KR20110040691A - 네트워크 자원들을 관리하는 장치 및 방법 - Google Patents

네트워크 자원들을 관리하는 장치 및 방법 Download PDF

Info

Publication number
KR20110040691A
KR20110040691A KR1020100098124A KR20100098124A KR20110040691A KR 20110040691 A KR20110040691 A KR 20110040691A KR 1020100098124 A KR1020100098124 A KR 1020100098124A KR 20100098124 A KR20100098124 A KR 20100098124A KR 20110040691 A KR20110040691 A KR 20110040691A
Authority
KR
South Korea
Prior art keywords
organization
network
devices
management
facility
Prior art date
Application number
KR1020100098124A
Other languages
English (en)
Inventor
테드 궈
리-젠 왕
보-시에 양
제프 아브라모위츠
안드레아 페이로
Original Assignee
팔로 알토 리서치 센터 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 팔로 알토 리서치 센터 인코포레이티드 filed Critical 팔로 알토 리서치 센터 인코포레이티드
Publication of KR20110040691A publication Critical patent/KR20110040691A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling

Abstract

네트워크 자원들을 관리하는 장치 및 방법들이 제공된다. 중앙의 단일화된 서비스 및 디바이스 관리 프레임워크는 다수의 조직들 대신 다양한 유형의 자원들을 동시에 관리하도록 동작한다. 프레임워크내에서, 공통 관리층은 다수의 상이한 서비스들 및 디바이스에게 공통된 서비스들(예를 들어, 계정 관리, 이벤트 기록)을 제공한다. 특정 관리층 내에서, 별개의 서브시스템들은 상이한 디바이스들 또는 디바이스들의 유형들에 대해 구현된다. 디바이스 특정 서브시스템들은 공통 관리층에 의해 노출된 프리미티브들을 통해 디바이스 독립 기능적 모듈들을 작동한다. 주어진 조직은 상이한 물리적 위치들(예를 들어, 도시들, 사무실들)에 또는 조직의 상이한 세분들(예를 들어, 자회사, 부서) 내에서 전개된 자원들을 그룹핑하도록 계층화된 논리적 구조들을 확립할 수 있다.

Description

네트워크 자원들을 관리하는 장치 및 방법{Apparatus and methods for managing network resources}
본 발명은 컴퓨터 시스템들의 분야들에 관한 것이다. 보다 구체적으로, 네트워크 디바이스들 및/또는 서비스들의 가상화된 및 중앙화된 관리를 위한 장치 및 방법들이 제공된다.
네트워크된 컴퓨터 시스템들을 효율적으로 구성하고 동작하는데 필요한 지식 레벨은 꽤 높다. 큰 조직들은 전형적으로 새로운 장비를 구성 및 유지하고, 장비의 동작시 사용자들을 돕고, 보안 정책들을 적용하고, 네트워크 보안을 모니터하기 위해 비교적 많은 IT(Information Technology) 직원들을 유지한다. 그러나, 일부 조직들, 특히 작은 조직들은 이러한 모든 기능들을 수행하기 위한 충분한 경험의 전임 IT 직원을 제공할 수 없고, 그러한 조직 내에서 IT 책임을 맡는 사람들은 일어날 수 있는 수많은 문제들 및 도전들에 대해 준비되지 않을 수 있다.
예를 들어, 비인가 액세스로부터 조직의 네트워크 자원들을 보호하는 것은 불완전하거나 비효율적인 방법으로 수행될 수도 있는 중요한 업무이다. 상기 문제의 복잡성으로 인해, 효율성의 결여는 네트워크가 파괴될 때까지 상기 조직에 명백해지지 않을 수 있다. 전자적으로 저장된 데이터의 양은 굉장히 많고 매일 증가하고, 네트워크 보안을 더 중요하게 한다.
네트워크 자원을 적절히 보호하는 것이 어려운 이유 중 하나는 지나친 어려움 없이 자원들의 적법한 이용을 허용할 필요성과 모든 부당한 이용을 방지하려는 생각 사이의 갈등이다. 이러한 갈등은 조직 내에서 전개될 자원들의 수 및 유형들이 증가함으로써 증가한다.
각각의 새로운 유형의 자원은 액세스 허용된 자원들에 대해 상이한 방법으로 구성되고, 원하는 레벨의 보안을 적용할 수 있다. 조직의 네트워크 자원들을 보호하는 것은 많은 업무들 중 하나이고, 적절한 IT 직원이 없는 이러한 업무는 사용자의 실시간 도움 요구에도 불구하고 짧은 시간이 주어질 수 있다. 따라서, 네트워크 보안을 구성하고 모니터링하는 것은 조직 내에서 사용하기 위해 자신의 장비를 구성하는 사용자들을 돕는 것 같은 업무들과 경쟁해야 한다.
자원들의 구성은 다수의 상이한 유형들의 장비를 채용하는 조직에 대해 특히 어렵다. 특히, 비용에 관심 있는 작은 조직들은 특정 동작에 대해 가장 저렴한 장비를 구매하여, 상이한 상인들(vendors) 및 제조자들로부터 구성요소들이 뒤범벅되게 한다. 따라서, 상기 조직은 상이한 제조자들에 의해 생산된 다수의 액세스 포인트들, 스위치들 또는 다른 통신 구성요소들을 배치할 것이다.
상이한 유형 또는 모델의 각각의 장비는 전형적으로 상이한 구성가능 파라미터들 또는 상이한 방법으로 구성된 파라미터들을 포함한다. 구성의 일부 파라미터들 및 방법들이 상이한 디바이스들에 있어서 동일할지라도, 다른 것들이 다를 것이다. 네트워크 구성요소들에 대해 충분한 전문지식이 없거나 익숙하지 않은, 개인은 구성요소를 부정확하게 구성하거나 정확한 구성을 결정하는데 시간을 낭비하기 쉽다.
일부 조직들은 그들의 네트워크에서 사용하기 위한 새로운 디바이스들을 준비하기 위해 자동화된 준비를 이용하도록 선택한다. 그러나, 조직의 보안 정책들이 자동화된 준비를 수행하기 위한 장비를 포함하지 않고, 디바이스의 준비 동안 정확하게 적용되지 않으면, 보안 취약성이 새로운 디바이스와 함께 조직에 도입될 수 있다. 또는, 준비가 무계획적으로 또는 서둘러 수행되면, 보안 정책들은 정확하거나 완전하게 적용될 수 없다.
또한, 주어진 네트워크 구성요소가 최초로 구성된 후라도, 일부 파라미터들은 조직의 네트워크 발전때문에 변경되거나 업데이트될 필요가 있다. 제한된 IT 직원을 갖는 조직에 대해, 조직 내부에 배치될 수 있는 수많은 네트워크 자원들에 대한 일반적인 주의 사항은 실현불가능할 수 있다.
조직의 네트워크된 디바이스들 및 서비스들에 대한 기존의 솔루션들은 단지 단일 디바이스 또는 단일 서비스에 대한 것이다. 다수의 유형들의 디바이스들 및/또는 다수의 네트워크 서비스들을 관리하려는 작은 조직의 필요에 대한 제 3의 솔루션이 없다면, 상기 조직은 자신이 할 수 있는 최선으로 동작하도록 남겨진다.
따라서, 조직의 네트워크 내에서 안전하고 효율적으로 동작하기 위한 구성요소들의 구성은 어렵고 시간-소비적이다. 그리고, 상기 구성요소들이 상기 네트워크 및 상기 조직의 보안 정책들로 성공적으로 통합된 후에도, 상기 네트워크가 잘 기능하도록 진행에 기반하여 관리될 필요가 있다.
본 발명의 일부 실시예들에서, 구성, 전개, 동작 및/또는 필요한 다른 테스크들을 커버하도록, 조직의 네트워크 디바이스들 및 서비스들의 단일화된 관리를 제공하는 장치 및 방법들이 제공된다. 하나 이상의 다수의 조직의 자원들은 하나의 엔티티에 의해 관리될 수 있다.
이 실시예들에서, 단일화된 서비스 및 디바이스들 관리 시스템은 물리적인 디바이스들의 구성, 전개 및 동작 및/또는 특정 전자 서비스들을 관리하기 위해 제공된다. 특정 디바이스 유형의 다수의 모델들 또는 버전들 뿐만 아니라 다수의 유형의 디바이스들/서비스들이 관리될 수 있다.
본 발명의 일부 실시예들에서, 계층화된 관리 또는 경영 도메인들은 하나의 조직의 상이한 위치들 또는 부서들내에서, 또는 상이한 조직들 내의 디바이스들 및/또는 서비스들의 관리를 용이하게 하도록 구성된다. 이 도메인들을 이용하여, 디바이스들 및/또는 서비스들을 관리하는 책임은 다양한 운용자들 또는 관리자들에게 전가될 수 있다.
도 1은 본 발명의 일부 실시예들에 따라, 하나 이상의 조직들의 네트워크 자원들을 관리하는 중앙화된 시설의 다이어그램.
도 2는 본 발명의 일부 실시예들에 따라, 조직의 네트워크 지원들을 중앙 집중적으로 관리하는 방법을 나타내는 흐름도.
도 3은 본 발명의 일부 실시예들에 따라, 조직의 네트워크 자원들에 대한 액세스를 보호하는 하드웨어 장치의 블록도.
도 4는 본 발명의 일부 실시예에 따른 인증 서버의 블록도.
본 발명의 일부 실시예들에서, 조직의 네트워크 자원들을 중앙 집중적으로 및 가상으로 관리하는 장치 및 방법이 제공된다. 중앙화된 관리는 조직의 부분상에서 전용된 관리 자원들이 필요 없이 "클라우드에서(in the cloud)" 수행된다.
보다 구체적으로, 관리 시설은 그들의 자원들을 관리하기 위해 하나 이상의 조직들에 의해 참여될 수 있다. 각 조직에 대해, 시설은 각 조직의 네트워크에 대한 액세스를 보장하는 조직당 개별 PKI들(공개키 기반구조들)을 유지한다.
시설은 액세스 포인트들, 스위치들, 라우터들, 네트워크-부착 스토리지 등과 같이 무수히 많은 유형들 및 모델들의 네트워크 장비와의 접속들을 수신 및 확립한다. 다양한 디바이스들의 중앙화된 및 가상 관리를 촉진하는 것 이외에, 시설은 조직의 네트워크내에서 제공되는 서비스들을 관리하는데도 사용될 수 있다.
시설과 특정 디바이스 또는 서비스간의 통신들은 다중-층 프레임워크를 통과한다. 수신된 통신은 통신이 발생한 장비의 서비스 또는 유형/모델과 작동하도록 적응된 특정 관리층에 전달되기 이전에 정규화된다. 상기 층은 특정 기능(예를 들어, 보안 정책의 검색, 이벤트 기록, 계정 파라미터 액세스)을 달성하도록 공통 관리층을 작동한다.
따라서, 다중-층 프레임워크는 다수의 서비스들 및 기능성 모듈들의 공통 세트를 갖는 네트워크 디바이스들의 다양한 유형들 및 모델들의 관리를 허용한다. 조직이 자신의 네트워크를 개발함에 따라, 프레임워크는 구성요소들의 혼합에 관계없이 네트워크를 효과적으로 계속 관리할 수 있다.
도 1은 본 발명의 일부 실시예들에 따라, 하나 이상의 조직들의 네트워크 자원들을 관리하는 중앙화된 시설의 다이어그램이다.
도 1의 중앙 관리 시설(100)은 통신 모듈(들)(110), 공통 관리층(CML)(120), 하나 이상의 특정 관리층(SML) 서브시스템들(130), 선택적인 사용자 인터페이스(140) 및 임의의 수의 디바이스 독립 기능적 모듈들(150)을 포함한다. 임의의 수의 조직들은 중앙 관리 시설에 의해 제공된 관리 서비스들에 가입할 수 있다. 중앙 관리 시설(100)의 다양한 모듈들은 하드웨어 및/또는 소프트웨어 요소들을 포함할 수 있고, 하나 이상의 협력 또는 피어 컴퓨터 서버들 내에서 동작할 수 있다.
디바이스 파라미터들, 이벤트 기록, 정책들, 디지털 인증서들 및 여기에 기술된 임의의 다른 데이터를 저장하는데 이용될 수 있는 시설(100)의 하나 이상의 스토리지 구성요소들(예를 들어, 디스크들)이 도 1에서 도시되지 않았다.
시설(100)이 예시적으로 중앙 집중적으로 관리할 수 있는 디바이스들은 무선 액세스 포인트들, 라우터들, 스위치들, 네트워크-부착 스토리지 디바이스들, 컴퓨팅 디바이스들(예를 들어, 노트북 컴퓨터들, 워크스테이션들) 등을 포함한다. 시설에 의해 관리되는 서비스들은 무선(및/또는 유선) 네트워크 서비스들, 바이러스들 및/또는 다른 악성 소프트웨어(malware)에 대한 보호, 네트워크 데이터 스토리지 등을 포함할 수 있다.
조직으로부터 원격인 위치에서 상기 디바이스 및 서비스 자원들의 중앙 관리는 개별적인 조직들을, 이러한 행위를 위해 그 자신의 장비 및 시간을 전용해야 하는 것으로부터 완화한다. 조직의 자원들의 관리는 자원들의 구성 또는 재-구성, 전개 및/또는 동작, 보안 정책의 적용, PKI 인증서들의 관리, 사용자 계정 관리, 사용자/디바이스 인증, 문맥-인식 로깅(context-aware logging), 디바이스/서비스 인벤토리 등과 같은 책임들을 포함할 수 있다.
본 발명의 예시된 실시예들에서 조직의 네트워크내의 개별적인 자원들은 하나 이상의 통신 모듈들(110)과 통신할 수 있다. 통신 모듈은 HTTP(하이퍼텍스트 전송 프로토콜), HTTPS(보안 하이퍼텍스트 전송 프로토콜), SNMP(단순 네트워크 관리 프로토콜) 및/또는 다른 통신 프로토콜들을 통해 접속들을 수신하도록 구성될 수 있다. 따라서, 상이한 통신 모듈들이 동일한 또는 상이한 유형의 디바이스들로부터 상이한 유형의 접속들을 수신할 수 있다.
조직 자원으로부터의 통신은 표준 포멧으로 통신 모듈(110)로부터 공통 관리층(CML)(120)으로 보내진다. 예를 들어, 메시지는 메시지가 수신되는 디바이스-가능하게는 특정 디바이스(예를 들어, 제조자, 모델 및 버전을 포함), 일반적인 유형의 디바이스(예를 들어, 네트워크 부착 스토리지 서버), 특정 유형의 디바이스(예를 들어, 링크시스 무선 액세스 포인트(Linksys wireless access point), 특정 네트워크 서비스 등-를 식별하도록 구성된 헤더부를 포함할 수 있다.
메시지의 페이로드부는 자원의 요청 또는 입력을 식별할 수 있다. 예를 들어, 디바이스 또는 서비스는 동작 파라미터들, 보안 정책, 또는 임의의 다른 정보를 요청할 수 있다.
공통 관리층(120)은 조직의 네트워크 자원들로부터 인입하는 메시지들을 수신하고, 메시지들을 자원들에 발송하고, 디바이스 독립 기능적 모듈(150)과 특정 관리 층 서브시스템들(130) 및 사용자 인터페이스(140) 모두 사이의 인터페이스를 제공하고, 및/또는 다른 임무들을 수행한다. CML은 전 시스템에 적용하는 관리 속성들 및 서비스들을 규정하고, SML 서브시스템들(130)은 특정 디바이스 및 네트워크 서비스들과 작동한다.
또한, CML(120)은 중앙 관리 시설의 각 조직 클라이언트에 대해 개별적인 PKI들의 동작 및 관리를 용이하게 할 수 있다. "보안" 또는 "PKI" 디바이스-독립 기능적 모듈(150)은 이 역할에서 CML을 도울 수 있거나, 또는 이 역할 자체를 실제로 수행할 수 있다.
보다 구체적으로, 각 조직 클라이언트에 대해, 중앙 관리 시설은 해당 조직에 특정 PKI를 정착시키는 루트 인증 기관(CA)을 유지한다. 루트 CA는 조직의 네트워크내에서 동작하는 자원들에 대한 인증서들을 발행할 수 있고, 및/또는 하나 이상의 서브-루트 CA 인증서들을 발행하여, 이 자원들의 일부(예를 들어, 액세스 포인트)가 조직 인증서들을 자원에 발행하는 것을 허용할 수 있다. 후자의 스킴은 중앙 관리 시설(100)이 현재 이용가능하지 않은 경우 조차도(예를 들어, 조직의 인터넷 액세스가 끊어짐) 신규 디바이스들이 준비되는 것을 허용한다.
특정 관리층 서브시스템(130)은 특정 네트워크 디바이스들, 디바이스들의 유형들, 또는 서비스들에 연관된다. 디바이스 및 서비스 관리 서브시스템들은 특정 관리 특징들을 제공하기 위한 플러그-인 가이드라인들의 세트들에 부착된다. 등록 처리는 관리 서브시스템들이 프레임워크에 플러깅하는 것을 허용한다.
예를 들어, 디바이스-지향 SML 서브시스템은 하나 이상의 특정 디바이스 유형들(예를 들어, 액세스 포인트, 네트워크 부착 스토리지 서버), 디바이스의 모델들(예를 들어, 링크시스 액세스 포인트, 넷기어 액세스 포인트) 등에 대해 구현될 수 있다. 그러므로, 특정 SML 서브시스템(130)은 디바이스(들)의 파라미터들을 설정 또는 조정하고, 디바이스(들)에 의해 검출된 이벤트들을 기록하는 등에 의해 연관된 네트워크 디바이스(들)와 작동하도록 적응 또는 구성된다.
서비스-지향 SML 서브시스템들에 있어서, WLAN(무선 로컬 영역 네트워크) 관리 SML 서브시스템은 RF(무선 주파수) 서비스영역 맵(coverage map), RF 관리, 대역폭 평가, 무선 전송 전력 조정, 손님 액세스 정책 특징들, 비인증 액세스 포인트들의 검출 등과 같은 관리 특징들을 제공할 수 있다. VPN(가상 사설 네트워크) SML 서브시스템은 암호화 방법, 액세스 정책들 등을 제공할 수 있다. 그러나, 두 서비스 SML들은 동일한 기능적 모듈들(150)을 호출한다.
새로운 SML 서브시스템은 CML에 의해 노출된 등록 API(애플리케이션 프로그래밍 인터페이스)를 통해 CML(120)에 등록된다. 이는 특정 네트워크 구성요소와 상호작용을 위해 어느 SML 서브시스템을 착수할지를 CML이 인지하게 한다.
SML 서브시스템(130)이 네트워크 디바이스로부터 메시지를 수신할 때(CML(120)을 통해), 어떤 행위 또는 행위들이 취해져야 할 필요가 있는지를 결정하고, 적절한 디바이스-독립 기능적 모듈(들)(150)을 작동하기 위해 CML의 다른 적절한 API들을 호출한다. 따라서, SML은 바람직한 행위만을 실시시키기 위해 단지 CML에 프리미티브들(primitives)을 발행할 필요가 있다. 그 결과, 개별적인 SML 서브시스템들은 모든 후크들(hooks) 및 다양한 기능적 모듈들로의 진입 포인트들을 갖고 프로그래밍 될 필요가 없다- 단지 CML이 이 특징들을 필요로 한다.
그러므로, CML(120)과 SML 서브시스템(130)간의 하나의 차이점은, CML은 프레임워크 전체를 통해 응용 가능한 관리 속성들 및 파라미터들을 규정하는 반면, SML 서브시스템(130)은 그들의 연관된 디바이스들 및/또는 서비스들에 특정 속성들 및 파라미터들을 규정한다는 것이다.
예시적으로, CML(120)은 디바이스/서비스 구성 요청들(예를 들어, 사용자 인터페이스(140)를 통해)을 수락하고, 이 요청들을 분석하고, 이를 대응하는 SML 서브시스템(130)에 라우팅한다. 특정 디바이스 또는 네트워크 서비스에 보내져야 하는 임의의 속성들 또는 구성 파라미터들은 CML을 통해 디바이스의 또는 서비스의 SML 서브시스템에 의해 포워딩된다. 유사하게, 운용상의 통계들, 이벤트들 및/또는 다른 정보는 특정 디바이스들/서비스들에 의해 CML을 통해 그들의 SML 서브시스템들에 보고된다.
구성 기록들은 버전이 바뀌고 시설(100)에 저장되고(예를 들어, SML 시스템 및/또는 기능적 모듈들 내), 및 디바이스의 펌웨어는 최신 또는 특별한 버전으로 자동으로 업그레이드될 수 있거나, 또는 이전 버전으로 되돌아갈 수 있다. 예를 들어, 새로운 펌웨어 버전 또는 파라미터들의 세트에서 치명적인 결함이 있는 경우, 디바이스는 디폴트(예를 들어, 공장) 설정들로 되돌아가거나, 또는 마지막 알려진 양호한 파라미터들의 세트가 적용될 수 있다.
선택적인 사용자 인터페이스(140)는 클라이언트 조직들의 대리인들(예를 들어, 시스템 관리자들, 운영자들)로부터 상호작용 통신 세션들을 수신하는데 이용될 수 있다. 예를 들어, 사용자 인터페이스는 조직이 시설의 서비스들, 등록기 장비, 구매 네트워크 구성요소들 등에 가입할 수 있는 웹 페이지를 포함할 수 있다.
본 발명의 일부 실시예들에서, 사용자 인터페이스(140)는 조직에 대한 계정을 생성하고, 조직의 네트워크 자원들을 등록하고, 보안 정책을 구성 또는 저장하고, 기록된 이벤트들을 회고(review) 또는 검색하기 위해, CML(120)을 통해 디바이스-독립 기능 모듈들(150)을 액세스한다. 다른 실시예들에서, 사용자 인터페이스는 기능적 모듈들에 직접 액세스할 수 있다(예를 들어, 공통 관리층을 작동하지 않고). 유사하게, 특정 디바이스 또는 디바이스의 유형에 대한 행위를 달성하기 위해, 사용자 인터페이스(140)는 SML 서브시스템과 직접 상호작용한다(또는 CML(120)을 통해 상호작용함).
본 발명의 일부 실시예들에서, 사용자 인터페이스(140)는 생략될 수 있거나 또는 다른 모듈(예를 들어, 공통 관리층(120))에 포함될 수 있다. 예시적으로, 이 실시예들에서, 조직은 컴퓨팅 디바이스상에서 동작하는 응용 프로그램을 통해, 네트워크 자원의 구성 유틸리티 또는 사용자 인터페이스에 전용되는, 웹 페이지 또는 다른 센터가 아닌 임의의 다른 통신 관로를 통해 중앙 관리 시설(100)과 상호작용할 수 있다. 예를 들어, CML(120)은 계정 생성/관리, 조직 자원들의 구성 등을 위한 API들을 공개적으로 노출하고 제 3 자들이 이러한 API들을 작동하기 위한 소프트웨어를 제공하는 것을 허용한다.
디바이스-독립 기능적 모듈들(150)은 다수의 디바이스들, 디바이스들의 유형들 및/또는 조직들에 공통되는 기능을 제공한다. 각 조직에 대해, 별개의 데이터 세트가 조직의 네트워크, 사용자들, 디바이스들 및 서비스들에 관해 유지될 수 있다. 별개의 PKI 스킴들이 각 조직에 대해 유지되고, 조직의 각 사용자/디바이스/서비스가 스스로를 시설에 인증해야 하기 때문에, 각 조직의 데이터는 다른 조직들에 의한 액세스에 대해 보호된다.
정책 모듈들(150a)은 다양한 보안 정책들, 방화벽 정책들 및/또는 조직이 자신의 디바이스들 및/또는 서비스들의 일부 또는 전부에 대해 적용하고자 할 수 이는 다른 운용 정책들을 저장하도록 구성된다. 주어진 정책은 특정 구성요소들이 동작하거나 동작할 수 없는 시간들/날들, 조직의 액세스 지점들이 국부적으로 어떻게 구성되어 있는지, 어느 디바이스들이 특정 서비스와 함께 사용될 수 있는지 등을 명세할 수 있다.
조직의 다른 예시적인 정책은 손실, 도난 또는 훼손된 것으로 보고된 이후 특정 네트워크 디바이스가 관리 시설(100)에 접속하는 경우, 디바이스는 액세스를 거절되는 것을 제공할 수 있다. 또한, 정책은 디바이스가 구성 데이터를 지우도록(삭제하도록) 지시되어야 하는 것을 명세할 수 있고, 이는 데이터를 쓸모없게 할 것이다. 디바이스는 디지털 인증서, 일련 번호, MAC 어드레스 또는 다른 식별자에 의해 식별될 수 있다.
다른 정책은 조직의 네트워크의 토폴로지를 설정하도록 적용될 수 있다. 예를 들어, 조직이 다수의 무선 액세스 포인트들을 채용하는 경우, 이들 중 하나만이 인터넷(또는 다른 외부 네트워크)에 결합될 수 있다. 정책은 어느 액세스 포인트들이 다른 액세스 포인트들 중 어느 것과 대화할 수 있는지를 명세한다. 액세스 포인트 토폴로지를 구성하는 정책은 액세스 포인트들의 유형들/모델들, 그들의 부하들(예를 들어, 이들에 접속하는 클라이언트 디바이스들의 수) 및/또는 다른 인자들에 기초하여 선택된다.
기록 모듈(150b)은 조직의 네트워크 자원들에 의해 보고되는 이벤트들을 문맥적으로 기록하도록 구성된다. 따라서, 이 모듈은 사용자들의 로그인/로그아웃 시간들, 보안 경고들, 바이러스 검출들, 디바이스/서비스의 사용 등을 기록할 수 있다. 기록 모듈은 디바이스/서비스 기록들의 텍스트-기반 검색, 문맥적인 하이퍼텍스트 성능 및/또는 다른 특징들을 제공할 수 있다. 예를 들어, 기록에서 보고되는 MAC 어드레스 또는 다른 식별자(예를 들어, 일련 번호, IP 어드레스)는 클릭 가능하고, 기록된 이벤트의 추가 정보를 보여주는 관리 페이지, 보정 또는 교정 행위를 하는 페이지로 유도할 수 있다.
따라서, 비인증 액세스 포인트 기록상에서 보고되는 디바이스 MAC 어드레스는 중앙 관리 프레임워크내의 비인증 액세스 포인트 관리 페이지로 내비게이팅하도록 선택되고, 손님 로그온 이벤트 기록에서 보고되는 MAC 어드레스는 손님 액세스 관리 페이지로 내비게이팅하도록 이용될 수 있다.
계정 모듈(150c)은 조직 및 사용자의 계정들을 유지하도록 구성된다. 따라서, 각 조직에 대해, 하나 이상의 로그인 계정들이 해당 조직의 사용자들 및 자원들이 중앙 관리 시설(100)을 액세스하는 것을 허용하도록 할당될 수 있다.
보안 모듈(150m)은 안전한 조직의 네트워크들을 돕도록 구성된다. 예를 들어, 보안 모듈은 조직의 PKI들을 관리할 수 있고, PKI내에서 디지털 인증서를 발행하는 등에 의해, 사용자들/디바이스들을 인증할 책임이 있다.
새로운 기능적 모듈(150)을 부가하기 위해, CML(120)은 단지 진입 포인트들, API들 또는 모듈을 작동하는 다른 방법들로 프로그래밍될 필요가 있다. 그 후, CML은 모듈의 API들을 공표할 것이고, 그렇지 않으면 모듈의 기능을 SML 서브시스템(130)에 이용가능하게 할 것이다.
프레임워크가 다수의 조직의 네트워크들을 관리하는데 이용될 수 있기 때문에, 각 조직은 디바이스 ID(identification)(Dev_ID) 및/또는 조직의 디바이스들의 세트를 식별하는 그룹 ID(Grp_ID)로 자신의 디바이스들을 등록한다. 예를 들어, 특정 Grp_ID는 디바이스들의 세트가 구매된 구매 주문을 포함하도록 등록 처리가 네트워크 자원들을 주문하는 시스템과 조합될 수 있다.
구매된 디바이스가 조직의 네트워크에 접속될 때, 중앙 관리 시설(100)로의 보안 접속이 확립되고 자신의 Dev_ID를 제공한다. 프레임워크(예를 들어, 디바이스에 대한 SML 서브시스템)는 디바이스를 인증하고, 디바이스를 조직에 결속시키고 및 구성 데이터를 디바이스에 다운로드한다. 일부 실시예들에서, 조직에 가담된 디바이스들은 보안 크리덴셜들(credentials)이 미리 설치된다.
다른 실시예들에서, 조직내의 운용자는 조직의 네트워크내에서 동작하기 위한 승인이 계류중인 디바이스의 리스트상에 새롭게 접속된 디바이스를 배치할 수 있다. 운용자가 디바이스를 수락하면, 조직에 결속된다.
디바이스는 방화벽을 통해 시설(100)로의 네트워크 접속을 개시해야 한다. 이 경우, 디바이스에 사전 설치된 보안 크리덴셜은 예를 들어, 보안 하이퍼텍스트 전송 프로토콜(HTTPS)을 이용하여 적절한 보안 접속을 확립하는데 이용될 수 있다.
일부 경우들에서, 심장박동 매커니즘에 기초한 사용자 데이터그램 프로토콜(UDP)이 방화벽에서, 디바이스와 프레임워크간의 통신 채널 개방을 유지하도록 확립될 수 있다. 디바이스는 주기적으로 심장박동 메시지를 UDP 접속을 통해 시설(100)로 송신한다. 심장박동은 프레임워크에 디바이스의 상태를 알리고, 방화벽 개방을 유지하도록 역할한다. 중앙 관리 시설(100)이 디바이스에 대한 임의의 정보를 가질 때마다, 상기 UDP 채널을 통해 짧은 명령을 송신하여 디바이스가 부가적인 정보를 교환하기 위한 다른 데이터 채널을 확립하도록 지시할 수 있다.
디바이스는 조직이 생성되거나 시설(100)에 등록되기 이전에, 또는 디바이스의 Dev_ID가 조직에 등록되기 이전에 전개되는 것이 가능하다. 이 경우, 디바이스는 시설을 접촉하고자 다수회 시도할 수 있다.
디바이스가 인증되고 프레임워크를 갖는 조직내로 수락되면, 프레임워크는 대응하는 디바이스 구성 및 시스템 정책들을 검색하여 이들을 디바이스에 다운로드한다. 구성 및 정책들이 구현된 이후, 디바이스는 정상 동작 상태로 진입하고, 자신의 서비스를 제공하기 시작한다.
본 발명의 일부 실시예들에서, 조직은 회사의 상이한 사무실들 또는 위치들, 복합기업내의 상이한 회사들, 하나의 관리 제공자의 상이한 소비자들 등과 연관된 하나 이상의 논리적 구조들을 규정할 수 있다.
예를 들어, 조직이 중앙 관리 설비(100)에 가입할 때, 조직이 3개의 이산된 사무실들(예를 들어, 상이한 도시들에서, 상이한 내부 네트워크들로)을 운용한다는 것을 명세할 수 있다. 각 사무실에 대해, 조직은 해당 위치의 모든 디바이스들 또는 그 일부에 대해 특정 운용 파라미터들-예를 들어, 무선 네트워크의 SSID(서비스 세트 ID 또는 서비스 세트 식별자), 무선 디바이스들에 대한 바람직한 보안 프로토콜, 라우팅 테이블, 바람직한 DNS(도메인 네임 서비스) 서버들의 어드레스 등을 명세할 수 있다. 이어서, 해당 사무소에 할당된 새로운 네트워크 구성요소에 대해, 특정 파라미터들은, 어느 누구도 파라미터들을 새로운 디바이스에 명확하게 연관시켜야 할 필요 없이 자동으로 적용될 것이다.
예시적으로, 용어 "사이트(site)"는 여기서 사무실, 분점, 소매점 또는 "사이트"와 연관된 다른 위치내에 전개된 조직의 네트워크의 모든 관련 자원들에 할당되기 위한 파라미터들의 모음을 칭하는데 이용될 수 있다. 사이트 레벨 위에, 다른 논리적인 구조들이 규정될 수 있다.
예를 들어, 다수의 "사이트들"이 규정될 수 있는 것처럼, 다수의 논리적인 "조직들(organizations)"은 다수의-조직 엔티티(예를 들어, 복합기업)의 상이한 부분들(예를 들어, 부서들, 국들(department), 자회사들)에 속하도록 규정될 수 있다. 보다 큰 엔티티의 부분이 아닌 경우, "조직"은 이산 조직(예를 들어, 중앙 관리 시설(100)의 하나의 클라이언트)을 나타낸다.
동일한 방식으로, "사이트" 구조에 대해 규정된 해당 운용 파라미터들 및 데이터는 해당 사이트에 할당된 임의의 호환 가능한 디바이스들 또는 구성요소들에 의해 상속되고, 따라서 "조직" 구조에 대해 규정된 지나친 파라미터들 또는 데이터는 임의의 하위 사이트들에 의해 상속될 수 있다. 따라서, 개별적인 디바이스 또는 서비스들이 조직의 네트워크에 부가될 때, 대부분 또는 모든 운용 파라미터들은 이미 규정될 수 있다. 이 파라미터들이 완성되는 경우, 새로운 디바이스 또는 서비스의 적절한 구성을 결정하는데 시간이나 노력이 전념될 필요가 없다.
"관리자(manager)"와 같은 훨씬 높은 레벨의 논리적 엔티티는 자신의 네트워크들을 관리하도록 다수의 이산 조직들에 의해 고용된 엔티티에 대해 규정될 수 있다. 구체적으로, "관리자" 엔티티는 자신의 "조직" 엔티티들(및 확장하여, 이 조직들 내의 임의의 "사이트들")을 관리하기 위해 다수의 조직들에 의해 고용된 회사 또는 계약자를 나타낼 수 있다.
조직은 관리자들을 변경할 수 있고, 이 경우, 이전의 "관리자"는 새로운 "관리자"를 위해, 조직의 "조직" 엔티티 또는 엔티티들을 액세스하는 능력을 상실한다. 예를 들어, 구 관리자에 의해 제어되는 컴퓨터 시스템들에 발행된 임의의 디지털 인증서들은 폐지되고, 이에 의해 이 시스템들이 조직의 네트워크를 액세스하는 것을 방지한다. 본 발명의 일부 실시예들에서, 조직은 항상 자신의 네트워크를 관리하는 능력을 소유하고(별개의 "관리자"가 고용된 경우조차도), 해당 역할을 다른 엔티티에 할당할 수 있고 또는 기존의 "관리자"를 해고할 수 있다.
따라서, 중앙 관리 시설(100)내의 계정 관리는 단일의 운용자가 하나 이상의 조직을 관리하는 것을 허용하도록 계층적일 수 있다. 예를 들어, 운용자는 단일의 조직의 피고용인일 수 있고, 또는 다수의 조직의 네트워크들을 관리하는 엔티티를 나타낼 수 있다.
그러므로, 시설(100)내의 조직에 대한 관리/조직 계정은 조직의 네트워크 디바이스들 및 서비스들의 구성 및/또는 모니터링에 대한 시스템 관리 센터로서 역할한다. 다수의 조직들/사이트들을 관리하는 운용자는 하나 이상의 조직/사이트 내에서 한번에 모니터링 또는 작동하도록, 개별적인 인스턴스들이 대시보드들로서 작용하는 다수의 인스턴스들을 개방하고, 그들의 모니터링 및 구성 행위들을 원조하기 위한 패드들을 론칭할 수 있다.
조직이 다른 엔티티로 하여금 네트워크 자원들에 관한 운용 권한들을 행사하는 것을 허용하기 위해, 조직은 조직의 운용을 상기 엔티티와 공유하기 위한 요청을 개시할 수 있다. 조직 자신만이 운용 권한들을 공유하도록 택할 수 있고; 수신하는 조직은 이 권한들을 추가로 공유할 수 없다. 조직은 종료 요청을 개시함으로써 장치를 종료시킨다.
조직의 네트워크의 새로운 디바이스 또는 서비스가 중앙 관리 시설(100)과 자동으로 상호작용하여 구성 파라미터들을 검색하게 하기 위해, 정보를 획득할 수 있는 위치(예를 들어, 균일한 자원 검색기(uniform resource locator) 또는 URL)를 자동으로 요청 또는 결정하도록 제조 또는 구성될 수 있다. 예를 들어, 디바이스의 특정 펌웨어 파라미터는 디바이스로 하여금 특정 엔티티(예를 들어, 관리 시설(100))에 자동으로 접속하거나 URL 또는 구성 데이터를 수신할 수 있는 엔티티의 다른 어드레스를 요청(구동시)하게 하도록 설정될 수 있다. 이 파라미터는 "네트워크 인에이블" 또는 "원격 구성 수신" 또는 그 밖에 다른 것으로 불릴 수 있다.
디바이스 또는 서비스가 특정 또는 식별된 엔티티에 접속할 때, 스스로를 식별할 것이고(예를 들어, 장비의 모델, 버전, 일련 번호, MAC 어드레스, 서비스 이름/식별자), 가능하게는 소유한 디지털 인증서를 전달한다. 조직의 네트워크의 인가된 구성요소로서 인증 및 확인된 이후, 파라미터들의 세트를 수신 및 적용할 것이다.
앞서 기술된 바와 같이, 도 1의 중앙 관리 시설(100)이 동일한 전체 프레임워크내에서 다수의 조직의 네트워크를 관리하도록 채용될 수 있지만, 엄격한 액세스 정책들 및 데이터 고립은 조직들 사이에서 데이터 이주를 방지한다. 구체적으로 조직당 PKI들은 각 조직의 자원들을 보호하도록 확립된다. 각 조직은 시설에서 루트 인증 기관을 갖고, 하위 인증 기관들 및 조직의 네트워크내의 인증기들은 국부적인 클라이언트 액세스 인증 및 액세스 정책들의 시행을 수행한다.
도 2는 본 발명의 일부 실시예에 따라, 조직의 네트워크 자원들의 중앙 및 원격 관리를 위한 방법을 나타내는 흐름도이다.
이 실시예들에서, 단일화된 서비스들 및 도 1의 중앙 관리 시설(100)에 비할수 있는 디바이스 프레임워크는 사용자 계정 관리, 사용자 및 디바이스 인증, 이벤트들의 콘텍스트-인식 로깅, 디바이스 인벤토리, 펌웨어 관리, PKI 관리/운용 등과 같은 다수의 조직 서비스들을 제공한다.
앞서 기술된 바와 같이, 별개의 특정 관리층 서브시스템들은 상이한 서비스들, 특정 디바이스들 및/또는 디바이스들의 유형을 지원하도록 구현된다. 각각의 이러한 서브시스템은 공통 관리층과 상호작용하고 이에 따라 디바이스-독립 기능적 모듈들을 액세스하기 위해 플러그-인 표준들의 세트에 부착된다. 부가적인 디바이스-특정 서브시스템들은 부가적인 디바이스들 또는 서비스들을 지원하도록 필요에 따라 부가될 수 있다.
동작(200)에서, 조직은 중앙 시설의 단일화된 서비스들 및 디바이스 관리에 가입한다. 예시적으로, 조직(예를 들어, 시스템 운용자)은 가입 요청을 제출하기 위해 시설에 의해 동작하는 컴퓨터 서버의 사용자 인터페이스에 접속할 것이다.
대안으로, 조직(예를 들어, 네트워크 운용자)은 시설과 자동으로 인터페이싱하는 애플리케이션 또는 유틸리티를 실행할 수 있고 전용된 사용자 인터페이스와 동일한 또는 유사한 기능을 제공한다.
동작(202)에서, 조직에 대한 계정은 조직을 식별하고, 하나 이상의 사용자 계정들을 생성하고, 조직의 네트워크에서 현재 전개된 디바이스들을 식별하고, 조직에 의해 요구되는 특정 서비스들을 식별하는 등을 하도록 구성된다.
동작(202)은 조직의 자원들의 보다 많은 특수화된 관리를 허용하도록 다수의 논리적 "사이트들" 및/또는 "조직들"의 규정를 수반할 수 있다. 앞서 기술된 바와 같이, 상이한 "사이트" 구조들은 조직의 상이한 분점들, 사무실들 또는 다른 위치들에 대응할 수 있고, 상이한 "조직" 구조들은 상이한 부서들, 자회사들, 조직적인 단체 또는 조직의 다른 부분들에 대응할 수 있다.
동작(204)에서, 조직은 임의의 수의 자원들(예를 들어, 무선 LAN 제어기들, 액세스 포인트들, 네트워크-부착 스토리지 유닛들)을 구매한다. 자원들은 중앙 설비의 운영자 또는 임의의 다른 소스로부터 구매될 수 있다. 그러나, 유리하게는 상인은 자원들로 하여금 조직의 네트워크에 접속된 이후 중앙 시설과의 초기 접속을 허용하도록 충분한 보안 크리덴셜들을 자원들에 사전-설치하도록 인가 또는 장비될 수 있다.
대안으로, 구성 디바이스 또는 유틸리티(예를 들어, 클라이언트 디바이스 인에이블러)는 구매된 자원들(또는 이와 별개의)을 제공받을 수 있고, 조직내에서 동작의 자원들을 구성하는데 이용될 수 있다. 이 구성 노력은 보안 크리덴셜들의 로딩을 포함할 수 있다.
조직이 다수의 상이한 디바이스들 및 서비스들을 전개할지라도, 이들은 중앙 시설을 통해 모두 관리 가능하게 될 것이다.
동작(206)에서, 구매된 네트워크 자원들의 일부 또는 모두에 대한 동작 파라미터들의 세트는 조직에 의해 프레임워크에 제출된다. 이 동작을 수행하는 조직의 대리인의 지식 수준에 의존하여, 그 사람은 하나 이상의 디바이스에 대한 정확한 파라미터들을 명세할 수 있고 또는 시설이 적절한 파라미터들을 결정하는 것을 허용할 수 있다.
예를 들어, 대리인은 데이터 보안이 조직에 매우 중요하다고 표명할 수 있고, 이 경우 시설은 보안이 덜 중요한 경우보다 조직의 무선 자원들에 대해 보다 강인한 보안 프로토콜 및 보다 엄격한 액세스 제어 정책을 선택할 수 있다. 유사하게, 시설은 상이한 운용 정책들, 기록 요건 및/또는 대리인의 입력에 의존하여 다른 설정들을 선택할 수 있다. 상이한 템플릿들이 상이한 파라미터들의 세트들을 구현하는데 적용될 수 있다.
동작(206)의 부분으로서, 조직 대리인에 의해 특정된 및/또는 대리인에 의해 식별된 디바이스들/서비스들에 대한 시설에 의해 선택된 구성 데이터는 시설의 중앙 관리층(CML)에 의해 분석되고, 적절한 특정 관리층(SML) 서브시스템에 라우팅된다. SML은 서브시스템들 내에 또는 하나 이상의 적절한 디바이스-독립 기능적 모듈들을 통해 데이터를 저장할 수 있다. 이 SML 서브시스템들은 디바이스 구성 정보를 조직의 네트워크 자원들에 발행할 책임이 있을 것이다.
시설이 수행할 수 있는 하나의 구성 노력은 조직의 네트워크 내에서 조직 및 전개를 위해 선적하기 이전에 디바이스상의 보안 크리덴셜(예를 들어, 디지털 인증서)를 로딩하는 것이다. 일부 네트워크 디바이스들(예를 들어, 액세스 포인트, 클라이언트 디바이스 인에이블러)의 초기 전개를 용이하게 하기 위해, 디바이스들은 중앙 관리 시설(예를 들어, 조직의 PKI 대신)과 연관된 PKI 내에서 발행된 보안 크리덴셜로 구성될 수 있다. 디바이스들이 전개된 이후에, 이들은 시설과 상호작용하고, 조직의 PKI내에서 생성된 새로운 보안 크리덴셜들을 수신할 수 있다.
동작(208)에서, 디바이스가 전개되고 조직의 네트워크에 접속된다. 그 작동 및 구성의 부분으로서, 디바이스는 시설과의 보안 접속(예를 들어, https를 통해)을 확립하고, 그 자신을 식별하고(예를 들어, 디바이스 ID, MAC 어드레스로) 및 디바이스상에 사전 설치된 보안 크리덴셜을 이용하여 그 자신을 인증할 수 있다.
일부 실시예들에서, 클라이언트 디바이스 인에이블러 또는 새로운 디바이스를 구성하기 위해 채용된 다른 엔티티는 시설과의 초기 접속을 확립하는 것을 도울 수 있다.
디바이스가 유효한 것으로 수락되는 경우(예를 들어, 시설은 조직에 대해 유효한 디바이스 ID들의 목록을 유지함), 디바이스는 조직에 결속된다. 그러면, 구성 파라미터들, 시스템 정책들, 펌웨어 및/또는 디바이스에 대한 다른 정보가 다운로딩되고 적용된다. 앞서 기술된 바와 같이, 구성 파라미터들은 조직 대리인에 의해 정확히 특정될 수 있고, 시설에 의해 선택될 수 있고 및/또는 "사이트" 또는 "조직" 논리 구조로부터 상속될 수 있다.
동작(210)에서, 디바이스는 정책들 및 구성 파라미터들로 구성되고, 및 조직의 네트워크내에서 보통 동작을 시작할 수 있다. 이전에 기술된 바와 같이, 이 정책들, 속성들 및 파라미터들은 디바이스-독립 기능적 모듈들에 의해 제공될 수 있고, 대응하는 특정 관리층 서브시스템들에 의해 특정 디바이스들 및 상이한 디바이스들의 유형들로 분산될 수 있다.
동작(212)에서, 디바이스의 동작 동안, 문맥적인 기록 이벤트들을 관리 프레임워크에 제출한다. 이벤트들은, 디바이스와 연관된 SML 서브시스템에 전달되기 이전에 통신 모듈 및 공통 관리층을 통해 프레임워크에 전송된다. 그러면, 그 디바이스는 공통 관리층을 통해 기록 모듈의 기능들/서비스들을 작동한다. 따라서, 이 기록 모듈은 조직의 네트워크 내에서 다수의 상이한 디바이스들에 대한 이벤트들을 기록할 수 있다.
본 발명의 일부 실시예들에서, 중앙 관리 시설은 RESTful API들-REST(Representational State Transfer) 아키텍처에 따르는 API들-을 노출한다. 이는 시설로부터 네트워크 트래픽 통계들, 무선 신호 서비스영역 등과 같은 정보의 쉬운 검색을 허용한다.
도 2와 함께 기술된 것과 같은 방법은 WLAN(무선 로컬 영역 네트워크) 제어기와 같은 디바이스를 관리하는데 이용될 수 있다. 제어기는 조직의 액세스 포인트들(AP들)의 일부 또는 모두에 대한 중앙화된 관리 포인트로서 작용하고, 전용 디바이스일 수 있거나 다른 기구(예를 들어, 이더넷 스위치)에 임베딩될 수 있다.
예시적으로, 이는 AP 관리, 사용자 관리, RF(무선 주파수) 관리, WLAN 액세스 정책 관리 등을 제공한다. WLAN 제어기는 WLAN 특정 관리층 서브시스템을 통해 단일화된 서비스들 및 디바이스 관리 프레임워크(예를 들어, 도 1의 시설(100))에 묶여진다.
프레임워크의 공통 관리층은 사용자 계정 관리, 클라이언트 디바이스 준비, 액세스 정책들 등과 같은 공통 서비스들을 제공한다. 프레임워크의 특정 관리층 내의 WLAN 서브시스템은 비인증 AP 검출, RF 관리, WLAN 대역폭 액세스 평가, AP 구성 및 모니터링 등과 같은 디바이스-특정 서비스들을 제공한다.
WLAN 제어기 서브시스템은 프레임워크 내에서 등록되면, 모든 가입자들에 이용 가능하게 된다(예를 들어, 단순히 처음 WLAN 제어기를 전개한 조직이 아님). 각 가입자에 대해, 별개의 WLAN 제어기 서비스들 인스턴스가 생성되고 가입자의 계정에 부가된다. 서비스가 더 이상 필요하지 않으면, 인스턴스는 파기될 수 있다.
도 3은 본 발명의 일부 실시예들에 따라, 하나 이상의 조직의 네트워크 자원들을 관리하는 하드웨어 장치의 블록도이다.
관리 서버(300)는 통신 매커니즘(들)(310), 공통 관리 매커니즘(312), 특정 관리 매커니즘(들)(314), 기능적 매커니즘(들)(316), 및 스토리지 매커니즘(들)(318)을 포함한다. 모든 또는 임의의 이 매커니즘들은 본 발명의 다른 실시예들에서 조합 또는 세분될 수 있다.
통신 매커니즘(들)(310)은 네트워크 디바이스들(예를 들어, 액세스 포인트들, 네트워크 부착 서버들, 스위치들)과 통신들을 교환하도록 적응된다. 통신 매커니즘은 관리 서버에 대한 액세스를 용이하게 하도록 조종 가능한 사용자 인터페이스를 포함하거나 결합될 수 있다.
공통 관리 매커니즘(312)은 관리 서버(300)의 중앙 관리 기능들을 제공하도록 적응된다. 따라서, 매커니즘(312)은 통신 매커니즘(들)(310)으로부터 적절한 특정 관리 매커니즘들(314)로 인입하는 통신들을 라우팅하고, 특정 관리 매커니즘 대신 기능적 매커니즘(316) 또는 일부 다른 내부 또는 외부 엔티티를 작동하고, 적절한 다른 행동을 취한다.
특정 관리 매커니즘(들)(314)은 조직의 네트워크내에서 특정 서비스들, 디바이스들 또는 디바이스들의 유형과 상호작용하고, 이 서비스들 및/또는 디바이스들을 구성하고, 그들의 동작을 모니터링하고, 문제조정자(troubleshoot) 역할을 하도록 적응된다. 부가적인 매커니즘(들)(314)은 조직의 네트워크가 확장 또는 분산되기 때문에 관리 서버(300)에 부가될 수 있다.
스토리지 매커니즘(들)(316)은 관리 서버에 의해 사용되는 정보를 저장하도록 적응된다. 이러한 데이터는 관리 서비스를 갖는 조직의 계정, 조직의 디바이스들 및/또는 서비스들의 구성, 액세스 정책들, 이벤트 기록들, 보안 크리덴셜들 등과 관련될 수 있다.
도 4는 본 발명의 일부 실시예들에 따라, 하나 이상의 조직의 네트워크들의 구성요소들을 관리하는 관리 서버의 블록도이다.
도 4의 관리 서버(400)는 처리기(402), 메모리(404) 및 하나 이상의 광학적 및/또는 자기적 스토리지 구성요소를 포함할 수 있는 스토리지(406)를 포함한다. 관리 서버(400)는 키보드(412), 포인팅 디바이스(414) 및 디스플레이(416)에 결합(영구적으로 또는 일시적으로)될 수 있다.
온라인 평가 시스템의 스토리지(406)는 처리기(402)에 의한 실행을 위해 메모리(404)에 로딩될 수 있는 로직을 저장한다. 이러한 로직은 통신 로직(422), 중앙 관리 로직(424), 특정 관리 로직(426) 및 기능적 로직(428)을 포함한다.
통신 로직(422)은 조직의 네트워크 디바이스들 및 서비스들, 조직의 자원들을 관리를 맡은 운용자들 및/또는 다른 엔티티들과 통신하기 위한 처리기-실행 가능한 명령들을 포함한다. 로직(422)은 관리 서버(400)상에 저장된 다른 로직을 작동하는 사용자 인터페이스 및/또는 공개적으로 액세스 가능한 API들을 포함할 수 있다. 관리 서버는 부하-균형 맞추기, 상이한 프로토콜들을 채용하는 통신 접속들을 수락하는 목적 또는 다른 이유들을 위해 통신 로직의 다수의 세트들을 포함할 수 있다.
중앙 관리 로직(424)은 중앙 관리 테스크들을 수행하고, 상이한 로직 간의 통신/호출을 포함하는 처리기-실행 가능한 명령들을 포함한다.
특정 관리 로직(426)은 특정 네트워크 서비스들, 디바이스들 및/또는 디바이스들의 유형들의 관리를 용이하게 하는 처리기-실행 가능한 명령들을 포함한다. 특정 관리 로직의 다수의 세트들은 상이한 서비스들, 디바이스들 및/또는 디바이스들의 유형들에 대해 채용될 수 있다.
기능적 로직(428)은 조직의 네트워크 내에서 다수의 상이한 서비스들 및/또는 디바이스들에 대해 작동될 수 있는 디바이스- 및/또는 서비스-독립 기능들을 수행하는 처리기-실행 가능한 명령들을 포함한다. 기능적 로직의 다수의 세트들은 상이한 기능적 영역들(예를 들어, 계정 관리, 이벤트 기록, 정책들, 보안)에 대해 채용될 수 있다.
본 발명의 다른 실시예들에서, 관리 서버는 개별 구성요소들의 등록, 서버의 동작 관리, 서버 데이터를 관리 서버의 다른 인스턴스들에 복제, 사용자 인터페이스 운용 등과 같은 부가적인 로직을 포함할 수 있다. 조직당 PKI 스킴들을 동작 및 관리하는 로직은 도 4에 예시된 로직으로부터 별개일 수 있거나 또는 그 일부일 수 있다.

Claims (4)

  1. 다수의 조직들의 이질적인 네트워크 자원들을 관리하는 장치에 있어서,
    상기 조직의 네트워크들 각각의 내에서 다수의 상이한 유형의 디바이스들 대신 기능을 수행하도록 구성된 다수의 디바이스 독립 기능적 모듈;
    각각의 상이한 유형의 디바이스에 대해, 디바이스의 대응하는 유형의 동작을 관리하도록 구성된 특정 기능적 모듈; 및
    상기 특정 기능적 모듈들 대신 상기 다수의 기능적 모듈들을 작동하도록 구성된 공통 관리 모듈을 포함하고,
    상기 특정 기능적 모듈의 별개의 인스턴스는 상기 조직들 각각에 대해 예시되는, 네트워크 자원 관리 장치.
  2. 제 1 항에 있어서,
    상기 다수의 상이한 유형의 디바이스들과의 통신 접속을 확립하도록 구성된 하나 이상의 통신 모듈들을 더 포함하는, 네트워크 자원 관리 장치.
  3. 제 1 항에 있어서,
    상기 다수의 기능적 모듈들은,
    상기 다수의 상이한 유형의 디바이스들에 대한 동작 정책들을 제공하도록 구성된 정책 모듈;
    상기 다수의 상이한 유형의 디바이스들에 의해 보고된 이벤트들을 기록하도록 구성된 기록 모듈; 및
    상기 제 1 조직과 연관된 계정의 관리를 용이하게 하도록 구성된 계정 모듈을 포함하는, 네트워크 자원 관리 장치.
  4. 제 1 항에 있어서,
    조직의 네트워크의 관리자로부터 상기 다수의 상이한 유형의 디바이스에 대한 구성 파라미터들을 수신하도록 구성된 사용자 인터페이스를 더 포함하는, 네트워크 자원 관리 장치.
KR1020100098124A 2009-10-12 2010-10-08 네트워크 자원들을 관리하는 장치 및 방법 KR20110040691A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/577,674 2009-10-12
US12/577,674 US8131850B2 (en) 2009-10-12 2009-10-12 Apparatus and methods for managing network resources

Publications (1)

Publication Number Publication Date
KR20110040691A true KR20110040691A (ko) 2011-04-20

Family

ID=43773273

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100098124A KR20110040691A (ko) 2009-10-12 2010-10-08 네트워크 자원들을 관리하는 장치 및 방법

Country Status (6)

Country Link
US (1) US8131850B2 (ko)
EP (1) EP2320362A1 (ko)
JP (1) JP2011081809A (ko)
KR (1) KR20110040691A (ko)
CN (1) CN102045337A (ko)
TW (1) TW201141126A (ko)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8555054B2 (en) 2009-10-12 2013-10-08 Palo Alto Research Center Incorporated Apparatus and methods for protecting network resources
US8131850B2 (en) * 2009-10-12 2012-03-06 Palo Alto Research Center Incorporated Apparatus and methods for managing network resources
JP2011170693A (ja) * 2010-02-19 2011-09-01 Telefon Ab L M Ericsson ネットワーク事業者と開発者とを仲介する方法
EP2537129A4 (en) * 2010-02-19 2013-07-31 Ericsson Telefon Ab L M INTERMEDIATE DEVICE BETWEEN NETWORK OPERATORS AND DEVELOPERS
US9092605B2 (en) 2011-04-11 2015-07-28 NSS Lab Works LLC Ongoing authentication and access control with network access device
US8904473B2 (en) 2011-04-11 2014-12-02 NSS Lab Works LLC Secure display system for prevention of information copying from any display screen system
US9047464B2 (en) 2011-04-11 2015-06-02 NSS Lab Works LLC Continuous monitoring of computer user and computer activities
CN102196049B (zh) * 2011-05-31 2013-06-26 北京大学 适用于存储云内数据安全迁移的方法
US8621630B2 (en) * 2011-06-17 2013-12-31 Microsoft Corporation System, method and device for cloud-based content inspection for mobile devices
ES2561663T3 (es) 2011-07-11 2016-02-29 Tanaza S.R.L. Método y sistema para gestionar dispositivos de red de distribuidores y fabricantes genéricos
US9069947B2 (en) 2011-09-29 2015-06-30 Oracle International Corporation Privileged account manager, access management
US8984145B2 (en) * 2011-10-28 2015-03-17 Yokogawa Electric Corporation Network management interface for heterogeneous data network and system using the same
TWI456963B (zh) * 2011-11-23 2014-10-11 Ind Tech Res Inst 網路服務之連線管理方法及應用其之網路服務平台
TWI592821B (zh) 2012-06-07 2017-07-21 普波因特股份有限公司 用於提供威脅儀表板之方法及基於雲端之威脅偵測系統
US9207988B2 (en) * 2012-06-29 2015-12-08 Intel Corporation Method, system, and device for managing server hardware resources in a cloud scheduling environment
CN102843422B (zh) * 2012-07-31 2014-11-26 郑州信大捷安信息技术股份有限公司 基于云服务的账户管理系统及管理方法
US20140067466A1 (en) 2012-08-31 2014-03-06 Yue Xiao Methods and apparatus to forecast new product launch sourcing
JP6007075B2 (ja) * 2012-11-16 2016-10-12 任天堂株式会社 サービス提供システム、サービス提供方法、サーバシステムおよびサービス提供プログラム
US9852275B2 (en) 2013-03-15 2017-12-26 NSS Lab Works LLC Security device, methods, and systems for continuous authentication
US9787657B2 (en) 2013-09-19 2017-10-10 Oracle International Corporation Privileged account plug-in framework—usage policies
KR20170100674A (ko) * 2013-10-24 2017-09-04 콘비다 와이어리스, 엘엘씨 서비스 커버리지 관리 시스템들 및 방법들
CN103701642A (zh) * 2013-12-23 2014-04-02 国云科技股份有限公司 一种集中管理网络设备的方法
US9602545B2 (en) 2014-01-13 2017-03-21 Oracle International Corporation Access policy management using identified roles
US9160724B2 (en) 2014-01-27 2015-10-13 Canon Kabushiki Kaisha Devices, systems, and methods for device provisioning
US10382399B2 (en) 2014-03-10 2019-08-13 Hewlett-Packard Development Company, L.P. Providing an operating system session
EP2977914A1 (en) 2014-07-25 2016-01-27 Hewlett-Packard Development Company, L.P. Website framework
US9578063B1 (en) * 2015-11-20 2017-02-21 International Business Machines Corporation Application self-service for assured log management in cloud environments
US10673855B2 (en) * 2018-04-10 2020-06-02 Sap Se Consolidated identity management system provisioning to manage access across landscapes
US10938701B2 (en) * 2018-07-19 2021-03-02 EMC IP Holding Company LLC Efficient heartbeat with remote servers by NAS cluster nodes
CN111935832A (zh) * 2020-07-15 2020-11-13 北京自如信息科技有限公司 一种网络资源的分配方法、装置及计算机设备

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5491796A (en) * 1992-10-23 1996-02-13 Net Labs, Inc. Apparatus for remotely managing diverse information network resources
US7325140B2 (en) * 2003-06-13 2008-01-29 Engedi Technologies, Inc. Secure management access control for computers, embedded and card embodiment
JP2004102558A (ja) * 2002-09-09 2004-04-02 Murata Mach Ltd サーバ装置
JP2005107707A (ja) * 2003-09-29 2005-04-21 Canon Inc 情報処理装置
US20070086449A1 (en) * 2005-10-18 2007-04-19 Aten International Co., Ltd System and method for remote management
US8225313B2 (en) * 2005-10-19 2012-07-17 Ca, Inc. Object-based virtual infrastructure management
GB2435362B (en) * 2006-02-20 2008-11-26 Cramer Systems Ltd Method of configuring devices in a telecommunications network
US7904909B1 (en) * 2006-03-31 2011-03-08 Emc Corporation Architecture for using a model-based approach for managing resources in a networked environment
US7483978B2 (en) * 2006-05-15 2009-01-27 Computer Associates Think, Inc. Providing a unified user interface for managing a plurality of heterogeneous computing environments
JP2009048329A (ja) * 2007-08-16 2009-03-05 Canon Inc ネットワーク装置の制御方法及びそのシステムと、該システムを構成するネットワーク装置
US8131850B2 (en) * 2009-10-12 2012-03-06 Palo Alto Research Center Incorporated Apparatus and methods for managing network resources

Also Published As

Publication number Publication date
JP2011081809A (ja) 2011-04-21
EP2320362A1 (en) 2011-05-11
CN102045337A (zh) 2011-05-04
US20110087766A1 (en) 2011-04-14
US8131850B2 (en) 2012-03-06
TW201141126A (en) 2011-11-16

Similar Documents

Publication Publication Date Title
US8131850B2 (en) Apparatus and methods for managing network resources
JP6957764B2 (ja) 高速スマートカードログオン
US10609560B2 (en) Using derived credentials for enrollment with enterprise mobile device management services
US10523514B2 (en) Secure cloud fabric to connect subnets in different network domains
US9973489B2 (en) Providing virtualized private network tunnels
US11627120B2 (en) Dynamic crypto key management for mobility in a cloud environment
US9258308B1 (en) Point to multi-point connections
US8893258B2 (en) System and method for identity based authentication in a distributed virtual switch network environment
EP2156610B1 (en) Managing network components using usb keys
US8931078B2 (en) Providing virtualized private network tunnels
US9240977B2 (en) Techniques for protecting mobile applications
US9083752B2 (en) Mobile device management as a simplified online software service
US20140351882A1 (en) Systems and methods for the rapid deployment of network security devices
US20210266749A1 (en) Managing network resource permissions for applications using an application catalog
JP3746782B2 (ja) ネットワークシステム
Somboonpattanakit Steel-Belted Administration Guide
Headquarters Security Best Practices Guide for Cisco Unified ICM/Contact Center Enterprise & Hosted

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid