するアカントの管理を容易にするように構成された、アカウントモジュールと、を含む。
【0015】
本発明の別の態様は、第1の態様のネットワークリソース管理装置であって、組織のネットワークの管理者から、複数の異なる種類の装置に対する構成パラメータを受信するように構成された、ユーザインタフェースと、を更に含む。
【図面の簡単な説明】
【0016】
【図1】本発明の実施の形態に係る一つ以上の組織のネットワークリソースを管理するための集中管理設備を示す図である。
【図2】本発明の実施の形態に係る組織のネットワークリソースを集中管理する方法の一例を示すフローチャートである。
【図3】本発明の実施の形態に係る組織のネットワークリソースへのアクセスを保護するためのハードウェア装置を示すブロック図である。
【図4】本発明の実施の形態に係る認証サーバを示すブロック図である。
【発明を実施するための形態】
【0017】
本発明の実施の形態では、組織のネットワークリソースを集中的且つ仮想的に管理するための装置及び方法が提供される。集中管理は、組織側において専用管理リソースを必要とせずに、「クラウド」において実行される。
【0018】
より詳細には、管理設備(facility)は、一つ以上の組織と、それらのリソースを管理するために、結ばれる。設備は、組織毎に、各々の組織のネットワークへのアクセスを確実にするために、分離した組織別のPKI(公開キーインフラストラクチャ)を管理する。
【0019】
設備は、アクセスポイント、スイッチ、ルータ、ネットワーク記憶装置等の無数の種類又は型のネットワーク装置との接続を受信し、構築される。設備は、様々な装置の集中的、且つ仮想的管理を促進する他に、組織のネットワーク内に提供されるサービスを管理するために用いられる。
【0020】
設備と特定の装置又はサービスとの間の通信は、多層フレームワークを通過する。受信した通信は、サービス又は通信を発信した装置の種類及び/又はモデルと協働するように用いられる特定管理層に分配される前に、正規化される。この特定管理層は、特定の機能(例えば、セキュリティポリシーの検索、事象のログ、アカウントパラメータへのアクセス)を達成するために、共通管理層を呼び出す(invoke)。
【0021】
このように、多層フレームワークは、共通セットの機能モジュールによって、複数のサービスと様々な種類及びモデルのネットワーク装置の管理を可能にする。組織がネットワークを発展させるにつれて、フレームワークは、コンポーネントの混ざり合いとは無関係に、ネットワークの効果的な管理を継続できる。
【0022】
図1は、本発明の実施の形態による、一つ以上の組織のネットワークリソースを管理するための集中設備を示す図である。
【0023】
図1の集中管理設備100は、通信モジュール110、共通管理層(CML)120、一つ以上の特定管理層(SML)サブシステム130、任意のユーザインタフェース140、及び、任意数の装置独立型機能モジュール150を含む。任意の数の組織が、集中管理設備によって提供される管理サービスに、加入できる。集中管理設備100の様々なモジュールは、ハードウェア及び/又はソフトウェア要素を含み、一つ以上の共同又はピア(peer)コンピュータサーバにおいて、動作できる。
【0024】
図1に示されていないが、集中管理設備100には、一つ以上の記憶装置(例えば、ディスク)が含まれており、これは、装置パラメータ、事象ログ、ポリシー、ディジタル証明書、及び本明細書中に記載されている任意の他のデータを記憶するために用いられる。
【0025】
集中管理設備100が集中的に管理できる装置は、例えば、無線アクセスポイント、ルータ、スイッチ、ネットワーク接続記憶装置、演算装置(例えば、ノート型パソコン、ワークステーション)等を含む。設備によって管理されるサービスは、無線(及び/又は有線の)ネットワークサービス、ウイルス及び/又は他のマルウェアの防止、ネットワークデータ記憶装置等を含む。
【0026】
組織から遠く離れた場所にある装置及びサービスリソースを集中管理することによって、個々の組織が、このような管理のために、その所有する装置を提供したり、時間を割いたりする必要がなくなる。組織のリソースの管理は、構成又は再構成、リソースの展開及び/又は動作、セキュリティポリシーのアプリケーション、PKI証明書の管理、ユーザアカウント管理、ユーザ/装置認証、文脈認識ロギング、装置/サービス目録等を容易にする働きをする。
【0027】
本発明の例示的な実施の形態において、組織のネットワーク内の個々のリソースは、一つ以上の通信モジュール110と通信することが可能である。通信モジュール110は、HTTP(ハイパーテキストトランスポートプロトコル)、HTTPS(ハイパーテキストトランスポートプロトコルセキュア)、SNMP(シンプルネットワークマネージメントプロトコル)、及び/又は、他の通信プロトコルを介して、接続を受信するように構成されてもよい。このように、異なる通信モジュール110は、同じ又は異なる種類の装置から、異なる種類の接続を受信してもよい。
【0028】
組織リソースからの通信は、標準の形式において、通信モジュール110から共通管理層(CML)120へ渡される。例えば、メッセージは、メッセージを受信した装置、例えば、特定の装置(例えば、製造者、モデル、及びバージョンを含む)を識別するように構成されたヘッダ部分と、一般的な種類の装置(例えば、ネットワークアタッチト記憶装置サーバ)、特定の種類の装置(例えば、リンシス(LinkSys)社製のリンシス無線アクセスポイント)、特定のネットワークサービス等を含むことができる。
【0029】
メッセージのペイロード部分は、リソースの要求又は入力を特定してもよい。例えば、装置又はサービスは、演算パラメータ、セキュリティポリシー、又は、他の情報を要求できる。
【0030】
共通管理層(CML)120は、組織のネットワークリソースからのメッセージを受信し、リソースへメッセージを送信し、装置独立型機能モジュール150と、特定管理層サブシステム130及びユーザインタフェース140の両方と、の間にインタフェースを提供し、及び/又は、他の任務を実行する。CML120は、管理属性及びシステム全体に適用されるサービスを定義し、SMLサブシステム130は、特定の装置及びネットワークサービスと協働する。
【0031】
CML120は、集中管理設備の組織のクライアントの各々に対しての個別のPKIの動作及び維持管理を容易にできる。「セキュリティ」又は「PKI」装置独立型機能モジュール150は、その役割において、CML120を援助するか、又は、その役割を実際に実行する。
【0032】
より詳しくは、集中管理設備100は、組織のクライアント毎に、組織に特化されたPKIを結びつけるルート認証権限(CA:Certificate Authority)を管理する。ルートCAは、組織のネットワーク内で動作するリソースに対して、証明書を発行する、及び/又は、一枚以上のサブルートCA証明書を発行でき、これによって、これらのリソース(例えば、アクセスポイント)のいくつかが、リソースに組織証明書を発行する。後者の方法を用いた場合、集中管理設備100が現在利用不可能な場合(例えば、組織のインターネットアクセスが中断された場合)でも、新しい装置を使えるように(provisioned)することができる。
【0033】
特定管理層(SML)サブシステム130は、特定のネットワーク装置、装置の種類、又はサービスに関連している。装置及びサービス管理のサブシステムは、特定の管理特性を提供するためのプラグインガイドラインのセットに接続する。登録プロセスは、管理サブシステムがフレームワークにプラグインされることを許可する。
【0034】
例えば、装置指向のSMLサブシステム130は、一つ以上の特定の種類の装置(例えば、アクセスポイント、ネットワークアタッチト記憶装置サーバ)、装置のモデル(例えば、リンクシス(LynkSys)アクセスポイント、ネットギア(Netgear)アクセスポイント)等に対して、実行することができる。従って、特定のSMLサブシステム130は、装置のパラメータを設定又は調整し、これらの装置によって検出された事象をログすることによって、対応するネットワーク装置と協働するように適合される、又は構成される。
【0035】
サービス指向のSMLサブシステム130に関しては、WLAN(無線ローカルエリアネットワーク)管理SMLサブシステムが、RF(無線周波数)適用可能範囲マップ、RF管理、帯域幅評価、無線送信電力調整、ゲストアクセスポリシー特性、管理されていない(rogue)アクセスポイントの検出等の管理特性を提供することができる。VPN(仮想的個人ネットワーク)SMLサブシステム130は、暗号化方法、アクセスポリシー等を提供することができる。しかしながら、これらのサービスSMLは、共に、同じ機能モジュール150を要求(call upon)する。
【0036】
新しいSMLサブシステム130は、CML120によって明かされた登録API(アプリケーションプログラミングインタフェース)を介して、CML120とともに、登録される。これによって、CML120が、特定のネットワークコンポーネントと対話するために、どのSMLサブシステム130と交信すべきかを知るところとなる。
【0037】
SMLサブシステム130がネットワーク装置(CML120を介して)からメッセージを受信する時、SMLサブシステム130は、どのような行動(又は、複数の行動)を取るべきかを判断し、適切な装置独立型機能モジュール150を呼び出すためにCML120の他の適切なAPIを要求する。このように、SMLサブシステム130は、その所望の行動を促すために、CML120に基本命令(primitives)を出すだけでよい。この結果、個々のSMLサブシステム130は、全てのフック及び入力ポイントを様々な機能モジュールに合うようにプログラムする必要がなくなる。CML120だけが、このような特性を必要とする。
【0038】
従って、CML120とSMLサブシステム130の違いは、CML120がフレームワークの全体にわたって適用可能な管理属性とパラメータとを定義するのに対して、SMLサブシステム130は、それらに関連する装置及び/又はサービスに特定される属性及びパラメータを定義することにある。
【0039】
例えば、CML120は、(例えば、ユーザインタフェース140を介して、)装置/サービス構成要求を受け取り、要求を構文解析(parses)し、それらを、対応するSMLサブシステム130へルーティングする。特定の装置又はネットワークサービスへパスされなければならない任意の属性又は構成パラメータは、装置又はサービスのSMLサブシステム130によって、CML120を介して、送信される。同様に、演算上の統計、事象及び/又は他の情報は、特定の装置/サービスによって、CML120を介して、SMLサブシステム130へ報告される。
【0040】
構成の記録は、バージョン化され、集中管理設備100(例えば、SMLサブシステム130及び/又は機能モジュール内で)に記憶され、そして、装置のファームウェアは、最新の又は特定バージョンに自動更新するか、又は、その前のバージョンへ戻すことができる。例えば、新しいファームウェアのバージョン又はパラメータのセットに致命的な欠陥がある場合、装置は、デフォルト(初期)(例えば、工場)設定へ戻すか、又は、パラメータの最新で既知の良好なパラメータのセットを適用することができる。
【0041】
任意のユーザインタフェース140は、クライアント組織の代表者(例えば、システムマネージャ、管理者)から対話型通信セッションを受信するために使用することができる。例えば、ユーザインタフェース140は、組織が設備のサービスに加入し、設備を登録し、ネットワークコンポーネントを購入することができるウェブページを含むことができる。
【0042】
本発明の実施の形態において、ユーザインタフェース140は、組織のためのアカウントを作成し、組織のネットワークリソースを登録し、セキュリティポリシーを構成又は記憶し、ログされた事象を再検討又は検索するために、CML120を介して、装置独立型機能モジュール150にアクセスする。他の実施の形態において、ユーザインタフェース140は、装置独立型機能モジュール150に、(例えば、共通管理層を呼び出さずに)、直接、アクセスすることができる。同様に、特定の装置又は装置の種類に応じて、行動を取るために、ユーザインタフェース140は、SMLサブシステム130と直接対話することができる(又は、CML120を介して、対話することができる)。
【0043】
本発明の実施の形態において、ユーザインタフェース140は、省略されてもよいし、又は、他のモジュール(例えば、共通管理層(CML)120)に組み込んでもよい。例えば、これらの実施の形態において、組織は、計算装置上で動作するアプリケーションプログラム、ネットワークリソースの構成ユーティリティ、又は、ウェブページや他の中心的な専用ユーザインタフェース以外の他のいくつかの通信経路を介して、集中管理設備100と対話することができる。例えば、CML120は、アカウント作成/管理、組織リソースの構成等のためのAPIを公開して、第三者が、これらのAPIを呼び出すためのソフトウェアを提供できるようにする。
【0044】
装置独立型機能モジュール150は、複数の装置、装置の種類及び/又は組織に共通した機能性を提供する。組織毎に、データの分離したセットは、組織のネットワーク、ユーザ、装置、及びサービスに関して、維持管理することができる。個別のPKI方式が組織毎に維持され、組織の各ユーザ/装置/サービスが、それ自体を設備に認証してもらう必要があるので、各組織のデータは、他の組織からアクセスされないように、保護される。
【0045】
ポリシーモジュール150aは、様々なセキュリティポリシー、ファイアウォールポリシー、及び/又は、組織がその装置及び/又はサービスの一部又は全てに適応される他の動作ポリシーを記憶するように、構成される。所与のポリシーは、特定のコンポーネントが動作可能又は動作不可能な時間や日にち、組織のアクセスポイントがどのように論理的に構成されるか、特定のサービスによって使用可能な装置はどれか、等を指定する。
【0046】
組織に対する他の例示的なポリシーとしては、特定のネットワーク装置が、紛失、盗難、又はセキュリティ侵害に遭ったと伝えられた後に、集中管理設備100に接続される場合、その装置へのアクセスを拒否することが挙げられる。更に、ポリシーは、装置がその構成データを指定し、削除するように命令し、データを使用できないようにする。装置は、ディジタル証明書、シリアルナンバー、MAC(媒体アクセス制御)アドレス、又は、他の識別子によって、識別されてもよい。
【0047】
さらに他のポリシーは、組織のネットワークの接続形態(topology)を設定するために適用されてもよい。例えば、組織が複数の無線アクセスポイントを使用する場合、そのうちの1つだけのポイントをインターネット(又は他の外部ネットワーク)に接続されてもよい。ポリシーは、どのアクセスポイントが他のどのアクセスポイントと交信できるかを指定してもよい。アクセスポイントの接続形態を構成するためのポリシーは、アクセスポイントの種類/モデル、これらの付加数(例えば、それらに接続するクライアント装置の数)、及び/又は他の要素に基づいて、選択されてもよい。
【0048】
ロギングモジュール150bは、組織のネットワークリソースによって報告された事象を文脈的に(contextually)ロギングするように、構成されている。このように、このモジュールは、ユーザのログイン/ログアウト回数、セキュリティ警告、ウイルス検出、装置/サービスの使用等を記録できる。ロギングモジュール150bは、装置/サービスログ、文脈的ハイパーテキスト及び/又は他の特性のテキストベース検索を提供できる。例えば、ログ時に報告されたMACアドレス又は他の識別子(例えば、シリアルナンバー、IPアドレス)は、クリックすることができ、ロギングされた事象の更なる情報を示す管理ページ、修正又は改良的な行動を取るためのページ等を開くことができる。
【0049】
このように、管理されていないアクセスポイントログに報告された装置のMACアドレスは、集中管理フレームワーク内の管理可能なアクセスポイント管理ページへ案内されるように選択されてもよく、ゲストログオン事象ログに報告されたMACアドレスは、ゲストアクセス管理ページへ案内されるように用いられてもよい。
【0050】
アカウントモジュール150cは、「組織」及び「ユーザ」のアカウントを管理するように構成される。このように、組織毎に、一つ以上のログインアカウントが割り当てられ、一つの組織のユーザ及びリソースが、集中管理設備100にアクセス可能となる。
【0051】
セキュリティモジュール150mは、組織のネットワーク保護を補助するために構成されている。例えば、セキュリティモジュール150mは、組織のPKIを管理し、ユーザ/装置を認証し、PKI内でディジタル証明書を発行する等の役割を果たす。
【0052】
新しい機能モジュール150を追加するために、CML120だけは、入力ポイント、モジュールを呼び出すAPI又は他の方法をプログラムされる必要がある。次に、CML120は、モジュールのAPIを発行するか、そうでなければ、SMLサブシステム130がモジュールの機能性を使用できるようにする。
【0053】
フレームワークは、複数の組織のネットワークを管理するために用いられ、各組織は、その装置に、装置識別(Dev_ID)、及び/又は、組織の装置(Grp_ID)のセットを識別するグループ識別を登録する。例えば、特定のGrp_IDが一組の装置が購入された購入順序を含むことができるように、登録プロセスを、ネットワークリソースを順序付けるシステムに、組み合わせることができる。
【0054】
購入された装置が組織のネットワークに接続された時、購入された装置は、集中管理設備100と安全な接続を構築し、そのDev_IDを提示する。フレームワーク(例えば、装置のためのSMLサブシステム130)は、装置を認証し、それを組織に連結し、構成データを装置にダウンロードする。いくつかの実施の形態において、組織に引き渡された装置は、セキュリティ認証情報によって、プレロードされる。
【0055】
他の実施の形態において、組織内の管理者は、新しく接続された装置を、組織のネットワーク内で動作するための承認待ち装置のリストに入れる。管理者が装置を承認すると、次に、装置は、組織に連結される。
【0056】
装置は、ファイアウォールを介して、集中管理設備100とのネットワーク接続を開始する必要がある場合がある。この場合、装置のプレロードされたセキュリティ認証情報は、安全なハイパーテキストトランスポートプロトコル(HTTPS)を有するような、好適な安全接続を構築するために使用される。
【0057】
場合によっては、装置とフレームワークの間で、ファイアウォールにおいて、通信チャネルを開いた状態にするために、ユーザデータグラムプロトコル(UDP:User Datagram Protocol)ベースのハートビートメカニズムを構築することができる。装置は、集中管理設備100にUDPベースのハートビートメカニズムを周期的に送信する。ハートビートは、フレームワークに装置の状態を報告し、ファイアウォールを開いておくための働きをする。集中管理設備100が装置に関する何らかの情報を有している場合は常に、更なる情報を交換するために他のデータチャネルを構築するように、装置に命令するための短い指令(コマンド)を、このUDPチャネルを介して、送信する。
【0058】
装置は、集中管理設備100において組織が作成されるか又は登録される前に、又は、組織に装置のDev_IDが登録される前に、展開される可能性がある。この場合、装置は、集中管理設備100とのコンタクトを何度も試みる。
【0059】
装置が認証され、フレームワークによって組織に受け入れられると、フレームワークは、対応する装置構成とシステムポリシーを検索し、それらを装置にダウンロードする。構成及びポリシーを実施した後、装置は、正規の動作状態に入り、サービスの提供を開始する。
【0060】
本発明の実施の形態において、組織は、企業の様々なオフィス又は場所、集合体の中の異なる企業、一つの管理プロバイダの様々な顧客等に関連する一つ以上の論理的構築を定義する。
【0061】
例えば、組織が集中管理設備100に加入する場合、組織は、三つの離散的なオフィスが運営されることを指定できる(例えば、異なる都市にあること、様々な内部ネットワークを有すること)。組織は、オフィス別に、その場所における一部又は全ての装置に対して、その無線ネットワークのSSID(サービス設定識別又はサービス設定識別子)、無線装置のための好ましいセキュリティプロトコル、ルーティング表、好ましいDNS(ドメインネームサービス)サーバのアドレス等、特定の演算パラメータを指定できる。次に、オフィスに割り当てられた新しいネットワークコンポーネントは、誰も新しい装置にパラメータを改めて対応付けることを必要とせずに、指定されたパラメータが、自動的に装置に適用される。
【0062】
例えば、用語「サイト」は、明細書中、オフィス、支店、アウトレット、又は「サイト」に対応する他の場所において展開される、組織のネットワークの全てに関連するリソースに割り当られるパラメータの集合を言及するように用いられる。サイトレベルの上位レベルでは、他の論理的構築が定義付けられてもよい。
【0063】
複数の「サイト」を定義するために、複数の論理的「組織」は、多組織の集合体(例えば、集合体)の様々な部分(例えば、部、部門、子会社)と関係を持つように、定義される。これ以上の集合体を構成しない場合、「組織」は、離散的な組織(例えば、集中管理設備100の一クライアント)を表している。
【0064】
「サイト」の構築に対して定義された演算パラメータ及びデータは、そのサイトに割り当てられる互換性のある装置やコンポーネントによって継承されることと同様に、「組織」の構築に対して定義されたパラメータやデータも、任意の下位サイトによって継承されてもよい。このように、個々の装置やサービスが組織のネットワークに追加される時まで、殆ど又は全ての演算パラメータは、定義されている。これらのパラメータの定義が終わっていれば、新しい装置又はサービスの適切な構成を決定するために、わざわざ、時間や手間を費やす必要がなくなる。
【0065】
「マネージャ」等の更に高位レベルの論理集合体が、それらのネットワークを管理するための複数の離散的な組織によって雇用される集合体に対して、定義されてもよい。具体的には、「マネージャ」集合体は、その「組織」集合体(及び、拡大解釈すれば、これらの組織内の任意の「サイト」)を管理するために、複数の組織によって雇われている会社又は請負業者を表すことができる。
【0066】
組織は、マネージャを変えてもよい。その場合、前任の「マネージャ」は、新しい「マネージャ」を支持して、組織の「組織」集合体又は複数の集合体にアクセスする能力を失う。例えば、元のマネージャによって管理されていたコンピュータシステムに対して発行される、いかなるディジタル証明書も無効にでき、これらのシステムが組織のネットワークにアクセス不可能にできる。本発明の実施の形態において、組織は、(例えば、「マネージャ」が個別に雇われている場合でも)常にネットワークを管理する能力を有しており、その役割を他の集合体に譲渡するか、又は、現行のマネージャを解雇できる。
【0067】
このように、集中管理設備100におけるアカウントの管理は、単一オペレータに一つ以上の組織を管理させるために、階級的であってもよい。例えば、オペレータは、単一組織の被雇用者であってもよいし、複数の組織のネットワークを管理する集合体の代表であってもよい。
【0068】
従って、集中管理設備100内の組織に対する管理及び/又は組織のアカウントは、組織のネットワーク装置及びサービスの構成、及び/又は監視のためのシステム管理センタとしての働きをする。複数の組織及び/又はサイトを管理するオペレータは、一度に一つより多い組織/サイト内で監視し又は作業するために、個々のインスタンスが彼又は彼女らの監視や構成活動を援助するためのダッシュボードやランチパッドとして活動する、複数のインスタンスを開くことができる。
【0069】
ある組織が、他の集合体がその組織のネットワークリソースを使って管理権利を遂行することを可能にするために、組織は、組織の管理を、その集合体と共有するための要求を開始できる。組織自体が管理権利の共有を選択することができ、受信側の組織は、権利を更に他の集合体と共有することはできない。組織は、終了要求の開始と同時に、契約を終了する。
【0070】
組織のネットワークの新しい装置又はサービスが、集中管理設備100と自動的に交信し、構成パラメータを検索するために、このような情報を得ることができる場所(例えば、URL)を自動的に要求するか又は決定するように、装置又はサービスを製造又は構成できる。例えば、装置の特定のファームウェアパラメータは、装置が、指定された集合体(例えば、集中管理設備100)に自動的に接触できるように、又は、構成データを受信することができる集合体のURL又は他のアドレスを(スタートアップにおいて)装置が要求させるように、設定されてもよい。このパラメータには、「ネットワークを可能にする(“Enable Network”)」又は「遠隔構成を受信する(“Receive Remote Configuration”)」等の名前が付けられる。
【0071】
装置又はサービスが、指定された又は識別された集合体と接触する場合、装置又はサービスは、それ自体(例えば、装置モデル、バージョン、シリアルナンバー、MACアドレス、サービスネーム/識別子のモデル)を識別し、場合によっては、所有するディジタル証明書を配信する。認証され、組織のネットワークの認証されたコンポーネントとして認められた後、一組のパラメータを受信し、使用する。
【0072】
上記のように、図1の集中管理設備100は、同一のフレームワーク全体の内部の複数の組織のネットワークを管理するために使用されてもよく、一方で、厳しいアクセス規制及びデータ隔離によって、組織間のデータの移動が阻止される。具体的には、一組織当り、PKIは、各組織のリソースを保護するために構築されている。各組織は、設備においてルート証明権利を有しており、組織のネットワーク内の下位の証明権限所有者及び認証者は、アクセスポリシーのローカルクライアントアクセスの認証及び施行を行う。
【0073】
図2は、本発明の実施の形態による、組織のネットワークリソースを集中的及び遠隔的に管理する方法を示す流れ図である。
【0074】
これらの実施の形態において、図1の集中管理設備100と同等の統合されたサービス及び装置のフレームワークは、ユーザアカウント管理、ユーザ及び装置の認証、事象のコンテクスト認識ロギング、装置インベントリ(目録)、ファームウェア管理、PKI運営/管理等の複数の組織サービスへ、提供される。
【0075】
上記のように、個別の特定管理層のサブシステムは、サービス、特定の装置、及び/又は、装置の種類をサポートするために実行される。このようなサブシステムの各々は、共通管理層と連動して、装置独立型機能モジュール150にアクセスするために、一組のプラグインスタンダードに接続する。更なる装置特定サブシステムは、更なる装置又はサービスを支持するために、必要に応じて、追加される。
【0076】
動作200において、組織は、集中管理設備100の統合サービス及び装置管理に加入する。例えば、組織(例えば、システム管理者)は、加入要求を出すために、集中管理設備100によって動作されるコンピュータサーバにおいて、ユーザインタフェース140に接続される。
【0077】
或いは、組織(例えば、ネットワーク管理者)は、集中管理設備100と自動的に連動し、専用のユーザインタフェース140と同一又は同様の機能性を提供するアプリケーション又はユーティリティを実行できる。
【0078】
動作202において、組織のためのアカウントが、組織を識別し、一つ以上のユーザアカウントを作成し、現在、組織のネットワークにおいて展開されている装置を識別し、組織によって必要とされる特定サービスを識別する等のために、構成される。
【0079】
動作202において、組織のリソースのより特化された管理を可能とするために、複数の論理的「サイト」及び/又は「組織」を定義することが必要とされる。上記のように、様々な「サイト」の構築は、組織の様々な支店、事務所、又は他の場所に対応し得るが、様々な「組織」の構築は、様々な部署、子会社、組織単位、又は、組織の他の部分に対応し得る。
【0080】
動作204において、組織は、いくつかのリソース(例えば、無線LANコントローラ、アクセスポイント、ネットワークアタッチト記憶装置ユニット)を購入する。リソースは、集中管理設備又はいくつかの他のソースのオペレータから購入できる。しかしながら、売り手側には、リソースが組織のネットワークに接続された後、リソースを集中管理設備100に最初に接触させるに十分なセキュリティ認証情報をリソースにプレロードする権限を有し、組織に備えることができるという、利点がある。
【0081】
或いは、構成装置又はユーティリティ(例えば、クライアント装置イネーブラ)は、購入されたリソースを備えること(又は購入リソースから分離すること)ができ、組織内で動作するためのリソースを構成するために用いることができる。この構成の取り組みは、セキュリティ認証情報の読み込みを含むことができる。
【0082】
組織は、複数の様々な装置及びサービスを展開するが、全て、集中管理設備100によって、管理することができる。
【0083】
動作206において、購入されたネットワークリソースの一部又は全てに対する演算パラメータのセットは、組織によって、フレームワークに提出される。この動作を実行する組織の代表者の知識レベルにもよるが、その人物が、一つ以上の装置に対して正確なパラメータを指定してもよく、或いは、設備に好適なパラメータを決定させてもよい。
【0084】
例えば、代表者は、データセキュリティが組織にとって非常に重要であると宣言することができる。その場合、集中管理設備100は、セキュリティに対する関心が低い場合より、組織の無線リソースに対して、より堅牢なセキュリティプロトコル、より厳密なアクセス制御ポリシーを選択する。同様に、集中管理設備100は、代表者の入力に応じて、様々な動作ポリシー、ロギング条件、及び/又は、他の設定を選択する。様々なテンプレートは、パラメータの様々なセットを実行するために用いられる。
【0085】
動作206の一部として、組織代表によって指定され、及び/又は、代表者によって識別された装置及び/又はサービスのための集中管理設備100によって選択された構成データは、設備の集中管理層(CML)120によってパージされ、適切な特定管理層(SML)サブシステム130へ経路指定される。SMLは、サブシステム内、又は、一つ以上の適当な装置独立型機能モジュールを介して、データを保存する。これらのSMLサブシステム130は、組織のネットワークリソースに装置構成情報を発信する働きをする。
【0086】
集中管理設備100が実行できる一つの構成の取り組みは、組織への引渡し及び組織のネットワーク内での展開に先立って、装置へセキュリティ認証情報(例えば、ディジタル証明)を読み込むことである。いくつかのネットワーク装置(例えば、アクセスポイント、クライアント装置イネーブラ)の初期展開を容易にするために、装置は、(例えば、組織のPKIの代わりに、)集中管理設備100に対応するPKIから発行されたセキュリティ認証情報に基づいて、構成できる。装置が展開された後、装置は、集中管理設備100と対話し、組織のPKI内で生成される新しいセキュリティ認証情報を受信する。
【0087】
動作208において、装置が、展開され、組織のネットワークに接続される。その「スタートアップ」及び構成の一部として、装置は、(例えば、httpsを介して)集中管理設備100との安全な接続を構築し、(装置IDやMACアドレスによって、)それ自体を識別し、装置へプレロードされた(予め読み込まれた)セキュリティ認証情報を用いて、それ自体を認証する。
【0088】
本実施の形態において、新しい装置を構成するために使用されるクライアント装置イネーブラ又は他の集合体は、設備への初期接続の構築を補助してもよい。
【0089】
装置が有効として認められた場合(例えば、設備は、組織に有効な装置IDリストを維持することができる場合)、その装置は組織に結合される。次に、装置のための構成パラメータ、システムポリシー、ファームウェア及び/又は他の情報がダウンロードされ、適用される。上記のように、構成パラメータは、組織の代表者によって正確に指定され、集中管理設備100によって選択され、及び/又は、「サイト」又は「組織」の論理的構築を継承してもよい。
【0090】
動作210において、装置は、ポリシー及び構成パラメータによって構成され、組織のネットワークにおいて、正規の動作を開始することができる。前述したように、これらのポリシー、属性、及びパラメータは、装置独立型機能モジュール150によって提供され、対応する特定管理層(SML)サブシステム130によって、特定の装置及び様々な種類の装置へ広められてもよい。
【0091】
動作212において、装置の動作中、装置は、コンテクスチュアルな(文脈上の)ログ事象を管理フレームワークへ提出する。事象は、装置と協働するSMLサブシステム130へ分配される前に、通信モジュール110及びCML120を介して、フレームワークへ送信される。次に、装置は、CML120を介して、ロギングモジュール150bの機能及び/又はサービスを呼び出す。従って、ロギングモジュール150bは、組織のネットワーク内の複数の異なる装置に対して事象をロギングできる。
【0092】
本発明の実施の形態において、集中管理設備100は、REST(Representational State Transfer)アーキテクチャの原則に従うREST(レスト)フルなAPI(アプリケーションプログラムインターフエース)−APIを提供する。これによって、ネットワークトラフィック統計、無線信号の受信可能範囲エリア等の設備からの情報を容易に検索できるようになる。
【0093】
図2において、説明されているような方法は、WLAN(無線ローカルエリアネットワーク)コントローラ等の装置を管理するために使用されてもよい。コントローラは、組織のアクセスポイント(AP)の一部又は全てに対する、集中管理ポイントとして動作し、専用装置として扱われることもあり、又は、(Ethernet(登録商標)(イーサネット(登録商標))スイッチ等の)他の機器に埋め込まれてもよい。
【0094】
例えば、コントローラは、AP(アクセスポイント)管理、ユーザ管理、RF(無線周波数)管理、WLANアクセスポリシー管理等を提供する。WLANコントローラは、WLAN特定管理層サブシステムを介して、統合されたサービス及び装置管理フレームワーク(例えば、図1の集中管理設備100)に結合されている。
【0095】
フレームワークの共通管理層(CML)120は、ユーザアカウント管理、クライアント装置のプロビジョニング、アクセスポリシー等の一般的なサービスを提供する。フレームワークの特定管理層内のWLANサブシステムは、ローグ(管理されていない)なAP(アクセスポイント)検出、RF(無線周波数)管理、WLAN帯域幅アクセス評価、APの構成及び監視等の装置特定サービスを提供する。
【0096】
WLANコントローラサブシステムがフレームワーク内に登録されれば、(例えば、WLANコントローラを最初に展開した組織にとどまらず、)全ての加入者がそのシステムを利用できるようになる。加入者別に、個別のWLANコントローラサービスのインスタンスが作成され、加入者アカウントに追加される。サービスの必要がなくなれば、インスタンスは破壊される。
【0097】
本発明の実施の形態による、一つ以上の組織のネットワークのリソースを管理するためのハードウェアの装置を示すブロック図である。
【0098】
管理サーバ300は、通信メカニズム310、共通管理メカニズム312、特定管理メカニズム314、機能的メカニズム316、及び記憶装置メカニズム318を含む。本発明の他の実施の形態においては、これらのメカニズムのいずれか又は全ては、組み合わせることもできるし、或いは、再分割されてもよい。
【0099】
通信メカニズム310は、(アクセスポイント、ネットワークアタッチトサーバ、スイッチ等の)ネットワーク装置と交信できるように用いられる。通信メカニズムは、管理サーバへのアクセスを容易にするために、ユーザインタフェースを含むか、又はこれに連結されてもよい。
【0100】
一般の管理メカニズム312は、管理サーバ300の集中管理機能を提供するように用いられる。従って、管理メカニズム312は、通信メカニズム310から到着した通信を適切な特定管理メカニズム314へ経路指定し、特定管理メカニズム314又はいくつかの他の内部又は外部の集合体に代わって、機能的メカニズム316を呼び出し、適宜、他の行動を取る。
【0101】
特定の管理メカニズム314は、組織のネットワーク内の特定のサービス、特定の装置、又は装置の種類と対話するように用いられ、サービス及び/又は装置を構成し、これらの動作を監視し、問題を解決する。組織のネットワークが拡大され又は多様化するにつれて、更なる管理メカニズム314を管理サーバ300に追加してもよい。
【0102】
記憶装置メカニズム316は、管理サーバ300によって使用される情報を記憶するために用いられる。このようなデータは、管理サービス、組織の装置及び/又はサービスの構成、アクセスポリシー、事象ログ、セキュリティ認証情報等を有する組織のアカウントに関する。
【0103】
図4は、本発明の実施の形態による、一つ以上の組織のネットワークのコンポーネントを管理するための管理サーバ400を示すブロック図である。
【0104】
図4の管理サーバ400は、プロセッサ402と、メモリ404と、一つ以上の光学的及び/又は磁気記憶装置コンポーネントを含む外部記憶装置406と、を含む。管理サーバ400は、キーボード412、ポインティング装置414、及びディスプレイ416に(永久に又は一時的に)連結することができる。
【0105】
オンライン評価システムの記憶装置406は、プロセッサ402による実行のために、メモリ(主記憶装置)404へ読み込むことができる論理を記憶する。このような論理は、通信論理422、集中管理論理424、特定管理論理426及び機能論理428を含む。
【0106】
通信論理422は、組織のネットワーク装置及びサービス、組織のリソースを管理する作業を任されたオペレータ、及び/又は他の集合体と通信するためのプロセッサ実行可能命令を含む。通信論理422は、管理サーバ400に記憶された他の論理を呼び出すために、ユーザインタフェース及び/又は一般的にアクセス可能なAPIを含むことができる。管理サーバ400は、ロードバランスを保つため、異なるプロトコルを用いる通信接続を受信するため、又は、他の理由によって、複数のセットの通信論理422を含んでもよい。
【0107】
集中管理論理424は、異なる論理間の通信及び/又はコール(呼出し)を含む、集中管理タスクを実行するためのプロセッサ実行可能命令を含む。
【0108】
特定管理論理426は、特定のネットワークサービス、特定の装置、及び/又は、装置の種類の管理を容易にするためのプロセッサ実行可能命令を含む。複数のセットの特定管理論理は、様々なサービス、装置、及び/又は、装置の種類に使用される。
【0109】
機能的論理428は、組織のネットワーク内の複数の異なるサービス及び/又は装置のために呼び出すことができる装置独立型及び/又はサービス独立型の機能を実行するためのプロセッサ実行可能命令を含む。複数のセットの機能的論理428は、様々な機能的エリア(例えば、アカウント管理、事象ロギング、ポリシー、セキュリティ)で使用される。
【0110】
本発明の他の実施の形態において、管理サーバ400は、個別のコンポーネントの登録、サーバの動作管理、管理サーバの他のインスタンスにサーバデータを複写すること、ユーザインタフェースの動作に関して、更なる論理を含んでもよい。組織別にPKI方式を動作させ、管理するための論理は、図4に示されている論理の一部であってもよいし、独立していてもよい。
【特許請求の範囲】
【請求項1】
複数の組織の異機種ネットワークリソースを管理するための装置であって、
前記装置は、
各々の前記組織のネットワーク内における複数の異なる種類の装置に代わって、機能を実行するように構成された、複数の装置独立型機能モジュールと、
対応する種類の装置の動作を管理するよう、前記異なる種類の装置毎に構成された、特定機能モジュールと、
前記特定機能モジュールに代わって、前記複数の装置独立型機能モジュールを呼び出すように構成された、共通管理モジュールと、
を含み、
各々の前記組織に対して、前記特定機能モジュールの個々のインスタンスが作成される、
ネットワークリソース管理装置
【請求項2】
前記複数の異なる種類の装置と通信接続を構築するように構成された、一つ以上の通信モジュールと、を更に含む請求項1に記載のネットワークリソース管理装置。
【請求項3】
前記複数の装置独立型機能モジュールは、
前記複数の異なる種類の装置に対して、演算ポリシーを提供するように構成された、ポリシーモジュールと、
前記複数の異なる種類の装置によって報告された事象をログするように構成された、ロギングモジュールと、
第1の前記組織に関連するアカントの管理を容易にするように構成された、アカウントモジュールと、
を含む、請求項1に記載のネットワークリソース管理装置。
【請求項4】
前記組織のネットワークの管理者から、前記複数の異なる種類の装置に対する構成パラメータを受信するように構成された、ユーザインタフェースと、を更に含む請求項1に記載のネットワークリソース管理装置。
【請求項1】
複数の組織の異機種ネットワークリソースを管理するための装置であって、
前記装置は、
各々の前記組織のネットワーク内における複数の異なる種類の装置に代わって、機能を実行するように構成された、複数の装置独立型機能モジュールと、
対応する種類の装置の動作を管理するよう、前記異なる種類の装置毎に構成された、特定機能モジュールと、
前記特定機能モジュールに代わって、前記複数の装置独立型機能モジュールを呼び出すように構成された、共通管理モジュールと、
を含み、
各々の前記組織に対して、前記特定機能モジュールの個々のインスタンスが作成される、
ネットワークリソース管理装置
【請求項2】
前記複数の異なる種類の装置と通信接続を構築するように構成された、一つ以上の通信モジュールと、を更に含む請求項1に記載のネットワークリソース管理装置。
【請求項3】
前記複数の装置独立型機能モジュールは、
前記複数の異なる種類の装置に対して、演算ポリシーを提供するように構成された、ポリシーモジュールと、
前記複数の異なる種類の装置によって報告された事象をログするように構成された、ロギングモジュールと、
第1の前記組織に関連するアカントの管理を容易にするように構成された、アカウントモジュールと、
を含む、請求項1に記載のネットワークリソース管理装置。
【請求項4】
前記組織のネットワークの管理者から、前記複数の異なる種類の装置に対する構成パラメータを受信するように構成された、ユーザインタフェースと、を更に含む請求項1に記載のネットワークリソース管理装置。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2011−81809(P2011−81809A)
【公開日】平成23年4月21日(2011.4.21)
【国際特許分類】
【出願番号】特願2010−229523(P2010−229523)
【出願日】平成22年10月12日(2010.10.12)
【出願人】(502096543)パロ・アルト・リサーチ・センター・インコーポレーテッド (393)
【氏名又は名称原語表記】Palo Alto Research Center Incorporated
【Fターム(参考)】
【公開日】平成23年4月21日(2011.4.21)
【国際特許分類】
【出願日】平成22年10月12日(2010.10.12)
【出願人】(502096543)パロ・アルト・リサーチ・センター・インコーポレーテッド (393)
【氏名又は名称原語表記】Palo Alto Research Center Incorporated
【Fターム(参考)】
[ Back to top ]