USBキーを使用したネットワーク要素の管理方法及び装置
【課題】USBキーを使用したネットワーク要素の管理
【解決手段】通信ネットワークを管理するためのデバイス及び方法は、ラップトップ型コンピュータ、PDA、又はデスクトップ型ワークステーションなどのネットワーク管理者デバイス(104、110)への接続をネットワーク要素(102)に確立させることによって、USBキーを使用してネットワーク内の要素をプロビジョニング及び管理することを含む。ネットワーク要素をプロビジョニングし、そのネットワーク要素に、実際の要素の管理を可能にするために使用される第2のUSBキー(108)とやり取りするために必要とされるセキュリティ情報を持たせるために、第1のUSBキー(108)が使用される。ネットワーク要素がセキュリティ情報を有したら、第2のUSBキーが挿入され、そのネットワーク要素において、特定のコールバックデータが使用可能にされる。ネットワーク要素は、このデータを使用して、管理者のデバイスへの「コール」即ち接続を行う。コールバックデータは、デバイスのIPアドレス、e−mailアドレス、VoIPデータ、インスタントメッセージデータ、ダイヤルアップデータなどであってよい。ネットワーク要素によって開始され確立される接続がなされたら、管理者は、その要素の管理を始めることができる。
【解決手段】通信ネットワークを管理するためのデバイス及び方法は、ラップトップ型コンピュータ、PDA、又はデスクトップ型ワークステーションなどのネットワーク管理者デバイス(104、110)への接続をネットワーク要素(102)に確立させることによって、USBキーを使用してネットワーク内の要素をプロビジョニング及び管理することを含む。ネットワーク要素をプロビジョニングし、そのネットワーク要素に、実際の要素の管理を可能にするために使用される第2のUSBキー(108)とやり取りするために必要とされるセキュリティ情報を持たせるために、第1のUSBキー(108)が使用される。ネットワーク要素がセキュリティ情報を有したら、第2のUSBキーが挿入され、そのネットワーク要素において、特定のコールバックデータが使用可能にされる。ネットワーク要素は、このデータを使用して、管理者のデバイスへの「コール」即ち接続を行う。コールバックデータは、デバイスのIPアドレス、e−mailアドレス、VoIPデータ、インスタントメッセージデータ、ダイヤルアップデータなどであってよい。ネットワーク要素によって開始され確立される接続がなされたら、管理者は、その要素の管理を始めることができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータネットワーク管理に関する。より具体的には、本発明は、コンピュータネットワーク内の要素をネットワーク技術者のデバイスに接続することを可能にするUBSメモリデバイスを使用して、コンピュータネットワーク内の要素をプロビジョニング及び管理することに関する。
【背景技術】
【0002】
コンピュータネットワークの管理は、多くの組織にとって、ますます複雑で高コストな試みになっている。ネットワークは、多くの場合、広い地理的領域に広がった何百ものひいては何千ものネットワーク要素及びネットワークデバイスからなる。これは、結果として、企業環境におけるネットワーク要素の総所有コストを大幅に増大させている。最初、ネットワークは、規則的に尚且つ管理が容易な形で組織され、例えばデバイスは、論理アドレスを割り振られ、理解できる形で分類される。しかしながら、時間とともに、要素が例えばルータ内の異なるポートに移動したり、或いはネットワーク要素の設定のために最初に明確に定義されたソフトウェアがもはや適用可能又は効果的でなくなったりすることがある。
【0003】
これらの問題の多くは、ネットワーク要素が容易に識別可能でなく、ネットワーク要素に接続しようとするネットワーク技術者がその機器を識別可能でなければならないという事実に由来する。機器を識別することの問題は、アドレスに16オクテットを使用し、技術者に長いIPアドレスの記憶又は把握を要求するIPv6の登場とともに拡大している。
【0004】
説明のため、ネットワークが何千ものスイッチを有すると仮定する。各スイッチは、個別設定を必要とするのが通常であり、これは、技術者のラップトップ型コンピュータからスイッチへケーブルを引くことを伴うと考えられ、これは、更に、ボックスを物理的に移動させ、その間に技術者がスイッチのIPアドレス及びその他の要素関連データなどのデータを打ち込み、次いで、ボックスを多くは過密ネットワーク要素クローゼット内であるその場所に戻すことを伴うと考えられる。要素に物理的に接続することの必要性は、ネットワーク要素への接続に必要とされるRS232などの所要のインターフェースを欠くことが多いハンドヘルドデバイスの効果的な使用も妨げてきた。
【0005】
したがって、ネットワーク要素を管理している間に生じる複雑性及び非効率性を低減させ、要素とやり取りするために技術者が費やす時間を短縮することによって、ネットワークを維持する総コストを引き下げることが望ましいと考えられる。また、ポータブルデバイスによって、ネットワークデバイスの管理及びプロビジョニングを促進することも望ましいと考えられる。
【発明の概要】
【0006】
本発明の一態様は、一実施形態では2つのUSBストレージデバイス即ち「キー」で構成されるネットワーク管理装置である。USBキーの1つは、ルート証明機関データ及び様々なIPアドレスを含むネットワークに関連する公開キーデータなどの、特定のプロビジョニングデータを含有している。プロビジョニングデータは、ネットワーク上のネットワーク管理者コンピュータ又はその他の適切なデバイスからプロビジョニング用のUSBキーにアップロードされる。このキーは、公開キーデータ及び証明機関データなどを供給してネットワーク要素(USBポートを有する通信ネットワーク上の任意のタイプのデバイス)の準備を整えるために、そのネットワーク要素に挿入される。第1のUSBキーを使用してネットワークデバイスがプロビジョニングされると、管理フェーズを開始することができる。このフェーズでは、ネットワーク要素に第2の管理用USBキーが挿入される。ネットワーク要素は、プロビジョニング用キーからのセキュリティデータを使用して、管理用USBキーと該キーに含まれるいずれも署名を有するデータとを認証及び検証することができる。例えば、公開キーデータは、署名のチェック及びデータの復号に使用することができる。これは、ネットワーク要素が第2のUSBキー上のデータを信頼できることを保証するためになされ、これは、このデータがネットワーク要素の管理プロセスを開始させるために使用されるゆえに、重要である。
【0007】
管理用USBキー上のデータカテゴリの1つは、コールバックデータである。このデータは、ネットワーク要素が、ハンドヘルドデバイス、ラップトップ型コンピュータ、タブレット型コンピュータ、又はデスクトップ型ネットワークワークステーションなどのネットワーク管理者デバイス(「管理者デバイス」と総称される)との接続を開始するために使用することができる。コールバックデータは、管理者デバイスのIPアドレス、それらのデイバスのためのダイヤルインデータ、ボイスオーバIP(VoIP)データ、インスタントメッセージ(IM)データ、e−mailアドレスなどを含んでよい。管理者デバイスとの接続を確立するために、ネットワーク要素によって、最も適切なコールバックデータが使用される。接続がなされたら、ネットワーク管理者は、そのネットワーク要素の管理を開始することができる。接続は、(例えばラップトップ型コンピュータ又はPDAとの)無線接続であってもよいし、又は広域ネットワークの場合は異なる地理的位置にあることがあるデスクトップ型ワークステーションコンピュータへのネットワークを通じた有線接続であってもよい。このようにすれば、ネットワーク管理者は、ネットワーク要素に接続する際に、時間及び努力を費やす必要がない。ネットワーク要素に適した「コンタクト情報」を見つける必要性は、時間がかかる煩わしい作業であることが多く、これは、ネットワークが大規模に成長し、時間とともにネットワーク要素が再設定された場合などに、特にあてはまる。ネットワーク要素に管理者デバイスとの接続を自動的に行わせることによって、管理者は、反対方向への接続をなすために必要とされる必須のステップではなく、要素の実際の管理に集中することができる。
【図面の簡単な説明】
【0008】
説明の一部を構成するとともに本発明の具体的な実施形態を例示した添付の図面が参照される。
【0009】
【図1A】考えられる本発明の2つの構成を示した簡略ネットワーク図である。
【0010】
【図1B】本発明の一実施形態にしたがった、ネットワーク要素と技術者デバイスとの間にセキュア接続を確立するためにUSBキーを使用する代表的プロセスの流れ図である。
【0011】
【図2】本発明の一実施形態にしたがった、ネットワーク要素を管理するためにUSBキーに格納されたデータを示したブロック図である。
【0012】
【図3】本発明の一実施形態にしたがった、ネットワーク要素によって用いることができる技術者デバイス「コールバック」データを示したデータ構成図である。
【0013】
【図4】本発明の一実施形態にしたがった、ネットワーク内の要素をプロビジョニング及び管理するためにUSBキーに格納された様々なタイプのデータを示したブロック図である。
【0014】
【図5】本発明の一実施形態にしたがった、USBキーをプロビジョニングするため及びUSBキーを使用して技術者デバイスとネットワーク要素との間に接続を確立するためのプロセスの流れ図である。
【0015】
【図6】本発明の一実施形態にしたがった、セキュリティクレデンシャルが用意された後にUSBキーを使用してネットワーク要素を管理するプロセスの流れ図である。
【発明を実施するための形態】
【0016】
本発明にしたがって、ネットワーク要素の管理及びプロビジョニングのための新規のプロセスとシステムとを用いるネットワークの実施形態が説明される。これらの実施例及び実施形態は、単純に、背景説明を加えるため及び本発明の理解を助けるために提供される。したがって、当業者ならば、本発明が、本明細書で説明される具体的詳細の一部又は全部の詳細を特定しなくても実施可能であることが明らかである。また、本発明を不必要に不明瞭にすることを避けるために、周知の概念、ネットワーク要素、及び技術は詳細に説明されていない。その他の応用及び実施例も可能であり、以下の実施例、例示、及び背景説明は、範囲又は設定のいずれに対しても限定的即ち制限的であると見なされないことが望ましい。これらの実施形態は、当業者が本発明を実施することができるように、十分に詳細に説明されているが、これらの実施例、例示、及び背景説明は、制限的ではなく、本発明の趣旨及び範囲から逸脱することなしに、その他の実施形態を使用すること及び変更を加えることが可能である
【0017】
メモリ「スティック」とも称されるUSBメモリキー又は類似のデバイスを使用してコンピュータネットワーク内の要素をアクティブに管理及びプロビジョニングするための方法及びシステムが、各種の図面で説明される。ネットワーク要素とネットワーク技術者のコンピュータデバイスとの間の接続を促進するために、USBキー又はその他の類似のデバイスが使用される。このようにして、技術者とデバイスとのやり取りが軽減される。説明される実施形態の例示には、USBキーが使用されるが、他の実施形態では、EEPROM、U3キー、又はネットワーク要素に対して容易に挿入及び取り外しが可能なネットワークカードなどの、その他の任意の適切なポータブルメモリデバイスが使用されてよい。
【0018】
図1Aは、考えられる本発明の2つの構成を示した簡略ネットワーク図である。ネットワーク要素102が、ネットワーク接続106を通じてワークステーションコンピュータ104に接続される。これらの要素は、図示されていない、より大きなネットワークの一部である。本発明の一部として説明されるプロセス及びデバイスは、管理及びプロビジョニングを必要とするネットワーク要素からなる任意のタイプのデータ通信ネットワークに使用することができる。このようなネットワークは、ホームネットワークのように比較的小さくてもよいし、又は多くの地理的領域に跨る非常に広域のネットワークであってもよい。ネットワーク要素102は、位置Bのワークステーション104の物理的所在と異なる位置Aの物理的所在を有してよい。明瞭さを期するために、以下の説明では、人物112などの「技術者」は、ネットワークの管理者若しくはオペレータとして、又は事業体若しくは組織のデータ通信ネットワーク内の要素の管理及びプロビジョニングを担う組織内の任意の人物として定義される。本明細書で使用される「技術者デバイス」は、通常はデスクトップコンピュータであるワークステーション104などのネットワークワークステーションコンピュータであるか、又はネットワーク内の要素を管理及びプロビジョニングするために技術者によって様々な位置で持ち運び及び使用することが可能な、ハンドヘルドPDA、ラップトップ型即ちノート型コンピュータ、タブレット型コンピュータ、ハンドセットデバイスなどの、IPに即応しえる即ちIP対応のポータブルコンピュータデバイス110であってよい。これらの技術者デバイス、とりわけネットワークワークステーションコンピュータは、特別なネットワーク権限を有し、ネットワークデータ及び関連の管理データを安全に格納する。以下の説明で使用されるように、そして明瞭さを期するために、ネットワークは、エンドユーザコンピュータ、プリンタ、様々なタイプのサーバ、スイッチ、ゲートウェイ、ルータ、ストレージネットワーク要素、ネットワークキャッシュ、ファイアウォール、「多目的」ボックス(2つ又は3つ以上のネットワーク要素を内包する)などの、数々のタイプの「要素」からなる。これらの要素は、ネットワーククローゼット又は要素ラックなどの、アクセスが困難な場所にあることが多い。このようなネットワーク要素は、当該分野で周知であり、多岐に渡る様々なその他の要素を含んでよい。広義では、技術者デバイスそのものもネットワーク内の要素であり、本発明の方法及びデバイスを使用して管理及びプロビジョニングすることが可能である。更に、本発明は、多岐に渡る様々なデータ通信ネットワーク、接続形態、及び手法で使用することができる。
【0019】
図1Aには、ネットワーク要素102に挿入可能なUSBキー108も示されている。多くのネットワーク要素は、USBポート、又はその他のタイプのポータブルメモリデバイスに対して機能することができるその他のタイプのポートを有する。ひとたび挿入され、セキュリティ・クレデンシャルが確立されると、要素102は、図示されるように無線接続を通じて、技術者112によって操作されるモバイル技術者デバイスと、又は有線接続を通じてワークステーション104と、通信することができる。再度特筆すべきは、図1Aが概略図であること、本発明の利点が例えば管理を必要とする何百もの又は何千もの要素を有しえるネットワーク内ではっきり見いだせること、そしてネットワーク要素102が数々のその他の要素とともにネットワーククローゼット内のラック内にあってよいことである。別の実施例では、要素102は、ワークステーション104とは異なる地理学的位置にあってよい。
【0020】
図1Bは、本発明の一実施形態にしたがった、ネットワーク要素と技術者デバイスとの間にセキュア接続を確立するためにUSBキーを使用する代表的プロセスの流れ図である。ステップ102では、ワークステーション104などのネットワークワークステーションからUSBキーにデータがダウンロードされる。データは、ラップトップ型コンピュータなどのポータブル技術者デバイス110からダウンロードされてもよい。ダウンロードされるデータは、以下で、より詳細に説明され、セキュリティ・クレデンシャルデータ及びネットワーク要素属性データを含む。ステップ104では、ネットワーク要素にUSBキーが挿入される。要素がUSBをサポートしていない場合は、Firewire(IEEE1394)デバイス及びU3キーなどの、その他のタイプのポータブルストレージデバイスが使用されてよい。ステップ106では、ネットワーク要素とネットワークワークステーション又はモバイル技術者デバイスとの間にセキュア接続が確立される。このセキュア接続を形成するプロセスの1つが、図5で説明される。ステップ108では、ネットワーク技術者は、ネットワーク要素の管理を開始する。
【0021】
説明される実施形態では、ネットワーク内の一部又は全部の要素をアクティブに管理するために、USBキーが使用される。図2は、本発明の一実施形態にしたがった、ネットワーク要素を管理するためにUSBキーに格納されたデータを示したブロック図である。メモリ領域200には、数々のタイプのデータが格納されてよい。説明される実施形態では、データは、個々のネットワーク要素に基づいて組織化される。各要素について、例えばNortel、Ciscoなどのメーカ名又はプロバイダ名が格納される。上述されたようなネットワーク要素タイプ204(サーバ、ルータ、スイッチ、ネットワークキャッシュなど)も保存される。モデル情報206(例えばCiscoルータの場合は7200VXR)、シリアル番号又は一般的なデフォルトシリアル番号208、及び要素ネットワークIPアドレス210などの、要素に関連するその他の様々なデータも格納される。これらのデータ項目は、特定のネットワーク要素を識別する。含ませられるその他のデータには、要素を動作させる様々な又は1つのプロトコルを記述する要素プロトコルデータ212がある。別の実施形態では、ネットワーク要素と技術者デバイスとの間の接続を無効にする又はシャットダウンするための接続シャットダウンデータ214もある。説明される実施形態では、各ネットワーク要素は、署名216を有する。メモリ領域200内のデータセットは、ネットワーク内の、又はUSBキーによってプロビジョニング及び管理することができる要素に対応した要素サブセット内の、各ネットワーク要素に対して提供される。例えば、USBキーは、特定の位置にあるネットワーク要素のみを管理可能であってよく、したがって、ネットワーク内のそれらの要素のためのデータセット200のみを有する。もちろん、データの順序は可変であり、図2に説明された又は図示されたデータの順序にしたがう必要はない。図4で説明されるように、更なるデータが含まれてもよい。その他の実施形態では、本発明の方法及びシステムの使用を妨げることなしに、図2に示されたよりも少ないデータが格納されてよい。
【0022】
説明される実施形態では、ネットワーク技術者は、ネットワーク要素102がネットワークワークステーション104又はIP対応のポータブル技術者デバイス110とコンタクトを取るのに十分なデータをネットワーク要素102にダウンロードする又は移行させるために、USBキー108を使用する。技術者がネットワーク要素に接続しなければならないのではなく、ネットワーク要素が技術者デバイスへの接続を開始する。これは、ネットワークの管理を、より柔軟に尚且つ容易にすることができる。鍵となる要因の1つは、このようにすれば、(任意の管理又はプロビジョニングの作業を始める前に)単純に接続を確立するための技術者と要素とのやり取りが軽減されることにある。例えば、技術者は、要素に接続するために、その要素のIPアドレス又はその他の要素特有データを参照したり、記憶したり、その他の技術者を呼び出したりして最終的に入力する必要がない。
【0023】
ネットワーク内の全ての要素は、物理的所在を有する。例えば、要素は、特定の地理的位置を有し、1つの既知の位置に物理的に位置している。しかしながら、各要素は、「ネットワーク」所在も有し、これは、物理的位置に縛られない即ち制限されないという意味で仮想位置と称してよく、ネットワーク接続形態内のどこであってもよい。説明される実施形態では、要素が技術者デバイスとの接続を確立することによって、ネットワーク要素の物理的所在は、ある視点から見ると、ネットワーク所在に変換される。
【0024】
説明される実施形態において、図2に説明されたデータに加えてUSBキー上にある別のデータカテゴリは、技術者デバイスがワークステーションであれモバイルデバイスであれその技術者デバイスとのセキュア接続を確立するためにネットワーク要素によって使用されるデータである。図3は、本発明の一実施形態にしたがった、ネットワーク要素によって用いることができる技術者デバイス「コールバック」データを示したデータ構成図である。図3に示された実施例では、技術者デバイスのグループを構成する2つのネットワークワークステーションと2つのモバイルデバイスとがある。その他の実施例では、技術者デバイスは、これよりも多くても又は少なくてもよく(例えばVWANは、何十ものポータブル技術者デバイスを有してよく)、各デバイスは、そのネットワークワークステーション又はモバイルデバイスのための、IPアドレス及びe−mailアドレス304とダイヤルインデータ及び電話番号306とを含む、図示されたデータ302の一部又は全部を有する。その他の実施形態では、デバイスに対してボイスオーバIP(VoIP)コールを行うためのデータ310及びインスタントメッセージ(IM)データ312を含む、ネットワーク要素が技術者デバイスに接続するために必要とすると考えられるデータのような、その他のタイプの接続許可データ即ちコールバックデータが含まれてよい。その他の実施例は、セキュアWebセッション即ちコマンドシェルセッションの確立に関する情報を含む。技術者は、例えば、もし使用可能であればネットワーク要素上のユーザインターフェース、そしてコールバックの方法を使用して、そのネットワーク要素をどのワークステーション又はモバイルデバイスに接続することが望ましいかを選択することができる。別の実施形態では、予め選択された特定の技術者デバイス及びコールバックプロセスがデフォルトである。別の実施形態では、USBキーは、1つのワークステーション又は1つのモバイルデバイスのコールバック情報のみを格納されてよく、これを、自動的に使用される。これは、ネットワーク内におけるUSBキーの使用を(例えば地理的境界に基づいて)制限したい場合に好都合である。一実施形態では、技術者は、要素がどのワークステーション又は改良型デバイスに接続することが望ましいかの選択肢を有してよい。
【0025】
説明される実施形態では、図3に示されたような、USBキーに格納された証明書/認証データ308を使用して、ネットワーク要素と技術者デバイスとの間で自動的な証明及び認証がなされる。別の実施形態では、USBキーが要素に挿入され、要素がそのUSBキー(即ち新しいハードウェアデバイス)の存在を検出すると、ネットワーク要素に対する自動的なログオンがなされる。ネットワーク要素のセキュリティのため、その要素は、USBキー上のデータを読み取る前又はUSBキー上のデータによって任意の動作を実施する前に、キー上のデータ308を用いて適切な暗号化スキームによってキーを認証する。USBキーが初めて使用される場合は、ネットワーク要素とキーとの間でデータの交換がなされる前に、より高いレベルのセキュリティが必要とされると考えられる。認証に際して、USBキーから要素のローカルストレージへデータが移行される。
【0026】
説明される実施形態では、要素に対してトラブルシューティング、状態チェック、又はその他の診断を実施するために、管理用のキーより前に、別のセキュリティ・クレデンシャルUSBキーがネットワーク要素に挿入される。ネットワーク要素は、セキュリティUSBキー上の証明書に署名するために使用された秘密キーに対応する公開キーを有する。一実施形態では、要素は、例えば、特定の形で署名された情報が信頼できることを伝える信頼リストも与えられている。各種の実施形態では、RSA又はDSSの暗号化スキームを使用することができる。
【0027】
ネットワークデバイスからUSBキーが取り外されると、技術者は、ネットワーク要素からログオフする。これは、ネットワーク要素から任意のUSBキーを取り外す際に使用されたのと同じ方式で扱うことができる。
【0028】
説明される実施形態では、USBメモリデバイスは、安全な方式でプロビジョニング及び設定され、図2及び図3で説明されたような数々のデータカテゴリを含有している。図4は、本発明の一実施形態にしたがった、ネットワーク内の要素をプロビジョニング及び管理するためにUSBキーに格納された様々なタイプのデータを示したブロック図である。データは、ネットワーク要素及び技術者デバイスのIPアドレス404、DNSサーバ名及びアドレス406、メールサーバデータ408、ゲートウェイデータ410、ルート証明書情報412、及び要素IDなどの要素依存情報408などの、ネットワーク属性402を含む。データは、また、DHCPサーバからなどのように、更なるプロビジョニング情報を得るためのソース416も含有してよい。その他のデータカテゴリは、後述される、ネットワークアクセス情報418、ファームウェア情報420、セキュリティ証明書/クレデンシャル422、及びスクリプト424を含む。セキュリティ・クレデンシャル422は、信頼リストを提供するルート証明書を含んでよく、この信頼リストは、基本的に、USBキーが信頼することができる証明機関のリストである。ルート証明書は、公開キーも提供することができる。当該分野で知られるように、とある事業体は、その事業体内で使用するためのルート証明書を発行することによって、それ自身が証明機関であることが可能である。例えば、多国籍企業などの大規模な事業体は、セキュリティ上の様々な役割で使用されるルート証明書(例えばIDバッジ)を既に有していてよく、そのルート証明書は、本発明のUSBキー・プロビジョニングシステムを実装するために使用することができる。また、バックアップルート証明書があってもよい。一実施形態では、情報を暗号化するために、共有秘密キー(ビットストリームの形態をとるのが通常である)が使用される。共有秘密キーは、ルート証明書の機能に類似しているが、ルート証明書の全てのリソースを有するのではないのが通常である。
【0029】
図5は、本発明の一実施形態にしたがった、USBキーをプロビジョニングするため及びUSBキーを使用して技術者デバイスとネットワーク要素との間に接続を確立するためのプロセスの流れ図である。図示されるとともに本明細書で説明される方法のステップは、示された順序で実施される必要はない(うえに、一部の実装形態では実施されない)。この方法の一部の実装形態は、説明されたものよりも多い又は少ないステップを含んでもよい。ステップ502では、ネットワークワークステーション又はその他のソースからセキュリティUSBキーに、ネットワークセキュリティ属性が格納される。ステップ504では、セキュリティUSBキーは、技術者が管理及びトラブルシューティングなどを望むネットワーク要素に挿入される。USBキー上のデータへのアクセスが安全であることが保証される(キーの認証及び検証がなされる)と、ステップ506において、ネットワーク要素は、USBキー上のセキュリティ・クレデンシャルデータにアクセスし、そのデータをネットワーク要素のローカルストレージに格納する。例えば、セキュリティ・クレデンシャルは、証明書からなってよく、説明される実施形態では、最初に暗号化されている又はハッシュ値にされている。ステップ508では、ネットワーク要素は、例えば公開キーを使用してセキュリティ保証書を復号する。
【0030】
図6は、本発明の一実施形態にしたがった、セキュリティ・クレデンシャルが用意された後にUSBキーを使用してネットワーク要素を管理するプロセスの流れ図である。ステップ602では、ネットワーク要素は、そのUSBポートの1つにUSBキーが挿入されたことを検出する。一実施形態では、ステップ604において、ネットワーク要素は、図3で説明されたコールバックデータをUSBキーからダウンロードする。ステップ606では、ネットワーク要素は、コールバックデータ304,306を使用して技術者デバイスに接続する。上述されたように、これは、デバイスのIPアドレス、e−mailアドレス、又は幾つかの既知の技術の任意の1つを使用してなされてよい。ステップ608では、技術者デバイスは、図2で説明されたようなネットワーク要素関連データをそのストレージ領域から取り出す。ステップ610では、技術者は、ネットワーク要素の管理に進むことができる。
【0031】
本発明の別の実施形態では、ネットワーク要素を識別するため及びネットワーク要素をプロビジョニングするために、USBキーに格納されたスクリプトプログラムが使用されてよい。このようなスクリプトは、ネットワーク環境の差に応じて様々なフォーマットにエンコードされる。別の実施形態では、外部検証及び外部認証のために、認証サーバが使用される。この実施形態では、認証が外部から管理される。
【0032】
本明細書では、本発明の実施形態及び応用が図示及び説明されているが、本発明の概念、範囲、及び趣旨の範囲内で多くの変更及び修正が可能であり、当業者にならば、本応用の熟読後にこれらの変更が明らかになるであろう。したがって、説明された実施形態は、例示的で尚且つ非限定的であると見なされ、本発明は、本明細書に記載された詳細に制限されず、添付の特許請求の範囲及びそれらの等価の範囲内で変更可能である。
【技術分野】
【0001】
本発明は、コンピュータネットワーク管理に関する。より具体的には、本発明は、コンピュータネットワーク内の要素をネットワーク技術者のデバイスに接続することを可能にするUBSメモリデバイスを使用して、コンピュータネットワーク内の要素をプロビジョニング及び管理することに関する。
【背景技術】
【0002】
コンピュータネットワークの管理は、多くの組織にとって、ますます複雑で高コストな試みになっている。ネットワークは、多くの場合、広い地理的領域に広がった何百ものひいては何千ものネットワーク要素及びネットワークデバイスからなる。これは、結果として、企業環境におけるネットワーク要素の総所有コストを大幅に増大させている。最初、ネットワークは、規則的に尚且つ管理が容易な形で組織され、例えばデバイスは、論理アドレスを割り振られ、理解できる形で分類される。しかしながら、時間とともに、要素が例えばルータ内の異なるポートに移動したり、或いはネットワーク要素の設定のために最初に明確に定義されたソフトウェアがもはや適用可能又は効果的でなくなったりすることがある。
【0003】
これらの問題の多くは、ネットワーク要素が容易に識別可能でなく、ネットワーク要素に接続しようとするネットワーク技術者がその機器を識別可能でなければならないという事実に由来する。機器を識別することの問題は、アドレスに16オクテットを使用し、技術者に長いIPアドレスの記憶又は把握を要求するIPv6の登場とともに拡大している。
【0004】
説明のため、ネットワークが何千ものスイッチを有すると仮定する。各スイッチは、個別設定を必要とするのが通常であり、これは、技術者のラップトップ型コンピュータからスイッチへケーブルを引くことを伴うと考えられ、これは、更に、ボックスを物理的に移動させ、その間に技術者がスイッチのIPアドレス及びその他の要素関連データなどのデータを打ち込み、次いで、ボックスを多くは過密ネットワーク要素クローゼット内であるその場所に戻すことを伴うと考えられる。要素に物理的に接続することの必要性は、ネットワーク要素への接続に必要とされるRS232などの所要のインターフェースを欠くことが多いハンドヘルドデバイスの効果的な使用も妨げてきた。
【0005】
したがって、ネットワーク要素を管理している間に生じる複雑性及び非効率性を低減させ、要素とやり取りするために技術者が費やす時間を短縮することによって、ネットワークを維持する総コストを引き下げることが望ましいと考えられる。また、ポータブルデバイスによって、ネットワークデバイスの管理及びプロビジョニングを促進することも望ましいと考えられる。
【発明の概要】
【0006】
本発明の一態様は、一実施形態では2つのUSBストレージデバイス即ち「キー」で構成されるネットワーク管理装置である。USBキーの1つは、ルート証明機関データ及び様々なIPアドレスを含むネットワークに関連する公開キーデータなどの、特定のプロビジョニングデータを含有している。プロビジョニングデータは、ネットワーク上のネットワーク管理者コンピュータ又はその他の適切なデバイスからプロビジョニング用のUSBキーにアップロードされる。このキーは、公開キーデータ及び証明機関データなどを供給してネットワーク要素(USBポートを有する通信ネットワーク上の任意のタイプのデバイス)の準備を整えるために、そのネットワーク要素に挿入される。第1のUSBキーを使用してネットワークデバイスがプロビジョニングされると、管理フェーズを開始することができる。このフェーズでは、ネットワーク要素に第2の管理用USBキーが挿入される。ネットワーク要素は、プロビジョニング用キーからのセキュリティデータを使用して、管理用USBキーと該キーに含まれるいずれも署名を有するデータとを認証及び検証することができる。例えば、公開キーデータは、署名のチェック及びデータの復号に使用することができる。これは、ネットワーク要素が第2のUSBキー上のデータを信頼できることを保証するためになされ、これは、このデータがネットワーク要素の管理プロセスを開始させるために使用されるゆえに、重要である。
【0007】
管理用USBキー上のデータカテゴリの1つは、コールバックデータである。このデータは、ネットワーク要素が、ハンドヘルドデバイス、ラップトップ型コンピュータ、タブレット型コンピュータ、又はデスクトップ型ネットワークワークステーションなどのネットワーク管理者デバイス(「管理者デバイス」と総称される)との接続を開始するために使用することができる。コールバックデータは、管理者デバイスのIPアドレス、それらのデイバスのためのダイヤルインデータ、ボイスオーバIP(VoIP)データ、インスタントメッセージ(IM)データ、e−mailアドレスなどを含んでよい。管理者デバイスとの接続を確立するために、ネットワーク要素によって、最も適切なコールバックデータが使用される。接続がなされたら、ネットワーク管理者は、そのネットワーク要素の管理を開始することができる。接続は、(例えばラップトップ型コンピュータ又はPDAとの)無線接続であってもよいし、又は広域ネットワークの場合は異なる地理的位置にあることがあるデスクトップ型ワークステーションコンピュータへのネットワークを通じた有線接続であってもよい。このようにすれば、ネットワーク管理者は、ネットワーク要素に接続する際に、時間及び努力を費やす必要がない。ネットワーク要素に適した「コンタクト情報」を見つける必要性は、時間がかかる煩わしい作業であることが多く、これは、ネットワークが大規模に成長し、時間とともにネットワーク要素が再設定された場合などに、特にあてはまる。ネットワーク要素に管理者デバイスとの接続を自動的に行わせることによって、管理者は、反対方向への接続をなすために必要とされる必須のステップではなく、要素の実際の管理に集中することができる。
【図面の簡単な説明】
【0008】
説明の一部を構成するとともに本発明の具体的な実施形態を例示した添付の図面が参照される。
【0009】
【図1A】考えられる本発明の2つの構成を示した簡略ネットワーク図である。
【0010】
【図1B】本発明の一実施形態にしたがった、ネットワーク要素と技術者デバイスとの間にセキュア接続を確立するためにUSBキーを使用する代表的プロセスの流れ図である。
【0011】
【図2】本発明の一実施形態にしたがった、ネットワーク要素を管理するためにUSBキーに格納されたデータを示したブロック図である。
【0012】
【図3】本発明の一実施形態にしたがった、ネットワーク要素によって用いることができる技術者デバイス「コールバック」データを示したデータ構成図である。
【0013】
【図4】本発明の一実施形態にしたがった、ネットワーク内の要素をプロビジョニング及び管理するためにUSBキーに格納された様々なタイプのデータを示したブロック図である。
【0014】
【図5】本発明の一実施形態にしたがった、USBキーをプロビジョニングするため及びUSBキーを使用して技術者デバイスとネットワーク要素との間に接続を確立するためのプロセスの流れ図である。
【0015】
【図6】本発明の一実施形態にしたがった、セキュリティクレデンシャルが用意された後にUSBキーを使用してネットワーク要素を管理するプロセスの流れ図である。
【発明を実施するための形態】
【0016】
本発明にしたがって、ネットワーク要素の管理及びプロビジョニングのための新規のプロセスとシステムとを用いるネットワークの実施形態が説明される。これらの実施例及び実施形態は、単純に、背景説明を加えるため及び本発明の理解を助けるために提供される。したがって、当業者ならば、本発明が、本明細書で説明される具体的詳細の一部又は全部の詳細を特定しなくても実施可能であることが明らかである。また、本発明を不必要に不明瞭にすることを避けるために、周知の概念、ネットワーク要素、及び技術は詳細に説明されていない。その他の応用及び実施例も可能であり、以下の実施例、例示、及び背景説明は、範囲又は設定のいずれに対しても限定的即ち制限的であると見なされないことが望ましい。これらの実施形態は、当業者が本発明を実施することができるように、十分に詳細に説明されているが、これらの実施例、例示、及び背景説明は、制限的ではなく、本発明の趣旨及び範囲から逸脱することなしに、その他の実施形態を使用すること及び変更を加えることが可能である
【0017】
メモリ「スティック」とも称されるUSBメモリキー又は類似のデバイスを使用してコンピュータネットワーク内の要素をアクティブに管理及びプロビジョニングするための方法及びシステムが、各種の図面で説明される。ネットワーク要素とネットワーク技術者のコンピュータデバイスとの間の接続を促進するために、USBキー又はその他の類似のデバイスが使用される。このようにして、技術者とデバイスとのやり取りが軽減される。説明される実施形態の例示には、USBキーが使用されるが、他の実施形態では、EEPROM、U3キー、又はネットワーク要素に対して容易に挿入及び取り外しが可能なネットワークカードなどの、その他の任意の適切なポータブルメモリデバイスが使用されてよい。
【0018】
図1Aは、考えられる本発明の2つの構成を示した簡略ネットワーク図である。ネットワーク要素102が、ネットワーク接続106を通じてワークステーションコンピュータ104に接続される。これらの要素は、図示されていない、より大きなネットワークの一部である。本発明の一部として説明されるプロセス及びデバイスは、管理及びプロビジョニングを必要とするネットワーク要素からなる任意のタイプのデータ通信ネットワークに使用することができる。このようなネットワークは、ホームネットワークのように比較的小さくてもよいし、又は多くの地理的領域に跨る非常に広域のネットワークであってもよい。ネットワーク要素102は、位置Bのワークステーション104の物理的所在と異なる位置Aの物理的所在を有してよい。明瞭さを期するために、以下の説明では、人物112などの「技術者」は、ネットワークの管理者若しくはオペレータとして、又は事業体若しくは組織のデータ通信ネットワーク内の要素の管理及びプロビジョニングを担う組織内の任意の人物として定義される。本明細書で使用される「技術者デバイス」は、通常はデスクトップコンピュータであるワークステーション104などのネットワークワークステーションコンピュータであるか、又はネットワーク内の要素を管理及びプロビジョニングするために技術者によって様々な位置で持ち運び及び使用することが可能な、ハンドヘルドPDA、ラップトップ型即ちノート型コンピュータ、タブレット型コンピュータ、ハンドセットデバイスなどの、IPに即応しえる即ちIP対応のポータブルコンピュータデバイス110であってよい。これらの技術者デバイス、とりわけネットワークワークステーションコンピュータは、特別なネットワーク権限を有し、ネットワークデータ及び関連の管理データを安全に格納する。以下の説明で使用されるように、そして明瞭さを期するために、ネットワークは、エンドユーザコンピュータ、プリンタ、様々なタイプのサーバ、スイッチ、ゲートウェイ、ルータ、ストレージネットワーク要素、ネットワークキャッシュ、ファイアウォール、「多目的」ボックス(2つ又は3つ以上のネットワーク要素を内包する)などの、数々のタイプの「要素」からなる。これらの要素は、ネットワーククローゼット又は要素ラックなどの、アクセスが困難な場所にあることが多い。このようなネットワーク要素は、当該分野で周知であり、多岐に渡る様々なその他の要素を含んでよい。広義では、技術者デバイスそのものもネットワーク内の要素であり、本発明の方法及びデバイスを使用して管理及びプロビジョニングすることが可能である。更に、本発明は、多岐に渡る様々なデータ通信ネットワーク、接続形態、及び手法で使用することができる。
【0019】
図1Aには、ネットワーク要素102に挿入可能なUSBキー108も示されている。多くのネットワーク要素は、USBポート、又はその他のタイプのポータブルメモリデバイスに対して機能することができるその他のタイプのポートを有する。ひとたび挿入され、セキュリティ・クレデンシャルが確立されると、要素102は、図示されるように無線接続を通じて、技術者112によって操作されるモバイル技術者デバイスと、又は有線接続を通じてワークステーション104と、通信することができる。再度特筆すべきは、図1Aが概略図であること、本発明の利点が例えば管理を必要とする何百もの又は何千もの要素を有しえるネットワーク内ではっきり見いだせること、そしてネットワーク要素102が数々のその他の要素とともにネットワーククローゼット内のラック内にあってよいことである。別の実施例では、要素102は、ワークステーション104とは異なる地理学的位置にあってよい。
【0020】
図1Bは、本発明の一実施形態にしたがった、ネットワーク要素と技術者デバイスとの間にセキュア接続を確立するためにUSBキーを使用する代表的プロセスの流れ図である。ステップ102では、ワークステーション104などのネットワークワークステーションからUSBキーにデータがダウンロードされる。データは、ラップトップ型コンピュータなどのポータブル技術者デバイス110からダウンロードされてもよい。ダウンロードされるデータは、以下で、より詳細に説明され、セキュリティ・クレデンシャルデータ及びネットワーク要素属性データを含む。ステップ104では、ネットワーク要素にUSBキーが挿入される。要素がUSBをサポートしていない場合は、Firewire(IEEE1394)デバイス及びU3キーなどの、その他のタイプのポータブルストレージデバイスが使用されてよい。ステップ106では、ネットワーク要素とネットワークワークステーション又はモバイル技術者デバイスとの間にセキュア接続が確立される。このセキュア接続を形成するプロセスの1つが、図5で説明される。ステップ108では、ネットワーク技術者は、ネットワーク要素の管理を開始する。
【0021】
説明される実施形態では、ネットワーク内の一部又は全部の要素をアクティブに管理するために、USBキーが使用される。図2は、本発明の一実施形態にしたがった、ネットワーク要素を管理するためにUSBキーに格納されたデータを示したブロック図である。メモリ領域200には、数々のタイプのデータが格納されてよい。説明される実施形態では、データは、個々のネットワーク要素に基づいて組織化される。各要素について、例えばNortel、Ciscoなどのメーカ名又はプロバイダ名が格納される。上述されたようなネットワーク要素タイプ204(サーバ、ルータ、スイッチ、ネットワークキャッシュなど)も保存される。モデル情報206(例えばCiscoルータの場合は7200VXR)、シリアル番号又は一般的なデフォルトシリアル番号208、及び要素ネットワークIPアドレス210などの、要素に関連するその他の様々なデータも格納される。これらのデータ項目は、特定のネットワーク要素を識別する。含ませられるその他のデータには、要素を動作させる様々な又は1つのプロトコルを記述する要素プロトコルデータ212がある。別の実施形態では、ネットワーク要素と技術者デバイスとの間の接続を無効にする又はシャットダウンするための接続シャットダウンデータ214もある。説明される実施形態では、各ネットワーク要素は、署名216を有する。メモリ領域200内のデータセットは、ネットワーク内の、又はUSBキーによってプロビジョニング及び管理することができる要素に対応した要素サブセット内の、各ネットワーク要素に対して提供される。例えば、USBキーは、特定の位置にあるネットワーク要素のみを管理可能であってよく、したがって、ネットワーク内のそれらの要素のためのデータセット200のみを有する。もちろん、データの順序は可変であり、図2に説明された又は図示されたデータの順序にしたがう必要はない。図4で説明されるように、更なるデータが含まれてもよい。その他の実施形態では、本発明の方法及びシステムの使用を妨げることなしに、図2に示されたよりも少ないデータが格納されてよい。
【0022】
説明される実施形態では、ネットワーク技術者は、ネットワーク要素102がネットワークワークステーション104又はIP対応のポータブル技術者デバイス110とコンタクトを取るのに十分なデータをネットワーク要素102にダウンロードする又は移行させるために、USBキー108を使用する。技術者がネットワーク要素に接続しなければならないのではなく、ネットワーク要素が技術者デバイスへの接続を開始する。これは、ネットワークの管理を、より柔軟に尚且つ容易にすることができる。鍵となる要因の1つは、このようにすれば、(任意の管理又はプロビジョニングの作業を始める前に)単純に接続を確立するための技術者と要素とのやり取りが軽減されることにある。例えば、技術者は、要素に接続するために、その要素のIPアドレス又はその他の要素特有データを参照したり、記憶したり、その他の技術者を呼び出したりして最終的に入力する必要がない。
【0023】
ネットワーク内の全ての要素は、物理的所在を有する。例えば、要素は、特定の地理的位置を有し、1つの既知の位置に物理的に位置している。しかしながら、各要素は、「ネットワーク」所在も有し、これは、物理的位置に縛られない即ち制限されないという意味で仮想位置と称してよく、ネットワーク接続形態内のどこであってもよい。説明される実施形態では、要素が技術者デバイスとの接続を確立することによって、ネットワーク要素の物理的所在は、ある視点から見ると、ネットワーク所在に変換される。
【0024】
説明される実施形態において、図2に説明されたデータに加えてUSBキー上にある別のデータカテゴリは、技術者デバイスがワークステーションであれモバイルデバイスであれその技術者デバイスとのセキュア接続を確立するためにネットワーク要素によって使用されるデータである。図3は、本発明の一実施形態にしたがった、ネットワーク要素によって用いることができる技術者デバイス「コールバック」データを示したデータ構成図である。図3に示された実施例では、技術者デバイスのグループを構成する2つのネットワークワークステーションと2つのモバイルデバイスとがある。その他の実施例では、技術者デバイスは、これよりも多くても又は少なくてもよく(例えばVWANは、何十ものポータブル技術者デバイスを有してよく)、各デバイスは、そのネットワークワークステーション又はモバイルデバイスのための、IPアドレス及びe−mailアドレス304とダイヤルインデータ及び電話番号306とを含む、図示されたデータ302の一部又は全部を有する。その他の実施形態では、デバイスに対してボイスオーバIP(VoIP)コールを行うためのデータ310及びインスタントメッセージ(IM)データ312を含む、ネットワーク要素が技術者デバイスに接続するために必要とすると考えられるデータのような、その他のタイプの接続許可データ即ちコールバックデータが含まれてよい。その他の実施例は、セキュアWebセッション即ちコマンドシェルセッションの確立に関する情報を含む。技術者は、例えば、もし使用可能であればネットワーク要素上のユーザインターフェース、そしてコールバックの方法を使用して、そのネットワーク要素をどのワークステーション又はモバイルデバイスに接続することが望ましいかを選択することができる。別の実施形態では、予め選択された特定の技術者デバイス及びコールバックプロセスがデフォルトである。別の実施形態では、USBキーは、1つのワークステーション又は1つのモバイルデバイスのコールバック情報のみを格納されてよく、これを、自動的に使用される。これは、ネットワーク内におけるUSBキーの使用を(例えば地理的境界に基づいて)制限したい場合に好都合である。一実施形態では、技術者は、要素がどのワークステーション又は改良型デバイスに接続することが望ましいかの選択肢を有してよい。
【0025】
説明される実施形態では、図3に示されたような、USBキーに格納された証明書/認証データ308を使用して、ネットワーク要素と技術者デバイスとの間で自動的な証明及び認証がなされる。別の実施形態では、USBキーが要素に挿入され、要素がそのUSBキー(即ち新しいハードウェアデバイス)の存在を検出すると、ネットワーク要素に対する自動的なログオンがなされる。ネットワーク要素のセキュリティのため、その要素は、USBキー上のデータを読み取る前又はUSBキー上のデータによって任意の動作を実施する前に、キー上のデータ308を用いて適切な暗号化スキームによってキーを認証する。USBキーが初めて使用される場合は、ネットワーク要素とキーとの間でデータの交換がなされる前に、より高いレベルのセキュリティが必要とされると考えられる。認証に際して、USBキーから要素のローカルストレージへデータが移行される。
【0026】
説明される実施形態では、要素に対してトラブルシューティング、状態チェック、又はその他の診断を実施するために、管理用のキーより前に、別のセキュリティ・クレデンシャルUSBキーがネットワーク要素に挿入される。ネットワーク要素は、セキュリティUSBキー上の証明書に署名するために使用された秘密キーに対応する公開キーを有する。一実施形態では、要素は、例えば、特定の形で署名された情報が信頼できることを伝える信頼リストも与えられている。各種の実施形態では、RSA又はDSSの暗号化スキームを使用することができる。
【0027】
ネットワークデバイスからUSBキーが取り外されると、技術者は、ネットワーク要素からログオフする。これは、ネットワーク要素から任意のUSBキーを取り外す際に使用されたのと同じ方式で扱うことができる。
【0028】
説明される実施形態では、USBメモリデバイスは、安全な方式でプロビジョニング及び設定され、図2及び図3で説明されたような数々のデータカテゴリを含有している。図4は、本発明の一実施形態にしたがった、ネットワーク内の要素をプロビジョニング及び管理するためにUSBキーに格納された様々なタイプのデータを示したブロック図である。データは、ネットワーク要素及び技術者デバイスのIPアドレス404、DNSサーバ名及びアドレス406、メールサーバデータ408、ゲートウェイデータ410、ルート証明書情報412、及び要素IDなどの要素依存情報408などの、ネットワーク属性402を含む。データは、また、DHCPサーバからなどのように、更なるプロビジョニング情報を得るためのソース416も含有してよい。その他のデータカテゴリは、後述される、ネットワークアクセス情報418、ファームウェア情報420、セキュリティ証明書/クレデンシャル422、及びスクリプト424を含む。セキュリティ・クレデンシャル422は、信頼リストを提供するルート証明書を含んでよく、この信頼リストは、基本的に、USBキーが信頼することができる証明機関のリストである。ルート証明書は、公開キーも提供することができる。当該分野で知られるように、とある事業体は、その事業体内で使用するためのルート証明書を発行することによって、それ自身が証明機関であることが可能である。例えば、多国籍企業などの大規模な事業体は、セキュリティ上の様々な役割で使用されるルート証明書(例えばIDバッジ)を既に有していてよく、そのルート証明書は、本発明のUSBキー・プロビジョニングシステムを実装するために使用することができる。また、バックアップルート証明書があってもよい。一実施形態では、情報を暗号化するために、共有秘密キー(ビットストリームの形態をとるのが通常である)が使用される。共有秘密キーは、ルート証明書の機能に類似しているが、ルート証明書の全てのリソースを有するのではないのが通常である。
【0029】
図5は、本発明の一実施形態にしたがった、USBキーをプロビジョニングするため及びUSBキーを使用して技術者デバイスとネットワーク要素との間に接続を確立するためのプロセスの流れ図である。図示されるとともに本明細書で説明される方法のステップは、示された順序で実施される必要はない(うえに、一部の実装形態では実施されない)。この方法の一部の実装形態は、説明されたものよりも多い又は少ないステップを含んでもよい。ステップ502では、ネットワークワークステーション又はその他のソースからセキュリティUSBキーに、ネットワークセキュリティ属性が格納される。ステップ504では、セキュリティUSBキーは、技術者が管理及びトラブルシューティングなどを望むネットワーク要素に挿入される。USBキー上のデータへのアクセスが安全であることが保証される(キーの認証及び検証がなされる)と、ステップ506において、ネットワーク要素は、USBキー上のセキュリティ・クレデンシャルデータにアクセスし、そのデータをネットワーク要素のローカルストレージに格納する。例えば、セキュリティ・クレデンシャルは、証明書からなってよく、説明される実施形態では、最初に暗号化されている又はハッシュ値にされている。ステップ508では、ネットワーク要素は、例えば公開キーを使用してセキュリティ保証書を復号する。
【0030】
図6は、本発明の一実施形態にしたがった、セキュリティ・クレデンシャルが用意された後にUSBキーを使用してネットワーク要素を管理するプロセスの流れ図である。ステップ602では、ネットワーク要素は、そのUSBポートの1つにUSBキーが挿入されたことを検出する。一実施形態では、ステップ604において、ネットワーク要素は、図3で説明されたコールバックデータをUSBキーからダウンロードする。ステップ606では、ネットワーク要素は、コールバックデータ304,306を使用して技術者デバイスに接続する。上述されたように、これは、デバイスのIPアドレス、e−mailアドレス、又は幾つかの既知の技術の任意の1つを使用してなされてよい。ステップ608では、技術者デバイスは、図2で説明されたようなネットワーク要素関連データをそのストレージ領域から取り出す。ステップ610では、技術者は、ネットワーク要素の管理に進むことができる。
【0031】
本発明の別の実施形態では、ネットワーク要素を識別するため及びネットワーク要素をプロビジョニングするために、USBキーに格納されたスクリプトプログラムが使用されてよい。このようなスクリプトは、ネットワーク環境の差に応じて様々なフォーマットにエンコードされる。別の実施形態では、外部検証及び外部認証のために、認証サーバが使用される。この実施形態では、認証が外部から管理される。
【0032】
本明細書では、本発明の実施形態及び応用が図示及び説明されているが、本発明の概念、範囲、及び趣旨の範囲内で多くの変更及び修正が可能であり、当業者にならば、本応用の熟読後にこれらの変更が明らかになるであろう。したがって、説明された実施形態は、例示的で尚且つ非限定的であると見なされ、本発明は、本明細書に記載された詳細に制限されず、添付の特許請求の範囲及びそれらの等価の範囲内で変更可能である。
【特許請求の範囲】
【請求項1】
ネットワーク管理装置であって、
ネットワークに関連する公開キーデータを有する第1のストレージデバイスであって、前記データは、ルート証明機関データ及び複数のIPアドレスを含む、第1のストレージデバイスと、
ネットワークデータ及び命令スクリプトを有する第2のストレージデバイスであって、前記命令スクリプトは、前記第2のストレージデバイスがネットワーク要素に挿入されたときに前記ネットワーク要素の特定の動作を導き、前記第2のストレージデバイス上の前記ネットワークデータ及び前記命令スクリプトは、前記第1のストレージデバイスに格納された前記公開キーデータを使用して署名される、第2のストレージデバイスと、
を備えるネットワーク管理装置。
【請求項2】
請求項1に記載のネットワーク管理装置であって、
前記第1のストレージデバイスは、更に、ネットワーク属性データを有する、ネットワーク管理装置。
【請求項3】
請求項1及び2に記載のネットワーク管理装置であって、
前記第1のストレージデバイスは、更に、セキュリティ証明書データを有する、ネットワーク管理装置。
【請求項4】
請求項1、2、及び3に記載のネットワーク管理装置であって、
前記第1のストレージデバイスは、更に、DNSサーバ名及びアドレスを有する、ネットワーク管理装置。
【請求項5】
請求項1、2、3、及び4に記載のネットワーク管理装置であって、
前記第1のストレージデバイスは、更に、ゲートウェイデータを有する、ネットワーク管理装置。
【請求項6】
請求項1、2、3、4、及び5に記載のネットワーク管理装置であって、
前記第2のストレージデバイスは、更に、コールバックデータを有する、ネットワーク管理装置。
【請求項7】
請求項6に記載のネットワーク管理装置であって、
前記コールバックデータは、ネットワーク管理コンピュータデバイスと前記ネットワーク要素との間のIP接続を可能にするために、前記コンピュータデバイスのIPアドレスを含む、ネットワーク管理装置。
【請求項8】
請求項6に記載のネットワーク管理装置であって、
前記コールバックデータは、前記ネットワーク要素から前記管理コンピュータデバイスへのボイスオーバIPコールを可能にするために、ボイスオーバIPデータを含む、ネットワーク管理装置。
【請求項9】
請求項1、2、3、4、5、及び6に記載のネットワーク管理装置であって、
前記第2のストレージデバイスは、更に、要素製造データ、要素タイプ、及びモデルデータを含むネットワーク要素データを有する、ネットワーク管理装置。
【請求項10】
請求項9に記載のネットワーク管理装置であって、
前記第2のストレージデバイスは、更に、ネットワーク要素IPアドレス及びプロトコルを有する、ネットワーク管理装置。
【請求項11】
請求項9及び10に記載のネットワーク管理装置であって、
前記第2のストレージデバイスは、更に、シャットダウンデータを有する、ネットワーク管理装置。
【請求項12】
請求項1、2、3、4、5、6、及び9に記載のネットワーク管理装置であって、
前記第1及び第2のストレージデバイスは、USBキーである、ネットワーク管理装置。
【請求項13】
請求項1、2、3、4、5、6、9、及び12に記載のネットワーク管理装置であって、
前記第1及び第2のストレージデバイスは、U3キーである、ネットワーク管理装置。
【請求項14】
ネットワークを管理する方法であって、
ネットワークに関連する公開キー情報を第1のポータブルストレージデバイスに格納することと、
ネットワークデータ及びスクリプトを第2のポータブルストレージデバイスに格納することと、
前記第1のストレージデバイスを使用して、ネットワーク要素をプロビジョニングすることと、
前記第2のストレージデバイス及び管理要素を使用して、前記ネットワーク要素を管理することであって、前記ネットワーク要素は、前記管理要素との接続を開始及び確立する、ことと、
前記第2のストレージデバイスの使用を止めることによって、前記管理要素との接続を切断することと、
を備える方法。
【請求項15】
請求項14に記載の方法であって、
公開キー情報を格納することは、ルート証明機関データ、IPアドレス、ゲートウェイデータ、及びネットワークアクセス情報の1つ又は2つ以上を格納することを含む、方法。
【請求項16】
請求項14及び15に記載の方法であって、更に、
前記公開キー情報をネットワーク管理ワークステーションから取り出すことを備える方法。
【請求項17】
請求項14、15、及び16に記載の方法であって、
ネットワークデータ及びスクリプトを格納することは、更に、前記第2のストレージデバイスにコールバックデータを格納することを含み、前記コールバックデータは、ネットワーク管理デバイスIPアドレス、ボイスオーバIPデータ、インスタントメッセージデータ、及びダイヤルインデータを含む、方法。
【請求項18】
請求項14、15、16、及び17に記載の方法であって、更に、
前記第2のポータブルストレージデバイスに格納された前記データにデジタル署名を適用することを備える方法。
【請求項19】
請求項14、15、16、17、及び18に記載の方法であって、
ネットワーク要素をプロビジョニングすることは、更に、前記第1のポータブルストレージデバイス上のデータを前記ネットワーク要素で読み出し、前記データを前記ネットワーク要素上で実行することを含み、前記ネットワーク要素は、前記第2のストレージデバイスに格納されたデータを安全に受け入れるように構成される、方法。
【請求項20】
請求項14、15、16、17、18、及び19に記載の方法であって、
ネットワーク要素をプロビジョニングすることは、更に、前記ネットワークに関連する公開キー情報を前記ネットワーク要素に提供することを含む、方法。
【請求項21】
請求項14、15、16、17、18、19、及び20に記載の方法であって、
前記第2のストレージデバイスを使用して前記ネットワーク要素を管理することは、更に、前記ネットワーク要素にコールバック情報を提供し、前記要素を前記管理要素に接続可能にすることを含む、方法。
【請求項22】
請求項14、15、16、17、18、19、20、及び21に記載の方法であって、更に、
前記第2のストレージデバイス上の前記ネットワークデータ及びスクリプトが前記ネットワーク要素によって実行される又は読み出される前に、前記データ及びスクリプトの署名を検証することを備える方法。
【請求項23】
請求項14、15、16、17、18、19、20、21、及び22に記載の方法であって、
接続を切断することは、更に、前記ネットワーク要素から前記第2のストレージデバイスを取り除くことを含む、方法。
【請求項24】
請求項14、15、16、17、18、19、20、21、22、及び23に記載の方法であって、
前記第1及び第2のストレージデバイスは、USBキーである、方法。
【請求項25】
ネットワーク内の要素を管理する方法であって、
ネットワーク要素に対して技術者デバイスを認証するために、前記ネットワーク要素に第1のUSBキーを挿入することと、
前記第1のUSBキーを使用して、前記要素と前記デバイスとの間に接続を確立することであって、前記ネットワーク要素は、前記デバイスとの前記接続を開始する、ことと、
前記ネットワーク要素に第2のUSBキーを挿入することと、
前記ネットワーク要素を管理する目的で、ネットワーク要素データを取り出すことと、
前記第2のUSBキーを使用して、前記ネットワーク要素を管理することと、
を備える方法。
【請求項1】
ネットワーク管理装置であって、
ネットワークに関連する公開キーデータを有する第1のストレージデバイスであって、前記データは、ルート証明機関データ及び複数のIPアドレスを含む、第1のストレージデバイスと、
ネットワークデータ及び命令スクリプトを有する第2のストレージデバイスであって、前記命令スクリプトは、前記第2のストレージデバイスがネットワーク要素に挿入されたときに前記ネットワーク要素の特定の動作を導き、前記第2のストレージデバイス上の前記ネットワークデータ及び前記命令スクリプトは、前記第1のストレージデバイスに格納された前記公開キーデータを使用して署名される、第2のストレージデバイスと、
を備えるネットワーク管理装置。
【請求項2】
請求項1に記載のネットワーク管理装置であって、
前記第1のストレージデバイスは、更に、ネットワーク属性データを有する、ネットワーク管理装置。
【請求項3】
請求項1及び2に記載のネットワーク管理装置であって、
前記第1のストレージデバイスは、更に、セキュリティ証明書データを有する、ネットワーク管理装置。
【請求項4】
請求項1、2、及び3に記載のネットワーク管理装置であって、
前記第1のストレージデバイスは、更に、DNSサーバ名及びアドレスを有する、ネットワーク管理装置。
【請求項5】
請求項1、2、3、及び4に記載のネットワーク管理装置であって、
前記第1のストレージデバイスは、更に、ゲートウェイデータを有する、ネットワーク管理装置。
【請求項6】
請求項1、2、3、4、及び5に記載のネットワーク管理装置であって、
前記第2のストレージデバイスは、更に、コールバックデータを有する、ネットワーク管理装置。
【請求項7】
請求項6に記載のネットワーク管理装置であって、
前記コールバックデータは、ネットワーク管理コンピュータデバイスと前記ネットワーク要素との間のIP接続を可能にするために、前記コンピュータデバイスのIPアドレスを含む、ネットワーク管理装置。
【請求項8】
請求項6に記載のネットワーク管理装置であって、
前記コールバックデータは、前記ネットワーク要素から前記管理コンピュータデバイスへのボイスオーバIPコールを可能にするために、ボイスオーバIPデータを含む、ネットワーク管理装置。
【請求項9】
請求項1、2、3、4、5、及び6に記載のネットワーク管理装置であって、
前記第2のストレージデバイスは、更に、要素製造データ、要素タイプ、及びモデルデータを含むネットワーク要素データを有する、ネットワーク管理装置。
【請求項10】
請求項9に記載のネットワーク管理装置であって、
前記第2のストレージデバイスは、更に、ネットワーク要素IPアドレス及びプロトコルを有する、ネットワーク管理装置。
【請求項11】
請求項9及び10に記載のネットワーク管理装置であって、
前記第2のストレージデバイスは、更に、シャットダウンデータを有する、ネットワーク管理装置。
【請求項12】
請求項1、2、3、4、5、6、及び9に記載のネットワーク管理装置であって、
前記第1及び第2のストレージデバイスは、USBキーである、ネットワーク管理装置。
【請求項13】
請求項1、2、3、4、5、6、9、及び12に記載のネットワーク管理装置であって、
前記第1及び第2のストレージデバイスは、U3キーである、ネットワーク管理装置。
【請求項14】
ネットワークを管理する方法であって、
ネットワークに関連する公開キー情報を第1のポータブルストレージデバイスに格納することと、
ネットワークデータ及びスクリプトを第2のポータブルストレージデバイスに格納することと、
前記第1のストレージデバイスを使用して、ネットワーク要素をプロビジョニングすることと、
前記第2のストレージデバイス及び管理要素を使用して、前記ネットワーク要素を管理することであって、前記ネットワーク要素は、前記管理要素との接続を開始及び確立する、ことと、
前記第2のストレージデバイスの使用を止めることによって、前記管理要素との接続を切断することと、
を備える方法。
【請求項15】
請求項14に記載の方法であって、
公開キー情報を格納することは、ルート証明機関データ、IPアドレス、ゲートウェイデータ、及びネットワークアクセス情報の1つ又は2つ以上を格納することを含む、方法。
【請求項16】
請求項14及び15に記載の方法であって、更に、
前記公開キー情報をネットワーク管理ワークステーションから取り出すことを備える方法。
【請求項17】
請求項14、15、及び16に記載の方法であって、
ネットワークデータ及びスクリプトを格納することは、更に、前記第2のストレージデバイスにコールバックデータを格納することを含み、前記コールバックデータは、ネットワーク管理デバイスIPアドレス、ボイスオーバIPデータ、インスタントメッセージデータ、及びダイヤルインデータを含む、方法。
【請求項18】
請求項14、15、16、及び17に記載の方法であって、更に、
前記第2のポータブルストレージデバイスに格納された前記データにデジタル署名を適用することを備える方法。
【請求項19】
請求項14、15、16、17、及び18に記載の方法であって、
ネットワーク要素をプロビジョニングすることは、更に、前記第1のポータブルストレージデバイス上のデータを前記ネットワーク要素で読み出し、前記データを前記ネットワーク要素上で実行することを含み、前記ネットワーク要素は、前記第2のストレージデバイスに格納されたデータを安全に受け入れるように構成される、方法。
【請求項20】
請求項14、15、16、17、18、及び19に記載の方法であって、
ネットワーク要素をプロビジョニングすることは、更に、前記ネットワークに関連する公開キー情報を前記ネットワーク要素に提供することを含む、方法。
【請求項21】
請求項14、15、16、17、18、19、及び20に記載の方法であって、
前記第2のストレージデバイスを使用して前記ネットワーク要素を管理することは、更に、前記ネットワーク要素にコールバック情報を提供し、前記要素を前記管理要素に接続可能にすることを含む、方法。
【請求項22】
請求項14、15、16、17、18、19、20、及び21に記載の方法であって、更に、
前記第2のストレージデバイス上の前記ネットワークデータ及びスクリプトが前記ネットワーク要素によって実行される又は読み出される前に、前記データ及びスクリプトの署名を検証することを備える方法。
【請求項23】
請求項14、15、16、17、18、19、20、21、及び22に記載の方法であって、
接続を切断することは、更に、前記ネットワーク要素から前記第2のストレージデバイスを取り除くことを含む、方法。
【請求項24】
請求項14、15、16、17、18、19、20、21、22、及び23に記載の方法であって、
前記第1及び第2のストレージデバイスは、USBキーである、方法。
【請求項25】
ネットワーク内の要素を管理する方法であって、
ネットワーク要素に対して技術者デバイスを認証するために、前記ネットワーク要素に第1のUSBキーを挿入することと、
前記第1のUSBキーを使用して、前記要素と前記デバイスとの間に接続を確立することであって、前記ネットワーク要素は、前記デバイスとの前記接続を開始する、ことと、
前記ネットワーク要素に第2のUSBキーを挿入することと、
前記ネットワーク要素を管理する目的で、ネットワーク要素データを取り出すことと、
前記第2のUSBキーを使用して、前記ネットワーク要素を管理することと、
を備える方法。
【図1A】
【図1B】
【図2】
【図3】
【図4】
【図5】
【図6】
【図1B】
【図2】
【図3】
【図4】
【図5】
【図6】
【公表番号】特表2010−527076(P2010−527076A)
【公表日】平成22年8月5日(2010.8.5)
【国際特許分類】
【出願番号】特願2010−507618(P2010−507618)
【出願日】平成20年5月7日(2008.5.7)
【国際出願番号】PCT/US2008/062888
【国際公開番号】WO2008/137926
【国際公開日】平成20年11月13日(2008.11.13)
【出願人】(508088591)モカナ・コーポレーション (2)
【氏名又は名称原語表記】MOCANA CORPORATION
【Fターム(参考)】
【公表日】平成22年8月5日(2010.8.5)
【国際特許分類】
【出願日】平成20年5月7日(2008.5.7)
【国際出願番号】PCT/US2008/062888
【国際公開番号】WO2008/137926
【国際公開日】平成20年11月13日(2008.11.13)
【出願人】(508088591)モカナ・コーポレーション (2)
【氏名又は名称原語表記】MOCANA CORPORATION
【Fターム(参考)】
[ Back to top ]